基于PDCA原理的航天发射风险管理模式

杨晓波 施镇顺

（西昌卫星发射中心， 西昌， 615000）

航天发射是一项高风险的活动， 发射过程中， 航天器、 运载器和地面设备技术状态变化较多， 新研设备设施磨合不够、 老旧设备可靠性不足， 人员、 管理和环境存在不确定因素， 发射活动面临的不可确定因素和风险源种类繁多， 直接关系任务的成败[1]。 近年来， 随着国家经济和国防建设的需求加大， 航天发射任务的频次大幅提高， 进入了 “持续高密度” 的发射状态， 星箭型号多、 发射间隔短、 人员压力大、 设备负荷重、 资源调配难、 状态转换多等特点更为突出，除了单一任务的风险， 还增加了资源、 人力和进度等典型风险， 风险管理的要求更加严格。

我国航天发射场很早就引入了风险的理念和风险管理的思想， 如 “双想 （预想、 回想）”， 并随着实践的不断深入和管理的不断创新改进， 基于风险的思维逐渐深入融合到整个航天发射活动全过程， 取得了良好的实践效果。 但随着航天发射任务的高密度持续运行， 原有的风险管理方法逐渐暴露出了一些不足和短板， 如风险识别不够全面、 风险分析未考虑管理水平对风险概率的影响、 定性风险评价方法易受主观影响、 风险应对和监控与质量管控结合不够、 持续改进不够系统等， 亟需进一步改进现有风险管理模式。

1 总体框架设计

遵循PDCA 循环原理， 依托航天发射流程，将风险管理贯穿航天发射任务全过程， 分为5 个子过程： 风险管理策划、 风险评估、 风险应对、监督与检查、 总结与固化， 融合过程质量管理工作， 分别融入航天发射策划、 准备、 实施、 总结等全过程， 构成完整的具有持续改进能力的风险管理模式， 如图1 所示。

图1 航天发射风险管理模式总体框架图

2 风险管理策划

风险管理是风险水平与风险控制成本之间一个不断博弈的动态平衡的过程[2]。 在这个过程中面对的最核心的问题就是风险应当控制到什么程度， 也就是风险准则如何确立。 通常认为， 在知道可能的危险情况下， 仍继续会导致提高该风险的行为， 而没有更积极地采取降低风险水平的措施， 那么该风险水平是可容忍的。 风险准则就是对风险可容忍度的一个表述。

风险管理的策划， 重点是确定组织的风险准则。 综合考虑航天发射实际和内外因素， 结合风险发生的可能性和后果的严重性两要素， 以风险矩阵为基础， 改进设计风险准则， 如图2 所示。当然， 风险准则不是一成不变的， 而应当与航天发射的重要等级相匹配。 通常， 我们在航天发射策划阶段， 结合航天发射形势分析等工作， 在内外部影响因素分析的基础上， 调整风险准则， 适当加严或放宽， 寻求成本与质量的最佳平衡， 从而更科学的指导航天发射风险管理工作的开展。

图2 航天发射风险准则示意图

3 风险评估过程研究

“风险评估” 是 “风险管理过程” 的核心部分， 是一个大过程的总称， 该过程由3 个子过程组成： 风险识别、 风险分析和风险评价。

3.1 风险识别

风险识别是通过识别风险源、 影响范围、 事件及其原因和潜在的后果等， 生成一个全面的风险列表[3]。 没有风险识别的风险管理是盲目的[4]。风险识别是后续风险分析、 风险评估乃至风险应对的基础， 风险识别能否达到预期效果的关键在于能否进行全面系统的调查分析， 将风险进行综合归类， 揭示其性质、 类型和后果。 目前， 常用的风险识别方法主要有专家调查法、 安全检查表法、 故障树分析法、 “九新” 识别法 （新技术、新设备、 新流程、 新状态、 新环境、 新人员、 新型号、 新协调、 新材料） 等。

发射场开展风险识别主要基于历次风险识别结果， 利用岗位人员的经验对任务风险进行辨识， 形成风险识别清单。 为系统、 全面识别航天发射风险， 可组织有经验的风险管理人员和技术骨干采用头脑风暴法、 情景分析法、 检查表法等方法， 利用状态分析结果、 以往风险辨识结果和专项风险防控分析成果等， 建立形成航天发射风险源库， 为岗位人员提供参考和输入。

建立风险源库， 将各项风险识别活动中获得的信息， 与风险源库进行比对和匹配， 利于风险识别结果的结构化管理； 另一方面， 也可通过风险源库的启发， 更加系统全面地识别可能的风险， 避免遗漏。 航天发射风险源围绕 “人机料法环” （人员、 设备、 技术、 管理和环境等五大类）， 各大类再进一步细分， 共分为3 个层次，形成航天发射风险源库， 如图3 所示， 供岗位人员挑选比对。 例如： 如果岗位有新上岗人员， 可匹配 “人员因素” 中 “能力素质” 的 “新上岗”风险源， 将风险识别的结果为新上岗导致 “三误” （误指挥、 误口令、 误动作） 风险等。

图3 航天发射风险源库结构图

3.2 风险分析

风险分析是根据风险类型、 获得的信息和风险评估结果的使用目的， 对识别出的风险进行定性和定量的分析， 为风险评价和风险应对提供支持。 在以往的航天发射风险控制实践中， 存在风险等级评价不准确、 导致风险控制的重点有偏差的问题， 根本原因是没有区分清楚固有风险和剩余风险。

“固有风险” 是在无任何风险应对之前的风险， “剩余风险” 是风险应对后剩下的风险。 可用数学公式表示为： R剩余=R固有-R应对。

“固有风险” 通常是静态的、 固定的， 而 “剩余风险” 是动态的， 随组织的风险应对水平而变化。 一般来说， “剩余风险” 能更好地反映风险的真实大小， 体现组织的管理能力和水平变化对风险带来的影响。 在风险分析过程中， 既要分析影响某目标的固有风险， 还要分析组织现有的管理能力和控制措施的有效性， 进而得出某潜在事件对特定目标的实际风险值。 为此， 设计了基于剩余风险思想的风险分析流程， 具体如图4 所示。

图4 基于剩余风险思想的风险分析流程

如新上岗人员导致 “三误” 的风险， 制定的应对措施通常包含组织针对性训练、 实装操作演练、 上岗考核等措施， 对该风险进行风险分析，其固有风险值为 “可能发生、 严重后果”， 但对应对措施进行分析后， 其剩余风险值为 “有可能发生、 严重后果”， 结果发生了变化， 风险等级和风险控制重点也应发生相应的改变。

3.3 风险评价

风险评价是将风险分析的结果与组织的风险准则比较， 或者在各种风险的分析结果之间进行比较， 确定风险等级， 以便做出风险应对的决策[3]。

目前， 发射场的风险评价方法主要是定性评价。 定性评价简单易用， 有利于各类人员实施使用。 但定性的准则比较笼统， 在实践中， 不同个体对同一风险评估等级经常出现差异较大的情况， 而且存在很难清晰地界定等级， 不同决策者之间的等级划分结果会有明显的差别， 无法对风险进行累计迭加等[4]。 因此， 须对定性的准则进行量化， 明确定性分析各等级的评判标准， 并采用评分法将定性分析的结果转化为定量的结果， 见表1 和表2。

表1 定量化概率 （可能性） 准则

表2 定量化后果 （严重性） 准则

可以将风险评价矩阵转化为数学模型： 风险值 （D） =概率分值 （L） ×后果分值 （C）， 风险等级分值越高， 说明风险等级越大。 风险等级模型见表3， 其设计了各风险等级对应的分值范围， 可实现自动评价风险等级。 确定风险等级后， 与前述风险准则进行比较， 可以确定风险是否可以容忍或接受， 并采取相应的措施。 如 “新上岗人员导致 ‘三误’ 的风险”， 其可能性为3、严重性为5， 风险值为15， 属于较大风险， 为可接受风险， 后续按照风险应对策略进行控制即可。

表3 风险等级表

4 风险应对策略

风险应对是选择并执行一种或多种改变风险的措施， 包括改变风险事件发生的可能性或后果的措施[3]。 引入 “本质安全” 的思想， 对风险应对措施进行梳理分类， 并排出优先级， 见表4。

表4 航天发射风险应对策略

最优的方案是采取技术措施， 可行时尽力消除风险源或采用风险较小的替代方案， 从根本上消除事故发生的可能性， 效果最佳。 次优的方案是采取管理措施， 在无法采取技术措施或投入成本太高的情况下， 从 “人” 的角度入手， 建章立制、 开展培训和教育、 加强检查等， 通过约束、改进人的行为从而降低风险。

除了采取预防风险的措施， 还要考虑风险发生后的应对， 制定适宜的应急方案， 防止风险发生后给航天发射整体带来危害或发生次生影响。此外， 还可以考虑其他的应对措施作为补充， 如转移风险和分担风险， 以及最坏情况下对人的个体防护。

5 风险监控手段

在确定了风险应对措施之后， 需要制定相应的风险应对计划， 保证风险管理手段的落实。 风险应对计划要与组织的管理过程有效整合， 才能防止 “两张皮” 情况的出现。 结合航天发射实际， 可将风险应对计划与质量控制计划有效结合， 将风险监控点转化为 “质量控制点”， 分布于准备阶段、 实施阶段、 合练、 发射、 总结评定等各个阶段。

在监控的具体手段上， 主要分为2 种类型：①主动的监督与检查——双想 （预想和回想）。 主动的监督与检查， 可以结合 “双想” 工作开展，行为主体是一线管理人员和岗位人员， 重点是关注各个具体风险的变化情况和控制结果。 ②被动的监督与检查——阶段评审。 被动的监督与检查， 可以结合阶段评审开展， 行为主体是机关人员和总体人员， 重点是关注风险管理的总体有效性和重要风险的控制情况。

6 总结与固化

目前， 风险管理重点关注的是风险评估环节， 而持续改进环节关注较少。 “总结与固化”子过程目的是： 结合任务总结评定工作， 固化风险应对措施， 迭代更新风险源库， 有效提升风险管理水平。

风险应对过程中， 为规避或降低风险等级，特别是不可容忍风险和不可接受风险， 我们往往会制定一些临时性措施， 如增加技术手段、 增加防护措施、 增加教育方式等等， 但这些临时措施尚未纳入航天发射质量管理的成熟流程之中。 因此， 有必要结合总结评定， 对这些 “临时性措施” 的控制效果进行评估， 并加以优化， 待成熟后即可固化进质量管理流程之中， 从而实现风险控制能力的螺旋上升。

航天发射风险源库的框架结构中的具体内容必然有不完善的地方， 需要在实践中不断迭代完善。 并且， 随着形势的不断变化， 风险源也将随之发生变化， 需要不断更新修订， 才能更好的指导风险管理工作的开展。 进一步， 可以采用文本聚类分析等信息化技术手段， 实现航天发射风险源库的智能迭代更新。