基于24Model的FRAM功能改进研究

左博睿，帅 斌，赏珂祺,黄文成,刘原恺

(1.中铁四院集团西南勘察设计有限公司，云南，昆明 650220；2.西南交通大学 综合交通运输智能化国家地方联合工程实验室, 四川 成都 611756；3.西南交通大学 系统科学与工程研究所，四川 成都 611756；4.中国电建集团昆明勘测设计研究院有限公司，云南 昆明 650051)

事故致因模型是安全科学理论主线的实际表达，其发展体现出研究者对事故认识的逐渐深入[1]。随着挑战者号航天飞机灾难、切尔诺贝利核电站事故等复杂事故的发生，学界整体意识到基于线性思维的传统事故模型难以合理解释复杂社会技术系统事故，寻求系统理论剖析事故发生机理，构建系统论事故致因模型成为当下研究的热点[2]。系统论事故模型中，基于认知工程等理论的功能共振分析方法 (functional resonance analysis method, FRAM)可有效分析复杂系统事故表现出的因素间非线性关系及聚合涌现特性，是目前应用最广的系统论事故致因模型之一[3]。

由于FRAM侧重于功能抽象而非结构分解的应用特性[4]，事故分析中构建合理的功能评估方法是FRAM风险量化研究的关键。HOLLNAGEL[5]基于认知可靠性和错误分析方法(cognitive reliability and error analysis method，CREAM)建立了通用性能条件评估表(common performance conditions，CPC)，用以定性评估功能波动状态；HIROSE等[6]基于CPC评估体系，采用Weight-CREAM法量化分析了风险状态下的上下游功能影响关系；左博睿等[7]集成模糊证据推理技术与模糊推理系统构建基于CPC评估的综合评估量化模型。MACCHI[8]指出功能异质性是FRAM的基本特征，而CPC评估体系难以体现功能异质性问题。对此HOLLNAGEL(文献[5])采用社会技术分类思想将无异质化功能划分为人员、技术、组织(human-organization-technique，MOT)功能，对应分配不同CPC条件，并指出基于特定评估体系量化评估异质性功能风险具有比较优势[9]。然而由于MOT分类依据较为模糊，以致功能划分存在较大粗略性，进而导致部分功能类型难以区分及评估体系难以契合功能实际属性，客观制约了FRAM功能量化评估发展。

鉴于此，为弥补FRAM在事故分析领域功能划分的缺陷，笔者基于行为安全科学理论的24Model对具有模糊性的功能类型进行梳理，进一步区分不同类型功能边界、重新定义组织功能内涵，建立组织功能风险评估体系及输出质量评估标准，并构建虚拟功能，以期为FRAM量化评估提供更为合理的评估框架。

1 现有FRAM功能评估评估体系

1.1 FRAM基础知识

FRAM的功能以功能六角形的形式表征，如图1所示。功能模块各角代表一项与外界耦合的端口，分别为输入(input，I)、输出(output，O)、前提(preconditions，P)、资源(resources，R)、时间(time，T)、控制(control，C)。FRAM的分析步骤通常为：①识别描述系统基本功能；②分析功能模块的潜在变化；③构建功能网络；④制定屏障措施。笔者将针对步骤①展开研究。

图1 FRAM功能模块

1.2 MOT-CPC评估

功能可变异性是FRAM功能的状态特征，事故分析中体现为功能在事故中所表现出的风险指数。FRAM起源于对人误的深刻理解，HOLLNAGEL沿用第二代人因可靠性分析(human reliability analysis, HRA)的CREAM技术建立了评估功能可变性的CPC评估体系，并提出MOT框架与CPC对应关系，如表1所示，表中“√”表示在功能评估过程中需考虑此项评估因素。

表1 CPC-MOT功能评估体系

将功能分配为MOT中任一类别是典型的泛化，是对复杂现实的抽象简化。PATRIARCA等[10]指出基于MOT分类的方法潜在含义为假设同一类型的函数具有相似可变性，不同类型功能因各自特点在可变性维度具有较大区别。在输出评估方面，深入讨论MOT功能特征、可变幅度、可变频率后,目前主要研究方向为沿用经典的时间/精度评价准则建立3个类型功能的统一的功能输出质量评估标准，如表2所示。为有效建立功能输出质量与功能风险指数的有机联系，文献[7]构建了统一的模糊信度结构，以CPC评估体系为基础，将上游功能输出评估结果纳入下游功能综合评估体系中，得到较为合理的FRAM事故量化评估方法。具体量化思路为：①赋予功能评估因素重要度权重；②建立模糊信度结构(FBS)，得到因素评价统一描述框架; ③基于二阶模糊推理系统评估功能输出；④预处理数据使之匹配至模糊信度结构中；⑤信息融合及风险测度，获得功能风险指数。

表2 功能输出评估体系

综合上述研究，基于评估体系建立FRAM的各类定性、定量评估方法的研究全面展开，一定程度理解了功能网络耦合关系及异质性区分原理。

1.3 功能划分问题分析

目前评估手段的多样化发展反映出基础评估体系的固有不足，以致部分近期文献难以采取MOT-CPC评估体系而仍采用最初的CPC功能评估体系。总结现有文献，讨论评估体系应用缺陷，明确MOT分类框架及MOT-CPC评估体系适用性不佳是由功能划分过程中存在的模糊性所导致。

MOT因素间存在着多重复杂交互，而组织因素本身更具备动态特性导致3类功能边界模糊及组织功能定义模糊。其中，基于MOT框架建立组织功能在文献[8]定义为：由人员执行、取决于组织活动的且对社会技术系统日常活动有着缓慢发展影响的组织职能。在现有事故分析中组织功能则泛指组织因素，包含且不限于上层管理人员行为决策[11]、组织资源设备提供或整体性实体单位[12]。由于组织功能定义宽泛，在应用过程中与人员功能、技术功能间存在较大模糊性，难以区分某一功能具体归属。

此外，FRAM初期分析对象为具有紧密联系特性及离散行为聚合特性的复杂系统，如航空工程等。随着应用范围的逐渐拓展，FRAM开始分析部分具有连续运行行为的复杂系统，如铁路运输及化工操作。现阶段此类系统内部连续运行过程往往附加于人员功能之上并可定性分析。然而在功能量化发展趋势下，过程风险被视为人员风险将导致部分人员功能同时具备多重属性，进而对应评估体系评估对象混淆，风险量化存在较大不足。

综上可知，目前FRAM功能评估面临的核心问题是基础性功能划分问题，现有MOT功能划分模糊性加深了FRAM量化研究的难度。笔者将借鉴基于行为安全科学理论的24Model部分思想改进功能划分，以得到更为合理的异质性功能划分框架。

2 基于行为安全科学理论的24Model

行为科学理论[13]与CREAM所代表的HRA皆起源于对行为失效的关注，目的都是减少不安全行为的发生，从而达到预防事故发生及改善安全绩效。相较于CREAM而言，行为安全理论更加系统地关注行为背后的组织机理，对事故深层组织致因挖掘更具有程序性和规范性。目前，行为安全科学研究的主要理论包含刺激反映理论、理性行为理论、心理学理论等，理论内容趋于全面，行为产生路径也更为复杂。在长期行为科学研究中，傅贵等[14]基于行为安全科学理论思想提出了24Model。24Model基于演绎框架[15]将事故致因严格区分为组织层面和个人层面，其中个人层面包含行为、物态及不良个体因素，组织层面包含安全管理体系、安全文化等不具有运行行为的组织职能。24Model的提出及完善过程明确了组织致因、人员致因的边界问题，在最新研究中更提出了过往事故模型中所包含的组织因素皆可被安全管理体系所指代的系统性观点[16]。基于上述研究，事故分析中人员及组织因素有了更清晰的区分边界，分类思想改进沿用至FRAM中对于解决FRAM功能划分模糊性问题具有重要意义。

3 FRAM功能改进

3.1 FRAM 组织功能重构

与基于行为科学理论的24Model相比，FRAM在事故分析中更加侧重于展现系统动态行为与耦合作用。基于FRAM的MOT划分思想，建立24Model两个层面、四个阶段与FRAM的对应关系，如图2所示。其中，FRAM难以表征系统更上层的抽象组织因素，如安全文化与组织指导思想，从而组织功能将具体对应于安全管理体系中的安全管理组织功能O1和安全管理程序功能O2；进一步依据24Model组织层面-个人层面边界明确组织功能与人员、技术功能边界，新边界范围内组织功能及其评估体系将区别于人员-技术功能及其CPC评估体系，更侧重于评估系统实际安全组织管理程度且不再涉及具体管理人员行为或技术资源，故分类标准更加明确，功能界限更加清晰。

图2 基于24Model的FRAM改进功能划分示意图

其中，安全管理组织功能泛指组织设立的安全管理部门，包括组织架构、安全管理人员、职责分配等；功能内容包含：①研究、组织和建立整个企业的安全管理体系和安全文化，使其能够在企业内部得到很好的实施；②审查和改进组织的安全管理体系；③做好企业各部门之间的协调工作，使各部门各司其职；④组织公司内部安全培训和安全检查。

安全管理程序功能的基础思想是将组织的安全与健康管理作为一项管理任务，任务可依据程序过程被分解为多个子任务并有着与之对应的程序制度。安全管理程序功能具体包含组织管理中涉及的程序文件的标准及施行情况。一个系统中涵盖多个程序制度，如政策程序、处理程序、接口程序和管理细则等，但每个程序制度本质上需满足安全管理程序的一般流程要求。

完成组织功能的明确划分后，需建立组织功能评估体系，现阶段对组织因素评估主要分为：基于问卷调查量化方法、风险概率分析方法和主观推理方法；FRAM建立在探索性推理基础上，现有量化研究基础也是基于主观推理完成，故为保证FRAM评估逻辑一致性，改进后的组织功能评估也将基于主观推理的方法完成。

基于上述分析、FRAM评估原理、行为安全科学理论及组织安全理论研究，提取评估两种组织功能的全面评估指标并基于德尔菲法建立对应评估体系，如表3所示。

表3 组织功能风险评估体系

组织因素自身评估条件的聚合为组织功能自身风险状态，而事故分析中对于功能输出质量评估依赖于实际观测评估。现有MOT分类将实际观测指标粗略划分为时间和精度两个维度，并以两者乘积形式粗略表达输出质量，如图3(a)所示。然而组织功能更多体现为组织职能，时间维度上往往只包含“存在-缺失”的刚性判断，并不具备实际时间上的研究价值。故进一步讨论组织功能输出评估体系，基于组织职能的影响形式，采用深化“精确”属性划分的方式，构建体现组织功能实际输出“实施力度-健全程度”的二维评估体系，如图3(b)所示。其中健全程度指组织功能对下游功能的安全职能覆盖程度，即功能是否对事故中下游功能预设了正确的规范；实施力度则指组织功能在事故中对下游功能的实际约束程度。

图3 评估体系

3.2 虚拟功能建立

明确组织-人员-技术功能边界，部分功能由于多重属性仍然难以泛化为上述MOT功能中的一种。为实现全功能的明确定义，拟构建虚拟功能对连续运行行为拆分，具有明确实质指向部分归为MOT功能，非离散连续过程如工业操作、运输过程等无实际依托的子系统整体流程采用虚拟功能表征。基于文献[7]中FRAM风险描述可知，由于虚拟功能无实质指代，故无内生可变性，风险测度依赖于外界耦合端口的信息融合，其输出评估为整体流程对下游功能影响的推理评估，虚拟功能概念图如图4所示。虚拟功能的建立是MOT分类思想的延续，在现有社会技术分类思想的基础上进一步实现了更完善的FRAM功能的异质化表达。

图4 虚拟功能示意图

4 案例探究

运用改进FRAM分析京昆高速“8·10”特别重大交通事故以验证方法可行性与有效性。事故发生于2017年8月10日，成都至洛阳的京昆高速秦岭1号隧道口，事故分析详细信息基于事故调查报告[17]。案例集中展示事故实际发生所在的“成都-安康”段，经改进FRAM共识别9个功能模块，如表4所示，系统功能网络如图5所示,其中VF为其后计算的风险指数。

表4 FRAM功能说明

图5 “成都-安康”段系统功能图

引用文献[7]所提出的FRAM量化技术，建立系统功能网络并完成功能风险评价，具体步骤为：①基于重要性评价赋予各MOT功能评估条件权重；②建立功能输出评估的2阶模糊推理系统，此处不同属性简化采取统一量化标准；③建立模糊信度结构进而计算功能风险指数，此处模糊信度结构设置与文献[7]相同。

经模糊推理计算，各功能输出质量如表5所示；基于表1评估技术-人员功能，结果如表6和表7所示；基于表3组织功能评估体系评估组织功能，结果如表8所示；基于外生耦合评估虚拟功能，结果如表9所示。综合评估结果，获得本次事故功能分类风险排序及整体风险排序结果，如表10所示。

该案例事故报告书中，将事故定义为生产责任事故，重点追责驾驶员及其挂靠的客运公司。而由功能网络风险测度可知，车站安全管理机构(F2)的设置、道路技术条件(F8)及车站发车手续审核(F3)是整体排序风险最高的功能模块，同样为MOT各类别风险性最高的功能模块。车辆出站所在城北客运公司安全管理机构与运业公司精简合并后的人员架构的严重缺失，导致F2功能风险程度极高，并基于上下游功能耦合直接对下游F4、F5产生了消极影响，是本次事故“成都-安康”段最需引起重视的功能；其次，事故发生所在秦岭一号隧道口道路设计(车道分界线不符合标准)、道路养护(照明设备未维护，车道分界限磨损，未设置防护导流设施)存在较大问题，且在多次排查中沟通失调也是导致本次事故发生的重要原因，经信息融合风险测度后F8风险指数在所有功能中风险排序次高。此外，虚拟功能指代连续运输过程，完全由上游功能产生输出外生耦合链接评估其风险指数，相较于其他功能，风险性中等靠后，可视为系统内运输子系统连续性风险的整体评估结果，并可通过对其他MOT功能的防控以降低F9的风险程度。

表5 输出质量评估

表6 人员功能M评估

表7 技术功能T评估

表8 组织功能评估

表9 虚拟功能I评估

基于事故“成都-安康”段风险测度情况，提升事故系统安全性的关键在于建立合规的车站安全管理机构并规范各项制度执行以抑制整体运输流程的可变性，降低下游功能风险程度；其次对事发路段技术条件全面整改，使其符合规范要求；最终对风险排序较高功能采用FRAM屏障措施，整体动态防控功能网络以全面提升运输安全水平。

5 结论

(1)基于24Model改进FRAM功能划分，建立新的MOT功能边界、重构组织功能及定义虚拟功能，为异质化功能的量化评估提供更加合理的分析框架及评估依据。

(2)运用改进FRAM分析“8·10”特别重大客运事故，采用模糊推理技术实现改进FRAM风险测度，研究表明改进方法能建立区分度较高的功能网络，量化结果显示组织功能中车站安全管理机构设置的缺失是本次事故风险程度最高的功能，改进方法可为FRAM事故分析量化评估手段提供进一步的技术支持。

(3)未来研究中可针对不同领域进一步建立具有行业异质性的组织功能评估体系，并基于技术设备评估模型探讨改进现有技术功能评估体系。此外，建立含有多阶段的功能网络，寻求虚拟功能在功能量化评估中更多的潜在实际价值也是重要的研究方向。