党的十八大以来,习近平总书记围绕防范化解重大风险发表一系列重要论述,指出:“我们必须把防风险摆在突出位置,‘图之于未萌,虑之于未有’。”“既要有防范风险的先手,也要有应对和化解风险挑战的高招”。党的十九大报告进一步明确了建设“航天强国”“质量强国”的重大战略部署,同时提出深化“质量变革、效率变革、动力变革”,把“航天”“质量”提升到了更加突出的地位。着眼航天强国和国防建设新目标、新要求,中国航天科技集团有限公司在第八次工作会议上进一步明确提出“形成高质量、高效率、高效益全面发展新局面”。集团公司党组书记、董事长吴燕生指出:“航天作为高风险事业,始终与风险为伴,始终脚踏坚实的质量基石前行。”同时,针对风险的防范与化解,吴燕生特别提出对单点故障模式的识别与控制要求,强调要针对航天器单点问题,尤其是对系统有冗余但还存在单点的,进行全面治理,使整星、整器可靠性实现大提升。作为我国空间飞行器抓总研制的龙头单位,五院总体设计部始终坚持贯彻落实这一要求,对标航天强国和质量强国要求,不断发展进步,以优化冗余设计、保证冗余有效性为抓手,切实提高航天器可靠性设计水平。
一、冗余设计是高质量保证成功的关键所在
航天器产品既要面对高性能、高质量、高安全、高可靠等任务要求,又要面对工程研制中小子样、小体积、重量轻、功耗省、不易维修等约束,这决定了航天器研制具有先进性、复杂性和高风险性。特别是重大工程,举国关注、举世瞩目,必须确保圆满成功。在中国航天事业66年的发展历程中,我们逐步认识到:航天器产品高风险的核心是较高的技术风险,而技术风险的核心是可靠性风险。作为航天器可靠性设计的重要部分,冗余设计是保证系统整体性能、提升任务可靠性和避免单点的重要手段。
冗余设计是确保任务关键功能实现的必要举措。关键功能一旦失效将导致航天器的关键任务和科学目标无法实现,为此,一些关键功能(环节)或设备通常采用一种以上的手段保证在发生故障时仍能完成同一种规定功能,完成该功能的每种手段未必相同,这种设计特性就是冗余。根据工作模式,冗余可分为工作冗余和非工作冗余。工作冗余是指执行规定功能的所有手段同时处于工作状态的冗余,如常见的“双点双线”;非工作冗余是指执行规定功能的一部分手段处于工作状态,而其余部分在需要之前处于不工作状态的冗余,如常见的设备冷备份。
冗余设计是提高系统可靠性的重要手段。可靠性风险是航天产品技术风险的核心,当产品不能满足可靠性要求,并且改进设计所需要的费用、时间比进行冗余配置更多时,采用冗余设计方法是自然选择。一般通过定性判断和定量分析来确定是否需要冗余并确定具体的冗余方案。开展定性判断主要是根据总体任务要求和FMEA(故障模式和影响分析)来定性判定冗余必要性,若不能定性确定是否需要冗余,应进行定量分析,即通过可靠性建模和计算,开展定量分析,定量判断是否需要冗余。比如简单的并联,比无冗余时的可靠性有很大提高。以载人飞船的一个重要产品测控应答机为例,单机可靠性能达到0.999,但仍不能满足分系统0.99999的要求。怎么办?设计人员经过论证,提出采用热备份的方法来提高产品的可靠性,冗余后的可靠性能到达0.999999,从而满足设计要求。
冗余设计是消除单点故障模式的可靠方法。单点故障模式影响航天任务的成败,必须尽量消除。当需要消除产品中单点故障模式,并且考虑改进设计的代价更大时,采用冗余设计方法是不二选择。灾难性、致命性的Ⅰ、Ⅱ类单点故障模式直接影响安全和任务成功,要尽量消除,然而只有从设计上消除才是真的消除。这个设计就包括产品本身的完善设计和冗余设计,优先顺序是产品本身的设计改进,其次是冗余设计,冗余设计要优先在低层级产品上实施。
二、冗余设计精准应用是保证高效率完成任务的有效途径
通过长期实践,五院总体设计部形成了冗余设计的规范和方法,通过培训等手段使各级设计师具备了开展冗余设计分析的能力,通过精准应用冗余设计,降低因产品故障带来的风险,一次把事情做好,为高效率完成任务奠定了技术基础。
标准先行是推动冗余设计落地的先决条件。五院近年来加大航天器可靠性安全性保证技术的研究和提炼,形成了《航天器产品可靠性维修性测试性保障性保证要求》《航天器产品安全性保证要求》等标准,明确了冗余设计的要求,在此基础上对冗余设计实践、方法等进行总结和提炼,编制了《航天器产品冗余设计指南》《航天器故障容限设计指南》等三层次标准,并从组织层面开展“两总”及设计师培训,从型号层面对总体及外协的全线队伍进行宣贯,上下贯通,形成了双线同向的落实机制,使各级设计师具备了开展冗余设计等可靠性设计的能力。同时,不断完善可靠性分析工具手段建成“六性一体化平台(ARW+)”,提升工作效率,有力推进了冗余设计技术在各层次产品中的更好应用。各型号为确保冗余的有效性,还采取了单点专项复查、过程确认、测试验证、出厂前质量确认等措施,确保一次做对。
工程应用是总结提炼冗余设计手段的着力点。经过多年的实践,航天器工程应用了多种冗余设计手段,包括不同层次的功能冗余和直接的硬件冗余等。其中,功能冗余主要在子系统或系统级实现。例如,载人飞船着陆缓冲功能同时采用大底结构变形和座椅缓冲的不同手段,嫦娥五号探测器采用表取和钻取两种采样方式实现月表采样任务。直接的硬件冗余是人为地增加备用件数量,一般在设备及以下产品层次实施。例如,火工锁采取双起爆器、双爆炸螺栓、双执行机构冗余设计,数据存储冗余设计采取存储设备的双机冷备份方式。冗余的级别越低,故障屏蔽的效果越好,同时对故障检测和电路设计的要求也越高、难度越大,这也表明大量的工程应用为不断完善冗余设计积累了经验。
问题导向是提升冗余设计能力的必由之路。单点是航天器设计中无法避免的情况,冗余设计是消除单点故障模式的法宝,但是不完善的冗余设计很可能带来新的单点故障模式或不能达到设计目的,即为“伪冗余、真单点”,这也是在开展冗余设计过程中发现的新问题。其主要原因包括可能导致多个冗余单元同时或先后失效的共因故障,以及冗余设计“三要素”(隔离保护单元、交叉连接切换单元、故障检测管理单元)本身存在的单点故障模式。为此五院开展共因故障专题研究和FMEA标准修订工作,形成了航天器产品共因故障检查单和预防共因故障策略(设计)指南,完善了FMEA标准中冗余系统故障模式分析方法和单点故障模式识别方法。冗余备份之间过分的关联和依赖是共因故障的根本原因,确保独立性是解决共因故障的手段,应做到模块之间尽可能独立、设计异构、物理隔离等。
三、以深耕冗余设计笃行冗余实践推动高效益发展
“高效益”就是与以往的效益指标和方法相比,理念更科学、指标更完备、流程更优化、措施更精准,实现整体效益最佳。
冗余优化设计是提高航天器效能的主要方向。随着设计师队伍能力和产品成熟度的提升,具备了深化开展航天器冗余设计优化的能力和条件,逐渐探索在费用、重量、体积等因素约束的限制条件下,通过配置冗余单元,使航天器系统效能达到最大,或者在一定效能指标要求的条件下使用的资源最少。通过建立基于ADC模型法的航天器效能评估指标体系和效能评估模型,采用以费用为独立变量的权衡方法,将效能和费用之间的函数关系转化为效能—费用模型,建立权衡空间,进行效费比优化,最终得出权衡优化方案。
保证冗余有效性是提升整体效益的持续动力。冗余是针对故障而设的,一旦发生严重影响任务完成的故障,冗余又不起作用时,对用户来说损失研制费用、影响相关领域发展和国防建设,对承制单位来说可能降低信誉和用户能力评价,影响后续任务的承接,对经济效益、政治效益和社会效益都有不同程度的影响。因此要不断发挥专业技术机构支撑作用,深耕深化航天器冗余有效性分析方法与实践,实现高效益发展。
守正出新,严慎细实;控制风险,成功有我。五院总体设计部要以持续提升质量能力、确保任务圆满成功为目标,不断完善航天器冗余设计和冗余有效性验证工作,推动高质量保证成功的能力不断迈上新台阶,在“三高”全面发展中不断赢得历史主动,在全面建设航天强国的新征程中不断书写新的辉煌,以优异成绩迎接党的二十大胜利召开。(航天科技集团五院总体设计部)