安全相關(guān)項(xiàng)目中的危險(xiǎn)源管理

吳炳昊（北京全路通信信號研究設(shè)計(jì)院有限公司，北京 100073）

1 概述

安全相關(guān)項(xiàng)目的安全風(fēng)險(xiǎn)管理一般是先進(jìn)行危險(xiǎn)源識(shí)別，然后對識(shí)別出的危險(xiǎn)源進(jìn)行原因、后果分析，并進(jìn)行方案比選，最終將危險(xiǎn)源引起的安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)或輸出給其他系統(tǒng)/子系統(tǒng)/設(shè)備或其他的相關(guān)方（如運(yùn)營部門、維護(hù)部門等）進(jìn)行風(fēng)險(xiǎn)的控制。

本文根據(jù)作者在安全相關(guān)項(xiàng)目中進(jìn)行危險(xiǎn)源管理的一些經(jīng)驗(yàn)，對危險(xiǎn)源管理涉及的方面和基本的管理方法進(jìn)行介紹。

2 危險(xiǎn)源及相關(guān)要素

2.1 危險(xiǎn)源定義

EN 50126[1]將危險(xiǎn)源（H aza rd）定義為：可造成潛在人員傷亡的物理情況。EN 50129將危險(xiǎn)源定義為：可能導(dǎo)致事故的一個(gè)狀態(tài)；EN 50129對事故的定義是：可造成傷亡、運(yùn)營損失或環(huán)境損失的事件或事件序列。

危險(xiǎn)源發(fā)生在系統(tǒng)邊界上。危險(xiǎn)源的發(fā)生有其成因；危險(xiǎn)源的發(fā)生可能導(dǎo)致事故，可通過設(shè)置一些“屏障”來阻止事故的發(fā)生[3]?！俺梢颉敝缚赡軐?dǎo)致危險(xiǎn)源的狀態(tài)或事件；“屏障”可能阻止危險(xiǎn)源導(dǎo)致事故，但不一定設(shè)置了“屏障”，事故就不會(huì)發(fā)生。因此，能溝通系統(tǒng)本身進(jìn)行解決的，盡量通過系統(tǒng)內(nèi)部進(jìn)行解決。

危險(xiǎn)源、成因、屏障及事故如圖1所示。

吳炳昊，男，碩士畢業(yè)于北京交通大學(xué)，安全保障工程師。主要研究方向包括軟件安全保障、城市軌道交通信號系統(tǒng)的安全保障，曾參與基于交叉感應(yīng)環(huán)線的MATC系統(tǒng)集成研究、基于通信的列車自動(dòng)控制系統(tǒng)研究等項(xiàng)目。

2.2 危險(xiǎn)源的控制

對危險(xiǎn)源的控制，實(shí)際上是將危險(xiǎn)源引起的安全風(fēng)險(xiǎn)控制在可接受的程度內(nèi)。

對于可以從系統(tǒng)內(nèi)部解決方法，可以通過新增或變更系統(tǒng)需求，來降低危險(xiǎn)源引起的安全風(fēng)險(xiǎn)；這種方式通常稱之為派生安全需求，通過系統(tǒng)/子系統(tǒng)/設(shè)備對安全需求的滿足來降低安全風(fēng)險(xiǎn)。

如果在系統(tǒng)內(nèi)部解決較為困難（可能由于成本過高），就需要通過系統(tǒng)外部的限制措施來控制系統(tǒng)安全風(fēng)險(xiǎn)。對于這種方式，一般稱之為派生安全相關(guān)應(yīng)用條件，通過對系統(tǒng)外部（可能是其他系統(tǒng)/子系統(tǒng)/設(shè)備、操作人員、維護(hù)人員等）的限制來降低安全風(fēng)險(xiǎn)。

3 風(fēng)險(xiǎn)分析

3.1 危險(xiǎn)源識(shí)別

危險(xiǎn)源識(shí)別是風(fēng)險(xiǎn)分析的基礎(chǔ)，缺少系統(tǒng)的、全面的危險(xiǎn)源識(shí)別可能嚴(yán)重影響風(fēng)險(xiǎn)分析的效果，并建立本不存在的安全信心。這是非常嚴(yán)重的后果。

因此，在進(jìn)行危險(xiǎn)源識(shí)別之前，需要理解系統(tǒng)的邊界，并理解其與所在環(huán)境的交互。這里的環(huán)境應(yīng)該指廣義的環(huán)境，包含其所在環(huán)境的溫度、濕度、震動(dòng)、電磁、其他系統(tǒng)/子系統(tǒng)/設(shè)備、操作人員、維護(hù)人員、拆除人員等所有與該系統(tǒng)相關(guān)的要素。

在進(jìn)行危險(xiǎn)源識(shí)別時(shí)，不應(yīng)僅局限于某一狀態(tài)，如不應(yīng)只考慮設(shè)備穩(wěn)定運(yùn)行時(shí)的危險(xiǎn)源。危險(xiǎn)源的識(shí)別應(yīng)涉及到全生命周期，如安裝、正常運(yùn)行、升級改造和拆除等。

危險(xiǎn)源識(shí)別的常用方法：根據(jù)經(jīng)驗(yàn)積累得到的檢查表、系統(tǒng)/子系統(tǒng)/設(shè)備的FM EA（Failu re M ode and Effects Analysis）、與人因相關(guān)的人機(jī)接口分析、頭腦風(fēng)暴、HA ZOP（H azard an d Operability Studies）等。這些方法，各有所長，應(yīng)系統(tǒng)地考慮這些方法，選擇一個(gè)盡可能全面的發(fā)現(xiàn)所有危險(xiǎn)源的方法集，進(jìn)行項(xiàng)目的危險(xiǎn)源識(shí)別活動(dòng)。

危險(xiǎn)源識(shí)別的結(jié)果應(yīng)進(jìn)行記錄，形成危險(xiǎn)源日志。

3.2 原因分析

危險(xiǎn)源識(shí)別之后，應(yīng)進(jìn)行原因分析，以評估危險(xiǎn)源發(fā)生的可能性，并制定措施以降低危險(xiǎn)源發(fā)生的可能性。

進(jìn)行原因分析要理解系統(tǒng)的內(nèi)部組件構(gòu)成，并且要熟悉系統(tǒng)的共模故障、各種故障之間的依賴關(guān)系、正確的邏輯關(guān)系等。

原因分析可以是定性的，也可以是定量的；一般使用圖形的方式對可導(dǎo)致危險(xiǎn)源的故障進(jìn)行描述，有利于理解故障與危險(xiǎn)源之間的關(guān)系。常用的原因分析方法有故障樹分析（FTA，F(xiàn)au lt T ree Analysis）和FMEA。

3.3 后果分析

后果分析的目的在于分析每個(gè)危險(xiǎn)源的影響。通過后果分析，可以評估每個(gè)危險(xiǎn)源所引起的損失，并可制定相應(yīng)的措施以減小危險(xiǎn)源所引起的損失。

后果分析主要基于經(jīng)驗(yàn)，需要對系統(tǒng)相關(guān)領(lǐng)域較為了解。進(jìn)行后果分析時(shí)，一般采用自底向上的方式，從危險(xiǎn)源開始，展開所有可能的事件序列，得到所有可能發(fā)生的事故。通過后果分析，可以設(shè)置一些屏障，阻礙危險(xiǎn)源演變?yōu)槭鹿?，以減小損失、降低安全風(fēng)險(xiǎn)。

通過經(jīng)驗(yàn)數(shù)據(jù)的統(tǒng)計(jì)，可定量的計(jì)算出每個(gè)危險(xiǎn)源所導(dǎo)致的各種事故的可能性；并可通過經(jīng)驗(yàn)數(shù)據(jù)的統(tǒng)計(jì)，估計(jì)出每種事故所帶來的損失，這樣就形成了定量的后果分析。在經(jīng)驗(yàn)數(shù)據(jù)不具備的情況下，也可考慮使用專家的經(jīng)驗(yàn)來進(jìn)行估計(jì)。無論是經(jīng)驗(yàn)數(shù)據(jù)的積累，還是專家估計(jì)的數(shù)據(jù)，均為定量后果分析的基礎(chǔ)；這些數(shù)據(jù)的準(zhǔn)確性直接影響到定量后果分析結(jié)果的準(zhǔn)確性。

常用的后果分析方法有事件樹分析（ETA，Event T ree Analysis）和因果圖（Cause Consequence Diagramm ing）。

3.4 安全風(fēng)險(xiǎn)及接收

通過原因分析和后果分析的結(jié)果，可以估計(jì)出危險(xiǎn)源所引起的安全風(fēng)險(xiǎn)。相應(yīng)的，通過原因分析和后果分析，可以得到各種降低風(fēng)險(xiǎn)的措施。那么所估計(jì)出的安全風(fēng)險(xiǎn)，就分為了采取措施之前的安全風(fēng)險(xiǎn)和采取措施之后的安全風(fēng)險(xiǎn)。在安全接收時(shí)，考慮的是采取措施之后的安全風(fēng)險(xiǎn)。存在多種減緩措施時(shí)，應(yīng)考慮采取每種減緩措施后的安全風(fēng)險(xiǎn)，并以此進(jìn)行所采用的減緩措施選擇。

通常采用的安全接收標(biāo)準(zhǔn)有A LARP（A s Low A s Reasonab ly Practicab le）、GAMAB（G lobalem en t Au M oins Aussi Bon）、MEM（M inimum Endogenous Mortality）[1]。

4 危險(xiǎn)源的管理

4.1 危險(xiǎn)源屬性

通常，項(xiàng)目的危險(xiǎn)源記錄在危險(xiǎn)源日志中。一般來說，危險(xiǎn)源具備如下屬性。

1）危險(xiǎn)源ID：危險(xiǎn)源的唯一索引；

2）危險(xiǎn)源描述：對危險(xiǎn)源事件的描述；

3）危險(xiǎn)源來源：記錄危險(xiǎn)源的出處（危險(xiǎn)源識(shí)別過程），有助于更好的理解危險(xiǎn)源；

4）危險(xiǎn)源成因：導(dǎo)致危險(xiǎn)源的原因；

5）危險(xiǎn)源后果：危險(xiǎn)源可能導(dǎo)致的后果；

6）減緩措施：降低危險(xiǎn)源引起安全風(fēng)險(xiǎn)所采取的措施；

7）采取減緩措施前的安全風(fēng)險(xiǎn)；

8）采取減緩措施后的安全風(fēng)險(xiǎn)；

9）相關(guān)的安全需求及安全相關(guān)應(yīng)用條件；

10）危險(xiǎn)源狀態(tài)：一般有新識(shí)別、處理中、可接收等狀態(tài)。

在進(jìn)行危險(xiǎn)源維護(hù)時(shí)，應(yīng)對危險(xiǎn)源的各種屬性進(jìn)行維護(hù)。

4.2 相關(guān)角色

危險(xiǎn)源的識(shí)別及分析應(yīng)由相關(guān)領(lǐng)域的資深技術(shù)人員或?qū)＜疫M(jìn)行。

對于已識(shí)別并記錄進(jìn)危險(xiǎn)源日志中的危險(xiǎn)源的管理相關(guān)的角色主要有安全工程師和H CB（Hazard Control Board）。

通常，安全工程師負(fù)責(zé)危險(xiǎn)源日志的維護(hù)。HCB負(fù)責(zé)危險(xiǎn)源狀態(tài)遷移的證據(jù)審核，并負(fù)責(zé)對危險(xiǎn)源的狀態(tài)遷移授權(quán)。安全工程師只可按照H CB的授權(quán)進(jìn)行危險(xiǎn)源狀態(tài)的維護(hù)。根據(jù)安全工程師與HCB的職責(zé)，安全工程師一般需要具備行業(yè)的知識(shí)背景和基本的安全管理知識(shí)即可；HCB則需要由資深的技術(shù)人員和專家組成。

4.3 狀態(tài)遷移

以危險(xiǎn)源有“新識(shí)別”、“處理中”、“可接收”3種狀態(tài)為例，危險(xiǎn)源的狀態(tài)遷移如圖2所示。

各狀態(tài)的遷移必須得到H CB的授權(quán)。需要說明的是到“可接收”的遷移授權(quán)，HCB不但要看到危險(xiǎn)源的減緩措施已制定并且合理（與該措施相關(guān)的分析正確），還要得到相應(yīng)的證據(jù)，才可授權(quán)危險(xiǎn)源的狀態(tài)為“可接收”。在這里，相應(yīng)的證據(jù)是指：安全需求得到滿足的證據(jù)，如對安全需求進(jìn)行覆蓋的測試案例及測試案例被測試且通過的證據(jù)、安全相關(guān)應(yīng)用條件得到輸出的證據(jù)等。

5 結(jié)論

本文對安全相關(guān)項(xiàng)目中的危險(xiǎn)源管理，涉及危險(xiǎn)源識(shí)別、原因分析、后果分析以及危險(xiǎn)源日志的管理。錄入到危險(xiǎn)源日志的危險(xiǎn)源，其狀態(tài)遷移需要經(jīng)過H CB的授權(quán)。危險(xiǎn)源從識(shí)別的準(zhǔn)備和識(shí)別出來、到對其進(jìn)行分析、再到最后的接收，中間的每一個(gè)環(huán)節(jié)都非常重要，任何一個(gè)環(huán)節(jié)的疏忽，都有可能產(chǎn)生錯(cuò)誤的接收危險(xiǎn)源，為事故的發(fā)生留下隱患。

[1] Railway applications—The specification and demonstration of Reliability, Availability, Maintainability and Safety(RAMS）EN 50126:1999[S].

[2] Railway applications—Communication, signalling and processing systems—Safety related electronic systems for signaling EN 50129:2003[S].

[3] Engineering Safety Management (The Yellow Book）[S].