目次
目次 I
前言 VII
引言 VIII
1范围 1
2规范性引用文件 1
3术语和定义 1
4.风险评估的相关概念 1
4.1目的及益处 1
4.2风险评估和风险管理过程 2
5.风险评估过程 4
5.1概述 4
5.2风险识别 4
5.3风险分析 5
5.4风险评价 7
5.5文件的归档 8
5.6风险评估的监督和检查 9
6.风险评估技术的选择 9
6.1概述 9
6.2技术的选择 9
6.3风险评估在寿命周期各阶段的应用 10
6.4风险评估技术的类型 11
附录A风险评估技术的比较 12
A.1适用阶段 12
A.2影响因素 13
附录B风险评估技术 17
B.1头脑风暴法 17
B.1.1概述 17
B.1.2用途 17
B.1.3输入 17
B.1.4过程 17
B.1.5输出 18
B.1.6优点及局限: 18
B.2结构化或半结构化访谈 18
B.2.1概述 18
B.2.2用途 18
B.2.3输入 18
B.2.4过程 19
B.2.5输出 19
B.2.6优点及局限 19
B.3德尔菲法 19
B.3.1概述 19
B.3.2用途 19
B.3.3输入 19
B.3.4过程 20
B.3.5输出 20
B.3.6优点及局限 20
B.4情景分析 20
B.4.1概述 20
B.4.2用途 20
B.4.3输入 21
B.4.4过程 21
B.4.5输出 22
B.4.6优点及局限 22
B.5检查表法 22
B.5.1概述 22
B.5.2用途 22
B.5.3输入 22
B.5.4过程 22
B.5.5输出 23
B.5.6优点及局限 23
B.6预先危险分析(PHA) 23
B.6.1概述 23
B.6.2用途 23
B.6.3输入 23
B.6.4过程 24
B.6.5输出 24
B.6.6优点及局限 24
B.7失效模式和效应分析(FMEA)及失效模式、效应和危害度分析(FMECA) 24
B.7.1概述 24
B.7.2用途 25
B.7.3输入数据 25
B.7.4过程 25
B.7.5输出结果 26
B.7.6优点及局限 27
B.8危险与可操作性分析(HAZOP) 27
B.8.1概述: 27
B.8.2用途 27
B.8.3输入 28
B.8.4过程 28
B.8.5输出 29
B.8.6优点及局限 29
B.9危险分析与关键控制点法(HACCP) 30
B.9.1概述: 30
B.9.2用途 30
B.9.3输入 30
B.9.4过程 30
B.9.5输出 30
B.9.6优点及局限 31
B.10保护层分析(LOPA) 31
B.10.1概述 31
B.10.2用途 31
B.10.3输入 32
B.10.4过程 32
B.10.5输出 32
B.10.6优点及局限 33
B.10.7参考文件 33
B.11结构化假设分析(SWIFT) 33
B.11.1概述 33
B.11.2用途 33
B.11.3输入 33
B.11.4过程 34
B.11.5输出 34
B.11.6优点及局限 34
B.12风险矩阵 35
B.12.1概述 35
B.12.2用途 35
B.12.3输入 35
B.12.4过程 36
B.12.5输出 36
B.12.6优点及局限 37
B.13人因可靠性分析(HRA) 37
B.13.1概述: 37
B.13.2用途 37
B.13.3输入 37
B.13.4过程 38
B.13.5输出 38
B.13.6优点及局限 38
B.14以可靠性为中心的维修 39
B.14.1概述 39
B.14.2用途 40
B.14.3输入 40
B.14.4过程 40
B.14.5输出 40
B.15业务影响分析(BIA) 41
B.15.1概述 41
B.15.2用途 41
B.15.3输入数据 41
B.15.4过程 41
B.15.5输出结果: 42
B.15.6优点及局限 42
B.16根原因分析 42
B.16.1概述 42
B.16.2用途 43
B.16.3输入 43
B.16.4过程 43
B.16.5输出 44
B.16.6优点及局限 44
B.17潜在分析(SA)和潜在通路分析(SCA) 44
B.17.1概述 44
B.17.2用途 44
B.17.3输入 45
B.17.4过程 45
B.17.5输出 45
B.17.6优点及局限 45
B.18因果分析 46
B.18.1概述 46
B.18.2用途 46
B.18.3输入 46
B.18.4过程 46
B.18.5输出 47
B.18.6优点及局限 47
B.19风险指数 48
B.19.1概述 48
B.19.2用途 48
B.19.3输入 48
B.19.4过程 48
B.19.5输出 49
B.19.6优点及局限 49
B.20故障树分析(FTA) 49
B.20.1概述 49
B.20.2用途 50
B.20.3输入 50
B.20.4过程 51
B.20.5输出 51
B.20.6优点及局限 51
B.21事件树分析(ETA) 52
B.21.1概述 52
B.21.2用途 53
B.21.3输入 53
B.21.4过程 53
B.21.5输出 53
B.21.6优点及局限 53
B.22决策树分析 54
B.22.1概述 54
B.22.2用途 54
B.22.3输入 54
B.22.4过程 54
B.22.5输出 54
B.22.6优势及局限 55
B.23蝶形图分析 55
B.23.1概述: 55
B.23.2用途 55
B.23.3输入 55
B.23.4过程 55
B.23.5输出 56
B.23.6优点及局限 56
B.24层次分析法 57
B.24.1概述 57
B.24.2用途 57
B.24.3输入 57
B.24.4过程 57
B.24.5输出 57
B.24.6优点及局限 57
B.25在险值法(VaR) 58
B.25.1概述 58
B.25.2用途 58
B.25.3输入 58
B.25.4过程 58
B.25.5输出 59
B.25.6优点及局限 59
B.26均值—方差模型 60
B.26.1概述 60
B.26.2用途 60
B.26.3输入 60
B.26.4过程 60
B.26.5输出 61
B.26.6优点及局限 61
B.27资本资产定价模型 61
B.27.1概述 61
B.27.2用途 61
B.27.3输入 61
B.27.4过程 61
B.27.5输出 62
B.27.6优点及局限 62
B.28FN曲线 62
B.28.1概述 62
B.28.2用途 62
B.28.3输入 63
B.28.4过程 63
B.28.5输出 63
B.28.6优点及局限 63
B.29马尔可夫分析 64
B.29.1概述 64
B.29.2用途 64
B.29.3输入 64
B.29.4过程 64
B.29.5输出 67
B.29.6优点及局限 67
B.29.7比较 67
B.30蒙特卡罗模拟分析(MonteCarlosimulation) 67
B.30.1概述 67
B.30.2用途 67
B.30.3输入 68
B.30.4过程 68
B.30.5输出 69
B.30.6优点及局限 69
B.30.7概述 70
B.31贝叶斯统计及贝叶斯网络 70
B.31.1概述 70
B.31.2用途 70
B.31.3输入 71
B.31.4过程 71
B.31.5输出 73
B.31.6优点及局限 73
参考文献 74
前言
本标准IEC31010《风险管理。
本标准的附录AB为附录本标准由全国风险管理标准化技术委员会(SAC/TC310)提出并归口。
本标准由中国标准化研究院负责起草。
本标准起草单位:
本标准主要起草人:
引言
各种类型及规模的组织都会面临各种各样的风险,这些风险有可能影响到其目标的实现。
这些目标可能涉及组织的各类活动,从战略计划到其运行、过程及项目,也体现在社会、技术、环境和安全结果以及商业、财务和经济措施,同时包括社会、文化、政治和声誉影响等。
对组织各项活动中存在的风险应进行有效管理。通过考虑不确定性和未来事项或环境变化的可能性及其对约定目标的影响,风险管理过程有助于管理者的决策制定。
风险管理主要涉及将逻辑性及系统性的方法应用于以下方面:
贯穿该过程的沟通和记录;
明确用于识别、分析、评价、应对并监控与任何活动、过程、功能或产品有关风险的组织环境;
监督和检查风险
适当地报告风险管理结果。
作为风险管理活动的组成部分,风险评估提供了一种结构性的过程以识别目标如何受各类不确定性因素的影响,并从后果和可能性两个方面来进行风险分析,然后确定是否需要进一步处理。
风险评估工作试图回答以下基本问题:
会发生什么以及为什么(通过风险识别)?
后果是什么?
这些后果发生的可能性有多大?
是否减轻后果或者风险因素GB/TXXXXX-XXXX
风险管理风险评估技术
1范围
本标准为依据GB/T24353-2009开展风险管理活动的组织提供技术支持,用于指导组织选择合适的风险评估工具并正确使用。根据本标准开展的风险评估工作有助于促进组织的其它风险管理活动。
本标准认证合同。4.1目的及益处本标准风险评估所描述的风险管理过程内。进行风险评估应该清楚风险评估如何整合组织风险,项目活动或。工具和技术。
汇集不同领域的知识以和分析风险风险分析风险。它风险,风险是否需要处理最适当的策略和方法。
风险分析考虑风险的原因和源后果发生影响后果因素现有的风险控制。一个事件可后果,可能影响多目标。复杂的。或进一步的分析应注意不要频繁有重大累积效应风险sLowAsAeasonablyPracticable,简称ALARP)即适用于这种方法。
上段是指无论活动能带来什么利益,风险等级都是无法容忍的,必须不惜代价进行风险应对;
中段是指要考虑实施风险应对的成本与收益,并权衡机遇与潜在结果;
下段是指风险等级微不足道,或者风险很小,无需采取风险应对措施。
风险评价的结果应满足风险应对的需要,否则,应做进一步分析。
5.5文件的归档
风险评估的过程应与评估结果一起记录在案。风险应以可理解的术语来表达,同时对于风险等级的单位也应进行清晰表述。
风险评估记录文件的内容将取决于评估工作的目标及范围。除非进行很简单的评估,否则,文件需包括以下内容:
目标及范围;
系统相关部分的说明及它们的功能;
组织的内外部环境描述以及被评估对象与内外环境的关联情况;
所使用的风险准则及其合理性;
假定及假设的合理性;
评估方法;
风险识别结果;
数据的来源与校验;
风险分析结果及评价;
敏感性及不确定性分析;
关键和其他需要加以监测因素
结果讨论;
结论和建议;
参考资料。
如果需要风险评估来支持一个连续的风险管理过程,那么对于风险评估的记录工作应在系统、组织、设备或活动的整个生命周期内持续进行。如果出现重要的新信息并且环境发生变化,应根据管理的需要对风险评估进行更新。
5.6风险评估的监督和检查
风险评估过程强调环境因素和那些经过一段时间预计会变化并且可能使风险评估改变或失效的其它因素。应当识别出这些因素进行持续的监督和检查,以便在必要时更新风险评估的信息。
应当识别和收集为改进风险评估而监测的数据。还应当监测和记录风险控制措施的效果,以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。
6.风险评估技术的选择
6.1概述
选择合适的风险评估技术和方法,有助于组织及时高效地获取准确的评估结果。在实践中,风险评估活动的复杂及详细程度千差万别。风险评估的形式及结果应与组织的自身情况适合,并在明确环境信息时确定。
6.2技术的选择
6.2.1概述
一般来说,合适的技术应具备以下特征:
适应相关的情况或组织;
得出的结果应加深人们对风险性质及风险应对策略的认识;
应能按可追溯、可重复及可验证的方式使用。
应从相关性及适用性角度说明选择技术的原因。在综合不同研究的结果时,所采用的技术及结果应具有可比性。
一旦决定进行风险评估并且确定了风险评估的目标和范围,那么就应根据如下适用的因素来选择一种或多种评估技术。
研究目标:风险评估的目标对于使用的方法有直接影响;
决策者的需要:某些情况下做出有效的决策需要充分的细节,而某些情况下可能只需要对总体进行大致了解;
所分析风险的类型及范围;
结果的潜在严重程度;
修改/更新风险评估的必要性:一些评估结果可能在将来需要修改或更新。在这方面,某些方法比其他方法更易于调整;
法律法规及合同要求等。
只要满足评估的目标和范围,简单方法应优于复杂方法被采用。
此外,其它几类因素对风险评估技术选择的影响更为值得关注,例如组织的现有资源及能力、不确定性因素的性质与程度,以及风险的复杂性与潜在后果。
6.2.2可用资源
可能影响风险评估技术选择的资源和能力包括:
风险评估团队的技能、经验、规模及能力;
信息及数据的可获得性;
时间以及组织内其他资源的限制;
需要外部资源的可用预算。
6.2.3不确定性的性质和程度
不确定性可能是组织内外部环境中必然存在的情况。不确定性可能产生于数据的质量或数量。现有的数据未必能为风险评估未来提供可靠的依据。某些风险可能缺少历史数据,或是不同利益相关者会对现有数据做出不同的解释。进行风险评估的人员应理解不确定性的类型及性质,同时认识到风险评估结果可靠性的重大意义,并向决策者说明这些情况。
6.2.4复杂性
复杂性是风险评估中应考虑的另一个重要特征。例如,在复杂的系统中,在进行风险评估时,不仅要对系统中的每个部分进行评估,更要注意系统各部分之间的相互关系。应注意风险可能产生的间接影响。在某些情况下,处理单个风险可能会对其他活动产生影响。理解组织中单个或多个风险的复杂性对于选择合适的风险评估方法至关重要。
6.3风险评估在寿命周期各阶段的应用
许多活动、项目和产品可以认为有一个从最初的概念和定义、实现到最后结束的寿命周期。风险评估可以应用于寿命周期的所有阶段,而且通常以不同的详细程度应用多次,以便帮助在每个阶段做出所需要的决策。
寿命周期各阶段对风险评估有不同的需求,可能应用不同的评估技术。
在概念和定义阶段,当识别机会时,可以用风险评估决定是否着手进行。在有多个方案可供选择的场合,风险评估可以用于评价替代方案,帮助决定哪种方案能提供最好的风险平衡。
在设计和开发阶段,风险评估有助于:
保证系统风险是可接受的;
改进设计过程;
成本效益研究;
识别影响寿命周期后续阶段的风险。
在寿命周期的其它阶段,可以用风险评估提供必要的信息,以便为正常情况和紧急情况制定程序。
6.4风险评估技术的类型
风险评估技术可以依据多种方式进行分类。附录A按适用阶段和影响因素,对常用的风险评估技术进行了分类比较,以助于使用者更清晰地理解各类评估技术的特点。
附录B对这些常用的风险评估技术和方法展开了进一步的详述介绍,为组织如何在特定情况下选择合适的风险评估技术提供参考。复杂情况下可能需要同时采用多种评估技术和方法。
附录A风险评估技术的比较
(资料性附录)
A.1适用阶段
本分类描述了各类评估技术在风险评估各阶段中的适用性。风险评估过程如下所示:
风险识别;
风险分析——结果分析;
风险分析——定性、半定量或定量概率分析
风险分析——评估现有控制措施的效果;
风险分析——风险等级的估测;
风险评价。
对于风险评估的每一步,各类技术的适用性被描述为非常适用、适用或者不适用(参见表A1)。
表A.1技术在风险评估各阶段的适用性
工具及技术 风险评估过程 见附录B 风险识别 风险分析 风险评价 后果 可能性 风险等级 头脑风暴法 SA1 A2 A A A B01 结构化/半结构化访谈 SA A A A A B02 德尔菲法 SA A A A A B03 情景分析 SA SA A A A B04 检查表 SA NA3 NA NA NA B05 预先危险分析 SA NA NA NA NA B06 失效模式和效应分析(FMEA) SA NA NA NA NA B07 危险与可操作性 危险分析控制点 保护层分析法 SA NA NA NA NA B10 结构化假设分析(SWIFT) SA SA SA SA SA B11 风险矩阵 SA SA SA SA A B12 人因可靠性分析 SA SA SA SA A B13 以可靠性为中心的维修 SA SA SA SA SA B14 业务影响分析 A SA A A A B15 根原因分析 A NA SA SA NA B16 潜在通路分析 A NA NA NA NA B17 因果分析 A SA NA A A B18 风险指数 A SA SA A SA B19 故障树分析 NA A A A A B20 事件树分析 NA SA SA A NA B21 决策树分析 NA SA SA A A B22 Bow-tie法 NA A SA SA A B23 层次分析法(AHP) NA SA SA SA SA B24 在险值(VaR)法 NA SA SA SA SA B25 均值—方差模型 NA A A A SA B26 资本资产定价模型 NA NA NA NA SA B27 FN曲线 A SA SA A SA B28 马尔可夫 蒙特卡罗模拟法 NA SA SA SA SA B30 贝叶斯分析 NA NA SA NA SA B31 1)SA表示非常适用;
2)A表示适用;
3)NA表示不适用。 A.2影响因素
影响风险评估技术选择的因素有多种。在实践过程中,以下因素更应引起关注:
问题和所需分析方法的复杂性;
进行风险评估的不确定性的性质及程度;
所需资源的程度,时间专业知识水平数据需求或成本方法是否可以提供一个定量。 低 低 否 德尔菲法 一种综合各类专家观点并促其一致的方法,这些观点有利于支持风险源及影响的识别、可能性与后果分析以及风险评价。需要独立分析和专家投票。 中 中 中 否 情景分析 在推测的基础上,对可能的未来情景加以描述 低 否 预先危险分析(PHA) PHA是一种简单的归纳分析方法,其目标是识别风险以及可能危害特定活动、设备或系统的危险性情况及事项。 低 高 中 否 失效模式和效应分析(FMEA) FMEA是一种模式机制及影响技术。
与可操作性危险分析控制点 中 任何 否 风险矩阵 风险矩阵(RiskMatrix)是一种将后果分级与风险可能性相结合的方式。 中 中 中 是 人因可靠性分析 人因可靠性分析(HRA)主要关注系统绩效中人为因素的作用,可用于评价人为错误对系统的影响。 中 中 中 是 以可靠性为中心的维修 以可靠性为中心的维修(RCM)是一种基于可靠性分析方法实现维修策略优化的技术其目标是在满足安全性、环境技术要求和使用工作要求的同时,获得产品的最小维修资源消耗。通过这项工作,用户可以找出系统组成中对系统性能影响最大的零部件及其维修工作方式。潜在通路是指能够导致出现非期望的功能或抑制期望功能的状态。定性与定量分析相结合适合于多目标、多层次、多因素的复杂系统的决策。基于统计分析基础上的风险度量技术马尔可夫马尔可夫附录B风险评估技术
(资料性附录)
B.1头脑风暴法
B.1.1概述
头脑风暴法(Brainstorming)是指刺激并鼓励一群知识渊博的人员畅所欲言,以发现潜在的失效模式及相关危险、风险、决策标准及/或处理办法。“头脑风暴法”这个术语经常用来泛指任何形式的小组讨论。然而,真正的头脑风暴法包括旨在确保人们的想象力因小组内其他成员的思想和话语而得到激发的特殊技术。
在这种技术中,有效的引导很重要,其中包括开始阶段刺激讨论;定期鼓励小组进入相关领域;捕捉讨论中产生的问题(讨论通常很活跃)。
B.1.2用途
头脑风暴法可以与下述的其他风险评估方法一起使用,也可以单独使用,来激发风险管理过程及系统生命周期中任何阶段的想象力。头脑风暴法可以用作旨在发现问题的高层次讨论,也可以用作更细致的评审或是特殊问题的细节讨论。
B.1.3输入
召集一个熟悉被评估的组织、系统、过程或应用的专家团队。
B.1.4过程
头脑风暴法可以是正式的,也可以是非正式的。正式的头脑风暴法组织化程度很高,其中参与人员提前准备就绪,而且会议的目的和结果都很明确,有具体的方法来评价讨论思路。非正式的头脑风暴法组织化程度较低,经常更具针对性。
在一个正式的过程中,应至少包括以下环节:
讨论会之前,主持人准备好与讨论内容相关的一系列问题及思考提示;
确定讨论会的目标并解释规则;
引导员首先介绍一系列想法,然后大家探讨各种观点,尽量多发现问题。此刻无需讨论是否应该将某些事情记在清单上或是某句话究竟是什么意思,因为这样做会妨碍思绪的自由流动。一切输入都要接受,不要对任何观点加以批评,同时,小组思路快速推进,使这些观点激发出大家的横向思维。
当某一方向的思想已经充分挖掘或是讨论偏离主题过远,那么引导员可以引导与会人员进入新的方向。但目的在于收集尽可能多的不同观点,以便进行后面的分析。
B.1.5输出
输出取决于该结果所应用的风险管理过程的阶段。例如,在识别阶段,输出可能是风险及当前控制手段的清单。
B.1.6优点及局限:
头脑风暴法的优点包括:
激发了想象力,有助于发现新的风险和全新的解决方案;
让主要的利益相关者参与其中,有助于进行全面沟通;
速度较快并易于开展。
局限包括:
参与者可能缺乏必要的技术及知识,无法提出有效的建议;
由于头脑风暴法相对松散,因此较难保证过程的全面性(例如,一切潜在风险都被识别出来);
可能会出现特殊的小组状况,导致某些有重要观点的人保持沉默而其他人成为讨论的主角。这个问题可以通过电脑头脑风暴法,以聊天论坛或匿名主持人,然后讨论。
(StructuredInterviews)中,每个被访谈者都会被问起提示单上一系列准备好的问题,以鼓励被访谈者从另一个角度看待某种情况,因此就可以从那个角度识别风险。半结构化访谈(Semi-structuredInterviews)与结构化访谈类似,但是可以进行更自由的对话,以探讨出现的问题。
B.2.2用途
如果人们很难聚在一起参加头脑风暴法讨论会,或者小组内难以进行自由的讨论活动时,结构化和半结构化访谈就是一种有用的方法。这种方法的最主要用途是识别风险或是评估现有风险控制措施的效果。它们可以用于某个项目或过程的任何阶段。它们是为利益相关者提供数据来进行风险评估的有效方式。
B.2.3输入
输入数据包括:
●明确界定访谈目标;
●从相关利益相关者中挑选出被访谈者;
●准备问题清单。
B.2.4过程
创建相关的问题集以指导访谈者的访谈工作。问题应该是开放式的、简单的、用适合被采访人的语种而且只能涉及一项事务。也要准备可能的后续问题,用来补充说明该问题。
接着,将问题提给被访谈者。在寻求问题的解答时,问题应该是开放式的。应注意不要“诱导”被访谈者。
考虑答复时应具有一定灵活性,以便有机会探讨访谈活动希望进入的领域。
B.2.5输出
输出结果是利益相关者对于作为访谈主题的问题所形成的看法。
B.2.6优点及局限
结构化访谈的优点如下:
结构化访谈可以使人们有时间考虑有关某个问题的想法;
一对一的沟通可以有更多机会对某个问题进行深度思考;
与只有小部分人员参与的头脑风暴法相比,结构化访谈可以让更多的利益相关者参与其中。
局限如下:
引导员通过这种方式获得各种观点所花费的时间较多
可能会留有偏见,因其没有通过小组讨论加以消除;
无法实现头脑风暴法的一大特征——激发想象力。
B.3德尔菲法
B.3.1概述
德尔菲技术(Delphi)是在一组专家中取得可靠共识的程序。尽管该术语经常用来泛指任何形式的头脑风暴法,但是在形成之初,德尔菲技术的根本特征是专家单独、匿名表达各自的观点,同时随着过程的进展,他们有机会了解其他专家的观点。
B.3.2用途
无论是否需要专家的共识,德尔菲技术可以用于风险管理过程或系统生命周期的任何阶段。
B.3.3输入
达成共识所需的一系列方法。
B.3.4过程
使用半结构化问卷对一组专家进行提问。专家无需会面,因此他们的观点具有独立性。
具体步骤如下:
组建一支团队,开展并监督德尔菲过程;
挑选一组专家(可能是一个或多个专家组);
编制第一轮问卷调查表;
测试问卷调查表;
将问卷调查表分别发给每位专家组成员;
对第一轮答复的信息进行分析和综合,并再次下发给专家组成员;
专家组成员重新做出答复,然后重复该过程,直到达成共识。
B.3.5输出
逐渐对现有事项达成共识。
B.3.6优点及局限
优点包括:
由于观点是匿名的,因此更有可能表达出那些不受欢迎的看法;
所有观点有相同的权重避免名人占主导地位的问题;
获得结果的所有权;
人们不必一次聚集在某个地方。
局限包括:
这是一项费力、耗时的工作;
参与者要能进行清晰的书面表达。
B.4情景分析
B.4.1概述
情景分析(ScenarioAnalysis)是指通过分析未来可能发生的各种情景,以及各种情景可能产生的影响来分析风险的一类方法。换句话说,情景分析是类似“如果-怎样”的分析方法。未来总是不确定的,而情景分析使我们能够“预见”将来,对未来的不确定性有一个直观的认识。用情景分析法来进行预测,不仅能得出具体的预测结果,而且还能分析达到未来不同发展情景的可行性以及提出需要采取的技术、经济和政策措施,为管理者决策提供依据。
B.4.2用途
情景分析可用来帮助决策并规划未来战略,也可以用来分析现有的活动。它在风险评估过程的三个步骤中都可以发挥作用。在识别和分析那些反映诸如最佳情景、最差情景及期望情景的多种情景时,可用来识别在特定环境下可能发生的事件并分析潜在的后果及每种情景的可能性。
情景分析可用来预计威胁和机遇可能发生的方式,以及如何将威胁和机遇用于各类长期及短期风险。在周期较短及数据充分的情况下,可以从现有情景中推断出可能出现的情景。对于周期较长或数据不充分的情况,情景分析的有效性更依赖于合乎情理的想象力。
如果积极后果和消极后果的分布存在比较大的差异,情景分析就会有很大用途。
B.4.3输入
情景分析的必要前提是要有一支团队,其成员了解相关变化的特征(例如,可能的技术进步),同时有丰富的想象力,能预见到未来发展,而无需从过去事件中进行推断。掌握现有变化的文献和数据也很必要。
B.4.4过程
情景分析的结构可以是正式的,也可以是非正式的。
在建立了团队和相关沟通渠道,同时确定了需要处理的问题和事件的背景之后,下一步就是确定可能出现变化的性质。这就要求对主要趋势、趋势变化的可能时机以及对未来的预见进行研究。
需要分析的变化可能包括:
●外部情况的变化(例如技术变化);
●不久将要做出的决定,而这些决定可能会产生各种不同的后果;
●利益相关者的需求以及需求可能的变化方式;
●宏观环境的变化(如监管及人口统计等);有些变化是必然的,而有些是不确定的。
有时,某种变化可能归因于另一个风险带来的结果。例如,气候变化的风险正在造成与食物链有关的消费需求发生变化,这样会改变哪些食品的出口会盈利以及哪些食品可能在当地生产。
局部及宏观因素或趋势可以按重要性和不确定性进行列举并排序。应特别关注那些最重要、最不确定的因素。可以绘制出关键因素或趋势的图形,以显示那些情景可以进行开发的区域。
建议使用一系列的情景,关注每个情景参数的合理变化。
为每个情景编写一个“故事”,讲述你如何从此时此地转向主题情景。这些故事可以包括那些能为情景带来附加值的合理细节。
现在,这些情景可以用来测试或评估最初的问题。这项测试考虑到任何重要但可预测的因素(例如,使用模式),然后分析政策在这种新情景中的“成功”概率,并通过使用以模型假设为基础的“假定分析”来“预先测定”结果。
当问题或建议评估显然需要进行修,以使其或风险小。正在发生变化时找出一些先行指标监测指标可以改变计划战略提供机会。
(Check-lists)是危险、风险或控制故障的清单,而这些清单通常是凭经验(要么是根据以前的风险评估结果,要么是因为过去的故障)进行编制的。
B.5.2用途
检查表法可用来识别危险及风险或者评估控制效果。它们可以用于产品、过程或系统的生命周期的任何阶段。它们可以作为其他风险评估技术的组成部分进行使用,但最主要的用途是检查在运用了旨在识别新问题的更富想象力的技术之后,是否还有遗漏问题。
B.5.3输入
有关某个问题的事先信息及专业知识,例如可以选择或编制一个相关的、最好是经过验证的检查表。
B.5.4过程
具体步骤如下:
确定活动范围;
选择一个能充分涵盖整个范围的检查表。为此,应仔细选择检查表。例如,不可使用标准控制的检查表来识别新的危险或风险。
使用检查表的人员或团队应熟悉过程或系统的各个因素,同时审查检查表上的项目是否有缺失。
B.5.5输出
输出结果取决于应用该结果的风险管理过程的阶段。例如,输出结构可以是不全面的控制清单或是风险清单。
B.5.6优点及局限
检查表的优点包括:
非专家人士可以使用;
如果编制精良,它们将各种专业知识纳入到了便于使用的系统中;
它们有助于确保常见问题不会遗忘。
局限包括:
它们会限制风险识别过程中的想象力;
它们论证了“已知的已知因素”,而不是“已知的未知因素”或是“未知的未知因素”;
它们鼓励“在方框内画勾”的习惯;
它们往往基于已观察到的情况,因此会错过还没有被观察到的问题。
B.6预先危险分析(PHA)
B.6.1概述
预先危险分析(PrimaryHazardAnalysis,简称PHA)是一种简单易行的归纳分析法,其目标是识别危险以及可能给特定活动、设备或系统带来危害的危险情况及事项。
B.6.2用途
这是一种在项目开发初期最常用的方法。因为当时有关设计细节或操作程序的信息很少,所以这种方法经常成为进一步研究工作的前奏,同时也为系统设计规范提供必要信息。在分析现有系统,从而将需要进一步分析的危险和风险进行排序时,或是现实环境使更全面的技术无法使用时,这种方法会发挥更大的作用。
B.6.3输入
输入包括:
被评估系统的信息。
可获得的与系统设计有关的细节。
B.6.4过程
通过考虑如下因素来编制危险、一般性危险情况及风险的清单。
使用或生产的材料及其反应性;
使用的设备;
运行环境;
布局;
系统组成要素之间的分界面等。
对不良事项结果及其可能性可进行定性分析,以识别那些需要进一步评估的风险。
若需要,在设计,建造和验收阶段都应展开预先危险分析,以探测新的危险并予以更正。获得的结果可以使用诸如表格和树状图之类的不同形式进行表示。
B.6.5输出
输出包括:
危险及风险清单。
包括接受、建议控制、设计规范或更详细评估的请求等多种形式的建议。
B.6.6优点及局限
优点包括:
在信息有限时可以使用;
可以在系统生命周期的初期分析风险。
局限包括:
PHA只能提供初步信息。它不够全面也无法提供有关风险及最佳风险预防措施方面的详细信息。
B.7失效模式和效应分析(FMEA)及失效模式、效应和危害度分析(FMECA)
B.7.1概述
失效模式和效应分析(FailureModeandEffectAnalysis,简称FMEA)是用来识别组件或系统未能达到其设计意图的方法。
FMEA用于识别:
●系统各部分所有潜在的失效模式(失效模式是或不当)FailureModeandEffectandCriticalityAnalysis,简称FMECA)拓展了FMEA的使用范围。根据其重要性和危害程度,FMECA可对每种被识别的失效模式进行排序。
这种分析通常是定性或半定量的,但是使用实际故障率也可以定量化。
B.7.2用途
FMEA有几种应用:用于部件和产品的设计(或产品)FMEA;用于系统的系统FMEA;用于制造和组装过程的过程FMEA;服务FMEA和软件FMEA。
FMEA/FMECA可以在系统的设计、制造或运行过程中使用。然而,为了提高可靠性,改进在设计阶段更容易实施。
FMEA/FMECA也适用于过程和程序。例如,它用来识别潜在医疗保健系统中的错误和维修程序失败。
信息可能包括:
●正在分析的系统及系统组件的图形,或者过程步骤的流程图;
●了解过程每一步或系统组成部分的功能Theriskprioritynumber)是一种半定量的危害度测量方法,其将故障后果、可能性和发现问题的能力(如果故障很难发现,则认为其优先级较高)进行等级赋值(通常在1到10之间)并相乘来获得危险度。这个方法经常用于质量保证的应用实践中。
一旦失效模式和机制,界定和实施失效模式报告记录内容包括:
FMECA的输出包括如果使用合适的故障率资料后果FMECA可以输出定量。
广泛适用于人力,设备和系统失效模式硬件,软件和程序
识别组件失效模式及其原因和对系统的影响,同时用可读性较强的形式表现出来;
通过在设计初期发现问题,从而避免了开支较大的设备改造;
识别单点失效模式以及对冗余或安全系统的需要;
通过突出计划测试的关键特征,为开发测试计划提供输入数据;
局限包括:
●只能识别单个失效模式,无法同时识别多个失效模式;
●除非得到充分控制并集中充分精力,否则研究工作既耗时,又开支较大;
●对于复杂的多层系统来说,这项工作可能既艰难,又枯燥。
B.8危险与可操作性分析(HAZOP)
B.8.1概述:
HAZOP是危险与可操作性分析(Hazardandperabilitystudies)的英文首字母缩写,也是对一种规划或现有产品、过程、程序或体系的结构化及系统分析。该技术可以识别人员、设备、环境及/或组织目标所面临的风险。分析团队应尽量提供解决方案,以消除风险。
HAZOP过程是一种基于危险和可操作性研究的定性技术,它对设计、过程、程序或系统等各个步骤中,是否能实现设计意图或运行条件的方式提出质疑。该方法通常由一支多专业团队通过多次会议进行。
HAZOP在识别过程、系统或程序的故障模式的原因和后果方面与FMEA类似。其不同在于团队通过考虑不希望的结果、与预期的结果以及条件之间的偏差来反查可能的原因和故障模式,而FMEA则确定故障模式,然后才开始。
B.8.2用途
最初开发HAZOP技术是为了分析化学过程系统,但是该技术目前已拓展到其他类型的系统及复杂的操作中,包括机械及电子系统、程序、软件系统,甚至包括组织变更及法律合同设计及评审。
HAZOP过程可以处理由于设计、部件、计划程序和人为活动的缺陷所造成的各种形式的对设计意图的偏离。
这种方法广泛地用于软件设计评审中。当用于关键安全仪器控制及计算机系统时,该方法称作CHAZOP(控制危险及可操作性分析或计算机危险及可操作性分析)。
HAZOP分析通常在详细设计阶段开展,因为此时有计划过程的全图,尽管设计仍可进行调整。但是,随着设计的详细发展,可以对每个阶段用不同的导语以阶段法进行。HAZOP分析也可以在操作阶段进行,但是,该阶段需要的变更可能有较大成本。
B.8.3输入
HAZOP分析的主要输入数据是有关计划审批的系统、过程或程序,以及设计意图与效果说明书的现有信息。输入数据可能包括图形、说明书、过程图、逻辑图、布局图、操作及维修程序,以及紧急情况响应程序。对于非硬件系统来说,HAZOP的输入数据可以是描述所分析的系统或程序的功能和因素的任何文件。例如,输入数据可以是组织图或角色说明、合同草案甚至程序草案。
B.8.4过程
HAZOP主要对分析中的流程、程序或系统进行“设计”及规范化,并审查各组成部分,以发现与预期效果的偏差、潜在的原因以及偏差可能造成的结果。通过使用合适的引导词,对于系统、过程或程序的各个部分对关键参数变化的反应方式进行系统性分析,我们就可以实现上述目标。可以使用针对某个特殊系统、过程或程序的引导词,也可以使用能涵盖各类偏差的通用词。表B1举例说明了技术系统常用的引导词。类似的导语如‘过早’、‘过迟’、‘过多’、‘过少’、‘过长’、‘过短’、‘错误方向’、‘错误目的’、‘错误行动’可以用来标明人为错误的模式。
HAZOP分析的一般步骤包括:
提名某个有必要责任和职权的人员开展HAZOP分析,并承担由此产生的一切行动;
确定这项研究的目标及范围;
为研究建立一系列关键的引导词;
确定HAZOP研究团队。该团队通常是多专业的,应包括掌握了相应技术专业知识的设计及操作人员,来评价与计划或当前设计的偏差产生的影响。建议团队中包括一些不直接参与设计或者被审核的系统、过程或程序的人员。
收集必要的文件。
在研究团队的引导式研讨班上:
将系统、过程或程序划分成更小的因素或子系统/过程或因素,以进行具体的审核;
约定各子系统/过程或因素的设计意图,然后对于该子系统或因素中的各项依次使用引导词,以假设那些会产生不良结果的可能偏差;
如果发现不良结果,约定各种情况下的原因及结果,同时就处理方式提出建议,从而减少或消除影响(如果可能的话);
将讨论内容记录在案,同时约定用于处理被识别风险的具体行动。
表B.1HAZOP引导词的例子
术语 定义 “无”或“不”
更多(更高)
更少(更低)
以及
部分
颠倒/相反
而不是
兼容性
引导词适用于下列参数:
计划结果根本没有实现或是计划条件缺失
输出结果或运行状况的定量增长
定量减少
定量增长(例如,附加材料)
定量减少(例如,仅限混合物中的一个或两个成分)
相反(例如,回流)
意图根本没有实现,而截然不同的事情发生了(例如,流动或资料错误)
材料;环境
材料或过程的物理特征
温度、速度等物理条件
系统或设计组件的规定目的(例如,信息转化)
运行方面 B.8.5输出
对于每个评审点的项目,做好HAZOP会议的会议记录。这包括:使用的引导词、偏差、可能的原因、处理所发现问题的行动以及行动负责人。
对于任何无法纠正的偏差,需要对偏差风险进行评估。
B.8.6优点及局限
HAZOP的优点包括:
为系统、彻底地分析系统、过程或程序提供了有效的方法;
涉及多专业团队,包括那些拥有实际操作经验的人员以及那些必须采取处理行动的人员;
形成了解决方案和风险应对行动方案;
适用于各种系统、过程及程序;
有机会对人为错误的原因及结果进行清晰的分析;
对用来说明尽职调查的过程可以进行书面记录。
局限包括:
很耗时,因此成本较高;
对文件或系统/过程以及程序规范的要求较高;
主要重视的是找到解决方案,而不是质疑基本假设(然而,这可以减轻分阶段的办法)危险分析控制点危险分析控制HazardAnalysisandCriticalControlPoints,(Layerprotectionanalysis,在确定安全完整性级别()时,需要安全。处理安全/设备系统量化的风险可能没有考虑到普通模式的
LOPA并不适用于很复杂的情景,也就是有很多因果对或有各种结果会影响不同利益相关者的情景。
B.10.7参考文件
IEC61508(所有部分),电器/电子/可编程安全相关系统的功能安全61511,功能安全-安全系统(SWIFT)
B.11.1概述
最初,结构化假设分析(Structure?Whatif??,简称SWIFT)是作为HAZOP更简单的替代性方法推出的。它是一种系统的、团队合作式的研究方法,利用了引导员在讨论会上运用的一系列“提示”词或短语来激发参与者识别风险。引导员和团队使用标准的“假定分析”式短语以及提示词来调查正常程序和行为的偏差对某个系统、设备组件、组织或程序产生影响的方式。通常,与HAZOP相比,SWIFT用于某个系统的更多层面,同时细节要求较低。
B.11.2用途
虽然SWIFT的设计初衷是针对化学及石化工厂的危险进行研究,但是该技术现在广泛地用于各种系统、设备组件、程序及组织。尤其是,它现在用来分析变化的后果以及由此带来的风险的变化或新产生的风险。
B.11.3输入
在开始进行研究之前,必须对系统、设备组件、程序及/或变化进行认真界定。引导员应通过访谈以及对文件、计划和图纸的全面分析建立内外部背景。一般来说,研究涉及的项目、情况或系统应划分成节点或关键要素以便于开展分析过程,而这在HAZOP的界定层面中很少涉及。
另一个关键输入数据是经过认真挑选的研究团队的专业知识和经验。其中,所有利益相关者的观点都要得到反映,如果可能的话,应当将其与拥有类似项目经验或情况经历的人员的观点统筹考虑。
B.11.4过程
一般过程如下所示:
1)在开展研究之前,引导员应准备一份相关的词语或短语提示单。该清单可以基于一系列标准的词语或短语,也可以是为便于对危险或风险进行综合分析而形成的词语或短语。
2)讨论会应讨论并约定项目、系统、变化或情况的内外部背景以及研究范围。
3)引导员要求参与者提出并讨论:
●已知的风险和危险;
●以往的经历和事件;
●已知和现有的控制及保障措施;
●监管要求和限制措施。
4)使用“假定分析”这样的短语及提示词或主题以形成问题,达到引导讨论的目的。计划使用的“假定分析”短语包括“要是…怎么办…”、“如果…会发生…”、“某人或某事会…”以及“有人或有事曾经…”。其目的是激发研究团队探讨潜在的情景及其原因和后果以及影响。
5)总结风险,同时团队分析现有的控制措施。
6)与团队确认风险及其原因、后果和预期控制的描述,并进行记录。
7)团队分析控制措施是否充分有效,同时就风险控制效果的声明达成一致。如果未达到满意的效果,团队应继续风险应对工作并界定潜在的控制措施。
8)在本次讨论中,提出更多的“假定分析”问题,以识别更多的风险。
9)引导员利用提示单来监督讨论并建议团队讨论其他问题和情景。
10)通常要使用定性或半定量风险评估方法来将按先后顺序排列的行动进行等级划分。一般来说,在使用这种风险评估方法时,我们要考虑现有的控制措施及其效果。
B.11.5输出
输出结果是一个风险列表,记录了不同风险等级的行动或任务的。这些任务就成了风险应对计划的基础。
B.11.6优点及局限
SWIFT的优点包括:
广泛用于各种形式的物理设备或系统、情况或环境、组织或活动;
对团队的准备工作要求最低;
速度较快,同时重大危险及风险在讨论会上很快突显出来;
通过这项以“系统为导向”的研究,参与者可以分析系统对偏差的反应,而不只是分析组件故障的后果;
可用来识别过程及系统改进的机会,通常可用来识别能带来成功或增强成功可能性的活动;
由那些参与现有控制和进一步风险应对行动的人员参与到讨论会中,这样可以增强他们的责任感;
建立风险登记表和风险应对计划相对容易;
虽然经常使用风险评级的定性或半定量形式来进行风险评估,但是可通过SWIFT来识别那些可以进行定量分析的风险和危险。
SWIFT的局限包括:
它要求经验丰富、能力较强、工作效率高的引导员;
它需要精心的准备,这样才不会浪费讨论会团队的时间;
如果讨论会团队缺乏足够丰富的经验或是如果提示系统不够全面,那么有些风险或危险可能就无法识别;
技术的有效运用也可能无法揭示那些复杂、详细或相关的原因。
B.12风险矩阵
B.12.1概述
风险矩阵(RiskMatrix)是一种将定性或半定量的后果分级与产生一定水平的风险或风险等级的可能性相结合的方式。矩阵格式及适用的定义取决于使用背景,关键是要在这种情况下使用合适的设计。
B.12.2用途
风险矩阵可用来根据风险等级对风险、风险来源或风险应对进行排序。它通常作为一种筛查工具,以确定哪些风险需要更细致的分析,或是应首先处理哪些风险,这需要提到一个更高层次的管理IV III II I I I D IV III III II I I C V IV III II II I B V IV III III II I A V V IV III II II 1 2 3 4 5 6 结果等级 图B.1风险矩阵示例
分级评分和矩阵可以用定量等级进行建立。例如,在可靠性背景中,可能性等级表示指示故障率,而结果等级表示故障的美元成本。
工具的使用需要有掌握相关专业知识的人员(最好是团队),以及有助于对结果和可能性进行判断的现有数据。
B.12.4过程
为了进行风险分级,使用者首先要发现最适合当时情况的结果描述符,然后界定那些结果发生的可能性。然后,从矩阵中读取风险等级。
很多风险事项会有各种结果,并有各种不同的相关可能性。通常,次要问题比灾难更为常见。因此,有必要选择是对最常见的问题评分,还是对最严重的结果,抑或是两者的统一体进行评分。在很多情况下,有必要关注最严重的可信事项,因为这些事项会带来最大的威胁,经常也是管理者最关注的事情。有时,有必要将常见问题和不可能的灾难归为独立风险。关键是要使用与所选结果相关的可能性,而不是整个事项的可能性。
矩阵风险可能与决策规则Humanreliabilityanalysis,简称HRA)关注的是人因对系统绩效的影响,可以用来评估人为错误对系统的影响。
很多过程都有可能出现人为错误,尤其是当操作人员可用的决策时间较短时。问题最终发展到严重地步的可能性或许不大。但是,有时,人的行为是惟一能避免最初的故障演变成事故的防卫。
HRA的重要性在各种事故中都得到了证明。在这些事故中,人为错误导致了一系列灾难性的事项。有些事故向人们敲响警钟,不要一味进行那些只关注系统软硬件的风险评估。它们证明了忽视人为错误这种诱因发生的可能性是多么危险的事情。而且,HRA可用来凸显那些妨碍生产效率的错误并揭示了操作人员及维修人员如何“补救”这些错误和其他故障(硬件和软件)。
B.13.2用途
HRA可进行定性或定量使用。如果定性使用,HRA可识别潜在的人为错误及其原因,从而降低了人为错误发生的可能性;如果定量使用,HRA可以为FTA(故障树)或其它技术的人为故障提供数据。
B.13.3输入
人因可靠性分析方法的输入包括:
明确人们必须完成的任务的信息;
实际发生及有可能发生的各类错误的经验;
有关人为错误及其量化的专业知识。
B.13.4过程
HRA过程如下所示:
问题界定——计划调查/评估哪种类型的人为参与?
任务分析——计划怎样执行任务?为了协助任务的执行,需要哪类帮助?
人为错误分析——任务执行失败的原因?可能出现什么错误?怎样补救错误?
表示——怎样将这些错误或任务执行故障与其他硬件、软件或环境事项整合起来,从而对整个系统故障的概率进行计算?
筛查——有不需要细致量化的错误或任务吗?
量化——任务的单项错误和失败的可能性如何?
影响评估——哪些错误或任务是最重要的?哪些错误或任务是可靠性或风险的最大诱因?
减少错误——如何提高人因可靠性?
记录——有关HRA的哪些详情应记录在案?
在实践中,HRA会分步骤进行,尽管某些部分(例如任务分析及错误识别)有时会与其他部分同步进行。
B.13.5输出
输出包括:
可能会发生的错误的清单以及减少损失的方法——最好通过系统改造;
错误模式、错误类型、原因及结果;
错误所造成风险的定性或定量评估。
B.13.6优点及局限
HRA的优点包括:
HRA提供了一种正式机制,对于人在系统中扮演着重要角色的情况,可以将人为错误置于系统相关风险的分析中;
对人为错误的模式和机制的正式分析有利于降低错误所致故障的可能性。
局限包括:
人的复杂性及多变性使我们很难确定那些简单的失效模式及概率;
很多人为活动缺乏简单的通过/失败模式。HRA较难处理由于质量或决策不当造成的局部故障或失效。
图B.2人因可靠性分析
B.14以可靠性为中心的维修
B.14.1概述
以可靠性为中心的维修(ReliabilityCentredMaintenance,简称RCM)是一种识别故障管理策略的方法,目的是高效、有效地实现各类设备必要的安全性、可用性及运行经济性。
现在,RCM已成为广泛用于各行业内并经过验证而被普遍接受的方法。
RCM提供了一种决策过程,可以根据设备的安全、运行及经济结果,识别出设备适用且有效的预防性维修要求和退出机制。结束这个过程后,最终可以对执行维修任务或采取其他使用和应用RCM详细说明60300-3-11中被提供。
RCM的风险分析包括估算无需维修状态下各故障的频率。通过界定失败效果来获得结果。综合故障频率和危险度的风险矩阵有利于对风险进行分级。
随后,通过选择各失效模式适用的故障管理政策来进行风险评价。
整个RCM过程应做好大量的记录工作,以供将来参考和检查之用。故障及维修相关数据的采集有助于监督结果并实施改进措施。
B.14.5输出
维修任务的界定,如状况监控、计划性恢复、计划性替换、故障查找或非预防性维修。这项分析可能带来的其他行动包括重新设计、调整运行或维修程序,或者额外培训。执行任务的时间间隔以及必要的资源都要得到确认。
B.15业务影响分析(BIA)
B.15.1概述
业务影响分析(BusinessImpactAnalysis),也称作业务影响评估(BusinessImpactAssessment),分析了干扰性风险对组织运营的影响方式,同时识别并量化了必要的风险管理能力。具体来说,BIA就以下问题达成了一致的认识:
●关键经营过程的识别和临界状态、职能和相关资源分析并制定计划简单化或过于乐观难以获得足够的RootCauseAnalysis,简称RCA)、故障根本原因分析(RootCauseFailureAnalysis,简称RCFA)或者损失分析(Lossanalysis)。RCAF关注的是各类故障引起的资产损失,而损失分析主要关注的是外部因素或灾难引起的财政或经济损失。它试图识别根本或最初原因,而不是仅处理非常明显的“症状”。人们普遍认同,纠正行为未必完全有效,有时可能需要持续的完善。在大多数情况下,RCA用于对重要损失的评估,但是也用于全球范围的损失,以确定在什么情况下可以进行完善。
B.16.2用途
RCA适用于各种环境,拥有广泛的使用范围:
●安全型RCA用于事故调查和职业健康及安全;
●故障分析用于与可靠性及维修有关的技术系统;
●生产型RCA用于工业制造的质量控制领域;
●过程型RCA关注的是经营过程;
●作为上述领域的综合体,系统型RCA主要用于处理复杂系统的变革管理、风险管理及系统分析中。
B.16.3输入
RCA的基本输入数据是指从故障或损失中搜集的全部证据。分析中也可以考虑其他类似故障的数据。其他输入数据可以是为了测试具体假设而得出的结果。
B.16.4过程
识别出RCA的需求之后,应指定一群专家开展分析并提出建议。专家的类型主要取决于分析故障时所需的具体专业知识。
虽然可以使用不同的方法进行分析,但开展RCA的基本步骤是相似,包括以下方面:
●组建团队;
●确定RCA的范围及目标;
●搜集有关故障或损失的数据及证据;
●开展结构化分析,以确定根本原因;
●找出解决方案并提出建议;
●执行建议;
●核实所执行建议的成效。
结构化分析方法可以包括下列某一种方法:
5-why法,即询问为什么?以剥离原因及原因)
B.17.1概述
潜在分析(Sneakanalysis)是一种用于识别设计错误的方法。潜在条件不是因部件故障而发生,而是一种可能会造成不良事项的发生或阻止预期事项发生的潜在硬件、软件或集成的状态。这些状况的特点是具有随意性,在最严格的标准化系统检查中也会检测不到。潜在条件可能会引起运行不当、系统可用性缺失、程序延时或者甚至造成人员伤亡。
B.17.2用途
在20世纪60年代后期,潜在通路分析(SneakCircuitAnalysis)为美国航空航天局(NASA)开发,以核实它们设计的完整性及功能。潜在通路分析是一种发现非故意电路路径的有效工具,有利于设计将各功能独立处理的解决方案。但是,随着技术进步,潜在通路分析的工具也一定在发展。潜在分析是用来描述潜在通路分析扩大范围的术语。潜在分析涵盖并超出了潜在通路分析的范畴。潜在分析可以使用任何技术来确定软硬件问题。潜在分析工具可以将几种分析工具,例如故障树、失效模式和效应分析(FMEA)、可靠性估计(Reliabilityestimates)等整合到一项分析中,这样可以节省时间和项目成本。
B.17.3输入
潜在分析是一种独特的设计过程,因为它利用不同的工具(网络树,以帮助确定分析条件CauseandConsequenceAnalysis,简称CCA)综合了故障树分析和事件树分析,它开始于关键事件,同时通过结合是/否逻辑代表的条件,旨在减轻后果的。的原因或故障通过故障树(见B.15)。
B.18.2用途
最初,因果分析是作为关键安全系统的可靠性工具而开发出来的,可以让人们更全面地认识系统故障。类似于故障树分析,它用来表示造成关键事件的故障逻辑,但是,通过对时序故障的分析,它比故障树的功能更强大。这种方法可以将时间滞延纳入到结果分析中,而这在事件树分析中是办不到的。
根据特定子系统(例如应急反应系统)的行为,这种方法可分析某个系统在关键事件之后可能的各种路径。如果进行量化,它们可估算出某个关键事件过后各种不同结果发生的概率。
由于因果图中的每个序列,可作为一种建立大故障树工具。
图B.3因果分析示例
如果各条件栏的故障为独立故障,则可以计算各故障的发生概率。要做到这一点,首先是确定条件栏内每个输出结果的概率(如果可以的话,使用相关的故障树)。通过将各次序条件的概率相乘,就可以得出产生特定结果的任一次序的概率,该次序条件结束于上述特定结果。如果一个以上的次序最终有相同的结果,那么各次序的概率应相加。如果某个序列中各条件的故障存在依存关系(例如,停电会造成多个条件出现故障),那么必须在计算前分析依存关系。
B.18.5输出
因果分析的结果可用图形表示,对系统故障的原因进行图形表示既可说明原因,也可说明结果。通过对引起关键事件特定条件发生的概率进行分析,我们就可以估算出各潜在结果发生的概率。
B.18.6优点及局限
因果分析的优点相当于事件树及故障树的综合优点。而且,通过分析一段时间内发展变化的事项,这种分析克服了那两种技术的局限。因果分析提供了系统的全面视角。
局限是它的建构过程要比故障树和事件树更复杂,同时在定量过程中必须处理依存关系。
B.19风险指数
B.19.1概述
风险指数(Riskindices)是对风险的半定量测评,是利用顺序标度的记分法中得出的估算值。风险指数可以用来对使用相似标准的一系列风险进行评分,以便对风险进行比较。得分可用于风险的各组成部分,例如污染物特征(来源)、可能暴露路径的范围,以及对接收方的影响。尽管是风险评估的组成部分,风险指数主要用于风险分析。
风险指数本质上是一种对风险进行分级和比较的定性方法,使用数字完全是为了便于操作。在许多潜在模型或系统不清楚或不能够被表示的情况下,用定性方法更好。
B.19.2用途
如果充分理解系统,可以用指数对与活动相关的不同风险分级。指数允许将影响风险等级的一系列因素整合为单一的风险等级数字。
风险指数可作为一种范围划定工具用于各种类型的风险,以根据风险水平划分风险。这可以确定哪些风险需要更深层次的分析以及可能进行定量评估。
B.19.3输入
输入数据来源于对系统的分析,或者对背景的宽泛描述。这就要求很好地了解风险的各种来源、可能的路径以及可能影响到的方面。像故障树分析、事件树分析以及通用决策分析这样的工具可以用来支持风险指数的开发。
由于顺序尺度的选择在一定程度上具有任意性,因此,需要充分的数据来确认指数。
B.19.4过程
第一步是理解并描述系统。一旦系统得到确认,就要对各组件确定得分,再将这些得分结合起来,以提供综合指数。例如,在环境背景中,来源、途径及接收方将被打分。在有些情况下,每个来源可能会有多种路径和接收方。根据考虑系统客观现状的计划将单个得分进行综合。关键是,系统各部分的得分(来源、途径及接收方)应在内部保持一致,同时保持其正确关系。给风险组成部分(例如,概率、暴露及后果)或是增加风险的因素打分。
可以根据模型对得分进行加、减、乘及/或除的运算。通过将得分相加来考虑累积效果(例如,将不同路径的得分相加)。严格地讲,将数学公式用于顺序得分是无效的,因此,一旦打分系统得以建立,必须将该模型用于已知系统,以便确认其有效性。确定指数是一种迭代方法,在分析师得到满意的确认结果之前,可以尝试几种不同的系统以将得分进行综合。
通过灵敏度分析和不同得分来解决不确定性问题,以发现哪些参数是最敏感的。
B.19.5输出
输出结果是与特定来源有关的一系列数字(综合指数),并可以与为其他来源开发的指数或是按相同方式建模的一系列数字进行比较。
B.19.6优点及局限
优点:
风险指数可以提供一种有效的划分风险等级的工具。
它们可以让影响风险等级的多种因素整合到对风险等级的分析中。
局限:
如果过程(模式)及其输出结果未得到很好确认,那么可能使结果毫无意义的。输出结果是风险值这一点可能会被误解和误用,例如在随后的成本效益分析中。
在很多使用风险指数的情况下,缺乏一个基准模型来确定风险因素的单个尺度是线性的、对数的还是某个其他形式,也没有固定的模型可以确定如何将各因素综合起来。在这些情况下,评级本身是不可靠的,对实际数据进行确认就显得尤其重要。
B.20故障树分析(FTA)
B.20.1概述
故障树(FaultTreeanalysis,简称FTA)是用来识别并分析造成特定不良事件(称作顶事件)因素的技术。因果因素可通过归纳法进行识别,也可以按合乎逻辑的方式进行编排并用树形图进行表示,树形图描述了原因因素及其与重大事件的逻辑关系。
故障树中识别的因素可以是与组件硬件故障、人为错误或造成不良事项的其他相关事项。
图B.4FTA事例
B.20.2用途
故障树可以用来对故障(顶事件)的潜在原因及途径进行定性分析,也可以在掌握因果事项可能性的知识之后,定量计算重大事件的发生概率。
故障树可以在系统的设计阶段使用,以识别故障的潜在原因并在不同的设计方案中进行选择;也可以在运行阶段使用,以识别重大故障发生的方式和导致重大事件不同路径的相对重要性;故障树还可以用来分析已出现的故障,以便通过图形来显示不同事项如何共同作用造成故障。
B.20.3输入
对于定性分析,需要了解系统及故障原因、系统失。详细图帮助分析。
布尔代数Eventtreeanalysis,简称ETA)是一种表示初始事件之后互斥性后果的图解技术,其根据是为减轻其后果而设计的各种系统的是否起作用(见图B.5)。它可以定性地和定量地应用。
初因事件 发生火灾 洒水系统工作 火警激活 结果 频率(每年)
图B.5事件树
图B.5显示当分支完全独立时对简单事件树的简单的计算。
ETA具有散开的树形结构,考虑到其他系统、功能或障碍,ETA能够反映出引起初始事件加剧或缓解的事件。
B.21.2用途
ETA可用于初始事件后建模、计算和排列(从风险观点)不同事故情景。
ETA可以用于产品或过程生命周期的任何阶段。它可以进行定性使用,有利于群体对初因事项之后可能出现的情景及依次发生的事项进行集思广益,同时就各种处理方法、障碍或旨在缓解不良结果的控制手段对结果的影响方式提出各种看法。
定量分析有利于分析控制措施的可接受性。这种分析大都用于拥有多项安全措施的失效模式。
ETA可用于对可能带来损失或收益的初始事件建立模型。但是,在追求最佳收益路径的情况下,更经常地使用决策树建立模型。
B.21.3输入
输入包括:
相关初始事项清单;
关于应对,障碍和控制,其失效概率它生动地体现事件使用故障树是不可能。这可能其他分析方法(如HAZOP,PHA),但
事件树只分析了某个系统的成功及故障状况,很难将延迟成功或恢复事项纳入其中。
任何路径都取决于路径上以前分支点处发生的事项。因此,要分析各可能路径上众多从属因素。然而,人们可能会忽视某些从属因素,例如常见组件、应用系统以及操作员等。如果不认真处理这些从属因素,就会导致风险评估过于乐观。
B.22决策树分析
B.22.1概述
考虑到不确定性结果Decisiontree)以序列方式表示决策选择和结果。类似于事件树,决策树开始于初因事项或是最初决策,同时由于可能发生的事项及可能做出的决策,它需要对不同路径和结果进行建模。
B.22.2用途
决策树用于项目风险管理和其他环境中,以便在不确定的情况下选择最佳的行动步骤。图形显示也沟通原因。有关可能结果偶然事件包括:每一个可能路径的预期值计算Bowtieanalysis)是一种简单的图解形式,用来描述并分析某个风险从原因到结果的路径。可以将其视为分析事项起因(由蝶形图的结代表)的故障树以及分析结果的事件树这两种观点的统一体。但是,蝶形图分析的重点是原因与风险之间,以及风险与结果之间的障碍。在建构蝶形图时,首先要从故障树和事件树入手,但是,这种图形大都在头脑风暴式的讨论会上直接绘制出来。
B.23.2用途
蝶形图分析被用来显示风险一系列可能的原因和后果。机制支持控制管理职能(如培训和检查),并与的控制。
图B.6不良结果的蝶形图
B.23.6优点及局限
蝶形图分析的优点:
用图形清晰表示问题,便于理解;
关注的是为了到达预防及减缓目的而确定的障碍及其效力;
可用于期望结果;
使用时不需要较高的专业知识水平。
局限包括:
无法描述当多种原因同时发生并产生结果时的情形(例如,故障树中有“闸”这个概念来描述蝶形图的右手侧);
可能会过于简化复杂情况,尤其是在试图量化的时候。
B.24层次分析法
B.24.1概述
在进行社会、经济以及科学领域问题的系统分析中,常常面临由相互关联、相互制约的众多因素构成的复杂而往往缺少定量数据的系统。层次分析法(AnalyticHierarchyProcess,简称AHP)为这类问题的决策和排序提供了一种新的、简洁而实用的建模方法,它特别适用于那些难于完全定量分析的问题。
B.24.2用途
层次分析法以其系统性、灵活性、实用性等特点特别适合于多目标、多层次、多因素的复杂系统的决策在目标因素结构复杂且缺乏必要数据的情况下使用更为方便,同时它也被广泛应用于社会、经济、科技、规划等很多领域的评价、决策、预测、规划等。对任意两因素的相对重要性判断,给予量化输入的比较值真实可信,通常可以用德尔菲法、头脑风暴法等进行操作AHP法较好地体现了系统工程学定性与定量分析相结合的思想。在决策过程中,决策者直接参与决策,决策者的定性思维过程被数学化、模型化,而且还有助于保持思维过程的一致性。在过去的几年里,银行和监管当局(ValueatRisk,简称VaR)衡量风险。被称为风险价值或在险价值,指在一定的置信水平下,某一金融资产(或证券组合)在未来特定的一段时间内的最大可能损失。与传统风险度量手段不同,VaR完全是基于统计分析基础上的风险度量技术,它的产生是JP摩根公司用来计算市场风险的产物逐步被引入信用风险管理领域。目前,基于VaR度量金融风险已成为国外大多数金融机构广泛采用的衡量金融风险大小的方法。VaR的计算和分析可以使用多种计量模型,如参数法、历史模拟法和蒙特卡罗模拟法。参数法是VaR计算中最为常用的方法。以下以参数法为例介绍该方法的大致特点。
B.25.2用途
利用VaR可以比较全面地描述和评估风险。许多风险度量方法,只能用来度量一类资产的风险或一类特定的风险,而在险值不依赖个别风险的特性或受资产种类的限制,具有整体性。因其适用于各种风险,所以在险值可提供一个基准单位,用来比较不同的风险。比如,企业可以用在险值统一度量其面临的市场风险,信用风险等。另外,在险值可以对企业管理层的资源配置和投资决策起到参考作用,如衡量公司各产品业绩、调整交易员的收益行为、实施风险限额和头寸控制等。
在险值也可以应用于投资组合之中,投资者可以通过成分VaR来判断投资组合中哪笔交易对投资组合的风险暴露起到了对冲效果,从而优先把新投资投向该交易。在险值的概念还可以用来衡量诸如企业现金流和盈利的风险。这就是所谓的现金流在险值和收益在险值。
B.25.3输入
使用参数法计算VaR仅需要将市价、当前头寸面临的风险和风险数据三种数据相结合,因此比较易于操作。
B.25.4过程
参数法利用资产组合的价值函数与市场因子间的近似关系、市场因子的统计分布(方差-协方差矩阵)简化VAR计算。
参数法的主要计算步骤包括:
列出各种风险因素;
对投资组合中所有金融工具的线性风险进行映射;
加总不同金融工具的风险;
估计风险因子的协方差矩阵;
计算总体投资组合风险。
由于在使用参数法时,一般假定资产收益率服从正态分布,这对于股票、债券、商品等基础资产以及外汇远期等线性衍生产品而言是恰当的,但对期权等非线性衍生品而言,由于它们的收益分布是非正态的,即使假设标的资产收益率正态分布,经过非线性收益型态转换后,仍有巨大的偏移。因此,该方法仅适用于线性资产和线性衍生品。
VaR基本模型为:
VaR=E(ω)-ω式中E(ω)为资产组合的预期价值;ω为资产组合的期末价值;ω为置信水平α下投资组合的最低期末价值。又设ω=ω0(1+R)式中ω0为持有期初资产组合价值,R为设定持有期内(通常一年)资产组合的收益率。ω=ω0(1+R)(3)
R为资产组合在置信水平α下的最低收益率。根据数学期望值的基本性质,将式代入式,有VaR=ω0[E(R)-R](4)
上式公式中即为该资产组合的VaR值,根据公式,如果能求出置信水平α下的R,即可求出该资产组合的VaR值。VaR时,置信区间和时间段的选取依赖于我们的管理需要和风险本身的特性。例如,商业银行通常采用95%或99%的置信区间,国际银行业监管机构的巴塞尔协议则规定商业银行应使用99%的置信区间和10天的时间段。
B.25.5输出
VaR法可以给出特定持有期内、一定置信水平下资产组合面临的最大损失,有效描述资产组合的整体市场风险状况。
B.25.6优点及局限
VaR法的优点:
过程简单,,专业背景的投资者和管理者可以通过VaR值对风险进行评判可以事前计算风险,不像以往风险管理的方法都是在事后衡量风险大小;不仅能计算单个金融工具的风险。还能计算由多个金融工具组成的投资组合风险。VAR方法局限VaR方法衡量的主要是市场风险,如单纯依靠VaR方法,会忽视其风险VaR值表明的是一定置信度内的最大损失,但并不能排除高于VaR值的损失发生的可能性是组合投资理论研究和实际应用的基础最佳平衡。对于给定的收益水平利用该模型可以求出方差意义下最小风险的组合。揭示了“资产的期望收益由其自身的风险的大小来决定”这一重要结论,即资产(单个资产和组合资产)由其风险大小来定价,单个资产价格由其方差或标准差来决定,组合资产价格由其协方差来决定。实际的资产组合决策均值-方差模型目标函数:inб2(Rp)=∑∑XiXjCov(Ri,Rj)
p=∑XiRi
限制条件:1=∑Xi(允许卖空)
或1=∑Xi>≥0(不允许卖空)
其中p为组合收益,i为第i只股票的收益,i、j为证券i、j的投资比例,б2(p)为组合投资方差组合总风险,Cov(rirj)为两个证券之间的协方差。上式表明,在限制条件下使组合风险б2(rp)最小,可通过朗格朗日目标函数求得。其经济学意义是,投资者可预先确定一个期望收益,通过上式可确定投资者在每个投资项目(如股票)上的投资比例(项目资金分配),使其总投资风险最小。不同的期望收益就有不同的最小方差组合,这就构成了最小方差集合。描绘出了资产组合选择的最基本、最完整的框架,是目前投资理论和投资实践的主流方法。但该模型没有考虑到收益的非正态分布,而多数实证研究表明证券收益率不一定服从正态分布另一方面计算复杂资本资产定价模型(CapitalAssetPricingModelCAPM)是在投资组合理论和资本市场理论基础上形成发展起来的主要研究证券市场中资产的预期收益率与风险资产之间的关系以及均衡价格是如何形成的该模型运用一般均衡模型刻划所有投资者的集体行为,揭示在均衡情况下证券风险与收益之间关系的经济本质。目前,资本资产定价模型被公认为是金融市场现代价格理论的主干,使丰富的金融统计数据可以得到系统而有效的利用。此模型亦被广泛用于实证研究并因而成为不同领域中决策的重要基础。理论的假设包括以下几点:市场是均衡的并不存在摩擦;市场参与者都是理性的;不存在交易费用;税收不影响资产的选择和交易投资总风险可以用方差或标准差表示,系统风险可用β系数表示CAPM理论已经上市的不同证券价格的合理性帮助确定准备上市证券的价格;能够估计各种宏观和宏观经济变化对证券价格的影响。资本资产定价理论认为,一项投资所要求的必要报酬率取决于以下三个因素:(1)无风险报酬率,即将国债投资(或银行存款)视为无风险投资;(2)市场平均报酬率,即整个市场的平均报酬率,如果一项投资所承担的风险与市场平均风险程度相同,该项报酬率与整个市场平均报酬率相同;(3)投资组合的系统风险系数即β系数,是某一投资组合的风险程度与市场证券组合的风险程度之比。CAPM的公式为:
E(Rp)=Rf+(Rm-Rf)β(1.1)
E(Rp)表示投资组合的期望收益率,Rf是无风险资产的报酬率,Rm是市场均衡组合的报酬率,β是证券J的β系数。β越大,系统性风险越高,要求的报酬率越高;反之,β越小,要求的报酬率越低。证券组合的β是个别证券的β的加权平均
CAPM是通过比较一项资本投资的回报率与投资于整个股票市场的回报率,来衡量该投资的风险贴水如果该资产是股票,其β通常可以用统计数据估算出来。但当资产是一家新工厂时,确立β比较困难。许多公司因此利用公司的资本成本作为正常的贴现率,公司资本成本是公司股票的预期回报率(取决于该股票的β)和它偿付债务的利息率的加权平均数。只要有关的资本投资对整个公司是有代表性的,这一方法可以使用。CAPM模型说明了单个证券投资组合的期望受益率与相对风险程度间的关系CAPM模型作为第一个不确定性条件下的资产定价的均衡模型具有重大的历史意义。由于股票等资本资产未来收益的不确定性,CAPM的实质是讨论资本风险与收益的关系。模型简明表达这一关系,即:高风险伴随着高收益。CAPM模型
B.28FN曲线
B.28.1概述
FN曲线(FNCurves)是能给特定人群带来特定危害的各类事项可能性的图形表示。在大多数情况下,它们指的是出现一定数量的伤亡的频率。
FN曲线表示的是人群中有N个或更多的人受到影响的累积频率(F)。以高频率F发生的N的高值具有重要意义,因为它们在社会及政治上可能无法为人接受。
B.28.2用途
FN曲线是表示风险分析结果的一种手段。很多事件具备发生低后果性结果的高概率和发生高后果性结果的低概率。FN曲线用区域块来表示风险,而不是用表示后果和概率组成的单点表示风险。
FN曲线可用来比较风险,例如将预计风险与FN曲线规定的标准相比,或是将预计风险与历史事项中的数据相比,或与决策标准(也曲线)。马尔可夫马尔可夫(Markovanalysis)。这种分析通常用来分析那些存在多重状况的可维修系统,而可靠性框图分析不适合对该系统进行充分分析。通过运用更高层次的马尔可夫链,这种方法可拓展到更复杂的系统中。同时,这种方法只会受模型、数学计算和假设的限制。
马尔可夫马尔可夫马尔可夫马尔可夫马尔可夫马尔可夫马尔可夫i可以是1、2或3)。
表B.2马尔可夫马尔可夫马尔可夫
图B.7系统马尔可夫i可以是1、2或3)的概率,那么需要解决的联立方程包括:
这三个方程并非独立的,无法解出三个未知数。因此,下列方程必须使用,而上述方程中有一个方程可以弃用。
状态1、2及3的答案分别是0.85、0.13和0.02。该系统只在85%的时间里能充分发挥功效,13%的时间内处于降级状态,而2%的时间存在故障。
应考虑平行运行的两个组件,其中,系统要发挥功能,其中一组件必须正常运行。这些组件可能是正常或故障的,系统的可用性依赖于组件的整体状态。
状态可以视为:
状态1:两个项目能发挥正常功能;
状态2:一个项目已出现故障并正在进行维修,而另一个项目运行正常;
状态3:两个项目都已出现故障且都在进行维修。
如果假设各项的故障率为λ,维修率为μ,那么状态转移图如下所示:
图B.8状态转移图
注意,从状态1到状态2的转移为2λ,因为这两项中任一项的故障都会使系统进入状态2。
设定Pi(t)为t时系统处于初始状态的概率;
设定Pi()为时系统处于最终状态的概率。
转移概率矩阵就变成:
表B.3最终马尔可夫) -2λ μ 0 P2( 2λ -(λ+μ) μ P3() 0 λ -μ 值得关注的是,如果无法从状态1转移到状态3或是由状态3转移到状态1,那么就会出现零值。而且,在规定比率时,各栏总和为零。
联立方程变为:
为了简单起见,我们假设所需的可用度为稳定状态可用度。
当趋向无限时,dPi/dt会趋于零,解方程式会变得更容易。
上面方程(B.4)所示的附加方程式也必须加以利用。
现在,方程A(t)=P1(t)+P2(t)可以表示为:
A=P1+P2
因此,
B.29.5输出
马尔可夫马尔可夫马尔可夫马尔可夫MonteCarlosimulation)
B.30.1概述
很多系统过于复杂,无法运用分析技术对不确定性因素的影响进行模拟,但可以通过考虑投入随机变量和运行N计算(即所谓)的,以便获得希望结果可能成果。迭代latin-hypercube抽样法使很多应用程序的处理时间几乎变得微不足道。
B.30.2用途
蒙特卡罗模拟是评估不确定性因素在各种情况下对系统产生影响的方法。这种方法通常用来评估各种可能结果的分布及值的频率,例如成本、周期、吞吐量、需求及类似的定量指标。蒙特卡罗模拟法可以用于两种不同用途:
传统解析模型的不确定性的分布;
解析技术不能解决问题时进行概率计算。
B.30.3输入
输入到蒙特卡罗模拟法的是一个系统模型和关于输入类型的信息、不确定性源和期望的输出。
具有不确定性的输入数据被表示为具有一定分布的随机变量,根据不确定性的水平其分布具有或多或少的离散性。为此,均匀分布、三角分布、正态分布和对数正态分布经常被使用。
B.30.4过程
过程如下:
确定尽可能准确代表所研究系统特性的模型或算法;
用随机数将模型运行多次,产生模型(系统模拟)输出。在模拟不确定性效应的应用场合,模型以方程式的形式提供输入参数与输出之间的关系。所选择的输入值取自这些参数中代表不确定性特点的适当的概率分布。
在每一种情况下,计算机以不同的输入运行模型多次(经常到一万次)并产生多种输出。这些输出可以用传统的统计方法进行处理,以提供均值、方差和置信区间等信息。
下面给出一个模拟例子。
分析平行运行的两个项目,而系统的正常运行只需要一个项目。第一个项目的可靠性为0.9,而另一个项目的可靠性为0.8。
可以构建如下所示的电子表格。
表B.4模拟数据
项目1 项目2 模拟数 随机数 功能? 随机数 功能? 系统 1 0.577243 是 0.059355 是 1 2 0.746909 是 0.311324 是 1 3 0.541728 是 0.919765 否 1 4 0.423274 是 0.643514 是 1 5 0.917776 否 0.539349 是 1 6 0.994043 否 0.972506 否 0 7 0.082574 是 0.950241 否 1 8 0.661418 是 0.919868 否 1 9 0.213376 是 0.367555 是 1 10 0.565657 是 0.119215 是 1 随机数生成器生成了0到1之间的数字,用来与各项的概率进行比较,以便确定系统是否正常运行。仅凭10次运行,0.9这个结果不会成为准确的结果。常见的方法是在计算器内建模,当模拟程度达到了所需精度时,再比较总结果。在这个例子中,经过20000次迭代,我们就得出了0.9799这个结果。
上述模型可以通过多种方式进行拓展。例如:
通过拓展模型本身(例如,只有在首项出现故障的情况下,才考虑第二项);
当概率无法准确确定时,通过改变某个变量的固定概率拓展(三角分布是个很好的例子);
使用故障率外加一个随机函数生成器去推导出故障时间(指数分布、Weibull分布或其它合适的分布)并建立维修时间;
一般来说,蒙特卡罗模拟适用于任何系统,包括以下方面:
一列输入数据相互影响来确定输出结果;
输入数据与输出结果之间的关系可以表述为合乎逻辑的代数关系;
输入数据存在不确定性,因此输出结果也存在不确定性。
应用范围包括对财务预测、投资效益、项目成本及进度预测、业务过程中断、人员需求及其他方面不确定性的评估。
输入数据分析技术无法提供相关的结果Petri网(62551)等有效的行为模式,这证明模拟目的是非常有效的;提供了一个结果准确性衡量(随着计算机速度这一限制越来越依赖于能够代表参数不确定性的有效托马斯·贝叶斯
其中,
事件X的概率表示为P(X);
在事件Y发生的情况下,X的概率表示为P(X/Y)
代表第i个事项。
上述表达式的最简化形式为:P(A/B)=﹛P(A)P(B/A)﹜/P(B)
与传统统计理论不同的是,贝叶斯统计并未假定所有的分布参数为固定的,而是设定这些参数是随机变量。如果将贝叶斯概率视为某个人对某个事项的信任程度,那么贝叶斯概率就更易于理解了。相比之下,古典概率取决于客观证据。由于贝叶斯方法是基于对概率的主观解释,因此它为决策思维和建立贝叶斯网络(信念网、信念网络及贝叶斯网络)提供了现成的依据。
贝叶斯网使用图形模式来表示一变量及其概率关系节点是一个直接影响另一个()的变量
图B.9贝叶斯网络样图
借助于下列表格确定的先验概率并使用表示法——Y表示正值,N表示负值.正值可能是如上所示的“有病”,或是会“较高”,而N可能是“较低”。
表B.6结A与B的先验概率
表B.7在明确结A与B的情况下,结C的条件概率
表B.8在明确结A与B的情况下,结D的条件概率
为了确定P(A/D=N,C=Y)的后验概率,首先要计算出P(A,B/D=D,C=Y).
使用贝叶斯规则,可以确定P(D/A,C)P(C/A,B)P(A)P(B)(如下所示)。同时,最后一栏表示正态概率,其和为上列得出的1(结果四舍五入)。
表B.9在明确结C与D的情况下,结A与B的后验概率
要得出P(A/D=N,C=Y),B的所有值必须求和。
表B.10在明确结D与C的情况下,结A的后验概率
这表明,P(A=N)的先验已由0.1增加到后验的0.12,这个变化较小。在另一方面,P(B=N/D=N,C=Y)已由0.4增加到0.56,这个变化更明显。
B.31.5输出
贝叶斯方法与传统统计方法有着相同的应用范围,并会产生大量的输出结果,例如得出点估算结果的数据分析以及置信区间。贝叶斯方法最近颇为流行,而这与可以产生后验分布的贝叶斯网络密不可分。图形结果提供了一种便于理解的模式,可以轻松修正数据来分析参数的相关性及敏感性。
B.31.6优点及局限
优点包括:
所需的就是有关先验的知识;
推导式证明易于理解;
贝叶斯规则是必要因素;
它提供了一种利用客观信念解决问题的机制。
局限包括:
对于复杂系统确定贝叶斯网所有相互是的贝叶斯方法需要众多的条件概率知识,通常专家判断提供。软件工具只能基于这些答案。参考文献
IEC61511,Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustrysector
IEC61508(allparts),Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems
IEC61882,Hazardandoperabilitystudies(HAZOPstudies)–Applicationguide
ISO22000,Foodsafetymanagementsystems–Requirementsforanyorganizationinthefoodchain
ISO/IECGuide51,Safetyaspects–Guidelinesfortheirinclusioninstandards
IEC60300-3-11,Dependabilitymanagement–Part3-11:Applicationguide–Reliabilitycentredmaintenance
IEC61649,Weibullanalysis
IEC61078,Analysistechniquesfordependability–ReliabilityblockdiagramandBooleanmethods
IEC61165,ApplicationofMarkovtechniques
ISO/IEC15909(allparts),Softwareandsystemsengineering–High-levelPetrinets
IEC62551,Analysistechniquesfordependability–Petrinettechniques3
IEC61882,Hazardandoperabilitystudies(HAZOPstudies)–Applicationguide
IEC61882,Hazardandoperabilitystudies(HAZOPstudies)–Applicationguide
ISO22000,Foodsafetymanagementsystems–Requirementsforanyorganizationinthefoodchain
IEC60812,Analysistechniquesforsystemreliability–Proceduresforfailuremodeandeffectanalysis(FMEA)
IEC61025,Faulttreeanalysis(FTA)
IEC60300-3-9,Dependabilitymanagement—Part3:Applicationguide—Section9:Riskanalysisoftechnologicalsystems
IEC61508(allparts),Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems
IEC61511,Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustrysector
IEC60300-3-11,Dependabilitymanagement–Part3-11:Applicationguide–Reliabilitycentredmaintenance
IEC61078,Analysistechniquesfordependability–ReliabilityblockdiagramandBooleanmethods
IEC61165,ApplicationofMarkovtechniques
ISO/IEC15909(allparts),Softwareandsystemsengineering–High-levelPetrinets
IEC61649,Weibullanalysis
IEC62551,Analysistechniquesfordependability–Petrinettechniques
ISO/IECGuide98-3:2008,Uncertaintymeasurement–Part3:Guidetotheofuncertaintyinmeasurement(GUM:1995)
GB/Z××××—××××
VII
73
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
××××-××-××实施
××××-××-××发布
风险管理-风险评估技术
Riskmanagement–RiskAssessmentTechniques
GB/TXXXXX—XXXX
中华人民共和国国家标准
ICS03.100.99
明确环境信息
风险评估
沟通和记录
监督和检查
风险评价
风险分析
风险识别
风险应对
故障树
故障树1
故障树2
故障树3
初因事件
时间延迟
条件
是
不
条件
是
不
条件
是
不
结果描述
结果描述
结果描述
结果描述
2,0×10-3
8,0×10-8
8,0×10-5
7,9×10-6
7,9×10-3
无火灾
无报警的未控制火灾
有报警的未控制火灾
无报警的可控火灾
有报警的可控火灾
0.001
0.001
0.01
0.999
0.999
0.99
0.2
否
否
否
否
是
是
是
是
10-2
每年
0.8
爆炸
符号:
逻辑“与”门(如果输入事件无误)
逻辑“或”门(如果输入事件无误)
基本事件——无需进一步分析
此时无需进一步分析的事项
需进一步分析的事件
在不同页A点分析的事件
通路B故障
通路A故障
无燃料
空气过滤器阻塞
控制模块故障
短路故障
B
发电机机械故障
燃油泄漏
A
信号接收故障
信号传输故障
信号发出故障
柴油发电机故障
无启动信号
应急发电机的自动启动故障
界定
是
不
不
影响分析
量化
减少错误
人因可靠性水平可接受吗?
需要筛查吗?
是
筛查
未进一步分析的次要错误
机制表现及错误原因的影响因素
错误回避表示
人为错误分析
任务分析
记录
风险源
原因
原因2
原因3
结果1
结果3
结果2
结果4
风险
预防性控制措施
减缓及补救性控制措施
升级控制措施
升级因素
|
|
