何永英

（上海空间推进研究所，上海200233）

0 引言

单元肼推进系统是空间飞行器应用中最普遍的推进系统，尤其是在中低轨卫星领域，落压式单元无水肼催化分解系统（以下简称肼系统）以其技术成熟、系统简单可靠的显著优点被广泛应用。由于肼系统携带有毒推进剂，且系统初始压力较高（一般为1.8～2.5 MPa），在推进剂加注后及卫星在轨运行期间，推进系统处于易燃、易爆和剧毒状态，而且推进系统的安全性事件往往是不可逆的，对人员和卫星安全都构成直接危害，后果严重。因此，如何在设计和产品研制阶段采取合理有效的安全性措施使危险最小化，或采取安全防护措施将有关风险降低到可接受的水平是推进系统设计研制阶段的首要问题。

早些年，肼系统的安全性事故在国内外都有发生，但随着人们对系统安全意识的增强，安全性的理念已经灌输到每一个设计师、工艺师、质量检验师以及生产操作工人，加上管理手段、设计措施、工艺方法以及测试设备的升级更新，安全性设计、管理、控制能力大大提高。本文仅针对现有中低轨卫星用单元肼推进系统采取的安全性措施进行分析和总结。

1 安全性设计原则

按照空间飞行器安全性设计的一般要求，保证人员和产品安全是安全性设计的出发点和基本要求，并通过设计手段消除已判定的危险或减少有关风险，将其降低到可接受的限度内。根据肼系统的特点和已识别的危险，采取相应的安全性措施，拟定安全性设计原则为：

1)通过设计手段消除已知的危险或利用最小危险设计原理、技术将其风险降低到可接受水平。

2)应考虑补偿措施将不能消除的危险带来的风险降至最低。

3)应从整星角度评估与推进系统相关的安全性措施。

4)危险品和危险操作应与其他活动、区域、人员及不相容的器材隔离。

5)应避免工作人员受到有毒推进剂、有毒气体、高低温及辐射的伤害。

6)应减少恶劣环境，如压力、噪声、冲击、过载、振动、静电、雷击和有害射线等所导致的危险。

7)在设计时充分考虑使用和维护过程中因人为差错可能导致的危险。

8)在装配、使用和维护说明书中应给出警告和注意事项，在危险器材、设备和设施上标示醒目的安全标识，并符合GB2894的规定。

9)用隔离或屏蔽的方法，保护上游的电源系统、控制系统和下游测控系统装置的安全。

10)在采用新的设计方法、新材料、新工艺和试验技术时，寻求最小风险。

2 安全性设计措施及分析

根据肼系统的安全性分析，其危险源为高压气体和推进剂，在贮箱加注、充气、检查、测试以及飞行过程中，存在对人员和卫星造成损害的危险模式，包括：受压元件爆破、加注环节及连接密封环节推进剂泄漏、检查测试过程中推力器误动作、飞行过程中推力器误动作和管路压力升高导致的损害等。为确保加注过程中及加注后到卫星发射前人员和设备安全，需制定一整套完整、全面的安全性保障体系。从产生危害的严重程度出发，明确推进组件安全性设计的重点是：防泄漏、防爆燃、防污染和防腐蚀。

安全性设计措施落实上涉及到产品研制全过程，包括系统优化设计、电接口防护设计、安全裕度设计、材料优选控制、环境要求、监测及测试手段和产品生产装配测试阶段的过程控制以及危害产生后的应急处理和预案制定等各种途径。下文将有侧重点地进行逐一介绍和分析。

2.1 系统优化设计

图1给出了典型的肼系统原理示意图。下面将从系统优化设计角度给出安全性设计措施。

2.1.1 危险隔离设计

系统设计要求尽量采用焊缝密封方式；为满足维修性要求的部分组件活连接采用双密封接头的形式；加排阀采用多道密封的设置；电磁阀采用双阀座结构；系统中设置自锁阀，实现推进剂输送系统上下游隔离；加强地面试验过程中的系统漏率测试及在轨运行期间的压力监测。以上措施均可有效防止系统外漏或阀门内漏带来的安全性风险。

2.1.2 优化加注流程

按照肼系统的工作时序设置，推进剂加注状态一般有一级保险（即：推进剂直接加注到电磁阀前）和二级保险（初始推进剂加注到自锁阀前）两种方式，从以往卫星型号的实际运行来看，两种加注方式都是安全的，但也存在不同程度的风险，以下针对两种加注方式分别给出安全性设计措施：

1)一级保险加注方式下，采用加注后关闭自锁阀，仅对自锁阀上游进行增压，而下游管路保持常压状态的措施很大程度上减小了下游管路泄漏带来的危害；同时考虑采用在自锁阀关闭前对下游管路适当加热的方式，或采用具有自动反向泄压的自锁阀，以减少或防止自锁阀关闭后下游管路压力随温度上升而爬升对系统带来的危害。

2)二级保险加注方式下，采用加注前系统预留一定压力的氦气，关闭自锁阀后对上游进行抽真空加注，下游的气垫不仅安全有效地隔离了推进剂和推力器，大大减小了在推进剂加注后到星箭分离期间推力器泄漏或误点火所带来的安全性风险，同时对推进系统工作前打开自锁阀进行推进剂充填时的瞬时水击压力也起到明显的缓冲作用。

2.1.3 优化工作时序设置

为确保肼系统在推进剂加注后、在轨飞行期间以及卫星姿态异常应急处理模式下的安全工作，在对卫星发射场工作流程和飞行程序设置时就应充分考虑对肼系统的安全保护措施，一般有以下几个途径：

1)在推进剂加注后到发射前，通过星表保护插头等物理手段切断电磁阀供电，以防止在此期间发生推力器误点火事件。

2)卫星发射前和主动段期间，通过遥控指令切断自锁阀供电或电磁阀供电回路（一级保险可考虑切断电磁阀供电、二级保险考虑切断自锁阀供电），同时锁定电磁阀控制指令发出，以防止在此期间发生推力器误点火事件。

3)卫星正常在轨飞行期间，通过遥控指令关闭自锁阀，并切断电磁阀、自锁阀供电回路，避免推力器误点火，并使贮箱内推进剂处于二级防泄漏（自锁阀和电磁阀）保护下。

4)在卫星发生姿态异常或应急模式下，通过程控启动推力器限喷程序，以避免卫星能源无故损耗；在姿控计算机重启时，卫星重新走星箭分离程序，要求肼系统处于能源安全保护模式，即电磁阀供电断开或自锁阀供电断开且自锁阀处于关闭状态。

2.2 电接口安全保护设计

肼系统的电接口防护设计措施主要为阀门供电保护状态设置。

为确保在卫星各研制阶段肼系统安全，通过在总体电路上采取措施，在星表设置电磁阀和自锁阀供电保护插座，一般配置了三种状态的插头：

1)自锁阀供电接通、电磁阀供电切断。这种状态主要用于整星测试阶段。

2)自锁阀和电磁阀供电均切断。这种状态用于推进剂加注后到卫星临射前。

3)自锁阀和电磁阀供电均接通。这种状态主要用于需要推进分系统电磁阀喷气的测试和卫星在轨飞行阶段。

2.3 安全裕度设计

肼系统中大部分组件与2.0 MPa左右的高压气体或无水肼接触，若产品质量存在问题，则有可能出现泄漏的现象，从而导致产品严重受损，严重时可能危及人身安全。因此，原则上必须对组件及总装零部件产品采取安全裕度设计，安全裕度主要考虑结构安全裕度。

肼系统为落压工作模式，系统初始工作压力即为最大工作压力，因此各组件产品及地面承压设备的结构安全裕度设计以系统最大工作压力为参考基准。

1）组部件及管路结构强度安全系数设置：原则上系统组部件及管路结构安全系数均取≥4，贮箱考虑到减重因素，一般取≥2。

2）地面支持设备结构强度安全系数设置：原则上地面支持设备结构强度安全系数均选取≥4。

2.4 材料优选控制

原材料与推进剂的相容性水平直接影响系统安全，相容性等级低的材料和推进剂长期接触，可能影响系统漏率导致推进剂外漏。若与推进剂直接接触的原材料能与推进剂产生化学反应，严重时可引起爆炸，导致星毁人亡的严重事故。因此在系统产品材料优选控制上，要求与推进剂直接接触的所有原材料均要求与推进剂能长期相容，达到I级相容等级要求，对部分短期接触的材料要求达到II级相容等级并进行充分的相容性试验验证。

2.5 环境要求、监测及测试手段

肼系统在加注过程中及加注后均处于较高安全风险状态，对环境条件、设备条件及安全监测条件等均提出较高要求。

2.5.1 环境条件

环境条件主要包括厂房洁净度要求、温度、湿度以及厂房分区条件和消防应急条件等。为保证产品和人员安全，要求产品放置区域与加注间有安全有效的物理隔离，加注设备和操作人员所处的位置之间须设置防爆隔离墙，加注现场应具备完整的消防应急和救护应急条件。

2.5.2 设备条件

设备条件主要包括厂房供电设备、吊装设备、供气供液设备和消防设备等，一般要求确保供电设备接地可靠，电气设备采用防爆型并采取防静电措施；排风设备运转正常、供气供液设备准备余量充分，必要时配备防爆型摄像监测设备，消防设备现场就位。

2.5.3 安全监测及测试条件

对厂房环境，包括温湿度、大气压环境等需进行实时监测，完成推进剂加注后，需定时对厂房环境进行肼浓度监测。

2.6 产品生产装配测试阶段的过程控制

产品的安全性隐患往往在生产、装配和测试过程中引入，且有些缺陷是不可测或不易检测的，一直带到系统产品，在整星测试环节甚至在轨飞行期间才暴露出来，引起的安全性危害不容忽视，因此提高产品安全性能，必须在产品生产、装配和测试环节加强过程控制，可包括如下内容：

1)充分重视超差处理、让步接收、不合格品审理和代料等对产品安全性能影响的分析和论证。

2)加强组件及系统生产、装配和测试过程中所用气体或液体的检测，避免将多余物带入产品。

3)加强产品生产、装配和测试过程中的环境条件控制。

4)严格控制地面设备的洁净度、密封性、接地安全性以及使用规范性，避免因设备故障带来的产品安全性风险。

2.7 应急处理和预案制定

尽管对系统产品采取了各种安全性设计措施，但为了防止安全事故的发生，还需要对安全性事故发生的风险有清醒的认识，对可能出现的故障或事故提出防范措施和处理对策，努力将事故产生的危害影响降到最低，主要措施包括：

1)推进剂加注过程中发现微漏及时关闭上下游阀门，排除故障后，用中和液清洗污染部分，用大量清水冲洗现场；出现大量泄漏或着火时，迅速关闭上下游阀门，用大量清水扑灭明火，关闭所有阀门后对现场进行冲洗处理。

2)出现人员呼吸道中毒时，立即将患者移至空气新鲜处，迅速就医；推进剂溅入眼中或皮肤上，立即用水冲洗，然后就医。

3)加注结束后撤收加注管时，先用真空泵抽吸，并在接嘴下方配备托盘和滤纸，以免推进剂滴入舱中。

4)在轨期间发生推进剂泄漏故障时，通过主备份支路切换隔离故障。

3 试验验证情况

肼系统的安全性设计措施在多个型号和多发卫星产品上成功实施，近几年来卫星发射频繁，但未发生一起安全事故，这与采取了充分的安全性措施是密不可分的。在此针对部分可定量分析的安全性措施在地面试验及在轨期间验证的情况进行说明。

3.1 一级保险模式自锁阀下游保持常压措施

在一级保险加注模式下，采取对自锁阀下游保持常压的措施，可保证推进剂加注后到卫星发射前若推力器发生误动作或泄漏故障时，推力器不会建压，不会对卫星产品和人员安全带来影响。对此在风云3号卫星推进系统地面试车时进行了试验验证，图2给出了自锁阀关闭状态下，开启1和21分机时自锁阀下游压力p3和推力室室压pt1和pt21变化曲线。

由图可知，采取自锁阀下游保持常压的安全性措施，当靶场加注完成后，即使由于某种原因导致电磁阀产生误动作，推力器也将不会点火，能确保产品和人身的安全。

3.2 在轨期间自锁阀下游管路泄压措施

由于卫星长期在轨期间，自锁阀下游管路压力随温度上升有明显爬升，而压力爬升会对系统安全带来隐患，一般采取两种途径应对：打开自锁阀泄压，给管路下游加热后关闭自锁阀；采用可自动反向泄压的自锁阀，压力达到临界值时造成短时反向渗漏达到泄压目的。

图3给出了风云3号A星在轨期间采取打开自锁阀泄压，管路加热后关闭自锁阀的措施实施期间系统压力和相应管路温度变化曲线。

图4给出了某星在轨期间自锁阀自动反向泄压时的压力变化曲线。泄压前贮箱出口压力约为1.3 MPa，泄压压差约1.1 MPa。

由图可知，目前采取的两种泄压途径都是有效、安全的，对压力爬升引起的危害起到了“防微杜渐”的作用。

3.3 组部件产品结构强度试验验证

为验证系统各组部件产品的结构强度安全系数满足设计要求，在组部件产品研制过程中均进行结构强度试验，表1给出了单元肼系统主要通用化产品的设计压力、验证压力和爆破压力比对情况。

由表可见，系统所有承压组部件验证压力均达到了结构强度安全系数，符合安全指标要求。

表1 单元肼系统产品结构强度设计及验证情况对照表Tab.1 Parameters of components in hydrazine monopropellant propulsion system

4 结论

通过对单元肼卫星推进系统安全性设计措施及试验验证结果的分析，认为采取充分、必要的安全性设计措施是确保卫星安全、成功运行的基石，通过地面验证试验和飞行试验考核，当前所研制产品上实施的安全性设计措施的有效性得到充分验证。

[1]周正伐.航天可靠性工程[M].北京:中国宇航出版社,2006.

[2]胡昌寿.航天可靠性设计手册 [M].北京:机械工业出版社,1999.

[3]业东,齐慧滨.材料腐蚀与防护概论[M].北京:机械工业出版社,2005.

[4]祝耀昌.产品环境工程概论[M].北京:航空工业出版社,2003.

[5]中国航天工业总公司.QJ2236A-99航天产品安全性保证要求[S].北京:中国航天工业总公司第七0八研究所,1999.

[6]中国人民解放军总装备部.GJB5403-2005无水肼安全应用准则[S].北京:总装备部军标出版发行部,2005.

[7]中国航天工业总公司.QJ2850-96航天产品多余物预防和控制[S].北京:中国航天工业总公司第七O八研究所,1996.

[8]王爱玲.液体火箭发动机试验过程中人的可靠性评价研究[J].火箭推进,2007,33(3):60-63.

[9]刘俊,李小芳.600 N单组元推力室的研制[J].火箭推进,2006,32(5):16-20.

[10]旷武岳.液体火箭发动机系统可靠性设计的故障树分析[J].火箭推进,1995,21(2):4-10.