基于模型的安全评估:采用Capella工具的安全评估方法在卫星电源分系统上的应用
1 卫星研制到运营全寿命周期的特点
1) 单件或几件的生产方式(除了新的巨型星座卫星),导致每个卫星都需要长期的研制阶段
2) 一旦卫星进入轨道,就不可能进行维护或修理(在轨维护仍在研究中)
3) 高可靠性和可用性是非常必要的(比如:地球同步卫星需要运行15年)
4) 非常恶劣的外部环境和操作条件(例如:发射效应,空间辐射,恶劣温度带来的热循环)
5) 卫星具备自主控制能力,特别是地面能见度有限的情况下,卫星必须依靠自身的自主控制能力处理故障
2 卫星可靠性典型研究任务
1) 顶事件分析(FEA):在卫星整机级别执行,自顶向下的功能性分析,目的是查明可能导致任务中断甚至失去航天器的顶事件,提出恢复和避免顶事件发生的措施建议;
2) 失效模式和效果分析(FMEA):基于卫星的物理设计进行自底向上的分析,FMEA的结果是设计评审的输入,并用于在地面发现故障时实施纠正措施或操作程序;
3) 故障树分析(FTA):设计符合容错要求,比如:在轨异常的安全性研究
4) 故障检测、隔离和恢复(FDIR):选择合适的故障管理策略和机制确保满足可用性、自主性、故障避免和恢复要求
5) 定量可靠性分析:证明符合合同要求,从高层级的可靠性规范开始,可靠性分配到不同的分系统,然后为每个设备选择特定的冗余方案,以保证卫星的整体良好可靠性和可用性。可靠性框图(RBD)是典型应用方法。
3 目前的卫星可靠性工作存在的问题
1) 在需求规格说明和设计阶段,几乎没有考虑适当的降低。换句话说:选择大量的交叉冗余方案和故障管理策略是为了确保任务在最坏的情况下也能完全成功,更简单更低成本的结构不会被采用,即使一些失败对任务性能和安全性能的影响很有限;
2) 卫星子系统和设备的可靠性和可用性指标的分配,不是与任务级别的实际指标相关,而是与之前已知型号或预期的设计相关。这导致某些功能链的可靠性远高于实际任务的合理指标,导致系统更加的复杂,成本更加昂贵。我们建议卫星的质量和成本在分配阶段进行优化;
3) 在卫星研发的第一阶段,基于多学科设计分析手段进行不同方案的权衡研究和优化设计,但可靠性工具却没有包含在权衡研究和优化设计流程中,导致可靠性预估等工作介入时间太晚;
4) 故障管理通常在研发过程的后期开始,因为在研发开始阶段没有足够的输入信息。这可能导致后期的设计更改,进一步导致昂贵的费用和项目的延期;
5) 最终,系统级可靠性过程的主要输入:设备级实现的分析结果,描述整个功能和体系结构的文档。然而,海量的文档并不能够确保数据的完整一致性,如果需要修改某个单元的功能、体系结构或接口时,重新收集和印发文件是耗时耗力的工作,更无法保证可靠性模型的一致性和结果的正确性。
4 采用Capella工具实现基于模型的安全评估方法(Model Based Safety Assessment)
基于模型的系统工程(MBSE)和基于模型的安全评估(MBSA)已经在不同的工程领域得到应用,并显示出优点和价值。
1) 改进利益相关者之间的沟通效果(客户、项目经理、系统工程是、硬件和软件开发人员、测试人员和专业物理学科)
2) 多个视角查看系统模型,进行变更影响分析,提高了管理系统复杂性的能力
3) 提供一个明确且精确的系统模型提高产品质量,基于模型对一致性、正确性和完整性进行评估
4) 更科学规范化的利用模型驱动方法捕捉和重用知识
法国Thales公司的全系统MBSE平台解决方案,包括三个方面:Arcadia方法论,DSML领域建模语言和Capella建模工具, 包括四个过程:运营分析、系统分析、逻辑架构和物理架构。
1) 运行分析:重点分析用户需求和目标、预期任务和系统运营场景。主要活动是识别与系统交互的参与者、参与者的活动和活动间的交互关系来分析操作用户的需要和需求问题,确保充分准确的系统和实际运行使用的定义和描述;
2) 系统分析:将系统视为一个黑盒子识别其边界和外部参与者,并阐明系统在其整个任务的不同阶段需要做什么来满足以前的运行需求。在这个阶段,定义了系统的参与者、任务、能力和功能以及相关的功能交换。
3) 逻辑分析:将系统视为白盒子开发系统内部的逻辑体系结构,细化系统功能和场景,识别逻辑组件并进行功能分配及各个逻辑组件之间的功能交换,但不包括物理实现或技术问题。在下一步定义特定的物理体系结构之前,可以在此阶段实现将功能分配给组件以及进行多方案权衡。
4) 物理分析:Arcadia方法的最后一步开发出系统物理组件、它们的内容和关系,如何进行技术实现。它描述了系统将如何开发和构建,并根据最终的设计演进其逻辑架构。
5、 卫星的可靠性输入信息
MBSE工具软件Capella具备专门针对可靠性分配和评估的视角,需要可靠性工程师提供的信息:
1) 占空比(Duty Ratio.):可靠性工作周期占空比,功能时间与总时间的比例;
2) 全占空比(FIT on)下的固有故障率,表示为每10^9小时的故障率;
3) 不运行时(FIT OFF)的固有故障率。电气和机械部件分别使用0.1和0.01的乘法因子;
4) 实现特定功能所必需的最少部件单元数量(m);
5) 可用部件单元的数量(n)应该大于等于m;
6) 冗余类型:冷、温、热或无冗余。
7) 提供单元的可靠性框图。这种方法特别适用于用应力强度法评估可靠性的机械项目。
6 卫星的安全评估建模分析案例
6.1 卫星电源系统
卫星电源系统的三个主要功能是为所有卫星子系统提供发电、储存和输送电力。太阳能电池阵列(SA)通过太阳能电池阵列驱动机构(SADM)改变方向,利用来自太阳的太阳能发电。然后通过电力调节和分配单元(PCDU)将产生的能量分配给平台和负载。
6.2 卫星的遥测、跟踪和指令系统
卫星的遥测、跟踪和指令系统主要由三方面组成:TC全向天线、TC接收机和星载TM/TC模块。
采用Capella工具用来卫星各个分系统之间的多学科权衡研究,对比其可靠性、重量和成本。四种方案对比结果如下图所示:
7 总结
基于PLM平台,结合MBSE工具和可靠性分析工具,建立面向复杂系统基于模型的可靠性建模分析平台,具备以下功能:
1) 提高系统功能性能与安全性、可靠性的协同一体化设计能力;
2) 自动化生成FMECA报告和FTA/可靠性框图等模型,保证分析的准确性和规范性,并保存在PLM系统中,保证知识的捕捉和重用;
3) 模型驱动的复杂系统可靠性设计相对于传统基于文本/Excel的分析手段,可实现安全性、可靠性设计与系统功能设计在数据源上的统一,一定程度上避免主观性和随意性。