蒲希 /航天系统部装备部军事代表局驻北京地区第三军事代表室

张文迪 /航天系统部装备部军事代表局

李琦 /航天系统部装备部军事代表局驻北京地区第三军事代表室

随着科学技术的发展，现代装备指标性能需求不断提高，系统复杂性大大增加，由此带来研制难度、风险的增加。航天产品研制作为一个系统工程，具有规模庞大、涵盖专业种类多、技术复杂、耗资大、研制周期长、质量与可靠性要求高等一系列特点，“事后救火”式的管理模式无法满足当前航天领域的发展形势和需求，应将风险控制工作前移，及早识别问题隐患，从而制定应对策略和实施纠正措施。故障树分析（FTA）是风险识别的一种方法，采用树状图将可能造成任务失败的各种基本风险因素进行分析，分析过程逻辑清晰，分析结果系统直观。

在早期拟制监管工作策划时，虽然会从环境、管理、技术等维度分析产品过程质量管理和企业质量管理体系存在的风险因素，但是与装备系统结合不够紧密，更多的是通用风险识别，没有充分考虑装备本身的特性。识别过程中，虽然会依据各级系统故障模式、影响及危害性分析（FMECA）结果及所确定的关键、重要件（特性）确定管控项目，但该方法主要是以零部件等硬件为输入的由局部到总体的单一故障模式，对于复杂系统以及受环境影响大的系统，在软件错误、人员差错等影响因子的分析上存在一定的局限性。

一、航天装备合同风险管控现状和存在的问题

航天装备合同履行监管主要通过参加合同节点工作，对研制生产一线质量管理体系开展日常监督等方式实施，是由管理到发现问题的正向模式，在基于风险思维，以隐患问题为导向逆向地进行预防式管控方面还存在着不足。航天重大工程涵盖的项目众多，为确保工程项目全寿命质量监理工作的效率和效益，要突出重点、关键，以控制工程项目风险为主线，有效识别工程任务开展过程中的关键节点和关键过程。

在早期拟制监管工作策划时，虽然会从环境、管理、技术等维度分析产品过程质量管理和企业质量管理体系存在的风险因素，但是与装备系统结合不够紧密，更多的是通用风险识别，没有充分考虑装备本身的特性。识别过程中，虽然会依据各级系统故障模式、影响及危害性分析（FMECA）结果及所确定的关键、重要件（特性）确定管控项目，但该方法主要是以零部件等硬件为输入的由局部到总体的单一故障模式，对于复杂系统以及受环境影响大的系统，在软件错误、人员差错等影响因子的分析上存在一定的局限性。

二、故障树分析在风险识别方面的优势

FTA 是一种逻辑演绎法，广泛用于分析系统的可靠性和安全性，使用图形方式，表明系统故障和意外风险的源头，并根据行业设备单元故障几率对可能发生的故障风险进行定性和定量分析。1974 年美国原子能委员会发表了关于核电站危险性评价报告，大量有效地应用了FTA。采用FTA 分析行业主要风险因素及其产生的原因，进而针对性给予风险控制方案，对于行业风险防范起到积极作用，此方法在环境安全、海上船舶、建筑工程等领域的风险分析和研究均有应用。

采用FTA 分析进行风险识别时，将风险事故作为顶事件，反向推溯可能导致顶事件发生的其他事件，将其作为中间事件和底事件，并用逻辑门表示事件之间的联系。具有以下特点：

一是提供了一种系统、规范的方法，用于分析系统中可能存在的各种因素。不仅包括设计缺陷、元件失效、软件硬件因素，还包括环境因素、人为失误等；不仅可分析由单一构件所引起的系统故障，也可以分析多个构件不同模式故障而产生的系统故障情况。因此，此方法能更好地适用于含有大量部件、具有多重功能与工作模式的复杂系统。

二是采用图表呈现，层次清楚、因果关系明了。分析过程能够对产品机理完成进一步梳理和认识，帮助判断可能发生的风险模式和原因，这种“自上而下”构建事件树的系统性风险识别方法，能够直观地表达出各层级风险点及其互相关系，不论是设计人员或是使用及其他第三方人员都容易理解和运用。通过对FTA 的分析审理和补充完善，使风险源的识别从点到线、由线到面，最后由面到整体。在风险评估过程中，因为梳理的若干风险点在整体层面有清晰的逻辑关系，所以可相对容易地检查确认风险识别的全面性。

三是参照美国宇航局对于风险管理所提出的“识别、分析、计划、跟踪、控制、改进”持续循环控制。在产品研制生产早期预先开展风险评估相关工作，采取预防和纠正措施，并随着技术状态的变化，适时重复该过程，有助于及时发现并处置风险隐患，对于合同风险管控和产品的质量改进起到积极作用。FTA 因其具有较好的灵活性和维护性，可随着产品技术状态的变更及时做出相应的调整，适用于项目研制生产全过程风险分析。

四是对系统故障可做定性、定量分析。根据各基本事件的失效率分析顶事件发生的可能性大小，结合故障发生以后可能造成的危害，按风险轻重缓急确定工作对策。

三、应用FTA实施合同履行风险管控

FTA 应用于合同履行风险管控实践的具体步骤如图1 所示。

图1 FTA应用于合同履行风险管控实践的具体步骤

1.分析准备

通过充分熟悉资料、系统，做好故障树分析准备工作。一方面确定需要进一步分析的风险问题顶事件集，风险顶事件可以是合同履行过程中可能发生的失效事件等异常情况；另一方面为导致顶事件发生的风险模式收集基础数据。该步骤信息获取方式包括：依据以往批次或类似型号产品研制、生产、使用等过程中汇总的历史问题信息数据库，统计分析出频发、易发、危害大等的风险事件及导致该事件最终发生的因素；依托研制阶段特性分析，结合应用故障模式、影响及FMECA 其他系统安全性、可靠性分析工具，确定关重件、关键工序，将分析得到的风险事件分清主次一一列举，尤其是没有冗余或替代操作作为补救的单点故障；调研总设计师、总指挥系统的专家意见；收集顾客反馈信息，获取顾客重点关注的问题。

2.分析过程

确定顶事件后，采用“自上而下”的图形演绎法构建故障树，按照系统牵引分系统，分系统牵引单机的原则，逐层级开展。分析的全面性和准确性十分关键，直接影响后续措施的有效性，合同监管机构应适时参与到该过程中，一是监督承制单位建立风险管理体系，将风险责任分配到各个环节，调动整个系统力量认真开展分析工作，正确识别风险源；二是监督承制单位找出每个风险模式产生的原因，做好风险预案，有针对性地制定改进措施，并论证相关措施有助于降低风险发生概率，且不会产生其他危害影响；三是联合技术总体单位和装备使用单位对分析结果的合理性、有效性进行审查或评审，提出意见与建议。

合同监管机构依据分析结果，在产品研制生产过程中督促相关部门制定风险管理工作计划，适时核查预防改进措施落实情况，对排查发现问题的整改闭环进行追踪；识别出影响合同履行的设计、工艺、过程控制等薄弱环节，通过采取结合质量管理体系监督加强巡检抽查、严格供方准入审查、扩展测试覆盖性以及其他强化控制措施，针对性地精细化监管工作。

3.分析结果在合同监管中的应用举例

合同监管机构依据分析结果，在产品研制生产过程中督促相关部门制定风险管理工作计划，适时核查预防改进措施落实情况，对排查发现问题的整改闭环进行追踪；识别出影响合同履行的设计、工艺、过程控制等薄弱环节，通过采取结合质量管理体系监督加强巡检抽查、严格供方准入审查、扩展测试覆盖性以及其他强化控制措施，针对性地精细化监管工作。

以某型号合同履行质量风险管控为例，经查询历史质量信息数据库，某产品密封性对型号任务至关重要，其密封失效为重要风险事件，构建以该失效为顶事件的故障树，如图2 所示。

图2 某产品密封失效故障树分析

为避免底事件的发生，可采取的监督方法有：督促承制单位做好质量信息收集与分析，规范质量相关记录，使其能够清晰地说明产品是否满足要求，具有可追溯性，必要时对平面垫圈进行抽样检验；审查承制单位工艺文件，现场查看产品密封处多余物清理工序、参数设置等是否严格按照工艺规程进行控制；结合质量管理体系监督，审查装配工人上岗资质、人员培训记录；参加产品验收大纲评审，重点关注气密性测试参数、方法的合理性；审签不合格品审理组织，检查其是否按要求履行职责，不合格管理措施是否有效性落实。

将分析结果用于监管工作实施细则的补充完善，形成重点监督项目清单，作为具体工作开展的指导，达到理清工作思路的目的，以便在合适的时机采取适宜的监督方法，并逐项跟踪、确认，有利于推动相关单位对风险问题的整改，提高不符合项和缺陷的检出率。

本文介绍了应用故障树分析识别合同履行过程中风险隐患和基于分析结果制定重点监管项目清单的具体步骤，合同监管机构需要重视对新技术、新工艺、关键和重要系统（件）等的风险模式分析，严格审查和评审进而在全面控制质量的基础上，实行重点管控，做到事前释放风险，该过程有助于提升合同监管质效，促进合同按期、保质履约。