摘要:在項目管理實踐中,風險是時時存在的。 因此,如何評價、度量風險的大小,確定可接受風險和不可接受風險,對不可接受風險作進一步分析,制定補償措施,將風險減至小或可以接受的水平,是一個急需解決的課題。本文從風險評價的意義出發,探討了風險評價的基本方法。
關鍵詞:風險評價 項目管理 必要性
一 風險評價的意義
在項目管理實踐中,風險主要指危險事件的風險,所以也稱危險的風險。軟件系統在設計和運行過程中存在不安全因素,會造成對設備,環境和人的傷害及任務損失,風險則是對這些不安全因素所造成的傷害和損失的一種量度。
風險評價近二十年來發展成為安全性分析的基本部分。雖然在設計方面有嚴格的標準、規則和實施準則要求,但總有一些因素被自覺或不自覺地引入、進入系統,造成潛在的危險存在,這些因素主要存在于三個方面:
(1)設備水平、實施規則通常是針對有代表性的、典型的問題來制定的,一些外來的、偶然的事件往往沒有考慮。
(2)在設計中引入了不成熟水平及其潛在的危險。
(3)人的因素和計算機因素可能會在系統設計、制造、結構工藝、操作運行、維護等方面導致危險。
因此,風險是時時存在的。 雖然如此,但風險的大小是可以評價度量的,確定可接受風險和不可接受風險,對不可接受風險作進一步分析,制定補償措施,將風險減至小或可以接受的水平。
在實踐中,人們通常把危險風險定義為:用危險的可能性(即危險的發生概率)和危險后果的嚴重性表示的、未來某一確定條件下發生事故的可能程度。即,危險事件的風險R是該事件發生的概率P和損失程度C的函數:即 R = f(P,C)。所以,我們進行危險分析的目的是為了風險評價。如果不進行風險評價,那么安全性評價沒有什么意義,至少可以說是它是不完全的。
安全性評價又稱危險評價或風險分析,它以保障安全為目的,按照科學的程序和方法,對系統中固有的或潛在的危險及嚴重性進行預先的安全分析與評估,并在條件許可的前提下,以既定的指數、等級或概率值做出定量的表示,為制訂基本的防護措施和安全管理提供科學的依據。安全評價主要從產生損失和傷害的可能性、影響范圍及嚴重程度著手,具有預測的性質和特點,其目的是通過系統的安全性分析(主要是危險分析),挖掘系統中的事故隱患,尋求有效的安全對策和措施,以消除或減低危險,并與安全指標相對照,研究安全措施是否有效,并在預測事故發生可能性的基礎上,掌握事故發生的一般規律,做出定性、定量的評價,以便提出有效的安全控制措施,減少并控制事故的發生。
通常情況下,對軟件項目進行安全性評價至少應包括以下一些內容:
考察軟件項目的應用背景,確定其運行條件和運行環境;
根據軟件項目的設計目標和原理,確定軟件項目的開發流程、系統結構和操作過程;
依據系統的功能、工作特點和技術要求,確定對于系統而言所不希望發生的事件或事件狀態,以及這些事件可能會給系統造成的危害后果,并將這些事件列為系統的不期望事件,以便作為開展系統的危險鑒別的依據與標準;
鑒別潛在于系統中的各種危險源,包括因材料、設備、工藝、操作、維護等各個方面中固有的、潛在的或人為造成的各種危險狀態和危險事件;
對確定的危險進行危害性分析,考察系統的故障處理、危險控制措施的有效性;
立足于系統的整體性,綜合評價系統的現有安全性水平,給出期望的安全性水平,并據此提出相應的安全性建議和措施。
以上內容,是針對廣義上的安全性評價而言,包括了危險分析和危險評價兩方面的主要工作。本文主要研究所謂的狹義安全性評價,即危險評價過程,主要工作為進行上述內容中的第六項,目的是評價系統的安全性現狀,評價經過危險分析后所鑒別的各種危險是否在控制之下或者應當采取怎樣的安全性措施,將其納入系統安全性的整體目標之中。
二 風險評價的方法
對系統進行風險分析,首先鑒別出系統中的危險之后,然后進行風險評價。根據風險評價方法的不同,可分為定性風險評價和定量風險評價。
1.定性評價方法
定性風險評價可以根據系統層次按次序揭示系統、分系統和設備中的危險,作到不漏任何一項,并按風險的可能性和嚴重性分類,以便分別按輕重緩急采取安全措施。在實踐中,有兩種定性風險估算方法 ,即風險評價指數(Risk Assessment Code: RAC)法、總風險暴露指數(Total Risk Exposure Code: TREC)法。
(1)RAC法
RAC法是定性風險估算常用的方法,它是將決定危險事件的風險的兩種因素——危險嚴重性和危險可能性,按其特點劃分為相對的等級,形成一種風險評價矩陣,并賦以一定的加權值來定性地衡量風險大小。
危險嚴重性等級——由于系統、分系統或設備的故障、環境條件、設計缺陷、操作規程不當、人為差錯均可能引起有害后果,將這些后果的嚴重程度相對定性地分為若干級,稱為危險事件的嚴重性等級。通常將嚴重性等級分為四級,如表1所示。
表1 危險事件嚴重性等級
等級 等級說明 事故后果說明
Ⅰ 災難性的 人員死亡或系統報廢
Ⅱ 嚴重的 人員嚴重受傷、嚴重職業病或系統嚴重損壞
Ⅲ 輕度的 人員輕度受傷、輕度職業病或系統輕度損壞
Ⅳ 輕微的 人員受傷和系統損壞輕于Ⅲ級
根據危險事件發生的頻繁程度,將危險事件發生的可能性定性地分為為若干等級,稱為危險事件的可能性等級。通常可能性等級分為五級,如表2所示。
