李 健，栾家辉，刘春雷

(中国航天标准化与产品保证研究院，北京市丰台区100071)

1 引言

神舟十号的成功发射，标志着我国载人航天工程又向前迈出了坚实的一步。随着我国载人航天工程的不断发展，系统的复杂程度逐步提高、任务剖面更为复杂、在轨工作时间更长、环境更为严酷、航天员参与的程度更高，工程的风险也逐渐增大。在载人航天器的研制与在轨飞行过程中，全面收集产品的相关信息，分析、评估航天器的风险水平，对于减少事故的发生和故障的出现、提高载人航天器的安全性与可靠性、改进系统设计都发挥着重要的作用。

PRA方法是一项高度集成的风险分析与评价技术［1-2］，通过运用FMEA、危险分析、主逻辑图等风险识别方法，同时采用事件树、故障树、动态故障树、贝叶斯网络等成熟的建模手段，综合利用历史数据、相似产品数据、试验数据、在轨飞行数据与专家判断等信息，描述系统的不确定性，量化评价工程中存在的风险(包括安全性风险、任务成功风险等)，同时确定系统的薄弱环节，辅助工程改进与系统升级，以风险数据指导工程决策。PRA在核电、化工等技术难度大、对安全性要求较高领域有着广泛的应用。在航天领域，NASA已成功运用了此项技术，尤其在载人航天这一对可靠性安全性要求较高的领域，NASA将PRA作为评估安全性风险与任务成功风险的有效工具，取得了十分显著的成效［3］。深入了解NASA载人航天PRA的实施情况，研究其管理与技术方法，对PRA方法在我国载人航天领域中的应用具有十分重要的意义。

2 PRA在NASA载人航天项目中的应用

PRA作为一项成熟的技术，在NASA的多个载人航天项目中进行了应用，其中，最具代表性的是在航天飞机、国际空间站与载人登月三个项目中的应用，三个项目分别是在设计阶段、建造阶段与成熟阶段开展的PRA工作［4-6］。虽然均采用了成熟的PRA方法，但是，每个项目的工作重点与实施细节各不相同，充分体现了PRA方法在进行不同类型、不同阶段项目的风险评估工作中的灵活性。

2.1 设计过程中的乘员探索飞行器

NASA在2006年5月完成了对乘员探索飞行器(CEV)执行载人登月任务过程中的PRA，得到了航天员伤亡(LOC)与登月任务失败(LOM)的发生概率。

NASA对此项目开展的PRA工作，正处于CEV的设计阶段，此阶段产品信息和数据信息十分有限。按照NASA的计划，在2006年春开展设计评审，与此项PRA工作相吻合［4］，由此可以看出，CEV的PRA工作是为了对其设计方案进行定量的风险评估，对其安全性风险与任务成功的风险进行定量的评价。

通过输入单机产品的可靠性数据信息，计算得到LOC与LOM的均值与90%区间估计［4］，如表1所示。

表1 载人登月任务风险评估结果Table 1 The result of CEV mission risk assessment

2.2 飞行器在轨组建过程中的国际空间站

国际空间站(ISS)的PRA工作分为四个阶段。其中，7A构型的PRA最为典型。下面以该阶段PRA为例，说明ISS的PRA工作。该阶段PRA完成于2000年11月，采用的产品与数据信息截止到2000年9月份，而ISS的7A构型完成于2001年。从时间上可以看出，此时ISS正处于7A组建过程中，产品信息与数据信息较为完整，但缺少在轨飞行数据。在该阶段开展PRA工作，是对即将完成的7A构型的在轨运营风险(主要为安全性风险)进行评估［5］。

NASA对ISS的7A构型开展的PRA工作是为了对该构型的安全性风险进行评估［5，7］，同时考虑到关键系统损害与压力舱损坏等情况，识别ISS的初因事件，并针对每一初因事件建立事件链模型，描述事件发展过程，并确定机毁人亡(LOS)、航天员伤亡(LOC)、航天员应急撤离(EVAC)、压力舱损坏(LOM)、分系统失效(LOSys)和碰撞(COL)六种不良后果状态。

通过PRA工作，NASA得到了以下评估结论［5］:

1)人类活动形成的太空垃圾和自然形成的微流星体与空间碎片(MOD)是导致机毁人亡(LOS)的最大威胁;

2)疾病成为导致航天员伤亡(LOC)和航天员应急撤离(EVAC)的主要原因;

3)由于ISS采用了可靠性设计方法，如冗余设计，即使某产品失效也不会直接导致LOS、LOC和EVAC等严重的后果状态，而只会造成系统失效(LOSys)和密封舱失效(LOM)等一般的后果状态。

2.3 成熟飞行中的航天飞机

航天飞机在“挑战者”号失事后，经过反复考量，才决定开展PRA工作。随后，在1995年完成了初次PRA工作，并随着航天飞机的飞行时间不断延长，更改风险模型，补充飞行数据，更新评估结果，尤其在“哥伦比亚”号航天飞机失事后对评估结果进行了更新［6］。

作为经过百余次飞行的航天飞机，虽然出现了两次致命的事故，导致机毁人亡，但作为载人天地往返运输工具，其技术相对成熟，并在飞行过程中出现过严重的问题，产品信息与数据信息十分充足。开展PRA的主要目的是对航天飞机的安全性进行复核，评估机毁人亡的发生概率，同时寻找系统的薄弱环节，采取风险控制措施，进一步提高系统的安全性。

通过输入单机产品的可靠性数据信息［6］，包括产品的试验数据与实际飞行数据等，对模型进行量化，得到后果状态LOCV的评估结果，以及导致LOCV最小割集事件的重要度排序，以确定系统的薄弱环节，支持设计改进。

在1995年对LOCV的评估结果分别为1/131，在航天飞机成功执行三年任务后，在1998年，LOCV的评估结果更新为1/239，但在2003年2月，“哥伦比亚”号失事后，对航天飞机进行重新评估，其评估结果为 1/76［6］。

2.4 对比分析

对NASA三个载人航天项目的PRA工作对比分析的结果如表2所示［4-6］。由于三个项目的任务特点不同，开展PRA工作的任务阶段也各不相同，在进行评估时，CEV处于设计阶段;ISS处于建造阶段;航天飞机处于成熟飞行阶段，并在飞行任务中出现了严重的问题。由于开展PRA的阶段不同，能够获得的产品信息与数据信息的信息量不同，例如，CEV只有设计方案，而没有试验数据和飞行数据;ISS具有部分试验数据和飞行数据;航天飞机具有充足的试验数据和飞行数据。

表2 NASA三个载人航天项目PRA工作对比表Table 2 Comparison of PRA in NASA’s three manned space flight programs

3 我国空间站工程开展PRA工作的几点思考

PRA在国外载人航天风险评估中有着广泛的应用，并取得了显著的成效。对于我国空间站工程也可借鉴PRA方法，以进行量化风险评价工作。

3.1 风险评估范围

风险的范围十分广泛，涉及众多领域。而NASA对其载人航天项目的风险评估，主要是针对安全性风险与任务成功风险，仅涉及与航天员安全与任务成功的相关风险，评估航天员伤亡与任务失败的概率，而PRA评估中均未考虑进度风险、费用风险与其它风险因素。

借鉴NASA经验，我国空间站工程若开展风险评估，也应严格控制其范围，立足于安全性与可靠性问题，通过PRA这一有效的集成评估工具，对各系统的风险进行评估，量化航天员伤亡的概率与任务失败的概率，同时回答安全性与可靠性的定量指标。

3.2 风险评估方案

3.2.1 工作规划与评估重点

我国空间站工程的开展具有明显的阶段性，具体可分为综合论证阶段、方案阶段、初样阶段、正(试)样阶段、组建阶段、运营阶段等。通过分析国外多个载人航天项目在不同阶段开展PRA工作的目的与评估思路的不同，结合我国空间站当前的发展阶段，将我国空间站量化风险评价的工作分为:综合论证与方案阶段评估、研制生产阶段评估、组建阶段评估与运营阶段评估4个阶段。在空间站风险评价的不同阶段，由于阶段特点与信息量的不同，其评估目的与实施重点也有所不同。在进行PRA时，应根据不同阶段的特点，充分利用该阶段的设计与数据信息，识别风险，并对该阶段的风险进行分析与评价，以指导工程决策［8］。

1)综合论证与方案阶段

综合论证阶段与方案阶段为空间站任务的最初阶段，该阶段设计方案尚未最终确定，仿真与试验数据也十分有限，因此，风险评估的层次可不必太深，其重点是对空间站的总体设计方案的合理性、新技术的可行性与成熟技术的继承性等进行风险评估。分析过程中，应根据方案的详细程度与可获得数据的情况，并有效结合专家判断，逐级展开PRA，识别主要的风险因素，利用PRA建模技术和方法，初步形成空间站方案的事件链，对空间站的方案进行初步的风险评估，分析确定空间站项目的顶层风险，并提出降低风险的设计改进措施，为研制生产者选择安全可靠的产品提供支持。

2)研制生产阶段

与方案论证阶段相比，该阶段空间站的组装与运营方案已基本确定，并已逐步开展关键技术的验证工作，各单机与分系统的仿真与试验数据不断丰富，可支持空间站系统PRA的深入分析。因此，本阶段应在方案论证阶段风险评估的基础上，利用PRA的技术和方法，丰富事件链模型，并充分利用空间站各组成系统的研制生产过程中的数据信息对空间站的任务风险和安全性风险进行定量评价。

3)组装建造阶段

空间站进入组建阶段后，确认其系统状态与研制生产阶段的差别，并将收集到的实际飞行数据加入到模型中，使PRA模型得到扩展。本阶段的PRA还可根据在轨工作数据，对空间站组装过程中的风险进行评估，提出降低空间站组装风险的措施。随着新的信息的增加，可以进一步增强PRA模型的准确性，以支持工程决策。

4)运营阶段

随着新的在轨工作数据的不断增加，不断改进PRA模型、修正PRA评估结果，提高评估的准确性。本阶段的工作重点包括:①利用运营过程中的观测数据进行风险计算和自动风险监控;②评估常规或应急的操作、维修活动等对安全风险和任务风险的影响，提出降低风险的操作或维修策略;③评估不同的技术升级方案的风险，提出风险最小、效益最高的技术升级方案;④为空间站延寿策略提供风险决策数据支持。

通过运营阶段的风险评估，可以提供空间站工作的风险数据，从而减小运营阶段风险，提高空间站工作的可靠性。

3.2.2 实施方案

由于各阶段PRA的信息量不同，加之各系统的任务特点各异，导致PRA的分析与建模方法也有所不同。PRA的分析思路与建模方法归纳起来可分为以下两类:

1)任务阶段分析法

在明确评估目的与需求的基础上，分析任务剖面，划分任务阶段，根据任务阶段建立事件链模型，再将事件链中的每个阶段通过故障树、动态故障或贝叶斯网络等方法逐层展开，实现模型的量化。

2)关键事件识别法

在明确评估目的与需求的基础上，采用FMEA、危险分析、主逻辑图等方法全面识别初因事件，并针对每一初因事件建立事件链模型，描述事件的发展过程。随后根据事件链中的初因事件与中间事件，建立故障树、动态故障或贝叶斯网络等模型，以实现模型的量化。

对于我国空间站工程，在安全性与可靠性方面，重点关注“单次乘组安全性”、“组建可靠性”与“运营可用性”三个方面，而空间站的风险评估结果应能够回答这三个指标，并在此基础上指导设计改进与工程决策。

参与空间站工程飞行任务的飞行产品包括空间站系统、运载火箭系统、载人飞船系统、货运飞船系统等。在对空间站工程进行分析的过程中，根据第2节国外三个典型载人航天项目的PRA可以看出，针对不同对象，PRA的最大不同在于事件链的建模方法，这是风险评估的基础。不同的事件链，体现着不同的评估思路。对于工程大系统，PRA可针对不同任务开展，根据具体任务，按照任务阶段建立模型，例如:空间站三舱组装建造任务、单次乘组任务、货运飞船补给任务等。而对工程各系统的PRA，则应根据各自的任务特点，选择合适的事件链建模方法。

对于工程大系统，“单次乘组安全性”和“组建可靠性”分别描述了航天员乘组飞行任务与空间站在轨组建任务，因此，PRA可根据具体任务，按照任务阶段建立模型，采用任务阶段分析法开展PRA工作;“运营可用性”描述的是空间站的在轨运营状态，在运营过程中，除了空间站系统需要正常工作外，还需要完成乘组轮换任务，以保证航天员能够高效的完成在轨维修与实验任务，以及货运飞船补给任务，以保证空间站的推进剂、备品备件与其它货物的补给，因此，“运营可用性”由空间站系统在轨运营、单次乘组任务、货运飞船补给任务共同保证，需要对其分别开展PRA，并综合计算运营可用性结果。

对于各系统的PRA，则应根据各自的任务特点，选择合适的PRA分析方法。其中，运载火箭系统的任务是将航天器发射入轨;载人飞船系统的任务是执行乘组轮换;货运飞船执行物资补给任务，此三个系统的工作均具有明确的阶段性，飞行时序相对固定，且均无法进行在轨维修，因此，此三个系统可通过任务过程建立事件链模型，采用任务阶段分析法开展PRA工作。对于空间站系统，在组建完成后，始终处于在轨运营状态，且能够通过航天员在轨更换与维修活动，保证其运营的可用性，因此，对于空间站系统，可采用关键事件识别法开展PRA工作。

对于我国空间站的PRA思路如图1所示。左边第一列为工程的系统组成，列出了参与飞行任务的各系统;第二列为各系统的任务与特点，对于工程大系统，需要完成空间站的组建任务，单次乘组任务与货物补给任务，涉及空间站的13个系统;第三列为每项任务或每个系统采用的PRA分析思路与方法;第四列为通过PRA能够评估的安全性可靠性指标。从图中可以看出，“单次乘组安全性”与“运营可用性”两个总体指标以及各系统的指标，可通过对任务与系统的评估直接得到，而空间站的在轨“运营可用性”的评估，需要空间站系统，以及单次乘组任务与货物补给任务共同保证。

图1 PRA工作思路Fig.1 Working consideration of PRA

3.3 案例分析

下面以“单次乘组任务”与“空间站系统”两个不同的评估对象，分别说明“任务阶段分析法”与“关键事件识别法”的分析思路与建模方法，以支持空间站工程的评估。

3.3.1 针对单次乘组任务的任务阶段分析法

单次乘组任务是航天员乘组从地面发射到再入返回着陆的整个过程。空间站的安全性分析主要围绕航天员的安全展开，空间站的组建与在轨运营各项工作都是由航天员每班乘组往返飞行任务来完成的，而每次飞行任务中除了空间站系统本身可靠性在变化外(由于空间站系统在轨工作时间长，即使考虑维修，其可靠性也会随时间增加而有所降低)，其他参与任务的系统在每次任务中都是相对独立的。因此，对空间站工程中航天员安全性分析的出发点就是每班乘组飞行无论执行的任务性质(如在轨组装、在轨维修、例行的乘组轮换、开展空间实验等)、任务持续时间长短(短期到访或者长期在轨驻留)以及任务是否能够完成，都要确保航天员能够安全返回。

单次乘组任务可分为发射入轨、交会对接、在轨驻留、再入返回等过程，按照单次乘组任务过程，建立事件链模型如图2所示。初因事件为任务启动，即火箭点火，每个任务过程作为事件链模型的中间事件，后果状态初步定义为:LOC(航天员伤亡)、LOM(任务失败)、OK(任务顺利完成)。在风险模型的基础上，对初因事件与各中间事件进行量化，获得后果状态的发生概率与其它风险信息。

3.3.2 针对空间站系统在轨运营的关键事件识别法

对于空间站系统的PRA，采用关键事件识别法，通过初步构建如图3所示的主逻辑图，将空间站的风险分为功能类风险、任务类风险、内部灾害与外部事件、航天员受伤或丧失工作能力四类，并将每类事件逐层展开，直到识别出初因事件，再针对每个初因事件建立事件链模型。

图2 单次乘组任务事件链模型Fig.2 The scenario of single crew rotation mission

下面以“内部灾害与外部事件”中的核心舱遭受MOD撞击后穿透为例，说明关键事件识别法的风险分析思路。初因事件为“核心舱穿透”，在核心舱穿透后，空间站会采取一系列措施，防止出现事故。定义后果状态为:LOS(机毁人亡)、LOC(航天员伤亡)、EVAC(航天员撤离)与 OK(对空间站与航天员无影响)4种。建立事件链模型如图4所示。在风险模型的基础上，对初因事件与各中间事件进行量化，获得后果状态的发生概率与其它风险信息。

图3 空间站系统PRA主逻辑图(含顶层的四个层次)Fig.3 Top four levels of the space station PRA master logic diagram

图4 空间站系统MOD穿透事件链模型Fig.4 The scenario of MOD penetration into the space station

以上两个例子只是简要说明针对两种不同类型的评估对象，采用的两种不同的PRA思路。随着研究的不断深入，任务阶段的不断向前推进，可用于PRA的产品信息与数据信息逐渐增多，对该模型可以不断细化，使模型与任务的一致度不断增加，使评估结果更为准确、更为丰富。

3.4 工作建议

虽然PRA方法在核电、化工领域以及国外航天领域已经得到了广泛的应用，但是，针对我国载人航天的发展特点，我国空间站要开展PRA工作，还存在着一定的困难，例如，数据信息不足、初因事件的识别缺少经验积累等。因此，在现阶段就应采取相应措施，加强信息的积累与经验积累。

1)制定空间站风险量化评价规范与实施指南，统一工作思路;

2)根据载人航天发展经验与空间站现有资料，识别空间站顶层故障模式，初步建立空间站系统初因事件列表;

3)针对顶层故障模式，明确风险应对策略;

4)建立载人航天工程数据库，积累载人航天用各类产品的数据信息，包括飞行数据、地面试验数据等。

4 结论

选取了NASA三个典型的载人航天项目所开展的PRA工作，对比分析了三个项目PRA开展的背景、实施的目的、方法与评估结果。在此基础上，分析我国空间站的特点，并针对安全性可靠性的指标要求，提出我国空间站工程开展PRA工作的思路与分析方法，以评估空间站的安全性与可靠性，并支持设计改进与工程决策。

［1］NPR 8705.5A TechnicalProbabilistic Risk Assessment(PRA)procedures for safety and mission success for NASA programs and projects［S］.Office of safety and mission assurance.2010

［2］刘金燕，郑恒，郑云青，等.基于概率风险评价的对接机构可靠性评估［J］.载人航天，2012(3):41-45.

［3］NASA/SP-2011-3421 Probabilistic Risk Assessment procedures guide for NASA managers and practitioners［S］.NASA Headquarters Washington，DC.2011.

［4］Prassinos P G，Stamatelatos M G，Young J，et al.Constellation Probabilistic Risk Assessment(PRA):Design considerations for CEV［R］.OSMA-PRA-07-01，NASA Washington，DC.2006.

［5］O’Connor B，Smith C.International Space Station Probabilistic Risk Assessment［R］.NASA PRA workshop.2001.

［6］Fragola J R，Frank M V.Probabilistic Risk Assessment of the space shuttle，A study of the potential of losing the vehicle during nominal operation，final report［R］.NASA-CR-197808，science application international corporation.New York:Advanced technology division，1995.

［7］Fisher W F，Price C R.Space station freedom external maintenance task team final report［R］.Washington，DC:NASA Johnson Space Center，1990，7.

［8］ISO/WD 16193 Probabilistic Risk Assessment［S］.NASA Washington，DC.2004.