空间产品保证

1、ECSS-Q-20-04A 2005,03,31空间产品保证 关键项目控制前 言本标准是欧洲空间标准化合作组织（ECSS）系列标准之一。该系列标准用于空间项目及应用的管理、工程和产品保证三个方面。ECSS是欧空局、国家航天局和欧洲工业协会为制定和保持通用标准而进行合作的成果。本标准的要求是根据必须完成的工作内容来规定的，而不是根据如何组织与实施必要的工作。这就使得现有的组织结构和采用的方法得到相应的有效应用，并且在必要时得到发展而不必重写这些标准。本标准的制定考虑了现有的ISO9000族标准。本标准由ECSS-Q-20-04工作组起草，经ECSS产品保证技术组审查，由ECSS指导委员会批准。

2、引言潜在关键项目的早期识别可以为设计工程提供有价值的输入，从而避免或消除危险。关键项目控制为那些在关键项目清单中被删除的关键项目向管理者提供接受准则，并且识别控制正在扩散的风险的途径。目 录前 言1引 言21 范 围52 规范性引用文件53术语、定义和缩略语53.1 术语和定义53.2 缩略语54关键项目控制的目标65关键项目控制的原则65.1关键项目控制的概念65.2 关键项目控制的实施85.3关键项目控制文件86关键项目控制过程96.1 关键项目控制过程的概述96.2 第1步： 定义关键项目控制要求96.3 第2步: 识别和分类关键项目106.4 第3步: 确定和执行106.5 第4步：沟

3、通与结束126.6 关键项目控制活动的集成127关键项目控制到项目生命周期的集成137.1初步设计评审（PDR）137.2关键设计评审（CDR）137.3 验收评审（AR）13附录A（资料性附录）关键项目清单表格14附录B (资料性附录) 关键项目控制表格14附录C（资料性附录）潜在关键项目检查单16C.1 关键项目实例16C.2 潜在RAMS关键项目16C.3 潜在的关键元件，材料和工艺17C.4 软件关键项目17C.5 对集成很关键的项目17C.6 混杂的关键项目17附录D（资料性附录）关键项目控制措施实例18D.1设计和操作18D.2 测试18D.3 检验18参考文献18图图1：关键项目

4、控制过程及其与风险管理过程的关系7图2：关键项目控制过程的4步法相关的任务91 范 围本标准规定了关键项目控制的原则、过程、实施和要求。针对特定的项目，本标准规定的各项要求应加以剪裁以满足项目的特定剖面和环境的真正需求。注：剪裁是一个过程，通过该过程可评价特定的要求或规范、标准及相关文件，并通过选择，以及在某些特殊情况下进行修改现行要求或增加新的要求，使其适用于具体的项目。ECSS-M-00-02A，条款32 规范性引用文件下列规范性引用文件中的条款，通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其后所有的修改或修订都不适用于本标准。然而，鼓励在ECSS标准基础上达成一致的组织探

5、讨采用这些规范性引用文件的最新版本的可能性。对于未注明日期的引用文件，其最新版本适用于本标准。 ECSS-P-001 术语3术语、定义和缩略语3.1 术语和定义 ECSS-P-001中给出的以及下列术语和定义适用于本标准。 关键项目为预防系统的性能、质量、可信性或安全性方面产生不期望后果，而需要特别关注的元件、材料、软件、设备、装配、功能、过程或技术。实例 见附录C中的例子。3.2 缩略语本标准规定并使用了下述缩略语：缩略语 含义AR 验收评审CDR 关键设计评审CI 关键项目CIL 关键项目清单DRD 文件要求说明ECSS 欧洲空间标准化合作组织EEE 电气、电子和机电FMECA 故障模式、

6、影响和危害性分析PA 产品保证PDR 初步设计评审PMP 元件、材料和工艺RAMS 可靠性、可用性、保障性和安全性SPF 单点故障4关键项目控制的目标关键项目控制的目标是通过下面各项来预防故障或问题的发生：l 为风险管理项目提供输入以识别技术风险；l 识别可能引起问题的特定项目（关键项目）；l 识别适当的预防和控制措施；l 监控、实施和验证控制措施。5关键项目控制的原则5.1关键项目控制的概念关键项目和关键项目控制关键项目对系统的性能、质量、可信性和安全性存在潜在威胁，需要采取措施来减轻正在扩散的风险以及预防不期望后果的发生。关键项目控制过程 关键项目控制过程包括：l 关键项目控制要求的定义；

7、l 关键项目的识别和分类；l 关键项目控制措施的选择、确定和实施；l 关键项目的监控和沟通。 关键项目控制与风险管理之间的接口关键项目天生具有为项目引入风险的潜能。这些对安全性、可信性、性能和质量的潜在威胁可能被触发，应通过风险管理来解决。关键项目可以通过关键项目控制过程来控制，相关的风险则通过风险管理过程来管理。风险管理与关键项目控制过程之间的接口包括（见图1）：l 关键项目到风险识别活动的输入；l 用于关键项目排序的风险分类；l 风险降低和关键项目控制措施之间的借鉴；l 关键项目控制实施的状态。图1 关键项目控制过程及其与风险管理过程的关系关键项目（CI）控制过程步骤1定义关键项目控制要求

8、步骤2识别和分类关键项目步骤3确定和执行提出关键项目控制措施确定关键项目控制措施实施关键项目控制措施风险管理过程ECSS-M-00-03步骤1定义风险管理的实施要求步骤2识别和评估风险步骤3确定和执行步骤4监控、沟通和接受风险步骤4监控、沟通和结束 关键项目控制与产品保证之间的接口l 关键项目控制与项目的产品保证大纲相融合。l 产品保证的各种分析结果为关键项目的识别提供了相当多的输入（如：RAMS：FMECA结果，危害分析结果；PMP：不合格元件、材料和工艺；EEE：不合格零件或新技术；从以前程序中得到的经验教训）。 关键项目控制与产品工程之间的接口关键项目控制要求既影响着产品的规范，也影响着

9、产品的实现。因此，为了对关键项目（考虑从以前程序中得到的经验教训）进行识别和分类，应该对工程过程的输入和输出（例如技术规范、设计文件）进行评审。关键项目控制措施能够建立对设计和开发过程的约束，应与工程相符合。5.2 关键项目控制的实施a. 关键项目应该根据它们的危害性的特征进行唯一的识别与分类。关键项目识别过程指明了那些要求采取特定控制措施以保证最终产品的技术性能得到满足的项目。b. 关键项目的管理应该包括以下内容：1、 应编写项目级关键项目控制计划；2、 应确定项目的关键项目清单并在整个项目阶段加以保持，以便能够对所有识别的关键项目进行跟踪和监控。3、 除了正常的项目活动外，还应为关键项目确

10、定特定的控制措施。4、 应识别评价关键项目控制措施实施情况的评价点。在评价点上，应对关键项目清单中的每一个项目是否仍保留在清单中进行评价。5、 应在阶段评审点将关键项目以及相关的控制措施的状态作为项目进展报告的一部分进行报告。c. 通过设计或者程序上的途径能够减少一个项目的危害程度。一个关键项目，当与其相关的风险可以通过程序得到控制时，应在进一步的处理过程中受到特别的关注。d. 应确定所有与关键项目相关的设计、制造和测试文件，并列入关键项目清单中。文件的可追溯性应通过文件编号及分发加以保证。e. 应对关键项目的制造、装配、集成、测试、维护和操作中可能影响项目使用阶段的性能的问题进行监控。5.3

11、关键项目控制文件a. 关键项目控制过程应以文件形式记录，确保关键项目的活动在整个项目生命周期内被适当地确定、跟踪和验证。b. 关键项目文件化的适宜的格式见附录A和B。c. 关键项目控制程序应在关键项目控制计划（单独的或作为项目的产品保证计划的一部分）中加以描述。应规定项目如何实施依据本标准剪裁的关键项目控制要求。6关键项目控制过程6.1关键项目控制过程的概述关键项目控制过程的4步法如图2所示。步骤1定义风险管理实施要求任务1：为项目确定关键项目定义任务2：确定关键项目控制过程范围和目标任务3：规划关键项目控制过程的实施（作为项目产品保证大纲的一部分）步骤2识别和分类关键项目任务10：沟通关键项

12、目控制措施结果（更新为每个项目评审准备的项目进展报告和关键项目清单）任务11：结束关键项目控制过程任务6：为关键项目排序（分级）任务7：提出关键项目控制措施任务8：确定关键项目控制措施任务9：实施经同意的关键项目控制措施（包括验证）任务4：识别关键项目任务5：分类关键项目图2 关键项目控制过程的4步法相关的任务步骤3确定和执行步骤4沟通和结束关键项目控制过程周期6.2 第1步： 定义关键项目控制要求 一般要求一个项目中的关键项目控制的实施从第1步开始，即从项目的起点开始执行，包括任务1到3。 任务1：为项目确定关键项目定义本任务中包括以下活动：a. 识别可应用的要求实例-与识别关键项目的准则有

13、关的顾客要求 (应该与子条款3.1中的定义相一致)-用于建立关键项目清单和关键项目控制计划的文件要求说明（DRD）.-适用于项目的风险管理计划。b. 确定供方接口要求以便按照项目的方针识别低一级的关键项目。c. 建立关键项目分类准则.实例 参考ECSS-M-00-03 提供的风险指标方案。d. 按照项目风险管理计划中规定的适用的项目风险管理方针，建立与之相称的关键项目等级的评分方案。实例 参考ECSS-M-00-03中提供的风险量级. 任务2:定义关键项目控制过程的范围和目标 确定关键项目控制的目的和应用范围。 任务3: 规划关键项目控制过程的实施.a. 分配关键项目控制管理的职责，与产品保证

14、计划相一致。.b. 详细说明表格和关键项目控制程序文件。c. 描述项目中的活动(过程)流程(如评审，文件准备和批准)。6.3第2步: 识别和分类关键项目一般要求此后规定的任务的目的是识别关键项目以及根据上面的种类进行分类。任务4: 识别关键项目本任务中包括以下活动:a. 评审项目文件(设计和工程文件，供方的输入)。b. 按项目定义识别关键项目。 (附录C提供了潜在关键项目检查单) c. 对于每个关键项目，清楚地识别它的危害性特性。 d. 在关键项目清单中列出每一个关键项目，并且在相关的关键项目控制表中进行描述（表格的形式见附录A和B）。 任务5: 分类关键项目根据任务1中定义的危害性类型对关键

15、项目进行分类。6.4 第3步: 确定和执行 一般要求 在本步骤中，识别和分析项目的危害性以及控制措施的选项。确定、实施最恰当的关键项目控制策略，并且对实施情况进行验证。 任务6: 关键项目的排序（分级） 从风险管理过程中识别特定的输入并针对任务1中所定义的关键项目应用分级准则。识别关键项目控制措施的排序。 任务7: 提出关键项目控制措施a. 最初的步骤是:1、 识别能够控制关键项目的合适的方法。2、 参考附录D中给出的关键项目控制措施的实例，这些实例是以表格形式表示的与设计、操作、测试和检验相关的方法和措施。b. 确定关于关键项目控制措施实施的验证方法。识别用于这些措施实施的方法并且对其应用可

16、行性进行评估。任务8: 确定关键项目控制措施a. 评价和评估关键项目控制措施及其实施方法的有效性和可行性。b. 本活动中采取以下步骤:1、 选择关键项目控制措施和实施方法，并且通过排列关键项目控制的实施的优先次序确定一个优化的关键项目控制策略。2、 在相关的决策和选择过程中，考虑关键项目控制对包括风险在内的资源的影响。3、 考虑关键项目控制措施的实施对于与关键项目有关的风险的可接受性的影响。c. 确定关键项目控制实施的验证方法。d. 确定关键项目控制实施的成功准则。 任务9：实施经同意的关键项目控制措施 本任务中包括以下活动：a. 通过应用经选择的实施方法来执行关键项目控制策略。b. 通过应用

17、验证方法来验证关键项目控制的实施。应用成功准则来证实成功的实施，并且识别不成功实施的区域，例如，不成功控制的关键项目。c. 对不成功控制的关键项目反复实施任务7和8直到它们变成成功可控，如果失败，则请求更高管理层处理。6.5 第4步：沟通与结束 一般要求 本步骤地目的是监控并沟通关键项目状态，并且最终支持关键项目控制过程的结束。6.5.2 任务10：监控和沟通关键项目控制过程的结果a. 定期评估和评审所有的关键项目的状态。b. 评估关键项目和相关的控制措施，尤其是存在不合格品、不正常（测试和操作）、问题以及事故影响的情况下。c. 识别新的关键项目或对以前评价关键项目的条件所作的更改。d. 在项

18、目进展过程中识别和沟通关键项目状态进展情况。6.5.3 任务11：结束关键项目控制过程a. 提交由项目管理者正式接受的完整的关键项目清单。b. 定期评估关键项目控制过程的绩效，并基于项目进展中取得的经验实施有效性改进。6.6关键项目控制活动的集成在客户与供应商链上的不同级别上实行关键项目控制活动。较低一级的活动集成到系统级活动中。这些任务的恰当和有效的集成是非常重要的，应通过以下活动来实现：a. 采用从系统级到较低级的由上到下的方法来识别必需的较低级的输入。这些要求的输入被链接到领域的知识中。b. 系统级的任务，采用由下到上的方式，从逻辑上有效地将较低级的输入集成到系统级的活动中。上述的方法将

19、帮助获得以下结果：1、 分级方案在适用的系统级上的合理配置；2、 关键项目控制措施的合理制定和实施；3、 未处理项目的及时识别；4、 确保与关键项目控制相关的所有方面得到系统的考虑。 条款7给出了关键项目控制集成到项目生命周期的进一步建议。7关键项目控制到项目生命周期的集成7.1初步设计评审（PDR） 关键项目清单的初步版本应包括通过RAMS，PMP，EEE，QA和工程规则识别的所有关键项目。这些关键项目在项目的早期阶段已经获知（参考附录C）。另外，初步的关键项目清单应包括一个通过在详细设计阶段重新设计来消除设计缺陷的建议清单。在本阶段，初步的关键项目清单作为一种将不一致的设计提交项目管理者的

20、工具，用于随后执行过程的最初评价和确定。7.2关键设计评审（CDR） 对于每一个PDR，在本阶段，关键项目清单应继续包含在不同的系统分析中识别的所有关键项目，并为其提供证明。 在此时，关键项目清单应用于向项目管理者提出所有不一致设计，以便进行正式评价和决策（即接受或重新设计）。在CDR过程中，关键项目清单应得到评价。评价结果初步反映哪些项目按可接受的危害性定义是可接受的，那些项目需要重新设计。这个集成的关键项目清单应作为临时的项目的关键项目清单被保留，直到关键项目清单中的每一项或者经项目批准被作为基线，或者通过一个设计更改而被从关键项目清单中删除。7.3 验收评审（AR） 在关键设计评审结束时

21、，应采取适宜的方式为已识别的关键项目编制关键项目清单（CIL）项目验收文件。对于所有没有进行设计更改而仍继续作为关键项目清单中的一部分的项目，应利用以前在CDR的关键项目清单中识别的并进行适时更新的保留原则来编制适当的项目验收文件。在每次实施过程后都需要进行设计更改，应更新关键项目清单以反映新的技术状态，并且受影响的关键项目应从清单中删除。然而，如果设计更改并不能足以消除项目的危险性，则应根据需要修改关键项目清单的保留原则，并编制项目验收文件。从CDR结束到获得AR结论，关键项目清单的状态是开启的，也就是如果项目的验收请求没有被批准，应将该项目提交随后的阶段评审管理者，以有助于系统的完备性和相

22、关的风险评估。如果设计更改在此阶段发生，那么关键项目清单应得到更新以反映更改情况。在AR结束时，对不可消除的关键项目（按关键项目清单中规定的），其措施的结束应得到验证核批准。附录A（资料性附录）关键项目清单表格关键项目清单表编号关键项目相关风险引用文件危害性等 级原因控制活动截止日期状态编号 唯一的项目标识关键项目 被识别的关键项目（如器件、分系统、设备、组件、材料、过程和功能）相关风险 与关键项目相关的技术风险（指在风险登记中相关的条目）引用文件 将该项目确定为关键项目的那份文件危害性等级 与子条款6.3中定义的关键项目分类相一致。原因 该项目成为关键项目的原因描述。控制活动 （参考任务7中

23、条款）用于减少或控制风险的计划活动，以及控制实施（如设计和操作要求，测试，检验和故障历史）的验证说明截止日期 期望的活动完成日期状态 动作状态：开启/关闭（参考结束文件）。附录B(资料性附录)关键项目控制表格关键项目控制表关键项目识别关键项目编号子系统：设备：项目：功能：标题：任务阶段：事件描述（与关键项目相关）：影响/风险处于 产品级： 分系统级： 系统级：可能的原因：问题识别的参考：严酷度种类：单点故障（是/否）：传播时间：可能性类型：可检测性（是/否）：应用要求：通过哪种途径被确认为关键的项目专业学科产品保证工程项目经理姓名：日期：签字：关键项目控制单单号：提出的措施：采用的措施： a)

24、 规范 b)设计/定义 c) 测试 d)检验程序 e) 操作程序 f) 飞行探测潜在风险降低：严酷度种类：可能性种类：要减少的风险开启确认接受的风险消弱关闭保留/结束文件的效果/基本原则附录C（资料性附录）潜在关键项目检查单C.1 关键项目实例 实例1 如果一个项目没有获得应用资格或应用未经验证（或已经引起了一直未解决的以前的问题），这个项目就是关键的。 实例2 如果一个项目的设计性能很难被证实，那么这个项目就是关键的。 实例3 如果一个项目对生产或使用条件（例如污染物，放射物）高度敏感，那么这个项目是关键项目 实例4 如果一个项目具有明显地降低产品的质量，并因此导致最终产品完成规定任务目标的

25、能力的降低，那么这个项目是关键的。 实例5 如果一个项目在采购、制造、装配、检验、测试、处理、贮存以及运输过程中存在主要困难或不确定性可能导致产品质量明显降低，那么这个项目就是关键的。C.2潜在RAMS关键项目l 不满足使用故障容差要求的项目。l 构成一个残余单点故障的项目（SPF）。l 破裂关键项目（压力容器，能够导致灾难性或危害后果的建筑项目）。l 有限寿命以及有限周期的项目（具有有用寿命期或操作周期的限制；在少于贮存和任务时间内容易发生疲劳，漂移或降低到最小要求性能之下）。l 不满足降级使用要求的项目。l 在最坏情况分析的结论中认为是危险的项目。C.3 潜在的关键元件，材料和工艺l Lo

26、ng-lead项目（项目采购对项目进度有不利影响）l 受到出口许可限制的EEE元件。l 包含危险元素的EEE元件。l 对空间中辐射环境敏感的元件。l 对开关（ON/OFF）切换敏感的组件。l 新的或没有使用资格或没有经过使用验证的元件、材料和工艺。l 具有已知飞行故障历史的项目。l 对制造工艺高度敏感的项目。C.4软件关键项目l 关键软件组件清单，如ECSS-Q-80B，子条款。l 性能很难获得的软件项目。l 集成到设备之后无法观测的软件项目。l 在操作环境下无法更改的软件项目。l 具有很强的内在复杂性的软件项目。l 具有有限的维护任务周期的软件开发工具C.5 对集成很关键的项目l 具有较长的加工或采购周期的材料。l 在集成后无法检查和测试的项目。