SJ∕Z 21572-2020 军用无线通信系统安全性设计指南.pdf

  • SJ∕Z 21572-2020 军用无线通信系统安全性设计指南.pdf为pdf格式
  • 文件大小:28.3 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-12-16
  • 发 布 人: wqh6085061
  • 原始文件下载:
  • 立即下载

  • 文档部分内容预览:
  • SJ/Z 215722020

    6.2.2系统危险分析(SHA)

    系统危险分析过程中危险源识别, 险品、能源等危险,并重点考虑设备、软件等的运行和失效对系统的影响,系统的运行和故障模式对其 设备、软件等安全的影响,形成系统危险分析表(样例参见A.3)。 应主要考虑增加以下几类危险源: a)系统接口危险: 1)供电、信号线路电缆、光缆短路或开路; 2)无线通信链路故障。 b 设备接口因素、环境因素和共因因素导致的危险: 设备接口风险,包括材料相容性、电磁干扰、意外触发、硬件和软件控制、软件对系统或 分系统安全的影响; 2)用于多个系统的同样部件或软件故障,如固定基站。 独立的、相关的和同时发生的危险: 1)信息显示、输出功能故障; 2)环境控制功能异常造成设备无法启动。 d 软件事件、故障和偶然事件对系统安全性的影响: 1)软件设计错误、设计不兼容;

    SJ/Z 215722020

    2)接口错误的输入/输出、意想不到的复杂性; 3)功能无法执行、错误执行; 4) 安全性关键的软件命令和响应风险,包括系统功能失灵,不按顺序、错误的软件操作事件 不正确、无意的命令执行。 e)安全关键功能不期望事件: 1)无线电链路发生错误,意外发出错误命令; 2)系统硬件承载平台故障紧固件标准,导致系统功能无法完成

    6.2.3使用和保障危险分析(0&SHA)

    规程和设备有关的危险,形成使用和 保障危险分析表(样例参见A.4)。包括: a)操作人员控制下,存在潜在危险的系约 b) 由系统设计问题对操值人员导致的危险; c) 由潜在人为差错对操作人员导致的危险; d)流程和操作指南中的错误; 6.2.4职业健康 分析 (OHHA) 职业健康危 识别机械 电磁辐射危险、 人机工效危险 防装置失效危险等, 形成职业健康 分析表(样例参 CHN a)机械 危险车载、舰钱 机载设备振动危 b 电磁辐射危险:发电机 发射分系统 线等电磁辐射 危险: )人机工教危险:人员受 作环境设备 通信平 的振动和冲击 防装置朱效危险:空 1 d 导致的危珍 过热高危险 噪声隔 LOG 6.3危险的风险评价 6.3.1风险评价方法 对已辨识出的危险进行分析,找出危险致因,确定其影响,并用危险发生的概率、 危险发生所造成 的后果来综合评定其风险的大小,军用无线通信系统危险的风险评价方法 通常采用风险指数评价法。风 险指数评价法介绍如下 风险指数评价法: 关系的人员,对危险进行调查、 以评定危险的风险大小。 b 风险指数评价法的具体实施步骤为:评估危险可能性、评估危险严重性、计算危险的风险评价 指数、确定风险接受准则。

    6.3.1风险评价方法

    危险可能性等级给出了发生危险的可能程度的定性度量,其规定见表1。对于具体的设备,应明 定经常、很可能、偶然、很少、极少及总体的大小,其定义应得到用户的认可。

    SJ/Z 215722020

    6.3.4风险评价指数

    将危险事件的可能性等级、严重性的等级结合,形成风险评价指数矩阵(见表3)

    表3风险评价指数矩阵

    6.3.5风险接受准则

    有了风险评价指数,还需要制定风险

    6.4确定安全性设计准则

    SJ/Z 215722020

    任进行危险识别和风险评价后,应完善初步制定的安全性设计准则,并经过评审确定,作为设计 依据提供给设计人员。确定安全性设计准则的依据一般包括: a) 系统的安全性定性、定量要求; b 系统的类型,重要程度及使用特点; 合同规定引用的有关法规、条例、规范、标准、手册等提出的安全性设计要求或准则,如GJB/Z 99—1997、GJB/Z900A—2012、GJB219B—2005、GJB367A—2001等; d 系统危险识别、危险的风险评价结果; e 相似通信系统的安全性设计准则和已有的安全性设计实践经验

    SJ/7215722020

    SJ/Z215722020

    [6. 5. 2. 2 系统供电安全设讯

    系统中电源分系统及设备供电应采用过压 a)一次电源隔离设计:除另有要求外,设备上应该有能够把设备同供电电源各极完全断开的开关; b)1 保护措施:电源分系统应采用过压欠压、过流、漏电及极性反接保护装置,采用保护装置后 应不影响系统的正常工作; 交流供电时,交流电源的零线不允许与设备的机壳、地线相连接; 根据系统的复杂程度,应设置总的或分级的过载和短路保护装置,当出现故障时,保护装置应 能将故障部分与相应的供电电源断开; e 在所有可能由于过电压、过电流、泄露电流或类似作用发生危险的地方,应留有足够的电气间 隙、爬电距离以及电流通路; 电源分系统的接通、断开和控制,应保证有最大限度的安全性,应有防误接通、误断开措施, 手动控制要保证操作运动的作用清楚明了,必要时可辅以提示性文字和图形符号; 名 安装于箱体内的设备,直接使用载体的电源供电时,应该通过熔断器与该电源连接; h) 系统的供电在结构上一般应该有避免极性接反的措施。电池的正负极应该有防止短路的措施, 用三相交流电源供电的设备,应该有避免相序接错的措施; 1 设备的信号预埋线与动力线应分开布置; 设备的电源输入端和机壳之间(电源开关处于接通位置)有绝缘要求的外部带电端子与机壳之 间的绝缘电阻在正常大气条件下应不小于100M2,在潮湿环境下应不小于2M2; k) 电源的接通、断开和控制,应保证有最大限度的安全性,应有防误接通、误断开措施,手动控 制要保证操作运动的作用清楚明了,必要时可辅以提示性文字和图形符号; 电压为70V~500V交流有效值或直流的所有触点、接点或类似装置,应有防止维修人员偶然 接触的防护措施; m) 电压超过500V的部位,不允许裸露,应有妥善的绝缘、密封措施; n) 具有1000V以上高压的分机,原则上应设置安全门开关; 对工作电压高于1000V而未采取其他防护措施的组件应加防护罩,并加设安全联锁装置,保 证外罩开启时,立即断电; 高压电路中的电容器两端,应有放电开关、放电棒或其他措施,使电容器能迅速放电至安全电 压,为防止介质极化恢复过程再次产生高压,放电电路应能联接到高压线路上持续放电; 应配有防护器材和专用防护工具,其耐压强度不应低于所触及电压的2.5倍。

    6.5.2.3系统防雷击设讯

    军用无线通信系统需要对户外通信线路和天馈系统进行防雷击措施,可米用 从系统设计开始就应该考虑设备的雷电防护。 ) 地面通信设施应设有防直击雷、防雷电磁脉冲和防雷电波侵入的保护措施。 接闪、分流、接地、屏蔽、均压等防雷措施应充分利用建筑物的自然接地体。 d 对安装位置有遭受雷击可能的天线和设备外蒙皮应有防雷接地端子,具备有防雷接地线。如果 有必要可按合同提供防雷击装置及安装说明。 车载式和地面固定式通信设备应有防雷击接地端子,并备有接地电缆、防雷击装置及安装说明 书。机载式和舰载式通信设备的防雷击措施应与载体共同考虑。设备内部的防雷击保护措施可 按照GB/T3482—2008要求进行。 采用避雷针、避雷线作为防雷击装置时,应独立设置防雷击接地线,其接地线要远离保护接地 线的接点;在采用避雷器、放电间隙作防雷击装置时,其防雷击接地线可与保护接地线合用 g 各类防雷击专用装置(如避雷针、避雷线、放电间隙等)的防雷接地电阻,一般不大于42。 h)移动式军用通信设施应设置能快速安装、快速拆卸、可重复使用的接地装置。

    SJ/Z 215722020

    i)移动式军用通信设备应充分利用车载体外蒙皮和各种馈线的屏蔽层作金属屏蔽接地与等电位 连接。

    6.5.2.4系统设备防静电设计

    静电放电可能造成电气、电子元器件损坏,使系统产生危险,可采取的措施有: a 装有键盘、控制板、手动控制器或键锁的系统的设计应使人员产生的静电逸散到基板,绕过对 静电敏感的元器件; 6 防静电地线不得接在电源零线上,应单独接在地线汇集点; 防静电工作区的环境相对湿度应控制在40%~70%范围内为宜; 在不影响设备实时性要求的情况下,应采取由大电阻和大电容(至少100pF)组成的RC网络作 为双极性器件的输入,以减少静电放电的影响; e 双极型器件设计应避免在静电放电下在PN结耗尽区出现高瞬态能量密度,对于关键元件应采 用串联电阻来限制静电放电电流或利用并联元件分流; 电接地的连接线应有足够的机械强度和化学稳定性,防静电地面应采用导电橡胶与接地导体粘 接,接触面积应不小于10cm; g 接地母线截面积应不小于25mm,支线截面积应不小于16mm,设备和工作台的接地线应采 用截面积不小于10mm的多股铜质导线。

    6.5.2.5系统设备热设讯

    在任意的工作条件下和有人值守的地方,设备的暴露部件(包括机壳),在坏境温度为25℃的条件 下,其温度应不超过60℃,在同样的环境条件下,正面板操作控制装置的温度不能超过49℃。在系统设 计过程中,可采取的防高温热设计措施有: a 设备应有良好的热设计,保证设备在规定的高温条件下工作时,全部装置、部件、器件的工作 温度不超过允许值。 b 设备工作产生高温高热时易损的装置、部件或器件,应有过热告警和保护装置,在温度超过允 许值发生告警,或停止工作或降低工作量。 为防止过热和过冷对人员伤害,可在设备和人员之间设置隔热层或辐射屏蔽。对于散热器等释 放热量的地方,贴上警告标志。 d) 对于设备中易发热的元器件设置散热器,对发热大的功放模块和电源分系统进行热设计仿真, 从设计上保证把设备产生的热量迅速散发出去。 e) 有强迫冷却措施的设备,应装设联锁机构,保证冷却系统启动后,设备方可工作。 f 便携通信收发终端可采用经济可靠的自然冷却,采用大热耗电子元器件贴装机箱壁面,利用金 属的良好导热性进行散热,并加散热肋片,增加换热面积来提高机壳与外界的换热能力。 g) 工作时产生的温升,不得降低设备和载体的各项安全性能指标。 h 对于机载通信设备,由于飞行高度、温度变化很大,采用直接强迫空气冷却的设备易被潮气所 充塞,应把设备与冷却空气隔离开,或采用间接冷却。 1 车载无线通信设备应装在抗恶劣环境条件的外壳内。可采用的热设计措施有:将热量传至对流 表面的内部低热阻导热冷却路径上,能限制和引导上升气流并能遮雨、雪、沙尘等的百叶窗、 垂直肋片式扩展表面和外表面的热反射涂覆层。 J 对于舰载无线通信设备,应避免在空气的露点温度以下工作,以免水气冷凝造成电气短路、点 化学腐蚀等。密封式机箱的强迫风冷系统,一般在内部应设有空气循环系统,外表面常用空气 一淡水换热器。装在露天甲板及杆上的设备,应加装防水外壳,其外表面由自然对流冷却。 k)固定通信台站设计应考虑高温条件下的散热能力以及电源、空调、通信设备等超负荷运行及老 化造成的安全问题。

    SJ/Z 215722020

    6.5.2.6系统设备机械安全设计

    a) 兼作电气和机械连接的螺钉,应安装牢固防止松动,当机械连接松动在电气上可能造成危害时 电气连接应与机械连接分开; 6) 重要的或会引起严重后果的启动开关(按钮、旋钮),应有误碰装置; C 机柜内的插箱应有限位和紧固装置,且在推拉时应不损伤连接电缆; d) 设备结构和选材应合理,外壳和构件应有足够的刚度和机械强度; e)机柜插箱、电路插板、插头、插座等应有防误装措施

    6.5.2.8系统设备安装安全设计

    6.5.2.9系统设备保护设计

    在系统设计过程中,可采取的保护设计措施有:

    SJ/Z 215722020

    所有使用人员能接触到的设备部位应不带电。设备开盖后外露的元件不带电,内部模块、单元 都是铝合金屏蔽,设备在其技术条件允许的高温环境中连续工作规定的时间,无安全范围内损 伤,设备密封材料不至流尚而使其防电性能消失。 b 设备设有高强度的把手,应方便力度较大的操作,应有效防止脱手等危险发生。 设备的过载能力符合设备战术技术要求或产品规范的规定,具有过负荷保护功能,负载开路或 短路及失配时,设备不会受到破坏。 d) 设备应有过电压、过电流保护装置。从大功率输出取用小电流的电路,都单独给小电流增加限 流保护。电源无论何种损坏,都应保护后端用电单元不损坏,不会引发后级损坏。 设备均应有设有熔断器和保险继电器装置,熔断器应安装在易于迅速更换的面板。 通信车应有漏电保护装置。当车体到地电压超过36V时应告警;电源电压超过260V时应告警。 其它安全要求应符合GJB219B一2005中3.12规定。

    6.5.3人身安全设计

    6.5.3人身安全设计

    6.5.3.1防电击危害

    人体能够承受的安全电压最高为36V,超出这个限值将有电击危险,所有电子设备和电气装置的外 分不应有电击危险,设计时可按照GJB219B一2005,采取下述防护措施以防止电击伤害: a)电压(有效值)大于36V,不大于70V时: 1)在整个设备正常工作期间和当更换熔断器和电子管时,要防止意外接触; 2)应能从电容器电路自动放电,以便在2s内放电到36V以下的电压。 b)电压(有效值)大于70V不大于500V时: 1)在此电压范围内的所有触点、接线端和类似装置应设有挡板或防护罩。挡板或防护罩应标 有一旦拆除就可能碰上高压电的标志; 2) 如果不满足上一项预防措施要求时,主要装置的隔舱舱门、盖板应装有联锁装置,在打开 此联锁装置时能切除外露接头上的所有大于70V的电压。联锁装置可以是旁路型或者是非 旁路型的; 3) 在2s内放电达不到36V以下电压的电容器电路或装置,按2)要求,其入口应是联锁的, 或装有合适的接地棒和接地线: 4) 当设备在工作和维修时,使用电压超过300V峰值可能要求测量此电压,为此,设备应设 置测试点,使得所有高电压能够在较低的电压级上测量; 5 电压绝不超过500V峰值(相对于接地而言); 6)在设备说明书或维修手册中应详细规定在设备测试点上测量电压的方法。 电压(有效值)大于500V时: 除非在500V以上电压下工作的组件或设备本身完全密封外,在500V以上工作的设备的舱 门、盖板应设置无旁路的联锁装置: 2) 在500V以上的电压下工作的全封闭组件或装置,如果安装在设备上后还能打开,则应单 独联锁; 3) 在2s内放电电压达不到36V以下电压的电容器电路或装置,按2)所述,其入口应是非旁 路型联锁的或装有合适的接地棒和接地线; 4) 在此电压范围工作的全部接触点、接头和类似装置及其入口应清晰地标出“高压危险(最 高可用电压×××伏)”。标志应具有所标设备的正常使用年限,并应尽可能靠近危险点的 地方。此要求是针对设备接线提出的,不适用于设备内的个别接线点; 5)无其他入口的封装高压组件无需采用联锁来防止电击伤害:

    SJ/7215722020

    5)除下述情况下,否则电压超过500V的电缆接头应单独联锁:采取其他措施确保在电缆 断开之前切断供电;小尺寸的连接器不能采用联锁装置;电缆连接器绝不应设计成在断开 过程中使导体外露。

    6. 5. 3. 2防辐射危害

    为避免辐射对人体的伤害,军用无线通信系统的发射分系统、大功率天线等射频辐射环境,需要进 行防辐射安全设计,主要可采用的防辐射安全设计措施有: a 非金属材料外壳应能充分地防御紫外线辐射的破坏,材料经过紫外线照射处理后应能满足其应 有的机械强度要求; 暴露于外界的设备、部件应当采用防太阳辐射的材料,对于良性热导体部位应提供警示标识; 大功率微波发射分系统等,应采取有效的防护措施,进行适当的屏蔽,保证操作人员不得遭受

    h)由于性能要求或军事上的需要,在强噪声环境中工作的人员,应采取配戴防护耳罩等个人保护 装置措施,并限制其工作时间; 无操作人员的发射车(或发射接收车)内噪声强度应不大于80dB(A)。设备的设计应尽量减 少噪声,其量值根据需要,在设备技术条件中规定。噪声超过有关规定的地方(如大型发射机 冷却机房),应有明显标志,标出允许暴露时间,并提示戴好防护耳罩

    6.5.3.4防机械危害

    6.5.3.5防火险危害

    SJ/Z 215722020

    任何可能引起火险的电池、供电、高压打火、静电打火等,以及会释放气体液体导致可燃爆炸危险 的,可采取的措施有: a 设备设计制造中,使用不易燃或阻燃的元器件、材料、电线电缆等,以确保起火与火势蔓延的 可能性最小; b 可引起着火或导致释放易燃气体的温度,对设备中所用的易燃物质、易爆元器件在结构上应采 取有效的、严格的防护措施以确保安全; 背负/便携通信终端使用锂电池应符合GJB2374A一2013要求,在规定的使用条件下,锂电池不 应发生爆炸、着火、泄放、泄漏等安全性问题,使用完毕或已漏液的锂电池,应及时取出并小 心搬动,然后按相关规定进行报废处置。

    6.5.3.6人员操作安全警示设计

    系统应有必要的醒目的安全告警标志,常见安全告警标志参见附录B。 系统应配备详细的技术说明书和使用说明书,并在说明书中以图标和文字进行特别提醒,确保用户 人员正确操作设备,保障人身安全。

    5.4系统软件安全设计

    军用无线通信系统的软件安全性设计措施包括: 软件应与硬件一起统筹开展安全性设计; 系统访问应验证用户身份并对系统操作及关键参数的访问、修改设置权限,避免非法获取、修 改和发布信息; C) 设计安全性内核,作为独立程序,用来监视系统,并防止系统进入不安全状态; d) 采取监控措施,自动记录检测出的系统所有故障及系统运行情况,并给出告警指示; e) 对安全性要求很高的系统要进行容错设计,防止输入错误数据引起误操作,导致设备损坏; f 安全关键功能设计,安全关键功能应至少受控于两个独立的功能; g 进行穴余设计,考虑失效容限、N版本程序设计、信息穴余等措施 h 为防止系统中的某些重要设备一旦出现故障会严重影响系统的性能和安全,最常用的为双穴余 热备份系统,如网管及控制分系统的交换机和网管服务器; 采用警示措施,对于重要参数的删除增加确认密码要求,避免人员的误操作; ? i 遵循GJB/Z102A一2012规定的软件安全性设计措施,

    6.6 安全性设计验证

    6.6.1安全性设计验证概述

    安全性设计验证是对系统的安全性设 安全性要求,发现有关安全性设计风险,通过改进措施或保障条件提高系统的安全性。通用的安全性验 证方法,主要包括试验、演示、仿真、分析、设计评审及检验等。应首先考虑采用试验和检验的方法实 施安全性验证,当无法采用试验和检验方法时,可通过工程分析、类推、模拟样机或仿真等方法进行安 全性验证

    6.6.2专用安全性试验

    对于采用安全装置、告警装置及特殊规程来控制危险的项目,应通过专门的安全性试验来验证措旅 的有效性,包括演示、现场试验和实验室实验。试验过程可包括以下内容: a)安全装置的有效性验证; b)告警装置的有效性验证; c)特殊规程的有效性验证。 验证过程要求既能验证又不能发生安全事故。

    SJ/7 215722020

    6.6.3安全性设计评审

    安全性设计评审可单独进行,也可与技术评审同时进行。若通过评审,则可转入下一阶段工作:若 平审不通过,则依据评审意见进一步开展安全性设计、分析工作。 安全性设计评审的主要内容包括: a)安全性定性要求的符合性; b) 采用风险评价对安全性定量要求的符合性验证; 安全性设计措施的合理性; d) 对关键危险事件进行检查,残余风险是否可接收,对不可接收的风险提出改进建议,并根据需 要重新开展分析、设计和评价工作

    6.6.4安全性设计符合性检查

    SJ/Z 215722020

    附录A (资料性附录) 某型军用无线通信系统安全性初步危险分析示例

    危险是指可能导致事故的状态,在军用无线通信系统的寿命周期内各阶段,都存在危险的可能性, 这些危险可以对设备和财产产生影响,也可以对人员产生影响。因此,我们要进行军用无线通信系统安 全性分析,对危险的风险采取预防措施,防惠危险事件的发生

    危险源识别是对危险进行识别,识别出有危险的技术过程,确定危险事件。某型军用无线通信系统 由天线、便携终端、基站、中心站及电源组成如图A.1所示,其中终端为发射/接收一体机,基站有收发 信道机和控制器,中心站主要设备是交换机

    图A.1某型军用通信系统基本组成

    利用6.2的分析方法,进行初步危险分析,某型军用无线通信系统初步危险表如图A.2所示

    SJ/Z 215722020

    SJ/Z 215722020

    型军用通信系统初步危

    SJ/Z215722020

    按照6.2.1的方法对初步危险表(见表A.1)列出的危险进行逐项分析,识别风险指数,提 施,基型军用无线通信系统初步危险分析表如图A.3所示。

    图A.3某型军用通信系统初步危险分析表示

    SJ/Z 215722020

    A.5使用和保障危险分

    图A.6某型军用无线通信系统职业健康危险分析表示例

    根据危险事件的危险可能性等级、严重性等级,查阅表3军用无线通信设备的风险评价指数矩阵得 到危险事件的风险评价指数。将已辨识出的每一危险事件的风险指数进行排序和分析利用军用无线通信 系统风险接受原则(见表4),确定关键危险事件,得到某型军用无线通信系统的风险评价指数分析见 图A.7。

    SJ/Z 215722020

    A.8确定关键危险事件

    图A.7某型军用无线通信系统风险指数分析表示例

    根据风险严重性和风险评价指数的大小, 确定风险2、风险4、风险6、风险7、风险17为某 通信设备的关键危险事件,关键危险事件列表见图A.8。

    图A.8某型固定式通信设备关键危险事件表示例

    SJ/Z 215722020

    险事件采取预防措施,严格控制,防止危险的发生, A.9.2风险2一一交流220V造成的影响 采取预防措施有: a)在电源板、电源接口、电源电缆、电源开关等相关位置作明显的警示标识; b)在使用说明书中规定相关安全使用要求和警示文字。

    A.9.2风险2——交流220V造成的影响

    未取换防指有 a)在电源板、电源接口、电源电缆、电源开关等相关位置作明显的警示标识; b)在使用说明书中规定相关安全使用要求和警示文字。

    A. 9. 5 风险6——雷击造成的影响

    a)采用穴余设计技术,对中心站交换机进行热备份处理,一旦其中一个交换机出现故障,备份交 换机可以接替工作,不会影响系统使用; b)采用防静电设计和热设计,确保交换机长时间正常工作

    安全标志形状及颜色使用

    SJ/Z 215722020

    安全标志分为禁止标志、警告标志、指令标志、提示标志四类。 各类标志图形含义及颜色组合使用方法以及标志图形含义及颜色组合使用方法见表B.1

    表B.1标志形状含义及颜色组合使用方法

    B.2常用安全标志符号

    军用无线通信系统常用安全标志符号见表B.2

    灌溉水质标准SJ/Z 215722020

    表B.2常用安全标志符号索引

    SJ/Z.215722020

    SJ/Z 215722020

    取样标准附录C (资料性附录) 某型军用无线通信系统安全性设计符合性检查表示例

    某型军用无线通信系统安全性设计符合性检查表

    ....
  • 通信标准 安全标准
  • 相关专题:

相关下载

常用软件