嫦娥五號探測器安全性設(shè)計與管理實踐

呂鵬 曹瑞強 張正峰 張高

(北京空間飛行器總體設(shè)計部，北京 100094)

安全性是航天器在地面研制和在軌飛行過程中需重點關(guān)注的方面之一[1]，需要在全任務(wù)周期過程中落實安全性工作理念。深空探測任務(wù)是典型的復(fù)雜、高風(fēng)險航天項目，探測環(huán)境復(fù)雜、實施難度大，在國際上深空探測任務(wù)實施過程中，曾經(jīng)出現(xiàn)過多次由于安全性設(shè)計不完善、控制措施落實不到位導(dǎo)致人員傷亡、探測器損壞、在軌故障乃至任務(wù)失敗的情況，如1966年美國阿波羅一號飛船在測試過程中艙內(nèi)起火導(dǎo)致3名宇航員死亡事件，2016年歐洲航天局火星生物學(xué)2016著陸器降落傘提前分離導(dǎo)致著陸器墜毀，2019年印度月船2號著陸器控制軟件設(shè)計錯誤導(dǎo)致著陸失敗等，都反映出在深空探測器研制過程中需要高度重視安全性設(shè)計及管理等相關(guān)工作，以確保任務(wù)圓滿成功。

嫦娥五號任務(wù)是我國國家科技重大專項之一，于2020年12月17日首次實現(xiàn)了地外天體采樣返回[2]。不同于以往月球探測任務(wù)中環(huán)繞、著陸與巡視等探測方式，嫦娥五號探測器還需經(jīng)歷月面采樣封裝、月面起飛上升、月球軌道交會對接與樣品轉(zhuǎn)移、高速再入返回等關(guān)鍵飛行過程，均為首次在軌實施，任務(wù)過程和系統(tǒng)復(fù)雜程度顯著增加，是一項復(fù)雜程度高、技術(shù)跨度大、風(fēng)險因素多的系統(tǒng)工程，對安全性設(shè)計和管理提出了很高的要求。本文結(jié)合嫦娥五號探測器的任務(wù)特點和難點，圍繞安全性工作目標(biāo)，對探測器系統(tǒng)在系統(tǒng)設(shè)計、產(chǎn)品研制全過程、飛控與回收任務(wù)中所采取的安全性設(shè)計與管理措施進(jìn)行了總結(jié)。

1 安全性設(shè)計與管理難點分析

嫦娥五號探測器采用一次發(fā)射、完成月面采樣后返回環(huán)月軌道、在月球軌道上進(jìn)行樣品轉(zhuǎn)移并返回地球的任務(wù)方案，探測器由軌道器、返回器、著陸器和上升器四器組成(見圖1)，共包括15個分系統(tǒng)。

圖1 嫦娥五號探測器系統(tǒng)組成圖

與以往月球探測任務(wù)相比，嫦娥五號探測器需要完成我國首次月面采樣封裝、起飛上升、交會對接及樣品轉(zhuǎn)移、攜帶月球樣品高速再入返回等任務(wù)，需突破7大項系統(tǒng)級關(guān)鍵技術(shù)，并完成各項試驗驗證工作。因此研制過程中，在安全性設(shè)計和管理方面具有以下難點。

(1)任務(wù)過程與探測環(huán)境復(fù)雜。探測器在軌期間共經(jīng)歷11個飛行階段，涉及四器組合、三器組合、兩器組合和單器等6種工作模式，需進(jìn)行5次器/艙間分離，對各階段狀態(tài)設(shè)置的正確性要求非常高；各關(guān)鍵飛行事件環(huán)環(huán)相扣，對各類指令執(zhí)行的實時性要求高，必須在特定時間完成規(guī)定的動作，指令未執(zhí)行或執(zhí)行錯誤均會影響任務(wù)的安全性；此外在月面著陸、采樣封裝及起飛上升過程中還因著陸區(qū)地形地貌和地質(zhì)條件的不同面臨著很大的不確定性，需進(jìn)一步增強探測器對復(fù)雜環(huán)境的適應(yīng)性，確保在軌各項工作均能安全順利完成。

(2)新研產(chǎn)品多、危險源數(shù)量多。探測器為全新研制，共有655臺/套硬件產(chǎn)品，新研產(chǎn)品數(shù)量約占40%，需要開展鑒定級試驗以及相關(guān)的摸底考核試驗，對產(chǎn)品設(shè)計的安全性提出了較高要求；器上共有119件火工裝置，25臺/套機(jī)構(gòu)運動部件、4套雙組元推進(jìn)系統(tǒng)(含14個貯箱和8個高壓氣瓶，攜帶推進(jìn)劑約5400 kg)、3套熱控管路系統(tǒng)、1套核源敏感裝置，危險源數(shù)量多，如果發(fā)生火工品誤點火、運動部件運動干涉、推進(jìn)劑泄漏、高壓部件誤操作、核源敏感裝置防護(hù)不到位，都會對探測器產(chǎn)品乃至人員安全造成損傷，需在產(chǎn)品研制和試驗驗證過程中加強安全性管理。

(3)研制項目多、地面驗證難。在探測器方案、初樣和正樣3個研制階段中，除常規(guī)AIT工作項目外，還進(jìn)行了月面分離穩(wěn)定性試驗等10項摸底驗證試驗和著陸沖擊、著陸與起飛、交會對接與樣品轉(zhuǎn)移、返回器空投等16項系統(tǒng)級專項試驗，研制過程復(fù)雜，工作項目及工況多、參與單位及人員多，組織實施難度大，部分外場試驗風(fēng)險系數(shù)高，對各項工作的準(zhǔn)備充分性、狀態(tài)有效性、過程規(guī)范性、故障處置及安全控制預(yù)案設(shè)計提出了很高的要求，需要在安全性方面開展系統(tǒng)的設(shè)計和管理。

(4)操作難度大、風(fēng)險因素多。受運載火箭包絡(luò)空間和發(fā)射質(zhì)量等方面因素嚴(yán)格限制，探測器構(gòu)型布局設(shè)計緊湊，操作空間受限，研制過程中，需完成整器/器間/艙段對接、整器/組合體吊裝、火工裝置安裝、推進(jìn)劑加注、鉆取采樣裝置等大型復(fù)雜機(jī)構(gòu)安裝等各項操作，實施環(huán)節(jié)多、操作難度大、精度要求高，部分操作還存在視場受限、危險性高、火箭整流罩內(nèi)操作等不利情況，需確保操作過程中的規(guī)范性，避免誤操作、工裝墜落等安全事件發(fā)生，加強過程中檢驗的及時性和有效性，確保各項操作滿足要求，無遺留風(fēng)險。

2 安全性設(shè)計與管理目標(biāo)

為確保過程安全可控、任務(wù)圓滿完成，嫦娥五號探測器基于系統(tǒng)工程的思想，根據(jù)第1節(jié)安全性設(shè)計與管理的難點，制定了在全任務(wù)周期中確保人員、產(chǎn)品、設(shè)施和環(huán)境安全的安全性設(shè)計與管理目標(biāo)，具體分解如下。

(1)有效貫徹安全性設(shè)計要求，確保系統(tǒng)設(shè)計正確，增強系統(tǒng)應(yīng)對不確定性環(huán)境和在軌故障的能力，提高探測器系統(tǒng)本質(zhì)安全性。

(2)在全任務(wù)周期內(nèi)實現(xiàn)對風(fēng)險和危險源的有效識別和管控，降低系統(tǒng)殘余風(fēng)險，避免對探測器產(chǎn)品、人員、設(shè)施和環(huán)境造成損傷。

(3)實現(xiàn)系統(tǒng)設(shè)計、試驗驗證和過程控制等各環(huán)節(jié)的閉環(huán)管理，確?！霸O(shè)計無隱患、過程無差錯、結(jié)果無疑點”。

3 安全性設(shè)計與管理主要措施

嫦娥五號探測器涉及任務(wù)成敗的關(guān)鍵環(huán)節(jié)多，如月面著陸、起飛上升、再入返回等，對動作序列執(zhí)行情況極其嚴(yán)格，需探測器自主完成，地面無法實施干預(yù)，對系統(tǒng)的安全性提出了非常高的要求，在單機(jī)產(chǎn)品層面，需要增強產(chǎn)品的健壯性和可靠性，實現(xiàn)預(yù)定的功能；在系統(tǒng)級層面，要求探測器具有較強應(yīng)對不確定性風(fēng)險的能力，具有一定冗余備份能力和產(chǎn)品故障容限能力，并確保各項狀態(tài)設(shè)置正確到位。針對此情況探測器系統(tǒng)按照“預(yù)防第一、設(shè)計引領(lǐng)、注重細(xì)節(jié)、嚴(yán)控過程”的原則，將安全性工作貫穿于系統(tǒng)設(shè)計、單機(jī)產(chǎn)品研制、系統(tǒng)AIT研制、飛控與回收等全任務(wù)周期中，分別制定了安全性措施并進(jìn)行管理落實，項目分解如圖2所示，確保了研制與任務(wù)實施過程中各個環(huán)節(jié)的安全性。

圖2 探測器安全性工作項目分解圖

3.1 系統(tǒng)設(shè)計

3.1.1 系統(tǒng)安全性設(shè)計

探測器系統(tǒng)根據(jù)在軌飛行任務(wù)，開展了故障模式及影響分析(FMEA)和關(guān)鍵事件的故障樹分析(FTA)[3-4]，共識別出Ⅰ、Ⅱ類單點故障模式30項，一般危險源和故障危險源28項，對這些薄弱環(huán)節(jié)采取了冗余、降額、故障容限等安全性設(shè)計思路和方法，完善了設(shè)計方案，并制定了控制措施，顯著地提高了系統(tǒng)的可靠性和安全性，減小了發(fā)生故障后的影響和危害。在系統(tǒng)級層面采用的安全性設(shè)計措施包括以下內(nèi)容。

1)風(fēng)險消除與控制設(shè)計

設(shè)計正確是實現(xiàn)探測器安全最重要的前提條件。探測器系統(tǒng)進(jìn)行了全面的任務(wù)剖面分析，首先從設(shè)計上消除和控制風(fēng)險項目，降低風(fēng)險發(fā)生的概率和影響。例如在著陸器同組元推進(jìn)劑貯箱之間增加連通管路，使貯箱排放不均衡度由3%提高到1%，顯著降低了著陸過程中不平衡排放導(dǎo)致的質(zhì)心偏差過大帶來的安全性風(fēng)險。針對著陸緩沖機(jī)構(gòu)展開時的包絡(luò)空間、表取采樣機(jī)械臂工作時的運動路徑、交會對接時軌道器和上升器凸出物的浮動范圍進(jìn)行了仿真分析，分別設(shè)定了最小安全距離并進(jìn)行控制，消除了此類干涉和碰撞風(fēng)險。在推進(jìn)系統(tǒng)閥門經(jīng)歷較大的振動和沖擊載荷后，從飛行程序上增加了閥門關(guān)閉指令，防止閥門意外打開影響整器的安全性。

2)系統(tǒng)冗余設(shè)計

為避免單個產(chǎn)品發(fā)生故障影響功能的實現(xiàn)或任務(wù)的完成，采用了必要且優(yōu)化的功能和軟硬件冗余設(shè)計措施，例如在供配電方面，軌返組合體和著陸上升組合體具備相互進(jìn)行供電的能力，確保了在四器組合體狀態(tài)下的系統(tǒng)可靠能源供應(yīng)；在測控數(shù)傳方面，四器組合體飛行狀態(tài)下軌道器和上升器均可實現(xiàn)與地面的測控通信，著陸上升組合體飛行狀態(tài)下著陸器數(shù)傳通道可作為上升器遙測下行的備份通道，確保了測控信道的安全性。

3)不確定性風(fēng)險應(yīng)對設(shè)計

探測器在軌期間主要面臨著著陸區(qū)地形地貌不確定性大的風(fēng)險。著陸區(qū)地形崎嶇會影響軟月面著陸和起飛過程中的安全性。針對此問題，對著陸區(qū)的地形地貌、標(biāo)稱航跡飛行安全性進(jìn)行了全面的分析，分析得到了優(yōu)選著陸區(qū)及著陸中心點，確保了著陸和起飛上升過程中探測器的飛行高度始終位于月面地形上方，處于安全狀態(tài)。針對著陸區(qū)地表環(huán)境影響采樣封裝任務(wù)的問題，探測器配備了兩種采樣裝置，鉆取采樣裝置能夠采集月面2 m以下深度的月壤和巖石顆粒，表取采樣機(jī)械臂能夠采集周邊6.5 m2區(qū)域的月壤，并配置了鏟挖和夾取兩種采樣器，能夠適應(yīng)不同的月壤和巖石組分，提高了采樣任務(wù)的可靠性。

為確保設(shè)計正確，探測器系統(tǒng)在研制過程中組織開展了關(guān)鍵技術(shù)專項審查、重要設(shè)計評審、關(guān)鍵環(huán)節(jié)獨立評估等復(fù)核復(fù)審工作，對發(fā)現(xiàn)的薄弱環(huán)節(jié)進(jìn)行了完善設(shè)計，并補充開展了試驗驗證。

3.1.2 軟件安全性設(shè)計

針對采樣返回任務(wù)自主性要求高等特點，探測器系統(tǒng)依據(jù)軟件工程化的要求，完成了軟件系統(tǒng)設(shè)計及可靠性安全性分析工作，從系統(tǒng)工作模式、操控使用、飛行事件和故障模式等4個維度進(jìn)行分析，共識別需軟件參與處置的系統(tǒng)級故障模式51項，明確了各層級軟件用戶需求，并采取了安全性控制措施。將導(dǎo)航、制導(dǎo)與控制(GNC)分系統(tǒng)和數(shù)管分系統(tǒng)的重要數(shù)據(jù)相互保存?zhèn)浞?，可以確保重要設(shè)備在故障模式下可靠切機(jī)/重啟；GNC分系統(tǒng)控制計算機(jī)部分采用三機(jī)熱備份方式，月面著陸圖像處理單元、交會測量數(shù)據(jù)處理器實現(xiàn)多種數(shù)據(jù)源的實時融合，顯著降低了部組件發(fā)生故障時的切換時間；對遙控指令譯碼采取漢明編碼進(jìn)行檢錯、對程控觸發(fā)信號設(shè)置使能禁止功能，防止指令的錯發(fā)和誤發(fā)；對于影響關(guān)鍵事件和安全性的指令和遙測通道進(jìn)行冗余設(shè)計，確保了遙控指令執(zhí)行正確、遙測數(shù)據(jù)正常、系統(tǒng)在軌穩(wěn)定運行。

各軟件項目在開發(fā)完成后均通過了第三方評測，評測項目包括靜態(tài)分析、人工走查、功能性能測試、邊界余量測試、可靠性測試、安全性測試、強度測試等，對發(fā)現(xiàn)的問題進(jìn)行了修正，并獲得評測合格證明。

3.1.3 關(guān)鍵項目安全性設(shè)計

探測器系統(tǒng)通過任務(wù)剖面分析、功能分析和危險分析等方法，共確定安全性關(guān)鍵項目16項，分別是3次太陽翼展開、3臺大推力發(fā)動機(jī)點火、5次器/艙間分離、5次機(jī)構(gòu)產(chǎn)品解鎖展開。針對這些關(guān)鍵項目，從設(shè)計正確性、環(huán)境適應(yīng)性、驗證充分性、過程控制有效性等方面進(jìn)行了嚴(yán)格控制。

1)太陽翼展開及機(jī)構(gòu)產(chǎn)品解鎖展開安全性設(shè)計

針對軌道器、著陸器和上升器三器太陽翼和著陸緩沖機(jī)構(gòu)、著陸器定向天線、鉆取裝置擺桿、表取機(jī)械臂、返回器艙門機(jī)構(gòu)5種產(chǎn)品，進(jìn)行了空間環(huán)境適應(yīng)性分析，確保能夠安全可靠工作；針對需在月面高溫條件下貯存和工作的火工品，對其藥劑進(jìn)行了改進(jìn)以適應(yīng)180 ℃的溫度環(huán)境并能夠安全點火，顯著提高了產(chǎn)品的安全性；針對解鎖后的運動包絡(luò)空間進(jìn)行了專項復(fù)核并制定了控制措施，確保了解鎖展開過程中與周邊產(chǎn)品無干涉情況。

2)器/艙間分離安全性設(shè)計

針對與軌道器分離面相關(guān)的24件火工連接解鎖裝置，通過優(yōu)化設(shè)計將單作動器改為雙作動器，提高了機(jī)械分離的可靠性；針對器/艙間的10個電連接器，除采用電分離措施外，分別采取了火工作動、分離彈簧等強脫措施，提高了電分離的安全性；針對5次器/艙間分離均進(jìn)行了分離安全性專項復(fù)核，并制定了控制措施，確保了器/艙間分離過程中無相關(guān)干涉、鉤掛情況發(fā)生。

3)大推力發(fā)動機(jī)點火安全性設(shè)計

為保證軌道器和上升器3000 N發(fā)動機(jī)、著陸器7500 N發(fā)動機(jī)可靠點火，對發(fā)動機(jī)自鎖閥的驅(qū)動線路采用了串、并聯(lián)功放管設(shè)計；在嫦娥三號的基礎(chǔ)上，對大推力發(fā)動機(jī)的涂層進(jìn)行了改進(jìn)，增強了抗氧化和防沖刷性能，提高了發(fā)動機(jī)的安全性。針對探測器89臺發(fā)動機(jī)開展了全面的羽流影響分析，制定了羽流防護(hù)方案；為3000 N和7500 N發(fā)動機(jī)分別設(shè)計了高溫隔熱屏，完成了月面起飛時刻的羽流導(dǎo)流設(shè)計和試驗驗證，確保了發(fā)動機(jī)羽流對飛行安全無影響。

3.2 單機(jī)產(chǎn)品研制過程安全性管理

為保證單機(jī)產(chǎn)品安全可靠，探測器系統(tǒng)在產(chǎn)品研制過程中重點對產(chǎn)品健壯性設(shè)計和生產(chǎn)工藝過程進(jìn)行了嚴(yán)格管理，消除了安全性風(fēng)險和隱患。

3.2.1 產(chǎn)品健壯性設(shè)計

在單機(jī)產(chǎn)品設(shè)計方面提出了明確要求，以確保產(chǎn)品功能和性能滿足要求、安全可靠的實現(xiàn)預(yù)定功能。除遵循常規(guī)的力學(xué)、熱、防輻射、電磁兼容等安全設(shè)計準(zhǔn)則外，按產(chǎn)品類別制定了健壯性設(shè)計要求。對結(jié)構(gòu)和機(jī)構(gòu)類產(chǎn)品，提出了安全系數(shù)和靜力矩裕度要求，對各運動副提出了潤滑處理要求并開展了專項復(fù)核復(fù)算；對壓力密封等產(chǎn)品，要求推進(jìn)劑貯箱、高壓氣瓶等壓力容器強度系數(shù)不小于2，電池單體和熱控管路不小于2.5，同時對同批次產(chǎn)品開展了批抽檢測試和爆破試驗；對電氣和電子類產(chǎn)品，要求嚴(yán)格按照元器件降額準(zhǔn)則、防輻射和防靜電要求進(jìn)行設(shè)計，加強了元器件選用分析和控制，對功率大于0.3 W的元器件進(jìn)行了全面復(fù)查確認(rèn)，采用互補金屬氧化物半導(dǎo)體(CMOS)保護(hù)電路、關(guān)鍵元件串聯(lián)電阻、設(shè)置濾波電路等措施提高了電路防靜電能力，降低了系統(tǒng)的失效率。

3.2.2 生產(chǎn)工藝過程管理

探測器各單機(jī)產(chǎn)品生產(chǎn)過程嚴(yán)格按照設(shè)計與工藝文件要求執(zhí)行，并對生產(chǎn)準(zhǔn)備、檢驗記錄和驗收測試等情況進(jìn)行了重點控制。

(1)在產(chǎn)品生產(chǎn)階段，強調(diào)工藝準(zhǔn)備文件和過程記錄的完整性。產(chǎn)品生產(chǎn)前，組織開展生產(chǎn)準(zhǔn)備情況評審，從人員、設(shè)備、材料、工藝、環(huán)境和測量6個方面嚴(yán)格審查，確保符合設(shè)計狀態(tài)要求；生產(chǎn)過程中認(rèn)真落實檢驗制度，嚴(yán)格進(jìn)行工藝記錄，對重點環(huán)節(jié)設(shè)置了強制/關(guān)鍵檢驗點，確保工藝記錄的規(guī)范性，并對重要工序?qū)嵤┣昂蟮臓顟B(tài)留存多媒體照片。

(2)在產(chǎn)品驗收環(huán)節(jié)，制定了驗收專項管理規(guī)定。認(rèn)真開展產(chǎn)品驗收測試工作，從安全性設(shè)計、FMEA、供電模塊安全性、多余物防護(hù)等多方面，嚴(yán)格檢查研制過程中形成的數(shù)據(jù)包，對測試結(jié)果、試驗數(shù)據(jù)、多媒體照片材料進(jìn)行比對和分析，確保了產(chǎn)品不帶風(fēng)險和隱患交付系統(tǒng)AIT工作。

3.3 系統(tǒng)AIT過程安全性管理

探測器系統(tǒng)AIT階段主要工作包括總裝集成、電性能測試和地面試驗3個方面。為了有效控制本階段的風(fēng)險，采取了預(yù)先危險性分析法(PHA)[5]，對危險因素進(jìn)行預(yù)先分析，辨識潛在的危險并制定相應(yīng)的管理措施。

3.3.1 總裝集成過程管理

探測器總裝集成涉及高空、高壓、火工品安裝、探測器吊裝和推進(jìn)劑加注等多種復(fù)雜操作，精度要求高、實施難度大。為嚴(yán)控狀態(tài)、確保安全，探測器系統(tǒng)采取了如下措施。

(1)事前確定要求：對人員、產(chǎn)品和環(huán)境等因素進(jìn)行預(yù)先分析，辨識潛在的危險并確定等級，制定相應(yīng)的技術(shù)安全要求和控制措施并組織相關(guān)方進(jìn)行審查確認(rèn)，作為現(xiàn)場安全性控制的依據(jù)。

(2)事中安全控制：實施過程中嚴(yán)格落實人員安全責(zé)任，強化過程管控，對合艙、加注、火工品安裝等安全性重要環(huán)節(jié)，實施表格化控制和狀態(tài)確認(rèn)，并留存多媒體記錄，做到記錄完整、量化、可追溯，確保探測器最終狀態(tài)滿足設(shè)計要求。

(3)事后閉環(huán)檢查：階段性工作完成后，對安全性控制措施的落實情況進(jìn)行檢查，對落實不到位或記錄不完整的情況進(jìn)行再次確認(rèn)，確保總裝過程安全性管理工作閉環(huán)。

3.3.2 電性能測試過程管理

探測器飛行過程復(fù)雜、狀態(tài)切換多，地面開展電性能測試的難度大。測試過程中狀態(tài)設(shè)置錯誤、指令錯發(fā)或漏發(fā)都將損傷器上產(chǎn)品。為確保電測工作安全開展，探測器系統(tǒng)采取了如下措施。

1)電測安全性設(shè)計

在電性能測試方案設(shè)計過程中，同步開展電測安全性分析與設(shè)計，針對關(guān)系電測安全性的測控通道、供電用電、接地安全等10個方面，全面識別危險因素并制定控制措施，明確了測試文件、產(chǎn)品狀態(tài)和人員操作要求。

2)電測過程管理

為了保證測試狀態(tài)和程序正確，提出并采取了“靜態(tài)表+動態(tài)表”的控制方法?！办o態(tài)表”從設(shè)備安裝、電連接器插拔、器表保護(hù)件狀態(tài)等多個維度對探測器的狀態(tài)進(jìn)行記錄，每次工序交接通過“靜態(tài)表”明確交接狀態(tài)和后續(xù)工作的基線?！皠討B(tài)表”對器上閥門開閉、繼電器開關(guān)、機(jī)構(gòu)運動狀態(tài)等信息進(jìn)行跟蹤，做到狀態(tài)實時受控。該方法的成功應(yīng)用確保了電測狀態(tài)嚴(yán)格受控，降低了測試風(fēng)險，保證了測試的安全性。

3.3.3 地面試驗過程管理

探測器系統(tǒng)開展了大量的地面驗證試驗，除力學(xué)、熱等常規(guī)試驗外，在方案、初樣和正樣階段還開展了26項系統(tǒng)級摸底驗證試驗和專項驗證試驗，如著陸起飛綜合驗證試驗、返回器綜合空投試驗等，部分試驗涉及高溫和高空、戶外作業(yè)等不利條件，實施難度大、風(fēng)險因素多、參與單位及人員多。安全性管理是地面試驗過程中的重點工作內(nèi)容，探測器系統(tǒng)采取了如下措施。

1)試驗安全性設(shè)計

將安全性設(shè)計作為試驗方案的一部分，全面識別試驗過程中的危險源和危險因素，以此為依據(jù)對試驗方案進(jìn)行完善，對于不能消除的風(fēng)險，制定相應(yīng)的控制措施及故障預(yù)案，并進(jìn)行評審把關(guān)和風(fēng)險交底。

2)試驗過程管理

建立安全性管理小組，明確職責(zé)分工，組織參試人員進(jìn)行專題培訓(xùn)和演練。針對外場大型試驗，設(shè)置專職安全管理崗，全程參與試驗并進(jìn)行現(xiàn)場監(jiān)督。試驗前對參試設(shè)備和設(shè)施、環(huán)境安全性進(jìn)行檢查，確保狀態(tài)良好；試驗過程中嚴(yán)格按照規(guī)程進(jìn)行操作，確保各項動作執(zhí)行到位、過程安全受控。表1為某地面試驗安全檢查記錄表。

表1 某地面試驗安全檢查記錄表

續(xù) 表

3.4 飛控與回收過程安全性管理

3.4.1 飛控過程安全性管理

探測器系統(tǒng)根據(jù)在軌故障模式分析結(jié)果[6]，針對識別出的196項故障制定了詳細(xì)的故障預(yù)案處置卡，并對10個關(guān)鍵任務(wù)環(huán)節(jié)中可能出現(xiàn)的51項故障情況，開展了健壯性測試，驗證了系統(tǒng)應(yīng)對故障的能力、預(yù)案合理可行。

探測器系統(tǒng)在任務(wù)實施前對在軌飛行程序進(jìn)行了全面的推演，識別出飛控工作質(zhì)量和安全控制點，明確了支持和保障工作項目清單，為飛控工作的順利實施奠定了堅實的基礎(chǔ)。嫦娥五號探測器成功在軌飛行23天后安全返回，共采集月球樣品1731 g，在軌期間所有動作均按程序嚴(yán)格執(zhí)行，保證了飛行過程的安全性。

3.4.2 回收過程安全性管理

返回器再入過程中需經(jīng)歷嚴(yán)酷的氣動環(huán)境[6]，落地后可能出現(xiàn)結(jié)構(gòu)嚴(yán)重?fù)p壞、推進(jìn)劑泄漏、彈射天線火工品未正常起爆等危險情況，完成現(xiàn)場處置后還需通過直升機(jī)進(jìn)行遠(yuǎn)距離吊運，均對回收工作的安全性提出了很高的要求。為保證回收處置工作順利完成，探測器系統(tǒng)針對飛行故障、環(huán)境影響和工序故障等3類13種非正常狀況制定了應(yīng)急處置預(yù)案，并在任務(wù)實施前進(jìn)行了實地演練或推演(見圖3)，確保了現(xiàn)場處置程序和應(yīng)急預(yù)案正確合理。

圖3 返回器回收前現(xiàn)場實地演練

回收當(dāng)日，嫦娥五號返回器在內(nèi)蒙古四子王旗著陸，著陸時剩余約3 kg的推進(jìn)劑。返回器落地后狀態(tài)正常，為保證貯箱內(nèi)推進(jìn)劑不結(jié)凍，采用了保暖貼+棉星衣的保暖預(yù)案，順利將剩余推進(jìn)劑安全泄出，保證了現(xiàn)場處置和轉(zhuǎn)運過程的安全性。

4 任務(wù)實施及驗證情況

嫦娥五號探測器于2011年1月啟動研制，2012年12月完成方案設(shè)計和關(guān)鍵技術(shù)攻關(guān)，2015年9月完成初樣研制和試驗驗證，2020年11月完成正樣研制發(fā)射入軌，地面研制過程中，單機(jī)產(chǎn)品和系統(tǒng)研制工作順利完成(見圖4)，各專項試驗項目達(dá)到了預(yù)期的目標(biāo)，安全性設(shè)計與管理措施到位，未發(fā)生安全責(zé)任事件。

圖4 上升器月面起飛驗證試驗圖

探測器于2020年11月24日發(fā)射入軌，12月17日安全著陸返回。在軌過程中各項任務(wù)均按照預(yù)定程序執(zhí)行，產(chǎn)品功能性能正常，順利完成了太陽翼和機(jī)構(gòu)產(chǎn)品解鎖展開、器/艙間分離、月面采樣封裝、起飛上升和交會對接及樣品轉(zhuǎn)移任務(wù)(見圖5)，未發(fā)生干涉、磕碰與鉤掛情況，各項安全控制措施有效，在軌飛控及回收工作順利完成，任務(wù)取得圓滿成功。

圖5 著陸上升組合體分離后在軌狀態(tài)圖

嫦娥五號探測器將安全性設(shè)計與管理工作貫穿于全系統(tǒng)、全周期研制過程中，充分有效的識別風(fēng)險點和危險源，采取了一系列有針對性的安全性工作方法，主要體現(xiàn)在以下3個方面。

(1)加強系統(tǒng)的健壯性設(shè)計，從系統(tǒng)、單機(jī)和部組件等各個層面提高可靠性和安全性，提高探測器系統(tǒng)的本質(zhì)安全性，增強應(yīng)對不確定性風(fēng)險的能力，降低殘余風(fēng)險。

(2)強化單機(jī)產(chǎn)品研制和系統(tǒng)AIT過程中的安全性管理，確保系統(tǒng)研制的全流程狀態(tài)受控，產(chǎn)品最終狀態(tài)滿足設(shè)計要求，不引入新的風(fēng)險項目和危險因素。

(3)在軌飛控和回收過程中，加強故障模式分析和預(yù)案設(shè)計、過程推演和動作演練，確保在軌飛控和地面處置零差錯，采取有效措施應(yīng)對環(huán)境條件的變化，保證各項任務(wù)順利完成。

以上措施確保了探測器在地面研制和飛行過程中的安全性，在軌飛控與回收過程中未發(fā)生質(zhì)量問題和安全事件。

5 結(jié)束語

嫦娥五號探測器系統(tǒng)組成復(fù)雜、研制難度大、風(fēng)險因素多，安全性設(shè)計和管理具有較大難度。本文結(jié)合任務(wù)特點和難點，系統(tǒng)地總結(jié)了探測器研制過程中所采取的安全性控制措施和特色做法。嫦娥五號探測器將安全性設(shè)計與管理工作貫穿于全系統(tǒng)、全周期研制過程中，保證了探測器在研制過程中的安全性，在軌飛控與回收任務(wù)期間未發(fā)生質(zhì)量問題和安全事件，任務(wù)取得圓滿成功，可為后續(xù)深空探測任務(wù)的安全性設(shè)計與管理工作提供借鑒。