卫星功能危险性分析（FHA）方法
1目的和意义
功能危险性分析（FHA）是自上而下地评估分系统可能发生的所有故障状态，分析每个故障状态对分系统和整星的功能可能产生的影响，对各种危险后果的等级进行划分，并制定可能的控制措施方案。

它与故障模式和影响分析（FMEA）互相补充，并为故障树（FTA）确定顶事件提供可参考的相关事件清单。

功能危险性分析在可行性阶段、方案阶段和详细设计阶段都可以应用。

在可行性阶段，进行功能危险性分析可以使设计人员明确所要设计的分系统的功能要求、薄弱环节和下一阶段需可靠性工作的重点。

并为以后进行分系统设计和设备单机选取提供依据。

2引用文件
GJB451-90 可靠性维修性术语
GJB768-89 故障树分析
GJB900-90 分系统安全性通用大纲
GJB1391-92 故障模式、影响及危险性分析程序
3功能危险性分析（FHA）的格式和要求
功能危险性分析（FHA）报告所包括的主要内容及格式如下：
a)分系统概述
∙分系统功能
∙分系统组成及各组成部件的功能
∙分系统工作原理（含功能原理图）
∙分系统界面及其环境条件
b)分系统功能危险性分析（FHA）
∙填写FHA表(详见表1)
∙相关事件清单（列出I、II 类功能故障）
功能危险性分析（FHA）分析报告中填写FHA表是最为重要的工作。

表1 分系统功能危险性分析表（FHA）
要充分发挥的功能危险性分析（FHA）作用就要在填写分系统功能危险性分析表（FHA）的过程中考虑以下相应的要求：
第1栏功能：列出整星或分系统的所有功能，包括主要功能和次要功能。

这里不必考虑分系统的硬件构成，只考虑分系统整体上能完成的功能即可，各种功能要分别列出。

第2栏危险说明：此栏填写前面的功能可能会发生的危险（故障）情况，分四种情况填写：
A 功能丧失：如果所分析分系统的此项功能不能完成，会出现何种危险情况。

B 故障和不希望的动作：分系统发生故障或执行非预定的不希望的功能时，
会发生何种危险的情况。

C 其它分系统的故障：有无其它分系统发生故障（此故障先于所分析分系统
发生）会对所分析分系统的功能产生何种影响。

此处主要考虑的是所分析分系统功能与其它各功能之间的关系。

D 错用／外部事件：人员对分系统的错误操作能否导致所分析分系统的功能
故障，能导致何种故障；卫星以外的因素，如空间环境影响等对该分系统有何不利影响。

这里考虑的是人为因素及外界因素对该分系统功能的影响。

应予以说明的是：分系统的每一项功能均按上述四种情况考虑。

此项中应该将分系统功能可能出现的情况都进行填写，要由有丰富经验的专业设计人员进行分析，要能把能想到的情况都进行填写。

不能因为有些故障发生的概率非常小或是表面看来不会造成什么影响，就将这些故障忽略，因为往往是这样的故障发生后会造成超出人们想象的后果，让人措手不及从而造成严重的后果。

功能危险性分析也只有在充分分析所有故障的情况下才能发挥出分析作用。

尤其要注意的是由于其他分系统的故障或异常引起的本分系统的故障，要对与本分系统相关或安装在本分系统附近的分系统进行充分考虑。

第3栏状态：此栏对应前栏各种功能危险情况可能发生时卫星所处的状态，如地面测试、入轨阶段、正常工作模式、安全模式等。

如果不同状态下分系统危险程度不同，则第2栏的功能危险要对应不同状态分别列出，继续进行。

第4栏危险对其它分系统的影响：如果各种功能危险（所分析分系统的故障）发生，会对其它分系统产生什么影响，能否导致其它故障。

这里指的是功能危险所产生的局部影响。

第5栏危险对整星的影响：前述功能危险情况对卫星整体的影响。

第6栏危险性等级：按分类标准，判断危险说明栏中的各种功能危险对卫
星的危险性等级。

在功能危险性分析工作中，非常重要的工作就是对每一故障状态进行识别和分类。

依据故障引起对整星直接或间接的影响，故障状态可按其危险性等级（严酷程度）分类如下：
a)次要的——该故障状态是指不能明显地降低卫星的可靠性和寿命，仍能
使卫星处于正常的工作范围内，并能继续完成任务。

b)主要的——该故障状态将降低卫星的性能，较大降低安全裕度或工作能
力，较大增加地面人员的工作负荷，但仍能完成任务。

c)危险的——该故障状态将明显降低卫星的性能、功能和寿命，地面人员
已不能进行维修，任务已不能完成。

d)灾难性的——是指会对卫星造成毁灭性影响的故障状态。

功能危险性分析作为我们整星在选用产品过程中对于产品生产厂家提出可靠性要求的基础，要对产品功能故障的危害等级进行清楚有效的评价。

第7栏可靠性措施和要求：这里填写可采用的提高相应分系统可靠性的方法。

对于一些可能造成严重后果的分系统、单机要提出明确的定性或定量分析要求，在以后的可靠性分析中进行详细分析。

4功能危险性分析要求
功能危险性分析要求包括：各分系统主要功能和次要功能要列全；需充分考虑功能故障在不同阶段或工作模式下的影响，完成并详细填写分析表格；提出完整可行的可靠性措施或处理方案。