EN50126中文-RAMS的规范和论证

1、en50126铁路设施-可靠性、可用性、可维修性和安全性（rams）的规范和论证前言英国标准是en50126：1999的英文版。该标准的英方筹备者为gel/9技术委员会的铁路电气技术应用部门，他们负责：- 帮助咨询者了解文件内容- 向负责的欧洲委员会提交所有针对条文解释的询问，或修改提议。并通知英方。- 关注全球和欧洲的发展情况，并将信息在英国进行发布。该委员会的组织列表可向它的秘书处索取。互见条目英国标准的国际或欧洲出版物中关于该文件的内容可在bsi标准目录的“国际标准索引”部分找到，或可在bsi标准电子目录中运用“find”功能进行查找。英国标准不声称囊括一个合同的所有必须条款。英国标准的

2、使用者应对他们的正确应用负责。符合英国标准并不意味着自身可免除法律责任。概览本文件包含一个封面、一个内封面、en标题页、第270页、一个内封底和一个封底本文件中的bsi版权声明列出了它的最后签发日期。英国标准在电气技术部门委员会的指导下筹备，在标准委员会的授权下出版，并于1999年12月15日生效出版后的修订修订编号日期备注欧洲标准en 50126英文版铁路设施-可靠性、可用性、可维修性和安全性（rams）的规范和论证1998年10月1日，该欧洲标准通过cenelec的审批。cenelec成员有义务遵守内部规章。规章规定了该欧洲标准可不做任何改动即成为国家标准。该国家标准的相关最新列表和参考文

3、献可向中心秘书处或任一cenelec成员申请获得。该欧洲标准有三种官方版本（英文、法文和德文）。其它语言版本由cenelec成员负责翻译完成。他们将其译成本国语言并通知中心秘书处。这些版本与官方版本具有同等地位。cenelec成员为澳大利亚、比利时、捷克、丹麦、芬兰、法国、德国、希腊、冰岛、爱尔兰、意大利、卢森堡、新西兰、挪威、葡萄牙、西班牙、瑞典、瑞士和英国的国家标准机构。cenelec电气技术标准欧洲委员会中心秘书处：前言该欧洲标准由技术委员会cenelec tc 9x铁路电气和电气设施部门拟订。1998年10月1日草案被正式提交表决，并通过cenelec审批，成为en50126标准。下列

4、日期已确定：- 通过发布国家标准或通过背签，规定标准必须作为国家标准执行的最终期限- 标准与国家标准有冲突的部分必须撤消的最终期限附录中的“标准”为标准的一部分附录中的“提示”只提供信息本标准中，附录a到e为提示内 容引言1 范围2 引用标准3 定义4 铁路rams4.1 介绍4.2 铁路rams和服务质量4.3 铁路rams的元素4.4 影响铁路rams的因素4.4.1概述4.4.2因素类别4.4.3因素管理4.5 达到铁路rams要求的方法4.5.1概述4.5.2rams规范4.6风险4.6.1风险理念4.6.2风险分析4.6.3风险评估和验收4.7安全完整性4.8自动防止失效理念5铁路r

5、ams管理5.1概述5.2系统生命周期5.3本标准的应用6rams生命周期6.1第1阶段：构思6.2第2阶段：系统定义和应用条件6.3第3阶段：风险分析6.4第4阶段：系统要求6.5第5阶段：系统要求分配6.6第6阶段：设计和执行6.7第7阶段：制造6.8第8阶段：安装6.9第9阶段：系统验证（包含安全验收和调试）6.10第10阶段：系统验收6.11第11阶段：操作和维修6.12第12阶段：性能监控6.13第13阶段：改进和改型6.14第14阶段：退役和报废附录a（信息）rams规范纲要 - 示例附录b（信息）rams程序附录c（信息）铁路标准示例附录d（信息）若干风险认可原则示例附录e（信息

6、）贯穿生命周期的rams过程中的职责83-图图1：服务质量和铁路rams图2：铁路rams元素的内部关系图3：系统中的失效影响图4：对rams的影响图5：影响铁路rams的因素图6：原因/效果图示例图7：安全系统中的产品鉴定图8：系统生命周期图9：项目阶段相关任务（表2-2）图10：“v”形表示法图11：验证和检验图12：系统实现过程中的rams构建和管理表表1：ram失效类别表2：危险事件的发生频率表3：危险严重等级表4：频率-后果矩阵表5：风险定性类别表6：风险评估和认可的典型示例表b.1：基本rams程序纲要示例表c.1：可靠性标准示例表c.2：可维修性标准示例表c.3：可用性标准示例表

7、c.4：物流服务标准示例表c.5：安全性能标准示例引言本欧洲标准向整个欧盟范围内的铁道部和铁路业务部门提供一个运作过程，实现对可靠性、可用性、可维修性和安全性（首字母组成rams）的持续管理。对rams要求的规范和论证过程是本标准的核心内容。本标准的目标为促进rams的普及和管理。该欧洲标准可由铁道部和铁路业务部门在铁路设施生命周期的所有阶段系统执行，以建立铁路特定的rams要求，并满足这些要求。由本欧洲标准定义的系统管理便于对复杂铁路设施各元素间rams的相互作用进行评估。该欧洲标准推动了铁道部和铁路业务部门在各种采购策略方面的合作，以获得铁路设施的rams和成本的优化组合。该欧洲标准的采用

8、将支持欧洲单一市场的原则，便于欧洲铁路的交互运作。由该欧洲标准定义的运作过程假设铁道部和铁路业务部门具有商业政策规定的质量、业绩和安全性。本标准定义的管理与iso9000系列国际标准中的质量管理要求相一致。1 范围1.1本欧洲标准- 在可靠性、可用性、可维修性和安全性以及它们的相互作用方面定义了rams- 定义了一个运作过程，它基于系统生命周期和任务，用于管理rams- 使rams各元素间的冲突得到有效的控制和管理- 定义了一个系统过程，列出rams要求，并说明如何满足这些需求- 列出铁路规范- 没有定义rams目标、数量、特殊铁路设施的要求或解决方案- 没有规定确保系统安全性的要求- 没有定

9、义证明铁路产品不符合本标准要求的规则或方法- 没有定义安全管理部门的审批程序1.2本欧洲标准适用于：- 所有铁路设施和设施所有级别的rams规范和论证，从完整的铁路线路到铁路线路中的主要系统，直到主系统中单个和组合的子系统和元件，还包括它们所含的软件，尤其是：- 新系统- 现有系统（在执行本标准前已投入运作）中集成的新系统，即使它不普通适用于现有系统的其它方面- 现有系统（在执行本标准前已投入运作）的改造，即使它不普通适用于现有系统的其它方面- 设施生命周期的所有相关阶段- 供铁道部和铁路业务部门使用注意本标准的要求中列出了适用性指导2引用标准本欧洲标准含有对其它标准条款的注日期或未注日期的引

10、用。引用标准见下方列表，它们被引用在本标准的适当地方。对于注日期的引用，这些标准如有后续修改或修订，只有通过对本标准进行修改或修订将其涵盖在内，才可适用。对于未注日期的引用，适用标准的最新版本。en iso 90011994质量体系-设计、研制、生产、装配和维修的质量认证规范en iso 90021994质量体系-生产、装配和维修的质量认证规范en iso 90031994质量体系-最终检测的质量认证规范en 50128铁路设施-铁路控制和防护系统软件en 501291998铁路设施-电子信号系统的安全性iec 60050（191）1990国际电工词汇-第191章：可靠性和服务质量iec 61

11、508系列电气/电子/可编程序的电子安全相关系统的功能安全3 定义本标准包含以下定义。3.1 分配在系统的各组成项之间细分系统rams元素的一个过程，用于制定单个目标。3.2评估进行一项调查，依据证据对产品适用性进行评估。3.3审计一项系统和独立的检查，确定针对产品要求进行的程序是否与预先规划相一致，是否被有效执行，以及是否达到特定的目标。3.4可用性假设具备所需外部条件的情况下，在给定时间段或给定时间间隔内，产品实现所需功能的能力。3.5调试一系列动作的合称，为使系统或产品满足具体要求而进行的准备。3.6共因失效一个或多个事件引发的故障，导致两个或更多元件的共同失效，最终导致系统无法实现所需

12、功能。3.7一致性论证产品的性能或特质满足规定要求。3.8配置管理运用技术和行政导向和监督，定义和记录一个配置项目的功能和物理特性，控制这些特性的改变，记录和报告改变过程和执行状态，验证是否符合具体要求。3.9矫正性维修失效识别后进行的维修，使产品可实现所需功能。3.10从属失效一系列失效事件，发生的可能性不能简单地解释为单个事件不可避免的发生。3.11停工时间产品处于停工状态的时间间隔（iec 60050（191）3.12失效原因在设计、制造或使用中导致失效的情况（iec 60050（191）3.13失效模式某个项目预计的或观察到的失效结果，它与失效发生时的操作条件相关3.14失效率条件概率

13、的极限（如果存在的话）：在给定的时间间隔（t,t+t），间隔长度为t，当t趋向零，产品失效的时间段t降低。假定时间间隔初期，t处于上升状态。3.15错误模式对于一个给定的功能需求，一个失效产品可能的所处状态。3.16失效树形分析一种分析方法，用于确定哪种产品和子产品的错误模式、外部事件或它们的组合可能导致某种产品错误模式。该方法以失效树的形式表示。3.17危险会潜在造成人员伤害的物理状态。3.18危险日志记录或引用安全管理行动、危险识别、作出决定和采用方案的文件。也被称为“安全日志”（env 50129）3.19物流服务安排和组织整体资源，以便于在规定的可用级和要求的生命周期成本内操作和维护系

14、统。3.20可维修性在规定的时间和规定的条件下，按规定的程序和手段实施维修时，元件或系统在规定的使用条件下，保持或恢复能执行规定功能状态的能力。3.21维修所有技术和管理行为的组合，包括监督行为，使产品保持（或恢复到）一个状态，以便于执行一项所需功能。（iec 60050（191）3.22维修规则描述一个维修项目适用的维修级别、维修约定级和维修等级之间的内部关系。（iec 60050（191）3.23任务对系统执行的基本任务的客观描述。3.24任务概述任务预期范围和变化的概述，涉及生命周期中可运行阶段的时间、负载、速度、距离、站点、隧道等参数。3.25防护性维修在预先确定的时间间隔或按照规定的

15、标准进行维修，以便于降低失效发生的可能性或防止某一部分功能的减弱。（iec 60050（191）3.26铁道部对铁路系统的运行负有全责的一方。注意：铁道部对整个系统或它的部件以及分配给一方或多方的生命周期行为负责。例如：- 系统资产的一个部分或多个部分的拥有者和他们的采购代理- 系统的运营方- 系统一个或多个部分的维修方- 等这些任务分配可依据法定文件或商定的协议。在系统生命周期的最初阶段，应明确这些职责。3.27铁路业务部门统称整个铁路系统、它们的子系统或元件的供应商。3.28ram程序关于设定时间的行为、资源和事件的一组文件。它们用于设定组织结构、职责、程序、行为、能力和资源，确保满足规定

16、合同或项目的规定ram要求（iec 60050（191）3.29rams首字母缩写词，表示可靠性、可用性、可维修性和安全性的组合3.30可靠性在规定时间间隔（t1, t2）和规定条件下，执行所需功能的可能性3.31可靠性提高随时间推移可靠性得到提高的一种状态3.32修理矫正性维修中手动修理的部分3.33复位发生错误后，恢复执行所需功能的能力。(iec 60050(191)3.34风险造成伤害的危险的发生率和伤害严重程度3.35安全性避免不可接受的伤害风险3.36安全情况报告说明产品符合规定安全要求的文件3.37安全完整性在规定的时间范围内和所有规定的条件下，系统能令人满意地执行所需安全功能的可

17、能性3.38安全完整性等级（sil）定义处理级别的一个数字，用于规定分配给安全相关系统的安全功能的安全完整性要求。安全完整性等级数字最高的具有最高安全完整性。3.39安全计划关于设定时间的行为、资源和事件的一组文件。它们用于设定组织结构、职责、程序、行为、能力和资源，确保满足规定合同或项目的规定安全性要求（iec 60050（191）3.40安全管理部门通常由国家政府部门负责制定或审批铁路的安全性要求，并确保铁路符合要求。3.41系统生命周期一段时间内的行为，始于系统构思，终于系统不再被使用、退役或报废。3.42系统性失效在所有阶段，任何安全生命周期行为中的错误导致的失效，它使系统在某些特殊输

18、入组合或某些特殊环境条件下出错。3.43可接受风险铁道部可接受的产品最大风险等级。3.44验证通过检查和提供客观证据，确定一项特定应用的特殊要求被满足。3.45证明通过检查和提供客观证据，确定规定要求被满足。注意证明和验证的区别参见图 11和5.2.9章节4 铁路rams4.1 概述4.1.1 本标准的第4条款提供了rams和rams工程的基本信息。本条款的目的在于向读者提供充足的背景信息，以便于本标准在铁路系统的有效推行。4.1.2 铁路rams对铁道部提供的服务质量起关键作用。铁路rams是由几个影响因素确定的，因此，本欧洲标准具有如下结构：1) 子条款4.2检查铁路rams和服务质量之间

19、的关系2) 子条款4.3到4.8检查铁路rams的各个方面，主要是：- rams元素- 影响rams的因素和达到rams要求所需的因素- 风险和安全完整性4.1.3 本条款中会用到一些国际定义的名词，对于所需的新名词或铁路文件中专门定义的专用名词，请参见第3条款4.1.4 在本欧洲标准中，序列“系统、子系统、元件”用于将整体应用分解到它的构成部件。每个名词（系统、子系统和元件）的精确界定依据具体应用而定。4.1.5 系统可定义为子系统和元件的组装，它们按设定的方式相互连接，以实现特定的功能。功能被分配给系统中的子系统和元件，如果子系统或元件的功能发生改变，系统的行为和状态也会改变。系统针对输入

20、的反应会产生特定的输出，同时与环境相互作用。4.2 铁路rams和服务质量4.2.1 本子条款介绍运营过程中rams和服务质量之间的关系4.2.2 rams是系统长期运行中的一个特性。它通过在系统生命周期中建立工程构想、途径、工具和技术来实现。一个系统的rams可被看作一个质量性的特征，显示在多大程度上能依赖该系统或组成该系统的子系统和元件完成规定的功能，同时保证可用性和安全性。系统rams，在本欧洲标准中，是可靠性、可用性、可维修性和安全性的组合，即rams。4.2.3 铁路系统的目标是在给定的时间内达到一个设定的铁路运送等级，同时保证安全。铁路rams描述了怎样的系统可保证达到这个目标。铁

21、路rams会影响对乘客的服务质量。其它特性如功能和绩效也会影响服务质量，如影响服务频率、服务的规律性和票价结构。图1显示了这些关系。服务质量其它因素铁路rams图1-服务质量和铁路rams4.3 铁路rams的元素4.3.1 本子条款介绍铁路系统中rams元素（可靠性、可用性、可维修性和安全性）之间的相互作用。4.3.2 安全性和可用性是有内在联系的，安全性或可用性的薄弱或对两者之间的冲突无法调和会阻碍一个可靠系统的实现。铁路rams元素（可靠性、可用性、可维修性和安全性）之间的内在关系参见图2。4.3.3 只有当所有可靠性和可维修性要求得到满足，并且对进行中的、长期的、维修和操作行为以及系统

22、环境进行控制，才能达到服务安全性和可用性的目标。4.3.4 防护性，作为铁路系统针对破坏和个人不合理行为的自我恢复能力，可被看作rams的一个进阶元素。但是，对于防护性的探讨不属于本标准的范围。铁路rams安全性可用性可靠性和可维修性运行和维修图2-铁路rams元素之间的内部关系4.3.5 可用性的技术概念基于以下几个方面：a)可靠性与以下几项的关系- 在特定应用和环境中，所有可能的系统失效模式- 每个失效发生的可能性，或发生率- 失效对系统功能的影响b)可维修性与以下几项的关系- 执行计划维修的时间- 检测、识别和定位错误的时间- 发生错误的系统复位的时间（计划外维修）c)运行和维修与以下几

23、项的关系- 在系统生命周期中，所有可能的操作模式和所需维修- 人员因素4.3.6 安全性的技术概念基于以下几个方面：a) 所有运行、维修和环境模式下，系统中所有可能的危险b) 每个危险的特性与它的后果严重性的关系c) 安全性/与安全性相关的失效与以下几点的关系- 所有系统失效模式都会导致一个危险（与安全性相关的失效模式）。这是所有可靠性失效模式（a）的一个子集。- 每个与安全性相关的系统失效模式发生的可能性- 运行中会导致事故的事件、失效、工作状态、环境条件等的顺序和/或巧合。- 运行中每个事件、失效、工作状态、环境条件等发生的可能性d) 系统中与安全性相关的部件的可维修性与以下几项的关系：-

24、 对系统的这些方面、系统部件、与危险（或安全失效模式）相关的元件进行维修的难易程度- 对与安全性相关的系统部件的维修过程中，发生错误的可能性- 系统复位到安全状态的时间与安全性相关的系统部件的系统运行和维修与以下几项的关系：- 人员因素，它对所有与安全性相关的系统部件的有效维修和系统安全运行产生影响- 工具、设备和程序，用于对与安全性相关的系统部件进行有效维修和安全运行- 有效控制手段和方式，用于危险处置和后果减轻4.3.7 系统失效，受设施和环境制约的运营将对系统行为产生影响。所有失效都对系统可靠性有反作用，在特殊应用中只有一些特定的失效会对安全性产生反作用。环境也会影响系统的功能性，接着是

25、铁路设施的安全性。图3显示了这些关系：铁路应用环境故障威胁对可靠性产生反作用铁路系统功能状态失效状态/对安全性产生反作用失效模式安全性相关的失效模式图3-系统中失效的影响4.3.8 只有综合考虑系统rams各元素之间的相互作用和技术规范，并实现系统rams的优化组合，才能获得一个可靠的铁路系统。4.4 影响铁路rams的各个因素4.4.1 概述4.4.1.1 本子条款介绍和定义了一个运行过程，用于确定影响铁路系统rams的因素，特别是人为因素的影响。这些因素和它们的作用是系统rams要求规范的一个输入。4.4.1.2 有三种情况会影响铁路系统的rams：在系统的生命周期（系统条件）的任何阶段系

26、统内部发生错误；操作过程中（操作条件）外部加于系统的错误；维修行为中（维修条件）外部加于系统的错误。这些错误会相互作用。图4显示了这些关系，图5进行了详细描述。rams系统条件 操作条件 维护条件图4 - 对rams的影响4.4.1.3 为了获得可靠的系统，需对影响系统rams的因素进行认识，对它们的影响进行评估，并在整个系统生命周期内对这些影响的诱发因素进行管理。这些可通过进行适当的控制和优化系统性能来实现。4.4.2 因素类别4.4.2.1 本子条例详述了一个运行过程，用于定义影响成功实现一个符合特定rams要求的系统的因素。4.4.2.2 在更高层面上，这些影响系统rams的因素是通用的

27、，适用于所有工业应用。图5显示了影响运输系统rams的一些一般性因素。这张图也显示了这些因素之间的相互作用。为了确定影响铁路系统rams的具体因素，需针对具体系统研究每一个一般性的影响因素。4.4.2.3 对于人为因素对系统rams影响的分析，是本标准要求的“系统实现”包含的内容。4.4.2.4 人为因素可被定义为人员特性、预期和行为对系统的影响。这些因素包括人的构造上的、生理上的和心理上的各个方面。关注人为因素（归因于人员对健康、安全和工作满意程度的需求），可使人高效且有效地进行工作。4.4.2.5 铁路设施一般会包含大量的人员组，从乘客、运营人员和负责系统完善的人员，到受铁路运营影响的人员

28、，例如水平交叉处的车辆驾驶员。每个人员会对情况采取不同的应对。因此，人员对铁路系统rams的潜在影响非常大。相应的，相对于许多其它工业设施，实现铁路rams要求在整个系统生命周期内对人为因素进行更严格的控制。4.4.2.6 人员有能力对铁路系统rams产生积极贡献。为了达到这个目标，应确定人为因素影响铁路rams的方式，并在整个生命周期对其进行管理。包括在系统的设计和研发阶段，分析人为因素对铁路rams的潜在影响。4.4.2.7 如需确定人为因素在生命周期中是一般性因素，需考虑人为因素对具体应用的rams的确切影响。4.4.2.8 需对当前铁路系统的一般性影响因素（包括图5所示的因素）进行审核

29、。铁道部应在招标中规定所有不可接受的因素。应对每一个可接受的一般性因素进行评估，并系统性地推导出对设施产生影响的具体因素。人为因素作为整合rams管理过程的一个核心内容，需被包含在该评估中。4.4.2.9 运用含盖铁路特定因素（4.4.2.10）和人为因素（4.4.2.11）的两张检查表，或图5中的描述，可推导出具体的影响因素。铁路rams安全性 可用性系统条件 操作条件 维修条件可维修性 技术特性环境条件 人为因素 过程 任务纲要 物流 人为因素 维修程序 物流 内部干扰 外部干扰 人为错误 人员相应行为 任务纲要变化 防护性维修 矫正性维修系统失效偶发失效 重新配置模式 定期维修 状态维修

30、 要求方面的错误 操作模式诊断 诊断 设计和应用方面的不足 环境 手动 内部 制造缺陷 压力降低 自动 外部 内在缺陷 磨损 软件错误 压力过大 操作说明不完善 等 瞬时不足？ 人员错误 等 图5 - 影响铁路rams的因素 4.4.2.10 对具体影响铁路的因素的推导应考虑（但不仅限于）以下各个铁路特定因素。应注意以下检查表并不是绝对周全的，需根据设施的范围和目的进行修改。a) 系统运营：- 系统需完成的任务和执行任务所处的条件- 在操作环境中乘客、货物、人员和系统的共处- 系统生命要求，包括系统生命预期、服务强度和生命周期成本要求b) 环境：- 物理环境- 环境中的铁路系统高级整合- 铁路

31、环境中测试完整系统的限定机率c) 设施条件- 现存的基础设施和系统对新系统的束缚- 在工作生命周期中对铁轨设备进行维护的需求d) 运营条件- 轨道基础的安装条件？- 轨道基础的维修条件？- 运营和调试中现有系统和新系统的整合。e) 失效种类- 分布式铁路系统中的失效影响4.4.2.11 对具体的人为影响因素的推导应考虑（但不仅限于）以下各个人为因素。应注意以下检查表并不是绝对周全的，需根据设施的范围和目的进行修改。a) 在人和设备之间进行系统功能配置b) 系统中以下因素对人员绩效的影响：- 人员/系统界面- 环境，包括物理环境和人体工程要求- 人员工作方式- 人员的竞争力- 人员任务的设置-

32、人员的相互配合- 人员的反馈过程- 铁路的组织结构- 铁路文化- 专业的铁路用语- 应用新技术引发的问题c) 以下几点引发对系统的要求：- 人员竞争力- 对人员的动力和愿望的支持- 减少人员行为改变带来的影响- 操作性的安全防护- 人员反应的时间和空间d) 人员信息处理能力对系统的要求包括：- 人/机交流- 信息传送密度- 信息传送率- 信息质量- 人员对非正常情况的反应- 人员培训- 支持根据人员决定进行处理？- 对人员应变能力产生影响的其它因素e)人员/系统界面因素对系统的影响，包括：- 人员/系统界面的设计和操作- 人员错误的影响- 人员违规审议的影响- 系统中的人员影响和干涉- 人员系

33、统监测和控制- 人员风险感知- 系统临界区域的人员影响- 人员预防系统问题的能力f) 系统设计和研发中的人员因素，包括：- 人员竞争力- 设计过程中的人员独立性- 检验和验证过程中的人员影响- 人员和自动化工具之间的界面- 系统性失效的预防过程4.4.2.12推荐使用具体影响因素的图解式推导，例如使用原因/效果图表。图6显示了一个简化的原因/效果图：环境组织/管理文档铁路rams任务纲要人员设备系统运营/维修图6-原因/效果图示例4.4.3因素管理应在当前铁路系统的级别，对每个影响因素对铁路系统rams的潜在影响进行评估。该评估需考虑每个因素在生命周期的每个阶段的影响，并需在当前系统级别进行。

34、评估应考虑关联影响因素的相互作用。对于人员因素，评估也应考虑每个影响因素相互间的关系。4.5 达到铁路rams要求的方法4.5.1 概述4.5.1.1 达到铁路rams要求的方法与在系统生命周期内控制rams的影响因素相关。有效的控制需要建立机制和程序，抵御系统的实现和支持过程中的错误源。对于偶发的和系统性的失效都应加以抵御。4.5.1.2 达到铁路rams要求的方法的基本理念：采取预防措施将生命周期阶段的错误可能造成的损害降到最低。预防措施包括以下两点：a)预防：降低损害的可能性b) 保护：降低损害后果的严重性4.5.1.3使系统达到rams要求所采取的策略（包括使用预防和/或保护方式）应进

35、行调整。4.5.2 rams规范4.5.2.1对rams要求的规范是一个复杂的过程。本标准的附录a提供了rams要求规范纲要的一个示例，它基于本文中详述的规范过程。本标准的附录b提供了定义rams程序的一个示例，它基于本标准的要求。这两个信息附录只起指导作用，它们以有轨车辆为例并得到推广。附录b中也包含rams分析的适用工具表。适当工具的选择依据当前系统和系统的临界性、新颖性、复杂性等因素。4.5.2.2表1定义了适用于铁路设施的rams失效类别表1-ram失效类别失效类别定义严重失效（固定失效）失效：阻止车辆移动或导致服务延迟时间长于规定时间和/或产生一个高于某个规定级别的成本主要失效（服务

36、失效）失效：- 为了使系统达到规定的性能，必须对其进行调整- 导致的延迟或成本没有超过严重失效规定的最小临界点轻微失效失效：- 没有妨碍系统达到规定的性能- 没有达到严重失效或主要失效的标准4.5.2.3附录c（信息）显示了适用于定义铁路系统的可靠性、可用性、可维修性、物流服务和安全要求的标准。具体的标准取决于具体的系统。使用的所有rams标准需经铁道部和铁路业务部门的同意。标准可以备选数组的方式表示，需提供换算系数。4.6 风险4.6.1 风险理念风险理念由两个因素组成：- 一个或一组导致危险的事件发生的可能性，或发生的频率。- 危险的后果4.6.2风险分析应在系统生命周期的不同阶段，由负责

37、该阶段的管理部门进行风险分析，并记录在文档中。记录文档至少应包括：a) 分析方法b) 分析方法的设想、局限性和验证c) 危险评定结果d) 风险预计结果和可信等级e) 平衡研究的结果？f) 数据、资源和可信等级g) 参考4.6.2.2表2以定性术语的方式，提供了铁路系统中一个危险事件发生可能性或频率的几种典型类型，并对每种类型进行了说明。这些类型、它们的数字和适用的数字定义尺度应由铁道部依据当前设施进行定义。表2 危险事件的发生频率种类说明经常经常发生。危险不断出现。可能将会发生若干次。危险可能经常发生。偶尔可能发生若干次。危险有可能会发生若干次。鲜有有时在系统生命周期中可能会发生。可合理预计危

38、险发生。不太可能应该不会发生，但是有这个可能。可以假设危险可能在例外的情况下发生。不可能绝对不会发生。可以假设危险不会发生。4.6.2.3后果分析可用于估计可能的冲击。表3描述了铁路系统中典型的危险严重等级和每个危险严重等级导致的结果。危险严重等级数字和每个危险严重等级的后果应由铁道部依据当前设施进行定义。表3 - 危险严重等级严重等级对人员或环境造成的后果对服务造成的后果灾难性的对环境造成多种灾难和/或多重严重的伤害和/或严重的损伤严重的对环境造成单一的灾难和/或严重的伤害和/或严重的损伤主要系统损伤少量的对环境造成小的损伤和/或严重的威胁严重的系统损伤轻微的可能造成很小的伤害轻微的系统损伤

39、4.6.3 风险评估和认可4.6.3.1 本子条款通过“频率-后果”矩阵的构成，对风险分析结果、风险种类、降低风险的行动或不可接受风险的消除进行评估，并达到风险认可。4.6.3.2 风险评估需将一个危险事件的发生频率和它的后果严重程度结合起来，以便于设立该危险事件的风险等级。表4显示了一个“频率-后果”矩阵。表4 - 频率 - 后果矩阵一个危险事件的发生频率风险等级经常可能偶尔鲜有不太可能不可能轻微的少量的严重的灾难性的危险后果的严重等级4.6.3.3 风险认可应基于一个总体认可的原则。我们可运用许多现有的原则。示例如下：（也可参看附录d获得有关这些原则的更多信息）- 采用尽可能低的成本、合理

40、的、可行的方法进行风险降低（uk实行的alarp原则）- ？（法国实行的gamab原则）。本原则的完整表述是“所有新的导向式运输系统的风险等级必须至少和全球任何现存同等系统的一样好”- 最小的内部失效率（德国实行的mem原则）表5定义了风险的定性类别和消除每种风险的行动。铁道部应负责确定采用的原则和可接受的风险等级，以及等级对应的不同风险种类。表5 - 风险定性类别风险类别抵抗每种类别的行为不可接受应该消除不希望出现只有当无法降低风险，并得到铁道部或安全管理部门的同意时，才可适当地接受可接受得到铁道部的同意后可接受可忽略无论是否得到铁道部的同意都可接受4.6.3.4表6 显示了为了获得风险认可

41、，所采取的风险评估和风险降低/控制的示例：表6-风险评估和认可的典型示例危险事件发生的频率风险等级经常不希望出现不可接受不可接受不可接受可能可接受不希望出现不可接受不可接受偶尔可接受不希望出现不希望出现不可接受鲜有可忽略可接受不希望出现不希望出现不太可能可忽略可忽略可接受可接受不可能可忽略可忽略可忽略可忽略轻微的少量的严重的灾难性的危险后果的严重等级*定义危险事件发生频率的尺度依赖于当前设施情况（4.6.2.2）风险评估风险降低/控制不可接受应该消除不希望出现只有当无法降低风险，并得到铁道部同意时，才可接受可接受得到铁道部的同意后可接受可忽略无需同意即可接受4.7 安全的完整性4.7.1根据风

42、险评估结果，设立了设施的安全等级，并对必要的风险降低进行了估算后，可得出该设施的系统和元件的安全完整性要求。安全完整性可看作可计量元素（通常与硬件相关，如：随机失效）和不可计量元素（通常与软件、规范、文件、过程等的系统性失效相关）的组合。外部风险降低设备和系统风险降低设备应满足系统必要的风险降低要求，以便于达到目标安全等级。4.7.2在系统中要获得一项功能的安全完整性，须通过特定结构、方法、工具和技术的有效组合。安全完整性与无法获得所需安全功能的可能性相关。功能的完整性要求越高，它的实现成本越高。本标准没有定义安全完整性和铁路系统失效可能性之间的关联性，但需注意的是，在标准iec61508的草

43、案中对它们之间的一般关联性进行了定义。铁路设施的关联性的定义由铁道部负责。但是，经欧洲各铁路管理部门单独或共同协定，本标准中定义的管理过程具有一般性，适用于所有的关联性类别。4.7.3 系统中安全功能的履行需参照其它相关具体标准定义的结构、方法、工具和技术。例如，en 50128定义了开发软件系统的方法、工具和技术，env 50129定义了电子铁路信号系统的验收和审批过程。4.7.4 安全完整性是安全功能的基础。安全功能应被分配给安全系统和/或外部风险降低设备。这个配置过程是反复生命周期的，以便于优化整个系统的设计和成本。4.7.5 安全计划和ram项目的有效执行使系统最终达到rams要求。4

44、.7.6 关于产品安全完整性有以下几点需加以注意：a) 系统要求的安全功能性和相应的安全完整性受系统的使用环境影响b) 当一个产品的开发需使用具有特定安全完整性的方法、工具和技术时，需声明该产品是一个具有安全完整性等级“x”的产品。该声明意味着该产品在一个特定的环境中，将以某个完整性程度，显示特定的功能性。c) 图7显示了经济型“现货供应”产品的使用在不同应用环境中的区别。例如：产品a在系统1和2中执行不同功能。因此，不同应用环境对产品安全完整性的要求就会不同。故而，任何系统使用产品前，须对功能性的限制和约束，以及产品所处环境进行评估，确保它们符合系统的整体要求。系统1系统2系统经济型“现货供

45、应”产品图7 - 安全系统中的产品鉴定注意：cenelec报告r009001：1997：“铁路设施-通讯、信号和处理系统-危险失效率和安全完整性等级（sil）”包含获得欧洲普遍认同的安全完整性和安全完整性等级方面的更多信息。该报告中提供的铁路信号的信息和数字必须由专家小心处理，在任何情况下都不能进行普及推广。4.7.7 在使用sil理念之前，须考虑以下要求：a) 须由安全专家确定足够的sil适用性等级。推荐不要超过4个等级。b) 一个sil应该只被分配给一个“元素”，也就是执行一个或多个简单功能的一个独立的设备，并且可以被另一个执行相同功能的设备替换。总而言之，这个“元素”一般是最低级别的设备

46、，可通过初级矫正性维修进行替换。c) 产品的应用环境是最重要的，须对现货供应产品的sil范围进行鉴定，即与安全要求进行比较，检查所有条件是否满足系统要求。d) sil只能定义产品安全性的一个期望等级。如本标准4.3条款所述，安全性要求和可用性要求在铁路运输过程中是内部相互关联的。sil理念并不能覆盖系统的所有方面，因此只考虑sil是不够的（例如具有不同安全要求的退化的操作模式或后退状态等？）4.8 自动防止失效理念4.8.1 本标准采取了一个广泛的风险管理方法达到安全要求。该方法符合自动防止失效理念，由铁路工程师建立完善。4.8.2 从铁路系统建立的初期开始，内在的自动防止失效理念便已经开始使

47、用。该理念依赖于一系列假定。它运用一些带设置好的失效模式的元件，并假设这些部件中的一个出错时，系统存在一个安全条件。所有这些元件的配置使得如此构成的系统不允许存在超过失效缺失时的许可条件。4.8.3 一般来说，该理念的有效期基于经验，但是它被限制用于大型的、带经济型微信息处理器的复杂系统的发展和使用。使用这些元件时所考虑的失效组合数字的指数增长意味着通常不能采用一个确定性方法。针对复杂的系统，可有效地使用机率的方法。4.8.4 自动防止失效方法对一个系统中的部件可能有效，和其它判定方法一样，它没有被本欧洲标准排除在外。所有使用的方法都必须符合系统的特定rams要求。5 铁路rams管理5.1概

48、述5.1.1本欧洲标准的条款5定义了一个管理过程，它基于系统生命周期，对铁路设施的rams因素进行控制。该过程支持：- 定义rams要求- 对威胁rams的因素进行评估和控制- 计划和完成rams任务- 满足rams要求- 在生命周期中对符合性进行进程监控5.1.2虽然本欧洲标准的关注重点为铁路rams，但它只是整个铁路系统许多方面中的一个。本条款将rams系统化的管理过程定义为一个覆盖整体铁路系统各个方面的集成化管理方法的一部分。5.1.3对于任何一个铁道部来说，一个铁路系统的容许安全风险取决于国家安全管理部门设定的安全系数，或铁道部自己与安全管理部门达成的协议。风险评估、控制和最小化的主要

49、责任属于铁道部。在某些情况下，法律要求正式提交证据，显示足够的系统安全性。5.2系统生命周期5.2.1系统生命周期是一个阶段序列，每个阶段包含任务，它覆盖一个系统从最初的构想到退役和报废。生命周期提供了计划、管理、控制和监控一个系统各个方面（包括rams）的一个结构，控制各个阶段的系统进程，以便于在允许的时间段内以正确的价格交付正确的产品。生命周期理念是成功执行本标准的基础。5.2.2图8显示了生命周期在铁路设施中的含义。图9显示了生命周期每个阶段的主要任务。该图显示了rams任务为总体项目任务的组件。总体任务超出了本欧洲标准的范围，但是它代表了通常的工业应用。总体项目任务中每个阶段相关的ra

50、ms任务和rams任务的要求在本欧洲标准的子条款中进行详细说明。构想 1系统定义和应用条件 2风险分析 3重新进行风险分析（见注意2）系统要求 4系统要求分配 5设计和实现 6建造 7安装 8系统有效期 9（包含安全认可和调试）系统验收 10性能监控 12 运营和维修 11 改进和改型 13退役和报废 14 重新开始生命周期（见注意1）注意1：改进在哪个阶段重新进入生命周期依赖于被改进的系统和具体的改进情况注意2：在生命周期几个阶段的风险分析必须被重复进行（见6.3.1的d项）生命周期阶段阶段相关的总体任务阶段相关的ram任务阶段相关的安全任务1构思设立铁路项目的范围和目标确定铁路项目构想进行

51、财务分析和可行性研究建立管理审核先前获得的ram性能考虑项目的ram含义审核先前获得的安全性能考虑项目的安全性含义审核安全规则和安全目标2. 系统定义和应用条件建立系统任务纲要准备系统描述定义运营和维修规章定义运营条件定义维修条件定义对现存基本设施限制的影响评估ram的过去经验数据进行初步的ram分析设立ram规则定义长期运营和维修条件定义对现存基本设施限制的ram的影响评估安全性的过去经验数据进行初步的危险分析建立安全计划（总体）定义容许的风险标准定义对现存基本设施限制的安全性的影响3. 风险分析（见注意6）进行项目相关的风险分析进行系统危险和安全性风险分析建立危险日志进行风险评估4. 系统要求进行要求分析系统规划（整体要求）环境规划定义系统论证和验收标准（总体要求）建立验证计划建立管理、质量和构造要求执行变化控制程序规定系统的ram要求（总体）定义ram认可标准（总体）定义系统功能结构建立ram程序建立ram管理规定系统的安全性要求（总体）定义安全性认可标准（总体）定义安全性相关的功能性要求建立安全性管理5. 系统要求的分配分配系统要求- 规定子系统和元件要求- 定义子系统和元件验收标准分配系统ram要求- 规定子系统和元件的ram要求- 定义子系统和元件的ram验收标准分配系统安全目标和要求- 规定子系统和元件的安全性要求- 定义子系统和元件的安全性认