航天器軟件風險集成管理方法

陳乘新 梁克 王靜華 郭娟

（中國空間技術研究院載人航天總體部，北京 100094）

航天器軟件風險集成管理方法

陳乘新 梁克 王靜華 郭娟

（中國空間技術研究院載人航天總體部，北京 100094）

為確保航天器軟件產品功能、性能符合任務需求，安全、可靠地完成飛行任務，需要對其進行風險管理。文章首先介紹了軟件風險管理理論研究現狀；然后結合航天器軟件強實時性、高可靠性和安全性、維護困難等問題，提出了基于系統集成思想的軟件風險控制方法；最后以某航天器為例介紹了該套方法的應用成果。研究結果可為識別航天器軟件風險，提高軟件產品質量提供參考。

航天器；軟件風險；風險識別、分析與控制

1 引言

軟件風險是指軟件項目管理與開發過程中出現的不確定事件，并可能給項目計劃和系統質量帶來危害或損失。為確保項目成功，需在軟件研制過程中開展風險管理工作，標識出可能出現的風險，并對風險進行度量和評估，制定出相應的緩解措施及應急措施，以減少和降低風險對軟件研制過程的影響［1］。

國外對軟件風險管理進行了卓有成效的研究，出現了Boehm模型、持續風險管理（Continuous Risk Management，CRM）模型和組織變革開放系統（Leavitt）模型為代表的風險管理體系［2-8］。相比之下國內特別是航天器領域對軟件風險管理的研究處于起步階段，尚未形成一套完整的風險管理方法，隨著航天器電子系統功能需求的不斷增長，硬件設備集成、綜合及小型化技術的發展，軟件復雜度和規模不斷提高，研制過程中面臨的風險也越來越大，亟需開展符合航天器軟件研制特點的風險管理方法研究。

本文首先介紹了軟件風險管理理論的研究現狀，然后針對當前我國航天器軟件風險管理中存在的薄弱環節進行了分析，最后提出了符合航天器軟件研制特點的風險管理方法，并以某航天器為例給出了實施過程和效果。

2 軟件風險管理理論概述

軟件風險管理就是在對風險的不確定性及可能性等因素進行考查、預測、收集、分析的基礎上，制定出來包括識別風險、分析風險、積極監控風險和妥善處理風險等一套系統而科學的管理方法，其研究目的是找出這些導致不良后果的風險，并使其對產品的不良影響最小化。典型的風險管理模型如下：

（1）Boehm模型：Boehm模型通過公式R=P× L對風險進行定義，其中R代表風險或風險帶來的影響，P表示風險發生的概率，L表示風險發生的危害程度［9］。Boehm思想的核心是對10大風險因素列表，Boehm根據每種風險因素的特點制定了一系列風險管理措施。Boehm模型傾向于傳統的項目風險管理理論，認為風險管理包括風險評估和風險控制兩大階段，其中風險評估包括風險辨識、風險分析和風險排序，風險控制是指編制風險管理計劃、風險解決和風險監督。

（2）CRM模型：卡內基-梅隆大學軟件工程研究所（SEI）的CRM模型風險管理原則是不斷地評估可能造成惡劣后果的因素；決定最迫切需要處理的風險；實現控制風險的策略；評測并確保風險策略實施的有效性［10-11］。CRM模型將風險管理劃分為5個步驟，即風險識別、分析、計劃、跟蹤和控制。對每一個風險要素都要按照這5個步驟進行管理，強調風險管理是一個在項目開發過程中反復持續進行的活動序列。

（3）Leavitt模型：Leavitt模型將形成各種系統的組織劃分為4個組成部分，即角色、結構、技術和任務。這4個組成部分和軟件開發的各因素可以很好地對應：角色覆蓋了所有的項目參與者，例如軟件用戶、項目經理和設計人員等；結構表示項目組織和其他制度上的安排；技術則包括了開發工具、方法、軟硬件平臺等；任務描述了項目的目標和預期結果［11］。Leavitt模型的關鍵思路是模型的各個組成部分是密切相關的，一個組成部分的變化會影響其它組成部分，該模型實際上提出了一個框架，可以系統地將軟件風險相關信息組織起來。

通過對主流的風險管理理論綜合比較分析，本文總結軟件風險管理的核心內容主要體現在以下3個方面：

（1）將風險管理與軟件研制活動緊密結合，即關注軟件研制各個方面的風險管理，如技術、進度、質量等，確保全面識別風險要素。

（2）重視軟件風險分類管理，對識別的風險進行分析和排序，保證有限的資源用到級別較高的風險上。

（3）將風險管理視為一個持續管理過程，在軟件項目全生命周期內不斷識別風險、評估風險和控制風險，確保各類風險始終可控。

3 我國航天器軟件風險管理存在的不足

1）缺乏風險要素識別方法

軟件風險管理應注重風險要素識別的系統性和全面性，應結合軟件研制活動相關的各個方面，如軟件規模、復雜程度、用戶特性、過程定義、環境、技術難度、進度、人員及經驗等開展風險識別工作，確保風險要素識別無遺漏。

航天器軟件風險管理未形成系統性的風險要素識別方法，目前主要通過軟件故障樹分析（SETA）、軟件故障模式與對策（SEMEA）和遵循可靠性安全性設計準則來指導軟件可靠性安全性設計；對首次承擔航天軟件研制任務的單位和人員進行識別，開展相應的培訓檢查等工作。由于過于依賴以往經驗，缺乏風險要素的識別方法，容易造成風險要素識別不全。

2）未建立風險分類管理機制

軟件風險應注重分類管理，軟件風險根據影響范圍可以分為系統性風險、分系統性風險和配置項級風險，如分系統間接口協議可靠性設計不足、系統工作模式組合和轉換的可調整性不足等屬于系統級風險；分系統架構設計冗余度不足、分系統工作模式和任務不明確屬于分系統級風險；未按照編程規范開展編程工作、成員缺乏編碼知識屬于配置項級風險。

航天器軟件風險管理未形成分級管理的機制，航天器總體和分系統往往將精力主要放在配置項級風險的管控上，如通過需求審查、測試審查和第三方測試驗證等手段來確保配置項風險可控等；對系統和分系統工作模式、設計架構、接口協議等風險關注不夠，由于資源投入不均，容易造成風險管理效果不佳。

3）風險管理持續性不夠

軟件風險管理應注重持續性，某種類型的風險完成閉環，在后續某個階段可能再次出現，故需要定期識別風險要素，確保及時識別和控制風險。如軟件需求階段才可能出現的系統需求遺漏風險，在進入軟件設計階段后由于飛行任務的變化可能再次出現。

航天器軟件風險管理未形成定期識別風險的機制，目前主要在航天器研制初期進行軟件全生命周期風險要素的識別和管理策劃，在航天器研制過程中跟蹤和控制風險，并及時關閉風險。由于關閉的風險可能再次打開，未定期進行風險識別容易造成風險最終發生。

4 采取集成風險管理方法解決當前問題

針對前文中分析的當前航天器軟件風險管理存在的不足，文章基于軟件風險管理理論，從航天器系統角度提出了集成風險管理方法，對航天器系統、分系統和配置項各級軟件風險管理統一策劃，通過分級負責、各司其職的方式共同管控風險。該方法核心思想是全面識別風險，確保風險要素無遺漏；分類管理風險，確保風險各級管控有效；定期分析風險，確保風險管理持續改進。具體內容如下。

1）通過基于目標導向的風險識別方法保證全面識別風險要素

該方法在軟件故障樹分析基礎上結合航天器軟件強實時性、高可靠性和安全性、維護困難等特點提出，所謂基于目標導向的風險識別方法就是從軟件項目的研制目標入手，推導影響項目的風險要素，并進一步分析風險間的關系，最終達到對整個項目的風險要素及其關系的識別［11］，風險識別具體過程如圖1所示。

該方法的特點是將軟件的研制目標按照階段進行劃分，并判斷各階段研制目標是否可度量，若不可度量則進行細化分解，直到所有的細化目標都可度量。在可度量的細化目標基礎上分析所有影響它的風險要素，并判斷風險要素是否可評估，若不可評估則細化分析該風險要素與影響它的其它風險關系，構建風險關系鏈，直至得到的所有風險要素均可評估，通過該方法可以確保風險要素全面識別。

2）通過基于分類思想的風險分析方法保證風險各級管控有效

完成風險識別后，從航天器系統角度將識別的風險分為系統級風險、分系統級風險和配置項級風險，如軟件系統分析與設計階段總體未明確編譯器選擇范圍，導致研制單位采用未進行可靠性安全性驗證的編譯器風險為系統級風險，分系統軟件相關的安全關鍵系統工作模式分解不到位風險為分系統級風險；軟件需求階段軟件開發計劃中未給出階段評審和配置管理的計劃風險為配置項級風險。完成風險分級后，各級配合開展風險計劃、風險監控和風險應對3個步驟的風險控制工作，風險分類和管控具體過程如圖2所示。

圖1 基于目標導向的風險識別方法Eig.1 Risk identification method based on target-oriented

圖2 基于分類思想的軟件風險控制過程Eig.2 Risk control process based on classification

該方法在將風險劃分為系統級風險、分系統級風險和配置項級風險的同時，將軟件按照關鍵等級、繼承性、規模、客戶關系等進行排序，將其分為核心、重要和一般軟件，列為核心軟件的其對應的分系統和配置項級風險應在本級管控的基礎上提交上一級（配置項上一級為分系統、分系統上一級為系統）審查；列為重要軟件的其對應的分系統和配置項級風險應將本級審查結果報送上一級。

3）建立定期風險分析和持續改進機制

軟件風險控制是個逐步迭代的過程，在軟件研制的全生命周期內需要及時對風險進行總結，對識別的風險控制措施有效性進行總結；對識別的新的風險進行分級分類，執行相應的控制措施。通過定期風險分析和持續改進，保證軟件產品功能、性能符合任務需求，安全、可靠地完成飛行任務。

5 某航天器風險管理實踐

執行交會對接任務的某航天器技術難度大、質量要求高、任務周期短，為了確保飛行軟件可靠運行，該航天器運用了集成風險管理方法，實現了風險管理與軟件工程化工作的系統融合，有效規避或降低了軟件研制過程中的技術、質量和進度風險，保證軟件產品質量滿足要求。本節以該航天器軟件需求分析階段的軟件風險管理為例，給出了實踐結果。

1）軟件風險要素識別

航天器軟件需求分析階段系統目標是確保航天器總體對軟件系統需求分解到位，落實到分系統間接口協議等文件中；分系統工作目標是將系統級和分系統級軟件需求細化分解到位，落實在軟件研制任務文檔中；配置項工作目標是將軟件需求分配，落實在軟件需求分析文檔中。系統、分系統和配置項依據基于目標導向的風險識別方法協同工作，通過目標—可度量目標—基于可度量目標的風險—可評估風險4個步驟，識別出了24項可評估風險，具體見表1。

表1 軟件需求分析階段風險列表Table 1 Risk factors table in software requirments analysis phase

2）軟件風險分類管控

識別的24項風險中包括系統級管控風險7項、分系統級管控風險6項和配置項級管控風險11項。其中核心軟件和重要軟件的配置項管控風險及相關的分系統管控風險還應提交上一級審查或報送審查結果。通過系統、分系統和配置項3個層次的風險管理體系的相互配合，對風險可能發生的時機進行分析、及時監控和應對，確保風險可控，軟件需求分析階段識別的風險分類、應對時機和應對對策具體見表2。

表2 風險應對時機和對策Table 2 Table of risk response opportunity and method

3）軟件風險定期分析和持續改進

將軟件需求風險控制分為航天器研制初樣初期、初樣轉正樣、正樣階段后期（出廠前）3個階段。初樣初期開展軟件需求風險管理策劃工作，識別風險要素并進行分類，系統、分系統和配置項各司其職共同完成風險管理工作；初樣轉階段暨正樣階段初期，對初樣階段識別的風險控制情況進行總結，結合正樣系統和分系統詳細設計報告等各方面信息，識別薄弱環節，完成需求風險的再識別；正樣階段后期對識別的需求風險要素控制情況進行總結，結合軟件產品驗收和總結、第三方評測總結、系統綜合測試與例行試驗階段小結等各方面信息，完成需求風險要素的再識別和分析工作。

4）實踐效果

該航天器系統、分系統和配置項通過集成風險管理方法在出廠前發現需求遺漏、接口欠細化問題達23項，對發現的需求風險均開展了更改影響域分析，最終落實到軟件需求規格說明等文檔和程序中，確保了交會對接飛行任務的成功。

6 結束語

通過某航天器軟件風險管理的實踐經驗，要將軟件風險管理落到實處，應采用集成風險管理方法，通過全面地分析風險，及時識別出軟件全生命周期的風險點，提出切合實際和有效的控制措施與方法，切實提升各環節的工作效果，具體到軟件全生命周期應注意以下幾點：

（1）加強系統策劃。在項目啟動初期應開展風險管理策劃，明確風險管理實施的目標、策略、方法和機制，要將風險策劃的內容充分融入整個航天器研制和管理過程，保證各階段技術、質量和進度目標實現與系統工作要求的一致性。

（2）注重分類協同。要精細化軟件風險管理方法，關鍵是要體現分類思想，涵蓋全面，突出重點，做到各司其職，共同負責，對于識別出來的風險突出問題，充分設置產品保證或質量控制關鍵節點，明確審查確認要求。

（3）持續改進。要定期進行風險要素的再識別和再分析，不斷總結工程實踐中的經驗，不斷實用新技術來降低風險，如建設并推廣使用可支持單機級、分系統級乃至系統功能級方案比較的仿真環境等。

（

）

［1］薛四新，賈郭軍.軟件項目管理［M］.北京：機械工業出版社，2004 Xue Sixin，Jia Guojun.Software project management［M］.Beijing：China Machine Press，2004（in Chinese）

［2］馮楠.軟件項目管理理論與模型研究［D］.天津：天津大學，2007 Eeng Nan.Research on theory and model of software project management［D］.Tianjin：Tianjin University，2007（in Chinese）

［3］田杰，呂建新，徐峰.軟件工程化管理中的風險管理［J］.微計算機信息，2007，23（24）：13-15 Tian Jie，Liu Jianxin，Xu Eeng.Risk management of software engineering management［J］.Micro Computer Information，2007，23（24）：13-15（in Chinese）

［4］簡林安.風險型決策在軟件風險研究中的應用［J］.微計算機信息，2008，24（24）：220-222 Jian Lin'an.The application of risky division on the research of software risk［J］.Micro Computer Information，2008，24（24）：220-222（in Chinese）

［5］張云峰.軟件開發項目風險模型分析［J］.電腦知識與技術，2009，5（22）：6238-6239 Zhang Yunfeng.Software development project risk analysis［J］.Computer Knowledge and Technology，2009，5（22）：6238-6239（in Chinese）

［6］劉明友，帥建鋒.基于CMMI的軟件項目風險管理研究［J］.電腦知識與技術，2013，9（1）：63-66 Liu Mingyou，Shuai Jianfeng.Study on software risk management based on CMMI［J］.Computer Knowledge and Technology，2013，9（1）：63-66（in Chinese）

［7］沈桂蘭，李玉霞.基于風險矩陣的軟件項目的風險評估［J］.信陽師范學院學報：自然科學版，2012，25（3）：407-441 Shen Guilan，Li Yuxia.Risk assessment for software project using by risk matrix［J］.Journal of Xinyang Normal University Natural Science Edition，2012，25（3）：407-441（in Chinese）

［8］劉艷秋，周馳.評估項目風險中協調偏好的DEA方法［J］.控制工程，2012，19（4）：676-680 Liu Yanqiu，Zhou Chi.A coordinate preference dea method of project risk assessment［J］.Control Engineering of China，2012，19（4）：676-680（in Chinese）

［9］Boehm B W.Software risk management［M］.Washington D.C.：IEEE Computer Society Press，1989

［10］張帆.軟件項目風險管理和控制研究［D］.大連：大連海事大學，2010 Zhang Ean.Research on software risk management［D］.Dalian：Dalian Maritime University，2010（in Chinese）

［11］梁濤.風險關系研究的軟件項目風險管理［D］.西安：西北工業大學，2006 Liang Tao.Software risk management based the goalrisk［D］.Xi'an：Northwestern Polytechnical University，2006（in Chinese）

（編輯：李多）

Integration Management Method of Spacecraft Software Risk

CHEN Chengxin LIANG Ke WANG Jinghua GUO Juan
（Institute of Manned Space System Engineering，China Academy of Space Technology，Beijing 100094，China）

To ensure that spacecraft software product meets the mission requirements，and the mission can be saftly and reliably accomplished，risk management is required.The paper describes the research status of software risk management theory，and by considering the spacecraft software's strong real-time，high reliability，high security，difficult maintenance and other characteristics，proposes a set of risk control method based on system integration.The application of the set of method is introduced to a spacecraft.The paper provides a reference for identifying spacecraft software risk and improving software product quality.

spacecraft；software risk；risk identification，analysis and control

V57

A DOI：10.3969/j.issn.1673-8748.2015.03.018

2015-03-09；

2015-04-15

陳乘新，男，碩士，工程師，從事航天器軟件工程化管理工作。Email：lisi-0528@163.com。