面向多任務階段的運載火箭可靠性精細化建模技術

張 華，馬玉環，龔凱翔，趙志明，李會萍

（1. 上海宇航系統工程研究所，上海，201109；2. 上海航天設備制造總廠有限公司，上海，200245）

0 引 言

運載火箭具有明確的工作時序，飛行過程工作往往涉及多個任務階段，不同階段各單機的任務、所處的環境、系統配置與組成可能不同、各單機的工作狀態也可能不同，這會造成在不同的任務階段，對各單機的性能與可靠性要求有所不同，而同一單機在不同階段出現故障所導致的系統影響也有所不同，這體現了運載火箭任務階段性的特征[1～3]。

因此有必要針對運載火箭多任務階段特點建立精細化的可靠性模型，為獲得更精確的可靠性評估結果奠定基礎。

1 現階段運載火箭可靠性建模方法

運載火箭產品普遍采用的可靠性框圖（Reliability Block Diagram，RBD）建模方法，RBD模型是由代表產品或功能的方框和連線組成，表示各組成部分的故障或者它們的組合如何導致產品故障的邏輯圖。數學模型用于表達可靠性框圖中各方框的可靠性與系統可靠性之間的函數關系[4]。

建立產品可靠性框圖的基礎是產品的原理圖。原理圖與可靠性框圖并不相同，原理圖反映了產品各組成單元之間的物理上的連接與組合關系，以及功能原理等，而可靠性框圖則是反映產品各組成單元之間的故障邏輯關系。

可靠性模型分為基本可靠性模型與任務可靠性模型兩類。基本可靠性模型是用以反映產品及其組成單元故障所引起的維修及保障要求。它可以作為度量維修保障人力與費用的一種模型[5,6]。基本可靠性模型是一個全串聯模型，即使存在冗余單元，也都按串聯處理。冗余單元越多，產品的基本可靠性越低。任務可靠性模型是用以度量產品在執行任務過程中任務成功能力的一種可靠性模型。任務可靠性模型可能是一個復雜的串聯、并聯、表決、旁聯、橋聯等多種模型的組合。某運載火箭動力分系統飛行任務RBD模型示意如圖1所示。

圖1 某型火箭動力系統飛行任務RBD模型（部分）示意Fig.1 Reliability Model Part of Launch Vehicle

由圖1可以看出，該可靠性模型并沒有考慮任務過程多階段和動態變化、任務結果狀態多樣等問題，導致采用該模型得到的可靠度結果和考慮動態特性得到的可靠度差異較大，無法區分不同階段系統可靠性模型差異，為后續采取措施提供的信息量不夠。對于不同的后果事件，在型號任務中各自可接受概率應是不同的，嚴重性越高的后果事件，其可接受的發生概率越低。將所有后果事件的發生概率累加在一起，再給出單一的可接受值，對于工程風險管理而言是不充分的，也無法指導改進決策[7]。

2 中國航天領域先進可靠性建模技術現狀

中國航天領域對先進的系統級建模技術和應用也進行了探索，包括：以運載火箭的故障檢測處理分系統為對象的基于故障樹故障概率計算和比較分析的可靠性建模與評估；針對載人飛船按照發射、在軌運行和返回著陸3個階段開展了針對“船毀人亡”事故的系統級可靠性建模與分析工作，建立了以故障樹為主的評估模型，驗證了載人飛船的安全性指標要求；空間站對接機構分系統按照“對接、組合飛行、分離”等任務過程，利用事件樹和故障樹建立較為完整的可靠性模型并進行了不確定性分析。該項目評估得到交會對接任務可靠性，找出了系統的薄弱環節，并提出有針對性的風險防控措施，是先進的可靠性建模分析方法在航天工程中的一次有效應用。這些探索性的研究工作，為運載火箭開展多階段、多任務建模與分析工作提供了很好的基礎。但以上工作還存在一些不足，比如，運載火箭領域僅建立了故障樹量化模型，尚未將故障樹與事件樹結合，需要進一步提升運載火箭不同階段任務的可靠性模型精細化程度，提高可靠性建模分析工作對產品研制工作的支持能力。

3 基于多階段任務的可靠性建模技術

由于運載火箭產品具有多任務階段的復雜特性，運載火箭多任務階段的可靠性模型構建技術將綜合應用事件樹、故障樹等建模方法，準確反映任務的時序性、系統的多態性、單元的相關性和復雜的不確定性關系。

3.1 基于飛行程序的事件樹建模技術

首先，根據運載火箭飛行任務要求確定后果狀態。隨后，通過火箭各系統的任務特點分析，確定初因事件。初因事件是事件樹模型的起點，而后果狀態是事件樹的終點。初因事件與后果狀態之間的事件稱為中間事件。在定義了后果、確定了初因事件之后，按照一定規則梳理中間事件，并完成了事件樹的建模。最后，通過事件樹模型所代表的邏輯關系與量化方法，計算每一個后果狀態的概率分布函數。

a）后果狀態定義方法。

后果狀態（Effects State，ES）是事件樹的終點，是初因事件和中間事件組合后得到的合乎邏輯的結果。后果狀態是可靠性評估的輸出，也是系統多態性的體現。多階段任務可靠性建模與設計評估的目標之一就是對各后果狀態進行量化，通過輸入基本事件的可靠性信息，獲得各后果狀態的發生概率（點估計或區間估計），通過后果狀態不同嚴酷度的分級以及發生可能性的量化，來實現不同嚴酷度等級后果狀態發生概率的計算。

此外，在多階段任務可靠性建模與設計評估工作中，通過定義嚴酷度不同的后果狀態，能夠反映星箭產品工作過程中可能出現的工作狀態，即系統的多態性。與只有成功和失敗兩種狀態相比，定義多種后果狀態還能夠反映產品降級工作狀態發生的可能性，使評估結果與實際產品更為貼近。

后果狀態的選擇，需要綜合考慮型號的特點與成功準則。例如，對航天員的安全性進行評估，可定義后果狀態為：“航天員傷亡”或“航天員疾病”等；若對特定任務進行任務可靠性評估，如整流罩分離任務的可靠性評估，可將“任務失敗”或“任務降級”作為后果狀態；若對項目的成本風險進行評估，可以將“財產損失”作為后果狀態。針對不同的評估目標與范圍，確定合理的后果狀態。

后果狀態的定義是一個迭代過程，隨著產品研制不斷推進，設計信息與試驗數據不斷擴充，對產品了解也不斷深入，后果狀態的定義也越來越合理、詳細。

b）初因事件確定方法。

初因事件（Initiating Event，IE）是事件樹的起點，在多階段任務可靠性建模中，初因事件一般為“任務啟動”，并且在分析過程中假設初因事件的發生概率為1，即初因事件必然發生。中間事件是在任務啟動后，隨著任務的執行過程而逐項展開，每一個中間事件即為任務執行過程中的一個步驟，通過判斷任務各個環節的成敗與否，得到不同的后果狀態。

初因事件確定與可靠性建模與評估對象的特點與可靠性評估的范圍有關，例如，對運載火箭系統進行建模與評估，其初因事件可定義為“火箭點火”，即建模與評估的任務的范圍從火箭點火開始分析，地面的測試與推進劑加注等并不包含在分析的范圍之內。

c）事件樹建模方法。

事件樹模型是以初因事件為起點、以后果狀態為終點的一連串事件。其最上層是按順序列出可能影響事故進程的一系列事件或任務發展的過程。事件樹建模是一個歸納過程，并通過為每一個初因事件構建出一個事件樹模型。

事件樹是一系列帶有箭頭的方框圖，顯示了事件的發生順序。各方框均采用布爾運算，只有成功或故障兩種狀態，即系統不是成功就是失敗。在工程實際中是存在中間狀態的，系統可能部分成功、部分失效。目前的事件樹分析中，把系統的部分失效當成全部失效，其結果是偏于保守的。

圖2中列出了一種事件樹模型，從初因事件I開始進入這棵樹，分別經過A、B、C 3個中間事件（如3個任務階段、3種產品等），到達后果狀態。經過初因事件后，詢問產品A是否正常工作：在樹的分支點處，向上分支表示產品A成功，向下分支表示產品A失效。對B、C也有成功與失敗2個分支。每一條路徑代表著一種事故狀態，經過不同的路徑，到達嚴酷度不同的后果狀態ESi（i=1，2，…，7）。

圖2 事件樹模型Fig.2 Element Tree Model

事件樹中的事件序號反映階段性，也就是說，排在后面的事件依賴于前面的事件。如果導致最嚴重后果狀態的事件較早出現在事件樹中，則可以簡化圖形結構。同時，要仔細考察那些導致后果不太嚴重的事件。不能簡單地認為若不導致嚴重后果狀態，該事件就是無足輕重的。

d）事件樹的量化方法。

事件樹中的每一條路徑均可用初因事件和相應系統的成功和失敗來表示。如圖2所示，通過初因事件I，經過中間事件A、B、C達到后果狀態ES。以ES4為例，該后果狀態的發生概率的計算公式為

式中P(ES4)為后果狀態ES4發生的概率；P(I)為初因事件發生概率；P(A|I)為在初因事件I發生的條件下，A成功的概率；為初因事件I發生、A成功的條件下B失敗的概率；為初因事件I發生、A成功、B失敗的條件下C失敗的概率。由此可以看出，每一后果狀態的發生概率為初因事件乘以每個分支點上的分支概率。

3.2 基于功能相關性的故障樹建模技術

對于事件樹中的初因事件和中間事件無法直接定量的情況，研究故障樹建模方法，以初因事件或中間事件為頂事件建立故障樹模型，實現這些事件“成功”或“故障/失效”的概率。例如，以“某初因事件失敗”或“中間事件失敗”為頂事件，通過層層分解，最終分解得到基本事件。因此，故障樹建立頂事件與基本事件的邏輯關系，這樣就能夠將以初因事件或中間事件來說明的事件樹，轉變為以基本事件來說明的事件樹。此外，對于影響因素多且各因素之間存在相關性關系的事件，也可通過故障樹建模方法予以描述，以解決產品間的功能相關性問題。

故障樹采用一系列邏輯關系的圖形表示，既可以表達系統級的失效，也可以表示部件級失效，將“部件層次”的故障信息與“系統層次”的故障信息掛起鉤來，是實際系統故障組合和傳遞的邏輯關系的正確描述。

3.3 事件樹故障樹聯合精細化建模技術

為反映運載火箭任務的時序性、系統的多態性、單元的相關性和復雜的不確定性關系，需要綜合運用事件樹、故障樹等建模技術方法，建立多階段任務可靠性模型。事件樹與故障樹聯合精細化模型示意如圖3所示。

圖3 可靠性精細化模型示意Fig.3 Refined Reliability Model

4 某運載火箭子系統級可靠性精細化模型

運載火箭系統龐大、復雜，為更好說明可靠性精細化建模，本文選取某型火箭動力系統氧路增壓子系統開展精細化建模。

氧路增壓子系統是利用存在氣瓶中的惰性氣體進入貯箱后，將推進劑擠出貯箱，從而滿足發動機的入口壓力要求。

4.1 系統主要任務階段及關鍵事件梳理

常溫氦增壓系統在大多數火箭中都有應用。利用貯存在高壓氣瓶中的氦氣，用壓力調節器（減壓器、穩壓器）或節流圈把高壓氣體降低到一定壓力后進入貯箱增壓，保障發動機入口所需要的最小壓力要求。常溫氦增壓系統根據貯箱增壓的需求，增壓氣體可以直接進入貯箱增壓，也可以加熱后進入貯箱增壓。系統主要由氣瓶、電磁閥、增壓組件（單路或多路減壓器、節流圈等增壓組件）、增壓管路等組成。優點是系統可控性好，可多次增壓，控制精度高。缺點是增壓氣瓶需要占用單獨空間，系統單機較多，需要進行冗余設計。

某型火箭增壓子系統飛行任務主要階段可用兩個任務階段概括說明：地面預增壓、飛行過程增壓。上述階段關鍵事件包括箭地氣路接口連接、氣路閥門打開、地面增壓控制；起飛箭地接口斷開、飛行氣路通斷控制等。

4.2 關鍵事件涉及產品梳理

a）地面預增壓階段。

預增壓系統是指地面氣源給箭上貯箱供氣，在火箭起飛前給貯箱提供一定的壓力，其主要目的是滿足發動機起動前結構對貯箱的剛度需求和滿足發動機起動時對發動機入口的壓力需求。

根據預增壓階段子系統工作原理，氧路增壓子系統預增壓階段各關鍵事件涉及單機梳理情況列于表1。

表1 預增壓階段關鍵事件涉及單機梳理Tab.1 The Key Product in Pre-pressure Phase

b）飛行過程增壓階段。

飛行過程增壓是指火箭飛行過程中利用自身攜帶氣源或者液氧推進劑經發動機氣化/加溫后的氣體按照設定流量和壓力進入貯箱，從而保證發動機入口壓力及貯箱剛度滿足火箭飛行要求。

根據動力系統氧增壓子系統飛行階段工作原理，本階段各關鍵事件涉及單機梳理情況如表2所示。

表2 飛行階段關鍵事件涉及單機梳理Tab.2 The Key Product in Flight Phase

4.3 運載火箭氧路增壓子系統精細化可靠性模型

本文針對某型運載火箭動力系統氧增壓子系統完成了任務階段的細分以及不同階段關鍵事件梳理，并將關鍵事件與涉及的單機掛鉤，完成了精細化模型中事件鏈及故障樹所需基本要素的梳理。

在此基礎上，根據上述要素完成精細化模型構建。一般模型構建可借助軟件，本文選取對象相對簡單，可手動構建精細化模型。圖4、圖5給出了地面預增壓及飛行階段動力系統氧路增壓子系統的可靠性精細化模型。

圖4 地面預增壓階段動力系統氧路增壓子系統的可靠性精細化模型Fig.4 Refined Reliability Model for Oxygen Pressurization Feed System in Pre-pressure Phase

圖5 飛行階段動力系統氧路增壓子系統的可靠性精細化模型Fig.5 Refined Reliability Model for Oxygen Pressurization Feed System in Flight Phase

從圖4及圖5可清晰區分不同階段關鍵事件及所涉及單機的不同故障模式，且整個建模過程并未限定某一特定系統、未限定具體產品層級，精細化模型可根據實際需求具備進一步分解細化的功能。

5 結束語

a）針對運載火箭動力系統氧增壓子系統構建了聯合事件樹與故障樹的精細化模型，較傳統RBD模型可有效區分不同任務階段系統產品間的可靠性關系。

b）本文建立的精細化模型可用于型號、系統風險與可靠性量化評估，在本文模型基礎上針對每一個底事件給出相應故障發生的可能性，則借助不確定性傳播理論給出不同后果狀態的發生可能。