航天工程風(fēng)險(xiǎn)分析方法綜述

劉 曉 麥 強(qiáng) 金光遠(yuǎn) 于國娟

航天工程技術(shù)創(chuàng)新高，模塊眾多，關(guān)聯(lián)性強(qiáng)，工程失敗的社會(huì)經(jīng)濟(jì)損失巨大，風(fēng)險(xiǎn)特性突出，需要科學(xué)方法支持航天工程的技術(shù)和管理決策。風(fēng)險(xiǎn)分析方法能夠識(shí)別工程的各種潛藏風(fēng)險(xiǎn)并對(duì)風(fēng)險(xiǎn)大小及損失進(jìn)行定量化的度量和分析，據(jù)此提出減少風(fēng)險(xiǎn)的各種方案，已經(jīng)成為世界各國航天部門通常采用的一種科學(xué)方法。風(fēng)險(xiǎn)分析方法眾多，既有定量方法也有定性方法，其中基于數(shù)據(jù)的定量化分析方法的側(cè)重點(diǎn)也有所不同。這里力圖梳理航天工程中經(jīng)常使用的幾種風(fēng)險(xiǎn)分析方法，并提出未來風(fēng)險(xiǎn)分析方法的發(fā)展方向。

基本風(fēng)險(xiǎn)分析方法

風(fēng)險(xiǎn)分析的主要內(nèi)容包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)估計(jì)及風(fēng)險(xiǎn)評(píng)價(jià)，即存在的風(fēng)險(xiǎn)因素是什么，發(fā)生的可能性有多大，造成的損失有多少。基本航天工程風(fēng)險(xiǎn)分析方法有幾種類型：

失效模式效果分析。當(dāng)決策時(shí)間很短并且數(shù)據(jù)量較大時(shí)，失效模式效果分析通過定性或順序數(shù)據(jù)幫助決策者對(duì)不同重要性的風(fēng)險(xiǎn)進(jìn)行排序，對(duì)不同風(fēng)險(xiǎn)源的發(fā)生概率及其后果進(jìn)行描述。基于一個(gè)數(shù)據(jù)表格，項(xiàng)目決策者集中于高概率及后果嚴(yán)重的風(fēng)險(xiǎn)。

影響圖表。影響圖表可以從工程的復(fù)雜過程中提煉和分解出顯著的不確定因素，并應(yīng)用專家評(píng)價(jià)、統(tǒng)計(jì)或數(shù)學(xué)模型對(duì)這些不確定因素進(jìn)行分析。該方法應(yīng)用節(jié)點(diǎn)代表不確定性，應(yīng)用弧代表?xiàng)l件概率相關(guān)度，從而構(gòu)建出一個(gè)不確定性的影響關(guān)系網(wǎng)絡(luò)，對(duì)工程事故、研發(fā)和實(shí)施等工程過程中的風(fēng)險(xiǎn)開展分析。

概率風(fēng)險(xiǎn)測度（PRA）。這一方法最初應(yīng)用于核電站的風(fēng)險(xiǎn)分析，由于其完全定量化的特點(diǎn)，NASA在航天飛機(jī)、國際空間站等復(fù)雜系統(tǒng)工程項(xiàng)目上都應(yīng)用了這一方法來定量化地評(píng)估失效概率。這些系統(tǒng)的特點(diǎn)是組成要素及關(guān)聯(lián)非常復(fù)雜，并且總體可靠性的要求很高，也非常難以評(píng)價(jià)。

這一方法評(píng)估失效概率的過程是：首先將產(chǎn)品從概念上分解為功能模塊，接著評(píng)價(jià)在不確定外部事件條件下組件和子系統(tǒng)的失效率，最后將其組合成一個(gè)整體的失效概率。為了確定基本組件的可靠性，這一方法采用了包括專家評(píng)價(jià)、統(tǒng)計(jì)方法和數(shù)學(xué)模型等方式。由于該方法的定量化特點(diǎn)，NASA花費(fèi)了大量的資源用于風(fēng)險(xiǎn)管理和事故調(diào)查，收集了大量風(fēng)險(xiǎn)數(shù)據(jù)，為這一方法的精細(xì)化和大面積推廣奠定了很好的基礎(chǔ)。

風(fēng)險(xiǎn)分析方法的進(jìn)展

隨著航天工程越來越龐大，其組織管理也越來越復(fù)雜，風(fēng)險(xiǎn)分析方法也在不斷發(fā)展。特別是在進(jìn)一步關(guān)注技術(shù)、產(chǎn)品等傳統(tǒng)風(fēng)險(xiǎn)的基礎(chǔ)上，風(fēng)險(xiǎn)分析方法也越來越關(guān)注于人及組織因素所產(chǎn)生的風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)分析方法主要有幾種類型：

工作過程分析模型。工作過程分析模型將組織因素考慮到工程的安全評(píng)價(jià)中，能夠?qū)M織結(jié)構(gòu)及組織之間的相互關(guān)系對(duì)工程風(fēng)險(xiǎn)的影響進(jìn)行分析。該方法的基礎(chǔ)仍然是PRA方法，其中通過對(duì)失效概率公式的調(diào)整來描述由于組織及程序因素造成的元器件失效。首先會(huì)識(shí)別有關(guān)組織、過程、缺陷類型及運(yùn)行產(chǎn)品的詳細(xì)知識(shí)；其次評(píng)價(jià)這些因素間相互作用強(qiáng)度的重要性；最后對(duì)于重要的相互作用，通過定量化的模型計(jì)算其調(diào)整失效概率。

安全文化。安全文化認(rèn)為一些工程風(fēng)險(xiǎn)產(chǎn)生于組織中共同的組織行為，并且已經(jīng)發(fā)現(xiàn)了一些協(xié)作行為理論，還識(shí)別出了大量的與風(fēng)險(xiǎn)相關(guān)的人及組織因素。與安全文化相關(guān)的重要理論包括：從眾理論，認(rèn)為在沒有顯著意見的情況下，個(gè)體更容易遵從組織的公開聲明從而忽視潛在的風(fēng)險(xiǎn)；順從理論，認(rèn)為大部分的一般工作人員會(huì)屈服于權(quán)威的要求；集體考慮理論，認(rèn)為集體決策降低了對(duì)可選方案進(jìn)行嚴(yán)格評(píng)價(jià)的可能性，更容易選擇風(fēng)險(xiǎn)性更高的方案。個(gè)體的行為受到組織行為形成的安全文化影響，產(chǎn)生工程風(fēng)險(xiǎn)。

正常事故理論。正常事故理論（Normal Accident Theory）認(rèn)為，盡管有些事件看似并無風(fēng)險(xiǎn)，但當(dāng)不可預(yù)見或當(dāng)初認(rèn)為不太可能的外部環(huán)境發(fā)生改變時(shí)，這些事件會(huì)產(chǎn)生災(zāi)難性的后果。這種風(fēng)險(xiǎn)在復(fù)雜系統(tǒng)中會(huì)頻繁發(fā)生，因?yàn)檫@類系統(tǒng)中的組成要素往往存在非線性關(guān)系，同時(shí)存在大量潛在的無法識(shí)別的失效模式。該理論還認(rèn)為，對(duì)于復(fù)雜系統(tǒng)，通常的風(fēng)險(xiǎn)分析方法可能會(huì)因?yàn)槭Ф鵁o法完成，因此應(yīng)用簡單技術(shù)替換復(fù)雜技術(shù)。

高可靠性組織理論。高可靠性組織理論認(rèn)為，在真實(shí)的實(shí)踐中，一個(gè)組織經(jīng)歷的事故量要遠(yuǎn)低于風(fēng)險(xiǎn)管理理論提出的風(fēng)險(xiǎn)事件，該現(xiàn)象在航天飛機(jī)等航天工程中也得到了驗(yàn)證。因此，在使用一定資源用于風(fēng)險(xiǎn)分析的同時(shí)，更應(yīng)當(dāng)加大過程審查、獎(jiǎng)勵(lì)激勵(lì)、風(fēng)險(xiǎn)感知及控制力度，以減少風(fēng)險(xiǎn)事件的發(fā)生。

信息處理理論。信息處理理論認(rèn)為風(fēng)險(xiǎn)事件的形成與組織中的信息及信息處理有關(guān)，例如隱蔽性工作和異常事件處理的間隔期。其中，隱蔽性工作是一種信息不對(duì)稱性現(xiàn)象，通常發(fā)生在復(fù)雜性較強(qiáng)的重大工程中，其引起的“搭便車”及“走捷徑”行為等均會(huì)引發(fā)工程風(fēng)險(xiǎn)。而異常事件處理的間隔期是異常事件處理行動(dòng)與獲得信息之間的時(shí)間間隔，這種反應(yīng)潛伏期是許多風(fēng)險(xiǎn)事件產(chǎn)生的原因。一旦由于管理或技術(shù)瓶頸造成項(xiàng)目落后于進(jìn)度安排，潛伏期便會(huì)影響返工，從而造成過程質(zhì)量的快速下降。

綜合性的風(fēng)險(xiǎn)分析方法

風(fēng)險(xiǎn)分析方法除了用于識(shí)別和度量風(fēng)險(xiǎn)之外，還可以與其他方法相結(jié)合應(yīng)用于工程方案的優(yōu)化和決策，或者進(jìn)行更為全面的風(fēng)險(xiǎn)分析。這類方法主要有：

先進(jìn)計(jì)劃風(fēng)險(xiǎn)分析和管理模型。先進(jìn)計(jì)劃風(fēng)險(xiǎn)分析和管理模型基于工程風(fēng)險(xiǎn)分析，結(jié)合優(yōu)化方法，確定分配給工程系統(tǒng)結(jié)構(gòu)設(shè)計(jì)和強(qiáng)化過程（避免項(xiàng)目失效風(fēng)險(xiǎn)）的經(jīng)費(fèi)預(yù)算。對(duì)于不同的工程項(xiàng)目方案（由不同的組件組成），該模型還可以計(jì)算得出理想的、連續(xù)價(jià)值的預(yù)算來強(qiáng)化這種元器件。

異常檢測模型。異常檢測模型應(yīng)是用PRA的一種組織仿真方法——可視化設(shè)計(jì)組——同時(shí)估計(jì)計(jì)劃和項(xiàng)目的失效風(fēng)險(xiǎn)。該方法應(yīng)用開發(fā)過程離散時(shí)間排隊(duì)模型估計(jì)功能在運(yùn)行中的失效概率。該模型假設(shè)未識(shí)別的工程誤差是運(yùn)行風(fēng)險(xiǎn)的主要原因，并應(yīng)用“未識(shí)別的異常”來測度工程項(xiàng)目的風(fēng)險(xiǎn)。當(dāng)情況變得糟糕時(shí)，異常檢測模型認(rèn)為可能產(chǎn)生更多的例外事件。通過提供模型收斂標(biāo)準(zhǔn)，異常檢測模型能夠?qū)χ匾摹皵_動(dòng)”問題進(jìn)行研究和分析。

風(fēng)險(xiǎn)分析方法的未來發(fā)展

隨著管理理論的深入及科學(xué)技術(shù)的進(jìn)步，航天工程的風(fēng)險(xiǎn)分析方法也在不斷發(fā)展。未來航天工程風(fēng)險(xiǎn)分析方法會(huì)以PRA方法為核心，在廣度和深度上進(jìn)一步發(fā)展。

考慮分散的組織因素。世界航天工業(yè)的組織非常復(fù)雜，一個(gè)工程由完全不同的組織共同完成。這些組織不僅處于不同的地理位置，并且組織文化、規(guī)章制度等也完全不同。這對(duì)PRA實(shí)施過程中的合作和交流帶來了極大的困難，需要一個(gè)綜合性的PRA模型保證建模過程的完整性和一致性，特別是能夠處理子系統(tǒng)之間的相關(guān)性及接口之間的失效因素，并且可以正確處理影響子系統(tǒng)的外部事件。

微觀層次的失效邏輯模型。PRA方法的基礎(chǔ)是對(duì)失效情景的識(shí)別，但是在PRA的實(shí)踐中，通常會(huì)忽略一些風(fēng)險(xiǎn)因素。這是因?yàn)镻RA模型對(duì)航天項(xiàng)目的分析是自下而上的。通常在分析之前，系統(tǒng)被分為多個(gè)模塊以便于分析。從風(fēng)險(xiǎn)分析角度來說，這種做法可以識(shí)別一些事故的結(jié)果，但是在分析時(shí)就將系統(tǒng)定義為一些模塊會(huì)忽略失效事件之間的依賴性和共性，從而將影響模塊的真正風(fēng)險(xiǎn)隱藏起來。這就需要一種微觀的方法評(píng)估系統(tǒng)中某種元器件在整個(gè)系統(tǒng)中的作用，以便全面地識(shí)別失效的初始事件。

具有一定彈性的PRA方法。航天工程中的風(fēng)險(xiǎn)因素較多，出于經(jīng)濟(jì)上的考慮，不可能對(duì)所有的風(fēng)險(xiǎn)事件都進(jìn)行詳細(xì)的分析。PRA方法的篩選機(jī)制是采用情景分析的方法，對(duì)損失程度最大的風(fēng)險(xiǎn)事件進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析。但這種硬性規(guī)定具體風(fēng)險(xiǎn)事件的方法可能會(huì)忽略一些原本不太重要，但情景的非線性變化卻會(huì)引起巨大損失的風(fēng)險(xiǎn)事件。因此，需要進(jìn)一步在強(qiáng)化分析深度的基礎(chǔ)上擴(kuò)展分析的廣度，建立一個(gè)能夠隨情景變化的、富有彈性的PRA方法。該方法首先必須能夠利用好分析的資源，其次能夠根據(jù)信息收集情況選擇分析的深度，并且能夠識(shí)別引起風(fēng)險(xiǎn)的主要情景。

考慮人的行為及決策偏好。航天工程是分段實(shí)施的，任一階段人的行為均可能引起部件失效等風(fēng)險(xiǎn)。同時(shí)，風(fēng)險(xiǎn)分析對(duì)決策的支持較為簡單，僅僅是通過風(fēng)險(xiǎn)評(píng)價(jià)后的排序確定決策方案，沒有考慮決策者可能的風(fēng)險(xiǎn)偏好等重要因素。因此，PRA的發(fā)展還需要考慮人的行為及決策偏好，根據(jù)組織行為的研究成果，結(jié)合PRA方法評(píng)估不同階段人的行為可能帶來的風(fēng)險(xiǎn)。同時(shí)，還應(yīng)進(jìn)一步考慮決策者的風(fēng)險(xiǎn)偏好，綜合PRA和優(yōu)化模型方法為相關(guān)決策提供支持。

結(jié)合大數(shù)據(jù)及人工智能。PRA方法的一大優(yōu)點(diǎn)是能夠應(yīng)用貝葉斯概率方法通過較少的數(shù)據(jù)得出結(jié)論，但是現(xiàn)在的PRA未能充分應(yīng)用所有能夠得到的數(shù)據(jù)。在航天工程項(xiàng)目中，數(shù)據(jù)來源多樣，有實(shí)驗(yàn)數(shù)據(jù)、飛行數(shù)據(jù)、專家觀點(diǎn)等。因此，基于傳統(tǒng)的貝葉斯概率方法，綜合采用其他數(shù)據(jù)處理方法，如大數(shù)據(jù)及人工智能方法等，能夠更好地評(píng)價(jià)失效概率。

航天工程的風(fēng)險(xiǎn)分析方法眾多，其中PRA方法能夠基于較少的數(shù)據(jù)對(duì)風(fēng)險(xiǎn)進(jìn)行定量化的計(jì)算，在航天工程項(xiàng)目中得到了廣泛的應(yīng)用。同時(shí)，PRA方法也需要通過不斷的改進(jìn)完善以適應(yīng)航天工業(yè)的新發(fā)展。