空間站任務載人飛船系統(tǒng)級安全性保證技術與應用

楊海峰 肖雪迪 尹驍陽

(北京空間飛行器總體設計部，北京 100094)

隨著2021年4月29日我國天和號核心艙發(fā)射成功，標志著我國載人航天工程“三步走”發(fā)展戰(zhàn)略的第三步“建造空間站，解決有較大規(guī)模的、長期有人照料的空間應用問題”正式開始[1]，宣告我國正式邁進空間站時代。2022年4月16日9時56分，隨著神舟十三號返回艙在東風著陸場安全降落，標志著我國空間站關鍵技術驗證階段第二次載人交會對接任務取得了圓滿成功。神舟十三號在軌運行180天，創(chuàng)造了我國神舟飛船載人飛行任務時長新紀錄。隨著我國進入空間站任務時代，神舟飛船發(fā)射頻率將顯著提高，神舟飛船天地往返運輸任務將成為常態(tài)。

“載人航天，人命關天”，空間站建造任務及長期運營過程中，保證航天員全任務安全性是所有載人航天器研制過程中需要遵循的首要原則。空間站任務載人飛船在保證航天員全任務安全性方面有以下特點：①工程技術復雜，產品配套多，大系統(tǒng)接口多，發(fā)生故障概率高；②任務剖面復雜，危險因素多，安全性保證難度大；③載人飛船發(fā)射頻率高，運行時間長，安全性風險大。從1961年人類首次載人航天飛行成功至今，在載人航天工程地面試驗和訓練中共有9名宇航員死亡，在載人航天飛行任務執(zhí)行過程中，共有18名宇航員死亡[2]。2018年10月11日俄羅斯聯盟MS-10載人飛船發(fā)射失敗，船上2名宇航員啟動應急逃逸系統(tǒng)安全著陸[2]，一方面表明了載人航天的高風險；另一方面也說明了載人航天器安全性設計的重要性，必須持續(xù)關注載人航天器的安全性問題并提升其安全性水平。

針對空間站任務航天員安全性保證技術特點，本文提出了載人飛船系統(tǒng)級安全性保證方法，通過神舟飛船“用戶安全性要求→系統(tǒng)安全性分析(危險源識別)→系統(tǒng)級安全性設計→安全性實現及改進”等全過程系統(tǒng)級安全性保證工作，確保危險識別充分，安全性保證措施有效，安全性指標滿足要求。

1 空間站任務載人飛船安全性保證特點

1)安全性指標要求高

不同于衛(wèi)星等無人航天器，空間站任務由于航天員的參與而對安全性指標有了近乎苛刻的要求。神舟飛船的安全性定量指標要求大于0.97，這就需要在設計實現過程中投入更多的資源去滿足這些要求。例如增加冗余備份、人控設計、人機交互設計等，也大大增加了神舟飛船整體方案的復雜程度和技術難度。

2)覆蓋全任務階段

空間站任務明確要求飛船系統(tǒng)“確保航天員在飛行任務全過程的安全”，包括待發(fā)段、發(fā)射段、在軌運行段、組合體?？慷?、返回載入段等。不同的任務階段有不同的工作模式和工作環(huán)境，面臨不同的危險源，這就需要針對各個任務階段設計專項的應急方案或預案，在該任務階段發(fā)生對應的故障時，則直接轉入相應的應急分支，確保航天員安全。因此全任務階段存在危險源識別不充分，預案未全覆蓋的風險。這就需要開展全任務各階段危險源分析及應急方案設計，也將增加神舟飛船整體方案設計的難度。

3)實時性和長期性

相比于載人航天二期任務期間神舟十一號最長留軌1個月，空間站任務期間航天員乘組輪換及長期留軌成為常態(tài)?？臻g站任務設計壽命不小于10年，以往短期任務通過地面人員24 h人工監(jiān)視判讀的模式已完全無法適應空間站任務常態(tài)化安全性保證需求。需要在地面自動化判讀、應急響應機制等方面進一步開展工作，以應對空間站任務期間隨時可能出現的應急情況。例如組合體發(fā)生了失火失壓等故障模式，是否需要緊急撤離;載人飛船本身發(fā)生了不能返回的故障模式，是否需要啟動應急救援飛船等，均需要第一時間進行準確判讀、正確處置。

2 系統(tǒng)安全性分析

安全性設計的對象是影響航天員安全的故障危險源和安全性關鍵項目，因此首先應分析、識別這些項目，載人航天器研制過程中最常用的方法有故障模式及影響分析(FMEA)、故障樹分析(FTA)以及經驗法。同時在載人航天器長期的型號研制及多次飛行試驗實踐中，增加了動態(tài)過程的風險識別，體現全任務、全系統(tǒng)識別安全性薄弱環(huán)節(jié)優(yōu)勢。提煉總結了諸如與故障樹相結合的關鍵事件分析法、飛行時域危險分析法等，從不同的分析維度全任務、全系統(tǒng)識別安全性薄弱環(huán)節(jié)，確保安全性設計更為全面、準確不漏項。

1)危險分析法

危險分析法比較成熟，一般嚴格按照標準規(guī)范或用戶制定的安全性大綱開展工作即可。通過對照危險源檢查單，載人航天器一般危險源包括著火、爆炸、振動、沖擊、聲振、熱、污染、輻射、放電、病理生理心理及其它威脅生命和健康的產品；故障危險源主要考慮故障模式嚴酷度等級為I類的所有故障和可能影響航天員安全的II類故障，其中I類故障模式一般指那些能直接導致航天員傷亡、任務失敗的故障模式，II類故障影響低于I類。I類、II類相關的軟硬件產品、功能及操作規(guī)程，一般也作為確定安全性關鍵項目的依據。

對識別出的危險源從危險嚴重性、危險可能性兩個維度進行風險指數評估，根據風險指數確定風險是否可接受。一般風險指數在18～20的不需評審即可接受，10～17評審可接受后需備案，1～9一般不可接受。對于不可接受的風險，需要提出針對性的安全性設計措施，對于風險不可接受且不再打算進一步采取安全性措施的危險，則定為殘余危險報用戶審批備案。

2)基于關鍵事件時序分析法

該方法適合已有較為詳盡飛行方案的初樣階段開展，側重于貼近執(zhí)行飛行任務的角度，通過確定任務的目標及成功判據，對飛行程序中“每個動作/事件的失敗影響”進行分析，按照時序動態(tài)識別出導致航天員傷亡的一系列關鍵事件；然后對關鍵事件的完成保障條件開展分析，識別出導致關鍵事件失敗的產生原因，如測控條件約束、數據注入及協同匹配等，找出潛在的薄弱環(huán)節(jié)，提出可能采取的預防和(或)設計改進措施及在軌補償措施，為安全性設計改進、故障預案制定、地面判讀提供參考。該方法的主要思想和過程如圖1所示[3]。

圖1 基于關鍵事件的系統(tǒng)級單點故障識別方法Fig.1 Single point failure identification method based on critical incident

先明確系統(tǒng)級任務目標，然后按照任務階段劃分，對每個階段飛行事件執(zhí)行結果對任務目標的影響進行分析，識別出關鍵事件；其次開展以關鍵事件為頂事件的故障樹分析；最后根據故障樹分析結果，識別出的那些直接導致關鍵事件不能完成的故障模式作為系統(tǒng)級單點故障模式，通過采取隔離故障不擴散或采取人工地面補救措施(故障預案)等，盡可能的將風險降到最低。

例如神舟十二號載人飛船任務準備階段識別67項關鍵事件，設計、關聯了相應的故障對策，編制了監(jiān)視頁面，任務中作為地面重點判讀內容之一。

該方法在飛行方案詳細設計、飛行任務準備階段還可以通過“角色扮演”的形式組織人員按照飛行程序進行推演，這些“角色”包括神舟飛船、空間站、航天員、地面支持等，通過推演能夠發(fā)現飛行程序中不協調的事件(含大系統(tǒng)接口)、安全性薄弱環(huán)節(jié)、不完備的保障資源，為安全性設計改進提供參考。這種較為隱蔽的“軟故障模式”往往是FMEA、FTA等傳統(tǒng)分析方法很難識別的。

3)飛行過程(時域)危險分析法

該方法同樣基于飛行程序，同樣進行全任務階段的危險源識別，不同之處在于側重于識別各任務階段下特定“環(huán)境因素”所隱藏的“重大危險源”，這些危險源涵蓋各大系統(tǒng)，接口復雜，容易遺漏，且誘發(fā)的事故后果往往是災難性的，所以必須將這些危險源逐一識別出來并制定應急方案(見圖2)。

圖2 空間站任務階段神舟飛船任務剖面示意圖Fig.2 Mission profile of Shenzhou spacecraft in the space station mission

這些應急方案一般也直接影響各大系統(tǒng)的方案設計，所以分析工作也必須是站在整個工程總體高度開展。以神舟飛船為例，為執(zhí)行交會對接任務，飛船系統(tǒng)進行了全過程危險分析、設計，針對船器近距離交會、組合體長期?？康刃氯蝿?，進行了近距離避撞、組合體應急撤離等專項安全性設計。

3 系統(tǒng)安全性保證措施與應用

3.1 消除危險設計

通過設計手段使得產品和系統(tǒng)本身具有安全性，即使在發(fā)生故障或誤操作的情況下也不會造成安全性事故，實現“本質安全”。載人飛船方案設計之初盡量不使用或減少使用可能對系統(tǒng)安全構成潛在威脅或可能造成危害因素的產品或功能。

以防火設計為例，1967年1月阿波羅1號地面演練時，駕駛艙起火并劇烈燃燒導致3名航天員死亡。事故的調查結果定位在座椅附近的電線短路迸出火花，在密封艙純氧環(huán)境下大量易燃物燃燒并迅速蔓延，且艙門被一系列門閂、棘輪鎖死，打開困難。目前我國包括神舟飛船在內的載人航天器密封艙均采用3∶7的氧氮混合氣體；飛船使用的所有非金屬材料按照選用要求篩選并經過阻燃及燃燒性能檢測，結果合格方可裝船；飛船大功率用電設備有限流措施；飛船還配備了滅火器、防毒面具，制定了專項滅火程序，寫進了航天員故障處置手冊中，由航天員進行專項訓練。經過一系列措施在密封艙防火性能上實現“本質安全”。

3.2 故障容限設計

對于識別出的影響航天員安全的關鍵功能通過采取冗余、故障重構、安全模式等設計方法，盡可能消除影響航天員系統(tǒng)級單點故障模式，達到提升載人航天器安全性水平的目的。對于因設備屬性、資源代價約束等確實無法消除的系統(tǒng)級單點故障模式，應采取充分的可靠性、安全性設計措施降低故障模式危險風險至用戶可接受水平。

神舟飛船設計之初就按照“一重故障工作，二重故障安全”原則開展整船方案設計，在滿足整船資源約束的條件下，最大可能提升整船安全性水平，見表1。

表1 神舟飛船關鍵功能故障容限設計情況Table 1 Failure tolerance design of key function of Shenzhou spacecraft

3.3 關鍵功能人控設計

與衛(wèi)星等無人航天器不同，載人航天器因為有航天員的參與而更具特點，在載人航天器關鍵功能實現上可設計人控功能，作為自控的備份。人控功能往往在操作方式、實現機理、設備類型等方面與自控有明顯不同，可以起到消除系統(tǒng)級單點故障模式、切斷故障傳播等作用，顯著提高載人航天器安全性水平。

以人控交會對接功能為例，2021年1月8日神舟十三號航天員乘組在空間站核心艙內采取手控遙操作方式，圓滿完成了天舟二號貨運飛船與核心艙交會對接試驗，這是繼2012年6月24日神舟九號乘組劉旺成功實施神舟九號與天宮一號人控交會對接后，我國在軌實施的第二次人控交會對接試驗，標志著我國已完整的掌握了自動及手動交會對接技術。

神舟飛船部分常用關鍵功能的人控設計情況見表2，可以實現自控故障情況下切換為航天員手動控制模式，確保航天員安全。

表2 神舟飛船關鍵功能人控設計情況Table 2 Manual control design of key function of Shenzhou spacecraft

3.4 維修性設計

維修性設計目前主要應用于類似空間站這種長壽命、高可靠運行的航天器，通過航天員在軌維修確保其長壽命、高可靠運行。例如和平號空間站設計壽命5年，通過在軌維修延壽到15年，“國際空間站”設計壽命15年，目前已到壽命末期，經評估通過維修將壽命延長至20年[4]。對于載人飛船等短期飛行載人航天器也可結合自身任務特點，綜合權衡資源代價，對部分關鍵功能采取適當維修性設計，提高系統(tǒng)安全性水平。

例如神舟飛船任務準備階段設計了“凈化風機停轉故障對策”。凈化風機用于驅動空氣進入凈化藥罐吸附密封艙空氣中的二氧化碳，所以風機一旦停轉會導致密封艙二氧化碳濃度上升，直接威脅航天員安全。當時結合飛船已有的維修工具提出了“割開凈化軟管，將服裝通風軟管插入凈化風機軟管并用3M膠帶密封后，使用服裝風機代替凈化”的方案，并在地面進行了操作驗證。這樣通過一個相對簡單的維修方案，解決了密封艙有害氣體凈化的重大安全性問題。

3.5 人機交互安全性設計

載人航天器中航天員的參與一方面能夠帶來手控備份、在軌維修等安全性設計優(yōu)勢；另一方面也引入了人為差錯等導致安全性事故的新風險，因此必須進行人機交互安全性設計。神舟飛船典型人機交互安全性設計要素見表3。

表3 神舟飛船典型人機交互安全性設計要素Table 3 Typical human-comptuer interaction security design elements of Shenzhou spacecraft

3.6 全時域應急方案設計

針對各個任務階段識別出的特定重大危險源或重大故障模式，制定專項的應急方案。在該任務階段發(fā)生相應的故障時，直接轉入相應的應急分支。神舟飛船系統(tǒng)針對待發(fā)段到返回段的全任務過程危險源進行了分析、識別，制定了全時域應急方案，確保在任何任務段、任何時間段發(fā)生特定的故障模式均能夠轉入應急模式，最大限度保證航天員安全，見表4。

表4 神舟飛船全時域應急方案設計情況Table 4 Full-time domain emergency plan design of Shenzhou spacecraft

1)組合體應急撤離

組合體段的應急撤離程序設計是大系統(tǒng)聯合進行危險分析、設計的典型案例。船、站雙方在各類故障后達到安全點、故障蔓延時間分析的基礎上，綜合考慮測控條件、航天員操作時間、地面操作及天地匹配等約束情況，完成了組合體應急撤離程序設計。可確保在組合體發(fā)生重大故障模式時，如密封艙失火、失壓等，根據故障特點(故障影響、蔓延時間、航天員安全點等)，正確執(zhí)行相應的應急撤離程序，極大提高了組合體停靠段安全性水平[5]。

目前，航天員在軌定期進行應急撤離演練，根據任務安排還會組織各航天器參與的應急撤離演練，對應急響應機制、地面設備人員、應急處置程序等進行驗證，確保應急撤離協同程序實施的匹配性和有效性。

2)應急救援能力

相比天宮一號目標飛行器、天宮二號空間實驗室只有一個對接口，空間站增加到3個對接停泊口，這就為發(fā)射應急救援飛船提供了必要條件。研制人員通過載人飛船“滾動備份、優(yōu)化流程”，在空間站長期有人駐留期間，保證發(fā)射場有1艘載人飛船和火箭隨時待命，接到救援任務后可在8.5天內組織發(fā)射，拯救空間站航天員安全返回，大大提高了組合體?？慷伟踩运?。

3.7 故障預案設計

故障預案是保障載人航天器安全的最后手段，是載人航天器歷次發(fā)射任務準備工作中最重要的工作內容之一，其工作量甚至可以占比到整個工作的50%以上，除了正常任務實施，大量的工作基本上都是在準備各種應急預案。根據神舟飛船飛控歷次工作經驗，通過充分準備工作，故障預案可以覆蓋在軌發(fā)生的90%的故障，同時按照預案實施處置的有效率可以達到95%以上。總結故障預案的設計要點如下。

(1)故障預案是載人航天器研制之初就確定下來的，是正向設計的結果。

(2)FMEA是故障預案設計的主要來源，對需要采取在軌補償措施、能夠在軌檢測的故障模式制定飛控故障預案。

(3)依據正常飛行方案，識別出飛行過程可能發(fā)生的、靜態(tài)FMEA不能涵蓋的其它故障模式，主要包括：其他大系統(tǒng)故障導致須飛船系統(tǒng)應急處理的故障模式、需要多個分系統(tǒng)參與處理的分系統(tǒng)接口相關故障、地面測試/試驗/演練中發(fā)現的問題，都應該作為故障模式的來源積累下來，分析并制定相應的對策。

根據以上要點空間站核心艙、載人飛船、貨運飛船3個載人航天器在關鍵技術驗證階段共設計了約3000項故障預案，有力地保證了航天員的安全及任務順利實施。在故障預案的具體準備及實踐過程形成的經驗如下。

(1)故障預案更多是正向設計的結果，與FMEA關系非常大，應提前抓好FMEA工作。對于發(fā)現的無預案的薄弱環(huán)節(jié)及時改進，降低后期改動帶來更多的風險和代價。

(2)故障預案需要經過多方討論完善，選擇最優(yōu)、影響最小、可執(zhí)行性最高的對策。

(3)故障預案編寫上，要求故障判據全面、指令參數準確、執(zhí)行判據有效、協同關系清楚、處置思路清晰、處置原則統(tǒng)一，真正做到關鍵時候“易用、好用、管用”。

(4)故障預案最終還是需要人來實施，因此需要加強關鍵崗位人員的培訓和演練，最好能做到所有相關技術人員均能夠熟練掌握。

(5)在資源允許的條件下，對于一些故障發(fā)生概率高、故障后果影響大、處置時效性要求高的故障模式，可以考慮優(yōu)先通過器上軟件自動診斷、自動處置，降低人為處置帶來的不確定風險，提高安全性水平。

4 結束語

本文對神舟飛船系統(tǒng)級安全性分析、典型安全性設計方法進行了系統(tǒng)總結，同時結合工程案例對分析、設計方法的應用情況進行了說明，最后對后續(xù)空間站載人飛船研制工作提出了建議。

(1)可靠性是安全性的基礎，廣義的可靠性幾乎囊括了載人航天器研制工作的方方面面，因此平臺產品的可靠性水平直接決定了航天員的安全性水平，在神舟飛船小批量生產、高密度發(fā)射任務的背景下，需要持續(xù)加強產品質量過程控制；進入空間站應用階段，在神舟飛船技術狀態(tài)逐步穩(wěn)定的基礎上，應逐步確立以產品質量過程控制為核心的安全性保證體系。

(2)為適應空間站階段任務需求，載人飛船需在現有的基礎上對部分功能、硬件狀態(tài)進行升級換代，這些更改應以不降低自身安全性水平為目標。

(3)載人航天器的安全性設計應充分利用有人參與的優(yōu)勢，積極發(fā)揮航天員主觀能動性，不斷提升整器的安全性水平。對于神舟飛船，可結合自身任務特點，綜合權衡資源代價，對部分關鍵功能采取適當維修性設計，提高整船安全性水平。

(4)空間站階段載人飛船飛控任務具有實時性和長期性，完全靠地面人員進行不間斷監(jiān)測判讀是不現實的，必須開展自動故障診斷工作。載人飛船停靠狀態(tài)相對固定，可采取基于規(guī)則的故障診斷方法；同時應不斷提高器上自主健康管理水平，實現自動故障診斷及處置，提高故障處置時效性，把對人的依賴性將到最低。