崔 豹，趙繼廣，陳景鵬，張 楊

（1.裝備學(xué)院研究生院，北京101416；2.裝備學(xué)院航天裝備系，北京101416）

航天發(fā)射場地面系統(tǒng)結(jié)構(gòu)復(fù)雜，故障模式多樣，故障模式和設(shè)備之間不是簡單的一一對應(yīng)關(guān)系，存在較多的不確定性因素［1］，因此很難確定系統(tǒng)設(shè)備的重點(diǎn)安全隱患部位。目前我國發(fā)射場風(fēng)險分析處于起步階段，多以定性分析為主，評價缺乏系統(tǒng)性。傳統(tǒng)的定性分析方法，如安全檢查表（CSCL）、預(yù)先危險分析（PHA）、故障模式與影響分析（FMEA）、危險可操作性分析（HAZOP）等方法［2］雖然可以快速高效地進(jìn)行危險辨識、后果分析，但偏重于對單一故障進(jìn)行分析，過多地考慮單點(diǎn)故障而難以全面把握系統(tǒng)內(nèi)部運(yùn)行的真實(shí)情況，難以合理構(gòu)建風(fēng)險模型，不能保證多因素共同作用下復(fù)雜系統(tǒng)安全分析的全面性；同時，傳統(tǒng)分析方法難以給出風(fēng)險事件的重要度排序及其不確定影響和系統(tǒng)的累加風(fēng)險值。因此，在航天發(fā)射場任務(wù)過程趨于密集動態(tài)化、設(shè)備組成趨于系統(tǒng)網(wǎng)絡(luò)化、故障因素趨于多元關(guān)聯(lián)化的背景下，必須將多種方法綜合，并定性與定量相結(jié)合，才能較好地對發(fā)射場設(shè)備系統(tǒng)進(jìn)行風(fēng)險分析。

以定量分析為主要特征，基于事故場景識別系統(tǒng)的薄弱環(huán)節(jié)、潛在風(fēng)險及其原因的概率風(fēng)險評價（Probabilistic Risk Analysis，簡稱PRA）技術(shù)［3］是多種安全性分析技術(shù)的綜合集成。應(yīng)用PRA方法，可以使系統(tǒng)設(shè)計人員對復(fù)雜系統(tǒng)的特性進(jìn)行全面、深刻的了解，有助于找出系統(tǒng)的薄弱環(huán)節(jié)，提高系統(tǒng)的安全性，并可以定量區(qū)分不同因素對風(fēng)險影響的重要程度，對各種相關(guān)因素進(jìn)行量化與綜合，描述系統(tǒng)可能發(fā)生的危險狀態(tài)，為風(fēng)險決策提供有價值的定量信息。在航天領(lǐng)域，PRA方法已在美國國家航空航天局（NASA）得到廣泛應(yīng)用，并取得了巨大的成功，如針對發(fā)射場外場固體火箭發(fā)動機(jī)裝配作業(yè)泄漏事件和推遲發(fā)射情況的風(fēng)險評估［4—5］等項(xiàng)目都應(yīng)用了該方法。經(jīng)過多年的發(fā)展和完善，PRA方法已成為NASA進(jìn)行航天活動風(fēng)險評估的主要方法［6］。而我國自20世紀(jì)80年代開展概率風(fēng)險評價研究以來，PRA理論研究和技術(shù)應(yīng)用已在核工業(yè)領(lǐng)域取得了較大的進(jìn)步和成功，而在以載人航天工程為代表的航天領(lǐng)域也相繼取得了一系列階段性的研究成果［7—9］。但由于完整的PRA方法分析過程較為復(fù)雜、事件的指標(biāo)量化和數(shù)據(jù)收集難度較大等原因，航天發(fā)射場的PRA方法應(yīng)用研究仍處于起步摸索階段。對此，本文基于PRA方法對航天發(fā)射場風(fēng)險分析系統(tǒng)進(jìn)行了研究。

1 風(fēng)險評價綜合指數(shù)

一般而言，風(fēng)險是事件發(fā)生概率和事故后果的函數(shù)，因而在進(jìn)行風(fēng)險評價時，多數(shù)只考慮故障或事故發(fā)生的可能性大小和嚴(yán)重性程度。但有些情況下，單用此兩要素來對風(fēng)險進(jìn)行定義還是不夠全面的，尤其對航天發(fā)射場地面設(shè)備，結(jié)合任務(wù)實(shí)際情況，除了要重點(diǎn)關(guān)注這兩方面外，還應(yīng)把潛在的故障是否可被預(yù)知以及故障是否影響工序也納入風(fēng)險分析中，增加時間維的角度從事故發(fā)生前和發(fā)生后系統(tǒng)的狀態(tài)來描述事故風(fēng)險的大小，構(gòu)建風(fēng)險事件的概率、后果和時間的三維剖面進(jìn)行評估，以達(dá)到對航天發(fā)射場風(fēng)險事件全面充分的認(rèn)識。

風(fēng)險評價綜合指數(shù)（Risk Assessment Integrated Code，RAIC）P4評定標(biāo)準(zhǔn)是由故障發(fā)生的可能性（Probability）、嚴(yán)重性（Ponderance）、可知性（Precognition）和緊迫性（Pressing）四項(xiàng)評分相乘，用來表示事故風(fēng)險程度的大小，見表1。按照4級評分制標(biāo)準(zhǔn)，采用置信度為95%的閾值選取要求，并根據(jù)發(fā)射場風(fēng)險評估規(guī)范，RAIC閾值為最大可能RAIC值的5%，即按照1～4級評定標(biāo)準(zhǔn)時，RAIC閾值為12.8，當(dāng)RAIC值超過12.8時表明必須對風(fēng)險采取相應(yīng)的預(yù)防和控制措施，以提高發(fā)射場系統(tǒng)的安全性與可靠性。

表1 風(fēng)險評價綜合指數(shù)P4評定標(biāo)準(zhǔn)Table 1 P4standard list of comprehensive risk evaluation index

2 航天發(fā)射場風(fēng)險分析系統(tǒng)設(shè)計

航天發(fā)射場風(fēng)險分析系統(tǒng)是一種基于PRA方法的定性分析和定量評價相結(jié)合的風(fēng)險分析系統(tǒng)，可以有效地分析和評估發(fā)射場各系統(tǒng)的風(fēng)險，為航天發(fā)射場的安全管理提供依據(jù)。

2.1 系統(tǒng)組成結(jié)構(gòu)

為了實(shí)現(xiàn)上述目的，航天發(fā)射場風(fēng)險分析系統(tǒng)設(shè)計應(yīng)包括數(shù)據(jù)庫模塊、風(fēng)險分析模塊、風(fēng)險評價模塊、控制調(diào)度模塊和人機(jī)交互模塊，其中系統(tǒng)的核心是風(fēng)險分析模塊，中樞是控制調(diào)度模塊與其他4個模塊連接。

航天發(fā)射場風(fēng)險分析系統(tǒng)通過人機(jī)交互模塊實(shí)現(xiàn)人機(jī)交互，如信息的輸入和結(jié)果輸出；不同模塊之間的協(xié)同工作通過控制調(diào)度模塊進(jìn)行統(tǒng)一調(diào)度，完成風(fēng)險分析與評估工作；信息資源由數(shù)據(jù)庫模塊提供；建模與計算工作由風(fēng)險分析模塊實(shí)現(xiàn)；得到的結(jié)果傳入風(fēng)險評價模塊進(jìn)行風(fēng)險評估，并制定預(yù)防和控制策略，詳見圖1。

圖1 航天發(fā)射場風(fēng)險分析系統(tǒng)結(jié)構(gòu)圖Fig.1 Structure chart of the risk analysis system of space launch site

航天發(fā)射場風(fēng)險分析系統(tǒng)各模塊的構(gòu)成和功能如下：

（1）數(shù)據(jù)庫模塊：包括數(shù)據(jù)庫和知識庫，存儲豐富的發(fā)射場非標(biāo)系統(tǒng)、供配電系統(tǒng)、加注系統(tǒng)、地面救生系統(tǒng)等主要地面設(shè)備的工藝布局、測發(fā)流程等管理信息；設(shè)備可靠性和安全性數(shù)據(jù)；系統(tǒng)故障歷史數(shù)據(jù)，包括故障停機(jī)分析、故障分析與處理報告、歸零報告、檢修檢測總結(jié)報告、任務(wù)總結(jié)報告等；各分系統(tǒng)通用數(shù)據(jù)、專家經(jīng)驗(yàn)、物理仿真數(shù)據(jù)等；發(fā)射場重大危險源數(shù)據(jù)庫、發(fā)射場安全標(biāo)準(zhǔn)庫（GB/GJB）以及安全控制方法知識庫等。

（2）風(fēng)險分析模塊：主要基于PRA方法，將多種分析方法和分析軟件并用對發(fā)射場各部分進(jìn)行風(fēng)險分析，主要完成風(fēng)險的模型構(gòu)建、數(shù)據(jù)分析等工作，包括初因事件識別、事件鏈建模、故障建模、模型的量化與集成以及重要度排序和結(jié)果分析等。根據(jù)發(fā)射場系統(tǒng)任務(wù)和組成情況，該模塊以系統(tǒng)的任務(wù)流程和組成結(jié)構(gòu)為軸構(gòu)建風(fēng)險剖面，展現(xiàn)系統(tǒng)風(fēng)險在時間和空間上的風(fēng)險模型，兩者均以事故場景為基礎(chǔ)進(jìn)行邏輯推理構(gòu)建風(fēng)險事件鏈，事件鏈即代表系統(tǒng)兩個剖面上的風(fēng)險模型，系統(tǒng)總的風(fēng)險就是對導(dǎo)致相同后果的事件鏈邏輯上的綜合。

（3）控制調(diào)度模塊：負(fù)責(zé)對其他各個模塊進(jìn)行統(tǒng)一調(diào)度，是用戶與其他模塊交互的樞紐，通過它和用戶進(jìn)行信息交互，下發(fā)各種命令對其他模塊進(jìn)行管理，實(shí)現(xiàn)風(fēng)險分析的分布式計算和結(jié)果發(fā)布，完成風(fēng)險分析工作。

（4）人機(jī)交互模塊：用于以圖形化的方式實(shí)現(xiàn)用戶和系統(tǒng)的交互，包括相關(guān)信息的輸入和分析結(jié)果的輸出等，該模塊能夠通過管理員權(quán)限對已有的數(shù)據(jù)庫進(jìn)行實(shí)時修改和更新，包括過程數(shù)據(jù)的刪除和添加、故障模式信息庫和安全標(biāo)準(zhǔn)庫的更新和完善等，還可以對風(fēng)險分析的流程做動態(tài)修正，如調(diào)整分析步驟和添加分析方法等。

（5）風(fēng)險評價模塊：根據(jù)風(fēng)險評價綜合指數(shù)P4評定標(biāo)準(zhǔn)，結(jié)合風(fēng)險分析模塊的結(jié)果進(jìn)行定量評估，明確系統(tǒng)主要風(fēng)險和薄弱環(huán)節(jié)，并針對評估結(jié)果提出風(fēng)險預(yù)防和控制措施。

2.2 系統(tǒng)功能特點(diǎn)

航天發(fā)射場風(fēng)險分析系統(tǒng)的功能特點(diǎn)主要表現(xiàn)在以下幾個方面：

（1）以概率風(fēng)險評價技術(shù)為核心，定性與定量相結(jié)合綜合分析。以事件鏈為基礎(chǔ)，多種建模方法綜合并用的建模技術(shù)克服了單一方法建模和單點(diǎn)故障分析難以全面構(gòu)建風(fēng)險模型的局限性，增加“事件鏈”這一概率維度，深入分析系統(tǒng)不同級別和層次之間的相互作用和影響，完整構(gòu)建系統(tǒng)的整個風(fēng)險剖面，可做到安全分析上的“知其然，更知其所以然”；以不確定性為核心，貝葉斯分析等多種計算方法綜合應(yīng)用進(jìn)行數(shù)據(jù)分析，克服了信息缺乏、數(shù)據(jù)不精確等問題對定量評估帶來的影響，使分析結(jié)果更趨于科學(xué)；根據(jù)系統(tǒng)和任務(wù)實(shí)際情況，設(shè)計系統(tǒng)任務(wù)剖面和結(jié)構(gòu)剖面PRA分析，從時間和空間的二維角度構(gòu)建風(fēng)險模型，應(yīng)用時可根據(jù)需求擇優(yōu)選擇，增加了風(fēng)險分析的靈活性和適應(yīng)性。

（2）以綜合指數(shù)P4為評定標(biāo)準(zhǔn)，風(fēng)險評價和控制具有針對性。在PRA分析的基礎(chǔ)之上，根據(jù)系統(tǒng)風(fēng)險分析結(jié)果，依據(jù)發(fā)射場安全設(shè)計與風(fēng)險預(yù)防規(guī)范，結(jié)合發(fā)射場實(shí)際情況，對傳統(tǒng)二維評價標(biāo)準(zhǔn)進(jìn)行擴(kuò)展，應(yīng)用RAIC對分析結(jié)果進(jìn)行評價，達(dá)到“定性分析、定量計算、定標(biāo)評價”的目的，使風(fēng)險降低預(yù)案和控制措施的制定更具有針對性。

（3）數(shù)據(jù)庫信息豐富，分級與權(quán)限管理增強(qiáng)了數(shù)據(jù)信息的完備性和安全性。數(shù)據(jù)庫模塊中存儲了豐富完備的數(shù)據(jù)和知識信息，并具有擴(kuò)展和管理功能，如數(shù)據(jù)的添加和刪除、數(shù)據(jù)庫的動態(tài)更新等；同時根據(jù)登陸用戶權(quán)限和數(shù)據(jù)級別，可按需對用戶、數(shù)據(jù)進(jìn)行分類、分級管理，以確保數(shù)據(jù)信息的創(chuàng)建、處理、訪問可控可管，并禁止非法用戶或合法用戶越權(quán)使用、更改數(shù)據(jù)庫信息。

（4）模塊化設(shè)計，支持系統(tǒng)交互與擴(kuò)展?；陂_放性設(shè)計的系統(tǒng)在體系結(jié)構(gòu)上具有一定程度的開放性，且操作與管理方便，通過傳統(tǒng)人機(jī)交互模式，可實(shí)現(xiàn)風(fēng)險分析與評估的分布式計算；同時不同模塊的工作相互獨(dú)立，互不干擾，模塊間又不絕對隔離，通過控制調(diào)度模塊可進(jìn)行統(tǒng)一調(diào)度，進(jìn)行信息交流與數(shù)據(jù)交互。

3 航天發(fā)射場風(fēng)險分析系統(tǒng)的應(yīng)用

本文以航天發(fā)射場加注系統(tǒng)為例，探索航天發(fā)射場風(fēng)險分析系統(tǒng)的應(yīng)用。由于篇幅所限，在此只研究加注系統(tǒng)風(fēng)險模型的構(gòu)建，并重點(diǎn)闡述兩種風(fēng)險剖面的建模思想和分析思路。

航天發(fā)射場加注系統(tǒng)主要完成火箭推進(jìn)劑的轉(zhuǎn)注、貯存、調(diào)溫、加注、泄回和廢氣處理等工作，依據(jù)系統(tǒng)組成情況，可分為電控、氣路、液路、升降溫、廢氣處理等子系統(tǒng)，見圖2。按照任務(wù)規(guī)程，加注系統(tǒng)的任務(wù)流程按照節(jié)點(diǎn)可劃分為火箭進(jìn)場至轉(zhuǎn)場階段、火箭轉(zhuǎn)場至總檢查結(jié)束階段（加注系統(tǒng)總檢查階段）和加注發(fā)射階段，在這三個階段中加注系統(tǒng)進(jìn)行一系列的測試工作，包括地面設(shè)備恢復(fù)、全系統(tǒng)氣檢、信號聯(lián)試、過濾器清洗和檢查、回流試驗(yàn)和標(biāo)校流量計、取樣和調(diào)溫、加注等，詳見圖3。

以系統(tǒng)加注失敗為后果事件構(gòu)建風(fēng)險模型，由風(fēng)險分析模塊的功能可選擇基于系統(tǒng)任務(wù)剖面或系統(tǒng)結(jié)構(gòu)剖面進(jìn)行風(fēng)險建模分析。

圖2 航天發(fā)射場加注系統(tǒng)結(jié)構(gòu)框圖Fig.2 Structure diagram of filling system

圖3 航天發(fā)射場加注系統(tǒng)任務(wù)流程圖Fig.3 Mission process diagram of filling system

首先，以任務(wù)流程為線構(gòu)建加注系統(tǒng)任務(wù)風(fēng)險剖面，如圖4所示，橫向表示火箭從進(jìn)場到加注發(fā)射的任務(wù)流程中不同階段的風(fēng)險剖面，縱向表示對加注系統(tǒng)進(jìn)行PRA分析的風(fēng)險剖面，加注任務(wù)失敗的總風(fēng)險就是各階段風(fēng)險的邏輯綜合。因此，據(jù)此既可以得到系統(tǒng)加注失敗的總風(fēng)險，又可以確定風(fēng)險事故發(fā)生的時間節(jié)點(diǎn)和任務(wù)階段。

圖4 航天發(fā)射場加注系統(tǒng)任務(wù)剖面風(fēng)險分析流程圖Fig.4 Process diagram of the risk analysis of filling system by mission profile

由圖4可見，航天發(fā)射場風(fēng)險分析系統(tǒng)基于事故場景的風(fēng)險建模技術(shù)能夠識別構(gòu)建出加注系統(tǒng)風(fēng)險剖面的“前因后果”，如利用數(shù)據(jù)庫信息建立FMEA表和主邏輯圖識別出初因事件，如密封圈失效、閥門堵塞、加注泵氣縛等，并利用事件序列圖和事件樹方法構(gòu)建加注任務(wù)風(fēng)險事件鏈，對事件鏈的重點(diǎn)中間事件，如球閥泄漏、閥門故障、泵起失敗等進(jìn)行故障樹建模，建立由元部件故障到任務(wù)失敗的動態(tài)風(fēng)險過程；在風(fēng)險模型集成基礎(chǔ)上進(jìn)行數(shù)據(jù)分析，主要以數(shù)據(jù)處理和不確定性傳播為主，通過貝葉斯分析和專家經(jīng)驗(yàn)等方法對源于數(shù)據(jù)庫的數(shù)據(jù)和信息進(jìn)行有效融合、轉(zhuǎn)化，以點(diǎn)估計值或概率密度函數(shù)形式來表述基本事件的故障概率大小或分布，并利用蒙特卡羅仿真計算后果事件的不確定性分布，量化風(fēng)險不確定性的傳播，同時計算基本（中間）事件的重要度，以確定其在系統(tǒng)和任務(wù)中的重要性；最后將分析結(jié)果代入風(fēng)險評價模塊，利用P4評定標(biāo)準(zhǔn)對風(fēng)險事件進(jìn)行評定（見表2），找出任務(wù)安全性的關(guān)鍵環(huán)節(jié)和主要風(fēng)險，并制定安全控制措施。

表2 加注系統(tǒng)P4評定標(biāo)準(zhǔn)評估結(jié)果（部分）Table 2 Assessment result of filling system by P4standard（partly）

類似地，以加注系統(tǒng)組成為軸構(gòu)建系統(tǒng)結(jié)構(gòu)風(fēng)險分析剖面，如圖5所示，從系統(tǒng)級到設(shè)備級追根溯源逐級查找風(fēng)險事件，加注任務(wù)失敗的系統(tǒng)總風(fēng)險就是各分系統(tǒng)或設(shè)備對導(dǎo)致相同后果的所有事件鏈的綜合。因此，據(jù)此既可確定系統(tǒng)加注失敗的綜合風(fēng)險，也可確定分系統(tǒng)的風(fēng)險大小和薄弱環(huán)節(jié)。

圖5 加注系統(tǒng)結(jié)構(gòu)剖面風(fēng)險分析流程圖Fig.5 Process diagram of the risk analysis of filling system by structure profile

綜上所述，兩種風(fēng)險剖面分析流程基本一致，分析人員可根據(jù)加注系統(tǒng)風(fēng)險評估的具體需求建立時間－空間二維風(fēng)險剖面分析系統(tǒng)的潛在風(fēng)險及其原因與后果，有效定位風(fēng)險發(fā)生的時間節(jié)點(diǎn)和位置節(jié)點(diǎn)，利用風(fēng)險評價綜合指數(shù)對風(fēng)險事件進(jìn)行評估，確定系統(tǒng)的關(guān)鍵環(huán)節(jié)和薄弱部位，使系統(tǒng)風(fēng)險事故的預(yù)防和安全控制策略的制定更有針對性。

4 結(jié) 論

我國航天發(fā)射場的風(fēng)險分析正處于起步但快速發(fā)展階段，將逐步從原先的定性、主觀模糊性向定量、客觀精確化發(fā)展，越來越多的分析方法和工具被應(yīng)用到具體研究和工作中。雖然以定量分析為主的PRA技術(shù)的應(yīng)用仍需要發(fā)展和完善，但其在國內(nèi)外航天工程領(lǐng)域取得的一系列成果表明，該方法在航天發(fā)射場風(fēng)險分析中的研究和應(yīng)用是必要的、有前途的。本文提出的航天發(fā)射場風(fēng)險分析系統(tǒng)正是基于該技術(shù)方法在風(fēng)險分析中的綜合優(yōu)勢，結(jié)合我國發(fā)射場具體情況設(shè)計與研究的，旨在為發(fā)射場安全評估提供新的思路和借鑒幫助。

［1］馮燕寬，黃進(jìn)永，黃智偉.航天系統(tǒng)安全性風(fēng)險分析技術(shù)發(fā)展及應(yīng)用［J］.科技信息，2010（22）：393－395.

［2］遇今.危險分析與風(fēng)險評價［M］.北京：航空工業(yè)出版社，2003.

［3］鄭恒，周海京.概率風(fēng)險評價［M］.北京：國防工業(yè)出版社，2011.

［4］Losik，L.Results from the prognostic analysis completed on the NASA Extreme Ultra Violet Explorer satellite［A］.InAerospaceConference［C］.IEEE，2012：1－7.

［5］Shih，A.T.，Y.Lo，N.C.Ward.Probabilistic design analysis（PDA）approach to determine the probability of cross－system failures for a space launch vehicle［A］.In 10thInternational ProbabilisticSafetyAssessmentandManagementConference［C］.Seattle，WA，2010.

［6］Stamatelatos，M.，H.Dezfuli，G.Apostolakis，et al.Probabilistic RiskAssessmentProceduresGuideforNASAManagersand Practitioners［R］.Washington，DC：NASA，2011.

［7］趙麗艷，顧基發(fā).概率風(fēng)險評估（PRA）方法在我國某型號運(yùn)載火箭安全性分析中的應(yīng)用［J］.系統(tǒng)工程理論與實(shí)踐，2000（6）：91－96.

［8］茍仲秋，李興乾，于瀟.基于PRA的交會對接任務(wù)可靠性評估［J］.航天器工程，2012，21（2）：73－78.

［9］劉東，熊偉，李冬，等.航天系統(tǒng)概率風(fēng)險評估技術(shù)研究［J］.計算機(jī)工程與應(yīng)用，2009（?？?1－34.