无线通信系统安全需求

《无线通信系统安全需求》由会员分享，可在线阅读，更多相关《无线通信系统安全需求（18页珍藏版）》请在装配图网上搜索。

1、1 系统安全要求1.1 安全标准卖方必须遵照以下国际标准(最近版)的规定及要求： EN50126 “Railway applications - The specification and demonstration of Reliability， Availability， Maintainability and Safety (RAMS) EN50128 : “ Railway Applications Communications, signaling and processing systems Software for railway control and protection s

2、ystems EN50129 : “ Railway Applications Communications, signaling and processing systems Safety related electronic systems for signaling 1.2隐患分析 (Hazard Analysis)及隐患登记册(Hazard Log)1.2.1 隐患分析是针对系统的潜在隐患进行系统的分析、在工程项目的适当阶段 应用的一种安全分析技术，开展隐患分析的目的是作出优化系统安全的变更。1.2.2 设计过程中，卖方需参照买方提供的主隐患清单(附件 2)开展初步隐患分 析、系统/子

3、系统隐患分析、接口隐患分析及操作和支持隐患分析。卖方须将各个 隐患分析的结果纳入隐患登记册，提交买方审查，并定期更新。(a) 初步隐患分析：在项目早期、系统设计开始前开展的隐患分析，用以识别 系统可能涉及和需要控制的潜在隐患，并引出系统设计过程中需要执行的措施以 消除或减轻相关隐患。(b) 系统/子系统隐患分析：其目的是识别和分析与子系统和部件设计相关的 潜在隐患，包括与子系统架构、部件失效、人因错误等相关的隐患，并引出相应 的隐患消除或减轻措施。(c) 接口隐患分析：通过识别和分析与系统、子系统内部以及外部接口相关的 潜在隐患，引出系统和相关接口系统需要执行的隐患消除或减轻措施。(d) 操作

4、和支持隐患分析：通过识别和分析在系统/设备的制造、安装、测试、 运输、储存、培训、运营和维修等过程中与人员和程序相关的潜在隐患，并引出 需要执行的隐患消除或减轻措施。1.2.3 隐患和可操作性研究(HAZOPS)卖方在设计过程中，特别是系统设计早期，须开展正式的隐患和可操作性研究（Hazard and Operability Study, HAZOPS），以识别潜在隐患并提出适合的隐患控 制措施。卖方须邀请买方及各相关方参加隐患和可操作性研究会议。HAZOPS会 议开展前，卖方须提交HAZOP研究计划，制定研究范围、目的、方法和程序并提 交买方审批。卖方须对 HAZOPS 会议进行总结并提交

5、HAZOPS 报告。卖方须将 HAZOPS 会议中识别的潜在隐患记录在隐患登记册中。1.2.4 卖方在设计、开发、生产及测试阶段，须考虑有关隐患及其减轻措施，并 将有关的减轻措施纳入系统设计、开发、生产及测试内。隐患的范围须涵盖系统、 接口、运营和维护等方面。1.2.5 所有隐患须按买方制定的风险矩阵 （参照附件4） 进行风险等级评估。各风 险等级的处理如下：被评估为R1或R2风险等级的所有隐患事项，必须尽快通过设计方法将 风险减轻至R3或R4等级。只在没有可行的设计办法下，才可考虑运营、 维修程序或为运营及维修员工提供培训等方法来解决。买方将不接受剩余风险被评为R1等级的隐患事项。卖方可要求

6、买方批准 特许剩余风险为R2的隐患事项；在该等级情况下，必须连同有关理由向 买方正式申请，并由买方审核批准。对于R3等级的隐患事项，卖方认为此项目的风险已是“最低实际可行”（As Low As Reasonably Practicable, ALARP ）时，须向买方提出证据。但若 实际可行并符合成本效益时，卖方仍须寻求机会将该类隐患事项减低至 R4 等级；A 风险评级为R4的隐患事项均在可接受范围内。在正常情况下，不需米取 额外减轻措施。1.2.6 卖方须依照由买方所提供的标准格式完成隐患登记册（附件3），将所有隐患 记录在隐患登记册内，定期更新（至少每两个月）隐患识别、预防/减轻措施的相

7、关数据及进度，并同时提交正式隐患登记册报告和EXCEL版本给买方审查。1.2.7 接口隐患卖方或其它接口承包商识别的接口隐患应通过附件 5 中规定的接口隐患措施 表来管理。接口隐患措施表识别接口隐患的管控单位以及卖方和接口承包商需要 执行的隐患减轻措施。卖方应在隐患登记册中记录接口隐患措施表的编号，并确 保各接口隐患关联方已知晓此隐患。必要时，卖方应组织技术协调会，以澄清或 讨论接口隐患的管控责任和细节。卖方应将最终经接口方签字并已关闭的接口隐 患措施表提交买方。1.2.8 隐患的关闭 (Hazard Close Out)1.2.9 1.2.8.1 针对设计或安装控制的减轻措施，卖方须根据以下

8、原则定期检查隐 患登记册上的隐患解决工作的进度：设计完成前，必须解决所有需要做出设计变更的隐患事项；开始施工前，必须解决所有R1及R2的隐患事项；开始进行受安装隐患事项影响的工作前，必须实施控制安装隐患事项的所有减轻措施。1.2.10 1.2.8.2 运营及维护过程隐患事项的减轻措施控制：在试运营阶段开始前， 卖方须以适当程序结束所有需要特定运营及维护过程控制的运营隐患事项，且必 须得到买方的同意。1.3安全原则及规范要求的符合性评估(Deterministic Safety Assessment)1.3.1 在设计完成前，卖方须根据系统的设计特点或安全要求，识别其相关的潜 在隐患，并列举将会

9、被采用的设计、运营安全原则、工业守则或法规，以评估系 统设计是否符合相关的安全要求或设计特点。1.3.2 卖方须依照附件 6所显示的标准格式进行安全原则及规范要求的符合性评 估并提交报告。1.3.3 已识别的安全要求或功能，须进行安全验证，以证明系统/设备的设计符合 所需的安全功能或标准。安全验证应包括于安全关键设备的型式试验(type tests) 和调试试验(commissioning tests )中。在试运营前，卖方须完成全部安全验证工 作，并确认完全符合所需的安全功能或标准。1.4 量化风险评估( QRA)1.4.1 对下列情况，卖方须应用量化风险评估进行隐患分析，以证明相关隐患的

10、剩余风险被控制在 R3 或 R4 的范围。 初始风险被评为R1或R2等级，及 会引至乘客/员工死亡的隐患事项。1.4.2 卖方须通过故障树和/或事件树的形式开展量化风险分析，分析报告须于最 后设计阶段提交给买方审批。1.4.3 故障树分析( FTA, Fault Tree Analysis)开展故障树分析时，卖方需依据 IEC 61025或其它通用性标准。 卖方可以使 用商用分析软件(如 Isograph, Relex 等)以减轻计算的工作量。卖方须给出顶事件 的最小割集，并确保硬件、软件、共因故障、人为因素及环境因素等被包括在分 析内。1.4.4 事件树分析(ETA, Event Tree

11、Analysis)卖方在进行量化风险评估时，需应用事件树分析来评估复杂系统 (例如：具 有冗余设计、故障监测与保护设计的系统) 的所有潜在后果。人为因素及环境因素 等影响需包括在分析内。1.4.5 卖方可参考附件7中给出的典型事故发生概率、影响后果以及人因错误发 生概率，卖方应确保将适用的事件引入其量化风险分析建模中。经买方批准的前 提下，卖方可参考相似系统的运营数据及安全记录，引入其它相关事件及其发生 概率以支持其分析工作。1.5 安全关键项清单1.5.1 卖方应根据隐患识别和分析的结果，制定安全关键项清单(SCIL),必要时, 卖方应确保其SCIL包含其它系统承包商分析和识别出的属卖方供货

12、范围内的安全 关键项。安全关键项清单是隐患登记册的补充但不是代替，与隐患登记册一样， 安全关键项清单也是一个“动态的”文件。卖方须依据附件8规定的标准格式完 成安全关键项清单。1.5.2 安全关键项的评估准则如下，卖方可建议其它评估准则并提请买方批准：(a) 导致“严重的”或以上后果，或初始风险等级为 R1 或 R2 的事件；(b) 单一故障导致“严重的”或以上后果的部件或组件；(c) 单一故障导致初始风险等级为 R1 或 R2 的部件或组件；(d) 双重故障导致“危急的”或以上后果的部件或组件；(e) 三重故障导致“重大的” 或以上后果的部件或组件；(f) 历史使用经验不是很充分的安全产品；

13、(g) 有储存时间限制的安全产品。1.6 系统安全报告卖方应在最后设计阶段制订和提交初步系统安全报告，并按合同要求在余下阶段更新。系统安全报告须依照EN50126和EN50129中对“Safety Case”的要求编写。附件 1 无线通信系统安全文件提交列表项目.所需工作/文件工程阶段设计制造及安装测试及启动试运营/质保 期初步最后安全管理相关工作1HAZOP研究计划和报告呈交呈交2安全原则及规范要求的符合性评估呈交更新更新更新3量化风险评估呈交4安全关键项清单呈交更新更新更新5隐患登记册呈交更新更新更新更新6系统安全报告呈交更新更新附件 2 主隐患清单(Generic High Level

14、Hazard List)隐患类别隐患类别主隐患编号隐患情景FR失火(Fire)FR01站台失火FR02综合入口失火（出入口）FR03站厅失火FR04车站商店（如有）失火FR05机房/旅客止步区/附属建筑物失火FR06隧道/轨旁/高架桥/高架范围失火FR07车务控制中心失火FR08车站控制室失火FR09车辆段失火FR10列车失火FR11站台轨旁失火FR12主变电站失火PO有毒物料/气体 (Poisoning Material or Gas)PO01列车上释出有毒/有害物料PO02车站内释出有毒/有害物料PO03车辆段内释出有毒/有害物料PO04旅客止步区/机房/附属建筑物内释出有 毒/有害物料P

15、O05隧道内释出有毒/有害物料PO06排烟/有害气体积聚PO07主变电站释出有毒/有害气体PO08车务控制中心释出有毒/有害气体EP爆炸(Explosion)EP01车站爆炸（包括机房、旅客止步区和附属 建筑物）EP02车务控制中心爆炸EP03车辆段爆炸EP04列车上爆炸EP05隧道内爆炸EP06高架桥爆炸（露天段）EP07主变电站爆炸FD水淹（不设防洪门）（Flooding）EW地震/强风(Earthquake/Strong Wind)SC结构倒塌(StructuralCollapse)IB侵入限界(Intrusion toBoundary)AC意外(Accident)FD01FD02FD0

16、3FD04FD05EW01EW02EW03EW04EW05EW06SC01SC02SC03SC04IB01IB02AC01AC02AC03AC04AC05AC06AC07AC08AC09AC10AC11车站水淹（包括机房、旅客止步区和附属 建筑物）隧道/隧道口 /地面线路水淹车辆段水淹车务控制中心水淹主变电站水淹设计能力能够承受的地震设计能力不能承受的地震强风与暴雨（有没有任何风监测系统?）强风将异物吹到高架、地面线轨道上, 以致侵入动力限界异常强风以致列车两旁承受极大的侧向 力异常强风将接触网、悬挂装置破坏隧道衬砌倒塌高架桥倒塌车站结构倒塌车站装饰（含广告牌等）倒塌侵入结构限界/动态限界第一

17、期的动态限界与第二期的动态限界 不同触电意外（包括交直流、高低压触电） 滑倒意外（例如:高架车站选用了不合适 的铺地物料）高空坠物导致意外人力处理时发生意外（如搬运重物）密闭空间内发生意外车站太过拥挤导致意外维护/疏散期间从高架桥上跌落不正常情况或降级操作破裂的窗户或车门玻璃设备严重受损被风挡装置困住AC12AC13AC14AC15AC16OD01OD02OD03OD04OD外来威胁(Outside Danger)OD05OD06OD07OD08OD09OD10IM01IM02IM03IM撞击(Impact)IM04IM05IM06IM07DR01DR脱轨(Derailment)DR02DR0

18、3OA运行意外(OperationalOA01进行连挂时车速过高维护/操作设备时员工发生意外乘客行为导致意外突出物/锋利边缘/可动部分导致意外过热的物体/表面/液体导致的烫伤意外相邻公路上的路面车辆构成的威胁（轨 道交通上方/旁边的高速公路）高架桥的支柱被路面车辆撞击/高架桥 被吊车撞击沉降构成的威胁外来威胁-恶意破坏（例如:邻近居民抛下物件、相邻建筑物 的棚架倒塌）外来物对接触网构成的威胁有害外来物进入车站“人防”构成的威胁（例如:建造工程/ 轨道范围的进出控制）相邻化工厂发生意外/输油、输气管爆炸附近的加油站（如有）发生爆炸电磁干扰列车迎面/尾追撞击列车侧面撞击列车撞击轨道上的障碍物列车撞

19、击车挡（停车位置与车挡距离太 近）车辆段内路面车辆/行人与轨道车辆撞 击撞击-员工被列车撞倒撞击-旅客被列车撞倒车站/车辆段内的列车脱轨隧道/高架桥范围内的列车脱轨转辙机或道岔位置的列车脱轨隐患类别隐患类别主隐患编号隐患情景Accident)OA02运行意外-从列车上跌落轨道OA03运行意外-在列车内跌倒OA04运行意外-列车脱钩OA05运行意外-被无线通信或车门夹住/撞 击OA06运行意外-被卡在无线通信与列车之 间OA07运行意外-降级运营期间，无线通信 打开时列车移动OA08运行意外-人员被困于车辆内OA09运行意外-人员被困于电梯内OA10运行意外-人员被困于车站内NA非运行意外 (N

20、on-operationalAccident)NA01非运行意外-在自动扶梯/楼梯上跌倒NA02非运行意外-在车站站厅或车辆段范 围跌倒NA03非运行意外-在站台跌倒NA04非运行意外-从站台跌落轨道NA05擅入轨道-由站台擅入轨道/由附近地 方擅入轨旁范围EA紧急行动 (EmergentAction)EA01紧急行动-清客EA02紧急行动-车站疏散EA03紧急行动-车辆段疏散EA04紧急行动-车站拥挤AS窒自 窒心(Asphyxiation)AS01氧气消耗介质出现在列车/车站/车辆段 等地方AS02列车上氧气不足AS03人员暴露于列车/车站/车辆段等位置的 烟雾中HE热耗(Heat Exh

21、austion)HE01工作环境温度过高使人员难以忍受HE02列车上温度过高使人员/乘客难以忍受HE03车站内温度过高使人员/乘客难以忍受附件 3 隐患登记册格式羸Itr-IfcflWl制申更駆liii fiP ia虫艷mI.ClIX 1 :firii.hlLil：xifcnaiuKWlTfliM*!.KJliJZ址段的口也址UMX谢; virk 比 KjlsS自i谢;*1 h-TI-I-慣1r:k”扎 lr Mil祕1相lifril-1咖肌為4DE-2H . ui.if .TE-JKJ：. EPRfiFi tarwFdW”l：ur-Et:.1比11. Hi测VO ECiHtriifirf K

22、Hi 屮 Bl沖/M 1- I- 茨 1 !-TMtWdl+4.1PWH1. HCIlIi* 耳，力八: ri迄吟土円 i i. 甲料lR 韶和4ll Rr/lWi.1- -.5： IF叩s-Jrjitkma-!WMitiJiN* fi .CU.M lift- U：LGi! 弁tn. tv$4 筲Hi- KII44 才Hi- ZltW 弋 問也W舒m H兗:him用卜勺比斟旨莘即UM,Ell*WKi- RA：iWi.tiLP Urf!I.EJil+m 纠皿”#n?!吒辺用山！ ：!丄ETi力就I唯nPTi!垃IIH- 0：1运鼻凸匕揺伯1血古射；他I hrjLjt. t-fi |.rs耳a n

23、S佶并PSDItfrjCCWlainTVSHiHidiH.IK怖皿圧AK|J|! 二PW5ff.illIlViQHEB4ltrf-t- *j片 r帆眄 u !uip-.rn-|町1|）时叫阳呱出i+rai naFfiMiy- :Mitfliis ?n-山書“応電，taiunrnih-Hiisu 己5圧如化去Cl hMIM：心心山世问序鴉FnEZiJiF舅片ULi. KTR. H1 Iffl附件 4 风险矩阵风险矩阵后果16543.f锻平足逬檢轻厳枠微車安全死门数目5ft怙散目5-5051轻伤裁昌救，1天1 E30-60数小时1 X1星R1 i4站服务口断S0曲州11 I -1 E率A100 ;

24、R3R1R1R1R1RB-10 - C1 /年R4R2尺1R1R1RC邯仆揽生数试=1 - io/=3.1 -1E-2 1E-1 卢|：R4R3R3R2R1RF不犬可龍岀现=1F ” 1吃吃/：|：R4R4R3R3R2RGII.常不町怪出现=1F” :吃心：R4R4R4R3R3RH鉴:TL旌性覆少=- 1E-5 -1E-1 /讣R4R4R4R4R3R!2l；i：毀=- 1E-6 -1E-5 !R4R4R4刚R4RJ血厲代仁的V liz-6/ffR4R4R4R4R4R1X1除棒址的(X旳冉的富丈R1 -:： jr.i. , . ；.111. J i,水:;、：* uil.皿心(Risk is t

25、alsrable but should be further reduced if itsccst eHecliw to do so)Ft4可揺吃币囤腔個* is acEeplobie )隈時产世化： fl ti况Jj皆屯加锁宴吋翼芮ifl疔 Wtekbft 迷 严;R电1也 囚或筮疝谟ii找葯泊拧 W-ill； iA説觀过24小H附件 5 接口隐患措施表接口隐患措施表措施执行方：发起方隐 患编号：接口隐患 措施表编号：第一 联：发送 方填 写其它执行方（另行发送）：发起日期：回复截止日期：隐患：隐患原因：事故后果：初始风险：严重度：频度：描述所需措施（发起方填写）第二 联： 接收 方/发 起

26、方 填写现有的措施：推荐的措施：措施执行方意 见回复：姓名：签字：日期：措施的审查第三 联：发送 方填 写针对第二联的 意见：剩余风险：严酷度：频度：姓名：签字：日期：是否需要后续措施：是= 措施表编号：否措施的关闭第四 联： 接收 方填 写减轻措施的验证：项目经理（姓名/签字）：日期：系统保证经理（姓名/签字）：日期：措施可关闭：是否项目解释第一联：隐患描述（发 起方填写）当接口隐患被识别后，由发送方填写。第二联：措施描述（发 起方/接收方填写）发起方描述需要接收方采取的隐患减轻措施。 接收方对发起方进行回复。第三联：措施的审查（发起方填写）发起方描述接收方的回复是否符合所需减轻措施的要 求

27、。发起方评估剩余风险。发起方应负责监督接收方回复的接口隐患措施表，必要 时，须在接口会议或其它会议上澄清或讨论或许的隐患 减轻措施，当有问题时，发起方应向买方反映。在适当的时候，发起方须请求接收方填写减轻措施的已 经被验证的证据。第四联：措施的关闭（接收方填写）接收方应提供验证减轻措施的证据。当无需进步的验 证时，接收方应指明。接收方应在接口隐患措施表上签字，并返回给发起方。 发起方收到完成的接口隐患措施表后，应在隐患等级册 中注明减轻措施或隐患的状态为“已关闭”。附件 6 安全原则及规范要求的符合性评估序号系统子系统设计特点参考章 节相关的潜在 安全隐患相关设计/运营安全原 则/工业守则/法

28、规/ 规范现在符合状况验证方如：WX1-DSA-PWS-XXXX-00-001供电XXXX1. 每个变电所采用 双回路10KV进线， 10kV母线分段运 行，设置母联开关， 当一台变压器或者 进线电缆发生故障， 母联开关自动投入 运行，保证供电不中 断2. 两台配电变压器 分别从两段10kV母 线分别引入电源， 400V开关柜设置母 联开关，且具有自投 自复功能。3. 变压器容量和电缆截面满足单回路 供电的要求GB50157 -2003地铁 设计规范 第 14.1.7因一路进线电缆 或一台变压器及 相关设备故障造 成的供电中断GB50157 - 2003地铁设计规范 第14.1.7 :级负荷应

29、由双电源双 回线路供电，当一个电源发生故障 时，另一个电源不应同时受到损坏。 一级负荷中特别重要的负荷，除由双 电源供电外，尚应增设应急电源。设计已满足规范要求， 10kV双环网供电，10kV 开关柜和400V开关柜 设置母联开关，实现“失 压自投”功能要求1. 供申 图(A)2. 10kV 柜二次(A)3. 10kV 装置逻(自投)4. 400V 柜二次(A)*符合类别注释：C-已经符合N/C -不符合，返工或重新测试W-不符合，但买方已批准附件 7 典型事故发生概率、影响后果以及人因错误发生概率（参考）事件发生频度列车起火（或隧道起火）每10年发生一次车站起火（公共区和非公共区）每5年发生

30、一次列车起火引起的落客每10年发生一次事件死亡人数重伤人数列车起火（或隧道起火）10100车站起火（公共区或非公共区）10100撞车10100出轨10100序号描述人因错误发生概率1一般口头交流错误0.032一般遗漏错误0.013遗漏程序中规定的某项活动0.0034需要注意的简单例行操作失误0.015简单例行操作失误0.0016在紧急情况下压力工作30分钟后，人员操作失误0.17在高压情景下工作数小时后，人员操作失误0.01附件 8 安全关键项清单表格式序号组件/关键项描述安全关键特性隐患后果后果严重性等级预防措施/风险降低措施如：WX1-SCIL-PWS-XXXX-00-001填写被列入SCIL的原因描述隐患的后果结合风险矩阵中的严酷度定义填写设计、运营和维护中针对此关键项须采 取的减轻措施。