轨道交通RAMS工程基础：危害分析及分析范围

由EN50126可知，风险分析处于系统寿命周期第三阶段，紧接在概念和系统定义后，但由于寿命周期的后续阶段风险可能发生变化，系统也可能会引入新的风险，因此风险分析在寿命周期的后续阶段也可能要重复地进行，这就需要建立一个持续的风险管理过程。

鉴于以上原因，在实际应用时，进行危害分析时一般分为以下几个阶段进行：

①初步危害分析（Preliminary Hazard Analysis，PHA）；

②系统危害分析（System Hazard Analysis，SHA）；

③子系统危害分析（Subsystem Hazard Analysis，SSHA）；

④接口危害分析（Interface Hazard Analysis，IHA）；

⑤操作和支持危害分析（Operating and Support Hazard Analysis，OSHA）。

这五个阶段的危害识别工作都是用于识别对某一个活动、设施或系统造成损害的危害和事件，只是适用于系统寿命周期的不同阶段。PHA是在项目开始前，从更高层次上对系统进行危害分析，用于识别早期的危害，应尽可能早地执行；SHA/SSHA与PHA过程相同，紧跟在PHA之后，更专注于系统；IHA识别与系统接口相关的危害，识别出的危害减轻措施可作为系统/子系统本身和相关系统/子系统的安全需求，放在SHA/SSHA中；OSHA主要考虑操作和维修人员带来的危害，该阶段在IHA之后。

1.PHA

（1）初步危害列表（Preliminary Hazard List，PHL）PHL是一种能识别且列出潜在危害及系统可能存在的事故的分析方法。在设计概念或先期设计期间实施，是所有危害分析的起始点。一旦在PHL识别危害，接着就可随着设计细节过程中，更深层次地分析及评价危害。

PHL是关注危害区域的一种管理手法，能以有效的措施消除危害或控制在可接受的风险水平内。每个PHL识别的危害，将会在后续运用不同的分析方法来执行。

1）目的：初步列出在安全性设计中需要着重分析的危险或需作深入分析的危险部位，并进一步研究危险的可能性及严重性，使用户尽早地选择重点管理的危险部位。

2）输入：

①技术规范；

②RAMS要求；

③工程图；

④工作任务书；

⑤工作说明书；

⑥以往经验数据。

3）工作内容：

①确定可能需特别重视的危险及危险部位；

②填写PHL；

③分析危险的影响、原因及建议措施。

4）输出：初步的危险、事故清单。

（2）PHA

1）目的：PHA的目的是识别危害并确定安全关键部位、评价各种危害的风险、确定安全性设计准则，并提出消除或控制危害的措施。具体如下：

①识别危害，确定安全关键部位。列车产品研发部门通过PHA来全面识别各种危害状态及危害因素，确定它们可能产生的潜在影响。在方案论证阶段，用这种分析考查列车产品各种备选方案的安全性，可向设计师、主管人员及系统安全技术人员和有关人员了解产品的潜在危害及危害原因以及安全关键部位，以便通过设计来消除或尽量减少这些危害及危害原因。

②评价各种危害的风险。列车产品研发部门应对各种危害及危害原因进行初始风险评价，以便在方案选择中考虑安全性问题，并根据相似产品的数据及经验对与所选择的设计方案有关的各种危害的严重性、可能性及使用约束进行评价。

③确定安全性设计准则，提出消除或控制危害的措施。通过PHA，列车产品研发部门应确定将要采用的安全性设计准则，并提出为消除危害或将其风险减少到使用方可接受水平所需的安全性措施和替换方案。例如，可采用联锁、警告和过程指示等设计特性来避免会导致事故的人为差错。

此外，PHA得到的信息还可用于下列初步的系统安全工作：

①为制（修）定安全性工作计划提供信息；

②为安全大纲的管理提供有关人力及费用的初步信息；

③确定安全工作安排的优先顺序；

④确定进行安全性试验的范围；

⑤确定进一步分析的范围，特别是为故障树分析确定不希望发生的事件；

⑥编写PHA报告，作为分析结果的书面记录；

⑦确定产品的安全性要求。

2）分析内容：由于PHA从寿命周期的早期阶段开始，因此，分析中的信息较为简单。然而，这些初步信息一般应能指出潜在的危害及其影响，以提醒设计师要通过设计加以纠正。该分析至少应包括以下内容：

①审查相应的产品安全历史资料。任何新研制的产品都有相当的比例沿用老产品的部件、材料及制造技术。因此，这些现成部件、材料及制造技术的有关安全信息对进行PHA很有用。

②列出主要能源的类型，并调查各种能源，确定其控制措施。任何产品的运行都离不开能源，一旦能源失控，发生异常的逸散，则会发生事故。因此，在进行PHA时，要特别注意与能源有关的部件。

③确定产品必须遵循有关的人员安全、环境安全和有毒物质的安全要求及其他有关的规定。

④提出纠正措施建议。在完成识别危害、评价危害的严重程度及可能性之后，还应提出如何控制危害的建议。

3）分析范围：为了能全面地识别和评价潜在的危害，PHA至少应考虑GJB900中5.2.2.1条所规定的内容。虽然并非所有的内容会与所分析的产品有关，但是，在进行这种分析时，必须考虑所有的内容，以防疏忽或遗漏。分析中必须考虑的内容有：

①危害品，例如：燃料、炸药、有毒物质、有危险的建筑材料、压力系统、放射性物质等；

②系统部件间接口的安全性（例如：材料相容性、电磁干扰、意外触发、火灾或爆炸的发生和蔓延、硬件和软件控制等），包括软件对系统或分系统安全性的可能影响；

③确定控制安全性关键的软件命令和响应（例如错误命令、不适时的命令或响应或由使用方指定的不希望事件等）的安全性设计准则，采取适当的措施并将其纳入软件和相关的硬件要求中；

④与安全性有关的设备、保险装置和可能的备选方法，例如：联锁装置、冗余技术、硬件或软件的故障安全设计、分系统保护、灭火系统、人员防护设备、通风装置、噪声或辐射屏蔽等；

⑤包括使用环境在内的环境约束条件，例如：坠落、冲击、振动、极限温度、噪声、接触有毒物质、有害健康的环境、火灾、静电放电、雷击、电磁环境影响，包括辐射在内的电离和非电离辐射等；

⑥操作、试验、维修和应急规程，例如：人因工程、操作人员的作用、任务要求等的人为差错分析；设备布置、照明要求、可能外露的有毒物质等因素的影响，噪声或辐射对人的能力的影响，载人系统中的生命保障要求及其安全性问题，例如坠落安全性、应急出口、营救、救生等；

⑦设施、保障设备，例如：用于含有危害物质的系统或组件的储存、组装、检查、检验等方面的设备、射线或噪声发射器、电源等。

4）输入要求。进行PHA需要以下输入信息：

①各种设计方案的系统和分系统部件的设计图样及资料；

②在系统预期的寿命周期内，系统各组成部分的活动、功能和工作顺序的功能流程图及有关资料；

③在预期的试验、制造、储存、修理及使用的场所和以前类似系统或活动中与安全性要求有关的背景资料。

5）方法选取：初步危害分析的方法包括自上而下分析法、基本危害分析法及辅助分析法，其分析过程见表3-32。根据列车产品所处寿命周期阶段的需求及现有产品进行安全性分析具备的条件，选择一种或多种PHA方法进行分析。

表3-32 初步危害分析方法

6）工作计划：初步危害分析工作计划主要是确定开展分析工作所选用的初步危害分析方法、表格格式、编码体系、任务描述、危害可能性、危害严重性、所需的主要信息（输入要求）、初步危害分析报告（输出结果）、评审、职责与分工等主要内容，并包括完成初步危害分析工作的步骤、实施和工作进度要求等。

7）分工职责：PHA工作应由产品设计人员完成，即“谁设计、谁分析”。可靠性专业人员应协助设计人员完成分析工作，提供实施PHA的程序、方法，并进行指导与会签。PHA工作应分工明确，责任到人，严格实行岗位责任制。

（3）PHA的程序PHA的程序如图3-30所示。

图3-30 PHA程序

1）梳理相关信息：在PHA工作具体开展之前，需要梳理现阶段条件下列车产品所有与其相关的信息，以便分析人员选择分析方法。所需梳理的内容见PHA的输入信息。

2）选择方法：根据已有信息，选择适用于现阶段条件的分析方法。

3）定义表格格式：通过列表进行PHA是目前最常用的一种分析格式，也是一种最经济有效的分析格式。这种格式用于系统地查找和记录被分析产品中的危险，使用方便、简单，便于管理人员发现问题。列表的形式及内容随着被分析产品和分析人员的不同而变化。常用的PHA表格见表3-33。

表3-33 初步危害分析表

表列说明简要介绍如下：

①危害编号：其编号规则为：项目名称+系统+PHAxx，如XXX-zxj-PHA01，即XXX项目转向架系统初步危害分析第1条。

②危害：对列车级危害进行描述。

③运行模式：描述发生该危害时列车的运行模式，包括：正常；降级；紧急；维修。

如果不同运行模式下发生的危害产生的影响或初始风险等级不同，则不同的运行模式应在不同行中填写。

④可能的原因：描述可能导致危害发生的原因，如果原因不同应在不同行中填写。

⑤影响后果：描述危害在对应的发生位置和运行模式下可能导致的最严重的事故。

⑥初始风险。

●初始风险严重性（S）：不考虑危害减轻措施情况下事故后果的严重程度，参考危害严重性等级表进行填写，S1-S5。

●初始风险频度（F）：不考虑危害减轻措施情况下事故的发生频率，参考危害可能性等级表进行填写，F1-F6。

●初始风险等级（R）：不考虑危害减轻措施情况下事故的风险等级，参考风险矩阵进行填写，R1-R4。

⑦危害减轻措施：描述降低风险的控制措施，可从以下方面考虑：

●设计（含形式试验）；

●制造和安装；

●测试、调试和试运行；

●运营和维修。

⑧剩余风险：

●剩余风险严重性（S）：采用减轻措施后事故后果的严重程度，参考表3_-35进行填写，如S1～S4；

●剩余风险频度（F）：采用减轻措施后事故的发生频率，参考表3-34填写，如F1～F6；(www.xing528.com)

●剩余风险等级（R）：采用减轻措施后事故的风险等级，参考表3-34、表3-35进行填写，如R1～R4。

⑨备注：其他补充说明。

此外，根据分析需要还可适当增加如下栏目：

①系统：以列车为对象填写，如：XXX动车组；

②子系统：以列车包括的主要系统为对象填写，如：牵引系统、空调系统、转向架系统等；

③编制日期：填入初次PHA完成的时间，如2012-2-1；

④修订日期：进入到不同阶段后PHA的修订日期，如2012-4-6；

⑤版本：针对每次PHA的修订，形成相应的版本号，如V2；

⑥编制：由编制该文件的系统工程师签字；

⑦审核：由RAMS管控员审核签字；

⑧批准：由项目的技术主管批准签字。

注意事项：PHA表可按被分析对象的实际情况进行选取、增删。

4）确定编码体系：为了对产品的每个危险源进行统计、分析、跟踪和反馈，应根据产品的功能结构，制定编码体系。

注意事项：编码体系应符合产品功能结构层次关系；符合或采用有关标准或文件的要求；对产品各功能组成应具有唯一、简明和适用等特性；与产品的规模相一致，并具有一定的可追溯性。

5）描述产品任务：在PHA工作中应对产品完成任务的要求及其环境条件进行描述，一般用任务剖面来表示。任务剖面是指产品在完成规定任务时间内所经历的事件和环境的时序的描述。若被分析的产品存在多个任务剖面，则应对每个任务剖面分别进行描述；若被分析的产品的每一个任务剖面又由多个任务阶段组成，且每一个任务阶段，又可能有不同的工作方式，则对此情况均需进行说明或描述。

6）定义危害可能性：危害可能性等级给出了发生危害的可能程度的定性度量，其规定见表3-34。

表3-34 危害可能性等级（F）

对于具体的系统，应明确规定频繁、经常、有时、很少、极少、几乎不可能这几种状态发生概率的具体数值，其定义应得到使用方和列车产品研发部门双方的认可。

7）定义危害严重性：危害严重性等级给出了危害严重程度定性的度量。其规定见表3-35。

表3-35 危害严重性等级（S）

对于具体的系统应给出人员死亡、环境损伤、财产损失等方面明确的规定，其规定应得到使用方和列车产品研发部门双方的认可。

8）输出报告。PHA报告的主要内容：

①概述：实施PHA的目的、产品所处的寿命周期阶段、分析任务的来源等基本情况。

②产品的功能原理：被分析产品的功能原理和工作说明，并指明本次分析所涉及的系统、分系统及其相应的功能。

③准备工作：实施PHA的前提条件和基本假设的有关说明；编码体系、危害可能性、危害严重性、PHA方法的选用说明；PHA表选用说明；分析中使用的数据来源说明；其他有关解释和说明等。

④分析过程：PHA表的汇总及说明。

⑤结论与建议：除阐述结论外，对无法消除的危险可能性较高或危害严重性较高的危害源进行必要说明，对其他可能的设计改进措施和使用补偿措施的建议以及预计执行措施后的效果说明。

2.SSHA

SSHA一般在方案阶段进行，在详细的分系统设计信息可获得时就应开始。它用于确定有关分系统的部件和各部件之间接口的危险；确定其性能、性能恶化、功能故障及操作差错会引起危险的所有部件；确定部件的故障模式及其对安全性的影响。

SSHA实际上是PHA的扩展，它比PHA更复杂，它包括定性和定量分析。当分系统设计可获得详细的信息时，便可立即进行SSHA，随着分系统设计的进展，这种分析也应不断修改。常用SSHA表格见表3-36。

表3-36 子系统危害分析SSHA表

SSHA用于确定与分系统设计有关的危险（包括部件的故障模式、关键的人为差错输入）和组成分系统的部件（或设备）之间的功能关系所导致的危险；确定与分系统部件的工作或故障有关的危险及其对系统安全的影响。

目前具体应用于分系统及组成单元的SSHA方法主要有5种：故障模式、影响及危害性分析（FMECA）、故障危害分析（FHA）、故障树分析（FTA）、事件树分析（ETA）、潜在通路分析（SCA）。

3.SHA

SHA通常在工程研制阶段进行，并应尽早开始，它用于确定与分系统接口有关的危险。

SHA用于确定整个系统设计中有关安全性问题的部位，包括安全关键的人为差错，特别是分系统间接口的危险，并评价其风险。SHA主要用于审查以下有关各分系统相互关系的问题：

1）符合系统或分系统文件规定的安全性设计准则。

2）独立的、相关的和同时发生的危险，包括安全装置的故障或产生危险的共同原因。

3）由于某分系统的正常使用导致其他分系统或整个系统的安全性下降。

4）设计更改对分系统的影响。

5）人为差错的影响。

6）软件事件、故障和偶然事件（如定时不当）对系统安全性的可能影响。

7）软件规格说明中的安全性设计准则是否已得到满足。

8）软件设计需求及纠正措施的实现方法不影响或降低系统的安全性或引入新的危险。

SHA的重点在于各分系统之间的接口，因此考虑各部件或分系统间的各接口关系成为SHA的一项重要工作。各接口间的关系主要分为物理的、功能的和能量流的关系。

SHA所用的方法有FMECA、FHA、FTA、危害标识法、人为差错分析等。运用这些方法进行SHA时可以采用表格的方式，前面所用的格式也同样适用于SHA。然而在SHA中，不仅限于分析各独立分系统的危险，而且必须考虑各分系统的相互作用和作为系统整体而工作存在的危险。在进行SHA时，采用的基本分析格式包括叙述性格式、列表式格式和图形格式，所选的格式和方法取决于可用的系统信息量、系统的研制周期和SHA的应用。常用的SHA表格见表3-37。

表3-37 常用的系统危害分析SHA表

4.IHA

接口危害的发生起因于系统/子系统之间的接口。系统接口涉及以下方面：系统研制过程中作为系统层级部分的子系统接口；在系统研制、运营、维修等过程中不同活动的组织或实体之间的接口，在不同的寿命周期阶段可能不同。

接口危害的概念对于任一系统本身并不明显，但是它由不同系统阶段期间的系统接口产生，因此接口危害是很重要的。

IHA识别和分析与系统/子系统内部以及外部的接口相关的潜在危害，引出系统/子系统和相关接口系统/子系统需要执行的危害消除/减轻措施。IHA与其他危害分析方法的区别在于IHA直接地关注接口功能中可能存在的潜在危害。IHA识别出的危害减轻措施可作为系统/子系统本身和相关系统/子系统的安全需求。常用IHA表格见表3-38。

表3-38 常用的接口危害分析IHA表

5.O&SHA

O&SHA主要在工程研制阶段就开始并在各后续寿命周期阶段中不断修改。它用于确定与系统的使用和保障有关的危险。这种分析直接关系到系统运输、存储、维修、使用和退役处理等的安全性考虑。特别重要的是：在使用和保障阶段中，系统所做的任何改型和改进，一定要进行分析，以确定改型或改进是否引入了危险。

O&SHA是为了确定和评价系统在试验、安装、改装、维修、保障、运输、地面保养、存储、使用、应急脱离、训练、退役和处理等过程中与环境、人员、规程和设备有关的危险；确定为消除已判定的危险或将其风险减少到有关规定或合同规定的可接受水平所需的安全性要求或备选方案。

O&SHA所用的方法主要有规程分析和意外事件分析。其中，一个完整的规程分析包括两个阶段的分析工作：第一阶段分析的目的是为了证实设计人员制定的操作和保障规程使操作人员伤亡和设备损坏的概率最小；第二阶段分析是研究由于操作人员偏离设计人员制定的规程可能导致意外的灾难性事故，控制任何可能产生的危险行动。常用O&SHA表格见表3-39。

表3-39 常用的运行和保障危害分析O&SHA表

6.HL

将所有识别出的危害和其他一些相关的信息记录下来，这就是危害登记册（Hazard Log，HL）。HL是风险监控与审核的依据，它确保相应的风险大小在控制范围内，并对风险进行持续地管理。

HL是一种记录已识别的危害、减轻措施（已采取和将要采取的）、风险等级、验证方法和证据以及危害关闭状态的工具。HL是系统安全的关键文档，所有通过各种方式识别的危害都应该记录在HL中；同时，HL提供了系统满足安全要求的证据，是安全证明文件的关键输入。HL是一个“动态”的文档，通常以EXCEL数据表和报告的形式呈现，随着系统设计和危害分析过程的深入，HL应定期更新（如至少每2个月）。

HL包括以下内容：

①危害描述；

②通过风险评估过程，估计频率/可能性和结果事件重要度，计算风险水平；

③为降低风险采取的措施；

④达成协议/定义措施/责任人/备注；

⑤证明哪种措施应该或必须用来管理危害；

⑥通过风险评估过程，在初步风险降低或消除措施之后，计算风险水平；

⑦在引进风险降低措施之后，根据EN50126-1的第4.6条，记录哪些是可以被接受的风险水平。

扩展的登记册目录数据包括：

①参考文献；

②安全记录列表-名字-版本-日期；

③物理地址；

④与项目/产品管理文件一致。

刊物版本包括：

①通知日期；

②进入号码；

③信息源（通告危害的人）；

④原因描述；

⑤参考文献。