國際空間站有效載荷安全性認證工作探討

溫 楠，欒家輝，劉春雷，陳鳳熹

(中國航天標準化與產品保證研究院，北京100071)

1 引言

國際空間站(International Space Station，ISS)自從其第一個艙段(“曙光號”功能貨艙)于1998年11月發射入軌以來，考慮組裝建造與運營，已運行了14年時間，開展了包括生物科學、物理科學和材料研究、地球科學、人體醫學研究等多項實驗工作，取得了豐碩的研究成果［1］。由于有效載荷研制的目的是在軌完成相應的科學實驗任務，因此，載荷研制單位首先要解決的是各上站有效載荷的正常運行以及各科研儀器和設備的合理配置，但從空間站工程角度考慮，更為關鍵的是，有效載荷的運行以確保安全為前提，即有效載荷上站的第一位要求是確保安全，不會為乘組和空間站帶來危險，造成航天員傷亡、空間站毀壞或發生重大事故，第二位才是有效載荷的正常工作。

美國國家航空航天局(National Aeronautics and Space Administration，NASA)在國際空間站的建造與運營過程中起到了牽引和抓總的功能，其在有效載荷安全性方面制定了各項要求文件，指定機構和專人負責有效載荷安全性工作，對上站有效載荷進行認證，為確保其在軌安全和穩定運行奠定了基礎［2-6］。我國空間站工程已于2010年正式立項，擬于2020年前后建成和運營載人空間站［7］，安全性也是首要關注的問題，因此，有必要對國際空間站有效載荷安全性認證進行深入細致的研究，以借鑒其成功經驗，開展我國空間站有效載荷安全性相關工作。

2 NASA有效載荷安全性認證相關機構和職責

NASA有效載荷安全性認證工作組織機構［3，5，8］如圖1 所示。

圖1 有效載荷安全性認證工作組織機構Fig.1 Organization of the payload safety certification PSRP(Payload Safety Review Panel)－有效載荷安全性認證工作組;GSRP(Ground Safety Review Panel)－地面安全性認證工作組;PO(Payload Organization)－有效載荷責任機構;PSE(Payload Safety Engineer)－載荷安全性工程師.

2.1 PSRP 和 GSRP 主要職責［3］

1)確保有效載荷責任組織對于安全性要求的詮釋符合NASA有效載荷安全性的相關規范［2，4，5］;

2)對有效載荷和地面支持設備(Government support equipment，GSE)的開發以及其他運行情況進行安全性認證;

3)對安全性分析、安全性報告以及不符合項報告(Noncompliance Report，NCR)［9］進行評估;

4)協商解決設計和運行中存在的安全問題，確保其滿足所有適用的要求和規范;

5)評估用于控制已知風險的設計方案，評估用于確定特定系統功能的驗證方案。

2.2 有效載荷責任機構主要職責［3］

1)進行安全性分析;

2)識別潛在風險;

3)以書面形式證明已滿足安全性要求;

4)進行安全性驗證;

5)將安全性文件提交審查;

6)向PSRP和GSRP匯報和展示;

7)有效載荷按照有關要求［2-6］進行審查和認證，證明能滿足在軌操作的要求。

2.3 有效載荷安全性工程師主要職責［8］

1)對有效載荷安全性數據包［10］進行技術審查;

2)評估有效載荷是否符合NASA有效載荷安全性要求［2，4，5］;

3)針對特定安全性問題，進行詳細的技術支持;

4)管理各安全性工作組相關工作。

3 需開展安全性認證的有效載荷

需開展安全性認證的有效載荷包括但不限于任務任一階段(發射前、發射、上升、在軌、再入大氣層、著陸、著陸后)期間，搭載于國際空間站的下列有效載荷或相關硬件［3］:

1)新搭載的有效載荷硬件;

2)現有的(連續發射或再次發射)有效載荷硬件;

3)與開發測試目標、詳細附加目標、風險緩解試驗、空間醫學計劃以及人類空間技術探索和發展驗證計劃所用的實驗設備有關硬件;

4)政府提供的設備;

5)空中支持設備;

6)地面支持設備。

PSRP將新的有效載荷依照其潛在風險的復雜程度分為3類(基本型、中等型、復雜型)［3］，見表1所示。

4 有效載荷安全性技術要求

NASA針對壓力系統、結構/機構、材料、火工品、輻射、電氣等，給出了相應的有效載荷安全性技術要求［2，4-5］，作為安全性設計準則，以指導各類有效載荷的設計。參考NASA發布的有效載荷安全性相關技術標準，可總結、提煉出相應的安全性技術要求，表2和表3分別給出壓力系統、結構/機構的安全性技術要求。

4.1 壓力系統安全性技術要求

壓力系統安全性技術要求如表2所示。

4.2 結構/機構安全性技術要求

結構/機構安全性技術要求如表3所示。

表1 有效載荷的分類Table 1 Classification of payloads

表2 壓力系統安全性技術要求Table 2 Safety requirement on pressure system

表3 結構/機構安全性技術要求Table 3 Safety requirement on structure/mechanism

5 有效載荷安全性認證工作流程

NASA有效載荷安全性認證工作流程［3］如圖2所示。

5.1 階段劃分

國際空間站有效載荷安全性認證過程可分為4個階段，大體與有效載荷開發過程的標準過程相對應。在第四個階段的最后，所有非封閉型產品都列入跟蹤清單，在允許飛行前必須閉合。有效載荷安全性認證過程的各個階段如表4所示，每個階段圓滿完成的標志是安全性數據包(Safety Data Package，SDP)/風險分析報告(Hazard Report，HR)提交并通過 PSRP/GSRP 批準［3］。

表4 有效載荷安全性認證各階段Table 4 Milestones of payload safety certification

圖2 有效載荷安全性認證工作流程Fig.2 Payload safety certification process NSTS指National Space Transportation System，即國家航天運輸系統。

5.2 有效載荷安全性認證會議類型［3］

1)正式會議

正式會議的出席者包括安全性評審小組的全體成員，PO代表，以及相關的技術支持人員。

2)小組討論會議

小組討論會議不要求評審小組成員全部到場，出席者包括評審小組主席，安全性代表，PO代表，以及與會議議題相關的工作人員。

3)安全技術交流會議(Technical Interchange Meeting，TIM)

PO可申請召集評審小組和相關的技術人員召開會議，以助其在安全性評審開始前更好地理解安全性要求并協調安全性分析或安全問題。申請召開飛行安全性TIM，應與PSRP執行秘書聯系;申請召開地面安全性TIM，應與GSRP主席聯系。TIM上需解決問題的相關材料應于TIM召開14個日歷日前向有關單位提供。

4)不定期會議

不定期會議可在安全性評審期間召開，討論具體的技術問題。

5.3 有效載荷安全性認證流程［3］

1)階段0數據提交要求

有效載荷設計和飛行運行:

(1)對有效載荷(包括各分系統)和任務方案的概念性說明。

(2)對安全關鍵分系統及其運行的說明。

(3)飛行風險報告。

2)階段1數據提交要求

有效載荷設計和飛行運行:

(1)更新后的有效載荷說明(包括分系統)和任務方案。

(2)更新后的安全關鍵分系統及其運行說明。確定所有使用計算機控制的安全關鍵分系統，同時確定其計算機控制的功能層級。

(3)更新的或新增的飛行風險報告。對于具有災難性潛在風險的有效載荷，按照NSTS/ISS 18798［4］的要求記錄其驗證方案。

(4)ISS項目提供的關鍵服務的總結清單，對用于監控有效載荷風險的ISS服務的說明(最新版 NSTS 1700.7ISS 附錄［2］)。

(5)對ISS有效載荷，要陳述火災探測和抑制(Fire Detection and Suppression，FDS)措施。

(6)討論為實現在軌風險控制驗證/再驗證而采用的設計特點及其約束。

(7)按照 JSC 27472［10］擬制的暫定有毒物質列表。

(8)對所有火工品及其功能的初步說明。

(9)以 NSTS/ISS 18798［4］為依據，對在軌維護安全性的初步評估。

3)階段2數據提交要求

有效載荷設計和飛行運行:

(1)更新后的有效載荷說明(包括分系統)和任務方案。

(2)更新后的安全關鍵分系統及其運行說明。總結用于驗證所有安全關鍵性硬件預期性能的測試和分析結果。

(3)更新的或新增的飛行風險報告。對于具有災難性潛在風險的有效載荷，按照NSTS/ISS 18798［4］的要求記錄其驗證方案。

(4)更新航天器或ISS項目提供的關鍵服務的總結清單。

(5)對ISS有效載荷，要更新其FDS實施方案。

(6)對于需要在軌驗證/再驗證的風險控制，說明其驗證方案(包括原理、限制和具體方法的說明)。

(7)按照 JSC 27472［10］更新暫定有毒物質及其支持性數據的列表。表中的更新應反映出測試材料的變化、測試條件的變化和所有備用的測試材料。

(8)更新電池類型、使用方法、生產廠家和用途的列表。

(9)各類火工品的清單，說明其功能、化學組成、關鍵組件的審核計劃、驗證計劃以及老化評估方法。

(10)列出包含人力參與流程或培訓的風險控制方案。

(11)記錄與驗證或飛行硬件有關的測試失敗、異常和事故，對可能影響安全的各項目進行安全性評估。

(12)階段1中PO接受的各項任務在本階段的完成狀態。

(13)以 NSTS/ISS 18798［4］為依據，詳細陳述在軌維護安全性評估結果。確定維護活動、安全區域和關鍵安全性能的再驗證方案。

4)階段3數據提交要求

有效載荷設計和飛行運行:

(1)最終完成的有效載荷說明(包括分系統)和任務方案。

(2)更新安全關鍵分系統的最終配置及其運行說明。

(3)更新后(或新增，如需要)的飛行風險報告。

(4)ISS項目提供的關鍵服務的最終總結清單。

(5)提供FDS最終實施方案。

(6)對于需要在軌驗證/再驗證的風險控制，更新(或新增，如需要)其驗證方案(包括原理、限制和具體方法的說明)。

(7)擬定最終的有毒物質及其支持性數據列表。

(8)電池類型、使用方法、生產廠家和用途的最終列表。

(9)有效載荷上已安裝或將要安裝的火工品的最終列表。

(10)更新包含航天員參與流程或培訓的風險控制方案。

(11)更新測試失敗、異常和事故的記錄，記錄設計驗證、飛行硬件和用于風險控制的基礎軟件。對可能影響安全的各項目進行安全性評估。

(12)階段2中PO接受的各項任務在本階段的完成狀態。

(13)有效載荷飛行安全性驗證跟蹤日志(Verification Tracking Log，VTL)［3］。

(14)確認飛行安全性的不符合項。

(15)以 NSTS/ISS 18798［4］為依據，在軌維護安全性評估的最終(更新后)結果。

5.4 有效載荷安全符合性證書

PSRP/GSRP針對有效載荷責任方在安全性認證過程各個階段所提供的安全性數據包和風險分析報告，評審并認證該有效載荷是否符合相關安全性標準要求，如果符合，則給出如圖3所示的安全符合性證書［11］。

圖3 有效載荷安全符合性證書Fig.3 Certificate of NSTS/ISS payload safety compliance

6 對我國空間站工程的啟示

6.1 高度重視

從目前發布的國際空間站事故和故障來看，基本都發生在空間站平臺系統上，如機械臂工作異常、控制計算機故障、推進控制系統異常等，有效載荷未發生大的事故和故障，也未發生由于有效載荷而引起空間站重大故障［12-14］。

NASA對有效載荷安全高度重視是重要因素，其在20世紀70年代即成立專門的組織(PSRP、GSRP等)開展有效載荷安全性認證工作［8］。

6.2 組織有力

通過專門的組織機構(PSRP、GSRP等)，牽頭開展有效載荷安全性認證工作，并有大量的工程和技術專業人員為認證組織服務。認證組織成員由NASA關鍵部門的獨立于有效載荷開發和集成隊伍的人員構成，以便能獨立、公正地開展安全性認證工作。

6.3 標準先行

NASA制定了專門的有效載荷安全性認證和數據提交要求標準，對有效載荷各研制階段應開展的安全性工作和提交的安全性數據包內容進行了詳細的規定，并對不符合報告的審查和批準等給出了相應的要求［3］。后續在工程經驗豐富的基礎上，通過制定補充要求的方式對各專業領域給出詳細的要求和說明。

我國空間站工程各有效載荷的論證工作將陸續開展，因此，需借鑒國際空間站的經驗，由第三方機構來統籌牽引有效載荷的安全性評審和認證工作，并成立跨部門和專業的評審組織，先期開展有效載荷安全性要求和安全性評審/認證等方面的標準制定，并參與到有效載荷的各研制階段，同有效載荷設計人員一道，將有效載荷的安全性風險控制在可接受范圍之內，為后續有效載荷的安全和穩定運行奠定堅實的基礎。

［1］NASA. Reference guide to the International Space Station［M］.NP-2010-09-682-HQ，ISBN 0-16-086517-4.

［2］NSTS 1700.7B，Safety policy and requirements for payloads using the space transportation system［S］.1989，1.

［3］NSTS/ISS 13830 Revision C.Payload safety review and data submittal requirements［S］.1998，7.

［4］NSTS/ISS18798 Revision B.Interpretations of NSTS/ISS payload safety requirements［S］.1997，9.

［5］SSP 51700.Payload safety policy and requirements for the international space station［S］.2010，4.

［6］SSP 30599 Revision E.Safety review process of international space Station program［S］，2009.6.

［7］陳善廣，陳金盾，姜國華，等.我國載人航天成就與空間站建設［J］.航天醫學與醫學工程，2012，25(6):391-396.

［8］Nash SK，Rehm RB，Santiago DM，et al.Building on the past-looking to the future:a focus on payload safety［C］//the 3rd IAASS.2008，10.

［9］JSC Form 542C-payload safety noncompliance report［R/OL］，http://www.esa.int/About_Us/Industry/SME_Small_and_Medium_Sized_Enterprises/SME_Training/Payload_Safety_2004.

［10］JSC27472.Requirements for submission of data needed for toxicological assessments of chemicals to be flown on manned spacecraft［S］.1996.9.

［11］JSC Form 1114A-certificate of NSTS/ISS payload safety Compliance［C/OL］.http://www.esa.int/About_Us/Industry/SME_Small_and_Medium_Sized_Enterprises/SME_Training/Payload_Safety_2004.

［12］Hart MJ，Kinsey RJ，Lee AS，et al.International Space Station life extension［C］//Aerospace Conference，2010 IEEE.IEEE，2010:1-15.

［13］范嵬娜.“國際空間站”系統特點分析［J］.航天器工程，2012，21(2):94-100.

［14］滕鑫紫，陳慶華.國外空間站在軌維修策略研究及啟示［J］.航天醫學與醫學工程，2012，25(6):475-478.