QJ 3273-2006 航天产品安全性分析指南.pdf

《QJ 3273-2006 航天产品安全性分析指南.pdf》由会员分享，可在线阅读，更多相关《QJ 3273-2006 航天产品安全性分析指南.pdf（28页珍藏版）》请在麦多课文档分享上搜索。

1、中华人民共和国航天行业标准QJ 32732006航天产品安全性分析指南 Safety analysis guideline for space products 20061215发布 20070501实施国防科学技术工业委员会 发 布 FL 1600 QJ 32732006 I目 次 前言II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 安全性分析一般要求.1 5 安全性分析基本步骤和详细说明.3 5.1 基本步骤3 5.2 详细说明3 6 安全性分析工作项目说明.6 6.1 初步危险表6 6.2 初步危险分析8 6.3 分系统危险分析11 6.4 系统危险分析13 6.5

2、使用和保障危险分析13 6.6 安全性分析技术选用原则16 7 安全性分析报告及清单要求.17 7.1 报告要求17 7.2 安全性关键项目清单18 7.3 残余危险清单18 附录A (资料性附录) 航天产品一般危险源检查项目示例19 附录B (资料性附录) 航天产品危险能源检查项目示例22 附录C (资料性附录) 载人航天器任务安全性关键功能检查项目示例23 附录D (资料性附录) 航天产品使用保障活动检查项目示例24 QJ 32732006 II前言 本标准是QJ 2236A1999航天产品安全性保证要求的支持性标准。 本标准的附录A、附录B、附录C和附录D为资料性附录。 本标准由中国航天

3、科技集团公司提出。 本标准由中国航天标准化研究所归口。 本标准起草单位：中国航天标准化研究所。 本标准主要起草人：周海京、刘春雷、谷岩、肖名鑫、遇今、程卓。 QJ 32732006 1航天产品安全性分析指南 1 范围 本标准规定了航天产品安全性分析的基本方法、程序及报告要求。 本标准适用于航天产品在论证、方案、工程研制及使用阶段开展的安全性分析活动。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包含勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文

4、件，其最新版本适用于本标准。 GJB/Z 142 军用软件安全性分析指南 GJB/Z 768 故障树分析指南 QJ 2236A1999 航天产品安全性保证要求 QJ 2437 卫星故障模式影响及危害度分析 QJ 2932 航天器和导弹武器系统安全性评审指南 QJ 3050 航天产品故障模式、影响及危害性分析指南 QJ 3139 危险分析方法和程序 QJ 3217 潜在分析方法和程序 3 术语和定义 QJ 2236A1999确立的术语和定义适用于本标准。 4 安全性分析一般要求 4.1 安全性分析是QJ 2236A1999规定的航天产品安全性保证工作项目，其主要内容包括： a） 识别系统中所有可

5、能存在的危险因素； b） 分析危险引发事故的原因、过程和后果； c） 结合已采取的安全性措施，评价危险的可能性、严重性和风险； d） 依据预先确定的规则划分危险类别，确定安全性关键项目和残余危险； e） 提出分析结论和评价意见，为后续安全性设计、验证、评价和工程决策活动提供依据。 4.2 依据QJ 2236A1999的要求，航天产品在研制、使用过程中应重点开展以下安全性分析活动（工作项目）： a） 初步危险表（PHL）； b） 初步危险分析（PHA）； c） 分系统危险分析（SSHA）； d） 系统危险分析（SHA）； e） 使用和保障危险分析（O&SHA）。 QJ 32732006 24.3

6、 安全性分析应从研制阶段早期开始，在整个型号研制及使用过程中，工程单位应根据工作进展情况和可获得的数据、信息逐步开展各项安全性分析工作。 4.4 安全性分析工作应贯穿整个寿命周期。在不同阶段，由于可获取的数据及信息的不同，安全性分析的重点也有所不同。在论证阶段和方案阶段初期，航天产品安全性分析重点在于考察系统固有危险特性；在方案阶段后期和工程研制阶段，安全性分析则将对故障、接口以及产品使用操作等有关的危险进行全面分析和综合评价。表1给出了4.2所述五项安全性分析工作项目的分析重点。 表1 各项安全性分析的重点 分析名称 分析重点 初步危险表 初步识别产品中的固有危险因素 初步危险分析 综合分析

7、产品固有危险因素，事故的原因、后果及其安全性措施，补充、完善产品安全性设计准则或安全性设计要求 分系统危险分析 研究分系统、设备、单机等独立产品中的固有危险和故障危险，考虑相应的安全性措施，评价其安全性 系统危险分析 针对接口和工作界面，研究危险因素及其安全性措施 使用和保障危险分析 研究与产品使用、操作、维修等有关的危险因素，以及相应的安全性措施 航天产品研制中的各项安全性分析均是反复迭代、不断完善的过程，随着研制工作的进展、可获得的数据和信息的增多，设计人员应及时更新、补充、完善安全性分析结果。 4.5 各项安全性分析工作与型号研制过程关系如图1所示。 工程研制阶段 阶段划分 论证阶段 方

8、案论证及确认阶段 初样 正（试）样 定型、生产及使用改进阶段 工程研制活动 确定系统需求 方案论证、原理样机设计、生产、试验 样机设计、生产、试验 生产、运输、使用过程 安全性分析工作项目 阶段评审点 图1 各项安全性分析工作与型号研制过程的关系 4.6 对工程更改部分，应补充实施安全性分析，确保充分识别和评价工程更改对安全性的影响。 4.7 实施安全性分析应充分利用相关历史数据、经验和信息（如类似产品信息、工程研制信息、可靠性分析结果等），以提高分析的有效性和效率。 4.8 安全性分析工作应形成记录。在研制的适当时刻（例如转阶段时），应形成型号安全性分析报告，报告内容要求见第7 章。安全性分

9、析报告应由主管人员审批，并作为依据QJ 2932实施安全性评审活动的重要内容。 4.9 航天产品中所包含的软件部分的安全性分析还应符合GJB/Z 142等相关标准的要求。 初步危险表 初步危险分析 分系统危险分析、系统危险分析 使用和保障危险分析 QJ 32732006 35 安全性分析基本步骤和详细说明 5.1 基本步骤 航天产品各项安全性分析活动一般应遵循如图 2 所示的基本分析步骤。在航天产品全寿命周期内，工程研制人员和分析人员应依据此步骤，反复迭代，最终完成安全性分析工作。 5.2 详细说明 5.2.1 明确分析对象、分析要求和基本规则 5.2.1.1 明确分析对象 开展安全性分析工作

10、首先必须明确分析对象，主要包括： a） 明确分析对象的名称和范围； b） 明确分析对象的研制和使用要求、边界及接口要求、任务剖面及安全性要求； c） 明确分析对象所处的研制阶段及其技术状态。 5.2.1.2 确定分析要求和基本规则 开展安全性分析工作需确定的分析要求和基本规则包括： a） 确定安全性分析的时机和类型（如初步危险表、初步危险分析、分系统危险分析、系统危险分析、使用和保障危险分析）以及应使用的工作表格格式（见第 6 章）、输出结果形式和分析报告编写要求（见第7章）； b） 定义危险严重性分类按QJ 2236A1999，本标准推荐使用的危险严重性分类及定义见表2； c） 定义危险可能

11、性等级按QJ 2236A1999，本标准推荐使用的危险可能性等级见表3及表4； d） 确定风险评价规则按QJ 2236A1999，本标准推荐使用的危险风险评价矩阵及评价原则见表5及表6。 应依据型号具体的技术特点和安全性要求，对本标准规定的内容进行细化，以提高安全性分析工作的有效性。所确定的分析对象、分析要求和基本规则等内容，应以清晰、准确的方式在型号安全性大纲或工作计划中明确表述，作为指导和评价安全性分析活动的基本依据。 表2 危险严重性分类表（QJ 2236A1999表1） 等级 程度 定义 I 灾难性的 人员死亡、系统完全损失或报废、环境严重破坏 II 严重的 人员严重伤害（含严重职业病

12、）、系统或环境较严重破坏 III 轻度的 人员轻度伤害（含轻度职业病）、系统或环境轻度破坏 IV 可忽略的 轻于III类的人员伤害、轻于III类的系统或环境破坏 表3 危险可能性等级表（QJ 2236A1999表2） 说明 等级 产品个体 产品总体（或系统） 频繁 A 可能经常发生 连续发生 很可能 B 在寿命期内可能发生若干次 频繁发生 偶然 C 在寿命期内可能偶尔发生 发生若干次 很少 D 在寿命期内不易发生，但有可能 不易发生，但有理由预期可能发生 极少 E 不易发生，可认为不会发生 不易发生，但有可能 当具备条件时，可按具体危险发生概率值划分危险可能性等级，其等级划分定义如表4所示。Q

13、J 32732006 4图2 安全性分析基本步骤 明确分析对象、分析要求和基本规则 预处理安全性数据和工程信息 研制任务要求、安全性要求、工程研制进展 安全性大纲或工作计划中的安全性分析策划内容 辨识危险并推演危险事件 产品信息、研制信息 故障报告、分析和纠正措施系统 支持分析的结果 检查单 设计准则 已完成的安全性分析结果 历史经验信息 安全性基础数据 安全性分析活动的基本输入信息 填写图5表：危险原因、危险事件及其后果 危险源清单 划分危险等级并进行风险评价 事先确定的危险等级划分和风险评价规则 填写图5表：危险等级划分和风险指数 确定安全性改进措施 验证安全性改进措施，更新危险等级划分和

14、风险评价结果 风险接受原则 设计改进，提高产品安全性水平 汇总分析结果 形成分析报告 完成安全性分析报告（包括残余危险清单和安全性关键项目清单） 填写图5表：安全性改进措填写图5表：安全性改进措施验证、评价结果更新 有效性、充分性验证支持其它安全性工作和工程决策 工程决策，确认是否符合工程要求 完成工程迭代 否 是 补充、完善安全性设计要求QJ 32732006 5表4 依据发生概率划分的危险可能性等级（参考QJ 2236A1999表A7） 危险发生概率范围 对应的可能性等级 说明 X10-1 A 频繁 10-1X10-2 B 很可能 10-2X10-3 C 偶然 10-3X10-6 D 很少

15、 X10-6 E 极少 表5 危险风险评价矩阵（QJ 2236A1999表A6） 危 险 类 别 频率 I（灾难性的） II（严重的） III（轻度的） IV（可忽略的） 频繁 1 3 7 13 很可能 2 5 9 16 偶然 4 6 11 18 很少 8 10 14 19 极少 12 15 17 20 表6 针对不同危险风险指数的风险接受原则（QJ 2236A1999表A6） 危险风险指数 风险接受原则 15 不可接受 69 不希望（需要管理者决策） 1017 可接受，但需管理者评审 1820 不需评审即可接受 5.2.2 预处理安全性数据和工程信息 5.2.2.1 基本安全性数据和工程信息

16、 安全性分析所采用的基本安全性数据和工程信息包括： a) 细化分析对象的功能及安全性要求、任务剖面、使用操作过程及限制条件； b) 明确分析对象的组成、工作原理以及各组成部分的相互关系，确定系统的功能框图； c) 收集、整理有关的工程分析结果及研制信息，包括产品设计、采购、生产、试验等的有关信息，还包括来自故障报告、分析和纠正措施系统（FRACAS）的工程信息； d) 收集支持分析的结果，根据分析类型的不同，可采用的支持分析也不相同，一般采用的支持分析主要包括故障模式及影响分析（FMEA）、故障树分析（FTA）、潜在分析（SA）、操作危险分析（HAZOP）等（见6.6）； e) 明确型号已制定

17、的危险（源）检查单、安全性设计准则或设计评审检查单； f) 收集、整理分析对象及其各组成部分当前已完成的安全性分析的结果，包括分析记录、各类清单和安全性分析报告等。 5.2.2.2 其它安全性数据和工程信息 安全性分析还应使用其它安全性数据和工程信息，包括： a) 相似产品历史经验数据，特别是事故信息； b) 相关的产品安全性基础数据，如火工品的引爆条件、推进剂的毒性和爆炸极限等。 5.2.3 辨识危险并推演危险事件 明确安全性分析的基本输入信息后，应结合分析要求，针对分析对象开展危险（源）辨识和危险事QJ 32732006 6件推演。 危险（源）辨识主要是利用检查单、工程信息、支持分析和现有

18、安全性分析的结果、历史经验数据、安全性基础数据等内容，全面检查、识别分析对象产品中所有可能的潜在危险因素（危险源），并按规定在分析记录表格的适当位置，以准确、清晰的方式进行叙述，有关分析记录表格的填写说明详见第6章。 危险事件推演的重点是，针对所识别的危险因素（危险源），通过事件推理，确定其引发的危险事件或事故的条件（原因）、过程及其后果，并记录在图5所示分析表格的相应位置中，详见第6章。 必要时，应针对危险的演变和传播过程，实施时间分析，为确定安全性改进措施提供依据。 当同一个危险因素（危险源）可能引发多个危险事件或事故时，应逐一进行分析和描述。 5.2.4 划分危险等级并进行风险评价 针对

19、每一个危险因素，分析确定其引发特定危险事件或事故的可能性，以及事故后果的严重程度，并依据事先确定的规则划分危险等级（见5.2.1）。 依据所确定的危险可能性和严重性等级，使用表5提供的风险评价矩阵，给出危险的风险指数。当条件具备时，也可利用概率风险评价（PRA）技术，实施定量风险评估。 上述分析活动的结果应按规定记录在图5所示分析表格的相应位置（详见第6章）。当一个危险因素可能引发多个危险事件或事故时，应逐一确定其可能性、严重性和风险指数。 5.2.5 确定安全性改进措施 确定危险风险指数后，应根据表6提供的风险接受原则，确定是否需要采取安全性改进措施。 应按QJ 2236A1999中4.3规

20、定的优先次序，确定所需采取的安全性改进措施。在论证阶段及方案阶段，所提出的安全性改进措施应作为产品安全性设计要求或设计准则的重要补充。 应在图5所示分析表格中记录已采取或准备采取的安全性改进措施。 5.2.6 验证安全性改进措施，更新危险等级划分和风险评价结果 应对所采取的安全性改进措施的有效性实施验证，结合安全性工程验证活动，在图5所示分析表格的相应位置描述所采取的验证方法。 所确定的安全性改进措施经过验证后，应通过更新危险等级划分和风险评价结果，度量其实际效果。 应根据更新后的风险指数，考核安全性措施的有效性和充分性，确定是否需要进一步开展安全性改进活动（重复5.2.5的工作步骤），以支持

21、工程迭代过程。 5.2.7 汇总分析结果，形成分析报告 在研制的适当阶段，应根据研制进度和工作计划等的要求，对已完成的分析结果进行汇总和整理，形成安全性分析报告，经主管人员审核、批准后提交，以支持其它安全性活动。有关安全性分析报告的编写要求见第7章。 对于采取措施后仍不能满足安全性要求且不能或不打算采取进一步安全性改进措施的危险，应确定为残余危险。应将所有的残余危险形成清单，并说明理由。残余危险清单格式见图9。 6 安全性分析工作项目说明 6.1 初步危险表 6.1.1 分析目的 初步危险表是指在系统研制的初期，通过检查和分析，最终编制的危险项目表。该危险项目表初步识别了特定系统方案中可能存在

22、的固有危险因素，是开展后续的安全性设计和分析活动的基本参考和依据。 6.1.2 分析内容 QJ 32732006 7初步危险表是系统研制过程中开展的第一项安全性分析活动，其工作重点是依据系统研制任务要求和所确定的设计方案，检查并初步识别固有的危险因素，形成危险项目表。 为提高分析的针对性和有效性，研制单位应根据产品历史经验和工程信息等，整理、编制危险（源）检查单，并适时进行补充和更新。 在识别危险因素的基础上，应分析这些危险因素可能造成的事故或危害及其发生过程，并将其记录在初步危险表中。 6.1.3 分析时机 在论证阶段，应与论证同步开始拟制初步危险表；在方案论证过程中，应依据设计进展及时对初

23、步危险表进行补充和更新。初步危险表在系统方案确定时最终完成。 6.1.4 分析方法 初步危险表通常从较高层次产品开始，采用自上而下的方法进行，并随研制进展不断细化。编制初步危险表应完成以下两部分工作： 6.1.4.1 填写初步危险（源）检查表 对照系统任务要求和技术方案，填写完成初步危险（源）检查表，识别系统可能存在的固有危险因素。初步危险（源）检查表如图3所示。 初步危险（源）检查表 型号名称及代号： 分析对象名称： 研制阶段： 所属上一级产品名称： 表格编号： 各组成部分名称 危险（源）检查项目 XXX XXX XXX 高压 高温 毒性 易燃物 注：在对应空格内标记，“”表示可能存在此类危

24、险因素，“”表示不可能存在此类危险。 编写： 日期： 审核： 日期： 第 页 共 页 图3 初步危险（源）检查表 图3填写说明如下： a） 表头内容： 1） 型号名称及代号：填写分析对象所属的型号名称及代号； 2） 分析对象名称：填写分析对象的具体名称； 3） 所属上一级产品名称：填写分析对象所属上级产品名称，如推进分系统； 4） 研制阶段：填写分析对象所处的研制阶段，如方案阶段； 5） 表格编号：填写用于识别和管理的表格标识号。 b） 表格内容： 1） 各组成部分名称：此栏列出分析对象的所有组成部分，供分析检查； 2） 危险（源）检查项目：此栏列出识别危险（源）需要考虑的范围和检查内容。危险

25、（源）检QJ 32732006 8查项目是初步危险表的基本线索和依据，可参照附录A、附录B、附录C的有关内容编制； 3） 表格内各栏：针对已确定的危险（源）检查项目，逐一检查产品各组成部分，确认是否存在相关危险（源）， 并按表注的规定以恰当的形式在栏中标识，“”表示对应组成部分可能存在此类危险（源），“”表示不存在此类危险（源）。 6.1.4.2 初步危险项目表 针对识别出的每一项危险（源），应对其所引发的危险事件及后果做出详细说明，并在初步危险项目表中进行明确描述。 对于图3中的每一个划“”的项目，均应进行分析和说明，并将结果记录在图4中。 初步危险项目表 型号名称及代号： 分析对象名称：

26、研制阶段： 所属上一级产品名称： 对应的初步危险（源）检查表格编号： 序号 危险源编号 危险项目或产品名称 对应的危险（源）检查项目 可能发生危险的任务阶段或工作过程 危险事件或事故说明 编写： 日期： 审核： 日期： 第 页 共 页 图4 初步危险项目表 图4填写说明如下： a） 表头内容：初步危险项目表与初步危险（源）检查表一一对应，应在表头标明对应的初步危险（源）检查表编号，表头其它部分的填写要求见6.1.4.1a）。 b） 表格内容：对应图3中的每一个划“”的项目，逐一填写表中各栏： 1） 序号：填写分析记录的顺序编号； 2） 危险源编号：对识别出的每一个危险源，给定唯一的标识号，以便

27、实施管理和追溯； 3） 危险项目或产品名称：给出危险项目或产品的具体名称，如“无水肼推进剂”； 4） 对应的危险（源）检查项目：参照初步危险（源）检查表，填写与所识别危险（源）对应的检查项目内容； 5） 可能发生危险的任务阶段或工作过程：填写所识别的危险（源）可能引发事故或危险事件的任务阶段或工作过程，如“上升段”或“推进剂加注过程”； 6） 危险事件或事故说明：详细说明危险（源）可能引发的危险事件或事故，如“推进剂泄漏导致起火或爆炸”；此栏应尽可能准确地描述危险引发的不安全事件或事故的过程和后果，包括可能造成的危害或损失等；针对某个特定危险因素或危险源，可能造成危险事件和事故可能不止一个，分

28、析中应尽可能全面地列出所有的危险事件和事故，并给出详细说明。 6.1.5 分析结果 本项工作最终应形成初步危险项目表，其内容及填写要求见6.1.4.2。 6.2 初步危险分析 6.2.1 分析目的 初步危险分析的目的是识别、分析产品中的各类潜在危险，对产品的安全性进行综合评价，初步确定产品的安全性关键项目，并对产品安全性设计要求或安全性设计准则进行补充、细化和完善。 QJ 32732006 9在论证阶段和方案论证阶段初期，初步危险分析能够协助工程管理人员度量备选方案的安全性风险，从而为方案选择提供参考。 在方案阶段后期和工程研制阶段，初步危险分析能够明确产品主要的安全性特征和安全性关键项目，并

29、有针对性地提出产品的安全性设计要求和安全使用要求，为产品后续的安全性工作提供指导。 6.2.2 分析内容 初步危险分析是对产品中的潜在危险及其风险进行初始分析和评价的过程。这一过程以初步危险表为基础（见6.1），同时，应尽可能收集并采用相关的经验数据和工程信息（见5.2.2）。 初步危险分析的主要工作包括： a） 识别与所确定的设计方案或任务功能相关的危险事件，确定危险事件发生的原因、过程和后果； b） 确定危险事件发生的可能性、后果的严重性，评价并划分危险的等级； c） 说明用于消除或控制危险及其风险的措施，明确相应的验证方法。 航天产品初步危险分析至少应该考虑以下内容： a） 初步危险表识

30、别的所有危险（源）项目，如推进剂、激光、爆炸物、火工品、有毒物质、腐蚀剂、危险建筑材料、压力系统及其它能量源等（见6.1）； b） 航天产品各组成部分及其与地面设施和设备之间的接口问题，如材料相容性、污染、电磁干扰、意外动作、火灾和爆炸的引发与蔓延、软硬件的综合控制等； c） 包括使用环境在内的环境约束条件影响，如坠落、冲击、振动、极限温度、噪声、接触有毒物质、空间限制、静电放电、着火、雷电、电磁环境影响、离子以及非离子辐射等； d） 航天产品可能涉及的操作、测试及试验、维修和应急规程，如操作过程及人为差错、设备布局和照明要求等因素的影响、噪声与辐射对人员行为的影响、生命保障要求及其在载人系统

31、中的作用、坠毁安全性、逃生通道、救援、生存和打捞救生等； e） 航天产品涉及的保障设施和保障设备，如用于贮存、处理、装配、检测、验证那些具有危险的系统或组件所需的设施和设备，这些危险系统和组件可能包含有毒材料、可燃物、爆炸物、腐蚀性材料、低温流体、辐射、噪声、能量源等； f） 航天产品涉及的培训活动，如与安全使用和维修有关的培训和资格认证活动； g） 与安全性有关的设备、安全防护装置及其它可供选择的方法，如监视、联锁、系统冗余、硬件或软件的“失效工作”和“失效安全”设计思想，隔离保护，火灾检测和消防系统，人员保护设备，通风装置，噪声或辐射衰减装置等。 6.2.3 分析时机 初步危险分析在初步危

32、险项目表的基础上进行。初步危险分析工作通常应从论证阶段开始实施，作为后续安全性分析（如：分系统危险分析，系统危险分析以及使用和保障危险分析）工作的基础。 应在方案阶段和工程研制阶段不断更新和深化初步危险分析的内容。初步危险分析活动应延续到工程研制阶段结束。 6.2.4 分析方法 初步危险分析参考 QJ 3139，使用如图 5 所示的表格形式进行。该表格适用于各级各类航天产品，可作为不同研制阶段航天产品安全性分析报告的重要组成部分。实施初步危险分析时，可根据型号特点和安全性工作具体要求对图5内容进行剪裁。 QJ 32732006 10初步危险分析表（参考QJ 3139表1） 型号名称及代号： 分

33、析对象名称： 研制阶段： 所属上一级产品名称： 表格编号： 安全性改进措施 安全性改进措施效果 序号 图代号 危险源编号 危险项目或产品名称 可能发生危险的任务阶段或工作过程 危险事件或事故说明 危险事件或事故的发生原因或条件 危险事件或事故后果 危险严重性 危险可能性 风险指数 消除 控制 措施有效性验证方法 危险严重性 危险可能性 风险指数 备注 编写： 日期： 审核： 日期： 第 页 共 页 图5 初步危险分析表 图5的填写说明如下： a） 表头内容：表头内容填写要求见6.1.4.1。 b） 表格内容：“序号”、“危险源编号”、“危险项目或产品名称”、“可能发生危险的任务阶段或工作过程”

34、、“危险事件或事故说明”等栏填写说明详见6.1.4.2。表格其它部分的填写要求为： 1） 图代号：填写所分析的危险项目或产品对应的图代号，供识别和追溯。 2） 危险事件或事故的发生原因或条件：填写引发危险事件或事故的原因或条件，包括工作特性、环境影响、产品固有特性、人为因素等，有时，危险事件或事故的发生原因可能就是危险源本身，例如，发动机工作时产生的振动。 3） 危险事件或事故后果：填写危险事件或事故发生后，对人员、相关设施和设备、任务、功能、环境等的破坏、损伤或潜在影响，此栏内容是判断危险严重性等级的主要依据，因此应结合表2和具体产品的安全性要求，准确描述危险事件或事故后果。 4） 危险严重

35、性：依据危险后果的描述，参照事先确定的规则确定危险的严重性等级，危险严重性等级划分定义可按表2，并结合具体型号安全性要求确定。 5） 危险可能性：针对每个危险事件或事故，估计其在任务期间的发生可能性，并参照表3或表4，以及型号安全性大纲的有关规定，确定危险发生可能性等级。 6） 风险指数：根据所确定的危险严重性和可能性等级，按照表5或型号安全性大纲的有关规定，给出危险风险指数。 7） 安全性改进措施：确定危险风险指数后，根据表6提供的风险接受原则建议，确定是否需要采取安全性改进措施。对于需要采取安全性改进措施的项目，应在此栏记录拟采取或已采取的安全性改进措施，包括消除措施和控制措施两类。消除措

36、施通常是指通过更改设计方案、使用安全材料替代危险材料等方式，消除产品中原有的危险（源）所采取的措施；控制措施是指在不能消除危险（源）的情况下，通过提高安全系数、采用冗余、增加安全装置或防护措施（如安全阀）等方式，降低危险发生的可能性或减弱其危害的措施。在论证阶段和方案阶段早期，初步危险分析中的安全性改进措施通常是为消除和控制危险（源）而提出的设计原则和要求，如“设计中采用1A1W5分钟不起爆的钝感火工品”。可依据这QJ 32732006 11些内容对型号安全性设计要求或安全性设计准则进行补充和完善，也可将这些内容作为后续安全性评审等活动的参考。 8） 措施有效性验证方法：针对所采取或拟采取的安

37、全性改进措施，记录验证其有效性的方法，并对验证活动进行必要的说明。安全性验证活动可采用试验、演示、检查、分析、评审等方式进行，有关内容可参考 QJ 2236A1999 及相关标准。当安全性改进措施尚未确定或实施时，可不填写此部分内容，并在备注中对安全性工作的进展情况进行说明。 9） 安全性改进措施效果：在设计中采取了安全性改进措施并验证其有效性后，应重新评价危险严重性、可能性及其风险指数，以明确安全性改进措施的实施效果，为后续的安全性工作和工程决策提供依据。 10） 备注：此栏填写分析中需要特殊说明的内容，当存在残余危险项目时，应在此栏说明保留 残余危险项目的理由。 6.2.5 分析结果 初步

38、危险分析的输出结果如下： a） 形成初步危险分析表，其内容及填写要求见6.2.4； b） 经过补充、完善的被分析产品的安全性设计要求或安全性设计准则； c） 根据研制进展和工程需要完成安全性分析报告，报告内容参见第7章。 6.3 分系统危险分析 6.3.1 分析目的 分系统危险分析可在分系统及以下各级产品中进行。 分系统危险分析的目的是在初步危险表和初步危险分析的基础上，结合故障、失效、人为差错及意外事件等情况，研究分系统（或以下各级产品）中可能存在的各类危险，以及对应的安全性措施及危险风险，据此对分系统（或以下各级产品）的安全性进行评价，进一步细化、补充安全性关键项目，并提出改进建议，为后续

39、安全性工作提供参考和依据。 6.3.2 分析内容 分系统危险分析的主要工作是在分析对象的范围内，对初步危险表和初步危险分析的有关内容进行扩展和补充。 分系统危险分析应完成以下内容： a） 识别与所确定的设计方案或任务功能相关的危险事件或事故，确定其发生的原因、过程和后果； b） 确定危险事件或事故发生的可能性、后果的严重性，评价并划分危险的等级； c） 说明用于消除或控制危险及其风险的措施，明确相应的验证方法； d） 在实施安全性改进措施后，重新评价危险风险和被分析产品的安全性，并提出安全性工作建议。 分系统危险分析的重点包括以下四个方面： a） 分析对象的固有危险因素分析：根据初步危险表和航

40、天产品一般危险（源）检查项目（见附录A、附录B的内容），识别在分析对象设计中固有危险特性，确定可能导致的危险事件或事故并给出其发生原因；分析时还应考虑分析对象所包含的能量源及特殊工作状态可能引发的危险事件或事故。 b） 安全性关键产品及其故障危险分析：在分析对象范围内，结合FTA、SA、FMEA等支持分析的结果和产品研制信息，对初步危险分析确定的安全性关键产品进行细化和补充，并确定安全性QJ 32732006 12关键产品的故障可能导致的危险事件和事故。应对安全性关键产品的故障模式进行分析，并作为危险事件或事故的发生原因或条件加以记录。故障模式分析中，至少应考虑以下方面： 1） 硬件设计中存在

41、的各种故障模式； 2） 可能的人为差错导致的故障模式； 3） 软件缺陷导致的故障模式； 4） 分析对象各组成部分间相互作用引发的故障模式； 5） 试验、生产、贮存、交付、运输、测试、发射、运行维修、回收等过程中，各种环境条件和工作状态诱发的故障模式。 c） 安全性关键操作和安全性关键功能及其危险分析：在分析对象范围内，结合FTA、SA、FMEA等支持分析的结果和产品研制信息，参照安全性关键功能检查单（示例见附录C），对 初步危险分析确定的安全性关键操作和安全性关键功能（或事件）进行细化和补充，确定其差错或失败可能导致的危险事件和事故。分析应包括分析对象所经历的试验、生产、贮存、交付、运输、测试

42、、发射、运行维修、回收等所有阶段。 d） 环境条件诱发危险分析：参考初步危险分析的结果，细化并分析特殊环境（特别是空间环境）条件可能导致的危险事件或事故，如真空环境、空间粒子和辐射、太阳黑子活动、空间碎片等。 结合分析结果，分系统危险分析对初步危险分析确定的安全性关键项目清单（包含安全性关键产品、安全性关键功能和安全性关键操作）进行细化和补充。 6.3.3 分析时机 分系统危险分析工作应该在分析对象设计方案初步确定后进行，并且随后续的设计进展而逐渐深入。分系统危险分析应该随研制进展而不断更新，直至工程研制阶段结束。 6.3.4 分析方法 分系统危险分析是在初步危险表和初步危险分析的基础上，结合

43、故障、失效、人为差错及意外事件等情况，对分析对象可能发生的危险事件和事故实施的分析。危险分析、FTA、SA、FMEA、PRA等均可作为分系统危险分析的支持方法。分析人员应根据经费、时间和被分析产品的信息情况，对分析技术和方法进行选择。 分系统危险分析使用与初步危险分析相同的表格，见图 5。该表格适用于航天产品分系统及其以下级别各类产品，该表格还可作为方案阶段及工程研制阶段分系统及以下级别航天产品安全性分析报告的重要组成部分。实施分系统危险分析时，可根据型号特点和安全性工作具体要求对图5内容进行剪裁。 分系统危险分析表格填写说明如下： a） 危险源编号：对于初步危险表已确定的危险源，填写对应的危

44、险源编号，对于补充的危险源，应参照6.1.4.2b)的要求给出唯一的标识号； b） 危险项目或产品名称：对应6.3.2规定的四个方面，识别分析对象中的一般危险（源）项目和故障危险（源）项目，并参照6.1.4.2b)的要求填写危险项目或产品名称； c） 其它部分内容的填写及注意事项参见6.2.4。 6.3.5 分析结果 分系统危险分析的结果包括： a） 形成分系统危险分析表，其内容及填写要求见6.3.4； b） 编制故障危险（源）清单表格格式见图6，表的填写说明如下： QJ 32732006 131） 表格编号：填写故障危险源清单的编号； 2） 危险源编号：对识别出的每一个故障危险源，给定唯一的

45、标识号，以便实施管理和追溯； 3） 引发危险的故障模式：填写可能引发危险事件或事故的具体故障模式名称； 4） 图6其它部分内容的填写及注意事项参见6.1.4.2。 故障危险源清单 型号名称及代号： 分析对象名称： 研制阶段： 所属上一级产品名称： 表格编号： 序号 危险源编号 危险项目或产品名称 引发危险的故障模式 可能发生危险的任务阶段或工作过程 危险事件或事故说明 编写： 日期： 审核： 日期： 第 页 共 页 图6 故障危险源清单 c） 根据研制进展和工程需要完成分析对象的安全性分析报告及清单，详见第7章。 6.4 系统危险分析 6.4.1 分析目的 系统危险分析是在分析对象下一级别产品

46、安全性分析完成后实施的综合分析活动，其目的是： a） 在分析对象范围内，将已完成的下一级别产品的安全性分析结果进行综合； b） 对各组成部分之间的接口危险实施分析； c） 分析并评价产品的安全性，并对后续安全性工作提出建议。 6.4.2 分析内容 系统危险分析需要获得分析对象下一级别产品的安全性分析结果，因此，通常在分析对象各组成部分已完成安全性分析后进行。 系统危险分析的主要工作内容与分系统危险分析类似（见6.3.2），是在更高一层次产品中对分系统危险分析结果的综合和补充。 系统危险分析的重点在于研究当若干独立产品进行组合时，其各自的危险因素通过接口和工作界面相互影响而导致的后果，以及由于接

47、口和工作界面（包括故障和失效）而引入的新的危险因素。 6.4.3 分析时机 系统危险分析在分析对象设计、接口（包括软件）已经确定，并可获得下一级别安全性分析结果后开始。系统危险分析应随研制进展而不断更新，直至工程研制阶段结束。 6.4.4 分析方法 系统危险分析所采用的方法和技术与分系统危险分析相同，见6.3.4。 6.4.5 分析结果 系统危险分析的输出结果与分系统危险分析相同，见6.3.5。 6.5 使用和保障危险分析 6.5.1 分析目的 使用和保障危险分析是针对航天产品使用、维修过程实施的安全性分析活动，其主要目的是： a） 依据已确定的安全性要求和安全性分析结果（包括初步危险表、初步

48、危险分析、分系统危险分QJ 32732006 14析和系统危险分析），针对航天产品的研制、使用、维修过程中的各项活动开展危险分析，并提出安全性改进建议； b） 针对所确定的使用、维修规程开展安全性分析，并评价危险风险。 在工程研制阶段，使用和保障危险分析的结果可以从安全性的角度对航天产品研制、使用、维修方案的选择提供支持，针对使用和维修安全性要求，补充、完善产品的安全性关键项目清单，并为评价和改进航天产品的安全性和使用、维修方案提供依据。 在使用阶段，使用和保障危险分析可以为使用风险管理给出基本的输入信息。 6.5.2 分析内容 使用和保障危险分析的范围主要是航天产品的贮存、交付、运输、测试、发射、运行维修、回收