人机环耦合系统事故模型生成方法、装置和设备与流程

本申请涉及航天航空技术领域，特别是涉及一种人机环耦合系统事故模型生成方法、装置和设备。

背景技术：

伴随着大量复杂的人机系统的设计及应用，国内外研究表明，人的失误在各类人机系统事故的事故致因中所占的比例呈现主要地位，尤其是20世纪90年代以后，人的失误诱发的高科技事故的比例已经超过了90％。因此，对设备进行安全性分析时需将与设备相关的人以及所处的环境考虑进去，进行人机环耦合系统的安全性分析。

人机环耦合是研究人、机器、环境以及人与机器和环境之间的相互影响。有人航空器是典型的人机环耦合系统，对人机环耦合系统中的不安全因素进行传播与控制事故分析，需要首先识别出该系统中的不安全性因素；然后研究不安全因素是如何传播从而导致危害的，即事故的表达方式；最后研究针对不安全因素的控制措施，阻止其传播。如果能从事故中识别出更全面的危险因素，则能对当前型号的安全改进和后续型号的安全设计提供预防性指导。

在实现过程中，发明人发现传统技术中至少存在如下问题：传统的事故分析技术和相关的事故模型的可应用性不强。

技术实现要素：

基于此，有必要针对传统的事故分析技术和相关的事故模型的可应用性不强的问题，提供一种人机环耦合系统事故模型生成方法、装置和设备。

为了实现上述目的，一方面，本申请实施例提供了一种人机环耦合系统事故模型生成方法，包括：

根据事故的事故过程，从行为模块库里调取对应的行为模块；行为模块库包括人员行为模块库、飞行器行为模块库和环境行为模块库；

根据事故的事故原因，从不安全因素库中调取对应的不安全因素模块；

按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型；事故过程直接模型包括人员区域、飞行器区域和环境区域；其中，从人员行为模块库调取到的行为模块设于人员区域，从飞行器行为模块库调取到的行为模块设于飞行器区域，从环境行为模块库调取到的行为模块设于环境区域；

根据事故的调查分析结果，从诱因库中调取对应的诱因模块；诱因库包括人员状态诱因库、不安全监督库和组织因素库；

将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型，并输出人机环耦合系统事故模型；人机环耦合系统事故模型包括人员状态区域、不安全监督区域和组织影响区域；其中，从人员状态诱因库调取到的诱因模块设于人员状态区域，从不安全监督库调取到的诱因模块设于不安全监督区域，从组织因素库调取到的诱因模块设于组织影响区域。

在其中一个实施例中，按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型的步骤包括：

按照事故过程，为各行为模块和各不安全因素模块赋予对应的时序值；

依据各时序值将各行为模块和各不安全因素模块进行连接，生成事故过程直接模型。

在其中一个实施例中，人员区域、飞行器区域和环境区域为彼此相邻的扇形区域；

将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型的步骤包括：

建立各诱因模块与对应的行为模块的连接关系。

在其中一个实施例中，输出人机环耦合系统事故模型的步骤包括以下步骤中的至少一种：

展示人机环耦合系统事故模型；

向打印设备发送打印指令；打印指令用于指示打印设备打印出人机环耦合系统事故模型；

将人机环耦合系统事故模型上传至服务器。

在其中一个实施例中，人员行为模块库包含以下行为模块中的任意一项和任意组合：

检查人员检查飞行器整体状态；检查人员检查发动机固定情况；检查人员检查舵机和舵面固定情况；检查人员检查电源连接情况；检查人员检查所有线缆连接情况；操纵手检查发动机运行情况；操纵手检查舵面偏转情况；操纵手检查信号接收情况；操纵手检查电源电量；操纵手检查地面滑跑情况；操纵手控制油门杆；操纵手控制操纵杆；

飞行器行为模块库包含以下行为模块中的任意一项和任意组合：

飞行器整体结构牢固；飞行器整体气动性能良好；飞行器低速滑跑；飞行器高速滑跑；飞行器抬前轮；飞行器离地爬升；发动机固定牢固；发动机正常运行；升降舵固定牢固；常规方向舵固定牢固；副翼固定牢固；阻力方向舵固定牢固；升降舵偏转正常；常规方向舵偏转正常；副翼偏转正常；阻力方向舵偏转正常；电源固定牢固；电源正负连接正确；电源电量充足；供电线缆连接正常；信号线缆连接正常；机械连杆连接正常；各线缆连杆间无相互影响；

环境行为模块库包含以下行为模块中的任意一项和任意组合：

气温情况；风力情况；降雪情况；下雨情况；冰雹情况；闪电情况；能见度情况；最高障碍物高度；跑道长度。

在其中一个实施例中，不安全因素库包含以下行为模块中的任意一项和任意组合：

未检查；检查了，但不正确；检查顺序不对，导致有危险未被发现；检查提前结束导致有危险未被发现；检查持续太久导致过度检查；检查了但未发现舵面偏转反向；检查持续太久导致舵面疲劳、磨损；飞行器未离地爬升；飞行器离地但未按预期方式爬升；飞行器持续爬升无法平飞；发动机无法正常启动运行；发动机异常运行导致推力损失或丧失；发动机延迟响应；发动机提前丧失推力；发动机无法及时停车；信号线缆未被连接；信号线缆已连接但接反，导致危害；信号线缆连接顺序错误导致部分功能失效；信号线缆提前断路，信号提前丧失；信号线缆无法断开拔出，影响下次飞行；未测量风力情况；测量但得到错误的风力；飞行器已起飞才开始测量风力；未持续关注测量风力，且风力突然变化；未测量跑道长度；测量但得到错误的跑道长度；飞行器已起飞才开始测量跑道长度。

在其中一个实施例中，人员状态诱因库包含以下诱因模块中的任意一项或任意组合：

失去情景意识；应激自满；自负；警惕性低；任务饱和；不惜一切代价到达目的地；精神疲劳；生理节律紊乱；注意范围狭窄；精力不集中；生病；缺氧；身体疲劳；极度兴奋；运动伤病；视觉局限；信息过量；处理复杂情景的经验不足；体能不适应；缺乏飞行所需才能；缺乏感官信息输入；

不安全监督库包含以下诱因模块中的任意一项或任意组合：

没有提供适当培训；没有提供专业指导/监督；没有提供当前出版物/足够的技术数据以及程序；没有提供足够的休息间隙；缺乏责任感；被察觉没有威信；没有追踪资格；没有追踪效能；没有提供操作原则；任务过重/监督；没有受过培训；丧失监督的情景意识；机组搭配不当；没有提供足够的简令时间/监督；风险大于收益；没有为机组提供足够的休息机会；任务/工作负荷过量；没有纠正不适当的行为/发现危险行为；没有纠正安全危险事件；没有纠正行动；没有汇报不安全趋势；授权不合格的机组驾驶飞行器；没有执行规章制度；违规的程序；授权不必要的冒险；监督者故意不尊重权威；提供的文件证据不充分；提供的文件证据不真实；

组织因素库包含以下诱因模块中的任意一项或任意组合：

选拔；人员安置/人员配备；培训；背景调查；过度削减成本；缺少基金；装备/设施资源；性能差的飞行器/飞行器驾驶舱设计；采购了不合格的装备；没有纠正已知的设计缺陷；行政管理系统；信息沟通；监督者的亲和力/吸引力授权；行动的正式责任；晋升；解雇，留职；药物和酒精；事故调查；标准和规章；组织习惯；价值观，信念，态度；动机；配额；时间压力；进度表；绩效标准；明确定义的目标；程序/程序指南；制定安全计划/风险管理计划；管理的监视和检查资源、氛围与过程以确保工作环境安全。

另一方面，本申请实施例还提供了一种人机环耦合系统事故模型生成装置，包括：

行为模块调取单元，用于根据事故的事故过程，从行为模块库里调取对应的行为模块；行为模块库包括人员行为模块库、飞行器行为模块库和环境行为模块库；

不安全因素模块调取单元，用于根据事故的事故原因，从不安全因素库中调取对应的不安全因素模块；

事故过程直接模型生成单元，用于按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型；事故过程直接模型包括人员区域、飞行器区域和环境区域；其中，从人员行为模块库调取到的行为模块设于人员区域，从飞行器行为模块库调取到的行为模块设于飞行器区域，从环境行为模块库调取到的行为模块设于环境区域；

诱因模块调取单元，用于根据事故的调查分析结果，从诱因库中调取对应的诱因模块；诱因库包括人员状态诱因库、不安全监督库和组织因素库；

人机环耦合系统事故模型生成单元，用于将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型，并输出人机环耦合系统事故模型；人机环耦合系统事故模型包括人员状态区域、不安全监督区域和组织影响区域；其中，从人员状态诱因库调取到的诱因模块设于人员状态区域，从不安全监督库调取到的诱因模块设于不安全监督区域，从组织因素库调取到的诱因模块设于组织影响区域。

在其中一个实施例中，提供了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述的人机环耦合系统事故模型生成方法。

在其中一个实施例中，提供了一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述的人机环耦合系统事故模型生成方法。

上述技术方案中的一个技术方案具有如下优点和有益效果：

根据事故过程涉及的行为模块，以及事故原因对应的不安全因素模块生成事故过程直接模型，并进一步将调查分析结果对应的诱因模块加入到事故过程直接模型中，从而生成并输出人机环耦合系统事故模型。该模型能直观描述人-机-环因素之间的交互关系和界面，以反应链形式展示事故的发生和传播过程；并且，可依据此模型开展安全性分析，得到事故背后的隐藏不安全因素，可应用性强。即使是缺乏经验的相关人员也能对事故开展深层次的分析，并形成直观的事故模型，为事故分析后的危险缓解措施制定提供依据。分析结果可为同类型飞行器提供经验和具体措施，在早期有针对性的来培训飞行员等，从而提高人员的安全操作和危险处置能力，减少人为失误导致的事故，提高有人航空器的安全性水平。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1为一个实施例中人机环耦合系统事故模型生成方法的第一示意性流程图；

图2为一个实施例中人机环耦合系统事故模型生成方法的第二示意性流程图；

图3为一个实施例中事故过程直接模型的第一示意图；

图4为一个实施例中人机环耦合系统事故模型的第一示意图；

图5为一个实施例中的任务流程图；

图6为一个实施例中事故过程直接模型的第二示意图；

图7为一个实施例中人机环耦合系统事故模型的第二示意图；

图8为一个实施例中人机环耦合系统事故模型生成装置的结构示意图；

图9为一个实施例中计算机设备的示意图。

具体实施方式

为了便于理解本申请，下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的首选实施例。但是，本申请可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本申请的公开内容更加透彻全面。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请。本文所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。

传统的事故分析技术和相关的事故模型包括：

(1)fta(faulttreeanalysis，故障树分析)是一种图形工具，采用演绎性的不安全因素识别方法，描述系统中各种事件之间的因果关系，形象地进行不安全因素分析工作。fta是一种自上而下的系统评价程序，分析人员从一个不希望的顶层危险事件开始，在下一个可能产生该事件的较低层次上，系统性地确定所有单个故障以及失效组合。分析向下展开，相继通过较低一层的设计层次，直到揭示出初级事件为止或直到满足该顶层危险事件要求为止。fta可以让人们知道哪些事件的组合可以导致危及系统安全的故障，并计算他们的发生概率，然后通过设计改进和有效的故障监测、维修等措施，设法减小他们的发生概率。fta是安全系统工程的主要分析方法之一，在航空和航天的设计、维修，原子反应堆、大型设备以及大型电子计算机系统中得到了广泛的应用。fta的事故预防方法是靠打破事故链来防止事故发生，长期的事故经验表明该方法仅适用于分析由于硬件系统的失效而引起的不安全事件，无法分析包含人为因素不安全事件。fta方法无法充分分析人机环耦合系统的不安全因素。

(2)hfacs(humanfactorsanalysisandclassificationsystem，人因分析分类系统)是对航空事故中的人为因素分析建立的一个系统、科学的分类学体系，该体系是从美国海军上千次事故/事故征候中分析提炼得到的因素种类，之后内容再不断更新扩展。现有的hfacs分类系统覆盖“操作人员的不安全行为”、“不安全行为的前提条件”、“不安全监督”和“组织影响”四大层级，包含上百种具体的不安全人为因素。由于hfacs覆盖度广且从实际事故中归纳提炼形成，因而具有较好的实用性和可靠性，目前已在空军、民航和通用航空等领域也得到广泛应用。hfacs是进行人因分析的优秀工具，但人机环耦合的不安全因素识别不仅仅只包含人为因素，还有系统本身的故障、环境因素、以及人机环的耦合因素等需要考虑，hfacs无法全面分析人机环耦合系统的不安全因素。

(3)stamp(system-theoreticaccidentmodelandprocesses，基于系统理论的事故过程模型)由两条基本的层级化控制结构：系统开发和系统运行以及二者之间的交互关系构成。基于stamp模型，导致系统事故的过程应被理解为“系统开发和运行控制回路中的约束被违反”。基于所建立的stamp事故模型，发展出了stpa(system-theoreticprocessanalysis，系统理论过程分析)方法。通过为系统辨识危险并将其传递到顶层系统安全性约束中，形成一个评估过程。此后，定义基本的控制结构，通过框图的形式表述系统组件、控制与反馈的路径。采用该控制结构作为指导执行分析，各个控制行为都要经过潜在危险性评估，辨识不足的控制行为，改进系统的安全性约束。最后，分析者确定这些潜在的具有危险性的控制行为是如何发生的。如果控制不足，应提供附加的缓解措施建议。stamp事故模型及stpa方法主要关注人和机器两者之间的相互影响，无法对环境以及人机环耦合效应进行分析。且在对具体事故的复杂、交互演化过程进行建模时可应用性不强。

传统的事故分析技术和相关的事故模型，往往只关注人机环系统事故中的直接因素而忽略深层次的组织因素，或在对具体事故的复杂、交互演化过程进行建模时可应用性不强，无法直观清晰的表达出事故发展过程及导致事故发生的直接原因和深层次组织原因。因此，急需一种图形化的复合事故模型及相关分析方法，能形象地表达各种事件之间的因果关系、人-机-环交互不当及事故演化过程，且同时能直观的表达出导致事故的直接原因和深层级组织管理缺陷，能对当前型号的安全改进和后续型号的安全设计提供预防性指导。

在一个实施例中，提供了一种人机环耦合系统事故模型生成方法，如图1所示，包括：

步骤s110，根据事故的事故过程，从行为模块库里调取对应的行为模块；行为模块库包括人员行为模块库、飞行器行为模块库和环境行为模块库。

具体而言，获取事故的事故过程，根据事故过程包含的行为，从行为模块库里确认对应的行为模块并进行调取。其中，事故过程涉及的行为可包括人员检查行为、人员操纵行为、飞行器状态、飞行器动作、天气情况以及环境情况等。相应地，行为模块库包括人员行为模块库、飞行器行为模块库和环境行为模块库。人员行为模块库可包含人员检查行为、人员操纵行为等模块；飞行器行为模块库可包含飞行器状态、飞行器动作等模块；环境行为模块库可包含天气情况以及环境情况等模块。应该注意的是，根据事故过程从行为模块库里调取行为模块的过程可通过以下方式实现：识别事故过程数据中的代码确认对应的行为模块；识别事故过程数据中的关键词来确认对应的行为模块；根据外部的选择指令确认对应的行为模块。即，从行为模块库中确认事故过程涉及的行为模块的方式有多种，此处不做具体限定。

步骤s120，根据事故的事故原因，从不安全因素库中调取对应的不安全因素模块。

具体而言，获取事故的事故原因，根据事故原因包含的因素，从不安全因素库里确认对应的不安全因素模块并进行调取。其中，事故原因涉及的行为可包括人员错误、系统响应、系统缺陷、环境状态和环境变化等。具体地，系统缺陷可为系统在任务开始前本身存在的不安全因素；系统响应可为任务执行过程中由其他因素导致的不安全因素；环境状态可为当前环境情况的描述；环境变化可为当前环境较前一时刻的变化情况。示例性地，不安全因素可包括以下四类：(1)未能提供所需控制行为，导致危害；(2)提供了行为但不正确，导致危害；(3)错误的行为时序，导致危害；(4)行为终止过早或持续过久。相应地，不安全因素库可包括人员错误因素、系统响应因素、系统缺陷因素、环境状态因素和环境变化因素等模块。应该注意的是，根据事故原因从不安全因素库里调取不安全因素模块的过程可通过以下方式实现：识别事故原因数据中的代码确认对应的不安全因素模块；识别事故原因数据中的关键词来确认对应的不安全因素模块；根据外部的选择指令确认对应的不安全因素模块。即，从不安全因素库中确认事故原因涉及的不安全因素模块的方式有多种，此处不做具体限定。

步骤s130，按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型；事故过程直接模型包括人员区域、飞行器区域和环境区域；其中，从人员行为模块库调取到的行为模块设于人员区域，从飞行器行为模块库调取到的行为模块设于飞行器区域，从环境行为模块库调取到的行为模块设于环境区域。

具体而言，在调取到对应的行为模块和不安全因素模块后，可基于事故过程的时间顺序对各模块进行连接，以形成事故过程直接模型。事故过程直接模型划分有人员区域、飞行器区域和环境区域，各行为模块设于对应的区域中。基于此，事故过程可通过行为模块的顺序连接进行展示；同时，不安全因素模块也参与行为模块的顺序连接，以直观地展示事故原因及发生时间；并且，行为模块设于对应的区域中，便于事故中具体行为的归纳，提高模型的可应用性。进一步地，不安全因素模块也可设于对应的区域，以直观展示事故原因归属于人机环中的哪个对象。

步骤s140，根据事故的调查分析结果，从诱因库中调取对应的诱因模块；诱因库包括人员状态诱因库、不安全监督库和组织因素库。

具体而言，获取事故的调查分析结果，根据调查分析结果包含的诱因，从诱因库里确认对应的诱因模块并进行调取。其中，调查分析结果涉及的诱因可包括人员状态、不安全监督和组织因素等；诱因库包含引发人员错误的诱因模块。相应地，诱因库包括人员状态诱因库、不安全监督库和组织因素库。人员状态诱因模块库可包含精神状态差、生理状态差、身体/能力局限等模块；不安全监督库可包含监督不充分、运行计划不适当、没有纠正问题、监督违规等模块；组织因素库可包含资源管理、组织氛围、组织过程等模块。应该注意的是，根据调查分析结果从诱因库里调取诱因模块的过程可通过以下方式实现：识别调查分析结果中的代码确认对应的诱因模块；识别调查分析结果中的关键词来确认对应的诱因模块；根据外部的选择指令确认对应的诱因模块。即，从诱因库中确认调查分析结果涉及的诱因模块的方式有多种，此处不做具体限定。

步骤s150，将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型，并输出人机环耦合系统事故模型；人机环耦合系统事故模型包括人员状态区域、不安全监督区域和组织影响区域；其中，从人员状态诱因库调取到的诱因模块设于人员状态区域，从不安全监督库调取到的诱因模块设于不安全监督区域，从组织因素库调取到的诱因模块设于组织影响区域。

具体而言，在事故过程直接模型的基础上加入提取到的诱因模块，从而生成人机环耦合系统事故模型。具体地，人机环耦合系统事故模型包括事故过程直接模型、人员状态区域、不安全监督区域和组织影响区域；各诱因模块设于对应的区域中。应该注意的是，将诱因模块加入事故过程直接模型的过程可通过以下方式实现：识别诱因模块关联的行为模块；识别诱因模块关联的不安全因素模块；根据外部的关联指令确认诱因模块的连接关系；将诱因模块设置于对应的区域。即，将诱因模块加入事故过程直接模型的方式有多种，此处不做具体限定。基于此，人机环耦合系统事故模型可直观展示事故发展过程、事故原因的出现节点以及产生人员错误的诱因，可应用性强。输出人机环耦合系统事故模型的方式包括但不限于显示、打印、存储和发送给终端。

需要说明的是，本申请实施例提供的模型中，人员因素定义为在飞行器运行中，能够对飞行器/飞行状态产生直接影响的个人的集合，一般包括驾驶员、地面维护人员、空中交通管理员等。飞行器因素定义为能够诱发事故的飞行器系统状态，一般包括机械部件、硬件和软件。导致飞行器因素不安全状态的可能原因包括设计缺陷、系统故障导致的失效、环境影响和维护错误等。环境因素包含飞行器运行环境(如天气、高度、地形等)、内部环境(如振动、照明、温度、有毒物质等)、运动环境(如大过载、大姿态角飞行等)等。

本申请实施例可应用于有人航空器等典型人机环耦合系统的事故分析。使用本申请实施例的人机环耦合系统事故模型生成方法，能够将潜在危险融入事故过程直接模型，形成人机环耦合系统事故模型。该图形化与分类学结合的事故模型能直观的展示事故的发生和演化过程，且清晰的展示出了事故背后深层次的隐藏不安全因素。使用本申请实施例的人机环耦合系统事故模型，即使是缺乏经验的相关人员也能对事故开展深层次的分析，并形成直观的事故模型，为事故分析后的危险缓解措施制定提供依据。

在一个示例中，针对实际事故建模的输入可为事故调查信息。从事故后果开始，按时间逆序递推，建立反应链，直到事故初始事件。对事故直接过程建模首先关注事故中的不安全因素，以系统化的方式对事故中的不安全因素进行尽量完备地建模。

在一个实施例中，如图2所示，按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型的步骤包括：

步骤s132，按照事故过程，为各行为模块和各不安全因素模块赋予对应的时序值；

步骤s136，依据各时序值将各行为模块和各不安全因素模块进行连接，生成事故过程直接模型。

具体而言，根据事故过程为各行为模块赋予时序值的过程可通过以下方式实现：识别事故过程数据中的代码确认模块对应的时序；根据外部的设置指令确认模块对应的时序等，此处不做具体限定。根据时序值来对各模块进行连接，进而生成事故过程直接模型，可直观地展示事故的发展流程。

在一个实施例中，人员区域、飞行器区域和环境区域为彼此相邻的扇形区域。

示例性地，可如图3所示，描述了不安全的人、机、环因素导致事故发生的直接过程。具体地，事故存在于人、机、环之间交互的不利过程，这种不利交互即是人、机、环中任意两者之间的短时间、快速反应。首先，将直接过程中的主要事件定义为对事故演化有关键影响的人员、航空器或环境的重要状态或反应，包含起始事件、事故后果、以及人员决策或飞机/环境对其触发事件做出的反应。一个人/机/环对象的反应可由多个事件触发，同时一个事件也可能触发多个对象的反应。这些反应可由反应链来表达，而整个事故直接过程则由一个螺旋形反应网络来描述，反应链可用箭头线表示。反应网络的起始事件定义为事故直接过程中，严重偏离正常状态或导致事故直接过程中第一个异常的人员、系统或环境的初始行为或状态。除事故的实际后果外，反应网络中的事件还可能导致其它后果，这些后果在此次事故中虽未显性表现，但可能引起其它潜在风险，对这些潜在后果也应在模型中进行分析。

除上述反应模式外，一个反应链的发生过程中还存在其它重要模式。从航空事故中识别出两种模式：人员状态和反应前提。其中：人员状态，指航空活动中个人的关键特征，如个人心理和生理状态、个性、训练相关因素等，可用虚线框表示；反应前提，指本应该阻止、却未能阻止反应链发生的，其他个人的行为或系统的响应，可用单竖线表示。两种模式在建模中应有所区别。由于人员状态和反应前提均与反应过程紧密耦合，因而将这二者均放置在事故直接过程层级，而非另设独立层级。此外，反应中的时间延迟可能造成反应网络的不稳定，也应在模型中给予考虑，可用双竖线表示。

除上述实际危险因素外，事故分析中，对新的安全改进需求也有必要从事故过程中进行识别。主要指当前事故中未涉及，但在未来安全改进中能被用来切断反应链的干预措施。对安全改进措施的识别，既可从系统设计角度来进行，也可从操作程序角度来进行。由此，可建立人机环交互过程的事故过程直接模型。

进一步地，构建一个混合层级框架，其中包含的组织层级不安全特性有：不安全因素诱因、不安全监管、组织影响。将此框架融合到人机环交互过程的事故过程直接模型，形成人机环耦合系统事故模型，如图4所示。

在一个实施例中，将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型的步骤包括：

建立各诱因模块与对应的行为模块的连接关系。

具体而言，在将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型的过程中，可将诱因模块与对应的行为模块建立连接关系。

在一个实施例中，输出人机环耦合系统事故模型的步骤包括以下步骤中的至少一种：

展示人机环耦合系统事故模型；

向打印设备发送打印指令；打印指令用于指示打印设备打印出人机环耦合系统事故模型；

将人机环耦合系统事故模型上传至服务器。

在一个实施例中，人员行为模块库包含以下行为模块中的任意一项和任意组合：

检查人员检查飞行器整体状态；检查人员检查发动机固定情况；检查人员检查舵机和舵面固定情况；检查人员检查电源连接情况；检查人员检查所有线缆连接情况；操纵手检查发动机运行情况；操纵手检查舵面偏转情况；操纵手检查信号接收情况；操纵手检查电源电量；操纵手检查地面滑跑情况；操纵手控制油门杆；操纵手控制操纵杆。

在一个实施例中，飞行器行为模块库包含以下行为模块中的任意一项和任意组合：

飞行器整体结构牢固；飞行器整体气动性能良好；飞行器低速滑跑；飞行器高速滑跑；飞行器抬前轮；飞行器离地爬升；发动机固定牢固；发动机正常运行；升降舵固定牢固；常规方向舵固定牢固；副翼固定牢固；阻力方向舵固定牢固；升降舵偏转正常；常规方向舵偏转正常；副翼偏转正常；阻力方向舵偏转正常；电源固定牢固；电源正负连接正确；电源电量充足；供电线缆连接正常；信号线缆连接正常；机械连杆连接正常；各线缆连杆间无相互影响。

在一个实施例中，环境行为模块库包含以下行为模块中的任意一项和任意组合：

气温情况；风力情况；降雪情况；下雨情况；冰雹情况；闪电情况；能见度情况；最高障碍物高度；跑道长度。

在一个实施例中，不安全因素库包含以下行为模块中的任意一项和任意组合：

未检查；检查了，但不正确；检查顺序不对，导致有危险未被发现；检查提前结束导致有危险未被发现；检查持续太久导致过度检查；检查了但未发现舵面偏转反向；检查持续太久导致舵面疲劳、磨损；飞行器未离地爬升；飞行器离地但未按预期方式爬升；飞行器持续爬升无法平飞；发动机无法正常启动运行；发动机异常运行导致推力损失或丧失；发动机延迟响应；发动机提前丧失推力；发动机无法及时停车；信号线缆未被连接；信号线缆已连接但接反，导致危害；信号线缆连接顺序错误导致部分功能失效；信号线缆提前断路，信号提前丧失；信号线缆无法断开拔出，影响下次飞行；未测量风力情况；测量但得到错误的风力；飞行器已起飞才开始测量风力；未持续关注测量风力，且风力突然变化；未测量跑道长度；测量但得到错误的跑道长度；飞行器已起飞才开始测量跑道长度。

在一个实施例中，人员状态诱因库包含以下诱因模块中的任意一项或任意组合：

失去情景意识；应激自满；自负；警惕性低；任务饱和；不惜一切代价到达目的地；精神疲劳；生理节律紊乱；注意范围狭窄；精力不集中；生病；缺氧；身体疲劳；极度兴奋；运动伤病；视觉局限；信息过量；处理复杂情景的经验不足；体能不适应；缺乏飞行所需才能；缺乏感官信息输入。

在一个实施例中，不安全监督库包含以下诱因模块中的任意一项或任意组合：

没有提供适当培训；没有提供专业指导/监督；没有提供当前出版物/足够的技术数据以及程序；没有提供足够的休息间隙；缺乏责任感；被察觉没有威信；没有追踪资格；没有追踪效能；没有提供操作原则；任务过重/监督；没有受过培训；丧失监督的情景意识；机组搭配不当；没有提供足够的简令时间/监督；风险大于收益；没有为机组提供足够的休息机会；任务/工作负荷过量；没有纠正不适当的行为/发现危险行为；没有纠正安全危险事件；没有纠正行动；没有汇报不安全趋势；授权不合格的机组驾驶飞行器；没有执行规章制度；违规的程序；授权不必要的冒险；监督者故意不尊重权威；提供的文件证据不充分；提供的文件证据不真实。

在一个实施例中，组织因素库包含以下诱因模块中的任意一项或任意组合：

选拔；人员安置/人员配备；培训；背景调查；过度削减成本；缺少基金；装备/设施资源；性能差的飞行器/飞行器驾驶舱设计；采购了不合格的装备；没有纠正已知的设计缺陷；行政管理系统；信息沟通；监督者的亲和力/吸引力授权；行动的正式责任；晋升；解雇，留职；药物和酒精；事故调查；标准和规章；组织习惯；价值观，信念，态度；动机；配额；时间压力；进度表；绩效标准；明确定义的目标；程序/程序指南；制定安全计划/风险管理计划；管理的监视和检查资源、氛围与过程以确保工作环境安全。

在一个实施例中，针对预期飞行任务，收集完成预期任务所需的所有相关人、机、环信息(正常的飞行试验都会有详细的任务规划文件等，由此可提炼收集到确切的预期任务信息)，并可采用流程图方式进行描述，以保证对任务的客观描述。

依据任务信息流程图，建立相应的人员、飞行器和环境行为模块库，可存储在存储介质中，以便在后续分析中被自动调用。进一步地，可对每一个行为模块，建立其对应的不安全因素模块，并将不安全因素模块存入不安全因素库中。不安全因素模块库可存储在存储介质中，以便后续分析中被自动调用。

针对人员不安全因素，继续分析导致人员错误的诱因、不安全监督、组织因素。建立人员状态诱因库、不安全监督库和组织因素库，并可存储在存储介质中，以便后续分析中被自动调用。

收集尽可能详细的真实事故过程描述，依据事故过程描述，从人员、飞行器和环境行为模块库和对应的不安全因素模块库中调用相关模块，并为每个模块赋予一个对应的时序值ti(i≥0)，i值越小表示时序越靠前，i值相同的几个模块同时发生，同一模块有多个ti，则表示此模块会在不同时间段发生。设置以下自动建模规则，自动生成人机环交互过程的事故过程直接模型。

自动建模规则：(1)将环境状态、环境变化、人员反应、系统响应用反应链连接，构成主事故过程链，连接顺序依据时序ti由前到后。

(2)在模型中，人员反应在“人”扇形区域，系统响应在“机”扇形区域，环境状态、环境变化在“环”扇形区域，可根据实际分析对象给人、机、环相应命名。

(3)人员错误、系统缺陷是主事故链中不安全因素模块的反应前提，是导致主事故链中不安全因素模块发生的原因，作为主事故过程链的附加信息补充进“人机环交互过程的事故过程直接模型”。

调查事故过程模型中人员不安全因素的诱因、不安全监督、组织因素，分析本次事故的潜在危险因素。将以上信息融入事故过程直接模型，形成人机环耦合系统事故模型。该图形化与分类学结合的事故模型能直观的展示事故的发生和演化过程，使用本发明创造的人机环耦合系统事故模型和分析方法，即使是缺乏经验的相关人员也能对事故开展深层次的分析，并形成直观的事故模型，为事故分析后的危险缓解措施制定提供依据。

在一个示例中，以某次无人机起飞事故为例；首先是预期飞行任务信息收集，由任务规划文件等确定预期任务流程图，如图5所示。收集真实事故过程详细描述：x无人试验机在2009年2月的一次常规飞行测试中，起飞离地后遭遇左侧发动机失效，并伴随有方向舵操作效能剧减，最终失控坠毁在跑道附近。

事故过程：检查人员检查相关项目，操纵手检查相关项目，操纵手控制油门杆，发动机启动，飞机低速滑跑然后高速滑跑，操纵手保持控制油门杆，发动机正常运行，操纵手同时控制操纵杆，升降舵偏转，飞机抬前轮，飞机离地开始爬升，但此时左侧发动机停车，飞机未按预期方式平稳爬升，而是急剧向左偏航，操纵手控制操纵杆，希望由方向舵偏转产生效能来抵消发动机失效造成的偏航力矩，进而尝试操纵飞机返场应急着陆，但阻力方向舵反接，两个反接的阻力方向舵极大的抵消了常规方向舵的操纵效能，导致总的航向操纵效能降低到不足以克服推力不对称偏航力矩的程度，飞机对操纵指令无响应，失控坠毁。

事故原因：调查发现，发动机失效的原因是检查人员在飞行前未检查发动机风扇是否紧固；操纵手将发动机开到1/3最大推力来检查发动机状态并认为发动机状态正常，再一次漏查该失效状态。方向舵操纵效能的剧减是由于两侧阻力方向舵的信号线反接而导致的，同样是检查人员未发现该错误，此外，在飞行前检查中，操纵手仅检查了各方向舵的可用性，而未对阻力方向舵偏转的正确性进行检查。

事故涉及的人、机、环模块和不安全因素模块如表1所示，为每个模块赋予一个对应的时序值ti(i≥0)，i值越小表示时序越靠前，i值相同的几个模块同时发生，同一模块有多个ti表示此模块会在不同时间段发生。

表1

依据自动建模规则：自动建立人机环交互过程的事故过程直接模型，如图6所示。在常规的事故调查后，对检查人员状态、操纵手状态、监督情况、组织因素等进行了调查分析，依据调查结果，从人员状态诱因库、不安全监督库和组织因素库中自动选择本次事故的相关因素，如表2所示。

表2

将以上潜在危险融入事故过程直接模型，形成人机环耦合系统事故模型，如图7所示。该图形化与分类学结合的事故模型能直观的展示事故的发生和演化过程，且清晰的展示出了事故背后深层次的隐藏不安全因素。

应该理解的是，虽然图1和2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1和2中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，提供了一种人机环耦合系统事故模型生成装置，如图8所示，包括：

行为模块调取单元，用于根据事故的事故过程，从行为模块库里调取对应的行为模块；行为模块库包括人员行为模块库、飞行器行为模块库和环境行为模块库；

不安全因素模块调取单元，用于根据事故的事故原因，从不安全因素库中调取对应的不安全因素模块；

事故过程直接模型生成单元，用于按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型；事故过程直接模型包括人员区域、飞行器区域和环境区域；其中，从人员行为模块库调取到的行为模块设于人员区域，从飞行器行为模块库调取到的行为模块设于飞行器区域，从环境行为模块库调取到的行为模块设于环境区域；

诱因模块调取单元，用于根据事故的调查分析结果，从诱因库中调取对应的诱因模块；诱因库包括人员状态诱因库、不安全监督库和组织因素库；

人机环耦合系统事故模型生成单元，用于将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型，并输出人机环耦合系统事故模型；人机环耦合系统事故模型包括人员状态区域、不安全监督区域和组织影响区域；其中，从人员状态诱因库调取到的诱因模块设于人员状态区域，从不安全监督库调取到的诱因模块设于不安全监督区域，从组织因素库调取到的诱因模块设于组织影响区域。

在一个实施例中，事故过程直接模型生成单元包括：

时序赋予单元，用于按照事故过程，为各行为模块和各不安全因素模块赋予对应的时序值。

模块连接单元，用于依据各时序值将各行为模块和各不安全因素模块进行连接，生成事故过程直接模型。

在一个实施例中，人机环耦合系统事故模型生成单元包括：

连接建立单元，用于建立各诱因模块与对应的行为模块的连接关系。

在一个实施例中，人机环耦合系统事故模型生成单元还包括以下单元中的至少一种：

展示单元，用于展示人机环耦合系统事故模型。

打印单元，用于向打印设备发送打印指令；打印指令用于指示打印设备打印出人机环耦合系统事故模型。

上传单元，用于将人机环耦合系统事故模型上传至服务器。

关于人机环耦合系统事故模型生成装置的具体限定可以参见上文中对于人机环耦合系统事故模型生成方法的限定，在此不再赘述。上述人机环耦合系统事故模型生成装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wi-fi、运营商网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种人机环耦合系统事故模型生成方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图9中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

根据事故的事故过程，从行为模块库里调取对应的行为模块；行为模块库包括人员行为模块库、飞行器行为模块库和环境行为模块库；

根据事故的事故原因，从不安全因素库中调取对应的不安全因素模块；

按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型；事故过程直接模型包括人员区域、飞行器区域和环境区域；其中，从人员行为模块库调取到的行为模块设于人员区域，从飞行器行为模块库调取到的行为模块设于飞行器区域，从环境行为模块库调取到的行为模块设于环境区域；

根据事故的调查分析结果，从诱因库中调取对应的诱因模块；诱因库包括人员状态诱因库、不安全监督库和组织因素库；

将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型，并输出人机环耦合系统事故模型；人机环耦合系统事故模型包括人员状态区域、不安全监督区域和组织影响区域；其中，从人员状态诱因库调取到的诱因模块设于人员状态区域，从不安全监督库调取到的诱因模块设于不安全监督区域，从组织因素库调取到的诱因模块设于组织影响区域。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

根据事故的事故过程，从行为模块库里调取对应的行为模块；行为模块库包括人员行为模块库、飞行器行为模块库和环境行为模块库；

根据事故的事故原因，从不安全因素库中调取对应的不安全因素模块；

按照事故过程，对各行为模块和各不安全因素模块进行连接，生成事故过程直接模型；事故过程直接模型包括人员区域、飞行器区域和环境区域；其中，从人员行为模块库调取到的行为模块设于人员区域，从飞行器行为模块库调取到的行为模块设于飞行器区域，从环境行为模块库调取到的行为模块设于环境区域；

根据事故的调查分析结果，从诱因库中调取对应的诱因模块；诱因库包括人员状态诱因库、不安全监督库和组织因素库；

将各诱因模块加入事故过程直接模型中，生成人机环耦合系统事故模型，并输出人机环耦合系统事故模型；人机环耦合系统事故模型包括人员状态区域、不安全监督区域和组织影响区域；其中，从人员状态诱因库调取到的诱因模块设于人员状态区域，从不安全监督库调取到的诱因模块设于不安全监督区域，从组织因素库调取到的诱因模块设于组织影响区域。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-onlymemory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(randomaccessmemory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(staticrandomaccessmemory，sram)或动态随机存取存储器(dynamicrandomaccessmemory，dram)等。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。