崔铁军，李莎莎

（1. 辽宁工程技术大学 安全科学与工程学院，辽宁 葫芦岛 125105；2. 辽宁工程技术大学 工商管理学院，辽宁 葫芦岛 125105）

本质安全最先由英国在19世纪20年代提出，我国最早于1973年的电气防爆领域首次出现[1]，介绍了国外本质安全防爆型仪表研究情况，间接展示了本质安全的定义和内涵，不但将本质安全概念引入我国，也为其发展奠定了基础。本质安全至今仍是安全科学领域的热点问题，也是实现生产安全的最终目标。大体上，本质安全要求生产系统在生产过程中，无论遭受何种来自于人、机和环境的不安全行为和不安全状态，都不产生对人、机和环境的损伤。其重点强调了对人不安全行为的鲁棒性和不发生对人的伤害；其次是强调机对人和环境带来扰动的鲁棒性和机自身不发生损害人、环境和自身的行为；最后是强调环境对人和机工作过程提供适合的外部环境条件。因此，在现有生产系统中人、机和环境是相互作用相互交织的结构，而管理子系统是协调上述子系统的唯一手段。但本质安全却是在机子系统的设计阶段实现的，这难以达到本质安全的目的。近期提出的本质安全人概念，通过对人的约束实现本质安全，减少人的不安全行为和人的伤亡可能性。本质安全只强调人、机、环和管之一是无法实现的。必须综合分析他们之间的关系，借助智能、数据和信息技术才可实现本质安全。

关于本质安全的研究和具体实现方法，较新的研究包括：本质安全型矿井分区特征构建[2]；电网企业本质安全管理体系构建[3]；化工工艺本质安全评价[4]；基于本质安全理念的建筑综合防灾[5]；基于熵权物元可拓模型的化工工艺本质安全评价[6]；基于未确知测度理论的化工工艺本质安全研究[7]；煤矿本质安全管理体系评价模型研究[8]；基于压力−状态−响应(Pressure-State-Response，PSR)模型的煤矿本质安全评价[9]；考虑本质安全的换热网络多目标优化[10]；炼化企业设备的本质安全可靠与监管智能化对策研究[11]；油储系统火灾事故应急过程本质安全的分类风险源识别[12]。利用智能技术研究本质安全问题最早由韩菊娣在1995年提出，针对胶带输送机运行中因胶带跑偏或打滑摩擦发热引起的火灾事故，研发了本质安全型红外智能测温仪，并实现了软件编制，为后继相关研究奠定了基础。这些研究虽然能解决一些简单问题，但少见从人、机、环境和管理各子系统综合考虑的研究，也未能充分分析各子系统在生产系统中的作用。因此实现本质安全的根本途径还需要进一步研究和发展，这离不开人工智能的基础理论和技术。从而改变原有生产系统结构体系，最终实现本质安全。

为研究实现生产系统本质安全的方法和途径，本文论述了本质安全的概念与实现问题；人工智能实现本质安全的可行性；实现本质安全的途径。最终构建了人工智能生产系统结构和人工智能管理系统结构。认为人工智能管理系统是实现生产系统本质安全的主要途径。

1 本质安全的概念与实现问题

在安全生产领域，本质安全主要指生产流程中人、物、系统和管理等因素的协调性，以保证生产系统的可靠性和安全。使各种危害因素始终处于动态受控状态，以使系统始终处于人可接受的安全状态。本质安全的理想状态是无论出现何种人、机、环和管的意外物质、能量和信息交互，都不出现任何人不期望的系统损失，但这是难以实现的。

图1是目前生产系统的结构形式。其中包括人子系统、机子系统、环境子系统和管理子系统4部分。

图1 目前的生产系统结构形式Fig.1 Current structure of production system

1) 人子系统的特征

人子系统是整个生产系统的核心。传统意义上，将参与生产的所有人都归结为人子系统，但通过研究表明这样的划分是不适合的。由于对生产系统的作用不同，人子系统至少可分为操作者和管理者。

管理者是生产系统的拥有者和控制者，拥有对操作者、管子系统、机子系统和环子系统的控制权。管理者从生产系统中获得最大利益，同时雇佣操作者实际执行生产活动。因此人子系统中的管理者是生产系统的控制核心。但管理者一般不在生产一线进行管理，而是通过远程和先进控制系统进行管理，这导致了对生产系统的全方面全时段的控制缺失。这是造成生产系统故障或事故的本根原因。

操作者是管理者雇佣的，通过劳动获得报酬的人。他们通常对不涉及到自身安全的生产系统故障和事故少有关心。同时也可能出于自身利益考虑出现误报、瞒报和漏报的情况。更深层次的，操作者在被雇佣前，可能缺少与生产系统相关的知识，当然这可以通过培训解决。即使操作者完全知晓生产系统操作手册内容，也可能由于自身判断失误产生误操作和不安全行为。所以操作者一般是造成生产系统故障的直接原因。

综上，管理者和操作者的误判、不作为和不察觉是阻碍生产系统本质安全的最大原因。当然，在生产系统设计阶段可以通过设计措施减少人对机子系统的不安全行为。但如何判断人的不安全行为是实现本质安全的关键，这取决于人的主观能动性。

2) 管理子系统的特征

管理系子系统的发展源于人对人、机和环境的认识。虽然人的认识从来都受到客观现实的限制，但通过经验、总结和抽象的规律仍能适应在限定条件下的生产系统管理。原始的管理适用于较为简单的系统，但随着现代监测、信息和数据理论与技术的发展，自然人作为管理主题越发困难。

在生产系统中的管理子系统是由管理者制定的，或由管理者提出需求通过第三方实现的具有数据采集、信息传输和辅助控制的系统。在目前的如图1的生产系统中，管理子系统根据管理的对象不同至少可以分为操作者管理子系统(管人子系统)、机管理子系统(管机子系统)和环境管理子系统(管环子系统)。

管人子系统由管理者建立并控制，管理对象为操作者。用于规范操作者行为，减少不安全行为，约束主观能动性。例如违章作业等行为通过视频数据实时分析可进行管理。管机子系统由管理者建立并控制，目的在于设置全局参数，并设定操作者使用该系统的权限。通过赋予操作者必要权限，使操作者通过管机子系统对机子系统进行操作。管环子系统由管理者建立并控制，设定适合操作者和机子系统适合工作的环境。该系统是由管理者根据生产要求设定参数，而操作者一般无权修改这些参数。

由于管理者不能实时地参与现场生产，因此一般通过管理子系统对系统进行操作。这样将严重影响操作者、机子系统和环境子系统的相互协调状态的及时调整。而管理子系统是维持生产系统运行的核心，因此管理子系统是实现本质安全核心。

3) 机子系统的特征

机子系统是完成生产活动的核心，由操作者和管机子系统控制，同时受到环境子系统的影响。人机两者构成的混合系统是实现生产过程的动力。人的误操作和主观能动性可能导致机的故障，相反机产生的震动、噪声、粉尘以及机械伤害等都直接或间接地作用于人。

机子系统是目前本质安全和安全领域的研究重点。主要原因是由于相较于人、环和管子系统而言，机子系统从调研、设计、制造、应用和维护的全寿命阶段都受到人的控制，而且在数据和信息等方面最为充分。因此机子系统一直作为实现人工智能的主要对象。但即使机子系统是掌握数据最全面的子系统，也无法通过在设计阶段实现生产运行阶段的本质安全，即无法消除人的不安全行为和物的不安全因素。更为深刻的，在设计阶段采取的安全措施来源于已有知识的分析和系统安全分析，而并不是实际生产过程中的多样性状态。这些状态包括机子系统内部各部分的意外能量、物质和信息交互，也包括人、机、环和管各子系统的意外能量、物质和信息交互。所以单纯在机子系统中实现本质安全是困难的，甚至是不现实的。

4) 环子系统的特征

传统意义上，环子系统是实现本质安全过程中研究较少的部分。但实际情况是，环境的失控将导致人和机的故障或事故，特别是在受限空间中的环境变化。例如煤矿井下的一通三防，其核心是通风，除了地质灾害外影响人采掘活动的因素都来源于井下的空气环境，例如瓦斯、粉尘、煤尘、水蒸气和各种有毒有害气体。因此井下的安全生产源于通风措施对井下受限环境的控制，同样在隧道、地铁等地下工程也存在这种现象。

环境对机子系统存在着固有影响，越复杂规模越大的系统受环境因素影响越显著。例如天文望远镜的镜片制作和打磨过程对环境中的颗粒物是极其敏感的，同时对加工温度也有要求。又如深海潜航设备受到水压和盐碱物的腐蚀，将导致机子系统本身出现故障或者生产产品的不合格。本质原因是由于复杂的大规模系统由很多元件组成，这些元件又由基本的物理材料组成。不同的物理材料在不同的外界环境因素作用下表现出来的完成预定功能的能力不同。所有这些元件在因素变化过程中的功能性都发生改变，导致系统实现功能的能力变化更为复杂。为研究这种现象作者提出了空间故障树理论[13-15]，更为详细的内容见作者相关文献。

环境对人的影响更为直接，有时是非常缓慢的，例如尘肺病一般潜伏期是15 a；有时非常直接，如井下通风低温气体与井下潮湿空气混合形成悬浮烟雾导致工人无法工作。恶劣的环境极易使人造成误操作、心理压力、判断错误等行为。这也是导致生产系统故障和事故的主要原因之一。

因此环境子系统直接作用于机子系统和人子系统，机子系统通过环境也可作用于人子系统。这样环境子系统成为实现本质安全的外在保障。

可得到如下结论：人是实现本质安全的关键；管理是实现本质安全的核心；机是实现本质安全的立足点；环境是实现本质安全的外在保障。只通过设计机子系统无法实现本质安全，而应在管理子系统中实现本质安全。因为管理子系统能协调其余3个子系统，避免意外的能量、物质和信息交互。

2 人工智能实现本质安全的可行性

上文提到，实现本质安全的核心是管理子系统，其应具有自主采集信息、分析和主动干预生产系统故障的能力。学习管理者和专家已有经验，并在特殊情况下辅助管理者提前发现和干预生产系统故障或事故。这些需要管理子系统和机械子系统的智能化。这时生产系统由管理子系统和机械子系统组成，在环境子系统中运行。生产系统的核心是管理子系统，而不是人子系统、机子系统或是环境子系统，图1所示生产系统结构将变为图2所示系统结构。

图2 人工智能生产系统结构Fig.2 Structure of artificial intelligence production system

对比图2和图1，系统结构复杂性明显降低，并具有如下特点。

1) 操作者的消失

操作者是原系统中生产工作的核心，同时也是造成生产过程中故障和事故的主体。操作者被人工智能管理系统取代，将直接通过管机子系统对机子系统进行控制。这将实现本质安全中对人的不安全行为的控制和杜绝人的伤亡。

操作者的消失使生产系统中人子系统复杂性降低，组成部分减少。进一步也消除了图1中与操作者相关的5种关系。即机子系统将不影响操作者；操作者不再使用机子系统，减少了人的误操作、不安全和误判等行为；环境不再影响操作者，这将降低对环境控制的程度；操作者不再使用管机子系统，这样可以忽略由于人的生理心理要求对机器进行的人体工学设计，同时避免误操作；由于操作者的消失，管人子系统也变得不必要，降低了管理子系统的复杂性。

19 Practice and exploration of establishing blood purification training center with PPP (Public Private Partnership) model

2) 管理者作用的变化

原生产系统结构中管理者设计管理子系统，并负责控制。但对一线生产的全时间监控显然不适合自然人的特点。在新的人工智能生产系统中，管理者不再直接接触生产管理，而是作为人工智能管理系统的经验数据来源。这些经验可从本单位的人员、国内外相关单位人员、各相关科学的专家等获得。为人工智能管理系统建立生产系统故障知识库。在这种情况下，人工智能生产系统将不需要自然人管理者值守；而只在突发事件情况下需要管理者参与，并为管理者提供信息和辅助处理能力。

进一步地，将管理者经验转变为生产系统故障知识库后，不需要管理者对管人、管机和管环子系统进行控制。这将大大简化管理子系统的结构，使其能重点控制机子系统和环境子系统，减少原结构中的4种关系。

3) 反馈机制的增加

原系统中管机和管环子系统分别直接作用于机子系统和环子系统。这时机子系统和环子系统将作用的结果和变化直接反映给操作者。操作者接到反馈后通过控制管机子系统的方式来调整反馈，环境子系统的控制权在管理者手中。在人工智能生产系统中需要机子系统与管机子系统之间的反馈和控制交互；同样环子系统也需要和管环子系统进行这样的交互，形成两种循环。

4) 系统结构的变化

首先，操作者消失和管理者变化会导致原有人子系统消失。即造成系统故障和实现本质安全的核心问题已不参与生产。人子系统脱离生产系统是实现本质安全的必要条件。无人的生产系统只能将意外的能量释放作用于机子系统和环境子系统。进一步地，机子系统的破坏不能作用于人，环境子系统的变化也不能影响人，这符合本质安全中人安全的目标。

管子系统由于人子系统的退出，可只保留管机和管环子系统，也不接受原有管理者的直接控制(特殊情况除外)。这将大大简化管理子系统的结构。同理，机子系统只接受管机子系统的直接指令，不再影响和受控于操作者，可简化机子系统为了满足人的工作要求而进行的设计，大幅减少机子系统的设计和制造成本。而环境子系统更加具有鲁棒性，因为机子系统较人子系统能承受更为广泛的环境因素变化，这可减少对环境因素的控制，化简管环子系统结构。

重点在于，简单的系统结构将带来更高的可靠性和安全性。本质上越复杂的系统，其中元件的相互作用概率越高。这些作用包括意外的能量、物质和信息交换。有时是一对一的交换，但也存在多对多的情况。如果这种交换在生产系统设计期间并未考虑，而且带来的作用影响了元件实现功能的能力，那么必将形成故障隐患。这种作用通常带有累积效果，同时系统也可能在某种循环荷载作用下工作，使这种累积不断加强，最终导致系统元件失效导致系统故障或事故。因此使用简单的系统结构将能明显降低这种意外的交互发生。

对于上述改变，需使用人工智能的理论和技术，同时也证明了人工智能实现本质安全的可行性。

3 实现本质安全的途径

实现人工智能生产系统的前提是建立如图2的生产系统结构。该结构中包括管子系统、机子系统和环子系统。这时管理子系统是生产系统的核心，负责控制机和环境子系统。人的生产作用消失，本质安全的主要保障对象消失，这是实现本质安全的重要目标。那么实现生产系统的本质安全将全部归结为实现人工智能管理系统。关于人工智能管理系统，在图2中给出了简单的示意图。但实现人工智能管理系统，从而实现人工智能生产系统才是达到本质安全的重要途径。

图3显示了人工智能管理系统的结构。与图2对比，人工智能管理系统的外围是机子系统、环子系统、管理者和专家。管理者提供需求和目标，同时专家提供经验建立经验数据库。机子系统将运行期间的监控数据反馈形成运行数据库。环境子系统通过监控将环境因素的变化形成环境数据库。

图3 人工智能管理系统详图Fig.3 Detail of artificial intelligence management system

对生产系统而言，人工智能管理系统至少包含经验数据库、运行数据库、环境数据库、故障模式识别子系统、故障知识库、管机子系统和管环子系统。经验数据库、运行数据库和环境数据库主要负责收集人的经验、机子系统数据和环子系统数据。三者共同作为故障模式识别的基础，环境数据库提供影响机子系统运行的外部数据，运行数据库提供对应的机子系统运行状态数据，经验数据库提供环境因素特征和机子系统运行特征与故障模式的对应关系。故障模式识别子系统负责分析该对应关系，从而判断、预测和分析可能出现故障或事故的可能性。如果识别确定了发生故障的潜在危险，而且达到预设的程度，则通过管机子系统和管环子系统分别控制机子系统和环子系统；改变机的运行状态和环境因素；再次通过机子系统和环子系统的监控反馈来进一步对故障模式进行识别。进一步地，将多次控制和反馈形成的具有一定规律性的运行−环境−故障对应关系形成故障知识库。

生产系统中的人工智能管理系统具有双循环和自学习的特征。双循环是机子系统−运行数据库−模式识别子系统−管机子系统−机子系统和环子系统−环境数据库−模式识别子系统−管环子系统−环子系统；自学习是学习管理者和专家的经验，从而进行模式识别，最终将具有规律性的故障模式形成故障知识库。因此，实现上述过程的关键在于故障模式的智能识别和故障知识库的建立。这两方面众多学者也进行了大量研究。例如钟义信[16-19]提出的信息生态方法论和信息转化定律，用于表征和信息的转化形成知识库；何华灿[20-21]提出的泛逻辑理论，用于描述不同事物之间的多种逻辑关系；汪培庄[22-23]提出的因素空间，用于研究不同因素与目标因素之间的逻辑关系。本文作者提出的空间故障树理论框架[13-15]也可应用于实现生产过程本质安全，是安全科学领域的智能方法，具体可实现下列功能：(1) 多因素影响系统故障分析技术基于空间故障树理论基础，可在多因素影响下分析系统可靠性和故障状态变化，实现多因素耦合下系统故障状态、因素重要度、连续和离散故障数据的表示、分析和处理；(2) 智能化系统故障分析技术基于智能化空间故障树理论，可分析故障过程因果关系，从因素变化与故障变化关系出发，整理故障数据、分析故障因果关系、抽取故障概念；(3) 系统故障演化分析技术基于空间故障网络理论，将故障演化过程分解为经历事件、影响因素、逻辑关系和演化条件，并用网络拓扑结构表示；(4) 系统故障结构分析方法基于系统运动空间与系统映射论，通过系统运动空间描述系统运动并度量，通过系统映射论描述系统运动过程中的因素流和数据流的对应关系。

由于目前的智能基础理论尚不完善，这两项工作并不能达到完全应用的程度。但可以预见的是，实现本质安全必须将人从生产系统中分离出来，避免人的不安全行为和伤亡；必须智能化地控制机子系统的运行状态和环境因素变化，减少机子系统故障和事故带来的损失。消除人的伤亡、减少机的故障是实现本质安全的核心，而人工智能管理系统是实现本质安全的根本途径。

4 结论

(1) 对于实现本质安全，生产系统中不同子系统的作用不同。人子系统是实现本质安全的关键；管子系统是核心；机子系统是立足点；环子系统是外在保障。只通过设计在机子系统中无法实现本质安全，而应在管子系统中实现本质安全。

(2) 人工智能管理系统给生产系统带来结构改变。这些改变主要包括操作者消失、管理者作用变化、增加反馈机制、系统结构变化。这种情况下人子系统不在生产系统中，避免了生产给人带来的伤亡和人的不安全行为。控制和反馈机制减少了机和环子系统的不安全状态。结构变化降低了系统的复杂程度，减少了子系统间意外的能量、物质和信息交换。

(3) 生产系统的本质安全需通过人工智能管理系统实现。人工智能管理系统具有双循环和自学习的特征。双循环分别控制机子系统和环子系统，自学习则是通过对管理者和专家的经验学习，对比运行数据库和环境数据库进行故障模式识别，最终形成故障知识库。虽然故障模式识别和故障知识库仍处于研究阶段，但这是实现生产系统本质安全的必由之路。