NASA的风险管理简介及其实例分析

◎中国航天系统科学与工程研究 张莉敏 张贤明

航天项目作为大型高科技项目，技术难度大、过程复杂、参与人员众多，项目实施过程中面临一系列未知和挑战，因而风险成为航天项目的固有属性，风险管理也就成为航天项目管理的重要内容之一。NASA在多年的航天项目管理实践中形成了一套行之有效的风险管理机制，使风险管理成为其系统工程和项目管理的有机组成部分。

一、发展历程

NASA的风险管理实践活动始于阿波罗计划，当时采用失效模式及影响分析和关键项目列表等定性分析方法对“阿波罗”飞船进行风险管理，取得了巨大成功。此后在相当长一段时期内，NASA都采用这种定性方法对航天项目的风险进行分析。

1986年“挑战者号”航天飞机失事后，NASA重新重视用定量分析方法对风险进行分析，引入了在核工业界广泛应用的概率风险评估（PRA）方法。之后PRA逐步在NASA的各大项目中得到成功运用，使NASA对航天项目的风险管理更加科学、有效。与此同时，NASA开始对航天项目制定完整的风险管理计划，20世纪90年代，NASA喷气推进实验室分别对“火星全球勘测者”探测器和“卡西尼”土星探测器项目制定了风险管理计划，极大地推动了航天项目风险管理的发展。在此基础上，NASA开始对风险管理理论进行探索，引入了卡内基·梅隆大学提出的持续风险管理理论，要求各大航天项目按照持续风险管理的流程进行风险管理。

进入21世纪后，NASA航天项目的风险管理体系日趋完善，方法日趋成熟。主要表现在：

◆发布了一系列有关风险管理的标准和文件，详细地阐明风险管理的基本过程以及风险管理计划制定和实施的基本要求；

◆在大量实践基础上，不断对风险评估方法进行改进，注重对风险实施一体化、动态持续管理；

◆随着计算机技术的高速发展，计算机仿真技术已广泛地应用于风险管理，一系列成熟的风险管理软件，如QRAS、SHAPIRE、RISKMAN，在风险管理方面发挥了重要的作用。

二、管理体系

NASA将风险管理工作归为安全与任务保证活动之一。NASA总部设有安全与任务保证办公室（OSMA），航天项目风险管理是OSMA的重要职责之一。OSMA下设安全与保证要求部（SARD）负责风险管理，其职责是制定NASA的风险管理政策，执行独立的项目风险评价，检查并监督各项目总承包商的风险管理计划和项目各阶段的风险评价报告，完成NASA各项任务中与风险有关的技术和管理工作。SARD有专人负责风险决策、研究如何将概率风险评估技术融合到系统安全性分析、研究任务风险评估以及风险管理等，还有专人负责概率风险评估，PRA方法、工具和能力开发，PRA技术咨询，故障树分析和可靠性分析。

NASA的各任务部和十大航天中心均设有负责安全与任务保证的专职人员从事本部门包括风险管理在内的安全与任务保证活动，直接向部门主任和OSMA主任汇报工作。各大航天项目也都设有专职的负责风险管理的经理。NASA的某个项目启动后，由相关机构负责人委任项目经理；安全和任务保证机构负责组建该项目的安全和任务保证工作组，并挑选一位项目风险经理。项目经理和风险经理在安全和任务保证机构的指导下，依照NASA的有关标准、政策和具体项目的技术要求开展具体的风险管理工作。

NASA制定了一系列法规文件（见表1），要求航天项目执行部门和分包商对项目研制和生产的各阶段进行风险管理，并对航天项目如何开展风险管理进行了详细说明。这些法规文件是NASA开展风险管理的有力保障。在NASA发布的涉及风险管理的文件中，既有更高层的项目管理文件，如NPG 7120.5《NASA工程和项目管理过程和要求》，又有以风险管理为主题的文件，如NRP 8000.4《风险管理程序要求》，还有对风险管理的具体操作流程和方法进行详细说明的手册、指南文件，如《风险管理手册》、《NASA项目经理概率风险评估指南》等。可以说，NASA建立了多层次的风险管理文件系统，而且许多文件每5年左右更新一次，及时反映NASA风险管理理论研究的最新成果，指导不断发展的风险管理实践。

表1 NASA以风险管理为主题的法规文件

三、主要内容

NASA认为，风险是由3个要素共同构成的组合：

（1）事件链：导致一个或更多工作指标** 测量某个系统、程序或各项活动是否满足其既定目标的衡量标准，即性能量化指标性能下降的各个事件（包括导致受伤、死亡、关键资产损毁的事件；导致超过质量限制的事件；导致费用超标的事件；导致进度延期的事件）。

（2）可能性：上述各项事件发生的可能性（定性或定量）。

（3）后果：如果各项事件发生将会引起的后果（性能下降的严重程度）。

风险管理则由基于风险信息的决策和持续风险管理两部分构成。风险管理的目的是为了鼓励进行主动的风险管理，通过利用风险信息更好地支持决策，然后通过持续风险管理有效管理项目实施过程中的风险。其中，基于风险信息决策的目的是在充分了解风险信息的前提下，对各个备选的决策方案进行选择；持续风险管理则致力于执行基于风险信息决策的程序挑选出来的决策方案，即针对源自基于风险信息决策的基准性能要求进行风险管理。这两方面工作有效结合，就能保证NASA风险管理得到完整实施。

1.基于风险信息的决策

NASA认为，在需要作出重大决策时需要启动基于风险信息的决策，其程序包括3个部分和六大步骤，如图1所示。

图1 基于风险信息决策的程序步骤

基于风险信息决策的第一部分是对备选方案进行识别，工作内容包括对任务目标进行分解并形成工作指标，以此为基础对可行性方案进行编辑整理；第二部分是对备选方案进行风险分析，主要工作内容是设置风险分析的基本框架，选择分析方法，进行风险分析并记录分析结果；第三部分是在风险分析的基础上，对基于风险信息的备选方案进行挑选，在生成正式的绩效承诺的基础上进行集体审议，挑选出最终方案并记录决策原因。基于风险信息决策程序的最终结果是挑选出一个决策方案，并根据该方案生成基准性能要求，然后由持续风险管理程序对实施这些性能要求的过程进行风险管理。

2.持续风险管理

通过基于风险信息决策程序选择的决策方案生成了一套能确保完成项目目标的性能要求，持续风险管理就对这些性能要求进行风险管理。其程序包括风险识别、风险分析、风险计划、风险跟踪和风险控制五大模块。它们首尾相连，沟通与记录过程贯穿其中。持续风险管理过程如图2所示。风险识别：在潜在风险转变成现实问题之前识别风险因素，包括风险的特征、类别等。

图2 持续风险管理程序

风险分析：分析、评估已识别出的风险发生的概率、后果与影响，包括概率与后果中的不确定性，并适当评估总风险。按照风险的重要度对风险进行排序。

风险计划：针对风险分析的结果，对如何处置风险进行决策，制定并执行降低单个风险或某一组风险的方案，确定跟踪目标。风险处置措施包括接受、降低、关闭、观察、研究和上报，并且每一项风险只能有一种处置措施。

风险跟踪：对与工作指标有关的数据（如技术性能数据、进度变化等）和风险降低计划进行跟踪，识别新出现的风险、采集风险管理的最新状态数据并进行编辑、整理，形成新的风险降低计划。

风险控制：通过对跟踪数据进行评估来控制风险，以验证风险降低计划的有效性，必要时修正风险降低计划中的偏差，对计划进行调整，并采取控制措施。

沟通与记录：沟通并记录上述活动的整个过程，即记录、整理风险管理活动中的信息（尤其是出现的新情况、产生的新风险），将这些新的项目信息和新的风险通过正式的风险记录报告或非正式的信息传递方式告知持续风险管理的其它五大模块。

需要指出的是，持续风险管理是一个系统的迭代过程，一旦在风险管理的过程中有新的风险出现，就要重新对该风险进行分析、计划、跟踪和控制。

3.两者的相互协调

基于风险信息的决策和持续风险管理是一个相互补充的过程，前者的程序所确定的决策方案用于解决满足项目目标问题，后者的程序则用来管理与前者所确定的决策方案有关的风险。前者程序的输出是后者程序的输入，即根据前者所挑选的决策方案得出的基准性能要求是后者进行风险识别工作的起点；如果在执行后者程序的过程中出现新情况，需要重新确定性能要求时，就要再次启动前者的程序，对原有的决策方案进行修订。

四、“猎户座”飞船的综合风险管理分析

“猎户座”飞船项目的组织结构分为四级：第一级是探索系统任务部；第二级是星座系统计划办公室；第三级是猎户座项目/计划办公室；第四级是猎户座飞船的各主要组成部分。

1.项目风险管理的总体要求

按照NASA的要求，“猎户座”飞船项目的管理者必须将风险管理融入日常管理中，以确保风险评估和减轻风险的策略具有持续性，并能根据风险优先分配资源。管理人员要在项目管理中预计到威胁项目任务目标、预算和进度的不确定性问题并加以解决。该项目要按照持续风险管理过程要求实施风险管理，在这一过程中要注重风险信息的沟通交流，并采用简单而有效的处理程序和符合要求的风险管理工具。

2.风险管理流程

“猎户座”飞船的风险管理流程如图3所示。

图3 “猎户座”飞船的风险管理流程简图

风险分析。“猎户座”飞船项目使用5×5矩阵图来显示风险（见图4），并对风险进行打分，在此基础上对风险进行优先级排序，判断哪些是最重要的风险，并将资源优先分配给要最先处理的、最重要的风险。每级管理机构都要制定一份该级机构的顶层风险清单。

图5 “猎户座”飞船项目风险上报流程图

风险计划。对如何处理风险作出决策，包括对风险进行进一步研究、接受风险并记录接受的理由、对风险进行跟踪观察以及提出减轻风险的方案。

风险控制。对风险处理过程进行控制，根据风险处理的实时情况作出按原计划处理或重新制定计划的决策，以及根据风险处理结果作出接受风险或结束风险处理的决策。

风险上报（见图5）。如果某一级机构不能处理本级内的风险，就要将风险提交给更高一级的组织或交由相关机构讨论。风险上报的原因主要有：该风险对整个计划/项目有重大影响，而本级机构难以处理；风险减轻过程需要各级机构的协调；处置该风险需要新的资源；对于风险降低方案难以取得一致意见。如果某项风险被认为更适合在下级机构进行处理，也可以从上级机构转到下级机构。

综上所述，NASA逐步形成了一套比较完善的航天项目风险管理体系，各级项目经理和风险管理人员依据文件所规定的要求和流程、依托各类工具对航天项目进行风险管理。NASA尤其重视风险管理活动中的信息沟通，每项风险管理活动都有准确的记录并进入相应的数据库，便于复查和后续项目的经验共享，避免重蹈覆辙。经过多年的实践和探索，NASA的风险管理体系庞大且流程清晰、可操作性强，为NASA各项任务的顺利实施提供了有力的保障。