杨胜 王曦 李蒙

(中国空间技术研究院载人航天总体部，北京 100094)

载人空间站在轨运行所需的人员轮换、物资补给，主要由载人飞船和货运飞船等天地往返运输航天器承担[1]。当载人航天器在轨出现故障导致部分系统功能降级或失效时，不能继续按照正常飞行模式飞行，要进入应急飞行模式，按照预先设计的应急飞行方案飞行，以尽可能完成既定飞行任务，并确保航天员的安全[2]。例如，若飞船入轨后出现“太阳电池翼单翼未展开”故障，经处置无效后只有单翼展开，导致整船供电能力下降约50%，只能进入应急飞行模式，按照应急飞行方案继续飞行任务。因此，应急飞行方案设计是实现载人航天器“一度故障工作、二度故障安全”高可靠、高安全要求的重要保证。

国外对载人航天器开展了应急飞行方案设计和研究工作，以确保飞行任务成功。以俄罗斯联盟TMA载人飞船为例，它具备6 h快速交会对接和2天常规交会对接能力[3-4]，在执行快速交会对接时将常规交会对接飞行方案作为应急飞行方案。2014年3月26日，联盟TMA-12M载人飞船执行向“国际空间站”运送航天员任务，在按6 h快速对接模式飞行时定位系统出现故障。经故障处置后进入推迟对接应急飞行模式，于3月28日成功与“国际空间站”对接，这是应急飞行方案成功应用的典型案例。但是，目前尚无法检索到国外载人航天器应急飞行方案的具体设计方法。对于国内载人航天领域，在历次任务中，均根据不同的任务目的和特点设计相应的应急飞行方案[5-8]，暂未形成通用化的设计方法。目前，我国载人航天工程已全面进入空间站阶段，应对载人航天器应急飞行方案的通用设计方法进行研究，更好地保障飞行任务的完成和航天员的安全。

本文提出了一种基于识别矩阵的应急飞行方案库构建方法，明确了以故障模式为线索的应急飞行模式识别方法和相应的应急飞行方案设计原则，以确保选择的应急飞行方案能保障航天员的安全，并尽可能完成既定的飞行任务。以天舟一号货运飞船为例，阐述基于识别矩阵的应急飞行方案库构建与应用过程。本文的研究思路和成果，也可推广应用于其他航天器的应急飞行方案设计。

1 基于识别矩阵的应急飞行方案库

载人航天飞行任务通常是在追踪飞行器、目标飞行器、航天员、地面测控系统等多方协同配合下完成的，载人航天器自身或与其他大系统接口故障，均可能导致其系统功能降级或失效。不同的故障模式，导致载人航天器系统功能降级或失效的程度不同，因此故障发生后载人航天器的飞行状态不同，也即进入的应急飞行模式不同。载人航天器全部的应急飞行模式及对应的应急飞行方案，构成应急飞行方案库，飞行控制过程中最终选定的应急飞行方案与其进入的应急飞行模式对应。因此，首先必须准确、全面地识别应急飞行模式，再根据不同的应急飞行模式确定针对性的应急飞行方案。

应急飞行方案的确定过程，是一个从“故障模式”到“应急飞行模式”再到“应急飞行方案”逐步收敛的过程，如图1所示。其中，故障模式识别和故障预案制定，主要是通过载人航天器系统级故障模式影响分析(FMEA)、故障树分析(FTA)等方法分析故障模式，并针对有在轨补偿措施的故障模式制定故障预案，具体可参考文献[5，9]，本文不展开介绍。应急飞行模式的识别，采用基于识别矩阵的方法，综合考虑功能和时间两个维度，以确保预先设计的应急飞行方案能够覆盖载人航天器全部系统功能故障和整个飞行过程。

1.1 建立应急飞行模式识别矩阵

为确保应急飞行模式识别的准确性和全面性，本文以载人航天器故障模式为线索，通过故障发生的飞行阶段、涉及的系统功能、按照故障预案处置后对系统功能的影响、能否继续按照正常飞行方案飞行、对任务目标的影响等分析要素，进行应急飞行模式识别，建立识别矩阵(如表1所示)。

表1 应急飞行模式识别矩阵Table 1 Identified matrix of emergency flight modes

(1)故障模式。对载人航天器所有故障模式逐一进行分析、识别，包括载人航天器自身故障和影响载人航天器飞行状态的大系统接口故障，如运载火箭入轨轨道过低、目标飞行器姿态失控等。

(2)飞行阶段。明确故障模式所发生的飞行阶段。飞行阶段是根据载人航天器飞行任务规划和自身功能特点人为划分的，如发射段、交会对接段、组合体段等。故障模式可能发生在某个或多个飞行阶段。

(3)系统功能。明确故障模式所涉及的系统功能。载人航天器系统功能可分为基本功能和任务功能。载人航天器在预定轨道上运行所必备的功能，称为基本功能，如姿态轨道控制、供配电等；载人航天器完成工程总体或用户的任务目标所必备的功能，称为任务功能，如交会对接、组合体停靠、推进剂补加等。

(4)按故障预案处置后对系统功能的影响。明确按故障预案处置后对系统功能的影响，包括“恢复”、“降级”和“失效”。若按照故障预案处置后故障消失，则对系统功能的影响为“恢复”；若处置后故障被隔离，系统功能部分丧失，则对系统功能的影响为“降级”；若处置后故障仍存在，系统功能全部丧失，则对系统功能的影响为“失效”。

(5)能否继续按照正常飞行方案飞行。根据故障处置后对系统功能的影响，判断能否继续按照正常飞行方案飞行，包括“是”和“否”2种情况。故障处置后系统功能恢复，通常能够继续按照正常飞行方案飞行；故障处置后系统功能降级或失效，通常不能继续按照正常飞行方案飞行，此时识别为应急飞行模式。需要说明的是，由于载人航天器交会对接飞行具有严格的时序约束，往往在发生故障后，即使系统功能恢复，也不能继续按照正常飞行方案飞行。

(6)对任务目标的影响。明确应急飞行模式下对任务目标的影响，包括“继续”、“降级”和“取消”。应急飞行模式下，部分系统功能降级或失效，但可以完成既定任务目标(如交会对接、推进剂补加等)，则影响为“继续”；应急飞行模式下，部分系统功能降级或失效，只能完成部分既定任务目标，则影响为“降级”；应急飞行模式下，部分系统功能降级或失效，无法完成既定任务目标，为确保航天员安全，需要应急返回，则影响为“取消”。

按照表1，对系统级故障模式逐一进行分析、识别，可确保从静态和动态2个维度覆盖载人航天器整个飞行阶段和全部系统功能。为便于应急飞行方案库的构建，对识别出的应急飞行模式按照系统功能影响、飞行阶段和对任务目标的影响进行分类、汇总，见表2。

表2 识别出的应急飞行模式汇总Table 2 Summary of identified emergency flight modes

注：填写格式为“对任务目标的影响+应急飞行模式数”，无应急飞行模式时，用“/”表示。

1.2 设计应急飞行方案

针对每种应急飞行模式，都应预先设计对应的应急飞行方案，形成应急飞行方案库，便于飞行控制过程中快速决策实施。

1)设计原则

应急飞行方案应遵循以下设计原则。①全面性原则：对识别出的应急飞行模式，均有相应的应急飞行方案，以确保载人航天器在轨出现故障进入应急飞行模式后均能以确定的状态飞行，继续任务或取消任务。②归一化原则：同一系统功能在不同飞行阶段的应急飞行模式，应尽可能对应同一种应急飞行方案，对飞行任务目标影响相同的应急飞行模式，应尽量对应同一种应急飞行方案，以减少应急飞行方案数，便于地面测试覆盖全面，也便于飞行控制过程中快速决策实施。

2)一般设计方法

应急飞行方案应围绕应急飞行模式汇总(见表2)进行设计，主要考虑系统功能异常(降级或失效)情况下，如何使载人航天器以确定的飞行状态继续任务、完成部分任务或取消任务。一般设计方法为：①对影响航天员安全的系统功能(如热管理功能)异常，应取消任务，实施航天员应急撤离[7]或自主应急返回[9]。②对影响载人航天器平台安全的系统功能(如供配电功能)异常，应降低整器负载，再根据能量平衡情况继续任务，或取消任务应急返回。③对影响完成既定任务的系统功能(如交会对接功能)异常，应尽快切换至备份，以备份状态继续飞行任务。

在实际设计过程中，要在上述一般设计方法的基础上，根据载人航天器自身的任务特点，设计具体的应急飞行方案。

3)命名原则

应急飞行方案通常按照“飞行阶段+对系统功能的影响+对任务目标的影响”的形式命名，以便于飞行控制人员直观地理解和掌握什么时候在什么情况下需要使用该应急飞行方案，以及清楚地了解使用后对任务的影响。同时，为方便使用，在确保没有歧义的情况下，可以对飞行方案的名称进行适当简化。其中：一种应急飞行方案覆盖同一系统功能在不同飞行阶段的应急飞行模式时，飞行阶段在名称中可以省略；一种应急飞行方案覆盖对飞行任务目标影响相同的应急飞行模式时，飞行阶段和对系统功能的影响在名称中均可省略。

2 在天舟一号货运飞船中的应用

天舟货运飞船是我国载人航天工程的重要组成部分，主要任务是为空间站运输货物和补加推进剂，并将空间站废弃物带回大气层烧毁。首艘货运飞船天舟一号在2017年4月20日成功发射，9月22日受控离轨，圆满完成了飞行任务[10]。天舟一号货运飞船应急飞行方案库采用了基于识别矩阵的方法，具体过程如下。

1)识别应急飞行模式

以天舟一号货运飞船故障预案中上百项故障模式为线索，建立应急飞行模式识别矩阵。针对每项故障模式，分析按故障预案处置后对系统功能的影响和对任务目标的影响，明确能否继续按照正常飞行方案飞行。

以“太阳电池翼单翼未展开”、“太阳电池翼双翼未展开”、“目标飞行器控制组合体姿态异常”3种典型故障模式为例，可覆盖系统功能降级任务继续、系统功能失效任务降级和系统功能失效任务取消3种典型应急飞行模式。建立应急飞行模式识别矩阵,如表3所示。其中：①当交会对接段出现“太阳电池翼单翼未展开”故障时，经故障处置无效，将导致整船供配电功能降级，不能按照正常飞行方案飞行，需要降低整船负载功率，继续交会对接。②当交会对接段出现“太阳电池翼双翼未展开”故障时，经故障处置无效，将导致整船供配电功能失效，不能按照正常飞行方案飞行，需要降低整船负载功率，取消交会对接，应急离轨。③当组合体段出现“目标飞行器控制组合体姿态异常”故障(大系统接口故障)时，经(目标飞行器)故障处置无效，将导致组合体停靠功能失效，不能按照正常飞行方案飞行，需要由货运飞船控制组合体姿态，继续组合体飞行。由于目标飞行器姿态控制异常，后续需要目标飞行器配合的任务(如绕飞)等无法进行，任务降级。

在应急飞行模式识别矩阵中，经故障处置后不能继续按照正常飞行方案飞行的故障模式，均为应急飞行模式。按照系统功能、飞行阶段和对任务目标的影响进行分类、汇总，天舟一号货运飞船应急飞行模式约几十项。举例说明，在表3的基础上，识别出“供配电功能降级继续任务”、“供配电功能失效任务取消”、“组合体停靠功能失效任务降级”3项应急飞行模式，如表4所示。

2)应急飞行方案设计

按照应急飞行方案设计原则，分析、合并应急飞行模式，对应设计出天舟一号货运飞船应急飞行方案十余项，形成应急飞行方案库。举例说明，在表4的基础上，针对“供配电功能降级继续任务”应急飞行模式，设计“降低整船负载继续交会对接应急飞行方案”；针对“供配电功能失效任务取消”应急飞行模式，设计“降低整船负载取消交会对接应急离轨”应急飞行方案；针对“组合体停靠功能失效任务降级”应急飞行模式，设计“货运飞船控制组合体”应急飞行方案。其中，“货运飞船控制组合体”应急飞行方案，直接应用于天舟一号货运飞船控制组合体在轨试验方案设计，并经过了在轨验证。控制精度满足要求，达到了预期的试验目的。

表3 天舟一号货运飞船应急飞行模式识别矩阵(例)Table 3 Identified matrix of emergency flight modes for Tianzhou-1 cargo spaceship

表4 识别出的天舟一号货运飞船应急飞行模式汇总(例)Table 4 Summary of identified emergency flightmodes for Tianzhou-1 cargo spaceship

3 结束语

本文以载人航天飞行任务为研究背景，针对载人航天器“一度故障工作、二度故障安全”的高可靠、高安全要求，提出了一种基于识别矩阵的应急飞行方案库构建方法，可以从静态和动态两个维度覆盖载人航天器全部系统功能和整个飞行过程。在载人航天器在轨出现故障进入应急飞行模式的情况下，按照相应的应急飞行方案，可确保航天员的安全，并尽可能完成既定飞行任务。面向未来载人航天自主化、智能化的发展趋势，后续将研究载人航天器应急飞行方案在轨自主规划方法。

参考文献(References)

[1] 周建平.我国空间站工程总体构想[J].载人航天,2013,19(2)：1-10

Zhou Jianping. Chinese space station project overall vision [J]. Manned Spaceflight, 2013,19(2)：1-10 (in Chinese)

[2] 张蕊.交会对接故障情况与分析[J].国际太空,2011(5):8-14

Zhang Rui. Failure and analysis of rendezvous and docking [J]. Space International, 2011(5): 8-14 (in Chinese)

[3] Rafail Murtazin，Nikolay Petrov．Short profile for the human spacecraft Soyuz-TMA rendezvous mission to the ISS [J]． Acta Astronautica，2012，77：77-82

[4] Rafail Murtazin， Nikolay Petrov． Usage of pre-flight data in short rendezvous mission of Soyuz-TMA spacecraft [C]//Proceedings of the 63rd International Astronautical Congress. Paris： IAF， 2012: 1-7

[5] 于潇,马晓兵,苟仲秋.神舟飞船出舱活动故障模式和对策的设计与实践[J].航天器工程,2010,19(6):56-60

Yu Xiao, Ma Xiaobing, Gou Zhongqiu. Failure mode and countermeasure design and implement for Shenzhou spaceship’s extravehicular activity [J]. Spacecraft Engineering, 2010, 19(6): 56-60 (in Chinese)

[6] 李智勇.天宫一号目标飞行器系统级自主安全设计[J].航天器环境工程,2011,28(6):525-528

Li Zhiyong. Design of systemic autonomous safety for Tiangong-I target spacecraft [J]. Spacecraft Environment Engineering, 2011, 28(6): 525-528 (in Chinese)

[7] 王志莹,杨海峰,王悦,等.载人航天器组合体航天员应急撤离流程设计[J].航天器工程,2017,26(5):23-27

Wang Zhiying, Yang Haifeng, Wang Yue, et al. Design of flow for astronauts emergency evacuation in manned spacecraft combination [J]. Spacecraft Engineering, 2017, 26(5): 23-27 (in Chinese)

[8] 张治国,刘新建,闫野.一种载人飞船自主应急返回模式设计[J].载人航天,2012,18(3):25-30

Zhang Zhiguo, Liu Xinjian, Yan Ye. A design of autono-mous emergency reentry for manned spacecraft [J]. Manned Spaceflight, 2012, 18(3): 25-30 (in Chinese)

[9] 刘志全，宫颖.航天产品FMEA工作有效性的思考[J].航天器工程,2011,20(1):142-146

Liu Zhiquan,Gong Ying. Consideration about the vali-dity of aerospace product FMEA [J]. Spacecraft Engineering, 2011,20(1):142-146 (in Chinese)

[10] Bai Mingsheng, Jin Yong, Yang Sheng, et al. Achie-vements and expectation of Tianzhou-1 cargo spaceship [C]//Proceedings of the 68th Ineternational Astronautical Conference. Paris： IAF， 2017: 1-5