SUBSET-091 技术互联互通的安全要求
该事件可用于SUBSET-088第一部分的故障树的根事件。
4. 引言
4.1 适用范围
4.1.1.1 本文件规定在ETCS 1级或2级运用时,高等级的定量安全要求。
给出的这些数字只依据UNISIG各工作组的文件,未对系统实际使用情况进行预测。为了确保安全达到技术上互联互通必须达到的数值,本文给出的数字是最小值。只有技术上互联互通才能在运行上互联互通,才能使各国的高速铁路网互相连接。
4.1.1.2 本文规定的安全要求对SRS以及其他TSI参考的UNISIG规范子集
中所包含的内容进行了补充。任何特定的实施和应用都需要按照欧洲标准进行危险识别和安全分析,本文件规定的通用安全要求是对安全分析流程的补充和支持。本文件的要求是确保技术上互联互通的最低要求。
4.1.1.3 本文引用的支撑文件是为了便于找出安全要求的来源,但只有本文
件才是强制性文件。
4.1.1.4 供应商的责任是:按照互联互通技术规范中指定的程序,证明ETCS
设备在具体实施中符合本文件规定的安全要求。 4.1.1.5 安全要求包括: ? ? ?
ETCS车载系统的安全要求; ETCS地面系统的安全要求;
分配给外部实体的安全要求,即ETCS特定的,需要达到一致的安全要求。
4.1.1.6 本文件中指出的定量安全要求的有效性和传输系统的特性、任务概
要、工作争论等的推测或假定有关,这些内容见第5章和第10章。 4.1.1.7 安全要求与所考虑实体的安全功能有关。SUBSET-088第3部分对
这些安全功能及其相关危险进行了定义。本章再次对这些规定的危险进行说明。
2013-4-10 第 6 页 共 35 页
SUBSET-091 技术互联互通的安全要求
4.1.1.8 安全要求可以使用“可容忍危险率(Tolerable Hazard Rates,THR)”
限定。如果符合安全要求,则THR满足欧洲铁路定义和承认的ETCS整体THR。危险率(Hazard Rates)与确保技术互联互通所必需的关键功能有关。
4.1.1.9 可从SUBSET-088第3部分给出的THR的分配中得出危险率。分
配原则见第6章要点。
4.1.1.10 SUBSET-088第1、2部分提出了,在危险的根事件失效时减少核
心危险发生的各种方案。细节见附录C。这些减轻措施必须一致,以确保达到技术互联互通以及系统的安全。
4.1.1.11 安全要求的格式要符合EN 50129 标准附录A。
4.1.1.12 ETCS基本结构规定的ETCS整体THR依据ESROG文件F2S9420A
《ESROG报告4,DB和SNCF对共同ETCS THR的建议》 ,(2001年10月19日)。随机失效和系统失效之间的THR分配要符合prEN 50129。THR涉及安装在单个列车上的设备以及该列车执行有关第10章规定的任务时所访问的ETCS设备配置区域内所安装的设备。
注:THRETCS不包括因ETCS基本结构之外的原因,如运行差错、牵引设备等引起的失效。
4.2 系统基本情况
4.2.1.1 全部分析按照以下内容进行。图1提出了依据ETCS基本结构的规
定,在高速跨国铁路运行环境下按欧洲指令96/48(European Directive 96/48)结合互联互通技术标准要求执行的ETCS 1级功能。
2013-4-10 第 7 页 共 35 页
SUBSET-091 技术互联互通的安全要求
? 联锁&地面对象 ? GSM无线&欧洲应答器的
间隙 ? 调度中心 ? 相临的无线闭塞中心(仅针 ? 列车检测系统 对ETCS 2级)
? 司机和工作人员 ? 对TSI车辆的列车接口 ? 紧急业务 ? TSI铁路网 ? 相邻铁路 ? 协调应用&行车规则
? 列车数据 ? 平交道口 ? 不适用基础设施 一 致 性 范 围
? 本国信号和行车规则
? 既有ATP系统 ? 运行计划和列车专用数据 本 国 信 号 范 围
图1 本文的ETCS基本结构
ETCS 1级 基本结构 4.2.1.2 ETCS 1级基本结构是指ERTMS的ETCS部分。这就意味着,在
ERTMS内部增加新要素时,例如欧洲联锁等,不影响ETCS基本结构适用范围。
4.2.1.3 为了达到技术和运行的互联互通,运行环境要求ETCS基本结构的
车载子系统必须与遍及欧洲的规定实体接口。为此,要在一致性范围内部逐项说明。由于车载子系统的移动特性,这些问题将影响跨越欧洲时所达到的安全等级。
4.2.1.4 需要将基本结构和一致性项目与本国信号系统联合进行。对这些一
致性项目的说明见图1本国信号范围。注意,这些项目将影响个别国家所达到的安全性等级。
4.2.1.5 UNISIG工作的范围是对基本结构的分析,详见4.3节。然而,达到
安全关键的一致性取决于一致性项目,所提出的任何假定和要求都要有文档。有关国家信号系统性能的假定不在本文件工作范围之内。 4.2.1.6 ETCS的任务如ETCS基本结构所规定,在高速环境下规定为:
向司机提供准许其安全驾驶列车的信息,并强迫司机注意这些信息。
2013-4-10 第 8 页 共 35 页
SUBSET-091 技术互联互通的安全要求
4.2.1.7 注释:由于ETCS不包括制动系统,“强迫注意”这些信息就意味着
要对ETCS外部实体(如制动系统)发出适当的命令。 4.2.1.8 基本结构的核心危险是:
超出ETCS建议的安全速度 / 安全距离
4.2.1.9 铁路规定并由国家安全权威部门
注1
批准的核心危险最大允许发生
率为2.0×10-9/小时/列车。这是ETCS的最大可容忍危险率(THR),表示为THRETCS。
4.2.1.10 THR是考虑了对高速列车上旅客发生ETCS核心危险的后果而得出
的。
4.2.1.11 核心危险及其相关THR与执行4.2.1.6规定的ETCS功能失效有
关。该功能的实现符合SRS中规定的ETCS基本结构。
4.2.1.12 按照ESROG 文件F2S9420 ESROG 报告 4《DB和SNCF对共同ETCS
THR的建议》(ESROG Report 4,DB and SNCF proposal for a common THR for ETCS),因行车人员(如司机、信号工和维护人员)和行车规则而产生的失效不包括在核心危险或其THR中。
4.2.1.13 THR是指典型的高速旅客旅行的每小时可容忍危险率,在高速旅
行中可使用多种ETCS工作模式。SUBSET-088第3部分中采用将顶级危险的THR分解为UNISIG要素群危险率的分配方法。该THR分配以定义的任务要点为基础。
4.2.1.14 为了达到要素危险率的限制值,任务要点要保证敏感度分析涵盖
例如,运行模式的不同时间百分比,以确保目标结果适用广泛的实际应用。
———————————————————————————————————— 注1:指法国、德国、意大利和英国的安全权威部门。
2013-4-10 第 9 页 共 35 页
SUBSET-091 技术互联互通的安全要求
4.3 基本结构
4.3.1.1 4.2.1.1条提出的“UNISIG 1级基本结构” 有如下所示的功能结
构:
列车 司机 JRU 下载工具
JRU记录 车 载 核心 里程表 欧洲无线
GSM移动网 GSM固定网 国家制式 欧洲应答器 欧洲环线 欧洲无线 无线 注入单元 欧洲无线 密钥 管理中心 联锁和LEU 控制中心 地面
图2: 参照“ETCS 基本结构”的ERTMS./ETCS 系统 4.3.1.2 注释:括号中的接口无互联互通需要。
2013-4-10 第 10 页 共 35 页