很少有项目从一次爆炸开始，从一次故意的爆炸开始的项目就更少了。然而，每次航天飞机进入太空时，都需要通过火箭推进器的5次大爆炸，才能把飞行器推入环绕地球的轨道。在短短15分钟内，飞行器的速度从0升高到每小时28000公里。

航天飞机的发射是非常危险的事。2003年2月1日，哥伦比亚号航天飞机遇难事件让所有人震惊。现在看来很清楚，当航天飞机升空进入地球轨道时，一些燃料箱的隔绝材料脱落并撞击航天飞机，在左翼的前缘上钻了一个致命的洞。这个洞使得约5500摄氏度的超热气体在航天飞机返回地球时熔化了飞机的左翼，进而导致了飞机坠毁。

研究这次空难的结果时，人们得出结论：大多数项目经理处理的项目风险是那么的简单而直接。以编写软件为例，编写和交付计算机软件有它困难的地方，但是这种风险与航天飞机发射的风险不可同日而语。即使是标准的风险应对战略(回避、转嫁、减轻、接受)，在加速到每小时超过24000公里的速度时，都有了新的含义：

① 避免是不可能的；

② 只能积极地接受，不能消极地接受；

③ 转嫁是不可能的；

④ 减轻意味着要做非常多的工作，并且会面对极大的困难。

对于航天飞机来说，风险分析是非线性的。然而，对大多数软件项目来说，简单的线性影响分析可能就足够了。线性影响分析的方程为

风险的影响=风险的可能性×风险的后果

对于一个给定的风险事件，存在相应的风险发生可能性，以及风险发生后果。风险发生的后果，通常可以用对项目成本、时间进度和质量造成的一定数量单位的影响来表示。上面这个方程是一个简单的线性方程，如果方程右边的一个因素翻倍了，风险的影响也就翻倍了。因此，通过这个方程，可以理解风险的影响，并为这些影响做好计划。

大多数计算机软件项目的风险函数相对简单。这些风险要么发生，要么不发生。供货商要么按时供货，要么延迟供货时间。当一个特别的风险事件被触发时，通常需要几天的时间来启动“风险响应”。项目可能有十几个风险，但是每一个风险都可以用2～3个变量来定义。

对计算机软件项目来说，这种线性的风险管理方法有几个特点：

① 便于理解风险，而且很容易解释清楚；

② 管理层能够理解风险可能性及风险后果的分析流程；

③ 通常，任何一个风险事件都只有一个风险影响；

④ 没有人意识到，需要很多战略才能预期到一个风险事件导致的所有可能后果。

航天飞机加速到轨道速度过程中的外在撞击风险，是一个多变量、多维度、非线性的风险函数，非常难理解，更不用说管理这样的风险了，这种说法是有道理的。与管理计算机软件开发项目中遇到的项目风险相比较，管理这种风险要复杂得多。

1) 航天飞机发射的背景

航天飞机的3个液体燃料推进器需要非常多的超低温燃料。主燃料箱是隔绝材料制作的，以确保燃料的温度保持在零下几百摄氏度。就是这个隔绝材料，以前就曾从燃料箱上脱落并击中飞行器。大多数情况下，隔绝材料击中飞行器所造成的损害是非常小的，因为其使用的泡沫通常只有玉米粒大小。在以前的一两次发射中，这些泡沫曾经击落到飞行器上的金属片。幸运的是，飞行器还是安全返航了。所以大多数发射团队成员对哥伦比亚号被泡沫击中的消息并未给予关注，毕竟，如果这个风险在以前100次发射中都不是大问题，那么这次发射中也不会是个大问题。来回顾一下我们的线性影响方程：

风险的影响=风险的可能性×风险的后果

风险的可能性非常高，但是后果总是可以接受的。因此，结论是这个风险一直是可以接受的，这就是当风险事件在整个生命周期中只产生一个风险后果时导致的结论。人们主观上倾向于相信，将来必定是历史的重现。

2) 当航天飞机重新进入大气层时发生了什么

把轨道器发射进太空是一个问题，让轨道器返回则是另一个问题。重返大气层是一系列发展的、由计算机操纵把飞行器的速度转化为热能的机动过程。由于航天飞机金属元件的熔点只有1100摄氏度左右，因此轨道器的前缘采用陶瓷瓦覆盖，因为陶瓷瓦的熔点大约在1600摄氏度。重返大气层时，陶瓷瓦隔绝了大约500摄氏度的热量，使之不至于进入飞行器内部。如果一切顺利，轨道器首先在计算机的控制下将速度降至足够低，之后飞行员控制其完成最终着陆。

在哥伦比亚号发射时，泡沫撞击使左翼前缘的数片隔热瓦脱落，并形成了一个洞。在返回时，炽热的大气进入了哥伦比亚号的左翼，并熔化了其内部结构。当熔化到一定程度后，机翼完全毁坏，并最终导致整个轨道器的解体。

3) 问题

为了理解从助推火箭启动到十多分钟后助推火箭从轨道器上分离这一过程中外来物与航天飞机撞击的风险，我们需要哪些变量呢?

4) 风险函数

由于线性风险影响方程可能不再适用，如果想找到一个适用的风险函数，我们应该提出哪些问题呢?

让我们来考察一下，如果物体撞击航天飞机，你需要测量和跟踪些什么?

(1) 外来物的属性是什么?

① 你与什么撞击了?

② 长、宽、厚度是多少?

③ 物体的重量是多少?

④ 物体的坚硬程度如何?

⑤ 它像一发加农炮弹，像个哑铃，或是像一张纸?(www.daowen.com)

(2) 撞击的属性是什么?

① 撞到哪儿了?

② 影响到多个点吗?

③ 造成多大损坏?

④ 这是一个孤立事件，还是之后仍会发生多起类似事件?

⑤ 以什么角度撞击的? 是侧面擦过，还是正面碰撞?

⑥ 外来物体被撞飞了，还是留在了飞行器上?

⑦ 为什么会撞上了? 是飞行器偏离轨道了，还是有些东西裂开了?

(3) 飞行器的属性是什么?

① 在撞击时速度有多快?

② 是在复杂的机动过程中吗?

③ 撞击是否损坏了当前的飞行任务所正在使用的元件?

④ 撞击是否损坏了飞行任务后续阶段所需的元件?

以上当然不是一份完整的清单，但这已经比大多数项目经理经历过的风险管理要复杂上好几个级别了。不幸的是，问题还要更复杂。

飞行器的加速给风险函数增加了另一个维度。时速160公里时与物体相撞，不同于时速320公里时与物体相撞。损坏不是线性的——速度变成2倍，损坏也变成两倍。现在的风险函数已经变为非线性的了，速度翻倍时，损坏可能变为16倍之多，而不仅仅是2倍。这对于跟踪和记录正在发生事件的频度，有重大的影响。

时间也是一个关键的问题。在一个速度如此快的项目中，事件并不在你的掌控之中，不仅风险是非线性的，连响应也是不断变化的。在飞行器从静止加速到每小时24000公里的过程中，很多事情都可能在瞬间发生。

现在让我们看看，简单的风险影响方程发生了什么变化：

风险的影响=风险的可能性×风险的后果

现在，风险的可能性对于风险事件来说，基本上还是单个变量，不同的是，风险的后果变为多个变量的函数。要想计算这些变量的影响，必须先测量这些变量。而且，风险的后果可能是一个非线性函数。相较于为每个风险事件识别一个可能性及一个后果而言，这个问题变得复杂多了。

5) 结论

可能有必要把风险后果函数压缩成一些相对简单的方程，然后把这些简单的方程组合成一个复杂得多的数学表达式。比如，考虑维度、重量、速度等变量，我们怎样定义规则，才能很容易地计算风险影响，进而对风险应对产生价值呢?

规则1：如果长、宽、高的和小于30，那么风险等级定义为10；如果长、宽、高的和大于30，则风险等级定义为20。

规则2：如果重量大于500克，那么风险等级要乘以1.5。

规则3：每飞行5秒钟，风险等级加倍。

这一定义规则的流程，可以应用于所有相关的变量。

风险应对等级(Risk-Response-Level，简称RRL)是各个风险等级的和。RRL 小于50，代表事件不重要。如果RRL大于50且小于100，则需要启动流程A、 B、 C等，依次类推。

为了成功地管理项目的风险，事情越复杂，规则和预先计划好的应对措施就越重要。

6) 吸取的教训

查阅航天飞机坠毁前后的文章，可以得到以下几点。

(1) 在以前的发射中，航天飞机就曾在升空时被碎片击中。管理层认为，因为过去没出过问题，因此风险的影响是已知的，并且将来也不会改变。得到的教训：不要犯同样的错误。

(2) 风险可能很复杂。得到的教训：多学习风险及如何记录风险的影响，使得连不熟悉风险管理概念的经理也能掌握复杂的影响函数。

(3) 航天飞机的机组人员从来不知道这个飞机注定要坠毁。当他们意识到危险时，航天飞机已经解体了。得到的教训：生活就是这样，坏事常常发生得比你想象中的要频繁得多。

本案对应章节及知识点如表24-15所示。

表24-15　案例对应章节及知识点