程 卓 遇 今 郭涇平 郭振偉

(1 北京空間飛行器總體設(shè)計(jì)部,北京100094)

(2 中國空間技術(shù)研究院,北京100094)

(3 航天恒星科技有限公司,北京100086)

1 引言

共因失效表現(xiàn)為多個(gè)冗余部件由于共同的原因在同時(shí)或在一段短時(shí)間間隔內(nèi)相繼發(fā)生失效。共因失效分析(CCFA)是對(duì)共因失效進(jìn)行定性和定量分析,用于檢驗(yàn)系統(tǒng)、部件之間是否滿足獨(dú)立性要求,分析共因失效條件下系統(tǒng)失效的概率。共因失效定性分析方法可通過典型共因失效檢查單等方式識(shí)別系統(tǒng)中的共因事件薄弱環(huán)節(jié),定量分析以定性分析為基礎(chǔ),通過邏輯建模、參數(shù)模型和數(shù)據(jù)分析等方法計(jì)算共因失效導(dǎo)致的系統(tǒng)失效概率。

國際上各工業(yè)領(lǐng)域?qū)惨蚴У恼J(rèn)識(shí)逐步加深,美國國家航空航天局(NASA)在開展概率風(fēng)險(xiǎn)評(píng)價(jià)(PRA)的程序文件[1]中明確要求要考慮共因失效,包括定性和定量分析要求,防止低估風(fēng)險(xiǎn)。核電領(lǐng)域一直重視共因失效的處理,已形成了相應(yīng)的標(biāo)準(zhǔn)規(guī)范[2]。歐洲空間標(biāo)準(zhǔn)化合作組織發(fā)布的標(biāo)準(zhǔn)ECSS-S-ST-00-01《術(shù)語》[3]也對(duì)共因失效進(jìn)行了定義,并在可信性要求中給出了共因檢查單。

國內(nèi)目前在分析與預(yù)防共因失效方面開展的相應(yīng)研究,如:清華大學(xué)等結(jié)合核電站的需求開展過共因失效相關(guān)技術(shù)研究,并出版了著作[4]來論述如何計(jì)算共因失效的概率;上海核工程研究設(shè)計(jì)院仇永萍等[5]介紹了在核電廠系統(tǒng)可靠性分析和概率安全評(píng)價(jià)中應(yīng)用整合部分法(UPM)等共因失效分析方法。但是,在航天器領(lǐng)域關(guān)于共因失效的標(biāo)準(zhǔn)定義和分析的程序方法并沒有建立起來,僅在目前應(yīng)用的GJB 451A-2005《可靠性維修性保障性術(shù)語》[6]中對(duì)共因失效進(jìn)行了定義,但在GB/T 3187-94《可靠性、維修性術(shù)語》[7]和其他行業(yè)標(biāo)準(zhǔn)中均未對(duì)共因失效進(jìn)行定義。但實(shí)際上,在冗余結(jié)構(gòu)中使用相同的單元已經(jīng)成為提高航天器可靠性常見的策略,冗余單元的相似性造成的耦合因素經(jīng)常出現(xiàn)在這種冗余結(jié)構(gòu)中,容易導(dǎo)致共因失效事件。

2 共因失效案例

共因失效廣泛存在于航天器、核電站和飛機(jī)等復(fù)雜系統(tǒng)中。下文是美國在航空、航天及核工業(yè)領(lǐng)域發(fā)生的典型共因失效事件案例[1]:

1)航天領(lǐng)域

(1)無水肼泄露導(dǎo)致航天飛機(jī)第9次飛行任務(wù)(STS-9)上的兩個(gè)輔助動(dòng)力系統(tǒng)爆炸;

(2)當(dāng)一根電纜發(fā)生短路后,在兩個(gè)獨(dú)立的發(fā)動(dòng)機(jī)上的兩個(gè)航天飛機(jī)主發(fā)動(dòng)機(jī)的控制器均失效;

(3)兩個(gè)O 形圈失效,導(dǎo)致航天飛機(jī)第25次飛行任務(wù)(STS-51-L)的一個(gè)固體火箭助推器中高溫氣體滲漏。

2)航空領(lǐng)域

(1)飛機(jī)多個(gè)引擎故障(如1988年?？?Fokker)F27;1992年波音(Boeing)747);

(2)美國道格拉斯公司的DC-10 飛機(jī)的2 號(hào)引擎失效導(dǎo)致3個(gè)液壓系統(tǒng)均失效(1989年)。

3)核電領(lǐng)域

(1)三哩島核電廠三個(gè)冗余的輔助水回路泵均失效;

(2)兩個(gè)冗余電路板由于技術(shù)人員更換鄰近的部件產(chǎn)生靜電沖擊造成失效;

(3)工人在核電廠內(nèi)泵電機(jī)附近放置梯子粉刷天花板時(shí)突然切斷兩個(gè)冗余的泵;

(4)維修人員錯(cuò)誤地將潤滑劑加入幾個(gè)冗余閥的電機(jī)繞組中,導(dǎo)致所有閥都不能工作;

(5)從新的供貨方購買的小電機(jī)導(dǎo)致4個(gè)冗余的冷卻風(fēng)扇失效;

(6)單向閥被裝反,阻斷2個(gè)冗余回路的流動(dòng)。

我國航天器在軌發(fā)生的共因失效案例:如某航天器控制計(jì)算機(jī)主份在軌失效,切到備份也同樣失效,導(dǎo)致航天器最終失去控制;某航天器冗余電子設(shè)備主份和備份之間供電電源不獨(dú)立,電源失效后導(dǎo)致冗余系統(tǒng)共因失效。

綜上表明,不能及時(shí)、全面地識(shí)別出共因失效,會(huì)低估系統(tǒng)中存在的風(fēng)險(xiǎn),可能導(dǎo)致嚴(yán)重后果。

3 航天器共因失效定性分析及預(yù)防方法探討

航天器中冗余策略一般有兩種:一種是利用相同設(shè)備進(jìn)行冗余,另一種是利用不同的方式實(shí)現(xiàn)同一功能。第二種能有效防止共因失效事件的發(fā)生,而第一種則容易發(fā)生共因失效。

航天器共因失效定性分析的有效途徑是按工作指南或檢查單逐一分析、篩選,得出共因失效單元組(CCCG s),據(jù)此建立至單元層次的系統(tǒng)故障樹(FT),再進(jìn)一步分析得出共因基本事件(CCBEs),并引入到擴(kuò)展的故障樹中[1]。共因失效的原因一般與單個(gè)獨(dú)立失效的原因沒有區(qū)別,耦合因素是區(qū)分單個(gè)和多重失效事件的真正因素,可從以下幾個(gè)方面進(jìn)行分析:

1)相同的設(shè)計(jì);

2)相同的硬件;

3)相同的功能;

4)相同的安裝、維護(hù)和操作人員;

5)相同的程序;

6)相同的系統(tǒng)/部件接口;

7)相同的位置;

8)相同的環(huán)境。

按上述因素進(jìn)行分析后可得到共因失效單元組,這個(gè)過程一般可以通過工作指南或檢查單等形式完成。設(shè)計(jì)過程中可參照航天器預(yù)防共因失效設(shè)計(jì)指南(見表1[8]),防止將共因失效引入系統(tǒng)中,確保風(fēng)險(xiǎn)或代價(jià)最小。設(shè)計(jì)過程中或設(shè)計(jì)初步完成后,還可以利用共因失效檢查單(見表2[9])進(jìn)行復(fù)查,便于及早識(shí)別共因失效薄弱環(huán)節(jié)并控制風(fēng)險(xiǎn)。

表1 航天器系統(tǒng)預(yù)防共因失效設(shè)計(jì)指南Table1 Guide to prevent spacecraft system common cause failure

4 航天器共因失效定量分析方法探討

共因失效定量分析主要計(jì)算共因失效的概率,共因失效的概率計(jì)算是比較復(fù)雜的,有一種分類方法將其分為顯式直接計(jì)算法和隱式間接計(jì)算法,前者目前國內(nèi)外比較多采用的方法有β 因子法、雙因子法、希臘字母法(MGL 法)、UPM 法等;后者是利用馬爾可夫理論來處理事件之間的關(guān)聯(lián)關(guān)系,其中β 因子法最為常用。文獻(xiàn)[1]詳細(xì)闡述了航天器實(shí)施PRA過程中對(duì)于共因失效事件的定量分析內(nèi)容,包括初步定量分析和詳細(xì)定量分析兩個(gè)階段,簡要介紹如下。

4.1 初步定量分析

初步定量分析采用相對(duì)保守的分析方法,首先修訂單元層次的故障樹模型,明確表示出每個(gè)共因失效單元組中每個(gè)單元內(nèi)最多的共因失效事件。然后計(jì)算故障樹的最小割集,一般在大型系統(tǒng)模型和事件序列中要對(duì)割集失效概率進(jìn)行截?cái)?獨(dú)立失效事件往往因其概率值小而被截?cái)?而共因失效事件保留下來。這時(shí)共因基本事件的失效概率數(shù)值通過能值“g”與單元的總失效概率來表示,如由A、B、C 3個(gè)單元組成的共因失效單元組,共因基本事件的概率用簡單全參數(shù)模型表示:

其中P(A)是單元總失效概率。典型的能值g的取值范圍在0.05～0.10 之間。

4.2 詳細(xì)定量分析

詳細(xì)的定量分析方法推薦采用α因素模型法,該方法具有如下優(yōu)點(diǎn):

1)是一個(gè)多參數(shù)模型,可以處理任何冗余層次;

2)是基于失效率比值的,當(dāng)無統(tǒng)計(jì)數(shù)據(jù)可用時(shí)使其參數(shù)評(píng)估更容易;

3)有一個(gè)簡單的統(tǒng)計(jì)模型;

4)相比其他擁有上述特點(diǎn)的參數(shù)模型,能給出更準(zhǔn)確的點(diǎn)估計(jì)值和不確定性分布。

α因素模型用到的參數(shù)有:

Qt—每個(gè)單元由于所有獨(dú)立的和共因事件導(dǎo)致的總失效頻率;

αk—在系統(tǒng)中發(fā)生由于一個(gè)共同原因?qū)е耴個(gè)單元失效的總頻率的分量;

αt—在系統(tǒng)中發(fā)生由于一個(gè)共同原因?qū)е滤袉卧У目傤l率的分量。

利用這些參數(shù),依據(jù)有關(guān)系統(tǒng)冗余檢測(cè)方式的假設(shè),由m個(gè)單元構(gòu)成的系統(tǒng)中涉及k個(gè)單元失效的共因基本事件的頻率如下:

對(duì)于交錯(cuò)檢測(cè)方案

對(duì)于同時(shí)檢測(cè)方案

其中

文獻(xiàn)[1]給出了3 取2表決模型按上述方法進(jìn)行計(jì)算的例子以及參數(shù)估計(jì)方法,本文不再詳述。

5 結(jié)束語

本文對(duì)航天器共因失效分析和預(yù)防方法進(jìn)行了初步探討,通過研究國內(nèi)外航天器和核電站領(lǐng)域?qū)惨蚴У恼J(rèn)識(shí)和控制,我國航天器在共因失效的分析和預(yù)防方面還需深入。航天器設(shè)計(jì)師在設(shè)計(jì)過程中應(yīng)考慮常見的共因失效耦合因素,有效防止共因失效事件的發(fā)生,同時(shí)應(yīng)加強(qiáng)對(duì)共因失效分析與預(yù)防技術(shù)的研究。

References)

[1]Michael Stamatelatos.Probabilistic risk assessment procedures guide for NASAmanagers and practictioners[Z].NASA.Version1.1.2002,8

[2]Mosleh A.Procedures for treating common cause failures in safety and reliability studies[C]// U.S.Nuclear Regulatory Commission and Electric Power Research Institute,NUREG-CR-4780,and EPRI NP-5613.Volumes 1 and 2,1988

[3]ECSS.ECSSS-ST0001 Glossary of terms[S].The Netherlands:ECSS Secretariat,ESA-ESTEC Requirements &S tandards Division,Noordwijk,2008

[4]黃祥瑞.可靠性工程[M].清華大學(xué)出版社,1990:173-189

[5]仇永萍,宋明海.UPM 共因失效分析方法在系統(tǒng)可靠性分析中的應(yīng)用[J].可靠性論文,2004(S0):32-39

[6]宋太亮.GJB 451A-2005可靠性維修性保障性術(shù)語[S].總裝備部軍標(biāo)出版發(fā)行部出版,2005,9

[7]機(jī)械電子工業(yè)部第五研究所.GB/T 3187-94可靠性、維修性術(shù)語[S].國家技術(shù)監(jiān)督局,1994

[8]Peter J,Ali M.Dependent-failures in spacecraft:root cause,coupling factors,defenses,and design implications[C]// Proceeding Annual Reliability and Maintainbility Symposium,1995

[9]ECSS.ECSS-Q-S T-30C Space product assurance-Dependability[S].The Netherlands:ECSS Secretariat,ESA-EST EC Requirements & Standards Division,Noordwijk,2009,3