[PDF] GB/T 21562.2-2015 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 21562.2-2015 | 500 | GB/T 21562.2-2015 | 9秒内发货PDF | 轨道交通 可靠性、可用性、可维护性和安全性规范及示例 第2部分:安全性的应用指南 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 21562.2-2015 (GB/T21562.2-2015) |
| 中文名称 | 轨道交通 可靠性、可用性、可维护性和安全性规范及示例 第2部分:安全性的应用指南 |
| 英文名称 | Railway applications - Specification and demonstration of reliability, availability, maintainability and safety (RAMS) - Part 2: Guide to the application for safety |
| 行业 | 国家标准 (推荐) |
| 中标分类 | S04 |
| 国际标准分类 | 45.060 |
| 字数估计 | 111,189 |
| 发布日期 | 2015-12-31 |
| 实施日期 | 2016-07-01 |
| 标准依据 | 国家标准公告2015年第43号 |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 21562.2-2015: 轨道交通 可靠性、可用性、可维护性和安全性规范及示例 第2部分:安全性的应用指南
GB/T 21562.2-2015 英文名称: Railway applications -- Specification and demonstration of reliability, availability, maintainability and safety (RAMS) -- Part 2: Guide to the application for safety
ICS 45.060
S04
中华人民共和国国家标准
轨道交通 可靠性、可用性、
可维修性和安全性规范及示例
第2部分:安全性的应用指南
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
1.1 GB/T 21562的本部分对GB/T 21562-2008规定的轨道交通系统安全过程要求和系统生命周期
各阶段安全活动所涉及的特定问题(见1.3)给出指南。本部分适用于 GB/T 21562-2008范围内涵盖
的所有系统。本部分假设用户已熟悉安全问题,但在某些安全问题上 GB/T 21562-2008缺乏详尽
指导。
1.2 GB/T 21562-2008是系统顶层的基本RAMS标准,本部分是对GB/T 21562-2008的补充说
明,仅适用于1.3声明的安全问题。
5.3.1 概述
风险评估主要包括危害识别、风险评价和风险容忍度判断,风险管理包括确定和实施经济实用的风
险控制措施,并确保资源可持续不断地用于将风险控制和维持在可接受的水平。
风险分析是GB/T 21562-2008的图8所示整个系统生命周期的重要部分,并应在生命周期的不
同阶段中进行。GB/T 21562-2008的4.6给出了基本风险概念和风险分析、评估和验收的概要说明。
上述 “风险评估”包含了GB/T 21562-2008的4.6.2和4.6.3中的“风险分析”“风险评价和验收”等内
容。GB/T 21562-2008的图8所示的系统生命周期内“风险分析”严格意义上应视为“风险评估”,
5.3.2.2 系统定义
应明确定义系统及其物理和逻辑边界(系统与其他系统和环境的接口),理解系统与环境之间的边
界是理解系统如何导致事故的前提条件。环境包括任何可影响系统和受系统影响的事项,如与系统连
接(机械、气动和电子等)的其他系统,或通过电磁干扰、电压波动和热量交换等产生影响的事物;环境也
包括可能影响系统和受系统影响的人员和程序。
5.3.2.3 危害识别和初步危害分析
危害识别是风险评估的基础。在安全工程和管理的所有最佳实践模型中,危害识别是整个安全保
证的关键步骤。缺少系统和全面的危害识别可能会严重影响风险评估流程,在最不利情形下,还可能会
产生安全假象和虚假的信任感。
宜系统地识别危害,确保涵盖人员、流程和系统工作模式(正常、降级和紧急模式),并核对和记录结
果;然后进行分析,以消除相关性;并根据每个危害的影响评估其等级,最终在轨道交通系统层次上定义
一组具有不同严重度等级的可信“C-危害”。尽管系统化流程可提高危害识别的完整性,但不能确保完
整性。
所有利益相关方宜就危害识别活动的实际范围进行协商并取得共识。在某些情形下,将分析限制
在可导致人员伤害的危害可能比较合适,但是在其他情形下(如运输危险品),分析中包括其他类型的伤
害可能更合理。
确定危害后应列出危害,通常在危害记录(见5.3.2.4)中更新危害信息。
通常单个危害关联多个原因。如果识别了大量危害,应排查单个危害的多重原因是否已被逐一
识别。
开展初步危害分析,根据风险严重顺序将危害分级,从而将风险评估活动集中在最重要的危害上。
宜从最高等级的危害开始,在此前基础上启动风险评估的后续阶段。宜将每个危害的相关评级用于在
广度和深度上的进一步分析,如可采用GB/T 21562-2008表2和表3的单一事故发生频度和危害严
重度简单矩阵,但这些矩阵原则上仅适用于风险评级,如果用于风险评估,应针对特定的应用修改风险
矩阵。
A.2给出有关危害识别的指导,5.5给出有关危害结构和典型功能危害检查表的指导。
5.3.2.4 危害记录
危害记录是一种工具,用于记录识别的危害与已采取或将要采取的措施和行动。这些措施和行动
将危害降低至容许的水平。其中一些措施将作为在其他系统或子系统层次实施的安全要求。如果流程
适当,危害记录可采用不同的数据记载形式(电子或纸质)进行保存,以便分类危害并提取数据。有些事
件需要在多个应用中采取纠正措施,为了分析这些事件,危害记录也可涵盖一类相似的系统/子系统/
产品。
在项目启动时,危害记录包含了初步识别的危害。从记录的初始状态开始,危害记录应不断修改和
扩充,以涵盖在系统生命周期内任何新识别的危害。危害记录也宜包括危害的处理,如危害的评估(直
接或通过引用),以及为消除、降低或抑制危害本身或降低其影响而采取的措施。
作为顶层安全管理的一部分,宜建立用于管理危害记录的流程,如在生命周期的不同阶段,负责记
录维护、更新和数据分发的职责所有人,以及随着项目生命周期阶段的变化而发生的责任转移。记录应
反映出危害是否得到管理、转移和消除。
整体上,危害记录是一个动态的文件/数据库,并是风险管理流程的中心。应仔细考虑其设计、实
施、维护、更新和职责,考虑的范围和深度取决于项目的大小和复杂度,宜采用SRA认可的通用方法。
5.3.2.5 后果分析
后果分析是建立中间条件/事件并评估危害发展情况(考虑任何事故触发因素和/或可能导致相关
损失上升的可能事件,如列车发生脱轨后,可能出现桥梁倒塌在列车上、发生火灾或释放毒性物质),从
而评估导致事故的“C-危害”概率和事故可能导致损失的程度。
5.3.2.6 风险评估和THRs的分配
根据风险验收准则进行风险评价和评估,风险验收准则应基于法律或SRA同意的其他要求(如主
要的法律要求、现有的技术标准、现有的安全系统或流程等)。7.2对如何采用有关技术标准或参考系
统作为安全举证审批准则进行说明。应基于风险验收准则,通过引入风险降低和/或风险避免措施,将
不可接受的高风险降到可接受或容许水平。风险验收准则也可定性地给出。
根据估计的事故率和与事故相关的损失容忍度,重新计算识别危害的事故率数值,确定每个危害容
忍度THRs(见6.3.3)。THRs是危害控制的输入。
5.3.2.7 危害控制
系统连同其应用和安全措施,应满足所有的安全要求(包括THR需求),可通过采取特定的安全功
能、保护措施和安全防护等来实现。使用因果分析方法进行系统分析,分析系统边界危害可能的原因,
并用于识别任何其他危害或接口危害。可能需要进行进一步风险评估,以排查可能未被识别的风险。
应注意因果分析可能发现导致单一危害的许多原因,单一危害也可能会导致许多事故。共因后果分析
(CCE)在安全措施的独立性证明方面可发挥重要的作用(进一步信息见A.5),然后可得出SI需求,并
将其分配给某个功能。以上过程可在低层次系统中逐级重复(进一步指导见6.4)。
5.4.1 概述
通用流程给出统一的框架,用于评估与任务相关的全部风险。在此框架内,可使用定性、定量或综
合方法,在不同的深度进行评估。尽管许多风险可使用分级矩阵进行评估,但没有结构化的风险评估方
法,有些风险可能无法充分评估。
所有风险评估都存在不确定性,其结果仅适用于处在不确定范围内的风险等级。这些评估结果宜
作为决策的输入之一,而不应作为决策的唯一根据,决策的输入还可采用敏感度分析。
风险评估宜考虑整体运行所需并完全合格的人员(如必要的系统和领域知识与经验),尤其是与危
害、事故触发、扩大场景、事故识别和容忍度评估有关的人员。
下列子条款概括了不同评估方法的一些优缺点,并指导如何确定分析的程度,以适应生命周期不同
阶段的安全性证明,这些分析应包含在与阶段相关的安全计划中,并得到SRA的认可。
5.4.2 分析深度
GB/T 21562-2008适用于整个轨道交通系统或子系统,但举证安全性所需的分析程度取决于具
体的子系统、在应用中的检验程度、设计或应用的新颖性、环境差异、系统边界条件差异、接口差异和呈
现的风险等级因素,因此安全性举证工作宜适合并充分满足这些条件,安全计划宜规定分析所需的深度
和确定分析深度的方法。
风险评估的详细程度宜与风险相称,风险评估不是将每个琐碎的危害分类,也不期望识别超出当前
知识水平的危害。适当和充分的风险评估宜能反映出对轨道交通危害合理可行的预测,并反映出与所
用技术(如功能和技术安全)相关的危害。当切实可行时,应将风险评估与事故的历史记录和原因记录
进行关联。
由于风险评估范围和规模的广大,难以对“适当”和“充分”进行定义,宜避免过高的准确程度要求。
安全举证方法指南见7.2。
风险评估流程宜采用定性和定量两种评估方法。
定性风险评估或许可满足大多数危害分析,可通过风险评级(见A.6),确定需要更深入评估的风
险;也可通过敏感性分析(见5.4.6)获得需要进行深入评估的深度,但对于可能导致重大或灾难性后果
的危害应进行全部或部分定量风险评估,确定风险程度并帮助降低系统风险。如果有定量安全要求(如
GB/T 28809-2012涉及的信号系统),应采用定量风险评估。由于新系统缺乏足够的经验来支持基于
经验的定性评估方法,对新系统可采用定量方法。
对于实际案例,宜考虑使用定量风险评估。对于很少发生并具有严重后果的事故类型(如灾难性轨
道交通事故),评估风险尤其困难。一些事故的频度和严重度可能对鲜为人知的因素非常敏感,对于这
些情形,给出不确定性的预判非常重要。
5.4.3 初步危害分析
初步危害分析是一种最早的危害识别和风险分析。在项目开始时执行,包括标注识别的危害和对
其概率和后果严重度的初始评估,并用于确定:
a) 项目中风险的范围和程度,以便使风险评估流程的应用达到适当的深度;
b) 在初始设计活动过程中,可消除或控制的潜在危害。
在项目开始阶段,基本无法确定设计细节;因此当细节信息可用时,宜通过执行全面的风险分析和
评估,总结和重新评估初步危害分析的结果(尤其是分析深度)。
宜在开始重要的设计活动前进行初步危害分析。宜完整地描述系统功能和构造,以及系统与人员
和其他系统的接口,以便进行分析。
在初步危害分析过程中,宜标注识别的危害,并估计其严重度和可能性。理想情况下,可根据初步
危害分析得出初始的安全要求,并为各个已识别的危害确定可能性目标。
宜根据初步危害分析的结果创建风险评级矩阵(见A.6和表E.2),并确定是否需要采取更详细分
析(定性或定量分析)。
在确定系统的范围、功能和设计时,可不断完善危害识别,分析危害的原因和结果,并最终进行风险
评估。
5.4.4.1 概述
在5.3.2中定义的风险评估流程基于可支持定性、定量或综合方法的风险评估框架。
定性风险评估适合于系统性失效,并作为最早的主观判断。定量风险评估仅用于随机失效。也可
采用综合方法,如半定量方法。
在上述方法中,如果结果明显偏于保守(不低估风险),可采用近似化方法。
除了用上述方法确定安全要求外,可通过基于现有的技术标准、认可的类似系统、可信的经验和行
业专家的判断等定性方法来进行风险评估。
6.3.3 THRs的使用
对于特定的系统,可根据整体定量风险目标,为每个“C-危害”分别确定THR(见5.3.2.7的风险评
估)。宜综合考虑触发事件和事故情形,并采取保护措施和安全防护措施,降低事故的概率或后果的严
重性。
一些危害可能会导致不同的事故,各个事故可能产生明显不同的结果,如列车脱轨通常只会因为旅
客跌倒在列车内而导致轻伤,而在极端情形下脱轨可能导致伤亡。在此情形下,应对与每个事故和升级
情形相关的风险进行考虑和分级,以确定危害率,危害率应与可容忍度相对应(即最高等级风险的危害
率)。有关风险评级的更多指导见A.6和E.2。
在考虑风险容忍度准则方面,获得THRs的方法包括比较现有系统的性能、采用公认的技术规则、
采用分析或统计方法,也可采用定性的方法。
应由RA负责顶层危害和相应THRs的定义,也可根据特定需求,由RA在任何系统层面给出定
义。如果RA不给出THRs,则应由RSI与系统/子系统的责任方一起向RA提出THRs,或由RA和
RSI共同确定。
如果系统的所有危害均被评估为“容许”,则可认为系统的总风险也是容许的,并符合RA设定的整
体风险目标,可通过从总体风险目标得出的THRs进行判定,否则应采用其他定性手段进行论证。
6.4.1 安全完整性
安全要求可分解为系统的功能、技术和相关需求(见6.2)。对于关联的两个子系统,安全功能可能
与这两个子系统都相关。需求中的置信等级是安全要求规范的重要内容,有助于确定设计方案。
实际上,置信等级与如何避免子系统危害(如可产生系统级“C-危害”的子系统状态)有关,并与子系
统对相关“C-危害”影响的容许程度相关。
因此风险分析应确定子系统边界处与子系统相关的危害,及其容许的发生频度(THR)。
SI是一种避免使系统或功能处于非期望状态的度量。SI与系统/功能可能进入非期望状态的频度
相关,不应超出轨道交通系统级“C-危害”的容忍率。可用SIL作为离散指标来描述SI。
SI是一个独立于具体技术、适用于各种系统的通用的概念。SI并不限于电子系统,SIL概念也可
扩展到其他领域,但在将SIL概念用于非电子系统之前,应通过特定的安全完整性措施调整“等级”的
数值。为保证类似系统之间的兼容性,应共同协商相关的特定措施。一些措施可能与电子系统的措施
不同(见6.4.3)。
8.3.2 频度和后果的计算
假设已经定义接受准则,则下一步是进行危害的故障树分析(FTA),这些危害是在初步危害识别
和分析(PHIA)过程中识别的。
可用FTA对每个识别的危害进行原因分析,对FTA进一步的说明见E.9。
应通过统计数据和/或通过工程判断确定所有“基本”危害的频度。通过“与/或”逻辑运算(根据故
障树的逻辑进行频度的乘/加),分析处在故障树顶部的危害并获得相应的频度。可使用失效模式影响
与危害性分析(FMECA)方法确定影响FTA的事件(有关FMECA的更多细节,见E.7)。
根据事件与时间的相关性,可通过事件树分析(ETA)(有关ETA的更多细节,见E.8)或其他适当
的分析(如FTA和马尔可夫等)确定危害的后果。
对于每个树叶(终端状态),应估算树叶的后果(损失/伤害);后果是指如果触发,该事件/危害可能
导致的死亡数量。
最后汇总故障/事件树分析结果。汇集属于某个后果等级的所有树叶并将所有树叶频度进行累加。
然后可观察风险曲线所处的ALARP区域。如果曲线处在中间风险区内,则应监控风险;如果合理
可行,应努力降低风险,将风险曲线靠近较低的ALARP边界(即较低的接受准则)。
ALARP仅给出了群体风险。如果在计算群体的风险曲线时考虑风险影响的人数,便可换算出个
体风险。
8.4.3 应用GAME设定定量风险目标
GAME应用的第1步骤是设定定量风险目标,目标设定可在轨道交通系统的任何......
英文网页English: GB/T 21562.2-2015
相关标准: GB 146.2|GB/T 32588.2|GB/T 28807.3|GB/T 21562|GB/T 21562.2-2015|GB/T 21562.2|