空間站任務(wù)載人飛船系統(tǒng)級安全性保證技術(shù)與應(yīng)用

楊海峰 肖雪迪 尹驍陽

(北京空間飛行器總體設(shè)計部，北京 100094)

隨著2021年4月29日我國天和號核心艙發(fā)射成功，標(biāo)志著我國載人航天工程“三步走”發(fā)展戰(zhàn)略的第三步“建造空間站，解決有較大規(guī)模的、長期有人照料的空間應(yīng)用問題”正式開始[1]，宣告我國正式邁進(jìn)空間站時代。2022年4月16日9時56分，隨著神舟十三號返回艙在東風(fēng)著陸場安全降落，標(biāo)志著我國空間站關(guān)鍵技術(shù)驗證階段第二次載人交會對接任務(wù)取得了圓滿成功。神舟十三號在軌運行180天，創(chuàng)造了我國神舟飛船載人飛行任務(wù)時長新紀(jì)錄。隨著我國進(jìn)入空間站任務(wù)時代，神舟飛船發(fā)射頻率將顯著提高，神舟飛船天地往返運輸任務(wù)將成為常態(tài)。

“載人航天，人命關(guān)天”，空間站建造任務(wù)及長期運營過程中，保證航天員全任務(wù)安全性是所有載人航天器研制過程中需要遵循的首要原則。空間站任務(wù)載人飛船在保證航天員全任務(wù)安全性方面有以下特點：①工程技術(shù)復(fù)雜，產(chǎn)品配套多，大系統(tǒng)接口多，發(fā)生故障概率高；②任務(wù)剖面復(fù)雜，危險因素多，安全性保證難度大；③載人飛船發(fā)射頻率高，運行時間長，安全性風(fēng)險大。從1961年人類首次載人航天飛行成功至今，在載人航天工程地面試驗和訓(xùn)練中共有9名宇航員死亡，在載人航天飛行任務(wù)執(zhí)行過程中，共有18名宇航員死亡[2]。2018年10月11日俄羅斯聯(lián)盟MS-10載人飛船發(fā)射失敗，船上2名宇航員啟動應(yīng)急逃逸系統(tǒng)安全著陸[2]，一方面表明了載人航天的高風(fēng)險；另一方面也說明了載人航天器安全性設(shè)計的重要性，必須持續(xù)關(guān)注載人航天器的安全性問題并提升其安全性水平。

針對空間站任務(wù)航天員安全性保證技術(shù)特點，本文提出了載人飛船系統(tǒng)級安全性保證方法，通過神舟飛船“用戶安全性要求→系統(tǒng)安全性分析(危險源識別)→系統(tǒng)級安全性設(shè)計→安全性實現(xiàn)及改進(jìn)”等全過程系統(tǒng)級安全性保證工作，確保危險識別充分，安全性保證措施有效，安全性指標(biāo)滿足要求。

1 空間站任務(wù)載人飛船安全性保證特點

1)安全性指標(biāo)要求高

不同于衛(wèi)星等無人航天器，空間站任務(wù)由于航天員的參與而對安全性指標(biāo)有了近乎苛刻的要求。神舟飛船的安全性定量指標(biāo)要求大于0.97，這就需要在設(shè)計實現(xiàn)過程中投入更多的資源去滿足這些要求。例如增加冗余備份、人控設(shè)計、人機(jī)交互設(shè)計等，也大大增加了神舟飛船整體方案的復(fù)雜程度和技術(shù)難度。

2)覆蓋全任務(wù)階段

空間站任務(wù)明確要求飛船系統(tǒng)“確保航天員在飛行任務(wù)全過程的安全”，包括待發(fā)段、發(fā)射段、在軌運行段、組合體?？慷?、返回載入段等。不同的任務(wù)階段有不同的工作模式和工作環(huán)境，面臨不同的危險源，這就需要針對各個任務(wù)階段設(shè)計專項的應(yīng)急方案或預(yù)案，在該任務(wù)階段發(fā)生對應(yīng)的故障時，則直接轉(zhuǎn)入相應(yīng)的應(yīng)急分支，確保航天員安全。因此全任務(wù)階段存在危險源識別不充分，預(yù)案未全覆蓋的風(fēng)險。這就需要開展全任務(wù)各階段危險源分析及應(yīng)急方案設(shè)計，也將增加神舟飛船整體方案設(shè)計的難度。

3)實時性和長期性

相比于載人航天二期任務(wù)期間神舟十一號最長留軌1個月，空間站任務(wù)期間航天員乘組輪換及長期留軌成為常態(tài)?？臻g站任務(wù)設(shè)計壽命不小于10年，以往短期任務(wù)通過地面人員24 h人工監(jiān)視判讀的模式已完全無法適應(yīng)空間站任務(wù)常態(tài)化安全性保證需求。需要在地面自動化判讀、應(yīng)急響應(yīng)機(jī)制等方面進(jìn)一步開展工作，以應(yīng)對空間站任務(wù)期間隨時可能出現(xiàn)的應(yīng)急情況。例如組合體發(fā)生了失火失壓等故障模式，是否需要緊急撤離;載人飛船本身發(fā)生了不能返回的故障模式，是否需要啟動應(yīng)急救援飛船等，均需要第一時間進(jìn)行準(zhǔn)確判讀、正確處置。

2 系統(tǒng)安全性分析

安全性設(shè)計的對象是影響航天員安全的故障危險源和安全性關(guān)鍵項目，因此首先應(yīng)分析、識別這些項目，載人航天器研制過程中最常用的方法有故障模式及影響分析(FMEA)、故障樹分析(FTA)以及經(jīng)驗法。同時在載人航天器長期的型號研制及多次飛行試驗實踐中，增加了動態(tài)過程的風(fēng)險識別，體現(xiàn)全任務(wù)、全系統(tǒng)識別安全性薄弱環(huán)節(jié)優(yōu)勢。提煉總結(jié)了諸如與故障樹相結(jié)合的關(guān)鍵事件分析法、飛行時域危險分析法等，從不同的分析維度全任務(wù)、全系統(tǒng)識別安全性薄弱環(huán)節(jié)，確保安全性設(shè)計更為全面、準(zhǔn)確不漏項。

1)危險分析法

危險分析法比較成熟，一般嚴(yán)格按照標(biāo)準(zhǔn)規(guī)范或用戶制定的安全性大綱開展工作即可。通過對照危險源檢查單，載人航天器一般危險源包括著火、爆炸、振動、沖擊、聲振、熱、污染、輻射、放電、病理生理心理及其它威脅生命和健康的產(chǎn)品；故障危險源主要考慮故障模式嚴(yán)酷度等級為I類的所有故障和可能影響航天員安全的II類故障，其中I類故障模式一般指那些能直接導(dǎo)致航天員傷亡、任務(wù)失敗的故障模式，II類故障影響低于I類。I類、II類相關(guān)的軟硬件產(chǎn)品、功能及操作規(guī)程，一般也作為確定安全性關(guān)鍵項目的依據(jù)。

對識別出的危險源從危險嚴(yán)重性、危險可能性兩個維度進(jìn)行風(fēng)險指數(shù)評估，根據(jù)風(fēng)險指數(shù)確定風(fēng)險是否可接受。一般風(fēng)險指數(shù)在18～20的不需評審即可接受，10～17評審可接受后需備案，1～9一般不可接受。對于不可接受的風(fēng)險，需要提出針對性的安全性設(shè)計措施，對于風(fēng)險不可接受且不再打算進(jìn)一步采取安全性措施的危險，則定為殘余危險報用戶審批備案。

2)基于關(guān)鍵事件時序分析法

該方法適合已有較為詳盡飛行方案的初樣階段開展，側(cè)重于貼近執(zhí)行飛行任務(wù)的角度，通過確定任務(wù)的目標(biāo)及成功判據(jù)，對飛行程序中“每個動作/事件的失敗影響”進(jìn)行分析，按照時序動態(tài)識別出導(dǎo)致航天員傷亡的一系列關(guān)鍵事件；然后對關(guān)鍵事件的完成保障條件開展分析，識別出導(dǎo)致關(guān)鍵事件失敗的產(chǎn)生原因，如測控條件約束、數(shù)據(jù)注入及協(xié)同匹配等，找出潛在的薄弱環(huán)節(jié)，提出可能采取的預(yù)防和(或)設(shè)計改進(jìn)措施及在軌補(bǔ)償措施，為安全性設(shè)計改進(jìn)、故障預(yù)案制定、地面判讀提供參考。該方法的主要思想和過程如圖1所示[3]。

圖1 基于關(guān)鍵事件的系統(tǒng)級單點故障識別方法Fig.1 Single point failure identification method based on critical incident

先明確系統(tǒng)級任務(wù)目標(biāo)，然后按照任務(wù)階段劃分，對每個階段飛行事件執(zhí)行結(jié)果對任務(wù)目標(biāo)的影響進(jìn)行分析，識別出關(guān)鍵事件；其次開展以關(guān)鍵事件為頂事件的故障樹分析；最后根據(jù)故障樹分析結(jié)果，識別出的那些直接導(dǎo)致關(guān)鍵事件不能完成的故障模式作為系統(tǒng)級單點故障模式，通過采取隔離故障不擴(kuò)散或采取人工地面補(bǔ)救措施(故障預(yù)案)等，盡可能的將風(fēng)險降到最低。

例如神舟十二號載人飛船任務(wù)準(zhǔn)備階段識別67項關(guān)鍵事件，設(shè)計、關(guān)聯(lián)了相應(yīng)的故障對策，編制了監(jiān)視頁面，任務(wù)中作為地面重點判讀內(nèi)容之一。

該方法在飛行方案詳細(xì)設(shè)計、飛行任務(wù)準(zhǔn)備階段還可以通過“角色扮演”的形式組織人員按照飛行程序進(jìn)行推演，這些“角色”包括神舟飛船、空間站、航天員、地面支持等，通過推演能夠發(fā)現(xiàn)飛行程序中不協(xié)調(diào)的事件(含大系統(tǒng)接口)、安全性薄弱環(huán)節(jié)、不完備的保障資源，為安全性設(shè)計改進(jìn)提供參考。這種較為隱蔽的“軟故障模式”往往是FMEA、FTA等傳統(tǒng)分析方法很難識別的。

3)飛行過程(時域)危險分析法

該方法同樣基于飛行程序，同樣進(jìn)行全任務(wù)階段的危險源識別，不同之處在于側(cè)重于識別各任務(wù)階段下特定“環(huán)境因素”所隱藏的“重大危險源”，這些危險源涵蓋各大系統(tǒng)，接口復(fù)雜，容易遺漏，且誘發(fā)的事故后果往往是災(zāi)難性的，所以必須將這些危險源逐一識別出來并制定應(yīng)急方案(見圖2)。

圖2 空間站任務(wù)階段神舟飛船任務(wù)剖面示意圖Fig.2 Mission profile of Shenzhou spacecraft in the space station mission

這些應(yīng)急方案一般也直接影響各大系統(tǒng)的方案設(shè)計，所以分析工作也必須是站在整個工程總體高度開展。以神舟飛船為例，為執(zhí)行交會對接任務(wù)，飛船系統(tǒng)進(jìn)行了全過程危險分析、設(shè)計，針對船器近距離交會、組合體長期?？康刃氯蝿?wù)，進(jìn)行了近距離避撞、組合體應(yīng)急撤離等專項安全性設(shè)計。

3 系統(tǒng)安全性保證措施與應(yīng)用

3.1 消除危險設(shè)計

通過設(shè)計手段使得產(chǎn)品和系統(tǒng)本身具有安全性，即使在發(fā)生故障或誤操作的情況下也不會造成安全性事故，實現(xiàn)“本質(zhì)安全”。載人飛船方案設(shè)計之初盡量不使用或減少使用可能對系統(tǒng)安全構(gòu)成潛在威脅或可能造成危害因素的產(chǎn)品或功能。

以防火設(shè)計為例，1967年1月阿波羅1號地面演練時，駕駛艙起火并劇烈燃燒導(dǎo)致3名航天員死亡。事故的調(diào)查結(jié)果定位在座椅附近的電線短路迸出火花，在密封艙純氧環(huán)境下大量易燃物燃燒并迅速蔓延，且艙門被一系列門閂、棘輪鎖死，打開困難。目前我國包括神舟飛船在內(nèi)的載人航天器密封艙均采用3∶7的氧氮混合氣體；飛船使用的所有非金屬材料按照選用要求篩選并經(jīng)過阻燃及燃燒性能檢測，結(jié)果合格方可裝船；飛船大功率用電設(shè)備有限流措施；飛船還配備了滅火器、防毒面具，制定了專項滅火程序，寫進(jìn)了航天員故障處置手冊中，由航天員進(jìn)行專項訓(xùn)練。經(jīng)過一系列措施在密封艙防火性能上實現(xiàn)“本質(zhì)安全”。

3.2 故障容限設(shè)計

對于識別出的影響航天員安全的關(guān)鍵功能通過采取冗余、故障重構(gòu)、安全模式等設(shè)計方法，盡可能消除影響航天員系統(tǒng)級單點故障模式，達(dá)到提升載人航天器安全性水平的目的。對于因設(shè)備屬性、資源代價約束等確實無法消除的系統(tǒng)級單點故障模式，應(yīng)采取充分的可靠性、安全性設(shè)計措施降低故障模式危險風(fēng)險至用戶可接受水平。

神舟飛船設(shè)計之初就按照“一重故障工作，二重故障安全”原則開展整船方案設(shè)計，在滿足整船資源約束的條件下，最大可能提升整船安全性水平，見表1。

表1 神舟飛船關(guān)鍵功能故障容限設(shè)計情況Table 1 Failure tolerance design of key function of Shenzhou spacecraft

3.3 關(guān)鍵功能人控設(shè)計

與衛(wèi)星等無人航天器不同，載人航天器因為有航天員的參與而更具特點，在載人航天器關(guān)鍵功能實現(xiàn)上可設(shè)計人控功能，作為自控的備份。人控功能往往在操作方式、實現(xiàn)機(jī)理、設(shè)備類型等方面與自控有明顯不同，可以起到消除系統(tǒng)級單點故障模式、切斷故障傳播等作用，顯著提高載人航天器安全性水平。

以人控交會對接功能為例，2021年1月8日神舟十三號航天員乘組在空間站核心艙內(nèi)采取手控遙操作方式，圓滿完成了天舟二號貨運飛船與核心艙交會對接試驗，這是繼2012年6月24日神舟九號乘組劉旺成功實施神舟九號與天宮一號人控交會對接后，我國在軌實施的第二次人控交會對接試驗，標(biāo)志著我國已完整的掌握了自動及手動交會對接技術(shù)。

神舟飛船部分常用關(guān)鍵功能的人控設(shè)計情況見表2，可以實現(xiàn)自控故障情況下切換為航天員手動控制模式，確保航天員安全。

表2 神舟飛船關(guān)鍵功能人控設(shè)計情況Table 2 Manual control design of key function of Shenzhou spacecraft

3.4 維修性設(shè)計

維修性設(shè)計目前主要應(yīng)用于類似空間站這種長壽命、高可靠運行的航天器，通過航天員在軌維修確保其長壽命、高可靠運行。例如和平號空間站設(shè)計壽命5年，通過在軌維修延壽到15年，“國際空間站”設(shè)計壽命15年，目前已到壽命末期，經(jīng)評估通過維修將壽命延長至20年[4]。對于載人飛船等短期飛行載人航天器也可結(jié)合自身任務(wù)特點，綜合權(quán)衡資源代價，對部分關(guān)鍵功能采取適當(dāng)維修性設(shè)計，提高系統(tǒng)安全性水平。

例如神舟飛船任務(wù)準(zhǔn)備階段設(shè)計了“凈化風(fēng)機(jī)停轉(zhuǎn)故障對策”。凈化風(fēng)機(jī)用于驅(qū)動空氣進(jìn)入凈化藥罐吸附密封艙空氣中的二氧化碳，所以風(fēng)機(jī)一旦停轉(zhuǎn)會導(dǎo)致密封艙二氧化碳濃度上升，直接威脅航天員安全。當(dāng)時結(jié)合飛船已有的維修工具提出了“割開凈化軟管，將服裝通風(fēng)軟管插入凈化風(fēng)機(jī)軟管并用3M膠帶密封后，使用服裝風(fēng)機(jī)代替凈化”的方案，并在地面進(jìn)行了操作驗證。這樣通過一個相對簡單的維修方案，解決了密封艙有害氣體凈化的重大安全性問題。

3.5 人機(jī)交互安全性設(shè)計

載人航天器中航天員的參與一方面能夠帶來手控備份、在軌維修等安全性設(shè)計優(yōu)勢；另一方面也引入了人為差錯等導(dǎo)致安全性事故的新風(fēng)險，因此必須進(jìn)行人機(jī)交互安全性設(shè)計。神舟飛船典型人機(jī)交互安全性設(shè)計要素見表3。

表3 神舟飛船典型人機(jī)交互安全性設(shè)計要素Table 3 Typical human-comptuer interaction security design elements of Shenzhou spacecraft

3.6 全時域應(yīng)急方案設(shè)計

針對各個任務(wù)階段識別出的特定重大危險源或重大故障模式，制定專項的應(yīng)急方案。在該任務(wù)階段發(fā)生相應(yīng)的故障時，直接轉(zhuǎn)入相應(yīng)的應(yīng)急分支。神舟飛船系統(tǒng)針對待發(fā)段到返回段的全任務(wù)過程危險源進(jìn)行了分析、識別，制定了全時域應(yīng)急方案，確保在任何任務(wù)段、任何時間段發(fā)生特定的故障模式均能夠轉(zhuǎn)入應(yīng)急模式，最大限度保證航天員安全，見表4。

表4 神舟飛船全時域應(yīng)急方案設(shè)計情況Table 4 Full-time domain emergency plan design of Shenzhou spacecraft

1)組合體應(yīng)急撤離

組合體段的應(yīng)急撤離程序設(shè)計是大系統(tǒng)聯(lián)合進(jìn)行危險分析、設(shè)計的典型案例。船、站雙方在各類故障后達(dá)到安全點、故障蔓延時間分析的基礎(chǔ)上，綜合考慮測控條件、航天員操作時間、地面操作及天地匹配等約束情況，完成了組合體應(yīng)急撤離程序設(shè)計?？纱_保在組合體發(fā)生重大故障模式時，如密封艙失火、失壓等，根據(jù)故障特點(故障影響、蔓延時間、航天員安全點等)，正確執(zhí)行相應(yīng)的應(yīng)急撤離程序，極大提高了組合體?？慷伟踩运絒5]。

目前，航天員在軌定期進(jìn)行應(yīng)急撤離演練，根據(jù)任務(wù)安排還會組織各航天器參與的應(yīng)急撤離演練，對應(yīng)急響應(yīng)機(jī)制、地面設(shè)備人員、應(yīng)急處置程序等進(jìn)行驗證，確保應(yīng)急撤離協(xié)同程序?qū)嵤┑钠ヅ湫院陀行浴?/p>

2)應(yīng)急救援能力

相比天宮一號目標(biāo)飛行器、天宮二號空間實驗室只有一個對接口，空間站增加到3個對接停泊口，這就為發(fā)射應(yīng)急救援飛船提供了必要條件。研制人員通過載人飛船“滾動備份、優(yōu)化流程”，在空間站長期有人駐留期間，保證發(fā)射場有1艘載人飛船和火箭隨時待命，接到救援任務(wù)后可在8.5天內(nèi)組織發(fā)射，拯救空間站航天員安全返回，大大提高了組合體?？慷伟踩运?。

3.7 故障預(yù)案設(shè)計

故障預(yù)案是保障載人航天器安全的最后手段，是載人航天器歷次發(fā)射任務(wù)準(zhǔn)備工作中最重要的工作內(nèi)容之一，其工作量甚至可以占比到整個工作的50%以上，除了正常任務(wù)實施，大量的工作基本上都是在準(zhǔn)備各種應(yīng)急預(yù)案。根據(jù)神舟飛船飛控歷次工作經(jīng)驗，通過充分準(zhǔn)備工作，故障預(yù)案可以覆蓋在軌發(fā)生的90%的故障，同時按照預(yù)案實施處置的有效率可以達(dá)到95%以上。總結(jié)故障預(yù)案的設(shè)計要點如下。

(1)故障預(yù)案是載人航天器研制之初就確定下來的，是正向設(shè)計的結(jié)果。

(2)FMEA是故障預(yù)案設(shè)計的主要來源，對需要采取在軌補(bǔ)償措施、能夠在軌檢測的故障模式制定飛控故障預(yù)案。

(3)依據(jù)正常飛行方案，識別出飛行過程可能發(fā)生的、靜態(tài)FMEA不能涵蓋的其它故障模式，主要包括：其他大系統(tǒng)故障導(dǎo)致須飛船系統(tǒng)應(yīng)急處理的故障模式、需要多個分系統(tǒng)參與處理的分系統(tǒng)接口相關(guān)故障、地面測試/試驗/演練中發(fā)現(xiàn)的問題，都應(yīng)該作為故障模式的來源積累下來，分析并制定相應(yīng)的對策。

根據(jù)以上要點空間站核心艙、載人飛船、貨運飛船3個載人航天器在關(guān)鍵技術(shù)驗證階段共設(shè)計了約3000項故障預(yù)案，有力地保證了航天員的安全及任務(wù)順利實施。在故障預(yù)案的具體準(zhǔn)備及實踐過程形成的經(jīng)驗如下。

(1)故障預(yù)案更多是正向設(shè)計的結(jié)果，與FMEA關(guān)系非常大，應(yīng)提前抓好FMEA工作。對于發(fā)現(xiàn)的無預(yù)案的薄弱環(huán)節(jié)及時改進(jìn)，降低后期改動帶來更多的風(fēng)險和代價。

(2)故障預(yù)案需要經(jīng)過多方討論完善，選擇最優(yōu)、影響最小、可執(zhí)行性最高的對策。

(3)故障預(yù)案編寫上，要求故障判據(jù)全面、指令參數(shù)準(zhǔn)確、執(zhí)行判據(jù)有效、協(xié)同關(guān)系清楚、處置思路清晰、處置原則統(tǒng)一，真正做到關(guān)鍵時候“易用、好用、管用”。

(4)故障預(yù)案最終還是需要人來實施，因此需要加強(qiáng)關(guān)鍵崗位人員的培訓(xùn)和演練，最好能做到所有相關(guān)技術(shù)人員均能夠熟練掌握。

(5)在資源允許的條件下，對于一些故障發(fā)生概率高、故障后果影響大、處置時效性要求高的故障模式，可以考慮優(yōu)先通過器上軟件自動診斷、自動處置，降低人為處置帶來的不確定風(fēng)險，提高安全性水平。

4 結(jié)束語

本文對神舟飛船系統(tǒng)級安全性分析、典型安全性設(shè)計方法進(jìn)行了系統(tǒng)總結(jié)，同時結(jié)合工程案例對分析、設(shè)計方法的應(yīng)用情況進(jìn)行了說明，最后對后續(xù)空間站載人飛船研制工作提出了建議。

(1)可靠性是安全性的基礎(chǔ)，廣義的可靠性幾乎囊括了載人航天器研制工作的方方面面，因此平臺產(chǎn)品的可靠性水平直接決定了航天員的安全性水平，在神舟飛船小批量生產(chǎn)、高密度發(fā)射任務(wù)的背景下，需要持續(xù)加強(qiáng)產(chǎn)品質(zhì)量過程控制；進(jìn)入空間站應(yīng)用階段，在神舟飛船技術(shù)狀態(tài)逐步穩(wěn)定的基礎(chǔ)上，應(yīng)逐步確立以產(chǎn)品質(zhì)量過程控制為核心的安全性保證體系。

(2)為適應(yīng)空間站階段任務(wù)需求，載人飛船需在現(xiàn)有的基礎(chǔ)上對部分功能、硬件狀態(tài)進(jìn)行升級換代，這些更改應(yīng)以不降低自身安全性水平為目標(biāo)。

(3)載人航天器的安全性設(shè)計應(yīng)充分利用有人參與的優(yōu)勢，積極發(fā)揮航天員主觀能動性，不斷提升整器的安全性水平。對于神舟飛船，可結(jié)合自身任務(wù)特點，綜合權(quán)衡資源代價，對部分關(guān)鍵功能采取適當(dāng)維修性設(shè)計，提高整船安全性水平。

(4)空間站階段載人飛船飛控任務(wù)具有實時性和長期性，完全靠地面人員進(jìn)行不間斷監(jiān)測判讀是不現(xiàn)實的，必須開展自動故障診斷工作。載人飛船停靠狀態(tài)相對固定，可采取基于規(guī)則的故障診斷方法；同時應(yīng)不斷提高器上自主健康管理水平，實現(xiàn)自動故障診斷及處置，提高故障處置時效性，把對人的依賴性將到最低。