1、v1.0可編輯可修改軟件系統(tǒng)安全性風(fēng)險(xiǎn)評(píng)價(jià)（上）風(fēng)險(xiǎn)評(píng)價(jià)是軟件系統(tǒng)安全性工程中的一項(xiàng)重要內(nèi)容，其目的是把注意力集中在安全性關(guān)鍵問(wèn)題上，保證及時(shí)采取預(yù)防措施，避免日后進(jìn)行昂貴的風(fēng)險(xiǎn)補(bǔ)償行為。風(fēng)險(xiǎn)評(píng)價(jià)工作涉及多種可靠性安全性分析技術(shù)與分析項(xiàng)目，數(shù)據(jù)量大，數(shù)據(jù)關(guān)系復(fù)雜，是一項(xiàng)龐雜的工作，需要理清其工作程序與數(shù)據(jù)關(guān)系，以便使風(fēng)險(xiǎn)評(píng)價(jià)工作走向規(guī)范。本文首先介紹了安全性風(fēng)險(xiǎn)評(píng)價(jià)的基本概念，然后介紹了三種定性風(fēng)險(xiǎn)評(píng)價(jià)方法：RACTRECSCRAMI口三種定量風(fēng)險(xiǎn)評(píng)價(jià)方法：PRAFEI、GO-FLOW概要篇1 .國(guó)內(nèi)外研究現(xiàn)狀系統(tǒng)安全性（SystemSafety）是近30年來(lái)適應(yīng)復(fù)雜裝備安全性需要而發(fā)展起來(lái)的

2、一門(mén)綜合性應(yīng)用學(xué)科，也稱(chēng)為安全系統(tǒng)工程。它是以效能、進(jìn)度和費(fèi)用為約束條件，在裝備壽命周期內(nèi)的各階段中，利用專(zhuān)業(yè)知識(shí)和系統(tǒng)工程方法，識(shí)別、評(píng)價(jià)、消除或控制系統(tǒng)或設(shè)備中的危險(xiǎn)，從而使系統(tǒng)具有最佳的安全程度的工程技術(shù)。目前美國(guó)的國(guó)防、航空航天、核工業(yè)部門(mén)以及歐空局和俄羅斯（前蘇聯(lián)）的航空航天部門(mén)都制定了系統(tǒng)安全性工作的規(guī)范，并廣泛開(kāi)展了系統(tǒng)安全性工作。早在六十年代，美國(guó)原子能委員會(huì)就提出了用風(fēng)險(xiǎn)來(lái)評(píng)估安全性。ISO8402（1994年）對(duì)安全性的定義為：將傷害（對(duì)人）或損壞（對(duì)物）的風(fēng)險(xiǎn)限制在可接受水平的狀態(tài)。在航天方面，ISO/TC20/SC14在1998年提出的術(shù)語(yǔ)與定義標(biāo)準(zhǔn)中對(duì)安全的定義為：預(yù)

3、期為控制由載人或不載人空間飛行任務(wù)活動(dòng)中所產(chǎn)生的安全風(fēng)險(xiǎn)所進(jìn)行的各種安排。目前國(guó)際上都用風(fēng)險(xiǎn)來(lái)定義安全性。美國(guó)原子能委員會(huì)曾提出一個(gè)計(jì)算風(fēng)險(xiǎn)的公式：風(fēng)險(xiǎn)（損失程度單位時(shí)間危險(xiǎn)事件H重忖損失程度） 單位時(shí)間"危險(xiǎn)事件我國(guó)在1990年制定的GJB900系統(tǒng)安全性通用大綱中對(duì)風(fēng)險(xiǎn)的定義為：危險(xiǎn)事件的風(fēng)險(xiǎn)就是該事件的發(fā)生概率和損失程度的函數(shù)。這個(gè)概念涵蓋了上面的計(jì)算公式，更準(zhǔn)確且更具普遍意義。風(fēng)險(xiǎn)概念的提出使人們不僅可以定性而且可定量地描述安全性，還可以用不同的方法來(lái)評(píng)價(jià)安全性。風(fēng)險(xiǎn)評(píng)價(jià)的目的是把注意力集中在關(guān)鍵問(wèn)題上，保證及時(shí)采取預(yù)防措施，避免日后進(jìn)行昂貴的風(fēng)險(xiǎn)補(bǔ)償行為。隨著項(xiàng)目設(shè)計(jì)工作的

4、展開(kāi)，解決安全性問(wèn)題所要付出的代價(jià)會(huì)成指數(shù)增加，因此對(duì)于大型復(fù)雜系統(tǒng)，在項(xiàng)目早期階段就應(yīng)該確定項(xiàng)目潛在風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制方案，擬定消除風(fēng)險(xiǎn)的方法。此外風(fēng)險(xiǎn)評(píng)價(jià)能幫助選擇好的任務(wù)/設(shè)計(jì)方案。由此可見(jiàn)風(fēng)險(xiǎn)評(píng)價(jià)在系統(tǒng)安全性工作中有很重要的地位。由于其重要作用，風(fēng)險(xiǎn)評(píng)價(jià)目前已受到國(guó)際上的重視，NASAESA等都已規(guī)范了風(fēng)險(xiǎn)評(píng)價(jià)方法，并制定了相應(yīng)標(biāo)準(zhǔn)，如NASA勺風(fēng)險(xiǎn)管理和ESA的PSS-01-40風(fēng)險(xiǎn)評(píng)價(jià)要求與方法。美國(guó)、歐洲、日本均有專(zhuān)門(mén)從事風(fēng)險(xiǎn)研究的國(guó)際組織，并已舉行多次有關(guān)的國(guó)際會(huì)議。我國(guó)對(duì)風(fēng)險(xiǎn)評(píng)價(jià)的研究始于80年代末，并在GJB900中規(guī)定了定性風(fēng)險(xiǎn)評(píng)價(jià)的工作內(nèi)容，但總的說(shuō)來(lái)我國(guó)的風(fēng)險(xiǎn)評(píng)價(jià)研究

5、尚處在起步階段，風(fēng)險(xiǎn)評(píng)價(jià)工作開(kāi)展得不夠廣泛，在口程實(shí)踐中很少進(jìn)行完整的規(guī)范化的風(fēng)險(xiǎn)評(píng)價(jià)工作。2 .基本概念危險(xiǎn)危險(xiǎn)是系統(tǒng)安全性分析的核心，研究安全性也就是研究危險(xiǎn)。危險(xiǎn)有多個(gè)不同的定義。根據(jù)GJB900-90的定義，危險(xiǎn)是可能導(dǎo)致事故的狀態(tài)。美國(guó)的MIL-STD-882C和MIL-HDBK-764則把危險(xiǎn)定義為：事故的先決條件。ESA寸危險(xiǎn)的定義是：可能造成危害或?qū)Π踩跃哂袧撛谕{之源。由此綜合得出，危險(xiǎn)是指可能導(dǎo)致事故的現(xiàn)實(shí)的或潛在的條件或狀態(tài)。這種狀態(tài)包括物質(zhì)狀態(tài)、環(huán)境狀態(tài)、人員活動(dòng)狀態(tài)以及它們的組合。如人站在樓頂邊上就是一種危險(xiǎn)的狀態(tài)，如果再加上天正刮著大風(fēng)這種環(huán)境狀態(tài)，就變成一種更加

6、危險(xiǎn)的狀態(tài)。危險(xiǎn)事件是指產(chǎn)生危險(xiǎn)的事態(tài)，即可能導(dǎo)致發(fā)生事故或在事故前所發(fā)生的一些事件。事件是一種物質(zhì)和人的活動(dòng)模式。物質(zhì)的危險(xiǎn)事件有燃燒、爆炸、碰撞、破裂、倒塌、落下物、飛來(lái)物、觸電、強(qiáng)光、毒物、放射性泄漏、高壓、高低溫等；人的危險(xiǎn)事件有用手代替機(jī)器、接觸危險(xiǎn)部位、不正確工作姿態(tài)、沖擊物下行動(dòng)、在高速運(yùn)行物下活動(dòng)、操作失常等。危險(xiǎn)事件的發(fā)生可能會(huì)導(dǎo)致某種后果，比如人從樓上掉下來(lái)這個(gè)危險(xiǎn)事件可能會(huì)導(dǎo)致人摔傷、摔殘，也可能使人致死，這取決于樓的高度、人的身體素質(zhì)、人掉下的姿勢(shì)以及樓下的地面狀況等因素。事故是指一項(xiàng)正常進(jìn)行的活動(dòng)中斷，并導(dǎo)致人身傷亡、職業(yè)病、設(shè)備損壞或財(cái)產(chǎn)損失的意外事件。事故的來(lái)源是

7、存在的危險(xiǎn)及激發(fā)事件。事故可以認(rèn)為是由于未能鑒別現(xiàn)實(shí)的和潛在的危險(xiǎn)或由于控制危險(xiǎn)的措施不合理所造成。在定量的危險(xiǎn)分析中常采用概率或頻率形式的事故率來(lái)衡量事故發(fā)生的可能性。事故是由危險(xiǎn)引發(fā)的，但從危險(xiǎn)發(fā)展成為事故，必須有一定的條件，并經(jīng)歷一個(gè)演變過(guò)程，即系統(tǒng)狀態(tài)變化的過(guò)程，如圖1所示。把前面的例子串起來(lái)：一個(gè)人站在樓頂邊上是危險(xiǎn)狀態(tài)，一陣大風(fēng)吹來(lái)是激發(fā)因素，人失足墜樓是危險(xiǎn)事件，人摔傷致殘是后果，事故則是以上四者的結(jié)合即一個(gè)人站在樓頂邊上時(shí)由于一陣大風(fēng)而失足墜樓導(dǎo)致殘廢。危險(xiǎn)分析是指對(duì)系統(tǒng)設(shè)計(jì)、使用、維修以及與環(huán)境有關(guān)的所有危險(xiǎn)進(jìn)行系統(tǒng)化分析，以判別和評(píng)價(jià)危險(xiǎn)或潛在危險(xiǎn)的狀態(tài)、可能相關(guān)的危險(xiǎn)事件

8、及其后果的危害性。危險(xiǎn)的控制與消除對(duì)系統(tǒng)中有嚴(yán)重后果的危險(xiǎn)特性要采取消除或控制危險(xiǎn)的措施，提高系統(tǒng)安全性。消除或控制危險(xiǎn)是對(duì)危險(xiǎn)分析中確定的危險(xiǎn)、危險(xiǎn)狀態(tài)或危險(xiǎn)產(chǎn)生過(guò)程中的各個(gè)環(huán)節(jié)采取消除、最小化、控制措施來(lái)實(shí)現(xiàn)的。危險(xiǎn)消除：是通過(guò)消除危險(xiǎn)或危險(xiǎn)狀態(tài)來(lái)實(shí)現(xiàn)的，例如飛船生命保障系統(tǒng)采用純氧方案是很危險(xiǎn)的，容易引起火災(zāi)，可改為氧分壓接近正常大氣成分方案來(lái)消除危險(xiǎn)。危險(xiǎn)控制：是針對(duì)危險(xiǎn)過(guò)程各環(huán)節(jié)，采取安全、報(bào)警、特殊規(guī)程等措施，來(lái)控制嚴(yán)重后果的發(fā)生，例如在容易引起火災(zāi)的系統(tǒng)中安裝警告系統(tǒng)和自動(dòng)滅火裝置來(lái)控制火災(zāi)的發(fā)展。危險(xiǎn)最小化：是通過(guò)降低危險(xiǎn)或危險(xiǎn)狀態(tài)的影響到最小來(lái)實(shí)現(xiàn)的，如飛船采用不易燃材料以使

9、火災(zāi)對(duì)飛船的影響減小到最低程度。7傳播曬間I危險(xiǎn)蔽過(guò)程3 .風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)來(lái)源于危險(xiǎn)事件,是危險(xiǎn)事件發(fā)生可能性和嚴(yán)重性的綜合體現(xiàn),即風(fēng)險(xiǎn)R是該事件發(fā)生的概率P和損失程度C的函數(shù):R=(P,C)“可能性-后果”這對(duì)元素分布的模式稱(chēng)為風(fēng)險(xiǎn)剖面（或風(fēng)險(xiǎn)曲線）?？赡苄耘c后果可以分別沿著垂直坐標(biāo)軸和水平坐標(biāo)軸表示。圖3給出了上述天氣預(yù)報(bào)的風(fēng)險(xiǎn)剖面，兩個(gè)離散的后果：“有雨”與“無(wú)雨”，它們的可能性分別是30啼口70%在某些情況下，后果可以連續(xù)地描述，它的點(diǎn)多得可以連續(xù)而不離散。此時(shí)，風(fēng)險(xiǎn)剖面就形成了一條曲線。例如，考慮一個(gè)投資問(wèn)題，其中的后果是資金回報(bào)（收益或損失）。每一種可能性是實(shí)際經(jīng)歷的某一個(gè)回報(bào)的密度

10、函數(shù)。后果與可能性形成了一連續(xù)的剖面（曲線）。圖2是一密度剖面f（x）,其中正和負(fù)資金數(shù)分別表示收益和損失。用3天包報(bào)中的一個(gè)藺單風(fēng)險(xiǎn)蓄而風(fēng)險(xiǎn)評(píng)價(jià)是確定危險(xiǎn)的嚴(yán)重性和可能性，并據(jù)此評(píng)定系統(tǒng)或分系統(tǒng)及設(shè)備的預(yù)計(jì)損失和措施的有效性。安全性風(fēng)險(xiǎn)評(píng)價(jià)不同于一般的風(fēng)險(xiǎn)評(píng)價(jià)如對(duì)金融風(fēng)險(xiǎn)等進(jìn)行的評(píng)價(jià)，而是在安全性工程中針對(duì)危險(xiǎn)進(jìn)行的。風(fēng)險(xiǎn)評(píng)價(jià)在系統(tǒng)安全性工作中的作用有如下幾個(gè)方面：評(píng)價(jià)裝備設(shè)計(jì)是否使收益與風(fēng)險(xiǎn)達(dá)到最合理的平衡；在裝備試驗(yàn)或使用前或合同完成時(shí)，考核已判定的危險(xiǎn)事件是否消除或控制在合同所規(guī)定的可接受水平；為所提出的消除危險(xiǎn)或?qū)L(fēng)險(xiǎn)減少到可接受水平的措施所需的費(fèi)用和時(shí)間提供決策支才I;評(píng)價(jià)裝備的安

11、全性是否符合有關(guān)標(biāo)準(zhǔn)和規(guī)定。對(duì)危險(xiǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)的主要目的是進(jìn)行危險(xiǎn)的風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)消除，而消除和控制風(fēng)險(xiǎn)正是系統(tǒng)安全性的目標(biāo)，因此風(fēng)險(xiǎn)評(píng)價(jià)在系統(tǒng)安全性中占有重要的位置。風(fēng)險(xiǎn)評(píng)價(jià)的過(guò)程包括風(fēng)險(xiǎn)確定和風(fēng)險(xiǎn)評(píng)定兩大部分，又可細(xì)分為風(fēng)險(xiǎn)鑒別、風(fēng)險(xiǎn)估算、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受等4個(gè)方面。詳見(jiàn)圖4所示。風(fēng)險(xiǎn)鑒別是風(fēng)險(xiǎn)估算的前提，風(fēng)險(xiǎn)估算完成后還要對(duì)風(fēng)險(xiǎn)進(jìn)行處理，在費(fèi)用、進(jìn)度、產(chǎn)品性能等約束條件下采取措施來(lái)控制或消除風(fēng)險(xiǎn)，最后根據(jù)殘余的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)接受的標(biāo)準(zhǔn)來(lái)決定風(fēng)險(xiǎn)是否能夠被接受。風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是一項(xiàng)很重要的工作。從廣義上講，工程項(xiàng)目管理就是風(fēng)險(xiǎn)管理，它不僅包括技術(shù)風(fēng)險(xiǎn)，還包括費(fèi)用風(fēng)險(xiǎn)、進(jìn)度風(fēng)險(xiǎn)、計(jì)劃風(fēng)險(xiǎn)、保障性風(fēng)險(xiǎn)等內(nèi)容。安全性風(fēng)險(xiǎn)管理是其中一個(gè)環(huán)節(jié)，在安全性問(wèn)題突出的工程項(xiàng)目中占有重要地位。它的目的是在給定的任務(wù)目標(biāo)、費(fèi)用、進(jìn)度等條件限制下，使系統(tǒng)達(dá)到可接受的風(fēng)險(xiǎn)水平并使系統(tǒng)的安全性達(dá)到最優(yōu)化，其過(guò)程包括：1）危險(xiǎn)消除、減少和控制2）對(duì)1）的驗(yàn)證；3）殘存風(fēng)險(xiǎn)接受。S4風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程風(fēng)險(xiǎn)評(píng)價(jià)是安全性風(fēng)險(xiǎn)管理工作的基礎(chǔ)