《软件系统安全性风险评价(下)》由会员分享,可在线阅读,更多相关《软件系统安全性风险评价(下)(4页珍藏版)》请在金锄头文库上搜索。
1、软件系统安全性风险评价(下)软件系统安全性风险评价(下) 51CMM.COM 原创 作者:何云 2003/08/18定量风险评价篇定量风险评价篇定量风险评价比定性方法更精细,也更复杂,包括很多种方法,主要有概率风险评价 PRA(Probabilistic Risk Assessment) 、GO-FLOW 法、火灾爆炸指数法 FEI(Fire Explosion Index)等。定量风险评价比定性方法更需要有可靠数据的支持,否则其优越性会无法发挥。这几种方法有各自不同的应用领域,在武器装备、航空航天等国防部门应用最广的是 PRA 法,而像 FEI 法则主要适用于化工行业。1.概率风险评价概率风
2、险评价 PRAPRA 是最典型、应用最广的定量风险评价方法,又称 PSA(Probabilistic Safety Assessment,概率安全评价)。PRA 主要针对复杂系统进行风险评价,在核工业、化工、航天领域的安全性工作中有着重要的地位。其中 NASA(美国航空航天局)和 ESA(欧洲航天局)的 PRA 技术发展早,技术也比较成熟。PRA 通过系统分析,以科学的方法考查系统风险后果的严重度并对其不确定性进行量化,支持安全风险的管理决策。PRA 是一个综合的过程,是各种安全性分析方法的集成运用,它的主要工作包括风险模型建立和风险模型的定量化。风险模型包括描述危险事件发生可能性的模型和描述
3、危险事件造成损失的模型,通常采用事件树与故障树相结合的方法建模。风险模型定量化主要是计算基本事件、危险事件发生概率的点估计和区间估计以及不确定性,在概率的意义上区分各种不同因素对风险影响的重要程度。PRA 的基本特点是基于事故场景进行风险研究。所谓的基于事故场景是指,在用 PRA 法进行风险评价时,首先要鉴别出系统所有可能的事故场景及其发生的后果和可能性。事故场景也就是发生事故的事件链,包括初始事件、一系列的中间事件(环节事件)和后果事件。事故场景开发的不完整或不准确,就无法准确地进行风险评价,从而不能有效地辅助管理决策。事故场景的识别在很大程度上依赖于分析人员的经验和知识水平、使用方法的熟练
4、程度及对系统的熟悉程度,同时又要综合运用多种分析方法,如FTA、ETA、FMECA、PHA 等来进行事故场景的开发。ETA 与 FTA 综合分析 ETF 是 PRA 的基本方法,故障树可以识别导致系统故障的部件失效(或人的错误)的组合,事件树用来确定导致不期望后果的系统故障次序。PRA 风险模型的建立主要采用事件树和故障树模式的方法进行描述。定量风险评价虽然理论上比定性方法精细,也更科学,但也有自身的局限性,如果没有足够多可用的安全性数据作为支持,误差逐级积累放大,PRA 的数值结果就会由于误差太大而失去了实际价值,不仅显示不出其定量化的优越性,反而不如定性方法简洁有效。而在实际中,除了电子设
5、备的故障率数据较多而且可靠以外,其它如大型机械、人为差错、环境因素的危险特性数据少而且不可靠,这就影响了 PRA 技术的推广使用。因而 PRA 仍是一项发展中的技术。PRA 的步骤的步骤对不同的系统进行 PRA 的时机、范围、程度等具体要求不尽相同。但一般地,PRA 由以下几个步骤构成:(1)研究熟悉系统首先应全面熟悉所分析的系统,包括系统的设计、运行及其环境等各方面信息。这是进行其他工作的基础。(2)分析初始事件初始事件是事故场景的出发点。如果初始事件分析不完全,则无法分析出所有可能的事故场景,造成遗漏,因而也就无法得出正确全面的结论。初始事件的鉴别是一项复杂而重要的工作。可以使用危险分析如
6、初步危险分析 PHA 以及包括危险与可运行性研究 HAZOP、故障模式、影响及危害性分析 FMECA、检查表、主逻辑框图等相关技术来分析初始事件。(3)事件序列分析系统对不同的初始事件存在不同的响应,因此事件的发展过程及结果也不一样。必须就系统或人对事件的不同响应而导致的事件链的不同发展过程进行分析鉴别。通常先生成系统的功能事件序列图,然后利用计算机辅助工具建立事件树进行分析。(4)初始事件和中间事件概率的评估识别出来的一个事故场景对应一个事件链。在一个事件链中,初始事件和中间事件都可能由部件或设备的失效而导致。若把这些事件作为顶事件,展开故障树分析,则可求出顶事件即事件链的初始事件或中间事件
7、的发生概率。当某些事件不能展开故障树分析或展开分析也难以得到其发生概率时,则要采取其它的办法获得,其来源包括相似系统的经验数据、测试数据、分析结果,可用的通用数据或专家的判断。(5)量化和不确定性分析为了得到事件序列终态的概率以及将不同的初始事件和系统响应对风险的贡献大小排序,风险模型要进行定量化的评估。在建模的假设和输入数据中,存在着技术和统计上的不确定性,这种不确定性最终会传播到事件序列的终态事件。因此需要对最后的结果进行不确定性分析。(6)后果分析后果是风险的一个组成要素,不同的事件链将导致不同的后果。后果不仅包括当时影响,而且还包括事故对人员、环境和设备的长期影响。同一事故的后果也可因
8、当时的环境条件的不同而不同,所以要对不同环境条件下的后果进行分析。(7)风险排序和管理基于事件树技术可计算出事故的发生概率。对于同一后果,可以对不同危险因素的风险予以排序。PRA 不仅是一种风险评价方法,而且可以作为一种风险管理技术。风险评价结果与系统安全目标的比较,可作为决策者选择或修改设计方案,或针对潜在事故采取预防措施的重要依据。当损失可以货币表示时,PRA 能支持对设计纠正的费-效评估。评价方法评价方法在安全性风险评价中,对于 PRA 分析的结果,通常用 Farmer 曲线进行风险评价。Farmer 曲线是一种后果概率(频率)曲线,它以事件序列的后果(损失费用,通常以美元表示)C 为
9、X 轴,以事件序列的发生概率(频率)P 为 Y 轴。由于风险 RC*P,风险接受准则通常定为一个风险阈值 Rt,风险大小明显超过Rt 的事件序列是不可接受的,明显低于 Rt 的是可以接受的,在其附近的则要进一步分析或根据实际情况决定是否可以接受。由 Rt 决定的曲线称为等风险线,在 Farmer 图中为一双曲线。由于后果与概率的范围很大,往往跨越好几个数量级,而且实际中两者之间往往存在反比关系,即后果越严重的发生概率越小,发生概率越大的后果通常也越轻。因此事件序列点在 Farmer 图中往往如图 1 所示集中于坐标轴的两头,不便于区分。为解决这一问题,我们可以把 Farmer 图的两个坐标进行
10、对数转换,即用其指数值取代原值。这样等风险线就变成了一条折线,见图 2,事件序列点的分布也从原来的集中变得分散,风险评价更加直观、明晰。2.GOFLOW 法法GOFLOW 也是一种较好的定量风险评价方法。它的特点是能处理动态系统,ETF 虽然在 PRA 中应用非常广泛,但它不能对发生事故后的系统动态响应进行建模,Takeshi Matsuoka 和 Michiyuki Kobayshi 在 GO法基础上提出的 GOFLOW 法就较好地解决了这个问题。GOFLOW 法的基础是决策树理论,它把系统图、流程图按一定的规则翻译成 GO 图(GO Chart) 。翻译的过程是用表示部件功能的 GO 操作
11、码去代替原理图中的部件,用 GO 图能更紧凑地反映某个系统在某些规定条件下的事故序列过程或者决策树的过程。GOFLOW 法有以下优点:1) 它以决策树原则为基础,用系统的流程图来构成系统模型,系统的 GO 模型描述了系统的各个时间点的行为,既包括系统正常状态的特点,也反映系统在故障状态下的特征;2) GO 图是通过定义的 GO 操作码将原理图或流程图翻译成 GO 图。GO 图中的操作码代表系统中各部件的功能转换关系。输入给操作码的事件即代表输入到部件的输入信号,经操作码的作用后生成输出事件。因此 GO 图能充分表达部件与系统的关系和相互作用以及信号的走向。每个操作码都反映了部件的功能,它们能表
12、示部件的多种功能状态(目前可达 128 个) ,因此比 FTA 更精密、更复杂;3) 侧重于分析成功或失效的因素和过程,可以求出系统成功或失效状态的所有部件成功或失效状态的组合;4) 可以用来建造事件树,侧重于研究事件的过程,能有效地处理系统的动态行为。GOFLOW 法的缺点主要是:1) 较复杂,不易被一般技术人员掌握;2) 在 GO 法翻译过程中,除要求熟悉系统外,还要定义一定数量的 GO 操作码,在进行多状态处理时往往缺乏数据,工作量大;3) GOFLOW 程序的编制过于复杂。由于 GOFLOW 法的这些缺点,影响了它在我们安全性风险评价工作中的应用,因此对它需作更深入的探讨,尤其是方法的
13、计算机辅助化方面更应给予足够的重视。3.火灾爆炸指数法火灾爆炸指数法 FEIFEI 由美国道化学公司首创,基本原理是根据原材料易发生火灾和爆炸的物理化学性质结合它们的特殊危险和工艺处理的特点,对其潜在火灾爆炸的风险以指数进行定量的估算。FEI 的过程大体如下:1) 将装备划分为单元划分为单元的目的在于针对单元特性,抓住重点加以分析。2) 求物质系数 MF 和特殊危险系数 SMHMF 表示物质及其混合物对燃烧或爆炸的敏感性和难易程度,数值范围为 120,是由其潜在危险总结而得到的。如木、纸的 MF 为 3,氧和过氧化氢的 MF 则等于 16。SMF 要在原有物质系数 MF 的基础上再加 2015
14、0,如氧化剂增加 020,分解爆炸性物质增加125。3) 求工艺危险值 GPH相同的物质,工艺上危险程度不一定相同,故根据工艺过程危险性制定一个定量评价系数 GPH。如对输送和仅发生物理变化的工艺系数,再增加 2530;对于间断反应工艺,增加 2560。4) 求特殊工艺危险系数 SPH在工艺过程中如果有特殊的潜在危险,就再增加一个系数,如难以控制的反应再增加 50100;高温工艺再增加 2030;低温爆炸危险性较大物质,再增加 60100。5) 求火灾爆炸指数 FEIFEIMF(1SMH100) (1GPH100) (1SPH100)按计算所得 FEI 大小,风险可分为 4 级:020 为低风
15、险,2040 为中等风险,4090 为高风险,90 以上为极高风险。参考文献:参考文献:1 GJB900-90系统安全性通用大纲 ,国防科工委军标出版发行部,19912 薛辉,可靠性分析软件现状及展望,质量与可靠性,1999,13 遇今,概率安全评估技术综述,质量与可靠性,1999,No.1,4 遇今,ESA 风险评估,质量与可靠性,1999,No.35 美防务系统管理学院著,风险分析与管理指南,19926 MILSTD882DStandard Practice for System Safety Program Requirements ,Department of Defense,US,1
16、9967 Geoff Wells,Hazard Identification and Risk Assessment,Institution of Chemical Engineers,UK,19968 Takeshi MATSUOKA,Michiyuki KOBAYASHI,An Analysis of a Dynamic System by the GO-FLOW Methodology9 Eric S. Beckjord,Mark A. Cunningham,Joseph A. Murphy,Probabilistic Safety assessment development in the United States 1972-1990,Reliability Engineering and System Safety,1993,39
