温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
空间站
任务
载人
飞船
系统
安全性
保证
技术
应用
海峰
第 卷第期 年月航天器工程 空间站任务载人飞船系统级安全性保证技术与应用杨海峰肖雪迪尹骁阳(北京空间飞行器总体设计部,北京 )摘要针对空间站任务载人飞船高安全性指标要求、实时性和长期性任务特点,文章提出了载人飞船系统级安全性保证方法,通过识别出影响航天员安全的所有危险源并采取针对性的设计措施,尽量消除影响航天员安全的系统级单点故障模式,降低危险风险至可接受水平,达到提高载人飞船全任务阶段安全性水平的目的。该方法经过了神舟飞船系统级安全性分析、安全性设计,以及地面和飞行任务验证,可对后续载人航天器系统级安全性保证提供参考。关键词空间站任务;载人飞船;系统级;安全性中图分类号:文献标志码:(,):,:;收稿日期:;修回日期:作者简介:杨海峰,男,硕士,高级工程师,从事载人航天器总体设计工作。:。随着 年月 日我国天和号核心舱发射成功,标志着我国载人航天工程“三步走”发展战略的第三步“建造空间站,解决有较大规模的、长期有人照料的空间应用问题”正式开始,宣告我国正式迈进空间站时代。年月 日时 分,随着神舟十三号返回舱在东风着陆场安全降落,标志着我国空间站关键技术验证阶段第二次载人交会对接任务取得了圆满成功。神舟十三号在轨运行 天,创造了我国神舟飞船载人飞行任务时长新纪录。随着我国进入空间站任务时代,神舟飞船发射频率将显著提高,神舟飞船天地往返运输任务将成为常态。“载人航天,人命关天”,空间站建造任务及长期运营过程中,保证航天员全任务安全性是所有载人航天器研制过程中需要遵循的首要原则。空间站任务载人飞船在保证航天员全任务安全性方面有以下特点:工程技术复杂,产品配套多,大系统接口多,发生故障概率高;任务剖面复杂,危险因素多,安全性保证难度大;载人飞船发射频率高,运行时间长,安全性风险大。从 年人类首次载人航天飞行成功至今,在载人航天工程地面试验和训练中共有名宇航员死亡,在载人航天飞行任务执行过程中,共有 名宇航员死亡。年 月 日俄罗斯联盟 载人飞船发射失败,船上名宇航员启动应急逃逸系统安全着陆,一方面表明了载人航天的高风险;另一方面也说明了载人航天器安全性设计的重要性,必须持续关注载人航天器的安全性问题并提升其安全性水平。针对空间站任务航天员安全性保证技术特点,本文提出了载人飞船系统级安全性保证方法,通过神舟飞船“用户安全性要求系统安全性分析(危险源识别)系统级安全性设计安全性实现及改进”等全过程系统级安全性保证工作,确保危险识别充分,安全性保证措施有效,安全性指标满足要求。空间站任务载人飞船安全性保证特点)安全性指标要求高不同于卫星等无人航天器,空间站任务由于航天员的参与而对安全性指标有了近乎苛刻的要求。神舟飞船的安全性定量指标要求大于 ,这就需要在设计实现过程中投入更多的资源去满足这些要求。例如增加冗余备份、人控设计、人机交互设计等,也大大增加了神舟飞船整体方案的复杂程度和技术难度。)覆盖全任务阶段空间站任务明确要求飞船系统“确保航天员在飞行任务全过程的安全”,包括待发段、发射段、在轨运行段、组合体停靠段、返回载入段等。不同的任务阶段有不同的工作模式和工作环境,面临不同的危险源,这就需要针对各个任务阶段设计专项的应急方案或预案,在该任务阶段发生对应的故障时,则直接转入相应的应急分支,确保航天员安全。因此全任务阶段存在危险源识别不充分,预案未全覆盖的风险。这就需要开展全任务各阶段危险源分析及应急方案设计,也将增加神舟飞船整体方案设计的难度。)实时性和长期性相比于载人航天二期任务期间神舟十一号最长留轨个月,空间站任务期间航天员乘组轮换及长期留轨成为常态。空间站任务设计寿命不小于 年,以往短期任务通过地面人员 人工监视判读的模式已完全无法适应空间站任务常态化安全性保证需求。需要在地面自动化判读、应急响应机制等方面进一步开展工作,以应对空间站任务期间随时可能出现的应急情况。例如组合体发生了失火失压等故障模式,是否需要紧急撤离;载人飞船本身发生了不能返回的故障模式,是否需要启动应急救援飞船等,均需要第一时间进行准确判读、正确处置。系统安全性分析安全性设计的对象是影响航天员安全的故障危险源和安全性关键项目,因此首先应分析、识别这些项目,载人航天器研制过程中最常用的方法有故障模式及影响分析()、故障树分析()以及经验法。同时在载人航天器长期的型号研制及多次飞行试验实践中,增加了动态过程的风险识别,体现全任务、全系统识别安全性薄弱环节优势。提炼总结了诸如与故障树相结合的关键事件分析法、飞行时域危险分析法等,从不同的分析维度全任务、全系统识别安全性薄弱环节,确保安全性设计更为全面、准确不漏项。)危险分析法危险分析法比较成熟,一般严格按照标准规范或用户制定的安全性大纲开展工作即可。通过对照危险源检查单,载人航天器一般危险源包括着火、爆炸、振动、冲击、声振、热、污染、辐射、放电、病理生理心理及其它威胁生命和健康的产品;故障危险源主要考虑故障模式严酷度等级为类的所有故障和可能影响航天员安全的 类故障,其中类故障模式一般指那些能直接导致航天员伤亡、任务失败的故障模式,类故障影响低于类。类、类相关的软硬件产品、功能及操作规程,一般也作为确定安全性关键项目的依据。对识别出的危险源从危险严重性、危险可能性两个维度进行风险指数评估,根据风险指数确定风险是否可接受。一般风险指数在 的不需评审即可接受,评审可接受后需备案,一般不可接受。对于不可接受的风险,需要提出针对性的安全性设计措施,对于风险不可接受且不再打算进一步采取安全性措施的危险,则定为残余危险报用户审批备案。)基于关键事件时序分析法该方法适合已有较为详尽飞行方案的初样阶段开展,侧重于贴近执行飞行任务的角度,通过确定任务的目标及成功判据,对飞行程序中“每个动作事航天器工程 卷件的失败影响”进行分析,按照时序动态识别出导致航天员伤亡的一系列关键事件;然后对关键事件的完成保障条件开展分析,识别出导致关键事件失败的产生原因,如测控条件约束、数据注入及协同匹配等,找出潜在的薄弱环节,提出可能采取的预防和(或)设计改进措施及在轨补偿措施,为安全性设计改进、故障预案制定、地面判读提供参考。该方法的主要思想和过程如图所示。先明确系统级任务目标,然后按照任务阶段划分,对每个阶段飞行事件执行结果对任务目标的影响进行分析,识别出关键事件;其次开展以关键事件为顶事件的故障树分析;最后根据故障树分析结果,识别出的那些直接导致关键事件不能完成的故障模式作为系统级单点故障模式,通过采取隔离故障不扩散或采取人工地面补救措施(故障预案)等,尽可能的将风险降到最低。图基于关键事件的系统级单点故障识别方法 例如神舟十二号载人飞船任务准备阶段识别 项关键事件,设计、关联了相应的故障对策,编制了监视页面,任务中作为地面重点判读内容之一。该方法在飞行方案详细设计、飞行任务准备阶段还可以通过“角色扮演”的形式组织人员按照飞行程序进行推演,这些“角色”包括神舟飞船、空间站、航天员、地面支持等,通过推演能够发现飞行程序中不协调的事件(含大系统接口)、安全性薄弱环节、不完备的保障资源,为安全性设计改进提供参考。这种较为隐蔽的“软故障模式”往往是、等传统分析方法很难识别的。)飞行过程(时域)危险分析法该方法同样基于飞行程序,同样进行全任务阶段的危险源识别,不同之处在于侧重于识别各任务阶段下特定“环境因素”所隐藏的“重大危险源”,这些危险源涵盖各大系统,接口复杂,容易遗漏,且诱发的事故后果往往是灾难性的,所以必须将这些危险源逐一识别出来并制定应急方案(见图)。图空间站任务阶段神舟飞船任务剖面示意图 第期杨海峰 等:空间站任务载人飞船系统级安全性保证技术与应用这些应急方案一般也直接影响各大系统的方案设计,所以分析工作也必须是站在整个工程总体高度开展。以神舟飞船为例,为执行交会对接任务,飞船系统进行了全过程危险分析、设计,针对船器近距离交会、组合体长期停靠等新任务,进行了近距离避撞、组合体应急撤离等专项安全性设计。系统安全性保证措施与应用 消除危险设计通过设计手段使得产品和系统本身具有安全性,即使在发生故障或误操作的情况下也不会造成安全性事故,实现“本质安全”。载人飞船方案设计之初尽量不使用或减少使用可能对系统安全构成潜在威胁或可能造成危害因素的产品或功能。以防火设计为例,年月阿波罗号地面演练时,驾驶舱起火并剧烈燃烧导致名航天员死亡。事故的调查结果定位在座椅附近的电线短路迸出火花,在密封舱纯氧环境下大量易燃物燃烧并迅速蔓延,且舱门被一系列门闩、棘轮锁死,打开困难。目前我国包括神舟飞船在内的载人航天器密封舱均采用:的氧氮混合气体;飞船使用的所有非金属材料按照选用要求筛选并经过阻燃及燃烧性能检测,结果合格方可装船;飞船大功率用电设备有限流措施;飞船还配备了灭火器、防毒面具,制定了专项灭火程序,写进了航天员故障处置手册中,由航天员进行专项训练。经过一系列措施在密封舱防火性能上实现“本质安全”。故障容限设计对于识别出的影响航天员安全的关键功能通过采取冗余、故障重构、安全模式等设计方法,尽可能消除影响航天员系统级单点故障模式,达到提升载人航天器安全性水平的目的。对于因设备属性、资源代价约束等确实无法消除的系统级单点故障模式,应采取充分的可靠性、安全性设计措施降低故障模式危险风险至用户可接受水平。神舟飞船设计之初就按照“一重故障工作,二重故障安全”原则开展整船方案设计,在满足整船资源约束的条件下,最大可能提升整船安全性水平,见表。表神舟飞船关键功能故障容限设计情况 序号关键功能故障容限设计情况姿态与轨道控制功能()控制器采用“三机热冗余主份备份控制器”互为备份,测量敏感器具有不同工作原理的设备互为备份;()配备了完整的人控系统作为自控的备份姿轨控执行功能发动机按照主备份设计。气液管路为“”字构型,可交叉冗余,隔离泄漏等故障模式,单路发动机故障,可正常完成在轨姿轨控功能热管理功能()采用以主动流体循环回路、强迫对流换热和电加热回路等主动热控制技术与被动热控制技术相结合的热控制方法;()温控的关键设备,如计算机、泵组件等均采取备份设计能源管理功能()太阳电池阵发电能力裕度设计,太阳电池阵冗余设计;()蓄电池由组独立的镉镍电池组成。单组电池故障,可通过地面发送指令切除,采用双机组工作模式;()配备了完全独立的应急电池作为主电源的备份,在主电源完全故障情况下,可自动或干预接入应急电源紧急返回地球载人环境控制功能()密封舱总压、氧分压自控系统的测量传感器和控制计算机均为冗余设计。此外均设置了手动阀门,在自动供气调压故障情况下可手动控制;()制定了压力应急模式,在舱体密封舱失压情况下通过大流量供氧,紧急返回地球交会对接功能()交会方案上更加灵活,增加快速交会功能,故障情况下具备推迟多圈至天并继续进行交会的能力;()各阶段交会测量敏感器均有两重及以上备份,确保交会过程的可靠性和安全性。其中平移靠拢段具备人控交会功能,作为自控的备份;()飞船和核心舱双方对接机构可相互锁紧,互为备份。对接机构分离时,正常情况下可由电机驱动自动解锁,故障情况下可起爆飞船或核心舱任一方锁钩上火工品实施分离 关键功能人控设计与卫星等无人航天器不同,载人航天器因为有航天员的参与而更具特点,在载人航天器关键功能实现上可设计人控功能,作为自控的备份。人控功能往往在操作方式、实现机理、设备类型等方面与自控有明显不同,可以起到消除系统级单点故障模式、切断故障传播等作用,显著提高载人航天器安全性水平。以人控交会对接功能为例,年月日神舟十三号航天员乘组在空间站核心舱内采取手控遥航天器工程 卷操作方式,圆满完成了天舟二号货运飞船与核心舱交会对接试验,这是继 年月 日神舟九号乘组刘旺成功实施神舟九号与天宫一号人控交会对接后,我国在轨实施的第二次人控交会对接试验,标志着我国已完整的 掌 握了 自动 及 手 动 交 会 对 接技术。神舟飞船部分常用关键功能的人控设计情况见表,可以实现自控故障情况下切换为航天员手动控制模式,确保航天员安全。表神舟飞船关键功能人控设计情况 序号关键功能人控设计情况船箭分离、帆板展开、回收电源接通