在項目管理實踐中，風險是時時存在的。因此，如何評價、度量風險的大小，確定可接受風險和不可接受風險，對不可接受風險作進一步分析，制定補償措施，將風險減至最小或可以接受的水平，是一個急需解決的課題。本文從風險評價的意義出發，探討了風險評價的基本方法。

　　一風險評價的意義

　　在項目管理實踐中，風險主要指危險事件的風險，所以也稱危險的風險。軟件系統在設計和運行過程中存在不安全因素，會造成對設備，環境和人的傷害及任務損失，風險則是對這些不安全因素所造成的傷害和損失的一種量度。

　　風險評價近二十年來發展成為安全性分析的基本部分。雖然在設計方面有嚴格的標準、規則和實施準則要求，但總有一些因素被自覺或不自覺地引入、進入系統，造成潛在的危險存在，這些因素主要存在于三個方面：

　　（1）設備水平、實施規則通常是針對有代表性的、典型的問題來制定的，一些外來的、偶然的事件往往沒有考慮。

　　（2）在設計中引入了不成熟水平及其潛在的危險。

　　（3）人的因素和計算機因素可能會在系統設計、制造、結構工藝、操作運行、維護等方面導致危險。

　　因此，風險是時時存在的。雖然如此，但風險的大小是可以評價度量的，確定可接受風險和不可接受風險，對不可接受風險作進一步分析，制定補償措施，將風險減至最小或可以接受的水平。

　　在實踐中，人們通常把危險風險定義為：用危險的可能性（即危險的發生概率）和危險后果的嚴重性表示的、未來某一確定條件下發生事故的可能程度。即，危險事件的風險R是該事件發生的概率P和損失程度C的函數：即R=f（P，C）。所以，我們進行危險分析的目的是為了風險評價。如果不進行風險評價，那么安全性評價就沒有什么意義，至少可以說是它是不完全的。

　　安全性評價又稱危險評價或風險分析，它以保障安全為目的，按照科學的程序和方法，對系統中固有的或潛在的危險及嚴重性進行預先的安全分析與評估，并在條件許可的前提下，以既定的指數、等級或概率值做出定量的表示，為制訂基本的防護措施和安全管理提供科學的依據。安全評價主要從產生損失和傷害的可能性、影響范圍及嚴重程度著手，具有預測的性質和特點，其目的是通過系統的安全性分析（主要是危險分析），挖掘系統中的事故隱患，尋求有效的安全對策和措施，以消除或減低危險，并與安全指標相對照，研究安全措施是否有效，并在預測事故發生可能性的基礎上，掌握事故發生的一般規律，做出定性、定量的評價，以便提出有效的安全控制措施，減少并控制事故的發生。

　　通常情況下，對軟件項目進行安全性評價至少應包括以下一些內容：

　　考察軟件項目的應用背景，確定其運行條件和運行環境；

　　根據軟件項目的設計目標和原理，確定軟件項目的開發流程、系統結構和操作過程；

　　依據系統的功能、工作特點和技術要求，確定對于系統而言所不希望發生的事件或事件狀態，以及這些事件可能會給系統造成的危害后果，并將這些事件列為系統的不期望事件，以便作為開展系統的危險鑒別的依據與標準；

　　鑒別潛在于系統中的各種危險源，包括因材料、設備、工藝、操作、維護等各個方面中固有的、潛在的或人為造成的各種危險狀態和危險事件；

　　對確定的危險進行危害性分析，考察系統的故障處理、危險控制措施的有效性；

　　立足于系統的整體性，綜合評價系統的現有安全性水平，給出期望的安全性水平，并據此提出相應的安全性建議��措施。

　　以上內容，是針對廣義上的安全性評價而言，包括了危險分析和危險評價兩方面的主要工作。本文主要研究所謂的狹義安全性評價，即危險評價過程，主要工作為進行上述內容中的第六項，目的是評價系統的安全性現狀，評價經過危險分析后所鑒別的各種危險是否在控制之下或者應當采取怎樣的安全性措施，將其納入系統安全性的整體目標之中。

　　二風險評價的方法

　　對系統進行風險分析，首先鑒別出系統中的危險之后，然后進行風險評價。根據風險評價方法的不同，可分為定性風險評價和定量風險評價。

　　1．定性評價方法

　　定性風險評價可以根據系統層次按次序揭示系統、分系統和設備中的危險，作到不漏任何一項，并按風險的可能性和嚴重性分類，以便分別按輕重緩急采取安全措施。在實踐中，有兩種定性風險估算方法，即風險評價指數（RiskAssessmentCode：RAC）法、總風險暴露指數（TotalRiskExposureCode：TREC）法。

　　（1）RAC法

　　RAC法是定性風險估算常用的方法，它是將決定危險事件的風險的兩種因素——危險嚴重性和危險可能性，按其特點劃分為相對的等級，形成一種風險評價矩陣，并賦以一定的加權值來定性地衡量風險大小。

　　危險嚴重性等級——由于系統、分系統或設備的故障、環境條件、設計缺陷、操作規程不當、人為差錯均可能引起有害后果，將這些后果的嚴重程度相對定性地分為若干級，稱為危險事件的嚴重性等級。通常將嚴重性等級分為四級，如表1所示。

 

　　根據危險事件發生的頻繁程度，將危險事件發生的可能性定性地分為為若干等級，稱為危險事件的可能性等級。通常可能性等級分為五級，如表2所示。

 

　　將上述危險嚴重性和可能性等級制成矩陣并分別給以定性的加權指數，形成風險評價指數矩陣，表3為一種風險評價指數矩陣的實例。

 

　　矩陣中的加權指數稱為風險評估指數，指數1到20是根據危險事件可能性和嚴重性水平綜合而確定的，通常將最高風險指數定為1，相對應于危險事件是頻繁發生的并是有災難性的后果的。最低風險指數20，對應于危險事件幾乎不可能發生并且后果是輕微的，數字等級的劃發具有隨意性，但要便于區別各種風險的檔次，劃分得過細或過粗都不便于風險的決策，因此需要根據具體對象制定。

　　矩陣中的指數給出四種不同類別的決策結果，也可稱為風險接受準則。其中指數為1～5，為不可接受的風險；6～9為不希望有的風險，需由訂購方決策；10～17是有控制的接受的風險，需要訂購方評審后方可接受；18～20是不經評審即可接受的風險。

　　風險評估指數通常是主觀制定的，而且定性的指標有時沒實際意義，它是這種評估的一大缺點。因為無論是對危險事件的嚴重性或是可能性做出嚴格的定性量度是很困難的。例如嚴重性的最高等級通常是損失費用幾百萬元或一、二人死亡，但是很多危險事件可能導致成百或成千人的死亡和上億元的財產損失，這種情況是無法用最高等級來表達其風險大小的。因而，這種指數的實用價值就受到影響。RAC法的另一個缺點是：風險評估指數通常是主觀制定，而且定性指標有時沒實際意義。

　　（2）TREC法

　　TREC（Total risk exposure code）法是RAC法的改進。TREC和RAC之間顯著不同點是將嚴重性尺度范圍擴大了，并將所有的損失轉化為貨幣，在評價矩陣中，“暴露”尺度代替了“概率”尺度。暴露指數確定的方法是：單一危險事件的概率（通常是每10，000暴露小時所發生的事件數表示）乘以壽命周期內總暴露小時的估計值和該系統生產的總量。

[NextPage]

　　TREC法將嚴重性分為10個等級，均以貨幣計算，從最小100元以下到最大1010元以上。每一嚴重性等級的尺度以一定大小次序遞增。這種表示方法可以評價較寬范圍的損失。表4列出了TREC法的各嚴重性指數的范圍和平均值。

 

　　暴露指數分10級，如表5所示。暴露指數表明系統事故總數的估計值。指數的最小值1表示在系統壽命期中危險事件所導致一定大小的某種事故的可能性估計值低于0．00001（100，000次中發生1次）；指數的最大值為10，它估計在系統壽命期中危險事件將導致發生大于1，000次事故。雖然危險事件的暴露單位是以暴露時間計算的（小時、年、循環次數等均可），但為了使用方便，單位可以在計算中省去。

 

　　總風險暴露指數可由嚴重性指數和暴露指數相加而得。表6為一個總風險暴露指數矩陣。

 

　　總風險暴露指數可用于表示系統壽命期內與其有關的貨幣損失。采用TREC可以為系統設計管理者提供如下信息：

　　a．總風險暴露（TRE）——對待評價的特定危險事件所產生的風險的貨幣總數估計。其計算公式為：

　　TRE＝5×10（TREC-5）

　　b．年風險暴露（ARE）——總風險暴露除以估計的設計壽命（以年計）：

　　ARE＝TRE/設計壽命

　　c．單位風險暴露（URE）——單位產品的貨幣損失（或每一產品分攤數），即TRE除以產品生產總數。

　　URE＝TRE/產品數

　　d．風險暴露比（RER）——總風險暴露與設計費用之比。

　　RER＝TRE/總投資

　　TREC的準確程度依賴于輸入數據的質量。因此，系統安全性的重要任務之一是要確定和修正對故障率、暴露率、設計壽命、系統中該產品的數量等的原始估計值。當然，從上面的分析和計算可以看出，TREC已將定性的風險估算發展到了具有某些定量的水平。

　　2．定量評價方法

　　對于一個系統、裝置或設備，通過定性評價，人們能對其中的危險有一個大致了解，可以了解系統中安全性薄弱環節。但是，有時需要了解到底安全水平如何，系統的改進能使安全性水平提高多少，事故發生的可能性到底有多大，后果到底有多嚴重等。回答這些問題，就需要對風險進行定量的評價（QuantifiedRiskAssessment：QRA）。QRA的用途及所擔當的角色如圖1所示。

　　定量風險評價是一種廣泛使用的管理決策支持技術，定量風險評價包含五個要素：

　　(1)危險識別：確定事故場景、危險、危險事件以及它們的原因和發生機理。一般由危險檢查表（PHL）、初步過程危險分析（PPHA）、危險與運行分析（HAZOP）來獲得識別的危險。

　　(2)頻率估計：確定識別的危險事件的發生頻率。一般由歷史數據、故障樹分析（FTA）、可靠性與有效性研究、故障模式及影響分析（FMEA）來確定。

　　(3)后果分析：確定識別的危險事件后果的程度和概率。由事件樹分析（ETA）、事故分類/定義來確定。

　　(4)風險估算：確定風險水平，就是將頻率和后果進行組合。

　　(5)靈敏度分析：將研究的風險劃分優先次序，進一步估算那些有意義的風險水平、比較相關的風險估算、將研究的風險劃分優先次序、評估獨立的不確定性和設置執行進度表。

　　QRA通過交替循環得到評估值。開始通過原因、后果、費用、可能的頻率引出數量的估計，然后分析這些量對初始假設的靈敏度。QRA非常適合應用于與技術裝備失效相關的決策問題。

 

　　圖1 QRA的用途及所擔當的角色

　　三評價模型的建立

　　在對軟件項目進行安全性評價時，首先應考慮的是按照怎樣的原則和標準考察系統的安全性，正如在前面進行危險分析時所說：引起系統不安全的危險因素來源于系統中各個模塊，因此，考慮建立基于系統中各個模塊的評價模型，根據安全性評價的工作項目和內容，考查系統在各項安全性指標下的安全性水平。主要包括：

　　系統功能評價：系統在完成設計功能方面的有效性；

　　系統結構評價：評價系統結構（包括容錯性、適應性、操作性、維護性、擴充性等）的危險及危險控制；

　　系統運行評價：評價系統在各個工作時期、不同工作條件下的危險及危險控制。包括使用、維護兩種工作狀態。

　　四小結

　　世界上沒有絕對安全的事物，危險事件是客觀存在的。不過，有的危險事件經常發生，有的則很少發生；有的危險事件造成的后果很嚴重，有的則很輕微。但是，無論在何種情況下，是關系到國計民生的大系統的開發，還是影響微乎其微的小程序的編寫，都存在風險評價的必要性，只是其各自的評價采取了適合項目本身的方式而已。毫無疑問，隨著項目管理理論的發展，人們將越來越重視風險的因素，將出現越來越多的風險評價技術。

　　參考文獻：

　　[1]吳增玉，西寶，劉長斌。中美建設工程風險管理體系比較研究，研究探索

　　[2]盧有杰，盧家義，項目風險管理[M]。北京：清華大學出版社，1998，95-98

　　[3]田德錄，盧鳳君，風險管理要素分析。中國農業大學學報。1998，3