UNIDAD Nº 17

RAMS - SIL
 Señalamiento y Telecomunicaciones

1. Definición de RAMS

RAMS es la sigla que se forma con las palabras del idioma inglés “Reliability, Availability,
Maintainability and Safety”, que en español sería “Fiabilidad, Disponibilidad, Mantenibilidad
y Seguridad”.

La relación entre RAMS y la calidad del servicio esta dada por la característica del
funcionamiento a largo plazo de un sistema y se consigue mediante la aplicación de conceptos
establecidos de ingeniería, métodos, herramientas y técnicas durante todo el ciclo de vida del
sistema.

LA RAMS de un sistema puede describirse como un indicador cualitativo y cuantitativo de

hasta que punto puede confiarse en que el sistema o los subsistemas o componentes que lo
forman funcionen tal y como se especifica y, a la vez, estén disponibles y sean seguros.

La finalidad de un sistema ferroviario es lograr un nivel definido de tráfico ferroviario en un

tiempo dado y en forma segura. La RAMS describe la confianza con la que el sistema puede
garantizar el logro de dicha finalidad y ejerce una clara influencia sobre la calidad del servicio
prestado al cliente.

2. Normativa Internacional

En el ámbito específico del Señalamiento Ferroviario, el alcance de este concepto se haya

establecido en la siguiente normativa:

EN 50126 : Especificación y demostración de la fiabilidad, la disponibilidad, la

mantenibilidad y la seguridad (RAMS).

EN 50129 : Sistemas de comunicación, señalización y procesamiento.

Sistemas electrónicos relacionados con la seguridad para la
señalización.

EN 50128 : Sistemas de comunicación, señalización y procesamiento.

Software para sistemas de control y protección de ferrocarril.

Total Railway System

EN 50126
Complete Railway (Dependability)
SignallingSystem

EN 50129
(Safety)
Individual Sub-System
EN 50128
(Sofware)

Individual Item of Equipement

Ing. Horacio Faggiani – Versión 1 1

 Señalamiento y Telecomunicaciones

3. Explicación de conceptos RAMS

3.1. Fiabilidad

Fiabilidad es la probabilidad de que un elemento pueda realizar una función requerida

en condiciones determinadas durante un intervalo de tiempo determinado.

Parámetros de fiabilidad

A continuación se señalan los parámetros de Fiabilidad más utilizados:

Parámetro Símbolo Unidades

Tasa de Falla Z(t), λ Fallas / tiempo, distancia, ciclo
Tiempo Medio Activo MUT tiempo, distancia, ciclo
Tiempo Medio para Falla MTTF tiempo, distancia, ciclo
Distancia Media para Falla (para MDTF
elementos no reparables)
Tiempo Medio Entre Fallas MTBF tiempo, distancia, ciclo
Distancia Media Entre Fallas (para MDBF
elementos reparables)
Probabilidad de Falla F(t) Sin unidades
Fiabilidad (probabilidad de éxito) R(t) Sin unidades

1er Falla Falla

MTBF

MTTF tiempo

Ejemplo: El MTBF del ATP de abordo de Subterráneos se pidió que sea como mínimo de
10.000 horas.

Ing. Horacio Faggiani – Versión 1 2

 Señalamiento y Telecomunicaciones

Categorías de Fallas RAM

Categoría de Falla Definición

Una falla que:
Significativa Impide el movimiento del tren o provoca un retraso en el
(Falla inmovilizadora) servicio mayor que un período especificado y/o genera un costo
superior a un nivel especificado
Una falla que:
Importante - debe ser corregida para que el sistema logre su rendimiento
especificado y
(Falla del Servicio)
- no provoca un retraso ni un costo que superen el umbral
mínimo especificado para una falla significativa
Una falla que:
Menor - no impide que un sistema logre su rendimiento especificado y
- no cumple los criterios para ser considerada

3.2. Disponibilidad

Disponibilidad es la capacidad que tiene un producto de hallarse en situación de realizar

una función requerida en condiciones determinadas en un momento dado o durante un
intervalo de tiempo señalado, suponiendo que se faciliten los recursos externos
requeridos.

Parámetros de Disponibilidad

A continuación se señalan los parámetros de Disponibilidad más utilizados:

Parámetro Símbolo Unidades

Disponibilidad A (.) = MUT / (MUT+MUT) Sin unidades
Inherente Ai
alcanzada Aa
operativa Ao
Disponibilidad de Flota FA (=vehículos/flota disponible) Sin unidades
Cumplimiento de horario SA Sin unidades

3.3. Mantenibilidad

Mantenibilidad es la probabilidad de que una acción dada de mantenimiento activo,

correspondiente a un elemento en unas condiciones de utilización dadas, pueda ser
llevada a cabo en un intervalo establecido de tiempo cuando el mantenimiento se realiza
en condiciones establecidas y se utilizan procedimientos y recursos establecidos.

Ing. Horacio Faggiani – Versión 1 3

 Señalamiento y Telecomunicaciones

Mantenimiento es la combinación de todas las acciones técnicas y administrativas, incluidas

las acciones de supervisión, destinadas a mantener un producto en un estado en el que pueda
realizar una función requerida, o a devolverlo a dicho estado.

Parámetros de Mantenibilidad

A continuación se señalan los parámetros de Mantenibilidad más utilizados:

Parámetro Símbolo Unidades

Tiempo / Distancia Media Entre MTBM / MDBM tiempo, distancia, ciclo
Mantenimientos
Tiempo Medio Hasta el Mantenimiento MTTM tiempo
Tiempo Medio de Reparación MTTR tiempo

3.4. Seguridad

Seguridad es la ausencia de riesgo inaceptable de daño.

Parámetros de Rendimiento de Seguridad

A continuación se señalan los parámetros más utilizados:

Parámetro Símbolo Unidades

Tiempo Medio Entre Fallas Peligrosas MTBF(H) tiempo, distancia, ciclo
Tiempo Medio Entre “Fallas del Sistema de MTBSF tiempo, distancia, ciclo
Seguridad”
Tasa de Peligros H(t) Sin unidades
Tasa de Fallas relacionadas con la Seguridad Fs(t) fallas / tiempo, distancia, ciclo
Probabilidad de Funcionalidad Segura Ss(t) Sin unidades
Tiempo de retorno a condiciones de Seguridad TTRS tiempo

Evaluación y aceptación del riesgos

El concepto de riesgo consiste en la combinación de dos elementos:

- la probabilidad de ocurrencia de un suceso o una combinación de sucesos que

conduzca a un peligro, o la frecuencia de tal ocurrencia;

- la consecuencia del peligro

Ing. Horacio Faggiani – Versión 1 4

 Señalamiento y Telecomunicaciones

Probabilidad o Frecuencia con que se dan Sucesos de peligro

Categoría Descripción
Frecuente Es probable que ocurra con frecuencia. El peligro se experimentará
continuamente
Probable Se dará varias veces. Puede esperarse que el peligro ocurra con
frecuencia
Ocasional Es probable que se dé varias veces. Puede esperarse que el peligro ocurra
varias veces
Remoto Es probable que se dé alguna vez en el ciclo de vida del sistema. Puede
razonablemente esperarse que el peligro ocurra
Improbable Es improbable, aunque posible que ocurra. Puede suponerse que el
peligro ocurrirá excepcionalmente
Increíble Es extremadamente improbable que ocurra. Puede suponerse que el
peligro pueda no ocurrir

Nivel de Gravedad del peligro

Nivel de Gravedad Consecuencias para las Personas o Consecuencia para el

el Medio Ambiente Servicio
Catastrófico Víctimas mortales y/o múltiples
heridas graves y/o daños importantes
al medio ambiente
Crítico Una sola víctima mortal y/o herida Pérdida de un sistema
grave y/o daños señalados al medio principal
ambiente
Mínimo Heridas menores y/o peligro señalado Daño grave a sistema o
al medio ambiente sistemas
Insignificante Posible herida menor Daño menor al sistema

La aceptación de riesgos debe basarse en un principio generalmente aceptado. Algunos

ejemplo son los siguiente:

- Tan reducido como razonablemente viable (principio ALARP - Reino Unido)

- Globalement Au Moins Aussi Bon (principio GAMAB - Francia). La formulación

completa de este principio es:
“Todo nuevo sistema de transporte guiado debe ofrecer un nivel de riesgo que sea, al
menos tan bueno como el que ofrezca cualquier sistema equivalente que exista.”

- Mortalidad Endógena Mínima (Principio MEM - Alemania)

Ing. Horacio Faggiani – Versión 1 5

 Señalamiento y Telecomunicaciones

Cabe mencionar por ejemplo, que la forma de determinar si se coloca protección en un paso a
nivel sin barreras en los Estados Unidos, tiene en cuenta la inversión a realizar frente al costo
de los accidentes o muertes que se han sucedido.

Categorías Cualitativas de Riesgos

Categoría de Riesgo Acciones que se han de tomar ante cada categoría

Intolerable Debe eliminarse
No Deseable Sólo debe aceptarse cuando la reducción del riesgo sea
impracticable y con el acuerdo de la Autoridad Ferroviaria o del
Organismo Regulador de la Seguridad, según proceda
Tolerable Aceptable con un control adecuado y con el acuerdo de la
Autoridad Ferroviaria
Insignificante Aceptable con/sin el acuerdo de la Autoridad Ferroviaria

Nivel de Integridad de la Seguridad (Safety Integrity Level - SIL)

La integridad de la seguridad puede concebirse como una combinación de elementos

cuantificables (generalmente asociados con el hardware; es decir, fallas aleatorias) y
elementos no cuantificables (generalmente asociados con fallos sistemáticos de software,
especificación, documentos, procesos, etc.).

La confianza en el logro de la integridad de la seguridad de una función dentro de un sistema

puede obtenerse a través de la aplicación efectiva de una combinación de arquitectura
específica. Métodos, herramientas y técnicas. La integridad de la seguridad guarda correlación
con la probabilidad de fallas para lograr la funcionalidad de seguridad requerida. Las
funciones que tengan mayores requisitos de integridad serán, probablemente, más costosas de
poner en práctica.

Ing. Horacio Faggiani – Versión 1 6

 Señalamiento y Telecomunicaciones

Análisis del árbol de fallas

Genéricamente, el análisis del árbol de fallas puede ser usado por medio de una lógica
deductiva, para desarrollar evaluaciones de riesgo, análisis de fallas sencillas y múltiples y
eventos que afectan la seguridad.

Se utilizan diagramas lógicos basados en símbolos para mostrar las relaciones causa/efecto
entre un evento tope especificado (evento no deseado e inseguro) y todas las causas posibles
que podrían contribuir para su éxito como, por ejemplo, fallas de componentes o
degradación/pérdida de funciones.

Análisis de fallas de modo común

No obstante la redundancia se muestre como una herramienta efectiva de proyecto para

conseguir un aumento de confiabilidad y/o seguridad, se debe siempre analizar la posibilidad
de la incidencia de fallas de modo común, que causen una caída simultánea o secuencial de
los elementos redundantes, o resulte en que tales elementos sean conducidos a situaciones
potencialmente inseguras.

Estimación de MTBF(H)

En diversos casos, es necesario evaluar el grado de seguridad del sistema en estudio a través
de un abordaje probabilístico, expresado en términos de una probabilidad de inseguridad,
MTBF(H) (tiempo medio entre fallas inseguras), etc. Esta evaluación es desarrollada para los
subsistemas a los que no son aplicadas técnicas de concepción de forma intrínseca “Fail-
Safe”, restando, por lo tanto, aquellos elementos a los que no se consigue asegurar con certeza
absoluta el cumplimiento a los requisitos de seguridad.

Generalmente, estos módulos son basados en tecnología a microprocesadores, pudiendo ser

configurados en un contexto redundancia, o dentro de un principio de verificación cruzada de
los elementos (procesador y lógica de verificación) de un módulo.

Una herramienta bastante útil que auxilia en la estimativa del grado de seguridad del sistema
es el modelado de estados (análisis de Markov).

Para el modelado, es importante caracterizar el (los) estados (s) inseguro (s) para el sistema, y
las posibles secuencias para las condiciones de fallas que puedan llevar la disposición a
alcanzar este o estos estados.

La evaluación cuantitativa sobre este modelo es fundamentada en las tasas atribuidas a las
transiciones entre estados (tasas de fallas y reparaciones). Las tasas de fallas asumidas se
basan en los atributos de confiabilidad y mantenimiento asignados a los bloques y en los
criterios adoptados por el Analista para especificar el índice de cobertura de seguridad,
necesarios para los elementos del arreglo.

Seguridad del software

Mientras que el análisis de seguridad de hardware apunta a verificar el comportamiento de los

subconjuntos que integran un sistema delante del evento de fallas de partes, el análisis de
seguridad del software se fundamenta en el estudio de la corrección del programa instalado en

Ing. Horacio Faggiani – Versión 1 7

 Señalamiento y Telecomunicaciones

módulos microprocesados, en la constatación del cumplimiento de los requisitos de seguridad,

en el alcance de los mecanismos de auto-test y en el cumplimiento a las funciones
establecidas en la especificación.

La seguridad de un software está directamente asociada a su confiabilidad que, a su vez, es

función de los defectos y la severidad. Un software “confiable” realiza funciones establecidas,
sin falla, durante el transcurrir del tiempo.

Mientras tanto, el concepto de confiabilidad para el software es diferente del de hardware, una
vez que, el primero no degrada con el tiempo, sea por el uso o por condiciones ambientales,
pero su comportamiento lógico puede ser alterado como resultado de una variedad de
circunstancias; entre ellas se citan:

 Defectos en el código (por ejemplo, error de digitación, proyecto, no conformidad con la

especificación, etc.);
 Defectos en las interfaces con otro código (por ejemplo, transferencia de datos con
protocolos incoherentes);
 Defectos de operación que pueden causar alteraciones en un código “libre de errores”
(de forma más genérica, errores en un programa pueden llevar a defectos en la ejecución
de otro programa).

4. Consideraciones sobre procesos garantía de RAMS en Enclavamientos Electrónicos

Ejemplos de referencia de Fiabilidad:

Una cabina de enclavamiento electrónico puede tener 1 avería/año

En el ámbito de una estación (12 km.) puede haber 1 avería/mes
Periodo de seguimiento y control: De 1 a 2 años para conocer el comportamiento de un
enclavamiento electrónico

Ejemplos de referencia de Disponibilidad:

Cada avería de señalización afecta a 1,7 trenes y supone 20 minutos de retrasos

Utilización de sistemas 2 de 3 en los enclavamientos electrónicos
Utilización de rutas alternativas de comunicaciones, doble energía, etc.,
Periodo de seguimiento y control: Varios años para un enclavamiento electrónico (caída total)

Ejemplos de referencia de Mantenibilidad:

Tiempo de reparación de una avería del orden de 1 hora

Utilización de sistemas de diagnosis para ayuda al mantenimiento
Periodo de seguimiento y control: De 1 a 2 años para un enclavamiento electrónico

Ejemplos de referencia de Seguridad:

La Tasa de Fallas Tolerable para la seguridad (THR) para un sistema de señalización está
establecida en 10-8 a 10-9 fallos por hora (SIL 4).
Periodo de seguimiento y control: 100.000 años para tener un fallo contra la seguridad en un
enclavamiento

Ing. Horacio Faggiani – Versión 1 8

 Señalamiento y Telecomunicaciones

El seguimiento durante 1 ó 2 años de un enclavamiento electrónico puede ser significativo

para conocer y predecir su comportamiento respecto a los requisitos de Fiabilidad,
Disponibilidad y Mantenibilidad (RAM) al igual que ocurre en otros procesos industriales.

El comportamiento durante 1 año respecto a la seguridad de un enclavamiento electrónico no

es significativo y por lo tanto es necesario definir y controlar procesos que garanticen la
Seguridad de las instalaciones de señalización en todo el ciclo de vida útil de las mismas.

Procesos que garantizan la Seguridad

Respecto de los Productos:

 Proceso de Diseño según normativa CENELEC (EN50126, EN50128, EN50129,

EN50159)
 Dossier de Seguridad genérico del sistema
 Dossier de Seguridad específico de cada instalación
 Proceso de aceptación para su uso por el Administrador del Ferrocarril
 Instalación y pruebas de un prototipo en vía
 Seguimiento y control durante 1 ó 2 años con responsabilidad en la explotación
(Aceptación Provisional/Definitiva)
 Proceso de seguimiento de las actualizaciones del producto
 Dossier de seguridad genérico de las actualizaciones o modificaciones

Respecto de los Ciclos de Explotación:

 Procesos de instalación y de mantenimiento correctivo y preventivo (certificación

ISO 9001 de todas las actividades de Señalización relativas a estos procesos)
 Procesos de explotación (certificación ISO 9001 de sus actividades. Seguimiento y
control de No Conformidades relativas a diseño o que afecten a la seguridad)

Respecto de los Proveedores:

 Proceso de Clasificación de Proveedores:

 Proceso establecido para diferentes subsectores
 Exigencia de productos e ingeniería propios para subsectores críticos con la seguridad

Proceso de aceptación de un Enclavamiento Electrónico

Regulación contractual del proceso

 Petición formal por parte del suministrador

 Establecimiento de requisitos (proyecto)
 Establecer un Contrato de colaboración Administrador Ferroviario/Suministrador

Fase de pruebas en fabrica

 Pruebas funcionales en la que participan el Administrador y el Suministrador

Ing. Horacio Faggiani – Versión 1 9

 Señalamiento y Telecomunicaciones

Fase de simulación en campo

 Instalación del nuevo enclavamiento en campo sin responsabilidad en la explotación,

en paralelo con otro enclavamiento de relés
 Indicaciones reales, mandos simulados, y registro comparativo de ambos
enclavamientos
 Seguimiento del funcionamiento

Fase de funcionamiento en paralelo

 Se mantienen las indicaciones reales igual que en la fase anterior

 Se realiza una intervención en los mandos reales para dar información de los mismos
al enclavamiento electrónico
 Las salidas del enclavamiento electrónico van a registrador/comparador

Fase de puesta en servicio con posible reposición

 El enclavamiento electrónico se responsabiliza de la explotación

 Posibilidad de retorno al enclavamiento de relés
 Seguimiento del comportamiento

Fase de puesta en servicio definitiva

 El enclavamiento electrónico se responsabiliza de la explotación

 Desmontaje del enclavamiento de relés

Seguimiento para su aceptación

 Seguimiento de 1 a 2 años (Aceptación Provisional/Definitiva)

 Seguimiento de las modificaciones en el diseño o nuevas funcionalidades

Documentación e informe final

 Establecimiento del dossier de seguridad genérico

 Establecer el dossier de seguridad especifico

Clasificación del proveedor

 Actualización de las condiciones del suministrador como proveedor clasificado

Pruebas - Verificación - Validación

La incorporación de electrónica y lógica programable en los sistemas de señalamiento ha

obligado a revisar y reestructurar los programas de prueba que durante un largo período se
aplicaron a los sistemas convencionales de tecnología electromecánica (All relay
interlocking).

En los sistemas electromecánicos el encaminamiento de las pruebas era sencillo. Por una
parte la calidad de los componentes eran certificadas por sus proveedores, ya que existen (y

Ing. Horacio Faggiani – Versión 1 10

 Señalamiento y Telecomunicaciones

existían) normas claras según la tecnología de origen (AREMA – DIN – JIS – BS),
limitando los ensayos al conjunto de componentes que constituían el sistema. En general las
verificaciones se circunscribían al cumplimiento de las tablas de pasajes o rutas y las tablas
de enclavamiento. Además, los organismos de control gubernamentales emitían
regulaciones no solo operativas, sino también normas técnicas de aplicación obligatoria
(FRA – DB – BR – JNR – etc).

En una primera etapa los sistemas de operación de tecnología electrónica se rigieron por
métodos análogos a los convencionales, pero rápidamente se comprobó que los mismos no
satisfacían los requisitos propuestos y ello desde un origen, se debió dar valor legal al
vocabulario utilizado.

Dos términos de singular importancia son “verificación” y “validación” (en inglés,

“verification” & “validation”). Ambos términos están específicamente definidos en las
normas ANSI/IEEE 729 y 1012 respectivamente.

a) Verificación. Es el proceso para determinar si en una fase del desarrollo de un

producto, este cumple, o no, con los requerimientos establecidos en la fase anterior.

b) Validación. Es el proceso de evaluación del producto al fin de su desarrollo a fin de

asegurar el cumplimiento de lo requerido.

En términos generales se pueden resumir las definiciones como, Verificación: es un proceso

para determinar si hemos construido el sistema en forma correcta y Validación: si hemos
construido el sistema correcto.

Los criterios asociados al producto y su aplicación pueden resumirse a través de seis

pruebas rigurosas:

1. Verificación del diseño del producto – Comprueba que el sistema de control operativo y
su hardware asociado opera de manera segura ante la presencia de una o todas las fallas
potenciales.

2. Validación del diseño del producto – Comprueba que el sistema de control ejecuta la
lógica de enclavamiento específico de acuerdo a los requisitos de seguridad del cliente.

3. Verificación de las reglamentaciones – Comprueba que el diseño de las lógicas de control

cumple con las reglamentaciones.

4. Verificación del conjunto de lógica – Comprueba que las reglamentaciones de la lógica

de control son correctas y corresponden al sistema instalado.

5. Verificación de la configuración en servicio – Comprueba que la instalación no ha sido

afectada por fallas, mantenimiento incorrecto u otros factores.

6. Verificación del sistema en sitio – Comprueba la integridad y que el funcionamiento de

las interfases fuera del sistema vital no están comprometidas.

Ing. Horacio Faggiani – Versión 1 11