50126铁路应用的—可靠性,可用性,可维护性和安全系统性

wordBS EN 50126：1999铁路应用可靠性，可用性，可维护性和安全性RAMS的规X和示例2007年6月52 / 56目 录引言-51适用X围-62相关参考标准-73 定义-84 铁路RAMS-124.2 铁路RAMS与服务质量-124.3 铁路RAMS要素-134.4 影响铁路RAMS的因素-154.4.2 因素的归类-155铁路RAMS的管理-256 RAMS的生命周期-336.1 步骤1概念-346.3步骤3 风险分析-386.4步骤4 系统需求-396.5步骤5 系统需求分派-436.6步骤6 设计和实施-446.6步骤7 制造-466.6步骤8 安装-476.6步骤9 系统确认-486.6步骤10 系统承受度-506.6步骤11 操作和维护-516.6步骤12 性能监视-526.6步骤13 修改和翻新-536.6步骤14 退役和处置-54附录A参考性RAMS标准概括-举例-56附录B参考性RAMS程序-60附录C参考性铁路参数举例-64附录D参考性一些风险承受度原如此举例-66附录E参考性RAMS过程在生命周期内的职责-70引 言本欧洲标准为欧盟X围内各铁路主管部门和铁路支撑工业提供了一种可以实现持续管理可靠性(Reliability)、可用性(Availability)、维护性(Maintainability)和安全性(Safety)缩写为RAMS的过程。RAMS需求的规X和证明过程是本标准的根底。本欧洲标准的目的在于促进共识和达到对RAMS的管理。本欧洲标准可以由铁路主管部门和铁路支撑工业系统地运用于铁路应用生命同期的所有阶段，以开发特定铁路应用的RAMS需求并实现与本标准的相关需求相一致。由本欧洲标准定义的系统级方法便于对复杂铁路应用的元素间的相互作用进展RAMS评估。本欧洲标准促进了铁路主管部门和铁路支撑工业间在制定策略、实现RAMS和铁路应用费用的最优组合方面的合作。采用本欧洲标准将支持单一欧洲市场的原如此和便于实现欧洲铁路间的互操作性。欧洲标准定义的过程假定铁路主管部门和铁路支撑工业在质量、性能、安全性方面有共同的行业政策。本标准定义的过程与ISO9000系列国际标准中的质量管理需求相一致。1X围1.1 本欧洲标准:- 根据可靠性，可用性，维护性，和安全性以与它们的相互作用来定义RAMS；- 基于系统生命周期和周期内的任务定义一个管理RAMS的过程；- 使得RAMS元素之间的冲突能被有效地控制和管理；- 定义一个规XRAMS的需求并证明实现这些需求的系统过程；- 涉与铁路的特性；- 不对特定的铁路应用定义RAMS的目标、量值、需求或解决方案；- 不对确保系统某某性的需求进展规X；- 不定义关于证明铁路产品违反本标准的需求的规如此或过程；- 不定义由安全性准如此权威机构实施的批准过程。1.2 本欧洲标准适用于:- 所有铁路应用以与应用的所有级别的RAMS规X和说明，从整个铁路线路到一条铁路线路的主要系统，以与到这些主要系统内单独的和组合的子系统和构件，包括所含软件；特别是：- 新的系统；- 集成在本标准制定前并尚在运行的既有系统中的新系统，尽管它不能适用于既有系统的其它方面；- 对本标准制定前并尚在运行的既有系统的改动，尽管它不能适用于既有系统的其它方面；- 应用的生命周期的每个阶段；- 适用于铁路主管部门和铁路支撑工业。注：本标准的需求中给出了关于适用性的指导。2 规X性引用文件本欧洲标准综合了一些已发布的标注日期的和未标注日期的其它参考标准。文中引用这些参考标准的地方均予标注，并列在下面。对于标注日期的引用文件，其后续的修正或改版仅在对本欧洲标准进展修改或改版时所引用的局部才适用于本标准，对未标注日期的引用文件，其最新版本适用于本标准。EN IS0 9001 1994 质量体系设计、开发、制造、安装和服务的质量保障模式EN IS0 9002 1994 质量体系制造、安装和服务的质量保障模式EN IS0 9003 1994 质量体系终期审查和测试的质量保障模式EN 50128(*) 铁路应用铁路控制与防护系统软件ENV 50129 1998 铁路应用安全相关电子信号系统IEC 60050(191) 1990 国际电工词汇-第191章：可信性与服务质量IEC 61508所有局部电气/电子/可编程电子安全相关系统的功能安全3 定义本标准采用以下定义。3.1 分配 apportionment系统的RAMS要素在组成系统的各项间进展分解的过程，以给各项提出单独的目标。3.2 评估 assessment依据证据，为获得对产品适用性评判所进展的调查工作。3.3 评审 audit一个系统的、独立的审查，以便确定按计划制定的用于满足产品需求的相关过程是否被有效的实施并达到特定的目标。3.4 可用性 availability当所需的外部资源满足时，产品在给定的条件和给定的时刻或时间间隔内执行规定功能的能力。3.5 试运行 missioning在证明一个系统或产品达到特定的要求前，为系统或产品拟采取的活动的总称。3.6 共因失效 mon cause failure由于一个或多个事件导致系统两个或多个部件同时处于失效状态，从而造成系统无法实现规定功能的失效。3.7 一致 pliance产品的特征或属性满足规定的需求的证明。3.8 配置管理 configuration management运用技术的和管理的指导和监视来鉴别和用文件证明一个配置项达到功能的和物理的特性；控制那些特性的变化；记录并报告变化处理、实施状态；并验证与特定要求相一致的准如此。3.9 修复性维护 corrective maintenance在已定位故障并力图将产品恢复到执行规定功能状态所实施的维护。3.10 关联失效 dependent failure由一系列事件引发的失效，其出现概率不能用单独事件的无条件概率的乘积来表示。3.11 停机时间 down time产品处于停机状态下的时间间隔。 (IEC 60050(191)3.12 失效原因 failure cause源于设计、制造和使用过程中，并引发产品失效的事实。(IEC 60050(191)3.13 失效模式 failure mode在失效时刻，针对与操作条件相关的指定部件的失效起因的预测或观察到的结果。3.14 失效率 failure rate产品失效的时刻T落在给定时间间隔t，t+t内的条件概率与t之比在t0时的极限(如果存在的话)称为失效率，假定在给定时间间隔的起始时刻t部件处于正常工作状态。3.15 故障模式 fault mode针对给定功能，发生故障的产品可能所处的一种状态。 (IEC 60050(191)3.16 故障树分析 fault tree analysis用故障树的形式表示的用于决定产品、子产品、外部事件或其组合的哪种故障模式是导致产品处于指定故障模式的分析。3.17 危险 hazard具有潜在人员伤害的物理环境。3.18 危险日志 hazard log记录和引用的记载所有安全管理活动、危险识别、所作的决策、采取的解决方案的文档。也被称为安全日志。 (ENV 50129)3.19 后勤保障 logistic support在要求的生命周期开销下，安排和组织用来操作和维持系统在特定可用性等级的全部资源。3.20 可维护性 maintainability一个给定的有效维护活动的可能性。即在给定的条件和利用指定的过程和资源对某个项实施维护后，该项在给定的时间间隔内和给定的使用条件下可正常运行。(IEC 60050(191)3.21 维护 maintenance所有力图维持或恢复某一产品处于能执行指定功能状态的技术和管理包括监视活动的总称。 (IEC 60050(191)3.22 维护策略 maintenance policy是对维护梯队，契约等级和对部件实施维护等级之间相互关系的描述。 (IEC 60050(191)3.23 任务 mission系统所完成的根本任务的客观描述。3.24 任务概要 mission profile在生命周期的运行阶段，任务依据诸如时间、负载、速度、距离、停止、隧道等参数的预期变化和变化X围的轮廓。3.25 预防性维护 preventive maintenance在预定的间隔或按照规定的准如此针对某一部件实施的用于减少其失效或功能降级发生概率的维护。(IEC 60050(191)3.26 铁路主管部门 railway authority对铁路系统运行管理者全面负责的机构。注：对整个系统或局部以与生命周期活动负有责任的铁路主管部门有时被分解到多个机构或实体。例如：- 系统资产的一个或多个局部的所有者和它们的代销商；- 系统的使用者；-系统一个或多个局部的维护人员；- 等等。这样的分解是基于法定手段或与合同一致。这样的责任分解应该在系统生命周期的早期阶段明确声明。3.27 铁路支撑工业 railway support industry提供铁路系统、子系统或组件的供给商的总称。3.28 RAM规划 RAM programme针对给定的合同或项目，为保证满足给定的RAM需求而落实的组织架构、职责、过程、活动、能力和资源的一系列文档化的活动、资源和事件的进度表。(IEC 60050(191)3.29 RAMS可靠性(Reliability)、可用性(Availability)、维护性(Maintainability)和安全性(Safety)的首字母缩写。3.30 可靠性 reliability在给定的条件下和给定的时间间隔(t1,t2)内，某一部件能完成指定功能的概率。(IEC 60050(191)3.31 可靠性增长 reliability growth表现为随时间变化，某个项其可靠性性能度量不断提高的情形。(IEC 60050(191)3.32 修理 repair修复性维护活动的一局部，是在该项上实施的手工操作。 (IEC 60050(191)3.33 修复 restoration 当一个部件在发生故障后重新具有执行指定功能的事件。 (IEC 60050(191)3.34 风险 risk引起伤害的危险的发生概率以与伤害严重程度的等级。3.35 安全性 safety没有不可承受伤害的风险。3.36 安全例证 safety case产品满足规定的安全性需求的文档性论述。3.37 安全完整性 safety integrity在指定的时间X围内和指定的条件下，系统圆满完成规定的安全功能的可能性。3.38 安全完整性等级 (SIL): safety integrity level为安全相关系统的安全功能的安全完整性需求进展离散等级划分所定义的数字。安全性完善度等级越高数字越大。3.39 安全计划 safety plan一组适合于组织机构、责任、过程、活动、能力和资源实现的时间调度活动、资源和事件的文档，它们共同保证一个项在给定的条约和项目下满足安全需求。3.40 安全规章主管部门 safety regulatory authority通常是一个国家政府机构，负责规定和同意铁路的安全需求并确保铁路遵循这些需求。3.41 系统生命周期 system lifecycle从系统构思开始到系统不能再使用、停运、处理的一段时间发生的活动。3.42 系统失效 systematic failures在某些特定的环境下或某些特定输入组合情况下，在安全生命周期任何阶段的活动中由错误导致的失效。3.43 允许风险 tolerable risk铁路主管部门可承受的产品的最大等级风险。 3.44 确认 validation 用客观证据与检验来确定是否满足指定的预期用途的特定要求。3.45 验证 verification用客观证据与检验来确定是否满足规定要求。注意：关于确认和验证的区分见图11和 5.2.9。4 铁路 RAMS4.1 介绍4.1.1 本条款提供了关于RAMS和RAMS工程的根本信息，其目的是为读者提供足够的背景知识，从而使本标准能有效地运用到铁路系统之中。4.1.2 铁路RAMS对铁路主管部门所提供服务的质量起主导作用。铁路RAMS由几个组成要素定义；因此，本条款的结构如下： 1) 子条款 4.2 考查了铁路RAMS和服务质量的关系。2) 子条款4.3 到 4.8 考查了铁路RAMS的各个方面，即： - RAMS的要素；- 影响RAMS的因素和实现RAMS的方法；- 风险和安全完整性。4.1.3 本条款尽量使用已定义的国际术语以与本标准条款3中定义的铁路领域形成的新术语或公认的术语。4.1.4 在本欧洲标准中，“系统，子系统，部件的顺序用来说明从任意完整应用到其组成局部的细目分类。每个术语系统，子系统，部件的准确界限依赖于特定的应用。4.1.5 系统可定义为用一定的方法组织起来获得特定功能的的子系统和部件的集合。这些功能分配给系统的子系统和部件，且系统的性能和状态随子系统或部件功能的变化而改变。系统对输入作出响应以产生指定的输出，同时和环境交互。4.2 铁路RAMS和服务质量4.1.2 本子条款介绍了关于某项任务的RAMS和服务质量的联系。4.2.2 RAMS是系统的长期运行特征，在系统的整个生命周期内，它由已建立的工程概念，方法，工具和技术来实现。系统的RAMS可作为对系统、子系统或组成系统的部件的规定功能是可用和安全的信赖程度的定性和定量指标的刻画。系统的RAMS在本欧洲标准中是可靠性，可用性，可维护性和安全性RAMS的组合。4.2.3 铁路系统的目标是在指定时间内安全地达到铁路运输的规定水平。铁路RAMS描述了系统能保证实现此目标的置信度。铁路RAMS会明显地影响提供给用户的服务质量。服务质量也受有关功能和性能参数的其它特性影响，例如服务频率，服务规X和费用结构。其关系如图1所示。铁路RAMS其它特性服务质量图1 铁路RAMS与服务质量4.3 铁路RAMS的要素4.3.1 本子条款介绍了铁路领域RAMS各要素，可靠性、可用性、可维护性和安全性，间的相互作用。4.3.2 如果从对安全性要求和可用性要求之间的冲突管理不善就会妨碍获得系统可信性的角度来看，安全性和可用性是内在关联的。铁路RAMS各要素，可靠性、可用性、可维护性和安全性，间的内在联系见图2。4.3.3 只有满足可靠性和可维护性的所有要求，并控制正在进展的或长期的维护和运行活动以与系统环境才能达到运行期间的安全性和可用性目标。4.3.4 某某性，作为表征铁路系统对抗故意破坏与不合理的人员行为的防御能力，可以认为是RAMS的更深层要素。然而，对某某性的考虑超出了本标准的X围。铁路RAMS安全性可用性可靠性和可维护性运行和维护图2 铁路RAMS元素间的联系4.3.5 可用性的技术概念基于以下知识：a) 可靠性,包括：- 指定应用与环境下所有可能的系统失效模式；- 每种失效发生的概率或每种失效发生的几率；- 失效对系统功能的影响。b) 可维护性,包括：- 执行计划维护的时间；- 故障检测、识别和定位的时间；- 失效系统的修复时间计划外维护。c) 运行和维护,包括：- 系统生命周期中所有可能的操作模式和要求的维护；- 人为因素问题。4.3.6 安全性的技术概念基于以下知识：a) 在所有运行、维护和环境模式下系统中所有可能的危险；b) 用危险结果的严重性表示的每个危险的特征；c) 安全性/安全相关的失效,包括：- 所有可能会导致危险的系统失效模式安全相关失效模式，是所有可靠性失效模式的子集 4.3.5(a)；- 每个安全相关系统失效模式发生的概率；- 在应用中，会导致事故的事件(即：导致事故的危险)的顺序和/或并发、失效、运行状态、环境条件等；- 应用中，每个事件、失效、运行状态、环境条件等发生的概率。d) 系统的安全相关局部的可维护性,包括：- 系统中与危险或安全相关失效模式有关的局部与其部件维护的方便性；- 系统中安全相关局部在维护活动期间发生的错误的概率；- 恢复系统到安全状态的时间。e) 系统运行和系统的安全相关局部的维护,包括：- 人为因素对系统的所有安全相关局部的有效维护和系统安全运行的影响；- 用于系统的安全相关局部有效维护和安全运行的工具、设施和过程；- 处理危险并降低其后果的有效控制和措施。4.3.7 系统中的失效，在应用和环境X围内，会影响系统的表现。所有失效都对可靠性产生负面影响，而仅有某些特定失效才会在特定的应用下对安全性有负面影响。环境可能影响系统的功能，进而影响铁路应用的安全性。这些联系见图3。铁路应用环境影响可靠性的负作用干扰威胁失效状态/失效模式铁路系统影响安全性的负面因素安全相关失效模式功能状态图3 系统失效的影响4.3.8 只有考虑了系统中RAMS各要素的相互作用与其规X说明，并获得了系统优化的RAMS组合，才能实现一个可信的铁路系统。4.4 影响铁路RAMS的因素4.4.1 总如此4.4.1 .1 本子条款引入和定义了一个供识别影响铁路系统RAMS的因素，尤其是识别人为因素影响的过程。这些因素与他们的效果是系统RAMS需求规X的输入。4.4.1.2 铁路系统RAMS受来自三个方面因素的影响：来源于在系统生命周期任何阶段引入到系统内部的失效系统条件、运行过程中强加于系统的失效运行条件和在维护活动中强加于系统的失效维护条件。这些失效源能相互作用，其关系见图4，详细内容见图5。RAMS维护条件运行条件系统条件图4 对RAMS的影响4.4.1.3 为实现可信系统，需要识别影响RAMS的因素，评估他们的影响，并在系统生命周期内应用恰当的控制来管理产生这些影响的起因，以便优化系统的性能。4.4.2 因素分类4.4.2.1 本子条款详细描述了定义因素的过程,这些因素将影响系统成功地达到符合规定的RAMS要求。4.4.2.2 从高层面看，工业应用中影响系统RAMS的因素是普遍存在的。图5包含了影响运输系统RAMS的一些普遍的因素，也说明了这些因素之间的相互作用。为了确认影响铁路系统RAMS的具体因素，在指定的系统环境中应考虑每一个普遍的影响因素。4.4.2.3 关于人为因素对系统RAMS的影响，其分析在本标准要求的“系统途径中是固有的。4.4.2.4 人为因素可以规定为人的性格、期望和行为对系统的影响。这些因素涉与到人体解剖学、生理学和心理学等方面。在满足人对健康、安全和工作需求下，人为因素的这些思想指导人们有效地工作。4.4.2.5 铁路应用通常包括广X的人类群体，从旅客、操作人员、维持铁路系统运行的人员到影响铁路运行的其他人员，如平交道口的汽车司机。每类群体都可能以不同的方式反作用于铁路系统。显然，人类对铁路RAMS中的潜在影响是巨大的。因此，在整个系统生命周期内，与许多其它的工业应用相比，为达到铁路RAMS的需求必须更严格控制人为因素。4.4.2.6 人可认为具有有益于铁路系统RAMS的能力。为达到这一目标，在整个生命周期内，应确定和管理人为因素影响铁路RAMS的方式。在系统的设计和开发阶段内，分析应包括人为因素对铁路RAMS的潜在影响。4.4.2.7 尽管在生命周期内对人为因素的考虑具有普遍性，但针对具体的应用人为因素对RAMS的准确影响具有特殊性。4.4.2.8 在具体的铁路系统环境中，应复核通用性因素，包括图5所含的内容。铁路主管部门在招标时应规定所有不可行因素。应评审每一可行的通用性因素，并系统地导出详细的、应用特有的影响因素。人为因素问题整个RAMS管理程序的核心方面在评估时应该说明。4.4.2.9 导出详细影响因素的过程应可通过使用覆盖铁路特定因素4.4.2.10和人为因素4.4.2.11的清单或图5所示的替代图得到。4.4.2.10 导出详细的铁路特定的影响因素应包括对下述每一铁路特定因素的考虑，但不限于此。应注意下述列项是不详尽的，且应根据应用X围和目的进展调整。a) 系统运行：- 系统必须执行的任务和执行该任务的条件；- 在运行环境内旅客、货物、员工和系统的共存；- 系统生命需求，包括系统生命期望、服务密度和生命周期费用的要求。b) 环境：- 物理环境；- 该环境内铁路系统的高度集成；- 在铁路环境中测试整个系统的有限机会。c) 应用条件：- 既有根本设施与系统对新系统的约束；- 在生命周期作业内维持铁路服务的需要。d) 运行条件：- 轨道旁的安装条件；- 轨道旁的维护条件；- 在试运行和运行中已有系统和新型系统的集成。e) 失效分类：- 分布式铁路系统内失效的影响。铁路RAMS可用性安全性维护条件运行条件系统条件环境条件人为因素后勤任务剖面程序技术特性维护性维护程序售后服务人为因素恢复性维护预防性维护任务概要变动人工校正措施人为错误外部干扰内部干扰有条件维护系统失效随机失效定期维护重组模式 要求错误 设计与实现不充分 制造缺陷 内在缺点 软件错误 工作指令不足 指令不充分 人为错误 等等 工作模式 环境 应力降级 磨损 过应力 等等诊断 内部 外部诊断 手动 自动图5 影响铁路RAMS的因素4.4.2.11 导出详细的人为影响因素应包括对下述每一人为因素的考虑，但不只限于此。应注意下述列项是不详尽的，且应根据应用X围和目的进展调整。a) 人机间系统功能的分配。b) 系统内对人的行为的影响，包括：- 人/系统接口；- 环境，包括物理环境和人类工程学的要求；- 人的工作方式；- 人的能力；- 人工任务的设计；- 人的互相配合；- 人工反响流程；- 铁路组织结构；- 铁路文化；- 专业铁路词汇；- 引入新技术带来的问题。c) 源于下述内容的系统要求：- 人的能力；- 人的动机和志向的支持；- 减轻人的行为变动的影响；- 运行安全防护；- 人的反响时间与间隔。d) 源于人类信息处理能力的系统要求，包括：- 人机通信；- 信息传送密度；- 信息传送率；- 信息质量；- 人对异常情形的反响；- 人员培训；- 支持人的决策形成过程；- 造成人员疲劳的其他因素。e) 人和系统接口对系统的影响，包括：- 人/系统接口的设计和操作；- 人为错误的影响；- 人员故意违反规如此的影响；- 系统中人的干预和参与；- 人的系统监控和滥用；- 人对风险的感知；- 在系统关键X围内人所牵连的事务；- 人预测系统问题的能力。f) 系统设计与开发中的人为因素，包括：- 人的能力；- 设计中人的独立性；- 验证和确认中人所牵连的事务；- 人与自动化工具之间的接口；- 系统失效预防程序。4.4.2.12 推荐使用图表法来导出详细的因素，例如使用因果图。图6是一个简单的因果图。环境文件组织/管理目标配置人设备系统运行/维护铁路RAMS图6 因果图示例4.4.3 因素管理每一影响因素对具体的铁路系统RAMS的潜在影响应在适合于该具体的铁路系统的某一级别上进展评估。这一评估应考虑在生命周期的每一阶段内各个因素的影响，且应在适合于该具体铁路系统的级别上。评估应该考虑有关影响因素的相互作用。对于人为因素来说，该评估也应考虑彼此相关的每个因素的作用。4.5 实现铁路RAMS需求的方法 4.5.1 总如此 实现铁路RAMS需求的方法与对整个系统生命内影响RAMS因素的控制相关联。有效的控制要求建立对在系统的实现和维持中引入的错误源进展防护的机制和程序。这些防御措施需要考虑随机失效和系统失效。 实现RAMS需求的方法基于采取预防措施，使在生命周期阶段由错误所引起损伤的概率最小。预防措施是如下的组合：a) 预防：降低损伤发生的概率；b) 防护：降低损伤后果的严重性。4.5.1.3 实现系统RAMS需求的策略，包括预防和/或防护措施的使用，应被证明是正确的。4.5.2 RAMS 规X4.5.2.1 RAMS需求的规X是一个复杂的过程。在本标准详述的过程根底上，附录A举例提供RAMS需求规X的概要。基于本标准的要求，附录B提供了概述RAMS规划定义的步骤示例。这两个参考性附录仅起指导作用，并以机车车辆为例一起编辑。附录B中还包含了适当的RAMS分析工具一览表。选择一个适宜的工具取决于所考核的系统与因素，如其危险程度、新颖性、复杂程度等。4.5.2.2 表1定义了适用于铁路应用的RAMS失效的种类。表1 RAM失效目录失效种类定义重大停车失效产生导致阻止列车运行或远大于规定延误时间的服务或大大超出指定费用等级的失效。主要的服务失效- 系统为获得规定性能必须整修的失效；- 不导超出重大失效中规定的费用和延误最小限定的失效。次要- 不妨碍系统实现规定性能的失效；- 不符合重大失效和主要失效标准的失效。 附录C参考性列出了表征铁路系统可靠性、可维修性、可用性、后勤保障和安全要求的适当参数，特殊参数取决于具体系统。所有使用的RAMS参数应在铁路主管部门与铁路支承工业之间达成一致。当参数可以用可互换的不同量纲表示时，应提供它们之间的变换因子。4.6 风险4.6.1 风险概念风险的概念由以下两个要素组成：- 导致危险的事件或事件组合发生的概率或这些事件发生的频率；- 危险的后果。4.6.2 风险分析4.6.2.1 在系统生命周期的各个阶段，风险分析应由负责该阶段的主管部门来进展，并应形成文件。该文件至少应包括：a) 分析方法学；b) 方法学的假设、限制和判据；c) 危险鉴定结果；d) 风险估计结果和置信度水平；e) 折衷选择的研究结果；f ) 数据与其来源与置信度水平；g) 参考文件。4.6.2.2 表2用定性的术语提供铁路系统中危险事件发生概率或频度的典型分类，并对每类进展描述。这些类别与其数值、采用的数值定标应由铁路主管部门规定并与具体的应用相适应。表2 危险事件出现的频度分 类定 义频 繁频繁的出现，危险将一直存在经 常发生屡次，危险可以预期经常出现有 时可能发生几次，危险预期有几次出现很 少在系统生命周期的某个时期可能发生，危险能合理地预期出现极 少不太可能发生但可能存在，可假定危险可极少出现几乎不可能几乎不可能发生，可假定危险不会发生4.6.2.3 后果分析应可用于估计可能的影响。表3对所有铁路系统描述了典型的危险严重等级和每个严重等级的相关后果。所应用的严重等级数值和每个严重等级的后果由铁路主管部门规定并与具体的应用相适应。表3危险严重等级严重等级对环境或人的影响给服务带来的后果特大多人死亡，和/或是多方面的严重伤害，和/或对环境的严重损害重大一人死亡，和/或是单个严重伤害，和/或是对环境产生明显的损害主系统受损次要较小的损伤和/或对环境的明显影响严重的系统损害轻微可能存在的较小的伤害较小的系统损害4.6.3 风险评估和验收4.6.3.1 本子条款论述了“频度-后果矩阵的构成，它用于风险分析结果评估、风险分类、降低风险或消除不容许风险的措施和风险验收。4.6.3.2 风险评估应结合危险事件的发生频度与其后果的严重性用于确定危险事件产生的风险等级来进展。“频度后果矩阵见表4所示。表4 频度后果矩阵危险事件的发生频度风 险 等 级频繁经常有时很少极少几乎不可能轻微次要重大特大危 险 后 果 的 严 重 等 级4.6.3.3 风险验收应基于普遍公认的原如此。可以利用的原如此有许多，如下面的几个例子这些原如此的更多信息见附录D： 低到适当可行原理ALARP原理在英国使用； GAMAB原理法国使用。这个原理的完整表述是：“所有新型的导向式运输系统必须提供一个风险等级，此等级整体上至少与任何等效的现有系统所提供的等级一样好。 最小内在死亡率MEM原理在德国使用。表5规定了定性的风险分类与应对防X每一类风险的措施。铁路主管部门应负责规定所采用的原如此、容许风险等级和可分成不同风险种类的标准。表5 定性的风险种类风险种类对每一类风险所采取的防X措施不容许的应该消除不希望的当风险降低不可行时，应经过铁路主管部门或安全规章主管部门同意后方可承受容许的采用充分控制并经铁路主管部门同意后可以承受可忽略的有或无铁路主管部门同意均可承受4.6.3.4 表6给出了风险评估和用于风险验收的风险降低/控制的例子。表6 风险评估和验收的典型例子危险事件发生的频度*风 险 等 级频繁不容许的不容许的不容许的经常容许的不容许的不容许的有时容许的不容许的很少可忽略的容许的极少可忽略的可忽略的容许的容许的几乎不可能可忽略的可忽略的可忽略的可忽略的轻微次要重大特大危 险 后 果 的 严 重 等 级* 危害性事件发生频度的定标取决于具体的应用 (4.6.2.2)不容许的不希望的容许的可忽略的风险评估风险降低/控制应该消除不经同意就可承受经充分控制并经铁路主管部门同意后可以承受只有当风险降低不可行时才可承受，并且需要铁路主管或安全主管机构的同意4.7 安全完整性4.7.1 以风险评审过程的结果为根底，当设定了应用的安全等级并已并估计了必要的风险降低后，就能导出应用中系统与部件的安全完整性要求。安全完整性可以认为是定量元素一般和硬件有关，如随机失效和非定量元素一般与软件、规格说明、文挡、程序等的系统失效有关的组合。为达到安全性目标等级，外部风险降低设施和系统本身风险降低设施应和系统要求的必要风险降低相匹配。4.7.2 系统功能的安全完整性的置信度可以通过有效地组合特定的系统结构、方法、工具和技术来得到。安全完整性与获取要求的安全功能的失效概率相互关联。功能的安全完整性要求越高，如此实现所需的费用越昂贵。对铁路系统，本标准没有规定安全完整性和失效概率之间的相互关系，但应注意在IEC61508标准中定义了它们的一般关系。在铁路应用中，这个关系的定义是铁路主管部门的职责。但本标准规定的管理过程是通用的，并可适用于任何相关性，只要单独的主管部门或与欧洲铁路主管部门一道同意。4.7.3 系统安全功能应使用其它相关标准规定的体系结构、方法、工具和技术来实现。例如，EN50128定义了开发软件系统的方法、工具和技术，EN50129定义了铁路电子信号系统验收和审准的程序。4.7.4 安全完整性根本上是为安全功能规定的。安全功能应分配给安全系统和/或外部风险降低设施。为使整个系统的设计与费用最优化，分配程序是反复进展的。4.7.5 只有有效地实施安全计划与RAMS规划，才能获得对最终系统实现与RAMS需求相一致的能力的置信度。4.7.6 应注意与产品安全完整性相关的以下几点：a) 系统的安全功能和相应的安全完整性受系统使用环境的影响。b) 当用与指定安全完整性相应的方法、工具和技术开发产品时，可声明该产品是安全完整性等级为“X的产品。此声明明确产品在规定环境条件下、在某个完整性级别上具有指定的功能。c) 图7表示商业“现货供给产品在不同的应用中用途可以不同。例如产品A在系统1和系统2中实现不同的功能。因此，产品必需的安全完整性随应用的不同而改变。所以，为确保与系统的整体要求相一致，在一个系统中使用产品之前，应估计对产品的规定环境与功能的限制和约束。系统1系统商业“现货供给产品图7 鉴定的安全系统产品CCBA系统2CCCCBBAA4.7.7 应用SIL概念之前，应该考虑以下要求：a) 恰当可用的SIL等级应由安全专家来确定，推荐使用不超过4个等级。b) 一个SIL应只分配给一个“要素，即能实现一个或多个简单功能且可被一个实现一样功能的设备代替的独立设备。通常这个“要素是最底层的设备，在第一级修复性维护工作中可以替换。c) 对于所考核的系统，产品所在的环境是极其重要的，在对产品的安全要求比拟时，应审查现货供给产品的已鉴定的SIL与鉴定方法是否满足全部条件。 d) 一个SIL只说明产品安全性置信度的一个期望等级。如本标准4.3所述，安全性要求和可用性要求在铁路运输X围内是相互关联的。SIL并没有考虑到系统的所有方面，因此只考虑SIL是不够的如：降级运行模式和处于备用状态有不同的安全要求等等。4.8 失效-安全概念4.8.1 针对安全性本标准采用了广泛的、风险管理的方法。此方法与由铁路工程师所恰当建立的失效-安全概念一致。4.8.2 自铁路初期就已使用固有的失效-安全概念。该概念依赖于一系列的假设，基于使用具有明确失效模式的部件，并且在该部件某一组成局部失效时存在一个安全状态。对所有这样器件进展排列以使按此排列构造的系统只具有无失效存在时的容许状态。4.8.3 通常，该概念的有效性以经验为根底，但对利用商用微机的大型复杂系统的开发和使用，该概念的应用有局限性。使用这些部件时，考虑到失效组合数值的指数增长，通常意味着确定性的方法是不可行的。在这样复杂的系统中，可以有效地使用概率法。4.8.4 与类似的其他确定性的方法一样，失效-安全方法对系统的部件也是有效的，本欧洲标准对其并不排斥。不管采用何种方法，都必须与指定的系统RAMS要求相一致。5 铁路RAMS管理5.1 总如此5.1.1 本条款定义了一个管理流程，它以系统生命周期为根底，能控制铁路应用特有的RAMS因素。该流程包括：- RAMS需求的定义；- 影响RAMS的评估与控制；- RAMS任务的计划与实施；- 与RAMS需求一致性的实现；- 生命周期内实施的对一致性的监控。5.1.2 虽然铁路RAMS是该标准的核心内容，但RAMS只是整个铁路系统诸多方面之一。本款定义了对RAMS进展管理的系统化流程，此流程是涉与整个铁路系统所有方面的综合管理方法的一个组成局部。5.1.3 对于任何铁路主管部门，其铁路系统的容许安全风险取决于国家安全规章主管部门或铁路主管部门自身经安全规章主管部门同意制定的安全标准。铁路主管部门的主要职责是评估风险、控制风险并使风险降至最小。有些情况下，制订法规需要提供正式的论证系统安全充分性的证据。5.2 系统生命周期5.2.1 系统生命周期是一个阶段序列每一阶段均包含有任务，覆盖从初始概念阶段到停用与处理阶段的整个生命周期。在系统经历各阶段时，生命周期提供一个计划、管理、控制和监控系统所有方面包括RAMS的结构，以便在协商的时间阶段内以准确的价格交付正确的产品。生命周求概念是成功实施本标准的根底。铁路应用X围内相应的系统生命周期见图8。对于生命周期每个阶段的主要任务在图9中概述。此图明确RAMS任务是项目通用任务的组成局部。通用任务不在本标准考虑X围之内，但代表普通工业的实践。每个阶段与中与项目通用任务相关的RAMS任务和RAMS任务的需求将在本标准随后的条款中详细说明。概念 1停用和处置 14运行和维护 11系统定义和应用条件 2风险分析 3系统需求 4系统需求的分配 5设计和实现 6制造 7安装 8系统验证包括安全验收和试运行 9系统验收 10性能监控 12修改和更新 13重新应用风险分析注2重新应用生命周期注1注1：修改良入生命周期的阶段取决于待修改的系统和所考虑的特定修改。注2：在生命周期中的几个阶段中可能要重复进展风险分析见6.3.1的d项。图8 系统生命周期生命周期阶段本阶段的一般任务本阶段的RAM任务本阶段的安全性任务1概念确定铁路项目的用途和X围；定义铁路项目概念；进展财务分析和可行性研究；设立管理机构；回顾先前达到的RAM性能；考虑项目蕴涵的RAM；回顾先前达到的安全性能；考虑项目蕴涵的安全性；回顾安全方针和安全目标；2系统定义和应用条件确定系统任务剖面；拟定系统描述；确定运行和维护策略；确定运行环境；确定维护环境；确定现有根底设施约束的影响；评估RAM过去的经验数据；进展初步RAM分析；制定RAM方针；确定长期运行和维护条件；确定现有根底设施约束对RAM的影响；评估安全性过去的经验数据；进展初步危险分析；建立整体安全计划；定义容许风险准如此；确定现有根底设施约束对安全性的影响；3风险分析见注6开展与项目相关的风险分析完成系统危险性和安全性风险分析；建立危险日志；完成风险评估；4系统需求开展需求分析；明确描述系统所有的要求；明确描述环境；定义系统论证和验收准如此所有的要求；建立确认计划；确定管理、质量和组织需求；实施变更控制程序明确全面的系统RAM要求；明确全面的RAM验收准如此；明确系统功能结构；建立RAM规划；建立RAM管理；明确系统全面的安全要求；定义安全全面的验收准如此；定义安全相关的功能要求；建立安全管理；5系统需求分配系统需求分配- 明确子系统和部件要求- 定义子系统和部件验收准如此系统RAM要求分配- 明确子系统和部件的RAM要求- 定义子系统或