系统安全性分析技术在空空导弹中的应用

    

    

    

    摘要: 安全性是产品的一种固有属性, 系统安全性分析是识别系统危险的有效手段。 为促进系统安全性分析在空空导弹型号研制中有效开展, 阐述了由危险演变为事故的机理, 建立了基于事故机理的安全性分析框架, 结合空空导弹研制特点, 以具体实例研究了危险分析工作项目如何围绕事故场景展开, 为指导型号系统安全性分析工作的开展提供了一种新的思路和方法。

    关键词: 安全性分析; 事故机理; 事件树; 故障树

    中图分类号: TJ760.7文献标识码: A文章编号: 1673-5048(2016)04-0074-04

    Abstract: Security is an inherent attribute of product, and the system safety analysis is an effective method to identify the system risk. In order to promote the system safety analysis work carried out effectively in the research of airtoair missile, the mechanism of the dangerous becomed accident is described, the framework of safety analysis based on accident mechanism is established. Combined with the research characteristics of airtoair missile, a specific example is used to study how to develop risk analysis work project around the accident scene, which provides a new thought and method for the work of system safety analysis.

    Key words: safety analysis; accident mechanism; event tree; fault tree

    0引言

    安全性是产品的一种固有属性, 确保安全是武器装备研制、 生产、 使用和保障的首要要求[1]。 近些年, 由于武器装备系统越来越复杂, 武器装备发生了很多重大安全性事故, 装备系统的安全性问题日益突出, 为提高系统的安全性, 亟待深入开展系统安全性分析工作。

    国外在武器装备的研制中, 都明确要求贯彻美军标MIL-STD-882, 开展系统安全性分析工作。 由于保密等原因, 国外在其武器装备的研制过程中如何进行系统安全性分析尚不得而知。 当前, 国内GJB900以及GJB/Z99等相关标准和规范对安全性分析的有关工作项目及分析技术作了阐述[2-3], 但如何有效、 系统化地开展安全性分析工作, 标准中并没有明确说明。

    空空导弹现阶段主要对火工品自身安全、 发射分离安全等方面开展了一些设计分析工作[4-8], 系统安全性分析工作还处于摸索阶段。 安全性分析的技术方法很多[3,9], 例如安全性检查表、 初步危险分析、 故障模式及影响分析(FMEA)、 故障树分析(FTA)、 事件树分析(ETA)等, 而如何高效的应用这些分析方法识别导弹系统中所有危险因素还需深入研究。

    本文将空空导弹各研制阶段安全性分析工作和辨识事故机理相结合, 通过逐步、 深入地鉴别事故场景及其要素, 达到系统安全性分析的目的。

    1事故机理

    航空兵器2016年第4期周光巍: 系统安全分析技术在空空导弹中的应用危险是可能导致事故的状态或情况, 如毒性、 能量、 放射性等, 是事故发生的前提或条件, 可以用危险模式或危险场景来表达。 对于一个系统或设备而言, 危险是客观存在的, 是与系统或设备的工作特性或工作需要以及周围环境相伴随的。 以空空导弹为例, 为实现一定的功能或损伤目标, 空空导弹不可避免地要使用火工品、 炸药、 固体推进剂等危险物质。 事故是造成人员伤亡、 职业病、 设备损坏或财产损失的一个或一系列意外事件[2], 是一有序的事件集, 是危险导致的结果。

    危险不一定会导致事故的发生, 只有危险(在一定条件下)的失控才会造成各种各样的损害。 硬件或软件故障、 有害环境以及人为差错往往仅是造成这种危险失控的某种原因或条件, 导致某种不期望的事件发生, 若对这些不期望事件的控制措施失效, 则将可能导致事故的发生。 危险发展为事故的过程, 即事故机理如图1所示[10]。

    2安全性分析框架

    事故机理清晰地描述了事故的发生和发展过程, 系统安全性分析的目的就是要鉴别出所有可能的事故场景, 将系统风险控制在可接受的水平。 因此, 型号的安全性分析框架应以事故机理为基础来辨识事故场景, 进而采取针对性的控制措施, 达到系统安全的目的。 基于事故机理的安全性分析框架如图2所示 [11]。

    从图2可以看出, 型号系统安全性分析工作主要包括危险分析和风险评价两方面。 系统安全性分析工作贯穿型号研制各阶段, 在不同的研制阶段, 产品设计的详尽程度不同, 安全性分析的详细程度也不一样, 事故场景的识别也逐步细化。 在型号研制的早期, 系统设计不详细, 通过危险分析只能识别出粗略的事故场景, 进行定性的风险评价; 随着系统设计的深入, 事故场景的识别也在不断地细化, 进而可以进行定量的风险评价。

    2.1初步危险表(PHL)

    初步危险表(PHL)是一份危险清单, 初步列出产品中可能需要特别重视的危险或需做深入分析的危险部位。 通过制定初步危险表可以有效识别事故的源头。

    在型号论证和方案阶段就应审查全弹和各组件的设计方案, 编制初步危险表, 确定设计中可能存在的危险因素, 为初步危险分析和分系统危险分析确定分析范围。

    危险辨识过程中应参照GJB/Z99, 按照物理现象对危险进行的分类, 主要有: 环境危险、 热、 压力、 毒性、 振动、 噪声、 辐射、 化学反应、 污染、 材料变质、 着火、 爆炸、 电气、 加速度和机械等共15类危险。 另外, 危险辨识过程要注意不同工作过程危险形式的变化, 以某型空空导弹固体火箭发动机为例, 其危险辨识过程如图3所示。

    2.2初步危险分析(PHA)

    PHL为初步危险分析(PHA)确定了分析范围, PHL制定后应及时开展PHA。 以图3中危险源“点火装置”为例进行初步危险分析, 如表1所示。 由表1可知, 通过初步危险分析可以初步确定构成系统中事故的潜在条件和引发事件; 制定的预防控制措施可以为安全性设计准则的制定和完善提供有效输入; 另外, 进行定性评价之后能够大致了解系统的风险水平。

    PHA应在型号方案和工程研制的早期开展, 后期才开始PHA, 后期可能存在的设计更改将受到限制, 而且不可能通过这种分析来确定初步的安全性要求[3]。 此时的分析是不详细的, 尽管确定了相关的潜在条件, 但通过PHA可能不足以确定造成危险条件的原因, 因而也无法识别具体的引发事件。 由于没有深入到具体的分系统以及详细的系统设计, 因此, 不能准确地描述事故发展的过程, 也无法对系统的风险进行定量的评价。 若分系统的设计已达到可进行详细的分系统危险分析, 则应终止PHA。

    2.3分系统危险分析(SSHA)

    在工程研制初样阶段的后期或试样阶段的早期应开展分系统危险分析(SSHA)。 SSHA用于识别与分系统设计有关的危险(包括硬件或软件的故障、 人为差错等)和组成分系统部件之间的接口关系所导致的危险。

    SSHA深入到分系统内部, 通过选择具体的危险分析技术来确定造成潜在条件的原因, 并具体地确定事故的引发事件。 SSHA应在PHA的基础上开展, 可以通过FMEA和FTA等危险分析技术对表1中的“点火控制电路故障”和“飞控误输出点火指令”等引发事件进行进一步的分析, 进而确定导致“点火控制电路故障”和“飞控误输出点火指令”深层次的原因, 明确其故障机理, 进一步完善事故场景。 以“点火控制电路故障”为顶事件进行故障树分析, 如图4所示。

    2.4系统危险分析(SHA)

    在工程研制试样阶段的后期应开展系统危险分析(SHA)。 SSHA只能识别分系统本身的事故场景, SHA则通过识别各分系统以及系统与环境、 系统与操作人员之间接口的危险, 进而确定引发事件之后的事故进程。 为了描述完整的事故场景并定量评价系统运行的风险, 一般采用主逻辑图(MLD)、 ETA与FTA相结合的方法[12-13], 其综合关系如图5所示。

    系统危险分析主要内容如下:

    (1) 确定初因事件。 根据系统运行的历史资料并借鉴PHA和FMEA等安全性和可靠性分析资料, 编制出引发事件的清单; 另一方面, 在条件允许时, 也可以通过MLD的分析方法用于确定或补充系统的引发事件的清单。

    (2) 引发事件分组。 为了简化分析过程, 减少后续项目中ETA和FTA的工作量, 在得到初因事件清单后, 需要对初因事件进行重新分组。

    (3) 事故链建模。 系统的事故链通常采用事件树进行描述。 当引发事件确定以后, 按后续事件成功或失败(二态)分析各种可能的结果, 直到到达系统故障或事故为止。

    (4) 场景事件建模。 事故链模型中的场景事件一般用故障树来描述。 FTA首先把事件树中的决策分支点事件的故障状态作为故障树的顶事件, 然后找出顶事件发生的所有可能的原因组合, 直到确定底事件为止。

    以表1中确定的引发事件“电磁干扰”为例进行事故链建模, 如图6所示。 将“点火控制电路滤波失效”、 “热电池意外点火”、 “点火装置意外解除保险”故障树分析的顶事件进行场景事件建模, 就形成了完整的事故场景。 如果有基础失效数据作为支撑, 就可以对该事故场景风险进行定量评价。

    3结论

    从危险和事故的定义出发, 在详细阐述事故机理的基础上建立了基于事故机理的安全性分析框架, 并以具体实例为说明就危险分析工作项目如何围绕事故场景展开进行了研究, 使安全性分析各环节有机衔接、 相辅相成、 达到目标, 保证了安全性分析的系统性和有效性, 提高了系统安全性分析的可操作性。 提出的基于事故机理的安全性分析技术可为型号系统安全分析工作提供一定的借鉴意义。

    参考文献:

    [1] 赵延弟. 安全性设计分析与验证[M]. 北京: 国防工业出版社, 2011.

    [2] 国防科学技术工业委员会.GJB900-90系统安全性大纲[S].

    [3] 国防科学技术工业委员会.GJB/Z99-97系统安全工程手册[S].

    [4] 陈升, 杨庆贺. 导弹安全发射技术研究[J]. 航空兵器, 2002(5): 17-19.

    [5] 张胜利, 倪冬冬.机载导弹武器系统导轨式发射的安全性设计[J].航空兵器, 2004(6): 24-27.

    [6] 周海云, 付艳华, 吕志彪.携行导弹火工品系统安全性定量分析方法初探[J].航空兵器, 2009(2): 53-56.

    [7] 黄少波, 沈欣, 李秋菊.空空导弹发动机点火系统安全性设计[J].航空兵器, 2008(1): 26-30.

    [8] 沈颖, 孙江涛.电子安全和解除保险装置在电磁环境中的安全性试验和评定方法[J].航空兵器, 2007(5): 23-25.

    [9] 邵辉. 系统安全工程[M]. 北京: 石油工业出版社, 2008.

    [10] Kumamoto H, Henley E J. Probabilistic Risk Assessment and Management for Engineers and Scientists [J]. International Jounal of Systems Applications Engineering & Development Issue, 1996, 41(5): 751-752.

    [11] 颜兆林. 系统安全性分析技术研究[D]. 长沙: 国防科学技术大学, 2001.

    [12] 颜兆林, 龚时雨, 周经伦. 概率风险评价系统[J]. 计算机应用研究, 2001, 18(2): 40-42.

    [13] 任陪, 周经伦, 郑龙,等. 基于PRA方法风险评价系统的设计与研究[J]. 计算机应用研究, 2007, 24(6): 91-93.