基于广义合作网络人-机交互系统安全评价模型

基于广义合作网络人-机交互系统安全评价模型*

武洁，赵廷弟，焦健

(北京航空航天大学工程系统工程系，北京 100191)

摘要：基于复杂网络理论建立一种新的人-机交互网络系统模型，在此基础上，针对网络拓扑特性提出了人-机交互复杂系统安全性判别准则及安全性判据，并结合柴电机启动人-机交互复杂过程说明了模型的应用.该模型从网络的角度去分析和理解人-机交互复杂系统的本质和内涵，直观地描述了复杂系统中的人-机交互过程，为安全性分析和安全性预防工作提供了新的依据.

关键词：安全性；复杂网络；人-机交互；系统

文章编号：1007-2985(2015)06-0023-04

中图分类号：TH11；TP391文献标志码：A

DOI:10.3969/j.cnki.jdxb.2015.06.006

收稿日期：*2014-12-10

作者简介：武洁(1975—)，女，山东潍坊人，工程师，博士，主要从事综合保障网络可靠性、人因差错和事故分析等研究；赵廷弟(1965—)，男，陕西户县人，北京航空航天大学可靠性与系统工程学院研究员，博士，主要从事系统安全、可靠性仿真研究.

在人为差错风险分析方面，20世纪90年代之前，一般都采用故障树FTA或事件树ETA来描述系统故障模式和人为差错.由于FTA/ETA本质上是静态的，因此，对于一些有人参与的动态系统来说，采用FTA/ETA肯定是不合适的，因为以事件树/故障树为代表的安全评估方法[1-4]普遍对软件和人因重视不足，一般将其作为次要因素忽略或者采用与硬件相同的方式处理，不能够充分反映软件、人因与系统的相互依赖关系和交互过程.此外，在处理具有多态性、非单调性、失效相关性、动态性、过程变量、人因和软件影响等特点的复杂系统安全性评估问题时，在概念、模型和方法等方面都遇到了许多问题.由于复杂系统割集数量与系统规模呈指数增长，数量庞大，因此大多数情形下只能采用近似求解，而现有的近似公式适用于简单的二态单调系统.以连续事件树为代表的动态安全评估方法虽然能够处理过程变量与组件状态互影响等某些动态问题，但由于理论比较复杂，模型难以构建，缺乏高效率算法和工具软件支持，因此在实际工程应用中受到了限制.针对这一点，20世纪90年代之后，陆续推出了一些新的方法，比较典型的有GO-Flow方法、Markov状态转移法和事件序列图ESD法等.这些方法能够描述动态系统随时间变化的这一特性.虽然利用这些方法进行风险分析时，能够获得动态系统在不同时刻对应的风险，有助于更好地对系统进行管理，但是这些方法都将注意力集中在计算人为差错的概率值，而对如何更好地评价系统及差错发生机理缺乏相应的研究方法.由此可见，现有安全评估方法在解决现代复杂系统安全性评估问题时碰到了一些难点，亟需研究新的概念、模型和评估方法.

复杂系统中持续增长的复杂性和耦合问题、人与机器之间越来越复杂的关系问题，鉴于这些存在于复杂系统安全性的问题[5-6]，将复杂网络理论应用于安全科学领域，首先为复杂网络理论研究提供应用背景，丰富了复杂网络理论基础，其次为安全科学领域提供新的理论和方法研究.

1基于复杂网络理论的安全性建模

1.1 构造复杂人-机系统的广义合作网络模型

图1　复杂系统人、机系统合作网络

复杂系统通过人与环境的交互将离散的人与环境中的设备装置紧密地联结成一个相互关联、高度耦合的复杂网络，在复杂系统中大量基本单元之间的分工、合作使得整个系统演变、进化.基于合作网中的双模式网络[7-11]构造了复杂系统中人与所完成动作之间的合作网络G(A(x(t)，wA)，V(y(t)，wV)e，f).在一个复杂系统中，要完成很多相关或是不相关的任务，这些任务由一系列的连续的子动作组成.如图1所示，将这些子动作组成的集合在网络图中定义为节点集A={Ai}，为了完成各个子动作而互相合作的人员集合定义为节点集V={Vj}，动作集合与人员集合的连线集定义为e={eij}，完成子动作的人员之间的连线集定义为f={fij}，其中i，j=1，2，…，n.

定义wA={wA1，wA2，…，wAn}，wAi表示节点Ai中的能量值，wV={wV1，wV2，…，wVn}，wVj表示节点Vj中的能量值，其中j=1，2，…，n.又定义X(t)=(xA1(t)，xA2(t)，…，xAn(t))，其中xAi(t)={0,1}表示在t时刻节点Ai的状态，即xAi(t)=0，表示在t时刻任务Ai未完成，xAi(t)=1，表示在t时刻任务完成；Y(t)=(yV1(t)，yV2(t)，…，yVn(t))，其中yVj(t)={0,1}表示在t时刻节点Vj的状态，即yVj(t)=0，表示在t时刻人员Vj未伤亡或不在位，yVj(t)=1，表示在t时刻人员Vj伤亡.

1.2 网络特性的人-机系统安全性评估准则

确定网络安全评价准则是分析和评估系统安全性的前提.对网络正常状态的判别准则的不同，系统安全性的标准也不一样，所以针对网络特性的人-机系统的安全性的特点，提出以下3条针对网络失效状态的判别准则.

(1)连通准则.

所研究的节点对之间是否存在连通的路径，若不存在，则网络失效.针对基于广义合作网络的人-机系统的网络模型，常见的有：

(ⅰ)网络中给定的节点对之间至少存在1条路径.例如节点集A，表示一组要完成的任务，这些任务之间是有逻辑关联的，那么在网络中必然需要存在通路，若不存在，则整个任务无法完成，整个网络的安全性出现问题；

(ⅱ)网络中一个指定的节点能与一组节点相连通.例如在节点集V中一些明显重要的节点，与大多节点都有连接，那么这部分节点的连通性就很重要，一旦这部分节点失效，则整个网络的安全性就遭到严重破坏.故这里定义节点重要度来评估网络的安全性.

定义1节点的安全重要度Ii定义为与节点连接的边数.

(ⅲ)网络中连通的节点数大于某一阈值.例如在完成单项任务的过程中有n个人一起完成，即使有个别人出现问题，任务还是可以按照计划完成，这样就不会对整个任务造成大的影响.在网络图中表现为n个节点中有i个节点毁坏后，余下的n-i个节点是连通的，剩余的n-i必须大于某一阈值.

(2)能量守恒准则.

能量意外释放论认为事故是一种不正常的或不希望的能量释放并转移于人体.人类在利用能量的时候必须采取措施控制能量，使能量按照人们的意图产生、转换和做功.从能量在系统中流动的角度来看，应该控制能量按照人们规定的能量流通渠道流动.如果由于某种原因失去了对能量的控制，就会发生能量违背人的意愿的意外释放或逸出，使活动中止而发生事故.如果意外释放的能量作用于人体，并且能量超过人体所能承受的能量的阈值，那么必然会对人体造成伤害，同理也会同时作用于设备或是环境[12].

基于能量观点的事故发生理论，认为在网络中传播的能量由于某些节点或是某些连边的破坏而导致能量在节点间的重新分配，从而所研究的网络中的节点所能承受的能量总和必须小于某一阈值，否则节点毁坏，就会出现人员伤亡事故.例如在人-机系统的网络模型中，节点集A中的某个节点或某些节点出现故障，节点Ai出现故障就是指在该节点需要完成的任务因为人或设备的问题而没有完成或是部分完成，那么因为节点Ai故障导致的Ai中的能量wAi外泄，在网络中重新分配，若重新分配后的能量超过节点Vi的wVi，则导致事故.

定义2节点的阈值αi定义为节点所能承受的最大的能量流.当通过节点的流量值wVi>αi的时候，定义节点毁坏.

(3)业务准则.

所研究的节点对象间业务服务质量如延时(网络中任意2个节点间传输一定的能量时延小于某一阈值)等，是否满足用户要求，若不满足，则网络失效.

1.3 网络特性的人-机系统安全性评估判据

判据2 人-机系统毁坏概率P定义为安全重要度超过阈值的节点的损毁概率，即P=P(j|j=max(Ii)，i=1，…，n).

判据3 人-机系统风险度R定义为人-机系统毁坏概率P与网络损失L的乘积[13]，即R=P×L.

2潜艇柴电机人-机交互启动系统的广义合作网络模型

以文献[14-17]中的潜艇柴电机组进排气系统准备启动(图2)为例.准备启动这项任务涉及到潜艇上的艇长、机电长、各舱室等10个参与者，分别以V1—V10标识，要完成7个步骤的动作，如图3所示.

图2　柴电机组进排气系统启动示意

图3　柴电机组启动准备合作网络示意

所需完成的动作：A1为升起进气筒，上好制止器；A2为关闭进气筒注水阀，打开进气筒放水阀；A3为检查进气筒放水情况；A4为关闭进气筒放水阀，进气筒放水完毕；A5为进、排气管路放水；A6为准备吸、排气通风系统，进行柴油机水下工作通风；A7为检查水密.其中：X(t)=(xA1(t)，xA2(t)，…，xA7(t))，当t=0的时候，X(0)=(0，0，…，0)；Y(t)=(yV1(t)，yV2(t)，…，yV10(t))，当t=0的时候，Y(0)=(1，1，…，1).

仿真思路是假设网络中任一节点失效，从而与该节点相连的边也从网络中删除，计算因为该节点损毁引起能量流在整个网络的节点和边中的重新分配.按照定义1和定义2，直到没有节点故障为止[18].

通过计算，节点V1和V2的节点重要度最大，这2个节点的损毁会造成整个网络的损毁，所以这2个节点可以被看作是整个网络的关键点或脆弱点.

3结语

以潜艇柴电机人-机交互启动系统为背景，从复杂网络这一研究复杂系统的工具出发，建立了人-机交互复杂系统的复杂网络模型.针对该网络模型提出评估系统安全性的判据，以及一种依据网络拓扑特性对人-机交互系统安全性进行评估的方法，从新的视角来分析和理解人-机交互系统的复杂性和安全性，识别系统的脆弱点.复杂网络理论应用在人-机交互复杂系统的安全性研究尚处于起步阶段，在安全性判据及如何判定损失等方面尚有大量工作，在人-机交互复杂系统网络模型方面还需要更进一步的完善和研究.

参考文献：

[1]CLIFTONAERICSON，Ⅱ.HazardAnalysisTechniquesforSystemSafety.Hoboken,NewJersey:JohnWiley&Sons,Inc.,2005.

[2]RUNEELVIK.LawsofAccidentCausation.AccidentAnalysisandPrevention,2006,38:742-747.

[3]SAMMARCOJJ.AddressingtheSafetyofProgrammableElectronicMiningSystems:LessonsLearned.Proceedingsofthe37thIEEEIndustryApplicationsSocietyMeeting.IEEEXplore,2003:692-698.

[4]DAVIDCDUNKLE.PrioritizingHumanInterfaceDesignIssuesforRangeSafetySystemsusingHumanFactorsProcessFMEA.USA：NASARiskManagementConference，2005.

[5]SUNNYYAUYANG.FoundationsofComplex-SystemTheories.Cambridge,England:CambridgeUniversityPress,1999.

[6]NANCYGLEVESON.ANewApproachtoSystemSafetyEngineering[EB/OL].[2012-10-18].http://www.docin.com/p-501026937.html.

[7]WATTSDJ,STROGATZSH.CollectiveDynamicsof“SmallWorld”Networks.Nature，1998,393:440-443.

[8]BARABASIA-L,ALBERTR.EmergenceofScalinginRandomNetworks.Science,1999,286:509-512.

[9]BARABASIA-L，JEONGH，NEDAZ，etal.StatisticalMechanicsofComplexNetworks.PhysicaA，2002,311:590-630.

[10] 何大韧，刘宗华，汪秉宏.复杂系统与复杂网络.北京：高等教育出报社，2009.

[11] 郭雷，许晓鸣.复杂网络.上海：上海科技教育出版社，2006.

[12] 隋鹏程，陈宝智，隋靖.安全原理.北京：化学工业出版社，2005:40-45.

[13]TIMBEDFORD，ROGERCOOKE.ProbabilisticRiskAnalysis：FoundationsandMethods.London,England：CambridgeUniversityPress，2001.

[14] 华阳，汤建华.常规潜艇AIP技术.现代舰船,2009(11)：23-25.

[15] 章明.常规潜艇的“芯动力”——AIP原理比析.现代兵器,2006(3)：35-39.

[16] 蔡年生.常规潜艇AIP系统研究概况.船电技术,1994(3)：1-6；11.

[17] 张远,石仲堃.常规动力潜艇进排气系统的风险分析与评价.中国造船,2004，45(增刊)：331-336.

[18] 姜洪权，高建民，陈富民，等.基于复杂网络理论的流程工业系统安全性分析.西安交通大学学报，2007，41(7)：806-810.

Safety Evaluation Model of Man-Machine Interaction System

Based on the Generalized Cooperation Network

WU Jie,ZHAO Tingdi,JIAO Jian

(School of Reliability and Systems Engineering,Beihang University,Beijing 1000191,China)

Abstract:First,a new man-machine interaction network model is proposed based on complex network theory.Secondly,the safety criteria and safety criterion of the man-machine interaction complex-system are studied in the connection with the topological characteristics based on the proposed network model.At last,an example of the diesel engine startup is given to illustrate the application and applicability of the network model.The network model provides an understanding and analysis of the nature and content of the man-machine interaction complex-system from a network perspective;accordingly,the interaction of man-machine complex-system is intuitively described and the new model provides the new basis for the safety analysis and prevention efforts.

Key words:safety;complex-networks;man-machine interaction;system

(责任编辑向阳洁)