安全风险定量评估最佳方法

‘壹’ 定量安全评价方法

定量安全评价方法是运用基于大量的实验结果和广泛的事故资料统计分析获得的指标或规律 （数学模型） ， 对生产系统的工艺、 设备、 设施、 环境、 人员和管理等方面的状况进行定量的计算， 安全评价的结果是一些定量的指标， 如事故发生的概率、 事故的伤害 （或破坏） 范围、 定量的危险性、 事故致因因素的事故关联度或重要度等。

按照安全评价给出的定量结果的类别不同， 定量安全评价方法还可以分为概率风险评价法、 伤害 （或破坏） 范围评价法和危险指数评价法。

（1） 概率风险评价法。是根据事故的基本致因因素的事故发生概率， 应用数理统计中的概率分析方法， 求取事故基本致因因素的关联度 （或重要度）或整个评价系统的事故发生概率的安全评价方法。故障类型及影响分析、 事故树分析、 逻辑树分析、 概率理论分析、 马尔可夫模型分析、 模糊矩阵法、 统计图表分析法等都可以由基本致因因素的事故发生概率计算整个评价系统的事故发生概率。

（2） 伤害 （或破坏） 范围评价法。是根据事故的数学模型， 应用计算数学方法， 求取事故对人员的伤害范围或对物体的破坏范围的安全评价方法。液体泄漏模型、 气体泄漏模型、 气体绝热扩散模型、 池火火焰与辐射强度评价模型、 火球爆炸伤害模型、 爆炸冲击波超压伤害模型、 蒸气云爆炸超压破坏模型、 毒物泄漏扩散模型和锅炉爆炸伤害TNT当量法都属于伤害 （或破坏） 范围评价法。

（3） 危险指数评价法。危险指数评价法应用系统的事故危险指数模型，

根据系统及其物质、 设备 （设施） 和工艺的基本性质和状态， 采用推算的办法，逐步给出事故的可能损失、 引起事故发生或使事故扩大的设备、 事故的危险性以及采取安全措施的有效性的安全评价方法。常用的危险指数评价法有：

道化学公司火灾爆炸危险指数评价法， 蒙德火灾爆炸毒性指数评价法， 易燃、易爆、 有毒重大危险源评价法。

‘贰’ 对于安全风险评估重要的环节和场所可选用几种评估方法对同一评估对象进行评估

对于安全风险评估重要的环节和场所可选用11种评估方法对同一评估对象进行评消销估。

针对辨识出的每一项危险有害因素，企业应当采用合适的方法开展安全风险评估，并确定风险的大小和等级。

常用的评估方法包括：

危险性预分析法（PHA）、事故树分析（FTA）、事件树分析（ETA）、故障类型及影响分析法（FMEA）、风险矩阵法（L·S）、作业条件危险性分析（LEC）、道化学（DOW）、蒙德法（ICI）、危险度评价法、单元危险性快速排序法、火灾爆炸数学模型计算等谈碰定量评估方法。

安全风拿侍游险等级未按照上述4级划分的，必须与本实施指南规定的安全风险等级相衔接。

安全风险评估包括固有风险评估和控制风险评估。

‘叁’ 安全风险评价方法

安全风险评价是利用系统工程方法对拟建或已有工程、系统可能存在的危险性机器可能产生的后果进行综合评价和预测，并根据可能导致的事故的风险的大小，提出相应的安全对策措施，以达到工程、系统安全的过程。安全风险评价的目的是应用安全系统工程原理和方法，对工程、系统中存在的危险、有害因素进行查找、识别和分析，判断工程、系统发生事故和急性职业危害的可能性及其严重程度，提出合理可行的安全对策措施，指导危险源监控和事故预防，以达到最低事故率、最小损失和最优的安全投资效益；为工程、系统制定防范措施和管理决策提供科学依据。

CO₂地质储存项目作为一项环保型工程，在上述CO₂地质储存环境影响研究基础上，借鉴国际风险评价经验，以及我国核废料、一般工业固体废弃物填埋等类似工程项目风险评价工作方法，可以将我国CO₂地质储存安全风险评价的程序分为风险识别、风险估计和风险控制三部分。

（一）风险识别

风险识别是从能引起CO₂地质储存安全风险的各种事件开始到失事的各种后果，逐一地鉴别每一个事件。起始事件可分为工程外部的和内部（本身）的。外部事件包括地震、活动断裂、构造成因地裂缝、盖层扩散裂隙和地震引起的断层和裂缝等地质因素，以及灌注场地周边废弃的深部钻井等；内部事件包括工程灌注项目实施本身造成的CO₂泄漏。

风险识别包括生产设施、物质风险以及风险类别识别。CO₂地质储存工程安全风险主要包括CO₂泄漏、地面形变、诱发地震三个方面的风险；风险危害包括健康、安全、环境三个方面的危害。

（二）风险评估

1.评价指标体系

在CO，地质储存安全风险识别基础上，综合可能的CO₂泄漏、地面形变与诱发地震三个风险事件，构建出层次分析（AHP）基础上的安全风险评价指标体系，如表11-16所示。

表11-16 CO₂地质储存泄漏安全风险层次分析指标体系

2.风险评估方法

（1）风险事件概率计算

充分结合示范工程场地地质选址调查、工程灌注、监测与数值模拟等资料与数据，依据表11-17定性描述和事件发生概率的转换关系，对各项风险因子可能发生的概率进行定性描述。

（2）风险因子危害程度等级划分

评价集是对评判对象可能作出的各种评价结果组成的集合。在此对CO₂地质储存示范工程项目风险事件危害程度分为“小”、“较小”、“中等”、“较大”、“大”5级，各等级依次赋分1、3、5、7、9。

表11-17 定性描述和事件发生概率的转换关系

（3）风险评估

在CO₂地质储存示范工程风险因子权重计算基础上，结合表11-17所示各风险因子概率与危害等级赋值，依据风险计算公式（11-15）开展安全风险进行计算。

（4）风险分析

在CO₂地质储存各类风险事件产生的环境、健康和安全危害不确定的基础上，可以采用公式开展安全风险定性评价，从而能够分析可能产生的安全风险与最大安全风险，为风险规避和应急措施制定提供基础。

（三）风险标准

虽然CO₂地质储存的目的是将CO₂永久储存于地下，但是复杂的地质结构及工程因素不保证CO₂丝毫不泄漏。一般认为，CO₂地质储存可允许的年泄漏速率控制在注入总量的0.01％～0.001%(Bow den,2005;Shuler,2005），该标准主要是考虑CO₂地质储存对处置温室气体应对全球气候变化的贡献度。Walton(2005）使用基于概率论的数学模型对CO₂运移和对生物圈可能的泄漏进行了模拟和估算。Walton研究表明，5000年以后，少于总储存量的1％的CO₂发生泄漏的概率是95％。Zhou利用一个确定性的模型进行模拟，发现在5000年以内不会有CO₂发生泄漏；然而使用概率论CO₂运移的模型对废弃井进行模拟，表明平均会有总量的0.001％发生泄漏，最大量为0.14%(IPCC,2005）。

IEA Weyburn CO₂监测和储存项目第一期结论表明：CO₂超临界流体在地下储存库中沿孔隙自然扩散而无泄漏通道时，储存库能够储存CO₂至少5000年；如果是废弃井等的泄漏，预测5000年少量的泄漏，最大泄漏量的平均值是4×10^-4kg/d，模拟得出的95％的情况下泄漏量小于1.6×10^-3kg/d。

即使CO₂泄漏速率在可接受的范围内，但CO₂的泄漏量或泄漏浓度不能到达人类及动物健康、农业、水资源等可接受的标准。Rice(2003）认为，在CO₂浓度≤1％范围内不会对健康的人类个体造成影响，但可能会对婴幼儿、人群造成健康影响；加拿大卫生部建议室内CO₂浓度应该≤0.35％。

‘肆’ 几种常用定量风险评价方法的比较

定量风险评价的方法很多,并且在评价某一具体目标时,很多种方法是可以交叉应用的,如何选用一种有效、简便易行的评价方法很重要。在众多的定量风险评价方法中,对应用广泛并且适合我国实际的评价方法作出比较很有必要。1定量风险评价方法的分类风险评价是以实现系统安全为目的,运用安全系统工程原理和方法对系统中存在的风险因素进行辨识与分析,判断系统发生事故和职业危害的可能性及其严重程度,从而为制定防范措施和管理决策提供科学依据。定量风险评价(QRA)[2]是基于大量的实验结果和广泛的事故资料统计分析获得的指标或规律(数学模型),对生产系统的工艺、设备、设施、环境、人员和管理等方面的状况进行定量的计算,评价结果是一些定量的指标,如事故发生的概率、事故的伤害(或破坏)范围、定量的危险性、事故致因因素的事故关联度或重要度等。

‘伍’ 风险评价4种方法

在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。一、基于知识的分析方法在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：1.会议讨论；2.对当前的信息安全策略和相关文档进行复查；3.制作问卷，进行调查；4.对相关人员进行访谈；5.进行实地考察。为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种，Cobra 就是典型的一种。二、基于模型的分析方法2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。三、定量分析进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念：暴露因子(Exposure Factor，EF)—— 特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望(Single Loss Expectancy，SLE)—— 或者称作SOC(Single OccuranceCosts)，即特定威胁可能造成的潜在损失总量。年度发生率(Annualized Rate of Occurrence，ARO)—— 即威胁在一年内估计会发生的频率。年度损失期望(Annualized Loss Expectancy，ALE)—— 或者称作EAC(EstimatedAnnual Cost)，表示特定资产在一年内遭受损失的预期值。考察定量分析的过程，从中就能看到这几个概念之间的关系：(1) 首先，识别资产并为资产赋值；(2) 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF(取值在0％~100%之间)；(3) 计算特定威胁发生的频率，即ARO；(4) 计算资产的SLE：SLE = Asset Value × EF(5) 计算资产的ALE：ALE = SLE × ARO这里举个例子：假定某公司投资500,000 美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45％。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是45,000 美元。我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性(可以用ARO 表示)，另一个就是威胁事件可能引起的损失(用EF 来表示)。理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。四、定性分析定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素(资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等)的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。

‘陆’ 风险评估的方法包括哪些 定量风险评估

1 现场观察法：通过对工作环境的现场观察，以查找现场隐患的方式发现存在的危险源，适应范围较广。
优点：现场观察法适用各场所及作业环节；缺点：①从事现场观察的人员，要求具有安全技术知识和掌握了完善的职业健康安全法规、标准；②不适应于大面积的观察。
2 安全检查表法SCL：它是由一些对工艺过程、机械设备和作业情况熟悉并富有安全技术、安全管理经验的人员，根据有关规范、标准、工艺、制度等事先对分析对象进行详尽分析和充分讨论，列出检查项目和检查要点等内容并编制成表。 分析者依据现场观察、阅读系统文件、与操作人员交谈、以及个人的理解，通过回答安全检查表所列的问题，发现系统设计和操作等各个方面与标准、规定不符的地方，记下差异。
优点：安全检查表是定性分析的结果，是建立在原有的安全检查基础之上，简单易学，容易掌握，尤其适用于岗位员工进行危害因素辨识，对其起到很好的提示作用，便于全面辨识危害因素。缺点：检查表约束限制了人们主管能动性的发挥，对不在检查表中反映的问题，可能会被忽视，因此，采用该方法可能会漏掉以往未曾出现过的一些新的危害。
应用范围：安全检查表一般适用于比较成熟（或传统）的行业，领域的危害因素辨识，且需要事先编制检查表，以对照进行辨识。安全检查表法尤其适用于一线岗位员工进行危害因素辨识，如，作业活动开始前，或对设备设施的检查等等。

只能对已经有的或传统的业务对象、活动进行检查，对新业务活动、新行业领域的危害因素辨识不适用此法。
危害因素辨识所使用的检查表与安全检查时所使用的检查表并不完全一致，它们大致相同，但又各有侧重，因此，不应直接使用安全检查表所用的检查表进行危害因素辨识，应在其基础上进行修改、补充，最好是重新编制。
3 预先危险性分析法PHA：预先危险性分析又称初步危险性分析，是在进行某项工程活动（包括设计、施工、生产、维修等）之前，对系统存在的各种危险因素（类别、分布）、出现条件和事故可能造成的后果进行宏观、概略分析的系统安全分析方法。

优点：在最初构思产品设计时，即可指出存在的主要危险，从一开始便可采取措施排除、降低和控制它们，避免由于考虑不周造成损失。在进行庞大、复杂系统危害因素辨识，可以首先通过预先危险性分析，分析判断系统主要危险所在，从而有针对性地对主要风险进行深入分析。缺点：易受分析人员主观因素影响。另外，预先危险性分析一般都是概略性分析，只能提供初步信息，且精准程度不高，复杂或高风险系统需在此基础上，借助其他方法再做进一步分析。PHA只能提供初步信息，不够全面，也无法提供有关风险及其最佳风险预防措施方面的详细信息。
应用范围：预先危险性分析一般用于项目评价的初期，通过预先危险性分析过滤一些风险性低的环节、区域，同时，也为在其它风险性高的环节、区域，进一步采用其它方法进行深入的危害因素辨识创造了条件。适用于固有系统中采取新的方法，接触新的物料、设备的危险性评价。当只希望进行粗略的危险和潜在事故情况分析时，也可以用PHA对已建成的装置进行分析。

4 工作危害分析法JHA：工作危害分析（JHA）又称工作安全分析(JSA)是目前欧美企业在安全管理中使用最普遍的一种作业。
安全分析与控制的管理工具，是为了识别和控制操作危害的预防性工作流程。通过对工作过程的逐步分析，找出其多余的、有危险的工作步骤和工作设备/设施，制定控制和改进措施，以达到控制风险、减少和杜绝事故的目标。
优点：该方法简单明了，通俗易懂，尤其是目前已开发JSA/JHA方法标准，可操作性强，便于实施。使作业人员更加清楚地认识到作业过程的风险，使预防措施更有针对性、可操作性。缺点：该方法在危害因素辨识方面并无太多优势，它并不是推荐用于危害因素辨识的专门方法，但由于其简单明了、可操作，一般用于非常规作业活动的风险管理。
应用范围：工作危害分析一般应用于一些作业活动，如对新的作业、非常规（临时）的风险管理（当然，包括危害因素辨识），或者在评估现有的作业，改变现有的作业时，开展工作危害分析。工作危害分析不适用于对连续性工艺流程以及设备、设施等方面的危害因素辨识。

5 故障类型及影响分析法FMEA：故障类型和影响分析就是在产品设计过程中，通过对产品各组成单元潜在的各种故障类型及其对产品功能的影响进行分析。并把每一个故障按它的严重程度予以分类，提出可以采取的预防、改进措施，以提高是将工作系统分别分割为子系统、设备或原件，逐个分析各自可能发生的故障类型及产生的影响，以便采取相应的防治措施，提高系统的安全性。
优点：系统化表述工具；创造了详细的可审核的危害因素辨识过程；适用性较广，广泛适用于人力、设备和系统失效模式，以及软硬件等。缺点：该方法只考虑了单个的失效情况，而无法把这些失效情况综合在一起去考虑；该方法需要依靠哪些对该系统、装置有着透彻了解的专业人士的参与；另外，该方法耗时费力，花费较高。
应用范围：故障类型及影响分析广泛应用于制造行业产品生命周期的各个阶段，尤其适用于产品或工艺设计阶段的危害因素辨识。如果说要做好作业活动的危害因素辨识需要细化活动步骤，那么，设备、装置的危害因素辨识就要细化其功能单元，在此基础上，才能做好设备、装置的危害因素辨识，FMEA方法就是范例。

‘柒’ 安全评估的几种方法

安全评估分狭义和广义二种。狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进行的分析与评估，并以既定指数、等级或概率值作出定量的表示，最后根据定量值的大小决定采取预防或防护对策。广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出相应的安全对策措施，以达到工程、系统安全的过程。安全评估又称风险评估、危险评估，或称安全评价、风险评价和危险评价。

‘捌’ 风险评估的方法有哪些

一、风险评估的准备

风险评估的准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保证。组织对自身信息及信息系统进行风险评估是一种战略性的考虑，其结果将受组织的商业需求及战略目标、文化、业务流程、安全要求、规模和结构所影响。不同组织对于风险评估过程中的各种子过程可能存在不同的要求，因此在风险评估实施前，组织应：

1．确定风险评估的范围； 2．确定风险评估的目的，为风险评估的实施提供导向； 3．建立适当的组织结构； 4．建立系统性的风险评估方法；5．获得最高管理者对风险评估策划的批准。

二、风险评估的实施

组织应根据策划的结果，由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估。在考虑已有安全措施的情况下，利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。

风险计算

我们以下述函数进行表示：

R= f(A,V,T)=f(Ia,L(Va,T))

其中：R表示风险；A表示资产；V表示脆弱性；T表示威胁； Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度); Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
具体而言分为以下几个步骤：

1．首先对资产的弱点进行排序；

2．针对每一个弱点，确定可能利用此弱点造成安全事件的威胁的类型；

3．给确定的威胁赋值；

4．将威胁值与脆弱点值相乘，得出安全事件发生的可能性；即：安全事件发生可能性=L（威胁可能性，脆弱点严重性）；

5．根据资产的重要程度以及安全事件发生的可能性计算风险值，即：风险值=R（资产重要程度，安全事件发生的可能性）。

四、风险识别
风险识别包括三个部分：分析风险来源；识别区域风险；风险关联分析。

1．分析风险来源
经过资产、威胁、脆弱性的计算后形成一个风险列表，需要对该列表的风险进行分类，并在分类的基础上进行风险合并。在对风险进行分类合并时，首先需要考虑风险所发生的位置，然后考虑风险的来源。风险的来源可以从威胁、脆弱性和安全管理三个方面进行。

风险发生的位置可以从资产所在的安全域或从信息安全发生的层次进行划分。资产所在的安全域指具有相同安全属性的某一物理区域或逻辑区域，该区域和其他安全区域具有明显的边界；信息安全发生的层次指物理层安全、网络层安全、操作系统层安全、应用层安全、数据层安全。风险的来源从威胁角度进行合并，可以从威胁的来源，发生的途经，影响的大小角度进行划分整理。风险的来源从脆弱性角度进行合并，从大的方面有两类，一类是IT技术类脆弱性，另一类是管理类脆弱性。安全管理类脆弱性可以从设计、开发、验收、运行、维护、人员、业务持续性管理等方面进行分析。