概率风险评估在航天试验地面支持系统风险评估中的应用

概率风险评估在航天试验地面支持系统风险评估中的应用

段永胜1，赵继广2，王亚琦1，郝家杰1

(1. 装备学院 航天装备系，北京 101416；2. 装备学院 装备发展战略研究所，北京 101416)

摘要航天试验地面支持系统具有结构复杂、状态转换频繁、人机交互过程密切的特点，为实现系统的风险量化评估，将概率风险评估(PRA)方法应用于航天试验地面支持系统风险评估。阐述了PRA方法特点及其应用现状，给出了定量化风险评估流程，以航天试验导弹吊装系统风险评估为例进行分析，评估结果验证了该方法的可行性和有效性。

关键词概率风险评估；航天试验；风险；地面支持系统

收稿日期2014-10-30

基金项目部委级资助项目

作者简介段永胜(1987-)，男，博士研究生，主要研究方向为航天任务总体。

中图分类号TB114

文章编号2095-3828(2015)05-0120-07

DOI文献标志码A 10.3783/j.issn.2095-3828.2015.05.026

Application of Probabilistic Risk Assessment on

Launch Test Ground Support System

DUAN Yongsheng1，ZHAO Jiguang2，WANG Yaqi1,HAO Jiajie1

(1. Department of Space Equipment, Equipment Academy, Beijing 101416, China;

2. Equipment Development Strategy Research Institute , Equipment Academy, Beijing 101416, China)

AbstractConsidering the complexity of the ground supporting system, as well as frequent state transition and closely human-machine interaction, this paper applies the probabilisitc risk assessment (PRA) to risk assessment of the ground support system. The paper discusses the PRA method and its application situation and presents the risk assessment flow. Taking the missile hoisting mission at launch site for example, the paper verifies feasibility and effectiveness of PRA. The evaluation result shows the practicability and effectiveness of this method.

Keywordsprobabilistic risk assessment (PRA); launch test; risk; ground support system

航天试验任务地面支持系统具有非标性、复杂性，以及人员参与密切等特性，各参试系统结构复杂、故障模式较多，传统FTA(Fault Tree Anaylsis)、FMEA(Failure Mode and Effects Analysis)等风险分析手段难以有效量化其风险值。为实现对航天试验地面设施设备的定量化风险评估，寻求一种有效可行的风险评估手段具有很强的现实意义。概率风险评估(PRA)[1]方法是一种定性和定量相结合的安全风险评估方法，以风险事故场景演变为建模依据，通过事件树和故障树相结合的手段实现风险的不确定性传播。另外，该方法可弥补工程中广泛使用的FMEA以定性分析为主，无法描述风险事故中间态势演变过程的缺陷[2]。

1PRA发展及应用分析

20世纪60年代，NASA首次尝试采用概率计算方法对“阿波罗”项目进行概率和可靠性风险值计算，后来因计算风险值很低，概率评估方法被NASA放弃转而采用FMEA分析方法[3-4]。此时，风险分析人员只关注事故发生的概率，并没有将事故发生概率值与风险后果相结合[5]。直到1975年，WASH-1400报告问世后，以事件树和故障树相结合的概率风险评估方法逐步成熟，同时将事故概率值与风险后果综合考虑，形成目前各行业普遍使用的概率风险评估(PRA)方法[6]。近年来，特别是20世纪80年代“挑战者号”失事，NASA重新认识到概率风险评估的重要性，花费大量的人力物力将PRA在航天领域推广和研究。欧空局(ESA)与NASA紧密合作，将PRA技术用于载人或无人的航天器风险评估[7]。

相比传统风险分析方法，PRA是一种集风险辨识、风险建模与风险量化于一体的综合安全风险分析方法。另外，PRA方法易于工程技术人员理解和掌握，应用推广价值高。我国在航天领域对PRA的研究处于理论探索和框架构建阶段。1999年，顾基发等人最先尝试将PRA方法应用于航天领域的系统评估[8]；2000年，赵艳丽等人尝试将PRA应用于某型火箭系统安全性分析[9]。以上学者给出了方法的实施框架，并没有进行完整的应用实例分析。另外，箭上系统与航天试验地面支持系统存在较大差异，后者存在频繁人机交互操作、结构高复杂性和风险因素众多等特性。本文首次尝试将PRA应用于航天发射试验地面支持系统安全风险分析。

2方法流程

PRA是一项综合性风险分析方法，包含风险辨识、风险建模、失效数据分析以及风险后果定义，实施过程可借助于传统安全风险分析结果，如FMEA报告、危险分析报告、可靠性安全性分析报告、现场试验数据、通用或专家数据等。PRA分析流程图如图1所示，包括9个步骤，根据不同的分析对象可灵活应用。

图1　PRA实施流程图

图1各步骤说明如下：

1) 定义目标和范围，定义安全风险评估目标和不期望事故后果状态，划定风险评估范围、系统故障和事件链分析详细程度。

2) 熟悉系统，安全评估专家熟悉系统运行过程，包括系统配置、组成功能以及系统正常运行的成功准则。可参考技术文件包括系统设计手册、系统运行维护手册、以及事故应急手册等，通过熟悉系统这一环节可为初因事件(Initial Event，IE)选取、系统故障建模提供依据。

3) 初因事件选取，依据工程经验和可靠性安全性分析报告，提取引起不期望事故的扰动或风险因子，包括系统内部扰动、外部扰动以及人因事故。

4) 事件链建模，借助ESD(Event Sequence Diagram)分析方法，以初因事件为起始点按照事故进程反复推演，直到不期望事故后果状态为止。

5) 故障建模，采用故障树、动态故障树或贝叶斯网络等建模手段，建立系统故障模型。

6) 数据收集与分析，收集、处理和分析系统内部失效数据、人因可靠性数据以及共因失效数据；可靠性数据作为PRA分析的基础和核心，直接影响评估结果的可信度和有效性。

7) 模型量化与集成，模型量化与集成借助专业PRA分析软件完成，通常采用故障树与事件树联解的方式，得到定性和定量分析结果。

8) 不确定性分析，分析风险量化评估结果的可信程度，包括基本事件的不确定性和敏感性分析，为风险决策提供参考依据。

9) 重要度排序和结果分析，依据重要度计算方法，确定出支配性基本事件和支配性最小割集，采用降序排序，找出风险薄弱环节。

3实例分析

本文以航天试验地面导弹吊装系统风险评估为例，进行PRA应用研究，失效数据参考航天发射场少量现场数据和国际行业标准数据库数据[10]。

3.1系统及任务分析

3.1.1系统分析

某型防爆式桥式吊装系统由大车、小车、机械支撑结构等子系统组成，其中小车由主起升机构、小车运行机构、小车安全制动器、小车机械架构等部件组成；大车由桥架机构、大车运行机构、封闭式司机室、电缆滑车等组成。系统原理图如图2所示。

图2　吊装系统原理结构图

主起升机构：主起升机构通过互为备份的两变频器与控制电机带动减速器转动，减速器依次与滑轮、钢丝绳、吊钩和负重箭体连接。主起升机构采用双制动器工作模式，二者为并联结构，两工作制动均失效后启动安全制动器。

大车、小车运行机构：大车、小车运行机构通过各自的主变频器带动电机工作，二者共用1台备用变频器。2台电机采用独立控制方式，各自均有1台制动器。小车由1台电机和1台制动器驱动控制。

电气控制部分：电气控制部分主要包括PLC(Programmable Logic Controller)控制部分，包括PLC主站、主钩PLC、大车PLC、小车PLC、PLC从站。

安全保护装置：安全装置包括电机失速保护机构、自动锁紧、过载保护机构、限位机构、电机温度报警机构、紧急停机机构，确保吊装过程产品、人员、设备的安全。

3.1.2任务过程分析

依据吊装系统失效模式的不同，将整个导弹吊装任务过程分为上升、平移和下降3个阶段。若上升或下降阶段发生丧失动力事故，2台工作制动器进行工作制动，若2台工作制动器同时失效，则采取紧急停机制动动作，启动安全制动。平移过程起升电机不工作，只有工作制动器工作，当工作制动器失效时，与上述情况相同，安全制动器启动工作。

确定整个吊装任务成功准则有2个，即：吊装过程中不发生弹体溜钩事故；吊装过程中不发生弹体跌落事故。

3.2初因事件选取

本文采用历史数据和专家判断的方法选取初因事件。结合工业吊装事故以及航天领域专家的工程经验判断，建立弹体吊装跌落主逻辑图(Master Logic Diagram，MLD)，吊装跌落MLD如图3所示。

图3　吊装跌落MLD

考虑到整个吊装任务过程的阶段特性，且各阶段系统失效模式各不相同，将初因事件分为3类：起升机构动力丧失类、制动失效类与结构组件断裂类。

结构组件断裂失效涉及整个吊装任务阶段(上升、平移与下降)，失效模式包括钢丝绳断裂、吊钩断裂、横梁断裂、滑轮断裂和吊耳断裂。

起升机构动力丧失涉及2个任务阶段(上升与下降阶段)，失效模式包括起升电机丧失动力、高速传动机构失效以及低速传动机构失效。

制动器失效包括整个吊装任务阶段，失效模式包括工作制动器失效和小车制动器失效，其中小车制动器失效只考虑平移阶段。

初因事件编码参照核工业分段式编码规则，即系统或部件-失效模式-任务阶段。吊装跌落初因事件清单如表1所示，失效数据来源工业参考数据。

表1　吊装跌落初因事件列表

3.3事件链建模

以引起弹体吊装跌落初因事件为起始，建立事故场景事件链模型。建模过程中，对初因事件采取包络的分析方法，将事故进程相似初因事件进行合并处理，如将起升电机、高速和低速传动机构失效合并为一个事件树模型中，这样可以大大节省建模和计算时间开销。起升机构上升阶段动力丧失事件树模型由24条事件序列构成，2种后果状态，分别为吊装跌落(ET-FALL)和安全制动成功(ET-BRAKING-S)。软件使用专业概率风险分析软件——RiskA。

3.4故障建模

故障树建模采用演绎和工程判断相结合的方法，当系统故障模式复杂且具有时序特性时，通常采用动态故障树或贝叶斯网络来构建事故模型。吊装系统安全制动器上升阶段失效故障树模型如图4所示。

图4　安全制动器失效故障树模型

3.5重要度分析

重要度分析旨在确定吊装跌落状态发生的总概率、各初因事件分别导致的吊装跌落概率以及系统不可用度中各贡献者的重要性，包括初因事件、共因失效、人员操作失误等重要性。本文重要度分析采用FV(Fussel-vesely)重要度、风险增加因子(Risk Achievemetn Worth,RAW)和风险减少因子(Risk Reduction Worth,RRW)。以上3种重要度的定义如下：

1) 基本事件FV：最小割集中包含基本事件i的顶事件不可用度QTOP(Mi)与顶事件不可用度QTOP之比。

(1)

2) 风险增加因子(RAW)：基本事件i的不可用度设为1，从而使总的不可用度增加的倍数。

(2)

3) 风险减少因子(RRW)：基本事件i的不可用度设为0，从而使总的不可用度概率降低的倍数。

(3)

考虑到初因事件发生频率无上界，在此不分析风险增加因子(RAW)重要度，吊装系统动力丧失初因事件FV重要度和RRW重要度如表2所示。

表2　动力丧失初因事件重要度

由表2可以看出，高、低速传动机构的FV重要度相对于起升电机FV重要度高出51%，相对于RRW重要度高出20%。

3.6敏感性分析

进行敏感性分析时，敏感性因子F通常设为10。FHDF-U为初因事件发生频率扩大F倍时吊装跌落概率；fHDF-L为初因事件发生频率缩小F倍时吊装跌落频率；敏感度S为fHDF-U和fHDF-L的比值，其计算公式如下(取敏感性因子F=10)：

(4)

根据式(4)，以动力丧失初因事件敏感性分析为例，计算出动力丧失类初因事件的敏感度，如表3所示。

表3　动力丧失初因事件敏感度

由表3可以看出，高、低速传动机构的敏感度相对于起升电机敏感度高出170%，计算结果与实际系统相符。从实际系统构成分析可知，传动机构失效防御措施少于电机失效的防御措施，如低速传动机构失效后，工作制动已起不到任何预防作用。

3.7不确定性分析

通过对吊装系统事件序列分析计算，吊装系统各阶段弹体跌落不确定性参数分布如表4所示。

表4　吊装各阶段不确定性参数分布

从整个弹体吊装风险结果分析得知，上升、平移和下降3个阶段中，下降阶段发生跌落概率最大，为2.966×10-7，其次是上升阶段，为3.248×10-7。平移阶段跌落概率最小，为4.826×10-8。结合实际任务过程分析可知，上升和下降阶段吊装系统内部参与工作的系统和设备较多且运行时间相对较长，系统工作时间越长，失效概率越大。

3.8结果分析

通过定量化计算，得到导弹吊装跌落总概率为6.697×10-7。在导弹吊装跌落PRA分析中，使用1.0×10-15作为计算吊装跌落概率的截断值，经过分析，共得到8 428个最小割集，其中前50个最小割集引起的跌落概率值之和为5.852×10-7，占总跌落概率的87.38%。前50位最小割集中包含14个人误事件，其引起弹体跌落概率之和为1.355×10-7，占总跌落概率的20.23%。由此可见，人误事件对吊装跌落概率的贡献较大。前50位最小割集中包含10个共因失效事件，产生的跌落概率为1.013×10-7，占总跌落概率的15.12%。可见，吊装系统共因失效的影响相对较大。整个吊装任务过程中，9类初因事件组对吊装任务失败概率贡献，如表5所示。

表5　各初因事件对吊装跌落风险的贡献

上升阶段引起吊装跌落的主要系统或部件包括工作制动器、高速传动机构、低速传动机构和主起升电机，发生概率分别为1.299×10-7、8.120×10-8、5.522×10-8和4.872×10-8，其次为结构组件类，发生概率为9.744×10-9。上升阶段初因事件对跌落概率贡献比如图5所示，横坐标为所占百分比，纵坐标为IE。

图5　上升阶段初因事件对跌落概率贡献比

平移阶段引起吊装跌落的系统或部件包括小车制动器、工作制动器和结构组件断裂，发生概率分别为2.896×10-8、1.689×10-8和2.413×10-9。平移阶段初因事件对跌落概率贡献比如图6所示。

下降阶段，引起吊装跌落的主要系统或部件包括工作制动器、低速传动机构、高速传动机构和主起升电机，发生概率分别为1.186×10-7、7.415×10-8、5.042×10-8和4.449×10-8，其次为结构组件类，发生概率为8.898×10-9。通过综合分析，结构组件类发生概率较低，但其重要度和敏感性相对较高，人员失误和敏感性元器件次之。另外，制动器和传动机构失效敏感性和重要度较低。下降阶段初因事件对跌落概率贡献比如图7所示。

图6　平移阶段初因事件对跌落概率贡献比

图7　下降阶段初因事件对跌落概率贡献比

4结论

针对某型导弹吊装系统风险定量化评估，将PRA风险评估方法应用于整个吊装过程，验证了方法的可行性和有效性，同时得出以下结论。

1) 采用航天发射场少有的现场失效数据和国际行业标准数据库失效数据相结合的数据模式，可实现PRA在我国航天试验任务中风险量化评估。

2) 定量化评估结果表明，吊装任务总风险概率值为不可能事件，但从风险重要度和敏感性角度分析，航天试验吊装系统存在两类重要风险因素：一是单点失效类风险因素，如钢丝绳断裂、制动失效；二是共因失效类风险因素，如总电源切换失效事故。针对以上2类风险因素，应增加合理的风险监测设施，对重要性敏感性高的设施设备增加维护和预防措施。

3) PRA风险评估不仅量化总风险值，还可将各子任务阶段、各初因事件、各基本事件进行相对风险排序，找出系统薄弱环节，为航天试验风险管理人员采取科学有效的风险管理措施提供参考。

参考文献(References)

[1]STAMATELATOS M.Probabilistic risk assessment procedures guide for NASA managers and practitioners[M].2nd ed.Washington,D.C.：NASA,2011:53-71.

[2]RODAK C,SILLIMAN S.Probabilistic risk analysis and fault trees: initial discussion of application to identification of risk at a wellhead[J].Advances in Water Resources,2012,5(36):133-145.

[3]KIMURA M,IMAIZUMI M,NAKAGAWA T.Reliability analysis of a replication with limited number of journaling files[J].Reliability Engineering and System Safety,2013,116(23):105-108.

[4]LIN Y K,FIONDELLA L.Quantifying the impact of correlated failures on system reliability by a simulation approach[J].Reliability Engineering and System Safety，2013,109(5):32-40.

[5]JURADO A,de GASPARI F,VILARRASA V,et al.Probabilistic analysis of groundwater-related risks at subsurface excavation sites[J].Engineering Geology,2012,7(125):35-44.

[6]PALTRINIERI N,COZZANI V.Assessment and comparison of two early warning indicator methods in the perspective of prevention of atypical accident scenarios[J].Reliability Engineering and System Safety,2012,5(102):21-31.

[7]KHAKZAD N,KHAN F,AMYOTTE P.Quantitative risk analysis of offshore drilling operations: a Bayesian approach[J].Safety Science,2013,2(57):108-117.

[8]顾基发，赵艳丽.对航天系统进行安全性分析的概率风险评估(PRA)方法[J].系统工程与电子技术,1999,21(8):22-24.

[9]赵艳丽，顾基发.概率风险评估(PRA)方法在我国某型号运载火箭安全性分析中的应用 [J].系统工程理论与实践,2000(6):91-97.

[10]DANESHKHAH A,BEDFORD T.Probabilistic sensitivity analysis of system availability using Gaussian processes[J].Reliability Engineering and System Safety,2013,9(112):82-93.

(编辑：李江涛)