北京交通大学系统安全保障技术课堂讨论组

1、FAO系统初步危害分析报告1引言32.1背景6.1.1目的3.1.2文件结构3.1.3缩略语3.1.4安全术语4.1.5参考文件4.6.2系统综述2.2系统功能6.2.3系统架构7.3初步危害分析方法9.3.1头脑风暴103.2检查表103.3危害和可操作性研究（HAZO）1.03.4结构性假设分析技术（SWIFT 1.34基于HAZO初步危害分析154.1初步危害分析1.54.2系统定义164.3 HAZOP 分析16定义系统边界1.6建立 HAZOP 表1.6确定危险描述 1.7具体分析1.7175结论1引言1.1目的本文档旨在提供FAO系统的初步危害分析报告。本报告介绍了 FAO系统定义

2、以及初步危害分析方法。本报告是对FAO系统使用前预先危害分析，是从各种局部单元的危险状态归纳出最终的 潜在事故和事故的严重性，确定潜在事故影响的危害性，并建立初步的安全规范要求，以减少 或控制所确定的危险状态和潜在事故， 由这种分析得到的结果可以预测硬件、 规程和系统接口 问题区域，为进一步制订安全性大纲提供信息， 并确定安全性工作进度的优先顺序、 安全性试 验的范围、进一步安全性分析的范围。1.2文件结构该报告描述FAO系统初步危害分析。共4部分包括：1、引言2、系统概述3、初步危害分析方法4、基于HAZOP初步危害分析第1章简要介绍编写此分析报告的目的、 范围、相关的安全术语及参考文件；第

3、2章描述 系统的概况，系统功能和系统定义；第3章描述了初步危害分析的各种方法；第4章基于HAZOP 方法对FAO系统进行初步危害分析。1.3缩略语缩写全称中文ATOAutomatic Train Operation列车自动驾驶ATPAutomatic Train Protection列车自动防护FAOFully Automatic Operation全自动无人驾驶FMEAFailure Mode and Effect Analysis故障模式及影响分析FTAFault Tree Analysis故障树分析PHAPreliminary Hazard Analysis初步危险源分析RAMRelia

4、bility, Availability and Maintainability可靠性、可用性和可维护性SILSafety Integrity Level安全完善度等级HAZOPHazop and operability studies危险与可靠性分析SWIFTStructured What-If Technique结构性假设1.4安全术语事故：指不期望发生且导致损失的事件。故障-安全：安全苛求系统的一个设计准则，硬件故障的或软件错误时防止系统呈现或维 持一种不安全状态，或者使系统导向安全状态。失效：相当于系统指定运行的偏差。失效是系统故障或错误的结果。危险源：可能会导致事故的状态或条件。危险

5、源分析：为识别危险条件并进行有目的的消除或控制而执行的分析活动。危险源严重度：对由于指定危险源导致的事故造成的后果评估结果。事件或险性事故：指不期望发生且未导致损失的事件。 但是在不同条件下，有可能会导致 损失。可靠性：在设计参数范围，特定运营条件及在特定的时间内， 系统无故障完成指定功能的 概率。可靠性通常用平均无故障时间衡量。风险：事故发生的可能性及可能出现的危险源。安全性：避免不能接受的危险源风险，如导致人员伤亡，职业病，设备/财产损失及对环境的破坏。安全完善度等级：对于安全相关系统的安全功能确定安全完善度要求的诸多规定的分立等 级进行分配。最高的安全完善度等级具有最高级的俄安全完善度。

6、系统安全：贯穿列控、信号系统生命周期的运营、技术性、管理技术及原理的应用，将危 险源尽可能合理可行的降低。安全工程：在列控、信号系统生命周期内应用科学、工程技术原理以满足项目/工程的安全目标。安全管理：直接影响系统安全的有组织的计划、控制及集成活动。安全程序：安全管理与安全工程结合的任务及活动。安全计划：用于执行组织结构、责任、程序、活动、性能和资源按时间排定的活动、资源 和事件具有证明文件的设置，共同保证项目满足规定的与签订的合同或工程相关的安全要求。 通过分析与测试，证明产品满足所有指定要求的活动。确认人员：被指定为执行确认的人或机构。验证人员：被指定为执行验证的人或机构。1.5参考文件E

7、N50126:铁路应用：可靠性、可用性、可维护性和安全性的规范（RAMS）-1:基本要求与一般过程EN50128-2001 :铁路应用：铁路控制和防护系统软件EN50129-2003:铁路应用：与安全相关的信号电子系统EN50125-1-1999:铁路应用：设备的环境条件第一部 车载设备EN50121-4-2003:铁路应用：电磁兼容性-4:信号设备和电信设备的辐射和抗干扰IEEE1474: CBTC 系统规范IEC-61882:危险与可操作性分析（HAZOP分析）应用导则Automatic Train Operati on on2系统综述2.1冃景FAO (Fully Automatic O

8、peration)是一个被应用在世界很多城市轨道交通系统中的成熟技术。在服务、运营、安全和成本方面有如下优点：?服务消除人工驾驶带来的偏差，站间运行时间更加趋于统一。具有乘客门自动开关和列车自动 离站、自动折返功能的无司机、无人自动驾驶可以进一步减少线路运营的变化，提供标准化的 服务质量。?运营可以使线路运营者摆脱对列车乘务人员需求的限制，具有频繁改变列车编组的灵活性。 对于配有全自动维修车间和驻车线的无人驾驶系统，不需要增加司机或人工干预就可以灵活地对非预期的客流增加的情况下添加额外的服务列车。列车自动调整功能可以便于换乘，减少系统 整体延误。?安全通过减少人因错误，采用自动故障检测和处理可

9、以更加有效地针对系统干扰和紧急情况做 出反应。?成本自动化可以减少人力成本，节能优化算法可以减少能源成本。2.2系统功能考虑到客流密度和经济成本因素，北京地铁公司计划将北京地铁昌平线的列控系统升级为 FAO系统。ATO的功能主要如该系统应包含如下功能：正线无人驾驶区域信号管理可实现无人驾驶列车运营的区域信号模式管理 该区域内无人驾驶列车的故障处理以及恢复正线的无人驾驶列车管理实现无人驾驶列车的唤醒-待命-运营状态管理地面突发事件监控处理正线的设备故障监控紧急制动管理乘客上下车管理对乘客上下车的监督对上下车过程发生的突发状况进行处理车站内的监控车站内乘客的监督车站内突发事件的监督列车安全启动管理

10、列车安全启动监督列车紧急制动管理2.3系统架构FAO产品的系统架构如图1所示。图1 FAO产品系统架构由图1所示，FAO产品中，控制中心的主要任务是正线无人驾驶区域信号管理、正线的 无人驾驶列车管理、地面突发事件监控处理；列车的主要功能为列车自动操作、 车载设备工况 监控、乘客管理；车站的主要任务为乘客上下车管理、车站内的监控、列车安全启动管理。在本项目的危险源识别过程中，会考虑在以下情况下，但不保证在这些情况下使用的安全 问题。?极端恶劣天气条件（如洪水、国家灾难）；?恶劣地质条件（如地震，滑坡）；?轨道损毁或遭到破坏；?在信号系统未投入使用情况下的列车运行；?违反信号系统使用手册、操作手册

11、或信号系统操作与维护安全须知的操作规程；?维修人员违反规定的维修规程；?其他非信号系统设备故障（如车辆紧急制动系统故障、车门故障、屏蔽门故障、紧急停车按钮故障）3初步危害分析方法危险源是指可能造成人员伤害、职业病、财产损失、作业环境破坏的根源或状态。危险因 素是指能使人造成伤亡，对物造成突发性损坏，或影响人的身体健康导致疾病，对特造成慢性 损坏的因素。安全科学理论根据危险源在事故发生发展过程中的作用，把危险源划分为两大类。根据能量意外释放理论，能量或危险物质的意外释放是伤亡事故发生的物理本质。于是把生产过程中存在的，可能发生意外释放的能量（能源或能量载体）或危险物质称作第一类危险 源。为了防止

12、第一类危险源导致事故，必须采取措施约束、限制能量或危险物质，控制危险源。正常情况下，生产过程中的能量或危险物质受到约束或限制， 不会发生意外释放，即不会 发生事故。但是，一旦这些约束或限制能量或危险物质的措施受到破坏或失效（故障） ，则将 发生事故。导致能量或危险物质约束或限制措施破坏或失效的各种因素称作第二类危险源、第二类危险源主要包括物的故障、人的失误和环境因素。物的故障是指机械设备、装置、元部件等由于性能低下而不能实现预定的功能的现象。从安全功能的角度，物的不安全状态也是物的故障。物的故障可能是固有的，由于设计、制造缺 陷造成的；也可能是由于维修、使用不当，或磨损、腐蚀、老化等原因造成的

13、。人的失误是指 人的行为结果偏离了被要求的标准，即没有完成规定功能的现象。人的不安全行为也属于人的 失误。人的失误会造成能量或危险物质控制系统故障， 使屏蔽破坏或失效，从而导致事故发生。人和物存在的环境，即生产作业环境中的温度、湿度、噪声、振动、照明或通风换气等方 面的问题，会促使人的失误或物的故障发生。一起伤亡事故的发生往往是两类危险源共同作用的结果。第一类危险源是伤亡事故发生的 能量主体，决定事故后果的严重程度；第二类危险源是第一类危险源造成事故的必要条件，决定事故发生的可能性。两类危险源相互关联、相互依存。第一类危险源的存在是第二类危险源 出现的前提；第二类危险源的出现是第一类危险源导致

14、事故的必要条件。因此，危险源辨识的首要任务是辨识第一类危险源；在此基础上再辨识第二类危险源。传统的危险源辨识主要依据事故经验进行， 主要采用与操作人员交谈、现场安全检查、查 阅记录等方法。20世纪60年代以后，国外开始根据法规、标准和安全检查表进行危险源辨识。 随着系统安全工程的兴起，系统安全分析方法逐渐成为危险源辨识的主要方法。系统安全分析 是从安全的角度进行的系统分析，它通过揭示系统中可能导致系统故障或事故的各种因素及其 相互关联来辨识系统中的危险源。系统中危险源的存在是绝对的，任何工业生产系统中都存在 许多危险源。受实际技术、人力、物力等方面因素的限制，不可能彻底消除或完全控制危险源，

15、只能集中有限的人力、物力消除或控制风险较大的危险源。当危险源的风险很小可以忽略时， 不必采取控制措施。在风险评价的基础上，按其风险大小把危险排序，为确定采取控制措施的 优先次序提供依据。3.1头脑风暴头脑风暴法师为了克服群体压力抑制不同见解而设计的，鼓励人的创造性的思维，开展危险辨识。可以充分利用自己的经验，发货创造性，通过提出和回答一系列问题，揭示潜在事故 的后果。这种方法能解释生产过程中其他方法不易辨识的危险，较为灵活，并具有创造性。运 用头脑风暴开展危险辨识，目的在于营造一种鼓励大家畅所欲言的氛围。运用头脑风暴开展危险辨识的具体步骤是：(1)参与人员围桌而坐或身临现场，主持人阐明项目的具

16、体内容和程序，并保证每名参与 人员都完全了解该项目的具体内容。每名工作人员各抒己见，阐明自己对问题的看法，说出自己认为系统某一部分工作中 可能存在的一项或几项危险因素和可能导致的事故模式。(3)主持人组织全体人员逐一讨论分析所有观点，确定危险因素并制定针对性预防措施。3.2检查表检查表是在大量实践经验基础上编制的，实际上就是实施安全检查和诊断的项目明细表。 也就是说将整个被检系统分成若干分系统，对所要查明的问题，根据生产和工程经验、有关范围标准以及事故情况进行考虑和布置。把要检查的项目和具体要求列在表上，以备在检查和设计时按预定项目去检查。检查表的内容一般包括分类项目、检查内容及要求、检查以后

17、处理意见、隐患整改日期等，每次检查后都应填写具体的检查情况。检查表应包含的内容：Hazardous materialsEn vir onmentEn ergy sourcesHuma n in teractio ns/processes ；3.3危害和可操作性研究(HAZO)概述HAZOP采用结构化和系统化方式分析给定系统，目的是：(1) 识别系统中潜在的危险。这些危险既包括与系统临近区域密切相关的危险，也包括一 些影响范围更广的危险，如某些环境危害；(2) 识别系统中潜在的可操作性问题，尤其是识别可能导致各种事故的生产操作失误与设备故障。HAZOP分析的重要作用在于，通过结构化和系统化的方式

18、识别潜在的危险与可操作性问题，分析结果有助于确定合适的补救措施。HAZOP分析的特点是由各专业技术人员组成分析 小组，以“分析会议”的形式进行。会议期间，在分析小组组长的引导下，使用一套核心引导 词，对系统的设计进行全面、系统地检查，识别对系统设计意图的偏差。该技术旨在利用系统 的方法激发参与者的想象力，识别系统中潜在的危险与可操作性问题。HAZOP的分析步骤如下图所示：图2 HAZOP分析步骤332分析原则HAZOP分析的基础是“引导词检查”，它是对系统与设计目的偏差的缜密查找过程。为 便于分析，可将系统分成多个部分，并充分明确各部分的设计目的。所选部分的大小取决于系 统的复杂性和危险的严重

19、程度。HAZOP小组使用预先确定的“引导词”，对每种要素（和相关的特性）进行分析，通过 问询过程，识别并确认会导致不利后果的偏差。引导词的作用是激发分析人员的想象性思维， 使其专注于分析，提出观点并进行讨论，从而尽可能使分析完整全面。基本引导词及其含义见 表1:表1基本引导词及其含义引导词含义无，空白（NO或者NOT）设计目的的完全否定多，过量（MORE）量的增加少，减量（LESS）量的减少伴随（AS WELL AS）性质的变化/增加部分（PART OF）性质的变化/减少相反（REVERSE）设计目的的逻辑取反异常（OTHER THAN）完全替代早（EARLY）相对于给定时间早晚（LATE）相

20、对于给定时间晚先（BEFORE）相对于顺序或序列提前后（AFTER）相对于顺序或序列延引导词/要素的组合可视为一个矩阵，其中，引导词定义为行，要素定义为列，所形成的 矩阵中每个单元都是特定引导词/要素的组合。为全面进行危险识别，要素及关联特性应涵盖 设计目的的所有相关方面，引导词应能引导出所有偏差。并非所有组合都会给出有意义的偏差, 因此，考虑所有引导词/要素的组合时，矩阵可能会出现空格。矩阵中各单元的分析顺序有两种，一种是逐列，也就是要素优先；一种是逐行，也就是引导词优 先。3.4结构性假设分析技术（SWIFT结构化假设分析（Structure What-if Technique,简称SWI

21、FT）是作为HAZOP更简单的替代 性方法推出的。它是一种系统的、团队合作式的研究方法，利用了引导员在讨论会上运用的一 系列“提示”词或短语来激发参与者识别风险。引导员和团队使用标准的“假定分析”式短语 以及提示词来调查正常程序和行为的偏差对某个系统、设备组件、组织或程序产生影响的方式。 通常，与HAZOP相比，SWIFT用于某个系统的更多层面，同时细节要求较低。在开始进行研究之前，必须对系统、设备组件、程序及/或变化进行认真界定。引导员应通过访谈以及对文件、计划和图纸的全面分析建立内外部背景。一般来说，研究涉及的项目、 情况或系统应划分成节点或关键要素以便于开展分析过程，而这在HAZOP的界

22、定层面中很少涉及。另一个关键输入数据是经过认真挑选的研究团队的专业知识和经验。其中，所有利益相关者的观点都要得到反映，如果可能的话，应当将其与拥有类似项目经验或情况经历的人员的观 点统筹考虑。一般过程如下所示：1）在开展研究之前，引导员应准备一份相关的词语或短语提示单。该清单可以基于一系 列标准的词语或短语，也可以是为便于对危险或风险进行综合分析而形成的词语或短语。2）讨论会应讨论并约定项目、系统、变化或情况的内外部背景以及研究范围。3）引导员要求参与者提出并讨论：已知的风险和危险；以往的经历和事件；已知和现有的控制及保障措施；监管要求和限制措施。4）使用“假定分析”这样的短语及提示词或主题以

23、形成问题，达到引导讨论的目的。计 划使用的“假定分析”短语包括“要是怎么办”、“如果会发生”、“某人或某事会” 以及“有人或有事曾经”。其目的是激发研究团队探讨潜在的情景及其原因和后果以及影响。5）总结风险，同时团队分析现有的控制措施。6）与团队确认风险及其原因、后果和预期控制的描述，并进行记录。7）团队分析控制措施是否充分有效，同时就风险控制效果的声明达成一致。如果未达到 满意的效果，团队应继续风险应对工作并界定潜在的控制措施。8）在本次讨论中，提出更多的“假定分析”问题，以识别更多的风险。9）引导员利用提示单来监督讨论并建议团队讨论其他问题和情景。10）通常要使用定性或半定量风险评估方法来

24、将按先后顺序排列的行动进行等级划分。 般来说，在使用这种风险评估方法时，我们要考虑现有的控制措施及其效果。4基于HAZO初步危害分析系统安全性分析是安全系统工程的核心内容，也是安全性评价的基础。系统安全性分析方 法目前提出的有数十种之多。我国应用较多的是事故树分析、事件数分析、故障类型影响分析、 因果分析图法、安全检查表法等系统安全性评价方法目前应用较多的是风险评价、层次评价、 模糊评价等，及一些分析方法附带的评价功能。对于城市轨道交通系统的安全性分析，由于缺乏可借鉴的资料和规范的统计数据，并且目的是发现潜在的危险因素，采用初步危害分析对系统进行安全性分析和评价是比较合适的。4.1初步危害分析

25、初步危害分析（preliminary hazard analysis,简为PHA）是一种事前归纳方法，是从各种 局部单元的危险状态归纳出最终的潜在事故和事故的严重性。初步危害分析通常是系统安全性大纲中所执行的第一种安全性分析方法，它包含了危险源的分析和评价。初步危害分析最好是在系统进行技术设计是就开始进行，这样才能减少系统建成后因为存在各种不安全因素或各类事故频发倾向而必须进行改造的费用。但由于国内城市轨道交通系统在设计、建造和运营时，没有编制和执行系统安全性大纲，也没有进行过各种系统 的安全性分析与评估，所以对已建成的城市轨道交通系统进行初步危害分析也是必要的和有意 义的。PHA的主要目的：

26、1）确定系统中危险单元、危险状态和潜在事故；2）确定潜在事故影响的危害性；3）建立初步的安全规范要求，以减少或控制所确定的危险状态和潜在事故。由这种分析得到的数据和信息有以下几个方面的作用：1）预测硬件、规程和系统接口问题区域；2）为进一步制订安全性大纲提供信息；3）确定安全性工作进度的优先顺序；4）确定安全性试验的范围；5）确定进一步安全性分析的范围。PHA的原理基于事故因果联锁链理论，即认为：事故的发生首先要有危险状态的产生（人 的不安全行为或物的不安全状态），并且危险状态的产生有其原因：危险状态并不一定会导致 事故发生，须在某个或几个触发事件的作用下转化为事故。根据危险状态发生的频率和触发事 件发生的概率，可以推算出事故发生的频率，再根据事故后果的严重级别和事故发生的频率推 算出