城市轨道交通工程安全控制技术规范

1．0．1 为加强城市轨道交通工程的安全，统一安全控制的技术和管理要求，制定本规范。

1．0．2 本规范适用于城市轨道交通工程建设过程的安全控制。

1．0．3 城市轨道交通工程的安全控制必须贯穿于工程建设的全过程，并应保持和持续改进安全控制工作的有效性。

1．0．4 城市轨道交通工程的安全控制除应符合本规范外，尚应符合国家现行有关标准的规定。

2 术 语

2．0．1 城市轨道交通系统 urban rail transit system

　  指城市轨道交通土建工程、车辆和机电设备的总称。简称系统。

2．0．2 城市轨道交通子系统 urban rail transit sub-system

　  指组成城市轨道交通系统的下一级系统。如车站、隧道、桥梁等土建设施，轨道及车辆，供电系统、通信系统、信号系统等机电设备。简称子系统。

2．0．3 危害 hazard

　  可能造成公众生命财产损失或环境破坏的潜在因素。亦称危险有害因素、危险源。

2．0．4 风险 risk

　  危害发生的频率及造成损失的严重程度的组合。

2．0．5 安全 safety

　  免除不可接受风险的状态，亦称安全性。

2．0．6 安全控制 safety control

　  分析潜在的危害，从技术上和管理上采取措施，使系统在实施或使用过程的风险始终处于可接受状态的行为过程。

2．0．7 危害登记册 hazard log

　  用于记录所有已识别危害以及用于降低或消除每一项危害所采取的技术措施和管理方法的文档，该文档在城市轨道交通的建设过程中需要实时更新。亦称危害日志。

2．0．8 容许风险 tolerable risk

　  可以接受的最大级别的风险。亦称可接受风险。

2．0．9 安全论据 safety argument

　  能够证明系统达到规定安全要求的所有规章制度、记录文档、危害分析报告、技术文件、代码等。

2．0．10 安全完整性 safety integrity

　  在一定时间内，在规定的条件下，系统或产品能够完成规定安全功能、未经授权不能改变的特性。

2．0．11 安全完整性等级 safety integrity level

　  安全完整性的一种度量。为表示系统相关安全功能的安全完整性要求而定义的一系列离散等级。

2．0．12 安全审核 safety review

　  评定一个系统的安全需求是否得到合理的计划安排、计划是否有效实施以及是否适用于指定安全目标的系统化和的专业考核。

2．0．13 验证 verification

　  用客观证据和检验来确定是否满足规定的要求。

3 基本规定

3．0．1 参与城市轨道交通工程建设的各方应建立安全控制体系，并应实施、保持和持续改进。

3．0．2 参与城市轨道交通工程建设的各方应把保障安全作为首要目标，并应合理分配资源，实现系统的安全性、可靠性、可用性和可维护性目标。

3．0．3 参与城市轨道交通工程建设的各方应采取措施使其工作人员理解与他们工作相关的安全风险，同时应监督其行为，并应采取措施实现工作人员相互之间以及与其他单位和个人的有效性合作，共同控制安全风险。

3．0．4 安全控制所要求的文件应通过控制措施予以保障。应制定形成文件的程序，并应符合下列规定：

　  1 文件的发布应得到批准；

　  2 文件进行更新后，应再次得到批准；

　  3 应确保能够方便地识别文件的更改和修订状态；

　  4 应确保在使用处能够获取适用文件的有效版本；

　  5 应确保文件保持清晰、易于识别；

　  6 应确保能够方便地识别外来文件，并控制其分发；

　  7 当需要保留作废文件时，应给予其适当的标识，并应防止作废文件的非预期使用。

3．0．5 参与城市轨道交通工程建设的各方在收集、分析、改进安全控制的信息时应相互合作，共享信息；应保证安全相关信息传递的通畅；当获得需要控制风险的信息时，应及时传送至有关各方或人员，并应采取措施确保其对信息的理解。

3．0．6 参与城市轨道交通工程建设的各方将影响安全的任何系统、过程或服务外包时，应确保对这些系统、过程或服务的安全控制。

3．0．7 安全控制前一阶段的成果应作为后一阶段工作的依据；各阶段的成果应经过安全审核合格，才能进入下一阶段的安全控制工作。

3．0．8 安全控制涉及的相关工作应根据需要进行的安全审核，的安全审核要求应在安全计划中规定。

3．0．9 安全审核应提交安全审核报告，安全审核报告应包括下列内容：

　  1 与安全计划一致性的判断；

　  2 安全计划的适应性判断；

　  3 遵循计划或改进计划的建议。

3．0．10 城市轨道交通工程建设各阶段的安全控制要求应符合表3．0．10的规定。

表3．0．10 城市轨道交通工程建设各阶段的安全控制要求

　  2 详细设计阶段包括车辆和机电设备系统的详细设计、土建工程和机电设备系统的施工图设计以及土建工程的招标。

3．0．11 城市轨道交通系统危害发生的频率等级应划分为表3．0．11所示的六级。

表3．0．11 城市轨道交通系统危害发生的频率等级

表3．0．12 城市轨道交通系统危害后果的严重程度等级

表3．0．13 城市轨道交通风险等级及应对措施

表3．0．14 风险评价中风险等级

4 安全控制要求

4．1 可行性研究阶段

4．1．1 可行性研究阶段应完成安全控制的前期策划，并应为后续的安全控制提供指导。本阶段的安全控制应包括下列内容：

　  1 安全策划；

　  2 初步的危害识别，建立初步危害清单。

4．1．2 安全策划应确定系统的总体安全目标和安全策略、初步建立安全控制体系。安全策划宜包括下列内容：

　  1 项目的基本情况；

　  2 国内外同类项目相关数据和资料分析；

　  3 确定系统总体安全需求；

　  4 确定系统的总体安全目标和安全策略；

　  5 确定各方的职责和任务；

　  6 确定安全控制的基本要求；

　  7 确定安全管理的程序和要求。

4．1．3 初步危害识别应识别出系统的主要危害，并应形成危害清单。初步危害识别宜包括下列内容：

　  1 分析既有系统对安全性的影响；

　  2 危害识别的范围；

　  3 危害识别；

　  4 与识别危害相关的子系统；

　  5 系统进行安全控制的范围；

　  6 形成初步危害清单。

4．1．4 初步危害清单的内容和格式宜符合本规范附录A的规定。

4．1．5 可行性研究阶段的安全控制应形成安全策划和初步危害识别报告，并应进行安全审核。安全审核中需要确认的事项宜包括下列内容：

　  1 系统环境的充分性；

　  2 成果形成过程及完整性；

　  3 使用的方法和技术的适用性；

　  4 成果的充分性及合理性。

4．2 初步设计阶段

4．2．1 初步设计的安全控制应制定初步安全计划，应进行初步的风险分析，并应确定各子系统的安全控制要求。本阶段的安全控制应包括下列内容：

　  1 制定初步安全计划；

　  2 确定风险容许准则；

　  3 进行初步风险分析，建立项目级危害登记册；

　  4 进行初步设计安全原则及规范要求的符合性评估；

　  5 确定子系统安全控制要求。

4．2．2 初步设计阶段确定的车辆和机电设备系统安全控制要求宜纳入招标文件或作为招标文件的组成部分。

4．2．3 初步安全计划应对城市轨道交通工程建设过程各阶段实施的安全控制进行初步安排；初步安全计划应在城市轨道交通工程建设过程中按规定实施、复核、维护和更新。初步安全计划宜包括下列内容：

　  1 安全目标；

　  2 安全计划实施的范围；

　  3 系统概要、类似或相关系统的相关信息；

　  4 各方的责任及所承担的任务、各方之间关系的规定和说明；

　  5 实现安全目标的策略；

　  6 各个阶段需要进行的安全控制工作；

　  7 风险分析及其审核的程序及要求；

　  8 风险容许准则；

　  9 需要完成并提交的安全控制文件的说明；

　  10 编写安全论据的程序；

　  11 安全计划的批准程序；

　  12 安全计划变更的批准程序；

　  13 安全控制文件维护更新的程序，包括危害记录；

　  14 安全计划中的约束条件及假设；

　  15 对分包商的安全控制与管理要求；

　  16 安全审核要求，包括人员及性要求等。

4．2．4 确定风险容许准则应包括下列内容：

　  1 确定危害的频率等级；

　  2 确定危害后果的严重程度等级；

　  3 制定风险评估和验收矩阵。

4．2．5 初步风险分析应包括下列内容：

　  1 进一步识别系统的危害并分类、排序，并应列出系统的主要缺陷或故障清单；

　  2 估计每个危害发生的频率，估计每个危害后果可能的严重程度；

　  3 确定风险等级；

　  4 确定降低风险的措施；

　  5 评价风险的可接受程度。

4．2．6 危害识别宜采用检查表法；危害清单的内容和格式宜符合本规范附录B或附录C的规定；风险估计可根据经验采用定性分析方法，也可根据需要采用故障树分析法或故障模式和影响分析法等定量分析方法。

4．2．7 初步风险分析应包括下列内容：

　  1 系统内任何潜在的危害；

　  2 系统与安全有关的接口；

　  3 使用环境；

　  4 系统的设备或设施；

　  5 与安全有关的设备或防护系统；

　  6 系统与子系统潜在的故障模式。

4．2．8 初步风险分析的结果应形成初步危害分析报告和初步危害登记册。

4．2．9 初步危害分析报告宜包括下列内容：

　  1 分析范围；

　  2 分析依据和参考文献；

　  3 采用的分析方法；

　  4 分析结果汇总及评价；

　  5 初步危害登记册的建立，包括：

　  　  1) 初步危害登记册的目的和用途；

　  　  2) 风险和事故报告的程序；

　  　  3) 危害记录管理程序；

　  　  4) 分析过程中的假设；

　  　  5) 使用的方法、工具和技术；

　  　  6) 初步危害登记册。

　  6 审核风险等级的程序；

　  7 审核降低风险措施有效性的程序；

　  8 分析人员及责任；

　  9 分析的过程文件或记录。

4．2．10 危害登记册的内容和格式宜符合本规范附录D的规定。

4．2．11 初步设计安全原则及规范要求的符合性评估宜采用检查表法，其内容和格式宜符合本规范附录E的规定。 

4．2．12 子系统安全控制要求应分别编制，并宜包括下列内容：

　  1 系统的定义和界限；

　  2 任务概要；

　  3 功能要求和性能要求，对每个安全功能，宜包括安全功能要求和安全完整性要求；

　  4 应用环境；

　  5 已识别的危害的容许风险等级；

　  6 所作假设的详细说明；

　  7 安全需求的验收准则和验收标准；

　  8 安全需求的认证和验收的过程，包括：

　  　  1) 系统的描述；

　  　  2) 系统的安全性认证原理；

　  　  3) 为进行确认所做的安全性试验和分析；

　  　  4) 确认顺序、进程的详细情况；

　  　  5) 处理不一致问题的程序。

　  9 文件提交要求；

　  10 安全控制的管理要求。

4．2．13 初步设计阶段应完成下列成果，并应对其进行安全审核：

　  1 安全计划；

　  2 初步风险分析报告及初步危害登记册；

　  3 初步设计安全原则及规范符合性评估报告；

　  4 子系统安全控制要求。

4．2．14 初步设计阶段安全审核需要确认的事项宜包括下列内容：

　  1 基础资料、依据的充分性和有效性；

　  2 对比上阶段的成果进行检查；

　  3 风险分析的完整性；

　  4 容许风险的合理性；

　  5 危害记录程序的适宜性；

　  6 使用的方法、技术的适宜性。

4．3 详细设计阶段

4．3．1 详细设计阶段的安全控制应保证将系统的安全控制要求分配到各子系统中，并应建立各子系统的安全控制体系。本阶段的安全控制工作应包括下列内容：

　  1 更新安全计划；

　  2 制定各子系统安全计划；

　  3 进行详细风险分析，建立承包商级危害登记册；

　  4 进行设计安全原则及规范要求的符合性评估；

　  5 进行各子系统安全需求分析；

　  6 审核各子系统安全计划；

　  7 审核详细风险分析结果；

　  8 审核设计安全原则及规范要求的符合性评估；

　  9 审核各子系统安全需求分析结果。

4．3．2 土建工程的安全控制要求宜纳入土建工程施工招标文件。

4．3．3 子系统安全计划的内容宜符合本规范第4．2．3条的规定，应包含对分包商或供应商的管理，并应经建设单位组织审核同意后实施。

4．3．4 详细风险分析应包括下列内容：

　  1 复核、细化系统的危害；

　  2 复核、细化危害发生的频率和造成损失的严重程度；

　  3 确定风险等级；

　  4 制定降低风险的措施；

　  5 评价风险的可接受程度。

4．3．5 对车辆、信号、屏蔽门等安全性要求较高的系统设备，建设单位宜要求承包商采用故障模式和影响分析法或危害和可操作性研究法，对高风险的危害进行识别。

4．3．6 详细风险分析应包括下列内容：

　  1 系统及子系统危害；

　  2 接口危害；

　  3 系统、子系统故障模式、人为错误危害；

　  4 系统、子系统功能关系产生的危害。

4．3．7 详细风险分析的结果应形成详细风险分析报告和承包商级危害登记册。

4．3．8 详细风险分析应在初步风险分析的基础上，根据系统实际情况重新编制详细风险分析报告，其内容宜符合本规范第4．2．9条的规定。

4．3．9 承包商级危害登记册应在项目级危害登记册的基础上，根据详细风险分析的结果重新编制，其内容宜符合本规范第4．2．10条的规定。

4．3．10 设计安全原则及规范要求的符合性评估宜采用检查表法，其内容和格式宜符合本规范附录E的规定。

4．3．11 详细设计阶段应进行安全审核，并应完成下列内容：

　  1 各子系统安全计划；

　  2 详细风险分析报告及子系统危害登记册；

　  3 各子系统安全需求；

　  4 设计安全原则及规范要求的符合性评估报告；

　  5 更新的安全计划。

4．3．12 详细设计阶段安全审核需要确认的事项宜包括下列内容：

　  1 基础资料、依据的充分性和有效性；

　  2 对比上阶段的成果进行检查；

　  3 风险评估的完整性；

　  4 风险等级的合理性；

　  5 危害记录程序的适宜性；

　  6 更新的安全计划，确保其持续可用性；

　  7 使用的方法、技术的适宜性。

4．4 车辆与机电设备制造阶段

4．4．1 车辆和机电设备制造阶段应将安全控制要求在各子系统中实现，并应复核和细化风险分析、落实风险控制措施。本阶段的安全控制应包括下列内容：

　  1 提出安全验证计划；

　  2 审核安全验证计划；

　  3 验证、落实安全控制措施。

4．4．2 安全验证计划的内容宜包括安全验证的项目、内容和方法。

4．4．3 产品安全论据应能够证明系统满足安全性要求。安全论据应包括下列内容：

　  1 系统概述；

　  2 安全要求摘要；

　  3 采取的安全控制措施摘要；

　  4 安全分析、审核工作摘要；

　  5 安全验证报告。

4．4．4 车辆和机电设备制造阶段应进行安全审核，并应完成下列成果：

　  1 安全验证计划；

　  2 安全论据报告。

4．4．5 车辆和机电设备制造阶段安全审核需要确认的事项宜包括下列内容：

　  1 基础资料、依据的充分性和有效性；

　  2 对比上阶段的成果进行检查；

　  3 子系统、部件和外部设备的组成结构，确保与整个系统的安全需求一致；

　  4 子系统、部件和外部设备的安全需求，确保其可追踪系统的安全需求；

　  5 子系统、部件和外部设备的安全需求，确保功能之间的完整性和一致性；

　  6 更新的安全计划，确保其持续可用性；

　  7 使用的方法、技术的适宜性。

4．5 施工、调试与验收阶段

4．5．1 施工、调试与验收阶段的安全控制应验证、评估子系统及部件的安全性与系统的安全需求一致性，在系统投入载客运营前应验证其安全性。本阶段的安全控制应包括下列内容：

　  1 验证系统的安全性；

　  2 子系统安全控制工作总结，编制子系统安全控制报告；

　  3 整合承包商安全控制工作信息，总结建设期安全控制工作，编制建设期安全控制报告；

　  4 安全控制工作成果移交。

4．5．2 验证子系统安全性应在子系统调试、验收的基础上，编制子系统安全控制报告，并应进行安全审核。子系统安全控制报告应包括下列内容：

　  1 施工流程；

　  2 应用安全论据，证明该子系统在特定的应用中符合安全性要求。应用安全论据应包括：

　  　  1) 子系统综述；

　  　  2) 安全性要求的参考或摘要（包括该应用的安全完整性等级合理性的考虑）；

　  　  3) 采取的质量和安全管理控制摘要；

　  　  4) 安全评估及安全审核工作摘要；

　  　  5) 安全性分析工作摘要；

　  　  6) 子系统采用的安全工程技术概要；

　  　  7) 符合安全性要求的充分性，包括遵循在特定应用中的安全完整性等级要求（含其物理实现）的充分性；

　  　  8) 所进行的子系统安全性调试、测试总结；

　  　  9) 对本应用采取的与约束摘要。

4．5．3 整合承包商安全控制工作信息应包括下列内容：

　  1 复核和更新安全计划，确保记录了系统或工序的变化，并确保其在后续阶段有效实施；

　  2 复核、更新危害记录，汇总危害登记册，确定验收过程中确定的残留危害，并应确保危害所产生的风险得到有效的控制和管理；

　  3 评估所有的确认、验证和安全论据。

4．5．4 建设期安全控制报告宜包括下列内容：

　  1 系统概要及功能描述；

　  2 系统安全的任务与目标；

　  3 安全计划；

　  4 风险分析及危害登记册汇总；

　  5 系统、子系统的安全论据；

　  6 安全验证过程及结论；

　  7 存在的安全问题及安全控制建议。

4．5．5 施工、调试与验收阶段应进行安全审核，并应完成下列成果：

　  1 子系统安全控制报告；

　  2 建设期安全控制报告。

4．5．6 施工、调试与验收阶段安全审核需要确认的事项宜包括下列内容：

　  1 通过分析、测试验证所安装的系统满足安全需求；

　  2 修改过的安全计划的延续适用性；

　  3 任何残留的危害已经得到了有效的控制；

　  4 安全论据的充分性和完整性；

　  5 使用的方法、技术的适宜性。

1 总 则

1．0．1 阐述规范制定的目的。

　  随着复杂的电子相关组件与计算机系统所组成的系统逐步地被应用于航空航天、轨道交通等行业，国际电工委员会（IEC）发布了《电气/电子/可编程电子安全相关系统的功能安全》标准IEC 61508、《铁路应用 可靠性、可用性、可维护性和安全性规范与示例》IEC 62278，提出了功能安全、设备生命周期和安全完整性等级概念，并将风险分析与过程管理方法引入标准中。欧洲标准化组织（CEN/CENELEC）在铁路领域推出了《铁路应用：可靠性、可用性、可维护性和安全性规范与证明》EN 50126、《铁路应用：铁路控制和防护系统的软件》EN 50128、《铁路应用：安全相关电子系统》EN 50129等标准，这些标准对铁路系统基于风险分析与过程管理的系统保障（System Assurance）进行了很好的解读。

　  系统保障一般被理解为通过主动性的方法，对系统的可靠性、可用性、可维护性及安全性（RAMS）进行管理。国内一般称为系统安全保障，含义相同。

　  在轨道交通系统安全保障的理论与实践上，欧盟处于领先地位。欧盟关于铁路可靠性、可用性、可维修性和安全性（RAMS）的标准是目前国际上轨道交通进行安全控制的主要参考标准，其中的核心理念是基于城市轨道交通建设全过程的风险管理和过程控制，它从技术层面规定了轨道交通系统系统安全保障的流程。

　  具体实施中，世界各国（地区）针对本国（地区）的特点制订了适用于本国的相应法规和标准。

　  英国制定了《铁路及其他轨道交通系统（安全）规章》（2006年版）（The Railways and Other Guided Transport Systems（Safety）Regulations2006）、工程安全管理（黄页）（Engineering Safety Management（Yellow Book））。英国在系统安全保障的实践中侧重于安全管理，现行的工程安全管理（黄页）（第四版）是针对铁路及其他轨道交通系统安全控制工作的指导，指导安全审核和安全认证工作。

　  我国地铁公司参考欧洲标准，系统安全保障工作以风险分析方法为基础，针对所有系统开展。系统安全保障工作的范围涉及可靠性、可用性、可维护性及安全性（RAMS）。

　  我国在高速铁路以及其他一些城际铁路项目中，采用以风险分析方法为基础，针对所有系统开展。系统安全保障工作的范围涵盖可靠性、可用性、可维护性及安全性（RAMS），并以安全为主。

　  国际上的轨道交通系统主要通过两种方法开展系统安全保障工作，一种是以风险分析方法为基础，进行安全控制；另一种是制定详细的技术规范，通过遵守技术规范保证系统达到安全的目标。

　  在以风险分析为基础的方法中，又可以分为两类，一类为对系统的可靠性、可用性、可维护性及安全性（RAMS）进行管理和控制；另一类以安全为主，系统安全保障工作的重点是对系统的安全性进行管理和控制。

　  据不完全统计，我国深圳地铁3号线、4号线，北京地铁4号线、上海地铁10号线、成都地铁1号线等项目，参照国外城市轨道交通系统安全保障的一些成功经验，引入风险分析和过程管理的理念，开展了系统安全保障工作。上述项目参考了欧洲标准，思路基本相同，但由于理解和条件的不同，具体做法相差较大，实际效果不尽相同，需要加以规范。

　  系统安全保障工作的范围覆盖了可靠性、可用性、可维护性及安全性（RAMS）等各方面工作，从我国目前条件来看，现阶段完全采用国外技术标准，势必造成与我国工程实际脱节，加之我国城市轨道交通缺乏可靠性、可用性、可维护性（RAM）相关基础数据的积累，增加了项目实施的难度，同时也影响了系统安全保障工作的效果。

　  本规范结合我国城市轨道交通建设的实际情况和需求，以安全为重点，开展系统安全保障工作，即安全控制工作。制订的目的就是为了规范我国城市轨道交通工程的安全控制工作，明确的技术和管理要求，为城市轨道交通的参与者，制定统一的技术标准和管理要求，指导我国城市轨道交通安全控制工作。

　  安全控制是对系统潜在的危害进行分析，从技术上和管理上采取措施，使系统在实施或使用过程中的风险始终处于可接受状态的行为过程。

1．0．2 阐述规范的适用范围。

　  本规范的适用范围从以下几个方面理解：

　  1 城市轨道交通

　  根据城镇建设行业标准《城市公共交通分类标准》CJJ 114-2007，城市轨道交通分为地铁系统、轻轨系统、单轨系统、有轨电车、磁浮系统、自动导向轨道系统、市域快速轨道系统七个类别。本规范适用于全部的城市轨道交通类别。

　  2 建设

　  建设是指新建、改建和扩建城市轨道交通工程项目的可行性研究、勘察设计、施工安装、调试验收和试运行，包括车辆和机电设备的采购、制造。

　  3 安全控制

　  本规范所称的“安全”是指城市轨道交通的“本体”安全，即通过建设过程的安全控制，使城市轨道交通系统的安全达到可接受状态。

　  城市轨道交通工程施工安全控制与管理应符合《城市轨道交通地下工程建设风险管理规范》GB 50652-2011等相关标准的规定。

1．0．3 规定了安全控制的原则性要求。

　  本条包含两个方面的含义，一是城市轨道交通工程应当按照本规范实施安全控制工作。安全控制工作是参与城市轨道交通建设的各方主体共同的责任，安全控制工作应当整合至项目建设过程中，安全控制工作与安全控制体系应成为城市轨道交通管理工作和管理体系的一部分；二是安全控制工作应贯穿于城市轨道交通建设期的全过程，安全控制工作也是一个持续改进的过程。

2 术 语

　  在安全控制和风险分析、风险管理领域的术语上存在不统一、不规范的问题，比如“危害”，是危险和有害因素的简称。关于“危害”的叫法很多，也被称为危险源、风险源、安全隐患等。本规范尽可能采用国家标准《可靠性、维修性术语》GB/T 3187-1994和《轨道交通 可靠性、可用性、可维护性和安全性规范及示例》GB 21562-2008以及其他相关国家或行业标准中的定义。

3 基本规定

3．0．1 规定了安全责任的原则性要求。

　  参与城市轨道交通建设活动的各方均应承担相应的安全职责，安全责任需要有明确的和制度予以保障。

　  建立安全控制体系是指：参与城市轨道交通建设活动的各方要有明确的组织机构负责安全控制工作；要制定切实可行的工作制度，并形成书面文件；要明确岗位的安全职责，使每一位参与者充分理解其自身的责任，以便共同实现安全控制的整体目标。

3．0．2 规定了安全控制的总体目标。

　  安全控制来源于国际上普遍接受的系统保障（System Assurance），目的在于确保系统可以达到最优的RAMS表现。

　  安全性和可用性在某种意义上存在着内在的联系，这种内在的联系意味着如果对安全性和可用性需求之间的冲突管理不善，可能会难以达到可靠的系统。

　  目前，国际上逐渐采用以风险分析为基础的方法，开展系统保障工作。在建设过程中，采用主动的方法，识别对系统的安全性及可靠性产生不利影响的因素，通过评估其风险水平，并根据特定的风险可接受准则，确定采取相应的措施以避免不利因素的发生或降低该不利因素的影响，并在系统建设过程中落实相应措施。

　  在风险分析为基础的方法中，一类为对系统可靠性、可用性、可维护性以及安全性（RAMS）进行全面管理，另一类是重点对安全性进行管理，即工作的首要目标在于提高系统的安全水平。本规范采用的是以风险分析为基础，重点对安全性进行管理的系统保障方法。组织也有其他的重要目标，本规范只对安全控制提供指导，并没有对如何实现其他目标给予指导，但本规范也认识到综合考虑所有目标是最有效的。因此本规范提出应把保障安全作为首要目标，并应将安全性目标与可用性、可靠性、可维护性等目标相结合，合理分配资源实现前述目标。

3．0．5 规定了城市轨道交通参与各方的安全责任关系。

　  当参与城市轨道交通的一方，如业主、总承包商等，将某项影响安全的土建工程、设备系统、服务或过程向外分包时，应确保其选择的分包组织有能力承担此项任务，并能够按照本规范的要求有效地实施安全控制活动；必须监督和检验分包组织在确实、有效的实施安全控制活动，需要核查分包组织是否有能力将需求传达给下一级组织；必须明确与分包组织相互之间的责任划分，可以与分包组织分担安全责任，但不能将安全责任完全转移给他们。

3．0．8、3．0．9 规定了安全控制的审核要求。

　  的安全审核是指安全审核要实行回避制度。最基本的要求是参与安全控制的项目组成人员不能作为审核人员。审核人员的程度，进入安全控制项目组人员的单位是否需要在审核时回避等，均要在安全计划中进行明确规定。

3．0．10 规定了城市轨道交通建设过程各个阶段的安全控制要求。

　  世界各国和地区在依据《铁路应用 可靠性、可用性、可维护性和安全性规范与示例》IEC 62278或《铁路应用可靠性、可用性、可维护性和安全性规范与示例》EN 50126实施以风险分析为基础的安全控制（管理）时，均根据本国或本地区的实际情况，对建设全过程的阶段划分等进行了调整和改进。本规范中城市轨道交通建设过程的阶段划分是根据我国城市轨道交通工程基本建设程序确定的。目前，我国城市轨道交通建设的过程可以用以下流程图表示。

本规范根据安全控制工作的特点和要求，将建设过程的部分阶段进行归纳，形成了建设过程的5个阶段。

3．0．11～3．0．14 危害的频率等级和危害后果的严重程度等级的划分参照了国家标准《轨道交通 可靠性、可用性、可维护性和安全性规范及示例》GB/T 21562-2008/IEC 62278：2002和《城市轨道交通地下工程建设风险管理规范》GB 50652-2011的规定，并结合安全控制工作实践确定的。

　  风险等级和风险评价矩阵是依据国家标准《轨道交通 可靠性、可用性、可维护性和安全性规范及示例》GB/T 21562-2008/IEC 62278：2002中的规定，结合国情确定的。

4 安全控制要求

4．1 可行性研究阶段

4．1．1～4．1．5 规定了可行性研究阶段的安全控制要求。

　  可行性研究阶段是城市轨道交通建设的最初阶段，也是安全控制工作的开始。这一阶段的安全控制的依据是可行性研究报告。因此，安全控制工作的深度也应与之对应。

　  可行性研究阶段安全控制的重点是进行安全控制工作的策划，确定城市轨道交通的总体安全需求、总体安全目标、参与城市轨道交通各方的职责和任务，确定安全控制的基本要求和确定安全管理的程序和要求。同时进行初步的危害识别，给出初步危害清单。

　  附录A给出了危害清单的内容和格式，在实际工作中，危害清单的内容和表格的具体形式可根据实际情况适当调整。

　  本阶段形成的安全控制成果安全策划报告和初步危害识别报告（含初步危害清单），也可以合并为一本安全策划报告，也可以单独成册。

4．2 初步设计阶段

4．2．1～4．2．14 规定了初步设计阶段的安全控制要求。

　  目前，我国城市轨道交通工程设计中往往存在总体设计阶段，由于基本建设程序中没有明确设定总体设计阶段，本规范所说的初步设计阶段包含了总体设计，还包括车辆和机电设备系统的采购招标。因此，初步设计阶段的安全控制工作应当从总体设计阶段开始，涵盖总体设计、初步设计和车辆和机电设备系统的采购招标。

　  初步设计阶段安全控制工作的前提是初步设计（含总体设计）以及可行性研究阶段的安全控制成果。安全控制工作的重点是制定初步的安全计划、进行初步风险分析并把安全控制要求分配给车辆和机电设备系统的承包商。

　  附录B～附录E是本规范给出的相应内容和格式，在安全控制的实际工作中可根据需要适当调整。

4．3 详细设计阶段

4．3．1～4．3．12 规定了详细设计阶段的安全控制要求。

　  本规范所说的详细设计包括土建工程和机电设备系统的施工图设计以及土建工程施工招标，包括车辆和机电设备系统的详细设计。由于上述各个阶段的安全控制要求相近，因此统称为详细设计阶段。

　  详细设计阶段安全控制工作的重点是把上一阶段确定的系统的安全控制要求分配到各个子系统当中去，并建立子系统的安全控制体系。

　  “系统”是指城市轨道交通系统，包括土建工程、车辆和机电设备系统等；“子系统”是指组成城市轨道交通系统的下一级系统，同样也包括土建工程、车辆和机电设备等。子系统的划分根据城市轨道交通具体工程项目的实际情况确定。

　  设计安全原则及规范要求的符合性评估包括施工图设计安全原则及规范要求的符合性评估、车辆和机电设备的详细设计安全原则及规范要求的符合性评估。

　  详细设计阶段安全控制工作的参与方较多，需要进行有效的组织和统筹。

4．4 车辆与机电设备制造阶段

4．4．1～4．4．5 规定了车辆与机电设备制造阶段的安全控制要求。

　  车辆与机电设备制造阶段安全控制工作的重点是“实现”，将安全控制要求在车辆和各机电设备系统的生产制造中体现。

　  车辆与机电设备制造阶段复核和细化风险分析、落实风险控制措施、建立子系统的安全控制计划，为下阶段的安全验证做准备。

　  目前，国内各个城市车辆和机电设备系统的招标方式不尽相同，以车辆为例，有按总承包方式进行，也有按车辆集成、牵引、制动分开进行的。当分开进行时，牵引、制动等分包部分的设备系统交付时，安全控制工作应当一并移交，各分包部分的安全控制应作为车辆安全控制工作的有机组成部分，整合到车辆的安全控制当中。

4．5 施工、调试与验收阶段

4．5．1～4．5．6 规定了施工、调试与验收阶段的安全控制要求。

　  施工、调试与验收阶段包括土建工程的施工，设备系统的安装以及土建设施、车辆、机电设备系统的调试和验收。

　  施工、调试与验收阶段安全控制工作的重点是“验证”，应评估并验证子系统及部件的安全性与系统的安全需求的一致性，并在系统投入载客运营前验证其安全性。

　  施工、调试与验收阶段安全控制工作的另一个重点是“总结”。参与城市轨道交通的各方都需要对安全控制工作进行总结，并应对整个建设期的安全控制工作进行汇总、总结后移交给运营单位。