源于工業(yè)生產(chǎn)事故溯因的復雜人機系統(tǒng)可靠性分析流程研究

蘇明坤

(華北理工大學 機械工程學院，河北 唐山 063210)

1 引言

人機系統(tǒng)可以分為簡單人機系統(tǒng)和復雜人機系統(tǒng)[1]。要想實現(xiàn)高級功能，產(chǎn)生更多的效益，必然離不開復雜人機系統(tǒng)?？煽啃苑治鍪窃u價一個系統(tǒng)是否能正常運行的重要指標[2]。安全人機工程學的主要研究內(nèi)容之一就是人機系統(tǒng)的可靠性[3]。社會中各種各樣的生產(chǎn)型企業(yè)每年都會發(fā)生生產(chǎn)安全事故，一部分就是由于復雜人機系統(tǒng)的失效導致的。譚躍進等人認為復雜人機系統(tǒng)的主要研究方向之一就是這種系統(tǒng)的結(jié)構(gòu)描述，建模以及仿真方法的探索[4]；他們還認為這種系統(tǒng)是一種異質(zhì)結(jié)構(gòu)系統(tǒng)，包括人和機兩類要素,要素之間包括人與人、機器與機器、人與機器三大類關(guān)聯(lián)關(guān)系。相反，崔鐵軍等人提倡消除人-機-環(huán)子系統(tǒng)分類界線，統(tǒng)一為系統(tǒng)影響因素進行可靠性分析[5]。舒啟翀采用模糊綜合評價法和基于FMEA的貝葉斯網(wǎng)絡(luò)評價了高鐵調(diào)度系統(tǒng)的可靠性[6]。

對于復雜人機系統(tǒng)的研究肯定會涉及到社會科學領(lǐng)域，而人機系統(tǒng)又有很強的技術(shù)性特征，所以復雜人機系統(tǒng)必然包含了社會系統(tǒng)和技術(shù)系統(tǒng)。據(jù)此，復雜人機系統(tǒng)可以視為一種社會技術(shù)系統(tǒng)。目前，人機工程學逐漸將社會技術(shù)系統(tǒng)理論應(yīng)用在復雜領(lǐng)域的研究和系統(tǒng)開發(fā)中[7]，社會技術(shù)系統(tǒng)成為人機工程學的一個研究熱點[8]。事故的事后溯因是系統(tǒng)分析的常見應(yīng)用。近年來，在對事故的致因分析理論中，出現(xiàn)了一種針對社會技術(shù)系統(tǒng)的功能共振分析方法(FRAM)。左博睿等人結(jié)合模糊推理技術(shù)提出了Fuzzy-FRAM模型，并使用此模型對一個危險品運輸事故案例進行功能風險評估[9]。Lee等人基于船員的社會網(wǎng)絡(luò)和FRAM提出了一種人-機系統(tǒng)交互海上事故分析方法[10]。Patriarca等人運用一種系統(tǒng)評審技術(shù)進行了FRAM的綜述，描述了這種方法的應(yīng)用領(lǐng)域以及作者和文章的分布情況[11]。事故的不確定致因因素很多，一種常用的不確定性分析模型就是貝葉斯網(wǎng)絡(luò)(BN)。運用貝葉斯網(wǎng)絡(luò)進行事故分析也是常見的研究課題。童琦等人基于致災因子的分析提出一種棉麻庫熱災害風險評估方法[12]。劉明等人基于HAZOP提出一種氣化爐供料系統(tǒng)風險分析模型[13]。在方法比較上，Smith等人分別使用故障樹，F(xiàn)RAM，貝葉斯網(wǎng)絡(luò)分析了丙烷進料控制系統(tǒng)，據(jù)此比較了三種方法的優(yōu)缺點[14]。兩種方法有很多相似和互補之處，如FRAM的功能網(wǎng)絡(luò)圖很容易轉(zhuǎn)化為BN的有向無環(huán)圖，同時貝葉斯網(wǎng)絡(luò)的定量分析能力能很好彌補功能共振定性分析方法的不足。然而上述研究都是使用其中的一種方法進行分析，將二者聯(lián)合起來分析事故的文獻較少。田斯赟同時使用了兩種方法進行頁巖氣壓裂異常工況溯源[15]。但其功能劃分并不是建立在具體的人或機器上，這也是上述一些研究的另一個共同點：宏觀分析，即一個影響因素會涉及多個主客體。

為了探索和研究復雜人機系統(tǒng)可靠性的分析流程，先從微觀的角度描述系統(tǒng)的結(jié)構(gòu)和功能，再從分析事故實例入手，將兩種方法有機結(jié)合，最后在詳盡討論研究事例結(jié)果的基礎(chǔ)上探索出一種可用的聯(lián)合分析模型。以期為工業(yè)事故調(diào)查方法提供一些新的思路，給復雜人機系統(tǒng)的可靠性提供一個新的分析視角和流程研究啟示。

2 S(Structure)-F(Function)網(wǎng)絡(luò)圖的構(gòu)建

對于簡單人機系統(tǒng)并沒有具體的定義，故從特征的角度建立了一個簡單人機系統(tǒng)的結(jié)構(gòu)模型，如圖1所示。

圖1 簡單人機系統(tǒng)結(jié)構(gòu)模型

在圖1基礎(chǔ)上，建立了一個相對具體的復雜人機系統(tǒng)結(jié)構(gòu)模型，如圖2所示。在圖2中，兩個簡單人機系統(tǒng)可以通過人與人，機器與機器建立聯(lián)系，整體上來看是外部環(huán)境與外部環(huán)境的相互作用。在此基礎(chǔ)上向外擴展，可以組成組織系統(tǒng)和機械系統(tǒng)。

圖2 復雜人機系統(tǒng)結(jié)構(gòu)模型

技術(shù)的社會角色分為三個類別，即實體角色，工藝角色和人工角色[16]。功能共振方法的一個思想就是注重功能分析，強調(diào)系統(tǒng)在做什么而非系統(tǒng)包含有什么。據(jù)此，技術(shù)可以視為一種人對機器的功能操作?？梢赃M一步對外擴展，人與人，機器與機器也可以視為一種功能關(guān)系，功能有執(zhí)行上的先后順序。功能共振理論的功能類型正好與此處一一對應(yīng)，人與人對應(yīng)人員功能或組織功能，人與機器和機器與機器對應(yīng)技術(shù)功能。軌跡交叉理論認為事故是人的失誤和設(shè)備故障兩事件鏈的軌跡交叉?；谲壽E交叉理論將圖2中的組織系統(tǒng)和機械系統(tǒng)分別作為一行，據(jù)此可以進一步建立S-F網(wǎng)絡(luò)圖，如圖3所示。圖3中實心箭頭鏈就是上下游耦合的功能共振事故鏈。

圖3 S-F網(wǎng)絡(luò)圖

3 基于事故實例的模型研究

選擇張家口市橋東區(qū)康美會館有限公司較大鍋爐灼燙事故。

3.1 改進的FRAM定性分析階段

功能共振分析方法的第一步就是識別系統(tǒng)正常運行的基本功能，描述系統(tǒng)的功能和特征。事故系統(tǒng)的分析結(jié)果見表1。由于本次分析功能六角形里的資源(R)，控制(C)以及時間(T)三列無內(nèi)容，所以刪去這三列。根據(jù)表1建立事故系統(tǒng)的S-F網(wǎng)絡(luò)圖如圖4所示。

圖4 事故系統(tǒng)的S-F網(wǎng)絡(luò)圖

表1 系統(tǒng)功能和特征描述

功能共振分析方法認為事故是系統(tǒng)正常運行過程中功能發(fā)生變化導致的，因此接下來就要分析功能輸出產(chǎn)生變化的原因。依據(jù)行為科學的觀點，人的輸出變化通常為行為的變化，據(jù)此在原來輸出變化表中加入一列“人員行為變化描述?！狈治鼋Y(jié)果見表2。

表2 系統(tǒng)功能變化分析

3.2 過渡階段

經(jīng)過前面功能共振的分析步驟，接下來就需要引入概率。概率是建立在隨機事件之上的，所以下一步就是將功能事件化。假設(shè)一個復雜人機系統(tǒng)由功能單元以及與功能相關(guān)的影響因素組成，功能單元只有正常和失效兩種狀態(tài)，影響因素只有積極影響和消極影響兩種狀態(tài)。狀態(tài)取值為1代表功能正常或影響因素對相應(yīng)的功能為積極影響，取值為0代表失效或影響因素對相應(yīng)的功能為消極影響。則可用離散隨機變量來描述各個功能單元和影響因素的狀態(tài)。此系統(tǒng)的功能事件化結(jié)果見表3。

表3 系統(tǒng)功能事件化

引入了隨機概率及事件后就可以使用貝葉斯網(wǎng)絡(luò)進行分析。如果此時直接進行貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)建模會忽視影響因素的存在，因此在建模之前需要分析功能變化來源。

表4 系統(tǒng)功能影響因素

由于是在結(jié)構(gòu)建模的基礎(chǔ)上進行功能建模，所以影響因素只有三個，主體，客體和環(huán)境。影響因素分析表的設(shè)計自由度很高，可以考慮各種因素。為了簡化貝葉斯網(wǎng)絡(luò)，表4只選取了圖4中H4的技術(shù)知識影響因素(編碼為H4A)以及M1的交互信息(編碼為M1A)。將影響因素事件化。H4A=1表示有司爐工相關(guān)的技術(shù)知識，H4A=0表示司爐工沒有相關(guān)的技術(shù)知識。M1A=1表示鍋爐有“已故障”標志，M1A=0表示鍋爐沒有“已故障”標志。

3.3 BN定量分析階段

將功能和影響因素都事件化之后，就可以進行貝葉斯網(wǎng)絡(luò)的結(jié)構(gòu)建模，建模所依據(jù)的一個重要文件就是節(jié)點條件概率表。影響因素通常為先驗概率，可以充分利用現(xiàn)有的統(tǒng)計數(shù)據(jù)；而條件概率卻種類繁多，因此更適合依據(jù)專家經(jīng)驗。邊緣概率可以借軟件GeNIe2.3得到。事件X3與X4，X5與X6并沒有明顯的因果關(guān)系，只是時間上的先后順序，因此將其分割成兩個貝葉斯網(wǎng)絡(luò)。綜合專家打分事故問卷填寫條件概率表，最終結(jié)果如圖5所示。

圖5 事故系統(tǒng)的貝葉斯網(wǎng)絡(luò)

將條件概率表中的30個數(shù)據(jù)輸入GeNIe2.3中，計算得到各節(jié)點的邊緣概率如圖6所示。

得出各節(jié)點的邊緣概率后，下一步就是進行系統(tǒng)可靠性分析。此系統(tǒng)的失效率F=0.95×0.38×0.60=0.2166?？煽慷萊=0.05+0.95×0.62+0.95×0.38×0.4=0.7834。經(jīng)驗證F+R=0.2166+0.7834=1，計算正確?？芍巳藱C系統(tǒng)可靠性低，運行五次系統(tǒng)就有一次失效的可能，需要采取措施改善系統(tǒng)可靠度。

圖6 網(wǎng)絡(luò)節(jié)點邊緣概率分布

為了判斷改善哪些影響因素會獲得更大的效益，最后一步就是進行貝葉斯網(wǎng)絡(luò)的敏感性分析，即分析根節(jié)點概率值的變化對目標節(jié)點概率值變化的影響程度。使用GeNIe2.3的敏感性模塊進行仿真，將圖5的30個概率進行敏感度排序。根據(jù)排序結(jié)果可知在圖5的30個概率里，對X3影響最大的失效概率是P{X3=0|X2=0}；對X5影響最大的是P{H4A=0}；對X6影響最大的是P{X6=0|H4A=0}，其次是P{H4A=0}。關(guān)鍵節(jié)點失效率優(yōu)化水平設(shè)為0、10%、20%、30%，仿真結(jié)果整理如表5所示。

表5 敏感性分析仿真結(jié)果

關(guān)鍵節(jié)點失效率是對目標節(jié)點影響最大的根節(jié)點先驗概率或條件概率。由表5可知如果維修部經(jīng)理服從命令的概率降低10%，那么此系統(tǒng)的可靠度提升2.62%；如果沒有相關(guān)技術(shù)知識的司爐工監(jiān)視鍋爐運行時沒有發(fā)現(xiàn)問題的概率降低10%，那么此系統(tǒng)的可靠度提升2.76%；如果司爐工沒有相關(guān)技術(shù)知識的概率降低10%，那么此系統(tǒng)的可靠度提升4.97%；如果三個關(guān)鍵節(jié)點失效率同時降低10%，那么此系統(tǒng)的可靠度提升8.99%。將表5中的第2、3、4、9列進行整理，結(jié)果如圖7所示。

圖7 不同優(yōu)化水平下的系統(tǒng)可靠度

由圖7可知，優(yōu)化H4A節(jié)點的先驗概率對于改善系統(tǒng)的可靠度效益最高，可以據(jù)此制定對策。

基于以上實例分析，對復雜人機系統(tǒng)可靠性分析全過程進行整理提出的聯(lián)合分析模型的理論使用步驟見表6。

表6 聯(lián)合分析模型的使用步驟

4 討論

以往的宏觀大型復雜人機系統(tǒng)建模，一般使用的是同質(zhì)結(jié)構(gòu)，這體現(xiàn)在研究對象影響因素的歸類和固定上。典型的如FMEA表[6]和CPCs表[15]，未改進的FRAM，人誤分析也屬于這一類。雖然這樣很大程度上簡化了模型，但同時也限制了它的指導范圍。這些研究最后往往只能止步于一個相對較小的子系統(tǒng)，給出的改進建議是作用于這個子系統(tǒng)的，無法再繼續(xù)深入，因此宏觀分析可以看作由上到下的改進。而現(xiàn)實中真實的復雜人機系統(tǒng)無一例外全部是由具體的人和機器組成的，這是系統(tǒng)的基本組件，功能建立在這些組件之上，即實際系統(tǒng)功能的運行是自下而上的。如果想要對系統(tǒng)進行高度建模仿真，這兩者必然要考慮在內(nèi)。一個可以證明此觀點的依據(jù)是在實際的事故調(diào)查報告中往往都會記錄特定的情景中出故障的機器或失誤的人。

S-F網(wǎng)絡(luò)圖的網(wǎng)絡(luò)節(jié)點是微觀具體的人和機器以及主體對客體的功能，這符合前文所述的異質(zhì)結(jié)構(gòu)。它的特點是在結(jié)構(gòu)建模的基礎(chǔ)上進行功能建模，很好的彌補了傳統(tǒng)宏觀分析方法的不足。它的最大優(yōu)點是研究對象(功能涉及的主客體)非常清晰，這對最后優(yōu)化方案的制定有極強的指導意義。

利用此模型進行可靠性分析得到的最終結(jié)果是一個概率數(shù)值，得出這個值需要將各個子系統(tǒng)箭頭末端功能節(jié)點的邊緣失效概率相乘。值得注意的是，某些子系統(tǒng)的節(jié)點功能可能并不一定會在現(xiàn)實中出現(xiàn)，屬于一種可能出現(xiàn)的功能模式。這是一個重要的差異，也是此模型區(qū)別于其他一些建模方法的地方，即對可能出現(xiàn)的人機系統(tǒng)也進行建模。另外，利用此模型進行建模所得到的并不是一個完整的網(wǎng)絡(luò)圖，如此例被劃分成三個網(wǎng)絡(luò)圖，即三個子系統(tǒng)。這是由于事件化時功能依據(jù)分析需要被明確的定義。復雜人機系統(tǒng)里緊密相連的子系統(tǒng)之間肯定存在時間上的聯(lián)系，若不存在，兩者就能在時間線上移動而互不影響。但緊密相連的子系統(tǒng)并不一定存在因果聯(lián)系，這與剛才討論的可能的子系統(tǒng)有關(guān)，如此例中X3(組織人員)與X4(檢查問題)之間只有時間聯(lián)系而沒有直接因果聯(lián)系。不組織人員帶來的不是檢查出問題的概率降低或提高，而是無法讓這個功能顯現(xiàn)。

此例中有一個特殊的功能節(jié)點X5，它的邊緣失效概率完全由X4決定，處于此功能節(jié)點的人無法憑借自己的意志控制自己的人身安全。除非他退出這個功能節(jié)點，否則這些人的安全完全由上一級功能節(jié)點控制，這就是一類不合理的人機系統(tǒng)。

利用此模型進行敏感性分析得到的最終結(jié)果是一個優(yōu)化效益曲線圖。曲線圖上的曲線數(shù)量主要由所構(gòu)建的子系統(tǒng)的數(shù)量決定，每個子系統(tǒng)都存在一個對其影響最大的失效概率。曲線圖的橫軸有兩類節(jié)點，一類是先驗失效概率，一類是失效條件概率。

此例中，優(yōu)化H4A的先驗概率改善效益最高。由H4A(是否有相關(guān)技術(shù)知識)向回溯源，其對應(yīng)的功能是X4(啟動前檢查)，功能對應(yīng)的人員是H4(司爐工)。據(jù)此，建議改進措施是此企業(yè)要加強對司爐工人力資源的考核力度與培訓投入，這是最直接有效的措施，也是此事故調(diào)查報告提出的防范整改措施之一。另外，此模型關(guān)注的P{H4A=0}是一個先驗失效概率，即這個值與人力資源市場司爐工群體技術(shù)知識水平有關(guān)，實現(xiàn)X4功能的司爐工肯定來源于這個市場，此事故調(diào)查報告中也說明了此司爐工是有資格證的，所以更進一步的改進是對于司爐工人力資源市場的監(jiān)管。

對于此事故系統(tǒng)，另外一個優(yōu)化方向就是優(yōu)化失效條件概率，如P{X6=0|H4A=0}。失效條件概率可以用來衡量系統(tǒng)的自我調(diào)節(jié)及補救水平能力。可以做一個簡單的數(shù)據(jù)仿真實驗，在GeNIe2.3中刪除X4的一個父節(jié)點M1A，X4的邊緣失效概率就會由原來的38%提高到53%。需要注意產(chǎn)生這樣結(jié)果的前提是M1A確實對功能有促進作用，如果兩個因素聯(lián)合起來反而產(chǎn)生反效果的話那就需要考慮刪除其中一個或者再增加新的父節(jié)點。對于X6節(jié)點有三種優(yōu)化思路，一是從功能主體入手，阻止主體受傷的可能性。如可以設(shè)法將危險機器的監(jiān)控模式改為遠程監(jiān)控。二是從聯(lián)系入手，對失效功能的實現(xiàn)增加障礙。如提高負責安全人員的權(quán)力，危險功能需要經(jīng)過安全人員的授權(quán)才可進行。而且這種權(quán)力的賦予不能只用規(guī)章制度，如可以將鍋爐房的鑰匙交給其保管或?qū)踩藛T設(shè)置在組織之外。三是從客體入手，阻斷主體與客體的連接可能，此事故調(diào)查報告中的一個整改建議就是對不合格鍋爐進行破壞性拆解以提高復產(chǎn)成本。這三種措施都是在司爐工失效，即沒有相關(guān)技術(shù)知識的情況下系統(tǒng)的的自我調(diào)節(jié)及補救措施。

可以在定量分析之前進行粗略分析，H4A影響因素節(jié)點分別指向兩個子系統(tǒng)里的X4與X6功能節(jié)點，可知若優(yōu)化此節(jié)點，可以同時優(yōu)化兩個子系統(tǒng)功能。這也許可以從一個側(cè)面判斷宏觀分析因素選擇的科學性。倘若在微觀系統(tǒng)節(jié)點中一個影響因素節(jié)點可以同時指向多個功能節(jié)點，那么在宏觀上就可以近似的認為這個因素對整個系統(tǒng)都有明顯的影響。但是反過來思考，如果想要使系統(tǒng)的可靠度有質(zhì)的提升，就不能只關(guān)注這些關(guān)鍵節(jié)點，即宏觀分析里的歸類固定因素，最根本的措施是提高各節(jié)點的正常運行概率，即全面優(yōu)化。此事故調(diào)查報告的第四部分就詳細的記錄了對事故有關(guān)的各個責任人員和單位的處理建議。

5 結(jié)論

對復雜人機系統(tǒng)的結(jié)構(gòu)描述，建模以及仿真方法都進行了探索。結(jié)構(gòu)描述成果是復雜人機系統(tǒng)結(jié)構(gòu)模型，建模成果是S-F網(wǎng)絡(luò)圖，仿真成果是基于改進的FRAM和BN的可靠性和敏感性分析。

此模型的構(gòu)建與應(yīng)用也許可以給復雜人機系統(tǒng)分析流程的理論研究和實際應(yīng)用提供一些思路和啟示。第一，可以確定所研究復雜人機系統(tǒng)的規(guī)模。如用微觀視角來粗略判斷宏觀大型系統(tǒng)，即考慮此系統(tǒng)中人與機器的節(jié)點數(shù)量總和。而此模型則類似于一個放大鏡，更適用于小規(guī)模局部系統(tǒng)微觀分析研究。第二，可以確定所研究復雜人機系統(tǒng)的具體場所地點，如工廠，企業(yè)，政府，輪船等。此模型選取的是帶有鍋爐房的小型企業(yè)。一些更為宏觀的系統(tǒng)則會橫跨多個空間區(qū)域。第三，可以限定所分析的系統(tǒng)功能，復雜人機系統(tǒng)存在的意義就是實現(xiàn)高級功能。一些系統(tǒng)可以實現(xiàn)多個獨立功能，但分析時只能圍繞其中一個進行分析。第四，可以從某角度入手對系統(tǒng)進行客觀定性描述。此模型選取的角度是系統(tǒng)內(nèi)部基本的結(jié)構(gòu)和功能。第五，可以依據(jù)劃定的標準確定判定系統(tǒng)性能優(yōu)劣的關(guān)鍵定量指標，此模型所選取的是可靠性。需要說明的是，此模型是以一種安全的標準來研究可靠性的，在實際應(yīng)用中，對于正常系統(tǒng)更多是以一種效率的標準進行研究。第六，依據(jù)定量分析結(jié)果確定系統(tǒng)優(yōu)化方案。從已失效系統(tǒng)里得出的優(yōu)化方案可以用來優(yōu)化相似的未失效的復雜人機系統(tǒng)，這也是此事故調(diào)查報告里提倡并踐行的做法。

模型里的貝葉斯網(wǎng)絡(luò)建模采取的是手動建模方法，如要更準確的建立貝葉斯網(wǎng)絡(luò)可能需要進行結(jié)構(gòu)和參數(shù)學習。下一步可通過分析機器參與生產(chǎn)的企業(yè)或工廠研究正常運行的復雜人機系統(tǒng)的可靠度。