-
经典文档
下载后可编辑复制
附录
A
动
态可靠性和安全性评价人为因素技术
系统:
一个现代科学扎根人类的起源
P. Carlo Cacciabue
< br>收稿日期:
2010
年
1
月
7
日
/
接受日期:
2010
年
2
月
27
日
<
/p>
施普林格出版社有限公司于
2010
年在
伦敦
摘要:
本文讨论的要求是人机实际执
行互动模式。
前瞻性的回顾分析了设计和安全
评估。对
Hollnagel
理论能够运用
“
联合认知
”
制度全面和详进行分析,鉴定出人
为因素的根本原因和潜在的复杂评价中偶然的情况。
然而,
死板的应用这些做法
有时是过于武断,
或根本不
可能改善缺乏数据的缺点或构建复杂性建模架构。
本
文介绍了两
个可行的方法,
整体安全性分析是对整个工厂进行控制。
另一种
方法
是,当明确任务和具体行为需要进行研究,提出的方法
Ho
llnagel
被认为是最先
进和可以应用种最准确的工具。<
/p>
关键词
:
人类
认知;可靠性建模;
安全评估;
根本原因分析
经典文档
下载后可编辑复制
1
介绍
15<
/p>
年前,在
1994
年,我对埃里克
Hollnagel
在我的博士学位论文等这些方
面的帮助表示感激。当然埃里克
Hollnagel
已成为
了我的导师并帮我解除了、试
图将机器正规化的权威心理的影响。我一开始就很尊重博士
Hollnagel
,很多年
前,
当我遇到他,
他拯救了我,
从一些同事之中
保护了我将要被他们毁灭的最初
想法,
这种想法是试图寻找和谐
科学和心理学的之间的基础,
这是我研究活动的
最后
25
年的方向。
感谢埃里克!
我永远不会忘记你,
在世界许多角落陪伴着我,
并通过头脑
帮助我。
(
Cacciabue
1994
年)
。
在那些日子里,
需要建立必要的,
明确的和
无误的模式在人类管理的系统中,
这导致许多研究人员严厉批评,
它没有和解的可能性,
所有的方法和在人类的贡
献,旨在简化
技术对系统的控制和事故。第一,集中在行为上,即实际的行动表
现。
< br>这种批评的主要依据是一个没有模型的认知,
使审议过程和人类精神的典型
功能和行为表现影响到他们的上下文相关条件(
Hollnagel
1994
年)
,第二,缺乏
对审。
在同一年内,
制定的概念
“
第二代人的可靠性的方
(
Cacciabue
和
Hollnagel 1993
年)和
“
微型的
macrosimulation
认知
”
(
Cacci
abue
和
Hollnagel 1995
)随着各种技
术的发展,
在许多情况下是从航空运输和核医
学出发,
目的在于评估人类的贡献,
评估安全系统和安全组织。
这些问题一直是核心的科学调查问题。在
90
年代的
Hollnagel
,
出版了两本
关于危害和风险人类活动的分析(
Hollnage
l 1993
年,
1998
年)基本书
籍。这两
册包含了基本的基础和指导方针在人为因素的先进方法的应用。
它可以概括如下:
为了进行了详细的方法评析,
前瞻性
的回顾并分析了事件和人类对于安全性分析
的影响,
阐明在预先
分析的基础上,
认识和分类模型中人类的错误行为,
并利用
其逻辑相关组合。
通过这种方式,
分析师可
以检索出错误行为的基本根源在不同
阶段的认知过程,并能评估其在人为因素的影响。<
/p>
虽然
Hollnagel
中的科研演变经新的思想和这些年的发展研究,在这个特殊
的其他问题的讨
论中,
风险评估和事故调查领域仍从企图改造转化为实际应用的
实际想法。
特别是,
考虑到认知方面已被接受作为一个重要贡献
,
的人的因素分
析基于许多不同的模型人类行为的基础上和认知
过程功能,
已开发的不同层次的
经典文档
下载后可编辑复制
细节和复杂性
(拉斯穆森
1986
年
;
谢里登
1999
年
;Hollnagel
和老虎伍兹
2005
年)
。
同样,
在该地区
安全性和可靠性评估中,
动态方面已有解决的一个办法,
有时使
用离散事件动态伞树的方法(
1993
年阿科斯塔和小
;
薛和穆斯利赫
199
3;
Cojazzi
等。
1993<
/p>
年
Macwan
和穆斯利赫
1994
年)
,企图以充分的时间为考虑因素
(
Hakobyan
等。
2008
)
。
演绎出相关的动态方
面的人机交互演化。
(
Hollnagel 1991
年
a;Siu1994
)
。
本文着重对这些问题进行讨论,
并讨
论需要怎么样详细和深入的分析,
进行
建立认知可靠性模型和认
知手段。
可以调和与实际执行的必要性,
在系统设计的
角度和事故调查。在该文件中,要求的第一部分,回顾安全研究的典型,将进行
< br>审查,
比较标准和认知建模中基础的做法,
无论是案例分
析还是可靠性研究。
然
后,提出了两种可能的方法融合,
,随着事故调查以务实的态度在设计方法和目
标的需要根据认知特点建
立模型。
最后,
限制应用这些方法将更加复杂和具体办
法进行了讨论。
2
安全性研究需求
2.1
安全性研究的因素
2.1.1
模型和分类法
在现代
技术的人类行为分析中为安全起见,
在认知行为以纽带模型的元素设
置中的深度级别和功能定义中的人类行为和表演比重进行安全分析。
认知模式意
味着审议精神和行为两个方面。识别,定位时间,具体的认知过程
/
函数,观察
某些表现行为。
模型描述的是分类的方法,
并辅以结构化格式,
人类的行为和性能。
认知和
分类模型帮助了解和分类认知机制和
所特有的事件序列并捕捉事故之间的相似
性或差异(艾特肯黑涣散
1990;
威肯斯和弗拉克
1988
年)
。
一般来说,
< br>最全面的认知模式再加上有非常详细的阐述和分类法,
这使得检
< br>测和协同类型,
模式和认知表现时间更精确,
但需要适应
数据广泛选择。
另一方
面,比较简单,但更侧重认知模式和相关
的分类,可能有充足的,明确的用途。
当执行一人一机系统时,
分析了分析师必须运用最适当的认知模式处理手头的案
件(
Sa
lvendi 1997;
谢里登
1999
年
;Cacciabue
2004
年)
。
经典文档
下载后可编辑复制
一般来说,
最全面的认知模式再加上非常详细的阐述和分类法。
该分类法的
认知模式,
必须保持通用和足够
灵活,
以适应不同种类及潜在的应用范围。
分类
数据为人类的许多分类法行为存在,
并已发展了多年,
连接同一代人的行为模式。
特别是在
80
年代,最知名的分类在已制定的安全范围内进行概率安全评估和研
究,主要集中在对人
的错误行为和表现的有关信息的基础上
''
人体模型灵巧的科<
/p>
技工作
123
处理系统
< br>''
范例(
Swain
和古特曼
1983
年
;
拉斯穆森等人。
1981
年,
劳斯和劳
斯
1983
年)
。
在
90
年代,分类法已开发结束更加注
重认知方面和社会技术(巴尼亚尼等
人。
1989
年
;
原因
1987
年
;
Hollnagel1991b
,
1998;
Hollnagel
和马斯登
1996
年)
。
一个分类,
最初在
80
年代开发的和现在仍在进行是
ADREP
(国际民航组
织
1987
年,
1997
年,
2006
年)
,它是实
施在民用航空领域的。最近,特别是为追溯性能
的研究,重点是一些分类法中已制定有关
组织方面的不同的领域(
1997
年的原
因
;
沙普尔和维格曼
2000
年里昂等。
2005
年,马尾松等。
2009
年,斯坦顿和
所罗门
2009
年)
。
所有这些分类法都
有一个共同的目标:
它们已植根于根形式化
方法的原因是因为它
们适用于分析和表现的关联人类的错误行为与他们有关。
它
们的
主要区别在于深入的分析和准确性的原因和表现出他们所指的。
2.1.2
分析的前瞻性和回顾展
有两种
主要类型的分析方法支持开发人力错误行为和事故管理措施。
这是回
顾与展望分析。它们是相辅相成的,同样有助于设计和安全评估流程。
回顾性分析,包括真实的评估涉及人机交互(人机界面)的事件,例如意外事故
和事件,或
''
近想念
''
,其目的为根本原因。预期分析,包括预测和后果进行的评
价人机交互
,由于某些初始事件和边界配置,在实践中,回顾性分析,面向鉴定
的数据和参数与特定
事件相关。
鉴于此,
着眼于未来的分析在人机界面方案的评
估,
由于某些安全措施,
或障碍,
正是在系统中引入以防止或限制失败或不幸后
果为目的(
Hollnagel
2004
年)
。
为了使前瞻性和回顾性分析相彼此一致,
至关重要的是有一致的模型和方法
用于分析这两种类型。
这样,
在未来可以应用数
据和追溯派生参数研究的直截了
当进行评估,
而不必进行推论和
判断,
进而引进对于后果的评价不必要的不确定
性。
在实践中,
相同的基本理论和高频方法必须考虑前瞻性和回顾性研究,
因此,
经典文档
下载后可编辑复制
必须应用一致的人类行为模式。
这些共同的元素表示的逻辑联系是这两种方法之
间的根本要求,它是为巩固和发展验证方法进入安全性包括高频的贡献的研究。
2.1.3
安全文化和数据收集
如今,
即使安全问题非常关注并认为由社会非常重要的在逃,
这是极难获得
丰富的不符合有关机构的数据事件。
这是
一种矛盾的情况,
当为作一方大家关注和信服的相关的安全问题,
但它
变得越来越困难对于报告和数据收集中的错误行为
(无论
是自己的或其他人)
和
事故或故障。
关
于这个困难有几个原因例如赔偿责任的问题,
信任和文化的关注。
几乎在所有领域从交通,
到能源生产,
化工流程工业和医疗环
境,
甚至如果人类
的错误行为对安全水平产生了巨大作用,
现在仍然是非常难确定并在以下方面明
确和界定规则报告,
对与那些标准不符合事件的定义和相关的严重程度,
特别是
关于赔偿责任问题。目前,即使是在文化变革的进程中组织正在缓慢进行之中,
其中的责任问题逐渐被取代为提高安全的焦点,
改善报告文化,
并结合更多的信
任和依赖的管理,但遗憾的是,传播速度太慢。
一般来说,
一个不符合事件为代表的后果,
该后果源于一个正常程序它发起
了一项将导致严重的后果的进程,可能是意外,
但如果它不限制就会引起事故。
这项规定的目的是为了安全收集尽可能多的信息来确保安
全水平及安全标准,
当
发现有危险的趋势时,
< br>以审计和积极干预。
为了达到这个安全最重要和最关键的
目标,
它不是仅仅充分收集有关不符合规定的事件数据,
但这是
绝对必要的实地
考察和声音分析,
应递归地进行。
这一点尤其以人类的行为和人机界面的问题为
重点。
2.2
方法和技巧的根源分析
2.2.1
根本原因分析和分类
该回顾性研究的核心是分析发生了
“
什么或
已发生的事故和事件的分析
”
,
这
就需要对每一个特定的原因查明事件失败的原因和不适当的行为或表现,
这就构
成了整体事故序列。这通常就是所谓的根本原因分析(
RCA
的)
。
RCA
的方法是基于一个原因,后果分析树它试图重建,通过详细的程序迭代步
骤来进行分析,下面是事件的原因:
经典文档
下载后可编辑复制
a
:根本的社会经济技术因素,即根本的社会性和技术性原因,某些不恰当
的行为
基础或系统失败和故障,以及
b
基本
的认知功能在其初始,或原来作出错误的行为对于人机界面的过程。
根本原因,也被称为
“
基因型
”
,
是基本的原因和背景因素产生错误的行为,并最
终导致表现或表演不足即所谓
“
表型
”
(
Hollnagel 1991b
,
1993
)
。
在
RCA
的过程中,
涉及人类的行为模式的相关的分类起着至关重要的作用。
这是
可以区分
的两个主要分类方案:
微观和宏观型分类法。
微观
类型分类法
是看各
方面的细节和个人的认知过程与功能,
并需要在一次事件
中
非常准确的检查所有
人类的相互作用情况。
宏观类型分类法的重点主要是对现有的个体之间的关系人
及相关工作的背景下,
分析社会和技术因素的差异。
这种差异是非常重要的并会
在下面详细讨论。
2.2.2
数据和分类法
大量的工作需要制定一个机构的数据(
“
数
据库
”
)
,它遵循分类法的要求。
这些数据经常是非常具体他们制作的工作环境。
该实验设计和实地考
察的实施要
获得可靠的数据有效的机构。
人机质量研究的结果取决于该领域的研究和精确的性能和一个连贯的数据以及
一套综
合的参数定义,以及对方法和理论建构上的实证研究的基础。
对于人
的行为在该地区的数据库匮乏的原因主要是缺乏相关的报告文化讨
论。
< br>此外,
与硬件组件相反,
它是几乎不可能从一个工作到另
一个域推断人类行
为。
在有些情况下,
更详细的细化水平需要,
作为认知行为的许多方面取决于特
别是
社会和环境方面的工作环境。
实质上,
每个安全分析研究或实际人机系统需要一组特定的支持数据。
基于
这些原因,
它是难以通用数据库对人类的行为发展的。
数据问
题要认真考虑,
作
为一个学习的质量可以在实质上受到缺乏可靠
的数据的影响,
即使在非常详细的
模型和广泛的方法调查中使用
。
2.2.3
类型的根本原因分析
在理论层面上,一个
RCA
的进程旨在描述动态生成
的错误的和具体的涉及
认知功能行为。
通过分类法的手段,
它是可以在个人行为和基本因素和上下文之
间的情况下,
来描述因果之间的逻辑联系,
这些情况都是首要原因不需要的事件
经典文档
下载后可编辑复制
和事故的发生。
在实践
中,
捕捉动态的认知过程和功能,
应用分类,
< br>并按照逻辑的决策过程
考虑某些行为的表现
(表型)
和通过的原因,
寻找办法认知模型确定通用和已产
< br>生一定的认知功能具体原因是可能的。
这种申请程序是按每个认知功能的顺序并<
/p>
持续申请,直到
“
只有具体的原因和对正
在审查的错误行为的职能被确定
”
。
这是一个典型的涉及到微观的类型分类的
RCA
过程。
这样方法瓶颈是
“<
/p>
停的
定义
”
对于
重建的根本原因的因果后果链来说。实际上,这是非常微妙的,决定
什么时候重要的原始
原因被查明并不需要进一步搜寻。
这方面的一个特点分类和
做法
是,分析也可以申请用
“
中的反向方式
”
,即评价从假设的基因型和评估
/
预
测安全评估可能的表型。
此外,
为了确定错误的行为因素,
有必要制定一个发生这一错误时刻形
势的
快照。
基于这个原因,
人类所利用
行为的模式也应考虑对影响因素表现,
因此结
论应具有代表性。
a
个体特征和表演,包括物理属性,生理和心理问题
;
b
通讯,监督,检查与其他人,在人类的周围环境福利
;
c
实际工作的仪器,设备,以及任何
supportingmaterialwhich
可用于进行任务
;
d
随着社会经济技术环境有关的所有方面相互作用的
人,
包括实际工作中,
任务
环境,公司
管理
;
经典文档
下载后可编辑复制
e
所有间接或无形的问题影响到人类在工作,如培训,程序。
这是一个典型的
RCA
进程所进行的宏观类型分类。
在
RCA
的情况下,方法有一些区别。特别是,所有的方法目的是代表
表现
和原因不适当的行为之间的关系,
这可能是在一个分布式组
织在不同层次中,
并
可能发生在在不同的时间点。最相关的不同
之处在于不同
重点,分
类霜的例子(<
/p>
Hollnagel 1998
年)
,它
可以被视为刻板印象微观分类,详细的执行
分析个体认知过程和功能和一些不恰当的行为
表现。宏观类型分类,例如,
ADREP - 2000
国际民
航组织
(二
○○
六)
< br>或
HFACS
(沙普尔和维格曼二零零零年)
,
集中之间现有的联系和相关性的个人和组织。
在
这些分类法中,
认知功能不被考
虑深入,
只有个人方面占被看作是可能影响行为的因素,
除所有其他社会技术组
件之外。
这些类型分类法主要缺点在于其尺
寸和复杂的申请程序,
这非常广泛并被广
泛阐述,因为他们企图
掩盖所有不同的社会技术认知和行为方面的影响。此外,
人类之间的连接错误行为和失败
仅仅是在技术水平上被考虑。
最后,
说明除了上述方法,
涉及到微观与宏观的关联类型分类法,
一个
普遍接受
经典文档
下载后可编辑复制
的方法方式是,经常申请执行的
RCA
方法,提到工作
环境中的
''
组织方面
“
(原
因
1997
年)
。
这一理论框架旨在查明错误和联系他们在社会中,
< br>管理和发展的物
理环境,使他们发展。此外,一个错误的行为的时空维度的定义,
以区分活跃和
潜在的错误。
通过这
种方式,
分析师可以区分在随意的错误行为过程,
该行为与社会
和助
长了它们,
和其他造成发生在
“<
/p>
遥远的
“
框架管理环境有关,
无论是在因素条款或
工作环境的时空维度。
作为这进一步的
RCA
方法途径不干预基于
微观和宏观的方法和类型分类法,
它可以开发一分析过程,
即选
定的活跃的错误首先关联到组织背景和有促进它们
的原因,
然后
它们可以被视为表型和分析有关对于潜在的误差产生的认知功能的
认知模式(基因型)<
/p>
。
2.3
方法和技巧的人的可靠性评估
从安全
角度来看,
风险评估是最相关的方法在不同的领域,
例如设计,
法规,
安全管理的发展考虑。
在高频的
角度来看,
这两个最重要的现代风险评估方法的
问题是相关的,
如上所述,
有能力考虑推理和决策进程,
cognitivebehaviour
典型,
以及人类和机
器的动态
interplaybetween
审议方法。这些是
最近发展的最客观的
应用方法。
在未来
的分析水平上看,就可以验证某些基因型西奥
ccurrence
并预测在安
全方面的相应不适当的表型和后果执行的系统性。
为了进行风险评估,
特别是和
人的可靠性评估(
HRA
)的研究来分析未来的声音类型,具体方法和认知解读
< br>的模式应用要求是相当复杂,需要各种不同数据,并不总是容易寻找和评估的。
因
此,
一个初步的评估是必须以找出最合适的方法来适用正在开发的安全性研究,
并利用相关数据。
特别是,
存在一个重要的区别,
认为在执行的方法与
“
< br>传统
“
方法和水平是不
同的认知
建模方法的基础。
这些差异需要由前选择最合适的方法分析评价,
在选
择在本案中最适用的方法之前。
关于实施过程中,
认知建模方法需要一个相当复杂,
准确,
广泛地收集数据
的初步实施活动,然后应用建模
。然而,一旦这个过程完成,就进行模型验证,
以评估人机交互所产生的文书是非常灵活
,
可以利用几个目标,
此外,
利用风险
经典文档
下载后可编辑复制
评估。
从更多的方法和应用的角度来看,
这两种方法的比较导致的一些考虑。
首先,
虽然这两种方法需要在工作环境中,
关键的区别是由于是否评估仿真模型。
这些
模型是必不可少的认知方法和而传统方法是不必要的。
植物和人类的行为模式是
难以发展和要求从分析师那得到更准确的工作。
然而,
模型提供导致在处理回收
率和履行人
机交互动态评价的差异。
在另一边,
传统方法需要定义预定义的
考虑
回收率,只能形成对系统的静态代表。
认知
HRA
办法规定的可能类型和方式或表现形式的错误在一定范围内指定,
定义,
根据与应用认知模型相关的分类。
这使得集成仿真整个人机系统,
包括在
以下方面的后果错误行为,
系统的反馈和相关
人的行动。
这些方面都完全忽略了
经典文档
下载后可编辑复制
经典的方法,
这涉及到一般的错误可能经过修改,
在一个由分析师评估
prioristic
考虑性能影响因素。从本质上讲,认知
HRA
方法使后果的可靠性和人机界面系
统通过仿真
手段的评价。
鉴于,
古典
HRA
方法仅限于对任务和程序的成败概率评价。
这些纯
粹是从方法论的评价部分,
比较了两种方法可以执行其潜在应用。
这
两种方法都可能导致任务的成功
与失败
,
但古典
HRA
方法需要一个简单
的应用,
并且运行速度非常快,
而认知
HRA
方法需要计算每个案件,
包括植物生理反应,
因此,是费时的。但是,一旦模型已经得到发展,他们可以很容易地应用于不同
的发起者和意外情况,
而传统的方法必须是完全重复每一个新的研究案例。
此外,
古典
HRA
只能
基于对人的错误行为先验的评价,而认知
HRA
可以解释为对事
故动力学演化的依赖关系。
最后,
一个以古典与认知模式为基础的
HRA
方法的关键差别在于执行
分析
提供必要的数据。在古典
HRA
办
法,与标准通用的错误概率相联系的是方法,
或可以很容易在文献中发现,
他们可以很容易地适应在所研究的情况,
归功于在
工
作环境中的评价。而认知
HRA
方法需要收集事先的可靠性研究
的数据下一个
困难的实践经历。这使得更复杂的客观认知
HRA
的使用。
从以上
的讨论结果表明,
这两种方法,
虽然以相同类型的结果为目标,
但相
当的不同应用。在案件数量上的
风
险评价
,在那里整体概率更重要的考虑因素是
动态和详细的
HMIS
,标准或古典
HRA
风险评估的方法研究可能获得足够的任
务和不必要的概率。另一方面,认知<
/p>
HRA
方法必须适用于包括那些严重弊端和
局限性的传统方法已被证明了的地方。
总之,
这两种方法以拮
抗剂互补,
可以很
好地用于执行后续安全,
逐步对以安全鉴定为重点的关键分系统和以事故配置为
目的的研究。
当应用认知
HRA
< br>的方法时,除上述提到的与问题有关题数据收集值得特别
注意以外,
就是由失败和错误的组合随着时间的推移可能产生的爆炸的数字序列。
这源于
之间的概率和确定性的
分析
办法,从一开始活动,一开始
“
母
”
序列的相关<
/p>
性,并成为一个新的
“
女儿
”
序列每次系统故障或人为错误行为的概率是遇到
问
题的发展的条件。
每个子序列可以以类似的方式发展
。
一个序列已无法控制一代
人的危险,
应事先进行管理。
这通常有两种方式:
按概率和
手段数值
“
截止
”
规则,
限制了通过消除序列中概率非常低的序列指数的产生和逻辑分析方法和专家意
经典文档
下载后可编辑复制
见相对于系统和人
类行为,这限制了可能的故障模式和错误表现为
“
合理形式
”
。
3
两个社会技术
RCA
和准静态方法
HRA
而所提
出的方法制定了在开始
HRA
和
RCA
方法之前,搜集经验和相关知
识。
并以
设计和实际实施安全的需要人机系统评估为重点。
在同一时间,
认知与
互动动态性的基本特征是保留的以帐户为
“
联合
”HMI
系统。
3.1
综合系统的方法对事故原因
综合系
统方法的事故原因
(伊萨克)
提供了一个评估和鉴定的框架从根
本上
结合人类和植物系统有关的因素产生的原因。
这种方法
从
参考一人的错误行为模
式,一个组织的角
度,根据不同层次的依赖,并在组织内的事件进行演变(卡尔
皮尼亚诺和皮奇尼
1999
年,毛里尼奥等序列分布倍。
1995
年)
。
ISAAC
方法可以适用于两种方式,也就是说,它可以用来进行回
顾与前瞻
分析,给出适当的边界和初始条件,并根据进行分析的
“
方向
“
。然而,更普遍的
回顾性研究应用。以
ISAAC
的回顾性分析流程
图解释原因和事件的原因,并遵
循两个途径系统因素的通路,
其
中认为该制度不健全的表现,
以及一个通路人为
因素,估计错误
的行为表现。
经典文档
下载后可编辑复制
在人为因素的通路,主动失误是前线运营商不当行为在执行一项任务期间。
< br>在系统因素通路中,
系统故障是硬件和部件故障。
这两种
途径可以依赖或源于潜
在的错误和不同的时间和情况下作出潜在的故障。
其他原因可能进一步提高产生积极的或错误的行为和系统故障。这些分别是:
?
<
/p>
个人因素,这为个别身体或心理的积极影响人的错误行为条件的帐户
;
?
偶然因素,随机系统应急账户,影响系统故障
;
及
?
情境因素,其中包括物理环境和当地条件,外部的个人,都可能采取行
动的系
统故障和积极的错误。
在一个组织内的较高水平,有可能
考虑从一些较为重要的潜在的组织过程,
可能产生或影响了系统的途径和人为因素产生错
误。
经典文档
下载后可编辑复制
这是特
别有用的框架,
是一个系统的良好做法,
探讨原因,
主要有
3
个意外
的真正原
因适合:
a
它可以以一个共同的框架
中考虑,对人类行为和错误的系统故障,它明确
区分了不同的影响,潜在的错误可能对系
统和人类表演
;
b
它允许识别隐藏(
休眠)个人因素和外部因素直接影响到积极的错误
;
及
c
它导致了完整的频谱供款查明事故轨迹,在
潜在的外部形式和内部因素,
影响一线运营商和硬件组件。
ISAAC
的做法是不严格按照相关的详细分类,因此,它是一个微
观的
RCA
并不正规化的方法。
因此,
它不包含一个先验的人为的错误行为和组织和社会各
方面的正式
关系。
这是一个优势,
因为它以允许选择的粒度级别的基础上逐
案进
行分析应用。此外,它可以定义分析师所研究的情况下最适合的分类。
但是,
它需要一个更大的分类学定义的初步努力,
那么,
它必须考虑与主动错误
和失败的
远程组件耦合(潜在)的原因,例如,维修失误或管理强加于人,以及
作为具体的个人,
社会和技术环境条件。在这个意义上说,以
ISAAC
来描述微
观和宏观的分析层次的人交往,从而找出根源相对于组织以及个人特点。
另一方面,
与不同领域的比较应用程序是不可能的,
因为可利用的分类法相当不
同。
ISAAC
的主要优点是有关它的简单,这是非常宝贵的实际设备<
/p>
.However
,
它会导致问题时,要
正式确定它的结果。换句话说,认为艾萨克的
RCA
不是由
正式分类支持的事实使人们难以组织收集的数据和信息的方式
ist
hen
与其他类
似事件的报道,
即使在
相同的应用领域。
因此,
应用速度是抵消了收购信息形式
化的困难。
3.2
动态误差风险为本的设计评估方法
3.2.1
动态误差评估方法的要求
在现代
安全设计的角度,基于风险的方法标准方法使评估错误行为的后果,
并在发展过程中的安
全管理不同层次的相应对策。
这种性质的方法使评估过程的动
态人机界面,
一次错误的行为类型和模式在不同
级别上定义的认
知,
如上所述。
在风险分析的实施提出了为错误发生的概率定义
的一些问题,以及恢复,分布和相对的不确定性。
经典文档
下载后可编辑复制
第二个困难来自于
对所产生的每一个容易出错的情况下被确定的时间局势的复
杂性。
与人机界面相关的仿真模型必须能够解释很多不同的动态相互作用,
可能
的行为和系统的反应。
当错误的行为和活动组合变得更为复杂,
很可能这超过了
建模和仿真能力。
因此,
它成为必要采取一系列简化误差建模架构进一步加强,
< br>通过选择的固
定时间间隔的人机界面的观察,
以保持一定
水平的动态过程中逐步,
其次,
通过
减
少各种错误行为的入账。
在安全和风险方面的分析,
可以实现
3
个步骤,
以
使这些方面的安全评估方
法包含:
要求:
1
对鉴定的人机界面,在其中可能的替代人的表演可用于观察评
估后
果评估的时间间隔。
2
定义和种
类和人类表现的模式选择,
根据分类法与该分析
的总体目标相适
应。
3
评价的程序和
/
或任务,在风险评估方面,即结合的成功
概率
/
各分支机构和序列组成一个程序失败的后果。
这种方法可以被定义为
“
准静态
”
,
在特定时间间隔的人机界面评估过程中查
明的意识,从而保持一定的安全分析时间依赖性。
此外,在这种情况下,违背了经典的
''
人为错误事件
树一般二元选择
''
,不同人的
反应是
在每个
“
节点准静态
”
人机界面树考虑。
因此,
它不再是可以区分的成功或<
/p>
失败的程序,但它是必要的,以评估其后果的条件每个序列。
<
/p>
这些规定的实施会导致什么可称为扩大人力绩效事件树(
EHPE
T
)
,这是今
后讨论的重点。
3.2.2
扩展人员表现的事件树
建议的
方法考虑一种替代方法,
他简单的成功与失败的可能性二进制通过使
分析在每个人的绩效事件树节点两种或两种以上行为模式(分公司)的可能性。
<
/p>
图
5
显示了一个
EHPET
,
结构凡
/
可能产生的后果序列
ariety
,
< br>继启动事件
(
IE
)
中。
每一树枝是与预期业绩(
EP
)的,编号为审议根据事件的家庭。家庭是一
个事件所代表的可能的替代类型,并在分析的第一步(要求
1
)中定义的行为模
式。根据事件树方法通常形式主义,在每个分支顶端替代是最常见的期
望绩效,
有关的事件序列。作为一个例子,
EP3.0
代表事件的
EP
其中
3
家是最有可能发
经典文档
下载后可编辑复制
生在特定的时间间
隔的观测,
而
EP3.3
是第三个可能
的表现方式,
确定了先验期
间在初始步骤方法
< br>(要求
2
)
。
< br>这样,
就可以找出他的人机界面之间的逻辑关系,
不同的
事件。
每一树枝是与预期业绩(
EP
)的,编号为审议根据事件的家庭。一个分局
的编号顺序,并就有关事
件家人它们有联系。作为一个例子,
B1.2
事件是主要
分支。
该序列(以下各段)的编号是在继
承和结合
IE
和各部门的后续急诊医师兴
建。序列的整体概率计算相结合的
IE
浏览器的概率和环境许
可证,在该序列发
生的概率。
对每个序列相关的后果进行评估需
要的实际成果在人类方面受到损害
的事件,环境和涉及的技术系统(要求
3
)序列确定性评价。
图
5
显示了序列的共
35
集,之后启动事件(
IE
)中。
在这种情况下,家庭
和四个事件的各种预期性能,
可能每个家庭
不同的事件,
被认为是。
值得注意的
是
,
对于每一个家庭事件,
并非所有可能的预期性能,
但只有那些与具体部门和
节点相对的,是评估(例如,家庭事件
2
每股收益,以下分支
B1.3
< br>或
B1.4
或环
境许可证事件家
族
3
,以下分支
B2.11
)
。在某些情况下,它也可能是唯一一个表
现被认
为是可能的(例如,分行或分公司
B1.6
B1.5
EP4.2
EP4.0
)
。此外,一些
序列是由一个仅限于一些活动,因为没有其他人机界面出现以
下(如某些表演,
Seq6
或
Seq1
7
)
。
-
-
-
-
-
-
-
-
-
上一篇:(完整版)初中英语固定搭配大全
下一篇:五年级课外阅读-写人类文章的阅读指导与训练