无线通信系统安全需求

1系统安全要求

1.1安全标准

卖方必须遵照以下国际标准（最近版）的规定及要求：

EN50126 “Railway applications –The specification and demonstration of Reliability，Availability，Maintainability and Safety （RAMS） EN50128：“Railway Applications –Communications, signaling and processing systems – Software for railway control and protection systems”

EN50129：“Railway Applications –Communications, signaling and processing systems – Safety related electronic systems for signaling”

1.2隐患分析（Hazard Analysis）及隐患登记册（Hazard Log）

1.2.1 隐患分析是针对系统的潜在隐患进行系统的分析、在工程项目的适当阶段应用的一种安全分析技术，开展隐患分析的目的是作出优化系统安全的变更。

1.2.2 设计过程中，卖方需参照买方提供的主隐患清单(附件2)开展初步隐患分析、系统/子系统隐患分析、接口隐患分析及操作和支持隐患分析。卖方须将各个隐患分析的结果纳入隐患登记册，提交买方审查，并定期更新。

(a) 初步隐患分析：在项目早期、系统设计开始前开展的隐患分析，用以识别系统可能涉及和需要控制的潜在隐患，并引出系统设计过程中需要执行的措施以消除或减轻相关隐患。

(b) 系统/子系统隐患分析：其目的是识别和分析与子系统和部件设计相关的潜在隐患，包括与子系统架构、部件失效、人因错误等相关的隐患，并引出相应的隐患消除或减轻措施。

(c) 接口隐患分析：通过识别和分析与系统、子系统内部以及外部接口相关的潜在隐患，引出系统和相关接口系统需要执行的隐患消除或减轻措施。

(d) 操作和支持隐患分析：通过识别和分析在系统/设备的制造、安装、测试、运输、储存、培训、运营和维修等过程中与人员和程序相关的潜在隐患，并引出需要执行的隐患消除或减轻措施。

1.2.3 隐患和可操作性研究(HAZOPS)

卖方在设计过程中，特别是系统设计早期，须开展正式的隐患和可操作性研究(Hazard and Operability Study, HAZOPS)，以识别潜在隐患并提出适合的隐患控制措施。卖方须邀请买方及各相关方参加隐患和可操作性研究会议。HAZOPS会议开展前，卖方须提交HAZOP研究计划，制定研究范围、目的、方法和程序并提交买方审批。卖方须对HAZOPS会议进行总结并提交HAZOPS报告。卖方须将HAZOPS会议中识别的潜在隐患记录在隐患登记册中。

1.2.4 卖方在设计、开发、生产及测试阶段，须考虑有关隐患及其减轻措施，并将有关的减轻措施纳入系统设计、开发、生产及测试内。隐患的范围须涵盖系统、接口、运营和维护等方面。

1.2.5 所有隐患须按买方制定的风险矩阵(参照附件4) 进行风险等级评估。各风险等级的处理如下：

被评估为R1或R2风险等级的所有隐患事项，必须尽快通过设计方法将风险减轻至R3或R4等级。只在没有可行的设计办法下，才可考虑运营、

维修程序或为运营及维修员工提供培训等方法来解决。

买方将不接受剩余风险被评为R1等级的隐患事项。卖方可要求买方批准特许剩余风险为R2的隐患事项；在该等级情况下，必须连同有关理由向

买方正式申请，并由买方审核批准。

对于R3等级的隐患事项，卖方认为此项目的风险已是“最低实际可行”

(As Low As Reasonably Practicable, ALARP)时，须向买方提出证据。但若

实际可行并符合成本效益时，卖方仍须寻求机会将该类隐患事项减低至

R4等级；

风险评级为R4的隐患事项均在可接受范围内。在正常情况下，不需采取额外减轻措施。

1.2.6 卖方须依照由买方所提供的标准格式完成隐患登记册(附件3)，将所有隐患记录在隐患登记册内，定期更新（至少每两个月）隐患识别、预防/减轻措施的相关数据及进度，并同时提交正式隐患登记册报告和EXCEL版本给买方审查。

1.2.7 接口隐患

卖方或其它接口承包商识别的接口隐患应通过附件5中规定的接口隐患措施

表来管理。接口隐患措施表识别接口隐患的管控单位以及卖方和接口承包商需要执行的隐患减轻措施。卖方应在隐患登记册中记录接口隐患措施表的编号，并确保各接口隐患关联方已知晓此隐患。必要时，卖方应组织技术协调会，以澄清或讨论接口隐患的管控责任和细节。卖方应将最终经接口方签字并已关闭的接口隐患措施表提交买方。

1.2.8 隐患的关闭（Hazard Close Out）

1.2.9 1.2.8.1 针对设计或安装控制的减轻措施，卖方须根据以下原则定期检查隐患登记册上的隐患解决工作的进度：

设计完成前，必须解决所有需要做出设计变更的隐患事项；

开始施工前，必须解决所有R1及R2的隐患事项；

开始进行受安装隐患事项影响的工作前，必须实施控制安装隐患事项的所有减轻措施。

1.2.10 1.2.8.2 运营及维护过程隐患事项的减轻措施控制：在试运营阶段开始前，卖方须以适当程序结束所有需要特定运营及维护过程控制的运营隐患事项，且必须得到买方的同意。

1.3安全原则及规范要求的符合性评估（Deterministic Safety Assessment）

1.3.1 在设计完成前，卖方须根据系统的设计特点或安全要求，识别其相关的潜在隐患，并列举将会被采用的设计、运营安全原则、工业守则或法规，以评估系统设计是否符合相关的安全要求或设计特点。

1.3.2 卖方须依照附件6所显示的标准格式进行安全原则及规范要求的符合性评估并提交报告。

1.3.3 已识别的安全要求或功能，须进行安全验证，以证明系统/设备的设计符合所需的安全功能或标准。安全验证应包括于安全关键设备的型式试验（type tests）和调试试验（commissioning tests）中。在试运营前，卖方须完成全部安全验证工作，并确认完全符合所需的安全功能或标准。

1.4量化风险评估（QRA）