的估计值。指数的最小值1表示在系统寿命期中危险事件所导致一定大小的某种事故的可能性估计值低于0.00001(100,000次中发生1次);指数的最大值为10,它估计在系统寿命期中危险事件将导致发生大于1,000次事故。虽然危险事件的暴露单位是以暴露时间计算的(小时、年、循环次数等均可),但为了使用方便,单位可以在计算中省去。
总风险暴露指数可由严重性指数和暴露指数相加而得。表6为一个总风险暴露指数矩阵。
总风险暴露指数可用于表示系统寿命期内与其有关的货币损失。采用TREC可以为系统设计管理者提供如下信息:
a.总风险暴露(TRE)——对待评价的特定危险事件所产生的风险的货币总数估计。其计算公式为:
TRE=5×10(TREC-5)
b.年风险暴露(ARE)——总风险暴露除以估计的设计寿命(以年计):
ARE=TRE/设计寿命
c.单位风险暴露(URE)——单位产品的货币损失(或每一产品分摊数),即TRE除以产品生产总数。
URE=TRE/产品数
d.风险暴露比(RER)——总风险暴露与设计费用之比。
RER=TRE/总投资
TREC的准确程度依赖于输入数据的质量。因此,系统安全性的重要任务之一是要确定和修正对故障率、暴露率、设计寿命、系统中该产品的数量等的原始估计值。当然,从上面的分析和计算可以看出,TREC已将定性的风险估算发展到了具有某些定量的水平。
2.定量评价方法
对于一个系统、装置或设备,通过定性评价,人们能对其中的危险有一个大致了解,可以了解系统中安全性薄弱环节。但是,有时需要了解到底安全水平如何,系统的改进能使安全性水平提高多少,事故发生的可能性到底有多大,后果到底有多严重等。回答这些问题,就需要对风险进行定量的评价(Quantified Risk Assessment: QRA)。QRA的用途及所担当的角色如图1所示。
定量风险评价是一种广泛使用的管理决策支持技术,定量风险评价包含五个要素:
(1) 危险识别:确定事故场景、危险、危险事件以及它们的原因和发生机理。一般由危险检查表(PHL)、初步过程危险分析(PPHA)、危险与运行分析(HAZOP)来获得识别的危险。
(2) 频率估计:确定识别的危险事件的发生频率。一般由历史数据、故障树分析(FTA)、可靠性与有效性研究、故障模式及影响分析(FMEA)来确定。
(3) 后果分析:确定识别的危险事件后果的程度和概率。由事件树分析(ETA)、事故分类/定义来确定。
(4) 风险估算:确定风险水平,就是将频率和后果进行组合。
(5) 灵敏度分析:将研究的风险划分优先次序,进一步估算那些有意义的风险水平、比较相关的风险估算、将研究的风险划分优先次序、评估独立的不确定性和设置执行进度表。
QRA通过交替循环得到评估值 。开始通过原因、后果、费用、可能的频率引出数量的估计,然后分析这些量对初始假设的灵敏度。QRA非常适合应用于与技术装备失效相关的决策问题。
图1 QRA的用途及所担当的角色
三 评价模型的建立
在对软件项目进行安全性评价时,首先应考虑的是按照怎样的原则和标准考察系统的安全性,正如在前面进行危险分析时所说:引起系统不安全的危险因素来源于系统中各个模块,因此,考虑建立基于系统中各个模块的评价模型,根据安全性评价的工作项目和内容,考查系统在各项安全性指标下的安全性水平。主要包括:
系统功能评价:系统在完成设计功能方面的有效性;
系统结构评价:评价系统结构(包括容错性、适应性、操作性、维护性、扩充性等)的危险及危险控制;
系统运行评价:评价系统在各个工作时