楊海峰，趙新攀，茍仲秋

（中國空間技術研究院 載人航天總體部，北京 100094）

0 引言

單點故障（single point failure, SPF）指那些會引起單機、分系統(tǒng)、系統(tǒng)功能喪失或任務失敗且沒有冗余備份的故障。對于航天器來說，系統(tǒng)級單點故障模式的發(fā)生將有可能直接導致系統(tǒng)功能嚴重降級或任務失敗，甚至人員（航天員）傷亡。因此，確保系統(tǒng)級單點故障的全面識別是航天器型號研制過程中的一項重要工作。NASA對承包商的可靠性要求大綱（NHB 5300.4(1A-1)）[1]中明確提出“故障模式影響分析（FMEA）應在系統(tǒng)到子系統(tǒng)、子系統(tǒng)到元器件、系統(tǒng)到儀器界面及系統(tǒng)地面設備上進行”，強調對設備產品進行單點失效模式分析，識別出所有單點故障模式，“所有不能從系統(tǒng)消除的單點失效、潛在關鍵和災難性故障應列于關鍵項目清單”。ESA空間系統(tǒng)可靠性保證要求（ESA PSS-01-30）[2]中明確提出“承包商應進行整個系統(tǒng)的故障模式、影響及危害度分析（FMECA）”，以全面識別單點故障模式。目前，國內航天器型號也要求通過 FMEA識別單點故障模式。同時在FMEA結果的基礎上，再對嚴酷度為I、II類的不期望事件進一步開展故障樹分析（FTA），找出一階最小割集識別單點故障模式[3-9]。FMEA和FTA相結合的方法能夠有效識別單機級單點故障，但FTA頂事件很難全面確定，而且在飛行任務中，隨著飛行時間和空間的動態(tài)變化，故障影響也有不同。特別是復雜的航天器及其任務具有設備多、接口多、飛行事件多、飛行模式多的特點，因此存在單點故障模式識別漏項的風險。

本文以FMEA、FTA方法為基礎，提出了基于關鍵事件的單點故障識別方法。該方法以正常飛行事件為線索，通過制定影響任務的關鍵事件識別準則，結合飛行任務的時域空域動態(tài)分析，識別出影響任務成敗的一系列關鍵事件，然后將關鍵事件失敗作為故障樹的頂事件進行分析，最終識別出系統(tǒng)級單點故障模式。

1 基于關鍵事件的系統(tǒng)級單點故障識別方法

基于關鍵事件的系統(tǒng)級單點故障識別方法的主要思想和流程如圖1所示。

圖1 基于關鍵事件的系統(tǒng)級單點故障識別方法Fig. 1 Single point failure identification method based oncritical incident

1）任務目標、范圍分析。系統(tǒng)級單點是針對特定的考核目標和范圍而言。某設備的故障模式對其自身可能是致命的，但是對系統(tǒng)級任務的影響卻可能很微弱；而一切影響主任務目標實現(xiàn)的單點故障模式均可作為系統(tǒng)級單點故障模式。主任務目標可以是某項關鍵技術驗證、有效載荷、航天員安全或用戶關心的一些項目。主任務目標以外規(guī)劃的在軌試驗項目等可不作為系統(tǒng)級單點失效模式的分析對象，以便簡化分析對象，突出重點。

2）關鍵事件分析與識別。將整個任務按照任務階段進行劃分，分析每個階段飛行事件執(zhí)行結果對任務目標的影響，并制定識別原則，將那些對保證后續(xù)主任務目標的完成是必要的事件定義為關鍵事件，包括影響安全的、可能導致任務終止的、造成飛行計劃更改的事件（見圖 2），其中相互重疊的部分越多，則該事件的影響后果越大。

圖2 關鍵事件分析與識別Fig. 2 Analysis and identification of critical incident

3）以關鍵事件為頂事件的FEA。根據(jù)已識別的關鍵事件清單，將“××關鍵事件失敗”作為頂事件，按照標準方法開展FEA（如圖3所示），或者直接將關鍵事件以樹的形式進行功能分解。從任務實施角度來講，可細化到與關鍵事件相關的所有設備、組件和接口，例如當時的數(shù)據(jù)注入準備情況、時間約束和測控條件支持等。

圖3 關鍵事件FEAFig. 3 FEA of critical incident

4）單點故障模式識別與處置。根據(jù)FEA結果，對得到的低層產品故障模式或多個故障模式的組合進行分析，確認是否采取了可靠性設計措施。將識別出的那些直接導致關鍵事件不能完成的故障模式作為系統(tǒng)級單點故障模式，若單點所涉及的產品無可替代，則通過隔離故障使其不擴散或實施故障預案（包括改進措施、過程控制措施及在軌補救措施等）盡可能地將風險降到最低。

2 單點故障識別方法的應用

以載人交會對接任務為例，說明基于關鍵事件的系統(tǒng)級單點故障識別方法的應用。

2.1 任務目標、范圍分析

突破和基本掌握交會對接技術是載人航天工程“二步一階段”的目標之一[10-11]。交會對接技術的定義是“兩個飛行器于同一時間在軌道同一位置以相同速度會合并在結構上連接成一個整體的技術[12]”；對于載人交會對接任務來說，航天員還應該進入目標飛行器并完成物品轉移，任務完成后航 天員安全返回地面。

因此載人交會對接任務的主要目標至少包括：船/器完成交會對接形成組合體，航天員進入目標飛行器并完成物品轉移，航天員安全返回。其他在軌試驗或考核項目可不作為系統(tǒng)級單點故障模式的分析對象。

2.2 關鍵事件分析與識別

根據(jù)第2.1節(jié)的分析，3個主要任務目標確定后，通過分析各階段飛行事件執(zhí)行結果對任務目標的影響，結合關鍵事件的識別原則，識別出的關鍵事件清單見表1。

表1 交會對接任務關鍵事件清單及影響分析Table 1 Critical incident and its effect on RVD mission

2.3 以關鍵事件為頂事件的FEA

根據(jù)已識別的關鍵事件清單（表 1），逐項進行FEA。以交會段關鍵事件6“變軌”為例，關鍵事件的主要時序為：變軌前準備，向中心控制計算機注入變軌數(shù)據(jù)，中心控制計算機發(fā)送指令給控制驅動器，控制驅動器控制發(fā)動機開機，變軌速度增量達到注入的數(shù)據(jù)后控制驅動器關閉發(fā)動機。分析結果如下：

1）關鍵事件故障樹建模

“變軌失敗”的FEA見圖4。

2）關鍵事件FEA

“變軌失敗”故障樹一階割集計算結果及分析 見表2。

圖4 “變軌失敗”FEAFig. 4 FEA of “orbit maneuver failure”

表2 “變軌失敗”的FEA結果Table 2 The result of FEA of “orbit maneuver failure”

2.4 單點故障模式識別與處置

通過FEA識別交會對接任務所有關鍵事件存在的單點故障模式或薄弱環(huán)節(jié)，并根據(jù)分析結果采取補償措施。

1）制定地面控制措施

將識別出的所有單點故障模式所涉及的產品作為系統(tǒng)級關鍵項目，從設計、生產、試驗、驗收、安裝、管理等方面加強過程控制。如對于含有零位傳感器單點故障的太陽電池陣驅動機構作為關鍵項目進行控制。

2）制定在軌故障預案

對識別出的所有單點故障模式進一步展開分析，以確定是否能夠制定在軌預案予以彌補。如太陽電池陣的零位傳感器故障后，將導致太陽電池陣因不能歸水平零位，而在變軌速度增量較大時可能造成損壞，使得整船能源系統(tǒng)嚴重故障，交會對接任務失敗。但是對零位傳感器故障模式進一步分析發(fā)現(xiàn)，該情況下地面可以根據(jù)太陽電池陣轉角、轉速以及發(fā)動機變軌時刻等信息修改飛行程序，預埋“太陽電池陣停控”指令，人工控制電池陣水平到零位。任務中，可在每次變軌前提前對零位傳感器的工作情況進行確認，若發(fā)生故障則啟用該預案。這樣在不增加飛船其他任何資源的情況下，即可有效地消除該單點故障模式。

3 結束語

本文提出的基于關鍵事件的系統(tǒng)級單點故障識別方法，充分結合了型號的FMEA、FTA工作，以飛行任務為對象，采用時域空域動態(tài)分析的方法識別影響任務的關鍵事件，從任務執(zhí)行的角度分析、識別出單點故障模式，并制定地面控制措施和在軌故障預案。該方法能夠覆蓋設備在不同飛行任務段的工作模式，動態(tài)識別單點故障模式并準確反映其對后續(xù)飛行程序/過程的影響，有助于全面識別型號系統(tǒng)級單點故障模式，降低任務風險，具有較強的工程應用價值。

（

）

[1]NHB 5300.4(1A-1) Reliability program requirements for aeronautical and space system contractors[S], 1987

[2]ESA PSS-01-30 Reliability assurance requirements for ESA space systems[S], 1992

[3]郭涇平, 朱北園, 程卓. 論衛(wèi)星 FMEA 工作應重點關注的若干問題[C]//第7屆國際可靠性、維修性、安全性學術會議集. 北京: 中國宇航學會, 2007: 1-7

[4]劉志全, 宮穎. 航天產品FMEA工作有效性的思考[J].航天器工程, 2011, 20(1): 142-146 Liu Zhiquan, Gong Ying. Consideration about the validity of aerospace product FMEA[J]. Spacecraft Engineering, 2011, 20(1): 142-146

[5]馬海峰. FMECA工程實踐中問題的探討[C]//航空可靠性工程進展暨可靠性工程專業(yè)委員會第9屆學術年會論文集. 井岡山: 中國航空學會, 2003: 155-159

[6]耿宏, 高秀蘋, 樊建梅. 故障樹在飛機故障診斷專家系統(tǒng)中的應用[J]. 中國民航學院學報, 2006, 24(5):46-48

Geng Hong, Gao Xiuping, Fan Jianmei. The application of FTA in fault diagnosis expert system[J]. Journal of Civil Aviation University of China, 2006, 24(5): 46-48

[7]高蕾, 杜宜東. 故障樹分析法程序研究[C]//2009核能行業(yè)可靠性維修（RCM）研討會論文集. 深圳: 中國核能行業(yè)協(xié)會, 2009: 227-231

[8]于瀟, 馬曉兵, 茍仲秋. 神舟飛船出艙活動故障模式和對策的設計與實踐[J]. 航天器工程, 2010, 19(6):56-60

Yu Xiao, Ma Xiaobing, Gou Zhongqiu. Failure mode and countermeasure design and implement for Shenzhou Spaceship’s extravehicular activity[J]. Spacecraft Engineering,2010, 19(6): 56-60

[9]王晶燕, 饒瑋, 孫澤洲. 嫦娥一號衛(wèi)星飛行事件的系統(tǒng)級FMEA[J]. 航天器工程, 2008, 17(2): 90-93

Wang Jingyan, Rao Wei, Sun Zezhou. System FMEA based on flying event of CE-1 orbiter[J]. Spacecraft Engineering, 2008, 17(2): 90-93

[10]尚志. 中國首次交會對接任務的技術成就和展望[J].航天器工程, 2011, 20(6): 11-15

Shang Zhi. Technology achievements and prospect of China first rendezvous and docking mission[J].Spacecraft Engineering, 2011, 20(6): 11-15

[11]馬曉兵, 黃震, 楊慶. 中國交會對接任務成就與展望[C]//第 64屆國際宇航大會. 北京: 國際宇航聯(lián)合會等, 2013

[12]張柏楠. 航天器交會對接任務分析與設計[M]. 北京:科學出版社, 2011: 1-3