航天發(fā)射任務風險評估研究

施鎮(zhèn)順 朱亞雄 孫成杰 楊曉波

（中國西昌衛(wèi)星發(fā)射中心， 四川西昌， 615600）

文 摘： 針對航天發(fā)射任務風險評估現(xiàn)狀和不足， 在現(xiàn)有組織管理模式和人員的基礎(chǔ)上，基于PDCA （策劃—實施—檢查—改進） 方法改進航天發(fā)射任務風險評估模式， 采用量化思維設計風險準則， 根據(jù)發(fā)射場特點明確風險項目， 運用風險過濾、 排序和管理框架進行風險識別， 建立航天發(fā)射任務風險全系模型。 結(jié)合發(fā)射場實際確定風險分析方法， 綜合風險分析結(jié)果和風險評價準則設計風險接受準則， 根據(jù)風險等級大小制定風險應對策略， 形成完整的風險評估環(huán)。

風險即不確定性對目標的影響， 通常用一個事件的后果 （包括情況變化） 和對應的發(fā)生可能性這二者的結(jié)合來表示[1]。 航天發(fā)射任務是一項高風險的活動， 發(fā)射活動中面臨的不可確定的因素和種類繁多的風險源， 航天器、 運載器和地面設備技術(shù)狀態(tài)變化較多， 新研設備設施磨合不夠、 老舊設備可靠性不足， 任務計劃、 場地安排、 流程調(diào)整可能存在沖突， 人員、 管理和環(huán)境存在很多不確定因素， 這些均是航天發(fā)射任務所面臨的風險， 可能會影響航天發(fā)射任務圓滿成功的目標。 且風險發(fā)生的可能性和造成的后果具有不確定性， 需加以識別、 分析和評價， 并采取必要的控制措施， 以確保將風險影響降至最低。

目前， 航天發(fā)射任務風險評估采用定性的風險分析方法， 重點關(guān)注產(chǎn)品的質(zhì)量風險。 隨著航天發(fā)射任務的深入開展， 該風險評估模式逐漸暴露出不足， 風險評估缺乏系統(tǒng)的理論支撐、 動態(tài)管理不足、 風險識別不全面、 方法手段單一、 風險評估范圍不明確、 風險準則量化不具體、 結(jié)果的準確性不夠貼合實際等問題日益突出。 本文基于航天發(fā)射任務風險評估現(xiàn)狀和不足， 對航天發(fā)射任務風險評估模式的改進開展研究。

1 風險評估模式設計

風險評估由3 個步驟組成： 風險識別、 風險分析和風險評價。 風險評估并非一項獨立的活動，它整合了相關(guān)的活動， 主要包括風險評估策劃、風險評估、 風險應對、 監(jiān)督和檢查等。 遵循PDCA（策劃—實施—檢查—改進） 方法， 依托發(fā)射場現(xiàn)有質(zhì)量管控組織、 機構(gòu)和人員， 以質(zhì)量風險為主線， 兼顧考慮安全和環(huán)境風險， 改進設計風險評估模式， 航天發(fā)射任務風險評估模式如圖1 所示。

2 風險評估的策劃

2.1 風險準則的設計

我們常用發(fā)生的可能性和后果的影響程度二者的組合來表示風險的等級。 而為了判斷發(fā)生的可能性和后果的影響程度， 首先需要制定風險準則。 綜合考慮航天發(fā)射任務的特點、 目標、 內(nèi)外部因素及相關(guān)的標準／ 規(guī)范， 結(jié)合發(fā)射場實際，引入量化思維， 改進設計風險準則， 詳見表1 和表2。

圖1 航天發(fā)射任務風險評估模式

表1 風險發(fā)生的嚴重性程度等級分類表

2.2 確定風險項目/范圍

結(jié)合航天發(fā)射任務發(fā)射場工作的特點， 確定以下風險項目/范圍：

● 首飛或首用技術(shù)狀態(tài)且對發(fā)射場有影響（測發(fā)流程、 組織指揮、 測試操作、 數(shù)據(jù)判讀和應急處置） 的項目， 如首次執(zhí)行新型運載器、 首次保障新型航天器、 首次使用上面級等情況；

● 設計理論、 技術(shù)方法不成熟， 且發(fā)射場測試覆蓋不到、 地面無法考核或考核不充分的項目；

● 產(chǎn)品質(zhì)量問題有前科的、 狀態(tài)有變化的、測試未覆蓋、 單點失效等， 這4 個方面出現(xiàn)兩交集(即同時發(fā)生) 或以上的項目；

● 關(guān)重件關(guān)重特性超差、 超差/不包絡項目， 如關(guān)鍵參數(shù)超標； 或者雖在指標范圍內(nèi)，但過程變化趨勢異常， 超出以往歷史經(jīng)驗值包絡范圍的；

● 一旦發(fā)生將對加注、 發(fā)射和飛行產(chǎn)生重大影響的其他項目；

● 質(zhì)量問題未歸零或者歸零措施未落實的，如上一發(fā)任務的質(zhì)量問題還沒有歸零或者故障原因還沒有明確定位的；

● 產(chǎn)品已歸零但尚未經(jīng)過實際任務考核檢驗， 或已經(jīng)過考核但效果不理想的；

● 雖然不是新狀態(tài)， 但箭上及地面關(guān)鍵產(chǎn)品、 設備長時間未使用后又重新使用的 （如塔架間隔多年后重新發(fā)射CZ-2C 火箭）， 或者是最后一次使用且所用產(chǎn)品屬于優(yōu)選剩下的；

● 地面設備狀態(tài) （含軟硬件） 變化較大的項目， 如對測試發(fā)射影響較大的靶改項目， 或者是新建的測試保障廠房首次投入使用等情況；

● 地面設備可靠性較低的項目， 如老舊設備超期服役， 設備檢查維護不及時， 特燃特氣籌措不及時等；

● 崗位或重要崗位人員變化較大的 （如首次新增設的崗位）， 或者是重要崗位新上崗或新?lián)Q崗， 或一般崗位但一、 二崗及系工中有兩方以上是新上崗的；

● 指揮、 操作、 文書等方面變化較大的，如新編寫或內(nèi)容變化較大的文書、 聯(lián)合操作流程變化較大的， 或者操作項目、 步驟和空間環(huán)境變化較大的等情況；

● 惡劣氣候或突發(fā)氣象環(huán)境等， 如處于降雨季節(jié) （潮濕導致漏電、 降雨影響轉(zhuǎn)場發(fā)射等關(guān)鍵過程）、 干燥季節(jié) （易產(chǎn)生靜電） 或者雷暴頻繁 （影響加注發(fā)射安全）、 鹽霧腐蝕等情況；

● 其他對發(fā)射場影響較大的技術(shù)、 產(chǎn)品（設備）、 環(huán)境、 保密、 組織指揮和管理等方面的情況。

3 風險評估過程研究

風險評估由3 個子過程所組成： 風險識別、風險分析和風險評價。

3.1 風險識別

風險識別是通過識別風險源、 影響范圍、 事件及其原因和潛在的后果等， 生成一個全面的風險列表[2]。 風險識別是風險評估過程中最基礎(chǔ)的環(huán)節(jié)， 其他環(huán)節(jié)都必須以風險識別的結(jié)果為基礎(chǔ)。 如果在風險識別階段根本沒有意識到這些風險存在的可能性， 也沒有采取任何干預措施， 這樣風險因素轉(zhuǎn)化成風險事件的可能性就增加了。相反， 如果識別出上述風險源， 能夠采取有效的風險防范和控制措施， 風險事故發(fā)生的可能性顯然就會降低。

3.1.1 風險識別內(nèi)容

航天發(fā)射任務的風險因素主要包括人員風險、技術(shù)風險、 設備設施風險、 材料風險、 環(huán)境風險和管理風險等。 “人員風險” 主要指由于人員思想意識或能力素質(zhì)問題直接造成的風險損失。 “技術(shù)風險” 主要指在發(fā)射試驗過程中， 由于方案設計不合理、 發(fā)射技術(shù)復雜、 試驗技術(shù)準備不充分、 檢查測試不全面等原因， 不能滿足發(fā)射試驗的要求， 給發(fā)射試驗帶來的風險。 “設備設施風險” 主要指因設備狀態(tài)不理想、 新研設備未經(jīng)過實戰(zhàn)、 設備老化、冗余不足、 維護不及時等原因， 造成任務執(zhí)行中斷或推遲的風險。 “材料風險” 主要指推進劑、 特氣數(shù)質(zhì)量不符合要求以及原材料準備不充分、 材料質(zhì)量問題等方面造成的風險。 “環(huán)境風險” 主要指由于環(huán)境變化造成的航天發(fā)射試驗風險損失， 如工作環(huán)境的溫濕度不達標、 照度不夠等造成產(chǎn)品的受損等。 “管理風險” 是指在航天發(fā)射試驗中， 由于計劃、 組織、 控制、 決策等工作達不到預定要求， 造成發(fā)射程序混亂、 時間延遲或發(fā)射失敗等風險。

運用風險過濾、 排序和管理框架 （PFRM）[3]，按照人員、 技術(shù)、 設備設施、 材料、 環(huán)境和管理劃分， 充分識別航天發(fā)射任務中所面臨的風險，分類分層次進行風險識別， 并形成航天發(fā)射任務風險全息模型， 如圖2 和圖3 所示。

3.1.2 風險識別方法

常用風險識別的方法有： 專家調(diào)查法 （德爾菲法）、 頭腦風暴法、 安全檢查表法、 情景分析法、 故障樹分析法、 事件樹分析法以及危險與可操作性分析法等， 見表3[4-7]。

目前， 發(fā)射場在多種場合已應用了頭腦風暴法、 列表法、 結(jié)構(gòu)化訪談法和檢查表法， 其應用原理較簡單， 可操作性強， 可直接應用于風險識別。前期， 發(fā)射場已在不同項目研究中多次采用FMEA（失效模式和后果分析） 法對系統(tǒng)和設備設施進行了失效模式和效應分析， 取得良好的成果， FMEA法有一定的理論基礎(chǔ)， 其方法適用、 可行， 將成果推廣應用， 可減少工作量。 故障樹分析法在發(fā)射場主要應用于故障分析和歸零工作， 應用也較廣， 但應用于風險識別， 工作量較大， 可適用于崗位級風險識別。

圖2 航天發(fā)射任務風險全息模型 （1）

圖3 航天發(fā)射任務風險全息模型 （2）

表3 風險識別方法

其他方法由于專業(yè)性較強， 發(fā)射場應用較少或應用面較窄、 工作量較大。 根據(jù)發(fā)射場現(xiàn)狀，不建議大面積推廣， 可組織系統(tǒng)骨干學習了解其方法和理論， 并應用于子系統(tǒng)或崗位級識別。 綜上， 風險識別宜采用專家調(diào)查法、 結(jié)構(gòu)化訪談法、失效模式和后果分析法、 故障樹分析法等方法。

3.2 風險分析

風險分析是根據(jù)風險類型、 獲得的信息和風險評估結(jié)果的使用目的， 對識別出的風險進行定性和定量的分析， 為風險評價和風險應對提供支持的過程[2]。

3.2.1 風險分析改進設計

風險等級不僅取決于風險本身， 還與現(xiàn)有的風險控制措施的充分性和有效性密切相關(guān)。 因此， 風險分析既要對 “已識別的風險” 進行 “后果和發(fā)生可能性” 分析， 又要考慮現(xiàn)有控制措施的效果和效率。 風險分析既要分析未采取措施前的固有風險 （R （固有））， 又要分析采取了控制措施后的風險 （R （控制））， 通過二者相加減，可得出現(xiàn)有的風險等級。 一般可用下面的等式來表示：

目前， 發(fā)射場風險分析大都是對固有風險進行分析， 即未考慮現(xiàn)有控制措施的施加影響情況。 這樣分析出的風險， 不利于風險評價確定真實的風險等級， 更不利于采取針對性的應對措施， 容易造成風險評估不準確， 導致管控失效。因此， 可對現(xiàn)有風險分析流程進行改進設計， 增加現(xiàn)有控制措施的梳理和影響分析， 以確定真實的風險分析結(jié)果， 如圖4 所示。

圖4 風險分析改進設計流程圖

3.2.2 風險分析方法

風險分析主要涉及3 方面： 事件發(fā)生的概率、 后果的嚴重性和主觀判斷， 綜合這3 方面的影響， 結(jié)合風險的獨特性、 變動性和復雜性， 風險分析的方法往往因項目的情況不同而不同。 比較有代表性的方法有外推法、 概率風險評估法、專家判斷法、 風險矩陣法和風險評估指數(shù)法等，見表4[8]。

表4 風險分析方法

目前， 發(fā)射場風險評估基礎(chǔ)較弱， 風險評估專家嚴重缺乏， 主要依靠系統(tǒng)骨干或指揮員兼職估算。 面對航天發(fā)射任務中眾多的風險因素， 單獨地采用概率風險評估方法和傳統(tǒng)的專家判斷法難于實現(xiàn)。 結(jié)合發(fā)射場實際， 風險分析宜采用風險矩陣法和風險評估指數(shù)法、 本分融合風險矩陣法和風險評估指數(shù)法， 將決定危險事件風險的兩種因素 （嚴重性和可能性） 按其特點劃分為相應的等級， 形成一種風險評估矩陣， 并賦予一定的加權(quán)值來衡量風險大小， 見表5 和表6。

表5 風險評估矩陣表

表6 風險等級綜合指數(shù)評估表

3.3 風險評價

風險評價將風險分析的結(jié)果與組織的風險準則比較， 或者在各種風險的分析結(jié)果之間進行比較，確定風險等級， 以便做出風險應對的決策[2]。 風險評價是風險評估的最后一個子過程， 是確定風險等級和風險接受程度的過程， 風險評價的結(jié)果將為風險應對決策提供依據(jù)。 結(jié)合航天發(fā)射任務風險準則和風險分析所采用的方法， 設計風險的接受準則見表7。

表7 風險接受準則

風險評價采用的方法比較簡單， 即將風險分析的結(jié)果與確定的風險評價準則進行比較， 便可確定風險的等級。

4 風險應對、 風險監(jiān)控及持續(xù)改進

風險應對是在風險評價后， 選擇并實施一種或多種改變風險的措施， 最終達到消除或減少風險發(fā)生的可能性， 或減少風險發(fā)生時造成的損失。 實踐中主要針對風險的二重性， 即發(fā)生的可能性和后果的嚴重性， 采取有針對性措施， 包含規(guī)避風險、 消除風險源、 改變可能性、 改變后果、 分擔風險和保留風險等。 航天發(fā)射任務， 針對不同的風險應采取不同的控制策略或措施， 詳見表8。

表8 風險應對策略表

風險監(jiān)控是通過對風險規(guī)劃、 識別、 評價等全過程的監(jiān)視和控制， 以達到預期的目標。 通過采取主動的風險監(jiān)控措施， 如崗位人員的雙想、復查比對、 風險識別清單等， 綜合被動的監(jiān)督檢查， 如任務中質(zhì)量技術(shù)安全檢查、 任務工作表實行動態(tài)管理、 階段評審會、 專項檢查、 體系的監(jiān)督審核等， 以有效提高航天發(fā)射的風險管理水平， 減少風險事故發(fā)生的頻次及造成的損失。

持續(xù)改進是對新制定的控制措施進行固化，寫入作業(yè)指導書、 規(guī)章制度、 管理規(guī)定等， 確保措施持續(xù)有效； 此外， 若新識別了風險， 應對現(xiàn)有風險源進行更新完善， 增加數(shù)據(jù)庫模型的完整性和指導性。

5 結(jié)束語

航天發(fā)射是一項巨系統(tǒng)、 高技術(shù)、 高風險的活動， 涉及人員多、 技術(shù)廣、 裝備雜， 對環(huán)境要求高， 管理環(huán)節(jié)多， 任何環(huán)節(jié)的不確定因素都將產(chǎn)生巨大的影響， 對這些環(huán)節(jié)進行科學的風險評估， 采取必要的風險應對措施， 將有助于實現(xiàn)任務圓滿成功目標。

本文針對航天發(fā)射任務風險評估現(xiàn)狀和不足， 在現(xiàn)有組織管理模式和人員的基礎(chǔ)上， 基于PDCA 方法改進了航天發(fā)射任務風險評估模式，采用量化思維設計了風險準則， 根據(jù)發(fā)射場特點明確了風險項目， 運用風險過濾、 排序和管理框架進行了風險識別， 形成了完整的航天發(fā)射任務風險全息模型。 結(jié)合發(fā)射場實際確定了風險分析方法， 綜合風險分析結(jié)果和風險評價準則設計了風險接受準則， 根據(jù)風險等級大小制定了風險應對策略， 形成完整的風險評估環(huán)。 該風險評估模式已應用于航天發(fā)射任務中， 有效提高了航天發(fā)射的風險管理水平， 大大減少了風險事故發(fā)生的頻次及造成的損失， 確保了航天發(fā)射任務圓滿成功。