基于分层安全控制结构的导弹装备任务安全性动态评价方法

姚博清，陈嘉宇，*，谷长超，陆钦华，王旭航，葛红娟

1.南京航空航天大学 民航学院，南京 211106

2.中国运载火箭技术研究院，北京 100076

导弹装备长期贮存、超期服役已经成为一种新常态。在贮存期间，导弹装备需要反复经历测试、维护、野外拉练等任务。工作在复杂多变的任务环境中，导弹装备难以避免性能退化，甚至发生失效。同时，导弹装备往往带有高能、易燃、易爆物质，且任务中人-机-环耦合特性明显［1-2］。据统计，美国各类导弹装备中由人引起的事故比例最高达到82%［3］。一旦发生事故，将造成巨大人员和财产损失。因此，针对导弹装备任务中的人-机-环耦合特性，提出动态更新和准确量化的安全性评价方法是保障装备任务成功的关键所在。

针对导弹装备的安全性评价，传统的基于系统结构模型的安全性分析方法，如故障模式及影响分析（FMEA）、故障树分析（FTA），仅能描述事件之间简单的线性因果关系，难以描述复杂系统的非线性逻辑关系［4-5］。此外，该类方法一般只能对功能结构不变的静态系统进行分析，无法适应系统的动态变化［6-7］。针对该问题，基于系统行为模型的安全性评价技术应运而生，以系统的离散和连续状态行为模型为基础，能够有效应对系统的动态变化，并利用建立的模型进行仿真分析验证，典型方法如动态故障树、Petri 网、状态机模型等［8-10］。然而，对复杂系统的多层结构，其无法进行有效分层处理，不可避免地导致状态空间爆炸和仿真效率低下的问题。

系统理论事故模型和流程（Systems-Theoretic Accident Model and Processes，STAMP）将安全性评价视为一个控制问题，认为事故的发生是在系统的设计、开发和运行过程中对安全相关的约束未能适当的控制或者执行［11］。其特点是针对复杂系统结构中各种功能组件及其控制关系，进行分层处理，并利用控制结构模型表示层级之间的控制反馈信息［12］。基于上述内容，其优点主要体现在以下2 方面。一方面，有效降低复杂系统建模状态空间爆炸的难题；另一方面，实现对复杂系统多任务环境与复杂工况下的动态更新过程。能够准确评价复杂系统的安全性，并已被广泛应用于航空、航天、国防、运输系统等领域。郑磊和胡剑波［13］结合机体模型和STAMP 模型对机轮刹车系统在飞机降落过程中的不安全控制行为进行仿真，证明了结合理论模型和机体模型进行仿真实现安全性分析的可行性。张宏宏等［14］利用TOPAZ（Traffic Organization and Perturbation AnalyZer）方法可以对微观层面进行模拟仿真的优势，结合STAMP 理论实现对无人机冲突解脱安全性的分析。

但是，针对导弹装备的任务流程安全性评价，STAMP 模型还存在以下3 大缺陷：①STAMP 模型的构建缺乏对导弹装备任务特点与过程的描述；②基于STAMP 的安全性分析与评价缺乏对人-机-环耦合条件下人因可靠性的准确量化和动态反馈评价；③安全控制结构中缺乏针对不同粒度任务流程的考量。

1）面向导弹装备的任务剖面模型

任务剖面模型的构建主要包括分析任务之间各环节逻辑时序关系、人员、设备、信息等相关资源，是支撑导弹装备安全性评价的基础。基于多视图的体系结构建模思想是对复杂系统建模的典型策略之一，通过建立不同视角模型描述同一系统实体，不同视角模型之间又相互关联是其关键建模思想［15］。例如，美军发布的《国防部体系结构框架》（DoD Architectural Framework，DoDAF）规定按照作战、系统、技术标准3 类视图开展研究，2009 年 的DoDAF2.0 定义了8 类视图［16］。Xu 和Zhen［17］利 用ARIS（Architecture of Integrated Information System）架构模型，结合层次分析法对导弹装备保障任务进行建模分析，为其安全性评估提供有效保障。Nie 等［18］以多视图建模思想为基础，利用形式化建模语言SysML 实现对武器装备任务过程的多视图模型构建。然而，针对导弹装备的典型任务，设计合理的视图模型是实现其任务安全性准确评价的基础问题。

2）人-机-环耦合条件下人因可靠性分析

针对导弹装备任务中人因可靠性进行量化评价，其难点在于考虑人-机-环耦合影响下人因可靠性的准确量化和反馈评价。认知可靠性失误与分析方法（Cognitive Reliability and Error Analysis Method，CREAM）结合认知心理学，考虑人的认知过程、构建人的认知模型，并对环境影响、操作人员自身情况以及系统状况等导致人为失误的因素加以分析，以此来描述产生人为差错的机理［19］。例如，Calhoun 等［20］针对航天飞机的特点设计人为差错形成条件，根据差错形成条件为差错形成因素定义不同权重来计算人因可靠性。郭庆和关德明［21］将贝叶斯网络与CREAM 结合的方式确定机务人员的认知控制模式，利用平均权重因子将人员失误率预测技术的预测值嵌入CREAM，实现2 种人因分析方法的结合，提高人因可靠性预测的精度。Zhou 等［22］以CREAM方法为基础，构建结合贝叶斯网络和模糊三角数确定人为差错形成条件的隶属度函数模型，确定控制失效模式的概率分布，进而确定人因失误率。

STAMP 在进行导弹装备任务过程进行安全性评价时，主要的不足为缺乏对人-机-环耦合条件下人因可靠性的准确量化。由于CREAM 综合考虑情景环境，并将环境因素总结为共同绩效条件，实现对人因可靠性的准确量化的特点。将CREAM 引 入STAMP 中，补足了STAMP 中 对人因可靠性准确量化的难点。

但是，CREAM 方法缺乏针对导弹装备特点的人员绩效因子，无法准确描述其任务过程。同时，其量化度量方法缺乏面对复杂多变任务环境下人因可靠性的动态更新过程。这些问题导致其无法适应导弹装备的安全性动态量化评价。

3）基于安全控制结构的任务流程分析

以STAMP 模型为基础对导弹装备任务进行安全性评价，其关键在于建立对应任务流程的安全控制结构模型。李俊等［23］建立导弹攻击任务的STAMP 模型，对其攻击任务进行事故致因因素分析以及仿真研究。胡剑波和郑磊［24］对作战飞机IFFPC（Integrated Fire，Flying and Propulsion Control）系统进行STAMP 模型构建，分析IFFPC 系统中的人为危险因素。Stanton 等［25］利用STAMP 方法对Hawk 导弹飞行过程进行模拟仿真，分析任务中的潜在风险区域。但是，导弹装备任务中涉及流程、资源众多，模型中颗粒度大小的确定，严重影响模型的复杂程度。

针对以上导弹装备任务安全性评价中的3 大关键问题，提出基于分层安全控制结构的导弹装备任务安全性动态评价方法。主要贡献如下：

①构建多视图体系结构模型。刻画导弹装备任务过程、信息、任务、组织和资源5 类视图，在此基础上构建导弹装备任务多视图体系结构模型，直观反映导弹装备任务中所涉及的相关信息。

②构建分层安全控制结构模型。以STAMP模型为基础，将导弹装备任务划分为2 类控制主体和4 个层次，分别为设计层和操作层构成的人因控制体以及辅助设备层和关键设备层构成的设备控制体。构建分层安全控制结构模型，对导弹装备任务特点进行描述。实现对事故致因因素分析的同时有效降低模型的复杂程度。

③提出面向导弹装备特点的人员绩效评价体系。一方面，设计管理、环境、装备、流程、操作、心理、生理、个体和协作9 类人因绩效评价因子，以充分考虑环境特点对人因可靠性的影响。另一方面，设计产品智能化程度、经验水平、安全意识和任务压力4 类风险评价因素，描述环境特点对导弹装备任务的影响。最后构建2 类影响因素的关联矩阵，揭示人因绩效评价因子与风险评价因素关联机制，实现人为因素对安全评价的量化。

④提出人-机-环耦合下安全性动态反馈评价方法。结合分层安全控制结构模型和人员绩效评价体系，提出人-机-环耦合下安全性动态反馈评价方法。实现对导弹装备任务的安全性动态反馈评价，输出人因失误率、事故率以及事故链，为管理人员对任务设计的优化提供支持。

1 STAMP 与CREAM 理论基础

1.1 STAMP 理论

系统理论过程分析方法（Systems-Theoretic Process Analysis，STPA）是针对STAMP 理论的系统化实现过程［26-27］。其具体流程如图1所示。

图1 STPA 分析过程Fig.1 STPA analysis process

1）明确安全约束。首先确定可能的危险项目，然后针对确定的危险项目，依据表1 对其安全性进行评价。其次对系统危险状态进行定义，最后建立对应安全约束。

表1 危险严重性和可能性风险评价矩阵Table 1 Hazard severity and likelihood risk evaluation matrix

2）定义安全控制结构。根据1）中确定的安全约束，构建安全控制结构，由控制体和控制反馈渠道2 部分构成。

3）辨识不恰当控制。STAMP 理论中定义了4 种控制缺陷：①没有提供控制行为；②提供产生潜在危险的控制行为；③提供的安全控制行为过早或过晚；④提供的控制行为作用时间过长或过短［28］。依据控制 缺陷对安全控制结构中致因因素进行分析，判断是否打破识别出的安全约束，如图2 所示。

图2 基于STAMP 理论中的控制结构致因因素分析Fig.2 Causal factors analysis of control structure in STAMP theory

4）分析不恰当控制的原因。基于建立的安全控制结构，对系统的关键致因因素进行分析，其具体步骤如下：①针对活动的每一个环节，逐一选取其控制反馈渠道，并假设其由于控制体相关致因因素的影响而失效，然后进一步分析是否会因为该控制渠道的失效导致其他控制渠道失效；②针对控制反馈渠道进行分析，是否会出现只有2 个及以上控制渠道同时失效才会导致事故的因素；③根据总结的事故致因因素，总结导致事故发生的关键致因因素，进而定义事故链路［29］。

1.2 CREAM 理论

CREAM 方法结合认知与行为科学，研究人的认知过程与内在机理，强调情景环境对人的行为的重要影响，将环境因素总结为共同绩效条件（Common Performance Condition，CPC），并给出CPC 对人的可靠性的影响效应［30］。

针对人因可靠性进行定量分析的流程如下所示：

1）评估CPC。分析人员对与任务场景相关的每一个CPC 影响因子做出主观判断，确定每一个活动的CPC 水平。

2）确定认知功能以及对应的认知功能失效模式。根据工作分析的结果和调查，确定每一个环节对应的人的认知功能失效模式和对应的人因失误率基本值，具体如表2 所示。

表2 认知功能失效模式与人因失效概率基本值Table 2 Cognitive functional failure modes and human error rate basic value

3）确定失误概率。确定每一个活动中人员的认知失效概率（Cognitive Failure Probability，CFP）。各认知功能失效模式对应的人的失效概率基本值如表2 所示。此时获得的是该认知活动的标称CFP 值，记作CFP标称。

4）评价CPC 对CFP 的影响。CREAM 中提供CPC 因子对4 类认知功能的权重因子，进而可得到CPC 因子对每个认知活动的权重因子，在分别求得每个认知活动下所有CPC 因子的权重因子的乘积，即得到该认知活动的“总权重因子”，则修正后的CFP 值CFP修正=CFP标称×总权重因子。

5）计算人因失误率

根据工作分析和工作步骤构成的结构（并联或串联）计算人因失误率。

对于全串联结构，计算公式为

对于全并联结构，计算公式为

式中：i对应识别出来的认知功能。

2 导弹装备任务安全性动态评价方法

2.1 基于STAMP 与CREAM 的人-机-环动态反馈评价模型

2.1.1 面向导弹装备的人因绩效评价因子设计

针对导弹装备任务人-机-环耦合特点，设计如下人员绩效评价体系，包含9 类人因绩效评价因子：

1）环境因素：温度、湿度、光照等环境因素，会严重影响人员的心理和生理状态。

2）装备因素：随着科技的发展，设备的反馈如信号强度、信息反馈灵敏度等均会对人员的判断产生影响。

3）个体因素：个体因素的差异，如文化水平、训练程度、经验水平等，导致其面对决策时往往做出的决定也不同。

4）操作能力：操作水平是否匹配当前任务的难度，是直接影响任务安全的关键因素。

5）生理因素：人员的性别、年龄、健康状况等生理因素，是决定操作人员能否参加任务的决定性因素。

6）心理因素：为保障导弹装备任务成功，人员往往承受着巨大的心理压力，倘若不能及时缓解，极易造成人员心理问题，进而导致整个任务出现事故。

7）协作水平：多类型人员之间岗位交接的协作水平，往往是导致事故发生的间接影响因素。导弹装备任务中，关键操作岗位往往采用双岗制或三岗制，即有人负责操作，有人负责监督，若没有良好的协作水平，极有可能因双方的疏忽导致的事故。

8）管理因素：导弹装备任务涉及大量部门、人员以及设备等资源，若没有有效的管理制度，往往会导致人员、资源之间的不适配，进而导致人员的失误。

9）流程合理性：导弹装备任务作为典型复杂系统，不仅涉及众多人员与设备，还包括大量子任务以及子任务之间的逻辑时序关系，流程之间是否合理，是评价管理人员的关键因素。

2.1.2 面向导弹装备任务的人-机-环动态反馈评价模型

针对STAMP 和CREAM 面对复杂多变任务环境下人因可靠性无法准确量化以及动态评估的缺陷，构建基于STAMP 和CREAM 的人-机-环动态反馈评价模型，揭示人因绩效评价因子与风险评价因素关联机制，其框架如图3所示。

图3 基于STAMP 与CREAM 的人-机-环动态反馈评价模型Fig.3 Man-machine-environment dynamic feedback evaluation model based on STAMP and CREAM

一方面，人因可靠性的准确量化。首先，针对导弹装备任务过程特点，设计9 类人因绩效评价因子，以考虑环境特点对人因可靠性的影响。其次，设计产品智能化程度、经验水平、安全意识和任务压力4 类风险评价因素，描述环境特点对导弹装备任务的影响。最后，构建人因绩效评价因子与风险评价因素关联机制。其中，①产品智能化程度与环境因素、装备因素关联；②经验水平与个体因素、操作能力、生理因素关联；③安全意识与心理因素、协作水平关联；④任务压力与管理因素、流程合理性关联。

另一方面，人因可靠性的动态反馈。导弹装备任务中人-机-环耦合关系被划分为3 个层次：管理对安全重视程度的间接影响模块、风险评价因素的直接影响模块以及事故率的动态反馈模块。首先，导弹装备任务中，管理人员通过制度、培训等对保障人员、一岗人员及二岗人员的行为进行约束，因此定义管理对安全重视程度为间接影响模块。其次，人员的经验、意识、压力以及产品智能化程度，是人因失误的直接影响因素，因此，将人因绩效评价因子与风险评价因素关联机制定义为风险评价因素的直接影响模块。最后，事故率作为评价安全性的关键指标，也是模型中反馈的因素，通过反馈事故率进而影响间接影响模块和直接影响模块。因此，将事故率的计算过程定义为反馈模块。

模型中人因失误率计算过程如式（3）所示：

1）针对模型中4 类风险评价因素，其计算过程如式（3）所示：

式中：Y为风险评价因素，xi为风险评价因素影响因素，i为风险评价因素影响因素个数，ti为风险评价因素影响因素延迟时间，以年为单位，T为风险评价因素延迟时间，以年为单位。

2）对所得风险评价因素Y进行标准化处理得到YS，范围为［0，1］

3）以4 类风险评价因素结合9 类人因绩效评价因子，揭示人因绩效评价因子与风险评价因素关联机制，如下所示：

①将YS按式（5）进行分段处理：

②根据分段结果，结合CREAM 中观察、解释、计划和执行4 类认知功能构建如表3 所示人因绩效评价因子与风险评价因素关联矩阵。

表3 绩效因子与评价关联矩阵Table 3 Performance factor and evaluation correlation matrix

2.2 基于多视图体系的分层安全控制结构建模

2.2.1 多视图导弹装备体系结构模型

针对导弹装备的任务剖面特点，通过过程、任务、信息、资源以及组织5 类视图，构建多视图导弹装备体系结构模型。

1）过程视图

导弹装备任务的核心便是各环节之间的时序逻辑，在明确逻辑关系后，才能针对人员、设备等资源信息进一步做出合理的安排。因此选取过程视图为核心，将任务划分为多个环节，并将其按照对应时序逻辑的关系进行表达。

2）任务视图、信息视图

针对任务各环节，需要做出明确的操作内容指示，例如，任务的具体操作流程、所需完成的功能、人员之间的交接等内容。因此选取任务视图对各环节中操作内容，功能要求等内容进行表达。选取信息视图对任务中涉及的人员种类、操作手册以及人员之间交接内容等进行表达。

3）资源视图、组织视图

导弹装备任务人-机-环耦合特性明显，不仅包含导弹装备，还有辅助设备如车辆、供电设备、供气设备等，以及管理人员、保障人员等众多类型人员，多资源之间的交互，奠定了导弹装备任务的复杂性。因此明确所需资源以及人员组织关系，成为构建导弹装备任务多视图模型的关键。选取资源视图对系统中硬件资源、规章制度等进行表达。选取组织视图对系统中人员种类以及组织结构关系进行表达。

2.2.2 分层安全控制结构模型

基于多视图导弹装备体系结构模型，提出分层安全控制结构模型，其框架如图4 所示。包括2 大主体和4 个层次，分别为人因控制体和设备控制体。

图4 导弹装备分层安全控制结构模型Fig.4 Missile equipment hierarchical safety control structure model

针对人因控制体，包含设计层和操作层2 个层次。一方面，导弹装备任务中人-机-环耦合，任务流程、规章制度、操作指南等内容的合理设计是间接影响事故发生的关键因素，不合理的设计往往导致任务差错频出。另一方面，操作层人员直接对设备操作、发出指令来控制设备的运行，所以其状态如个人经验、心理因素、操作能力等是直接影响事故发生的关键因素。因此，构建设计层和操作层，分别代表管理层人员控制体和操作层人员控制体。设计层通过操作手册等约束对操作层施加控制，与此同时，操作层通过任务报告、事故报告等内容对设计层进行反馈以进行对任务的优化。

针对设备控制体，包含辅助设备层和关键设备2 个层次。一方面，关键设备如导弹是任务过程中不可或缺的主体。另一方面，吊装设备、运输设备、供电设备、告警设备等是保障设备任务成功的必要资源。因此构建关键设备层和辅助设备层，分别代表关键设备控制体和辅助设备控制体。辅助设备层通过运输、监测、维护等方式对关键设备施加控制，而关键设备层以当前状态作为对辅助设备层的反馈。

针对分层安全控制结构模型整体，人因控制体通过操作、指令、控制等约束条件对设备控制体施加控制，而设备控制体通过信息显示向人因控制体提供反馈，以供人因控制体对任务流程进行优化。

2.3 导弹装备任务安全性动态评价方法框架

结合2.1 和2.2 所提内容，提出导弹装备任务安全性动态评价方法，其框架如图5 所示，包含以下4 个步骤：

图5 导弹装备任务安全性动态评价框架Fig.5 Dynamic evaluation framework of missile equipment mission safety

步骤1：导弹装备多视图体系结构建模

首先针对导弹装备构建过程、任务、信息、资源、组织5 个视图，对导弹装备任务流程所涉及各类信息进行展示。

步骤2：导弹装备分层安全控制结构建模

首先根据导弹装备多视图体系结构确定导弹装备的安全约束并按照人-机-环耦合关系进行分解。其次根据分解后安全约束定义安全控制结构。然后根据安全控制结构对其可能打破约束的事故致因因素进行分析总结，进而构建分层安全控制结构模型。最后，根据模型中控制关系结合关键致因因素，将事故场景划分为协调类、控制类和反馈类分别表示不同的耦合条件下的事故类型。

步骤3：导弹装备人-机-环动态反馈评价模型

首先根据风险评价因素、人因绩效评价因子以及CREAM 中提供的认知功能构建人因绩效评价体系。然后构建人-机-环动态反馈评价模型。最后确定当前状态下人因失误率。

步骤4：导弹装备安全性仿真

首先针对分层安全控制结构模型中的控制体进行失效概率定义。针对设备控制体，根据寿命分布模型确定设备不可靠度进而定义设备控制体失效概率；针对人因控制体，根据步骤3 中人因失误率确定人因控制体失效概率。

然后，根据步骤2 中确定的事故场景以及控制体与控制渠道之间关联矩阵，对其进行仿真，其过程如下所示：

1）根据步骤2 中提供的关联矩阵定义控制体与控制反馈渠道之间的关联矩阵C。

2）根据步骤2 中提供的事故场景定义事故场景A，包括控制体和控制反馈渠道。

3）定义初始状态向量E=[e1，e2，…，en]T，式中n为模型中控制渠道个数，e为布尔值，0 为健康，1 为故障，初始状态为0。

4）依概率生成状态转移矩阵U=[u1，u2，…，un]T，式中n为模型中控制体个数，u为布尔值，0为健康，1 为故障，初始状态为0。

5）状态转移方程Ek+1=Ek+CU，式中E为每次仿真后的状态矩阵，k为仿真次数。

6）事故率计算：

式中：NA为事故总次数，PA为事故率。

7）针对系统中影响因素进行灵敏度分析，其函数如下所示：

式中：xi为影响因素，y为事故率。

最后，根据安全性仿真以及灵敏度分析确定导弹装备任务事故率以及任务中关键影响因素。

3 导弹装备贮存测试任务的安全性动态评价案例分析

本文以导弹装备长期贮存中的测试任务为例，对所提方法进行分析验证，并与仅考虑机-环耦合情况下事故率进行对比，验证所提方法的有效性与优越性。

3.1 导弹装备测试任务多视图体系结构建模

根据国军标等相关资料［31-32］，对导弹装备测试任务进行多视图体系结构建模，如图6～图9所示。

图6 导弹装备测试任务过程视图Fig.6 Process view for missile equipment test mission

首先，过程视图展现导弹装备包括16 个子任务，如图6 所示。

其次，任务视图和信息视图展现导弹装备测试任务中涉及的具体事件以及人员类型，如图7所示。任务视图详细展示各子任务所涉及的详细任务，如弹头弹体第一次分解再装，其详细任务即按照导弹再装技术要求分解弹头、弹体。信息视图详细展示各子任务中所涉及的参与人员类型，主要包括管理人员、保障人员、一岗人员以及二岗人员共4 种类型。

图7 导弹装备测试任务的任务视图和信息视图Fig.7 Mission and information view for missile equipment test mission

再次，组织视图展现导弹装备测试任务中各类型人员之间的交互关系，如图8 所示。

最后，资源视图展现导弹装备测试任务中所涉及的各类型设备，如配电系统、供气系统、导弹装备等，并展现设备之间的交互关系，以及所需的信息资源如任务手册、国家标准等，如图9所示。

图9 导弹装备测试任务资源视图Fig.9 Resource view for missile equipment test mission

3.2 导弹装备测试任务分层安全控制结构建模

1）导弹装备测试任务安全约束确定

导弹设备作为关键设备，其包含大量易燃易爆物质，一旦发生爆炸，将造成巨大人员和财产损失。根据表1，将其危险严重性和可能性风险评价为2D，不希望有的。因此，系统级安全约束定义为防止导弹燃烧爆炸。此外，依据多视图体系结构模型提供的任务信息，导弹装备测试任务涉及大量人员与设备，因此将系统级安全约束按照人员和设备2 个方面进行分解，其具体内容如表4 所示。

表4 导弹装备测试任务安全约束Table 4 Safety constraints for missile equipment test mission

2）导弹装备测试任务分层安全控制结构模型

根据确定的安全约束和多视图体系结构模型，构建导弹装备分层安全控制结构模型，并进行致因因素分析如图10 所示。

图10 导弹装备测试任务的分层安全控制结构模型Fig.10 Hierarchical safety control structure model for missile equipment test mission

模型中设计层包括管理人员，功能为向操作层传达规章制度、操作流程等约束以及接收操作层反馈的任务报告，意外情况等信息。操作层包括一岗人员、二岗人员和保障人员，功能为按照设计层规定的操作流程对辅助设备层发出指令、信号以实现对关键设备层的约束，并且接收辅助设备层与关键设备层反馈的数据、信号等内容，撰写任务报告反馈给设计层，以供设计层对任务的分析和改进。辅助设备层包括对关键设备进行检测、监视、温湿度调节、照明等功能，并且向操作层反馈关键设备的信息如损坏、失效等告警信号。关键设备层即为被测设备，提供测试对象。以上共同构成导弹装备测试任务分层安全控制结构模型。

3）导弹装备测试任务事故场景定义

针对上述分析，定义可能打破安全约束的3类共6 种事故场景，如表5 所示。具体事故场景分析与事故链如下：

表5 六类典型事故场景及其事故链Table 5 Six typical accident scenarios and their accident chains

①协调类（设计层-操作层）：由于管理人员流程设计问题，保障人员未及时检测出温湿度控制系统故障，进而导致一岗人员和二岗人员发生失误。

②协调类（操作层-操作层）：由于配电系统出现问题，保障人员未能及时与一岗人员进行沟通，导致系统中供电不足影响设备，最终造成事故发生。

③控制类（设计层-操作层）：由于管理人员操作手册设计问题，使保障人员遗漏检查接地设施，导致一岗人员进行操作时，引发静电导致事故发生。

④控制类（操作层-辅助设备层）：由于保障人员未能及时检测出各类型设备的健康状态，导致一岗人员使用时出现事故，进而导致燃烧爆炸。

⑤反馈类（辅助设备层-操作层）：由于告警系统出现问题，导致二岗测试人员未能及时发现并解决系统中故障问题，进而导致事故。

⑥反馈类（辅助设备层-操作层）：由于照明系统出现故障，导致一岗人员和二岗人员在慌乱的情况下，做出错误的判断，进而导致事故的发生。

3.3 导弹装备测试任务人-机-环动态反馈评价模型

1）针对导弹装备测试任务构建如表6 所示人因绩效评价因子与风险评价因素关联机制。

表6 导弹装备测试任务绩效因子与评价关联矩阵Table 6 Missile equipment test mission performance factors and evaluation correlation matrix

针对导弹装备测试任务中人员状态的不同，对4 类风险评价因素的初始值设置低、中和高3种状态，低状态下代表对人因可靠性呈现负面影响，中代表没有影响，高代表对人因可靠性呈现积极影响。其具体数值分别为1、1.08、1.14。

2）针对分层安全控制结构模型中的设备控制体，大型复杂设备其退化分布模型往往服从指数分布，因此，将导弹装备中所涉及的设备控制体退化失效模式定义为指数分布［33-34］，其故障率如图11 所示。

图11 设备控制体故障率Fig.11 Failure rate of equipment control subject

3.4 导弹装备测试任务安全性仿真

根据任务要求，导弹装备测试任务每季度进行一次，人-机-环动态反馈评价模型中4 类风险评价因素的初始状态设置为中，对上述6 种事故场景进行仿真迭代300 次。其过程如下所示：

1）根据图10 定义关 联矩阵C，如附表1所示。

2）根据事故场景定义事故场景A，包括控制体和控制反馈渠道，如表5 所示。

3）定义初始状态向量E0，如式（8）所示。

4）依据控制体对应的失误率在每次仿真过程中生成状态转移矩阵U。初始状态如式（9）所示。

5）状态转移方程Ek+1=Ek+CU，式 中k为300。

6）事故率计算PA=NA/300。

最终，6 种典型事故场景的事故率以及人因失误率结果与比较如图12 所示。同时，为了验证所提方法在人-机-环耦合下的优越性，对机-环耦合下的传统方法进行了验证比较，结果如图12所示。

图12 导弹测试任务6 种典型事故场景的事故率和人因失误率Fig.12 Accident and human error rates of missile test mission in six typical accident scenarios

由图12 可以看出，在人-机-环耦合情况下，所提方法得到的事故率均呈现出先降后升的趋势。在红框内，人-机-环耦合情况下所提方法的事故率的变化趋势与人因失误率的变化趋势基本一致。在红框外，人-机-环耦合情况下的事故率基本与机-环耦合情况下事故率的变化趋势一致。

因此，可以得出结论：在任务的初期，影响事故率大小的主要原因是人为因素。随着人员综合素质能力的提升，事故率随人因失误率的降低而降低。同时，随着时间的推移，导弹及其他设备逐渐退化，由设备原因导致的事故逐渐增多，成为主要事故原因。

最后，综合考虑6 种事故场景的事故率结果如图13 所示，包括人-机-环耦合情况下所提方法的事故率的变化曲线，导弹装备测试任务人-机-环耦合实际值的期望值，所提方法人-机-环耦合情况下期望值，以及机-环耦合情况下期望值。

图13 导弹装备测试任务事故率结果对比Fig.13 Results comparison of missile equipment test mission accident rate

由图13 可知，仅考虑机-环耦合状态下的事故率的期望值为2.16×10-5，考虑人-机-环耦合情况下的事故率的期望值为8.12×10-5。通过与中国运载火箭技术研究院设计人员研讨［33，35］，本文将事故率的值定为8.5×10-5。以此数值计算得到仅考虑机-环耦合状况下的事故率的精度为25.42%，考虑人-机-环耦合情况下的事故率的精度为95.5%，其精度提升了70.08%，验证了所提方法的优越性。

3.5 导弹装备测试任务风险评价因素分析

针对导弹装备中影响人因失误率的4 类风险评价因素进行灵敏度分析，以所设置初始值的低至高分别进行3 次仿真分析，其4 类风险评价因素的灵敏度占比如图14 所示。

图14 4 类风险评价因素灵敏度分析结果Fig.14 Sensitivity analysis results for four categories of risk evaluation factors

初始值为低的情况下，经验水平是影响事故率最大的人因影响因素。初始值为高的情况下，经验水平、任务压力的占比显著下降，安全意识成为了影响事故率的主要因素。因此，针对导弹装备测试任务，初期人员的经验水平是导致事故的主要因素，随着能力的提升，安全意识成为可能导致事故发生的关键因素。

3.6 基于分层安全控制结构的导弹装备任务安全性动态评价平台

基于所提方法，以Python 语言为基础开发软件平台，该平台包括4 部分：多视图体系结构建模、安全控制结建模、事故场景分析和仿真与分析，输出导弹装备任务分层安全控制结构模型、事故率、风险评价因素灵敏度分析等内容，实现基于分层安全控制结构的导弹装备任务安全性动态评价，如图15 所示。

图15 基于分层安全控制结构的导弹装备任务安全性动态评价平台Fig.15 Dynamic evaluation platform for missile equipment mission safety based on hierarchical safety control structure

4 结论

针对导弹装备任务的安全性评价中存在的动态更新和准确量化的难点。本文提出了一种基于分层安全控制结构的导弹装备任务安全性动态评价方法。首先，以多视图体系结构梳理导弹装备任务剖面信息。其次，以STAMP 理论为框架，构建导弹装备任务分层安全控制结构模型，实现安全性动态反馈过程，有效解决传统安全性评价方法无法进行动态更新的痛点。再次，结合STAMP 和CREAM 方法提出面向导弹装备任务的人员绩效评价体系，构建人-机-环动态反馈评价模型。最后，结合分层安全控制结构和人员绩效评价体系，实现针对导弹装备任务的安全性动态反馈评价。为针对导弹装备任务的安全性评价提供一种新的方法。

针对所提方法，对导弹装备测试任务进行验证分析。所提方法与仅考虑机-环耦合情况下的仿真事故率，分与对实际事故率期望值进行对比，其精度提升70.08%，显著提高了安全性动态评价的精度，同时也验证了所提方法的有效性与优越性。

针对导弹装备任务进行分层安全控制结构建模过程中，建模对象颗粒度较大，往往是针对系统级设备进行建模分析，缺乏对任务中结构颗粒度细化的研究。因此在未来的工作中，将针对该难点，对所提方法进行进一步的优化。

附录A：关联矩阵C

续表