臺北市政府捷運工程局





                 系統安全準則，至少應包括下列各項：

                 ( 一 ) 當所有系統元件正常運作，每一功能性單元及整個系統，於所有操作狀況下，均
                      須安全地運作。

                 ( 二 ) 以下列優先順序，就分析中所確認潛在或實際危險，予以排除或控制：
                       1. 最低危險設計。
                       2. 使用安全裝置。

                       3. 使用警告裝置。
                       4. 使用特殊程序。
                 ( 三 ) 關鍵子系統或設備，諸如推進、煞車、車門、自動列車保護、月臺門、轉轍器、

                      電力系統、車內火災預警設備、胎壓及胎溫偵測（若採膠輪系統）等，亦不得具
                      有會導致重大或致命危險的故障模式。這些關鍵子系統或設備，應具故障自趨安
                      全之設計，俾使任何故障或功能喪失時，皆不會導致不安全狀況。

                 ( 四 ) 故障自趨安全準則
                       1.  一般準則：元件故障或喪失輸入訊號，不得造成危險；併發其他故障時，也不

                         得造成危險。相同原因或相關原因，所造成之多重元件同時故障，亦不得導致
                         危險。
                       2.  電力／電子電路準則：電線斷裂、受損或接點、電驛不潔，造成通電後沒有反應，

                         斷電或重新接通電路，均不得造成危險。在建立電子電路之故障自趨安全準則
                         時，應考慮元件可能因開路或短路的故障。具多重端子之裝置，應假設可能因

                         端子開路、短路，或端子之間部分短路的各種組合狀況的故障。對於擴大器承
                         受任何頻率下之不當震盪，亦應提供保護裝置。
                 ( 五 ) 複置裝置設計原則

                           複置裝置設計原則，可確保任何故障或其組合均可利用複置設計加以控制，
                      而提供與傳統故障自趨安全設計相當之安全度。
                           複置裝置至少應提供兩個並聯系統，每一個均能獨立提供相同的功能，亦應

                      提供比較並聯系統輸出之方法。若使用三個或多個並聯系統，則利用多數決系統
                      做決議。若決議未達成，且車輛正於行駛中，則緊急煞車。若車輛靜止，則車輛
                      不准行駛。下列特性應結合複置裝置檢查之設計：

                      1.  檢查程序本身應具故障自趨安全或複置裝置檢查。除非輸出達成一致，否則不
                         可顯示決議（Agreement）。

                      2. 檢查程序應涵蓋與安全有關單元之比較。
                      3. 複置裝置中任一元件發生故障，可能影響系統安全者，應能予以自動偵測。
                       4.  並聯單元須彼此完全獨立，以使一般環境或電力之變動、錯誤、失效等，不致

                         造成控制單元輸出之相關錯誤。








                                                           12                                                                                                                     13