空间站任务载人飞船系统级安全性保证技术与应用

杨海峰 肖雪迪 尹骁阳

(北京空间飞行器总体设计部，北京 100094)

随着2021年4月29日我国天和号核心舱发射成功，标志着我国载人航天工程“三步走”发展战略的第三步“建造空间站，解决有较大规模的、长期有人照料的空间应用问题”正式开始[1]，宣告我国正式迈进空间站时代。2022年4月16日9时56分，随着神舟十三号返回舱在东风着陆场安全降落，标志着我国空间站关键技术验证阶段第二次载人交会对接任务取得了圆满成功。神舟十三号在轨运行180天，创造了我国神舟飞船载人飞行任务时长新纪录。随着我国进入空间站任务时代，神舟飞船发射频率将显著提高，神舟飞船天地往返运输任务将成为常态。

“载人航天，人命关天”，空间站建造任务及长期运营过程中，保证航天员全任务安全性是所有载人航天器研制过程中需要遵循的首要原则。空间站任务载人飞船在保证航天员全任务安全性方面有以下特点：①工程技术复杂，产品配套多，大系统接口多，发生故障概率高；②任务剖面复杂，危险因素多，安全性保证难度大；③载人飞船发射频率高，运行时间长，安全性风险大。从1961年人类首次载人航天飞行成功至今，在载人航天工程地面试验和训练中共有9名宇航员死亡，在载人航天飞行任务执行过程中，共有18名宇航员死亡[2]。2018年10月11日俄罗斯联盟MS-10载人飞船发射失败，船上2名宇航员启动应急逃逸系统安全着陆[2]，一方面表明了载人航天的高风险；另一方面也说明了载人航天器安全性设计的重要性，必须持续关注载人航天器的安全性问题并提升其安全性水平。

针对空间站任务航天员安全性保证技术特点，本文提出了载人飞船系统级安全性保证方法，通过神舟飞船“用户安全性要求→系统安全性分析(危险源识别)→系统级安全性设计→安全性实现及改进”等全过程系统级安全性保证工作，确保危险识别充分，安全性保证措施有效，安全性指标满足要求。

1 空间站任务载人飞船安全性保证特点

1)安全性指标要求高

不同于卫星等无人航天器，空间站任务由于航天员的参与而对安全性指标有了近乎苛刻的要求。神舟飞船的安全性定量指标要求大于0.97，这就需要在设计实现过程中投入更多的资源去满足这些要求。例如增加冗余备份、人控设计、人机交互设计等，也大大增加了神舟飞船整体方案的复杂程度和技术难度。

2)覆盖全任务阶段

空间站任务明确要求飞船系统“确保航天员在飞行任务全过程的安全”，包括待发段、发射段、在轨运行段、组合体停靠段、返回载入段等。不同的任务阶段有不同的工作模式和工作环境，面临不同的危险源，这就需要针对各个任务阶段设计专项的应急方案或预案，在该任务阶段发生对应的故障时，则直接转入相应的应急分支，确保航天员安全。因此全任务阶段存在危险源识别不充分，预案未全覆盖的风险。这就需要开展全任务各阶段危险源分析及应急方案设计，也将增加神舟飞船整体方案设计的难度。

3)实时性和长期性

相比于载人航天二期任务期间神舟十一号最长留轨1个月，空间站任务期间航天员乘组轮换及长期留轨成为常态。空间站任务设计寿命不小于10年，以往短期任务通过地面人员24 h人工监视判读的模式已完全无法适应空间站任务常态化安全性保证需求。需要在地面自动化判读、应急响应机制等方面进一步开展工作，以应对空间站任务期间随时可能出现的应急情况。例如组合体发生了失火失压等故障模式，是否需要紧急撤离;载人飞船本身发生了不能返回的故障模式，是否需要启动应急救援飞船等，均需要第一时间进行准确判读、正确处置。

2 系统安全性分析

安全性设计的对象是影响航天员安全的故障危险源和安全性关键项目，因此首先应分析、识别这些项目，载人航天器研制过程中最常用的方法有故障模式及影响分析(FMEA)、故障树分析(FTA)以及经验法。同时在载人航天器长期的型号研制及多次飞行试验实践中，增加了动态过程的风险识别，体现全任务、全系统识别安全性薄弱环节优势。提炼总结了诸如与故障树相结合的关键事件分析法、飞行时域危险分析法等，从不同的分析维度全任务、全系统识别安全性薄弱环节，确保安全性设计更为全面、准确不漏项。

1)危险分析法

危险分析法比较成熟，一般严格按照标准规范或用户制定的安全性大纲开展工作即可。通过对照危险源检查单，载人航天器一般危险源包括着火、爆炸、振动、冲击、声振、热、污染、辐射、放电、病理生理心理及其它威胁生命和健康的产品；故障危险源主要考虑故障模式严酷度等级为I类的所有故障和可能影响航天员安全的II类故障，其中I类故障模式一般指那些能直接导致航天员伤亡、任务失败的故障模式，II类故障影响低于I类。I类、II类相关的软硬件产品、功能及操作规程，一般也作为确定安全性关键项目的依据。

对识别出的危险源从危险严重性、危险可能性两个维度进行风险指数评估，根据风险指数确定风险是否可接受。一般风险指数在18～20的不需评审即可接受，10～17评审可接受后需备案，1～9一般不可接受。对于不可接受的风险，需要提出针对性的安全性设计措施，对于风险不可接受且不再打算进一步采取安全性措施的危险，则定为残余危险报用户审批备案。

2)基于关键事件时序分析法

该方法适合已有较为详尽飞行方案的初样阶段开展，侧重于贴近执行飞行任务的角度，通过确定任务的目标及成功判据，对飞行程序中“每个动作/事件的失败影响”进行分析，按照时序动态识别出导致航天员伤亡的一系列关键事件；然后对关键事件的完成保障条件开展分析，识别出导致关键事件失败的产生原因，如测控条件约束、数据注入及协同匹配等，找出潜在的薄弱环节，提出可能采取的预防和(或)设计改进措施及在轨补偿措施，为安全性设计改进、故障预案制定、地面判读提供参考。该方法的主要思想和过程如图1所示[3]。

图1 基于关键事件的系统级单点故障识别方法Fig.1 Single point failure identification method based on critical incident

先明确系统级任务目标，然后按照任务阶段划分，对每个阶段飞行事件执行结果对任务目标的影响进行分析，识别出关键事件；其次开展以关键事件为顶事件的故障树分析；最后根据故障树分析结果，识别出的那些直接导致关键事件不能完成的故障模式作为系统级单点故障模式，通过采取隔离故障不扩散或采取人工地面补救措施(故障预案)等，尽可能的将风险降到最低。

例如神舟十二号载人飞船任务准备阶段识别67项关键事件，设计、关联了相应的故障对策，编制了监视页面，任务中作为地面重点判读内容之一。

该方法在飞行方案详细设计、飞行任务准备阶段还可以通过“角色扮演”的形式组织人员按照飞行程序进行推演，这些“角色”包括神舟飞船、空间站、航天员、地面支持等，通过推演能够发现飞行程序中不协调的事件(含大系统接口)、安全性薄弱环节、不完备的保障资源，为安全性设计改进提供参考。这种较为隐蔽的“软故障模式”往往是FMEA、FTA等传统分析方法很难识别的。

3)飞行过程(时域)危险分析法

该方法同样基于飞行程序，同样进行全任务阶段的危险源识别，不同之处在于侧重于识别各任务阶段下特定“环境因素”所隐藏的“重大危险源”，这些危险源涵盖各大系统，接口复杂，容易遗漏，且诱发的事故后果往往是灾难性的，所以必须将这些危险源逐一识别出来并制定应急方案(见图2)。

图2 空间站任务阶段神舟飞船任务剖面示意图Fig.2 Mission profile of Shenzhou spacecraft in the space station mission

这些应急方案一般也直接影响各大系统的方案设计，所以分析工作也必须是站在整个工程总体高度开展。以神舟飞船为例，为执行交会对接任务，飞船系统进行了全过程危险分析、设计，针对船器近距离交会、组合体长期停靠等新任务，进行了近距离避撞、组合体应急撤离等专项安全性设计。

3 系统安全性保证措施与应用

3.1 消除危险设计

通过设计手段使得产品和系统本身具有安全性，即使在发生故障或误操作的情况下也不会造成安全性事故，实现“本质安全”。载人飞船方案设计之初尽量不使用或减少使用可能对系统安全构成潜在威胁或可能造成危害因素的产品或功能。

以防火设计为例，1967年1月阿波罗1号地面演练时，驾驶舱起火并剧烈燃烧导致3名航天员死亡。事故的调查结果定位在座椅附近的电线短路迸出火花，在密封舱纯氧环境下大量易燃物燃烧并迅速蔓延，且舱门被一系列门闩、棘轮锁死，打开困难。目前我国包括神舟飞船在内的载人航天器密封舱均采用3∶7的氧氮混合气体；飞船使用的所有非金属材料按照选用要求筛选并经过阻燃及燃烧性能检测，结果合格方可装船；飞船大功率用电设备有限流措施；飞船还配备了灭火器、防毒面具，制定了专项灭火程序，写进了航天员故障处置手册中，由航天员进行专项训练。经过一系列措施在密封舱防火性能上实现“本质安全”。

3.2 故障容限设计

对于识别出的影响航天员安全的关键功能通过采取冗余、故障重构、安全模式等设计方法，尽可能消除影响航天员系统级单点故障模式，达到提升载人航天器安全性水平的目的。对于因设备属性、资源代价约束等确实无法消除的系统级单点故障模式，应采取充分的可靠性、安全性设计措施降低故障模式危险风险至用户可接受水平。

神舟飞船设计之初就按照“一重故障工作，二重故障安全”原则开展整船方案设计，在满足整船资源约束的条件下，最大可能提升整船安全性水平，见表1。

表1 神舟飞船关键功能故障容限设计情况Table 1 Failure tolerance design of key function of Shenzhou spacecraft

3.3 关键功能人控设计

与卫星等无人航天器不同，载人航天器因为有航天员的参与而更具特点，在载人航天器关键功能实现上可设计人控功能，作为自控的备份。人控功能往往在操作方式、实现机理、设备类型等方面与自控有明显不同，可以起到消除系统级单点故障模式、切断故障传播等作用，显著提高载人航天器安全性水平。

以人控交会对接功能为例，2021年1月8日神舟十三号航天员乘组在空间站核心舱内采取手控遥操作方式，圆满完成了天舟二号货运飞船与核心舱交会对接试验，这是继2012年6月24日神舟九号乘组刘旺成功实施神舟九号与天宫一号人控交会对接后，我国在轨实施的第二次人控交会对接试验，标志着我国已完整的掌握了自动及手动交会对接技术。

神舟飞船部分常用关键功能的人控设计情况见表2，可以实现自控故障情况下切换为航天员手动控制模式，确保航天员安全。

表2 神舟飞船关键功能人控设计情况Table 2 Manual control design of key function of Shenzhou spacecraft

3.4 维修性设计

维修性设计目前主要应用于类似空间站这种长寿命、高可靠运行的航天器，通过航天员在轨维修确保其长寿命、高可靠运行。例如和平号空间站设计寿命5年，通过在轨维修延寿到15年，“国际空间站”设计寿命15年，目前已到寿命末期，经评估通过维修将寿命延长至20年[4]。对于载人飞船等短期飞行载人航天器也可结合自身任务特点，综合权衡资源代价，对部分关键功能采取适当维修性设计，提高系统安全性水平。

例如神舟飞船任务准备阶段设计了“净化风机停转故障对策”。净化风机用于驱动空气进入净化药罐吸附密封舱空气中的二氧化碳，所以风机一旦停转会导致密封舱二氧化碳浓度上升，直接威胁航天员安全。当时结合飞船已有的维修工具提出了“割开净化软管，将服装通风软管插入净化风机软管并用3M胶带密封后，使用服装风机代替净化”的方案，并在地面进行了操作验证。这样通过一个相对简单的维修方案，解决了密封舱有害气体净化的重大安全性问题。

3.5 人机交互安全性设计

载人航天器中航天员的参与一方面能够带来手控备份、在轨维修等安全性设计优势；另一方面也引入了人为差错等导致安全性事故的新风险，因此必须进行人机交互安全性设计。神舟飞船典型人机交互安全性设计要素见表3。

表3 神舟飞船典型人机交互安全性设计要素Table 3 Typical human-comptuer interaction security design elements of Shenzhou spacecraft

3.6 全时域应急方案设计

针对各个任务阶段识别出的特定重大危险源或重大故障模式，制定专项的应急方案。在该任务阶段发生相应的故障时，直接转入相应的应急分支。神舟飞船系统针对待发段到返回段的全任务过程危险源进行了分析、识别，制定了全时域应急方案，确保在任何任务段、任何时间段发生特定的故障模式均能够转入应急模式，最大限度保证航天员安全，见表4。

表4 神舟飞船全时域应急方案设计情况Table 4 Full-time domain emergency plan design of Shenzhou spacecraft

1)组合体应急撤离

组合体段的应急撤离程序设计是大系统联合进行危险分析、设计的典型案例。船、站双方在各类故障后达到安全点、故障蔓延时间分析的基础上，综合考虑测控条件、航天员操作时间、地面操作及天地匹配等约束情况，完成了组合体应急撤离程序设计。可确保在组合体发生重大故障模式时，如密封舱失火、失压等，根据故障特点(故障影响、蔓延时间、航天员安全点等)，正确执行相应的应急撤离程序，极大提高了组合体停靠段安全性水平[5]。

目前，航天员在轨定期进行应急撤离演练，根据任务安排还会组织各航天器参与的应急撤离演练，对应急响应机制、地面设备人员、应急处置程序等进行验证，确保应急撤离协同程序实施的匹配性和有效性。

2)应急救援能力

相比天宫一号目标飞行器、天宫二号空间实验室只有一个对接口，空间站增加到3个对接停泊口，这就为发射应急救援飞船提供了必要条件。研制人员通过载人飞船“滚动备份、优化流程”，在空间站长期有人驻留期间，保证发射场有1艘载人飞船和火箭随时待命，接到救援任务后可在8.5天内组织发射，拯救空间站航天员安全返回，大大提高了组合体停靠段安全性水平。

3.7 故障预案设计

故障预案是保障载人航天器安全的最后手段，是载人航天器历次发射任务准备工作中最重要的工作内容之一，其工作量甚至可以占比到整个工作的50%以上，除了正常任务实施，大量的工作基本上都是在准备各种应急预案。根据神舟飞船飞控历次工作经验，通过充分准备工作，故障预案可以覆盖在轨发生的90%的故障，同时按照预案实施处置的有效率可以达到95%以上。总结故障预案的设计要点如下。

(1)故障预案是载人航天器研制之初就确定下来的，是正向设计的结果。

(2)FMEA是故障预案设计的主要来源，对需要采取在轨补偿措施、能够在轨检测的故障模式制定飞控故障预案。

(3)依据正常飞行方案，识别出飞行过程可能发生的、静态FMEA不能涵盖的其它故障模式，主要包括：其他大系统故障导致须飞船系统应急处理的故障模式、需要多个分系统参与处理的分系统接口相关故障、地面测试/试验/演练中发现的问题，都应该作为故障模式的来源积累下来，分析并制定相应的对策。

根据以上要点空间站核心舱、载人飞船、货运飞船3个载人航天器在关键技术验证阶段共设计了约3000项故障预案，有力地保证了航天员的安全及任务顺利实施。在故障预案的具体准备及实践过程形成的经验如下。

(1)故障预案更多是正向设计的结果，与FMEA关系非常大，应提前抓好FMEA工作。对于发现的无预案的薄弱环节及时改进，降低后期改动带来更多的风险和代价。

(2)故障预案需要经过多方讨论完善，选择最优、影响最小、可执行性最高的对策。

(3)故障预案编写上，要求故障判据全面、指令参数准确、执行判据有效、协同关系清楚、处置思路清晰、处置原则统一，真正做到关键时候“易用、好用、管用”。

(4)故障预案最终还是需要人来实施，因此需要加强关键岗位人员的培训和演练，最好能做到所有相关技术人员均能够熟练掌握。

(5)在资源允许的条件下，对于一些故障发生概率高、故障后果影响大、处置时效性要求高的故障模式，可以考虑优先通过器上软件自动诊断、自动处置，降低人为处置带来的不确定风险，提高安全性水平。

4 结束语

本文对神舟飞船系统级安全性分析、典型安全性设计方法进行了系统总结，同时结合工程案例对分析、设计方法的应用情况进行了说明，最后对后续空间站载人飞船研制工作提出了建议。

(1)可靠性是安全性的基础，广义的可靠性几乎囊括了载人航天器研制工作的方方面面，因此平台产品的可靠性水平直接决定了航天员的安全性水平，在神舟飞船小批量生产、高密度发射任务的背景下，需要持续加强产品质量过程控制；进入空间站应用阶段，在神舟飞船技术状态逐步稳定的基础上，应逐步确立以产品质量过程控制为核心的安全性保证体系。

(2)为适应空间站阶段任务需求，载人飞船需在现有的基础上对部分功能、硬件状态进行升级换代，这些更改应以不降低自身安全性水平为目标。

(3)载人航天器的安全性设计应充分利用有人参与的优势，积极发挥航天员主观能动性，不断提升整器的安全性水平。对于神舟飞船，可结合自身任务特点，综合权衡资源代价，对部分关键功能采取适当维修性设计，提高整船安全性水平。

(4)空间站阶段载人飞船飞控任务具有实时性和长期性，完全靠地面人员进行不间断监测判读是不现实的，必须开展自动故障诊断工作。载人飞船停靠状态相对固定，可采取基于规则的故障诊断方法；同时应不断提高器上自主健康管理水平，实现自动故障诊断及处置，提高故障处置时效性，把对人的依赖性将到最低。