CSM-RA(Common Safety Method for Risk Evaluation and Assessment)为风险评估通用安全方法,是欧洲统一的安全评估规范(Regulation 402/2013)。CSM-RA于2010年起强制要求对铁路系统的技术变更进行安全评估,之后于2012年将铁路系统的组织与运营变更纳入了评估范围。CSM-RA适用于英国及所有的欧盟成员国,作为一个通用的方法,用于捕获、评估、控制和接受由于变更对铁路安全所造成的不利影响。CSM-RA同样是欧盟铁路系统准入的法定规范。独立的安全评估机构AsBo(Assessment Body)负责对准入申请人(proposer)的CSM-RA执行情况进行评估,其出具的安全评估报告是申请人获取欧盟铁路准入批准的必要文件。
CSM-RA流程图片来源:Regulation 402/2013
CSM-RA迄今已在欧洲应用了10年,以此为契机,SaRS(Safety and Reliability Society)发起并主办了“CSM-RA应用10周年网络研讨会”,旨在回顾CSM-RA在欧洲10年的使用情况。TÜV北德作为AsBo(Assessment Body)全程参与了本次网络研讨会。本文对CSM-RA进行简单的介绍,并结合研讨会对CSM-RA应用10周年的经验进行了总结。
重大安全变更(Significant Change)
CSM-RA的应用对象是铁路系统的变更,CSM-RA流程的最初阶段就需要评估变更是否属于重大安全变更(Significant Change)。对于重大安全变更,需要继续执行后续的风险评估流程(risk assessment),对于非重大安全变更,则仅需要记录相关的判定及判定理由。申请人(proposer)在进行重大安全变更的评估时应当依照ERA(European Rail Agency)发布的CSM-RA指南中的流程。同时需要考虑变更的叠加性(Additionality)。所谓变更的叠加性,即多个非显著变更的“合计”是否会成为一个显著变更。在CSM-RA应用10周年网络研讨会中,NR(Network Rail)提出了在CSM-RA实践中对于“叠加性”的管理存在一定的困难,包括“叠加性”的判断及其管理,并建议ERA为此提供更加清晰明确的指南。
重大安全变更的评估流程图片来源:ERA guide for application of CSM on risk assessment
NR(Network Rail)提供了关于重大安全变更的统计。从2006至2020年,在NR范围内的项目中,重大安全变更项目的比例为17.8%。由此可见,绝大部分的变更项目是非重大安全变更。ERA(European Rail Agency)指出,在CSM-RA实践中发现许多铁路参与方将“非重大安全变更”理解为“可以不用采取任何措施”,这是不正确的。非重大安全变更同样需要风险评估,其与重大安全变更的区别为:
重大安全变更需要依照CSM-RA(Regulation 402/2013)进行风险评估,非重大安全变更可依照其他标准进行风险评估,如CENELEC 50126; ISO31000等;
重大安全变更需要有独立的安全评估机构AsBo(Assessment Body)对申请人的CSM-RA的执行进行评估,非重大安全变更则不强制要求AsBo的介入。
因此无论是否重大安全变更,CSM-RA均是可用的风险评估方法。
风险评估(Risk Assessment)
完成变更评估之后进入风险评估流程。如果是重大安全变更,那么风险评估流程需要符合依照CSM-RA(Regulation 402/2013)中附录I的要求。风险评估流程的第一步是“系统定义(System Definition)”。CSM-RA的附录I中第2.1.2条要求系统定义需要至少包含以下内容:
系统目标(预期的目的)
系统功能和元素(包括人、机、运营等元素)
系统边界及外部交互系统
物理接口(与外部交互系统)和功能接口(功能输入和输出)
系统环境(如能量、振动、电磁干扰、运用等)
现有的安全措施,以及风险评估流程迭代后定义的安全需求
风险评估的假设和限制
ERA(European Rail Agency)指出,在CSM-RA的实践过程中,系统定义对于以上内容的描述常常差强人意,其认为低质量的系统边界、接口、环境、限制描述会导致危害识别的不完整。如某个新设计车型的运用环境定义中如果缺失了隧道使用环境的定义,那么其隧道特定火灾危害的识别也将缺失,从而导致该风险的不可控。
对于危害识别和分级,CSM-RA不限制任何特定的工具或方法,广泛接受的工具和方法都是可以应用的,如危害性和可操作性研究(HAZOPS)、危害识别研究(HAZID)、失效模式和影响分析(FMEA)、故障树分析(FTA)、事件树分析(ETA)等。无论使用何种工具,在保持公正性和客观性的前提下,正确地掌握经验和能力是很重要的,这也是CSM-RA的执行需要引入AsBo的重要原因。AsBo作为独立的安全评估机构,能够最大限度的保证公正性和客观性,同时在AsBo的专业能力监督下,也能保证整个CSM-RA流程执行的能力。
对于分级为不可广泛接受的风险,CSM-RA定义了三种风险接受准则,分别是:
行业规范COP(Code of Practice):通过适用的标准或法规接受风险;
相似系统SRS(Similar Reference System):通过在相似系统上使用的实际经验接受风险;
明确的风险评估ERE(Explicit Risk Estimation):通过对风险的定量和定性分析接受风险。
CSM-RA要求将行业规范COP和相似系统SRS作为优先的风险接受准则,但此次网络研讨会也提出这两个风险接受准则在实际应用过程中存在的问题:如对于行业规范COP在使用时往往没有评估其相关性;对于EMC(电磁兼容性)的风险,大部分申请者会选择EN50121作为COP接受该风险。这种“显而易见”和“理所当然”的选择过程中缺失评估其相关性的分析。实际上在EMC分析及EMC报告中可以发现,EN50121仅保护了系统外部的EMC能力,而与系统内部的EMC能力并不相关(如车辆系统的牵引子系统与制动子系统间重要信号传输被干扰的风险),因此该行业规范COP无法接受系统内部信号的电磁干扰风险。相似系统SRS也存在类似的相关性问题,包括系统的运用环境、参数以及其他外部条件对于评估系统而言是否相似或具有参考意义。ERA(European Rail Agency)也在研讨会中提出,建议将行业规范COP和相似系统SRS的相关性分析也作为证据文件记录到风险管理流程中。
TÜV北德同时也发现,明确的风险评估ERE作为非优先选项往往更受申请者的青睐,其原因是明确的风险评估ERE更接近于CENELEC 5012x、IEC 61508等安全评估方法,因此在使用上也更加得心应手。
在CENELEC 50126-1:2017中,增加了以行业规范COP、相似系统SRS和明确的风险评估ERE作为风险接受准则的流程,其与CSM-RA的符合性进一步加强,这也是CSM-RA在10年应用中得到广泛认可的一个佐证。
CENELEC 50126-1:2017 Figure 8
安全需求和其符合性说明(Safety Requirement)
基于三个接受准则所制定的安全措施会转化为安全需求,但并不是所有的安全需求都将由本系统实现,部分安全需求可能会转移给外部交互系统,这也就是安全应用条件SRAC (Safety Related Application Condition),如转移给运营方的操作要求、转移给维护方的维护要求等。同样的,外部交互系统也可能会对评估系统提出安全需求,即需要满足外部交互系统的安全应用条件SRAC,这就是接口管理。在CSM-RA中,对于接口管理有着明确的要求,如Regulation 402/2013 Annex I中:
1.2.2 转移给外部的安全需求需要外部接受;
1.2.3 任意铁路参与方发现安全措施不符合或不充分,应当告知申请者;
1.2.4 实施安全措施时,需要告知所有问题相关的铁路参与方。
然而在CSM-RA实践中,接口管理仍然存在诸多问题。在本次的网络研讨会中ERA(European Rail Agency)也提出了多项与接口管理相关的问题,包括:
并不是所有相关方参与到了风险识别和接口风险管理中;
许多申请者将安全措施转移给了超出其责任范围的相关方;
当一方无法满足接口安全要求时,无法找到能处理问题的另一相关方。
对此,TÜV北德认为需要更加明确的系统分层,以便明确责任划分以及接口管理。
系统分层及接口管理
迭代流程(Iterative Process)
迭代流程是CSM-RA与CENELEC 50126的重要区别之一。在CSM-RA中,并没有明确规定我们所熟知的验证(Verification)和确认(Validation)活动,但是却定义了多个迭代流程(Iterative Process),主要有以下迭代过程:
当选择风险接受准则时,应当优先选择行业规范COP和相似系统SRS,如果其不能充分接受风险时,需要再一次选择风险接受准则。如上述举例的EN50121标准作为行业规范COP无法接受内部EMC风险时,需要再次选择风险接受准则对内部EMC风险进行控制。
当选择明确的风险评估ERE (Explicit Risk Estimation)时,如果定量或定性分析表明残余风险无法被接受,则需要再一次执行明确的风险评估ERE并制定安全措施,直到残余风险降低到可接受水平。
安全需求定义后,需要再一次进行风险评估,分析安全需求本身是否会产生新的危害。比如车辆为了控制紧急疏散的危害增加逃生门,那么需要将逃生门添加至系统定义并再一次进行风险评估,识别逃生门是否会产生新的危害,如运行时的意外打开等风险。
当评估安全需求符合性时,如果符合性并不充分,则需要再一次执行风险评估流程,直到安全需求完全符合。
迭代流程是CSM-RA中核心的流程,决定着整个CSM-RA执行的质量。
总结(Summary)
回顾CSM-RA在欧盟执行了10年的经验会发现,CSM-RA在实践过程中总体上是积极的。也正如NR(Network Rail)的发言,CSM-RA的应用总体上是高效、舒适和低成本的,但同时也存在着不少问题,对此几乎所有的与会者均提到了一个相同的关键点,那就是人员能力。ORR(Office of Rail and Road)在其分享中多次使用“Education”。ERA(European Rail Agency)也在未来展望中多次提到了“Education”和“Training”。
ERA在总结陈词中提到,有人认为“欧洲铁路已经运行了超过150年,因此不需要再去学习要做什么、怎么去做”,但这是完全不正确的,因为虽然欧洲有着150年的铁路历史,但今后的铁路发展将会使铁路系统更加复杂,速度更快,密度更高,因此对于安全的要求也是更加严格的。
安全始终是轨道交通最核心的理念,TÜV北德作为AsBo将竭诚为客户提供欧盟铁路系统准入认证CSM-RA安全评估;德国轻轨车辆准入许可Bostrab安全评估;城市轨道交通车辆系统安全评估等CSM-RA业务领域的专业安全评估服务。回顾CSM-RA的过去,展望CSM-RA的未来,TÜV北德将持续为更加高速化、自动化、智能化的铁路系统保驾护航。
转载自【TUV北德】公众号
杭州股票配资网提示:文章来自网络,不代表本站观点。
