滿益明 王征 馮忠偉 朱紅 張春陽

(中國運(yùn)載火箭技術(shù)研究院，北京 100076)

波音載人飛船(Starliner)是由美國波音公司出資和NASA共同研制的新型載人飛船，能一次搭載7名航天員，具備3天自主飛行、210天停靠能力，可重復(fù)使用10次[1-2]。

2019年12月20日，飛船搭載宇宙神-5運(yùn)載火箭從卡納維拉爾角空軍基地發(fā)射入軌，執(zhí)行飛船首飛試驗(yàn)測試、與“國際空間站”自動對接并向其運(yùn)送給養(yǎng)。運(yùn)載火箭發(fā)射上升段飛行正常、船箭分離正常，但飛船入軌后，因軟件故障，未能按正常飛行程序執(zhí)行預(yù)訂的軌道切入機(jī)動操作，經(jīng)地面搶救后，決定放棄同“國際空間站”對接任務(wù)，于2019年12月22日提前返回，著陸于新墨西哥州白沙靶場，完成再入返回測試任務(wù)[3-6]。

本文系統(tǒng)梳理了波音載人飛船首飛試驗(yàn)關(guān)鍵事件，采用故障樹分析方法，確定了軌道切入機(jī)動故障底事件，基于航天器軟件系統(tǒng)總體設(shè)計(jì)“十五步”流程，推測飛船總體設(shè)計(jì)、軟件系統(tǒng)分析與設(shè)計(jì)、產(chǎn)品測試與試驗(yàn)環(huán)節(jié)的缺陷和漏洞為故障直接原因，針對空天飛行器軟件設(shè)計(jì)與研制面臨的整器信息流高度耦合、系統(tǒng)間匹配性協(xié)調(diào)性要求高、軟件產(chǎn)品配套關(guān)系復(fù)雜等難題，開展了飛船故障“舉一反三”工作，從系統(tǒng)架構(gòu)、關(guān)鍵時(shí)序、發(fā)射前工作流程、任務(wù)可靠性、試驗(yàn)充分性和測試覆蓋性分析與驗(yàn)證等五方面給出了增強(qiáng)整器任務(wù)可靠性的具體措施，以降低關(guān)鍵事件識別不充分、冗余設(shè)計(jì)不全面、測試驗(yàn)證不覆蓋等帶來的技術(shù)風(fēng)險(xiǎn)。

1 飛船首飛試驗(yàn)概括

本次試驗(yàn)中，飛船采用宇宙神-5運(yùn)載火箭無整流罩方式發(fā)射。根據(jù)發(fā)射計(jì)劃，運(yùn)載火箭發(fā)射后約15 min飛船將與半人馬上面級分離，進(jìn)入遠(yuǎn)地點(diǎn)約為181.5 km，近地點(diǎn)約為72.8 km的亞軌道，滑行約15 min后，服務(wù)艙軌控發(fā)動機(jī)點(diǎn)火，飛船轉(zhuǎn)移至與空間站對接前的穩(wěn)定停泊軌道，約25 h后，與“國際空間站”和諧號艙段對接，組合運(yùn)行7天后，飛船與空間站分離，再入返回，著陸于新墨西哥州白沙靶場。但因飛船軟件錯(cuò)誤導(dǎo)致服務(wù)艙軌控發(fā)動機(jī)錯(cuò)過了正確的點(diǎn)火時(shí)機(jī)[7]，飛船未能進(jìn)入預(yù)定軌道，經(jīng)地面人員干預(yù)并評估后，飛船放棄與“國際空間站”的對接，24 h后直接離軌再入，返回白沙靶場[8-10]。首飛發(fā)射計(jì)劃任務(wù)剖面見圖1，計(jì)劃飛行和實(shí)際飛行關(guān)鍵事件分別見表1和表2，表1和表2中的T0為火箭起飛時(shí)刻，為世界協(xié)調(diào)時(shí)(UTC)2019年12月20日11時(shí)36分。

圖1 波音載人飛船Starliner首飛試驗(yàn)任務(wù)剖面Fig.1 Mission profile of Boeing Starliner orbital fight test

表1 首飛試驗(yàn)計(jì)劃飛行關(guān)鍵事件

表2 首飛試驗(yàn)實(shí)際飛行關(guān)鍵事件

2 軌道切入機(jī)動故障樹分析

基于故障樹分析方法，開展了飛船首飛軌道切入機(jī)動故障樹分析，詳見圖2，由圖中可知，該故障共有9個(gè)底事件。

圖2 軌道切入機(jī)動故障樹Fig.2 Fault tree of orbit insertion maneuver

1)發(fā)動機(jī)工作異常(X1)

地面干預(yù)后，飛船進(jìn)入了地面返回待命圓軌道，并成功實(shí)施了再入返回，可間接證明發(fā)動機(jī)工作正常，因此，該事件可排除。

2)船上程控指令異常(X2)

軌道機(jī)動有兩種工作模式：自主機(jī)動或地面程控機(jī)動。自主軌道機(jī)動通過船上任務(wù)管理程控指令觸發(fā)GNC系統(tǒng)自動轉(zhuǎn)入軌道控制模式，控制計(jì)算機(jī)根據(jù)飛行器當(dāng)前位置和姿態(tài)，自主執(zhí)行發(fā)動機(jī)開關(guān)機(jī)指令。基于現(xiàn)有公開信息，該事件不可排除。

3)地面上行指令異常(X3)

采用地面程控機(jī)動模式時(shí)，飛船軌道機(jī)動前，由地面站生成需要上行的軌道機(jī)動指令，并通過船地測控鏈路將相應(yīng)指令發(fā)送至飛船，完成軌道機(jī)動任務(wù)?；诂F(xiàn)有公開信息，該事件不可排除。

4)船地測控鏈路異常(X4)

飛船首飛軌道切入機(jī)動異常后，地面開展了較長時(shí)間的地面搶救工作。由此可以推斷，船地測控鏈路處于工作狀態(tài)。但從現(xiàn)有公開信息，無法確認(rèn)軌道機(jī)動異常前后及排故過程中，測控鏈路是否全部正常。因此，該事件不可排除。

5)絕對時(shí)間基準(zhǔn)異常(X5)

船上時(shí)間基準(zhǔn)主要有三種來源：運(yùn)載火箭起飛信號、船箭分離信號或發(fā)射前地面上注的基準(zhǔn)時(shí)間，如-10 min，-2 h等。因發(fā)射上升段和船箭分離后，飛船消初偏等動作均正常，可初步確定船上絕對時(shí)間零點(diǎn)基準(zhǔn)并未優(yōu)先采用運(yùn)載火箭起飛信號或船箭分離信號對應(yīng)的絕對時(shí)間，由此推斷船上時(shí)間零點(diǎn)最大可能采用了發(fā)射前某時(shí)間基準(zhǔn)。基于當(dāng)前公開信息，該事件不可排除。

6)發(fā)射前地面上注時(shí)間異常(X6)

飛船發(fā)射前已加電工作，為確保時(shí)間準(zhǔn)確性，一般可安排地面授時(shí)或校時(shí)，對時(shí)間基準(zhǔn)進(jìn)行精修和狀態(tài)確認(rèn)。若飛船發(fā)射前地面開展了授時(shí)或地面校時(shí)工作，則地面人員通過判別遙測參數(shù)可提前發(fā)現(xiàn)時(shí)間基準(zhǔn)不一致的錯(cuò)誤，避免任務(wù)失敗。但從首飛試驗(yàn)結(jié)果來看，飛船發(fā)射前最大可能未開展地面上注時(shí)間工作。因此，該底事件按可排除處理。

7)船上軟件時(shí)間初始化異常(X7)

飛船存在大量與時(shí)間相關(guān)的動作或指令，絕對時(shí)間和相對時(shí)間的正確初始化是其正確執(zhí)行的必要條件。船箭分離后，飛船正確執(zhí)行了消初偏、姿態(tài)調(diào)整等動作，據(jù)此可判斷出船上相對時(shí)間的初始化正常。

軌道切入機(jī)動異常至再入返回前，飛船執(zhí)行了與絕對時(shí)間相關(guān)聯(lián)的動作和指令，且X6分析已明確飛船發(fā)射前最大可能未開展地面上注時(shí)間工作，因此，無法判斷飛船在執(zhí)行這些動作和指令前，設(shè)計(jì)人員是否利用船地測控鏈路對時(shí)間基準(zhǔn)進(jìn)行了修正。因此，該事件不可排除。

8)船上計(jì)時(shí)基準(zhǔn)異常(X8)

航天器上單位計(jì)時(shí)基準(zhǔn)常采用高穩(wěn)定度、高精度晶振，其信號處理后將作為器上時(shí)間系統(tǒng)的最小時(shí)間單元，與時(shí)間相關(guān)的所有動作和指令均與該基準(zhǔn)相關(guān)。從飛行試驗(yàn)來看，飛船完成了消初偏及軌道機(jī)動等動作，可推斷飛船時(shí)間使用的計(jì)時(shí)器正常。因此，該事件可排除。

9)計(jì)時(shí)器軟件異常(X9)

船上計(jì)時(shí)主要包括兩部分：由硬件實(shí)現(xiàn)的計(jì)時(shí)基準(zhǔn)和軟件實(shí)現(xiàn)的計(jì)時(shí)器軟件。飛船完成了消初偏及軌道機(jī)動等動作，因此，該事件可排除。

通過故障樹分析，飛船首飛軌道切入機(jī)動故障不可排除的底事件有5個(gè)：飛船程控指令異常(X2)、地面上行指令異常(X3)、船地測控鏈路異常(X4)、絕對時(shí)間基準(zhǔn)異常(X5)、船上軟件時(shí)間初始化異常(X7)。

3 軌道切入機(jī)動故障原因分析

飛船首飛軌道切入機(jī)動故障不可排除的5個(gè)底事件均與飛船軟件系統(tǒng)分析與設(shè)計(jì)、軟件可靠性和安全性相關(guān)?；贜ASA公開信息及航天器軟件系統(tǒng)總體設(shè)計(jì)流程(見圖3)，本文推測飛船首飛試驗(yàn)在飛行器總體設(shè)計(jì)、軟件系統(tǒng)分析與設(shè)計(jì)、產(chǎn)品測試與試驗(yàn)環(huán)節(jié)存在較大缺陷和漏洞。

(1)關(guān)鍵時(shí)序及危險(xiǎn)事件的識別與分析不到位，缺少可靠性安全性措施。項(xiàng)目軟件系統(tǒng)分析與設(shè)計(jì)重點(diǎn)關(guān)注航天器整器系統(tǒng)架構(gòu)、物理架構(gòu)、信息流、可靠性、安全性設(shè)計(jì)、關(guān)鍵時(shí)序及危險(xiǎn)事件分析與識別等。從圖2故障樹分析可知，項(xiàng)目軟件系統(tǒng)分析與設(shè)計(jì)環(huán)節(jié)的關(guān)鍵時(shí)序及危險(xiǎn)事件的識別與分析、軟件可靠性、安全性分析不到位或不全面，導(dǎo)致總體設(shè)計(jì)層面任務(wù)可靠性要求不全面，部分關(guān)鍵時(shí)序及危險(xiǎn)事件設(shè)計(jì)要求不明確。

(2)關(guān)鍵信號或指令缺少必要的冗余設(shè)計(jì)或地面干預(yù)接口。對于系統(tǒng)級故障或關(guān)鍵性信號故障，發(fā)射前未制定故障預(yù)案或故障預(yù)案不夠細(xì)化，缺少可操作性；對于地面?zhèn)浔Ｖ噶?，測控覆蓋性或鏈路設(shè)計(jì)與分析的工況不夠全面，未覆蓋飛行工況，導(dǎo)致故障工況下，天地大回路測控保障條件不足以支撐地面處理。

(3)試驗(yàn)充分性、測試覆蓋性未覆蓋全任務(wù)剖面所有工況。按照航天器設(shè)計(jì)流程，航天器各研制階段，均會開展測試覆蓋性和試驗(yàn)充分性分析，評估測試和試驗(yàn)對任務(wù)剖面各工況的覆蓋性。從飛行試驗(yàn)故障樹分析可知，飛船出廠前的測試覆蓋性和試驗(yàn)充分性不全面、不充分，未覆蓋部分關(guān)鍵信號、多重冗余策略和部分故障工況。

圖3 航天器軟件系統(tǒng)總體設(shè)計(jì)“十五步”流程Fig.3 15-steps process of overall design of spacecraft software system

4 空天飛行器軟件系統(tǒng)總體設(shè)計(jì)建議

空天飛行器是一種集航空、航天技術(shù)于一體，兼有航空和航天功能，既能在軌執(zhí)行任務(wù)又能在機(jī)場水平著陸的飛行器[11-12]。得益于計(jì)算機(jī)、信息化技術(shù)的發(fā)展和系統(tǒng)集成化、小型化的規(guī)模應(yīng)用，空天飛行器軟件產(chǎn)品比例，器上信息的綜合集成比例，系統(tǒng)間、設(shè)備間的信息耦合度均比傳統(tǒng)航天器高。空天飛行器軟件產(chǎn)品設(shè)計(jì)與研制面臨“六多”特點(diǎn)：軟件配置項(xiàng)多，A、B級軟件多，新研軟件多，配套來源多，編程語言多，工具類別及版本多等。與飛船首飛試驗(yàn)相比，空天飛行器任務(wù)更多、更復(fù)雜，軟件系統(tǒng)總體設(shè)計(jì)難度將更大。

為完善軟件系統(tǒng)分析與設(shè)計(jì)工作，增強(qiáng)整器任務(wù)可靠性，基于空天飛行器軟件系統(tǒng)總體設(shè)計(jì)“十五步”流程，開展了飛船首飛故障“舉一反三”工作，提出了五方面具體措施。

(1)高度重視系統(tǒng)架構(gòu)及信息綜合集成應(yīng)用，多方案對比確定系統(tǒng)架構(gòu)方案。系統(tǒng)架構(gòu)是軟件系統(tǒng)的頂層設(shè)計(jì)，系統(tǒng)架構(gòu)對軟件實(shí)現(xiàn)至關(guān)重要，不合理的架構(gòu)不僅會增加軟件或產(chǎn)品實(shí)現(xiàn)的設(shè)計(jì)難度，而且還會制約系統(tǒng)性能，尤其是系統(tǒng)關(guān)鍵指標(biāo)?？仗祜w行器研制涉及總體、控制、氣動、電氣、機(jī)構(gòu)等多個(gè)專業(yè)，屬于典型的系統(tǒng)工程，系統(tǒng)、子系統(tǒng)及設(shè)備間信息交互接口、信息流向、信息集成應(yīng)用等對軟件及硬件實(shí)現(xiàn)影響較大，不合理的設(shè)計(jì)將對軟件工程實(shí)現(xiàn)造成不必要的信息鉸鏈，給總體方案及故障預(yù)案設(shè)計(jì)帶來巨大工作量，甚至將導(dǎo)致總體付出不必要的質(zhì)量、功耗、體積代價(jià)。因此，方案設(shè)計(jì)階段，總體應(yīng)充分調(diào)研各承研單位軟件設(shè)計(jì)能力，結(jié)合任務(wù)需求分析，針對系統(tǒng)架構(gòu)和信息綜合集成應(yīng)用方案開展多方案對比與評估，選擇滿足功能、性能、進(jìn)度、經(jīng)費(fèi)及質(zhì)量等多重約束的系統(tǒng)架構(gòu)方案。

(2)分階段多層次開展項(xiàng)目軟件系統(tǒng)分析與設(shè)計(jì)工作，確定整器、各分系統(tǒng)及關(guān)鍵產(chǎn)品的關(guān)鍵時(shí)序及危險(xiǎn)事件。項(xiàng)目軟件系統(tǒng)分析與設(shè)計(jì)主要內(nèi)容涉及軟件系統(tǒng)需求、軟件系統(tǒng)架構(gòu)設(shè)計(jì)、安全性和可靠性設(shè)計(jì)、軟件系統(tǒng)危險(xiǎn)分析等內(nèi)容。不同設(shè)計(jì)階段、隨著設(shè)計(jì)的不斷深入，整器及系統(tǒng)間的信息交互和集成將越來越深入，越來越具體，總體及各分系統(tǒng)均需開展多層次軟件系統(tǒng)分析與設(shè)計(jì)工作，不斷完善安全性、可靠性設(shè)計(jì)及危害分析工作，確定整器、各分系統(tǒng)及關(guān)鍵產(chǎn)品的關(guān)鍵時(shí)序及危險(xiǎn)事件，并納入各系統(tǒng)任務(wù)書中。通過項(xiàng)目軟件系統(tǒng)分析與設(shè)計(jì)工作，飛船首飛故障不可排除的5個(gè)底事件均應(yīng)納入關(guān)鍵時(shí)序及危險(xiǎn)事件。

(3)詳細(xì)梳理發(fā)射前工作流程核心關(guān)鍵參數(shù)，并納入最低發(fā)射條件。進(jìn)入發(fā)射前工作流程后，飛行器將加電自檢，其結(jié)果將通過遙測或數(shù)傳數(shù)據(jù)下傳地面。發(fā)射前核心重要關(guān)鍵參數(shù)分為3類：終止發(fā)射、推遲發(fā)射、有影響但在軌可適時(shí)恢復(fù)，主要包括反映飛行器各系統(tǒng)的狀態(tài)信息，如轉(zhuǎn)導(dǎo)航狀態(tài)、自對準(zhǔn)狀態(tài)等，飛行器入軌后立即用到的狀態(tài)信息，如器上時(shí)間、遙控指令信息傳遞狀態(tài)等。飛船首飛故障不可排除底事件中的飛船程控指令異常(X2)、地面上行指令異常(X3)、絕對時(shí)間基準(zhǔn)異常(X5)、船上軟件時(shí)間初始化異常(X7)狀態(tài)均應(yīng)作為發(fā)射前核心重要關(guān)鍵參數(shù)，納入飛行器最低發(fā)射條件。

(4)重視任務(wù)可靠性，高度關(guān)注冗余實(shí)現(xiàn)方式及故障策略。冗余設(shè)計(jì)和故障策略是提高任務(wù)可靠性，確保任務(wù)圓滿成功的重要設(shè)計(jì)手段。提高任務(wù)可靠性的常用設(shè)計(jì)主要包括器上自主、集電極開路指令(OC指令)、程控指令、直接指令、地面遙控指令等多類指令間的互為備保；多次不間斷通信狀態(tài)判信息傳輸正常或故障；多源信息的融合與應(yīng)用；異構(gòu)傳感器或執(zhí)行機(jī)構(gòu)的冗余設(shè)計(jì)；關(guān)鍵信號的三模冗余設(shè)計(jì)；關(guān)鍵數(shù)據(jù)的異地備份等。飛船首飛故障不可排除底事件中的絕對時(shí)間基準(zhǔn)異常(X5)、船上軟件時(shí)間初始化異常(X7)等均應(yīng)采用冗余設(shè)計(jì)，如全球衛(wèi)星導(dǎo)航系統(tǒng)(GNSS)自主授時(shí)，地面授時(shí)和校時(shí)等，確保時(shí)間基準(zhǔn)的正確性。

(5)重視試驗(yàn)充分性和測試覆蓋性分析與驗(yàn)證，確保全任務(wù)剖面試驗(yàn)充分、測試全覆蓋?；谌蝿?wù)剖面和飛行試驗(yàn)方案，開展正常工況、一度故障工況及部分關(guān)鍵時(shí)序或指令多重故障工況分析，確定試驗(yàn)項(xiàng)目、試驗(yàn)工況、測試工況及模擬飛行狀態(tài)，通過地面試驗(yàn)或測試全面驗(yàn)證全部關(guān)鍵事件、系統(tǒng)間接口、信息流、正常/故障工況切換、系統(tǒng)工作模式切換、系統(tǒng)運(yùn)行狀態(tài)切換、設(shè)備主備份切換，確保全任務(wù)剖面、全工況、全接口、全流程等可分析、可試驗(yàn)、可測試、可驗(yàn)證。飛船首飛故障不可排除的5個(gè)底事件均可通過發(fā)射前的地面試驗(yàn)或整船測試發(fā)現(xiàn)設(shè)計(jì)缺陷，杜絕將此類故障帶上天。

5 結(jié)束語

基于波音載人飛船(Starliner)飛行試驗(yàn)相關(guān)報(bào)道及數(shù)據(jù)，完成了飛船軌道切入機(jī)動故障樹及故障原因分析。相比Starliner，空天飛行器任務(wù)更多、更復(fù)雜，軟件系統(tǒng)總體設(shè)計(jì)難度將更大，開展了飛船故障“舉一反三”工作，提出了增強(qiáng)空天飛行器系統(tǒng)任務(wù)可靠性的五方面建議。主要結(jié)論如下。

(1)推斷Starliner首飛試驗(yàn)軌道切入機(jī)動故障不可排除的5個(gè)底事件分別為飛船程控指令異常(X2)、地面上行指令異常(X3)、船地測控鏈路異常(X4)、絕對時(shí)間基準(zhǔn)異常(X5)、船上軟件時(shí)間初始化異常(X7)。

(2)Starliner首飛試驗(yàn)飛船總體設(shè)計(jì)與試驗(yàn)存在三方面缺陷：總體設(shè)計(jì)關(guān)鍵時(shí)序及危險(xiǎn)事件的識別與分析不到位，缺少可靠性安全性措施；關(guān)鍵信號或指令缺少必要的冗余設(shè)計(jì)或地面干預(yù)接口；試驗(yàn)充分性、測試覆蓋性未覆蓋全任務(wù)剖面所有工況。

(3)提出增強(qiáng)空天飛行器任務(wù)可靠性，提升軟件設(shè)計(jì)可靠性、安全性的五方面建議：重視系統(tǒng)架構(gòu)及信息綜合集成應(yīng)用方案；分階段多層次確定整器、分系統(tǒng)及關(guān)鍵產(chǎn)品的關(guān)鍵時(shí)序及危險(xiǎn)事件；飛行器核心關(guān)鍵參數(shù)應(yīng)納入最低發(fā)射條件； 高度關(guān)注冗余方式及故障降級策略；確保全任務(wù)剖面試驗(yàn)充分、測試全覆蓋。