張 華，馬玉環(huán)，龔凱翔，趙志明，李會萍

（1. 上海宇航系統(tǒng)工程研究所，上海，201109；2. 上海航天設(shè)備制造總廠有限公司，上海，200245）

0 引 言

運載火箭具有明確的工作時序，飛行過程工作往往涉及多個任務(wù)階段，不同階段各單機(jī)的任務(wù)、所處的環(huán)境、系統(tǒng)配置與組成可能不同、各單機(jī)的工作狀態(tài)也可能不同，這會造成在不同的任務(wù)階段，對各單機(jī)的性能與可靠性要求有所不同，而同一單機(jī)在不同階段出現(xiàn)故障所導(dǎo)致的系統(tǒng)影響也有所不同，這體現(xiàn)了運載火箭任務(wù)階段性的特征[1～3]。

因此有必要針對運載火箭多任務(wù)階段特點建立精細(xì)化的可靠性模型，為獲得更精確的可靠性評估結(jié)果奠定基礎(chǔ)。

1 現(xiàn)階段運載火箭可靠性建模方法

運載火箭產(chǎn)品普遍采用的可靠性框圖（Reliability Block Diagram，RBD）建模方法，RBD模型是由代表產(chǎn)品或功能的方框和連線組成，表示各組成部分的故障或者它們的組合如何導(dǎo)致產(chǎn)品故障的邏輯圖。數(shù)學(xué)模型用于表達(dá)可靠性框圖中各方框的可靠性與系統(tǒng)可靠性之間的函數(shù)關(guān)系[4]。

建立產(chǎn)品可靠性框圖的基礎(chǔ)是產(chǎn)品的原理圖。原理圖與可靠性框圖并不相同，原理圖反映了產(chǎn)品各組成單元之間的物理上的連接與組合關(guān)系，以及功能原理等，而可靠性框圖則是反映產(chǎn)品各組成單元之間的故障邏輯關(guān)系。

可靠性模型分為基本可靠性模型與任務(wù)可靠性模型兩類。基本可靠性模型是用以反映產(chǎn)品及其組成單元故障所引起的維修及保障要求。它可以作為度量維修保障人力與費用的一種模型[5,6]?；究煽啃阅Ｐ褪且粋€全串聯(lián)模型，即使存在冗余單元，也都按串聯(lián)處理。冗余單元越多，產(chǎn)品的基本可靠性越低。任務(wù)可靠性模型是用以度量產(chǎn)品在執(zhí)行任務(wù)過程中任務(wù)成功能力的一種可靠性模型。任務(wù)可靠性模型可能是一個復(fù)雜的串聯(lián)、并聯(lián)、表決、旁聯(lián)、橋聯(lián)等多種模型的組合。某運載火箭動力分系統(tǒng)飛行任務(wù)RBD模型示意如圖1所示。

圖1 某型火箭動力系統(tǒng)飛行任務(wù)RBD模型（部分）示意Fig.1 Reliability Model Part of Launch Vehicle

由圖1可以看出，該可靠性模型并沒有考慮任務(wù)過程多階段和動態(tài)變化、任務(wù)結(jié)果狀態(tài)多樣等問題，導(dǎo)致采用該模型得到的可靠度結(jié)果和考慮動態(tài)特性得到的可靠度差異較大，無法區(qū)分不同階段系統(tǒng)可靠性模型差異，為后續(xù)采取措施提供的信息量不夠。對于不同的后果事件，在型號任務(wù)中各自可接受概率應(yīng)是不同的，嚴(yán)重性越高的后果事件，其可接受的發(fā)生概率越低。將所有后果事件的發(fā)生概率累加在一起，再給出單一的可接受值，對于工程風(fēng)險管理而言是不充分的，也無法指導(dǎo)改進(jìn)決策[7]。

2 中國航天領(lǐng)域先進(jìn)可靠性建模技術(shù)現(xiàn)狀

中國航天領(lǐng)域?qū)ο冗M(jìn)的系統(tǒng)級建模技術(shù)和應(yīng)用也進(jìn)行了探索，包括：以運載火箭的故障檢測處理分系統(tǒng)為對象的基于故障樹故障概率計算和比較分析的可靠性建模與評估；針對載人飛船按照發(fā)射、在軌運行和返回著陸3個階段開展了針對“船毀人亡”事故的系統(tǒng)級可靠性建模與分析工作，建立了以故障樹為主的評估模型，驗證了載人飛船的安全性指標(biāo)要求；空間站對接機(jī)構(gòu)分系統(tǒng)按照“對接、組合飛行、分離”等任務(wù)過程，利用事件樹和故障樹建立較為完整的可靠性模型并進(jìn)行了不確定性分析。該項目評估得到交會對接任務(wù)可靠性，找出了系統(tǒng)的薄弱環(huán)節(jié)，并提出有針對性的風(fēng)險防控措施，是先進(jìn)的可靠性建模分析方法在航天工程中的一次有效應(yīng)用。這些探索性的研究工作，為運載火箭開展多階段、多任務(wù)建模與分析工作提供了很好的基礎(chǔ)。但以上工作還存在一些不足，比如，運載火箭領(lǐng)域僅建立了故障樹量化模型，尚未將故障樹與事件樹結(jié)合，需要進(jìn)一步提升運載火箭不同階段任務(wù)的可靠性模型精細(xì)化程度，提高可靠性建模分析工作對產(chǎn)品研制工作的支持能力。

3 基于多階段任務(wù)的可靠性建模技術(shù)

由于運載火箭產(chǎn)品具有多任務(wù)階段的復(fù)雜特性，運載火箭多任務(wù)階段的可靠性模型構(gòu)建技術(shù)將綜合應(yīng)用事件樹、故障樹等建模方法，準(zhǔn)確反映任務(wù)的時序性、系統(tǒng)的多態(tài)性、單元的相關(guān)性和復(fù)雜的不確定性關(guān)系。

3.1 基于飛行程序的事件樹建模技術(shù)

首先，根據(jù)運載火箭飛行任務(wù)要求確定后果狀態(tài)。隨后，通過火箭各系統(tǒng)的任務(wù)特點分析，確定初因事件。初因事件是事件樹模型的起點，而后果狀態(tài)是事件樹的終點。初因事件與后果狀態(tài)之間的事件稱為中間事件。在定義了后果、確定了初因事件之后，按照一定規(guī)則梳理中間事件，并完成了事件樹的建模。最后，通過事件樹模型所代表的邏輯關(guān)系與量化方法，計算每一個后果狀態(tài)的概率分布函數(shù)。

a）后果狀態(tài)定義方法。

后果狀態(tài)（Effects State，ES）是事件樹的終點，是初因事件和中間事件組合后得到的合乎邏輯的結(jié)果。后果狀態(tài)是可靠性評估的輸出，也是系統(tǒng)多態(tài)性的體現(xiàn)。多階段任務(wù)可靠性建模與設(shè)計評估的目標(biāo)之一就是對各后果狀態(tài)進(jìn)行量化，通過輸入基本事件的可靠性信息，獲得各后果狀態(tài)的發(fā)生概率（點估計或區(qū)間估計），通過后果狀態(tài)不同嚴(yán)酷度的分級以及發(fā)生可能性的量化，來實現(xiàn)不同嚴(yán)酷度等級后果狀態(tài)發(fā)生概率的計算。

此外，在多階段任務(wù)可靠性建模與設(shè)計評估工作中，通過定義嚴(yán)酷度不同的后果狀態(tài)，能夠反映星箭產(chǎn)品工作過程中可能出現(xiàn)的工作狀態(tài)，即系統(tǒng)的多態(tài)性。與只有成功和失敗兩種狀態(tài)相比，定義多種后果狀態(tài)還能夠反映產(chǎn)品降級工作狀態(tài)發(fā)生的可能性，使評估結(jié)果與實際產(chǎn)品更為貼近。

后果狀態(tài)的選擇，需要綜合考慮型號的特點與成功準(zhǔn)則。例如，對航天員的安全性進(jìn)行評估，可定義后果狀態(tài)為：“航天員傷亡”或“航天員疾病”等；若對特定任務(wù)進(jìn)行任務(wù)可靠性評估，如整流罩分離任務(wù)的可靠性評估，可將“任務(wù)失敗”或“任務(wù)降級”作為后果狀態(tài)；若對項目的成本風(fēng)險進(jìn)行評估，可以將“財產(chǎn)損失”作為后果狀態(tài)。針對不同的評估目標(biāo)與范圍，確定合理的后果狀態(tài)。

后果狀態(tài)的定義是一個迭代過程，隨著產(chǎn)品研制不斷推進(jìn)，設(shè)計信息與試驗數(shù)據(jù)不斷擴(kuò)充，對產(chǎn)品了解也不斷深入，后果狀態(tài)的定義也越來越合理、詳細(xì)。

b）初因事件確定方法。

初因事件（Initiating Event，IE）是事件樹的起點，在多階段任務(wù)可靠性建模中，初因事件一般為“任務(wù)啟動”，并且在分析過程中假設(shè)初因事件的發(fā)生概率為1，即初因事件必然發(fā)生。中間事件是在任務(wù)啟動后，隨著任務(wù)的執(zhí)行過程而逐項展開，每一個中間事件即為任務(wù)執(zhí)行過程中的一個步驟，通過判斷任務(wù)各個環(huán)節(jié)的成敗與否，得到不同的后果狀態(tài)。

初因事件確定與可靠性建模與評估對象的特點與可靠性評估的范圍有關(guān)，例如，對運載火箭系統(tǒng)進(jìn)行建模與評估，其初因事件可定義為“火箭點火”，即建模與評估的任務(wù)的范圍從火箭點火開始分析，地面的測試與推進(jìn)劑加注等并不包含在分析的范圍之內(nèi)。

c）事件樹建模方法。

事件樹模型是以初因事件為起點、以后果狀態(tài)為終點的一連串事件。其最上層是按順序列出可能影響事故進(jìn)程的一系列事件或任務(wù)發(fā)展的過程。事件樹建模是一個歸納過程，并通過為每一個初因事件構(gòu)建出一個事件樹模型。

事件樹是一系列帶有箭頭的方框圖，顯示了事件的發(fā)生順序。各方框均采用布爾運算，只有成功或故障兩種狀態(tài)，即系統(tǒng)不是成功就是失敗。在工程實際中是存在中間狀態(tài)的，系統(tǒng)可能部分成功、部分失效。目前的事件樹分析中，把系統(tǒng)的部分失效當(dāng)成全部失效，其結(jié)果是偏于保守的。

圖2中列出了一種事件樹模型，從初因事件I開始進(jìn)入這棵樹，分別經(jīng)過A、B、C 3個中間事件（如3個任務(wù)階段、3種產(chǎn)品等），到達(dá)后果狀態(tài)。經(jīng)過初因事件后，詢問產(chǎn)品A是否正常工作：在樹的分支點處，向上分支表示產(chǎn)品A成功，向下分支表示產(chǎn)品A失效。對B、C也有成功與失敗2個分支。每一條路徑代表著一種事故狀態(tài)，經(jīng)過不同的路徑，到達(dá)嚴(yán)酷度不同的后果狀態(tài)ESi（i=1，2，…，7）。

圖2 事件樹模型Fig.2 Element Tree Model

事件樹中的事件序號反映階段性，也就是說，排在后面的事件依賴于前面的事件。如果導(dǎo)致最嚴(yán)重后果狀態(tài)的事件較早出現(xiàn)在事件樹中，則可以簡化圖形結(jié)構(gòu)。同時，要仔細(xì)考察那些導(dǎo)致后果不太嚴(yán)重的事件。不能簡單地認(rèn)為若不導(dǎo)致嚴(yán)重后果狀態(tài)，該事件就是無足輕重的。

d）事件樹的量化方法。

事件樹中的每一條路徑均可用初因事件和相應(yīng)系統(tǒng)的成功和失敗來表示。如圖2所示，通過初因事件I，經(jīng)過中間事件A、B、C達(dá)到后果狀態(tài)ES。以ES4為例，該后果狀態(tài)的發(fā)生概率的計算公式為

式中P(ES4)為后果狀態(tài)ES4發(fā)生的概率；P(I)為初因事件發(fā)生概率；P(A|I)為在初因事件I發(fā)生的條件下，A成功的概率；為初因事件I發(fā)生、A成功的條件下B失敗的概率；為初因事件I發(fā)生、A成功、B失敗的條件下C失敗的概率。由此可以看出，每一后果狀態(tài)的發(fā)生概率為初因事件乘以每個分支點上的分支概率。

3.2 基于功能相關(guān)性的故障樹建模技術(shù)

對于事件樹中的初因事件和中間事件無法直接定量的情況，研究故障樹建模方法，以初因事件或中間事件為頂事件建立故障樹模型，實現(xiàn)這些事件“成功”或“故障/失效”的概率。例如，以“某初因事件失敗”或“中間事件失敗”為頂事件，通過層層分解，最終分解得到基本事件。因此，故障樹建立頂事件與基本事件的邏輯關(guān)系，這樣就能夠?qū)⒁猿跻蚴录蛑虚g事件來說明的事件樹，轉(zhuǎn)變?yōu)橐曰臼录碚f明的事件樹。此外，對于影響因素多且各因素之間存在相關(guān)性關(guān)系的事件，也可通過故障樹建模方法予以描述，以解決產(chǎn)品間的功能相關(guān)性問題。

故障樹采用一系列邏輯關(guān)系的圖形表示，既可以表達(dá)系統(tǒng)級的失效，也可以表示部件級失效，將“部件層次”的故障信息與“系統(tǒng)層次”的故障信息掛起鉤來，是實際系統(tǒng)故障組合和傳遞的邏輯關(guān)系的正確描述。

3.3 事件樹故障樹聯(lián)合精細(xì)化建模技術(shù)

為反映運載火箭任務(wù)的時序性、系統(tǒng)的多態(tài)性、單元的相關(guān)性和復(fù)雜的不確定性關(guān)系，需要綜合運用事件樹、故障樹等建模技術(shù)方法，建立多階段任務(wù)可靠性模型。事件樹與故障樹聯(lián)合精細(xì)化模型示意如圖3所示。

圖3 可靠性精細(xì)化模型示意Fig.3 Refined Reliability Model

4 某運載火箭子系統(tǒng)級可靠性精細(xì)化模型

運載火箭系統(tǒng)龐大、復(fù)雜，為更好說明可靠性精細(xì)化建模，本文選取某型火箭動力系統(tǒng)氧路增壓子系統(tǒng)開展精細(xì)化建模。

氧路增壓子系統(tǒng)是利用存在氣瓶中的惰性氣體進(jìn)入貯箱后，將推進(jìn)劑擠出貯箱，從而滿足發(fā)動機(jī)的入口壓力要求。

4.1 系統(tǒng)主要任務(wù)階段及關(guān)鍵事件梳理

常溫氦增壓系統(tǒng)在大多數(shù)火箭中都有應(yīng)用。利用貯存在高壓氣瓶中的氦氣，用壓力調(diào)節(jié)器（減壓器、穩(wěn)壓器）或節(jié)流圈把高壓氣體降低到一定壓力后進(jìn)入貯箱增壓，保障發(fā)動機(jī)入口所需要的最小壓力要求。常溫氦增壓系統(tǒng)根據(jù)貯箱增壓的需求，增壓氣體可以直接進(jìn)入貯箱增壓，也可以加熱后進(jìn)入貯箱增壓。系統(tǒng)主要由氣瓶、電磁閥、增壓組件（單路或多路減壓器、節(jié)流圈等增壓組件）、增壓管路等組成。優(yōu)點是系統(tǒng)可控性好，可多次增壓，控制精度高。缺點是增壓氣瓶需要占用單獨空間，系統(tǒng)單機(jī)較多，需要進(jìn)行冗余設(shè)計。

某型火箭增壓子系統(tǒng)飛行任務(wù)主要階段可用兩個任務(wù)階段概括說明：地面預(yù)增壓、飛行過程增壓。上述階段關(guān)鍵事件包括箭地氣路接口連接、氣路閥門打開、地面增壓控制；起飛箭地接口斷開、飛行氣路通斷控制等。

4.2 關(guān)鍵事件涉及產(chǎn)品梳理

a）地面預(yù)增壓階段。

預(yù)增壓系統(tǒng)是指地面氣源給箭上貯箱供氣，在火箭起飛前給貯箱提供一定的壓力，其主要目的是滿足發(fā)動機(jī)起動前結(jié)構(gòu)對貯箱的剛度需求和滿足發(fā)動機(jī)起動時對發(fā)動機(jī)入口的壓力需求。

根據(jù)預(yù)增壓階段子系統(tǒng)工作原理，氧路增壓子系統(tǒng)預(yù)增壓階段各關(guān)鍵事件涉及單機(jī)梳理情況列于表1。

表1 預(yù)增壓階段關(guān)鍵事件涉及單機(jī)梳理Tab.1 The Key Product in Pre-pressure Phase

b）飛行過程增壓階段。

飛行過程增壓是指火箭飛行過程中利用自身攜帶氣源或者液氧推進(jìn)劑經(jīng)發(fā)動機(jī)氣化/加溫后的氣體按照設(shè)定流量和壓力進(jìn)入貯箱，從而保證發(fā)動機(jī)入口壓力及貯箱剛度滿足火箭飛行要求。

根據(jù)動力系統(tǒng)氧增壓子系統(tǒng)飛行階段工作原理，本階段各關(guān)鍵事件涉及單機(jī)梳理情況如表2所示。

表2 飛行階段關(guān)鍵事件涉及單機(jī)梳理Tab.2 The Key Product in Flight Phase

4.3 運載火箭氧路增壓子系統(tǒng)精細(xì)化可靠性模型

本文針對某型運載火箭動力系統(tǒng)氧增壓子系統(tǒng)完成了任務(wù)階段的細(xì)分以及不同階段關(guān)鍵事件梳理，并將關(guān)鍵事件與涉及的單機(jī)掛鉤，完成了精細(xì)化模型中事件鏈及故障樹所需基本要素的梳理。

在此基礎(chǔ)上，根據(jù)上述要素完成精細(xì)化模型構(gòu)建。一般模型構(gòu)建可借助軟件，本文選取對象相對簡單，可手動構(gòu)建精細(xì)化模型。圖4、圖5給出了地面預(yù)增壓及飛行階段動力系統(tǒng)氧路增壓子系統(tǒng)的可靠性精細(xì)化模型。

圖4 地面預(yù)增壓階段動力系統(tǒng)氧路增壓子系統(tǒng)的可靠性精細(xì)化模型Fig.4 Refined Reliability Model for Oxygen Pressurization Feed System in Pre-pressure Phase

圖5 飛行階段動力系統(tǒng)氧路增壓子系統(tǒng)的可靠性精細(xì)化模型Fig.5 Refined Reliability Model for Oxygen Pressurization Feed System in Flight Phase

從圖4及圖5可清晰區(qū)分不同階段關(guān)鍵事件及所涉及單機(jī)的不同故障模式，且整個建模過程并未限定某一特定系統(tǒng)、未限定具體產(chǎn)品層級，精細(xì)化模型可根據(jù)實際需求具備進(jìn)一步分解細(xì)化的功能。

5 結(jié)束語

a）針對運載火箭動力系統(tǒng)氧增壓子系統(tǒng)構(gòu)建了聯(lián)合事件樹與故障樹的精細(xì)化模型，較傳統(tǒng)RBD模型可有效區(qū)分不同任務(wù)階段系統(tǒng)產(chǎn)品間的可靠性關(guān)系。

b）本文建立的精細(xì)化模型可用于型號、系統(tǒng)風(fēng)險與可靠性量化評估，在本文模型基礎(chǔ)上針對每一個底事件給出相應(yīng)故障發(fā)生的可能性，則借助不確定性傳播理論給出不同后果狀態(tài)的發(fā)生可能。