基于PDCA原理的航天發射風險管理模式

楊曉波 施鎮順

（西昌衛星發射中心， 西昌， 615000）

航天發射是一項高風險的活動， 發射過程中， 航天器、 運載器和地面設備技術狀態變化較多， 新研設備設施磨合不夠、 老舊設備可靠性不足， 人員、 管理和環境存在不確定因素， 發射活動面臨的不可確定因素和風險源種類繁多， 直接關系任務的成敗[1]。 近年來， 隨著國家經濟和國防建設的需求加大， 航天發射任務的頻次大幅提高， 進入了 “持續高密度” 的發射狀態， 星箭型號多、 發射間隔短、 人員壓力大、 設備負荷重、 資源調配難、 狀態轉換多等特點更為突出，除了單一任務的風險， 還增加了資源、 人力和進度等典型風險， 風險管理的要求更加嚴格。

我國航天發射場很早就引入了風險的理念和風險管理的思想， 如 “雙想 （預想、 回想）”， 并隨著實踐的不斷深入和管理的不斷創新改進， 基于風險的思維逐漸深入融合到整個航天發射活動全過程， 取得了良好的實踐效果。 但隨著航天發射任務的高密度持續運行， 原有的風險管理方法逐漸暴露出了一些不足和短板， 如風險識別不夠全面、 風險分析未考慮管理水平對風險概率的影響、 定性風險評價方法易受主觀影響、 風險應對和監控與質量管控結合不夠、 持續改進不夠系統等， 亟需進一步改進現有風險管理模式。

1 總體框架設計

遵循PDCA 循環原理， 依托航天發射流程，將風險管理貫穿航天發射任務全過程， 分為5 個子過程： 風險管理策劃、 風險評估、 風險應對、監督與檢查、 總結與固化， 融合過程質量管理工作， 分別融入航天發射策劃、 準備、 實施、 總結等全過程， 構成完整的具有持續改進能力的風險管理模式， 如圖1 所示。

圖1 航天發射風險管理模式總體框架圖

2 風險管理策劃

風險管理是風險水平與風險控制成本之間一個不斷博弈的動態平衡的過程[2]。 在這個過程中面對的最核心的問題就是風險應當控制到什么程度， 也就是風險準則如何確立。 通常認為， 在知道可能的危險情況下， 仍繼續會導致提高該風險的行為， 而沒有更積極地采取降低風險水平的措施， 那么該風險水平是可容忍的。 風險準則就是對風險可容忍度的一個表述。

風險管理的策劃， 重點是確定組織的風險準則。 綜合考慮航天發射實際和內外因素， 結合風險發生的可能性和后果的嚴重性兩要素， 以風險矩陣為基礎， 改進設計風險準則， 如圖2 所示。當然， 風險準則不是一成不變的， 而應當與航天發射的重要等級相匹配。 通常， 我們在航天發射策劃階段， 結合航天發射形勢分析等工作， 在內外部影響因素分析的基礎上， 調整風險準則， 適當加嚴或放寬， 尋求成本與質量的最佳平衡， 從而更科學的指導航天發射風險管理工作的開展。

圖2 航天發射風險準則示意圖

3 風險評估過程研究

“風險評估” 是 “風險管理過程” 的核心部分， 是一個大過程的總稱， 該過程由3 個子過程組成： 風險識別、 風險分析和風險評價。

3.1 風險識別

風險識別是通過識別風險源、 影響范圍、 事件及其原因和潛在的后果等， 生成一個全面的風險列表[3]。 沒有風險識別的風險管理是盲目的[4]。風險識別是后續風險分析、 風險評估乃至風險應對的基礎， 風險識別能否達到預期效果的關鍵在于能否進行全面系統的調查分析， 將風險進行綜合歸類， 揭示其性質、 類型和后果。 目前， 常用的風險識別方法主要有專家調查法、 安全檢查表法、 故障樹分析法、 “九新” 識別法 （新技術、新設備、 新流程、 新狀態、 新環境、 新人員、 新型號、 新協調、 新材料） 等。

發射場開展風險識別主要基于歷次風險識別結果， 利用崗位人員的經驗對任務風險進行辨識， 形成風險識別清單。 為系統、 全面識別航天發射風險， 可組織有經驗的風險管理人員和技術骨干采用頭腦風暴法、 情景分析法、 檢查表法等方法， 利用狀態分析結果、 以往風險辨識結果和專項風險防控分析成果等， 建立形成航天發射風險源庫， 為崗位人員提供參考和輸入。

建立風險源庫， 將各項風險識別活動中獲得的信息， 與風險源庫進行比對和匹配， 利于風險識別結果的結構化管理； 另一方面， 也可通過風險源庫的啟發， 更加系統全面地識別可能的風險， 避免遺漏。 航天發射風險源圍繞 “人機料法環” （人員、 設備、 技術、 管理和環境等五大類）， 各大類再進一步細分， 共分為3 個層次，形成航天發射風險源庫， 如圖3 所示， 供崗位人員挑選比對。 例如： 如果崗位有新上崗人員， 可匹配 “人員因素” 中 “能力素質” 的 “新上崗”風險源， 將風險識別的結果為新上崗導致 “三誤” （誤指揮、 誤口令、 誤動作） 風險等。

圖3 航天發射風險源庫結構圖

3.2 風險分析

風險分析是根據風險類型、 獲得的信息和風險評估結果的使用目的， 對識別出的風險進行定性和定量的分析， 為風險評價和風險應對提供支持。 在以往的航天發射風險控制實踐中， 存在風險等級評價不準確、 導致風險控制的重點有偏差的問題， 根本原因是沒有區分清楚固有風險和剩余風險。

“固有風險” 是在無任何風險應對之前的風險， “剩余風險” 是風險應對后剩下的風險。 可用數學公式表示為： R剩余=R固有-R應對。

“固有風險” 通常是靜態的、 固定的， 而 “剩余風險” 是動態的， 隨組織的風險應對水平而變化。 一般來說， “剩余風險” 能更好地反映風險的真實大小， 體現組織的管理能力和水平變化對風險帶來的影響。 在風險分析過程中， 既要分析影響某目標的固有風險， 還要分析組織現有的管理能力和控制措施的有效性， 進而得出某潛在事件對特定目標的實際風險值。 為此， 設計了基于剩余風險思想的風險分析流程， 具體如圖4 所示。

圖4 基于剩余風險思想的風險分析流程

如新上崗人員導致 “三誤” 的風險， 制定的應對措施通常包含組織針對性訓練、 實裝操作演練、 上崗考核等措施， 對該風險進行風險分析，其固有風險值為 “可能發生、 嚴重后果”， 但對應對措施進行分析后， 其剩余風險值為 “有可能發生、 嚴重后果”， 結果發生了變化， 風險等級和風險控制重點也應發生相應的改變。

3.3 風險評價

風險評價是將風險分析的結果與組織的風險準則比較， 或者在各種風險的分析結果之間進行比較， 確定風險等級， 以便做出風險應對的決策[3]。

目前， 發射場的風險評價方法主要是定性評價。 定性評價簡單易用， 有利于各類人員實施使用。 但定性的準則比較籠統， 在實踐中， 不同個體對同一風險評估等級經常出現差異較大的情況， 而且存在很難清晰地界定等級， 不同決策者之間的等級劃分結果會有明顯的差別， 無法對風險進行累計迭加等[4]。 因此， 須對定性的準則進行量化， 明確定性分析各等級的評判標準， 并采用評分法將定性分析的結果轉化為定量的結果， 見表1 和表2。

表1 定量化概率 （可能性） 準則

表2 定量化后果 （嚴重性） 準則

可以將風險評價矩陣轉化為數學模型： 風險值 （D） =概率分值 （L） ×后果分值 （C）， 風險等級分值越高， 說明風險等級越大。 風險等級模型見表3， 其設計了各風險等級對應的分值范圍， 可實現自動評價風險等級。 確定風險等級后， 與前述風險準則進行比較， 可以確定風險是否可以容忍或接受， 并采取相應的措施。 如 “新上崗人員導致 ‘三誤’ 的風險”， 其可能性為3、嚴重性為5， 風險值為15， 屬于較大風險， 為可接受風險， 后續按照風險應對策略進行控制即可。

表3 風險等級表

4 風險應對策略

風險應對是選擇并執行一種或多種改變風險的措施， 包括改變風險事件發生的可能性或后果的措施[3]。 引入 “本質安全” 的思想， 對風險應對措施進行梳理分類， 并排出優先級， 見表4。

表4 航天發射風險應對策略

最優的方案是采取技術措施， 可行時盡力消除風險源或采用風險較小的替代方案， 從根本上消除事故發生的可能性， 效果最佳。 次優的方案是采取管理措施， 在無法采取技術措施或投入成本太高的情況下， 從 “人” 的角度入手， 建章立制、 開展培訓和教育、 加強檢查等， 通過約束、改進人的行為從而降低風險。

除了采取預防風險的措施， 還要考慮風險發生后的應對， 制定適宜的應急方案， 防止風險發生后給航天發射整體帶來危害或發生次生影響。此外， 還可以考慮其他的應對措施作為補充， 如轉移風險和分擔風險， 以及最壞情況下對人的個體防護。

5 風險監控手段

在確定了風險應對措施之后， 需要制定相應的風險應對計劃， 保證風險管理手段的落實。 風險應對計劃要與組織的管理過程有效整合， 才能防止 “兩張皮” 情況的出現。 結合航天發射實際， 可將風險應對計劃與質量控制計劃有效結合， 將風險監控點轉化為 “質量控制點”， 分布于準備階段、 實施階段、 合練、 發射、 總結評定等各個階段。

在監控的具體手段上， 主要分為2 種類型：①主動的監督與檢查——雙想 （預想和回想）。 主動的監督與檢查， 可以結合 “雙想” 工作開展，行為主體是一線管理人員和崗位人員， 重點是關注各個具體風險的變化情況和控制結果。 ②被動的監督與檢查——階段評審。 被動的監督與檢查， 可以結合階段評審開展， 行為主體是機關人員和總體人員， 重點是關注風險管理的總體有效性和重要風險的控制情況。

6 總結與固化

目前， 風險管理重點關注的是風險評估環節， 而持續改進環節關注較少。 “總結與固化”子過程目的是： 結合任務總結評定工作， 固化風險應對措施， 迭代更新風險源庫， 有效提升風險管理水平。

風險應對過程中， 為規避或降低風險等級，特別是不可容忍風險和不可接受風險， 我們往往會制定一些臨時性措施， 如增加技術手段、 增加防護措施、 增加教育方式等等， 但這些臨時措施尚未納入航天發射質量管理的成熟流程之中。 因此， 有必要結合總結評定， 對這些 “臨時性措施” 的控制效果進行評估， 并加以優化， 待成熟后即可固化進質量管理流程之中， 從而實現風險控制能力的螺旋上升。

航天發射風險源庫的框架結構中的具體內容必然有不完善的地方， 需要在實踐中不斷迭代完善。 并且， 隨著形勢的不斷變化， 風險源也將隨之發生變化， 需要不斷更新修訂， 才能更好的指導風險管理工作的開展。 進一步， 可以采用文本聚類分析等信息化技術手段， 實現航天發射風險源庫的智能迭代更新。