SRAC分析方法在动车车辆中的应用研究

赵莉　毛如香　杜玉峰

摘要：本文以某动力集中型动车组作为分析对象，阐述SRAC分析方法在实际项目中的应用及相关说明。目的是将识别出的子系统级接口、硬件、软件、相关操作和运营程序等可能导致安全问题的隐患事件通过全面的管控措施将危害降低到合理范围或消除危害。

关键词：安全相关应用条件;危害分析;安全案例

1 概述

安全相关应用条件（SRAC）指当车辆制造商无法通过技术手段降低危害事件的严重性和发生频率时，提出的相关接口方需满足的车辆使用条件。目的是通过此方法将危险事件的严重性和频率降到尽可能低的合理范围或消除危险，以提高轨道车辆的运行安全性。安全相关应用条件（SRAC）的管理是开发安全相关系统的必要先决条件，由安全分析产生。安全认证项目中必须包含此类文件。

本文以某动力集中型动车组（以下均称某动车项目）的SRAC分析为例，阐述SRAC分析方法在实际项目中的应用。

2 SRAC分析方法

2.1 实施时机

（1）详细设计阶段需启动SRAC分析报告的编制，根据安全分析（包括初始危害分析PHA、接口危害IHA、子系统危害SSHA、操作与维护危险分析OSHA）的结果将与安全相关的项点摘选出来编制危害登记簿HL，然后把HL里可以转移给运营单位等相关方的危害事件摘选出来，编制SRAC。

（2）整个设计阶段结束之前须识别所有的SRAC。在调试阶段，所有的SRAC均须移交给相关机构（如运营单位、信号方等）。

2.2 分析过程

（1）以某动车车辆的SRAC為例进行阐述。依据EN15380标准，对车辆进行功能分解，以便更全面的对车辆进行安全分析。如下表1所示。

（2）筛选出符合某动车车辆的功能结构，再进行安全分析。

2.3 数据来源

（1）SRAC分析数据来源于安全分析PHA、IHA、SSHA、OSHA，从这些安全分析里将与安全相关的项点摘选出来编制HL;见下图1所示流程图：

（2）在初步设计阶段，开展初步隐患分析。在系统级别识别分析系统、与车辆的接口、环境等方面的隐患，确保隐患分析中安全功能分析的全面性。

（3）在详细设计阶段，识别子系统级接口、硬件、软件、相关操作和运营程序等可能导致安全问题的隐患事件并评估其风险，通过设计、制造、试验、运维等手段对危害进行管控，将风险控制在合理可接受的范围。且随着设计的深入须不断识别新的危害，并编制在HL中进行统一管理，直至所有危害被关闭或被业主接收。如下表2所示：

（4）如识别的危害没有得到充分的处理，无法完全满足安全要求（和关闭相关危害），就须编制SRAC。如表2中，对于防火危害，需运营单位制定相关规定并执行“禁止携带易燃易爆物品”“禁止吸烟”等管控措施及定期检修灭火器确保可正常使用，这些措施车辆制造商无法完成，故将这部分风险转移给运营单位处理，进而减少或避免火灾的发生。

（5）当已经通过遵守与设备预期用途相关的一般法则或规范性条例避免了相关危害时，则不需要编制SRAC。如表2中，因车内联络电话故障导致乘客无法听到客室广播包括警情提醒的风险，可由车辆制造商通过冗余设计来减少或避免危害的发生，即在正常模式下当1车广播主机故障时会自动切换到2车广播主机工作，不会影响乘客获取客室广播的信息，故此类风险无需转移给运营单位等相关方。

（6）将HL中需转移的风险摘选出来编制SRAC，且每个SRAC至少与一个危害相关联。

2.4 分析要点

（1）SRAC分析须为安全要求使用与可追溯性、确认和验证相同的过程。分析时须包含以下内容：

编号：指SRAC项点的编号，编码使用便于识别与管理的规则即可，如可以为“项目代码+SRAC+适用车型（如M，TC等）+序号”。该编号为唯一可识别的;危害来源：指SRAC项点的来源，取自HL，或直接自PHA、IHA、SHA、OSHA分析中选取;危害描述：取自HL，或直接自PHA、IHA、SHA、OSHA分析中选取;危害控制措施：取自HL，或直接自PHA、IHA、SHA、OSHA分析中选取;转移对象：执行危害控制措施的人员，多指运营商处的相关人员（如司乘人员、站台工作人员等）或其他非车辆制造商人员（如信号商工作人员）等。转移对象须为已确定的人员。

综上要求，形成下表3所示的以某动车项目为例的SRAC分析：

（2）如果一个设备有很多SRAC，则其与其他设备存在许多接口，将此设备集成到更多的系统中工作量会大增，可通过以下措施减少这种工作量，具体如下：①剔除不是SRAC的项点（例如，有关系统特性的信息）;②改进设计，避免SRAC;③造成信息不完整或缺失的SRAC;④不可能应用或应用不合理的SRAC（如，达不到）;⑤为用户提供信息不够清晰的SRAC，例如语言问题或歧义造成的信息不清晰;⑥被错误地视为已经应用但实际上并未实施的SRAC，这会导致安全缺陷。

2.5 SRAC的管理

（1）如果一个SRAC未解决，其后果可能是产生一个危害，或者发生危害的可能性会显著增加。在SRAC的管理中，从相关安全案例中导入的SRAC应显示为关闭，且已提供相关证据或者（完全或部分）被再次导出给后续用户。（2）SRAC分析的项点须得到运营单位或相关方的同意。

3 结语

本文通过某动车车辆的SRAC分析，提出了SRAC分析的实施时机、数据来源、分析要求及管理，且SRAC分析出的结果须得到运行单位等相关方的同意。将车辆制造商无法通过技术手段解决的危害转移给运营单位等相关方运用管理的方法将危害降低到尽可能低的合理范围，提高轨道车辆的运行安全性。

参考文献：

[1]EN 5012612017铁路应用—可靠性、可用性、可维护性和安全性（RAMS）的规范和证明—第1部分：一般的RAMS过程.

[2]BS EN 50129：2018铁路应用—通信、信号和处理系统—信号安全相关的电子系统.

作者简介：赵莉（1981—），女，工程师，现从事轨道交通车辆RAMS/LCC系统设计工作;毛如香（1976—），男，高级工程师，现从事轨道交通车辆RAMS/LCC系统保证工作;杜玉峰（1975—），男，高级工程师，现从事轨道交通车辆RAMS/LCC系统设计工作。