陆 宏，陈芳雷，2，王 烁，陈 晨，琚敬敏

（1.国家核安保技术中心，北京 102401；2.北京理工大学管理学院，北京 100081）

风险无处不在，无论是个人、企业、社会组织、政府部门，还是国际关系之间。习近平总书记曾多次在各项工作中强调防范风险，增强忧患意识，坚持底线思维。面对日益严峻的风险管理形式，严格的监管要求，中国企业更加重视建立依法治企体系，加强风险能力建设，强化依法风险管理。随着核安全监管技术性持续增强，专业度稳步提升，监管能力不断提高，核安全监管体系和监管能力现代化的进程不断推进，我国倡导构建核安全命运共同体的决心和行动也越发坚定，相关的管理体系与法律法规体系也在不断地加强建设与完善。

核安全领域的风险评估并非独立的工作项目，需要结合核设施的实物保护系统进行整体的分析研究。本文以风险分析与评估为主线，对风险评估的概念进行阐述，从开展风险评估的依据和目的入手，对各类方法进行了整理、分类和研究，从中筛选归纳适用于核安全领域各个阶段的评估技术和方法，进而全面完善核安全领域核设施设计基准威胁，有力推进核设施实物保护系统的安全设计。

1 风险评估概述

1.1 风险评估的定义

风险研究专家斯坦卡普兰对“风险”这样介绍［1］：“风险分析这个词曾经是、现在是、将来也一直会是一个问题”。而风险评估作为风险管理的重要环节之一，虽然在不同标准、准则和制度中，概念并不完全一致，但风险评估的核心理念是相通的。笔者通过阅读文献，查阅相关资料，参考风险管理专业国际相关标准，梳理风险评估的概念和定义，整理出表1。

表1 各个标准对于风险评估的定义Table 1 Definitions of each standard for risk assessment

以上文献标准中均强调了风险评估的重要性，通过分析加之笔者个人理解，对风险评估进行了定义：风险评估分为识别风险、分析风险和评价风险三个阶段。

1.2 风险评估的依据

各行各业在进行风险评估工作时，都要明确什么是风险、如何描述风险、如何进行风险分类。但这仅是技术层面的工作，需要再加上组织层面的工作。综合而言，风险评估是一个复杂的项目，需要一套可以参照的标准规范。百业发展为大，标准是为基础。生产设计的前提是标准和规范，每个项目的开展、每项工程的实施都需要有章可循，有据可依。笔者经查阅资料，整理出部分相关行业的风险评估指南，见表2［2］。

表2 风险分析标准和指南Table 2 Risk analysis standards and guidelines

续表

1.3 风险评估的意义

风险评估作为风险管理的重要环节，在安全防范系统中起着至关重要的核心及导向作用，它包括风险识别、风险分析和风险评价的全过程。风险评估这一概念无论是国家维护主权安全和人类共同利益，还是国内外的标准制定、风险管理行业主流趋势、企业组织重点项目建设评估等，都是一项在全球范围内政治、经济、科技、社会、外部环境中不可或缺的工程。

风险评估在整个风险管理领域起着至关重要的作用：

（1）识别风险及其对目标的潜在影响。

（2）为决策提供实施依据。

（3）为应对策略提供输入。

（4）发现系统和组织的薄弱环节。

（5）提出风险应对与控制的方案与决策。

2 风险分析与评估方法

风险管理是一个持续且循环的过程，通常情况下，不会通过一次运行过程而使输出达到预期结果，而是要经过反复修改、不断完善才能达到预期。因此，组织应对实施风险评估的频次做出系统安排，目的是使风险评估能体现“风险”对组织目标的影响［3］。本节主要对风险评估的流程和方法进行总结归纳分析。

2.1 风险分析与评估流程

由定义可知，风险评估的基本流程包括：风险识别、风险分析、风险评价，这三个步骤顺序不是一成不变的，在嵌入有风险存在或分析问题的管理环境时，我们可以根据情况需要对这三个步骤进行重新扩展和组合。

实施风险评估的整个流程展开如下，图1为基于目标的风险分析与评估具体流程。

图1 基于目标的风险分析与评估流程Fig.1 Objective-based risk analysis and assessment process

2.1.1 计划准备阶段

首先，需要确认组织发展战略，对事件进行定位、确认事项的目标；其次，根据组织战略确立风险评估的目标；再次，需要决断由谁来实施风险评估，一般情况下风险评估由组织内部、政府监管部门或第三方评估机构来执行；最后，需要参与评估的每一位成员和组织内部建立风险评估的共同语言基础，包括评估范围、风险描述、风险计量、风险准则、风险承受能力等。

2.1.2 风险评估实施阶段

经过前期准备，以及基础数据的搜集、整理，识别组织现存的风险和影响即风险识别过程，进而建立风险管理的信息库；然后采用适合的定量、定性或两者相结合的方法分析、评价各类风险，按需要应用风险评价模型，将风险分析、风险评价结果充实到风险事件库中；最后根据风险评估结果对重大风险进行排序。

2.1.3 完善风险评估阶段

根据风险分析建立的事件库提出供选择对策进而建立风险监测体系，分析可能在评估阶段遗漏的剩余风险并根据需要形成 （定期或不定期） 风险评价报告。整个评估过程要定期开展、不断完善，并进行循环。

2.2 风险分析与评估方法

风险分析与评估方法有许多，各行各业对风险评估的需求不同，所运用的风险评估的技术方法也不同［4］。因此在选择评估的技术和方法时，既要考虑各阶段对风险评估有不同的需求，又要考虑风险评估技术或方法对特定阶段的适用性，还要考虑跨阶段比较时结果的延续性使用。

作为工具而言，这些方法和技术基于不同的基础：有基于基础证据信息的方法，如检查表法用以对历史数据进行审查；有基于系统化结构的方法，如专家审查法，通过一个专家团队借助一套结构化的提示或问题来系统地识别风险；还有基于归纳推理的方法，如危险与可操作性分析等。

2.2.1 方法分类汇总

关于风险评估的技术方法该如何选择，本节主要参考《风险管理-风险评估技术》一书中详细介绍的31种评估技术，总结分析各个方法的特征和原理，分别按照风险评估的阶段适用性、影响因素以及特征类别进行收集整理和归纳［5］，得出按阶段适用性汇总表、按影响因素程度汇总表以及按特征类别汇总表，表格的局部列出见表3（a）、（b）、（c）（因涉及种类过多，篇幅过大，且研究小组成果有些内容涉及保密性，故整理出部分方法在表内显示）。

表3 （c） 特征类别汇总（局部）Table 3（c） Feature category summary（partial）

表3 （b） 影响因素程度汇总（局部）Table 3（b） Summary of the degree of influencing factors（partial）

表3 （a） 阶段适用性汇总（局部）Table 3（a） Phase applicability summary（partial）

2.2.2 方法分类整理

风险识别阶段是对风险要素进行识别、整理和描述；风险分析阶段是加深对风险指标的认识，通过定性定量的分析方法得出可能发生的后果以及发生的概率；风险评价利用分析结果，分析等级为决策做信息支撑。按照阶段适用性、影响因素以及特征类别进行收集整理和归纳，得出按阶段适用性结论表、按影响因素结论表，表格的局部列出见表4（a）、（b）。

表4 （a） 不同阶段汇总结论Table 4（a） Summary conclusions of different stages

表4 （b） 不同影响因素汇总结论Table 4（b） Summary of different influencing factors

根据研究分析得出的汇总结论表来看，不同阶段有不同的使用方法，对于不同影响因素侧重不同的方法。在风险评估执行的不同阶段，可依据影响因素、方法特征、判断标准、不确定性的性质和程度、复杂性、结果是否定量等各类评估因素选择合适的评估技术方法，可以使评估过程事半功倍，且有助于高效准确地获取评估结果和有效应对风险的措施。

3 基于核设施的风险评估方法研究

近年来，核电已成为一种备受重视的安全、清洁、高效的能源，人们也不再是谈“核”色变。但是，核工业历史上三次重大的核事故，让人们意识到防范重大风险事故的重要性。各类传统威胁与非传统威胁交织，对核材料以及核设施的安全运行造成的风险不断升级，因此，“核安全”一直是国际、国内核安全峰会的重要议题，国家安全局以及国家原子能机构出台多项法规文件强调核设施实物保护风险评估的重要性，行业内也鼓励支持推广风险评估技术和方法。

3.1 基于核设施实物保护的风险评估

核工业领域的风险评估，涉及“核安全”“核应急”“网络安全”“重要设施”“核材料管制”等敏感性的方向，其领域的风险特征与其他行业略有不同，既存在恐怖主义等外部风险威胁，又存在内部设施建设与运行维护等安全问题，以及国际上面临核材料管制的问题，再加上21世纪以来信息时代的飞速发展，各类技术手段不断升级，核安保行业面临巨大的风险和挑战。因此，关于核安全领域的风险评估，不单是对某个目标进行风险分析与评估，必须结合核安全领域的风险威胁特征，将风险评估整合到核设施的实物保护系统中，将其视为设计过程的组成部分来进行研究［6］。

核设施的实物保护系统（Physical Protection Systems，PPS）是集人防、技防和物防于一体的综合防范系统，在实物保护系统设计前期，即确定实物保护目标阶段，需要进行目标设施的特性分析，从而进行相关威胁要素和风险的识别；在实物保护系统的设计阶段，需要对前期所分析的风险点进行安全防范系统的设计，并在设计过程中进行逐项安全设计的对标检查；在实物保护系统建设后期或实物保护系统建成后，需要根据标准规范，对目标设施进行全面综合的系统效能评估。具体核设施实物保护系统设计流程如图2所示。

图2 核设施实物保护系统设计流程Fig.2 Nuclear facility physical protection system design process

实物保护系统设计确认目标阶段中进行设施特性分析、风险威胁定义以及目标辨识即风险识别与评估阶段，经过初步设计或特征确认、设计分析评估后，在许多情况下，为了确保有效的保护，需要进行系统的完善和重新设计，必须进行有效性分析与评估以确保其满足实物保护目标，则涉及再次的风险评估［7］。

但是，现有核设施实物保护系统设计中通常存在各类潜在的隐患和安全问题，这些风险隐患会极大地影响设施运行、生产进度以及安全效能。且由于核安全领域的保密性及特殊性，无法直接对设计的系统或在运行的系统进行风险攻击或安全测试，极大地限制了核设施风险评估的发展，不利于提高设施的安全水平。因此，研判核设施实物保护系统的防范措施能否有效满足设计最初的目标，其中研判的技术方法和具体技术指标是什么，需要一个系统性文件或者体系，现阶段核安全领域正在建立这样一套评估体系。

关于实物保护系统的有效性分析方法，最早出现于20世纪70年代。美国桑迪亚国家实验室提出并设计了敌手序列中断评估模型、内部安全有效性模型等经典评估模型，研究出了分析入侵脆弱路径方法，研发了核设施相关保障和安全分析系统及软件，为核设施实物保护系统评估工作建立了基础。而后俄罗斯、韩国等国家在此基础上进行了深入分析与研究，打破之前理论、规范及标准层面的定性研究，加入了数据模型进行定量分析研判，并形成了易于操作的量化软件。

国内关于核设施风险评估及其技术的研究起步较晚，核设施实物保护系统理论于1997年才传入我国，关于核设施的理论研究最初只应用于军用设施、军工领域，在民用领域中几乎没有涉及，处于待研究和开发状态。目前，国内现有的评估模型大多是以入侵脆弱路径分析方法的模型为参考基础，结合敌手序列中断评估模型进行单路径有效性分析，在核设施实物保护系统评估方面取得了一定的研究进展。

但是，目前的评估模型及技术软件主要应用于后端实物保护系统的效能评估，对于前端潜在危险的识别与研判，还有待深入研究；现有的评估软件缺乏数据库支撑，尚未形成一套完整可靠有实用性的风险评估体系。数字信息时代飞速发展，国际局势变化莫测，数字化网络成为当下主题，核设施实物保护对新时代、新形势下的新技术提出了更高的要求，现行的规范标准对评估方法的要求也仅限于定性和定量方向性的规定，对于特定的项目具体实施何种评估技术，没有可依据的规范流程和体系文件。

因此本文研究和梳理各类评估方法的特性和适用范围，将评估技术流程化、评估方法体系化，运用系统三维建模技术，将估算的组件性能组合成系统性能进行估计，程序的最终结果是形成核设施风险评估报告。如图3所示，风险评估的具体流程是：将风险评估从核设施实物保护系统设计流程中放大细化，核设施的风险评估又分为启动准备、现场准备、风险分析、安全建议和报告整理阶段，每个阶段又分为不同的子流程。

图3 风险评估流程Fig.3 Risk assessment process

3.2 基于核设施实物保护的风险评估方法

核燃料循环体系下分为地质勘查、铀矿采冶、元件制造、燃料加工、核电站设计和反应堆等不同领域，不同领域下各类工程项目面临的风险点和威胁要素也不同。本文主要针对核设施实物保护系统设计及运行阶段研究，针对章节2.2汇总的风险评估方法，深入分析各类型方法特征及其适用类别，筛选出适用于核安全领域的风险分析与评估方法，再根据核设施实物保护的设计及设施运行的方向进行多次筛选，本文主要针对查询类和支撑类进行专项研究，按照适用阶段、适用项目以及评估结果类型进行汇总，归纳整理见表5（a）、（b）、（c），表6 为运用检查表评估法的评估结果清单示例。

表5 （a） 按特征类别汇总-适用项目Table 5（a） Summary by feature category-applicable items

表5 （b） 按特征类别汇总-适用阶段Table 5（b） Summary by feature category-applicable stages

表5 （c） 评估结果类型汇总Table 5（c） Summary by feature category-evaluation results

表6 评估结果表（检查表示例）Table 6 Evaluation results table（example of checklist）

目前核安全领域的标准规范只建议了定性和定量两种类别，具体评估技术和方法并无限制［8］。因此，根据上述整理流程及表格的结论与分析结果，可得出结论：拟建议在核安全领域核设施实物保护系统设计中针对研究资料少、未知因素多、主观判断因素较多的工程运行实施评价政策、协调计划、组织决策等各类项目，拟采用专家意见法、列表检查法等综合评估方法；核安全领域分析设施运行过程中人为因素产生核设施事故或核材料盗窃事件的风险评估，拟选取人因可靠性分析、事故树分析等方法。风险评估方法不限于单一使用，可以综合多种方法形成新的评估技术，并将其应用于核设施的实物保护设计以及设施运行中，有助于高效评估风险等级，制定有效的风险应对措施，进而推进核安全领域安保事业的发展，推进国际核材料管制。

3.3 案例分析

现对一重要设施运行中存在的风险进行现场调查以及模拟案例分析。案例背景［9］：现采用现场观察法对某在运营设施进行内部设备的风险评估以及现场访查。本次评估项目侧重于风险识别和风险分析阶段，项目类型为现场走访以评估设施的潜在威胁、风险，因此选取现场观察法进行本次项目的评估，具体评估流程如图4所示。

图4 现场观察法评估流程Fig.4 On-site observation method evaluation process

按照整个评估流程进行调查准备。首先，进行清单列表信息的收集与归纳，确定访查目标，审查过程初期或评价阶段本身进行的筛选可证实其适当性，确定新的概念和审查已提出的易被采纳的概念，确认它们的有效性和证实它们适用的威胁情景可能被有效化解；其次，审查确定的成功路径和设备清单中的构筑物、系统与部件，确认构筑物、系统与部件在袭击期间和以后所要求的功能，确认对于每个威胁情景构筑物、系统与部件所处的要求环境，确定或确认所关注的与威胁有关的失效模式，以及确定可以从进一步考虑中排除的牢固的构筑物、系统与部件；再次，以设计资料证实建成状态或当前状态，包括设施内部的系统、工程和实物保护系统，把类似的构筑物、系统与部件及其要求环境进行分类整理，形成分析表格，待供电厂现场访查后做进一步分析；复次，对要害区及其边界进行详细审查，评价它们对设备清单的适用性，然后规定典型布局供进一步评价；最后，将现场访查结果整理成文件报告进行输出汇总。

特别注意要确定实保要求，核安全领域含有实物保护信息的所有有关信息和文档，不管是逐条的，还是为了评定核设施实物保护的工程安全问题而汇编在一起的，因涉核信息属于安保敏感信息，要加以适当保护。现场访查小组和支持人员应该由经过适当审查得到信任的专家组成，并且已对这些人进行背景检查。现场访查小组应该在设施内部人员的帮助下，按照目标清单列表逐项检查或排除风险，最终评定设施内部存在的风险威胁类型，形成风险评估报告，并根据报告制定风险应对措施。

4 结语

本文从风险管理的大方向出发，分析各类评估技术和方法特性，归纳筛选并整理出适用于核安全领域核设施实物保护设计及安全运行的方法，下一步的研究方向是将整理归纳的方法体系化、数据化，形成数字化操作软件，应用于行业设计及设施运行中，以此降低生产运行的风险，提高核设施实物保护设计的高效性、安全性。因此，基于核设施实物保护的风险评估方法应用研究，可以有效助力国家安全，不断完善核行业内风险评估相关的法律、法规、条例和细则的制定，进而推动核材料管制、核设施实物保护工作的开展，促进核安保事业的建设和发展。