卫星安全性设计的分析评价策略
2014-12-28王志勇郭秉毅刘洋
王志勇 郭秉毅 刘洋
(1 中国空间技术研究院,北京 100094)(2 北京控制工程研究所,北京 100190)
1 引言
随着卫星系统安全性设计标准化工作和卫星质量管理工作的不断深入,卫星系统安全性设计已被纳入安全性设计标准化达标考核中。卫星安全性设计有关标准规定了非常详细的安全性设计内容和要素,但需要系统设计师进行适用性选取和删除,因此,研究简单、优化的安全性设计流程和安全性设计的基本内容,对于规范和指导系统设计师开展卫星系统安全性设计非常有意义。
卫星的安全性设计与可靠性设计相辅相承,在普遍重视可靠性设计的前提下,有必要在成熟的可靠性工程基础上,进一步探索有效开展安全性保证和安全性设计工作的新方法、新思路。卫星安全性设计,如火工品安全性设计、载人飞船生保系统安全性设计、卫星推进系统安全性设计等,对仪器设备和人员安全非常重要。文献[1]中简述了要开展卫星安全性设计的8种情况。文献[2]中给出了一种单相流体回路的安全性设计方法和经验。确保卫星安全性设计的全面性和有效性,需要一种系统的方法流程。目前,卫星的安全性设计分析通常采用故障模式与影响分析(FMEA)方法[3],这是一种系统安全性和可靠性设计的常用方法,它将系统进行分割,划分为子系统、设备和元件,分析各自可能发生的故障模式及产生的影响,以制定相应措施提高系统的安全性与可靠性。FMEA 方法的目标是辨识系统的故障模式及每种故障模式对系统的影响。文献[4]中阐述了FMEA 方法在机械产品设计中的应用,文献[5]中阐述了复杂系统的FMEA 方法,文献[6]中阐述了油气管道安全性预评价的FMEA 方法。然而,FMEA 方法更多侧重于系统产品的故障分析。安全工程认为,故障是指元件、子系统、系统在规定的运行时间、条件内达不到设计规定的功能,而事故是指人身伤亡和财产损失,可能是由功能故障引起的,也可能是在不发生功能故障时发生[7]。为了在安全性设计中兼顾故障、事故和各类危险等综合因素,本文在FMEA 方法指导系统安全性设计的基础上,将FMEA 方法与其他安全性分析方法相结合,形成简明的组合分析流程和可操作的流程化表格,以利于系统设计师重点考虑与系统产品有关的各种危险源及其后果带来的安全性风险,可为安全性设计输入和安全性设计验证等提供有效的闭环管理方法。
2 卫星安全性设计和可靠性设计的关系
卫星安全性设计通常被纳入到卫星可靠性工程范畴,可靠性的目标是保证产品在任务运行期间功能正常,安全性的目标是保证人员和卫星产品、地面设施与设备的安全,保护环境不受污染。一般,可靠性工程以可靠性保证为中心,并将可靠性作为安全性的后盾。可靠性和安全性有时是统一的,有时又是对立的。
(1)统一性指可靠性分析结果和采取的控制措施与安全性分析的一致。例如,推进系统的主要故障模式是管路系统的外泄漏,外泄漏会导致系统功能失效和安全事故,可靠性设计和安全性设计分析结果都认为是重要危险,采取的措施都是增加设计裕度和加强产品质量控制,增加系统状态监控压力传感器,设置可用于故障隔离的自锁阀等。
(2)对立性指可靠性分析结果及采取的控制措施与安全性分析的不一致。以图1中火工电路开关安全性设计为例,图中设计有3道开关,这是为了在轨飞行或地面测试中防止由于误操作出现误爆而进行的安全性设计,3道开关中只要有1道以上断开,火工装置就不会起爆。但是,1道开关可以解决的问题,却设计3道开关,这就降低了火工装置点火功能的可靠性。
图1 火工电路开关Fig.1 Switch of initiator circuit
系统设计师开展安全性设计,应清楚掌握可靠性设计和安全性设计的关系,以在系统设计中平衡两种设计的利弊,提出最优设计方案。
3 安全性设计综合分析评价策略
鉴于卫星可靠性工程开展的良好基础,对于卫星的安全性设计分析,可以在FMEA 方法基础上结合其他安全性分析方法进行综合分析,如初步危险分析(Preliminary Hazard Analysis,PHA)方法、安全检查表分析(Safety Checklist Analysis,SCA)方法等。若涉及火灾和爆炸危险,还可以结合火灾爆炸危险指数评价方法、池火灾伤害数学模型分析方法等[8],从不同角度对卫星危险性进行定性、定量分析和评价,实现对危险源危险性的全方位描述;甚至还可以把人的不安全行为反映到FMEA 方法的分析中,认为人员错误操作是会出现的,安全性设计须要统筹考虑人的不安全行为造成物的不安全状态,如电缆接插件的防插错设计,防电缆焊接错误的色标设计等。下面以采用FMEA、PHA、SCA 组合方法为例,阐述卫星安全性综合分析评价策略。
一般,安全性设计的FMEA 方法可以归纳为4个步骤:①确定分析对象系统,查明组成系统的元素(子系统或单元)及其功能;②分析元素故障类型和产生原因,依据经验和有关故障资料分析、讨论可能产生的故障模式和原因;③研究故障模式的影响,研究、分析元素故障对相邻元素、邻近系统和整个系统的影响;④制定故障的预防对策,尤其是单点故障对策,填写故障模式与影响分析表格。
安全性设计的PHA 方法可以归纳为6 个步骤:①通过经验判断、技术诊断或其他方法调查确定危险源,对所需分析系统的生产目的、物料、装置设备、工艺过程、操作条件及周围环境等,进行充分详细的了解;②根据过去的经验教训,以及同类行业生产中发生的事故情况对系统的影响、损坏程度,类比判断所要分析的系统中可能出现的情况,查找能够造成系统故障、物质损失和人员伤害的危险性,分析事故的可能类型;③对确定的危险源分类,制成初步危险性分析表;④转化条件,即研究危险因素转变为危险状态的触发条件和危险状态转变为事故的必要条件,并进一步寻求对策,检验对策的有效性;⑤进行危险性分级,排列出重点和轻、重、缓、急次序,以便处理;⑥制定事故的预防性对策。
安全性设计的SCA 方法可以归纳为3个步骤:①把检查对象分解,将大系统分割成若干小的子系统;②以提问或打分的形式,将检查项目列表;③逐项检查,避免遗漏。
将FMEA、PHA、SCA 方法组合应用于卫星安全性综合分析,须要明确目标、准则和方法,将大系统的分析结果作为系统产品安全性设计的输入,将风险评价作为安全性设计的改进要求,以系统产品安全性设计方案风险评级作为系统产品安全特性表征值。其中,SCA 方法在卫星安全性设计的应用,可以结合安全生产标准化实施,实施过程一般至少包含以下几个方面。
(1)明确系统安全性设计目标、准则和方法。
(2)扩大分析对象。将分析对象从系统产品本身扩展到包括系统产品、系统产品使用环境和人员的大系统。具体可分为两部分:①查明组成系统产品的元素(子系统或单元)及其功能。②查明系统产品相关的使用人员素质、使用环境、相邻系统或设备情况、相邻危险物质情况、周边区域人员分布情况。
(3)扩大故障分析范畴。既识别分析系统产品的故障类型和产生原因,也分析大系统(系统产品、系统产品使用环境和人员等)存在的危险源。
(4)扩大影响分析。既研究、分析系统产品元素故障对相邻元素、邻近子系统和整个系统产品的影响,也分析大系统存在的危险源的相互影响域。
(5)安全性设计实施与验证。
(6)安全性设计风险评价。
(7)系统安全性设计方案风险定级。
4 安全性设计分析流程和表格化管理
为简明阐述卫星安全性设计分析,可以建立一种卫星安全性设计流程和表格化管理方法。
设计流程内容主要如下。
(1)定义目标。首先要确定系统安全目标或确定一个可以度量安全性的标准,以控制、评价系统设计、生产、试验、使用过程中的安全性。
(2)选择安全性设计方法。掌握全面的安全性设计方法是系统安全性设计的前提。系统产品安全性设计一般涉及到多个方面,如能量控制设计、危险消除控制设计、损伤抑制设计、状态监控设计、故障-安全设计、安全告警设计、安全标志设计、隔离设计、故障或事故模拟设计等。设计师应掌握有关的设计方法。
(3)明确安全性设计准则。从系统产品可能涉及的有毒有害危险因素、危险能量、特种设备、防护与安装、使用维修、事故应急救援等方面,明确提出每个方面在系统安全性设计中必须包括的若干设计要素和要求,如防辐射准则、耐压准则、防火防爆准则、防护和安装准则、连结与固定准则,以及使用维修、事故应急救援准则等。
(4)系统分析。系统分析的目的在于了解系统产品的功能、组成、工作过程及使用条件;了解包括系统产品、系统产品使用环境和人员的大系统的组成、运转情况。可以从人、设备产品、环境和管理4个方面分析安全管理和安全技术的薄弱环节。
(5)故障和危险识别。故障和危险识别是系统安全工作流程中的关键环节,要从产品、过程、危险要素3个维度识别潜在危险源和可能发生的故障/事故。如果不能识别出所有的危险源和故障/事故类型,就不能充分地控制危险,更不可能保证系统的安全。因此,应全面地识别已存在的和潜在的危险源和故障/事故类型,做到一个不漏。完成该项工作可以形成危险源-故障/事故清单,它是安全性设计分析的基础。设计师可以对照GB/T 13861-2009所归纳总结的危险种类着手对照识别。
(6)风险预评价。危险分析与风险预评价是在危险源-故障/事故清单基础上,分析每一种危险源与系统安全性设计的关系,并对照危险严重性和可能性分类准则,进行风险评价,绘制风险分析矩阵和风险指数等级图。对各危险事件进行风险评价,绘制风险雷达图,确定接受与否,并确定对哪些危险要采取安全措施,以消除或减少对系统的影响。
(7)故障/事故影响域分析。绘制系统产品内部故障影响关联图和系统产品外部其他系统与系统产品的故障影响关联图,重点研究危险转化条件。
(8)确定本质安全性设计措施。对不可接受风险的危险项目,均要采取消除、减少或控制危险的本质安全性设计措施,即要从产品设计上采取措施,要对照安全性设计准则修改设计,以求消除危险或将危险降低到可接受水平。系统产品本质安全性设计措施一般包括能量控制设计、危险消除控制设计、损伤抑制设计等。这项工作的重点是通过设计消除危险。
(9)本质安全性设计措施验证及风险控制效果评价。对消除、减少或控制危险的实施效果,还要进一步进行验证和风险评价,以确定在采取措施后能否将危险的风险降低到可接受水平,是否会产生新的危险源。
(10)确定安全性防护设计措施。对通过系统产品本质安全性设计措施无法消除、减少或控制的危险,采取安全性防护设计措施消除、减少或控制残余危险。安全性防护设计一般包括隔离设计、故障-安全设计等。这项工作的重点是通过设计减少危险发生的次数和后果。
(11)安全性防护设计措施验证及风险控制效果评价。对安全性防护措施消除、减少或控制残余危险的实施效果,还要进一步进行验证和风险评价,以确定在采取措施后是否能将危险的风险降低到可接受水平,是否会产生新的危险源。
(12)确定安全性监控报警设计措施。对通过系统产品安全性防护设计措施无法消除、减少或控制的残余危险,采取监控报警设计措施进行监控。系统产品监控报警设计一般包括安全告警设计、安全标志设计等。这项工作的重点是通过设计在危险发生前减少损害。
(13)安全性监控报警设计措施验证及风险控制效果评价。对监控报警措施消除、减少或控制残余危险的实施效果,还要进一步进行验证和风险评价,以确定在采取措施后能否将危险的风险降低到可接受水平,是否会产生新的危险源。
(14)安全性设计评价评级。评价系统的安全性是否满足要求:如果满足要求,批准设计方案,并进行风险评级;否则,修改系统安全性设计方案,或对指标要求重新进行论证,或作出其他管理决策。
在实际应用中,上述流程可以适当合并或增减。表1为按照安全性分析流程建立的卫星安全性设计分析表,图2为安全性分析流程示意。
图2 安全性分析流程示意Fig.2 Sketch of safety analysis flow
5 安全性设计综合分析评价策略应用示例
下面以卫星推进系统在轨推进剂传输加注为例,阐述系统安全性设计。卫星推进系统在轨加注技术是空间飞行器领域的前沿技术,可以采用贮箱在轨更换和在轨推进剂传输2种方式。假设对上述系统进行安全性设计,采用综合分析法分析评价,分析步骤和内容见表2。
表2 分析步骤和内容Table 2 Analysis procedures and contents
续 表
图3 风险矩阵Fig.3 Array of risk
图4 危险事件风险雷达图Fig.4 Risk radar chart of hazards
图5 危险事件影响关联图Fig.5 Influence interaction chart of hazards
上述示例显示,安全性设计综合分析评价策略的应用具有流程简明、表格化清晰的优点,即以一份表格统筹安全性设计的全部内容和开展结果。第1步是以目标管理为起点制定安全性目标“推进剂传输加注和在轨加注零泄漏,地面测试人员零伤害”。第2步、第3步分别提出了规范化的设计方法和设计准则选用范围。第4步开始分析系统组成、工作流程和原辅材料。第5步通过系统分析,按照设计方法和设计准则模块化提示,识别5项危险源,并根据系统分析选择示例需要的安全性设计方法和准则。第6步对识别的5项危险源按照风险矩阵法进行初步风险评估。第7步为影响域分析,要求设计师重点分析控制某项危险事件时对其他事件的影响,研究各个风险相互转化的条件,避免安全性设计控制措施带来新的更大的风险。第8步是设计师在全面考虑危险源和风险控制原则的前提下,开始开展本质安全性设计,表2中针对5项危险源提出了3种本质安全性设计措施,应用了所选用的设计方法和准则。第9步要求设计师采用仿真或试验验证等手段,验证本质安全性设计措施的有效性,并利用风险矩阵法评估系统采用安全性设计后的风险控制效果。如果不满足要求,需要重新设计。第10步是设计师确定安全性防护设计措施,示例中提出1种安全性防护措施,应用了所选用的设计方法和准则。第11步要求设计师采用仿真或试验验证等手段,验证安全性防护措施的有效性,并利用风险矩阵法评估系统采用安全性设计后的风险控制效果。如果不满足要求,需要重新设计。第12步是设计师确定安全性监控报警设计措施,示例中提出1种监控报警设计措施“泄漏监控检测设计”,应用了所选用的设计方法和准则。第13步要求设计师采用仿真或试验验证等手段,验证安全性监控报警设计措施的有效性,并利用风险矩阵法评估系统采用安全性设计后的风险控制效果。如果不满足要求,需要重新设计。第14步要求设计师采用SCA 方法和风险矩阵法,对整个系统的安全性风险进行最终确认和风险等级评定。
6 结束语
对于安全性风险而言,控制风险方法的优先顺序是消除、替代、降低、限制和个体防护,而安全性设计是从源头降低安全性风险最经济、最本质的手段。采用安全性设计综合分析评价策略开展安全性设计是一种尝试,本文以卫星推进系统在轨加注为例进行了探讨,卫星其他系统的安全性设计可以参照此示例,在FMEA 方法基础上结合PHA 和SCA 方法进行。系统设计师还可以参照上述分析过程,在FMEA 方法基础上结合火灾爆炸危险指数评价、池火灾伤害数学模型分析等其他方法开展安全性设计。本文的安全性设计综合分析评价策略提出了一种卫星安全性设计具体、简明的流程,便于卫星系统安全性设计的开展。
(References)
[1]唐伯昶.卫星安全性设计[J].航天器工程,1994,3(4):1-5 Tang Bochang.Safety design of satellite[J].Spacecraft Engineering,1994,3(4):1-5(in Chinese)
[2]于新刚,范宇峰,黄家荣,等.单向流体回路安全性设计[J].航天器工程,2012,21(5):70-75 Yu Xingang,Fan Yufeng,Huang Jiarong,et al.Safety design of single-phase fluid loop[J].Spacecraft Engineering,2012,21(5):70-75(in Chinese)
[3]周海京,遇今.故障模式影响及危害性分析与故障树分析[M].北京:航空工业出版社,2003 Zhou Haijing,Yu jin.FMECA and FTA analysis[M].Beijing:Aviation Industry Press,2003(in Chinese)
[4]刘小莹.基于FMEA/TIPS的机械产品设计方法及支持系统研究[J].西华大学学报(自然科学版),2011,30(4):53-57 Liu Xiaoying.Product design method based on FMEA/TIPS and support system[J].Journal of Xihua University(Natural Science),2011,30(4):53-57(in Chinese)
[5]杨建军,黎放,魏军.基于功能模型的复杂系统FMEA方法[J].海军工程大学学报,2009,21(4):103-107 Yang Jianjun,Li Fang,Wei Jun.On complex system FMEA method based on functional modeling[J].Journal of Naval University of Engineering,2009,21(4):103-107(in Chinese)
[6]胡灯明,郑志强.油气管道安全预评价的FMEA 方法分析[J].石油化工安全环保技术,2010,26(4):21-25 Hu Dengming,Zheng Zhiqiang.Failure mode and effect analysis of oil and liquefied petroleum gas tube[J].Petrochemical Safety and Environmental Protection Technolgy,2010,26(4):21-25(in Chinese)
[7]何学秋.安全工程学[M].北京:中国矿业大学出版社,2000 He Xueqiu.Safety engineering[M].Beijing:China University of Mining and Technology Press,2000(in Chinese)
[8]魏新利,李惠萍,王自健.工业生产过程安全评价[M].北京:化学工业出版社,2005 Wei Xinli,Li Huiping,Wang Zijian.Safety evaluation of industry production process[M].Beijing:Chemical Industry Press,2005(in Chinese)
[9]魏延明,潘海林.空间机动服务平台在轨补给技术研究[J].空间控制技术与应用,2008,34(2):18-22 Wei Yanming,Pan Hailin.Research on on-orbit refueling of maneuverable platform[J].Aerospace Control and Application,2008,34(2):18-22(in Chinese)
[10]于洋,丁风林,宗光华.在轨加注用超声波流量计的设计与试验[J].中国空间科学技术,2012,32(4):77-83 Yu Yang,Ding Feng1in,Zong Guanghua.Design and test of all ultrasonic flow meter for orbital refueling[J].Chinese Space Science and Technology,2012,32(4):77-83(in Chinese)
