某型導彈技術準備人因安全性分析

陸巍巍，徐 濤，韓建立

（海軍航空大學，山東煙臺264001）

在某型導彈技術準備過程中，涉及人員、崗位多，協(xié)作、交互多，對裝、設備的操作也多，具備復雜系統(tǒng)的典型特征[1]；操作人員的精力主要集中在協(xié)調(diào)控制不同系統(tǒng)設備，因而承擔了更多壓力，這導致產(chǎn)生人為錯誤的可能性較高。

鑒于人因在系統(tǒng)安全性中的重要性，本文基于行為模型的概念，對STPA（系統(tǒng)理論過程分析方法）的人員控制器模型進行擴展[2]，構建了一種基于行為模型的人因安全性分析方法（Extended STPA with Behaviour Model，BME-STPA），該方法將人的行為納入系統(tǒng)運行過程中，實現(xiàn)人因分析中致因因素的定位，確定不安全行為在特定工作環(huán)境中出現(xiàn)的原因。

1 BME-STPA人因安全性分析方法

1.1 基于STPA的分析過程

Nancy Leveson提出的STAMP模型，目的是查找更多類型的事故致因因素，包括人為差錯、組織結構、設計缺陷以及非故障組件之間不良交互作用等[3]。STAMP模型將復雜系統(tǒng)當成含有多個層次的分層結構，用以揭示上層對下層的約束和下層向上層的反饋信息，并構建控制關系模型[4]。

STPA是建立在STAMP模型基礎上的安全性分析方法，它通過構建由作動器、控制過程和傳感器等構成的反饋控制回路，分析輸入、輸出信號在性能、時間或邏輯上的不合理情況，識別存在的不安全控制行為并構建事故場景，其通用控制器模型如圖1所示，其中包含人員控制器和自動控制器[5]。

圖1 STPA的通用控制器模型Fig.1 Common controller model of STPA

可以看到，人員控制器的過程模型與自動控制相比，除了包括受控過程的模型，還包括自動控制系統(tǒng)模型，這2種過程模型用來生成動態(tài)的人員控制行為，從而主導整個操作流程[6]。來自人員控制器控制過程和自動控制器的反饋信息（以視覺、聽覺、觸覺等形式）直接或間接（通過人機接口）輸入至人員控制器，從而對控制行為的生成產(chǎn)生影響。控制行為產(chǎn)生后，會通過人員控制器的控制機構送至自動控制器，或者直接送至執(zhí)行器，進而對受控過程產(chǎn)生影響。

1.2 基于行為模型的人員控制器模型改進

各種行為模型主要是對人的信息處理過程、形成決策和人與設備交互過程的描述。而人因安全性分析不但需要知道人是怎么思考的，還要知道他們?nèi)绾我约盀楹螘蚱葡到y(tǒng)的安全約束[7]。

因此，在STPA的安全性分析中，須將人的思維模型與基于控制理論的安全分析技術有機結合起來。這種模型不需要過多地涉及人的行為模式的細節(jié)問題，應當主要關注整個系統(tǒng)中操作人員與其他組件的互動[8]。本文基于此，給出了一種適用于STPA的行為模型架構如圖2所示，并構建了一種基于STPA的人因安全分析方法：BME-STPA方法。對比圖1和圖2可以看到不同之處在于：

1）控制器模型由“態(tài)勢感知”、“態(tài)勢理解”、“行為決策”、“行為實施”等組建的新行為模型取代了原來的“過程模型-控制算法”模型。

2）外源因素（指非控制系統(tǒng)本征因素，即傳感器、控制器、執(zhí)行器之外的因素）取代了環(huán)境輸入和規(guī)程輸入。

圖2 改進的控制器模型Fig.2 Improved controller model

1.3 改進的控制器模型

1）態(tài)勢感知。反饋信息到達控制器后，在被控制行為產(chǎn)生影響前，首先會經(jīng)過“感知”模型的處理。操作人員能夠正確處理和理解來自人機接口、傳感器和自身感覺系統(tǒng)的反饋信息，是做出正確的反應和操作的前提。這里的“正確處理和理解”指的是操作人員對反饋信息的理解沒有出現(xiàn)偏差和誤解[9]。在STPA中，如果反饋信息沒有被正確的接受和理解，操作人員可能會因此做出錯誤的控制行為，進而引發(fā)事故。

2）態(tài)勢理解。反饋信息被控制模型感知后，會觸發(fā)操作人員對當前態(tài)勢信息模型的產(chǎn)生或者刷新，這一點與STPA控制器模型相同。態(tài)勢理解是行為決策的決策依據(jù)，其輸入是態(tài)勢感知模塊產(chǎn)生的態(tài)勢信息，態(tài)勢理解模塊將對輸入信息進行再處理，內(nèi)化形成操作人員對態(tài)勢信息認知的表示[10]。在態(tài)勢感知和態(tài)勢理解之間還存在一個反向的箭頭，表明態(tài)勢理解有時會進一步要求態(tài)勢感知階段更新信息，或輸入更多的信息，以滿足操作人員對當前態(tài)勢掌握的需求。

3）行為決策。行為決策模型會根據(jù)態(tài)勢信息來產(chǎn)生控制行為。在行為決策與態(tài)勢理解之間也存在著交互。行為決策需要態(tài)勢感知的支持，而當人員進行決策時，如果發(fā)現(xiàn)當前獲取的態(tài)勢無法為控制行為的選擇提供足夠的信息支持，則會要求通過態(tài)勢感知和態(tài)勢理解進一步獲取更全面的態(tài)勢信息[11]。

4）行為執(zhí)行。決策模型確定好控制行為后，操作人員須要將其付諸實施。如果操作工具設計有缺陷（比如用戶友好性差），操作人員就可能無法即時做出動作，或做出錯誤的動作，從而在某種條件下導致事故的發(fā)生[12]。與基本的STPA人員控制器類似，控制行為實施后，會通過人員控制器的控制機構送至自動化控制器，或者直接送至執(zhí)行器，進而對受控過程產(chǎn)生影響。

2 人因安全性分析用例—加注

本文以某型導彈技術準備中加注過程的部分操作為分析對象，介紹BME-STPA方法的應用過程。

2.1 加注操作流程

加注操作涉及的人員包括：0號手——負責指揮協(xié)調(diào)，下達操作指揮口令，并負責工作把關，檢查各號手的工作；1號手——操作控制臺，觀察儀表顯示，讀數(shù)；2號手——加注罐有關操作；3號手——溢出罐有關操作；4號手——對接和拆除加泄連接器；5號手——報告和記錄有關數(shù)值。另有消防、救護、搶險人員在現(xiàn)場保障[13]。工作流程如圖3所示。

圖3 推進劑加注流程圖Fig.3 Flow chart of propellant filling

2.2 事故場景、典型事故類型與安全約束分析

1）事故場景。對照危險嚴重性等級標準[14]，劃分可能的事故等級：Ⅰ-燃料泄漏導致的人員中毒；Ⅱ-操作不當（搬運設備）導致的人員受傷；Ⅲ-操作不當導致的設備損傷；Ⅳ-輕于Ⅲ的損傷。

2）典型事故類型。加注過程可能導致燃料泄漏的典型事故類型如表1所示（默認加注前準備工作檢查完畢，當前狀態(tài)正常）。

3）系統(tǒng)安全約束分析。根據(jù)發(fā)現(xiàn)的系統(tǒng)危險，給出對應的安全約束如表2所示，這也是識別不安全控制行為的依據(jù)。

表1 加注過程典型事故類型Tab.1 Typical accidents during the fueling

表2 加注過程系統(tǒng)級安全約束Tab.2 System security constraints during the fueling

2.3 安全控制結構

本文選取溢出罐增壓操作作為安全分析的對象。溢出罐增壓過程的安全控制結構如圖4所示，涉及的操作人員包括0號手（指揮）、1號手（加注臺操作）、3號手（溢出罐操作）；設備包括溢出罐和加注臺，其中溢出罐是受控對象，加注臺兼具控制器和傳感器的功能。

溢出罐增壓操作以3號手為核心，涉及與0號手、1號手，以及與控制器和傳感器的交聯(lián)，0號手向1號手、3號手下達增壓指令后，3號手通過觀察壓力表，感知溢出罐增壓狀態(tài)，當溢出罐增壓滿足要求時，3號手向0號手報告，0號手向1號手下達“S2A置‘中’位”指令，1號手根據(jù)指示燈顯示完成“S2A置‘中’位”后，向1號手報告。3號手繼續(xù)觀察溢出罐壓力情況，如無異常，溢出罐增壓操作結束。

由此可以看出，在溢出罐增壓操作過程中，人員的作用就非常重要，人因貫穿在整個操作過程中，在設備正常的情況下，人因是導致不安全控制行為的主要因素。

圖4 溢出罐增壓過程安全控制結構Fig.4 Safety control structure during overflow tank supercharging

2.4 溢出罐增壓中基于BME-STPA的人因分析

2.4.1 不安全控制行為（UCA）分析

UCA產(chǎn)生的4種情形為[15]：

情形1：安全約束需要的控制行為沒有施加；

情形2：施加的錯誤控制行為導致安全危害；

情形3：安全控制行為提供的過早、過晚或者次序錯誤；

情形4：控制行為過早或者過晚的停止。

據(jù)此分別對溢出罐增壓涉及的3名操作人員進行UCA分析，分析結果如表3所示。

表格的第1列為涉及的操作人員，第2列為與安全約束SC7相關的控制行為，第3～6列為對應的UCA。以UCA3-2為例，3表示3號手，2表示當前號手UCA的序號。

表3 加注過程系統(tǒng)級安全約束Tab.3 System security constraints during the fueling

2.4.2 人因致因因素分析

完成UCA分析后，即可以每一個UCA或者多個UCA為出發(fā)點，進行人因致因因素分析。下面以UCA3-1、UCA3-2、UCA3-3為例，對3號手進行人為致因因素分析，3號手報告壓力時的行為模型如圖5所示。進行安全分析時，在考慮外源因素影響下，按照行為執(zhí)行、行為決策、態(tài)勢理解、態(tài)勢感知的順序進行[16]。

圖5 行為模型Fig.5 Behavior model

1）行為執(zhí)行。首先，假定3號手已經(jīng)讀出了壓力值，但是在報告時出現(xiàn)了失誤，報告了錯誤的數(shù)字。此時，考慮各種可能的外源因素，可以得出以下致因因素[17]：① 人體工學因素：由于心情緊張報錯數(shù)字；由于注意力不集中報錯數(shù)字；由于疲勞報錯數(shù)字。② 知識因素：由于發(fā)音不標準導致報出了會被誤解的數(shù)字；由于工作經(jīng)驗和知識面不足，報出了不準確的數(shù)字。

2）行為決策。接下來分析為何號手會做出錯誤的行為選擇。在報告壓力這一動作中，3號手的選擇空間為：報告或者不報告當前數(shù)值。行為決策失誤的根源首先可能來自錯誤的態(tài)勢理解，這一點將在“態(tài)勢理解”中進行分析。在態(tài)勢理解正確的前提下，可能的致因因素為：① 號手急于完成當前操作，導致沒有依次報告壓力變化；② 號手對規(guī)程的遵從意識不強，導致沒有及時報告壓力值；③ 號手訓練水平不夠，沒有形成相應的操作記憶，導致沒有及時或者沒有依次報告壓力；④ 號手由于情緒緊張或者注意力不集中等原因，導致沒有及時或者沒有依次報告壓力。

3）態(tài)勢理解。根據(jù)前文所述，態(tài)勢信息可以分為受控過程狀態(tài)、受控過程行為和操作環(huán)境3個部分，可能存在的致因因素為：① 對受控過程狀態(tài)的理解錯誤：由于注意力不集中，訓練水平不夠等原因，號手對自己當前號位認識錯誤（訓練中每個受訓人員往往會輪流擔任不同的操作號手）；號手對壓力表數(shù)值的判讀錯誤：對壓力表不熟悉導致讀數(shù)錯誤；將當前壓力表的指示默認與其他儀表混淆，導致讀數(shù)錯誤等；由于注意力不集中，訓練水平不夠等原因，號手對指揮號手（0號手）下達的口令記憶錯誤。② 對受控過程行為的理解錯誤：由于訓練水平不夠等原因，號手對當前應當執(zhí)行的任務存在誤解。例如，不確定自己應當報告哪些數(shù)值；由于對壓力變化的誤判，導致壓力報告的時機錯誤。③ 對任務環(huán)境的理解錯誤：對任務的嚴肅性和違規(guī)操作后果的嚴重性沒有正確認識；認為其他號手的工作能夠彌補自己的過失。

4）態(tài)勢感知。來自傳感器、環(huán)境和其他操作人員的信息匯集到操作人員，但這些信息未能全部被操作人員接收到或者正確理解，態(tài)勢感知中可能存在的致因因素主要有[18]：① 設備或者系統(tǒng)缺陷導致的錯誤：3號手站位距離壓力表太遠，導致讀數(shù)錯誤；壓力表表盤受污導致讀數(shù)錯誤；0號手與3號手之間距離太遠，導致3號手不能聽清口令。② 外源因素導致的錯誤：照明條件不好導致讀數(shù)錯誤；環(huán)境噪音過大導致號手不能聽清口令；號手由于傷病等原因導致聽力或者視力受損。

2.4.3 分析結果評價

針對“溢出灌增壓”這一操作，采用BME-STPA方法進行了人為致因因素分析。分析過程以行為模型為依據(jù)，分別從行為執(zhí)行、行為決策、態(tài)勢理解、態(tài)勢感知4個階段入手，并且在每個階段涵蓋了外源因素導致的致因因素。

與STPA方法相比，由于BME-STPA對人因分析更具針對性，給出的分析指南也更加詳盡和全面，因此能定位出更為準確、全面和深層次的致因因素。例如，在分析態(tài)勢理解中的致因因素時，BME-STPA方法分別從“受控過程狀態(tài)”“對受控過程行為”“任務環(huán)境”3個方面，結合操作人員的心理條件、訓練水平等外源因素，得出8條致因因素，這是STPA方法難以做到的。

3 結束語

本文根據(jù)STAMP理論，研究了一種基于STPA的人因安全性分析方法BME-STPA方法：用簡潔的行為模型替代STPA的控制器模型，并將外源因素作為分析方法的重要因素之一，用人的行為模型替代STPA的控制器模型，構建了基于行為模型的BME-STPA方法；以“態(tài)勢感知”、“態(tài)勢理解”、“行為決策”、“行為實施”和“外源因素”5個基本要素為基礎，給出了人為致因因素的分析指南，解決了STPA方法對人因安全性分析針對性不強的問題；最后，以末修加注中的溢出罐增壓操作為分析用例，證明了BME-STPA方法的實用性和有效性。