1、q .J 中华人民共和国航天行业标准FL 0111 QJ 3217-2005 潜在分析方法和程序Methods and proced町esfor sneak analysis 2005一04-11发布2005-07-01实施国防科学技术工业委员会发布060508000038 QJ 3217-2005 目次前言.,1 范围.12 规范性引用文件.13 术语和定义.14 潜在分析方法.2 基于网络树生成和拓扑模式识别的分析方法.24.2 基于功能节点识别和路径追踪的分析方法.35 潜在分析程序.35.1 准备阶段.35.2 分析阶段.55.3 结论阶段.66 潜在分析技术应用说明.66.1 系统选
2、择和分析范围确定.66.2 潜在分析软件工具.66.3 潜在分析与传统可靠性安全性分析技术的综合.66.4 潜在分析的计划安排.66.5 潜在分析的组织.6附录A(资料性附录)软件系统的潜在分析.8附录B(资料性附录)液(气)压管路系统的潜在分析.9附录c(资料性附录)复杂系统中的潜在状态.10附录D(资料性附录)潜在分析的线索表.口附录E(资料性附录)潜在分析报告筒表的格式.18QJ 3217-2005 前本标准规定了在航天产品研制过程中潜在分析的方法和程序。本标准主要适用于电子/电气系统的潜在分析,软件系统、液(气)压管路系统的潜在分析,可根据本标准正文以及附录A、附录B的内容参照执行。本
3、标准作为我国航天产品潜在分析技术应用的第一项技术标准,给出了潜在分析的一般方法和程序。编制过程中借鉴了美国、欧洲有关潜在分析技术的资料、手册、规范和标准,并总结了近年来在我国航天产品研制中进行潜在分析研究和工程实践的经验。n 本标准的附录A、附录B、附录C、附录D、附录E为资料性附录。本标准由中国航天科技集团公司提出。本标准由中国航天标准化研究所归口。本标准起草单位:中国航天标准化研究所。本标准主要起草人z任立明、谢远锋、严殿启、周海京、张亮。QJ 3217-2005 潜在分析方法和程序1 范围本标准规定了在航天产品研制过程中应用潜在分析的方法和程序。本标准主要适用于航天产品电子/电气系统的潜
4、在分析。软件系统、液(气压管路系统的潜在分析,可参照本标准正文以及附录A、附录B的内容执行。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GJB 450 装备研制与生产的可靠性通用大纲GJB 451 可靠性维修性术语QJ 1408A-1998 航天产品可靠性保证要求3 术语和定义3.1 GJB 450、GJB451、QJ1408A-1998确立的以及下列术语和定义适用于本标
5、准。潜在状态sneak condition 潜在条件系统设计(或修改设计)时无意中引人的一种潜伏状态,在恃定的条件下能导致系统产生非期望的功能或抑制所期望的功能。3.2 3.3 3.4 3.5 注1:潜在状态包括四种表现形式:潜在路径、潜在时序、潜在指示、潜在标志。注2:潜在状态是系统中客观存在的状态和条件,并非是系统或产品的某些部件失效而导致的结果。详细说明及示例参见附录c.潜在分析sneak analysis (SA) 用来识别系统中潜在状态的分析技术。潜在电路sneak circuit (SC) 电子/电气系统中,以电能信号(模拟、数字或开关信号)传播为表征信息的所有潜在状态的总称。潜在
6、电路分析sneak circuit analysis (SCA) 针对电子/电气系统的潜在分析。潜在路径sneak path 物质流、能量流、数据流或逻辑信号流所流经的非期望路径。QJ 3217-2005 3.6 潜在时序sneak timing 物质、能量、数据或逻辑信号以非期望或矛盾的时间顺序、或在非期望的时刻、或延续一个非期望的时间段发生,从而使系统出现异常状态。3.7 潜在指示sneak indication 系统运行状况的模糊或错误的指示。潜在指示可能误导系统或操作人员做出非期望的反应。3.8 潜在标志sneak label 系统功能(如控制、显示的错误或不确切的标志。潜在标志可能会
7、误导操作人员。3.9 线索clue 一种提示。根据该提示,分析者易于识别系统中存在的潜在状态。3.10 线索表clue Iist 由一系列线索组成并按一定的规则进行组织的线索清单。3.11 网络树network tree 对系统进行划分和简化后获得的树状网络示意图。该图简明地表达相互连通的元件、部件或软件模块(语句之间的连接关系。3.12 源source系统实现其预期功能的物质、能量和数据的源头,如电源、功能信号发出点、软件人口、液(气源等。在潜在分析中通常作为路径追踪的起点。3.13 目标target 系统实现其预期功能的执行部件或关键部件,如功能信号执行部件、软件某个下一级功能子程序的人口
8、、液(气)管路系统执行部件等,非期望地激活或抑制它将引发一个非期望事件,在潜在分析中通常作为路径追踪的终点。4 潜在分析方法4.1 基于网络树生成和拓扑模式识别的分析方法任何系统,无论其结构复杂程度和系统各部件相互连接的性质,总能够按照其物质流、能量流、数据流和逻辑信号流的传播模式,以网络树的形式表示系统各部件间的相互连接关系。网络树表达了系统中物质流、能量流、数据流和逻辑信号流传播的最重要的结构信息。由于拓扑结构上相似的系统倾向于表现出相似的功能,因此可以通过对网络树进行拓扑识别,并利用事先建立的关于特定拓扑模式的线索表,识别系统所具有的功能。对网络树的拓扑识别,是指识别网络树中存在的基本拓
9、扑模式及其组合形式的过程。一?QJ 3217一-2005以电子/电气系统为例,表达系统内各部件间相互连接关系的拓扑图,总是能够分解为下列五种基本的拓扑模式及其组合的形式,如图l所示。a)直线形形的电摞拱形c)接地拱形d)组合拱形e) H形圈1电子/电气系统的五种基本拓扑模式基于网络树生成和拓扑模式识别的分析方法是,首先对系统进行适当的划分以及结构上的简化,生成网络树:其次识别网络树中的拓扑模式:最后结合线索表对网络树进行分析,识别出系统中存在的潜在状态。4.2 基于功能节点识别和路径追踪的分析方法潜在分析也可以在对复杂系统进行划分和简化的基础上,通过关键功能节点的识别和功能节点间因果路径的追踪
10、,结合线索表进行分析。系统中的功能节点可划分为源和目标两类。功能路径是指为完成系统的某项特定功能,系统内物质流、能量流、数据流或逻辑信号在功能节点间的传输路径。对于功能路径的识别是针对特定的源和目标进行的。基于功能节点识别和路径追踪的分析方法是:首先对复杂系统进行划分和简化;其次识别出系统中的功能节点,追踪出功能路径:最后结合线索表进行路径分析,识别出系统中存在的潜在状态。5 潜在分析程序潜在分析的程序分为三个阶段,如图2所示。5.1 准备阶段5.1.1 资料收集资料收集的原则是尽可能多地收集与待分析系统相关的资料,这些资料应准确、全面、有效。资料收集的一般内容包括:a) 系统的设计任务书:b
11、) 系统的结构和功能框图(显示组成系统的单机或部件),以及技术说明文件:c)系统电原理图(显示各单机或部件通过电缆网、电连接器、分离插头座等形成的电气连接关系); d) 系统(含电缆网)总布置图和电缆束的结构数据(线径、长度等); e) 各组成单机或部件的详细电原理图(显示各元器件、组件、PCB板等的电气连接关系); f) 系统定义中的u黑盒子接口电路或等效电路数据:g) 各组成单机或部件的内部接线表、元器件清单及相关信息、电连接器清单及相关信息和装配图。5. 1.2 资料消化资料消化的原则是全面系统地整理和消化原始资料,据此掌握系统所有期望的运行模式、状态和功能,步骤如下:3 QJ 3217
12、-2005 分析阶段准备阶段基于网络树生成和拓扑基于功能节点识别和模式识别的分析程序路径追踪的分析程序结论阶段图2潜在分析的程序a) 从任务要求和系统原理框图人子,对照功能描述文件,理解并标注系统功能:b) 必要时,根据理解重画系统原理框图:c) 检查详细电路设计,识别主要的功能部件:d) 检查多张图纸通过连接器的电气连接:e) 确定电摞点、接地点以及重要的功能信号点:注:功能信号点定义为系统中具有一定功能的重要指令信号的发出点、执行部件的接收点等,如起飞、级间分离、火4 QJ 3217一2005工品母线加电、反推火箭点火等。f) 追踪并标注主要的功能信号从输人到输出的传播路径:g) 根据功能
13、信号的传播路径,重画系统功能信号流图:h) 标注可能的从输出到输人的反馈信号传播路径:i) 标注电源供电和接地的网络:j) 检查可能的绘图错误。5.1.3 数据预处理数据预处理的工作一般包括:为保证系统完整性而进行的系统补充定义、虚拟器件定义、连通性数据修补、系统划分、系统简化、元器件模型表建立、确定分布参数等。其中,系统划分是指将复杂电路沿一定的界面,分割为简单的、易于分析的较小部分的过程,其原则是划分后的各部分电路之间不存在复杂的电气联系。根据这一原则,适宜作为划分的边界点为:电源供电点、各级别的供电母线(正母线、各级别的供电返回母线(负母线)、电源返回点、集中接地,任、指令信号总线、特殊
14、功能节点、分系统边界等。应确认电路沿边界点划分后不会导致忽略某些潜在状态。如果经划分后系统仍过于复杂,应进一步增加划分的边界点。5.2 分析阶段5.2.1 基于网络树生成和拓扑模式识到的分析程序5.2.1.1 网络树生成网络树生成一般需借助计算机辅助分析软件工具进行。在电路规模较小时,也可以由人工生成网络树。其生成程序是:a)从一个功能信号基准点出发,按连通图进行路径追踪,直到遇到划分的系统边界点为止,追踪的过程中假定所有遇到的开关性器件,如开关、继电器触点、分离插头等的状态为闭合:b) 对完成的追踪路径进行绘图、布图调整和标注,完成一个拓扑网络树图的生成:c) 重复上述过程,直至完成从所有功
15、能信号点出发的追踪,完成全部拓扑网络树的生成:d) 网络树的编号、分类和组织。5.2.1.2 拓扑模式识别识别程序如下:a) 从第一棵网络树开始分析:b) 对每棵树,从系统的第一种运行模式开始分析;c)对每种运行模式(含不可忽视的过渡状态),首先由非断分支组成状态网络树,接着识别出网络树中所有可能的基本拓扑模式。5.2.1.3 结合线索表的网络树分析分析程序如下:a)对每棵树、每种运行模式中的各基本拓扑模式,结合开关状态表,回答线索表中的每个问题,借以发现潜在状态:注:基于网络树生成和拓扑模式识别的分析方法,所依据的线索一般包含三类:元器件应用线索、功能设计线索和招扑结构线索二参见附录D。b)
16、 重复上一步骤,直至完成所有的运行模式和网络树。3 QJ 3217-2005 5.2.2 基于功能节点识别和路径追踪的分析程序5.2.2.1 功能节点识别识别程序如下:a) 识别系统的运行模式和开关性器件的状态表:b) 根据对系统的功能分析,完成目标的识别:c) 根据对系统的功能分析,完成源的识别。5.2.2.2 路径追踪假定系统中所有开关性器件处于闭合位置,通过路径追踪,识别出在源和目标之间的所有路径。5.2.2.3 结合线索表的路径分析分析程序如下:a) 对每条路径,结合系统运行模式和开关性器件的状态表,识别路径的激发条件:b) 必要时,追踪激发路径:c) 对每个激发条件进行分析,根据潜在
17、分析线索表,识别出潜在状态:注:基于功能节点识1JJIJ和路径追踪的分析方法,所依据的线索一般包含两类:路径线索、路径一器件线索。参且附录D。d) 继续进行下一条路径的分析,直至完成对所有路径的分析。5.3 结论阶段结论阶段的程序如下:a) 记录分析结论,按潜在路径、潜在时序、潜在指示、潜在标志对问题进行分类汇,总:b) 记录分析过程中发现的可能的设计缺陷及资料错误:c) 整理得到的结论,对发现的潜在问题进行分析,提出改正建议:d) 将发现的问题提交设计方进行交流和确认:e)形成潜在分析报告。潜在分析报告的内容一般包括分析过程、分析结论、改正建议及与设计方交流和确认情况等。潜在分析报告的主要内
18、容,也可用潜在分析报告简表的格式提供,参见附录Ea6 潜在分析技术应用说明6.1 系统选择和分析范围的确定潜在分析可以应用于一个完整的系统,也可以应用于重点选择的分系统、关键功能或关键设备。任务关键系统、安全性关键系统应作为潜在分析的重点。6.2 潜在分析软件工具对于元器件总数不超过50个的电子/电气系统的潜在分析,可以用人工方法进行:但超过上述规模时,应借助潜在分析软件工具进行。6.3 潜在分析与传统可靠性安全性分析技术的综合传统的可靠性安全性分析技术大多以元器件、部件或模块的失效为前提,而潜在分析原则上与上述失效无关,因此潜在分析可弥补其他技术的不足。潜在分析与其他技术的综合应用,可提供关
19、于系统功能异常的更全面的信息和取得更好的分析效果。6.4 潜在分析的计划安排随着系统研制阶段的推进,改正潜在问题所需付出的代价随之加大。因此,为实现最佳的投资效益,潜在分析应在工程研制过程中尽可能早的阶段进行,并随着研制阶段的进展不断进行更新分析。6.5 潜在分析的组织6 QJ 3217-2005 承担潜在分析任务的人员应由三方面的人员组成,即系统设计人员、待分析系统领域(如电气或电子领域的专家和潜在分析的专家。其中设计人员主要负责提供设计数据及相关内容的咨询,分析任务则主要由后两类专家独立完成。设计人员和分析人员之间应就分析数据和结论进行及时沟通和交流,以保证分析结论的正确、有效。7 QJ
20、3217-2005 附录A(资料性附录软件系统的潜在分析A.l 概述软件系统潜在分析是在电子/电气系统潜在分析的基础上发展而来的。电子/电气系统潜在分析的很多概念可以扩展到软件领域:相应地,本标准第5章的分析程序经适当的修改后,可参照用于软件系统的潜在分析。软件潜在状态定义为一种能够引起不需要的操作或抑制需要的操作的意外的逻辑控制通路,它不包括按程序操作时硬件系统的失效。软件潜在状态也可以仿照电子/电气系统潜在状态按表现形式进行分类:潜在路径、潜在时序、潜在指示、潜在标志。A.2 软件系统潜在分析的方法与程序简介A.2.1 基于网络树生成和拓扑模式识别的分析方法和程序将软件的逻辑流程改画为电路
21、形式,用等价的电路符号表征软件中的逻辑结构,软件潜在分析可以仿照5.2.1的分析程序进行。例如,将寄存器初始化、子程序调用、子程序返回等用继电器线圈来模拟,将条件分支用开关来模拟,将数学运算语句用电阻器来模拟等。A.2.2 基于功能节点识别和路径追踪的分析方法和程序基本上可以沿用本标准5.2.2定义的分析程序进行。不同之处在于:a) 电子/电气系统潜在分析中的电流,此时换成了逻辑流和信号流:b)软件潜在分析中的源,_般定义为软件模块的人口,如数据初始化指令、操作指令、程序启动、寄存器赋初值等:c) 软件潜在分析中的目标一般定义为执行特定功能的下级子程序的人口,如显示指令、输出指令、转其它程序指
22、令、程序终止、跳出循环等。A.2.3 软件系统潜在分析的线索表软件系统潜在分析的线索表完全不同于电子/电气系统的线索表。例如,对于条件检测和转移逻辑,两个示范性的线索的例子是:所有被检测的变量和寄存器都是当前的吗?在分支转移后或分支缺省后,流向正确吗?8 QJ 3217-2005 附录B资料性附录液(气)压管路系统的潜在分析B.1 概述液(气)压管路系统的潜在分析是在电子/电气系统潜在分析的基础上发展而来的。电子/电气系统潜在分析的概念、方法和程序基本上可参照使用于液(气压管路系统的潜在分析。液(气)压管路系统的潜在分析,可使用流程图代替潜在电路分析中所用的电气原理图。液(气)压管路系统流程图
23、中的管路部件,与电路中的元器件有直接的比照关系。例如,各类阀门相当于开关性器件(开关、继电器触点、三极管开关),单向阀门相当于二极管,贮罐相当于电容器,泵相当于电源,排风(气)口相当于接地等。B.2 液(气)压管路系统潜在分析的方法与程序简介B.2.1 基于网络树生成与拓扑模式识别的分析方法和程序基于流程图的液(气)压管路系统的基本拓扑模式与电子/电气系统基本拓扑模式相同。因此,在网络树生成、拓扑模式识别、线索表应用等环节上,其方法和程序是相同的。B.2.2 基于功能节点识别和路径追踪的分析方法和程序基本上可以沿用本标准5.2.2定义的分析程序进行。不同之处在于:a) 潜在电路分析中的电流,此
24、时换成了液(气物质流;b)液(气)压管路系统潜在分析中的源一般定义为泵、加压设备、满轮机、鼓风机、阀门控制指令等:c) 液(气)压管路系统潜在分析中的目标一般定义为贮罐、泄压阀、排风(气)口等。B.2.3 液(气)压管路系统潜在分析的线索表液(气)压管路系统服从流体运动规律,流体的流动与压力、流速甚至温度等密切相关。在化工过程中,不适当的混合比例和海合时间也可能带来危险。因此,液(气)压管路系统的潜在分析,具有独特的线索表。例如,对于由泵和控制阀组成的电源拱形,一个拓扑结构线索的例子是:是否考虑了阀门变换状态瞬间的流体压力、流速对状态转换的影响?9 QJ 3217-2005 附录C资料性附录复
25、杂系统中的潜在状态C.l 模述复杂电子/电气系统、软件系统和液(气)压管路系统中,可能存在导致系统失效但却与元器件或部件失效无关的潜在状态。潜在状态是系统设计完成后即客观存在的一种工作状态,通常与构成系统的部件是否发生失效无关。潜在状态是造成元部件失效发生条件下的一种重要的系统性失效模式。对电子/电气系统而言,其他与部件失效元关的系统性失效模式包括:环境条件恶化、系统抗干扰能力差、电磁兼容能力差、接地不良、操作程序错误等。C.2潜在状态的起源和危害潜在状态的存在根源子系统的复杂性。以复杂电子/电气系统为例,系统的复杂性使得设计者难以完整预测和评估电路的各种期望和非期望的工作方式,从而导致元意地
26、将潜在状态引人设计。潜在状态也可能由于设计发生更改而忽视全面的针对性分析而产生,或可能由操作人员的非期望的操作方式而引起。由于其隐藏性,潜在状态经常以意想不到的方式出现,有可能给系统或人员造成严重危害。C.3 潜在状态示例C.3.1 电子/电气系统潜在状态示例图C.1给出了导致某火箭发射失败的潜在电路案例。如图中箭头所示路径(潜在路径),当火箭通过点火线圈正常点火后,在尾插头己拔开但控制插头尚未断开的短时间内,通过应急指示继电器削峰二极管的潜在路径接通了发动机关机线圈,使发动机意外关机。该潜在路径在图C.I的简明示意图中很容易看出,但实际的分析过程十分复杂,需要对原电路作大量的简化后才能确认所
27、示路径的存在条件和潜在的危害性。八rT|1T 发射指示灯发射台应急开关啕喝一-li-yl-11击冒唱唱阜-关税指令唱唱昏-应急指示器线圈发动机关机线圈图C.I电子/电气系统潜在状态示例一潜在电流路径10 QJ 3217-2005 C.3.2 软件系统潜在状态示例图C.2a)是某软件的设计意图。图C.2b)是实现该设计意图的软件编码(以电子/电气元器件模拟的软件网络树形式表示。在实际进行软件编码时,使用了不适当的条件测试顺序。它在判断变量1等于一2的分支中,又判断变量l是否小于0,很显然变量1已经是小于0,因而变量1大于等于0的分支是无效分支,永远不可到达。原软件如f意图号到其他代码K0003S
28、/D002 IN2/0002 L-_) 到其他代码!量,气变阿飞,|IlJ量叩口变rkDA ZAUD WUO门N四川川是-umGwm寸l-11寸臼um-咆叭恻阳唰J寸冯门z相fz关川八EM咄du川mm一是一一妇WAmm-一illlll分岱US-ii-汗川二.giz-此UW?否。D寸川l一卢山川丁作A 图C.2软件系统潜在状态示例一不适当的条件测试顺序C.3.3 液(气)压管路系统潜在状态示例如图C.3所示是一个氢氧燃料罐供气系统。氧气罐和氢气罐分别串有两个截止阀以保证需要时安全关闭氢气罐和氧气罐,另外还分别串连一个单向阀以防止其他气体流人。氢气和氧气分别经减压后送人燃烧室。系统中另有一个氮气罐
29、,用于在紧急情况下或燃烧室关闭时清洗燃烧室和减压阀。图中虚线所示为可能导致氢氧在燃烧室外意外海合而引发爆炸危险的潜在路径。当氢气罐和氧气罐的截止阀未关闭而启动氮气罐清洗系统时,如果氮气压力小于氢气和氧气的压力,氢气和氧气将在氮气罐人口处混合,产生爆炸危险。识别该潜在路径的关键在于识别它所存在的时机和条件,即氢气罐和氧气罐的截止阀未关闭、氮气压力小于氢气和氧气的压力,而又在此时启动氮气罐清洗系统。11 QJ 3217一-2005AlIlli-! 牟lw俨j一一桐树M一一一-FU川一= = = 燃烧室图C.3液(气压管路系统的潜在状态示例一潜在路径12 D.1 概述附录D(资料性附录潜在分析的线索
30、表QJ 3217-2005 线索表是潜在分析中的重要工具之一。线索表是一系列经过精心整理的问题集,通过回答这些问题,可以使分析者容易发现系统中可能导致非期望功能或抑制所期望功能的潜在状态。线索表的建立一般需要一个较长的时间积累过程。很多线索是在经验教训的基础上总结提炼出来的。线索表的丰富与完备程度在很大程度上决定了分析的水平。因此,在实践过程中,应特别重视线索表的收集和整理工作,尤其是针对不同系统、不同分析方法的特点,进行专用线索的收集和整理。本附录给出了本标准中用到的线索表的格式、线索分类和示范线索,供收集整理线索表时参考。D.2 线索表格式本标准提供的通用线索表格式如表D.I所示,表中各数
31、据项说明如下:a) 标识符:标识性字符,供用户编号和检索用:b) 线索标题:关于本线索的短标题:c) 线索类型:线索的分类:d) 适用对象:线索的适用范围,如具体的招扑类型、功能或元器件种类:e) 线索内容:线索的具体内容:f) 线索说明:对线索内容作进一步阐述,是关于线索的补充说明。表D.I通用线索表格式标识符线索标题线索类型适用对象线索内容线索说明D.3 线索分类D.3.1 基于网络树生成和拓扑模式识别的潜在分析方法的线索基于网络树生成和拓扑模式识别的潜在分析方法的线索,可按设计层次分为三类:a) 元器件应用线索:关于元器件应用方法、规范的线索,其示范线索见表0.2:b) 功能设计线索:关
32、于系统功能单元设计的线索,其示范线索见表0.3:c)拓扑结构线索:关于元器件之间及功能单元之间物理、逻辑上拓扑连接的线索,其示范线索见表0 .4 0 13 QJ 3217-2005 D.3.2 基于功能节点识别和路径追踪的潜在分析方法的线索基于功能节点识别和路径追踪的潜在分析方法的线索,可分为两类:a)路径线索:与路径有关的线索,这类线索可依据规范的逻辑思维方式推出,且适用于任何性质的系统,参见第0.4章:b)路径一器件线索:与路径和路径中特定的元器件类型均有关的线索,电子/电气系统、软件系统、液(气)压管路系统的示范线索,分别见表0.5一表D工D.4 路径线索的推导原则D.4.1 通用线索如
33、果考虑源和目标之间的静态关系,且源和目标的状态可建模为二进制变量,则所有的路径线索能从下述通用线索推出:a) 一个非期望的因果流是否能激活目标tb) 一个非期望的因果流是否能关断目标:c) 设计的因果流是否能在错误的时间激活目标:d) 设计的因果流是否能在错误的时间关断目标。D.4.2 具体的路径线索为对给定数目的二进制的目标和源决定具体的路径线索,应遵循以下步骤:a) 对识别的目标和源组合建造状态表:b) 识别所有非期望的状态组合,其中至少有一个目标为ON。对这些状态应用0.4.1通用线索a) 和c) J以推导出具体的线索:c)识别所有非期望的状态组合,其中至少有一个目标为咱FF。对这些状态
34、应用0.4.1通用线索b)和d) ,以推导出具体的线索。D.4.3 具体线索推导示例举例而言,如果在一个目标T和两个摞SI和S2之间的设计关系是ANO,并且所有的其他关系是非期望的,则0.4.1通用线索a)和b)将导出以下四个具体线索:a) 当SI为ON、S2为OFF时,T是否会激活:b)当S引l为OF阿Fc当S引1、S臼2均为勺OF怦F时,丁是否会激活:d) 当SI、S2均为ON时,T是否会关断。类似的方法可以用于推导当目标和源非二进制状态时的线索,但只能假定有限数目的状态。D.4.4 复杂系统路径线索数目的限制当二进制源和目标的总数目(源为N,目标为M)在合理小的范围时,上述的确定路径线索
35、的方法是适用的。否则,对复杂的系统,所有可能的路径线索的数目将变得非常大(如果可能)。在这种情况下,分析者应该通过以下手段限制相关的路径线索的数目:a) 检查一下一些目标是否只与一部分漉有关:b) 使用只与关键的目标(根据初步危险分析和功能失效分析的结果)有关的路径线索。14 QJ 32 J 7-2005 表D.2示范线索:元器件应用线索标识符DIOI 线索标题有极性电容器和反向电压线索类型元器件应用线索适用对象电容器线索内容是否有反向电压加到有极性电容器上线索说明如果有反向电压加到有极性电容器上,则可能导致电容器爆炸。可在电容器的两端并接一个反向|电压保护二极管标识符DI02 线索标题使用后
36、的负载特性线索类型元器件应用线索适用对象EED、电爆管、炸药、雷管线索内容使用过的EED特性是否与电路执行过程相匹配线索说明在点火后,电爆管器件可能开路或短路。在这两种状态下,电路功能的执行结果会不同,保护器牛(限流器也是如此。电爆管短路不应损坏别的电路器件表0.3示范线索:功能设计线索标识符D201 线索标题RC成L时间常数线索表类型功能设计线索适用对象电阻一电容、电阻电感组合电路线索内容电阻一电容或电阻-电感电路的时间常数会引起严重的信号延迟吗线索说明如果在信号所经路径中存在电阻一电容或电阻一电感网络,那么所引起的信号延迟可能引人潜在定时。这样可能会影响上升及下降时间,对于数字电路尤其如此
37、,并且可能达不到工作频率。此外膊上叫体管可能会由予过犬的输入时间常数所引起的开合不精确,而使它们呈现非期望的开合时间和过大的功率耗散标识符D202 线索标题转换瞬间的稳定性指示线索表类型功能设计线索适用对象监测电路线索内容在信号或状态变化时,监测电路所传递的信息是否稳定,并且保持一致线索说明在加电或模式转换期间,监测电路应向系统提供恰当的信息15 QJ 3217-2005 表0.4示范线索:拓扑结构线索标识符D301 线索标题地侧开关线索类型拓扑结构线索适用对象电源拱形+H形线索内容电路中是否存在地侧开关线索说明在负载的接地一侧切断电流要非常小心,因为这种拓扑结构很容易产生潜在电流路径。建议不
38、要在接地回路中接人可能断开电流的元器件(如开关、继电器触点、断路器、保险丝等)。如果必须在接地回路中串人电连接器,则应该保证供电源网络与接地网路在拓扑结构上是对称的:当通过电连接器对同一连通网络供电时,推荐的设计方法是:供电线与接地线使用同一电连接器,避i免使用分开的电连接器标识符.D302 线索标题H形横竿上的反向电流线索类型拓扑结构线索适用对象H形线索内容是否存在H形的电路拓扑结构,横竿上是否存在反向电流线索说明电路设计中,应当尽量避免使用H型的电路拓扑结构。H型电路中,最容易产生问题的是横竿上的电路。横竿上的元器件会承受双向电流。双向电流可能产生的后果有:非期望地激励接地边上!的负载和横
39、竿上的负载、让横竿上的元器件承受反向电流进而将之损伤甚至永久损坏表0.5示范线索:电子/电气系统路径一器件线索标识符D401 标题接地断开线索类型路径一器件适用对象节点线索内容接地断开会影响原有路径吗线索说明如果接地返回点用来决定电路分支的电位,那么接地断开(例如在开合转换或断开之后将使该节点处于浮动状态,这会让非期望电流流经其它电路分支:也可能会错误偏置某些电路,并使之损坏标识符D402 标题监测电路的位置线索类型路径一器件适用对象传感器十检测器+指示器+灯泡+压力传感器+火传感器+温度传感器+浓度传感器+液位传感器+位置传感器线索内容监测电路的位置与连接方式是否能传递被监测功能的真实状态线
40、索说明监测电路只应指示被监测功能的状态,而不能指示其它功能状态16 QJ 3217-2005 表0.6示范线索:软件系统路径一器件线索标识符D501 标题横溢出线索类型路径-器件适用对象赋值+逻辑框十调用线索内容在黯值及程序调用上是否可能出现横溢出情况线索说明如果是这样,则会引发存储异常错误,或可能发生编址错误标识符D502 标题内存释放线索类型路径-器件适用对象赋值+逻辑程+调用线索内容所有动态分配的内存是否被释放线索说明别的过程可能需要使用来被释放的内存。这种情况可能由下面情况引起:a) 没有释放指令:的释放指令由于过程中存在的异常而被旁路了一表0.7示范线索:液(气压管路系统路径一器件线
41、索标识符D601 标题共用的排水或通风管道线索类型路径-器件适用对象排水十通风线索内容共用的排水、通风、增压、闭塞设备是否与多个源相连线索说明如果多个流体据通过共用管道相连,则如果它们中两个或两个以上流体非期望地撮合或发生反应,那么系统会受到损坏或影响所需性能。如果共用管道不可避免,则要小心别使非期望的流体流经这些共用管道.,(例如只允许安装单向阀)标识符D602 标题液体汽化线索类型路径一器件适用对象储箱十储囊+储箱压力十容器线索内容是否存在针对压力下降的保护设备线索说明如果压力降低到低于液体汽化的压力,如果不采取必要的措施,则液体将汽化,从而导致灾难性后果例如,产生的气体会部分地进入储箱的
42、主摒而与其它搜体或蒸汽濡合)17 QJ 3217-2005 附录E(资料性附录潜在分析报告筒衰的格式E.l 潜在分析报告简表的格式潜在分析报告简表的格式参见图巳1。潜在分析报告简表型号:设计图纸参照符z分系统:版本号:设备:修订号:功能:日期:设计阶段:页数:潜在状态的名称:潜在状态的类别:潜在路径潜在时序潜在指示潜在标志潜在状态的描述(含必要的图示):潜在状态的影响及危害性z建议改正措施:建议措施的实施和验证:分析者设计方交流复核情况签名、日期._ 一一一一一-一一一一一一一一签名、日期图E.I潜在分析报告简衰的格式18 meeN|巳Nmu吨。中华人民共和国航天行业标准潜在分析方法和程序QJ 3217-2005 * 中国航天标准化研究所出版北京西城区月坛北小街2号邮政编码:100830 北京航标印务中心印刷中国航天标准化研究所发行版权专有不得翻印2005年7月出版定价:17.00元
