胡紹林，　肇　剛，　郭小紅，　傅　娜，　杜　瑩

航天安全與健康管理技術(shù)研究述評

胡紹林1，2，肇剛2，郭小紅2，傅娜2，杜瑩2

（1.西安理工大學(xué)自動化與信息工程學(xué)院，西安710048；2.航天器故障診斷與維修重點(diǎn)實驗室，西安710043）

航天工程是一項涉及多人-多機(jī)-多環(huán)境的超大規(guī)模復(fù)雜系統(tǒng)工程.降低航天風(fēng)險、保障航天安全、充分發(fā)揮航天器在軌效能，是航天技術(shù)發(fā)展亟需研究的重大課題.在簡要梳理影響航天工程安全性5個方面要素的基礎(chǔ)上，分事故調(diào)查與故障處置、狀態(tài)監(jiān)控與健康管理、環(huán)境監(jiān)測與碎片規(guī)避等3大部分，對相關(guān)領(lǐng)域的研究現(xiàn)狀及技術(shù)發(fā)展動態(tài)進(jìn)行了述評，并結(jié)合航天工程實際提出了3個方面亟待解決的問題.分析、述評和研究建議有助于了解安全管理的癥結(jié)、跟蹤技術(shù)研究的前沿和突破工程應(yīng)用的瓶頸.

系統(tǒng)安全；故障診斷；健康管理

隨著航天技術(shù)的發(fā)展，人們?nèi)粘Ｉ钤絹碓诫x不開遠(yuǎn)在太空的各種型號航天器.如開車遠(yuǎn)行離不開衛(wèi)星導(dǎo)航、與大洋彼岸親朋聯(lián)絡(luò)離不開衛(wèi)星通信、收看電視離不開電視轉(zhuǎn)播衛(wèi)星服務(wù)、遠(yuǎn)洋救護(hù)和對敵作戰(zhàn)離不開偵察衛(wèi)星等.但是，自20世紀(jì)50年代，前蘇聯(lián)發(fā)射第一顆人造衛(wèi)星進(jìn)入太空以來，在航天技術(shù)不斷取得一個個劃時代突破的同時，災(zāi)難和事故也如影隨形、接連不斷.2014年10月28日，美國軌道科學(xué)公司研發(fā)的“天鵝座”飛船，從美國弗吉尼亞州瓦勒普斯島點(diǎn)火升空僅6 s就發(fā)生爆炸，攜帶的2 200 kg原計劃給國際空間站6名宇航員提供補(bǔ)給的物資，瞬間化為烏有；2010年8月，美國發(fā)射的“先進(jìn)極高頻”星座首顆衛(wèi)星在變軌時因發(fā)電機(jī)故障，使原設(shè)計90 d完成的變軌需10個月～1年才有可能到達(dá)目標(biāo)軌道，星上有限的能量被大量消耗在變軌過程中，直接影響和縮短了衛(wèi)星有效壽命；2009年，俄羅斯發(fā)射的2顆“白鶴號”衛(wèi)星發(fā)生損壞，影響到國際失事船衛(wèi)星搜救系統(tǒng)COSPAS-SAR SAT組網(wǎng)運(yùn)行；2008年9月，美國的GeoEye-1衛(wèi)星，運(yùn)行1年多時間就出現(xiàn)天線指向系統(tǒng)故障，影響合作業(yè)務(wù)，減少收入折合人民幣3億元；2007年，日本全球情報處理系統(tǒng)雷達(dá)衛(wèi)星，因老化導(dǎo)致星上電源故障不能正常工作，造價高達(dá)3.56億美元的設(shè)計壽命為5年的雷達(dá)衛(wèi)星，不得不提前1年退休；2003 年2月1日晚10時許，美國“哥倫比亞號”航天飛機(jī)飛行16 d之后的返航途中，在得克薩斯州上空約63 km處解體，7名宇航員全部遇難，甚至有美國政治評論家哀嘆“哥倫比亞號墜毀標(biāo)志太空時代走向末路”.

那么，是什么導(dǎo)致航天這類舉世矚目的國際重大工程故障不斷呢？文獻(xiàn)［1］中從系統(tǒng)、過程、技術(shù)和環(huán)境等方面系統(tǒng)地歸納了影響航天工程安全的主要要素：既有來自航天器本體和外在環(huán)境的，也有工程設(shè)計及工程實施環(huán)節(jié)各參與方的；既有技術(shù)和工藝的，也有工況乃至操作過失的；既有硬件與材料的，也有軟件及通信鏈路與數(shù)據(jù)的.根本原因在于系統(tǒng)、過程、技術(shù)、環(huán)境的復(fù)雜性和人-機(jī)-環(huán)境系統(tǒng)工程的相合性.本文以上述論斷為基礎(chǔ)，簡要闡述航天工程安全技術(shù)研究的現(xiàn)狀及動態(tài)，并對未來發(fā)展提出若干思考.

1　相關(guān)研究現(xiàn)狀及發(fā)展動態(tài)

基于上述簡要分析，影響航天器安全可靠運(yùn)行的因素很多，但按其來源及影響過程大致可以分為3大類：事故或故障、狀態(tài)異常變化以及空間環(huán)境變化.圍繞上述3個方面，簡要述評相關(guān)領(lǐng)域的國際研究及其進(jìn)展.

1.1事故調(diào)查與故障處置

航天工程系統(tǒng)的事故與故障是影響航天器安全的主要方面之一.據(jù)資料統(tǒng)計［2］，1995年底之前，美國和前蘇聯(lián)的249次載人航天發(fā)射飛行，出現(xiàn)重大故障166起，1965—1990年，25年間國際衛(wèi)星組織200多顆地球同步軌道通信衛(wèi)星和廣播衛(wèi)星，發(fā)生的嚴(yán)重故障就多達(dá)350余次.近年來，盡管航天器材料、制造、工藝、控制和管理等技術(shù)都有顯著發(fā)展，但國際國內(nèi)航天界依然故障不斷，損失和影響巨大.

能否準(zhǔn)確查明航天器在軌運(yùn)行過程中出現(xiàn)的各種事故或故障，及時發(fā)現(xiàn)航天器運(yùn)行過程中隱藏的危險苗頭或可能發(fā)生的故障，有效地防范后續(xù)類似故障發(fā)生，或正確地對當(dāng)前的故障實施有效處置，對保障航天安全至關(guān)重要.相關(guān)技術(shù)的探索和研究一直受到國際學(xué)術(shù)界和工程界的高度關(guān)注.

在20世紀(jì)40年代或更早，航天器出現(xiàn)之前，人們就為航空器安全運(yùn)行大傷腦筋，并開始探索飛機(jī)運(yùn)行過程安全管理.飛機(jī)出現(xiàn)后的半個世紀(jì)歷程中，由于飛行過程故障和災(zāi)難成為影響航空安全的頭號殺手，各航空大國高度關(guān)注并著力開展事故調(diào)查研究.20世紀(jì)30年代，美、英等國花費(fèi)大量人力和財力加強(qiáng)對重大飛行事故的記錄和調(diào)查，英國于1937年專門成立航空事故調(diào)查組，1944年英國皇家空軍還專門成立飛行安全機(jī)構(gòu)，負(fù)責(zé)軍用飛機(jī)的重大事故調(diào)查，《飛行安全》雜志同年在美國創(chuàng)刊，推進(jìn)了航空安全事故的調(diào)查與分析.二戰(zhàn)后至20世紀(jì)60年代中期的20多年時間里，美、英空軍在不斷完善事后追究式的事故記錄、調(diào)查和分析方法.例如，利用事故調(diào)查和分析得到的信息，探究引發(fā)系統(tǒng)發(fā)生事故的可重復(fù)性或共性起因，研究和建立糾正措施，以期從源頭上防止類似故障再次發(fā)生.這種間接性“事故預(yù)防”式處理思路改變，對后續(xù)事故的預(yù)防帶來的效果有明顯改進(jìn).例如，1955年美國啟動“先驅(qū)者”號地球衛(wèi)星計劃，進(jìn)行的11次試驗中，發(fā)生了8次事故，僅有3次發(fā)射成功，其主要原因恰是沒能很好地吸取之前經(jīng)驗教訓(xùn)，進(jìn)行防范，事故預(yù)防或預(yù)案措施不力，以前出現(xiàn)過的零部件質(zhì)量控制不嚴(yán)、系統(tǒng)關(guān)鍵部件沒有保留設(shè)計余度等共性問題一再發(fā)生.鑒于此，在隨后“大力神”火箭和“雙子星座”飛船計劃實施過程中，吸收“先驅(qū)者”計劃的經(jīng)驗教訓(xùn)，采取更嚴(yán)格的事故預(yù)防措施，嚴(yán)控質(zhì)量關(guān)，并對導(dǎo)航和供電等關(guān)鍵子系統(tǒng)都采用雙余度設(shè)計，一系列故障預(yù)防措施保證了后續(xù)“大力神”火箭在14次飛行試驗中僅發(fā)生2次事故.這種建立在對歷史事故調(diào)查和分析基礎(chǔ)上的事故預(yù)防模式［3］，對探索基于數(shù)據(jù)挖掘和典型故障案例的航天安全技術(shù)有重要的參考借鑒價值.

這一階段形成的事故調(diào)查分析法，被美國NASA和歐空局等繼承并沿用至今，并推廣到航天安全領(lǐng)域.例如，2007年Hubble望遠(yuǎn)鏡故障調(diào)查和2010年歐洲對“阿麗雅娜5號”火箭故障調(diào)查等，都顯示了事故調(diào)查法的重要性和實用性.

但是，對航天器的安全運(yùn)行管理而言，由于航天器部件多、結(jié)構(gòu)復(fù)雜、功能多樣、運(yùn)行環(huán)境千變?nèi)f化、控制操作遙不可及，事故調(diào)查與分析工作無疑要遠(yuǎn)比飛機(jī)故障調(diào)查艱難得多.當(dāng)然，無需諱言，事故調(diào)查法本身固有的弱點(diǎn)，譬如事后分析模式不可能用于事故預(yù)防，調(diào)查分析過程通常持續(xù)時間跨度長，存在時間滯后等局限性也一定程度上影響了其時效.

20世紀(jì)60年代，伴隨著系統(tǒng)論和系統(tǒng)思想的提出和廣泛被接受，系統(tǒng)安全作為一種新的安全管理思路和模式，受到航空航天領(lǐng)域的關(guān)注.20世紀(jì)60年代初期，美國空軍“民兵”洲際導(dǎo)彈的研制首先引入系統(tǒng)安全原理，并頒布“空軍彈道導(dǎo)彈系統(tǒng)安全工程”等軍用規(guī)范；1969年7月，美國國防部制定“系統(tǒng)及其有關(guān)分系統(tǒng)、設(shè)備的系統(tǒng)安全大綱”作為軍用標(biāo)準(zhǔn)MIL-STD-882，明確規(guī)定了系統(tǒng)安全管理、設(shè)計、分析和評價的基本要求；NASA在參照MIL-STD-882標(biāo)準(zhǔn)的基礎(chǔ)上，于1970年頒布面向航天工程的“系統(tǒng)安全”標(biāo)準(zhǔn)NHB.1700.1（V3），并在“阿波羅4號”發(fā)射失敗后全面采用系統(tǒng)安全的思想，對后續(xù)“阿波羅”計劃進(jìn)行了包括故障模式、故障影響及其危害性分析和故障樹分析在內(nèi)的系統(tǒng)安全分析，嚴(yán)格的安全性設(shè)計與評價，定性與定量相結(jié)合的風(fēng)險評估，以及全過程的質(zhì)量管控，收到了好的效果.NASA的“阿波羅”飛船飛行安全程序負(fù)責(zé)人Lederer曾明確指出，系統(tǒng)安全覆蓋了風(fēng)險管理各個方面，遠(yuǎn)遠(yuǎn)超出了設(shè)備硬件及與之關(guān)聯(lián)的系統(tǒng)安全工程過程［3］.伴隨著系統(tǒng)安全標(biāo)準(zhǔn)的全面貫徹和實施，NASA分別于20世紀(jì)70年代末和80年代中期又頒布NHB.5300.4（ID-2）“航天飛機(jī)的安全性、可靠性、維修性和質(zhì)量條例”以及NHB.1700.1 （V7）“系統(tǒng)安全手冊”.另外，歐空局在“使神號”航天飛機(jī)計劃中，吸收美國在系統(tǒng)安全方面的成功經(jīng)驗，也制定專門的安全性設(shè)計分析與管理程序.

縱觀美國和歐空局的做法，可明顯感覺到系統(tǒng)安全的核心是系統(tǒng)的思想和系統(tǒng)工程的方法.采用系統(tǒng)工程技術(shù)，將航天器從設(shè)計、發(fā)射、測控、管理到最后變成空間垃圾的完整過程作為一個不可割裂的航天器生命周期，將保障安全貫徹在航天器全生命周期的各個階段、各個環(huán)節(jié)，在系統(tǒng)的全壽命周期中都必須識別、分析和控制危險與災(zāi)變.這種面向系統(tǒng)生命過程的系統(tǒng)安全工程技術(shù)和方法，對保障航天器在軌安全運(yùn)行無疑是有幫助的.

20世紀(jì)70年代以后，故障檢測、診斷與處理技術(shù)研究成為跨多個學(xué)科的持續(xù)性研究熱點(diǎn)，同時也逐步成為系統(tǒng)安全技術(shù)關(guān)注的核心內(nèi)容之一，既有明確的帶共性的研究目標(biāo)，又有大量兼具基礎(chǔ)性和應(yīng)用性雙重特征的科學(xué)問題，逐步形成較為復(fù)雜的研究體系和多學(xué)科知識融合的研究群.

在故障檢測與診斷（FDD）技術(shù)研究方面，自1971年前后Beard和Britov分別提出基于解析冗余的FDD這一創(chuàng)新思想，突破早期設(shè)備FDD依賴硬件冗余的局限性之后，經(jīng)40多年持續(xù)發(fā)展，現(xiàn)已基本形成的體系：按研究內(nèi)容分，包括故障在線檢測、影響分析、朔源定位、時間推斷、幅度辨識、模式識別和反演推演等；按技術(shù)手段分，包括基于冗余法（物理、解析、信息、知識冗余等）、關(guān)聯(lián)分析法（故障樹推理、Petri網(wǎng)、有向圖、等價關(guān)系、等價空間）、信號處理法（特征分析、殘差分析、檢測濾波／觀測器、統(tǒng)計診斷、模式識別等）和仿真對比法等；按研究領(lǐng)域分，有設(shè)備／裝備、過程和流程FDD等；按時間關(guān)系分，有在線、離線FDD和故障預(yù)測等；按量化程度分，有定量和定性FDD等［4-8］.并且，大量學(xué)者結(jié)合不同應(yīng)用背景，進(jìn)行了卓有成效的開發(fā)應(yīng)用，例如，航天工程領(lǐng)域，美國在飽受“阿波羅”登月工程期間的系列重大事故困擾后，NASA和美國海軍研究室成立機(jī)械故障預(yù)防小組，在衛(wèi)星故障的機(jī)理分析、在軌檢測、診斷、預(yù)測等方面取得大量卓有成效的研究成果；美國HRL實驗室的Pete Tinker等建立衛(wèi)星快速類比推理系統(tǒng)，結(jié)果顯示可達(dá)到80%的準(zhǔn)確度；德國Maieijvic在20世紀(jì)90年代初就開發(fā)了基于模式識別的故障診斷專家系統(tǒng)，用于對液體火箭發(fā)動機(jī)的故障診斷；法國馬特拉空間系統(tǒng)中心Dinh等開發(fā)基于案例推理技術(shù)，建立協(xié)助衛(wèi)星測試期內(nèi)應(yīng)對突發(fā)性事件的故障診斷系統(tǒng)，分析異常事件成因，能夠在異常事件發(fā)生時提取事件特征并與相關(guān)的歷史類似事件檢索匹配，融合案例推理、規(guī)則推理與模型推理等技術(shù)形成一個混合知識系統(tǒng)推理核心，并在異常事件發(fā)生時自動生成基于多推理技術(shù)融合的診斷方案；國內(nèi)在測控過程的安全監(jiān)控、基于系統(tǒng)仿真的FDD［6］和容錯設(shè)計等方面也有卓有成效的研究進(jìn)展.

在故障處理技術(shù)研究方面，典型方法有故障硬處理和軟處理兩大類.其中，硬處理的常規(guī)方法包括故障設(shè)備修復(fù)、備件替換和故障系統(tǒng)組成的重構(gòu)等，例如，設(shè)計航天器自主自組裝可重構(gòu)模塊［8］、采用多Agent優(yōu)化方法等實現(xiàn)多體航天器重構(gòu)［7］、建立適當(dāng)形式的混合控制策略［9］實現(xiàn)將多體航天器從一種形態(tài)改變到另一種形態(tài)，并使系統(tǒng)達(dá)到新的穩(wěn)定狀態(tài)等，都不失為可嘗試的技術(shù)途徑；軟處理的典型方法包括功能重置、功能降級與被動容錯等.無論是硬處理還是軟處理，通常是建立在模塊設(shè)計或一定形式冗余基礎(chǔ)上的，冗余是實施故障處置的基礎(chǔ).面向航天工程的冗余技術(shù)，途徑很多，如物理、結(jié)構(gòu)、時間、數(shù)據(jù)、解析和知識冗余等.適當(dāng)形式的冗余，可以為選用合適方式進(jìn)行故障處理（特別是容錯處理）提供有利條件.

所謂容錯，顧名思義就是要求處理手段能容允系統(tǒng)已經(jīng)發(fā)生或正在發(fā)生故障，至少不會因為系統(tǒng)故障而發(fā)生功能失調(diào)或算法崩潰.具體地，在系統(tǒng)或部件發(fā)生故障的情況下，仍可利用冗余資源將制定的控制策略、處理流程、軟件算法等繼續(xù)完成.容錯處理技術(shù)核心就是防范故障和避免非致命性故障帶來的不利影響.基于冗余的容錯是一種先進(jìn)理念和提高系統(tǒng)可靠性的先進(jìn)技術(shù)，通過合理的系統(tǒng)設(shè)計，使系統(tǒng)在出現(xiàn)某些局部故障時能借助“冗余”實現(xiàn)對故障進(jìn)行有效處置.容錯技術(shù)通常可以分為主動容錯和被動容錯兩大類.主動容錯大多是以故障檢測與診斷為基礎(chǔ)，通過對系統(tǒng)進(jìn)行適當(dāng)形式重構(gòu)，達(dá)到避免或削弱故障影響的目的［10］；被動容錯主要是基于有界影響分析與設(shè)計、魯棒控制、補(bǔ)償技術(shù)和完整性設(shè)計等方法，使被控系統(tǒng)對某些類型故障或某些環(huán)節(jié)故障具備不敏感性、完整性和免疫性［10-11］.

近30年來，冗余與容錯處理的思想在美國和俄羅斯等航天大國得到廣泛應(yīng)用.例如，美國曾大力研制可用于控制航天器飛行的容錯計算方法和容錯機(jī)，對可靠性要求高的系統(tǒng)用雙重、三重、四重甚至五重冗余；前蘇聯(lián)“聯(lián)盟”TM型載人飛船上也曾使用了三重冗余的主電氣系統(tǒng)以及雙重冗余的氣動液壓管路和生命保障系統(tǒng).至于飛行器故障的容錯處理技術(shù)，美國NASA的專題技術(shù)報告［12］介紹了多個成功實例：一是故障檢測和容錯計算技術(shù)在空間試驗室、空間飛船、Hubble望遠(yuǎn)鏡、Galileo衛(wèi)星、Landsat-7衛(wèi)星，以及A320和波音777飛機(jī)等航天、航空工程中應(yīng)用情況；二是容錯計算等技術(shù)在Landsat-7衛(wèi)星試驗中的應(yīng)用情況，容錯系統(tǒng)可進(jìn)行72 h自主安全模式的操作，能滿足衛(wèi)星任何單個部件故障恢復(fù)的處理需求，并具備危險分析能力；三是A320飛機(jī)飛控等多個子系統(tǒng)進(jìn)行了容錯設(shè)計，機(jī)上計算機(jī)系統(tǒng)具備運(yùn)行自檢功能，若各通道之間的差異超出門限值則隔離自檢，并自動地從已檢出問題的計算機(jī)控制對象切換到另一個，顯示了良好的工程價值.

此外，在提高航天器在軌運(yùn)行過程可靠性與安全性方面，“挑戰(zhàn)者”號航天飛機(jī)爆炸后，促使NASA重新考慮原來的可靠性管理方法有效性，加強(qiáng)對衛(wèi)星在軌可靠性管理的研究.1991年，美國國防部頒布標(biāo)準(zhǔn)《綜合診斷MIL-STD-1814》，作為提高新一代衛(wèi)星可靠性和降低使用維修費(fèi)用的重要途徑，標(biāo)志著美國衛(wèi)星可靠性管理研究進(jìn)入了一個新階段.近年來，NASA專家還提出了以可靠性為中心的維護(hù)（RCM）和可靠性／可維護(hù)性／可用性（RMA）方法，以提高衛(wèi)星在軌運(yùn)行可靠性.由于擁有低軌運(yùn)行的航天飛機(jī)并參與了國際空間站工程，NASA據(jù)此提出建立在軌診斷維修基地（ORB）的系統(tǒng)可靠性管理構(gòu)想，該構(gòu)想把航天飛機(jī)和軌道空間站作為維修低軌道故障衛(wèi)星的基地.

1.2狀態(tài)監(jiān)控與健康管理

本節(jié)所謂狀態(tài)是一個相對廣泛的概念，包括航天器在軌運(yùn)行狀態(tài)（如軌道位置、空間姿態(tài)），航天器構(gòu)成部件或子系統(tǒng)的工作狀態(tài)（如是否正常工作、是否功能衰減），航天器運(yùn)行趨勢，以及航天器各系統(tǒng)或結(jié)構(gòu)部件所處壽命階段.評估在軌航天器所處狀態(tài)、分析其運(yùn)行過程的狀態(tài)演化趨勢、預(yù)測其未來時刻狀態(tài)變化、預(yù)估其故障后的剩余壽命、監(jiān)視與診斷其運(yùn)行過程及可能的異常變化，不僅是保障航天器按照預(yù)期目標(biāo)安全可靠運(yùn)行的前提，也是保障航天安全的技術(shù)基礎(chǔ).

狀態(tài)監(jiān)控的核心技術(shù)是異變檢測.異變檢測又稱變化檢測，是檢測和分析系統(tǒng)在其運(yùn)行過程中發(fā)生變化，以及變化的發(fā)生時間、部位、表現(xiàn)形式、作用方式和影響大小等相關(guān)問題的一門新興學(xué)科.異變檢測的理論最早可追朔到20世紀(jì)50年代中期Page等［13-14］的奠基性工作，但作為一門獨(dú)立學(xué)科則應(yīng)歸功于1993年Basseville和Nikiforov在專著《突變檢測——理論與應(yīng)用》中建立的系統(tǒng)性框架和精巧的研究思路［15］.異變檢測技術(shù)應(yīng)用面很廣，諸如設(shè)備運(yùn)行過程的狀態(tài)檢測、計算機(jī)集成制造系統(tǒng)的有條件維護(hù)、生產(chǎn)過程質(zhì)量控制、復(fù)雜系統(tǒng)實時監(jiān)控、核電站安全保障、運(yùn)載火箭安全控制、載人飛船安全管理、導(dǎo)航系統(tǒng)監(jiān)視、氣候與環(huán)境變化監(jiān)測和預(yù)報、地震等災(zāi)變預(yù)警、人體病理檢查、圖像邊界確定和控制系統(tǒng)故障檢測等，都可以在變化檢測的框架下探索和研究.最近10年多來，變化檢測的理論研究和應(yīng)用開發(fā)一直受到國際統(tǒng)計界和控制工程界廣泛重視.國內(nèi)關(guān)于異變檢測的技術(shù)研究，起步于2000年前后系列文獻(xiàn)［16-20］系統(tǒng)地對系統(tǒng)輸出、輸入-輸出和輸入-狀態(tài)-輸出等3種不同情形展開研究，并建立了在線檢測、幅度估計和突變時間辨識等一系列新方法和算法，提出的“安全管道”設(shè)計等方法突破了門限監(jiān)測模式的局限性，初步實現(xiàn)了門限內(nèi)異常變化的在線監(jiān)控.但是，從總體上看，僅處于起步階段，見諸報道的研究成果大多混雜在故障檢測與診斷技術(shù)文獻(xiàn)中；另一方面，故障檢測與診斷領(lǐng)域的大量研究成果中，也有相當(dāng)部分屬于過程與數(shù)據(jù)異變檢測的范疇.

健康管理是近30年基于管理工程發(fā)展起來的研究熱點(diǎn)之一.美、俄等航天大國為保障航天器安全和滿足在軌衛(wèi)星運(yùn)行管理需要，采用系統(tǒng)分析、管理工程、信號處理和風(fēng)險評估等多種不同方法與技術(shù)，圍繞著航天器的運(yùn)行管理問題，對狀態(tài)評估及相關(guān)問題進(jìn)行了系統(tǒng)研究，提出和形成了包括趨勢分析、過程監(jiān)控、壽命預(yù)測、狀態(tài)預(yù)診和健康管理等在內(nèi)的一系列新方法與技術(shù)，人們將上述研究統(tǒng)一在健康管理這一研究框架下，形成了有一定影響度和參與度的研究方向.

廣義的健康管理是一項多功能聚成的綜合分析與評估技術(shù)，包括了趨勢分析、過程監(jiān)控、余壽預(yù)測、影響分析、異變預(yù)警、健康狀態(tài)分析與評估、風(fēng)險分析與綜合管理等作為其重要構(gòu)成部分的綜合性技術(shù)，核心是基于智能系統(tǒng)的預(yù)診，從反應(yīng)性定期維護(hù)轉(zhuǎn)向在準(zhǔn)確時間對準(zhǔn)確部位進(jìn)行主動的準(zhǔn)確維修，借助各種算法（如Gabor變換和FFT變換）和智能模型（如神經(jīng)網(wǎng)絡(luò)和模糊邏輯等），預(yù)測、監(jiān)控和管理飛行器狀態(tài)，實現(xiàn)由事件主宰式事后／定期維修轉(zhuǎn)向基于狀態(tài)與健康狀況維護(hù).

健康管理技術(shù)較早用于直升機(jī)系統(tǒng)，例如，美國海軍有綜合狀態(tài)評估系統(tǒng)、P-8A多任務(wù)海上飛機(jī)有飛機(jī)健康監(jiān)測系統(tǒng)、陸軍有診斷改進(jìn)計劃、NASA 第2代可重復(fù)使用運(yùn)載器有飛行器綜合健康管理系統(tǒng)、航空無線電通信公司飛機(jī)狀態(tài)分析與管理系統(tǒng)近20年來，健康管理技術(shù)被推廣應(yīng)用到航天器安全運(yùn)行管理中，發(fā)揮越來越重要的作用.20世紀(jì)90代中期，NASA在戈達(dá)德航天飛控中心、休斯敦任務(wù)控制中心、馬歇爾航天飛控中心等建立具有衛(wèi)星健康狀態(tài)綜合分析、狀態(tài)評估、壽命預(yù)測、降級運(yùn)行策略分析制定等功能的在軌衛(wèi)星運(yùn)行管理系統(tǒng)；俄羅斯借助自身在健康監(jiān)控技術(shù)方面的先進(jìn)技術(shù)和豐富實踐經(jīng)驗，Katorgin等開發(fā)了大功率液體火箭發(fā)動機(jī)RD-170健康監(jiān)測和壽命評估與預(yù)測系統(tǒng)，Vasilchenko等開發(fā)了“暴風(fēng)雪”號航天飛機(jī)軌道實時自動監(jiān)測、預(yù)測系統(tǒng)，并向航天員提供可視化信息，便于其監(jiān)測和控制航天飛機(jī)運(yùn)行狀況.近10多年，NASA通過在軌衛(wèi)星運(yùn)行管理系統(tǒng)實時對在軌航天器健康狀態(tài)進(jìn)行綜合分析、評估、壽命預(yù)測、故障預(yù)防預(yù)警，并對已喪失部分功能的在軌衛(wèi)星采取合理、有效的測控，有力地保障了在軌航天器的穩(wěn)定、可靠運(yùn)行，充分發(fā)揮在軌航天器應(yīng)用潛能，取得了巨大效益.近年來，美國投大量資金用于研制集成健康管理系統(tǒng)（IVHM），包含機(jī)載健康管理分系統(tǒng)和地面健康管理分系統(tǒng)（IGHM），機(jī)載健康管理分系統(tǒng)負(fù)責(zé)實時監(jiān)視和管理航天飛機(jī)的運(yùn)行狀態(tài)，對異?，F(xiàn)象進(jìn)行本地診斷后，診斷結(jié)果連同其他信息下傳至IGHM，該系統(tǒng)則依據(jù)航天器下行健康信息，進(jìn)行遠(yuǎn)程專家會診，診斷結(jié)果用作航天飛機(jī)機(jī)載診斷系統(tǒng)診斷結(jié)果的補(bǔ)充和校核，連同處理策略被回傳至航天飛機(jī)，整個IVHM系統(tǒng)實際上是一系列使航天器健康管理行為自動化工具和過程的集合.據(jù)資料介紹，IVHM系統(tǒng)的投入應(yīng)用，使航天飛機(jī)飛行風(fēng)險降低了50%，運(yùn)行預(yù)算降低了1／3.

1.3環(huán)境監(jiān)測與碎片規(guī)避

復(fù)雜多變的空間環(huán)境也是影響航天安全的重要因素.本文所謂的環(huán)境不僅包括航天器運(yùn)行過程依存的自然環(huán)境，也包括長期航天工程產(chǎn)生的外在環(huán)境以及航天器本體的內(nèi)部環(huán)境.

文獻(xiàn)［21］中指出，空間環(huán)境對衛(wèi)星等各種航天器安全運(yùn)行帶來的潛在威脅和影響是不可忽視的，根據(jù)統(tǒng)計衛(wèi)星故障的40%與空間環(huán)境有關(guān).例如，對于高軌道航天器，高真空度環(huán)境的壓力差效應(yīng)可能會導(dǎo)致機(jī)載設(shè)備因外壓力的劇變而變形、損壞、泄露，美國第一顆航天飛機(jī)爆炸致7人罹難的事故，就是因泄漏引發(fā)爆炸造成的；對于低軌航天器，低真空范圍的放電效應(yīng)和輻射傳熱效應(yīng)，會直接影響到航天器安全運(yùn)行.另外，太陽輻照、太陽風(fēng)暴、空間碎片也無時不威脅著航天器在軌安全運(yùn)行.例如，2010年4月，國際通信衛(wèi)星組織Intelsat公司“銀河-15”衛(wèi)星故障，就是因4月3日—5日期間太陽風(fēng)暴引起的［22］，類似事故還多次發(fā)生在國內(nèi)外不同衛(wèi)星上，如1998年“銀河-4”衛(wèi)星.至于空間碎片引發(fā)事故和災(zāi)害性事件以及對衛(wèi)星通信系統(tǒng)的破壞性影響，更是司空見慣.對于空間環(huán)境異常變化對航天安全的影響和空間碎片對航天器的威脅，從安全技術(shù)的角度必須區(qū)別對待.

環(huán)境擾動是不可控的，其影響與危害多采用提前預(yù)測和區(qū)別性防范.對太陽及空間環(huán)境變化及其對航天器影響，美、俄、韓等國家多位學(xué)者圍繞太陽活動周期性、地磁活動、輻射帶電子通量模型AE-8和離子通量模型AP-8及改進(jìn)南大西洋異常區(qū)檢驗、大氣密度影響和空間環(huán)境對航天器安全運(yùn)行的影響等，從不同角度進(jìn)行了多項研究［22-23］.并且，為研究和利用空間環(huán)境，多個國際組織在全球各地布設(shè)了廣泛的地面站（如NOAA空間氣象預(yù)報中心和NWRA／SWS）與天基觀察網(wǎng)（如美國行星際、地球同步軌道、中軌、低軌等不同軌道天基空間環(huán)境監(jiān)測系統(tǒng)），監(jiān)視太陽活動、行星際擾動和近地空間環(huán)境擾動.對大量存在于太空中的各種碎片或垃圾，多采用提前預(yù)示和及時規(guī)避等方法，防范其威脅航天器的運(yùn)行安全，國際學(xué)術(shù)技術(shù)界對此有大量研究，通過數(shù)學(xué)模型或數(shù)學(xué)方法描述空間的分布、運(yùn)動和物理特點(diǎn)，建立可用于預(yù)示確定域10年內(nèi)空間碎片分布和碎片數(shù)量的短期碎片環(huán)境狀態(tài)模型和預(yù)示空間碎片10年以上環(huán)境演變數(shù)學(xué)模型，采用屏蔽防護(hù)和規(guī)避機(jī)動等不同的方式規(guī)避其對航天器安全運(yùn)行的威脅.其中，屏蔽防護(hù)法是采用屏蔽方式對微小碎片進(jìn)行防護(hù)；規(guī)避機(jī)動法則是對直徑大于10 cm的大型空間碎片進(jìn)行碰撞規(guī)避.規(guī)避機(jī)動決策方法，主要有Box區(qū)域判定方法和基于碰撞概率法等.Box區(qū)域判定法通過定義航天器周圍警戒區(qū)域和規(guī)避區(qū)域，用以判斷航天器與空間碎片之間的距離是否構(gòu)成碰撞危險，進(jìn)而采取相應(yīng)對策，屬平均方法，偏保守；碰撞概率主要考慮兩目標(biāo)交會時的位置、速度、幾何關(guān)系以及危險目標(biāo)的位置／速度的不確定性以及誤差協(xié)方差矩陣等信息，當(dāng)碰撞概率大于黃色門限時，在機(jī)動動作不會對主要任務(wù)和有效載荷造成沖擊就進(jìn)行機(jī)動規(guī)避.

空間環(huán)境研究是一項長期的研究工作，特別是空間環(huán)境對航天器的安全可靠運(yùn)行方面，需要長期地觀察數(shù)據(jù)的積累.

2　幾點(diǎn)思考

綜合上述分析，無論是圍繞航天過程故障、航天器運(yùn)行狀態(tài)，還是圍繞運(yùn)行環(huán)境，國際學(xué)術(shù)技術(shù)界和工程應(yīng)用領(lǐng)域都對如何降低航天風(fēng)險與保障航天安全這一重大課題進(jìn)行了卓有成效的理論研究與技術(shù)探索.但是，現(xiàn)有研究成果只是向降低航天工程安全風(fēng)險方向邁進(jìn)了一步，并沒有也不能夠從根本上杜絕安全事故或故障的發(fā)生.面向航天工程這樣的大規(guī)模復(fù)雜結(jié)構(gòu)人-機(jī)-環(huán)境系統(tǒng)工程，降低工程風(fēng)險和保障運(yùn)行安全，尚有大量亟待解決的重大科技問題與技術(shù)難題，需要創(chuàng)新觀念、創(chuàng)新方法和創(chuàng)新技術(shù)措施.

（1）技術(shù)研究的觀念亟待創(chuàng)新.航天工程安全性，不能等同于測控設(shè)備的可靠性，也不能簡單地歸結(jié)于航天器構(gòu)成部件的故障檢測與診斷.航天器結(jié)構(gòu)復(fù)雜，以美國2005年7月發(fā)射的“發(fā)現(xiàn)號”航天飛機(jī)為例，該航天飛機(jī)約有250萬個部件、4萬多個傳感器.如果每個部件可靠性為0.999 999 9，即發(fā)生故障的幾率為千萬分之一，則這250萬個部件中至少有1個發(fā)生故障的概率高達(dá)22.1%；如果每個傳感器可靠性為0.999 99，即故障的幾率為十萬分之一，則這4萬多個傳感器至少有1個發(fā)生故障的概率高達(dá)33%.如果再考慮到發(fā)射系統(tǒng)、測控系統(tǒng)和氣象保障等輔助系統(tǒng)，規(guī)模會更加龐大.對規(guī)模如此龐大、部件數(shù)量多且結(jié)構(gòu)耦合的復(fù)雜工程系統(tǒng)，航天安全的技術(shù)研究既必須關(guān)注關(guān)鍵部件故障與否，又不能停留在部件級上，更不能不分主次平均用力于診斷每個部件的故障，或者不切實際試圖期待從航天器到地面測控龐大系統(tǒng)中每個部件都絕對無故障運(yùn)行，而是將系統(tǒng)工程的理論引入到航天系統(tǒng)的安全性研究，開展面向系統(tǒng)安全性和安全技術(shù)的研究.

（2）技術(shù)研究的方法途徑亟待創(chuàng)新.由于航天系統(tǒng)是一個超大規(guī)模的復(fù)雜結(jié)構(gòu)動態(tài)系統(tǒng)，不僅有一般復(fù)雜系統(tǒng)常見的自主性、發(fā)展性、分散性和不確定、不確知等典型特性，還具有許多其他復(fù)雜系統(tǒng)不常見的特性［1］，諸如不可重復(fù)性、不可逆性、過程特性、主體系統(tǒng)與環(huán)境之間的強(qiáng)關(guān)聯(lián)性等.這些特殊性決定了航天工程故障不僅具有一般復(fù)雜系統(tǒng)故障的層次性、傳播性、相關(guān)性、放射性和延時性等常見特征，更有體現(xiàn)航天工程特色的繼發(fā)性（航天器生命周期內(nèi)故障會多次發(fā)生）、并發(fā)性（不同子系統(tǒng)／部件同時故障或連鎖故障）、模式多樣性、危害性、小樣本性和處置過程的巨大風(fēng)險性等特點(diǎn).此外，從航天工程過程安全分析的角度，還有測控和真實運(yùn)行過程難以精確量化建模、解析模型與實際狀態(tài)間多存在難以忽略的差異、故障與航天器運(yùn)行狀態(tài)緊耦合、異變現(xiàn)象和系統(tǒng)部件故障間“多對多”網(wǎng)狀關(guān)聯(lián)等工程特性.上述復(fù)雜特征和過程特性在多個方面制約了包括故障樹分析、解析冗余、正向／逆向推理在內(nèi)的多種常規(guī)診斷在航天故障診斷過程中應(yīng)用，有必要在吸收經(jīng)典方法的合理內(nèi)核基礎(chǔ)上，創(chuàng)新技術(shù)路線，借鑒基于容錯處理的“安全管道”監(jiān)視［22］、“抑制歷史故障影響”的繼發(fā)故障檢測［24］、數(shù)據(jù)驅(qū)動自適應(yīng)仿真的故障診斷和關(guān)聯(lián)矩陣布爾運(yùn)算的故障定位［25］等各類創(chuàng)新方法的技術(shù)思路，將航天器運(yùn)行過程故障預(yù)測、監(jiān)控、診斷以及余壽預(yù)測和健康狀態(tài)評估等安全管理核心方法與算法，從遙測數(shù)據(jù)等表象推進(jìn)到航天器本體.

（3）技術(shù)研究的集成度亟待創(chuàng)新，建立集“危險分析、故障預(yù)警、故障檢測、故障診斷和故障處理”于一體的綜合性處理方法.航天工程系統(tǒng)的安全技術(shù)研究，必須面向航天測控工程的實際，系統(tǒng)分析影響航天測控工程安全性的主要因素，建立能夠定性與定量描述不同危險因素對航天安全的影響關(guān)系模型與風(fēng)險評估模型，面向航天器全生命周期，研究整個工程系統(tǒng)（特別是測控系統(tǒng)和航天器分系統(tǒng)級以上）的風(fēng)險分析與健康評估技術(shù)、建立全壽命周期健康管理模型和整星（或功能系統(tǒng)）狀態(tài)異變后的余壽預(yù)測模型、實現(xiàn)面向安全分析的多源異構(gòu)的數(shù)據(jù)-信息-知識融合和不同類型故障診斷方法的集成，構(gòu)建航天工程全過程的在線監(jiān)控、趨勢分析、異變預(yù)警、故障診斷、輔助決策與容錯處理全流程無縫銜接的安全保障機(jī)制和技術(shù)實現(xiàn)平臺.

總之，航天工程全壽命周期安全管理是一項復(fù)雜系統(tǒng)工程，涉及多學(xué)科知識融合，應(yīng)用基礎(chǔ)研究必須與工程實際緊密結(jié)合.目前大部分研究工作還處在研究的初步階段，局限在比較單一的方向，必須理清思路、圍繞有限目標(biāo)、堅持應(yīng)用與創(chuàng)新并重、方法創(chuàng)新與集成創(chuàng)新相結(jié)合，集智攻關(guān)，建立符合航天測控與運(yùn)行管理工程實際的安全管理技術(shù).

［1］胡紹林，黃劉生.航天故障的成因分析與診斷技術(shù)［J］.控制工程，2003，10（4）：295-298，259.

［2］胡紹林，陳如山，黃劉生.航天器故障檢測診斷與容錯處理技術(shù)研究［J］.系統(tǒng)工程與電子技術(shù)，2006，28（9）：1360-1364.

［3］Leveson N，Cutcher-Gershenfeld J，Barrett B，et al. Effectively addressing NASA’s organizational and safety culture：insights from systems safety and engineering systems［C］／／Engineering Systems Division Symposium.Cambridge，MA：MIT，2004：1-21.

［4］Iserman R.Process fault detection based on modelling and estimation methods：a survey［J］.Automatica，1984，20（4）：387-404.

［5］Verhaegen M，Stoyan K，Redouane H，et al.Fault tolerant flight control-a survey［J］.Lecture Notes in Control and Information Sciences，2010，399：47-89.

［6］Frank P M.Fault diagnosis in dynamic systems using analytical and knowledge-based redundancy-a survey and some new results［J］.Automatic，1990，26（3）：459-474.

［7］胡紹林，孫國基.基于系統(tǒng)仿真的故障檢測與辨識技術(shù)研究［J］.系統(tǒng)工程理論與實現(xiàn)，2000，20（6）：8-14.

［8］Dong S，Allen K，Bauer P，et al.Self-assembling wireless autonomously reconfigurable module design concept［J］.Acta Astronautica，2008，62（2）：246-256.

［9］Yang Guang，Yang Qingsong，Kapila V，et al.Fuel optimal manoeuvres for multiple spacecraft formation reconfiguration using multi-agent optimization［J］.Int J Robust Nonlinear Control，2002，12（2-3）：243-283.

［10］Stengle F.Intelligent failure-tolerant control［J］. IEEE Control System Mag，1991，6：63-69.

［11］Rauch H.Intelligent fault diagnosis and control reconfiguration［J］.IEEE Control System Mag，1994，14（3）：6-12.

［12］Page E S.Control charts with warning lines［J］. Biometrika，1955，42（2）：241-257.

［13］Page E S.Estimating the point of changes in a continuous process［J］.Biometrika，1957，49（2）：242-252.

［14］Basseville M.Detecting changes in signal and systems：a survey［J］.Automatica，1988，24（3）：309-326.

［15］胡紹林，孫國基，賴菲.過程變化檢測機(jī)理及其應(yīng)用［J］.華北工學(xué)院學(xué)報，1998，19（4）：312-320.

［16］胡紹林，孫國基.傳感器突發(fā)性故障的檢測與辨識［J］.信息與控制，1999，27（7）：613-619.

［17］胡紹林，孫國基.多維平穩(wěn)過程的容錯辨識與突變檢測［J］.飛行器測控學(xué)報，1999，18（4）：38-50.

［18］胡紹林，孫國基.非平穩(wěn)過程突發(fā)性故障的在線檢測與辨識［J］.自動化學(xué)報，2001，27（1）：120-124.

［19］胡紹林，黃劉生，孫國基.ARX過程突發(fā)性故障檢測與辨識［J］.信息與控制，2002，21（3）：219-222，226.

［20］胡紹林，孫國基.過程監(jiān)控與容錯處理的現(xiàn)狀及展望［J］.測控技術(shù)，1999，18（12）：1-5.

［21］Kacprzynski G J，Gumina M，Roemer M J，et al.A prognostic modeling approach for predicting recurring maintenance for shipboard propulsion systems［C］／／USA：Proc of ASME Turbo Expo，2001.

［22］Patera R P.General method for calculating satellite collision probability［J］.Journal of Guidance，Control and Dynamics，2001，24（4）：716-722.

［23］Rangarajan G K，Barreto L M.Use of Kp index of geomagnetic activity in the forecast of solar activity ［J］.Earth Planets Space，1999，51（5）：363-372.

［24］胡紹林，孫國基.過程監(jiān)控技術(shù)及應(yīng)用［M］.北京：國防工業(yè)出版社，2001.

［25］Hu Shaolin，Li Ye，Meinke K.The fault location method research of three-layer network system［J］. International Journal of Advanced Research in Artificial Intelligence，2012，1（6）：26-29.

（編輯呂丹）

Review on Spaceflight Safety and Health Management

HU Shaolin1，2，ZHAOGang2，GUO Xiaohong2，F(xiàn)U Na 2，DU Ying2
（1.School of Automation and Information Engineering，Xi’an University of Technology，Xi’an 710048，China；2.Key Laboratory of Fault Diagnosis and Maintance of In-orbit Spacecraft，Xi’an 710043，China）

The aerospace engineering is a super-large scale complicated ergonomics with man-machineenviroment coupling correlation.In order to minimize the engineering hazards and to make sure the safety of the spaceflight and to bring all spacecraft’s functions into play，it is very necessary to explore and develop spaceflight safety techniques.Based on the sorting of the five kinds of essential factors influencing the the safety of spaceflight engineering，research status and developments of spaceflight safety techniques in relevant fields were reviewed from three different aspects，namely，hazards survey and faults treatment，states monitoring and health management，enviroment prediction and debris elusion，etc.Finally，combined with the status and situation of the aerospace engineering，three problems that need urgent resolution were put forward.It was hoped that the analysis，review and research suggestion could be helpful in understanding the sticking points of spaceflight safety and keeping track of the frontiers of safety techniques and breaking through the bottle-neck obstacles whick befell at the application process of safety techniques.

system safety；fault diagnosis；health management

TP 391

A

1671-7333（2015）03-0286-07

10.3969／j.issn.1671-7333.2015.03.015

2014-12-13

國家自然科學(xué)基金資助項目（61473222）

胡紹林（1964-），男，研究員，博士，主要研究方向為故障與容錯.E-mail：hfkth＠126.com