安全性是指系统在整个使用过程中不发生导致人员死亡、健康恶化或设备财产损失的意外事件的能力，这些意外事件统称为事故，而导致事故发生的概率称为危险。要保障安全性就是要消除或控制这些潜在危险，分析危险的可能性和严重性。风险就是用危险可能性和严重性表示的发生事故的可能程度。

    ITEM软件公司是世界上公认的可靠性、可用性、维修性和安全性工程软件的领导者，该公司的定量风险评估系统iQRAS（item Quantitative Risk Assessment System）是运用概率风险分析（PRA）的软件工具。NASA（美国航空航天局）和ESA（欧洲航天局）是最早发展和使用PRA技术的，PRA主要针对复杂系统进行风险评估，在核工业、化工、航空航天领域的安全性工作中有着重要的地位。

    QRAS综合采用事件顺序图、事件树分析、故障树分析等方法对风险、系统安全性进行定量分析和评估。通过定性与定量相结合，以定量为主的方法分析系统各部分的功能偏差风险及其潜在后果，帮助设计师掌握系统的风险等级及其风险诱因，改进设计。

    QRAS创始人简介
    Dr. Michael Stamatelatos
NASA总部（Office of Safety and Mission Assurance）任务安全保证办公室负责人，总体负责PRA在NASA的推广，培训
将NASA各部门的专家经验集成到PRA模型，创建了整个航天器风险分析规程
更新了故障树分析方法，创建了动态故障树和二元决断计算方法
在学术、国家重点实验室和工业领域都有建树

    QRAS设计思想
强调大规模的概率风险分析建模的需要，如NASA的航天飞机建模
使用领先的和经过验证的风险分析技术
为风险分析人员、系统设计师、使用者和决策人员提供交流和架设桥梁

    QRAS历史
1996年在NASA的要求下由美国马里兰大学开发
1997年完成第一版1.0，NASA各航天中心成功地将QRAS用在航天飞机的概率风险分析上
2001年发行1.6版，加强了QRAS的各项功能，并在NASA进行测试
2002年发行1.7版，同年NASA完成国际空间站的概率风险分析（PRA）
2003年NASA、美国马里兰大学授权Item公司进行QRAS的商业化
2005年发行1.8版

QRAS技术优势
1. 使用领先的和经过验证的风险分析技术
QRAS采用PRA方法作为数学模型，PRA是最典型、应用最广的定量风险评估方法，又称PSA（Probabilistic Safety Assessment，概率安全评估）。PRA主要针对复杂系统进行风险评估，在核工业、化工、航空航天领域的安全性工作中有着重要的地位。PRA是一个综合的过程，是各种安全性分析方法的集成运用，它的主要工作包括风险模型建立和风险模型的定量化。风险模型包括描述危险事件发生可能性的模型和描述危险事件造成损失的模型，通常采用事件树与故障树相结合的方法建模。风险模型定量化主要是计算基本事件、危险事件发生概率的点估计和区间估计以及不确定性，在概率的意义上区分各种不同因素对风险影响的重要程度。

    PRA的基本特点是基于事故场景进行风险研究。所谓的基于事故场景是指，在用PRA法进行风险评价时，首先要鉴别出系统所有可能的事故场景及其发生的后果和可能性。事故场景的识别在很大程度上依赖于分析人员的经验和知识水平及对系统的熟悉程度，同时又要综合运用多种分析方法，如FTA、ETA、FMECA等来进行事故场景的开发。ETA与FTA综合分析是PRA的基本方法。

2. 技术领先的交互式界面和强大的建模功能
    QRAS具有友好的图形化界面，易学易会。
主逻辑图（MLD）
    确定导致事故发生的初因事件可采用主逻辑图法。MLD是一种层次结构图，是对顶事件发生的必要条件的一种分级描述。一般说来，上面各级事件是航天系统顶级或系统单元的功能失效，下面各级事件是子系统或部件的功能失效。

事件顺序图（ESD）
    对每个初因事件可以建立相应的功能事件顺序图，它描述了从初因事件到事故发生所经历的全部中间事件，即系统对初因事件的各种不同的响应。
    ESD不仅是描述系统对初因事件的各种响应和系统的设计特性的有效工具，而且可以有效地获取系统专家的知识。对每个初因事件建立相应的ESD之后可将其转化成事件树，从而可确定导致发生事件的事故链。建立起ESD后，对初因事件和中间事件进行定量化。

初因事件是风险分析情景的起点

中间事件是用来描述决定性后果的主要事件

最终状态用来对分析情景进行分类

    优势：
1. 用户自定义的最终状态
2. 当分析情景相同时，ESD可复制粘贴
3. 可对事件进行量化，采用不确定性的分布定义事件的概率
4. 通过与Mathematica软件的链接可灵活定义“模型”
5. 初因事件和中间事件可以用故障树进行量化

3. 基于二元决策图（BDD）的算法在精度和效率上都具有独特优势
    QRAS软件采用目前最新的二元决策图（BDD）技术的算法，用于执行分析任务。强大的故障树模块整合了BDD分析技术，可快速、精确地分析大型复杂系统的故障树，能在几秒钟内识别几十亿个割集。
    优势：
1. 对‘逻辑’的有效处理：极快的割集识别
2. 不相容‘逻辑’的直接处理：在分析情景过程中可考虑对故障树的‘否定’
3. “精确的定量化”：无需采用稀疏事件一类的近似方法
4. 故障树之间的链接是通过对事件顺序图的故障树二元决断图（BDD）组合来实现的

4. 强大的合并能力
    系统层次图在相同时间段前提下，不仅可以在同一项目中进行分系统的复制粘贴，而且可将其它多个项目（包括故障数和基本事件）合并到同一个项目下，合并的各个项目下的分系统的工作事件间隔（OTI）和事件顺序图（ESD），以及基本事件的量化参数等信息都一并复制到目标项目中。如果对参照基线和分析能生成完整的不确定性传播, 最终状态的不确定性结果将被合并并显示.。

5. 能进行“比较研究”分析
    QRAS能进行任意层次下的灵敏度分析, 也叫 “比较研究”分析, 为用户提供以下比较分析的类型：:
修改失效模式的量化模型
删除子系统
用其它项目的子系统代替目前的子系统
删除/增加失效模式
修改事件顺序图（ESD）
    在结果分析中，改动后的分析的结果与改动前的结果同时显示，方便用户进行比较分析。

QRAS应用
在NASA的应用
    早在50年代，美国宇航局（NASA）即用概率计算分析航天可靠性，并用故障树方法来分析民用导弹的可靠性。1960年“阿波罗”登月计划中，NASA曾应用定量评估方法对航天系统成功完成飞行任务的概率进行了计算，但没有得到重视。1986年的“挑战者”号事故促使NASA转变了认识，开始重新重视定量风险评估方法。

1988年NASA建立了空间站起飞阶段的PRA建模 （伽利略计划）
1993年NASA反馈更新空间站的PRA数据参数
1994年NASA对航天飞机主发动机进行风险评估，并完成对完整的从发射到着陆的飞行风险评估
1995年NASA开展了全面对空间站主压缩机的PRA建模研究
1996年NASA在1995后17 次成功起飞的基础上更新了PRA的贝叶斯模型
1997年NASA使用 QRAS 软件，更新了辅助动力装置 （APU）的PRA模型
1997年NASA各航天中心成功地将QRAS用在航天飞机整机的概率风险分析
1998年NASA使用 QRAS 软件，进行了轨道太空飞机的风险分析
2001年NASA完成国际空间站的概率风险分析模型
2003年NASA火星’03核任务,火星样本回收；普罗米修斯计划

应用实例：
    OSP轨道航天飞机

    “轨道航天飞机”(OSP)是一种多用途航天器。OSP将承担国际空间站航天员救生和航天员运输任务，从而替换俄罗斯的联盟号飞船，并将航天飞机从人员运输中解放出来。据 NASA称，OSP将比联盟号飞船具有更高的安全性和可靠性。

    NASA计划在2008年前研制出国际空间站上的乘员返回飞船(CRV)，它能把至少4名机组乘员从国际空间站送回地面，可靠性高于现役航天飞机；到2012以前准备好一种乘员转移飞行器(CTV)，以代替航天飞机和俄罗斯制造的联盟号飞船往返国际空间站。与传统的航天飞机相比，这种宇宙飞行器安全性更高、操作更加简便，甚至不需要长期准备就可反复升空作业。

    QRAS应用于OSP的安全性分析如下：
评价低频率关键事件的风险和不确定性
作为持续风险管理的一部分支持基于风险的决策
对成熟稳健系统，“确定系统风险的阀值，并在此基础上优化选择降低系统风险的措施”
对非成熟稳健系统，“用于指导可靠性、安全性、费用、性能间的权衡分析”
控制系统，推进系统，通信系统，热控系统，电源，遥控，遥测，遥感，总体电路，环境控制与生命保障，应急系统等的安全性设计
系统安全性性能改进:

    人员逃逸装置
目标值 1/800 80% 置信度
最小值 1/800 50% 置信度
    人员转移装置
目标值 1/400 80% 置信度
最小值 1/400 50% 置信度
可用度指标 (在轨)
    人员逃逸装置
目标值 95% 90% 置信度
最小值 95% 50% 置信度
PRA建模在轨道航天飞机的概念设计中的价值：
能够综合权衡可靠性、可用性、安全性、保障性、费用等因素。
能够为基于风险的决策提供输入
在设计阶段进行PRA分析
能够实时更新专家知识库并与PRA模型交互
早期确定系统性能阀值，生成文档并确保文档的持续性和可溯性

    航天飞机/国际空间站
    通过使用QRAS对航天飞机及空间站的分析，得出航天飞机项目包含27个危险源及100种诱因，和平空间站包含16个危险源及57种诱因，以及风险的组成关系，并且识别出空间站结构将会过载。
    采取以下决策：
执行运行控制以减小潜在危险。
对全体员工进行意外事件环境下的训练。
对硬件设备的改进：
. 降低了 ODS (运算显示系统) 连接装置的严酷度等级：
初始设计：一套运算显示系统和一套冗余系统全部用一套机械连接装置
改进设计：一套运算显示系统和一套冗余系统分别各用一套机械连接装置，此举缓解了由于一套机械连接装置失效的单点故障而造成整个运算显示系统的故障的概率。提高了系统的安全性。
. 为 STS-74, -76, -79, 和 -81安装舱口用于分离的冗余保护：
STS-71的风险分析表明：对ODS/通道适配器的增压失效，ODS钓钩张开，将会影响航空电子设备的性能，导致96/门闩(锁死)，造成太空船外活动(EVA)意外。
改进设计：通过在内部空气通道适配器和ODS空气闩之间增加安装一个舱口将两个舱之间隔开，则为太空船外活动增加了一个进出舱的冗余。此改进应用于STS-74型号至STS-?81，消除了由于单点故障造成的基本和附加功能失效。
手动工具：当门闩或导向环意外不能打开时，在失重情况下需要一种特殊工具进行手动
开启舱门。
消灭了有效载荷设备的单点故障，包括：热点设备，电马达，热点致冷器(TEF)和轨道
飞行热水器。

火星探险漫游者’03
    火星表面移动的陆地漫游车——火星探险漫游者的任务是在大量的岩石和土壤中寻找火星上过去有水活动的线索。在空气囊保护的登陆飞机在火星表面安全着陆并打开之后，火星漫游者将会拍摄全景图像，这些信息将会给科学家提供他们需要选择的火星上曾经有水的地质学证据。

    NASA在发射火星探险漫游者’03（火星车）之前，采用QRAS进行了从地面发射、太空运行、火星着陆、执行任务，直到返回地面的整个任务过程的PRA分析。

    NASA通过运用QRAS软件，从事件顺序图（ESD）的场景描述，分析出各种事件可能导致的最终后果，从分析的结果中识别出最大风险贡献因子，发现火星探险漫游者在着陆火星的任务阶段风险很大，并对气候、环境等因素进行了灵敏度分析，从而制定出减小和阻止风险的最优策略。

    通过QRAS分析结果显示，NASA得出火星车报废和该任务有损失这两个终态的主要风险贡献因子如下：
火星车报废的主要风险贡献因子：
着陆电池
RAD火箭
发动机控制板
其它
    任务有损失的主要风险因子：
收回安全气袋
着陆时包围在火星车外的花瓣状气囊
收回车轮
其它
    减小潜在风险的策略：
增加电池能力
备份发动机控制板
对环境等影响因子展开详细描述，以便更好地知道环境因素对任务造成的真实影响
其它
    NASA通过对火星探险漫游者’03的分析，对以后的火星探险号’07和’09的PRA分析
提供了参考依据。

Herschel Planck太空天文望远镜
    将于2007年发射的Herschel和Planck太空天文望远镜在设计阶段采用QRAS进行了PRA分析。Herschel太空天文望远镜将用于探测被地球大气阻隔或混淆的太空中的“可见光”和肉眼看不见的“不可见光”；Planck太空天文望远镜将用于探测宇宙大爆炸所形成的火流星的辐射，协助天体物理学家验证不同的宇宙大爆炸理论。
    其中，对于Planck冷却器模型定义以下几种终态：
冷却器损坏（发射前阶段）
任务有损失
任务延期（发射前阶段）
缩短任务（轨道飞行阶段）
    由于得到上述各终态的事件链很多，如果不进行模型的量化，很难以对风险优先次序进行区分和做出决策。
    考虑人的风险在航空航天领域很有意义，但是建模比较复杂。Herschel Planck太空天文望远镜在进行PRA分析时，考虑了人的因素，如人的误操作、维修等，从而作出采取以下措施减小人操作的风险的策略：
训练
采取安全措施
设计
其它

GRACE卫星
    GRACE卫星从事地球重力场和气候的研究。这两颗卫星可以测量地球上任何一点的重力场，而且能以目前利用任何其它陆上设备都无法达到的高精度进行测量。它们获得的数据将帮助科学家编制地球重力场分布动态地图，即利用地球重力分布动态地图可以反映出全球海洋洋流的迁移情况，这洋流迁移是由于地球深处物质的移动而发生。
    将GRACE卫星项目划分为以下五个系统：
车辆发射系统
卫星系统
科学工具系统
任务运作系统
科学数据系统
其中卫星系统分为四个子系统，即：
动力系统
通讯系统
姿态和轨道控制系统
数据处理系统
任务阶段为：发射前准备阶段、发射和前期运行阶段、运行阶段、确认阶段和观察阶段。
从PRA分析可得到以下结果：
没有主要的风险贡献因子
识别出7个风险条例
可得到理想的姿态

CloudSat卫星
    NASA研制的新型科研卫星CloudSat卫星的主要任务是详细研究云层的多种性能，例如云层厚度、离地面高度、液态水和冰含量，以及观察云层的形成及演变过程。

    对CloudSat卫星进行PRA分析，其任务场景（ESD）依次为发射、初始化、发射信号、接收信号和运行几个关键任务事件。除了发射事件没有用故障树，而采用统计数据进行量化外，其余事件均采用故障树建模，对故障树底事件进行量化。

    CloudSat卫星在设计初期就采用QRAS软件进行PRA分析，因此可以进行较大的设计改动。进行分析后，得出以下几点结论：
识别出几个大的风险贡献因子
在几处地方改进设计，以消除单点故障

在其它领域的应用

    核工业
    PRA技术在核工业部门广泛使用，核电站及常规电站通过应用PRA技术，加强了设备运行风险控制，电站非计划停机次数已由每年平均5次降低至1次以下。目前已在近30个项目中成功地应用PRA方法进行分析评估，大大提高了电站的安全效益和经济效益。

    主要应用
核电厂运行中系统-结构部件故障次数的概率估算
超大核风险模型的二元决策图解
核电厂地震风险分析
辐射源项的计算
通过功能可靠性评价的非能动系统的可靠性评价
严重事故易损性评价的定量方法
核电厂应用的1、2和3级PRA一体化风险评价
PRA在核电厂停堆中的应用
电气室的火灾风险的危害评价
基于概率安全评价的允许停堆次数评价
放射性和环境剂量测定和评价

    医学临床
    哈佛医科大学的Meghan博士、助理教授，以及哈佛在波士顿的医学中心临床系统分析主任选择了QRAS软件工具，主要用于：
确定在临床等高风险领域使用概率风险分析的技术优点和可行性
证实在卫生保健方面，概率风险评估对于质量和安全监控是非常适用的
    他们证实了以下两个方面非常适合用
    QRAS进行PRA分析：
1. 在引进新技术、新设备和新程序到临床环境之前，进行安全性评估
2. 在手术室，加护病房等重要部门，采用新技术之前，分析其潜在危险。QRAS提供了在将新技术用在病人之前，分析其安全性的建模环境。
    在医药化工领域，用QRAS进行任务阶段的建模类似于航空航天及国防工业的“任务阶段”。PRA的使用，打破了医药化工领域的传统模式，大大提高了其安全性。