概率風險評估在航天試驗地面支持系統(tǒng)風險評估中的應用

段永勝1，趙繼廣2，王亞琦1，郝家杰1

(1. 裝備學院 航天裝備系，北京 101416；2. 裝備學院 裝備發(fā)展戰(zhàn)略研究所，北京 101416)

摘要航天試驗地面支持系統(tǒng)具有結(jié)構(gòu)復雜、狀態(tài)轉(zhuǎn)換頻繁、人機交互過程密切的特點，為實現(xiàn)系統(tǒng)的風險量化評估，將概率風險評估(PRA)方法應用于航天試驗地面支持系統(tǒng)風險評估。闡述了PRA方法特點及其應用現(xiàn)狀，給出了定量化風險評估流程，以航天試驗導彈吊裝系統(tǒng)風險評估為例進行分析，評估結(jié)果驗證了該方法的可行性和有效性。

關(guān)鍵詞概率風險評估；航天試驗；風險；地面支持系統(tǒng)

收稿日期2014-10-30

基金項目部委級資助項目

作者簡介段永勝(1987-)，男，博士研究生，主要研究方向為航天任務總體。

中圖分類號TB114

文章編號2095-3828(2015)05-0120-07

DOI文獻標志碼A 10.3783/j.issn.2095-3828.2015.05.026

Application of Probabilistic Risk Assessment on

Launch Test Ground Support System

DUAN Yongsheng1，ZHAO Jiguang2，WANG Yaqi1,HAO Jiajie1

(1. Department of Space Equipment, Equipment Academy, Beijing 101416, China;

2. Equipment Development Strategy Research Institute , Equipment Academy, Beijing 101416, China)

AbstractConsidering the complexity of the ground supporting system, as well as frequent state transition and closely human-machine interaction, this paper applies the probabilisitc risk assessment (PRA) to risk assessment of the ground support system. The paper discusses the PRA method and its application situation and presents the risk assessment flow. Taking the missile hoisting mission at launch site for example, the paper verifies feasibility and effectiveness of PRA. The evaluation result shows the practicability and effectiveness of this method.

Keywordsprobabilistic risk assessment (PRA); launch test; risk; ground support system

航天試驗任務地面支持系統(tǒng)具有非標性、復雜性，以及人員參與密切等特性，各參試系統(tǒng)結(jié)構(gòu)復雜、故障模式較多，傳統(tǒng)FTA(Fault Tree Anaylsis)、FMEA(Failure Mode and Effects Analysis)等風險分析手段難以有效量化其風險值。為實現(xiàn)對航天試驗地面設(shè)施設(shè)備的定量化風險評估，尋求一種有效可行的風險評估手段具有很強的現(xiàn)實意義。概率風險評估(PRA)[1]方法是一種定性和定量相結(jié)合的安全風險評估方法，以風險事故場景演變?yōu)榻Ｒ罁?jù)，通過事件樹和故障樹相結(jié)合的手段實現(xiàn)風險的不確定性傳播。另外，該方法可彌補工程中廣泛使用的FMEA以定性分析為主，無法描述風險事故中間態(tài)勢演變過程的缺陷[2]。

1PRA發(fā)展及應用分析

20世紀60年代，NASA首次嘗試采用概率計算方法對“阿波羅”項目進行概率和可靠性風險值計算，后來因計算風險值很低，概率評估方法被NASA放棄轉(zhuǎn)而采用FMEA分析方法[3-4]。此時，風險分析人員只關(guān)注事故發(fā)生的概率，并沒有將事故發(fā)生概率值與風險后果相結(jié)合[5]。直到1975年，WASH-1400報告問世后，以事件樹和故障樹相結(jié)合的概率風險評估方法逐步成熟，同時將事故概率值與風險后果綜合考慮，形成目前各行業(yè)普遍使用的概率風險評估(PRA)方法[6]。近年來，特別是20世紀80年代“挑戰(zhàn)者號”失事，NASA重新認識到概率風險評估的重要性，花費大量的人力物力將PRA在航天領(lǐng)域推廣和研究。歐空局(ESA)與NASA緊密合作，將PRA技術(shù)用于載人或無人的航天器風險評估[7]。

相比傳統(tǒng)風險分析方法，PRA是一種集風險辨識、風險建模與風險量化于一體的綜合安全風險分析方法。另外，PRA方法易于工程技術(shù)人員理解和掌握，應用推廣價值高。我國在航天領(lǐng)域?qū)RA的研究處于理論探索和框架構(gòu)建階段。1999年，顧基發(fā)等人最先嘗試將PRA方法應用于航天領(lǐng)域的系統(tǒng)評估[8]；2000年，趙艷麗等人嘗試將PRA應用于某型火箭系統(tǒng)安全性分析[9]。以上學者給出了方法的實施框架，并沒有進行完整的應用實例分析。另外，箭上系統(tǒng)與航天試驗地面支持系統(tǒng)存在較大差異，后者存在頻繁人機交互操作、結(jié)構(gòu)高復雜性和風險因素眾多等特性。本文首次嘗試將PRA應用于航天發(fā)射試驗地面支持系統(tǒng)安全風險分析。

2方法流程

PRA是一項綜合性風險分析方法，包含風險辨識、風險建模、失效數(shù)據(jù)分析以及風險后果定義，實施過程可借助于傳統(tǒng)安全風險分析結(jié)果，如FMEA報告、危險分析報告、可靠性安全性分析報告、現(xiàn)場試驗數(shù)據(jù)、通用或?qū)＜覕?shù)據(jù)等。PRA分析流程圖如圖1所示，包括9個步驟，根據(jù)不同的分析對象可靈活應用。

圖1　PRA實施流程圖

圖1各步驟說明如下：

1) 定義目標和范圍，定義安全風險評估目標和不期望事故后果狀態(tài)，劃定風險評估范圍、系統(tǒng)故障和事件鏈分析詳細程度。

2) 熟悉系統(tǒng)，安全評估專家熟悉系統(tǒng)運行過程，包括系統(tǒng)配置、組成功能以及系統(tǒng)正常運行的成功準則?？蓞⒖技夹g(shù)文件包括系統(tǒng)設(shè)計手冊、系統(tǒng)運行維護手冊、以及事故應急手冊等，通過熟悉系統(tǒng)這一環(huán)節(jié)可為初因事件(Initial Event，IE)選取、系統(tǒng)故障建模提供依據(jù)。

3) 初因事件選取，依據(jù)工程經(jīng)驗和可靠性安全性分析報告，提取引起不期望事故的擾動或風險因子，包括系統(tǒng)內(nèi)部擾動、外部擾動以及人因事故。

4) 事件鏈建模，借助ESD(Event Sequence Diagram)分析方法，以初因事件為起始點按照事故進程反復推演，直到不期望事故后果狀態(tài)為止。

5) 故障建模，采用故障樹、動態(tài)故障樹或貝葉斯網(wǎng)絡等建模手段，建立系統(tǒng)故障模型。

6) 數(shù)據(jù)收集與分析，收集、處理和分析系統(tǒng)內(nèi)部失效數(shù)據(jù)、人因可靠性數(shù)據(jù)以及共因失效數(shù)據(jù)；可靠性數(shù)據(jù)作為PRA分析的基礎(chǔ)和核心，直接影響評估結(jié)果的可信度和有效性。

7) 模型量化與集成，模型量化與集成借助專業(yè)PRA分析軟件完成，通常采用故障樹與事件樹聯(lián)解的方式，得到定性和定量分析結(jié)果。

8) 不確定性分析，分析風險量化評估結(jié)果的可信程度，包括基本事件的不確定性和敏感性分析，為風險決策提供參考依據(jù)。

9) 重要度排序和結(jié)果分析，依據(jù)重要度計算方法，確定出支配性基本事件和支配性最小割集，采用降序排序，找出風險薄弱環(huán)節(jié)。

3實例分析

本文以航天試驗地面導彈吊裝系統(tǒng)風險評估為例，進行PRA應用研究，失效數(shù)據(jù)參考航天發(fā)射場少量現(xiàn)場數(shù)據(jù)和國際行業(yè)標準數(shù)據(jù)庫數(shù)據(jù)[10]。

3.1系統(tǒng)及任務分析

3.1.1系統(tǒng)分析

某型防爆式橋式吊裝系統(tǒng)由大車、小車、機械支撐結(jié)構(gòu)等子系統(tǒng)組成，其中小車由主起升機構(gòu)、小車運行機構(gòu)、小車安全制動器、小車機械架構(gòu)等部件組成；大車由橋架機構(gòu)、大車運行機構(gòu)、封閉式司機室、電纜滑車等組成。系統(tǒng)原理圖如圖2所示。

圖2　吊裝系統(tǒng)原理結(jié)構(gòu)圖

主起升機構(gòu)：主起升機構(gòu)通過互為備份的兩變頻器與控制電機帶動減速器轉(zhuǎn)動，減速器依次與滑輪、鋼絲繩、吊鉤和負重箭體連接。主起升機構(gòu)采用雙制動器工作模式，二者為并聯(lián)結(jié)構(gòu)，兩工作制動均失效后啟動安全制動器。

大車、小車運行機構(gòu)：大車、小車運行機構(gòu)通過各自的主變頻器帶動電機工作，二者共用1臺備用變頻器。2臺電機采用獨立控制方式，各自均有1臺制動器。小車由1臺電機和1臺制動器驅(qū)動控制。

電氣控制部分：電氣控制部分主要包括PLC(Programmable Logic Controller)控制部分，包括PLC主站、主鉤PLC、大車PLC、小車PLC、PLC從站。

安全保護裝置：安全裝置包括電機失速保護機構(gòu)、自動鎖緊、過載保護機構(gòu)、限位機構(gòu)、電機溫度報警機構(gòu)、緊急停機機構(gòu)，確保吊裝過程產(chǎn)品、人員、設(shè)備的安全。

3.1.2任務過程分析

依據(jù)吊裝系統(tǒng)失效模式的不同，將整個導彈吊裝任務過程分為上升、平移和下降3個階段。若上升或下降階段發(fā)生喪失動力事故，2臺工作制動器進行工作制動，若2臺工作制動器同時失效，則采取緊急停機制動動作，啟動安全制動。平移過程起升電機不工作，只有工作制動器工作，當工作制動器失效時，與上述情況相同，安全制動器啟動工作。

確定整個吊裝任務成功準則有2個，即：吊裝過程中不發(fā)生彈體溜鉤事故；吊裝過程中不發(fā)生彈體跌落事故。

3.2初因事件選取

本文采用歷史數(shù)據(jù)和專家判斷的方法選取初因事件。結(jié)合工業(yè)吊裝事故以及航天領(lǐng)域?qū)＜业墓こ探?jīng)驗判斷，建立彈體吊裝跌落主邏輯圖(Master Logic Diagram，MLD)，吊裝跌落MLD如圖3所示。

圖3　吊裝跌落MLD

考慮到整個吊裝任務過程的階段特性，且各階段系統(tǒng)失效模式各不相同，將初因事件分為3類：起升機構(gòu)動力喪失類、制動失效類與結(jié)構(gòu)組件斷裂類。

結(jié)構(gòu)組件斷裂失效涉及整個吊裝任務階段(上升、平移與下降)，失效模式包括鋼絲繩斷裂、吊鉤斷裂、橫梁斷裂、滑輪斷裂和吊耳斷裂。

起升機構(gòu)動力喪失涉及2個任務階段(上升與下降階段)，失效模式包括起升電機喪失動力、高速傳動機構(gòu)失效以及低速傳動機構(gòu)失效。

制動器失效包括整個吊裝任務階段，失效模式包括工作制動器失效和小車制動器失效，其中小車制動器失效只考慮平移階段。

初因事件編碼參照核工業(yè)分段式編碼規(guī)則，即系統(tǒng)或部件-失效模式-任務階段。吊裝跌落初因事件清單如表1所示，失效數(shù)據(jù)來源工業(yè)參考數(shù)據(jù)。

表1　吊裝跌落初因事件列表

3.3事件鏈建模

以引起彈體吊裝跌落初因事件為起始，建立事故場景事件鏈模型。建模過程中，對初因事件采取包絡的分析方法，將事故進程相似初因事件進行合并處理，如將起升電機、高速和低速傳動機構(gòu)失效合并為一個事件樹模型中，這樣可以大大節(jié)省建模和計算時間開銷。起升機構(gòu)上升階段動力喪失事件樹模型由24條事件序列構(gòu)成，2種后果狀態(tài)，分別為吊裝跌落(ET-FALL)和安全制動成功(ET-BRAKING-S)。軟件使用專業(yè)概率風險分析軟件——RiskA。

3.4故障建模

故障樹建模采用演繹和工程判斷相結(jié)合的方法，當系統(tǒng)故障模式復雜且具有時序特性時，通常采用動態(tài)故障樹或貝葉斯網(wǎng)絡來構(gòu)建事故模型。吊裝系統(tǒng)安全制動器上升階段失效故障樹模型如圖4所示。

圖4　安全制動器失效故障樹模型

3.5重要度分析

重要度分析旨在確定吊裝跌落狀態(tài)發(fā)生的總概率、各初因事件分別導致的吊裝跌落概率以及系統(tǒng)不可用度中各貢獻者的重要性，包括初因事件、共因失效、人員操作失誤等重要性。本文重要度分析采用FV(Fussel-vesely)重要度、風險增加因子(Risk Achievemetn Worth,RAW)和風險減少因子(Risk Reduction Worth,RRW)。以上3種重要度的定義如下：

1) 基本事件FV：最小割集中包含基本事件i的頂事件不可用度QTOP(Mi)與頂事件不可用度QTOP之比。

(1)

2) 風險增加因子(RAW)：基本事件i的不可用度設(shè)為1，從而使總的不可用度增加的倍數(shù)。

(2)

3) 風險減少因子(RRW)：基本事件i的不可用度設(shè)為0，從而使總的不可用度概率降低的倍數(shù)。

(3)

考慮到初因事件發(fā)生頻率無上界，在此不分析風險增加因子(RAW)重要度，吊裝系統(tǒng)動力喪失初因事件FV重要度和RRW重要度如表2所示。

表2　動力喪失初因事件重要度

由表2可以看出，高、低速傳動機構(gòu)的FV重要度相對于起升電機FV重要度高出51%，相對于RRW重要度高出20%。

3.6敏感性分析

進行敏感性分析時，敏感性因子F通常設(shè)為10。FHDF-U為初因事件發(fā)生頻率擴大F倍時吊裝跌落概率；fHDF-L為初因事件發(fā)生頻率縮小F倍時吊裝跌落頻率；敏感度S為fHDF-U和fHDF-L的比值，其計算公式如下(取敏感性因子F=10)：

(4)

根據(jù)式(4)，以動力喪失初因事件敏感性分析為例，計算出動力喪失類初因事件的敏感度，如表3所示。

表3　動力喪失初因事件敏感度

由表3可以看出，高、低速傳動機構(gòu)的敏感度相對于起升電機敏感度高出170%，計算結(jié)果與實際系統(tǒng)相符。從實際系統(tǒng)構(gòu)成分析可知，傳動機構(gòu)失效防御措施少于電機失效的防御措施，如低速傳動機構(gòu)失效后，工作制動已起不到任何預防作用。

3.7不確定性分析

通過對吊裝系統(tǒng)事件序列分析計算，吊裝系統(tǒng)各階段彈體跌落不確定性參數(shù)分布如表4所示。

表4　吊裝各階段不確定性參數(shù)分布

從整個彈體吊裝風險結(jié)果分析得知，上升、平移和下降3個階段中，下降階段發(fā)生跌落概率最大，為2.966×10-7，其次是上升階段，為3.248×10-7。平移階段跌落概率最小，為4.826×10-8。結(jié)合實際任務過程分析可知，上升和下降階段吊裝系統(tǒng)內(nèi)部參與工作的系統(tǒng)和設(shè)備較多且運行時間相對較長，系統(tǒng)工作時間越長，失效概率越大。

3.8結(jié)果分析

通過定量化計算，得到導彈吊裝跌落總概率為6.697×10-7。在導彈吊裝跌落PRA分析中，使用1.0×10-15作為計算吊裝跌落概率的截斷值，經(jīng)過分析，共得到8 428個最小割集，其中前50個最小割集引起的跌落概率值之和為5.852×10-7，占總跌落概率的87.38%。前50位最小割集中包含14個人誤事件，其引起彈體跌落概率之和為1.355×10-7，占總跌落概率的20.23%。由此可見，人誤事件對吊裝跌落概率的貢獻較大。前50位最小割集中包含10個共因失效事件，產(chǎn)生的跌落概率為1.013×10-7，占總跌落概率的15.12%?？梢?，吊裝系統(tǒng)共因失效的影響相對較大。整個吊裝任務過程中，9類初因事件組對吊裝任務失敗概率貢獻，如表5所示。

表5　各初因事件對吊裝跌落風險的貢獻

上升階段引起吊裝跌落的主要系統(tǒng)或部件包括工作制動器、高速傳動機構(gòu)、低速傳動機構(gòu)和主起升電機，發(fā)生概率分別為1.299×10-7、8.120×10-8、5.522×10-8和4.872×10-8，其次為結(jié)構(gòu)組件類，發(fā)生概率為9.744×10-9。上升階段初因事件對跌落概率貢獻比如圖5所示，橫坐標為所占百分比，縱坐標為IE。

圖5　上升階段初因事件對跌落概率貢獻比

平移階段引起吊裝跌落的系統(tǒng)或部件包括小車制動器、工作制動器和結(jié)構(gòu)組件斷裂，發(fā)生概率分別為2.896×10-8、1.689×10-8和2.413×10-9。平移階段初因事件對跌落概率貢獻比如圖6所示。

下降階段，引起吊裝跌落的主要系統(tǒng)或部件包括工作制動器、低速傳動機構(gòu)、高速傳動機構(gòu)和主起升電機，發(fā)生概率分別為1.186×10-7、7.415×10-8、5.042×10-8和4.449×10-8，其次為結(jié)構(gòu)組件類，發(fā)生概率為8.898×10-9。通過綜合分析，結(jié)構(gòu)組件類發(fā)生概率較低，但其重要度和敏感性相對較高，人員失誤和敏感性元器件次之。另外，制動器和傳動機構(gòu)失效敏感性和重要度較低。下降階段初因事件對跌落概率貢獻比如圖7所示。

圖6　平移階段初因事件對跌落概率貢獻比

圖7　下降階段初因事件對跌落概率貢獻比

4結(jié)論

針對某型導彈吊裝系統(tǒng)風險定量化評估，將PRA風險評估方法應用于整個吊裝過程，驗證了方法的可行性和有效性，同時得出以下結(jié)論。

1) 采用航天發(fā)射場少有的現(xiàn)場失效數(shù)據(jù)和國際行業(yè)標準數(shù)據(jù)庫失效數(shù)據(jù)相結(jié)合的數(shù)據(jù)模式，可實現(xiàn)PRA在我國航天試驗任務中風險量化評估。

2) 定量化評估結(jié)果表明，吊裝任務總風險概率值為不可能事件，但從風險重要度和敏感性角度分析，航天試驗吊裝系統(tǒng)存在兩類重要風險因素：一是單點失效類風險因素，如鋼絲繩斷裂、制動失效；二是共因失效類風險因素，如總電源切換失效事故。針對以上2類風險因素，應增加合理的風險監(jiān)測設(shè)施，對重要性敏感性高的設(shè)施設(shè)備增加維護和預防措施。

3) PRA風險評估不僅量化總風險值，還可將各子任務階段、各初因事件、各基本事件進行相對風險排序，找出系統(tǒng)薄弱環(huán)節(jié)，為航天試驗風險管理人員采取科學有效的風險管理措施提供參考。

參考文獻(References)

[1]STAMATELATOS M.Probabilistic risk assessment procedures guide for NASA managers and practitioners[M].2nd ed.Washington,D.C.：NASA,2011:53-71.

[2]RODAK C,SILLIMAN S.Probabilistic risk analysis and fault trees: initial discussion of application to identification of risk at a wellhead[J].Advances in Water Resources,2012,5(36):133-145.

[3]KIMURA M,IMAIZUMI M,NAKAGAWA T.Reliability analysis of a replication with limited number of journaling files[J].Reliability Engineering and System Safety,2013,116(23):105-108.

[4]LIN Y K,FIONDELLA L.Quantifying the impact of correlated failures on system reliability by a simulation approach[J].Reliability Engineering and System Safety，2013,109(5):32-40.

[5]JURADO A,de GASPARI F,VILARRASA V,et al.Probabilistic analysis of groundwater-related risks at subsurface excavation sites[J].Engineering Geology,2012,7(125):35-44.

[6]PALTRINIERI N,COZZANI V.Assessment and comparison of two early warning indicator methods in the perspective of prevention of atypical accident scenarios[J].Reliability Engineering and System Safety,2012,5(102):21-31.

[7]KHAKZAD N,KHAN F,AMYOTTE P.Quantitative risk analysis of offshore drilling operations: a Bayesian approach[J].Safety Science,2013,2(57):108-117.

[8]顧基發(fā)，趙艷麗.對航天系統(tǒng)進行安全性分析的概率風險評估(PRA)方法[J].系統(tǒng)工程與電子技術(shù),1999,21(8):22-24.

[9]趙艷麗，顧基發(fā).概率風險評估(PRA)方法在我國某型號運載火箭安全性分析中的應用 [J].系統(tǒng)工程理論與實踐,2000(6):91-97.

[10]DANESHKHAH A,BEDFORD T.Probabilistic sensitivity analysis of system availability using Gaussian processes[J].Reliability Engineering and System Safety,2013,9(112):82-93.

(編輯：李江濤)