基于關(guān)鍵事件的系統(tǒng)級單點(diǎn)故障識別方法及應(yīng)用

楊海峰，趙新攀，茍仲秋

（中國空間技術(shù)研究院 載人航天總體部，北京 100094）

0 引言

單點(diǎn)故障（single point failure, SPF）指那些會引起單機(jī)、分系統(tǒng)、系統(tǒng)功能喪失或任務(wù)失敗且沒有冗余備份的故障。對于航天器來說，系統(tǒng)級單點(diǎn)故障模式的發(fā)生將有可能直接導(dǎo)致系統(tǒng)功能嚴(yán)重降級或任務(wù)失敗，甚至人員（航天員）傷亡。因此，確保系統(tǒng)級單點(diǎn)故障的全面識別是航天器型號研制過程中的一項(xiàng)重要工作。NASA對承包商的可靠性要求大綱（NHB 5300.4(1A-1)）[1]中明確提出“故障模式影響分析（FMEA）應(yīng)在系統(tǒng)到子系統(tǒng)、子系統(tǒng)到元器件、系統(tǒng)到儀器界面及系統(tǒng)地面設(shè)備上進(jìn)行”，強(qiáng)調(diào)對設(shè)備產(chǎn)品進(jìn)行單點(diǎn)失效模式分析，識別出所有單點(diǎn)故障模式，“所有不能從系統(tǒng)消除的單點(diǎn)失效、潛在關(guān)鍵和災(zāi)難性故障應(yīng)列于關(guān)鍵項(xiàng)目清單”。ESA空間系統(tǒng)可靠性保證要求（ESA PSS-01-30）[2]中明確提出“承包商應(yīng)進(jìn)行整個系統(tǒng)的故障模式、影響及危害度分析（FMECA）”，以全面識別單點(diǎn)故障模式。目前，國內(nèi)航天器型號也要求通過 FMEA識別單點(diǎn)故障模式。同時(shí)在FMEA結(jié)果的基礎(chǔ)上，再對嚴(yán)酷度為I、II類的不期望事件進(jìn)一步開展故障樹分析（FTA），找出一階最小割集識別單點(diǎn)故障模式[3-9]。FMEA和FTA相結(jié)合的方法能夠有效識別單機(jī)級單點(diǎn)故障，但FTA頂事件很難全面確定，而且在飛行任務(wù)中，隨著飛行時(shí)間和空間的動態(tài)變化，故障影響也有不同。特別是復(fù)雜的航天器及其任務(wù)具有設(shè)備多、接口多、飛行事件多、飛行模式多的特點(diǎn)，因此存在單點(diǎn)故障模式識別漏項(xiàng)的風(fēng)險(xiǎn)。

本文以FMEA、FTA方法為基礎(chǔ)，提出了基于關(guān)鍵事件的單點(diǎn)故障識別方法。該方法以正常飛行事件為線索，通過制定影響任務(wù)的關(guān)鍵事件識別準(zhǔn)則，結(jié)合飛行任務(wù)的時(shí)域空域動態(tài)分析，識別出影響任務(wù)成敗的一系列關(guān)鍵事件，然后將關(guān)鍵事件失敗作為故障樹的頂事件進(jìn)行分析，最終識別出系統(tǒng)級單點(diǎn)故障模式。

1 基于關(guān)鍵事件的系統(tǒng)級單點(diǎn)故障識別方法

基于關(guān)鍵事件的系統(tǒng)級單點(diǎn)故障識別方法的主要思想和流程如圖1所示。

圖1 基于關(guān)鍵事件的系統(tǒng)級單點(diǎn)故障識別方法Fig. 1 Single point failure identification method based oncritical incident

1）任務(wù)目標(biāo)、范圍分析。系統(tǒng)級單點(diǎn)是針對特定的考核目標(biāo)和范圍而言。某設(shè)備的故障模式對其自身可能是致命的，但是對系統(tǒng)級任務(wù)的影響卻可能很微弱；而一切影響主任務(wù)目標(biāo)實(shí)現(xiàn)的單點(diǎn)故障模式均可作為系統(tǒng)級單點(diǎn)故障模式。主任務(wù)目標(biāo)可以是某項(xiàng)關(guān)鍵技術(shù)驗(yàn)證、有效載荷、航天員安全或用戶關(guān)心的一些項(xiàng)目。主任務(wù)目標(biāo)以外規(guī)劃的在軌試驗(yàn)項(xiàng)目等可不作為系統(tǒng)級單點(diǎn)失效模式的分析對象，以便簡化分析對象，突出重點(diǎn)。

2）關(guān)鍵事件分析與識別。將整個任務(wù)按照任務(wù)階段進(jìn)行劃分，分析每個階段飛行事件執(zhí)行結(jié)果對任務(wù)目標(biāo)的影響，并制定識別原則，將那些對保證后續(xù)主任務(wù)目標(biāo)的完成是必要的事件定義為關(guān)鍵事件，包括影響安全的、可能導(dǎo)致任務(wù)終止的、造成飛行計(jì)劃更改的事件（見圖 2），其中相互重疊的部分越多，則該事件的影響后果越大。

圖2 關(guān)鍵事件分析與識別Fig. 2 Analysis and identification of critical incident

3）以關(guān)鍵事件為頂事件的FEA。根據(jù)已識別的關(guān)鍵事件清單，將“××關(guān)鍵事件失敗”作為頂事件，按照標(biāo)準(zhǔn)方法開展FEA（如圖3所示），或者直接將關(guān)鍵事件以樹的形式進(jìn)行功能分解。從任務(wù)實(shí)施角度來講，可細(xì)化到與關(guān)鍵事件相關(guān)的所有設(shè)備、組件和接口，例如當(dāng)時(shí)的數(shù)據(jù)注入準(zhǔn)備情況、時(shí)間約束和測控條件支持等。

圖3 關(guān)鍵事件FEAFig. 3 FEA of critical incident

4）單點(diǎn)故障模式識別與處置。根據(jù)FEA結(jié)果，對得到的低層產(chǎn)品故障模式或多個故障模式的組合進(jìn)行分析，確認(rèn)是否采取了可靠性設(shè)計(jì)措施。將識別出的那些直接導(dǎo)致關(guān)鍵事件不能完成的故障模式作為系統(tǒng)級單點(diǎn)故障模式，若單點(diǎn)所涉及的產(chǎn)品無可替代，則通過隔離故障使其不擴(kuò)散或?qū)嵤┕收项A(yù)案（包括改進(jìn)措施、過程控制措施及在軌補(bǔ)救措施等）盡可能地將風(fēng)險(xiǎn)降到最低。

2 單點(diǎn)故障識別方法的應(yīng)用

以載人交會對接任務(wù)為例，說明基于關(guān)鍵事件的系統(tǒng)級單點(diǎn)故障識別方法的應(yīng)用。

2.1 任務(wù)目標(biāo)、范圍分析

突破和基本掌握交會對接技術(shù)是載人航天工程“二步一階段”的目標(biāo)之一[10-11]。交會對接技術(shù)的定義是“兩個飛行器于同一時(shí)間在軌道同一位置以相同速度會合并在結(jié)構(gòu)上連接成一個整體的技術(shù)[12]”；對于載人交會對接任務(wù)來說，航天員還應(yīng)該進(jìn)入目標(biāo)飛行器并完成物品轉(zhuǎn)移，任務(wù)完成后航 天員安全返回地面。

因此載人交會對接任務(wù)的主要目標(biāo)至少包括：船/器完成交會對接形成組合體，航天員進(jìn)入目標(biāo)飛行器并完成物品轉(zhuǎn)移，航天員安全返回。其他在軌試驗(yàn)或考核項(xiàng)目可不作為系統(tǒng)級單點(diǎn)故障模式的分析對象。

2.2 關(guān)鍵事件分析與識別

根據(jù)第2.1節(jié)的分析，3個主要任務(wù)目標(biāo)確定后，通過分析各階段飛行事件執(zhí)行結(jié)果對任務(wù)目標(biāo)的影響，結(jié)合關(guān)鍵事件的識別原則，識別出的關(guān)鍵事件清單見表1。

表1 交會對接任務(wù)關(guān)鍵事件清單及影響分析Table 1 Critical incident and its effect on RVD mission

2.3 以關(guān)鍵事件為頂事件的FEA

根據(jù)已識別的關(guān)鍵事件清單（表 1），逐項(xiàng)進(jìn)行FEA。以交會段關(guān)鍵事件6“變軌”為例，關(guān)鍵事件的主要時(shí)序?yàn)椋鹤冘壡皽?zhǔn)備，向中心控制計(jì)算機(jī)注入變軌數(shù)據(jù)，中心控制計(jì)算機(jī)發(fā)送指令給控制驅(qū)動器，控制驅(qū)動器控制發(fā)動機(jī)開機(jī)，變軌速度增量達(dá)到注入的數(shù)據(jù)后控制驅(qū)動器關(guān)閉發(fā)動機(jī)。分析結(jié)果如下：

1）關(guān)鍵事件故障樹建模

“變軌失敗”的FEA見圖4。

2）關(guān)鍵事件FEA

“變軌失敗”故障樹一階割集計(jì)算結(jié)果及分析 見表2。

圖4 “變軌失敗”FEAFig. 4 FEA of “orbit maneuver failure”

表2 “變軌失敗”的FEA結(jié)果Table 2 The result of FEA of “orbit maneuver failure”

2.4 單點(diǎn)故障模式識別與處置

通過FEA識別交會對接任務(wù)所有關(guān)鍵事件存在的單點(diǎn)故障模式或薄弱環(huán)節(jié)，并根據(jù)分析結(jié)果采取補(bǔ)償措施。

1）制定地面控制措施

將識別出的所有單點(diǎn)故障模式所涉及的產(chǎn)品作為系統(tǒng)級關(guān)鍵項(xiàng)目，從設(shè)計(jì)、生產(chǎn)、試驗(yàn)、驗(yàn)收、安裝、管理等方面加強(qiáng)過程控制。如對于含有零位傳感器單點(diǎn)故障的太陽電池陣驅(qū)動機(jī)構(gòu)作為關(guān)鍵項(xiàng)目進(jìn)行控制。

2）制定在軌故障預(yù)案

對識別出的所有單點(diǎn)故障模式進(jìn)一步展開分析，以確定是否能夠制定在軌預(yù)案予以彌補(bǔ)。如太陽電池陣的零位傳感器故障后，將導(dǎo)致太陽電池陣因不能歸水平零位，而在變軌速度增量較大時(shí)可能造成損壞，使得整船能源系統(tǒng)嚴(yán)重故障，交會對接任務(wù)失敗。但是對零位傳感器故障模式進(jìn)一步分析發(fā)現(xiàn)，該情況下地面可以根據(jù)太陽電池陣轉(zhuǎn)角、轉(zhuǎn)速以及發(fā)動機(jī)變軌時(shí)刻等信息修改飛行程序，預(yù)埋“太陽電池陣?？亍敝噶睿斯た刂齐姵仃囁降搅阄?。任務(wù)中，可在每次變軌前提前對零位傳感器的工作情況進(jìn)行確認(rèn)，若發(fā)生故障則啟用該預(yù)案。這樣在不增加飛船其他任何資源的情況下，即可有效地消除該單點(diǎn)故障模式。

3 結(jié)束語

本文提出的基于關(guān)鍵事件的系統(tǒng)級單點(diǎn)故障識別方法，充分結(jié)合了型號的FMEA、FTA工作，以飛行任務(wù)為對象，采用時(shí)域空域動態(tài)分析的方法識別影響任務(wù)的關(guān)鍵事件，從任務(wù)執(zhí)行的角度分析、識別出單點(diǎn)故障模式，并制定地面控制措施和在軌故障預(yù)案。該方法能夠覆蓋設(shè)備在不同飛行任務(wù)段的工作模式，動態(tài)識別單點(diǎn)故障模式并準(zhǔn)確反映其對后續(xù)飛行程序/過程的影響，有助于全面識別型號系統(tǒng)級單點(diǎn)故障模式，降低任務(wù)風(fēng)險(xiǎn)，具有較強(qiáng)的工程應(yīng)用價(jià)值。

（

）

[1]NHB 5300.4(1A-1) Reliability program requirements for aeronautical and space system contractors[S], 1987

[2]ESA PSS-01-30 Reliability assurance requirements for ESA space systems[S], 1992

[3]郭涇平, 朱北園, 程卓. 論衛(wèi)星 FMEA 工作應(yīng)重點(diǎn)關(guān)注的若干問題[C]//第7屆國際可靠性、維修性、安全性學(xué)術(shù)會議集. 北京: 中國宇航學(xué)會, 2007: 1-7

[4]劉志全, 宮穎. 航天產(chǎn)品FMEA工作有效性的思考[J].航天器工程, 2011, 20(1): 142-146 Liu Zhiquan, Gong Ying. Consideration about the validity of aerospace product FMEA[J]. Spacecraft Engineering, 2011, 20(1): 142-146

[5]馬海峰. FMECA工程實(shí)踐中問題的探討[C]//航空可靠性工程進(jìn)展暨可靠性工程專業(yè)委員會第9屆學(xué)術(shù)年會論文集. 井岡山: 中國航空學(xué)會, 2003: 155-159

[6]耿宏, 高秀蘋, 樊建梅. 故障樹在飛機(jī)故障診斷專家系統(tǒng)中的應(yīng)用[J]. 中國民航學(xué)院學(xué)報(bào), 2006, 24(5):46-48

Geng Hong, Gao Xiuping, Fan Jianmei. The application of FTA in fault diagnosis expert system[J]. Journal of Civil Aviation University of China, 2006, 24(5): 46-48

[7]高蕾, 杜宜東. 故障樹分析法程序研究[C]//2009核能行業(yè)可靠性維修（RCM）研討會論文集. 深圳: 中國核能行業(yè)協(xié)會, 2009: 227-231

[8]于瀟, 馬曉兵, 茍仲秋. 神舟飛船出艙活動故障模式和對策的設(shè)計(jì)與實(shí)踐[J]. 航天器工程, 2010, 19(6):56-60

Yu Xiao, Ma Xiaobing, Gou Zhongqiu. Failure mode and countermeasure design and implement for Shenzhou Spaceship’s extravehicular activity[J]. Spacecraft Engineering,2010, 19(6): 56-60

[9]王晶燕, 饒瑋, 孫澤洲. 嫦娥一號衛(wèi)星飛行事件的系統(tǒng)級FMEA[J]. 航天器工程, 2008, 17(2): 90-93

Wang Jingyan, Rao Wei, Sun Zezhou. System FMEA based on flying event of CE-1 orbiter[J]. Spacecraft Engineering, 2008, 17(2): 90-93

[10]尚志. 中國首次交會對接任務(wù)的技術(shù)成就和展望[J].航天器工程, 2011, 20(6): 11-15

Shang Zhi. Technology achievements and prospect of China first rendezvous and docking mission[J].Spacecraft Engineering, 2011, 20(6): 11-15

[11]馬曉兵, 黃震, 楊慶. 中國交會對接任務(wù)成就與展望[C]//第 64屆國際宇航大會. 北京: 國際宇航聯(lián)合會等, 2013

[12]張柏楠. 航天器交會對接任務(wù)分析與設(shè)計(jì)[M]. 北京:科學(xué)出版社, 2011: 1-3