基于风险思维的航天器系统安全性工作流程及应用

中图分类号：V57 文献标志码：A DOI ：10.3969/j.ISSN1673- 8748

Abstract：An analysis was conducted on the problems of insufficient risk quantification control， inadequate identification of failure hazards， lack of standardized risk as es ment， and poor practicality of control measures for key safety items in the safety work of spacecraft systems. Solutions were proposed， and a risk- based spacecraft system safety workflow was established. T he implementation elements of the workflow and the "three tables" safety work method were proposed. C ompared with traditional safety workflows， this workflow is significantly different in terms of focus， adopted methods， implementation proces ， and employee participation. Its advantage is that it clarifies the focus of safety work and takes the initiative in uncertainty. T he application results in spacecraft project show that the workflow is feasible and the method is effective， which has a guiding role in the safety work of C hina's spacecraft system.

Key words：safety， hazard risk， risk as es ment

系统安全性是近 30 多年来伴随可靠性工程发展起来的一门综合性应用学科，其目的是在任务性能、时间和费用的约束下，在系统寿命周期的各个阶段应用工程和管理技术，使安全性达到最佳。我国 2024年制定和颁布了国家军用标准 GJB900B-2024《装备安全性工作通用要求》[4]，规定了装备系统安全性工作内容。概率风险评价[5]]（Probabilisticrisk assessment，PRA）是一种安全性风险的定量评价方法 [5] [6]，该方法在载人航天领域得到专门的应用，取得了明显的效果[7]-[8]。我国航天器系统安全性虽已建立了较为完善的技术体系和管理规范，但与国外顶尖宇航企业的先进安全性管理水平相比，仍存在危险源识别不充分、危险风险量化控制不够、危险风险评价欠规范和安全性关键项目控制措施实操性差等问题。例如，危险源发生可能性的等级，往往是定性判断，缺少定量评估。针对上述问题，本文建立了基于风险思维的航天器系统安全性工作流程，提出了工作流程的基本要素，细化了“三单一表”的安全性工作方法，并在航天器型号中应用，应用结果表明工作流程可行、方法有效。

1 基于风险思维的航天器系统安全性工作流程

系统安全性是系统工程中的重要分支，两者在复杂系统的全寿命周期中相互渗透、相互支撑。系统工程强调从整体出发，通过结构化方法管理系统的复杂性，航天器系统安全性工作同样需要系统思维，识别潜在的危险风险，并将降低危险风险的措施融入系统设计中，实现航天器系统在功能、性能、安全性等方面综合最优。基于风险思维的安全性核心目标就是以“不确定性”为核心，通过系统识别、分析、应对潜在的危险风险，从而消除危险或将危险风险降低到可接受水平，以实现安全性目标并持续改进。基于风险思维与传统安全性控制思维有很大的不同点，传统安全性控制思维多是被动应对，采用多项目并重的预案方式来规避威胁，基于风险思维注重前瞻性与预防性，强调事前识别潜在危险风险，将危险风险视为贯穿安全性保证的全系统、全过程、全要素的管理重点，通过危险风险发生概率与后果权衡的动态适应来最终保障安全性目标的实现。

总而言之，基于风险思维的航天器系统安全性工作流程是利用科学技术、管理的手段来识别、分析航天器的危险，通过采取危险风险的控制措施，把安全性设计进产品中，并得到充分有效的验证，最终将危险风险控制到可接受水平。基于风险思维的航天器系统安全工作流程和基本要素如图1 所示。

图 1 中“定义目标”是首先要确定航天器系统安全性目标或确定一个可以度量安全性的标准，以控制、评价型号各级产品设计、生产、试验、使用过程中的安全性；“系统分析”的目的在于了解航天器系统的功能及其组成、工作过程以及使用条件。通常在完成航天器系统分析后可确定任务剖面，任务剖面将有助于全面识别整个任务过程中对航天器系统安全构成威胁的危险事件；“识别危险源”是航天器系统安全工作的关键环节，如果不能识别出所有的危险源，就不能充分地控制危险，则不可能保证航天器的安全，因此应全面地识别已存在的和潜在的危险源，做到一个不漏；“危险分析与风险评价”是在危险源清单基础上，分析每一危险的原因以及对航天器的影响，以便使设计人员了解危险原因和危险后果之间的关系。将分析结果对照危险严重性、可能性分类准则，进行分类和风险评价，确定危险风险接受与否，并确定对哪些危险要采取安全措施，以消除或减少对系统的影响。通过这项工作可以产生一份安全性关键项目清单；“确定消除、减少或控制危险的措施”是对不可接受风险的危险项目，均要采取消除、减少或控制危险的措施，要对照安全性设计准则修改设计，以求消除危险或将危险风险减少到可接受水平；“措施验证及风险评价”是对确定的消除、减少或控制危险的措施的实施效果进一步进行验证和危险风险评价，以确定在采取措施后，能否将危险风险降低到可接受水平、是否会产生新的危险源；“确定残余危险”是对同意保留的那些未采取控制措施，或虽然采取控制措施但又无法验证的不可接受的危险项，按残余危险处理，应将所有的残余危险形成清单，并说明保留理由；“决策”是指航天器系统安全性取决于航天器中的残余危险的风险，通过安全评价，来评价系统的安全性是否满足要求。管理部门据此决策，如果满足要求，予以确认并批准，否则应修改系统方案或对指标要求重新进行论证或作出其它管理决策。“跟踪”是对危险源、安全性关键项目，残余危险项目以及安全性“归零”项目进行跟踪，以支持管理决策。

图1 基于风险思维的航天器系统安全工作流程和基本要素

2 “ 三单一表” 的改进方法

2.1 “三单一表”的提出与确定

所谓“三单”是指一般危险源清单、故障危险源清单和安全性关键项目清单。

“一般危险源清单”是指具有固有危险特性的材料和产品以及与环境有关的危险因素清单。材料或产品本身存在固有危险特性，如能量、有毒、易燃、易爆等，它们在完成功能任务的同时，也有可能伤害人体、物体或造成环境破坏造成事故。一般危险源主要包括危险品（如推进剂、火药、火工品、有毒物品、电源、放射性物质和高压气源等）、系统工作时所处的环境，包括自然环境、诱导环境（如振动、冲击、羽流、极限温度、真空、雷电、电磁，以及粒子辐射等）、人员操作危险（如生理弱点、生理限制、心理危险等）。

“故障危险源清单”是指引发能量或危险物质意外释放的系统功能故障因素清单。在正常情况下，系统中的能量或危险物质是受到约束或限制的，通常不会发生意外释放，一旦这些约束或限制的措施无效，则必将发生事故。一起事故发生往往是两类危险源的共同作用的结果，通常一般危险源是事故发生的能量主体，决定事故后果的严重程度，故障危险源是造成事故的必要条件，决定事故发生的可能性的大小，两类危险源相互关联、相互依存。在故障危险源识别中，存在一般危险源已经包括了某产品，在故障危险源清单中往往会漏掉该产品的情况，导致故障危险源识别不全面。例如，贮箱作为压力容器是一般危险源，很多型号的故障危险源清单中就没有贮箱，实际上贮箱的爆炸必然是能量约束发生故障，也必然存在故障危险源。因此，为保证故障危险源识别不漏项，本文基于危险传播过程和安全性设计基本方法，提出故障危险源检查单及改进方法如下：

（1）利用危险源检查单、工程经验等确定一般危险源清单；

（2）针对一般危险源逐一检索故障危险源；

（3）综合FMEA 等可靠性分析结果，形成完整的故障危险源清单。

故障危险源检查单及示例如表1 所示。

表1 故障危险源检查单及示例

Table 1 Fault Hazard Source Inspection Form and Example

“安全性关键项目清单”是指包括所有安全性关键功能、安全性关键件以及安全性关键程序的清单。安全性关键功能是指航天器某一功能一旦降低或丧失，或在使用时出现误操作，会导致严重或灾难性后果。安全性关键件是指执行安全性关键功能的硬件、软件、固件。安全性关键程序是指控制安全性关键功能的飞行程序或地面控制程序。安全关键项目判别准则一般考虑 ： 发生失效或性能降低，可能会导致严重后果为Ⅰ级和Ⅱ级的危险的产品;含有毒性、腐蚀性、放射性等危险材料的产品，或者具有高温、高压、强电等能量的产品；可能影响安全关键功能执行的产品 ; 没有充分证据证明足够安全的产品 ; 通过风险评价确定的高风险产品。

“三单”确定后要对识别出来的各种危险源和安全性关键项目开展危险分析，对系统设计、使用以及环境有关的所有危险进行系统化分析，用来研究系统设计的不安全状态并提出最佳控制方法。危险分析的实质是对危险演变过程的分析，设法阻止或减缓危险，贯穿于航天器设计、生产、试验和使用全过程 ， 并随着研制的深入不断修改，危险分析是通过危险分析表体现的，也就是“三单一表”中的“一表”。按系统安全措施的优先次序，首先是通过设计消除危险，因此在设计初期，只考虑危险严重性的风险评价一般就能满足使风险达到最小的要求。对设计初期未能消除的危险，则应根据危险严重性和危险可能性的风险评价结果建立危险分析表，制定改进措施和跟踪措施验证结果。通过建立危险分析表并进行结构化分析，可以使航天器安全性工程中的风险识别与评价流程更加系统化、规范化。

2.2 危险分析与量化评估的改进方法

危险分析是对系统设计、使用以及环境有关的所有危险进行系统化分析，可用来研究系统设计的不安全状态并提出最佳控制方法。危险分析的实质是对危险演变过程的分析，设法阻止或减缓危险。危险分析贯穿于航天器设计、生产、试验和使用全过程 ， 并随着研制的深入不断修改。危险分析是通过危险分析表体现的，也就是“三单一表”中的“一表”。应组织对危险风险进行评价，确定安全性关键项目，以及对不可接受危险项目提出改进措施并确定残留危险项目。危险严重性等级是危险严重程度定性的度量，应根据其安全性大纲要求，给出相应的人员伤亡、系统报废、系统严重或轻度损坏、严重或轻度职业病明确的规定，其规定应得到用户和承制方的认可。

当前危险分析中存在的主要问题是危险可能性等级的定量分析不足，缺少等级判定的定量依据。针对这一问题，考虑危险源的不同类型，本文提出定量分析方法如下：

（1）能量 / 物质约束类，如密封失效、承压能力丧失等，可建立裕度—概率等级准则，例如贮箱通过 2 倍爆破压力试验，其概率等级对应 E 级 [4]。

（2）产品功能故障类，如锂电池过充是由于充电电路故障引起，可建立对应电路的可靠性模型，通过可靠性分析获得不可靠度，按标准规则[4] 明确概率等级，例如不大于10-6 对应E 级。

（3）逻辑或人为差错类，如单粒子事件引发逻辑错误、人的误发指令等，可通过历史数据统计，包括在轨飞行数据、地面系统数据等，按标准规则明确概率等级。

在确定危险严重性等级和危险发生可能性等级的基础上，为决定采取什么措施解决识别的危险，必须制订确定有关风险水平的评价系统。有效的风险评价准则能使决策者恰当地了解有关风险程度。

3 应用案例

以一个通信卫星平台为例，在研制过程中贯彻应用了上述基于风险思维的系统安全工作方法。研制初期就开始了危险源识别工作，按照危险源检查单、线索表，全面梳理出推进剂、贮箱、氦气瓶、蓄电池、火工品等 10 项一般危险源 ， 结合 FMEA 工作，进一步识别出锂离子电池过充电、火工品误起爆等15 项故障危险源。

该通信卫星平台在方案设计阶段，利用危险分析表对以上危险源开展了危险分析，细化了具体的危险事件、任务阶段，对后果的可能性、严重性进行了风险评价，制定了设计和生产过程的安全性措施及验证方法，降低了危险发生概率，将危险风险控制在可接受的范围。根据量化的风险评价结果，识别出了 7 项系统安全性关键项目清单，见表 7。制定了严格的控制措施，对重要指标、数据进行量化控制。

在初样研制阶段，继续完善安全性设计措施，并把产品设计和过程控制措施落实到相应的设计文件、图纸、工艺文件中。例如，针对推进系统的贮箱、气瓶和管路，采取了结构裕度设计、多重禁止冗余设计、无损探伤、漏率检查等控制措施；通过压力验证试验、相容性试验、故障模拟测试、仿真计算等多种方式，对安全性设计措施的有效性进行了验证；在正样研制阶段，在卫星的生产、试验、验收等过程中全面落实了高压容器、高电压设备、火工品、推进剂等控制措施 50 余项，并在产品检验、验收、出厂前等节点对落实情况进行了检查确认，对相关记录文件进行严格审查。针对一些关键的性能指标、测试数据进一步开展了一致性分析、包络线分析等工作，保证产品满足安全性要求；在卫星出厂前，对关键项目的控制措施落实情况进行确认，对相关记录进行检查。通过安全性评估对设计措施落实情况、试验验证有效性进行了确认，确保不存在不可接受的残余危险风险。

通过以上系统性安全工作，对安全性风险进行了准确识别和严格控制，保证了该通信卫星平台型号从未发生过安全性事故。

4 结束语

本文建立了基于风险思维的航天器系统安全性工作流程，提出了工作流程的基本要素，明确了危险源定义和识别方法，确保危险源识别不漏项。统一危险分析表要求，规范了危险风险评价工作。提出“三单一表”的安全性工作方法，建立航天器系统安全性工作模式。并将该流程和方法在通信卫星平台上进行了应用，识别出了一般危险源 10 项、故障危险源 15 项，安全性关键项目 7 项，有效地解决了危险风险量化控制不够、故障危险源识别不充分、危险风险评价欠规范和安全性关键项目控制措施实操性差的问题，实现了“危险风险可知、可控、可接受”的安全性工作目标。

参考文献（References）

[1] 遇今 . 国外概率安全评估与管理的发展 [J]. 质量与可靠 性 ，1997， （1）：42- 44.Y U Jin. Advances in Probabilistic Safety As es ment and Management in Foreign C ountries[J].Quality and R eliability， 1997， （1）：42- 44. （in C hinese）.

[2]（俄）别烈高沃伊等著，孙治邦等译 . 航天安全指南 [M]，航空工 业 出 版 社，1996.（R ussia）Authored by Beregovoy and others， T ranslatedby SUN Z hibang and others. Space Safety Guidelines[M]，Aviation IndustryPress，1996

[3] 江元辉主编 . 安全系统工程 [M]，天津大学出版社，1999.Chief Editor： JIANG Y uanhui. System Safety Engineering[M]，T ianjin University Press，1999.

[4] GJB 900B- 2024 [S]， 装 备 安 全 性 工 作 通 用 要 求，2024.GJB900B- 2024 [S]，General R equirements for Equipment Safety Work，2024.

[5] 遇今 . 概率安全评估技术综述 [J]. 质量与可靠性 ，1999， （1）：41- 43. Y U Jin. A R eview of Probabilistic Safety As es ment（PSA） T echniques[J]. Quality and R eliability， 1999， （1）：41- 43. （in C hinese）.