刘振新，徐忠宾，贾 涛

（北京控制工程研究所，北京 100094）

1 引言

北斗卫星导航系统是世界上第三个投入实际使用的卫星导航定位系统。我国高度重视北斗系统建设发展，自 20 世纪 80 年代开始探索适合国情的卫星导航系统发展道路，形成了“三步走”发展战略：2000 年，建成由2 颗卫星组成的北斗一号试验系统，向中国提供服务；2012 年，建成由14颗卫星组成的北斗二号系统，向亚太地区提供服务；2018 年年底，完成 19 颗卫星发射组网，完成基本系统建设，服务区域覆盖“一带一路”沿线国家及周边国家，并计划2020 年年底前，完成 30颗卫星发射组网，全面建成北斗三号系统，向全球提供服务。2035 年前，将以北斗系统为核心，建设完善更加泛在、更加融合、更加智能的国家综合定位导航授时（PNT）体系。[1]届时北斗将以更强的功能，更优的性能服务全球，造福人类。

北斗三号卫星高精度、高稳定的要求对控制和推进系统的研制带来了极高的挑战，型号自立项至今，陆续完成了关键技术攻关、充分试验验证、分系统和整星测试、卫星发射组网等阶段成果。与其他型号相比，北斗三号卫星具有技术新颖、组批生产、快速组网等特点，任何一个节点、环节出现问题都会对全球组网卫星在轨稳定运行带来风险和隐患，甚至带来灾难性后果。因此，在型号研制过程中，通过提前策划，准确识别风险，并实施有效管控措施，对于北斗卫星导航系统的建设具有重要作用。

2 风险管理概况

按照航科集团公司“系统策划，识别全面，分析准确，措施有效，风险受控”的风险分析与控制原则，北斗三号控制和推进系统从型号立项初始，就明确了型号两总、分系统和单机的三级岗位风险责任体系，并充分发挥各专业领域专家的作用，按照策划、识别、控制、改进的风险控制流程，进行型号各阶段的技术风险分析与控制工作，重点加强各阶段风险分析与控制的迭代。

2.1 分系统风险识别与控制

在北斗三号全球组网卫星研制初期，针对控制和推进分系统开展了风险分析与识别工作，编制了《控制/推进分系统技术风险分析及控制策划报告》，对于识别分析出的重大技术风险的关键环节，制定了相应的风险控制措施，并将措施细化到分系统整个研制流程中[2]（如图1 所示），最大程度确保措施有效落实。在分系统交付前，编制了《控制/推进分系统技术风险分析及控制总结报告》，对风险控制结果进行确认与评估，确定风险控制措施是否落实到位。卫星出厂前，对分系统风险措施落实情况进行再确认，并制定了全面、可行的故障预案。

图1 分系统风险分析与控制工作流程

2.2 单机风险分析和控制

北斗三号全球组网卫星控制和推进分系统单机约占整星的1/3，各单机的状态稳定性对于卫星系统的建设具有决定性的作用。卫星控制和推进分系统各单机研制单位通过将风险分析和控制贯穿单机研制的全过程，引入了“DFx”方法，从产品的可制造性、可装配性、可测试性出发，加强面向功能和性能的设计，明确关键特性裕度和三类关键特性，量化产品的控制指标，指明具体过程控制措施，并形成了产品生产、测试和试验操作指导性文件，从而提升了产品可靠性。

北斗三号系统重点加强了单机生产过程数据包管理，确保单机生产过程记录完整、可追溯。各单机开展产品测试覆盖性分析，形成单机产品测试覆盖性分析报告，确定了产品的可测试项目和一、二、三类不可测试项目。产品交付前，产品设计师须编制测试覆盖性检查报告，对全部可测试项目逐条给出明确结论，对不可测试项目的过程控制措施落实情况及验证结果也要给出明确结论。产品设计师还须编制完成《单机技术风险分析与控制总结报告》，对可靠性与安全性、试验验证性、工艺稳定性、单点故障模式控制有效性、技术状态更改情况、产品实现过程量化控制情况等方面进行总结和确认，确保单机状态和风险可控。

3 风险分析与控制重点

与其他卫星型号相比，北斗三号卫星的特点是批量化生产、产品技术状态一致性要求高、卫星在轨稳定运行要求高。因此，为确保北斗三号工程建设任务的顺利完成，需要严格技术状态管理和生产过程控制，提升控制系统健壮性。为此，研制单位结合“策划—实施—检查—处置”（PDCA）循环的思想，加强了风险分析的策划，对识别出的技术风险项目逐项分析并制定相应的控制措施[3]，确保覆盖型号研制的全过程，使型号研制技术风险控制措施切实可行、落实到位，风险降低到可接受水平。

3.1 技术状态控制

3.1.1 技术状态的确定和控制

产品技术状态的确定是型号研制的基础。型号研制初期，通过编制控制和推进分系统技术状态确认报告，对各单机的状态进行了梳理，对识别出的技术状态更改项，按照技术状态更改要求开展技术状态更改论证工作，确保更改有效受控。在0 型号研制过程中，严格技术状态更改管理，任何涉及单机功能性能、生产基线、设计文件、生产流程等变更均按照技术状态更改进行控制，对产品最终状态有超差项的，严格按照不合格品审理程序进行审理和审批。在交付前，完成技术状态纪实和审核，对产品生产过程中的文件类更改、物资变更、例外放行、生产基线检查和变更、不合格品审理等内容进行整理和总结，确保研制全过程技术状态受控。

3.1.2 技术状态一致性比对

北斗三号控制分系统特别加强了单机和分系统测试数据的一致性比对工作，通过提前识别关键性能参数，建立各单机和分系统的一致性数据比对模板，形成了单机产品化数据库。在产品交付前，通过加强数据一致性比对，对数据临界项和差异项进行机理分析和确认，识别出了多项单机异常现象，大大提高了产品问题识别和验收的有效性；通过问题专项分析和闭环，确保了产品数据的一致性和有效性；通过横向比对分析不同批次产品的数据一致性，推动了产品薄弱环节改进和成熟度持续提升。

3.2 生产过程控制

3.2.1 单机生产过程控制

建立完善的产品功能基线、分配基线和生产基线并进行有效的控制是批产卫星生产过程控制的重点，是确保产品质量合格、稳定的保障。而单机生产过程控制则是产品批产化生产的关键，甚至会影响卫星任务的成败。因此，应通过细化工艺流程、加强关键特性分析、强化各项产保要素落实检查，有效提高生产过程水平，确保批产化单机生产质量。

控制分系统产品的原理和结构较为复杂，故研制单位提前识别了产品设计、生产和过程控制关键特性，优化部分单机研制技术流程，将成熟软件落焊工作提前到单板生产环节，并进行影响分析，制定控制措施，在生产过程严格落实。同时，加强了产品单点故障的识别和控制，对关键工作环节设置强制检验点，强化对产品关键特性指标的检验，确保产品功能、性能满足要求。

多余物控制是推进分系统研制过程质量管理的重中之重，在单机生产、系统焊接、总装测试、加注过程等任何一个环节引入多余物，都有可能影响推进系统正常工作，导致卫星在轨工作出现异常，甚至引起灾难性事故。为此，着重推动推进系统可靠性保证工程，建立了北斗三号推进系统焊接、总装环节生产基线，从组织分工、管理制度、防控体系、控制措施等全方位入手，对产品研制和系统集成全过程的多余物控制体系进行了梳理，明确了各生产岗位职责，全面形成了产品和系统多余物的控制措施及要求，并重点加强各环节工作的检测结果判读，确保推进系统不带隐患上天。

3.2.2 国产化元器件使用控制

为改变我国关键产品、关键元器件受制于人的局面，北斗三号卫星采用了大量的国产化元器件，目前卫星元器件国产化率已经达到98.5%，实现了元器件自主可控。然而，国产化元器件的研制基础相对较为薄弱，大部分国产化元器件未经过长期在轨考核，成熟度不高、可靠性子样较少等因素均会给卫星在轨稳定运行带来隐患。控制分系统作为国产化元器件使用的引领方和使用方，制定了如下控制措施：

（1）加强元器件入所筛选及检查，确保元器件质量可靠；

（2）加强单板级、单机级试验验证，按照规定的单板和单机产品测试和试验验证规范，确保单板及单机验证充分有效；

（3）加强在分系统和整星联试和测试试验判读，不放过任何异常现象，确保系统验证测试强度和产品质量与可靠性。

通过强化国产化元器件的试验验证、筛选，加强单板测试、整机测试、分系统和整星测试，建立国产化元器件验证及应用履历数据库，保证了导航卫星在轨稳定运行，也推动了一批国产化元器件成熟度的快速提升。

3.3 控制系统健壮性

导航卫星稳定运行、持续提供服务的前提是控制系统的高可靠、高稳定。因此，必须要加强控制系统的健壮性设计，确保风险识别到位、措施落实到位。同时，树立“底线思维”，确立量化的安全边界并分解落实，加强在轨数据判读，强化在轨自主故障检测、判断和处置能力。

3.3.1 在轨故障预案

北斗三号控制系统和推进系统制定了充分的故障处理预案，并在地面进行了充分的演练和验证，确保卫星在轨发生异常时能有效处置，将风险降到最低，保证卫星连续、可靠运行。

根据预案，对控制系统开展“再设计、再分析、再验证”工作，充分进行卫星飞行事件保障链分析，建立并动态维护单机故障模式库；对控制和推进分系统各时段、各事件进行分解，分析识别每一动作的执行条件和保障措施；对各故障模式制定充分的处理对策，并对相应的故障处置操作程序（指令或指令链）和故障处置的结果判定进行详细的仿真和演练；特别加强了对故障对策的风险分析，预防二次故障或多重故障的发生。通过在轨卫星飞行，部分故障预案已经得到验证，有效地处理了一些意外情况。后续将持续迭代和完善，确保组网卫星在轨运行连续、可靠。

3.3.2 软件研制管理

卫星高可靠、高稳定的飞行目标必须以各软件的可靠运行作保障。研制单位在各软件研制过程中严格贯彻军用软件质量管理规定，按照集团公司软件工程化的要求进行研制和管理。风险控制和可靠性保障措施如下：

（1）各软件均进行了可靠性设计，采取重要数据三取二、EDAC、时序设计、中断冲突分析、数据有效性保护等措施，有效保证可靠运行；

（2）软件开发经过软件测试、分系统测试、第三方评测和整星测试等阶段的全面测试，且分系统专门构建了验证平台，进一步加强了系统和软件的强度测试；

（3）完善了“一重故障保业务连续，二重故障保卫星安全”的异常应对策略，在不影响卫星安全的前提下，首先确保卫星在轨服务连续，对大规模软件可实现在轨升级。

4 总结

随着北斗三号基本系统完成建设以及后续任务逐步推进，确保在轨卫星稳定运行的压力也将不断增加，这就要求研制单位应更加深入开展风险管理工作，增强风险管控能力。目前风险量化分析和风险管理效率尚有诸多不足之处，在下一步工作中各研制单位应继续研究、探索，不断提升型号风险分析和控制能力，切实保障北斗导航系统任务建设圆满成功。