1、G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G02G03G04G05G06G07G08G09G0AG0BG0CG0DG01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01 G02G03G01G04G05G04G06 G
2、07G08G08G05G01G01G09G0AG08G05G05G08 G01 G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G02G03G04G05G06G07G08G09G0BG0CG0DG0EG0FG10G11G01G12G13G10G01G14G15G0FG16G0CG10G17G15G0CG11G01G18G0FG15G01G0EG12G19G12G15G10G01G12G13G12G1AG1BG11G1CG1
3、1G01 G01 G07G08G08G05 G05G05 G05G1DG01G02G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G01G07G08G08G07 G08G07 G08G05G03G04G01G02G03G04G05G06G07G08G09G0AG0BG01G01G01G01G01G01G02QJ 3139 200123目 次前言 .1 范围 . 12 规范性引用文件 . 13 术语 . 14 一般要求 . 15 详细要
4、求 . 15.1 危险分析的范围 时机及与 FMECA 的关系 . 15.2 危险分析主要内容 . 25.3 拟定危险源 项目 清单 . 25.4 评价危险的危害性 . 35.5 确定安全性关键项目 . 35.6 安全性改进措施建议 . 35.7 确定残余危险项目 . 35.8 危险分析方法 . 45.9 危险分析程序 . 55.10 危险分析报告要求 . 6附录 A 资料性附录 一般危险源检查单示例 . 7附录 B 资料性附录 危险能源检查单示例 . 10附录 C 资料性附录 任务关键功能检查单示例 . 11附录 D 资料性附录 使用 保障活动检查单示例 . 12附录 E 资料性附录 一般危
5、险源及能源清单格式 . 13附录 F 规范性附录 危险严重性分类表 . 14附录 G 规范性附录 危险可能性等级表 . 15附录 H 规范性附录 危险风险评价矩阵示例 . 16附录 I 规范性附录 安全性关键项目清单格式 . 17附录 J 资料性附录 危险分析表格填写示例 . 18QJ 3139 200124前 言本标准是 QJ 2236A 99 航天产品安全性保证要求 的支持性标准本标准的附录 A 附录 B 附录 C 附录 D 附录 E 和附录 J 为资料性附录 附录 F 附录 G附录 H 附录 I 为规范性附录本标准由中国航天科技集团公司提出本标准由中国航天标准化研究所归口本标准起草单位
6、中国航天标准化研究所 中国航天科技集团公司一院和五院本标准主要起草人 遇 今 邵德生 周海京 谷 岩 肖名鑫QJ 3139 20011危险分析方法和程序1 范围本标准规定了航天产品危险分析的方法和程序本标准适用于航天产品在研制 使用阶段的危险分析2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款 凡是注日期的引用文件 其随后所有的修改单 不包含勘误的内容 或修订版均不适用于本标准 然而 鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本 凡是不注日期的引用文件 其最新版本适用于本标准GJB 451 可靠性维修性术语GJB 900 系统安全性通用大纲QJ 2236A 航
7、天产品安全性保证要求QJ 1302.1 1302.5 航天产品技术评审QJ 3050 航天产品故障模式 影响及危害性分析指南3 术语GJB 451 GJB 900 和 QJ 2236A 确立的术语和定义适用于本标准4 一般要求4.1 危险分析是 QJ 2236A 规定的工作项目 包括初步危险分析 分系统危险分析 系统危险分析以及使用和保障危险分析 在产品安全性大纲中要求做危险分析时 应按本标准规定的程序进行4.2 危险分析应系统地识别与产品设计 使用及环境有关的所有危险 评价这些危险的危害性 提出消除或控制危险的措施建议 降低危险风险4.3 危险分析应从产品研制开始 并贯穿于设计 生产 试验和
8、使用全过程 ,并随着研制的深入不断修改 补充和完善危险分析结果4.4 危险分析过程中所获得的信息 数据以及分析结果应及时反馈到设计 使用和管理部门 便于及早采取措施 有效地保证安全性4.5 应建立系统安全性工作与其它工作 如设计 生产 试验 使用 可靠性 质量保证等 之间的信息联系 以便综合利用这些数据和信息进行危险分析4.6 应编写危险分析报告 并将危险分析结果作为按 QJ 1302.1 1302.5 要求进行技术评审的检查单内容之一 以便检查提出的安全性改进措施是否在设计中得到落实5 详细要求QJ 3139 200125.1 危险分析的范围 时机及与 FMECA 的关系5.1.1 危险分析
9、的范围有安全性大纲的航天型号 一般应对系统 分系统及关键设备进行危险分析5.1.2 危险分析的时机危险分析应从方案阶段开始并与设计同步进行 危险分析结果用于支持设计 对重大的设计更改部分及相关的接口部分应重新进行危险分析5.1.3 危险分析与 FMECA 的关系危险分析应充分利用 FMECA分析的结果 避免重复分析工作5.2 危险分析主要内容危险分析主要内容包括a 识别危险源 拟订危险源清单b 对危险的危害性进行评价c 确定安全性关键项目d 对不可接受危险项目提出改进措施建议e 确定残余危险项目5.3 拟订危险源 项目 清单应在方案阶段开始按照 QJ 2236A 中 5.7 的规定 识别系统可
10、能存在的危险源 并编制初步危险源清单 ,随着研制的进展 应对已编制的初步危险源清单及时更正或补充5.3.1 识别危险源危险源是对系统安全构成潜在威胁或可能造成危害的因素 至少应从以下几方面识别系统存在的危险源a 危险品 如推进剂 火药 火工品 有毒物品 电源和高压气源等b 系统工作时所处的环境 包括自然的 诱发的 如振动 冲击 极限温度 真空 雷电 电磁 离子辐射等c 系统功能故障或非正常工作状态d 系统设计缺陷 包括机械结构件安全余量不足的项目 不相容 如材料间不相 容 电磁干扰等 的项目 由潜通路而引发的不希望工作状态 接口不协调 如硬件之间 软硬件之间软件之间 信息传递之间接口等e 关键
11、指令和控制软件的缺陷f 使用 测试 维修 保障过程中可能引发或引入的危险g 误操作或违背规程的操作h 危险品贮存 搬运 运输 推进剂泄出处理等i 与安全性有关的设备 安全防护装置以及其他安全保险措施j 其他5.3.2 识别危险源的方法5.3.2.1 利用危险源检查单应结合系统特点 编制危险源检查单 以识别系统设计 使用中可能存在的危险源 通常可使用四类危险源检查单QJ 3139 20013a 一般危险源检查单 参见附录 A 它是系统本身固有的或所处环境存在的危险源 附录 A 是一般危险源检查单示例b 危险能源检查单 参见附录 B 能源从系统中释放时将威胁系统安全或造成危害 附录 B 是危险能源
12、检查单示例c 任务关键功能检查单 参见附录 C 系统执行任务时 当这些关键功能发生故障或出现不正常的工作状态时 将威胁系统的安全或造成危害 附录 C 是任务关键功能检查单示例d 使用 保障活动检查单 参见附录 D 在使用 保障时出现误操作 不按规程操作等将威胁系统安全或造成危害 附录 D 是使用 保障活动检查单示例5.3.2.2 利用工程经验可利用类似系统研制 使用的工程经验和有关的安全性数据 识别系统可能存在的危险源5.3.2.3 利用工程分析 可靠性分析方法对于利用检查单或工程经验还不能识别出的危险源 可利用工程分析方法 如功能分析 系统分析等 以及可靠性分析方法 如 FMECA FTA
13、潜通路分析等 识别对系统安全性有关键影响的功能产品 故障危险源 设计缺陷等5.3.3 危险源清单应拟订危险源清单并提交评审 危险源清单一般可由两部分组成a 一般危险源及能源清单一般危险源及能源清单可参照附录 E 提供的格式填写b 故障危险源清单故障危险源清单可按照 QJ 3050 中表 3 的格式填写 也可按照本标准中 5.3.2.1 的 c 或 d的方式提供5.4 评价危险的危害性应评价危险源产生的危险后果的危害性 通常可按下述方法之一进行评价a 按危险严重性评价危险严重性等级划分给出了对危险严重程度的定性度量 本标准附录 F 给出了危险严重性的具体划分等级定义b 按风险评价用风险评价危险
14、即通过综合考虑危险发生的可能性和严重性来评价危险风险 本标准附录G 和附录 H 分别给出了危险可能性等级表 危险风险评价矩阵的评价准则5.5 确定安全性关键项目应将危险严重性为灾难性 类 和严重的 类 的项目 包括功能 软硬件产品及操作规程确定为安全性关键项目 应编制安全性关键项目清单 并按关键项目要求进行质量控制 安全性关键项目清单格式见附录 I 安全性关键项目清单格式也可以采用可靠性关键项目清单格式5.6 安全性改进措施建议对安全性关键项目或已识别的不可接受的危险风险 应按 QJ 2236A 中 4.3 的规定的消除或控制危险的次序提出安全性改进措施建议5.7 确定残余危险项目在已识别的安
15、全性关键项目或危险风险不可接受的项目中 对那些不准备采取安全性改进措施或QJ 3139 20014虽然已采取安全性改进措施 但是其危险风险仍不可接受的项目 应确定为残余危险项目 并按照 QJ2236A 中 5.4 的规定进行跟踪和处理5.8 危险分析方法表 1 是进行危险分析时使用的表格 分析人员应按照本标准 5.8.1的说明填写表 1表 1 危险分析表格XX 危险分析表系统 研制阶段 编号安全性改进措施 采取安全性改进措施后序号代号产品名称或功能危险源任务阶段危险事件原因后果严重性可能性风险指数消除 控制验证方法发生可能性风险指数备注编写 日期 审核 日期 第 页 共 页5.8.1 填表说明
16、a XX 危险分析表填写危险分析表的类型 如初步危险分析表 分系统危险分析表 系统危险分析表或使用和保障危险分析表b 系统用于确定进行危险分析的系统名称c 研制阶段进行危险分析时的研制阶段d 编号每个分析表格都有一个唯一的包含字母和数字的编号 编号应符合有关文件管理规定e 序号被分析产品的顺序编号f 代号被分析产品的图样标识号码g 产品名称或功能被分析产品的名称或执行的功能h 危险源被分析的产品或功能中已识别的危险源QJ 3139 20015i 任务阶段危险发生时系统所处的任务阶段j 危险事件填写危险源所引发的危险事件k 原因鉴别并说明所确定的危险事件发生的原因l 后果危险事件发生后可能对人
17、设备 财产或环境的影响m 严重性按照附录 F 规定给出危险严重性等级n 可能性按照附录 G 规定给出危险可能性等级 若按本标准 5.4 中 a 评价危险的危害性时 可不填此项内容o 风险指数按照附录 H 给出风险评价的风险指数 若按本标准 5.4 中 a 评价危险的危害性时 可不填此项内容p 消除给出用于消除或减少危险发生的设计措施q 控制给出用于减少危险发生可能性的设计措施或在危险发生后控制危险的安全装置 报警 警告设施或应遵循的自动 手动规程等措施r 验证方法给出用于验证安全性改进措施的方法s 发生可能性确定采取安全性改进措施后危险发生的可能性t 风险指数按照附录 H 评价采取安全性改进措
18、施后的危险风险指数u 备注说明关于危险分析工作的状况 以及其它需要说明的有关情况危险分析表应随着研制工作的深入而不断完善 以准确反映设计的实际状况5.9 危险分析程序5.9.1 确定分析目标 范围按照产品安全性大纲的要求确定被分析的对象或层次和分析类型 即初步危险分析 分系统危险分析 系统危险分析以及使用和保障危险分析5.9.2 确定分析规则根据系统要求确定分析规则 包括危险严重性与发生可能性等级分类 风险接受准则等5.9.3 剪裁分析表格内容危险分析是通过填表实现的 因此 可根据危险分析的需要 对表 1 给出的基本内容进行适当剪QJ 3139 20016裁5.9.4 识别危险源参照本标准的
19、5.3 识别系统中可能存在的危险源5.9.5 填写危险分析表参照本标准 5.8 填写危险分析表格 本标准附录 J 提供了危险分析表格填写示例5.9.6 提出安全性关键项目清单应根据危险分析的结果确定并提出安全性关键项目清单 见附录 I5.9.7 编写危险分析报告危险分析结束后 应按本标准中 5.10 的规定编写危险分析报告5.10 危险分析报告要求危险分析报告通常包括以下内容5.10.1 概述简要说明危险分析对象的安全性要求 分析目的 类型 范围及系统功能 列出引用文件 资料5.10.2 分析内容及说明说明分析的假设 采用的数据和分析的内容 包括给出危险源清单 危险分析表 安全性关键项目清单
20、残余危险项目等 还应给出各项分析结果相互关系的简要说明5.10.3 结论与建议给出危险分析的结论与建议QJ 3139 20017附录 A资料性附录一般危险源检查单示例A.1 系统导致的 内部的 技术危险A.1.1 热动力学和流体学a 压力 压差 高 低 真空b 温度 高 低 温差c 材料的热性能d 热传递 热辐射 对流e 液体喷射A.1.2 电学和电磁学a 电压 高 中 低b 静电c 电流 高电流 低电流d 磁场 诱导磁场 外部磁场e 电离f 电火花A.1.3 辐射a 光 红外线 可见光 紫外线b 放射性 核物质 X 射线 激光c 明火A.1.4 化学a 刺激物b 酸性物质c 碱性物质d 窒息
21、剂e 有毒物质f 腐蚀剂g 可燃物h 易爆物i 易燃物j 自燃物A.1.5 机械a 压力 高 低 压差 真空b 振动QJ 3139 20018c 机械能 势能 动能 旋转能d 冲击能e 机械特性 尖锐程度 粗糙程度 润滑程度 切割f 应力 拉伸 压缩 摩擦g 脆性 脆性物质 撕裂敏感性A.1.6 噪声A.2 系统导致的 内部的 生物危险A.2.1 人的废物a 呕吐物b 汗及排泄物A.2.2 微生物a 霉菌b 细菌c 病毒d 真菌A.3 人员操作危险A.3.1 心理危险a 错误敏感性 决策 判断 信息处理b 受限制的理由 情绪 紧张状态 幽闭恐惧感c 注意力的分散A.3.2 生理危险a 生理弱点
22、b 生理限制c 人员的不适 黑暗 光亮 噪声 不适的姿势A.4 环境 外部 危险 空间A.4.1 重力a 零重力b 过载A.4.2 真空A.4.3 大气成份A.4.4 放射性污染物及污染物A.4.5 陨石及空间残骸A.4.6 温度A.4.7 辐射QJ 3139 20019a 太阳射线和强光b X 射线和核辐射A.5 环境 外部的 危险 地面A.5.1 环境极限和气候a 天气变化b 尘 沙c 风d 雾 霜 潮湿 干燥e 自然灾害f 闪电QJ 3139 200110附录 B资料性附录危险能源检查单示例B.1 危险能源检查项目a 推进剂b 火工品c 火药d 充电电容e 蓄电池f 静电荷g 弹簧装置h
23、 压力容器i 悬挂装置j 气体发生器k 发电机l 放射性能源m 落体n 弹射座椅o 加热装置p 泵 鼓风机 电扇q 旋转机械r 驱动装置s 核能QJ 3139 200111附录 C资料性附录任务关键功能检查单示例C.1 任务关键功能检查项目a 加注推进剂b 安装火工品c 发射前测试检查d 航天员进出座舱e 由地面转为箭上供电 供气f 火箭点火g 助推器分离h 级间分离 再启动i 逃逸j 整流罩分离k 第二级火箭点火l 入轨m 太阳能帆板展开n 轨道定位o 轨道修正p 关键指令注入q 地面测控r 在轨航天员操作s 航天员在轨活动t 飞行中应急处理u 离轨v 开伞w 着陆QJ 3139 20011
24、2附录 D资料性附录使用 保障活动检查单示例D.1 使用 保障活动检查项目a 焊接b 清洁处理c 极限温度操作d 极限载荷操作e 吊装 装卸 装配f 主要部件 分系统 系统的验证试验g 推进剂加注 运输 装卸h 高能加压 气压或液压试验i 核部件装卸 测试j 武器安装 测试 试验k 进入容器或狭窄空间QJ 3139 200113附录 E资料性附录一般危险源及能源清单格式表 E.1 一般危险源及能源清单系统研制阶段 编号发生的危险危险源 部位着火 爆炸振动冲击声振爆炸冲击热 污染 辐射 放电病理生理心理毒性 其它编写 日期 校对 日期 审核 日期注 1 危险源 指系统中存在的一般危险源及能源注
25、2 部位 指硬件安装部位 例如 假如能产生电火花的设备安装在飞船防火区内 则存在着危险注 3 在每一危险源发生的相应危险处打注 4 本表中产生的危险不是全部的 要根据分系统硬件 设计 使用特点来确定QJ 3139 200114附录 F规范性附录危险严重性分类表表 F.1 危险严重性分类表 QJ 2236A 表 1说明 等级 定 义灾难性的 人员死亡 系统完全损失或报废 环境严重破坏严重的 人员严重伤害 含严重职业病 系统或环境较严重破坏轻度的 人员轻度伤害 含轻度职业病 系统或环境轻度破坏可忽略的 轻于 类的人员伤害 轻于 类的系统或环境破坏QJ 3139 200115附录 G规范性附录危险可
26、能性等级表表 G.1 危险可能性等级表 QJ 2236A 表 2说明 等级 单 个 项 目 总体 总体大小由产品定义频繁 A 可能经常发生 连续发生很可能 B 在寿命期内可能发生若干次 频繁发生偶然 C 在寿命期内可能偶尔发生 发生若干次很少 D 在寿命期内不易发生 但有可能 不易发生 但有理由预期可能发生不可能 E 不易发生 可认为不会发生 不易发生 但有可能QJ 3139 200116附录 H规范性附录危险风险评价矩阵示例表 H.1 危险风险评价矩阵示例 QJ 2236A 附录 A 表 A6危 险 类 别频率灾难性的 严重的 轻度的 可忽略的频 繁 1 3 7 13很可能 2 5 9 16
27、偶 然 4 6 11 18很 少 8 10 14 19不可能 12 15 17 20注 危险风险指数 建议原则1 5 不可接受6 9 不希望 需要管理者决策10 17 可接受 但需管理者评审18 20 不需评审即可接受QJ 3139 200117附录 I规范性附录安全性关键项目清单格式表 I.1 安全性关键项目清单系统 分系统 名称研制阶段 编号序号 代号 产品名称或功能 危险源 任务阶段 危险事件 严重性 备注编写 日期 校对 日期 审核 日期第 页 共 页QJ 3139 200118附录 J资料性附录危险分析表格填写示例表 J.1 初步危险分析表系统 飞船 研制阶段 初样 No. F1 安
28、全性改进措施采取安全性改进措施后序号代号产品名称或功能危险源任务阶段危险事件原因 后果 严重性可能性风险指数消除 控制验证方法发生可能性风险指数备注1 F0 飞船舱内气体环境纯氧气体环境航天员进舱后所有阶段助燃因静电火花或电气设备产生火花 在纯氧环境下引燃舱内易燃物航天员烧死或窒息死亡I 重新设计生命保障系统 使舱内氧气压力接近正常大气压采用不易燃烧抗静电材料设计评审D 8编写 日期 审核 日期 第 页 共 页QJ 3139 200119表 J.2 系统危险分析表系统 推进系统 研制阶段 初样 No. T2 安全性改进措施 采取安全性改进措施后备注序号代号产品名称或功能危险源任务阶段危险事件原
29、因 后果 严重性可能性风险指数 消除 控制 验证方法 发生可能性风险指数2 T0 肼推进剂贮箱肼推进剂贮箱增压后所有阶段爆炸并着火毒害环境1.设计强度不足2.箱体材料腐蚀裂纹烧毁舱体及舱外设备 伤害航天员I 1.贮箱设计安全系数22.按 I 级焊缝要求生产3.防热措施1. 爆破试验 K=2.562.检验焊缝100%X 光检验3.设计评审E 12编写 日期 审核 日期 第 页 共 页QJ 3139 200120表 J.3 系统危险分析表系统 运载火箭 研制阶段 初样 No. Y3 安全性改进措施采取安全性改进措施后序号代号产品名称或功能危险源任务阶段危险事件原因 后果 严重性可能性风险指数 消除
30、 控制 验证方法发生可能性风险指数备注3 Y0 芯一级发动机发动机无推力助推器飞行段芯一级发动机分机某一分机无推力1. 控制供电线路故障2. 发动机电爆管未起爆3. 发动机火药启动器未起爆1.若继续飞行 在最大动压区攻角可能超出设计值 影响箭体结构2.若继续飞行 不能入轨I 1. 提高线路设计可靠性2. 确保产品质量3. 加强地面检测手段4. 严格按照规程测试设计评审D 8 进行最大动压区的姿态及载荷分析编写 日期 审核 日期 第 页 共 页QJ 3139 200121表 J.4 使用和保障危险分析表系统 导弹 研制阶段 初样 No. D4 安全性改进措施采取安全性改进措施后序号代号产品名称或
31、功能危险源任务阶段危险事件原因 后果 严重性可能性风险指数消除 控制验证方法发生可能性风险指数备注4 D0 导弹固体推进剂药柱火药在正常发射点火之前运输搬运贮存和测试药柱不正常点燃由过早发点火指令 误发点火指令 射频干扰 静电电路错接等原因引爆火工品而点燃药柱导弹损毁或人员伤亡I 1. 单点故障或共因故障不能引起提前发点火指令2.采用 1A 1W钝感火工品3. 采用屏蔽导线防错设计1.设置告警装置以示导弹已装火工品2.制定使用操作规程和应急规程设计评审或演示E 12编写 日期 审核 日期 第 页 共 页G01G02G03G04G05G06G07G08G09G0AG0BG0CG0DG05G06G
32、07G08G09G0AG0BG02G03G01G04G05G04G06G01G01G07G08G09G0CG0DG0EG0FG10G11G12G13G14G15G16G17G18G19G1AG14G1BG1CG1EG1FG20G21G14G15G08G0CG22G23G01G24G22G25G01G07G08G09G0CG0DG0EG0FG10G11G26G0AG01G02G03G04G01G01G01G02G04G04G02G27G04G02G28G29 G03G07G08G01G02G03G04G05G04G06G07G08G08G05G0CG0DG07G08G08G05G02G1DG03G04G04G05G06G04G05G06G07G08G19G12G13G04G04G2A