基于PRA的組合體航天器風險評估模型

周昊澄，楊 宏，夏僑麗

(中國空間技術研究院載人航天總體部，北京100094)

0 引言

我國空間站的建設是載人航天工程三步走的第三步，是我國從航天大國邁向航天強國的重要標志。空間站是典型的組合體航天器，本文將借鑒空間站的設計方法構建具有載人航天特色的組合體航天器風險評估模型。

組合體航天器由多艙段在軌組裝建造而成，本文構建的組合體航天器由核心艙、實驗艙、載人飛船和貨運飛船4個飛行器組成，如圖1所示。核心艙主要承擔組合體的管理和控制功能，是組合體航天器的大腦。實驗艙主要承擔艙內和艙外空間科學實驗和技術實驗，根據實際需求組合體航天器可以允許一個或多個實驗艙同時存在。載人飛船和貨運飛船也稱天地往返運輸器，是接送航天員和必要物資往返組合體航天器的運輸器。

國際空間站(ISS)也是典型的組合體航天器，在組合體形態(tài)下由美國段進行控制，各艙段間僅在變軌期間有簡單的協(xié)調工作能力，即俄羅斯段和貨運飛船在組合體變軌時可以根據美國段的指令開關軌控發(fā)動機完成組合體變軌。此類設計屬于最初級的融合性設計，長期在軌運營期間如果美國段出現(xiàn)故障，整個組合體則失去正常運營能力。

圖1 組合體航天器結構示意圖Fig.1 Structural sketch of combined spacecraft

組合體航天器各艙段都應具備獨立飛行3年以上和組合體運營10年以上的能力。如果可以合理地利用各艙段的獨立飛行能力，在核心艙對組合體航天器失去控制能力時由其他艙段進行控制將大幅提升組合體航天器長期在軌運營的可靠性。本研究將對組合體航天器雙艙控推系統(tǒng)建立PRA(概率風險評估)模型，對比組合體航天器應用多艙融合性設計和未應用多艙融合性設計可靠性的不同。

1 PRA建模意義

PRA是多種安全性分析技術的綜合集成，是一種全面的、結構化的、邏輯的分析方法，是對復雜系統(tǒng)進行風險評估的一種重要工具[1]，在航空航天、核電及石化等眾多領域得到了廣泛應用。早在1960年的“阿波羅登月計劃”中，NASA就曾用定量分析方法對航天系統(tǒng)成功完成飛行任務的概率進行了計算[2]，后續(xù)在航天飛機、國際空間站及探月飛船等項目中也均采用PRA進行了定量風險評估[3-8]。2002年，NASA公布了“概率風險評估過程指南”，該指南總結了NASA歷年來的概率風險評估經驗，綜合集成了NASA在航天項目中的概率風險評估方法，具有重要的理論和應用價值[9-10]。NASA于2002年公布了V1.1版本的“航天應用的故障樹手冊”[11]，標志著PRA模型正式成為航天系統(tǒng)可靠性分析的標準規(guī)范之一。

應用PRA可以幫助設計師更加直觀、深入地了解復雜系統(tǒng)并對其風險進行評估。PRA方法不僅考慮后果事件的嚴重度，還會給出其發(fā)生可能性的大小[12]。PRA技術可以基于事故場景有效識別系統(tǒng)設計當中存在的薄弱環(huán)節(jié)及未來長期運營可能發(fā)生的潛在風險，并對其進行定性和定量分析，區(qū)分出不同影響因素對風險影響的重要程度排序，為系統(tǒng)決策者提供真實可靠的風險信息。

2 航天器風險評估故障建模與應用

2.1 確定目標及后果狀態(tài)

確定目標及后果狀態(tài)步驟：

1)通過主邏輯圖識別初因事件；

2)使用PRA方法對比使用多艙融合性設計和未使用多艙融合性設計系統(tǒng)的風險；

3)分析評估結果，提出開展融合性設計的應用建議。

按照《航天器產品故障模式及影響分析指南》中關于故障嚴酷度等級的規(guī)定，結合控制與推進系統(tǒng)功能特點，定義故障嚴重等級大致分為4個等級[13-14]，如表1所示。本文只考慮Ⅰ類和Ⅱ類故障。

2.2 通過主邏輯圖識別初因事件

主邏輯圖(MLD)是一種自上而下分層次梳理的樹狀圖，可以分為頂事件、中間事件和底事件。頂事件是最不希望發(fā)生的事件，對于大系統(tǒng)而言一般為機毀人亡或航天員傷亡，中間事件一般為具有獨立功能的子系統(tǒng)，底事件就是建立主邏輯圖的主要研究對象初因事件。本文針對的是組合體航天器的控推系統(tǒng)，對于控推系統(tǒng)而言最不希望發(fā)生的事件是控推系統(tǒng)故障。圖2為組合體航天器控推系統(tǒng)主邏輯圖。

表1 故障等級定義

圖2 組合體航天器控推系統(tǒng)主邏輯圖Fig.2 MLD of control and propulsion system for combined spacecraft

由圖2可以看出，核心艙單飛狀態(tài)主事件是控推系統(tǒng)，中間事件是姿態(tài)測量、姿態(tài)控制和軌道控制。導致中間事件發(fā)生的事件稱為底事件，也稱初因事件。當頂事件為Ⅰ,Ⅱ類故障時，其對應的初因事件是導致Ⅰ，Ⅱ類故障發(fā)生的底事件，如表2所示。

初因事件的識別是事件鏈建模的基礎，如果不考慮初因事件便不能充分理解系統(tǒng)擾動和后果狀態(tài)及基本事件之間的關系。

表2 初因事件列表

2.3 構建組合體故障樹

PRA分析首先要定義系統(tǒng)的分析范圍，組合體航天器各艙段都具有獨立飛行能力并配有一整套完整的控推系統(tǒng)，故對控推系統(tǒng)進行風險評估是極具代表性的。從表1可以看出，Ⅲ，Ⅳ類故障對系統(tǒng)的危害極小，而且組合體航天器為了滿足長期在軌運營的需求還具備維修性的特點，大多數(shù)Ⅲ，Ⅳ類故障也都可以通過維修性解決，因此風險評估的重點應當放到Ⅰ，Ⅱ類故障上。即本次風險評估模型的范圍是：組合體航天器控推系統(tǒng)Ⅰ，Ⅱ類故障。

本次分析在識別底事件時用到了主邏輯圖，根據定義范圍自上而下對控推系統(tǒng)所有的中間事件和底事件進行了篩選，將僅對航天員產生輕度傷害及系統(tǒng)輕度損壞或任務部分失敗的故障篩除，保留了可以導致機毀人亡、造成航天員嚴重受傷或核心艙嚴重受損、任務不能完成的故障進行分析，如表2所示。

PRA采用事件樹和故障樹相結合的分析方法[15]。分別建立應用融合性設計和未應用融合性設計的事件樹和故障樹對比融合性設計對系統(tǒng)可靠性的貢獻。

對系統(tǒng)建造故障樹時，首先要把系統(tǒng)的故障或失效狀態(tài)作為故障樹的頂事件，然后找出導致頂事件發(fā)生的中間事件和導致中間事件發(fā)生的所有可能的直接因素，即所有的故障模式。故障樹通常用來建立事件的層次，可以更清晰地展示出初因事件導致系統(tǒng)故障的邏輯關系，并提供更多的細節(jié)以幫助量化。由于歸納過程和演示過程的互補性，事件樹和故障樹經常一起使用，表示從初因事件到故障狀態(tài)的系統(tǒng)響應。二者結合使用比只使用其中一種更能夠完全、精確、清晰地構造和記錄事件鏈[16-17]。圖3為應用融合性設計的故障樹。

圖3 應用融合性設計的故障樹Fig.3 Fault tree based on integrated design

姿態(tài)測量功能的Ⅰ，Ⅱ類故障有一個：核心艙“星敏感器+陀螺”姿態(tài)測量異常。組合體航天器星敏感器姿態(tài)測量需星敏感器正常工作，核心艙和實驗艙星敏設備備份。當星敏無法滿足使用條件時，組合體航天器無法按照兩艙長期飛行姿態(tài)-慣性飛行姿態(tài)在軌飛行，需轉入三軸穩(wěn)定對地定向姿態(tài)在軌飛行，推進劑消耗增加。

姿態(tài)控制功能的Ⅰ，Ⅱ類故障有兩個：姿控發(fā)動機工作提供姿控力矩功能異常和姿控發(fā)動機不響應控制指令。核心艙為保證姿控力矩功能的可靠性，其姿控發(fā)動機采取主、備份設計。當貨運飛船停靠時可以優(yōu)先選用貨運飛船發(fā)動機對組合體進行控制，無貨運飛船停靠時優(yōu)先選用實驗艙發(fā)動機進行控制。

為保證姿態(tài)控制發(fā)動機可以響應控制指令，本模型在核心艙和實驗艙都采用雙機備份的情況下，在核心艙又添加了一臺冷備計算機。如果核心艙主、備路控制驅動器內部當班計算機均出現(xiàn)故障，則啟用實驗艙的控制驅動器接替核心艙工作，此時可以保證組合體姿控發(fā)動機及時響應控制指令。如核心艙和實驗艙控制驅動器主、備份均出現(xiàn)故障，則啟用核心艙冷備份計算機執(zhí)行任務，此時姿控功能冗余度下降，需要進行單機維修并在必要時將元器件降額使用。

軌道控制功能的Ⅰ，Ⅱ類故障有一個：核心艙軌控發(fā)動機主、備故障。核心艙軌控發(fā)動機為確保軌道控制功能正常，軌控發(fā)動機采取主、備份設計。當核心艙主、備兩路軌控發(fā)動機均失效，在貨船停靠時優(yōu)先使用貨船軌控發(fā)動機，在貨船未停靠且實驗艙剩余足夠推進劑時選用實驗艙軌控發(fā)動機。圖4為未應用融合性設計的故障樹。

圖4 未應用融合性設計的故障樹Fig.4 Fault tree without integrated design

從圖3和圖4可以清晰地看出應用融合性設計和未應用融合性設計的差別。未應用融合性設計的組合體航天器在發(fā)生故障時只能采取啟動冷備份或者降級使用的應對策略；而應用了融合性設計的組合體航天器則可以通過實驗艙和貨運飛船接替核心艙控制的方法，在不影響組合體航天器正常工作的情況下應對突發(fā)故障，大大提升了組合體航天器的可靠性，并且為航天員和地面工作人員對核心艙進行維修提供了充足時間。

3 風險評估結果分析

本研究的重點是對比組合體航天器應用融合性設計和未應用融合性設計兩種方案在可靠性上的差別。設R1為未應用融合性設計的風險，R2為應用融合性設計的風險，δR21為相對風險率，則δR21=(R2-R1)/R2。評價指標的權重作為綜合評價的關鍵，其權重的取值將直接影響評估結果[18]。設組合體航天器控推系統(tǒng)異常為比對準則，第一層準則定義出系統(tǒng)的主要功能，第二層準則按照故障樹將第一層準則細分。通過權重計算對控推系統(tǒng)功能進行重要度排序依次為：姿控力矩功能，軌道控制功能，姿控發(fā)動機指令控制功能，姿態(tài)測量功能。表3為重要性權重示例。

表3 重要性權重示例

表4 設計方案的相對差比

從表4可以看出，組合體航天器控推系統(tǒng)的4種Ⅰ類和Ⅱ類故障通過融合性設計改進后其相對差比均為負。所得相對風險評估結果為：控推系統(tǒng)Ⅰ，Ⅱ類故障發(fā)生概率相對減少21.1%，融合性設計使組合體航天器控推系統(tǒng)的可靠性明顯提升。再結合表3中第一層和第二層準則的權重，充分利用權重蘊含的潛在信息[19]，給出系統(tǒng)應用融合性設計建議：建議控推系統(tǒng)大范圍應用融合性設計，如果不能大范圍應用則應該以姿控力矩功能、軌道控制功能、姿控發(fā)動機指令控制功能和姿態(tài)測量功能的順序應用。

4 結束語

為驗證組合體航天器融合性設計對可靠性的貢獻，選取了組合體航天器的控推系統(tǒng)為研究對象，以Ⅰ，Ⅱ類故障作為底事件，分別對應用融合性設計和未應用融合性設計的系統(tǒng)構建故障樹模型。然后，根據組合體航天器的特性分析了控推系統(tǒng)的權重和兩種設計方案的相對差比，采用相對風險評估方法，得到應用融合性設計控推系統(tǒng)Ⅰ，Ⅱ類故障發(fā)生概率降低21.1%和控推系統(tǒng)各功能的重要度排序。從風險的角度建議決策者全系統(tǒng)或根據重要度排序逐步應用融合性設計。所采取的兩種設計方案相比對的分析方法在工作量與完備性之間有較好的平衡，未來的工作中應進一步完善評估方法并將其通用化。