2.1.2 风险识别的技术和工具
• 检查表法——根据历史经验列出可能的风
险，供识别人员检查核对； • 流程图法——列出项目流程并进行分析； • 头脑风暴法——营造一个无批评的自由的会 议环境，集思广益； • 德尔菲法——专家意见匿名反馈、整理、综 合、再反馈……直至得到稳定意见
• 其它方法
2.1.3 风险识别示例
FTA的分析步骤（续）
（5）定量分析：
由各底事件的发生概率求顶事件发生的概率： 顶事件发生概率是各个底事件发生概率的函数 用Pf表示，即
Pf（T）= Q（q1 , q2 ,…… , qn）
近似计算 : r Pf（T）= 1 — [ 1 — P（Ki）] i=1 飞机例中，顶事件T的发生概率Pf 为 ： Pf = 1 -（1 - q1 ）（1 - q2 q3）
风险识别示例（续）
（5）保障服务过程
• • • • • • • • 未制定完善的使用、维修及保障方案 提供的技术手册与产品的技术状态不协调 未考虑使用、维护及保障的人力和技能情况 未提供与产品同等质量的备件 未提供适宜的检测设备等保障设备资源 不满足系统的诊断要求，机内测试技术不完善 维修性要求未得到满足 未考虑训练设备的设计
– – – – 项目要求和计划，风险管理计划； 历史的类似项目的数据；相关教训研究结论； 经验，专家意见； 试验和样机研制结果，从工程模型获得的数据；
2.1.1 风险识别的过程（续）
• 风险识别过程的活动
(1) 收集相关资料 (2) 分解产品结构单元至一定级别 例：飞机系统—飞机—机身—机翼； 分解过程及其中可说明风险事件的单元 例：设计过程—关键的设计要求，设计的成熟性 等； (3) 逐一考察各单元，运用适当技术和工具，识别项 目的重大风险； (4) 编制已识别的重大风险事件表（过程的输出）。
• 确定分析目的
– 硬件故障？内部事件？
• 确定故障判据 • 确定顶事件
FTA的分析步骤
（1）建造故障树 ： 由顶事件— 中间事件 — 底事件的逻辑关系图 （结果）（原因、结果） （原因） 例：对飞机机翼重量（风险事件）的分析， 建立故障树： 事件T = X1∪ M = X1 ∪（X2∩X 3 )
• 设计过程控制
– 未按软件工程的要求开发软件 – 未认真实施设计过程控制
风险识别示例（续）
（3）试验（验证、鉴定、环境、保障性）
• 试验未考虑最终使用环境、使用周期的极端情 况和最恶劣的环境条件 • 试验设备不能满足试验要求，不能完成特定的 试验，尤其是系统级的试验 • 试验方案不能保证取得可信的结果 • 未按规定进行全部项目的试验 • 试验时间不够，做不完试验 • 重大更改或改型后未进行试验 • 对试验中出现问题未做深入分析留下隐患
策略和方法；机构与职责；风险管理过程与程 序；规划；评估；处理；监控；文档和报告等。
1.2.2 风险评估
风险评估——对项目风险进行识别和分析的
过程，确定最关键的风险。
目的——确定关键的风险，对最关键的风险
进行控制，促进实现性能、进度和费用目标
风险评估的三个步骤
— 风险识别：对风险进行识别，确定风险事件；
风险管理
规划 评估 处理 监控
识别
分析 文档
1.2.1 风险规划
• 风险规划——确定一套完整全面、有机配合、
协调一致的策略和方法并将其形成文件的过程。
• 风险规划的主要内容
——目的、目标；方法、工具及资源；职责 及能力；规定评估过程；选择处理方案的程 序；规定监控程序；规定报告要求等。
• 风险管理计划——引言；项目概述；定义；
GJB9001B-2008 产品实现的策划 7.1
组织对产品实现的各阶段都应进行 风险分析和评估，形成各阶段风险分析 文件，并提供给顾客 。
风险分析和评估
一. 有关风险的概念 二. 风险评估的过程及方法
风险识别 风险分析 风险排序
三. 国军标要求的理解与实施
一.有关风险的概念 1.1 风险
广义的：特定的不希望事件发生的可能性（概 率）及发生后果的综合。 风险的两个要素：可能性 、严重性 风险的三个独立的输入：
1.2.4 风险监控
• 风险监控——按既定的衡量标准对风险处理
• 风险监控的方法
– – – – –
的效果进行持续跟踪和评价的过程，必要时提 出备选方案
试验和评定 获得值管理 技术性能度量 按项目衡量标准定期评估 进度执行情况 监控
1.2.5 风险文档
• 风险文档——记录、维护和报告风险规划、
评估、处理及监控结果的文件
事件及符号
• 底事件：导致其他事件的原因事件
– 基本事件 – 未探明事件 结果事件：由其他事件或事件组合所导致的事件 – 顶事件 – 中间事件 – 开关事件 – 条件事件等
•
• 特殊事件
FTA的准备工作
• 熟悉资料 – 设计说明书、原理图、结构图、运行规程等 • 熟悉系统
– 设计意图、功能、边界、接口、环境情况等 – 系统可能采用的各种状态模式及相互转换 – 必要时绘制可靠性框图、进行FMEA等
1级 2级 3级
推进装置
4级 重量（风险）
飞机 飞机系统
火控
机身
机翼
训练/试验/保障
火控系统工作结构分解
火控
雷达 1级 2级
接收机
发射机
天线
雷达系统软件
3级
前置放大
信号处理
显示
4级
分解过程单元
• 立项及产品要求的确定 • 设计与开发 • 试验与评定 • 生产/设施 • 并行 • 服务/保障性
• 管理(能力/经验/资源)
FTA的分析步骤（续）
（4）定性分析：
按每个最小割集所含底事件数目（阶数）排序 阶数越少的最小割集越重要； 在阶数少的最小割集里出现的底事件比在阶数 多的最小割集里出现的底事件重要； 在阶数相同的最小割集中，在不同的最小割集 里重复出现次数越多的底事件越重要。
例如，一个故障树有4个最小割集： { X1}，{ X2，X 3 }，{ X3，X 4}，{ X2，X4，X 5 } 对底事件排序： X1 ，X3 ，X2或X4 ，X 5
（1）立项及产品要求的确定过程
• 在威胁的准确性和稳定性方面存在不确定性 • 系统对抗威胁时的生存性及对抗谍报侵入时的 生存性考虑不周 • 产品要求规定不当、过粗 • 要求不稳定、常变化 • 未提出作战使用环境要求或要求不当 • 未提出保障性要求和适用性要求 • 要求过严——迫使投入高费用 • 未与顾客充分沟通，全面理解顾客要求
收集相关资料
• • • • • • • • 项目任务书/任务需求说明/使用要求/项目基线 项目计划书/进度要求/关键里程碑 资源需求计划/成本/人力/设备计划
项目的采购与合同管理计划 与本项目类似的案例,经验教训
与项目有关的档案资料 公开出版物/数据库/研究成果 对有关方面采访和调查所得资料等
分解产品结构单元
风险识别示例（续）
（6）费用/进度的风险
• 未及早制定切实可行的费用目标 • 投资进程不稳定或资金不能及时到位 • 冗余性能能力占去过多费用，费用——性能权 衡不适宜 • 研制后期才发现问题，工程更改和返工增加费 用、推延进度 • 进度目标不切实际，难以实现 • 资源供应不能满足进度要求
编制风险事件清单
– – – – – – 风险管理计划 风险评估报告 风险处理优先序清单 风险处理行动计划 风险汇总单 风险监控报告等
• 风险文档包括
二．风险评估的过程和方法 2.1 风险识别（辨识）
2.1.1 风险识别的过程
• 风险识别由专家（包括外聘）及产品设计开发 的综合组进行 • 风险识别的依据（过程的输入）：
风险识别示例（续）
（4）生产制造过程
• 设计提出过高的工艺要求，制造能力达不到 • 不成熟或未经考验的技术在生产前未得到充分 的改进和验证 • 采用新技术、新工艺或新的工艺流程，未经考 验 • 设备设施不能满足工艺要求 • 加工工艺不稳定，经常更改 • 无适宜的专用工装、工具，手工操作，不能防 止加工中出错 • 供方的能力和控制，过分依赖供方
伤眼D
工作未戴眼镜 X1
非工作人A
.
进入B
加工X2
未戴X3
送件X4 取X5
未探明
建造故障树的基本规则
明确建树的边界条件，确定简化系统图 顶事件应严格定义 故障树演绎过程首先寻找的是直接原因 而不是基本原因事件 应从上而下逐级建树 建树时不允许逻辑门—逻辑门直接相连 妥善处理共因事件
FTA的分ห้องสมุดไป่ตู้步骤(续）
– 事件发生的可能性（概率） – 如果事件发生，其后果的严重性 – 人们对两者综合“严酷度”的主观判断
对军用产品研制的项目：在规定的费用、进度 和技术的约束条件下，不能实现项目（产品） 目标的可能性及所导致的后果的一种度量。
1.2 风险管理
应付风险的行动或实际作法——对未来风险
事件进行规划、评估和处理以保证出现有利结 局的技术和科学手段。 风险规划 ：确定策略和方法，并形成文件 风险评估 ：对风险进行辨识和分析，确定关 键风险 风险处理 ：选择并实施应对方案 风险监控 ：对风险处理活动进行跟踪评价 风险文档 ：记录、维护、报告风险管理结果
— 风险分析：对已辩识出的风险进行分析，找出 风险致因，确定其影响（发生概率及后果）； — 风险排序：按风险的严重性次序顺序排列风险 事件。
1.2.3 风险处理
• 风险处理——针对风险提出处置意见，选定
并实施应对方案的过程
• 处理风险的方法
– 风险避免：消除高风险源 – 风险控制：降低或缓解风险 – 风险转移：重新分配风险 – 风险接受：准备接受相应等级的风险
2.2.1 故障树分析（FTA）
将风险事件及导致该风险事件的原 因事件按因果逻辑关系逐层列出，以倒 立的树状图表示的逻辑模型。 事件及其符号：