美国军方航天系统采办中的任务保证

朱明新

（航天标准化与产品保证研究院，北京，100071）

美国军方航天系统采办中的任务保证

朱明新

（航天标准化与产品保证研究院，北京，100071）

文摘：概述美国军方航天系统采办中任务保证的来源，介绍其任务保证的阶段与任务以及任务保证的过程，分析美军任务保证的特点及与产品保证的关系。

航天系统采办；任务保证；产品保证；系统工程；质量保证。

1 任务保证的概念

任务保证的概念来源于美国军方航天系统的采办。为降低美国国家航天系统采办成本，美国军方在上世纪90年代对国家航天系统采办进行了改革，提出“更快、更好、更便宜”的采办策略。但在实施此策略之后的近十年里，航天器在轨出现异常有不可接受的增加，这引起美国国家安全航天采办团体的重视，成为这些团体当时需要解决的最高优先级课题。

美国国家安全航天采办团体通过对这些异常的调查和详细分析，得到这样一个结论：即这些异常是完全可预防的，这些异常没有由单一技术原因或现象所主导引起，相反，这些异常似乎归因于系统工程过程和任务保证实践的弱化。为扭转这一局势，必须在国家安全航天项目的所有阶段毫不含糊地使用更加严厉和专业化的原则、方法和实践，以确保任务成功，由此正式推出任务保证的概念及相应的保证模式。

美国航空航天公司发布的任务保证框架文件以及任务保证指南文件中任务保证的定义原文如下，该定义阐述了开展任务保证的基本原理和方法。

Missionassurance（MA）isdefinedasthe disciplinedapplicationofgeneralsystemsengineering，quality，and management principles towardsthegoalofachievingmissionsuccess，and，toward this goal，provides confidence in its achievement.MAfocusesonthedetailedengineering of the acquired system and，toward this objective，uses independent technical assessments asacornerstonethroughouttheentireconcept and requirements definition，design，development，production，test，deployment，andoperations phases.

中文译文：为实现任务成功这个目标，对通用系统工程、质量和管理原理的一个专业化应用，以及为实现该目标，提供实现的信心。任务保证专注于采办系统的工程细节。为此，在方案和要求定义、设计、开发、生产、试验、部署、使用等阶段，使用独立的技术评估作为基石。

2 任务保证的阶段与任务

2.1 航天系统采办与任务保证的阶段

根据美国国防部采办政策文件，美国国家安全航天系统采办划分为5个阶段，在美国航空航天公司发布的任务保证指南文件中将任务保证也划分为5个阶段，见表1。

从表1可以看出，任务保证阶段依据国家安全航天采办阶段而划分，任务保证的D阶段细分为3个子阶段（D1～D3）。

表1 美国国家安全航天系统采办的阶段划分与任务保证阶段

2.2 任务保证各阶段的任务

2.2.1 概念研究和方案早期开发阶段（任务保证指南的0、A阶段）

该阶段任务保证的主要目标是：保证系统体系结构和系统要求能达到用户、使用者、其它利益相关方的需求和期望。另一个并行和同等重要的目标是：为参谋部门奠定合同根基，产生设计相关数据，为使任务保证计划能够成功实施提供必要的访问和开放的通信。

具体来说，在0阶段和A阶段早期，任务保证要为任务和系统性能目标、要求、规范得以合理（符合现实）提出以及在给定合适的技术、成本、进度约束下能得到合理的执行和验证等提供保证。具体工作包括：对要求向下流动过程以及规范等进行确认和验证，尤其应特别重视任务分析、系统体系架构、要求、规范和已建立的接口。任务保证也要为政府项目办公室建立政策和程序，确定在工作陈述中用到的合同语言或目标、合同中数据要求清单（CDRLs，Contract Data Requirements List）和数据项描述（DIDs，Data Item Description）等提供保证，以便承包商能为任务保证的评估提供相关数据。

2.2.2 方案开发、初步设计和全面设计阶段（任务保证指南的A、B、C阶段）

该阶段任务保证的主要目标是保证系统设计和工程的完整性。

具体来说，任务保证要对已开发的设计解决方案是否满足要求及规范等进行验证和确认。具体工作包括：从满足功能、性能要求、接口的角度对设计进行验证，对满足可靠性、可用性、维修性、安全性等方面的要求及规范进行验证；对设计与建造、零部件、材料和制造工艺、质量、技术状态管理、可制造性、可进行试验考核以及设计的任何其它方面（它可以影响项目或系统任务的可靠执行）提出需要考虑的事项；对由外部组织或较低层承包商所提供的元素设计特性进行评审。

2.2.3 制造与总装阶段（任务保证指南的D1阶段）

该阶段的主要目标是保证产品和系统的完整性。

具体来说，任务保证要验证系统部组件、元素的制造、编程（软件）、装配、集成和试验过程是否合规（与经过鉴定的过程相符），以及要证明已生产的产品具有必需的性能、可靠性、可操作性和适宜性。具体工作包括：对由承包商、子承包商和供方提供的制造过程、总装与试验程序、试验数据等进行确认和验证；对飞行/任务准备就绪情况进行验证与认证，以及对工作（运行）风险进行评估。

2.2.4 部署、检测、使用和处置阶段（任务保证指南的D2和D3阶段）

该阶段的主要目标是要保证验证系统级具有规定和必需的性能时，产品完整性得到了维护。具体包括以下内容。

a）在发射前的任务是执行已经过验证的过程，通过收集研制和试验数据，对国家安全航天系统以及地面系统运行准备就绪情况进行验证、评审和认证。

b）在部署后，要聚焦于系统数据的收集，以验证和确认系统的功能、性能满足系统要求和用户需求。

c）在运行使用阶段，要继续收集运行数据，以确认系统在使用条件下的性能、可靠性、可操作性、适宜性等要求得到满足。同时，识别任何必要的纠正措施，以保证系统在将来也能满足要求。对将来的任务和正在使用的地面系统的运行，收集经验教训数据也是任务保证在运行和维护阶段的一个重要目标，因为它可以支持将来系统的设计或支持进行潜在的运行更改。

3 任务保证的过程

任务保证是一个非常宽广的领域，美国航空航天公司经过广泛的调研，包括通过向航天质量改进理事会、航天供方理事会、航天与导弹系统中心（SMC）、导弹防务局（MDA）、国家航空航天局（NASA）、国家侦察办（NRO）等组织的调研，最终在其发布的使用技术报告中将任务保证归结为一组保证过程（即保证模式），共三类总计16个过程，见表2。

表2中，序号1～8是一组贯穿于项目实施的主流过程，序号9～13是一组要保证项目能成功实施的过程，序号14～16是一组属于知识共享和信息反馈的过程，目的是要提升组织吸取经验教训的能力。表2中的部分任务保证过程概述如下。

a）要求分析与确认过程：其目标是要基于任务分析，保证能建立起一组完整的和优化的要求。在要求、要求的源及导出的要求、要求的实施、要求的验证方法与验证结果之间存在1:1的对应关系。

要求分析与确认过程起始于项目周期的早期，并以迭代的方式贯穿于项目采购的各个阶段，它要通过建模、仿真、试验等手段完成对要求的初步确认，进而保证要求若能实现，就会产生一个满足用户期望和需求的系统。支持要求分析的保证活动主要有：对要求的可追溯性进行独立评估，对任务效能进行独立评估，对成本和进度元素进行评估，对任务分析进行确认，对要求分析所用模型与所做仿真进行评估。

表2 任务保证过程

b）设计保证过程：其目标是要保证方案设计、初步设计和全面设计的充分性（完整性、健壮性并维持有效），系统在所有工作条件下和整个设计寿命期内能执行预定的功能。

设计保证过程要通过实施一组活动，以提高（或改进）空间、发射和地面系统在所有工作条件下和设计寿命期内实现预定要求的概率。

首先，设计保证活动要重视来自设计工程方面对设计过程的独立评估。例如：权衡研究、建模、分析、设计失效模式与影响分析、更改控制等。

其次，设计保证活动要重视在产品鉴定、制造和试验的整个阶段对设计意图是否实现的评估。

第三，设计保证活动要重视失效和异常的调查，以便能获取经验教训，举一反三，将必须的改进融入到将来的航天项目中。

c）环境兼容性保证过程：其目标是要保证产品的设计能承受产品在工作期间所遭遇到的所有环境条件。保证的措施包括：确定环境要求，在系统设计和实施中考虑这些环境要求，支持环境试验和评估，支持发射后环境响应评估。

环境兼容性过程是系统工程、任务保证或专业设计工程的一个综合应用，它要保证所有的环境要求得到了规定并流向到了合适的层次，以及采用了合适的分析和试验方法来验证产品设计能经受工作中遭遇到的所有环境，并具有健壮的余量。环境兼容性过程起始于项目预研的可行性研究阶段（即0阶段），延续到发射阶段，有时也偶而会延续到任务阶段。保证的关键是要在项目开发阶段的早期提出设计和试验方面的建议及要求并予以实施，以确保能产生健壮的、成本效益型的硬件设计，以及产生的硬件设计能进行充分的环境试验，能及时交付。

适用的环境包括：污染、放气，EMI（电磁干扰）/EMC（电磁兼容）/磁，载荷和加速度，压力、真空和通风排气，辐射，冲击、振动和噪声，热，微流星和空间垃圾，其它自然环境如原子氧和极远紫外效应等。

d）集成、试验与评估过程：其目标是要保证每一层次的装配件的功能性能、设计、建造和接口要求能得到严格的实施。

集成、试验和评估是一个很宽广的过程，包括装配部件、组件、分系统和系统，验证硬件和软件是否达到项目要求，提供性能和整体合规性方面的文件。以系统或主管工程师的角度看，要重点关注组成元素在物理和功能特性方面的相互兼容性以及最终产品是否满足要求（如功能、性能、设计/建造、接口和环境）的验证；更进一步，要关注装配和试验过程是否符合标准，健壮的设计余量是否继续保持，结果是否形成合适的文件，技术状态控制是否得到维护。

另外，关注的相关方面还包括：地面机械和电气支持设备的开发；软件产品的集成（如果适用的话）；在制造每一个产品时，为确保要求和过程合规而对产品质量、功能和性能所进行的检测；在装配件的较高层次（分系统和系统），通过试验、演示与仿真，分析的合适组合所提供的可辨识的合规证据。其中一些关键的任务保证活动包括：

●对合同体制（机制）进行评估，确定范围和任务，以保证合同中包含了对总装和试验大纲（计划）进行规划、实施、评估时必须有（需要）的信息；

●对健壮的试验大纲（试验计划）是否分配了合适的资源进行独立评估，通过与以往试验大纲（试验计划）、成本和任务成功趋势的比较，对试验标准进行评估；

●对满足要求和规范基线的证据进行评估；

●对系统方案以及试验或仿真可能产生影响的新技术进行评估；

●根据建议的试验以及集成与验证的计划、程序，包括必要的地面支持设备、专用试验设备和特殊的接口要求等，对集成与试验的可行性进行识别；

●掌握预试验历程，以优化试验计划，避免因过/欠试验对飞行硬件产生潜在影响；

●通过其它任何非试验手段，对验证的合适性和风险进行评估；

●对因偏离总装与试验（如环境）标准和其它适用标准或最佳实践而产生的风险进行评估；

●按评估者亲自参加飞行（Test Like You Fly）的原则，对整个试验计划进行评估；

●对要求可客观验证的程度以及要求的适宜性（正确性）进行评估，或者对不可验证的要求进行记录；

●对分析、仿真、检验和试验结果进行评估，确定是否可进行后续试验和活动；

●对试验准备情况进行评估，如建造件的技术状态、计划与试验的充分性。

e）风险评估与管理过程：其目标是要识别和减缓可能发生但还没有出现的事件和情态，这些事件和情态对项目或任务来说会出现有害的结果。

风险评估和管理过程是一个综合性的过程，它要识别风险、风险拥有者、背景信息、出现概率及相关的后果（结果）、减缓的任务、效益指标（Performance Indicator）、关闭准则等。该过程也适用于各类供方，包括零部件供应方、服务提供方和子承包商，该过程通常重点关注（专注于）风险识别和减缓技术、进度和金融风险。

工程（项目）的各方应各自负责各自风险的识别，而不论风险管理是否是其负责的关键领域，且应做到：①保证所有的风险得到了识别，建立了减缓计划，资金、进度和资源方面的风险得到充分缓解；②捕获了技术、成本和进度风险；③对风险进行了监控和追踪，直到他们可接受或消失。

此外，其它要求和可采取的措施有：

●对风险的报告采用独立的通道（路径）；

●对工程（项目）风险进行独立的识别；

●对工程（项目）风险的决议进行监测；

●在减缓和累积的残余风险中着眼于风险的整体和全局（Big Picture）；

●关注因成本、进度的约束而引起的所有风险；

●对来自任务保证学科的风险进行收集和综合（集成）；

●将任务保证风险综合到工程（项目）的风险清单中，如合适的话；

●捕获在工程（项目）早期那些对整个风险情势产生影响（作用）的决议，例如可接受的单点失效；

●应将风险管理作为一个沟通工具，以保证对工程（项目）目前的风险情势有一个共同的掌控；

●对风险管理过程的管理与监控应与问题的跟踪相分开。

f）硬件的质量保证：其目标是要保证交付产品中的硬件产品及地面支持设备对于预定的应用来说达到最高质量等级。

硬件质量保证过程应包含有对特定（具体）项目的质量程序和质量工作细则，并将其作为质量控制的主要手段。过程文件和培训材料中应包括所有合格的工艺标准。硬件质量保证的职能基本上可以分为工程（项目）硬件质量保证、材料和供方质量保证。其中工程（项目）硬件质量保证一般应包括对下述活动进行监察或参与下述活动：

●要求的验证；

●过程的验证；

●测量和试验设备的计量；

●关键制造过程的人员鉴定和认证；

●产品验证，合规与不合格的处置，其中为保证产品合格而必须进行的检验验证包括：①产品的接收、制造工艺和最终检验；②试验设置和试验输出数据的验证；③关键特征和关键特性的验证；④材料接收及尺寸/品质的验证；⑤禁用材料的筛选；⑥首件制造检验和文件的建立；⑦非破坏性检验/试验；

●产品的演变（来由），包括：电路插件组装、关键的安装与接口等的拍摄留存，实际建造数据包的评审与验证；

●产品贮存包括：产品的包装、吊运、贮存、运输和装运，洁净度、污染和腐蚀控制。

●环境控制包括：实验室和制造区环境监测，包括温度、湿度以及特定产品制造时的洁净度要求；ESD控制和合规性的审核；

●制造前对环境控制适宜性的验证。

g）供方质量保证：其目标是要保证供方用于交付的产品和地面支持设备对于预定的应用来说达到最高质量水平。

供方质量保证包括：供方能力的评估、供方过程与要求的符合性、产品与产品工作（Verification of Products and Services）的验证等。开发并维护一个经过批准和合格的供方平台，是降低与接收供方产品相关风险的重要手段。供方质量保证过程包括：

●预先约定进行现场检测，以确保供方首次就能正确、及时生产，以及防止缺陷的流出；

●周期性（例如每季）对供方性能进行评估/复测；

●进行数据分析、目标实施、供方质量评价（Supplier-Quality Rating）；

●对供方纠正措施的申请进行发布和关闭；

●避免劣质材料和问题的出现，特别是合规性验证和可疑零部件、与其它功能不协调的警报等；

●现场（在供方场地）对生产过程和最终产品进行检查；

●通过NADCAP等第三方对特殊过程，如热处理、禁用材料试验、非破坏性试验等进行认证。

4 任务保证的特点

任务保证是基于（采用）系统工程方法，对工程专业科学与管理科学在航天项目生命周期内的一个综合应用，它已超出单纯的工程专业科学或管理科学的专业范畴，采用了过程的理念与方法。它关注的是过程和活动，而不只是过程的结果。

任务保证过程分为核心过程（主过程、内线过程）与支持过程（辅过程、外线过程）。核心过程是任务成功的关键驱动者（推力器），它与项目生命周期的具体阶段紧密关联，核心过程主要包括要求的分析与确认、设计保证、制造保证、试验与集成验证、使用保证等过程；支持过程是支撑核心过程成功实施的一组过程，它贯穿于项目生命周期的各个阶段，它是在验证专业工作产品或过程完整性时（中）所需要进行的验证过程/活动。每一个过程由一系列活动组成。

从事任务保证的人员要求较高，既要懂工程科学，也要懂管理科学，只有能力强、专业知识和经验丰富的人员方可胜任。

从任务保证的角度来看，产品保证是任务保证的一个子集。产品保证的对象是产品，任务保证的对象是任务，任务保证将产品保证作为支持性保证（任务保证的评审与审核除外，评审与审核属于核心保证过程）。

任务保证的核心是过程的合规性，而产品保证的核心是风险的识别和控制。

5 启示与建议

围绕过程的合规性开展标准化工作，建立以标准作为过程开展依据和过程合规评判准绳的理念，为此，应识别和梳理出航天工程的各类通用过程，建立过程标准体系。怎么建立呢？正如笔者一直所倡导的，在确定标准化对象后，从二个层次开展标准制定工作，第一个层次就是要求层次，即制定要求标准，解决和规范做什么和做什么的要求；第二层次是方法层次，即制定方法标准（为达到或实现第一层次的要求所建立和所需采用的方法标准，亦即实施操作标准），解决和规范怎么做的问题。

加强和提高从事产品保证人员包括标准化人员的专业能力。单纯从事管理的人员是不能胜任任务保证工作的，管理人员需融入到技术队伍中，方可完成向任务保证人员的过渡。

[1]S.B.Guarro and W.F.Tosney，Mission Assurance Guide，Aerospace Report NO TOR-2007(8546)-6018，Revision A，2007-07-01.

[2]William D.Bjorndahl，Mission Assurance Program，Aerospace Report No.TOR-2010（8591）-18，2007-06-01.

朱明新（1964年—），男，研究员，从事航天标准化工作28年，对航天总体标准化有深入研究。