基于嫦娥四號探測器任務特點的產品保證工作實踐

付春嶺 張熇 吳學英

(北京空間飛行器總體設計部，北京 100094)

嫦娥四號探測器系統(tǒng)包括探測器(含著陸器和巡視器)和中繼衛(wèi)星，實施了2次發(fā)射，實現國際首次月球背面軟著陸和巡視勘察，以及首次地月L2點中繼衛(wèi)星對地對月的測控、數傳中繼[1]。嫦娥四號探測器在充分繼承嫦娥三號探測器產品和技術的基礎上，需要根據任務要求開展全新的方案設計，解決地月L2平動點中繼衛(wèi)星軌道精確設計與控制、地月L2點遠距離數據中繼、復雜地形環(huán)境條件下的安全著陸、同位素溫差發(fā)電和熱電綜合利用四大難題。因此，研制過程存在探測任務難、產品狀態(tài)多、搭載管理模式新等特點。如何針對這些特點采取有效控制措施，確保任務圓滿成功，是嫦娥四號研制面臨的主要問題。

產品保證工作是航天器產品設計、生產、試驗、發(fā)射、交付使用等全過程進行的一系列有組織、有計劃的技術和管理活動，重點對技術風險進行充分地識別和控制，保證產品滿足要求，保證航天器飛行任務圓滿成功[2]。相比于傳統(tǒng)的質量與可靠性工作，產品保證工作的體系結構和內容要素則更加完備。它包括產品保證管理、質量保證、可信性保證(可靠性、可用性和維修性等的統(tǒng)稱)、安全性保證、電子電氣與機電元器件保證、材料機械零件與工藝保證、軟件保證等。在方法上，強調以技術風險識別與控制為核心，通過一套嚴密的程序和方法，保證產品達到規(guī)定的任務目標，實現安全、可用、可靠[3]。

嫦娥四號探測器的產品保證工作，繼承了嫦娥三號探測器在關鍵環(huán)節(jié)風險識別與控制、精細化質量管控、最終狀態(tài)管控等方面的產品保證工作經驗，并針對自身的任務特點，按首飛標準，全面、規(guī)范、有效地實施了產品保證工作[4-6]。本文分析了嫦娥四號探測器研制任務特點，總結研制過程針對任務特點采取的產品保證控制措施，可為后續(xù)航天器研制過程的產品保證工作提供參考。

1 研制任務特點分析

嫦娥四號探測器研制主要具有以下特點。

(1)探測任務難。嫦娥四號著陸區(qū)為月球背面南極艾特肯盆地，與整體比較平坦的嫦娥三號著陸的月球正面虹灣地區(qū)相比，撞擊坑分布更為密集，地勢較為崎嶇，安全著陸、月面工作風險較大；著陸器和巡視器工作在月球背面，無法對地直接通信，必須采用中繼衛(wèi)星中繼的方式實現動力下降過程及月面工作全過程的對地上下行通信，中繼軌道的設計與實現、中繼通信接口設計等都是面臨的難題。

(2)產品狀態(tài)多。根據工程需要，嫦娥四號探測器大部分平臺產品和部分載荷產品已于2012年按照嫦娥三號探測器狀態(tài)完成投產，作為為繼承產品，其發(fā)射時面臨長達6年的地面貯存期；為了適應新的任務要求，需要研制同位素溫差電池、月夜溫度采集器和部分科學載荷，或是對原有產品進行改進，為新增或新改產品；還有按原狀態(tài)重新投產的產品。因此，探測器正樣產品包括繼承、新增、新改、新投4類，其中新增和新改產品還投產了電性件和鑒定件，產品狀態(tài)多樣。

(3)搭載管理模式新。在完成高難度、高風險的航天重大專項任務的同時，嫦娥四號探測器還承擔了國際合作平臺和公益科普的職責，其上搭載了國際載荷和全國范圍征集的科普載荷，屬探月工程首次。搭載載荷研制單位的管理模式與航天體制內單位差異較大，質量管控難度大，搭載載荷一旦發(fā)生故障，可能會影響到主任務的安全。

2 產品保證工作主要措施

嫦娥四號探測器以“關注關鍵，嚴控變化，確保系統(tǒng)設計正確性；深究細節(jié)，嚴控過程，提升產品的質量與可靠性”為理念，將產品保證工作的各個要素在研制過程中有效貫徹和落實。針對探測任務難，狠抓風險識別與控制；針對產品狀態(tài)多，實施差異化質量管控重點；針對搭載管理模式新，嚴控搭載接口安全性管控。

2.1 狠抓風險識別與控制

從嫦娥四號探測器任務特點、嫦娥三號探測器在軌飛行試驗結果、“十新”(新技術、新材料、新工藝、新狀態(tài)、新環(huán)境、新單位、新崗位、新人員、新設備、新流程)分析、技術狀態(tài)更改等方面開展了覆蓋全系統(tǒng)、全過程、全要素的風險識別分析工作，向下覆蓋到探測器各組件和單機設備，形成技術風險項目清單，制定控制措施。通過仿真分析、試驗驗證、完善預案等方式，以及各方面的檢查、確認，結合風險把關、獨立評估、技術回頭看、質量復查等活動，對風險項目再分析，對控制措施的落實情況進行再確認。利用信息化手段動態(tài)管控，定期檢查風險控制措施落實情況，持續(xù)監(jiān)督，確保控制措施落實到位，驗證充分。在出廠前組織進行技術風險分析與控制專項評審會，確保風險識別全面、控制措施有效，殘余風險可接受。針對著陸區(qū)變化帶來的風險、對地通信需要中繼轉發(fā)等10余項系統(tǒng)級技術風險，制定相應的風險控制措施并落實，主要內容如下。

1)著陸區(qū)變化帶來的風險及應對措施

(1)針對動力下降航跡高程差變大的風險，優(yōu)化動力下降策略，通過對標稱工況、故障工況及動力下降參數拉偏工況進行仿真表明，迭代優(yōu)化后的動力下降策略可以滿足功能性能指標及可靠性安全性要求，單重部件故障不會影響動力下降功能性能，系統(tǒng)具有一定的魯棒性，能夠保證著陸器安全著陸。

(2)針對南極艾特肯盆地內地形條件惡劣的風險，通過在軌標定減小7500 N發(fā)動機比沖和推力誤差，環(huán)月增加2次軌道修正等措施，提高著陸精度，縮小著陸區(qū)范圍；精準選擇面積較小的相對較平坦的區(qū)域作為主/備著陸區(qū)，降低著陸安全風險。

(3)針對月球背面物質成分影響科學載荷正常工作的風險，對微波測距測速敏感器和激光測距敏感器進行設計優(yōu)化。更改后，微波測距測速敏感器進行暗室零值標定試驗、吊車試驗、掛飛試驗；激光測距敏感器進行外場精度、靈敏度、威力范圍標定試驗。另外，對激光三維成像敏感器進行外場精度、威力范圍標定試驗，試驗結果均滿足要求。

(4)針對中繼鏈路遮擋和光照遮擋的風險，制定在軌著陸器使用降落相機、巡視器使用導航相機識別遮擋的方案，并針對不同階段發(fā)生的遮擋制定應對策略；特別針對中繼鏈路遮擋對休眠的影響，增加延時休眠和自主休眠的功能。在整器上進行測試，測試結果滿足要求。

(5)針對月球背面特殊地形可能對巡視器桅桿等多功能復雜結構機構帶來耦合性風險，充分識別巡視器集成像、導航與指向通信任務于一體的多功能桅桿構型設計和線束路徑規(guī)劃技術特點，從構型設計、電纜布局和空間潤滑長壽命等方面開展風險控制，有效解決了在月球背面定向天線半球覆蓋率和多維、大范圍精密指向等難題，降低了多機構多功能耦合性因素風險。

2)中繼轉發(fā)帶來的風險及應對措施

(1)加強兩器一星接口設計確認，確保設計正確性和一定的冗余性，提高鏈路可靠性。中繼衛(wèi)星前向兩路具備4個頻點支持能力，返向具備三路2個頻點支持能力。著陸器前向鏈路通過多臺接收機熱備份提高前向接收可靠性。返向鏈路包括定向天線與全向天線，其中：定向天線返向鏈路可作為全向天線返向鏈路備份，數傳調制器雙機異頻備份。巡視器前向鏈路通過2臺接收機熱備份提高前向接收可靠性；返向建立2條鏈路實現備份，一條是直接對中繼衛(wèi)星的X頻段遙測數傳通道，另一條是與著陸器之間的超高頻(UHF)頻段通信鏈路，可以通過著陸器進行數據轉發(fā)。

(2)開展兩器一星接口驗證，確保中繼鏈路驗證充分。其中包括：著陸器和巡視器鑒定件與中繼衛(wèi)星電性星地面聯試，兩器正樣與在軌中繼衛(wèi)星的星地聯試，中繼鏈路在軌指向標定和鏈路性能測試，針對中繼鏈路故障預案的試驗驗證。

2.2 實施差異化質量管控重點

1)加強繼承產品長期貯存管理

(1)針對繼承產品，重點關注貯存后產品的可靠性。其中包括：開展產品長期貯存可靠性評價技術研究；開展電子類、機電類單機長期貯存產品的薄弱環(huán)節(jié)要素分析，形成要素檢查單，編制貯存產品可靠性預計工作指南；開展電子單機設備長期貯存可靠性分析，形成貯存設備可靠性預計方法，完成貯存產品可靠性預計。

(2)明確長期貯存要求，對產品貯存的環(huán)境條件、貯存產品的包裝與放置要求、貯存整個過程的試驗等進行詳細規(guī)定。明確交付前補充試驗要求，針對探測器先期投產的產品按要求完成相關試驗項目，將產品分為“未作任何修復、改裝”、“需要更換狀態(tài)相同的部分電路板/部件”和“需更換狀態(tài)不同的部分電路板/部件”3類，分別制定不同試驗項目和試驗量級的再試驗要求。貯存期間，項目辦公室定期組織開展貯存產品質量檢查，確認產品貯存過程符合要求。各單機單位通過定期加電測試和力、熱等環(huán)境試驗，檢查產品是否存在可能的失效故障，提前暴露產品經長期貯存導致的潛在缺陷，確保產品貯存安全可靠。

2)加強新研新改產品設計驗證

針對新研新改產品，重點關注設計正確、鑒定充分，通過設計評審、試驗驗證、復核復審等方法，加強系統(tǒng)、分系統(tǒng)、單機各級的設計質量控制。

(1)新研新改產品投產了鑒定件，加強鑒定充分性審查，成立檢查組開展鑒定件質量審查工作。工作一次落實到位，從鑒定產品的性能、鑒定產品環(huán)境試驗有效性、特征阻值數據、技術狀態(tài)及質量問題更改措施落實情況、元器件/工藝/原材料控制、供電安全性設計與實物檢查、遙測遙控接口、軟件和FPGA、可靠性和安全性、數據包完整性規(guī)范性、熱平衡試驗結果及分析、產品關鍵特性及設計裕度結果、產品實物開蓋檢查等13個方面進行審查，確保鑒定件設計、過程控制及試驗驗證的充分性、有效性和覆蓋性。

(2)通過單機、分系統(tǒng)、系統(tǒng)級試驗層面加強產品設計驗證，組織開展月夜溫度采集傳感器與轉移機構聯合試驗、移動裝置電纜擺動試驗等單機專項試驗，以及控制分系統(tǒng)和數管分系統(tǒng)間聯試，著陸器月夜階段熱平衡試驗、中繼接口聯試等系統(tǒng)級專項試驗和大系統(tǒng)測控對接試驗，全面驗證新研新改產品的設計正確性。

3)開展新投產品生產狀態(tài)比對

組織新投單機產品研制單位確認生產基線狀態(tài)的變化，從外協(xié)單位、研制人員、材料(含輔材)、元器件、工藝(含輔助工藝)、試驗方法及設備6個方面與嫦娥三號探測器研制過程進行比對和分析，對有差異的項目(如元器件、工藝)進行風險分析。加強生產過程質量精細化控制，在高溫隔熱屏、電纜網、巡視器移動裝置等產品投產和關鍵工序開展前，從人員、設備、物料、生產依據文件、環(huán)境、檢驗檢測6個方面確認產品生產狀態(tài)基線，組織生產準備評審，確保產品投產狀態(tài)正確、生產過程質量控制措施有效[7]。

此外，在探測器總裝、測試和試驗過程中，嚴格量化控制，制定過程量化控制文件。重點針對安裝、連接、擰緊、綁扎、固定、走向、防護、開關、測試等環(huán)節(jié)進行量化控制；對重要試驗和測試前狀態(tài)，以及不可逆總裝操作前的狀態(tài)進行確認；對關鍵設備進行安裝前狀態(tài)確認、安裝過程控制、安裝后狀態(tài)確認、安裝關鍵特性確認等；對過程強制檢驗點進行確認。對各階段測試數據開展“三比”，即縱向比對(比較同一數據在不同測試階段的測試結果)、橫向比對(對比該數據對同類型關聯數據的影響性變化情況)和聯合比對(對比該數據對不同類型關聯數據的影響性變化情況)。通過嚴密的數據比對，關注測試數據的細微變化趨勢，確保數據判讀無遺漏。在整器出廠前、發(fā)射前，組織開展最終狀態(tài)確認工作，整器出廠前還進行性能指標符合性確認，確保整器出廠狀態(tài)受控。在發(fā)射場各階段總裝、測試、試驗中，嚴格交接狀態(tài)管理，保證狀態(tài)受控。發(fā)射前的最終狀態(tài)，結合總裝技術流程在實施過程中逐步確認，對所有需要確認的項目，采用“總體、相關分系統(tǒng)、總裝多方聯合”的方式進行狀態(tài)確認。

2.3 嚴格搭載載荷接口安全性控制

針對搭載的國際載荷、科普載荷研制模式不同、管理體系差異大、協(xié)調工作繁重、不確定因素多等問題，簽訂搭載協(xié)議，明確搭載載荷交付前應完成的試驗項目及試驗條件、交付接口狀態(tài)、交付時間節(jié)點等內容。以“確保搭載載荷在任何情況下不會影響探測器系統(tǒng)本體安全”為指導思想，將確保兩器一星可靠性和安全性作為搭載放行的首要管控準則，重點對搭載載荷的接口安全性進行嚴格控制。編制接口安全性控制要求，提出設計控制、過程控制和驗收控制3個方面的具體要求，從機械強度裕度、熱接口、供電接口安全等方面給出細化指標。通過強制檢驗點檢查、審查電路圖與實物的方式，對其接口安全性進行嚴格把關。通過正樣產品的驗收，確認其產品滿足要求。此外，針對科普載荷的壓力容器安全、接插件防水性能、供配電安全等開展多次專項審查，進行多次再復核、再確認。通過嚴格的接口安全性管控，確保搭載載荷接口匹配滿足要求，不會發(fā)生危及主任務安全的情況，圓滿完成搭載任務。

3 結束語

嫦娥四號探測器研制產品保證工作，在借鑒以往經驗的基礎上，充分分析任務特點，在狠抓風險識別與控制、實施差異化質量管控重點、嚴格搭載載荷接口安全性控制等方面，制定和實施針對性的產品保證措施，通過適時組織專項產品保證活動，將產品保證工作做深、做細、做實、做透，有效確保了探測器產品質量。嫦娥四號探測器于2019年1月3日完成月球背面軟著陸和兩器分離，1月11日完成了兩器互拍，至今7個多月來整器在月球背面超壽命運行，溫度條件良好，工作性能穩(wěn)定，探測成果豐碩，標志著嫦娥四號探測器任務取得了圓滿成功。