GB/T 29075-2012 航天器概率风险评估程序

ICS49.140

V05

中华人民共和国国彖标准

GB/T29075—2012

航天器概率风险评估程序

Probabilisticriskassessmentprocedureforspacecrafts

2012-12-31发布2013-07-01实施

GB/T29075—2012

目次

,、/d、-T

刖有I

引言n

1范围1

2规范性引用文件1

3术语和定义1

4缩略语1

5一般要求1

6PRA总体流程2

7PRA实施程序3

8PRA结论及报告要求8

附录A（资料性附录）常用的风险重要度计算方法9

附录B（资料性附录）某航天器泵动力系统PRA示例11

GB/T29075—2012

■ir■■i

刖吕

本标准按照GB/T1.1-2009给出的规则起草。

本标准由中国航天科技集团公司提出。

本标准由全国宇航技术及其应用标准化技术委员会(SAC/TC425)归口。

本标准起草单位：中国航天标准化研究所、中国航天运载火箭技术研究院、中国航天空间技术研究

院、上海航天技术研究院、中国航天科工集团第二研究院、中国航天科T集团第三研究院。

本标准主要起草人:郑恒、刘春雷、遇今、卿寿松、顾长鸿、任立明、陈凤熹、周海京、李福秋、刘金燕、

周倜、邵德牛、肖名鑫、刘志全、谷岩、王静、郑云青、刘志、饶枝建、刘婷、王晶燕、李文钊、赵海涛°

T

GB/T29075—2012

引言

本标准属于中国航天国家标准体系。中国航天国家标准体系适用于航天领域国家标准的制修订和

管理,覆盖航天管理、航天技术、航天应用与服务三大领域，是指导航天器和运载火箭项目管理、工程研

制、航天发射服务、卫星在轨应用等活动的依据。

航天器系统复杂、技术密集，在其研制和运行过程中存在很高的安全风险和任务风险。作为最具系

统性的定量风险评估方法，概率风险评估技术可以定量评估航天器的安全风险和任务风险，识別系统、

分系统和设备的薄弱环节，为设计方案优化权衡、可靠性安全性关键项目确定、风险控制策略制定及风

险跟踪提供量化依据和决策支持’为进一步推广和规范概率风险评估技术在航天领域及其相关行业的

应用实践，提升我国技术风险量化分析与控制水平，特制定本标准。

n

GB/T29075—2012

航天器概率风险评估程序

1范围

本标准规定了航天器概率风险评估(PRA)的一般要求、总体流程和实施程序。

本标准适用于定量评估航天器的系统、分系统及设备的安全风险或任务风险。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T2900.13电T术语可信性与服务质量

GB/T4888故障树名词术语和符号

GB/T7826系统可靠性分析技术失效模式和效应分析(FMEA)程序

GB/T7829故障树分析程序

3术语和定义

GB/T2900.13和GB/T4888界定的以及下列术语和定义适用于本文件。

3.1

概率风险评估probabilisticriskassessment

一种综合运用多种事件链建模和不确定性分析技术，识別与定量评估复杂系统风险，为系统全寿命

周期风险管理决策提供支持的结构化、集成化的逻辑分析方法。

4缩略语

下列缩略语适用于本文件。

ESDeventsequencediagram，事件序列图；

FMEAfaultmodeandeffectanalysis,故障模式与影响分析；

FRACASfailurereporting,analysiandcorrectiveactionsystem,故障报告、分析和纠正措施

系统；

IEinitiatingevent，初因事件；

MLDmasterlogicdiagram，主逻辑图；

PRAprobabilisticriskaement,概率风险评估。

5一般要求

实施PRA的一般要求包括：

a)在航天器研制和使用不同阶段的PRA实施重点见表1。

b)在可靠性安全性策划过程中应考虑PRAT.作的深度和广度，并制定实施计划，协调工作进展。

1

GB/T29075—2012

c）PRA评审可与产品的可靠性安全性评审同步进行，必要时应组织专项评审;PRA评审重点是

实施过程中采用的方法、信息、数据来源、工程判断以及假设等的正确性、适用性及与评估目标

的符合性等。

d）PRAT作需要的及产生的各种数据应该利用产品的危险跟踪系统或故障报告、分析和纠正措

施系统（FRACAS）进行传递和交流。

表1研制和使用不同阶段PRA实施重点

阶段实施重点

评估各设计方案的风险，进行方案权衡;识别主要的风睑因素，提川降低风险的设计改

方案阶段

进措涯

综合利用仿真数据、部分试验数据和专家判断数据，评估产品的安全风险和任务风险

初样阶段

及其对安全性和可靠性要求的满足程度；识别风险因素，提出降低风险的措施

主要利用试验数据，并结合其他数据来评估产品的安全风险和任务风险，判别产品技

正样阶段

术状态是否满足可靠性和安全性要求，支持发射、部署等工程决策

利用使用过程的观测数据进行风险计算和自动风险监控；评估常规或应急的操作、维

使用阶段修程序对安全风睑和任务风险的影响，提出降低风险的操作或维修策略；评估不同的技

术升级方案的风睑，提出风险最小、效益最高的技术升级方案

6PRA总体流程

PRA总体流程如图1所示，具体包括以下九个步骤：

a）步骤一：定义目标和范围。确定出应用目标、分析的深度和广度、所关注的后果状态，以及所需

的信息来源。

b）步骤二:熟悉系统。全面熟悉所要分析的系统，包括任务剖面及系统配置、任务及系统成功准

则、操作规程及工程经验等。

c）步骤三:识別初因事件。在系统功能分析的基础上，针对所关注的后果状态，利用主逻辑图和

FMEA等方法识別初因事件，并进行整理分类,得出初因事件列表。

d）步骤四：事件链建模。针对每一初因事件，在考虑后续事件发生的先后次序，以及后果状态的

多样性的情况下，利用事件序列图或等价的事件树，构建出事件链模型。

e）步骤五:故障建模。对于事件链上复杂的初因事件或中间事件的故障（失效），需要进一步建

模，故障建模通常采用故障树方法,也可采用可靠性框图、马尔科夫链、物理模型等其他方法，

初因事件识別、事件链建模以及故障建模这三个步骤，都要充分利用FMEA报告、危险分析报

告、可靠性安全性建模与分析报告以及前期的风险评估报告等资料。

f）步骤六:数据收集与分析。为故障树底事件或事件链基本事件，提供故障（失效）概率分布，需

要充分利用FRACAS、现场和试验数据、仿真分析数据、通用数据库、专家判断等数据和信息。

g）步骤七：模型量化与集成。在以上模型和数据的基础上进行综合，得到对后果风险的点估

计值。

h）步骤八:不确定性分析。利用蒙特卡罗仿真等方法,将基本事件的不确定性传播为后果的不确

定性,并进行灵敏度分析。

1）步骤九:结果分析与重要度排序。以适当的方式（如图表形式）表达评估结果，包括所关注的后

果状态的风险，以及风险影响因素与不确定性影响因素的重要度排序等。根据这些评估结果，

可以进行基于风险的工程决策和方案权衡。

2

GB/T29075—2012

讥用fl标

•任务•址配11

•Xtt的£豪心

图1PRA总体流程图

7PRA实施程序

7.1定义目标和范围（步骤一）

7.1.1目的

定义、分析目标和范围，描述评估结果的用途。依据目标和范围，确定分析中所涉及的任务剖面和

各分系统,确定不期望发生的最终后果，如人员伤亡或疾病、任务失败或降级、财产损失等。

7.1.2实施步骤及内容

实施步骤及内容包括：

a）明确实施PRA目的，例如：评估系统寿命周期内各任务阶段的安全性和可靠性水平等。

b）定义任务范围及系统边界,确定事件链及相关分析的详细程度，从而确定分析的范围和深度。

c）确定所需开展分析的后果类型和严重度，如任务失败或机毁人亡等，包括：

1）明确所采用的基于后果严重度和发生可能性等级的风险矩阵；

2）基于特定后果的概率目标和准则，确定总的风险目标或可接受准则。

d）识别出可利用的信息和数据来源。

3

GB/T29075—2012

7.1.3实施要点

实施要点包括：

a）确定PRA目标过程中应综合利用其他分析结果，并可参考某些公共活动（如民航、公共交通

等）的发生可能性来确定风险目标；

b）依据PRA的目的和范围，确定所要分析的任务剖面及相应的系统配置,并确定初因事件的选

取原则，例如，是否在分析中考虑外部事件的影响等；

c）本工作的结果应提交总师系统及相关专家评审；

d）后果严重度分类应按有关文件实施。

7.2熟悉系统（步骤二）

7.2.1目的

全面熟悉任务和系统组成及功能，确定整个任务的成功准则和各相关系统的成功准则。

7.2.2实施步骤及内容

实施步骤及内容包括：

a）识別和描述分析范围、系统配置与工作状况（各任务阶段上系统的功能组合和物理配置），包

括:任务剖面与运行配置，系统组成和功能，物理范围等；

b）明确整个任务的成功准则，以及为保证任务成功所需的各个系统的成功准则。

7.2.3实施要点

实施要点包括：

a）应与研制人员深人交流，充分利用系统设计和运行的相关信息，包括系统设计报告、试验报告、

可靠性安全性分析报告、工程原理图、流程图、操作规程及应急预案等；

b）可利用功能相关矩阵，分析各系统间的功能依赖关系；

c）系统分析中应重点考虑系统运行过程、系统内各种接口关系及人在系统运行中的作用（指挥、

控制及维护活动等），同时应考虑不同任务阶段系统功能组合和物理配置的变化。

7.3识别初因事件（步骤三）

7.3.1目的

利用各种分析技术,确定激发事件链发生的初因事件。

7.3.2实施步骤及内容

实施步骤及内容包括：

a）利用经验数据以及主逻辑图、FMEA、危险分析等系统分析方法，识別初因事件；

b）初步评估初因事件发生概率，剔除发生概率相对较低的初因事件；

c）将对系统影响相似的初因事件进行分组与合并,并确定其发生概率或频率。

7.3.3实施要点

实施要点包括：

a）对于现有系统，可根据历史事故或相关运行经验来识别初因事件;对于新研系统，可利用相似

环境、相似任务剖面、相似系统的经验来识别初因事件；

4

GB/T29075—2012

b）主逻辑图是一个分层的、自上而下的树状图，顶层为不期望事件类型，较低层次描述功能和相

关部件，最底层是初因事件；

c）应记录并保存完整的初因事件集合；

d）应在细节和整体准确性方面进行权衡。

7.4事件链建模（步骤四）

7.4.1目的

通过建立事件树模型，推演从初因事件通过一系列中间事件最终导致后果事件的过程。

7.4.2实施步骤及内容

实施步骤及内容包括：

a）针对每个初因事件，对其后续事件的先后次序和成败响应进行建模，这些事件即事件链的中间

事件（如结构、系统、部件、人的行为等），包含了阻碍初因事件发展为潜在不良后果的预防性控

制措施；

b）对那些导致不良后果的事件序列，估计其后果的物理响应特性和严重度（如爆炸、爆燃、失控或

失氧等）。

7.4.3实施要点

实施要点包括：

a）事件链建模是一个归纳过程，可利用事件序列图和事件树进行。事件序列图易于理解，便于分

析人员与T程设计人员之间的交流，事件序列图是一张流程图，不同的路径延伸至不同后果

状态,流程图每条路径都是一条事件链。沿任何一条路径，识别出中间事件的发生与否。

b）事件树从初因事件开始，经由一系列表示成功或失败的中间事件（也称关键事件或顶事件），直

至最终后果。事件树通常考虑事件链中间事件的时间次序。事件树与事件序列图在逻辑上等

价，但事件序列图应转化成事件树后才能进行量化计算。

c）事件链建模的另一种有效工具是可靠性框图。

7.5故障建模（步骤五）

7.5.1目的

利用故障树或其他适用方法，对事件链的初因事件和中间事件的故障（或成功）进行建模。

7.5.2实施步骤及内容

实施步骤及内容包括：

a）对于事件链上需要进一步分析的各个中间事件,记录其前面的中间事件和对应的初因事件，以

确定事件评估的初始边界条件；

b）利用故障树等方法对事件链上需要进一步分析的各个中间事件的故障进行建模。根据所建模

系统或功能的不同，故障树可能有多个层次；

c）在顶事件的初始边界条件约束下，识別出故障树的底事件；

d）把故障树顶事件与事件树上相应的事件进行关联。

7.5.3实施要点

实施要点包括:

5

GB/T29075—2012

a）对于事件链上可直接获得发生概率的简单中间事件，不需要进行故障树建模；

b）对于无法直接获得发生概率的复杂中间事件，除利用故障树进行建模外，还可以利用马尔科夫

链、可靠性框图等进行建模,并计算其发生概率；

c）建模过程应考虑基础数据类型、数量及可信度；

d）多数情况下，事件链上的中间事件之间（或中间事件与初因事件之间）并不相互独立，建模时应

充分考虑这些约束条件；

e）故障树建模与分析可按照GB/T7826和GB/T7829实施。

7.6数据收集与分析（步骤六）

7.6.1目的

收集并分析各种数据和信息，以估计PRA模型中各基本事件的参数。

7.6.2实施步骤及内容

实施步骤及内容包括：

a）针对PRA模型中各基本事件的特点，选择对数正态分布、负指数分布等合适的概率模型，识别

所需的基本数据；

b）收集有关各基本事件发生可能性的数据和信息，包括：客观数据（现场数据和试验数据），半客

观数据（通用数据库、相似产品数据、物理模型或仿真模型得到的数据），以及主观数据（领域专

家的经验判断数据）；

c）使用统计方法估计事件的发生概率，并给出不确定性分布；

d）建立PRA数据库，分类存储收集的信息、数据、参数估计结果以及概率分布等。

7.6.3实施要点

实施要点包括：

a）应采用各种渠道收集基本事件所需的数据和信息。包括：

1）硬件和软件的基础数据类型

——设备相同部件在相同及不同环境条件和应力下的成功和故障的历史记录；

——设备相似部件或相似类别，在相同或不同的条件下的成功和故障的历史记录；

—关于该设备的设计、制造及操作运行的一般工程或科学知识，或是专家对该设备的经

验判断数据。

2）标准和手册的失效率数据

——电子设备可靠性预计手册；

——非电产品可靠性设计手册；

失效模式数据库；

——相关应用软件及数据库等。

3）现场和试验数据

——故障报告、分析和纠正措施系统（FRACAS）；

——测试及飞行试验报告；

——飞行异常报告；

——质量问题技术归零报告；

——故障启示录和事故案例库等。

b）数据收集与分析,可以与PRA实施程序的其他步骤并行进行，或结合到其他步骤中去。

6

GB/T29075—2012

c）PRA数据库中应包含产品的失效概率、初因事件发生频率、人为差错概率、共因失效概率及软

件失效概率等。

7.7模型量化与集成（步骤七）

7.7.1目的

估计事件链发生不期望后果的频率以及该后果的严重度。

7.7.2实施步骤及内容

事件链可用初因事件及一系列中间事件来表示，而初因事件及中间事件又可以用基本事件（底事

件）的形式进行表示，因此可用基本事件（底事件）表示事件链,并可以利用基本事件（底事件）量化事件

链，即确定其概率。同时，可把导致相同结果的所有事件链合并，形成以基本事件（底事件）表达的“发生

所关注的特定后果”的定量表达式。实施步骤及内容包括：

a）为每个初因事件的事件序列（事件树）和故障模型（如故障树）实施布尔计算，得到导致不期望

后果发生的最小割集；

b）在获得各初因事件发生频率和相关基本事件的失效概率后，估计各最小割集的发生频率；

c）估计事件链的后果类型和严重度；

d）对导致相同后果的事件序列进行分组,并对其概率进行求和，计算各最终后果发生的总概率。

7.7.3实施要点

实施要点包括：

a）通常应采用集成化的计算机程序进行PRA量化计算；

b）事件树各最终后果的发生概率是“初因事件”与“连接初因事件及最终后果的事件链路径上的

中间事件”的条件概率的乘积。

7.8不确定性分析（步骤八）

7.8.1目的

对风险评估量化结果的可信程度进行分析，评估不确定性对最终后果的影响。

7.8.2实施步骤及内容

实施步骤及内容包括：

a）建立基本事件的不确定性分布，在评估各最小割集发生概率时，考虑数据不确定性；

b）采用蒙特卡罗仿真或其他分析方法，对各基本事件的失效概率的不确定性分布进行综合，计算

出各不期望后果的不确定性；

c）评估各个基本事件的不确定性变化对最终后果不确定性的影响，并排序记录。

7.&3实施要点

实施要点包括：

a）不确定性对风险值计算结果（如均值）影响很大，应充分考虑数据和模型中的不确定性，使工程

决策更加准确；

b）PRA不确定性主要来源于模型选择、失效模式的完备性，以及输入参数的不确定性三个方面。

7

GB/T29075—2012

7.9结果分析与重要度排序（步骤九）

7.9.1目的

对风险影响因素进行重要度排序，