前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇风险评估采用的方法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
[关键词] 中小企业;信息安全;风险评估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0090- 02
信息安全风险评估是以风险管理为基础,通过科学的方法和手段,对企业信息系统所面临的威胁与存在的脆弱性进行全面分析,以安全事故对企业生产经营有可能带来的危害展开评估,进而制定出有效的防御及整改措施[1]。信息安全风险评估在企业信息安全保障体系中占据着十分重要的地位,其不但是重要的评价方法,同时也是利于企业决策的有效机制。如果缺乏准确及时的风险评估,便不能准确的判断出企业所存在的信息安全问题,因此加强企业信息安全风险评估,对每一个中小企业来说,都意义重大。
1 中小企业信息安全评估方法
为了进一步评估信息系统的安全风险,多种风险评估方法被开发出来并在企业中得以运用。定性评估法,定量评估法以及半定量评估法是目前较为常用的几种方法。风险评估中的定量评估方法,主要是结合企业特点,根据评估内容和评估流程,从众多的信息系统、人员和设备中,利用分类分别计算比例的方法,对评估对象合理选定,并进行数量采样[2]。并在此基础上,分析企业信息系统中资产价值、威胁性以及脆弱性三者之间存在的函数关系,从而根据企业实际情况选取恰当的风险计算方法,合理计算出企业信息安全风险评估数值。本文认为定量方法对当前的中小企业来说更具实用价值,主要可从风险计算方法、威胁可能性量化赋值方法着手。
1.1 风险计算方法
后果(Consequence)及可能性(Likelihood)是风险具有的两个基本属性。风险对信息系统的影响,说到底也是这两个因素所造成的。资产的不同自然也使其面临的主要威胁存在差异。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性,随着弱点严重级别的提高会增加一该资产面临风险的后果。通常来说, 某项资产风险的可能性为资产脆弱性与存在威胁的可能性的函数,同时风险后果则为资产价值(影响)的函数。本论文采用如下算式来得到资产的风险赋值:
风险值=资产价值×威胁可能性×资产脆弱性
上述公式主要考虑到各参数采取的取值并不十分精确,因而加入了以往的经验和判断,在国际中对此类数据则通常采用数学乘法或矩阵等方法。而采用线性相乘,则主要是为了方便进行计算。企业实施风险分析可以从风险信息和数据,进行不同程度的改进。并根据计算出的风险值的数值范围,确定相应的风险等级。风险数值与风险等级对应的关系见表1。
1.2 脆弱性量化赋值方法
脆弱性和威胁所存在的对应关系,应在评估时充分考虑到,要知道相对应的脆弱性是威胁起作用的基本因素,因此脆弱性与威胁基本上是通过一一对应的形式呈现出来的。对脆弱性大小的评定需要结合评估采集的调研结果、安全漏洞扫描结果以及人工安全检查结果。参照国际通行做法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值5-1,具体参照表2。
威胁可能性属性非常难以度量.它依赖于具体的资产、弱点。并且这两个属性都和时间有关系。在威胁评估过程中,评估者的专家经验非常重要。
2 结 语
目前,信息系统已经被广泛运用到中小企业的日常管理工作中,对其的重视程度也越来越高。对中小企业来说,定期进行信息安全风险评估是信息安全工作得以顺利实施的有效保障,通过有效的信息安全风险评估方法则是科学合理地开展信息安全风险评估的前提条件。因此,新形势下中小企业的信息安全风险评估工作必须要做到与时俱进,不断创新,从而以适应快速发展的社会需求。
主要参考文献
关键词:风险评估;蒙特卡洛模拟;灰色评价;人工神经网络
中图分类号:F27 文献标识码:A
风险评估就是在充分掌握资料的基础之上,采用合适的方法对已识别风险进行系统分析和研究,评估风险发生的可能性(概率)、造成损失的范围和严重程度(强度),为接下来选择适当的风险处理方法提供依据。根据实际需要的不同可以对风险进行定性分析和定量分析。定性分析一般是根据风险度(重要程度)或风险大小(概率×强度)等指标对风险因素进行优先级排序,为进一步分析或处理风险提供参考,常用方法有专家打分法等。定量分析则是将体现风险特征的指标量化,加深对风险因素的认识,有助于风险管理者采取更具针对性的对策和措施,常用方法有敏感性分析、蒙特卡罗分析等。下面介绍常用的一些风险评估方法。
一、专家调查法
在风险识别的基础之上,请专家对风险因素的发生概率和影响程度进行评价,再综合整体风险水平进行评价。该方法简单易行,可以在采用德尔菲法进行风险识别时同时进行,节约成本和时间,缺点是主观性强,依赖于专家水平。
二、蒙特卡洛模拟法
蒙特卡洛模拟法又称统计试验法或随机模拟法,其原理是将项目目标变量(风险评价指标)和各个风险变量综合在一个数学模拟模型内,每个风险变量用一个概率分布来描述,然后利用计算机产生随机数(或伪随机数),并根据随机数在各个风险变量的概率分布中取值,算出目标变量值,经过多次运算即可得出目标变量的期望值、方差、概率分布等指标,绘制累计概率图,供决策者参考。
风险变量的确定,一般采用前述的风险识别方法,如果风险因素较多,可以先进行敏感性分析,选择敏感的风险因素作为风险变量。风险变量的概率分布描述是进行模拟分析的基础,常用的有正态分布、β分布、三角分布、梯形分布、阶梯分布等,销售量、售价、产品成本等变量多采用正态分布,工期、投资等变量多采用三角分布描述。对有历史数据的风险变量可根据数据做统计分析,估计其概率分布,对没有历史数据的风险变量,可以采用专家调查法确定变量的概率分布。
该法由法国数学家John.ron.neuman创立,由于其依赖的概率统计理论与赌博原理类同,因此以欧洲著名赌城摩纳哥首都Monte Carlo命名。该方法的优点是使用计算机模拟项目的自然过程,比历史模拟方法成本低、效率高,结果相对精确;可以处理多个因素非线性、大幅波动的不确定性,并把这种不确定性的影响以概率分布形式表示出来,克服了敏感性分析的局限性。不足之处是依赖于特定的随机过程和选择的历史数据,不能反映风险因素之间的相互关系,需要有可靠的模型,否则导致错误。
三、计划评审技术(PERT)
该方法是用网络图来体现项目中各项活动的进度和相互之间的关系,确定关键路径,计算总工期及概率,再综合考虑资源因素,得到最佳的项目计划方案。PERT主要用于对项目的进度管理,评价进度和费用方面的风险。它适用于评价缺乏历史经验资料的科研或产品研发项目风险以及与进度相关的项目风险。由于该方法的前提是假设项目每项活动的时间服从正态分布或β分布,总工期和关键路径都具有随机性,但是随着关键路径的确定,这一假设就失去意义,因此具有一定的缺陷。
四、敏感性分析法
敏感性分析法是指在假定其他风险因素不变的情况下,评估某一个(或几个)特定的风险因素变化对项目目标变量的影响程度,确定它的变动幅度和临界值,计算出敏感系数,据此对风险因素进行敏感性排序,供决策者参考。这种方法应用广泛,常用于项目的可行性研究阶段,有助于发现重要的风险因素,具体又可分为单因素敏感性分析和多因素敏感性分析。其缺点在于只能体现风险因素的强度而不能反映发生概率,也不能反映众多风险因素同时变化时对项目的综合影响。
五、决策树法
决策树法是指利用图解的形式,将风险因素层层分解,绘制成树状图,逐项计算其概率和期望值,进行风险评估和方案的比较和选择。一棵简单的决策树包括决策节点、状态节点和结果节点,决策节点与状态节点之间为方案分支,状态节点引出的分支为状态分支,决策节点上标注最终方案的收益期望值,方案分支标注方案名称,状态节点标注某个行动方案收益期望值,状态分支标注状态名称和概率,结果节点标注收益值。一般会求出目标变量在所有风险因素所有概率组合下的期望值,再画出概率分布图,因此计算量与风险因素和变化的数量成指数关系,并且需要有足够的有效数据做支撑。这种方法层次清晰,不同节点面临的风险及概率一目了然,不易遗漏,能够适应多阶段情形下的风险分析,但用于大型复杂项目时工作量较大,也不适合用于缺乏类似客观数据的项目。
六、影响图法
影响图是指由风险结点集合和反映风险关系的有向弧集合构成的无环有向图,它是在决策树基础之上发展起来的图形描述工具,包含了对风险变量相关性的描述,既可以表示变量之间的概率依赖关系,又可用于计算,能够有效地把决策问题转化成模型,是决策问题定性描述和定量分析的有效工具。其优点是概率估计、备选方案、决策者偏好等资料完整;图形直观、概念明确;计算规模随着风险因素个数呈线性增长。缺点是需要获取大量的概率和效用值,对于复杂问题建模困难。
七、模糊综合评价法
模糊理论是美国加州大学伯克力分校卢菲特・泽德教授于1965年首先提出的一种定量表达工具,用来表达某些无法明确定义的模糊性概念。事物的某些状态或属性如男或女,可以明确区分,但是如漂亮或不漂亮、高或矮之类带有主观意识的属性,则很难以明确的标准加以区分,模糊理论接受自然界模糊性现象存在的事实,并将其量化,进行相关研究。
风险也具有模糊性,主要表现为风险的强度或大小很难进行明确的界定。模糊综合评价法将项目风险大小用模糊子集进行表达,利用隶属度及模糊推理的概念对风险因素进行排序,以改进的模糊综合评价法为基础,采用层次分析法(AHP)构建风险递阶层次结构,采用专家调查法确定各层次内的风险因素指标权重,逐级进行模糊运算,直至总目标层,最终获得项目各个层级以及整体的风险评估结果。该方法将风险的定性和定量分析相结合,对于难以量化的风险因素如法律变动,也能进行有效分析,不依赖绝对指标,避免标准不合理导致的偏差。缺点是专家的主观偏见和能力水平可能会影响结果,对隶属度变化时评价结果改变的波动性利用不够。
八、风险矩阵法
该方法又称风险值法,1998年由Paul R等人提出。该方法将风险事件发生的概率和影响程度分级评分,然后分别作为矩阵的行和列形成风险矩阵,将风险概率和风险后果估计值(0~1)相乘得到风险值,进而按照风险事件在矩阵中的位置作出评估。该方法使用简单快捷。缺点是计算风险概率往往需要历史数据;由于风险的随机性和影响的模糊性,易产生风险结。
九、人工神经网络技术(ANN)
该方法是模仿生物大脑结构和功能而形成的一类信息处理系统,最先由美国生物学家Warren Mcculloch和数学家Walter Pitts于1943年提出,经过几十年的发展已经成为多学科综合的前沿学科。人工神经网络的基本结构单元是神经元,它一般是多个输入、一个输出的非线性单元,按照一定的层次结构排列,每层神经元以加权方式与其他层次上的神经元连接构成神经网络。根据连接方式的不同,目前已有30多种神经网络结构,最常用的是误差反向传播的多层前馈式网络,即BP网络。人工神经网络技术运作模式是建立神经元网络连接,通过学习规则或自组织等过程建立相应的非线性数学模型,经过多次信息输入和输出比对,并不断进行修正,使输出结果与实际值之间差距不断缩小。优点:具有自学习、自组织适应能力和强容错性等特性;避免了大量的繁琐计算,使评价工作更简便易行;主要是通过对以往的样本数据进行学习,获取经验,弱化了确定各因素权重时的人为因素。缺点:选择网络结构不当会影响评价结果;输出结果不能体现单个风险因素的重要程度;泛化能力差,不适用于多目标的评价过程,项目具有独特性、一次性的特点。
十、灰色评价方法
灰色系统理论是我国著名学者邓聚龙于1982年提出的,他根据信息的清晰程度,将系统分为白色、黑色和灰色,白色系统信息完全可见,黑色系统信息未知,灰色系统介于两者之间,分析过程中可充分利用已知信息将灰色系统的灰色性白化,分析方法有灰色聚类法、灰色关联分析法等。灰色关联分析是根据因素之间发展态势的相似或者相异程度来衡量因素间关联度的方法。灰色评价方法的优点:对样本量要求不高,不要求样本服从任何分布,可以有效地克服复杂系统的层次复杂性、结构关系的模糊性、动态变化的随机性、指标数据的不完全性和不确定性,排除认为影响,数据不必进行归一化处理,可靠性强。缺点:样本数据具有时间序列特性,综合评价结果具有“相对评价”的缺点,需要确定分辨率,其选择标准尚无一个合理的标准。
对项目风险定性和定量分析,为选择最佳风险处理手段提供了可靠的依据。上述风险评估方法有各自的特点和优势,有的方法以全面、精确为特点,有的方法以简单易用为优势,一些方法可以同时处理风险识别和风险评估,各方法之间也有相互交叉、相互引用的情况,在实际应用中应当根据掌握资料程度、项目实际情况具体选择。1992年英国里丁大学Simister教授对英国项目管理协会的37名会员进行风险评估技术应用方面的调查,结果显示尽管有很多新的风险评估方法,但传统的调查打分法、蒙特卡洛模拟和计划评审法使用率达70%。据统计,由于资料稀缺和时间紧迫,75%的项目经理倾向于采用专家调查打分,将风险评估主观量化。未来项目风险管理将更加注重一体化和动态持续性,风险的量化分析越来越受到重视,随着传统风险评估方法不断改进,新方法的不断完善,风险评估将会使项目管理更加科学有效。
(作者单位:重庆大学建设管理与房地产学院)
主要参考文献
[1]廖诗娜.PPP项目定量风险评估方法比较[J].合作经济与科技,2010.6.
[2]杨义灿.投资项目评价的理论、方法及应用研究[D].南京: 河海大学,2000.
[3]Paul R,Garvey PR,Lansdowne ZF. Risk matrix:an approach for identifying,assessing,and ranking program risks[J].Air Journal of Logistics,1998.25.
[4]易军,许忠保,刘小鹏.人工神经网络技术的工程应用及展望[J].湖北工业大学学报,2007.22.
摘要:本文分析了火灾风险评估概念的内涵,综述了以某一系统为对象的火灾风险评估的研究及目的,介绍了国内外较新的城市区域火灾风险评估方法。
关键词:城市区域火灾风险评估
一、火灾风险评估的概念
过去,人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展,风险评估(riskassessment)和风险管理(riskmanagement)技术作为复杂或重大事项决策的必要辅助手段,在过去的二、三十年间,在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用[1]。
通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果[2]。因而,火灾风险(firerisk)包含火灾危险性(发生火灾的可能性)和火灾危害性(一旦发生火灾可能造成的后果)双重含义[3]。
现在,在文献中可以看到的与“火灾风险评估”相关的术语有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火灾风险评估都是指:在火灾风险分析的基础上对火灾风险进行估算,通过对所选择的风险抵御措施进行评估,把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系,为其提供定性和定量的分析方法,简单地如消防安全设施检查表,复杂的就会涉及到概率分析,在应用方面针对的风险目标的性质和分析人员的经验有各种变化[4]。
较多的人倾向于从工程角度来定义火灾危害性(firehazard)和火灾风险(firerisk)。火灾危害性指:凡是根据已有的资料认为能引起火灾或爆炸,或是能为火灾的强度增大或蔓延持续提供燃料,即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性,目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景,包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式,辅以专家判断。此时,危害性分析可以看作是风险评估的一个构成元素,即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。
从系统分析的角度来看,风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性,而是属于一个系统的特性。若系统发生变化,很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括:系统认定,即明确所要评估的具体系统并定义出风险抵御措施的过程;风险估算,即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度,计算和量化系统中的指标的过程;风险评估,对该标准或尺度进行分析和估算,确定某一特定风险值的重要性或某一特定风险发生变化的权重[5]。
二、城市区域火灾风险评估的意义及发展概况
在消防方面,随着人们安全意识的提高和建筑设计性能化的发展,对建筑工程的安全评估日益受到重视,比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规,与之同源的“NFPA101A确保生命安全的选择性方法指南”,分别针对医护场所、监禁场所、办公场所等,给出了一系列安全评估方法,多应用于建筑工程的安全性评估方面[6]。
目前,我国在火灾风险评价方面的研究,大部分是以某一企业,或某一特定建筑物为对象的小系统。例如,由武警学院承担的国家“九五”科技攻关项目“石化企业消防安全评价方法及软件开发研究”,以“石油化工企业防火设计规范”等消防规范和德尔菲专家调查法为基础,设计了石化企业消防安全评价的指标体系,利用层次分析法和道化指数法确定了各指标的权重,采用线性加权模型得出炼油厂的消防安全评价结果[7]。以某一特定建筑物为对象的火灾风险评价也比较多,如中国矿业大学周心权教授,在分析建筑火灾发生原因的基础上,建立了建筑火灾风险评估因素集,并运用模糊评价法对我国的高层民用建筑进行了消防安全评价[8]。
与上述的安全评估不同,城市区域的火灾风险评估的目的是根据不同的火灾风险级别,配置消防救援力量,指导城市消防系统改造,指导城市消防规划。对已建成的城市区域的火灾风险评估必须考虑许多因素,即城市火灾危险性评价指标体系,包括区域内所存在的对生命安全造成危险的情况、火灾频率、气候条件、人口统计等因素,进而评价社区的消防部署和消防能力等抵御风险的因素。除此之外,在评估过程中另一个重要的情况是要关注社区从财政及其他方面为消防规划中所要求的总体消防水平提供支持的能力和意愿。随着城市规模扩大、综合功能增强,在居住区商贸中心、医院、学校、和护理场所增多,评估方法还会相应的改变。现有的城市区域火灾风险评估方法主要出于以下两个目的:
(一)用于保险目的
在火灾保险方面的应用的典型事例为美国保险管理处ISO(InsuranceServicesOffice,ISO)的城市火灾分级法,在美国已经被视为指导社区政府部门对其火灾抵御能力和实际情况进行分类和自我评估的良好方法。ISO方法把社区消防状况分为10个等级,10级最差,1级最好。
ISO是按照一套统一的指标来对每个社区的客观存在的灭火能力进行评估,确定该社区的公共消防级别,这套指标来自于由美国消防协会和美国自来水公司协会所制定的各种国家规范。ISO对城市消防的分级方法主要体现在它的“市政消防分级表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑结构、用途、防火间距与公共消防情况(用公共消防分级数目表达)相关联,再以统计数据加以调节后,来确定相应的火险费用。ISO级别仅被保险公司用作确定火险费用的一个成分。ISO分级系统虽然无法反映出消防组织的其他应急救援能力,但实际上也常用于各个区域的公共灭火力量的确定。
市政消防分级表从1974年开始使用,主要考察某城市区域的7个指标情况:供水、消防队、火灾报警、建筑法规、电气法规、消防法规、气候条件。随着技术进步,该表也不断改进。1980年版抽取了CFRS中对公共消防分级的方法,给出了修订后的灭火力量等级表,指标只包括前3项。被删除的指标或者确少区分度,或者在全市范围内进行评估时太过于主观,而且74表格中包含许多评估标准是具体的规定,如果某一社区的情况没有满足这些规定,则归属为差额分,规定降低了表格可使用的弹性范围,无法正确评估情况和技术的变化。故而ISO分级表被视为越来越“性能化”[9]。
(二)用于消防力量的部署
当今的消防组织和地方政府要担负日益加重的安全责任,面对来自公众的对抵御各种风险的更多的期望,以及调整消防机构人员、设备及其他预算方面的压力,迫切需要确认某一给定辖区内的具体风险和危险的等级。
具体地说,城市区域风险评估在消防方面的目的就是:使公众和消防员的生命、财产的预期风险水平与消防安全设施以及火灾和其他应急救援力量的种类和部署达到最佳平衡。
关于火灾风险对于灭火救援力量的影响,美国消防界对此的关注可以说几经反复,其间美国消防学院、NFPA等都做了许多工作。直至20世纪90年代,国际消防局长协会成立了由150名专业人士组成的国际消防组织资质认定委员会(theCommissionofFireAccreditationInternational,CFAI),经过9年的广泛工作,制定了“消防应急救援自我评估方法”,和制定标准的社区消防安全系统。另外,NFPA最终还制定了NFPA1710和1720两个指导消防力量部署的标准,分别帮助职业消防队和志愿消防队和改进为社区提供的消防救援的水平。根据NFPA最近的调查,NFPA1710将在全美30500个消防机构中的3300~3600个得到正式的应用,也推广到加拿大有些地区[10]。
英国对消防救援力量的部署标准是依据内政部批准的“风险指标”,把消防队的辖区划分为“A”、“B”、“C”、“D”四类区域,名为“风险分级”系统。其目的是对消防队的辖区进行风险评估,确定辖区内的各种风险区域,进而确定该风险区域发生火灾后应出动的消防车数量和消防响应时间。1995年,英国的审计委员会了一份题为“消防方针”的考察报告,认为这种方法没有充分考虑建筑设施的占用情况、社区的人口统计情况和社会经济因素,也没有把建筑物内的消防安全设施纳入考核范围。故而由审计委员会报告联合工作组与内政部的消防研究发展办公室一起,设立了一个研究项目。该项目的目的是开发一套供消防机构划分区域的风险等级,对包括灭火在内的所有应急救援力量进行部署,用于消防安全设施的规划并能解决上述问题的风险评估方法,再对开发出的方法进行测试。最后Entec公司开发出了计算软件,并于1999年4月以内政部的名义出台了“风险评估工具箱”测试版[11]。
三、国内外近期的城市区域火灾风险评估方法
(一)国内的城市区域火灾风险评估方法
张一先等采用指数法对苏州古城区的火灾危险性进行分级[15],该方法的指标体系考虑了数量危险性,着火危险性,人员财产损失严重度,消防能力这四个因素。1995年李杰等在建立火灾平均发生率与城市人口密度﹑城区面积﹑建筑面积间的统计关系基础上,选取建筑面积为主导参量,建立了以建筑面积为单一因子的城市火灾危险评价公式[12]。李华军[16]等在1995年提出了城市火灾危险性评价指标体系,该体系中城市火灾危险性评价由危害度﹑危险度和安全度三个指标组成,用以评价现实的风险,不能用来指导城市消防规划。
(二)美国的“风险、危害和经济价值评估”方法[13]
美国国家消防局与CFAI于1999年一起,在“消防局自我评估”及“消防安全标准”的工作的基础上,更突出强调了“火灾科学”的“科学性”,开发出名为“风险、危害和经济价值评估(Risk,HazardandValueEvaluation)”的方法。美国消防局于2001年11月19日了该方案,这是一个计算机软件系统,包含了多种表格、公式、数据库、数据分析方法,主要用于采集相关的信息和数据,以确定和评估辖区内火灾及相关风险情况,供地方公共安全政策决策者使用,有助于消防机构和辖区决策者针对其消防及应急救援部门的需求做出客观的、可量化的决策,更加充分地体现了把消防力量布署与社区火灾风险相结合的原则。
该方法的要点集中于两个方面:1、各种建筑场所火灾隐患评估。其目的是收集各种数据元素,这些数据能够通过高度认可的量度方法,以便提供客观的、定量的决策指导。其中的分值分配系统共包括6类数据元素:建筑设施、建筑物、生命安全、供水需求、经济价值。2、社区人口统计信息。用于收集辖区年度收集的相关数据元素。包括居住人口、年均火灾损失总值、每1000人口中的消防员数目等数据元素。
该方法已在一些消防局的救援响应规划中得到应用。以苏福尔斯消防局为例,它利用该方法把其社区风险定义为高中低三类区域,进而再考察这些区域的火灾风险可能性和后果:高风险区域包括风险可能性和后果都很大的以及可能性低、后果大的区域,主要指人员密集的场所和经济利益较大的场所;中等风险区域是风险可能性大,后果小的区域,如居住区;低风险区域是风险可能性和后果都较低的区域,如绿地、水域等,然后再把这些在消防救援响应规划中体现出来。
(三)英国的“风险评估”方法[14]
英国Entec公司研发“消防风险评估工具箱”,解决了两个问题:一是评估方法的现实性,是否在一定的时限内能达到最初设定的目标。经过对环境、管理、海事安全等部门所使用的各种风险评估方法的进行广泛考察之后,研究人员认为如果对这些方法加以适当转换,就可以通过不同的方法对消防队应该接警响应的不同紧急情况进行评估。二是建立了表达社会对生命安全风险可接受程度的指标。
Entec的方法分为三个阶段。首先应该在全国范围内,对消防队应该接警响应的各类事故和各类建筑设施进行风险评估,这样得到一组关于灭火力量部署和消防安全设施规划的国家指南。对于各类事故和建筑设施而言,由于所采用的分析方法、数据各不相同,所以对于国家水平上的风险评估设定了一个包括四个阶段的通用的程序:对生命和/或财产的风险水平进行估算;把风险水平与可接受指标进行对比;确定降低风险的方法,包括相应的预防和灭火力量的部署;对不同层次的灭火和预防工作的作用进行估算,确定能合理、可行地降低风险的最经济有效的方法。
1 费用风险评估方法
费用风险是项目总风险的一部分,费用风险评估方法一般可分为定性、定量、定性与定量相结合三类,有效的项目费用风险评估方法一般采用定性与定量相结合的系统方法。对项目进行费用风险量化评估的方法很多,在参考文献[1-7]中,分别介绍了主观估计法、层次分析法、决策树法,模糊评估法,马尔科夫过程分析方法,贝叶斯分析,FTA几种量化评估方法,主观估计法简便且容易使用,但它是一种主观的隐性信息判断,比客观全面的显性信息判断的信息量要少,容易出偏差。层次分析法简单明了,不仅适用于存在不确定性和主观信息的情况,还允许以合乎逻辑的方式运用经验、洞察力和直觉造判断矩阵困难、计算繁多重复且易出错、一致性调整复杂。决策树法用图表来直观地分析较为负责的多级问题,是一种形象化合有效的风险综合评估方法,需要较多的历史数据和样本。模糊评估法利用模糊数学将模糊信息定量化,处理一些难以量化的风险事件、语义信息及风险偏好等问题,使风险评估更加科学化和准确化,确定隶属度比较困难,历数度的可信性受专家经验影响。马尔科夫过程分析方法,可以对风险进行动态评估,根据上衣状态推测出下一状态的情况,限制条件多,要求转移概率基本固定。贝叶斯分析,可以根据先验概率和与先验概率相关的条件概率,推算出所产生后果的某种原因的后验概率。可以在众多的风险因素中抓住主要因素。FTA注重事件发生的概率以及各层次之间的逻辑关系,操作简单,容易掌握,对于风险因素的相互关系缺乏分析,受制于项目的可比性。
综合分析上述方法的优缺点之后,并结合费用风险量化分析的案例,目前开展项目风险量化评估时多采用蒙特卡洛模拟法(Monte Carlo Simulation)。蒙特卡洛模拟法全面考虑风险事件的风险因素,可以直接处理每一个风险因素的不确定性,使决策更加合理和准确,它是一种多元素变化的方法,在模拟过程中可以编制计算机软件对模拟过程进行处理,大大节约了时间。通过Monte Carlo模拟法计算出费用的累积分布函数,最后基于费用基线,估算项目的费用风险。因此,费用风险量化评估方法采用Monte Carlo模拟法。
2 费用风险量化评估步骤
根据复杂产品研制项目的特点,其费用风险量化评估的主要步骤为图1所示。
2.1建立项目CBS,选定费用因子
CBS是开展项目详细费用估算和费用风险评估的基础,只有建立了详细的CBS,才能选定相应的费用参数确定分布函数进行随机抽样。
2.2 确定费用因子概率分布
费用因子的概率分布对费用风险评估非常重要。一般是适当的数学分布来描述随机变量(费用因子)的概率分布,如果没有可直接引用的典型理论分布,则根据历史统计资料或专家意见判断随机变量的初始概率分布。在风险分析中常用的概率分布如表1所示。
。
2.4 频率分布与累积分布分析
假设进行了n次模拟,费用数值的最大值为MAX_c,最小值为MIN_c,将[MIN_c,MAX_c]区间均分为m段子区间,一般分为100段即可,统计n个费用模拟值落在每段子区间中的个数,这就是费用的频率分布趋势。将频率分布分析的结果进行概率累加,即得到费用的累积分布趋势。
3 费用风险量化管理信息系统设计
为了实现费用风险量化评估的信息化、常态化和标准化,设计开发了复杂产品研制项目费用风险管理信息系统。该信息系统具有费用风险识别、评估、应对、监控等功能。图3中给出了该信息系统的系统架构图。
该信息管理系统采用Microsoft .Net平台技术开发,使用Spring .Net应用程序框架和NHibernate对象/关系数据库映射工具等进行开发。该架构基于浏览器/服务器(B/S,Brower/Service)模式设计,系统架构为五层结构,即表现层、应用服务层、基础服务层、统一访问控制层和数据存储层。
根据费用风险量化评估步骤,首先是建立项目CBS,建立后的CBS如图4所示:
其次是为建立后的CBS选择费用因子和概率分布模型,在这里选择三角分布模型,为费用因子填写费用信息如图5所示:
最后对费用风险信息进行了3000次模拟,统计3000个费用模拟值落在每段子区间中的个数,生成费用的概率分布趋势。将概率分布分析的结果进行概率累加,即得到费用的累积概率趋势。如图6所示:
4 结论
随着技术条件要求和产品系统的复杂度不断提高,给项目研制费用带来极大的挑战。结合实际情况,通过蒙特卡罗模拟法对复杂产品研制项目费用风险进行量化评估,在费用风险量化评估步骤的基础上,开发了费用风险量化评估信息系统,实现了费用风险量化评估的信息化。
参考文献:
[1] 王力强,王利.主观评分法在项目风险管理中的应用[J].北方交通,2012(10):114-116.
[2] 钱昊,马维珍.层次分析法在项目风险管理中的应用[J].兰州交通大学学报:自然科学版,2005,24(3):53-56.
[3] 汪灿星, 王俊文.基于决策树的工程项目风险管理方法[J].四川建筑,2008,28(4):205-206.
[4] 李志鹏, 何瑞春.基于模糊综合评估法的工程项目风险管理研究[J].兰州交通大学学报:自然科学版,2007,26(4):89-91.
关键词:城市区域火灾风险评估
一、火灾风险评估的概念
过去,人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展,风险评估(riskassessment)和风险管理(riskmanagement)技术作为复杂或重大事项决策的必要辅助手段,在过去的二、三十年间,在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用[1]。
通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果[2]。因而,火灾风险(firerisk)包含火灾危险性(发生火灾的可能性)和火灾危害性(一旦发生火灾可能造成的后果)双重含义[3]。
现在,在文献中可以看到的与“火灾风险评估”相关的术语有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火灾风险评估都是指:在火灾风险分析的基础上对火灾风险进行估算,通过对所选择的风险抵御措施进行评估,把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系,为其提供定性和定量的分析方法,简单地如消防安全设施检查表,复杂的就会涉及到概率分析,在应用方面针对的风险目标的性质和分析人员的经验有各种变化[4]。
较多的人倾向于从工程角度来定义火灾危害性(firehazard)和火灾风险(firerisk)。火灾危害性指:凡是根据已有的资料认为能引起火灾或爆炸,或是能为火灾的强度增大或蔓延持续提供燃料,即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性,目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景,包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式,辅以专家判断。此时,危害性分析可以看作是风险评估的一个构成元素,即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。
从系统分析的角度来看,风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性,而是属于一个系统的特性。若系统发生变化,很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括:系统认定,即明确所要评估的具体系统并定义出风险抵御措施的过程;风险估算,即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度,计算和量化系统中的指标的过程;风险评估,对该标准或尺度进行分析和估算,确定某一特定风险值的重要性或某一特定风险发生变化的权重[5]。
二、城市区域火灾风险评估的意义及发展概况
在消防方面,随着人们安全意识的提高和建筑设计性能化的发展,对建筑工程的安全评估日益受到重视,比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规,与之同源的“NFPA101A确保生命安全的选择性方法指南”,分别针对医护场所、监禁场所、办公场所等,给出了一系列安全评估方法,多应用于建筑工程的安全性评估方面[6]。
目前,我国在火灾风险评价方面的研究,大部分是以某一企业,或某一特定建筑物为对象的小系统。例如,由武警学院承担的国家“九五”科技攻关项目“石化企业消防安全评价方法及软件开发研究”,以“石油化工企业防火设计规范”等消防规范和德尔菲专家调查法为基础,设计了石化企业消防安全评价的指标体系,利用层次分析法和道化指数法确定了各指标的权重,采用线性加权模型得出炼油厂的消防安全评价结果[7]。以某一特定建筑物为对象的火灾风险评价也比较多,如中国矿业大学周心权教授,在分析建筑火灾发生原因的基础上,建立了建筑火灾风险评估因素集,并运用模糊评价法对我国的高层民用建筑进行了消防安全评价[8]。
与上述的安全评估不同,城市区域的火灾风险评估的目的是根据不同的火灾风险级别,配置消防救援力量,指导城市消防系统改造,指导城市消防规划。对已建成的城市区域的火灾风险评估必须考虑许多因素,即城市火灾危险性评价指标体系,包括区域内所存在的对生命安全造成危险的情况、火灾频率、气候条件、人口统计等因素,进而评价社区的消防部署和消防能力等抵御风险的因素。除此之外,在评估过程中另一个重要的情况是要关注社区从财政及其他方面为消防规划中所要求的总体消防水平提供支持的能力和意愿。随着城市规模扩大、综合功能增强,在居住区商贸中心、医院、学校、和护理场所增多,评估方法还会相应的改变。现有的城市区域火灾风险评估方法主要出于以下两个目的:
(一)用于保险目的
在火灾保险方面的应用的典型事例为美国保险管理处ISO(InsuranceServicesOffice,ISO)的城市火灾分级法,在美国已经被视为指导社区政府部门对其火灾抵御能力和实际情况进行分类和自我评估的良好方法。ISO方法把社区消防状况分为10个等级,10级最差,1级最好。
ISO是按照一套统一的指标来对每个社区的客观存在的灭火能力进行评估,确定该社区的公共消防级别,这套指标来自于由美国消防协会和美国自来水公司协会所制定的各种国家规范。ISO对城市消防的分级方法主要体现在它的“市政消防分级表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑结构、用途、防火间距与公共消防情况(用公共消防分级数目表达)相关联,再以统计数据加以调节后,来确定相应的火险费用。ISO级别仅被保险公司用作确定火险费用的一个成分。ISO分级系统虽然无法反映出消防组织的其他应急救援能力,但实际上也常用于各个区域的公共灭火力量的确定。
市政消防分级表从1974年开始使用,主要考察某城市区域的7个指标情况:供水、消防队、火灾报警、建筑法规、电气法规、消防法规、气候条件。随着技术进步,该表也不断改进。1980年版抽取了CFRS中对公共消防分级的方法,给出了修订后的灭火力量等级表,指标只包括前3项。被删除的指标或者确少区分度,或者在全市范围内进行评估时太过于主观,而且74表格中包含许多评估标准是具体的规定,如果某一社区的情况没有满足这些规定,则归属为差额分,规定降低了表格可使用的弹性范围,无法正确评估情况和技术的变化。故而ISO分级表被视为越来越“性能化”[9]。
(二)用于消防力量的部署
当今的消防组织和地方政府要担负日益加重的安全责任,面对来自公众的对抵御各种风险的更多的期望,以及调整消防机构人员、设备及其他预算方面的压力,迫切需要确认某一给定辖区内的具体风险和危险的等级。
具体地说,城市区域风险评估在消防方面的目的就是:使公众和消防员的生命、财产的预期风险水平与消防安全设施以及火灾和其他应急救援力量的种类和部署达到最佳平衡。
关于火灾风险对于灭火救援力量的影响,美国消防界对此的关注可以说几经反复,其间美国消防学院、NFPA等都做了许多工作。直至20世纪90年代,国际消防局长协会成立了由150名专业人士组成的国际消防组织资质认定委员会(theCommissionofFireAccreditationInternational,CFAI),经过9年的广泛工作,制定了“消防应急救援自我评估方法”,和制定标准的社区消防安全系统。另外,NFPA最终还制定了NFPA1710和1720两个指导消防力量部署的标准,分别帮助职业消防队和志愿消防队和改进为社区提供的消防救援的水平。根据NFPA最近的调查,NFPA1710将在全美30500个消防机构中的3300~3600个得到正式的应用,也推广到加拿大有些地区[10]。
英国对消防救援力量的部署标准是依据内政部批准的“风险指标”,把消防队的辖区划分为“A”、“B”、“C”、“D”四类区域,名为“风险分级”系统。其目的是对消防队的辖区进行风险评估,确定辖区内的各种风险区域,进而确定该风险区域发生火灾后应出动的消防车数量和消防响应时间。1995年,英国的审计委员会了一份题为“消防方针”的考察报告,认为这种方法没有充分考虑建筑设施的占用情况、社区的人口统计情况和社会经济因素,也没有把建筑物内的消防安全设施纳入考核范围。故而由审计委员会报告联合工作组与内政部的消防研究发展办公室一起,设立了一个研究项目。该项目的目的是开发一套供消防机构划分区域的风险等级,对包括灭火在内的所有应急救援力量进行部署,用于消防安全设施的规划并能解决上述问题的风险评估方法,再对开发出的方法进行测试。最后Entec公司开发出了计算软件,并于1999年4月以内政部的名义出台了“风险评估工具箱”测试版[11]。
三、国内外近期的城市区域火灾风险评估方法
(一)国内的城市区域火灾风险评估方法
张一先等采用指数法对苏州古城区的火灾危险性进行分级[15],该方法的指标体系考虑了数量危险性,着火危险性,人员财产损失严重度,消防能力这四个因素。1995年李杰等在建立火灾平均发生率与城市人口密度﹑城区面积﹑建筑面积间的统计关系基础上,选取建筑面积为主导参量,建立了以建筑面积为单一因子的城市火灾危险评价公式[12]。李华军[16]等在1995年提出了城市火灾危险性评价指标体系,该体系中城市火灾危险性评价由危害度﹑危险度和安全度三个指标组成,用以评价现实的风险,不能用来指导城市消防规划。
(二)美国的“风险、危害和经济价值评估”方法[13]
美国国家消防局与CFAI于1999年一起,在“消防局自我评估”及“消防安全标准”的工作的基础上,更突出强调了“火灾科学”的“科学性”,开发出名为“风险、危害和经济价值评估(Risk,HazardandValueEvaluation)”的方法。美国消防局于2001年11月19日了该方案,这是一个计算机软件系统,包含了多种表格、公式、数据库、数据分析方法,主要用于采集相关的信息和数据,以确定和评估辖区内火灾及相关风险情况,供地方公共安全政策决策者使用,有助于消防机构和辖区决策者针对其消防及应急救援部门的需求做出客观的、可量化的决策,更加充分地体现了把消防力量布署与社区火灾风险相结合的原则。
该方法的要点集中于两个方面:1、各种建筑场所火灾隐患评估。其目的是收集各种数据元素,这些数据能够通过高度认可的量度方法,以便提供客观的、定量的决策指导。其中的分值分配系统共包括6类数据元素:建筑设施、建筑物、生命安全、供水需求、经济价值。2、社区人口统计信息。用于收集辖区年度收集的相关数据元素。包括居住人口、年均火灾损失总值、每1000人口中的消防员数目等数据元素。
该方法已在一些消防局的救援响应规划中得到应用。以苏福尔斯消防局为例,它利用该方法把其社区风险定义为高中低三类区域,进而再考察这些区域的火灾风险可能性和后果:高风险区域包括风险可能性和后果都很大的以及可能性低、后果大的区域,主要指人员密集的场所和经济利益较大的场所;中等风险区域是风险可能性大,后果小的区域,如居住区;低风险区域是风险可能性和后果都较低的区域,如绿地、水域等,然后再把这些在消防救援响应规划中体现出来。
(三)英国的“风险评估”方法[14]
英国Entec公司研发“消防风险评估工具箱”,解决了两个问题:一是评估方法的现实性,是否在一定的时限内能达到最初设定的目标。经过对环境、管理、海事安全等部门所使用的各种风险评估方法的进行广泛考察之后,研究人员认为如果对这些方法加以适当转换,就可以通过不同的方法对消防队应该接警响应的不同紧急情况进行评估。二是建立了表达社会对生命安全风险可接受程度的指标。
Entec的方法分为三个阶段。首先应该在全国范围内,对消防队应该接警响应的各类事故和各类建筑设施进行风险评估,这样得到一组关于灭火力量部署和消防安全设施规划的国家指南。对于各类事故和建筑设施而言,由于所采用的分析方法、数据各不相同,所以对于国家水平上的风险评估设定了一个包括四个阶段的通用的程序:对生命和/或财产的风险水平进行估算;把风险水平与可接受指标进行对比;确定降低风险的方法,包括相应的预防和灭火力量的部署;对不同层次的灭火和预防工作的作用进行估算,确定能合理、可行地降低风险的最经济有效的方法。
国家指南确定后,才能提供一套评估工具,各地消防主管部门可以利用这些工具在国家规划要求范围内,对当地的火灾风险进行评估,并对灭火力量进行相应的部署。该项目要求针对以下四类事故制定风险评估工具:住宅火灾;商场、工厂、多用途建筑和民用塔楼这样人员比较密集的建筑的火灾;道路交通事故一类危及生命安全、需要特种救援的事故;船舶失事、飞机坠落这样的重特大事故。
第三个阶段是对使用上述评估工具的区域进行考查,估算其风险水平,与国家风险规划指南对比,并推荐应具备的消防力量和消防安全设施水平。
参考文献:
1、ThomasF.Barry,P.E.Risk-informed,Performance-basedIndustrialFirerotection.
TennesseeValleyPublishing,2002.
&n2、HB142-1999Abasicintroductiontomanagingrisk:AS/NZS4360:1999
3、ISO8421-1:1987(E/F)
4、RichardW.Vukowski,FireHazardAnalysis,FireProtectionHandbook,18thedition,1995.
5、Brannigan,V.,andMeeks,C.,“ComputerizedFireRiskAssessmentModels”,JournalofFireSciences,No.31995.
6、NFPA101AGuideonAlternativeApproachestoLifeSafety.2000edition.
7、赵敏学,吴立志,商靠定,刘义祥,韩冬.石化企业的消防安全评价,安全与环境学报,第3期,2003年
8、李志宪,杨漫红,周心权.建筑火灾风险评价技术初探[J].中国安全科学学报.2002年第12卷第2期:30~34.
9、FireSuppressionRatingSchedule,ISOCommercialRiskServices,1998edition.
10、NFPA1710:ADecisionGuide,InternationalAssociationofFireChiefs,Fairfax,Virginia.2001.
11、Entec,ReviewofHighOccupancyRiskAssessmentToolkit.23August2000.
12、李杰等.城市火灾危险性分析[J].自然灾害学报95年第二期:99~103.
13、InformationontheRisk,HazardandValueEvaluation,USFA,1999.
14、MichaelSWright,DwellingRiskAssessmentToolkit:1999.