网站性能检测评分
注:本网站页面html检测工具扫描网站中存在的基本问题,仅供参考。
风险评估分析公司
风险评估技术-18因果分析(Cause and Consequence Analysis,CCA) 流量视频课程
B.18 因果分析
B.18.1 概述
因果分析(Cause and Consequence Analysis,简称CCA)综合了故障树分析和事件树分析,它开始于关键事件,同时通过结合“是/否”逻辑来分析结果。这代表了可能发生的条件,或者旨在减轻初始事件后果的系统失效。事件的原因或故障可通过故障树分析(见附录B.15)。
B.18.2 用途
最初,因果分析是作为关键安全系统的可靠性工具而开发出来的,可以让人们更全面地认识系统故障。类似于故障树分析,它用来表示造成关键事件的故障逻辑,但是,通过对时序故障的分析,它比故障树的功能更强大。这种方法可以将时间滞延纳入到结果分析中,而这在事件树分析中是办不到的。
根据特定子系统(例如应急反应系统)的行为,这种方法可分析某个系统在关键事件之后可能的各种路径。如果进行量化,它们可估算出某个关键事件过后各种不同结果发生的概率。
由于因果图中的每个序列是子故障树的结合,因果分析可作为一种建立大故障树的工具。
由于图形的制作和使用比较复杂,因此只有故障的潜在结果相当严重,有必要投入很大精力时,人们才会使用图形。
B.18.3 输入
对系统及其失效模式和故障情景的认识。
B.18.4 过程
图B.3说明了典型的因果分析过程。
进行因果分析的步骤包括:
1) 识别关键事件(或初因事件)(类似于故障树的顶事件及事件树的初因事件);
2) 制作并验证描述的初因事件原因的故障树;
3) 确定需考虑条件的顺序。这应该是一种逻辑顺序,例如它们发生的时序;
4) 建构不同条件下的结果路径。这一点类似于事件树,但事件树路径的划分被表示为贴有适用特定条件的栏。
图B.3 因果分析示例
5) 如果各条件栏的故障为独立故障,则可以计算各故障的发生概率。要做到这一点,首先是确定条件栏内每个输出结果的概率(如果可以的话,使用相关的故障树)。通过将各次序条件的概率相乘,就可以得出产生特定结果的任一次序的概率,该次序条件结束于上述特定结果。如果一个以上的次序最终有相同的结果,那么各次序的概率应相加。如果某个序列中各条件的故障存在依存关系(例如,停电会造成多个条件出现故障),那么必须在计算前分析依存关系。
B.18.5 输出
因果分析的结果可用图形表示,对系统故障的原因进行图形表示既可说明原因,也可说明结果。通过对引起关键事件特定条件发生的概率进行分析,我们就可以估算出各潜在结果发生的概率。
B.18.6 优点及局限
因果分析的优点相当于事件树及故障树的综合优点。而且,通过分析一段时间内发展变化的事项,这种分析克服了那两种技术的局限。因果分析提供了系统的全面视角。
局限是它的建构过程要比故障树和事件树更复杂,同时在定量过程中必须处理依存关系。
风险评估技术-15 业务影响分析(BIA) 推广视频课程
B.15 业务影响分析(BIA)
B.15.1 概述
业务影响分析(Business Impact Analysis),也称作业务影响评估(Business Impact Assessment),分析了干扰性风险对组织运营的影响方式,同时识别并量化了必要的风险管理能力。具体来说,BIA就以下问题达成了一致的认识:
● 关键经营过程的识别和临界状态、职能和相关资源以及组织已有的关键互相依存关系;
● 干扰性事项对实现重要经营目标的能力会产生怎样的影响;
● 管理干扰的影响以及使组织恢复到约定运行水平所需的能力。
B.15.2 用途
BIA用来确定危害性以及过程和相关资源(人员、设备、信息技术)的恢复时间,以确保目标的持续实现。而且,BIA有助于确定过程、内外部各方以及供应链连接处之间的相互依存关系和相互关系。
B.15.3 输入数据
输入包括:
● 承担分析并制定计划的小组;
● 关于目标、环境及运行和组织的相互依存关系的信息;
● 有关组织活动及运行的详情,包括过程、辅助资源、与其他组织的关系、外包安排以及利益相关者;
● 关键过程的缺失造成的财务及运行结果;
● 事先准备的调查问卷表;
● 组织相关部门的受访者及/或计划联系的利益相关者的名单。
B.15.4 过程
通过使用调查问卷表、访谈、结构化讨论会或综合运用上述三种方法,可以开展BIA,以便认识关键过程、过程缺失产生的影响以及必要的恢复时间范围及辅助资源。
关键步骤包括:
● 根据风险及脆弱性分析(vulerability assessment),确认组织的关键过程和输出结果,以确定过程的危害性;
● 确定在干扰规定的时期内对被识别的关键过程造成的财务及/或运行影响;
● 识别与关键内外部利益相关者的相互依存关系。这可能包括通过供应链说明相互依存关系的性质;
● 确定现有资源及干扰过后继续以最低容许水平运行所需的基本资源;
● 确定目前使用或计划开发的替代性工作区域和程序。如果在干扰过程中资源或能力无法获得或不够充分,那么可能就要开发替代性的工作区域和程序。(workarounds)
● 根据被识别的结果以及职能部门的关键成功因素来确定各过程的最大可容忍故障时间(MAO)。MAO代表组织所能容忍的能力损失的最大时间段。
● 确定任何特定装备或信息技术的目标恢复时间(RTO)。这可能包括评估过程中的重复水平(例如,设备备件)或是替代供应商的存在情况。
● 确认关键过程的现期准备水平。这可能包括评价过程中的冗余程度(例如备用设备)或存在替代供应商。
B.15.5 输出结果:
输出结果包括:
● 关键过程及相关依存关系的优先性清单;
● 因关键过程缺失而带来的财务及运行过程影响的记录;
● 用于被识别的关键过程的辅助资源;
● 关键过程的故障时间范围以及相关信息技术恢复时间范围。
B.15.6 优点及局限
BIA的优点包括:
● 对关键过程的认识,使组织有能力继续实现其既定目标;
● 对资源的认识;
● 有机会重新界定组织的运行过程,以增强组织的灵活性。
BIA的局限包括:
● 那些参与完成调查问卷并开展访谈或讨论会的参与方缺乏某些知识;
● 小组气氛可能会影响到关键过程的全面分析;
● 对恢复要求有简单化或过于乐观的期望;
● 难以获得组织运行及活动的足够的认识水平。
风险评估技术-8危险与可操作性分析(HAZOP) 推广视频课程
B.8 危险与可操作性分析(HAZOP)
B.8.1 概述:
HAZOP是危险与可操作性分析(Hazard and Operability studies)的英文首字母缩写,也是对一种规划或现有产品、过程、程序或体系的结构化及系统分析。该技术可以识别人员、设备、环境及/或组织目标所面临的风险。分析团队应尽量提供解决方案,以消除风险。
HAZOP过程是一种基于危险和可操作性研究的定性技术,它对设计、过程、程序或系统等各个步骤中,是否能实现设计意图或运行条件的方式提出质疑。该方法通常由一支多专业团队通过多次会议进行。
HAZOP在识别过程、系统或程序的故障模式的原因和后果方面与FMEA类似。其不同在于团队通过考虑不希望的结果、与预期的结果以及条件之间的偏差来反查可能的原因和故障模式,而FMEA则确定故障模式,然后才开始。
B.8.2 用途
最初开发HAZOP技术是为了分析化学过程系统,但是该技术目前已拓展到其他类型的系统及复杂的操作中,包括机械及电子系统、程序、软件系统,甚至包括组织变更及法律合同设计及评审。
HAZOP过程可以处理由于设计、部件、计划程序和人为活动的缺陷所造成的各种形式的对设计意图的偏离。
这种方法广泛地用于软件设计评审中。当用于关键安全仪器控制及计算机系统时,该方法称作CHAZOP(控制危险及可操作性分析或计算机危险及可操作性分析)。
HAZOP分析通常在详细设计阶段开展,因为此时有计划过程的全图,尽管设计仍可进行调整。但是,随着设计的详细发展,可以对每个阶段用不同的导语以阶段法进行。HAZOP分析也可以在操作阶段进行,但是,该阶段需要的变更可能有较大成本。
B.8.3 输入
HAZOP分析的主要输入数据是有关计划审批的系统、过程或程序,以及设计意图与效果说明书的现有信息。输入数据可能包括图形、说明书、过程图、逻辑图、布局图、操作及维修程序,以及紧急情况响应程序。对于非硬件系统来说,HAZOP的输入数据可以是描述所分析的系统或程序的功能和因素的任何文件。例如,输入数据可以是组织图或角色说明、合同草案甚至程序草案。
B.8.4 过程
HAZOP主要对分析中的流程、程序或系统进行“设计”及规范化,并审查各组成部分,以发现与预期效果的偏差、潜在的原因以及偏差可能造成的结果。通过使用合适的引导词,对于系统、过程或程序的各个部分对关键参数变化的反应方式进行系统性分析,我们就可以实现上述目标。可以使用针对某个特殊系统、过程或程序的引导词,也可以使用能涵盖各类偏差的通用词。表B1举例说明了技术系统常用的引导词。类似的导语如‘过早’、‘过迟’、‘过多’、‘过少’、‘过长’、‘过短’、‘错误方向’、‘错误目的’、‘错误行动’可以用来标明人为错误的模式。
HAZOP分析的一般步骤包括:
● 提名某个有必要责任和职权的人员开展HAZOP分析,并承担由此产生的一切行动;
● 确定这项研究的目标及范围;
● 为研究建立一系列关键的引导词;
● 确定HAZOP研究团队。该团队通常是多专业的,应包括掌握了相应技术专业知识的设计及操作人员,来评价与计划或当前设计的偏差产生的影响。建议团队中包括一些不直接参与设计或者被审核的系统、过程或程序的人员。
● 收集必要的文件。
在研究团队的引导式研讨班上:
● 将系统、过程或程序划分成更小的因素或子系统/过程或因素,以进行具体的审核;
● 约定各子系统/过程或因素的设计意图,然后对于该子系统或因素中的各项依次使用引导词,以假设那些会产生不良结果的可能偏差;
● 如果发现不良结果,约定各种情况下的原因及结果,同时就处理方式提出建议,从而减少或消除影响(如果可能的话);
● 将讨论内容记录在案,同时约定用于处理被识别风险的具体行动。
B.8.5 输出
对于每个评审点的项目,做好HAZOP会议的会议记录。这包括:使用的引导词、偏差、可能的原因、处理所发现问题的行动以及行动负责人。
对于任何无法纠正的偏差,需要对偏差风险进行评估。
B.8.6 优点及局限
HAZOP的优点包括:
● 为系统、彻底地分析系统、过程或程序提供了有效的方法;
● 涉及多专业团队,包括那些拥有实际操作经验的人员以及那些必须采取处理行动的人员;
● 形成了解决方案和风险应对行动方案;
● 适用于各种系统、过程及程序;
● 有机会对人为错误的原因及结果进行清晰的分析;
● 对用来说明尽职调查的过程可以进行书面记录。
局限包括:
● 很耗时,因此成本较高;
● 对文件或系统/过程以及程序规范的要求较高;
● 主要重视的是找到解决方案,而不是质疑基本假设(然而,这可以减轻分阶段的办法)。
● 讨论可能会集中在设计细节上,而不是在更宽泛或外部问题上。
● 受制于设计(草案)及设计意图,以及传递给团队的范围及目标;
● 过程对设计人员的专业知识要求很高,结果,专业人员会发现在寻找设计问题的过程中很难保证完全客观。
风险评估技术-12 结构化假设分析(SWIFT) 企业视频课程
B.12 风险矩阵
B.12.1 概述
风险矩阵(Risk Matrix)是一种将定性或半定量的后果分级与产生一定水平的风险或风险等级的可能性相结合的方式。矩阵格式及适用的定义取决于使用背景,关键是要在这种情况下使用合适的设计。
B.12.2 用途
风险矩阵可用来根据风险等级对风险、风险来源或风险应对进行排序。它通常作为一种筛查工具,以确定哪些风险需要更细致的分析,或是应首先处理哪些风险,这需要提到一个更高层次的管理。它还可以用作一种筛查工具,以挑选哪些风险此时无需进一步考虑。根据其在矩阵中所处的区域,此类的风险矩阵也被广泛用于决定给定的风险是否被广泛接受或不接受。
风险矩阵也可以用于帮助在全组织内沟通对风险定性等级的共同理解。设定风险等级的方法和赋予他们的决策规则应当与组织的风险偏好一致。
风险矩阵的一种形式可用于FMECA的危险度分析,或是在HAZOP结束后确定先后顺序。如果缺乏足够的数据进行细致的分析,或是实际情况无法保证进一步定量分析的时间和精力时,后果可能性矩阵也可以使用。
B.12.3 输入
过程的输入数据为个性化的结果及可能性等级,以及将两者结合起来的矩阵。
后果等级应涵盖需分析的各类不同的结果(例如,经济损失、安全、环境或其他取决于背景的参数),并应从最大可信结果拓展到最小结果。
标度可以为任何数量的点。最常见的是有3、4或5个点的等级。
可能性标度也可为任何数量的点。需要选择的可能性的定义应尽量避免含混不清。如果使用数字指南来界定不同的可能性,那么应给出单位。可能性等级需要跨越现有研究范围,牢记最低可能性必须为最高界定结果所接受,否则,就把一切最严重结果的活动界定为不可容忍。图B7显示了部分事例。
绘制矩阵时,结果在一个轴上,可能性在另一个轴上。图B8显示了矩阵的部分事例,该矩阵带有6点结果和5点可能性等级。
各单元的风险等级将取决于可能性结果等级的定义。可以以特别突出结果(如图所示)或可能性建立矩阵,根据实际应用情况,该矩阵可以是对称的。风险等级与决策规则相关,例如管理层关注度水平或所需反应的时间标度密切相关。
图B.1风险矩阵示例
分级评分和矩阵可以用定量等级进行建立。例如,在可靠性背景中,可能性等级表示指示故障率,而结果等级表示故障的美元成本。
工具的使用需要有掌握相关专业知识的人员(最好是团队),以及有助于对结果和可能性进行判断的现有数据。
B.12.4 过程
为了进行风险分级,使用者首先要发现最适合当时情况的结果描述符,然后界定那些结果发生的可能性。然后,从矩阵中读取风险等级。
很多风险事项会有各种结果,并有各种不同的相关可能性。通常,次要问题比灾难更为常见。因此,有必要选择是对最常见的问题评分,还是对最严重的结果,抑或是两者的统一体进行评分。在很多情况下,有必要关注最严重的可信事项,因为这些事项会带来最大的威胁,经常也是管理者最关注的事情。有时,有必要将常见问题和不可能的灾难归为独立风险。关键是要使用与所选结果相关的可能性,而不是整个事项的可能性。
矩阵定义的风险水平可能与是否应对风险的决策规则相联系。
B.12.5 输出
输出结果是对各类风险的分级或是确定了重要性水平的、经分级的风险清单。
B.12.6 优点及局限
优点包括:
● 比较便于使用;
● 将风险很快划分为不同的重要性水平。
局限包括:
● 必须设计出适合具体情况的矩阵,因此,很难有一个适用于组织各相关环境的通用系统;
● 很难清晰地界定等级;
● 使用具有很强的主观色彩,分级者之间会有明显的差别;
● 无法对风险进行总计(例如,人们无法确定一定数量的低风险或是界定过一定次数的低风险相当于中级风险)。
● 组合或比较不同类型后果的风险等级是困难的。
结果将取决于分析的详细程度,即分析越详细,情景数字就越高,每个数字的概率越低。这将低估实际风险等级。在描述风险时将情景分组的方法应当在研究开始时确定并且是一致的。
风险评估技术-16 根原因分析(RCA) 行业视频课程
B.16 根原因分析
B.16.1 概述
为了避免重大损失的再次发生,对重大损失进行的分析通常称作根原因分析(Root Cause Analysis,简称RCA)、故障根本原因分析(Root Cause Failure Analysis,简称RCFA)或者损失分析(Loss analysis)。RCAF关注的是各类故障引起的资产损失,而损失分析主要关注的是外部因素或灾难引起的财政或经济损失。它试图识别根本或最初原因,而不是仅处理非常明显的“症状”。人们普遍认同,纠正行为未必完全有效,有时可能需要持续的完善。在大多数情况下,RCA用于对重要损失的评估,但是也用于全球范围的损失,以确定在什么情况下可以进行完善。
B.16.2 用途
RCA适用于各种环境,拥有广泛的使用范围:
● 安全型RCA用于事故调查和职业健康及安全;
● 故障分析用于与可靠性及维修有关的技术系统;
● 生产型RCA用于工业制造的质量控制领域;
● 过程型RCA关注的是经营过程;
● 作为上述领域的综合体,系统型RCA主要用于处理复杂系统的变革管理、风险管理及系统分析中。
B.16.3 输入
RCA的基本输入数据是指从故障或损失中搜集的全部证据。分析中也可以考虑其他类似故障的数据。其他输入数据可以是为了测试具体假设而得出的结果。
B.16.4 过程
识别出RCA的需求之后,应指定一群专家开展分析并提出建议。专家的类型主要取决于分析故障时所需的具体专业知识。
虽然可以使用不同的方法进行分析,但开展RCA的基本步骤是相似,包括以下方面:
● 组建团队;
● 确定RCA的范围及目标;
● 搜集有关故障或损失的数据及证据;
● 开展结构化分析,以确定根本原因;
● 找出解决方案并提出建议;
● 执行建议;
● 核实所执行建议的成效。
结构化分析方法可以包括下列某一种方法:
● 5-why法,即反复询问“为什么?”以剥离原因层及次原因层;
● 失效模式和效应分析;
● 故障树分析;
● 鱼骨图或鱼刺图;
● 帕累托分析;
● 根本原因图。
原因评价经常开始于明显的客观原因,然后是人为的原因,最后是潜在的管理或基本原因。相关各方必须对原因进行控制或消除,以便纠正行为取得效果并富有价值。
B.16.5 输出
RCA的输出结果包括:
● 记录收集的数据及证据;
● 分析假设;
● 归纳有关最有可能造成故障或损失的原因;
● 纠正行为的建议。
B.16.6 优点及局限
优点包括:
● 让合适专家在团队环境下工作;
● 结构化分析;
● 分析各种可能的假设;
● 记录结果;
● 需要提出最终的建议。
局限性包括:
● 未必有所需的专家;
● 关键证据可能在故障中被毁或在清理中被删除;
● 团队可能没有足够的时间或资源来充分评估情况;
● 可能无法充分执行建议。
风险评估技术-10 保护层分析(LOPA) 公司视频课程
B.10 保护层分析(LOPA)
B.10.1 概述
作为一种半定量方法,保护层分析法(Layer protection analysis,简称LOPA)可估算与不期望事件或情景相关的风险。它分析了是否有足够的措施来控制或减缓风险。
挑选出因果对,同时识别那些能够阻止初因演化为不期望后果的保护层。进行数量级计算,以确定保护措施足够充分,使得风险降低到可容忍(或可接受)水平。
B.10.2 用途
LOPA可以定性使用,以简单分析危险或原因事件与结果之间的保护层。LOPA也可以进行半定量分析,以使HAZOP或PHA之后的筛查过程变得更严格。
LOPA为IEC6108与IEC61511所需的独立保护层(IPL)的规格提供了依据。在确定安全完整性级别(SIL)时,需要安全设备系统。通过分析各保护层产生的风险减轻行为,LOPA也可以用来对风险减轻资源进行有效的配置。
B.10.3 输入
LOPA的输入包括:
● 有关风险的基本信息包括PHA规定的危险、原因及结果;
● 有关现有或建议控制措施的信息;
● 原因事件概率、保护层故障、结果措施及可容忍风险定义。
● 初因事件概率、保护层故障、结果措施及可容忍风险定义。
B.10.4 过程
LOPA可以通过专家组运用下列程序进行实施:
● 识别不良结果的初始原因并查找有关其概率和结果的数据;
● 选择单个因果对;
● 识别那些避免原因演变成不良结果的保护层,同时对它们的效力进行分析;
● 识别独立保护层(保护层未必都是IPL);
● 估计每个独立保护层失效的概率;
● 初因事项频率应是各IPL的故障概率以及任何条件修正因素概率的结合(例如,条件修正因素是指一个人是否会出现在受影响的环境中)。
● 保护层的综合影响应与风险容忍度进行比较,以确定是否需要进一步的保护。
独立保护层(IPL)是一种设备系统或行动,能避免某个情景演变成独立于初因事项或与情景相关的任何其他保护层的不良结果。
IPL包括:
● 设计特点;
● 实体保护装置;
● 联锁及停机系统;
● 临界报警与人工干预;
● 事件后实物保护;
● 应急反应系统(程序与检查不是IPL)。
B.10.5 输出
给出有关需要采取进一步控制措施以及这些控制措施在降低风险方面效果的建议。
在处理安全相关/设备系统时,LOPA是一种可用于SIL评估的技术。
B.10.6 优点及局限
优点包括:
● 与故障树分析或全面定量风险评估相比,它需要更少的时间和资源,但是比定性主观判断更为严格;
● 它有助于识别并将资源集中在最关键的保护层上。
● 它识别了那些缺乏充分安全措施的运行、系统及过程;
● 它关注最严重的结果。
局限包括:
● LOPA每次只能分析一个因果对和一个情景,并没有涉及风险或控制措施之间的相互影响;
● 量化的风险可能没有考虑到普通模式的失效;
● LOPA并不适用于很复杂的情景,也就是有很多因果对或有各种结果会影响不同利益相关者的情景。
B.10.7 参考文件
IEC61508 (所有部分),电器/电子/可编程电器安全相关系统的功能安全。
IEC 61511 ,功能安全-用作流程工业部门的安全设备系统。
风险评估技术-11 结构化假设分析(SWIFT) 企业视频课程
B.11 结构化假设分析(SWIFT)
B.11.1 概述
最初,结构化假设分析(Structure What if? ,简称SWIFT)是作为HAZOP更简单的替代性方法推出的。它是一种系统的、团队合作式的研究方法,利用了引导员在讨论会上运用的一系列“提示”词或短语来激发参与者识别风险。引导员和团队使用标准的“假定分析”式短语以及提示词来调查正常程序和行为的偏差对某个系统、设备组件、组织或程序产生影响的方式。通常,与HAZOP相比,SWIFT用于某个系统的更多层面,同时细节要求较低。
B.11.2 用途
虽然SWIFT的设计初衷是针对化学及石化工厂的危险进行研究,但是该技术现在广泛地用于各种系统、设备组件、程序及组织。尤其是,它现在用来分析变化的后果以及由此带来的风险的变化或新产生的风险。
B.11.3 输入
在开始进行研究之前,必须对系统、设备组件、程序及/或变化进行认真界定。引导员应通过访谈以及对文件、计划和图纸的全面分析建立内外部背景。一般来说,研究涉及的项目、情况或系统应划分成节点或关键要素以便于开展分析过程,而这在HAZOP的界定层面中很少涉及。
另一个关键输入数据是经过认真挑选的研究团队的专业知识和经验。其中,所有利益相关者的观点都要得到反映,如果可能的话,应当将其与拥有类似项目经验或情况经历的人员的观点统筹考虑。
B.11.4 过程
一般过程如下所示:
1) 在开展研究之前,引导员应准备一份相关的词语或短语提示单。该清单可以基于一系列标准的词语或短语,也可以是为便于对危险或风险进行综合分析而形成的词语或短语。
2)讨论会应讨论并约定项目、系统、变化或情况的内外部背景以及研究范围。
3)引导员要求参与者提出并讨论:
● 已知的风险和危险;
● 以往的经历和事件;
● 已知和现有的控制及保障措施;
● 监管要求和限制措施。
4)使用“假定分析”这样的短语及提示词或主题以形成问题,达到引导讨论的目的。计划使用的“假定分析”短语包括“要是…怎么办…”、“如果…会发生…”、“某人或某事会…”以及“有人或有事曾经…”。其目的是激发研究团队探讨潜在的情景及其原因和后果以及影响。
5)总结风险,同时团队分析现有的控制措施。
6)与团队确认风险及其原因、后果和预期控制的描述,并进行记录。
7)团队分析控制措施是否充分有效,同时就风险控制效果的声明达成一致。如果未达到满意的效果,团队应继续风险应对工作并界定潜在的控制措施。
8)在本次讨论中,提出更多的“假定分析”问题,以识别更多的风险。
9)引导员利用提示单来监督讨论并建议团队讨论其他问题和情景。
10)通常要使用定性或半定量风险评估方法来将按先后顺序排列的行动进行等级划分。一般来说,在使用这种风险评估方法时,我们要考虑现有的控制措施及其效果。
B.11.5 输出
输出结果是一个风险列表,记录了不同风险等级的行动或任务的。这些任务就成了风险应对计划的基础。
B.11.6 优点及局限
SWIFT的优点包括:
● 广泛用于各种形式的物理设备或系统、情况或环境、组织或活动;
● 对团队的准备工作要求最低;
● 速度较快,同时重大危险及风险在讨论会上很快突显出来;
● 通过这项以“系统为导向”的研究,参与者可以分析系统对偏差的反应,而不只是分析组件故障的后果;
● 可用来识别过程及系统改进的机会,通常可用来识别能带来成功或增强成功可能性的活动;
● 由那些参与现有控制和进一步风险应对行动的人员参与到讨论会中,这样可以增强他们的责任感;
● 建立风险登记表和风险应对计划相对容易;
● 虽然经常使用风险评级的定性或半定量形式来进行风险评估,但是可通过SWIFT来识别那些可以进行定量分析的风险和危险。
SWIFT的局限包括:
● 它要求经验丰富、能力较强、工作效率高的引导员;
● 它需要精心的准备,这样才不会浪费讨论会团队的时间;
● 如果讨论会团队缺乏足够丰富的经验或是如果提示系统不够全面,那么有些风险或危险可能就无法识别;
● 技术的有效运用也可能无法揭示那些复杂、详细或相关的原因。
风险评估技术-13 人因可靠性分析(HRA) HR视频课程
B.13 人因可靠性分析(HRA)
人因可靠性分析(HRA)
B.13.1 概述:
人因可靠性分析(Human reliability analysis,简称HRA)关注的是人因对系统绩效的影响,可以用来评估人为错误对系统的影响。
很多过程都有可能出现人为错误,尤其是当操作人员可用的决策时间较短时。问题最终发展到严重地步的可能性或许不大。但是,有时,人的行为是惟一能避免最初的故障演变成事故的防卫。
HRA的重要性在各种事故中都得到了证明。在这些事故中,人为错误导致了一系列灾难性的事项。有些事故向人们敲响警钟,不要一味进行那些只关注系统软硬件的风险评估。它们证明了忽视人为错误这种诱因发生的可能性是多么危险的事情。而且,HRA可用来凸显那些妨碍生产效率的错误并揭示了操作人员及维修人员如何 “补救”这些错误和其他故障(硬件和软件)。
B.13.2 用途
HRA可进行定性或定量使用。如果定性使用,HRA可识别潜在的人为错误及其原因,从而降低了人为错误发生的可能性;如果定量使用,HRA可以为FTA(故障树)或其它技术的人为故障提供数据。
B.13.3 输入
人因可靠性分析方法的输入包括:
● 明确人们必须完成的任务的信息;
● 实际发生及有可能发生的各类错误的经验;
● 有关人为错误及其量化的专业知识。
B.13.4 过程
HRA过程如下所示:
● 问题界定——计划调查/评估哪种类型的人为参与?
● 任务分析——计划怎样执行任务?为了协助任务的执行,需要哪类帮助?
● 人为错误分析——任务执行失败的原因?可能出现什么错误?怎样补救错误?
● 表示——怎样将这些错误或任务执行故障与其他硬件、软件或环境事项整合起来,从而对整个系统故障的概率进行计算?
● 筛查——有不需要细致量化的错误或任务吗?
● 量化——任务的单项错误和失败的可能性如何?
● 影响评估——哪些错误或任务是最重要的?哪些错误或任务是可靠性或风险的最大诱因?
● 减少错误——如何提高人因可靠性?
● 记录——有关HRA的哪些详情应记录在案?
在实践中,HRA会分步骤进行,尽管某些部分(例如任务分析及错误识别)有时会与其他部分同步进行。
B.13.5 输出
输出包括:
l 可能会发生的错误的清单以及减少损失的方法——最好通过系统改造;
l 错误模式、错误类型、原因及结果;
l 错误所造成风险的定性或定量评估。
B.13.6 优点及局限
HRA的优点包括:
l HRA提供了一种正式机制,对于人在系统中扮演着重要角色的情况,可以将人为错误置于系统相关风险的分析中;
l 对人为错误的模式和机制的正式分析有利于降低错误所致故障的可能性。
局限包括:
l 人的复杂性及多变性使我们很难确定那些简单的失效模式及概率;
l 很多人为活动缺乏简单的通过/失败模式。HRA较难处理由于质量或决策不当造成的局部故障或失效。
风险评估过程_风险管理流程(风险分析) 行业视频课程
1.1概述
通过风险评估,决策者及有关各方可以更深刻地认识那些可能影响组织目标实现的风险以及现有风险控制措施的充分性和有效性,为确定最合适的风险应对方法奠定基础。风险评估的结果可作为组织决策过程的输入。
风险评估是由风险识别、风险分析及风险评价构成的一个完整过程(参见图1)。该过程的开展方式不仅取决于风险管理过程的背景,还取决于开展风险评估工作所使用的方法与技术。
风险评估流程考虑到各类风险的原因及后果有较大差异,因此风险评估通常涉及到多学科方法的综合应用。
1.2 风险识别
风险识别是发现、认可并记录风险的过程。风险识别的目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦风险得以识别,组织应对现有的控制措施(诸如设计特征、人员、过程和系统等)进行识别。风险识别过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别方法包括:● 基于证据的方法,例如检查表法以及对历史数据的审查;● 系统性的团队方法,例如一个专家团队可以借助于一套结构化的提示或问题来系统地识别风险;● 归纳推理技术,例如危险与可操作性分析(HAZOP)等。组织可利用各种支持性的技术来提高风险识别工作的准确性和完整性,包括头脑风暴法及德尔菲法等。无论实际采用哪种技术,关键是在整个风险识别过程中要认识到人的因素及组织因素的重要性。因此,偏离预期的人为及组织因素也应被纳入风险识别的过程中。
1.3 风险分析1.3.1 概述
风险分析能够加深对风险的理解。它为风险评价提供输入,以确定风险是否需要处理以及最适当的处理策略和方法。风险分析要考虑导致风险的原因和风险源、风险后果及其发生的可能性,识别影响后果和可能性的因素,还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能性及后果来确定风险水平。一个风险事件可能产生多个后果,从而可能影响多重目标。附录B提供了一些常用的风险分析方法。对于复杂的应用可能需要多种方法同时使用。风险分析通常涉及对风险事件潜在后果及相关概率的估计,以便确定风险等级。在某些情况下,例如当后果很不重要,或者概率极低时,单项的估计可能足以进行决策。在某些情况下,风险可能是一系列事件迭加产生的结果,或者由一些难以识别的特定事件所诱发。在这种情况下,风险评估的重点是分析系统各组成部分的重要性和薄弱环节,以确定相应的保护和补救措施。根据风险分析的目的、可获得的可靠数据以及组织的决策需要,风险分析可以是定性的、半定量的、定量的或以上方法的组合。定性评估可通过“高、中、低”这样的表述来界定风险事件的后果、可能性及风险等级。如将后果和可能性两者结合起来,并与定性的风险准则相比较,即可评估最终的风险等级。半定量法可利用数字分级尺度来测度风险的可能性及后果,并运用公式将二者结合起来,得出风险等级。定量分析则可估计出风险后果及其可能性的实际数值,结合具体情境,产生风险等级的数值。由于相关信息不够全面、缺乏数据、人为因素影响等,或是因为定量分析工作无法确保或没有必要,全面的定量分析未必都是可行的或值得的。在此情况下,由经验丰富的专家对风险进行半定量或者定性的分析可能已经足够有效。如果是定性分析,那么应该对使用的术语进行清晰的说明,并对风险准则的设定基础进行记录。即使已实现全面的定量分析,还应注意到,此时所获得的风险等级值是估计值,应注意确保其精确度不会与所使用的原始数据及分析方法的精确度存在偏差。风险等级应当用与风险类型最为匹配的术语表达,以利于进一步的风险评价。在某些情况下,风险等级可以通过风险后果的概率分布来表达。
1.3.2 控制措施评估
风险的等级水平不仅取决于风险本身,还与现有风险控制措施的充分性和有效性密切相关。在进行控制措施评估时,需要解决的问题包括: 对于一个具体的风险,现有的控制措施是什么? 这些控制措施是否足以应对风险,是否可以将风险控制在可接受水平? 在实际中,控制措施是否在以预定方式正常运行,当需要时能否证明这些控制措施是有效的?对于特定的控制措施或一套相关控制措施的有效性水平,可以进行定性、半定量或定量的表示。但在大多数情况下,难以保证高度的精确性。然而,对风险控制效果的测量进行表述和记录是有价值的。因为在对现有控制措施进行改进以及实施不同的风险应对措施时,这些信息有助于决策者进行比较和判断。
1.3.3 后果分析
通过假设特定事件、情况或环境已经出现,后果分析可确定风险影响的性质和类型。某个事件可能会产生一系列不同严重程度的影响,也可能影响到一系列目标和不同利益相关者。在明确环境信息时,就应当确定所需要分析的后果的类型和受影响的利益相关者。后果分析可以有包括从结果的简单描述到制定详细的数量模型等多种形式。影响可能是轻微后果高概率,或严重后果低概率,或某些中间状况。在某些情况下,应关注具有潜在严重后果的风险,因为这些风险往往是管理者最关心的。在其它情况下,同时分析具有严重后果和轻微后果的风险可能是重要的。例如,频繁而轻微的问题可能具有很大的累积效应。另外,处理这两类截然不同风险的应对措施往往有很大的区别,因此分别分析这两类风险是很必要的。后果分析应包括: 考虑现有的后果控制措施,并关注可能影响后果的相关因素; 将风险后果与最初目标联系起来; 对马上出现的后果和那些经过一段时间后可能出现的后果两种情况要同等重视; 不能忽视次要后果,例如那些影响附属系统、活动、设备或组织的次要后果
1.3.4 可能性分析和概率估计
通常主要使用三种方法来估计可能性。这些方法可单独或组合使用。1)利用相关历史数据来识别那些过去发生的事件或情况,借此推断出它们在未来发生的可能性。所使用的数据应当与正在分析的系统、设备、组织或活动的类型有关。如果某些事件历史上发生频率很低,则无法估计其可能性。这一点尤其适用于从未发生的事件、情况或环境,人们无法推测其将来是否会发生。2)利用故障树和事件树等技术来预测可能性。当历史数据无法获取或不够充分时,有必要通过分析系统、活动、设备或组织及其相关的失效或成功状况来推断风险的可能性。3)系统化和结构化地利用专家观点来估计可能性。专家判断应利用一切现有的相关信息,包括历史、具体系统、具体组织、实验及设计等方面的信息。获得专家判断的正式方法众多,现有常用方法包括德尔菲法和层次分析法等。1.3.5 初步分析应对风险事件进行全面的扫描,以识别出最重大的风险或把不太重要和次要的风险排除出进一步的分析,由此确保组织资源能集中于应对最严重的风险。进行筛选时,应注意不要漏掉发生频繁低但有重大累积效应的风险。以上筛选活动应在明确环境信息时所确定的准则基础上进行。依据初步分析的结果,组织可能采取以下某个行动方案:● 立即进行风险应对而无需进行评估;● 搁置暂不需处理的轻微风险;● 继续进行更细致的风险评估。最初的假定及结果应记录在案。
1.3.6 不确定性及敏感性因素
在风险分析过程中经常会涉及到相当多的不确定性因素。认识这些不确定性因素对于有效地理解并说明风险分析结果是必要的。例如,对于那些在风险识别和风险分析时所使用的数据、方法及模型,应注意分析其本身存在的不确定性因素。不确定性因素分析涉及到对风险分析结果的方差或偏离性进行明确。与不确定性因素分析密切相关的是敏感性分析。敏感性分析是确定某个参数输入的改变对风险等级影响的程度和显著性。这项分析可用来识别哪些数据是对结果影响较大的,从而更应确保其准确性。应尽可能充分阐述风险分析的完整性及准确度。如有可能,应识别不确定性因素的起因。敏感的参数及其敏感度应予以说明。
1.4 风险评价
风险评价包括将风险分析的结果与预先设定的风险准则相比较,或者在各种风险的分析结果之间进行比较,确定风险的等级。风险评价利用风险分析过程中所获得的对风险的认识,来对未来的行动进行决策。道德、法律、资金以及包括风险偏好在内的其它因素也是决策的参考信息。决策包括:● 某个风险是否需要应对;● 风险的应对优先次序;● 是否应开展某项应对活动;● 应该采取哪种途径。在明确环境信息时,需要制定的决策的性质以及决策所依据的准则都已得到确定。但是在风险评价阶段,需要对以上问题进行更深入的分析,毕竟此时对于已识别的具体风险有更为全面的了解。如果该风险是新识别的风险,则应当制定相应的风险准则,以便评价该风险。最简单的风险评价结果仅将风险分为两种:需要处理与无需处理的。这样的处理方式无疑简单易行,但是其结果通常难以反映出风险估计时的不确定性因素,而且两类风险界限的准确界定也绝非易事。常见的方法是将风险划分为三个等级段。安全工程领域的“最低合理可行”原则(As Low As Aeasonably Practicable,简称ALARP)即适用于这种方法。● 上段是指无论活动能带来什么利益,风险等级都是无法容忍的,必须不惜代价进行风险应对;● 中段是指要考虑实施风险应对的成本与收益,并权衡机遇与潜在结果;● 下段是指风险等级微不足道,或者风险很小,无需采取风险应对措施。风险评价的结果应满足风险应对的需要,否则,应做进一步分析。
1.5 文件的归档
风险评估的过程应与评估结果一起记录在案。风险应以可理解的术语来表达,同时对于风险等级的单位也应进行清晰表述。风险评估记录文件的内容将取决于评估工作的目标及范围。除非进行很简单的评估,否则,文件需包括以下内容:● 目标及范围;● 系统相关部分的说明及它们的功能;● 组织的内外部环境描述以及被评估对象与内外环境的关联情况;● 所使用的风险准则及其合理性;● 假定及假设的合理性;● 评估方法;● 风险识别结果;● 数据的来源与校验;● 风险分析结果及评价;● 敏感性及不确定性分析;● 关键假定和其他需要加以监测的因素;● 结果讨论;● 结论和建议;● 参考资料。如果需要风险评估来支持一个连续的风险管理过程,那么对于风险评估的记录工作应在系统、组织、设备或活动的整个生命周期内持续进行。如果出现重要的新信息并且环境发生变化,应根据管理的需要对风险评估进行更新。
1.6 风险评估的监督和检查
风险评估过程强调环境因素和那些经过一段时间预计会变化并且可能使风险评估改变或失效的其它因素。应当识别出这些因素进行持续的监督和检查,以便在必要时更新风险评估的信息。应当识别和收集为改进风险评估而监测的数据。还应当监测和记录风险控制措施的效果,以便为风险分析提供数据。应当明确证据、文件的建立和检查的责任。
风险评估技术-10 保护层分析(LOPA) 行业视频课程
B.10 保护层分析(LOPA)
B.10.1 概述
作为一种半定量方法,保护层分析法(Layer protection analysis,简称LOPA)可估算与不期望事件或情景相关的风险。它分析了是否有足够的措施来控制或减缓风险。
挑选出因果对,同时识别那些能够阻止初因演化为不期望后果的保护层。进行数量级计算,以确定保护措施足够充分,使得风险降低到可容忍(或可接受)水平。
B.10.2 用途
LOPA可以定性使用,以简单分析危险或原因事件与结果之间的保护层。LOPA也可以进行半定量分析,以使HAZOP或PHA之后的筛查过程变得更严格。
LOPA为IEC6108与IEC61511所需的独立保护层(IPL)的规格提供了依据。在确定安全完整性级别(SIL)时,需要安全设备系统。通过分析各保护层产生的风险减轻行为,LOPA也可以用来对风险减轻资源进行有效的配置。
B.10.3 输入
LOPA的输入包括:
● 有关风险的基本信息包括PHA规定的危险、原因及结果;
● 有关现有或建议控制措施的信息;
● 原因事件概率、保护层故障、结果措施及可容忍风险定义。
● 初因事件概率、保护层故障、结果措施及可容忍风险定义。
B.10.4 过程
LOPA可以通过专家组运用下列程序进行实施:
● 识别不良结果的初始原因并查找有关其概率和结果的数据;
● 选择单个因果对;
● 识别那些避免原因演变成不良结果的保护层,同时对它们的效力进行分析;
● 识别独立保护层(保护层未必都是IPL);
● 估计每个独立保护层失效的概率;
● 初因事项频率应是各IPL的故障概率以及任何条件修正因素概率的结合(例如,条件修正因素是指一个人是否会出现在受影响的环境中)。
● 保护层的综合影响应与风险容忍度进行比较,以确定是否需要进一步的保护。
独立保护层(IPL)是一种设备系统或行动,能避免某个情景演变成独立于初因事项或与情景相关的任何其他保护层的不良结果。
IPL包括:
● 设计特点;
● 实体保护装置;
● 联锁及停机系统;
● 临界报警与人工干预;
● 事件后实物保护;
● 应急反应系统(程序与检查不是IPL)。
B.10.5 输出
给出有关需要采取进一步控制措施以及这些控制措施在降低风险方面效果的建议。
在处理安全相关/设备系统时,LOPA是一种可用于SIL评估的技术。
B.10.6 优点及局限
优点包括:
● 与故障树分析或全面定量风险评估相比,它需要更少的时间和资源,但是比定性主观判断更为严格;
● 它有助于识别并将资源集中在最关键的保护层上。
● 它识别了那些缺乏充分安全措施的运行、系统及过程;
● 它关注最严重的结果。
局限包括:
● LOPA每次只能分析一个因果对和一个情景,并没有涉及风险或控制措施之间的相互影响;
● 量化的风险可能没有考虑到普通模式的失效;
● LOPA并不适用于很复杂的情景,也就是有很多因果对或有各种结果会影响不同利益相关者的情景。
B.10.7 参考文件
IEC61508 (所有部分),电器/电子/可编程电器安全相关系统的功能安全。
IEC 61511 ,功能安全-用作流程工业部门的安全设备系统。
