DIN EN 16602-40-02-2014 Space product assurance - Hazard analysis English version EN 16602-40-02 2014《航空产品保证 危险分析 英文版本EN 16602-40-02-2014》.pdf

1、Dezember 2014DEUTSCHE NORM DIN-Normenausschuss Luft- und Raumfahrt (NL)Preisgruppe 17DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 49.140!%2I“2251538www.din.deDDIN EN 166

2、02-40-02Raumfahrtproduktsicherung Gefahrenanalyse;Englische Fassung EN 16602-40-02:2014Space product assurance Hazard analysis;English version EN 16602-40-02:2014Assurance produit des projets spatiaux Analyse de risques;Version anglaise EN 16602-40-02:2014Alleinverkauf der Normen durch Beuth Verlag

3、GmbH, 10772 BerlinErsatz frDIN EN 14738:2004-08www.beuth.deGesamtumfang 41 SeitenDIN EN 16602-40-02:2014-12 2 Nationales Vorwort Dieses Dokument (EN 16602-40-02:2014) wurde vom Technischen Komitee CEN/CLC/TC 5 Raumfahrt“ erarbeitet, dessen Sekretariat vom DIN (Deutschland) gehalten wird. Das zustndi

4、ge deutsche Normungsgremium ist der Arbeitsausschuss NA 131-10-01 AA Interoperabilitt von Informations-, Kommunikations- und Navigationssystemen“ im DIN-Normenausschuss Luft- und Raumfahrt (NL). Dieses Dokument ersetzt DIN EN 14738:2004-08. Dieses Dokument (EN 16602-40-02:2014) basiert auf ECSS-Q-ST

5、-40-02C. Dieses Dokument enthlt unter Bercksichtigung des DIN-Prsidialbeschlusses 1/2004 nur die englische Originalfassung von EN 16602-40-02:2014. Dieses Dokument wurde speziell zur Behandlung von Raumfahrtsystemen erarbeitet und hat daher Vorrang vor jeglicher Europischer Norm, da es denselben Anw

6、endungsbereich hat, jedoch ber einen greren Geltungsbereich (z. B. Luft- und Raumfahrt) verfgt. nderungen Gegenber wird DIN EN 14738:2004-08 wurden folgende nderungen vorgenommen: a) Norm-Nummer gendert; b) keinerlei nderungen des Textes. Frhere Ausgaben DIN EN 14738: 2004-08 DIN EN 16602-40-02:2014

7、-12 3 Nationaler Anhang NA (informativ) Begriffe 3 Begriffe und Abkrzungen 3.1 Begriffe aus anderen Normen Fr die Anwendung dieses Dokuments gelten die Begriffe und Definitionen nach ECSS-S-ST-00-01 und besonders fr den folgenden Begriff: Anforderung 3.2 Fr diese Norm spezifische Begriffe 3.2.1 Kons

8、equenzenbaum Vielzahl von Gefahrenszenarios, die zur gleichen Konsequenz (Unfallart) fhren 3.2.2 Nachweisdauer Zeitspanne zwischen dem Eintritt des Initialereignisses und dem Nachweis durch die sichtbaren Anzeichen 3.2.3 Gefahr Gefhrdung tatschlicher oder potentieller Zustand eines Bauteils, der zu

9、einem Unfall fhren kann ANMERKUNG 1 ISO 14620-2 ANMERKUNG 2 Dieser Zustand kann mit dem Design, der Fertigung, dem Betrieb oder der Umgebung des Bauteils zusammenhngen und birgt ein Unfallpotential. ISO 14620-2 ANMERKUNG 3 Gefahren sind potentielle Bedrohungen fr die Sicherheit eines Systems. Sie si

10、nd keine Ereignisse, aber die Voraussetzungen fr den Eintritt von Gefahrenszenarios mit deren negativen Auswirkungen auf die Sicherheit in Bezug auf die sicherheitsrelevanten Konsequenzen. 3.2.4 Gefahrenakzeptanz Entscheidung, die Konsequenzen der Gefahrenszenarios zu tolerieren, wenn sie eintreten

11、3.2.5 Gefahrenanalyse systematischer und iterativer Prozess der Identifizierung, Klassifizierung und Reduzierung von Gefahren 3.2.6 Gefahrenabwehr mit einem Gefahrenszenario verbundene prventive oder mildernde Manahme, die beim Design und beim Betrieb des Systems implementiert wird, um die Ereigniss

12、e zu verhindern oder um deren Ausweitung zu einer Konsequenz zu unterbrechen 3.2.7 Gefahrenbeseitigung Entfernen einer Gefahr bei Sichtbarwerdung einer speziellen Gefahr DIN EN 16602-40-02:2014-12 4 3.2.8 Sichtbarwerdung der Gefahr Vorhandensein spezieller Gefahren beim technischen Design, bei Betri

13、eb und in der Umgebung eines Systems 3.2.9 Gefahrenminimierung Substitution einer Gefahr bei Sichtbarwerdung der Gefahr durch eine andere Gefahr der gleichen Art, aber mit einer niedrigeren potentiellen Bedrohung ANMERKUNG Zum Beispiel Substitution einer hohen Toxizitt durch eine niedrige Toxizitt.

14、3.2.10 Gefahrenreduzierung Prozess der Eliminierung oder Minimierung und Abwehr von Gefahren 3.2.11 Gefahrenszenario Abfolge von Ereignissen, die vom ersten Auslser bis zur unerwnschten sicherheitsrelevanten Konsequenz fhren ANMERKUNG Der Auslser kann ein einzelnes Initialereignis, eine zustzliche A

15、ktivitt oder die nderung einer Bedingung sein, die ein verborgenes Problem aktivieren. 3.2.12 Gefahrenbaum Vielzahl von Gefahrenszenarios, die aus der gleichen Gruppe sichtbarer Gefahren stammen 3.2.13 gefhrlich Eigenschaft eines Bauteils und der Bauteilumgebung, die ein Unfallpotential birgt ANMERK

16、UNG ISO 14620-2 3.2.14 sichtbare Anzeichen Anhaltspunkte, die darauf hinweisen, dass ein unerwnschtes Ereignis eingetreten ist ANMERKUNG Sichtbare Anzeichen treten whren der Ausbreitungsdauer auf. 3.2.15 Reaktionsdauer Zeitspanne zwischen dem Erkennen und dem Eintritt der Konsequenz ANMERKUNG Das is

17、t die Zeitspanne, die fr risikomindernde Manahmen nach dem Erkennen des Eintritts des Initialereignisses zur Verfgung steht. 3.2.16 Restgefahr Gefahr, die nach der Implementierung der Gefahrenreduzierung bestehen bleibt 3.2.17 beseitigte Gefahr Gefahr, die reduziert ist, bei der die Reduzierung veri

18、fiziert und die Gefahr als akzeptabel angesehen wird ANMERKUNG Beseitigte Gefahren werden zur formellen Annahme vorgelegt. DIN EN 16602-40-02:2014-12 5 3.2.18 Ausbreitungsdauer des Szenarios Zeitspanne zwischen dem Eintritt des Initialereignisses und dem Eintritt der Konsequenz 3.2.19 Schwere der si

19、cherheitsrelevanten Konsequenz Ma fr die Schwere des Schadens in Bezug auf die Sicherheit 3.3 Abkrzungen Fr die Anwendung dieser Norm gelten die Abkrzungen nach ECSS-S-ST-00-01 und die folgenden Abkrzungen. Abkrzung Bedeutung CC it defines the principles, process, implementation, and requirements of

20、 hazard analysis. It is applicable to all European space projects where during any project phase there exists the potential for hazards to personnel or the general public, space flight systems, ground support equipment, facilities, public or private property or the environment. This standard may be

21、tailored for the specific characteristics and constrains of a space project in conformance with ECSS-S-ST-00. DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 7 2 Normative references The following normative documents contain provisions which, through reference in this text, constitute provisions

22、of this ECSS Standard. For dated references, subsequent amendments to, or revision of any of these publications do not apply, However, parties to agreements based on this ECSS Standard are encouraged to investigate the possibility of applying the more recent editions of the normative documents indic

23、ated below. For undated references, the latest edition of the publication referred to applies. EN reference Reference in text Title EN 16001-00-01 ECSS-S-ST-00-01 ECSS system Glossary of terms EN 16601-80 ECSS-M-ST-80 Space project management Risk management EN 16602-40 ECSS-Q-ST-40 Space product as

24、surance Safety DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 8 3 Terms, definitions and abbreviated terms 3.1 Terms from other standards For the purpose of this Standard, the terms and definitions from ECSS-S-ST-00-01 apply, in particular for the following terms: requirement 3.2 Terms specific

25、to the present standard 3.2.1 consequence tree set of hazard scenarios leading to the same safety consequence 3.2.2 detection time time span between the occurrence of the initiator event and its detection through the observable symptoms 3.2.3 hazard existing or potential condition of an item that ca

26、n result in a mishap NOTE 1 ISO 14620 2 NOTE 2 This condition can be associated with the design, fabrication, operation, or environment of the item, and has the potential for mishaps. ISO 14620 2 NOTE 3 Hazards are potential threats to the safety of a system. They are not events, but the prerequisit

27、e for the occurrence of hazard scenarios with their negative effects on safety in terms of the safety consequences. 3.2.4 hazard acceptance decision to tolerate the consequences of the hazard scenarios when they occur 3.2.5 hazard analysis systematic and iterative process of the identification, clas

28、sification and reduction of hazards DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 9 3.2.6 hazard control preventive or mitigation measure, associated to a hazard scenario, which is introduced into the system design and operation to avoid the events or to interrupt their propagation to consequen

29、ce 3.2.7 hazard elimination removal of a hazard from a particular hazard manifestation 3.2.8 hazard manifestation presence of specific hazards in the technical design, operation and environment of a system 3.2.9 hazard minimization substitution of a hazard in the hazard manifestation by another haza

30、rd of the same type but with a lower potential threat NOTE For instance high toxicity to low toxicity. 3.2.10 hazard reduction process of elimination or minimization and control of hazards 3.2.11 hazard scenario sequence of events leading from the initial cause to the unwanted safety consequence NOT

31、E The cause can be a single initiating event, or an additional action or a change of condition activating a dormant problem. 3.2.12 hazard tree set of hazard scenarios originating from the same set of hazard manifestations 3.2.13 hazardous property of an item and its environment which provides the p

32、otential for mishaps NOTE ISO 14620 2 3.2.14 observable symptoms evidence that indicates that an undesirable event has occurred NOTE Observable symptoms appear during the propagation time. 3.2.15 reaction time time span between the detection and the occurrence of the consequence NOTE This is the tim

33、e span available for mitigating actions after detection of the occurrence of the initiator event. DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 10 3.2.16 residual hazard hazard remaining after implementation of hazard reduction 3.2.17 resolved hazard hazard that is reduced, the reduction verifi

34、ed and the hazard considered acceptable NOTE Resolved hazards are submitted for formal acceptance. 3.2.18 scenario propagation time time span between the occurrence of the initiator event and the occurrence of the consequence 3.2.19 severity of safety consequence measure of the gravity of damage wit

35、h respect to safety 3.3 Abbreviated terms For the purpose of this Standard, the abbreviated terms from ECSS-S-ST-00-01 and the following apply: Abbreviation Meaning CC “using snow-chains” impacts on the link between cause and event; “fitting airbag” impacts on the link between event and consequence.

36、 DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 12 Hazard Hazard manifestation Cause Events Consequence Propagation time Hazard scenarios Cause Events Consequence Hazard Figure 4-1: Hazards and hazard scenarios Hazard Hazard manifestation Cause Events Consequence Propagation time Hazard scenario

37、s Cause Events Consequence Figure 4-2: Example of a hazard tree Hazard Hazard manifestation Cause Events Consequence Propagation time Hazard scenarios Events Hazard Cause Figure 4-3: Example of a consequence tree DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 13 Hazard Hazard manifestation Cause

38、 Events Consequence Propagation time Hazard scenarios Hazard Cause Events Consequence Hazard reduction Hazard elimination Hazard minimization Hazard control Removal or change of hazards, elimination of event, or interruption of event and Figure 4-4: Reduction of hazards Failure causes as identified

39、through FMECA and other analyses, such as common cause and common failure mode analysis (CC Step 2: identify and classify the hazards; Step 3: decide and act on the hazards; Step 4: track, communicate and accept the hazards. The process of hazard analysis, including iteration of its tasks, is summar

40、ized in Figure 4-6. DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 15 1. Define analysis requirements 2. Identify and classify hazards 3. Decide and act on hazards 4. Track, communicate and accept the hazards Are hazards acceptable? Reduce hazards Iterate tasks Yes No Figure 4-6: The process of

41、hazard analysis 4.3.2 Overview of the hazard analysis process The iterative four-step hazard analysis process is illustrated in Figure 4-7. The tasks within each of these steps are shown in Figure 4-8. Step 1 comprises the establishment of the scope and purpose of hazard analysis, the hazard analysi

42、s planning (Task 1), and the definition of the system to be analysed (Task 2). Step 1 is performed at the beginning of a project. According to the scope and purpose, the implementation of the hazard analysis process consists of a number of “hazard analysis cycles” over the projects duration, compris

43、ing the necessary revisions of the analysis requirements and the Steps 2 to 4, subdivided in the seven Tasks 3 to 9. The period designated in Figure 4-7 as the “Hazard analysis process” comprises all the phases of the project concerned, as defined in ECSS-M-ST-10. The frequency and the events at whi

44、ch cycles are required in a project (only 3 are shown in Figure 4-7 for illustration purposes) depend on the needs and complexity of the project, and are defined during Step 1 at the beginning of the project. DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 16 Step 1 Define analysis requirements S

45、tep 2 Identify and classify hazards Step 3 Decide and act on hazards Step 4 Track, com- municate and accept hazards Step 1 Revise analysis requirements Step 2 Identify and classify hazards Step 3 Decide and act on hazards Step 4 Track, com- municate and accept hazards Step 1 Revise analysis requirem

46、ents Step 2 Identify and classify hazards Step 3 Decide and act on hazards Step 4 Track, com- municate and accept hazards Hazard analysis process Hazard analysis documentation Project phases Figure 4-7: The steps and cycles in the hazard analysis process Step 1 Define hazard analysis implementation

47、requirements Step 2 Identify and classify the hazards Task 1: Define the hazard analysis scope, objectives and the hazard analysis planning. Task 2: Define the system baseline to be analysed. Task 3: Identify hazard manifestations. Task 4: Identify and classify hazard scenarios. Step 3 Decide and ac

48、t Task 5: Decide if the hazards can be accepted. Task 6: Reduce the hazards. Task 7: Recommend acceptance. Step 4 Track, communicate and accept the hazards Task 8: Track and communicate the hazards. Task 9: Accept the hazards. HazardanalysiscycleFigure 4-8: The nine tasks associated with the four st

49、eps of the hazard analysis process DIN EN 16602-40-02:2014-12 EN 16602-40-02:2014 (E) 17 4.4 Hazard analysis implementation 4.4.1 Overview Implementation of hazard analysis in a project is based on single or multiple, i.e. iterative, application of the hazard analysis process. The tasks associated with the individual steps of the hazard analysis process vary according to the scope and objectives specified for hazard analysis. The scope and objectives of hazard analysis depend on the type and phase of the p