滿益明 王征 馮忠偉 朱紅 張春陽

(中國運載火箭技術研究院，北京 100076)

波音載人飛船(Starliner)是由美國波音公司出資和NASA共同研制的新型載人飛船，能一次搭載7名航天員，具備3天自主飛行、210天?？磕芰?，可重復使用10次[1-2]。

2019年12月20日，飛船搭載宇宙神-5運載火箭從卡納維拉爾角空軍基地發(fā)射入軌，執(zhí)行飛船首飛試驗測試、與“國際空間站”自動對接并向其運送給養(yǎng)。運載火箭發(fā)射上升段飛行正常、船箭分離正常，但飛船入軌后，因軟件故障，未能按正常飛行程序執(zhí)行預訂的軌道切入機動操作，經(jīng)地面搶救后，決定放棄同“國際空間站”對接任務，于2019年12月22日提前返回，著陸于新墨西哥州白沙靶場，完成再入返回測試任務[3-6]。

本文系統(tǒng)梳理了波音載人飛船首飛試驗關鍵事件，采用故障樹分析方法，確定了軌道切入機動故障底事件，基于航天器軟件系統(tǒng)總體設計“十五步”流程，推測飛船總體設計、軟件系統(tǒng)分析與設計、產品測試與試驗環(huán)節(jié)的缺陷和漏洞為故障直接原因，針對空天飛行器軟件設計與研制面臨的整器信息流高度耦合、系統(tǒng)間匹配性協(xié)調性要求高、軟件產品配套關系復雜等難題，開展了飛船故障“舉一反三”工作，從系統(tǒng)架構、關鍵時序、發(fā)射前工作流程、任務可靠性、試驗充分性和測試覆蓋性分析與驗證等五方面給出了增強整器任務可靠性的具體措施，以降低關鍵事件識別不充分、冗余設計不全面、測試驗證不覆蓋等帶來的技術風險。

1 飛船首飛試驗概括

本次試驗中，飛船采用宇宙神-5運載火箭無整流罩方式發(fā)射。根據(jù)發(fā)射計劃，運載火箭發(fā)射后約15 min飛船將與半人馬上面級分離，進入遠地點約為181.5 km，近地點約為72.8 km的亞軌道，滑行約15 min后，服務艙軌控發(fā)動機點火，飛船轉移至與空間站對接前的穩(wěn)定停泊軌道，約25 h后，與“國際空間站”和諧號艙段對接，組合運行7天后，飛船與空間站分離，再入返回，著陸于新墨西哥州白沙靶場。但因飛船軟件錯誤導致服務艙軌控發(fā)動機錯過了正確的點火時機[7]，飛船未能進入預定軌道，經(jīng)地面人員干預并評估后，飛船放棄與“國際空間站”的對接，24 h后直接離軌再入，返回白沙靶場[8-10]。首飛發(fā)射計劃任務剖面見圖1，計劃飛行和實際飛行關鍵事件分別見表1和表2，表1和表2中的T0為火箭起飛時刻，為世界協(xié)調時(UTC)2019年12月20日11時36分。

圖1 波音載人飛船Starliner首飛試驗任務剖面Fig.1 Mission profile of Boeing Starliner orbital fight test

表1 首飛試驗計劃飛行關鍵事件

表2 首飛試驗實際飛行關鍵事件

2 軌道切入機動故障樹分析

基于故障樹分析方法，開展了飛船首飛軌道切入機動故障樹分析，詳見圖2，由圖中可知，該故障共有9個底事件。

圖2 軌道切入機動故障樹Fig.2 Fault tree of orbit insertion maneuver

1)發(fā)動機工作異常(X1)

地面干預后，飛船進入了地面返回待命圓軌道，并成功實施了再入返回，可間接證明發(fā)動機工作正常，因此，該事件可排除。

2)船上程控指令異常(X2)

軌道機動有兩種工作模式：自主機動或地面程控機動。自主軌道機動通過船上任務管理程控指令觸發(fā)GNC系統(tǒng)自動轉入軌道控制模式，控制計算機根據(jù)飛行器當前位置和姿態(tài)，自主執(zhí)行發(fā)動機開關機指令?；诂F(xiàn)有公開信息，該事件不可排除。

3)地面上行指令異常(X3)

采用地面程控機動模式時，飛船軌道機動前，由地面站生成需要上行的軌道機動指令，并通過船地測控鏈路將相應指令發(fā)送至飛船，完成軌道機動任務?；诂F(xiàn)有公開信息，該事件不可排除。

4)船地測控鏈路異常(X4)

飛船首飛軌道切入機動異常后，地面開展了較長時間的地面搶救工作。由此可以推斷，船地測控鏈路處于工作狀態(tài)。但從現(xiàn)有公開信息，無法確認軌道機動異常前后及排故過程中，測控鏈路是否全部正常。因此，該事件不可排除。

5)絕對時間基準異常(X5)

船上時間基準主要有三種來源：運載火箭起飛信號、船箭分離信號或發(fā)射前地面上注的基準時間，如-10 min，-2 h等。因發(fā)射上升段和船箭分離后，飛船消初偏等動作均正常，可初步確定船上絕對時間零點基準并未優(yōu)先采用運載火箭起飛信號或船箭分離信號對應的絕對時間，由此推斷船上時間零點最大可能采用了發(fā)射前某時間基準?；诋斍肮_信息，該事件不可排除。

6)發(fā)射前地面上注時間異常(X6)

飛船發(fā)射前已加電工作，為確保時間準確性，一般可安排地面授時或校時，對時間基準進行精修和狀態(tài)確認。若飛船發(fā)射前地面開展了授時或地面校時工作，則地面人員通過判別遙測參數(shù)可提前發(fā)現(xiàn)時間基準不一致的錯誤，避免任務失敗。但從首飛試驗結果來看，飛船發(fā)射前最大可能未開展地面上注時間工作。因此，該底事件按可排除處理。

7)船上軟件時間初始化異常(X7)

飛船存在大量與時間相關的動作或指令，絕對時間和相對時間的正確初始化是其正確執(zhí)行的必要條件。船箭分離后，飛船正確執(zhí)行了消初偏、姿態(tài)調整等動作，據(jù)此可判斷出船上相對時間的初始化正常。

軌道切入機動異常至再入返回前，飛船執(zhí)行了與絕對時間相關聯(lián)的動作和指令，且X6分析已明確飛船發(fā)射前最大可能未開展地面上注時間工作，因此，無法判斷飛船在執(zhí)行這些動作和指令前，設計人員是否利用船地測控鏈路對時間基準進行了修正。因此，該事件不可排除。

8)船上計時基準異常(X8)

航天器上單位計時基準常采用高穩(wěn)定度、高精度晶振，其信號處理后將作為器上時間系統(tǒng)的最小時間單元，與時間相關的所有動作和指令均與該基準相關。從飛行試驗來看，飛船完成了消初偏及軌道機動等動作，可推斷飛船時間使用的計時器正常。因此，該事件可排除。

9)計時器軟件異常(X9)

船上計時主要包括兩部分：由硬件實現(xiàn)的計時基準和軟件實現(xiàn)的計時器軟件。飛船完成了消初偏及軌道機動等動作，因此，該事件可排除。

通過故障樹分析，飛船首飛軌道切入機動故障不可排除的底事件有5個：飛船程控指令異常(X2)、地面上行指令異常(X3)、船地測控鏈路異常(X4)、絕對時間基準異常(X5)、船上軟件時間初始化異常(X7)。

3 軌道切入機動故障原因分析

飛船首飛軌道切入機動故障不可排除的5個底事件均與飛船軟件系統(tǒng)分析與設計、軟件可靠性和安全性相關。基于NASA公開信息及航天器軟件系統(tǒng)總體設計流程(見圖3)，本文推測飛船首飛試驗在飛行器總體設計、軟件系統(tǒng)分析與設計、產品測試與試驗環(huán)節(jié)存在較大缺陷和漏洞。

(1)關鍵時序及危險事件的識別與分析不到位，缺少可靠性安全性措施。項目軟件系統(tǒng)分析與設計重點關注航天器整器系統(tǒng)架構、物理架構、信息流、可靠性、安全性設計、關鍵時序及危險事件分析與識別等。從圖2故障樹分析可知，項目軟件系統(tǒng)分析與設計環(huán)節(jié)的關鍵時序及危險事件的識別與分析、軟件可靠性、安全性分析不到位或不全面，導致總體設計層面任務可靠性要求不全面，部分關鍵時序及危險事件設計要求不明確。

(2)關鍵信號或指令缺少必要的冗余設計或地面干預接口。對于系統(tǒng)級故障或關鍵性信號故障，發(fā)射前未制定故障預案或故障預案不夠細化，缺少可操作性；對于地面?zhèn)浔Ｖ噶?，測控覆蓋性或鏈路設計與分析的工況不夠全面，未覆蓋飛行工況，導致故障工況下，天地大回路測控保障條件不足以支撐地面處理。

(3)試驗充分性、測試覆蓋性未覆蓋全任務剖面所有工況。按照航天器設計流程，航天器各研制階段，均會開展測試覆蓋性和試驗充分性分析，評估測試和試驗對任務剖面各工況的覆蓋性。從飛行試驗故障樹分析可知，飛船出廠前的測試覆蓋性和試驗充分性不全面、不充分，未覆蓋部分關鍵信號、多重冗余策略和部分故障工況。

圖3 航天器軟件系統(tǒng)總體設計“十五步”流程Fig.3 15-steps process of overall design of spacecraft software system

4 空天飛行器軟件系統(tǒng)總體設計建議

空天飛行器是一種集航空、航天技術于一體，兼有航空和航天功能，既能在軌執(zhí)行任務又能在機場水平著陸的飛行器[11-12]。得益于計算機、信息化技術的發(fā)展和系統(tǒng)集成化、小型化的規(guī)模應用，空天飛行器軟件產品比例，器上信息的綜合集成比例，系統(tǒng)間、設備間的信息耦合度均比傳統(tǒng)航天器高?？仗祜w行器軟件產品設計與研制面臨“六多”特點：軟件配置項多，A、B級軟件多，新研軟件多，配套來源多，編程語言多，工具類別及版本多等。與飛船首飛試驗相比，空天飛行器任務更多、更復雜，軟件系統(tǒng)總體設計難度將更大。

為完善軟件系統(tǒng)分析與設計工作，增強整器任務可靠性，基于空天飛行器軟件系統(tǒng)總體設計“十五步”流程，開展了飛船首飛故障“舉一反三”工作，提出了五方面具體措施。

(1)高度重視系統(tǒng)架構及信息綜合集成應用，多方案對比確定系統(tǒng)架構方案。系統(tǒng)架構是軟件系統(tǒng)的頂層設計，系統(tǒng)架構對軟件實現(xiàn)至關重要，不合理的架構不僅會增加軟件或產品實現(xiàn)的設計難度，而且還會制約系統(tǒng)性能，尤其是系統(tǒng)關鍵指標?？仗祜w行器研制涉及總體、控制、氣動、電氣、機構等多個專業(yè)，屬于典型的系統(tǒng)工程，系統(tǒng)、子系統(tǒng)及設備間信息交互接口、信息流向、信息集成應用等對軟件及硬件實現(xiàn)影響較大，不合理的設計將對軟件工程實現(xiàn)造成不必要的信息鉸鏈，給總體方案及故障預案設計帶來巨大工作量，甚至將導致總體付出不必要的質量、功耗、體積代價。因此，方案設計階段，總體應充分調研各承研單位軟件設計能力，結合任務需求分析，針對系統(tǒng)架構和信息綜合集成應用方案開展多方案對比與評估，選擇滿足功能、性能、進度、經(jīng)費及質量等多重約束的系統(tǒng)架構方案。

(2)分階段多層次開展項目軟件系統(tǒng)分析與設計工作，確定整器、各分系統(tǒng)及關鍵產品的關鍵時序及危險事件。項目軟件系統(tǒng)分析與設計主要內容涉及軟件系統(tǒng)需求、軟件系統(tǒng)架構設計、安全性和可靠性設計、軟件系統(tǒng)危險分析等內容。不同設計階段、隨著設計的不斷深入，整器及系統(tǒng)間的信息交互和集成將越來越深入，越來越具體，總體及各分系統(tǒng)均需開展多層次軟件系統(tǒng)分析與設計工作，不斷完善安全性、可靠性設計及危害分析工作，確定整器、各分系統(tǒng)及關鍵產品的關鍵時序及危險事件，并納入各系統(tǒng)任務書中。通過項目軟件系統(tǒng)分析與設計工作，飛船首飛故障不可排除的5個底事件均應納入關鍵時序及危險事件。

(3)詳細梳理發(fā)射前工作流程核心關鍵參數(shù)，并納入最低發(fā)射條件。進入發(fā)射前工作流程后，飛行器將加電自檢，其結果將通過遙測或數(shù)傳數(shù)據(jù)下傳地面。發(fā)射前核心重要關鍵參數(shù)分為3類：終止發(fā)射、推遲發(fā)射、有影響但在軌可適時恢復，主要包括反映飛行器各系統(tǒng)的狀態(tài)信息，如轉導航狀態(tài)、自對準狀態(tài)等，飛行器入軌后立即用到的狀態(tài)信息，如器上時間、遙控指令信息傳遞狀態(tài)等。飛船首飛故障不可排除底事件中的飛船程控指令異常(X2)、地面上行指令異常(X3)、絕對時間基準異常(X5)、船上軟件時間初始化異常(X7)狀態(tài)均應作為發(fā)射前核心重要關鍵參數(shù)，納入飛行器最低發(fā)射條件。

(4)重視任務可靠性，高度關注冗余實現(xiàn)方式及故障策略。冗余設計和故障策略是提高任務可靠性，確保任務圓滿成功的重要設計手段。提高任務可靠性的常用設計主要包括器上自主、集電極開路指令(OC指令)、程控指令、直接指令、地面遙控指令等多類指令間的互為備保；多次不間斷通信狀態(tài)判信息傳輸正?；蚬收?；多源信息的融合與應用；異構傳感器或執(zhí)行機構的冗余設計；關鍵信號的三模冗余設計；關鍵數(shù)據(jù)的異地備份等。飛船首飛故障不可排除底事件中的絕對時間基準異常(X5)、船上軟件時間初始化異常(X7)等均應采用冗余設計，如全球衛(wèi)星導航系統(tǒng)(GNSS)自主授時，地面授時和校時等，確保時間基準的正確性。

(5)重視試驗充分性和測試覆蓋性分析與驗證，確保全任務剖面試驗充分、測試全覆蓋?；谌蝿掌拭婧惋w行試驗方案，開展正常工況、一度故障工況及部分關鍵時序或指令多重故障工況分析，確定試驗項目、試驗工況、測試工況及模擬飛行狀態(tài)，通過地面試驗或測試全面驗證全部關鍵事件、系統(tǒng)間接口、信息流、正常/故障工況切換、系統(tǒng)工作模式切換、系統(tǒng)運行狀態(tài)切換、設備主備份切換，確保全任務剖面、全工況、全接口、全流程等可分析、可試驗、可測試、可驗證。飛船首飛故障不可排除的5個底事件均可通過發(fā)射前的地面試驗或整船測試發(fā)現(xiàn)設計缺陷，杜絕將此類故障帶上天。

5 結束語

基于波音載人飛船(Starliner)飛行試驗相關報道及數(shù)據(jù)，完成了飛船軌道切入機動故障樹及故障原因分析。相比Starliner，空天飛行器任務更多、更復雜，軟件系統(tǒng)總體設計難度將更大，開展了飛船故障“舉一反三”工作，提出了增強空天飛行器系統(tǒng)任務可靠性的五方面建議。主要結論如下。

(1)推斷Starliner首飛試驗軌道切入機動故障不可排除的5個底事件分別為飛船程控指令異常(X2)、地面上行指令異常(X3)、船地測控鏈路異常(X4)、絕對時間基準異常(X5)、船上軟件時間初始化異常(X7)。

(2)Starliner首飛試驗飛船總體設計與試驗存在三方面缺陷：總體設計關鍵時序及危險事件的識別與分析不到位，缺少可靠性安全性措施；關鍵信號或指令缺少必要的冗余設計或地面干預接口；試驗充分性、測試覆蓋性未覆蓋全任務剖面所有工況。

(3)提出增強空天飛行器任務可靠性，提升軟件設計可靠性、安全性的五方面建議：重視系統(tǒng)架構及信息綜合集成應用方案；分階段多層次確定整器、分系統(tǒng)及關鍵產品的關鍵時序及危險事件；飛行器核心關鍵參數(shù)應納入最低發(fā)射條件； 高度關注冗余方式及故障降級策略；確保全任務剖面試驗充分、測試全覆蓋。