一种基于多阶段人机系统的可靠性建模分析方法与流程

本发明提供一种基于多阶段人机系统的可靠性建模分析方法，注重于解决完善多阶段系统可靠性分析过程只考虑系统内的硬件设备而忽略人操作因素的影响，从而使多阶段人机系统的可靠性建模分析更加符合实际情况，属于可靠性设计与人因工程的交叉技术领域。

背景技术：

多阶段系统是由多个截然不同的阶段组成，各个阶段的性能及可靠性都是不同的。由于早期对多阶段系统的可靠性分析主要是仿真方法，处理方式主要是用数值方法，并没加入人的主观能动因素，但系统是人机一体共同实现规定功能的过程，人本身又具备不同于设备的阶段内和跨阶段特性，而且人的行为既会影响设备的可靠性也会受到设备可靠性的影响，所以对多阶段系统加入人的因素进行分析便显得尤为必要。

关于人机系统的可靠性研究较少，但一些学者也进行了相关研究。中国的雷永林，朱一凡等人针对于复杂人机系统分析中的难题，利用模拟仿真，结合模型驱动方法研究了复杂人机系统的建模问题。中国的李创起，景国勋等人通过将事故树方法引入人机系统设计可靠性分析中，最终找出了一些影响人机系统可靠性的主要因素。捷克的mhavlikova，mjirgl等人分析了人机系统内人的可靠性评估，研究在一个系统内，人的因素有着重要作用并且可能会导致安全灾难，提出人因可靠性定量分析方法。中国的和挪威的ji-minlu，xiao-yuewu等人改进了传统bdd(binarydecisiondiagram，二元决策图)方法在解决大型多阶段系统时遇到的组合爆炸和存储问题。但是关于人机系统的研究中大多都只是将人作为一个可修复的硬件设备进行简单处理，并没有充分考虑人的认知特性。

如果能够在可靠性分析过程中将人的因素考虑进去，从而使多阶段人机系统的可靠性分析尽可能符合实际情况，那么将会大大完善现阶段多阶段人机系统可靠性分析工作的不足，提高分析的科学性及合理性，并扩大其应用范围。本发明便是鉴于此在已有研究的基础上，从两点特性出发进行建模分析：一是根据人的认知多阶段特性，由机的阶段特性推出人的阶段代数运算法则；二是结合阶段划分后时间压力下对人的影响，以此展开人机交互建模并进行分析。

(一)

技术实现要素：

(1)目的：本发明针对人的认知多阶段特性及阶段划分后时间压力对人的影响，提出了一种基于多阶段人机系统的可靠性建模分析方法，从而使人机交互系统的可靠性分析更加科学、更加符合实际情况。

(2)技术方案：

本发明是一种基于多阶段人机系统的可靠性建模分析方法，该方法包括如下几个步骤：

步骤一：提出建模分析假设；

步骤二：描述人机系统多阶段特性；

步骤三：绘制多阶段人机系统故障树；

步骤四：绘制单阶段bdd图(即二元决策图)；

步骤五：绘制多阶段人机系统bdd图；

步骤六：计算多阶段人机系统各状态概率值。

其中，步骤一所述的“提出建模分析假设”，其目的就是给后面分析整个多阶段人机系统奠定前提，同时也让多阶段人机系统的状态得到了一定简化，其具体实施步骤又细分如下：

步骤1)人机交互影响的假设：

依据多阶段人机系统的研究，我们需要对人和机器设备进行一定的假设，其目的是为了让系统的可靠性建模分析有一定的研究条件；

步骤2)人机交互过程的假设：

由于人认知的特殊性和人的主观能动性，需要对人机交互系统的结果进行情况分类，其目的就是为了让人机交互系统的结果分析中加入人的自我修复能力，从而能更好地贴近实际情况。

其中，步骤二所述的“描述人机系统多阶段特性”，其目的是为了在可靠性分析过程中加入由于人的特殊性所带来对人机交互过程的多阶段影响，从而让人机交互过程更加地贴近实际，并更好地进行分析多阶段人机系统的可靠性分析；其具体实施分析内容需要包括阶段内、阶段跳转和阶段之间的依赖以及机与环对人的阶段影响。

其中，步骤三所述的“绘制多阶段人机系统故障树”，其目的是为了更加清晰的表达多阶段人机系统的故障类型，同时也能更好地检查帮助是否有情况的遗漏和重复，同时也为后面bdd图绘制顺序提供了思路。

其中，步骤四所述的“绘制单阶段bdd图(即二元决策图)”，其目的是先对单个阶段单个人机交互过程进行分析，画出单个阶段的最优bdd图并为整个系统的bdd图的绘制简化减少工作量，具体实施过程需要根据人与机的阶段代数运算规则。

其中，步骤五所述的“绘制多阶段人机系统bdd图”，其目的是为了清楚的描述整个多阶段人机系统的发生故障和正常工作情形，也为统计系统可靠的情形提供了路线，具体实施过程需要依照ite(if-then-else)格式所描述的人、机的前后依赖关系对整个系统bdd进行剪枝合并，从而优化绘制的bdd图。

其中，步骤六所述的“计算多阶段人机系统各状态概率值”，其目的是为了得出多阶段人机系统的可靠性建模分析结果，同时也是本发明创作的意义所在；其具体实施过程包括：

步骤1)根据绘制的人机多阶段系统的bdd图，得到各状态的概率计算公式；

步骤2)输入各阶段故障概率和人误概率值，代入各状态的概率计算公式中，得到各状态的概率值；

步骤3)根据hcr模型(humancognitivereliability，人的认知可靠性模型)，得出时间压力下各阶段各状态下的概率计算公式；

步骤4)输入各阶段历时时间参数值及hcr模型参数值，得到时间压力下各状态的最终概率值。

综上所述，本发明所述方法共分为六大步骤，步骤一提出前提假设是基础，步骤二描述人机系统多阶段特性是需要，步骤三多阶段人机系统故障树是开始，步骤四绘制单阶段bdd图是过程，步骤五绘制人机多阶段系统bdd是关键，步骤六计算多阶段人机系统各状态概率值是结果，六个步骤层层递进、环环相扣，缺一不可，共同构成了本发明的全部分析过程；通过以上步骤的实施，解决了多阶段人机交互系统可靠性建模分析过程中未考虑人的阶段特性问题，达到了更好反映多阶段人机系统可靠性的动态交互分析效果。

(3)本发明的优点及功效：

本发明综合考虑了由于人的特殊性所带来的人机交互过程中的阶段特性，从而使多阶段人机系统的可靠性分析更加贴合实际情况，也更具工程实际意义；

本发明在根据机的阶段代数运算规则及机的阶段依赖关系，推导得出人的阶段代数运算规则及人的阶段依赖关系，是一个创新点，具有开拓意义；

本发明根据hcr模型加入时间压力下人误的概率计算，从而使整个多阶段人机系统的分析更加人性化、也更具合理科学性。

(二)附图说明：

图1本发明纯硬件系统图。

图2本发明人机系统图。

图3本发明人机交互影响图。

图4本发明直升机坠毁故障树。

图5本发明所述方法流程图。

图6情景一下的单一阶段bdd图。

图7情景一下的人机多阶段系统bdd图。

图8系统两阶段构型图。

图9情景二下的单一阶段bdd图。

图10情景二下的人机多阶段系统bdd图。

图中符号说明：

图1、图2、图3方块中的a、b、c代表机器设备；

图3中横线上的i、ii、iii、iv代表四条路径；

图3方块中的a代表已考虑有人影响下的设备；

图4故障树中的a表示的是设备，b表示的是人；

图6，图7，图9，图10中节点编号的含义是为：a\b表示的是机\人，第一个数字表示的是设备或人操作的编号，第二个数字表示的是阶段的编号，比如a11表示的就是第一阶段内的1号设备；

图6，图7，图9，图10中线上的数字1代表设备为失能状态，0代表设备为正常状态，方框1代表系统为故障状态，0代表系统为正常状态。

(三)具体实施方式：

本发明一种基于多阶段人机系统的可靠性建模分析方法，见图5所示，其具体实施方式如下：

步骤一：提出建模分析假设假设

步骤1)：人机交互影响的假设：

由于人的特殊性及复杂性，真正做到把人全方位考虑进去是不可能的，所以为了简化分析过程以及提高分析过程的效率，需要对人机交互影响作出一定的假设

1)人是无责任人，只有设备故障才会诱发人的应对失误；

2)不会出现多个设备同时故障，并且在人应对某故障过程中，没有其他设备发生故障；

3)设备故障服从指数分布；

4)任务过程中设备故障不可修复。

步骤2)人机交互过程的假设：

1)设备正常，人也正常，此时人机交互后的状态结果为正常状态；

2)设备故障，此时人若沉着冷静，正确应对，则人机交互后的状态为失能状态，设备不可以工作；

3)设备故障，此时若人应对不暇，紧张不安，则人会做出一些错误的应对措施，此时设备是否导致严重后果，取决于该设备的人机交互危害度。

纯硬件系统图、人机系统图及人机交互影响图详见图1、图2和图3.所示；

步骤3)多状态多阶段人机系统故障安全性分析的假设：

1)系统内的设备之间是相互独立的，一个设备故障不会引发另一个设备的故障；

2)系统的构型会随着阶段的转变而转变，不同阶段中，系统的构型不同；

3)系统内设备存在阶段依赖性，就是设备的状态与前一个阶段中的状态相关。

步骤二：描述人机系统多阶段特性：

多阶段系统具有跨阶段特性，阶段之间的性能会相互影响，只有所有阶段任务都完成后，整个任务才算成功。人机多阶段任务系统除了具备多阶段任务系统的通用特性外，由于人的特殊性，也具备一些其他的硬件设备构成的多阶段任务系统所不具备的特性。

a：阶段内

1)机与人之间的交互关系：

人机系统的构成比传统系统的构成复杂，人与机之间不像硬件系统通过串并联体现相关性。设备状态(故障/正常)通过信息层被人感知，经人的认知过程，做出决策(错误/正确)。若是正确决策，可能在一些情况下(可修复)可以改变设备状态(故障被修复)；若是错误决策，发生的人误可能会造成新的设备故障。设备与人之间发生的事多轮的交互认知迭代过程。

2)环境与人之间的交互关系

多阶段任务系统中可能会遇到极端恶劣环境导致部件的失效率骤增，当分析的对象为人机多阶段任务系统时，恶劣天气不仅会影响设备性能，还会影响人的状态从而导致人误概率的变化。除了自然环境的影响，还有任务环境，任务环境对人影响较大的是多阶段划分后，存在任务时间节点限制，剩余时间对设备的可靠性没有影响，但是对人的可靠性有着影响。

b：阶段跳转

多阶段任务系统有明确的任务划分，各个阶段之间明确的跳转关系。由于人的主观能动性，人在执行任务时，可以在任务跳转时做出选择，比如飞行任务过程中遇到一个严重的故障，此时飞行员可以根据当前情景做出决策，是执行原任务，还是就近着陆，抑或是迫降。

c：阶段之间的依赖

多阶段任务系统一个明显的特征就是阶段之间的依赖，设备故障在各个阶段状态变化有两种情况。若是不可修复部件，则设备状态只有正常到故障；若是可修复部件，那么设备状态还可以由故障到正常。考虑人的多阶段特性，人的认知多阶段特性体现在前一个阶段意识到(正常)，那么后一个阶段人一定也是意识到问题(正常)，前一个未意识到(故障)，那么后一个阶段不一定，可以看出，人的状态跳变和设备是不一样的。

步骤三：绘制多阶段人机系统故障树：

现假定分析的系统为飞机下降任务，在该任务过程中又按照时间顺序将其划分成两个阶段，分别是安全高度前出现异常导致坠毁和安全高度后出现异常导致坠毁。该坠毁事故主要是由于人未建立正确的高度情景意识。在安全高度之上人可以通过高度计和塔台获取高度信息，在安全高度下人可以通过高度计、塔台和近地警告获取高度情景意识。该过程的故障树模型如下，其中a均表示的是设备,b表示的是人，其故障树的绘制见图4所示；

步骤四：绘制单阶段bdd图：

首先用变量a和b分别代表多阶段系统中的机和人，以机a{a1,a2,...ak}为例分别代表各个阶段中的机的状态，以人b{b1,b2,...bk}为例分别代表各个阶段中人的状态，其中i＜j＜＝k。

1)机的原理：以下原理成立的条件是a代表的是不可修复设备

原理1：事件“a在第i阶段内正常工作并且a在第j阶段内正常工作”等价于事件“a在第j阶段内正常工作”。

原理2：事件“a在第i阶段内失效并且a在第j阶段内失效”等价于事件“a在第i阶段内失效”。

原理3：事件“a在第i阶段内失效，并且a在第j阶段正常”是不可能事件。

2)人的原理

原理1：事件“b在第i阶段内正常工作并且b在第j阶段内正常工作”等价于事件“b在第i阶段内正常工作”。b正常代表人能够建立正确的情景意识，能够意识到当前的情景环境，b失效代表人未能够建立正确的情景意识，不能意识到当前的情景环境。如果人在某个阶段内能够意识当前的情景，做出正确决策，那么在接下来的阶段内，人也能够意识到该情景。

原理2：事件“b在第i阶段内失效并且b在第j阶段内失效”等价于事件“b在第j阶段内失效”。如果人在某个阶段内没有针对该情景环境建立正确的意识，没有意识到需要执行的决策，那么他在之前的阶段内也没有意识到该问题。

原理3：事件“b在第i阶段内正常，并且b在第j阶段失效”是不可能事件。人在前一个阶段意识到问题，在下一个阶段意识不到该问题时相互矛盾的，是不可能事件。

上述对人和机的原理表示均可以用阶段代数的方式表示，具体如下所示：

表1阶段代数运算规则

上述针对机的规则已经被证明，针对人的认知特性而提出的规则证明如下：

由于bi＝b1·b2…bi

则bi·bj＝(b1·b2…bi)·(b1·b2…bj)＝b1·b2…bj＝bj

表示事件“b在第i阶段内失效并且b在第j阶段内失效”等价于事件“b在第j阶段内失效”。

同理可得

表示事件“b在第i阶段内正常工作并且b在第j阶段内正常工作”等价于事件“b在第i阶段内正常工作”。

表示事件“b在第i阶段内正常，并且b在第j阶段失效”是不可能事件。

按照上面分析的人和机的阶段运算规则，将故障树模型转化为bdd，绘制出各个阶段的bdd图，见图6、图9.所示；

步骤五：绘制多阶段人机系统bdd图：

阶段代数的运算关系不同于通常逻辑运算关系，阶段依赖性运算主要依赖于变量的顺序，向前依赖和向后依赖，根据人的特性，结合机的前后向依赖，得出人的依赖关系如下：

现假定i<j，组件a和人b在i和j均参与任务，使用ite格式表示如下：

1)组件的依赖关系：

g＝ite(ai,g1,g2)

h＝ite(aj,h1,h2)

前向阶段依赖运算

ite[ai,g1,g2]◇ite[aj,h1,h2]＝ite[ai,g1◇h1,g2◇h]

后向阶段依赖运算

ite[ai,g1,g2]◇ite[aj,h1,h2]＝ite[aj,g◇h1,g2◇h2]

2)人的依赖关系：

g＝ite(bi,g1,g2)

h＝ite(bj,h1,h2)

前向阶段依赖运算：

ite[bi,g1,g2]◇ite[bj,h1,h2]＝ite[bi,g1◇h,g2◇h2]

后向阶段依赖运算：

ite[bi,g1,g2]◇ite[bj,h1,h2]＝ite[bj,g1◇h1,g◇h2]

式中g＝ite(ai,g1,g2)表示若ai发生，则g取g1，否则g取g2。

按照前向阶段依赖性运算将阶段一和阶段二进行合并，需要注意，人运用人的前向阶段依赖性运算规则，机运用及的前向阶段依赖性运算规则。合并以后，按照一定的惠泽进行剪枝，最终的人机系统多阶段bdd图见图7，图10所示；

步骤六：计算多阶段人机系统各状态概率值：

步骤1)根据绘制的人机多阶段系统的bdd图，得各状态的概率计算公式

p(1)＝(p{a11＝1}+p{a11＝0}·p{b11＝1})·

(p{a21＝1}+p{a21＝0}·p{b21＝1}+p{a21＝0}·p{b21＝0}·p{a22＝1}·p{a32＝1})+

p{a11＝0}·p{b11＝0}·p{a12＝1}·(p{a22＝0}·p{b22＝1}+p{a22＝1})·p{a32＝1}

p(0)＝(p{a11＝1}+p{a11＝0}·p{b11＝1})·p{a21＝0}·p{b21＝0}·(p{a22＝0}+p{a22＝1}·p{a32＝0})+

(p{a11＝0}·p{b11＝0})·(p{a12＝0}+p{a12＝1}·p{a22＝0}·p{b22＝0}+p{a12＝1}·p{a22＝1}·p{a32＝0})

步骤2)输入各阶段故障概率和人误概率值，代入各状态的概率计算公式中，得到各状态的概率值；假定设备故障率和人误概率如下表：

表2各阶段故障概率与人误概率表

代入数值之后，计算得到最终的人机多阶段系统的可靠度为0.91692，不可靠度为0.08308。

步骤3)根据hcr模型，得出时间压力下各阶段各状态下的概率计算公式；

根据图3所示为人机交互后的三种后果，且这三种后果出现的概率和为1。其中有两点说明：

1)设备故障后人能够正确应对的概率，依据hcr模型中的概念，与故障发生时刻与剩余任务总时间相关，即可用时间相关；

2)设备故障后，人也错误应对该故障，但是此时是否会导致灾难性的后果与设备相关，对于发动机这类等级很高的设备发生故障，对人的心理造成巨大的压力，发生灾难性后果的可能性非常高；相反地，机舱内照明设备等发生故障即便人错误应对，造成灾难性后果的可能性也很低，所以需要对设备故障后的两种状态结合故障设备的类型做出一定的修正。

综合上诉的分析，我们可以计算出设备在经过人机交互过程后，各种状态出现的概率值。分析如下：

在t时刻

图3中人机之间有四种交互状态，最终导致三种后果状态。用a,b,c,d代表四条路径，用1，2，3代表分别代表正常、失能和灾难状态。

由此可得人机交互后各状态的概率值为：

其中：

p(1)、p(2)、p(3)分别代表状态为正常、失能和灾难的概率；

α,β,γ,t1/2由hcr模型得到；

λ表示的是设备的故障率函数，假设设备故障服从指数分布，得该故障率为常数；

p’表示人机交互危害度，用于修正不同设备故障所导致后果的严重程度衡量。

hcr模型考虑人的失误与时间相关性，该模型认为允许操作员进行响应的时间以及操作员平均所需要的响应时间之比决定了人误的概率。具体的数学表达式如下：

式中：

p(t)：在给定允许操作时间内操作员不能正确响应的概率

t1/2：操作员完成某项操作所需时间的估计中值：

t：允许操作员完成某项操作的时间，起点定为硬件设备的异常发生

α,β,γ：与人认知过程有关的修正系数，是由不同的行为类型所决定

其中：t1/2是操作员完成确定任务所需要的时间，一般通过在模拟机上通过模拟操作确定，然后经过专家判断，操作员调查研究进行修正。

t1/2＝t1/2·(1+k1)(1+k2)(1+k3)

式中，k1,k2,k3为修正因子，其数值可通过表3、表4进行查取。

表3参数α、β、γ选取表

表4hcr模型的行为形成因子和相关的系数

根据图10，得出各个状态概率的计算公式如下。

p(1)＝p{a1＝0}·p{b1＝0}·p{a2＝0}·(p{b2＝0}+p{b2＝1})

+p{a1＝0}·p{b1＝0}·p{a2＝1}·p{b2＝0}

p(2)＝p{a1＝1}·(p{b1＝1}+p{b1＝0})+p{a1＝0}·p{b1＝1}

+p{a1＝0}·p{b1＝0}·p{a2＝1}·p{b2＝1}

p(3)＝1-p(1)-p(2)

步骤4)输入各阶段历时时间参数值及hcr模型参数值，得到时间压力下各状态的最终概率值。

假设分析的案例为一个两阶段系统，其系统构型见图8所示，该系统有两个设备构成，在第一阶段为并联，第二阶段为串联，考虑人机系统存在三种状态，并且三种状态之间存在一个互斥关系，故障状态和正常状态均需要建立在安全的基础上，即非灾难状态。故在计算过程中，在考虑灾难状态下计算出相应的故障和正常状态，然后通过三种状态之和为1，计算出灾难状态。根据系统的构型可以得到系统在各个阶段的bdd模型，见图9所示；其中线上的数字1代表设备为失能状态，0代表设备为正常状态，方框1代表系统为故障状态，0代表系统为正常状态。

现在假定第一阶段历时1·10^-2h,第二阶段历时2.5·10^-2h。a和b中具体的参数值见表6，根据表5选定危害度p’的值为0.8。

表5危害度值

表6参数表

将数据输入上述各状态计算公式中，可以计算出各个阶段内的人机系统处于各种状态的值，具体结果见下表7。

表7系统状态值