基于廣義合作網(wǎng)絡(luò)人-機交互系統(tǒng)安全評價模型*

武潔，趙廷弟，焦健

(北京航空航天大學(xué)工程系統(tǒng)工程系，北京 100191)

摘要：基于復(fù)雜網(wǎng)絡(luò)理論建立一種新的人-機交互網(wǎng)絡(luò)系統(tǒng)模型，在此基礎(chǔ)上，針對網(wǎng)絡(luò)拓撲特性提出了人-機交互復(fù)雜系統(tǒng)安全性判別準則及安全性判據(jù)，并結(jié)合柴電機啟動人-機交互復(fù)雜過程說明了模型的應(yīng)用.該模型從網(wǎng)絡(luò)的角度去分析和理解人-機交互復(fù)雜系統(tǒng)的本質(zhì)和內(nèi)涵，直觀地描述了復(fù)雜系統(tǒng)中的人-機交互過程，為安全性分析和安全性預(yù)防工作提供了新的依據(jù).

關(guān)鍵詞：安全性；復(fù)雜網(wǎng)絡(luò)；人-機交互；系統(tǒng)

文章編號：1007-2985(2015)06-0023-04

中圖分類號：TH11；TP391文獻標志碼：A

DOI:10.3969/j.cnki.jdxb.2015.06.006

收稿日期：*2014-12-10

作者簡介：武潔(1975—)，女，山東濰坊人，工程師，博士，主要從事綜合保障網(wǎng)絡(luò)可靠性、人因差錯和事故分析等研究；趙廷弟(1965—)，男，陜西戶縣人，北京航空航天大學(xué)可靠性與系統(tǒng)工程學(xué)院研究員，博士，主要從事系統(tǒng)安全、可靠性仿真研究.

在人為差錯風(fēng)險分析方面，20世紀90年代之前，一般都采用故障樹FTA或事件樹ETA來描述系統(tǒng)故障模式和人為差錯.由于FTA/ETA本質(zhì)上是靜態(tài)的，因此，對于一些有人參與的動態(tài)系統(tǒng)來說，采用FTA/ETA肯定是不合適的，因為以事件樹/故障樹為代表的安全評估方法[1-4]普遍對軟件和人因重視不足，一般將其作為次要因素忽略或者采用與硬件相同的方式處理，不能夠充分反映軟件、人因與系統(tǒng)的相互依賴關(guān)系和交互過程.此外，在處理具有多態(tài)性、非單調(diào)性、失效相關(guān)性、動態(tài)性、過程變量、人因和軟件影響等特點的復(fù)雜系統(tǒng)安全性評估問題時，在概念、模型和方法等方面都遇到了許多問題.由于復(fù)雜系統(tǒng)割集數(shù)量與系統(tǒng)規(guī)模呈指數(shù)增長，數(shù)量龐大，因此大多數(shù)情形下只能采用近似求解，而現(xiàn)有的近似公式適用于簡單的二態(tài)單調(diào)系統(tǒng).以連續(xù)事件樹為代表的動態(tài)安全評估方法雖然能夠處理過程變量與組件狀態(tài)互影響等某些動態(tài)問題，但由于理論比較復(fù)雜，模型難以構(gòu)建，缺乏高效率算法和工具軟件支持，因此在實際工程應(yīng)用中受到了限制.針對這一點，20世紀90年代之后，陸續(xù)推出了一些新的方法，比較典型的有GO-Flow方法、Markov狀態(tài)轉(zhuǎn)移法和事件序列圖ESD法等.這些方法能夠描述動態(tài)系統(tǒng)隨時間變化的這一特性.雖然利用這些方法進行風(fēng)險分析時，能夠獲得動態(tài)系統(tǒng)在不同時刻對應(yīng)的風(fēng)險，有助于更好地對系統(tǒng)進行管理，但是這些方法都將注意力集中在計算人為差錯的概率值，而對如何更好地評價系統(tǒng)及差錯發(fā)生機理缺乏相應(yīng)的研究方法.由此可見，現(xiàn)有安全評估方法在解決現(xiàn)代復(fù)雜系統(tǒng)安全性評估問題時碰到了一些難點，亟需研究新的概念、模型和評估方法.

復(fù)雜系統(tǒng)中持續(xù)增長的復(fù)雜性和耦合問題、人與機器之間越來越復(fù)雜的關(guān)系問題，鑒于這些存在于復(fù)雜系統(tǒng)安全性的問題[5-6]，將復(fù)雜網(wǎng)絡(luò)理論應(yīng)用于安全科學(xué)領(lǐng)域，首先為復(fù)雜網(wǎng)絡(luò)理論研究提供應(yīng)用背景，豐富了復(fù)雜網(wǎng)絡(luò)理論基礎(chǔ)，其次為安全科學(xué)領(lǐng)域提供新的理論和方法研究.

1基于復(fù)雜網(wǎng)絡(luò)理論的安全性建模

1.1 構(gòu)造復(fù)雜人-機系統(tǒng)的廣義合作網(wǎng)絡(luò)模型

圖1　復(fù)雜系統(tǒng)人、機系統(tǒng)合作網(wǎng)絡(luò)

復(fù)雜系統(tǒng)通過人與環(huán)境的交互將離散的人與環(huán)境中的設(shè)備裝置緊密地聯(lián)結(jié)成一個相互關(guān)聯(lián)、高度耦合的復(fù)雜網(wǎng)絡(luò)，在復(fù)雜系統(tǒng)中大量基本單元之間的分工、合作使得整個系統(tǒng)演變、進化.基于合作網(wǎng)中的雙模式網(wǎng)絡(luò)[7-11]構(gòu)造了復(fù)雜系統(tǒng)中人與所完成動作之間的合作網(wǎng)絡(luò)G(A(x(t)，wA)，V(y(t)，wV)e，f).在一個復(fù)雜系統(tǒng)中，要完成很多相關(guān)或是不相關(guān)的任務(wù)，這些任務(wù)由一系列的連續(xù)的子動作組成.如圖1所示，將這些子動作組成的集合在網(wǎng)絡(luò)圖中定義為節(jié)點集A={Ai}，為了完成各個子動作而互相合作的人員集合定義為節(jié)點集V={Vj}，動作集合與人員集合的連線集定義為e={eij}，完成子動作的人員之間的連線集定義為f={fij}，其中i，j=1，2，…，n.

定義wA={wA1，wA2，…，wAn}，wAi表示節(jié)點Ai中的能量值，wV={wV1，wV2，…，wVn}，wVj表示節(jié)點Vj中的能量值，其中j=1，2，…，n.又定義X(t)=(xA1(t)，xA2(t)，…，xAn(t))，其中xAi(t)={0,1}表示在t時刻節(jié)點Ai的狀態(tài)，即xAi(t)=0，表示在t時刻任務(wù)Ai未完成，xAi(t)=1，表示在t時刻任務(wù)完成；Y(t)=(yV1(t)，yV2(t)，…，yVn(t))，其中yVj(t)={0,1}表示在t時刻節(jié)點Vj的狀態(tài)，即yVj(t)=0，表示在t時刻人員Vj未傷亡或不在位，yVj(t)=1，表示在t時刻人員Vj傷亡.

1.2 網(wǎng)絡(luò)特性的人-機系統(tǒng)安全性評估準則

確定網(wǎng)絡(luò)安全評價準則是分析和評估系統(tǒng)安全性的前提.對網(wǎng)絡(luò)正常狀態(tài)的判別準則的不同，系統(tǒng)安全性的標準也不一樣，所以針對網(wǎng)絡(luò)特性的人-機系統(tǒng)的安全性的特點，提出以下3條針對網(wǎng)絡(luò)失效狀態(tài)的判別準則.

(1)連通準則.

所研究的節(jié)點對之間是否存在連通的路徑，若不存在，則網(wǎng)絡(luò)失效.針對基于廣義合作網(wǎng)絡(luò)的人-機系統(tǒng)的網(wǎng)絡(luò)模型，常見的有：

(ⅰ)網(wǎng)絡(luò)中給定的節(jié)點對之間至少存在1條路徑.例如節(jié)點集A，表示一組要完成的任務(wù)，這些任務(wù)之間是有邏輯關(guān)聯(lián)的，那么在網(wǎng)絡(luò)中必然需要存在通路，若不存在，則整個任務(wù)無法完成，整個網(wǎng)絡(luò)的安全性出現(xiàn)問題；

(ⅱ)網(wǎng)絡(luò)中一個指定的節(jié)點能與一組節(jié)點相連通.例如在節(jié)點集V中一些明顯重要的節(jié)點，與大多節(jié)點都有連接，那么這部分節(jié)點的連通性就很重要，一旦這部分節(jié)點失效，則整個網(wǎng)絡(luò)的安全性就遭到嚴重破壞.故這里定義節(jié)點重要度來評估網(wǎng)絡(luò)的安全性.

定義1節(jié)點的安全重要度Ii定義為與節(jié)點連接的邊數(shù).

(ⅲ)網(wǎng)絡(luò)中連通的節(jié)點數(shù)大于某一閾值.例如在完成單項任務(wù)的過程中有n個人一起完成，即使有個別人出現(xiàn)問題，任務(wù)還是可以按照計劃完成，這樣就不會對整個任務(wù)造成大的影響.在網(wǎng)絡(luò)圖中表現(xiàn)為n個節(jié)點中有i個節(jié)點毀壞后，余下的n-i個節(jié)點是連通的，剩余的n-i必須大于某一閾值.

(2)能量守恒準則.

能量意外釋放論認為事故是一種不正常的或不希望的能量釋放并轉(zhuǎn)移于人體.人類在利用能量的時候必須采取措施控制能量，使能量按照人們的意圖產(chǎn)生、轉(zhuǎn)換和做功.從能量在系統(tǒng)中流動的角度來看，應(yīng)該控制能量按照人們規(guī)定的能量流通渠道流動.如果由于某種原因失去了對能量的控制，就會發(fā)生能量違背人的意愿的意外釋放或逸出，使活動中止而發(fā)生事故.如果意外釋放的能量作用于人體，并且能量超過人體所能承受的能量的閾值，那么必然會對人體造成傷害，同理也會同時作用于設(shè)備或是環(huán)境[12].

基于能量觀點的事故發(fā)生理論，認為在網(wǎng)絡(luò)中傳播的能量由于某些節(jié)點或是某些連邊的破壞而導(dǎo)致能量在節(jié)點間的重新分配，從而所研究的網(wǎng)絡(luò)中的節(jié)點所能承受的能量總和必須小于某一閾值，否則節(jié)點毀壞，就會出現(xiàn)人員傷亡事故.例如在人-機系統(tǒng)的網(wǎng)絡(luò)模型中，節(jié)點集A中的某個節(jié)點或某些節(jié)點出現(xiàn)故障，節(jié)點Ai出現(xiàn)故障就是指在該節(jié)點需要完成的任務(wù)因為人或設(shè)備的問題而沒有完成或是部分完成，那么因為節(jié)點Ai故障導(dǎo)致的Ai中的能量wAi外泄，在網(wǎng)絡(luò)中重新分配，若重新分配后的能量超過節(jié)點Vi的wVi，則導(dǎo)致事故.

定義2節(jié)點的閾值αi定義為節(jié)點所能承受的最大的能量流.當通過節(jié)點的流量值wVi>αi的時候，定義節(jié)點毀壞.

(3)業(yè)務(wù)準則.

所研究的節(jié)點對象間業(yè)務(wù)服務(wù)質(zhì)量如延時(網(wǎng)絡(luò)中任意2個節(jié)點間傳輸一定的能量時延小于某一閾值)等，是否滿足用戶要求，若不滿足，則網(wǎng)絡(luò)失效.

1.3 網(wǎng)絡(luò)特性的人-機系統(tǒng)安全性評估判據(jù)

判據(jù)2 人-機系統(tǒng)毀壞概率P定義為安全重要度超過閾值的節(jié)點的損毀概率，即P=P(j|j=max(Ii)，i=1，…，n).

判據(jù)3 人-機系統(tǒng)風(fēng)險度R定義為人-機系統(tǒng)毀壞概率P與網(wǎng)絡(luò)損失L的乘積[13]，即R=P×L.

2潛艇柴電機人-機交互啟動系統(tǒng)的廣義合作網(wǎng)絡(luò)模型

以文獻[14-17]中的潛艇柴電機組進排氣系統(tǒng)準備啟動(圖2)為例.準備啟動這項任務(wù)涉及到潛艇上的艇長、機電長、各艙室等10個參與者，分別以V1—V10標識，要完成7個步驟的動作，如圖3所示.

圖2　柴電機組進排氣系統(tǒng)啟動示意

圖3　柴電機組啟動準備合作網(wǎng)絡(luò)示意

所需完成的動作：A1為升起進氣筒，上好制止器；A2為關(guān)閉進氣筒注水閥，打開進氣筒放水閥；A3為檢查進氣筒放水情況；A4為關(guān)閉進氣筒放水閥，進氣筒放水完畢；A5為進、排氣管路放水；A6為準備吸、排氣通風(fēng)系統(tǒng)，進行柴油機水下工作通風(fēng)；A7為檢查水密.其中：X(t)=(xA1(t)，xA2(t)，…，xA7(t))，當t=0的時候，X(0)=(0，0，…，0)；Y(t)=(yV1(t)，yV2(t)，…，yV10(t))，當t=0的時候，Y(0)=(1，1，…，1).

仿真思路是假設(shè)網(wǎng)絡(luò)中任一節(jié)點失效，從而與該節(jié)點相連的邊也從網(wǎng)絡(luò)中刪除，計算因為該節(jié)點損毀引起能量流在整個網(wǎng)絡(luò)的節(jié)點和邊中的重新分配.按照定義1和定義2，直到?jīng)]有節(jié)點故障為止[18].

通過計算，節(jié)點V1和V2的節(jié)點重要度最大，這2個節(jié)點的損毀會造成整個網(wǎng)絡(luò)的損毀，所以這2個節(jié)點可以被看作是整個網(wǎng)絡(luò)的關(guān)鍵點或脆弱點.

3結(jié)語

以潛艇柴電機人-機交互啟動系統(tǒng)為背景，從復(fù)雜網(wǎng)絡(luò)這一研究復(fù)雜系統(tǒng)的工具出發(fā)，建立了人-機交互復(fù)雜系統(tǒng)的復(fù)雜網(wǎng)絡(luò)模型.針對該網(wǎng)絡(luò)模型提出評估系統(tǒng)安全性的判據(jù)，以及一種依據(jù)網(wǎng)絡(luò)拓撲特性對人-機交互系統(tǒng)安全性進行評估的方法，從新的視角來分析和理解人-機交互系統(tǒng)的復(fù)雜性和安全性，識別系統(tǒng)的脆弱點.復(fù)雜網(wǎng)絡(luò)理論應(yīng)用在人-機交互復(fù)雜系統(tǒng)的安全性研究尚處于起步階段，在安全性判據(jù)及如何判定損失等方面尚有大量工作，在人-機交互復(fù)雜系統(tǒng)網(wǎng)絡(luò)模型方面還需要更進一步的完善和研究.

參考文獻：

[1]CLIFTONAERICSON，Ⅱ.HazardAnalysisTechniquesforSystemSafety.Hoboken,NewJersey:JohnWiley&Sons,Inc.,2005.

[2]RUNEELVIK.LawsofAccidentCausation.AccidentAnalysisandPrevention,2006,38:742-747.

[3]SAMMARCOJJ.AddressingtheSafetyofProgrammableElectronicMiningSystems:LessonsLearned.Proceedingsofthe37thIEEEIndustryApplicationsSocietyMeeting.IEEEXplore,2003:692-698.

[4]DAVIDCDUNKLE.PrioritizingHumanInterfaceDesignIssuesforRangeSafetySystemsusingHumanFactorsProcessFMEA.USA：NASARiskManagementConference，2005.

[5]SUNNYYAUYANG.FoundationsofComplex-SystemTheories.Cambridge,England:CambridgeUniversityPress,1999.

[6]NANCYGLEVESON.ANewApproachtoSystemSafetyEngineering[EB/OL].[2012-10-18].http://www.docin.com/p-501026937.html.

[7]WATTSDJ,STROGATZSH.CollectiveDynamicsof“SmallWorld”Networks.Nature，1998,393:440-443.

[8]BARABASIA-L,ALBERTR.EmergenceofScalinginRandomNetworks.Science,1999,286:509-512.

[9]BARABASIA-L，JEONGH，NEDAZ，etal.StatisticalMechanicsofComplexNetworks.PhysicaA，2002,311:590-630.

[10] 何大韌，劉宗華，汪秉宏.復(fù)雜系統(tǒng)與復(fù)雜網(wǎng)絡(luò).北京：高等教育出報社，2009.

[11] 郭雷，許曉鳴.復(fù)雜網(wǎng)絡(luò).上海：上?？萍冀逃霭嫔?，2006.

[12] 隋鵬程，陳寶智，隋靖.安全原理.北京：化學(xué)工業(yè)出版社，2005:40-45.

[13]TIMBEDFORD，ROGERCOOKE.ProbabilisticRiskAnalysis：FoundationsandMethods.London,England：CambridgeUniversityPress，2001.

[14] 華陽，湯建華.常規(guī)潛艇AIP技術(shù).現(xiàn)代艦船,2009(11)：23-25.

[15] 章明.常規(guī)潛艇的“芯動力”——AIP原理比析.現(xiàn)代兵器,2006(3)：35-39.

[16] 蔡年生.常規(guī)潛艇AIP系統(tǒng)研究概況.船電技術(shù),1994(3)：1-6；11.

[17] 張遠,石仲堃.常規(guī)動力潛艇進排氣系統(tǒng)的風(fēng)險分析與評價.中國造船,2004，45(增刊)：331-336.

[18] 姜洪權(quán)，高建民，陳富民，等.基于復(fù)雜網(wǎng)絡(luò)理論的流程工業(yè)系統(tǒng)安全性分析.西安交通大學(xué)學(xué)報，2007，41(7)：806-810.

Safety Evaluation Model of Man-Machine Interaction System

Based on the Generalized Cooperation Network

WU Jie,ZHAO Tingdi,JIAO Jian

(School of Reliability and Systems Engineering,Beihang University,Beijing 1000191,China)

Abstract:First,a new man-machine interaction network model is proposed based on complex network theory.Secondly,the safety criteria and safety criterion of the man-machine interaction complex-system are studied in the connection with the topological characteristics based on the proposed network model.At last,an example of the diesel engine startup is given to illustrate the application and applicability of the network model.The network model provides an understanding and analysis of the nature and content of the man-machine interaction complex-system from a network perspective;accordingly,the interaction of man-machine complex-system is intuitively described and the new model provides the new basis for the safety analysis and prevention efforts.

Key words:safety;complex-networks;man-machine interaction;system

(責(zé)任編輯向陽潔)