鐵路應(yīng)用可靠性可用性可維護性安全性

1、同濟大學(xué)、鐵道科學(xué)研究院標準所 EN50126：1999鐵路應(yīng)用可靠性，可用性，可維護性和平安性RAMS的標準和例如2007年6月65目 錄引言-51適用范圍-62相關(guān)參考標準-73 定義-84 鐵路RAMS-124.1綜述-124.2 鐵路RAMS與效勞質(zhì)量-124.3 鐵路RAMS要素-134.4 影響鐵路RAMS的因素-154.4.1總那么-154.4.2 因素的歸類-154.4.3因素的管理-194.5到達鐵路RAMS要求的方法-204.5.1概要-204.5.2RAMS標準-204.6風(fēng)險-214.6.1風(fēng)險概念-214.6.2風(fēng)險分析-214.6.3風(fēng)險評估和承諾-224.7平安完

2、整性-234.8自動防故障的概念-255鐵路RAMS的管理-255.1概要-255.2系統(tǒng)生命周期-265.3標準應(yīng)用-326 RAMS的生命周期-336.1 步驟1概念-346.2步驟2系統(tǒng)定義和應(yīng)用條件-356.3步驟3 風(fēng)險分析-386.4步驟4 系統(tǒng)需求-396.5步驟5 系統(tǒng)需求分派-436.6步驟6 設(shè)計和實施-446.6步驟7 制造-466.6步驟8 安裝-476.6步驟9 系統(tǒng)確認-486.6步驟10 系統(tǒng)接受度-506.6步驟11 操作和維護-516.6步驟12 性能監(jiān)視-526.6步驟13 修改和翻新-536.6步驟14 退役和處置-54附錄A參考性RAMS標準概括-舉例-

3、56附錄B參考性RAMS程序-60附錄C參考性鐵路參數(shù)舉例-64附錄D參考性一些風(fēng)險接受度原那么舉例-66附錄E參考性RAMS過程在生命周期內(nèi)的職責(zé)-70引 言本歐洲標準為歐盟范圍內(nèi)各鐵路主管部門和鐵路支撐工業(yè)提供了一種可以實現(xiàn)持續(xù)管理可靠性(Reliability)、可用性(Availability)、維護性(Maintainability)和平安性(Safety)縮寫為RAMS的過程。RAMS需求的標準和證明過程是本標準的根底。本歐洲標準的目的在于促進共識和到達對RAMS的管理。本歐洲標準可以由鐵路主管部門和鐵路支撐工業(yè)系統(tǒng)地運用于鐵路應(yīng)用生命同期的所有階段，以開發(fā)特定鐵路應(yīng)用的RAMS需

4、求并實現(xiàn)與本標準的相關(guān)需求相一致。由本歐洲標準定義的系統(tǒng)級方法便于對復(fù)雜鐵路應(yīng)用的元素間的相互作用進行RAMS評估。本歐洲標準促進了鐵路主管部門和鐵路支撐工業(yè)間在制定策略、實現(xiàn)RAMS和鐵路應(yīng)用費用的最優(yōu)組合方面的合作。采用本歐洲標準將支持單一歐洲市場的原那么和便于實現(xiàn)歐洲鐵路間的互操作性。歐洲標準定義的過程假定鐵路主管部門和鐵路支撐工業(yè)在質(zhì)量、性能、平安性方面有共同的行業(yè)政策。本標準定義的過程與ISO9000系列國際標準中的質(zhì)量管理需求相一致。1范圍1.1 本歐洲標準:- 根據(jù)可靠性，可用性，維護性，和平安性以及它們的相互作用來定義RAMS；- 基于系統(tǒng)生命周期和周期內(nèi)的任務(wù)定義一個管理RA

5、MS的過程；- 使得RAMS元素之間的沖突能被有效地控制和管理；- 定義一個標準RAMS的需求并證明實現(xiàn)這些需求的系統(tǒng)過程；- 涉及鐵路的特性；- 不對特定的鐵路應(yīng)用定義RAMS的目標、量值、需求或解決方案；- 不對確保系統(tǒng)保密性的需求進行標準；- 不定義關(guān)于證明鐵路產(chǎn)品違反本標準的需求的規(guī)那么或過程；- 不定義由平安性準那么權(quán)威機構(gòu)實施的批準過程。1.2 本歐洲標準適用于:- 所有鐵路應(yīng)用以及應(yīng)用的所有級別的RAMS標準和說明，從整個鐵路線路到一條鐵路線路的主要系統(tǒng)，以及到這些主要系統(tǒng)內(nèi)單獨的和組合的子系統(tǒng)和構(gòu)件，包括所含軟件；特別是：- 新的系統(tǒng)；- 集成在本標準制定前并尚在運行的既有系統(tǒng)

6、中的新系統(tǒng)，盡管它不能適用于既有系統(tǒng)的其它方面；- 對本標準制定前并尚在運行的既有系統(tǒng)的改動，盡管它不能適用于既有系統(tǒng)的其它方面；- 應(yīng)用的生命周期的每個階段；- 適用于鐵路主管部門和鐵路支撐工業(yè)。注：本標準的需求中給出了關(guān)于適用性的指導(dǎo)。2 標準性引用文件本歐洲標準綜合了一些已發(fā)布的標注日期的和未標注日期的其它參考標準。文中引用這些參考標準的地方均予標注，并列在下面。對于標注日期的引用文件，其后續(xù)的修正或改版僅在對本歐洲標準進行修改或改版時所引用的局部才適用于本標準，對未標注日期的引用文件，其最新版本適用于本標準。EN IS0 9001 1994 質(zhì)量體系設(shè)計、開發(fā)、制造、安裝和效勞的質(zhì)量保

7、障模式EN IS0 9002 1994 質(zhì)量體系制造、安裝和效勞的質(zhì)量保障模式EN IS0 9003 1994 質(zhì)量體系終期審查和測試的質(zhì)量保障模式EN 50128(*) 鐵路應(yīng)用鐵路控制與防護系統(tǒng)軟件ENV 50129 1998 鐵路應(yīng)用平安相關(guān)電子信號系統(tǒng)IEC 60050(191) 1990 國際電工詞匯-第191章：可信性及效勞質(zhì)量IEC 61508所有局部電氣/電子/可編程電子平安相關(guān)系統(tǒng)的功能平安3 定義本標準采用以下定義。3.1 分配 apportionment系統(tǒng)的RAMS要素在組成系統(tǒng)的各項間進行分解的過程，以給各項提出單獨的目標。3.2 評估 assessment依據(jù)證據(jù)，

8、為獲得對產(chǎn)品適用性評判所進行的調(diào)查工作。3.3 評審 audit一個系統(tǒng)的、獨立的審查，以便確定按方案制定的用于滿足產(chǎn)品需求的相關(guān)過程是否被有效的實施并到達特定的目標。3.4 可用性 availability當(dāng)所需的外部資源滿足時，產(chǎn)品在給定的條件和給定的時刻或時間間隔內(nèi)執(zhí)行規(guī)定功能的能力。3.5 試運行 commissioning在證明一個系統(tǒng)或產(chǎn)品到達特定的要求前，為系統(tǒng)或產(chǎn)品擬采取的活動的總稱。3.6 共因失效 common cause failure由于一個或多個事件導(dǎo)致系統(tǒng)兩個或多個部件同時處于失效狀態(tài)，從而造成系統(tǒng)無法實現(xiàn)規(guī)定功能的失效。3.7 一致 compliance產(chǎn)品的特征

9、或?qū)傩詽M足規(guī)定的需求的證明。3.8 配置管理 configuration management運用技術(shù)的和管理的指導(dǎo)和監(jiān)視來鑒別和用文件證明一個配置項到達功能的和物理的特性；控制那些特性的變化；記錄并報告變化處理、實施狀態(tài)；并驗證與特定要求相一致的準那么。3.9 修復(fù)性維護 corrective maintenance在已定位故障并力圖將產(chǎn)品恢復(fù)到執(zhí)行規(guī)定功能狀態(tài)所實施的維護。3.10 關(guān)聯(lián)失效 dependent failure由一系列事件引發(fā)的失效，其出現(xiàn)概率不能用單獨事件的無條件概率的乘積來表示。3.11 停機時間 down time產(chǎn)品處于停機狀態(tài)下的時間間隔。 (IEC 60050(

10、191)3.12 失效原因 failure cause源于設(shè)計、制造和使用過程中，并引發(fā)產(chǎn)品失效的事實。(IEC 60050(191)3.13 失效模式 failure mode在失效時刻，針對與操作條件相關(guān)的指定部件的失效起因的預(yù)測或觀察到的結(jié)果。3.14 失效率 failure rate產(chǎn)品失效的時刻T落在給定時間間隔t，t+t內(nèi)的條件概率與t之比在t0時的極限(如果存在的話)稱為失效率，假定在給定時間間隔的起始時刻t部件處于正常工作狀態(tài)。3.15 故障模式 fault mode針對給定功能，發(fā)生故障的產(chǎn)品可能所處的一種狀態(tài)。 (IEC 60050(191)3.16 故障樹分析 fault

11、 tree analysis用故障樹的形式表示的用于決定產(chǎn)品、子產(chǎn)品、外部事件或其組合的哪種故障模式是導(dǎo)致產(chǎn)品處于指定故障模式的分析。3.17 危險 hazard具有潛在人員傷害的物理環(huán)境。3.18 危險日志 hazard log記錄和引用的記載所有平安管理活動、危險識別、所作的決策、采取的解決方案的文檔。也被稱為平安日志。 (ENV 50129)3.19 后勤保障 logistic support在要求的生命周期開銷下，安排和組織用來操作和維持系統(tǒng)在特定可用性等級的全部資源。3.20 可維護性 maintainability一個給定的有效維護活動的可能性。即在給定的條件和利用指定的過程和資源

12、對某個項實施維護后，該項在給定的時間間隔內(nèi)和給定的使用條件下可正常運行。(IEC 60050(191)3.21 維護 maintenance所有力圖維持或恢復(fù)某一產(chǎn)品處于能執(zhí)行指定功能狀態(tài)的技術(shù)和管理包括監(jiān)督活動的總稱。 (IEC 60050(191)3.22 維護策略 maintenance policy是對維護梯隊，契約等級和對部件實施維護等級之間相互關(guān)系的描述。 (IEC 60050(191)3.23 任務(wù) mission系統(tǒng)所完成的根本任務(wù)的客觀描述。3.24 任務(wù)概要 mission profile在生命周期的運行階段，任務(wù)依據(jù)諸如時間、負載、速度、距離、停止、隧道等參數(shù)的預(yù)期變化和

13、變化范圍的輪廓。3.25 預(yù)防性維護 preventive maintenance在預(yù)定的間隔或按照規(guī)定的準那么針對某一部件實施的用于減少其失效或功能降級發(fā)生概率的維護。(IEC 60050(191)3.26 鐵路主管部門 railway authority對鐵路系統(tǒng)運行管理者全面負責(zé)的機構(gòu)。注：對整個系統(tǒng)或局部以及生命周期活動負有責(zé)任的鐵路主管部門有時被分解到多個機構(gòu)或?qū)嶓w。例如：- 系統(tǒng)資產(chǎn)的一個或多個局部的所有者和它們的代銷商；- 系統(tǒng)的使用者；-系統(tǒng)一個或多個局部的維護人員；- 等等。這樣的分解是基于法定手段或與合同一致。這樣的責(zé)任分解應(yīng)該在系統(tǒng)生命周期的早期階段明確聲明。3.27 鐵

14、路支撐工業(yè) railway support industry提供鐵路系統(tǒng)、子系統(tǒng)或組件的供給商的總稱。3.28 RAM規(guī)劃 RAM programme針對給定的合同或工程，為保證滿足給定的RAM需求而落實的組織架構(gòu)、職責(zé)、過程、活動、能力和資源的一系列文檔化的活動、資源和事件的進度表。(IEC 60050(191)3.29 RAMS可靠性(Reliability)、可用性(Availability)、維護性(Maintainability)和平安性(Safety)的首字母縮寫。3.30 可靠性 reliability在給定的條件下和給定的時間間隔(t1,t2)內(nèi)，某一部件能完成指定功能的概率。

15、 (IEC 60050(191)3.31 可靠性增長 reliability growth表現(xiàn)為隨時間變化，某個項其可靠性性能度量不斷提高的情形。(IEC 60050(191)3.32 修理 repair修復(fù)性維護活動的一局部，是在該項上實施的手工操作。 (IEC 60050(191)3.33 修復(fù) restoration 當(dāng)一個部件在發(fā)生故障后重新具有執(zhí)行指定功能的事件。 (IEC 60050(191)3.34 風(fēng)險 risk引起傷害的危險的發(fā)生概率以及傷害嚴重程度的等級。3.35 平安性 safety沒有不可接受傷害的風(fēng)險。3.36 平安例證 safety case產(chǎn)品滿足規(guī)定的平安性需求

16、的文檔性論述。3.37 平安完整性 safety integrity在指定的時間范圍內(nèi)和指定的條件下，系統(tǒng)圓滿完成規(guī)定的平安功能的可能性。3.38 平安完整性等級 (SIL): safety integrity level為平安相關(guān)系統(tǒng)的平安功能的平安完整性需求進行離散等級劃分所定義的數(shù)字。平安性完善度等級越高數(shù)字越大。3.39 平安方案 safety plan一組適合于組織機構(gòu)、責(zé)任、過程、活動、能力和資源實現(xiàn)的時間調(diào)度活動、資源和事件的文檔，它們共同保證一個項在給定的條約和工程下滿足平安需求。3.40 平安規(guī)章主管部門 safety regulatory authority通常是一個國家政

17、府機構(gòu)，負責(zé)規(guī)定和同意鐵路的平安需求并確保鐵路遵循這些需求。3.41 系統(tǒng)生命周期 system lifecycle從系統(tǒng)構(gòu)思開始到系統(tǒng)不能再使用、停運、處理的一段時間發(fā)生的活動。3.42 系統(tǒng)失效 systematic failures在某些特定的環(huán)境下或某些特定輸入組合情況下，在平安生命周期任何階段的活動中由錯誤導(dǎo)致的失效。3.43 允許風(fēng)險 tolerable risk鐵路主管部門可接受的產(chǎn)品的最大等級風(fēng)險。 3.44 確認 validation 用客觀證據(jù)及檢驗來確定是否滿足指定的預(yù)期用途的特定要求。3.45 驗證 verification用客觀證據(jù)及檢驗來確定是否滿足規(guī)定要求。注意：

18、關(guān)于確認和驗證的區(qū)分見圖11和 5.2.9。4 鐵路 RAMS4.1 介紹4.1.1 本條款提供了關(guān)于RAMS和RAMS工程的根本信息，其目的是為讀者提供足夠的背景知識，從而使本標準能有效地運用到鐵路系統(tǒng)之中。4.1.2 鐵路RAMS對鐵路主管部門所提供效勞的質(zhì)量起主導(dǎo)作用。鐵路RAMS由幾個組成要素定義；因此，本條款的結(jié)構(gòu)如下： 1) 子條款 4.2 考查了鐵路RAMS和效勞質(zhì)量的關(guān)系。2) 子條款4.3 到 4.8 考查了鐵路RAMS的各個方面，即： - RAMS的要素；- 影響RAMS的因素和實現(xiàn)RAMS的方法；- 風(fēng)險和平安完整性。4.1.3 本條款盡量使用已定義的國際術(shù)語以及本標準條

19、款3中定義的鐵路領(lǐng)域形成的新術(shù)語或公認的術(shù)語。4.1.4 在本歐洲標準中，“系統(tǒng)，子系統(tǒng)，部件的順序用來說明從任意完整應(yīng)用到其組成局部的細目分類。每個術(shù)語系統(tǒng)，子系統(tǒng)，部件的精確界限依賴于特定的應(yīng)用。4.1.5 系統(tǒng)可定義為用一定的方法組織起來獲得特定功能的的子系統(tǒng)和部件的集合。這些功能分配給系統(tǒng)的子系統(tǒng)和部件，且系統(tǒng)的性能和狀態(tài)隨子系統(tǒng)或部件功能的變化而改變。系統(tǒng)對輸入作出響應(yīng)以產(chǎn)生指定的輸出，同時和環(huán)境交互。4.2 鐵路RAMS和效勞質(zhì)量4.1.2 本子條款介紹了關(guān)于某項任務(wù)的RAMS和效勞質(zhì)量的聯(lián)系。4.2.2 RAMS是系統(tǒng)的長期運行特征，在系統(tǒng)的整個生命周期內(nèi)，它由已建立的工程概念，

20、方法，工具和技術(shù)來實現(xiàn)。系統(tǒng)的RAMS可作為對系統(tǒng)、子系統(tǒng)或組成系統(tǒng)的部件的規(guī)定功能是可用和平安的信賴程度的定性和定量指標的刻畫。系統(tǒng)的RAMS在本歐洲標準中是可靠性，可用性，可維護性和平安性RAMS的組合。4.2.3 鐵路系統(tǒng)的目標是在指定時間內(nèi)平安地到達鐵路運輸?shù)囊?guī)定水平。鐵路RAMS描述了系統(tǒng)能保證實現(xiàn)此目標的置信度。鐵路RAMS會明顯地影響提供給用戶的效勞質(zhì)量。效勞質(zhì)量也受有關(guān)功能和性能參數(shù)的其它特性影響，例如效勞頻率，效勞標準和費用結(jié)構(gòu)。其關(guān)系如圖1所示。鐵路RAMS其它特性效勞質(zhì)量圖1 鐵路RAMS與效勞質(zhì)量4.3 鐵路RAMS的要素4.3.1 本子條款介紹了鐵路領(lǐng)域RAMS各要素

21、，可靠性、可用性、可維護性和平安性，間的相互作用。4.3.2 如果從對平安性要求和可用性要求之間的沖突管理不善就會阻礙獲得系統(tǒng)可信性的角度來看，平安性和可用性是內(nèi)在關(guān)聯(lián)的。鐵路RAMS各要素，可靠性、可用性、可維護性和平安性，間的內(nèi)在聯(lián)系見圖2。4.3.3 只有滿足可靠性和可維護性的所有要求，并控制正在進行的或長期的維護和運行活動以及系統(tǒng)環(huán)境才能到達運行期間的平安性和可用性目標。4.3.4 保密性，作為表征鐵路系統(tǒng)對抗成心破壞與不合理的人員行為的防御能力，可以認為是RAMS的更深層要素。然而，對保密性的考慮超出了本標準的范圍。鐵路RAMS平安性可用性可靠性和可維護性運行和維護圖2 鐵路RAMS

22、元素間的聯(lián)系4.3.5 可用性的技術(shù)概念基于以下知識：a) 可靠性,包括：- 指定應(yīng)用及環(huán)境下所有可能的系統(tǒng)失效模式；- 每種失效發(fā)生的概率或每種失效發(fā)生的幾率；- 失效對系統(tǒng)功能的影響。b) 可維護性,包括：- 執(zhí)行方案維護的時間；- 故障檢測、識別和定位的時間；- 失效系統(tǒng)的修復(fù)時間方案外維護。c) 運行和維護,包括：- 系統(tǒng)生命周期中所有可能的操作模式和要求的維護；- 人為因素問題。4.3.6 平安性的技術(shù)概念基于以下知識：a) 在所有運行、維護和環(huán)境模式下系統(tǒng)中所有可能的危險；b) 用危險結(jié)果的嚴重性表示的每個危險的特征；c) 平安性/平安相關(guān)的失效,包括：- 所有可能會導(dǎo)致危險的系統(tǒng)

23、失效模式平安相關(guān)失效模式，是所有可靠性失效模式的子集 4.3.5(a)；- 每個平安相關(guān)系統(tǒng)失效模式發(fā)生的概率；- 在應(yīng)用中，會導(dǎo)致事故的事件(即：導(dǎo)致事故的危險)的順序和/或并發(fā)、失效、運行狀態(tài)、環(huán)境條件等；- 應(yīng)用中，每個事件、失效、運行狀態(tài)、環(huán)境條件等發(fā)生的概率。d) 系統(tǒng)的平安相關(guān)局部的可維護性,包括：- 系統(tǒng)中與危險或平安相關(guān)失效模式有關(guān)的局部及其部件維護的方便性；- 系統(tǒng)中平安相關(guān)局部在維護活動期間發(fā)生的錯誤的概率；- 恢復(fù)系統(tǒng)到平安狀態(tài)的時間。e) 系統(tǒng)運行和系統(tǒng)的平安相關(guān)局部的維護,包括：- 人為因素對系統(tǒng)的所有平安相關(guān)局部的有效維護和系統(tǒng)平安運行的影響；- 用于系統(tǒng)的平安相關(guān)

24、局部有效維護和平安運行的工具、設(shè)施和過程；- 處理危險并降低其后果的有效控制和措施。4.3.7 系統(tǒng)中的失效，在應(yīng)用和環(huán)境范圍內(nèi)，會影響系統(tǒng)的表現(xiàn)。所有失效都對可靠性產(chǎn)生負面影響，而僅有某些特定失效才會在特定的應(yīng)用下對平安性有負面影響。環(huán)境可能影響系統(tǒng)的功能，進而影響鐵路應(yīng)用的平安性。這些聯(lián)系見圖3。鐵路應(yīng)用環(huán)境影響可靠性的負作用干擾威脅失效狀態(tài)/失效模式鐵路系統(tǒng)影響平安性的負面因素平安相關(guān)失效模式功能狀態(tài)圖3 系統(tǒng)失效的影響4.3.8 只有考慮了系統(tǒng)中RAMS各要素的相互作用及其標準說明，并獲得了系統(tǒng)優(yōu)化的RAMS組合，才能實現(xiàn)一個可信的鐵路系統(tǒng)。4.4 影響鐵路RAMS的因素4.4.1 總

25、那么4.4.1 .1 本子條款引入和定義了一個供識別影響鐵路系統(tǒng)RAMS的因素，尤其是識別人為因素影響的過程。這些因素及他們的效果是系統(tǒng)RAMS需求標準的輸入。4.4.1.2 鐵路系統(tǒng)RAMS受來自三個方面因素的影響：來源于在系統(tǒng)生命周期任何階段引入到系統(tǒng)內(nèi)部的失效系統(tǒng)條件、運行過程中強加于系統(tǒng)的失效運行條件和在維護活動中強加于系統(tǒng)的失效維護條件。這些失效源能相互作用，其關(guān)系見圖4，詳細內(nèi)容見圖5。RAMS維護條件運行條件系統(tǒng)條件圖4 對RAMS的影響4.4.1.3 為實現(xiàn)可信系統(tǒng)，需要識別影響RAMS的因素，評估他們的影響，并在系統(tǒng)生命周期內(nèi)應(yīng)用恰當(dāng)?shù)目刂苼砉芾懋a(chǎn)生這些影響的起因，以便優(yōu)化系

26、統(tǒng)的性能。4.4.2 因素分類4.4.2.1 本子條款詳細描述了定義因素的過程,這些因素將影響系統(tǒng)成功地到達符合規(guī)定的RAMS要求。4.4.2.2 從高層面看，工業(yè)應(yīng)用中影響系統(tǒng)RAMS的因素是普遍存在的。圖5包含了影響運輸系統(tǒng)RAMS的一些普遍的因素，也說明了這些因素之間的相互作用。為了確認影響鐵路系統(tǒng)RAMS的具體因素，在指定的系統(tǒng)環(huán)境中應(yīng)考慮每一個普遍的影響因素。4.4.2.3 關(guān)于人為因素對系統(tǒng)RAMS的影響，其分析在本標準要求的“系統(tǒng)途徑中是固有的。4.4.2.4 人為因素可以規(guī)定為人的性格、期望和行為對系統(tǒng)的影響。這些因素涉及到人體解剖學(xué)、生理學(xué)和心理學(xué)等方面。在滿足人對健康、平安

27、和工作需求下，人為因素的這些思想指導(dǎo)人們有效地工作。4.4.2.5 鐵路應(yīng)用通常包括廣范的人類群體，從旅客、操作人員、維持鐵路系統(tǒng)運行的人員到影響鐵路運行的其他人員，如平交道口的汽車司機。每類群體都可能以不同的方式反作用于鐵路系統(tǒng)。顯然，人類對鐵路RAMS中的潛在影響是巨大的。因此，在整個系統(tǒng)生命周期內(nèi)，與許多其它的工業(yè)應(yīng)用相比，為到達鐵路RAMS的需求必須更嚴格控制人為因素。4.4.2.6 人可認為具有有益于鐵路系統(tǒng)RAMS的能力。為到達這一目標，在整個生命周期內(nèi)，應(yīng)確定和管理人為因素影響鐵路RAMS的方式。在系統(tǒng)的設(shè)計和開發(fā)階段內(nèi)，分析應(yīng)包括人為因素對鐵路RAMS的潛在影響。4.4.2.7

28、 盡管在生命周期內(nèi)對人為因素的考慮具有普遍性，但針對具體的應(yīng)用人為因素對RAMS的精確影響具有特殊性。4.4.2.8 在具體的鐵路系統(tǒng)環(huán)境中，應(yīng)復(fù)核通用性因素，包括圖5所含的內(nèi)容。鐵路主管部門在招標時應(yīng)規(guī)定所有不可行因素。應(yīng)評審每一可行的通用性因素，并系統(tǒng)地導(dǎo)出詳細的、應(yīng)用特有的影響因素。人為因素問題整個RAMS管理程序的核心方面在評估時應(yīng)該說明。4.4.2.9 導(dǎo)出詳細影響因素的過程應(yīng)可通過使用覆蓋鐵路特定因素4.4.2.10和人為因素4.4.2.11的清單或圖5所示的替代圖得到。4.4.2.10 導(dǎo)出詳細的鐵路特定的影響因素應(yīng)包括對下述每一鐵路特定因素的考慮，但不限于此。應(yīng)注意下述列項是不

29、詳盡的，且應(yīng)根據(jù)應(yīng)用范圍和目的進行調(diào)整。a) 系統(tǒng)運行：- 系統(tǒng)必須執(zhí)行的任務(wù)和執(zhí)行該任務(wù)的條件；- 在運行環(huán)境內(nèi)旅客、貨物、員工和系統(tǒng)的共存；- 系統(tǒng)生命需求，包括系統(tǒng)生命期望、效勞密度和生命周期費用的要求。b) 環(huán)境：- 物理環(huán)境；- 該環(huán)境內(nèi)鐵路系統(tǒng)的高度集成；- 在鐵路環(huán)境中測試整個系統(tǒng)的有限時機。c) 應(yīng)用條件：- 既有根本設(shè)施與系統(tǒng)對新系統(tǒng)的約束；- 在生命周期作業(yè)內(nèi)維持鐵路效勞的需要。d) 運行條件：- 軌道旁的安裝條件；- 軌道旁的維護條件；- 在試運行和運行中已有系統(tǒng)和新型系統(tǒng)的集成。e) 失效分類：- 分布式鐵路系統(tǒng)內(nèi)失效的影響。鐵路RAMS可用性平安性維護條件運行條件系統(tǒng)

30、條件環(huán)境條件人為因素后勤任務(wù)剖面程序技術(shù)特性維護性維護程序售后效勞人為因素恢復(fù)性維護預(yù)防性維護任務(wù)概要變動人工校正措施人為錯誤外部干擾內(nèi)部干擾有條件維護系統(tǒng)失效隨機失效定期維護重組模式 要求錯誤 設(shè)計與實現(xiàn)不充分 制造缺陷 內(nèi)在缺點 軟件錯誤 工作指令缺乏 指令不充分 人為錯誤 等等 工作模式 環(huán)境 應(yīng)力降級 磨損 過應(yīng)力 等等診斷 內(nèi)部 外部診斷 手動 自動圖5 影響鐵路RAMS的因素4.4.2.11 導(dǎo)出詳細的人為影響因素應(yīng)包括對下述每一人為因素的考慮，但不只限于此。應(yīng)注意下述列項是不詳盡的，且應(yīng)根據(jù)應(yīng)用范圍和目的進行調(diào)整。a) 人機間系統(tǒng)功能的分配。b) 系統(tǒng)內(nèi)對人的行為的影響，包括：-

31、 人/系統(tǒng)接口；- 環(huán)境，包括物理環(huán)境和人類工程學(xué)的要求；- 人的工作方式；- 人的能力；- 人工任務(wù)的設(shè)計；- 人的互相配合；- 人工反響流程；- 鐵路組織結(jié)構(gòu)；- 鐵路文化；- 專業(yè)鐵路詞匯；- 引入新技術(shù)帶來的問題。c) 源于下述內(nèi)容的系統(tǒng)要求：- 人的能力；- 人的動機和志向的支持；- 減輕人的行為變動的影響；- 運行平安防護；- 人的反響時間與間隔。d) 源于人類信息處理能力的系統(tǒng)要求，包括：- 人機通信；- 信息傳送密度；- 信息傳送率；- 信息質(zhì)量；- 人對異常情形的反響；- 人員培訓(xùn)；- 支持人的決策形成過程；- 造成人員疲勞的其他因素。e) 人和系統(tǒng)接口對系統(tǒng)的影響，包括：-

32、 人/系統(tǒng)接口的設(shè)計和操作；- 人為錯誤的影響；- 人員成心違反規(guī)那么的影響；- 系統(tǒng)中人的干預(yù)和參與；- 人的系統(tǒng)監(jiān)控和濫用；- 人對風(fēng)險的感知；- 在系統(tǒng)關(guān)鍵范圍內(nèi)人所牽連的事務(wù)；- 人預(yù)測系統(tǒng)問題的能力。f) 系統(tǒng)設(shè)計與開發(fā)中的人為因素，包括：- 人的能力；- 設(shè)計中人的獨立性；- 驗證和確認中人所牽連的事務(wù)；- 人與自動化工具之間的接口；- 系統(tǒng)失效預(yù)防程序。4.4.2.12 推薦使用圖表法來導(dǎo)出詳細的因素，例如使用因果圖。圖6是一個簡單的因果圖。環(huán)境文件組織/管理目標配置人設(shè)備系統(tǒng)運行/維護鐵路RAMS圖6 因果圖例如4.4.3 因素管理每一影響因素對具體的鐵路系統(tǒng)RAMS的潛在影響

33、應(yīng)在適合于該具體的鐵路系統(tǒng)的某一級別上進行評估。這一評估應(yīng)考慮在生命周期的每一階段內(nèi)各個因素的影響，且應(yīng)在適合于該具體鐵路系統(tǒng)的級別上。評估應(yīng)該考慮有關(guān)影響因素的相互作用。對于人為因素來說，該評估也應(yīng)考慮彼此相關(guān)的每個因素的作用。4.5 實現(xiàn)鐵路RAMS需求的方法 4.5.1 總那么4.5.1.1 實現(xiàn)鐵路RAMS需求的方法與對整個系統(tǒng)生命內(nèi)影響RAMS因素的控制相關(guān)聯(lián)。有效的控制要求建立對在系統(tǒng)的實現(xiàn)和維持中引入的錯誤源進行防護的機制和程序。這些防御措施需要考慮隨機失效和系統(tǒng)失效。4.5.1.2 實現(xiàn)RAMS需求的方法基于采取預(yù)防措施，使在生命周期階段由錯誤所引起損傷的概率最小。預(yù)防措施是以

34、下的組合：a) 預(yù)防：降低損傷發(fā)生的概率；b) 防護：降低損傷后果的嚴重性。4.5.1.3 實現(xiàn)系統(tǒng)RAMS需求的策略，包括預(yù)防和/或防護措施的使用，應(yīng)被證明是正確的。4.5.2 RAMS 標準4.5.2.1 RAMS需求的標準是一個復(fù)雜的過程。在本標準詳述的過程根底上，附錄A舉例提供RAMS需求標準的概要?；诒緲藴实囊?，附錄B提供了概述RAMS規(guī)劃定義的步驟例如。這兩個參考性附錄僅起指導(dǎo)作用，并以機車車輛為例一起編輯。附錄B中還包含了適當(dāng)?shù)腞AMS分析工具一覽表。選擇一個適宜的工具取決于所考核的系統(tǒng)及因素，如其危險程度、新穎性、復(fù)雜程度等。4.5.2.2 表1定義了適用于鐵路應(yīng)用的RAM

35、S失效的種類。表1 RAM失效目錄失效種類定義重大停車失效產(chǎn)生導(dǎo)致阻止列車運行或遠大于規(guī)定延誤時間的效勞或大大超出指定費用等級的失效。主要的效勞失效- 系統(tǒng)為獲得規(guī)定性能必須整修的失效；- 不導(dǎo)超出重大失效中規(guī)定的費用和延誤最小限定的失效。次要- 不阻礙系統(tǒng)實現(xiàn)規(guī)定性能的失效；- 不符合重大失效和主要失效標準的失效。4.5.2.3 附錄C參考性列出了表征鐵路系統(tǒng)可靠性、可維修性、可用性、后勤保障和平安要求的適當(dāng)參數(shù)，特殊參數(shù)取決于具體系統(tǒng)。所有使用的RAMS參數(shù)應(yīng)在鐵路主管部門及鐵路支承工業(yè)之間達成一致。當(dāng)參數(shù)可以用可互換的不同量綱表示時，應(yīng)提供它們之間的變換因子。4.6 風(fēng)險4.6.1 風(fēng)險

36、概念風(fēng)險的概念由以下兩個要素組成：- 導(dǎo)致危險的事件或事件組合發(fā)生的概率或這些事件發(fā)生的頻率；- 危險的后果。4.6.2 風(fēng)險分析4.6.2.1 在系統(tǒng)生命周期的各個階段，風(fēng)險分析應(yīng)由負責(zé)該階段的主管部門來進行，并應(yīng)形成文件。該文件至少應(yīng)包括：a) 分析方法學(xué)；b) 方法學(xué)的假設(shè)、限制和判據(jù)；c) 危險鑒定結(jié)果；d) 風(fēng)險估計結(jié)果和置信度水平；e) 折衷選擇的研究結(jié)果；f ) 數(shù)據(jù)及其來源與置信度水平；g) 參考文件。4.6.2.2 表2用定性的術(shù)語提供鐵路系統(tǒng)中危險事件發(fā)生概率或頻度的典型分類，并對每類進行描述。這些類別及其數(shù)值、采用的數(shù)值定標應(yīng)由鐵路主管部門規(guī)定并與具體的應(yīng)用相適應(yīng)。表2

37、危險事件出現(xiàn)的頻度分 類定 義頻 繁頻繁的出現(xiàn)，危險將一直存在經(jīng) 常發(fā)生屢次，危險可以預(yù)期經(jīng)常出現(xiàn)有 時可能發(fā)生幾次，危險預(yù)期有幾次出現(xiàn)很 少在系統(tǒng)生命周期的某個時期可能發(fā)生，危險能合理地預(yù)期出現(xiàn)極 少不太可能發(fā)生但可能存在，可假定危險可極少出現(xiàn)幾乎不可能幾乎不可能發(fā)生，可假定危險不會發(fā)生4.6.2.3 后果分析應(yīng)可用于估計可能的影響。表3對所有鐵路系統(tǒng)描述了典型的危險嚴重等級和每個嚴重等級的相關(guān)后果。所應(yīng)用的嚴重等級數(shù)值和每個嚴重等級的后果由鐵路主管部門規(guī)定并與具體的應(yīng)用相適應(yīng)。表3危險嚴重等級嚴重等級對環(huán)境或人的影響給效勞帶來的后果特大多人死亡，和/或是多方面的嚴重傷害，和/或?qū)Νh(huán)境的嚴重

38、損害重大一人死亡，和/或是單個嚴重傷害，和/或是對環(huán)境產(chǎn)生明顯的損害主系統(tǒng)受損次要較小的損傷和/或?qū)Νh(huán)境的明顯影響嚴重的系統(tǒng)損害輕微可能存在的較小的傷害較小的系統(tǒng)損害4.6.3 風(fēng)險評估和驗收4.6.3.1 本子條款論述了“頻度-后果矩陣的構(gòu)成，它用于風(fēng)險分析結(jié)果評估、風(fēng)險分類、降低風(fēng)險或消除不容許風(fēng)險的措施和風(fēng)險驗收。4.6.3.2 風(fēng)險評估應(yīng)結(jié)合危險事件的發(fā)生頻度及其后果的嚴重性用于確定危險事件產(chǎn)生的風(fēng)險等級來進行。“頻度后果矩陣見表4所示。表4 頻度后果矩陣危險事件的發(fā)生頻度風(fēng) 險 等 級頻繁經(jīng)常有時很少極少幾乎不可能輕微次要重大特大危 險 后 果 的 嚴 重 等 級4.6.3.3 風(fēng)險

39、驗收應(yīng)基于普遍公認的原那么?？梢岳玫脑敲从性S多，如下面的幾個例子這些原那么的更多信息見附錄D： 低到適當(dāng)可行原理ALARP原理在英國使用； GAMAB原理法國使用。這個原理的完整表述是：“所有新型的導(dǎo)向式運輸系統(tǒng)必須提供一個風(fēng)險等級，此等級整體上至少與任何等效的現(xiàn)有系統(tǒng)所提供的等級一樣好。 最小內(nèi)在死亡率MEM原理在德國使用。表5規(guī)定了定性的風(fēng)險分類及應(yīng)對防范每一類風(fēng)險的措施。鐵路主管部門應(yīng)負責(zé)規(guī)定所采用的原那么、容許風(fēng)險等級和可分成不同風(fēng)險種類的標準。表5 定性的風(fēng)險種類風(fēng)險種類對每一類風(fēng)險所采取的防范措施不容許的應(yīng)該消除不希望的當(dāng)風(fēng)險降低不可行時，應(yīng)經(jīng)過鐵路主管部門或平安規(guī)章主管部門同

40、意前方可接受容許的采用充分控制并經(jīng)鐵路主管部門同意后可以接受可忽略的有或無鐵路主管部門同意均可接受4.6.3.4 表6給出了風(fēng)險評估和用于風(fēng)險驗收的風(fēng)險降低/控制的例子。表6 風(fēng)險評估和驗收的典型例子危險事件發(fā)生的頻度*風(fēng) 險 等 級頻繁不希望的不容許的不容許的不容許的經(jīng)常容許的不希望的不容許的不容許的有時容許的不希望的不希望的不容許的很少可忽略的容許的不希望的不希望的極少可忽略的可忽略的容許的容許的幾乎不可能可忽略的可忽略的可忽略的可忽略的輕微次要重大特大危 險 后 果 的 嚴 重 等 級* 危害性事件發(fā)生頻度的定標取決于具體的應(yīng)用 (4.6.2.2)不容許的不希望的容許的可忽略的風(fēng)險評估風(fēng)險降低/控制應(yīng)該消除不經(jīng)同意就可接受經(jīng)充分控制并經(jīng)鐵路主管部門同意后可以接受只有當(dāng)風(fēng)險降低不可行時才可接受，并且需要鐵路主管或平安主管機構(gòu)的同意4.7 平安完整性4.7.1 以風(fēng)險評審過程的結(jié)果為根底，當(dāng)設(shè)定了應(yīng)用的平安等級并已并估計了必要的風(fēng)險降低后，就