周文明,李孝鹏,李福秋,陈 露,王春慧,肖 毅

(1.中国航天标准化与产品保证研究院,北京100071；2.中国航天员科研训练中心,北京,100094)

1 引言

近年来,深空探索越来越受到重视,各航天科技发达国家依据本国国情和发展战略,逐步开始规划和实施深空探索活动。针对未来载人登月任务,为了提高飞行任务可靠性和航天员安全性,应及早开展相应的人-机系统安全性分析及对策研究,在型号研制早期强化设计人员对人-机系统安全性的认识,把人-机系统安全性问题留在研制阶段。如果把问题积累下来威胁到航天器平台安全,甚至航天员的生命,则会造成更大的损失。自1961年人类进入太空以来,威胁航天员健康与生命安全的重大事故已发生过数十起,共有22名航天员献出了宝贵的生命(其中4人在地面训练和试验时丧生)。本文以载人登月任务为例,在研究分析任务人-机系统安全性影响因素的基础上,基于“事件树+故障树”方法构建安全性分析模型,识别影响关键任务过程实施的关键影响因素,并对提高载人登月任务人-机系统安全性的对策措施进行研究,为我国载人登月任务人-机系统安全性分析与管理提供借鉴。

2 典型载人登月任务过程

我国载人航天活动以近地空间探测为基础,以载人月球探测为重点,逐步具备载人地月往返、月面机动、人-机联合探测等基本能力。载人登月任务涉及航天器、测控通信、发射回收等多个方面,特别是由于航天员的参与使系统变得更为复杂,对人的安全性和操作可靠性要求更高,是一个巨复杂系统工程,图1为典型载人登月任务过程[1]。载人登月任务风险大,挑战艰巨,任务设计必须考虑应急返回情况下航天员的安全,同时应能保证任务时间内任意时刻为返回登月舱上升段提供可靠安全的机动支持[2]。与近地轨道载人飞行任务相比,载人登月任务面临新的人-机-环境问题,如驾驶登月舱在月面着陆的运动及驾驶定位问题、月面活动面临的月尘和特殊地貌以及人机协作等。

图1 典型载人登月任务过程(示意)Fig.1 Typical processes of manned lunar mission(sketch)

载人登月整个任务过程可以分解为登月任务、月面任务、返回任务。其中登月任务在月球引力范围内任务流程可分为：载人登月飞船(分为返回舱、登月舱,返回舱又称指令服务舱)从地月转移轨道进入近月轨道；在近月轨道登月舱与返回舱分离；登月舱下降着陆,返回舱仍在原轨道运行。返回任务可以分为：航天员完成任务后,乘坐登月舱上升段(上升舱)入轨与返回舱完成交会对接；抛掉登月舱上升段,返回舱进入月地转移轨道返回地球。从飞行任务过程来看,载人登月任务主要包括以下特点：

1)要经历地球大气、地球空间、行星际空间、月球空间和月表等整个地月空间,所经历环境复杂多变,对航天器和航天员空间活动造成很大影响,也给空间环境适应性设计提出了新要求。

2)轨道设计复杂,如自由返回轨道、混合轨道以及多段自由返回轨道,但这些轨道不能满足长期多次任务的需求,在综合考虑航天器平台和航天员安全性、平台可靠性以及任务成功性的前提下,需要开展飞行任务轨道优选设计。

3)与近地轨道飞行任务相比,载人登月任务涉及的系统更多、结构组成更复杂,如载人登月飞船系统包括轨道器、着陆器、上升器和返回器,这些飞船系统内航天器的接口关系、关联任务的可靠性直接影响载人登月任务的成败。

4)将会遇到许多新的与人的因素相关的问题,主要包括人的工作能力、乘组组成、航天员选拔训练、航天员医监医保、心理健康维护、营养食品保障、环境医学和工效学、登月服技术等医学工程问题,研究解决好这些问题,才有可能保证载人登月任务中航天员的安全、健康和高效工作[3]。

3 人-机-环境系统

人-机系统是指“人”与他所对应的“物”构成的系统。在人-机系统中,“人”定义为所研究系统中参与系统过程的人,“机”则定义为与人处于同一系统中与人交换信息能量的物,“机”是个泛指的概念,一般所谓人-机系统就是指人-机-环境系统[4]。在载人登月任务中,航天员、载人航天器和空间飞行环境共同构成一个典型的人-机-环境系统。人即航天员(包括指令长、驾驶员、载荷专家等角色)；机为航天器平台(如空间站等),主要是操纵部件和显示部件；而环境即载人空间飞行环境,包括舱内人造环境及舱外空间环境。

在空间相对密闭的环境中,能够产生相互作用和影响的有人员、设备和环境3方面因素,这些因素也是安全性工作的开展对象[5]。对于整个飞行任务,除了考虑登月阶段航天员、载人航天器、空间飞行环境外,还需考虑月面定点着陆、月面工作期和月面上升期的人-机-环问题。

开展人-机系统安全性分析的基础是构建合理有效的人-机系统安全性分析模型,国外早期人-机系统安全性建模与仿真技术研究以平台自身安全性研究为主,但数次重大安全性事故使得国外开始开展人因可靠性研究和应用,人因可靠性建模与分析成为人-机系统安全性技术研究的重点。国外空间人-机系统安全性建模与仿真技术研究以概率安全评价PSA(Probability Safety A-nalysis)为核心,综合考虑人因可靠性HR(Human Reliability)和空间环境对系统安全性的影响,并针对国际空间站、航天飞机、轨道空间飞机OSP(Orbital Space Plane)、载人救援飞船CRV(Crew Rescue Vehicle)、载人探月飞船CEV(Crewed Exploration Vehicle)等空间人-机系统进行了安全性建模和仿真分析工程应用。由于基于地面信息的HR分析技术只能适应短期在轨任务和绕月飞行任务,对于长期月面任务以及月球以远任务无法胜任,目前NASA已经将人-机系统可靠性、安全性分析从基于地面转向基于空间以解决长期空间任务人因可靠性分析和人因风险预测问题,并就此开展相应的训练、程序设计以及人-机多因素影响分析等工作[6]。

近年来国内逐步开展了人-机系统安全性建模与仿真技术研究,主要包括两个方面,一方面以“机”子系统为研究对象,将“人”子系统作为安全性影响因素,通过人为差错分析量化研究“机”子系统安全性能。另一方面以“人”子系统为对象,将“人”子系统置于人-机系统总体安全约束下,研究“人”子系统需要满足的可靠性、安全性要求。

4 人-机系统的安全性影响因素分析

安全性事故是人-机系统人为差错、设备故障、环境扰动及其耦合作用突破控制措施,不受约束地传播和演化的结果,事故表现为一系列不期望事件的发生。事故本质是系统控制措施的相继失效。安全性影响因素是导致任务失败和空间人-机系统安全性事故发生和传播的直接原因。系统安全行为特性受到人员、设备以及环境等诸多不安全因素的影响,特别是随着科学技术的进步和生产制造水平的提高,设备集成度和智能化水平越来越高,潜在深层次缺陷、人机复杂交互使得人员因素导致事故的比例不断增加。我国载人航天虽然没发生过重大事故,但也出现过一些险情和差错,如出舱舱门开启不畅、返回舱着陆未及时切伞等。对载人登月任务人-机系统的安全性进行定性定量分析时,主要从人为因素、设备因素以及环境因素3方面进行分析,具体到某个任务或任务过程,则需进一步剖析相关的3种因素,并确定各因素之间的相互关系以及与具体任务过程之间的逻辑关系。以载人登月为例,影响任务的因素主要有[7]：

1)计划的任务飞行剖面设计；

2)平台(地面)导航功能执行的位置点选择；

3)飞行器落月过程中的速度约束；

4)着陆点的选择及不确定性；

5)着陆点的控制精度等；

6)航天员操作各种设备对系统可靠性、安全性带来的影响(载人任务)；

7)载人登月任务飞行器、乘员装备及航天员自身能力满足任务需求的程度(载人任务)。

图2给出从人-机-环境角度开展载人登月任务落月过程安全性分析应考虑的影响因素分类。通过开展任务过程的安全性影响因素分析,可以确定任务过程中可能涉及的人-机-环境交互作用,并据此开展详细的安全性建模分析。下面采用事件树、故障树等分析方法对载人登月任务进行安全性建模和安全性影响因素分析。

图2 (载人)落月任务过程影响因素Fig.2 Influence factors in lunar landing process

4.1 事件树和故障树分析

结合长期低轨道飞行任务的技术水平和实践,载人登月任务涉及发射、变轨、着陆、驻留、返回等过程,依据任务规划进行任务阶段划分,明确各阶段任务相关系统状态和任务成功准则,依据任务成功准则确定任务后果状态。构建载人登月任务事件树模型,以奔月点火为初因事件,中间事件包含月球环绕、落月、上升、月球附近交会对接、飞船返回与再入等过程。任务成功准则定义为允许备份策略,在确保平台和航天员安全的前提下,完成载人登月任务。按照该准则,出现应急情况成功返回地球事件,任务属于失败。当然在实际工程分析时,任务成功准则和后果状态视具体情况而有所区分。具体来说,依据任务成功准则把载人登月任务过程事件树后果状态分为两种：成功、失败。在获得任务过程事件树模型后(图3为典型载人登月过程飞行任务事件树模型),构建以各中间事件为顶事件的故障树模型,在故障树模型中将人-机交互过程、人为失误等以基本事件的形式予以表达。

图3 典型载人登月过程飞行任务事件树模型(示意)Fig.3 The Event Tree model of typical processes in manned lunar mission(sketch)

在得到飞行任务事件树模型后,针对各中间事件(或初因事件)开展故障建模。这些中间事件常常涉及软硬件可靠性、人为可靠性、共因失效和环境影响,其逻辑模型背后一般有另外的模型做支持,用来确定这些事件的成败[8]。本文通过故障树进行中间事件的故障建模。图4给出落月过程故障树模型。故障树基本事件包括航天器平台相关功能失效或异常、航天员操作或处置不当以及地球测控中心人员操作或处置不当等,通过故障树将具体任务过程中的人、机、环因素综合起来,通过事件树将各中间过程的故障树联系起来,从而为任务安全性分析提供模型基础。

载人落月过程是登月任务最关键的一步,以美俄探月统计数据为例,月面着陆失败率在30%左右,其高失败率使得载人月面着陆成为载人登月任务过程的关键环节。该阶段如果出现问题将会导致无法安全可靠地实施应急返回,严重时可能会因为应急返回的巨大冲击力造成航天器结构的损毁或因剩余燃料无法满足入轨交会对接造成航天器砸向月面,导致器毁人亡的情况发生。从整个任务过程来看,(载人)落月过程是整个载人登月任务中风险较高的阶段,接近月面阶段和最后落月阶段既是登月成功中最重要的一步,也是最可能失败的一步。因此,从系统工程角度对落月过程进行细致的分析,综合考虑引入人的智慧和临机决策能力,从任务过程设计和任务可靠性、安全性角度挖掘可能的薄弱环节和危险因素。

应保证软硬件设备的可靠性,确保在进入登月“死亡区间”前以及过程中各设备均能可靠运行,防止出现虚警、误警对任务的影响。

在完成登月任务及月面任务后,航天员将乘坐上升器进入月球轨道并与轨道目标飞行器进行对接,形成组合体,接着飞船将进入月地转移轨道,而后返回地球轨道,经过多次变轨调相后进入再入地球阶段,图5为飞船返回与再入过程故障树。

图4 落月任务过程故障树Fig.4 The Fault Tree model of lunar landing process

图5 飞船返回/再入过程故障树(示意)Fig.5 The Fault Tree of return/reentry process(sketch)

4.2 最小割集分析

最小割集是导致事故发生的最基本事件的集合。在系统安全性分析中,最小割集占有非常重要的地位,对系统安全性事故分析有很大帮助,能有效、经济地控制系统安全性事故的发生。而且利用最小割集能对安全性事故进行定性定量分析,把事故的发生率控制在最低点,从而避免造成人员伤亡和经济损失。下面采用最小割集分析方法对任务过程进行分析,获得影响任务成败的关键因素。

通过最小割集分析可以找出安全系统中存在的漏洞,并制定相应的预防措施,全面地控制事故的发生,从而提高系统的安全性。在载人登月任务的人-机系统安全性分析中,主要考虑影响系统安全性的I、II阶最小割集。通过构建“事件树+故障树”的安全性分析模型,可以得到不同后果状态下的最小割集,影响落月任务过程成功的I阶最小割集详见表1。

通过最小割集分析,导致载人登月任务失败的人的因素包括：操作指令失败、地面遥操作异常以及应急条件下人为差错等；机的因素包括：测控通信系统故障、轨道转移发动机故障、落月发动机故障等；环境因素包括：月面突出物、登月过程中的其他空间环境条件等,这些都是影响落月任务安全性的关键因素。

4.3 基本事件的结构重要度分析

对于故障树、事件序列和后果状态还可以计算其结构重要度。表2给出与落月任务相关的基本事件的结构重要度。

通过分析求出底层因素的结构重要度,从而为后续安全性对策措施的制定提供依据。结合任务模型及中间事件故障树模型,根据表1和表2分析结果可知,影响任务成功的因素很多,既包含设备故障,也包含人操作失误和环境因素。安全性影响因素研究结果有利于后续进一步的分析工作,并为后续采取相应对策措施提供输入。

表1 系统安全性I阶最小割集Table 1 Minimum cut set of system safety

表2 基本事件的结构重要度Table 2 Structural importance of basic events

5 提高人-机系统安全性的对策措施

载人登月是一项极其复杂的深空飞行任务,任务过程展现出显著的多阶段任务特点。从落月过程安全性分析结果可知,影响落月任务安全性的主要因素包括人、机、环境3类。从结构重要度分析结果来看,影响任务成功的主要是机的因素(软件、硬件设备),其次是环境因素,最后为人的因素。从分析结果来看,好的设计依然是确保任务安全可靠的基础,而恶劣的地-月、环月轨道以及月面环境也影响着任务的可靠实施,人则是落月以及月面工作中的主角。为了确保载人登月任务过程中航天员和航天器平台的安全可靠,在实施相关工程活动时,需从人因失误控制、机(软、硬件设备)故障控制、环境扰动控制以及计划管理方面采取相对的对策措施。

5.1 人因失误控制

对人因失误控制应当从人-机系统的匹配度来考虑,适当提高人-机系统匹配度有助于提高整个系统的可靠性和执行任务的成功性。以美国阿波罗载人登月为例,绕月飞行中全自动飞行成功率为22%,而航天员主动参与的绕月飞行成功率则高达93.5%,自动和手动备份操作提高了任务的成功性。应从以下几方面提高人-机匹配度,提高人的可靠性,降低人因失误发生的可能性：

1)航天员多种形式的地面训练

针对未来载人长期飞行任务,开展多种形式的航天员水下、封闭及微重力条件下的模拟训练。训练航天员如何在狭小、隔离、陌生且相对危险的环境下克服心理与生理的多重挑战,安全有效地开展各项工作,训练他们的领导力、服从性、团队协作及决策能力。

2)人-系统接口(Human System Interface)

良好的人-系统接口设计是任务成功的必要条件,人-系统接口包含两方面内容：一是系统对人的适应能力,二是人对系统的适应能力。系统对人的适应能力就是在系统设计过程中确保设备有良好人机界面和防误操作措施；人对系统的适应能力就是人对系统的熟悉程度、操作灵活性以及对系统内部深层次机理的认识。如果人-系统接口设计优良,则人在操作和使用系统时能够圆满地执行各种情境下的任务；若系统接口设计存在缺陷或与标准规范要求存在偏差,则可能导致在紧急情况下人无法对系统表现出的异常行为进行判断,无法发挥出人的能动性,来处理任务期间的应急事件,从而导致灾难性事故的发生[9]。另外,对于载人登月活动,应当挑选具有相关专业背景的领域专家作为航天员,以备不时之需。正如航天员科林斯在第1次载人登月遇到的情况,他具备的良好的计算机知识在确认和排除近月阶段的虚警中起到了关键作用。

3)航天员与机器人接口

航天员与机器人接口能力包括手段、程序和实现航天员与机器人之间无缝交互作用的技术。具体的接口有手动输入装置、预编程的手势和命令、生物电子接口等。

4)操作者的作业能力

在人-机系统中,操作者的作业能力是指其完成某种作业所具备生理、心理特征,综合体现个体所蕴藏的内部潜力,这些生理、心理特征,可以从操作者单位时间内完成操作的质量与数量间接地反映出来。

5.2 机(软、硬件设备)故障控制

在载人登月过程中,机(软、硬件设备)故障对航天员来说是极大的考验,人类首次载人登月期间,在接近登月“死亡区间”前发生了计算机警报(计算机被要求在同一时间执行过多的任务,因而不得不把一些任务延后执行而产生的警报)[10],这对航天员和地面指控中心人员都是极大的考验,差点造成首次载人登月的失败。因此良好容错能力和低虚警率的软件系统是确保载人登月成功的重要组成,应加强软件可靠性、安全性的设计及验证工作,确保软件工具安全可靠。

关于软、硬件设备的故障控制应从以下几方面考虑：

1)加强软、硬件协同设计

随着大量处理芯片用于航天器,芯片内置软件与外围设备的接口可靠性问题开始凸显出来。当前我国载人航天相关型号已经开展了一系列的软件可靠性与安全性分析研究工作,并取得了不错的成绩。对于载人登月任务而言,其所使用的技术和设备不同于美国阿波罗登月时的技术,要加强软件的安全性设计与验证工作,防止任务期间系统进入不期望状态而影响整个任务的成功实施。

2)设备可靠性、安全性定量评估验证工作

要想在载人登月任务实施之前做到胸中有数,增大成功把握,必须对系统中各个组成部分可能出现故障的概率加以认证分析、研究,并进行可靠性、安全性估计和控制。设备可靠性是设备安全可靠工作的基础,应结合登月特点,综合开展任务过程的可靠性与安全性评估工作。通过评估验证为设备可靠性、安全性提升提供有效依据,确保设备的安全可靠。

3)加强新技术的研究及应用工作

应开展精确着陆和月面地形环境危险探测与规避技术,提升和加强载人登月导航、制导和控制GNC(Navigation,Guidance and Control)系统能力以及任务和环境的态势感知能力和决策机制,以确保登月舱和航天员等的安全。NASA的自主着陆与危险规避技术(ALHAT,Autonomous Landing Hazard Avoidance Technology)目标就是实现重返月球的安全精确着陆,具体来说包括开发技术成熟度(TRL,Technology Readiness Level)达到6级的自主月面着陆GNC和感知系统,确保能在月球极端环境下保证登月舱和航天员等安全并实现十米级着陆精度。

5.3 环境扰动控制

1)月面环境

首先,证据表明长期暴露于可吸入的月尘环境下对人体的健康是有害的[11]。在载人登月任务期间,进入月球舱的月岩灰尘会带来很多麻烦,月球低重力延长了月尘停留在舱内大气中的时间,也增加了皮肤、眼睛和呼吸系统受损的机会。为降低航天员身体受损的风险,应通过了解月尘的特性,在现有航天服基础上研发能够抵抗月尘环境的新航天服和航天器,开发有效的灰尘控制程序,从而降低登月任务中吸入颗粒、损伤皮肤和眼睛的风险。

其次,需要创建合适的长期居住条件,以保证乘员任务期间的安全和健康。生活环境将防护乘员不会暴露在银河宇宙线、太阳粒子环境中。这种能力也将支持长期飞行中乘员神智和情绪的稳定,乘员必须克服在高风险、狭窄环境和与地球只有有限通信等环境长时间生存的诸多限制。

2)变重力环境

与近地轨道载人飞行相比,载人登月任务将会遇到许多新的与人的因素相关的问题,对航天员的生理和心理提出了更为严峻的挑战[9]。对于载人登月任务而言,航天员将经历从地球1 g重力→失重→月球表面1/6 g重力→失重→地球1 g重力变化。同时,载人登月航天器要经历地球大气、地球空间、行星际空间、月球空间和月表等整个地月空间,其环境复杂多变,对载人登月航天器及航天员登月活动影响很大,给载人登月空间环境保障提出了新的更高的要求。为了降低变重力环境对航天员乘组的影响,应加大变重力环境对航天员乘组影响研究,开展水下微重力环境适应性训练和重力变化条件下人为失误分析、人因可靠性分析等工作。建议在载人登月论证方面增加类似美国“宝瓶座”海底实验室的试验设备的研制工作,这不仅为未来载人登月提供变重力试验环境,也能为近地空间站任务提供有效的地面试验训练环境,提升参与空间任务航天员对变重力环境的适应能力。

5.4 计划管理方面

计划管理工作是最终关系到计划成败的一个重要因素。由于人的先天不足(粗心大意、判断错误等),每一项计划都需要有严格的检查审查制度。对载人登月任务所涉及的各系统进行反复检查,对所有失效和更改的内容详尽解释,这是取得成功的重要因素。

1)完善载人登月工程体系

为了确保载人登月任务的顺利实施,建议参照现有的航天工程系统[12],研究完善适用于载人登月重大工程系统的理论体系、方法体系和标准体系。

2)制定有效的故障处置及应急预案

载人登月任务由于有人的参与,航天员安全就成了首要问题。除着力提高可靠性外,航天员系统在设计上还要考虑出现重大故障时的救生手段和措施,以防患于未然。

同时,应开展天地联合试验,在开展载人登月任务前,应验证故障处置及应急预案的有效性和充分性,确保在异常情况下航天员和航天器平台的安全。

3)制定详细完备的任务计划

应尽量减少航天员自主操作的数量,避免因过多的操作任务对航天员的操控、生理以及心理水平考验和消耗,同时也应考虑在应急情况下航天员自主参与相关操作的可能。轨道交会对接应尽量采用遥控、自动与自主交会对接,避免航天员手动。

4)关键技术成熟度评价

由于载人登月重大工程全寿命周期内涉及对预先研究等方面的技术创新成果的正确性和可用性评价,应对型号工程项目拟选用关键技术的成熟度进行定量分析,尽早识别和分析技术风险。

5.5 其他

载人登月(包括其他载人深空飞行任务)对测控通信系统的要求较高,随着我国地球轨道、地月系、太阳系内的航天器数目不断增加,对目前的航天测控模式和体制都会带来适应性影响,应当在各重大工程研制初始就开展测控通信系统对任务的匹配适应研究。采用集中式和分布式协同的测控通信体制能够较好地满足未来多任务、多航天器并行的测控通信需求。另外,由于测控通信系统将面对海量的数据信息,有必要提前对测控通信系统接口关系进行统一规定,提高系统处理数据的能力,确保数据的时效性。

此外,为了确保航天员在任何应急时刻能够安全返回地球,在进行载人登月轨道设计时,应考虑安全风险最低的轨道,可采取多段自由返回轨道[13,14]开展载人登月活动,确保飞船发生故障不执行近月制动的情况下仍可安全自由返回,不需要施加任何机动操作,可有效保障航天员的安全。对于再入返回,应采用跳跃式再入,这样能有效降低最大过载,避免过载高于航天员安全标准最高值[15]。

6 结论

本文针对载人登月任务,基于“事件树+故障树”的安全性建模分析方法,构建了载人登月任务过程的事件树模型,并以落月任务过程为例给出了包含人-机-环3类因素的故障树模型。在此基础上,综合利用最小割集和结构重要度分析方法,开展载人登月任务过程安全性关键影响因素分析,识别出影响任务成功的关键因素。从结果来看,关键因素涉及设备故障、人操作失误和环境因素3方面,如过载导致飞行器结构破坏、发动机故障、航天员应急处置不当导致应急上升以及环境因素导致阀门故障等。结合载人登月任务特点,从人因失误、软硬件设备故障、环境扰动以及计划管理等方面提出了相应的安全性对策措施。本文的安全性建模分析、关键影响因素识别方法以及制定的相关控制措施可为后续载人登月任务的安全性建模和分析以及安全性措施的制定提供参考。