《1 引言》

1 引言

风险 (risk) 的概念最早于19世纪末在西方经济学领域提出, 现已广泛应用于环境科学、自然灾害、经济学、社会学、建筑工程学等领域。通常“风险”一词释义为遭受危害或损失以及危险的可能性 [1];美国James C. Hickman教授认为风险的定义方式及其在决策过程中所起的作用因学科的不同而异。风险的完整描述应当包括3个基本元素, 即事件的状态或过程、事件状态或过程发生的可能性或概率以及后果, 在文献[2]中将风险的这种描述方式称为风险的三元概念。

风险评估是识别并分析潜在损失发生的可能性以及严重程度的过程, 需从风险的机理、造成的破坏、社会经济损失以及防灾、减灾效益的全过程展开。风险评估最早于20世纪70年代开始应用于美国的核电厂的安全性分析, 随后在诸如化学工业、环境保护、航天工程、医疗卫生、经济等广泛的领域得以推广和应用。风险评估的目的在于事先给出分析对象的风险预报, 它涉及的内容包括:a.预报工程中可能出现的风险;b.分析导致风险出现的各种潜在因素;c.讨论某种改变对系统安全性的影响;d.判断分析对象是否满足要求的风险准则等。Raymond A.Stewart [3]指出风险评估的结论要与业主对风险的可接受程度相结合, 要考虑当局对风险的管理原则, 最终形成基于风险的决策。图1给出了风险评估的一般过程。

《图1》

图1 风险评估的一般过程

图1 风险评估的一般过程  

Fig.1 General process of HSK assessment

系统工程领域的风险分析和风险研究正方兴未艾, 各种风险评估方法也在逐步发展并得到应用。系统工程风险分析结果的可信度在很大程度上取决于风险评估方法的正确选择。Montague D.F. [4]将风险评估方法分为3类:定性的、半定量的及定量的风险评估方法。在系统的可行性设计阶段, 通常需要在较少信息的前提下做出决策, 比如工程进度、成本预算等, 主要是采用定性或半定量的风险评估方法, 近年来基于模糊集理论的评估方法逐步得到应用。在系统的详细设计、使用阶段, 随着设计目标和各种设计参数的明确, 借鉴现有的数据库, 可以采用定量风险评估方法。定性方法与半定量、定量方法的选择主要取决于风险分析过程中可获得的信息量的多少。不同的风险评估方法在分析问题的深度、广度上都是不一样的, 因此选用合理的方法十分重要 [4,5]

《2 风险评估方法研究现状》

2 风险评估方法研究现状

在国内外学者的共同努力下, 风险评估方面取得了很大进展, 发展了许多实用方法和技术, 下面逐一详细介绍。

危险检查法 [6]是对照有关标准、法规、检查表或依靠分析人员的观察分析能力, 借助于经验和判断能力直观地评价对象危险性和危害性的方法。危险查核表法是参照涉及设备安全问题而归纳的列表, 用来检查结构的设计以期保证结构的完好。这两种方法可以充分利用现有经验和数据, 简单易行, 所需人员和费用少, 适合于结构的概念设计, 但是不能应用于没有参考先例的新系统, 只能作定性评价, 不能给出定量的评价结果。

危险和可操作性分析法 (HAZOP) 最先是由英国帝国化学工业公司石油化学部在20世纪70年代开发出来的, 在化学和过程工业中已被广泛使用 [7]。HAZOP是一个对化工过程的危险和操作性能进行系统的、综合性的调查和研究程序。该方法的理论基础是20世纪60年代盛行的关键分析技术。近年来HAZOP法也被改进用于非过程危险分析 [8]。HAZOP法适用范围广, 能有效处理技术失误和人因错误, 但是它试图找出设计或现有过程中所有潜在危险和问题, 需要大量时间和大量信息, 工作量大。

专家调查法 [9]是源于在风险识别工作中很难采用实验分析及建立数学模型进行理论推导, 而集中一些有专门经验的专家意见进行整理统计。专家调查法的方法很多, 并没有固定的模式, 工作中可以根据实际情况灵活采用或根据需要进行创新。常用的有头脑风暴法和特而菲法。该方法简单直观, 但需专家主观决策各风险特征量的估计值, 调查繁琐, 调查时间较长, 且受专家主观影响较大。

失效模式及影响分析方法 (FMEA) 是一种以定性分析为主的分析方法, 可应用于结构全生命周期的各个阶段 , 为详细的定量分析提供了一个框架, 操作十分简单。FMEA最先在战斗机操作系统的设计中得到应用 [10]。由于该方法不需要高深的理论知识, 容易掌握推广而得到了工程界的重视。文献[11]中提到的失效模式及影响危害度分析方法 (FMECA) 是FMEA方法的一种延伸, 它扩充了FMEA的分析范围, 使之可以定量地分析单一失效模式的后果以及发生的概率, 弄清各种故障对系统性能和运行结果的影响程度。FMECA和FMEA本质上都是定性分析方法, 因而它们对于失效效应严重程度的量值和分级不能精确描述。另外, 这两种方法基本建立在孤立分析的基础上, 难以应用于多失效模式、人因失误以及环境因素等引起的复杂系统故障的分析。

故障树分析方法 (FTA) 是美国贝尔电话实验室A·B·米伦斯1962年首先提出, 我国于1976年开始介绍并且研究这种方法, 现已在核工业、航空航天、机械、电子、船舶、化工等领域得到广泛应用。FTA采用因果关系分析的反推法, 自结果 (顶事件) 向原因 (下级事件) 做树形图分解, 自上而下, 采用演绎法, 表达直观, 逻辑性强, 可用于多重故障及人为因素、环境因素等引起的复杂系统故障的分析, 既能用于定量分析, 也能用于定性分析, 但是由于复杂系统故障树的建造及计算过程较复杂, FTA难以做到对所有事件进行详尽细致的研究, 且仅考虑正常和失效两种状态。事件树分析方法 (ETA) 采用因果关系分析的正推法, 它从事件的起始状态出发, 按照一定的顺序, 分析初因事件可能导致的各种序列的结果, 从而定性或定量地评价系统的特性, 帮助分析人员作出正确的决策。由于事件序列是以图形形式表示, 并且呈扇形, 故称事件树。事件树方法的理论基础是系统工程的决策论, 常用于安全系统的事故分析和系统可靠性分析。近年来又有许多研究拓展了ETA方法的应用范围。文献[12]在事件树理论的基础上建立了广义多态事件树模型, 该模型不仅将事件树从两态系统拓展到多态系统, 而且考虑了工程系统中普遍存在的反馈关系。文献[13]考虑将模糊集理论引入事件树分析, 解决了常规事件树不能考虑基本事件发生概率的不确定性问题。ETA 法可以用简单图示方法给出危险发生的全过程, 能明确危险扩大的原因及危险发生概率的大小关系, 进行事件序列发生概率的计算等定量分析, 但是分析结果的可信度在很大程度上取决于系统失效概率估计的精度, 且随着复杂系统失效因素的增加, 树的分支树会随变量个数呈指数增长, 产生大量的冗余分支。

概率风险评估方法 (PRA) [14]是定性、定量相结合, 以定量为主的安全性分析方法, 在美国国家航空航天管理局 (NASA) 和欧洲空间局 (ESA) 均得到了广泛应用 [15,16]。我国自20世纪60年代开始发展PRA方法, 现已广泛应用于核电站、化工、航空航天等复杂系统的风险评估。通过应用PRA方法, 可以使安全工程师对复杂系统的特性有全面深刻的了解, 有助于找出系统的薄弱环节, 提高系统的安全性, 并可以在概率的意义上区分各种不同因素对风险影响的重要程度, 为风险决策提供有价值的定量信息。PRA法综合了很多方法和技术, 因而可以做最详细的风险分析, 但是实际操作起来比较复杂, 需要投入较多的人力、物力, 应用到实际科研项目有一定的难度。数据包络分析法 (DEA) [17]是用于多输入输出系统综合评价的一种十分有效的方法, 其优点是不必事先考虑指标间的权重大小以及函数关系, 客观性较强, 而且在多风险事件的风险预测、评价、降低风险的效费分析等方面具有特点和优势。DEA法应用领域十分广泛 [18], 预计其在风险预测模型建立以及与其它综合安全评估方法的耦合方面将有新的进展。

系统工程在运筹学领域也发展了一些实用风险评估方法。

层次分析法 (AHP) 是70年代由著名运筹学家T. L. Saaty 提出的。它的基本原理 [19,20]是根据具有递阶结构的目标、子目标 (准则) 、约束条件及部门等来评价方案, 用两两比较的方法确定判断矩阵, 然后把判断矩阵的最大特征根相应的特征量作为相应的系数, 最后综合出各方案各自的权重 (优先程度) 。该方法作为一种定性和定量相结合的工具, 目前已在油价规划、教育计划、钢铁工业未来规划、效益成本决策、资源分配和冲突分析等方面得到了广泛的应用 [21]。该方法可靠性高、误差小;不足之处是难于处理因素众多、规模较大的问题, 如判断矩阵难以满足一致性要求, 往往难以对其进行进一步分组等。

多目标决策法 (MODM) [22]本身有很多种方法, 大体上有化多为少法、分层序列法、重排次序法、对话方法等 [23]。随着计算机的广泛应用, 人工智能, 知识工程和专家系统的飞速发展, MODM的理论和方法近20多年来也有了长足的发展, 有力地促进了管理决策科学化的进程.MODM方法现已在社会、经济和工程等领域得到了广泛的应用 [24,25,26,27]。该方法比较严谨, 要求评价对象的描述清楚, 评价者能明确表达自己的偏好。这对于某些涉及模糊因素及评价者难于确切表达自己偏好和判断的评价问题的求解带来了一定困难。

模糊综合评判法 (FCE) 是一种用于涉及模糊因素的对象系统的综合评价方法。由于可以较好地解决综合评价中的模糊性 (如事物类属间的不清晰性, 评价专家认识上的模糊性等) , 因而该方法在许多领域得到了极为广泛的应用 [28,29,30]。该方法的优点是可对涉及模糊因素的对象系统进行综合评价, 而且更加适宜于评价因素多、结构层次多的系统;不足之处是不能解决评价指标间相关造成的评价信息重复问题, 隶属函数的确定也没有系统的方法。

上述方法在考虑时间序列与外部环境等共同原因方面, 即动态分析方面并不完善, 为此人们引入了影响图分析法和贝叶斯网络分析法。

影响图 [31] (ID) 是表示决策问题中的决策、不确实性和价值的新型图形工具, 在关于概率估计、备选方案、决策者偏好和信息状态方面说明完备, 具有决策树不可比拟的优点。影响图法作为处理含有不确定性问题的工具可广泛应用于决策分析、不确定性建模、工业控制、投资风险分析和人工智能等领域。文献[32,33]分别介绍了影响图法在海洋结构物的人因可靠性分析和爆炸危险的风险决策分析方面的应用。

贝叶斯网络 [34] (BN) 是通过有向图的形式表示随机变量间的因果关系, 是将因果知识和概率知识相结合的信息表示框架, 其中的节点表示有某种独立性假设的随机变量, 有向边则确定了随机变量间的独立性假设。BN提供了动态分析模型, 能够识别必需的和不相关的信息, 利用条件独立性排除高冗余对称结构, 使得网络数随问题规模线性增长, 网络结构比较紧凑, 对于复杂问题的分析优于事件树和故障树等方法, 但是对于一些简单的问题贝叶斯网络的建造反而显得复杂。BN起先应用于医学诊断中, 近年来也不断应用于其它领域, 如将BN应用于高速船的碰撞风险分析 [35], 利用BN法对直升飞机在客船上的降落进行了风险评估 [36]。ID和BN法的理论基础都是概率论、决策论及图论。它们的建造和实施都可以通过应用软件, 如HUGIN [37], MSBN [38] 等来进行。但BN中应用信度函数描述不确定性, 主要用于解决不确定性推理问题, 而ID中变量的不确定性主要是用条件概率分布描述。目前这两种方法仍在快速地发展。

《3 风险评估研究中的几个技术问题》

3 风险评估研究中的几个技术问题

《3.1相关性处理》

3.1相关性处理

我们在建立系统失效的逻辑模型时, 往往假定其最底层的事件 (基本事件) 为统计不相关, 但有时这种假设是不恰当的。如果这些基本事件中包含了某些代表元件的特定的失效模式的事件, 而这些失效模式又代表了可以导致该种失效模式的全部机理的逻辑综合。只要其中某些机理具有较高的使得几个事件同时发生的倾向性, 那么很明显这些事件中存在着统计相关性 [39]。譬如地震、洪灾等引起的多个元件同时发生失效。这种现象称为共因失效 (CCF) 。处理这一类相关性, 一个直觉的方法是将逻辑模型进一步分解至形成元件失效模式的机制的水平, 从而把造成共因失效的因素显式地表达出来, 但其直接的困难在于模型太庞大。1988~1989年美国核管理委员会 (NRC) 和电力研究院 (EPRI) 联合提出了一份报告 [40,41], 为CCF分析提供了一个程式化的框架并论述了该领域中所用方法和技术的进展。这一框架及其分析工具和技术已经广泛应用于PRA。它的基本出发点是在分解至元件失效模式水平的逻辑模型的基础上, 利用CCF分析技术对发生CCF的元件建立概率模型 [42]

《3.2不确定性分析》

3.2不确定性分析

不确定性是风险存在的根源。不确定性一方面来源于物理变量的随机本质, 另一方面来源于数据知识的不完备。不确定性分析大致有2类:一类是分析由于基本事件 (输入) 的发生概率存在的不确定性而导致顶层事件 (输出) 的不确定性 [43,44];另一类分析致力于估计基本事件的不确定性对顶层事件的不确定性的贡献, 称作不确定性重要度或敏感度 [45,46]分析。文献[47]中对6种水平的不确定性处理方法做了讨论。风险评估归根到底是研究不确定性, 它试图将不确定性以一种确定性的方式表示出来, 以期将不确定性降低到最低限度。所以, 不确定性分析是风险评估的基础和核心。

《3.3人因可靠性分析》

3.3人因可靠性分析

人因可靠性分析 (HRA) 是用于估计人的行为对系统安全性的影响的方法。由于设备越来越可靠, 人的因素对系统安全性的影响也越来越大。世界上近年来发生的许多灾难性的事故很多都是人为错误引起的。如:印度的Bhopal化学品泄漏事件, 前苏联的Chernobyl核反应堆泄漏事故等。文献[48]也指出在航运业中, 大约80%的海上事故事由人为因素所致。在大型的“人—机”系统中, HRA成为总体PRA的一个重要的组成部分。如果“人—机”系统很好地发挥功能, 人和机必须有良好的匹配。HRA的一个重要意义在于从系统方面入手, 改进设计, 从而减少由于人为错误导致的不希望的后果。HRA的最大问题在于由于数据的缺乏而不得不求助于专家的判断和模拟实验。一方面专家们的判断从未显示出令人满意的一致性, 因而很值得怀疑;另一方面模拟实验并不能代替真实的环境 [49,50], 另外, 现有的人的行为模型也并不理想。尽管有很多不足之处, HRA仍不失为设计复杂系统和估计人为风险的有用的工具。Moieni和Spurgin [51,52]总结了十余年来美国核电工业领域中有关HRA取得的进展, 提出了一个改进的结构化的框架和一个相应的软件包, 涉及到认识可靠性模型和行为实验方法。Macwan [53]提出了一个HITLINE模型来模拟人在事故发生后的行为。总之, 科学考虑人为因素, 研究人作为系统的一部分对系统的安全性所产生的影响已是风险分析不可回避的一个方面。但由于人本身就是一个复杂系统 [54], 因此, 对该类系统定量风险评估方法的研究将是一项十分艰巨的任务。

《4 结论和展望》

4 结论和展望

风险评估在风险分析过程中占有极其重要的地位, 如何对系统的各种危险及其产生原因进行综合分析、评估, 并提出合理、有效的控制风险的方案, 使系统的风险层次尽可能降低是一项十分重要和有意义的工作。系统工程风险评估方法已经取得了很大进展, 但在诸如不确定性处理、人及组织因素的影响、共因失效及灵敏度分析等问题的处理方面, 仍然遇到不少困难, 因此有必要开展新的风险评估方法研究。今后应重视以下几个方面的工作:

1) 可靠性数学方法的研究 可靠性数学方法是实现定量风险评估的实践基础, 可靠性理论中变量的敏感性分析已有一套成熟的方法, 而目前的风险评估方法对变量的敏感性分析还不令人满意, 因此将可靠性理论集成到现有的风险评估方法是解决敏感性分析的一个研究方向。

2) 风险的计量和计算 风险的计量和计算是风险分析和评估的基础, 在对主要破坏形式、失效模式以及收集到的统计数据进行系统分析的基础上, 给出系统生命期内风险的计量、计算、划分层次的方法以及定量描述这些风险对系统的影响并建立有关的失效函数和方程等都是有待深入研究的问题。

3) 开展模糊数学、灰色系统理论、人工智能、神经网络、遗传算法与传统的风险评估方法的耦合研究 比如用灰色系统理论中的灰关联分析技术处理故障树分析中造成顶事件各种失效模式可能性大小的关系, 用模糊数学处理故障树中底事件的不确定性等。