赫榮偉 郭強 付春嶺 張熇 黃曉峰

(1 中國空間技術研究院，北京 100094)(2 北京空間飛行器總體設計部，北京 100094)

航天器系統(tǒng)是高風險復雜系統(tǒng)，航天器項目風險管理能力對航天器任務的順利實施和圓滿完成至關重要。在組織管理方面，風險特性主要表現(xiàn)在研制程序的復雜性、協(xié)作配套的廣泛性、隊伍經(jīng)驗與作風的差異性、研制條件的不確定性等方面，需要按照風險管理理論和要求，建立嚴密的項目風險管理程序和方法,結合航天器項目與產(chǎn)品的特點、運行環(huán)境、研制程序、參研單位和隊伍的經(jīng)驗與能力狀況，充分正確識別風險，科學制定管控措施[1]。

嫦娥四號探測器系統(tǒng)是技術挑戰(zhàn)大、工程風險高的復雜系統(tǒng)，具有技術難點多、產(chǎn)品狀態(tài)多、指標要求高、研制模式新等特點，對工程研制管理提出了很高的要求[2]。本文從系統(tǒng)工程的角度出發(fā)，充分識別任務特點，識別組織管理風險，建立全面、系統(tǒng)的控制方法，對組織管理風險進行有效管控[3]，對嫦娥四號探測器系統(tǒng)研制實施有效的風險管理。

1 研制特點及組織管理風險分析

嫦娥四號探測器系統(tǒng)由著陸器、巡視器和中繼衛(wèi)星組成(簡稱兩器一星)，實施了兩次發(fā)射，實現(xiàn)了國際首次月球背面軟著陸和巡視勘察，首次地月L2點中繼衛(wèi)星對地對月的測控、數(shù)傳中繼。著陸器、巡視器成功實現(xiàn)互拍宣告了嫦娥四號任務的圓滿成功，獲得的月面著陸器圖像如圖1所示，月面巡視器圖像如圖2所示。嫦娥四號探測器研制的特點和組織管理風險特性主要包括研制模式、技術難點、進度控制、搭載安全性控制、發(fā)射場組織管理等內容。

圖1 月面兩器互拍獲得的著陸器圖像

圖2 月面兩器互拍獲得的巡視器圖像

1.1 新的研制模式

探測器系統(tǒng)規(guī)模大，系統(tǒng)復雜，協(xié)作配套廣泛，參與單位多。著陸器和巡視器由北京空間飛行器總體設計部(以下簡稱總體部)研制，中繼衛(wèi)星由航天東方紅衛(wèi)星有限公司(以下簡稱東方紅公司)研制。需建立探測器系統(tǒng)的統(tǒng)一研制管理負責機制，需明確與已有組織之間的管理、技術方面接口關系，否則容易出現(xiàn)多頭管理，責任不明的情況[4]。此外，部分新加入探月工程的承研單位相關航天工程經(jīng)驗不足，可能會給整器帶來安全隱患，需重點關注。

1.2 技術難點

人類首次月球背面著陸，著陸區(qū)地形復雜，給安全著陸、月面工作帶來較大風險；對地通信需通過中繼轉發(fā)，L2點中繼通信至關重要；增加了月夜溫度探測需求[5]。任務研制過程面臨地月L2平動點軌道精確設計與控制、地月L2點遠距離數(shù)據(jù)中繼、復雜地形環(huán)境條件下的安全著陸、同位素溫差發(fā)電和熱電綜合利用四大技術難點。

1.3 系統(tǒng)任務交叉約束

著陸器、巡視器充分繼承嫦娥三號任務的技術基礎和已有產(chǎn)品，根據(jù)新的任務要求增加部分新研產(chǎn)品，進行新的任務系統(tǒng)設計，直接進入正樣研制階段，但部分單機還需完成鑒定件和試驗件的研制工作；中繼衛(wèi)星研制分為方案設計與驗證、正樣研制兩個階段。因此，探測器系統(tǒng)的研制主線穿插著著陸器、巡視器、中繼衛(wèi)星相對獨立的單機研制階段，單器(星)電性能測試，熱試驗和專項試驗工作；涉及兩器聯(lián)合開展的電性能聯(lián)試、力學試驗；以及需兩器一星聯(lián)合開展的電性能聯(lián)試、1∶1無線聯(lián)試、在軌測試等工作。在中繼衛(wèi)星提前半年發(fā)射的前提下，各項工作交叉約束多，導致兩器一星并行研制的進度匹配性要求高，相關計劃節(jié)點調整余地小。

1.4 搭載載荷安全性

嫦娥四號任務首次在探月工程中搭載國際載荷、科普載荷，包括德國的月球中子及輻射劑量探測儀、瑞典的中性原子探測儀等國際載荷和重慶大學的科普載荷。搭載載荷一旦發(fā)生故障，可能會影響到主任務安全。搭載載荷的安裝、測試特殊要求多，產(chǎn)品研制規(guī)范、管理模式與國內航天領域要求差別較大，質量管控難度大[6]。

1.5 發(fā)射場組織管理

嫦娥四號探測器發(fā)射場工作存在工作量大、協(xié)同單位多、操作風險高等特點。探測器發(fā)射場工作共計92天，參與單位來自航天科技集團有限公司、中國科學院、中國電子科技集團公司等27家；整器構型復雜、活動機構多，有太陽翼等10類25個運動自由度， 36發(fā)火工品等；受窗口限制必須確保按期發(fā)射，整器無備份產(chǎn)品要求所有器上操作必須準確無誤；同位素源塔上安裝操作需嚴格控制時間，確保安全，涉及系統(tǒng)間協(xié)調、演練等問題。

2 風險應對措施

研制團隊根據(jù)任務特點和風險點，在組織管理體系建立、供應商管理、AIT過程的量化控制、專項復核復查、進度管控、搭載載荷管理、發(fā)射場組織管理等方面采取了切實可行的控制措施[7-8]，將組織管理風險規(guī)避、消除或降低到可接受水平。

2.1 總體單位聯(lián)合研制組織體系

嫦娥四號探測器系統(tǒng)由兩個總體單位聯(lián)合抓總研制。著陸器、巡視器的抓總研制單位——總體部，是我國組建成立最早、總體領域最多、專業(yè)技術最齊備的空間飛行器研制核心總體單位，抓總研制并成功完成了我國探月與深空領域的所有型號探測器，是我國深空探測工程的領跑者，具有豐富的深空探測器研制管理經(jīng)驗；中繼衛(wèi)星的抓總研制單位——東方紅公司，是我國小衛(wèi)星的核心研制單位，平臺成熟度高、研制周期短、成本低，是首次承擔探月任務的新單位。

嫦娥四號探測器系統(tǒng)接口耦合度高、研制相對獨立，作為一項復雜的系統(tǒng)工程，在傳統(tǒng)的矩陣式管理模式下，充分發(fā)揮兩家總體單位的優(yōu)勢，便于多線并行管理、統(tǒng)籌各自資源。另一方面，兩器一星應作為一個有機的整體開展研制，充分繼承深空探測領域的研制管理經(jīng)驗，統(tǒng)一研制規(guī)范、統(tǒng)一內外接口、統(tǒng)一進度協(xié)調。以“統(tǒng)一對外接口、統(tǒng)一頂層設計、統(tǒng)一進度協(xié)調匹配”為原則，明確了月球探測項目辦公室作為嫦娥四號探測器系統(tǒng)研制責任主體，負責嫦娥四號探測器系統(tǒng)研制的組織實施工作，統(tǒng)一對探測器研制及在軌運行的技術、質量、進度等方面進行管理，統(tǒng)一與用戶及上級單位、工程其他系統(tǒng)進行溝通及接口協(xié)調；總體部負責探測器系統(tǒng)總體的頂層設計、大系統(tǒng)協(xié)調等相關工作，負責著陸器、巡視器總體研制；東方紅公司負責中繼衛(wèi)星的研制。

任務研制過程中，建立溝通機制，統(tǒng)一召開年度工作會，每周堅持召開項目辦公室聯(lián)合調度會(兩器一星)；對廠所統(tǒng)一檢查，統(tǒng)一匯報進展，統(tǒng)一部署工作。

2.2 供應商管理

為確保產(chǎn)品質量可信，過程控制到位，月球探測項目辦公室開展了“縱向到底”的供應商管理全級次統(tǒng)計、分析和確認檢查工作。在檢查過程中對外協(xié)管理工作進行了檢查，項目辦公室在各分系統(tǒng)出廠評審中針對各分系統(tǒng)的外協(xié)工作再次進行確認把關，保證各級供應商工作管控到位，風險可控，做到管住、管到、管全、管好，確保整器產(chǎn)品質量受控。

通過通知下發(fā)、集中培訓、質量檢查等方式，將相關產(chǎn)品保證要求層層傳遞到探測器各級承研單位，作為各級單位產(chǎn)品保證工作開展的依據(jù)。

在關鍵產(chǎn)品投產(chǎn)和關鍵工序開展前，組織開展生產(chǎn)準備評審，包括著陸器火工品、高溫隔熱屏、推進部裝、巡視器綜合電子單元、巡視器移動裝置、巡視器應答機等，從“人、機、料、法、環(huán)”等各方面細致梳理工作準備情況，建立產(chǎn)品生產(chǎn)基線，確保產(chǎn)品投產(chǎn)狀態(tài)正確，生產(chǎn)過程質量控制措施有效。

對長期貯存產(chǎn)品，開展定期測試，密切監(jiān)視其變化趨勢，及早發(fā)現(xiàn)可能的故障，并對產(chǎn)品長期貯存開展可靠性評估等專項研究。

2.3 AIT過程量化控制

認真落實技術風險分析與控制相關要求，抓實正樣AIT的總裝、測試、大型試驗等全過程量化控制工作，規(guī)避風險，確保研制進展順利，制定了“AIT過程控制要求”作為依據(jù)文件，設置了57個AIT過程強制檢驗點。

對重要試驗、測試以及不可逆的總裝操作之前的狀態(tài)控制，包括合艙、合板、總裝與電測交接、專項試驗交接時的狀態(tài)確認，此類控制的重點是產(chǎn)品的靜態(tài)配置狀態(tài)和安裝質量狀態(tài)，以現(xiàn)場靜態(tài)確認、檢查為主要控制方式。

對關鍵試驗、測試過程及結果進行控制，包括精測、檢漏、質量特性測試、電性能測試、力學試驗、熱試驗等，此類控制的重點是產(chǎn)品的配置狀態(tài)、安裝質量狀態(tài)、測試過程和關鍵特性測試數(shù)據(jù)的有效性和正確性，部分工作之前還要進行地面設備及工裝的性能檢驗測試結果、安全性檢查結果的確認，以現(xiàn)場跟蹤和評審會為主要控制方式。

對重要或危險的安裝、對接過程的動態(tài)控制，包括特殊設備的安裝、機構類產(chǎn)品的安裝、合艙、兩器對接、器箭對接，火工品安裝等，此類控制的重點是隨過程變化的產(chǎn)品配置狀態(tài)、安裝質量狀態(tài)和關鍵特性測試數(shù)據(jù)的有效性和正確性，以聯(lián)合操作程序、專項安裝過程記錄、強制檢驗點為主要控制方式，有時與前兩類活動穿插進行。

探測器兩總組織總體總裝單位對AIT關鍵特性參數(shù)、關鍵工序、強制檢驗點等量化控制情況再復核、再確認，嚴格對產(chǎn)品極性、熱控實施、光學敏感器和相機視場、機構安裝、電纜綁扎和絕緣防護、活動部件等最終狀態(tài)量化控制情況再復核、再確認，降低風險。

2.4 并行多重約束下的進度管控

抓實研制計劃管控，跨層級聯(lián)合指揮。兩器一星工作項目跨總體單位聯(lián)合調度，嚴格控制兩器一星工作計劃的執(zhí)行，對出現(xiàn)偏差的項目進行專題調度，從技術可行性、資源保障等方面進行調整可行性分析確認，各方認可后執(zhí)行；偏離計劃3天以上的工作報總指揮，進行日調度。

兩器一星關鍵節(jié)點嚴格匹配。不同研制階段采用了不同的應對策略，在方案設計與驗證階段，利用著陸器、巡視器的鑒定產(chǎn)品與中繼衛(wèi)星電性產(chǎn)品聯(lián)試，最大程度地剝離中繼衛(wèi)星和著陸器、巡視器研制耦合程度；在正樣階段，考慮中繼衛(wèi)星需提前半年發(fā)射，正樣測試時間緊、調整余地小，著陸器、巡視器在力學試驗期間無法開艙進行聯(lián)試，因此將著陸器、巡視器工作盡量前移，滿足兩器一星聯(lián)試需求，且有動態(tài)調整余地。最終將著陸器、巡視器的主線研制工作劃分3段，將中繼衛(wèi)星的主線研制工作也劃分為3段，將兩次聯(lián)試工作穿插安排各自研制工作段中，實現(xiàn)了兩器一星進度的匹配、接口驗證充分，確保了中繼衛(wèi)星按時出廠。兩器一星研制計劃流程匹配情況如圖3所示。

圖3 兩器一星正樣聯(lián)試的計劃流程圖

關鍵短線產(chǎn)品一抓到底。項目辦公室領導與分系統(tǒng)責任單位、單機責任單位共同深入外協(xié)單位一線促進度；對于系統(tǒng)外關鍵短線產(chǎn)品，與工程總體、該行業(yè)所屬集團公司主管部門一起聯(lián)合進行周調度，發(fā)揮體制優(yōu)勢，實現(xiàn)跨層級聯(lián)合指揮。

2.5 搭載載荷管理

在完成高技術、高風險的航天重大專項任務的同時，嫦娥四號任務還承擔了國際合作平臺和公益科普的職責，探測器系統(tǒng)搭載了國際載荷和全國范圍征集的科普載荷，屬探月工程首次實施，探索建立了一套適用于重大專項工程的搭載載荷的研制管理模式。

針對搭載載荷的研制模式不同、管理體系差異大、協(xié)調工作繁重、不確定因素多等問題，簽訂搭載協(xié)議，明確搭載載荷交付前應完成的試驗項目及試驗條件、交付接口狀態(tài)、交付時間節(jié)點等內容。以“確保搭載載荷在任何情況下不會影響探測器系統(tǒng)本體安全”為指導思想，將確保兩器一星可靠性和安全性作為搭載放行的首要管控準則，重點對搭載的載荷的接口安全性進行嚴格控制。編制了接口安全性控制要求，提出了設計控制、過程控制和驗收控制3個方面的具體要求，從機械強度裕度、熱接口、供電接口安全等方面給出細化指標；通過強制檢驗點檢查、審查電路圖與實物的方式，對其接口安全性進行嚴格把關；通過正樣產(chǎn)品的驗收，確認其產(chǎn)品滿足要求。此外，針對科普載荷的壓力容器安全、接插件防水性能、供配電安全等開展了多次專項審查，進行多次再復核、再確認。

通過嚴格的接口安全性管控，確保了搭載載荷接口匹配滿足要求，未發(fā)生危及主任務安全的情況，圓滿完成了搭載任務。

2.6 重要專項復核復查

組織產(chǎn)品保證工作檢查、復查、單機產(chǎn)品三類關鍵特性檢查確認工作、“技術回頭看”、“質量回頭看”、與嫦娥三號設計與驗證變化落實情況的專項復查，參加用戶組織的獨立評估等工作，切實保證探測器產(chǎn)品質量，確保任務圓滿成功。

組織開展了“技術回頭看，問題提前想”活動，重點針對產(chǎn)品設計輸入的完備性、系統(tǒng)間接口的匹配性、故障預案的全面性、產(chǎn)品驗證的充分性和產(chǎn)品使用要求的完整性，開展了梳理和研討。著陸器和巡視器組織開展了“質量回頭看”工作，對關鍵項目和新增設備的重點單機進行了質量再確認，涉及16家單位的71臺(套)產(chǎn)品，包括不可檢不可測項過程控制措施再確認、生產(chǎn)過程的超差偏離及處理情況再確認、設計裕度再確認、過程照片再確認、外協(xié)控制再確認等工作。

獨立評估工作是由國防科工局、航天科技集團有限公司聯(lián)合組織，選聘航天器系統(tǒng)專家、專業(yè)技術專家組成獨立評估委員會，設置嫦娥四號探測器總體、中繼衛(wèi)星與地月信息鏈路、安全著陸與兩器分離等5個評估組，圍繞確保實現(xiàn)任務目標開展評估工作。任務兩總和總體單位結合獨立評估工作，認真落實專家意見和建議，聚焦關鍵技術環(huán)節(jié)、聚焦I、Ⅱ類單點失效故障模式的風險識別與控制；針對“安全著陸、可靠釋放分離、月面可靠工作、月夜安全生存”等關鍵技術環(huán)節(jié)，增加測試頻度，加強硬件和軟件測試強度；做到對系統(tǒng)間接口的正確性、硬件和軟件的匹配性、飛行時序的匹配性確認清楚，對飛行事件保證鏈做到胸中有數(shù)，對影響成敗的關鍵特性的裕度性能做到胸中有數(shù)，對結構機構、分離系統(tǒng)、火工系統(tǒng)、動力系統(tǒng)等不可測不可檢項目的精細管控做到胸中有數(shù)。

深入開展降低安全著陸殘余風險控制工作，做好故障預案的制定，加強故障演練，降低在軌飛行任務的風險。各分系統(tǒng)及單機研制單位利用鑒定件強化對關鍵技術環(huán)節(jié)的再測試、再驗證，降低關鍵技術環(huán)節(jié)及單點故障失效項目的風險；對正樣設備狀態(tài)、測試狀態(tài)及相對鑒定件工藝狀態(tài)等變化進行再確認，降低新狀態(tài)風險。

2.7 發(fā)射場風險控制

為確保發(fā)射場工作的順利開展，做好發(fā)射場階段的各類風險識別與控制，進場前安排了發(fā)射場工作項目演練，最大程度地降低了發(fā)射場的風險。

以“零缺陷、零疑點、零遺憾”為工作目標，狠抓發(fā)射場總裝、機構、火工品、加注、轉運、同位素源6類風險識別與控制工作；各項工作嚴格按四個流程實施，對技術流程、產(chǎn)品保證流程、技術安全流程識別的131項主線工作、64項輔線工作，識別出的114項風險控制措施全部納入發(fā)射場計劃流程實施。通過周調度會、日調度會，以發(fā)射場計劃流程為依據(jù)，細化工作顆粒度，落實保障條件。各階段測試前，均組織開展測試推演，重點識別新增指令、禁發(fā)指令和風險點識別的充分性；在合艙、焊接散線、復雜多層實施等關鍵環(huán)節(jié)，組織開展工藝推演，確認風險點控制措施細化、責任落實。各項工作完成后，及時組織確認和總結，通過測試/試驗總結、產(chǎn)品最終狀態(tài)確認等方式，再次相互提醒、質疑，確認風險控制結果滿足要求。在發(fā)射場每日的班前會上，由當日測試指揮或試驗指揮準備的班前會材料中，重點提出當日工作涉及的風險點，使相應的控制措施落實到每位參與人員，確保風險控制措施落到實處。同時，強調風險的不斷識別、細化與確認。

3 結束語

嫦娥四號探測器系統(tǒng)研制過程難度大、風險高，決不是嫦娥三號探測器的簡單重復。研制團隊堅持自主創(chuàng)新、協(xié)同創(chuàng)新、開放創(chuàng)新的理念，創(chuàng)新管理、大膽實踐，保證了工程的順利實施，取得了預期成果。任務實施過程中形成的全過程風險動態(tài)識別和控制等一系列實踐經(jīng)驗，可為后續(xù)項目的組織管理風險識別與控制工作提供參考。