基于廣義合作網絡人-機交互系統安全評價模型

基于廣義合作網絡人-機交互系統安全評價模型*

武潔，趙廷弟，焦健

(北京航空航天大學工程系統工程系，北京 100191)

摘要：基于復雜網絡理論建立一種新的人-機交互網絡系統模型，在此基礎上，針對網絡拓撲特性提出了人-機交互復雜系統安全性判別準則及安全性判據，并結合柴電機啟動人-機交互復雜過程說明了模型的應用.該模型從網絡的角度去分析和理解人-機交互復雜系統的本質和內涵，直觀地描述了復雜系統中的人-機交互過程，為安全性分析和安全性預防工作提供了新的依據.

關鍵詞：安全性；復雜網絡；人-機交互；系統

文章編號：1007-2985(2015)06-0023-04

中圖分類號：TH11；TP391文獻標志碼：A

DOI:10.3969/j.cnki.jdxb.2015.06.006

收稿日期：*2014-12-10

作者簡介：武潔(1975—)，女，山東濰坊人，工程師，博士，主要從事綜合保障網絡可靠性、人因差錯和事故分析等研究；趙廷弟(1965—)，男，陜西戶縣人，北京航空航天大學可靠性與系統工程學院研究員，博士，主要從事系統安全、可靠性仿真研究.

在人為差錯風險分析方面，20世紀90年代之前，一般都采用故障樹FTA或事件樹ETA來描述系統故障模式和人為差錯.由于FTA/ETA本質上是靜態的，因此，對于一些有人參與的動態系統來說，采用FTA/ETA肯定是不合適的，因為以事件樹/故障樹為代表的安全評估方法[1-4]普遍對軟件和人因重視不足，一般將其作為次要因素忽略或者采用與硬件相同的方式處理，不能夠充分反映軟件、人因與系統的相互依賴關系和交互過程.此外，在處理具有多態性、非單調性、失效相關性、動態性、過程變量、人因和軟件影響等特點的復雜系統安全性評估問題時，在概念、模型和方法等方面都遇到了許多問題.由于復雜系統割集數量與系統規模呈指數增長，數量龐大，因此大多數情形下只能采用近似求解，而現有的近似公式適用于簡單的二態單調系統.以連續事件樹為代表的動態安全評估方法雖然能夠處理過程變量與組件狀態互影響等某些動態問題，但由于理論比較復雜，模型難以構建，缺乏高效率算法和工具軟件支持，因此在實際工程應用中受到了限制.針對這一點，20世紀90年代之后，陸續推出了一些新的方法，比較典型的有GO-Flow方法、Markov狀態轉移法和事件序列圖ESD法等.這些方法能夠描述動態系統隨時間變化的這一特性.雖然利用這些方法進行風險分析時，能夠獲得動態系統在不同時刻對應的風險，有助于更好地對系統進行管理，但是這些方法都將注意力集中在計算人為差錯的概率值，而對如何更好地評價系統及差錯發生機理缺乏相應的研究方法.由此可見，現有安全評估方法在解決現代復雜系統安全性評估問題時碰到了一些難點，亟需研究新的概念、模型和評估方法.

復雜系統中持續增長的復雜性和耦合問題、人與機器之間越來越復雜的關系問題，鑒于這些存在于復雜系統安全性的問題[5-6]，將復雜網絡理論應用于安全科學領域，首先為復雜網絡理論研究提供應用背景，豐富了復雜網絡理論基礎，其次為安全科學領域提供新的理論和方法研究.

1基于復雜網絡理論的安全性建模

1.1 構造復雜人-機系統的廣義合作網絡模型

圖1　復雜系統人、機系統合作網絡

復雜系統通過人與環境的交互將離散的人與環境中的設備裝置緊密地聯結成一個相互關聯、高度耦合的復雜網絡，在復雜系統中大量基本單元之間的分工、合作使得整個系統演變、進化.基于合作網中的雙模式網絡[7-11]構造了復雜系統中人與所完成動作之間的合作網絡G(A(x(t)，wA)，V(y(t)，wV)e，f).在一個復雜系統中，要完成很多相關或是不相關的任務，這些任務由一系列的連續的子動作組成.如圖1所示，將這些子動作組成的集合在網絡圖中定義為節點集A={Ai}，為了完成各個子動作而互相合作的人員集合定義為節點集V={Vj}，動作集合與人員集合的連線集定義為e={eij}，完成子動作的人員之間的連線集定義為f={fij}，其中i，j=1，2，…，n.

定義wA={wA1，wA2，…，wAn}，wAi表示節點Ai中的能量值，wV={wV1，wV2，…，wVn}，wVj表示節點Vj中的能量值，其中j=1，2，…，n.又定義X(t)=(xA1(t)，xA2(t)，…，xAn(t))，其中xAi(t)={0,1}表示在t時刻節點Ai的狀態，即xAi(t)=0，表示在t時刻任務Ai未完成，xAi(t)=1，表示在t時刻任務完成；Y(t)=(yV1(t)，yV2(t)，…，yVn(t))，其中yVj(t)={0,1}表示在t時刻節點Vj的狀態，即yVj(t)=0，表示在t時刻人員Vj未傷亡或不在位，yVj(t)=1，表示在t時刻人員Vj傷亡.

1.2 網絡特性的人-機系統安全性評估準則

確定網絡安全評價準則是分析和評估系統安全性的前提.對網絡正常狀態的判別準則的不同，系統安全性的標準也不一樣，所以針對網絡特性的人-機系統的安全性的特點，提出以下3條針對網絡失效狀態的判別準則.

(1)連通準則.

所研究的節點對之間是否存在連通的路徑，若不存在，則網絡失效.針對基于廣義合作網絡的人-機系統的網絡模型，常見的有：

(ⅰ)網絡中給定的節點對之間至少存在1條路徑.例如節點集A，表示一組要完成的任務，這些任務之間是有邏輯關聯的，那么在網絡中必然需要存在通路，若不存在，則整個任務無法完成，整個網絡的安全性出現問題；

(ⅱ)網絡中一個指定的節點能與一組節點相連通.例如在節點集V中一些明顯重要的節點，與大多節點都有連接，那么這部分節點的連通性就很重要，一旦這部分節點失效，則整個網絡的安全性就遭到嚴重破壞.故這里定義節點重要度來評估網絡的安全性.

定義1節點的安全重要度Ii定義為與節點連接的邊數.

(ⅲ)網絡中連通的節點數大于某一閾值.例如在完成單項任務的過程中有n個人一起完成，即使有個別人出現問題，任務還是可以按照計劃完成，這樣就不會對整個任務造成大的影響.在網絡圖中表現為n個節點中有i個節點毀壞后，余下的n-i個節點是連通的，剩余的n-i必須大于某一閾值.

(2)能量守恒準則.

能量意外釋放論認為事故是一種不正常的或不希望的能量釋放并轉移于人體.人類在利用能量的時候必須采取措施控制能量，使能量按照人們的意圖產生、轉換和做功.從能量在系統中流動的角度來看，應該控制能量按照人們規定的能量流通渠道流動.如果由于某種原因失去了對能量的控制，就會發生能量違背人的意愿的意外釋放或逸出，使活動中止而發生事故.如果意外釋放的能量作用于人體，并且能量超過人體所能承受的能量的閾值，那么必然會對人體造成傷害，同理也會同時作用于設備或是環境[12].

基于能量觀點的事故發生理論，認為在網絡中傳播的能量由于某些節點或是某些連邊的破壞而導致能量在節點間的重新分配，從而所研究的網絡中的節點所能承受的能量總和必須小于某一閾值，否則節點毀壞，就會出現人員傷亡事故.例如在人-機系統的網絡模型中，節點集A中的某個節點或某些節點出現故障，節點Ai出現故障就是指在該節點需要完成的任務因為人或設備的問題而沒有完成或是部分完成，那么因為節點Ai故障導致的Ai中的能量wAi外泄，在網絡中重新分配，若重新分配后的能量超過節點Vi的wVi，則導致事故.

定義2節點的閾值αi定義為節點所能承受的最大的能量流.當通過節點的流量值wVi>αi的時候，定義節點毀壞.

(3)業務準則.

所研究的節點對象間業務服務質量如延時(網絡中任意2個節點間傳輸一定的能量時延小于某一閾值)等，是否滿足用戶要求，若不滿足，則網絡失效.

1.3 網絡特性的人-機系統安全性評估判據

判據2 人-機系統毀壞概率P定義為安全重要度超過閾值的節點的損毀概率，即P=P(j|j=max(Ii)，i=1，…，n).

判據3 人-機系統風險度R定義為人-機系統毀壞概率P與網絡損失L的乘積[13]，即R=P×L.

2潛艇柴電機人-機交互啟動系統的廣義合作網絡模型

以文獻[14-17]中的潛艇柴電機組進排氣系統準備啟動(圖2)為例.準備啟動這項任務涉及到潛艇上的艇長、機電長、各艙室等10個參與者，分別以V1—V10標識，要完成7個步驟的動作，如圖3所示.

圖2　柴電機組進排氣系統啟動示意

圖3　柴電機組啟動準備合作網絡示意

所需完成的動作：A1為升起進氣筒，上好制止器；A2為關閉進氣筒注水閥，打開進氣筒放水閥；A3為檢查進氣筒放水情況；A4為關閉進氣筒放水閥，進氣筒放水完畢；A5為進、排氣管路放水；A6為準備吸、排氣通風系統，進行柴油機水下工作通風；A7為檢查水密.其中：X(t)=(xA1(t)，xA2(t)，…，xA7(t))，當t=0的時候，X(0)=(0，0，…，0)；Y(t)=(yV1(t)，yV2(t)，…，yV10(t))，當t=0的時候，Y(0)=(1，1，…，1).

仿真思路是假設網絡中任一節點失效，從而與該節點相連的邊也從網絡中刪除，計算因為該節點損毀引起能量流在整個網絡的節點和邊中的重新分配.按照定義1和定義2，直到沒有節點故障為止[18].

通過計算，節點V1和V2的節點重要度最大，這2個節點的損毀會造成整個網絡的損毀，所以這2個節點可以被看作是整個網絡的關鍵點或脆弱點.

3結語

以潛艇柴電機人-機交互啟動系統為背景，從復雜網絡這一研究復雜系統的工具出發，建立了人-機交互復雜系統的復雜網絡模型.針對該網絡模型提出評估系統安全性的判據，以及一種依據網絡拓撲特性對人-機交互系統安全性進行評估的方法，從新的視角來分析和理解人-機交互系統的復雜性和安全性，識別系統的脆弱點.復雜網絡理論應用在人-機交互復雜系統的安全性研究尚處于起步階段，在安全性判據及如何判定損失等方面尚有大量工作，在人-機交互復雜系統網絡模型方面還需要更進一步的完善和研究.

參考文獻：

[1]CLIFTONAERICSON，Ⅱ.HazardAnalysisTechniquesforSystemSafety.Hoboken,NewJersey:JohnWiley&Sons,Inc.,2005.

[2]RUNEELVIK.LawsofAccidentCausation.AccidentAnalysisandPrevention,2006,38:742-747.

[3]SAMMARCOJJ.AddressingtheSafetyofProgrammableElectronicMiningSystems:LessonsLearned.Proceedingsofthe37thIEEEIndustryApplicationsSocietyMeeting.IEEEXplore,2003:692-698.

[4]DAVIDCDUNKLE.PrioritizingHumanInterfaceDesignIssuesforRangeSafetySystemsusingHumanFactorsProcessFMEA.USA：NASARiskManagementConference，2005.

[5]SUNNYYAUYANG.FoundationsofComplex-SystemTheories.Cambridge,England:CambridgeUniversityPress,1999.

[6]NANCYGLEVESON.ANewApproachtoSystemSafetyEngineering[EB/OL].[2012-10-18].http://www.docin.com/p-501026937.html.

[7]WATTSDJ,STROGATZSH.CollectiveDynamicsof“SmallWorld”Networks.Nature，1998,393:440-443.

[8]BARABASIA-L,ALBERTR.EmergenceofScalinginRandomNetworks.Science,1999,286:509-512.

[9]BARABASIA-L，JEONGH，NEDAZ，etal.StatisticalMechanicsofComplexNetworks.PhysicaA，2002,311:590-630.

[10] 何大韌，劉宗華，汪秉宏.復雜系統與復雜網絡.北京：高等教育出報社，2009.

[11] 郭雷，許曉鳴.復雜網絡.上海：上?？萍冀逃霭嫔?，2006.

[12] 隋鵬程，陳寶智，隋靖.安全原理.北京：化學工業出版社，2005:40-45.

[13]TIMBEDFORD，ROGERCOOKE.ProbabilisticRiskAnalysis：FoundationsandMethods.London,England：CambridgeUniversityPress，2001.

[14] 華陽，湯建華.常規潛艇AIP技術.現代艦船,2009(11)：23-25.

[15] 章明.常規潛艇的“芯動力”——AIP原理比析.現代兵器,2006(3)：35-39.

[16] 蔡年生.常規潛艇AIP系統研究概況.船電技術,1994(3)：1-6；11.

[17] 張遠,石仲堃.常規動力潛艇進排氣系統的風險分析與評價.中國造船,2004，45(增刊)：331-336.

[18] 姜洪權，高建民，陳富民，等.基于復雜網絡理論的流程工業系統安全性分析.西安交通大學學報，2007，41(7)：806-810.

Safety Evaluation Model of Man-Machine Interaction System

Based on the Generalized Cooperation Network

WU Jie,ZHAO Tingdi,JIAO Jian

(School of Reliability and Systems Engineering,Beihang University,Beijing 1000191,China)

Abstract:First,a new man-machine interaction network model is proposed based on complex network theory.Secondly,the safety criteria and safety criterion of the man-machine interaction complex-system are studied in the connection with the topological characteristics based on the proposed network model.At last,an example of the diesel engine startup is given to illustrate the application and applicability of the network model.The network model provides an understanding and analysis of the nature and content of the man-machine interaction complex-system from a network perspective;accordingly,the interaction of man-machine complex-system is intuitively described and the new model provides the new basis for the safety analysis and prevention efforts.

Key words:safety;complex-networks;man-machine interaction;system

(責任編輯向陽潔)