航天發射任務風險評估研究

施鎮順 朱亞雄 孫成杰 楊曉波

（中國西昌衛星發射中心， 四川西昌， 615600）

文 摘： 針對航天發射任務風險評估現狀和不足， 在現有組織管理模式和人員的基礎上，基于PDCA （策劃—實施—檢查—改進） 方法改進航天發射任務風險評估模式， 采用量化思維設計風險準則， 根據發射場特點明確風險項目， 運用風險過濾、 排序和管理框架進行風險識別， 建立航天發射任務風險全系模型。 結合發射場實際確定風險分析方法， 綜合風險分析結果和風險評價準則設計風險接受準則， 根據風險等級大小制定風險應對策略， 形成完整的風險評估環。

風險即不確定性對目標的影響， 通常用一個事件的后果 （包括情況變化） 和對應的發生可能性這二者的結合來表示[1]。 航天發射任務是一項高風險的活動， 發射活動中面臨的不可確定的因素和種類繁多的風險源， 航天器、 運載器和地面設備技術狀態變化較多， 新研設備設施磨合不夠、 老舊設備可靠性不足， 任務計劃、 場地安排、 流程調整可能存在沖突， 人員、 管理和環境存在很多不確定因素， 這些均是航天發射任務所面臨的風險， 可能會影響航天發射任務圓滿成功的目標。 且風險發生的可能性和造成的后果具有不確定性， 需加以識別、 分析和評價， 并采取必要的控制措施， 以確保將風險影響降至最低。

目前， 航天發射任務風險評估采用定性的風險分析方法， 重點關注產品的質量風險。 隨著航天發射任務的深入開展， 該風險評估模式逐漸暴露出不足， 風險評估缺乏系統的理論支撐、 動態管理不足、 風險識別不全面、 方法手段單一、 風險評估范圍不明確、 風險準則量化不具體、 結果的準確性不夠貼合實際等問題日益突出。 本文基于航天發射任務風險評估現狀和不足， 對航天發射任務風險評估模式的改進開展研究。

1 風險評估模式設計

風險評估由3 個步驟組成： 風險識別、 風險分析和風險評價。 風險評估并非一項獨立的活動，它整合了相關的活動， 主要包括風險評估策劃、風險評估、 風險應對、 監督和檢查等。 遵循PDCA（策劃—實施—檢查—改進） 方法， 依托發射場現有質量管控組織、 機構和人員， 以質量風險為主線， 兼顧考慮安全和環境風險， 改進設計風險評估模式， 航天發射任務風險評估模式如圖1 所示。

2 風險評估的策劃

2.1 風險準則的設計

我們常用發生的可能性和后果的影響程度二者的組合來表示風險的等級。 而為了判斷發生的可能性和后果的影響程度， 首先需要制定風險準則。 綜合考慮航天發射任務的特點、 目標、 內外部因素及相關的標準／ 規范， 結合發射場實際，引入量化思維， 改進設計風險準則， 詳見表1 和表2。

圖1 航天發射任務風險評估模式

表1 風險發生的嚴重性程度等級分類表

2.2 確定風險項目/范圍

結合航天發射任務發射場工作的特點， 確定以下風險項目/范圍：

● 首飛或首用技術狀態且對發射場有影響（測發流程、 組織指揮、 測試操作、 數據判讀和應急處置） 的項目， 如首次執行新型運載器、 首次保障新型航天器、 首次使用上面級等情況；

● 設計理論、 技術方法不成熟， 且發射場測試覆蓋不到、 地面無法考核或考核不充分的項目；

● 產品質量問題有前科的、 狀態有變化的、測試未覆蓋、 單點失效等， 這4 個方面出現兩交集(即同時發生) 或以上的項目；

● 關重件關重特性超差、 超差/不包絡項目， 如關鍵參數超標； 或者雖在指標范圍內，但過程變化趨勢異常， 超出以往歷史經驗值包絡范圍的；

● 一旦發生將對加注、 發射和飛行產生重大影響的其他項目；

● 質量問題未歸零或者歸零措施未落實的，如上一發任務的質量問題還沒有歸零或者故障原因還沒有明確定位的；

● 產品已歸零但尚未經過實際任務考核檢驗， 或已經過考核但效果不理想的；

● 雖然不是新狀態， 但箭上及地面關鍵產品、 設備長時間未使用后又重新使用的 （如塔架間隔多年后重新發射CZ-2C 火箭）， 或者是最后一次使用且所用產品屬于優選剩下的；

● 地面設備狀態 （含軟硬件） 變化較大的項目， 如對測試發射影響較大的靶改項目， 或者是新建的測試保障廠房首次投入使用等情況；

● 地面設備可靠性較低的項目， 如老舊設備超期服役， 設備檢查維護不及時， 特燃特氣籌措不及時等；

● 崗位或重要崗位人員變化較大的 （如首次新增設的崗位）， 或者是重要崗位新上崗或新換崗， 或一般崗位但一、 二崗及系工中有兩方以上是新上崗的；

● 指揮、 操作、 文書等方面變化較大的，如新編寫或內容變化較大的文書、 聯合操作流程變化較大的， 或者操作項目、 步驟和空間環境變化較大的等情況；

● 惡劣氣候或突發氣象環境等， 如處于降雨季節 （潮濕導致漏電、 降雨影響轉場發射等關鍵過程）、 干燥季節 （易產生靜電） 或者雷暴頻繁 （影響加注發射安全）、 鹽霧腐蝕等情況；

● 其他對發射場影響較大的技術、 產品（設備）、 環境、 保密、 組織指揮和管理等方面的情況。

3 風險評估過程研究

風險評估由3 個子過程所組成： 風險識別、風險分析和風險評價。

3.1 風險識別

風險識別是通過識別風險源、 影響范圍、 事件及其原因和潛在的后果等， 生成一個全面的風險列表[2]。 風險識別是風險評估過程中最基礎的環節， 其他環節都必須以風險識別的結果為基礎。 如果在風險識別階段根本沒有意識到這些風險存在的可能性， 也沒有采取任何干預措施， 這樣風險因素轉化成風險事件的可能性就增加了。相反， 如果識別出上述風險源， 能夠采取有效的風險防范和控制措施， 風險事故發生的可能性顯然就會降低。

3.1.1 風險識別內容

航天發射任務的風險因素主要包括人員風險、技術風險、 設備設施風險、 材料風險、 環境風險和管理風險等。 “人員風險” 主要指由于人員思想意識或能力素質問題直接造成的風險損失。 “技術風險” 主要指在發射試驗過程中， 由于方案設計不合理、 發射技術復雜、 試驗技術準備不充分、 檢查測試不全面等原因， 不能滿足發射試驗的要求， 給發射試驗帶來的風險。 “設備設施風險” 主要指因設備狀態不理想、 新研設備未經過實戰、 設備老化、冗余不足、 維護不及時等原因， 造成任務執行中斷或推遲的風險。 “材料風險” 主要指推進劑、 特氣數質量不符合要求以及原材料準備不充分、 材料質量問題等方面造成的風險。 “環境風險” 主要指由于環境變化造成的航天發射試驗風險損失， 如工作環境的溫濕度不達標、 照度不夠等造成產品的受損等。 “管理風險” 是指在航天發射試驗中， 由于計劃、 組織、 控制、 決策等工作達不到預定要求， 造成發射程序混亂、 時間延遲或發射失敗等風險。

運用風險過濾、 排序和管理框架 （PFRM）[3]，按照人員、 技術、 設備設施、 材料、 環境和管理劃分， 充分識別航天發射任務中所面臨的風險，分類分層次進行風險識別， 并形成航天發射任務風險全息模型， 如圖2 和圖3 所示。

3.1.2 風險識別方法

常用風險識別的方法有： 專家調查法 （德爾菲法）、 頭腦風暴法、 安全檢查表法、 情景分析法、 故障樹分析法、 事件樹分析法以及危險與可操作性分析法等， 見表3[4-7]。

目前， 發射場在多種場合已應用了頭腦風暴法、 列表法、 結構化訪談法和檢查表法， 其應用原理較簡單， 可操作性強， 可直接應用于風險識別。前期， 發射場已在不同項目研究中多次采用FMEA（失效模式和后果分析） 法對系統和設備設施進行了失效模式和效應分析， 取得良好的成果， FMEA法有一定的理論基礎， 其方法適用、 可行， 將成果推廣應用， 可減少工作量。 故障樹分析法在發射場主要應用于故障分析和歸零工作， 應用也較廣， 但應用于風險識別， 工作量較大， 可適用于崗位級風險識別。

圖2 航天發射任務風險全息模型 （1）

圖3 航天發射任務風險全息模型 （2）

表3 風險識別方法

其他方法由于專業性較強， 發射場應用較少或應用面較窄、 工作量較大。 根據發射場現狀，不建議大面積推廣， 可組織系統骨干學習了解其方法和理論， 并應用于子系統或崗位級識別。 綜上， 風險識別宜采用專家調查法、 結構化訪談法、失效模式和后果分析法、 故障樹分析法等方法。

3.2 風險分析

風險分析是根據風險類型、 獲得的信息和風險評估結果的使用目的， 對識別出的風險進行定性和定量的分析， 為風險評價和風險應對提供支持的過程[2]。

3.2.1 風險分析改進設計

風險等級不僅取決于風險本身， 還與現有的風險控制措施的充分性和有效性密切相關。 因此， 風險分析既要對 “已識別的風險” 進行 “后果和發生可能性” 分析， 又要考慮現有控制措施的效果和效率。 風險分析既要分析未采取措施前的固有風險 （R （固有））， 又要分析采取了控制措施后的風險 （R （控制））， 通過二者相加減，可得出現有的風險等級。 一般可用下面的等式來表示：

目前， 發射場風險分析大都是對固有風險進行分析， 即未考慮現有控制措施的施加影響情況。 這樣分析出的風險， 不利于風險評價確定真實的風險等級， 更不利于采取針對性的應對措施， 容易造成風險評估不準確， 導致管控失效。因此， 可對現有風險分析流程進行改進設計， 增加現有控制措施的梳理和影響分析， 以確定真實的風險分析結果， 如圖4 所示。

圖4 風險分析改進設計流程圖

3.2.2 風險分析方法

風險分析主要涉及3 方面： 事件發生的概率、 后果的嚴重性和主觀判斷， 綜合這3 方面的影響， 結合風險的獨特性、 變動性和復雜性， 風險分析的方法往往因項目的情況不同而不同。 比較有代表性的方法有外推法、 概率風險評估法、專家判斷法、 風險矩陣法和風險評估指數法等，見表4[8]。

表4 風險分析方法

目前， 發射場風險評估基礎較弱， 風險評估專家嚴重缺乏， 主要依靠系統骨干或指揮員兼職估算。 面對航天發射任務中眾多的風險因素， 單獨地采用概率風險評估方法和傳統的專家判斷法難于實現。 結合發射場實際， 風險分析宜采用風險矩陣法和風險評估指數法、 本分融合風險矩陣法和風險評估指數法， 將決定危險事件風險的兩種因素 （嚴重性和可能性） 按其特點劃分為相應的等級， 形成一種風險評估矩陣， 并賦予一定的加權值來衡量風險大小， 見表5 和表6。

表5 風險評估矩陣表

表6 風險等級綜合指數評估表

3.3 風險評價

風險評價將風險分析的結果與組織的風險準則比較， 或者在各種風險的分析結果之間進行比較，確定風險等級， 以便做出風險應對的決策[2]。 風險評價是風險評估的最后一個子過程， 是確定風險等級和風險接受程度的過程， 風險評價的結果將為風險應對決策提供依據。 結合航天發射任務風險準則和風險分析所采用的方法， 設計風險的接受準則見表7。

表7 風險接受準則

風險評價采用的方法比較簡單， 即將風險分析的結果與確定的風險評價準則進行比較， 便可確定風險的等級。

4 風險應對、 風險監控及持續改進

風險應對是在風險評價后， 選擇并實施一種或多種改變風險的措施， 最終達到消除或減少風險發生的可能性， 或減少風險發生時造成的損失。 實踐中主要針對風險的二重性， 即發生的可能性和后果的嚴重性， 采取有針對性措施， 包含規避風險、 消除風險源、 改變可能性、 改變后果、 分擔風險和保留風險等。 航天發射任務， 針對不同的風險應采取不同的控制策略或措施， 詳見表8。

表8 風險應對策略表

風險監控是通過對風險規劃、 識別、 評價等全過程的監視和控制， 以達到預期的目標。 通過采取主動的風險監控措施， 如崗位人員的雙想、復查比對、 風險識別清單等， 綜合被動的監督檢查， 如任務中質量技術安全檢查、 任務工作表實行動態管理、 階段評審會、 專項檢查、 體系的監督審核等， 以有效提高航天發射的風險管理水平， 減少風險事故發生的頻次及造成的損失。

持續改進是對新制定的控制措施進行固化，寫入作業指導書、 規章制度、 管理規定等， 確保措施持續有效； 此外， 若新識別了風險， 應對現有風險源進行更新完善， 增加數據庫模型的完整性和指導性。

5 結束語

航天發射是一項巨系統、 高技術、 高風險的活動， 涉及人員多、 技術廣、 裝備雜， 對環境要求高， 管理環節多， 任何環節的不確定因素都將產生巨大的影響， 對這些環節進行科學的風險評估， 采取必要的風險應對措施， 將有助于實現任務圓滿成功目標。

本文針對航天發射任務風險評估現狀和不足， 在現有組織管理模式和人員的基礎上， 基于PDCA 方法改進了航天發射任務風險評估模式，采用量化思維設計了風險準則， 根據發射場特點明確了風險項目， 運用風險過濾、 排序和管理框架進行了風險識別， 形成了完整的航天發射任務風險全息模型。 結合發射場實際確定了風險分析方法， 綜合風險分析結果和風險評價準則設計了風險接受準則， 根據風險等級大小制定了風險應對策略， 形成完整的風險評估環。 該風險評估模式已應用于航天發射任務中， 有效提高了航天發射的風險管理水平， 大大減少了風險事故發生的頻次及造成的損失， 確保了航天發射任務圓滿成功。