运载火箭技术风险分析的工作依据和流程概述

风险辩识和控制从来就不是一蹴而就的，是一个持续迭代的过程，关键技术、产品，新技术、新产品容易成为风险点，而那些容易被忽视掉并且未开展深入工作，未进行充分验证的环节，也最容易成为风险点，项目团队的精力有限而风险点无限，因此需要拆分，之后于各个过程中分而治之，只有个别的需要刻意为之，否则就会一团糟。

而风险的辩识是有套路的，不能依赖于简单的头脑风暴，也不能经验主义和单纯的问题导向，因为环境在变、条件在变，人员也在变……

　　①型号风险管理计划执行情况；

　　②型号风险识别、分析与评价情况；

　　③型号残余风险评估结果；

　　④型号后续发射准备阶段、飞行试验阶段及在轨运行阶段的风险管理策划及准备情况（风险评估情况、风险管理职责落实情况、应急处置流程及在轨故障应对预案有效性验证情况)；

　　⑤型号出厂风险评价结论。

以下本文技术风险分析的工作依据和流程进行阐述，为该专项报告的编写提供一些借鉴：

　　① 各层级的要求、红头文件【不要小瞧红头，其中不乏诸多针对性、可行性的要求】；

　　② 研制类质量标准和管理标准，如：质量控制要求、归零要求、不可检测项目识别与控制、单点项目控制、“六性”要求、软件工程化要求、极性、供应商管理等诸多要求；

　　③ 型号研制的“六性”/“七性”大纲；

　　① GJB8892.28-2017武器装备论证通用要求第28部分：风险评估

　　② GJB 5852-2006装备研制风险分析要求

　　③ GJB/Z 171-2013武器装备研制项目风险管理指南

      ④ GB/T 27921-2011风险管理风险评估技术

　　⑤ GB/T 24353-2009风险管理原则与实施指南

　　⑥ GB/T 32299-2015航天项目风险管理

　　⑦ Q/QJA 632-2018运载火箭技术风险全过程管理及评估要求

      ⑧ Q/QJA 670-2018航天器技术风险管理要求

　　⑨ Q/QJA 763-2022液体火箭发动机技术风险分析指南

      ⑩ Q/QJA 66-2010航天产品工艺风险分析　

      ⑪ Q/QJA14.1B-14.6B-2019《航天型号出厂评审》

以上标准一般都要给出了风险辨识、控制、管理的具体要求，对于实际工作具有一定的指导性，尤其是行业标准和院级标准，建议进行较为细致的比对和参考【实际上研究院层级一般是按照院标开展此项工作，院标中也是落实了各层级风险管控的具体要求】。

一般而言，运载火箭发射任务风险项目接受准则：综合等级I、II、III级可接受，综合等级IV、V不可接受。

　　很少     b           很少发生，发生概率0.01%≤p<0.1%　

        少      c           偶尔发生，发生概率0.1%≤p<1%

      很可能  e           很可能发生，发生概率p≥10%

可以看出，风险项目的判定属于定性定量化的过程，因此在操作过程中会引入风险综合评价等级的不准确，或者说随意降低风险的评价等级。实际上，针对风险严重程度和发生可能性，需要针对具体型号进行具体分析，以下就典型产品及环节举例分析:

n可以取近几年同类型产品交付后质量问题平均数发生可能性等级：

c:有，未经其他型号飞试+地面试验验证考核不充分d: -; e:-

...... .... ........

①分析维度(1)：历史故障次数（本单位类似产品）：

n可以取近几年同类型产品交付后质量问题平均数发生可能性等级：

a:0次；b:n次；c:n+1次；d:n+2次；e:n+5次或以上

a:1.0及以上；b: -；c:-; d: -；e: -

a:无，或者有，经过其他型号飞试验证+地面试验验证考核真实且充分

b:有，未经过其他型号飞试验证+地面试验验证考核真实且充分

c:有，未经其他型号飞试+地面试验验证考核不充分d:-; e: -

①分析维度(1)：历史故障次数（本单位类似产品）：

n可以取近几年同类型产品交付后质量问题平均数发生可能性等级：

a:0次；b:n次；

c:n+1次；d:n+2次；

e:n+5次或以上

a:内部指定单位；b:外部具备资质的单位；c:-;d:-;e:-

4)产品/部件/模块类别4：电子元器件

①分析维度(1)：故障模式发生概率

a:P≤10^(-6)；

b:1×10^(-6)<P≤1×10^(-4)；

c:1×10^(-4)<P≤1×10^(-2)；

d:1×10^(-2)<P<1x10^(-1); 

e: P>10^(-1)

a:I级降额；b:II级降额；c:III级降额；　　

d:未采取；e:-不予接受　　

5)产品/部件/模块类别5：结构零部件

分析维度：新技术/新材料（含器件）/新工艺

a:无；或者有，但经过地面试验验证考核真实且充分；

b:有，且未经地面试验验证考核；c:-;d:-;e:-

6)产品/部件/模块类别6：运动副

①分析维度(1)：材料相容性

a:材料性能不同；b:材料性能相近；c: -；d: -；e: -

a:采取防多余物措施；b:未采取防多余物措施；c:-;d:-;e:-

③分析维度(3)：高低温试验考核

a:已进行；b:未进行；c: -；d: -；e:-

7)类别7：某专项技术

这才是考验风险分析和辨识能力的真正所在。

技术的最终依托是具体的系统/产品/软件，因此所有均可以指向具体产品的研制生产、试验验证的充分性。因为技术实现构成环节的复杂性，在进行发生可能性综合分析时，可以参照可靠性模型中串联模型和并联模型，其中对于可量化的可以进行计算，如元器件的失效率、通信的误码率，一般而言，这些环节计算的结果会落在a极少或b很少区间，而对于不能直接进行计算的则需要进行相关维度的细分：

①分析维度(1)：系统冗余技术的采取

a:有冗余；b:无冗余；c: -；d:-; e: -　　

②分析维度(2)：试验验证充分性　　

a:有其他项目应用实践+地面试验验证充分，无不覆盖环节；　　

b:无其他项目应用实践+地面试验验证充分，无不覆盖环节；　

c:无其他项目应用实践+地面试验验证充分，有不覆盖环节；　　

d:-; e: -　　

③分析维度(3)：地面精细化仿真验证的充分性　　

a:仿真试验验证充分，无极限偏差下的不满足；　　

b:仿真试验验证充分，有可接受的极限偏差下的不满足；　　

c:仿真试验验证不充分；d:-;e:-　　

8)类别8：操作风险　　

①分析维度(1)：操作规程　　

a:有细化、量化的操作规程；b:操作规程不细化、不量化；　　

c:无操作规程；d:-;e:-　　

②分析维度(2)：操作空间　　

a:操作空间友好；b:操作空间不友好；c:-;d-;e:-

③分析维度(3)：人员资质和成熟度水平　　

a:具备资质，有三年以上工作经验；　　

b:具备资质，工作经验不满三年；

c:新人员；d- ；e:-

9)类别9：管理风险　　

①分析维度(1)：分工及责任落实　　

a:分工明确；b:工作分工中耦合环节多，例如相互配套环节多；　　

c:-; d-; e:-　　

②分析维度(2)：产品配套层级　　

a:产品配套层级少；b:产品配套层级合理，但配套环节相对较多；　　

c:产品配套层级多；d-;e:-　　

③分析维度(3)：计划制定合理性　　

a:计划合理，且留有一定余量；b:计划合理，但无余量；　　

c:计划不合理；d-;e:-　　

④分析维度(4)：资源配置合理性　　

a:资源配备充足、协调；b:资源配备存在缺失；　　

c:与其他项目存在配备存在冲突 ；d-;e:-　　

⑤分析维度(5)：与相关方的沟通协调完备性　　

a:沟通协调充分，无保留工序和遗留工作；　　

b:存在研制过程、任务过程相关环节的未确认和未协调，有保留工序和遗留工作；

c:- ；d-;e:-　　

意思很明显，假设某系统/技术构成环节为5，假定为灾难性后果E,根据风险评价矩阵结果分别为Ea、Eb、Ec、Ed、Ee,则最终该系统/技术/产品的风险综合评价等级应该为V,极高风险，即各环节是或的关系。　　

在实际风险辨识过程中，很少会这样做，因为整个风险的辨识还是基于最初的关键技术攻关、以往技术/产品的成熟度来进行判定的，特别是在技术风险层面。　　

但对于整个大系统的风险判定则可以依照此进行，这个是不言而喻的，3个III级，4个II级，则大系统的综合评判等级至少为III级，至于要不要升级,这个还是以综合判定为准,如果III级的发生概率较低,则不予考虑。　　

PS:

此处也就引出了风险辨识的维度和层级的问题，单纯的器件级、部件级意义不大，至少是整机产品级、分系统级、某项专项技术，如末制导技术、抗干扰、突防诸如此类的系统性风险，而对于器件级，则是失效概率的统计，由此也就可以给出极高的可靠性预计值。

1)技术风险：在设计环节涉及各项产品、参数设计正确性相关的风险；　

2)产品风险：产品工艺、生产、测试、检验等过程相关的风险；　　

4)管理风险：管理流程、组织机构实施、与外系统协调等方面的风险。　

之所以聚焦此四类风险，是因为在以前工程研制过程中，涉及到此类风险的环节会经常性地出现问题。　　

其实技术风险的最终载体在于产品，硬件产品和软件产品的集合，也就体现出系统工程内在的关联性和构成的复杂性特点，牵一发而动全身。　

以下不再展开。

4、风险分析流程

一般项目会针对根据各类风险的特点，从技术、产品、操作、管理四类风险分别以技术成熟程度、过程质量控制、量化检查确认、管理规范完善为抓手，形成了各类风险分析的识别要素，并由此制订相关的风险线索。

1)技术风险　　

表5技术风险分析的识别要素

具体内容：是否有已有型号从未使用的技术和状态。　　

风险线索：新技术、新材料、新环境、新状态、新元器件等。　　

具体内容：是否开展了充分仿真分析和试验验证。　　

风险线索：接口设计正确性、时序链路匹配性、试验充分性及四不到四到。　　

④专家意见

具体内容：是否有复核复算专家意见未落实。　　

风险线索：设计复核复算及独立评估实际情况，专家意见落实和闭环情况。　　

专家意见，可以见很多端倪，尤其是设计以及工作充分性层面的，一旦提出，要对照进行深入分析。

具体内容：是否有过重大质量问题。　　

风险线索：借沿用产品、技术的历史问题，设计质量问题；研制过程中问题较多的产品和技术。　　

历史故障，说明技术和产品成熟度不够，说明管理水平低下，说明问题还会出来。　　

⑥相关方多　　

具体内容：是否有过重大质量问题。　　

风险线索：借沿用产品、技术的历史问题，设计质量问题；研制过程中问题较多的产品和技术。　　

相关方多，这是所有技术问题的一个重要源头，相互配套，技术要求传递、分解不到位，自我认知较高，细化工作开展不够，容不得质疑，有此类情形的技术和产品，一定会存在较多的问题。

④性能不稳

3)操作风险

具体内容：是否存在由于具体实施过程困难带来潜在隐患。

风险线索：紧固件力矩量化控制、接插件连接质量确认；操作空间狭小；

操作实施后检验、检测不便于实施。

实施困难是系统设计不足的表现，也就是设计之于工艺，工艺之于生产工程的指导性层面，或者说转化层面的问题，一旦源头存在短板，则后续会麻烦不断。确实无法规避的，一定要有具体可操作的检验、检测措施和手段，如果没有，存在问题的风险极高。　　

③易错易漏　　

具体内容：是否存在易错易漏的重要操作。　　

风险线索：易错易漏操作：接插件接插，极性确认，飞行方向与设备安装方向；　　

一个正向的例子：飞机起飞前工具箱的工具数量的检查；火箭起飞前短路保护插头的数量定位式清点。　　

一个反向的例子:同类型接插件插混,针孔出现针对针插接,这些源于设计问题，表现为操作类问题。　　

④质量问题　　

具体内容：是否在该类操作环节有过典型操作质量问题。　　

风险线索：操作质量问题及典型质量问题：吊装，安装错误，极性错误等常发性质量问题；　　

此环节若经常性出现问题则说明要么规程不完备，要么有章不循，要么检验检测不到位，要么测试的手段缺失。　　

⑤单岗操作　　

具体内容：是否存在没有检验和二岗确认的操作。　　

风险线索：单岗操作，流程中有无口令应答式确认；　　

遇到的典型问题1：软件烧写版本错误，关键在于本来是双岗操作，确认版本，但是单岗操作，恣意妄为。　　

遇到的典型问题2：口令式操作，问答之间，确认操作规程和界面显示是否正常，只关注了其中一个，试验状态转换不够，导致产品烧毁。　　

遇到的典型问题3：火箭模装箭起竖后操作，未按照流程，导致跌落；

遇到的典型问题4：火工品连接后，测试流程选择不对，导致火工品误引爆。

问题也未得到根治和改善，这源于产品实现的复杂性和当前的生产制造水平，因此对于此类型产品应该以问题为导向，做好相应措施的落实和改进，最大化预防已经发生过的质量问题。

③条件不足

具体内容：是否存在由于经费、周期、人员等资源限制对型号研制带来重大影响。

风险线索：人员设计资历水平；试验资源保证；研制人员的配备；经费拨付及时性；研制计划的合理性。

实际工程研制过程中，条件的保障诸如人员、试验场地/资源会极大地制约项目的研制进程和过程质量，特别是新人员，除了设计师系统、生产制造、试验操作人员之外，其实不容忽视的是一些装备飞试的一岗操作人员，以及首次担当副总师、技术负责人、行政负责人的人员。

对于装备而言，需要关注的是研制要求、条件的输入，合同的签订，监管协议的签订等，这些环节在很大程度上制约着研制的进程，有可能引入研制进程的迟滞，进而影响到后续节点；同时经费拨付的及时性、计划制定的合理性至关重要，尤其是计划层面，一旦不合理或者急于求成，极容易引入质量问题和风险。

④流程复杂

具体内容：是否有协调关系复杂的环节。

风险线索：流程复杂环节，配套层级多，存在相互配套的情形；相关协调的纸面确认；

主要在于配套关系复杂，层级多，总装流程复杂，保留工序多等。

⑤制度欠缺

具体内容：是否存在制度不完善带来的质量隐患。

风险线索：制度欠缺环节，责任不明晰，责任不落实；

制度的欠缺，反映在责任的不落实，系统性工作的抓总单位不明确，由此会引入诸多问题,特别是在接口的确认,总装环节、交装环节、售后维保环节,引入三不管地带而导致问题发生。

之所以会说到此话题，也就是因为在实际进行技术风险的辨识、控制和分析的过程中，存在一定的随意性，这个不怪设计师队伍，关键就在于定性、定量化操作的空间太大。

其实关于风险的分析、判定，始终是一个难题，同时有另外一个问题，就是辨识为风险的一般比较难演变为问题，而真正的问题发生后，发现原先根本没有顾及到，所以这里就需要关注风险辨识的线索以及项目自身真正的不放心环节，不放心源于之前的问题，源于过程控制的不严谨，试验验证的不充分，工况的不覆盖，天地的不一致。

所以真正要把风险辨识清楚，控制到位，首先要做到的就是以问题为导向，以问题多发单位和环节为重点，同时不要忽略系统性风险。当前我们考虑系统性风险多一些，对于影响到成败的单点模式环节，采取的是传统的控制模式，没有深入到真正的过程，后续节点的测试和检验手段有效或者落实不够，这是需要发散开来的环节。

最近开了一个出厂会，型号两总和大部分评审专家坐在第二排，队伍技术人员在第三排，我作为管质量的躲在一根巨大的柱子后面，极致地体现了质量的隐性管理，但反思这样是否正常？如果有一天，技术专家和研制人员在第一排，各级领导们坐在第二排，我们有理由相信，这个项目一定能干得很漂亮。

PS2:几个例子（以问题反说风险）

(一)技术风险

失事飞机上共设有3个攻角传感器，波音失速自动保护系统的控制程序设计很奇怪，其逻辑是只要主传感器认为飞机攻角过高（机头抬得过高），飞机有失速危险，自动保护系统的激活逻辑就可以被激活。而根据Avherald网站分析，空客飞机在类似系统设计中规定：只要三个攻角传感器的读数不一样，不管主次，都选择不相信，直接报错给飞行员，从而避免主传感器出错，导致整个系统出错的风险。软件设计最忌讳对非正常模式或者故障模式考虑不周全、不到位，与空客相比，波音在失速保护系统的控制程序设计方面似乎存在bug。　　

安装在失事飞机上的飞行器失速保护系统收到了错误的飞行状态参数信号（飞机攻角参数等）或者其自身潜在系统故障开始发作，致使该飞行器失速保护系统错误认为飞机处于失速状态，触发失速保护系统开始工作，接管飞机进行如下操作：使升降舵下偏，导致飞机尾部抬起和机头朝下，控制飞机以机头骤降的方式化解并不存在的“失速”(Stall)。失事飞机下降过程中出现过一次拉升后又重复下降直至坠毁的现象，该现象表明飞行员可能在与飞行器失速保护系统争夺飞机控制权,但是飞行员没能获得成功,导致飞机在高速撞击海面时解体，酿成了机毁人亡的惨剧。

(3)问题原因分析

波音的产品设计、以及处置程序至少存在以下问题：

a.设计层面——系统安全冗余：单侧AOA(迎角/攻角传感器)信号故障，就能导致“空速不可靠+失速抖杆警告+安定面失控（持续作动）”的连锁反应，

这两个措施，可以解决我们前面提到的“系统安全冗余”和“安定面/升降舵的操纵权限”两个设计层面的问题。

①已有平台的更改引入不确定性和起飞失速的问题；

②与之对应的措施设计不完备，尤其是对于攻角传感器采集到的信息没有一个合理判定；

③自动程序执行时飞行员无法介入的问题，即飞行员失去了对飞机的控制权；

机长：弗朗西斯·斯科比，四十六岁；驾驶员：迈克尔·史密斯，四十岁，宇航员：朱迪恩·雷斯尼克(女)，三十六岁；罗纳德·麦克奈尔，三十五岁；埃利森·鬼冢，三十九岁；格里高利·杰维斯，四十一岁；教师克里斯塔·麦考利夫(女)，三十七岁

(4)逆向反思技术风险分析时应该关注的环节

2003年9月6日，美国国家海洋和大气管理局（NOAA）的一颗价值2.9亿美元的 NOAA-N-Prime高级气象卫星 在工作时不慎摔落。事故原因是卫星底部的螺丝未拧紧，且未被记录在案。随后，技术人员在不知情的情况下转动支架，导致卫星从一米的高度摔到混凝土地板上，造成严重损坏。事故发生后，NOAA迅速成立了事故调查和评估小组，最终由运营团队赔偿了3000万美元，美国政府承担了剩余的1.35亿美元修理费用。〔据演绎，据说当时有一个实习人员问操作员，为什么那么多固定的螺栓不拧上，答曰几个就够，根本不需要那么多……无知者无畏，而那一些有章不循者，就实在不知道是怎么想的了……〕

一个典型例子：哥伦比亚号航天飞机再入解体

①全景视频

②相关视频

调查美国“哥伦比亚”号航天飞机解体爆炸之谜的独立委员会宣布，有关人员向模拟的航天飞机机翼发射了一块泡沫绝缘材料，结果在机体表面形成了大约2英尺长(60多厘米)的大口子。据悉，这是为确定“哥伦比亚”号失事原因而进行的第七次(最后一次)模拟撞击试验，也是破坏效果最为惊人的一次，让现场观看人员惊讶不已。这次试验最终确定了造成飞机解体的罪魁祸首(软呼呼的泡沫材料)。

在试验中，研究人员使用高压枪将泡沫以每小时将近1000公里的速度，发射撞击到模拟的机翼上(来自“亚特兰蒂”号的真品)。现场共有12部高速摄像机(六部在机翼内部，六部在外部) 负责捕捉具体撞击过程。此外，还有数百个传感器承担着收集相关震动数据的任务。同此前试验不太一样的是，本次承担撞击任务的泡沫“整体拍到”了航天飞机表面，此前则是“小角度撞击”，因此破坏力更为惊人。

①起飞时就种下了事故的种子

美国航空航天局承认，他们早就发现“哥伦比亚”号航天飞机在起飞时，因遭受到从外燃料箱上掉下来的一块绝缘材料的撞击，使得航天飞机左翼下的隔热瓦发生脱落。事故调查人员从起飞时的录像带上也发现，在“哥伦比亚”号起飞后80秒，有一些东西从机体上脱落下来。

航空航天局的工作人员当然清楚隔热瓦脱落产生的严重后果。在航天飞机上共装有24000块隔热瓦，这种隔热瓦的作用是抵御再入大气层时的高温。因为航天飞机再入大气层时，由于与大气的磨擦而产生摄氏1650度的高温。如果隔热瓦脱落，会导致隔热瓦保护层下部的航天飞机铝构架的变形，使更多的隔热瓦脱落。如果隔热瓦脱落到一定数量，就会使航天飞机再入大气层时被巨大的压力和高温撕裂成碎片。

虽然航空航天局的工程技术人员曾经花了几天的时间对这一事件进行过分析，但他们最后得出的结论是“不碍事”。而且航空航天局的官员还告诉记者不用担心，他们保证“绝对没有问题”。直到事故发生以后，他们才承认自己判断错了，起飞时隔热瓦的脱落可能是事故发生的主要原因。

②航空航天局的判断错误

第三，如果确定航天飞机脱落的隔热瓦不能维修，又知道如果脱落的隔热瓦不能维修好将会发生怎样的严重后果，航空航天局为什么不设法营救“哥伦比亚”号的航天员？

③人为失误是造成事故的关键

其实“人为失误”是一个科学术语。人在工作中由于生理、心理、认知和知识等方面的局限，不可避免的会犯这样或那样的错误。“人为失误”是一种客观存在的现象，不以人的意志为转移。不过通过科学的方法，可以将人为失误减到最少。但是如果人们不能正确认识这种现象，或是有意回避这个问题。

全体机组人员的加速度瞬间从0.8g提升到3g，虽然这不会让专业飞行员丧失行动能力，但是，这会影响它的意识和方向能力。终于，下午两点，飞船解体，所有记录消失，大量飞船碎片散落在天空中。宇航员在坠机过程中经历了减压然后昏迷，这个过程来得太快了以至于一些宇航员连时间都没有戴上头盔和手套。

此案例中：技术问题→→管理问题→→重大事故