时间:2023-07-14 09:44:06
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇风险评估的定义范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1 风险管理概念解析
风险管理是组织管理活动的一部分,其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73:2009《风险管理 术语》中曾经指出,风险管理由一系列的活动组成,这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程,其准确的定义为:风险管理(risk management)是指在风险方面,指导和控制组织的协调活动。
与风险管理定义密切相关的,还有“风险管理框架”和“风险管理过程”两个词汇。
风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中给了三个有用的注解,分别为:风险管理框架是要素集合,这个框架并不是单独存在的,这就体现了风险的特点之一,就是一系列的“点”,这些点是要被嵌入(be embedded)。特别值得指出的是,校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域,也是整个管理学领域的常见词汇。其中,在战略层面一般强调校准,即无论是信息安全的战略还是信息系统的战略,都应该与组织的整体战略保持一致。在更细的策略或流程层次,则强调整合或嵌入。例如,已经有人力资源的管理规程,需要嵌入安全管理的部分,或者已经有事件管理规程,将其与信息安全事件管理进行整合。总之,校准、整合和嵌入是值得深入研究的三种方法。
风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。
风险管理过程才体现了信息安全应该如何做(how)的问题。
严格讲,风险管理不仅仅是过程,是一系列的活动。因此,在下文的图3中,我们特别指出: 风险管理的阶段划分仅作示意。
2 风险评估及其过程
在GB/T 23694—2013 / ISO Guide 73:2009中,风险评估并不是作为一个单独的过程定义的。其中定义为:风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。
风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中虽然也是类似的定义,但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说,在当时的定义中,“风险识别”是作为“风险分析”的一个阶段而出现的,详细定义为:风险评估包括风险分析和风险评价在内的全过程。
为了更好地理解其中的变化,我们在表1中给出了风险评估包括的阶段的术语定义。
无论如何划分,风险评估都要完成下面这些活动:
在上述三个步骤中,步骤一与步骤二较为通用,或者说,截至到风险分析阶段,我们需要确定风险的等级,这都可以按照通用的标准或方法提前定义好。步骤三则不同,这个步骤需要结合组织自己定义的风险准则。
3 区分风险评估与风险管理
我们可以简单地认为,风险评估是风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程,那么风险评估就是其中的“对症”过程,只是找到问题所在,并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。
风险管理是一个持续循环,不断上升的过程,它被定义为一个持续的周期,每隔一个阶段就开始新的循环,这些循环要贯穿组织的始终,是组织管理的一部分。风险评估则更像“搞运动”,其一般按照一定的时间间隔进行,但是如果发生组织业务变化、出理新的漏洞或基础机构变化等,都可能启动新的风险评估过程。
风险管理的循环过程不是在原地踏步的,它的每一次新循环都应该上一个新的台阶,呈螺旋上升的形状。如图3所示。
这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估,在每一次风险评估中都会发现潜在的问题,并在接下来的风险应对过程中加以解决,从而使组织管理风险的能力得到提升。
4 风险应对概念解析
无论风险评估步骤进行得多么完美,都只是找到了问题,而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。
风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73:2009中,对这个定义也有详细的注解,包括:
2自然灾害风险系统要素和风险形成机理
自然灾害风险系统主要由承灾体、孕灾环境、致灾因子等要素组成。承灾体系自然灾害系统的社会经济主体要素,是指人类及其活动所组成的社会经济系统。承灾体受致灾因子的破坏后会产生一定的损失,灾情即是其损失值的大小,而之所以会有损失,根本原因是承灾体有其核心属性———价值性。通常脆弱性是指承灾体对致灾因子的打击的反应和承受能力,但学术界目前对于脆弱性的认识并不统一。孕灾环境主要包括自然环境与人文环境,位于地球表层,是由大气圈、水圈、岩石圈等自然要素所构成的系统。孕灾环境时时刻刻都在进行着物质和能量的转化,当转化达到一定条件时会对人类社会环境造成一定影响,称之为灾变,这种灾变即为致灾因子,基于致灾因子的相关研究称之为风险的危险性分析,故危险性其实是表达了致灾因子的强度、频率等因素,比较有代表性的是地震安全性评价,在对孕灾环境和历史灾情的分析研究后以超越概率的形式给出地表加速度来表达某一地区或某一场地的致灾因子危险性。相比于孕灾环境和承灾体之间的复杂关系,影响致灾因子的危险性大小的来源相对单一,完全由孕灾环境决定。因此,由孕灾环境、承灾体、致灾因子等要素组成的自然灾害系统,是一个相互作用的有机整体,揭示的是人类社会与自然的相互关系,承灾体可以影响孕灾环境,孕灾环境通过致灾因子影响承灾体,三者不仅存在因果关联,在时间、空间上也相互关联,密不可分。而关于自然灾害风险机理的表达,20世纪90年代以来,1989年Maskrcy提出自然灾害风险是危险性与易损性之代数和;1991年联合国提出自然灾害风险是危险性与易损性之乘积,此观点的认同度较高,并有广泛的运用;Okada等认为自然灾害风险是由危险性、暴露性和脆弱性这三个因素相互作用形成的;张继权等则认为:自然灾害风险度=危险性×暴露性×脆弱性×防灾减灾能力,该观点亦被引入近年的多种灾害风险评估。
3数学方法在灾害风险评估中的应用
国内外学者对风险评估中使用的数学方法做过系统的总结。张继权等曾对国内外气象灾害风险评价的数学方法做了较系统的总结,葛全胜等亦对自然灾害致险程度、承灾体脆弱性及自然灾害风险损失度等方面的评估方法做过评述。尽管这些方法因针对的灾种不同而不尽相同(如用于地震灾害的超越强度评估法、构造成因评估法等,用于洪灾的水文水力学模型法、古洪水调查法等),但总体而言,数学方法应用及风险定量化表达已成趋势:
①概率统计:以历史数据为基础,考虑自然灾害的随机性,估计灾害发生的概率,应用多种统计方法(极大似然估计、经验贝叶斯估计、直方图估计等)拟合概率分布函数。由于小样本分析结果稳定不好,为避免与实际相差过大,故要求历史样本容量较大,常应用于台风、暴雨、洪灾、泥石流、地震等灾害的风险评估。
②模糊数学:以社会经济统计、历史灾情、自然地理等数据为数据源,从模糊关系原理出发,构造等级模糊子集(隶属度),将一些边界不清而不易定量的因素定量化并进行综合评价,利用模糊变换原理综合各指标,能较好地分析模糊不确定性问题。该方法在多指标综合评价实践中应用较为广泛,但在确定评定因子及隶属函数形式等方面具一定的主观性,现主要应用于综合气象灾害、洪灾、泥石流、地震、综合地质灾害等等风险评估。
③基于信息扩散理论:以历史灾情、自然地理、社会经济统计等数据为数据源,是一种基于样本信息优化利用并对样本集值化的模糊数学方法,遵循信息守恒原则,将单个样本信息扩散至整个样本空间。该方法简单易行,分析结果意义清楚,虽然近年来受到较多学者推崇和研究,但对扩散函数的形式及适用条件、扩散系数的确定等尚待进一步探讨。该方法已有运用于低温冷害、台风、暴雨、洪灾、旱灾、地震、火灾等灾害的风险评估。
④层次分析:该方法来源于决策学,是一种将定性分析与定量分析结合的系统分析方法,以历史灾情、社会经济统计、自然条件等数据为数据源。它利用相关领域多为专家的经验,通过对诸因子的两两比较、判断、赋值而得到一个判断矩阵,计算得到各因子的权值并进行一致性检验,为评估模型的确定提供依据。该方法系统性强、思路清晰且所需定量数据较少,对问题本质分析得较透彻,操作性强。该方法已经应用于综合地质灾害、洪灾、滑坡、草原火灾等灾害的风险评估中。
⑤灰色系统:以历史灾情、自然地理等数据为数据源,以灰色系统理论为基础,应用灰色聚类法划分灾害风险等级。算法思路清晰,过程简便快捷而易于程序化,但争议较大,故在国外研究中运用较少,在国内综合地质灾害、风暴潮、洪灾等灾害的风险评估中有所应用。
⑥人工神经网络:以历史灾情、自然地理、社会经济统计数据为数据源。选定典型评估单元(训练样本),将经过处理后的风险影响因子的数值作为输入,通过训练获得权值和阀值作为标杆;然后将其余单元的数据输入训练后的神经网络进行仿真,进而获得各个单元的风险度。其特点和优势是基于数据驱动,可较好地避免评估过程中主观性引起的误差,但因收敛速度对学习速率的影响会导致训练结果存在差异,且其“黑匣子”般的训练过程难以清楚解释系统内各参数的作用关系。该方法目前已经应用于洪灾、泥石流、雪灾、地震、综合地质灾害等灾害的风险评估工作中。
⑦加权综合评价:同样以社会经济统计、历史灾情、自然环境等数据,对影响自然灾害风险的因子进行分析,从而确定它们权重,以加权的、量化指标的指标进行综合评估。该方法简单易行,在技术、决策或方案进行综合评价和优选工作中有广泛运用,但需指标赋权的主观性仍是难以回避的问题。该方法目前应用于台风、暴雨、洪灾、综合地质灾害、生态灾害、草原火灾等自然灾害风险评估工作中。(以上几种方法的综合比较参考叶金玉等总结)各种数学工具的引入不仅为自然灾害评估方法注入了新的活力,同时也让人看到各具特色的数学方法是对应着不同的自然灾害种类,这也是一种提示:针对不同的自然灾害可以且应当有不尽相同的评估方法和研究途径,但这并不影响自然灾害风险评估走向定量化的步伐。
4多灾种综合风险评估
简单的说,自然灾害具有群发链发的特点,单一一种自然灾害往往伴随或者引发其他伴生(或次生)的灾害,对灾害链的研究,马宗晋等组成的研究小组曾给予高度的关注,史培军将其定义为某一种致灾因子或正态环境变化引起的一系列灾害现象,并将其划分为群发灾害链与并发灾害链两种,而群发的灾害或灾害链所引发的灾情必然是几种不同灾害与承灾体脆弱性共同作用所产生的结果,同时,还需认识到,不同自然灾害之间相互也会产生一定的影响,因此,对于这样的情况做单一灾种自然灾害风险评估显然是不合适的,自然灾害综合风险的评估就显得更有现实意义。综合自然灾害评估是风险和灾害领域的研究热点和难点,直到21世纪,学术界的研究方向才逐渐转向多灾种的风险评估。高庆华等认为,自然灾害综合风险评估是在各单类灾害风险评估基础上进行的,它的内容与单类灾害风险分析基本一致,所以采用的调查、统计、评估方法与单类灾害风险评估中用的方法基本相同,与单类灾害风险评估的根本区别是把动力来源不同、特征各异的多种自然灾害放到一个系统中进行综合而系统的评价,以此来反映综合风险程度;Joseph和Donald基于田间损失分布,提出以年总损失的超越概率来表示综合风险;而薛晔等却认为,在复杂的灾害风险系统中各个风险并非简单相加,对目前基本是单一灾种的简单相加的研究成果提出质疑,认为其缺乏可靠性,并以模糊近似推理理论为基础,建立了多灾种风险评估层次模型,对云南丽江地区的地震-洪水灾害风险进行了综合评估。
国内自然灾害综合风险评估研究成果不多,且模型也相对较简单,更好的评估方法也还有待探索,有待更多数学方法的引入。此外,在建立评估模型的同时,也要考虑到自然灾害风险的时空特性,即时间和空间上的分辨率,赵思健认为,同任何事物一样,风险也存在着时空差异,不同的灾种在不同时间、空间尺度上评估的方法和内容应有所区别,这个问题直接影响到该评估的时间有效性和适用范围。因此,由于在某一确定的评估方法下各单一灾种在同一时间空间尺度上的时间有效性并不一定一致,如何考虑这种不一致对评估结果所造成的影响是多灾种综合风险评估中亟待解决的难题之一。尽管有诸多问题困扰着多灾种自然灾害风险评估的发展,但相比单一灾种的风险评估,多灾种风险评估更符合实际生活中灾害群发的特点,其发展是防灾减灾工作的现实需要,决定了多灾种风险评估是风险学科发展的必然趋势。
关键词:供应链风险管理;风险评估;粗糙集;灰色系统理论
Key words: supply chain risk manegement;risk assessment;rough set;grey theory
中图分类号:C93 文献标识码:A 文章编号:1006-4311(2011)28-0020-02
0 引言
典型的供应链风险管理包括风险识别、风险评估、风险决策和管理、风险监控四个基本阶段。供应链风险评估是指利用一定的方法措施对供应链风险水平进行评价估算。目前,已有一些学者对此进行了一定的研究。哈里克斯(Hallikas)从风险事件的概率和结果的角度,半定量化地研究了供应链风险评估问题。丁伟东等提出了基于模糊评价方法的供应链可靠性评估矩阵。张彦如等在一定偏好基础上,利用模糊理论和风险评估方法建立了不确定性风险评估模型。蒋有凌、杨家其等针对各风险因素对供应链风险的影响程度和各风险因素相对于供应链风险的权重,运用人工神经元网络与专家系统相结合的方法建立了基于模糊综合评判与人工神经网络法的综合评估模型。本文在以往学者的研究基础上,提出了一种基于粗糙集和灰色系统理论的各医疗风险评估方法。首先运用粗糙集理论确定风险指标的权重,再运用灰色系统理论建立模糊矩阵,评估供应链风险水平。
1 粗糙集理论基础
粗糙集(Rough Set)理论由波兰数学家Z.Pawlak在1982年提出。该理论定义了模糊性和不确定性的概念,是一种处理模糊、不确定性问题的新型数学工具。下面给出粗糙集理论中的有关定义。
1.1 信息系统 令I=(U,R,f,V)为一个信息系统,其中U为论域(非空有限集),R为属性集(非空有限集),V为评价值集。对于任意的A?哿R,有等价关系类ind(A):ind(A)={(x,y)∈U×U│?坌a∈A,f(x,a)=f(y,a)}。称ind(A)为不可分辨关系。U对A的划分表示与等价关系A相关的信息,记为U/ind(A)。
1.2 上下近似集 对于不可分辨关系ind(A),当X?哿U,集合X的上下近似集可以定义为:A(X)=∪{Y∈U/ind(A)│Y?哿X};A(X)=∪{Y∈U/ind(A)│Y∩X≠?I}。其中,集合posA=A(X)表示集合X的正域。
参考文献:
[1]周艳菊,邱莞华,王宗润.供应链风险管理研究进展的综述与分析[J].系统工程,2006.3,24(3).
[2]丁伟东,刘凯,贺国先.供应链风险研究[J].中国安全科学学报,2003,13 (4):64-66.
[3]张彦如, 陈敬贤,郑泉,陈黎卿.基于偏好的供应链不确定型风险模糊评估方法研究[J].运筹与管理,2008.2,17(1).
〔摘 要〕针对信息系统安全风险评估的准确性问题,提出一种熵权理论与模糊集理论相结合的信息系统安全风险评估方法。该方法通过模糊集理论对信息系统所涉及的风险因素进行分析,构造各因素所对应评判集的隶属度矩阵;然后采用熵权系数法确定风险因素权重以减少主观偏差并输出信息系统安全风险等级。通过实例分析,证明该方法能较准确地量化评估信息系统风险,是一种有效、可行的评估方法。
〔关键词〕熵权;信息系统;风险评估;模糊集合;指标权重
信息系统作为国家信息化建设的重要组成部分,其安全问题涉及国家和信息系统用户的根本利益,然而就在整个信息化程度日益加深、技术进步为大家带来惊喜的同时,信息系统所面临的安全风险和威胁亦日趋严重。为保障信息系统安全与正常运行,则须找出可能导致其瘫痪的重大缺陷,而解决该问题的有效途径之一则是对其进行安全风险评估。综合国内外研究文献来看,信息系统风险评估主要依靠层次分析法、模糊综合评判法、BP神经网络法、灰色综合评价法和矩阵分析法等多种方法,目前已取得了一些研究成果[1-4]。信息系统的安全风险评估涉及资产识别、威胁识别、脆弱性识别、风险识别和风险大小的量化等,工作极富艰巨性。其中,风险的量化是非常重要的环节,直接关系到对风险状况的正确认识、安全投入的多少和安全措施部署的优先顺序[5]。由于信息系统风险包含大量模糊的、不确定性的影响因素且相互关联,相应信息不完全,使得运用传统方法评估其安全风险存在很大困难,极易降低评估的准确性。因此,针对该问题,在已有的多种评估方法基础上结合信息论中的熵权理论来对信息系统安全问题进行新视角的定量分析[6]。
1 信息系统安全风险评估基础信息系统的安全风险是客观存在的,其源自自然或人为的威胁利用信息系统存在的脆弱性造成安全事件的发生。风险评估的目的是运用科学的方法和手段系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提供有针对性的、有效的防护对策和整改措施[7]。根据BS7799标准[8]定义,风险是指威胁主体利用资产的脆弱性对其造成损失或破坏的可能性。信息安全风险R被表示为资产、威胁和脆弱性的函数,即R=g(a,t,v),其中:a为资产影响;t为对系统的威胁频度;v为脆弱性严重程度。GB/T20984-2007将资产影响、威胁频度、脆弱性严重程度均定义为5个等级[9],具体表述为:很高、高、中、低、很低。
一、前言
质量是新常态下经济社会发展的内生动力,提升质量是全体社会成员的共同追求。质量监管是一个国家监管体系的重要组成部分,也是质量提升的保障之一,特别是在当前经济“提质、增效、转型”过程中,更需要加强质量监管。在进出口商品质量监管方面,既要确保质量安全,又要简化程序,提高通关效率,降低贸易成本,就必须通过运用风险评估的技术方法做出科学的管理决策,将监管重点集中到进出口质量风险高的商品或区域,提升监管措施的针对性,有效控制整体质量风险,促进质量安全水平的提升。
本文从风险的定义出发,结合进出口商品质量风险管理的工作实际,建立了一种实用有效的进出口商品质量风险评估方法模型,运用该模型可以对质量风险等级进行判定,并针对不同风险等级建立了风险防控措施库,为风险决策提供技术参考和支持。
二、相关概念与定义
独立批:一批被检查/检验/检测的同一品种的进出口商品。与报检/申报批不同,实际通关流程中一个报检批可以同时含有多种商品,则其中每一种商品视为一个独立批,也称作货物批。进出口商品批次量大且种类繁多,本文针对独立批的质量风险评估方法开展研究。对某一商品类别或行业的整体风险评估技术另文研究,
详见参考文献[1]。
风险:某一事件发生的后果和事件发生可能性的组合。对风险的定义有大量不同的理解和争论,本文采用的是国家标准化管理委员会的GB/T23694-2013《风险管理 术语》中对风险的定义,参照这一定义,风险是不同概率水平下的危险性,在同一概率水平下,危害越大风险越大,即“不确定性对目标的影响”。这一定义是基于风险客观论。
风险评估:对风险进行识别、分析和评价的整个过程。参照风险定义,风险评估包涵了对风险发生的可能性和后果的严重性的分析与评价过程。
质量风险:某种商品质量危害的严重性和其造成实际伤害的可能性的组合。质量危害是对人身、环境或资产(包括有形资产和无形资产,如品牌、权威性等)造成损害的不良质量源头,商品一旦检出不合格项目,则其质量危害是客观存在的,但是不一定就会造成实际的伤害,因此必须从质量危害的严重程度和造成实际伤害的可能性大小两个维度来讨论质量风险,并依此采取相应的防控措施。
风险管理:识别、评估系统潜在的危害,并引入风险控制手段(防控措施),消除或减轻危害对人身、环境或资产的潜在伤害的持续的管理过程。本文所研究的进出口商品质量风险管理是一种主动性的系统性的政府职能行为,它是以公共利益和国家利益最大化和损失最小化(而不是风险最小化)为目的,在降低风险的同时我们所承受的成本也逐渐增大,因此必须通过科学的、规范的方式方法展开,才能发挥最大的效率与效益。
三、技术模型
对于一个独立批,该商品的全部质量要求可以看作一个简单质量系统或事件,设为X。
则,X={x1,x2,...,xn}
xi为某一项质量要求,i=1,2,...n,即该商品有n项质量要求。
xi存在两种状态,即合格或不合格,设合格=1,不合格=0,
则,xi∈{1,0}。
当xi=1(i=1,2,...n)时,该独立批商品各项质量要求全都合格。
理想情况下应要求所有xi=1时,该进出口商品质量合格,准予通关放行,但实际工作中考虑到质量成本与风险成本,风险被控制在合理范围内是可以接受的,因此必须考查不合格项目危害的严重性,即考查xi的命中情况。
对某一种商品不同xi的严重程度不同,部分xi=0时,对商品整体质量影响程度小,如服装产品的线头,轻微污渍等项目;部分xi=0时,对商品整体质量影响程度较大,如服装产品的钉扣不牢固,对称性等项目;部分xi=0时,对商品整体质量具有否决性质,如婴儿服装产品的钉扣不牢固,禁用偶氮染料,霉变等项目。本文中将严重影响人身、环境及资产安全,社会敏感度高,对产品整体质量具有否决性质的质量要求称为关键项目(以下简称A类项目);将对商品整体质量影响程度较大的项目称为必要项目(以下简称B类项目);将该产品的其他质量要求称为一般项目(以下简称C类项目)。即同一商品的全部质量要求xi区分为A、B、C三类。
xi的识别过程,其实就是质量风险的识别过程,识别出哪些质量问题可能会对我们所希望保护的人身、环境或资产造成潜在的伤害。可以针对不同商品分别建立或者汇总各种商品的质量项目建立质量要求项目库,并根据潜在伤害的严重程度区分A、B、C类,如表1。类别的区分根据先验知识和先验信息,经专家讨论进行确定。
仅根据xi对A、B、C类项目的命中情况进行风险等级的判定仍不够,还必须考查危害发生的可能性,包括可能造成的危害和同一项目对不同人群的不同危害影响,如铅含量对儿童和成人的不同影响。因此还需引入代表可能性的辅助信息进行综合判定。
将信息物理融合技术(cyber physical system,CPS)应用于电力系统,将有效实现系统的智能化发展。然而,电力CPS具有很高的复杂性:
(1)信息采集范围远大于智能电网;
(2)分布式计算设备众多;
(3)控制中心与各种分布式电源和负荷设备联网,并对其直接控制。
因此,其风险来源也相当广泛。目前关于电力CPS的安全风险评估缺少系统地量化方法,不利于整体决策。因此,本文引入模糊风险评估方法,研究电力CPS的风险评估问题。
1 电力CPS的风险分析
电力CPS是一类二元异构的复合网络,其安全问题包括信息空间安全和物理空间安全,以及两者相互作用导致的耦合风险。鉴于电力CPS的特殊性,综合考虑物理层面和信息层面,以火力发电厂为例,表1列举出了电力CPS风险评估的主要参量。
2 综合模糊风险评估模型
三角模糊数(TFN)是一种将模糊的不确定的语言变量转化为确定数值的一种方法,在实际情况中,由于不确定性和信息匮乏,评估这些因素有一定的困难。所以,很多评估结果采用语言变量,例如高、中、低。在本文的研究中,使用TFN表示语言客体的模糊性。
风险的参量评级包括V1,V2,V3,V4,V5,V6,V7,其中V1=非常低,V2=很低,V3=低,V4=一般, V5=高,V6=很高,V7=非常高,这些语言变量通过隶属函数由TFN定义。由重心法得上述七个定性指标V1,V2,V3,V4,V5,V6,V7的重心分别为VG(1)=0.0556,VG(2)=0.1667,VG(3)=0.3333,VG(4)=0.5000, VG(5)=0.6667,VG(6)=0.8334,VG(7)=0.9444,且将V={V1,V2,V3,V4,V5,V6,V7}作为每个子参量的等级集合。用同样的方式,我们可以分别为风险类别C2,C3,C4和C5组成模糊评价矩阵M(C2),M(C3),M(C4)和M(C5)。
层次分析法(AHP)是解决多参数决策问题的一个优良方法。父功能f被分为f1-f5五个子动能,对应风险权重依次为ω1-ω5。设Wi和Wij分别是主要风险类别和其相关参量的相对权重,g(s, l)是每个参量的风险率。下面是求取系统整体风险概率的三步模糊评估法。
第1步,C1的整体风险评估:
上述风险概率计算方法给出了一个整体风险级别的定量表示,基于综合模糊风险评估方法的电力CPS风险评估的主要步骤包括:
(1)确定待评估的电力系统研究对象,进行功能分解,收集相关参量。
(2)计算各子风险的等级。首先用TFN表示出严重性s和可能性l,二者相乘得到风险等级g。
(3)利用AHP分析参数权重。首先基于九标度法构建判断矩阵Z,然后采用和积法求取特征向量,归一化处理得到风险权重W。
(4)构建风险评估层次结构表,综合考虑各个风险水平及权重,通过模糊评价矩阵得到整体风险评估向量,逆模糊化后求取具体数值。
3 算例分析
以某火电厂CPS系统为例,进行量化风险评估,首先使用九分法对风险进行权重评估,通过构建Z矩阵,得到各自权重。
采用和积法归一化处理,得到ω1=3/4,ω2=1/4。同理,得到其他参量的权重分配。从而构建M(C11)矩阵,接下来风险矩阵与M(C11)相乘,得到类别C11的带权重风险水平:
R(11)=[0.055 0.564 0.118 0.263]×M(C11)
=[0.411 0.573 0.017 0 0 0 0] (3)
同理构建M(C12),M(C13),M(C14),M(C15),M(C16),计算得R(12),R(13),R(14),R(15),R(16)。
接下来,权重矩阵W1i与上述风险水平组成的矩阵相乘,得到类别C1的风险水平:R(1)=[0.366 0.624 0.008 0 0 0 0],同样的方法,得R(2)=[0.396 0.597 0 0 0 0 0]。最后,综合类别C1和C2,得到整体风险水平,使用重心法对结果逆模糊化,得到综合模糊风险评估等级。
ARI=0.374×0.0556+0.617×0.1667+0.006×0.3333+0×0.5+0×0.6667+0×0.8333+0×0.9444=0.126
因此,该电力CPS系统的风险等级为0.126,参考关于定性指标的定义,介于V1(非常低)和V2(很低)之间,风险程度较低。
参考文献
[1]赵俊华,文福拴,薛禹胜,李雪,董朝阳.电力CPS的架构及其实现技术与挑战[J].电力系统自动化,2010(16):1-7.
中图分类号:TM73 文献标识码:A 文章编号:1674-098X(2014)04(c)-0210-01
近年来,电网之间的大规模互联,加强了各电网之间的联系,提高了系统的运行效率,但同时也增加了系统运行的不确定性,使得系统扰动波及范围更广,局部故障可能迅速传播到大区域甚至整个网络。大停电事故通常是由连锁故障引起的,故在工程规划、设计、运行和维修中引进连锁故障风险评估,以使系统的风险水平保持在可接受的范围内[1]。
1 临界态指标
1.1 系统运行状态参数
(1)系统负载率。负荷是实际电力系统中最重要的变量之一,而且负荷与重大停电事故,尤其是连锁性故障的发生强相关,所以负载率是一个描述系统运行状态的重要参数[2]。
(2)潮流熵。电力系统作为一个能量平衡系统,其内部的稳定平衡可以通过系统内部能量分布的熵变过程来描述。[3]
1.2 复杂网络的拓扑结构特征参数
(1)特征路径长度从全局的角度衡量了网络中节点间的联系紧密程度,对于了解网络的整体结构特性有重要意义。
(2)一般认为网络的同步能力与其平均度有密切的关系,平均度的增加可以提高网络的同步能力。
(3)网络的聚类系数是用来衡量网络节点聚集程度的一个重要特征参数。在网络中,若节点i的度为Ki,则这Ki个节点之间最多可能有的连线数目为,假设Ki个节点间实际存在ti条边,则节点i的聚类系数为:
(1)
整个网络的聚类系数C就是所有节点的平均,即:
(2)
2 连锁故障风险评估
电力系统如果发生连锁故障,将可能产生负荷被切除、电源脱离、电网解列等后果,最终导致系统的崩溃。综合负荷、电源、电网这3个方面的风险就得到了连锁故障给整个系统造成的综合风险。
(1)负荷孤立风险。连锁故障中负荷被切除的概率为:
(1)
式中:i为连锁故障序号,N为连锁故障总数。如果第i次连锁故障造成负荷孤立,L(i)为1,否则为0。
负荷孤立的后果为:
(2)
式中:\*为第i次连锁故障造成负荷孤立所引起的负荷容量损失,Ps为系统容量。根据风险的定义,负荷孤立的风险为:
(3)
(2)电源孤立风险。
(4)
如果电源,B(i)为1,否则为0。电源孤立的后果为:
(5)
式中:\*为第i次连锁故障造成电源孤立所引起的负荷容量损失。根据风险的定义,电源孤立的风险为:
(6)
(3)电网解列风险。如果电网解列,S(i)为1,否则为0。电网解列的概率为:
(7)
电网解列的后果为,电网解列风险为:
(8)
(9)
(4)综合风险。综合风险反映了连锁故障对整个电力系统的影响。该文定义综合风险为电源孤立风险、负荷孤立风险以及电网解列风险的加权和:
(10)
式中:,,为权重因子,其中。
3 实例分析
采用IEEE-RTS系统作为算例,IEEE-RTS系统共有10台发电机,24个节点,38条输电线路。用Matlab编程实现临界态指标的计算,连锁故障仿真,并计算系统风险。在系统总负荷Ps=2850 MW的条件下,表1给出IEEE-RTS临界态参数表。
系统进行了124次连锁故障仿真,其中发生电网解列8次,电源孤立10次负荷孤立2次。由连锁故障风险评估中提出的风险评估方法对系统在该运行方式下的连锁故障风险进行评估。(如表2)
按照风险的计算公式,得到在该状态下系统的连锁故障风险为:
R=1/30.06450.0475+1/30.08060.0050+1/30.01610.0007=0.001159
4 结语
通过风险评估得到系统在特定运行状态下综合考虑综合负荷、电源、电网这3个方面的风险,得到了连锁故障给整个系统造成的综合风险值。结合五个临界态指标使设计人员和安全工程师能够以一种系统的方式检查由于设备的使用而产生的灾害,从而选择合适的安全措施。使用风险指标能够定量地描述决定风险等级的因素,即事故的可能性和严重性,从而比较全面地反映事故对整个系统的影响。
参考文献
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
本文介绍了内蒙古电力信息系统风险评估的相关工作,并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。
2 内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
根据国家关于信息安全的相关标准与政策,并根据实际业务情况,内蒙古电力公司委托北京数字认证股份有限公司(BJCA)对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面,以解决电力信息系统面临的的安全风险。
3 电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4 电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1) 前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2) 现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(3) 风险分析阶段:根据现场调查阶段获得的相关数据,选择适当的分析方法对目标信息系统的风险状况进行综合分析。
(4) 策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5 数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1) 调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2) 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
(3) 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如:系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。
a) 分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中,可以通过调查表和合作讨论会的形式进行风险分析,分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b) 质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6 内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1 建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2 编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3 加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4 统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5 以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6 风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1] 魏晓菁, 柳英楠, 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全,2004,6.
[2] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化,2004,2(1).
[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化,2004,2(7).
[4] 梁运华,李明,谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化,2003,2(1).
[5] 周亮,刘开培,李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术,2004,28(23).
[6] 陈其,陈铁,姚林等. 电力系统信息安全风险评估策略研究. 计算机安全,2007,6.
[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全,2003(4).
[8] 丛林,李志民,潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化,2004,28(12).
[9] 胡炎,谢小荣,辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化,2005,29(10).
关键词:城市区域火灾风险评估
一、火灾风险评估的概念
过去,人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展,风险评估(riskassessment)和风险管理(riskmanagement)技术作为复杂或重大事项决策的必要辅助手段,在过去的二、三十年间,在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用[1]。
通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果[2]。因而,火灾风险(firerisk)包含火灾危险性(发生火灾的可能性)和火灾危害性(一旦发生火灾可能造成的后果)双重含义[3]。
现在,在文献中可以看到的与“火灾风险评估”相关的术语有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火灾风险评估都是指:在火灾风险分析的基础上对火灾风险进行估算,通过对所选择的风险抵御措施进行评估,把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系,为其提供定性和定量的分析方法,简单地如消防安全设施检查表,复杂的就会涉及到概率分析,在应用方面针对的风险目标的性质和分析人员的经验有各种变化[4]。
较多的人倾向于从工程角度来定义火灾危害性(firehazard)和火灾风险(firerisk)。火灾危害性指:凡是根据已有的资料认为能引起火灾或爆炸,或是能为火灾的强度增大或蔓延持续提供燃料,即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性,目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景,包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式,辅以专家判断。此时,危害性分析可以看作是风险评估的一个构成元素,即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。
从系统分析的角度来看,风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性,而是属于一个系统的特性。若系统发生变化,很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括:系统认定,即明确所要评估的具体系统并定义出风险抵御措施的过程;风险估算,即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度,计算和量化系统中的指标的过程;风险评估,对该标准或尺度进行分析和估算,确定某一特定风险值的重要性或某一特定风险发生变化的权重[5]。
二、城市区域火灾风险评估的意义及发展概况
在消防方面,随着人们安全意识的提高和建筑设计性能化的发展,对建筑工程的安全评估日益受到重视,比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规,与之同源的“NFPA101A确保生命安全的选择性方法指南”,分别针对医护场所、监禁场所、办公场所等,给出了一系列安全评估方法,多应用于建筑工程的安全性评估方面[6]。
目前,我国在火灾风险评价方面的研究,大部分是以某一企业,或某一特定建筑物为对象的小系统。例如,由武警学院承担的国家“九五”科技攻关项目“石化企业消防安全评价方法及软件开发研究”,以“石油化工企业防火设计规范”等消防规范和德尔菲专家调查法为基础,设计了石化企业消防安全评价的指标体系,利用层次分析法和道化指数法确定了各指标的权重,采用线性加权模型得出炼油厂的消防安全评价结果[7]。以某一特定建筑物为对象的火灾风险评价也比较多,如中国矿业大学周心权教授,在分析建筑火灾发生原因的基础上,建立了建筑火灾风险评估因素集,并运用模糊评价法对我国的高层民用建筑进行了消防安全评价[8]。
与上述的安全评估不同,城市区域的火灾风险评估的目的是根据不同的火灾风险级别,配置消防救援力量,指导城市消防系统改造,指导城市消防规划。对已建成的城市区域的火灾风险评估必须考虑许多因素,即城市火灾危险性评价指标体系,包括区域内所存在的对生命安全造成危险的情况、火灾频率、气候条件、人口统计等因素,进而评价社区的消防部署和消防能力等抵御风险的因素。除此之外,在评估过程中另一个重要的情况是要关注社区从财政及其他方面为消防规划中所要求的总体消防水平提供支持的能力和意愿。随着城市规模扩大、综合功能增强,在居住区商贸中心、医院、学校、和护理场所增多,评估方法还会相应的改变。现有的城市区域火灾风险评估方法主要出于以下两个目的:
(一)用于保险目的
在火灾保险方面的应用的典型事例为美国保险管理处ISO(InsuranceServicesOffice,ISO)的城市火灾分级法,在美国已经被视为指导社区政府部门对其火灾抵御能力和实际情况进行分类和自我评估的良好方法。ISO方法把社区消防状况分为10个等级,10级最差,1级最好。
ISO是按照一套统一的指标来对每个社区的客观存在的灭火能力进行评估,确定该社区的公共消防级别,这套指标来自于由美国消防协会和美国自来水公司协会所制定的各种国家规范。ISO对城市消防的分级方法主要体现在它的“市政消防分级表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑结构、用途、防火间距与公共消防情况(用公共消防分级数目表达)相关联,再以统计数据加以调节后,来确定相应的火险费用。ISO级别仅被保险公司用作确定火险费用的一个成分。ISO分级系统虽然无法反映出消防组织的其他应急救援能力,但实际上也常用于各个区域的公共灭火力量的确定。
市政消防分级表从1974年开始使用,主要考察某城市区域的7个指标情况:供水、消防队、火灾报警、建筑法规、电气法规、消防法规、气候条件。随着技术进步,该表也不断改进。1980年版抽取了CFRS中对公共消防分级的方法,给出了修订后的灭火力量等级表,指标只包括前3项。被删除的指标或者确少区分度,或者在全市范围内进行评估时太过于主观,而且74表格中包含许多评估标准是具体的规定,如果某一社区的情况没有满足这些规定,则归属为差额分,规定降低了表格可使用的弹性范围,无法正确评估情况和技术的变化。故而ISO分级表被视为越来越“性能化”[9]。
(二)用于消防力量的部署
当今的消防组织和地方政府要担负日益加重的安全责任,面对来自公众的对抵御各种风险的更多的期望,以及调整消防机构人员、设备及其他预算方面的压力,迫切需要确认某一给定辖区内的具体风险和危险的等级。
具体地说,城市区域风险评估在消防方面的目的就是:使公众和消防员的生命、财产的预期风险水平与消防安全设施以及火灾和其他应急救援力量的种类和部署达到最佳平衡。
关于火灾风险对于灭火救援力量的影响,美国消防界对此的关注可以说几经反复,其间美国消防学院、NFPA等都做了许多工作。直至20世纪90年代,国际消防局长协会成立了由150名专业人士组成的国际消防组织资质认定委员会(theCommissionofFireAccreditationInternational,CFAI),经过9年的广泛工作,制定了“消防应急救援自我评估方法”,和制定标准的社区消防安全系统。另外,NFPA最终还制定了NFPA1710和1720两个指导消防力量部署的标准,分别帮助职业消防队和志愿消防队和改进为社区提供的消防救援的水平。根据NFPA最近的调查,NFPA1710将在全美30500个消防机构中的3300~3600个得到正式的应用,也推广到加拿大有些地区[10]。
英国对消防救援力量的部署标准是依据内政部批准的“风险指标”,把消防队的辖区划分为“A”、“B”、“C”、“D”四类区域,名为“风险分级”系统。其目的是对消防队的辖区进行风险评估,确定辖区内的各种风险区域,进而确定该风险区域发生火灾后应出动的消防车数量和消防响应时间。1995年,英国的审计委员会了一份题为“消防方针”的考察报告,认为这种方法没有充分考虑建筑设施的占用情况、社区的人口统计情况和社会经济因素,也没有把建筑物内的消防安全设施纳入考核范围。故而由审计委员会报告联合工作组与内政部的消防研究发展办公室一起,设立了一个研究项目。该项目的目的是开发一套供消防机构划分区域的风险等级,对包括灭火在内的所有应急救援力量进行部署,用于消防安全设施的规划并能解决上述问题的风险评估方法,再对开发出的方法进行测试。最后Entec公司开发出了计算软件,并于1999年4月以内政部的名义出台了“风险评估工具箱”测试版[11]。
三、国内外近期的城市区域火灾风险评估方法
(一)国内的城市区域火灾风险评估方法
张一先等采用指数法对苏州古城区的火灾危险性进行分级[15],该方法的指标体系考虑了数量危险性,着火危险性,人员财产损失严重度,消防能力这四个因素。1995年李杰等在建立火灾平均发生率与城市人口密度﹑城区面积﹑建筑面积间的统计关系基础上,选取建筑面积为主导参量,建立了以建筑面积为单一因子的城市火灾危险评价公式[12]。李华军[16]等在1995年提出了城市火灾危险性评价指标体系,该体系中城市火灾危险性评价由危害度﹑危险度和安全度三个指标组成,用以评价现实的风险,不能用来指导城市消防规划。
(二)美国的“风险、危害和经济价值评估”方法[13]
美国国家消防局与CFAI于1999年一起,在“消防局自我评估”及“消防安全标准”的工作的基础上,更突出强调了“火灾科学”的“科学性”,开发出名为“风险、危害和经济价值评估(Risk,HazardandValueEvaluation)”的方法。美国消防局于2001年11月19日了该方案,这是一个计算机软件系统,包含了多种表格、公式、数据库、数据分析方法,主要用于采集相关的信息和数据,以确定和评估辖区内火灾及相关风险情况,供地方公共安全政策决策者使用,有助于消防机构和辖区决策者针对其消防及应急救援部门的需求做出客观的、可量化的决策,更加充分地体现了把消防力量布署与社区火灾风险相结合的原则。
该方法的要点集中于两个方面:1、各种建筑场所火灾隐患评估。其目的是收集各种数据元素,这些数据能够通过高度认可的量度方法,以便提供客观的、定量的决策指导。其中的分值分配系统共包括6类数据元素:建筑设施、建筑物、生命安全、供水需求、经济价值。2、社区人口统计信息。用于收集辖区年度收集的相关数据元素。包括居住人口、年均火灾损失总值、每1000人口中的消防员数目等数据元素。
该方法已在一些消防局的救援响应规划中得到应用。以苏福尔斯消防局为例,它利用该方法把其社区风险定义为高中低三类区域,进而再考察这些区域的火灾风险可能性和后果:高风险区域包括风险可能性和后果都很大的以及可能性低、后果大的区域,主要指人员密集的场所和经济利益较大的场所;中等风险区域是风险可能性大,后果小的区域,如居住区;低风险区域是风险可能性和后果都较低的区域,如绿地、水域等,然后再把这些在消防救援响应规划中体现出来。
(三)英国的“风险评估”方法[14]
英国Entec公司研发“消防风险评估工具箱”,解决了两个问题:一是评估方法的现实性,是否在一定的时限内能达到最初设定的目标。经过对环境、管理、海事安全等部门所使用的各种风险评估方法的进行广泛考察之后,研究人员认为如果对这些方法加以适当转换,就可以通过不同的方法对消防队应该接警响应的不同紧急情况进行评估。二是建立了表达社会对生命安全风险可接受程度的指标。
Risk Analysis and Food-borne Disease Surveillance & Control
GAO WeiweiLIU HongWANG Liwei
(Shanghai Municipal Center for Disease Control & prevention, Shanghai 200336)
[Abstract] This paper mainly introduces risk analysis and its application in the food-borne diseases monitoring. By summarily analyzing the related risk assessment work at home and abroad, this paper expounds the application prospect of the risk analysis in food-borne diseases monitoring. That risk analysis in assessing food contaminants harm level, formulating measures for implementation of food safety, preventing and controlling food-borne diseases, and better protecting human health is very important.
[Keywords] Risk Ananlysis; Food-borne Disease; Quantitative; Microorganisms
近年来,风险分析的应用开始逐渐深入到卫生领域。2009年6月1日生效的《中华人民共和国食品安全法》(简称《食品安全法》)也是我国第一次以法律条文的形式把风险分析的概念正式应用到食品安全领域,也对公共卫生的学科发展提出了更高的要求。本文就风险分析在食源性疾病监控中的应用进展作一综述。
1.食源性疾病的概念和监控现状
1.1概念
世界卫生组织(WHO)把食源性疾病定义为:通过食物进入人体内的各种致病因子引起的感染或中毒。我国2009年颁布实施的《食品安全法》把食源性疾病定义为:食品中致病因素进入人体引起的感染性、中毒性等疾病。常见的致病因子有各种致病微生物、真菌及其毒素、天然毒素、寄生虫和有毒化学物等。
1.2国内外食源性疾病监控现状
近年来食源性疾病受到国际社会的广泛关注,食品安全问题已成为各国政府面临的最重要的公共卫生问题之一。美国通过食源性疾病主动监测网(FoodNet)、国家法定疾病监测报告系统、公共卫生实验室信息系统、海湾国家弧菌监测系统、食源性疾病暴发监测系统等开展食源性疾病监测工作;其他还包括:完整的食源性疾病负担评估、风险分析理论模型的建立及在食品安全风险管理中的应用、构建基于内科医生组织的食源性疾病监测系统、食源性疾病症状监测系统、不明原因食源性致死因子研究等。此外,美国还开展了食源性疾病归因资料研究,这也是一项庞大的工程,汇聚了包括来自美国、英国、丹麦等国家的食品卫生专家。
欧盟自1980年起由WHO在欧洲组织实施食源性疾病监控项目。该项目由德国联邦危险性评估研究所(BFR)管理,主要是为完成区域性范围内的目标而设立,为适应社会发展、监控食源性疾病提供信息。自1980年运行以来受到越来越多国家的青睐,参加成员由最初8个国家增加到52个欧盟国家中的51个。
美国制定食品法律法规政策及相关风险评估工作主要由卫生和人类服务部(DHHS)、农业部(USDA)、环境保护局(EPA)完成。2003年美国农业部(USDA)成立了一个食品安全风险评估委员会,该委员会的主要任务是确定风险评估的优先领域,提供实施风险评估的技术指导,加强各机构在风险评估中的合作与交流。美国的食品安全标准都是在进行客观的风险评估的基础上制定的。
丹麦拥有较完整的食源性疾病监测系统。其监测范围涵盖了“从农田到餐桌”全过程的病原物质监测,尤其是启动了沙门菌监测、微生物溯源技术应用、在特殊病原物或特殊食品中的风险评估等监测项目。
英国每年都发表动物源性食品安全监测报告,同时英国也在开展从动物到食品的微生物指纹图谱追踪,还发展了根据每年不同食品所致的发病情况估计该类食品相对危险度的方法。
加拿大建立了食品监督系统(CFI),并由卫生部开展食源性疾病监测工作,以提供一个早期检测系统,为评价控制策略提供基础。同时该国还建立了食源性疾病暴发应急预案,采取综合应对措施,以确保所有相关机构在食源性疾病暴发时能迅速动员并应急响应,从而减轻并控制风险。
中国建立了全国性的食物中毒网络直报系统,并在2000年开始了全国性的食源性疾病监测工作,主要集中在东部沿海各省市,这一网络将进一步扩大到中西部地区。目前,国家食源性疾病监测网络报告系统也正在不断完善。
随着经济全球化进程、人口流动以及战争和自然灾害,食源性疾病不但没有减弱,反而有越演越烈的趋势。食源性疾病可能在局部地区、全国或国际范围发生,它不仅会影响人类健康,有时还会产生巨大的经济影响。2008年首先在中国暴发的婴幼儿食用含有三聚氰胺的奶粉致病事件至少造成26万余人生病,直接经济损失数十亿。因此对食源性疾病的监控亟待加强,并迫切需要寻求更新的监控理念和技术手段,同时还需要世界各国的协同作战。
2.食品风险分析的概念和应用
2.1概念
食品风险分析是包含风险评估、风险管理和风险信息交流3个组成部分的科学框架,其中风险评估是整个体系的核心和基础。风险分析的根本目标在于保护消费者的健康和促进公平的食品贸易。
国际食品法典委员(CAC)会对风险分析的一系列定义[1]如下:
危害(Hazard):食品中含有的,潜在的将对健康造成副作用的生物、化学和物理的致病因子。风险(Risk):由于食品中的某种危害而导致的有害于人群健康的可能性和副作用的严重性。
风险分析(Risk Analysis):是包含风险评估、风险管理和风险信息交流3个组成部分的科学框架。
风险评估(Risk Assessment):是包括以下步骤的科学评估过程:(1)危害确定,(2)危害特征描述,(3)暴露评估,(4)风险特征描述。其中,危害确定(Hazard Identification):对可能在食品或食品系列中存在的,能够对健康产生副作用的生物、化学和物理的致病因子进行鉴定。危害特征描述(Hazard Characterization):定量、定性地评价由危害产生的对健康副作用的性质。对于化学性致病因子要进行剂量-反应评估;对于生物或物理因子在可以获得资料的情况下也应进行剂量-反应评估。剂量-反应评估(Dose-Response Assessment):确定化学的、生物的或物理的致病因子的剂量与相关的对健康副作用的严重性和频度之间的关系。暴露评估(Exposure Assessment):定量、定性地评价由食品以及其它相关方式对生物的、化学的和物理的致病因子的可能摄入量。风险特征描述(Risk Characterization):在危害确定、危害特征描述和暴露评估的基础上,对给定人群中已知或潜在的副作用产生的可能性和副作用的严重性,做出定量或定性估价的过程,包括伴随的不确定性的描述。
风险管理(Risk Management):这个过程有别于风险评估,是权衡选择政策的过程,需要考虑风险评估的结果和与保护消费者健康及促进公平贸易有关的其他因素。如必要,应选择采取适当的控制措施,包括取缔手段。
风险信息交流(Risk Communication):贯穿风险分析整个过程的信息和观点的相互交流的过程。交流的内容可以是危害和风险,或与风险有关的因素和对风险的理解,包括对风险评估结果的解释和风险管理决策的制定基础等;交流的对象包括风险评估者、风险管理者、消费者、企业、学术组织以及其他相关团体。
2.2风险分析的应用
1986-1994年举行的乌拉圭回合多边贸易谈判中形成的实施卫生与动植物检疫措施协定(Agreement on the Application of Sanitary and Phytosanitary measures , SPS协定)[2] 中强调,食品的安全措施应建立在风险评估的基础上。联合国成员国应确保其卫生和植物卫生措施是采用有关国际组织制定的风险评估方法,并根据本国的具体条件,对人、动物或植物的生命或健康进行风险评估。1995 年联合国粮农组织/世界卫生组织( FAOPWHO) 在瑞士日内瓦召开了危险性分析应用于食品标准制订的联合专家委员会,第一次提出在食品安全领域进行危险性分析的新概念[3]。国际食品法典委员会(Codex Alimentarius Commission,CAC)于1997年正式决定采用与食品安全有关的风险分析术语的基本定义,并把它们包含在新的CAC工作程序手册中。目前,风险分析已被公认为是制定食品安全标准的基础。世界卫生组织在2001 年召开的第53 届世界卫生大会上重申,要最大可能地利用发展中国家在食源性因素风险评估方面的信息来制定国际标准。
3.风险评估与食源性疾病监控
3.1 点评估
概率评估点估计(point-estimate):数据输入为单一的数字,例如平均值或95 %置信区间上限值(一般是表示“最坏的情况”,即worst case分析)。点估计应用比较简便,节省时间,但是点估计的不足在于对风险情况缺乏全面、深入的理解,通常忽略评估信息的“变异性”和“不确定性”。如“最坏情况”评估通常是描述一个完全不可能发生的设想,即所有的情况都做最坏的估计,由此得到的评估结果常常在现实中是不客观的,容易带来对风险问题的错误理解。一般来说,“最坏情况”的评估只是作为最保守的估计。
3.2概率评估
与点评估和简单分布相比,概率暴露评估模型可用来描述食品污染物的暴露风险分布, 如对某一特定的健康影响发生的概率;它也可用于描述最终可能用于概率风险评估的暴露分布。在概率分析的过程中,主要采用了Monte Carlo模拟分析[4]的方法,市场上的风险分析软件@risk4.5、Crystal Ball等可用于食品中污染物暴露评估模型的构建。在食品污染物的膳食暴露概率分析的模型中, 食品消费数据及残留量/或浓度数据均使用分布, 并且依据每一个输入的分布, 找出与暴露过程相一致的数学模型, 用随机生成的一些数值来模拟膳食暴露。即一旦模型和输入的数据被选择了, 运用合适的软件系统, 就可以设置所需的模拟和重复数据, 并且可以利用这个模型对所有可能的结果进行分析和判断,也可对一些与暴露评估相关的不确定性因素进行定性。
3.3 风险评估的应用
3.3.1生物性污染物风险评估
2002 年WHO/FAO 联合评估专家组完成了蛋和肉鸡中沙门菌的风险评估。鸡肉中沙门菌的风险评估尚未能包括从生产到消费的整个食物链。评估结果显示,降低被沙门菌污染鸡肉的流行率与人群患病的危险性密切相关,如果将鸡肉中沙门菌的污染率由20 %降低到10 %,可使人群的感染发病率降低50 %。蛋中肠炎沙门菌的风险评估表明,降低鸡群中肠炎沙门菌的流行率可直接降低人群的发病率。模型可同时用于评估改变蛋的储存时间和温度对人群发病的影响。改变烹调方式无助于交叉污染带来的发病危险性,而家庭引起交叉污染是引发疾病的重要来源[5]。
2004 年WHO/FAO 联合出版了有关即食食品中单增李斯特菌的风险评估报告。报告指出,摄入一定量单增李斯特菌引起疾病的概率与疾病的三大要素有关:食物、菌株的毒力和消费者的敏感性。评估模型显示,在不同的国家摄入单增李斯特菌菌量导致疾病的危险性差异没有显著性,而不同的加工、操作方式影响了食品的污染途径和餐后致病的危险性。预防和控制食品消费时的污染水平,将对降低李斯特菌病有显著影响,特别是控制好储存温度和时间,将减轻细菌生长带来的危险性。迄今,李斯特菌病患者都与摄入了不符合李斯特菌限量标准的食品(0 CFU/g 或100 CFU/g) 有关。单增李斯特菌的风险评估仅关注于即食食品,并且仅调查了超市至消费阶段。危险性特征描述的结果受到模型中不确定因素的影响,如细菌在食品中的污染情况、污染水平、繁殖情况、人群消费特点以及副作用等与摄入相当数量的单增李斯特菌细胞之间的关系。用于单增李斯特菌评估的定量资料仅限于欧洲食品,对消费特征的描述也仅限于加拿大或美国。
在国内陈艳等[6]人为模拟生牡蛎消费引起副溶血性弧菌(VP)疾病的危险性,在福建省开展了定量微生物风险评估。结合暴露评估模块的结果与贝塔-泊松剂量反应模型,推测由消费VP污染的生牡蛎导致疾病发生的危险性,分析结果表明,零售期间牡蛎的未冷藏时间、零售带壳牡蛎体VP密度的对数值、冷却持续时间和气温等因素与疾病发生的危险性显著相关。采取缩短零售期间牡蛎的未冷藏时间、快速冷却、微热处理和冷冻贮存等控制措施,能够明显降低疾病发生的人数。该研究为我国制定减少VP对公众健康影响的政策提供了理论依据。
此外,FAO/WHO食品添加剂联合专家委员会(JECFA)[7],根据流行病资料和动物实验结果采用数学模型估计黄曲霉毒素(AF)的致癌作用强度,即每人每天每公斤体重摄入1ng,每年能在1 0万人中增加肝癌的病例数。经综合多项研究的结果,得出在 HBsAg (-) 人群中,每人每天每公斤体重摄入1ngAF,每年在10万人群中可增加0.01个肝癌病例,而在 HBsAg (+)人群中,则可增加0.03个肝癌病例。
3.3.2化学污染物风险评估
JECFA在广泛收集各国数据的基础上,对丙烯酰胺进行了系统的评价[8],丙烯酰胺非致癌效应的NOEL为 2ug/kgbw;而根据动物致癌实验的结果,最保守的致乳腺癌的BMDL0.3mg/kg bw。评价结论为:平均摄入量不会产生有害作用,但不排除高消费量发生神经损害的可能。
苏丹红作为一种染料在工业上应用广泛, 因其对人体健康具有潜在危险性, 我国及欧美等国家严格限制其作为色素在食品中进行添加,但目前在我国和欧美市场上发现了含苏丹红I的食品,这引起了公众的普遍关注。宋雁等人就苏丹红I-Ⅳ在食品中的污染情况、人体暴露情况、人体接触途经及生物标志物、 对人体健康 的潜在危险性等方面进行评估[9]。
高峻全等人运用总膳食的方法得到了2000年中国成年男子和全国平均膳食 中铅、镉摄入量及占暂定每周允许摄入量(PTWI )数据,结论表明中国不同地区膳食铅、镉的摄入量是安全的,只有某些地区的个别样品超过中国食品中铅,镉限量标准[10]。
4.小结
风险分析在科学评估食品中污染物危害水平、制定切实有效的保障食品安全的管理措施、降低食源性疾病发生、更好地保护人类健康方面有着极其重要的作用。我国以法律的形式确立对上述内容开展监测,对于食品安全管理体系具有十分重要的意义。《食品安全法》规定“国家建立食品安全风险监测与评估制度” ,确立了我国食品安全管理中对于健康危害的评价采用风险评估的手段,并将这一手段作为一种制度加以规定,充分反映了我国食品安全管理更加强调科学性,也标志着我国采用国际通行的原则和方法开展风险评估研究工作并制定相应规范,将风险评估与管理相结合,使我国的食品标准体系和卫生管理规范与国际接轨。
主要参考文献:
[1]Codex Alimentarius Commission ,Joint FAOP WHO Food Standards Programme ,Procedural Manual ,12th edition ,FAO Rome ,2001. 432-444
[2]WTO.Agreement on the Application of Sanitary and PhytosanitaryMeasures ,1994.
[3] FAO/WHO. Application of risk analysis to food standards issues.In : Report of a Joint FAOP WHO Expert Consultation. Geneva ,Switzerland , WHO,1995
[4]Zwietering MH , van Gerwen SJC. Sensitivity analysis in quantitative microbial risk assessment . Int J Food Microbiol , 2000 ,58∶ 213-221
[5] World Health Organization , Food and Agriculture Organization of the United Nations. Risk assessments of Salmonella in eggs and broiler chickens , Microbiological risk assessment series 1 , 2002
[6]陈艳,刘秀梅福建省零售生食牡蛎中副溶血性弧菌的定量危险性评估[J], 中国食品卫生杂志,2006年18(2):103-107
[7] World Health Organization .Evaluation of Certain Contaminants,WHO Technical Report Series 930 Geneva :WHO 2 0 0 6
随着海南国际旅游岛建设上升为国家战略,海南进入一个新的重要发展机遇期,作为海南省的省会城市,海口市也进入了一个全新的快速发展建设期。随着城市发展的进一步深化,海口市城市人口密度将越来越大,建筑物越来越密集,道路交通和能源设施布局也越来越复杂,加上经济建设的高速发展,海口市将积聚越来越多的危险源,甚至是重大危险源,根据对2000年至2009年的海口市火灾统计[1],海口市的火灾呈现出多发性、破坏性和复杂性的特点和趋向。进行城市消防风险评估对科学有效地进行城市消防规划、部署和制定消防法规,对于城市建设和社会经济的协调发展具有保证和促进作用。
一、城市消防风险评估
(一)消防风险定义
本文引用了2004年联合国环境减灾署关于风险的定义[2],将城市消防风险定义为火灾与城市脆弱性之间相互作用而导致公民人身、财产、公共安全等受到侵害以及经济活动中断、环境破坏等有害结果或预料损失发生的可能性。以城市为基本评价单元的城市消防综合风险评估涵盖火灾危险性、脆弱性以及防控火灾能力的三个内容。
(二)城市消防风险分析
1、城市火灾危险性分析
据我国历史上发生的火灾统计,可以看出,诱发城市火灾的各类因素,诸如城市用电、燃气管网、易燃易爆化学物品单位等的诱发性越强,则城市火灾危险性越大,火灾风险水平越高。
2、城市脆弱性分析
气象因子与火灾发生和发展背景有着密不可分的相互关系,其中相对湿度、降水量和风速等是最直接相关的因素。随着城市化进程不断加快,城市经济、人口、现代化建筑、社会财富等集中的城市特点更加突显,一旦发生火灾,尤其是重特大火灾事故,不仅容易造成重大人员伤亡和经济损失,而且容易产生严重的社会影响和政治影响。城市的脆弱性增强,风险水平增高。
3、城市防控火灾能力分析
