安全专业外文文献(中英文对照PDF)(共33页).doc

《安全专业外文文献(中英文对照PDF)(共33页).doc》由会员分享，可在线阅读，更多相关《安全专业外文文献(中英文对照PDF)(共33页).doc（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上附录A动态可靠性和安全性评价人为因素技术系统：一个现代科学扎根人类的起源P. Carlo Cacciabue收稿日期：2010年1月7日/接受日期：2010年2月27日施普林格出版社有限公司于2010年在伦敦摘要：本文讨论的要求是人机实际执行互动模式。前瞻性的回顾分析了设计和安全评估。对Hollnagel理论能够运用“联合认知”制度全面和详进行分析，鉴定出人为因素的根本原因和潜在的复杂评价中偶然的情况。然而，死板的应用这些做法有时是过于武断，或根本不可能改善缺乏数据的缺点或构建复杂性建模架构。本文介绍了两个可行的方法，整体安全性分析是对整个工厂进行控制。另一种方法是，

2、当明确任务和具体行为需要进行研究，提出的方法Hollnagel被认为是最先进和可以应用种最准确的工具。关键词：人类认知；可靠性建模； 安全评估； 根本原因分析1 介绍 15年前，在1994年，我对埃里克Hollnagel在我的博士学位论文等这些方面的帮助表示感激。当然埃里克Hollnagel已成为了我的导师并帮我解除了、试图将机器正规化的权威心理的影响。我一开始就很尊重博士Hollnagel，很多年前，当我遇到他，他拯救了我，从一些同事之中保护了我将要被他们毁灭的最初想法，这种想法是试图寻找和谐科学和心理学的之间的基础，这是我研究活动的最后25年的方向。感谢埃里克！我永远不会忘记你，在世界许多

3、角落陪伴着我，并通过头脑帮助我。（Cacciabue 1994年）。 在那些日子里，需要建立必要的，明确的和无误的模式在人类管理的系统中，这导致许多研究人员严厉批评，它没有和解的可能性，所有的方法和在人类的贡献，旨在简化技术对系统的控制和事故。第一，集中在行为上，即实际的行动表现。这种批评的主要依据是一个没有模型的认知，使审议过程和人类精神的典型功能和行为表现影响到他们的上下文相关条件（Hollnagel 1994年），第二，缺乏对审。 在同一年内，制定的概念“第二代人的可靠性的方（Cacciabue和Hollnagel 1993年）和“微型的macrosimulation认知”（Caccia

4、bue和Hollnagel 1995）随着各种技术的发展，在许多情况下是从航空运输和核医学出发，目的在于评估人类的贡献，评估安全系统和安全组织。 这些问题一直是核心的科学调查问题。在90年代的Hollnagel，出版了两本关于危害和风险人类活动的分析（Hollnagel 1993年，1998年）基本书籍。这两册包含了基本的基础和指导方针在人为因素的先进方法的应用。它可以概括如下：为了进行了详细的方法评析，前瞻性的回顾并分析了事件和人类对于安全性分析的影响，阐明在预先分析的基础上，认识和分类模型中人类的错误行为，并利用其逻辑相关组合。通过这种方式，分析师可以检索出错误行为的基本根源在不同阶段的认

5、知过程，并能评估其在人为因素的影响。 虽然Hollnagel中的科研演变经新的思想和这些年的发展研究，在这个特殊的其他问题的讨论中，风险评估和事故调查领域仍从企图改造转化为实际应用的实际想法。特别是，考虑到认知方面已被接受作为一个重要贡献，的人的因素分析基于许多不同的模型人类行为的基础上和认知过程功能，已开发的不同层次的细节和复杂性（拉斯穆森1986年;谢里登1999年;Hollnagel和老虎伍兹2005年）。同样，在该地区安全性和可靠性评估中，动态方面已有解决的一个办法，有时使用离散事件动态伞树的方法（1993年阿科斯塔和小;薛和穆斯利赫1993; Cojazzi等。1993年Macwan

6、和穆斯利赫1994年），企图以充分的时间为考虑因素（Hakobyan等。2008）。演绎出相关的动态方面的人机交互演化。（Hollnagel 1991年a;Siu1994）。 本文着重对这些问题进行讨论，并讨论需要怎么样详细和深入的分析，进行建立认知可靠性模型和认知手段。可以调和与实际执行的必要性，在系统设计的角度和事故调查。在该文件中，要求的第一部分，回顾安全研究的典型，将进行审查，比较标准和认知建模中基础的做法，无论是案例分析还是可靠性研究。然后，提出了两种可能的方法融合，随着事故调查以务实的态度在设计方法和目标的需要根据认知特点建立模型。最后，限制应用这些方法将更加复杂和具体办法进行了讨

7、论。2 安全性研究需求2.1 安全性研究的因素2.1.1 模型和分类法 在现代技术的人类行为分析中为安全起见，在认知行为以纽带模型的元素设置中的深度级别和功能定义中的人类行为和表演比重进行安全分析。认知模式意味着审议精神和行为两个方面。识别，定位时间，具体的认知过程/函数，观察某些表现行为。模型描述的是分类的方法，并辅以结构化格式，人类的行为和性能。认知和分类模型帮助了解和分类认知机制和所特有的事件序列并捕捉事故之间的相似性或差异（艾特肯黑涣散1990;威肯斯和弗拉克1988年）。一般来说，最全面的认知模式再加上有非常详细的阐述和分类法，这使得检测和协同类型，模式和认知表现时间更精确，但需要适

8、应数据广泛选择。另一方面，比较简单，但更侧重认知模式和相关的分类，可能有充足的，明确的用途。当执行一人一机系统时，分析了分析师必须运用最适当的认知模式处理手头的案件（Salvendi 1997;谢里登1999年;Cacciabue 2004年）。 一般来说，最全面的认知模式再加上非常详细的阐述和分类法。该分类法的认知模式，必须保持通用和足够灵活，以适应不同种类及潜在的应用范围。分类数据为人类的许多分类法行为存在，并已发展了多年，连接同一代人的行为模式。特别是在80年代，最知名的分类在已制定的安全范围内进行概率安全评估和研究，主要集中在对人的错误行为和表现的有关信息的基础上人体模型灵巧的科技工作

9、123处理系统范例（Swain和古特曼1983年;拉斯穆森等人。1981年，劳斯和劳斯1983年）。 在90年代，分类法已开发结束更加注重认知方面和社会技术（巴尼亚尼等人。1989年;原因1987年; Hollnagel1991b，1998; Hollnagel和马斯登1996年）。一个分类，最初在80年代开发的和现在仍在进行是ADREP（国际民航组织1987年，1997年，2006年），它是实施在民用航空领域的。最近，特别是为追溯性能的研究，重点是一些分类法中已制定有关组织方面的不同的领域（1997年的原因;沙普尔和维格曼2000年里昂等。 2005年，马尾松等。 2009年，斯坦顿和所罗门

10、2009年）。所有这些分类法都有一个共同的目标：它们已植根于根形式化方法的原因是因为它们适用于分析和表现的关联人类的错误行为与他们有关。它们的主要区别在于深入的分析和准确性的原因和表现出他们所指的。2.1.2 分析的前瞻性和回顾展 有两种主要类型的分析方法支持开发人力错误行为和事故管理措施。这是回顾与展望分析。它们是相辅相成的，同样有助于设计和安全评估流程。回顾性分析，包括真实的评估涉及人机交互（人机界面）的事件，例如意外事故和事件，或近想念，其目的为根本原因。预期分析，包括预测和后果进行的评价人机交互，由于某些初始事件和边界配置，在实践中，回顾性分析，面向鉴定的数据和参数与特定事件相关。鉴于

11、此，着眼于未来的分析在人机界面方案的评估，由于某些安全措施，或障碍，正是在系统中引入以防止或限制失败或不幸后果为目的（Hollnagel 2004年）。为了使前瞻性和回顾性分析相彼此一致，至关重要的是有一致的模型和方法用于分析这两种类型。这样，在未来可以应用数据和追溯派生参数研究的直截了当进行评估，而不必进行推论和判断，进而引进对于后果的评价不必要的不确定性。在实践中，相同的基本理论和高频方法必须考虑前瞻性和回顾性研究，因此，必须应用一致的人类行为模式。这些共同的元素表示的逻辑联系是这两种方法之间的根本要求，它是为巩固和发展验证方法进入安全性包括高频的贡献的研究。2.1.3 安全文化和数据收集

12、如今，即使安全问题非常关注并认为由社会非常重要的在逃，这是极难获得丰富的不符合有关机构的数据事件。这是一种矛盾的情况，当为作一方大家关注和信服的相关的安全问题，但它变得越来越困难对于报告和数据收集中的错误行为（无论是自己的或其他人）和事故或故障。关于这个困难有几个原因例如赔偿责任的问题，信任和文化的关注。几乎在所有领域从交通，到能源生产，化工流程工业和医疗环境，甚至如果人类的错误行为对安全水平产生了巨大作用，现在仍然是非常难确定并在以下方面明确和界定规则报告，对与那些标准不符合事件的定义和相关的严重程度，特别是关于赔偿责任问题。目前，即使是在文化变革的进程中组织正在缓慢进行之中，其中的责任问题

13、逐渐被取代为提高安全的焦点，改善报告文化，并结合更多的信任和依赖的管理，但遗憾的是，传播速度太慢。一般来说，一个不符合事件为代表的后果，该后果源于一个正常程序它发起了一项将导致严重的后果的进程，可能是意外，但如果它不限制就会引起事故。这项规定的目的是为了安全收集尽可能多的信息来确保安全水平及安全标准，当发现有危险的趋势时，以审计和积极干预。为了达到这个安全最重要和最关键的目标，它不是仅仅充分收集有关不符合规定的事件数据，但这是绝对必要的实地考察和声音分析，应递归地进行。这一点尤其以人类的行为和人机界面的问题为重点。2.2 方法和技巧的根源分析2.2.1 根本原因分析和分类 该回顾性研究的核心是

14、分析发生了“什么或已发生的事故和事件的分析”，这就需要对每一个特定的原因查明事件失败的原因和不适当的行为或表现，这就构成了整体事故序列。这通常就是所谓的根本原因分析（RCA的）。RCA的方法是基于一个原因，后果分析树它试图重建，通过详细的程序迭代步骤来进行分析，下面是事件的原因：a：根本的社会经济技术因素，即根本的社会性和技术性原因，某些不恰当的行为基础或系统失败和故障，以及b基本的认知功能在其初始，或原来作出错误的行为对于人机界面的过程。根本原因，也被称为“基因型”，是基本的原因和背景因素产生错误的行为，并最终导致表现或表演不足即所谓“表型”（Hollnagel 1991b，1993）。 在

15、RCA的过程中， 涉及人类的行为模式的相关的分类起着至关重要的作用。这是可以区分的两个主要分类方案：微观和宏观型分类法。微观类型分类法是看各方面的细节和个人的认知过程与功能，并需要在一次事件中非常准确的检查所有人类的相互作用情况。宏观类型分类法的重点主要是对现有的个体之间的关系人及相关工作的背景下，分析社会和技术因素的差异。这种差异是非常重要的并会在下面详细讨论。2.2.2 数据和分类法 大量的工作需要制定一个机构的数据（“数据库”），它遵循分类法的要求。这些数据经常是非常具体他们制作的工作环境。该实验设计和实地考察的实施要获得可靠的数据有效的机构。人机质量研究的结果取决于该领域的研究和精确的

16、性能和一个连贯的数据以及一套综合的参数定义，以及对方法和理论建构上的实证研究的基础。 对于人的行为在该地区的数据库匮乏的原因主要是缺乏相关的报告文化讨论。此外，与硬件组件相反，它是几乎不可能从一个工作到另一个域推断人类行为。在有些情况下，更详细的细化水平需要，作为认知行为的许多方面取决于特别是社会和环境方面的工作环境。 实质上，每个安全分析研究或实际人机系统需要一组特定的支持数据。基于这些原因，它是难以通用数据库对人类的行为发展的。数据问题要认真考虑，作为一个学习的质量可以在实质上受到缺乏可靠的数据的影响，即使在非常详细的模型和广泛的方法调查中使用。2.2.3 类型的根本原因分析 在理论层面上

17、，一个RCA的进程旨在描述动态生成的错误的和具体的涉及认知功能行为。通过分类法的手段，它是可以在个人行为和基本因素和上下文之间的情况下，来描述因果之间的逻辑联系，这些情况都是首要原因不需要的事件和事故的发生。 在实践中，捕捉动态的认知过程和功能，应用分类，并按照逻辑的决策过程考虑某些行为的表现（表型）和通过的原因，寻找办法认知模型确定通用和已产生一定的认知功能具体原因是可能的。这种申请程序是按每个认知功能的顺序并持续申请，直到“只有具体的原因和对正在审查的错误行为的职能被确定”。 这是一个典型的涉及到微观的类型分类的RCA过程。这样方法瓶颈是“停的定义”对于重建的根本原因的因果后果链来说。实际

18、上，这是非常微妙的，决定什么时候重要的原始原因被查明并不需要进一步搜寻。这方面的一个特点分类和做法是，分析也可以申请用“中的反向方式”，即评价从假设的基因型和评估/预测安全评估可能的表型。 此外，为了确定错误的行为因素，有必要制定一个发生这一错误时刻形势的快照。基于这个原因，人类所利用行为的模式也应考虑对影响因素表现，因此结论应具有代表性。a 个体特征和表演，包括物理属性，生理和心理问题;b 通讯，监督，检查与其他人，在人类的周围环境福利;c 实际工作的仪器，设备，以及任何supportingmaterialwhich可用于进行任务;d 随着社会经济技术环境有关的所有方面相互作用的人，包括实际

19、工作中，任务环境，公司管理;e 所有间接或无形的问题影响到人类在工作，如培训，程序。 这是一个典型的RCA进程所进行的宏观类型分类。 在RCA的情况下，方法有一些区别。特别是，所有的方法目的是代表表现和原因不适当的行为之间的关系，这可能是在一个分布式组织在不同层次中，并可能发生在在不同的时间点。最相关的不同之处在于不同methods.As重点，分类霜的例子（Hollnagel 1998年），它可以被视为刻板印象微观分类，详细的执行分析个体认知过程和功能和一些不恰当的行为表现。宏观类型分类，例如，ADREP - 2000国际民航组织（二六）或HFACS（沙普尔和维格曼二零零零年），集中之间现有的

20、联系和相关性的个人和组织。在这些分类法中，认知功能不被考虑深入，只有个人方面占被看作是可能影响行为的因素，除所有其他社会技术组件之外。 这些类型分类法主要缺点在于其尺寸和复杂的申请程序，这非常广泛并被广泛阐述，因为他们企图掩盖所有不同的社会技术认知和行为方面的影响。此外，人类之间的连接错误行为和失败仅仅是在技术水平上被考虑。最后，说明除了上述方法，涉及到微观与宏观的关联类型分类法，一个普遍接受的方法方式是，经常申请执行的RCA方法，提到工作环境中的组织方面“（原因1997年）。这一理论框架旨在查明错误和联系他们在社会中，管理和发展的物理环境，使他们发展。此外，一个错误的行为的时空维度的定义，以

21、区分活跃和潜在的错误。 通过这种方式，分析师可以区分在随意的错误行为过程，该行为与社会和助长了它们，和其他造成发生在“遥远的“框架管理环境有关，无论是在因素条款或工作环境的时空维度。 作为这进一步的RCA方法途径不干预基于微观和宏观的方法和类型分类法，它可以开发一分析过程，即选定的活跃的错误首先关联到组织背景和有促进它们的原因，然后它们可以被视为表型和分析有关对于潜在的误差产生的认知功能的认知模式（基因型）。2.3 方法和技巧的人的可靠性评估 从安全角度来看，风险评估是最相关的方法在不同的领域，例如设计，法规，安全管理的发展考虑。在高频的角度来看，这两个最重要的现代风险评估方法的问题是相关的，

22、如上所述，有能力考虑推理和决策进程，cognitivebehaviour典型，以及人类和机器的动态interplaybetween审议方法。这些是最近发展的最客观的应用方法。 在未来的分析水平上看，就可以验证某些基因型西奥ccurrence并预测在安全方面的相应不适当的表型和后果执行的系统性。为了进行风险评估，特别是和人的可靠性评估（HRA）的研究来分析未来的声音类型，具体方法和认知解读的模式应用要求是相当复杂，需要各种不同数据，并不总是容易寻找和评估的。因此，一个初步的评估是必须以找出最合适的方法来适用正在开发的安全性研究，并利用相关数据。 特别是，存在一个重要的区别，认为在执行的方法与“传

23、统“方法和水平是不同的认知建模方法的基础。这些差异需要由前选择最合适的方法分析评价，在选择在本案中最适用的方法之前。 关于实施过程中，认知建模方法需要一个相当复杂，准确，广泛地收集数据的初步实施活动，然后应用建模。然而，一旦这个过程完成，就进行模型验证，以评估人机交互所产生的文书是非常灵活，可以利用几个目标，此外，利用风险评估。 从更多的方法和应用的角度来看，这两种方法的比较导致的一些考虑。首先，虽然这两种方法需要在工作环境中，关键的区别是由于是否评估仿真模型。这些模型是必不可少的认知方法和而传统方法是不必要的。植物和人类的行为模式是难以发展和要求从分析师那得到更准确的工作。然而，模型提供导致

24、在处理回收率和履行人机交互动态评价的差异。在另一边，传统方法需要定义预定义的考虑回收率，只能形成对系统的静态代表。 认知HRA办法规定的可能类型和方式或表现形式的错误在一定范围内指定，定义，根据与应用认知模型相关的分类。这使得集成仿真整个人机系统，包括在以下方面的后果错误行为，系统的反馈和相关人的行动。这些方面都完全忽略了经典的方法，这涉及到一般的错误可能经过修改，在一个由分析师评估prioristic考虑性能影响因素。从本质上讲，认知HRA方法使后果的可靠性和人机界面系统通过仿真手段的评价。鉴于，古典HRA方法仅限于对任务和程序的成败概率评价。 这些纯粹是从方法论的评价部分，比较了两种方法可

25、以执行其潜在应用。这两种方法都可能导致任务的成功与失败，但古典HRA方法需要一个简单的应用，并且运行速度非常快，而认知HRA方法需要计算每个案件，包括植物生理反应，因此，是费时的。但是，一旦模型已经得到发展，他们可以很容易地应用于不同的发起者和意外情况，而传统的方法必须是完全重复每一个新的研究案例。此外，古典HRA只能基于对人的错误行为先验的评价，而认知HRA可以解释为对事故动力学演化的依赖关系。 最后，一个以古典与认知模式为基础的HRA方法的关键差别在于执行分析提供必要的数据。在古典HRA办法，与标准通用的错误概率相联系的是方法，或可以很容易在文献中发现，他们可以很容易地适应在所研究的情况，

26、归功于在工作环境中的评价。而认知HRA方法需要收集事先的可靠性研究的数据下一个困难的实践经历。这使得更复杂的客观认知HRA的使用。 从以上的讨论结果表明，这两种方法，虽然以相同类型的结果为目标，但相当的不同应用。在案件数量上的风险评价，在那里整体概率更重要的考虑因素是动态和详细的HMIS，标准或古典HRA风险评估的方法研究可能获得足够的任务和不必要的概率。另一方面，认知HRA方法必须适用于包括那些严重弊端和局限性的传统方法已被证明了的地方。总之，这两种方法以拮抗剂互补，可以很好地用于执行后续安全，逐步对以安全鉴定为重点的关键分系统和以事故配置为目的的研究。 当应用认知HRA的方法时，除上述提到

27、的与问题有关题数据收集值得特别注意以外，就是由失败和错误的组合随着时间的推移可能产生的爆炸的数字序列。这源于之间的概率和确定性的分析办法，从一开始活动，一开始“母”序列的相关性，并成为一个新的“女儿 ”序列每次系统故障或人为错误行为的概率是遇到问题的发展的条件。每个子序列可以以类似的方式发展。一个序列已无法控制一代人的危险，应事先进行管理。这通常有两种方式：按概率和手段数值“截止”规则，限制了通过消除序列中概率非常低的序列指数的产生和逻辑分析方法和专家意见相对于系统和人类行为，这限制了可能的故障模式和错误表现为“合理形式”。3 两个社会技术RCA和准静态方法HRA 而所提出的方法制定了在开始H

28、RA和RCA方法之前，搜集经验和相关知识。并以设计和实际实施安全的需要人机系统评估为重点。在同一时间，认知与互动动态性的基本特征是保留的以帐户为“联合”HMI系统。3.1 综合系统的方法对事故原因 综合系统方法的事故原因（伊萨克）提供了一个评估和鉴定的框架从根本上结合人类和植物系统有关的因素产生的原因。这种方法从参考一人的错误行为模式，一个组织的角度，根据不同层次的依赖，并在组织内的事件进行演变（卡尔皮尼亚诺和皮奇尼1999年，毛里尼奥等序列分布倍。1995年）。 ISAAC方法可以适用于两种方式，也就是说，它可以用来进行回顾与前瞻分析，给出适当的边界和初始条件，并根据进行分析的“方向“。然而

29、，更普遍的回顾性研究应用。以ISAAC的回顾性分析流程图解释原因和事件的原因，并遵循两个途径系统因素的通路，其中认为该制度不健全的表现，以及一个通路人为因素，估计错误的行为表现。 在人为因素的通路，主动失误是前线运营商不当行为在执行一项任务期间。在系统因素通路中，系统故障是硬件和部件故障。这两种途径可以依赖或源于潜在的错误和不同的时间和情况下作出潜在的故障。其他原因可能进一步提高产生积极的或错误的行为和系统故障。这些分别是： 个人因素，这为个别身体或心理的积极影响人的错误行为条件的帐户; 偶然因素，随机系统应急账户，影响系统故障;及 情境因素，其中包括物理环境和当地条件，外部的个人，都可能采取

30、行动的系统故障和积极的错误。 在一个组织内的较高水平，有可能考虑从一些较为重要的潜在的组织过程，可能产生或影响了系统的途径和人为因素产生错误。 这是特别有用的框架，是一个系统的良好做法，探讨原因，主要有3个意外的真正原因适合：a它可以以一个共同的框架中考虑，对人类行为和错误的系统故障，它明确区分了不同的影响，潜在的错误可能对系统和人类表演;b它允许识别隐藏（休眠）个人因素和外部因素直接影响到积极的错误;及c它导致了完整的频谱供款查明事故轨迹，在潜在的外部形式和内部因素，影响一线运营商和硬件组件。 ISAAC的做法是不严格按照相关的详细分类，因此，它是一个微观的RCA并不正规化的方法。因此，它不

31、包含一个先验的人为的错误行为和组织和社会各方面的正式关系。这是一个优势，因为它以允许选择的粒度级别的基础上逐案进行分析应用。此外，它可以定义分析师所研究的情况下最适合的分类。但是，它需要一个更大的分类学定义的初步努力，那么，它必须考虑与主动错误和失败的远程组件耦合（潜在）的原因，例如，维修失误或管理强加于人，以及作为具体的个人，社会和技术环境条件。在这个意义上说，以ISAAC来描述微观和宏观的分析层次的人交往，从而找出根源相对于组织以及个人特点。另一方面，与不同领域的比较应用程序是不可能的，因为可利用的分类法相当不同。 ISAAC的主要优点是有关它的简单，这是非常宝贵的实际设备.However

32、，它会导致问题时，要正式确定它的结果。换句话说，认为艾萨克的RCA不是由正式分类支持的事实使人们难以组织收集的数据和信息的方式isthen与其他类似事件的报道，即使在相同的应用领域。因此，应用速度是抵消了收购信息形式化的困难。3.2 动态误差风险为本的设计评估方法3.2.1 动态误差评估方法的要求 在现代安全设计的角度，基于风险的方法标准方法使评估错误行为的后果，并在发展过程中的安全管理不同层次的相应对策。这种性质的方法使评估过程的动态人机界面，一次错误的行为类型和模式在不同级别上定义的认知，如上所述。在风险分析的实施提出了为错误发生的概率定义的一些问题，以及恢复，分布和相对的不确定性。第二个

33、困难来自于对所产生的每一个容易出错的情况下被确定的时间局势的复杂性。与人机界面相关的仿真模型必须能够解释很多不同的动态相互作用，可能的行为和系统的反应。当错误的行为和活动组合变得更为复杂，很可能这超过了建模和仿真能力。因此，它成为必要采取一系列简化误差建模架构进一步加强，通过选择的固定时间间隔的人机界面的观察，以保持一定水平的动态过程中逐步，其次，通过减少各种错误行为的入账。在安全和风险方面的分析，可以实现3个步骤，以使这些方面的安全评估方法包含： 要求：1对鉴定的人机界面，在其中可能的替代人的表演可用于观察评估后果评估的时间间隔。2 定义和种类和人类表现的模式选择，根据分类法与该分析的总体目

34、标相适应。3 评价的程序和/或任务，在风险评估方面，即结合的成功概率/各分支机构和序列组成一个程序失败的后果。 这种方法可以被定义为“准静态”，在特定时间间隔的人机界面评估过程中查明的意识，从而保持一定的安全分析时间依赖性。此外，在这种情况下，违背了经典的人为错误事件树一般二元选择，不同人的反应是在每个“节点准静态”人机界面树考虑。因此，它不再是可以区分的成功或失败的程序，但它是必要的，以评估其后果的条件每个序列。这些规定的实施会导致什么可称为扩大人力绩效事件树（EHPET），这是今后讨论的重点。3.2.2 扩展人员表现的事件树 建议的方法考虑一种替代方法，他简单的成功与失败的可能性二进制通过

35、使分析在每个人的绩效事件树节点两种或两种以上行为模式（分公司）的可能性。图5显示了一个EHPET，结构凡/可能产生的后果序列ariety，继启动事件（IE）中。 每一树枝是与预期业绩（EP）的，编号为审议根据事件的家庭。家庭是一个事件所代表的可能的替代类型，并在分析的第一步（要求1）中定义的行为模式。根据事件树方法通常形式主义，在每个分支顶端替代是最常见的期望绩效，有关的事件序列。作为一个例子，EP3.0代表事件的EP其中3家是最有可能发生在特定的时间间隔的观测，而EP3.3是第三个可能的表现方式，确定了先验期间在初始步骤方法（要求2）。这样，就可以找出他的人机界面之间的逻辑关系，不同的事件。

36、 每一树枝是与预期业绩（EP）的，编号为审议根据事件的家庭。一个分局的编号顺序，并就有关事件家人它们有联系。作为一个例子，B1.2事件是主要分支。 该序列（以下各段）的编号是在继承和结合IE和各部门的后续急诊医师兴建。序列的整体概率计算相结合的IE浏览器的概率和环境许可证，在该序列发生的概率。对每个序列相关的后果进行评估需要的实际成果在人类方面受到损害的事件，环境和涉及的技术系统（要求3）序列确定性评价。 图5显示了序列的共35集，之后启动事件（IE）中。在这种情况下，家庭和四个事件的各种预期性能，可能每个家庭不同的事件，被认为是。值得注意的是，对于每一个家庭事件，并非所有可能的预期性能，但只

37、有那些与具体部门和节点相对的，是评估（例如，家庭事件2每股收益，以下分支B1.3或B1.4或环境许可证事件家族3，以下分支B2.11）。在某些情况下，它也可能是唯一一个表现被认为是可能的（例如，分行或分公司B1.6 B1.5 EP4.2 EP4.0）。此外，一些序列是由一个仅限于一些活动，因为没有其他人机界面出现以下（如某些表演，Seq6或Seq17）。作为一个例子，名义序列（Seq1），即最常见的预期为每个家庭表演事件序列，Seq8，Seq17和Seq35可以表示为：假设每一个依赖从欧洲议会的前任，或产生分支，概率（P）的序列Seq1，Seq8，Seq17和Seq35可以计算为： 总共有来自

38、35个序列的启动事件IE浏览器（图5）。这一提法需要，每一次可能遇到的各种行为，每个预期表现的概率进行评估和评价，根据性能塑造/影响因素从环境和工作环境中产生的影响。显然，概率法规定，以支付可能的整体表现。作为例子，为后面的事件启动IE浏览器，下面的条件概率估计值必须计算： 和计算以下分支B25座： 为了限制序列爆炸，大量的分支机构，必须一定是被停止了。因此，某些事件的条件概率成为平等的统一，例如，磷（EP4.0 / B3.3）二P（B4.5）= 1或p（PE4.2/B3.4）二P（B4座0.6）= 1。这是后来发生的事件之间的完全依赖两个典型案例。 最后，对某些序列，有可能将达到1比其他序列

39、的事件较少数量的事件结束，如Seq5，Seq6或Seq12 .3.2.3 时间维度和EHPET瓶颈 此技术的目的是在动态的角度解决人类安全的贡献。这种方法可同时考虑的方面是，如动机方面，并最终决策的现代科技和自动化系统，典型的品种。该模型和适用的假设成立，反映了现有的理论和应用先进的当前状态。 这种方法的两个方面需要特别注意，即在时间维度处理和数据的可靠性问题。 该EHPET时间尺度是没有定义，特别是，在这样的序列不指的是同一时间演化发展。此外，每个序列的结论是达到一比其他序列不同的时间。这个问题是不是很关键，作为风险分析的目的是评估成功的机率/的某些程序和相关后果的失败。然而，当某些任务明确

40、的时间窗口内完成，是衡量成功的标准，那么，时间因素将是其中的变数包括被占在评价/失败的任务/程序的成功。 数据，特别是在提供的不当行为，并在性能/模式不同类型相关复苏的可能性而言，是一个重要的问题。目前，许多数据库存在，并正在收集有关事故报告发达和次要事件。这些数据库可能是一个坚实的背景上，以建立基本的概率不足的表现评估。然而，这种活动，即使从一开始在一些领域多年如航空，石油化工和工业的过程中，可以仍然被认为处于起步阶段，主要有两个原因： 1所收集的数据量是不完全可靠，报告过程中受到来自文化 怪许多工业环境中普遍存在，这是对面 学习和安全文化，在于超越了这些数据库的执行情况;及 2该报告收集的

41、数据通过多种很少详细分析和效益的信息在这些数据库中存储的是完全丧失。 这种对人的错误概率性能数据匮乏的直接后果意味着，专家判断的使用已被广泛用于这些基本概率定义应用，以及工作表现和影响因素的评估。这些问题削弱了整体的做法，并减少从实际角度来看适用 然而，该方法仍然在集成方面的创新和完善的可能性范围内全面定量风险评估程序。此外，提出的方法可以用于激励和社会技术已被证明是在经营环境模拟各种现实行为的经营者考虑的重要因素。4 讨论和结论 本文讨论的需要，并与在设计和安全评估进程前瞻性和回顾性分析，人机界面范式的实际执行相关规定。该框架内的一般安全的应用采用的方法是至关重要的。本文介绍两种可能的方式前

42、进，当执行具体办法是不可能的，特别是当整体安全性进行分析，必须是认为整个工厂和控制程序正常和紧急行动。对于这些应用，被认为有足够的办法和建议提供了综合执行的人机界面模型使为基础，认知过程，而单进入.认知功能的详细分析。 另一方面，当特定的行为和可能需要研究的错误，就明确界定任务，然后进行深入分析是必要的。在这种情况下，适当领域的研究可以进行可靠，精确的数据可以被确认有持续的应用详细办法。在这种情况下，这些方法制定和Hollnagel，建议15年以上以前，仍然存在，现在，最现代的和准确的现有的分析仪器和认可。参考资料 阿科斯塔（1993）动态事件树事故序列分析：应用蒸汽发生器管破裂。 Relia

43、b工程用于Syst武装部队41（2）135 154 艾特肯黑上午，斯莱克子（主编）（1990）在认知建模问题。执法机关公开大学，伦敦 巴尼亚拉秒，迪马蒂诺，利桑蒂乙，曼奇尼G号，汤姆甲（1989）人为错误分类的认知工程和社会职业心理基础。恩12624欧元。 CEC的联合研究中心，伊斯普拉 Cacciabue电脑（1994）Affidabilita迪纳米卡 博士论文。米兰理工大学（意大利） Cacciabue电脑（2004）申请方法指南人为因素。斯普林格，伦（1993）人类在可靠性和安全性的互动系统的分析模型。国际ANS的诉讼/ ENS的专题会议上，概率安全评价，变压吸附93，清水海滩，佛罗里达

44、州，1月26日至29日，1993年。美国核学会，拉格兰奇公园，病态， 25-31页。拉斯穆森十（1986）信息流程和人机交互。对认知工程方法。北荷兰，英国牛津拉斯穆森J，彼得森有机质，Carnino ，格里芬男，曼奇尼G号，Cagnolet P（1981）分类报告事件涉及人为故障（里瑟-的M - 2240系统，欧元- 7444EN）。里瑟国家实验室，罗斯基勒原因J（1997）管理组织事故的风险。阿什盖特，奥尔德肖特Salvendi克（编）（1997）人的因素和人类工程学手册。威利，纽约Hollnagel英，马斯登P（1996）进一步发展的表型基因型为分析分类计划的人力错误的行动。欧盟委员会联合研究中心报告。欧元- 16463恩。蒙特利尔，加拿大毛里尼奥署署长，原因J，约翰斯顿氮，李包（1995）超越航空人为因素。埃夫伯里航空。奥尔德肖特，英国 附录B专心-专注-专业