空間實驗室的風(fēng)險識別與控制方法

楊 宏，周昊澄

(中國空間技術(shù)研究院載人航天總體部，北京 100094)

0 引 言

隨著我國載人航天事業(yè)的不斷發(fā)展，提高載人航天器在軌可靠性和在軌資源的使用效率成為重點發(fā)展的方向。通過提升載人航天器風(fēng)險識別和控制能力，能夠有效延長航天器的在軌飛行壽命，降低航天器在軌運行風(fēng)險，會產(chǎn)生巨大經(jīng)濟效益。天宮一號是我國首個空間實驗室，其巨大的技術(shù)跨越帶來的風(fēng)險識別與控制難題需要研究解決。

NASA將風(fēng)險識別技術(shù)列為航天領(lǐng)域優(yōu)先發(fā)展的技術(shù)之一。2002年，NASA公布的《概率風(fēng)險評估過程指南》總結(jié)了NASA概率風(fēng)險評估經(jīng)驗[1-2]，綜合集成了NASA在航天項目中的概率風(fēng)險評估方法[3-4]。目前，NASA已把風(fēng)險識別方法應(yīng)用在航天飛機[5-6]、國際空間站[7-8]和探月飛船等項目中。NASA分別于1995年、1998年和2003對經(jīng)過百余次飛行的航天飛機進行機毀人亡風(fēng)險事件概率的定量評估，評估結(jié)果分別為0.42%、0.76%和1.31%[5]。從評估結(jié)果可以看出,由于數(shù)據(jù)采集的方法和對仿真模型認(rèn)識的不同，即使在成熟型號有大量飛行數(shù)據(jù)的基礎(chǔ)上應(yīng)用該方法，仍然存在評估結(jié)果相差一個數(shù)量級的問題。天宮一號具有明顯的小子樣特性，其試驗與在軌數(shù)據(jù)遠(yuǎn)低于美國航天飛機，如果采用美國的上述風(fēng)險識別方法對天宮一號進行風(fēng)險識別，不確定性會更大。國內(nèi)相關(guān)文獻指出，應(yīng)在航天器全壽命周期內(nèi)進行風(fēng)險識別與控制工作，并對航天器各階段風(fēng)險因素及措施提出建議[9-10]。天宮一號具有典型的載人航天器特性，其可靠性要求高、小子樣的特性是其與一般航天器的重要區(qū)別，一般航天器分階段的風(fēng)險識別與控制建議并不完全適用于空間實驗室。

國際空間站是典型的組合體航天器，正常運行下，美國段負(fù)責(zé)對組合體進行飛行控制，國際空間站應(yīng)對組合體飛行模式下軌道控制風(fēng)險時，美國段向俄羅斯段和貨運飛船發(fā)送指令，俄羅斯段和貨運飛船接收到美國段發(fā)來的指令后開關(guān)軌控發(fā)動機完成組合體軌道控制[11-12]。就這種風(fēng)險控制方法而言，如果美國段發(fā)生重大故障無法工作，國際空間站并無艙段可以接替美國段對組合體進行控制，事實上，仍然存在很大風(fēng)險。國內(nèi)風(fēng)險控制多采用增加設(shè)備冗余的方式，驗證冗余效果也多采用概率風(fēng)險評估方法[13-14]。

針對上述問題，本文提出一種適用于天宮一號小子樣特性的相對風(fēng)險識別法，并提出在不增加設(shè)備冗余和艙段前提下降級重構(gòu)風(fēng)險控制法，以期解決風(fēng)險識別結(jié)果波動過大的問題，降低天宮一號重大故障發(fā)生的概率。

1 風(fēng)險識別與控制方法分階段應(yīng)用特點分析

我國載人航天器工程的開展具有明顯的階段性，可將空間實驗室風(fēng)險識別與控制工作分為：綜合論證與方案階段評估、研制生產(chǎn)階段評估、組建階段評估與運營階段評估4個階段。每一個階段由于工程進展的不同，其數(shù)據(jù)采集和設(shè)計師對系統(tǒng)的熟悉程度也有所不同。應(yīng)結(jié)合同階段數(shù)據(jù)采集的程度，選擇合適的方法進行風(fēng)險識別，并提出最優(yōu)的風(fēng)險控制方法。

1)綜合論證與方案階段

綜合論證與方案階段，系統(tǒng)方案尚未確定，工程人員也未完全到位，計算機仿真和地面實驗數(shù)據(jù)不足，此階段并不具備進行定量風(fēng)險識別的基本條件。此階段應(yīng)該著重考慮大系統(tǒng)設(shè)計方案的可行性、合理性、新技術(shù)應(yīng)用性和成熟產(chǎn)品核心技術(shù)的繼承性等[15]因素。通過建立初步的事件鏈，對系統(tǒng)進行頂層風(fēng)險的識別，給決策者定性的風(fēng)險評估結(jié)果并從方案論證階段給設(shè)計師提出系統(tǒng)的風(fēng)險控制措施，此階段的設(shè)計改進為整個工程期間改進成本最小的階段。

2)研制生產(chǎn)階段

研制生產(chǎn)階段可以分為：初樣階段和正樣階段。期間需要對每一個系統(tǒng)和分系統(tǒng)建立事件樹和故障樹模型，數(shù)據(jù)采集時需要把握關(guān)鍵項目，將計算機仿真與地面試驗數(shù)據(jù)收集起來建立數(shù)據(jù)庫，并且隨著仿真與試驗的不斷深入盡可能高效的更新數(shù)據(jù)庫。通過系統(tǒng)模型的不斷完善，在初樣階段給予系統(tǒng)合理的風(fēng)險控制建議且提供依據(jù)，在正樣階段為飛行事件保障鏈的建立提供數(shù)據(jù)及理論依據(jù)。

3)在軌組建階段

在軌組裝建造是空間實驗室區(qū)別于普通航天器的重要階段，天宮一號和載人飛船的計算機仿真及地面實驗數(shù)據(jù)都比較完整，并且有一定量的在軌數(shù)據(jù)。該階段開展的風(fēng)險分析不應(yīng)再針對設(shè)計方法，應(yīng)當(dāng)著重考慮空間實驗室單飛和組合體飛行的不同狀態(tài)對系統(tǒng)風(fēng)險的影響，把重點放到長期在軌運營上。關(guān)鍵子系統(tǒng)應(yīng)當(dāng)獨立構(gòu)件事件樹識別風(fēng)險，通過事件樹了解系統(tǒng)發(fā)生故障的過程，考慮單飛和組合體飛行的不同狀態(tài)建立動態(tài)故障樹模型，并確定機毀人亡、航天員傷亡、航天員應(yīng)急撤離、壓力艙損壞、分系統(tǒng)失效和碰撞六種不良后果狀態(tài)。再結(jié)合飛行事件保障鏈，提出合理的控制風(fēng)險的舉措。

4)在軌運營階段

運營階段是一個漫長的階段，我國未來空間站在軌運營壽命將在10至15年[16]，如此長時間的在軌任務(wù)對系統(tǒng)的可靠性，安全性和維修性都提出了更高的要求。在軌運營階段需要對關(guān)鍵系統(tǒng)進行長期的風(fēng)險監(jiān)控與識別機制，期間還要對觀測到的數(shù)據(jù)重新建立在軌運營數(shù)據(jù)庫；盡早識別出系統(tǒng)可能存在的風(fēng)險完善系統(tǒng)的維修性，并建立常規(guī)維護和應(yīng)急操作策略。

綜上所述，不同研制階段的風(fēng)險識別與控制有不同的特點。綜合論證階段應(yīng)以定性識別為主，提出初步的風(fēng)險控制思路；研制生產(chǎn)階段應(yīng)重點識別關(guān)鍵項目風(fēng)險，建立完備的風(fēng)險識別數(shù)據(jù)庫，將風(fēng)險控制在初樣階段；在軌組件階段應(yīng)將風(fēng)險識別的重點放在組合體形態(tài)上并提出合理的風(fēng)險控制舉措；在軌運營階段應(yīng)將風(fēng)險識別的重點放在系統(tǒng)延壽上，建立長期的風(fēng)險識別與控制機制。

2 相對風(fēng)險識別方法

基于風(fēng)險識別與控制方法分階段應(yīng)用特點分析，本文提出相對風(fēng)險識別方法，即基于相對概率風(fēng)險評估的定性與定量相結(jié)合的綜合性風(fēng)險識別方法。定性風(fēng)險識別方法可以使系統(tǒng)設(shè)計師對復(fù)雜系統(tǒng)特性進行全面深刻地了解，找到影響長壽命設(shè)計的關(guān)鍵項目；定量風(fēng)險識別方法可以定量地區(qū)分不同影響因素的重要程度，為風(fēng)險控制方案的實施提供定量依據(jù)。

2.1 低軌設(shè)計壽命定性風(fēng)險評估

空間實驗室主要任務(wù)是作為被動交會對接目標(biāo)完成交會對接試驗，在軌運行2年，為航天員在軌工作、生活以及科學(xué)應(yīng)用提供必要條件，為我國建立長期載人空間站進行技術(shù)驗證。

天宮一號運行在350～400 km的近圓軌道上，處于低軌空間環(huán)境中，飛行期間正值太陽活動高年，需適應(yīng)太陽輻射、地球磁場、高能帶電粒子、電離層、微流星體及空間碎片等空間環(huán)境因素，在軌飛行時間由載人飛船的5～7 d提高至2年，低軌長期運行是天宮一號不同于以往載人飛船的顯著特點，壽命設(shè)計不全面是天宮一號的主要風(fēng)險之一。

影響天宮一號長壽命的因素包括外在因素與內(nèi)在因素如圖1所示。其中，外在因素是指天宮一號的軌道空間環(huán)境，內(nèi)在因素是指系統(tǒng)的資源配置、系統(tǒng)功能重構(gòu)與冗余配置、以及關(guān)鍵設(shè)備/材料的設(shè)計與驗證，通過任務(wù)分析，天宮一號長壽命設(shè)計的關(guān)鍵包括：

1)充分識別影響天宮一號壽命的低軌空間環(huán)境因素；

2)系統(tǒng)產(chǎn)品特別影響系統(tǒng)長壽命設(shè)計的關(guān)鍵設(shè)備/材料具備2年任務(wù)壽命內(nèi)可靠工作的能力。

3)系統(tǒng)配置的推進劑、環(huán)熱控工質(zhì)、空氣可滿足2年在軌飛行期間進行3次交會對接任務(wù)的要求。

圖1 天宮一號低軌長壽命分析示意圖

定性風(fēng)險評估方法可以通過空間環(huán)境因素及任務(wù)需求識別出天宮一號長壽命設(shè)計將會遇到的風(fēng)險，有助于設(shè)計師更具針對性的開展風(fēng)險控制工作。

2.2 定量風(fēng)險識別方法

定量的相對風(fēng)險識別方法的識別過程分三步，本文以天宮一號控推系統(tǒng)為例。

第一步：主邏輯圖是一種自上而下分層次梳理的樹狀圖，可以分為頂事件，中間事件和底事件。通過主邏輯圖可找到導(dǎo)致重大風(fēng)險發(fā)生的初因事件如圖2所示。

第二步：結(jié)合圖2識別初因事件結(jié)果如表1所示，對空間實驗室控推系統(tǒng)建立故障樹模型如圖3所示。

第三步：基本事件重要度權(quán)重分析。

結(jié)合故障樹模型，可以將風(fēng)險重要度準(zhǔn)則分為兩層。第一層為主要功能：姿態(tài)測量功能(C1)、姿控力矩功能(C2)、軌道控制功能(C3)；第二層按照故障樹將功能進一步細(xì)分：天宮一號星敏感器頭部或線路失效(C11)、 “紅外+數(shù)字太陽+陀螺”精度不足(C12)、天宮一號姿控發(fā)動機推進劑泄露(C21)、CMG框架、轉(zhuǎn)子或電源失效(C22)、天宮一號軌控發(fā)動機控制閥失效，噴注孔阻塞(C31)。

圖2 主邏輯圖

表1 初因事件列表Table 1 Initial event list

圖3 空間實驗室故障樹模型

通過F-V重要度確定單個事件對風(fēng)險的重要性。假設(shè)系統(tǒng)失效，以系統(tǒng)失效R0為風(fēng)險基線。

(1)

部件可靠性Pr(Ci=1),系統(tǒng)可靠性Pr(S=1),系統(tǒng)不可靠性Pr(S=0),部件完好時系統(tǒng)完好的條件概率Pr(S=1|Ci=1),部件完好時系統(tǒng)失效的條件概率Pr(S=0|Ci=1),部件失效時系統(tǒng)完好的條件概率Pr(S=1|Ci=0),部件失效時系統(tǒng)失效的條件概率Pr(S=0|Ci=0)。其中，Pr(Ci=1)已知，Pr(S=1)和Pr(S=0)之和為1，權(quán)重計算結(jié)果如表2所示。

通過權(quán)重計算對控推系統(tǒng)風(fēng)險進行重要度排序：姿控力矩功能異常，軌道控制功能異常，姿態(tài)測量功能異常。待解決風(fēng)險點的優(yōu)先級為：天宮一號姿控發(fā)動機推進劑泄露；天宮一號軌控發(fā)動機控制閥失效，噴注孔阻塞；天宮一號星敏感器頭部或線路失效；CMG框架、轉(zhuǎn)子或電源失效；“紅外+數(shù)字太陽+陀螺”精度過低。

相對風(fēng)險識別方法通過計算重要性權(quán)重，從相對風(fēng)險的角度對關(guān)鍵項目進行了重要度排序，為設(shè)計師對系統(tǒng)實施風(fēng)險控制的優(yōu)先級提供依據(jù)。

表2 重要性權(quán)重分析結(jié)果Table 2 Analysis of importance weight

3 可降級重構(gòu)的風(fēng)險控制方法

空間實驗室任務(wù)提出采用可重構(gòu)安全模式的在軌風(fēng)險控制措施，通過空間實驗室故障時系統(tǒng)的自主重構(gòu)控制風(fēng)險并阻斷風(fēng)險的傳播路徑?？臻g實驗室提出安全閾值分級管理方法，建立了重要風(fēng)險不同安全閾值與系統(tǒng)安全模式的映射數(shù)據(jù)庫，當(dāng)關(guān)鍵參數(shù)達(dá)到不同的預(yù)置閾值時，采取報警、關(guān)閉大功率設(shè)備、關(guān)閉應(yīng)用載荷等處理措施逐級撤銷飛行器功能，對飛行器功能進行降級重構(gòu)，實現(xiàn)自主處置結(jié)果最優(yōu)化如圖4所示，以解決風(fēng)險處置隨機性與平臺任務(wù)連續(xù)性的難題。

圖4 可降級重構(gòu)的自主安全模式框圖

載人飛船與空間實驗室對接形成組合體后，正常情況下由空間實驗室完成組合體的控制?？臻g實驗室通過固有的冗余性設(shè)計難以消除2.2節(jié)通過故障樹分析識別的3種影響航天員安全的重大風(fēng)險。針對上述難以消除的在軌安全風(fēng)險，提出了載人飛船接管組合體的方法實現(xiàn)兩飛行器重構(gòu)的方法。對組合體降級重構(gòu)設(shè)計，提出了全姿態(tài)捕獲和組合體定向控制模式，解決了載人飛船接管組合體控制時面臨大姿態(tài)角偏差的難題。

4 風(fēng)險識別與控制方法的應(yīng)用效果

空間實驗室組合體由天宮一號和載人飛船組成，且都具備單艙獨立飛行能力，故本文針對空間實驗室組合體控推系統(tǒng)影響航天員的重大風(fēng)險建模。

用主邏輯圖可以識別出導(dǎo)致空間實驗室控推系統(tǒng)異常的初因事件如表1所示。

應(yīng)用上述可降級重構(gòu)的風(fēng)險控制方法對空間實驗室進行降級重構(gòu)設(shè)計，在組合體形態(tài)天宮一號控推系統(tǒng)異常時由載人飛船接替天宮一號控制組合體。應(yīng)用可降級重構(gòu)設(shè)計后，對空間實驗室控推系統(tǒng)建立故障樹模型和重要度權(quán)重分析如圖5、表3所示。

圖5 應(yīng)用風(fēng)險控制方法的雙艙故障樹

表3 重要性權(quán)重分析Table 3 Importance weight analysis

表4可以看出，空間實驗室組合體控推系統(tǒng)的3種重大故障，通過風(fēng)險控制改進后其相對差比均為負(fù)。所得相對風(fēng)險評估結(jié)果為：控推系統(tǒng)重大故障發(fā)生概率相對減少21.1%。再結(jié)合表2和表3中第二層準(zhǔn)則的權(quán)重值，應(yīng)用風(fēng)險控制方法后第二層準(zhǔn)則內(nèi)所有事件的權(quán)重值明顯降低?？臻g實驗室在不增加艙段冗余的前提下大幅提高了系統(tǒng)的可靠性，優(yōu)于國際空間站未應(yīng)用可降級重構(gòu)風(fēng)險控制的設(shè)計方法。

表4 應(yīng)用風(fēng)險控制方法的相對差比Table 4 Relative difference ratio using risk control method

5 結(jié) 論

1)應(yīng)用本文提出的相對風(fēng)險識別法和降級重構(gòu)風(fēng)險控制法，空間實驗室控推系統(tǒng)重大故障發(fā)生概率(相對于方法應(yīng)用前)減少了21.1%，規(guī)避了風(fēng)險識別結(jié)果波動過大的問題。

2)在空間實驗室組合體控推系統(tǒng)中應(yīng)用了本文提出的可降級重構(gòu)的風(fēng)險控制法，使控推系統(tǒng)重大風(fēng)險影響量的相對比差降為負(fù)值(-0.903、-0,974、-0.896)，在不增加設(shè)備冗余和其他艙段的前提下降低了系統(tǒng)風(fēng)險。