风险基本概念:危险、危险事件、伤害、风险

各位同学好,我是老张。做功能安全这行十几年了,今天咱们聊聊最基础、也最容易被忽视的东西——风险的基本概念。

说实话,我见过不少工程师,一上来就急着做安全分析,结果连“危险”和“风险”都分不清。嗯,这就像盖楼不打地基,迟早要出问题。咱们先把这几个核心概念掰扯清楚。

1. 危险(Hazard)

危险,说白了就是“潜在的伤害源”。它本身不是伤害,而是可能导致伤害的源头。

举个例子:一辆汽车以60km/h行驶,这本身不是危险。但如果刹车失灵,那“刹车失灵”就是一个危险。我在一个项目中遇到过,工程师把“高速行驶”当作危险来分析,结果整个安全目标都定偏了。后来返工,浪费了两个月。

危险的特征:

  • 是潜在的状态或条件
  • 本身不造成伤害
  • 需要结合具体场景才能评估

2. 危险事件(Hazardous Event)

危险事件,就是“危险真正被触发的那个瞬间”。

你想想看,刹车失灵是危险,但只有在你需要刹车时它才变成危险事件。比如前方突然有行人横穿马路,你踩刹车但没反应——这就是危险事件。

我个人习惯把危险事件理解为“危险+操作场景”的组合。没有场景,危险就只是个静态的标签。

3. 伤害(Harm)

伤害,就是最终的结果。人受伤了、设备损坏了、环境被污染了,这些都算伤害。

在ISO 26262里,我们特别关注对人的伤害。我记得有一次评审,有人问:“车撞坏了算不算伤害?”我说:“车坏了是经济损失,但功能安全主要管的是人受伤。当然,经济损失也会间接导致安全风险,但那是另一回事。”

4. 风险(Risk)

风险 = 危险事件的严重度 × 发生概率。这是最核心的公式。

但我要提醒你:这个“乘”不是数学上的乘法,而是一种逻辑组合。严重度再高,如果概率极低,风险可能可接受;反过来,概率再高,如果严重度极低,风险也可能可接受。

我的经验:很多新手容易把“风险”和“危险”混为一谈。记住一句话:危险是静态的,风险是动态的。危险是“有没有”,风险是“多大”。

5. 四者的关系

它们的关系其实是一条链:

危险 → 危险事件 → 伤害

而风险,就是这条链上每个环节的“可能性”和“严重度”的综合评估。

我画了一张图,帮你理清这个逻辑:

危险 危险事件 伤害 风险 潜在伤害源 危险被触发 实际后果 综合评估 风险 = 严重度 × 发生概率 (基于危险事件和伤害的评估)

风险矩阵与风险等级

概念清楚了,接下来就是怎么量化风险。最常用的工具就是风险矩阵。

风险矩阵,说白了就是一个二维表格。横轴是严重度,纵轴是概率。每个格子代表一个风险等级。

ISO 26262里,严重度分为S0、S1、S2、S3,概率分为E0到E4(暴露概率)和C0、C1、C2、C3(可控性)。但咱们先讲通用的风险矩阵,后面再细说ASIL分级。

严重度\概率 极低 (E1) 低 (E2) 中 (E3) 高 (E4)
轻微 (S1) 可接受 可接受 需评估 需评估
中等 (S2) 可接受 需评估 需降低 不可接受
严重 (S3) 需评估 需降低 不可接受 不可接受

注意:这个矩阵只是示例。实际项目中,每个公司、每个标准都有自己的矩阵。我曾经见过一个项目,用了客户的矩阵,结果把S2E3标成了“可接受”,后来被审核员当场指出问题。所以,矩阵一定要和标准对齐。

可接受风险原则(ALARP原则)

说到风险,就绕不开一个问题:风险降到多少才算够?

理论上,零风险最好。但现实吗?不现实。你想想看,就算你把刹车系统做到99.999%可靠,还有0.001%的概率出问题。而且,为了那0.001%的改进,成本可能翻十倍。

所以,行业里普遍接受的是ALARP原则——As Low As Reasonably Practicable,中文叫“合理可行的最低水平”。

说白了就是:风险要降到“合理可行”的程度。什么叫合理可行?就是继续降低风险的成本,和降低风险带来的收益相比,已经不成比例了。

我画个图帮你理解:

不可接受区域 风险必须降低,无论成本多少 ALARP区域 风险需权衡:降低收益 vs 降低成本 只有证明成本与收益不成比例时,才可接受 可接受区域 风险水平

我的建议:在实际项目中,ALARP原则不是一句空话。你需要做两件事:

  1. 识别所有可行的安全措施——别漏掉任何可能的方案
  2. 做成本效益分析——证明你选的方案是“合理可行”的

我曾经在一个项目中,客户要求把某个风险降到零。我花了三周做分析,证明要降到零需要重新设计整个架构,成本是原项目的5倍。最后客户接受了ALARP原则,选择了次优方案。这就是ALARP的实战价值。

小结

好了,今天的内容就这些。咱们把几个核心概念过了一遍:

  • 危险是潜在的伤害源
  • 危险事件是危险被触发的瞬间
  • 伤害是最终的结果
  • 风险是严重度和概率的综合评估
  • 风险矩阵帮我们量化风险等级
  • ALARP原则告诉我们风险降到什么程度算“够”

这些概念看着简单,但我在实际评审中,发现很多工程师连“危险”和“风险”都分不清。所以,别小看这些基础。基础不牢,后面做安全分析、定安全目标,全都会跑偏。

下一章咱们会深入讲ASIL分级,那是ISO 26262的核心。但今天的内容,是理解ASIL的前提。你想想看,如果连风险都定义不清楚,ASIL等级怎么定?对吧。


公众号:蓝海资料掘金营,微信deep3321