一種新研航天器系統可靠性指標論證方法

周文明 李彩霞 廖捷 李孝鵬 李一釗 張桅 段加林

(1 中國航天標準化研究所，北京 100071)(2 中國運載火箭技術研究院，北京 100076)(3 中國航天員科研訓練中心，北京 100094)(4 北京空間飛行器總體設計部，北京 100094)

新研航天器系統可靠性指標論證和最終確定是使用方和系統承研單位共同權衡協調得到的，航天器系統可靠性指標論證過程就是系統可靠性指標確定過程。國內相關行業開展了大量的裝備級、系統級的指標論證工作[1-5]，可以說系統可靠性指標確定是開展實施可靠性相關工作的基礎和開端，也是系統開展研制、試驗及驗證的主要依據。對于時間跨度較大的重大工程(如載人航天工程)，涉及多階段多任務模式的航天器系統研制，除了系統可靠性設計要求值外，不同研制階段應驗證的系統可靠性指標也應當予以明確。多研制階段多任務模式的系統可靠性指標不合理會造成職責不清，階段檢查及驗證標準不明確，甚至會導致執行系統質量與可靠性管理工作困難[6]。在工程實際中，依然存在著可靠性指標越綜合概念越抽象，使用方和系統承研單位職責模糊，系統各層級指標關聯度不高致使指標落實遇到困難等；而且，傳統用單一頂層指標來指導航天器系統研制及驗證工作的觀念，會導致工程不同實施階段航天器系統頂層驗證指標的缺失，影響系統相關設計及各階段驗證評估工作。因此，需要在新研航天器論證初期就提出一套相對完整的系統可靠性指標體系。

在我國航天器研制中，通常給出系統正向可靠性指標要求，在指標論證過程中主要采用可靠性框圖(RBD)方法進行模型構建、分析和論證。經過多年的研究和工程應用，一些國家(如美國)已經形成了一套規范完整的可靠性論證方法，并且開發了相應的標準規范和軟件工具[7-11]。NASA在早期阿波羅計劃中主要采用RBD方法對可靠性指標進行論證，在載人探索體系中，相關研究團隊則采用概率風險評估(PRA)方法分析了執行各種設計參考任務(DRM)的數百種不同發射組合方案。其中，PRA方法的核心思路是事件鏈建模和故障建模[12]。傳統做法是利用RBD方法和PRA方法給出航天器單一的系統頂層指標，并在系統頂層指標基礎上逐次對系統層指標進行分解。然而，對于復雜航天器而言，在工程任務實施不同階段存在不同的任務模式，任務方案和架構也可能會隨工程規劃計劃安排不斷迭代更新，這就會導致單一的系統頂層指標無法滿足航天器研制全周期的指標落實和驗證工作，對一些研制周期跨度大的工程任務來講，工程實施各階段采用單一指標回答航天器系統可靠性水平，需要很多試驗、驗證假設，這會給系統承研單位帶來很多困擾，尤其在研制任務初期沒有累積大量試驗數據的情況下，需要對未來試驗情況進行假設，才能回答指標的符合性。

針對上述情況，本文基于新研航天器可靠性指標論證工作特點，提出了一種可靠性指標論證方法，可為可靠性指標從航天器工程頂層任務規劃、系統、分系統至單機綜合權衡優化提供一套解決方案，既適用于新研航天器系統可靠性指標論證工作，也能從可靠性角度為工程整體的任務規劃提供依據。

1 可靠性指標論證方法

傳統用單一頂層指標指導航天器系統研制及驗證工作，在分階段實施的重大工程項目中，會導致工程不同實施階段航天器系統頂層驗證指標的缺失，影響系統相關設計及各階段驗證評估工作。結合新研航天器指標論證工作特點，采用分階段提出驗證指標(這里是指工程任務特定階段末期航天器系統需回答并驗證的階段可靠性指標要求，即階段可靠性指標門限值)的方式為航天器系統承研單位開展試驗規劃、試驗方案設計、試驗大綱編制等提供科學依據，避免從未來找試驗數據、通過假設數據來驗證當前階段系統可靠性能力的問題。新研航天器系統可靠性指標論證方法具體包含4個步驟。

(1)可靠性指標初步論證。根據國內外相似航天器的可靠性指標論證工作實施情況，針對新研航天器系統典型任務剖面，開展系統可靠性指標初期論證，得到系統層可靠性目標值初值，即可靠性設計要求值，作為系統開展初期設計論證工作的依據。一般，進入系統方案設計階段之前需要明確可靠性設計要求值，作為系統后續研制工作的輸入。

(2)系統全任務周期可靠性增長趨勢圖確定。結合工程任務規劃，依據初期論證的系統可靠性指標開展本系統可靠性指標論證工作，對本系統完成指標的技術能力水平進行預估，并給出當前能力下達到可靠性目標值初值可能的系統全任務周期可靠性增長趨勢圖，即系統成功飛行次數與系統可靠性變化趨勢圖。需要指出的是，任意一次飛行任務的失敗都反映出系統設計、生產、組裝或使用某環節存在重大質量問題，很可能導致研制進度的延遲甚至是研制任務的取消。

(3)基于可靠性指標的工程任務規劃權衡分析。根據工程任務規劃權衡分析系統可靠性指標滿足程度，結合系統現有技術能力水平和系統全任務周期可靠性增長趨勢圖，以最大包絡方式，在確保飛行次數可驗證系統可靠性水平的基礎上，給出任務規劃調整方向并確定工程飛行任務實施類別和次數。

(4)系統可靠性指標目標值(設計要求值)和門限值(階段可靠性指標門限值)確定。根據調整后的任務規劃，采用基于任務剖面鏈思想開展整個系統的可靠性指標確定工作，明確系統可靠性指標的目標值和門限值。

1.1 系統可靠性指標初步論證

復雜航天工程包含多個實施步驟，每個步驟又包含多項飛行任務。例如，我國實施載人航天工程確定“三步走”的發展戰略目標，并就各步驟具體任務進行明確[13]。對于新實施的航天工程來說，明確實施步驟和目標，確定各步驟應開展的任務是開展工程相關系統可靠性指標論證的前提，也是后續工程規劃和任務計劃權衡優化的基礎。

開展航天器系統可靠性指標初期論證，首先應當明確所處工程設計參考任務、基線任務方案和架構，據此進一步分析確定航天器系統任務最大包絡——典型任務剖面，用于系統可靠性指標論證工作。在得到典型任務剖面后，構建不同飛行任務模式下的航天器系統任務剖面鏈模型。對于新研航天器系統而言，需要在典型任務剖面鏈模型的基礎上，根據國外相似航天器的指標論證情況和國內有關航天器數據開展系統不同飛行任務模式下可靠性指標確定工作，在收集相似航天器數據基礎上開展系統自身技術水平和能力的評估，得到在當前技術水平下系統可靠性指標。航天器系統總體單位組織相關承研單位開展系統及以下各層級產品的可靠性指標綜合分析，并在任務剖面鏈分析的基礎上得到系統可靠性目標值初值，多方協調后得到系統可靠性指標初步論證結果，將該初值逐級分解并下發至分系統各級承研單位指導開展分系統初期設計論證工作。圖1給出了系統可靠性指標初步論證基本過程，可以看出，工程設計參考任務分析、系統典型任務剖面確定及任務剖面鏈模型構建是開展系統可靠性指標初步論證的基礎。為了更加合理地提出可靠性設計指標，需要廣泛調研國內外相似航天器相關信息。在利用國外數據信息進行可靠性指標初步論證時，考慮到國外數據的不可獲得性，需要根據實際情況，應增加利用國內航天器數據開展論證工作。

圖1 新研航天器系統可靠性指標初步論證過程

基于任務剖面鏈的可靠性指標論證模型構建，是在PRA方法(事件鏈建模和故障建模)的基礎上結合當前我國航天器可靠性指標工作實際需求提出的?；谌蝿掌拭骀湹目煽啃灾笜苏撟C基本過程如下。①根據工程任務規劃、飛行任務類型、飛行模式及確定的設計參考任務，并在設計參考任務基礎上，確定航天器系統典型任務剖面；②結合工程實施步驟、目標及飛行任務模式等，結合典型任務剖面采用PRA方法給出不同飛行任務模式下的航天器系統任務剖面鏈模型；③基于工程典型任務的任務剖面鏈模型開展航天器系統指標的確定工作；④得到工程典型任務剖面下的系統可靠性指標，即系統可靠性設計要求值；⑤根據不同飛行任務模式下的任務剖面鏈模型，結合典型任務剖面鏈模型及數據，給出不同飛行任務模式下的系統可靠性指標。

1.2 系統全任務周期可靠性增長趨勢圖確定

根據航天器系統可靠性指標初步論證結果，對比分析工程各實施步驟不同飛行任務模式下的系統可靠性指標，并根據工程實施步驟給出系統可靠性指標的增長趨勢圖。

(1)

式中：系統先驗的等效任務成功數sh=nh-rh。

(2)

在得到任務可靠度標準差后，可以對任務可靠度進行歸一化處理，使其近似服從標準正態分布，則按式(3)可以得到歸一化后的統計量，置信度為(1-α)×100%的置信區間如式(4)所示。

(3)

(4)

式中：±zα/2為正態分布雙側區間分位點；α為顯著性水平。

若α=0.3，則0.7置信度下的任務可靠度下限為

(5)

假設航天器系統執行正式飛行任務前需要完成多次試驗飛行任務，試驗飛行任務分為2種類型，按時間順序分別為試驗飛行任務A(NA次)和試驗飛行任務B(NB次)，當順利完成各次試驗飛行任務后，方能執行正式飛行任務，且執行正式飛行任務前，航天器系統滿足規定的系統可靠性設計指標要求。

在得到NAdd次等效試驗飛行任務數據后，假設航天器系統通過試驗數據累積條件下的可靠性增長能力滿足均勻分布模型，且系統試驗時間在研制和試驗飛行任務實施周期Td，t內等分，則可以將NAdd次試驗飛行轉換成Td，t研制周期的可靠性設計及驗證能力，則每年等效試驗飛行次數為

Nann=NAdd/Td，t

(6)

若研制周期為Td，則首次試驗飛行任務A前應完成等效飛行試驗次數為

Nd=Nann·Td

(7)

等效飛行試驗失敗次數(即研制周期Td結束后等效飛行試驗失敗次數)為

rd+=rh

(8)

同樣，可以得到首次試驗飛行任務B前應完成等效飛行試驗次數為

N-B=nh+Nd+NA-rA+

(9)

式中：rA+為試驗飛行任務A的NA次試驗飛行任務中出現任務失敗的次數。

等效飛行試驗失敗次數為

r-B=rh+rA+

(10)

在已知先驗信息基礎上，結合系統等效成功試驗飛行任務次數后驗信息，可以繪制系統可靠度隨飛行任務成功次數變化曲線，從變化曲線中可以看出系統隨成功試驗次數增加的可靠性增長趨勢，同時可以得到已知先驗信息、在當前試驗能力及具體任務規劃基礎上首次試驗飛行任務A、首次試驗飛行任務B及執行正式飛行任務前的系統可靠性，即為研制及試驗飛行任務期間規定階段的系統可靠性門限值，可作為系統不同階段末期可靠性驗證指標，指導系統研制試驗設計、飛行試驗任務規劃等工作。若存在飛行任務模式較多的情況，建議綜合考慮工程任務特點、航天器研制過程及飛行任務模式，以任務剖面覆蓋性作為依據，確定包含不同類型任務模式的最大包絡設計參考任務模式。

1.3 基于可靠性指標的航天器任務規劃權衡分析

在得到航天器可靠性指標設計要求值和不同階段末期可靠性指標驗證要求值(門限值)后，系統總體單位組織分系統及以下承研單位開展進一步論證分析，根據歷史經驗，確定系統關鍵分系統、關鍵單機等，并對關鍵分系統、關鍵單機的驗證能力進行分析，確定關鍵分系統、關鍵單機的驗證能力是否能滿足不同階段系統可靠性指標驗證工作需求。當現有驗證能力能夠滿足指標驗證工作需求時，無需開展航天器飛行任務規劃權衡分析；否則，需要適當調整研制周期和/或任務規劃。

出現工程指標要求達不到的情況時，通過分析得到當前系統可靠性水平下系統進行幾次飛行試驗可以滿足首次試驗飛行任務A和首次試驗飛行任務B可靠性指標要求；在此基礎上，對航天器任務規劃進行調整，明確為滿足規定的指標要求系統研制周期時間跨度增加量、試驗飛行任務A和試驗飛行任務B應成功執行次數。

通常來說，新研航天器系統規劃的飛行任務次數遠遠不能滿足系統可靠性驗證需求，需要開展大量的地面驗證試驗，采用金字塔法對系統可靠性水平進行估計，通過增加地面試驗驗證時間可以減少規劃飛行任務次數的需求。圖2給出了在系統可靠性指標設計要求值和門限值基礎上開展系統任務規劃分析權衡過程。涉及到可靠性指標目標值、門限值的提出，基于任務規劃分析權衡技術的指標優化和任務規劃迭代更新，以及指標合同值的提出和階段性指標預估、評估等工作，同時也給出了系統可靠性指標論證、迭代更新與系統任務規劃和研制過程的相互關系。

圖2 基于可靠性指標的新研航天器系統任務規劃分析權衡過程

從圖2可以看出：在規劃任務均能正確實施的前提下，通過基于可靠性指標的航天器任務規劃分析權衡工作，可以得到更新后的任務規劃。利用更新后的任務規劃，能進一步分析不同飛行任務首次飛行前的可靠性指標要求。若在實際研制過程中某次試驗飛行任務出現重大事故，則需要采用式(1)～(5)對系統可靠性增長趨勢圖進行更新，明確當前的任務規劃和系統研制能力能否滿足系統研制總的任務目標和需求，并應給出任務規劃或系統研制計劃進度調整的決策建議。當然，在實際工程中，如果重大事故完成了歸零工作，相應設計更改也得到了充分驗證，那么可以利用更改后數據結合剩余研制時間和任務規劃中的飛行任務次數，對系統可靠性增長趨勢圖進行迭代。更新后的系統可靠性增長趨勢圖可以為系統研制計劃進度安排提供決策支持。通過系統可靠性增長趨勢圖和系統及以下產品的研制進度情況，可以適時調整研制計劃和具體工作安排。

1.4 工程可靠性指標目標值和門限值確定

根據明確后新的試驗飛行任務A和試驗飛行任務B，采用基于任務剖面鏈的方法開展系統可靠性指標論證和確認工作，針對首次試驗飛行任務A、首次試驗飛行任務B及首次執行正式飛行任務，分別給出系統可靠性指標的目標值和門限值。其中：目標值以執行正式飛行任務為典型飛行任務模式進行論證；基于試驗飛行任務A和試驗飛行任務B次數，采用貝葉斯方法計算得到首次試驗飛行任務A、首次試驗飛行任務B及首次執行正式飛行任務系統可靠性指標，作為門限值。因此，通過基于任務剖面鏈的方法開展工程各種飛行任務模式下的系統可靠性分析論證，可以得到航天器系統可靠性目標值和門限值，隨著研制工作的推進，可將系統指標進一步分解到分系統直至單機部組件級，形成一套完備的可以指導后續系統及以下產品研制工作的可靠性指標體系。

為了避免航天器各層級設計人員處于開環作業的盲目地位，系統可靠性指標要求一旦確定就要轉換為系統各層級的設計要求和生產要求。常用的方法是質量功能展開(QFD)，使用通常稱為“質量屋”的工具，它是把使用方要求轉換為功能要求、物理特性和過程控制的系統工具。

2 實例分析

假設某新實施工程任務包含試驗飛行任務A(規劃3次)、試驗飛行任務B(規劃2次)及正式飛行任務3種任務模式，涉及飛行器包括航天器系統S1、航天器系統S2及運載火箭系統。假設在工程論證階段利用國內外數據得到典型任務模式(正式飛行任務)下可靠性設計要求值分別為0.980 0，0.958 3，0.958 3。采用基于任務剖面鏈的方法對試驗飛行任務A、試驗飛行任務B及正式飛行任務3種任務模式進行可靠性指標論證模型構建，得到3種飛行任務模式下可靠性指標論證任務剖面鏈模型，如圖3所示。

圖3 任務剖面鏈模型

根據任務剖面鏈模型和各階段任務失敗概率，可以采用事件樹仿真方法計算得到不同任務模式下的系統可靠度。其中：①各任務階段可靠度主要通過建立階段任務模型(通常為故障樹)、收集相關歷史經驗數據開展階段任務可靠性評估；②航天器系統各階段任務可靠度則根據各階段任務中系統參與情況，對階段任務可靠性進行解耦，通過任務階段中航天器系統關聯關系及任務功能實現，構建階段任務指標分解模型，計算得到航天器系統在各階段任務可靠度；③利用航天器系統在各階段參與情況及在各階段任務可靠度，利用式(11)開展各系統任務可靠度計算。

(11)

根據式(11)得到不同任務模式下的航天器系統可靠度。假設利用現有條件下相似航天器系統歷史經驗數據得到系統的可靠度不滿足設計目標值要求，詳見表1。從表1中假設數據可以看出：利用當前航天器系統S1、航天器系統S2及運載火箭系統具備的可靠性水平遠遠達不到進行正式飛行任務的要求，因此需要進一步分析任務規劃，從任務可靠性角度明確在開展正式飛行任務前試驗飛行任務A和試驗飛行任務B執行次數；從任務可靠性角度明確第1次試驗飛行任務B前試驗飛行任務A執行次數，以及明確正式飛行任務前試驗飛行任務A和試驗飛行任務B執行次數。

表1 基于歷史經驗數據的系統可靠性預估值及設計要求值

前述假設工程初期任務規劃為試驗飛行任務A成功執行3次和試驗飛行任務B成功執行2次數后，開展正式飛行任務。采用正式飛行任務指標目標值初值數據，根據工程規劃的飛行模式和飛行次數，并根據當前系統可靠性水平分析得到的實施第1次試驗飛行任務A前的系統可靠性水平，采用貝葉斯方法計算首次試驗飛行任務B實施前和正式飛行任務實施前的系統可靠性指標。以航天器系統S1為例，基于當前技術水平，試驗飛行任務A可以達到的可靠性點估計值為0.840 0，可以認為25次試驗飛行任務A有4次失敗，則根據伯努利分布極大似然估計方法，采用式(1)～(5)計算可知，當前航天器系統S1已具備或已具有的可驗證可靠性水平(按工程實際通常取0.7置信度可靠性下限值)為0.763 1，明顯達不到要求。

為了確保正式飛行任務實施前航天器系統S1應具備0.7置信度下可靠度0.980 0的水平，則在試驗飛行任務A和試驗飛行任務B共5次飛行任務均成功實施后，根據式(1)～(5)計算得到實施第1次正式飛行任務前航天器系統S1的0.7置信度可靠性下限值0.866 6，點估計值為0.91，如按0.980 0點估計值為目標值來考核，基于當前設計能力是不滿足要求的。經計算，基于當前設計驗證能力，還需要再成功實施65次飛行任務才能使得航天器系統S1的0.7置信度可靠度下限值達到0.980 0。圖4給出了在已知先驗數據信息基礎上航天器系統S1成功試驗次數對其可靠性的影響?？梢悦黠@看出：航天器系統S1隨成功試驗次數增加的可靠性增長趨勢。同樣，基于表1數據可以得到航天器系統S2和運載火箭系統可靠性隨成功飛行試驗次數增加的增長趨勢。

圖4 系統任務可靠度隨飛行任務成功次數變化趨勢(0.7置信度)

這里假設工程規劃完成試驗飛行任務A成功執行3次，試驗飛行任務B成功執行2次的時間周期為3年，飛行任務實施前研制時間為5年，同時假設航天器系統S1通過試驗數據累積條件下的可靠性增長能力滿足均勻分布模型，且航天器系統S1試驗時間在8年周期內等分，則可以將65次飛行試驗轉換成8年研制周期的可靠性設計及驗證能力，則每年等效飛行試驗次數為65/8，則5年研制末期首次試驗飛行任務A實施前應完成等效飛行試驗41次，采用貝葉斯方法計算得到5年研制末期可靠度為0.967 9。假設試驗飛行任務A執行3次所需時間為2年，則首次試驗飛行任務B實施前等效飛行試驗次數為60次，采用貝葉斯方法計算得到首次試驗飛行任務B實施前可靠度為0.977 1。假設試驗飛行任務B執行2次任務所需時間為1年，則首次正式飛行任務實施前等效飛行試驗次數為70次，采用貝葉斯方法計算得到首次正式飛行任務實施前可靠度為0.980 0。根據以上計算結果，可以得到不同階段的航天器系統S1可靠性指標的門限值和目標值，如表2所示?？梢钥闯觯翰煌A段的設計要求值0.980 0不變，而首次試驗飛行任務A、首次試驗飛行任務B及首次正式飛行任務的門限值在不斷提高，即設計可驗證值隨研制任務進展而不斷增加。

表2 航天器系統S1可靠性指標要求

航天器系統可靠性驗證工作可以減少到很短的時間。但是對于新研航天器來說，其影響研制進度及試驗規劃的因素很多，一些關鍵產品(如發動機)的設計、試驗驗證到批生產需要很長周期，甚至一些關鍵產品生產制造也會耗費大量的時間[14-16]，因此，假設系統通過試驗數據累積條件下可靠性增長能力滿足均勻分布模型是一種理想情況，在新研產品可利用試驗驗證能力信息不足的情況下可以近似處理。對于復雜航天產品來說，其相關能力的驗證評價需要系統策劃和合理有效方法做支撐。

采用同樣的方法可以得到航天器系統S2和運載火箭系統的可靠性指標要求，包括門限值和設計要求值。其中：設計要求值是各系統開展研制設計的依據，在實際工程中，通常要保證將來0.7置信度下的系統可靠度0.980 0可驗證，系統方案設計時應保證其系統設計的固有可靠度不低于0.990 0，有時設計值甚至會高于設計要求值一個數量級。這樣的設計方式存在很大的余量，可以確保在設計、制造、裝配及操作等不確定性因素影響下系統的可靠性水平盡可能達到規定的要求。

3 結束語

本文在分析國內外航天工程可靠性指標論證情況的基礎上，結合我國航天器研制特點，提出一種新研航天器系統可靠性指標論證方法。以實例形式給出了航天器系統可靠性指標論證過程，介紹了結合研制任務周期、任務實施周期、任務模式及航天器系統歷史經驗數據等開展各階段門限值的確定方法，給出了具體的計算流程和公式，實現了從單一設計指標(設計要求值)向階段驗證指標(各階段門限值)過渡。針對基于數字化研制的新模式下的指標論證新需求，本文方法既適用于新研航天器系統可靠性門限值指標論證工作，也能從可靠性角度為工程整體的任務規劃計劃提供依據，對其他航天產品的可靠性指標論證工作也有借鑒作用。