任玉彬，索相波，賈寶林，范玉珠

(1.國防大學(xué)聯(lián)合勤務(wù)學(xué)院，北京 100036；2.酒泉衛(wèi)星發(fā)射中心，甘肅 酒泉 732750)

0 引言

航天發(fā)射具有系統(tǒng)復(fù)雜、技術(shù)密集、風(fēng)險環(huán)節(jié)多等特點，對試驗產(chǎn)品和發(fā)射場設(shè)施設(shè)備的安全性、可靠性有著極為嚴格的要求[1]。國外航天部門如美國航空航天局(NASA)、歐洲空間標準化合作組織(ECSS)等非常注重風(fēng)險管理研究與應(yīng)用，并制定了相應(yīng)的標準和程序文件[2]。為把航天測試發(fā)射任務(wù)中的風(fēng)險降低到最小程度，確保航天員和試驗產(chǎn)品安全，確保航天測試發(fā)射任務(wù)圓滿成功，有必要在航天發(fā)射場引入風(fēng)險管理的理念和方法。

風(fēng)險識別是風(fēng)險管理過程的第一步，是風(fēng)險管理中最重要的步驟，如果不能準確地識別面臨的潛在風(fēng)險，就可能失去處理這些風(fēng)險的最佳機會[3-5]。常見的風(fēng)險識別方法有檢查表法、專家調(diào)查法、工作—風(fēng)險分解結(jié)構(gòu)法、現(xiàn)場調(diào)查法、歷史記錄統(tǒng)計法等[6-11]。這些方法均在特定的階段和場景下有其適用的范圍，但又有比較明顯的局限性。由于航天發(fā)射場火箭加注系統(tǒng)的復(fù)雜性和特殊性，其風(fēng)險分析通常需要兼顧多個目標且面臨目標難以度量的問題，如加注過程的可靠性安全性要求和加注的及時性準確性要求等。對于像航天發(fā)射場火箭加注系統(tǒng)這樣的大型復(fù)雜系統(tǒng)而言，只用一個模型展現(xiàn)其所有方面有時是十分困難的[12]。

等級全息建模方法[13-14](hierarchical holographic model，HHM)是大型復(fù)雜系統(tǒng)開展風(fēng)險識別的一種重要方法，“等級”指的是從系統(tǒng)等級的不同層面來分析系統(tǒng)存在的風(fēng)險；“全息”在這里指的是從系統(tǒng)的不同視角來分析系統(tǒng)存在的風(fēng)險。HHM是以協(xié)作、互補的形式將復(fù)雜系統(tǒng)分解為多個等級層次，每個層次都是復(fù)雜系統(tǒng)的某一特定視角結(jié)構(gòu)，通過對每個層次進行風(fēng)險識別分析，最終能得到近乎完備的復(fù)雜系統(tǒng)風(fēng)險集合。目前，HHM方法已經(jīng)廣泛運用于國防基礎(chǔ)設(shè)施、信息安全系統(tǒng)、跨國企業(yè)供應(yīng)鏈、航天任務(wù)、新產(chǎn)品開發(fā)等領(lǐng)域的風(fēng)險識別分析[15-17]。

本文從系統(tǒng)的觀念出發(fā)，結(jié)合等級全息建模的思想，設(shè)計一個航天發(fā)射場火箭加注系統(tǒng)HHM風(fēng)險識別框架，應(yīng)用該識別框架，對加注系統(tǒng)開展風(fēng)險識別。該HHM框架是一張航天發(fā)射場火箭加注系統(tǒng)的多視角立體圖像，從不同的視角分等級描述加注系統(tǒng)，使風(fēng)險識別及不同風(fēng)險要素之間的關(guān)聯(lián)分析更加全面、系統(tǒng)，可改進風(fēng)險識別的完備性和準確性。此外，這個框架具有良好的動態(tài)可擴展性，可適應(yīng)航天發(fā)射場火箭加注系統(tǒng)的擴展變化。

1 航天發(fā)射場火箭加注系統(tǒng)風(fēng)險概述

1.1 風(fēng)險的定義

根據(jù)GJB 9001C—2017《質(zhì)量管理體系要求》，風(fēng)險被定義為在規(guī)定的費用、進度和技術(shù)約束條件下，不能實現(xiàn)任務(wù)目標的可能性及所導(dǎo)致后果的一種度量。

Kaplan和Garrick對風(fēng)險R定義為

R={Si，Li，Xi}c

(1)

式中：Si為第i個風(fēng)險場景；Li為這種場景發(fā)生的可能性；Xi為風(fēng)險場景引起的損失或影響；下標c表示風(fēng)險場景集{Si}是完備的，即它包括所有可能的風(fēng)險場景，或至少是所有重要的場景[18]。

1.2 航天發(fā)射場火箭加注系統(tǒng)風(fēng)險特點

航天發(fā)射場火箭加注系統(tǒng)安全性、可靠性要求極高?；鸺七M劑具有易燃易爆特性，常規(guī)推進劑還有很強的毒性?；鸺幼⑾到y(tǒng)工作時，運載火箭和衛(wèi)星均已上塔，加注系統(tǒng)稍有失誤就會對試驗產(chǎn)品和任務(wù)進程造成直接影響，若發(fā)生安全事故，會對人員生命和財產(chǎn)造成不可挽回的巨大損失。美國、蘇聯(lián)和巴西等國家都曾發(fā)生過火箭在塔架爆炸導(dǎo)致大量人員傷亡的災(zāi)難性事故，教訓(xùn)深刻。

航天發(fā)射場火箭加注系統(tǒng)結(jié)構(gòu)復(fù)雜、風(fēng)險因素多。系統(tǒng)復(fù)雜性主要表現(xiàn)為組成、結(jié)構(gòu)、技術(shù)狀態(tài)的復(fù)雜性；風(fēng)險的來源包括人(操作崗位人員、技術(shù)人員、指揮人員等)、設(shè)備(控制系統(tǒng)、工藝系統(tǒng)、配套系統(tǒng))、原料(氧化劑、燃燒劑及所用氣體)、工藝方法、環(huán)境因素各個方面。

航天發(fā)射場火箭加注系統(tǒng)歷史風(fēng)險信息較少。由于航天發(fā)射高成本、高風(fēng)險和極高的技術(shù)復(fù)雜性，實施發(fā)射次數(shù)有限，因而造成了可供借鑒分析的歷史數(shù)據(jù)不足，也給風(fēng)險評估帶來很大的困難。

鑒于航天發(fā)射場火箭加注系統(tǒng)風(fēng)險識別的復(fù)雜性和特殊性，本文采用等級全息建模方法開展風(fēng)險識別，確保風(fēng)險場景識別的完備性。

圖1 航天發(fā)射場火箭加注系統(tǒng)風(fēng)險識別框架Fig.1 Risk identification framework of space launch site propellant loading system

2 等級全息建模方法的應(yīng)用

等級全息建模方法的核心是用一個矩陣式框架圖，實現(xiàn)對加注系統(tǒng)不同視角和不同層級風(fēng)險場景的識別。

2.1 火箭加注系統(tǒng)HHM風(fēng)險識別框架設(shè)計

運載火箭推進劑加注系統(tǒng)是航天發(fā)射場的重要組成部分，也是最具有發(fā)射場特色的系統(tǒng)，主要起著為運載火箭加注/泄出常規(guī)推進劑的作用。加注系統(tǒng)是一個集推進劑轉(zhuǎn)注、存貯、流量計在線校驗、推進劑調(diào)溫及向火箭實施推進劑加注等任務(wù)為一體的多功能系統(tǒng)，系統(tǒng)主要由加注工藝設(shè)備和加注控制系統(tǒng)組成，運載火箭推進劑加注過程共有30多個相對獨立的工序。

設(shè)計提出了加注系統(tǒng)HHM風(fēng)險識別框架，圖1所示是一個初步的HHM風(fēng)險識別框架，從系統(tǒng)組成、功能區(qū)域、工作階段和職能分工4個視角來描述加注系統(tǒng)。圖中的每一列代表一個風(fēng)險識別視角，向下細分的樹狀結(jié)構(gòu)表示加注系統(tǒng)在該視角下的層級結(jié)構(gòu)。

“系統(tǒng)組成視角”從系統(tǒng)的基本構(gòu)成來描述，將加注系統(tǒng)分為加注控制系統(tǒng)、加注工藝系統(tǒng)(加注泵、儲罐、閥門、管路等)和加注配套系統(tǒng)3個子系統(tǒng)，便于從加注設(shè)備所屬功能系統(tǒng)定位來識別風(fēng)險；“功能區(qū)域視角”按設(shè)備所屬功能區(qū)域識別風(fēng)險場景，分為氧化劑庫區(qū)(控制室、罐間、泵間、轉(zhuǎn)注間)、燃燒劑庫區(qū)(控制室、罐間、泵間、轉(zhuǎn)注間)、塔上和加注外管線及其他區(qū)域(配電間、配氣間、調(diào)溫間、廢氣處理間等)等場景，便于從不同功能區(qū)域分析和統(tǒng)計風(fēng)險；“工作階段視角”按照加注系統(tǒng)在航天發(fā)射任務(wù)不同階段所承擔的工作劃分為日常維護、檢修檢測、任務(wù)遂行、正式加注和設(shè)備恢復(fù)等階段。“職能分工視角”按照職能分工分為決策層、指揮層、操作層和保障層，考察的是人為因素風(fēng)險源。

加注系統(tǒng)HHM風(fēng)險識別框架是一個開放的框架，框架中的視角和層級都可以根據(jù)加注系統(tǒng)風(fēng)險評估的實際需求進行拓展。比如，在風(fēng)險信息收集分析過程中，發(fā)現(xiàn)某一類風(fēng)險場景無法在當前的風(fēng)險識別框架中確定其來源，就可以增加新列(新視角)來擴展該框架模型，使其包含這類風(fēng)險。通過不斷的完善，最終使風(fēng)險識別框架可以包含所有可能的風(fēng)險場景。

2.2 HHM風(fēng)險識別框架的應(yīng)用

2.2.1 利用HHM風(fēng)險識別框架指導(dǎo)加注系統(tǒng)風(fēng)險管理信息采集

將加注系統(tǒng)風(fēng)險識別框架作為指導(dǎo)性框架，開展風(fēng)險管理信息采集。從不同的視角以及每一個視角下不同的層級確定的風(fēng)險場景，完成風(fēng)險信息采集，比如風(fēng)險源、風(fēng)險事件、風(fēng)險概率和風(fēng)險屬性等信息。按照此框架采集的信息的完整性和系統(tǒng)性，不會遺漏重要的風(fēng)險場景。

完善HHM風(fēng)險識別框架和利用風(fēng)險識別框架指導(dǎo)風(fēng)險信息采集是循環(huán)迭代過程，如圖2所示。

圖2 加注系統(tǒng)HHM框架完善過程Fig.2 Improvement process of HHM framework

2.2.2 利用HHM風(fēng)險識別框架描述加注系統(tǒng)風(fēng)險事件

利用設(shè)計的HHM風(fēng)險識別框架，逐一分析框架中的風(fēng)險場景，結(jié)合風(fēng)險分解結(jié)構(gòu)矩陣(見圖3)，可對航天發(fā)射場火箭加注系統(tǒng)開展全方位多層級的風(fēng)險識別。

圖3 航天發(fā)射場火箭加注系統(tǒng)風(fēng)險分解結(jié)構(gòu)Fig.3 Risk decomposition structure of space launch site propellant loading system

航天發(fā)射加注系統(tǒng)風(fēng)險事件按風(fēng)險屬性(原因)可分為技術(shù)風(fēng)險、管理風(fēng)險、人力風(fēng)險、環(huán)境風(fēng)險；按風(fēng)險影響(后果)可以分為安全風(fēng)險、質(zhì)量風(fēng)險、進度風(fēng)險、費用風(fēng)險等，在航天發(fā)射試驗工作中，質(zhì)量風(fēng)險和進度風(fēng)險通常比較受關(guān)注；按層級可以分為決策層風(fēng)險、指揮層風(fēng)險、操作層風(fēng)險。例如根據(jù)加注當天的氣象情況和后續(xù)發(fā)射塔上環(huán)境溫度保障能力的評估情況，研究決定是否進行加注，就屬于決策層風(fēng)險；加注過程中，一旦出現(xiàn)設(shè)備故障，根據(jù)加注預(yù)案及時采用迂回加注方案確保準確及時地完成加注任務(wù)，就屬于指揮層風(fēng)險；加注過程中準確、可靠、安全地操作各臺設(shè)備，就屬于操作層風(fēng)險[19-21]。

風(fēng)險識別的過程是按照HHM風(fēng)險識別框架定義的層級和樹狀結(jié)構(gòu)，逐級開展風(fēng)險識別。下面以加注系統(tǒng)HHM風(fēng)險識別框架中部分風(fēng)險場景為例，使用該框架開展風(fēng)險識別和風(fēng)險信息收集分析。分別選擇不同視角下的3個第一級風(fēng)險場景作為典型場景，分別是系統(tǒng)組成視角下的加注工藝系統(tǒng)場景C2、職能分工視角下的指揮層場景F2和操作層場景F3等三個風(fēng)險場景，分析該風(fēng)險場景下的風(fēng)險源、風(fēng)險事件及風(fēng)險后果，結(jié)果如表1所示。

在表1的基礎(chǔ)上，按照風(fēng)險識別框架中的樹狀結(jié)構(gòu)，進一步對下一級風(fēng)險場景磁性浮子液位計C21、加注泵C22和流量計C23開展風(fēng)險識別，收集并分析C21、C22和C23場景下的風(fēng)險信息，并對識別出的風(fēng)險進行評估分析，主要包括風(fēng)險事件、激發(fā)因素、影響等級、風(fēng)險概率和風(fēng)險指數(shù)，結(jié)果見表2所示。其中，影響等級是指風(fēng)險事件對航天發(fā)射試驗任務(wù)影響后果的嚴重程度，分為輕微級(Ⅰ)、顯著級(Ⅱ)、重大級(Ⅲ)、危險級(Ⅳ)和災(zāi)難級(Ⅴ)五個等級；風(fēng)險概率即風(fēng)險發(fā)生的可能性，分為極小可能發(fā)生(A)、不大可能發(fā)生(B)、很可能發(fā)生(C)、極有可能發(fā)生(D)、頻繁發(fā)生(E)五個等級。通過建立概率—影響(P—I)矩陣，可計算出風(fēng)險事件的風(fēng)險指數(shù)，風(fēng)險指數(shù)=影響等級×風(fēng)險概率，風(fēng)險指數(shù)越大，風(fēng)險越大。從表2可以看出，加注泵并泵故障風(fēng)險指數(shù)最大。

本文僅對發(fā)射場加注系統(tǒng)部分場景應(yīng)用HHM風(fēng)險識別框架開展了風(fēng)險識別與評估，借助于本文設(shè)計的航天發(fā)射場火箭加注系統(tǒng)HHM風(fēng)險識別框架和識別方法，可對航天發(fā)射場火箭加注系統(tǒng)進行全方位多層級的風(fēng)險識別與評估。

表1 航天發(fā)射場火箭加注系統(tǒng)部分風(fēng)險場景風(fēng)險識別表Tab.1 Risk identification table of partial risk scenarios of space launch site propellant loading system

表2 加注系統(tǒng)加注泵風(fēng)險識別與評估表Tab.2 Risk identification and evaluation table of the filling pump of propellant loading system

3 結(jié)語

1)等級全息建模方法是大型復(fù)雜系統(tǒng)開展風(fēng)險識別的一種重要方法，可以改進風(fēng)險識別的完備性，對信息采集和風(fēng)險識別過程有較好的應(yīng)用效果，能夠提高風(fēng)險評估的準確性，是開展航天發(fā)射場火箭加注系統(tǒng)風(fēng)險識別的有效方法。

2)本文構(gòu)建的航天發(fā)射場火箭加注系統(tǒng)HHM風(fēng)險識別框架，從系統(tǒng)組成、功能區(qū)域、工作階段和職能分工等四個視角來刻畫加注系統(tǒng)不同類別的風(fēng)險場景。在該HHM框架指導(dǎo)下，結(jié)合加注系統(tǒng)風(fēng)險分解結(jié)構(gòu)，對加注系統(tǒng)風(fēng)險場景開展風(fēng)險識別，可實現(xiàn)對航天發(fā)射場火箭加注系統(tǒng)全方位多層級的風(fēng)險識別。