GB T 29075-2012 航天器概率风险评估程序.pdf

《GB T 29075-2012 航天器概率风险评估程序.pdf》由会员分享，可在线阅读，更多相关《GB T 29075-2012 航天器概率风险评估程序.pdf（32页珍藏版）》请在麦多课文档分享上搜索。

1、道BICS 49. 140 V 05 中华人民共和国国家标准GB/T 29075-2012 航天器概率风险评估程序ProbabHistic risk assessment procedure for spacecrafts 2013-07-01实施2012-12-31发布发布中华人民共和国国家质量监督检验检夜总局中国国家标准化管理委员会飞rfk飞hGB/T 29075-2012 目次前言.1 引言. . . II 1范围-2 规范性引用文件.3 术语和定义4 缩略语.5 一般要求.6 PRA总体流程.2 7 PRA实施程序.8 PRA结论及报告要求.8 附录A(资料性附录常用的风险重要度计算方

2、法.9 附录B(资料性附录)某航天器泵动力系统PRA示例.11前本标准按照GB/T1. 1-2009给出的规则起草。本标准由中国航天科技集团公司提出。本标准由全国宇航技术及其应用标准化技术委员会(SAC/TC425)归口。GB/T 29075-2012 本标准起草单位z中国航天标准化研究所、中国航天运载火箭技术研究院、中国航天空间技术研究院、上海航天技术研究院、中国航天科工集团第二研究院、中国航天科工集团第三研究院。本标准主要起草人z郑恒、刘春雷、遇今、卿寿松、顾长鸿、任立明、陈凤襄、周海京、李福秋、刘金燕、周惆、邵德生、肖名鑫、刘志全、谷岩、王静、郑云青、刘志、饶枝建、刘j婷、王晶燕、李文钊

3、、赵海祷。I GB/T 29075-2012 引言【本标准属于中国航天国家标准体系。中国航天国家标准体系适用于航天领域国家标准的制修订和管理，覆盖航天管理、航天技术、航天应用与服务三大领域，是指导航天器和运载火箭项目管理、工程研制、航天发射服务、卫星在轨应用等活动的依据。航天器系统复杂、技术密集，在其研制和运行过程中存在很高的安全风险和任务风险。作为最具系统性的定量风险评估方法，概率风险评估技术可以定量评估航天器的安全风险和任务风险，识别系统、分系统和设备的薄弱环节，为设计方案优化权衡、可靠性安全性关键项目确定、风险控制策略制定及风险眼踪提供量化依据和决策支持。为进一步推广和规范概率风险评估技

4、术在航天领域及其相关行业的应用实践，提升我国技术风险量化分析与控制水平，特制定本标准。E 航天器概率风险评估程序1 范围本标准规定了航天器概率风险评估(PRA)的一般要求、总体流程和实施程序。本标准适用于定量评估航天器的系统、分系统及设备的安全风险或任务风险。2 规范性引用文件GB/T 29075-2012 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T 2900. 13 电工术语可信性与服务质量GB/T 4888 故障树名词术语和符号GB/T 7826 系统可靠性分析技术失效

5、模式和效应分析(FMEA)程序GB/T 7829 故障树分析程序3 术语和定义GB/T 2900. 13和GB/T4888界定的以及下列术语和定义适用于本文件。3. 1 榻率凤险评估probabilistic risk assessment 一种综合运用多种事件链建模和不确定性分析技术，识别与定量评估复杂系统风险，为系统全寿命周期风险管理决策提供支持的结构化、集成化的逻辑分析方法。4 缩瞄语下列缩略语适用于本文件。ESD -event sequence diagram，事件序列图zFMEA -fault modes and effects analysis，故障模式与影响分析FFRACAS -

6、failure reporting, analysis and corrective action system，故障报告、分析和纠正措施系统zIE -initiating event，初因事件zMLD 一-masterlogic diagram，主逻辑图zPRA 一-probabilisticrisk assessment，概率风险评估。5 一殷要求实施PRA的一般要求包括za) 在航天器研制和使用不同阶段的PRA实施重点见表1。b) 在可靠性安全性策划过程中应考虑PRA工作的深度和广度，并制定实施计划，协调工作进展。GB/T 29075-2012 c) PRA评审可与产品的可靠性安全性评审

7、同步进行，必要时应组织专项评审;PRA评审重点是实施过程中采用的方法、信息、数据来源、工程判断以及假设等的正确性、适用性及与评估目标的符合性等。d) PRA工作需要的及产生的各种数据应该利用产品的危险跟踪系统或故障报告、分析和纠正措施系统(FRACAS)进行传递和交流。表1研制和使用不同阶段PRA实施重点阶段实施重点方案阶段评估各设计方案的风险，进行方案权衡s识别主要的风险因素，提出降低风险的设计改进措施初祥阶段综合利用仿真数辑部分试验数据和专家判断数据，评估产品的安全风险和任务风险l及其对安全性和可靠性要求的满足程度s识别风险肉素，提出降低风险的措施正样阶段主要利用试验数据，并结合其他数据来

8、评估产品的安全风险和任务风险，判别产品技|术状态是否满足可靠性和安全性要求，支持发射、部署等工程决策利用使用过程的观测数据进行风险计算和自动风险监控s评估常规就应急的操作、维使用阶段修程序对安全风险和任务风险的影响，提出降低风险的操作或维修策略;评估不同的技术升级方案的风险，提出风险最小、效益最高的技术升级方案6 PRA总体流程2 PRA总体流程如图1所示，具体包括以下九个步骤1a) 步骤:定义目标和范围。确定出应用目标、分析的深度和l广度、所关注的后果状态，以及所需的信息来源。b) 步骤二:熟悉系统。全国熟悉所要分析的系统，包括任务剖面及系统配置、任务及系统成功准则、操作规程及工程经验等。c

9、) 步骤三:识别初国事件。在系统功能分析的基础上，针对所关注的后果状态，利用主逻辑图和FMEA等方法识别初因事件，并进行整理分类，得出初因事件列表gd) 步骤四z事件链建模。针对每一初因事件，在考虑后续事件发生的先后次序，以及后果状态的多样性的情况下，利用事件序列图琪等价的事件树，构建出事件链模型。e) 步骤五z故障建模。对于事件链上复杂的初因事件或中间事件的故障(失效)，需要进一步建模，故障建模通常采用故障树方法，也可采用可靠性框图、马尔科夫链、物理模型等其他方法，初困事件识别、事件链建模以及故障建模这三个步骤，都要充分利用FMEA报告、危险分析报告、可靠性安全性建模与分析报告以及前期的风险

10、评估报告等资料。f) 步骤六z数据收集与分析。为故障树底事件或事件链基本事件，提供故障(失效概率分布，需要充分利用FRACAS、现场和试验数据、仿真分析数据、通用数据库、专家判断等数据和信息。g) 步骤七z模型量化与集成。在以上模型和数据的基础上进行综合，得到对后果风险的点估计值。h) 步骤八z不确定性分析。利用蒙特卡罗仿真等方法，将基本事件的不确定性传播为后果的不确定性，并进行灵敏度分析。i) 步骤九z结果分析与重要度排序。以适当的方式(如图表形式)表达评估结果，包括所关注的后果状态的风险，以及风险影响因素与不确定性影响因素的重要度排序等。根据这些评估结果，可以进行基于风险的工程决策和方案权

11、衡。2.熟悉系统任务剖面及系统配置*任务及系统成功准则*操作规程及工程经验3.跚跚跚I初因14事件髓模i后果状态i事件1:;.:.J且!J列在E 饵，、f. 1 l- 在毛脯图I，牛列可3/ i/ / I / r一-一一一-(!吓阻A报告! j*危险分析报告i 1*可靠性安全性建卜-!模分析报告! i*能期风险评估il报告| 对事件链上复杂的初因事件或中何事件的解析5.故陈建模 于J立马rG?弓守故障树事件栋一一一-一一-li*FRACAS i 1*现场和试验数据i1*仿真分析结果一-i咽用数据库l 1*专家经验判断| KILL; L 一一_.J7 PRA实施程序7. 1 定义目标和范围(步骤

12、一7. 1. 1 目的基本事件概率分布贝叶斯方法固1PRA总体流程图后果风险点估计盖章特卡罗方法GB/T 29075-2012 后果风险点估计将基本事件不重EEI崎果分析与蹦蹦序后果不11-.;二、L 确定性Iillh念所关注后果状态的风险*风险及不确定性影响因素的相对排序定义、分析目标和范围，描述评估结果的用途。依据目标和范围，确定分析中所涉及的任务剖面和各分系统，确定不期望发生的最终后果，如人员伤亡或疾病、任务失败或降级、财产损失等。7. 1. 2 实施步骤及内睿实施步骤及内容包括=a) 明确实施PRA目的，例如z评估系统寿命周期内各任务阶段的安全性和可靠性水平等。b) 定义任务范围及系统

13、边界，确定事件链及相关分析的详细程度，从而确定分析的范围和深度。c) 确定所需开展分析的后果类型和严重度，如任务失败或机毁人亡等，包括z1) 明确所采用的基于后果严重度和发生可能性等级的风险矩阵;2) 基于特定后果的慨率目标和准则，确定总的风险目标或可接受准则。d) 识别出可利用的信息和数据来源。3 GB/T 29075-2012 7. 1.3 实施要点实施要点包括zd 确定PRA目标过程中应综合利用其他分析结果，并可参考某些公共活动(如民航、公共交通等)的发生可能性来确定风险目标zb) 依据PRA的目的和范围，确定所要分析的任务剖面及相应的系统配置，并确定初因事件的选取原则，例如，是否在分析

14、中考虑外部事件的影响等;c) 本工作的结果应提交总师系统及相关专家评审;d) 后果严重度分类应按有关文件实施。7.2 熟悉系统(步骤二)7.2. 1 目的全面熟悉任务和系统组成及功能，确定整个任务的成功准则和各相关系统的成功准则。7.2.2 实施步骤及内容实施步骤及内容包括:a) 识别和描述分析范围、系统配置与工作状况(各任务阶段上系统的功能组合和物理配置)，包括:任务剖面与运行配置，系统组成和功能，物理范围等b) 明确整个任务的成功准则，以及为保证-任务成功所需的各个系统的成功准则。7.2.3 实施要点实施要点包括:a) 应与研制人员深入交梳，充分利用系绕设计和运行的相关信息，包括系统设计报

15、告、试验报告、可靠性安全性分析报告、工程原理图、流程图、操作规程及应急预案等2b) 可利用功能相关矩阵，分析各系统间的豆j能依赖美系sc) 系统分析中应重点考虑系统运行过程、系统内各种接口关系及人在系统运行中的作用(指挥、控制及维护活动等)，同时应考虑不周任务阶段系统功能组合和物理自己置的变化。7.3 识别初因事件(步骤三7.3. 1 目的利用各种分析技术，确定激发事件链发生的初因事件。7.3.2 实施步骤及内容实施步骤及内容包括za) 利用经验数据以及主逻辑图、FMEA、危险分析等系统分析方法，识别初因事件zb) 初步评估初因事件发生概率，剔除发生椒率相对较低的初因事件Fc) 将对系统影响相

16、似的初因事件进行分组与合并，并确定其发生概率或频率。7.3.3 实施要点实施要点包括z4 a) 对于现有系统，可根据历史事故或相关运行经验来识别初因事件z对于新研系统，可利用相似环境、相似任务剖面、相似系统的经验来识别初因事件;GB/T 29075-2012 b) 主逻辑图是一个分层的、自上而下的树状图，顶层为不期望事件类型，较低层次描述功能和相关部件，最底层是初因事件zc) 应记录并保存完整的初因事件集合;d) 应在细节和整体准确性方面进行权衡。7.4 事件链建模(步骤四)7.4. 1 目的通过建立事件树模型，推演从初因事件通过一系列中间事件最终导致后果事件的过程。7.4.2 实施步骤及内容

17、实施步骤及内容包括:a) 针对每个初因事件，对其后续事件的先后次序和成败响应进行建模，这些事件即事件链的中间事件(如结构、系统、部件、人的行为等)，包含了阻碍初因事件发展为潜在不良后果的预防性控制措施zb) 对那些导致不良后果的事件序列，估计其后果的物理响应特性和严重度(如爆炸、爆燃、失控或失氧等)。7.4.3 实施要点实施要点包括=a) 事件链建模是一个归纳过程，可利用事件序列图和事件树进行。事件序列图易于理解，便于分析人员与工程设计人员之间的交流。事件序列图是一张流程图，不同的路径延伸至不同后果状态，流程图每条路径都是一条事件链。沿任何一条路径，识别出中间事件的发生与否。b) 事件树从初因

18、事件开始，经由一系列表示成功或失败的中间事件(也称关键事件或顶事件)，直至最终后果。事件树通常考虑事件链中间事件的时间次序。事件树与事件序列图在逻辑上等价，但事件序列图应转化成事件树后才能进行量化计算。c) 事件链建模的另一种有效工具是可靠性框图。7.5 故障建摸(步骤五)7.5. 1 目的利用故障树或其他适用方法，对事件链的初因事件和中间事件的故障(或成功)进行建模。7.5.2 实施步骤及内容实施步骤及内容包括za) 对于事件链上需要进一步分析的各个中间事件，记录其前面的中间事件和对应的初因事件，以确定事件评估的初始边界条件sb) 利用故障树等方法对事件链上需要进一步分析的各个中间事件的故障

19、进行建模。根据所建模系统或功能的不同，故障树可能有多个层次zc) 在顶事件的初始边界条件约束下，识别出故障树的底事件zd) 把故障树顶事件与事件树上相应的事件进行关联。7.5.3 实施要点实施要点包括z5 G/T 29075-2012 a) 对于事件链上可直接获得发生概率的简单中间事件，不需要进行故障树建模Fb) 对于元法直接获得发生概率的复杂中间事件，除利用故障树进行建模外，还可以利用马尔科夫链、可靠性框图等进行建模，并计算其发生概率sc) 建模过程应考虑基础数据类型、数量及可信度;d) 多数情况下，事件链上的中间事件之间(或中间事件与初困事件之间)并不相互独立，建模时应充分考虑这些约束条件

20、ze) 故障树建模与分析可按照GB/T7826和GB/T7829实施。7.6 数据收集与分析步骤六)7.6. 1 目的收集并分析各种数据和信息，以估计PRA模型中各基本事件的参数。7.6.2 实施步骤及内容实施步骤及内容包括:a) 针对PRA模型中各基本事件的特点，选择对数正态分布、负指数分布等合适的概率模型，识别所需的基本数据pb) 收集有关各基本事件发生可能性的数据和信息，包括z客观数据(现场数据和试验数据)，半客现数据通用数据库、相似产品数据、物理模型或仿真模型得到的数据)，以及主观数据(领域专家的经验判断数据); c) 使用统计方法估计事件的发生概率，并给出不确定性分布Fd) 建立PR

21、A数据库，分类存储收集的信息、数据、参数估计结果以及概率分布等。7.6.3 实施要点6 实施要点包括za) 应采用各种渠道收集基本事件所需的数据和信息。包括z1) 硬件和软件的基础数据类型设备相同部件在相同及不同环境条件和应力下的成功和故障的历史记录z一一设备相似部件或相似类别，在相同或不同的条件下的成功和故障的历史记录;一一关于该设备的设计、制造及操作运行的一般工程或科学知识，或是专家对该设备的经验判断数据。2) 标准和手册的失效率数据-一电子设备可靠性预计手册F一一非电产品可靠性设计手册;-一失效模式数据库z一一相关应用软件及数据库等。3) 现场和试验数据一一故障报告、分析和纠正措施系统(

22、FRACAS);一一测试及飞行试验报告F二一一飞行异常报告g一一一质量问题技术归零报告E一一-故障启示录和事故案例库等。b) 数据收集与分析，可以与PRA实施程序的其他步骤并行进行，或结合到其他步骤中去。GB/T 29075-2012 c) PRA数据库中应包含产品的失效概率、初因事件发生频率、人为差错概率、共因失效概率及软件失效概率等。7. 7 模型量化与集成(步骤七7.7. 1 目的估计事件链发生不期望后果的频率以及该后果的严重度。7.7.2 实施步骤及内容事件链可用初因事件及一系列中间事件来表示，而初因事件及中间事件又可以用基本事件(底事件)的形式进行表示，因此可用基本事件(底事件)表示

23、事件链，并可以利用基本事件(底事件)量化事件链，即确定其概率。同时，可把导致相同结果的所有事件链合并，形成以基本事件(底事件表达的发生所关注的特定后果的定量表达式。实施步骤及内容包括za) 为每个初因事件的事件序列(事件树)和故障模型(如故障树实施布尔计算，得到导致不期望后果发生的最小割集zb) 在获得各初因事件发生频率和相关基本事件的失效概率后，估计各最小割集的发生频率sc) 估计事件链的后果类型和严重度;d) 对导致相同后果的事件序列进行分组，并对其概率进行求和，计算各最终后果发生的总概率。7.7.3 实施要点实施要点包括zd 通常应采用集成化的计算机程序进行PRA量化计算;b) 事件树各

24、最终后果的发生概率是初因事件与连接初因事件及最终后果的事件链路径上的中间事件的条件概率的乘积。7.8 不确定性分新(步骤JI.)7.8. 1 目的对风险评估量化结果的可信程度进行分析，评估不确定性对最终后果的影响。7.8.2 实施步骤及内容实施步骤及内容包括za) 建立基本事件的不确定性分布，在评估各最小割集发生概率时，考虑数据不确定性Fb) 采用蒙特卡罗仿真或其他分析方法，对各基本事件的失效概率的不确定性分布进行综合，计算出各不期望后果的不确定性zc) 评估各个基本事件的不确定性变化对最终后果不确定性的影响，并排序记录。7.8.3 实施要点实施要点包括za) 不确定性对风险值计算结果(如均值

25、)影响很大，应充分考虑数据和模型中的不确定性，使工程决策更加准确zb) PRA不确定性主要来源于模型选择、失效模式的完备性，以及输入参数的不确定性三个方面。GB/T 29075-2012 7.9 结果分析与重要度排序步骤九7.9. 1 目的对风险影响因素进行重要度排序，以适当形式表达风险评估结果，促进风险的沟通和交流。7.9.2 实施步骤及内睿实施步骤及内容包括za) 识别主要的风险影响因素(基本事件或事件链hb) 选择合适的方法计算这些风险影响因素的重要度，并进行排序zd 以适当的图表形式表达风险评估结果Ed) 需要时，提出降低风险的措施。7.9.3 实施要点实施要点包括2a) 常用的风险重

26、要度计算方法参见附录A;b) 重要度排序通常按降序排列;c) 评估结果通常以图表形式给出，便于风险交流。7. 10 应用示例PRA应用示例参见附录B。8 PRA结论及报告要求PRA结论的详细程度和表达形式取决于风险评估的目标。可通过图表等形式清晰地描述PRA结果，及其满足风险评估目标的程度。PRA报告应包括以下信息za) 总的任务风险或安全风险，及其与可靠性或安全性目标的比较;b) 各分系统/设备在总风险中所占百分比;c) 各分系统/设备在不同飞行阶段中所占的风险百分比zd) 各风险影响因素的重要度排序结果;e) 各不确定性影响因素的排序结果。8 GB/T 29075-2012 附录A(资料性

27、附录)常用的风险重要度计算方法A.1 概述风险重要度计算方法，用以评估风险值对基本事件概率变化的灵敏度。设风险表达式为公式(A1): R=f(町，X2，鸟，码，x.). . . . . .(A. 1) 式中zR一一风险zx;二-基本事件1，其概率为朵。常用的风险重要度计算方法包括Fussel1-V esely法、风险降低当量法、风险增加当量法等。A. 2 Fussell-Vesely法Fussell-V esely法用于计算含有基本事件均的最小割集在总风险中的重要度。事件码的Fussel1-Vesely法可按公式(A.2)计算zPr(UMCS?) Pr(UMCS?) 1: = J = J (

28、A. 2 ) 叮Pr(L式中zI:Y -一事件x;的F-V重要性量度;Pr(UMCS;i) 一一包含事件均的最小割集的并集的概率zPr(UMCSj) =Ro-一期望的风险基线。A.3 凤险降低当量(RRW)法RRW法用于计算当基本事件x;设为0时的总的风险变化值。它度量了当事件一定不发生时总风险的降低值。RRW法可按公式(A.3)计算zIRRW Ro 一- R I Pr(x;) = 0 式中zIW 一事件x;的RRW重要性量度ER。一一期望的风险基线;RIPr(x;)=。一在事件x;确定不发生条件下的风险。RRW法与Fussel1-Vesely法的关系如公式(A.。所示z式中zI?W一一事件均

29、的RRW重要性量度zIV一一事件x;的F-V重要性量度。IV =1一古i I . ( A.3 ) . ( A.4 ) 9 GB/T 29075-2012 Fussell-Vesely法和RRW法用于识别出哪个部件可靠性的提高，对于降低系统风险的效果最为明显。A.4 凤险增加当量(RAW)法RAW法用于计算当基本事件X;设为1时的总的风险变化值。它度量了当事件一定发生时总风险的增加值。RAW法可按公式(A.5)计算z式中zIW =!iI Pr(x;) =1 Ro IE叩-一一事件x;的RAW重要性量度pRo 期望的风险基线gRI Pr(x;)=1 在事件确定发生条件下的风险。.(A. 5) RA

30、W法用于评估风险模型中哪个基本事件对于系统风险的影响最大，当RAW值最高的部件发生故障时，其产生的负面影响最大。10 GB/T 29075-2012 附录B(资料性附录某航天器泵动力系统PRA示倒B. 1 建模与分析工具以下将以某航天器泵动力系统PRA为例，具体说明PRA程序的实施过程。其中建模与分析过程可运用专门的PRA软件(QRAS)来进行。B.2 定义目标和范围(步骤。根据任务要求，需在某航天器中设计一个泵动力系统(PumpPower System, PPS)。作为该航天器的应急动力装置，可以在航天器正常动力系统失效的情况下，提供应急液压等动力。因此，要求该系统是相对独立的非电动力源，并

31、能够驱动一个高压泵，其任务时间要求为100ho 对该泵动力系统实施PRA的主要目的，是评估该系统在寿命周期内的安全性和可靠性水平。经研究，PRA项目组确定了以下分析目标za) 计算系统风险zb) 找出导致风险的最重要因素zc) 了解评估结果的不确定性;d) 提出降低风险的策略。同时，项目组还确定出PRA的后果状态和分析范围。后果状态包括:PPS系统内失效和PPS系统外失效两种。因此，该系统的风险可以定义为:PPS系统内失效的概率，以及PPS系统外的关键设备失效的概率。确定的分析范围包括z构建井量化出导致这些后果状态的事件链，它们是运行时间的函数，为简单起见，假定系统不可维修。识别系统的不确定性

32、并进行量化。需要时，提出降低风险的策略。B.3 熟悉系统(步骤2)充分熟悉所要分析的系统，并确定出任务阶段和任务成功准则。PRA是一种模拟风险的技术，分析过程中需要详细了解系统对各种扰动的响应。因此，首先耍了解系统是如何工作的，其后才能正确理解系统是如何失效的。PRA分析人员应广泛收集系统信息，并与相关人员(如设计师、操作人员等)进行充分的研讨，以深人了解所分析的系统的工作原理。这对于PRA后续工作的顺利开展具有十分重要的作用。该泵动力系统由两个泵动力单元组成，其中1个正常工作即可满足任务要求。其原理图如图B.1所示。该系统以阱为燃料，包括一个贮箱、若干阔门、一个高热高压气体发生器以及一个涡轮

33、机。气体发生器将脐转化为高温高压气体来驱动涡轮。在脐贮箱和气体发生器之间设置一个常规泵，用来产生足够的流量，以维持涡轮的能量需求。PPS常规泵、涡轮润滑油泵以及高压泵为同轴结构。11 GB/T 29075-2012 一一-一一一一一一一一-一一一一一一-1图B.l泵动力单元原理图根据系统原理圈，画出该系统的功能相关矩阵，如表B.1所辰。表B.1功能相关矩阵需要的系统下层次的系统电气功力系统人视接口电气动力系统I 人机接口 润滑油系统E Il! -一一一一一一一一一一一一润滑油系统 一一一泵动力系统 * I 表示到控制器的开或关信号。E 表示整理数据例如:压力、温度皿一二通过泵动力系统间接作用.

34、食一一表示该系统在没有另一个系统支持下将无法工作. 表示没有明显的相关性。泵动力系统1坛食一，会该航天器舱内的系统包括z电气动力系统、人机接口(操作界面)、润滑油系统等功能接口系统、液压系统、舱内电子设备、姿控推进模块等空间接口系统。有关运行方面的信息包括z操作者控制系统的开与关;当压力小于Pm;n时关闭隔离间z涡轮速度大约在72000 r/min左右，超速+29%时或者速度不足-20%时关闭，在启动涡轮时在9.5s内达到额定转速的80%.否则关闭E控制器发出的调控指令使涡轮速度保持在士8%;装置泄压间，以防过度加热或增压错误，出口置于舱外z航天器舱内具有均衡压力的出口F控制器信号的丧失将导致

35、阅关闭。关于阱(N2H4)的信息包括:易爆炸s在5%100%之间易燃5分解反应不需要氧气z在催化剂作用下，门限能量降低E其化学式为:N2H4N2(64%)+ H2 (8%)十NH3(28%)+热(气体发生器释放温度约为1500 F).空气中的排气点燃温度为海平面1075 F.海平面以上115000 ft为700F;排气温度约为1100 F;能够使电线的绝缘体(如Kapton)剥离s自燃温度(空气中)=518F。航天器舱内设备众多，主要包括z脐贮箱和输送管道、其他泵动力单元(PPU)、柬线、控制器、飞行关键电子设备、姿控推进模块(带油箱、液压管路和贮箱。 GB/T 29075-2012 经分析，

36、确定PPS成功准则有两个，即za) 2个PPU中有1个PPU驱动涡轮机转速为72000(1士8%)r/m;b) 能够保持其完整性，使得舱室内的关键设备不受PPS失效的损害。B.4 识别初因事件(步骤3)初因事件通常有多个，例如z易燃物质泄漏、泄漏大小、泄漏位置、航天器航向等。因此，可行的方法是将事件进行分组，使设备有类似的响应。通常对于整个类别的事件来说，数据是可获得或可计算的。例如，可以获得各类阅门的失效率数据，但通常无法获得特定阔门(制造商/序列号的失效数据。在识别和确定初因事件的过程中，应注意详细和准确之间的权衡。将事件分得过细，可能产生不准确的结果，也增大了不确定性。其结果，可能是没注

37、意到整个系统的响应，或者使建模的难度增大。由于数据缺乏，也将造成统计不确定性的增大。在获取初因事件类别的方法，中，推荐采用主逻辑图。主逻辑图是一种自上而下的方法，始于每个后果状态。顶层是功能层，中间层识别出各子系统，低层识别出部件组合和初因事件类别。当进一步细分仍然产生相同的系统响应时，主逻辑图即告终止。PPS系统外失效的主逻辑图如回B.2所示。脐泄漏迸隔离离控制暴(分解反应)脐泄漏进控制阀控制捺(分解反应j涡轮轮载或叶片失效(轮载或时it脱离)火灾(由脐泄漏引起)离热气体泄漏(破坏电子设备，控制器)火灾由高热气钵泄黯跑排挫气体泄涓同破坏电子设备，控制器I火灾(由排法气体的泄漏或重吸入而引起)

38、图B.2泵动力系统外失效的主逻辑固在应用主逻辑图的过程中，应注意以下几点za) 避免将主逻辑图做得过细zb) 不要将部件的失效模式与事件链的初因事件混淆起来;c) 整个过程是重复进行的，即z从主逻辑图开始来获得假定的初因事件zd) 开始构建事件链，注意相似的和不同的系统响应ze) 进一步更新主逻辑图和事件链。B.5 事件链建模(步骤的事件链建摸中最常使用的方法是事件序列图(ESD)和事件树(ET)。为主逻辑图中的每一类初因13 GB/T 29075-2012 事件构建出一个事件序列图或事件树(或两者都做)。由于ESD直观、易于理解，可作为PRA分析人员与项目工程师之间的沟通工具。在事件序列图中

39、，事件的序号反映了相关性，也就是说，排在后面的事件依赖于前面的事件。如果导致最严重后果状态的事件较早出现在ESD中，则可简化ESD结果。同时，要考虑那些导致的后果不太严重的事件。不能简单地认为如果不导致严重后果，结果就一定是没问题的。若存在相似的系统响应，则可将不同的初因事件合井，合井的方法可以是故障树方法。事件树的信息量与事件序列图的相同，但其结构更为紧凑，且大部分PRA计算机程序都支持事件树分析。事件树顶层描述初因事件、中间事件和后果状态。其下面的树状结构，揭示了由初因事件引起的可能事件链，以中间事件的发生与否表达出来。这个树中每个路径代表了不同的事件链。在PPS系统外失效的主逻辑图(图B

40、.2)中，选择涡轮超速失效这个初因事件来构建事件链，得到涡轮超速的事件序列图，如图B.3所示。根据涡轮超速事件序列图，可以画出对应的涡轮超速事件树，如图B.4所示。14 O 一初阱F申酬zC二 一一注释z一一后果状态g涡轮机不能执行其功能.所连接的PPU失效.如果可能，控制器将做出反应，通过关闭隔离阀来降低涡轮机速度RPM -一涡轮机每分钟旋转回数.圄B.3涡轮超速的事件序列固神击的能量，狞击的效果，或者商热I2 气体足以损害要害设备吗?. GB/T 29075-2012 初因事件后果状态TO OK (1个PPU单元失效)243 系系系统统篝边失失界效效外的失效5 OK I (1个PPU单元失

41、效)面一-c一一一-7 (1个PPUO单K元失效)8 | 系统失效9 l 系统失效OK 10 | (1个PU单元失效)-c二一一一1u2 l 系1统!-PI汰?教UO单K元失放OK 13 I (1个PPU单元失效)14 | 系统边界外的失效图B.4涡轮超速事件树B.6 故障建模(步骤5)对于事件链上的初国事件和中间事件，可以采用故障树进行失效建模。故障树是将部件层次的失效信息与系统层次的失效信息挂钩的最常用的方法，它可将初因事件或事件链的中间事件细分为更多的原因事件来进行分析。故障树往下分解到满足下面两个条件之一即可停止，这两个条件分别是za) 可获得数据进行量化计算;b) 工作的范围表明分析

42、将难以为继，通常最低层次(也称为底事件层次)是组件最多的层次，其数据较易获得。对于涡轮超速事件树的初因事件，可以构建出如图B.5所示的涡轮超速故障树。对于涡轮超速事件链的中间事件，可以采用现象学模型来分析。通常，事件链上的中间事件描述了一系列的物理、化学或生物反应事件，这些事件也被称为现象学事件。对现象学事件的分析包括以下步骤za) 对系统在发生故障后引发的物理、化学、生物行为进行试验。这些行为通常是随机性的，例如火灾或爆炸所造成的伤害，在不同的试验中结果往往不同。b) 对系统在发生故障后引发的物理、化学、生物行为进行数学建模。例如，采用CFD、爆炸流体动力学模型、毒性模型等进行数学建模，建模

43、过程也应考虑这些行为的随机性。15 GB/T 29075-2012 a仅由PPU失效造成。b完全信号失效造成控制器关闭隔离阀.c涡轮机速度上升太快以致元法人为干预。d到隔离阀的信号失效，导致其关闭。图B.5涡轮超速故障树c) 在试验和数学模型的基础上进行专家判断。在涡轮机超速事件树中，选择图B.4中第2条事件链(如图B.6和图B.7所示)的中间事件进行分析。这些中间事件包括z轮载断裂(HF)，碎片限定(FC)，击中要害设备。OUT)，以及冲击损坏PPS外的设备(DE)等。首先，分析总结出有关涡轮机碎片的信息，即:限定圈仅安置在旋转平面上，其设计强度不超过速度的135%;轮载断裂通常为3块，每块

44、大概重0.9lb;断片的飞溅模式是360。的圆扇面都有可能，且在旋转面的正负150范围内。对于事件链的中间事件HF轮载断裂进行了四个物理试验，以分析各种转速下出现轮载碎(断片的可能性。试验结果分别是zu 在超速56%时，出现无裂痕(凹痕)断片zb) 在超速49%时，出现元裂痕(凹痕)断片sc) 在超速39%时，出现钻孔断片;d) 在超速17%时，出现有裂痕(凹痕)断片。在出现轮载断片的概率，不同专家有不同意见，这就使得在对试验的估计上出现了不确定性，如图B.8所示。16 TO GB/T 29075-2012 后果状态OK (1个PPU单元失效)H 京系磊统统镜跑失失哪效效得鹤失效5 OK I

45、(1个PPU单元失效)6 一一-c二:一一7 (1个PPOUK单元失效)8 | 系统失效9 l 系统失效OK 10 I (1个PPU单元失效)11 一一-c工一一一12 (1个PPOUK单元失效)OK 13 I (1个PPU单元失效)14 | 系统边界外的失效固B.6事件树中的第2条事件链涉及的中间事件轮桨或轮段断裂T(HF) llI击的能址.llI齿的效果，或者商热气体足以损害要害设备吗?(DE)图B.7事件序列圈中的第2条事件链涉及的中闰事件17 GB/T 29075-2012 p 均值=0.830.1 0.6 0.7 0.8 0.9 1.0 P 固B.8出现轮牵挂断片的概率其次，为了分析

46、碎(断)片能否被限定住(事件FC)的问题，将限定圈强度与超速轮载断裂产生的冲击力相比较，结果表明，限定圈能够限定断片的能力上限，仅为超速35%。另一方面，专家们判定在超速35%以内，涡轮机实际上不会产生断片F也就是说，当涡轮机超速35%以上时，可以断定限定圈元法限定断片(概率为1)。随后，分析事件链上的中间事件IOUT和DE，也就是考察碎片是否击中PPS外的关键设备。OUT)并损坏该设备(DE)，分析提出IOUT和DE的概率分布。为此，考虑是否有可能进行蒙特卡罗仿真，来模拟不同的条件下(飞溅角度、能量，以及限定圈强度)的断裂事件。该方法的缺点是代价较高。经过仔细研究，确定了一种高费效比的可行估

47、计，而不用进行复杂、昂贵的试验。前面已提到，在航天器舱内存在众多设备，包括z液氢/液氧管路、脐贮箱和输送管道、其他泵动力单元(PPU)、柬线、控制器、飞行关键电子设备、姿控推进模块(带油箱)，以及液压管路和贮箱等。专家们在仔细考察舱内的设备配置后，给出定论，即击中关键设备，特别是阱贮箱、推进箱、液压管路，以及液氢/液氧管路，几乎是确定元疑的。经过强度计算，表明超速40%将击穿或损坏舱内关键设备的任何部位。这些评估包括了击中PPS设备(例如脚贮箱)所引发的事件(例如腾的分解反应)导致关键设备的损坏。最后，得出击中PPS外的关键设备。OUT)并损坏该设备(DE)的概率分布，如图B.9所示。p 。叶均值=0.890.4 0.3 0.2 0.1 0.6 0.7 0.8 0.9 1.0 P 图B.9击中并损坏泵动力系统界外的关键设备的概率B.7 数据收集与分析(步骤6)数据分析是指为了估计PRA模型中各初因事件和基本事件的参数，收集并分析