1 系统安全要求
1.1
安全标准
卖方必须遵照以下国际标准(最近版)的规定及要求:
? EN50126 “Railway applications – The specification and demonstration of
Reliability, Availability, Maintainability and Safety (RAMS) ? EN50128:“Railway Applications – Communications, signaling and
processing systems – Software for railway control and protection systems” ? EN50129:“Railway Applications – Communications, signaling and
processing systems – Safety related electronic systems for signaling”
1.2 隐患分析 (Hazard Analysis)及隐患登记册(Hazard Log)
1.2.1 隐患分析是针对系统的潜在隐患进行系统的分析、在工程项目的适当阶段应用的一种安全分析技术,开展隐患分析的目的是作出优化系统安全的变更。 1.2.2 设计过程中,卖方需参照买方提供的主隐患清单(附件2)开展初步隐患分析、系统/子系统隐患分析、接口隐患分析及操作和支持隐患分析。卖方须将各个隐患分析的结果纳入隐患登记册,提交买方审查,并定期更新。
(a) 初步隐患分析:在项目早期、系统设计开始前开展的隐患分析,用以识别系统可能涉及和需要控制的潜在隐患,并引出系统设计过程中需要执行的措施以消除或减轻相关隐患。
(b) 系统/子系统隐患分析:其目的是识别和分析与子系统和部件设计相关的潜在隐患,包括与子系统架构、部件失效、人因错误等相关的隐患,并引出相应的隐患消除或减轻措施。
(c) 接口隐患分析:通过识别和分析与系统、子系统内部以及外部接口相关的潜在隐患,引出系统和相关接口系统需要执行的隐患消除或减轻措施。
(d) 操作和支持隐患分析:通过识别和分析在系统/设备的制造、安装、测试、运输、储存、培训、运营和维修等过程中与人员和程序相关的潜在隐患,并引出需要执行的隐患消除或减轻措施。 1.2.3 隐患和可操作性研究(HAZOPS)
1
卖方在设计过程中,特别是系统设计早期,须开展正式的隐患和可操作性研究(Hazard and Operability Study, HAZOPS),以识别潜在隐患并提出适合的隐患控制措施。卖方须邀请买方及各相关方参加隐患和可操作性研究会议。HAZOPS会议开展前,卖方须提交HAZOP研究计划,制定研究范围、目的、方法和程序并提交买方审批。卖方须对HAZOPS会议进行总结并提交HAZOPS报告。卖方须将HAZOPS会议中识别的潜在隐患记录在隐患登记册中。
1.2.4 卖方在设计、开发、生产及测试阶段,须考虑有关隐患及其减轻措施,并将有关的减轻措施纳入系统设计、开发、生产及测试内。隐患的范围须涵盖系统、接口、运营和维护等方面。
1.2.5 所有隐患须按买方制定的风险矩阵 (参照附件4) 进行风险等级评估。各风险等级的处理如下:
? 被评估为R1或R2风险等级的所有隐患事项,必须尽快通过设计方法将
风险减轻至R3或R4等级。只在没有可行的设计办法下,才可考虑运营、维修程序或为运营及维修员工提供培训等方法来解决。
? 买方将不接受剩余风险被评为R1等级的隐患事项。卖方可要求买方批准
特许剩余风险为R2的隐患事项;在该等级情况下,必须连同有关理由向买方正式申请,并由买方审核批准。
? 对于R3等级的隐患事项,卖方认为此项目的风险已是“最低实际可行”
(As Low As Reasonably Practicable, ALARP)时,须向买方提出证据。但若实际可行并符合成本效益时,卖方仍须寻求机会将该类隐患事项减低至R4等级;
? 风险评级为R4的隐患事项均在可接受范围内。在正常情况下,不需采取
额外减轻措施。
1.2.6 卖方须依照由买方所提供的标准格式完成隐患登记册(附件3),将所有隐患记录在隐患登记册内,定期更新(至少每两个月)隐患识别、预防/减轻措施的相关数据及进度,并同时提交正式隐患登记册报告和EXCEL版本给买方审查。 1.2.7 接口隐患
卖方或其它接口承包商识别的接口隐患应通过附件5中规定的接口隐患措施
2
表来管理。接口隐患措施表识别接口隐患的管控单位以及卖方和接口承包商需要执行的隐患减轻措施。卖方应在隐患登记册中记录接口隐患措施表的编号,并确保各接口隐患关联方已知晓此隐患。必要时,卖方应组织技术协调会,以澄清或讨论接口隐患的管控责任和细节。卖方应将最终经接口方签字并已关闭的接口隐患措施表提交买方。
1.2.8 隐患的关闭 (Hazard Close Out)
1.2.9 1.2.8.1 针对设计或安装控制的减轻措施,卖方须根据以下原则定期检查隐患登记册上的隐患解决工作的进度:
? 设计完成前,必须解决所有需要做出设计变更的隐患事项; ? 开始施工前,必须解决所有R1及R2的隐患事项;
? 开始进行受安装隐患事项影响的工作前,必须实施控制安装隐患事项的所
有减轻措施。
1.2.10 1.2.8.2 运营及维护过程隐患事项的减轻措施控制:在试运营阶段开始前,卖方须以适当程序结束所有需要特定运营及维护过程控制的运营隐患事项,且必须得到买方的同意。
1.3 安全原则及规范要求的符合性评估(Deterministic Safety Assessment)
1.3.1 在设计完成前,卖方须根据系统的设计特点或安全要求,识别其相关的潜在隐患,并列举将会被采用的设计、运营安全原则、工业守则或法规,以评估系统设计是否符合相关的安全要求或设计特点。
1.3.2 卖方须依照附件6所显示的标准格式进行安全原则及规范要求的符合性评估并提交报告。
1.3.3 已识别的安全要求或功能,须进行安全验证,以证明系统/设备的设计符合所需的安全功能或标准。安全验证应包括于安全关键设备的型式试验(type tests)和调试试验(commissioning tests)中。在试运营前,卖方须完成全部安全验证工作,并确认完全符合所需的安全功能或标准。
1.4 量化风险评估(QRA)
3
1.4.1 对下列情况,卖方须应用量化风险评估进行隐患分析,以证明相关隐患的剩余风险被控制在R3或R4的范围。
? 初始风险被评为R1或R2等级,及 ? 会引至乘客/员工死亡的隐患事项。
1.4.2 卖方须通过故障树和/或事件树的形式开展量化风险分析,分析报告须于最后设计阶段提交给买方审批。
1.4.3 故障树分析(FTA, Fault Tree Analysis)
开展故障树分析时,卖方需依据IEC 61025或其它通用性标准。 卖方可以使用商用分析软件(如Isograph, Relex等)以减轻计算的工作量。卖方须给出顶事件的最小割集,并确保硬件、软件、共因故障、人为因素及环境因素等被包括在分析内。
1.4.4 事件树分析(ETA, Event Tree Analysis)
卖方在进行量化风险评估时,需应用事件树分析来评估复杂系统 (例如:具有冗余设计、故障监测与保护设计的系统) 的所有潜在后果。人为因素及环境因素等影响需包括在分析内。
1.4.5 卖方可参考附件7中给出的典型事故发生概率、影响后果以及人因错误发生概率,卖方应确保将适用的事件引入其量化风险分析建模中。经买方批准的前提下,卖方可参考相似系统的运营数据及安全记录,引入其它相关事件及其发生概率以支持其分析工作。
1.5
安全关键项清单
1.5.1 卖方应根据隐患识别和分析的结果,制定安全关键项清单(SCIL), 必要时,卖方应确保其SCIL包含其它系统承包商分析和识别出的属卖方供货范围内的安全关键项。安全关键项清单是隐患登记册的补充但不是代替,与隐患登记册一样,安全关键项清单也是一个“动态的”文件。卖方须依据附件8规定的标准格式完成安全关键项清单。
1.5.2 安全关键项的评估准则如下,卖方可建议其它评估准则并提请买方批准:
4
(a) 导致“严重的”或以上后果,或初始风险等级为R1或R2的事件; (b) 单一故障导致“严重的”或以上后果的部件或组件; (c) 单一故障导致初始风险等级为R1或R2的部件或组件; (d) 双重故障导致“危急的”或以上后果的部件或组件; (e) 三重故障导致“重大的” 或以上后果的部件或组件; (f) 历史使用经验不是很充分的安全产品; (g) 有储存时间限制的安全产品。 1.6
系统安全报告
卖方应在最后设计阶段制订和提交初步系统安全报告,并按合同要求在余下阶段更新。系统安全报告须依照EN50126和EN50129中对“Safety Case”的要求编写。
5