国家标准 GB/T29075一2012 航天器概率风险评估程序 Probabilisticriskassessmentprocedureforspaceerafts 2012-12-31发布 2013-07-01实施国家质量监督检监检疫总局发布国家标准花管理委员会国家标准
GB/T29075一2012 目次前言引言范围规范性引用文件术语和定义缩略语 -般要求 PRA总体流程 PRA实施程序 PRA结论及报告要求附录A(资料性附录)常用的风险重要度计算方法附录B(资料性附录某航天器泵动力系统PRA示例
GB/T29075一2012 前言本标准按照GB/T1.1一2009给出的规则起草本标准由航天科技集团公司提出本标准由全国宇航技术及其应用标准化技术委员会(SAC/TC425)归口本标淮起草单位航天标准化研究所、航天运载火箭技术研究院、航天空间技术研究院、上海航天技术研究院、航天科工集团第二研究院、航天科工集团第三研究院本标准主要起草人;郑恒、刘春雷,遇今、卿寿松、顾长鸿、任立明、陈风熹、周海京、李福秋、刘金燕、周侧,邵德生,肖名鑫、刘志全、,谷岩,王静,郑云青、刘志、饶枝建,刘婷,王晶燕,李文钊,赵海涛
GB/T29075一2012 引言本标准属于航天国家标准体系航天国家标准体系适用于航天领域国家标准的制修订和管理,覆盖航天管理、航天技术,航天应用与服务三大领域,是指导航天器和运载火箭项目管理、工程研制、航天发射服务、卫星在轨应用等活动的依据航天器系统复杂、技术密集,在其研制和运行过程中存在很高的安全风险和任务风险作为最具系统性的定量风险评估方法,概率风险评估技术可以定量评估航天器的安全风险和任务风险,识别系统分系统和设备的薄弱环节,为设计方案优化权衡,可靠性安全性关键项目确定,风险控制策略制定及风险跟踪提供量化依据和决策支持为进一步推广和规范概率风险评估技术在航天领域及其相关行业的应用实践,提升我国技术风险量化分析与控制水平特制定本标准
GB/T29075一2012 航天器概率风险评估程序范围本标准规定了航天器概率风险评估(PRA)的一般要求、总体流程和实施程序本标准适用于定量评估航天器的系统、分系统及设备的安全风险或任务风险规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T2900.13电工术语可信性与服务质量 GB/T4888故障树名词术语和符号系统可靠性分析技术失效模式和效应分析(FMEA)程序 GB/T7826 GB/T7829故障树分析程序术语和定义 GB/T2900.13和GB/T4888界定的以及下列术语和定义适用于本文件概率风险评估 probabilisticriskassessment -种综合运用多种事件链建模和不确定性分析技术,识别与定量评估复杂系统风险,为系统全寿命周期风险管理决策提供支持的结构化、集成化的逻辑分析方法缩略语下列缩略语适用于本文件 ESD -eventsequencediagram,事件序列图 FMEA faulmodesandeffeectsanalysis,故障模式与影响分析; FRACAS failure system,故障报告、分析和纠正措施 reportinganalysisandcorreetiveaction 系统 IE 初因事件; iinitiatingevent， MLD logicdiagram,主逻辑图; master PRA probabilistie ,概率风险评估 CrIskaSsesSment， -般要求实施PRA的一般要求包括 a 在航天器研制和使用不同阶段的PRA实施重点见表1 b)在可靠性安全性策划过程中应考虑PRA工作的深度和广度,并制定实施计划,协调工作进展
GB/T29075一2012 PRA评审可与产品的可靠性安全性评审同步进行,必要时应组织专项评审;PRA评审重点是实施过程中采用的方法、信息、数据来源、工程判断以及假设等的正确性,适用性及与评估目标的符合性等 PRA工作需要的及产生的各种数据应该利用产品的危险跟踪系统或故障报告、分析和纠正措施系统(FRACAS)进行传递和交流表1研制和使用不同阶段RA实施重点段实施重点评估各设计方案的风险,进行方案权衡;识别主要的风险因素,提出降低风险的设计改方案阶段进揩施综合利用仿真数据、部分试验数据和专家判断数据,评估产品的安全风险和任务风险初样阶段及其对安全性和可靠性要求的满足程度;识别风险因素,提出降低风险的措施主要利用试验数据,并结合其他数据来评估产品的安全风险和任务风险,判别产品技正样阶段术状态是否满足可靠性和安全性要求,支持发射、部署等工程决策利用使用过程的观测数据进行风险计算和自动风险监控;评估常规或应急的操作、维使用阶段修程序对安全风险和任务风险的影响，提出降低风险的操作或维修策略;评估不同的技术升级方案的风险,提出风险最小,效益最高的技术升级方案 PRA总体流程 PRA总体流程如图1所示,具体包括以下九个步骤: a 步骤一;定义目标和范围确定出应用目标,分析的深度和广度、所关注的后果状态,以及所需的信息来源 b步骤二:熟悉系统全面熟悉所要分析的系统,包括任务剖面及系统配置、任务及系统成功准则、操作规程及工程经验等步骤三:识别初因事件在系统功能分析的基础上,针对所关注的后果状态,利用主逻辑图和 FMEA等方法识别初因事件,并进行整理分类,得出初因事件列表步骤四;事件链建模针对每一初因事件,在考虑后续事件发生的先后次序,以及后果状态的多样性的情况下,利用事件序列图或等价的事件树,构建出事件链模型步骤五;故障建模对于事件链上复杂的初因事件或中间事件的故障(失效),需要进一步建模,故障建模通常采用故障树方法,也可采用可靠性框图,马尔科夫链、物理模型等其他方法初因事件识别、事件链建模以及故障建模这三个步骤,都要充分利用FMEA报告、危险分析报告、可靠性安全性建模与分析报告以及前期的风险评估报告等资料步骤六;数据收集与分析为故障树底事件或事件链基本事件,提供故障(失效)概率分布,需要充分利用FRAcAs,现场和试验数据,仿真分析数据、,通用数据库、专家判断等数据和信息步骤七:模型量化与集成在以上模型和数据的基础上进行综合,得到对后果风险的点估计值步骤八;不确定性分析利用蒙特卡罗仿真等方法,将基本事件的不确定性传播为后果的不确定性,并进行灵敏度分析步骤九;结果分析与重要度排序以适当的方式(如图表形式)表达评估结果,包括所关注的后果状态的风险,以及风险影响因素与不确定性影响因素的重要度排序等根据这些评估结果可以进行基于风险的工程决策和方案权衡
GB/T29075一2012 "应用目标 "分折粘 "任务剖面及系统配置后果状态 ?任务及系统成功准则 1.定义目标信息架道 "操作规程及工程经验 2.熟悉系统和教 "关注的后果状态 "系统及功他分析 4.事件链建模 7.模型化与集成 3.识别初因事件初后果状太物 T日后果风险点估计列表白白主逻图事件序列事件树对事件链上复杂后果风险的初因事件或中将基点估计可事件的解折事件不确定性 5.故障建模 8.不确定性分析传到9.结果分析与重要度排削 "FMEA报告后果不危险分析报告确定性可靠性安全性建！模分析报告 "前期风险评估 "所实的区报告义特卡罗方法故障树风及不确定性影明能素的相对序为故障树底事件提供为事件树基木事件失效概率分布提供失效概率分布 6.数收集与分析 FRACAS 1现场和试验数据 I"仿真分析结果通用数据库 i*专家经掀判断基本事件概率分布贝叶斯方法图1PRA总体流程图 PRA实施程序 7.1定义目标和范围(步骤一) 7.1.1目的定义,分析目标和范围,描述评估结果的用途依据目标和范围,确定分析中所涉及的任务剖面和各分系统,确定不期望发生的最终后果,如人员伤亡或疾病、任务失败或降级、财产损失等 7.1.2实施步骤及内容实施步骤及内容包括: a)明确实施PRA目的,例如:评估系统寿命周期内各任务阶段的安全性和可靠性水平等 b定义任务范围及系统边界,确定事件链及相关分析的详细程度,从而确定分析的范围和深度确定所需开展分析的后果类型和严重度,如任务失败或机毁人亡等,包括 1明确所采用的基于后果严重度和发生可能性等级的风险矩阵 2)基于特定后果的概率目标和准则,确定总的风险目标或可接受准则识别出可利用的信息和数据来源
GB/T29075一2012 7.1.3 实施要点实施要点包括: 确定PRA目标过程中应综合利用其他分析结果,并可参考某些公共活动(如民航、公共交通 a 等)的发生可能性来确定风险目标; b 依据PRA的目的和范围,确定所要分析的任务剖面及相应的系统配置,并确定初因事件的选取原则,例如,是否在分析中考虑外部事件的影响等; 本工作的结果应提交总师系统及相关专家评审; c d)后果严重度分类应按有关文件实施 7.2熟悉系统步骤二 7.2.1 目的全面熟悉任务和系统组成及功能,确定整个任务的成功准则和各相关系统的成功准则 7.2.2实施步骤及内容实施步骤及内容包括 a)识别和描述分析范围、系统配置与工作状况(各任务阶段上系统的功能组合和物理配置),包括;任务剖面与运行配置,系统组成和功能,物理范围等; b)明确整个任务的成功准则,以及为保证任务成功所需的各个系统的成功准则 7.2.3实施要点实施要点包括 a)应与研制人员深人交流,充分利用系统设计和运行的相关信息,包括系统设计报告,试验报告、可靠性安全性分析报告、工程原理图、流程图、操作规程及应急预案等 b可利用功能相关矩阵,分析各系统间的功能依赖关系系统分析中应重点考虑系统运行过程、系统内各种接口关系及人在系统运行中的作用(指挥、 c 控制及维护活动等),同时应考虑不同任务阶段系统功能组合和物理配置的变化 7.3识别初因事件(步骤三 7.3.1目的利用各种分析技术,确定激发事件链发生的初因事件 7.3.2实施步骤及内容实施步骤及内容包括: a利用经验数据以及主逻辑图、FMEA,危险分析等系统分析方法,识别初因事件; b 初步评估初因事件发生概率,剔除发生概率相对较低的初因事件将对系统影响相似的初因事件进行分组与合并,并确定其发生概率或频率 c 7.3.3 实施要点实施要点包括对于现有系统,可根据历史事故或相关运行经验来识别初因事件;对于新研系统,可利用相似环境、相似任务剖面、相似系统的经验来识别初因事件
GB/T29075一2012 b 主逻辑图是一个分层的、自上而下的树状图,顶层为不期望事件类型,较低层次描述功能和相关部件,最底层是初因事件; 应记录并保存完整的初因事件集合应在细节和整体准确性方面进行权衡事件链建模(步骤四 7.4.1 目的通过建立事件树模型,推演从初因事件通过一系列中间事件最终导致后果事件的过程 7.4.2实施步骤及内容实施步骤及内容包括针对每个初因事件,对其后续事件的先后次序和成败响应进行建模,这些事件即事件链的中间 a 事件(如结构、系统、部件、人的行为等),包含了阻碍初因事件发展为潜在不良后果的预防性控制措施 b)对那些导致不良后果的事件序列,估计其后果的物理响应特性和严重度(如爆炸、爆燃、失控或失氧等) 实施要点 7.4.3 实施要点包括事件链建模是一个归纳过程,可利用事件序列图和事件树进行事件序列图易于理解,便于分析人员与工程设计人员之间的交流事件序列图是一张流程图,不同的路径延伸至不同后果状态,流程图每条路径都是一条事件链沿任何一条路径,识别出中间事件的发生与否事件树从初因事件开始,经由一系列表示成功或失败的中间事件(也称关键事件或顶事件),直至最终后果事件树通常考虑事件链中间事件的时间次序事件树与事件序列图在逻辑上等价,但事件序列图应转化成事件树后才能进行量化计算事件链建模的另一种有效工具是可靠性框图 7.5故障建模(步骤五 7.5.1目的利用故障树或其他适用方法,对事件链的初因事件和中间事件的故障(或成功)进行建模 7.5.2实施步骤及内容实施步骤及内容包括: 对于事件链上需要进一步分析的各个中间事件,记录其前面的中间事件和对应的初因事件,以确定事件评估的初始边界条件; b利用故障树等方法对事件链上需要进一步分析的各个中间事件的故障进行建模根据所建模系统或功能的不同,故障树可能有多个层次; 在顶事件的初始边界条件约束下,识别出故障树的底事件; c d)把故障树顶事件与事件树上相应的事件进行关联 7.5.3实施要点实施要点包括
GB/T29075一2012 对于事件链上可直接获得发生概率的简单中间事件,不需要进行故障树建模; a b)对于无法直接获得发生概率的复杂中间事件,除利用故障树进行建模外,还可以利用马尔科夫链、可靠性框图等进行建模,并计算其发生概率; 建模过程应考虑基础数据类型、数量及可信度; dD 多数情况下,事件链上的中间事件之间(或中间事件与初因事件之间)并不相互独立,建模时应充分考虑这些约束条件故障树建模与分析可按照GB/T7826和GB/T7829实施 7.6数据收集与分析(步骤六) 7.6.1目的收集并分析各种数据和信息,以估计PRA模型中各基本事件的参数 7.6.2实施步骤及内容实施步骤及内容包括针对PRA模型中各基本事件的特点,选择对数正态分布、负指数分布等合适的概率模型,识别 a 所需的基本数据收集有关各基本事件发生可能性的数据和信息,包括;客观数据(现场数据和试验数据),半客 b 观数据(通用数据库、相似产品数据、物理模型或仿真模型得到的数据),以及主观数据(领域专家的经验判断数据); 使用统计方法估计事件的发生概率,并给出不确定性分布; d)建立PRA数据库,分类存储收集的信息、数据,参数估计结果以及概率分布等 7.6.3实施要点实施要点包括应采用各种渠道收集基本事件所需的数据和信息包括: a 硬件和软件的基础数据类型 -设备相同部件在相同及不同环境条件和应力下的成功和故障的历史记录 -设备相似部件或相似类别,在相同或不同的条件下的成功和故障的历史记录， -关于该设备的设计,制造及操作运行的一般工程或科学知识,或是专家对该设备的经验判断数据标准和手册的失效率数据电子设备可靠性预计手册; 非电产品可靠性设计手册; 失效模式数据库; 相关应用软件及数据库等现场和试验数据故障报告、分析和纠正措施系统(FRAcAs); 测试及飞行试验报告; 飞行异常报告; 质量问题技术归零报告" 故障启示录和事故案例库等 b数据收集与分析,可以与PRA实施程序的其他步骤并行进行,或结合到其他步骤中去
GB/T29075一2012 PRA数据库中应包含产品的失效概率、初因事件发生频率,人为差错概率,共因失效概率及软件失效概率等 7.7模型量化与集成(步骤七) 7.7.1目的估计事件链发生不期望后果的频率以及该后果的严重度 7.7.2实施步骤及内容事件链可用初因事件及一系列中间事件来表示,而初因事件及中间事件又可以用基本事件底事件)的形式进行表示,因此可用基本事件(底事件)表示事件链,并可以利用基本事件(底事件)量化事件链,即确定其概率同时,可把导致相同结果的所有事件链合并,形成以基本事件(底事件)表达的“发生所关注的特定后果”的定量表达式实施步骤及内容包括 a)为每个初因事件的事件序列(事件树)和故障模型如故障树)实施布尔计算,得到导致不期望后果发生的最小割集; b在获得各初因事件发生频率和相关基本事件的失效概率后,估计各最小割集的发生频率估计事件链的后果类型和严重度; c d)对导致相同后果的事件序列进行分组,并对其概率进行求和,计算各最终后果发生的总概率 7.7.3 实施要点实施要点包括 a)通常应采用集成化的计算机程序进行PRA量化计算; b)事件树各最终后果的发生概率是“初因事件”与“连接初因事件及最终后果的事件链路径上的中间事件”的条件概率的乘积 7.8不确定性分析(步骤八) 7.8.1 目的对风险评估量化结果的可信程度进行分析,评估不确定性对最终后果的影响 7.8.2实施步骤及内容实施步骤及内容包括: a)建立基本事件的不确定性分布,在评估各最小割集发生概率时,考虑数据不确定性; b)采用蒙特卡罗仿真或其他分析方法,对各基本事件的失效概率的不确定性分布进行综合,计算出各不期望后果的不确定性; 评估各个基本事件的不确定性变化对最终后果不确定性的影响,并排序记录 c 7.8.3实施要点实施要点包括 a)不确定性对风险值计算结果(如均值)影响很大,应充分考虑数据和模型中的不确定性,使工程决策更加准确 b)PRA不确定性主要来源于模型选择、失效模式的完备性,以及输人参数的不确定性三个方面
GB/T29075一2012 7.9结果分析与重要度排序(步骤九 7.9.1 目的对风险影响因素索进行重要度排序,以适当形式表达风险评估结果,促进风险的沟通和交流 7.9.2实施步骤及内容实施步骤及内容包括: 识别主要的风险影响因素(基本事件或事件链) a b选择合适的方法计算这些风险影响因素的重要度,并进行排序; e)以适当的图表形式表达风险评估结果; d需要时,提出降低风险的措施 7.9.3 实施要点实施要点包括 a)常用的风险重要度计算方法参见附录A b)重要度排序通常按降序排列 e)评估结果通常以图表形式给出,便于风险交流 7.10应用示例 PRA应用示例参见附录B PRA结论及报告要求 PRA结论的详细程度和表达形式取决于风险评估的目标可通过图表等形式清晰地描述PRA结果,及其满足风险评估目标的程度 PRA报告应包括以下信息 a)总的任务风险或安全风险,及其与可靠性或安全性目标的比较; b) 各分系统/设备在总风险中所占百分比 e)各分系统/设备在不同飞行阶段中所占的风险百分比 d)各风险影响因素的重要度排序结果; 各不确定性影响因素的排序结果 e
GB/T29075一2012 附录A 资料性附录常用的风险重要度计算方法 A.1概述风险重要度计算方法,用以评估风险值对基本事件概率变化的灵敏度设风险表达式为公式(A.1): R=/(xi,2g,,r,,r),,r, A.1 式中: R -风险; 基本事件i,其概率为户 ,Z 常用的风险重要度计算方法包括FusselVesely法、风险降低当量法、风险增加当量法等 A.2rFussell-Vesely法 melveely法用于计算含有基本事件的最小制集在总风险中的重要度 Fuss 事件r，的FusselVesely法可按公式(A.2)计算 Pr(UMCSPr(UMCS A.2 ” R Pr(UMCS) 式中: ” 事件r，的F-V重要性量度; Pr(UMcsy 包含事件r，的最小割集的并集的概率期望的风险基线 Pr(UMcs)=R A.3风险降低当量(RRw)法 RRw法用于计算当基本事件.r设为0时的总的风险变化值它度量了当事件一定不发生时总风险的降低值 RRw法可按公式(A.3)计算 1" A.3 一RI下" 式中: Rw -事件x，的RRw重要性量度; -期望的风险基线 R0 RIPr(r,)=0 -在事件.r，确定不发生条件下的风险 RRw法与Fussel-Vesely法的关系如公式(A.4)所示 A.4 =一 y TTW 式中: " -事件r，的RRw重要性量度; 事件r，的F-V重要性量度 I
GB/T29075一2012 FussellVesely法和RRw法用于识别出哪个部件可靠性的提高,对于降低系统风险的效果最为明显 A.4风险增加当量(RAw)法 RAw法用于计算当基本事件工，设为1时的总的风险变化值它度量了当事件一定发生时总风险的增加值 RAw法可按公式(A.5)计算 RP=1 'R八w A.5 R 式中: 事件r，的RAw重要性量度; 公" R -期望的风险基线; -在事件，确定发生条件下的风险 RlPr(.r))=1 RAw法用于评估风险模型中哪个基本事件对于系统风险的影响最大当RAw值最高的部件发生故障时,其产生的负面影响最大 10
GB/T29075一2012 B 附录资料性附录某航天器泵动力系统PRA示例 B.1建模与分析工具以下将以某航天器泵动力系统PRA为例,具体说明PRA程序的实施过程其中建模与分析过程可运用专门的PRA软件QRAsS)来进行 B.2定义目标和范围(步骤 1 根据任务要求,需在某航天器中设计一个泵动力系统(PumpPowerSystemPPs) 作为该航天器的应急动力装置,可以在航天器正常动力系统失效的情况下,提供应急液压等动力因此,要求该系统是相对独立的非电动力源,并能够驱动一个高压泵,其任务时间要求为l00h 对该泵动力系统实施PRA的主要目的,是评估该系统在寿命周期内的安全性和可靠性水平经研究,PRA项目组确定了以下分析目标 a)计算系统风险; b)找出导致风险的最重要因素; 了解评估结果的不确定性; c d)提出降低风险的策略同时,项目组还确定出PRA的后果状态和分析范围后果状态包括;PPS系统内失效和PPS系统外失效两种因此,该系统的风险可以定义为;PPS系统内失效的概率,以及PPS系统外的关键设备失效的概率确定的分析范围包括;构建并量化出导致这些后果状态的事件链,它们是运行时间的函数、为简单起见,假定系统不可维修识别系统的不确定性并进行量化需要时,提出降低风险的策略 B.3熟悉系统(步骤2) 充分熟悉所要分析的系统,并确定出任务阶段和任务成功准则 PRA是一种“模拟风险”的技术. 分析过程中需要详细了解系统对各种扰动的响应因此,首先要了解系统是如何工作的,其后才能正确理解系统是如何失效的 PRA分析人员应广泛收集系统信息,并与相关人员如设计师,操作人员等) 进行充分的研讨,以深人了解所分析的系统的工作原理这对于PRA后续工作的顺利开展具有十分重要的作用该泵动力系统由两个泵动力单元组成,其中1个正常工作即可满足任务要求其原理图如图B.1 所示该系统以阱为燃料,包括一个贮箱、若干阀门、一个高热高压气体发生器以及一个涡轮机气体发生器将耕转化为高温高压气体来驱动涡轮在阱贮箱和气体发生器之间设置一个常规泵,用来产生足够的流量,以维持涡轮的能量需求 PPS常规泵、涡轮润滑油泵以及高压泵为同轴结构 11
GB/T29075一2012 人机接口(探作界面 PP控制器弹簧排泄阀压力信号转速/mim 信号谓制信号开/关信号高压泵轴转式油泵常迷燃气高热气体涡轮发生器探线管式隔马达驱动式流量阱贮箱(含控份N突效时商风失效时程压的数气润滑油泵处于关闭态取决于失效前状态排气口明外图B.1泵动力单元原理图根据系统原理图,画出该系统的功能相关矩阵,如表B.1所示表B.1功能相关矩阵需要的系统下层次的系统电气动力系统人机接口润滑油系统泵动力系统电气动力系统人机接口川润滑油系统泵动力系统表示到控制器的开或关信号表示整理数据(例如,压力,温度》. 通过泵动力系统间接作用表示该系统在没有另一个系统支持下将无法工作表示没有明显的相关性该航天器舱内的系统包括;电气动力系统,人机接口(操作界面,涧滑油系统等功能接口系统、液压系统、舱内电子设备、姿控推进模块等空间接口系统有美运行方面的信息包括,操作者控制系统的开与关;当压力小于r时关闭隔岗同;涡轮逃度大约在72000r/min左右,超速十29%时或者速度不足一20%时关闭,在启动涡轮时在9.5s内达到额定转速的80%,否则关闭;控制器发出的调控指令使涡轮速度保持在士8%;装置泄压阀,以防过度加热或增压错误,出口置于舱外;航天器舱内具有均衡压力的出口;控制器信号的丧失将导致阀关闭关于阱(N,H,)的信息包括;易爆炸;在5%100%之间易燃;分解反应不需要氧气;在催化剂作用下,门限能量降低;其化学式为;N.H-N.64%)+H.(8%)NH.(28%)热(气体发生器释放温度约为1500F),空气中的排气点燃温度为海平面1075F,海平面以上1l15000f为700F;排气温度约为1100F;能够使电线的绝缘体(如Kapton)剥离;自燃温度(空气中)=518F 航天器舱内设备众多,主要包括;耕贮箱和输送管道,其他系动力单元(PPU),束线、控制器、飞行关键电子设备、姿控推进模块(带油箱,液压管路和贮箱 12
GB/T29075一2012 经分析,确定PPS成功准则有两个,即 2个PPU中有1个PPU驱动涡轮机转速为72000(1士8%)r/m a b 能够保持其完整性,使得舱室内的关键设备不受PPs失效的损害 B.4识别初因事件(步骤3 初因事件通常有多个,例如;易燃物质泄漏、泄漏大小、泄漏位置、航天器航向等因此,可行的方法是将事件进行分组,使设备有类似的响应通常对于整个类别的事件来说,数据是可获得或可计算的例如,可以获得各类阀门的失效率数据,但通常无法获得特定阀门(制造商/序列号)的失效数据在识别和确定初因事件的过程中,应注意“详细和准确”之间的权衡将事件分得过细,可能产生不准确的结果.也增大了不确定性其结果,可能是没注意到整个系统的响应,或者使建模的难度增大由于数据缺乏,也将造成统计不确定性的增大在获取初困事件类别的方法中,推荐采用主逻辑图主逻辑图是一种自上而下的方法,始于每个后果状态顶层是功能层,中间层识别出各子系统,低层识别出部件组合和初因事件类别当进一步细分仍然产生相同的系统响应时,主逻辑图即告终止 PPS系统外失效的主逻辑图如图B.2所示 Pps边界外的失效不能为高压梨提供动力不能保持系统完好性 u不能 PP2不能 PPu不能 PPU2不能保持完好性提供动力保持完好性提供动力耕泄(电线剥皮分解涡轮超速失效反应燃料丧失见PPUn 见PPUn 阱泄淋进隔离闯控制器火灾(由耕泄漏引起分解反应泄漏进控制阀控制器气体泄海破坏电高热分解反应子设备，控制器涡轮轮蚁哎叶片失效火灾由高热气体泄轮毁或叶片脱商漏引起排泄气体泄海破坏电子设备，控制器火灭由泄气体的泄或重吸入而引起图B.2泵动力系统外失效的主逻辑图在应用主逻辑图的过程中,应注意以下几点: 避免将主逻料图做得过浦" a) 不要将部件的失效模式与事件链的初因事件混淆起来 b) e)整个过程是重复进行的,即;从主逻辑图开始来获得假定的初因事件; d)开始构建事件链,注意相似的和不同的系统响应; 进一步更新主逻辑图和事件链 e B.5事件链建模(步骤4) 事件链建模中最常使用的方法是事件序列图ESD)和事件树(ET) 为主逻辑图中的每一类初因 13
GB/T29075一2012 事件构建出一个事件序列图或事件树(或两者都做) 由于EsD直观,易于理解,可作为PRA分析人员与项目工程师之间的沟通工具在事件序列图中,事件的序号反映了相关性,也就是说,排在后面的事件依赖于前面的事件如果导致最严重后果状态的事件较早出现在ESD中,则可简化ESD结果同时,要考虑那些导致的后果不太严重的事件不能简单地认为如果不导致严重后果,结果就一定是没问题的若存在相似的系统响应,则可将不同的初因事件合并,合并的方法可以是故障树方法事件树的信息量与事件序列图的相同,但其结构更为紧凑,且大部分PRA计算机程序都支持事件树分析事件树顶层描述初因事件、中间事件和后果状态其下面的“树”状结构,揭示了由初因事件引起的可能事件链,以中间事件的发生与否表达出来这个树中每个路径代表了不同的事件链在PPS系统外失效的主逻辑图(图B.2)中,选择“涡轮超速失效"这个初因事件来构建事件链,得到涡轮超速的事件序列图,如图B.3所示根据涡轮超速事件序列图,可以画出对应的涡轮超速事件树,如图B.4所示涡轮机不能执行功所连接的PpU失效涡轮机桨片和碎片被个如果可能，控制器将做出超道于识轮机限制于轮桨或轮毅断裂？反应，通过关闭隔商网来 Pp单元 RPM>I29% 外完包装内？失效降低涡轮机速度桨片和碎片没有被在其他系统 13 1个限制于涡轮机外壳损害前大工笑 PpU单元包装内闭是否成功失效高热气体逸出，袖泵、润滑剂泵、高能碎片在脸室压泵超速导致拍承和中飞溅叶轮失效液压系绕增压，导致减压超压以及液体流失冲击的能量，冲击桨叶和碎片是香的效果，或者高热系统边界 14 气体足以损害要害击中要害设备？外的失效设条时？系统边界外的失效在没有对PpS之Z 愿冲击的能量是否足38 成影响的前提下，以使得另一个p 系统失效叶和碎片击中另单元失效？ PPU单元？ 4,6. 9,1 高热气体是香使一个系统失效单元失效？? 可,7,10,12 初因事件 oK 4个 PPU单元中间事件，失效注释后果状态 RPM 涡轮机每分钟旋转圈数图B.3涡轮超速的事件序列图 14
GB/T29075一2012 初因事件中间事件冲击冲击碚热损气体损击中击中到PPs 人为到务轮载碎片编号损害涡轮超速后果状态要害另- 外的美闭个另- 断裂限定 PPU 设备设备 PP PpU TO HF FC IOUT DE IIN DPpU HG MS a个元共效系统边界外的失效系统失效系统失效 OK 1个PPU单元失效系统失效 OK 1个ppPU单元失效系统失效系统失效 O水 0 个PPU单元失效系统失效 12 1个pPU单元失效 OK 13 (1个pU单元失效系统边界外的失效 14 图B.4涡轮超速事件树 B.6故障建模步骤5) 对于事件链上的初因事件和中间事件,可以采用故障树进行失效建模故障树是将“部件层次”的失效信息与"系统层次"的失效信息挂钩的最常用的方法它可将初因事件或事件链的中间事件细分为更多的原因事件来进行分析故障树往下分解到满足下面两个条件之一即可停止,这两个条件分别是可获得数据进行量化计算; a 工作的范围表明分析将难以为继,通常最低层次(也称为底事件层次)是组件最多的层次,其数 b 据较易获得对于涡轮超速事件树的初因事件,可以构建出如图B.5所示的涡轮超速故障树对于涡轮超速事件链的中间事件,可以采用现象学模型来分析通常,事件链上的中间事件描述了系列的物理、化学或生物反应事件,这些事件也被称为现象学事件对现象学事件的分析包括以下步骤对系统在发生故障后引发的物理、化学、生物行为进行试验这些行为通常是随机性的,例如火灾或爆炸所造成的伤害,在不同的试验中结果往往不同对系统在发生故障后引发的物理、化学、生物行为进行数学建模例如,采用CFD,爆炸流体动力学模型、毒性模型等进行数学建模,建模过程也应考虑这些行为的随机性 15
GB/T29075一2012 涡轮机超逃机械和电气故控制器故障涡轮机速度虚假控制信号虚假控制信号保护推施失效上升驱使阀打开造成保护失效由于虚假信号，使得控制器不掉制器不能识别隔离网在开着的隔离网在开着在阀开着的情况在开着的情网R转换器变能识别超速， ,控制阀的动力作,控制阀或操作情况下粘住超迷或者无法发情况下粘住或者无法发出换器降迷失效机被失效杆粘住线断路出关闭指令机械失效f 关闭指令 CFR Cvo PCo CER Ivo vo CSS 仅由PPU失效造成完全信号失效造成控制器关闭隔离阀涡轮机速度上升太快以致无法人为干预到隔离阀的信号失效,导致其关闭图B.5涡轮超速故障树 c)在试验和数学模型的基础上进行专家判断在涡轮机超速事件树中,选择图B.4中第2条事件链(如图B.6和图B.7所示)的中间事件进行分析这些中间事件包括:轮毂断裂(HF),碎片限定(FC),击中要害设备(IOUT),以及冲击损坏PPs外的设备(DE)等首先,分析总结出有关涡轮机碎片的信息,即限定圈仅安置在旋转平面上,其设计强度不超过速度的135%;轮毂断裂通常为3块,每块大概重0.9lb;断片的飞溅模式是360"的圆扇面都有可能,且在旋转面的正负15"范围内对于事件链的中间事件HF“轮毂断裂”进行了四个物理试验,以分析各种转速下出现轮毂碎(断片的可能性试验结果分别是 a)在超速56%时,出现无裂痕(凹痕)断片; b 在超速49%时,出现无裂痕(四凹痕)断片; e在超速39%时,出现钻孔断片; d) 在超速17%时,出现有裂痕(四凹痕)断片在出现轮毂断片的概率,不同专家有不同意见,这就使得在对试验的估计上出现了不确定性,如图B.8所示 16
GB/T29075一2012 初因事件中间事件冲击冲击高热损害气体乐击中 / 人为编号轮毅碎片涡轮超速" 要害后果状态类外p/" 关闭一个断裂限定设备设备 PP PPU FC To HF oUT DE IN DPPU HG Ms (1个PPU单元失效) 系统边界外的失效系统失效系统失效 OK 0个PPU单元失效系统失效 OK 1个pPU单元失效系统失效系统失效 OK 10 个PPU单元失效系统失效 11 OK 12 4个PPU单元失效 13 个U元失楚系统边界外的失效图B.6事件树中的第2条事件链涉及的中间事件网轮机不他执行其涡舱机桨片和碎片被限制轮桨或轮较断裂？超速于涡轮机外壳包装 HE RPM29% 内?(FC) 奖片和碎片没有被限制于识轮机外壳包内高热气体逸出，高能碎片在舱帘中飞减冲击的能敢，冲击桨叶和碎片是否击系统边界的效果，或者高热中要害设备？外的失效气体足以损害要害 (oUr)y 设备吗?(DE 图B.7事件序列图中的第2条事件链涉及的中间事件 17
GB/T29075一2012 均值- =0.83 0.5 0.4 0.3 0.2 0.1 0.6 0.7 0.8 0.9 1.0 图B.8出现轮毂断片的概率其次,为了分析碎(断)片能否被限定住(事件FC)的问题,将限定圈强度与超速轮毂断裂产生的冲击力相比较,结果表明,限定圈能够限定断片的能力上限,仅为超速35% 另一方面,专家们判定在超速35%以内,涡轮机实际上不会产生断片;也就是说,当涡轮机超速35%以上时,可以断定限定圈无法限定断片(概率为1). 随后,分析事件链上的中间事件IoUT和DE,也就是考察碎片是否击中PPs外的关键设备 IOUT)并损坏该设备(DE),分析提出IOUT和DE的概率分布为此,考虑是否有可能进行蒙特卡罗仿真,来模拟不同的条件下飞溅角度、能量,以及限定圈强度)的断裂事件该方法的缺点是代价较高经过仔细研究,确定了一种高费效比的可行估计,而不用进行复杂,昂贵的试验前面已提到,在航天器舱内存在众多设备,包括;液氢/液氧管路,阱贮箱和输送管道、其他泵动力单元(PPU)、束线、控制器、飞行关键电子设备、姿控推进模块(带油箱),以及液压管路和贮箱等专家们在仔细考察舱内的设备配置后,给出定论,即击中关键设备,特别是阱贮箱、推进箱、液压管路,以及液氢/液氧管路,几乎是确定无疑的经过强度计算,表明超40%将击穿或损坏舱内关键设备的任何部位这些评估包括了击中 PPS设备(例如耕贮箱)所引发的事件(例如耕的分解反应)导致关键设备的损坏最后,得出击中Ps 外的关键设备(IoUT)并损坏该设备(DE)的概率分布,如图B.9所示均值=0.89 " 0s Q.2 a.1 0.9 0.7 0.8 1.0 0.6 图B.9击中并损坏泵动力系统界外的关键设备的概率 B.7数据收集与分析步骤6 数据分析是指为了估计PRA模型中各初因事件和基本事件的参数,收集并分析信息和数据的过程在进行数据收集和分析之前,应正确理解有关失效概率和失效率的区别和联系对于如图B.10 所示的指数型可靠性模型,其成功的概率P,按公式(B.1)计算一/MTF P,( B.1 式中: 成功概率; 任务时间 18
GB/T29075一2012 MTBF 平均故障间隔时间; -失效率,入=1/MTBF 对于指数分布型失效概率,其模型是;U=1一尸,=1一e-",U为失效概率(不可靠度,对于小概率事件,有U<0.1,此时,U亡At 1.0 0.37 0.07 0.01 MTBF MTBFs MTBFs 图B.10指数型可靠性模型在正确理解失效率和失效概率的基础上,考察硬件和软件的失效率的数据类型和数据来源硬件和软件的失效率的数据类型,包括以下几种设备相同部件在相同环境条件和应力下的成功和失败的历史记录(例如;相同的运行经历) 设备相同部件在不同的条件下(如测试数据)的成功和失败的历史记录 b 设备相似部件或相似的类别,在相同或不同的条件下(例如;另一个项目的测试数据或者是手 c) 册及出版物的数据)的成功和失败的历史记录; d)关于该设备的设计、制造及操作运行的一般的工程或科学知识,或者是专家对该设备的经验判断失效率的数据来源有多种,包括标准手册及其数据处理结果,专家判断及其数据处理结果,试验与现场的直接数据及其处理结果,物理学模型或仿真模型的数据等来自标准手册的例子包括;非电部件可靠性数据、故障模式数据库、电子产品可靠性预计程序、机械产品可靠性预计程序手册等其中,故障模式数据库提供了有关每种模式或机制的故障信息,而其他手册提供了直接的或公式化的失效率的估计试验和现场运行经验也是失效率数据的重要来源,例如,NAsA提供了以下数据源,如;问题报告和纠正措施数据库,未满足条件报告、飞行异常报告、相关失败案例库这些数据来源提供了对失效的描述、所使用的相似部件的数目,运行时间,设计更改以及其他信息这些信息是推算失效率所必需的在数据分析工作中,往往需要从多个数据来源中,融合各种不同类型的数据同时,应考虑数据中的不确定性由于我们所考察的对象只是某类部件的某个样本,所以从同一数据类别或样本中得到的只是对失效率的估计范围贝叶斯定理是数据融合的基础性方法,它能够将先验知识和追加的观测证据巧妙地结合起来,并考虑数据的不确定性,从而实现了定性与定量信息的有机融合图B.11是贝叶斯分析的一个示例其先验分布为均匀分布,在不断获得证据并对先验分布进行修正后,得到后验概率分布经过了数据收集和分析,得到了如表B.2所示的涡轮超速故障树的失效数据表,列出了各部件的名称,失效模式,先验估计的上下界、测试数据、经贝叶斯分析方法处理的后验分布的均值,同时还标明先验分布的数据来源表B.2可用于后续计算过程 19
GB/T29075一2012 图例 92次任务中1次失效 25次任务中1次失效 24次任务中1次失效 10次任务中1次失效先分布 0.00 003 0.06 009 频率图B.11 贝叶斯分析示例表B.2轮超速故障树的数据先验分布估计先验分布估计量化的测试数据后验分布先验分布下界) 上界) 部件失效模式的来源均值失效数/h ×小时中的失效数隔离阀、在开着的状态 1E一06 6E一05 1E一05 00中有0 螺线管下失效在开着的状态控制阀马达 1E一05 2E-04 500中有0 6E-05 下失效假信号 4E一07 5E一06 2E一06 控制器 500中有0 控制器不能响应 4E一06 2E一05 1E一05 500中有0 转速转换器在指示“低值”的 5E一05 5E一03 500中有1 1E一03 /转送器状态下失效电线开路 1E-一07 1E一06 5000中有0 4E-07 B.8模型量化与集成(步骤7 模型量化集成,是估计事件链发生不期望后果状态的频率以及该后果的严重度由于事件树和故障树的风险模型有等价的布尔(逻辑)表达式,因此可以进行模型集成将布尔表达式中的事件与代数表达式联系起来,并将失效率赋值于代数表达式中这样,就可以将对后果状态的布尔逻辑表示,逐步地分解到各部件的失效率上去在涡轮超速例子中,涡轮超速造成的PPs界外失效,在布尔逻辑上等价于事件链2,14的并集,而涡轮超速造成的Ps系统内失效,逻辑上等价于事件链3,4,6,8,9,l1的并集下面以图B.6中的第2 条事件链为例,说明如何进行模型的量化集成用初因事件和中间事件将事件链2的“PPs界外失效" 表示为;“事件链2的PPs界外失效=涡轮超速)与(轮毂断裂)与(碎片未能限定)与(击中PPs外的要害设备)与(损坏该设备)” 对于其中的初因事件TO,即涡轮超速事件,利用故障树进行分析如图B.5所示);而对于中间事件HF,FCc,.IoUT,DE利用中间事件模型进行分析(参见步骤5) 在涡轮超速故障树中,可以看出,“涡轮超速”是由于“机械和电气的原因”或“控制器的原因”造成的进一步可将“涡轮超速”表示为底事件的逻辑组合,即: 20
GB/T29075一2012 涡轮超速=CVOORTTLORPCO)AND(CFRORIVOORCSS)AND(CFR-CSsOR IVO) 分析得到割集(一组共同发生后能导致顶事件发生的事件)为 CVnCFR; CVv0nIVO; TTLnCFR; TTLnIVO; PCOnCFR; PCOMIVOUCSSnCFR-CSsUCSs门IVO 进而,应用布尔约诚法则的幕等率和吸收率,可以分析得到最小割集一个最小割集是导致顶事件谁一的事件(例如失效模式)组合,若鹏去最小制集中的任一事件,则顶事件不会发生最小制集所提的唯供的信息,对于了解系统如何失效很有帮助在进行概率计算前,应求出最小割集否则会造成概率的重复计算利用表B.2的数据,在故障树的底事件上指定失效率,如图B.12所示在失效率基础上,计算出部件×在时间内的失效概率,P(X)=1一e一" 将该式应用于本例的最小割集中那些独立于其他事件的底事件如果一个事件与另一个事件相关,则使用条件概率来表达例如,P(CFR-Css)=1,因为如果虚假控制信号(Css)发生,意味着控制器失效,于是控制器无法识别出涡轮超速(CFR) 涡轮机超迷机械和电气控制器故障故澈轮机速度虚假控制信号虚假控制信号，保护措施失效上升造成保护失效驱使浅打开由于假信号入=2E-06 使知控制器不在网开着的情况控器不识别南离网在开着的隔离网在开着的在阀开着的情况能识别超速 RPM转换器/变下,控制河或操下,控制闵的动力超速或者无法发或者无法发出情况下粘住情下粘住换器降速失效机核失效线渐路出关闭指令机械失效杆粘住关闭指令" CVO CFR O IVO A=6E-05 =1E-03 入=4E-07 入=1E-05 入=1E-06 "=1 =1已-05 仅由PPU失效造成完全信号失效造成控制器关闭隔离阀. 涡轮机速度上升太快,以致无法人为干预到隔离阀的信号失效,导致其关闭图B.12底事件上指定了失效率的涡轮超速故障树 21
GB/T29075一2012 计算得到的割集的点估计值,并进一步计算得到初因事件“涡轮超速”的概率点估计值,如表B.3 和图B.13所示表B.3割集计算结果(点估计涡轮超速概率的相对比重最小割集运行时间/h 25 50 l00 P(CVO)×P(CFR 0,0% 0,6% 1% 1% P(CVO)×P(IVO 0.0% 0.6% 1% 1% P(TT)×P(CFR 0.5% 10% 16% 24% P(TTL×P(IVO 0.5% 10% 16% 24% P(PCO)×P(CFR 0.0% 0.0% 0.0% 0.0% P(PCO)×P(IVO) 0.0% 0.0% 0.0% 0.0% P(CSs)×P(CFR-cSs 99% 79% 66% 50% P(CSS)×P(IVO 0.0% 0.0% 0.0% 0.0% PPS涡轮超速的概率 4E-06 1E-04 3E一04 8E一04 1.E-03 1.E-04 1.E-05 1.E-06l 50 100 运行时间图B.13涡轮超速的概率(点估计) 在步骤5中已经利用现象学模型,计算得到事件链2各中间事件的发生概率 P(事件链2)=P(涡轮超速)P(轮毂断裂)P(碎片未能限定)P(击中PPS外的要害设备且损坏该设备); P(轮毂断裂)=0.83(均值); P(碎片未能限定)=1 P(击中PPs外的要害设备且损坏该设备)=0.89(均值) 因此,计算得到事件链2造成的“PPS界外失效”的发生概率的点估计值为 P(由事件链2造成的PPS界外失效)=P涡轮超速)×P(轮毂断裂)×P(碎片未能限定)×P(击中PPs外的要害设备且损坏该设备)=P(To时间)X0.83×1.0X0.89 图B.14是其计算结果示意 22
GB/T29075一2012 1.E-03 1.E-04 适 1.E-05 涡轮超速To 事件链2 1.E-06 50 100 运行时间/h 图B.14事件链2的发生概率的点估计这里只分析了一个ESD中的一条事件链(事件链2),而实际上,可能有多条事件链导致相同的后果状态,应把这些事件链的发生概率求和模型的量化集成,最终要对所有的事件序列图和事件链进行分析计算 B.g不确定性分析(步骤8 由于未来事件是不确定的,因此在试图运用过去的或当前的知识来预估未来事件的发生概率时,这种预估就带有不确定性应估计这种不确定性的大小,才能使分析评估结果更好地支持风险管理决策通常,不确定性与下列因素有关: a)对于部件失效率的认识不够准确" b在估计物理过程概率时专家意见不一致,或者估计不够准确,例如,涡轮机轮毂断裂过程; 对现象学模型中参数的认识不够准确 d)随机过程本质的变动性,例如;气候、爆炸区域,火灾产生的热等通常采用概率分布来表达事件的不确定性,这些概率分布可以是连续型的(如图B.15所示),也可以是离散型的(如图B.16所示),例如在某些时候,专家知识用离散分布来表示更为合适 0.035 a.03 0.025 0.02 os6 001- 0.005 8 留失效率或失效概率图B.15以连续型概率分布表示的不确定性 23
GB/T29075一2012 0.3 0.2 0.1 1.0E-05 3.0E-05 5.0E-05 7.OE-05 9.0E-05 1.1E-04 失效率或失效概率图B.16以离散型概率分布表示的不确定性 PPs案例中涉及的不确定性包括: 轮毂断裂概率的不确定性原因是没有足够的试验来计算出准确的概率,而且专家判断意见 a 不 -致轮毂断片击中并毁坏关键设备的概率的不确定性原因是试验和计算不足,难以获得准确结 b 果;而损坏程度依赖于轮毂与设备之间的精确向量,以及轮毂断裂时的角速度对部件失效率的掌握上的不确定性因为估计中既使用了相似系统数据,又使用了定性的试验和经验,并试图预测未来飞行事件所产生的残余不确定性在步骤6中提到,利用贝叶斯分析可以处理故障树底事件的失效率上的不确定性于是,每个底事件X的发生概率都是带有不确定性的借助不确定性传播技术,可以把底事件的不确定性往上传播到初因事件或事件链中间事件上(如图B.17和图B.18所示);进而沿事件链传播,得到后果状态的不确定性(如图B.19所示) 常用的不确定性传播技术包括分析方法和蒙特卡罗仿真方法顶事件频率个丛人 O 底事件失效模式)频本图B.17涡轮超速故障树上的不确定性传播 24
GB/T29075一2012 1.E-02 1.E-03 墓1 -04 5%分位线 1.E-05 50%分位线均值 95%分位线 1.E-06 50 100 运行时间/h" 图B.18初因事件“涡轮超速”的发生概率(带不确定性事件初因事件中间事件中间事件2链颜率来后果状态事件链编号 OK BAD 办 OK A BAD 中中图B.19不确定性沿事件链的传播为了获得底事件、初因事件和中间事件的不确定性概率分布,往往需要花费很多时间和精力因此,通常首先计算出点估计值然后,根据点估计值重新检查各条事件链,挑出那些后果状态发生概率高的事件链,以及那些尽管发生概率不高但是不确定性很大的事件链 B.10结果分析与重要度排序(步骤9) PRA实施的最后一个步骤,是以图表等形式表达风险分析与评估的结果,并进行基本事件的重要度排序,在此基础上,推荐降低风险的措施经计算,泵动力系统边界外失效事件链2)的结果如图B.20所示选择Fussell-Vesely法简称 F-V法)对事件链2的各基本事件进行重要度计算,结果如表B.4所示 25
GB/T29075一2012 1.B-03 1.E-04 1.E-05 -95%分位线 -均值 -5%分位线 1.E-06 50 100 运行时间/h 图B.20事件链2的概率(带不确定性表B.4事件链2中各基本事件的重要度计算结果基本事件事件描述 F-V重要度算法排序(降序轮毂断裂 HF IoUT-Dp 击中并毁坏PPS系统外要害设备由于虚假信号,使得控制器不能识别超速,或者无法发出 CFR-CSS 关闭指令 CSs 0,989 虚假控制信号驱使阀打开 TTL RPM转换器/变换器降速失效 0.0108 FC 碎片限定 0,00712 CFR 控制器不能识别超速,或者无法发出关闭指令 0.00525 隔岗阀在开着的情况下粘住(机械失效) IVO 0,00525 在阀开着的情况下,控制阀或操作杆粘住 CV(O 0,000653 Pco 在阀开着的情况下,控制阀的动力线断路 l0 0,00000435 经过以上分析,可以得出泵动力系统PRA的一些重要结论: 第二条事件链(对PPS边界外产生破坏)的发生概率随时间推移迅速增大;不过,在任务结束 a 时即第100h),发生的概率并不显著,除非是同时运行成百个这样的PPS系统在任务结束时,涡轮机超速的发生概率是0.002或以下,置信度95% 如果运行时间大大超过100h,或者有超过 PPS同时使用,则失效概率将大幅提高 100个在PRA的基础上,推荐以下措施以降低系统风险由于主要的基本事件与控制器失效及涡轮超速传感器有关,因此,应消除阀门控制逻辑与涡轮速度解读器之间的相关性,这样即使误发控制指令导致超速,控制器也能够识别并控制隔离阀关闭同时,要对涡轮速度变换器/传送器进行冗余设计设法降低涡轮超速导致PPs界外失效的概率可采取的措施包括;加强涡轮限定圈的强度; b 在涡轮周围安置容器,以吸纳飞溅出来的涡轮碎片 26

航天器概率风险评估程序GB/T29075-2012

随着人类对宇宙认知的不断深入，航天器的应用领域也越来越广泛。然而，任何一次航天任务都存在着潜在的风险，因此概率风险评估程序就显得尤为重要。

概率风险评估程序是指通过建立数学模型，对各种可能发生的事故进行分析计算，并据此为制定相应的安全措施提供依据。在航天器领域，概率风险评估程序通常包括以下几个方面内容：

1. 事件树分析

事件树分析是一种基于逻辑思维的分析方法。它将所有可能出现的事件按照概率和关系绘制成树状图，以此为依据进行相应的风险评估。事件树分析在航天器设计和生产过程中得到了广泛运用。

2. 风险识别技术

风险识别技术是指通过对各种可能出现的风险情况进行深入研究，从而确定航天器设计和生产过程中可能存在的各种风险，并给出相应的处理建议。

3. 风险分析技术

风险分析技术是指通过对航天器设计和生产过程中可能发生的事故进行深入分析，找出其中的因素和规律，并提出相应的应对方案。风险分析技术广泛应用于航天器的设计、生产和运营阶段。

4. 风险评估技术

风险评估技术是指通过对航天器设计、生产和运营过程中可能发生的事故进行概率计算，来进行风险评估。通过风险评估，可以对航天器设计、生产和运营过程中的风险进行有效控制。

在航天器领域，概率风险评估程序GB/T29075-2012是一项非常重要的行业标准。该标准规定了航天器概率风险评估的基本原则、方法和技术要求，为航天器的设计、生产和运营提供了重要的指导意义，有助于提高航天器的安全性。

总之，航天器概率风险评估程序是航天工程中不可或缺的一项技术。通过对各种可能的事故进行分析和计算，可以有效提高航天器的安全性，保障人类探索宇宙的顺利进行。