周昊澄，楊 宏，夏僑麗

(中國(guó)空間技術(shù)研究院載人航天總體部，北京100094)

0 引言

我國(guó)空間站的建設(shè)是載人航天工程三步走的第三步，是我國(guó)從航天大國(guó)邁向航天強(qiáng)國(guó)的重要標(biāo)志?？臻g站是典型的組合體航天器，本文將借鑒空間站的設(shè)計(jì)方法構(gòu)建具有載人航天特色的組合體航天器風(fēng)險(xiǎn)評(píng)估模型。

組合體航天器由多艙段在軌組裝建造而成，本文構(gòu)建的組合體航天器由核心艙、實(shí)驗(yàn)艙、載人飛船和貨運(yùn)飛船4個(gè)飛行器組成，如圖1所示。核心艙主要承擔(dān)組合體的管理和控制功能，是組合體航天器的大腦。實(shí)驗(yàn)艙主要承擔(dān)艙內(nèi)和艙外空間科學(xué)實(shí)驗(yàn)和技術(shù)實(shí)驗(yàn)，根據(jù)實(shí)際需求組合體航天器可以允許一個(gè)或多個(gè)實(shí)驗(yàn)艙同時(shí)存在。載人飛船和貨運(yùn)飛船也稱天地往返運(yùn)輸器，是接送航天員和必要物資往返組合體航天器的運(yùn)輸器。

國(guó)際空間站(ISS)也是典型的組合體航天器，在組合體形態(tài)下由美國(guó)段進(jìn)行控制，各艙段間僅在變軌期間有簡(jiǎn)單的協(xié)調(diào)工作能力，即俄羅斯段和貨運(yùn)飛船在組合體變軌時(shí)可以根據(jù)美國(guó)段的指令開關(guān)軌控發(fā)動(dòng)機(jī)完成組合體變軌。此類設(shè)計(jì)屬于最初級(jí)的融合性設(shè)計(jì)，長(zhǎng)期在軌運(yùn)營(yíng)期間如果美國(guó)段出現(xiàn)故障，整個(gè)組合體則失去正常運(yùn)營(yíng)能力。

圖1 組合體航天器結(jié)構(gòu)示意圖Fig.1 Structural sketch of combined spacecraft

組合體航天器各艙段都應(yīng)具備獨(dú)立飛行3年以上和組合體運(yùn)營(yíng)10年以上的能力。如果可以合理地利用各艙段的獨(dú)立飛行能力，在核心艙對(duì)組合體航天器失去控制能力時(shí)由其他艙段進(jìn)行控制將大幅提升組合體航天器長(zhǎng)期在軌運(yùn)營(yíng)的可靠性。本研究將對(duì)組合體航天器雙艙控推系統(tǒng)建立PRA(概率風(fēng)險(xiǎn)評(píng)估)模型，對(duì)比組合體航天器應(yīng)用多艙融合性設(shè)計(jì)和未應(yīng)用多艙融合性設(shè)計(jì)可靠性的不同。

1 PRA建模意義

PRA是多種安全性分析技術(shù)的綜合集成，是一種全面的、結(jié)構(gòu)化的、邏輯的分析方法，是對(duì)復(fù)雜系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的一種重要工具[1]，在航空航天、核電及石化等眾多領(lǐng)域得到了廣泛應(yīng)用。早在1960年的“阿波羅登月計(jì)劃”中，NASA就曾用定量分析方法對(duì)航天系統(tǒng)成功完成飛行任務(wù)的概率進(jìn)行了計(jì)算[2]，后續(xù)在航天飛機(jī)、國(guó)際空間站及探月飛船等項(xiàng)目中也均采用PRA進(jìn)行了定量風(fēng)險(xiǎn)評(píng)估[3-8]。2002年，NASA公布了“概率風(fēng)險(xiǎn)評(píng)估過程指南”，該指南總結(jié)了NASA歷年來(lái)的概率風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)，綜合集成了NASA在航天項(xiàng)目中的概率風(fēng)險(xiǎn)評(píng)估方法，具有重要的理論和應(yīng)用價(jià)值[9-10]。NASA于2002年公布了V1.1版本的“航天應(yīng)用的故障樹手冊(cè)”[11]，標(biāo)志著PRA模型正式成為航天系統(tǒng)可靠性分析的標(biāo)準(zhǔn)規(guī)范之一。

應(yīng)用PRA可以幫助設(shè)計(jì)師更加直觀、深入地了解復(fù)雜系統(tǒng)并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估。PRA方法不僅考慮后果事件的嚴(yán)重度，還會(huì)給出其發(fā)生可能性的大小[12]。PRA技術(shù)可以基于事故場(chǎng)景有效識(shí)別系統(tǒng)設(shè)計(jì)當(dāng)中存在的薄弱環(huán)節(jié)及未來(lái)長(zhǎng)期運(yùn)營(yíng)可能發(fā)生的潛在風(fēng)險(xiǎn)，并對(duì)其進(jìn)行定性和定量分析，區(qū)分出不同影響因素對(duì)風(fēng)險(xiǎn)影響的重要程度排序，為系統(tǒng)決策者提供真實(shí)可靠的風(fēng)險(xiǎn)信息。

2 航天器風(fēng)險(xiǎn)評(píng)估故障建模與應(yīng)用

2.1 確定目標(biāo)及后果狀態(tài)

確定目標(biāo)及后果狀態(tài)步驟：

1)通過主邏輯圖識(shí)別初因事件；

2)使用PRA方法對(duì)比使用多艙融合性設(shè)計(jì)和未使用多艙融合性設(shè)計(jì)系統(tǒng)的風(fēng)險(xiǎn)；

3)分析評(píng)估結(jié)果，提出開展融合性設(shè)計(jì)的應(yīng)用建議。

按照《航天器產(chǎn)品故障模式及影響分析指南》中關(guān)于故障嚴(yán)酷度等級(jí)的規(guī)定，結(jié)合控制與推進(jìn)系統(tǒng)功能特點(diǎn)，定義故障嚴(yán)重等級(jí)大致分為4個(gè)等級(jí)[13-14]，如表1所示。本文只考慮Ⅰ類和Ⅱ類故障。

2.2 通過主邏輯圖識(shí)別初因事件

主邏輯圖(MLD)是一種自上而下分層次梳理的樹狀圖，可以分為頂事件、中間事件和底事件。頂事件是最不希望發(fā)生的事件，對(duì)于大系統(tǒng)而言一般為機(jī)毀人亡或航天員傷亡，中間事件一般為具有獨(dú)立功能的子系統(tǒng)，底事件就是建立主邏輯圖的主要研究對(duì)象初因事件。本文針對(duì)的是組合體航天器的控推系統(tǒng)，對(duì)于控推系統(tǒng)而言最不希望發(fā)生的事件是控推系統(tǒng)故障。圖2為組合體航天器控推系統(tǒng)主邏輯圖。

表1 故障等級(jí)定義

圖2 組合體航天器控推系統(tǒng)主邏輯圖Fig.2 MLD of control and propulsion system for combined spacecraft

由圖2可以看出，核心艙單飛狀態(tài)主事件是控推系統(tǒng)，中間事件是姿態(tài)測(cè)量、姿態(tài)控制和軌道控制。導(dǎo)致中間事件發(fā)生的事件稱為底事件，也稱初因事件。當(dāng)頂事件為Ⅰ,Ⅱ類故障時(shí)，其對(duì)應(yīng)的初因事件是導(dǎo)致Ⅰ，Ⅱ類故障發(fā)生的底事件，如表2所示。

初因事件的識(shí)別是事件鏈建模的基礎(chǔ)，如果不考慮初因事件便不能充分理解系統(tǒng)擾動(dòng)和后果狀態(tài)及基本事件之間的關(guān)系。

表2 初因事件列表

2.3 構(gòu)建組合體故障樹

PRA分析首先要定義系統(tǒng)的分析范圍，組合體航天器各艙段都具有獨(dú)立飛行能力并配有一整套完整的控推系統(tǒng)，故對(duì)控推系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估是極具代表性的。從表1可以看出，Ⅲ，Ⅳ類故障對(duì)系統(tǒng)的危害極小，而且組合體航天器為了滿足長(zhǎng)期在軌運(yùn)營(yíng)的需求還具備維修性的特點(diǎn)，大多數(shù)Ⅲ，Ⅳ類故障也都可以通過維修性解決，因此風(fēng)險(xiǎn)評(píng)估的重點(diǎn)應(yīng)當(dāng)放到Ⅰ，Ⅱ類故障上。即本次風(fēng)險(xiǎn)評(píng)估模型的范圍是：組合體航天器控推系統(tǒng)Ⅰ，Ⅱ類故障。

本次分析在識(shí)別底事件時(shí)用到了主邏輯圖，根據(jù)定義范圍自上而下對(duì)控推系統(tǒng)所有的中間事件和底事件進(jìn)行了篩選，將僅對(duì)航天員產(chǎn)生輕度傷害及系統(tǒng)輕度損壞或任務(wù)部分失敗的故障篩除，保留了可以導(dǎo)致機(jī)毀人亡、造成航天員嚴(yán)重受傷或核心艙嚴(yán)重受損、任務(wù)不能完成的故障進(jìn)行分析，如表2所示。

PRA采用事件樹和故障樹相結(jié)合的分析方法[15]。分別建立應(yīng)用融合性設(shè)計(jì)和未應(yīng)用融合性設(shè)計(jì)的事件樹和故障樹對(duì)比融合性設(shè)計(jì)對(duì)系統(tǒng)可靠性的貢獻(xiàn)。

對(duì)系統(tǒng)建造故障樹時(shí)，首先要把系統(tǒng)的故障或失效狀態(tài)作為故障樹的頂事件，然后找出導(dǎo)致頂事件發(fā)生的中間事件和導(dǎo)致中間事件發(fā)生的所有可能的直接因素，即所有的故障模式。故障樹通常用來(lái)建立事件的層次，可以更清晰地展示出初因事件導(dǎo)致系統(tǒng)故障的邏輯關(guān)系，并提供更多的細(xì)節(jié)以幫助量化。由于歸納過程和演示過程的互補(bǔ)性，事件樹和故障樹經(jīng)常一起使用，表示從初因事件到故障狀態(tài)的系統(tǒng)響應(yīng)。二者結(jié)合使用比只使用其中一種更能夠完全、精確、清晰地構(gòu)造和記錄事件鏈[16-17]。圖3為應(yīng)用融合性設(shè)計(jì)的故障樹。

圖3 應(yīng)用融合性設(shè)計(jì)的故障樹Fig.3 Fault tree based on integrated design

姿態(tài)測(cè)量功能的Ⅰ，Ⅱ類故障有一個(gè)：核心艙“星敏感器+陀螺”姿態(tài)測(cè)量異常。組合體航天器星敏感器姿態(tài)測(cè)量需星敏感器正常工作，核心艙和實(shí)驗(yàn)艙星敏設(shè)備備份。當(dāng)星敏無(wú)法滿足使用條件時(shí)，組合體航天器無(wú)法按照兩艙長(zhǎng)期飛行姿態(tài)-慣性飛行姿態(tài)在軌飛行，需轉(zhuǎn)入三軸穩(wěn)定對(duì)地定向姿態(tài)在軌飛行，推進(jìn)劑消耗增加。

姿態(tài)控制功能的Ⅰ，Ⅱ類故障有兩個(gè)：姿控發(fā)動(dòng)機(jī)工作提供姿控力矩功能異常和姿控發(fā)動(dòng)機(jī)不響應(yīng)控制指令。核心艙為保證姿控力矩功能的可靠性，其姿控發(fā)動(dòng)機(jī)采取主、備份設(shè)計(jì)。當(dāng)貨運(yùn)飛船停靠時(shí)可以優(yōu)先選用貨運(yùn)飛船發(fā)動(dòng)機(jī)對(duì)組合體進(jìn)行控制，無(wú)貨運(yùn)飛船?？繒r(shí)優(yōu)先選用實(shí)驗(yàn)艙發(fā)動(dòng)機(jī)進(jìn)行控制。

為保證姿態(tài)控制發(fā)動(dòng)機(jī)可以響應(yīng)控制指令，本模型在核心艙和實(shí)驗(yàn)艙都采用雙機(jī)備份的情況下，在核心艙又添加了一臺(tái)冷備計(jì)算機(jī)。如果核心艙主、備路控制驅(qū)動(dòng)器內(nèi)部當(dāng)班計(jì)算機(jī)均出現(xiàn)故障，則啟用實(shí)驗(yàn)艙的控制驅(qū)動(dòng)器接替核心艙工作，此時(shí)可以保證組合體姿控發(fā)動(dòng)機(jī)及時(shí)響應(yīng)控制指令。如核心艙和實(shí)驗(yàn)艙控制驅(qū)動(dòng)器主、備份均出現(xiàn)故障，則啟用核心艙冷備份計(jì)算機(jī)執(zhí)行任務(wù)，此時(shí)姿控功能冗余度下降，需要進(jìn)行單機(jī)維修并在必要時(shí)將元器件降額使用。

軌道控制功能的Ⅰ，Ⅱ類故障有一個(gè)：核心艙軌控發(fā)動(dòng)機(jī)主、備故障。核心艙軌控發(fā)動(dòng)機(jī)為確保軌道控制功能正常，軌控發(fā)動(dòng)機(jī)采取主、備份設(shè)計(jì)。當(dāng)核心艙主、備兩路軌控發(fā)動(dòng)機(jī)均失效，在貨船?？繒r(shí)優(yōu)先使用貨船軌控發(fā)動(dòng)機(jī)，在貨船未?？壳覍?shí)驗(yàn)艙剩余足夠推進(jìn)劑時(shí)選用實(shí)驗(yàn)艙軌控發(fā)動(dòng)機(jī)。圖4為未應(yīng)用融合性設(shè)計(jì)的故障樹。

圖4 未應(yīng)用融合性設(shè)計(jì)的故障樹Fig.4 Fault tree without integrated design

從圖3和圖4可以清晰地看出應(yīng)用融合性設(shè)計(jì)和未應(yīng)用融合性設(shè)計(jì)的差別。未應(yīng)用融合性設(shè)計(jì)的組合體航天器在發(fā)生故障時(shí)只能采取啟動(dòng)冷備份或者降級(jí)使用的應(yīng)對(duì)策略；而應(yīng)用了融合性設(shè)計(jì)的組合體航天器則可以通過實(shí)驗(yàn)艙和貨運(yùn)飛船接替核心艙控制的方法，在不影響組合體航天器正常工作的情況下應(yīng)對(duì)突發(fā)故障，大大提升了組合體航天器的可靠性，并且為航天員和地面工作人員對(duì)核心艙進(jìn)行維修提供了充足時(shí)間。

3 風(fēng)險(xiǎn)評(píng)估結(jié)果分析

本研究的重點(diǎn)是對(duì)比組合體航天器應(yīng)用融合性設(shè)計(jì)和未應(yīng)用融合性設(shè)計(jì)兩種方案在可靠性上的差別。設(shè)R1為未應(yīng)用融合性設(shè)計(jì)的風(fēng)險(xiǎn)，R2為應(yīng)用融合性設(shè)計(jì)的風(fēng)險(xiǎn)，δR21為相對(duì)風(fēng)險(xiǎn)率，則δR21=(R2-R1)/R2。評(píng)價(jià)指標(biāo)的權(quán)重作為綜合評(píng)價(jià)的關(guān)鍵，其權(quán)重的取值將直接影響評(píng)估結(jié)果[18]。設(shè)組合體航天器控推系統(tǒng)異常為比對(duì)準(zhǔn)則，第一層準(zhǔn)則定義出系統(tǒng)的主要功能，第二層準(zhǔn)則按照故障樹將第一層準(zhǔn)則細(xì)分。通過權(quán)重計(jì)算對(duì)控推系統(tǒng)功能進(jìn)行重要度排序依次為：姿控力矩功能，軌道控制功能，姿控發(fā)動(dòng)機(jī)指令控制功能，姿態(tài)測(cè)量功能。表3為重要性權(quán)重示例。

表3 重要性權(quán)重示例

表4 設(shè)計(jì)方案的相對(duì)差比

從表4可以看出，組合體航天器控推系統(tǒng)的4種Ⅰ類和Ⅱ類故障通過融合性設(shè)計(jì)改進(jìn)后其相對(duì)差比均為負(fù)。所得相對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果為：控推系統(tǒng)Ⅰ，Ⅱ類故障發(fā)生概率相對(duì)減少21.1%，融合性設(shè)計(jì)使組合體航天器控推系統(tǒng)的可靠性明顯提升。再結(jié)合表3中第一層和第二層準(zhǔn)則的權(quán)重，充分利用權(quán)重蘊(yùn)含的潛在信息[19]，給出系統(tǒng)應(yīng)用融合性設(shè)計(jì)建議：建議控推系統(tǒng)大范圍應(yīng)用融合性設(shè)計(jì)，如果不能大范圍應(yīng)用則應(yīng)該以姿控力矩功能、軌道控制功能、姿控發(fā)動(dòng)機(jī)指令控制功能和姿態(tài)測(cè)量功能的順序應(yīng)用。

4 結(jié)束語(yǔ)

為驗(yàn)證組合體航天器融合性設(shè)計(jì)對(duì)可靠性的貢獻(xiàn)，選取了組合體航天器的控推系統(tǒng)為研究對(duì)象，以Ⅰ，Ⅱ類故障作為底事件，分別對(duì)應(yīng)用融合性設(shè)計(jì)和未應(yīng)用融合性設(shè)計(jì)的系統(tǒng)構(gòu)建故障樹模型。然后，根據(jù)組合體航天器的特性分析了控推系統(tǒng)的權(quán)重和兩種設(shè)計(jì)方案的相對(duì)差比，采用相對(duì)風(fēng)險(xiǎn)評(píng)估方法，得到應(yīng)用融合性設(shè)計(jì)控推系統(tǒng)Ⅰ，Ⅱ類故障發(fā)生概率降低21.1%和控推系統(tǒng)各功能的重要度排序。從風(fēng)險(xiǎn)的角度建議決策者全系統(tǒng)或根據(jù)重要度排序逐步應(yīng)用融合性設(shè)計(jì)。所采取的兩種設(shè)計(jì)方案相比對(duì)的分析方法在工作量與完備性之間有較好的平衡，未來(lái)的工作中應(yīng)進(jìn)一步完善評(píng)估方法并將其通用化。