《ETCS安全性完整性1级和2级的技术互用性安全性需求.doc》由会员分享,可在线阅读,更多相关《ETCS安全性完整性1级和2级的技术互用性安全性需求.doc(35页珍藏版)》请在三一办公上搜索。
1、ETCS 1级/2级技术互联互通的安全要求编 号 : SUBSET-091版本号 : 2.2.2公布日期 : 2003年3月3日1. 修改记录发行编号、日期章节号修改/说明作者0.0.101-08-24全部初稿。WLH0.0.201-09-21全部GM0.0.301-10-04全部按SUBSET0882将某些章节位置调整、增加和修改。WLH/GM0.0.401-10-11全部按Ansaldo的要求修改,一致同意增加系统可容忍危险率(THR)。WLH0.0.502-04-29全部根据SUBSET088 V 2.0.0版更新DARI0.0.602-05-21全部按Invensys、Siemens和
2、Ansaldo的意见更新。文件名称从SUBSET088第4部分改为SUBSET091。DARI0.0.702-05-23全部在RAMS组会议期间现场修改。RAMS会话0.0.802-05-31全部解决RAMS组会议的遗留问题。DARI0.0.902-06-12全部按Invensys、Siemens和Ansaldo的意见更新。DARI0.0.1002-06-148.3较少的改动。DARI0.0.1102-06-256、8、10经UNISIG Super Group审查后的澄清。DARI2.0.002-06-28无提供用户组(User Group )的公布稿。WLH2.0.102-11-11编辑处
3、理。WLH公布2.0.202-12-10按Invensys、Siemens和Ansaldo的审查意见进行编辑处理。WLH2.0.303- 01-28进一步修改,确保符合SUBSET-088第3部分。WLH2.1.003-01-31提供用户组User Group 的公开稿。WLH2.2.203-03-20最终稿,反映作为UNISIG审查意见(3月3日ISA 0.0.2版报告)的2003年3月7 日ISA 1.1版最终报告的意见。WLH2. 目录1. 修改纪录2. 目录3. 参考标准4. 引言4.1 适用范围4.2 系统基本情况4.3 基本结构4.4 危险事件4.5 要求项目的编号4.6 流程要求
4、5. ETCS系统对传输子系统的看法 5,1 消息的损伤5.2 消息的插入5.3 消息的删除5.4 消息的冒充6. 分配原则7. ETCS车载设备的安全要求7.1 概述7.2 传输系统以外的ETCS车载设备7.3 ETCS车载传输系统8. ETCS地面设备的安全要求8.1 概述8.2 传输系统以外的ETCS地面设备8.3 ETCS地面传输系统9. ETCS外部实体的安全要求9.1 ETCS 依赖性9.2 数据准备的完整性要求9.3 系统部署的完整性要求9.4 数据管理的完整性要求10. 任务概要和相关假定10.1 引言10.2 参照的基础设施10.3 工作参数10.4 工作假定11 术语12.
5、 附录A. 12.1 危险事件清单13. 附录B13.1 图形表示(参考性)14. 附录C14.1 ETCS 内在防护措施3. 参考标准3.1.1.1 本文编写过程中参考和引用的标准如下:l EN 50126; 铁路应用可靠性、可用性、可维护性和安全性规范和说明(1999.9)l EN 50128; 铁路应用通信、信号和处理系统铁路控制和防护系统软件(2001.3) l EN 50129; 铁路应用通信、信号和处理系统信号安全相关电子系统(2001.5) l EN 50159-1; 铁路应用通信、信号和处理系统第1部分:封闭传输系统中的安全相关通信(2001.3) l EN 50159-2;
6、铁路应用通信、信号和处理系统第2部分:开放传输系统中的安全相关通信(2001.3) 3.1.1.2 本文编写过程中参考的文献如下(均为2.2.2版本):l SUBSET-026 UNISIG功能需求规范l SUBSET-078 RBC/RBC切换的故障模式及影响分析(FMEA)l SUBSET-079-1 人机接口(MMI)的FMEA(1级)l SUBSET-079-2 MMI的FMEA(2级)l SUBSET-080-1 列车接口单元(TIU)的FMEA(1级)l SUBSET-080-2 TIU的FMEA(2级)l SUBSET-081-1 传输路径的FMEA(1级)l SUBSET-08
7、1-2 传输路径的FMEA(2级)l SUBSET-088-第1部分之一 安全分析,功能故障树(1级)l SUBSET-088-第1部分之二 安全分析,功能故障树(2级)l SUBSET-088-第2部分之一 安全分析,功能故障树(1级)l SUBSET-088-第2部分之二 安全分析,功能故障树(2级)l SUBSET-088-第3部分 安全分析,可容忍危险率(THR)分配3.1.1.3 SUBSET-026的主题是安全分析,作为UNISIG 设计意图的说明。3.1.1.4 FMEA文件确定了ETCS 在基本结构强制性边界可存在的危险事件。该事件可用于SUBSET088第一部分的故障树的根事
8、件。4. 引言4.1 适用范围4.1.1.1 本文件规定在ETCS 1级或2级运用时,高等级的定量安全要求。给出的这些数字只依据UNISIG各工作组的文件,未对系统实际使用情况进行预测。为了确保安全达到技术上互联互通必须达到的数值,本文给出的数字是最小值。只有技术上互联互通才能在运行上互联互通,才能使各国的高速铁路网互相连接。4.1.1.2 本文规定的安全要求对SRS以及其他TSI参考的UNISIG规范子集中所包含的内容进行了补充。任何特定的实施和应用都需要按照欧洲标准进行危险识别和安全分析,本文件规定的通用安全要求是对安全分析流程的补充和支持。本文件的要求是确保技术上互联互通的最低要求。4.
9、1.1.3 本文引用的支撑文件是为了便于找出安全要求的来源,但只有本文件才是强制性文件。4.1.1.4 供应商的责任是:按照互联互通技术规范中指定的程序,证明ETCS设备在具体实施中符合本文件规定的安全要求。4.1.1.5 安全要求包括:l ETCS车载系统的安全要求;l ETCS地面系统的安全要求;l 分配给外部实体的安全要求,即ETCS特定的,需要达到一致的安全要求。4.1.1.6 本文件中指出的定量安全要求的有效性和传输系统的特性、任务概要、工作争论等的推测或假定有关,这些内容见第5章和第10章。4.1.1.7 安全要求与所考虑实体的安全功能有关。SUBSET088第3部分对这些安全功能
10、及其相关危险进行了定义。本章再次对这些规定的危险进行说明。4.1.1.8 安全要求可以使用“可容忍危险率(Tolerable Hazard Rates,THR)”限定。如果符合安全要求,则THR满足欧洲铁路定义和承认的ETCS整体THR。危险率(Hazard Rates)与确保技术互联互通所必需的关键功能有关。4.1.1.9 可从SUBSET088第3部分给出的THR的分配中得出危险率。分配原则见第6章要点。4.1.1.10 SUBSET088第1、2部分提出了,在危险的根事件失效时减少核心危险发生的各种方案。细节见附录C。这些减轻措施必须一致,以确保达到技术互联互通以及系统的安全。4.1.1
11、.11 安全要求的格式要符合EN 50129 标准附录A。4.1.1.12 ETCS基本结构规定的ETCS整体THR依据ESROG文件F2S9420A ESROG报告4,DB和SNCF对共同ETCS THR的建议 ,(2001年10月19日)。随机失效和系统失效之间的THR分配要符合prEN 50129。THR涉及安装在单个列车上的设备以及该列车执行有关第10章规定的任务时所访问的ETCS设备配置区域内所安装的设备。注:THRETCS不包括因ETCS基本结构之外的原因,如运行差错、牵引设备等引起的失效。4.2 系统基本情况4.2.1.1 全部分析按照以下内容进行。图1提出了依据ETCS基本结构
12、的规定,在高速跨国铁路运行环境下按欧洲指令96/48(European Directive 96/48)结合互联互通技术标准要求执行的ETCS 1级功能。l GSM无线&欧洲应答器的间隙l 相临的无线闭塞中心(仅针对ETCS 2级)l 对TSI车辆的列车接口l TSI铁路网l 协调应用&行车规则l 列车数据 一 致 性 范 围l 联锁&地面对象l 调度中心l 列车检测系统l 司机和工作人员l 紧急业务l 相邻铁路l 平交道口l 不适用基础设施l 本国信号和行车规则l 既有ATP系统l 运行计划和列车专用数据 本 国 信 号 范 围ETCS1级基本结构 图1 本文的ETCS基本结构4.2.1.2
13、 ETCS 1级基本结构是指ERTMS的ETCS部分。这就意味着,在ERTMS内部增加新要素时,例如欧洲联锁等,不影响ETCS基本结构适用范围。4.2.1.3 为了达到技术和运行的互联互通,运行环境要求ETCS基本结构的车载子系统必须与遍及欧洲的规定实体接口。为此,要在一致性范围内部逐项说明。由于车载子系统的移动特性,这些问题将影响跨越欧洲时所达到的安全等级。4.2.1.4 需要将基本结构和一致性项目与本国信号系统联合进行。对这些一致性项目的说明见图1本国信号范围。注意,这些项目将影响个别国家所达到的安全性等级。4.2.1.5 UNISIG工作的范围是对基本结构的分析,详见4.3节。然而,达到
14、安全关键的一致性取决于一致性项目,所提出的任何假定和要求都要有文档。有关国家信号系统性能的假定不在本文件工作范围之内。4.2.1.6 ETCS的任务如ETCS基本结构所规定,在高速环境下规定为:向司机提供准许其安全驾驶列车的信息,并强迫司机注意这些信息。4.2.1.7 注释:由于ETCS不包括制动系统,“强迫注意”这些信息就意味着要对ETCS外部实体(如制动系统)发出适当的命令。4.2.1.8 基本结构的核心危险是:超出ETCS建议的安全速度 / 安全距离4.2.1.9 铁路规定并由国家安全权威部门注1批准的核心危险最大允许发生率为2.0109/小时/列车。这是ETCS的最大可容忍危险率(TH
15、R),表示为THRETCS。4.2.1.10 THR是考虑了对高速列车上旅客发生ETCS核心危险的后果而得出的。4.2.1.11 核心危险及其相关THR与执行4.2.1.6规定的ETCS功能失效有关。该功能的实现符合SRS中规定的ETCS基本结构。4.2.1.12 按照ESROG 文件F2S9420 ESROG 报告 4DB和SNCF对共同ETCS THR的建议(ESROG Report 4,DB and SNCF proposal for a common THR for ETCS),因行车人员(如司机、信号工和维护人员)和行车规则而产生的失效不包括在核心危险或其THR中。4.2.1.13
16、THR是指典型的高速旅客旅行的每小时可容忍危险率,在高速旅行中可使用多种ETCS工作模式。SUBSET088第3部分中采用将顶级危险的THR分解为UNISIG要素群危险率的分配方法。该THR分配以定义的任务要点为基础。4.2.1.14 为了达到要素危险率的限制值,任务要点要保证敏感度分析涵盖例如,运行模式的不同时间百分比,以确保目标结果适用广泛的实际应用。注1:指法国、德国、意大利和英国的安全权威部门。4.3 基本结构4.3.1.1 4.2.1.1条提出的“UNISIG 1级基本结构” 有如下所示的功能结构:GSM移动网GSM固定网无线注入单元欧洲环线欧洲应答器欧洲无线国家制式JRU记录欧洲无
17、线 地面密钥管理中心联锁和LEU控制中心欧洲无线里程表核心车 载JRU下载工具司机列车图2: 参照“ETCS 基本结构”的ERTMS./ETCS 系统 4.3.1.2 注释:括号中的接口无互联互通需要。4.4 危险事件4.4.1.1 由于可导致危险的事件与规定的THR有关,SUBSET088的功能分析中确定的事件清单与THR要求项有关,该清单见附录A。除此之外,根据ETCS设备的特定应用情况,还可导出更多的危险事件。供应商有责任证明他们是如何控制附录A列出的事件和特定的应用事件。4.5 要求项目的编号4.5.1.1 已经采用量化要求的编号系统:ETCS_OB / TR xx,其中OB表示对ET
18、CS车载设备的要求,TR表示对ETCS地面设备的要求。4.6 流程要求4.6.1.1 ETCS极其依赖于来自外部源的数据质量以及对必要的外部实体的要求。这些要求所采取的流程应相当于安全性完整性等级SIL4 的系统。这可理解为我们所谈的流程必须经过详细审查,以确定在什么地方存在对处理精度的潜在威胁和采取什么措施可以使这些威胁减至最小。4.6.1.2 本文件涉及的数据包括:列车司机可能需要输入的数据和系统设计者用于计算诸如速度限制和停车距离等参数的数据。4.6.1.3 上述问题并不意味着需要一致的流程。5. ETCS系统对传输子系统的看法5.1 消息的损伤5.1.1.1 根据EN 50159-1注
19、2和EN 50159-2注3,采取措施,减少不完全了解其特性的传输信道内的差错,保护数据通信是可能的。注2 适用于视为封闭传输系统的应答器传输系统。住3 适用于视为开放传输系统的无线传输系统。5.1.1.2 分析传输信道时(例如SUBSET081 传输通道FMEA ),按照EN50159指示说明,考虑属于非信赖传输信道的发送机和接收机功能部分有时是很有用的。5.1.1.3 针对消息损伤和消息冒充(冒充消息的情况只用于无线通信环境)的情况,使用欧洲无线和欧洲应答器传输已经选择采用上述概念。在附录B,视为属于非信赖通信信道的ETCS功能在“欧洲无线”、“应答器传输模块(BTM)”、“欧洲应答器”和
20、“欧洲环线和无线覆盖单元”内部。5.1.1.4 注意:欧洲无线、BTM和环线传输模块(LTM) 也含有分别属于车载以及地面的安全相关功能。5.1.1.5 在THRETCS分配中,假定视为非信赖通信信道部分的设备内部的失效模式采用与消息损伤有关的安全码进行防护。所要求的防护等级见7.3.1条。5.1.1.6 因此可以定义ETCS传输设备“非信赖部分”为满足上述相关损伤假定的ETCS设备部分。对于车载或地面ETCS设备的供应商,如果他们能证明其设备和设备部分内部的失效模式不妨碍安全码的防护能力,则可允许他们定义其设备部分为非信赖的部分。5.1.1.7 ETCS的分析假定:由于安全码的性能,欧洲无线
21、、欧洲应答器和欧洲环线的空中间隔间隙特性符合相应规范,其未捡出损伤的概率可忽略不计。每个供应商都有责任证明其安全码达到本文件规定的防护水平。注:与通信信道非信赖部分有关的空间间隙不在ETCS设备中。5.2 消息的插入5.2.1.1 SUBSET088第3部分中规定,必须表明应答器组串音的发生率不超过1.010-9危险失效/小时。该要求已经送至UNISIG 内部欧洲应答器工作组,将该要求分解分配给SUBSET036要素群(ETCS 车载设备和应答器),并将设备的失效模式列入清单。5.3 消息的删除5.3.1.1 ETCS技术规范中规定,在无线传输的情况下,地面(轨道)和列车之间的数据交换在正常条
22、件下消息的删除不能导致危险。而且,重大消息的删除要借助确认程序减轻其影响。在此基础上,未捡出消息删除的概率则不再作为可证实/可测试的目标。5.3.1.2 只有应急消息情况下,删除才可能导致危险情况,此时应急消息使用高优先级信道,而不采用与正常信道安全性相同的防护。因此,“应急消息(Emergency Message)”的完整性取决于无线系统的质量和可用性,当然,这已超出了本要求的范围。5.3.1.3 除此之外,无线覆盖消息的删除是不危险的,因为它不含有限制性数据,因而也不用规定指标。5.4 消息的冒充5.4.1.1 本文件提及的安全性定量目标对于随机事件(如,在非信赖通信系统中的因电磁干扰、异
23、常时延或重复造成的损伤等)引起的通信信道中的差错而言是有效的。5.4.1.2 基于定量思考,对因对无线传输系统故意攻击造成的消息冒充必须要区别对待,因为恶意攻击的比率是不可预测的。倘若负责系统工作的机构可以证明,其所采取的措施适当,可以确保密钥的机密性,则可以认为采用欧洲无线技术规范中规定的加密安全码所提供的防护是足够的。6. 分配原则6.1.1.1 在4.2.1.7和4.2.1.9已经对ETCS系统的顶级危险和其相关的THRETCS进行了规定。该THR将进行分解,分配给一致性共用的要素群,即车载和地面设备群。分配的结果分别在第7章和第0章说明。6.1.1.2 本章对分配处理原则进行概括总结。
24、6.1.1.3 按照互联互通技术规范的要求,车载和地面设备之间THRETCS平均分配,系统危险事件的分配按SUBSET088第一和二部分的规定执行。将危险事件分为“车载事件”、“地面事件”或“传输事件”,每一种事件最初分得1/3 THRETCS。“传输事件”相应的功能实际上由车载或地面设备执行。因此,传输事件的一半指标分配给车载设备,而另一半给地面设备。最终结果是将指标在车载设备和地面设备之间平分。6.1.1.4 图3举例说明上述分配原则。也引入了THROnboard和THRTrackside项,表示纯车载和地面功能的用数字表示的安全要求。这些将分别在7.2和8.2作进一步详细阐述。车载功能(
25、信赖部分)地面功能(信赖部分)传输功能(非信赖部分)车载设备地面设备图3:车载设备和地面设备间的THRETCS分配原则6.1.1.5 对照对要素任务的规定及其一个典型1小时旅程相关危险的规定,再分配至要素群。7. ETCS车载设备的安全要求7.1 概要7.1.1.1 从不同的可容忍危险率可得出安全完整性等级。危险率109 失效/小时时,采用SIL 4处理是可行的。7.1.1.2 按照适当的互联互通技术规范的说明,在特殊环境下(温度、振动、电磁干扰等)应达到规定目标。7.1.1.3 ETCS车载设备危险失效定义为:依据外部实体对ETCS车载的指导信息提供的车载监督和防护失效。注:需要考虑的失效仅
26、指引起在4.2.1.8中规定的ETCS危险的失效。本文件上下文中,外部实体包括假定对车载设备提供正确信息的地面设备。7.1.1.4 为了使得出的目标有效,必须执行SUBSET026“系统要求规范”版本2.2.2中的规则。7.2 传输系统以外ETCS 车载设备ETCS_OB01应表明ETCS车载系统的危险率(去掉形成传输通道部分的那些部分)不超过THR 0.67109 危险失效/小时(参见SUBSET088,12.3.1.1)。7.2.1.1 其中危险失效定义依照7.1.1.3。7.2.1.2 每个供应商都应考虑至少通过如附录A中规定的下列事件,证明已达到THROnboard:l KERNEL-
27、1KERNEL-32l ODO-1ODO-4l TI-1TI-6l MMI-1MMI-4l BTM-H4(因传输信道信赖部分内部失效产生的危险部分)l OB-EUR-H4(因传输信道信赖部分内部失效产生的危险部分)l LTM-H4(因传输信道信赖部分内部失效产生的危险部分)7.2.1.3 试验证据应考虑10.2和10.3中规定的任务概要(Mission Profile)以及10.4中陈述的工作假定。而且,试验证据可能需考虑附录C中确定的ETCS内在防护特性。7.2.1.4 ETCS总的安全性能极其依赖于送入ETCS车载设备的列车数据。因此,对ETCS要求简述如下:ETCS_OB02“列车数据正
28、确存储在车载上”的确认过程的质量必须相当于SIL4级系统(参见SUBSET088第三部分,12.6.4.2)。7.2.1.5 除SUBSET026“系统要求规范(V 2.2.2)”中给出的规则之外,对分析过程部分还得出一些规则。这些附加规则如下。ETCS_OB03附加链接反应如果两个预期顺序链接的应答器组链接显示为未检测到(不考虑其规定的链接反应),则车载应将对第二个应答器组的链接命令作为制动实施命令。这个特殊链接反应通知司机。(参见SUBSET088第三部分,10.2.2.2)。ETCS_OB04再定位防护如果发现两个连续再定位的应答器组,则应导致车载制动,直至列车停车为止。停车时,EoA应
29、退回到当前列车车头位置,并通知司机。(参见SUBSET088第三部分,10.2.2.3)。7.3 ETCS 车载传输系统7.3.1 无线信道ETCS_OB05无线消息的损伤对非信赖部分注4的要求是:非信赖ETCS 车载无线传输设备应遵守5.1.1.6中给出的非信赖定义以及THR 1.01011 危险失效/小时的规定。(参见SUBSET088第三部分,12.5.1.1)。注4信赖部分,见7.2.1.27.3.2 应答器信道ETCS_OB06应答器消息的损伤对非信赖部分5的要求是:非信赖ETCS 车载应答器传输设备应遵守5.1.1.6中给出的非信赖定义以及THR 1.01011 危险失效/小时的规
30、定。(参见SUBSET088第三部分,12.5.2.1)。ETCS_OB07应答器组检测失效应表明ETCS 车载不能检测应答器组的失效率不超过1.0107 危险失效/小时(参见SUBSET088第三部分,12.5.2.4)。ETCS_OB08应答器组的串音串音的总THR为 1.0109 危险失效/小时。在SUBSET036中,本项要求在ETCS车载设备和地面设备之间分配。由此得出对ETCS车载设备的要求是,考虑下列各自的失效模式,最大不可用度为1.0106:l ETCS 车载设备比预期更灵敏。l ETCS 车载设备发送的场强比规定更强。有关潜在失效模式和可能的解决办法的详细说明,见SUBSET
31、036 附录F。(参见SUBSET088第三部分12.5.2.5和SUBSET036 6.4.5.2)。注5 信赖部分,见7.2.1.2条7.3.3 环线信道ETCS_OB09环线消息的损伤对LTM-H4注6的非信赖部分要求是:非信赖ETCS 车载环线传输设备应遵守5.1.1.6中给出的非信赖定义以及THR 1.01011 危险失效/小时的规定。(参见SUBSET088第三部分,12.5.2.1和12.5.2.3)。注6 信赖部分,见7.2.1.2条8. ETCS地面设备的安全要求8.1 概要8.1.1.1 从不同的可容忍危险率可得出安全完整性等级。危险率109 失效/小时时,采用SIL 4处
32、理是可行的。8.1.1.2 按照适当的互联互通技术规范的说明,在特殊环境下(温度、振动、电磁干扰等)应达到规定目标。8.1.1.3 ETCS地面设备危险失效定义为:依据外部实体对ETCS地面的指导数据提供的对ETCS车载监督信息的失效。注:所必须考虑的失效仅指引起在4.2.1.8中规定的ETCS危险的失效。注:外部实体包括假定:ETCS车载设备向ETCS 2级的RBC提供正确列车位置报告。如果不是上述情况,应按7.1.1.3 详细说明的车载危险部分考虑。8.1.1.4 为了使得出的目标有效,必须执行SUBSET026“系统要求规范”(版本2.2.2)以及SUBSET040“(指明设备布置的)关
33、联尺寸和工程准则”(版本2.0.0)中的规则。8.2 传输系统以外的ETCS 地面设备ETCS_TR01应表明ETCS地面设备的危险率(去除形成传输通道部分的那些部分)不超过THRTrackside0.67109 危险失效/小时(参见SUBSET088,12.4.1.1)。8.2.1.1 其中危险失效定义依照8.1.1.3。8.2.1.2 每个供应商都应考虑至少通过如附录A中规定的下列事件,证明已达到THRTrackside:l RBC-2 and RBC-3(仅ETCS 2级)l LEU-H4(仅ETCS 1级)l TR-EUR-H4(仅ETCS 2级)(因传输信道信赖部分内部失效产生的危险
34、)8.2.1.3 试验证据应考虑采用10.2和10.3中规定的任务概要(Mission Profile)以及10.4中陈述的工作假定。而且,试验证据可能考虑附录C中确定的ETCS内在防护特性。8.2.1.4 已假定在ETCS 1级发生的LEU事件和在ETCS 2级发生的RBC事件是相互排斥的。但是,如果在ETCS 2级采用LEU 安全相关信息,就必须分别进行分析。8.3 ETCS 地面传输系统8.3.1 无线信道ETCS_TR02无线消息的损伤对非信赖部分7的要求是:非信赖ETCS 地面无线传输设备应遵守5.1.1.6中给出的非信赖定义以及THR 1.01011 危险失效/小时的规定。(参见S
35、UBSET088第三部分,12.5.1.1)。 注7 信赖部分,见7.2.1.28.3.2 应答器信道ETCS_TR03应答器消息的损伤对非信赖部分的要求是:非信赖ETCS 地面应答器传输设备应遵守5.1.1.6中给出的非信赖定义以及THR 1.01011 危险失效/小时的规定。(参见SUBSET088第三部分,12.5.2.1)。ETCS_TR04应答器组检测失效应表明具有至少2个应答器的应答器组变成不可检测的失效率不超过1.0109 危险失效/小时。一个可互用的应答器个体,其对于危险的不可用度应小于2.0105。本项要求出自SUBSET036中对2个应答器的应答器组的要求。(参见SUBSE
36、T088第三部分,12.5.2.4和SUBSET036 5.5.5.2)。ETCS_TR05应答器组的串音串音的总THR为 1.0109 危险失效/小时。在SUBSET036中将本项要求在ETCS车载设备和地面设备之间进行分配。由此得出对ETCS地面设备的要求:假定ETCS车载性能如ETCS_OB8规定,则地面设备要满足SUBSET088附录A的8.3.1.2 给出的串音总THR为 1.0109 危险失效/小时的要求。尽管实际完成分析取决于供应商和应用细节,建议采用SUBSET036附录F的方法。(参见SUBSET088第三部分,12.5.2.5和SUBSET036的 5.5.5.2)。8.3
37、.2.1 除了SUBSET-040“(指明设备布置的)关联尺寸和工程准则”版本2.0.0中给出的规则之外,还得出分析过程部分的规则。这些附加规则如下:8.3.2.2ETCS_TR06TSR应答器组当借助未链接的应答器组给出临时速度限制(Temporary Speed Rstriction)时,应采用2个应答器组8在限制区前通知TSR。ETCS_TR07每组中应答器组的数量一个应答器组含有如果其丢失则会导致危险后果的信息,应最少由2个应答器组成。这涉及到一个应答器组应能(1)给出临时速度限制,(2)给出链路起始点,即相遇到任务起始点(Start of Mission)或从1级到2级的变换点。(参
38、见SUBSET088第三部分,附录A,3.3.1.1)。注8 每组2个应答器,见ETCS_TR07 要求8.3.3 环线信道ETCS_TR08环线消息的损伤对LO-H4非信赖部分的要求是:非信赖ETCS 地面环线传输设备应遵守5.1.1.6中给出的非信赖定义以及THR 1.01011 危险失效/小时的规定。(参见SUBSET088第三部分,12.5.2.1和12.5.2.3)。9. 外部实体的安全要求9.1 ETCS 依赖性9.1.1.1 分析中已确定,旅客认为ETCS已经实用的地方,系统安全性能极其依赖于它从外部实体接收到信息的完整性,9.1.1.2 外部实体可分成3部分l 形成一致性的ET
39、CS系统部分的那些实体,即: 数据准备 系统部署 列车数据管理l 要求ETCS,如地面系统,与其接口的既有实体: 联锁 列车检测系统这种系统的技术规范要求不在ETCS和本文件范围在内。l 与ETCS接口的其他外部条件: 参照的基础设施(详见 10.2) 司机的表现(详见 10.4)9.2 数据准备完整性要求EXT_SR01对与网络有关数据的收集、翻译、正确性和分配的要求应与SIL 4 对ETCS设备分配的定量等级要求相当。(参见SUBSET088第三部分,12.6.2.1)。9.3 系统部署完整性要求EXT_SR02ETCS总的安全性能极其依赖于工程设计,因此,对整个工程设计过程的要求应与SI
40、L 4定量要求相当。(参见SUBSET088第三部分,12.6.3.1)。9.4 数据管理完整性要求EXT_SR03ETCS整体安全性能特别依赖于由行车人员准备的列车数据,因此,对列车数据准备的要求应与SIL 4系统定量要求相当。(参见SUBSET088第三部分,12.6.41)。10. 任务概要和相关假定10.1 引言10.1.1.1 为达到上面章节的某些要求,已经进行了相当详尽的分析。这些分析(如在SUBSET088采用的分析)对ETCS环境的诸如接口系统和司机行为等各种事物进行了假定。为了实现这些相关要求,必须满足这些假定。必须将本章给出这些假定视为安全研究的至关重要部分。10.1.1.
41、2 尽管本文件的所有其他要求都已达到,如果基础设施拥有者的特殊安装与这里陈述的假定有很大不同,随后仍将会有不满足THRETCS的风险。所以必须对这种偏离的影响进行分析。可能需要采取ETCS以外的附加防护措施。10.1.1.3 当每个供应商证明其设备的安全性时,在分析中进行假定也是必要的。进行假定应考虑10.2和10.3规定的任务概要以及10.4中陈述的工作假定。按照附录C的列表,作上述工作也应考虑SUBSET088第二部分中的缓解情况(Mitigating Conditions)。10.2 参照的基础设施10.2.1.1 本节定义所参照的基础设施,该基础设施描述适用互联互通规程的欧洲高速网络的
42、物理和工作平均特性。10.2.1.2 不是所有参数都要用于分配过程。10.2.1.3 除了下面定量参数外,10.4.1.6中陈述的假定也与对基础设施的要求有关(该假定为规则A和B。规则A:尽管不是SRS要求部分,仍假定列车进入1级或2级设备区域将受线路恻进入信号控制。而且进一步假定,需要时(如,ETCS区域没有光信号时)将采用进入信号或其他不是ETCS的措施,防止未授权列车进入该区域。)10.2.1.4 表中标题为“数值(Value)”的列中的 表示,这个特殊参数已经明确用于10.1.1.1中叙述的目的。如果某参数处没有 ,而且该参数也不用于10.1.1.3中提及的供应商特殊安全性分析,则可视
43、为是无关的参数。10.2.1.5 注A:下面表明的3个不同的工作现场启动技术步骤“任务起点(Start of Mission)”。这些现场都假定为每小时1个任务起点。 参考编号参数描述数值10.2.1.6线路长度260km 10.2.1.7无线闭塞中心(RBC)的数量3 h110.2.1.8站(普通站)和/或停车点的数量25 h110.2.1.9站(激活列车,任务起点站)的数量,见注A。1 h1 10.2.1.10行车方向改变(任务起点处)的数量,见注A。1 h1 10.2.1.11隧道的数量10 h110.2.1.12在线列车的数量15 h110.2.1.13信号(仅1级)的数量200 h1
44、10.2.1.14应答器组的平均数量2.5/km10.2.1.15应答器组间最大距离2.5km 10.2.1.16应答器组间为最大距离时行程所占百分比10 %10.2.1.17未链接的应答器组(标记为未链接Unlinked)9的数量1 10.2.1.18重新定位的应答器组(仅1级)的数量1 10.2.1.19等级变换次数(包括STMXSTMY变换)2 h110.2.1.20带有大量边界应答器的临时停车区域的数量1/6610.2.1.21固定道岔区域(在任务起点之后)的数量1 h110.2.1.22国家边界变换的数量1h19 尽管按照ETCS_TR07要求实际用2个应答器组显示,未链接的应答器组显示的临时速度限制计数为1。 10.3 工作参数10.3.1.1 本
