CN112989604B - 一种基于贝叶斯网络的致因场景安全性定量评价方法 - Google Patents

Abstract

本发明提供一种基于贝叶斯网络的致因场景安全性定量评价方法，其步骤如下：步骤1：基于多资源理论确定认知过载模型节点；步骤2：基于多资源理论确定认知过载模型相关关系；步骤3：基于模式匹配的决策理论确定认知混淆模型节点与相关关系；步骤4：对致因场景层进行建模；步骤5：对人为失误层与事故层进行建模。通过以上步骤，本发明达到了在考虑认知过载和认知混淆两类人误机理的情况下对致因场景进行定量评价的目的，它能在设计阶段对系统和设备进行评估，以支持相关改进，具有很高的实用价值。

Description

一种基于贝叶斯网络的致因场景安全性定量评价方法

技术领域

本发明提供一种基于贝叶斯网络的致因场景安全性定量评价方法，它以贝叶斯网络为基 础，通过对典型认知机理进行建模，用以定量评价不同致因场景可能发生的安全性事故的概 率。现代设备所执行的任务更为多样，系统更为复杂，这也决定了可能出现的事故后果更为 严重，附带影响更为恶劣，因此对设备可能存在的风险场景开展安全性定量评价十分必要。 本专利的主要任务是应用贝叶斯网络，对致因场景进行事故成因分析，确定事故演化途径及 其发生概率大小，以支持在设计阶段改进相关设计，属于安全性定量评价技术领域。

背景技术

基于贝叶斯网络的风险场景定量评价方法的核心就是应用贝叶斯网络对认知过载和认知 混淆两类认知机理进行建模。下面分别从认知过载和认知混淆的角度，对为何对这两种认知 机理进行介绍。

认知过载定义为在存在时间窗口的前提下，人由于认知资源有限而未能感知到所需的全 部信息的状态。国际上主流的对于认知过载的建模仿理论是美国科学家Wickens提出多资源 理论。多资源理论包含四个维度：阶段、知觉通道、视觉加工和加工代码，解释了人机交互 认知过程中信息的来源和资源的分配消耗问题。阶段指人机交互行为中的感知、认知和反应 三个阶段，分别对应于信息感知、判断决策和操作执行阶段。知觉和认知阶段用到的资源是 一样的，包括视觉、听觉和言语认知，并且在功能上与反应阶段的使用资源有所区别。据图， 任务的完成由信息加工的不同阶段组成，由公共的资源支持存在资源竞争，需求知觉认知加 工任务间存在大量的干扰。知觉通道描述的是认知资源通道，包括视觉通道、听觉通道和触 觉通道。跨通道的认知资源时间共享比通道内的更好，如同时看报纸和与人交流需用资源要 比识别同时性听觉信息要简单。完成任务时，需要将资源分配到多种通道。视觉加工分为焦 点视觉和外周视觉两种。两者使用单独的资源，能够实现有效的时间共享，前者用于感知精 细细节、模式和物体识别，例如辨识具体数字、阅读文字等，后者包含大量的周围视觉，用 于感知方向和自我运动。加工代码反映模拟/空间和类别/符号(通常是语言的或言语的)加工 之间的区别。在知觉、认知和反映上，空间和言语的加工都依赖于独立的资源。假设手动反 应在本质上是空间的(追踪、驾驶操纵杆或鼠标运动)，声音反应通常是言语的，那么空间和 言语资源的区分就可以解释手动和声音反应可以实现时间共享，从而保持相对高的效率。然 而在现实中,对于多资源理论的使用有两个问题，1)未体现环境因素对认知过载预测结果的影 响；2)环境因素的评测可能会引入不确定性，需要引入专门的处理工具。

除了认知过载，还有一类认知机理是认知混淆。认知混淆指的是人由于感知信息不完全 (缺失)或感知信息错误而又没有通过信息复核验证，最终形成系统故障的错误判断状态。 认知混淆通用的建模方法是基于模式匹配的决策理论。在多任务状态下，机器可能的潜在故 障会造成人获取到错误或者缺失的信息；另外，资源分配的不合理同样会造成重要的信息未 能捕获；时间窗口的减小会造成并行任务的产生，可能也会造成信息未能有效获取。人能够 用于识别故障诊断的信息仅包含终端显示信息，如人机交互显示界面上的信息、外界环境观 察获得的信息、通讯渠道获取的信息、与同伴交流获得的、触觉或嗅觉获得的。由于错误或 者缺失信息的存在，可能有多个产生式规则的条件同时被满足。因为当前信息每次只允许一 个产生式规则被激发，所以需要系统提供选择机制选择特定规则激发。当产生式规则出现错 误的模式匹配，就会出现认知混淆。

在实际情况中，为了描述认知过载与认知混淆这两类认知机理，立足于风险场景的安全 性评估，引入了基于贝叶斯网络来对风险场景进行定量评价。

发明内容

(1)目的：本发明提供一种基于贝叶斯网络的致因场景安全性定量评价方法，即一种基 于贝叶斯网络方法，该贝叶斯网络涵盖致因场景中的主要要素，并体现了认知过载和认知混 淆两类认知机理的发生和演化过程，能对不同的致因场景进行安全性定量评估。

(2)技术方案：

1、认知过载建模

认知过载的贝叶斯网络建模方法描述了认知过载机理产生、演化过程，并结合贝叶斯网 络建立了人机交互认知过载失误模型。模型中，认知资源基本值，认知资源冲突值与PSF因 子作为输入节点，认知过载状态作为输出节点；在输入节点中，认知资源基本值和认知资源 冲突值用于描述人完成任务所需消耗的资源与资源之间的冲突情况，而PSF因子则作为修正 因子描述环境条件对人的状态的影响；在输出节点中，我们将7作为识别认知过载与否的阈 值，一旦计算得到的认知资源消耗超多7，我们即认为操作者处于认知过载状态；

2、认知混淆建模

认知混淆机理模型以基于模式匹配的决策理论为基础，输入节点为进行模式匹配所需的 各信息状态，输出节点为信息混淆与否；当输入节点信息量不足以进行正确的模式匹配时， 模型就会输出错误的信息；认知混淆模型与认知过载模型共同构成了致因场景安全性建模的 基础；结合认知混淆和认知过载机理，可对致因场景中的人误机理进行描述；

3、基于贝叶斯网络的致因场景安全性建模

结语贝叶斯网络的致因场景安全性模型整体为四层架构，分为致因场景层，人误机理层， 人为失误层和事故层，其中致因场景指发生事故或者事故征候时的人、机、环状态，人误机 理层指在环境条件下认知混淆、认知过载和认知控制模式的演化机理，人为失误层承接人误 机理产生的后果，代表信息或者动作受人误的影响情况，最后为事故层，代表信息或动作缺 失后的场景演化结果。这四层环环相扣，构成了整个致因场景安全性建模的体系；基于该框 架，可以建立基于贝叶斯网络的致因场景安全性模型，并支持定量评估；

本发明为一种基于贝叶斯网络的致因场景安全性定量评价方法，其实施步骤如下：

步骤1：基于多资源理论确定认知过载模型节点；我们可以确定17个基于贝叶斯网络的 认知过载模型中的节点，分别是9个PSF因子节点，4个认知需求节点，3个认知权重节点 和1个认知过载状态节点；其中，PSF因子节点和认知需求节点是输入节点，认知权重节点 是中间节点，认知过载节点是输出节点；

(“PSF”即Performance Shaping Factor，是指绩效形成因子)

步骤2：基于多资源理论确定认知过载模型相关关系；主要有两对相关关系需要确定， 分别是从绩效形成因子节点即PSF因子节点到权重节点的相关关系，和从权重节点和认知需 求节点到输出节点的相关关系；

步骤3：基于模式匹配的决策理论确定认知混淆模型节点与相关关系；在认知混淆模型 中，输入节点个数并不确定，要根据实际情况确定；事实上，所有信息感知任务均存在认知 混淆的风险，输出节点则是认知混淆；该贝叶斯网络中，连接弧只有一个，即信息感知节点 与认知混淆节点之间的相关关系；

步骤4：对致因场景层进行建模；

步骤5：对人为失误层与事故层进行建模；

通过以上步骤，本发明达到了在考虑认知过载和认知混淆两类人误机理的情况下对致因 场景进行定量评价的目的，它能在设计阶段对系统和设备进行评估，以支持相关改进，具有 很高的实用价值。

其中，在步骤1中所述的“基于多资源理论确定认知过载模型节点”，其具体作法如下： 输入节点为PSF因子，认知需求值与冲突需求值，因为所考虑的PSF因子共有9类，而认知 需求值与冲突需求分别由3类与1类，故需要13个输入节点；PSF因子可生成权重因子对三 类认知需求值进行修正，故中间节点为求得的3类权重因子；输出节点为由权重值、认知需 求值和冲突需求值所求的认知过载值。

其中，在步骤2中所述的“基于多资源理论确定认知过载模型相关关系”，其具体作法如 下：PSF因子到权重因子的相关关系可从认知可靠性与失误分析方法即CREAM方法中得出， 而从权重节点和认知需求节点到输出节点的相关关系可由加权求和得出。

(“CREAM方法”即Cognitive Reliability and Error Analysis Method，是指认知可靠性与失误 分析方法)

其中，在步骤3中所述的“基于模式匹配的决策理论确定认知混淆模型节点与相关关系”， 其具体作法如下：认知混淆所需的节点需根据实际情况确定，感知信息为输入节点，认知混 淆状态为输出节点，当一个或者多个信息缺失时，会出现认知混淆状态；步骤1,2,3为认知机 理层建模；

其中，在步骤4中所述的“对致因场景层进行建模”，其具体作法如下：致因场景层主要 包含三个要素，分别是代表人、机、环、任务状态的PSF因子和认知控制模式，根据案例实 际情况，可以确定PSF因子状态与具体认知控制模式；

其中，在步骤5中所述的“对人为失误层与事故层进行建模”，其具体作法如下：对事故 案例进行任务分析，确定其具体任务与其对应信息，并确定事故演化路径，最终可得致因场 景安全性评估结果。

(3)本发明的优点及功效：

本发明提出了一种基于贝叶斯网络的致因场景安全性评价方法，它涵盖了认知混淆和认 知过载两类认知机理，可支持设备与系统改进设置；其功效主要在于以下两个方面：

1、引入了认知过载和认知混淆两类人误机理，体现了人误机理对于人机交互的影响；

2、定量评估方法可对致因场景进行定量评估，利用该定量评估结果，可以对风险致因场 景的成因进行分析，以探索事故发生机理，了解事故后果与人、机、环、任务等因素的关系，从而有针对性地进行改进，提高人机系统安全性；

3、本发明所述方法科学，工艺性好，具有广阔推广应用价值。

附图说明

图1是本发明基于贝叶斯网络的致因场景安全性建模框架示意图。

图2是本发明控制模式和PSF分数的关系示意图。

图3是本发明认知机理与认知控制模式的贝叶斯网络描述示意图。

图4是本发明致因场景的贝叶斯网络示意图。

图5是本发明所述方法流程图。

图中序号、符号、代号说明如下：

PSF代表Performance Shaping Factor，绩效形成因子

具体实施方式

认知过载建模

认知过载的贝叶斯网络建模方法描述了认知过载机理产生、演化过程，并结合贝叶斯网 络建立了人机交互认知过载失误模型。模型中，认知资源基本值，认知资源冲突值与PSF因 子作为输入节点，认知过载状态作为输出节点。在输入节点中，认知资源基本值和认知资源 冲突值用于描述人完成任务所需消耗的资源与资源之间的冲突情况，而PSF因子则作为修正 因子描述环境条件对人的状态的影响。在输出节点中，我们将7作为识别认知过载与否的阈 值，一旦计算得到的认知资源消耗超多7，我们即认为操作者处于认知过载状态。

认知混淆建模

认知混淆机理模型以基于模式匹配的决策理论为基础，输入节点为进行模式匹配所需的 各信息状态，输出节点为信息混淆与否。当输入节点信息量不足以进行正确的模式匹配时， 模型就会输出错误的信息。认知混淆模型与认知过载模型共同构成了致因场景安全性建模的 基础。结合认知混淆和认知过载机理，可对致因场景中的人误机理进行描述。

基于贝叶斯网络的致因场景安全性建模

贝叶斯网络的致因场景安全性模型整体为四层架构，分为致因场景层，人误机理层，人 为失误层和事故层，其中致因场景指发生事故或者事故征候时的人、机、环状态，人误机理 层指在环境条件下认知混淆、认知过载和认知控制模式的演化机理，人为失误层承接人误机 理产生的后果，代表信息或者动作受人误的影响情况，最后为事故层，代表信息或动作缺失 后的场景演化结果。这四层环环相扣，构成了整个致因场景安全性建模的体系。基于该框架， 可以建立基于贝叶斯网络的致因场景安全性模型，并支持定量评估。

本发明一种基于贝叶斯网络的致因场景安全性定量评价方法，如图5所示，其实施步骤 如下：

步骤1：基于多资源理论确定认知过载模型节点。我们可以确定17个基于贝叶斯网络的 认知过载模型中的节点，分别是9个Performance Shaping Factor(PSF)节点，4个认知需求 节点，3个认知权重节点和1个认知过载状态节点；其中，PSF因子节点和认知需求节点是 输入节点，认知权重节点是中间节点，认知过载节点是输出节点，下面对这四个节点分别介 绍：

认知需求值节点

根据认知过载机理模型，每个任务的基本认知需求可以用如下向量表示：

TC＝{VF,VA,AS,AV,CS,CV,RS,RV}

式中，第一个位置的V表示视觉(Visual)，A表示听觉(Auditory)，C表示认知(Cognitive)， R表示反应(Response)；第二个位置的F表示焦点(Focal)，A表示外周(Ambient)，S表示 空间的(Spatial)，V表示言语的(Verbal)。TC中每个元素都代表了资源的占用维度。例如， 观察空速管数据任务主要占用焦点视觉通道，因而其基本认知资源需求可以表示为TC＝{1，0， 0，0，0，0，0，0}，在不引起歧义的情况下，也可以简化表示为VF＝1；VF、VA、AS、AV 之和即为感知资源需求值，CS、CV之和即为认知资源需求值，而RS、RV之和即为动作资 源需求值；

这几种资源需求之间还存在着冲突，这种资源间的冲突也会占用资源，这里将其命名为 冲突资源，冲突资源的确定一般依据认知资源冲突矩阵来确定；冲突矩阵反映了两项任务占 用多资源模型维度重叠时所导致的额外认知资源耗费；其基本思想是，若两项任务完全冲突 时(占用相同的认知资源需求维度)，则耗费较大；而当两项任务对基本认知资源需求的维度 不同(例如监视仪表和察觉声音告警)时，则耗费较小；美国科学家Wickens给出了一个典 型的冲突矩阵，如表1所示；若当前同时进行任务A和任务B，前者的基本认知资源需求为 VF＝1，后者的基本认知资源需求为VA＝1和RS＝1，则根据表1，任务A中VF与任务B中 VA和RS的认知资源冲突分别为0.6和0.4；

表1资源需求冲突矩阵

当并行任务数量为3及以上时，多资源理论提出的认知资源需求量化方法不再适用。针 对并行任务数量为大于等于3时认知资源需求总量的计算，本项目进行了改进，其量化步骤 如下：

确定并行任务优先级

通过两两比较的方式明确并行任务的优先级，按照优先级的高低对任务进行排序，即得 到T₁,T₂,T₃......T_n的任务排列。其中，n为并行任务数量且n≥3；T_i的优先级高于T_i+1。

确定任务基本认知资源需求

这一步骤与上述方法相同，依据任务描述，明确各项并行任务消耗的认知资源类型，同 时确定对每种认知资源需求量的大小，即得到认知资源向量：

TC_i＝{c_i1,c_i2,c_i3,c_i4,c_i5,c_i6,c_i7,c_i8}

式中，TC_i表示第i个任务的认知资源向量且1≤i≤n；c_ij(1≤i≤n,1≤j≤8)分别对应 VF,VA,AS,AV,CS,CV,RS和RV的取值。

确定任务之间认知资源的冲突值

首先将优先级排在前n-1位的任务对应的认知资源向量进行合并，合并的原则为对应分 量相加且和不大于2，再依据冲突矩阵与优先级最低的任务进行认知资源冲突值1的确定； 然后将优先级排在前n-2位的任务对应的认知资源向量按照相同原则进行合并，再依据冲突 矩阵与优先级为n-1的任务进行认知资源冲突值2的确定；依此类推，最终确定优先级为1 的与优先级为2的任务之间的认知资源冲突值n-1；

根据以上描述，在贝叶斯网络建模中，认知需求节点共有4个节点，分别是感知资源节 点，认知资源节点，动作资源节点和冲突资源节点；其中，感知资源节点有81个状态，代表 VF，VA，AS，AV四种模式的不同情况的组合；认知资源节点有9个状态，代表CS，CV两 种模式的不同情况的组合；动作资源接地那也有9个状态，代表RS，RV两种模式的不同情 况的组合；冲突资源节点有8个状态，代表所有取值情况。

PSF因子节点

CREAM方法将环境影响因素归纳成九大因子，每个PSF因子有不同的几个水平等级， 不同的PSF因子及其水平等级如表2所示；根据表2，可以确定贝叶斯网络中的9个PSF因子节点及其水平状态；

表2 PSF因子及其水平等级

权重节点

根据PSF因子，可以确定对感知资源，认知资源和动作资源的权重值；这样，在贝叶斯 网络中，权重节点分别有三个，分别是感知资源权重值，认知资源权重值和动作资源权重值；

认知过载状态节点

模型的输出节点为认知过载状态；鉴于通过多资源理论转换，我们已经将认知过载量化 为一个数值。那么为了确定认知过载是否发生，我们需要明确是否存在一个临界值；在多资 源理论中，7常被认为是认知过载的临界值；超过7时，我们就认为发生了认知过载状态； 这么假设是很合理的，有两个方面的依据支持这个论点，首先从理论上，假如认知过载值大 于7的话，那么意味着至少有三种类型的认知资源正在被占用，而我们知道，人在同一时间 占用的认知资源越多，代表操作者目前需要操作的任务越多，这大概率会使得操作任务数量 超过人的可接受范围，从而造成人的认知过载；实践中，不同的文献也用实验等方式证明了 7作为认知过载临界点的合理性；

在贝叶斯网络中，认知过载状态节点有两个状态，分别是正常状态和认知过载状态，分 别代表认知过载计算值为(0，7)和[7，+∞]的状态；

步骤2：基于多资源理论确定认知过载模型相关关系。主要有两对相关关系需要确定， 分别是从PSF因子到权重节点的相关关系，和从权重节点和认知需求节点到输出节点的相关 关系，下面分别介绍这两类相关关系：

PSF因子与权重节点的相关关系

PSF因子的主要作用是为了对认知需求值进行修正；根据CREAM扩展法，不同的修正 因子依据不同的认知阶段被分配到不同的PSF水平上，而CREAM方法中的认知阶段与多资 源理论中的阶段类似，这为两种方法的结合奠定了基础；CREAM方法中的修正因子值如表3 所示；确定PSF因子水平范围后，再根据表3确定该PSF因子对应的修正因子值，将隶属于 同一认知过程的修正因子相乘，即可得到相应的基础认知资源需求的修正值；在贝叶斯网络 中，根据表3，可确定从PSF因子到权重节点的CPT表；

表3 PSF因子对认知资源的修正因子值

权重节点、认知需求值节点与认知过载状态节点的相关关系

另一个相关关系发生在权重因子节点、认知资源基本值节点和认知过载节点之间；之前 的分析中，我们已经分析得到了认知资源基本值，并由2.3.2.1得到了权重因子；现在我们需 要将这些节点进行组合进一步向上传递；依据多资源理论，总认知资源需求值与不同认知资 源之间呈线性关系，也就是说，总认知资源被认为是不同认知资源之和；这样处理有其合理 性和简便性，我们这里也采用这种处理方法，依据下式可以确定总认知资源；

式中，MWL为计算得到的认知过载状态，WF为针对不同认知资源基本需求值的权重因 子，TDL为不同类型的认知资源基本值，COV为不同认知资源基本值的冲突资源值；在贝叶 斯网络中，连接弧从权重节点和认知需求值节点指向认知过载节点，其CPT也根据上式确定；

(上述“CPT”即Conditional Probability Table，是指条件概率表)

步骤3：基于模式匹配的决策理论确定认知混淆模型节点与相关关系；在认知混淆模型 中，输入节点个数并不确定，要根据实际情况确定；事实上，所有信息感知任务均存在认知 混淆的风险，输出节点则是认知混淆；该贝叶斯网络中，连接弧只有一个，即信息感知节点 与认知混淆节点之间的相关关系：

认知混淆节点

认知混淆节点作为输出节点，也分为两种状态，分别是认知混淆发生与否；当认知混淆 发生时，操作者对当前状态判断处于错误情况，此时出现人误的概率大大增加；当认知混淆 未发生时，操作者对当前状态的判断处于正确状态，在不考虑主观人误的情况下一般会执行 正确操作；在贝叶斯网络中，认知混淆节点个数为1个，其状态有2类；同样以3.2.3的应用 示例为例，当处于认知混淆时，飞行员认为当前飞行器处于发动机带火飞行阶段，从而可能 执行错误的操作；

相关关系确定

从逻辑上讲，信息不完整导致的模式不匹配，是认知混淆产生的主要原因；从这个角度 出发，信息感知状态与认知混淆之间应该是逻辑或的关系，这是因为本次决定认知混淆状态 判断的信息应该是互为备份的，当任一信息被感知到，那么操作人员对于当前状态的判断一 定是正确的；当所有信息感知的渠道均被屏蔽，那么操作人员对于当前状态的判断就会出现 混淆；

步骤4：基于贝叶斯网络的致因场景安全性建模，在致因场景安全性建模过程中，除人 误机理外，还需要考虑认知控制模式，潜在故障，动作，信息与任务等因素；基于贝叶斯网 络的致因场景安全性建模需要综合考虑以上因素，并具体分析不同因素组合下可能的事故演 化路径；基于贝叶斯网络的致因场景安全性建模总体框架如图1所示；该框架分为四层，自 下向上分别是致因场景、认知机理、人为失误、事故。致因场景层描述影响人机系统安全性 的人、机、环、任务状态以及可能存在的潜在故障等因素；从贝叶斯网络的结构来说，致因 场景层是输入节点，其概率分布可以根据定性分析结果和专家判断得到；认知机理层则描述 的是认知过载和认知混淆两类认知机理；第三层是人为失误层，描述的是可能的认知过载、 认知混淆状态和不同认知控制模式对信息获取和操作的影响；最后一层为事故层，描述不同 人为失误对任务的影响，并藉由不同任务组合形成的不同演化路径，最终得到安全性事故概 率；本步骤介绍致因场景层建模过程：

致因场景分析是整个贝叶斯网络建模的基础，致因场景主要包含三个要素，分别是代表 人、机、环、任务状态的PSF因子和认知控制模式；其中PSF因子类型及其水平在步骤1中 已有详细描述，这里仅叙述其对认知控制模式的影响；

认知控制模式这一概念最早在CREAM方法中提出。在CREAM方法中人的认知控制模式是指操作人员在为适应或者克服任务环境所必需的能力或者必须付出的努力；CREAM方法中确定认知控制模式遵循以下步骤：

·评价PSF因子

根据情景环境，由专家或技术人员对9种PSF因子的水平进行评价，确定每种PSF的水 平；这里可以利用专家打分的方式，先对各PSF包含的影响因素进行专家打分，打分范围为 [0，10]，然后利用下式计算得到各PSF因子的水平范围，从而确定PSF因子水平分布；

式中n为PSF因子包含的影响因素的数目，W_i为各影响因素的权重，P_i为各影响因素的打分 值。然后根据打分结果得到期望效应。

表4 PSF因子水平及其影响因素

·确定可能的控制模式

CREAM中按人的绩效可靠性的从高到低，将人的控制模式分为四种：战略型(Strategic)、 战术型(Tactical)、机会型(Opportunistic)、混乱型(Scrambled)；人处在哪种控制模式是由 所处的情景环境而决定的；其中战略型对应人的绩效可靠性最高，操作人员有足够的时间分 析形势并做出合理计划，操作步骤或者动作收到任务情景的影响和控制较小；战术型下操作 人员的行为与活动很大程度上会遵照现有的规程计划进行，但计划的完善性受情景影响而有 所不足；机会型下人对情景环境不清楚或者现场太过混乱，每下一步动作的选择主要依赖于 对人误情景的突出特征的感知经验，对事故只能存在有限的计划或期望性判断；混乱型下操 作人员由于不可预知等突发情况下陷入丧失控制的混乱状态下，对任务执行以及事故处理基 本丧失了思考决策能力和控制能力；四种控制模式和PSF因子分数之间的关系如图1所示。

根据上面步骤中对PSF因子的评价结果，考虑每种PSF对绩效可靠性的期望效应，计算 对绩效可靠性的期望效应为降化、不显著、改进的PSF因子数目之和，得到一组[∑_降低，∑_不显著，∑_改进]值。根据[∑_降低，∑_改进]的值，在图2中确定该情景环境下人完成任务所处的控制模式；

·确定人误概率区间

根据确定的控制模式，即可由表5所示的控制模式和概率区间的关系，得到人完成该任 务时可能发生失效概率的区间，即人误概率的区间；

表5 PSF因子及其绩效可靠性

表6认知控制模式与概率区间

认知控制模式	失效概率区间
		战略型	0.000005<p<0.01
战术型	0.001<p<0.1
		机会型	0.01<p<0.5
混乱型	0.1<p<1

上述过程反映在贝叶斯网络建模中，包括以下四个步骤：

1)确定9个PSF和其期望效应。贝叶斯网络建模的第一步是确定每个PSF因子的期望 效应；这里，PSF_i定义为第i个PSF因子的水平集合，例如PSF₁代表PSF因子组织的有效应的四种状态：非常有效，有效，无效，效果差；期望效应_i代表了期望效应的状态集合，包括三种状态：降低，不显著，改进；

2)分组计算期望效应之和；第二步需要计算降低与改进的个数之和，根据计算可知，降 低与改进的个数共有55种组合情况，所以需要确定对应着55种组合情况的条件概率表；然 而，这一步骤对应的CPT极为庞大，共有1082565种情况，在实践中全部确定非常困难，并 且也超出了软件的计算范围。因而，为了减少CPT规模，我们将9个PSF分为三个组，组织 的完善性，工作条件，人机界面与运行支持的完善性为第一组，规程/计划的可用性，同时出 现的目标数量和可用时间为第二组，值班时间，培训和经验的充分性和班组成员的合作质量 为第三组。第一组结果共有10种可能的情况，分别是{(0，0)，(0，1)，(0，2)，(0，3)，(1， 0)，(1，1)，(1，2)，(2，0)，(2，1)，(3，0)}；

3)评估PSF得分；第三步是评估PSF得分，PSF得分有55种情况：{(0，0)，(0，1)， (0，2)，…，(7，2)，(8，0)，(8，1)，(9，0)}；根据不同分组计算结果的简单叠加，可以得 到最终的PSF得分；由于该过程的CPT较为庞大，这里不再展开；

4)确定认知控制模式；最后一步是根据图2得到认知控制模式；该步骤的CPT是图的 直接转化，这里不再赘述；

认知控制模式的贝叶斯网络建模结果如图3所示；该贝叶斯网络共有24个节点，其中9 个节点为PSF因子，9个节点为期望效应，5个中间计算节点，1个反映认知控制模式的输出 节点；从PSF因子节点到期望效应节点的CPT表由表3得到；从期望效应节点到中间计算节 点主要在计算[∑_降低，∑_改进]的值，可由数学运算得到；由[∑_降低，∑_改进]的值，可得最终的认知 控制模式；

步骤5：人为失误层与事故层建模，主要包括任务分析与事故演化过程分析；

任务分析

任务分析的主要目的是辨识不同任务及确定影响任务的相关因素；只有分析确定任务层 次，并确定影响这些任务的信息和操作，才能为之后的分析建立基础；

任务分析的前提是操作员处于多任务处理状态，在多任务并行的状态下，操作者需要对 任务进行分类，以确保重要度较低的任务不影响重要度较高的任务的执行；这样，根据其重 要程度的排序，可以将任务显性地分为主任务和次任务；主任务是任务中最为重要的部分， 是任务效率与安全的保证，因此占用的资源最多，次任务重要性较低，投入的资源也较少； 在任务进程中，还存在一些临时任务，临时任务是事先规划中没有的任务，这种任务往往具 有一定的突然性，操作者可能没有足够的时间和足够的知识来处理该临时任务；临时任务发 生的频率虽不高但对整体任务成功存在一定的影响；

在贝叶斯网络中，主任务、次任务和临时任务都可以作为节点进行分析；但仅仅有这些 节点还不够，我们还需要确定影响这些任务的信息和动作；每个任务可能都有一个或者几个 关联信息与动作，这些信息和动作对任务的成败起到很大的支撑作用，若信息获取完全且动 作执行正确，任务成功概率较大；信息获取与动作执行主要由认知机理与认知控制模式影响； 认知机理中认知过载主要影响任务进程与认知混淆；认知混淆主要输出错误的认知状态，该 状态可能会影响任务的成功与否；认知控制模式会影响影响任务的关键动作的执行；不同任 务的贝叶斯网络结构均不同。描述了一种可能的贝叶斯网络结构；从图中可以看出，在确定 人、机、环、任务的PSF因子状态后，可以确定认知控制模式认知过载水平；假设临时任务 2为操作类任务，当认知控制模式分别为战略型、战术型、机会型、慌乱型时，临时任务2 受环境的影响越来越严重，其成功概率也逐渐降低；认知过载水平节点会连接到信息节点， 代表认知过载状态会影响该信息的获取程度；当处在认知过载状态时，相应信息的获取成功 概率会降低，甚至一些优先级低的任务会直接放弃；对于认知混淆，我们将其嵌入到了任务 过程中，如图中所示，次任务的完成需要信息3，信息4，信息5，而这些信息的获取与否会 直接决定操作者是否处于认知混淆状态；出现认知混淆后，操作者会对当前任务的模式产生 混淆，如当前飞行器已经处于风险状态，但是操作者可能没有必要信息支撑，可能反而认为 此时飞行器状态正常，认知混淆会使其直接相连的节点状态异常；

事故演化过程分析

事故演化过程描述了不同任务之间的相互影响过程；事实上，安全事故的不同任务之间 存在一定的因果性，这个因果性体现在各任务的联系性、继承性和层次性；首先，一切安全 事故的发生都是有原因的，这些致因因素或者是事故的直接原因或者是事故的潜在危险因素， 它们在一定的时间和空间内相互联系、相互作用就会导致系统的隐患、偏差、故障、失效， 从而导致安全事故；其次，人机系统安全事故的发生往往是在初始事件的干扰下，众多中间 事件效果累积的最终结果，不同事件之间存在继承性和效果的累积性，效果累积的过程是系 统流变的过程，而最终结果—事故的发生则是系统突变的表现；第三，事故的联系性、继承 性同时也说明了事故的层次性，事故的原因是多层的，有的原因与事物有直接联系，有的则 有间接联系往往单纯的一个原因无法造成事故，而是诸多不利因素相互作用，经过一系列的 中间过程这个过程在时间维度上可能很长也可能很短促成事故；

安全事故是系统不安全因素或称危险源、系统结构受系统内外因素影响而扰动产生的结 果，单纯一个原因往往不能导致事故的发生，多因素影响及因素间的相互作用往往是人机系 统安全事故发生的先决条件，因此，这些不安全因素及系统结构何时、何地受到内外因素的 影响，在何种影响程度下会导致事故的发生往往是不可预知的，所以事故的偶然性是客观存 在的，并且这种偶然性和是否掌握了事故发生的原因是毫无关系的，换言之，即便完全掌握 了事故发生的原因，也不能保证事故绝对不发生；另外，安全事故的偶然性还体现在事故后 果的随机性上，事故是否会导致后果以及事故后果的严重程度都是难以预测的；人机系统安 全事故的偶然性也说明事故是不可能完全杜绝的。安全事故的因果性决定了其必然性。事故 是一系列因素、事件互为因果、连续发生的结果，事故因素、事件及其因果关系的存在就决 定了事故或早或晚就会发生，而事故的偶然性所表征的只是事故发生的时间、地点及后果具 有随机性的特点而已，安全事故的必然性说明事故无处不在，安全只是动态的安全、人类可 接受条件下的相对的安全；

完整的贝叶斯网络如图4所示；整体来看，该贝叶斯网络将框架中的四层结构全部包含 在内，所描述的要素完整。

Claims (5)

1.一种基于贝叶斯网络的致因场景安全性定量评价方法，其特征在于：步骤如下：

步骤1：基于多资源理论确定认知过载模型节点；确定17个基于贝叶斯网络的认知过载模型中的节点，分别是9个绩效形成因子节点即PSF因子节点，4个认知需求节点，分别是感知资源节点、认知资源节点、动作资源节点和冲突资源节点；3个认知权重节点和1个认知过载状态节点；其中，3个认知权重节点分别是感知资源权重值、认知资源权重值和动作资源权重值；其中，PSF因子节点和认知需求节点是输入节点，认知权重节点是中间节点，认知过载节点是输出节点；

步骤2：基于多资源理论确定认知过载模型相关关系；有两对相关关系需要确定，分别是从绩效形成因子节点即PSF因子节点到权重节点的相关关系，和从权重节点和认知需求节点到输出节点的相关关系；

步骤3：基于模式匹配的决策理论确定认知混淆模型节点与相关关系；输入节点个数根据实际情况确定；所有信息感知任务均存在认知混淆的风险，输出节点则是认知混淆；该贝叶斯网络中，连接弧只有一个，即信息感知节点与认知混淆节点之间的相关关系；

步骤4：对致因场景层进行建模；贝叶斯网络的致因场景安全性模型整体为四层架构，分为致因场景层，人误机理层，人为失误层和事故层，其中致因场景指发生事故或者事故征候时的人、机、环状态，人误机理层指在环境条件下认知混淆、认知过载和认知控制模式的演化机理，人为失误层承接人误机理产生的后果；

步骤5：对人为失误层与事故层进行建模；具体做法为：对事故案例进行任务分析，确定其具体任务与其对应信息，并确定事故演化路径，最终得出致因场景安全性评估结果。

2.根据权利要求1所述的一种基于贝叶斯网络的致因场景安全性定量评价方法，其特征在于：在步骤1中所述的基于多资源理论确定认知过载模型节点，具体做法如下：输入节点为PSF因子，认知需求值与冲突需求值，因为所考虑的PSF因子共有9类，而认知需求值与冲突需求分别由3类与1类，故需要13个输入节点；PSF因子能生成权重因子对三类认知需求值进行修正，故中间节点为求得的3类权重因子；输出节点为由权重值、认知需求值和冲突需求值所求的认知过载值。

3.根据权利要求1所述的一种基于贝叶斯网络的致因场景安全性定量评价方法，其特征在于：在步骤2中所述的基于多资源理论确定认知过载模型相关关系，具体做法如下：PSF因子到权重因子的相关关系能从认知可靠性与失误分析方法即CREAM方法中得出，而从权重节点和认知需求节点到输出节点的相关关系能由加权求和得出。

4.根据权利要求1所述的一种基于贝叶斯网络的致因场景安全性定量评价方法，其特征在于：在步骤3中所述的基于模式匹配的决策理论确定认知混淆模型节点与相关关系，具体做法如下：认知混淆所需的节点需根据实际情况确定，感知信息为输入节点，认知混淆状态为输出节点，当一个及多个信息缺失时，会出现认知混淆状态；步骤1、2、3为认知机理层建模。

5.根据权利要求1所述的一种基于贝叶斯网络的致因场景安全性定量评价方法，其特征在于：在步骤4中所述的对致因场景层进行建模，具体做法如下：致因场景层包含三个要素，分别是代表人、机、环、任务状态的PSF因子和认知控制模式，根据案例实际情况，能确定PSF因子状态与具体认知控制模式。

Images