王志勇 郭秉毅 劉洋

（1 中國空間技術(shù)研究院，北京 100094）（2 北京控制工程研究所，北京 100190）

1 引言

隨著衛(wèi)星系統(tǒng)安全性設(shè)計(jì)標(biāo)準(zhǔn)化工作和衛(wèi)星質(zhì)量管理工作的不斷深入，衛(wèi)星系統(tǒng)安全性設(shè)計(jì)已被納入安全性設(shè)計(jì)標(biāo)準(zhǔn)化達(dá)標(biāo)考核中。衛(wèi)星安全性設(shè)計(jì)有關(guān)標(biāo)準(zhǔn)規(guī)定了非常詳細(xì)的安全性設(shè)計(jì)內(nèi)容和要素，但需要系統(tǒng)設(shè)計(jì)師進(jìn)行適用性選取和刪除，因此，研究簡單、優(yōu)化的安全性設(shè)計(jì)流程和安全性設(shè)計(jì)的基本內(nèi)容，對(duì)于規(guī)范和指導(dǎo)系統(tǒng)設(shè)計(jì)師開展衛(wèi)星系統(tǒng)安全性設(shè)計(jì)非常有意義。

衛(wèi)星的安全性設(shè)計(jì)與可靠性設(shè)計(jì)相輔相承，在普遍重視可靠性設(shè)計(jì)的前提下，有必要在成熟的可靠性工程基礎(chǔ)上，進(jìn)一步探索有效開展安全性保證和安全性設(shè)計(jì)工作的新方法、新思路。衛(wèi)星安全性設(shè)計(jì)，如火工品安全性設(shè)計(jì)、載人飛船生保系統(tǒng)安全性設(shè)計(jì)、衛(wèi)星推進(jìn)系統(tǒng)安全性設(shè)計(jì)等，對(duì)儀器設(shè)備和人員安全非常重要。文獻(xiàn)［1］中簡述了要開展衛(wèi)星安全性設(shè)計(jì)的8種情況。文獻(xiàn)［2］中給出了一種單相流體回路的安全性設(shè)計(jì)方法和經(jīng)驗(yàn)。確保衛(wèi)星安全性設(shè)計(jì)的全面性和有效性，需要一種系統(tǒng)的方法流程。目前，衛(wèi)星的安全性設(shè)計(jì)分析通常采用故障模式與影響分析（FMEA）方法［3］，這是一種系統(tǒng)安全性和可靠性設(shè)計(jì)的常用方法，它將系統(tǒng)進(jìn)行分割，劃分為子系統(tǒng)、設(shè)備和元件，分析各自可能發(fā)生的故障模式及產(chǎn)生的影響，以制定相應(yīng)措施提高系統(tǒng)的安全性與可靠性。FMEA 方法的目標(biāo)是辨識(shí)系統(tǒng)的故障模式及每種故障模式對(duì)系統(tǒng)的影響。文獻(xiàn)［4］中闡述了FMEA 方法在機(jī)械產(chǎn)品設(shè)計(jì)中的應(yīng)用，文獻(xiàn)［5］中闡述了復(fù)雜系統(tǒng)的FMEA 方法，文獻(xiàn)［6］中闡述了油氣管道安全性預(yù)評(píng)價(jià)的FMEA 方法。然而，F(xiàn)MEA 方法更多側(cè)重于系統(tǒng)產(chǎn)品的故障分析。安全工程認(rèn)為，故障是指元件、子系統(tǒng)、系統(tǒng)在規(guī)定的運(yùn)行時(shí)間、條件內(nèi)達(dá)不到設(shè)計(jì)規(guī)定的功能，而事故是指人身傷亡和財(cái)產(chǎn)損失，可能是由功能故障引起的，也可能是在不發(fā)生功能故障時(shí)發(fā)生［7］。為了在安全性設(shè)計(jì)中兼顧故障、事故和各類危險(xiǎn)等綜合因素，本文在FMEA 方法指導(dǎo)系統(tǒng)安全性設(shè)計(jì)的基礎(chǔ)上，將FMEA 方法與其他安全性分析方法相結(jié)合，形成簡明的組合分析流程和可操作的流程化表格，以利于系統(tǒng)設(shè)計(jì)師重點(diǎn)考慮與系統(tǒng)產(chǎn)品有關(guān)的各種危險(xiǎn)源及其后果帶來的安全性風(fēng)險(xiǎn)，可為安全性設(shè)計(jì)輸入和安全性設(shè)計(jì)驗(yàn)證等提供有效的閉環(huán)管理方法。

2 衛(wèi)星安全性設(shè)計(jì)和可靠性設(shè)計(jì)的關(guān)系

衛(wèi)星安全性設(shè)計(jì)通常被納入到衛(wèi)星可靠性工程范疇，可靠性的目標(biāo)是保證產(chǎn)品在任務(wù)運(yùn)行期間功能正常，安全性的目標(biāo)是保證人員和衛(wèi)星產(chǎn)品、地面設(shè)施與設(shè)備的安全，保護(hù)環(huán)境不受污染。一般，可靠性工程以可靠性保證為中心，并將可靠性作為安全性的后盾。可靠性和安全性有時(shí)是統(tǒng)一的，有時(shí)又是對(duì)立的。

（1）統(tǒng)一性指可靠性分析結(jié)果和采取的控制措施與安全性分析的一致。例如，推進(jìn)系統(tǒng)的主要故障模式是管路系統(tǒng)的外泄漏，外泄漏會(huì)導(dǎo)致系統(tǒng)功能失效和安全事故，可靠性設(shè)計(jì)和安全性設(shè)計(jì)分析結(jié)果都認(rèn)為是重要危險(xiǎn)，采取的措施都是增加設(shè)計(jì)裕度和加強(qiáng)產(chǎn)品質(zhì)量控制，增加系統(tǒng)狀態(tài)監(jiān)控壓力傳感器，設(shè)置可用于故障隔離的自鎖閥等。

（2）對(duì)立性指可靠性分析結(jié)果及采取的控制措施與安全性分析的不一致。以圖1中火工電路開關(guān)安全性設(shè)計(jì)為例，圖中設(shè)計(jì)有3道開關(guān)，這是為了在軌飛行或地面測(cè)試中防止由于誤操作出現(xiàn)誤爆而進(jìn)行的安全性設(shè)計(jì)，3道開關(guān)中只要有1道以上斷開，火工裝置就不會(huì)起爆。但是，1道開關(guān)可以解決的問題，卻設(shè)計(jì)3道開關(guān)，這就降低了火工裝置點(diǎn)火功能的可靠性。

圖1 火工電路開關(guān)Fig.1 Switch of initiator circuit

系統(tǒng)設(shè)計(jì)師開展安全性設(shè)計(jì)，應(yīng)清楚掌握可靠性設(shè)計(jì)和安全性設(shè)計(jì)的關(guān)系，以在系統(tǒng)設(shè)計(jì)中平衡兩種設(shè)計(jì)的利弊，提出最優(yōu)設(shè)計(jì)方案。

3 安全性設(shè)計(jì)綜合分析評(píng)價(jià)策略

鑒于衛(wèi)星可靠性工程開展的良好基礎(chǔ)，對(duì)于衛(wèi)星的安全性設(shè)計(jì)分析，可以在FMEA 方法基礎(chǔ)上結(jié)合其他安全性分析方法進(jìn)行綜合分析，如初步危險(xiǎn)分析（Preliminary Hazard Analysis，PHA）方法、安全檢查表分析（Safety Checklist Analysis，SCA）方法等。若涉及火災(zāi)和爆炸危險(xiǎn)，還可以結(jié)合火災(zāi)爆炸危險(xiǎn)指數(shù)評(píng)價(jià)方法、池火災(zāi)傷害數(shù)學(xué)模型分析方法等［8］，從不同角度對(duì)衛(wèi)星危險(xiǎn)性進(jìn)行定性、定量分析和評(píng)價(jià)，實(shí)現(xiàn)對(duì)危險(xiǎn)源危險(xiǎn)性的全方位描述；甚至還可以把人的不安全行為反映到FMEA 方法的分析中，認(rèn)為人員錯(cuò)誤操作是會(huì)出現(xiàn)的，安全性設(shè)計(jì)須要統(tǒng)籌考慮人的不安全行為造成物的不安全狀態(tài)，如電纜接插件的防插錯(cuò)設(shè)計(jì)，防電纜焊接錯(cuò)誤的色標(biāo)設(shè)計(jì)等。下面以采用FMEA、PHA、SCA 組合方法為例，闡述衛(wèi)星安全性綜合分析評(píng)價(jià)策略。

一般，安全性設(shè)計(jì)的FMEA 方法可以歸納為4個(gè)步驟：①確定分析對(duì)象系統(tǒng)，查明組成系統(tǒng)的元素（子系統(tǒng)或單元）及其功能；②分析元素故障類型和產(chǎn)生原因，依據(jù)經(jīng)驗(yàn)和有關(guān)故障資料分析、討論可能產(chǎn)生的故障模式和原因；③研究故障模式的影響，研究、分析元素故障對(duì)相鄰元素、鄰近系統(tǒng)和整個(gè)系統(tǒng)的影響；④制定故障的預(yù)防對(duì)策，尤其是單點(diǎn)故障對(duì)策，填寫故障模式與影響分析表格。

安全性設(shè)計(jì)的PHA 方法可以歸納為6 個(gè)步驟：①通過經(jīng)驗(yàn)判斷、技術(shù)診斷或其他方法調(diào)查確定危險(xiǎn)源，對(duì)所需分析系統(tǒng)的生產(chǎn)目的、物料、裝置設(shè)備、工藝過程、操作條件及周圍環(huán)境等，進(jìn)行充分詳細(xì)的了解；②根據(jù)過去的經(jīng)驗(yàn)教訓(xùn)，以及同類行業(yè)生產(chǎn)中發(fā)生的事故情況對(duì)系統(tǒng)的影響、損壞程度，類比判斷所要分析的系統(tǒng)中可能出現(xiàn)的情況，查找能夠造成系統(tǒng)故障、物質(zhì)損失和人員傷害的危險(xiǎn)性，分析事故的可能類型；③對(duì)確定的危險(xiǎn)源分類，制成初步危險(xiǎn)性分析表；④轉(zhuǎn)化條件，即研究危險(xiǎn)因素轉(zhuǎn)變?yōu)槲ｋU(xiǎn)狀態(tài)的觸發(fā)條件和危險(xiǎn)狀態(tài)轉(zhuǎn)變?yōu)槭鹿实谋匾獥l件，并進(jìn)一步尋求對(duì)策，檢驗(yàn)對(duì)策的有效性；⑤進(jìn)行危險(xiǎn)性分級(jí)，排列出重點(diǎn)和輕、重、緩、急次序，以便處理；⑥制定事故的預(yù)防性對(duì)策。

安全性設(shè)計(jì)的SCA 方法可以歸納為3個(gè)步驟：①把檢查對(duì)象分解，將大系統(tǒng)分割成若干小的子系統(tǒng)；②以提問或打分的形式，將檢查項(xiàng)目列表；③逐項(xiàng)檢查，避免遺漏。

將FMEA、PHA、SCA 方法組合應(yīng)用于衛(wèi)星安全性綜合分析，須要明確目標(biāo)、準(zhǔn)則和方法，將大系統(tǒng)的分析結(jié)果作為系統(tǒng)產(chǎn)品安全性設(shè)計(jì)的輸入，將風(fēng)險(xiǎn)評(píng)價(jià)作為安全性設(shè)計(jì)的改進(jìn)要求，以系統(tǒng)產(chǎn)品安全性設(shè)計(jì)方案風(fēng)險(xiǎn)評(píng)級(jí)作為系統(tǒng)產(chǎn)品安全特性表征值。其中，SCA 方法在衛(wèi)星安全性設(shè)計(jì)的應(yīng)用，可以結(jié)合安全生產(chǎn)標(biāo)準(zhǔn)化實(shí)施，實(shí)施過程一般至少包含以下幾個(gè)方面。

（1）明確系統(tǒng)安全性設(shè)計(jì)目標(biāo)、準(zhǔn)則和方法。

（2）擴(kuò)大分析對(duì)象。將分析對(duì)象從系統(tǒng)產(chǎn)品本身擴(kuò)展到包括系統(tǒng)產(chǎn)品、系統(tǒng)產(chǎn)品使用環(huán)境和人員的大系統(tǒng)。具體可分為兩部分：①查明組成系統(tǒng)產(chǎn)品的元素（子系統(tǒng)或單元）及其功能。②查明系統(tǒng)產(chǎn)品相關(guān)的使用人員素質(zhì)、使用環(huán)境、相鄰系統(tǒng)或設(shè)備情況、相鄰危險(xiǎn)物質(zhì)情況、周邊區(qū)域人員分布情況。

（3）擴(kuò)大故障分析范疇。既識(shí)別分析系統(tǒng)產(chǎn)品的故障類型和產(chǎn)生原因，也分析大系統(tǒng)（系統(tǒng)產(chǎn)品、系統(tǒng)產(chǎn)品使用環(huán)境和人員等）存在的危險(xiǎn)源。

（4）擴(kuò)大影響分析。既研究、分析系統(tǒng)產(chǎn)品元素故障對(duì)相鄰元素、鄰近子系統(tǒng)和整個(gè)系統(tǒng)產(chǎn)品的影響，也分析大系統(tǒng)存在的危險(xiǎn)源的相互影響域。

（5）安全性設(shè)計(jì)實(shí)施與驗(yàn)證。

（6）安全性設(shè)計(jì)風(fēng)險(xiǎn)評(píng)價(jià)。

（7）系統(tǒng)安全性設(shè)計(jì)方案風(fēng)險(xiǎn)定級(jí)。

4 安全性設(shè)計(jì)分析流程和表格化管理

為簡明闡述衛(wèi)星安全性設(shè)計(jì)分析，可以建立一種衛(wèi)星安全性設(shè)計(jì)流程和表格化管理方法。

設(shè)計(jì)流程內(nèi)容主要如下。

（1）定義目標(biāo)。首先要確定系統(tǒng)安全目標(biāo)或確定一個(gè)可以度量安全性的標(biāo)準(zhǔn)，以控制、評(píng)價(jià)系統(tǒng)設(shè)計(jì)、生產(chǎn)、試驗(yàn)、使用過程中的安全性。

（2）選擇安全性設(shè)計(jì)方法。掌握全面的安全性設(shè)計(jì)方法是系統(tǒng)安全性設(shè)計(jì)的前提。系統(tǒng)產(chǎn)品安全性設(shè)計(jì)一般涉及到多個(gè)方面，如能量控制設(shè)計(jì)、危險(xiǎn)消除控制設(shè)計(jì)、損傷抑制設(shè)計(jì)、狀態(tài)監(jiān)控設(shè)計(jì)、故障-安全設(shè)計(jì)、安全告警設(shè)計(jì)、安全標(biāo)志設(shè)計(jì)、隔離設(shè)計(jì)、故障或事故模擬設(shè)計(jì)等。設(shè)計(jì)師應(yīng)掌握有關(guān)的設(shè)計(jì)方法。

（3）明確安全性設(shè)計(jì)準(zhǔn)則。從系統(tǒng)產(chǎn)品可能涉及的有毒有害危險(xiǎn)因素、危險(xiǎn)能量、特種設(shè)備、防護(hù)與安裝、使用維修、事故應(yīng)急救援等方面，明確提出每個(gè)方面在系統(tǒng)安全性設(shè)計(jì)中必須包括的若干設(shè)計(jì)要素和要求，如防輻射準(zhǔn)則、耐壓準(zhǔn)則、防火防爆準(zhǔn)則、防護(hù)和安裝準(zhǔn)則、連結(jié)與固定準(zhǔn)則，以及使用維修、事故應(yīng)急救援準(zhǔn)則等。

（4）系統(tǒng)分析。系統(tǒng)分析的目的在于了解系統(tǒng)產(chǎn)品的功能、組成、工作過程及使用條件；了解包括系統(tǒng)產(chǎn)品、系統(tǒng)產(chǎn)品使用環(huán)境和人員的大系統(tǒng)的組成、運(yùn)轉(zhuǎn)情況?？梢詮娜?、設(shè)備產(chǎn)品、環(huán)境和管理4個(gè)方面分析安全管理和安全技術(shù)的薄弱環(huán)節(jié)。

（5）故障和危險(xiǎn)識(shí)別。故障和危險(xiǎn)識(shí)別是系統(tǒng)安全工作流程中的關(guān)鍵環(huán)節(jié)，要從產(chǎn)品、過程、危險(xiǎn)要素3個(gè)維度識(shí)別潛在危險(xiǎn)源和可能發(fā)生的故障／事故。如果不能識(shí)別出所有的危險(xiǎn)源和故障／事故類型，就不能充分地控制危險(xiǎn)，更不可能保證系統(tǒng)的安全。因此，應(yīng)全面地識(shí)別已存在的和潛在的危險(xiǎn)源和故障／事故類型，做到一個(gè)不漏。完成該項(xiàng)工作可以形成危險(xiǎn)源-故障／事故清單，它是安全性設(shè)計(jì)分析的基礎(chǔ)。設(shè)計(jì)師可以對(duì)照GB／T 13861-2009所歸納總結(jié)的危險(xiǎn)種類著手對(duì)照識(shí)別。

（6）風(fēng)險(xiǎn)預(yù)評(píng)價(jià)。危險(xiǎn)分析與風(fēng)險(xiǎn)預(yù)評(píng)價(jià)是在危險(xiǎn)源-故障／事故清單基礎(chǔ)上，分析每一種危險(xiǎn)源與系統(tǒng)安全性設(shè)計(jì)的關(guān)系，并對(duì)照危險(xiǎn)嚴(yán)重性和可能性分類準(zhǔn)則，進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，繪制風(fēng)險(xiǎn)分析矩陣和風(fēng)險(xiǎn)指數(shù)等級(jí)圖。對(duì)各危險(xiǎn)事件進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，繪制風(fēng)險(xiǎn)雷達(dá)圖，確定接受與否，并確定對(duì)哪些危險(xiǎn)要采取安全措施，以消除或減少對(duì)系統(tǒng)的影響。

（7）故障／事故影響域分析。繪制系統(tǒng)產(chǎn)品內(nèi)部故障影響關(guān)聯(lián)圖和系統(tǒng)產(chǎn)品外部其他系統(tǒng)與系統(tǒng)產(chǎn)品的故障影響關(guān)聯(lián)圖，重點(diǎn)研究危險(xiǎn)轉(zhuǎn)化條件。

（8）確定本質(zhì)安全性設(shè)計(jì)措施。對(duì)不可接受風(fēng)險(xiǎn)的危險(xiǎn)項(xiàng)目，均要采取消除、減少或控制危險(xiǎn)的本質(zhì)安全性設(shè)計(jì)措施，即要從產(chǎn)品設(shè)計(jì)上采取措施，要對(duì)照安全性設(shè)計(jì)準(zhǔn)則修改設(shè)計(jì)，以求消除危險(xiǎn)或?qū)⑽ｋU(xiǎn)降低到可接受水平。系統(tǒng)產(chǎn)品本質(zhì)安全性設(shè)計(jì)措施一般包括能量控制設(shè)計(jì)、危險(xiǎn)消除控制設(shè)計(jì)、損傷抑制設(shè)計(jì)等。這項(xiàng)工作的重點(diǎn)是通過設(shè)計(jì)消除危險(xiǎn)。

（9）本質(zhì)安全性設(shè)計(jì)措施驗(yàn)證及風(fēng)險(xiǎn)控制效果評(píng)價(jià)。對(duì)消除、減少或控制危險(xiǎn)的實(shí)施效果，還要進(jìn)一步進(jìn)行驗(yàn)證和風(fēng)險(xiǎn)評(píng)價(jià)，以確定在采取措施后能否將危險(xiǎn)的風(fēng)險(xiǎn)降低到可接受水平，是否會(huì)產(chǎn)生新的危險(xiǎn)源。

（10）確定安全性防護(hù)設(shè)計(jì)措施。對(duì)通過系統(tǒng)產(chǎn)品本質(zhì)安全性設(shè)計(jì)措施無法消除、減少或控制的危險(xiǎn)，采取安全性防護(hù)設(shè)計(jì)措施消除、減少或控制殘余危險(xiǎn)。安全性防護(hù)設(shè)計(jì)一般包括隔離設(shè)計(jì)、故障-安全設(shè)計(jì)等。這項(xiàng)工作的重點(diǎn)是通過設(shè)計(jì)減少危險(xiǎn)發(fā)生的次數(shù)和后果。

（11）安全性防護(hù)設(shè)計(jì)措施驗(yàn)證及風(fēng)險(xiǎn)控制效果評(píng)價(jià)。對(duì)安全性防護(hù)措施消除、減少或控制殘余危險(xiǎn)的實(shí)施效果，還要進(jìn)一步進(jìn)行驗(yàn)證和風(fēng)險(xiǎn)評(píng)價(jià)，以確定在采取措施后是否能將危險(xiǎn)的風(fēng)險(xiǎn)降低到可接受水平，是否會(huì)產(chǎn)生新的危險(xiǎn)源。

（12）確定安全性監(jiān)控報(bào)警設(shè)計(jì)措施。對(duì)通過系統(tǒng)產(chǎn)品安全性防護(hù)設(shè)計(jì)措施無法消除、減少或控制的殘余危險(xiǎn)，采取監(jiān)控報(bào)警設(shè)計(jì)措施進(jìn)行監(jiān)控。系統(tǒng)產(chǎn)品監(jiān)控報(bào)警設(shè)計(jì)一般包括安全告警設(shè)計(jì)、安全標(biāo)志設(shè)計(jì)等。這項(xiàng)工作的重點(diǎn)是通過設(shè)計(jì)在危險(xiǎn)發(fā)生前減少損害。

（13）安全性監(jiān)控報(bào)警設(shè)計(jì)措施驗(yàn)證及風(fēng)險(xiǎn)控制效果評(píng)價(jià)。對(duì)監(jiān)控報(bào)警措施消除、減少或控制殘余危險(xiǎn)的實(shí)施效果，還要進(jìn)一步進(jìn)行驗(yàn)證和風(fēng)險(xiǎn)評(píng)價(jià)，以確定在采取措施后能否將危險(xiǎn)的風(fēng)險(xiǎn)降低到可接受水平，是否會(huì)產(chǎn)生新的危險(xiǎn)源。

（14）安全性設(shè)計(jì)評(píng)價(jià)評(píng)級(jí)。評(píng)價(jià)系統(tǒng)的安全性是否滿足要求：如果滿足要求，批準(zhǔn)設(shè)計(jì)方案，并進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)；否則，修改系統(tǒng)安全性設(shè)計(jì)方案，或?qū)χ笜?biāo)要求重新進(jìn)行論證，或作出其他管理決策。

在實(shí)際應(yīng)用中，上述流程可以適當(dāng)合并或增減。表1為按照安全性分析流程建立的衛(wèi)星安全性設(shè)計(jì)分析表，圖2為安全性分析流程示意。

圖2 安全性分析流程示意Fig.2 Sketch of safety analysis flow

5 安全性設(shè)計(jì)綜合分析評(píng)價(jià)策略應(yīng)用示例

下面以衛(wèi)星推進(jìn)系統(tǒng)在軌推進(jìn)劑傳輸加注為例，闡述系統(tǒng)安全性設(shè)計(jì)。衛(wèi)星推進(jìn)系統(tǒng)在軌加注技術(shù)是空間飛行器領(lǐng)域的前沿技術(shù)，可以采用貯箱在軌更換和在軌推進(jìn)劑傳輸2種方式。假設(shè)對(duì)上述系統(tǒng)進(jìn)行安全性設(shè)計(jì)，采用綜合分析法分析評(píng)價(jià)，分析步驟和內(nèi)容見表2。

表2 分析步驟和內(nèi)容Table 2 Analysis procedures and contents

續(xù) 表

圖3 風(fēng)險(xiǎn)矩陣Fig.3 Array of risk

圖4 危險(xiǎn)事件風(fēng)險(xiǎn)雷達(dá)圖Fig.4 Risk radar chart of hazards

圖5 危險(xiǎn)事件影響關(guān)聯(lián)圖Fig.5 Influence interaction chart of hazards

上述示例顯示，安全性設(shè)計(jì)綜合分析評(píng)價(jià)策略的應(yīng)用具有流程簡明、表格化清晰的優(yōu)點(diǎn)，即以一份表格統(tǒng)籌安全性設(shè)計(jì)的全部內(nèi)容和開展結(jié)果。第1步是以目標(biāo)管理為起點(diǎn)制定安全性目標(biāo)“推進(jìn)劑傳輸加注和在軌加注零泄漏，地面測(cè)試人員零傷害”。第2步、第3步分別提出了規(guī)范化的設(shè)計(jì)方法和設(shè)計(jì)準(zhǔn)則選用范圍。第4步開始分析系統(tǒng)組成、工作流程和原輔材料。第5步通過系統(tǒng)分析，按照設(shè)計(jì)方法和設(shè)計(jì)準(zhǔn)則模塊化提示，識(shí)別5項(xiàng)危險(xiǎn)源，并根據(jù)系統(tǒng)分析選擇示例需要的安全性設(shè)計(jì)方法和準(zhǔn)則。第6步對(duì)識(shí)別的5項(xiàng)危險(xiǎn)源按照風(fēng)險(xiǎn)矩陣法進(jìn)行初步風(fēng)險(xiǎn)評(píng)估。第7步為影響域分析，要求設(shè)計(jì)師重點(diǎn)分析控制某項(xiàng)危險(xiǎn)事件時(shí)對(duì)其他事件的影響，研究各個(gè)風(fēng)險(xiǎn)相互轉(zhuǎn)化的條件，避免安全性設(shè)計(jì)控制措施帶來新的更大的風(fēng)險(xiǎn)。第8步是設(shè)計(jì)師在全面考慮危險(xiǎn)源和風(fēng)險(xiǎn)控制原則的前提下，開始開展本質(zhì)安全性設(shè)計(jì)，表2中針對(duì)5項(xiàng)危險(xiǎn)源提出了3種本質(zhì)安全性設(shè)計(jì)措施，應(yīng)用了所選用的設(shè)計(jì)方法和準(zhǔn)則。第9步要求設(shè)計(jì)師采用仿真或試驗(yàn)驗(yàn)證等手段，驗(yàn)證本質(zhì)安全性設(shè)計(jì)措施的有效性，并利用風(fēng)險(xiǎn)矩陣法評(píng)估系統(tǒng)采用安全性設(shè)計(jì)后的風(fēng)險(xiǎn)控制效果。如果不滿足要求，需要重新設(shè)計(jì)。第10步是設(shè)計(jì)師確定安全性防護(hù)設(shè)計(jì)措施，示例中提出1種安全性防護(hù)措施，應(yīng)用了所選用的設(shè)計(jì)方法和準(zhǔn)則。第11步要求設(shè)計(jì)師采用仿真或試驗(yàn)驗(yàn)證等手段，驗(yàn)證安全性防護(hù)措施的有效性，并利用風(fēng)險(xiǎn)矩陣法評(píng)估系統(tǒng)采用安全性設(shè)計(jì)后的風(fēng)險(xiǎn)控制效果。如果不滿足要求，需要重新設(shè)計(jì)。第12步是設(shè)計(jì)師確定安全性監(jiān)控報(bào)警設(shè)計(jì)措施，示例中提出1種監(jiān)控報(bào)警設(shè)計(jì)措施“泄漏監(jiān)控檢測(cè)設(shè)計(jì)”，應(yīng)用了所選用的設(shè)計(jì)方法和準(zhǔn)則。第13步要求設(shè)計(jì)師采用仿真或試驗(yàn)驗(yàn)證等手段，驗(yàn)證安全性監(jiān)控報(bào)警設(shè)計(jì)措施的有效性，并利用風(fēng)險(xiǎn)矩陣法評(píng)估系統(tǒng)采用安全性設(shè)計(jì)后的風(fēng)險(xiǎn)控制效果。如果不滿足要求，需要重新設(shè)計(jì)。第14步要求設(shè)計(jì)師采用SCA 方法和風(fēng)險(xiǎn)矩陣法，對(duì)整個(gè)系統(tǒng)的安全性風(fēng)險(xiǎn)進(jìn)行最終確認(rèn)和風(fēng)險(xiǎn)等級(jí)評(píng)定。

6 結(jié)束語

對(duì)于安全性風(fēng)險(xiǎn)而言，控制風(fēng)險(xiǎn)方法的優(yōu)先順序是消除、替代、降低、限制和個(gè)體防護(hù)，而安全性設(shè)計(jì)是從源頭降低安全性風(fēng)險(xiǎn)最經(jīng)濟(jì)、最本質(zhì)的手段。采用安全性設(shè)計(jì)綜合分析評(píng)價(jià)策略開展安全性設(shè)計(jì)是一種嘗試，本文以衛(wèi)星推進(jìn)系統(tǒng)在軌加注為例進(jìn)行了探討，衛(wèi)星其他系統(tǒng)的安全性設(shè)計(jì)可以參照此示例，在FMEA 方法基礎(chǔ)上結(jié)合PHA 和SCA 方法進(jìn)行。系統(tǒng)設(shè)計(jì)師還可以參照上述分析過程，在FMEA 方法基礎(chǔ)上結(jié)合火災(zāi)爆炸危險(xiǎn)指數(shù)評(píng)價(jià)、池火災(zāi)傷害數(shù)學(xué)模型分析等其他方法開展安全性設(shè)計(jì)。本文的安全性設(shè)計(jì)綜合分析評(píng)價(jià)策略提出了一種衛(wèi)星安全性設(shè)計(jì)具體、簡明的流程，便于衛(wèi)星系統(tǒng)安全性設(shè)計(jì)的開展。

（References）

［1］唐伯昶.衛(wèi)星安全性設(shè)計(jì)［J］.航天器工程，1994，3（4）：1-5 Tang Bochang.Safety design of satellite［J］.Spacecraft Engineering，1994，3（4）：1-5（in Chinese）

［2］于新剛，范宇峰，黃家榮，等.單向流體回路安全性設(shè)計(jì)［J］.航天器工程，2012，21（5）：70-75 Yu Xingang，F(xiàn)an Yufeng，Huang Jiarong，et al.Safety design of single-phase fluid loop［J］.Spacecraft Engineering，2012，21（5）：70-75（in Chinese）

［3］周海京，遇今.故障模式影響及危害性分析與故障樹分析［M］.北京：航空工業(yè)出版社，2003 Zhou Haijing，Yu jin.FMECA and FTA analysis［M］.Beijing：Aviation Industry Press，2003（in Chinese）

［4］劉小瑩.基于FMEA／TIPS的機(jī)械產(chǎn)品設(shè)計(jì)方法及支持系統(tǒng)研究［J］.西華大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，30（4）：53-57 Liu Xiaoying.Product design method based on FMEA／TIPS and support system［J］.Journal of Xihua University（Natural Science），2011，30（4）：53-57（in Chinese）

［5］楊建軍，黎放，魏軍.基于功能模型的復(fù)雜系統(tǒng)FMEA方法［J］.海軍工程大學(xué)學(xué)報(bào)，2009，21（4）：103-107 Yang Jianjun，Li Fang，Wei Jun.On complex system FMEA method based on functional modeling［J］.Journal of Naval University of Engineering，2009，21（4）：103-107（in Chinese）

［6］胡燈明，鄭志強(qiáng).油氣管道安全預(yù)評(píng)價(jià)的FMEA 方法分析［J］.石油化工安全環(huán)保技術(shù)，2010，26（4）：21-25 Hu Dengming，Zheng Zhiqiang.Failure mode and effect analysis of oil and liquefied petroleum gas tube［J］.Petrochemical Safety and Environmental Protection Technolgy，2010，26（4）：21-25（in Chinese）

［7］何學(xué)秋.安全工程學(xué)［M］.北京：中國礦業(yè)大學(xué)出版社，2000 He Xueqiu.Safety engineering［M］.Beijing：China University of Mining and Technology Press，2000（in Chinese）

［8］魏新利，李惠萍，王自健.工業(yè)生產(chǎn)過程安全評(píng)價(jià)［M］.北京：化學(xué)工業(yè)出版社，2005 Wei Xinli，Li Huiping，Wang Zijian.Safety evaluation of industry production process［M］.Beijing：Chemical Industry Press，2005（in Chinese）

［9］魏延明，潘海林.空間機(jī)動(dòng)服務(wù)平臺(tái)在軌補(bǔ)給技術(shù)研究［J］.空間控制技術(shù)與應(yīng)用，2008，34（2）：18-22 Wei Yanming，Pan Hailin.Research on on-orbit refueling of maneuverable platform［J］.Aerospace Control and Application，2008，34（2）：18-22（in Chinese）

［10］于洋，丁風(fēng)林，宗光華.在軌加注用超聲波流量計(jì)的設(shè)計(jì)與試驗(yàn)［J］.中國空間科學(xué)技術(shù)，2012，32（4）：77-83 Yu Yang，Ding Feng1in，Zong Guanghua.Design and test of all ultrasonic flow meter for orbital refueling［J］.Chinese Space Science and Technology，2012，32（4）：77-83（in Chinese）