載人登月任務人-機系統安全性分析及對策研究

周文明,李孝鵬,李福秋,陳 露,王春慧,肖 毅

(1.中國航天標準化與產品保證研究院,北京100071；2.中國航天員科研訓練中心,北京,100094)

1 引言

近年來,深空探索越來越受到重視,各航天科技發達國家依據本國國情和發展戰略,逐步開始規劃和實施深空探索活動。針對未來載人登月任務,為了提高飛行任務可靠性和航天員安全性,應及早開展相應的人-機系統安全性分析及對策研究,在型號研制早期強化設計人員對人-機系統安全性的認識,把人-機系統安全性問題留在研制階段。如果把問題積累下來威脅到航天器平臺安全,甚至航天員的生命,則會造成更大的損失。自1961年人類進入太空以來,威脅航天員健康與生命安全的重大事故已發生過數十起,共有22名航天員獻出了寶貴的生命(其中4人在地面訓練和試驗時喪生)。本文以載人登月任務為例,在研究分析任務人-機系統安全性影響因素的基礎上,基于“事件樹+故障樹”方法構建安全性分析模型,識別影響關鍵任務過程實施的關鍵影響因素,并對提高載人登月任務人-機系統安全性的對策措施進行研究,為我國載人登月任務人-機系統安全性分析與管理提供借鑒。

2 典型載人登月任務過程

我國載人航天活動以近地空間探測為基礎,以載人月球探測為重點,逐步具備載人地月往返、月面機動、人-機聯合探測等基本能力。載人登月任務涉及航天器、測控通信、發射回收等多個方面,特別是由于航天員的參與使系統變得更為復雜,對人的安全性和操作可靠性要求更高,是一個巨復雜系統工程,圖1為典型載人登月任務過程[1]。載人登月任務風險大,挑戰艱巨,任務設計必須考慮應急返回情況下航天員的安全,同時應能保證任務時間內任意時刻為返回登月艙上升段提供可靠安全的機動支持[2]。與近地軌道載人飛行任務相比,載人登月任務面臨新的人-機-環境問題,如駕駛登月艙在月面著陸的運動及駕駛定位問題、月面活動面臨的月塵和特殊地貌以及人機協作等。

圖1 典型載人登月任務過程(示意)Fig.1 Typical processes of manned lunar mission(sketch)

載人登月整個任務過程可以分解為登月任務、月面任務、返回任務。其中登月任務在月球引力范圍內任務流程可分為：載人登月飛船(分為返回艙、登月艙,返回艙又稱指令服務艙)從地月轉移軌道進入近月軌道；在近月軌道登月艙與返回艙分離；登月艙下降著陸,返回艙仍在原軌道運行。返回任務可以分為：航天員完成任務后,乘坐登月艙上升段(上升艙)入軌與返回艙完成交會對接；拋掉登月艙上升段,返回艙進入月地轉移軌道返回地球。從飛行任務過程來看,載人登月任務主要包括以下特點：

1)要經歷地球大氣、地球空間、行星際空間、月球空間和月表等整個地月空間,所經歷環境復雜多變,對航天器和航天員空間活動造成很大影響,也給空間環境適應性設計提出了新要求。

2)軌道設計復雜,如自由返回軌道、混合軌道以及多段自由返回軌道,但這些軌道不能滿足長期多次任務的需求,在綜合考慮航天器平臺和航天員安全性、平臺可靠性以及任務成功性的前提下,需要開展飛行任務軌道優選設計。

3)與近地軌道飛行任務相比,載人登月任務涉及的系統更多、結構組成更復雜,如載人登月飛船系統包括軌道器、著陸器、上升器和返回器,這些飛船系統內航天器的接口關系、關聯任務的可靠性直接影響載人登月任務的成敗。

4)將會遇到許多新的與人的因素相關的問題,主要包括人的工作能力、乘組組成、航天員選拔訓練、航天員醫監醫保、心理健康維護、營養食品保障、環境醫學和工效學、登月服技術等醫學工程問題,研究解決好這些問題,才有可能保證載人登月任務中航天員的安全、健康和高效工作[3]。

3 人-機-環境系統

人-機系統是指“人”與他所對應的“物”構成的系統。在人-機系統中,“人”定義為所研究系統中參與系統過程的人,“機”則定義為與人處于同一系統中與人交換信息能量的物,“機”是個泛指的概念,一般所謂人-機系統就是指人-機-環境系統[4]。在載人登月任務中,航天員、載人航天器和空間飛行環境共同構成一個典型的人-機-環境系統。人即航天員(包括指令長、駕駛員、載荷專家等角色)；機為航天器平臺(如空間站等),主要是操縱部件和顯示部件；而環境即載人空間飛行環境,包括艙內人造環境及艙外空間環境。

在空間相對密閉的環境中,能夠產生相互作用和影響的有人員、設備和環境3方面因素,這些因素也是安全性工作的開展對象[5]。對于整個飛行任務,除了考慮登月階段航天員、載人航天器、空間飛行環境外,還需考慮月面定點著陸、月面工作期和月面上升期的人-機-環問題。

開展人-機系統安全性分析的基礎是構建合理有效的人-機系統安全性分析模型,國外早期人-機系統安全性建模與仿真技術研究以平臺自身安全性研究為主,但數次重大安全性事故使得國外開始開展人因可靠性研究和應用,人因可靠性建模與分析成為人-機系統安全性技術研究的重點。國外空間人-機系統安全性建模與仿真技術研究以概率安全評價PSA(Probability Safety A-nalysis)為核心,綜合考慮人因可靠性HR(Human Reliability)和空間環境對系統安全性的影響,并針對國際空間站、航天飛機、軌道空間飛機OSP(Orbital Space Plane)、載人救援飛船CRV(Crew Rescue Vehicle)、載人探月飛船CEV(Crewed Exploration Vehicle)等空間人-機系統進行了安全性建模和仿真分析工程應用。由于基于地面信息的HR分析技術只能適應短期在軌任務和繞月飛行任務,對于長期月面任務以及月球以遠任務無法勝任,目前NASA已經將人-機系統可靠性、安全性分析從基于地面轉向基于空間以解決長期空間任務人因可靠性分析和人因風險預測問題,并就此開展相應的訓練、程序設計以及人-機多因素影響分析等工作[6]。

近年來國內逐步開展了人-機系統安全性建模與仿真技術研究,主要包括兩個方面,一方面以“機”子系統為研究對象,將“人”子系統作為安全性影響因素,通過人為差錯分析量化研究“機”子系統安全性能。另一方面以“人”子系統為對象,將“人”子系統置于人-機系統總體安全約束下,研究“人”子系統需要滿足的可靠性、安全性要求。

4 人-機系統的安全性影響因素分析

安全性事故是人-機系統人為差錯、設備故障、環境擾動及其耦合作用突破控制措施,不受約束地傳播和演化的結果,事故表現為一系列不期望事件的發生。事故本質是系統控制措施的相繼失效。安全性影響因素是導致任務失敗和空間人-機系統安全性事故發生和傳播的直接原因。系統安全行為特性受到人員、設備以及環境等諸多不安全因素的影響,特別是隨著科學技術的進步和生產制造水平的提高,設備集成度和智能化水平越來越高,潛在深層次缺陷、人機復雜交互使得人員因素導致事故的比例不斷增加。我國載人航天雖然沒發生過重大事故,但也出現過一些險情和差錯,如出艙艙門開啟不暢、返回艙著陸未及時切傘等。對載人登月任務人-機系統的安全性進行定性定量分析時,主要從人為因素、設備因素以及環境因素3方面進行分析,具體到某個任務或任務過程,則需進一步剖析相關的3種因素,并確定各因素之間的相互關系以及與具體任務過程之間的邏輯關系。以載人登月為例,影響任務的因素主要有[7]：

1)計劃的任務飛行剖面設計；

2)平臺(地面)導航功能執行的位置點選擇；

3)飛行器落月過程中的速度約束；

4)著陸點的選擇及不確定性；

5)著陸點的控制精度等；

6)航天員操作各種設備對系統可靠性、安全性帶來的影響(載人任務)；

7)載人登月任務飛行器、乘員裝備及航天員自身能力滿足任務需求的程度(載人任務)。

圖2給出從人-機-環境角度開展載人登月任務落月過程安全性分析應考慮的影響因素分類。通過開展任務過程的安全性影響因素分析,可以確定任務過程中可能涉及的人-機-環境交互作用,并據此開展詳細的安全性建模分析。下面采用事件樹、故障樹等分析方法對載人登月任務進行安全性建模和安全性影響因素分析。

圖2 (載人)落月任務過程影響因素Fig.2 Influence factors in lunar landing process

4.1 事件樹和故障樹分析

結合長期低軌道飛行任務的技術水平和實踐,載人登月任務涉及發射、變軌、著陸、駐留、返回等過程,依據任務規劃進行任務階段劃分,明確各階段任務相關系統狀態和任務成功準則,依據任務成功準則確定任務后果狀態。構建載人登月任務事件樹模型,以奔月點火為初因事件,中間事件包含月球環繞、落月、上升、月球附近交會對接、飛船返回與再入等過程。任務成功準則定義為允許備份策略,在確保平臺和航天員安全的前提下,完成載人登月任務。按照該準則,出現應急情況成功返回地球事件,任務屬于失敗。當然在實際工程分析時,任務成功準則和后果狀態視具體情況而有所區分。具體來說,依據任務成功準則把載人登月任務過程事件樹后果狀態分為兩種：成功、失敗。在獲得任務過程事件樹模型后(圖3為典型載人登月過程飛行任務事件樹模型),構建以各中間事件為頂事件的故障樹模型,在故障樹模型中將人-機交互過程、人為失誤等以基本事件的形式予以表達。

圖3 典型載人登月過程飛行任務事件樹模型(示意)Fig.3 The Event Tree model of typical processes in manned lunar mission(sketch)

在得到飛行任務事件樹模型后,針對各中間事件(或初因事件)開展故障建模。這些中間事件常常涉及軟硬件可靠性、人為可靠性、共因失效和環境影響,其邏輯模型背后一般有另外的模型做支持,用來確定這些事件的成敗[8]。本文通過故障樹進行中間事件的故障建模。圖4給出落月過程故障樹模型。故障樹基本事件包括航天器平臺相關功能失效或異常、航天員操作或處置不當以及地球測控中心人員操作或處置不當等,通過故障樹將具體任務過程中的人、機、環因素綜合起來,通過事件樹將各中間過程的故障樹聯系起來,從而為任務安全性分析提供模型基礎。

載人落月過程是登月任務最關鍵的一步,以美俄探月統計數據為例,月面著陸失敗率在30%左右,其高失敗率使得載人月面著陸成為載人登月任務過程的關鍵環節。該階段如果出現問題將會導致無法安全可靠地實施應急返回,嚴重時可能會因為應急返回的巨大沖擊力造成航天器結構的損毀或因剩余燃料無法滿足入軌交會對接造成航天器砸向月面,導致器毀人亡的情況發生。從整個任務過程來看,(載人)落月過程是整個載人登月任務中風險較高的階段,接近月面階段和最后落月階段既是登月成功中最重要的一步,也是最可能失敗的一步。因此,從系統工程角度對落月過程進行細致的分析,綜合考慮引入人的智慧和臨機決策能力,從任務過程設計和任務可靠性、安全性角度挖掘可能的薄弱環節和危險因素。

應保證軟硬件設備的可靠性,確保在進入登月“死亡區間”前以及過程中各設備均能可靠運行,防止出現虛警、誤警對任務的影響。

在完成登月任務及月面任務后,航天員將乘坐上升器進入月球軌道并與軌道目標飛行器進行對接,形成組合體,接著飛船將進入月地轉移軌道,而后返回地球軌道,經過多次變軌調相后進入再入地球階段,圖5為飛船返回與再入過程故障樹。

圖4 落月任務過程故障樹Fig.4 The Fault Tree model of lunar landing process

圖5 飛船返回/再入過程故障樹(示意)Fig.5 The Fault Tree of return/reentry process(sketch)

4.2 最小割集分析

最小割集是導致事故發生的最基本事件的集合。在系統安全性分析中,最小割集占有非常重要的地位,對系統安全性事故分析有很大幫助,能有效、經濟地控制系統安全性事故的發生。而且利用最小割集能對安全性事故進行定性定量分析,把事故的發生率控制在最低點,從而避免造成人員傷亡和經濟損失。下面采用最小割集分析方法對任務過程進行分析,獲得影響任務成敗的關鍵因素。

通過最小割集分析可以找出安全系統中存在的漏洞,并制定相應的預防措施,全面地控制事故的發生,從而提高系統的安全性。在載人登月任務的人-機系統安全性分析中,主要考慮影響系統安全性的I、II階最小割集。通過構建“事件樹+故障樹”的安全性分析模型,可以得到不同后果狀態下的最小割集,影響落月任務過程成功的I階最小割集詳見表1。

通過最小割集分析,導致載人登月任務失敗的人的因素包括：操作指令失敗、地面遙操作異常以及應急條件下人為差錯等；機的因素包括：測控通信系統故障、軌道轉移發動機故障、落月發動機故障等；環境因素包括：月面突出物、登月過程中的其他空間環境條件等,這些都是影響落月任務安全性的關鍵因素。

4.3 基本事件的結構重要度分析

對于故障樹、事件序列和后果狀態還可以計算其結構重要度。表2給出與落月任務相關的基本事件的結構重要度。

通過分析求出底層因素的結構重要度,從而為后續安全性對策措施的制定提供依據。結合任務模型及中間事件故障樹模型,根據表1和表2分析結果可知,影響任務成功的因素很多,既包含設備故障,也包含人操作失誤和環境因素。安全性影響因素研究結果有利于后續進一步的分析工作,并為后續采取相應對策措施提供輸入。

表1 系統安全性I階最小割集Table 1 Minimum cut set of system safety

表2 基本事件的結構重要度Table 2 Structural importance of basic events

5 提高人-機系統安全性的對策措施

載人登月是一項極其復雜的深空飛行任務,任務過程展現出顯著的多階段任務特點。從落月過程安全性分析結果可知,影響落月任務安全性的主要因素包括人、機、環境3類。從結構重要度分析結果來看,影響任務成功的主要是機的因素(軟件、硬件設備),其次是環境因素,最后為人的因素。從分析結果來看,好的設計依然是確保任務安全可靠的基礎,而惡劣的地-月、環月軌道以及月面環境也影響著任務的可靠實施,人則是落月以及月面工作中的主角。為了確保載人登月任務過程中航天員和航天器平臺的安全可靠,在實施相關工程活動時,需從人因失誤控制、機(軟、硬件設備)故障控制、環境擾動控制以及計劃管理方面采取相對的對策措施。

5.1 人因失誤控制

對人因失誤控制應當從人-機系統的匹配度來考慮,適當提高人-機系統匹配度有助于提高整個系統的可靠性和執行任務的成功性。以美國阿波羅載人登月為例,繞月飛行中全自動飛行成功率為22%,而航天員主動參與的繞月飛行成功率則高達93.5%,自動和手動備份操作提高了任務的成功性。應從以下幾方面提高人-機匹配度,提高人的可靠性,降低人因失誤發生的可能性：

1)航天員多種形式的地面訓練

針對未來載人長期飛行任務,開展多種形式的航天員水下、封閉及微重力條件下的模擬訓練。訓練航天員如何在狹小、隔離、陌生且相對危險的環境下克服心理與生理的多重挑戰,安全有效地開展各項工作,訓練他們的領導力、服從性、團隊協作及決策能力。

2)人-系統接口(Human System Interface)

良好的人-系統接口設計是任務成功的必要條件,人-系統接口包含兩方面內容：一是系統對人的適應能力,二是人對系統的適應能力。系統對人的適應能力就是在系統設計過程中確保設備有良好人機界面和防誤操作措施；人對系統的適應能力就是人對系統的熟悉程度、操作靈活性以及對系統內部深層次機理的認識。如果人-系統接口設計優良,則人在操作和使用系統時能夠圓滿地執行各種情境下的任務；若系統接口設計存在缺陷或與標準規范要求存在偏差,則可能導致在緊急情況下人無法對系統表現出的異常行為進行判斷,無法發揮出人的能動性,來處理任務期間的應急事件,從而導致災難性事故的發生[9]。另外,對于載人登月活動,應當挑選具有相關專業背景的領域專家作為航天員,以備不時之需。正如航天員科林斯在第1次載人登月遇到的情況,他具備的良好的計算機知識在確認和排除近月階段的虛警中起到了關鍵作用。

3)航天員與機器人接口

航天員與機器人接口能力包括手段、程序和實現航天員與機器人之間無縫交互作用的技術。具體的接口有手動輸入裝置、預編程的手勢和命令、生物電子接口等。

4)操作者的作業能力

在人-機系統中,操作者的作業能力是指其完成某種作業所具備生理、心理特征,綜合體現個體所蘊藏的內部潛力,這些生理、心理特征,可以從操作者單位時間內完成操作的質量與數量間接地反映出來。

5.2 機(軟、硬件設備)故障控制

在載人登月過程中,機(軟、硬件設備)故障對航天員來說是極大的考驗,人類首次載人登月期間,在接近登月“死亡區間”前發生了計算機警報(計算機被要求在同一時間執行過多的任務,因而不得不把一些任務延后執行而產生的警報)[10],這對航天員和地面指控中心人員都是極大的考驗,差點造成首次載人登月的失敗。因此良好容錯能力和低虛警率的軟件系統是確保載人登月成功的重要組成,應加強軟件可靠性、安全性的設計及驗證工作,確保軟件工具安全可靠。

關于軟、硬件設備的故障控制應從以下幾方面考慮：

1)加強軟、硬件協同設計

隨著大量處理芯片用于航天器,芯片內置軟件與外圍設備的接口可靠性問題開始凸顯出來。當前我國載人航天相關型號已經開展了一系列的軟件可靠性與安全性分析研究工作,并取得了不錯的成績。對于載人登月任務而言,其所使用的技術和設備不同于美國阿波羅登月時的技術,要加強軟件的安全性設計與驗證工作,防止任務期間系統進入不期望狀態而影響整個任務的成功實施。

2)設備可靠性、安全性定量評估驗證工作

要想在載人登月任務實施之前做到胸中有數,增大成功把握,必須對系統中各個組成部分可能出現故障的概率加以認證分析、研究,并進行可靠性、安全性估計和控制。設備可靠性是設備安全可靠工作的基礎,應結合登月特點,綜合開展任務過程的可靠性與安全性評估工作。通過評估驗證為設備可靠性、安全性提升提供有效依據,確保設備的安全可靠。

3)加強新技術的研究及應用工作

應開展精確著陸和月面地形環境危險探測與規避技術,提升和加強載人登月導航、制導和控制GNC(Navigation,Guidance and Control)系統能力以及任務和環境的態勢感知能力和決策機制,以確保登月艙和航天員等的安全。NASA的自主著陸與危險規避技術(ALHAT,Autonomous Landing Hazard Avoidance Technology)目標就是實現重返月球的安全精確著陸,具體來說包括開發技術成熟度(TRL,Technology Readiness Level)達到6級的自主月面著陸GNC和感知系統,確保能在月球極端環境下保證登月艙和航天員等安全并實現十米級著陸精度。

5.3 環境擾動控制

1)月面環境

首先,證據表明長期暴露于可吸入的月塵環境下對人體的健康是有害的[11]。在載人登月任務期間,進入月球艙的月巖灰塵會帶來很多麻煩,月球低重力延長了月塵停留在艙內大氣中的時間,也增加了皮膚、眼睛和呼吸系統受損的機會。為降低航天員身體受損的風險,應通過了解月塵的特性,在現有航天服基礎上研發能夠抵抗月塵環境的新航天服和航天器,開發有效的灰塵控制程序,從而降低登月任務中吸入顆粒、損傷皮膚和眼睛的風險。

其次,需要創建合適的長期居住條件,以保證乘員任務期間的安全和健康。生活環境將防護乘員不會暴露在銀河宇宙線、太陽粒子環境中。這種能力也將支持長期飛行中乘員神智和情緒的穩定,乘員必須克服在高風險、狹窄環境和與地球只有有限通信等環境長時間生存的諸多限制。

2)變重力環境

與近地軌道載人飛行相比,載人登月任務將會遇到許多新的與人的因素相關的問題,對航天員的生理和心理提出了更為嚴峻的挑戰[9]。對于載人登月任務而言,航天員將經歷從地球1 g重力→失重→月球表面1/6 g重力→失重→地球1 g重力變化。同時,載人登月航天器要經歷地球大氣、地球空間、行星際空間、月球空間和月表等整個地月空間,其環境復雜多變,對載人登月航天器及航天員登月活動影響很大,給載人登月空間環境保障提出了新的更高的要求。為了降低變重力環境對航天員乘組的影響,應加大變重力環境對航天員乘組影響研究,開展水下微重力環境適應性訓練和重力變化條件下人為失誤分析、人因可靠性分析等工作。建議在載人登月論證方面增加類似美國“寶瓶座”海底實驗室的試驗設備的研制工作,這不僅為未來載人登月提供變重力試驗環境,也能為近地空間站任務提供有效的地面試驗訓練環境,提升參與空間任務航天員對變重力環境的適應能力。

5.4 計劃管理方面

計劃管理工作是最終關系到計劃成敗的一個重要因素。由于人的先天不足(粗心大意、判斷錯誤等),每一項計劃都需要有嚴格的檢查審查制度。對載人登月任務所涉及的各系統進行反復檢查,對所有失效和更改的內容詳盡解釋,這是取得成功的重要因素。

1)完善載人登月工程體系

為了確保載人登月任務的順利實施,建議參照現有的航天工程系統[12],研究完善適用于載人登月重大工程系統的理論體系、方法體系和標準體系。

2)制定有效的故障處置及應急預案

載人登月任務由于有人的參與,航天員安全就成了首要問題。除著力提高可靠性外,航天員系統在設計上還要考慮出現重大故障時的救生手段和措施,以防患于未然。

同時,應開展天地聯合試驗,在開展載人登月任務前,應驗證故障處置及應急預案的有效性和充分性,確保在異常情況下航天員和航天器平臺的安全。

3)制定詳細完備的任務計劃

應盡量減少航天員自主操作的數量,避免因過多的操作任務對航天員的操控、生理以及心理水平考驗和消耗,同時也應考慮在應急情況下航天員自主參與相關操作的可能。軌道交會對接應盡量采用遙控、自動與自主交會對接,避免航天員手動。

4)關鍵技術成熟度評價

由于載人登月重大工程全壽命周期內涉及對預先研究等方面的技術創新成果的正確性和可用性評價,應對型號工程項目擬選用關鍵技術的成熟度進行定量分析,盡早識別和分析技術風險。

5.5 其他

載人登月(包括其他載人深空飛行任務)對測控通信系統的要求較高,隨著我國地球軌道、地月系、太陽系內的航天器數目不斷增加,對目前的航天測控模式和體制都會帶來適應性影響,應當在各重大工程研制初始就開展測控通信系統對任務的匹配適應研究。采用集中式和分布式協同的測控通信體制能夠較好地滿足未來多任務、多航天器并行的測控通信需求。另外,由于測控通信系統將面對海量的數據信息,有必要提前對測控通信系統接口關系進行統一規定,提高系統處理數據的能力,確保數據的時效性。

此外,為了確保航天員在任何應急時刻能夠安全返回地球,在進行載人登月軌道設計時,應考慮安全風險最低的軌道,可采取多段自由返回軌道[13,14]開展載人登月活動,確保飛船發生故障不執行近月制動的情況下仍可安全自由返回,不需要施加任何機動操作,可有效保障航天員的安全。對于再入返回,應采用跳躍式再入,這樣能有效降低最大過載,避免過載高于航天員安全標準最高值[15]。

6 結論

本文針對載人登月任務,基于“事件樹+故障樹”的安全性建模分析方法,構建了載人登月任務過程的事件樹模型,并以落月任務過程為例給出了包含人-機-環3類因素的故障樹模型。在此基礎上,綜合利用最小割集和結構重要度分析方法,開展載人登月任務過程安全性關鍵影響因素分析,識別出影響任務成功的關鍵因素。從結果來看,關鍵因素涉及設備故障、人操作失誤和環境因素3方面,如過載導致飛行器結構破壞、發動機故障、航天員應急處置不當導致應急上升以及環境因素導致閥門故障等。結合載人登月任務特點,從人因失誤、軟硬件設備故障、環境擾動以及計劃管理等方面提出了相應的安全性對策措施。本文的安全性建模分析、關鍵影響因素識別方法以及制定的相關控制措施可為后續載人登月任務的安全性建模和分析以及安全性措施的制定提供參考。