陸 宏，陳芳雷，2，王 爍，陳 晨，琚敬敏

（1.國家核安保技術(shù)中心，北京 102401；2.北京理工大學管理學院，北京 100081）

風險無處不在，無論是個人、企業(yè)、社會組織、政府部門，還是國際關(guān)系之間。習近平總書記曾多次在各項工作中強調(diào)防范風險，增強憂患意識，堅持底線思維。面對日益嚴峻的風險管理形式，嚴格的監(jiān)管要求，中國企業(yè)更加重視建立依法治企體系，加強風險能力建設，強化依法風險管理。隨著核安全監(jiān)管技術(shù)性持續(xù)增強，專業(yè)度穩(wěn)步提升，監(jiān)管能力不斷提高，核安全監(jiān)管體系和監(jiān)管能力現(xiàn)代化的進程不斷推進，我國倡導構(gòu)建核安全命運共同體的決心和行動也越發(fā)堅定，相關(guān)的管理體系與法律法規(guī)體系也在不斷地加強建設與完善。

核安全領(lǐng)域的風險評估并非獨立的工作項目，需要結(jié)合核設施的實物保護系統(tǒng)進行整體的分析研究。本文以風險分析與評估為主線，對風險評估的概念進行闡述，從開展風險評估的依據(jù)和目的入手，對各類方法進行了整理、分類和研究，從中篩選歸納適用于核安全領(lǐng)域各個階段的評估技術(shù)和方法，進而全面完善核安全領(lǐng)域核設施設計基準威脅，有力推進核設施實物保護系統(tǒng)的安全設計。

1 風險評估概述

1.1 風險評估的定義

風險研究專家斯坦卡普蘭對“風險”這樣介紹［1］：“風險分析這個詞曾經(jīng)是、現(xiàn)在是、將來也一直會是一個問題”。而風險評估作為風險管理的重要環(huán)節(jié)之一，雖然在不同標準、準則和制度中，概念并不完全一致，但風險評估的核心理念是相通的。筆者通過閱讀文獻，查閱相關(guān)資料，參考風險管理專業(yè)國際相關(guān)標準，梳理風險評估的概念和定義，整理出表1。

表1 各個標準對于風險評估的定義Table 1 Definitions of each standard for risk assessment

以上文獻標準中均強調(diào)了風險評估的重要性，通過分析加之筆者個人理解，對風險評估進行了定義：風險評估分為識別風險、分析風險和評價風險三個階段。

1.2 風險評估的依據(jù)

各行各業(yè)在進行風險評估工作時，都要明確什么是風險、如何描述風險、如何進行風險分類。但這僅是技術(shù)層面的工作，需要再加上組織層面的工作。綜合而言，風險評估是一個復雜的項目，需要一套可以參照的標準規(guī)范。百業(yè)發(fā)展為大，標準是為基礎(chǔ)。生產(chǎn)設計的前提是標準和規(guī)范，每個項目的開展、每項工程的實施都需要有章可循，有據(jù)可依。筆者經(jīng)查閱資料，整理出部分相關(guān)行業(yè)的風險評估指南，見表2［2］。

表2 風險分析標準和指南Table 2 Risk analysis standards and guidelines

續(xù)表

1.3 風險評估的意義

風險評估作為風險管理的重要環(huán)節(jié)，在安全防范系統(tǒng)中起著至關(guān)重要的核心及導向作用，它包括風險識別、風險分析和風險評價的全過程。風險評估這一概念無論是國家維護主權(quán)安全和人類共同利益，還是國內(nèi)外的標準制定、風險管理行業(yè)主流趨勢、企業(yè)組織重點項目建設評估等，都是一項在全球范圍內(nèi)政治、經(jīng)濟、科技、社會、外部環(huán)境中不可或缺的工程。

風險評估在整個風險管理領(lǐng)域起著至關(guān)重要的作用：

（1）識別風險及其對目標的潛在影響。

（2）為決策提供實施依據(jù)。

（3）為應對策略提供輸入。

（4）發(fā)現(xiàn)系統(tǒng)和組織的薄弱環(huán)節(jié)。

（5）提出風險應對與控制的方案與決策。

2 風險分析與評估方法

風險管理是一個持續(xù)且循環(huán)的過程，通常情況下，不會通過一次運行過程而使輸出達到預期結(jié)果，而是要經(jīng)過反復修改、不斷完善才能達到預期。因此，組織應對實施風險評估的頻次做出系統(tǒng)安排，目的是使風險評估能體現(xiàn)“風險”對組織目標的影響［3］。本節(jié)主要對風險評估的流程和方法進行總結(jié)歸納分析。

2.1 風險分析與評估流程

由定義可知，風險評估的基本流程包括：風險識別、風險分析、風險評價，這三個步驟順序不是一成不變的，在嵌入有風險存在或分析問題的管理環(huán)境時，我們可以根據(jù)情況需要對這三個步驟進行重新擴展和組合。

實施風險評估的整個流程展開如下，圖1為基于目標的風險分析與評估具體流程。

圖1 基于目標的風險分析與評估流程Fig.1 Objective-based risk analysis and assessment process

2.1.1 計劃準備階段

首先，需要確認組織發(fā)展戰(zhàn)略，對事件進行定位、確認事項的目標；其次，根據(jù)組織戰(zhàn)略確立風險評估的目標；再次，需要決斷由誰來實施風險評估，一般情況下風險評估由組織內(nèi)部、政府監(jiān)管部門或第三方評估機構(gòu)來執(zhí)行；最后，需要參與評估的每一位成員和組織內(nèi)部建立風險評估的共同語言基礎(chǔ)，包括評估范圍、風險描述、風險計量、風險準則、風險承受能力等。

2.1.2 風險評估實施階段

經(jīng)過前期準備，以及基礎(chǔ)數(shù)據(jù)的搜集、整理，識別組織現(xiàn)存的風險和影響即風險識別過程，進而建立風險管理的信息庫；然后采用適合的定量、定性或兩者相結(jié)合的方法分析、評價各類風險，按需要應用風險評價模型，將風險分析、風險評價結(jié)果充實到風險事件庫中；最后根據(jù)風險評估結(jié)果對重大風險進行排序。

2.1.3 完善風險評估階段

根據(jù)風險分析建立的事件庫提出供選擇對策進而建立風險監(jiān)測體系，分析可能在評估階段遺漏的剩余風險并根據(jù)需要形成 （定期或不定期） 風險評價報告。整個評估過程要定期開展、不斷完善，并進行循環(huán)。

2.2 風險分析與評估方法

風險分析與評估方法有許多，各行各業(yè)對風險評估的需求不同，所運用的風險評估的技術(shù)方法也不同［4］。因此在選擇評估的技術(shù)和方法時，既要考慮各階段對風險評估有不同的需求，又要考慮風險評估技術(shù)或方法對特定階段的適用性，還要考慮跨階段比較時結(jié)果的延續(xù)性使用。

作為工具而言，這些方法和技術(shù)基于不同的基礎(chǔ)：有基于基礎(chǔ)證據(jù)信息的方法，如檢查表法用以對歷史數(shù)據(jù)進行審查；有基于系統(tǒng)化結(jié)構(gòu)的方法，如專家審查法，通過一個專家團隊借助一套結(jié)構(gòu)化的提示或問題來系統(tǒng)地識別風險；還有基于歸納推理的方法，如危險與可操作性分析等。

2.2.1 方法分類匯總

關(guān)于風險評估的技術(shù)方法該如何選擇，本節(jié)主要參考《風險管理-風險評估技術(shù)》一書中詳細介紹的31種評估技術(shù)，總結(jié)分析各個方法的特征和原理，分別按照風險評估的階段適用性、影響因素以及特征類別進行收集整理和歸納［5］，得出按階段適用性匯總表、按影響因素程度匯總表以及按特征類別匯總表，表格的局部列出見表3（a）、（b）、（c）（因涉及種類過多，篇幅過大，且研究小組成果有些內(nèi)容涉及保密性，故整理出部分方法在表內(nèi)顯示）。

表3 （c） 特征類別匯總（局部）Table 3（c） Feature category summary（partial）

表3 （b） 影響因素程度匯總（局部）Table 3（b） Summary of the degree of influencing factors（partial）

表3 （a） 階段適用性匯總（局部）Table 3（a） Phase applicability summary（partial）

2.2.2 方法分類整理

風險識別階段是對風險要素進行識別、整理和描述；風險分析階段是加深對風險指標的認識，通過定性定量的分析方法得出可能發(fā)生的后果以及發(fā)生的概率；風險評價利用分析結(jié)果，分析等級為決策做信息支撐。按照階段適用性、影響因素以及特征類別進行收集整理和歸納，得出按階段適用性結(jié)論表、按影響因素結(jié)論表，表格的局部列出見表4（a）、（b）。

表4 （a） 不同階段匯總結(jié)論Table 4（a） Summary conclusions of different stages

表4 （b） 不同影響因素匯總結(jié)論Table 4（b） Summary of different influencing factors

根據(jù)研究分析得出的匯總結(jié)論表來看，不同階段有不同的使用方法，對于不同影響因素側(cè)重不同的方法。在風險評估執(zhí)行的不同階段，可依據(jù)影響因素、方法特征、判斷標準、不確定性的性質(zhì)和程度、復雜性、結(jié)果是否定量等各類評估因素選擇合適的評估技術(shù)方法，可以使評估過程事半功倍，且有助于高效準確地獲取評估結(jié)果和有效應對風險的措施。

3 基于核設施的風險評估方法研究

近年來，核電已成為一種備受重視的安全、清潔、高效的能源，人們也不再是談“核”色變。但是，核工業(yè)歷史上三次重大的核事故，讓人們意識到防范重大風險事故的重要性。各類傳統(tǒng)威脅與非傳統(tǒng)威脅交織，對核材料以及核設施的安全運行造成的風險不斷升級，因此，“核安全”一直是國際、國內(nèi)核安全峰會的重要議題，國家安全局以及國家原子能機構(gòu)出臺多項法規(guī)文件強調(diào)核設施實物保護風險評估的重要性，行業(yè)內(nèi)也鼓勵支持推廣風險評估技術(shù)和方法。

3.1 基于核設施實物保護的風險評估

核工業(yè)領(lǐng)域的風險評估，涉及“核安全”“核應急”“網(wǎng)絡安全”“重要設施”“核材料管制”等敏感性的方向，其領(lǐng)域的風險特征與其他行業(yè)略有不同，既存在恐怖主義等外部風險威脅，又存在內(nèi)部設施建設與運行維護等安全問題，以及國際上面臨核材料管制的問題，再加上21世紀以來信息時代的飛速發(fā)展，各類技術(shù)手段不斷升級，核安保行業(yè)面臨巨大的風險和挑戰(zhàn)。因此，關(guān)于核安全領(lǐng)域的風險評估，不單是對某個目標進行風險分析與評估，必須結(jié)合核安全領(lǐng)域的風險威脅特征，將風險評估整合到核設施的實物保護系統(tǒng)中，將其視為設計過程的組成部分來進行研究［6］。

核設施的實物保護系統(tǒng)（Physical Protection Systems，PPS）是集人防、技防和物防于一體的綜合防范系統(tǒng)，在實物保護系統(tǒng)設計前期，即確定實物保護目標階段，需要進行目標設施的特性分析，從而進行相關(guān)威脅要素和風險的識別；在實物保護系統(tǒng)的設計階段，需要對前期所分析的風險點進行安全防范系統(tǒng)的設計，并在設計過程中進行逐項安全設計的對標檢查；在實物保護系統(tǒng)建設后期或?qū)嵨锉Ｗo系統(tǒng)建成后，需要根據(jù)標準規(guī)范，對目標設施進行全面綜合的系統(tǒng)效能評估。具體核設施實物保護系統(tǒng)設計流程如圖2所示。

圖2 核設施實物保護系統(tǒng)設計流程Fig.2 Nuclear facility physical protection system design process

實物保護系統(tǒng)設計確認目標階段中進行設施特性分析、風險威脅定義以及目標辨識即風險識別與評估階段，經(jīng)過初步設計或特征確認、設計分析評估后，在許多情況下，為了確保有效的保護，需要進行系統(tǒng)的完善和重新設計，必須進行有效性分析與評估以確保其滿足實物保護目標，則涉及再次的風險評估［7］。

但是，現(xiàn)有核設施實物保護系統(tǒng)設計中通常存在各類潛在的隱患和安全問題，這些風險隱患會極大地影響設施運行、生產(chǎn)進度以及安全效能。且由于核安全領(lǐng)域的保密性及特殊性，無法直接對設計的系統(tǒng)或在運行的系統(tǒng)進行風險攻擊或安全測試，極大地限制了核設施風險評估的發(fā)展，不利于提高設施的安全水平。因此，研判核設施實物保護系統(tǒng)的防范措施能否有效滿足設計最初的目標，其中研判的技術(shù)方法和具體技術(shù)指標是什么，需要一個系統(tǒng)性文件或者體系，現(xiàn)階段核安全領(lǐng)域正在建立這樣一套評估體系。

關(guān)于實物保護系統(tǒng)的有效性分析方法，最早出現(xiàn)于20世紀70年代。美國桑迪亞國家實驗室提出并設計了敵手序列中斷評估模型、內(nèi)部安全有效性模型等經(jīng)典評估模型，研究出了分析入侵脆弱路徑方法，研發(fā)了核設施相關(guān)保障和安全分析系統(tǒng)及軟件，為核設施實物保護系統(tǒng)評估工作建立了基礎(chǔ)。而后俄羅斯、韓國等國家在此基礎(chǔ)上進行了深入分析與研究，打破之前理論、規(guī)范及標準層面的定性研究，加入了數(shù)據(jù)模型進行定量分析研判，并形成了易于操作的量化軟件。

國內(nèi)關(guān)于核設施風險評估及其技術(shù)的研究起步較晚，核設施實物保護系統(tǒng)理論于1997年才傳入我國，關(guān)于核設施的理論研究最初只應用于軍用設施、軍工領(lǐng)域，在民用領(lǐng)域中幾乎沒有涉及，處于待研究和開發(fā)狀態(tài)。目前，國內(nèi)現(xiàn)有的評估模型大多是以入侵脆弱路徑分析方法的模型為參考基礎(chǔ)，結(jié)合敵手序列中斷評估模型進行單路徑有效性分析，在核設施實物保護系統(tǒng)評估方面取得了一定的研究進展。

但是，目前的評估模型及技術(shù)軟件主要應用于后端實物保護系統(tǒng)的效能評估，對于前端潛在危險的識別與研判，還有待深入研究；現(xiàn)有的評估軟件缺乏數(shù)據(jù)庫支撐，尚未形成一套完整可靠有實用性的風險評估體系。數(shù)字信息時代飛速發(fā)展，國際局勢變化莫測，數(shù)字化網(wǎng)絡成為當下主題，核設施實物保護對新時代、新形勢下的新技術(shù)提出了更高的要求，現(xiàn)行的規(guī)范標準對評估方法的要求也僅限于定性和定量方向性的規(guī)定，對于特定的項目具體實施何種評估技術(shù)，沒有可依據(jù)的規(guī)范流程和體系文件。

因此本文研究和梳理各類評估方法的特性和適用范圍，將評估技術(shù)流程化、評估方法體系化，運用系統(tǒng)三維建模技術(shù)，將估算的組件性能組合成系統(tǒng)性能進行估計，程序的最終結(jié)果是形成核設施風險評估報告。如圖3所示，風險評估的具體流程是：將風險評估從核設施實物保護系統(tǒng)設計流程中放大細化，核設施的風險評估又分為啟動準備、現(xiàn)場準備、風險分析、安全建議和報告整理階段，每個階段又分為不同的子流程。

圖3 風險評估流程Fig.3 Risk assessment process

3.2 基于核設施實物保護的風險評估方法

核燃料循環(huán)體系下分為地質(zhì)勘查、鈾礦采冶、元件制造、燃料加工、核電站設計和反應堆等不同領(lǐng)域，不同領(lǐng)域下各類工程項目面臨的風險點和威脅要素也不同。本文主要針對核設施實物保護系統(tǒng)設計及運行階段研究，針對章節(jié)2.2匯總的風險評估方法，深入分析各類型方法特征及其適用類別，篩選出適用于核安全領(lǐng)域的風險分析與評估方法，再根據(jù)核設施實物保護的設計及設施運行的方向進行多次篩選，本文主要針對查詢類和支撐類進行專項研究，按照適用階段、適用項目以及評估結(jié)果類型進行匯總，歸納整理見表5（a）、（b）、（c），表6 為運用檢查表評估法的評估結(jié)果清單示例。

表5 （a） 按特征類別匯總-適用項目Table 5（a） Summary by feature category-applicable items

表5 （b） 按特征類別匯總-適用階段Table 5（b） Summary by feature category-applicable stages

表5 （c） 評估結(jié)果類型匯總Table 5（c） Summary by feature category-evaluation results

表6 評估結(jié)果表（檢查表示例）Table 6 Evaluation results table（example of checklist）

目前核安全領(lǐng)域的標準規(guī)范只建議了定性和定量兩種類別，具體評估技術(shù)和方法并無限制［8］。因此，根據(jù)上述整理流程及表格的結(jié)論與分析結(jié)果，可得出結(jié)論：擬建議在核安全領(lǐng)域核設施實物保護系統(tǒng)設計中針對研究資料少、未知因素多、主觀判斷因素較多的工程運行實施評價政策、協(xié)調(diào)計劃、組織決策等各類項目，擬采用專家意見法、列表檢查法等綜合評估方法；核安全領(lǐng)域分析設施運行過程中人為因素產(chǎn)生核設施事故或核材料盜竊事件的風險評估，擬選取人因可靠性分析、事故樹分析等方法。風險評估方法不限于單一使用，可以綜合多種方法形成新的評估技術(shù)，并將其應用于核設施的實物保護設計以及設施運行中，有助于高效評估風險等級，制定有效的風險應對措施，進而推進核安全領(lǐng)域安保事業(yè)的發(fā)展，推進國際核材料管制。

3.3 案例分析

現(xiàn)對一重要設施運行中存在的風險進行現(xiàn)場調(diào)查以及模擬案例分析。案例背景［9］：現(xiàn)采用現(xiàn)場觀察法對某在運營設施進行內(nèi)部設備的風險評估以及現(xiàn)場訪查。本次評估項目側(cè)重于風險識別和風險分析階段，項目類型為現(xiàn)場走訪以評估設施的潛在威脅、風險，因此選取現(xiàn)場觀察法進行本次項目的評估，具體評估流程如圖4所示。

圖4 現(xiàn)場觀察法評估流程Fig.4 On-site observation method evaluation process

按照整個評估流程進行調(diào)查準備。首先，進行清單列表信息的收集與歸納，確定訪查目標，審查過程初期或評價階段本身進行的篩選可證實其適當性，確定新的概念和審查已提出的易被采納的概念，確認它們的有效性和證實它們適用的威脅情景可能被有效化解；其次，審查確定的成功路徑和設備清單中的構(gòu)筑物、系統(tǒng)與部件，確認構(gòu)筑物、系統(tǒng)與部件在襲擊期間和以后所要求的功能，確認對于每個威脅情景構(gòu)筑物、系統(tǒng)與部件所處的要求環(huán)境，確定或確認所關(guān)注的與威脅有關(guān)的失效模式，以及確定可以從進一步考慮中排除的牢固的構(gòu)筑物、系統(tǒng)與部件；再次，以設計資料證實建成狀態(tài)或當前狀態(tài)，包括設施內(nèi)部的系統(tǒng)、工程和實物保護系統(tǒng)，把類似的構(gòu)筑物、系統(tǒng)與部件及其要求環(huán)境進行分類整理，形成分析表格，待供電廠現(xiàn)場訪查后做進一步分析；復次，對要害區(qū)及其邊界進行詳細審查，評價它們對設備清單的適用性，然后規(guī)定典型布局供進一步評價；最后，將現(xiàn)場訪查結(jié)果整理成文件報告進行輸出匯總。

特別注意要確定實保要求，核安全領(lǐng)域含有實物保護信息的所有有關(guān)信息和文檔，不管是逐條的，還是為了評定核設施實物保護的工程安全問題而匯編在一起的，因涉核信息屬于安保敏感信息，要加以適當保護。現(xiàn)場訪查小組和支持人員應該由經(jīng)過適當審查得到信任的專家組成，并且已對這些人進行背景檢查?，F(xiàn)場訪查小組應該在設施內(nèi)部人員的幫助下，按照目標清單列表逐項檢查或排除風險，最終評定設施內(nèi)部存在的風險威脅類型，形成風險評估報告，并根據(jù)報告制定風險應對措施。

4 結(jié)語

本文從風險管理的大方向出發(fā)，分析各類評估技術(shù)和方法特性，歸納篩選并整理出適用于核安全領(lǐng)域核設施實物保護設計及安全運行的方法，下一步的研究方向是將整理歸納的方法體系化、數(shù)據(jù)化，形成數(shù)字化操作軟件，應用于行業(yè)設計及設施運行中，以此降低生產(chǎn)運行的風險，提高核設施實物保護設計的高效性、安全性。因此，基于核設施實物保護的風險評估方法應用研究，可以有效助力國家安全，不斷完善核行業(yè)內(nèi)風險評估相關(guān)的法律、法規(guī)、條例和細則的制定，進而推動核材料管制、核設施實物保護工作的開展，促進核安保事業(yè)的建設和發(fā)展。