吴炳昊（北京全路通信信号研究设计院有限公司，北京 100073）

1 概述

安全相关项目的安全风险管理一般是先进行危险源识别，然后对识别出的危险源进行原因、后果分析，并进行方案比选，最终将危险源引起的安全风险控制在可接受的范围内或输出给其他系统/子系统/设备或其他的相关方（如运营部门、维护部门等）进行风险的控制。

本文根据作者在安全相关项目中进行危险源管理的一些经验，对危险源管理涉及的方面和基本的管理方法进行介绍。

2 危险源及相关要素

2.1 危险源定义

EN 50126[1]将危险源（H aza rd）定义为：可造成潜在人员伤亡的物理情况。EN 50129将危险源定义为：可能导致事故的一个状态；EN 50129对事故的定义是：可造成伤亡、运营损失或环境损失的事件或事件序列。

危险源发生在系统边界上。危险源的发生有其成因；危险源的发生可能导致事故，可通过设置一些“屏障”来阻止事故的发生[3]。“成因”指可能导致危险源的状态或事件；“屏障”可能阻止危险源导致事故，但不一定设置了“屏障”，事故就不会发生。因此，能沟通系统本身进行解决的，尽量通过系统内部进行解决。

危险源、成因、屏障及事故如图1所示。

吴炳昊，男，硕士毕业于北京交通大学，安全保障工程师。主要研究方向包括软件安全保障、城市轨道交通信号系统的安全保障，曾参与基于交叉感应环线的MATC系统集成研究、基于通信的列车自动控制系统研究等项目。

2.2 危险源的控制

对危险源的控制，实际上是将危险源引起的安全风险控制在可接受的程度内。

对于可以从系统内部解决方法，可以通过新增或变更系统需求，来降低危险源引起的安全风险；这种方式通常称之为派生安全需求，通过系统/子系统/设备对安全需求的满足来降低安全风险。

如果在系统内部解决较为困难（可能由于成本过高），就需要通过系统外部的限制措施来控制系统安全风险。对于这种方式，一般称之为派生安全相关应用条件，通过对系统外部（可能是其他系统/子系统/设备、操作人员、维护人员等）的限制来降低安全风险。

3 风险分析

3.1 危险源识别

危险源识别是风险分析的基础，缺少系统的、全面的危险源识别可能严重影响风险分析的效果，并建立本不存在的安全信心。这是非常严重的后果。

因此，在进行危险源识别之前，需要理解系统的边界，并理解其与所在环境的交互。这里的环境应该指广义的环境，包含其所在环境的温度、湿度、震动、电磁、其他系统/子系统/设备、操作人员、维护人员、拆除人员等所有与该系统相关的要素。

在进行危险源识别时，不应仅局限于某一状态，如不应只考虑设备稳定运行时的危险源。危险源的识别应涉及到全生命周期，如安装、正常运行、升级改造和拆除等。

危险源识别的常用方法：根据经验积累得到的检查表、系统/子系统/设备的FM EA（Failu re M ode and Effects Analysis）、与人因相关的人机接口分析、头脑风暴、HA ZOP（H azard an d Operability Studies）等。这些方法，各有所长，应系统地考虑这些方法，选择一个尽可能全面的发现所有危险源的方法集，进行项目的危险源识别活动。

危险源识别的结果应进行记录，形成危险源日志。

3.2 原因分析

危险源识别之后，应进行原因分析，以评估危险源发生的可能性，并制定措施以降低危险源发生的可能性。

进行原因分析要理解系统的内部组件构成，并且要熟悉系统的共模故障、各种故障之间的依赖关系、正确的逻辑关系等。

原因分析可以是定性的，也可以是定量的；一般使用图形的方式对可导致危险源的故障进行描述，有利于理解故障与危险源之间的关系。常用的原因分析方法有故障树分析（FTA，Fau lt T ree Analysis）和FMEA。

3.3 后果分析

后果分析的目的在于分析每个危险源的影响。通过后果分析，可以评估每个危险源所引起的损失，并可制定相应的措施以减小危险源所引起的损失。

后果分析主要基于经验，需要对系统相关领域较为了解。进行后果分析时，一般采用自底向上的方式，从危险源开始，展开所有可能的事件序列，得到所有可能发生的事故。通过后果分析，可以设置一些屏障，阻碍危险源演变为事故，以减小损失、降低安全风险。

通过经验数据的统计，可定量的计算出每个危险源所导致的各种事故的可能性；并可通过经验数据的统计，估计出每种事故所带来的损失，这样就形成了定量的后果分析。在经验数据不具备的情况下，也可考虑使用专家的经验来进行估计。无论是经验数据的积累，还是专家估计的数据，均为定量后果分析的基础；这些数据的准确性直接影响到定量后果分析结果的准确性。

常用的后果分析方法有事件树分析（ETA，Event T ree Analysis）和因果图（Cause Consequence Diagramm ing）。

3.4 安全风险及接收

通过原因分析和后果分析的结果，可以估计出危险源所引起的安全风险。相应的，通过原因分析和后果分析，可以得到各种降低风险的措施。那么所估计出的安全风险，就分为了采取措施之前的安全风险和采取措施之后的安全风险。在安全接收时，考虑的是采取措施之后的安全风险。存在多种减缓措施时，应考虑采取每种减缓措施后的安全风险，并以此进行所采用的减缓措施选择。

通常采用的安全接收标准有A LARP（A s Low A s Reasonab ly Practicab le）、GAMAB（G lobalem en t Au M oins Aussi Bon）、MEM（M inimum Endogenous Mortality）[1]。

4 危险源的管理

4.1 危险源属性

通常，项目的危险源记录在危险源日志中。一般来说，危险源具备如下属性。

1）危险源ID：危险源的唯一索引；

2）危险源描述：对危险源事件的描述；

3）危险源来源：记录危险源的出处（危险源识别过程），有助于更好的理解危险源；

4）危险源成因：导致危险源的原因；

5）危险源后果：危险源可能导致的后果；

6）减缓措施：降低危险源引起安全风险所采取的措施；

7）采取减缓措施前的安全风险；

8）采取减缓措施后的安全风险；

9）相关的安全需求及安全相关应用条件；

10）危险源状态：一般有新识别、处理中、可接收等状态。

在进行危险源维护时，应对危险源的各种属性进行维护。

4.2 相关角色

危险源的识别及分析应由相关领域的资深技术人员或专家进行。

对于已识别并记录进危险源日志中的危险源的管理相关的角色主要有安全工程师和H CB（Hazard Control Board）。

通常，安全工程师负责危险源日志的维护。HCB负责危险源状态迁移的证据审核，并负责对危险源的状态迁移授权。安全工程师只可按照H CB的授权进行危险源状态的维护。根据安全工程师与HCB的职责，安全工程师一般需要具备行业的知识背景和基本的安全管理知识即可；HCB则需要由资深的技术人员和专家组成。

4.3 状态迁移

以危险源有“新识别”、“处理中”、“可接收”3种状态为例，危险源的状态迁移如图2所示。

各状态的迁移必须得到H CB的授权。需要说明的是到“可接收”的迁移授权，HCB不但要看到危险源的减缓措施已制定并且合理（与该措施相关的分析正确），还要得到相应的证据，才可授权危险源的状态为“可接收”。在这里，相应的证据是指：安全需求得到满足的证据，如对安全需求进行覆盖的测试案例及测试案例被测试且通过的证据、安全相关应用条件得到输出的证据等。

5 结论

本文对安全相关项目中的危险源管理，涉及危险源识别、原因分析、后果分析以及危险源日志的管理。录入到危险源日志的危险源，其状态迁移需要经过H CB的授权。危险源从识别的准备和识别出来、到对其进行分析、再到最后的接收，中间的每一个环节都非常重要，任何一个环节的疏忽，都有可能产生错误的接收危险源，为事故的发生留下隐患。

[1] Railway applications—The specification and demonstration of Reliability, Availability, Maintainability and Safety(RAMS）EN 50126:1999[S].

[2] Railway applications—Communication, signalling and processing systems—Safety related electronic systems for signaling EN 50129:2003[S].

[3] Engineering Safety Management (The Yellow Book）[S].