翟 怡,孫 剛,劉 薇,孫 威,吳 達(dá)
(北京衛(wèi)星環(huán)境工程研究所,北京 100094)
航天器熱環(huán)境試驗(yàn)是航天器研制過程中的重要環(huán)節(jié),其主要目的是通過模擬航天器在軌工作熱環(huán)境考核航天器各分系統(tǒng)的工作性能,尤其是熱控分系統(tǒng)的性能,獲取航天器完整性能數(shù)據(jù),暴露航天器的工藝和質(zhì)量缺陷[1]。
隨著航天技術(shù)的不斷發(fā)展進(jìn)步,航天器熱環(huán)境試驗(yàn)技術(shù)中的風(fēng)險項(xiàng)目呈現(xiàn)出數(shù)量多、難度大、質(zhì)量控制要求高等特點(diǎn),試驗(yàn)中面臨的不確定性、難度和風(fēng)險也越來越大[2]。加強(qiáng)技術(shù)風(fēng)險分析和控制的研究,采取切實(shí)有效的措施控制風(fēng)險,是航天器熱環(huán)境試驗(yàn)順利完成的重要保證。
結(jié)合熱試驗(yàn)任務(wù)研制流程,開展規(guī)范的技術(shù)風(fēng)險識別與分析,針對識別和分析出的各類風(fēng)險制定充分有效的控制措施,形成系統(tǒng)的技術(shù)風(fēng)險識別與控制方法,具有重要的意義[3]。航天器熱環(huán)境試驗(yàn)經(jīng)過數(shù)十年的經(jīng)驗(yàn)積累,通過建立健全程序文件和作業(yè)文件,已經(jīng)能夠較好地控制不合格的發(fā)生。但對于技術(shù)風(fēng)險的控制,大多還是停留在以單個熱試驗(yàn)為出發(fā)的層面,針對每個試驗(yàn)流程分別開展風(fēng)險分析和不合格發(fā)生后的故障分析。國內(nèi)外航天領(lǐng)域在熱試驗(yàn)過程中出現(xiàn)的各類問題說明,在熱試驗(yàn)技術(shù)風(fēng)險控制方面還存在較多問題。而高密度和高質(zhì)量的熱試驗(yàn)需求,亟需將熱試驗(yàn)過程技術(shù)風(fēng)險分析和控制由事后分析處理轉(zhuǎn)變?yōu)槭虑胺治鲱A(yù)防,并且形成系統(tǒng)、通用、全面的風(fēng)險控制指導(dǎo)書。
本文借鑒故障樹分析(fault tree analysis, FTA)的基本思路,以航天器熱試驗(yàn)過程中曾經(jīng)發(fā)生過的不合格為頂事件,結(jié)合航天器熱試驗(yàn)技術(shù)流程,進(jìn)一步細(xì)化分解形成底事件,進(jìn)而建立基于航天器熱試驗(yàn)過程的技術(shù)風(fēng)險分析與評價方法,最后針對分析出的各類風(fēng)險底事件制定細(xì)化量化控制措施后嵌入到熱試驗(yàn)研制流程中,以實(shí)現(xiàn)熱試驗(yàn)過程風(fēng)險預(yù)測和控制的目標(biāo)。
FTA以系統(tǒng)故障作為頂事件,通過對可能導(dǎo)致故障發(fā)生的人為因素、設(shè)備、物料、環(huán)境等進(jìn)行逐級分解作為中間事件,直到把不能分解的基本事件作為底事件,繪制出故障樹[4]。FTA是當(dāng)前航天器研制中針對質(zhì)量問題常用的一種分析方法,目的是通過繪制故障樹圖,梳理故障現(xiàn)象的發(fā)生脈絡(luò),通過評價故障發(fā)生的嚴(yán)酷度,對故障事件采取預(yù)防和控制措施,防止不合格的出現(xiàn)[5]。
開展航天器熱試驗(yàn)過程技術(shù)風(fēng)險控制方法研究,需要經(jīng)歷類似PDCA(計劃Plan—執(zhí)行Do—檢查Check—處理Act)的過程,依次進(jìn)行風(fēng)險識別、分析,開展風(fēng)險嚴(yán)酷度評價,并根據(jù)評價結(jié)果制定針對風(fēng)險的策略和措施,采取適當(dāng)?shù)姆绞奖O(jiān)督策略和措施實(shí)施的過程和效果,形成風(fēng)險控制體系[6]。其系統(tǒng)架構(gòu)如圖1所示。
圖1 風(fēng)險控制體系架構(gòu)Fig. 1 Framework of risk control system
在風(fēng)險控制體系設(shè)計過程中,以故障狀態(tài)為目標(biāo)進(jìn)行層層深入的邏輯分析,采用FTA方法,形象直觀地展示系統(tǒng)內(nèi)部各事件之間的因果關(guān)系,從而找出引起故障發(fā)生的各項(xiàng)事件及事件組合,制定并實(shí)施相應(yīng)的防范措施[7]。
基于FTA的技術(shù)風(fēng)險識別方法是:首先梳理航天器熱環(huán)境試驗(yàn)近10年發(fā)生的不合格案例,按問題類型進(jìn)行分類,以不合格為頂事件,應(yīng)用FTA等技術(shù)風(fēng)險識別工具,對航天器熱環(huán)境試驗(yàn)全過程進(jìn)行系統(tǒng)分析梳理;然后以關(guān)鍵風(fēng)險項(xiàng)目和關(guān)鍵產(chǎn)品為核心,從人、機(jī)、料、法、環(huán)5個方面對風(fēng)險要素進(jìn)行分析,逐層分解,繪制故障樹,進(jìn)一步細(xì)化分解形成底事件。這些底事件將作為風(fēng)險嚴(yán)酷度評價的基礎(chǔ)。
以熱試驗(yàn)過程電路短路/斷路項(xiàng)目為例,根據(jù)系統(tǒng)組成及其結(jié)構(gòu)相關(guān)性,繪制不合格發(fā)生的故障模式如圖2所示。該子故障樹中,試驗(yàn)系統(tǒng)電路短路/斷路為頂事件,可能導(dǎo)致該事件發(fā)生的控制柜短路/斷路、加熱器短路/斷路、測量儀器短路/斷路、其他電路短路/斷路為中間事件,識別出X1~X9共9項(xiàng)底事件。
圖2 電路短路/斷路項(xiàng)目子故障樹Fig. 2 Sub fault tree of open or short circuit for thermal test
通過繪制故障樹識別出風(fēng)險事件后,需開展風(fēng)險嚴(yán)酷程度評價,以用于后續(xù)有針對性地制定控制措施。風(fēng)險的嚴(yán)酷程度主要包含導(dǎo)致不合格發(fā)生的可能性和風(fēng)險發(fā)生所導(dǎo)致的后果嚴(yán)重程度2方面因素;此外,根據(jù)航天器熱試驗(yàn)各階段的不同情況,在進(jìn)行嚴(yán)酷度評價時還需綜合考慮風(fēng)險的可預(yù)知性以及風(fēng)險發(fā)生導(dǎo)致的對研制進(jìn)度的影響程度。根據(jù)各子故障樹底事件不同采取定量評價、定性評價和綜合評價:對低層次單一型問題采取定性評價方式;對重復(fù)性高發(fā)問題采取定性和定量相結(jié)合的評價方式;對共性問題采取綜合評價方式。
定量評價主要從導(dǎo)致不合格的概率角度進(jìn)行分析。故障樹的結(jié)構(gòu)函數(shù)定義為
其中 n 為故障樹底事件的數(shù)目,x1, x2, ···, xn為描述底事件狀態(tài)的布爾變量,即{
第i個底事件的概率重要度IP(i)表示當(dāng)?shù)趇個底事件發(fā)生概率的微小變化而導(dǎo)致頂事件發(fā)生概率的變化率[8],其表達(dá)式為
其中Q(q1,q2,···,qn)為頂事件發(fā)生概率。在底事件相互獨(dú)立的條件下,它是各底事件發(fā)生概率q1, q2, ···,qn的函數(shù)。
以風(fēng)險發(fā)生概率為判據(jù)進(jìn)行風(fēng)險可能性分級;當(dāng)風(fēng)險發(fā)生概率不可量化時,根據(jù)風(fēng)險涉及的產(chǎn)品和技術(shù)方案的確定性、驗(yàn)證情況進(jìn)行分級,詳見表1。
表1 風(fēng)險可能性等級評定標(biāo)準(zhǔn)Table 1 Criteria for risk probability evaluation
定性評價主要從風(fēng)險發(fā)生所導(dǎo)致的后果嚴(yán)重程度進(jìn)行分析,并根據(jù)風(fēng)險發(fā)生的后果嚴(yán)重性進(jìn)行等級劃分,詳見表2。
表2 風(fēng)險嚴(yán)重程度等級評定標(biāo)準(zhǔn)Table 2 Criteria for risk severity evaluation
風(fēng)險評價綜合評定標(biāo)準(zhǔn)綜合考慮不合格發(fā)生的可能性、嚴(yán)重性、可知性和緊迫性,并根據(jù)這4個特性對航天器研制任務(wù)完成的影響程度設(shè)定分值,以4項(xiàng)評分相乘的結(jié)果來表示風(fēng)險嚴(yán)酷程度,詳見表3[9]。
表3 風(fēng)險評價綜合評定標(biāo)準(zhǔn)Table 3 Comprehensive evaluation criterion for risk assessment
風(fēng)險控制是以風(fēng)險識別、分析和評價結(jié)果為依據(jù),采取適宜的策略和控制方法對風(fēng)險底事件制定并實(shí)施控制措施。風(fēng)險控制的近期目標(biāo)是消除或減少風(fēng)險事件發(fā)生的可能性或風(fēng)險發(fā)生造成的損失,最終目標(biāo)是建立風(fēng)險防范控制體系。風(fēng)險控制的主要方法有風(fēng)險回避、風(fēng)險降低、風(fēng)險分離、風(fēng)險分散、風(fēng)險轉(zhuǎn)移、風(fēng)險自留等[10]。
風(fēng)險控制可采取分級處理的方法,對不同等級風(fēng)險應(yīng)用不同控制方法組合:重點(diǎn)監(jiān)控高等級風(fēng)險,可采取風(fēng)險降低、分離、分散、轉(zhuǎn)移等1種或幾種控制方法,并配合專項(xiàng)檢查控制措施的落實(shí)情況;定期監(jiān)控中等級風(fēng)險,采取風(fēng)險降低、分離、分散、轉(zhuǎn)移等控制方法,并定期檢查控制措施的落實(shí)情況;不定期監(jiān)控低等級風(fēng)險,采取風(fēng)險降低、轉(zhuǎn)移等控制方法,可配合工藝紀(jì)律檢查等檢查控制措施的落實(shí)情況。
基于FTA的熱試驗(yàn)技術(shù)風(fēng)險控制,針對航天器熱試驗(yàn)過程各子故障樹的每一項(xiàng)底事件,制定控制措施矩陣,明確控制方法及落地措施。包含人員職責(zé)、文件程序、檢查確認(rèn)、工具方法等,根據(jù)風(fēng)險等級的不同,制定控制要求的落實(shí)維度(見表4)采取風(fēng)險降低、分離、分散、轉(zhuǎn)移等1項(xiàng)或多項(xiàng)控制方法。在對識別出的底事件進(jìn)行風(fēng)險評價的基礎(chǔ)上,針對底事件的嚴(yán)酷程度,從底事件實(shí)施步驟涉及的崗位控制及相關(guān)的控制制度和控制活動2個維度構(gòu)建風(fēng)險控制矩陣模型,如表5所示。
表4 不同技術(shù)風(fēng)險對應(yīng)的控制要求Table 4 Sorts of ontrol measures for different level of risks technical risks
表5 技術(shù)風(fēng)險控制矩陣模型Table 5 Mmatrix model for controlling technical risks
基于FTA的熱試驗(yàn)技術(shù)風(fēng)險控制矩陣模型,以崗位控制措施為橫向,以控制制度和活動為縱向,橫向的崗位控制措施從熱試驗(yàn)過程涉及的各個崗位角色出發(fā),梳理技術(shù)指揮、操作人員和產(chǎn)品保證人員的崗位職責(zé);縱向的控制制度和活動從工具方法、檢查確認(rèn)等維度梳理。風(fēng)險控制矩陣針對識別出的每項(xiàng)底事件,矩陣設(shè)計的每一個控制維度均為下拉菜單形式,下拉菜單中包含開展工藝及量化課題研究、工藝攻關(guān)、QC活動等方式和產(chǎn)保要素落實(shí)、標(biāo)準(zhǔn)作業(yè)指導(dǎo)書編制、體系文件完善、應(yīng)知應(yīng)會及操作禁忌項(xiàng)目梳理等方法。在制定措施過程中,根據(jù)各個底事件的實(shí)際情況,選擇1個或多個適宜的方法,制定措施。將構(gòu)成子故障樹頂事件的各個底事件的控制矩陣相結(jié)合,從而實(shí)現(xiàn)覆蓋熱試驗(yàn)全過程的風(fēng)險控制。
通過對熱試驗(yàn)技術(shù)流程的全面分析和比對歷史不合格數(shù)據(jù),確定電路短路/斷路等關(guān)鍵風(fēng)險項(xiàng)目作為風(fēng)險頂事件,開展技術(shù)風(fēng)險全面分析。以電路短路/斷路分析和控制為例,通過建立FTA風(fēng)險分析模型,分析可能導(dǎo)致故障發(fā)生的底事件,形成了圖2所示的故障樹。
在分析識別出底事件后,對每項(xiàng)底事件分別開展風(fēng)險評價。經(jīng)比對歷史數(shù)據(jù),將電路短路/斷路定位為重復(fù)性高發(fā)問題,故應(yīng)采用定性和定量相結(jié)合的評價方式。按照表6和表7的評價矩陣進(jìn)行綜合風(fēng)險等級(I級~V級)評價,等級I、II為低等級風(fēng)險,等級III為中等級風(fēng)險,等級IV為高等級風(fēng)險。并以不同的色彩標(biāo)志底事件風(fēng)險評價結(jié)果,形成圖3所示的風(fēng)險評價結(jié)果。對X3底事件——紅外籠短路/斷路進(jìn)行評價,其發(fā)生可能性判別等級為d(可能),嚴(yán)重程度判別等級為D(嚴(yán)重),因此將其判定為高等級風(fēng)險。
在對底事件完成評價后,針對每個底事件逐項(xiàng)制定風(fēng)險控制矩陣。本文以風(fēng)險評價結(jié)果判定為高風(fēng)險的X3底事件為例,針對其制定的風(fēng)險控制矩陣如表8所示。
表6 定性和定量綜合風(fēng)險評價矩陣Table 6 Combined qualitative and quantitative risk evaluation matrix
表7 定性和定量綜合風(fēng)險評級Table 7 Combined qualitative and quantitative risk evaluation
圖3 電路短路/斷路底事件風(fēng)險評價結(jié)果Fig. 3 Result of risk assessment for bottom event of open or shorted short circuit
表8 X3 底事件風(fēng)險控制矩陣Table 8 Risk control matrix of X3 bottom event
在對每一個風(fēng)險底事件有針對性地制定控制矩陣后,將風(fēng)險分析過程及控制方法整理成冊,制定航天器熱試驗(yàn)通用技術(shù)風(fēng)險指南。技術(shù)人員可以在航天器型號熱試驗(yàn)前從指南中直接查找并使用通用技術(shù)風(fēng)險控制措施;并根據(jù)不同型號特點(diǎn)和熱試驗(yàn)要求有針對性地分析并形成專用風(fēng)險控制措施。通用與專用相結(jié)合,不僅提高了熱試驗(yàn)技術(shù)風(fēng)險的控制能力,也極大程度地降低了重復(fù)分析帶來的工作強(qiáng)度,在實(shí)現(xiàn)高質(zhì)量的同時擁有了高效率。將風(fēng)險控制措施以Q點(diǎn)(質(zhì)量控制點(diǎn))和S點(diǎn)(安全控制點(diǎn))的形式嵌入熱試驗(yàn)技術(shù)流程,在熱試驗(yàn)的不同階段有計劃地落實(shí)控制措施,如圖4所示。明確風(fēng)險控制活動的開展時機(jī),工作輸入、輸出及責(zé)任人等內(nèi)容,確保了風(fēng)險控制措施的有效落地實(shí)施。
圖4 風(fēng)險控制措施嵌入技術(shù)流程Fig. 4 Risk control measures embedded in the technical flow
在確定熱試驗(yàn)技術(shù)風(fēng)險控制措施后,對風(fēng)險控制措施的落實(shí)情況進(jìn)行監(jiān)督檢查。底事件風(fēng)險控制矩陣中的檢查確認(rèn),以關(guān)鍵環(huán)節(jié)或關(guān)鍵工序狀態(tài)檢查、試驗(yàn)現(xiàn)場點(diǎn)檢、試驗(yàn)前總檢、工藝紀(jì)律檢查等方式落實(shí)實(shí)施;體系文件的制修訂情況,作業(yè)指導(dǎo)文件等的實(shí)際使用情況,以質(zhì)量體系評估等方式監(jiān)督檢查;課題、攻關(guān)等改進(jìn)措施的開展和實(shí)施情況,以課題專項(xiàng)自評、互評等方式實(shí)施監(jiān)督檢查。在監(jiān)督檢查的同時,搭建交流平臺,促進(jìn)相互學(xué)習(xí)和成果共享,使風(fēng)險控制的成果得到固化,以確保風(fēng)險底事件得到有效控制,從根本上降低整個航天器熱試驗(yàn)過程的技術(shù)風(fēng)險,提高產(chǎn)品質(zhì)量。
本文結(jié)合FTA研究航天器熱試驗(yàn)技術(shù)風(fēng)險分析及控制方法,介紹了航天器熱試驗(yàn)過程風(fēng)險頂事件和底事件的識別方法,并應(yīng)用定量、定性和綜合指數(shù)分析方法,對底事件的風(fēng)險嚴(yán)酷程度進(jìn)行分析,通過建立風(fēng)險控制矩陣,落實(shí)控制措施和監(jiān)督檢查,實(shí)現(xiàn)了航天器熱試驗(yàn)全過程的技術(shù)風(fēng)險受控。
在開展基于FTA的航天器熱環(huán)境試驗(yàn)技術(shù)風(fēng)險控制方法研究過程中,共繪制子故障樹近10個,識別風(fēng)險底事件百余項(xiàng),有針對性地制定風(fēng)險控制矩陣百余個。根據(jù)制定的風(fēng)險措施形成操作禁忌、應(yīng)知應(yīng)會一本通、紅線項(xiàng)目,并有針對性地完成制修訂程序文件及三層次作業(yè)文件,新研工裝工具,制定所級標(biāo)準(zhǔn),工藝課題的工藝攻關(guān)及量化指標(biāo)研究。
通過將基于FTA的風(fēng)險分析及控制方法應(yīng)用于航天器熱試驗(yàn)過程,不合格得到有效防范和控制,經(jīng)過近2年的研究與實(shí)踐,不合格呈連年下降趨勢,由不合格帶來的質(zhì)量成本大幅下降,產(chǎn)品和服務(wù)顧客滿意度穩(wěn)定在97%以上,提升了航天器熱試驗(yàn)的業(yè)務(wù)能力,保證了高密度的航天器熱環(huán)境試驗(yàn)工作的順利完成。