3 基于情景分析的方 法 本章介绍4种较为典型的、常用的基于情景分析的方法,分别是:故障树分析(fault treanalysis,FTA)法、事件树分析法、蝶形图分析法、贝叶斯网络分析法。上述方法在事 故灾难风险分析中得到了广泛的应用,在社会安全风险分析中,也有部分应用案例。上述4 种方法通常相互结合使用,或者与其他大类的方法相互结合使用。本章以核生化恐怖袭击 事件为例,在3.3.事件树分析法、蝶形图分析 1节~4节中分别介绍如何利用故障树分析法、 法、贝叶斯网络分析法对恐怖组织获取核生化武器的风险进行分析。 3.1 故障树分析法 故障树是用来识别和分析造成特定事件(称作顶事件)可能因素的技术,这里的“可能因 素”即被定义为“故障”。在社会安全风险分析中,可以将社会安全突发事件视为顶事件,将影 响或导致事件发生的风险要素视为“故障”,通过基于专家知识的方法对故障进行识别,进而将 顶事件与各层次故障之间用逻辑门符号连接起来,并用树形图进行表示,从而实现对社会安全 事件的风险分析。树形图描述了风险要素(故障)与社会安全事件之间的逻辑关系。 故障树中识别的风险要素可以是人员、组织的行为,也可以是物品、场所、环境的状态, 或者是其他关联事件的影响。故障树既可以用来对顶事件的潜在原因及发展演化路径进 行定性分析,也可以在掌握风险要素的相关数据之后,定量计算社会安全事件的发生概率。 图3-1所示为FTA的结构示例。 图3-1 故障树示例 28 图3-2 故障树分析法的实施步骤 故障树可以应用于社会安全事件发生之前,用以识别故障发生的方式和导致重大事件 的各类路径的相对重要性,以及对不同的防御、应急方案的比较、优化;也可以应用于社会 安全事件发生之后,通过图形来显示不同风险要素如何共同作用造成故障,进而最终导致 社会安全事件的发生。 1.故障树分析法的实施步骤 3.1 故障树分析法的实施步骤如图3-2所示。 (1)输入 对于定性分析,需要了解故障原因(风险要素) 及导致事件发生的方式;对于定量分析,需要了解 故障树中各故障的发生概率。 (2)过 程 建立故障树的步骤包括 : ①界定分析对象和需要分析的对象事件(顶 事件); ② 从顶事件入手,识别造成顶事件的直接 原因; ③调查原因事件(故障), 对每个故障进行分 析,以识别造成故障的原因(人员、组织的行为,物 品、场所、环境的状态,或者其他关联事件的影响); ④分步骤地、自上而下地开展系统性分析,直 到进一步分析不会发现任何故障事项为止,处于分 析中系统最低水平的事项及原因称作基本事件; ⑤定性分析,按故障树结构进行简化,确定各基本事件的结构重要度; ⑥定量分析,找出各基本事件的发生概率,计算出顶事件的发生概率,计算出概率重要 度和临界重要度。对于每个控制节点而言,所有的输入数据都必不可少,并足以产生输出 事项;对于故障树的逻辑冗余部分,可以通过布尔代数运算法则来进行简化; ⑦除了估算顶事件发生的可能性之外,还要识别那些形成顶事件独立路径的最小分割 集合,并计算它们对顶事件的影响。除了简单的故障树之外,当故障树存在几处重复事件 时,需要通过算法进行计算,得到最小割集。 (3)输 出 故障树分析的输出结果包括 : ①顶事件发生方式的示意图,并可显示各路径之间的相互关系; ②最小分割集合清单(单个故障路径), 并说明每个路径的发生概率(如果有相关数据); ③顶事件的发生概率。 以下简要介绍最小割集及其求解方法。 能够引起顶事件发生的最低限度的基本事件的集合(通常把满足某些条件或具有某种 共同性质的事物的全体称为集合,属于这个集合的每个事物叫元素)称为最小割集。 29 图3-1的示例中所示的故障树的结构函数表达式为 T =A1+A2 =A1+B1B2B3 =X1X2+ (X3+X4)(X3+X5)(X4+X5) =X1X2+X3X3X4+X3X4X4+X3X4X5+X4X4X5+X4X5X5+ X3X3X5+X3X5X5+X3X4X5 (3-1) 利用布尔代数法可以得到 T =X1X2+X3X3X4+X3X4X4+X3X4X5+X4X4X5+X4X5X5+ X3X3X5+X3X5X5+X3X4X5 =X1X2+X3X4+X3X4X5+X4X5+X3X5+X3X4X5 =X1X2+X3X4+X4X5+X3X5 (3-2) 1.故障树分析法的优点及局限 3.2 故障树分析法的优点包括: ①提供了一种系统、规范的方法,同时有足够的灵活性,可以对各种风险要素进行 分析; ②运用简单的“自上而下”方法,可以关注那些与顶事件直接相关的故障的影响; ③图形化的表示有助于理解系统行为及其所包含的因素; ④对故障树的逻辑分析和对分割集合的识别有利于识别高度复杂系统中的简单故障 路径 ; 故障树分析法的局限性包括 : ①如果基本事件的概率有较大的不确定性,计算出的顶事件概率的不确定性也较大; ②有时很难确定导致顶事件的所有路径; ③故障树是一个静态模型,无法处理时序上的相互关系; ④分析人员或专家必须非常熟悉对象系统,具有丰富的实践经验。 1.方法应用 3.3 3节介绍,在美国“·”事件后,以常规炸弹、轻武器等常规武器为主要工具的传 统恐怖主义正在向以大规模杀伤性武器为工具的超级恐怖主义类型转换,核生化恐怖主义 即是其中最重要的几个类型[30]。核生化恐怖袭击事件的发生,具有多个方面的风险要素, 包括:恐怖组织的自身动机、武器水平、行动能力,公安、应急管理部门以及相关原材料管理 单位的防御、侦查与处置能力,城市自然环境、建筑环境、交通环境等对实施袭击的正面和 负面影响等。本节通过故障树,分析恐怖组织通过盗窃和交易两种手段获取核生化物质的 风险。故障树结构如图3-3所示。故障树中各节点的名称如表3-1所示。 1.1.911 30 图3-3 恐怖组织获得核生化物质风险的故障树 31 表3- 1 恐怖组织获得核生化物质风险的故障树节点名称 节点编号 X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11 X12 X13 X14 X15 X16 X17 X18 X19 X20 X21 X22 X23 X24 X25 X26 X27 X28 X29 X30 X31 节点名称 具有合理接触目标原料的身份 拥有作案团伙 拥有盗窃经验 熟悉盗窃目标单位的工作方式 掌握盗窃目标单位的安全管理措施 掌握盗窃目标单位的安防与保卫措施 具有制定完善的盗窃计划的能力 具有完备的作案工具 聘用人员审核不严格 未定期开展安全教育 未落实安全监督制度 安全检查不严格 出入库管理不严格 违反原料存储规定 视频监控覆盖率低 无入侵报警系统 目标原料易于携带 目标原料的危害性弱 目标单位原料存量大 卖方有非法交易经验 卖方有反方势力支持 卖方有非法交易途径 卖方有核生化原料来源 买方有非法交易经验 买方有反方势力支持 双方交易渠道隐蔽 双方联系渠道隐蔽 打击偷渡能力弱 警方与交易地警方合作不密切 监测非法交易能力弱 核生化原料检测能力弱 32 续表 节点编号 X32 X33 X34 D1 D2 D3 D4 D5 D6 D7 D8 C1 C2 C3 C4 C5 C6 B1 B2 A 节点名称 双方交易的原料易于携带 双方交易的原料危害性弱 双方交易的原料稀有程度低 盗窃参与人能力强 盗窃参与人掌握盗窃目标信息程度高 前期准备充足 盗窃目标单位人员管理不严格 盗窃目标单位对于原料管理不严格 卖方可靠性高 买方可靠性高 交易安全性高 参与盗窃人员威胁程度高 盗窃目标单位的安全管理水平低 盗窃者盗取的原料获取难度低 交易的可靠性高 警方打击非法交易能力弱 双方交易的原料获取难度低 盗窃获得原料 非法交易获得原料 获得核生化原料 根据故障树可知,恐怖组织获得核生化原料的风险事件 A 可以表达为 A=B1+B2=C1·C2·C3+C4·C5·C6=D1·D2·D3·D4·D5·C3+ D6·D7·D8·C5·C6 =X1·X2·X3·X4·X5·X6·X7·X8·(X9+X10+X11+X12)· (X13+X14+X15+X16)·X17 ·X18 ·X19+ (X20+X21+X22+X23)· ((3) X24+X25)·X26 ·X27 ·(X28+X29+X30+X31)·X32 ·X33 ·X34 3 3.2 事件树分析法 事件树分析(s,着眼于事件的起因,即初因事件。在社会安全风险 eventtreanalysiETA) 分析中,事件树从事件的起始状态出发,按照一定的顺序,分析初因事件可能导致的各种情况 的后果,从而实现定性或定量的风险分析。该方法中事件的序列以树图形式表示,故称事件 树。事件树具有发散的树形结构,能够反映出引起初因事件加剧或缓解的子事件。 33 事件树分析适用于多环节事件的风险分析,既可用于定性分析,也可用于定量分析。 在定性分析中,可以首先利用基于专家知识的方法,对初始事件之后可能出现的情景进行 识别、分析,同时对各种风险防控、干预手段对后果的影响提出各种观点。定量分析则用于 分析风险防控、干预手段的可接受性。图3-4所示为ETA 的应用示例。 3.1 事件树分析法的实施步骤 2. 事件树分析法的实施步骤如图3-5所示。 图3-4 事件树示例图3-5 事件树分析法的实施步骤 (1)输入 ①初始事件清单; ②针对初始事件的风险防控、干预手段及其失效概率。 (2)过程 ①首先选出初始事件,即可能发生的社会安全事件; ②将旨在缓解或消除事件后果的风险防控、干预手段按时序列出,用一条线来代表每 个风险防控、干预手段的成功或失败; ③每条线都应标出一定的失效概率,通过专家判断或故障树分析的方法来估算这种条 件概率。事件树的每条路径代表着该路径内各种事项发生的概率; ④用单个条件概率与初始事件发生频率的乘积来表示每种路径下的最终后果。 (3)输出 ①对潜在问题进行定性描述,并将这些问题视为包括初始事件同时能产生各类问题的 综合事件; ②对各类事件的发生概率(或频率)以及事件发生序列、各类事件相对重要性的估算; ③降低风险的措施清单; ④风险防控、干预手段的定量评价。 34 3.2 事件树分析法的优点及局限 2. 事件树分析法的优点包括: ①用简单图形方法给出初始事件之后的全部潜在情景; ②能说明时机、依赖性,以及在故障树模型中很繁琐的多米诺效应; ③清晰地体现了事件的发展顺序,这是故障树不能表现的 。 事件树分析法的局限性包括 : ①为了将事件树作为综合评估的组成部分,一切潜在的初始事件都要进行识别,这可 能需要使用其他分析方法,但总是有可能错过一些重要的初始事件或事项; ②事件树很难将具有延迟见效特点的风险防控措施纳入其中; ③任何分析路径都取决于该路径上之前的分支点处发生的事项,因此要分析各可能路 径上众多的从属因素。然而,专家可能会忽视某些从属因素,从而导致风险分析过于乐观。 3.3 方法应用 2. 在3.3节中,介绍了通过故障树分析恐怖组织获取核生化物质的风险的方法,本节在 1. 此基础上,运用事件树,分析恐怖组织在获取了核生化物质的前提下,自主研制并成功获得 核生化武器的风险。事件树如图3-4所示, C 表示武器制备的结果, S 表示成功, F 表示失 败。分支点编号的名称如表3-2所示。 表3- 2 恐怖组织自主研制获得核生化武器风险的事件树分支点名称 分支点编号 S1 S2 S3 S4 S5 节点名称 制备期间成功躲避警察追捕 具备制作核生化武器的知识水平 拥有制作核生化武器的技术设备 具备释放装置 制备期间未发生安全事件 根据事件树结构可知,恐怖组织成功制备核生化武器事件的风险 S 可以表示为 S=A·S1·S2·S3·S4·S5 (3-4) 3.3 蝶形图分析法 蝶形图分析(bow-tieanalysis)是一种简单的图解形式,用来描述并分析某个风险从原 因到结果的路径。该方法可被视为分析事项起因(由蝶形图的结代表)的故障树和分析事 项结果的事件树这两种方法的统一体。但是,蝶形图的关注重点是在风险形成路径上存在 哪些预防措施及其实际效果。在构建蝶形图时,首先要从故障树和事件树入手,图形通常 通过头脑风暴法等基于专家知识的方法绘制出来。 蝶形图分析通常被用来显示风险的一系列可能的原因和后果,当导致事件的路径清晰 而独立时,蝶形图分析通常具有较好的效果。 与故障树及事件树相比,蝶形图通常更易于理解。图3-6所示为蝶形图的应用示例。 35 图3-6 蝶形图示例 36 3.1 蝶形图分析法的实施步骤 3. 蝶形图分析法的实施步骤如图3-7所示。 图3-7 蝶形图分析法的实施步骤 (1)输 入 对社会安全风险的原因和结果以及对应的风险防控措施的认识 。 (2)过 程 蝶形图的实施步骤如下 : ①识别需要分析的具体风险,并将其作为蝶形图的中心结; ②列出造成结果的原因; ③识别风险源到事件的演化机制; ④在蝶形图左手侧的每个原因与结果之间划线,识别哪些可能造成风险升级的因素并 将这些因素纳入图表中; ⑤如果某些因素可有效控制风险原因的升级,用条形框列出这些“控制措施”; ⑥在蝶形图右侧,识别风险不同的潜在结果,并以风险为中心向各潜在结果处绘制出 放射状线条; ⑦如果某些因素可有效控制风险结果的升级,用条形框列出这些“控制措施”; ⑧管理职能(如培训和检查)应表示在蝶形图中,并与各自对应的控制措施相联系。 在路径独立、结果的可能性已知的情况下,可以对蝶形图进行一定程度的量化,同时可 以估算出控制效果的具体数字。 (3)输出 输出蝶形图表结果,可以说明主要的故障路径以及风险防控措施对应的期望结果。