杨海峰，赵新攀，苟仲秋

（中国空间技术研究院 载人航天总体部，北京 100094）

0 引言

单点故障（single point failure, SPF）指那些会引起单机、分系统、系统功能丧失或任务失败且没有冗余备份的故障。对于航天器来说，系统级单点故障模式的发生将有可能直接导致系统功能严重降级或任务失败，甚至人员（航天员）伤亡。因此，确保系统级单点故障的全面识别是航天器型号研制过程中的一项重要工作。NASA对承包商的可靠性要求大纲（NHB 5300.4(1A-1)）[1]中明确提出“故障模式影响分析（FMEA）应在系统到子系统、子系统到元器件、系统到仪器界面及系统地面设备上进行”，强调对设备产品进行单点失效模式分析，识别出所有单点故障模式，“所有不能从系统消除的单点失效、潜在关键和灾难性故障应列于关键项目清单”。ESA空间系统可靠性保证要求（ESA PSS-01-30）[2]中明确提出“承包商应进行整个系统的故障模式、影响及危害度分析（FMECA）”，以全面识别单点故障模式。目前，国内航天器型号也要求通过 FMEA识别单点故障模式。同时在FMEA结果的基础上，再对严酷度为I、II类的不期望事件进一步开展故障树分析（FTA），找出一阶最小割集识别单点故障模式[3-9]。FMEA和FTA相结合的方法能够有效识别单机级单点故障，但FTA顶事件很难全面确定，而且在飞行任务中，随着飞行时间和空间的动态变化，故障影响也有不同。特别是复杂的航天器及其任务具有设备多、接口多、飞行事件多、飞行模式多的特点，因此存在单点故障模式识别漏项的风险。

本文以FMEA、FTA方法为基础，提出了基于关键事件的单点故障识别方法。该方法以正常飞行事件为线索，通过制定影响任务的关键事件识别准则，结合飞行任务的时域空域动态分析，识别出影响任务成败的一系列关键事件，然后将关键事件失败作为故障树的顶事件进行分析，最终识别出系统级单点故障模式。

1 基于关键事件的系统级单点故障识别方法

基于关键事件的系统级单点故障识别方法的主要思想和流程如图1所示。

图1 基于关键事件的系统级单点故障识别方法Fig. 1 Single point failure identification method based oncritical incident

1）任务目标、范围分析。系统级单点是针对特定的考核目标和范围而言。某设备的故障模式对其自身可能是致命的，但是对系统级任务的影响却可能很微弱；而一切影响主任务目标实现的单点故障模式均可作为系统级单点故障模式。主任务目标可以是某项关键技术验证、有效载荷、航天员安全或用户关心的一些项目。主任务目标以外规划的在轨试验项目等可不作为系统级单点失效模式的分析对象，以便简化分析对象，突出重点。

2）关键事件分析与识别。将整个任务按照任务阶段进行划分，分析每个阶段飞行事件执行结果对任务目标的影响，并制定识别原则，将那些对保证后续主任务目标的完成是必要的事件定义为关键事件，包括影响安全的、可能导致任务终止的、造成飞行计划更改的事件（见图 2），其中相互重叠的部分越多，则该事件的影响后果越大。

图2 关键事件分析与识别Fig. 2 Analysis and identification of critical incident

3）以关键事件为顶事件的FEA。根据已识别的关键事件清单，将“××关键事件失败”作为顶事件，按照标准方法开展FEA（如图3所示），或者直接将关键事件以树的形式进行功能分解。从任务实施角度来讲，可细化到与关键事件相关的所有设备、组件和接口，例如当时的数据注入准备情况、时间约束和测控条件支持等。

图3 关键事件FEAFig. 3 FEA of critical incident

4）单点故障模式识别与处置。根据FEA结果，对得到的低层产品故障模式或多个故障模式的组合进行分析，确认是否采取了可靠性设计措施。将识别出的那些直接导致关键事件不能完成的故障模式作为系统级单点故障模式，若单点所涉及的产品无可替代，则通过隔离故障使其不扩散或实施故障预案（包括改进措施、过程控制措施及在轨补救措施等）尽可能地将风险降到最低。

2 单点故障识别方法的应用

以载人交会对接任务为例，说明基于关键事件的系统级单点故障识别方法的应用。

2.1 任务目标、范围分析

突破和基本掌握交会对接技术是载人航天工程“二步一阶段”的目标之一[10-11]。交会对接技术的定义是“两个飞行器于同一时间在轨道同一位置以相同速度会合并在结构上连接成一个整体的技术[12]”；对于载人交会对接任务来说，航天员还应该进入目标飞行器并完成物品转移，任务完成后航 天员安全返回地面。

因此载人交会对接任务的主要目标至少包括：船/器完成交会对接形成组合体，航天员进入目标飞行器并完成物品转移，航天员安全返回。其他在轨试验或考核项目可不作为系统级单点故障模式的分析对象。

2.2 关键事件分析与识别

根据第2.1节的分析，3个主要任务目标确定后，通过分析各阶段飞行事件执行结果对任务目标的影响，结合关键事件的识别原则，识别出的关键事件清单见表1。

表1 交会对接任务关键事件清单及影响分析Table 1 Critical incident and its effect on RVD mission

2.3 以关键事件为顶事件的FEA

根据已识别的关键事件清单（表 1），逐项进行FEA。以交会段关键事件6“变轨”为例，关键事件的主要时序为：变轨前准备，向中心控制计算机注入变轨数据，中心控制计算机发送指令给控制驱动器，控制驱动器控制发动机开机，变轨速度增量达到注入的数据后控制驱动器关闭发动机。分析结果如下：

1）关键事件故障树建模

“变轨失败”的FEA见图4。

2）关键事件FEA

“变轨失败”故障树一阶割集计算结果及分析 见表2。

图4 “变轨失败”FEAFig. 4 FEA of “orbit maneuver failure”

表2 “变轨失败”的FEA结果Table 2 The result of FEA of “orbit maneuver failure”

2.4 单点故障模式识别与处置

通过FEA识别交会对接任务所有关键事件存在的单点故障模式或薄弱环节，并根据分析结果采取补偿措施。

1）制定地面控制措施

将识别出的所有单点故障模式所涉及的产品作为系统级关键项目，从设计、生产、试验、验收、安装、管理等方面加强过程控制。如对于含有零位传感器单点故障的太阳电池阵驱动机构作为关键项目进行控制。

2）制定在轨故障预案

对识别出的所有单点故障模式进一步展开分析，以确定是否能够制定在轨预案予以弥补。如太阳电池阵的零位传感器故障后，将导致太阳电池阵因不能归水平零位，而在变轨速度增量较大时可能造成损坏，使得整船能源系统严重故障，交会对接任务失败。但是对零位传感器故障模式进一步分析发现，该情况下地面可以根据太阳电池阵转角、转速以及发动机变轨时刻等信息修改飞行程序，预埋“太阳电池阵停控”指令，人工控制电池阵水平到零位。任务中，可在每次变轨前提前对零位传感器的工作情况进行确认，若发生故障则启用该预案。这样在不增加飞船其他任何资源的情况下，即可有效地消除该单点故障模式。

3 结束语

本文提出的基于关键事件的系统级单点故障识别方法，充分结合了型号的FMEA、FTA工作，以飞行任务为对象，采用时域空域动态分析的方法识别影响任务的关键事件，从任务执行的角度分析、识别出单点故障模式，并制定地面控制措施和在轨故障预案。该方法能够覆盖设备在不同飞行任务段的工作模式，动态识别单点故障模式并准确反映其对后续飞行程序/过程的影响，有助于全面识别型号系统级单点故障模式，降低任务风险，具有较强的工程应用价值。

（

）

[1]NHB 5300.4(1A-1) Reliability program requirements for aeronautical and space system contractors[S], 1987

[2]ESA PSS-01-30 Reliability assurance requirements for ESA space systems[S], 1992

[3]郭泾平, 朱北园, 程卓. 论卫星 FMEA 工作应重点关注的若干问题[C]//第7届国际可靠性、维修性、安全性学术会议集. 北京: 中国宇航学会, 2007: 1-7

[4]刘志全, 宫颖. 航天产品FMEA工作有效性的思考[J].航天器工程, 2011, 20(1): 142-146 Liu Zhiquan, Gong Ying. Consideration about the validity of aerospace product FMEA[J]. Spacecraft Engineering, 2011, 20(1): 142-146

[5]马海峰. FMECA工程实践中问题的探讨[C]//航空可靠性工程进展暨可靠性工程专业委员会第9届学术年会论文集. 井冈山: 中国航空学会, 2003: 155-159

[6]耿宏, 高秀苹, 樊建梅. 故障树在飞机故障诊断专家系统中的应用[J]. 中国民航学院学报, 2006, 24(5):46-48

Geng Hong, Gao Xiuping, Fan Jianmei. The application of FTA in fault diagnosis expert system[J]. Journal of Civil Aviation University of China, 2006, 24(5): 46-48

[7]高蕾, 杜宜东. 故障树分析法程序研究[C]//2009核能行业可靠性维修（RCM）研讨会论文集. 深圳: 中国核能行业协会, 2009: 227-231

[8]于潇, 马晓兵, 苟仲秋. 神舟飞船出舱活动故障模式和对策的设计与实践[J]. 航天器工程, 2010, 19(6):56-60

Yu Xiao, Ma Xiaobing, Gou Zhongqiu. Failure mode and countermeasure design and implement for Shenzhou Spaceship’s extravehicular activity[J]. Spacecraft Engineering,2010, 19(6): 56-60

[9]王晶燕, 饶玮, 孙泽洲. 嫦娥一号卫星飞行事件的系统级FMEA[J]. 航天器工程, 2008, 17(2): 90-93

Wang Jingyan, Rao Wei, Sun Zezhou. System FMEA based on flying event of CE-1 orbiter[J]. Spacecraft Engineering, 2008, 17(2): 90-93

[10]尚志. 中国首次交会对接任务的技术成就和展望[J].航天器工程, 2011, 20(6): 11-15

Shang Zhi. Technology achievements and prospect of China first rendezvous and docking mission[J].Spacecraft Engineering, 2011, 20(6): 11-15

[11]马晓兵, 黄震, 杨庆. 中国交会对接任务成就与展望[C]//第 64届国际宇航大会. 北京: 国际宇航联合会等, 2013

[12]张柏楠. 航天器交会对接任务分析与设计[M]. 北京:科学出版社, 2011: 1-3