基于SysML 的载人航天故障模式分析及建模方法

胡云鹏 张亚男彭祺擘* 武新峰 叶东明 周建平

(1.中国载人航天工程办公室, 北京 100071; 2.中国人民解放军61623 部队,北京 100036;3.中国航天员科研训练中心, 北京 100094; 4.北京航空航天大学, 北京 100083)

1 引言

载人航天是一项十分复杂的系统工程。近年来,为解决各领域复杂系统设计、管理、论证评估的难题,系统工程从以文档为核心转向以模型为核心,形成了基于模型的系统工程(Model-Based System Engineering,MBSE)解决方案及相关的方法论[1]。

可靠性、安全性分析是载人航天工程的重要组成部分,关乎航天员的生命安全。以MBSE 为基础,近年来发展出了基于模型的可靠性系统工程理论,试图将六性设计融入到产品设计之中,解决可靠性设计“两张皮”的问题[2-4]。

故障模式分析是可靠性、安全性分析的重要环节。20 世纪中叶,航空、航天、汽车和电子等各大工程领域运用4F(功能危险分析(Functional Hazard Analysis, FHA),故障模式、影响及危害性分析(Failure Mode and Effect Analysis, FMEA),故障树分析(Fault Tree Analysis, FTA),故障报告、分析、纠正措施系统(Failure Report Analysis and Corrective Action System, FRACAS))技术来提高产品的可靠性、安全性[5]。但目前,数据的不畅通、利用率不高导致了可靠性、安全性分析的低效。基于模型的可靠性、安全性分析虽解决了这样的难题,但要想运用到一个复杂系统之中,必须要有一定的规范。

在诸多基于模型的可靠性、安全性分析技术中,如何定义故障模式是一个基础且重要的问题。故障模式区别于正常工作模式,在基于模型的系统设计中通常难以体现。一种常用的方式是用系统建模语言(Systems Modeling Language,SysML)的活动图、状态机图或时序图进行描述,当系统处于某一状态、无法执行某一活动,即定义为故障模式[6]。这种方式也被运用于美国的喷气与动力实验室基于统一建模语言(Unified Modeling Language, UML)开发的故障分析插件中,可以实现对系统故障、故障模式的自动诊断,自动进行FMEA 和FTA[7-9],类似的方法和插件在欧洲的工业界也得到开发和使用[10-11]。目前,相关的工具已成功运用到系统级的分析中,其功能还在不断完善。对象管理组织(Object Management Group,OMG)综合了在可靠性、安全性工程领域中形成的标准规范IEC-60812,61025[12-13],试图提出标准的扩展建议[14-15],并于2021 年1 月发布了基于SysML 的风险分析与评估建模语言(Risk Analysis and Assessment Modeling Language, RAAML)[16],为基于模型的可靠性、安全性分析提供了与SysML 同源的专用语言。达索公司基于RAAML,在2021 版的MagicDraw 软件中开发了FMEA 工具,提出了包含可靠性、安全性分析的MBSE 方法论[17]。

国内也开展了基于模型的FMEA 和FTA 构建方法的研究[18-19]。这些方法借鉴了目前的主流模式,先依靠SysML 构建系统模型,经过对故障、故障模式的定义后,再导入到专有软件中进行后续分析。

目前,在航天领域还没有一套相关建模规范,都在尝试和探索合适的基于模型的故障建模与分析方法。本文在现有方法的基础上,初步探索利用SysML 进行载人航天工程总体的故障模式分析及模型的构建。不同于达索公司的工具和方法论,根据RAAML 和SysML 扩展机制构建的基础模型更能满足本领域分析的需要,便于进一步开发、扩展,为完成更为复杂的可靠性、安全性分析打下基础。

2 基础模型的构建

SysML 本身具有局限性,无法对专有分析领域的概念进行明确、无歧义地描述和定义。但SysML 却具有很强的扩展性,基于SysML,通过继承、重定义等方式可以建立专用的分析模型。通过对可靠性、安全性分析领域概念、方法的抽象,建立与SysML 同源的模型,便可实现系统设计与可靠性和安全性分析的一体化,即在开展系统设计的同时进行故障模式分析,并进一步开展详细的可靠性和安全性分析。

2.1 基础模型构建的思路

基础模型在构建前首先要对领域知识进行抽象,这是一个从具体到一般的过程,有助于形成基础模型的基本结构。图1 为可靠性和安全性领域知识的抽象过程。最末端的是可靠性、安全性分析中通常使用的一些方法,例如FMEA、FTA。这些方法相互独立,但均使用了一些在可靠性、安全性领域定义的概念和术语,例如,FMEA、FTA 等都以故障、故障模式、后果等为基本要素进行表达。这些共性的知识能够抽象出来形成基础模型的一部分。此外,可靠性、安全性只是“六性”中的两部分,将“六性”所共有的知识抽象出来,便可进一步形成更为顶层的基础模型。

图1 基础模型概念的抽取Fig.1 Concept abstraction for basic model

在基础模型建立的过程中,使用了面向对象的建模思路,即采取了从一般到具体化的过程。OMG 所发布的RAAML 就包含了从一般到具体的三层基本结构。其目的是: ①使基础模型结构更清晰、管理更容易; ②充分利用SysML 的扩展机制和模型的继承能力,建模者在后续建模过程中,可以根据实际需求,在不同层增加对相关领域知识、概念的定义,易于实现对基础模型的改进。在每层模型中,为了实现对SysML 原本构造类型的重用和扩展,并方便使用者定义更多自己所需要的类型,分别设置了概况(Profile)和类型库(Library)。其中,Profile 是为了通过重用SysML来定义扩展的版型(stereotype),而Library 则是使用stereotype 定义用户期望的类型及关联关系。

2.2 基础模型元素

本文以RAAML 为主体,构建了基础模型。表1 列出了基础模型中所包含的基本元素(类和关联关系),模型视图详见文献[16],本文不再赘述。

在核心层模型中,为了能对普遍的工程问题进行描述,定义了状态或情况(Situation)这样的最为抽象的基础类型。例如,飞行器在某一时刻的状态、某个系统所需要完成的功能等都能由Situation 这一类型定义。同时,该类型也能够承载一些定量的属性,例如风险概率、特定的状态值、与需求相关的约束等。此外,也定义了一些在Situation 间能够实现状态转换的关联关系,例如,Violates 表示逻辑违反关系这一关联属性,同时本文也根据实际需要,增加LeadTo 来表达因果关系,如表1 所示。

表1 基础模型的元素Table 1 Components of basic model

在中层模型中,根据故障模式分析的需求,通过对上层模型的泛化,分别定义了便于故障传播逻辑构建、可靠性与安全性分析的模型,包括故障模式(FailureMode)、原因(Cause)、后果(Effect),以及表示对后果起到减缓关系的连接Mitigation。此外,为了初步开展风险评估,让FailureMode 承载了可检出度这一属性,用于表示故障模式的可检测性;让Cause 承载了发生度这一属性,表示其发生的概率等级;让Effect 承载了严酷程度这一属性,表示后果的危害性。

在应用层模型中,针对未来需要具体开展的分析方法进行基础模型的定义,例如FMEA 和FTA。其中,FMEA 的目的是为了生成FMEA 的条目,便于对全任务剖面的故障模式及其影响进行管理。因此,定义了表示FMEA 条目类型的FMEAItem 及其内在结构,同时为了表达故障模式对应的处置措施,增加了Measure 这一基本类型。

除此之外,为了初步地评估所有故障模式的风险等级,定义了风险系数(Risk Priority Number, RPN),若某一事件发生度为OCC、严酷程度为SEV、故障可检出度为DEC,则RPN为式(1):

RPN值越大表示该故障模式的综合风险越高,越需要被关注。为了使RPN的计算能够被定义的模型重用,通过构造FMEAItem 类型的参数图对RPN进行了定义[16],如图2 所示。每一个FMEA 条目可通过继承和重定义的手段实现其本身RPN 的快速计算。

图2 用参数图定义的RPN 计算方法Fig.2 Calculation of RPN defined by parametric diagram

基础模型并不是一成不变的,在后续工作的过程中,如果能够抽象出新的概念以便于分析建模的开展,可以进一步扩展基础模型,在不同层中增加相关类和关系的定义。基础模型的这种易扩展性使其能够适应不同领域分析建模的需要。

总结来看,基础模型是定义了一类进行可靠性、安全性分析的特有的基本模型,类似于SysML中的block(块)、activity(活动)等,这些定义的基础模型不但能够更加直观地表达系统的失效状态及与之相关的内容,便于模型的管理和阅读,而且还具有特殊的领域属性,便于进一步开展详细的可靠性和安全性分析。这些基础模型在使用过程中,其核心思想都是先通过SysML 的泛化关系继承基础模型中的属性,再通过重定义来将基础模型中抽象的属性有选择性地具体化。后续的建模分析过程都将基于所构建的这套模板展开,有利于形成规范化的建模分析方式。

3 基于功能的故障模式识别方法

载人航天为了实现预定的任务,确保航天员顺利返回,需要由多个系统协同完成,是十分复杂的系统工程。在顶层设计中,首要考虑的是如何能顺利完成相应的任务,为了完成这样的任务,需要哪些活动或功能才能实现,进而再考虑需要哪些系统共同支持来实现这些活动或功能。结合这样的特点,基于活动或功能的故障识别方法[3,20]更为适用。而基于结构的故障识别方法[3]更加适用于功能分解到系统以及产品层面。

3.1 系统层级划分及活动或功能的分解

以某次载人航天任务为例,任务可分解为:载人飞船发射场测试阶段、载人飞船发射进入近地轨道阶段、载人飞船近地轨道飞行阶段等[21],每个阶段都具有相对较高的独立性。为了进一步研究每个飞行阶段所面临的关键问题,需要再将其向下分解,得到支撑该飞行阶段的关键活动或功能。

例如针对载人飞船发射进入近地轨道这一阶段[22],通过活动图可以定义该阶段的关键功能(图3)。由此,可得到对整个任务功能的分解,如图4 所示,形成了一个典型的3 层树状结构。

图3 载人飞船发射进入近地轨道活动图Fig.3 Activities of launching manned spacecraft into the low earth orbit

图4 活动或功能的分解Fig.4 Decomposition of activity or function

3.2 故障模式的识别

通过活动或功能的分解可以发现,每一个飞行阶段中的每一个子活动或子功能的失效会导致该活动或功能本级失效,进而可能导致顶层任务的失败。通过识别这些故障模式,才能有针对性地对系统的设计进行改进,提高系统的可靠性,并设计对应的逃逸与应急救生方案来降低风险,以保证航天员的生命安全。

以前述的3 层结构为例,在底层中,每个活动表示了一种预定的动作或要完成的功能。通过例举该活动或功能的反面,就可识别出对应的故障模式。识别出的故障模式(用基础类型Failure Mode 定义)与原来的活动块之间的关系用定义的Violates 表示,如图5 所示。在一个3 层结构中,底层的故障模式可以作为上一层活动或功能的失效原因。因此,依据FMEA 方法,从最底层识别出的本层的故障模式出发,依次分析其对上层和最终任务的影响。

图5 故障模式的识别Fig.5 Identification of failure modes

值得注意的是,本文所使用的这种分析建模方法也为打通与其他系统的联系提供了接口。即识别出的底层故障模式可以往下开展自上至下的故障分析,例如主逻辑分析或故障树分析,查找引起该故障模式的下层原因。各系统也可以用FMEA开展自下至上的分析,得出系统级的故障模式。各系统可以将其传递到工程总体层面后,再进行迭代分析,最终形成完整的故障模式库和分析模型。因此,本文使用的故障模式分析及建模方法也为全面识别复杂系统故障模式打下基础。

4 故障模式分析模型的构建

故障建模分析的目的是: ①正向识别系统的故障模式,结合基础模型提供的模板,有利于分析、建模的规范性; ②形成故障模式库、影响后果库、逃逸和应急救生方案库,便于管理和模型重用; ③为未来全任务的可靠性、安全性分析打下基础。

4.1 FMEA 条目模型

如图5 所示,在识别出底层的故障模式后,它们将作为上一层故障模式的原因,通过开展自底向上的FMEA,得到其对上层系统的影响。因此,针对每一个底层的故障模式,都将对应一个FMEA 条目,包括原因、故障模式、后果、处置措施(逃逸与应急救生方案)。

图6 给出了载人飞船发射进入近地轨道段所识别出故障模式的FMEA 条目模型。例如,对于运载火箭芯级发动机推力下降或丧失,在载人飞船发射进入近地轨道这一阶段表现出的故障模式可以概括为运载火箭一级飞行弹道偏离预定弹道。在本飞行阶段将会导致运载火箭无法进入预定轨道,如果不进行任何处置措施,最终会导致任务的失败和航天员的伤亡。因此,在图6 中,芯级发动机推力下降或丧失继承了定义的Cause 的属性,而为了表示其影响,分别定义了对上层系统和最终任务的影响后果,它们都继承了所定义的Effect 的属性。

为了将故障模式与逃逸与应急救生方案联系起来,也将与该故障模式对应的处置措施(用活动图定义)囊括在每个FMEA 条目之中,与故障模式之间的关系用已定义的Mitigation,同时增加完成处置措施后得到的最终后果(Mitigation Effect)。通过增加这些要素,可以得到从故障模式发生到其影响的完整条目,同时形成故障模式与其处置措施的关联关系,便于以后进一步开展设计和分析。

至此,通过对所识别的每一个底层故障模式构建的FMEA 条目(图7),便可建立起整个系统的故障模式库、后果库、逃逸与应急救生策略库,以及它们之间的关联关系(用LeadTo 定义)。最终可以得到图8 所示的FMEA 条目化结果,包含了传统FMEA 表中的关键要素。载人航天任务包含多个飞行阶段,每个阶段得到的模型与图6至图8 类似,此处不再赘述。

图6 用BDD 建立的载人飞船发射进入近地轨道段的FMEA 条目Fig.6 FMEA item models for the phase of launching manned spacecraft into low earth orbit with BDD

图7 载人飞船发射进入近地轨道段故障模式分析及建模Fig.7 Failure analysis and modeling for the phase of launching manned spacecraft into low earth orbit

图8 FMEA 条目化结果Fig.8 Results of FMEA items

4.2 风险分析

根据第2 节对RPN计算方法的定义,每个FMEA 条目模型都可通过重用图2 所示的参数图初步地综合评估各故障模式带来的风险。

定义载人航天任务中5 种互斥的后果,并参考文献[23]中对卫星故障严酷度定义的方式,按照后果的影响程度,其严酷程度及相关说明如表2 所示。图6 中继承了FailureMode 类型的故障模式承载了可检出度这一属性。如果故障难以发现,就无法发送处置指令,从而直接导致任务的失败。在本文所述的故障模式分析中,假定所识别出的故障模式均能被检测到,因此可检出度均赋值为1。图6 中继承了Cause 类型的故障模式承载了发生度这一属性。作为任务层的底层故障模式,该模块也是连接其与各系统分析结果的桥梁,一般任务层底层的故障模式的发生率由各系统通过计算给出。发生度通常根据发生概率的范围赋值,根据文献[24],本文假定所识别故障模式发生概率及其发生度的赋值情况如表3 所示。

表3 故障发生度定义Table 3 Definition of fault occurrence degree

在完成相关值属性的定义后,通过调用图2所示的参数图,便可得到所有底层故障模式对应的RPN值,如图9 所示。通过对比RPN值的大小,便可初步判定本层级故障模式的重要性。例如,本文给出的示例中,芯级发动机推力丧失或下降的RPN值最大,因此该故障模式最应值得关注。

图9 RPN 计算结果Fig.9 Results of RPN calculation

5 讨论

基于模型的故障模式分析是开展详细的任务可靠性、安全性分析的前序步骤。因此,将故障模式分析相关的内容通过基础模型明确地、无歧义地定义出来,能够有效为后续开展基于模型的可靠性、安全性定量分析提供必要的信息。

作为基于模型的载人航天任务可靠性、安全性分析的第一步,本文将RAAML 应用到故障模式的分析建模中。虽然,达索公司已经在其2021版的MagicDraw 软件中开发了FMEA 的工具,使得分析建模更为高效,但从基于RAAML 和SysML 扩展的模型出发,进行分析及建模的好处在于:

1) 便于扩展。复杂系统可靠性、安全性分析不只涉及FMEA、FTA,可能还需要更为复杂的分析方法。利用基础模型的扩展性,能够结合领域特色,得到满足分析需求的模型。

2) 便于定制化开发。基于模型的可靠性、安全性自动分析能够极大提升效率,而开发自动分析工具的基础就是通过专用领域语言定义的模型。因此,本文所使用的基础模型和构建的故障模式分析模型是未来自动生成故障传播逻辑,开展基于模型的可靠性、安全性自动分析的基础。

6 结论

论文基于SysML 的扩展机制,将基于模型的故障模式分析方法在载人航天任务的设计中进行了初步应用,得到以下结论:

1) 基于SysML 扩展机制定义的基础模型和本文所提出的建模方法为开展故障模式分析及建模提供了一套模板,SysML 扩展的基础模型也是未来开展基于模型的可靠性、安全性分析的基础。

2) 基于活动、功能的故障模式识别方法是在进行系统设计的同时,得到的系统故障模式。结合基础模型,该方法能够使系统设计与故障模式分析并行,提高系统设计分析的效率。

3) 所建立的故障分析模型可以进一步得到各个层级的故障模式库、后果库、逃逸与应急救生方案库,便于管理和重用,通过RPN 值的计算,也可以初步评估故障模式的风险水平。

本文为未来通过插件或其他手段开展基于模型的任务可靠性、安全性自动分析打下基础。未来需开展如下工作:

1) 结合可靠性安全性分析需求,开展层次式故障分析方法研究,探索能够基于模型全面识别复杂系统故障、故障模式的方法;

2) 基于所建立的模型,进一步探索故障树、事件树的自动生成方法,并开展数值计算。