金歷群，吳 東，王金華，康紀軍

（上海衛(wèi)星工程研究所，上海200240）

0 引言

為確保衛(wèi)星產(chǎn)品質量，在產(chǎn)品功能、性能已滿足任務要求的前提下，針對型號研制生產(chǎn)進展情況，適時開展衛(wèi)星產(chǎn)品安全性、可靠性專項審查工作，通過對衛(wèi)星、各系統(tǒng)及單機內部安全性、可靠性設計的正確性和合理性進行專項審查，找出問題和薄弱環(huán)節(jié)，及時采取有效措施，是型號研制工作中必不可少的一個步驟。本文將對審查的重點及內容、方法作具體闡述。

1 衛(wèi)星與運載火箭的接口

按照工作順序，星箭分離事件主要包括星箭分離爆炸螺栓起爆、反推火箭點火分離插頭分離以及主配電器送出分離信號。

衛(wèi)星與運載火箭的接口包括電接口和機械接口，安全性審查包括：

1）分離電連接器分離信號的產(chǎn)生與接點分配；

2）“緊急關機”信號的產(chǎn)生與應用及其接點分配；

3）分離插頭分離遙測信號；

4）星箭連接環(huán)；

5）星箭解鎖子系統(tǒng)的設計與安裝；

6）運載方的保證（反推火箭、分離電連接器機械分離所需要的力遠小于反推火箭推力）；

2 星箭分離信號的產(chǎn)生和使用

包括運載與衛(wèi)星分離信號產(chǎn)生的電路原理和衛(wèi)星輸出的各路分離信號的使用。

以某型號衛(wèi)星星箭分離信號使用為例，星箭分離信號經(jīng)電阻隔離后分別輸入到數(shù)管計算機A、B，雙機互不影響。而圖2中電容C7為單個使用，若在主動段短路，則會造成計算機誤認為星箭已經(jīng)分離；若在星箭分離后短路，則基本不會對系統(tǒng)造成影響。雖然所選用的電阻耐壓值高，不易發(fā)生短路，但此處故障對雙機都會造成影響，且可能會使系統(tǒng)進入錯誤的工作模式。因此，該衛(wèi)星在實際設計時取消了對該電容的使用[1]。

圖1 數(shù)管計算機分離信號使用Fig.1 Application of the separative signal in CTU

3 火工品及其控制電路

衛(wèi)星的太陽電池陣和包帶分離解鎖裝置等需使用火工品?；鸸て费b置安全性設計的重點是防電擊、防靜電、防雷電、防射頻、防雜散電流、防火。

火工品及其控制電路可靠性安全性審查的主要內容包括：

星箭分離信號產(chǎn)生與應用的可靠性審查主要

1）火工品工作線路總體設計；

2）火工品控制電路分離信號鎖定；

3）火工品供電電源，分別包括限流電阻使用、正端電源供電和負端電源供電；

4）火工品回路冗余設計；

5）火工品控制指令冗余設計；

6）火工品解鎖遙測電路；

7）火工品地面安全性保護設計（保護插頭等）；

8）故障樹分析（FTA）工作。

以某衛(wèi)星型號火工品控制電路設計為例，該衛(wèi)星火工品電源分為A、B獨立兩組，分別加在不同的繼電器觸點上，一組電源失效不會影響另一組（見圖2）。

圖2 火工品電源連接圖Fig.2 The power-connection diagram of explosive devices

4 地面安全保護設計

地面安全保護設計包括衛(wèi)星本身以及地面設備、地面操作等方面的安全保護設計。就衛(wèi)星本身的安全性保護問題而言，審查主要針對以下幾個方面展開：

1）太陽電池陣壓緊點解鎖安全保護；

2）火工品安全性設計及措施；

3）衛(wèi)星安全插頭設計；

4）地面安全保護工裝的設計與使用。

5 肼系統(tǒng)安全性控制

總體應在衛(wèi)星安全性保證大綱中對推進分系統(tǒng)的安全性設計提出具體要求，明確設計重點是防泄漏、防堵塞、防污染、防腐蝕、防靜電，應在肼管路和零部件的加工焊接裝配、產(chǎn)品清潔度控制、泄漏檢測及推進劑使用等環(huán)節(jié)開展安全性設計工作。

肼系統(tǒng)安全性審查內容包括：

1）設計要求的復查；

2） 設計結果輸出與安全性指標落實情況復查；

3）設計正確性復查；

4）FTA工作復查；

5）靶場加注安全性措施；

6）推進系統(tǒng)地面安全性設計與保護。

6 衛(wèi)星供配電及保護電路設計

衛(wèi)星一般由平臺部分的測控、熱控、姿軌控以及有效載荷分系統(tǒng)共同組成。對衛(wèi)星供配電及保護電路設計可靠性安全性審查的思路以設備供電形式分類展開，對每個系統(tǒng)、每個單機要求畫出其內部電源供電邏輯圖（如圖3所示），對每一處需要安全保護的地方審查其電路可靠性。

圖3 某單機內部電源供電邏輯圖Fig.3 The logic diagram of internal power supply for a single machine

某衛(wèi)星電源分系統(tǒng)采用太陽電池陣與鎘鎳蓄電池聯(lián)合供電方案，二次電源主要采用分散式供電方式。太陽電池陣設計成單翼、可偏置、對日定向跟蹤，分為充電陣和供電陣兩個部分。蓄電池由二組50 Ah鎘鎳蓄電池組構成，每組有36個單體電池。星上儀器設備供電主要形式有：

1）由電源系統(tǒng)分流器控制形成28 V母線后，通過有效載荷艙配電盤、服務艙配電盤、推進系統(tǒng)控制線路盒、測量系統(tǒng)綜合線路盒、執(zhí)行機構綜合線路盒向各單機供電；

2）由電源系統(tǒng)分流器控制形成28 V母線后，通過有效載荷艙配電盤、服務艙配電盤供28 V遙控專用電源；

3）由蓄電池組抽頭處通過微波成像儀火工品控制器向微波成像儀火工品供電，通過總體火工品線路盒向太陽電池陣壓緊機構供電；

4）太陽電池陣供電陣、充電陣發(fā)電通過驅動機構向分流器、充放電調節(jié)器供電；

5）通過有效載荷艙熱控箱和服務艙熱控箱向星體電加熱器和部分單機溫度補償電加熱器供 28 V電源。

7 遙控專用母線電源的安全性設計

衛(wèi)星遙控使用星上母線電源供電，按照型號建造規(guī)范必須進行相應的電路保護設計。為了確保設計的規(guī)范性和保證衛(wèi)星的安全性，審查要求如下：

1）羅列星上所有直接指令和間接指令；

2）針對每一條指令，審查電路保護設計。

8 冗余設計及單點失效排查

冗余設計是提高系統(tǒng)可靠性的簡單而有效的方法。根據(jù)可靠性大綱對冗余設計提出的要求，通過冗余設計盡量減少單點失效項目，凡影響整星成敗的有關部分（電路、單機或分系統(tǒng)）都必須進行冗余設計。

對于星上可能存在的單點失效模式的排查工作，在一定程度上與冗余設計審查相結合。對于簡單的完全獨立的單機冗余設計的情況，則排除了單點失效的故障模式。而對于沒有冗余設計或有交叉或公共電路部分的冗余設計，如果在接口電路和公共電路上沒有實現(xiàn)故障隔離設計，則可能導致系統(tǒng)存在有單點失效的故障模式。因此，排查系統(tǒng)單點失效模式存在情況的總體思路為以各單機作為獨立的功能模塊，需特別審查各單機以下內容的電路可靠性：

1）供電電路

以某型號衛(wèi)星數(shù)管計算機為例：該數(shù)管計算機采用的是雙機冗余設計，包括電源板、CPU板A、CPU板B、OC門接口板、遙測接口板、A/D接口板、遙控注數(shù)接口板。除CPU板為單板單機模式外，其余功能板均為單板雙機模式；雙機分別通過各自獨立的內總線連接（見圖4）。

圖4 數(shù)管計算機供配電示意圖Fig.4 Schematic diagram of power supply and distribution to CTU

一次電源輸入后，分別經(jīng)過繼電器的控制，輸入給A/B機的濾波器，經(jīng)過各自的DC/DC轉換，給各自單機供電。雙機的二次電源電路是相互獨立的，不存在公共電源，也不存在交叉供電。

2）“合二為一”形式的電路

以某型號衛(wèi)星測控系統(tǒng)遙測采樣器與數(shù)管計算機接口為例（見圖 5），來自于測控系統(tǒng)遙測采樣器的模擬信號輸出后分別經(jīng)過20 kΩ電阻隔離輸入數(shù)管計算機A、B，雙機互不影響。

圖5 A/D模擬信號輸入接口示意圖Fig.5 The input interface of analog signal of A/D

3）“一分為二”形式的電路

以某型號太陽電池陣驅動器零位電路為例（見圖6），該驅動器將零位電路送來的信號（零位1或零位2）經(jīng)54HC32或門電路（D1或D2）后，分成兩部分電路，一部分電路經(jīng)模擬開關CD4053（D3或D4）后送驅動器A、B板的CPU模塊，一部分電路經(jīng)運放F747（D8）變換后送姿軌控計算機及遙測。

圖6 “零位電路”輸出接口示意圖Fig.6 The output interfaces of “zero-position circuit”

零位信號1（或零位信號2）到A、B線路CPU模塊的信號采用一分為二的形式。由于使用了模擬開關CD4053DMSR，零位信號到A、B板一分二的信號不會因A路或B路的故障而造成B路或A路信號的失效。

零位信號1（或零位信號2）到姿軌控計算機及遙測的信號也采用一分二的形式。由于姿軌控計算機的輸入電阻為51 kΩ，當244的輸入端出現(xiàn)短路接地的故障時，不會對遙測零位信號的采集產(chǎn)生影響；而當遙測的兩個Hi548同時出現(xiàn)短路接地的故障，即相當于遙測輸出端并聯(lián)了500 Ω的電阻時，由于驅動器遙測輸出電阻為 56 Ω，姿軌控計算機的輸入端為4.15 V，則姿軌控計算機能夠采集到零位信號。

4）切換和公共電路

以某型號衛(wèi)星電源系統(tǒng)充電控制電路為例，該電路由兩路主備份的充電控制電路組成，每路都有工作電源、充電控制、T-V信號控制等（見圖 7）。

其中，主備份充電控制模塊通過3個同步繼電器分別對28 V輸入端、開關管和T-V控制信號進行切換，3個繼電器執(zhí)行同一條指令。

主備份充電控制模塊的公共電路主要是隔離二級管，采取了兩串兩并的可靠性措施。

圖7 充電控制電路示意圖Fig.7 The charge control circuit

5）輸入/輸出接口電路

以某型衛(wèi)星遙控注數(shù)接口電路為例（見圖8），數(shù)管計算機A、B通過電阻隔離，不會互相影響。信號上拉通過二極管隔離，在正常情況下，一方面單機處于冷機時不會對熱機的輸入產(chǎn)生分壓而影響輸入結果，另一方面防止了倒灌。

經(jīng)分析發(fā)現(xiàn)，該電路存在一定的缺陷：若某單機的 1個二極管發(fā)生了短路后該單機又恰好被關閉成為冷機，則一方面會產(chǎn)生倒灌——但由于2個5.1 kΩ電阻的存在，倒灌危害應該不大；另一方面，輸入信號會被分壓，導致信號高電平降低，會造成54 HC芯片無法識別正確信息，將無法正常接收遙控（或遙測）信息。因此，在二極管短路的情況下，必須保證該單機為熱機，才能不影響遙控注數(shù)。

圖8 遙控注數(shù)接口Fig.8 The output interface of injection data remotely controlled

9 機構與結構（含活動部件）質量控制

由于衛(wèi)星姿控分系統(tǒng)與有效載荷分系統(tǒng)活動部件眾多，且各活動部件所屬的單機或分系統(tǒng)均為整星的關鍵組成部分，因此活動部件的可靠性控制是衛(wèi)星可靠性工作中較為突出的問題。

為有效控制正樣活動部件產(chǎn)品的質量與可靠性，需要對活動部件可靠性工作進行相應的審查工作，包括：

1）活動部件潤滑設計審查；

2）活動部件力矩裕度審查，包括設計值、實測值等；

3）活動部件產(chǎn)品質量控制流程編制與實施情況；

4）活動部件關鍵特性、關鍵參數(shù)與關鍵工藝等的分析和控制；

5）活動部件壽命試驗實施及其有效性；

6）活動部件研制過程中問題的分析與解決情況；

7）活動部件正樣產(chǎn)品性能參數(shù)符合性及穩(wěn)定性分析。

10 結束語

衛(wèi)星產(chǎn)品安全性、可靠性審查工作原則上不再涉及產(chǎn)品內部功能電路或組部件的設計，審查的主要內容有：衛(wèi)星與運載火箭的接口、星箭分離信號的產(chǎn)生和使用、火工品及其控制電路、地面安全保護設計、肼系統(tǒng)安全性控制、衛(wèi)星供配電及保護電路設計、遙控專用母線電源的安全性設計、冗余設計及單點失效排查、機構與結構(含活動部件)質量控制等，該項復查工作對于衛(wèi)星研制是十分必要和有效的手段，對于確保衛(wèi)星在軌正常工作具有重要意義。

（References）

[1]吳東, 谷濤, 韋錫峰.衛(wèi)星發(fā)射試驗風險控制[J].航天器環(huán)境工程, 2009, 26(5)