安全设计分析与验证作业：6.风险评估与安全性验证-2018

3
基本概念
风险必然涉及“损失”，没有损失则无“险” 可言，也就谈不上风险。
风险是在给定情况下一定时间内可能发生的各 种结果间的差异。
若各种结果之间的差异大，则风险大； 若各种结果之间的差异小，则风险小； 若只有一种结果，则没有风险。
若不止一种可能结果，则每一结果有其相应的 概率，从而有一个反映各结果的概率分布。
2020/12/8
北航可靠性与系统工程学院
4
基本概念
风险是客观存在的，事物存在
风险的特点不同的结果，就必然存在风险。
客观性 主观性 普遍性
对风险的评价，存在着很大的主观性，对 同一事物的风险，不同的人有不同的结论。
危险因素普遍存在， 风险也普遍存在。
社会性 不确定性 可测定性
普遍性决定了社会性；另一方面， 重大事故往往具有社会危害性。
9
基本概念
标准中“风险”定义的讨论（续三）
MIL-STD-882D中取消了“risk”术语，而采用 “mishap risk”，同时取消了术语“hazard probability”“hazard severity”。
Mishap risk: An express of the impact and possibility of a mishap in terms of potential mishap severity and probability of occurrence.
2020/12/8
北航可靠性与系统工程学院
12
风险管理流程
系统安全工作如何开展？
安全---危险---风险
安全首先是一个管理问题，安全管理也就意味 着风险管理。
所有的安全性分析方法都隐含着风险管理流程：
能量跟踪与屏蔽分析法（ETBA） 功能危险评估法（FHA） 危险与运行分析法（HAZOP） 区域安全性分析法（ZSA）
危险可能性：产生某一种危险的事件发生的总的可能性。 The aggregate probability of occurrence of the individual hazardous events that create a specific hazard.
危险严重性：对某种危险可能引起的事故可信的最严重程 度的估计。An assessment of the worst credible mishap that could be caused by a specific hazard. （对某种危险可能引起的 可信的最严重事故的估计）
北航可靠性与系统工程学院
2020/12/8
北航可靠性与系统工程学院
7
基本概念
标准中“风险”定义的讨论（续一）
MIL-STD-882C中对风险的定义进行了微调。 GJB/Z99与其基本一致。
Risk： An expression of the possibility/impact of a mishap in terms of hazard severity and hazard probability. 风险：用危险 可能性和危险严重性表示的事故发生的可能性和影响。
2020/12/8
北航可靠性与系统工程学院
8
基本概念
标准中“风险”定义的讨论（续二）
GJB900A对风险定义进行了修订
风险：某一危险的危险可能性和危险严重性的综合度量。
危险可能性：某种危险发生的可能性。
危险严重性：某种危险可能引起的事故后果的严重程度。
2020/12/8
北航可靠性与系统工程学院
风险是损失的不确定性，包括客观不确定性和主观 不确定性。客观不确定性是实际结果与预期结果的 偏离；主观不确定性是个人对客观风险的评估。
风险是实际结果与预期结果的偏差。
风险是实际结果偏离预期结果的概率。
风险是损失的不确定性，是各种造成损失的风 险事故发生的不确定性。
2020/12/8
北航可靠性与系统工程学院
11
基本概念
对于风险度量的理解需要大家斟酌。
面向事故的风险定义似乎更合理，但也存在问题。 因为导致某个事故的危险有很多，如何综合计算， 其难度也很大。
安全性分析识别的是系统中的危险，对危险进行风 险评估较为简单，但如何考虑其后果的严重性？采 用最（可信）的严重后果是否合理？是否改成概率 分布的形式？
2020129北航可靠性与系统工程学院19风险的定性估计危险严重性2020129北航可靠性与系统工程学院20说明等级定义灾难的人员死亡系统完全损失或报废环境严重破坏严重的ii人员严重伤害系统或环境严重破坏轻度的iii人员轻度含轻度职业病伤害系统或环境轻度破坏轻微的iv比第iii级还要轻微的损害风险的定性估计危险可能性等级2020129北航可靠性与系统工程学院21说明等级单个项目总体频繁可能经常发生连续发生很可能在寿命期内可能发生若干次频繁发生偶然在寿命期内可能偶尔发生发生若干次很少在寿命期内不易发生但有可能不易发生但有理由预期可能发生不可能不易发生可认为不会发生不易发生但有可能风险的定性估计15不可接受69不希望需要管理者决策1017可接受但需要管理者评审1820不需要评审即可接受2020129北航可靠性与系统工程学院22灾难的严重的轻度的轻微的频繁的13很可能16偶然1118很少101419不可能12151720风险的定量估计单个系统由于一种危险造成单一事故后果即互斥事件
risks
STEP 3 Decide and act
STEP 4 Monitor, communicate
and accept risks
2020/12/8
STEP 4 Monitor, communicate
and accept risks
RISK MANAGEMENT PROCESS
PROJECT PHASES
MIL-STD-882E恢复了risk的定义，但都是对mishap的 度量：
Risk ：A combination of the severity of the mishap and the probability that the mishap will occur.
Probability: An expression of the likelihood of occurrence of a mishap.
主观的不确定性；客观的不确定性：存在不同的后果。 空间上、时间上、损失程度的不确定性。
发展性
通常情况下风险又是可以度量的。 定性或定量。
系统在不同的时期，其风险也是不同的； 相同的危险在不同时期的风险也是不同的。
2020/12/8
北航可靠性与系统工程学院
5
基本概念
标准中“风险”定义的讨论
GJB900 基本是对MIL-STD-882B的翻译
危险严重性：对某种危险可能引起的事故可信的最严重程 度的估计。An assessment of the worst credible mishap that could be caused by a specific hazard. （对某种危险可能引起的 可信的最严重事故的估计）
2020/12/8
风险评估与安全性验证
北京航空航天大学 可靠性与系统工程学院
2020/12/8
北航可靠性与系统工程学院
1
主要内容
基本概念 风险管理流程 风险评估技术手段 安全性验证与评价
2020/12/8
北航可靠性与系统工程学院
2
基本概念
风险（risk）
字面意思：生命与财产损失或损伤的可能性。
风险是损失发生的可能性（或机会）。可能性是指 客观事物存在或发生的机会，这种损失的可能可以 用概率来衡量。
Severity: The magnitude of potential consequences of a mishap.
2020/12/8
北航可靠性与系统工程学院
10
基本概念
882B、882C、GJB900、GJB/Z99基本一致 ，风险是定位在危险上的。“导致危险的可能 性”和“危险导致的最严重后果”。GJB900A 进行了微调。
北航可靠性与系统工程学院
6
基本概念
标准中“风险”定义的讨论
GJB900 基本是对MIL-STD-882B的翻译
风险：用危险可能性和危险严重性表示的发生事故的可能 程度。An expression of the possibility of a mishap in terms of hazard severity and hazard probability.
另一方面是对决策落实情况进行监控，形成闭环迭 代管理。
2020/12/8
北航可靠性与系统工程学院
16
风险管理流程
RISK MANAGEMENT CYCLE
STEP 1 Define risk management implementation
requirements
STEP 2 Identify and assess the
由于“危险”是一种状态，可能导致多种后果，本 身就是不确定的；危险导致严重后果的概率可能极 低，用其来度量风险存在不合理性。
危险可能性是导致“危险”状态的可能性，而不是 “最严重后果”的可能性。
882D以后，风险定位在事故上。对严重性转 为对“最合理可信事故”的估计。
2020/12/8
北航可靠性与系统工程学院
TASK 8: Monitor and communicate the risks TASK 9: Summit risks for acceptance
(return to TASK 6 for risks not accepted)
2020/12/8
北航可靠性与系统工程学院
17
风险管理流程
STEP 1 Define risk management implementation
北航可靠性与系统工程学院
14
风险管理流程
风险规划
风险规划是指确定一套完整全面、有机配合、协调 一致的风险管理策略和方法，并将其形成文件的过 程。包括对技术方法、风险准则的选定。
风险评估
它是风险管理工作中的“查找问题”阶段，包括： 风险识别、风险分析和风险排序。
风险识别也就是识别危险（源）； 风险分析是一个系统化的技术过程，它考察已辨识
风险：用危险可能性和危险严重性表示的发生事故的可能 程度。An expression of the possibility of a mishap in terms of hazard severity and hazard probability.
危险可能性：产生某一种危险的事件发生的总的可能性。 The aggregate probability of occurrence of the individual hazardous events that create a specific hazard.
出的危险，查找原因，并用概率和后果表征其影响。 风险排序便于决策。
2020/12/8
北航可靠性与系统工程学院
15
风险管理方法和技术去处 理解决已知的风险。
降低事故发生的可能性或减轻危害程度。 常用的决策原则。 制订应急措施。
风险监控
一方面是通过风险规划、辨识、估计、评价、处理 全过程的监视和控制，从而保证风险管理能达到预 期的目标。
2020/12/8
北航可靠性与系统工程学院
13
风险管理流程
风险管理流程类似于质量管理中的PDCA循环， 是一种迭代的闭环过程。包括：
风险规划 风险评估
风险识别 风险分析
风险处理（风险决策） 风险监控
关键在于掌握管理流程的全部工作，各阶段的 具体划分以及称谓并不重要。
2020/12/8
TASK 3: Identify risk scenarios TASK 4: Assess the risks
TASK 5: Decide if the risks may be accepted TASK 6: Reduce the risks TASK 7: Recommend the acceptance
requirements
STEP 2 Identify and assess the
risks
STEP 2 Identify and assess the
risks
STEP 3 Decide and act
STEP 3 Decide and act
STEP 2 Identify and assess the
risks
STEP 3 Decide and act
STEP 4 Monitor, communicate
and accept risks
TASK 1: Define the risk management policy TASK 2: Prepare the risk management plan
Hazard probability: The aggregate probability of occurrence of the individual events that create a specific hazard.
Hazard severity: An assessment of the consequences of the worst credible mishap that could be caused by a specific hazard. 危险 严重性：对某种危险可能引起的可信的最严重事故后果的 估计。