1、軟件系統(tǒng)安全性風險評價（上）風險評價是軟件系統(tǒng)安全性工程中的一項重要內容，其目的是把注意力集中在安全性關鍵問題上，保證及時采取預防措施，避免日后進行昂貴的風險補償行為。風險評價工作涉及多種可靠性安全性分析技術與分析項目，數(shù)據(jù)量大，數(shù)據(jù)關系復雜，是一項龐雜的工作，需要理清其工作程序與數(shù)據(jù)關系，以便使風險評價工作走向規(guī)范。本文首先介紹了安全性風險評價的基本概念，然后介紹了三種定性風險評價方法：RAC、TREC、SCRAM和三種定量風險評價方法：PRA、FEI 、GO-FLOW。概要篇1.國內外研究現(xiàn)狀系統(tǒng)安全性(System Safety)是近30年來適應復雜裝備安全性需要而發(fā)展起來的一門綜合性應

2、用學科，也稱為安全系統(tǒng)工程。它是以效能、進度和費用為約束條件，在裝備壽命周期內的各階段中，利用專業(yè)知識和系統(tǒng)工程方法，識別、評價、消除或控制系統(tǒng)或設備中的危險，從而使系統(tǒng)具有最佳的安全程度的工程技術。目前美國的國防、航空航天、核工業(yè)部門以及歐空局和俄羅斯(前蘇聯(lián))的航空航天部門都制定了系統(tǒng)安全性工作的規(guī)范，并廣泛開展了系統(tǒng)安全性工作。早在六十年代，美國原子能委員會就提出了用風險來評估安全性。ISO8402(1994年)對安全性的定義為：將傷害(對人)或損壞(對物)的風險限制在可接受水平的狀態(tài)。在航天方面，ISO/TC20/SC14在1998年提出的術語與定義標準中對安全的定義為：預期為控制由載

3、人或不載人空間飛行任務活動中所產生的安全風險所進行的各種安排。目前國際上都用風險來定義安全性。美國原子能委員會曾提出一個計算風險的公式： 我國在1990年制定的GJB900系統(tǒng)安全性通用大綱中對風險的定義為：危險事件的風險就是該事件的發(fā)生概率和損失程度的函數(shù)。這個概念涵蓋了上面的計算公式，更準確且更具普遍意義。風險概念的提出使人們不僅可以定性而且可定量地描述安全性，還可以用不同的方法來評價安全性。風險評價的目的是把注意力集中在關鍵問題上，保證及時采取預防措施，避免日后進行昂貴的風險補償行為。隨著項目設計工作的展開，解決安全性問題所要付出的代價會成指數(shù)增加，因此對于大型復雜系統(tǒng)，在項目早期階段就

4、應該確定項目潛在風險，制定風險控制方案，擬定消除風險的方法。此外風險評價能幫助選擇好的任務/設計方案。由此可見風險評價在系統(tǒng)安全性工作中有很重要的地位。由于其重要作用，風險評價目前已受到國際上的重視，NASA、ESA等都已規(guī)范了風險評價方法，并制定了相應標準，如NASA的NASA8070.4風險管理和ESA的PSS-01-40風險評價要求與方法。美國、歐洲、日本均有專門從事風險研究的國際組織，并已舉行多次有關的國際會議。我國對風險評價的研究始于80年代末，并在GJB900中規(guī)定了定性風險評價的工作內容，但總的說來我國的風險評價研究尚處在起步階段，風險評價工作開展得不夠廣泛，在工程實踐中很少進行

5、完整的規(guī)范化的風險評價工作。2.基本概念危險危險是系統(tǒng)安全性分析的核心，研究安全性也就是研究危險。危險有多個不同的定義。根據(jù)GJB900-90的定義，危險是可能導致事故的狀態(tài)。美國的MIL-STD-882C和MIL-HDBK-764則把危險定義為：事故的先決條件。ESA對危險的定義是：可能造成危害或對安全性具有潛在威脅之源。由此綜合得出，危險是指可能導致事故的現(xiàn)實的或潛在的條件或狀態(tài)。這種狀態(tài)包括物質狀態(tài)、環(huán)境狀態(tài)、人員活動狀態(tài)以及它們的組合。如人站在樓頂邊上就是一種危險的狀態(tài)，如果再加上天正刮著大風這種環(huán)境狀態(tài)，就變成一種更加危險的狀態(tài)。危險事件是指產生危險的事態(tài)，即可能導致發(fā)生事故或在事故

6、前所發(fā)生的一些事件。事件是一種物質和人的活動模式。物質的危險事件有燃燒、爆炸、碰撞、破裂、倒塌、落下物、飛來物、觸電、強光、毒物、放射性泄漏、高壓、高低溫等;人的危險事件有用手代替機器、接觸危險部位、不正確工作姿態(tài)、沖擊物下行動、在高速運行物下活動、操作失常等。危險事件的發(fā)生可能會導致某種后果，比如人從樓上掉下來這個危險事件可能會導致人摔傷、摔殘，也可能使人致死，這取決于樓的高度、人的身體素質、人掉下的姿勢以及樓下的地面狀況等因素。事故是指一項正常進行的活動中斷，并導致人身傷亡、職業(yè)病、設備損壞或財產損失的意外事件。事故的來源是存在的危險及激發(fā)事件。事故可以認為是由于未能鑒別現(xiàn)實的和潛在的危險

7、或由于控制危險的措施不合理所造成。在定量的危險分析中常采用概率或頻率形式的事故率來衡量事故發(fā)生的可能性。事故是由危險引發(fā)的，但從危險發(fā)展成為事故，必須有一定的條件，并經歷一個演變過程，即系統(tǒng)狀態(tài)變化的過程，如圖1所示。把前面的例子串起來：一個人站在樓頂邊上是危險狀態(tài)，一陣大風吹來是激發(fā)因素，人失足墜樓是危險事件，人摔傷致殘是后果，事故則是以上四者的結合即一個人站在樓頂邊上時由于一陣大風而失足墜樓導致殘廢。危險分析是指對系統(tǒng)設計、使用、維修以及與環(huán)境有關的所有危險進行系統(tǒng)化分析，以判別和評價危險或潛在危險的狀態(tài)、可能相關的危險事件及其后果的危害性。危險的控制與消除對系統(tǒng)中有嚴重后果的危險特性要采

8、取消除或控制危險的措施，提高系統(tǒng)安全性。消除或控制危險是對危險分析中確定的危險、危險狀態(tài)或危險產生過程中的各個環(huán)節(jié)采取消除、最小化、控制措施來實現(xiàn)的。危險消除：是通過消除危險或危險狀態(tài)來實現(xiàn)的，例如飛船生命保障系統(tǒng)采用純氧方案是很危險的，容易引起火災，可改為氧分壓接近正常大氣成分方案來消除危險。危險控制：是針對危險過程各環(huán)節(jié)，采取安全、報警、特殊規(guī)程等措施，來控制嚴重后果的發(fā)生，例如在容易引起火災的系統(tǒng)中安裝警告系統(tǒng)和自動滅火裝置來控制火災的發(fā)展。危險最小化：是通過降低危險或危險狀態(tài)的影響到最小來實現(xiàn)的，如飛船采用不易燃材料以使火災對飛船的影響減小到最低程度。 3.風險評價風險來源于危險事件，

9、是危險事件發(fā)生可能性和嚴重性的綜合體現(xiàn)，即風險R是該事件發(fā)生的概率P和損失程度C的函數(shù)：R=(P，C) “可能性-后果”這對元素分布的模式稱為風險剖面(或風險曲線)。可能性與后果可以分別沿著垂直坐標軸和水平坐標軸表示。圖3給出了上述天氣預報的風險剖面，兩個離散的后果：“有雨”與“無雨”，它們的可能性分別是30%和70%。在某些情況下，后果可以連續(xù)地描述，它的點多得可以連續(xù)而不離散。此時，風險剖面就形成了一條曲線。例如，考慮一個投資問題，其中的后果是資金回報(收益或損失)。每一種可能性是實際經歷的某一個回報的密度函數(shù)。后果與可能性形成了一連續(xù)的剖面(曲線)。圖2是一密度剖面f(x)，其中正和負資

10、金數(shù)分別表示收益和損失。 風險評價是確定危險的嚴重性和可能性，并據(jù)此評定系統(tǒng)或分系統(tǒng)及設備的預計損失和措施的有效性。安全性風險評價不同于一般的風險評價如對金融風險等進行的評價，而是在安全性工程中針對危險進行的。風險評價在系統(tǒng)安全性工作中的作用有如下幾個方面：評價裝備設計是否使收益與風險達到最合理的平衡;在裝備試驗或使用前或合同完成時，考核已判定的危險事件是否消除或控制在合同所規(guī)定的可接受水平;為所提出的消除危險或將風險減少到可接受水平的措施所需的費用和時間提供決策支持;評價裝備的安全性是否符合有關標準和規(guī)定。對危險進行風險評價的主要目的是進行危險的風險控制和風險消除，而消除和控制風險正是系統(tǒng)安

11、全性的目標，因此風險評價在系統(tǒng)安全性中占有重要的位置。風險評價的過程包括風險確定和風險評定兩大部分，又可細分為風險鑒別、風險估算、風險處理、風險接受等4個方面。詳見圖4所示。風險鑒別是風險估算的前提，風險估算完成后還要對風險進行處理，在費用、進度、產品性能等約束條件下采取措施來控制或消除風險，最后根據(jù)殘余的風險值和風險接受的標準來決定風險是否能夠被接受。風險評價與風險管理風險管理是一項很重要的工作。從廣義上講，工程項目管理就是風險管理，它不僅包括技術風險，還包括費用風險、進度風險、計劃風險、保障性風險等內容。安全性風險管理是其中一個環(huán)節(jié)，在安全性問題突出的工程項目中占有重要地位。它的目的是在給定的任務目標、費用、進度等條件限制下，使系統(tǒng)達到可接受的風險水平并使系統(tǒng)的安全性達到最優(yōu)化，其過程包括：1) 危險消除、減少和控制;2) 對1)的驗證;3) 殘存風險接受。 風險評價是安全性風險管理工作的基礎，它在下列方