铁路应用—可靠性,可用性,可维护性和安全性.doc

同济大学、铁道科学研究院标准所 EN50126：1999BS EN 50126：1999铁路应用可靠性，可用性，可维护性和安全性（RAMS）的规范和示例2007年6月65目 录引言-51适用范围-62相关参考标准-73 定义-84 铁路RAMS-124.1综述-124.2 铁路RAMS与服务质量-124.3 铁路RAMS要素-134.4 影响铁路RAMS的因素-154.4.1总则-154.4.2 因素的归类-154.4.3因素的管理-194.5达到铁路RAMS要求的方法-204.5.1概要-204.5.2RAMS规范-204.6风险-214.6.1风险概念-214.6.2风险分析-214.6.3风险评估和承诺-224.7安全完整性-234.8自动防故障的概念-255铁路RAMS的管理-255.1概要-255.2系统生命周期-265.3标准应用-326 RAMS的生命周期-336.1 步骤1概念-346.2步骤2系统定义和应用条件-356.3步骤3 风险分析-386.4步骤4 系统需求-396.5步骤5 系统需求分派-436.6步骤6 设计和实施-446.6步骤7 制造-466.6步骤8 安装-476.6步骤9 系统确认-486.6步骤10 系统接受度-506.6步骤11 操作和维护-516.6步骤12 性能监视-526.6步骤13 修改和翻新-536.6步骤14 退役和处置-54附录A（参考性）RAMS标准概括-举例-56附录B（参考性）RAMS程序-60附录C（参考性）铁路参数举例-64附录D（参考性）一些风险接受度原则举例-66附录E（参考性）RAMS过程在生命周期内的职责-70引 言本欧洲标准为欧盟范围内各铁路主管部门和铁路支撑工业提供了一种可以实现持续管理可靠性(Reliability)、可用性(Availability)、维护性(Maintainability)和安全性(Safety)（缩写为RAMS）的过程。RAMS需求的规范和证明过程是本标准的基础。本欧洲标准的目的在于促进共识和达到对RAMS的管理。本欧洲标准可以由铁路主管部门和铁路支撑工业系统地运用于铁路应用生命同期的所有阶段，以开发特定铁路应用的RAMS需求并实现与本标准的相关需求相一致。由本欧洲标准定义的系统级方法便于对复杂铁路应用的元素间的相互作用进行RAMS评估。本欧洲标准促进了铁路主管部门和铁路支撑工业间在制定策略、实现RAMS和铁路应用费用的最优组合方面的合作。采用本欧洲标准将支持单一欧洲市场的原则和便于实现欧洲铁路间的互操作性。欧洲标准定义的过程假定铁路主管部门和铁路支撑工业在质量、性能、安全性方面有共同的行业政策。本标准定义的过程与ISO9000系列国际标准中的质量管理需求相一致。1范围1.1 本欧洲标准:- 根据可靠性，可用性，维护性，和安全性以及它们的相互作用来定义RAMS；- 基于系统生命周期和周期内的任务定义一个管理RAMS的过程；- 使得RAMS元素之间的冲突能被有效地控制和管理；- 定义一个规范RAMS的需求并证明实现这些需求的系统过程；- 涉及铁路的特性；- 不对特定的铁路应用定义RAMS的目标、量值、需求或解决方案；- 不对确保系统保密性的需求进行规范；- 不定义关于证明铁路产品违反本标准的需求的规则或过程；- 不定义由安全性准则权威机构实施的批准过程。1.2 本欧洲标准适用于:- 所有铁路应用以及应用的所有级别的RAMS规范和说明，从整个铁路线路到一条铁路线路的主要系统，以及到这些主要系统内单独的和组合的子系统和构件，包括所含软件；特别是：- 新的系统；- 集成在本标准制定前并尚在运行的既有系统中的新系统，尽管它不能适用于既有系统的其它方面；- 对本标准制定前并尚在运行的既有系统的改动，尽管它不能适用于既有系统的其它方面；- 应用的生命周期的每个阶段；- 适用于铁路主管部门和铁路支撑工业。注：本标准的需求中给出了关于适用性的指导。2 规范性引用文件本欧洲标准综合了一些已发布的标注日期的和未标注日期的其它参考标准。文中引用这些参考标准的地方均予标注，并列在下面。对于标注日期的引用文件，其后续的修正或改版仅在对本欧洲标准进行修改或改版时所引用的部分才适用于本标准，对未标注日期的引用文件，其最新版本适用于本标准。EN IS0 9001 1994 质量体系设计、开发、制造、安装和服务的质量保障模式EN IS0 9002 1994 质量体系制造、安装和服务的质量保障模式EN IS0 9003 1994 质量体系终期审查和测试的质量保障模式EN 50128(*) 铁路应用铁路控制与防护系统软件ENV 50129 1998 铁路应用安全相关电子信号系统IEC 60050(191) 1990 国际电工词汇-第191章：可信性及服务质量IEC 61508（所有部分）电气/电子/可编程电子安全相关系统的功能安全3 定义本标准采用以下定义。3.1 分配 apportionment系统的RAMS要素在组成系统的各项间进行分解的过程，以给各项提出单独的目标。3.2 评估 assessment依据证据，为获得对产品适用性评判所进行的调查工作。3.3 评审 audit一个系统的、独立的审查，以便确定按计划制定的用于满足产品需求的相关过程是否被有效的实施并达到特定的目标。3.4 可用性 availability当所需的外部资源满足时，产品在给定的条件和给定的时刻或时间间隔内执行规定功能的能力。3.5 试运行 commissioning在证明一个系统或产品达到特定的要求前，为系统或产品拟采取的活动的总称。3.6 共因失效 common cause failure由于一个或多个事件导致系统两个或多个部件同时处于失效状态，从而造成系统无法实现规定功能的失效。3.7 一致 compliance产品的特征或属性满足规定的需求的证明。3.8 配置管理 configuration management运用技术的和管理的指导和监视来鉴别和用文件证明一个配置项达到功能的和物理的特性；控制那些特性的变化；记录并报告变化处理、实施状态；并验证与特定要求相一致的准则。3.9 修复性维护 corrective maintenance在已定位故障并力图将产品恢复到执行规定功能状态所实施的维护。3.10 关联失效 dependent failure由一系列事件引发的失效，其出现概率不能用单独事件的无条件概率的乘积来表示。3.11 停机时间 down time产品处于停机状态下的时间间隔。 (IEC 60050(191)3.12 失效原因 failure cause源于设计、制造和使用过程中，并引发产品失效的事实。(IEC 60050(191)3.13 失效模式 failure mode在失效时刻，针对与操作条件相关的指定部件的失效起因的预测或观察到的结果。3.14 失效率 failure rate产品失效的时刻T落在给定时间间隔（t，t+t）内的条件概率与t之比在t0时的极限(如果存在的话)称为失效率，假定在给定时间间隔的起始时刻t部件处于正常工作状态。3.15 故障模式 fault mode针对给定功能，发生故障的产品可能所处的一种状态。 (IEC 60050(191)3.16 故障树分析 fault tree analysis用故障树的形式表示的用于决定产品、子产品、外部事件或其组合的哪种故障模式是导致产品处于指定故障模式的分析。3.17 危险 hazard具有潜在人员伤害的物理环境。3.18 危险日志 hazard log记录和引用的记载所有安全管理活动、危险识别、所作的决策、采取的解决方案的文档。也被称为安全日志。 (ENV 50129)3.19 后勤保障 logistic support在要求的生命周期开销下，安排和组织用来操作和维持系统在特定可用性等级的全部资源。3.20 可维护性 maintainability一个给定的有效维护活动的可能性。即在给定的条件和利用指定的过程和资源对某个项实施维护后，该项在给定的时间间隔内和给定的使用条件下可正常运行。(IEC 60050(191)3.21 维护 maintenance所有力图维持或恢复某一产品处于能执行指定功能状态的技术和管理（包括监督）活动的总称。 (IEC 60050(191)3.22 维护策略 maintenance policy是对维护梯队，契约等级和对部件实施维护等级之间相互关系的描述。 (IEC 60050(191)3.23 任务 mission系统所完成的基本任务的客观描述。3.24 任务概要 mission profile在生命周期的运行阶段，任务依据诸如时间、负载、速度、距离、停止、隧道等参数的预期变化和变化范围的轮廓。3.25 预防性维护 preventive maintenance在预定的间隔或按照规定的准则针对某一部件实施的用于减少其失效或功能降级发生概率的维护。(IEC 60050(191)3.26 铁路主管部门 railway authority对铁路系统运行管理者全面负责的机构。注：对整个系统或部分以及生命周期活动负有责任的铁路主管部门有时被分解到多个机构或实体。例如：- 系统资产的一个或多个部分的所有者和它们的代销商；- 系统的使用者；-系统一个或多个部分的维护人员；- 等等。这样的分解是基于法定手段或与合同一致。这样的责任分解应该在系统生命周期的早期阶段明确声明。3.27 铁路支撑工业 railway support industry提供铁路系统、子系统或组件的供应商的总称。3.28 RAM规划 RAM programme针对给定的合同或项目，为保证满足给定的RAM需求而落实的组织架构、职责、过程、活动、能力和资源的一系列文档化的活动、资源和事件的进度表。(IEC 60050(191)3.29 RAMS可靠性(Reliability)、可用性(Availability)、维护性(Maintainability)和安全性(Safety)的首字母缩写。3.30 可靠性 reliability在给定的条件下和给定的时间间隔(t1,t2)内，某一部件能完成指定功能的概率。 (IEC 60050(191)3.31 可靠性增长 reliability growth表现为随时间变化，某个项其可靠性性能度量不断提高的情形。(IEC 60050(191)3.32 修理 repair修复性维护活动的一部分，是在该项上实施的手工操作。 (IEC 60050(191)3.33 修复 restoration 当一个部件在发生故障后重新具有执行指定功能的事件。 (IEC 60050(191)3.34 风险 risk引起伤害的危险的发生概率以及伤害严重程度的等级。3.35 安全性 safety没有不可接受伤害的风险。3.36 安全例证 safety case产品满足规定的安全性需求的文档性论述。3.37 安全完整性 safety integrity在指定的时间范围内和指定的条件下，系统圆满完成规定的安全功能的可能性。3.38 安全完整性等级 (SIL): safety integrity level为安全相关系统的安全功能的安全完整性需求进行离散等级划分所定义的数字。安全性完善度等级越高数字越大。3.39 安全计划 safety plan一组适合于组织机构、责任、过程、活动、能力和资源实现的时间调度活动、资源和事件的文档，它们共同保证一个项在给定的条约和项目下满足安全需求。3.40 安全规章主管部门 safety regulatory authority通常是一个国家政府机构，负责规定和同意铁路的安全需求并确保铁路遵循这些需求。3.41 系统生命周期 system lifecycle从系统构思开始到系统不能再使用、停运、处理的一段时间发生的活动。3.42 系统失效 systematic failures在某些特定的环境下或某些特定输入组合情况下，在安全生命周期任何阶段的活动中由错误导致的失效。3.43 允许风险 tolerable risk铁路主管部门可接受的产品的最大等级风险。 3.44 确认 validation 用客观证据及检验来确定是否满足指定的预期用途的特定要求。3.45 验证 verification用客观证据及检验来确定是否满足规定要求。注意：关于确认和验证的区分见图11和 5.2.9。4 铁路 RAMS4.1 介绍4.1.1 本条款提供了关于RAMS和RAMS工程的基本信息，其目的是为读者提供足够的背景知识，从而使本标准能有效地运用到铁路系统之中。4.1.2 铁路RAMS对铁路主管部门所提供服务的质量起主导作用。铁路RAMS由几个组成要素定义；因此，本条款的结构如下： 1) 子条款 4.2 考查了铁路RAMS和服务质量的关系。2) 子条款4.3 到 4.8 考查了铁路RAMS的各个方面，即： - RAMS的要素；- 影响RAMS的因素和实现RAMS的方法；- 风险和安全完整性。4.1.3 本条款尽量使用已定义的国际术语以及本标准条款3中定义的铁路领域形成的新术语或公认的术语。4.1.4 在本欧洲标准中，“系统，子系统，部件”的顺序用来说明从任意完整应用到其组成部分的细目分类。每个术语（系统，子系统，部件）的精确界限依赖于特定的应用。4.1.5 系统可定义为用一定的方法组织起来获得特定功能的的子系统和部件的集合。这些功能分配给系统的子系统和部件，且系统的性能和状态随子系统或部件功能的变化而改变。系统对输入作出响应以产生指定的输出，同时和环境交互。4.2 铁路RAMS和服务质量4.1.2 本子条款介绍了关于某项任务的RAMS和服务质量的联系。4.2.2 RAMS是系统的长期运行特征，在系统的整个生命周期内，它由已建立的工程概念，方法，工具和技术来实现。系统的RAMS可作为对系统、子系统或组成系统的部件的规定功能是可用和安全的信赖程度的定性和定量指标的刻画。系统的RAMS在本欧洲标准中是可靠性，可用性，可维护性和安全性（RAMS）的组合。4.2.3 铁路系统的目标是在指定时间内安全地达到铁路运输的规定水平。铁路RAMS描述了系统能保证实现此目标的置信度。铁路RAMS会明显地影响提供给用户的服务质量。服务质量也受有关功能和性能参数的其它特性影响，例如服务频率，服务规范和费用结构。其关系如图1所示。铁路RAMS其它特性服务质量图1 铁路RAMS与服务质量4.3 铁路RAMS的要素4.3.1 本子条款介绍了铁路领域RAMS各要素，可靠性、可用性、可维护性和安全性，间的相互作用。4.3.2 如果从对安全性要求和可用性要求之间的冲突管理不善就会妨碍获得系统可信性的角度来看，安全性和可用性是内在关联的。铁路RAMS各要素，可靠性、可用性、可维护性和安全性，间的内在联系见图2。4.3.3 只有满足可靠性和可维护性的所有要求，并控制正在进行的或长期的维护和运行活动以及系统环境才能达到运行期间的安全性和可用性目标。4.3.4 保密性，作为表征铁路系统对抗故意破坏与不合理的人员行为的防御能力，可以认为是RAMS的更深层要素。然而，对保密性的考虑超出了本标准的范围。铁路RAMS安全性可用性可靠性和可维护性运行和维护图2 铁路RAMS元素间的联系4.3.5 可用性的技术概念基于以下知识：a) 可靠性,包括：- 指定应用及环境下所有可能的系统失效模式；- 每种失效发生的概率或每种失效发生的几率；- 失效对系统功能的影响。b) 可维护性,包括：- 执行计划维护的时间；- 故障检测、识别和定位的时间；- 失效系统的修复时间（计划外维护）。c) 运行和维护,包括：- 系统生命周期中所有可能的操作模式和要求的维护；- 人为因素问题。4.3.6 安全性的技术概念基于以下知识：a) 在所有运行、维护和环境模式下系统中所有可能的危险；b) 用危险结果的严重性表示的每个危险的特征；c) 安全性/安全相关的失效,包括：- 所有可能会导致危险的系统失效模式（安全相关失效模式），是所有可靠性失效模式的子集 4.3.5(a)；- 每个安全相关系统失效模式发生的概率；- 在应用中，会导致事故的事件(即：导致事故的危险)的顺序和/或并发、失效、运行状态、环境条件等；- 应用中，每个事件、失效、运行状态、环境条件等发生的概率。d) 系统的安全相关部分的可维护性,包括：- 系统中与危险或安全相关失效模式有关的部分及其部件维护的方便性；- 系统中安全相关部分在维护活动期间发生的错误的概率；- 恢复系统到安全状态的时间。e) 系统运行和系统的安全相关部分的维护,包括：- 人为因素对系统的所有安全相关部分的有效维护和系统安全运行的影响；- 用于系统的安全相关部分有效维护和安全运行的工具、设施和过程；- 处理危险并降低其后果的有效控制和措施。4.3.7 系统中的失效，在应用和环境范围内，会影响系统的表现。所有失效都对可靠性产生负面影响，而仅有某些特定失效才会在特定的应用下对安全性有负面影响。环境可能影响系统的功能，进而影响铁路应用的安全性。这些联系见图3。铁路应用环境影响可靠性的负作用干扰威胁失效状态/失效模式铁路系统影响安全性的负面因素安全相关失效模式功能状态图3 系统失效的影响4.3.8 只有考虑了系统中RAMS各要素的相互作用及其规范说明，并获得了系统优化的RAMS组合，才能实现一个可信的铁路系统。4.4 影响铁路RAMS的因素4.4.1 总则4.4.1 .1 本子条款引入和定义了一个供识别影响铁路系统RAMS的因素，尤其是识别人为因素影响的过程。这些因素及他们的效果是系统RAMS需求规范的输入。4.4.1.2 铁路系统RAMS受来自三个方面因素的影响：来源于在系统生命周期任何阶段引入到系统内部的失效（系统条件）、运行过程中强加于系统的失效（运行条件）和在维护活动中强加于系统的失效（维护条件）。这些失效源能相互作用，其关系见图4，详细内容见图5。RAMS维护条件运行条件系统条件图4 对RAMS的影响4.4.1.3 为实现可信系统，需要识别影响RAMS的因素，评估他们的影响，并在系统生命周期内应用恰当的控制来管理产生这些影响的起因，以便优化系统的性能。4.4.2 因素分类4.4.2.1 本子条款详细描述了定义因素的过程,这些因素将影响系统成功地达到符合规定的RAMS要求。4.4.2.2 从高层面看，工业应用中影响系统RAMS的因素是普遍存在的。图5包含了影响运输系统RAMS的一些普遍的因素，也说明了这些因素之间的相互作用。为了确认影响铁路系统RAMS的具体因素，在指定的系统环境中应考虑每一个普遍的影响因素。4.4.2.3 关于人为因素对系统RAMS的影响，其分析在本标准要求的“系统途径”中是固有的。4.4.2.4 人为因素可以规定为人的性格、期望和行为对系统的影响。这些因素涉及到人体解剖学、生理学和心理学等方面。在满足人对健康、安全和工作需求下，人为因素的这些思想指导人们有效地工作。4.4.2.5 铁路应用通常包括广范的人类群体，从旅客、操作人员、维持铁路系统运行的人员到影响铁路运行的其他人员，如平交道口的汽车司机。每类群体都可能以不同的方式反作用于铁路系统。显然，人类对铁路RAMS中的潜在影响是巨大的。因此，在整个系统生命周期内，与许多其它的工业应用相比，为达到铁路RAMS的需求必须更严格控制人为因素。4.4.2.6 人可认为具有有益于铁路系统RAMS的能力。为达到这一目标，在整个生命周期内，应确定和管理人为因素影响铁路RAMS的方式。在系统的设计和开发阶段内，分析应包括人为因素对铁路RAMS的潜在影响。4.4.2.7 尽管在生命周期内对人为因素的考虑具有普遍性，但针对具体的应用人为因素对RAMS的精确影响具有特殊性。4.4.2.8 在具体的铁路系统环境中，应复核通用性因素，包括图5所含的内容。铁路主管部门在招标时应规定所有不可行因素。应评审每一可行的通用性因素，并系统地导出详细的、应用特有的影响因素。人为因素问题（整个RAMS管理程序的核心方面）在评估时应该说明。4.4.2.9 导出详细影响因素的过程应可通过使用覆盖铁路特定因素（4.4.2.10）和人为因素（4.4.2.11）的清单或图5所示的替代图得到。4.4.2.10 导出详细的铁路特定的影响因素应包括对下述每一铁路特定因素的考虑，但不限于此。应注意下述列项是不详尽的，且应根据应用范围和目的进行调整。a) 系统运行：- 系统必须执行的任务和执行该任务的条件；- 在运行环境内旅客、货物、员工和系统的共存；- 系统生命需求，包括系统生命期望、服务密度和生命周期费用的要求。b) 环境：- 物理环境；- 该环境内铁路系统的高度集成；- 在铁路环境中测试整个系统的有限机会。c) 应用条件：- 既有基本设施与系统对新系统的约束；- 在生命周期作业内维持铁路服务的需要。d) 运行条件：- 轨道旁的安装条件；- 轨道旁的维护条件；- 在试运行和运行中已有系统和新型系统的集成。e) 失效分类：- 分布式铁路系统内失效的影响。铁路RAMS可用性安全性维护条件运行条件系统条件环境条件人为因素后勤任务剖面程序技术特性维护性维护程序售后服务人为因素恢复性维护预防性维护任务概要变动人工校正措施人为错误外部干扰内部干扰有条件维护系统失效随机失效定期维护重组模式 要求错误 设计与实现不充分 制造缺陷 内在缺点 软件错误 工作指令不足 指令不充分 人为错误 等等 工作模式 环境 应力降级 磨损 过应力 等等诊断 内部 外部诊断 手动 自动图5 影响铁路RAMS的因素4.4.2.11 导出详细的人为影响因素应包括对下述每一人为因素的考虑，但不只限于此。应注意下述列项是不详尽的，且应根据应用范围和目的进行调整。a) 人机间系统功能的分配。b) 系统内对人的行为的影响，包括：- 人/系统接口；- 环境，包括物理环境和人类工程学的要求；- 人的工作方式；- 人的能力；- 人工任务的设计；- 人的互相配合；- 人工反馈流程；- 铁路组织结构；- 铁路文化；- 专业铁路词汇；- 引入新技术带来的问题。c) 源于下述内容的系统要求：- 人的能力；- 人的动机和志向的支持；- 减轻人的行为变动的影响；- 运行安全防护；- 人的反应时间与间隔。d) 源于人类信息处理能力的系统要求，包括：- 人机通信；- 信息传送密度；- 信息传送率；- 信息质量；- 人对异常情形的反应；- 人员培训；- 支持人的决策形成过程；- 造成人员疲劳的其他因素。e) 人和系统接口对系统的影响，包括：- 人/系统接口的设计和操作；- 人为错误的影响；- 人员故意违反规则的影响；- 系统中人的干预和参与；- 人的系统监控和滥用；- 人对风险的感知；- 在系统关键范围内人所牵连的事务；- 人预测系统问题的能力。f) 系统设计与开发中的人为因素，包括：- 人的能力；- 设计中人的独立性；- 验证和确认中人所牵连的事务；- 人与自动化工具之间的接口；- 系统失效预防程序。4.4.2.12 推荐使用图表法来导出详细的因素，例如使用因果图。图6是一个简单的因果图。环境文件组织/管理目标配置人设备系统运行/维护铁路RAMS图6 因果图示例4.4.3 因素管理每一影响因素对具体的铁路系统RAMS的潜在影响应在适合于该具体的铁路系统的某一级别上进行评估。这一评估应考虑在生命周期的每一阶段内各个因素的影响，且应在适合于该具体铁路系统的级别上。评估应该考虑有关影响因素的相互作用。对于人为因素来说，该评估也应考虑彼此相关的每个因素的作用。4.5 实现铁路RAMS需求的方法 4.5.1 总则4.5.1.1 实现铁路RAMS需求的方法与对整个系统生命内影响RAMS因素的控制相关联。有效的控制要求建立对在系统的实现和维持中引入的错误源进行防护的机制和程序。这些防御措施需要考虑随机失效和系统失效。4.5.1.2 实现RAMS需求的方法基于采取预防措施，使在生命周期阶段由错误所引起损伤的概率最小。预防措施是下列的组合：a) 预防：降低损伤发生的概率；b) 防护：降低损伤后果的严重性。4.5.1.3 实现系统RAMS需求的策略，包括预防和/或防护措施的使用，应被证明是正确的。4.5.2 RAMS 规范4.5.2.1 RAMS需求的规范是一个复杂的过程。在本标准详述的过程基础上，附录A举例提供RAMS需求规范的概要。基于本标准的要求，附录B提供了概述RAMS规划定义的步骤示例。这两个参考性附录仅起指导作用，并以机车车辆为例一起编辑。附录B中还包含了适当的RAMS分析工具一览表。选择一个合适的工具取决于所考核的系统及因素，如其危险程度、新颖性、复杂程度等。4.5.2.2 表1定义了适用于铁路应用的RAMS失效的种类。表1 RAM失效目录失效种类定义重大（停车失效）产生导致阻止列车运行或远大于规定延误时间的服务或大大超出指定费用等级的失效。主要的（服务失效）- 系统为获得规定性能必须整修的失效；- 不导超出重大失效中规定的费用和延误最小限定的失效。次要- 不妨碍系统实现规定性能的失效；- 不符合重大失效和主要失效标准的失效。4.5.2.3 附录C（参考性）列出了表征铁路系统可靠性、可维修性、可用性、后勤保障和安全要求的适当参数，特殊参数取决于具体系统。所有使用的RAMS参数应在铁路主管部门及铁路支承工业之间达成一致。当参数可以用可互换的不同量纲表示时，应提供它们之间的变换因子。4.6 风险4.6.1 风险概念风险的概念由以下两个要素组成：- 导致危险的事件或事件组合发生的概率或这些事件发生的频率；- 危险的后果。4.6.2 风险分析4.6.2.1 在系统生命周期的各个阶段，风险分析应由负责该阶段的主管部门来进行，并应形成文件。该文件至少应包括：a) 分析方法学；b) 方法学的假设、限制和判据；c) 危险鉴定结果；d) 风险估计结果和置信度水平；e) 折衷选择的研究结果；f ) 数据及其来源与置信度水平；g) 参考文件。4.6.2.2 表2用定性的术语提供铁路系统中危险事件发生概率或频度的典型分类，并对每类进行描述。这些类别及其数值、采用的数值定标应由铁路主管部门规定并与具体的应用相适应。表2 危险事件出现的频度分 类定 义频 繁频繁的出现，危险将一直存在经 常发生多次，危险可以预期经常出现有 时可能发生几次，危险预期有几次出现很 少在系统生命周期的某个时期可能发生，危险能合理地预期出现极 少不太可能发生但可能存在，可假定危险可极少出现几乎不可能几乎不可能发生，可假定危险不会发生4.6.2.3 后果分析应可用于估计可能的影响。表3对所有铁路系统描述了典型的危险严重等级和每个严重等级的相关后果。所应用的严重等级数值和每个严重等级的后果由铁路主管部门规定并与具体的应用相适应。表3危险严重等级严重等级对环境或人的影响给服务带来的后果特大多人死亡，和/或是多方面的严重伤害，和/或对环境的严重损害重大一人死亡，和/或是单个严重伤害，和/或是对环境产生明显的损害主系统受损次要较小的损伤和/或对环境的明显影响严重的系统损害轻微可能存在的较小的伤害较小的系统损害4.6.3 风险评估和验收4.6.3.1 本子条款论述了“频度-后果”矩阵的构成，它用于风险分析结果评估、风险分类、降低风险或消除不容许风险的措施和风险验收。4.6.3.2 风险评估应结合危险事件的发生频度及其后果的严重性（用于确定危险事件产生的风险等级）来进行。“频度后果”矩阵见表4所示。表4 频度后果矩阵危险事件的发生频度风 险 等 级频繁经常有时很少极少几乎不可能轻微次要重大特大危 险 后 果 的 严 重 等 级4.6.3.3 风险验收应基于普遍公认的原则。可以利用的原则有许多，如下面的几个例子（这些原则的更多信息见附录D）： 低到适当可行原理（ALARP原理在英国使用）； GAMAB原理（法国使用）。这个原理的完整表述是：“所有新型的导向式运输系统必须提供一个风险等级，此等级整体上至少与任何等效的现有系统所提供的等级一样好。” 最小内在死亡率（MEM原理在德国使用）。表5规定了定性的风险分类及应对防范每一类风险的措施。铁路主管部门应负责规定所采用的原则、容许风险等级和可分成不同风险种类的标准。表5 定性的风险种类风险种类对每一类风险所采取的防范措施不容许的应该消除不希望的当风险降低不可行时，应经过铁路主管部门或安全规章主管部门同意后方可接受容许的采用充分控制并经铁路主管部门同意后可以接受可忽略的有或无铁路主管部门同意均可接受4.6.3.4 表6给出了风险评估和用于风险验收的风险降低/控制的例子。表6 风险评估和验收的典型例子危险事件发生的频度*风 险 等 级频繁不希望的不容许的不容许的不容许的经常容许的不希望的不容许的不容许的有时容许的不希望的不希望的不容许的很少可忽略的容许的不希望的不希望的极少可忽略的可忽略的容许的容许的几乎不可能可忽略的可忽略的可忽略的可忽略的轻微次要重大特大危 险 后 果 的 严 重 等 级* 危害性事件发生频度的定标取决于具体的应用 (4.6.2.2)不容许的不希望的容许的可忽略的风险评估风险降低/控制应该消除不经同意就可接受经充分控制并经铁路主管部门同意后可以接受只有当风险降低不可行时才可接受，并且需要铁路主管或安全主管机构的同意4.7 安全完整性4.7.1 以风险评审过程的结果为基础，当设定了应用的安全等级并已并估计了必要的风险降