安全分析中的人为因素

在安全关键领域如轨道交通、核电、航空等行业，将人为因素的安全分析会作为安全分析的一环，本文以轨道交通行业中的列车人机界面（DMI）作为示例，谈谈人为因素对系统安全的影响。

DMI位于列车驾驶台，它的核心功能为：

图 DMI功能

从它的功能来看，作为人机接口，实现司机与列车信号控制系统之间信息的交互，列车运行的安全由信号系统来保证，信号系统符合轨道交通最高安全完整性等级SIL4的要求，DMI即使显示错误，信号系统仍然可以保证列车安全的制动，安全分析到此可以结束了。

在subset-091中对DMI引起的人为误用进行了详细的分析，下面是主要内容：

1.顶层危害识别

根据HAZOP中对于信息的引导词，DMI与司机、信号系统之间的交互合并为五种危害类型：

显然这五种危害不会造成列车直接发生安全事故，但是存在的风险是造成列车与司机之间错误的交互，导致未受信号系统监控的列车安全行驶。

DMI功能故障、危害和危害具体的情况它们之间存在层层递进的关系，就像下面这个金字塔一样的关系，例如Hazard 3输出给司机的信息显示错误，具体的危害情况表现为速度提示信息错误，或者列车运行模式提示信息错误。

不同的危害情况并不会都造成事故发生，在DMI上显示不正确的列车速度不会造成直接的事故，但可能导致列车比司机预期更高的速度行驶。

2.司机操作失败

人为操作的失效概率不可能用定量的方法进行衡量，但根据司机所处的情况和其能力，可以进行分级：

A（操作失败概率低）：司机在不复杂的场景下执行操作，这种场景已经经过培训和流程约定；
B（操作失败概率中）：司机发现信号系统的动作行为明显与他们的预期相反，发生了非常明显的矛盾。或者司机设法安全地操作列车，尽管存在的某种程度的信号系统控制的支持失败。要属于这一类，对失败的信号系统支持的依赖必须相当低。
C（操作失败概率高）：司机认识到信号系统的动作方式与他们的预期相反，这种矛盾不像B级那样明显，但对于正常注意驾驶情况的司机来说仍然很清楚。或者驾驶员设法安全地驾驶列车，尽管通常存在某种程度的信号系统支持失败。属于这一类的司机动作，对失败的信号系统支持的依赖高于 B 类。
D极高：司机在未经过训练或流程未涵盖情况下，多数是复杂和紧迫的情况下执行动作，这种情况下犯错概率极高。

3.安全分析结果

DMI的功能、危害和具体的危害情况及造成的直接影响，完整的危害列表如下：

由上表可以得出，DMI故障产生的危害影响对司机的提示信息和司机的输入信息，但从直接后果来看，不会直接造成严重的事故后果，需要结合司机所处的实际场景和其它的触发条件进行分析。

那么，这种安全要求是否属于功能安全的范围，对于人机界面这一类与人的操作密切相关的系统，是否存在SIL等级的要求，下面发起一个投票，欢迎各位读者发表看法：

结合各位读者的意见，笔者也会谈谈自己的观点。