赫荣伟 郭强 付春岭 张熇 黄晓峰
(1 中国空间技术研究院,北京 100094)(2 北京空间飞行器总体设计部,北京 100094)
航天器系统是高风险复杂系统,航天器项目风险管理能力对航天器任务的顺利实施和圆满完成至关重要。在组织管理方面,风险特性主要表现在研制程序的复杂性、协作配套的广泛性、队伍经验与作风的差异性、研制条件的不确定性等方面,需要按照风险管理理论和要求,建立严密的项目风险管理程序和方法,结合航天器项目与产品的特点、运行环境、研制程序、参研单位和队伍的经验与能力状况,充分正确识别风险,科学制定管控措施[1]。
嫦娥四号探测器系统是技术挑战大、工程风险高的复杂系统,具有技术难点多、产品状态多、指标要求高、研制模式新等特点,对工程研制管理提出了很高的要求[2]。本文从系统工程的角度出发,充分识别任务特点,识别组织管理风险,建立全面、系统的控制方法,对组织管理风险进行有效管控[3],对嫦娥四号探测器系统研制实施有效的风险管理。
嫦娥四号探测器系统由着陆器、巡视器和中继卫星组成(简称两器一星),实施了两次发射,实现了国际首次月球背面软着陆和巡视勘察,首次地月L2点中继卫星对地对月的测控、数传中继。着陆器、巡视器成功实现互拍宣告了嫦娥四号任务的圆满成功,获得的月面着陆器图像如图1所示,月面巡视器图像如图2所示。嫦娥四号探测器研制的特点和组织管理风险特性主要包括研制模式、技术难点、进度控制、搭载安全性控制、发射场组织管理等内容。
图1 月面两器互拍获得的着陆器图像
图2 月面两器互拍获得的巡视器图像
探测器系统规模大,系统复杂,协作配套广泛,参与单位多。着陆器和巡视器由北京空间飞行器总体设计部(以下简称总体部)研制,中继卫星由航天东方红卫星有限公司(以下简称东方红公司)研制。需建立探测器系统的统一研制管理负责机制,需明确与已有组织之间的管理、技术方面接口关系,否则容易出现多头管理,责任不明的情况[4]。此外,部分新加入探月工程的承研单位相关航天工程经验不足,可能会给整器带来安全隐患,需重点关注。
人类首次月球背面着陆,着陆区地形复杂,给安全着陆、月面工作带来较大风险;对地通信需通过中继转发,L2点中继通信至关重要;增加了月夜温度探测需求[5]。任务研制过程面临地月L2平动点轨道精确设计与控制、地月L2点远距离数据中继、复杂地形环境条件下的安全着陆、同位素温差发电和热电综合利用四大技术难点。
着陆器、巡视器充分继承嫦娥三号任务的技术基础和已有产品,根据新的任务要求增加部分新研产品,进行新的任务系统设计,直接进入正样研制阶段,但部分单机还需完成鉴定件和试验件的研制工作;中继卫星研制分为方案设计与验证、正样研制两个阶段。因此,探测器系统的研制主线穿插着着陆器、巡视器、中继卫星相对独立的单机研制阶段,单器(星)电性能测试,热试验和专项试验工作;涉及两器联合开展的电性能联试、力学试验;以及需两器一星联合开展的电性能联试、1∶1无线联试、在轨测试等工作。在中继卫星提前半年发射的前提下,各项工作交叉约束多,导致两器一星并行研制的进度匹配性要求高,相关计划节点调整余地小。
嫦娥四号任务首次在探月工程中搭载国际载荷、科普载荷,包括德国的月球中子及辐射剂量探测仪、瑞典的中性原子探测仪等国际载荷和重庆大学的科普载荷。搭载载荷一旦发生故障,可能会影响到主任务安全。搭载载荷的安装、测试特殊要求多,产品研制规范、管理模式与国内航天领域要求差别较大,质量管控难度大[6]。
嫦娥四号探测器发射场工作存在工作量大、协同单位多、操作风险高等特点。探测器发射场工作共计92天,参与单位来自航天科技集团有限公司、中国科学院、中国电子科技集团公司等27家;整器构型复杂、活动机构多,有太阳翼等10类25个运动自由度, 36发火工品等;受窗口限制必须确保按期发射,整器无备份产品要求所有器上操作必须准确无误;同位素源塔上安装操作需严格控制时间,确保安全,涉及系统间协调、演练等问题。
研制团队根据任务特点和风险点,在组织管理体系建立、供应商管理、AIT过程的量化控制、专项复核复查、进度管控、搭载载荷管理、发射场组织管理等方面采取了切实可行的控制措施[7-8],将组织管理风险规避、消除或降低到可接受水平。
嫦娥四号探测器系统由两个总体单位联合抓总研制。着陆器、巡视器的抓总研制单位——总体部,是我国组建成立最早、总体领域最多、专业技术最齐备的空间飞行器研制核心总体单位,抓总研制并成功完成了我国探月与深空领域的所有型号探测器,是我国深空探测工程的领跑者,具有丰富的深空探测器研制管理经验;中继卫星的抓总研制单位——东方红公司,是我国小卫星的核心研制单位,平台成熟度高、研制周期短、成本低,是首次承担探月任务的新单位。
嫦娥四号探测器系统接口耦合度高、研制相对独立,作为一项复杂的系统工程,在传统的矩阵式管理模式下,充分发挥两家总体单位的优势,便于多线并行管理、统筹各自资源。另一方面,两器一星应作为一个有机的整体开展研制,充分继承深空探测领域的研制管理经验,统一研制规范、统一内外接口、统一进度协调。以“统一对外接口、统一顶层设计、统一进度协调匹配”为原则,明确了月球探测项目办公室作为嫦娥四号探测器系统研制责任主体,负责嫦娥四号探测器系统研制的组织实施工作,统一对探测器研制及在轨运行的技术、质量、进度等方面进行管理,统一与用户及上级单位、工程其他系统进行沟通及接口协调;总体部负责探测器系统总体的顶层设计、大系统协调等相关工作,负责着陆器、巡视器总体研制;东方红公司负责中继卫星的研制。
任务研制过程中,建立沟通机制,统一召开年度工作会,每周坚持召开项目办公室联合调度会(两器一星);对厂所统一检查,统一汇报进展,统一部署工作。
为确保产品质量可信,过程控制到位,月球探测项目办公室开展了“纵向到底”的供应商管理全级次统计、分析和确认检查工作。在检查过程中对外协管理工作进行了检查,项目办公室在各分系统出厂评审中针对各分系统的外协工作再次进行确认把关,保证各级供应商工作管控到位,风险可控,做到管住、管到、管全、管好,确保整器产品质量受控。
通过通知下发、集中培训、质量检查等方式,将相关产品保证要求层层传递到探测器各级承研单位,作为各级单位产品保证工作开展的依据。
在关键产品投产和关键工序开展前,组织开展生产准备评审,包括着陆器火工品、高温隔热屏、推进部装、巡视器综合电子单元、巡视器移动装置、巡视器应答机等,从“人、机、料、法、环”等各方面细致梳理工作准备情况,建立产品生产基线,确保产品投产状态正确,生产过程质量控制措施有效。
对长期贮存产品,开展定期测试,密切监视其变化趋势,及早发现可能的故障,并对产品长期贮存开展可靠性评估等专项研究。
认真落实技术风险分析与控制相关要求,抓实正样AIT的总装、测试、大型试验等全过程量化控制工作,规避风险,确保研制进展顺利,制定了“AIT过程控制要求”作为依据文件,设置了57个AIT过程强制检验点。
对重要试验、测试以及不可逆的总装操作之前的状态控制,包括合舱、合板、总装与电测交接、专项试验交接时的状态确认,此类控制的重点是产品的静态配置状态和安装质量状态,以现场静态确认、检查为主要控制方式。
对关键试验、测试过程及结果进行控制,包括精测、检漏、质量特性测试、电性能测试、力学试验、热试验等,此类控制的重点是产品的配置状态、安装质量状态、测试过程和关键特性测试数据的有效性和正确性,部分工作之前还要进行地面设备及工装的性能检验测试结果、安全性检查结果的确认,以现场跟踪和评审会为主要控制方式。
对重要或危险的安装、对接过程的动态控制,包括特殊设备的安装、机构类产品的安装、合舱、两器对接、器箭对接,火工品安装等,此类控制的重点是随过程变化的产品配置状态、安装质量状态和关键特性测试数据的有效性和正确性,以联合操作程序、专项安装过程记录、强制检验点为主要控制方式,有时与前两类活动穿插进行。
探测器两总组织总体总装单位对AIT关键特性参数、关键工序、强制检验点等量化控制情况再复核、再确认,严格对产品极性、热控实施、光学敏感器和相机视场、机构安装、电缆绑扎和绝缘防护、活动部件等最终状态量化控制情况再复核、再确认,降低风险。
抓实研制计划管控,跨层级联合指挥。两器一星工作项目跨总体单位联合调度,严格控制两器一星工作计划的执行,对出现偏差的项目进行专题调度,从技术可行性、资源保障等方面进行调整可行性分析确认,各方认可后执行;偏离计划3天以上的工作报总指挥,进行日调度。
两器一星关键节点严格匹配。不同研制阶段采用了不同的应对策略,在方案设计与验证阶段,利用着陆器、巡视器的鉴定产品与中继卫星电性产品联试,最大程度地剥离中继卫星和着陆器、巡视器研制耦合程度;在正样阶段,考虑中继卫星需提前半年发射,正样测试时间紧、调整余地小,着陆器、巡视器在力学试验期间无法开舱进行联试,因此将着陆器、巡视器工作尽量前移,满足两器一星联试需求,且有动态调整余地。最终将着陆器、巡视器的主线研制工作划分3段,将中继卫星的主线研制工作也划分为3段,将两次联试工作穿插安排各自研制工作段中,实现了两器一星进度的匹配、接口验证充分,确保了中继卫星按时出厂。两器一星研制计划流程匹配情况如图3所示。
图3 两器一星正样联试的计划流程图
关键短线产品一抓到底。项目办公室领导与分系统责任单位、单机责任单位共同深入外协单位一线促进度;对于系统外关键短线产品,与工程总体、该行业所属集团公司主管部门一起联合进行周调度,发挥体制优势,实现跨层级联合指挥。
在完成高技术、高风险的航天重大专项任务的同时,嫦娥四号任务还承担了国际合作平台和公益科普的职责,探测器系统搭载了国际载荷和全国范围征集的科普载荷,属探月工程首次实施,探索建立了一套适用于重大专项工程的搭载载荷的研制管理模式。
针对搭载载荷的研制模式不同、管理体系差异大、协调工作繁重、不确定因素多等问题,签订搭载协议,明确搭载载荷交付前应完成的试验项目及试验条件、交付接口状态、交付时间节点等内容。以“确保搭载载荷在任何情况下不会影响探测器系统本体安全”为指导思想,将确保两器一星可靠性和安全性作为搭载放行的首要管控准则,重点对搭载的载荷的接口安全性进行严格控制。编制了接口安全性控制要求,提出了设计控制、过程控制和验收控制3个方面的具体要求,从机械强度裕度、热接口、供电接口安全等方面给出细化指标;通过强制检验点检查、审查电路图与实物的方式,对其接口安全性进行严格把关;通过正样产品的验收,确认其产品满足要求。此外,针对科普载荷的压力容器安全、接插件防水性能、供配电安全等开展了多次专项审查,进行多次再复核、再确认。
通过严格的接口安全性管控,确保了搭载载荷接口匹配满足要求,未发生危及主任务安全的情况,圆满完成了搭载任务。
组织产品保证工作检查、复查、单机产品三类关键特性检查确认工作、“技术回头看”、“质量回头看”、与嫦娥三号设计与验证变化落实情况的专项复查,参加用户组织的独立评估等工作,切实保证探测器产品质量,确保任务圆满成功。
组织开展了“技术回头看,问题提前想”活动,重点针对产品设计输入的完备性、系统间接口的匹配性、故障预案的全面性、产品验证的充分性和产品使用要求的完整性,开展了梳理和研讨。着陆器和巡视器组织开展了“质量回头看”工作,对关键项目和新增设备的重点单机进行了质量再确认,涉及16家单位的71台(套)产品,包括不可检不可测项过程控制措施再确认、生产过程的超差偏离及处理情况再确认、设计裕度再确认、过程照片再确认、外协控制再确认等工作。
独立评估工作是由国防科工局、航天科技集团有限公司联合组织,选聘航天器系统专家、专业技术专家组成独立评估委员会,设置嫦娥四号探测器总体、中继卫星与地月信息链路、安全着陆与两器分离等5个评估组,围绕确保实现任务目标开展评估工作。任务两总和总体单位结合独立评估工作,认真落实专家意见和建议,聚焦关键技术环节、聚焦I、Ⅱ类单点失效故障模式的风险识别与控制;针对“安全着陆、可靠释放分离、月面可靠工作、月夜安全生存”等关键技术环节,增加测试频度,加强硬件和软件测试强度;做到对系统间接口的正确性、硬件和软件的匹配性、飞行时序的匹配性确认清楚,对飞行事件保证链做到胸中有数,对影响成败的关键特性的裕度性能做到胸中有数,对结构机构、分离系统、火工系统、动力系统等不可测不可检项目的精细管控做到胸中有数。
深入开展降低安全着陆残余风险控制工作,做好故障预案的制定,加强故障演练,降低在轨飞行任务的风险。各分系统及单机研制单位利用鉴定件强化对关键技术环节的再测试、再验证,降低关键技术环节及单点故障失效项目的风险;对正样设备状态、测试状态及相对鉴定件工艺状态等变化进行再确认,降低新状态风险。
为确保发射场工作的顺利开展,做好发射场阶段的各类风险识别与控制,进场前安排了发射场工作项目演练,最大程度地降低了发射场的风险。
以“零缺陷、零疑点、零遗憾”为工作目标,狠抓发射场总装、机构、火工品、加注、转运、同位素源6类风险识别与控制工作;各项工作严格按四个流程实施,对技术流程、产品保证流程、技术安全流程识别的131项主线工作、64项辅线工作,识别出的114项风险控制措施全部纳入发射场计划流程实施。通过周调度会、日调度会,以发射场计划流程为依据,细化工作颗粒度,落实保障条件。各阶段测试前,均组织开展测试推演,重点识别新增指令、禁发指令和风险点识别的充分性;在合舱、焊接散线、复杂多层实施等关键环节,组织开展工艺推演,确认风险点控制措施细化、责任落实。各项工作完成后,及时组织确认和总结,通过测试/试验总结、产品最终状态确认等方式,再次相互提醒、质疑,确认风险控制结果满足要求。在发射场每日的班前会上,由当日测试指挥或试验指挥准备的班前会材料中,重点提出当日工作涉及的风险点,使相应的控制措施落实到每位参与人员,确保风险控制措施落到实处。同时,强调风险的不断识别、细化与确认。
嫦娥四号探测器系统研制过程难度大、风险高,决不是嫦娥三号探测器的简单重复。研制团队坚持自主创新、协同创新、开放创新的理念,创新管理、大胆实践,保证了工程的顺利实施,取得了预期成果。任务实施过程中形成的全过程风险动态识别和控制等一系列实践经验,可为后续项目的组织管理风险识别与控制工作提供参考。