本文转载自公众号思睿咨询
1950年,美国Sandia实验室的Heman Williams和Purdy Meigs在对复杂武器系统的可行性研究中首次提出人因可靠性分析(HRA, Human Reliability Analysis)的概念,HRA是针对复杂系统中的“人”进行分析的主要工具,本文主要介绍HRA的发展背景、发展过程、意义及其运用。
1 基本概念
人因可靠度是指在规定的最小时间限度内(如果规定有时间要求),在系统运行中的任一要求阶段,由人成功完成任务或工作的概率。早期定义HRA的目的就是通过某种手段来获取这个概率值。这种定义将人与普通的物理部件等量齐观,与传统的可靠性分析手段基本雷同(系统(如电子设备等)的失效率不受应用场景的影响)(第一代时期及之前)。
1994年,Kirwan提出HRA的主要目标在于正确评估由于人为差错导致的风险和寻求降低人为差错影响的方式。在实际应用中,找出人因可靠度并不是最终的目标,最终目标应该是寻找导致人因可靠性退化的诱因,并有针对性的加以控制。因此,对人因可靠性的分析就转向了人为差错的分析,具体过程可以分为差错辨识、差错频率确定和差错规避措施设计三个阶段。人为差错的主要诱因可以分为以下五类:
(1)训练水平
(2)任务本质
(3)人机交互界面质量
(4)环境因素
(5)任务执行时间
人因可靠性分析的基本流程如图1所示。
图1 人因可靠性分析的基本流程
2 国外HRC发展历程
人因可靠性分析方法依据其特点可分为三代,第一代人因可靠性分析方法出现在20世纪80年代,是HRA发展的黄金时期。如SLIM-MAUD(Success Likelihood Index Method-Multi-AttributeUtility Decomposition)方法、HCR(Human Cognitive Reliability)方法、OAT(Operator Action Tree)和HEART(Human Error Assessment and Reduction Technique)方法等。基本上可以分为“任务决定论”(THERP和HEART)和“时间决定论”(HCR、OAT)两类。
第一代方法主要工作包括人的可靠性数据收集与分析以及人的失误率统计与预测,主要特点是着重利用结构化建模和数学计算等方式追求“精确”的分析结果,认知科学发展水平低,没有考虑人的认知(仅考虑了认知框架),几乎所有的第一代HRA方法都认为人可以同其他物理部件等量齐观,采用二叉树逻辑来描述人的行为(成功或失败)。
第二代人因可靠性分析方法出现在20世纪90年代之后,最典型的有ATHEANA(A Technique for Human Event Analysis)和CREAM(Cognitive Reliability and Error Analysis Method)。
ATHEANA方法是由美国核能管理委员会USNRC提出来的,该方法认为绝大部分的人为差错事件HFE(Human Failure Event)是由系统自身条件和PSF相结合共同影响造成的,统称为差错诱发环境EFC(Error-Forcing Context)。EFC可能导致非安全动作UA(Unsafe Action),UA最终将导致HFE。ATHEANA方法将认知过程分为由“监测—环境感知—计划—实现”四个阶段构成的回路,任一阶段出现差错,都可能导致UA。
CREAM方法是由Erik Hollnagel于1998年正式提出的,其核心思想为人的性能并不是孤立的随机行为,而是依赖于完成任务时所处的环境。CREAM采用情景依赖控制模型COCOM(Contextual Control Model)作为认知模型基础。在该模型中,认知功能分为观察(Observation)、解释(Interpretation)、计划(Planning)和执行(Execution)四类,认知控制模式也分为混乱的(Scrambled)、机会的(Opportunistic)、战术的(Tactica1)和战略的(Strategic)。可进行事故根原因的查找和事故概率的定量计算。
相对于第一代HRA方法,认为任务所处的环境条件才是人为差错的决定因素。不再是任务决定论。在分析过程中建立了人的认知过程模型,试图从认知方面着手,通过分析环境条件、操作员本身和设备自身状态等人为差错诱因,来描述人为差错产生机理。实际上是与任务相对应的认知功能决定了可靠度。
第三代人因可靠性分析方法出现在20世纪90年代以后,最具代表性且应用最广泛的是1994年由美国马里兰大学的Chang和Mosleh等提出的IDAC(Information, Decision, Action in Crew context)方法。
IDCA全称为“信息-决策-行为”响应模型,该方法用于评估核电站控制室中决策者、操作员和咨询师安全处理某事件的能力。其动态特性主要体现在考虑系统操作人员与外界(例如系统本身、环境和其他班组成员)进行动态的交互,并且把这种动态特性融入到认知模型IDAC当中,而非类似第二代HRA仅对某一特定的静态场景进行分析。IDCA的动态响应过程如图2所示。
图2 IDCA的动态响应过程原理图
信息输入到IDAC模型后用于模拟班组成员对事故场景的响应,即在人员决策点进行动态响应的模拟分析,调整与PSFs(Performance Shape Factors)相关的故障情景,完成考虑人机交互影响的可靠性分析。
第三代HRA方法在第二代HRA模型的基础上增加了预测模型和实验证明,既对人进行分析,同时也对人所在的环境进行了分析。以仿真为主要技术手段,以动态场景中的人为差错为主要研究对象,突破了第二代以静态场景为分析背景的限制。
在复杂系统中,人机交互中人的因素越来越突出,人因分析方法运用广泛,成效显著。1975年,美国原子能委员会在对核电站进行的概率安全评价(Probability Safety Assessment, PAS)中,采用THERP方法,完成了世界上首份核电站的PSA报告(MASH-1400报告,美国著名核电厂风险分析报告),首次提出了在概率安全评价中包含人因可靠性分析。美国核能管理委员会在对三哩岛事故、切尔诺贝利事故的分析中,采用CREAM方法对事故的原因、发展进程和人误事件进行了定性和定量分析。用追溯发法追其原因,应用人误概率定量分析方法计算人误概率。美国BNL实验室和SNL实验室在实际电厂中研究人的失误机理、电场条件(状态)、人的行为形成因子,以及人的不安全动作如何导致电厂的安全性下降的人因事件分析中,采用ATHEANA方法识别在事故条件下重要的人机交互作用的特征行为和它们的可能后果,找出了可能发生的最重要的、严重的事故序列,在人误原因探查的基础上提供了改进人的绩效的建议与措施。在对英国核电站以及高风险企业的概率安全分析中,英国原子能机构等采用了HEART方法,为了使其更适合核电厂的PAS分析,英国专家对该方法进行了改进,结合最新的核电厂运行数据,并将该方法命名为NARA。
3 国内HRC发展现状
国内对HRA的相关研究始于20世纪80年代中后期,起步相对较晚,但由于HRA在航天、航空、航海、核电、轨道交通等相关领域有着广泛的应用,且应用成效显著,HRA得到了众多研究学者的关注,主要研究机构有清华大学、北京航空航天大学、北京科技大学、南华大学等。例如,清华大学在与秦山核电站的项目合作中,运用不同的认知类型、异常事件对多名操作者进行了模拟试验,修正了HCR方法中与人的特性相关的HRA参数;北京航空航天大学的学者在航空领域开展了考虑人因可靠性的舰载机着舰过程建模与仿真、考虑人为差错的发动机维修质量分析等研究;南华大学的学者以核电厂、反应堆系统为对象,对大规模复杂人机系统中人员可靠性模型、人因事件/事故分析与预防,人因可靠性中的组织因素等进行了深入研究。
4 小结
在技术高速发展的今天及未来,人作为管理者和监控者,人的因素在整个系统的运行中起到决定性的作用,通过有效的分析来减少人的失误在系统的可靠性工作中是极其重要的一环。从三代人因可靠性分析方法的发展和运用情况可以看出,探索如何在任务中监控、分析人的认知过程,总结人的失误机理,是可靠性领域人的追求目标,也将带动可靠性领域的一大进步。
纵观国内外航天、核电站、化工厂的重大灾难事故,由人因引起的占一半以上,人因是导致严重事故发生的主要原因。航天系统作为大量高新技术的集合体,其结构极其复杂,内部包含大量的接插件等需要人员手动装配的接口,接口连接存在着较大的出现差错的可能性,这些接口在设计、制造、装配、检验、检查、测试等过程中的工作质量很大程度上受人因的影响。因此,如何考虑人因可靠性对整个系统质量的影响,以及如何有效控制相关人员的活动来避免差错事件的发生是亟待解决的问题。
长按二维码识别关注我们