胡劍波，李 俊，鄭 磊，邢曉波

（空軍工程大學(xué)裝備管理與無(wú)人機(jī)工程學(xué)院，西安 710051）

0 引言

以信息技術(shù)和信息集成為主要特征的現(xiàn)代高科技快速發(fā)展，給人們帶來(lái)自動(dòng)化、信息化、便捷化的現(xiàn)代實(shí)用系統(tǒng)，同時(shí)也給復(fù)雜系統(tǒng)的設(shè)計(jì)、開發(fā)和運(yùn)行提出了嚴(yán)峻挑戰(zhàn)。這些復(fù)雜系統(tǒng)的安全性要求更高、安全影響因素更多、安全因素之間的關(guān)聯(lián)性更強(qiáng)，尤其在系統(tǒng)交聯(lián)、信息融合、人機(jī)結(jié)合、軟硬件結(jié)合等方面引起的系統(tǒng)性風(fēng)險(xiǎn)愈加突出。為此，人們必須在設(shè)計(jì)、開發(fā)和使用等環(huán)節(jié)牢固樹立系統(tǒng)安全觀念，使新技術(shù)在帶給人們幸福生活和各種便捷的同時(shí)，遠(yuǎn)離因系統(tǒng)性原因而引發(fā)的事故。

事實(shí)上，計(jì)算機(jī)、軟件等高新技術(shù)的飛速發(fā)展帶來(lái)了事故特征、模式的深刻改變，出現(xiàn)了許多新的事故類型。許多新型系統(tǒng)的事故并不是因?yàn)橄到y(tǒng)組件的故障，而是因?yàn)榉枪收辖M件之間的不安全相互作用所致，尤其表現(xiàn)為系統(tǒng)交聯(lián)不良、系統(tǒng)組件之間非期望相互作用、系統(tǒng)能力不及等非故障因素。這種現(xiàn)狀迫使人們重新考慮那些基于可靠性理論、概率論和統(tǒng)計(jì)分析等數(shù)學(xué)方法基礎(chǔ)上的傳統(tǒng)安全性分析方法，也充分暴露了那些建立在線性事件鏈、故障率、線性獨(dú)立性等假設(shè)基礎(chǔ)上的傳統(tǒng)事故模型的局限性。同時(shí)可以發(fā)現(xiàn)，這些傳統(tǒng)事故模型的各種假設(shè)，不但違背了復(fù)雜系統(tǒng)相互關(guān)聯(lián)的本質(zhì)屬性，而且不能如實(shí)反映系統(tǒng)運(yùn)行所依據(jù)的上下文信息，包括歷史背景、當(dāng)前態(tài)勢(shì)及目標(biāo)任務(wù)，以及難以描述復(fù)雜系統(tǒng)多輸入、多輸出、非線性、有記憶等根本特征。正如文獻(xiàn)［1］中所描述的那樣，對(duì)于復(fù)雜系統(tǒng)的安全性問(wèn)題，需要充分考慮組件故障、組建不良交聯(lián)、軟件需求分析不充分、組件性能變化共振以及人為和組織差錯(cuò)等帶來(lái)的影響或后果。

首先，現(xiàn)有方法在分析復(fù)雜系統(tǒng)方面存在著局限性。安全工程的現(xiàn)有方法十分適合于防止諸如組件故障等簡(jiǎn)單的事故原因，但難以識(shí)別諸如有缺陷的需求等其他復(fù)雜的事故原因。事實(shí)上，大多數(shù)流行方法是基于預(yù)定方式錯(cuò)誤行為的組件模型或者故障模式的，但這些模型并不適合于復(fù)雜系統(tǒng)及人為和組織差錯(cuò)。安全工程活動(dòng)常常在系統(tǒng)開發(fā)過(guò)程的后階段才開展，此時(shí)已經(jīng)有相當(dāng)詳細(xì)的設(shè)計(jì)用于安全性分析，但這一方法恰恰限制了可采用的解決方案，而且可能引起設(shè)計(jì)更改，實(shí)施起來(lái)代價(jià)極其昂貴。盡管人們已經(jīng)努力采用傳統(tǒng)方法來(lái)分析復(fù)雜的人為任務(wù)或者軟件模型，但這些方法只將人員或軟件當(dāng)作特殊的系統(tǒng)組件，而沒(méi)有從系統(tǒng)角度提出整個(gè)安全性的集成觀點(diǎn)。事實(shí)上，安全性是一種與系統(tǒng)中多個(gè)組件之間相互作用行為相關(guān)的涌現(xiàn)特性。換言之，安全性是一種系統(tǒng)特性，它只在系統(tǒng)組件集成的環(huán)境中涌現(xiàn)。例如，軟件就是由物理實(shí)現(xiàn)抽象出來(lái)的一種想法，其本身不可能是安全或者不安全的，軟件只有通過(guò)影響相關(guān)組件的行為才會(huì)引發(fā)事故。應(yīng)該看到，許多事故并不是由于單個(gè)組件故障引起的，而是由于系統(tǒng)內(nèi)部的多個(gè)運(yùn)行組件之間相互作用的復(fù)雜過(guò)程所引起的。不幸的是，盡管可以用多種分析方法用于單個(gè)組件分析，但幾乎沒(méi)有可用于分析整個(gè)系統(tǒng)復(fù)雜關(guān)系以及軟件、硬件和人為組件之間相互作用的綜合方法。

其次，軟件錯(cuò)誤給安全工程技術(shù)帶來(lái)了巨大挑戰(zhàn)。在過(guò)去，大多數(shù)事故可被追溯到系統(tǒng)中的不可靠組件或者突發(fā)性故障。幸運(yùn)的是，現(xiàn)有安全工程技術(shù)在阻止因?yàn)榻M件故障引起的事故上已經(jīng)十分有效，然而現(xiàn)有大多數(shù)事故并非因?yàn)榻M件故障引發(fā)的，而是由于按設(shè)計(jì)運(yùn)行時(shí)所碰到的各種復(fù)雜情況和組件之間的不期望相互作用。這一現(xiàn)象在軟件組件中尤其突出，因?yàn)楹枚嗍鹿适怯捎谲浖?zhí)行了有缺陷的程序和指令。但是現(xiàn)有系統(tǒng)越來(lái)越依賴于軟件，軟件的集成度越來(lái)越高，軟件之間的關(guān)聯(lián)性越來(lái)越強(qiáng)，也使軟件成為系統(tǒng)安全的關(guān)鍵所在。為此，軟件錯(cuò)誤已經(jīng)成為安全工程技術(shù)必須面對(duì)的首要任務(wù)之一。

再次，人為和組織差錯(cuò)也給安全工程技術(shù)帶來(lái)了巨大挑戰(zhàn)。軟件的廣泛使用同樣改變著人機(jī)交互和操作員的行為，使人為和組織差錯(cuò)具有了新的特點(diǎn)。在過(guò)去，操作員通常根據(jù)簡(jiǎn)單和具體的指令來(lái)直接執(zhí)行任務(wù)?，F(xiàn)在，越來(lái)越多的系統(tǒng)開始采用自動(dòng)化技術(shù)，旨在減少操作員的勞動(dòng)強(qiáng)度和縮減人力資源。只要能采用自動(dòng)化的任務(wù)，就會(huì)采用自動(dòng)化的方式來(lái)完成。這樣，操作員不得不承擔(dān)起另一種更為重要的角色，即監(jiān)督這些先進(jìn)的計(jì)算機(jī)系統(tǒng)，并執(zhí)行自動(dòng)化難以實(shí)現(xiàn)的復(fù)雜操作任務(wù)，如故障診斷、在線維護(hù)等。這勢(shì)必極大地增加了人機(jī)交互的耦合度，人為和組織差錯(cuò)不再僅僅受類似于失效或者分心等那些瑣碎問(wèn)題的支配，而受整個(gè)復(fù)雜過(guò)程的支配，主要依賴于人員所接收反饋信息的類型和質(zhì)量，以及人員操作所處的運(yùn)行上下文信息。可見(jiàn)，盡管自動(dòng)化代替了大量簡(jiǎn)單、重復(fù)的任務(wù)，但那些不能被自動(dòng)化的任務(wù)還得由人來(lái)完成。顯然，這些沒(méi)被自動(dòng)化的任務(wù)往往是無(wú)規(guī)律可循的、需要人員根據(jù)所處上下文、結(jié)合實(shí)際經(jīng)驗(yàn)來(lái)執(zhí)行的繁瑣、困難任務(wù)。這些任務(wù)的復(fù)雜度高、要求高、難度大，容易導(dǎo)致人為和組織差錯(cuò)。將近70 %的航空領(lǐng)域事故是人為和組織因素所致的事實(shí)也在某種程度上說(shuō)明了這種情況。

可見(jiàn)，傳統(tǒng)的危險(xiǎn)分析技術(shù)均假定事故是由于組件故障或者失效［2］引起的，并且簡(jiǎn)化了人為和組織因素［3-4］。盡管人們企圖通過(guò)擴(kuò)展這些傳統(tǒng)危險(xiǎn)分析技術(shù)來(lái)應(yīng)對(duì)包括軟件錯(cuò)誤和人為和組織差錯(cuò)，但所作的假設(shè)并不能與當(dāng)今所構(gòu)建系統(tǒng)的基本屬性相匹配。例如，大多數(shù)軟件相關(guān)的事故可追溯到不完全或者有缺陷的軟件需求［5］。當(dāng)然，F(xiàn)TA等現(xiàn)有的分析方法十分適合于組件故障分析，但很容易忽視一些復(fù)雜的不安全要求。同時(shí)，新型系統(tǒng)正在改變?nèi)嗽谙到y(tǒng)中的作用，人已從步驟的服從者變成自動(dòng)化的監(jiān)督者和高級(jí)決策者［6］。為此，人們正在引入系統(tǒng)思維方法來(lái)考慮系統(tǒng)安全性，建立新的事故致因模型，開展系統(tǒng)安全性分析和控制。近年來(lái)，針對(duì)現(xiàn)有方法的局限性和復(fù)雜系統(tǒng)不斷涌現(xiàn)的實(shí)際情況，人們開始熱衷于用系統(tǒng)思維來(lái)考慮系統(tǒng)安全性問(wèn)題，提出了基于系統(tǒng)思維的事故模型和安全性分析與控制方法。比較典型的有STAMP模型、STPA分析方法［7］和 FRAM 模型、FRAM 分析方法［8］等。這些方法的共同特點(diǎn)在于從系統(tǒng)思維的角度來(lái)研究復(fù)雜系統(tǒng)的安全性，強(qiáng)調(diào)多個(gè)組件相互作用在系統(tǒng)安全性分析中的重要性，通過(guò)各種約束來(lái)規(guī)范各個(gè)系統(tǒng)之間的相互制約，通過(guò)信息反饋來(lái)刻畫系統(tǒng)運(yùn)行的上下文背景，剛好彌補(bǔ)了傳統(tǒng)分析方法的不足，在應(yīng)對(duì)復(fù)雜系統(tǒng)面臨的軟件密集、新型人為和組織因素等系統(tǒng)安全性難題上具有顯著優(yōu)勢(shì)，已經(jīng)引起業(yè)界的廣泛關(guān)注。

本文將從事故模型、危險(xiǎn)性分析、危險(xiǎn)性控制以及安全性仿真等方面闡述復(fù)雜系統(tǒng)安全性研究的最新進(jìn)展，希望對(duì)這一全新領(lǐng)域的研究起到積極的推進(jìn)作用。本文首先對(duì)現(xiàn)有的基于故障的事故模型和基于系統(tǒng)理論的事故模型進(jìn)行對(duì)比研究。進(jìn)一步研究復(fù)雜系統(tǒng)安全性分析的仿真方法，提出仿真系統(tǒng)整體結(jié)構(gòu)以及基于模型偏離和機(jī)器學(xué)習(xí)的安全性仿真分析方法。

1 事故模型

所有安全性努力，無(wú)論出于前瞻性的事故預(yù)防還是出于回顧性的事故分析，都離不開事故模型。事故模型代表著事故分析或者系統(tǒng)設(shè)計(jì)的事故致因原理。事故模型包含有關(guān)于事故如何產(chǎn)生、什么因素導(dǎo)致事故，以及這些因素如何組合、相互作用或者傳遞而導(dǎo)致事故的各種假設(shè)。為此，認(rèn)清每種事故模型的基本假設(shè)是搞清楚每種安全性分析特點(diǎn)及局限性的前提。本節(jié)描述了各種當(dāng)今流行的事故模型，歸納相應(yīng)假設(shè)和局限性。

下頁(yè)表1給出了兩種基于故障的事故模型和兩種基于系統(tǒng)思維的事故模型在模型假設(shè)、模型特點(diǎn)、應(yīng)用場(chǎng)合、應(yīng)用領(lǐng)域等方面的比較，從中可以看出在復(fù)雜系統(tǒng)安全性分析與控制中適宜采用的事故模型應(yīng)該是基于系統(tǒng)思維的事故模型，而不是傳統(tǒng)的基于故障的事故模型。

2 危險(xiǎn)分析方法

盡管事故模型解釋了在一定假設(shè)條件下事故為什么發(fā)生、如何發(fā)生，但這些模型并沒(méi)有規(guī)定分析系統(tǒng)安全性所需步驟。當(dāng)然，人為和組織行為、軟件出錯(cuò)、需求缺陷、上下文等問(wèn)題難以用事故模型或者不可能用事故模型來(lái)描述，并且多為非線性、強(qiáng)耦合事故原因，傳統(tǒng)的基于故障模型方法已經(jīng)力不從心。主要表現(xiàn)在：

1）基于概率論的事故模型方法不適用于需求缺陷分析。許多一般情形下能夠正常運(yùn)行的系統(tǒng)，但其可能存在著需求缺陷，激發(fā)軟件錯(cuò)誤或者人為和組織差錯(cuò)。在事故發(fā)生之前，一般沒(méi)有數(shù)據(jù)來(lái)支持這種缺陷的發(fā)生概率，只在事后才發(fā)現(xiàn)這種缺陷。為了發(fā)現(xiàn)缺陷并形成新的安全性需求，需要采用有效方法來(lái)闡述這些問(wèn)題，而不是估計(jì)其發(fā)生概率。

2）基于故障方法一般被用來(lái)捕獲那些引起不期望事件的系統(tǒng)組件故障傳遞，容易忽略導(dǎo)致事故的整體性因素。隨著當(dāng)今系統(tǒng)復(fù)雜度的不斷提高，越來(lái)越多的事故并非由組件故障所致，而是由于關(guān)鍵設(shè)計(jì)錯(cuò)誤或者需求存在缺陷所致。

3）許多在表面上看起來(lái)相互獨(dú)立的組件，但其工作原理十分相似，其運(yùn)行性能受到同樣的環(huán)境因素影響，當(dāng)一個(gè)組件出現(xiàn)故障時(shí)，也就意味著另一個(gè)組件出現(xiàn)完全相同的故障，預(yù)期的主備份構(gòu)型、冗余結(jié)構(gòu)均會(huì)失效。

4）人為和組織差錯(cuò)依賴于極其復(fù)雜的上下文，需求缺陷也是造成人為和組織差錯(cuò)的原因之一。在基于故障模型的方法中，只用“人為和組織差錯(cuò)”來(lái)標(biāo)識(shí)或者做忽略處理，難以刻畫人為和組織行為的相關(guān)因素，如現(xiàn)場(chǎng)環(huán)境、過(guò)去的經(jīng)驗(yàn)以及臨時(shí)的想法等等。

5）軟件出錯(cuò)與執(zhí)行的時(shí)機(jī)、環(huán)境、次序等上下文有關(guān)，需求缺陷也是造成軟件錯(cuò)誤的原因之一。如果軟件執(zhí)行中碰到以前未曾分析過(guò)的“意外”情況，軟件就會(huì)錯(cuò)誤地執(zhí)行，出現(xiàn)設(shè)計(jì)者未曾預(yù)料的結(jié)果，很可能起因于需求缺陷。

表1 4種模型的對(duì)比

目前，有兩類使用的事故分析模型：一類是事故分析方法，另一類是危險(xiǎn)分析方法，統(tǒng)稱為安全性分析。事故分析方法描述事故模型如何識(shí)別所發(fā)生事故的原因。危險(xiǎn)分析方法主要用于現(xiàn)有系統(tǒng)或者正在設(shè)計(jì)的系統(tǒng)，描述事故模型如何識(shí)別未來(lái)可能發(fā)生事故的潛在原因。下面主要闡述FTA、ETA和FMEA等現(xiàn)有的危險(xiǎn)分析方法，指出需要面對(duì)的實(shí)際難題。

下頁(yè)表2給出了STPA、FRAM、HAZOP和傳統(tǒng)方法等危險(xiǎn)性分析方法的假設(shè)條件、優(yōu)缺點(diǎn)、應(yīng)用領(lǐng)域等方面的比較，從中可以看出復(fù)雜系統(tǒng)安全性分析與控制中適宜采用的分析方法應(yīng)該是基于系統(tǒng)思維的分析方法，而不是傳統(tǒng)的基于故障的分析方法。

3 危險(xiǎn)控制方法

危險(xiǎn)性控制是指消除所識(shí)別危險(xiǎn)源或者將危險(xiǎn)源影響減緩至可接受水平的所有技術(shù)和管理活動(dòng)的總稱［36］。危險(xiǎn)性控制是一種受約束于危險(xiǎn)源識(shí)別能力、可利用技術(shù)水平和可承受成本，以所識(shí)別的危險(xiǎn)源、人為和組織差錯(cuò)和運(yùn)行要求為輸入，綜合采用技術(shù)手段、人為控制手段和管理控制手段，消除危險(xiǎn)源或者減緩危險(xiǎn)源的影響程度至可接受水平的復(fù)雜控制問(wèn)題。

一般地，從技術(shù)控制、人為和組織行為控制和管理控制等3個(gè)方面來(lái)實(shí)現(xiàn)危險(xiǎn)控制。技術(shù)控制采用技術(shù)措施對(duì)固有危險(xiǎn)源進(jìn)行控制，主要有消除、減緩、防護(hù)、隔離、監(jiān)控、保留和轉(zhuǎn)移等措施。人為和組織行為控制就是控制人為和組織差錯(cuò)，減少人不正確行為對(duì)危險(xiǎn)源的觸發(fā)作用。人為和組織差錯(cuò)的主要表現(xiàn)形式有：操作差錯(cuò)、指揮差錯(cuò)、不正確的判斷或缺乏判斷、粗心大意、厭煩、懶散、疲勞、緊張、疾病或生理缺陷、錯(cuò)誤使用防護(hù)用品或防護(hù)裝置。管理控制技術(shù)采用建立健全危險(xiǎn)源管理的規(guī)章制度、定期檢查與日常管理、信息反饋與隱患排查、危險(xiǎn)源歸檔與設(shè)置安全標(biāo)識(shí)牌以及安全考核評(píng)價(jià)與獎(jiǎng)懲等管理措施，對(duì)危險(xiǎn)源進(jìn)行控制。表3給出了事件鏈、STAMP、FRAM和HAZOP等事故模型所對(duì)應(yīng)的分析結(jié)果、控制任務(wù)及控制方法對(duì)比。

表2 危險(xiǎn)性分析方法對(duì)比

表3 危險(xiǎn)性控制方法對(duì)比

4 復(fù)雜系統(tǒng)安全性仿真

4.1 安全性仿真的主要內(nèi)容、類型及存在的問(wèn)題

近年來(lái)，安全性仿真是一個(gè)很熱的研究領(lǐng)域，但現(xiàn)有的安全性仿真還是比較基礎(chǔ)的，其內(nèi)容主要集中在自動(dòng)化分析、情形模擬與驗(yàn)證以及相關(guān)參數(shù)計(jì)算與分析等方面，其類型主要有危險(xiǎn)源展示型和激勵(lì)模擬型兩種，還存在著仿真功能局限性大、仿真信息利用率低以及系統(tǒng)性不強(qiáng)等問(wèn)題。

首先，盡管已經(jīng)認(rèn)識(shí)到系統(tǒng)安全性仿真的重要性，但沒(méi)有用系統(tǒng)思維來(lái)開展復(fù)雜系統(tǒng)安全性仿真，其工作還集中在幾個(gè)基礎(chǔ)性方向上，缺少綜合性。1）自動(dòng)化建模與分析。面對(duì)安全性分析過(guò)程費(fèi)工、費(fèi)力的實(shí)際情況，研制出用于安全性分析的自動(dòng)化工具，如FTA、FMEA、STAMP等自動(dòng)化分析軟件，通過(guò)自動(dòng)化工具來(lái)實(shí)現(xiàn)安全性建模、分析等具體工作，以提高安全性分析的工作效率。2）情形模擬與驗(yàn)證。面對(duì)許多事故是其運(yùn)行上下文背景、當(dāng)前態(tài)勢(shì)、所執(zhí)行任務(wù)、人工操作等因素的綜合結(jié)果，而這些幾乎不可能在實(shí)物上做情形再現(xiàn)，需要通過(guò)情形模擬來(lái)開展相應(yīng)的驗(yàn)證和分析工作，如在許多飛機(jī)飛行模擬器中，具有情景模擬、人工操作、事故再現(xiàn)等仿真能力，以便進(jìn)行飛行不安全因素分析或者事故原因分析等。3）相關(guān)參數(shù)的計(jì)算與分析。面對(duì)安全領(lǐng)域存在的一些小概率威脅或者周期較長(zhǎng)的故障，需要通過(guò)仿真來(lái)進(jìn)行分析，突破時(shí)間約束提高分析效率，如飛機(jī)人機(jī)誘發(fā)振蕩、空速管堵塞等事故原因分析。

其次，現(xiàn)有安全性仿真系統(tǒng)的功能相對(duì)簡(jiǎn)單、用途也十分有限，只是對(duì)安全性建模與分析結(jié)果的直接仿真驗(yàn)證，主要分為危險(xiǎn)源展示型和激勵(lì)模擬型這兩種類型：1）危險(xiǎn)源展示型，即通過(guò)仿真危險(xiǎn)源的工作機(jī)理，達(dá)到必須嚴(yán)格遵守安全規(guī)范以及相應(yīng)的安全警示作用。從本質(zhì)上講，這種仿真只是對(duì)所識(shí)別危險(xiǎn)源的直觀演示，其針對(duì)性很強(qiáng)。如許多安全訓(xùn)練模擬系統(tǒng)、安全法規(guī)教育系統(tǒng)均屬于這種類型的安全仿真系統(tǒng)。其基本架構(gòu)如圖1所示。2）激勵(lì)模擬型，即由人工設(shè)置事故原因來(lái)激勵(lì)系統(tǒng)的機(jī)理模型，通過(guò)安全性參數(shù)監(jiān)控，進(jìn)行安全性操作，并驗(yàn)證安全性措施的有效性。如許多安全評(píng)估系統(tǒng)、訓(xùn)練器材均屬于這類安全仿真系統(tǒng)。

圖1 危險(xiǎn)源展示型仿真架構(gòu)示意圖

其基本架構(gòu)如圖2所示。

圖2 機(jī)理模擬型仿真架構(gòu)示意圖

另外，盡管上述兩種類型的實(shí)施相對(duì)容易，但在仿真功能、信息利用以及系統(tǒng)架構(gòu)等方面存在著嚴(yán)重的不足：1）仿真功能的局限性大。從本質(zhì)上講，類型1只是所識(shí)別危險(xiǎn)源的直觀演示，其內(nèi)容、情形均具有局限性。類型2只是對(duì)所識(shí)別危險(xiǎn)控制作用及其抑制措施的有效性驗(yàn)證，本身只是一個(gè)面向事件的仿真，存在著假設(shè)條件過(guò)多、仿真內(nèi)容不全面等問(wèn)題。2）仿真信息的利用率低。類型1或類型2仿真缺少與事故模型和分析方法的內(nèi)在聯(lián)系，不能或難以將仿真結(jié)果反饋至安全性模型與分析過(guò)程，不能用仿真結(jié)果來(lái)改進(jìn)安全性模型和分析方法。3）系統(tǒng)架構(gòu)的整體性差。類型1或類型2仿真沒(méi)有采用系統(tǒng)思維的觀念來(lái)全面構(gòu)建復(fù)雜系統(tǒng)安全性仿真系統(tǒng)，對(duì)于實(shí)際系統(tǒng)普遍存在的組件不良相互作用、上下文背景、人為和組織差錯(cuò)等事故原因，其仿真能力十分有限。

4.2 復(fù)雜系統(tǒng)的綜合型安全性仿真

為此，應(yīng)努力擴(kuò)展安全性仿真類型，開發(fā)集機(jī)理建模、事故模型、危險(xiǎn)性分析以及危險(xiǎn)性控制等于一體的綜合型仿真系統(tǒng)，除了繼續(xù)加強(qiáng)常規(guī)的自動(dòng)化分析、情形模擬與驗(yàn)證以及相關(guān)參數(shù)計(jì)算與分析等內(nèi)容開發(fā)，還要加強(qiáng)仿真功能、提高仿真信息利用率、優(yōu)化系統(tǒng)架構(gòu)，以滿足復(fù)雜系統(tǒng)安全性仿真的需要。

復(fù)雜系統(tǒng)的綜合型安全性仿真是建立在復(fù)雜系統(tǒng)運(yùn)行機(jī)理仿真基礎(chǔ)上的，它通過(guò)注入組件故障、上下文環(huán)境、人為和組織差錯(cuò)、組件之間非良好的相互作用等事故激勵(lì)，不但要實(shí)現(xiàn)復(fù)雜系統(tǒng)工作機(jī)理、運(yùn)行環(huán)境、人-機(jī)協(xié)同以及狀態(tài)監(jiān)控等物理過(guò)程仿真，還要依據(jù)物理過(guò)程模型和其事故模型進(jìn)行系統(tǒng)安全性分析以及安全控制對(duì)策的仿真，涉及復(fù)雜系統(tǒng)工作機(jī)理仿真、安全性模型仿真、安全性分析方法仿真、安全性控制措施仿真、事故激勵(lì)和上下文信息仿真等6個(gè)模塊。

下頁(yè)圖3給出了這種綜合型安全性仿真的整體架構(gòu)。下面詳細(xì)描述每個(gè)模塊的主要功能和實(shí)現(xiàn)原理。

物理系統(tǒng)：需要根據(jù)實(shí)際對(duì)象的工作原理采用適當(dāng)?shù)能浖?lái)構(gòu)建。對(duì)于飛行控制系統(tǒng)等基于牛頓第二定律的物理系統(tǒng)，其機(jī)理模型是以動(dòng)力學(xué)微分方程、解析關(guān)系、時(shí)間次序、狀態(tài)流程等形式來(lái)描述的，可以由Matlab等工程計(jì)算工具軟件來(lái)構(gòu)建［37］。而對(duì)于機(jī)翼、油箱、電子線路等基于材料力學(xué)、熱力學(xué)或者電磁場(chǎng)理論的物理系統(tǒng)，其機(jī)理模型常用偏微分方程來(lái)描述，可以采用Anysys等有限元分析工具軟件來(lái)構(gòu)建［38］。應(yīng)該指出，這些仿真模型可以借用其他項(xiàng)目中所采用的成熟軟件。如為了研究飛行控制系統(tǒng)的安全性，可以直接采用工程化的飛行仿真軟件，只需要留出故障設(shè)置、上下文數(shù)據(jù)采集、狀態(tài)監(jiān)控、安全控制作用、人-機(jī)接口等接口就可以了。

圖3 綜合型安全性仿真的整體架構(gòu)示意圖

事故模型：需要根據(jù)對(duì)象的實(shí)際情況以及可得到的資料、經(jīng)驗(yàn)和數(shù)據(jù)來(lái)構(gòu)建合適的事故模型。對(duì)于復(fù)雜系統(tǒng)而言，前面介紹了兩種事故模型。對(duì)于FRAM模型，可以采用Matlab的Stateflow工具來(lái)構(gòu)建，且每個(gè)功能的6個(gè)屬性可以用Stateflow的有限狀態(tài)機(jī)來(lái)實(shí)現(xiàn)。對(duì)于STAMP模型，可以用Matlab的模塊化工具來(lái)實(shí)現(xiàn)分層控制結(jié)構(gòu)模型，而其底層的各個(gè)控制回路可以用Matlab的Simulink來(lái)實(shí)現(xiàn)，組成由過(guò)程模型、執(zhí)行器、受控對(duì)象和傳感器等組成的閉環(huán)控制回路。當(dāng)然，需要在設(shè)計(jì)中留出上下文信息接口。

危險(xiǎn)性分析：對(duì)應(yīng)于所采用的事故模型。如果采用的是線性事故模型，可以用FTA、FMEA等自動(dòng)化分析軟件來(lái)分析［39］，其定量分析所需的數(shù)據(jù)可以來(lái)自經(jīng)驗(yàn)數(shù)據(jù)，也可以從物理系統(tǒng)的仿真計(jì)算來(lái)得到。如果采用的是FRAM事故模型，其分析模型和事故模型是同一個(gè)模型，需要根據(jù)物理系統(tǒng)的運(yùn)行邏輯、時(shí)間次序和參數(shù)變化，當(dāng)作各個(gè)功能的輸入、輸出、事件、前提和控制，在Matlab環(huán)境下來(lái)完成功能共振分析。如果采用的是STAMP模型，其分析方法采用STPA方法，需要開發(fā)自動(dòng)化的工具軟件來(lái)執(zhí)行STAMP的步驟1和步驟2，以確定每種危險(xiǎn)情形所對(duì)應(yīng)的危險(xiǎn)控制作用，并依據(jù)底層控制回路分析得到每一種危險(xiǎn)控制作用的直接事故原因。盡管這一自動(dòng)化工作十分艱難，文獻(xiàn)［40］還是開展了一些研究，并取得了一定的成功。

控制對(duì)策：控制對(duì)策來(lái)自事故模型以及危險(xiǎn)分析的結(jié)果，是將危險(xiǎn)分析的結(jié)果作為安全性措施落實(shí)到具體的物理系統(tǒng)中。為了有效地實(shí)現(xiàn)這些控制對(duì)策，需要接受事故激勵(lì)和上下文信息，以形成控制算法或者控制指令，且需要用程序來(lái)實(shí)現(xiàn)這些基于激勵(lì)和上下文信息的控制算法或控制指令。鑒于Matlab、Ansys等均具有編程環(huán)境，一般就可以實(shí)現(xiàn)這些控制算法或者控制指令，以作用于物理系統(tǒng)。

事故激勵(lì)：事故激勵(lì)是一組在一定背景下能夠引起事故的動(dòng)作，這些激勵(lì)可能是組件故障、組件組合故障、組件之間不良好相互作用、人為和組織差錯(cuò)、軟件出錯(cuò)或者需求缺陷，并只有在一定的上下文背景下才會(huì)引起事故。為了有效地實(shí)現(xiàn)事故激勵(lì)，需要將故障建模和危險(xiǎn)性分析的事故致因轉(zhuǎn)化為事故激勵(lì)模型，并將其描述為數(shù)學(xué)表達(dá)式或者邏輯表達(dá)式，便于在Matlab、Ansys等編程環(huán)境下實(shí)現(xiàn)，以作用于物理系統(tǒng)。

上下文信息：上下文信息是在事故建模、危險(xiǎn)性分析、控制對(duì)策、事故激勵(lì)模擬和物理系統(tǒng)運(yùn)行中所不可或缺的有記憶物理參數(shù)集合。一般包括面臨的任務(wù)、過(guò)去的背景以及當(dāng)前的狀態(tài)。如果系統(tǒng)采用的是線性事故模型和FTA、FMEA等危險(xiǎn)性分析方法，上下文信息主要表現(xiàn)為故障組件或組合故障組件的性能變化趨勢(shì)或者突然改變，很容易建立數(shù)學(xué)模型，并在Ansys、Matlab中來(lái)實(shí)現(xiàn)。如果系統(tǒng)采用的FRAM、STAMP等事故模型，其不再僅僅是組件故障或者組件組合故障等性能參數(shù)的變化或者突然改變，而是包括人的操作習(xí)慣、操作人員沒(méi)時(shí)間響應(yīng)警告信息、操作人員沒(méi)有注意到警告信息等更為復(fù)雜的可記憶信息，很難用數(shù)學(xué)模型來(lái)描述，更不容易在Matlab、Ansys的編程環(huán)境下實(shí)現(xiàn)。盡管上下文信息仿真十分困難，但文獻(xiàn)［41-42］還是開展了一些研究，并取得了一定的成功。

可見(jiàn)，該整體架構(gòu)中的事故激勵(lì)和上下文信息模塊反應(yīng)了復(fù)雜系統(tǒng)事故模型FRAM和STAMP的系統(tǒng)思維，即現(xiàn)有復(fù)雜系統(tǒng)的大多數(shù)事故并非由單一的組件故障或者組件組合故障所致，而是由上下文信息的理解不正確、解釋不合理或者響應(yīng)不及時(shí)所致，這其中包括過(guò)程模型構(gòu)建錯(cuò)誤、需求缺陷、軟件錯(cuò)誤、人為和組織差錯(cuò)以及組件之間的非良好相互作用等。應(yīng)該指出，仿真方法也是安全性分析的有效輔助手段之一。下頁(yè)圖4給出了基于模型偏離和機(jī)器學(xué)習(xí)的安全性仿真分析示意圖。其中的派生模型是在標(biāo)稱模型的基礎(chǔ)上引入各種偏離而得到的系統(tǒng)運(yùn)行模型。通過(guò)仿真這些派生模型，得到大量關(guān)于輸入集合、輸出集合的仿真結(jié)果。由于派生模型會(huì)很多，其仿真結(jié)果也會(huì)有許多，人工分析就會(huì)面臨十分巨大的工作量。為此，采用機(jī)器學(xué)習(xí)方法，從大量的輸入/輸出數(shù)據(jù)集合中，挖掘出危險(xiǎn)偏離事故綜合規(guī)則集合。

圖4 基于模型偏離和機(jī)器學(xué)習(xí)的安全性仿真分析示意圖

4.3 需要說(shuō)明的基本問(wèn)題

4.3.1 仿真方法也可用于危險(xiǎn)情形識(shí)別

為了發(fā)現(xiàn)常規(guī)分析沒(méi)有發(fā)現(xiàn)的危險(xiǎn)情形，可通過(guò)構(gòu)建偏差模型來(lái)完成基于偏差的安全性仿真與分析。其方法是利用偏差模型及其組合，進(jìn)行仿真計(jì)算，由機(jī)器學(xué)習(xí)自動(dòng)完成結(jié)果分析，得出偏差導(dǎo)致危險(xiǎn)的情形結(jié)合。顯然，對(duì)于沒(méi)有建立模型的機(jī)理，仿真方法是沒(méi)有辦法開展其安全性分析的。為此，需要根據(jù)系統(tǒng)的工作方式以及有關(guān)的經(jīng)驗(yàn)知識(shí)來(lái)構(gòu)建有意義的偏差模型，為通過(guò)仿真方法發(fā)現(xiàn)潛在危險(xiǎn)提供模型支持。

4.3.2 安全性仿真有別于常規(guī)的系統(tǒng)仿真

安全性仿真是在假設(shè)了系統(tǒng)運(yùn)行中可能遇到的諸如組件故障、組件不良交聯(lián)、人為和組織差錯(cuò)、需求缺陷、軟件錯(cuò)誤等情形，以研究這些情形是否導(dǎo)致事故。在仿真中，可以用偏離（如組件實(shí)際行為與期望行為的偏離、組件交聯(lián)實(shí)際性能指標(biāo)與期望指標(biāo)的偏離、實(shí)際操作與期望操作的偏離、所作需求分析與客觀需求的偏離、軟件實(shí)際運(yùn)行效果與期望運(yùn)行效果的偏離）來(lái)描述組建故障、組建不良交聯(lián)、人為和組織差錯(cuò)、需求缺陷、軟件錯(cuò)誤等情形，構(gòu)成可能導(dǎo)致事故的原因集合，且每個(gè)集合元素又會(huì)有多種不同的表現(xiàn)形式（如人為和組織差錯(cuò)可能是操作人員沒(méi)接收到應(yīng)該收到的信息，而這種信息的種類、樣式、時(shí)機(jī)均十分多樣）。應(yīng)該指出，這些偏離恰恰就反應(yīng)了復(fù)雜系統(tǒng)事故模型希望達(dá)到的目的。當(dāng)然，對(duì)于實(shí)際對(duì)象的正常標(biāo)稱系統(tǒng)，其仿真可以做到全面、完整和合法。但對(duì)于偏離集合及其子集，仿真模型的具體形式就會(huì)有無(wú)窮多種，仿真結(jié)果也會(huì)多種多樣。本文任務(wù)是從仿真結(jié)果中挖掘出可能導(dǎo)致事故的事故原因。由此可見(jiàn)，安全性仿真的難度要遠(yuǎn)遠(yuǎn)大于一般的系統(tǒng)仿真。

4.3.3 安全性仿真的幾個(gè)要點(diǎn)

一是要選擇好仿真工具?？梢杂肕atlab、Ansys等工具來(lái)構(gòu)建復(fù)雜系統(tǒng)，處理好多事件、多流程、多變量以及強(qiáng)耦合等方面，盡量采用模塊化方法來(lái)構(gòu)建各種“功能”。例如，在FRAM仿真中，應(yīng)使功能具有“輸入、輸出、時(shí)間、前提條件、控制、資源”等屬性，并對(duì)各種屬性定義偏離樣式。這樣，便可根據(jù)實(shí)際情形，快速地組成滿足特定偏離條件的仿真系統(tǒng)，檢驗(yàn)其安全性，發(fā)現(xiàn)危險(xiǎn)，找出可導(dǎo)致事故的原因。

二是要研究復(fù)雜系統(tǒng)的定量化事故模型。STAMP是一種很好的復(fù)雜系統(tǒng)事故模型，但其仿真就會(huì)遇到定量化的難題，因?yàn)楝F(xiàn)有STAMP模型是很難定量描述各種偏離的。為了將STAMP模型定量化，需要研究偏離集合與輸出集合之間的映射關(guān)系，并提出安全性相關(guān)的偏離邊界條件，以指導(dǎo)安全性仿真，從而避免無(wú)謂的重復(fù)仿真。

三是要研究人為操作、需求分析和組件之間交聯(lián)等偏離的定量描述問(wèn)題。在STAMP模型中，常常用“精神模型”與實(shí)際模型的不一致性來(lái)描述人為和組織差錯(cuò)、需求缺陷或者組件之間的不良交聯(lián)，均是定性的。而在仿真中必須定量地實(shí)現(xiàn)這些偏離，目前還需要進(jìn)一步深入研究。

5 結(jié)論

隨著系統(tǒng)復(fù)雜性的日益增加，傳統(tǒng)的基于故障模型的事故模型，由于其不能反應(yīng)組件之間不良交聯(lián)、需求缺陷、軟件錯(cuò)誤、人為和組織差錯(cuò)等事故原因，正在被基于系統(tǒng)思維的FRAM、STAMP等系統(tǒng)事故模型所替代。本文從復(fù)雜系統(tǒng)安全性的系統(tǒng)觀點(diǎn)出發(fā)，對(duì)比了傳統(tǒng)事故模型和系統(tǒng)事故模型，指出了傳統(tǒng)事故模型的不足和系統(tǒng)事故模型必須解決的難題，指出FRAM、STAMP等事故模型在安全性事故建模中的合理性。進(jìn)一步對(duì)比了傳統(tǒng)危險(xiǎn)分析方法和系統(tǒng)危險(xiǎn)分析方法，指出了傳統(tǒng)分析方法在實(shí)際使用中難以解決的問(wèn)題和系統(tǒng)分析方法必須具有的特征，指出FRAM、STPA等系統(tǒng)分析方法在危險(xiǎn)分析中的優(yōu)越性。同時(shí)，給出了安全性控制策略的對(duì)比，指出了其相同點(diǎn)。最后，在分析現(xiàn)有安全性仿真系統(tǒng)內(nèi)容、類型和主要問(wèn)題的基礎(chǔ)上，提出了一種綜合型仿真系統(tǒng)，給出了一種集系統(tǒng)機(jī)理模型、事故模型、分析方法、控制策略等于一體的安全性仿真整體架構(gòu)，并討論了安全性仿真系統(tǒng)構(gòu)建的基本思路。對(duì)今后復(fù)雜系統(tǒng)的安全性分析提供了新的思路，即應(yīng)從系統(tǒng)的思維、數(shù)學(xué)理論、定量和規(guī)范方法格式等方面入手來(lái)完善FRAM、STPA等系統(tǒng)分析方法，進(jìn)而改善現(xiàn)有的安全性評(píng)估方法，彌補(bǔ)其存在的不足，也為今后深入研究安全性分析方法指明了值得關(guān)注的途徑。