风险评价是软件系统安全性工程中的一项重要内容，其目的是把注意力集中在安全性关键问题上，保证及时采取预防措施，避免日后进行昂贵的风险补偿行为。风险评价工作涉及多种可靠性安全性分析技术与分析项目，数据量大，数据关系复杂，是一项庞杂的工作，需要理清其工作程序与数据关系，以便使风险评价工作走向规范。本文首先介绍了安全性风险评价的基本概念，然后介绍了三种定性风险评价方法RAC、TREC、SCRAM和三种定量风险评价方法PRA、FEI 、GO－FLOW。
概要篇
1.国内外研究现状
系统安全性（System Safety）是近30年来适应复杂装备安全性需要而发展起来的一门综合性应用学科，也称为安全系统工程。它是以效能、进度和费用为约束条件，在装备寿命周期内的各阶段中，利用专业知识和系统工程方法，识别、评价、消除或控制系统或设备中的危险，从而使系统具有最佳的安全程度的工程技术。目前美国的国防、航空航天、核工业部门以及欧空局和俄罗斯（前苏联）的航空航天部门都制定了系统安全性工作的规范，并广泛开展了系统安全性工作。
早在六十年代，美国原子能委员会就提出了用风险来评估安全性。ISO8402（1994年）对安全性的定义为将伤害（对人）或损坏（对物）的风险限制在可接受水平的状态。在航天方面，ISO／TC20／SC14在1998年提出的术语与定义标准中对安全的定义为预期为控制由载人或不载人空间飞行任务活动中所产生的安全风险所进行的各种安排。目前国际上都用风险来定义安全性。
美国原子能委员会曾提出一个计算风险的公式

我国在1990年制定的GJB900《系统安全性通用大纲》中对风险的定义为危险事件的风险就是该事件的发生概率和损失程度的函数。这个概念涵盖了上面的计算公式，更准确且更具普遍意义。风险概念的提出使人们不仅可以定性而且可定量地描述安全性，还可以用不同的方法来评价安全性。风险评价的目的是把注意力集中在关键问题上，保证及时采取预防措施，避免日后进行昂贵的风险补偿行为。随着项目设计工作的展开，解决安全性问题所要付出的代价会成指数增加，因此对于大型复杂系统，在项目早期阶段就应该确定项目潜在风险，制定风险控制方案，拟定消除风险的方法。此外风险评价能帮助选择好的任务／设计方案。由此可见风险评价在系统安全性工作中有很重要的地位。
由于其重要作用，风险评价目前已受到国际上的重视，NASA、ESA等都已规范了风险评价方法，并制定了相应标准，如NASA的NASA8070.4《风险管理》和ESA的PSS－01－40《风险评价要求与方法》。美国、欧洲、日本均有专门从事风险研究的国际组织，并已举行多次有关的国际会议。我国对风险评价的研究始于80年代末，并在GJB900中规定了定性风险评价的工作内容，但总的说来我国的风险评价研究尚处在起步阶段，风险评价工作开展得不够广泛，在工程实践中很少进行完整的规范化的风险评价工作。
2.基本概念
危险
危险是系统安全性分析的核心，研究安全性也就是研究危险。危险有多个不同的定义。根据GJB900-90的定义，危险是可能导致事故的状态。美国的MIL-STD-882C和MIL-HDBK-764则把危险定义为事故的先决条件。ESA对危险的定义是可能造成桅或对安全性具有潜在威胁之源。由此综合得出，危险是指可能导致事故的现实的或潜在的条件或状态。这种状态包括物质状态、环境状态、人员活动状态以及它们的组合。如人站在楼顶边上就是一种危险的状态，如果再加上天正刮着大风这种环境状态，就变成一种更加危险的状态。
危险事件是指产生危险的事态，即可能导致发生事故或在事故前所发生的一些事件。事件是一种物质和人的活动模式。物质的危险事件有燃烧、爆炸、碰撞、破裂、倒塌、落下物、飞来物、触电、强光、毒物、放射性泄漏、高压、高低温等；人的危险事件有用手代替机器、接触危险部位、不正确工作姿态、冲击物下行动、在高速运行物下活动、操作失常等。
危险事件的发生可能会导致某种后果，比如人从楼上掉下来这个危险事件可能会导致人摔伤、摔残，也可能使人致死，这取决于楼的高度、人的身体素质、人掉下的姿势以及楼下的地面状况等因素。
事故是指一项正常进行的活动中断，并导致人身伤亡、职业病、设备损坏或财产损失的意外事件。事故的来源是存在的危险及激发事件。事故可以认为是由于未能鉴别现实的和潜在的危险或由于控制危险的措施不合理所造成。在定量的危险分析中常采用概率或频率形式的事故率来衡量事故发生的可能性。事故是由危险引发的，但从危险发展成为事故，必须有一定的条件，并经历一个演变过程，即系统状态变化的过程，如图1所示。
把前面的例子串起来一个人站在楼顶边上是危险状态，一阵大风吹来是激发因素，人失足坠楼是危险事件，人摔伤致残是后果，事故则是以上四者的结合即一个人站在楼顶边上时由于一阵大风而失足坠楼导致残废。
危险分析是指对系统设计、使用、维修以及与环境有关的所有危险进行系统化分析，以判别和评价危险或潜在危险的状态、可能相关的危险事件及其后果的桅性。
危险的控制与消除
对系统中有严重后果的危险特性要采取消除或控制危险的措施，提高系统安全性。消除或控制危险是对危险分析中确定的危险、危险状态或危险产生过程中的各个环节采取消除、最小化、控制措施来实现的。
危险消除是通过消除危险或危险状态来实现的，例如飞船生命保障系统采用纯氧方案是很危险的，容易引起火灾，可改为氧分压接近正常大气成分方案来消除危险。
危险控制是针对危险过程各环节，采取安全、报警、特殊规程等措施，来控制严重后果的发生，例如在容易引起火灾的系统中安装警告系统和自动灭火装置来控制火灾的发展。
危险最小化是通过降低危险或危险状态的影响到最小来实现的，如飞船采用不易燃材料以使火灾对飞船的影响减小到最低程度。

3.风险评价
风险来源于危险事件，是危险事件发生可能性和严重性的综合体现，即风险R是该事件发生的概率P和损失程度C的函数
R＝（P，C）

“可能性－后果”这对元素分布的模式称为风险剖面(或风险曲线)。可能性与后果可以分别沿着垂直坐标轴和水平坐标轴表示。图3给出了上述天气预报的风险剖面，两个离散的后果“有雨”与“无雨”，它们的可能性分别是30%和70%。
在某些情况下，后果可以连续地描述，它的点多得可以连续而不离散。此时，风险剖面就形成了一条曲线。例如，考虑一个投资问题，其中的后果是资金回报(收益或损失)。每一种可能性是实际经历的某一个回报的密度函数◇果与可能性形成了一连续的剖面(曲线)。图2是一密度剖面f(x)，其中正和负资金数分别表示收益和损失。

风险评价是确定危险的严重性和可能性，并据此评定系统或分系统及设备的预计损失和措施的有效性。安全性风险评价不同于一般的风险评价如对金融风险等进行的评价，而是在安全性工程中针对危险进行的。
风险评价在系统安全性工作中的作用有如下几个方面
评价装备设计是否使收益与风险达到最合理的平衡；
在装备试验或使用前或合同完成时，考核已判定的危险事件是否消除或控制在合同所规定的可接受水平；
为所提出的消除危险或将风险减少到可接受水平的措施所需的费用和时间提供决策支持；
评价装备的安全性是否符合有关标准和规定。
对危险进行风险评价的主要目的是进行危险的风险控制和风险消除，而消除和控制风险正是系统安全性的目标，因此风险评价在系统安全性中占有重要的位置。
风险评价的过程包括风险确定和风险评定两大部分，又可细分为风险鉴别、风险估算、风险处理、风险接受等4个方面。详见图4所示。风险鉴别是风险估算的前提，风险估算完成后还要对风险进行处理，在费用、进度、产品性能等约束条件下采取措施来控制或消除风险，最后根据残余的风险值和风险接受的标准来决定风险是否能够被接受。
风险评价与风险管理
风险管理是一项很重要的工作。从广义上讲，工程项目管理就是风险管理，它不仅包括技术风险，还包括费用风险、进度风险、计划风险、保障性风险等内容。安全性风险管理是其中一个环节，在安全性问题突出的工程项目中占有重要地位。它的目的是在给定的任务目标、费用、进度等条件限制下，使系统达到可接受的风险水平并使系统的安全性达到最优化，其过程包括
1) 危险消除、减少和控制；
2) 对1）的验证；
3) 残存风险接受。

风险评价是安全性风险管理工作的基础，它在下列方面对风险管理提供决策支持
1) 决定风险控制的优先顺序。对风险贡献最大者首先采取危险消除、减少和控制措施，以保证系统可用资源能用来最大限度地减少风险；
2) 对同一危险或危险状态的不同设计改进方案，通过风险评价得到各方案的风险水平，同时综合考虑方案的费用、进度、技术可行性等各个方面的因素，支持最佳方案选取；
3) 确定测试和验证工作的重点；
支持残存风险的接受。

定性风险评价篇
安全性风险评价方法可分为定性与定量两大类。
定性风险评价主要包括风险评估指数法RAC（Risk Assessment Code）、总风险暴露指数法TREC（Total Risk Exposure Code）、直接风险评估法SCRAM（Short-Cut Risk Assessment Method）等。其主要特点是对危险的可能性和严重程度不做精确的数值分析，而是大致将其划分为一些等级，然后把这两者用不同的方式综合起来衡量风险的大小及重要程度，并按大小和重要程度对风险进行分类排序，最后分别对不同种类的风险采取不同的措施，确定是接受风险还是改进设计、改善材料工艺、改变工作流程、加强人员培训以减小风险。
1.风险评估指数法RAC
RAC是定性风险评价最常用的方法，它将决定危险事件的风险的两种因素（即危险严重性和危险可能性），按其特点划分为相对的等级。不同的行业和部门可能有不同的划分方法，但一般说来，可能性等级通常分为5级，分别为A（频繁）、B（很可能）、C（有时）、D（极少）、E（不可能），严重性等级通常分为4级，分别为Ⅰ（灾难性的）、Ⅱ（严重的）、Ⅲ（轻度的）、Ⅳ（轻微的）。
定量风险评价篇
定量风险评价比定性方法更精细，也更复杂，包括很多种方法，主要有概率风险评价PRA（Probabilistic Risk Assessment）、GO-FLOW法、火灾爆炸指数法FEI（Fire Explosion Index）等。定量风险评价比定性方法更需要有可靠数据的支持，否则其优越性会无法发挥。这几种方法有各自不同的应用领域，在武器装备、航空航天等国防部门应用最广的是PRA法，而像FEI法则主要适用于化工行业。
1.概率风险评价PRA
PRA是最典型、应用最广的定量风险评价方法，又称PSA（Probabilistic Safety Assessment，概率安全评价）。PRA主要针对复杂系统进行风险评价，在核工业、化工、航天领域的安全性工作中有着重要的地位。其中NASA（美国航空航天局）和ESA（欧洲航天局）的PRA技术发展早，技术也比较成熟。PRA通过系统分析，以科学的方法考查系统风险后果的严重度并对其不确定性进行量化，支持安全风险的管理决策。PRA是一个综合的过程，是各种安全性分析方法的集成运用，它的主要工作包括风险模型建立和风险模型的定量化。风险模型包括描述危险事件发生可能性的模型和描述危险事件造成损失的模型，通常采用事件树与故障树相结合的方法建模。风险模型定量化主要是计算基本事件、危险事件发生概率的点估计和区间估计以及不确定性，在概率的意义上区分各种不同因素对风险影响的重要程度。
PRA的基本特点是基于事故场景进行风险研究。所谓的基于事故场景是指，在用PRA法进行风险评价时，首先要鉴别出系统所有可能的事故场景及其发生的后果和可能性。事故场景也就是发生事故的事件链，包括初始事件、一系列的中间事件（环节事件）和后果事件。事故场景开发的不完整或不准确，就无法准确地进行风险评价，从而不能有效地辅助管理决策。事故场景的识别在很大程度上依赖于分析人员的经验和知识水平、使用方法的熟练程度及对系统的熟悉程度，同时又要综合运用多种分析方法，如FTA、ETA、FMECA、PHA等来进行事故场景的开发。
ETA与FTA综合分析ETF是PRA的基本方法，故障树可以识别导致系统故障的部件失效(或人的错误)的组合，事件树用来确定导致不期望后果的系统故障次序。PRA风险模型的建立主要采用事件树和故障树模式的方法进行描述。
定量风险评价虽然理论上比定性方法精细，也更科学，但也有自身的局限性，如果没有足够多可用的安全性数据作为支持，误差逐级积累放大，PRA的数值结果就会由于误差太大而失去了实际价值，不仅显示不出其定量化的优越性，反而不如定性方法简洁有效。而在实际中，除了电子设备的故障率数据较多而且可靠以外，其它如大型机械、人为差错、环境因素的危险特性数据少而且不可靠，这就影响了PRA技术的推广使用。因而PRA仍是一项发展中的技术。
PRA的步骤
对不同的系统进行PRA的时机、范围、程度等具体要求不尽相同。但一般地，PRA由以下几个步骤构成
（1）研究熟悉系统
首先应全面熟悉所分析的系统，包括系统的设计、运行及其环境等各方面信息。这是进行其他工作的基础。
（2）分析初始事件
初始事件是事故场景的出发点。如果初始事件分析不完全，则无法分析出所有可能的事故场景，造成遗漏，因而也就无法得出正确全面的结论。初始事件的鉴别是一项复杂而重要的工作。可以使用危险分析如初步危险分析PHA以及包括危险与可运行性研究HAZOP、故障模式、影响及桅性分析FMECA、检查表、主逻辑框图等相关技术来分析初始事件。
（3）事件序列分析
系统对不同的初始事件存在不同的响应，因此事件的发展过程及结果也不一样。必须就系统或人对事件的不同响应而导致的事件链的不同发展过程进行分析鉴别。通常先生成系统的功能事件序列图，然后利用计算机辅助工具建立事件树进行分析。
（4）初始事件和中间事件概率的评估
识别出来的一个事故场景对应一个事件链。在一个事件链中，初始事件和中间事件都可能由部件或设备的失效而导致。若把这些事件作为顶事件，展开故障树分析，则可求出顶事件即事件链的初始事件或中间事件的发生概率。当某些事件不能展开故障树分析或展开分析也难以得到其发生概率时，则要采取其它的办法获得，其来源包括相似系统的经验数据、测试数据、分析结果，可用的通用数据或专家的判断。
（5）量化和不确定性分析
为了得到事件序列终态的概率以及将不同的初始事件和系统响应对风险的贡献大小排序，风险模型要进行定量化的评估。在建模的假设和输入数据中，存在着技术和统计上的不确定性，这种不确定性最终会传播到事件序列的终态事件。因此需要对最后的结果进行不确定性分析。
（6）后果分析
后果是风险的一个组成要素，不同的事件链将导致不同的后果◇果不仅包括当时影响，而且还包括事故对人员、环境和设备的长期影响。同一事故的后果也可因当时的环境条件的不同而不同，所以要对不同环境条件下的后果进行分析。
（7）风险排序和管理
基于事件树技术可计算出事故的发生概率。对于同一后果，可以对不同危险因素的风险予以排序。PRA不仅是一种风险评价方法，而且可以作为一种风险管理技术。风险评价结果与系统安全目标的比较，可作为决策者选择或修改设计方案，或针对潜在事故采取预防措施的重要依据。当损失可以货币表示时，PRA能支持对设计纠正的费-效评估。
评价方法
在安全性风险评价中，对于PRA分析的结果，通常用Farmer曲线进行风险评价。Farmer曲线是一种后果－概率（频率）曲线，它以事件序列的后果（损失费用，通常以美元表示）C为X轴，以事件序列的发生概率（频率）P为Y轴。由于风险R＝C*P，风险接受准则通常定为一个风险阈值Rt，风险大小明显超过Rt的事件序列是不可接受的，明显低于Rt的是可以接受的，在其附近的则要进一步分析或根据实际情况决定是否可以接受。由Rt决定的曲线称为等风险线，在Farmer图中为一双曲线。

由于后果与概率的范围很大，往往跨越好几个数量级，而且实际中两者之间往往存在反比关系，即后果越严重的发生概率越小，发生概率越大的后果通常也越轻。因此事件序列点在Farmer图中往往如图1所示集中于坐标轴的两头，不便于区分。为解决这一问题，我们可以把Farmer图的两个坐标进行对数转换，即用其指数值取代原值。这样等风险线就变成了一条折线，见图2，事件序列点的分布也从原来的集中变得分散，风险评价更加直观、明晰。
2.GO－FLOW法
GO－FLOW也是一种较好的定量风险评价方法。它的特点是能处理动态系统，ETF虽然在PRA中应用非常广泛，但它不能对发生事故后的系统动态响应进行建模，Takeshi Matsuoka和Michiyuki Kobayshi在GO法基础上提出的GO－FLOW法就较好地解决了这个问题。
GO－FLOW法的基础是决策树理论，它把系统图、流程图按一定的规则翻译成GO图（GO Chart）。翻译的过程是用表示部件功能的GO操作码去代替原理图中的部件，用GO图能更紧凑地反映某个系统在某些规定条件下的事故序列过程或者决策树的过程。
GO－FLOW法有以下优点
1） 它以决策树原则为基础，用系统的流程图来构成系统模型，系统的GO模型描述了系统的各个时间点的行为，既包括系统正常状态的特点，也反映系统在故障状态下的特征；
2） GO图是通过定义的GO操作码将原理图或流程图翻译成GO图。GO图中的操作码代表系统中各部件的功能转换关系。输入给操作码的事件即代表输入到部件的输入信号，经操作码的作用后生成输出事件。因此GO图能充分表达部件与系统的关系和相互作用以及信号的走向。每个操作码都反映了部件的功能，它们能表示部件的多种功能状态（目前可达128个），因此比FTA更精密、更复杂；
3） 侧重于分析成功或失效的因素和过程，可以求出系统成功或失效状态的所有部件成功或失效状态的组合；
4） 可以用来建造事件树，侧重于研究事件的过程，能有效地处理系统的动态行为。
GO－FLOW法的缺点主要是
1） 较复杂，不易被一般技术人员掌握；
2） 在GO法翻译过程中，除要求熟悉系统外，还要定义一定数量的GO操作码，在进行多状态处理时往往缺乏数据，工作量大；
3） GO－FLOW程序的编制过于复杂。
由于GO－FLOW法的这些缺点，影响了它在我们安全性风险评价工作中的应用，因此对它需作更深入的探讨，尤其是方法的计算机辅助化方面更应给予足够的重视。
3.火灾爆炸指数法FEI
FEI由美国道化学公司首创，基本原理是根据原材料易发生火灾和爆炸的物理化学性质结合它们的特殊危险和工艺处理的特点，对其潜在火灾爆炸的风险以指数进行定量的估算。FEI的过程大体如下
1) 将装备划分为单元
划分为单元的目的在于针对单元特性，抓住重点加以分析。
2) 求物质系数MF和特殊危险系数SMH
MF表示物质及其混合物对燃烧或爆炸的敏感性和难易程度，数值范围为1～20，是由其潜在危险总结而得到的。如木、纸的MF为3，氧和过氧化氢的MF则等于16。
SMF要在原有物质系数MF的基础上再加20～150％，如氧化剂增加0～20％，分解爆炸性物质增加125％。
3) 求工艺危险值GPH
相同的物质，工艺上危险程度不一定相同，故根据工艺过程危险性制定一个定量评价系数GPH。如对输送和仅发生物理变化的工艺系数，再增加25～30％；对于间断反应工艺，增加25～60％。
4) 求特殊工艺危险系数SPH
在工艺过程中如果有特殊的潜在危险，就再增加一个系数，如难以控制的反应再增加50～100％；高温工艺再增加20～30％；低温爆炸危险性较大物质，再增加60～100％。
5) 求火灾爆炸指数FEI
FEI＝MF（1＋SMH／100）（1＋GPH／100）（1＋SPH／100）
按计算所得FEI大小，风险可分为4级0～20为低风险，20～40为中等风险，40～90为高风险，90以上为极高风险。
参考文献
[1] GJB900-90《系统安全性通用大纲》，国防科工委军标出版发行部，1991
[2] 薛辉，可靠性分析软件现状及展望，质量与可靠性，1999，1
[3] 遇今，概率安全评估技术综述，质量与可靠性，1999，No.1，
[4] 遇今，ESA风险评估，质量与可靠性，1999，No.3
[5] [美]防务系统管理学院著，风险分析与管理指南，1992
[6] MIL－STD－882D《Standard Practice for System Safety Program Requirements》，Department of Defense，US，1996
[7] Geoff Wells，Hazard Identification and Risk Assessment，Institution of Chemical Engineers，UK，1996
[8] Takeshi MATSUOKA，Michiyuki KOBAYASHI，An Analysis of a Dynamic System by the GO-FLOW Methodology
[9] Eric S. Beckjord，Mark A. Cunningham，Joseph A. Murphy，Probabilistic Safety assessment development in the United States 1972-1990，Reliability Engineering and System Safety，1993，39