衛星安全性設計的分析評價策略

王志勇 郭秉毅 劉洋

（1 中國空間技術研究院，北京 100094）（2 北京控制工程研究所，北京 100190）

1 引言

隨著衛星系統安全性設計標準化工作和衛星質量管理工作的不斷深入，衛星系統安全性設計已被納入安全性設計標準化達標考核中。衛星安全性設計有關標準規定了非常詳細的安全性設計內容和要素，但需要系統設計師進行適用性選取和刪除，因此，研究簡單、優化的安全性設計流程和安全性設計的基本內容，對于規范和指導系統設計師開展衛星系統安全性設計非常有意義。

衛星的安全性設計與可靠性設計相輔相承，在普遍重視可靠性設計的前提下，有必要在成熟的可靠性工程基礎上，進一步探索有效開展安全性保證和安全性設計工作的新方法、新思路。衛星安全性設計，如火工品安全性設計、載人飛船生保系統安全性設計、衛星推進系統安全性設計等，對儀器設備和人員安全非常重要。文獻［1］中簡述了要開展衛星安全性設計的8種情況。文獻［2］中給出了一種單相流體回路的安全性設計方法和經驗。確保衛星安全性設計的全面性和有效性，需要一種系統的方法流程。目前，衛星的安全性設計分析通常采用故障模式與影響分析（FMEA）方法［3］，這是一種系統安全性和可靠性設計的常用方法，它將系統進行分割，劃分為子系統、設備和元件，分析各自可能發生的故障模式及產生的影響，以制定相應措施提高系統的安全性與可靠性。FMEA 方法的目標是辨識系統的故障模式及每種故障模式對系統的影響。文獻［4］中闡述了FMEA 方法在機械產品設計中的應用，文獻［5］中闡述了復雜系統的FMEA 方法，文獻［6］中闡述了油氣管道安全性預評價的FMEA 方法。然而，FMEA 方法更多側重于系統產品的故障分析。安全工程認為，故障是指元件、子系統、系統在規定的運行時間、條件內達不到設計規定的功能，而事故是指人身傷亡和財產損失，可能是由功能故障引起的，也可能是在不發生功能故障時發生［7］。為了在安全性設計中兼顧故障、事故和各類危險等綜合因素，本文在FMEA 方法指導系統安全性設計的基礎上，將FMEA 方法與其他安全性分析方法相結合，形成簡明的組合分析流程和可操作的流程化表格，以利于系統設計師重點考慮與系統產品有關的各種危險源及其后果帶來的安全性風險，可為安全性設計輸入和安全性設計驗證等提供有效的閉環管理方法。

2 衛星安全性設計和可靠性設計的關系

衛星安全性設計通常被納入到衛星可靠性工程范疇，可靠性的目標是保證產品在任務運行期間功能正常，安全性的目標是保證人員和衛星產品、地面設施與設備的安全，保護環境不受污染。一般，可靠性工程以可靠性保證為中心，并將可靠性作為安全性的后盾?？煽啃院桶踩杂袝r是統一的，有時又是對立的。

（1）統一性指可靠性分析結果和采取的控制措施與安全性分析的一致。例如，推進系統的主要故障模式是管路系統的外泄漏，外泄漏會導致系統功能失效和安全事故，可靠性設計和安全性設計分析結果都認為是重要危險，采取的措施都是增加設計裕度和加強產品質量控制，增加系統狀態監控壓力傳感器，設置可用于故障隔離的自鎖閥等。

（2）對立性指可靠性分析結果及采取的控制措施與安全性分析的不一致。以圖1中火工電路開關安全性設計為例，圖中設計有3道開關，這是為了在軌飛行或地面測試中防止由于誤操作出現誤爆而進行的安全性設計，3道開關中只要有1道以上斷開，火工裝置就不會起爆。但是，1道開關可以解決的問題，卻設計3道開關，這就降低了火工裝置點火功能的可靠性。

圖1 火工電路開關Fig.1 Switch of initiator circuit

系統設計師開展安全性設計，應清楚掌握可靠性設計和安全性設計的關系，以在系統設計中平衡兩種設計的利弊，提出最優設計方案。

3 安全性設計綜合分析評價策略

鑒于衛星可靠性工程開展的良好基礎，對于衛星的安全性設計分析，可以在FMEA 方法基礎上結合其他安全性分析方法進行綜合分析，如初步危險分析（Preliminary Hazard Analysis，PHA）方法、安全檢查表分析（Safety Checklist Analysis，SCA）方法等。若涉及火災和爆炸危險，還可以結合火災爆炸危險指數評價方法、池火災傷害數學模型分析方法等［8］，從不同角度對衛星危險性進行定性、定量分析和評價，實現對危險源危險性的全方位描述；甚至還可以把人的不安全行為反映到FMEA 方法的分析中，認為人員錯誤操作是會出現的，安全性設計須要統籌考慮人的不安全行為造成物的不安全狀態，如電纜接插件的防插錯設計，防電纜焊接錯誤的色標設計等。下面以采用FMEA、PHA、SCA 組合方法為例，闡述衛星安全性綜合分析評價策略。

一般，安全性設計的FMEA 方法可以歸納為4個步驟：①確定分析對象系統，查明組成系統的元素（子系統或單元）及其功能；②分析元素故障類型和產生原因，依據經驗和有關故障資料分析、討論可能產生的故障模式和原因；③研究故障模式的影響，研究、分析元素故障對相鄰元素、鄰近系統和整個系統的影響；④制定故障的預防對策，尤其是單點故障對策，填寫故障模式與影響分析表格。

安全性設計的PHA 方法可以歸納為6 個步驟：①通過經驗判斷、技術診斷或其他方法調查確定危險源，對所需分析系統的生產目的、物料、裝置設備、工藝過程、操作條件及周圍環境等，進行充分詳細的了解；②根據過去的經驗教訓，以及同類行業生產中發生的事故情況對系統的影響、損壞程度，類比判斷所要分析的系統中可能出現的情況，查找能夠造成系統故障、物質損失和人員傷害的危險性，分析事故的可能類型；③對確定的危險源分類，制成初步危險性分析表；④轉化條件，即研究危險因素轉變為危險狀態的觸發條件和危險狀態轉變為事故的必要條件，并進一步尋求對策，檢驗對策的有效性；⑤進行危險性分級，排列出重點和輕、重、緩、急次序，以便處理；⑥制定事故的預防性對策。

安全性設計的SCA 方法可以歸納為3個步驟：①把檢查對象分解，將大系統分割成若干小的子系統；②以提問或打分的形式，將檢查項目列表；③逐項檢查，避免遺漏。

將FMEA、PHA、SCA 方法組合應用于衛星安全性綜合分析，須要明確目標、準則和方法，將大系統的分析結果作為系統產品安全性設計的輸入，將風險評價作為安全性設計的改進要求，以系統產品安全性設計方案風險評級作為系統產品安全特性表征值。其中，SCA 方法在衛星安全性設計的應用，可以結合安全生產標準化實施，實施過程一般至少包含以下幾個方面。

（1）明確系統安全性設計目標、準則和方法。

（2）擴大分析對象。將分析對象從系統產品本身擴展到包括系統產品、系統產品使用環境和人員的大系統。具體可分為兩部分：①查明組成系統產品的元素（子系統或單元）及其功能。②查明系統產品相關的使用人員素質、使用環境、相鄰系統或設備情況、相鄰危險物質情況、周邊區域人員分布情況。

（3）擴大故障分析范疇。既識別分析系統產品的故障類型和產生原因，也分析大系統（系統產品、系統產品使用環境和人員等）存在的危險源。

（4）擴大影響分析。既研究、分析系統產品元素故障對相鄰元素、鄰近子系統和整個系統產品的影響，也分析大系統存在的危險源的相互影響域。

（5）安全性設計實施與驗證。

（6）安全性設計風險評價。

（7）系統安全性設計方案風險定級。

4 安全性設計分析流程和表格化管理

為簡明闡述衛星安全性設計分析，可以建立一種衛星安全性設計流程和表格化管理方法。

設計流程內容主要如下。

（1）定義目標。首先要確定系統安全目標或確定一個可以度量安全性的標準，以控制、評價系統設計、生產、試驗、使用過程中的安全性。

（2）選擇安全性設計方法。掌握全面的安全性設計方法是系統安全性設計的前提。系統產品安全性設計一般涉及到多個方面，如能量控制設計、危險消除控制設計、損傷抑制設計、狀態監控設計、故障-安全設計、安全告警設計、安全標志設計、隔離設計、故障或事故模擬設計等。設計師應掌握有關的設計方法。

（3）明確安全性設計準則。從系統產品可能涉及的有毒有害危險因素、危險能量、特種設備、防護與安裝、使用維修、事故應急救援等方面，明確提出每個方面在系統安全性設計中必須包括的若干設計要素和要求，如防輻射準則、耐壓準則、防火防爆準則、防護和安裝準則、連結與固定準則，以及使用維修、事故應急救援準則等。

（4）系統分析。系統分析的目的在于了解系統產品的功能、組成、工作過程及使用條件；了解包括系統產品、系統產品使用環境和人員的大系統的組成、運轉情況?？梢詮娜?、設備產品、環境和管理4個方面分析安全管理和安全技術的薄弱環節。

（5）故障和危險識別。故障和危險識別是系統安全工作流程中的關鍵環節，要從產品、過程、危險要素3個維度識別潛在危險源和可能發生的故障／事故。如果不能識別出所有的危險源和故障／事故類型，就不能充分地控制危險，更不可能保證系統的安全。因此，應全面地識別已存在的和潛在的危險源和故障／事故類型，做到一個不漏。完成該項工作可以形成危險源-故障／事故清單，它是安全性設計分析的基礎。設計師可以對照GB／T 13861-2009所歸納總結的危險種類著手對照識別。

（6）風險預評價。危險分析與風險預評價是在危險源-故障／事故清單基礎上，分析每一種危險源與系統安全性設計的關系，并對照危險嚴重性和可能性分類準則，進行風險評價，繪制風險分析矩陣和風險指數等級圖。對各危險事件進行風險評價，繪制風險雷達圖，確定接受與否，并確定對哪些危險要采取安全措施，以消除或減少對系統的影響。

（7）故障／事故影響域分析。繪制系統產品內部故障影響關聯圖和系統產品外部其他系統與系統產品的故障影響關聯圖，重點研究危險轉化條件。

（8）確定本質安全性設計措施。對不可接受風險的危險項目，均要采取消除、減少或控制危險的本質安全性設計措施，即要從產品設計上采取措施，要對照安全性設計準則修改設計，以求消除危險或將危險降低到可接受水平。系統產品本質安全性設計措施一般包括能量控制設計、危險消除控制設計、損傷抑制設計等。這項工作的重點是通過設計消除危險。

（9）本質安全性設計措施驗證及風險控制效果評價。對消除、減少或控制危險的實施效果，還要進一步進行驗證和風險評價，以確定在采取措施后能否將危險的風險降低到可接受水平，是否會產生新的危險源。

（10）確定安全性防護設計措施。對通過系統產品本質安全性設計措施無法消除、減少或控制的危險，采取安全性防護設計措施消除、減少或控制殘余危險。安全性防護設計一般包括隔離設計、故障-安全設計等。這項工作的重點是通過設計減少危險發生的次數和后果。

（11）安全性防護設計措施驗證及風險控制效果評價。對安全性防護措施消除、減少或控制殘余危險的實施效果，還要進一步進行驗證和風險評價，以確定在采取措施后是否能將危險的風險降低到可接受水平，是否會產生新的危險源。

（12）確定安全性監控報警設計措施。對通過系統產品安全性防護設計措施無法消除、減少或控制的殘余危險，采取監控報警設計措施進行監控。系統產品監控報警設計一般包括安全告警設計、安全標志設計等。這項工作的重點是通過設計在危險發生前減少損害。

（13）安全性監控報警設計措施驗證及風險控制效果評價。對監控報警措施消除、減少或控制殘余危險的實施效果，還要進一步進行驗證和風險評價，以確定在采取措施后能否將危險的風險降低到可接受水平，是否會產生新的危險源。

（14）安全性設計評價評級。評價系統的安全性是否滿足要求：如果滿足要求，批準設計方案，并進行風險評級；否則，修改系統安全性設計方案，或對指標要求重新進行論證，或作出其他管理決策。

在實際應用中，上述流程可以適當合并或增減。表1為按照安全性分析流程建立的衛星安全性設計分析表，圖2為安全性分析流程示意。

圖2 安全性分析流程示意Fig.2 Sketch of safety analysis flow

5 安全性設計綜合分析評價策略應用示例

下面以衛星推進系統在軌推進劑傳輸加注為例，闡述系統安全性設計。衛星推進系統在軌加注技術是空間飛行器領域的前沿技術，可以采用貯箱在軌更換和在軌推進劑傳輸2種方式。假設對上述系統進行安全性設計，采用綜合分析法分析評價，分析步驟和內容見表2。

表2 分析步驟和內容Table 2 Analysis procedures and contents

續 表

圖3 風險矩陣Fig.3 Array of risk

圖4 危險事件風險雷達圖Fig.4 Risk radar chart of hazards

圖5 危險事件影響關聯圖Fig.5 Influence interaction chart of hazards

上述示例顯示，安全性設計綜合分析評價策略的應用具有流程簡明、表格化清晰的優點，即以一份表格統籌安全性設計的全部內容和開展結果。第1步是以目標管理為起點制定安全性目標“推進劑傳輸加注和在軌加注零泄漏，地面測試人員零傷害”。第2步、第3步分別提出了規范化的設計方法和設計準則選用范圍。第4步開始分析系統組成、工作流程和原輔材料。第5步通過系統分析，按照設計方法和設計準則模塊化提示，識別5項危險源，并根據系統分析選擇示例需要的安全性設計方法和準則。第6步對識別的5項危險源按照風險矩陣法進行初步風險評估。第7步為影響域分析，要求設計師重點分析控制某項危險事件時對其他事件的影響，研究各個風險相互轉化的條件，避免安全性設計控制措施帶來新的更大的風險。第8步是設計師在全面考慮危險源和風險控制原則的前提下，開始開展本質安全性設計，表2中針對5項危險源提出了3種本質安全性設計措施，應用了所選用的設計方法和準則。第9步要求設計師采用仿真或試驗驗證等手段，驗證本質安全性設計措施的有效性，并利用風險矩陣法評估系統采用安全性設計后的風險控制效果。如果不滿足要求，需要重新設計。第10步是設計師確定安全性防護設計措施，示例中提出1種安全性防護措施，應用了所選用的設計方法和準則。第11步要求設計師采用仿真或試驗驗證等手段，驗證安全性防護措施的有效性，并利用風險矩陣法評估系統采用安全性設計后的風險控制效果。如果不滿足要求，需要重新設計。第12步是設計師確定安全性監控報警設計措施，示例中提出1種監控報警設計措施“泄漏監控檢測設計”，應用了所選用的設計方法和準則。第13步要求設計師采用仿真或試驗驗證等手段，驗證安全性監控報警設計措施的有效性，并利用風險矩陣法評估系統采用安全性設計后的風險控制效果。如果不滿足要求，需要重新設計。第14步要求設計師采用SCA 方法和風險矩陣法，對整個系統的安全性風險進行最終確認和風險等級評定。

6 結束語

對于安全性風險而言，控制風險方法的優先順序是消除、替代、降低、限制和個體防護，而安全性設計是從源頭降低安全性風險最經濟、最本質的手段。采用安全性設計綜合分析評價策略開展安全性設計是一種嘗試，本文以衛星推進系統在軌加注為例進行了探討，衛星其他系統的安全性設計可以參照此示例，在FMEA 方法基礎上結合PHA 和SCA 方法進行。系統設計師還可以參照上述分析過程，在FMEA 方法基礎上結合火災爆炸危險指數評價、池火災傷害數學模型分析等其他方法開展安全性設計。本文的安全性設計綜合分析評價策略提出了一種衛星安全性設計具體、簡明的流程，便于衛星系統安全性設計的開展。

（References）

［1］唐伯昶.衛星安全性設計［J］.航天器工程，1994，3（4）：1-5 Tang Bochang.Safety design of satellite［J］.Spacecraft Engineering，1994，3（4）：1-5（in Chinese）

［2］于新剛，范宇峰，黃家榮，等.單向流體回路安全性設計［J］.航天器工程，2012，21（5）：70-75 Yu Xingang，Fan Yufeng，Huang Jiarong，et al.Safety design of single-phase fluid loop［J］.Spacecraft Engineering，2012，21（5）：70-75（in Chinese）

［3］周海京，遇今.故障模式影響及危害性分析與故障樹分析［M］.北京：航空工業出版社，2003 Zhou Haijing，Yu jin.FMECA and FTA analysis［M］.Beijing：Aviation Industry Press，2003（in Chinese）

［4］劉小瑩.基于FMEA／TIPS的機械產品設計方法及支持系統研究［J］.西華大學學報（自然科學版），2011，30（4）：53-57 Liu Xiaoying.Product design method based on FMEA／TIPS and support system［J］.Journal of Xihua University（Natural Science），2011，30（4）：53-57（in Chinese）

［5］楊建軍，黎放，魏軍.基于功能模型的復雜系統FMEA方法［J］.海軍工程大學學報，2009，21（4）：103-107 Yang Jianjun，Li Fang，Wei Jun.On complex system FMEA method based on functional modeling［J］.Journal of Naval University of Engineering，2009，21（4）：103-107（in Chinese）

［6］胡燈明，鄭志強.油氣管道安全預評價的FMEA 方法分析［J］.石油化工安全環保技術，2010，26（4）：21-25 Hu Dengming，Zheng Zhiqiang.Failure mode and effect analysis of oil and liquefied petroleum gas tube［J］.Petrochemical Safety and Environmental Protection Technolgy，2010，26（4）：21-25（in Chinese）

［7］何學秋.安全工程學［M］.北京：中國礦業大學出版社，2000 He Xueqiu.Safety engineering［M］.Beijing：China University of Mining and Technology Press，2000（in Chinese）

［8］魏新利，李惠萍，王自健.工業生產過程安全評價［M］.北京：化學工業出版社，2005 Wei Xinli，Li Huiping，Wang Zijian.Safety evaluation of industry production process［M］.Beijing：Chemical Industry Press，2005（in Chinese）

［9］魏延明，潘海林.空間機動服務平臺在軌補給技術研究［J］.空間控制技術與應用，2008，34（2）：18-22 Wei Yanming，Pan Hailin.Research on on-orbit refueling of maneuverable platform［J］.Aerospace Control and Application，2008，34（2）：18-22（in Chinese）

［10］于洋，丁風林，宗光華.在軌加注用超聲波流量計的設計與試驗［J］.中國空間科學技術，2012，32（4）：77-83 Yu Yang，Ding Feng1in，Zong Guanghua.Design and test of all ultrasonic flow meter for orbital refueling［J］.Chinese Space Science and Technology，2012，32（4）：77-83（in Chinese）