“神舟号”飞船回收着陆系统可靠性分析中的几个问题
2011-10-11伟王学贾贺郭
荣 伟王 学贾 贺郭 奎
(1北京空间机电研究所,北京100076)
(2中国空气动力研究与发展中心低速所,绵阳622662)
1 引言
载人飞船研制是一项复杂的系统工程,回收着陆系统是载人飞船的一个重要的组成部分,其主要任务是在正常返回及各种应急救生的状态下,通过减速装置稳定返回舱的姿态,减小返回舱的下降速度,最后通过着陆缓冲技术保证航天员以安全速度着陆。可见在载人航天活动的整个任务过程中,回收着陆系统的工作成败直接关系到航天员的生命安全。因此必须要求该系统具有很高的可靠性。
由于回收着陆系统除了在正常返回状态下要满足其要求外,还要在各种应急救生状态下保证航天员以安全速度返回着陆,因此它应具有适合于在多种状态下的工作程序;此外,由于飞船返回舱在返回的过程中处于高速运动状态之中,而且回收着陆系统工作时高度较低,这就使得回收着陆系统在工作的过程中出现故障征兆的实时性差,外界无法采取营救措施,因此,为了提高回收着陆系统工作的可靠性和安全性,对于回收着陆系统本身所有可以预见的故障均要有相应的补救措施。这样就使得回收着陆系统的工作程序和组成关系非常复杂,从而给回收着陆系统可靠性模型的建立和可靠性的准确评估等问题带来了较大的困难。同时,回收着陆系统产品的种类较多,包括机械产品、电子产品、机-电结构产品以及火工装置、降落伞等,各产品的工作特点也不尽相同,同样给单机产品和系统的可靠性评估带来困难。
在“神舟号”飞船的研制过程中,为解决回收着陆系统在可靠性分析、验证、评估等方面的问题,笔者及其相关课题组人员针对回收着陆系统的特点,开展了一些相关的可靠性研究工作,取得了一些有意义的研究成果。本文主要整理了“神舟号”飞船回收着陆系统可靠性研究方面所遇到的一些主要问题及其研究情况,包括系统的可靠性建模、系统可靠性评估方法、降落伞可靠性评估方法和验证方法、火工装置可靠性评估方法及验证方法等。限于篇幅,本文只对这些问题及其研究工作做概述性的介绍,具体的研究情况可查阅相关的参考文献。
2 系统可靠性建模
2.1 问题及特点分析
由于回收着陆系统的工作受高度和时间的限制,其工作过程是由一系列不可逆的按时序执行的动作所组成,每一个动作的执行都是在前一个动作完成以后才进行的。如果在中途出现故障,回收着陆系统的工作不可能暂停或恢复到原位重新开始,外界也无法采取营救措施,因此为了提高回收着陆系统工作的可靠性,确保航天员的安全,采取了一系列冗余或备份措施。同时由于“神舟号”飞船采取冷备份降落伞减速系统等特点,导致了回收着陆系统的工作特点和各组成部件之间的逻辑关系较为复杂,其可靠性建模存在诸多难点[1-2]:
1)用于主降落伞减速系统工作状态监测的两种措施不同于并联关系。“神舟号”飞船采用了主、备两套降落伞减速系统来提高回收着陆系统的工作可靠性,其中备份降落伞减速系统(简称备份伞系)作为主份降落伞减速系统(简称主伞系)的冷备份。为此,设置了主伞包开关判别和速度判别两种措施来监测主伞系工作的状态。由于主伞包开关判别只能监测主伞开伞之前主伞系的工作状态,而不能监测主伞的工作状态,速度判别措施则可根据下降速度判别整个主伞系的工作状态。因此,两种监测手段的功能并不等效,不能作为并联关系来对待。
2)主备降落伞减速系统间的关系有别于传统的冷贮备关系。两种状态监测装置是一类多任务单元,对于不同的前端条件(输入),具有不同的判别任务:a类任务,当主伞系处于正常状态时,主伞系状态监测装置的任务便是正确判断出“主伞系正常”;b类任务,当主伞系处于失效状态时,主伞系状态监测装置的任务是正确判断出“主伞系失效”。同时也对应着两种不同的失效模式:a类误判,误发“主伞系失效”判断—主伞系处于正常状态而给出“主伞系失效”判断,即“误报主单元失效”;b类误判,误发“主伞系正常”判断—主伞系处于失效状态而给出“主伞系正常”判断,即“漏报主单元失效”。以上主伞系状态监测装置的两类失效模式将导致回收着陆系统走上不同的错误流程。发生类失效时,将在主伞系处于正常状态的情况下由于误判而启动转换程序转换到备份伞系;发生类失效时,将在主伞系失效状态未被正确判别的情况下不能及时转入备份伞系。通过对传统冷贮备系统可靠性模型的分析可知,传统冷贮备系统是在假设a类任务完全可靠的基础上,再考虑状态监测装置的b类任务可靠性和类失效,忽略了类失效,即忽略了“误报主伞系失效”这种失效模式。因此,不宜简单地将主伞系统和备份伞系统作为并联或传统的冷贮备模型来对待。
3)程序控制器与时间控制器间的关系既有别于并联关系又有别于冷贮备关系。“神舟号”飞船回收着陆系统采用了时间控制器作为程序控制器的备份,在程序控制器失效的情况下启动。然而由于时间控制器启动控制的回收着陆过程仅能使用主伞系进行减速着陆。而由程序控制器启动控制的回收着陆过程可使用主伞系或备份伞系进行减速着陆。因此,二者不能作为简单的贮备或并联关系进行处理。
4)高度控制开关间的关系特殊。“神舟号”飞船为了提高回收着陆系统的可靠性,采用高度控制开关II作为高度控制开关I的开伞控制的备份,也就是说当高度控制开关I失效不能开伞时将通过高度控制开关II来控制开伞。然而,由于回收着陆系统的工作受高度的约束,不同高度控制开关启动开伞后,回收着陆系统的工作能力是不同的。高度控制开关I启动开伞后,系统还具有足够的高度,使用主伞系或备份伞系进行减速着陆,而高度控制开关II启动开伞后,系统只能使用主伞系进行减速着陆。因此,二者也不能作为简单的贮备或并联关系进行处理。
5)两种着陆缓冲装置间的关系也不同于并联关系。“神舟号”飞船同时采用了主动式和被动式两种着陆缓冲方法,以热备份方式配置了着陆反推装置和座椅缓冲装置。然而二者所起的缓冲能力并不相同,且返回舱乘主用主伞和备份主伞的下降速度不一样,使得着陆缓冲装置的初始条件和效果也不一样。当返回舱乘备份主伞下降时着陆反推装置必须工作才能保证航天员的安全着陆;而当返回舱乘主用主伞下降时,只需着陆反推装置和座椅缓冲装置其中之一工作便能保证航天员的安全着陆,此时二者为并联关系。因此,两种着陆缓冲装置间的关系也不是简单的并联关系。
2.2 解决措施
通过上述回收着陆系统一些主要组成部件间关系特点的分析可知,“神舟号”飞船回收着陆系统的可靠性模型难以使用传统的串并联模型或贮备模型来描述。考虑到回收着陆系统是一个具有严格逻辑顺序运行的系统,而事件树方法是一种逻辑演绎法,它是在给定的一个初因事件的前提下,分析此初因事件可能导致的各种事件序列的结果。一般用于描述系统中可能发生的事件序列,在分析复杂系统的重大故障和事故时,是一种非常有效的方法[3-4]。因此,可以利用事件树方法在描述顺序运行系统方面的优势应用于飞船回收着陆系统的可靠性建模。
首先根据事件树的分析方法以及回收着陆系统各组成单元之间的逻辑关系,建立回收着陆系统的可靠性事件树,获取每一条令系统成功的路径,从而建立回收着陆系统的可靠性框图。然后在此基础上,考虑到回收着陆系统各工作路径具有互不相容的特性,且每条路径上的事件序列均为串联模型,因此,结合全概率法可以方便地建立回收着陆系统的可靠性数学模型。回收着陆系统可靠性建模的具体情况可以参见文献[1-2,5]。
3 系统可靠性评估方法
对回收着陆系统进行可靠性评估有两种方法:一种是收集整个系统的可靠性试验数据,从而对系统进行可靠性评估;另一种是利用系统各单机部件的可靠性试验数据,基于系统与组件的可靠性模型进行系统可靠性综合评估。如果对整个系统进行试验,试验结果有两种情形:成功和失败,获得数据类型为成败型数据,利用成败型数据的可靠度置信下限计算方法,可评估系统的可靠性。然而,对于成败型数据要求样本量很大,而且进行大量的系统可靠性试验无论从工作量、试验工况的模拟、试验的组织实施,还是从试验费用等各方面均是很难实现的。因此,对于回收着陆系统的可靠性评估,将主要基于单机部件可靠性数据信息,利用所建立的系统可靠性模型来进行综合评估。
由于回收着陆系统产品的种类较多,包括机械产品、电子产品、机-电结构产品以及火工装置、降落伞等,各产品的工作特点及其可靠性试验数据的分布也不尽相同,包括了成败型、单边性能限型、双边性能限型、应力-强度型和指数寿命等。而一般系统可靠性综合评估方法主要针对于成败型单元数据。因此,进行系统综合评估时,需要将非成败型数据折算为成败型数据。目前工程中常用的可靠性数据折算方法有点估计方差法、两点法、点估计下限法和二阶矩法等,对于高可靠性产品,这些折算方法的折算精度不够高,折算前后置信分布误差较大,且存在一定使用局限性。为了便于进行回收着陆系统的可靠性评估,通过对现有折算方法的研究,在此基础上提出了基于多点优化法进行可靠性数据折算。该方法在原始置信分布上选取多个已知的折算控制点,并取这些位置点上的误差平方和作为优化目标函数,进而利用优化算法求解使目标函数最小的等效成败型数据[6]。
4 降落伞可靠性评估方法及验证方法
4.1 问题及特点分析
降落伞是飞船回收着陆系统的核心部分,直接关系到航天员的生命安全,要求具有很高的可靠性。由于从降落伞离开伞舱开始,经伞绳、伞衣全部拉直至伞衣开始充气最终达到物伞系统稳定下降为止的一系列动作或阶段是一个非常复杂的工作过程,在整个降落伞工作过程中,影响降落伞可靠性和安全性的因素很多而且复杂,并且也很难用特征量来描述降落伞的可靠性,导致可靠性建模非常困难。因此,降落伞的可靠性评估一直是设计工作者迫切希望解决,而又至今仍未得到很好解决的难题。
降落伞工作过程一般具有以下几个特点[7]:
1)受人为因素影响较多。由于降落伞是用柔性的纺织材料制成的,在制作过程中不像一般金属和非金属材料那样规范、固定,其变形量比较大,生产中不太好控制。即使是同一个人用同一套图样在同批次加工中,生产出来的产品也有不同之处。另外,降落伞开伞程序比较复杂,环节比较多,在包装过程中要将连接带、附件、降落伞伞绳和伞衣,按先出伞包的在后、后出伞包的在先的顺序一一包入有限的伞包内,确保开伞程序按规定的设计要求进行。由于这些都是纯人工操作,对于同一个型号的包伞即使同一个人,每次包装都可能不一样,对于不同的人来说更不可能相同。因此,降落伞本身的可靠性也受加工、包伞和装配等多种不可定量的人为因素的影响。要单独获取相关的数据信息非常困难。
2)受外界因素影响大。由于降落伞系统的工作一般是飞行试验的最后一个环节,所以此前工作系统的好坏、误差的积累大小都会直接影响到它能否正常工作。有时往往会出现由于别的系统问题,到降落伞系统工作时才能表现出来。例如降落伞没有打开从表面看是回收着陆系统的问题,但是如果弹道太低了,降落伞系统还没有进入工作程序航天器就可能着陆了,这种情况降落伞系统是无法工作的。如果弹道太高了,降落伞开伞后则可能由于速压过大而被冲破。同样如果航天器姿态不正常,造成了开伞通道不畅,也影响降落伞工作的可靠性。所以实际飞行弹道的偏差、开伞和脱伞指令的发出和传输、弹伞和脱伞火工装置的工作、伞系和伞舱连接的结构强度、出伞通道的通畅、开伞时航天器的姿态等因素,都会影响降落伞系统工作的成败。
3)可靠性特征量描述困难。对于降落伞工作可靠性来说,除了降落伞系统本身要具有足够的结构强度水平外,降落伞开伞程序的控制是另一个非常重要的关键环节。如伞包出舱、伞绳和伞衣的拉直程序、伞衣充气过程等,往往直接关系到其工作的成败。这些环节如同前述的人为因素一样,同样是难以用特征量来描述其工作可靠性,相关数据信息的获取也是非常困难的。
4.2 降落伞可靠性评估方法
针对降落伞的上述特点,在其实际工程研制过程中,一般均会通过一定数量的降落伞强度试验和系统级空投试验来验证降落伞工作的可靠性。
首先,通过降落伞的强度试验分析降落伞的结构强度水平,这是确保降落伞可靠工作的一个基础。不过,为了创造强度试验的条件,试验需设置专门的工况,一些相关的接口关系和实际飞行状态中的初始条件(如:实际返回弹道、开伞和脱伞指令的发出和传输、弹伞和脱伞火工装置的工作、伞系和伞舱连接的结构强度、出伞通道的通畅、开伞时返回舱的姿态等)在强度试验中有时就无法模拟和考核了。因此,在降落伞的研制过程中,除了其强度试验外,还需进行一定数量的系统级空投试验以验证相关的接口关系和实际飞行状态中的初始条件及其偏差等对降落伞工作的影响。
系统级空投试验主要是严格按照设计、生产、包装和装配的要求,模拟开伞动压或实际飞行工作程序进行的空投试验或飞行试验,根据试验的成败情况来验证降落伞工作的可靠性。
综上所述,降落伞的强度试验和系统级空投试验是降落伞研制过程中最基本的两类验证试验,两者相辅相成,缺一不可。同样,对于降落伞的可靠性评估也只有充分利用了两类试验的相关数据信息才能合理地解决。
如前所述,由于降落伞的强度试验主要是验证降落伞的结构强度。降落伞的结构强度主要表现在其承载能力上,降落伞所受的最大载荷出现在其开伞时的瞬间,其开伞载荷主要取决于开伞时气流的动压力大小,因此可以用开伞时的气动压力来表征降落伞工作时的应力均值及其标准差。相应地,也可通过降落伞强度空投试验获取开伞时的动压力数值作为降落伞的强度信息。并假定强度试验信息是服从正态分布的。
而系统级空投试验主要是验证降落伞的包装品质、相关接口关系、开伞时的初始条件及开伞程序控制等环节,这些环节的可靠性难以用某些特征量来描述,因此,降落伞参加系统级空投试验的数据信息一般取为成败型。
为了便于将降落伞的强度试验信息和系统级空投试验信息有效地融合起来,根据贝叶斯方法,先利用强度试验信息确定先验分布密度函数,再利用系统级空投试验结果确定后验分布密度函数。降落伞验前可靠度概率分布密度函数采用贝塔分布,其分布参数由强度试验信息确定。降落伞验后可靠度概率分布密度函数可根据Bayes公式,由验前可靠度概率分布密度函数和成败型系统级空投试验数据获得。基于验后可靠度概率分布密度函数便可计算可靠度的点估计及置信下限。详细情况请参阅文献[7,8]。
4.3 降落伞可靠性验证方法
根据前面所确定的降落伞可靠性评估方法,降落伞可靠性的验证方法如下:
1)进行回收着陆系统工作过程的各种偏差仿真,确定减速伞和主伞的实际工作动压范围,获取开伞时动压的均值和方差;
2)以开伞动压为控制目标,分别进行若干次(鉴于降落伞的特点,一般取不小于5次)减速伞和主伞强度试验,确定减速伞和主伞的实际强度,获取强度均值(一般为了考虑试验的安全性,避免空投试验时模型的损坏,开伞动压控制在实际工作动压的1.5倍以上即可);
3)由于一般空投试验很难恰好控制在降落伞的强度水平,因此,可以通过对降落伞所用的主要织物材料及其缝合部进行强度性能试验,确定织物材料的强度方差,以作为降落伞的强度方差;
4)根据给定的减速伞和主伞的可靠性指标,通过前面的评估方法预估减速伞和主伞的系统级空投试验次数,然后进行模拟减速伞和主伞开伞动压的系统空投试验;
5)根据所确定的可靠性评估方法和上述试验所获取的相关试验数据,对减速伞和主伞的可靠性进行评估。
5 火工装置可靠性评估方法及验证方法
5.1 问题及特点分析
在回收着陆系统整个工作过程中,弹盖开伞、脱减速伞、返回舱由单点转换为双点垂挂以及返回舱着陆后的脱主伞等执行动作均是由火工装置来完成的。这些火工装置工作的成败直接关系到回收着陆系统工作的可靠性,是回收着陆系统的关键产品,要求具有很高的可靠性。
对于火工装置的可靠性评估,一般可采用计数数据估计可靠度的方法和用计量数据估计可靠度的方法[9]。但用计数数据来评估火工装置的可靠度,则需要进行大量的成败型试验才能达到如此高的可靠性指标要求。而对于载人飞船回收着陆系统的火工装置来说,其生产和使用批量均较小,在研制过程中进行如此大量的试验,从进度和经费等方面来说都是不可行的。因此对于火工装置的可靠性指标的评估需要采用计量数据的方法来进行。根据文献 [9],其评估方法是直接测量火工装置的某种性能参数,然后根据样本的观测值按GB4882-85《数据统计处理和解释、正态性检验》作正态性检验。当测量数据服从正态分布后,按正态统计容许限计算产品的可靠度。在计算过程中,性能参数的容许上限或下限是事先给定的一个确定值。然而,在实际过程中,性能参数的容许上限或下限往往也是事先并不知道的,也不是一个常值,而是一个服从正态分布的数。因此,如果此时仍按文献[9]的方法进行可靠度计算就有些不太合理。
5.2 可靠性评估方法
对于伞舱盖弹射分离装置,由于其主要功能是给予伞舱盖提供一定的分离速度,因此进行可靠性评估时可以根据伞舱盖的分离速度来考虑。由于通过各种分析、计算和试验,回收着陆系统给伞舱盖弹射分离装置提出了一个最小分离速度的要求,因此,伞舱盖分离装置的可靠性评估完全可以根据GJB376-87《火工品可靠性评估方法》来进行。即:首先通过试验获取伞舱盖的分离速度,并将其作为样本观测值。然后根据统计的速度均值、标准差由给定的速度容许下限LL,按照式(1)计算单边容许系数KL。最后,根据样本数n、单边容许系数KL、置信度γ查GB4885-85《正态分布完全样本可靠度单侧置信下限》求出伞舱盖分离装置的可靠度。
对于减速伞脱伞器、垂挂释放器以及主伞脱伞器,由于其主要工作特点是通过药盒所产生的高压燃气来推动销子或切刀,从而实现脱伞或垂挂转换的功能。因此在进行可靠性评估时可以将其工作的燃气压力作为关键参数来考虑。由于对于这些火工装置的压力容许下限事先是没有确定的,只能通过按完成规定功能的最小装药量的试验来测量,而所测得的结果也是一个服从正态分布的压力参数。此时如果再采用上述评估方法就有些不太合适。其实通过对这些火工装置的工作特点和文献[9]计量方法的进一步考察、分析,采用正态分布应力和强度参数均未知情况下的可靠度评估方法将更合适些。也就是将按完成规定功能的最小装药量情况下所测得的工作压力作为应力,而将按实际工作状态的装药量情况下所测得的工作压力作为强度,这样按照正态分布应力和强度参数均未知情况下的可靠度评估方法所得到的可靠度即是这些火工装置的工作可靠度。具体的计算公式参见文献[10,11]。
5.3 火工装置可靠性验证方法
对于伞舱盖弹射分离装置,由于其主要功能是给予伞舱盖提供一定的分离速度,因此进行可靠性评估时可以根据伞舱盖的分离速度来考虑,于是伞舱盖弹射分离装置的可靠性验证试验关键在于如何获取伞舱盖的分离速度。为了获取伞舱盖的分离速度,试验采用模拟实际的工作状态安装伞舱盖和弹射分离装置来进行,通过高速摄像来获取伞舱盖的分离速度,并将其作为样本观测值,而所要求的伞舱盖最小分离速度则作为分离速度参数的下限。“神舟号”飞船回收着陆分系统伞舱盖弹射分离装置的可靠性验证试验总共专门进行了20次,通过所测得的结果,根据文献[9]的评估方法进行了评估,结果表明可靠度满足其指标要求。
对于减速伞脱伞器、垂挂释放器以及主伞脱伞器,由于在进行可靠性评估时是将其工作的燃气压力作为特征参数来考虑的。于是减速伞脱伞器、垂挂释放器以及主伞脱伞器的可靠性验证试验的主要目的就是如何获取其工作燃气压力。减速伞脱伞器、垂挂释放器以及主伞脱伞器的可靠性验证试验主要是采用定容测压的方法来进行,即在专用的工装上对产品的工作燃气压力进行测量,首先将产品按实际工作状态的装药量在专用的工装上进行定容测压试验,将所测得的压力作为样本观测值,然后按能够完成规定功能的最小装药量的药量装配产品,在专用的工装上进行定容测压试验,将所测得的压力作为工作压力参数。两种状态下的产品均专门进行了一定数量的试验,通过所测得的结果,根据文献[11]的评估方法进行了评估,结果表明可靠度均满足相应的指标要求[12]。
6 结束语
在“神舟号”飞船的研制过程中,为解决回收着陆系统在可靠性分析、验证、评估等方面的问题,根据回收着陆系统的工作特点,主要针对系统的可靠性建模、系统可靠性评估方法、降落伞可靠性评估方法和验证方法、火工装置可靠性评估方法及验证方法等方面,开展了一些相关的研究工作,取得了一些有意义的研究成果,且便于工程实际应用,同时也具有广泛的适应性和普遍性,可供其它型号的可靠性工作参考借鉴。
[1]王学,高普云,冯志刚,等.飞船降落伞系统的可靠性建模[J].宇航学报,2011,32(7):1645-1649.
[2]荣伟.一种评估载人飞船回收着陆分系统可靠性的方法[J].航天器工程,2005,14(1):43-47.
[3]万涤生.可靠性评定与分析[M].中国标准出版社,1995.
[4]胡昌寿.航天可靠性设计手册[M].机械工业出版社,1999.
[5]王学.载人飞船回收着陆系统可靠性研究[D].国防科学技术大学工学博士学位论文,2010.
[6]王学,高普云,冯志刚,等.基于多点优化法进行可靠性数据折算[J].强度与环境,2010,37(2):55-60.
[7]荣伟,郭奎,王学,等.航天器降落伞可靠性评估方法[C].中国宇航学会结构强度与环境工程专委员会2010年度学术研讨会,安徽,2010.
[8]王学,冯志刚,高普云,等.降落伞可靠性评定及其试验量决策[J].宇航学报,2010,31(6):1685-1689.
[9]GJB 376-1987.火工品可靠性评估方法[S].1987.
[10]荣伟,孙绍民.载人飞船回收系统火工装置可靠性评估方法[J].航天器环境工程,2005,22(4):223-225.
[11]何水清,王善.结构可靠性分析与设计[M].国防工业出版社,1993.
[12]荣伟,郝芳.载人飞船回收着陆分系统火工装置可靠性试验[J].航天器环境工程,2005,22(2):109-111.