譚維熾張伍

（1 中國空間技術(shù)研究院，北京 100094）（2 北京空間飛行器總體設(shè)計(jì)部，北京 100094）

1 引言

可靠性是航天器的生命線，提高可靠性要依靠設(shè)計(jì)、制造和管理，源頭是設(shè)計(jì)。關(guān)于機(jī)械、電子等設(shè)備級(jí)的可靠性設(shè)計(jì)知識(shí)和方法，已經(jīng)為廣大航天工程師所熟悉，并且形成了許多相關(guān)的標(biāo)準(zhǔn)規(guī)范。但在航天器系統(tǒng)級(jí)（總體）設(shè)計(jì)中有哪些可靠性準(zhǔn)則是必須遵循的？對(duì)此，無論在教科書或文獻(xiàn)中系統(tǒng)的闡述都不多，使系統(tǒng)設(shè)計(jì)師們不能系統(tǒng)地去思考和核查，容易漏下設(shè)計(jì)隱患，這對(duì)于提高航天器總體設(shè)計(jì)水平無疑是不利的。

本文根據(jù)作者親歷的和搜集到的國內(nèi)外航天器故障案例［1-3］，在分析案例的基礎(chǔ)上提煉出若干航天器系統(tǒng)設(shè)計(jì)的可靠性準(zhǔn)則，其內(nèi)容主要針對(duì)系統(tǒng)級(jí)，而不是設(shè)備級(jí)（雖然有的準(zhǔn)則也可應(yīng)用于設(shè)備級(jí)）；主要講的是設(shè)計(jì)，而不是管理（雖然不少故障既有設(shè)計(jì)原因，也有管理原因）；不奢求全面，只希望能夠?qū)嵱?。為了說明這些準(zhǔn)則，各列舉一個(gè)或幾個(gè)典型案例，有故障案例，也有成功案例。對(duì)案例所涉及的機(jī)理僅是點(diǎn)到為止，未做詳細(xì)論證，希望讀者不要拘于案例本身，重在理解準(zhǔn)則的含意。

2 設(shè)計(jì)準(zhǔn)則

本文所述航天器系統(tǒng)級(jí)是指整星級(jí)（器／船級(jí)），它由分系統(tǒng)和單機(jī)組成，但立足系統(tǒng)工程全局，自身又是工程大系統(tǒng)的一個(gè)組成部分。在航天器系統(tǒng)內(nèi)存在分系統(tǒng)接口、分艙接口等，在航天器系統(tǒng)外存在與工程大系統(tǒng)各組成（如運(yùn)載、地面測(cè)控、空間中繼、應(yīng)用系統(tǒng)等）之間的接口，并且在工作壽命期內(nèi)各任務(wù)剖面中，航天器系統(tǒng)與外界環(huán)境相互作用。

以下準(zhǔn)則是我們認(rèn)為在航天器總體設(shè)計(jì)中為了確保系統(tǒng)可靠性應(yīng)當(dāng)遵循的規(guī)則，也是衡量航天器總體設(shè)計(jì)可靠性水平的尺度之一。

2.1 系統(tǒng)整體可靠性準(zhǔn)則［4］

做系統(tǒng)整體可靠性優(yōu)化，不片面追求個(gè)別環(huán)節(jié)的高可靠。在滿足任務(wù)需求的前提下，力求系統(tǒng)簡單可靠，不片面追求先進(jìn)性。除了合理分配各分系統(tǒng)可靠性指標(biāo)，以滿足全系統(tǒng)可靠性指標(biāo)外，系統(tǒng)設(shè)計(jì)師要不斷地在全系統(tǒng)范圍內(nèi)對(duì)可靠性問題權(quán)衡排序，重點(diǎn)關(guān)注系統(tǒng)的可靠性薄弱環(huán)節(jié)、系統(tǒng)級(jí)存在的“幾不管”環(huán)節(jié)，以及沒有規(guī)定可靠性設(shè)計(jì)指標(biāo)的環(huán)節(jié)。

例如，國內(nèi)外多次發(fā)生由于一次電源母線被短路而導(dǎo)致整星失敗的案例，引發(fā)短路的原因既不是電源分系統(tǒng)故障，也不是用電設(shè)備故障，而是很難提出可靠性指標(biāo)要求的輸配電環(huán)節(jié)。

例如，光學(xué)遙感衛(wèi)星的光學(xué)鏡頭被運(yùn)載火箭末級(jí)排放剩余燃料所污染，從而使飛行任務(wù)完全失敗。

以上故障及影響都需要系統(tǒng)設(shè)計(jì)師去設(shè)想、分析和采取規(guī)避措施。

系統(tǒng)設(shè)計(jì)師在決策系統(tǒng)配置時(shí)，并不一定讓每個(gè)環(huán)節(jié)都采用多冗余或交叉冗余方案。要根據(jù)可靠性預(yù)計(jì)，有意識(shí)地加強(qiáng)可靠性較薄弱的復(fù)雜環(huán)節(jié)冗余設(shè)計(jì)，而對(duì)一些簡單環(huán)節(jié)有時(shí)通過選用高可靠元件來保證可靠性，不采用冗余方案反而是優(yōu)化的。

2.2 成熟技術(shù)與產(chǎn)品的采用和再分析準(zhǔn)則［4］

在航天器上應(yīng)當(dāng)盡量采用成熟技術(shù)與可預(yù)測(cè)高可靠的產(chǎn)品，同時(shí)在繼承他人經(jīng)驗(yàn)時(shí)要關(guān)注其在本任務(wù)應(yīng)用的特殊性；在選用新技術(shù)、新產(chǎn)品時(shí)要同時(shí)考慮有利于提高系統(tǒng)可靠性。

例如，歐洲航天局在設(shè)計(jì)第一個(gè)金星探測(cè)器——“金星快車”（Venus Express）時(shí)，直接繼承了“火星快車”（Mars Express）和“羅塞塔”（Rosetta）探測(cè)器的結(jié)構(gòu)和相當(dāng)多的儀器。繼承成熟技術(shù)和產(chǎn)品的研制思路，大大加快了項(xiàng)目的研制進(jìn)程，該項(xiàng)目從提出最初構(gòu)想到探測(cè)器準(zhǔn)備發(fā)射僅用了4年，“金星快車”于2005年成功發(fā)射，其探測(cè)成果增補(bǔ)了人類對(duì)金星認(rèn)識(shí)的空白。

例如，某細(xì)長體的衛(wèi)星設(shè)計(jì)，未認(rèn)真分析其在自身任務(wù)上的特殊性，照搬了另一衛(wèi)星的設(shè)計(jì)，在安全模式中讓不穩(wěn)定軸指向太陽，但是卻沒有配置三軸陀螺和噴氣控制，當(dāng)受擾動(dòng)后無法阻止平旋，結(jié)果不能定向太陽，星上電源很快耗完，導(dǎo)致任務(wù)失敗。

例如，歐洲阿里安-5 運(yùn)載火箭首發(fā)失敗的原因，就是由于照搬了阿里安-4 的軟件，而其中一個(gè)多余的校正飛行速度模塊未被清除，該模塊設(shè)計(jì)恰好不能適應(yīng)阿里安-5的速度情況，在實(shí)際飛行中錯(cuò)誤的計(jì)算破壞了正?？刂啤＿@是一個(gè)很典型的案例。

例如，某遙感衛(wèi)星引進(jìn)了國外先進(jìn)和成熟的遙感相機(jī)，但裝星后發(fā)現(xiàn)其成像精度遠(yuǎn)不能達(dá)到原設(shè)計(jì)指標(biāo)，追究原因是由于本次任務(wù)星上實(shí)際的熱環(huán)境與產(chǎn)品可適應(yīng)的熱環(huán)境差異較大，在引進(jìn)過程中對(duì)此認(rèn)識(shí)不充分，后來，只有大幅修改有關(guān)的熱設(shè)計(jì)才可滿足指標(biāo)要求，為此推遲研制進(jìn)度1年。

2.3 逆向設(shè)計(jì)準(zhǔn)則

在航天工程中，相對(duì)于航天器功能、性能的正向設(shè)計(jì)而言，逆向設(shè)計(jì)是航天器可靠性設(shè)計(jì)最核心的理念。針對(duì)可能出現(xiàn)的各種故障、錯(cuò)誤或誤差，重要的硬軟件、控制指令與數(shù)據(jù)均要容錯(cuò)容差。對(duì)每一項(xiàng)新的改進(jìn)設(shè)計(jì)，一定要從正面效果與負(fù)面影響兩方面仔細(xì)論證，防止?jié)摬卦O(shè)計(jì)缺陷。故障模式與影響分析（FMEA）是做好逆向設(shè)計(jì)的一種有效科學(xué)方法。

例如，雖然衛(wèi)星遙控接收設(shè)備一般都是雙熱冗余的，常被視作高可靠分系統(tǒng)或設(shè)備，但其眾多的指令輸出電路，長期以來一直是采用單管集電極開路（OC）形式，這是一個(gè)系統(tǒng)的單點(diǎn)故障部位，對(duì)系統(tǒng)安全威脅極大。后來總體經(jīng)FMEA，抓住遙控分系統(tǒng)的這個(gè)老大難問題不放，最終把雙機(jī)輸出合成電路更改為串并聯(lián)冗余形式，徹底消除了發(fā)生單點(diǎn)失效的潛在缺陷。

例如，某衛(wèi)星因?yàn)榻邮樟艘粋€(gè)由地面站注入的錯(cuò)誤軌道數(shù)據(jù)，衛(wèi)星姿態(tài)進(jìn)入翻滾狀態(tài)，險(xiǎn)遭整星失敗。如果星上在使用此數(shù)據(jù)前，能做一次物理合理性判斷，這種危險(xiǎn)就會(huì)被拒之門外。在天-地系統(tǒng)中，星地操作接口可視為人機(jī)界面，包括了人參與操作的眾多環(huán)節(jié)，國內(nèi)外多次發(fā)生地面注入數(shù)據(jù)錯(cuò)誤，導(dǎo)致航天器進(jìn)入異常狀態(tài)的事件。以往在衛(wèi)星系統(tǒng)與地面測(cè)控系統(tǒng)接口設(shè)計(jì)方面，存在忽視或缺少可靠性設(shè)計(jì)的情況，系統(tǒng)設(shè)計(jì)師應(yīng)重視此部分的容錯(cuò)設(shè)計(jì)，天地雙方設(shè)計(jì)上均應(yīng)適當(dāng)采取注入數(shù)據(jù)糾檢錯(cuò)、閾值合理性、物理合理性、組合邏輯合理性等判斷手段。

例如，早期的光學(xué)攝影遙感衛(wèi)星，為了保證回收艙與留軌艙安全分離，設(shè)計(jì)了應(yīng)急把膠片卷入回收艙的控制模式和把膠片切斷的方案，這是十分必要的。但是，有一次發(fā)生了誤動(dòng)作，在不該回收時(shí)就使攝影提前中斷。必須通過逆向論證認(rèn)識(shí)到這種危險(xiǎn)，切實(shí)加強(qiáng)應(yīng)急卷片、切片動(dòng)作的可靠性。

例如，某顆自旋穩(wěn)定衛(wèi)星為了入軌后達(dá)到和保持一定的自旋速率，設(shè)計(jì)了加旋噴氣指令控制，但沒有考慮到減旋控制和限制最大轉(zhuǎn)速的可能，結(jié)果恰恰在軌發(fā)生了加旋多次誤動(dòng)作的事件而束手無策，最終由于轉(zhuǎn)速太高導(dǎo)致衛(wèi)星解體。

作為系統(tǒng)設(shè)計(jì)師，要通過系統(tǒng)級(jí)FMEA 去關(guān)注影響系統(tǒng)任務(wù)的分系統(tǒng)和設(shè)備的FMEA。航天器系統(tǒng)的故障模式有成千上萬種，必須按照它們對(duì)系統(tǒng)危害度以及發(fā)生概率的大小排序，抓住主要矛盾。作者推薦先做故障樹分析（FTA），從系統(tǒng)任務(wù)成敗的頂事件出發(fā)，找到關(guān)鍵原因的模塊底事件，然后重點(diǎn)再做這些底事件的FMEA。

例如，從系統(tǒng)有效載荷產(chǎn)生非正常動(dòng)作的故障事件，分解原因之一是遙控系統(tǒng)產(chǎn)生誤／虛指令，再查遙控系統(tǒng)的FTA-FMEA，誤／虛指令原因之一是現(xiàn)場(chǎng)可編程門陣列（FPGA）上單元故障導(dǎo)致指令誤譯碼，這是靠雙機(jī)冗余不能抑制的單點(diǎn)故障，所以是遙控系統(tǒng)FMEA 的重點(diǎn)事件，也是航天器系統(tǒng)級(jí)的重點(diǎn)事件，最終落實(shí)在必須改進(jìn)設(shè)計(jì)譯碼邏輯為容錯(cuò)譯碼。

2.4 余量和裕度準(zhǔn)則

系統(tǒng)級(jí)設(shè)計(jì)應(yīng)考慮必要的余量或裕度，保證系統(tǒng)對(duì)環(huán)境變化、制造工藝不穩(wěn)定、壽命末期材料或部件性能變化等情況具有一定的適應(yīng)性。在推進(jìn)劑、供電能力、熱控能力、測(cè)控能力、信息傳輸與處理能力等方面留有設(shè)計(jì)余量，可有效提高系統(tǒng)在故障情況下的生存能力和按要求完成使命的能力。

例如，某平臺(tái)系列衛(wèi)星應(yīng)答機(jī)在軌工作壽命末期，當(dāng)工作溫度在正常范圍偏低端時(shí)，出現(xiàn)下行信號(hào)微弱，地面無法跟蹤的現(xiàn)象。在軌采取措施讓附近設(shè)備持續(xù)工作，以輻射方式對(duì)該應(yīng)答機(jī)進(jìn)行加熱升溫，保持了該應(yīng)答機(jī)工作的正常。

例如，我國在首次月球環(huán)繞探測(cè)器嫦娥一號(hào)衛(wèi)星設(shè)計(jì)過程中，考慮了發(fā)射窗口可能延遲、設(shè)計(jì)模型描述與實(shí)際引力場(chǎng)存在差異等因素，衛(wèi)星攜帶了具有一定余量的推進(jìn)劑。在完成全部設(shè)計(jì)使命后，利用剩余燃料開展了大量在軌試驗(yàn)，為后續(xù)嫦娥二號(hào)任務(wù)預(yù)先進(jìn)行了軌道、測(cè)控和熱控等技術(shù)摸底試驗(yàn)，并最終實(shí)現(xiàn)受控落月。

2.5 安全導(dǎo)向準(zhǔn)則［5］

對(duì)系統(tǒng)可能發(fā)生的各種危及整體安全的突發(fā)故障模式，應(yīng)當(dāng)設(shè)計(jì)安全導(dǎo)向措施，尤其要保證電源和推進(jìn)劑的安全。安全模式應(yīng)從系統(tǒng)角度綜合設(shè)計(jì)，既要在短時(shí)間內(nèi)實(shí)現(xiàn)安全導(dǎo)向，又要保證一定時(shí)間內(nèi)系統(tǒng)運(yùn)行穩(wěn)定可靠，這可由與正常模式相對(duì)獨(dú)立的、盡可能少的硬件與軟件來實(shí)現(xiàn)。星上自主故障診斷機(jī)制應(yīng)主要符合安全導(dǎo)向原則，包括及時(shí)謹(jǐn)慎地中斷服務(wù)進(jìn)入安全模式，暫時(shí)關(guān)閉或從系統(tǒng)中切除故障可疑設(shè)備，轉(zhuǎn)入系統(tǒng)最小能耗狀態(tài)、全向可測(cè)控狀態(tài)等。

例如，某衛(wèi)星在發(fā)生故障后，以姿態(tài)翻滾的狀態(tài)飛出地面測(cè)控站可視范圍，幸虧星上設(shè)計(jì)有對(duì)姿控發(fā)動(dòng)機(jī)噴氣限制的措施，在短時(shí)間內(nèi)連續(xù)噴氣超限后即把燃料上游閥門關(guān)閉，從而防止了推進(jìn)劑的耗盡，同時(shí)關(guān)閉了大功耗的有效載荷設(shè)備，利用電池中儲(chǔ)存的電能，將衛(wèi)星維持到重返測(cè)控站的可控范圍，致使挽救衛(wèi)星成為可能。

2.6 空間環(huán)境影響因素逐個(gè)排查的準(zhǔn)則［5-6］

系統(tǒng)必須能承受全部環(huán)境因素的合理變化，要對(duì)系統(tǒng)的各環(huán)節(jié)逐一進(jìn)行環(huán)境因素影響分析。就嚴(yán)酷環(huán)境的適應(yīng)問題應(yīng)采取系統(tǒng)綜合設(shè)計(jì)；除了重視在發(fā)射前必須普遍經(jīng)過的試驗(yàn)驗(yàn)證（如真空熱試驗(yàn)、力學(xué)環(huán)境試驗(yàn)等），系統(tǒng)設(shè)計(jì)師還要關(guān)注那些個(gè)性特異的、一般地面試驗(yàn)難以檢驗(yàn)的環(huán)境影響，并預(yù)測(cè)其超常變化的可能影響。

例如，某航天器的可展開收攏太陽翼兼作防塵和熱門使用，在塵埃較多的任務(wù)階段，太陽翼收攏形成封閉空間，為其內(nèi)部的光學(xué)設(shè)備防塵；在光照期間太陽翼展開為航天器供電，夜晚來臨時(shí)太陽翼收攏減少航天器的熱量散失，通過綜合設(shè)計(jì)，以較少的資源解決了嚴(yán)酷環(huán)境的適應(yīng)問題，降低了分系統(tǒng)的研制難度。

例如，某衛(wèi)星在軌運(yùn)行期間，由于空間帶電粒子輻射使星體帶電，導(dǎo)致電源分系統(tǒng)的充電控制器散熱片連接螺釘頂端與太陽翼熱輻射板之間的微小縫隙間形成放電，等效于充電控制器對(duì)地短路，太陽電池陣不能為蓄電池充電和給衛(wèi)星供電，最后蓄電池耗盡而整星失敗。

例如，在同一時(shí)段多個(gè)衛(wèi)星因?yàn)樵庥龀瑥?qiáng)空間高能粒子輻射流，頻繁發(fā)生單粒子翻轉(zhuǎn)效應(yīng)，甚至導(dǎo)致姿態(tài)失控，這種效應(yīng)影響是在地面測(cè)試中難以暴露的。而另一個(gè)衛(wèi)星雖然使用了抗單粒子翻轉(zhuǎn)閾值較低的存儲(chǔ)器芯片，卻因?yàn)樵谠O(shè)計(jì)上考慮了空間環(huán)境影響可能造成單粒子翻轉(zhuǎn)效應(yīng)，采取了并列存儲(chǔ)、錯(cuò)誤監(jiān)測(cè)與糾正（EDAC）和軟件容錯(cuò)等多種抗錯(cuò)措施，雖然每天飛經(jīng)南大西洋異常區(qū)域都要平均處理350次錯(cuò)誤，但是沒有出現(xiàn)過一次系統(tǒng)錯(cuò)誤。

例如，某衛(wèi)星姿控系統(tǒng)的重力梯度桿被運(yùn)載火箭末級(jí)爆炸的碎片擊斷，幸虧系統(tǒng)設(shè)計(jì)了其它姿控方式，及時(shí)切換后僅損失了精度性能，但保證了整星的基本安全。這是難以模擬的小概率故障模式，只有在充分的FMEA 基礎(chǔ)上才有可能主動(dòng)采取預(yù)防措施。

2.7 全部任務(wù)剖面及其轉(zhuǎn)換均可靠的準(zhǔn)則［5-6］

系統(tǒng)設(shè)計(jì)師不僅要重視主任務(wù)剖面的可靠性，還必須全面考察不同任務(wù)剖面的可靠性，同時(shí)重點(diǎn)關(guān)注系統(tǒng)狀態(tài)變換過程的可靠性。

例如，軌道器與著陸器在分離之后，有一段過程由于相對(duì)速度較大，多普勒頻移超出了接收機(jī)同步頻帶而使兩器不能正常通信。這是系統(tǒng)設(shè)計(jì)師制定任務(wù)書時(shí)，只顧及了兩穩(wěn)態(tài)階段下的通信任務(wù)，而忽視了過渡段狀態(tài)下通信任務(wù)要求所造成的。

例如，某月球衛(wèi)星正常工作10年后，由于一次進(jìn)入月球陰影時(shí)間不在預(yù)定的日落程序中，軟件把黑暗誤判為故障事件，啟動(dòng)了錯(cuò)誤的控制對(duì)策，關(guān)閉了衛(wèi)星的姿態(tài)控制系統(tǒng)，造成衛(wèi)星非正常翻滾，加之衛(wèi)星未處于地球測(cè)控站可控范圍內(nèi)，使得衛(wèi)星沒有得到及時(shí)搶救，提前失效了。

例如，某航天器首次使用氫鎳蓄電池組，設(shè)計(jì)上采用了不可調(diào)整的涓流充電方式，目標(biāo)是壽命末期涓流可補(bǔ)充自放電，但由于壽命初期太陽電池陣輸出效率高，涓流充電電流過大，造成了電池組過充電，溫度升高了近10 ℃，后經(jīng)地面操作對(duì)充電采取有效控制才得以避免危險(xiǎn)。后續(xù)任務(wù)采用了以電池組工作壓力為參考的地面人工或星上自動(dòng)控制手段的改進(jìn)設(shè)計(jì)，有效地避免了該問題的發(fā)生。

例如，某返回式衛(wèi)星儀器艙和返回艙分離后，返回艙通過制動(dòng)發(fā)動(dòng)機(jī)點(diǎn)火，離開原運(yùn)行軌道返回地面，而儀器艙分離后仍留在原軌道運(yùn)行，可用于開展其他留軌試驗(yàn)。但由于返回時(shí)制動(dòng)發(fā)動(dòng)機(jī)點(diǎn)火損壞了儀器艙的設(shè)備和電纜，導(dǎo)致后續(xù)留軌試驗(yàn)無法進(jìn)行。

2.8 自主管理與測(cè)控操作的互補(bǔ)準(zhǔn)則［5］

在航天器系統(tǒng)設(shè)計(jì)中應(yīng)對(duì)天地任務(wù)做優(yōu)化分工，優(yōu)先考慮簡化對(duì)星上硬軟件的要求；星上自主管理應(yīng)與基于測(cè)控的星地操作優(yōu)化互補(bǔ)，星上自主管理應(yīng)有安全導(dǎo)向設(shè)計(jì)，并具備地面人工（通過測(cè)控）干預(yù)途徑。

例如，某兩航天器做空間對(duì)接試驗(yàn)，對(duì)接過程需要從遠(yuǎn)距基于GPS的定位測(cè)距模式轉(zhuǎn)換到近距基于激光測(cè)距模式，系統(tǒng)設(shè)計(jì)僅有自主轉(zhuǎn)換一種手段，沒有設(shè)計(jì)人工遙控干預(yù)途徑。結(jié)果，恰遇自主轉(zhuǎn)換失敗，地面人員眼看著兩航天器相撞卻不能制止或規(guī)避。

例如，航天器返回著陸時(shí)需要做調(diào)姿和兩艙分離的兩個(gè)動(dòng)作，為確?？煽啃?，這兩動(dòng)作都是用遙控與自主程控結(jié)合完成的。但在具體安排上，兩者又是不同的。為了保證著陸的精度，兩艙分離以精確時(shí)刻的自主程控為主，遙控為輔（它的執(zhí)行時(shí)刻有一定隨機(jī)誤差）；而調(diào)姿動(dòng)作是著陸程序的啟動(dòng)和準(zhǔn)備，需要有一定的機(jī)動(dòng)性，則以遙控為主、自主程控為輔。這種結(jié)合設(shè)計(jì)是充分體現(xiàn)了自主管理與遙控不同長處的范例。

星上自主管理與基于測(cè)控的星地操作結(jié)合在不同場(chǎng)合的應(yīng)用設(shè)計(jì)，一般準(zhǔn)則如見表1所示。

表1 自主管理與測(cè)控操作的一般分工準(zhǔn)則Table 1 General rules of job division between selfmanagement and telemetry-command

2.9 消除“灰色”問題的處理準(zhǔn)則

系統(tǒng)設(shè)計(jì)中必須正視所有的“灰色”問題，即包括不可測(cè)試項(xiàng)、自身的或其它系統(tǒng)的未歸零問題等，都要視為“黑色”問題予以嚴(yán)查和消除隱患，提出謹(jǐn)慎全面治理的可靠性對(duì)策。

例如，某衛(wèi)星的姿態(tài)敏感器在裝星時(shí)發(fā)生安裝位置對(duì)稱性錯(cuò)誤，從而使衛(wèi)星入軌后指向出現(xiàn)系統(tǒng)大偏差。因?yàn)樵跍y(cè)試中光源往往與敏感器固定在同一支架上，所以這類錯(cuò)誤很難暴露，在軌故障發(fā)生后亦難確定為唯一原因。但是，既然懷疑是故障原因之一，舉一反三，在后來的衛(wèi)星測(cè)試項(xiàng)目中，增加衛(wèi)星射前最終狀態(tài)的確認(rèn)，就可以完全預(yù)防同類錯(cuò)誤的發(fā)生。

例如，某衛(wèi)星在軌由于頻頻發(fā)生遙控虛指令，破壞了正常的姿態(tài)控制而使整星任務(wù)失敗。什么是發(fā)生虛指令的原因？據(jù)分析，可能是因?yàn)樾求w帶電后放電脈沖干擾，也可能是因?yàn)槠渌O(shè)備的電磁干擾等等，難以完全歸零。但是，無論干擾源是什么，遙控設(shè)備存在設(shè)計(jì)缺陷是內(nèi)因，于是系統(tǒng)設(shè)計(jì)師下決心徹底改造遙控設(shè)計(jì)，從此再?zèng)]有出現(xiàn)同類故障。

2.10 故障隔離準(zhǔn)則［6］

系統(tǒng)中各分系統(tǒng)、獨(dú)立模塊間接口必須實(shí)現(xiàn)故障隔離；冗余單元相互保持完備的獨(dú)立，包括供電、信號(hào)接口和軟件模塊的獨(dú)立，以及有條件時(shí)采用異構(gòu)硬件和不同版本的軟件互為冗余備份，最大限度地防止共因失效與故障擴(kuò)散。須特別注意，冗余切換是有可靠性代價(jià)的，必須設(shè)計(jì)有人工干預(yù)能力，最好能在軌把故障環(huán)節(jié)從系統(tǒng)中切除。

例如，某衛(wèi)星上有相同的兩臺(tái)計(jì)算機(jī)，采用自主檢錯(cuò)、自主切換的方案。入軌后，兩臺(tái)計(jì)算機(jī)的存儲(chǔ)器芯片發(fā)生共因誤碼，這本不影響主任務(wù)。但自檢策略不當(dāng)，因?yàn)橛绣e(cuò)，不斷切換值班機(jī)，而且其中沒有設(shè)置地面人工干預(yù)機(jī)制，最終造成兩臺(tái)計(jì)算機(jī)均不能工作，釀成系統(tǒng)大錯(cuò)。

例如，星上有雙熱冗余的遙控設(shè)備，可是某衛(wèi)星系統(tǒng)設(shè)計(jì)中，將兩個(gè)遙控單元使用同一電源母線供電，而且該母線還向其它設(shè)備供電。當(dāng)該母線電源被其它設(shè)備短路時(shí)，造成無法通過遙控挽救衛(wèi)星的故障。

例如，某衛(wèi)星有南北兩電源母線，不僅功率相加，而且有一定的可靠性冗余備份作用。但在配電時(shí)把兩母線電纜緊緊捆綁在一起，結(jié)果當(dāng)一條母線被短路時(shí)，大電流過熱把另一母線也毀損了，這是一個(gè)冗余而不獨(dú)立的典型案例。

3 結(jié)束語

國內(nèi)外航天器每一次的成功或發(fā)生故障、失敗，只要認(rèn)真分析原因，科學(xué)總結(jié)經(jīng)驗(yàn)教訓(xùn)，都是人類從事航天活動(dòng)共同的寶貴財(cái)富。積累和學(xué)習(xí)案例，形成并豐富設(shè)計(jì)準(zhǔn)則，是航天工程師一生的必修課。

航天器系統(tǒng)設(shè)計(jì)師的一個(gè)重要責(zé)任，就是要站在系統(tǒng)高度與故障對(duì)抗，以優(yōu)化的系統(tǒng)設(shè)計(jì)去最大限度地預(yù)防故障的發(fā)生以及消除故障的影響。人們常說，能提出問題就能接近預(yù)防和解決問題。所以，系統(tǒng)設(shè)計(jì)師要具有逆向思維的職業(yè)習(xí)慣，不斷發(fā)掘自己設(shè)計(jì)中的弱點(diǎn)和潛藏的隱患，精益求精地做好可靠性設(shè)計(jì)，把措施做到故障的前面。

（References）

［1］D M 哈蘭.R D 羅倫茨.航天系統(tǒng)故障與對(duì)策［M］.閻列，鄧寧豐，舒承東，譯.北京：中國宇航出版社，2007 Harland D M，Lorenz R D.Space systems failures［M］.Yan Lie，Deng Ningfeng，Shu Chengdong，translated.Beijing：China Astronautics Press，2007（in Chinese）

［2］戴維J謝勒.載人航天飛行中的事故與災(zāi)難［M］.袁家軍，鄭敏，譯.北京：中國宇航出版社，2005 Shayler D J.Disasters and accidents in manned spaceflight［M］.Yuan Jiajun，Zheng Min，translated.Beijing：China Astronautics Press，2005（in Chinese）

［3］張宗美.航天故障手冊(cè)［M］.北京：中國宇航出版社，1994 Zhang Zongmei.Handbook of failures of launch vehicles’spacecraft and missiles［M］.Beijing：China Astronautics Press，1994（in Chinese）

［4］王希季，李大耀.衛(wèi)星設(shè)計(jì)學(xué)［M］.上海：上?？茖W(xué)技術(shù)出版社，1997：218-310 Wang Xiji，Li Dayao.Satellite design［M］.Shanghai：Shanghai Science and Technology Press，1997：218-310（in Chinese）

［5］譚維熾，胡金剛.航天器系統(tǒng)工程［M］.北京：中國科學(xué)技術(shù)出版社，2009 Tan Weichi，Hu Jingang.Spacecraft systems engineering［M］.Beijing：China Science and Technology Press，2009（in Chinese）

［6］Fortescue P，Stark J，Swinerd G.Spacecraft systems engineering［M］.Third Edition.England：John.Wiley＆Sons Ltd，2003：549-579