EN50126中文2

1、鐵路設(shè)施-可靠性、可用性、可維修性和安全性（RAMS）的規(guī)范和論證上海志勵(lì)軌道交通科技有限公司譯（僅供參考，以原文為準(zhǔn)）前言英國(guó)標(biāo)準(zhǔn)是EN50126：1999的英文版。該標(biāo)準(zhǔn)的英方籌備者為GEL/9技術(shù)委員會(huì)的鐵路電氣技術(shù)應(yīng)用部門，他們負(fù)責(zé)：- 幫助咨詢者了解文件內(nèi)容- 向負(fù)責(zé)的歐洲委員會(huì)提交所有針對(duì)條文解釋的詢問，或修改提議。并通知英方。- 關(guān)注全球和歐洲的發(fā)展情況，并將信息在英國(guó)進(jìn)行發(fā)布。該委員會(huì)的組織列表可向它的秘書處索取。互見條目英國(guó)標(biāo)準(zhǔn)的國(guó)際或歐洲出版物中關(guān)于該文件的內(nèi)容可在BSI標(biāo)準(zhǔn)目錄的“國(guó)際標(biāo)準(zhǔn)索引”部分找到，或可在BSI標(biāo)準(zhǔn)電子目錄中運(yùn)用“Find”功能進(jìn)行查找。英國(guó)標(biāo)準(zhǔn)不聲

2、稱囊括一個(gè)合同的所有必須條款。英國(guó)標(biāo)準(zhǔn)的使用者應(yīng)對(duì)他們的正確應(yīng)用負(fù)責(zé)。符合英國(guó)標(biāo)準(zhǔn)并不意味著自身可免除法律責(zé)任。概覽本文件包含一個(gè)封面、一個(gè)內(nèi)封面、EN標(biāo)題頁、第270頁、一個(gè)內(nèi)封底和一個(gè)封底本文件中的BSI版權(quán)聲明列出了它的最后簽發(fā)日期。英國(guó)標(biāo)準(zhǔn)在電氣技術(shù)部門委員會(huì)的指導(dǎo)下籌備，在標(biāo)準(zhǔn)委員會(huì)的授權(quán)下出版，并于1999年12月15日生效出版后的修訂修訂編號(hào)日期備注歐洲標(biāo)準(zhǔn)EN 50126英文版鐵路設(shè)施-可靠性、可用性、可維修性和安全性（RAMS）的規(guī)范和論證1998年10月1日，該歐洲標(biāo)準(zhǔn)通過CENELEC的審批。CENELEC成員有義務(wù)遵守內(nèi)部規(guī)章。規(guī)章規(guī)定了該歐洲標(biāo)準(zhǔn)可不做任何改動(dòng)即成為國(guó)

3、家標(biāo)準(zhǔn)。該國(guó)家標(biāo)準(zhǔn)的相關(guān)最新列表和參考文獻(xiàn)可向中心秘書處或任一CENELEC成員申請(qǐng)獲得。該歐洲標(biāo)準(zhǔn)有三種官方版本（英文、法文和德文）。其它語言版本由CENELEC成員負(fù)責(zé)翻譯完成。他們將其譯成本國(guó)語言并通知中心秘書處。這些版本與官方版本具有同等地位。CENELEC成員為澳大利亞、比利時(shí)、捷克、丹麥、芬蘭、法國(guó)、德國(guó)、希臘、冰島、愛爾蘭、意大利、盧森堡、新西蘭、挪威、葡萄牙、西班牙、瑞典、瑞士和英國(guó)的國(guó)家標(biāo)準(zhǔn)機(jī)構(gòu)。CENELEC電氣技術(shù)標(biāo)準(zhǔn)歐洲委員會(huì)中心秘書處：前言該歐洲標(biāo)準(zhǔn)由技術(shù)委員會(huì)CENELEC TC 9X鐵路電氣和電氣設(shè)施部門擬訂。1998年10月1日草案被正式提交表決，并通過CENE

4、LEC審批，成為EN50126標(biāo)準(zhǔn)。下列日期已確定：- 通過發(fā)布國(guó)家標(biāo)準(zhǔn)或通過背簽，規(guī)定標(biāo)準(zhǔn)必須作為國(guó)家標(biāo)準(zhǔn)執(zhí)行的最終期限- 標(biāo)準(zhǔn)與國(guó)家標(biāo)準(zhǔn)有沖突的部分必須撤消的最終期限附錄中的“標(biāo)準(zhǔn)”為標(biāo)準(zhǔn)的一部分附錄中的“提示”只提供信息本標(biāo)準(zhǔn)中，附錄A到E為提示內(nèi) 容引言1 范圍2 引用標(biāo)準(zhǔn)3 定義4 鐵路RAMS4.1 介紹4.2 鐵路RAMS和服務(wù)質(zhì)量4.3 鐵路RAMS的元素4.4 影響鐵路RAMS的因素4.4.1概述4.4.2因素類別4.4.3因素管理4.5 達(dá)到鐵路RAMS要求的方法4.5.1概述4.5.2RAMS規(guī)范4.6風(fēng)險(xiǎn)4.6.1風(fēng)險(xiǎn)理念風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估和驗(yàn)收4.7安全完整性4.8自動(dòng)

5、防止失效理念5鐵路RAMS管理5.1概述5.2系統(tǒng)生命周期5.3本標(biāo)準(zhǔn)的應(yīng)用6RAMS生命周期6.1第1階段：構(gòu)思6.2第2階段：系統(tǒng)定義和應(yīng)用條件6.3第3階段：風(fēng)險(xiǎn)分析6.4第4階段：系統(tǒng)要求6.5第5階段：系統(tǒng)要求分配6.6第6階段：設(shè)計(jì)和執(zhí)行6.7第7階段：制造6.8第8階段：安裝6.9第9階段：系統(tǒng)驗(yàn)證（包含安全驗(yàn)收和調(diào)試）6.10第10階段：系統(tǒng)驗(yàn)收6.11第11階段：操作和維修6.12第12階段：性能監(jiān)控6.13第13階段：改進(jìn)和改型6.14第14階段：退役和報(bào)廢附錄A（信息）RAMS規(guī)范綱要 - 示例附錄B（信息）RAMS程序附錄C（信息）鐵路標(biāo)準(zhǔn)示例附錄D（信息）若干風(fēng)險(xiǎn)認(rèn)可

6、原則示例附錄E（信息）貫穿生命周期的RAMS過程中的職責(zé)圖圖1：服務(wù)質(zhì)量和鐵路RAMS圖2：鐵路RAMS元素的內(nèi)部關(guān)系圖3：系統(tǒng)中的失效影響圖4：對(duì)RAMS的影響圖5：影響鐵路RAMS的因素圖6：原因/效果圖示例圖7：安全系統(tǒng)中的產(chǎn)品鑒定圖8：系統(tǒng)生命周期圖9：項(xiàng)目階段相關(guān)任務(wù)（表2-2）圖10：“V”形表示法圖11：驗(yàn)證和檢驗(yàn)圖12：系統(tǒng)實(shí)現(xiàn)過程中的RAMS構(gòu)建和管理表表1：RAM失效類別表2：危險(xiǎn)事件的發(fā)生頻率表3：危險(xiǎn)嚴(yán)重等級(jí)表4：頻率-后果矩陣表5：風(fēng)險(xiǎn)定性類別表6：風(fēng)險(xiǎn)評(píng)估和認(rèn)可的典型示例表B.1：基本RAMS程序綱要示例表C.1：可靠性標(biāo)準(zhǔn)示例表C.2：可維修性標(biāo)準(zhǔn)示例表C.3：可

7、用性標(biāo)準(zhǔn)示例表C.4：物流服務(wù)標(biāo)準(zhǔn)示例表C.5：安全性能標(biāo)準(zhǔn)示例引言本歐洲標(biāo)準(zhǔn)向整個(gè)歐盟范圍內(nèi)的鐵道部和鐵路業(yè)務(wù)部門提供一個(gè)運(yùn)作過程，實(shí)現(xiàn)對(duì)可靠性、可用性、可維修性和安全性（首字母組成RAMS）的持續(xù)管理。對(duì)RAMS要求的規(guī)范和論證過程是本標(biāo)準(zhǔn)的核心內(nèi)容。本標(biāo)準(zhǔn)的目標(biāo)為促進(jìn)RAMS的普及和管理。該歐洲標(biāo)準(zhǔn)可由鐵道部和鐵路業(yè)務(wù)部門在鐵路設(shè)施生命周期的所有階段系統(tǒng)執(zhí)行，以建立鐵路特定的RAMS要求，并滿足這些要求。由本歐洲標(biāo)準(zhǔn)定義的系統(tǒng)管理便于對(duì)復(fù)雜鐵路設(shè)施各元素間RAMS的相互作用進(jìn)行評(píng)估。該歐洲標(biāo)準(zhǔn)推動(dòng)了鐵道部和鐵路業(yè)務(wù)部門在各種采購策略方面的合作，以獲得鐵路設(shè)施的RAMS和成本的優(yōu)化組合。該

8、歐洲標(biāo)準(zhǔn)的采用將支持歐洲單一市場(chǎng)的原則，便于歐洲鐵路的交互運(yùn)作。由該歐洲標(biāo)準(zhǔn)定義的運(yùn)作過程假設(shè)鐵道部和鐵路業(yè)務(wù)部門具有商業(yè)政策規(guī)定的質(zhì)量、業(yè)績(jī)和安全性。本標(biāo)準(zhǔn)定義的管理與ISO9000系列國(guó)際標(biāo)準(zhǔn)中的質(zhì)量管理要求相一致。1 范圍1.1本歐洲標(biāo)準(zhǔn)- 在可靠性、可用性、可維修性和安全性以及它們的相互作用方面定義了RAMS- 定義了一個(gè)運(yùn)作過程，它基于系統(tǒng)生命周期和任務(wù)，用于管理RAMS- 使RAMS各元素間的沖突得到有效的控制和管理- 定義了一個(gè)系統(tǒng)過程，列出RAMS要求，并說明如何滿足這些需求- 列出鐵路規(guī)范- 沒有定義RAMS目標(biāo)、數(shù)量、特殊鐵路設(shè)施的要求或解決方案- 沒有規(guī)定確保系統(tǒng)安全性的

9、要求- 沒有定義證明鐵路產(chǎn)品不符合本標(biāo)準(zhǔn)要求的規(guī)則或方法- 沒有定義安全管理部門的審批程序1.2本歐洲標(biāo)準(zhǔn)適用于：- 所有鐵路設(shè)施和設(shè)施所有級(jí)別的RAMS規(guī)范和論證，從完整的鐵路線路到鐵路線路中的主要系統(tǒng)，直到主系統(tǒng)中單個(gè)和組合的子系統(tǒng)和元件，還包括它們所含的軟件，尤其是：- 新系統(tǒng)- 現(xiàn)有系統(tǒng)（在執(zhí)行本標(biāo)準(zhǔn)前已投入運(yùn)作）中集成的新系統(tǒng)，即使它不普通適用于現(xiàn)有系統(tǒng)的其它方面- 現(xiàn)有系統(tǒng)（在執(zhí)行本標(biāo)準(zhǔn)前已投入運(yùn)作）的改造，即使它不普通適用于現(xiàn)有系統(tǒng)的其它方面- 設(shè)施生命周期的所有相關(guān)階段- 供鐵道部和鐵路業(yè)務(wù)部門使用注意本標(biāo)準(zhǔn)的要求中列出了適用性指導(dǎo)2引用標(biāo)準(zhǔn)本歐洲標(biāo)準(zhǔn)含有對(duì)其它標(biāo)準(zhǔn)條款的注日期

10、或未注日期的引用。引用標(biāo)準(zhǔn)見下方列表，它們被引用在本標(biāo)準(zhǔn)的適當(dāng)?shù)胤?。?duì)于注日期的引用，這些標(biāo)準(zhǔn)如有后續(xù)修改或修訂，只有通過對(duì)本標(biāo)準(zhǔn)進(jìn)行修改或修訂將其涵蓋在內(nèi)，才可適用。對(duì)于未注日期的引用，適用標(biāo)準(zhǔn)的最新版本。EN ISO 90011994質(zhì)量體系-設(shè)計(jì)、研制、生產(chǎn)、裝配和維修的質(zhì)量認(rèn)證規(guī)范EN ISO 90021994質(zhì)量體系-生產(chǎn)、裝配和維修的質(zhì)量認(rèn)證規(guī)范EN ISO 90031994質(zhì)量體系-最終檢測(cè)的質(zhì)量認(rèn)證規(guī)范EN 50128鐵路設(shè)施-鐵路控制和防護(hù)系統(tǒng)軟件EN 501291998鐵路設(shè)施-電子信號(hào)系統(tǒng)的安全性IEC 60050（191）1990國(guó)際電工詞匯-第191章：可靠性和服務(wù)質(zhì)

11、量IEC 61508系列電氣/電子/可編程序的電子安全相關(guān)系統(tǒng)的功能安全3 定義本標(biāo)準(zhǔn)包含以下定義。3.1 分配在系統(tǒng)的各組成項(xiàng)之間細(xì)分系統(tǒng)RAMS元素的一個(gè)過程，用于制定單個(gè)目標(biāo)。3.2評(píng)估進(jìn)行一項(xiàng)調(diào)查，依據(jù)證據(jù)對(duì)產(chǎn)品適用性進(jìn)行評(píng)估。3.3審計(jì)一項(xiàng)系統(tǒng)和獨(dú)立的檢查，確定針對(duì)產(chǎn)品要求進(jìn)行的程序是否與預(yù)先規(guī)劃相一致，是否被有效執(zhí)行，以及是否達(dá)到特定的目標(biāo)。3.4可用性假設(shè)具備所需外部條件的情況下，在給定時(shí)間段或給定時(shí)間間隔內(nèi)，產(chǎn)品實(shí)現(xiàn)所需功能的能力。3.5調(diào)試一系列動(dòng)作的合稱，為使系統(tǒng)或產(chǎn)品滿足具體要求而進(jìn)行的準(zhǔn)備。3.6共因失效一個(gè)或多個(gè)事件引發(fā)的故障，導(dǎo)致兩個(gè)或更多元件的共同失效，最終導(dǎo)致系

12、統(tǒng)無法實(shí)現(xiàn)所需功能。3.7一致性論證產(chǎn)品的性能或特質(zhì)滿足規(guī)定要求。3.8配置管理運(yùn)用技術(shù)和行政導(dǎo)向和監(jiān)督，定義和記錄一個(gè)配置項(xiàng)目的功能和物理特性，控制這些特性的改變，記錄和報(bào)告改變過程和執(zhí)行狀態(tài)，驗(yàn)證是否符合具體要求。3.9矯正性維修失效識(shí)別后進(jìn)行的維修，使產(chǎn)品可實(shí)現(xiàn)所需功能。3.10從屬失效一系列失效事件，發(fā)生的可能性不能簡(jiǎn)單地解釋為單個(gè)事件不可避免的發(fā)生。3.11停工時(shí)間產(chǎn)品處于停工狀態(tài)的時(shí)間間隔（IEC 60050（191）3.12失效原因在設(shè)計(jì)、制造或使用中導(dǎo)致失效的情況（IEC 60050（191）3.13失效模式某個(gè)項(xiàng)目預(yù)計(jì)的或觀察到的失效結(jié)果，它與失效發(fā)生時(shí)的操作條件相關(guān)3.14

13、失效率條件概率的極限（如果存在的話）：在給定的時(shí)間間隔（t,t+t），間隔長(zhǎng)度為t，當(dāng)t趨向零，產(chǎn)品失效的時(shí)間段T降低。假定時(shí)間間隔初期，T處于上升狀態(tài)。3.15錯(cuò)誤模式對(duì)于一個(gè)給定的功能需求，一個(gè)失效產(chǎn)品可能的所處狀態(tài)。3.16失效樹形分析一種分析方法，用于確定哪種產(chǎn)品和子產(chǎn)品的錯(cuò)誤模式、外部事件或它們的組合可能導(dǎo)致某種產(chǎn)品錯(cuò)誤模式。該方法以失效樹的形式表示。3.17危險(xiǎn)會(huì)潛在造成人員傷害的物理狀態(tài)。3.18危險(xiǎn)日志記錄或引用安全管理行動(dòng)、危險(xiǎn)識(shí)別、作出決定和采用方案的文件。也被稱為“安全日志”（ENV 50129）3.19物流服務(wù)安排和組織整體資源，以便于在規(guī)定的可用級(jí)和要求的生命周期成本

14、內(nèi)操作和維護(hù)系統(tǒng)。3.20可維修性在規(guī)定的時(shí)間和規(guī)定的條件下，按規(guī)定的程序和手段實(shí)施維修時(shí)，元件或系統(tǒng)在規(guī)定的使用條件下，保持或恢復(fù)能執(zhí)行規(guī)定功能狀態(tài)的能力。3.21維修所有技術(shù)和管理行為的組合，包括監(jiān)督行為，使產(chǎn)品保持（或恢復(fù)到）一個(gè)狀態(tài)，以便于執(zhí)行一項(xiàng)所需功能。（IEC 60050（191）3.22維修規(guī)則描述一個(gè)維修項(xiàng)目適用的維修級(jí)別、維修約定級(jí)和維修等級(jí)之間的內(nèi)部關(guān)系。（IEC 60050（191）3.23任務(wù)對(duì)系統(tǒng)執(zhí)行的基本任務(wù)的客觀描述。3.24任務(wù)概述任務(wù)預(yù)期范圍和變化的概述，涉及生命周期中可運(yùn)行階段的時(shí)間、負(fù)載、速度、距離、站點(diǎn)、隧道等參數(shù)。3.25防護(hù)性維修在預(yù)先確定的時(shí)間間

15、隔或按照規(guī)定的標(biāo)準(zhǔn)進(jìn)行維修，以便于降低失效發(fā)生的可能性或防止某一部分功能的減弱。（IEC 60050（191）3.26鐵道部對(duì)鐵路系統(tǒng)的運(yùn)行負(fù)有全責(zé)的一方。注意：鐵道部對(duì)整個(gè)系統(tǒng)或它的部件以及分配給一方或多方的生命周期行為負(fù)責(zé)。例如：- 系統(tǒng)資產(chǎn)的一個(gè)部分或多個(gè)部分的擁有者和他們的采購代理- 系統(tǒng)的運(yùn)營(yíng)方- 系統(tǒng)一個(gè)或多個(gè)部分的維修方- 等這些任務(wù)分配可依據(jù)法定文件或商定的協(xié)議。在系統(tǒng)生命周期的最初階段，應(yīng)明確這些職責(zé)。3.27鐵路業(yè)務(wù)部門統(tǒng)稱整個(gè)鐵路系統(tǒng)、它們的子系統(tǒng)或元件的供應(yīng)商。3.28RAM程序關(guān)于設(shè)定時(shí)間的行為、資源和事件的一組文件。它們用于設(shè)定組織結(jié)構(gòu)、職責(zé)、程序、行為、能力和資源

16、，確保滿足規(guī)定合同或項(xiàng)目的規(guī)定RAM要求（IEC 60050（191）3.29RAMS首字母縮寫詞，表示可靠性、可用性、可維修性和安全性的組合3.30可靠性在規(guī)定時(shí)間間隔（t1, t2）和規(guī)定條件下，執(zhí)行所需功能的可能性3.31可靠性提高隨時(shí)間推移可靠性得到提高的一種狀態(tài)3.32修理矯正性維修中手動(dòng)修理的部分3.33復(fù)位發(fā)生錯(cuò)誤后，恢復(fù)執(zhí)行所需功能的能力。(IEC 60050(191)3.34風(fēng)險(xiǎn)造成傷害的危險(xiǎn)的發(fā)生率和傷害嚴(yán)重程度3.35安全性避免不可接受的傷害風(fēng)險(xiǎn)3.36安全情況報(bào)告說明產(chǎn)品符合規(guī)定安全要求的文件3.37安全完整性在規(guī)定的時(shí)間范圍內(nèi)和所有規(guī)定的條件下，系統(tǒng)能令人滿意地執(zhí)行所

17、需安全功能的可能性3.38安全完整性等級(jí)（SIL）定義處理級(jí)別的一個(gè)數(shù)字，用于規(guī)定分配給安全相關(guān)系統(tǒng)的安全功能的安全完整性要求。安全完整性等級(jí)數(shù)字最高的具有最高安全完整性。3.39安全計(jì)劃關(guān)于設(shè)定時(shí)間的行為、資源和事件的一組文件。它們用于設(shè)定組織結(jié)構(gòu)、職責(zé)、程序、行為、能力和資源，確保滿足規(guī)定合同或項(xiàng)目的規(guī)定安全性要求（IEC 60050（191）3.40安全管理部門通常由國(guó)家政府部門負(fù)責(zé)制定或?qū)徟F路的安全性要求，并確保鐵路符合要求。3.41系統(tǒng)生命周期一段時(shí)間內(nèi)的行為，始于系統(tǒng)構(gòu)思，終于系統(tǒng)不再被使用、退役或報(bào)廢。3.42系統(tǒng)性失效在所有階段，任何安全生命周期行為中的錯(cuò)誤導(dǎo)致的失效，它使系

18、統(tǒng)在某些特殊輸入組合或某些特殊環(huán)境條件下出錯(cuò)。3.43可接受風(fēng)險(xiǎn)鐵道部可接受的產(chǎn)品最大風(fēng)險(xiǎn)等級(jí)。3.44驗(yàn)證通過檢查和提供客觀證據(jù)，確定一項(xiàng)特定應(yīng)用的特殊要求被滿足。3.45證明通過檢查和提供客觀證據(jù)，確定規(guī)定要求被滿足。注意證明和驗(yàn)證的區(qū)別參見圖 11和章節(jié)4 鐵路RAMS4.1 概述 本標(biāo)準(zhǔn)的第4條款提供了RAMS和RAMS工程的基本信息。本條款的目的在于向讀者提供充足的背景信息，以便于本標(biāo)準(zhǔn)在鐵路系統(tǒng)的有效推行。 鐵路RAMS對(duì)鐵道部提供的服務(wù)質(zhì)量起關(guān)鍵作用。鐵路RAMS是由幾個(gè)影響因素確定的，因此，本歐洲標(biāo)準(zhǔn)具有如下結(jié)構(gòu)：1) 子條款4.2檢查鐵路RAMS和服務(wù)質(zhì)量之間的關(guān)系2) 子條

19、款4.3到4.8檢查鐵路RAMS的各個(gè)方面，主要是：- RAMS元素- 影響RAMS的因素和達(dá)到RAMS要求所需的因素- 風(fēng)險(xiǎn)和安全完整性 本條款中會(huì)用到一些國(guó)際定義的名詞，對(duì)于所需的新名詞或鐵路文件中專門定義的專用名詞，請(qǐng)參見第3條款 在本歐洲標(biāo)準(zhǔn)中，序列“系統(tǒng)、子系統(tǒng)、元件”用于將整體應(yīng)用分解到它的構(gòu)成部件。每個(gè)名詞（系統(tǒng)、子系統(tǒng)和元件）的精確界定依據(jù)具體應(yīng)用而定。 系統(tǒng)可定義為子系統(tǒng)和元件的組裝，它們按設(shè)定的方式相互連接，以實(shí)現(xiàn)特定的功能。功能被分配給系統(tǒng)中的子系統(tǒng)和元件，如果子系統(tǒng)或元件的功能發(fā)生改變，系統(tǒng)的行為和狀態(tài)也會(huì)改變。系統(tǒng)針對(duì)輸入的反應(yīng)會(huì)產(chǎn)生特定的輸出，同時(shí)與環(huán)境相互作用。4

20、.2 鐵路RAMS和服務(wù)質(zhì)量 本子條款介紹運(yùn)營(yíng)過程中RAMS和服務(wù)質(zhì)量之間的關(guān)系 RAMS是系統(tǒng)長(zhǎng)期運(yùn)行中的一個(gè)特性。它通過在系統(tǒng)生命周期中建立工程構(gòu)想、途徑、工具和技術(shù)來實(shí)現(xiàn)。一個(gè)系統(tǒng)的RAMS可被看作一個(gè)質(zhì)量性的特征，顯示在多大程度上能依賴該系統(tǒng)或組成該系統(tǒng)的子系統(tǒng)和元件完成規(guī)定的功能，同時(shí)保證可用性和安全性。系統(tǒng)RAMS，在本歐洲標(biāo)準(zhǔn)中，是可靠性、可用性、可維修性和安全性的組合，即RAMS。 鐵路系統(tǒng)的目標(biāo)是在給定的時(shí)間內(nèi)達(dá)到一個(gè)設(shè)定的鐵路運(yùn)送等級(jí)，同時(shí)保證安全。鐵路RAMS描述了怎樣的系統(tǒng)可保證達(dá)到這個(gè)目標(biāo)。鐵路RAMS會(huì)影響對(duì)乘客的服務(wù)質(zhì)量。其它特性如功能和績(jī)效也會(huì)影響服務(wù)質(zhì)量，如影

21、響服務(wù)頻率、服務(wù)的規(guī)律性和票價(jià)結(jié)構(gòu)。圖1顯示了這些關(guān)系。服務(wù)質(zhì)量其它因素鐵路RAMS圖1-服務(wù)質(zhì)量和鐵路RAMS4.3 鐵路RAMS的元素 本子條款介紹鐵路系統(tǒng)中RAMS元素（可靠性、可用性、可維修性和安全性）之間的相互作用。 安全性和可用性是有內(nèi)在聯(lián)系的，安全性或可用性的薄弱或?qū)烧咧g的沖突無法調(diào)和會(huì)阻礙一個(gè)可靠系統(tǒng)的實(shí)現(xiàn)。鐵路RAMS元素（可靠性、可用性、可維修性和安全性）之間的內(nèi)在關(guān)系參見圖2。 只有當(dāng)所有可靠性和可維修性要求得到滿足，并且對(duì)進(jìn)行中的、長(zhǎng)期的、維修和操作行為以及系統(tǒng)環(huán)境進(jìn)行控制，才能達(dá)到服務(wù)安全性和可用性的目標(biāo)。 防護(hù)性，作為鐵路系統(tǒng)針對(duì)破壞和個(gè)人不合理行為的自我恢復(fù)能

22、力，可被看作RAMS的一個(gè)進(jìn)階元素。但是，對(duì)于防護(hù)性的探討不屬于本標(biāo)準(zhǔn)的范圍。鐵路RAMS安全性可用性可靠性和可維修性運(yùn)行和維修圖2-鐵路RAMS元素之間的內(nèi)部關(guān)系 可用性的技術(shù)概念基于以下幾個(gè)方面：a)可靠性與以下幾項(xiàng)的關(guān)系- 在特定應(yīng)用和環(huán)境中，所有可能的系統(tǒng)失效模式- 每個(gè)失效發(fā)生的可能性，或發(fā)生率- 失效對(duì)系統(tǒng)功能的影響b)可維修性與以下幾項(xiàng)的關(guān)系- 執(zhí)行計(jì)劃維修的時(shí)間- 檢測(cè)、識(shí)別和定位錯(cuò)誤的時(shí)間- 發(fā)生錯(cuò)誤的系統(tǒng)復(fù)位的時(shí)間（計(jì)劃外維修）c)運(yùn)行和維修與以下幾項(xiàng)的關(guān)系- 在系統(tǒng)生命周期中，所有可能的操作模式和所需維修- 人員因素 安全性的技術(shù)概念基于以下幾個(gè)方面：a) 所有運(yùn)行、維修

23、和環(huán)境模式下，系統(tǒng)中所有可能的危險(xiǎn)b) 每個(gè)危險(xiǎn)的特性與它的后果嚴(yán)重性的關(guān)系c) 安全性/與安全性相關(guān)的失效與以下幾點(diǎn)的關(guān)系- 所有系統(tǒng)失效模式都會(huì)導(dǎo)致一個(gè)危險(xiǎn)（與安全性相關(guān)的失效模式）。這是所有可靠性失效模式（a）的一個(gè)子集。- 每個(gè)與安全性相關(guān)的系統(tǒng)失效模式發(fā)生的可能性- 運(yùn)行中會(huì)導(dǎo)致事故的事件、失效、工作狀態(tài)、環(huán)境條件等的順序和/或巧合。- 運(yùn)行中每個(gè)事件、失效、工作狀態(tài)、環(huán)境條件等發(fā)生的可能性d) 系統(tǒng)中與安全性相關(guān)的部件的可維修性與以下幾項(xiàng)的關(guān)系：- 對(duì)系統(tǒng)的這些方面、系統(tǒng)部件、與危險(xiǎn)（或安全失效模式）相關(guān)的元件進(jìn)行維修的難易程度- 對(duì)與安全性相關(guān)的系統(tǒng)部件的維修過程中，發(fā)生錯(cuò)誤的可

24、能性- 系統(tǒng)復(fù)位到安全狀態(tài)的時(shí)間與安全性相關(guān)的系統(tǒng)部件的系統(tǒng)運(yùn)行和維修與以下幾項(xiàng)的關(guān)系：- 人員因素，它對(duì)所有與安全性相關(guān)的系統(tǒng)部件的有效維修和系統(tǒng)安全運(yùn)行產(chǎn)生影響- 工具、設(shè)備和程序，用于對(duì)與安全性相關(guān)的系統(tǒng)部件進(jìn)行有效維修和安全運(yùn)行- 有效控制手段和方式，用于危險(xiǎn)處置和后果減輕 系統(tǒng)失效，受設(shè)施和環(huán)境制約的運(yùn)營(yíng)將對(duì)系統(tǒng)行為產(chǎn)生影響。所有失效都對(duì)系統(tǒng)可靠性有反作用，在特殊應(yīng)用中只有一些特定的失效會(huì)對(duì)安全性產(chǎn)生反作用。環(huán)境也會(huì)影響系統(tǒng)的功能性，接著是鐵路設(shè)施的安全性。圖3顯示了這些關(guān)系：鐵路應(yīng)用環(huán)境故障威脅對(duì)可靠性產(chǎn)生反作用鐵路系統(tǒng)功能狀態(tài)失效狀態(tài)/對(duì)安全性產(chǎn)生反作用失效模式安全性相關(guān)的失效模

25、式圖3-系統(tǒng)中失效的影響 只有綜合考慮系統(tǒng)RAMS各元素之間的相互作用和技術(shù)規(guī)范，并實(shí)現(xiàn)系統(tǒng)RAMS的優(yōu)化組合，才能獲得一個(gè)可靠的鐵路系統(tǒng)。4.4 影響鐵路RAMS的各個(gè)因素 概述.1 本子條款介紹和定義了一個(gè)運(yùn)行過程，用于確定影響鐵路系統(tǒng)RAMS的因素，特別是人為因素的影響。這些因素和它們的作用是系統(tǒng)RAMS要求規(guī)范的一個(gè)輸入。.2 有三種情況會(huì)影響鐵路系統(tǒng)的RAMS：在系統(tǒng)的生命周期（系統(tǒng)條件）的任何階段系統(tǒng)內(nèi)部發(fā)生錯(cuò)誤；操作過程中（操作條件）外部加于系統(tǒng)的錯(cuò)誤；維修行為中（維修條件）外部加于系統(tǒng)的錯(cuò)誤。這些錯(cuò)誤會(huì)相互作用。圖4顯示了這些關(guān)系，圖5進(jìn)行了詳細(xì)描述。RAMS系統(tǒng)條件 操作條件

26、 維護(hù)條件圖4 - 對(duì)RAMS的影響.3 為了獲得可靠的系統(tǒng)，需對(duì)影響系統(tǒng)RAMS的因素進(jìn)行認(rèn)識(shí)，對(duì)它們的影響進(jìn)行評(píng)估，并在整個(gè)系統(tǒng)生命周期內(nèi)對(duì)這些影響的誘發(fā)因素進(jìn)行管理。這些可通過進(jìn)行適當(dāng)?shù)目刂坪蛢?yōu)化系統(tǒng)性能來實(shí)現(xiàn)。 因素類別.1 本子條例詳述了一個(gè)運(yùn)行過程，用于定義影響成功實(shí)現(xiàn)一個(gè)符合特定RAMS要求的系統(tǒng)的因素。.2 在更高層面上，這些影響系統(tǒng)RAMS的因素是通用的，適用于所有工業(yè)應(yīng)用。圖5顯示了影響運(yùn)輸系統(tǒng)RAMS的一些一般性因素。這張圖也顯示了這些因素之間的相互作用。為了確定影響鐵路系統(tǒng)RAMS的具體因素，需針對(duì)具體系統(tǒng)研究每一個(gè)一般性的影響因素。.3 對(duì)于人為因素對(duì)系統(tǒng)RAMS影響

27、的分析，是本標(biāo)準(zhǔn)要求的“系統(tǒng)實(shí)現(xiàn)”包含的內(nèi)容。.4 人為因素可被定義為人員特性、預(yù)期和行為對(duì)系統(tǒng)的影響。這些因素包括人的構(gòu)造上的、生理上的和心理上的各個(gè)方面。關(guān)注人為因素（歸因于人員對(duì)健康、安全和工作滿意程度的需求），可使人高效且有效地進(jìn)行工作。.5 鐵路設(shè)施一般會(huì)包含大量的人員組，從乘客、運(yùn)營(yíng)人員和負(fù)責(zé)系統(tǒng)完善的人員，到受鐵路運(yùn)營(yíng)影響的人員，例如水平交叉處的車輛駕駛員。每個(gè)人員會(huì)對(duì)情況采取不同的應(yīng)對(duì)。因此，人員對(duì)鐵路系統(tǒng)RAMS的潛在影響非常大。相應(yīng)的，相對(duì)于許多其它工業(yè)設(shè)施，實(shí)現(xiàn)鐵路RAMS要求在整個(gè)系統(tǒng)生命周期內(nèi)對(duì)人為因素進(jìn)行更嚴(yán)格的控制。.6 人員有能力對(duì)鐵路系統(tǒng)RAMS產(chǎn)生積極貢獻(xiàn)。

28、為了達(dá)到這個(gè)目標(biāo)，應(yīng)確定人為因素影響鐵路RAMS的方式，并在整個(gè)生命周期對(duì)其進(jìn)行管理。包括在系統(tǒng)的設(shè)計(jì)和研發(fā)階段，分析人為因素對(duì)鐵路RAMS的潛在影響。.7 如需確定人為因素在生命周期中是一般性因素，需考慮人為因素對(duì)具體應(yīng)用的RAMS的確切影響。.8 需對(duì)當(dāng)前鐵路系統(tǒng)的一般性影響因素（包括圖5所示的因素）進(jìn)行審核。鐵道部應(yīng)在招標(biāo)中規(guī)定所有不可接受的因素。應(yīng)對(duì)每一個(gè)可接受的一般性因素進(jìn)行評(píng)估，并系統(tǒng)性地推導(dǎo)出對(duì)設(shè)施產(chǎn)生影響的具體因素。人為因素作為整合RAMS管理過程的一個(gè)核心內(nèi)容，需被包含在該評(píng)估中。.9 運(yùn)用含蓋鐵路特定因素（4.4.2.10）和人為因素（4.4.2.11）的兩張檢查表，或圖5

29、中的描述，可推導(dǎo)出具體的影響因素。鐵路RAMS安全性 可用性系統(tǒng)條件 操作條件 維修條件可維修性 技術(shù)特性環(huán)境條件 人為因素 過程 任務(wù)綱要 物流 人為因素 維修程序 物流 內(nèi)部干擾 外部干擾 人為錯(cuò)誤 人員相應(yīng)行為 任務(wù)綱要變化 防護(hù)性維修 矯正性維修系統(tǒng)失效偶發(fā)失效 重新配置模式 定期維修 狀態(tài)維修· 要求方面的錯(cuò)誤· 操作模式診斷 診斷· 設(shè)計(jì)和應(yīng)用方面的不足· 環(huán)境· 手動(dòng) · 內(nèi)部· 制造缺陷· 壓力降低· 自動(dòng) · 外部· 內(nèi)在缺陷· 磨損· 軟件錯(cuò)誤&

30、#183; 壓力過大· 操作說明不完善· 等· 瞬時(shí)不足？· 人員錯(cuò)誤· 等 圖5 - 影響鐵路RAMS的因素 .10 對(duì)具體影響鐵路的因素的推導(dǎo)應(yīng)考慮（但不僅限于）以下各個(gè)鐵路特定因素。應(yīng)注意以下檢查表并不是絕對(duì)周全的，需根據(jù)設(shè)施的范圍和目的進(jìn)行修改。a) 系統(tǒng)運(yùn)營(yíng)：- 系統(tǒng)需完成的任務(wù)和執(zhí)行任務(wù)所處的條件- 在操作環(huán)境中乘客、貨物、人員和系統(tǒng)的共處- 系統(tǒng)生命要求，包括系統(tǒng)生命預(yù)期、服務(wù)強(qiáng)度和生命周期成本要求b) 環(huán)境：- 物理環(huán)境- 環(huán)境中的鐵路系統(tǒng)高級(jí)整合- 鐵路環(huán)境中測(cè)試完整系統(tǒng)的限定機(jī)率c) 設(shè)施條件- 現(xiàn)存的基礎(chǔ)設(shè)施和系統(tǒng)對(duì)新系統(tǒng)

31、的束縛- 在工作生命周期中對(duì)鐵軌設(shè)備進(jìn)行維護(hù)的需求d) 運(yùn)營(yíng)條件- 軌道基礎(chǔ)的安裝條件？- 軌道基礎(chǔ)的維修條件？- 運(yùn)營(yíng)和調(diào)試中現(xiàn)有系統(tǒng)和新系統(tǒng)的整合。e) 失效種類- 分布式鐵路系統(tǒng)中的失效影響.11 對(duì)具體的人為影響因素的推導(dǎo)應(yīng)考慮（但不僅限于）以下各個(gè)人為因素。應(yīng)注意以下檢查表并不是絕對(duì)周全的，需根據(jù)設(shè)施的范圍和目的進(jìn)行修改。a) 在人和設(shè)備之間進(jìn)行系統(tǒng)功能配置b) 系統(tǒng)中以下因素對(duì)人員績(jī)效的影響：- 人員/系統(tǒng)界面- 環(huán)境，包括物理環(huán)境和人體工程要求- 人員工作方式- 人員的競(jìng)爭(zhēng)力- 人員任務(wù)的設(shè)置- 人員的相互配合- 人員的反饋過程- 鐵路的組織結(jié)構(gòu)- 鐵路文化- 專業(yè)的鐵路用語-

32、應(yīng)用新技術(shù)引發(fā)的問題c) 以下幾點(diǎn)引發(fā)對(duì)系統(tǒng)的要求：- 人員競(jìng)爭(zhēng)力- 對(duì)人員的動(dòng)力和愿望的支持- 減少人員行為改變帶來的影響- 操作性的安全防護(hù)- 人員反應(yīng)的時(shí)間和空間d) 人員信息處理能力對(duì)系統(tǒng)的要求包括：- 人/機(jī)交流- 信息傳送密度- 信息傳送率- 信息質(zhì)量- 人員對(duì)非正常情況的反應(yīng)- 人員培訓(xùn)- 支持根據(jù)人員決定進(jìn)行處理？- 對(duì)人員應(yīng)變能力產(chǎn)生影響的其它因素e)人員/系統(tǒng)界面因素對(duì)系統(tǒng)的影響，包括：- 人員/系統(tǒng)界面的設(shè)計(jì)和操作- 人員錯(cuò)誤的影響- 人員違規(guī)審議的影響- 系統(tǒng)中的人員影響和干涉- 人員系統(tǒng)監(jiān)測(cè)和控制- 人員風(fēng)險(xiǎn)感知- 系統(tǒng)臨界區(qū)域的人員影響- 人員預(yù)防系統(tǒng)問題的能力f)

33、 系統(tǒng)設(shè)計(jì)和研發(fā)中的人員因素，包括：- 人員競(jìng)爭(zhēng)力- 設(shè)計(jì)過程中的人員獨(dú)立性- 檢驗(yàn)和驗(yàn)證過程中的人員影響- 人員和自動(dòng)化工具之間的界面- 系統(tǒng)性失效的預(yù)防過程.12推薦使用具體影響因素的圖解式推導(dǎo)，例如使用原因/效果圖表。圖6顯示了一個(gè)簡(jiǎn)化的原因/效果圖：環(huán)境組織/管理文檔鐵路RAMS任務(wù)綱要人員設(shè)備系統(tǒng)運(yùn)營(yíng)/維修圖6-原因/效果圖示例4.4.3因素管理應(yīng)在當(dāng)前鐵路系統(tǒng)的級(jí)別，對(duì)每個(gè)影響因素對(duì)鐵路系統(tǒng)RAMS的潛在影響進(jìn)行評(píng)估。該評(píng)估需考慮每個(gè)因素在生命周期的每個(gè)階段的影響，并需在當(dāng)前系統(tǒng)級(jí)別進(jìn)行。評(píng)估應(yīng)考慮關(guān)聯(lián)影響因素的相互作用。對(duì)于人員因素，評(píng)估也應(yīng)考慮每個(gè)影響因素相互間的關(guān)系。4.5

34、達(dá)到鐵路RAMS要求的方法4.5.1 概述4.5.1.1 達(dá)到鐵路RAMS要求的方法與在系統(tǒng)生命周期內(nèi)控制RAMS的影響因素相關(guān)。有效的控制需要建立機(jī)制和程序，抵御系統(tǒng)的實(shí)現(xiàn)和支持過程中的錯(cuò)誤源。對(duì)于偶發(fā)的和系統(tǒng)性的失效都應(yīng)加以抵御。4.5.1.2 達(dá)到鐵路RAMS要求的方法的基本理念：采取預(yù)防措施將生命周期階段的錯(cuò)誤可能造成的損害降到最低。預(yù)防措施包括以下兩點(diǎn)：a)預(yù)防：降低損害的可能性b) 保護(hù)：降低損害后果的嚴(yán)重性.3使系統(tǒng)達(dá)到RAMS要求所采取的策略（包括使用預(yù)防和/或保護(hù)方式）應(yīng)進(jìn)行調(diào)整。4.5.2 RAMS規(guī)范.1對(duì)RAMS要求的規(guī)范是一個(gè)復(fù)雜的過程。本標(biāo)準(zhǔn)的附錄A提供了RAMS要

35、求規(guī)范綱要的一個(gè)示例，它基于本文中詳述的規(guī)范過程。本標(biāo)準(zhǔn)的附錄B提供了定義RAMS程序的一個(gè)示例，它基于本標(biāo)準(zhǔn)的要求。這兩個(gè)信息附錄只起指導(dǎo)作用，它們以有軌車輛為例并得到推廣。附錄B中也包含RAMS分析的適用工具表。適當(dāng)工具的選擇依據(jù)當(dāng)前系統(tǒng)和系統(tǒng)的臨界性、新穎性、復(fù)雜性等因素。.2表1定義了適用于鐵路設(shè)施的RAMS失效類別表1-RAM失效類別失效類別定義嚴(yán)重失效（固定失效）失效：阻止車輛移動(dòng)或?qū)е路?wù)延遲時(shí)間長(zhǎng)于規(guī)定時(shí)間和/或產(chǎn)生一個(gè)高于某個(gè)規(guī)定級(jí)別的成本主要失效（服務(wù)失效）失效：- 為了使系統(tǒng)達(dá)到規(guī)定的性能，必須對(duì)其進(jìn)行調(diào)整- 導(dǎo)致的延遲或成本沒有超過嚴(yán)重失效規(guī)定的最小臨界點(diǎn)輕微失效失效：

36、- 沒有妨礙系統(tǒng)達(dá)到規(guī)定的性能- 沒有達(dá)到嚴(yán)重失效或主要失效的標(biāo)準(zhǔn).3附錄C（信息）顯示了適用于定義鐵路系統(tǒng)的可靠性、可用性、可維修性、物流服務(wù)和安全要求的標(biāo)準(zhǔn)。具體的標(biāo)準(zhǔn)取決于具體的系統(tǒng)。使用的所有RAMS標(biāo)準(zhǔn)需經(jīng)鐵道部和鐵路業(yè)務(wù)部門的同意。標(biāo)準(zhǔn)可以備選數(shù)組的方式表示，需提供換算系數(shù)。4.6 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)理念風(fēng)險(xiǎn)理念由兩個(gè)因素組成：- 一個(gè)或一組導(dǎo)致危險(xiǎn)的事件發(fā)生的可能性，或發(fā)生的頻率。- 危險(xiǎn)的后果4.6.2風(fēng)險(xiǎn)分析應(yīng)在系統(tǒng)生命周期的不同階段，由負(fù)責(zé)該階段的管理部門進(jìn)行風(fēng)險(xiǎn)分析，并記錄在文檔中。記錄文檔至少應(yīng)包括：a) 分析方法b) 分析方法的設(shè)想、局限性和驗(yàn)證c) 危險(xiǎn)評(píng)定結(jié)果d) 風(fēng)險(xiǎn)預(yù)

37、計(jì)結(jié)果和可信等級(jí)e) 平衡研究的結(jié)果？f) 數(shù)據(jù)、資源和可信等級(jí)g) 參考.2表2以定性術(shù)語的方式，提供了鐵路系統(tǒng)中一個(gè)危險(xiǎn)事件發(fā)生可能性或頻率的幾種典型類型，并對(duì)每種類型進(jìn)行了說明。這些類型、它們的數(shù)字和適用的數(shù)字定義尺度應(yīng)由鐵道部依據(jù)當(dāng)前設(shè)施進(jìn)行定義。表2 危險(xiǎn)事件的發(fā)生頻率種類說明經(jīng)常經(jīng)常發(fā)生。危險(xiǎn)不斷出現(xiàn)。可能將會(huì)發(fā)生若干次。危險(xiǎn)可能經(jīng)常發(fā)生。偶爾可能發(fā)生若干次。危險(xiǎn)有可能會(huì)發(fā)生若干次。鮮有有時(shí)在系統(tǒng)生命周期中可能會(huì)發(fā)生?？珊侠眍A(yù)計(jì)危險(xiǎn)發(fā)生。不太可能應(yīng)該不會(huì)發(fā)生，但是有這個(gè)可能?？梢约僭O(shè)危險(xiǎn)可能在例外的情況下發(fā)生。不可能絕對(duì)不會(huì)發(fā)生?？梢约僭O(shè)危險(xiǎn)不會(huì)發(fā)生。.3后果分析可用于估計(jì)可能的沖

38、擊。表3描述了鐵路系統(tǒng)中典型的危險(xiǎn)嚴(yán)重等級(jí)和每個(gè)危險(xiǎn)嚴(yán)重等級(jí)導(dǎo)致的結(jié)果。危險(xiǎn)嚴(yán)重等級(jí)數(shù)字和每個(gè)危險(xiǎn)嚴(yán)重等級(jí)的后果應(yīng)由鐵道部依據(jù)當(dāng)前設(shè)施進(jìn)行定義。表3 - 危險(xiǎn)嚴(yán)重等級(jí)嚴(yán)重等級(jí)對(duì)人員或環(huán)境造成的后果對(duì)服務(wù)造成的后果災(zāi)難性的對(duì)環(huán)境造成多種災(zāi)難和/或多重嚴(yán)重的傷害和/或嚴(yán)重的損傷嚴(yán)重的對(duì)環(huán)境造成單一的災(zāi)難和/或嚴(yán)重的傷害和/或嚴(yán)重的損傷主要系統(tǒng)損傷少量的對(duì)環(huán)境造成小的損傷和/或嚴(yán)重的威脅嚴(yán)重的系統(tǒng)損傷輕微的可能造成很小的傷害輕微的系統(tǒng)損傷4.6.3 風(fēng)險(xiǎn)評(píng)估和認(rèn)可4.6.3.1 本子條款通過“頻率-后果”矩陣的構(gòu)成，對(duì)風(fēng)險(xiǎn)分析結(jié)果、風(fēng)險(xiǎn)種類、降低風(fēng)險(xiǎn)的行動(dòng)或不可接受風(fēng)險(xiǎn)的消除進(jìn)行評(píng)估，并達(dá)到風(fēng)險(xiǎn)認(rèn)可

39、。4.6.3.2 風(fēng)險(xiǎn)評(píng)估需將一個(gè)危險(xiǎn)事件的發(fā)生頻率和它的后果嚴(yán)重程度結(jié)合起來，以便于設(shè)立該危險(xiǎn)事件的風(fēng)險(xiǎn)等級(jí)。表4顯示了一個(gè)“頻率-后果”矩陣。表4 - 頻率 - 后果矩陣一個(gè)危險(xiǎn)事件的發(fā)生頻率風(fēng)險(xiǎn)等級(jí)經(jīng)?？赡芘紶桋r有不太可能不可能輕微的少量的嚴(yán)重的災(zāi)難性的危險(xiǎn)后果的嚴(yán)重等級(jí)4.6.3.3 風(fēng)險(xiǎn)認(rèn)可應(yīng)基于一個(gè)總體認(rèn)可的原則。我們可運(yùn)用許多現(xiàn)有的原則。示例如下：（也可參看附錄D獲得有關(guān)這些原則的更多信息）- 采用盡可能低的成本、合理的、可行的方法進(jìn)行風(fēng)險(xiǎn)降低（UK實(shí)行的ALARP原則）- ？（法國(guó)實(shí)行的GAMAB原則）。本原則的完整表述是“所有新的導(dǎo)向式運(yùn)輸系統(tǒng)的風(fēng)險(xiǎn)等級(jí)必須至少和全球任何現(xiàn)存

40、同等系統(tǒng)的一樣好”- 最小的內(nèi)部失效率（德國(guó)實(shí)行的MEM原則）表5定義了風(fēng)險(xiǎn)的定性類別和消除每種風(fēng)險(xiǎn)的行動(dòng)。鐵道部應(yīng)負(fù)責(zé)確定采用的原則和可接受的風(fēng)險(xiǎn)等級(jí)，以及等級(jí)對(duì)應(yīng)的不同風(fēng)險(xiǎn)種類。表5 - 風(fēng)險(xiǎn)定性類別風(fēng)險(xiǎn)類別抵抗每種類別的行為不可接受應(yīng)該消除不希望出現(xiàn)只有當(dāng)無法降低風(fēng)險(xiǎn)，并得到鐵道部或安全管理部門的同意時(shí)，才可適當(dāng)?shù)亟邮芸山邮艿玫借F道部的同意后可接受可忽略無論是否得到鐵道部的同意都可接受.4表6 顯示了為了獲得風(fēng)險(xiǎn)認(rèn)可，所采取的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)降低/控制的示例：表6-風(fēng)險(xiǎn)評(píng)估和認(rèn)可的典型示例危險(xiǎn)事件發(fā)生的頻率風(fēng)險(xiǎn)等級(jí)經(jīng)常不希望出現(xiàn)不可接受不可接受不可接受可能可接受不希望出現(xiàn)不可接受不可接受偶

41、爾可接受不希望出現(xiàn)不希望出現(xiàn)不可接受鮮有可忽略可接受不希望出現(xiàn)不希望出現(xiàn)不太可能可忽略可忽略可接受可接受不可能可忽略可忽略可忽略可忽略輕微的少量的嚴(yán)重的災(zāi)難性的危險(xiǎn)后果的嚴(yán)重等級(jí)*定義危險(xiǎn)事件發(fā)生頻率的尺度依賴于當(dāng)前設(shè)施情況（.2）風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)降低/控制不可接受應(yīng)該消除不希望出現(xiàn)只有當(dāng)無法降低風(fēng)險(xiǎn)，并得到鐵道部同意時(shí)，才可接受可接受得到鐵道部的同意后可接受可忽略無需同意即可接受4.7 安全的完整性4.7.1根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，設(shè)立了設(shè)施的安全等級(jí)，并對(duì)必要的風(fēng)險(xiǎn)降低進(jìn)行了估算后，可得出該設(shè)施的系統(tǒng)和元件的安全完整性要求。安全完整性可看作可計(jì)量元素（通常與硬件相關(guān)，如：隨機(jī)失效）和不可計(jì)量元素（通

42、常與軟件、規(guī)范、文件、過程等的系統(tǒng)性失效相關(guān)）的組合。外部風(fēng)險(xiǎn)降低設(shè)備和系統(tǒng)風(fēng)險(xiǎn)降低設(shè)備應(yīng)滿足系統(tǒng)必要的風(fēng)險(xiǎn)降低要求，以便于達(dá)到目標(biāo)安全等級(jí)。4.7.2在系統(tǒng)中要獲得一項(xiàng)功能的安全完整性，須通過特定結(jié)構(gòu)、方法、工具和技術(shù)的有效組合。安全完整性與無法獲得所需安全功能的可能性相關(guān)。功能的完整性要求越高，它的實(shí)現(xiàn)成本越高。本標(biāo)準(zhǔn)沒有定義安全完整性和鐵路系統(tǒng)失效可能性之間的關(guān)聯(lián)性，但需注意的是，在標(biāo)準(zhǔn)IEC61508的草案中對(duì)它們之間的一般關(guān)聯(lián)性進(jìn)行了定義。鐵路設(shè)施的關(guān)聯(lián)性的定義由鐵道部負(fù)責(zé)。但是，經(jīng)歐洲各鐵路管理部門單獨(dú)或共同協(xié)定，本標(biāo)準(zhǔn)中定義的管理過程具有一般性，適用于所有的關(guān)聯(lián)性類別。4.7.3

43、 系統(tǒng)中安全功能的履行需參照其它相關(guān)具體標(biāo)準(zhǔn)定義的結(jié)構(gòu)、方法、工具和技術(shù)。例如，EN 50128定義了開發(fā)軟件系統(tǒng)的方法、工具和技術(shù)，ENV 50129定義了電子鐵路信號(hào)系統(tǒng)的驗(yàn)收和審批過程。4.7.4 安全完整性是安全功能的基礎(chǔ)。安全功能應(yīng)被分配給安全系統(tǒng)和/或外部風(fēng)險(xiǎn)降低設(shè)備。這個(gè)配置過程是反復(fù)生命周期的，以便于優(yōu)化整個(gè)系統(tǒng)的設(shè)計(jì)和成本。4.7.5 安全計(jì)劃和RAM項(xiàng)目的有效執(zhí)行使系統(tǒng)最終達(dá)到RAMS要求。4.7.6 關(guān)于產(chǎn)品安全完整性有以下幾點(diǎn)需加以注意：a) 系統(tǒng)要求的安全功能性和相應(yīng)的安全完整性受系統(tǒng)的使用環(huán)境影響b) 當(dāng)一個(gè)產(chǎn)品的開發(fā)需使用具有特定安全完整性的方法、工具和技術(shù)時(shí)，需

44、聲明該產(chǎn)品是一個(gè)具有安全完整性等級(jí)“X”的產(chǎn)品。該聲明意味著該產(chǎn)品在一個(gè)特定的環(huán)境中，將以某個(gè)完整性程度，顯示特定的功能性。c) 圖7顯示了經(jīng)濟(jì)型“現(xiàn)貨供應(yīng)”產(chǎn)品的使用在不同應(yīng)用環(huán)境中的區(qū)別。例如：產(chǎn)品A在系統(tǒng)1和2中執(zhí)行不同功能。因此，不同應(yīng)用環(huán)境對(duì)產(chǎn)品安全完整性的要求就會(huì)不同。故而，任何系統(tǒng)使用產(chǎn)品前，須對(duì)功能性的限制和約束，以及產(chǎn)品所處環(huán)境進(jìn)行評(píng)估，確保它們符合系統(tǒng)的整體要求。系統(tǒng)1系統(tǒng)2系統(tǒng)經(jīng)濟(jì)型“現(xiàn)貨供應(yīng)”產(chǎn)品圖7 - 安全系統(tǒng)中的產(chǎn)品鑒定注意：CENELEC報(bào)告R009001：1997：“鐵路設(shè)施-通訊、信號(hào)和處理系統(tǒng)-危險(xiǎn)失效率和安全完整性等級(jí)（SIL）”包含獲得歐洲普遍認(rèn)同的安

45、全完整性和安全完整性等級(jí)方面的更多信息。該報(bào)告中提供的鐵路信號(hào)的信息和數(shù)字必須由專家小心處理，在任何情況下都不能進(jìn)行普及推廣。4.7.7 在使用SIL理念之前，須考慮以下要求：a) 須由安全專家確定足夠的SIL適用性等級(jí)。推薦不要超過4個(gè)等級(jí)。b) 一個(gè)SIL應(yīng)該只被分配給一個(gè)“元素”，也就是執(zhí)行一個(gè)或多個(gè)簡(jiǎn)單功能的一個(gè)獨(dú)立的設(shè)備，并且可以被另一個(gè)執(zhí)行相同功能的設(shè)備替換。總而言之，這個(gè)“元素”一般是最低級(jí)別的設(shè)備，可通過初級(jí)矯正性維修進(jìn)行替換。c) 產(chǎn)品的應(yīng)用環(huán)境是最重要的，須對(duì)現(xiàn)貨供應(yīng)產(chǎn)品的SIL范圍進(jìn)行鑒定，即與安全要求進(jìn)行比較，檢查所有條件是否滿足系統(tǒng)要求。d) SIL只能定義產(chǎn)品安全性

46、的一個(gè)期望等級(jí)。如本標(biāo)準(zhǔn)4.3條款所述，安全性要求和可用性要求在鐵路運(yùn)輸過程中是內(nèi)部相互關(guān)聯(lián)的。SIL理念并不能覆蓋系統(tǒng)的所有方面，因此只考慮SIL是不夠的（例如具有不同安全要求的退化的操作模式或后退狀態(tài)等？）4.8 自動(dòng)防止失效理念4.8.1 本標(biāo)準(zhǔn)采取了一個(gè)廣泛的風(fēng)險(xiǎn)管理方法達(dá)到安全要求。該方法符合自動(dòng)防止失效理念，由鐵路工程師建立完善。4.8.2 從鐵路系統(tǒng)建立的初期開始，內(nèi)在的自動(dòng)防止失效理念便已經(jīng)開始使用。該理念依賴于一系列假定。它運(yùn)用一些帶設(shè)置好的失效模式的元件，并假設(shè)這些部件中的一個(gè)出錯(cuò)時(shí)，系統(tǒng)存在一個(gè)安全條件。所有這些元件的配置使得如此構(gòu)成的系統(tǒng)不允許存在超過失效缺失時(shí)的許可條

47、件。4.8.3 一般來說，該理念的有效期基于經(jīng)驗(yàn)，但是它被限制用于大型的、帶經(jīng)濟(jì)型微信息處理器的復(fù)雜系統(tǒng)的發(fā)展和使用。使用這些元件時(shí)所考慮的失效組合數(shù)字的指數(shù)增長(zhǎng)意味著通常不能采用一個(gè)確定性方法。針對(duì)復(fù)雜的系統(tǒng)，可有效地使用機(jī)率的方法。4.8.4 自動(dòng)防止失效方法對(duì)一個(gè)系統(tǒng)中的部件可能有效，和其它判定方法一樣，它沒有被本歐洲標(biāo)準(zhǔn)排除在外。所有使用的方法都必須符合系統(tǒng)的特定RAMS要求。5 鐵路RAMS管理5.1概述5.1.1本歐洲標(biāo)準(zhǔn)的條款5定義了一個(gè)管理過程，它基于系統(tǒng)生命周期，對(duì)鐵路設(shè)施的RAMS因素進(jìn)行控制。該過程支持：- 定義RAMS要求- 對(duì)威脅RAMS的因素進(jìn)行評(píng)估和控制- 計(jì)劃和

48、完成RAMS任務(wù)- 滿足RAMS要求- 在生命周期中對(duì)符合性進(jìn)行進(jìn)程監(jiān)控5.1.2雖然本歐洲標(biāo)準(zhǔn)的關(guān)注重點(diǎn)為鐵路RAMS，但它只是整個(gè)鐵路系統(tǒng)許多方面中的一個(gè)。本條款將RAMS系統(tǒng)化的管理過程定義為一個(gè)覆蓋整體鐵路系統(tǒng)各個(gè)方面的集成化管理方法的一部分。5.1.3對(duì)于任何一個(gè)鐵道部來說，一個(gè)鐵路系統(tǒng)的容許安全風(fēng)險(xiǎn)取決于國(guó)家安全管理部門設(shè)定的安全系數(shù)，或鐵道部自己與安全管理部門達(dá)成的協(xié)議。風(fēng)險(xiǎn)評(píng)估、控制和最小化的主要責(zé)任屬于鐵道部。在某些情況下，法律要求正式提交證據(jù)，顯示足夠的系統(tǒng)安全性。5.2系統(tǒng)生命周期5.2.1系統(tǒng)生命周期是一個(gè)階段序列，每個(gè)階段包含任務(wù)，它覆蓋一個(gè)系統(tǒng)從最初的構(gòu)想到退役和報(bào)

49、廢。生命周期提供了計(jì)劃、管理、控制和監(jiān)控一個(gè)系統(tǒng)各個(gè)方面（包括RAMS）的一個(gè)結(jié)構(gòu)，控制各個(gè)階段的系統(tǒng)進(jìn)程，以便于在允許的時(shí)間段內(nèi)以正確的價(jià)格交付正確的產(chǎn)品。生命周期理念是成功執(zhí)行本標(biāo)準(zhǔn)的基礎(chǔ)。5.2.2圖8顯示了生命周期在鐵路設(shè)施中的含義。圖9顯示了生命周期每個(gè)階段的主要任務(wù)。該圖顯示了RAMS任務(wù)為總體項(xiàng)目任務(wù)的組件?？傮w任務(wù)超出了本歐洲標(biāo)準(zhǔn)的范圍，但是它代表了通常的工業(yè)應(yīng)用?？傮w項(xiàng)目任務(wù)中每個(gè)階段相關(guān)的RAMS任務(wù)和RAMS任務(wù)的要求在本歐洲標(biāo)準(zhǔn)的子條款中進(jìn)行詳細(xì)說明。構(gòu)想 1系統(tǒng)定義和應(yīng)用條件 2風(fēng)險(xiǎn)分析 3重新進(jìn)行風(fēng)險(xiǎn)分析（見注意2）系統(tǒng)要求 4系統(tǒng)要求分配 5設(shè)計(jì)和實(shí)現(xiàn) 6建造 7

50、安裝 8系統(tǒng)有效期 9（包含安全認(rèn)可和調(diào)試）系統(tǒng)驗(yàn)收 10性能監(jiān)控 12 運(yùn)營(yíng)和維修 11 改進(jìn)和改型 13退役和報(bào)廢 14 重新開始生命周期（見注意1）注意1：改進(jìn)在哪個(gè)階段重新進(jìn)入生命周期依賴于被改進(jìn)的系統(tǒng)和具體的改進(jìn)情況注意2：在生命周期幾個(gè)階段的風(fēng)險(xiǎn)分析必須被重復(fù)進(jìn)行（見的d項(xiàng)）生命周期階段階段相關(guān)的總體任務(wù)階段相關(guān)的RAM任務(wù)階段相關(guān)的安全任務(wù)1構(gòu)思設(shè)立鐵路項(xiàng)目的范圍和目標(biāo)確定鐵路項(xiàng)目構(gòu)想進(jìn)行財(cái)務(wù)分析和可行性研究建立管理審核先前獲得的RAM性能考慮項(xiàng)目的RAM含義審核先前獲得的安全性能考慮項(xiàng)目的安全性含義審核安全規(guī)則和安全目標(biāo)2. 系統(tǒng)定義和應(yīng)用條件建立系統(tǒng)任務(wù)綱要準(zhǔn)備系統(tǒng)描述定義運(yùn)

51、營(yíng)和維修規(guī)章定義運(yùn)營(yíng)條件定義維修條件定義對(duì)現(xiàn)存基本設(shè)施限制的影響評(píng)估RAM的過去經(jīng)驗(yàn)數(shù)據(jù)進(jìn)行初步的RAM分析設(shè)立RAM規(guī)則定義長(zhǎng)期運(yùn)營(yíng)和維修條件定義對(duì)現(xiàn)存基本設(shè)施限制的RAM的影響評(píng)估安全性的過去經(jīng)驗(yàn)數(shù)據(jù)進(jìn)行初步的危險(xiǎn)分析建立安全計(jì)劃（總體）定義容許的風(fēng)險(xiǎn)標(biāo)準(zhǔn)定義對(duì)現(xiàn)存基本設(shè)施限制的安全性的影響3. 風(fēng)險(xiǎn)分析（見注意6）進(jìn)行項(xiàng)目相關(guān)的風(fēng)險(xiǎn)分析進(jìn)行系統(tǒng)危險(xiǎn)和安全性風(fēng)險(xiǎn)分析建立危險(xiǎn)日志進(jìn)行風(fēng)險(xiǎn)評(píng)估4. 系統(tǒng)要求進(jìn)行要求分析系統(tǒng)規(guī)劃（整體要求）環(huán)境規(guī)劃定義系統(tǒng)論證和驗(yàn)收標(biāo)準(zhǔn)（總體要求）建立驗(yàn)證計(jì)劃建立管理、質(zhì)量和構(gòu)造要求執(zhí)行變化控制程序規(guī)定系統(tǒng)的RAM要求（總體）定義RAM認(rèn)可標(biāo)準(zhǔn)（總體）定義系統(tǒng)功

52、能結(jié)構(gòu)建立RAM程序建立RAM管理規(guī)定系統(tǒng)的安全性要求（總體）定義安全性認(rèn)可標(biāo)準(zhǔn)（總體）定義安全性相關(guān)的功能性要求建立安全性管理5. 系統(tǒng)要求的分配分配系統(tǒng)要求- 規(guī)定子系統(tǒng)和元件要求- 定義子系統(tǒng)和元件驗(yàn)收標(biāo)準(zhǔn)分配系統(tǒng)RAM要求- 規(guī)定子系統(tǒng)和元件的RAM要求- 定義子系統(tǒng)和元件的RAM驗(yàn)收標(biāo)準(zhǔn)分配系統(tǒng)安全目標(biāo)和要求- 規(guī)定子系統(tǒng)和元件的安全性要求- 定義子系統(tǒng)和元件的安全性認(rèn)可標(biāo)準(zhǔn)更新系統(tǒng)安全計(jì)劃6. 設(shè)計(jì)和實(shí)現(xiàn)計(jì)劃設(shè)計(jì)和研發(fā)設(shè)計(jì)分析和測(cè)試設(shè)計(jì)檢驗(yàn)執(zhí)行和驗(yàn)證物流服務(wù)資源的設(shè)計(jì)通過對(duì)以下各項(xiàng)的審核、分析、測(cè)試和數(shù)據(jù)評(píng)估，執(zhí)行RAM程序：- 可靠性和可用性- 可維修性和可保養(yǎng)性- 優(yōu)化維修規(guī)則- 物流服務(wù)進(jìn)行程序控制，包括：- RAM程序管理- 分包商和供應(yīng)商的控制通過對(duì)以下各項(xiàng)的審核、分析、測(cè)試和數(shù)據(jù)評(píng)估，執(zhí)行安全計(jì)劃：危險(xiǎn)日志危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估調(diào)整與安全性相關(guān)的設(shè)計(jì)決策進(jìn)行程序控制，包括：- 安全性管理- 分包商和供應(yīng)商的控制準(zhǔn)備通用安全情況