軟件系統(tǒng)安全性風(fēng)險(xiǎn)評(píng)價(jià)

1、軟件系統(tǒng)安全性風(fēng)險(xiǎn)評(píng)價(jià)（上）風(fēng)險(xiǎn)評(píng)價(jià)是軟件系統(tǒng)安全性工程中的一項(xiàng)重要內(nèi)容，其目的是把注意力集中在安全性關(guān)鍵問題上，保證及時(shí)采取預(yù)防措施，避免日后進(jìn)行昂貴的風(fēng)險(xiǎn)補(bǔ)償行為。風(fēng)險(xiǎn)評(píng)價(jià)工作涉及多種可靠性安全性分析技術(shù)與分析項(xiàng)目，數(shù)據(jù)量大，數(shù)據(jù)關(guān)系復(fù)雜，是一項(xiàng)龐雜的工作，需要理清其工作程序與數(shù)據(jù)關(guān)系，以便使風(fēng)險(xiǎn)評(píng)價(jià)工作走向規(guī)范。本文首先介紹了安全性風(fēng)險(xiǎn)評(píng)價(jià)的基本概念，然后介紹了三種定性風(fēng)險(xiǎn)評(píng)價(jià)方法：RAC、TREC、SCRAM和三種定量風(fēng)險(xiǎn)評(píng)價(jià)方法：PRA、FEI 、GO-FLOW。概要篇1.國內(nèi)外研究現(xiàn)狀系統(tǒng)安全性(System Safety)是近30年來適應(yīng)復(fù)雜裝備安全性需要而發(fā)展起來的一門綜合性應(yīng)

2、用學(xué)科，也稱為安全系統(tǒng)工程。它是以效能、進(jìn)度和費(fèi)用為約束條件，在裝備壽命周期內(nèi)的各階段中，利用專業(yè)知識(shí)和系統(tǒng)工程方法，識(shí)別、評(píng)價(jià)、消除或控制系統(tǒng)或設(shè)備中的危險(xiǎn)，從而使系統(tǒng)具有最佳的安全程度的工程技術(shù)。目前美國的國防、航空航天、核工業(yè)部門以及歐空局和俄羅斯(前蘇聯(lián))的航空航天部門都制定了系統(tǒng)安全性工作的規(guī)范，并廣泛開展了系統(tǒng)安全性工作。早在六十年代，美國原子能委員會(huì)就提出了用風(fēng)險(xiǎn)來評(píng)估安全性。ISO8402(1994年)對(duì)安全性的定義為：將傷害(對(duì)人)或損壞(對(duì)物)的風(fēng)險(xiǎn)限制在可接受水平的狀態(tài)。在航天方面，ISO/TC20/SC14在1998年提出的術(shù)語與定義標(biāo)準(zhǔn)中對(duì)安全的定義為：預(yù)期為控制由載

3、人或不載人空間飛行任務(wù)活動(dòng)中所產(chǎn)生的安全風(fēng)險(xiǎn)所進(jìn)行的各種安排。目前國際上都用風(fēng)險(xiǎn)來定義安全性。美國原子能委員會(huì)曾提出一個(gè)計(jì)算風(fēng)險(xiǎn)的公式： 我國在1990年制定的GJB900系統(tǒng)安全性通用大綱中對(duì)風(fēng)險(xiǎn)的定義為：危險(xiǎn)事件的風(fēng)險(xiǎn)就是該事件的發(fā)生概率和損失程度的函數(shù)。這個(gè)概念涵蓋了上面的計(jì)算公式，更準(zhǔn)確且更具普遍意義。風(fēng)險(xiǎn)概念的提出使人們不僅可以定性而且可定量地描述安全性，還可以用不同的方法來評(píng)價(jià)安全性。風(fēng)險(xiǎn)評(píng)價(jià)的目的是把注意力集中在關(guān)鍵問題上，保證及時(shí)采取預(yù)防措施，避免日后進(jìn)行昂貴的風(fēng)險(xiǎn)補(bǔ)償行為。隨著項(xiàng)目設(shè)計(jì)工作的展開，解決安全性問題所要付出的代價(jià)會(huì)成指數(shù)增加，因此對(duì)于大型復(fù)雜系統(tǒng)，在項(xiàng)目早期階段就

4、應(yīng)該確定項(xiàng)目潛在風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制方案，擬定消除風(fēng)險(xiǎn)的方法。此外風(fēng)險(xiǎn)評(píng)價(jià)能幫助選擇好的任務(wù)/設(shè)計(jì)方案。由此可見風(fēng)險(xiǎn)評(píng)價(jià)在系統(tǒng)安全性工作中有很重要的地位。由于其重要作用，風(fēng)險(xiǎn)評(píng)價(jià)目前已受到國際上的重視，NASA、ESA等都已規(guī)范了風(fēng)險(xiǎn)評(píng)價(jià)方法，并制定了相應(yīng)標(biāo)準(zhǔn)，如NASA的NASA8070.4風(fēng)險(xiǎn)管理和ESA的PSS-01-40風(fēng)險(xiǎn)評(píng)價(jià)要求與方法。美國、歐洲、日本均有專門從事風(fēng)險(xiǎn)研究的國際組織，并已舉行多次有關(guān)的國際會(huì)議。我國對(duì)風(fēng)險(xiǎn)評(píng)價(jià)的研究始于80年代末，并在GJB900中規(guī)定了定性風(fēng)險(xiǎn)評(píng)價(jià)的工作內(nèi)容，但總的說來我國的風(fēng)險(xiǎn)評(píng)價(jià)研究尚處在起步階段，風(fēng)險(xiǎn)評(píng)價(jià)工作開展得不夠廣泛，在工程實(shí)踐中很少進(jìn)行

5、完整的規(guī)范化的風(fēng)險(xiǎn)評(píng)價(jià)工作。2.基本概念危險(xiǎn)危險(xiǎn)是系統(tǒng)安全性分析的核心，研究安全性也就是研究危險(xiǎn)。危險(xiǎn)有多個(gè)不同的定義。根據(jù)GJB900-90的定義，危險(xiǎn)是可能導(dǎo)致事故的狀態(tài)。美國的MIL-STD-882C和MIL-HDBK-764則把危險(xiǎn)定義為：事故的先決條件。ESA對(duì)危險(xiǎn)的定義是：可能造成危害或?qū)Π踩跃哂袧撛谕{之源。由此綜合得出，危險(xiǎn)是指可能導(dǎo)致事故的現(xiàn)實(shí)的或潛在的條件或狀態(tài)。這種狀態(tài)包括物質(zhì)狀態(tài)、環(huán)境狀態(tài)、人員活動(dòng)狀態(tài)以及它們的組合。如人站在樓頂邊上就是一種危險(xiǎn)的狀態(tài)，如果再加上天正刮著大風(fēng)這種環(huán)境狀態(tài)，就變成一種更加危險(xiǎn)的狀態(tài)。危險(xiǎn)事件是指產(chǎn)生危險(xiǎn)的事態(tài)，即可能導(dǎo)致發(fā)生事故或在事故

6、前所發(fā)生的一些事件。事件是一種物質(zhì)和人的活動(dòng)模式。物質(zhì)的危險(xiǎn)事件有燃燒、爆炸、碰撞、破裂、倒塌、落下物、飛來物、觸電、強(qiáng)光、毒物、放射性泄漏、高壓、高低溫等;人的危險(xiǎn)事件有用手代替機(jī)器、接觸危險(xiǎn)部位、不正確工作姿態(tài)、沖擊物下行動(dòng)、在高速運(yùn)行物下活動(dòng)、操作失常等。危險(xiǎn)事件的發(fā)生可能會(huì)導(dǎo)致某種后果，比如人從樓上掉下來這個(gè)危險(xiǎn)事件可能會(huì)導(dǎo)致人摔傷、摔殘，也可能使人致死，這取決于樓的高度、人的身體素質(zhì)、人掉下的姿勢以及樓下的地面狀況等因素。事故是指一項(xiàng)正常進(jìn)行的活動(dòng)中斷，并導(dǎo)致人身傷亡、職業(yè)病、設(shè)備損壞或財(cái)產(chǎn)損失的意外事件。事故的來源是存在的危險(xiǎn)及激發(fā)事件。事故可以認(rèn)為是由于未能鑒別現(xiàn)實(shí)的和潛在的危險(xiǎn)

7、或由于控制危險(xiǎn)的措施不合理所造成。在定量的危險(xiǎn)分析中常采用概率或頻率形式的事故率來衡量事故發(fā)生的可能性。事故是由危險(xiǎn)引發(fā)的，但從危險(xiǎn)發(fā)展成為事故，必須有一定的條件，并經(jīng)歷一個(gè)演變過程，即系統(tǒng)狀態(tài)變化的過程，如圖1所示。把前面的例子串起來：一個(gè)人站在樓頂邊上是危險(xiǎn)狀態(tài)，一陣大風(fēng)吹來是激發(fā)因素，人失足墜樓是危險(xiǎn)事件，人摔傷致殘是后果，事故則是以上四者的結(jié)合即一個(gè)人站在樓頂邊上時(shí)由于一陣大風(fēng)而失足墜樓導(dǎo)致殘廢。危險(xiǎn)分析是指對(duì)系統(tǒng)設(shè)計(jì)、使用、維修以及與環(huán)境有關(guān)的所有危險(xiǎn)進(jìn)行系統(tǒng)化分析，以判別和評(píng)價(jià)危險(xiǎn)或潛在危險(xiǎn)的狀態(tài)、可能相關(guān)的危險(xiǎn)事件及其后果的危害性。危險(xiǎn)的控制與消除對(duì)系統(tǒng)中有嚴(yán)重后果的危險(xiǎn)特性要采

8、取消除或控制危險(xiǎn)的措施，提高系統(tǒng)安全性。消除或控制危險(xiǎn)是對(duì)危險(xiǎn)分析中確定的危險(xiǎn)、危險(xiǎn)狀態(tài)或危險(xiǎn)產(chǎn)生過程中的各個(gè)環(huán)節(jié)采取消除、最小化、控制措施來實(shí)現(xiàn)的。危險(xiǎn)消除：是通過消除危險(xiǎn)或危險(xiǎn)狀態(tài)來實(shí)現(xiàn)的，例如飛船生命保障系統(tǒng)采用純氧方案是很危險(xiǎn)的，容易引起火災(zāi)，可改為氧分壓接近正常大氣成分方案來消除危險(xiǎn)。危險(xiǎn)控制：是針對(duì)危險(xiǎn)過程各環(huán)節(jié)，采取安全、報(bào)警、特殊規(guī)程等措施，來控制嚴(yán)重后果的發(fā)生，例如在容易引起火災(zāi)的系統(tǒng)中安裝警告系統(tǒng)和自動(dòng)滅火裝置來控制火災(zāi)的發(fā)展。危險(xiǎn)最小化：是通過降低危險(xiǎn)或危險(xiǎn)狀態(tài)的影響到最小來實(shí)現(xiàn)的，如飛船采用不易燃材料以使火災(zāi)對(duì)飛船的影響減小到最低程度。 3.風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)來源于危險(xiǎn)事件，

9、是危險(xiǎn)事件發(fā)生可能性和嚴(yán)重性的綜合體現(xiàn)，即風(fēng)險(xiǎn)R是該事件發(fā)生的概率P和損失程度C的函數(shù)：R=(P，C) “可能性-后果”這對(duì)元素分布的模式稱為風(fēng)險(xiǎn)剖面(或風(fēng)險(xiǎn)曲線)。可能性與后果可以分別沿著垂直坐標(biāo)軸和水平坐標(biāo)軸表示。圖3給出了上述天氣預(yù)報(bào)的風(fēng)險(xiǎn)剖面，兩個(gè)離散的后果：“有雨”與“無雨”，它們的可能性分別是30%和70%。在某些情況下，后果可以連續(xù)地描述，它的點(diǎn)多得可以連續(xù)而不離散。此時(shí)，風(fēng)險(xiǎn)剖面就形成了一條曲線。例如，考慮一個(gè)投資問題，其中的后果是資金回報(bào)(收益或損失)。每一種可能性是實(shí)際經(jīng)歷的某一個(gè)回報(bào)的密度函數(shù)。后果與可能性形成了一連續(xù)的剖面(曲線)。圖2是一密度剖面f(x)，其中正和負(fù)資

10、金數(shù)分別表示收益和損失。 風(fēng)險(xiǎn)評(píng)價(jià)是確定危險(xiǎn)的嚴(yán)重性和可能性，并據(jù)此評(píng)定系統(tǒng)或分系統(tǒng)及設(shè)備的預(yù)計(jì)損失和措施的有效性。安全性風(fēng)險(xiǎn)評(píng)價(jià)不同于一般的風(fēng)險(xiǎn)評(píng)價(jià)如對(duì)金融風(fēng)險(xiǎn)等進(jìn)行的評(píng)價(jià)，而是在安全性工程中針對(duì)危險(xiǎn)進(jìn)行的。風(fēng)險(xiǎn)評(píng)價(jià)在系統(tǒng)安全性工作中的作用有如下幾個(gè)方面：評(píng)價(jià)裝備設(shè)計(jì)是否使收益與風(fēng)險(xiǎn)達(dá)到最合理的平衡;在裝備試驗(yàn)或使用前或合同完成時(shí)，考核已判定的危險(xiǎn)事件是否消除或控制在合同所規(guī)定的可接受水平;為所提出的消除危險(xiǎn)或?qū)L(fēng)險(xiǎn)減少到可接受水平的措施所需的費(fèi)用和時(shí)間提供決策支持;評(píng)價(jià)裝備的安全性是否符合有關(guān)標(biāo)準(zhǔn)和規(guī)定。對(duì)危險(xiǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)的主要目的是進(jìn)行危險(xiǎn)的風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)消除，而消除和控制風(fēng)險(xiǎn)正是系統(tǒng)安

11、全性的目標(biāo)，因此風(fēng)險(xiǎn)評(píng)價(jià)在系統(tǒng)安全性中占有重要的位置。風(fēng)險(xiǎn)評(píng)價(jià)的過程包括風(fēng)險(xiǎn)確定和風(fēng)險(xiǎn)評(píng)定兩大部分，又可細(xì)分為風(fēng)險(xiǎn)鑒別、風(fēng)險(xiǎn)估算、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受等4個(gè)方面。詳見圖4所示。風(fēng)險(xiǎn)鑒別是風(fēng)險(xiǎn)估算的前提，風(fēng)險(xiǎn)估算完成后還要對(duì)風(fēng)險(xiǎn)進(jìn)行處理，在費(fèi)用、進(jìn)度、產(chǎn)品性能等約束條件下采取措施來控制或消除風(fēng)險(xiǎn)，最后根據(jù)殘余的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)接受的標(biāo)準(zhǔn)來決定風(fēng)險(xiǎn)是否能夠被接受。風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是一項(xiàng)很重要的工作。從廣義上講，工程項(xiàng)目管理就是風(fēng)險(xiǎn)管理，它不僅包括技術(shù)風(fēng)險(xiǎn)，還包括費(fèi)用風(fēng)險(xiǎn)、進(jìn)度風(fēng)險(xiǎn)、計(jì)劃風(fēng)險(xiǎn)、保障性風(fēng)險(xiǎn)等內(nèi)容。安全性風(fēng)險(xiǎn)管理是其中一個(gè)環(huán)節(jié)，在安全性問題突出的工程項(xiàng)目中占有重要地位。它的目的是在給定的任務(wù)目標(biāo)、費(fèi)用、進(jìn)度等條件限制下，使系統(tǒng)達(dá)到可接受的風(fēng)險(xiǎn)水平并使系統(tǒng)的安全性達(dá)到最優(yōu)化，其過程包括：1) 危險(xiǎn)消除、減少和控制;2) 對(duì)1)的驗(yàn)證;3) 殘存風(fēng)險(xiǎn)接受。 風(fēng)險(xiǎn)評(píng)價(jià)是安全性風(fēng)險(xiǎn)管理工作的基礎(chǔ)，它在下列方