源于工業生產事故溯因的復雜人機系統可靠性分析流程研究

蘇明坤

(華北理工大學 機械工程學院，河北 唐山 063210)

1 引言

人機系統可以分為簡單人機系統和復雜人機系統[1]。要想實現高級功能，產生更多的效益，必然離不開復雜人機系統。可靠性分析是評價一個系統是否能正常運行的重要指標[2]。安全人機工程學的主要研究內容之一就是人機系統的可靠性[3]。社會中各種各樣的生產型企業每年都會發生生產安全事故，一部分就是由于復雜人機系統的失效導致的。譚躍進等人認為復雜人機系統的主要研究方向之一就是這種系統的結構描述，建模以及仿真方法的探索[4]；他們還認為這種系統是一種異質結構系統，包括人和機兩類要素,要素之間包括人與人、機器與機器、人與機器三大類關聯關系。相反，崔鐵軍等人提倡消除人-機-環子系統分類界線，統一為系統影響因素進行可靠性分析[5]。舒啟翀采用模糊綜合評價法和基于FMEA的貝葉斯網絡評價了高鐵調度系統的可靠性[6]。

對于復雜人機系統的研究肯定會涉及到社會科學領域，而人機系統又有很強的技術性特征，所以復雜人機系統必然包含了社會系統和技術系統。據此，復雜人機系統可以視為一種社會技術系統。目前，人機工程學逐漸將社會技術系統理論應用在復雜領域的研究和系統開發中[7]，社會技術系統成為人機工程學的一個研究熱點[8]。事故的事后溯因是系統分析的常見應用。近年來，在對事故的致因分析理論中，出現了一種針對社會技術系統的功能共振分析方法(FRAM)。左博睿等人結合模糊推理技術提出了Fuzzy-FRAM模型，并使用此模型對一個危險品運輸事故案例進行功能風險評估[9]。Lee等人基于船員的社會網絡和FRAM提出了一種人-機系統交互海上事故分析方法[10]。Patriarca等人運用一種系統評審技術進行了FRAM的綜述，描述了這種方法的應用領域以及作者和文章的分布情況[11]。事故的不確定致因因素很多，一種常用的不確定性分析模型就是貝葉斯網絡(BN)。運用貝葉斯網絡進行事故分析也是常見的研究課題。童琦等人基于致災因子的分析提出一種棉麻庫熱災害風險評估方法[12]。劉明等人基于HAZOP提出一種氣化爐供料系統風險分析模型[13]。在方法比較上，Smith等人分別使用故障樹，FRAM，貝葉斯網絡分析了丙烷進料控制系統，據此比較了三種方法的優缺點[14]。兩種方法有很多相似和互補之處，如FRAM的功能網絡圖很容易轉化為BN的有向無環圖，同時貝葉斯網絡的定量分析能力能很好彌補功能共振定性分析方法的不足。然而上述研究都是使用其中的一種方法進行分析，將二者聯合起來分析事故的文獻較少。田斯赟同時使用了兩種方法進行頁巖氣壓裂異常工況溯源[15]。但其功能劃分并不是建立在具體的人或機器上，這也是上述一些研究的另一個共同點：宏觀分析，即一個影響因素會涉及多個主客體。

為了探索和研究復雜人機系統可靠性的分析流程，先從微觀的角度描述系統的結構和功能，再從分析事故實例入手，將兩種方法有機結合，最后在詳盡討論研究事例結果的基礎上探索出一種可用的聯合分析模型。以期為工業事故調查方法提供一些新的思路，給復雜人機系統的可靠性提供一個新的分析視角和流程研究啟示。

2 S(Structure)-F(Function)網絡圖的構建

對于簡單人機系統并沒有具體的定義，故從特征的角度建立了一個簡單人機系統的結構模型，如圖1所示。

圖1 簡單人機系統結構模型

在圖1基礎上，建立了一個相對具體的復雜人機系統結構模型，如圖2所示。在圖2中，兩個簡單人機系統可以通過人與人，機器與機器建立聯系，整體上來看是外部環境與外部環境的相互作用。在此基礎上向外擴展，可以組成組織系統和機械系統。

圖2 復雜人機系統結構模型

技術的社會角色分為三個類別，即實體角色，工藝角色和人工角色[16]。功能共振方法的一個思想就是注重功能分析，強調系統在做什么而非系統包含有什么。據此，技術可以視為一種人對機器的功能操作。可以進一步對外擴展，人與人，機器與機器也可以視為一種功能關系，功能有執行上的先后順序。功能共振理論的功能類型正好與此處一一對應，人與人對應人員功能或組織功能，人與機器和機器與機器對應技術功能。軌跡交叉理論認為事故是人的失誤和設備故障兩事件鏈的軌跡交叉。基于軌跡交叉理論將圖2中的組織系統和機械系統分別作為一行，據此可以進一步建立S-F網絡圖，如圖3所示。圖3中實心箭頭鏈就是上下游耦合的功能共振事故鏈。

圖3 S-F網絡圖

3 基于事故實例的模型研究

選擇張家口市橋東區康美會館有限公司較大鍋爐灼燙事故。

3.1 改進的FRAM定性分析階段

功能共振分析方法的第一步就是識別系統正常運行的基本功能，描述系統的功能和特征。事故系統的分析結果見表1。由于本次分析功能六角形里的資源(R)，控制(C)以及時間(T)三列無內容，所以刪去這三列。根據表1建立事故系統的S-F網絡圖如圖4所示。

圖4 事故系統的S-F網絡圖

表1 系統功能和特征描述

功能共振分析方法認為事故是系統正常運行過程中功能發生變化導致的，因此接下來就要分析功能輸出產生變化的原因。依據行為科學的觀點，人的輸出變化通常為行為的變化，據此在原來輸出變化表中加入一列“人員行為變化描述。”分析結果見表2。

表2 系統功能變化分析

3.2 過渡階段

經過前面功能共振的分析步驟，接下來就需要引入概率。概率是建立在隨機事件之上的，所以下一步就是將功能事件化。假設一個復雜人機系統由功能單元以及與功能相關的影響因素組成，功能單元只有正常和失效兩種狀態，影響因素只有積極影響和消極影響兩種狀態。狀態取值為1代表功能正常或影響因素對相應的功能為積極影響，取值為0代表失效或影響因素對相應的功能為消極影響。則可用離散隨機變量來描述各個功能單元和影響因素的狀態。此系統的功能事件化結果見表3。

表3 系統功能事件化

引入了隨機概率及事件后就可以使用貝葉斯網絡進行分析。如果此時直接進行貝葉斯網絡結構建模會忽視影響因素的存在，因此在建模之前需要分析功能變化來源。

表4 系統功能影響因素

由于是在結構建模的基礎上進行功能建模，所以影響因素只有三個，主體，客體和環境。影響因素分析表的設計自由度很高，可以考慮各種因素。為了簡化貝葉斯網絡，表4只選取了圖4中H4的技術知識影響因素(編碼為H4A)以及M1的交互信息(編碼為M1A)。將影響因素事件化。H4A=1表示有司爐工相關的技術知識，H4A=0表示司爐工沒有相關的技術知識。M1A=1表示鍋爐有“已故障”標志，M1A=0表示鍋爐沒有“已故障”標志。

3.3 BN定量分析階段

將功能和影響因素都事件化之后，就可以進行貝葉斯網絡的結構建模，建模所依據的一個重要文件就是節點條件概率表。影響因素通常為先驗概率，可以充分利用現有的統計數據；而條件概率卻種類繁多，因此更適合依據專家經驗。邊緣概率可以借軟件GeNIe2.3得到。事件X3與X4，X5與X6并沒有明顯的因果關系，只是時間上的先后順序，因此將其分割成兩個貝葉斯網絡。綜合專家打分事故問卷填寫條件概率表，最終結果如圖5所示。

圖5 事故系統的貝葉斯網絡

將條件概率表中的30個數據輸入GeNIe2.3中，計算得到各節點的邊緣概率如圖6所示。

得出各節點的邊緣概率后，下一步就是進行系統可靠性分析。此系統的失效率F=0.95×0.38×0.60=0.2166。可靠度R=0.05+0.95×0.62+0.95×0.38×0.4=0.7834。經驗證F+R=0.2166+0.7834=1，計算正確。可知此人機系統可靠性低，運行五次系統就有一次失效的可能，需要采取措施改善系統可靠度。

圖6 網絡節點邊緣概率分布

為了判斷改善哪些影響因素會獲得更大的效益，最后一步就是進行貝葉斯網絡的敏感性分析，即分析根節點概率值的變化對目標節點概率值變化的影響程度。使用GeNIe2.3的敏感性模塊進行仿真，將圖5的30個概率進行敏感度排序。根據排序結果可知在圖5的30個概率里，對X3影響最大的失效概率是P{X3=0|X2=0}；對X5影響最大的是P{H4A=0}；對X6影響最大的是P{X6=0|H4A=0}，其次是P{H4A=0}。關鍵節點失效率優化水平設為0、10%、20%、30%，仿真結果整理如表5所示。

表5 敏感性分析仿真結果

關鍵節點失效率是對目標節點影響最大的根節點先驗概率或條件概率。由表5可知如果維修部經理服從命令的概率降低10%，那么此系統的可靠度提升2.62%；如果沒有相關技術知識的司爐工監視鍋爐運行時沒有發現問題的概率降低10%，那么此系統的可靠度提升2.76%；如果司爐工沒有相關技術知識的概率降低10%，那么此系統的可靠度提升4.97%；如果三個關鍵節點失效率同時降低10%，那么此系統的可靠度提升8.99%。將表5中的第2、3、4、9列進行整理，結果如圖7所示。

圖7 不同優化水平下的系統可靠度

由圖7可知，優化H4A節點的先驗概率對于改善系統的可靠度效益最高，可以據此制定對策。

基于以上實例分析，對復雜人機系統可靠性分析全過程進行整理提出的聯合分析模型的理論使用步驟見表6。

表6 聯合分析模型的使用步驟

4 討論

以往的宏觀大型復雜人機系統建模，一般使用的是同質結構，這體現在研究對象影響因素的歸類和固定上。典型的如FMEA表[6]和CPCs表[15]，未改進的FRAM，人誤分析也屬于這一類。雖然這樣很大程度上簡化了模型，但同時也限制了它的指導范圍。這些研究最后往往只能止步于一個相對較小的子系統，給出的改進建議是作用于這個子系統的，無法再繼續深入，因此宏觀分析可以看作由上到下的改進。而現實中真實的復雜人機系統無一例外全部是由具體的人和機器組成的，這是系統的基本組件，功能建立在這些組件之上，即實際系統功能的運行是自下而上的。如果想要對系統進行高度建模仿真，這兩者必然要考慮在內。一個可以證明此觀點的依據是在實際的事故調查報告中往往都會記錄特定的情景中出故障的機器或失誤的人。

S-F網絡圖的網絡節點是微觀具體的人和機器以及主體對客體的功能，這符合前文所述的異質結構。它的特點是在結構建模的基礎上進行功能建模，很好的彌補了傳統宏觀分析方法的不足。它的最大優點是研究對象(功能涉及的主客體)非常清晰，這對最后優化方案的制定有極強的指導意義。

利用此模型進行可靠性分析得到的最終結果是一個概率數值，得出這個值需要將各個子系統箭頭末端功能節點的邊緣失效概率相乘。值得注意的是，某些子系統的節點功能可能并不一定會在現實中出現，屬于一種可能出現的功能模式。這是一個重要的差異，也是此模型區別于其他一些建模方法的地方，即對可能出現的人機系統也進行建模。另外，利用此模型進行建模所得到的并不是一個完整的網絡圖，如此例被劃分成三個網絡圖，即三個子系統。這是由于事件化時功能依據分析需要被明確的定義。復雜人機系統里緊密相連的子系統之間肯定存在時間上的聯系，若不存在，兩者就能在時間線上移動而互不影響。但緊密相連的子系統并不一定存在因果聯系，這與剛才討論的可能的子系統有關，如此例中X3(組織人員)與X4(檢查問題)之間只有時間聯系而沒有直接因果聯系。不組織人員帶來的不是檢查出問題的概率降低或提高，而是無法讓這個功能顯現。

此例中有一個特殊的功能節點X5，它的邊緣失效概率完全由X4決定，處于此功能節點的人無法憑借自己的意志控制自己的人身安全。除非他退出這個功能節點，否則這些人的安全完全由上一級功能節點控制，這就是一類不合理的人機系統。

利用此模型進行敏感性分析得到的最終結果是一個優化效益曲線圖。曲線圖上的曲線數量主要由所構建的子系統的數量決定，每個子系統都存在一個對其影響最大的失效概率。曲線圖的橫軸有兩類節點，一類是先驗失效概率，一類是失效條件概率。

此例中，優化H4A的先驗概率改善效益最高。由H4A(是否有相關技術知識)向回溯源，其對應的功能是X4(啟動前檢查)，功能對應的人員是H4(司爐工)。據此，建議改進措施是此企業要加強對司爐工人力資源的考核力度與培訓投入，這是最直接有效的措施，也是此事故調查報告提出的防范整改措施之一。另外，此模型關注的P{H4A=0}是一個先驗失效概率，即這個值與人力資源市場司爐工群體技術知識水平有關，實現X4功能的司爐工肯定來源于這個市場，此事故調查報告中也說明了此司爐工是有資格證的，所以更進一步的改進是對于司爐工人力資源市場的監管。

對于此事故系統，另外一個優化方向就是優化失效條件概率，如P{X6=0|H4A=0}。失效條件概率可以用來衡量系統的自我調節及補救水平能力。可以做一個簡單的數據仿真實驗，在GeNIe2.3中刪除X4的一個父節點M1A，X4的邊緣失效概率就會由原來的38%提高到53%。需要注意產生這樣結果的前提是M1A確實對功能有促進作用，如果兩個因素聯合起來反而產生反效果的話那就需要考慮刪除其中一個或者再增加新的父節點。對于X6節點有三種優化思路，一是從功能主體入手，阻止主體受傷的可能性。如可以設法將危險機器的監控模式改為遠程監控。二是從聯系入手，對失效功能的實現增加障礙。如提高負責安全人員的權力，危險功能需要經過安全人員的授權才可進行。而且這種權力的賦予不能只用規章制度，如可以將鍋爐房的鑰匙交給其保管或將安全人員設置在組織之外。三是從客體入手，阻斷主體與客體的連接可能，此事故調查報告中的一個整改建議就是對不合格鍋爐進行破壞性拆解以提高復產成本。這三種措施都是在司爐工失效，即沒有相關技術知識的情況下系統的的自我調節及補救措施。

可以在定量分析之前進行粗略分析，H4A影響因素節點分別指向兩個子系統里的X4與X6功能節點，可知若優化此節點，可以同時優化兩個子系統功能。這也許可以從一個側面判斷宏觀分析因素選擇的科學性。倘若在微觀系統節點中一個影響因素節點可以同時指向多個功能節點，那么在宏觀上就可以近似的認為這個因素對整個系統都有明顯的影響。但是反過來思考，如果想要使系統的可靠度有質的提升，就不能只關注這些關鍵節點，即宏觀分析里的歸類固定因素，最根本的措施是提高各節點的正常運行概率，即全面優化。此事故調查報告的第四部分就詳細的記錄了對事故有關的各個責任人員和單位的處理建議。

5 結論

對復雜人機系統的結構描述，建模以及仿真方法都進行了探索。結構描述成果是復雜人機系統結構模型，建模成果是S-F網絡圖，仿真成果是基于改進的FRAM和BN的可靠性和敏感性分析。

此模型的構建與應用也許可以給復雜人機系統分析流程的理論研究和實際應用提供一些思路和啟示。第一，可以確定所研究復雜人機系統的規模。如用微觀視角來粗略判斷宏觀大型系統，即考慮此系統中人與機器的節點數量總和。而此模型則類似于一個放大鏡，更適用于小規模局部系統微觀分析研究。第二，可以確定所研究復雜人機系統的具體場所地點，如工廠，企業，政府，輪船等。此模型選取的是帶有鍋爐房的小型企業。一些更為宏觀的系統則會橫跨多個空間區域。第三，可以限定所分析的系統功能，復雜人機系統存在的意義就是實現高級功能。一些系統可以實現多個獨立功能，但分析時只能圍繞其中一個進行分析。第四，可以從某角度入手對系統進行客觀定性描述。此模型選取的角度是系統內部基本的結構和功能。第五，可以依據劃定的標準確定判定系統性能優劣的關鍵定量指標，此模型所選取的是可靠性。需要說明的是，此模型是以一種安全的標準來研究可靠性的，在實際應用中，對于正常系統更多是以一種效率的標準進行研究。第六，依據定量分析結果確定系統優化方案。從已失效系統里得出的優化方案可以用來優化相似的未失效的復雜人機系統，這也是此事故調查報告里提倡并踐行的做法。

模型里的貝葉斯網絡建模采取的是手動建模方法，如要更準確的建立貝葉斯網絡可能需要進行結構和參數學習。下一步可通過分析機器參與生產的企業或工廠研究正常運行的復雜人機系統的可靠度。