我国空间站安全与任务保证工作若干问题探讨

卿寿松，陈凤熹，李福秋，栾家辉

(中国航天标准化与产品保证研究院，北京100071)

1 引言

我国载人航天工程三期任务是建立长期稳定运行的空间站系统，其在轨运营阶段面临着航天员长期驻留，任务繁重复杂等特点，该阶段的可靠性和安全性内涵、要求和分析评价与研制过程相比有了较大变化［1］，为保证航天员安全和任务成功，需要合理、有效地评价运营阶段空间站安全性可靠性水平，支持工程决策。

本文系统分析了美国国家航空航天局(National Aeronautics and Space Administration，NASA)安全与任务保证工作(Safety and Mission Assurance，SMA)体系与运营模式，梳理出国际空间站(International Space Station，ISS)项目在运营阶段安全性、可靠性、维修性及质量保证(Safety，Reliability， Maintainability， and Quality Assurance，SRM＆QA)工作重点。在此基础上，借鉴国外先进经验，结合我国型号SRM工作特点，围绕管理和技术应用(包括稳定性、寿命与可靠性、航天员安全性、任务成功性与成本可控性)两个方面，对我国空间站运营阶段SMA工作提出了具体的工作建议。

2 NASA的安全与任务保证

NASA的安全与任务保证工作(SMA，包括安全性、可靠性与维修性和质量保证)的战略目标是保证NASA的所有活动的安全，并设法提高NASA项目的成功率。NASA安全手册中规定的安全保证目标及顺序是:①公众的安全;②航天员和驾驶员的安全;③NASA雇员的安全;④NASA贵重设备和财产的安全［2］。本章着重介绍NASA安全与任务保证工作的组织体系及主要工作内容。

2.1 NASA的安全与任务保证组织

NASA为了实现其SMA目标，建立了严密的SRM＆QA组织，维持了一支高水平的、较大规模的SRM＆QA队伍。主要包括NASA的SMA办公室、技术支撑性机构和各类型的顾问委员会等。各组织相互配合，共同完成NASA的SMA相关工作，各组织之间的关系如图1所示［3］。

图1 NASA安全和任务保证组织Fig.1 NASA safety and mission assurance structure

2.1.1 NASA的SMA办公室

在NASA总部设有安全与任务保证办公室(Office of Safety and Mission Assurance，OSMA)，作为统管NASA质量、可靠性、安全性的职能部门。OSMA是NASA总部的职能办公室之一，负责NASA的SMA战略、政策和标准的制订和实施，由一名NASA副局长领导，直接向NASA局长报告工作。在总部各事业办公室也设有负责SMA的专职人员，负责其办公室内的SMA活动，直接向该部门主任和OSMA主任汇报工作。在NASA的10大研究中心亦设有SMA的管理机构，负责该中心及其外协项目的SRM＆QA，其主任向OSMA和各自中心的负责人直接汇报工作［3］。

安全和需求保证部是SMA办公室的一个直属部门。其主要任务是在NASA范围内，制定安全和任务保证方面的有关政策;定义和编制有关的程序、标准、工具、方法和训练文件［3］。

任务支持部是SMA办公室的一个直属部门。其主要任务是:监督各部门贯彻执行SMA的政策与程序的情况;保证安全和任务保证计划的稳定性;保证安全和任务保证实施过程中与NASA政策的一致性，并保证其任务达到要求的安全性和任务成功的目标［3］。

2.1.2 支撑机构

1)NASA安全性中心。NASA安全性中心(NSC)成立于 2006年 10月，该中心通过对SRM＆QA相关技术以及分析工具等方面的改进来支持SMA工作。NSC属于OSMA常设支撑性机构，由技术改进、知识管理、复核与评估、事故调查支持四个职能部门组成。技术改进办公室通过开展结构化的专业培训来支持相关技术(系统安全、操作安全、飞行安全、可靠性与维修性、软件保证及质量工程)改进;知识管理办公室利用网络平台，通过对有效信息的收集、整理、分析、传播与管理工作，实现对SMA相关技术的交流与跟踪;复核与评估办公室主要协调工程及项目的复核与评审。事故调查支持办公室通过调查、灾难事故信息管理、风险评价等工作找到事故发生的根源，避免事故再次发生［4］。

2)NASA独立验证和评价研究室。NASA独立验证和评价(IV＆V)研究室于1993年由OSMA出资成立，属于OSMA常设支撑性机构。现与OSMA共同承担NASA的软件保证和对关键飞行软件的独立验证与确认的管理工作，在软件保证方面可独立行使权力。IV＆V对安全和任务关键软件进行独立验证和确认，并对NASA安全和任务保证活动提供软件专家意见，进行研究以改进独立验证和确认的方法、实践和工具，在科学、技术、工程和数学(STEM)上进行技术突破［5］。

3)NASA工程和安全性中心。NASA工程和安全性中心(NESC)办公室设在朗利研究中心，其构成成员来自各个中心和工业部门。该中心并不直接隶属于OSMA，但在工作上对OSMA起到一定的支撑作用。工程安全性中心办公室的职责是负责组织专家，按照15个技术方向，利用现有资源实施独立的工程技术评审和风险评估［6］。

2.1.3 专家组

1)核安全审查委员会。核安全审查委员会对核动力系统的辐射风险进行独立评估。小组成员或协调人员代表国防部、能源部、美国环境保护机构、美国核管理委员会以及NASA独立于项目之外进行审查。该委员会工作直接服务于OSMA［7］。

2)航天飞行安全委员会。航天飞行安全委员会成立的目的是为了保证航天员安全。该委员会督促及评定与空间飞行乘员安全有关的空间计划的实施，在每次1级水平的飞行准备评审中，为OSMA提供有关安全的独立评审意见。该委员会工作直接服务于 OSMA［8］。

3)IV＆V顾问委员会。IV＆V顾问委员会向安全和任务保证主管提供支持，以对在NASA工程和项目中开展软件IV＆V实施决策。也可就每个工程软件IV＆V支持专项资金数额向安全和任务保证主管提出建议。该委员会工作直接服务于OSMA［5］。

图2 NASA ISS管理架构示意Fig.2 ISS operations architecture

4)航空航天安全委员会。航空航天安全委员会(ASAP)最优先的工作是有关载人航天的安全问题。该委员会承担NASA重大项目的安全性评审、咨询和独立的鉴定。同时对OSMA提交的安全性方面的研究和操作计划进行审查，并向NASA局长提供年度报告、建议和重大问题决策意见。该委员会2000年年度报告指出了航天飞机和国际空间站计划中存在的20个安全问题，并提出了26条建议。该委员会的级别最高，独立于其他组织和机构，直接向NASA局长负责［9］。

2.2 NASA安全与任务保证工作的主要内容

本节从行政管理及项目管理两个方面介绍NASA的安全与任务保证工作内容。

2.2.1 NASA的SMA工作

OSMA根据NASA的战略规划、管理计划、组织宪章来制定SRM＆QA战略规划和方针政策;通过制定一系列的指导性文件、标准、手册，以及对已验证有效的可靠性、维修性技术推广，实现对SMA工作的技术支持;OSMA成立了不同层次的SRM＆QA咨询组，明确各级SMA机构和雇员的职责，实行内部过程认证制度、质量代表制度、故障报告制度、事故调查制度、经验共享制度;制定并执行SMA人员培训计划、独立审核制度、软件独立验证与确认体制;开发、使用并不断完善信息系统和SMA工具;直接组织重大/跨事业办公室或中心的型号/项目的SRM＆QA评审/鉴定，以实现NASA的SRM ＆ QA战略目标［2］。

2.2.2 ISS的SMA工作

ISS使用与运行主要分为3个阶段，分别为组建运行阶段、稳定运行阶段与成熟运行阶段。ISS的安全与任务保证贯穿项目运营全过程。初步研究表明，ISS项目通过长期的摸索、调整，已经实现了一套相当完善的SMA工作体系(图2)。概括地说，其SRM＆QA重点工作主要包括以下几个方面［10］。

1)NASA利用在轨数据，对ISS关键系统、关键单机进行定期的可靠性评估，并根据评估结果，围绕故障和故障预防，采取相应的措施，确保空间站在寿命周期内稳定可靠运行。同时，NASA注重耐久性(寿命)分析与评价工作，制定耐久性参数体系，并在组建阶段监造、评估，确保达到预期要求［11］。

2)ISS开展安全性量化评估工作，以确定和量化ISS现有项目和规划操作中的安全性危险。对进入ISS的载荷有一套相应的要求规范，并实施了严格的安全性认定，以确保上站载荷不会为航天员乘组和空间站带来危险，造成航天员伤亡、空间站毁坏或发生重大事故，在此基础上，再考虑载荷的性能问题［11］。

3)为了确保国际空间站每次任务的成功性，OSMA组织开展了任务风险评估工作，以确定和量化载人任务过程中存在的风险，即任务失败(LOM)的风险［11］。

4)NASA估计，其从1994－2010年，共计投入约480亿美元，来组建和运营ISS。按照其经验，在突破各项关键技术的同时，依据空间站任务特点，在考虑其完成预定任务及相应可靠性的同时，为保证运营及维护成本最低化，对设计和建造过程反馈要求，寻求一个可控性组合。如取消航天飞机项目、开展龙飞船项目并严格控制技术与产品出口［12］。

3 NASA安全与任务保证工作经验启示

1)体系完善，组织有力。NASA为了提高其各项事业、型号、项目的任务成功率，保证其各项活动安全、顺利地进行，逐步建立了一套比较有效的安全与任务保证工作体系，组建并维持了一支高水平的专业队伍，对NASA的各项工作实施有效的监管，使其产品的安全性、可靠性、维修性水平得以稳步地提高。在NASA总部和10大研究中心，均设置有安全与任务保证管理机构。同时，安全与任务保证办公室建立了一套完整的安全与任务保证人员在职培训体系，规定了安全与任务保证工作人员的最低技术水平、管理能力要求［13］。

2)行为规范，信息共享。NASA的各级安全与任务保证机构制订了一系列的安全与任务保证相关法令、政策、规章制度和标准，明确各级安全与任务保证组织的权限，规范每个安全与任务保证人员的行为、职责，规定严格的文档要求和数据格式，每项工作都有准确的记录，具有可追溯性，便于复查或进行安全与任务保证评审/鉴定。NASA还建立了经验信息系统并上网，将在工程实践中获得的经验教训形成规范的文档，进入相应的信息库，实现经验共享，避免重蹈覆辙［13］。

3)安全第一，质量先行。NASA非常强调在其雇员及合同商中提倡安全意识，并通过各种安全方面的活动增强各类人员的安全意识。1998年，负责安全和任务保证的NASA副局长格雷戈里提出了一个安全倡议，指出“安全在NASA具有第一优先权”，并强调不断提高安全意识，把意外事故降低到零。NASA也明确提出:NASA不仅要在技术上世界领先，而且在质量和安全方面世界领先。NASA从总部到各中心按照ISO 9001质量保证模式，通过第三方的认证，进一步完善质量保证体系，并把安全放在质量保证体系的首要位置［13］。

4)过程控制，独立鉴定。NASA强调将安全性、可靠性、维修性和质量保证尽早地整合到NASA的计划和工作过程中，并贯彻于全寿命周期。NASA项目的安全与任务保证鉴定一般结合研制进度的各里程碑，与型号管理委员会一起进行独立的安全性、风险鉴定，以及可靠性评审。评审组由与任务承担单位无任何利益联系的相关专家组成，并在型号安全与任务保证相关工作一开始就可得到型号安全与任务保证经理/主任、系统安全代表、质量保证代表、可靠性代表的及时通报，能全面掌握情况，随时提出建议，评审/鉴定时做到有的放矢、实实在在［13］。

5)依托三方，技术支持。安全与任务保证办公室大力资助学术界、工业界研究新方法、新技术，开发新工具。学术界、工业界的质量、可靠性、安全性研究机构在NASA的安全与任务保证活动中发挥了重要作用，承担着大部分的具体技术支持工作，包括进行咨询、人员培训、新技术及工具研究开发，以及参与或独立承担型号研制、使用过程中的具体安全与任务保证工作项目等［13］。

4 我国空间站SMA相关工作建议

借鉴NASA安全与任务保证的工作目标及职责，我国空间站安全性、可靠性及维修性和质量保证工作建议可从管理及技术应用两个方面开展工作。

在管理方面，对于目前我国载人航天工程来说，SRM＆QA工作均由参与载人航天任务的各型号系统具体完成。对于载人航天工程前期任务来说，这种模式基本上能够满足任务需求［16］。但随着空间站任务的不断深入开展，应考虑从系统工程的角度出发，由空间站工程总体承担安全与任务保证管理职能，从全寿命周期角度系统策划SRM＆QA工作的开展。对载人航天工程进行风险管理与控制，在型号研制的各里程碑节点，对项目实施独立的评审和鉴定;加强空间站的发射、组装、在轨作业的SMA评审工作;对所有具有战略意义任务(投资大或影响大的工程计划)的SRM＆QA过程进行独立的评审与鉴定。

在技术应用方面，应借鉴国际空间站的先进经验，在传统的可靠性工作基础上，应重点突出对航天员安全性及任务成功性的风险分析、在轨寿命、运营维护等问题的研究，系统开展可靠性安全性顶层策划工作，建立空间站系统SRM评估及相关应用技术的规范化体系，并充分利用地面试验和在轨数据，建立和运行分级管理的数据信息系统，使技术工具化、数据信息化、工具统一化。具体技术工作建议如下:

1)注重空间站平台稳定性

空间站组建完成后，应通过实时收集在轨工作数据，监测其工作状态，为任务规划及在轨维护工作提供信息支撑。避免出现由于故障导致任务终断的严重问题，保证平台的持续稳定运行。本部分工作重点关注空间站组成分系统、单机运行过程中各功能参数、性能参数在设计范围内平稳运行，监测、监视各参数变化范围、变化趋势和变化速率，确保空间站稳定运营。为此，应对在轨数据进行分析，建立在轨数据监测、分析及预报系统，通过融合地面试验数据和在轨数据及历史数据信息实现在轨状态的评估，为空间站运行控制策略提供提供技术支撑，确保空间站平台的稳定运行。为此优先开展的工作应包括:

(1)包含三类数据(地面试验数据、在轨数据、历史数据)的信息系统;

(2)三类数据相融合的稳定状态评估;

(3)基于状态评估的稳定控制措施研究与制定等。

2)深化空间站寿命、可靠性及维修性工作

空间站不同于其他航天产品，对寿命及可靠性提出了更高的要求。为此，首先应明确空间站系统的顶层指标体系，围绕指标开展针对性的设计分析工作，按照指标要求设计验证试验方案，开展寿命及可靠性评估工作。在此基础上，进一步分析工程顶层故障模式，制定最优维修策略，提高航天员维修操作的效率。优先开展的工作应包括:

(1)寿命、可靠性及维修性参数体系的建立;

(2)寿命与可靠性试验方案设计;

(3)寿命与可靠性评估工作等;

(4)顶层故障梳理与对策;

(5)维修导则的编制。

3)加强空间站安全性评估

为实现航天员的中长期在轨驻留，保证航天员在轨工作期间与乘组轮换过程的安全性，应对影响航天员安全性的危险事件进行识别，了解和掌握其发生危险的时机和条件，采用量化方式评估风险，并有针对性的采取风险控制措施，将风险降低到可接受范围。为此，应针对飞行任务开展安全性评估工作，针对直接或间接影响航天员、空间站平台及载荷安全的相关产品开展适乘性及载荷安全性认证工作，确保上站产品的安全性。优先开展的工作应包括:

(1)关键任务的安全性评估;

(2)适乘性(Human rating);

(3)载荷安全性认证等。

4)提高任务成功性

为保证空间站各项任务的顺利完成，需要对影响任务成功的关键系统、分系统工作状态进行监测，并实施可靠性安全性评估工作，掌握其工作状态，同时对货运飞船、对接机构、载人飞船及航天员系统的关键任务开展风险的独立评估工作，有效控制影响任务成功的风险，制定故障预案，降低故障对任务影响。针对上述需求，优先开展的工作应包括:

(1)对接机构多次交会对接在轨可靠性评估;

(2)货运飞船的任务风险评估;

(3)上站载荷的可靠性评估;

(4)风险的独立评估等。

5)重视成本可控性

借鉴美国航天飞机项目受经费影响，被迫取消的经验教训，我国空间站系统为更好的发挥功效，应根据运营阶段的任务规划明确成本预算，合理规划维修与保障相关方面工作，以降低空间站运营成本，实现全寿命周期成本管理。为此应开展空间站内备品备件、地面备品备件的规划，技术成熟度及提升，软件、元器件、零部件的成本可控等问题的研究。针对上述问题，优先开展的工作应包括:

(1)任务规划;

(2)备品备件规划;

(3)维修周期设定;

(4)产品成熟度评价与提升;

(5)元器件自主可控等。

5 结论

国际空间站在运营管理过程中注重顶层安全性可靠性工作的策划和管理，严格进行节点监督与控制。我们应当借鉴其先进经验，参照我国民航管理体制，按照制造单位、运营公司、政府管理机构、相关专家组及专业机构的模式对管理职能进行分解细化，增强空间站设计、建造及运营各阶段的管理控制;同时，应充分发挥专家组监督指导及专业机构的技术支撑作用，在工程总体的指导下，尽快开展起安全与任务保证工作的总体策划及核心技术攻关等一系列工作，为确保空间站的长期稳定、安全可靠运营提供全方位的技术支撑。

［1］王永志.实施我国载人空间站工程推动载人航天事业科学发展［J］.载人航天，2011(1):1-4.

［2］NPD 8700.1.NASA.NASA policy for safety and mission success［S］.America:NASA.

［3］Bryan D.O＇Connor.Office of safety and mission assurance functional leadership plan［R］.America:NASA.2011.

［4］Brian Follen.NASA safety center briefing［C］//2009 NASA Occupational Health Meeting.America:NASA.2009.

［5］Judith N.Bruner.Software Independent Verification and Validation［R］.America:NASA.2008.

［6］Ralph R.Roe.NASA engineering＆ safety center management plan revision A［R］.America:NASA.2003.

［7］刘正高.NASA安全与任务保证组织体系［J］.质量与可靠性，1999(1):43-45.

［8］NPC 1152.66C.NASA space flight safety panel［S］.America:NASA.

［9］NPC 1156.14 NASA aerospace safety advisory panel［S］.A-merica:NASA.

［10］NASA.International space station operations architecture study［R］.America:NASA.2000.

［11］NASA.International space station program office.Probabilistic risk assessment of the international space Station phaseⅡ-stage7A configuration［R］.America:NASA.2000.

［12］GAO-99-177.Space station cost to operate after assembly Is uncertain［R］.America:NASA.1999.

［13］NPR8705.6B.Safety and mission assurance(SMA)audits，reviews，and assessments［S］.America:NASA.