norma española UNE-EN 50126 Marzo 2005 TÍTULO Aplicaciones Ferroviarias Especificación y demostración de la fiabilidad, la disponibilidad, la mantenibilidad y la seguridad (RAMS) Railway applications. The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS). Applications ferroviaires. Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenablité et de la sécurité (FDMS). CORRESPONDENCIA Esta norma es la versión oficial, en español, de la Norma Europea EN 50126 de septiembre de 1999. OBSERVACIONES Véase introducción nacional en página 2. ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 203 Equipamiento Eléctrico y Sistemas Automáticos para la Industria cuya Secretaría desempeña SERCOBE. Editada e impresa por AENOR Depósito legal: M 11181:2005 LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: AENOR 2005 Reproducción prohibida C Génova, 6 28004 MADRID-España 81 Páginas Teléfono Fax 91 432 60 00 91 310 40 32 Grupo 46 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. UNE-EN 50126 -2- INTRODUCCIÓN NACIONAL La Norma Europea EN 50126:1999 fue ratificada por AENOR como norma española en diciembre de 2001, por el procedimiento de anuncio, en cumplimiento con el punto 5.2.2 de las reglas comunes de CEN-CENELEC. La hoja de anuncio aparece publicada en la revista UNE nº 157 de diciembre de 2001. La resolución de la Dirección General de Política Tecnológica, por la que se publica la relación de normas europeas que han sido ratificadas como normas españolas, aparece publicada en el BOE nº 58 el 8 de marzo de 2002. Posteriormente el sector ha considerado necesario adoptar la Norma Europea EN 50126:1999, por el procedimiento de publicación como norma UNE. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. NORMA EUROPEA EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM EN 50126 Septiembre 1999 ICS 29.280; 45.020 Versión en español Aplicaciones Ferroviarias Especificación y demostración de la fiabilidad, la disponibilidad, la mantenibilidad y la seguridad (RAMS) Railway applications. The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS). Applications ferroviaires. Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenablité et de la sécurité (FDMS). Bahnanwendungen. Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS). Esta norma europea ha sido aprobada por CENELEC el 1998-10-01. Los miembros de CENELEC están sometidos al Reglamento Interior de CEN/CENELEC que define las condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas normas nacionales, pueden obtenerse en la Secretaría Central de CENELEC, o a través de sus miembros. Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada bajo la responsabilidad de un miembro de CENELEC en su idioma nacional, y notificada a la Secretaría Central, tiene el mismo rango que aquéllas. Los miembros de CENELEC son los comités electrotécnicos nacionales de normalización de los países siguientes: Alemania, Austria, Bélgica, Dinamarca, España, Finlandia, Francia, Grecia, Irlanda, Islandia, Italia, Luxemburgo, Noruega, Países Bajos, Portugal, Reino Unido, República Checa, Suecia y Suiza. CENELEC COMITÉ EUROPEO DE NORMALIZACIÓN ELECTROTÉCNICA European Committee for Electrotechnical Standardization Comité Européen de Normalisation Electrotechnique Europäisches Komitee für Elektrotechnische Normung SECRETARÍA CENTRAL: Rue de Stassart, 35 B-1050 Bruxelles 1999 Derechos de reproducción reservados a los Miembros de CENELEC. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 -4- PRÓLOGO Esta norma europea fue preparada por el Comité Técnico TC 9X, Aplicaciones Eléctricas y Electrónicas para ferrocarriles, de CENELEC. El texto del proyecto fue sometido a voto formal y fue aprobado por CENELEC como Norma Europea EN 50126 el 1998-10-01. Se fijaron las siguientes fechas: − Fecha límite en la que la norma europea debe adoptarse a nivel nacional por publicación de una norma nacional idéntica o por ratificación (dop) 2000-04-01 − Fecha límite en la que deben retirarse las normas nacionales divergentes con esta norma (dow) 2000-04-01 Los anexos denominados “normativos” forman parte del cuerpo de la norma. Los anexos denominados “informativos” se dan sólo para información. En esta norma, los anexos del A al E son informativos. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. -5- EN 50126:1999 ÍNDICE Página INTRODUCCIÓN ............................................................................................................................ 7 1 OBJETO Y CAMPO DE APLICACIÓN ............................................................................ 8 2 NORMAS PARA CONSULTA ............................................................................................ 8 3 TÉRMINOS Y DEFINICIONES.......................................................................................... 9 4 4.1 4.2 4.3 4.4 4.4.1 4.4.2 4.4.3 4.5 4.5.1 4.5.2 4.6 4.6.1 4.6.2 4.6.3 4.7 4.8 RAMS FERROVIARIA ........................................................................................................ Introducción ........................................................................................................................... RAMS Ferroviaria y calidad de servicio.............................................................................. Elementos RAMS Ferroviaria .............................................................................................. Factores que influyen en la RAMS Ferroviaria .................................................................. Generalidades......................................................................................................................... Categorías de factores ........................................................................................................... Gestión de factores................................................................................................................. Medios para alcanzar los requisitos de la RAMS Ferroviaria........................................... Generalidades......................................................................................................................... Especificación de la RAMS ................................................................................................... Riesgo ...................................................................................................................................... Concepto de Riesgo................................................................................................................ Análisis de Riesgos ................................................................................................................. Evaluación y aceptación de riesgos....................................................................................... Integridad de la Seguridad.................................................................................................... Concepto de Seguridad Intrínseca........................................................................................ 12 12 13 13 16 16 16 21 21 21 22 23 23 23 24 26 27 5 5.1 5.2 5.3 GESTIÓN DE LA RAMS FERROVIARIA ........................................................................ Generalidades......................................................................................................................... Ciclo de vida del sistema ....................................................................................................... Aplicación de la presente norma .......................................................................................... 28 28 28 34 6 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 CICLO DE VIDA RAMS...................................................................................................... Fase 1: Concepto .................................................................................................................... Fase 2: Definición del sistema y condiciones de aplicación ................................................ Fase 3: Análisis de riesgos ..................................................................................................... Fase 4: Requisitos del sistema............................................................................................... Fase 5: Distribución de los requisitos del sistema ............................................................... Fase 6: Diseño e implementación.......................................................................................... Fase 7: Fabricación................................................................................................................ Fase 8: Instalación ................................................................................................................. Fase 9: Validación del sistema (incluidas la aceptación de seguridad y la puesta en servicio).............................................................................................................................. Fase 10: Aceptación del sistema............................................................................................ Fase 11: Funcionamiento y mantenimiento ......................................................................... Fase 12: Seguimiento de la ejecución ................................................................................... Fase 13: Modificación y realimentación............................................................................... Fase 14: Retirada del servicio y eliminación........................................................................ 36 36 38 41 43 48 49 51 53 6.10 6.11 6.12 6.13 6.14 54 56 57 58 59 60 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 -6- ANEXO A (Informativo) LÍNEAS GENERALES DE LA ESPECIFICACIÓN RAMS EJEMPLO ......................................................................................... 62 ANEXO B (Informativo) PROGRAMA RAMS ........................................................................ 68 ANEXO C (Informativo) EJEMPLOS DE PARÁMETROS FERROVIARIOS.................... 73 ANEXO D (Informativo) EJEMPLOS DE ALGUNOS PRINCIPIOS DE ACEPTACIÓN DE RIESGOS .................................................................................... 75 RESPONSABILIDADES DENTRO DEL PROCESO RAMS A LO LARGO DE SU CICLO DE VIDA ....................................... 79 Figura 1: Calidad de servicio y RAMS Ferroviaria .................................................................... 13 Figura 2: Interrelación de elementos de la RAMS Ferroviaria ................................................. 14 Figura 3: Efectos de los Fallos dentro de un Sistema.................................................................. 16 Figura 4: Influencias sobre la RAMS........................................................................................... 16 Figura 5: Factores que influyen sobre la RAMS Ferroviaria .................................................... 18 Figura 6: Ejemplo de un Diagrama Causa / Efecto..................................................................... 21 ANEXO E (Informativo) Figuras Figura 7: Productos Certificados en Sistemas de Seguridad...................................................... 27 Figura 8: Ciclo de vida del Sistema .............................................................................................. 29 Figura 9: Tareas Relacionadas con la Fase de Proyecto (Hoja 1 de 2)...................................... 30 Figura 9: Tareas Relacionadas con la Fase de Proyecto (Hoja 2 de 2)...................................... 31 Figura 10: La Representación en “V” ............................................................................................ 33 Figura 11: Verificación y Validación.............................................................................................. 34 Figura 12: Ingeniería y Gestión RAMS Puestas en Práctica dentro de un Proceso de Construcción del Sistema.............................................................................................. 36 Tablas Tabla 1: Categorías de Fallos RAM............................................................................................ 22 Tabla 2: Frecuencia con que se dan Sucesos de peligros........................................................... 23 Tabla 3: Nivel de Gravedad del Peligro...................................................................................... 24 Tabla 4: Matriz de Frecuencia – Consecuencia ......................................................................... 24 Tabla 5: Categorías Cualitativas de Riesgos .............................................................................. 25 Tabla 6: Ejemplo Típico de Evaluación y Aceptación de Riesgos ............................................ 25 Tabla B.1: Ejemplo de Líneas Generales Básicas de un Programa RAMS ................................ 69 Tabla C.1: Ejemplos de Parámetros de Fiabilidad........................................................................ 73 Tabla C.2: Ejemplos de Parámetros de Mantenibilidad............................................................... 73 Tabla C.3: Ejemplos de Parámetros de Disponibilidad ................................................................ 74 Tabla C.4: Ejemplos de Parámetros de Apoyo Logístico.............................................................. 74 Tabla C.5: Ejemplos de Parámetros de Rendimiento de Seguridad............................................ 74 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. -7- EN 50126:1999 INTRODUCCIÓN La presente norma europea pone al alcance de los Organismos Ferroviarios y de la industria ferroviaria, en toda la Unión Europea, un proceso que hará posible la puesta en práctica de un enfoque consistente de la gestión de la fiabilidad, disponibilidad, mantenibilidad y seguridad, representadas por las siglas RAMS. Los procesos destinados a la especificación y demostración de los requisitos RAMS son las piedras angulares de esta norma. La presente norma europea aspira a promover un entendimiento y enfoque común de la gestión RAMS. La presente norma europea puede ser utilizada sistemáticamente por un organismo ferroviario y por la industria ferroviaria, a lo largo de todas las fases del ciclo de vida de una aplicación ferroviaria, a fin de desarrollar requisitos RAMS específicos para ferrocarriles y conseguir el cumplimiento de tales requisitos. El enfoque “nivel – sistema” definido por la presente norma europea facilita la evaluación de las interacciones RAMS entre elementos de aplicaciones ferroviarias complejas. La presente norma europea promueve la cooperación entre un organismo ferroviario y la industria ferroviaria, dentro de un repertorio de estrategias de compra, con vistas al logro de una combinación óptima de RAMS y coste de aplicaciones ferroviarias. La adopción de la presente norma europea apoyará los principios del Mercado Único Europeo y facilitará la interoperabilidad de los ferrocarriles europeos. El proceso definido por la presente norma europea parte de la base de que los organismos ferroviarios y la industria ferroviaria disponen de políticas de nivel empresarial que se ocupan de la Calidad, el Rendimiento y la Seguridad. El enfoque definido en esta norma es consistente con la aplicación de los requisitos de gestión de calidad contenidos en la serie ISO 9000 de Normas Internacionales. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 -8- 1 OBJETO Y CAMPO DE APLICACIÓN 1.1 La presente norma europea: − define RAMS desde el punto de vista de la fiabilidad, la disponibilidad, la mantenibilidad y la seguridad, y la interacción de éstas; − define un proceso, basado en el ciclo de vida del sistema y las tareas desarrolladas dentro de éste, destinado a la gestión RAMS; − hace posible que los conflictos que surjan entre los elementos RAMS sean controlados y gestionados eficazmente; − define un proceso sistemático para la especificación de requisitos para RAMS y la demostración de que dichos requisitos se han cumplido; − se ocupa de cuestiones específicas ferroviarias; − no define los objetivos RAMS, cantidades, requisitos o soluciones destinadas a aplicaciones ferroviarias específicas; − no especifica requisitos destinados a garantizar la seguridad de los sistemas; − no define reglas ni procesos relativos a la certificación de productos ferroviarios con relación a los requisitos de esta norma; − no define un proceso de aprobación por parte del organismo regulador de seguridad. 1.2 La presente norma europea es aplicable: − a la especificación y demostración RAMS para todas las aplicaciones ferroviarias y en todos los niveles de cada aplicación de dicha clase, según proceda, desde rutas ferroviarias completas hasta sistemas principales dentro de una ruta ferroviaria, pasando por subsistemas y componentes independientes y combinados dentro de dichos sistemas principales, incluidos los que contienen software; de forma especial: − a sistemas nuevos; − a sistemas nuevos integrados en sistemas ya existentes que estuvieran en funcionamiento antes de la elaboración de esta norma, si bien no es generalmente aplicable a otros aspectos del sistema existente; − a modificaciones de sistemas ya existentes que estuvieran en funcionamiento antes de la elaboración de esta norma, si bien no es generalmente aplicable a otros aspectos del sistema existente; − a todas las fases importantes del ciclo de vida de una aplicación; − a su utilización por parte de los Organismos Ferroviarios y de la industria ferroviaria. NOTA − En los requisitos de la presente norma se dan orientaciones sobre aplicabilidad. 2 NORMAS PARA CONSULTA Esta norma europea incorpora disposiciones de otras publicaciones por su referencia, con o sin fecha. Estas referencias normativas se citan en los lugares apropiados del texto de la norma y se relacionan a continuación. Para las referencias con fecha, no son aplicables las revisiones o modificaciones posteriores de ninguna de las publicaciones. Para las referencias sin fecha, se aplica la edición en vigor del documento normativo al que se haga referencia (incluyendo sus modificaciones). AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. -9- EN 50126:1999 EN ISO 9001:1994 − Sistemas de gestión de la Calidad. Modelo para el aseguramiento de la calidad en el diseño, el desarrollo, la producción, la instalación y el servicio. EN ISO 9002:1994 − Sistemas de Calidad. Modelo para el aseguramiento de la calidad en la producción, la instalación y el servicio postventa. EN ISO 9003:1994 − Sistemas de Calidad. Modelo para el aseguramiento de la calidad en inspección y los ensayos finales. EN 50128* − Aplicaciones Ferroviarias. Sistemas de comunicación, señalización y procesamiento. Software para sistemas de control y protección de ferrocarril. ENV 50129:1998 − Aplicaciones Ferroviarias. Sistemas electrónicos de control y protección ferroviaria relativos a la seguridad. IEC 60050-191:1990 − Vocabulario Electrotécnico Internacional Capítulo191: Confiabilidad y calidad del servicio. IEC 61508 − Series Seguridad funcional de los sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad. 3 TÉRMINOS Y DEFINICIONES Para los fines de esta norma, se aplican las definiciones siguientes. 3.1 distribución: Un proceso mediante el cual los elementos RAMS de un sistema se subdividen entre losdiferentes componentes que abarca el sistema a fin de proporcionar objetivos individuales. 3.2 evaluación: La realización de una investigación con el fin de llegar a un juicio, basado en pruebas, sobre la idoneidad de un producto. 3.3 auditoría: Un examen sistemático e independiente destinado a determinar si los procedimientos específicos de los requisitos de un producto cumplen las disposiciones planificadas, se ponen en práctica eficazmente y resultan idóneos para alcanzar los objetivos especificados. 3.4 disponibilidad: La capacidad que tiene un producto de hallarse en situación de realizar una función requerida en condiciones determinadas en un momento dado o durante un intervalo de tiempo señalado, suponiendo que se faciliten los recursos externos requeridos. 3.5 puesta en servicio: Un término colectivo referido a las actividades emprendidas a fin de preparar un sistema o producto antes de demostrar que cumple con sus requisitos especificados. 3.6 fallo de causa común: Un fallo que es el resultado de uno o varios sucesos que ocasionan la coincidencia de estados de fallo de dos o más componentes que conducen a que un sistema no realice la función requerida de él. 3.7 conformidad (conforme a): Una demostración de que una característica o propiedad de un producto satisface los requisitos declarados. * En proceso de elaboración. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 10 - 3.8 gestión de la configuración: Una disciplina que aplica la dirección y supervisión técnica y administrativa para identificar y documentar las características funcionales y físicas de un elemento de configuración, controlar el cambio de dichas características, recoger e informar sobre el procesamiento de cambios y el estado de puesta en práctica, y verificar que se cumplen los requisitos especificados. 3.9 mantenimiento correctivo: El mantenimiento realizado después de la identificación de un defecto y destinado a poner un producto en una condición en la que pueda realizar una función requerida. 3.10 fallo dependiente: El fallo de un conjunto de sucesos, cuya probabilidad no puede expresarse como el simple producto de las probabilidades incondicionales de cada los sucesos por separado. 3.11 tiempo de caída: El intervalo de tiempo durante el cual un producto se halla fuera de servicio. (IEC 60050-191). 3.12 causa de fallo: Las circunstancias que, durante el diseño, la fabricación o la utilización han llevado a un fallo. (IEC 60050-191). 3.13 modo de fallo: Los resultados predichos u observados de una causa de un fallo en un elemento especificado con relación a las condiciones de funcionamiento en el momento del fallo. 3.14 tasa de fallo: El límite, si es que existe, de la fracción de la probabilidad condicional de que en un instante de tiempo, T, el fallo de un producto, suceda dentro de un determinado intervalo de tiempo (t, t + ∆) y de la duración de ese intervalo, ∆t, cuando ∆t tiende a cero, supuesto que el elemento se halle en estado de funcionamiento al principio del intervalo de tiempo. 3.15 modo de defecto: Uno de los posibles estados de un producto defectuoso para una determinada función requerida. (IEC 60050-191). 3.16 análisis de árbol de fallos: Un análisis cuya finalidad es determinar qué modos de defecto del producto, subproductos o sucesos externos, o combinaciones de todos ellos, pueden resultar en un modo de defecto declarado del producto, presentado en forma árbol de fallos. 3.17 peligro: Una situación física que encierra posibilidades de que se produzcan lesiones humanas. 3.18 registro de peligros: El documento en el que todas las actividades de gestión de la seguridad, los peligros identificados, las decisiones tomadas y las soluciones adoptadas quedan registradas o referenciadas. También se le conoce como “Registro de Seguridad” (ENV 50129). 3.19 apoyo logístico: Los recursos globales que se disponen y organizan con el fin de operar y mantener el sistema en el nivel de disponibilidad especificado y al coste del ciclo de vida requerido. 3.20 mantenibilidad: La probabilidad de que una acción dada de mantenimiento activo, correspondiente a un elemento en unas condiciones de utilización dadas, pueda ser llevada a cabo en un intervalo establecido de tiempo cuando el mantenimiento se realiza en condiciones establecidas y se utilizan procedimientos y recursos establecidos (IEC 60050-191). 3.21 mantenimiento: La combinación de todas las acciones técnicas y administrativas, incluidas las acciones de supervisión, destinadas a mantener un producto en un estado en el que pueda realizar una función requerida, o a devolverlo a dicho estado (IEC 60050-191). AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 11 - EN 50126:1999 3.22 política de mantenimiento: Una descripción de la interrelación entre los escalones de mantenimiento, los niveles establecidos en contrato y los niveles de mantenimiento que hayan de aplicarse para el mantenimiento de un elemento (IEC 60050-191). 3.23 misión: Una descripción objetiva de la tarea fundamental realizada por un sistema. 3.24 perfil de la misión: Líneas generales del rango y variación previstas en la misión respecto de parámetros tales como tiempo, carga, velocidad, distancia, paradas, túneles, etc., en las fases operativas del ciclo de vida. 3.25 mantenimiento preventivo: El mantenimiento llevado a cabo a intervalos predeterminados o de acuerdo con criterios prescritos y destinados a reducir la probabilidad de fallos o la degradación del funcionamiento de un elemento (IEC 60050-191). 3.26 autoridad ferroviaria: El organismo que tiene ante un Regulador la responsabilidad global del funcionamiento de un sistema ferroviario. NOTA − Las responsabilidades de las autoridades ferroviarias respecto del conjunto del sistema o de sus partes, y de las actividades del ciclo de vida están en ocasiones repartidas entre uno o más organismos o entidades. Por ejemplo: − el propietario(s) de una o más partes de los activos del sistema y sus agentes de compras; − el operador del sistema; − el mantenedor o mantenedores de una o más partes del sistema; − etc. Dichos repartos se basan en instrumentos estatutarios o en acuerdos contractuales. Tales responsabilidades deberían, por tanto, quedar claramente establecidas en las primeras etapas del ciclo de vida de un sistema. 3.27 industria ferroviaria: Término genérico que se refiere al proveedor o proveedores de sistemas ferroviarios completos, sus subsistemas o piezas componentes. 3.28 programa RAM: Un conjunto documentado de actividades planificadas temporalmente, recursos y acontecimientos que sirven para poner en práctica la estructura organizativa, las responsabilidades, procedimientos, actividades, capacidades y recursos que juntos garantizan que un elemento cumpla los requisitos RAM dados y pertinentes a un contrato o proyecto determinados (IEC 60050-191). 3.29 RAMS: Siglas que significan una combinación de Fiabilidad, Disponibilidad, Mantenibilidad y Seguridad. 3.30 fiabilidad: La probabilidad de que un elemento pueda realizar una función requerida en condiciones determinadas durante un intervalo de tiempo determinado (t1, t2). (IEC 60050-191). 3.31 incremento de fiabilidad: Una condición caracterizada por una mejora progresiva de una medición del rendimiento de la fiabilidad de un elemento a lo largo del tiempo (IEC 60050-191). 3.32 reparación: La parte del mantenimiento correctivo en la que se realizan acciones manuales sobre un elemento. (IEC 60050-191). 3.33 restauración: El evento que se da cuando un elemento recupera la capacidad de realizar una función requerida después de un defecto (IEC 60050-191). 3.34 riesgo: La tasa probable de ocurrencia de un peligro que ocasione daño, y el grado de severidad de dicho daño. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 12 - 3.35 seguridad: Ausencia de riesgo inaceptable de daño. 3.36 caso de seguridad: La demostración documentada de que el producto cumple los requisitos de seguridad especificados. 3.37 integridad de la seguridad: La probabilidad de que un sistema cumpla satisfactoriamente las funciones de seguridad requeridas en todas las condiciones establecidas dentro de un periodo de tiempo igualmente establecido. 3.38 nivel de Integridad de la Seguridad (SIL): Uno de varios niveles discretos definidos para especificar los requisitos de integridad de la seguridad de las funciones de seguridad que se asignen a los sistemas relacionados con la seguridad. El Nivel de Integridad de la Seguridad que tenga la cifra más alta cuenta con el nivel más elevado de integridad de la seguridad. 3.39 plan de seguridad: Un conjunto de actividades programadas temporalmente, recursos y supuestos que sirven para poner en práctica la estructura organizativa, las responsabilidades, procedimientos, actividades, capacidades y recursos que juntos garantizan que un elemento cumplirá unos requisitos de seguridad dados y pertinentes a un contrato o proyecto determinado. 3.40 autoridad reguladora de la seguridad: A menudo, un organismo del gobierno nacional responsable de fijar o acordar para un sistema ferroviario, los requisitos de seguridad y de garantizar que cumpla dichos requisitos. 3.41 ciclo de vida del sistema: Las actividades que se desarrollan durante un periodo de tiempo que se inicia cuando un sistema es ideado, y finalizan cuando el sistema ya no está disponible para ser utilizado, es retirado de servicio y eliminado. 3.42 fallos sistemáticos: Fallos debidos a errores en cualquier actividad de seguridad del ciclo de vida, en cualquier fase, que provocan que éste falle dándose una combinación particular de supuestos de alimentación o alguna condición ambiental particular. 3.43 riesgo tolerable: El nivel máximo de riesgo de un producto que resulta aceptable para la Autoridad Ferroviaria. 3.44 validación: Confirmación mediante examen y aportación de pruebas objetivas de que los requisitos particulares para un uso específico pretendido han sido cumplidos. 3.45 verificación: Confirmación mediante examen y aportación de pruebas objetivas de que los requisitos específicos han sido cumplidos. NOTA − Para aclarar la diferencia existente entre verificación y validación véase la figura 11 y el apartado 5.2.9. 4 RAMS FERROVIARIA 4.1 Introducción 4.1.1 El capítulo 4 de esta norma facilita información básica sobre el tema RAMS y la ingeniería RAMS. La finalidad de este capítulo es la de proporcionar al lector suficiente información sobre antecedentes que haga posible la aplicación eficaz de esta norma a los sistemas ferroviarios. 4.1.2 La RAMS Ferroviaria supone una aportación importante a la Calidad del Servicio prestado por la Autoridad Ferroviaria. La RAMS Ferroviaria se define mediante varios elementos constitutivos; en consecuencia, este capítulo de la presente norma europea se estructura como sigue: AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 13 - EN 50126:1999 a) El apartado 4.2 examina la relación entre RAMS Ferroviaria y calidad de servicio. b) Los apartados 4.3 a 4.8 examinan los aspectos de la RAMS Ferroviaria, a saber: − los elementos RAMS; − los factores que influyen en la RAMS y los medios para obtenerlo; − riesgo e integridad de la seguridad. 4.1.3 Allí donde sea posible, dentro de este capítulo, se utilizan términos definidos internacionalmente, pero allí donde se necesiten nuevos términos o donde los términos reconocidos se hayan convertido en específicos en el contexto ferroviario, dichos términos se definen en el capítulo 3 de esta norma. 4.1.4 Dentro de la presente norma europea, la secuencia “sistema, subsistema, componente” se utiliza para demostrar la división de cualquier aplicación completa en sus partes constituyentes. Los límites exactos de cada término (sistema, subsistema y componente) dependerán de la aplicación específica. 4.1.5 Un sistema puede definirse como un montaje de subsistemas y componentes, unidos de forma organizada, para lograr una funcionalidad especificada. La funcionalidad se asigna a los subsistemas y componentes dentro de un sistema, y el comportamiento y estado del sistema se cambia si la funcionalidad del subsistema o el componente cambian. Un sistema responde a entradas para generar salidas especificadas, mientras actúa recíprocamente con el entorno. 4.2 RAMS Ferroviaria y calidad de servicio 4.2.1 Este apartado introduce el enlace existente entre la RAMS y la calidad de servicio correspondiente a una tarea. 4.2.2 La RAMS es una característica del funcionamiento a largo plazo de un sistema y se consigue mediante la aplicación de conceptos establecidos de ingeniería, métodos, herramientas y técnicas durante todo el ciclo de vida del sistema. La RAMS de un sistema puede describirse como un indicador cualitativo y cuantitativo de hasta qué punto puede confiarse en que el sistema, o los subsistemas y componentes que lo forman, funcionen tal y como se especifica y, a la vez, estén disponibles y sean seguros. La RAMS del sistema, en el contexto de esta norma europea, es una combinación de fiabilidad, disponibilidad, mantenibilidad y seguridad (RAMS). 4.2.3 La finalidad de un sistema ferroviario es lograr un nivel definido de tráfico ferroviario en un tiempo dado y de forma segura. La RAMS Ferroviaria describe la confianza con la que el sistema puede garantizar el logro de dicha finalidad. La RAMS Ferroviaria ejerce una clara influencia sobre la calidad con la que se presta el servicio al cliente. La Calidad del Servicio se ve influida por otras características relativas a la funcionalidad y al rendimiento; por ejemplo, la frecuencia del servicio, la regularidad del mismo y la estructura de las tarifas. Esta relación se muestra en la figura 1. Fig. 1 − Calidad del Servicio y RAMS Ferroviaria 4.3 Elementos RAMS Ferroviaria 4.3.1 Este apartado introduce la interacción entre los elementos RAMS (fiabilidad, disponibilidad, mantenibilidad y seguridad) en el contexto de los sistemas ferroviarios. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 14 - 4.3.2 La seguridad y la disponibilidad están interrelacionadas en el sentido de que un punto débil en una u otra, o la mala gestión de conflictos surgidos entre los requisitos de seguridad y disponibilidad puede impedir que se consiga un sistema fidedigno. La interconexión de los elementos RAMS de un sistema ferroviario (fiabilidad, disponibilidad, mantenibilidad y seguridad) se muestra en la figura 2. 4.3.3 El logro de objetivos de seguridad y disponibilidad dentro del servicio sólo puede alcanzarse cumpliendo todos los requisitos de fiabilidad y mantenibilidad, y controlando el mantenimiento y las actividades de funcionamiento, en curso y a largo plazo, así como el entorno del sistema. 4.3.4 El otro aspecto de la seguridad, entendido como elemento que caracteriza la resistencia de un sistema ferroviario al vandalismo y a la conducta humana irrazonable, puede considerarse un componente añadido RAMS. Sin embargo, la consideración de este aspecto de la seguridad queda fuera del ámbito de esta norma. Fig. 2 − Interrelación de los elementos de la RAMS Ferroviaria 4.3.5 Los conceptos técnicos de disponibilidad se basan en un conocimiento de: a) La fiabilidad en lo referente a: − todos los posibles de modos de fallo del sistema en la aplicación especificada y su entorno; − la probabilidad de ocurrencia de cada fallo o alternativamente, la tasa de ocurrencia de cada fallo; − el efecto del fallo sobre la funcionalidad del sistema. b) La mantenibilidad en lo referente a: − el tiempo de realización del mantenimiento planeado; − el tiempo de detección, identificación y localización de los defectos; − el tiempo de restauración del sistema que ha fallado (mantenimiento no planeado). c) El funcionamiento y el mantenimiento en lo referente a: − todos los posibles modos de funcionamiento y mantenimiento requerido a lo largo del ciclo de vida del sistema; − los aspectos en que interviene el factor humano. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 15 - EN 50126:1999 4.3.6 Los conceptos técnicos de seguridad se basan en un conocimiento de: a) todas las posibles peligros que puedan darse en el sistema, en todos los modos de funcionamiento, mantenimiento y entorno; b) la característica de cada peligro en lo referente a la gravedad de sus consecuencias; c) fallos de seguridad o relacionados con la seguridad en lo referente a: − todos los modos de fallo del sistema que pudieran conducir a un peligro (modos de fallo relacionados con la seguridad). Éste es un subconjunto de todos los modos de fallo de fiabilidad. (4.3.5 a)); − la probabilidad de que se produzca cada modo de fallo del sistema relacionado con la seguridad; − la secuencia y / o la coincidencia de sucesos, fallos, estados operativos, condiciones ambientales, etc., en la aplicación que pudieran resultar en un accidente. (Por ejemplo, un peligro que resulte en un accidente); − la probabilidad de que se den cada uno de los sucesos, fallos, estados operativos, condiciones ambientales, etc., en la aplicación. d) la mantenibilidad de las partes del sistema relacionadas con la seguridad en lo referente a: − la facilidad de llevar a cabo el mantenimiento de aquellos aspectos o partes del sistema o de sus componentes que están asociados a un peligro o a un modo de fallo relacionado con la seguridad; − la probabilidad de que se produzcan errores durante las acciones de mantenimiento de dichas partes del sistema relacionadas con la seguridad; − el tiempo para devolver el sistema a un estado de seguridad. e) la operación y el mantenimiento del sistema de las partes del mismo relacionadas con la seguridad en lo referente a: − la influencia de factores humanos sobre el mantenimiento efectivo de todas las partes del sistema relacionadas con la seguridad y el funcionamiento seguro del sistema; − las herramientas, instalaciones y procedimientos para el mantenimiento eficaz de las partes del sistema relacionadas con la seguridad y destinadas a su seguro funcionamiento; − los controles y medidas eficaces para enfrentarse a un peligro y mitigar sus consecuencias. 4.3.7 Los fallos de un sistema que funcione dentro de los límites de una aplicación y su entorno, tendrán algún efecto sobre el comportamiento del sistema. Todas los fallos afectan adversamente a la fiabilidad del sistema, mientras que sólo algunos fallos específicos tendrán un efecto adverso sobre la seguridad dentro de la aplicación en particular. El entorno también puede influir sobre la funcionalidad del sistema y, a su vez, sobre la seguridad de la aplicación ferroviaria. Estos vínculos se muestran en la figura 3. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 16 - Fig. 3 − Efectos de los Fallos dentro de un Sistema 4.3.8 Un sistema ferroviario fidedigno sólo puede materializarse teniendo en cuenta las interacciones de los elementos RAMS dentro de un sistema, así como la especificación y el logro de la combinación RAMS óptima para el sistema. 4.4 Factores que influyen en la RAMS Ferroviaria 4.4.1 Generalidades 4.4.1.1 Este apartado introduce y define un proceso que apoya la identificación de factores que influyen en la RAMS de sistemas ferroviarios, teniendo especialmente en cuenta la influencia de los factores humanos. Dichos factores, y sus efectos, son una entrada para la especificación de los requisitos RAMS para sistemas. 4.4.1.2 La RAMS de un sistema ferroviario se ve influida de tres formas: por fuentes de fallos introducidos internamente dentro del sistema en cualquier fase del ciclo de vida del mismo (condiciones del sistema), por fuentes de fallos impuestos sobre el sistema durante su funcionamiento (condiciones de funcionamiento) y por fuentes de fallos impuestos sobre el sistema durante las actividades de mantenimiento (condiciones de mantenimiento). Estas fuentes de fallos pueden interactuar. Esta relación se muestra en la figura 4 y se detalla en la figura 5. Fig. 4 − Influencias sobre la RAMS 4.4.1.3 Para llevar a cabo sistemas fidedignos, es necesario identificar los factores que pudieran influir en la RAMS del sistema, su efecto debe ser evaluado y la causa de estos efectos gestionada a lo largo de todo el ciclo de vida del sistema, mediante la aplicación de los pertinentes controles, a fin de optimizar el rendimiento del sistema. 4.4.2 Categorías de los factores 4.4.2.1 Este apartado detalla un proceso destinado a la definición de aquellos factores que afectarán al logro con éxito de un sistema que cumpla los requisitos especificados RAMS. 4.4.2.2 A un alto nivel, los factores que influyen sobre la RAMS del sistema son genéricos, aplicándose en todas las aplicaciones industriales. La figura 5 incluye algunos factores genéricos que influyen sobre la RAMS de los sistemas de transporte. Esta figura también muestra la interacción entre estos factores. Para identificar factores detallados que influyen sobre la RAMS de los sistemas ferroviarios, cada factor genérico de influencia se debe considerar en el contexto del sistema específico. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 17 - EN 50126:1999 4.4.2.3 Un análisis de factores humanos, con respecto a su efecto sobre la RAMS del sistema, es inherente al “enfoque de sistemas” exigido por esta norma. 4.4.2.4 Los factores humanos pueden definirse como el impacto de las características, las esperanzas y los comportamientos humanos sobre un sistema. Estos factores abarcan los aspectos anatómicos, fisiológicos y psicológicos de los seres humanos. Los conceptos incluidos en los factores humanos se utilizan para permitir que las personas desempeñen su trabajo eficaz y eficientemente, prestando la debida atención a las necesidades humanas relacionadas con temas como la salud, la seguridad y la satisfacción en el trabajo. 4.4.2.5 En las aplicaciones ferroviarias habitualmente participan una amplia gama de grupos humanos, que abarca desde los pasajeros, personal encargado del funcionamiento y el personal responsable de la puesta en práctica de los sistemas, hasta otros afectados por el funcionamiento del sistema ferroviario, tales como los conductores de automóviles en los pasos a nivel. Cada uno es capaz de reaccionar ante situaciones de formas diferentes. Como salta a la vista, el posible impacto de los seres humanos sobre la RAMS de un sistema ferroviario es grande. En consecuencia, el logro de la RAMS Ferroviaria exige un control más riguroso de los factores humanos a lo largo de todo el ciclo de vida del sistema, que el requerido en otras numerosas aplicaciones industriales. 4.4.2.6 Debe considerarse a los seres humanos como poseedores de la capacidad de hacer aportaciones positivas al RAMS de un sistema ferroviario. Para alcanzar esta meta, la forma como los factores humanos pueden influir en la RAMS Ferroviaria debería ser identificada y gestionada a lo largo de la totalidad del ciclo de vida. En este análisis debería incluirse el posible impacto de los factores humanos sobre la RAMS Ferroviaria dentro de las fases de diseño y desarrollo del sistema. 4.4.2.7 Mientras que la necesidad de tratar los factores humanos dentro del ciclo de vida es genérica, la precisa influencia de los factores humanos sobre la RAMS es específica de la aplicación de que se trate. 4.4.2.8 Los factores genéricos, incluidos los que aparecen en la figura 5, deberían revisarse en el contexto del sistema ferroviario de que se trate. La Autoridad Ferroviaria debe especificar cualesquiera factores no aplicables en su convocatoria de licitación. Cada factor genérico aplicable debe evaluarse; y los factores de influencia detallados, que sean específicos de la aplicación, deben establecerse sistemáticamente. Los aspectos relacionados con factores humanos, un aspecto básico dentro de un proceso integrado de gestión RAMS, deben tratarse dentro de esta evaluación. 4.4.2.9 El proceso de establecimiento de factores detallados de influencia debe ser apoyado por el uso de las dos listas de comprobación que abarcan factores específicos de los sistemas ferroviarios (4.4.2.10) y factores humanos (4.4.2.11) o, como una presentación alternativa, la figura 5. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 18 - Fig. 5 − Factores que Influyen en la RAMS Ferroviaria EN 50126:1999 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 19 - EN 50126:1999 4.4.2.10 La derivación de factores de influencia específicos de los sistemas ferroviarios debe incluir, aunque sin limitarse a ello, una consideración de cada uno de los siguientes factores de los sistemas ferroviarios. Debería advertirse que la siguiente lista de comprobación no es exhaustiva y debería adaptarse al alcance y la finalidad de la aplicación: a) funcionamiento del sistema: − las tareas que el sistema ha de desarrollar y las condiciones en que dichas tareas han de realizarse; − la coexistencia de pasajeros, carga, personal y sistemas dentro del entorno de funcionamiento; − los requisitos de la vida del sistema, incluida la esperanza de vida del sistema, la intensidad del servicio y los requisitos de coste del ciclo de vida. b) entorno: − el entorno físico; − el elevado nivel de integración de los sistemas ferroviarios en el medio ambiente; − las escasas oportunidades de someter a pruebas sistemas completos en el entorno ferroviario. c) condiciones de la aplicación: − las restricciones impuestas sobre el nuevo sistema por las infraestructuras y los sistemas existentes; − la necesidad de mantener servicios ferroviarios durante la realización de tareas propias del ciclo de vida. d) condiciones de funcionamiento: − condiciones de instalación en las vías; − condiciones de mantenimiento en las vías; − la integración de sistemas ya existentes y sistemas nuevos durante la puesta en servicio y el funcionamiento. e) categorías de fallos: − los efectos de fallos dentro de un sistema ferroviario distribuido. 4.4.2.11 La derivación de factores humanos detallados de influencia debería incluir, aunque sin limitarse a ello, la consideración de cada uno de los siguientes factores humanos. Debería advertirse que la siguiente lista de comprobación no es exhaustiva y debería adaptarse al alcance y la finalidad de la aplicación: a) la distribución de funciones del sistema entre seres humanos y máquinas; b) el efecto que sobre el rendimiento humano dentro del sistema tienen: − la interfaz hombre/sistema; − el entorno, incluido el entorno físico y los requisitos ergonómicos; − los patrones de trabajo humanos; − la capacidad humana; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 20 - − el diseño de las tareas humanas; − la interrelación humana; − el proceso humano de información sobre resultados; − la estructura organizativa del sistema ferroviario; − la cultura ferroviaria; − el vocabulario profesional ferroviario; − los problemas derivados de la introducción de nueva tecnología. c) las necesidades impuestas al sistema y resultantes de: − la capacidad humana; − la motivación humana y el apoyo a las aspiraciones; − la mitigación de los efectos de los cambios de comportamiento humano; − las salvaguardas operativas; − la reacción humana al tiempo y al espacio. d) los requisitos impuestas al sistema y resultantes de las capacidades humanas para procesar información, incluidas: − las comunicaciones hombre / máquina; − la densidad de la transferencia de información; − la tasa de transferencia de información; − la calidad de la información; − la reacción humana ante situaciones anormales; − la formación humana; − el apoyo a los procesos humanos de toma de decisiones; − otros factores que contribuyan a la tensión humana. e) el efecto que sobre el sistema tienen los factores de la interfaz hombre / sistema, incluidos: − el diseño y el manejo de la interfaz hombre / sistema; − el efecto del error humano; − el efecto de la violación deliberada de las reglas por parte del hombre; − la participación e intervención humanas en el sistema; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 21 - EN 50126:1999 − la supervisión y cancelación del sistema por parte del hombre. − la percepción humana del riesgo; − la participación humana en áreas críticas del sistema; − la capacidad humana de prever problemas del sistema. f) los factores humanos dentro del diseño y desarrollo del sistema, incluidos: − la capacidad humana; − la independencia humana durante el diseño; − la participación humana en la verificación y la validación; − la interfaz entre el hombre y las herramientas automatizadas; − los procesos sistemáticos de prevención de fallos. 4.4.2.12 Se recomienda una aproximación esquemática a la derivación de factores detallados, tales como el empleo de diagramas causa / efecto. Un ejemplo de un diagrama causa / efecto muy simplificado aparece en la figura 6. Fig. 6 − Ejemplo de un Diagrama Causa / Efecto 4.4.3 Gestión de factores. El efecto potencial de cada factor de influencia sobre la RAMS del sistema ferroviario de que se trate debe evaluarse a un nivel adecuado a dicho sistema ferroviario. Esta evaluación debe incluir tener en cuenta del efecto de cada factor en cada fase del ciclo de vida y debe ser al nivel que sea adecuado al sistema de que se trate. La evaluación debe tratar la interacción de factores de influencia asociados. Para los factores humanos, la evaluación también debe tener en cuenta el efecto de cada factor en relación con cada uno de los demás. 4.5 Medios para alcanzar los requisitos de la RAMS Ferroviaria 4.5.1 Generalidades 4.5.1.1 Los medios para alcanzar los requisitos de la RAMS Ferroviaria se relacionan con el control de los factores que influyen sobre la RAMS a lo largo de todo el ciclo de vida del sistema. Un control eficaz exige el establecimiento de mecanismos y procedimientos dirigidos a evitar la introducción de fuentes de error durante la realización y el soporte del sistema. Tales defensas han de tener en cuenta tanto los fallos aleatorios como los sistemáticos. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 22 - 4.5.1.2 Los medios utilizados para alcanzar los requisitos RAMS se basan en el concepto de tomar precauciones para reducir al mínimo la posibilidad de que suceda un deterioro como consecuencia de un error durante las fases del ciclo de vida. La precaución es una combinación de: a) prevención: que se ocupa de reducir la probabilidad del deterioro; b) protección: que se ocupa de reducir la gravedad de las consecuencias del deterioro. 4.5.1.3 La estrategia encaminada a alcanzar los requisitos RAMS para el sistema, incluido el uso de los medios de prevención y / o protección, debe justificarse. 4.5.2 Especificación de la RAMS: 4.5.2.1 La especificación de los requisitos RAMS es un proceso complejo. El anexo A de esta norma facilita unas líneas generales como ejemplo de una especificación de requisitos RAMS, basada en el proceso detallado en este documento. El anexo B de esta norma proporciona un ejemplo de procedimiento general para la definición de un programa RAMS basado en los requisitos de esta norma. Ambos anexos informativos sólo sirven de orientación y han sido cumplimentados utilizando material rodante como ejemplo. Una lista de herramientas idóneas para el análisis RAMS también se incluye en el anexo B. La selección de una herramienta adecuada dependerá del sistema de que se trate y de factores tales como la criticidad, novedad, complejidad, etc., del sistema. 4.5.2.2 La tabla 1 define las categorías de fallos RAM indicadas para ser utilizadas en aplicaciones ferroviarias. Tabla 1 Categorías de Fallos RAM Categoría del fallo Definición Significativo (Fallo inmovilizador) Un fallo que: Importante (Fallo del Servicio) Un fallo que: Impide el movimiento del tren o provoca un retraso en el servicio mayor que un periodo especificado y / o genera un coste superior a un nivel especificado − debe ser corregido para que el sistema logre su rendimiento especificado y − no provoca un retraso ni un coste que superen el umbral mínimo especificado para un fallo significativo Menor Un fallo que: − no impide que un sistema logre su rendimiento especificado y − no cumple los criterios para ser considerada fallo Significativo ni importante 4.5.2.3 Los parámetros idóneos para caracterizar los requisitos de fiabilidad, disponibilidad, mantenibilidad, apoyo logístico y seguridad de los sistemas ferroviarios se incluyen en el anexo C (informativo). Los parámetros específicos dependerán del sistema de que se trate. Todos los parámetros RAMS que se utilicen deben ser acordados entre la Autoridad Ferroviaria y la Industria Ferroviaria. En los casos en que los parámetros puedan ser expresados en medidas alternativas, deberían facilitarse factores de conversión. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 23 - EN 50126:1999 4.6 Riesgo 4.6.1 Concepto de Riesgo: El concepto de riesgo consiste en la combinación de dos elementos: − la probabilidad de ocurrencia de un suceso o una combinación de sucesos que conduzcan a un peligro, o la frecuencia de tal ocurrencia; − la consecuencia del peligro. 4.6.2 Análisis de Riesgos: 4.6.2.1 El análisis de riesgos debe realizarse en diversas fases del ciclo de vida del sistema por la autoridad responsable de dicha fase y debe documentarse. La documentación debe contener, como mínimo: a) la metodología del análisis; b) los supuestos, las limitaciones y la justificación de la metodología; c) los resultados de la identificación de peligros; d) los resultados del cálculo de riesgos y sus niveles de confianza; e) los resultados de los estudios de ponderación; f) los datos, sus fuentes y sus niveles de confianza; g) referencias. 4.6.2.2 La tabla 2 facilita, en términos cualitativos, categorías típicas de la probabilidad o de la frecuencia con que se da un suceso de peligro, así como una descripción de cada categoría correspondiente a un sistema ferroviario. Las categorías, sus números y la graduación numérica que se aplique deben definirse por la Autoridad Ferroviaria pertinente a la aplicación de que se trate. Tabla 2 Frecuencia con que se dan Sucesos de peligro Categoría Descripción Frecuente Es probable que ocurra con frecuencia. El peligro se experimentará continuamente. Probable Se dará varias veces. Puede esperarse que el peligro ocurra con frecuencia. Ocasional Es probable que se dé varias veces. Puede esperarse que el peligro ocurra varias veces. Remoto Es probable que se dé alguna vez en el ciclo de vida del sistema. Puede razonablemente esperarse que el peligro ocurra. Improbable Es improbable, aunque posible que ocurra. Puede suponerse que el peligro ocurrirá excepcionalmente. Increíble Es extremadamente improbable que ocurra. Puede suponerse que el peligro pueda no ocurrir. 4.6.2.3 El análisis de consecuencias se debe utilizar para calcular el impacto probable. La tabla 3 describe niveles típicos de gravedad de los peligros y las consecuencias asociadas a cada nivel de gravedad para todos los sistemas ferroviarios. El número de niveles de gravedad y las consecuencias de cada nivel de gravedad que se aplique deben definirse por el Organismo Ferroviario pertinente a la aplicación de que se trate. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 24 - Tabla 3 Nivel de Gravedad del Peligro Nivel de Gravedad Consecuencia para las Personas o el Medio Ambiente Consecuencia para el Servicio Catastrófico Víctimas mortales y / o múltiples heridas graves y /o daños importantes al medio ambiente. Crítico Una sola víctima mortal y / o herida grave y/o daños Pérdida de un sistema principal señalados al medio ambiente Mínimo Heridas menores y / o peligro señalada al medio ambiente Daño grave a sistema o sistemas Insignificante Posible herida menor Daño menor al sistema 4.6.3 Evaluación y aceptación de riesgos 4.6.3.1 Este apartado se ocupa de la formación de una matriz de “frecuencia–consecuencia” para la evaluación de los resultados del análisis de riesgos, la categorización de riesgos, las acciones para la reducción de riesgos o la eliminación de riesgos intolerables, así como para la aceptación de riesgos. 4.6.3.2 La evaluación de riesgos se debe realizar combinando la frecuencia con que ocurre un suceso peligroso con la gravedad de sus consecuencias, a fin de establecer el nivel de riesgo generado por el suceso amenazante. Una matriz de “frecuencia– consecuencia” aparece en la tabla 4. Tabla 4 Matriz de Frecuencia - Consecuencia Frecuencia de ocurrencia de un suceso amenazante Niveles de Riesgo Frecuente Probable Ocasional Remoto Improbable Increíble Insignificante Mínimo Crítico Catastrófico Niveles de Gravedad de las Consecuencias del peligro 4.6.3.3 La aceptación de riesgos debería basarse en un principio generalmente aceptado. Hay unos cuantos principios disponibles que puede utilizarse. Algunos ejemplos son los siguientes: (Véase también el anexo D para más información sobre estos principios): − Tan Reducido Como Razonablemente Viable (Principio ALARP tal y como se practica en el Reino Unido). − Globalement Au Moins Aussi Bon (Principio GAMAB tal y como se practica en Francia). La formulación completa de este principio es: “Todo nuevo sistema de transporte guiado debe ofrecer un nivel de riesgo que sea, globalmente, al menos tan bueno como el que ofrezca cualquier sistema equivalente que exista”. − Mortalidad Endógena Mínima (Principio MEM tal y como se practica en Alemania). AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 25 - EN 50126:1999 La tabla 5 define categorías cualitativas de riesgo así como las acciones que han de tomarse ante cada categoría. La Autoridad Ferroviaria debe ser responsable de definir el principio que se vaya a adoptar y el nivel de tolerabilidad de un riesgo, así como los niveles que se incluyan en cada categoría. Tabla 5 Categorías Cualitativas de Riesgos Categoría de Riesgo Acciones que se han de tomar ante cada categoría Intolerable Debe eliminarse No Deseable Sólo debe aceptarse cuando la reducción del riesgo sea impracticable y con el acuerdo de la Autoridad Ferroviaria o del Organismo Regulador de la Seguridad, según proceda Tolerable Aceptable con un control adecuado y con el acuerdo de la Autoridad Ferroviaria Insignificante Aceptable con/sin el acuerdo de la Autoridad Ferroviaria 4.6.3.4 La Tabla 6 muestra un ejemplo de evaluación de riesgos y de reducción / control de riesgos con vistas a la aceptación de riesgos. Tabla 6 Ejemplo Típico de Evaluación y Aceptación de Riesgos * Frecuencia con que ocurre un suceso de peligro Niveles de Riesgo Frecuente No Deseable Intolerable Intolerable Intolerable Probable Tolerable No Deseable Intolerable Intolerable Ocasional Tolerable No Deseable No Deseable Intolerable Remoto Insignificante Tolerable No Deseable No Deseable Improbable Insignificante Insignificante Tolerable Tolerable Increíble Insignificante Insignificante Insignificante Insignificante Insignificante Mínimo Crítico Catastrófico Niveles de Gravedad de las Consecuencias de un Peligro * La graduación de la frecuencia con que ocurre un suceso de peligro dependerá de la aplicación de que se trate (4.6.2.2). Evaluación del Riesgo Control / reducción del riesgo Intolerable Debe eliminarse No deseable Sólo debe aceptarse cuando la reducción del riesgo sea impracticable, y con el acuerdo de la Autoridad Ferroviaria. Tolerable Insignificante Aceptable con control adecuado y acuerdo de la Autoridad Ferroviaria. Aceptable sin acuerdo alguno AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 26 - 4.7 Integridad de la Seguridad 4.7.1 Cuando el nivel de seguridad de la aplicación haya sido fijado y la necesaria reducción de riesgos haya sido calculada, sobre la base de los resultados del proceso de evaluación de riesgos, los requisitos de integridad de la seguridad, correspondientes a los sistemas y componentes de la aplicación, pueden ser derivados. La integridad de la seguridad puede concebirse como una combinación de elementos cuantificables (generalmente asociados con el hardware; es decir, fallos aleatorios) y elementos no cuantificables (generalmente asociados con fallos sistemáticos de software, especificación, documentos, procesos, etc.). Los equipos externos de reducción de riesgos y los equipos del sistema para reducción de riesgos deben ajustarse a la necesaria reducción de riesgos requerida para que el sistema alcance su nivel objetivo de seguridad. 4.7.2 La confianza en el logro de la integridad de la seguridad de una función dentro de un sistema puede obtenerse a través de la aplicación efectiva de una combinación de arquitectura específica, métodos, herramientas y técnicas. La integridad de la seguridad guarda correlación con la probabilidad de fallos para lograr la funcionalidad de seguridad requerida. Las funciones que tengan mayores requisitos de integridad serán, probablemente, más costosas de poner en práctica. Esta norma no define la correlación entre integridad y probabilidades de fallos para sistemas ferroviarios, si bien debería advertirse que una correlación genérica se define en el borrador de la Norma IEC 61508. La definición de esta correlación correspondiente a aplicaciones ferroviarias es responsabilidad de la Autoridad Ferroviaria. No obstante, el proceso de gestión definido en esta norma es genérico e idóneo para su uso con cualquier correlación, tal y como han acordado cada organismo por separado o los Organismos Ferroviarios Europeos conjuntamente. 4.7.3 Las funciones de seguridad dentro de los sistemas deberían ser puestas en práctica usando la arquitectura, los métodos, herramientas y técnicas definidas en otras normas pertinentes. Por ejemplo, la Norma EN 50128 define métodos, herramientas y técnicas para el desarrollo de sistemas de software, y la Norma Experimental ENV 50129 define un proceso para la aceptación y aprobación de sistemas electrónicos de señales para sistemas ferroviarios. 4.7.4 La integridad de la seguridad se especifica básicamente para funciones de seguridad. Las funciones de seguridad deberían ser asignadas a los sistemas de seguridad y / o a servicios externos de reducción de riesgos. Este proceso de asignación es iterativo, con el fin de optimizar el diseño y el coste del sistema general. 4.7.5 Son el Plan de Seguridad y el Programa RAM los que, cuando se ponen en práctica eficazmente, dan confianza en la capacidad del sistema final para lograr cumplir los requisitos RAMS. 4.7.6 Debe tomarse nota de los siguientes puntos relativos a la integridad de la seguridad del producto: a) la funcionalidad de seguridad requerida de un sistema, y su correspondiente integridad de seguridad, se ven influidas por el entorno en el que se utiliza el sistema; b) cuando un producto se desarrolla usando métodos, herramientas y técnicas adecuadas a una integridad de seguridad específica, puede reivindicarse que el producto es un producto con nivel “X” de integridad de seguridad. Tal reivindicación significa que el producto dispondrá de una funcionalidad específica, dentro de un entorno declarado, en una determinada integridad; c) la figura 7 muestra que el uso de productos comerciales “de catálogo” puede variar dentro de diferentes aplicaciones. Por ejemplo, el Producto A está siendo utilizado para poner en práctica diferentes funciones dentro de los Sistemas 1 y 2. En consecuencia, la integridad de seguridad requerida de un producto puede variar entre aplicaciones. Por lo tanto, antes de aplicar un producto dentro de cualquier sistema, deberían evaluarse las limitaciones y restricciones que se apliquen a la funcionalidad y al entorno declarado del producto para cerciorarse de que sean consistentes con los requisitos globales del sistema. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 27 - EN 50126:1999 Fig. 7 − Productos Certificados en Sistemas de Seguridad NOTA − El Informe de CENELEC ROO9-001:1997: “Aplicaciones Ferroviarias –Sistemas de Comunicación, Señales y Procesos – Tasa de fallo peligrosas y niveles de integridad de la seguridad (SIL)” contiene más información sobre la integridad de la seguridad y sobre niveles de integridad de la seguridad necesarias para lograr la aceptación en toda Europa. La información y las cifras correspondientes a la señalización ferroviaria facilitadas en este informe deberían ser manejadas con sumo cuidado por expertos y, en cualquier caso, no deberían ser generalizadas. 4.7.7 Antes de aplicar el concepto de SIL, deberían tenerse en cuenta los siguientes requisitos: a) el nivel adecuado de aplicabilidad del SIL debería ser establecido por expertos en seguridad. Se recomienda que no se utilicen más de cuatro niveles; b) un SIL sólo debe ser asignado a un “elemento”; a saber, un equipo autónomo que realice una o más funciones sencillas y que pueda ser reemplazado por otro que realice la misma función o las mismas funciones. Generalmente, dicho “elemento” es a menudo el equipo de nivel más bajo que puede ser reemplazado durante una operación de mantenimiento corrector de primer nivel; c) en la medida que el entorno en que un producto vaya a ser introducido es de la máxima importancia, la extensión en lo referente al SIL, para el cual un producto “de catálogo” es certificado, y lo que significa la certificación cuando se la compara con sus requisitos de seguridad, deben examinarse para determinar si todas las condiciones correspondientes al sistema objeto de estudio se cumplen. d) un SIL sólo se refiere a un nivel de confianza esperado en la seguridad correspondiente a un producto. Tal y como se explica en el apartado 4.3 de la presente norma, los requisitos de seguridad y los de disponibilidad están interrelacionados en el contexto del transporte ferroviario. El concepto de SIL no cubre todos los aspectos de un sistema y, por tanto, tomar en cuenta sólo el SIL puede no ser suficiente (por ejemplo, modos imperfectos de funcionamiento o estados de interrupción de servicio con diferentes requisitos de seguridad, etc.). 4.8 Concepto de Seguridad Intrínseca 4.8.1 Esta norma adopta un enfoque amplio, de gestión de riesgos, respecto de la seguridad. Este enfoque es coherente con el concepto de Seguridad intrínseca, firmemente establecido entre los ingenieros de ferrocarriles. 4.8.2 Desde los primeros tiempos de los sistemas ferroviarios, se ha utilizado el concepto de mecanismo inherente de seguridad intrínseca. El concepto, que depende de un conjunto de hipótesis, se basa en el uso de componentes dotados de modos de fallo bien establecidos, y en que una condición segura existe en caso de fallo de una de sus partes. Todos esos componentes se disponen de tal manera que un sistema así construido no puede permitir una condición más permisiva que la que existe en ausencia de fallo. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 28 - 4.8.3 La validez del concepto se basa, en general, en la experiencia pero tiene una aplicabilidad limitada al desarrollo y empleo de sistemas grandes y complejos que utilicen microprocesadores comerciales. El crecimiento exponencial del número de combinaciones de fallos que han de tenerse en cuenta cuando se utilizan tales componentes, supone que un enfoque determinista, generalmente, no es viable. Con sistemas tan complejos, el enfoque probabilista puede utilizarse eficazmente. 4.8.4 El enfoque de Seguridad intrínseca puede ser válido para partes de un sistema y, al igual que otros enfoques deterministas, no es descartado por esta norma europea. Para todos los enfoques, es necesario lograr cumplir los requisitos RAMS especificados correspondientes al sistema. 5 GESTIÓN DE LA RAMS FERROVIARIA 5.1 Generalidades 5.1.1 El capítulo 5 de la presente Norma Europea define un proceso de gestión basado en el ciclo de vida del sistema, que permitirá el control de los factores RAMS específicos de las aplicaciones ferroviarias. El proceso soporta: − la definición de requisitos RAMS; − la evaluación y el control de peligros al RAMS; − la planificación y puesta en práctica de tareas RAMS; − que se logren cumplir los requisitos RAMS; − la supervisión de dicho cumplimiento durante el funcionamiento, a lo largo del ciclo de vida. 5.1.2 Si bien la RAMS Ferroviaria es el centro de esta norma europea, es uno de los muchos aspectos de un sistema ferroviario completo. Este capítulo define un proceso sistemático para la gestión RAMS de tal clase que el proceso es un componente de un enfoque de gestión integrada que trata todos los aspectos del sistema ferroviario completo. 5.1.3 El riesgo de seguridad tolerable en un sistema ferroviario para cualquier Organismo Ferroviario depende de los criterios de seguridad fijados por el Organismo Nacional Regulador de la Seguridad, o por el propio Organismo Ferroviario de acuerdo con el Organismo Regulador de la Seguridad. La responsabilidad primordial de evaluar, controlar y reducir los riesgos al mínimo corresponde al Organismo Ferroviario. En algunos casos, la legislación exige la presentación formal de pruebas para demostrar la suficiencia de la seguridad del sistema. 5.2 Ciclo de vida del sistema 5.2.1 El ciclo de vida del sistema es una secuencia de fases, cada una de las cuales contiene tareas que abarcan la vida completa de un sistema desde su concepto inicial hasta la retirada del servicio y la eliminación. El ciclo de vida proporciona una estructura para la planificación, la gestión, el control y la supervisión de todos los aspectos de un sistema, incluido la RAMS, a medida que el sistema avanza a través de sus fases, con el fin de entregar el producto adecuado al precio correcto dentro del plazo acordado. El concepto de ciclo de vida es fundamental para la puesta en práctica con éxito de esta norma. 5.2.2 Un ciclo de vida de un sistema, adecuado en el contexto de una aplicación ferroviaria, se muestra en la figura 8. Para cada fase de este ciclo de vida, las principales tareas se resumen en la figura 9. Dicha figura muestra las tareas RAMS como componentes de tareas generales del proyecto. Las tareas generales están fuera del alcance de la presente Norma Europea, pero son representativas de prácticas habituales de la industria. Las tareas RAMS contribuyen a las tareas generales del proyecto correspondientes a cada fase, y los requisitos correspondientes a las tareas RAMS se detallan en capítulos sucesivos de esta norma europea. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 29 - EN 50126:1999 NOTA 1 − La fase en la que una modificación se introduce en el ciclo de vida dependerá tanto de que el sistema se modifique como de la modificación específica de que se trate. NOTA 2 − El análisis de riesgos puede tener que repetirse en varias etapas del ciclo de vida (Véase el punto d) del apartado 6.3.1). Fig. 8 − Ciclo de vida del Sistema AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. Especificar los requisitos RAM del sistema (global) Definir los criterios RAM de aceptación (global) Definir la estructura funcional del sistema Establecer el Programa RAM Establecer la gestión RAM • • • • • • • • • • • • • • • TAREAS DE LA SEGURIDAD RELACIONADAS CON LA FASE Revisar la ejecución de seguridad de proyectos anteriores Considerar las implicaciones de seguridad del proyecto Revisar la política y objetivos de la seguridad Evaluar los datos de seguridad de anteriores experiencias Realizar el análisis de peligros preliminar Establecer el plan de seguridad (general) Definir condiciones de operación y mantenimiento a largo plazo Identificar la influencia en RAM de las restricciones en la infraestructura existente Realizar el análisis de peligros y riesgos de la seguridad del sistema Estructurar el registro de peligros Realizar la evaluación de riesgos Especificar los requisitos de Seguridad del Sistema (Global) Definir los criterios de aceptación de la Seguridad (global) Definir los requisitos relacionados con la seguridad Funcional Establecer Gestión de Seguridad • Distribución de los requisitos y objetivos de la • Distribución de los requisitos RAM del sistema Seguridad del Sistema − Especificar los requisitos RAM de los subsistemas y componentes − Especificar los requisitos de seguridad de los subsistemas y componentes − Definir los criterios de aceptación RAM de los subsistemas y componentes − Definir los criterios de aceptación de seguridad de los subsistemas y componentes • Actualizar el Plan de Seguridad del Sistema • Implementar el programa RAM mediante revisión, Implementar el plan de Seguridad mediante revisión, análisis, pruebas y evaluación de los datos, cubriendo: análisis, pruebas y evaluación de los datos, dirigiéndose a: − Fiabilidad y disponibilidad • Registro de peligros − Mantenimiento y Mantenibilidad • Análisis de peligros y evaluación de riesgos − Política óptima de mantenimiento • Emprender el programa de control, cubriendo: − Soporte logístico − Gestión de la Seguridad • Emprender el control del programa, cubriendo: − Control de subcontratas y proveedores − Gestión del programa RAM • Preparar un Caso de Seguridad Genérico − Control de subcontratas y proveedores • Preparar, si es adecuado, un Caso de Seguridad • • • • • Evaluar los datos RAM de anteriores experiencias Realizar el análisis RAM preliminar Establecer la política RAM Identificar las condiciones de operación y mantenimiento a largo plazo • Identificar la influencia en RAM de las restricciones en la infraestructura existente • • • • • Revisar las ejecuciones RAM en proyectos anteriores • Considerar las implicaciones RAM del proyecto TAREAS RAM RELACIONADAS CON LA FASE Fig. 9 − Tareas Relacionadas con las Fases del Proyecto (Hoja 1 de 2) • Ejecutar la planificación 6. Diseño e implementación • Ejecutar el Diseño y desarrollo • Ejecutar el análisis del diseño y pruebas • Ejecutar la Verificación del diseño • Ejecutar la implementación y validación • Ejecutar el diseño de los recursos de apoyo logísticos 5. Distribución de los Requisitos del Sistema • • • • • • • • 4. Requisitos del Sistema Emprender análisis de requisitos Especificar el sistema (Requisitos globales) Especificar el entorno Definir los criterios de Demostración y Aceptación del sistema (Requisitos globales) Establecer un plan de Validación Establecer los requisitos de Gestión, Calidad y Organización Implementar el procedimiento de control de cambios Distribución de los requisitos del sistema − Especificar los requisitos de los subsistemas y componentes − Definir los criterios de aceptación de subsistemas y componentes • Emprender el Análisis de riesgos relacionado con el proyecto 3. Análisis de riesgos Establecer el perfil de la misión del sistema Preparar la descripción del sistema Identificar la estrategia de Operación y Mantenimiento Identificar las condiciones de operación y mantenimiento Identificar la influencia de las restricciones de la infraestructura existente • • • • • • • • • TAREAS GENERALES RELACIONADAS CON LA FASE Establecer el ámbito y propósito del proyecto Ferroviario Definir el concepto del proyecto ferroviario Realiza el Análisis Financiero y estudios de viabilidad Establecer el equipo de gestión 2. Definición del sistema y condiciones de aplicación FASE CICLO DE VIDA 1. Concepto EN 50126:1999 - 30 - • • • • • • AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. Fig. 9 − Tareas Relacionadas con las Fases del Proyecto (Hoja 2 de 2) NOTA 6 − El análisis de riesgos puede tener que repetirse en varias etapas (véanse los apartados 4.6.2 y 6.3.1 d)). NOTA 5 − Las actividades incluidas en las Fases 9 y 10 pueden ser integradas, dependiendo de la aplicación de que se trate. NOTA 4 − Adviértase que el alcance de esta norma se limita al RAMS y no se ocupa de todas las actividades de garantía de sistemas. No obstante, es necesario cerciorarse de la sincronización entre las fases RAMS y las fases relacionadas con el proyecto, y lograr un acuerdo sobre las condiciones para pasar de una fase a otra, desde el punto de vista RAMS. NOTA 3 − Para RAM, el concepto “Programa RAM” es de uso común y ha sido adoptado por la presente norma. Para Seguridad, el concepto “Plan de Seguridad” es de uso común y ha sido adoptado por la presente norma. NOTA 2 − Las actividades de Verificación y Validación se aplican en la mayoría de las fases del ciclo de vida y están incluidas en el texto principal. • Establecer un plan de Seguridad • Realizar un análisis de peligros y evaluación de riesgos • Implementar el plan de Seguridad • Emprender el lanzamiento del mantenimiento centrado en seguridad • Realizar el lanzamiento del control de la ejecución de seguridad y mantenimiento del registro de peligros • Recopilar, analizar, evaluar y utilizar las estadísticas de Seguridad y ejecución • Considerar las implicaciones de Seguridad para la modificación y realimentación • Evaluar el Caso de Seguridad específico de la aplicación TAREAS DE LA SEGURIDAD RELACIONADAS CON LA FASE Realizar las pruebas de resistencia en condiciones • Implementar el plan de seguridad mediante: ambientales revisión, análisis, pruebas y evaluación de datos Realizar las pruebas de mejora RAM • Utilizar el registro de peligros Comenzar el Sistema de Comunicación de Fallos y Medidas Correctivas (FRACAS) Empezar la formación del personal de mantenimiento • Establecer el programa de instalación Establecer el abastecimiento de piezas de repuesto y • Implementar el programa de instalación herramientas • Establecer el programa de puesta en servicio Realizar la demostración RAM • Implementar el programa de puesta en servicio • Preparar el Caso de Seguridad específico de la aplicación TAREAS RAM RELACIONADAS CON LA FASE • Emprender procedimientos de aceptación, basados en • Evaluar la demostración RAM criterios de aceptación • Recopilar pruebas para la aceptación • Entrada en servicio • Continuar periodo de pruebas de operación (sí es aplicable) • Operación del sistema a largo plazo • Lanzamiento de compras de piezas de repuesto y • Realizar el lanzamiento del mantenimiento herramientas • Emprender el lanzamiento de la formación • Realizar el lanzamiento del mantenimiento centrado en fiabilidad, soporte logístico • Recopilar estadísticas de ejecución operacional • Recopilar, analizar, evaluar y utilizar las estadísticas de • Adquirir, analizar y evaluar los datos RAM y ejecución • Implementar los procedimientos de cambio de requisitos • Considerar las implicaciones RAM para la modificación • Implementar los procedimientos de modificación y realiy realimentación mentación • Plan de retirada de servicio y eliminación • No hay actividad para RAM • Emprender la retirada de servicio • Emprender la eliminación • Puesta en servicio • Realizar el periodo de pruebas de operación • Emprender la formación • • • • • • • TAREAS GENERALES RELACIONADAS CON LA FASE Ejecutar el plan de producción Fabricar Fabricar y probar el montaje de componentes Preparar documentación Establecer la formación Montar el sistema Instalar el sistema NOTA 1 − La actividad de Control de Cambios o de la Gestión de la Configuración se aplica a todas las fases del proyecto. 12. Supervisión de la ejecución 13. Modificación y realimentación 14. Retirada de servicio y eliminación 11. Operación y mantenimiento 9. Validación del sistema (inc. aceptación de seguridad y puesta en servicio) 10. Aceptación del sistema 8. Instalación FASE CICLO DE VIDA 7. Producción - 31 EN 50126:1999 EN 50126:1999 - 32 - 5.2.3 La presente norma reconoce el equilibrio entre el rendimiento RAMS de un sistema y los costes de desarrollo y propiedad del sistema, conocidos como costes del ciclo de vida. La presente norma requiere que se tomen en cuenta los costes del ciclo de vida asociados con los aspectos RAMS de un sistema. Sin embargo, no dicta soluciones de problemas RAMS basadas en el coste, ya que esta responsabilidad corresponde al Organismo Ferroviario. 5.2.4 El capítulo 6 y sus apartados definen los objetivos, requisitos, aportes de información y entregables correspondientes a tareas RAMS en un formato coherente, y dentro de un contexto global de proyecto, para cada fase del ciclo de vida. 5.2.5 El proceso soporta la compra proporcionando una exhaustiva secuencia de tareas dentro de las fases del ciclo de vida. Ello facilita una base para una contratación bien informada, ya sea de tareas RAMS por separado o de una combinación de tareas dentro de un proceso de gestión integrada. Las responsabilidades de realizar las tareas dependerán del sistema de que se trate y de las condiciones contractuales aplicables. Algunas directrices generales para el establecimiento de estas responsabilidades se incluyen en el anexo E. 5.2.6 La presente norma representa el ciclo de vida del sistema de forma secuencial. Dicha representación muestra las fases por separado y los vínculos existentes entre éstas. Otras representaciones de ciclos de vida se hallan muy extendidas dentro de la industria e incluyen el modelo en “V”. 5.2.7 Una representación en “V” del ciclo de vida contenida dentro de la presente norma se muestra en la figura 10. La rama descendente (lado izquierdo) se llama generalmente desarrollo y consiste en un proceso de perfeccionamiento que finaliza con la fabricación de componentes del sistema. La rama ascendente (lado derecho) está relacionada con el montaje, la instalación, la recepción y, después, el funcionamiento de todo el sistema. 5.2.8 La representación en “V” supone que las actividades de aceptación están intrínsecamente vinculadas a las actividades de desarrollo, en tanto en cuanto que lo que es realmente diseñado tiene que ser finalmente comprobado en relación con los requisitos. Luego las actividades de validación correspondientes a la aceptación en varias etapas de un sistema se basan en la especificación del sistema y deben ser planificadas en las primeras etapas; es decir, empezando en las fases correspondientes de desarrollo del ciclo de vida. Dicho vínculo se muestra en la figura 11. 5.2.9 Esta representación resulta eficaz al mostrar tareas de verificación y validación dentro del ciclo de vida. El objetivo de la verificación consiste en demostrar que, para las entradas de información específicas, las entregas de cada fase cumplen, en todos los aspectos, los requisitos de dicha fase. El objetivo de la validación consiste en demostrar que el sistema de que se trate, en cualquier momento de su desarrollo y después de su instalación, cumple sus requisitos en todos los aspectos. 5.2.10 En la presente norma, las tareas de verificación están incluidas dentro de cada fase del ciclo de vida. Aunque la presente norma se ocupa del aseguramiento del sistema en el contexto RAMS, las tareas de verificación y validación (V y V) forman parte integral de la demostración global de aseguramiento de sistemas. En consecuencia, la V y V RAMS contribuye a la V y V del aseguramiento global del sistema. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 33 - EN 50126:1999 Fig. 10 − La Representación en “V” AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 34 - NOTA − El apartado 5.2.9 proporciona información adicional sobre la función de verificación y validación. Fig. 11 − Verificación y Validación 5.3 Aplicación de la presente norma 5.3.1 Este apartado facilita requisitos destinados a proporcionar una aplicación flexible y eficaz de la presente norma a sistemas ferroviarios, en lo referente a tamaño, complejidad y coste. 5.3.2 Los requisitos definidos en la presente norma son genéricos y son aplicables a todos los tipos de sistemas ferroviarios. La Autoridad Ferroviaria debe definir la aplicación de los requisitos de esta norma al sistema de que se trate. Esta evaluación se debe basar en la aplicabilidad de los requisitos al sistema específico. Se requiere especial cuidado durante la evaluación de las secuencias de tareas emprendidas en la fase 9, Validación del Sistema, y en la fase 10, Aceptación del Sistema. 5.3.3 En los casos de renovación de un sistema, existe con frecuencia una etapa de “fase mixta” en la que se mezclan el funcionamiento del sistema existente y el renovado, o en la que éstos son operados al mismo tiempo. En tales casos el estudio de seguridad debe tratar específicamente los posibles efectos de la interacción entre el sistema existente y el renovado. 5.3.4 La aplicación de la presente norma se debe adaptar a los requisitos específicos del sistema que nos ocupa. La evaluación de la aplicación de esta norma al sistema de que se trate debe: AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 35 - EN 50126:1999 a) especificar las fases del ciclo de vida que se necesitan para poner en práctica el sistema de que se trate, facilitando una justificación correspondiente a las fases del ciclo de vida especificado, y demostrando que las tareas emprendidas dentro de estas fases del ciclo de vida cumplen los principios de los requisitos de la presente norma; b) especificar las actividades y requisitos obligatorios de cada fase requerida del ciclo de vida, usando la figura 9 y la información pertinente relacionada con la fase del capítulo 6, como lista de comprobación, que incluya: − el alcance de cada requisito en relación con el sistema de que se trate; − los métodos, herramientas y técnicas requeridas respecto de cada requisito, así como el alcance y profundidad de la aplicación de aquellos; − las actividades de verificación y validación requeridas respecto de cada requisito y el alcance de la aplicación de aquéllas; − toda la documentación de apoyo. c) justificar cualquier desviación de las actividades y requisitos de la norma; d) justificar la idoneidad de las tareas escogidas para la aplicación de que se trate. 5.3.5 Dentro de todas las aplicaciones de la presente norma, los siguientes requisitos son obligatorios: a) las responsabilidades de desempeño de todas las tareas RAMS dentro de cada fase del ciclo de vida, incluidas las interfaces entre tareas asociadas, deben definirse y acordarse para el sistema de que se trate; b) todo el personal que tenga responsabilidades dentro del proceso de gestión RAMS debe ser competente para desempeño de dichas obligaciones; c) el establecimiento y la puesta en práctica del Programa RAM y del Plan de Seguridad con componentes esenciales de la construcción de sistemas fidedignos. Mientras que el contenido de estos documentos de planificación será específico para el sistema de que se trate, numerosas tareas RAMS requerirán actividades de análisis semejantes. Sin embargo, las restricciones a que se sometan estas actividades pueden ser diferentes. Para tareas que se concentran en la RAM, las consideraciones de coste serán probablemente el principal estímulo, mientras que para las tareas centradas en la seguridad, lo será el evitar accidentes e incidentes. En este contexto, los requisitos RAMS pueden entrar en conflicto, ya que las consecuencias económicas relativas a los RAMS pueden ser diferentes, dependiendo de los requisitos de la Autoridad Ferroviaria. El reconocimiento de la necesidad de identificar y gestionar los conflictos que afecten al RAMS debe incluirse en los documentos de planificación RAMS, junto con los detalles de todos los análisis RAMS, ya que la profundidad de las actividades de análisis puede variar de una tarea RAMS a otra; d) los requisitos de la presente norma deben ponerse en práctica dentro de los procesos de negocio, apoyados por un Sistema de Gestión de la Calidad (QMS) que cumpla con los requisitos de las Normas EN ISO 9001, EN ISO 9002 o EN ISO 9003 adecuados al sistema de que se trate; e) un adecuado y eficaz sistema de gestión de la configuración se debe establecer y poner en práctica, el cual se debe ocupar de las tareas RAMS en todas las fases del ciclo de vida. El alcance de la gestión de la configuración dependerá del sistema de que se trate, pero, normalmente, debe incluir toda la documentación del sistema y todos los demás entregables del sistema. 5.3.6 El capítulo 6 de la presente norma se extiende en los medios destinados a garantizar que se alcancen los requisitos RAMS mediante la minimización de cualquier defecto, y en el control de los factores mencionados en el capítulo 4, definiendo un proceso de gestión basado en el ciclo de vida del sistema. Los métodos, herramientas y técnicas indicadas para proyectar sistemas fidedignos aparecen en otras normas (véase el anexo B). Es importante advertir que la elección de métodos, herramientas y técnicas, así como la profundidad y el alcance de su aplicación y los de su documentación, debe guardar proporción con los requisitos del sistema de que se trate. Éstos deberían ser acordados entre la Autoridad Ferroviaria y el Proveedor del sistema de que se trate. Una panorámica general de la forma como estos diferentes aspectos se relacionan para apoyar la ingeniería y la gestión RAMS se muestra en la figura 12. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 36 - 5.3.7 Los requisitos detallados en esta norma se han redactado para apoyar un proceso de auditoría. La Autoridad Ferroviaria competente y la industria ferroviaria que participa en el sistema de que se trate, deben acordar y poner en práctica un Plan de Auditoría que se ocupe de la aplicación de los requisitos de la presente norma, tal y ésta como se adapte al sistema. Fig. 12 − Ingeniería y Gestión RAMS Puestas en Práctica dentro de un Proceso de Construcción del Sistema 6 CICLO DE VIDA RAMS Este capítulo detalla los objetivos, los requisitos, los entregables y las actividades de verificación y validación que han de emprenderse a lo largo de cada fase del ciclo de vida. El alcance y la aplicación de los requisitos deben adaptarse y evaluarse para cumplir los requisitos específicos del sistema de que se trate. Para más información sobre este aspecto, véase el apartado 5.3 de la presente norma. 6.1 Fase 1: Concepto 6.1.1 Objetivos. El objetivo de esta fase debe ser el de desarrollar un nivel de comprensión del sistema suficiente para permitir que todas las tareas siguientes del ciclo de vida RAMS se cumplan satisfactoriamente. 6.1.2 Entradas. Las entradas para esta fase debe incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir los requisitos de la fase; por ejemplo, las declaraciones del alcance y la finalidad correspondientes al proyecto. 6.1.3 Requisitos 6.1.3.1 El requisito 1 de esta fase debe ser el de adquirir, en el contexto de la ejecución RAMS, un entendimiento de: AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 37 - EN 50126:1999 a) el alcance, el contexto y la finalidad del sistema; b) el entorno del sistema, incluidos los: − aspectos físicos; − posibles problemas relacionados con la interfaz del sistema; − aspectos sociales; − aspectos políticos; − aspectos legislativos; − aspectos económicos. c) las implicaciones generales RAMS para el sistema. 6.1.3.2 El requisito 2 de esta fase debe ser el de examinar: a) las implicaciones RAMS para cualquier análisis financiero del sistema; b) las implicaciones RAMS para cualesquiera estudios de viabilidad del sistema. 6.1.3.3 El requisito 3 de esta fase debe ser el de identificar fuentes de peligros que pudieran afectar el rendimiento RAMS del sistema, incluidas: − la interacción con otros sistemas; − la interacción con seres humanos. 6.1.3.4 El requisito 4 de esta fase debe ser el de obtener información acerca de: a) anteriores requisitos RAMS y el anterior rendimiento RAMS en sistemas similares y / o relacionados; b) fuentes identificadas de peligros para el rendimiento RAMS; c) la Política y los Objetivos de seguridad actuales de la Autoridad Ferroviaria; d) legislación en materia de seguridad. 6.1.3.5 El requisito 5 de esta fase debe ser el definir el alcance de los requisitos de gestión para sucesivas tareas RAMS del ciclo de vida del sistema. 6.1.4 Entregas 6.1.4.1 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.1.4.2 En las entregas se debe incluir una estructura de gestión adecuada para poner en práctica los requisitos RAMS correspondientes a las fases 2, 3 y 4 del ciclo de vida. 6.1.4.3 Las entregas de esta fase son una aportación clave de información para sucesivas fases del ciclo de vida. 6.1.5 Verificación. Las siguientes tareas de verificación se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas RAMS dentro de esta fase; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 38 - b) evaluación de la idoneidad de la declaración de entorno del sistema definida en el Requisito 1; c) evaluación de la integridad de la relación de fuentes de peligros definida en el Requisito 3; d) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; e) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.2 Fase 2: Definición del sistema y condiciones de aplicación 6.2.1 Objetivos. Los objetivos de esta fase son los de: a) definir el perfil de la misión del sistema; b) definir la frontera del sistema; c) establecer las condiciones de aplicación que influyan en las características del sistema; d) definir el alcance del análisis de peligros del sistema; e) establecer la política RAMS para al sistema; f) establecer el Plan de Seguridad para el Sistema. En tanto en cuanto afecten al posible rendimiento RAMS del sistema. 6.2.2 Entradas. Las entradas para esta fase debe incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir los requisitos de la fase, incluidos los entregables de la fase 1. 6.2.3 Requisitos 6.2.3.1 El Requisito 1 de esta fase debe ser el de definir: a) el perfil de la misión del sistema, incluidos: − los requisitos del rendimiento; − los objetivos RAMS; − la estrategia y las condiciones de funcionamiento a largo plazo; − la estrategia y las condiciones de mantenimiento a largo plazo; − las consideraciones sobre la vida del sistema, incluidas cuestiones relacionadas con el coste del ciclo de vida; − las consideraciones logísticas. b) la frontera del sistema, incluidas: − las interfaces con el entorno físico; − las interfaces con otros sistemas tecnológicos; − las interfaces con seres humanos; − las interfaces con otros Organismos Ferroviarios. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 39 - EN 50126:1999 c) el alcance de las condiciones de aplicación que influyen sobre el sistema, incluidas: − las restricciones impuestas por la infraestructura existente; − las condiciones de funcionamiento del sistema; − las condiciones de mantenimiento del sistema; − las consideraciones de apoyo logístico; − el examen de datos de experiencias anteriores correspondientes a sistemas semejantes. d) el alcance del análisis de peligros del sistema, incluida la identificación de: − peligros inherentes al proceso que vaya a ser controlado; − peligros medioambientales; − peligros para la seguridad; − la influencia de acontecimientos externos; − las fronteras del sistema que vaya a ser analizado; − la influencia que ejercen sobre la RAMS las restricciones de la infraestructura existente. 6.2.3.2 El requisito 2 de esta fase debe ser el de realizar: a) el análisis preliminar RAM para apoyar objetivos; b) la identificación preliminar de peligros para: − identificar subsistemas asociados con peligros identificados; − identificar los tipos de acontecimientos que dan lugar a accidentes que necesiten tenerse en cuenta, incluidos los fallos de componentes, los defectos de procedimiento, el error humano y los fallos de mecanismos dependientes; − definir los criterios iniciales de tolerabilidad de riesgos. 6.2.3.3 El requisito 3 de esta fase debe ser el de establecer la política general RAMS para el sistema, incluidos los requisitos del concepto de seguridad, y la política de la Autoridad Ferroviaria para resolver cualesquiera conflictos que surjan entre “disponibilidad” y “seguridad”. 6.2.3.4 El requisito 4 de esta fase debe ser el de establecer el Plan de Seguridad correspondiente al sistema. Dicho Plan de Seguridad debe acordarse por la Autoridad Ferroviaria y por la industria ferroviaria para el sistema de que se trate, y debe ponerse en práctica, examinarse y mantenerse durante todo el ciclo de vida del sistema. El Plan de Seguridad debería incluir: a) la política y la estrategia encaminadas al logro de la seguridad; b) el alcance del plan; c) una descripción del sistema; d) detalles de las funciones, responsabilidades, competencias y relaciones de los organismos que desarrollen tareas dentro del ciclo de vida; e) la descripción del ciclo de vida del sistema y las tareas de seguridad que hayan de realizarse dentro del ciclo de vida junto con cualesquiera dependencias; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 40 - f) los procesos de análisis de seguridad, ingeniería y evaluación que hayan de aplicarse durante el ciclo de vida, incluidos los procesos destinados a: − garantizar un nivel adecuado de independencia del personal en las tareas, en proporción con el riesgo del sistema; − la identificación y análisis de peligros; − la evaluación de riesgos y la gestión actual de riesgos; − los criterios de tolerabilidad de riesgos; − el establecimiento y revisión actual de la idoneidad de los requisitos de seguridad; − el diseño del sistema; − verificación y validación; − la evaluación de seguridad encaminada a lograr la adecuación entre los requisitos del sistema y su realización; − la auditoría de seguridad, a fin de lograr la adecuación del proceso de gestión y el plan de seguridad; − la evaluación de seguridad encaminada a lograr la adecuación entre los análisis de seguridad de subsistemas y sistemas. g) detalles de todos los entregables del ciclo de vida relacionados con la seguridad, incluidas: − la documentación; − el hardware; − el software. h) un proceso para elaborar Casos de Seguridad del sistema. i) un proceso para la aprobación de seguridad del sistema; j) un proceso para la aprobación de seguridad de modificaciones del sistema; k) un proceso para analizar el funcionamiento de la operación y el mantenimiento con el fin de garantizar que la seguridad conseguida se ajuste a los requisitos; l) un proceso para el mantenimiento de documentación relacionada con la seguridad, incluido un Registro de Peligros; m) interfaces con otros programas y planes relacionados; n) restricciones y supuestos realizados en el plan; o) disposiciones tomadas para la gestión de subcontratistas; p) requisitos para la auditoría periódica de seguridad, la evaluación de seguridad y el examen de seguridad durante todo el ciclo de vida, y que resulten adecuados a la importancia que la seguridad tiene en el sistema de que se trate, incluidos cualesquiera requisitos de independencia del personal. 6.2.4 Entregas 6.2.4.1 Los resultados de esta fase deben documentarse, así como cualesquiera supuestos y justificaciones realizadas durante la fase. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 41 - EN 50126:1999 6.2.4.2 En las entregas se debe incluir la Política RAMS correspondiente al sistema. 6.2.4.3 En las entregas se debe incluir el Plan de Seguridad correspondiente al sistema. 6.2.4.4 Las entregas de esta fase forman una aportación clave de información para fases sucesivas del ciclo de vida. 6.2.5 Verificación 6.2.5.1 Las siguientes tareas de verificación deben emprenderse en esta fase: a) evaluación de la idoneidad de la información y, en los casos en que proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) los aspectos RAMS de los entregables de la fase 2 deben verificarse comparándolos con las entregas de la fase 1; en especial, la Política RAMS debe evaluarse para comprobar su conformidad respecto de los requisitos del sistema definidos en la fase 1; c) la totalidad del proceso de análisis RAM y de identificación de peligros debe evaluarse para comprobar su integridad; d) evaluación de la idoneidad del Plan de Seguridad, incluido un examen de la idoneidad de cualesquiera fuentes de datos incluidas en el Plan de Seguridad; e) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; f) evaluación de la competencia de todo el personal que realice tareas en la fase. 6.2.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. 6.3 Fase 3: Análisis de riesgos NOTA − Puede ser necesario repetir el análisis de riesgos en varias etapas del ciclo de vida (Véase más adelante el punto d) del apartado 6.3.1). 6.3.1 Objetivos. Los objetivos de esta fase son los de: a) identificar peligros asociadas al sistema; b) identificar los acontecimientos que llevan a dichos peligros; c) determinar el riesgo asociado a los peligros; d) establecer un proceso para la gestión de riesgos según éstos se produzcan. 6.3.2 Entradas. Las entradas para esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir los requisitos de la fase y, en especial, los entregables presentados en la fase 2. 6.3.3 Requisitos 6.3.3.1 El requisito 1 de esta fase debe ser el de: a) identificar de forma sistemática y dar prioridad a todos los peligros que puedan razonablemente preverse y estén asociados al sistema en su entorno de aplicación, incluidos los peligros derivadas de: − el normal funcionamiento del sistema; − las condiciones defectuosas del sistema; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 42 - − el funcionamiento de emergencia del sistema; − el uso incorrecto del sistema; − las interfaces del sistema; − la funcionalidad del sistema; − cuestiones relacionadas con el funcionamiento, el mantenimiento y el soporte del sistema; − factores relacionados con la eliminación del sistema; − factores humanos; − cuestiones relacionadas con la higiene en el trabajo; − el entorno mecánico; − el entorno eléctrico; − el entorno natural, incluidos fenómenos tales como nieve, inundaciones, tormentas, lluvia, corrimientos de tierras, etc. b) identificar la secuencia de acontecimientos que conduzcan a los peligros; c) evaluar la frecuencia con que sucede cada peligro (tabla 2); d) evaluar la probable gravedad de las consecuencias de cada peligro (tabla 3); e) evaluar el riesgo que para el sistema supone cada peligro. 6.3.3.2 El requisito 2 de esta fase debe ser el de determinar y clasificar la aceptabilidad del riesgo asociado a cada peligro identificada, habiendo considerado el riesgo desde el punto de vista de cualesquiera conflictos con los requisitos de disponibilidad y coste del ciclo de vida del sistema. 6.3.3.3 El requisito 3 de esta fase debe ser el de establecer un Registro de Peligros como base para la gestión de los riesgos según estos se produzcan. El Registro de Peligros debe ser actualizado en cuanto se produzca un cambio que afecte a cualquier peligro identificada, o cuando se identifique una nueva, durante la totalidad del ciclo de vida. El Registro de Peligros debe incluir detalles de: a) el objetivo y el propósito del Registro de Peligros; b) cada suceso de peligro y los elementos que contribuyan al mismo; c) las probables consecuencias y las frecuencias de la secuencia de sucesos asociados a cada peligro; d) el riesgo de cada peligro; e) los criterios de tolerabilidad de riesgos correspondientes a la aplicación; f) las medidas adoptadas para reducir los riesgos a un nivel tolerable o eliminar el riesgo correspondiente a cada suceso de peligro; g) un proceso de revisión de la tolerabilidad de los riesgos; h) un proceso de revisión de la efectividad de las medidas de reducción de riesgos; i) un proceso para informar de riesgos y accidentes a medida que unos y otros se produzcan; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 43 - EN 50126:1999 j) un proceso para la gestión del Registro de Peligros; k) los límites de cualquier análisis realizado; l) cualesquiera suposiciones realizadas durante el análisis; m) cualesquiera límites de confianza que se apliquen a datos utilizados en el análisis; n) los métodos, las herramientas y las técnicas empleadas; o) el personal que ha intervenido en el proceso y sus capacidades. 6.3.4 Entregas 6.3.4.1 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.3.4.2 Los resultados del análisis de riesgos deben quedar recogidos en el Registro de Peligros. 6.3.4.3 Los entregas de esta fase son una aportación clave de información para sucesivas fases del ciclo de vida. 6.3.5 Verificación 6.3.5.1 Las siguientes tareas de verificación se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, en los casos en que proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) los entregas de la fase 3 se deben verificar comparándolas con las entregas de la fase 2; c) evaluación de la integridad de la gestión de riesgos; d) evaluación de la clasificación de la aceptabilidad de los riesgos; e) evaluación de la idoneidad del proceso del Registro de Peligros correspondiente al sistema de que se trata; f) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; g) evaluación de la competencia de todo el personal que realice tareas en la fase. 6.3.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. 6.4 Fase 4: Requisitos del sistema 6.4.1 Objetivos. Los objetivos de esta fase son los de: a) especificar los requisitos globales RAMS para el sistema; b) especificar los criterios globales de demostración y aceptación correspondientes al RAMS del sistema; c) establecer el Programa RAM para controlar las tareas RAM durante las sucesivas fases del ciclo de vida. 6.4.2 Entradas. Las entradas en esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir los requisitos de la fase y, en especial, los entregables la fase 2 y la fase 3. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 44 - 6.4.3 Requisitos 6.4.3.1 El requisito 1 de esta fase debe ser el de especificar (con referencia al apartado 6.2.3.1) los requisitos globales RAMS correspondientes al sistema total. Los requisitos RAMS, para el sistema de que se trate, deben incluir: − definición y límites del sistema; − perfil de la misión; − requisitos funcionales y requisitos de rendimiento auxiliares, incluidos los requisitos funcionales de seguridad y los requisitos de integridad de la seguridad para cada función de seguridad; − requisitos de apoyo logístico; − interfaces; − entorno de la aplicación; − niveles tolerables de riesgo correspondientes a peligros identificadas; − medidas externas necesarias para cumplir los requisitos; − requisitos de soporte del sistema; − detalles de los límites del análisis; − detalles de cualesquiera suposiciones hechas. 6.4.3.2 El requisito 2 de esta fase debe ser el de especificar (con referencia al apartado 6.2.3.3) los requisitos globales para lograr cumplir los requisitos RAMS correspondientes al sistema, incluidos: − los criterios de aceptación correspondientes a los requisitos globales RAMS. − el proceso de demostración y aceptación correspondiente a los requisitos globales RAMS facilitados por el plan de validación del sistema RAMS, y que deberían incluir: − una descripción del sistema; − los principios de validación RAMS que se vayan a aplicar al sistema; − las pruebas y análisis RAMS que se vayan a realizara para la validación, incluidos detalles del entorno necesario, herramientas, equipos. etc; − la estructura de gestión de la validación, incluidos los requisitos de independencia del personal; − los detalles del programa de validación (secuencia y calendario); − los procedimientos que tratan con la no-conformidad. 6.4.3.3 El requisito 3 de esta fase debe ser el de establecer el Programa detallado RAM correspondiente a las restantes tareas del ciclo de vida (con referencia al apartado 6.2.3.3). El Programa RAM debe incluir las tareas que se consideren como las más eficaces para el logro de los requisitos RAM correspondientes al sistema de que se trate. El Programa RAM debe acordarse por la Autoridad Ferroviaria y la industria ferroviaria para el sistema de que se trate y debe ser puesto en práctica durante todo el ciclo de vida del sistema. Dentro del Programa RAM, deberían prestarse atención a la inclusión de las siguientes tareas: AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 45 - EN 50126:1999 a) la gestión, incluidos detalles de: − la política y la estrategia destinada a cumplir los requisitos RAM; − el alcance del programa; − una descripción del sistema; − el ciclo de vida del sistema así como las tareas y procesos RAM que hayan de emprenderse dentro del ciclo de vida; específicamente, el orden de las tareas RAM para garantizar el máximo provecho al diseño del sistema; − las funciones, responsabilidades, competencias y relaciones de las organizaciones que realicen tareas dentro del ciclo de vida; − un Sistema de Comunicación de Fallos y Medidas Correctoras (FRACAS) que se vaya a aplicar al sistema a partir de la fase 7 del ciclo de vida (por parte de la Autoridad Ferroviaria y la industria ferroviaria, según proceda), con registros en que se incluyan: − los datos técnicos del sistema; − el motivo para la actuación de mantenimiento; − el tipo de actuación de mantenimiento; − las horas / hombre empleadas y el tiempo transcurrido durante la actuación de mantenimiento; − el tiempo de caída durante el mantenimiento; − el número y el nivel de capacitación del personal; − las piezas de repuesto utilizadas; − el coste de los consumibles; − el informe y la actuación correctora; − los planes para garantizar la coordinación de cada elemento RAM; − detalles de todos los entregables del ciclo de vida relacionados con la RAM; − detalles de las tareas de aceptación RAM; − interfaces con otros programas y planes relacionados; − las restricciones y las suposiciones hechas en el programa RAM; − los planes para la gestión de subcontratistas. b) la fiabilidad, incluidos: − el análisis y la predicción de la fiabilidad, incluidos: − el análisis funcional y la definición de fallos del sistema; − el análisis descendente; por ejemplo, el análisis del árbol de fallos y el análisis del diagrama de bloques; − el análisis ascendente; por ejemplo, el Análisis de Modalidades y Efectos de Fallos (FMEA); − el análisis de fallos de causa común o el de fallos múltiples; − el análisis de sensibilidad y los estudios de ponderación; − la distribución de la fiabilidad; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 46 - − el análisis de las interfaces hombre-máquina; − pruebas de esfuerzo; − la predicción del caso más desfavorable y el análisis de la tolerancia; − la planificación de la fiabilidad, incluidos: − el programa de revisión de la fiabilidad del diseño; −− el programa de garantía de fiabilidad de los componentes; − el programa de garantía de calidad / fiabilidad del software. − realización pruebas de fiabilidad, incluidas: − pruebas de incremento de la fiabilidad, basadas en la generación de fallos; − pruebas de demostración de la fiabilidad, basadas en modos de fallos esperados; − pruebas de resistencia en condiciones ambientales; − pruebas de duración de componentes; − pruebas de duración del sistema durante las primeras etapas del funcionamiento; − adquisición y evaluación de datos de fiabilidad; − análisis de datos para la mejora de la fiabilidad. c) la mantenibilidad, incluido: − el análisis y la predicción de la mantenibilidad, incluidos: − el análisis y la verificación de la mantenibilidad; − el análisis de las tareas de mantenimiento; − estudios y pruebas de facilidad de mantenimiento; − consideraciones de mantenibilidad relacionadas con factores humanos; − planificación de la mantenibilidad, incluidos: − el programa de revisión de la mantenibilidad del diseño; − el establecimiento de la estrategia de mantenimiento; − el examen de opciones de mantenimiento centradas en la fiabilidad; − programa de mantenimiento de software; − evaluación del apoyo logístico, incluidos: − la definición de los requisitos de mantenimiento; − la definición de política de repuestos y recursos de apoyo; − el personal y las instalaciones de mantenimiento; − las precauciones para la seguridad del personal; − los requisitos de apoyo del sistema; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 47 - EN 50126:1999 − los requisitos del programa de formación; − las condiciones de transporte, embalaje, manipulación y almacenamiento del sistema; − adquisición y evaluación de datos de mantenibilidad; − análisis de datos para la mejora de la mantenibilidad. d) disponibilidad, incluidos: − el análisis de disponibilidad; − el análisis de sensibilidad y los estudios de ponderación; − la demostración de la disponibilidad durante las primeras etapas del funcionamiento; − adquisición y evaluación de datos de disponibilidad; − análisis de datos para la mejora y predicción de la disponibilidad. 6.4.3.4 El requisito 4 de esta fase debe ser el de corregir el Plan de Seguridad para garantizar que todas las tareas futuras planeadas sean coherentes con los requisitos emergentes RAMS del sistema. 6.4.4 Entregas 6.4.4.1 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.4.4.2 La fase debe producir un Plan de Seguridad y un Plan de Aceptación actualizados. 6.4.4.3 Las entregas de esta fase son las entradas para sucesivas fases del ciclo de vida. 6.4.5 Verificación 6.4.5.1 Las siguientes tareas de verificación se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) los requisitos del sistema deben ser verificados comparándolos con las entregas producidas en la fase 2 y en la fase 3, incluido el cálculo de costes del ciclo de vida; c) los requisitos de seguridad deben ser verificados comparándolos con cualesquiera objetivos de seguridad y políticas de seguridad de la Autoridad Ferroviaria; d) los requisitos RAM deben ser verificados comparándolos con cualesquiera objetivos y políticas RAM de la Autoridad Ferroviaria; e) evaluación de la idoneidad e integridad del Plan de Aceptación y del Plan de Validación; f) evaluación de la idoneidad del Programa RAM, incluido un examen de la idoneidad de cualesquiera fuentes de datos utilizadas; g) evaluación de los métodos, herramientas y técnicas usadas en la fase; h) evaluación de la competencia del personal que desempeñe tareas en la fase. 6.4.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 48 - 6.5 Fase 5: Distribución de los requisitos del sistema 6.5.1 Objetivos. Los objetivos de esta fase son los de: a) distribuir los requisitos globales de RAMS correspondientes al sistema asignándolos a subsistemas, componentes y equipos externos designados; b) definir los criterios de aceptación RAMS correspondientes a los subsistemas, componentes y equipos externos designados. 6.5.2 Entradas. Las entradas para esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir los requisitos de la fase y, en especial, los entregables presentados en la fase 4. 6.5.3 Requisitos 6.5.3.1 El requisito 1 de esta fase debe ser el de: a) asignar los requisitos funcionales a los subsistemas, componentes y equipos externos designados; b) asignar los requisitos de seguridad a los subsistemas, componentes y equipos externos de reducción de riesgos designados; c) especificar los subsistemas, componentes y equipos externos designados para cumplir todos los requisitos RAM del sistema, incluido el impacto de fallos de causa común y fallos múltiples; d) examinar el programa RAM. 6.5.3.2 El requisito 2 de esta fase debe ser el de especificar los requisitos necesarios para cumplir los requisitos de los subsistemas, componentes y equipos externos, incluidos: − los requisitos para los criterios de aceptación de subsistemas, componentes y equipos externos; − los requisitos para la demostración y aceptación de procesos, así como los procedimientos correspondientes a subsistemas, componentes y equipos externos. 6.5.3.3 El requisito 3 de esta fase debe ser el de examinar y actualizar el Plan de Seguridad y el Plan de Validación para garantizar que las tareas planificadas sean coherentes con los requisitos del sistema una vez realizada la distribución. Las áreas clave en importancia incluyen requisitos para la independencia del personal y el control de las interfaces del sistema allí donde la funcionalidad de seguridad pueda estar comprometida. 6.5.4 Entregas 6.5.4.1 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.5.4.2 En esta fase se debe presentar un Plan de Seguridad actualizado. 6.5.4.3 En los documentos resultantes de esta fase se deben incluir los requisitos de los sistemas asignados a los subsistemas, componentes y equipos externos designados. 6.5.4.4 Los entregas de esta fase constituyen una aportación de información clave para sucesivas fases del ciclo de vida. 6.5.5 Verificación 6.5.5.1 Las siguientes tareas de verificación se deben emprender dentro de esta fase: AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 49 - EN 50126:1999 a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) verificación de los requisitos de sistemas, subsistemas, componentes y equipos externos comparándolos con las entregas producidos en la fase 4, e incluyendo una revisión de los requisitos comparándolos con el coste del ciclo de vida del sistema; c) la arquitectura para la combinación total de subsistemas, componentes y equipos externos designados, se debe verificar para garantizar que cumpla los requisitos RAMS correspondientes a la totalidad del sistema; d) los requisitos RAMS correspondientes a subsistemas, componentes y equipos externos, se deben verificar para garantizar que se pueden trazar con los requisitos RAMS del sistema; e) los requisitos RAMS correspondientes a subsistemas, componentes y equipos externos, se deben verificar para garantizar su integridad y la coherencia entre funciones; f) los Planes revisados de Seguridad y Validación se deben verificar para garantizar su continua aplicabilidad; g) evaluación de la idoneidad de los métodos, las herramientas y las técnicas usadas en la fase; h) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.5.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. 6.6 Fase 6: Diseño e implementación 6.6.1 Objetivos. Los objetivos de esta fase son los de: a) crear subsistemas y componentes que se ajusten a los requisitos RAMS; b) demostrar que los subsistemas y componentes se ajustan a los requisitos RAMS; c) establecer planes para futuras tareas del ciclo de vida en las que intervenga la RAMS. 6.6.2 Entradas. Las entradas para esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir el requisito y, en especial, los entregables presentados en la fase 4 y en la fase 5. 6.6.3 Requisitos 6.6.3.1 El requisito 1 de esta fase debe ser el de diseñar los subsistemas y los componentes para que cumplan los requisitos RAMS. 6.6.3.2 El requisito 2 de esta fase debe ser el de llevar a cabo el diseño de los subsistemas y los componentes para que cumplan los requisitos RAMS. 6.6.3.3 El requisito 3 de esta fase debe ser el de establecer planes, en el contexto RAMS, para futuras tareas del ciclo de vida, incluidas: − la instalación; − la puesta en servicio; − operación y mantenimiento, incluida la definición de procedimientos de operación y mantenimiento; − la adquisición y evaluación de datos durante el funcionamiento. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 50 - 6.6.3.4 El requisito 4 de esta fase debe ser el de definir, verificar y establecer un proceso de fabricación capaz de producir subsistemas y componentes validados por la RAMS, tomando en cuenta el empleo de: − pruebas de resistencia en condiciones ambientales; − la realización de pruebas de mejora RAM; − la inspección y realización de pruebas correspondientes a modos de fallo relacionados con la RAMS; − realización del requisito 4 del plan de seguridad (apartado d) del 6.2.3.4). 6.6.3.5 El requisito 5 de esta fase debe ser el de: a) elaborar un Caso de Seguridad genérico para el sistema, que justifique que el sistema, tal y como está diseñado, e independientemente de la aplicación, cumpla los requisitos de seguridad. El Caso de Seguridad requiere la aprobación de la Autoridad Ferroviaria y en él se debería incluir: − una visión general del sistema; − un resumen o referencia de los requisitos de seguridad, incluida una consideración de las justificaciones del SIL correspondientes a las funciones de seguridad; − un resumen de los controles de gestión de calidad y seguridad adoptados en el ciclo de vida; − un resumen de las tareas de la evaluación de seguridad y de la auditoría de seguridad; − un resumen de las tareas del análisis de seguridad; − una visión general de las técnicas de ingeniería de seguridad empleadas en el sistema; − la verificación del proceso de fabricación. − la idoneidad del cumplimiento de los requisitos de seguridad, incluyendo cualquier requisito SIL del sistema; − un resumen de cualesquiera limitaciones y restricciones que se apliquen al sistema; − cualquier exención especial (o especificidad) impuesta y justificada por el contrato a los requisitos habituales de esta norma; b) elaborar un Caso de Seguridad de Aplicación, si procede en esta fase, para el sistema. El Caso de Seguridad de Aplicación se realiza basándose en el Caso Genérico de Seguridad, justificando que el diseño del sistema y su realización física, incluidas las fases de instalación y pruebas, para una clase específica de aplicación, cumplen los requisitos de seguridad. El Caso de Seguridad de Aplicación requiere la aprobación de la Autoridad Ferroviaria, y en él debería incluirse: − toda la información adicional necesaria para justificar la seguridad del sistema respecto de la clase de ocupación de que se trate; − cualesquiera limitaciones o restricciones que atañen a la aplicación del sistema. 6.6.4 Entregas 6.6.4.1 Los resultados de esta fase se debe documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.6.4.2 Se deben mantener un registro de todas las tareas de validación RAMS emprendidas durante la fase. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 51 - EN 50126:1999 6.6.4.3 Se deben presentar planes detallados para futuras tareas del ciclo de vida en el contexto RAMS. 6.6.4.4 En esta fase se deben presentar Procedimientos de Funcionamiento y Mantenimiento, incluida toda la información pertinente para el suministro de piezas de repuesto, en especial, de elementos relacionados con la seguridad. 6.6.4.5 En esta fase se debe generar un Caso de Seguridad Genérico. 6.6.4.6 En esta fase puede presentarse un Caso de Seguridad de Aplicación. 6.6.4.7 Las entregas de esta fase constituyen una aportación de información clave para sucesivas fases del ciclo de vida. 6.6.5 Verificación 6.6.5.1 Las siguientes tareas de verificación se deben emprender en esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas en esta fase; b) verificación, mediante análisis y pruebas, de que el diseño de subsistemas y componentes cumpla los requisitos RAMS; c) verificación, mediante análisis y pruebas, de que la realización de subsistemas y componentes se ajuste a los diseños; d) validación de la realización de subsistemas y componentes para garantizar que dicha realización se ajuste a los criterios de aceptación RAMS correspondientes a subsistemas y componentes, incluidos los requisitos del ciclo de vida; e) verificación, mediante análisis y pruebas, de que las ordenes de fabricación producen subsistemas y componentes validados por la RAMS. f) verificación de que todos los planes futuros de actividades del ciclo de vida sean coherentes con los requisitos RAMS correspondientes al sistema, incluidos los requisitos de costo del ciclo de vida; g) evaluación de la idoneidad e integridad del caso genérico de seguridad y, en los casos en que proceda, del caso de seguridad de la aplicación; h) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; i) evaluación de la competencia de todo el personal que desempeñe tareas en la fase; j) garantizar que el plan de validación RAMS siga siendo aplicable. 6.6.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. 6.7 Fase 7: Fabricación 6.7.1 Objetivos. Los objetivos de esta fase son: a) poner en práctica un proceso de fabricación que produzca subsistemas y componentes validados de acuerdo a la RAMS; b) establecer planes de garantía de procesos centrados en la RAMS; c) establecer planes de apoyo de subsistemas y componentes RAMS. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 52 - 6.7.2 Entradas. Las entradas para esta fase debe incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir el requisito y, de forma especial, los entregables de diseño presentados en la fase 6. 6.7.3 Requisitos 6.7.3.1 El requisito 1 de esta fase debe ser el de verificar y poner en práctica el proceso de fabricación. 6.7.3.2 El requisito 2 de esta fase debe ser el de establecer planes de apoyo para subsistemas y componentes, incluidas: − la elaboración, verificación y validación de documentación de apoyo para subsistemas y componentes RAMS; − la elaboración, verificación y validación de procedimientos de funcionamiento y mantenimiento en el contexto RAMS; − la elaboración, verificación y validación del material de formación sobre subsistemas y componentes en el contexto RAMS. La documentación, procedimientos y material de formación antes mencionados deben examinarse en todas las fases sucesivas. 6.7.3.3 El requisito 3 de esta fase puede, si así procede, ser el de: a) planificar la fabricación para que cumpla los requisitos; b) poner en práctica la fabricación de modo que cumpla los requisitos; c) poner en práctica la garantía de los procesos RAMS a fin de evitar potenciales modos de fallo relacionados con la RAMS. 6.7.4 Entregas 6.7.4.1 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.7.4.2 Se deben mantener un registro de todas las tareas de validación RAMS emprendidas durante la fase. 6.7.4.3 Las entregas de esta fase constituyen una aportación de información clave para sucesivas fases del ciclo de vida. 6.7.5 Verificación 6.7.5.1 Las siguientes tareas de verificación se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como entrada para tareas dentro de esta fase; b) verificación de que la documentación de apoyo RAMS sea correcta, adecuada y coherente con los requisitos de costes del ciclo de vida, así como con cualesquiera requisitos objetivo RAMS definidos para el sistema; c) evaluación para garantizar que los productos producidos y fabricados cumplan los requisitos del sistema; d) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; e) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.7.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 53 - EN 50126:1999 6.8 Fase 8: Instalación 6.8.1 Objetivos. El objetivo de esta fase debe ser el de: a) montar e instalar la combinación total de subsistemas y componentes que se requieren para formar el sistema completo; b) poner en marcha los planes de apoyo del sistema. 6.8.2 Entradas. Las entradas para esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir el requisito y, de forma especial, el Plan de Instalación elaborado en la fase 6; los subsistemas y componentes fabricados en la fase 7 y la documentación de apoyo RAMS elaborada en la fase 7. 6.8.3 Requisitos 6.8.3.1 El requisito 1 de esta fase debe ser el de montar e instalar la combinación total de subsistemas, componentes y equipos externos que se necesitan para formar el sistema completo, de acuerdo con el Plan de Instalación. 6.8.3.2 El requisito 2 de esta fase debe ser el de documentar el proceso de instalación, incluidos: − planes de revisión, en el contexto del requisito 3 de la fase de diseño y puesta en práctica (6.6.3.3); − tareas de instalación; − toda acción emprendida para solucionar fallos e incompatibilidades. 6.8.3.3 El requisito 3 de esta fase debe ser el de examinar y actualizar el Plan de Seguridad, una vez completada la instalación, para garantizar que quede constancia de cualesquiera cambios de sistema o de procedimientos y que éstos sean eficazmente gestionados en futuras tareas del ciclo de vida. 6.8.3.4 El requisito 4 de esta fase debe ser el de: a) dar comienzo a la formación del personal; b) hacer que los procedimientos de apoyo estén disponibles; c) establecer el aprovisionamiento de piezas de repuesto; d) establecer el aprovisionamiento de herramientas. 6.8.4 Entregas 6.8.4.1 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.8.4.2 Debe mantenerse un registro de todas las tareas de validación RAMS emprendidas dentro de la fase, incluida la actividad de instalación. 6.8.4.3 En esta fase se debe presentar un Plan de Seguridad actualizado. 6.8.4.4 Los entregas de esta fase son una aportación clave de información para sucesivas fases del ciclo de vida. 6.8.5 Verificación 6.8.5.1 Las siguientes tareas de verificación se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 54 - b) verificación de que la actividad de instalación haya sido llevada a cabo de acuerdo con el Plan de Instalación; c) verificación, mediante análisis y pruebas, de que los sistemas instalados cumplan los requisitos RAMS; d) evaluación del plan de seguridad para garantizar que siga siendo aplicable; e) evaluación de la idoneidad y eficacia de los planes de apoyo del sistema; f) evaluación de la idoneidad de los métodos, las herramientas y las técnicas usadas en la fase; g) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.8.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. 6.9 Fase 9: Validación del sistema (incluidas la aceptación de seguridad y la puesta en servicio) 6.9.1 Objetivos 6.9.1.1 Los objetivos de esta fase son los de: a) comprobar que la combinación total de subsistemas, componentes y medidas de reducción de riesgos externos cumplan los requisitos RAMS correspondientes al sistema; b) puesta en servicio de la combinación total de subsistemas, componentes y medidas de reducción de riesgos externos; c) elaborar y, si procede, aceptar, el Caso de Seguridad Específico de la Aplicación correspondiente al sistema; d) prever la adquisición y evaluación de datos. 6.9.1.2 Es importante advertir que los requisitos de la fase 10, Aceptación del Sistema, pueden estar integrados con los requisitos de esta fase, la fase 9, si es pertinente para el sistema de que se trate. Si éste fuera el caso, entonces los entregables de esta Fase deben demostrar que los requisitos de la fase 10 se hayan cumplido adecuadamente en la realización de la fase 9. 6.9.2 Entradas. Las entradas para esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir el requisito y, en especial, los requisitos del sistema presentados en la fase 4, el Plan de Verificación y Validación presentado en la fase 4, el Plan de Puesta en Servicio presentado en la fase 6 y el material de formación elaborado en la fase 7. 6.9.3 Requisitos 6.9.3.1 El requisito 1 de esta fase debe ser el de validar la combinación total de subsistemas, componentes y medidas de reducción de riesgos externos de acuerdo con el Plan de Validación, y registrar el proceso de validación, incluidos: detalles de tareas de validación RAMS comparándolas con los criterios de aceptación, incluidas demostraciones y análisis de seguridad RAM; − detalles del proceso, las herramientas y el equipo utilizados para tareas de validación comparándolas con los criterios de aceptación; − resultados de las tareas de validación correspondientes a todos los criterios de aceptación; − cualesquiera limitaciones y restricciones que se apliquen al sistema; − acciones emprendidas para solucionar fallos e incompatibilidades. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 55 - EN 50126:1999 6.9.3.2 El requisito 2 de esta fase debe ser el de: a) puesta en servicio de la combinación total de subsistemas, componentes y medidas de reducción de riesgos externos de acuerdo con el Plan de Puesta en Servicio y registrar el proceso de puesta en servicio, incluidas: − las tareas de puesta en servicio; − las tareas de informe y evaluación de fallos; − las acciones emprendidas para solucionar fallos e incompatibilidades; − los detalles de cualesquiera limitaciones o restricciones en el uso del sistema. b) establecer un periodo de funcionamiento a prueba, si fuera necesario, para hacer posible la solución de problemas del sistema en servicio. Cuando se recurra a un periodo de funcionamiento a prueba como parte de la aceptación del sistema, debe tenerse en cuenta la necesidad de que el sistema de seguridad sea demostrado antes de que el sistema funcione en un servicio que genere ingresos. 6.9.3.3 El requisito 3 de esta fase debe ser el de elaborar una Caso de Seguridad de la Aplicación para el sistema, si es que no se hubiera elaborado ya en la fase 6 (apartado 2 de 6.6.3.5), para justificar que el sistema, tal y como se ha aplicado específicamente en esta aplicación, cumple los requisitos de seguridad del sistema. El Caso de Seguridad de la Aplicación requiere la aprobación de la Autoridad Ferroviaria, y en él debería incluirse: − una visión general del sistema; − un resumen o referencia de los requisitos de seguridad, incluida una consideración de las justificaciones del SIL correspondientes a las funciones de seguridad dentro de la aplicación; − un resumen de los controles de gestión de calidad y seguridad adoptados en el ciclo de vida; − un resumen de las tareas de la evaluación de seguridad y de la auditoría de seguridad; − un resumen de las tareas del análisis de seguridad; − una visión general de las técnicas de ingeniería de seguridad empleadas en el sistema; − la idoneidad del cumplimiento de los requisitos de seguridad correspondientes al sistema, incluida la idoneidad del cumplimiento de los requisitos del SIL de la aplicación, incluida su realización física dentro de la aplicación específica; − un resumen de cualesquiera limitaciones y restricciones que afecten a la aplicación. 6.9.3.4 El requisito 4 de esta fase debe ser el de establecer y poner en práctica un proceso destinado a la adquisición y evaluación de datos operativos como información aportada a un proceso de mejora del sistema. 6.9.4 Entregas 6.9.4.1 Los resultados de esta fase se debe documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.9.4.2 Debe mantenerse un registro de todas las tareas de validación RAMS emprendidas dentro de la fase, incluida la actividad de puesta en servicio. 6.9.4.3 Debe presentarse un Caso de Seguridad Específico de la Aplicación para el sistema dentro de esta fase. 6.9.4.4 Se debe mantener un registro de todas las tareas de Aceptación emprendidas durante la fase. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 56 - 6.9.4.5 Las entregas de esta fase constituyen una aportación clave de información para sucesivas fases del ciclo de vida. 6.9.5 Verificación 6.9.5.1 Las siguientes tareas del proceso de verificación se debe emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) verificación y validación, mediante análisis y pruebas, de que el sistema instalado cumpla los requisitos RAMS. Debería advertirse que para algunos sistemas ferroviarios, se exigirá la aceptación del Caso de Seguridad Específico de la Aplicación antes de que las actividades de instalación y puesta en servicio tengan lugar; c) verificación de que la actividad de puesta en servicio se haya llevado a cabo de acuerdo con el Plan de Puesta en Servicio; d) evaluación de la idoneidad y eficacia del sistema de recogida de datos operativos; e) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; f) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.9.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores del ciclo de vida. 6.10 Fase 10: Aceptación del sistema 6.10.1 Objetivos. Los objetivos de esta fase son los de: a) evaluar el cumplimiento de los requisitos globales RAMS aplicables al sistema completo por parte de la combinación total de subsistemas, componentes y medidas de reducción de riesgos externos; b) aceptar el sistema para su entrada en servicio. 6.10.2 Entradas. Las entradas para esta fase deben incluir toda la información y, en los casos en que proceda, los datos necesarios para cumplir el requisito y, de forma especial, los requisitos del sistema elaborados en la fase 4, el Plan de Verificación y Validación y el Plan de Aceptación elaborados en la fase 4, así como el registro de tareas de verificación y validación elaborado en la fase 9. 6.10.3 Requisitos 6.10.3.1 El requisito 1 de esta fase debe ser el de evaluar todas las tareas de verificación y validación del sistema; específicamente, la verificación y validación RAM y el Caso de Seguridad Específico de la Aplicación, de acuerdo con el Plan de Aceptación del Sistema. 6.10.3.2 El requisito 2 de esta fase debe ser el de aceptar formalmente el sistema para su entrada en servicio, si procede. 6.10.3.3 El requisito 3 de esta fase debe ser el de examinar y actualizar el Registro de Peligros para recoger en él cualquier peligro residual identificada durante la validación o la aceptación del sistema, así como el de garantizar que los riesgos derivados de cualquier peligro semejante sean gestionados eficazmente. 6.10.4 Entregas 6.10.4.1 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 57 - EN 50126:1999 6.10.4.2 Debe mantenerse un registro de todas las tareas de aceptación emprendidas dentro de la fase. 6.10.4.3 Debe presentarse dentro de esta fase un Registro de Peligros actualizado. 6.10.4.4 Las entregas de esta fase constituyen una aportación clave de información para sucesivas fases del ciclo de vida. 6.10.5 Verificación 6.10.5.1 Las siguientes tareas de verificación se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) aceptación, mediante análisis y pruebas, de que el sistema cumpla los requisitos RAMS, incluidos los requisitos de costes del ciclo de vida; c) verificación de que la actividad de aceptación se haya llevado a cabo de acuerdo con el Plan de Aceptación; d) evaluación de la ininterrumpida aplicabilidad del plan de seguridad revisado; e) evaluación destinada a garantizar que cualquier peligro residual esté gestionándose eficazmente; f) evaluación de la idoneidad e integridad del caso de seguridad específico de la aplicación; g) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; h) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.10.5.2 Cualesquiera errores o insuficiencias pueden exigir la reaplicación de algunas o de la totalidad de las actividades de una o más fases anteriores dentro del ciclo de vida. 6.11 Fase 11: Funcionamiento y mantenimiento 6.11.1 Objetivos. El objetivo de esta fase debe ser el de operar (dentro de límites especificados), mantener y apoyar la combinación total de subsistemas, componentes y medidas de reducción de riesgos externos, de tal forma que se mantenga el cumplimiento de los requisitos RAMS del sistema. 6.11.2 Entradas. Las entradas para esta fase debe incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir el requisito y, de forma especial, los procedimientos de funcionamiento y mantenimiento elaborados en la fase 6. 6.11.3 Requisitos 6.11.3.1 El requisito 1 de esta fase debe ser el de supervisar la puesta en práctica del sistema, así como el de poner en práctica los procedimientos de funcionamiento y mantenimiento; de forma especial, respecto del rendimiento del sistema y de los problemas de costes del ciclo de vida. 6.11.3.2 El requisito 2 de esta fase debe ser el de garantizar el cumplimiento de los requisitos RAMS del sistema durante toda esta fase, mediante: a) el examen y actualización regular de los procedimientos de funcionamiento y mantenimiento; b) el examen regular de la documentación de formación del sistema; c) el examen y actualización regular del Registro de Peligros y del Caso de Seguridad; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 58 - d) un apoyo logístico eficaz, incluidas piezas de repuesto, herramientas, calibración, personal competente y mantenimiento centrado en la RAMS; e) el mantenimiento del Sistema de Comunicación de Fallos y Medidas Correctoras (FRACAS). 6.11.4 Entregas 6.11.4.1 Se debe mantener un registro de todas las tareas RAMS emprendidas durante la fase, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.11.4.2 La documentación del sistema debe actualizarse, cuando proceda, durante la fase. 6.11.4.3 Los entregables de esta fase constituyen una aportación clave de información para sucesivas fases del ciclo de vida. 6.11.5 Verificación. Las siguientes tareas de verificación se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) verificación de que los cambios introducidos en los planes de apoyo sean coherentes con los requisitos RAMS del sistema y con los requisitos de costes del ciclo de vida; c) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; d) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.12 Fase 12: Seguimiento de la ejecución 6.12.1 Objetivos. El objetivo de esta fase debe ser el de mantener la confianza en la función RAMS del sistema. 6.12.2 Entradas. Las entradas para esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir el requisito y, de forma especial, los requisitos RAMS del sistema y los datos de apoyo del sistema. 6.12.3 Requisitos 6.12.3.1 El requisito 1 de esta fase debe ser el de establecer, poner en práctica y examinar regularmente un proceso destinada a: − la recogida de estadísticas de rendimiento operativo y RAMS; − la adquisición, el análisis y la evaluación de datos de rendimiento y RAMS; − comprobar que las suposiciones realizadas en el caso de seguridad sigan siendo válidas. 6.12.3.2 El requisito 2 de esta fase debe ser el de analizar los datos del rendimiento y la RAMS para influir en: − nuevos procedimientos de funcionamiento y mantenimiento; − cambios en el apoyo logístico del sistema. 6.12.4 Entregas 6.12.4.1 Se debe mantener un registro de todas las tareas de seguimiento del rendimiento emprendidas durante la fase, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 59 - EN 50126:1999 6.12.4.2 La documentación de apoyo del sistema puede ser actualizada durante esta fase. 6.12.4.3 Los entregables de esta fase constituyen una aportación clave de información para sucesivas fases del ciclo de vida. 6.12.5 Verificación. Las siguientes tareas de verificación del proceso se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) verificación de que los cambios introducidos en los planes de apoyo sean coherentes con los requisitos RAMS del sistema y con los requisitos de costes del ciclo de vida; c) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase. d) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.13 Fase 13: Modificación y realimentación 6.13.1 Objetivos. El objetivo de esta fase debe ser el de controlar las tareas de modificación y modernización del sistema a fin de mantener los requisitos RAMS del sistema. 6.13.2 Entradas. Las entradas para esta fase deben incluir toda la información relevante y, en los casos en que proceda, los datos necesarios para cumplir el requisito. 6.13.3 Requisitos 6.13.3.1 El requisito 1 de esta fase debe ser el de establecer un plan de seguridad. 6.13.3.2 El requisito 2 de esta fase debe ser el de establecer, poner en práctica y examinar regularmente un proceso destinado a controlar la modificación y realimentación del sistema, en el contexto RAMS, incluidos: − control a través de uso obligatorio de un modelo de ciclo de vida adecuado a todas las tareas de modificación y realimentación; − un requisito para establecer un procedimiento destinado a verificar, validar y aceptar el rendimiento RAMS del sistema, después de la modificación y realimentación; − un requisito para analizar las razones del cambio; − un requisito para llevar a cabo un análisis del impacto del cambio sobre la RAMS, incluido el impacto sobre los requisitos de costes del ciclo de vida; − un requisito para planificar la puesta en práctica y la posterior aceptación del cambio; − un requisito para registrar las tareas de modificación y modernización; − un requisito para actualizar toda la documentación del sistema afectada. 6.13.4 Entregas 6.13.4.1 La entrega clave de esta fase es un sistema modificado y validado. 6.13.4.2 Los resultados de esta fase se deben documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 60 - 6.13.4.3 Debe mantenerse un registro de todas las tareas de verificación, validación y aceptación emprendidas dentro de la fase. 6.13.4.4 Debería presentarse dentro de esta fase un Registro de Peligros actualizado. 6.13.4.5 Debe presentarse dentro de esta fase un Caso de Seguridad de la Aplicación actualizado. 6.13.4.6 Todos los documentos relacionados con la RAM deben ser revisados y actualizados allí donde sea necesario. 6.13.4.7 Las entregas de esta fase constituyen una aportación clave de información para sucesivas fases del ciclo de vida. 6.13.5 Verificación. Las siguientes tareas de verificación del proceso se deben emprender dentro de esta fase: a) evaluación de la idoneidad de la información y, cuando proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) verificación y validación de que cualesquiera cambios y modificaciones introducidas en el sistema sean coherentes con los requisitos RAMS del sistema y con los requisitos de costes del ciclo de vida; c) evaluación de la idoneidad e integridad de cualquier documentación enmendada del sistema; en especial, cualesquiera documentos de un caso de seguridad; d) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; e) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. 6.14 Fase 14: Retirada del servicio y eliminación 6.14.1 Objetivos. El objetivo de esta fase debe ser el de controlar las tareas de retirada del servicio y eliminación del sistema. 6.14.2 Información aportada. La información aportada en esta fase debe incluir cuanta sea pertinente y, en los casos en que proceda, los datos necesarios para cumplir el requisito. 6.14.3 Requisitos 6.14.3.1 El requisito 1 de esta fase debe ser el de: a) establecer el impacto que tenga la retirada del servicio y la eliminación sobre cualquier sistema o equipo externo asociado con el sistema que vaya a ser retirado del servicio; b) planificar la retirada del servicio, incluido el establecimiento de procedimientos destinados a: − cerrar de forma segura el sistema y cualquier equipo externo asociado; − desmantelar de forma segura el sistema y cualquier equipo externo asociado; − asegurar el cumplimiento ininterrumpido de los requisitos RAMS por parte de cualesquiera sistemas o equipo externo afectados por la retirada del servicio del sistema. 6.14.3.2 El requisito 2 de esta fase debe ser el de facilitar un análisis del rendimiento del ciclo de vida RAMS para transmitir dicha información, incluido el cálculo de costes del ciclo de vida, a futuros sistemas. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 61 - EN 50126:1999 6.14.4 Entregables 6.14.4.1 Los resultados de esta fase se debe documentar, junto con cualesquiera suposiciones y justificaciones realizadas durante la fase. 6.14.4.2 Debe mantenerse un registro de todas las tareas de retirada del servicio y eliminación emprendidas dentro de la fase. 6.14.4.3 Debería presentarse dentro de esta fase un Registro de Peligros actualizado. 6.14.4.4 Debería establecerse un Plan de Seguridad para hacer frente a las tareas de retirada del servicio y eliminación, y cancelarse acto seguido de la finalización del trabajo. 6.14.4.5 Puede presentarse dentro de esta fase un Caso de Seguridad de la Aplicación revisado. 6.14.4.6 Puede presentarse documentación actualizada que abarque el cumplimiento ininterrumpido de los requisitos RAMS de los sistemas asociados afectados durante las tareas de retirada del servicio y eliminación. 6.14.5 Verificación. Las siguientes tareas de verificación del proceso deben emprenderse dentro de esta fase: a) debe evaluarse la idoneidad de la información y, cuando proceda, la de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase; b) evaluación de la idoneidad de cualquier documentación correspondiente a sistemas afectados por las actividades de retirada del servicio y eliminación; c) evaluación de la idoneidad de los métodos, herramientas y técnicas utilizadas en la fase; d) evaluación de la competencia de todo el personal que desempeñe tareas en la fase. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 62 - ANEXO A (Informativo) LÍNEAS GENERALES DE LA ESPECIFICACIÓN RAMS –EJEMPLO A.1 Generalidades Con el fin de facilitar la aplicación de la Norma EN 50126, se presentan en este anexo unas líneas generales principales de una especificación de RAMS para sistemas ferroviarios. Este ejemplo de líneas generales guarda relación con la figura 8 y la figura 9 de la norma, así como con las correspondientes descripciones de las fases del ciclo de vida detalladas en el capítulo 6, utilizando material rodante como ejemplo para facilitar detalles de apoyo dentro de estas líneas generales. A.2 Líneas generales La estructura básica y los contenidos de una especificación de RAMS, parte de los requisitos globales del sistema, puede coincidir con las siguientes líneas generales. 1. Identificación del proyecto 1.1 Identificar el Proyecto. 1.2 Entregas y fechas límite. 1.3 Organización del proyecto y gestión RAMS. 2 Descripción general del sistema 2.1 Descripción técnica del sistema. 2.2 Aplicación específica y funcionamiento: Ejemplo: para material rodante − Funcionamiento de un tren de alta velocidad. − Composiciones de los trenes. − Perfil de la misión. − Situación geográfica. − Horario y tolerancias de los trenes. − Escenarios de funcionamiento. − Principios de seguridad. − Consideraciones relacionadas con factores humanos. 2.3 Descripción técnica de los subsistemas: Ejemplo: para material rodante − Sistema de suministro de energía. − Sistema de frenos. − Sistema de propulsión. − Ventilación. − Sistema de protección. − Sistema de control. − Sistema de comunicación. − Calefacción. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 63 - EN 50126:1999 3 Condiciones de funcionamiento y del entorno 3.1 Identificar modos de operación: Ejemplo: para material rodante − Tiempo de funcionamiento o distancia recorrida por día. − Tiempo en espera − Tiempo en que no funciona por día. 3.2 Esperanza de duración: Ejemplo: para material rodante − Tiempo total planificado de utilización del sistema. (en años) − Tiempo promedio de funcionamiento por año. 3.3 Identificar las condiciones ambientales: Ejemplo: para material rodante − Normas a seguir. − Gama de temperaturas. − Gama de temperaturas del vehículo. − En funcionamiento. − Sin funcionar. − Gama de humedad. − Altura máxima sobre el nivel del mar. 4. Fiabilidad 4.1 Objetivos de fiabilidad: 4.2 Definir los objetivos de fiabilidad con el fin de alcanzar el rendimiento requerido de la aplicación específica (véase el apartado 2.2); 4.3 Modos de fallo del sistema y Tiempo Medio Entre Fallos (MTBF): Ejemplo: para material rodante Categoría de Fallo Modo de Fallo del Sistema Efecto en la Operación Fallo total Operación imposible Importante Fallo funcional crítico Operación de emergencia 1 Menor Fallo funcional no crítico Operación de emergencia 2 Insignificante Fallo funcional insignificante Funcionamiento normal Significativo MTBF(.) * * MTBF(.) en horas, años o kilómetros. Para otras consultas véase el apartado 4.5.2.2, tabla 1, y el anexo C, tabla C.1 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 64 - 4.4 Efecto sobre el Funcionamiento / Rendimiento: Ejemplo: para material rodante − definir las condiciones técnicas y de funcionamiento de lo que en la aplicación se entiende por fallo total, funcionamiento de emergencia 1, funcionamiento de emergencia 2 y fallos sin efecto sobre el funcionamiento. Categoría de Fallo Efecto en la operación * Significativo operación imposible Importante operación de emergencia 1 Menor operación de emergencia 2 Insignificante operación normal Rendimiento Potencia (%) Velocidad (%) 0 0 100 100 Observaciones (.) inf. reducida en pantalla * Definir las condiciones técnicas y de funcionamiento de la aplicación respecto de: − fallo total; − funcionamiento de emergencia 1; − funcionamiento de emergencia 2; − fallos sin efecto sobre el funcionamiento. 5 Mantenimiento y reparación 5.1 Mantenimiento Preventivo: Descripción de la política de mantenimiento y los tipos de Revisión RO-R3 hallados. Ejemplo: material rodante Tipo de Revisión MTBM(.) MTTM(.) R0 R1 R2 R3 MTBM: Tiempo Medio entre Mantenimientos (horas, años o kilómetros) MTTM: Tiempo Medio para Mantenimiento (duración media de la revisión horas o días) Para otras consultas véase el anexo C, tabla C.2 y tabla C.4 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 65 - EN 50126:1999 5.2 Reparación: Descripción de la política de reparación y del apoyo logístico necesario. • especificar el MTTR (Tiempo Medio Para Reparación) del sistema (horas o días). • definir los elementos de tiempo que se incluyen en el MTTR: − tiempo de aviso / desplazamiento; − tiempo de acceso; − tiempo para el suministro de piezas de repuesto (Logística); − tiempo de reparación / sustitución; − tiempo de prueba / arranque; − tiempo de adquisición de datos; – tiempo de espera; • especificar el tiempo de reparación / sustitución y las condiciones de cada unidad reparable (tiempos de reparación / sustitución máximo o medio); • especificar las condiciones mínimas de aprovisionamiento de piezas de repuesto y apoyo logístico. Ejemplo: Unidad Reparable Tiempo medio de Reparación / sustitución Lugar de la Reparación (campo, taller) Número necesario de Operarios de mantenimiento 6. Seguridad 6.1 Objetivos de Seguridad: • describir los objetivos y la política de seguridad de la aplicación (véase el apartado 2.2). 6.2 Condiciones Peligrosas: • identificar y enumerar los peligros que hayan de tenerse en cuenta en la aplicación; • especificar los niveles de probabilidad de los peligros (véase el apartado 4.6.2.2, tabla 2). 6.3 Funciones y Fallos relacionadas con la Seguridad: • identificar y enumerar las funciones relacionadas con la seguridad. (Ejemplo: Frenado) o unidades. (Ejemplo: Freno); • especificar los fallos relacionados con la seguridad en la aplicación correspondiente a cada función relacionada con la seguridad. (Véanse los apartados 4.3.6 y 4.3.7). Ejemplo: material rodante. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 66 - Función / unidad relacionada con la seguridad Especificación del fallo relacionado con la seguridad MTBSF* (años o km) Frenado Puerta del vagón * Véase el anexo C, tabla C.5. • niveles de Gravedad de los peligros para la Seguridad; • definir los niveles aplicables de gravedad de los peligros para la seguridad (véase el apartado 4.6.2.3, tabla 3); • clasificación de Riesgos; Definir la tolerabilidad de los riesgos (véanse los apartados 4.6.3.2 y 4.6.3.3). 7. Disponibilidad La Disponibilidad A del Sistema puede especificarse en partes atribuidas a: • No Disponibilidad planificada (Mantenimiento): 1– AM No Disponibilidad no planificada (Reparación): 1 – AR A = 1 -[(1 - AM) + (1 - AR)] A = MUT / (MUT + MDT); 0 ≤ A ≤ 1 donde MUT = Tiempo Productivo Medio; sustituir según proceda, MTBF, MTBSF, etc. MDT = Tiempo de caída Medio; sustituir según proceda, MTTM, MTTR, etc. MUT y MDT han de definirse para la Disponibilidad específica A (.) Ejemplo: para la Disponibilidad AS del “sistema seguro”, (MUT ≡ MTBSF). El tiempo improductivo resultante d (T) del tiempo de misión T (Ejemplo: 1 año) es: d(T) = (1 –A) × T 7.1 Especificación de la Disponibilidad: • especificar la disponibilidad A del sistema junto con los requisitos de mantenimiento y reparación (punto 5). • se declarará la política de Mantenimiento y Reparación, en la que se basa una cierta Disponibilidad A. 8. Demostración de la ejecución RAMS Definir la demostración de la ejecución RAMS en línea con la fase 9: Validación del sistema, y con la fase 10: Aceptación del sistema. La demostración de la ejecución RAMS se ve facilitada mediante la recopilación de pruebas tales como: • gestión y Organización RAMS; • disponibilidad de recursos RAMS; • especificación de Recursos RAMS; • planes y Programas RAMS; • informes de exámenes relacionados con la RAMS; • informes de análisis RAMS; AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 67 - • registros de Pruebas Realizadas en la RAMS (componentes); • adquisición de Datos de Fallos (Estadísticas); • caso de Seguridad Específico de la Aplicación; • validación y Aceptación del Sistema; • seguimiento del Rendimiento RAMS durante la primera fase de su funcionamiento; • evaluación del Coste del Ciclo de Vida. EN 50126:1999 9. Programa RAMS El proveedor debe elaborar un programa y un plan de seguridad RAM que se considere como el más eficaz para alcanzar los requisitos RAMS para el proyecto. En el anexo B se presenta un programa básico RAMS. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 68 - ANEXO B (Informativo) PROGRAMA RAMS B.1 El presente anexo ofrece un ejemplo de las líneas generales de un procedimiento básico destinado a un programa RAM / plan de seguridad y muestra un ejemplo de un programa básico RAMS (programa RAM / plan de seguridad). Igualmente relaciona algunos métodos y herramientas para la gestión y el análisis RAMS. B.2 El proveedor debería establecer un programa RAMS que facilite eficazmente el cumplimiento de los requisitos RAMS de la aplicación de que se trate. Los programas RAMS de requisitos de proyectos o sistemas similares de un proveedor pueden producir un “programa modelo RAMS” que establezca la “línea básica RAMS” de una compañía. B.3 Procedimiento: A continuación se incluye un ejemplo de las líneas generales de un procedimiento para un Programa RAMS básico. 1. Definir el ciclo de vida adecuado que esté en línea con el proceso de negocio de la compañía. Resultado: Se establecen las fases del ciclo de vida o el proyecto de la compañía. 2. Asignar a cada fase del proyecto las tareas RAM relacionadas con dicha fase y las de seguridad que sean necesarias para cumplir con confianza los requisitos específicos del proyecto y el sistema. Resultado: Se identifican todas las tareas RAMS necesarias en el ciclo de vida. 3. Definir las responsabilidades dentro de la compañía para el desempeño de cada tarea RAMS. Resultado: Se identifican el personal responsable y los necesarios recursos RAMS. 4. Se definen las instrucciones, herramientas y documentos de consulta necesarios para cada tarea RAMS. Resultado: Gestión Documentada RAMS. 5. Las actividades RAMS se ponen en práctica en los procesos de la compañía. Resultado: Gestión RAMS Integrada en Procesos ( la base de RAMS). B.4 Ejemplo del programa básico RAMS: La tabla B.1 contiene unas líneas generales para un Programa Básico RAMS. Las líneas generales consisten en un ejemplo de un conjunto de tareas que podrían aplicarse a un proyecto en concreto. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 69 - EN 50126:1999 Tabla B.1 Ejemplo de Líneas Generales Básicas de un Programa RAMS Fase del Proyecto Preadquisición Estudio de Viabilidad Tareas RAMS Responsable Documento Referencia Evaluar los objetivos RAMS de la aplicación específica − Evaluar los requisitos RAMS − Evaluar datos y experiencia de anteriores RAMS − Identificar la influencia en la Seguridad impuesta por la aplicación específica − Consultar al cliente sobre RAMS (si es necesario) Convocatoria de − Realizar un análisis preliminar RAMS (caso peor) Licitación − Distribución de los requisitos RAMS del sistema (Subsistemas / equipos, otros sistemas relevantes, etc.) − Realizar un análisis de peligros y seguridad del sistema − Realizar análisis de riesgos relacionados con RAM − Preparar futuras evaluaciones de datos RAMS − Comentarios capítulo por capítulo con respecto RAMS Negociaciones − Revisar / actualizar el análisis preliminar RAMS y la distribución del contrato RAMS Tramitación del − Establecer la gestión RAMS específica del proyecto pedido: − Especificar los requisitos RAMS del sistema (global) Definición de − Establecer el programa RAMS (¿es suficiente el programa RAMS los requisitos del estándar?) sistema − Asignar los requisitos RAMS a los subcontratistas, proveedores − Definir el criterio de aceptación RAMS (global) Tramitación del − Análisis de Fiabilidad (FMEA) pedido: − Análisis de Seguridad (FMECA), si es aplicable Diseño e − Análisis de Mantenimiento / reparos; definir la política de manteniImplementación miento / reparación − Análisis de disponibilidad basado en la política de mantenimiento / reparación − Revisiones RAMS − Estimación del coste del ciclo de vida − Demostración RAMS, evidencia de recopilación − FMEA de Diseño / fabricación − Pruebas de fiabilidad y mantenibilidad, si son aplicables Compras − Facilitar la especificación RAMS a subcontratistas / proveedores Fabricación / − Garantía de calidad / garantía de proceso relacionadas con RAMS Realización de pruebas Puesta en − Realizar una demostración RAM servicio / − Elaborar un Caso de Seguridad específico de la Aplicación Aceptación − Poner en marcha la evaluación de datos RAMS − Realización de pruebas RAM durante las primeras etapas de funcionamiento; selección y evaluación de datos Operación / − Operación provisional y mantenimiento (política de Mantenimiento / Mantenimiento reparación) − Formación del personal de operación y mantenimiento − Evaluación de los datos RAMS − Evaluación del coste del ciclo de vida − Revisión de la ejecución AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 70 - B.5 Lista de herramientas: A continuación se relacionan algunos métodos y herramientas adecuados para la dirección y gestión de un programa de RAMS. La elección de la herramienta pertinente dependerá del sistema de que se trate y de la criticidad, complejidad, novedad, etc., del sistema. 1. Un formulario de especificación RAMS en líneas generales: con el fin de garantizar la evaluación de todos los requisitos pertinentes RAMS. (véase el anexo A para un ejemplo). 2. Procedimientos para revisiones formales de diseño: haciendo hincapié en la RAMS y usando algunas listas de comprobación general y específica de la aplicación, según proceda, Ejemplo: IEC 61160 Examen formal del diseño (modificación 1) 3. Procedimientos para realizar análisis RAM “descendentes” (métodos deductivos) y “ascendentes” (métodos inductivos) preliminares, caso más desfavorable y análisis detallado RAM para estructuras simples y complejas de sistemas funcionales: una panorámica de los procedimientos de análisis, métodos, ventajas y desventajas, aportación de datos RAM comúnmente utilizados y otros requisitos correspondientes a las diferentes técnicas se contiene en: IEC 60300-3-1 Gestión del funcionamiento seguro. Parte 3: Guía de aplicación. Sección 1: Técnicas de análisis para el funcionamiento seguro: Guía sobre metodología. Las diferentes técnicas de análisis RAM se describen en varias normas aparte, algunas de las cuales son las siguientes. IEC 60706 Guía sobre la mantenibilidad del equipo. IEC 60706-1 Parte 1: Secciones 1, 2 y 3: Introducción, requisitos y programa de mantenibilidad. IEC 60706-2 Parte 2: Sección 5: Estudios de mantenibilidad durante la fase de diseño. IEC 60706-3 Parte 3: Secciones 6 y 7: Verificación y recogida, análisis y presentación de datos. IEC 60706-4 Parte 4: Sección 8: Planificación del mantenimiento y del apoyo al mantenimiento. IEC 60706-5 Parte 5: Sección 4: Realización de pruebas de diagnóstico. IEC 60706-6 Parte 6: Sección 9: Métodos estadísticos en la evaluación de la mantenibilidad. IEC 60812 Técnicas de análisis para la fiabilidad del sistema. Procedimientos para el análisis de modalidades y efectos de fallos (FMEA). IEC 60863 Presentación de predicciones de fiabilidad, mantenibilidad y disponibilidad. IEC 61025 Análisis del árbol de Fallos (FTA) IEC 61078 Técnicas de análisis de la confiabilidad. Método del diagrama de bloques de la fiabilidad. IEC 61165 Aplicación de las técnicas de Markov. La disponibilidad de datos “RAM” estadísticos confirmables correspondientes a componentes utilizados en un diseño (habitualmente: tasas de fallos, tasas de reparación, datos de mantenimiento, modos de fallos, tasas de sucesos, distribución de datos y sucesos aleatorios, etc. ) es fundamental para el análisis RAM. Por ejemplo: IEC 61709(1996) Componentes electrónicos. Fiabilidad. Condiciones de referencia para la tasa de fallos y modelos de tensión para conversión. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 71 - US MIL HDBK 217 EN 50126:1999 Predicción de Fiabilidad para Sistemas Electrónicos Varios programas informáticos para el análisis RAM del sistema y el análisis de datos estadísticos están igualmente disponibles. 4. Procedimientos para realizar análisis de peligros y riesgos / seguridad. Algunos de éstos se describen en US MIL HDBK 882C Requisitos del programa de seguridad del sistema. US MIL HDBK 764 (MI) Ingeniería de seguridad del sistema. Guía de diseño para material del ejército Las mismas técnicas y métodos de análisis básicos enumerados para la RAM (capítulo 3), son también aplicables al análisis de seguridad / riesgo. Véase igualmente la Norma IEC 61508, Partes 1 a 7, bajo el título general de “Seguridad funcional de sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad”, que consta de las siguientes partes: − Parte 1: Requisitos generales. − Parte 2: Requisitos para sistemas eléctricos / electrónicos / electrónicos programables − Parte 3: Requisitos del software. − Parte 4: Definiciones y abreviaciones. − Parte 5: Ejemplos de métodos para la determinación de niveles de integridad de la seguridad. − Parte 6: Directrices sobre la aplicación de las Partes 2 y 3. − Parte 7: Panorámica de técnicas y medidas. 5. Planes y procedimientos de realización de pruebas RAM: con el fin de probar el comportamiento a largo plazo de componentes, equipos o sistemas, y para demostrar el cumplimiento de los requisitos. Además de ello, los resultados de análisis y pruebas RAMS se utilizan para diseñar programas de mejora RAMS, por ejemplo: IEC 60605 Realización de pruebas de fiabilidad del equipo IEC 60605-1 + A1 Parte 1: Requisitos generales. IEC 60605-2 Parte 2: Diseño de ciclos de pruebas. IEC 60605-3-1 Parte 3: Condiciones preferidas de pruebas. Equipo portátil interior. Grado de simulación bajo. IEC 60605-3-2 Parte 3: Condiciones preferidas de pruebas. Equipo para uso estacionario en lugares protegidos contra la intemperie. Grado de simulación elevado. IEC 60605-3-3 Parte 3: Condiciones preferidas de pruebas. Sección 3: Ciclo de pruebas 3: Equipo para uso estacionario en lugares especialmente protegidos contra la intemperie. Grado de simulación bajo. IEC 60605-3-4 Parte 3: Condiciones preferidas de pruebas. Sección 4: Ciclo de pruebas 4: Equipo para uso portátil y no estacionario. Grado de simulación bajo. IEC 60605-4 + A1 Parte 4: Procedimiento para determinar estimaciones puntuales y límites de confianza para pruebas de determinación de la fiabilidad del equipo. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 72 - IEC 60605-6 Parte 6: Pruebas para la validez de las suposiciones sobre la tasa constante de fallos o la intensidad constante de los fallos. IEC 61014 Programa de crecimiento de la fiabilidad. IEC 61070 Procedimiento de pruebas de conformidad para disponibilidad en estado estacionario. IEC 61123 Realización de pruebas de fiabilidad. Prueba de conformidad para porcentaje de aciertos. De mayor importancia es la evaluación de datos RAMS sobre el terreno (Realización de pruebas RAMS durante el funcionamiento), ejemplo: IEC 60300-3-2 Gestión de la seguridad de funcionamiento. Parte 3: Guía de aplicación. Sección 2: Recogida de datos de seguridad de funcionamiento sobre el terreno. IEC 60319 Presentación de datos de fiabilidad respecto de componentes electrónicos (o partes). 6. Procedimientos / herramientas para realizar análisis de LCC (Coste del Ciclo de vida): Varios programas informáticos están disponibles para el análisis del LCC. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 73 - EN 50126:1999 ANEXO C (Informativo) EJEMPLOS DE PARÁMETROS PARA SISTEMAS FERROVIARIOS A continuación aparecen tabulados ejemplos de parámetros y símbolos típicos, adecuados para su uso en aplicaciones ferroviarias: C.1 Parámetros de fiabilidad: Tabla C.1 Ejemplos de parámetros de fiabilidad PARÁMETRO SÍMBOLO UNIDADES Tasa de Fallo Z(t), λ fallos / tiempo, distancia, ciclo Tiempo Medio Activo MUT tiempo, distancia, ciclo Tiempo Medio para Fallo MTTF tiempo, distancia, ciclo Distancia Media para Fallo (para elementos no reparables) MDTF Tiempo Medio Entre Fallos MTBF Distancia Media Entre Fallos (para elementos reparables) MDBF Probabilidad de Fallo F(t) Sin unidades Fiabilidad (Probabilidad de éxito) R(t) Sin unidades tiempo, distancia, ciclo C.2 Parámetros de mantenibilidad: Tabla C.2 Ejemplos de Parámetros de Mantenibilidad PARÁMETRO SÍMBOLO UNIDADES Tiempo de Caída Medio MDT tiempo, distancia, ciclo Tiempo / Distancia Media Entre Mantenimientos MTBM/MDBM tiempo, distancia, ciclo MTBM / MDBM, Corrector o Preventivo MTBM(c)/MDBM(c), tiempo, distancia, ciclo Tiempo Medio hasta el mantenimiento MTTM tiempo MTTM, Correctivo o Preventivo MTTM(c), MTTM(p) tiempo Tiempo Medio de Reparación MTTR tiempo Tasa de Falsas Alarmas FAR tiempo-1 Cobertura de defecto FC sin unidades Cobertura de Reparo RC sin unidades MTBM(p)/MDBM(p) AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 74 - C.3 Parámetros de disponibilidad: Tabla C.3 Ejemplos de Parámetros de Disponibilidad PARÁMETRO SÍMBOLO Disponibilidad A (.) = MUT/(MUT+MUT) inherente Ai alcanzada Aa operativa Ao UNIDADES sin unidades Disponibilidad de Flota FA (= vehículos / flota disponibles) sin unidades Adherencia al horario SA sin unidades C.4 Parámetros de apoyo logístico: Tabla C.4 Ejemplos de Parámetros de Apoyo Logístico PARÁMETRO SÍMBOLO UNIDADES Coste de Operación y Mantenimiento O&MC dinero Coste de Mantenimiento MC dinero Horas Hombre Mantenimiento MMH tiempo (horas) Retraso Logístico y Administrativo LAD tiempo Tiempo de corrección de defectos tiempo Tiempo de Reparar tiempo Realización de Apoyo a Mantenimiento sin unidades Empleados de Reemplazo EFR sin unidades Probabilidad de existencias de piezas de SPS repuesto cuando se necesiten sin unidades C.5 Parámetros de seguridad: Tabla C.5 Ejemplos de Parámetros de Rendimiento de Seguridad PARÁMETRO SÍMBOLO UNIDADES Tiempo medio Entre Fallos de Peligros MTBF(H) tiempo, distancia, ciclo Tiempo Medio Entre "Fallos del Sistema de Seguridad" MTBSF tiempo, distancia, ciclo Tasa de Peligros H(t) sin unidades Tasa de Fallos relacionados con Seguridad Fs(t) fallos / tiempo, distancia, ciclo Probabilidad de Funcionalidad Segura Ss(t) sin unidades Tiempo de retorno a condiciones de Seguridad TTRS tiempo AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 75 - EN 50126:1999 ANEXO D (Informativo) EJEMPLOS DE ALGUNOS PRINCIPIOS DE ACEPTACIÓN DE RIESGOS NOTA − Los valores que aparecen en este anexo sirven sólo para ilustrar los principios y su finalidad no es la de ser utilizados con ningún otro propósito. D.1 Principio ALARP “Tan Reducido Como Razonablemente Viable” (utilizado en UK) El principio puede representarse mediante el siguiente diagrama: D.1.1 Algunos riesgos son tan grandes y algunos desenlaces tan inaceptables que resultan intolerables y no pueden justificarse por ningún motivo. El límite superior define niveles de riesgo que son intolerables. Si el nivel de riesgo no puede ser reducido por debajo de este límite, entonces no debería llevarse a cabo la operación. D.1.2 El límite inferior del diagrama define la región generalmente aceptable en la que los riesgos se consideran tan reducidos que esforzarse demasiado para reducirlos aún más no estaría probablemente justificado por ningún criterio del ALARP. AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 76 - D.1.3 El área entre los límites superior e inferior se denomina la región ALARP. Debe subrayarse que no es suficiente demostrar que los riesgos estén dentro de la región ALARP. Deben ser, además, tan reducidos como resulte razonablemente viable. Existen varias formas de demostrar el ALARP. Puede ser suficiente mostrar que las mejores normas y prácticas actualmente disponibles estén siendo aplicadas. Para operaciones nuevas, o cuando la idoneidad de las normas y prácticas actuales estuvieran en duda, pueden introducirse los conceptos de análisis de coste – beneficio y del valor de la vida. D.1.4 Hay que examinar el riesgo social cuando existe la posibilidad de una catástrofe que acarree un gran número de víctimas. La aversión contra los grandes accidentes se denomina “Aversión contra el Riesgo Diferencial” (DRA). Esto puede expresarse mediante una pendiente de ( -1 ) en la curva log F –N, siendo F la frecuencia con que sucede (año -1) y N el número de víctimas correspondiente a un suceso. D.2 Principio “Globalement Au Moins Aussi Bon” (GAMAB) (Utilizado en Francia) La formulación completa de este principio es la que sigue: "Todo nuevo sistema de transporte guiado debe ofrecer un nivel de riesgo que sea, globalmente, al menos tan bueno como el que ofrezca cualquier sistema existente equivalente". D.2.1 Esta formulación toma en cuenta lo que se ha hecho e implícitamente exige que se produzca un adelanto en el sistema proyectado, mediante el requisito “al menos”. No considera un riesgo en particular mediante el requisito “globalmente”. El proveedor del sistema de trasporte dispone de libertad para distribuir el reparto entre los diferentes riesgos inherentes al sistema y pone en práctica el enfoque pertinente; es decir, cualitativo o cuantitativo. D.2.2 Cuando se adopta un enfoque cuantitativo, éste puede traducirse de la siguiente forma: 1. Sea τc.ref la fracción (víctima / pasajero) registrada, correspondiente a un determinado número de pasajeros transportados por un sistema de transporte en los últimos años de funcionamiento, las víctimas causada por la colisión de dos trenes. Esta fracción debería ser extraída de las estadísticas del sistema existente y constituir la referencia para el nuevo sistema, que es de la misma naturaleza. 2. Consideremos ahora el nuevo sistema (el de reemplazo). Para este sistema, sea: C = capacidad de un tren (pasajeros / tren) F = frecuencia de los trenes (trenes / hora) r = coeficiente de ocupación media (tren no totalmente lleno) nc = número de víctimas por colisión en este nuevo sistema Dm = capacidad global (pasajeros / hora) = r × C × F Por consiguiente, el número de colisiones efectivamente presenciadas por cada pasajero (col) debe ser: col = (τc.ref / nc) × (colisión / pasajero) Igualmente, la tasa de colisiones del nuevo sistema debe ser más reducida que la del sistema existente: Por consiguiente, λc ≤ col × Dm = (τc.ref / nc) × Dm = τc.ref × (r × C / nc) × F colisión / hora AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 77 - EN 50126:1999 3 Observaciones: − se asume que la proporción de víctimas entre los pasajeros del mismo tren es igual tanto en el sistema existente como en el proyectado: Es decir: nc / r × C = constante; − λc puede ser un requisito exigente para una mala calidad de servicio, especialmente en el caso de un bajo valor de F (frecuencia de los trenes); − la mejora es impulsada por el signo ≤; − el diseñador / proveedor dispone de libertad para repartir λc entre el equipo montado en la vía y el que está montado a bordo. D.3 Principio de Mortalidad Endógena Mínima (MEM) (practicado en Alemania) Este principio se ha establecido de la siguiente forma: 1. La muerte se producirá como resultado de numerosas y diversas causas. A uno de tales grupos de causas se le denomina “hechos tecnológicos”. Por ejemplo: − ocio y deporte (surf, trial, etc.); − actividades del tipo “hágalo usted mismo” (cortar el césped, etc.); − maquinaria laboral; − transporte. No se incluyen las siguientes: − muerte por enfermedad o dolencia; − muerte por malformación congénita. Este grupo da como resultado un determinado tasa de fallecimientos por año que varía de acuerdo con la edad del segmento de población que se tome en cuenta. Este riesgo se denomina “Mortalidad Endógena”, “R”. 2. En países muy desarrollados, R tiene el valor más bajo en el grupo de edades comprendidas entre 5 y 15 años. Este nivel más bajo de Mortalidad Endógena, conocido como “Mortalidad Endógena Mínima”, denotada por “Rm”, ha sido determinado como: Rm = 2 × 10-4 víctimas mortales / persona x año 3. Partiendo de lo anterior se ha formulado la siguiente regla: “Los peligros debidos a un nuevo sistema de transporte no supondrían un aumento señalado de la cifra representada por Rm”. En la práctica, pueden utilizarse las siguientes cifras: R1 ≤ 10-5 víctimas mortales / persona × año R2 ≤ 10-4 heridas graves / persona × año R3 ≤ 10-3 heridas leves / persona × año Este punto de vista es enormemente individualista: la familia de la persona que sufra la desgracia personal no encontrará consuelo alguno en el hecho de que dicha persona haya perecido en una catástrofe de grandes proporciones o en una pequeña. Esto es cierto en cuanto se refiere a los medios actuales de transporte (tren, aeroplano, etc.). Para los sistemas que puedan provocar un gran número de víctimas mortales, se introduce la “Aversión contra el Riesgo Diferencial” (DRA) mediante una pendiente decreciente tal y como se presenta en la siguiente curva: AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. EN 50126:1999 - 78 - AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 79 - EN 50126:1999 ANEXO E (Informativo) RESPONSABILIDADES DENTRO DEL PROCESO RAMS A LO LARGO DE SU CICLO DE VIDA Como directriz general para un proyecto ferroviario típico, lo siguiente es de aplicación: − Los requisitos son habitualmente establecidos por el cliente o por un organismo regulador (legal). − De forma semejante, la aprobación y la aceptación son llevadas a cabo por el cliente o por el organismo regulador. − Las soluciones, sus resultados y verificaciones son normalmente elaboradas o realizadas por el contratista. − Normalmente la validación se realiza de forma conjunta. No obstante, esta regla general depende de la relación legal y contractual existente entre las partes afectadas. Con todo, esta norma requiere que, en cada caso, las responsabilidades de las tareas de las diferentes fases del ciclo de vida se definan y acuerden. La siguiente matriz ofrece un ejemplo de las responsabilidades de un plan típico. Cliente/ Operador Fase de Concepto X x Condiciones de Definición y Aplicación del sistema x Análisis de riesgos x Requisitos del Sistema x Distribución de los requisitos del sistema Autoridad Aprobación Contratista (principal) SubContratista Proveedores x (x) (x) x Diseño e implementación x (x) Fabricación x x Instalación x (x) x (x) Validación del Sistema x x Aceptación del Sistema x x Operación y mantenimiento x (x) (x) Seguimiento de la ejecución x (x) (x) Modificación y realimentación x x x Retirada del Servicio y eliminación x (x) x donde x responsabilidad y participación completa. (x) responsabilidad específica y / o participación parcial (por ejemplo: en condiciones de subcontrato o reserva). AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. a AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. - 81 - UNE-EN 50126 ANEXO NACIONAL (Informativo) Las normas europeas o internacionales que se relacionan a continuación, citadas en esta norma, han sido incorporadas al cuerpo normativo UNE con los códigos siguientes: Norma Europea / Norma Internacional Norma UNE EN 50128 UNE-EN 50128 EN ISO 9001 UNE-EN ISO 9001 IEC 60050-191 UNE 21302-191 IEC 61508 UNE-EN 61508 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. Dirección C Génova, 6 28004 MADRID-España Teléfono 91 432 60 00 AENOR AUTORIZA EL USO DE ESTE DOCUMENTO A IDOM INGENIERIA Y CONSULTORIA,S.A. Fax 91 310 40 32