施镇顺 朱亚雄 孙成杰 杨晓波

（中国西昌卫星发射中心， 四川西昌， 615600）

文 摘： 针对航天发射任务风险评估现状和不足， 在现有组织管理模式和人员的基础上，基于PDCA （策划—实施—检查—改进） 方法改进航天发射任务风险评估模式， 采用量化思维设计风险准则， 根据发射场特点明确风险项目， 运用风险过滤、 排序和管理框架进行风险识别， 建立航天发射任务风险全系模型。 结合发射场实际确定风险分析方法， 综合风险分析结果和风险评价准则设计风险接受准则， 根据风险等级大小制定风险应对策略， 形成完整的风险评估环。

风险即不确定性对目标的影响， 通常用一个事件的后果 （包括情况变化） 和对应的发生可能性这二者的结合来表示[1]。 航天发射任务是一项高风险的活动， 发射活动中面临的不可确定的因素和种类繁多的风险源， 航天器、 运载器和地面设备技术状态变化较多， 新研设备设施磨合不够、 老旧设备可靠性不足， 任务计划、 场地安排、 流程调整可能存在冲突， 人员、 管理和环境存在很多不确定因素， 这些均是航天发射任务所面临的风险， 可能会影响航天发射任务圆满成功的目标。 且风险发生的可能性和造成的后果具有不确定性， 需加以识别、 分析和评价， 并采取必要的控制措施， 以确保将风险影响降至最低。

目前， 航天发射任务风险评估采用定性的风险分析方法， 重点关注产品的质量风险。 随着航天发射任务的深入开展， 该风险评估模式逐渐暴露出不足， 风险评估缺乏系统的理论支撑、 动态管理不足、 风险识别不全面、 方法手段单一、 风险评估范围不明确、 风险准则量化不具体、 结果的准确性不够贴合实际等问题日益突出。 本文基于航天发射任务风险评估现状和不足， 对航天发射任务风险评估模式的改进开展研究。

1 风险评估模式设计

风险评估由3 个步骤组成： 风险识别、 风险分析和风险评价。 风险评估并非一项独立的活动，它整合了相关的活动， 主要包括风险评估策划、风险评估、 风险应对、 监督和检查等。 遵循PDCA（策划—实施—检查—改进） 方法， 依托发射场现有质量管控组织、 机构和人员， 以质量风险为主线， 兼顾考虑安全和环境风险， 改进设计风险评估模式， 航天发射任务风险评估模式如图1 所示。

2 风险评估的策划

2.1 风险准则的设计

我们常用发生的可能性和后果的影响程度二者的组合来表示风险的等级。 而为了判断发生的可能性和后果的影响程度， 首先需要制定风险准则。 综合考虑航天发射任务的特点、 目标、 内外部因素及相关的标准／ 规范， 结合发射场实际，引入量化思维， 改进设计风险准则， 详见表1 和表2。

图1 航天发射任务风险评估模式

表1 风险发生的严重性程度等级分类表

2.2 确定风险项目/范围

结合航天发射任务发射场工作的特点， 确定以下风险项目/范围：

● 首飞或首用技术状态且对发射场有影响（测发流程、 组织指挥、 测试操作、 数据判读和应急处置） 的项目， 如首次执行新型运载器、 首次保障新型航天器、 首次使用上面级等情况；

● 设计理论、 技术方法不成熟， 且发射场测试覆盖不到、 地面无法考核或考核不充分的项目；

● 产品质量问题有前科的、 状态有变化的、测试未覆盖、 单点失效等， 这4 个方面出现两交集(即同时发生) 或以上的项目；

● 关重件关重特性超差、 超差/不包络项目， 如关键参数超标； 或者虽在指标范围内，但过程变化趋势异常， 超出以往历史经验值包络范围的；

● 一旦发生将对加注、 发射和飞行产生重大影响的其他项目；

● 质量问题未归零或者归零措施未落实的，如上一发任务的质量问题还没有归零或者故障原因还没有明确定位的；

● 产品已归零但尚未经过实际任务考核检验， 或已经过考核但效果不理想的；

● 虽然不是新状态， 但箭上及地面关键产品、 设备长时间未使用后又重新使用的 （如塔架间隔多年后重新发射CZ-2C 火箭）， 或者是最后一次使用且所用产品属于优选剩下的；

● 地面设备状态 （含软硬件） 变化较大的项目， 如对测试发射影响较大的靶改项目， 或者是新建的测试保障厂房首次投入使用等情况；

● 地面设备可靠性较低的项目， 如老旧设备超期服役， 设备检查维护不及时， 特燃特气筹措不及时等；

● 岗位或重要岗位人员变化较大的 （如首次新增设的岗位）， 或者是重要岗位新上岗或新换岗， 或一般岗位但一、 二岗及系工中有两方以上是新上岗的；

● 指挥、 操作、 文书等方面变化较大的，如新编写或内容变化较大的文书、 联合操作流程变化较大的， 或者操作项目、 步骤和空间环境变化较大的等情况；

● 恶劣气候或突发气象环境等， 如处于降雨季节 （潮湿导致漏电、 降雨影响转场发射等关键过程）、 干燥季节 （易产生静电） 或者雷暴频繁 （影响加注发射安全）、 盐雾腐蚀等情况；

● 其他对发射场影响较大的技术、 产品（设备）、 环境、 保密、 组织指挥和管理等方面的情况。

3 风险评估过程研究

风险评估由3 个子过程所组成： 风险识别、风险分析和风险评价。

3.1 风险识别

风险识别是通过识别风险源、 影响范围、 事件及其原因和潜在的后果等， 生成一个全面的风险列表[2]。 风险识别是风险评估过程中最基础的环节， 其他环节都必须以风险识别的结果为基础。 如果在风险识别阶段根本没有意识到这些风险存在的可能性， 也没有采取任何干预措施， 这样风险因素转化成风险事件的可能性就增加了。相反， 如果识别出上述风险源， 能够采取有效的风险防范和控制措施， 风险事故发生的可能性显然就会降低。

3.1.1 风险识别内容

航天发射任务的风险因素主要包括人员风险、技术风险、 设备设施风险、 材料风险、 环境风险和管理风险等。 “人员风险” 主要指由于人员思想意识或能力素质问题直接造成的风险损失。 “技术风险” 主要指在发射试验过程中， 由于方案设计不合理、 发射技术复杂、 试验技术准备不充分、 检查测试不全面等原因， 不能满足发射试验的要求， 给发射试验带来的风险。 “设备设施风险” 主要指因设备状态不理想、 新研设备未经过实战、 设备老化、冗余不足、 维护不及时等原因， 造成任务执行中断或推迟的风险。 “材料风险” 主要指推进剂、 特气数质量不符合要求以及原材料准备不充分、 材料质量问题等方面造成的风险。 “环境风险” 主要指由于环境变化造成的航天发射试验风险损失， 如工作环境的温湿度不达标、 照度不够等造成产品的受损等。 “管理风险” 是指在航天发射试验中， 由于计划、 组织、 控制、 决策等工作达不到预定要求， 造成发射程序混乱、 时间延迟或发射失败等风险。

运用风险过滤、 排序和管理框架 （PFRM）[3]，按照人员、 技术、 设备设施、 材料、 环境和管理划分， 充分识别航天发射任务中所面临的风险，分类分层次进行风险识别， 并形成航天发射任务风险全息模型， 如图2 和图3 所示。

3.1.2 风险识别方法

常用风险识别的方法有： 专家调查法 （德尔菲法）、 头脑风暴法、 安全检查表法、 情景分析法、 故障树分析法、 事件树分析法以及危险与可操作性分析法等， 见表3[4-7]。

目前， 发射场在多种场合已应用了头脑风暴法、 列表法、 结构化访谈法和检查表法， 其应用原理较简单， 可操作性强， 可直接应用于风险识别。前期， 发射场已在不同项目研究中多次采用FMEA（失效模式和后果分析） 法对系统和设备设施进行了失效模式和效应分析， 取得良好的成果， FMEA法有一定的理论基础， 其方法适用、 可行， 将成果推广应用， 可减少工作量。 故障树分析法在发射场主要应用于故障分析和归零工作， 应用也较广， 但应用于风险识别， 工作量较大， 可适用于岗位级风险识别。

图2 航天发射任务风险全息模型 （1）

图3 航天发射任务风险全息模型 （2）

表3 风险识别方法

其他方法由于专业性较强， 发射场应用较少或应用面较窄、 工作量较大。 根据发射场现状，不建议大面积推广， 可组织系统骨干学习了解其方法和理论， 并应用于子系统或岗位级识别。 综上， 风险识别宜采用专家调查法、 结构化访谈法、失效模式和后果分析法、 故障树分析法等方法。

3.2 风险分析

风险分析是根据风险类型、 获得的信息和风险评估结果的使用目的， 对识别出的风险进行定性和定量的分析， 为风险评价和风险应对提供支持的过程[2]。

3.2.1 风险分析改进设计

风险等级不仅取决于风险本身， 还与现有的风险控制措施的充分性和有效性密切相关。 因此， 风险分析既要对 “已识别的风险” 进行 “后果和发生可能性” 分析， 又要考虑现有控制措施的效果和效率。 风险分析既要分析未采取措施前的固有风险 （R （固有））， 又要分析采取了控制措施后的风险 （R （控制））， 通过二者相加减，可得出现有的风险等级。 一般可用下面的等式来表示：

目前， 发射场风险分析大都是对固有风险进行分析， 即未考虑现有控制措施的施加影响情况。 这样分析出的风险， 不利于风险评价确定真实的风险等级， 更不利于采取针对性的应对措施， 容易造成风险评估不准确， 导致管控失效。因此， 可对现有风险分析流程进行改进设计， 增加现有控制措施的梳理和影响分析， 以确定真实的风险分析结果， 如图4 所示。

图4 风险分析改进设计流程图

3.2.2 风险分析方法

风险分析主要涉及3 方面： 事件发生的概率、 后果的严重性和主观判断， 综合这3 方面的影响， 结合风险的独特性、 变动性和复杂性， 风险分析的方法往往因项目的情况不同而不同。 比较有代表性的方法有外推法、 概率风险评估法、专家判断法、 风险矩阵法和风险评估指数法等，见表4[8]。

表4 风险分析方法

目前， 发射场风险评估基础较弱， 风险评估专家严重缺乏， 主要依靠系统骨干或指挥员兼职估算。 面对航天发射任务中众多的风险因素， 单独地采用概率风险评估方法和传统的专家判断法难于实现。 结合发射场实际， 风险分析宜采用风险矩阵法和风险评估指数法、 本分融合风险矩阵法和风险评估指数法， 将决定危险事件风险的两种因素 （严重性和可能性） 按其特点划分为相应的等级， 形成一种风险评估矩阵， 并赋予一定的加权值来衡量风险大小， 见表5 和表6。

表5 风险评估矩阵表

表6 风险等级综合指数评估表

3.3 风险评价

风险评价将风险分析的结果与组织的风险准则比较， 或者在各种风险的分析结果之间进行比较，确定风险等级， 以便做出风险应对的决策[2]。 风险评价是风险评估的最后一个子过程， 是确定风险等级和风险接受程度的过程， 风险评价的结果将为风险应对决策提供依据。 结合航天发射任务风险准则和风险分析所采用的方法， 设计风险的接受准则见表7。

表7 风险接受准则

风险评价采用的方法比较简单， 即将风险分析的结果与确定的风险评价准则进行比较， 便可确定风险的等级。

4 风险应对、 风险监控及持续改进

风险应对是在风险评价后， 选择并实施一种或多种改变风险的措施， 最终达到消除或减少风险发生的可能性， 或减少风险发生时造成的损失。 实践中主要针对风险的二重性， 即发生的可能性和后果的严重性， 采取有针对性措施， 包含规避风险、 消除风险源、 改变可能性、 改变后果、 分担风险和保留风险等。 航天发射任务， 针对不同的风险应采取不同的控制策略或措施， 详见表8。

表8 风险应对策略表

风险监控是通过对风险规划、 识别、 评价等全过程的监视和控制， 以达到预期的目标。 通过采取主动的风险监控措施， 如岗位人员的双想、复查比对、 风险识别清单等， 综合被动的监督检查， 如任务中质量技术安全检查、 任务工作表实行动态管理、 阶段评审会、 专项检查、 体系的监督审核等， 以有效提高航天发射的风险管理水平， 减少风险事故发生的频次及造成的损失。

持续改进是对新制定的控制措施进行固化，写入作业指导书、 规章制度、 管理规定等， 确保措施持续有效； 此外， 若新识别了风险， 应对现有风险源进行更新完善， 增加数据库模型的完整性和指导性。

5 结束语

航天发射是一项巨系统、 高技术、 高风险的活动， 涉及人员多、 技术广、 装备杂， 对环境要求高， 管理环节多， 任何环节的不确定因素都将产生巨大的影响， 对这些环节进行科学的风险评估， 采取必要的风险应对措施， 将有助于实现任务圆满成功目标。

本文针对航天发射任务风险评估现状和不足， 在现有组织管理模式和人员的基础上， 基于PDCA 方法改进了航天发射任务风险评估模式，采用量化思维设计了风险准则， 根据发射场特点明确了风险项目， 运用风险过滤、 排序和管理框架进行了风险识别， 形成了完整的航天发射任务风险全息模型。 结合发射场实际确定了风险分析方法， 综合风险分析结果和风险评价准则设计了风险接受准则， 根据风险等级大小制定了风险应对策略， 形成完整的风险评估环。 该风险评估模式已应用于航天发射任务中， 有效提高了航天发射的风险管理水平， 大大减少了风险事故发生的频次及造成的损失， 确保了航天发射任务圆满成功。