引  言

各种类型及规模的组织都会面临各种各样的风险，这些风险有可能影响到其目标的实现。

这些目标可能涉及组织的各类活动，从战略计划到其运行、过程及项目，也体现在社会、技术、环境和安全结果以及商业、财务和经济措施，同时包括社会、文化、政治和声誉影响等。

对组织各项活动中存在的风险应进行有效管理。通过考虑不确定性和未来事项或环境变化的可能性及其对约定目标的影响，风险管理过程有助于管理者的决策制定。

风险管理主要涉及将逻辑性及系统性的方法应用于以下方面：

●    贯穿该过程的沟通和记录；

●    明确用于识别、分析、评价、应对并监控与任何活动、过程、功能或产品有关风险的组织环境；

●    监督和检查风险

●    适当地报告风险管理结果。

作为风险管理活动的组成部分，风险评估提供了一种结构性的过程以识别目标如何受各类不确定性因素的影响，并从后果和可能性两个方面来进行风险分析，然后确定是否需要进一步处理。

风险评估工作试图回答以下基本问题：

●    会发生什么以及为什么(通过风险识别)？

●    后果是什么？

●    这些后果发生的可能性有多大？

●    是否存在一些可以减轻风险后果或者降低风险可能性的因素？

●    风险等级是否可容忍或可接受？是否要求进一步的应对和处理?

本标准旨在反映当前风险评估技术选择及应用的良好实践，但并未涉及那些新出现、尚在发展中的等还未获得专业人员共识的评估技术概念。

风险管理  风险评估技术

 1范围

本标准为依据GB/T 24353-2009开展风险管理活动的组织提供技术支持，用于指导组织选择合适的风险评估工具并正确使用。根据本标准开展的风险评估工作有助于促进组织的其它风险管理活动。

本标准不拟用于认证、法规或合同目的。

本标准介绍了一系列的风险评估技术。在本标准参考的其它国际标准中，对于这些技术工具的概念和应用有更详细的说明。

本标准并未涉及风险评估的所有技术。在本标准中未予介绍的技术并不意味着其无效。此外，一种方法在某些具体情况下适用，并不意味着这种方法在任何情况下均适用。

本标准具有通用性，可以为众多行业及各类系统提供指导。 

本标准是一般性的风险管理标准，涉及安全方面的内容参见GB/T 20000.4-2003。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 23694-2009/ISO/IEC Guide 73:2002 风险管理 术语

GB/T 24353-2009 风险管理 原则与实施指南

3术语和定义

GB/T 23694-2009中界定的术语和定义适用于本标准。

4.风险评估的相关概念

4.1 目的及益处

风险评估活动旨在通过提供基于事实的信息并进行分析，就如何处理特定风险以及如何选择风险应对策略进行科学决策。

开展风险评估工作的主要益处包括以下方面：

●    认识风险及其对目标的潜在影响；

●    为决策者提供信息；

●    有助于认识风险，以便帮助选择应对策略；

●    识别那些造成风险的主要因素，揭示系统和组织的薄弱环节；

●    有助于明确需要优先处理的风险事件；

●    有助于通过事后调查来进行事故预防；

●    有助于风险应对策略的选择；

●    满足监管要求。

4.2 风险评估和风险管理过程

4.2.1 概述

本标准所指的风险评估是在GB/T 24353-2009所描述的风险管理过程内展开的。

在风险管理过程中，风险评估并非一项独立的活动，必须整合到风险管理过程的其它组成部分中。GB/T 24353-2009中界定的风险管理过程包含以下要素：明确环境信息；风险评估(包括风险识别、风险分析与风险评价)；风险应对；监督和检查；沟通和记录。

进行风险评估时尤其应该清楚以下事项：

●    组织的环境信息和目标；

●    组织可容忍风险的范围及类型，以及对于不可接受风险的处理方式；

●    风险评估的方法和技术，及其对风险管理过程的促进作用；

●    组织内部各部门和人员对于风险评估活动的义务、责任及权利；

●    开展风险评估的可用资源；

●    如何进行风险评估的报告及检查；

●    风险评估活动如何整合进组织日常运行中。

4.2.2 明确环境信息

通过明确环境信息，组织可明确其风险管理的目标，确定与组织相关的内部和外部参数，并设定风险管理的范围和有关风险准则。

风险准则是组织用于评价风险重要程度的标准。因此，风险准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。组织应根据所处环境和自身情况，合理制定本组织的风险准则。

在进行具体的风险评估活动时，明确环境信息应包括界定内外部环境、风险管理环境并确定风险准则。在此过程中，应确定组织的风险准则、风险评估目标及风险评估程序。

4.2.3 风险评估

风险评估包括风险识别、风险分析和风险评价三个步骤。

风险评估活动适用于组织的各个层级，评估范围可涵盖项目、单个活动或具体事项等。但是在不同情境中，所使用的评估工具和技术可能会有差异。

风险评估有助于决策者对风险及其原因、后果和可能性有更充分的理解。这可以为以下决策提供信息：

●    是否应该开展某些活动；

●    如何充分利用时机；

●    是否需要应对风险；

●    选择不同风险的应对策略；

●    确定风险应对策略的优先次序；

●    选择最适合的风险应对策略，将风险的不利影响控制在可以接受的水平。

4.2.4 风险应对

风险应对是在完成风险评估之后，选择并执行一种或多种改变风险的措施，包括改变风险事件发生的可能性或后果。

风险应对是一个递进的循环过程，实施风险应对措施后，应重新评估新的风险水平是否可以承受，从而确定是否需要进一步采取应对措施。

4.2.5 监督和检查

作为风险管理过程的组成部分，应定期对风险与控制进行监督和检查，以确认：

●    有关风险的假定仍然有效；

●    风险评估所依据的假定，包括内外部环境，仍然有效；

●    正在实现预期结果；

●    风险评估的结果符合实际经验；

●    风险评估技术被正确使用；

●    风险应对有效。

组织应确定监督和检查工作的责任。

4.2.6 沟通和记录

风险评估工作的成功依赖于与利益相关方进行的有效沟通与协商。

让利益相关者参与到风险管理过程中是有必要的，这样有助于：

●    沟通计划的制定；

●    正确识别环境信息；

●    确保利益相关者的利益得到充分认识和考虑；

●    汇集不同领域的专业知识以识别和分析风险；

●    确保风险评估过程中不同的观点也能得到适当考虑；

●    确保风险得到充分识别；

●    确保风险应对计划得到支持。

利益相关方应当设法使得风险评估过程与组织其他管理活动的有效融合，包括变革管理、项目和计划管理以及财务管理等。

5. 风险评估过程

5.1 概述

通过风险评估，决策者及有关各方可以更深刻地认识那些可能影响组织目标实现的风险以及现有风险控制措施的充分性和有效性，为确定最合适的风险应对方法奠定基础。风险评估的结果可作为组织决策过程的输入。

风险评估是由风险识别、风险分析及风险评价构成的一个完整过程(参见图1)。该过程的开展方式不仅取决于风险管理过程的背景，还取决于开展风险评估工作所使用的方法与技术。

考虑到各类风险的原因及后果有较大差异，因此风险评估通常涉及到多学科方法的综合应用。

5.2 风险识别

风险识别是发现、认可并记录风险的过程。

风险识别的目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦风险得以识别，组织应对现有的控制措施(诸如设计特征、人员、过程和系统等)进行识别。

风险识别过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。

风险识别方法包括：

●    基于证据的方法，例如检查表法以及对历史数据的审查；

●    系统性的团队方法，例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险；

●    归纳推理技术，例如危险与可操作性分析(HAZOP)等。

组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性，包括头脑风暴法及德尔菲法等。

无论实际采用哪种技术，关键是在整个风险识别过程中要认识到人的因素及组织因素的重要性。因此，偏离预期的人为及组织因素也应被纳入风险识别的过程中。

5.3 风险分析

5.3.1 概述

风险分析能够加深对风险的理解。它为风险评价提供输入，以确定风险是否需要处理以及最适当的处理策略和方法。

风险分析要考虑导致风险的原因和风险源、风险后果及其发生的可能性，识别影响后果和可能性的因素，还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能性及后果来确定风险水平。一个风险事件可能产生多个后果，从而可能影响多重目标。附录B提供了一些常用的风险分析方法。对于复杂的应用可能需要多种方法同时使用。

风险分析通常涉及对风险事件潜在后果及相关概率的估计，以便确定风险等级。在某些情况下，例如当后果很不重要，或者概率极低时，单项的估计可能足以进行决策。

在某些情况下，风险可能是一系列事件迭加产生的结果，或者由一些难以识别的特定事件所诱发。在这种情况下，风险评估的重点是分析系统各组成部分的重要性和薄弱环节，以确定相应的保护和补救措施。

根据风险分析的目的、可获得的可靠数据以及组织的决策需要，风险分析可以是定性的、半定量的、定量的或以上方法的组合。

定性评估可通过“高、中、低”这样的表述来界定风险事件的后果、可能性及风险等级。如将后果和可能性两者结合起来，并与定性的风险准则相比较，即可评估最终的风险等级。

半定量法可利用数字分级尺度来测度风险的可能性及后果，并运用公式将二者结合起来，得出风险等级。

定量分析则可估计出风险后果及其可能性的实际数值，结合具体情境，产生风险等级的数值。由于相关信息不够全面、缺乏数据、人为因素影响等，或是因为定量分析工作无法确保或没有必要，全面的定量分析未必都是可行的或值得的。在此情况下，由经验丰富的专家对风险进行半定量或者定性的分析可能已经足够有效。

如果是定性分析，那么应该对使用的术语进行清晰的说明，并对风险准则的设定基础进行记录。

即使已实现全面的定量分析，还应注意到，此时所获得的风险等级值是估计值，应注意确保其精确度不会与所使用的原始数据及分析方法的精确度存在偏差。

风险等级应当用与风险类型最为匹配的术语表达，以利于进一步的风险评价。在某些情况下，风险等级可以通过风险后果的概率分布来表达。

5.3.2 控制措施评估

风险的等级水平不仅取决于风险本身，还与现有风险控制措施的充分性和有效性密切相关。

在进行控制措施评估时，需要解决的问题包括：

l 对于一个具体的风险，现有的控制措施是什么？

l 这些控制措施是否足以应对风险，是否可以将风险控制在可接受水平？

l 在实际中，控制措施是否在以预定方式正常运行，当需要时能否证明这些控制措施是有效的？

对于特定的控制措施或一套相关控制措施的有效性水平，可以进行定性、半定量或定量的表示。但在大多数情况下，难以保证高度的精确性。然而，对风险控制效果的测量进行表述和记录是有价值的。因为在对现有控制措施进行改进以及实施不同的风险应对措施时，这些信息有助于决策者进行比较和判断。

5.3.3 后果分析

通过假设特定事件、情况或环境已经出现，后果分析可确定风险影响的性质和类型。某个事件可能会产生一系列不同严重程度的影响，也可能影响到一系列目标和不同利益相关者。在明确环境信息时，就应当确定所需要分析的后果的类型和受影响的利益相关者。

后果分析可以有包括从结果的简单描述到制定详细的数量模型等多种形式。

影响可能是轻微后果高概率，或严重后果低概率，或某些中间状况。在某些情况下，应关注具有潜在严重后果的风险，因为这些风险往往是管理者最关心的。在其它情况下，同时分析具有严重后果和轻微后果的风险可能是重要的。例如，频繁而轻微的问题可能具有很大的累积效应。另外，处理这两类截然不同风险的应对措施往往有很大的区别，因此分别分析这两类风险是很必要的。

后果分析应包括：

l 考虑现有的后果控制措施，并关注可能影响后果的相关因素；

l 将风险后果与最初目标联系起来；

l 对马上出现的后果和那些经过一段时间后可能出现的后果两种情况要同等重视；

l 不能忽视次要后果，例如那些影响附属系统、活动、设备或组织的次要后果。

5.3.4 可能性分析和概率估计

通常主要使用三种方法来估计可能性。这些方法可单独或组合使用。

1)利用相关历史数据来识别那些过去发生的事件或情况，借此推断出它们在未来发生的可能性。所使用的数据应当与正在分析的系统、设备、组织或活动的类型有关。如果某些事件历史上发生频率很低，则无法估计其可能性。这一点尤其适用于从未发生的事件、情况或环境，人们无法推测其将来是否会发生。

2)利用故障树和事件树等技术来预测可能性。当历史数据无法获取或不够充分时，有必要通过分析系统、活动、设备或组织及其相关的失效或成功状况来推断风险的可能性。

3)系统化和结构化地利用专家观点来估计可能性。专家判断应利用一切现有的相关信息，包括历史、具体系统、具体组织、实验及设计等方面的信息。获得专家判断的正式方法众多，现有常用方法包括德尔菲法和层次分析法等。

5.3.5 初步分析

应对风险事件进行全面的扫描，以识别出最重大的风险或把不太重要和次要的风险排除出进一步的分析，由此确保组织资源能集中于应对最严重的风险。进行筛选时，应注意不要漏掉发生频繁低但有重大累积效应的风险。

以上筛选活动应在明确环境信息时所确定的准则基础上进行。依据初步分析的结果，组织可能采取以下某个行动方案：

●    立即进行风险应对而无需进行评估；

●    搁置暂不需处理的轻微风险；

●    继续进行更细致的风险评估。

最初的假定及结果应记录在案。

5.3.6 不确定性及敏感性因素

在风险分析过程中经常会涉及到相当多的不确定性因素。认识这些不确定性因素对于有效地理解并说明风险分析结果是必要的。例如，对于那些在风险识别和风险分析时所使用的数据、方法及模型，应注意分析其本身存在的不确定性因素。不确定性因素分析涉及到对风险分析结果的方差或偏离性进行明确。

与不确定性因素分析密切相关的是敏感性分析。敏感性分析是确定某个参数输入的改变对风险等级影响的程度和显著性。这项分析可用来识别哪些数据是对结果影响较大的，从而更应确保其准确性。

应尽可能充分阐述风险分析的完整性及准确度。如有可能，应识别不确定性因素的起因。敏感的参数及其敏感度应予以说明。

5.4 风险评价

风险评价包括将风险分析的结果与预先设定的风险准则相比较，或者在各种风险的分析结果之间进行比较，确定风险的等级。

风险评价利用风险分析过程中所获得的对风险的认识，来对未来的行动进行决策。道德、法律、资金以及包括风险偏好在内的其它因素也是决策的参考信息。

决策包括：

●    某个风险是否需要应对；

●    风险的应对优先次序；

●    是否应开展某项应对活动；

●    应该采取哪种途径。

在明确环境信息时，需要制定的决策的性质以及决策所依据的准则都已得到确定。但是在风险评价阶段，需要对以上问题进行更深入的分析，毕竟此时对于已识别的具体风险有更为全面的了解。如果该风险是新识别的风险，则应当制定相应的风险准则，以便评价该风险。

最简单的风险评价结果仅将风险分为两种：需要处理与无需处理的。这样的处理方式无疑简单易行，但是其结果通常难以反映出风险估计时的不确定性因素，而且两类风险界限的准确界定也绝非易事。

常见的方法是将风险划分为三个等级段。安全工程领域的“最低合理可行”原则(As Low As Aeasonably Practicable，简称ALARP)即适用于这种方法。

●    上段是指无论活动能带来什么利益，风险等级都是无法容忍的，必须不惜代价进行风险应对；

●    中段是指要考虑实施风险应对的成本与收益，并权衡机遇与潜在结果；

●    下段是指风险等级微不足道，或者风险很小，无需采取风险应对措施。

风险评价的结果应满足风险应对的需要，否则，应做进一步分析。

5.5 文件的归档

风险评估的过程应与评估结果一起记录在案。风险应以可理解的术语来表达，同时对于风险等级的单位也应进行清晰表述。

风险评估记录文件的内容将取决于评估工作的目标及范围。除非进行很简单的评估，否则，文件需包括以下内容：

●    目标及范围；

●    系统相关部分的说明及它们的功能；

●    组织的内外部环境描述以及被评估对象与内外环境的关联情况；

●    所使用的风险准则及其合理性；

●    假定及假设的合理性；

●    评估方法；

●    风险识别结果；

●    数据的来源与校验；

●    风险分析结果及评价；

●    敏感性及不确定性分析；

●    关键假定和其他需要加以监测的因素；

●    结果讨论；

●    结论和建议；

●    参考资料。

如果需要风险评估来支持一个连续的风险管理过程，那么对于风险评估的记录工作应在系统、组织、设备或活动的整个生命周期内持续进行。如果出现重要的新信息并且环境发生变化，应根据管理的需要对风险评估进行更新。

5.6 风险评估的监督和检查

风险评估过程强调环境因素和那些经过一段时间预计会变化并且可能使风险评估改变或失效的其它因素。应当识别出这些因素进行持续的监督和检查，以便在必要时更新风险评估的信息。

应当识别和收集为改进风险评估而监测的数据。还应当监测和记录风险控制措施的效果，以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。

6. 风险评估技术的选择

6.1 概述

选择合适的风险评估技术和方法，有助于组织及时高效地获取准确的评估结果。在实践中，风险评估活动的复杂及详细程度千差万别。风险评估的形式及结果应与组织的自身情况适合，并在明确环境信息时确定。

6.2 技术的选择

6.2.1 概述

一般来说，合适的技术应具备以下特征：

l 适应相关的情况或组织；

l 得出的结果应加深人们对风险性质及风险应对策略的认识；

l 应能按可追溯、可重复及可验证的方式使用。

应从相关性及适用性角度说明选择技术的原因。在综合不同研究的结果时，所采用的技术及结果应具有可比性。

一旦决定进行风险评估并且确定了风险评估的目标和范围，那么就应根据如下适用的因素来选择一种或多种评估技术。

l 研究目标：风险评估的目标对于使用的方法有直接影响；

l 决策者的需要：某些情况下做出有效的决策需要充分的细节，而某些情况下可能只需要对总体进行大致了解；

l 所分析风险的类型及范围；

l 结果的潜在严重程度；

l 修改/更新风险评估的必要性：一些评估结果可能在将来需要修改或更新。在这方面，某些方法比其他方法更易于调整；

l 法律法规及合同要求等。

只要满足评估的目标和范围，简单方法应优于复杂方法被采用。

此外，其它几类因素对风险评估技术选择的影响更为值得关注，例如组织的现有资源及能力、不确定性因素的性质与程度，以及风险的复杂性与潜在后果。

6.2.2 可用资源

可能影响风险评估技术选择的资源和能力包括：

●    风险评估团队的技能、经验、规模及能力；

●    信息及数据的可获得性；

●    时间以及组织内其他资源的限制；

●    需要外部资源的可用预算。

6.2.3 不确定性的性质和程度

不确定性可能是组织内外部环境中必然存在的情况。不确定性可能产生于数据的质量或数量。现有的数据未必能为风险评估未来提供可靠的依据。某些风险可能缺少历史数据，或是不同利益相关者会对现有数据做出不同的解释。进行风险评估的人员应理解不确定性的类型及性质，同时认识到风险评估结果可靠性的重大意义，并向决策者说明这些情况。

6.2.4 复杂性

复杂性是风险评估中应考虑的另一个重要特征。例如，在复杂的系统中，在进行风险评估时，不仅要对系统中的每个部分进行评估，更要注意系统各部分之间的相互关系。应注意风险可能产生的间接影响。在某些情况下，处理单个风险可能会对其他活动产生影响。理解组织中单个或多个风险的复杂性对于选择合适的风险评估方法至关重要。

6.3 风险评估在寿命周期各阶段的应用

许多活动、项目和产品可以认为有一个从最初的概念和定义、实现到最后结束的寿命周期。风险评估可以应用于寿命周期的所有阶段，而且通常以不同的详细程度应用多次，以便帮助在每个阶段做出所需要的决策。

寿命周期各阶段对风险评估有不同的需求，可能应用不同的评估技术。

在概念和定义阶段，当识别机会时，可以用风险评估决定是否着手进行。在有多个方案可供选择的场合，风险评估可以用于评价替代方案，帮助决定哪种方案能提供最好的风险平衡。

在设计和开发阶段，风险评估有助于：

l 保证系统风险是可接受的；

l 改进设计过程；

l 成本效益研究；

l 识别影响寿命周期后续阶段的风险。

在寿命周期的其它阶段，可以用风险评估提供必要的信息，以便为正常情况和紧急情况制定程序。

6.4 风险评估技术的类型

风险评估技术可以依据多种方式进行分类。附录A按适用阶段和影响因素，对常用的风险评估技术进行了分类比较，以助于使用者更清晰地理解各类评估技术的特点。

附录B对这些常用的风险评估技术和方法展开了进一步的详述介绍，为组织如何在特定情况下选择合适的风险评估技术提供参考。复杂情况下可能需要同时采用多种评估技术和方法。

附录A 风险评估技术的比较

(资料性附录)

A.1 适用阶段

本分类描述了各类评估技术在风险评估各阶段中的适用性。风险评估过程如下所示：

●    风险识别；

●    风险分析——结果分析；

●    风险分析——定性、半定量或定量概率分析

●    风险分析——评估现有控制措施的效果；

●    风险分析——风险等级的估测；

●    风险评价。

对于风险评估的每一步，各类技术的适用性被描述为非常适用、适用或者不适用(参见表A1)。

表A.1 技术在风险评估各阶段的适用性

A.2 影响因素

影响风险评估技术选择的因素有多种。在实践过程中，以下因素更应引起关注：

●    问题和所需分析方法的复杂性；

●    进行风险评估的不确定性的性质及程度；

●    所需资源的程度，主要涉及时间、专业知识水平、数据需求或成本等；

●    方法是否可以提供一个定量结果。

基于以上方面，对各类风险评估技术特征的描述如表A2所示。其中，高、中、低表示该技术对影响因素的应用要求。

表A.2 风险评估技术的特征

  附录B 风险评估技术

(资料性附录)

B.1 头脑风暴法

B.1.1 概述

头脑风暴法(Brainstorming)是指刺激并鼓励一群知识渊博的人员畅所欲言，以发现潜在的失效模式及相关危险、风险、决策标准及/或处理办法。“头脑风暴法”这个术语经常用来泛指任何形式的小组讨论。然而，真正的头脑风暴法包括旨在确保人们的想象力因小组内其他成员的思想和话语而得到激发的特殊技术。

在这种技术中，有效的引导很重要，其中包括开始阶段刺激讨论；定期鼓励小组进入相关领域；捕捉讨论中产生的问题(讨论通常很活跃)。

B.1.2 用途

头脑风暴法可以与下述的其他风险评估方法一起使用，也可以单独使用，来激发风险管理过程及系统生命周期中任何阶段的想象力。头脑风暴法可以用作旨在发现问题的高层次讨论，也可以用作更细致的评审或是特殊问题的细节讨论。

B.1.3 输入

召集一个熟悉被评估的组织、系统、过程或应用的专家团队。

B.1.4 过程

头脑风暴法可以是正式的，也可以是非正式的。正式的头脑风暴法组织化程度很高，其中参与人员提前准备就绪，而且会议的目的和结果都很明确，有具体的方法来评价讨论思路。非正式的头脑风暴法组织化程度较低，经常更具针对性。

在一个正式的过程中，应至少包括以下环节：

●    讨论会之前，主持人准备好与讨论内容相关的一系列问题及思考提示；

●    确定讨论会的目标并解释规则；

●    引导员首先介绍一系列想法，然后大家探讨各种观点，尽量多发现问题。此刻无需讨论是否应该将某些事情记在清单上或是某句话究竟是什么意思，因为这样做会妨碍思绪的自由流动。一切输入都要接受，不要对任何观点加以批评，同时，小组思路快速推进，使这些观点激发出大家的横向思维。

●    当某一方向的思想已经充分挖掘或是讨论偏离主题过远，那么引导员可以引导与会人员进入新的方向。但目的在于收集尽可能多的不同观点，以便进行后面的分析。

B.1.5 输出

输出取决于该结果所应用的风险管理过程的阶段。例如，在识别阶段，输出可能是风险及当前控制手段的清单。

B.1.6 优点及局限:

头脑风暴法的优点包括：

l 激发了想象力，有助于发现新的风险和全新的解决方案；

l 让主要的利益相关者参与其中，有助于进行全面沟通；

l 速度较快并易于开展。

局限包括：

●    参与者可能缺乏必要的技术及知识，无法提出有效的建议；

●    由于头脑风暴法相对松散，因此较难保证过程的全面性(例如，一切潜在风险都被识别出来)；

●    可能会出现特殊的小组状况，导致某些有重要观点的人保持沉默而其他人成为讨论的主角。这个问题可以通过电脑头脑风暴法，以聊天论坛或名义群体技术的方式加以克服。电脑头脑风暴法可以是匿名的，这样就避免了有可能妨碍思路自由流动的个人或政治问题。在名义群体技术中，想法匿名提交给主持人，然后集体讨论。

B.2 结构化或半结构化访谈

B.2.1 概述

在结构化访谈(Structured Interviews)中，每个被访谈者都会被问起提示单上一系列准备好的问题，以鼓励被访谈者从另一个角度看待某种情况，因此就可以从那个角度识别风险。半结构化访谈(Semi-structured Interviews)与结构化访谈类似，但是可以进行更自由的对话，以探讨出现的问题。

B.2.2 用途

如果人们很难聚在一起参加头脑风暴法讨论会，或者小组内难以进行自由的讨论活动时，结构化和半结构化访谈就是一种有用的方法。这种方法的最主要用途是识别风险或是评估现有风险控制措施的效果。它们可以用于某个项目或过程的任何阶段。它们是为利益相关者提供数据来进行风险评估的有效方式。

B.2.3 输入

输入数据包括：

● 明确界定访谈目标；

● 从相关利益相关者中挑选出被访谈者；

● 准备问题清单。

B.2.4 过程

创建相关的问题集以指导访谈者的访谈工作。问题应该是开放式的、简单的、用适合被采访人的语种而且只能涉及一项事务。也要准备可能的后续问题，用来补充说明该问题。

接着，将问题提给被访谈者。在寻求问题的解答时，问题应该是开放式的。应注意不要“诱导”被访谈者。

考虑答复时应具有一定灵活性，以便有机会探讨访谈活动希望进入的领域。

B.2.5 输出

输出结果是利益相关者对于作为访谈主题的问题所形成的看法。

B.2.6 优点及局限

结构化访谈的优点如下：

●    结构化访谈可以使人们有时间考虑有关某个问题的想法；

●    一对一的沟通可以有更多机会对某个问题进行深度思考；

●    与只有小部分人员参与的头脑风暴法相比，结构化访谈可以让更多的利益相关者参与其中。

局限如下：

●    引导员通过这种方式获得各种观点所花费的时间较多

●    可能会留有偏见，因其没有通过小组讨论加以消除；

●    无法实现头脑风暴法的一大特征——激发想象力。

B.3 德尔菲法

B.3.1 概述

德尔菲技术(Delphi)是在一组专家中取得可靠共识的程序。尽管该术语经常用来泛指任何形式的头脑风暴法，但是在形成之初，德尔菲技术的根本特征是专家单独、匿名表达各自的观点，同时随着过程的进展，他们有机会了解其他专家的观点。

B.3.2 用途

无论是否需要专家的共识，德尔菲技术可以用于风险管理过程或系统生命周期的任何阶段。

B.3.3 输入

达成共识所需的一系列方法。

B.3.4 过程

使用半结构化问卷对一组专家进行提问。专家无需会面，因此他们的观点具有独立性。

具体步骤如下：

●    组建一支团队，开展并监督德尔菲过程；

●    挑选一组专家(可能是一个或多个专家组)；

●    编制第一轮问卷调查表；

●    测试问卷调查表；

●    将问卷调查表分别发给每位专家组成员；

●    对第一轮答复的信息进行分析和综合，并再次下发给专家组成员；

●    专家组成员重新做出答复，然后重复该过程，直到达成共识。

B.3.5 输出

逐渐对现有事项达成共识。

B.3.6 优点及局限

优点包括：

●    由于观点是匿名的，因此更有可能表达出那些不受欢迎的看法；

●    所有观点有相同的权重 避免名人占主导地位的问题；

●    获得结果的所有权；

●    人们不必一次聚集在某个地方。

局限包括：

●    这是一项费力、耗时的工作；

●    参与者要能进行清晰的书面表达。

B.4 情景分析

B.4.1 概述

情景分析(Scenario Analysis)是指通过分析未来可能发生的各种情景，以及各种情景可能产生的影响来分析风险的一类方法。换句话说，情景分析是类似“如果-怎样”的分析方法。未来总是不确定的，而情景分析使我们能够“预见”将来，对未来的不确定性有一个直观的认识。用情景分析法来进行预测，不仅能得出具体的预测结果，而且还能分析达到未来不同发展情景的可行性以及提出需要采取的技术、经济和政策措施，为管理者决策提供依据。

B.4.2 用途

情景分析可用来帮助决策并规划未来战略，也可以用来分析现有的活动。它在风险评估过程的三个步骤中都可以发挥作用。在识别和分析那些反映诸如最佳情景、最差情景及期望情景的多种情景时，可用来识别在特定环境下可能发生的事件并分析潜在的后果及每种情景的可能性。

情景分析可用来预计威胁和机遇可能发生的方式，以及如何将威胁和机遇用于各类长期及短期风险。在周期较短及数据充分的情况下，可以从现有情景中推断出可能出现的情景。对于周期较长或数据不充分的情况，情景分析的有效性更依赖于合乎情理的想象力。

如果积极后果和消极后果的分布存在比较大的差异，情景分析就会有很大用途。

B.4.3 输入

情景分析的必要前提是要有一支团队，其成员了解相关变化的特征(例如，可能的技术进步)，同时有丰富的想象力，能预见到未来发展，而无需从过去事件中进行推断。掌握现有变化的文献和数据也很必要。

B.4.4 过程

情景分析的结构可以是正式的，也可以是非正式的。

在建立了团队和相关沟通渠道，同时确定了需要处理的问题和事件的背景之后，下一步就是确定可能出现变化的性质。这就要求对主要趋势、趋势变化的可能时机以及对未来的预见进行研究。

需要分析的变化可能包括：

● 外部情况的变化(例如技术变化)；

● 不久将要做出的决定，而这些决定可能会产生各种不同的后果；

● 利益相关者的需求以及需求可能的变化方式；

● 宏观环境的变化(如监管及人口统计等)；有些变化是必然的，而有些是不确定的。

有时，某种变化可能归因于另一个风险带来的结果。例如，气候变化的风险正在造成与食物链有关的消费需求发生变化，这样会改变哪些食品的出口会盈利以及哪些食品可能在当地生产。

局部及宏观因素或趋势可以按重要性和不确定性进行列举并排序。应特别关注那些最重要、最不确定的因素。可以绘制出关键因素或趋势的图形，以显示那些情景可以进行开发的区域。

建议使用一系列的情景，关注每个情景参数的合理变化。

为每个情景编写一个“故事”，讲述你如何从此时此地转向主题情景。这些故事可以包括那些能为情景带来附加值的合理细节。

现在，这些情景可以用来测试或评估最初的问题。这项测试考虑到任何重要但可预测的因素(例如，使用模式)，然后分析政策在这种新情景中的“成功”概率，并通过使用以模型假设为基础的“假定分析”来“预先测定”结果。

当对每个情景的问题或建议进行评估时，显然需要进行修正，以使其更全面或风险更小。当情景正在发生变化时，也可能找出一些能够表明变化的先行指标，监测先行指标并做出反应，可以为改变计划好的战略提供机会。

由于情景只是可能出现的未来经过界定的“片段”，因此关键是要确定需考虑的正在发生的某个特定结果(情景)的可能性。例如，对于最好的情景、最差的情景以及预期的情景，应努力描述或说明每个情景发生的可能性。

B.4.5 输出

可能不会有最合适的情景，但可以对最终应对各种选项以及随着指标的变化而调整行动方案的方法有更清晰的认识。

B.4.6 优点及局限

情景分析考虑到各种可能的未来情况，而这种未来情况更适合于通过使用历史数据，运用基于“高级-中级-低级”的传统方法而进行的预测。这些预测假设未来的事件有可能延续过去的趋势。如果目前不甚了解预测的依据或者现在探讨的风险会何时发生，那么这一点就很重要了。

但是，与这种优点相关的是一种缺点：在存在较大不确定性的情况下，有些情景可能不够现实。

在运用情景分析时，主要的难点涉及到数据的有效性以及分析师和决策者开发现实情境的能力，这些难点对结果的分析具有修正作用。

如果将情景分析作为一种决策工具，其危险在于所用情景可能缺乏充分的基础，数据可能具有随机性，同时可能无法发现那些不切实际的结果。

B.5 检查表法

B.5.1 概述

检查表(Check-lists)是危险、风险或控制故障的清单，而这些清单通常是凭经验(要么是根据以前的风险评估结果，要么是因为过去的故障)进行编制的。

B.5.2 用途

检查表法可用来识别危险及风险或者评估控制效果。它们可以用于产品、过程或系统的生命周期的任何阶段。它们可以作为其他风险评估技术的组成部分进行使用，但最主要的用途是检查在运用了旨在识别新问题的更富想象力的技术之后，是否还有遗漏问题。

B.5.3 输入

有关某个问题的事先信息及专业知识，例如可以选择或编制一个相关的、最好是经过验证的检查表。

B.5.4 过程

具体步骤如下：

●    确定活动范围；

●    选择一个能充分涵盖整个范围的检查表。为此，应仔细选择检查表。例如，不可使用标准控制的检查表来识别新的危险或风险。

●    使用检查表的人员或团队应熟悉过程或系统的各个因素，同时审查检查表上的项目是否有缺失。

B.5.5 输出

输出结果取决于应用该结果的风险管理过程的阶段。例如，输出结构可以是不全面的控制清单或是风险清单。

B.5.6 优点及局限

检查表的优点包括：

●    非专家人士可以使用；

●    如果编制精良，它们将各种专业知识纳入到了便于使用的系统中；

●    它们有助于确保常见问题不会遗忘。

局限包括：

●    它们会限制风险识别过程中的想象力；

●    它们论证了“已知的已知因素”，而不是“已知的未知因素”或是“未知的未知因素”；

●    它们鼓励“在方框内画勾”的习惯；

●    它们往往基于已观察到的情况，因此会错过还没有被观察到的问题。

B.6 预先危险分析(PHA)

B.6.1 概述

预先危险分析(Primary Hazard Analysis，简称PHA)是一种简单易行的归纳分析法，其目标是识别危险以及可能给特定活动、设备或系统带来危害的危险情况及事项。

B.6.2 用途

这是一种在项目开发初期最常用的方法。因为当时有关设计细节或操作程序的信息很少，所以这种方法经常成为进一步研究工作的前奏，同时也为系统设计规范提供必要信息。在分析现有系统，从而将需要进一步分析的危险和风险进行排序时，或是现实环境使更全面的技术无法使用时，这种方法会发挥更大的作用。

B.6.3 输入

输入包括：

●    被评估系统的信息。

●    可获得的与系统设计有关的细节。

B.6.4 过程

通过考虑如下因素来编制危险、一般性危险情况及风险的清单。

●    使用或生产的材料及其反应性；

●    使用的设备；

●    运行环境；

●    布局；

●    系统组成要素之间的分界面等。

对不良事项结果及其可能性可进行定性分析，以识别那些需要进一步评估的风险。

若需要，在设计，建造和验收阶段都应展开预先危险分析，以探测新的危险并予以更正。获得的结果可以使用诸如表格和树状图之类的不同形式进行表示。

B.6.5 输出

输出包括：

●    危险及风险清单。

●    包括接受、建议控制、设计规范或更详细评估的请求等多种形式的建议。

B.6.6 优点及局限

优点包括：

●    在信息有限时可以使用；

●    可以在系统生命周期的初期分析风险。

局限包括：

●    PHA只能提供初步信息。它不够全面也无法提供有关风险及最佳风险预防措施方面的详细信息。

B.7 失效模式和效应分析(FMEA)及失效模式、效应和危害度分析(FMECA)

B.7.1 概述

失效模式和效应分析(Failure Mode and Effect Analysis，简称FMEA)是用来识别组件或系统未能达到其设计意图的方法。

FMEA用于识别：

● 系统各部分所有潜在的失效模式(失效模式是被观察到的是失误或操作不当)；

● 这些故障对系统的影响；

● 故障原因；

● 如何避免故障及/或减弱故障对系统的影响。

失效模式、效应和危害度分析(Failure Mode and Effect and Criticality Analysis，简称FMECA)拓展了FMEA的使用范围。根据其重要性和危害程度，FMECA可对每种被识别的失效模式进行排序。

这种分析通常是定性或半定量的，但是使用实际故障率也可以定量化。

B.7.2 用途

FMEA有几种应用：用于部件和产品的设计(或产品)FMEA；用于系统的系统FMEA；用于制造和组装过程的过程FMEA；服务FMEA和软件FMEA。

FMEA/ FMECA可以在系统的设计、制造或运行过程中使用。然而，为了提高可靠性，改进在设计阶段更容易实施。

FMEA/ FMECA也适用于过程和程序。例如，它被用来识别潜在医疗保健系统中的错误和维修程序中的失败。

FMEA/FMECA可用来：

●    协助挑选具有高可靠性的替代性设计方案；

●    确保所有的失效模式及其对运行成功的影响得到分析；

●    列出潜在的故障并识别其影响的严重性；

●    为测试及维修工作的规划提供依据；

●    为定量的可靠性及可用性分析提供依据。

它大多用于实体系统中的组件故障，但是也可以用来识别人为失效模式及影响。

FMEA及FMECA可以为其他分析技术，例如定性及定量的故障树分析提供输入数据。

B.7.3 输入数据

FMEA及FMECA需要有关系统组件足够详细的信息，以便对各组件出现故障的方式进行有意义的分析。

信息可能包括：

● 正在分析的系统及系统组件的图形，或者过程步骤的流程图；

● 了解过程中每一步或系统组成部分的功能；

● 可能影响运行的过程及环境参数的详细信息；

● 对特定故障结果的了解；

● 有关故障的历史信息，包括现有的故障率数据。

B.7.4 过程

FMEA的步骤包括：

● 界定研究的范围及目标；

● 组建团队；

● 了解FMECA适用的系统；

● 将系统分成组件或步骤；

● 对于列出的各组件或步骤，确认：

²  各部分出现明显故障的方式是什么？

²  造成这些失效模式的具体机制？

²  故障可能产生的影响？

²  失败是无害的还是有破坏性的？

²  故障如何检测？

● 确定故障补偿设计中的固有规定。

对于FMECA，研究团队接着根据故障结果的严重性，将每个识别出的失效模式进行分类；这可以有几种方法完成。普通方法包括：

l  模式危险度指数；

l  风险等级；

l  风险优先级。

模式危险度是一种概率计量，即所考虑的模式将导致整个系统故障；其被定义为：

故障影响概率 * 模式故障率 * 系统操作时间

此定义经常应用于设备故障，其中每个术语可以定量地确定，而且故障模式都有同样的后果。

从发生的故障模式后果与故障概率的组合获得风险等级。这个风险等级在不同故障模式的后果不同时使用，并且能够应用于设备系统或过程。风险等级可以定性地、半定量地或定量地表达。

风险优先级(The risk priority number)是一种半定量的危害度测量方法，其将故障后果、可能性和发现问题的能力(如果故障很难发现，则认为其优先级较高)进行等级赋值(通常在1到10之间)并相乘来获得危险度。这个方法经常用于质量保证的应用实践中。

一旦确定失效模式和机制，就可以界定和实施针对更重大失效模式的纠正措施。

失效模式报告记录的内容包括：

●所分析系统的详细说明；

●开展分析的方式；

●分析中的假设；

●数据来源；

●结果，包括完成的工作表；

●危害度(如果完成的话)以及界定危害度的方法；

●有关进一步分析、设计变更或者计划纳入测试计划的特征等方面的建议。

在完成了上述行动之后，通过另一轮FMEA重新评估系统。

B.7.5 输出结果

FMEA的主要输出结果是故障模式，失效机制及其对各组件或者系统或过程步骤影响的清单(可能包括故障可能性的信息)。也能提供有关故障原因及其对整个系统影响方面的信息。FMECA的输出包括对于系统失效的可能性、失效模式导致的风险程度或者风险程度和“探测到”的失效模式的组合等方面的重要性进行排序。

如果使用合适的故障率资料和定量后果，FMECA可以输出定量结果。

B.7.6 优点及局限

FMEA与FMECA的优点包括：

●    广泛适用于人力，设备和系统失效模式，以及硬件，软件和程序；

●    识别组件失效模式及其原因和对系统的影响，同时用可读性较强的形式表现出来；

●    通过在设计初期发现问题，从而避免了开支较大的设备改造；

●    识别单点失效模式以及对冗余或安全系统的需要；

●    通过突出计划测试的关键特征，为开发测试计划提供输入数据；

局限包括：

● 只能识别单个失效模式，无法同时识别多个失效模式；

● 除非得到充分控制并集中充分精力，否则研究工作既耗时，又开支较大；

● 对于复杂的多层系统来说，这项工作可能既艰难，又枯燥。

B.8 危险与可操作性分析(HAZOP)

B.8.1 概述:

HAZOP是危险与可操作性分析(Hazard and Operability studies)的英文首字母缩写，也是对一种规划或现有产品、过程、程序或体系的结构化及系统分析。该技术可以识别人员、设备、环境及/或组织目标所面临的风险。分析团队应尽量提供解决方案，以消除风险。

HAZOP过程是一种基于危险和可操作性研究的定性技术，它对设计、过程、程序或系统等各个步骤中，是否能实现设计意图或运行条件的方式提出质疑。该方法通常由一支多专业团队通过多次会议进行。

HAZOP在识别过程、系统或程序的故障模式的原因和后果方面与FMEA类似。其不同在于团队通过考虑不希望的结果、与预期的结果以及条件之间的偏差来反查可能的原因和故障模式，而FMEA则确定故障模式，然后才开始。

B.8.2 用途

最初开发HAZOP技术是为了分析化学过程系统，但是该技术目前已拓展到其他类型的系统及复杂的操作中，包括机械及电子系统、程序、软件系统，甚至包括组织变更及法律合同设计及评审。

HAZOP过程可以处理由于设计、部件、计划程序和人为活动的缺陷所造成的各种形式的对设计意图的偏离。

这种方法广泛地用于软件设计评审中。当用于关键安全仪器控制及计算机系统时，该方法称作CHAZOP(控制危险及可操作性分析或计算机危险及可操作性分析)。

HAZOP分析通常在详细设计阶段开展，因为此时有计划过程的全图，尽管设计仍可进行调整。但是，随着设计的详细发展，可以对每个阶段用不同的导语以阶段法进行。HAZOP分析也可以在操作阶段进行，但是，该阶段需要的变更可能有较大成本。

B.8.3 输入

HAZOP分析的主要输入数据是有关计划审批的系统、过程或程序，以及设计意图与效果说明书的现有信息。输入数据可能包括图形、说明书、过程图、逻辑图、布局图、操作及维修程序，以及紧急情况响应程序。对于非硬件系统来说，HAZOP的输入数据可以是描述所分析的系统或程序的功能和因素的任何文件。例如，输入数据可以是组织图或角色说明、合同草案甚至程序草案。

B.8.4 过程

HAZOP主要对分析中的流程、程序或系统进行“设计”及规范化，并审查各组成部分，以发现与预期效果的偏差、潜在的原因以及偏差可能造成的结果。通过使用合适的引导词，对于系统、过程或程序的各个部分对关键参数变化的反应方式进行系统性分析，我们就可以实现上述目标。可以使用针对某个特殊系统、过程或程序的引导词，也可以使用能涵盖各类偏差的通用词。表B1举例说明了技术系统常用的引导词。类似的导语如‘过早’、‘过迟’、‘过多’、‘过少’、‘过长’、‘过短’、‘错误方向’、‘错误目的’、‘错误行动’可以用来标明人为错误的模式。

HAZOP分析的一般步骤包括：

●    提名某个有必要责任和职权的人员开展HAZOP分析，并承担由此产生的一切行动；

●    确定这项研究的目标及范围；

●    为研究建立一系列关键的引导词；

●    确定HAZOP研究团队。该团队通常是多专业的，应包括掌握了相应技术专业知识的设计及操作人员，来评价与计划或当前设计的偏差产生的影响。建议团队中包括一些不直接参与设计或者被审核的系统、过程或程序的人员。

●    收集必要的文件。

在研究团队的引导式研讨班上：

●    将系统、过程或程序划分成更小的因素或子系统/过程或因素，以进行具体的审核；

●    约定各子系统/过程或因素的设计意图，然后对于该子系统或因素中的各项依次使用引导词，以假设那些会产生不良结果的可能偏差；

●    如果发现不良结果，约定各种情况下的原因及结果，同时就处理方式提出建议，从而减少或消除影响(如果可能的话)；

●    将讨论内容记录在案，同时约定用于处理被识别风险的具体行动。

表B.1 HAZOP引导词的例子

B.8.5 输出

对于每个评审点的项目，做好HAZOP会议的会议记录。这包括：使用的引导词、偏差、可能的原因、处理所发现问题的行动以及行动负责人。

    对于任何无法纠正的偏差，需要对偏差风险进行评估。

B.8.6 优点及局限

HAZOP的优点包括：

●    为系统、彻底地分析系统、过程或程序提供了有效的方法；

●    涉及多专业团队，包括那些拥有实际操作经验的人员以及那些必须采取处理行动的人员；

●    形成了解决方案和风险应对行动方案；

●    适用于各种系统、过程及程序；

●    有机会对人为错误的原因及结果进行清晰的分析；

●    对用来说明尽职调查的过程可以进行书面记录。

局限包括：

●    很耗时，因此成本较高；

●    对文件或系统/过程以及程序规范的要求较高；

●    主要重视的是找到解决方案，而不是质疑基本假设(然而，这可以减轻分阶段的办法)。

●    讨论可能会集中在设计细节上，而不是在更宽泛或外部问题上。

●    受制于设计(草案)及设计意图，以及传递给团队的范围及目标；

●    过程对设计人员的专业知识要求很高，结果，专业人员会发现在寻找设计问题的过程中很难保证完全客观。

B.9危险分析与关键控制点法(HACCP)

B.9.1 概述:

危险分析与关键控制点法(Hazard Analysis and Critical Control Points，简称HACCP)为识别过程中各相关部分的风险并采取必要的控制措施提供了框架，以避免可能出现的危险，同时维护产品的质量可靠性和安全性。HACCP旨在确保在整个过程内通过控制，而不是通过检查终端产品来尽量降低风险。

B.9.2 用途

开展HACCP最初是为了保证美国宇航局太空计划的食品质量。目前，在食品链内运营的组织也利用HACCP来控制食品的物理、化学或生物污染物带来的风险。也用于医药生产和医疗器械方面。在识别可能影响产品质量的事项以确定过程内关键参数得到监控，危险得到控制的位点时，使用的原则可以推广到其他技术系统中。

B.9.3 输入

HACCP开始于基本的过程图或过程图以及可能影响到产品或过程输出成果的质量、安全性或可靠性的危险的信息。有关危险及其风险与控制方式的信息都是HACCP的输入数据。

B.9.4 过程

HACCP包括以下七项原则。

1）      识别危险及危险的预防性措施；

2）      确定过程中可以控制或消除危险的位点(临界控制点或CCP)；

3）      确定控制危险的关键限值，例如每个CCP必须在具体的参数范围内运行，这样才能保证危险得到控制；

4）      按规定的间隔对各CCP的关键限值进行监控；

5）      如果过程处于已确定限值之外，执行纠正行动；

6）      建立审核程序；

7）      对于每一步都要实施记录和归档程序。

B.9.5 输出

归档记录包括危险分析工作表及HACCP计划。

危险分析工作表列出了过程中每步的下列内容：

●    某个步骤中可能引入、控制或加剧的危险；

●    危险是否会带来严重的风险(通过经验、数据及技术文献等综合因素对结果和可能性进行分析)；

●    对严重性做出判断；

●    各种危险可能的预防措施；

●    该步能否可使用监控或控制措施(例如，它是CCP吗？)

HACCP计划说明了后续程序，以确保对具体设计、产品、过程或程序的控制。这项计划包括一个涵盖所有CCP并针对各CCP的清单。

●    预防措施的关键限值；

●    监控及继续控制活动(包括开展监控活动的内容、方式及时机以及监控人员)；

●    如果发现与关键限值存在偏差，需要采取的纠正行动；

●    核实及记录活动。

B.9.6 优点及局限

优点包括：

● 结构化的过程提供了质量控制并识别和降低风险的归档证据；

● 重点关注流程中预防危险和控制风险的方法及位置的可行性；

● 鼓励在整个过程中进行风险控制，而不是依靠最终的产品检验；

● 有能力识别由于人为行为带来的危险以及如何在引入点或随后对这些危险进行控制。

局限包括：

● HACCP要求识别危险、界定它们代表的风险并认识它们作为输入数据的意义。也需要确定相应的控制措施。完成这些工作是为了确定HACCP过程中具体的临界控制点及控制参数。同时，还需要其他工具才能实现这个目标。

●当控制参数超过了规定的限值时才采取行动可能会错过控制参数的逐渐变化过程，而这些控制参数具有重要的统计意义，本应对其进行处理。

B.10 保护层分析(LOPA)

B.10.1 概述

作为一种半定量方法，保护层分析法(Layer protection analysis，简称LOPA)可估算与不期望事件或情景相关的风险。它分析了是否有足够的措施来控制或减缓风险。

挑选出因果对，同时识别那些能够阻止初因演化为不期望后果的保护层。进行数量级计算，以确定保护措施足够充分，使得风险降低到可容忍(或可接受)水平。

B.10.2 用途

LOPA可以定性使用，以简单分析危险或原因事件与结果之间的保护层。LOPA也可以进行半定量分析，以使HAZOP或PHA之后的筛查过程变得更严格。

LOPA为IEC6108与IEC61511所需的独立保护层(IPL)的规格提供了依据。在确定安全完整性级别(SIL)时，需要安全设备系统。通过分析各保护层产生的风险减轻行为，LOPA也可以用来对风险减轻资源进行有效的配置。

B.10.3 输入

LOPA的输入包括：

●    有关风险的基本信息包括PHA规定的危险、原因及结果；

●    有关现有或建议控制措施的信息；

●    原因事件概率、保护层故障、结果措施及可容忍风险定义。

●    初因事件概率、保护层故障、结果措施及可容忍风险定义。

B.10.4 过程

LOPA可以通过专家组运用下列程序进行实施：

●    识别不良结果的初始原因并查找有关其概率和结果的数据；

●    选择单个因果对；

●    识别那些避免原因演变成不良结果的保护层，同时对它们的效力进行分析；

●    识别独立保护层(保护层未必都是IPL)；

●    估计每个独立保护层失效的概率；

●    初因事项频率应是各IPL的故障概率以及任何条件修正因素概率的结合(例如，条件修正因素是指一个人是否会出现在受影响的环境中)。

●    保护层的综合影响应与风险容忍度进行比较，以确定是否需要进一步的保护。

独立保护层(IPL)是一种设备系统或行动，能避免某个情景演变成独立于初因事项或与情景相关的任何其他保护层的不良结果。

IPL包括：

● 设计特点；

● 实体保护装置；

● 联锁及停机系统；

● 临界报警与人工干预；

● 事件后实物保护；

● 应急反应系统(程序与检查不是IPL)。

B.10.5 输出

给出有关需要采取进一步控制措施以及这些控制措施在降低风险方面效果的建议。

在处理安全相关/设备系统时，LOPA是一种可用于SIL评估的技术。

B.10.6 优点及局限

优点包括：

●    与故障树分析或全面定量风险评估相比，它需要更少的时间和资源，但是比定性主观判断更为严格；

●    它有助于识别并将资源集中在最关键的保护层上。

●    它识别了那些缺乏充分安全措施的运行、系统及过程；

●    它关注最严重的结果。

局限包括：

●    LOPA每次只能分析一个因果对和一个情景，并没有涉及风险或控制措施之间的相互影响；

●    量化的风险可能没有考虑到普通模式的失效；

●    LOPA并不适用于很复杂的情景，也就是有很多因果对或有各种结果会影响不同利益相关者的情景。

B.10.7 参考文件

IEC61508 (所有部分)，电器/电子/可编程电器安全相关系统的功能安全。

IEC 61511 ，功能安全-用作流程工业部门的安全设备系统。

B.11 结构化假设分析(SWIFT)

B.11.1 概述

最初，结构化假设分析(Structure « What if? »，简称SWIFT)是作为HAZOP更简单的替代性方法推出的。它是一种系统的、团队合作式的研究方法，利用了引导员在讨论会上运用的一系列“提示”词或短语来激发参与者识别风险。引导员和团队使用标准的“假定分析”式短语以及提示词来调查正常程序和行为的偏差对某个系统、设备组件、组织或程序产生影响的方式。通常，与HAZOP相比，SWIFT用于某个系统的更多层面，同时细节要求较低。

B.11.2 用途

虽然SWIFT的设计初衷是针对化学及石化工厂的危险进行研究，但是该技术现在广泛地用于各种系统、设备组件、程序及组织。尤其是，它现在用来分析变化的后果以及由此带来的风险的变化或新产生的风险。

B.11.3 输入

在开始进行研究之前，必须对系统、设备组件、程序及/或变化进行认真界定。引导员应通过访谈以及对文件、计划和图纸的全面分析建立内外部背景。一般来说，研究涉及的项目、情况或系统应划分成节点或关键要素以便于开展分析过程，而这在HAZOP的界定层面中很少涉及。

另一个关键输入数据是经过认真挑选的研究团队的专业知识和经验。其中，所有利益相关者的观点都要得到反映，如果可能的话，应当将其与拥有类似项目经验或情况经历的人员的观点统筹考虑。

B.11.4 过程

一般过程如下所示：

1) 在开展研究之前，引导员应准备一份相关的词语或短语提示单。该清单可以基于一系列标准的词语或短语，也可以是为便于对危险或风险进行综合分析而形成的词语或短语。

2)讨论会应讨论并约定项目、系统、变化或情况的内外部背景以及研究范围。

3)引导员要求参与者提出并讨论：

● 已知的风险和危险；

● 以往的经历和事件；

● 已知和现有的控制及保障措施；

● 监管要求和限制措施。

4)使用“假定分析”这样的短语及提示词或主题以形成问题，达到引导讨论的目的。计划使用的“假定分析”短语包括“要是…怎么办…”、“如果…会发生…”、“某人或某事会…”以及“有人或有事曾经…”。其目的是激发研究团队探讨潜在的情景及其原因和后果以及影响。

5)总结风险，同时团队分析现有的控制措施。

6)与团队确认风险及其原因、后果和预期控制的描述，并进行记录。

7)团队分析控制措施是否充分有效，同时就风险控制效果的声明达成一致。如果未达到满意的效果，团队应继续风险应对工作并界定潜在的控制措施。

8)在本次讨论中，提出更多的“假定分析”问题，以识别更多的风险。

9)引导员利用提示单来监督讨论并建议团队讨论其他问题和情景。

10)通常要使用定性或半定量风险评估方法来将按先后顺序排列的行动进行等级划分。一般来说，在使用这种风险评估方法时，我们要考虑现有的控制措施及其效果。

B.11.5 输出

输出结果是一个风险列表，记录了不同风险等级的行动或任务的。这些任务就成了风险应对计划的基础。

B.11.6 优点及局限

SWIFT的优点包括：

●    广泛用于各种形式的物理设备或系统、情况或环境、组织或活动；

●    对团队的准备工作要求最低；

●    速度较快，同时重大危险及风险在讨论会上很快突显出来；

●    通过这项以“系统为导向”的研究，参与者可以分析系统对偏差的反应，而不只是分析组件故障的后果；

●    可用来识别过程及系统改进的机会，通常可用来识别能带来成功或增强成功可能性的活动；

●    由那些参与现有控制和进一步风险应对行动的人员参与到讨论会中，这样可以增强他们的责任感；

●    建立风险登记表和风险应对计划相对容易；

●    虽然经常使用风险评级的定性或半定量形式来进行风险评估，但是可通过SWIFT来识别那些可以进行定量分析的风险和危险。

SWIFT的局限包括：

●    它要求经验丰富、能力较强、工作效率高的引导员；

●    它需要精心的准备，这样才不会浪费讨论会团队的时间；

●    如果讨论会团队缺乏足够丰富的经验或是如果提示系统不够全面，那么有些风险或危险可能就无法识别；

●    技术的有效运用也可能无法揭示那些复杂、详细或相关的原因。

B.12 风险矩阵

B.12.1 概述

风险矩阵(Risk Matrix)是一种将定性或半定量的后果分级与产生一定水平的风险或风险等级的可能性相结合的方式。矩阵格式及适用的定义取决于使用背景，关键是要在这种情况下使用合适的设计。

B.12.2 用途

风险矩阵可用来根据风险等级对风险、风险来源或风险应对进行排序。它通常作为一种筛查工具，以确定哪些风险需要更细致的分析，或是应首先处理哪些风险，这需要提到一个更高层次的管理。它还可以用作一种筛查工具，以挑选哪些风险此时无需进一步考虑。根据其在矩阵中所处的区域，此类的风险矩阵也被广泛用于决定给定的风险是否被广泛接受或不接受。

风险矩阵也可以用于帮助在全组织内沟通对风险定性等级的共同理解。设定风险等级的方法和赋予他们的决策规则应当与组织的风险偏好一致。

风险矩阵的一种形式可用于FMECA的危险度分析，或是在HAZOP结束后确定先后顺序。如果缺乏足够的数据进行细致的分析，或是实际情况无法保证进一步定量分析的时间和精力时，后果可能性矩阵也可以使用。

B.12.3 输入

过程的输入数据为个性化的结果及可能性等级，以及将两者结合起来的矩阵。

后果等级应涵盖需分析的各类不同的结果(例如，经济损失、安全、环境或其他取决于背景的参数)，并应从最大可信结果拓展到最小结果。

标度可以为任何数量的点。最常见的是有3、4或5个点的等级。

可能性标度也可为任何数量的点。需要选择的可能性的定义应尽量避免含混不清。如果使用数字指南来界定不同的可能性，那么应给出单位。可能性等级需要跨越现有研究范围，牢记最低可能性必须为最高界定结果所接受，否则，就把一切最严重结果的活动界定为不可容忍。图B7显示了部分事例。

绘制矩阵时，结果在一个轴上，可能性在另一个轴上。图B8显示了矩阵的部分事例，该矩阵带有6点结果和5点可能性等级。

各单元的风险等级将取决于可能性结果等级的定义。可以以特别突出结果(如图所示)或可能性建立矩阵，根据实际应用情况，该矩阵可以是对称的。风险等级与决策规则相关，例如管理层关注度水平或所需反应的时间标度密切相关。

图B.1风险矩阵示例

分级评分和矩阵可以用定量等级进行建立。例如，在可靠性背景中，可能性等级表示指示故障率，而结果等级表示故障的美元成本。

工具的使用需要有掌握相关专业知识的人员(最好是团队)，以及有助于对结果和可能性进行判断的现有数据。

B.12.4 过程

为了进行风险分级，使用者首先要发现最适合当时情况的结果描述符，然后界定那些结果发生的可能性。然后，从矩阵中读取风险等级。

很多风险事项会有各种结果，并有各种不同的相关可能性。通常，次要问题比灾难更为常见。因此，有必要选择是对最常见的问题评分，还是对最严重的结果，抑或是两者的统一体进行评分。在很多情况下，有必要关注最严重的可信事项，因为这些事项会带来最大的威胁，经常也是管理者最关注的事情。有时，有必要将常见问题和不可能的灾难归为独立风险。关键是要使用与所选结果相关的可能性，而不是整个事项的可能性。

矩阵定义的风险水平可能与是否应对风险的决策规则相联系。

B.12.5 输出

输出结果是对各类风险的分级或是确定了重要性水平的、经分级的风险清单。

B.12.6 优点及局限

优点包括：

●    比较便于使用；

●    将风险很快划分为不同的重要性水平。

局限包括：

●    必须设计出适合具体情况的矩阵，因此，很难有一个适用于组织各相关环境的通用系统；

●    很难清晰地界定等级；

●    使用具有很强的主观色彩，分级者之间会有明显的差别；

●    无法对风险进行总计(例如，人们无法确定一定数量的低风险或是界定过一定次数的低风险相当于中级风险)。

●    组合或比较不同类型后果的风险等级是困难的。

结果将取决于分析的详细程度，即分析越详细，情景数字就越高，每个数字的概率越低。这将低估实际风险等级。在描述风险时将情景分组的方法应当在研究开始时确定并且是一致的。

B.13 人因可靠性分析(HRA)

B.13.1 概述:

人因可靠性分析(Human reliability analysis，简称HRA)关注的是人因对系统绩效的影响，可以用来评估人为错误对系统的影响。

很多过程都有可能出现人为错误，尤其是当操作人员可用的决策时间较短时。问题最终发展到严重地步的可能性或许不大。但是，有时，人的行为是惟一能避免最初的故障演变成事故的防卫。

HRA的重要性在各种事故中都得到了证明。在这些事故中，人为错误导致了一系列灾难性的事项。有些事故向人们敲响警钟，不要一味进行那些只关注系统软硬件的风险评估。它们证明了忽视人为错误这种诱因发生的可能性是多么危险的事情。而且，HRA可用来凸显那些妨碍生产效率的错误并揭示了操作人员及维修人员如何 “补救”这些错误和其他故障(硬件和软件)。

B.13.2 用途

HRA可进行定性或定量使用。如果定性使用，HRA可识别潜在的人为错误及其原因，从而降低了人为错误发生的可能性；如果定量使用，HRA可以为FTA(故障树)或其它技术的人为故障提供数据。

B.13.3 输入

人因可靠性分析方法的输入包括：

●    明确人们必须完成的任务的信息；

●    实际发生及有可能发生的各类错误的经验；

●    有关人为错误及其量化的专业知识。

B.13.4 过程

HRA过程如下所示：

●    问题界定——计划调查/评估哪种类型的人为参与？

●    任务分析——计划怎样执行任务？为了协助任务的执行，需要哪类帮助？

●    人为错误分析——任务执行失败的原因？可能出现什么错误？怎样补救错误？

●    表示——怎样将这些错误或任务执行故障与其他硬件、软件或环境事项整合起来，从而对整个系统故障的概率进行计算？

●    筛查——有不需要细致量化的错误或任务吗？

●    量化——任务的单项错误和失败的可能性如何？

●    影响评估——哪些错误或任务是最重要的？哪些错误或任务是可靠性或风险的最大诱因？

●    减少错误——如何提高人因可靠性？

●    记录——有关HRA的哪些详情应记录在案？

在实践中，HRA会分步骤进行，尽管某些部分(例如任务分析及错误识别)有时会与其他部分同步进行。

B.13.5 输出

输出包括：

l 可能会发生的错误的清单以及减少损失的方法——最好通过系统改造；

l 错误模式、错误类型、原因及结果；

l 错误所造成风险的定性或定量评估。

B.13.6 优点及局限

HRA的优点包括：

l HRA提供了一种正式机制，对于人在系统中扮演着重要角色的情况，可以将人为错误置于系统相关风险的分析中；

l 对人为错误的模式和机制的正式分析有利于降低错误所致故障的可能性。

局限包括：

l 人的复杂性及多变性使我们很难确定那些简单的失效模式及概率；

l 很多人为活动缺乏简单的通过/失败模式。HRA较难处理由于质量或决策不当造成的局部故障或失效。

图B.2 人因可靠性分析

B.14 以可靠性为中心的维修

B.14.1 概述

以可靠性为中心的维修(Reliability Centred Maintenance，简称RCM)是一种识别故障管理策略的方法，目的是高效、有效地实现各类设备必要的安全性、可用性及运行经济性。

现在，RCM已成为广泛用于各行业内并经过验证而被普遍接受的方法。

RCM提供了一种决策过程，可以根据设备的安全、运行及经济结果，识别出设备适用且有效的预防性维修要求和退出机制。结束这个过程后，最终可以对执行维修任务或采取其他操作的必要性做出判断。关于使用和应用RCM的详细说明在IEC60300-3-11中被提供。

B.14.2 用途

一切任务都离不开人员及环境安全，也离不开关注的运行及经济问题。但是，应该注意的是，考虑的标准将取决于产品的性质及其应用。例如，生产过程在经济上应具有可行性，但其或许对严格的环境考虑因素比较敏感。防护设备则首先应该保证正常运行，而在安全、经济及环境标准方面可能不够严格。通过重点分析故障可能产生严重的安全、环境、经济或运行影响的方面，有利于获得最大的成效。

RCM用来确保可维护性，主要用于设计和开发阶段，然后在运行和维修阶段实施。

B.14.3 输入

要想成功地运用RCM，那就要了解设备和结构、运行环境和相关系统、子系统及设备，可能的故障以及故障的结果。

B.14.4 过程

RCM项目的基本步骤如下所示：

l 启动和规划；

l 功能故障分析；

l 任务挑选；

l 实施；

l 不断完善。

RCM与风险密切相关，因为它采用的就是风险评估的基本步骤。RCM与风险评估与失效模式、效应和危害度分析(FMECA)有着相似的类型。

在某些情况下，通过执行维修任务可以消除潜在的故障或是降低其频率及/或结果，而风险识别关注的正是这种情况。这些工作可以通过识别必要的功能及性能标准以及妨碍功能实现的设备和组件故障得以实现。

RCM的风险分析包括估算无需维修状态下各故障的频率。通过界定失败效果来获得结果。综合故障频率和危险度的风险矩阵有利于对风险进行分级。

随后，通过选择各失效模式适用的故障管理政策来进行风险评价。

整个RCM过程应做好大量的记录工作，以供将来参考和检查之用。故障及维修相关数据的采集有助于监督结果并实施改进措施。

B.14.5 输出

维修任务的界定，如状况监控、计划性恢复、计划性替换、故障查找或非预防性维修。这项分析可能带来的其他行动包括重新设计、调整运行或维修程序，或者额外培训。执行任务的时间间隔以及必要的资源都要得到确认。

B.15 业务影响分析(BIA)

B.15.1 概述

业务影响分析(Business Impact Analysis)，也称作业务影响评估(Business Impact Assessment)，分析了干扰性风险对组织运营的影响方式，同时识别并量化了必要的风险管理能力。具体来说，BIA就以下问题达成了一致的认识：

● 关键经营过程的识别和临界状态、职能和相关资源以及组织已有的关键互相依存关系；

● 干扰性事项对实现重要经营目标的能力会产生怎样的影响；

● 管理干扰的影响以及使组织恢复到约定运行水平所需的能力。

B.15.2 用途

BIA用来确定危害性以及过程和相关资源(人员、设备、信息技术)的恢复时间，以确保目标的持续实现。而且，BIA有助于确定过程、内外部各方以及供应链连接处之间的相互依存关系和相互关系。

B.15.3 输入数据

输入包括：

● 承担分析并制定计划的小组；

● 关于目标、环境及运行和组织的相互依存关系的信息；

● 有关组织活动及运行的详情，包括过程、辅助资源、与其他组织的关系、外包安排以及利益相关者；

● 关键过程的缺失造成的财务及运行结果；

● 事先准备的调查问卷表；

● 组织相关部门的受访者及/或计划联系的利益相关者的名单。

B.15.4 过程

通过使用调查问卷表、访谈、结构化讨论会或综合运用上述三种方法，可以开展BIA，以便认识关键过程、过程缺失产生的影响以及必要的恢复时间范围及辅助资源。

关键步骤包括：

● 根据风险及脆弱性分析(vulerability assessment)，确认组织的关键过程和输出结果，以确定过程的危害性；

● 确定在干扰规定的时期内对被识别的关键过程造成的财务及/或运行影响；

● 识别与关键内外部利益相关者的相互依存关系。这可能包括通过供应链说明相互依存关系的性质；

● 确定现有资源及干扰过后继续以最低容许水平运行所需的基本资源；

● 确定目前使用或计划开发的替代性工作区域和程序。如果在干扰过程中资源或能力无法获得或不够充分，那么可能就要开发替代性的工作区域和程序。(workarounds)

● 根据被识别的结果以及职能部门的关键成功因素来确定各过程的最大可容忍故障时间(MAO)。MAO代表组织所能容忍的能力损失的最大时间段。

● 确定任何特定装备或信息技术的目标恢复时间(RTO)。这可能包括评估过程中的重复水平(例如，设备备件)或是替代供应商的存在情况。

● 确认关键过程的现期准备水平。这可能包括评价过程中的冗余程度(例如备用设备)或存在替代供应商。

B.15.5 输出结果:

输出结果包括：

● 关键过程及相关依存关系的优先性清单；

● 因关键过程缺失而带来的财务及运行过程影响的记录；

● 用于被识别的关键过程的辅助资源；

● 关键过程的故障时间范围以及相关信息技术恢复时间范围。

B.15.6 优点及局限

BIA的优点包括：

●    对关键过程的认识，使组织有能力继续实现其既定目标；

●    对资源的认识；

●    有机会重新界定组织的运行过程，以增强组织的灵活性。

BIA的局限包括：

●    那些参与完成调查问卷并开展访谈或讨论会的参与方缺乏某些知识；

●    小组气氛可能会影响到关键过程的全面分析；

●    对恢复要求有简单化或过于乐观的期望；

●    难以获得组织运行及活动的足够的认识水平。

B.16 根原因分析

B.16.1 概述

为了避免重大损失的再次发生，对重大损失进行的分析通常称作根原因分析(Root Cause Analysis，简称RCA)、故障根本原因分析(Root Cause Failure Analysis，简称RCFA)或者损失分析(Loss analysis)。RCAF关注的是各类故障引起的资产损失，而损失分析主要关注的是外部因素或灾难引起的财政或经济损失。它试图识别根本或最初原因，而不是仅处理非常明显的“症状”。人们普遍认同，纠正行为未必完全有效，有时可能需要持续的完善。在大多数情况下，RCA用于对重要损失的评估，但是也用于全球范围的损失，以确定在什么情况下可以进行完善。

B.16.2 用途

RCA适用于各种环境，拥有广泛的使用范围：

● 安全型RCA用于事故调查和职业健康及安全；

● 故障分析用于与可靠性及维修有关的技术系统；

● 生产型RCA用于工业制造的质量控制领域；

● 过程型RCA关注的是经营过程；

● 作为上述领域的综合体，系统型RCA主要用于处理复杂系统的变革管理、风险管理及系统分析中。

B.16.3 输入

RCA的基本输入数据是指从故障或损失中搜集的全部证据。分析中也可以考虑其他类似故障的数据。其他输入数据可以是为了测试具体假设而得出的结果。

B.16.4 过程

识别出RCA的需求之后，应指定一群专家开展分析并提出建议。专家的类型主要取决于分析故障时所需的具体专业知识。

虽然可以使用不同的方法进行分析，但开展RCA的基本步骤是相似，包括以下方面：

● 组建团队；

● 确定RCA的范围及目标；

● 搜集有关故障或损失的数据及证据；

● 开展结构化分析，以确定根本原因；

● 找出解决方案并提出建议；

● 执行建议；

● 核实所执行建议的成效。

结构化分析方法可以包括下列某一种方法：

●    5-why法，即反复询问“为什么？”以剥离原因层及次原因层；

●    失效模式和效应分析；

●    故障树分析；

●    鱼骨图或鱼刺图；

●    帕累托分析；

●    根本原因图。

原因评价经常开始于明显的客观原因，然后是人为的原因，最后是潜在的管理或基本原因。相关各方必须对原因进行控制或消除，以便纠正行为取得效果并富有价值。

B.16.5 输出

RCA的输出结果包括：

● 记录收集的数据及证据；

● 分析假设；

● 归纳有关最有可能造成故障或损失的原因；

● 纠正行为的建议。

B.16.6 优点及局限

优点包括：

●    让合适专家在团队环境下工作；

●    结构化分析；

●    分析各种可能的假设；

●    记录结果；

●    需要提出最终的建议。

局限性包括：

●    未必有所需的专家；

●    关键证据可能在故障中被毁或在清理中被删除；

●    团队可能没有足够的时间或资源来充分评估情况；

●    可能无法充分执行建议。

B.17 潜在分析(SA)和潜在通路分析(SCA)

B.17.1 概述

潜在分析(Sneak analysis)是一种用于识别设计错误的方法。潜在条件不是因部件故障而发生，而是一种可能会造成不良事项的发生或阻止预期事项发生的潜在硬件、软件或集成的状态。这些状况的特点是具有随意性，在最严格的标准化系统检查中也会检测不到。潜在条件可能会引起运行不当、系统可用性缺失、程序延时或者甚至造成人员伤亡。

B.17.2 用途

在20世纪60年代后期，潜在通路分析(Sneak Circuit Analysis)为美国航空航天局(NASA)开发，以核实它们设计的完整性及功能。潜在通路分析是一种发现非故意电路路径的有效工具，有利于设计将各功能独立处理的解决方案。但是，随着技术进步，潜在通路分析的工具也一定在发展。潜在分析是用来描述潜在通路分析扩大范围的术语。潜在分析涵盖并超出了潜在通路分析的范畴。潜在分析可以使用任何技术来确定软硬件问题。潜在分析工具可以将几种分析工具，例如故障树、失效模式和效应分析(FMEA)、可靠性估计(Reliability estimates)等整合到一项分析中，这样可以节省时间和项目成本。

B.17.3 输入

潜在分析是一种独特的设计过程，因为它利用不同的工具(网络树，以帮助确定分析潜在条件)来发现具体的问题。网络树和森林是对实际系统进行的拓扑分组。每个网络树代表一种次级功能并显示了可能影响次级功能输出的所有输入数据。将那些促成特定系统输出的网络树结合起来就能建构森林。一个正确的森林能说明系统输出所有相关的输入数据。这些方面和其他方面一起构成了分析的输入数据。

B.17.4 过程

开展潜在分析的基本步骤包括：

l 数据准备；

l 网络树的建构；

l 网络路径的评估；

l 最终建议与报告。

B.17.5 输出

潜在通路是系统内的意外路径或逻辑流。在特定状况下，意外路径或逻辑流会诱发不良功能或抑制预期功能。路径可能包括硬件、软件、操作人员行为以及这些因素的综合。潜在通路并不是硬件故障的结果，而是因设计疏忽而嵌入系统、通过编码进入软件程序，或者由于人为错误引发的潜在状况。四类潜在状况包括：

l 潜在路径——电流、能量或逻辑顺序沿着非预计方向流动的意外路径；

l 潜在时序——以意外或相互冲突的顺序发生的事项；

l 潜在表述——对系统运行状况的含混不清或错误的显示，这样可能会使系统或操作人员采取不当行为。

l 潜在标识——对系统功能进行不正确或不准确的命名，例如，系统输入数据、控制措施及显示总线，这些可能会造成操作人员对系统的不当操作。

B.17.6 优点及局限

优点包括：

l 潜在分析有利于识别设计错误；

l 与HAZOP(危险与可操作性分析)一起使用时会有最佳效果；

l 非常有利于处理那些有多重情况的系统，例如配料车间和半配料车间。

局限包括：

l 根据其是否适用于电路、加工厂、机械设备或软件，该过程会有所不同；

l 该方法离不开建立正确的网络树。

B.18 因果分析

B.18.1 概述

因果分析(Cause and Consequence Analysis，简称CCA)综合了故障树分析和事件树分析，它开始于关键事件，同时通过结合“是/否”逻辑来分析结果。这代表了可能发生的条件，或者旨在减轻初始事件后果的系统失效。事件的原因或故障可通过故障树分析(见附录B.15)。

B.18.2 用途

最初，因果分析是作为关键安全系统的可靠性工具而开发出来的，可以让人们更全面地认识系统故障。类似于故障树分析，它用来表示造成关键事件的故障逻辑，但是，通过对时序故障的分析，它比故障树的功能更强大。这种方法可以将时间滞延纳入到结果分析中，而这在事件树分析中是办不到的。

根据特定子系统(例如应急反应系统)的行为，这种方法可分析某个系统在关键事件之后可能的各种路径。如果进行量化，它们可估算出某个关键事件过后各种不同结果发生的概率。

由于因果图中的每个序列是子故障树的结合，因果分析可作为一种建立大故障树的工具。

由于图形的制作和使用比较复杂，因此只有故障的潜在结果相当严重，有必要投入很大精力时，人们才会使用图形。

B.18.3 输入

对系统及其失效模式和故障情景的认识。

B.18.4 过程

图B.3说明了典型的因果分析过程。

进行因果分析的步骤包括：

1）      识别关键事件(或初因事件)(类似于故障树的顶事件及事件树的初因事件)；

2）      制作并验证描述的初因事件原因的故障树；

3）      确定需考虑条件的顺序。这应该是一种逻辑顺序，例如它们发生的时序；

4）      建构不同条件下的结果路径。这一点类似于事件树，但事件树路径的划分被表示为贴有适用特定条件的栏。

图B.3  因果分析示例

5）      如果各条件栏的故障为独立故障，则可以计算各故障的发生概率。要做到这一点，首先是确定条件栏内每个输出结果的概率(如果可以的话，使用相关的故障树)。通过将各次序条件的概率相乘，就可以得出产生特定结果的任一次序的概率，该次序条件结束于上述特定结果。如果一个以上的次序最终有相同的结果，那么各次序的概率应相加。如果某个序列中各条件的故障存在依存关系(例如，停电会造成多个条件出现故障)，那么必须在计算前分析依存关系。

B.18.5 输出

因果分析的结果可用图形表示，对系统故障的原因进行图形表示既可说明原因，也可说明结果。通过对引起关键事件特定条件发生的概率进行分析，我们就可以估算出各潜在结果发生的概率。

B.18.6 优点及局限

因果分析的优点相当于事件树及故障树的综合优点。而且，通过分析一段时间内发展变化的事项，这种分析克服了那两种技术的局限。因果分析提供了系统的全面视角。

局限是它的建构过程要比故障树和事件树更复杂，同时在定量过程中必须处理依存关系。

B.19 风险指数

B.19.1 概述

风险指数(Risk indices)是对风险的半定量测评，是利用顺序标度的记分法中得出的估算值。风险指数可以用来对使用相似标准的一系列风险进行评分，以便对风险进行比较。得分可用于风险的各组成部分，例如污染物特征(来源)、可能暴露路径的范围，以及对接收方的影响。尽管是风险评估的组成部分，风险指数主要用于风险分析。

风险指数本质上是一种对风险进行分级和比较的定性方法，使用数字完全是为了便于操作。在许多潜在模型或系统不清楚或不能够被表示的情况下，用定性方法更好。

B.19.2 用途

如果充分理解系统，可以用指数对与活动相关的不同风险分级。指数允许将影响风险等级的一系列因素整合为单一的风险等级数字。

风险指数可作为一种范围划定工具用于各种类型的风险，以根据风险水平划分风险。这可以确定哪些风险需要更深层次的分析以及可能进行定量评估。

B.19.3 输入

输入数据来源于对系统的分析，或者对背景的宽泛描述。这就要求很好地了解风险的各种来源、可能的路径以及可能影响到的方面。像故障树分析、事件树分析以及通用决策分析这样的工具可以用来支持风险指数的开发。

由于顺序尺度的选择在一定程度上具有任意性，因此，需要充分的数据来确认指数。

B.19.4 过程

第一步是理解并描述系统。一旦系统得到确认，就要对各组件确定得分，再将这些得分结合起来，以提供综合指数。例如，在环境背景中，来源、途径及接收方将被打分。在有些情况下，每个来源可能会有多种路径和接收方。根据考虑系统客观现状的计划将单个得分进行综合。关键是，系统各部分的得分(来源、途径及接收方)应在内部保持一致，同时保持其正确关系。给风险组成部分(例如，概率、暴露及后果)或是增加风险的因素打分。

可以根据模型对得分进行加、减、乘及/或除的运算。通过将得分相加来考虑累积效果(例如，将不同路径的得分相加)。严格地讲，将数学公式用于顺序得分是无效的，因此，一旦打分系统得以建立，必须将该模型用于已知系统，以便确认其有效性。确定指数是一种迭代方法，在分析师得到满意的确认结果之前，可以尝试几种不同的系统以将得分进行综合。

通过灵敏度分析和不同得分来解决不确定性问题，以发现哪些参数是最敏感的。

B.19.5 输出

输出结果是与特定来源有关的一系列数字(综合指数)，并可以与为其他来源开发的指数或是按相同方式建模的一系列数字进行比较。

B.19.6优点及局限

优点：

●    风险指数可以提供一种有效的划分风险等级的工具。

●    它们可以让影响风险等级的多种因素整合到对风险等级的分析中。

局限：

●    如果过程(模式)及其输出结果未得到很好确认，那么可能使结果毫无意义的。输出结果是风险值这一点可能会被误解和误用，例如在随后的成本效益分析中。

●    在很多使用风险指数的情况下，缺乏一个基准模型来确定风险因素的单个尺度是线性的、对数的还是某个其他形式，也没有固定的模型可以确定如何将各因素综合起来。在这些情况下，评级本身是不可靠的，对实际数据进行确认就显得尤其重要。

B.20 故障树分析(FTA)

B.20.1 概述

故障树(Fault Tree analysis，简称 FTA)是用来识别并分析造成特定不良事件(称作顶事件)因素的技术。因果因素可通过归纳法进行识别，也可以按合乎逻辑的方式进行编排并用树形图进行表示，树形图描述了原因因素及其与重大事件的逻辑关系。

故障树中识别的因素可以是与组件硬件故障、人为错误或造成不良事项的其他相关事项。

图B.4 FTA事例

B.20.2 用途

故障树可以用来对故障(顶事件)的潜在原因及途径进行定性分析，也可以在掌握因果事项可能性的知识之后，定量计算重大事件的发生概率。

故障树可以在系统的设计阶段使用，以识别故障的潜在原因并在不同的设计方案中进行选择；也可以在运行阶段使用，以识别重大故障发生的方式和导致重大事件不同路径的相对重要性；故障树还可以用来分析已出现的故障，以便通过图形来显示不同事项如何共同作用造成故障。

B.20.3 输入

对于定性分析，需要了解系统及故障原因、系统失效的方式。详细的图表有利于帮助分析。

对于定量分析，需要了解故障树中各基本事件的故障率或者失效的可能性。

B.20.4 过程

建构故障树的步骤包括：

● 界定计划分析的重大事件。这有可能是故障或该故障影响面更大的结果。如果要分析结果，那么故障树可能有一部分涉及到实际故障的缓解；

● 从重大事件入手，识别造成重大事件的直接原因或失效模式；

● 对其中的每个原因/失效模式进行分析，以识别造成故障的原因；

● 分步骤地识别不良的系统操作方式，沿着系统自上而下地分析，直到进一步分析不会产生任何成效为止。在硬件系统，这可能是组件故障水平。处于分析中系统最低水平的事项及原因因素称作基本事件。

● 如果基本事件有可能发生，那么可以计算顶事件的发生概率。要想使定量化有效，就必须说明，对于每个控制节点而言，所有的输入数据都必不可少，并足以产生输出事项。否则，故障树不足以进行可能性分析，但可以成为说明因果关系的有效工具。

作为定量化的组成部分，有必要通过布尔代数来简化故障树，以说明那些重复的失效模式。

除了估算顶事件发生的可能性之外，还要识别那些形成顶事件独立路径的最小分割集合，并计算它们对顶事件的影响。

除了简单的故障树之外，当故障树存在几处重复事件时，需要使用软件包正确处理计算，并计算最小割集。软件工具有助于保证一致性、正确性和可检验性。

B.20.5 输出

故障树分析的输出结果包括：

●    用图形表示重大事件发生的方式，以说明同时有两个或更多事项发生时那些相互影响的途径；

●    最小分割集合清单(单个故障路径)，并说明每个路径的发生概率(如果有相关数据)；

●    重大事件的发生概率。

B.20.6 优点及局限

故障树(FTA)的优点包括：

●    它提供了一种系统、规范的方法，同时有足够的灵活性，可以对各种因素进行分析，包括人际交往和客观现象等；

●    运用简单的“自上而下”方法，可以关注那些与重大事件直接相关故障的影响；

●    FTA 对具有许多界面和相互作用的分析系统特别有用；

●    图形表示有助于理解系统行为及所包含的因素。然而，由于故障树通常较大，故障树的处理可能离不开计算机系统。这样便可以将更复杂的逻辑关系包括在内(EG NAND及NOR)；

●    对故障树的逻辑分析和对分割集合的识别有利于识别高度复杂系统中的简单故障路径。在这种系统中，人们可能会忽视那些导致顶事件的诸多事项的综合体。

局限包括：

●    计算出的顶事件的概率或频率很不确定；基础事件概率的不确定性被包括在首要事件概率的计算中。当不能准确知道基础事件故障概率时，可能导致高度的不确定性；当然，对于一个被充分理解的系统有可能得到高的可信度。

●    有时，起因事件(causal envents)未得到限制，因此很难确定顶事件的所有重要途径是否都包括在内。(例如，将火灾作为重大事件的分析包括了所有的点火源。在这种情况下，可能性分析是行不通的。)；

●    故障树是一个静态模型；时间的互相依赖性没有解决。

●    故障树只能处理二进制状态(有故障/无故障)。

●    虽然定性故障树可以包括人为错误，但是一般来说，各种程度或性质的人为错误引起的故障无法包括在内；

●    故障树无法将多米诺效应或条件故障包括在内。

B.21 事件树分析(ETA)

B.21.1 概述

事件树(Event tree analysis，简称ETA)是一种表示初始事件之后互斥性后果的图解技术，其根据是为减轻其后果而设计的各种系统的是否起作用(见图B.5)。它可以定性地和定量地应用。

图B.5事件树

图B.5显示当分支完全独立时对简单事件树的简单的计算。

ETA具有散开的树形结构，考虑到其他系统、功能或障碍，ETA能够反映出引起初始事件加剧或缓解的事件。

B.21.2 用途

ETA可用于初始事件后建模、计算和排列(从风险观点)不同事故情景。

ETA可以用于产品或过程生命周期的任何阶段。它可以进行定性使用，有利于群体对初因事项之后可能出现的情景及依次发生的事项进行集思广益，同时就各种处理方法、障碍或旨在缓解不良结果的控制手段对结果的影响方式提出各种看法。

定量分析有利于分析控制措施的可接受性。这种分析大都用于拥有多项安全措施的失效模式。

ETA可用于对可能带来损失或收益的初始事件建立模型。但是，在追求最佳收益路径的情况下，更经常地使用决策树建立模型。

B.21.3 输入

输入包括：

●    相关初始事项清单；

●    关于应对，障碍和控制，及其失效概率的信息；

●    了解最初故障加剧的过程。

B.21.4 过程

事件树首先要挑选初始事件。初因事项可能是粉尘爆炸这样的事故或是停电这样的因果事项。那些旨在缓解结果的现有功能或系统应按时序列出。用一条线来代表每个功能或系统的成功或失败。每条线都应带有一定的失效概率，同时通过专家判断或故障树分析的方法来估算这种条件概率。这样，初始事件的不同途径就得以建模。

注意，事件树的可能性是一种有条件的可能性，例如启动洒水功能的可能性并不是正常状况下测试得到的可能性，而是爆炸引起火灾状况下的可能性。

事件树的每条路径代表着该路径内各种事项发生的可能性。鉴于各种事项都是独立的，结果的概率用单个条件概率与初因事项频率的乘积来表示。

B.21.5 输出

ETA的输出结果包括：

●    对潜在问题进行定性描述，并将这些问题视为包括初始事件，同时能产生各类问题的综合事件；

●    对事项频率或概率以及各种故障发生时序和导致故障事项的相对重要性进行定量估算；

●    降低风险的建议措施清单；

●    建议措施效果的定量评价；

B.21.6优点及局限

ETA的优点包括：

●    ETA以清晰的图形显示了经过分析的初因事项之后的潜在情景，以及缓解系统或功能成败产生的影响；

●    它能说明时机、依赖性，以及故障树模型中很繁琐的多米诺效应。

●    它生动地体现事件的顺序，而使用故障树是不可能表现的。

局限包括：

●    为了将ETA作为综合评估的组成部分，一切潜在的初因事项都要进行识别。这可能需要使用其他分析方法(如HAZOP, PHA)，但总是有可能错过一些重要的初因事项。

●    事件树只分析了某个系统的成功及故障状况，很难将延迟成功或恢复事项纳入其中。

●    任何路径都取决于路径上以前分支点处发生的事项。因此，要分析各可能路径上众多从属因素。然而，人们可能会忽视某些从属因素，例如常见组件、应用系统以及操作员等。如果不认真处理这些从属因素，就会导致风险评估过于乐观。

B.22 决策树分析

B.22.1 概述

考虑到不确定性结果，决策树(Decision tree)以序列方式表示决策选择和结果。类似于事件树，决策树开始于初因事项或是最初决策，同时由于可能发生的事项及可能做出的决策，它需要对不同路径和结果进行建模。

B.22.2 用途

决策树用于项目风险管理和其他环境中，以便在不确定的情况下选择最佳的行动步骤。图形显示也有助于沟通决策原因。

B.22.3 输入

带有决策点的项目计划。有关决策可能结果和有可能影响决策的偶然事件的信息。

B.22.4 过程

决策树开始于最初决策，例如继续项目A，而不是项目B。随着两种假定项目的继续，不同的事项会发生，同时需要做出不同的可预见性决定。这用树形格式进行表示，类似于事件树。事项发生的可能性能够与路径最终结果的成本或用途一起进行估算。

有关最佳决策路径的信息是富有逻辑性的，考虑各条路径上的条件概率和结果值可以产生最高的期望值。

B.22.5 输出

输出包括：

●    显示可以采取不同选择的风险逻辑分析；

●    每一个可能路径的预期值计算结果。

B.22.6 优势及局限

优势包括：

●    对于决策问题的细节提供了一种清楚的图解说明；

●    能够计算到达一种情形的最优路径。

限制包括：

●    大的决策树可能过于复杂，不容易与其他人交流；

●    为了能够用树形图表示，可能有过于简化环境的倾向。

B.23 蝶形图分析

B.23.1 概述:

蝶形图分析(Bow tie analysis)是一种简单的图解形式，用来描述并分析某个风险从原因到结果的路径。可以将其视为分析事项起因(由蝶形图的结代表)的故障树以及分析结果的事件树这两种观点的统一体。但是，蝶形图分析的重点是原因与风险之间，以及风险与结果之间的障碍。在建构蝶形图时，首先要从故障树和事件树入手，但是，这种图形大都在头脑风暴式的讨论会上直接绘制出来。

B.23.2 用途

蝶形图分析被用来显示风险的一系列可能的原因和后果。如果实际情况无法保证某项全面故障树分析的复杂性或是如果人们更重视的是确保每个故障路径都有一个障碍或控制，那么就可以使用蝶形图分析。当导致故障的路径清晰而独立时，蝶形图分析就非常有用。

与故障树及事件树相比，蝶形图通常更易于理解，因此，在使用更复杂的技术才能完成分析的情况下，它会成为一种有用的沟通工具。

B.23.3 输入

对于风险的原因和结果以及可能预防或刺激风险的障碍及控制措施的认识。

B.23.4 过程

蝶形图的实施步骤如下：

a) 识别需要分析的具体风险，并将其作为蝶形图的中心结；

b) 列出造成结果的原因；

c) 识别由风险源到事故的传导机制；

d)在蝶形图左手侧的每个原因与结果之间划线，识别那些可能造成风险升级的因素并将这些因素纳入图表中；

e)如果有些因素会导致风险升级，那么也要把风险升级的障碍表示出来。在条形框代表那些能刺激结果产生的“控制措施”的情况下，这种方法可用于积极的结果。

f)在蝶形图的右手侧，识别风险不同的潜在结果，并以风险为中心，向各潜在结果处绘制出放射状线条。

g)将结果的障碍绘制成横穿放射状线条的条形框。在条形框代表那些能支持结果产生的“控制措施”的情况下，这种方法可用于积极的结果。

h)支持控制的管理职能(如培训和检查)应表示在蝶形图中，并与各自对应的控制措施相联系。

在路径独立、结果的可能性已知的情况下，可以对蝶形图进行一定程度的量化，同时可以估算出控制效力的具体数字。然而，在很多情况下，路径和障碍并不独立，控制措施可能是程序性的，因此结果并不清晰。更合适的做法是运用FTA及ETA进行定量分析。

B.23.5 输出

输出结果是一个简单的图表，说明了主要的故障路径以及预防或减缓不良结果或者刺激及促进期望结果的现有障碍。

图B.6 不良结果的蝶形图

B.23.6 优点及局限

蝶形图分析的优点：

l 用图形清晰表示问题，便于理解；

l 关注的是为了到达预防及减缓目的而确定的障碍及其效力；

l 可用于期望结果；

l 使用时不需要较高的专业知识水平。

局限包括：

l 无法描述当多种原因同时发生并产生结果时的情形(例如，故障树中有“闸”这个概念来描述蝶形图的右手侧)；

l 可能会过于简化复杂情况，尤其是在试图量化的时候。

B.24 层次分析法

B.24.1 概述

在进行社会、经济以及科学领域问题的系统分析中，常常面临由相互关联、相互制约的众多因素构成的复杂而往往缺少定量数据的系统。层次分析法(Analytic Hierarchy Process，简称AHP)为这类问题的决策和排序提供了一种新的、简洁而实用的建模方法，它特别适用于那些难于完全定量分析的问题。

B.24.2 用途

层次分析法以其系统性、灵活性、实用性等特点特别适合于多目标、多层次、多因素的复杂系统的决策，在目标因素结构复杂且缺乏必要数据的情况下使用更为方便，同时它也被广泛应用于社会、经济、科技、规划等很多领域的评价、决策、预测、规划等。

B.24.3 输入

对任意两因素的相对重要性进行比较判断，给予量化。为保证输入的比较值真实可信,通常可以用德尔菲法、头脑风暴法等进行操作。

B.24.4 过程

运用层次分析法建模，大体上可按下面四个步骤进行：

l 建立递阶层次结构模型；

l 构造出各层次中的所有判断矩阵；

l 层次单排序及一致性检验；

l 层次总排序及一致性检验。

其中后二个步骤在整个过程中需要逐层地进行。

B.24.5 输出

各种方案相对于总目标的重要排序。

B.24.6 优点及局限

AHP法较好地体现了系统工程学定性与定量分析相结合的思想。在决策过程中，决策者直接参与决策，决策者的定性思维过程被数学化、模型化，而且还有助于保持思维过程的一致性。

层次分析法的局限性，主要表现在：

l 很大程度上依赖于人们的经验，主观因素的影响很大，它至多只能排除思维过程中的严重非一致性，却无法排除决策者个人可能存在的严重片面性；

l 比较、判断过程较为粗糙，不能用于精度要求较高的决策问题。

B.25 在险值法(VaR)

B.25.1 概述

在过去的几年里，一些银行和监管当局普遍地运用在险值法(Value at Risk，简称VaR)衡量风险。在险值法又被称为“风险价值”或“在险价值”，是指在一定的置信水平下，某一金融资产(或证券组合)在未来特定的一段时间内的最大可能损失。与传统风险度量手段不同，VaR完全是基于统计分析基础上的风险度量技术，它的产生是JP摩根公司用来计算市场风险的产物，随后逐步被引入信用风险管理领域。目前，基于VaR度量金融风险已成为国外大多数金融机构广泛采用的衡量金融风险大小的方法。

在实际工作中，对于VaR的计算和分析可以使用多种计量模型，如参数法、历史模拟法和蒙特卡罗模拟法。参数法是VaR计算中最为常用的方法。以下以参数法为例介绍该方法的大致特点。

B.25.2 用途

利用VaR可以比较全面地描述和评估风险。许多风险度量方法，只能用来度量一类资产的风险或一类特定的风险，而在险值不依赖个别风险的特性或受资产种类的限制，具有整体性。因其适用于各种风险，所以在险值可提供一个基准单位，用来比较不同的风险。比如，企业可以用在险值统一度量其面临的市场风险，信用风险等。另外，在险值可以对企业管理层的资源配置和投资决策起到参考作用，如衡量公司各产品业绩、调整交易员的收益行为、实施风险限额和头寸控制等。

在险值也可以应用于投资组合之中，投资者可以通过成分VaR来判断投资组合中哪笔交易对投资组合的风险暴露起到了对冲效果，从而优先把新投资投向该交易。在险值的概念还可以用来衡量诸如企业现金流和盈利的风险。这就是所谓的现金流在险值和收益在险值。

B.25.3 输入

使用参数法计算VaR仅需要将市价、当前头寸面临的风险和风险数据三种数据相结合，因此比较易于操作。

B.25.4 过程

参数法利用资产组合的价值函数与市场因子间的近似关系、市场因子的统计分布(方差-协方差矩阵)简化VAR计算。

参数法的主要计算步骤包括：

●    列出各种风险因素；

●    对投资组合中所有金融工具的线性风险进行映射；

●    加总不同金融工具的风险；

●    估计风险因子的协方差矩阵；

●    计算总体投资组合风险。

由于在使用参数法时，一般假定资产收益率服从正态分布，这对于股票、债券、商品等基础资产以及外汇远期等线性衍生产品而言是恰当的，但对期权等非线性衍生品而言，由于它们的收益分布是非正态的，即使假设标的资产收益率正态分布，经过非线性收益型态转换后，仍有巨大的偏移。因此，该方法仅适用于线性资产和线性衍生品。

VaR基本模型为：

　　VaR=E(ω)-ω* (1)

式中E(ω)为资产组合的预期价值；ω为资产组合的期末价值；ω*为置信水平α下投资组合的最低期末价值。

又设ω=ω0(1+R)(2)

式中ω0为持有期初资产组合价值，R为设定持有期内(通常一年)资产组合的收益率。

ω*=ω0(1+R*) (3)

R*为资产组合在置信水平α下的最低收益率。

根据数学期望值的基本性质，将(2)、(3)式代入(1)式，有

VaR=ω0[E(R)-R*] (4)

上式公式中(4)即为该资产组合的VaR值，根据公式(4)，如果能求出置信水平α下的R*，即可求出该资产组合的VaR值。

在估计VaR时，置信区间和时间段的选取依赖于我们的管理需要和风险本身的特性。例如，商业银行通常采用95%或99%的置信区间，国际银行业监管机构的巴塞尔协议则规定商业银行应使用99%的置信区间和10天的时间段。

B.25.5 输出

VaR法可以给出特定持有期内、一定置信水平下资产组合面临的最大损失，有效描述资产组合的整体市场风险状况。

B.25.6 优点及局限

VaR法的优点：

●    过程简单，结果简洁，非专业背景的投资者和管理者也可以通过VaR值对风险进行评判；

●    可以事前计算风险，不像以往风险管理的方法都是在事后衡量风险大小；

●    不仅能计算单个金融工具的风险。还能计算由多个金融工具组成的投资组合风险。

VAR方法的局限包括：

●    过分依赖统计数据和模型，当统计数据不足时难以支持可信赖的在险值模型，比如一次性投资决策的数据。

●    VaR方法衡量的主要是市场风险，如单纯依靠VaR方法，可能会忽视其它风险；

●    VaR值表明的是一定置信度内的最大损失，但并不能排除高于VaR值的损失发生的可能性；

●    在险值描述的是正常的市场条件下的情景。在极端情景下，在险值可能就会失去作用。因此，在使用在险值时，要结合其它的方法去进一步考虑这些极端的情形，例如使用情景分析和压力测试的分析方法。

B.26 均值—方差模型

B.26.1 概述

均值—方差模型(Mean-Variance Model)是组合投资理论研究和实际应用的基础。证券及其它风险资产的投资者们面对着两个核心问题：即预期收益与风险，他们期望尽可能高的收益率和尽可能低的不确定性风险。如何测定组合投资的风险与收益并平衡这两项指标进行资产分配，是市场投资者迫切需要解决的问题。均值—方差模型即可用于这一场合。从所有可能的证券组合中选择一个最优的组合，使收益和风险这两个相互制约的目标达到最佳平衡。对于给定的收益水平，利用该模型可以求出方差意义下最小风险的组合。

均值—方差模型揭示了“资产的期望收益由其自身的风险的大小来决定”这一重要结论，即资产(单个资产和组合资产)由其风险大小来定价，单个资产价格由其方差或标准差来决定，组合资产价格由其协方差来决定。

B.26.2 用途

该方法常用于实际的证券投资和资产组合决策。

B.26.3 输入

预期收益率及各项目的风险概率信息。

B.26.4 过程

均值－方差模型如下所示。

目标函数：Min б²(Rp)=∑ ∑X_iX_jCov(R_i，R_j)

　　  其中Rp= ∑ X_iR_i

限制条件： 1=∑Xi (允许卖空)

　    　或 1=∑X_i X_j>≥0(不允许卖空)

其中Rp为组合收益，R_i为第i只股票的收益，X_i、X_j为证券 i、j的投资比例，б²(Rp)为组合投资方差(组合总风险)，Cov (ri，rj ) 为两个证券之间的协方差。

上式表明，在限制条件下如何使组合风险б²⁽rp )最小，可通过朗格朗日目标函数求得。其经济学意义是，投资者可预先确定一个期望收益，通过上式可确定投资者在每个投资项目(如股票)上的投资比例(项目资金分配)，使其总投资风险最小。不同的期望收益就有不同的最小方差组合，这就构成了最小方差集合。

B.26.5 输出

在给定收益率下的最小风险组合或预定风险下的最大收益组合。

B.26.6 优点及局限

均值—方差模型通过数理方法描绘出了资产组合选择的最基本、最完整的框架，具有开创性，是目前投资理论和投资实践的主流方法。

但该模型的局限在于没有考虑到收益的非正态分布,而多数实证研究表明证券收益率不一定服从正态分布；另一方面该方法计算复杂，特别是运用于多个项目的投资组合问题时，这种计算量更为庞大。

B.27 资本资产定价模型

B.27.1 概述

资本资产定价模型(Capital Asset Pricing Model，简称CAPM)是在投资组合理论和资本市场理论基础上形成发展起来的，主要研究证券市场中资产的预期收益率与风险资产之间的关系，以及均衡价格是如何形成的。该模型运用一般均衡模型刻划所有投资者的集体行为，揭示在均衡情况下证券风险与收益之间关系的经济本质。目前，资本资产定价模型被公认为是金融市场现代价格理论的主干，使丰富的金融统计数据可以得到系统而有效的利用。此模型亦被广泛用于实证研究并因而成为不同领域中决策的重要基础。该理论的前提假设包括以下几点：市场是均衡的并不存在摩擦；市场参与者都是理性的；不存在交易费用；税收不影响资产的选择和交易；投资总风险可以用方差或标准差表示，系统风险可用β系数表示；非系统性风险可通过多元化投资分散掉，不发挥作用，只有系统性风险发挥作用。

B.27.2 用途

CAPM理论广泛应用于投资决策及公司理财领域，一般用于评估已经上市的不同证券价格的合理性；帮助确定准备上市证券的价格；能够估计各种宏观和宏观经济变化对证券价格的影响。

B.27.3 输入

输入数据主要包括预期回报率和无风险利率等相关信息，以及当前市场背景的宽泛描述。

B.27.4 过程

资本资产定价理论认为，一项投资所要求的必要报酬率取决于以下三个因素：(1)无风险报酬率，即将国债投资(或银行存款)视为无风险投资；(2)市场平均报酬率，即整个市场的平均报酬率，如果一项投资所承担的风险与市场平均风险程度相同，该项报酬率与整个市场平均报酬率相同；(3)投资组合的系统风险系数即β系数，是某一投资组合的风险程度与市场证券组合的风险程度之比。

CAPM的公式为：

E(R_p)=R_f+(R_m-R_f)β (1.1)

E(Rp)表示投资组合的期望收益率， R_f是无风险资产的报酬率，R_m是市场均衡组合的报酬率，β是证券J的β系数。β越大，系统性风险越高，要求的报酬率越高；反之，β越小，要求的报酬率越低。证券组合的β是个别证券的β的加权平均。

CAPM是通过比较一项资本投资的回报率与投资于整个股票市场的回报率，来衡量该投资的风险贴水。如果该资产是股票，其β通常可以用统计数据估算出来。但当资产是一家新工厂时，确立β比较困难。许多公司因此利用公司的资本成本作为正常的贴现率，公司资本成本是公司股票的预期回报率(取决于该股票的β)和它偿付债务的利息率的加权平均数。只要有关的资本投资对整个公司是有代表性的，这一方法可以使用。

B.27.5 输出

CAPM模型说明了单个证券投资组合的期望受益率与相对风险程度间的关系。

B.27.6 优点及局限

CAPM模型是金融是市场价格理论的经典模型，作为第一个不确定性条件下的资产定价的均衡模型，具有重大的历史意义。由于股票等资本资产未来收益的不确定性，CAPM的实质是讨论资本风险与收益的关系。该模型合理简明的表达了这一关系，即：高风险伴随着高收益。

CAPM模型由于其严格的理论假设和对现实环境的高度抽象，影响和限制了其应用范围和效果，

B.28 FN曲线

B.28.1 概述

FN曲线(FN Curves)是能给特定人群带来特定危害的各类事项可能性的图形表示。在大多数情况下，它们指的是出现一定数量的伤亡的频率。

FN曲线表示的是人群中有N个或更多的人受到影响的累积频率(F)。以高频率F发生的N的高值具有重要意义，因为它们在社会及政治上可能无法为人接受。

B.28.2 用途

FN曲线是表示风险分析结果的一种手段。很多事件具备发生低后果性结果的高概率和发生高后果性结果的低概率。FN曲线用区域块来表示风险，而不是用表示后果和概率组成的单点表示风险。

FN曲线可用来比较风险，例如将预计风险与FN曲线规定的标准相比，或是将预计风险与历史事项中的数据相比，或与决策标准(也在F/N曲线中表示)。

FN曲线可用于系统或过程设计，或是用于现有系统的管理。

B.28.3 输入

所需输入数据是

●    一定时期内成套的可能性后果对；

●    定量风险分析的数据结果，估算出一定数量伤亡的可能性；

●    历史记录及定量风险分析中得出的数据。

B.28.4 过程

现有数据绘制在图形上，以伤亡人数(对于一定程度的伤害，例如死亡)作为横坐标，以N或更多伤亡人数的可能性作为纵坐标。由于数值范围大，两个轴通常都离不开对数比例尺。

FN曲线可以使用过去损失的“真实”数字进行统计上建构，或者通过模拟模式估算值进行计算。使用的数据及做出的假设意味着这两类FN曲线传递出不同的信息，应单独用于不同目的。一般来说，理论FN曲线对于系统设计非常有用，而统计FN曲线对现有的特定系统的管理非常有用。

两种归纳法可能会很耗时，因此，将两种方法综合运用较为常见。接着，实证数据将形成已准确掌握的伤亡人数(在规定时间范围内已知事故/事项中发生的伤亡人数)，以及通过外插法或内插法提供其他观点的定量风险分析。

分析低频率、高后果性事故可能需要较长时间，以便为合适的分析搜集足够的数据。这样就可能出现现有的数据验证因初始事项随时间而改变的问题。

B.28.5 输出

代表横穿各类后果值的线，以及适用于研究中承受特定伤害人群的标准，并将两者加以比较。

B.28.6优点及局限

FN曲线是描述可为管理人员和系统设计师使用的风险信息的有效手段，有利于做出风险及安全水平方面的决策。作为一种有效途径，它们能以便于理解的形式来表示频率及后果信息。

FN曲线适用于具有充分数据的类似情况下的风险比较。但不适用于那些具有不同特征的数据在数量和质量都变化环境下的风险比较。

FN曲线的局限性是，它们无法说明影响范围或事项结果，而只能说明受影响人数。它们无法识别伤害水平发生的不同方式。它们绘制出易于出现的特定后果类型，也是那种通常危害人们的类型。FN曲线并不是风险评估方法，而是一种表示风险评估结果的方法。

作为一种表示风险评估结果的明确方法，它们需要那些熟练的分析师进行准备，经常很难为专家以外人士所理解和评估。

B.29 马尔可夫分析

B.29.1 概述

如果系统未来的状况仅取决于其现在的状况，那么就可以使用马尔可夫分析(Markov analysis)。这种分析通常用来分析那些存在多重状况的可维修系统，而可靠性框图分析不适合对该系统进行充分分析。通过运用更高层次的马尔可夫链，这种方法可拓展到更复杂的系统中。同时，这种方法只会受模型、数学计算和假设的限制。

马尔可夫分析是一项定量技术，可以是不连续的(利用状态间变化的概率)或者连续的(利用各状态的变化率)。

虽然马尔可夫分析可以手动进行，但是该技术的性质使其更依存于市场上普遍存在的计算机程序。

B.29.2 用途

马尔可夫分析技术可用于各种系统结构(无论是否需要维修)，包括：

l 串联系统中相互独立的部件；

l 并联系统中相互独立的部件；

l 负荷分载系统；

l 备用系统，包括发生转换故障的情况；

l 降级系统。

马尔可夫分析技术也可以用于计算设备可用度，包括考虑需要维修的备件。

B.29.3 输入

马尔可夫分析的关键输入数据如下所示：

l 系统、子系统或组件可能处于的各种状况的清单(例如，完全运行、部分运行(降级状况)以及故障状况等)；

l 认清建模所必需的可能的转移。例如，如果是汽车轮胎故障，那就要考虑备胎的状况，还要考虑检查频率；

l 一种状况到另一种状况的变化率，通常由不连续事项之间的变化概率来表示，或者连续事项的故障率(λ)及/或维修率(μ)来表示。

B.29.4 过程

马尔可夫分析技术主要围绕“状态”这个概念(例如，现有状态及故障状态)以及基于常概率的状态间的转移。随机转移概率矩阵可用来描述状态间的转移，以便计算各种输出结果。

为了说明马尔可夫分析技术，不妨分析一种仅存在于三种状态的复杂系统。功能、降级和故障将分别界定为状态S1、状态S2以及状态S3。每天，系统都会存在于这三种状态中的某一种。下表说明了系统明天处于状态Si的概率(i可以是1、2或3)。

表B.2 马尔可夫矩阵

该概率阵称作马尔可夫矩阵，或是转移矩阵。注意，每栏数值之和是1，因为它们是每种情况一切可能结果的总和。这个系统可以用马尔可夫图来表示。其中，圆圈代表状态，箭头代表相应概率的转移。

图B.7 系统马尔可夫图

从某个状态返回自身的箭头通常并不绘出，但是为了完整性也显示在这些例子中。

Pi代表系统处于状态i(i可以是1、2或3)的概率，那么需要解决的联立方程包括：

这三个方程并非独立的，无法解出三个未知数。因此，下列方程必须使用，而上述方程中有一个方程可以弃用。

状态1、2及3的答案分别是0.85、0.13和0.02。该系统只在85%的时间里能充分发挥功效，13%的时间内处于降级状态，而2%的时间存在故障。

应考虑平行运行的两个组件，其中，系统要发挥功能，其中一组件必须正常运行。这些组件可能是正常或故障的，系统的可用性依赖于组件的整体状态。

状态可以视为：

状态1：两个项目能发挥正常功能；

状态2：一个项目已出现故障并正在进行维修，而另一个项目运行正常；

状态3：两个项目都已出现故障且都在进行维修。

如果假设各项的故障率为λ，维修率为μ，那么状态转移图如下所示：

图B. 8状态转移图

注意，从状态1到状态2的转移为2λ，因为这两项中任一项的故障都会使系统进入状态2。

设定Pi(t)为t时系统处于初始状态的概率；

设定Pi()为时系统处于最终状态的概率。

转移概率矩阵就变成：

表B.3 最终马尔可夫矩阵

值得关注的是，如果无法从状态1转移到状态3或是由状态3转移到状态1，那么就会出现零值。而且，在规定比率时，各栏总和为零。

联立方程变为：

为了简单起见，我们假设所需的可用度为稳定状态可用度。

当趋向无限时，dPi/dt会趋于零，解方程式会变得更容易。

上面方程(B.4)所示的附加方程式也必须加以利用。

现在，方程A(t)=P1(t)+P2(t)可以表示为：

A=P1+P2

因此，

B.29.5 输出

马尔可夫分析的输出结果是处于各种状态下的各种概率，因此，可以估算出故障概率及/或可用度(系统的关键组件之一)。

B.29.6 优点及局限

马尔可夫分析的优点包括：

l 能够计算出具有维修能力和多重降级状态的系统的概率。

马尔可夫分析的局限包括：

l 无论是故障还是维修，都假设状态变化的概率是固定的；

l 所有事项在统计上具有独立性，因此未来的状态独立于一切过去的状态，除非两个状态紧密相接；

l 需要了解状态变化的各种概率；

l 有关矩阵运算的知识；

l 结果很难与非技术人员进行沟通。

B.29.7 比较

类似于Petri网分析，马尔可夫分析也能监督并观察系统状态。两者存在差异，因为前者能同时存在于多重状态下。

B.30 蒙特卡罗模拟分析(Monte Carlo simulation)

B.30.1 概述

很多系统过于复杂，无法运用分析技术对不确定性因素的影响进行模拟，但可以通过考虑投入随机变量和运行N次计算(即所谓模拟)的样本，以便获得希望结果的N个可能成果。

描述输入数据的不确定性并开展多项模拟(其中，对输入数据进行抽样以代表可能出现的结果)加以评估。这种方法可以解决那些借助于分析方法很难理解和解决的复杂状况。可以使用电子表格和其他常规工具进行系统开发，也可以使用更复杂的工具来满足一些更复杂的要求，很多要求所需的投资较少。当该技术首次开发时，蒙特卡罗模拟所需的迭代过程缓慢，耗费时间。但是，随着计算机技术的进步和理论的发展，例如latin-hypercube抽样法使很多应用程序的处理时间几乎变得微不足道。

B.30.2 用途

蒙特卡罗模拟是评估不确定性因素在各种情况下对系统产生影响的方法。这种方法通常用来评估各种可能结果的分布及值的频率，例如成本、周期、吞吐量、需求及类似的定量指标。蒙特卡罗模拟法可以用于两种不同用途：

l  传统解析模型的不确定性的分布；

l  解析技术不能解决问题时进行概率计算。

B.30.3 输入

输入到蒙特卡罗模拟法的是一个系统模型和关于输入类型的信息、不确定性源和期望的输出。

具有不确定性的输入数据被表示为具有一定分布的随机变量，根据不确定性的水平其分布具有或多或少的离散性。为此，均匀分布、三角分布、正态分布和对数正态分布经常被使用。

B.30.4 过程

过程如下：

l  确定尽可能准确代表所研究系统特性的模型或算法；

l  用随机数将模型运行多次，产生模型(系统模拟)输出。在模拟不确定性效应的应用场合，模型以方程式的形式提供输入参数与输出之间的关系。所选择的输入值取自这些参数中代表不确定性特点的适当的概率分布。

l  在每一种情况下，计算机以不同的输入运行模型多次(经常到一万次)并产生多种输出。这些输出可以用传统的统计方法进行处理，以提供均值、方差和置信区间等信息。

下面给出一个模拟例子。

分析平行运行的两个项目，而系统的正常运行只需要一个项目。第一个项目的可靠性为0.9，而另一个项目的可靠性为0.8。

可以构建如下所示的电子表格。

表B.4 模拟数据

随机数生成器生成了0到1之间的数字，用来与各项的概率进行比较，以便确定系统是否正常运行。仅凭10次运行，0.9这个结果不会成为准确的结果。常见的方法是在计算器内建模，当模拟程度达到了所需精度时，再比较总结果。在这个例子中，经过20000次迭代，我们就得出了0.9799这个结果。

上述模型可以通过多种方式进行拓展。例如：

l  通过拓展模型本身(例如，只有在首项出现故障的情况下，才考虑第二项)；

l  当概率无法准确确定时，通过改变某个变量的固定概率拓展(三角分布是个很好的例子)；

l  使用故障率外加一个随机函数生成器去推导出故障时间(指数分布、Weibull分布或其它合适的分布)并建立维修时间；

一般来说，蒙特卡罗模拟适用于任何系统，包括以下方面：

l  一列输入数据相互影响来确定输出结果；

l  输入数据与输出结果之间的关系可以表述为合乎逻辑的代数关系；

l  输入数据存在不确定性，因此输出结果也存在不确定性。

应用范围包括对财务预测、投资效益、项目成本及进度预测、业务过程中断、人员需求及其他方面不确定性的评估。

输入数据有不确定性并导致输出数据不确定性时，分析技术无法提供相关的结果。

B.30.5 输出

输出结果可能是单个数值，例如上例确定的单个数值。它也可能是表述为概率或频率分布的结果，抑或是在对输出结果产生最大影响的模型内的主要功能的识别。

一般来说，蒙特卡罗模拟可用来评估可能出现的结果的整体分布，或是以下分布的关键测评：

l  期望结果出现的概率；

l  在某个置信概率下的结果值。

对输入数据与输出结果之间关系的分析可以说明目前正发挥作用的因素的相对重要性，同时能识别那些旨在影响结果不确定性的工作的有用目标。

B.30.6 优点及局限

蒙特卡罗模拟的优点包括：

l  从原则上讲，该方法适用于任何类型分布的输入变量，包括产生于对相关系统观察的实证分布；

l  模型便于开发，并可根据需要进行拓展；

l  实际产生的任何影响或关系可以进行表示，包括微妙的影响，例如条件依赖；

l  敏感性分析可以用于识别较强及较弱的影响；

l  模型便于理解，因为输入数据与输出结果之间的关系是透明的；

l  诸如Petri网(将来的IEC 62551 )等有效的行为模式是可用的，这已证明对蒙特卡罗模拟目的是非常有效的;；

l  提供了一个结果准确性的衡量；

l  软件便于获取且价格便宜。

局限包括：

l  解决方案的准确性取决于可执行的模拟次数(随着计算机运行速度的加快，这一限制越来越小)；

l  依赖于能够代表参数不确定性的有效分布；

l  大型复杂的模型可能对建模者具有挑战性，很难使利益相关者参与到该过程中；

l  该技术可能无法取得满意的结果和较低的可能性事项，因此无法让组织的风险偏好体现在分析中。

B.30.7 概述

B.31 贝叶斯统计及贝叶斯网络

B.31.1 概述

贝叶斯统计学是由1763年逝世的托马斯·贝叶斯爵士创立的理论。其前提是任何已知信息(先验)可以与随后的测量数据(后验)相结合，在此基础上去推断事件的概率。贝叶斯理论的基本表达式是：

其中，

事件X的概率表示为P(X)；

在事件Y发生的情况下，X的概率表示为P(X/Y)

代表第i个事项。

上述表达式的最简化形式为：P(A/B)=﹛P(A)P(B/A)﹜/P(B)

与传统统计理论不同的是，贝叶斯统计并未假定所有的分布参数为固定的，而是设定这些参数是随机变量。如果将贝叶斯概率视为某个人对某个事项的信任程度，那么贝叶斯概率就更易于理解了。相比之下，古典概率取决于客观证据。由于贝叶斯方法是基于对概率的主观解释，因此它为决策思维和建立贝叶斯网络(信念网、信念网络及贝叶斯网络)提供了现成的依据。

贝叶斯网使用图形模式来表示一系列变量及其概率关系。网络包括那些代表随机变量的结以及将母结与子结相连的箭头，这里母节点是一个直接影响另一个(子节点)的变量。

B.31.2 用途

近年来，贝叶斯理论及贝叶斯网络的运用非常普及，部分是因为它们具有直观吸引力，同时也归功于目前越来越多现成的软件计算工具。贝叶斯网已用于各种领域：医学诊断、图像仿真、基因学、语音识别、经济学、外层空间探索，以及今天使用的强大的网络搜索引擎。对于任何需要利用结构关系和数据来了解未知变量的领域，它们都被证明行之有效。贝叶斯网可以用来认识因果关系，以便了解问题域并预测干预措施的结果。

B.31.3 输入

其输入数据接近蒙特卡罗模拟的输入数据。每个贝叶斯网络应采取的步骤如下所示：

l 界定系统变量；

l 界定变量间的因果联系；

l 确定条件及先验变量；

l 增加证据；

l 进行信念更新；

l 获取后验信念。

B.31.4 过程

贝叶斯理论可以广泛应用于各个领域。以下介绍的体检事例就采用了贝叶斯表格的方法，来分析病人的患病情况。在进行体检之前认为人群中99%的人没有这种病，而1%的人有这种病，即先验信息。在体检后表明，如果某个人有病，那么能够检查出来的概率是98%。也有这种可能，即如果你没有这种病，但误检其有病的概率为10%。贝叶斯表格包括以下信息：

表B.5贝叶斯数据表

使用贝叶斯法则，通过将先验与可能性相结合来，最终得出后验。输出结果表明，先验结果已由1%增加到9%。更重要的是，很有可能通过正测试，有病就变得不可能了。对公式(0.01×0.98)/(0.01×0.98)+(0.99×0.1)的分析表明，“无病-正结果”值在后验价值中发挥着重要作用。

分析下列贝叶斯网络：

图B.9贝叶斯网络样图

借助于下列表格确定的先验概率并使用表示法——Y表示正值，N表示负值．正值可能是如上所示的“有病”，或是会“较高”，而N可能是“较低”。

表B.6 结A与B的先验概率

表B.7 在明确结A与B的情况下，结C的条件概率

表B.8 在明确结A与B的情况下，结D的条件概率

为了确定P(A/D=N,C=Y)的后验概率，首先要计算出P(A,B/D=D, C=Y).

使用贝叶斯规则，可以确定P(D/A,C)P(C/A,B)P(A)P(B)(如下所示)。同时，最后一栏表示正态概率，其和为上列得出的1(结果四舍五入)。

表B.9在明确结C与D的情况下，结A与B的后验概率

要得出P(A/D=N,C=Y), B的所有值必须求和。

表B.10 在明确结D与C的情况下，结A的后验概率

这表明，P(A=N)的先验已由0.1增加到后验的0.12，这个变化较小。在另一方面，P(B=N/D=N,C=Y)已由0.4增加到0.56，这个变化更明显。

B.31.5 输出

贝叶斯方法与传统统计方法有着相同的应用范围，并会产生大量的输出结果，例如得出点估算结果的数据分析以及置信区间。贝叶斯方法最近颇为流行，而这与可以产生后验分布的贝叶斯网络密不可分。图形结果提供了一种便于理解的模式，可以轻松修正数据来分析参数的相关性及敏感性。

B.31.6 优点及局限

优点包括：

l 所需的就是有关先验的知识；

l 推导式证明易于理解；

l 贝叶斯规则是必要因素；

l 它提供了一种利用客观信念解决问题的机制。

局限包括：

l 对于复杂系统，确定贝叶斯网中所有节点之间的相互作用是相当困难的；

l 贝叶斯方法需要众多的条件概率知识，这通常需要专家判断提供。软件工具只能基于这些假定来提供答案。

参考文献

IEC 61511, Functional safety – Safety instrumented systems for the process industry sector

IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61882, Hazard and operability studies (HAZOP studies) – Application guide

ISO 22000, Food safety management systems – Requirements for any organization in the food chain

ISO/IEC Guide 51, Safety aspects – Guidelines for their inclusion in standards

IEC 60300-3-11, Dependability management – Part 3-11: Application guide – Reliability centred maintenance

IEC 61649, Weibull analysis

IEC 61078, Analysis techniques for dependability – Reliability block diagram and Boolean methods

IEC 61165, Application of Markov techniques

ISO/IEC 15909 (all parts), Software and systems engineering – High-level Petri nets

IEC 62551, Analysis techniques for dependability – Petri net techniques3

IEC 61882, Hazard and operability studies (HAZOP studies) – Application guide

IEC 61882, Hazard and operability studies (HAZOP studies) – Application guide

ISO 22000, Food safety management systems – Requirements for any organization in thefood chain

IEC 60812, Analysis techniques for system reliability – Procedures for failure mode and effect analysis (FMEA)

IEC 61025, Fault tree analysis (FTA)

IEC 60300-3-9, Dependability management — Part 3: Application guide — Section 9: Risk analysis of technological systems

IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 61511, Functional safety – Safety instrumented systems for the process industry sector

IEC 60300-3-11, Dependability management – Part 3-11: Application guide – Reliability centred maintenance

IEC 61078, Analysis techniques for dependability – Reliability block diagram and Boolean methods

IEC 61165, Application of Markov techniques

ISO/IEC 15909 (all parts), Software and systems engineering – High-level Petri nets

IEC 61649, Weibull analysis

IEC 62551, Analysis techniques for dependability – Petri net techniques

ISO/IEC Guide 98-3:2008, Uncertainty measurement – Part 3: Guide to the of uncertainty in measurement (GUM: 1995)