基于FTA的航天器热试验技术风险分析方法

翟 怡，孙 刚，刘 薇，孙 威，吴 达

（北京卫星环境工程研究所，北京 100094）

0 引言

航天器热环境试验是航天器研制过程中的重要环节，其主要目的是通过模拟航天器在轨工作热环境考核航天器各分系统的工作性能，尤其是热控分系统的性能，获取航天器完整性能数据，暴露航天器的工艺和质量缺陷[1]。

随着航天技术的不断发展进步，航天器热环境试验技术中的风险项目呈现出数量多、难度大、质量控制要求高等特点，试验中面临的不确定性、难度和风险也越来越大[2]。加强技术风险分析和控制的研究，采取切实有效的措施控制风险，是航天器热环境试验顺利完成的重要保证。

结合热试验任务研制流程，开展规范的技术风险识别与分析，针对识别和分析出的各类风险制定充分有效的控制措施，形成系统的技术风险识别与控制方法，具有重要的意义[3]。航天器热环境试验经过数十年的经验积累，通过建立健全程序文件和作业文件，已经能够较好地控制不合格的发生。但对于技术风险的控制，大多还是停留在以单个热试验为出发的层面，针对每个试验流程分别开展风险分析和不合格发生后的故障分析。国内外航天领域在热试验过程中出现的各类问题说明，在热试验技术风险控制方面还存在较多问题。而高密度和高质量的热试验需求，亟需将热试验过程技术风险分析和控制由事后分析处理转变为事前分析预防，并且形成系统、通用、全面的风险控制指导书。

本文借鉴故障树分析（fault tree analysis, FTA）的基本思路，以航天器热试验过程中曾经发生过的不合格为顶事件，结合航天器热试验技术流程，进一步细化分解形成底事件，进而建立基于航天器热试验过程的技术风险分析与评价方法，最后针对分析出的各类风险底事件制定细化量化控制措施后嵌入到热试验研制流程中，以实现热试验过程风险预测和控制的目标。

1 FTA 风险分析方法的含义

FTA以系统故障作为顶事件，通过对可能导致故障发生的人为因素、设备、物料、环境等进行逐级分解作为中间事件，直到把不能分解的基本事件作为底事件，绘制出故障树[4]。FTA是当前航天器研制中针对质量问题常用的一种分析方法，目的是通过绘制故障树图，梳理故障现象的发生脉络，通过评价故障发生的严酷度，对故障事件采取预防和控制措施，防止不合格的出现[5]。

2 航天器热试验风险控制体系

开展航天器热试验过程技术风险控制方法研究，需要经历类似PDCA（计划Plan—执行Do—检查Check—处理Act）的过程，依次进行风险识别、分析，开展风险严酷度评价，并根据评价结果制定针对风险的策略和措施，采取适当的方式监督策略和措施实施的过程和效果，形成风险控制体系[6]。其系统架构如图1所示。

图1 风险控制体系架构Fig. 1 Framework of risk control system

在风险控制体系设计过程中，以故障状态为目标进行层层深入的逻辑分析，采用FTA方法，形象直观地展示系统内部各事件之间的因果关系，从而找出引起故障发生的各项事件及事件组合，制定并实施相应的防范措施[7]。

3 基于 FTA 的技术风险识别

基于FTA的技术风险识别方法是：首先梳理航天器热环境试验近10年发生的不合格案例，按问题类型进行分类，以不合格为顶事件，应用FTA等技术风险识别工具，对航天器热环境试验全过程进行系统分析梳理；然后以关键风险项目和关键产品为核心，从人、机、料、法、环5个方面对风险要素进行分析，逐层分解，绘制故障树，进一步细化分解形成底事件。这些底事件将作为风险严酷度评价的基础。

以热试验过程电路短路/断路项目为例，根据系统组成及其结构相关性，绘制不合格发生的故障模式如图2所示。该子故障树中，试验系统电路短路/断路为顶事件，可能导致该事件发生的控制柜短路/断路、加热器短路/断路、测量仪器短路/断路、其他电路短路/断路为中间事件，识别出X1～X9共9项底事件。

图2 电路短路/断路项目子故障树Fig. 2 Sub fault tree of open or short circuit for thermal test

4 风险严酷度评价

通过绘制故障树识别出风险事件后，需开展风险严酷程度评价，以用于后续有针对性地制定控制措施。风险的严酷程度主要包含导致不合格发生的可能性和风险发生所导致的后果严重程度2方面因素；此外，根据航天器热试验各阶段的不同情况，在进行严酷度评价时还需综合考虑风险的可预知性以及风险发生导致的对研制进度的影响程度。根据各子故障树底事件不同采取定量评价、定性评价和综合评价：对低层次单一型问题采取定性评价方式；对重复性高发问题采取定性和定量相结合的评价方式；对共性问题采取综合评价方式。

4.1 定量评价

定量评价主要从导致不合格的概率角度进行分析。故障树的结构函数定义为

其中 n 为故障树底事件的数目，x1, x2, ···, xn为描述底事件状态的布尔变量，即{

第i个底事件的概率重要度IP(i)表示当第i个底事件发生概率的微小变化而导致顶事件发生概率的变化率[8]，其表达式为

其中Q(q1,q2,···,qn)为顶事件发生概率。在底事件相互独立的条件下，它是各底事件发生概率q1, q2, ···,qn的函数。

以风险发生概率为判据进行风险可能性分级；当风险发生概率不可量化时，根据风险涉及的产品和技术方案的确定性、验证情况进行分级，详见表1。

表1 风险可能性等级评定标准Table 1 Criteria for risk probability evaluation

4.2 定性评价

定性评价主要从风险发生所导致的后果严重程度进行分析，并根据风险发生的后果严重性进行等级划分，详见表2。

表2 风险严重程度等级评定标准Table 2 Criteria for risk severity evaluation

4.3 综合评价

风险评价综合评定标准综合考虑不合格发生的可能性、严重性、可知性和紧迫性，并根据这4个特性对航天器研制任务完成的影响程度设定分值，以4项评分相乘的结果来表示风险严酷程度，详见表3[9]。

表3 风险评价综合评定标准Table 3 Comprehensive evaluation criterion for risk assessment

5 风险控制策略与措施

风险控制是以风险识别、分析和评价结果为依据，采取适宜的策略和控制方法对风险底事件制定并实施控制措施。风险控制的近期目标是消除或减少风险事件发生的可能性或风险发生造成的损失，最终目标是建立风险防范控制体系。风险控制的主要方法有风险回避、风险降低、风险分离、风险分散、风险转移、风险自留等[10]。

风险控制可采取分级处理的方法，对不同等级风险应用不同控制方法组合：重点监控高等级风险，可采取风险降低、分离、分散、转移等1种或几种控制方法，并配合专项检查控制措施的落实情况；定期监控中等级风险，采取风险降低、分离、分散、转移等控制方法，并定期检查控制措施的落实情况；不定期监控低等级风险，采取风险降低、转移等控制方法，可配合工艺纪律检查等检查控制措施的落实情况。

基于FTA的热试验技术风险控制，针对航天器热试验过程各子故障树的每一项底事件，制定控制措施矩阵，明确控制方法及落地措施。包含人员职责、文件程序、检查确认、工具方法等，根据风险等级的不同，制定控制要求的落实维度（见表4）采取风险降低、分离、分散、转移等1项或多项控制方法。在对识别出的底事件进行风险评价的基础上，针对底事件的严酷程度，从底事件实施步骤涉及的岗位控制及相关的控制制度和控制活动2个维度构建风险控制矩阵模型，如表5所示。

表4 不同技术风险对应的控制要求Table 4 Sorts of ontrol measures for different level of risks technical risks

表5 技术风险控制矩阵模型Table 5 Mmatrix model for controlling technical risks

基于FTA的热试验技术风险控制矩阵模型，以岗位控制措施为横向，以控制制度和活动为纵向，横向的岗位控制措施从热试验过程涉及的各个岗位角色出发，梳理技术指挥、操作人员和产品保证人员的岗位职责；纵向的控制制度和活动从工具方法、检查确认等维度梳理。风险控制矩阵针对识别出的每项底事件，矩阵设计的每一个控制维度均为下拉菜单形式，下拉菜单中包含开展工艺及量化课题研究、工艺攻关、QC活动等方式和产保要素落实、标准作业指导书编制、体系文件完善、应知应会及操作禁忌项目梳理等方法。在制定措施过程中，根据各个底事件的实际情况，选择1个或多个适宜的方法，制定措施。将构成子故障树顶事件的各个底事件的控制矩阵相结合，从而实现覆盖热试验全过程的风险控制。

6 技术风险分析与应用实例

通过对热试验技术流程的全面分析和比对历史不合格数据，确定电路短路/断路等关键风险项目作为风险顶事件，开展技术风险全面分析。以电路短路/断路分析和控制为例，通过建立FTA风险分析模型，分析可能导致故障发生的底事件，形成了图2所示的故障树。

在分析识别出底事件后，对每项底事件分别开展风险评价。经比对历史数据，将电路短路/断路定位为重复性高发问题，故应采用定性和定量相结合的评价方式。按照表6和表7的评价矩阵进行综合风险等级（I级～V级）评价，等级I、II为低等级风险，等级III为中等级风险，等级IV为高等级风险。并以不同的色彩标志底事件风险评价结果，形成图3所示的风险评价结果。对X3底事件——红外笼短路/断路进行评价，其发生可能性判别等级为d（可能），严重程度判别等级为D（严重），因此将其判定为高等级风险。

在对底事件完成评价后，针对每个底事件逐项制定风险控制矩阵。本文以风险评价结果判定为高风险的X3底事件为例，针对其制定的风险控制矩阵如表8所示。

表6 定性和定量综合风险评价矩阵Table 6 Combined qualitative and quantitative risk evaluation matrix

表7 定性和定量综合风险评级Table 7 Combined qualitative and quantitative risk evaluation

图3 电路短路/断路底事件风险评价结果Fig. 3 Result of risk assessment for bottom event of open or shorted short circuit

表8 X3 底事件风险控制矩阵Table 8 Risk control matrix of X3 bottom event

在对每一个风险底事件有针对性地制定控制矩阵后，将风险分析过程及控制方法整理成册，制定航天器热试验通用技术风险指南。技术人员可以在航天器型号热试验前从指南中直接查找并使用通用技术风险控制措施；并根据不同型号特点和热试验要求有针对性地分析并形成专用风险控制措施。通用与专用相结合，不仅提高了热试验技术风险的控制能力，也极大程度地降低了重复分析带来的工作强度，在实现高质量的同时拥有了高效率。将风险控制措施以Q点（质量控制点）和S点（安全控制点）的形式嵌入热试验技术流程，在热试验的不同阶段有计划地落实控制措施，如图4所示。明确风险控制活动的开展时机，工作输入、输出及责任人等内容，确保了风险控制措施的有效落地实施。

图4 风险控制措施嵌入技术流程Fig. 4 Risk control measures embedded in the technical flow

7 实施监督

在确定热试验技术风险控制措施后，对风险控制措施的落实情况进行监督检查。底事件风险控制矩阵中的检查确认，以关键环节或关键工序状态检查、试验现场点检、试验前总检、工艺纪律检查等方式落实实施；体系文件的制修订情况，作业指导文件等的实际使用情况，以质量体系评估等方式监督检查；课题、攻关等改进措施的开展和实施情况，以课题专项自评、互评等方式实施监督检查。在监督检查的同时，搭建交流平台，促进相互学习和成果共享，使风险控制的成果得到固化，以确保风险底事件得到有效控制，从根本上降低整个航天器热试验过程的技术风险，提高产品质量。

8 结束语

本文结合FTA研究航天器热试验技术风险分析及控制方法，介绍了航天器热试验过程风险顶事件和底事件的识别方法，并应用定量、定性和综合指数分析方法，对底事件的风险严酷程度进行分析，通过建立风险控制矩阵，落实控制措施和监督检查，实现了航天器热试验全过程的技术风险受控。

在开展基于FTA的航天器热环境试验技术风险控制方法研究过程中，共绘制子故障树近10个，识别风险底事件百余项，有针对性地制定风险控制矩阵百余个。根据制定的风险措施形成操作禁忌、应知应会一本通、红线项目，并有针对性地完成制修订程序文件及三层次作业文件，新研工装工具，制定所级标准，工艺课题的工艺攻关及量化指标研究。

通过将基于FTA的风险分析及控制方法应用于航天器热试验过程，不合格得到有效防范和控制，经过近2年的研究与实践，不合格呈连年下降趋势，由不合格带来的质量成本大幅下降，产品和服务顾客满意度稳定在97%以上，提升了航天器热试验的业务能力，保证了高密度的航天器热环境试验工作的顺利完成。