国际空间站有效载荷安全性认证工作探讨

温 楠，栾家辉，刘春雷，陈凤熹

(中国航天标准化与产品保证研究院，北京100071)

1 引言

国际空间站(International Space Station，ISS)自从其第一个舱段(“曙光号”功能货舱)于1998年11月发射入轨以来，考虑组装建造与运营，已运行了14年时间，开展了包括生物科学、物理科学和材料研究、地球科学、人体医学研究等多项实验工作，取得了丰硕的研究成果［1］。由于有效载荷研制的目的是在轨完成相应的科学实验任务，因此，载荷研制单位首先要解决的是各上站有效载荷的正常运行以及各科研仪器和设备的合理配置，但从空间站工程角度考虑，更为关键的是，有效载荷的运行以确保安全为前提，即有效载荷上站的第一位要求是确保安全，不会为乘组和空间站带来危险，造成航天员伤亡、空间站毁坏或发生重大事故，第二位才是有效载荷的正常工作。

美国国家航空航天局(National Aeronautics and Space Administration，NASA)在国际空间站的建造与运营过程中起到了牵引和抓总的功能，其在有效载荷安全性方面制定了各项要求文件，指定机构和专人负责有效载荷安全性工作，对上站有效载荷进行认证，为确保其在轨安全和稳定运行奠定了基础［2-6］。我国空间站工程已于2010年正式立项，拟于2020年前后建成和运营载人空间站［7］，安全性也是首要关注的问题，因此，有必要对国际空间站有效载荷安全性认证进行深入细致的研究，以借鉴其成功经验，开展我国空间站有效载荷安全性相关工作。

2 NASA有效载荷安全性认证相关机构和职责

NASA有效载荷安全性认证工作组织机构［3，5，8］如图1 所示。

图1 有效载荷安全性认证工作组织机构Fig.1 Organization of the payload safety certification PSRP(Payload Safety Review Panel)－有效载荷安全性认证工作组;GSRP(Ground Safety Review Panel)－地面安全性认证工作组;PO(Payload Organization)－有效载荷责任机构;PSE(Payload Safety Engineer)－载荷安全性工程师.

2.1 PSRP 和 GSRP 主要职责［3］

1)确保有效载荷责任组织对于安全性要求的诠释符合NASA有效载荷安全性的相关规范［2，4，5］;

2)对有效载荷和地面支持设备(Government support equipment，GSE)的开发以及其他运行情况进行安全性认证;

3)对安全性分析、安全性报告以及不符合项报告(Noncompliance Report，NCR)［9］进行评估;

4)协商解决设计和运行中存在的安全问题，确保其满足所有适用的要求和规范;

5)评估用于控制已知风险的设计方案，评估用于确定特定系统功能的验证方案。

2.2 有效载荷责任机构主要职责［3］

1)进行安全性分析;

2)识别潜在风险;

3)以书面形式证明已满足安全性要求;

4)进行安全性验证;

5)将安全性文件提交审查;

6)向PSRP和GSRP汇报和展示;

7)有效载荷按照有关要求［2-6］进行审查和认证，证明能满足在轨操作的要求。

2.3 有效载荷安全性工程师主要职责［8］

1)对有效载荷安全性数据包［10］进行技术审查;

2)评估有效载荷是否符合NASA有效载荷安全性要求［2，4，5］;

3)针对特定安全性问题，进行详细的技术支持;

4)管理各安全性工作组相关工作。

3 需开展安全性认证的有效载荷

需开展安全性认证的有效载荷包括但不限于任务任一阶段(发射前、发射、上升、在轨、再入大气层、着陆、着陆后)期间，搭载于国际空间站的下列有效载荷或相关硬件［3］:

1)新搭载的有效载荷硬件;

2)现有的(连续发射或再次发射)有效载荷硬件;

3)与开发测试目标、详细附加目标、风险缓解试验、空间医学计划以及人类空间技术探索和发展验证计划所用的实验设备有关硬件;

4)政府提供的设备;

5)空中支持设备;

6)地面支持设备。

PSRP将新的有效载荷依照其潜在风险的复杂程度分为3类(基本型、中等型、复杂型)［3］，见表1所示。

4 有效载荷安全性技术要求

NASA针对压力系统、结构/机构、材料、火工品、辐射、电气等，给出了相应的有效载荷安全性技术要求［2，4-5］，作为安全性设计准则，以指导各类有效载荷的设计。参考NASA发布的有效载荷安全性相关技术标准，可总结、提炼出相应的安全性技术要求，表2和表3分别给出压力系统、结构/机构的安全性技术要求。

4.1 压力系统安全性技术要求

压力系统安全性技术要求如表2所示。

4.2 结构/机构安全性技术要求

结构/机构安全性技术要求如表3所示。

表1 有效载荷的分类Table 1 Classification of payloads

表2 压力系统安全性技术要求Table 2 Safety requirement on pressure system

表3 结构/机构安全性技术要求Table 3 Safety requirement on structure/mechanism

5 有效载荷安全性认证工作流程

NASA有效载荷安全性认证工作流程［3］如图2所示。

5.1 阶段划分

国际空间站有效载荷安全性认证过程可分为4个阶段，大体与有效载荷开发过程的标准过程相对应。在第四个阶段的最后，所有非封闭型产品都列入跟踪清单，在允许飞行前必须闭合。有效载荷安全性认证过程的各个阶段如表4所示，每个阶段圆满完成的标志是安全性数据包(Safety Data Package，SDP)/风险分析报告(Hazard Report，HR)提交并通过 PSRP/GSRP 批准［3］。

表4 有效载荷安全性认证各阶段Table 4 Milestones of payload safety certification

图2 有效载荷安全性认证工作流程Fig.2 Payload safety certification process NSTS指National Space Transportation System，即国家航天运输系统。

5.2 有效载荷安全性认证会议类型［3］

1)正式会议

正式会议的出席者包括安全性评审小组的全体成员，PO代表，以及相关的技术支持人员。

2)小组讨论会议

小组讨论会议不要求评审小组成员全部到场，出席者包括评审小组主席，安全性代表，PO代表，以及与会议议题相关的工作人员。

3)安全技术交流会议(Technical Interchange Meeting，TIM)

PO可申请召集评审小组和相关的技术人员召开会议，以助其在安全性评审开始前更好地理解安全性要求并协调安全性分析或安全问题。申请召开飞行安全性TIM，应与PSRP执行秘书联系;申请召开地面安全性TIM，应与GSRP主席联系。TIM上需解决问题的相关材料应于TIM召开14个日历日前向有关单位提供。

4)不定期会议

不定期会议可在安全性评审期间召开，讨论具体的技术问题。

5.3 有效载荷安全性认证流程［3］

1)阶段0数据提交要求

有效载荷设计和飞行运行:

(1)对有效载荷(包括各分系统)和任务方案的概念性说明。

(2)对安全关键分系统及其运行的说明。

(3)飞行风险报告。

2)阶段1数据提交要求

有效载荷设计和飞行运行:

(1)更新后的有效载荷说明(包括分系统)和任务方案。

(2)更新后的安全关键分系统及其运行说明。确定所有使用计算机控制的安全关键分系统，同时确定其计算机控制的功能层级。

(3)更新的或新增的飞行风险报告。对于具有灾难性潜在风险的有效载荷，按照NSTS/ISS 18798［4］的要求记录其验证方案。

(4)ISS项目提供的关键服务的总结清单，对用于监控有效载荷风险的ISS服务的说明(最新版 NSTS 1700.7ISS 附录［2］)。

(5)对ISS有效载荷，要陈述火灾探测和抑制(Fire Detection and Suppression，FDS)措施。

(6)讨论为实现在轨风险控制验证/再验证而采用的设计特点及其约束。

(7)按照 JSC 27472［10］拟制的暂定有毒物质列表。

(8)对所有火工品及其功能的初步说明。

(9)以 NSTS/ISS 18798［4］为依据，对在轨维护安全性的初步评估。

3)阶段2数据提交要求

有效载荷设计和飞行运行:

(1)更新后的有效载荷说明(包括分系统)和任务方案。

(2)更新后的安全关键分系统及其运行说明。总结用于验证所有安全关键性硬件预期性能的测试和分析结果。

(3)更新的或新增的飞行风险报告。对于具有灾难性潜在风险的有效载荷，按照NSTS/ISS 18798［4］的要求记录其验证方案。

(4)更新航天器或ISS项目提供的关键服务的总结清单。

(5)对ISS有效载荷，要更新其FDS实施方案。

(6)对于需要在轨验证/再验证的风险控制，说明其验证方案(包括原理、限制和具体方法的说明)。

(7)按照 JSC 27472［10］更新暂定有毒物质及其支持性数据的列表。表中的更新应反映出测试材料的变化、测试条件的变化和所有备用的测试材料。

(8)更新电池类型、使用方法、生产厂家和用途的列表。

(9)各类火工品的清单，说明其功能、化学组成、关键组件的审核计划、验证计划以及老化评估方法。

(10)列出包含人力参与流程或培训的风险控制方案。

(11)记录与验证或飞行硬件有关的测试失败、异常和事故，对可能影响安全的各项目进行安全性评估。

(12)阶段1中PO接受的各项任务在本阶段的完成状态。

(13)以 NSTS/ISS 18798［4］为依据，详细陈述在轨维护安全性评估结果。确定维护活动、安全区域和关键安全性能的再验证方案。

4)阶段3数据提交要求

有效载荷设计和飞行运行:

(1)最终完成的有效载荷说明(包括分系统)和任务方案。

(2)更新安全关键分系统的最终配置及其运行说明。

(3)更新后(或新增，如需要)的飞行风险报告。

(4)ISS项目提供的关键服务的最终总结清单。

(5)提供FDS最终实施方案。

(6)对于需要在轨验证/再验证的风险控制，更新(或新增，如需要)其验证方案(包括原理、限制和具体方法的说明)。

(7)拟定最终的有毒物质及其支持性数据列表。

(8)电池类型、使用方法、生产厂家和用途的最终列表。

(9)有效载荷上已安装或将要安装的火工品的最终列表。

(10)更新包含航天员参与流程或培训的风险控制方案。

(11)更新测试失败、异常和事故的记录，记录设计验证、飞行硬件和用于风险控制的基础软件。对可能影响安全的各项目进行安全性评估。

(12)阶段2中PO接受的各项任务在本阶段的完成状态。

(13)有效载荷飞行安全性验证跟踪日志(Verification Tracking Log，VTL)［3］。

(14)确认飞行安全性的不符合项。

(15)以 NSTS/ISS 18798［4］为依据，在轨维护安全性评估的最终(更新后)结果。

5.4 有效载荷安全符合性证书

PSRP/GSRP针对有效载荷责任方在安全性认证过程各个阶段所提供的安全性数据包和风险分析报告，评审并认证该有效载荷是否符合相关安全性标准要求，如果符合，则给出如图3所示的安全符合性证书［11］。

图3 有效载荷安全符合性证书Fig.3 Certificate of NSTS/ISS payload safety compliance

6 对我国空间站工程的启示

6.1 高度重视

从目前发布的国际空间站事故和故障来看，基本都发生在空间站平台系统上，如机械臂工作异常、控制计算机故障、推进控制系统异常等，有效载荷未发生大的事故和故障，也未发生由于有效载荷而引起空间站重大故障［12-14］。

NASA对有效载荷安全高度重视是重要因素，其在20世纪70年代即成立专门的组织(PSRP、GSRP等)开展有效载荷安全性认证工作［8］。

6.2 组织有力

通过专门的组织机构(PSRP、GSRP等)，牵头开展有效载荷安全性认证工作，并有大量的工程和技术专业人员为认证组织服务。认证组织成员由NASA关键部门的独立于有效载荷开发和集成队伍的人员构成，以便能独立、公正地开展安全性认证工作。

6.3 标准先行

NASA制定了专门的有效载荷安全性认证和数据提交要求标准，对有效载荷各研制阶段应开展的安全性工作和提交的安全性数据包内容进行了详细的规定，并对不符合报告的审查和批准等给出了相应的要求［3］。后续在工程经验丰富的基础上，通过制定补充要求的方式对各专业领域给出详细的要求和说明。

我国空间站工程各有效载荷的论证工作将陆续开展，因此，需借鉴国际空间站的经验，由第三方机构来统筹牵引有效载荷的安全性评审和认证工作，并成立跨部门和专业的评审组织，先期开展有效载荷安全性要求和安全性评审/认证等方面的标准制定，并参与到有效载荷的各研制阶段，同有效载荷设计人员一道，将有效载荷的安全性风险控制在可接受范围之内，为后续有效载荷的安全和稳定运行奠定坚实的基础。

［1］NASA. Reference guide to the International Space Station［M］.NP-2010-09-682-HQ，ISBN 0-16-086517-4.

［2］NSTS 1700.7B，Safety policy and requirements for payloads using the space transportation system［S］.1989，1.

［3］NSTS/ISS 13830 Revision C.Payload safety review and data submittal requirements［S］.1998，7.

［4］NSTS/ISS18798 Revision B.Interpretations of NSTS/ISS payload safety requirements［S］.1997，9.

［5］SSP 51700.Payload safety policy and requirements for the international space station［S］.2010，4.

［6］SSP 30599 Revision E.Safety review process of international space Station program［S］，2009.6.

［7］陈善广，陈金盾，姜国华，等.我国载人航天成就与空间站建设［J］.航天医学与医学工程，2012，25(6):391-396.

［8］Nash SK，Rehm RB，Santiago DM，et al.Building on the past-looking to the future:a focus on payload safety［C］//the 3rd IAASS.2008，10.

［9］JSC Form 542C-payload safety noncompliance report［R/OL］，http://www.esa.int/About_Us/Industry/SME_Small_and_Medium_Sized_Enterprises/SME_Training/Payload_Safety_2004.

［10］JSC27472.Requirements for submission of data needed for toxicological assessments of chemicals to be flown on manned spacecraft［S］.1996.9.

［11］JSC Form 1114A-certificate of NSTS/ISS payload safety Compliance［C/OL］.http://www.esa.int/About_Us/Industry/SME_Small_and_Medium_Sized_Enterprises/SME_Training/Payload_Safety_2004.

［12］Hart MJ，Kinsey RJ，Lee AS，et al.International Space Station life extension［C］//Aerospace Conference，2010 IEEE.IEEE，2010:1-15.

［13］范嵬娜.“国际空间站”系统特点分析［J］.航天器工程，2012，21(2):94-100.

［14］滕鑫紫，陈庆华.国外空间站在轨维修策略研究及启示［J］.航天医学与医学工程，2012，25(6):475-478.