航天安全与健康管理技术研究述评

胡绍林，　肇　刚，　郭小红，　傅　娜，　杜　莹

航天安全与健康管理技术研究述评

胡绍林1，2，肇刚2，郭小红2，傅娜2，杜莹2

（1.西安理工大学自动化与信息工程学院，西安710048；2.航天器故障诊断与维修重点实验室，西安710043）

航天工程是一项涉及多人-多机-多环境的超大规模复杂系统工程.降低航天风险、保障航天安全、充分发挥航天器在轨效能，是航天技术发展亟需研究的重大课题.在简要梳理影响航天工程安全性5个方面要素的基础上，分事故调查与故障处置、状态监控与健康管理、环境监测与碎片规避等3大部分，对相关领域的研究现状及技术发展动态进行了述评，并结合航天工程实际提出了3个方面亟待解决的问题.分析、述评和研究建议有助于了解安全管理的症结、跟踪技术研究的前沿和突破工程应用的瓶颈.

系统安全；故障诊断；健康管理

随着航天技术的发展，人们日常生活越来越离不开远在太空的各种型号航天器.如开车远行离不开卫星导航、与大洋彼岸亲朋联络离不开卫星通信、收看电视离不开电视转播卫星服务、远洋救护和对敌作战离不开侦察卫星等.但是，自20世纪50年代，前苏联发射第一颗人造卫星进入太空以来，在航天技术不断取得一个个划时代突破的同时，灾难和事故也如影随形、接连不断.2014年10月28日，美国轨道科学公司研发的“天鹅座”飞船，从美国弗吉尼亚州瓦勒普斯岛点火升空仅6 s就发生爆炸，携带的2 200 kg原计划给国际空间站6名宇航员提供补给的物资，瞬间化为乌有；2010年8月，美国发射的“先进极高频”星座首颗卫星在变轨时因发电机故障，使原设计90 d完成的变轨需10个月～1年才有可能到达目标轨道，星上有限的能量被大量消耗在变轨过程中，直接影响和缩短了卫星有效寿命；2009年，俄罗斯发射的2颗“白鹤号”卫星发生损坏，影响到国际失事船卫星搜救系统COSPAS-SAR SAT组网运行；2008年9月，美国的GeoEye-1卫星，运行1年多时间就出现天线指向系统故障，影响合作业务，减少收入折合人民币3亿元；2007年，日本全球情报处理系统雷达卫星，因老化导致星上电源故障不能正常工作，造价高达3.56亿美元的设计寿命为5年的雷达卫星，不得不提前1年退休；2003 年2月1日晚10时许，美国“哥伦比亚号”航天飞机飞行16 d之后的返航途中，在得克萨斯州上空约63 km处解体，7名宇航员全部遇难，甚至有美国政治评论家哀叹“哥伦比亚号坠毁标志太空时代走向末路”.

那么，是什么导致航天这类举世瞩目的国际重大工程故障不断呢？文献［1］中从系统、过程、技术和环境等方面系统地归纳了影响航天工程安全的主要要素：既有来自航天器本体和外在环境的，也有工程设计及工程实施环节各参与方的；既有技术和工艺的，也有工况乃至操作过失的；既有硬件与材料的，也有软件及通信链路与数据的.根本原因在于系统、过程、技术、环境的复杂性和人-机-环境系统工程的相合性.本文以上述论断为基础，简要阐述航天工程安全技术研究的现状及动态，并对未来发展提出若干思考.

1　相关研究现状及发展动态

基于上述简要分析，影响航天器安全可靠运行的因素很多，但按其来源及影响过程大致可以分为3大类：事故或故障、状态异常变化以及空间环境变化.围绕上述3个方面，简要述评相关领域的国际研究及其进展.

1.1事故调查与故障处置

航天工程系统的事故与故障是影响航天器安全的主要方面之一.据资料统计［2］，1995年底之前，美国和前苏联的249次载人航天发射飞行，出现重大故障166起，1965—1990年，25年间国际卫星组织200多颗地球同步轨道通信卫星和广播卫星，发生的严重故障就多达350余次.近年来，尽管航天器材料、制造、工艺、控制和管理等技术都有显著发展，但国际国内航天界依然故障不断，损失和影响巨大.

能否准确查明航天器在轨运行过程中出现的各种事故或故障，及时发现航天器运行过程中隐藏的危险苗头或可能发生的故障，有效地防范后续类似故障发生，或正确地对当前的故障实施有效处置，对保障航天安全至关重要.相关技术的探索和研究一直受到国际学术界和工程界的高度关注.

在20世纪40年代或更早，航天器出现之前，人们就为航空器安全运行大伤脑筋，并开始探索飞机运行过程安全管理.飞机出现后的半个世纪历程中，由于飞行过程故障和灾难成为影响航空安全的头号杀手，各航空大国高度关注并着力开展事故调查研究.20世纪30年代，美、英等国花费大量人力和财力加强对重大飞行事故的记录和调查，英国于1937年专门成立航空事故调查组，1944年英国皇家空军还专门成立飞行安全机构，负责军用飞机的重大事故调查，《飞行安全》杂志同年在美国创刊，推进了航空安全事故的调查与分析.二战后至20世纪60年代中期的20多年时间里，美、英空军在不断完善事后追究式的事故记录、调查和分析方法.例如，利用事故调查和分析得到的信息，探究引发系统发生事故的可重复性或共性起因，研究和建立纠正措施，以期从源头上防止类似故障再次发生.这种间接性“事故预防”式处理思路改变，对后续事故的预防带来的效果有明显改进.例如，1955年美国启动“先驱者”号地球卫星计划，进行的11次试验中，发生了8次事故，仅有3次发射成功，其主要原因恰是没能很好地吸取之前经验教训，进行防范，事故预防或预案措施不力，以前出现过的零部件质量控制不严、系统关键部件没有保留设计余度等共性问题一再发生.鉴于此，在随后“大力神”火箭和“双子星座”飞船计划实施过程中，吸收“先驱者”计划的经验教训，采取更严格的事故预防措施，严控质量关，并对导航和供电等关键子系统都采用双余度设计，一系列故障预防措施保证了后续“大力神”火箭在14次飞行试验中仅发生2次事故.这种建立在对历史事故调查和分析基础上的事故预防模式［3］，对探索基于数据挖掘和典型故障案例的航天安全技术有重要的参考借鉴价值.

这一阶段形成的事故调查分析法，被美国NASA和欧空局等继承并沿用至今，并推广到航天安全领域.例如，2007年Hubble望远镜故障调查和2010年欧洲对“阿丽雅娜5号”火箭故障调查等，都显示了事故调查法的重要性和实用性.

但是，对航天器的安全运行管理而言，由于航天器部件多、结构复杂、功能多样、运行环境千变万化、控制操作遥不可及，事故调查与分析工作无疑要远比飞机故障调查艰难得多.当然，无需讳言，事故调查法本身固有的弱点，譬如事后分析模式不可能用于事故预防，调查分析过程通常持续时间跨度长，存在时间滞后等局限性也一定程度上影响了其时效.

20世纪60年代，伴随着系统论和系统思想的提出和广泛被接受，系统安全作为一种新的安全管理思路和模式，受到航空航天领域的关注.20世纪60年代初期，美国空军“民兵”洲际导弹的研制首先引入系统安全原理，并颁布“空军弹道导弹系统安全工程”等军用规范；1969年7月，美国国防部制定“系统及其有关分系统、设备的系统安全大纲”作为军用标准MIL-STD-882，明确规定了系统安全管理、设计、分析和评价的基本要求；NASA在参照MIL-STD-882标准的基础上，于1970年颁布面向航天工程的“系统安全”标准NHB.1700.1（V3），并在“阿波罗4号”发射失败后全面采用系统安全的思想，对后续“阿波罗”计划进行了包括故障模式、故障影响及其危害性分析和故障树分析在内的系统安全分析，严格的安全性设计与评价，定性与定量相结合的风险评估，以及全过程的质量管控，收到了好的效果.NASA的“阿波罗”飞船飞行安全程序负责人Lederer曾明确指出，系统安全覆盖了风险管理各个方面，远远超出了设备硬件及与之关联的系统安全工程过程［3］.伴随着系统安全标准的全面贯彻和实施，NASA分别于20世纪70年代末和80年代中期又颁布NHB.5300.4（ID-2）“航天飞机的安全性、可靠性、维修性和质量条例”以及NHB.1700.1 （V7）“系统安全手册”.另外，欧空局在“使神号”航天飞机计划中，吸收美国在系统安全方面的成功经验，也制定专门的安全性设计分析与管理程序.

纵观美国和欧空局的做法，可明显感觉到系统安全的核心是系统的思想和系统工程的方法.采用系统工程技术，将航天器从设计、发射、测控、管理到最后变成空间垃圾的完整过程作为一个不可割裂的航天器生命周期，将保障安全贯彻在航天器全生命周期的各个阶段、各个环节，在系统的全寿命周期中都必须识别、分析和控制危险与灾变.这种面向系统生命过程的系统安全工程技术和方法，对保障航天器在轨安全运行无疑是有帮助的.

20世纪70年代以后，故障检测、诊断与处理技术研究成为跨多个学科的持续性研究热点，同时也逐步成为系统安全技术关注的核心内容之一，既有明确的带共性的研究目标，又有大量兼具基础性和应用性双重特征的科学问题，逐步形成较为复杂的研究体系和多学科知识融合的研究群.

在故障检测与诊断（FDD）技术研究方面，自1971年前后Beard和Britov分别提出基于解析冗余的FDD这一创新思想，突破早期设备FDD依赖硬件冗余的局限性之后，经40多年持续发展，现已基本形成的体系：按研究内容分，包括故障在线检测、影响分析、朔源定位、时间推断、幅度辨识、模式识别和反演推演等；按技术手段分，包括基于冗余法（物理、解析、信息、知识冗余等）、关联分析法（故障树推理、Petri网、有向图、等价关系、等价空间）、信号处理法（特征分析、残差分析、检测滤波／观测器、统计诊断、模式识别等）和仿真对比法等；按研究领域分，有设备／装备、过程和流程FDD等；按时间关系分，有在线、离线FDD和故障预测等；按量化程度分，有定量和定性FDD等［4-8］.并且，大量学者结合不同应用背景，进行了卓有成效的开发应用，例如，航天工程领域，美国在饱受“阿波罗”登月工程期间的系列重大事故困扰后，NASA和美国海军研究室成立机械故障预防小组，在卫星故障的机理分析、在轨检测、诊断、预测等方面取得大量卓有成效的研究成果；美国HRL实验室的Pete Tinker等建立卫星快速类比推理系统，结果显示可达到80%的准确度；德国Maieijvic在20世纪90年代初就开发了基于模式识别的故障诊断专家系统，用于对液体火箭发动机的故障诊断；法国马特拉空间系统中心Dinh等开发基于案例推理技术，建立协助卫星测试期内应对突发性事件的故障诊断系统，分析异常事件成因，能够在异常事件发生时提取事件特征并与相关的历史类似事件检索匹配，融合案例推理、规则推理与模型推理等技术形成一个混合知识系统推理核心，并在异常事件发生时自动生成基于多推理技术融合的诊断方案；国内在测控过程的安全监控、基于系统仿真的FDD［6］和容错设计等方面也有卓有成效的研究进展.

在故障处理技术研究方面，典型方法有故障硬处理和软处理两大类.其中，硬处理的常规方法包括故障设备修复、备件替换和故障系统组成的重构等，例如，设计航天器自主自组装可重构模块［8］、采用多Agent优化方法等实现多体航天器重构［7］、建立适当形式的混合控制策略［9］实现将多体航天器从一种形态改变到另一种形态，并使系统达到新的稳定状态等，都不失为可尝试的技术途径；软处理的典型方法包括功能重置、功能降级与被动容错等.无论是硬处理还是软处理，通常是建立在模块设计或一定形式冗余基础上的，冗余是实施故障处置的基础.面向航天工程的冗余技术，途径很多，如物理、结构、时间、数据、解析和知识冗余等.适当形式的冗余，可以为选用合适方式进行故障处理（特别是容错处理）提供有利条件.

所谓容错，顾名思义就是要求处理手段能容允系统已经发生或正在发生故障，至少不会因为系统故障而发生功能失调或算法崩溃.具体地，在系统或部件发生故障的情况下，仍可利用冗余资源将制定的控制策略、处理流程、软件算法等继续完成.容错处理技术核心就是防范故障和避免非致命性故障带来的不利影响.基于冗余的容错是一种先进理念和提高系统可靠性的先进技术，通过合理的系统设计，使系统在出现某些局部故障时能借助“冗余”实现对故障进行有效处置.容错技术通常可以分为主动容错和被动容错两大类.主动容错大多是以故障检测与诊断为基础，通过对系统进行适当形式重构，达到避免或削弱故障影响的目的［10］；被动容错主要是基于有界影响分析与设计、鲁棒控制、补偿技术和完整性设计等方法，使被控系统对某些类型故障或某些环节故障具备不敏感性、完整性和免疫性［10-11］.

近30年来，冗余与容错处理的思想在美国和俄罗斯等航天大国得到广泛应用.例如，美国曾大力研制可用于控制航天器飞行的容错计算方法和容错机，对可靠性要求高的系统用双重、三重、四重甚至五重冗余；前苏联“联盟”TM型载人飞船上也曾使用了三重冗余的主电气系统以及双重冗余的气动液压管路和生命保障系统.至于飞行器故障的容错处理技术，美国NASA的专题技术报告［12］介绍了多个成功实例：一是故障检测和容错计算技术在空间试验室、空间飞船、Hubble望远镜、Galileo卫星、Landsat-7卫星，以及A320和波音777飞机等航天、航空工程中应用情况；二是容错计算等技术在Landsat-7卫星试验中的应用情况，容错系统可进行72 h自主安全模式的操作，能满足卫星任何单个部件故障恢复的处理需求，并具备危险分析能力；三是A320飞机飞控等多个子系统进行了容错设计，机上计算机系统具备运行自检功能，若各通道之间的差异超出门限值则隔离自检，并自动地从已检出问题的计算机控制对象切换到另一个，显示了良好的工程价值.

此外，在提高航天器在轨运行过程可靠性与安全性方面，“挑战者”号航天飞机爆炸后，促使NASA重新考虑原来的可靠性管理方法有效性，加强对卫星在轨可靠性管理的研究.1991年，美国国防部颁布标准《综合诊断MIL-STD-1814》，作为提高新一代卫星可靠性和降低使用维修费用的重要途径，标志着美国卫星可靠性管理研究进入了一个新阶段.近年来，NASA专家还提出了以可靠性为中心的维护（RCM）和可靠性／可维护性／可用性（RMA）方法，以提高卫星在轨运行可靠性.由于拥有低轨运行的航天飞机并参与了国际空间站工程，NASA据此提出建立在轨诊断维修基地（ORB）的系统可靠性管理构想，该构想把航天飞机和轨道空间站作为维修低轨道故障卫星的基地.

1.2状态监控与健康管理

本节所谓状态是一个相对广泛的概念，包括航天器在轨运行状态（如轨道位置、空间姿态），航天器构成部件或子系统的工作状态（如是否正常工作、是否功能衰减），航天器运行趋势，以及航天器各系统或结构部件所处寿命阶段.评估在轨航天器所处状态、分析其运行过程的状态演化趋势、预测其未来时刻状态变化、预估其故障后的剩余寿命、监视与诊断其运行过程及可能的异常变化，不仅是保障航天器按照预期目标安全可靠运行的前提，也是保障航天安全的技术基础.

状态监控的核心技术是异变检测.异变检测又称变化检测，是检测和分析系统在其运行过程中发生变化，以及变化的发生时间、部位、表现形式、作用方式和影响大小等相关问题的一门新兴学科.异变检测的理论最早可追朔到20世纪50年代中期Page等［13-14］的奠基性工作，但作为一门独立学科则应归功于1993年Basseville和Nikiforov在专著《突变检测——理论与应用》中建立的系统性框架和精巧的研究思路［15］.异变检测技术应用面很广，诸如设备运行过程的状态检测、计算机集成制造系统的有条件维护、生产过程质量控制、复杂系统实时监控、核电站安全保障、运载火箭安全控制、载人飞船安全管理、导航系统监视、气候与环境变化监测和预报、地震等灾变预警、人体病理检查、图像边界确定和控制系统故障检测等，都可以在变化检测的框架下探索和研究.最近10年多来，变化检测的理论研究和应用开发一直受到国际统计界和控制工程界广泛重视.国内关于异变检测的技术研究，起步于2000年前后系列文献［16-20］系统地对系统输出、输入-输出和输入-状态-输出等3种不同情形展开研究，并建立了在线检测、幅度估计和突变时间辨识等一系列新方法和算法，提出的“安全管道”设计等方法突破了门限监测模式的局限性，初步实现了门限内异常变化的在线监控.但是，从总体上看，仅处于起步阶段，见诸报道的研究成果大多混杂在故障检测与诊断技术文献中；另一方面，故障检测与诊断领域的大量研究成果中，也有相当部分属于过程与数据异变检测的范畴.

健康管理是近30年基于管理工程发展起来的研究热点之一.美、俄等航天大国为保障航天器安全和满足在轨卫星运行管理需要，采用系统分析、管理工程、信号处理和风险评估等多种不同方法与技术，围绕着航天器的运行管理问题，对状态评估及相关问题进行了系统研究，提出和形成了包括趋势分析、过程监控、寿命预测、状态预诊和健康管理等在内的一系列新方法与技术，人们将上述研究统一在健康管理这一研究框架下，形成了有一定影响度和参与度的研究方向.

广义的健康管理是一项多功能聚成的综合分析与评估技术，包括了趋势分析、过程监控、余寿预测、影响分析、异变预警、健康状态分析与评估、风险分析与综合管理等作为其重要构成部分的综合性技术，核心是基于智能系统的预诊，从反应性定期维护转向在准确时间对准确部位进行主动的准确维修，借助各种算法（如Gabor变换和FFT变换）和智能模型（如神经网络和模糊逻辑等），预测、监控和管理飞行器状态，实现由事件主宰式事后／定期维修转向基于状态与健康状况维护.

健康管理技术较早用于直升机系统，例如，美国海军有综合状态评估系统、P-8A多任务海上飞机有飞机健康监测系统、陆军有诊断改进计划、NASA 第2代可重复使用运载器有飞行器综合健康管理系统、航空无线电通信公司飞机状态分析与管理系统近20年来，健康管理技术被推广应用到航天器安全运行管理中，发挥越来越重要的作用.20世纪90代中期，NASA在戈达德航天飞控中心、休斯敦任务控制中心、马歇尔航天飞控中心等建立具有卫星健康状态综合分析、状态评估、寿命预测、降级运行策略分析制定等功能的在轨卫星运行管理系统；俄罗斯借助自身在健康监控技术方面的先进技术和丰富实践经验，Katorgin等开发了大功率液体火箭发动机RD-170健康监测和寿命评估与预测系统，Vasilchenko等开发了“暴风雪”号航天飞机轨道实时自动监测、预测系统，并向航天员提供可视化信息，便于其监测和控制航天飞机运行状况.近10多年，NASA通过在轨卫星运行管理系统实时对在轨航天器健康状态进行综合分析、评估、寿命预测、故障预防预警，并对已丧失部分功能的在轨卫星采取合理、有效的测控，有力地保障了在轨航天器的稳定、可靠运行，充分发挥在轨航天器应用潜能，取得了巨大效益.近年来，美国投大量资金用于研制集成健康管理系统（IVHM），包含机载健康管理分系统和地面健康管理分系统（IGHM），机载健康管理分系统负责实时监视和管理航天飞机的运行状态，对异常现象进行本地诊断后，诊断结果连同其他信息下传至IGHM，该系统则依据航天器下行健康信息，进行远程专家会诊，诊断结果用作航天飞机机载诊断系统诊断结果的补充和校核，连同处理策略被回传至航天飞机，整个IVHM系统实际上是一系列使航天器健康管理行为自动化工具和过程的集合.据资料介绍，IVHM系统的投入应用，使航天飞机飞行风险降低了50%，运行预算降低了1／3.

1.3环境监测与碎片规避

复杂多变的空间环境也是影响航天安全的重要因素.本文所谓的环境不仅包括航天器运行过程依存的自然环境，也包括长期航天工程产生的外在环境以及航天器本体的内部环境.

文献［21］中指出，空间环境对卫星等各种航天器安全运行带来的潜在威胁和影响是不可忽视的，根据统计卫星故障的40%与空间环境有关.例如，对于高轨道航天器，高真空度环境的压力差效应可能会导致机载设备因外压力的剧变而变形、损坏、泄露，美国第一颗航天飞机爆炸致7人罹难的事故，就是因泄漏引发爆炸造成的；对于低轨航天器，低真空范围的放电效应和辐射传热效应，会直接影响到航天器安全运行.另外，太阳辐照、太阳风暴、空间碎片也无时不威胁着航天器在轨安全运行.例如，2010年4月，国际通信卫星组织Intelsat公司“银河-15”卫星故障，就是因4月3日—5日期间太阳风暴引起的［22］，类似事故还多次发生在国内外不同卫星上，如1998年“银河-4”卫星.至于空间碎片引发事故和灾害性事件以及对卫星通信系统的破坏性影响，更是司空见惯.对于空间环境异常变化对航天安全的影响和空间碎片对航天器的威胁，从安全技术的角度必须区别对待.

环境扰动是不可控的，其影响与危害多采用提前预测和区别性防范.对太阳及空间环境变化及其对航天器影响，美、俄、韩等国家多位学者围绕太阳活动周期性、地磁活动、辐射带电子通量模型AE-8和离子通量模型AP-8及改进南大西洋异常区检验、大气密度影响和空间环境对航天器安全运行的影响等，从不同角度进行了多项研究［22-23］.并且，为研究和利用空间环境，多个国际组织在全球各地布设了广泛的地面站（如NOAA空间气象预报中心和NWRA／SWS）与天基观察网（如美国行星际、地球同步轨道、中轨、低轨等不同轨道天基空间环境监测系统），监视太阳活动、行星际扰动和近地空间环境扰动.对大量存在于太空中的各种碎片或垃圾，多采用提前预示和及时规避等方法，防范其威胁航天器的运行安全，国际学术技术界对此有大量研究，通过数学模型或数学方法描述空间的分布、运动和物理特点，建立可用于预示确定域10年内空间碎片分布和碎片数量的短期碎片环境状态模型和预示空间碎片10年以上环境演变数学模型，采用屏蔽防护和规避机动等不同的方式规避其对航天器安全运行的威胁.其中，屏蔽防护法是采用屏蔽方式对微小碎片进行防护；规避机动法则是对直径大于10 cm的大型空间碎片进行碰撞规避.规避机动决策方法，主要有Box区域判定方法和基于碰撞概率法等.Box区域判定法通过定义航天器周围警戒区域和规避区域，用以判断航天器与空间碎片之间的距离是否构成碰撞危险，进而采取相应对策，属平均方法，偏保守；碰撞概率主要考虑两目标交会时的位置、速度、几何关系以及危险目标的位置／速度的不确定性以及误差协方差矩阵等信息，当碰撞概率大于黄色门限时，在机动动作不会对主要任务和有效载荷造成冲击就进行机动规避.

空间环境研究是一项长期的研究工作，特别是空间环境对航天器的安全可靠运行方面，需要长期地观察数据的积累.

2　几点思考

综合上述分析，无论是围绕航天过程故障、航天器运行状态，还是围绕运行环境，国际学术技术界和工程应用领域都对如何降低航天风险与保障航天安全这一重大课题进行了卓有成效的理论研究与技术探索.但是，现有研究成果只是向降低航天工程安全风险方向迈进了一步，并没有也不能够从根本上杜绝安全事故或故障的发生.面向航天工程这样的大规模复杂结构人-机-环境系统工程，降低工程风险和保障运行安全，尚有大量亟待解决的重大科技问题与技术难题，需要创新观念、创新方法和创新技术措施.

（1）技术研究的观念亟待创新.航天工程安全性，不能等同于测控设备的可靠性，也不能简单地归结于航天器构成部件的故障检测与诊断.航天器结构复杂，以美国2005年7月发射的“发现号”航天飞机为例，该航天飞机约有250万个部件、4万多个传感器.如果每个部件可靠性为0.999 999 9，即发生故障的几率为千万分之一，则这250万个部件中至少有1个发生故障的概率高达22.1%；如果每个传感器可靠性为0.999 99，即故障的几率为十万分之一，则这4万多个传感器至少有1个发生故障的概率高达33%.如果再考虑到发射系统、测控系统和气象保障等辅助系统，规模会更加庞大.对规模如此庞大、部件数量多且结构耦合的复杂工程系统，航天安全的技术研究既必须关注关键部件故障与否，又不能停留在部件级上，更不能不分主次平均用力于诊断每个部件的故障，或者不切实际试图期待从航天器到地面测控庞大系统中每个部件都绝对无故障运行，而是将系统工程的理论引入到航天系统的安全性研究，开展面向系统安全性和安全技术的研究.

（2）技术研究的方法途径亟待创新.由于航天系统是一个超大规模的复杂结构动态系统，不仅有一般复杂系统常见的自主性、发展性、分散性和不确定、不确知等典型特性，还具有许多其他复杂系统不常见的特性［1］，诸如不可重复性、不可逆性、过程特性、主体系统与环境之间的强关联性等.这些特殊性决定了航天工程故障不仅具有一般复杂系统故障的层次性、传播性、相关性、放射性和延时性等常见特征，更有体现航天工程特色的继发性（航天器生命周期内故障会多次发生）、并发性（不同子系统／部件同时故障或连锁故障）、模式多样性、危害性、小样本性和处置过程的巨大风险性等特点.此外，从航天工程过程安全分析的角度，还有测控和真实运行过程难以精确量化建模、解析模型与实际状态间多存在难以忽略的差异、故障与航天器运行状态紧耦合、异变现象和系统部件故障间“多对多”网状关联等工程特性.上述复杂特征和过程特性在多个方面制约了包括故障树分析、解析冗余、正向／逆向推理在内的多种常规诊断在航天故障诊断过程中应用，有必要在吸收经典方法的合理内核基础上，创新技术路线，借鉴基于容错处理的“安全管道”监视［22］、“抑制历史故障影响”的继发故障检测［24］、数据驱动自适应仿真的故障诊断和关联矩阵布尔运算的故障定位［25］等各类创新方法的技术思路，将航天器运行过程故障预测、监控、诊断以及余寿预测和健康状态评估等安全管理核心方法与算法，从遥测数据等表象推进到航天器本体.

（3）技术研究的集成度亟待创新，建立集“危险分析、故障预警、故障检测、故障诊断和故障处理”于一体的综合性处理方法.航天工程系统的安全技术研究，必须面向航天测控工程的实际，系统分析影响航天测控工程安全性的主要因素，建立能够定性与定量描述不同危险因素对航天安全的影响关系模型与风险评估模型，面向航天器全生命周期，研究整个工程系统（特别是测控系统和航天器分系统级以上）的风险分析与健康评估技术、建立全寿命周期健康管理模型和整星（或功能系统）状态异变后的余寿预测模型、实现面向安全分析的多源异构的数据-信息-知识融合和不同类型故障诊断方法的集成，构建航天工程全过程的在线监控、趋势分析、异变预警、故障诊断、辅助决策与容错处理全流程无缝衔接的安全保障机制和技术实现平台.

总之，航天工程全寿命周期安全管理是一项复杂系统工程，涉及多学科知识融合，应用基础研究必须与工程实际紧密结合.目前大部分研究工作还处在研究的初步阶段，局限在比较单一的方向，必须理清思路、围绕有限目标、坚持应用与创新并重、方法创新与集成创新相结合，集智攻关，建立符合航天测控与运行管理工程实际的安全管理技术.

［1］胡绍林，黄刘生.航天故障的成因分析与诊断技术［J］.控制工程，2003，10（4）：295-298，259.

［2］胡绍林，陈如山，黄刘生.航天器故障检测诊断与容错处理技术研究［J］.系统工程与电子技术，2006，28（9）：1360-1364.

［3］Leveson N，Cutcher-Gershenfeld J，Barrett B，et al. Effectively addressing NASA’s organizational and safety culture：insights from systems safety and engineering systems［C］／／Engineering Systems Division Symposium.Cambridge，MA：MIT，2004：1-21.

［4］Iserman R.Process fault detection based on modelling and estimation methods：a survey［J］.Automatica，1984，20（4）：387-404.

［5］Verhaegen M，Stoyan K，Redouane H，et al.Fault tolerant flight control-a survey［J］.Lecture Notes in Control and Information Sciences，2010，399：47-89.

［6］Frank P M.Fault diagnosis in dynamic systems using analytical and knowledge-based redundancy-a survey and some new results［J］.Automatic，1990，26（3）：459-474.

［7］胡绍林，孙国基.基于系统仿真的故障检测与辨识技术研究［J］.系统工程理论与实现，2000，20（6）：8-14.

［8］Dong S，Allen K，Bauer P，et al.Self-assembling wireless autonomously reconfigurable module design concept［J］.Acta Astronautica，2008，62（2）：246-256.

［9］Yang Guang，Yang Qingsong，Kapila V，et al.Fuel optimal manoeuvres for multiple spacecraft formation reconfiguration using multi-agent optimization［J］.Int J Robust Nonlinear Control，2002，12（2-3）：243-283.

［10］Stengle F.Intelligent failure-tolerant control［J］. IEEE Control System Mag，1991，6：63-69.

［11］Rauch H.Intelligent fault diagnosis and control reconfiguration［J］.IEEE Control System Mag，1994，14（3）：6-12.

［12］Page E S.Control charts with warning lines［J］. Biometrika，1955，42（2）：241-257.

［13］Page E S.Estimating the point of changes in a continuous process［J］.Biometrika，1957，49（2）：242-252.

［14］Basseville M.Detecting changes in signal and systems：a survey［J］.Automatica，1988，24（3）：309-326.

［15］胡绍林，孙国基，赖菲.过程变化检测机理及其应用［J］.华北工学院学报，1998，19（4）：312-320.

［16］胡绍林，孙国基.传感器突发性故障的检测与辨识［J］.信息与控制，1999，27（7）：613-619.

［17］胡绍林，孙国基.多维平稳过程的容错辨识与突变检测［J］.飞行器测控学报，1999，18（4）：38-50.

［18］胡绍林，孙国基.非平稳过程突发性故障的在线检测与辨识［J］.自动化学报，2001，27（1）：120-124.

［19］胡绍林，黄刘生，孙国基.ARX过程突发性故障检测与辨识［J］.信息与控制，2002，21（3）：219-222，226.

［20］胡绍林，孙国基.过程监控与容错处理的现状及展望［J］.测控技术，1999，18（12）：1-5.

［21］Kacprzynski G J，Gumina M，Roemer M J，et al.A prognostic modeling approach for predicting recurring maintenance for shipboard propulsion systems［C］／／USA：Proc of ASME Turbo Expo，2001.

［22］Patera R P.General method for calculating satellite collision probability［J］.Journal of Guidance，Control and Dynamics，2001，24（4）：716-722.

［23］Rangarajan G K，Barreto L M.Use of Kp index of geomagnetic activity in the forecast of solar activity ［J］.Earth Planets Space，1999，51（5）：363-372.

［24］胡绍林，孙国基.过程监控技术及应用［M］.北京：国防工业出版社，2001.

［25］Hu Shaolin，Li Ye，Meinke K.The fault location method research of three-layer network system［J］. International Journal of Advanced Research in Artificial Intelligence，2012，1（6）：26-29.

（编辑吕丹）

Review on Spaceflight Safety and Health Management

HU Shaolin1，2，ZHAOGang2，GUO Xiaohong2，FU Na 2，DU Ying2
（1.School of Automation and Information Engineering，Xi’an University of Technology，Xi’an 710048，China；2.Key Laboratory of Fault Diagnosis and Maintance of In-orbit Spacecraft，Xi’an 710043，China）

The aerospace engineering is a super-large scale complicated ergonomics with man-machineenviroment coupling correlation.In order to minimize the engineering hazards and to make sure the safety of the spaceflight and to bring all spacecraft’s functions into play，it is very necessary to explore and develop spaceflight safety techniques.Based on the sorting of the five kinds of essential factors influencing the the safety of spaceflight engineering，research status and developments of spaceflight safety techniques in relevant fields were reviewed from three different aspects，namely，hazards survey and faults treatment，states monitoring and health management，enviroment prediction and debris elusion，etc.Finally，combined with the status and situation of the aerospace engineering，three problems that need urgent resolution were put forward.It was hoped that the analysis，review and research suggestion could be helpful in understanding the sticking points of spaceflight safety and keeping track of the frontiers of safety techniques and breaking through the bottle-neck obstacles whick befell at the application process of safety techniques.

system safety；fault diagnosis；health management

TP 391

A

1671-7333（2015）03-0286-07

10.3969／j.issn.1671-7333.2015.03.015

2014-12-13

国家自然科学基金资助项目（61473222）

胡绍林（1964-），男，研究员，博士，主要研究方向为故障与容错.E-mail：hfkth＠126.com