-
软件系统安全性风险评价(上)
风险
评价是软件系统
安全
性工程中的一项重要内容,
其目的是把注意力集中在安全性关键问题
上,
保证及时采取预防
措施,
避免日后进行昂贵的风险补偿行为。
风险评价工作涉及多
种可靠性
安全性分析技术与分析项目,数据量大,数据关系复杂,
是一项庞杂的工作,
需要理清其工作程
序与数据关系,
以便使风险评价工作走向规范。
本文首先介绍了安全性风险评价的基本
概念,
然
后介绍了三种定性风险评价方法:
RAC
、
TREC
、
SCRAM
和三种定量风险评价方法:
PRA
、
FEI
、
GO-
FLOW
。
概要篇
1.
国内外研究现状
系统安全性
(System
Safe
ty)
是近
30
年来适应复杂装备安全
性需要而发展起来的一门综合性
应用学科,也称为安全系统工程。它是以效能、进度和费
用为约束条件,
在装备寿命周期内的各
阶段中,利用专业知识和
系统工程方法,识别、评价、消除或控制系统或设备中的危险,从而使
系统具有最佳的安
全程度的工程技术。
目前美国的国防、
航空航天、
核工业部门以及欧空局和俄
罗斯
(
< br>前苏联
)
的航空航天部门都制定了系统安全性工作的规范
,并广泛开展了系统安全性工作。
早在六十年代,美国原子能委员会就提出了用风险来评估安全性。
ISO8402(1994
年
)
对安
全
性的定义为:将伤害
(
对人
)
或损坏
(
对物
)
的风险限制在可接受水平的状态。在航天方面,
ISO/TC20/SC14
在
1998
< br>年提出的术语与定义
标准
中对安全的定义为:
预期为控制由载人或不载人
空间飞行任务活动中所产生的安全风险所进行的
各种安排。目前国际上都用风险来定义安全性。
美国原子能委员会曾提出一个计算风险的公式:
我国在
1990
年制定的
GJB900
《系统安全性通用大纲》中对风险的定义为:危险事件的风险
就是该事
件的发生概率和损失程度的函数。
这个概念涵盖了上面的计算公式,
更准确且更具普遍
意义。
风险概念的提出使人们不仅可以定
性而且可定量地描述安全性,
还可以用不同的方法来评
价安全性
。
风险评价的目的是把注意力集中在关键问题上,
保证及时采取
预防措施,
避免日后进
行昂贵的风险补偿行为。
随着项目设计工作的展开,
解决安全性问题所要付出的代价会成指数增
加,因此对于大型复杂系统,在项目早期阶段就应该确定项目潜在风险,
制定风险控制方案,
拟
定消除风险的方法。此外风险评价能帮助
选择好的任务
/
设计方案。由此可见风险评价在系统安
全性工作中有很重要的地位。
由于其重要作用,风险评价目前已受到国际上的重视,
NASA
、
ESA
等
都已规范了风险评价
方法,
并制定了相应标准,
如
NASA
的
《风险管理》<
/p>
和
ESA
的
PS
S-01-40
《风险评价要求与方法》
。
美国、欧洲、日本均有专门从事风险研究的国际组织,并已举行多次有关的国际
会议
。
我国对风
险评价的研究始于
80
年代末,并在
GJB900
中规定了定性风险评价的工作内容,但总的说来我
国的风险评价研究尚处在起步
阶段,
风险评价工作开展得不够广泛,
在工程实践中很少进行完
整
的规范化的风险评价工作。
2.
基本概念
危险
危险是系统安全性分析的核心,<
/p>
研究安全性也就是研究危险。
危险有多个不同的定义。
根据
GJB900-90
的定义,危险是可能导致
事故的状态。美国的
MIL-
STD-882C
和
MIL-HDBK-764
则把危
险定义为:
事故的先决条件。
< br>ESA
对危险的定义是:
可能造成危害或对安全性具有潜
在威胁之源。
由此综合得出,危险是指可能导致事故的现实的或潜在的条件或状态。这种
状态包括物质状态、
环境状态、
人员活动状态以及它们的组合。
如人站在楼顶边上就是一种危险的状态,
如果再加上
天正刮着大风这种环境状态,就变成一种更加危险的状态。
危险事件是指产生危险的事态,<
/p>
即可能导致发生事故或在事故前所发生的一些事件。
事件是
一种物质和人的活动模式。
物质的危险事件有燃烧、
< br>爆炸、
碰撞、
破裂、
倒塌、
p>
落下物、
飞来物、
触电、强光、毒物、放射
性泄漏、高压、高低温等
;
人的危险事件有用手代替机器、接触
危险部
位、不正确工作姿态、冲击物下行动、在高速运行物下活动、操作失常等。
危险事件的发
生可能会导致某种后果,比如人从楼上掉下来这个危险事件可能会导致人摔
伤、摔残,也
可能使人致死,这取决于楼的高度、人的身体素质、人掉下的姿势以及楼下的地面
状况等
因素。
事故是指一项正常进行的活动中断,
并导致人身伤亡、
职业病、
设备损坏或财产损失的意外
事件。
事故
的来源是存在的危险及激发事件。
事故可以认为是由于未能鉴别现实的和潜在的危险
p>
或由于控制危险的措施不合理所造成。
在定量的危险分析中常采用概
率或频率形式的事故率来衡
量事故发生的可能性。事故是由危险引发的,
但从危险发展成为事故,
必须有一定的条件,
并经
p>
历一个演变过程,即系统状态变化的过程,如图
1
< br>所示。
< br>把前面的例子串起来:
一个人站在楼顶边上是危险状态,
一阵大风吹来是激发因素,
人失足
坠楼是危险事件,
人摔伤致残是后果,
事故则是以上四者的结合即一个人站在楼顶边上时由于
一
阵大风而失足坠楼导致残废。
危险分析是指对系统设计、
使用、<
/p>
维修以及与环境有关的所有危险进行系统化分析,
以判别
和评价危险或潜在危险的状态、可能相关的危险事件及其后果的危害性。
危险的控制与消除
对系统中有严重后果的危险特性要采取消除或控制危险的措施
,
提高系统安全性。
消除或控
制危险是
对危险分析中确定的危险、危险状态或危险产生过程中的各个环节采取消除、最小化、
控
制措施来实现的。
危险消除:
是通过消除危险或危险状态来实现的,
例
如飞船生命保障系统采用纯氧方案是很
危险的,容易引起火灾,可改为氧分压接近正常大
气成分方案来消除危险。
危险控制:是针对危险过程各环节,采取安全、报警、特殊规程等措施,来控制严重后果的
p>
发生,例如在容易引起火灾的系统中安装警告系统和自动灭火装置来控制火灾的发展。
危险最小化:
是通过降低危险或危险状态的影响到最小来实现的,
如飞船采用
不易燃材料以
使火灾对飞船的影响减小到最低程度。