姚博清，陳嘉宇，*，谷長超，陸欽華，王旭航，葛紅娟

1.南京航空航天大學 民航學院，南京 211106

2.中國運載火箭技術(shù)研究院，北京 100076

導彈裝備長期貯存、超期服役已經(jīng)成為一種新常態(tài)。在貯存期間，導彈裝備需要反復經(jīng)歷測試、維護、野外拉練等任務。工作在復雜多變的任務環(huán)境中，導彈裝備難以避免性能退化，甚至發(fā)生失效。同時，導彈裝備往往帶有高能、易燃、易爆物質(zhì)，且任務中人-機-環(huán)耦合特性明顯［1-2］。據(jù)統(tǒng)計，美國各類導彈裝備中由人引起的事故比例最高達到82%［3］。一旦發(fā)生事故，將造成巨大人員和財產(chǎn)損失。因此，針對導彈裝備任務中的人-機-環(huán)耦合特性，提出動態(tài)更新和準確量化的安全性評價方法是保障裝備任務成功的關鍵所在。

針對導彈裝備的安全性評價，傳統(tǒng)的基于系統(tǒng)結(jié)構(gòu)模型的安全性分析方法，如故障模式及影響分析（FMEA）、故障樹分析（FTA），僅能描述事件之間簡單的線性因果關系，難以描述復雜系統(tǒng)的非線性邏輯關系［4-5］。此外，該類方法一般只能對功能結(jié)構(gòu)不變的靜態(tài)系統(tǒng)進行分析，無法適應系統(tǒng)的動態(tài)變化［6-7］。針對該問題，基于系統(tǒng)行為模型的安全性評價技術(shù)應運而生，以系統(tǒng)的離散和連續(xù)狀態(tài)行為模型為基礎，能夠有效應對系統(tǒng)的動態(tài)變化，并利用建立的模型進行仿真分析驗證，典型方法如動態(tài)故障樹、Petri 網(wǎng)、狀態(tài)機模型等［8-10］。然而，對復雜系統(tǒng)的多層結(jié)構(gòu)，其無法進行有效分層處理，不可避免地導致狀態(tài)空間爆炸和仿真效率低下的問題。

系統(tǒng)理論事故模型和流程（Systems-Theoretic Accident Model and Processes，STAMP）將安全性評價視為一個控制問題，認為事故的發(fā)生是在系統(tǒng)的設計、開發(fā)和運行過程中對安全相關的約束未能適當?shù)目刂苹蛘邎?zhí)行［11］。其特點是針對復雜系統(tǒng)結(jié)構(gòu)中各種功能組件及其控制關系，進行分層處理，并利用控制結(jié)構(gòu)模型表示層級之間的控制反饋信息［12］?；谏鲜鰞?nèi)容，其優(yōu)點主要體現(xiàn)在以下2 方面。一方面，有效降低復雜系統(tǒng)建模狀態(tài)空間爆炸的難題；另一方面，實現(xiàn)對復雜系統(tǒng)多任務環(huán)境與復雜工況下的動態(tài)更新過程。能夠準確評價復雜系統(tǒng)的安全性，并已被廣泛應用于航空、航天、國防、運輸系統(tǒng)等領域。鄭磊和胡劍波［13］結(jié)合機體模型和STAMP 模型對機輪剎車系統(tǒng)在飛機降落過程中的不安全控制行為進行仿真，證明了結(jié)合理論模型和機體模型進行仿真實現(xiàn)安全性分析的可行性。張宏宏等［14］利用TOPAZ（Traffic Organization and Perturbation AnalyZer）方法可以對微觀層面進行模擬仿真的優(yōu)勢，結(jié)合STAMP 理論實現(xiàn)對無人機沖突解脫安全性的分析。

但是，針對導彈裝備的任務流程安全性評價，STAMP 模型還存在以下3 大缺陷：①STAMP 模型的構(gòu)建缺乏對導彈裝備任務特點與過程的描述；②基于STAMP 的安全性分析與評價缺乏對人-機-環(huán)耦合條件下人因可靠性的準確量化和動態(tài)反饋評價；③安全控制結(jié)構(gòu)中缺乏針對不同粒度任務流程的考量。

1）面向?qū)椦b備的任務剖面模型

任務剖面模型的構(gòu)建主要包括分析任務之間各環(huán)節(jié)邏輯時序關系、人員、設備、信息等相關資源，是支撐導彈裝備安全性評價的基礎?；诙嘁晥D的體系結(jié)構(gòu)建模思想是對復雜系統(tǒng)建模的典型策略之一，通過建立不同視角模型描述同一系統(tǒng)實體，不同視角模型之間又相互關聯(lián)是其關鍵建模思想［15］。例如，美軍發(fā)布的《國防部體系結(jié)構(gòu)框架》（DoD Architectural Framework，DoDAF）規(guī)定按照作戰(zhàn)、系統(tǒng)、技術(shù)標準3 類視圖開展研究，2009 年 的DoDAF2.0 定義了8 類視圖［16］。Xu 和Zhen［17］利 用ARIS（Architecture of Integrated Information System）架構(gòu)模型，結(jié)合層次分析法對導彈裝備保障任務進行建模分析，為其安全性評估提供有效保障。Nie 等［18］以多視圖建模思想為基礎，利用形式化建模語言SysML 實現(xiàn)對武器裝備任務過程的多視圖模型構(gòu)建。然而，針對導彈裝備的典型任務，設計合理的視圖模型是實現(xiàn)其任務安全性準確評價的基礎問題。

2）人-機-環(huán)耦合條件下人因可靠性分析

針對導彈裝備任務中人因可靠性進行量化評價，其難點在于考慮人-機-環(huán)耦合影響下人因可靠性的準確量化和反饋評價。認知可靠性失誤與分析方法（Cognitive Reliability and Error Analysis Method，CREAM）結(jié)合認知心理學，考慮人的認知過程、構(gòu)建人的認知模型，并對環(huán)境影響、操作人員自身情況以及系統(tǒng)狀況等導致人為失誤的因素加以分析，以此來描述產(chǎn)生人為差錯的機理［19］。例如，Calhoun 等［20］針對航天飛機的特點設計人為差錯形成條件，根據(jù)差錯形成條件為差錯形成因素定義不同權(quán)重來計算人因可靠性。郭慶和關德明［21］將貝葉斯網(wǎng)絡與CREAM 結(jié)合的方式確定機務人員的認知控制模式，利用平均權(quán)重因子將人員失誤率預測技術(shù)的預測值嵌入CREAM，實現(xiàn)2 種人因分析方法的結(jié)合，提高人因可靠性預測的精度。Zhou 等［22］以CREAM方法為基礎，構(gòu)建結(jié)合貝葉斯網(wǎng)絡和模糊三角數(shù)確定人為差錯形成條件的隸屬度函數(shù)模型，確定控制失效模式的概率分布，進而確定人因失誤率。

STAMP 在進行導彈裝備任務過程進行安全性評價時，主要的不足為缺乏對人-機-環(huán)耦合條件下人因可靠性的準確量化。由于CREAM 綜合考慮情景環(huán)境，并將環(huán)境因素總結(jié)為共同績效條件，實現(xiàn)對人因可靠性的準確量化的特點。將CREAM 引 入STAMP 中，補足了STAMP 中 對人因可靠性準確量化的難點。

但是，CREAM 方法缺乏針對導彈裝備特點的人員績效因子，無法準確描述其任務過程。同時，其量化度量方法缺乏面對復雜多變?nèi)蝿窄h(huán)境下人因可靠性的動態(tài)更新過程。這些問題導致其無法適應導彈裝備的安全性動態(tài)量化評價。

3）基于安全控制結(jié)構(gòu)的任務流程分析

以STAMP 模型為基礎對導彈裝備任務進行安全性評價，其關鍵在于建立對應任務流程的安全控制結(jié)構(gòu)模型。李俊等［23］建立導彈攻擊任務的STAMP 模型，對其攻擊任務進行事故致因因素分析以及仿真研究。胡劍波和鄭磊［24］對作戰(zhàn)飛機IFFPC（Integrated Fire，F(xiàn)lying and Propulsion Control）系統(tǒng)進行STAMP 模型構(gòu)建，分析IFFPC 系統(tǒng)中的人為危險因素。Stanton 等［25］利用STAMP 方法對Hawk 導彈飛行過程進行模擬仿真，分析任務中的潛在風險區(qū)域。但是，導彈裝備任務中涉及流程、資源眾多，模型中顆粒度大小的確定，嚴重影響模型的復雜程度。

針對以上導彈裝備任務安全性評價中的3 大關鍵問題，提出基于分層安全控制結(jié)構(gòu)的導彈裝備任務安全性動態(tài)評價方法。主要貢獻如下：

①構(gòu)建多視圖體系結(jié)構(gòu)模型?？坍媽椦b備任務過程、信息、任務、組織和資源5 類視圖，在此基礎上構(gòu)建導彈裝備任務多視圖體系結(jié)構(gòu)模型，直觀反映導彈裝備任務中所涉及的相關信息。

②構(gòu)建分層安全控制結(jié)構(gòu)模型。以STAMP模型為基礎，將導彈裝備任務劃分為2 類控制主體和4 個層次，分別為設計層和操作層構(gòu)成的人因控制體以及輔助設備層和關鍵設備層構(gòu)成的設備控制體。構(gòu)建分層安全控制結(jié)構(gòu)模型，對導彈裝備任務特點進行描述。實現(xiàn)對事故致因因素分析的同時有效降低模型的復雜程度。

③提出面向?qū)椦b備特點的人員績效評價體系。一方面，設計管理、環(huán)境、裝備、流程、操作、心理、生理、個體和協(xié)作9 類人因績效評價因子，以充分考慮環(huán)境特點對人因可靠性的影響。另一方面，設計產(chǎn)品智能化程度、經(jīng)驗水平、安全意識和任務壓力4 類風險評價因素，描述環(huán)境特點對導彈裝備任務的影響。最后構(gòu)建2 類影響因素的關聯(lián)矩陣，揭示人因績效評價因子與風險評價因素關聯(lián)機制，實現(xiàn)人為因素對安全評價的量化。

④提出人-機-環(huán)耦合下安全性動態(tài)反饋評價方法。結(jié)合分層安全控制結(jié)構(gòu)模型和人員績效評價體系，提出人-機-環(huán)耦合下安全性動態(tài)反饋評價方法。實現(xiàn)對導彈裝備任務的安全性動態(tài)反饋評價，輸出人因失誤率、事故率以及事故鏈，為管理人員對任務設計的優(yōu)化提供支持。

1 STAMP 與CREAM 理論基礎

1.1 STAMP 理論

系統(tǒng)理論過程分析方法（Systems-Theoretic Process Analysis，STPA）是針對STAMP 理論的系統(tǒng)化實現(xiàn)過程［26-27］。其具體流程如圖1所示。

圖1 STPA 分析過程Fig.1 STPA analysis process

1）明確安全約束。首先確定可能的危險項目，然后針對確定的危險項目，依據(jù)表1 對其安全性進行評價。其次對系統(tǒng)危險狀態(tài)進行定義，最后建立對應安全約束。

表1 危險嚴重性和可能性風險評價矩陣Table 1 Hazard severity and likelihood risk evaluation matrix

2）定義安全控制結(jié)構(gòu)。根據(jù)1）中確定的安全約束，構(gòu)建安全控制結(jié)構(gòu)，由控制體和控制反饋渠道2 部分構(gòu)成。

3）辨識不恰當控制。STAMP 理論中定義了4 種控制缺陷：①沒有提供控制行為；②提供產(chǎn)生潛在危險的控制行為；③提供的安全控制行為過早或過晚；④提供的控制行為作用時間過長或過短［28］。依據(jù)控制 缺陷對安全控制結(jié)構(gòu)中致因因素進行分析，判斷是否打破識別出的安全約束，如圖2 所示。

圖2 基于STAMP 理論中的控制結(jié)構(gòu)致因因素分析Fig.2 Causal factors analysis of control structure in STAMP theory

4）分析不恰當控制的原因?；诮⒌陌踩刂平Y(jié)構(gòu)，對系統(tǒng)的關鍵致因因素進行分析，其具體步驟如下：①針對活動的每一個環(huán)節(jié)，逐一選取其控制反饋渠道，并假設其由于控制體相關致因因素的影響而失效，然后進一步分析是否會因為該控制渠道的失效導致其他控制渠道失效；②針對控制反饋渠道進行分析，是否會出現(xiàn)只有2 個及以上控制渠道同時失效才會導致事故的因素；③根據(jù)總結(jié)的事故致因因素，總結(jié)導致事故發(fā)生的關鍵致因因素，進而定義事故鏈路［29］。

1.2 CREAM 理論

CREAM 方法結(jié)合認知與行為科學，研究人的認知過程與內(nèi)在機理，強調(diào)情景環(huán)境對人的行為的重要影響，將環(huán)境因素總結(jié)為共同績效條件（Common Performance Condition，CPC），并給出CPC 對人的可靠性的影響效應［30］。

針對人因可靠性進行定量分析的流程如下所示：

1）評估CPC。分析人員對與任務場景相關的每一個CPC 影響因子做出主觀判斷，確定每一個活動的CPC 水平。

2）確定認知功能以及對應的認知功能失效模式。根據(jù)工作分析的結(jié)果和調(diào)查，確定每一個環(huán)節(jié)對應的人的認知功能失效模式和對應的人因失誤率基本值，具體如表2 所示。

表2 認知功能失效模式與人因失效概率基本值Table 2 Cognitive functional failure modes and human error rate basic value

3）確定失誤概率。確定每一個活動中人員的認知失效概率（Cognitive Failure Probability，CFP）。各認知功能失效模式對應的人的失效概率基本值如表2 所示。此時獲得的是該認知活動的標稱CFP 值，記作CFP標稱。

4）評價CPC 對CFP 的影響。CREAM 中提供CPC 因子對4 類認知功能的權(quán)重因子，進而可得到CPC 因子對每個認知活動的權(quán)重因子，在分別求得每個認知活動下所有CPC 因子的權(quán)重因子的乘積，即得到該認知活動的“總權(quán)重因子”，則修正后的CFP 值CFP修正=CFP標稱×總權(quán)重因子。

5）計算人因失誤率

根據(jù)工作分析和工作步驟構(gòu)成的結(jié)構(gòu)（并聯(lián)或串聯(lián)）計算人因失誤率。

對于全串聯(lián)結(jié)構(gòu)，計算公式為

對于全并聯(lián)結(jié)構(gòu)，計算公式為

式中：i對應識別出來的認知功能。

2 導彈裝備任務安全性動態(tài)評價方法

2.1 基于STAMP 與CREAM 的人-機-環(huán)動態(tài)反饋評價模型

2.1.1 面向?qū)椦b備的人因績效評價因子設計

針對導彈裝備任務人-機-環(huán)耦合特點，設計如下人員績效評價體系，包含9 類人因績效評價因子：

1）環(huán)境因素：溫度、濕度、光照等環(huán)境因素，會嚴重影響人員的心理和生理狀態(tài)。

2）裝備因素：隨著科技的發(fā)展，設備的反饋如信號強度、信息反饋靈敏度等均會對人員的判斷產(chǎn)生影響。

3）個體因素：個體因素的差異，如文化水平、訓練程度、經(jīng)驗水平等，導致其面對決策時往往做出的決定也不同。

4）操作能力：操作水平是否匹配當前任務的難度，是直接影響任務安全的關鍵因素。

5）生理因素：人員的性別、年齡、健康狀況等生理因素，是決定操作人員能否參加任務的決定性因素。

6）心理因素：為保障導彈裝備任務成功，人員往往承受著巨大的心理壓力，倘若不能及時緩解，極易造成人員心理問題，進而導致整個任務出現(xiàn)事故。

7）協(xié)作水平：多類型人員之間崗位交接的協(xié)作水平，往往是導致事故發(fā)生的間接影響因素。導彈裝備任務中，關鍵操作崗位往往采用雙崗制或三崗制，即有人負責操作，有人負責監(jiān)督，若沒有良好的協(xié)作水平，極有可能因雙方的疏忽導致的事故。

8）管理因素：導彈裝備任務涉及大量部門、人員以及設備等資源，若沒有有效的管理制度，往往會導致人員、資源之間的不適配，進而導致人員的失誤。

9）流程合理性：導彈裝備任務作為典型復雜系統(tǒng)，不僅涉及眾多人員與設備，還包括大量子任務以及子任務之間的邏輯時序關系，流程之間是否合理，是評價管理人員的關鍵因素。

2.1.2 面向?qū)椦b備任務的人-機-環(huán)動態(tài)反饋評價模型

針對STAMP 和CREAM 面對復雜多變?nèi)蝿窄h(huán)境下人因可靠性無法準確量化以及動態(tài)評估的缺陷，構(gòu)建基于STAMP 和CREAM 的人-機-環(huán)動態(tài)反饋評價模型，揭示人因績效評價因子與風險評價因素關聯(lián)機制，其框架如圖3所示。

圖3 基于STAMP 與CREAM 的人-機-環(huán)動態(tài)反饋評價模型Fig.3 Man-machine-environment dynamic feedback evaluation model based on STAMP and CREAM

一方面，人因可靠性的準確量化。首先，針對導彈裝備任務過程特點，設計9 類人因績效評價因子，以考慮環(huán)境特點對人因可靠性的影響。其次，設計產(chǎn)品智能化程度、經(jīng)驗水平、安全意識和任務壓力4 類風險評價因素，描述環(huán)境特點對導彈裝備任務的影響。最后，構(gòu)建人因績效評價因子與風險評價因素關聯(lián)機制。其中，①產(chǎn)品智能化程度與環(huán)境因素、裝備因素關聯(lián)；②經(jīng)驗水平與個體因素、操作能力、生理因素關聯(lián)；③安全意識與心理因素、協(xié)作水平關聯(lián)；④任務壓力與管理因素、流程合理性關聯(lián)。

另一方面，人因可靠性的動態(tài)反饋。導彈裝備任務中人-機-環(huán)耦合關系被劃分為3 個層次：管理對安全重視程度的間接影響模塊、風險評價因素的直接影響模塊以及事故率的動態(tài)反饋模塊。首先，導彈裝備任務中，管理人員通過制度、培訓等對保障人員、一崗人員及二崗人員的行為進行約束，因此定義管理對安全重視程度為間接影響模塊。其次，人員的經(jīng)驗、意識、壓力以及產(chǎn)品智能化程度，是人因失誤的直接影響因素，因此，將人因績效評價因子與風險評價因素關聯(lián)機制定義為風險評價因素的直接影響模塊。最后，事故率作為評價安全性的關鍵指標，也是模型中反饋的因素，通過反饋事故率進而影響間接影響模塊和直接影響模塊。因此，將事故率的計算過程定義為反饋模塊。

模型中人因失誤率計算過程如式（3）所示：

1）針對模型中4 類風險評價因素，其計算過程如式（3）所示：

式中：Y為風險評價因素，xi為風險評價因素影響因素，i為風險評價因素影響因素個數(shù)，ti為風險評價因素影響因素延遲時間，以年為單位，T為風險評價因素延遲時間，以年為單位。

2）對所得風險評價因素Y進行標準化處理得到Y(jié)S，范圍為［0，1］

3）以4 類風險評價因素結(jié)合9 類人因績效評價因子，揭示人因績效評價因子與風險評價因素關聯(lián)機制，如下所示：

①將YS按式（5）進行分段處理：

②根據(jù)分段結(jié)果，結(jié)合CREAM 中觀察、解釋、計劃和執(zhí)行4 類認知功能構(gòu)建如表3 所示人因績效評價因子與風險評價因素關聯(lián)矩陣。

表3 績效因子與評價關聯(lián)矩陣Table 3 Performance factor and evaluation correlation matrix

2.2 基于多視圖體系的分層安全控制結(jié)構(gòu)建模

2.2.1 多視圖導彈裝備體系結(jié)構(gòu)模型

針對導彈裝備的任務剖面特點，通過過程、任務、信息、資源以及組織5 類視圖，構(gòu)建多視圖導彈裝備體系結(jié)構(gòu)模型。

1）過程視圖

導彈裝備任務的核心便是各環(huán)節(jié)之間的時序邏輯，在明確邏輯關系后，才能針對人員、設備等資源信息進一步做出合理的安排。因此選取過程視圖為核心，將任務劃分為多個環(huán)節(jié)，并將其按照對應時序邏輯的關系進行表達。

2）任務視圖、信息視圖

針對任務各環(huán)節(jié)，需要做出明確的操作內(nèi)容指示，例如，任務的具體操作流程、所需完成的功能、人員之間的交接等內(nèi)容。因此選取任務視圖對各環(huán)節(jié)中操作內(nèi)容，功能要求等內(nèi)容進行表達。選取信息視圖對任務中涉及的人員種類、操作手冊以及人員之間交接內(nèi)容等進行表達。

3）資源視圖、組織視圖

導彈裝備任務人-機-環(huán)耦合特性明顯，不僅包含導彈裝備，還有輔助設備如車輛、供電設備、供氣設備等，以及管理人員、保障人員等眾多類型人員，多資源之間的交互，奠定了導彈裝備任務的復雜性。因此明確所需資源以及人員組織關系，成為構(gòu)建導彈裝備任務多視圖模型的關鍵。選取資源視圖對系統(tǒng)中硬件資源、規(guī)章制度等進行表達。選取組織視圖對系統(tǒng)中人員種類以及組織結(jié)構(gòu)關系進行表達。

2.2.2 分層安全控制結(jié)構(gòu)模型

基于多視圖導彈裝備體系結(jié)構(gòu)模型，提出分層安全控制結(jié)構(gòu)模型，其框架如圖4 所示。包括2 大主體和4 個層次，分別為人因控制體和設備控制體。

圖4 導彈裝備分層安全控制結(jié)構(gòu)模型Fig.4 Missile equipment hierarchical safety control structure model

針對人因控制體，包含設計層和操作層2 個層次。一方面，導彈裝備任務中人-機-環(huán)耦合，任務流程、規(guī)章制度、操作指南等內(nèi)容的合理設計是間接影響事故發(fā)生的關鍵因素，不合理的設計往往導致任務差錯頻出。另一方面，操作層人員直接對設備操作、發(fā)出指令來控制設備的運行，所以其狀態(tài)如個人經(jīng)驗、心理因素、操作能力等是直接影響事故發(fā)生的關鍵因素。因此，構(gòu)建設計層和操作層，分別代表管理層人員控制體和操作層人員控制體。設計層通過操作手冊等約束對操作層施加控制，與此同時，操作層通過任務報告、事故報告等內(nèi)容對設計層進行反饋以進行對任務的優(yōu)化。

針對設備控制體，包含輔助設備層和關鍵設備2 個層次。一方面，關鍵設備如導彈是任務過程中不可或缺的主體。另一方面，吊裝設備、運輸設備、供電設備、告警設備等是保障設備任務成功的必要資源。因此構(gòu)建關鍵設備層和輔助設備層，分別代表關鍵設備控制體和輔助設備控制體。輔助設備層通過運輸、監(jiān)測、維護等方式對關鍵設備施加控制，而關鍵設備層以當前狀態(tài)作為對輔助設備層的反饋。

針對分層安全控制結(jié)構(gòu)模型整體，人因控制體通過操作、指令、控制等約束條件對設備控制體施加控制，而設備控制體通過信息顯示向人因控制體提供反饋，以供人因控制體對任務流程進行優(yōu)化。

2.3 導彈裝備任務安全性動態(tài)評價方法框架

結(jié)合2.1 和2.2 所提內(nèi)容，提出導彈裝備任務安全性動態(tài)評價方法，其框架如圖5 所示，包含以下4 個步驟：

圖5 導彈裝備任務安全性動態(tài)評價框架Fig.5 Dynamic evaluation framework of missile equipment mission safety

步驟1：導彈裝備多視圖體系結(jié)構(gòu)建模

首先針對導彈裝備構(gòu)建過程、任務、信息、資源、組織5 個視圖，對導彈裝備任務流程所涉及各類信息進行展示。

步驟2：導彈裝備分層安全控制結(jié)構(gòu)建模

首先根據(jù)導彈裝備多視圖體系結(jié)構(gòu)確定導彈裝備的安全約束并按照人-機-環(huán)耦合關系進行分解。其次根據(jù)分解后安全約束定義安全控制結(jié)構(gòu)。然后根據(jù)安全控制結(jié)構(gòu)對其可能打破約束的事故致因因素進行分析總結(jié)，進而構(gòu)建分層安全控制結(jié)構(gòu)模型。最后，根據(jù)模型中控制關系結(jié)合關鍵致因因素，將事故場景劃分為協(xié)調(diào)類、控制類和反饋類分別表示不同的耦合條件下的事故類型。

步驟3：導彈裝備人-機-環(huán)動態(tài)反饋評價模型

首先根據(jù)風險評價因素、人因績效評價因子以及CREAM 中提供的認知功能構(gòu)建人因績效評價體系。然后構(gòu)建人-機-環(huán)動態(tài)反饋評價模型。最后確定當前狀態(tài)下人因失誤率。

步驟4：導彈裝備安全性仿真

首先針對分層安全控制結(jié)構(gòu)模型中的控制體進行失效概率定義。針對設備控制體，根據(jù)壽命分布模型確定設備不可靠度進而定義設備控制體失效概率；針對人因控制體，根據(jù)步驟3 中人因失誤率確定人因控制體失效概率。

然后，根據(jù)步驟2 中確定的事故場景以及控制體與控制渠道之間關聯(lián)矩陣，對其進行仿真，其過程如下所示：

1）根據(jù)步驟2 中提供的關聯(lián)矩陣定義控制體與控制反饋渠道之間的關聯(lián)矩陣C。

2）根據(jù)步驟2 中提供的事故場景定義事故場景A，包括控制體和控制反饋渠道。

3）定義初始狀態(tài)向量E=[e1，e2，…，en]T，式中n為模型中控制渠道個數(shù)，e為布爾值，0 為健康，1 為故障，初始狀態(tài)為0。

4）依概率生成狀態(tài)轉(zhuǎn)移矩陣U=[u1，u2，…，un]T，式中n為模型中控制體個數(shù)，u為布爾值，0為健康，1 為故障，初始狀態(tài)為0。

5）狀態(tài)轉(zhuǎn)移方程Ek+1=Ek+CU，式中E為每次仿真后的狀態(tài)矩陣，k為仿真次數(shù)。

6）事故率計算：

式中：NA為事故總次數(shù)，PA為事故率。

7）針對系統(tǒng)中影響因素進行靈敏度分析，其函數(shù)如下所示：

式中：xi為影響因素，y為事故率。

最后，根據(jù)安全性仿真以及靈敏度分析確定導彈裝備任務事故率以及任務中關鍵影響因素。

3 導彈裝備貯存測試任務的安全性動態(tài)評價案例分析

本文以導彈裝備長期貯存中的測試任務為例，對所提方法進行分析驗證，并與僅考慮機-環(huán)耦合情況下事故率進行對比，驗證所提方法的有效性與優(yōu)越性。

3.1 導彈裝備測試任務多視圖體系結(jié)構(gòu)建模

根據(jù)國軍標等相關資料［31-32］，對導彈裝備測試任務進行多視圖體系結(jié)構(gòu)建模，如圖6～圖9所示。

圖6 導彈裝備測試任務過程視圖Fig.6 Process view for missile equipment test mission

首先，過程視圖展現(xiàn)導彈裝備包括16 個子任務，如圖6 所示。

其次，任務視圖和信息視圖展現(xiàn)導彈裝備測試任務中涉及的具體事件以及人員類型，如圖7所示。任務視圖詳細展示各子任務所涉及的詳細任務，如彈頭彈體第一次分解再裝，其詳細任務即按照導彈再裝技術(shù)要求分解彈頭、彈體。信息視圖詳細展示各子任務中所涉及的參與人員類型，主要包括管理人員、保障人員、一崗人員以及二崗人員共4 種類型。

圖7 導彈裝備測試任務的任務視圖和信息視圖Fig.7 Mission and information view for missile equipment test mission

再次，組織視圖展現(xiàn)導彈裝備測試任務中各類型人員之間的交互關系，如圖8 所示。

最后，資源視圖展現(xiàn)導彈裝備測試任務中所涉及的各類型設備，如配電系統(tǒng)、供氣系統(tǒng)、導彈裝備等，并展現(xiàn)設備之間的交互關系，以及所需的信息資源如任務手冊、國家標準等，如圖9所示。

圖9 導彈裝備測試任務資源視圖Fig.9 Resource view for missile equipment test mission

3.2 導彈裝備測試任務分層安全控制結(jié)構(gòu)建模

1）導彈裝備測試任務安全約束確定

導彈設備作為關鍵設備，其包含大量易燃易爆物質(zhì)，一旦發(fā)生爆炸，將造成巨大人員和財產(chǎn)損失。根據(jù)表1，將其危險嚴重性和可能性風險評價為2D，不希望有的。因此，系統(tǒng)級安全約束定義為防止導彈燃燒爆炸。此外，依據(jù)多視圖體系結(jié)構(gòu)模型提供的任務信息，導彈裝備測試任務涉及大量人員與設備，因此將系統(tǒng)級安全約束按照人員和設備2 個方面進行分解，其具體內(nèi)容如表4 所示。

表4 導彈裝備測試任務安全約束Table 4 Safety constraints for missile equipment test mission

2）導彈裝備測試任務分層安全控制結(jié)構(gòu)模型

根據(jù)確定的安全約束和多視圖體系結(jié)構(gòu)模型，構(gòu)建導彈裝備分層安全控制結(jié)構(gòu)模型，并進行致因因素分析如圖10 所示。

圖10 導彈裝備測試任務的分層安全控制結(jié)構(gòu)模型Fig.10 Hierarchical safety control structure model for missile equipment test mission

模型中設計層包括管理人員，功能為向操作層傳達規(guī)章制度、操作流程等約束以及接收操作層反饋的任務報告，意外情況等信息。操作層包括一崗人員、二崗人員和保障人員，功能為按照設計層規(guī)定的操作流程對輔助設備層發(fā)出指令、信號以實現(xiàn)對關鍵設備層的約束，并且接收輔助設備層與關鍵設備層反饋的數(shù)據(jù)、信號等內(nèi)容，撰寫任務報告反饋給設計層，以供設計層對任務的分析和改進。輔助設備層包括對關鍵設備進行檢測、監(jiān)視、溫濕度調(diào)節(jié)、照明等功能，并且向操作層反饋關鍵設備的信息如損壞、失效等告警信號。關鍵設備層即為被測設備，提供測試對象。以上共同構(gòu)成導彈裝備測試任務分層安全控制結(jié)構(gòu)模型。

3）導彈裝備測試任務事故場景定義

針對上述分析，定義可能打破安全約束的3類共6 種事故場景，如表5 所示。具體事故場景分析與事故鏈如下：

表5 六類典型事故場景及其事故鏈Table 5 Six typical accident scenarios and their accident chains

①協(xié)調(diào)類（設計層-操作層）：由于管理人員流程設計問題，保障人員未及時檢測出溫濕度控制系統(tǒng)故障，進而導致一崗人員和二崗人員發(fā)生失誤。

②協(xié)調(diào)類（操作層-操作層）：由于配電系統(tǒng)出現(xiàn)問題，保障人員未能及時與一崗人員進行溝通，導致系統(tǒng)中供電不足影響設備，最終造成事故發(fā)生。

③控制類（設計層-操作層）：由于管理人員操作手冊設計問題，使保障人員遺漏檢查接地設施，導致一崗人員進行操作時，引發(fā)靜電導致事故發(fā)生。

④控制類（操作層-輔助設備層）：由于保障人員未能及時檢測出各類型設備的健康狀態(tài)，導致一崗人員使用時出現(xiàn)事故，進而導致燃燒爆炸。

⑤反饋類（輔助設備層-操作層）：由于告警系統(tǒng)出現(xiàn)問題，導致二崗測試人員未能及時發(fā)現(xiàn)并解決系統(tǒng)中故障問題，進而導致事故。

⑥反饋類（輔助設備層-操作層）：由于照明系統(tǒng)出現(xiàn)故障，導致一崗人員和二崗人員在慌亂的情況下，做出錯誤的判斷，進而導致事故的發(fā)生。

3.3 導彈裝備測試任務人-機-環(huán)動態(tài)反饋評價模型

1）針對導彈裝備測試任務構(gòu)建如表6 所示人因績效評價因子與風險評價因素關聯(lián)機制。

表6 導彈裝備測試任務績效因子與評價關聯(lián)矩陣Table 6 Missile equipment test mission performance factors and evaluation correlation matrix

針對導彈裝備測試任務中人員狀態(tài)的不同，對4 類風險評價因素的初始值設置低、中和高3種狀態(tài)，低狀態(tài)下代表對人因可靠性呈現(xiàn)負面影響，中代表沒有影響，高代表對人因可靠性呈現(xiàn)積極影響。其具體數(shù)值分別為1、1.08、1.14。

2）針對分層安全控制結(jié)構(gòu)模型中的設備控制體，大型復雜設備其退化分布模型往往服從指數(shù)分布，因此，將導彈裝備中所涉及的設備控制體退化失效模式定義為指數(shù)分布［33-34］，其故障率如圖11 所示。

圖11 設備控制體故障率Fig.11 Failure rate of equipment control subject

3.4 導彈裝備測試任務安全性仿真

根據(jù)任務要求，導彈裝備測試任務每季度進行一次，人-機-環(huán)動態(tài)反饋評價模型中4 類風險評價因素的初始狀態(tài)設置為中，對上述6 種事故場景進行仿真迭代300 次。其過程如下所示：

1）根據(jù)圖10 定義關 聯(lián)矩陣C，如附表1所示。

2）根據(jù)事故場景定義事故場景A，包括控制體和控制反饋渠道，如表5 所示。

3）定義初始狀態(tài)向量E0，如式（8）所示。

4）依據(jù)控制體對應的失誤率在每次仿真過程中生成狀態(tài)轉(zhuǎn)移矩陣U。初始狀態(tài)如式（9）所示。

5）狀態(tài)轉(zhuǎn)移方程Ek+1=Ek+CU，式 中k為300。

6）事故率計算PA=NA/300。

最終，6 種典型事故場景的事故率以及人因失誤率結(jié)果與比較如圖12 所示。同時，為了驗證所提方法在人-機-環(huán)耦合下的優(yōu)越性，對機-環(huán)耦合下的傳統(tǒng)方法進行了驗證比較，結(jié)果如圖12所示。

圖12 導彈測試任務6 種典型事故場景的事故率和人因失誤率Fig.12 Accident and human error rates of missile test mission in six typical accident scenarios

由圖12 可以看出，在人-機-環(huán)耦合情況下，所提方法得到的事故率均呈現(xiàn)出先降后升的趨勢。在紅框內(nèi)，人-機-環(huán)耦合情況下所提方法的事故率的變化趨勢與人因失誤率的變化趨勢基本一致。在紅框外，人-機-環(huán)耦合情況下的事故率基本與機-環(huán)耦合情況下事故率的變化趨勢一致。

因此，可以得出結(jié)論：在任務的初期，影響事故率大小的主要原因是人為因素。隨著人員綜合素質(zhì)能力的提升，事故率隨人因失誤率的降低而降低。同時，隨著時間的推移，導彈及其他設備逐漸退化，由設備原因?qū)е碌氖鹿手饾u增多，成為主要事故原因。

最后，綜合考慮6 種事故場景的事故率結(jié)果如圖13 所示，包括人-機-環(huán)耦合情況下所提方法的事故率的變化曲線，導彈裝備測試任務人-機-環(huán)耦合實際值的期望值，所提方法人-機-環(huán)耦合情況下期望值，以及機-環(huán)耦合情況下期望值。

圖13 導彈裝備測試任務事故率結(jié)果對比Fig.13 Results comparison of missile equipment test mission accident rate

由圖13 可知，僅考慮機-環(huán)耦合狀態(tài)下的事故率的期望值為2.16×10-5，考慮人-機-環(huán)耦合情況下的事故率的期望值為8.12×10-5。通過與中國運載火箭技術(shù)研究院設計人員研討［33，35］，本文將事故率的值定為8.5×10-5。以此數(shù)值計算得到僅考慮機-環(huán)耦合狀況下的事故率的精度為25.42%，考慮人-機-環(huán)耦合情況下的事故率的精度為95.5%，其精度提升了70.08%，驗證了所提方法的優(yōu)越性。

3.5 導彈裝備測試任務風險評價因素分析

針對導彈裝備中影響人因失誤率的4 類風險評價因素進行靈敏度分析，以所設置初始值的低至高分別進行3 次仿真分析，其4 類風險評價因素的靈敏度占比如圖14 所示。

圖14 4 類風險評價因素靈敏度分析結(jié)果Fig.14 Sensitivity analysis results for four categories of risk evaluation factors

初始值為低的情況下，經(jīng)驗水平是影響事故率最大的人因影響因素。初始值為高的情況下，經(jīng)驗水平、任務壓力的占比顯著下降，安全意識成為了影響事故率的主要因素。因此，針對導彈裝備測試任務，初期人員的經(jīng)驗水平是導致事故的主要因素，隨著能力的提升，安全意識成為可能導致事故發(fā)生的關鍵因素。

3.6 基于分層安全控制結(jié)構(gòu)的導彈裝備任務安全性動態(tài)評價平臺

基于所提方法，以Python 語言為基礎開發(fā)軟件平臺，該平臺包括4 部分：多視圖體系結(jié)構(gòu)建模、安全控制結(jié)建模、事故場景分析和仿真與分析，輸出導彈裝備任務分層安全控制結(jié)構(gòu)模型、事故率、風險評價因素靈敏度分析等內(nèi)容，實現(xiàn)基于分層安全控制結(jié)構(gòu)的導彈裝備任務安全性動態(tài)評價，如圖15 所示。

圖15 基于分層安全控制結(jié)構(gòu)的導彈裝備任務安全性動態(tài)評價平臺Fig.15 Dynamic evaluation platform for missile equipment mission safety based on hierarchical safety control structure

4 結(jié)論

針對導彈裝備任務的安全性評價中存在的動態(tài)更新和準確量化的難點。本文提出了一種基于分層安全控制結(jié)構(gòu)的導彈裝備任務安全性動態(tài)評價方法。首先，以多視圖體系結(jié)構(gòu)梳理導彈裝備任務剖面信息。其次，以STAMP 理論為框架，構(gòu)建導彈裝備任務分層安全控制結(jié)構(gòu)模型，實現(xiàn)安全性動態(tài)反饋過程，有效解決傳統(tǒng)安全性評價方法無法進行動態(tài)更新的痛點。再次，結(jié)合STAMP 和CREAM 方法提出面向?qū)椦b備任務的人員績效評價體系，構(gòu)建人-機-環(huán)動態(tài)反饋評價模型。最后，結(jié)合分層安全控制結(jié)構(gòu)和人員績效評價體系，實現(xiàn)針對導彈裝備任務的安全性動態(tài)反饋評價。為針對導彈裝備任務的安全性評價提供一種新的方法。

針對所提方法，對導彈裝備測試任務進行驗證分析。所提方法與僅考慮機-環(huán)耦合情況下的仿真事故率，分與對實際事故率期望值進行對比，其精度提升70.08%，顯著提高了安全性動態(tài)評價的精度，同時也驗證了所提方法的有效性與優(yōu)越性。

針對導彈裝備任務進行分層安全控制結(jié)構(gòu)建模過程中，建模對象顆粒度較大，往往是針對系統(tǒng)級設備進行建模分析，缺乏對任務中結(jié)構(gòu)顆粒度細化的研究。因此在未來的工作中，將針對該難點，對所提方法進行進一步的優(yōu)化。

附錄A：關聯(lián)矩陣C

續(xù)表