王　偉，王　功（中國科學院空間應用工程與技術中心，北京100094）

空間站工程空間應用載荷安全性認定技術研究

王偉，王功
（中國科學院空間應用工程與技術中心，北京100094）

針對我國空間站工程大規(guī)?？臻g應用的安全性需求，提出了空間站工程空間應用載荷安全性認定的概念與內涵，明確了載荷上站安全性認定工作的關鍵技術要素，涉及基于多因素風險的載荷分類原則、有效載荷危險分級技術以及有效載荷安全性認定的技術要求體系等工程技術范疇，在此基礎上，制定了空間應用載荷安全性認定的技術實施流程，為后續(xù)開展空間站大規(guī)?？臻g應用載荷上站安全性認定工作提供了參考。

空間站；安全性認定；空間應用載荷；危險源

1　引言

空間站是開展空間科學與應用最為廣闊的實驗平臺，在已有國際空間站上，以NASA、RSA、ESA等為代表的國外空間研究機構開展了大量的空間應用與科學實驗［1-4］。NASA在國際空間站項目實施過程中，對有效載荷安全性實施全過程的監(jiān)控，特別是針對有效載荷全壽命周期的安全性評審工作進行了嚴密的組織管理與規(guī)劃，對安全性評審要求進行了明確規(guī)定［5-8］。國際空間站典型的經驗是在空間站工程層面成立了有效載荷安全性評審委員會PSRP（Payloads Safety Review Panel）負責對所有有效載荷的安全性工作進行評審把關，全過程安全性評審工作分為階段0、Ⅰ、Ⅱ、Ⅲ等四個主要階段，其中前三個階段主要針對有效載荷研制過程中的安全性評審，而階段Ⅲ的安全性評審則要求在有效載荷完成安全性驗證后，交付到發(fā)射場前30天內完成［9］，該項特殊的安全性評審實際上是NASA在工程頂層對有效載荷的安全性是否滿足上站使用要求的最后確認，屬于有效載荷安全性認定范疇。

另外，NASA在安全性評審工作的組織管理模式上也有一套完整的體系。由PSRP負責所有各級有效載荷飛行產品的安全性評審工作，安全性評審過程中需要有效載荷提供商PO（Provider Organization）參與并提交相關的安全性信息，同時，又借助相關的安全性專業(yè)機構提供專業(yè)的技術支持，如病毒學組、生物安全評審小組BRB（Biosafety Review Board）、激光器安全辦公室LSO（Laser Safety Office）等［9］，這樣的“一橫一縱”的安全性保證體制是確保國際空間站項目得以成功實施的有力保障。

本文借鑒NASA管理國際空間站大型載人空間工程的經驗，結合空間站工程空間應用載荷研制需求和安全性工作特點，研究提出了一種基于“載荷分類、危險分級”的空間應用載荷安全性認定技術體系，以綜合風險為主線對不同載荷產品進行分類，然后對于每類載荷所涉及的危險源的危害后果進行分級，從而實現(xiàn)了空間應用載荷安全性保證工作進行聚類和細化的過程控制，為解決領域跨度大、應用范圍覆蓋廣、產品種類繁多的空間站工程大規(guī)模空間應用項目的安全性認定工作提供可行的工程解決方案，為我國未來空間站空間應用系統(tǒng)開展載荷安全性認定工作提供參考。

2　有效載荷安全性認定的概念與內涵

2.1安全性要求的確定與驗證過程

安全性工程屬于系統(tǒng)工程范疇，根據(jù)NASA系統(tǒng)工程方法［12］，安全性要求可分為用戶的使用要求和研制方的設計要求，針對安全性要求的驗證過程相應地可分為兩個方面，一個是對有效載荷安全性設計要求的驗證，目的是驗證整個設計滿足合同中所規(guī)定的設計要求；另一方面就是對使用要求的確認，其目的是對設計完成的產品是否滿足最終使用條件的確認。因此，有效載荷安全性要求的驗證與確認是相互聯(lián)系又相互區(qū)別的兩個過程。按照系統(tǒng)工程方法，規(guī)劃有效載荷安全性要求及驗證的全過程，其示意圖如圖1所示。

可見，有效載荷安全性設計要求的驗證問題以及安全性使用要求的確認問題，是空間應用載荷安全性工程兩個急需解決的問題，本文將對空間有效載荷的安全性使用要求的確認問題開展深入的技術方法研究。

圖1　有效載荷安全性要求與驗證示意圖Fig.1 Sketchmap of requirements and verification of payloads safety

2.2有效載荷安全性認定的內涵

本文所研究的空間應用載荷安全性認定是指由工程總體層面組織實施，針對空間應用載荷安全性是否滿足飛行任務所需的安全性使用要求、是否具備上站飛行的安全狀態(tài)而進行的審查和確認過程。其內涵可從以下三方面進行說明：

1）空間應用載荷安全性認定過程有別于載荷研制單位所進行的安全性設計評審。有效載荷研制單位所組織實施的安全性評審重點是考核本單位研制的有效載荷是否滿足自身的安全性設計要求，即使?jié)M足了設計要求，集成到系統(tǒng)中時是否滿足飛行任務的安全性使用要求尚待確認。如文獻［6］中規(guī)定了除了要求PO進行有效載荷/貨物項目的評審外，還要求進行更高層次的集成安全性評審（Integrated Safety Review）。這實際上就是從更高層次角度（系統(tǒng)層次）考慮系統(tǒng)的安全性問題。

2）空間應用載荷安全性認定過程有別于有效載荷研制過程中的安全性驗證過程（Safety Verification）。有效載荷自身所開展的安全性驗證工作（包括分析驗證、仿真驗證、試驗驗證等）是對有效載荷滿足安全性設計要求的證明，而安全性認定是根據(jù)有效載荷的安全性設計及驗證結果對其滿足飛行任務的安全性使用要求的確認（Validation）。有效載荷的安全性設計要求有別于安全性使用要求，驗證了滿足設計要求之后，一項重要的工作就是對是否滿足使用要求的確認（盡管設計要求是由使用要求轉化而來，但仍可能存在偏差，因此需要進行確認）。安全性認定過程就是根據(jù)有效載荷研制單位所提交的經驗證的安全性數(shù)據(jù)包等相關信息來對有效載荷的安全性設計滿足相關要求的確認過程，確認只要經過安全性認定的有效載荷就具備了飛行任務所需的安全性條件和狀態(tài)，此過程與NASA針對有效載荷交付到發(fā)射場前開展的階段Ⅲ的安全性評審工作相一致［9］。

3）“certification”一詞可以理解為“認證”或者“認定”，文獻［7］對安全性認證工作進行探討，更多涉及的是安全性評審相關的組織與管理，強調的是制度層面；本文所研究的安全性認定更多地強調技術層面，屬于安全性認證制度中的技術范疇，因此，本文采用的是有效載荷“安全性認定”這一概念表述。

另一個方面，有效載荷安全性認定過程是在安全性驗證結果的基礎上對最終使用的安全性進行確認過程，更多的形式是以安全性評審、復核復算等管理的形式體現(xiàn)，同時也涉及了一些關鍵的技術要素，本文研究重點就是針對有效載荷安全性認定過程中所涉及的各項關鍵技術要素。

3　空間危險源的類型與來源

安全性工作的對象就是各類危險源［13］，因此，空間站工程空間應用載荷產品的安全性認定工作重點是從危險源識別入手。各種科學實驗平臺既存在機、電、熱、控等共性的安全性問題，也由于科學實驗領域和需求的不同，存在著諸如生物安全、激光器、電離輻射、高溫燃燒、低溫制冷等特有的安全性問題（危險源分布如圖2所示）。

圖2　空間應用系統(tǒng)科學實驗載荷危險源分布Fig.2 Distribution of danger sources in science payloads of the space utilization systems

危險源的正確識別是安全性認定的一個重要內容，在開展安全性認定工作時首先需要確認的就是危險源識別的覆蓋性和充分性、以及危害后果分析的合理性和正確性。對危險源的識別如果存在遺漏，將為后續(xù)的安全性設計帶來隱患。在安全性認定工作中所進行的危險源識別實際上是對設計過程中危險源識別工作的復核和再確認。

4　空間應用載荷安全性認定的關鍵技術要素

4.1基于多因素風險度量的有效載荷類型劃分

NASA從所涉及的危險源角度對有效載荷進行了分類［6］，分為基本型、中等型和復雜型三類載荷。根據(jù)不同的載荷類型規(guī)定了不同的評審要求和數(shù)據(jù)提交要求。ESA在其載荷研制過程中也對有效載荷按照風險進行了分類［7］，主要包括兩類，類型1（低危害硬件）和類型2（又分為Case a，Case b兩種情況），同樣針對不同類型的有效載荷硬件所采取的設計要求、驗證要求以及數(shù)據(jù)提交要求也不盡相同?？梢姡瑢τ行лd荷進行分類處理，是國外宇航先進國家對載荷安全性要求進行細化，優(yōu)化設計方案，以及制定合理可行的驗證計劃等安全性工作的通行做法和成功經驗［10］。

我國未來空間站工程面臨的是大規(guī)模的空間應用，所涉及的有效載荷種類繁多，應用領域、重要程度、復雜程度以及安全性要求等方面也不盡相同。因此，考慮多因素影響所產生的風險，對有效載荷按照風險等級進行分類，對于解決形式各異的大規(guī)?？臻g應用有效載荷的安全性問題，優(yōu)化安全性實施策略，以及采取適度合理的安全性控制措施具有重要的工程實際意義，同時也是一個有效的解決途徑。

多因素風險主要考慮直接影響有效載荷安全性實施功效的諸多因素［14］，本文中重點考慮了有效載荷的重要性、安全性風險（可能導致航天員損傷或航天器關鍵功能喪失的一類風險）、任務時間、成本、在軌維修難度、任務類型等因素，通過對有效載荷綜合風險等級的劃分，就能在不降低任務總體安全性要求的前提下，對具體的有效載荷實施更為適度和合理的安全性保證策略，從而提升整個空間應用系統(tǒng)有效載荷安全性工作的整體效能?？臻g應用系統(tǒng)有效載荷的風險等級劃分如表1所示。

有效載荷產品研制方可以根據(jù)相應的風險等級確定安全性、可靠性等相關設計特性的保證目標及保證工作計劃，一般原則如下：

1）應采用一切可行的手段保障Ⅰ級有效載荷任務成功，采用最高等級安全性保障標準，如采用故障容限與最小風險設計相結合的設計方案、采取多級的危害包覆設計、采取多重的阻斷控制設計等；

2）應采用嚴格保障標準保證Ⅱ級有效載荷任務成功，但允許存在較低風險，同時要求采取系統(tǒng)級和單機級的驗證方案；

3）對于Ⅲ級可接受中等程度任務風險，保障標準可有所降低，可僅開展單機級驗證；

4）允許Ⅳ級有效載荷存在中等或較大任務風險，可采用最低的保障標準。

表1　有效載荷風險等級劃分原則Table1 Principle of risk classification for payloads

4.2空間應用有效載荷危險分級技術

與可靠性主要針對故障開展工作相區(qū)別，安全性工作主要針對的對象是危險源［13］，又包括一般危險源和故障危險源。不同的危險源對于航天員或航天器所產生的后果不盡相同，即使同一種危險源，不同的含量或水平下，其所產生的影響也將大相徑庭。安全性控制的實質就是消除危險源或者將識別出來的危險源所可能產生的后果控制到可接受的水平。因此，對于一些特定危險源的危險水平進行分級［5］，能夠實現(xiàn)對危害進行更為精細化的控制，能夠對危險控制做到有的放矢，從而實現(xiàn)對安全性控制的目的性、合理性和有效性的統(tǒng)一。

圖3　特定危險源的危害分級示意圖Fig.3 Sketch m ap of hazards level of specific danger sources

NASA的又一工程實踐經驗就是對特定危險源進行分級，如BRB規(guī)定對生物安全等級（BSL，Biosafety Level）分為四級［10］，針對每項涉及生物實驗的有效載荷都分配一個BSL，根據(jù)不同的BSL制定相應的安全性要求和采取相應的控制措施。同樣，對于激光器安全也進行了分級管理（如分為1級、2級、3R、3B、4級等）。因此，對特定危險源的危害進行分級將有利于有效載荷研制單位設計合理的安全性設計準則和控制策略。

特定危險源的危害分級如上圖3所示。

需要說明的是，對于采用最低可接受限值或者采取門限值表征的危險源，廣義上講，可以將其分為兩個級別，即可接受級和不可接受級。因此，各類危險源均可通過對危害后果的定量描述來進行分級表征。對于不同的危害后果，將采取的控制措施也不盡相同，如對于生物安全等級BSL-1級生物危害物質，在設計上采用1級包覆設計即可，而對于BSL-2等級中高風險生物危害物質則要求至少滿足3級包覆設計要求?？梢妼ξｋU源進行分級是對有效載荷開展安全性設計的關鍵技術環(huán)節(jié)［5］。

4.3空間應用載荷安全性認定的技術要求體系

針對不同的危險源可制定相對應的安全性認定技術要求［5］，該要求體系包括定量要求和定性的安全性設計準則兩類。安全性認定技術要求的框架如圖4所示。

有效載荷安全性認定過程實際上就是對各項技術要求的滿足程度進行確認，確保有效載荷的設計狀態(tài)滿足飛行任務所需的安全性要求。因此，系統(tǒng)地制定載荷安全性認定的技術要求體系是實施載荷安全性認定的依據(jù)和關鍵技術要素。

5　空間應用載荷安全性認定實施流程

對于有效載荷安全性認定工作的組織實施，NASA的經驗是由一個統(tǒng)一的組織PSRP負責實施，同時成立一些專業(yè)組對PSRP的工作進行支撐，即PSRP負責有效載荷安全性認定工作，各專業(yè)組，如BRB、LSO負責解決相關專業(yè)的技術問題（如生物安全等級的劃分，生物危害的評估等都由BRB來解決［11］）。

制定空間站工程空間應用載荷的安全性認定工作的實施流程應符合我國載人航天工程組織管理模式和研制特色，同時也應借鑒國外成功的工程經驗。因此，可以規(guī)劃出我國空間站工程空間應用載荷的安全性認定流程，其核心是采用“載荷分類、危險（源）分級”的原則進行有效載荷產品及其所涉及危險源的細分，根據(jù)不同類型不同等級的有效載荷產品制定合理的安全性要求，采取適度的安全性控制措施，從而有效地優(yōu)化認定過程，提高認定工作的有效性、合理性和適度性。有效載荷安全性認定技術流程如圖5所示。

從圖5可以看出，有效載荷安全性認定的實施過程應由工程總體授權的安全性認定機構或部門負責組織完成，需要工程總體安全性審查組織、載荷研制單位以及專業(yè)組織的參與和支持。載荷研制單位負責提供有關產品的設計信息，包括安全性數(shù)據(jù)包等，并負責將其他各方的設計要求進行落實；安全性審查組織負責為有效載荷進行分類，同時對不同等級的有效載荷規(guī)定特定的安全性設計準則；而專業(yè)組織的職責主要是發(fā)揮自身的專業(yè)優(yōu)勢（如微生物、激光、輻射、熱控等），對載荷所涉及的危險源進行分級，并提出相應的技術要求（如門限值等）。三方的共同參與，并在統(tǒng)一的安全性認定流程的規(guī)范下，就實現(xiàn)了工程總體對有效載荷安全性使用要求的確認。

圖5　有效載荷安全性認定實施流程Fig.5 Im p lementation process of safety certification for payloads

6　結論

本文在充分借鑒國外空間站有效載荷安全性評審工作的基礎上，提出了我國空間站工程開展有效載荷上站安全性認定的技術體系?；凇拜d荷分類、危險分級”的思想，歸納了載荷安全性認定所涉及的關鍵技術要素，包括基于多因素風險的載荷分類原則、有效載荷危險分級技術以及載荷安全性認定的技術要求體系等，并以此為基礎，規(guī)劃了有效載荷安全性認定的實施流程，從而為我國后續(xù)空間站工程開展大規(guī)模空間應用載荷的安全性認定工作提供了技術參考，規(guī)劃了可行的解決思路。

需要補充說明的是，我國的空間站工程的載荷安全性認定工作應在建立健全相關技術體系的同時，在工程總體層面建立有效載荷安全性認定的組織機構，建立有效載荷上站安全性認定的制度，制定規(guī)范的實施流程和管理辦法，這將為后續(xù)大規(guī)模的空間應用提供更為切實的組織保證，也將是我國空間站工程有效載荷安全性保證工作的有益嘗試。

［1］Penley N J，Schafer C P，Bartoe JD F.The international space station as amicrogravity research platform［J］.Acta astronautica，2002，50（11）：691-696.

［2］Evans C A，Robinson JA，Tate-Brown J，et al.International space station science research accomplishments during the assembly years：an analysis of results from 2000-2008［R］. NASA/TP-2009-213146，2009.

［3］Robinson JA，Thumm T L，Thomas D A.NASA utilization of the International Space Station and the Vision for Space Exploration［J］.Acta Astronautica，2007，61（1）：176-184.

［4］Alvar Saenz-Otero.Design Principles for the Development of Space Technology Maturation Laboratories Aboard the International Space Station［D］.Cambridge，Massachusetts：Massachusetts Institute of Technology，2005.

［5］NSTS/ISS 13830C Payload Safety Review and Data Submittal requirement［S］.NASA Johnson Space Center，1998.

［6］ESA-ATV-PR-13830 ATV pressurized payload/cargo safety certification process［S］.ECSS，2009.

［7］溫楠，欒家輝，劉春雷，等.國際空間站有效載荷安全性認證工作探討［J］.載人航天，2013，19（6）：91-96. Wen Nan，Luan Jiahui，Liu Chunlei，etal.Discussion on International Space Station payload safety certification［J］. Manned Spaceflight，2013，19（6）：91-96.（in Chinese）

［8］卿壽松，陳鳳熹，李福秋，等.我國空間站安全與任務保證工作若干問題探討［J］.載人航天，2014，20（2）：159-164. Qing Shousong，Chen Fengxi，Li Fuqiu，et al.Discussion on some issues of china’s space station safety andmission assurance［J］.Manned Spaceflight.2014，10（2）：159-164.（in Chinese）

［9］SSP 30599E Safety Review Process［S］.NASA Johnson Space Center，2011.

［10］David Lengyel.Exploration Systems Risk Management Plan［R］.ESMD-RMP-04.06 Rev 2，NASA HQ，2007.

［11］JSC 63828B Biosafety Review Board Operations and Requirements Document［S］.NASA Johnson Space Center，2010.

［12］Kapurch S J.NASA Systems Engineering Handbook［R］. NASA/SP-2007-6105，NASA HQ，2007.

［13］MIL-STD-882D Standard Practice for System Safety［S］. DoD，2000.

［14］NPR 8705.4 Risk Classification for NASA Payloads［S］. NASA HQ，2004.

Study on Safety Certification Technology for Space Utilization Payloads in Space Station Program

WANGWei，WANG Gong
（Technology and Engineering Center for Space Utilization，Chinese Academy of Sciences，Beijing 100094，China）

Aiming at safety requirements of the large-scale space utilization in China’s space station program，the definition and concept of on-board safety certification for space utilization payloads of space station were presented.The key technological factors for on-board safety certification of payloads were identified including payloads classification criteria based on multi-factors risks，hazard level of payloads and quantitative/qualitative technological requirements architecture ofsafety certification etc.Then the process of safety certification for large-scale space utilization payloads were put forward.Itwill serve as a reference for on-board safety certification of space utilization payloads in our country’s space station.

space station；safety certification；space utilization payloads；source of danger

V476.1；V528

A

1674-5825（2015）02-0146-07

2014-08-26；

2015-01-27

王偉（1977-），男，博士，高級工程師，研究方向為航天產品安全性、可靠性技術與方法。E-mail：wangwei@csu.ac.cn