1、2015/10/23 EN 50126简介 安全保障中心 1 标准目的 EN 50126:轨道交通 可靠性、可用性、可维修性和安全性规范及示范 本标准为轨道交通主管部门及其支承工业提供了一个流程,它使相应方法的实施达到对可靠性、 可用性 、可维修性和安全性(用 RAMS表示)的管理 。 本标准定义的系统分级方法有助于复杂 轨道交通 的各个 要素间 RAMS相互作用的评估 。 本标准将促进轨道交通主管部门 及其支承工业 的相互合作,以获得最理想 的轨道 交通 RAMS和费用的组合。 2 课程部分 对 EN 50126的介绍分为下面几个部分: 基本概念 RAMS要素及其内在关系 介绍 轨道交通 R
2、AMS管理 RAMS生命周期 3 基本概念 了解欧标及 RAMS需要首先知道的一些基本概念 4 基本概念 可用性 (Availability):在 要求的外部资源得到保证的前提下,产品在规定的条件下和规定的时刻或时间区间内处于可 执行 规定功能状态的能力。 共因 失效 (Common cause failure):由一个事件引起两个或两个以上部件同时失效使系统不能执行规定功能的故障。 危害 (Hazard):对人造成潜在伤害或对环境造成潜在损害的物理状况。 危害记录 (Hazard log):所有安全管理活动、危害确定、作出的决定和解决方法的记录或参考文件,也可称为“安全记录”。 5 基本概念
3、 可维修性 (Maintainability): 在规定的条件下,使用规定的程序和资源进行维修时,对于给定使用条件下的产品在规定的时间 区间 内,能完成指定的实际维修工作的能力。 预防性维修 (Preventive maintenance):为了防止功能降级、减少失效概率部实施的定期或根据预定判掘进行的维修。 可靠性 (Reliability): 产品在规定条件下和规定时间区间 (t1,t2)内完成规定功能的能力。 风险 (Risk): 导致伤害的危害发生概率及伤害的严重等级。 安全性 (Safety):免除不可接受的风险影响的特性。 6 基本概念 安全 完整性 (Safety integri
4、ty):在所有规定的条件下系统在规定时间内实现 所 需 安全功能的可能性。 安全完整性 等级 (Safety integrity level):许多已规定的断续的数值之一,这些数值规定了分配给安全相关系统的安全功能的安全完整性要求。数 值 越 大,安全完整性等级越高。 系统性失效 (Systematic failures):在某些特定的环境下或某些特定的输入组合情况下,在任何阶段的安全生命周期活动中由于 错误产生 的失效 。 7 Basic Concept 系统 生命周期 (system life cycle):从 系统的构思开始到系统不能再使用而退役或淘汰的时间内所发生的活动。 确认 (Va
5、lidation):用客观证据及检验来确定是否满足指定的预期用途的特定要求 。 验证 (verification):用 客观证据及检验来确定是否满足规定要求。 8 RAMS要素及其内在关系 轨道交通 RAMS说明了系统能保证在指定的时间内安全地达到轨道运输规定水平的 置信度 。 9 RAMS各要素之间的内部联系 安全性 和可用性 相互关联,对安全性要求 和可用性 要求之间的冲突如果管理不善,会妨碍 获得可信 的系统 。 满足 了可靠性 和可维修性所有要求,并控制正在进行的、长期的维修、运营活动及系统环境 才能达到 运行 期间的安全性 和 可用性目标。 10 失效 & RAMS 所有失效都对 系
6、统可靠性 产生 负面影响 ,在特定应用中,仅当某些特定失效才对安全性有 负面影响。 外界环境 也影响 系统功能,迸而影响轨道交通的安全性 。 只有考虑了系统中 RAMS各要素的相互作用和本标准,并获得了系统优化的 RAMS组合, 才能 实现一个 可靠的 轨道交通系统。 11 影响轨道交通 RAMS的因素 轨道交通系统 RAMS受来自三个方 llil因素的影响 g来源于在系统生命周期中任何阶段 系统内部 的失效( 系统环境)、 运营过程中强加给系统的失效(运营环境)积在系统维修工作中强加给系统 的失效 (维修 环境)。 人可认为拥有有益于轨道交通系统 RAMS的能力。为达到这一目标,在整个生命周
7、期内, 应确定 和管理人为因素影响轨道交通 RAMS的方式。在系统的设计和开发阶段内,分析应包括人为 因素对 轨道交通 RAMS的潜在影响。 12 Factors influencing railway RAMS 13 轨道交通 RAMS影响因素检查表 14 轨道交通 RAMS人因检查 表 15 实现轨道 交通 RAMS需求的方法 用于实现轨道交通 RAMS需求 的 方法基于采用 预防措施,使在生命周期阶段由错误所 引起的 损伤概率最小。预防措施的组合包括 : 预防:降低 损伤发生的概率 ; 防护:降低 损伤后果的严重性 。 EN 50126的附录 A提供了一个 RAMS需求规范的例子。 (W
8、hat to do?) EN 50126的附录 B提供了一个 RAM规划及安全计划的例子。 (How to do?) EN 50126的附录 C给出了适用于 轨道交通的典型参数与符号 示例。 16 RAMS Parameters 17 风险 & 风险分析 风险概念由以下两个元素组成 : 导致危害的事件或事件组合发生的概率或这些事件发生的频繁程度; 危害后果。 在系统生命周期的各个阶段,风险分析应由负责该阶段的主管部门来进行,并成形成文件 。该 文件至少应 包括: 分析方法; 方法的假设、限制和判据; 危害鉴定结果; 风险估计结果和置信度水平; 折衷选择的研究结果; 数据及其来源与置信度水平;
9、参考文件。 18 风险 & 风险分析 19 风险接受准则 EN 50126的附录 D提供的风险接受准则: ALARP(风险降到可行) 原理(在英国实施) GAMAB(综合最 优)原理 (在 法国实施 ) :新 的导向运输系统成提供一个风险等级,它整体上至少与现有的任何等效的系统一样好 。 MEM(最小 内源性死亡率)原理(在 德国实施) 20 安全完整性 安全完整性可以认为是 定量元素 (一般和硬件有关,如随机 失效)和 非 定量元素(一般 与软件、技术条件、文件、程序等等的失效有关)的 组合。 系统功能的安全完整性的最信度可以通过有效地组合特定的系统结构、方法、工具和技术 来得到 。安全完整
10、性与获取要求的安全功能的失效概率相互关联。功能的安全完整性要求越高,则实现 所需 的费用越昂策 。 安全完整性基本上是为了安全功能规定的。安全功能应分配给安全系统和或降低风险的 外部设施 。通过分配程序的反复进行,使黎个系统的设计与费用最优化 。 一个 SIL只说明产品安全性置信度的一 个期望等级。 SIL并没有考虑到系统的所有方面,因此只 考虑 SIL是不够的(如:降级运行模式和处于备用状态有不同的安全姿求 等等)。 21 故障 -安全概念 轨道交通使用初期,所使用的 是故障安全的固有 概念,它依赖于一系列的假设,以使用具有已 充分 证明的失效模式及其失效时安全状态的器件为基础。所有的器件均
11、经过确定,以使这样构建的 系统只有 无失效时存在的容许状态 。 通常,该概念的有效性以经验为基础,但用于商用微机的大型复杂系统的使用与开发时有 局限性 。使用这些部件时,考虑到失效组合 数值的指数增长, 通常意味着确定性的方法是不可行的。在 这样复杂 的系统中,可以有效地使用概率法 。 此故障安全方法对系统部件是有效的,本标准中也不排除类似的其他确定性的方法 。 22 轨道交通 RAMS管理 以系统生命周期为基础 ,控制 轨道交通中规定的 RAMS因素 。 23 System lifecycle 24 System lifecycle 25 Verification & Validation ( V&V ) 由于实际开发的产品 最终应按有关要求 进行检查,“ V”表示法假定验收活动与设计开发活动 有固有 联系,因此在系统各个阶段内,验收的确认活动以系统规范为基础,且应在较早的阶段中规划,即 在相应 的生命周期的设计开发阶段开始。 26 RAMS 生命周期 说明了在生命周期的每个阶段内的目标、要求、交付性、所从事的验证和确认工作。 27 RAMS 生命周期 每一 节分为 5个部分: 目标 输入 要求 可交付性 验证 可以就 EN 50126第 6章的感兴趣的内容进行一些讨论。 28 结束 谢谢 29
