杨阳　曹彦

摘   要：智能化生产环境让生产的效率和质量都得到了显著提高。然而，智能化生产化境中复杂的组成结构和交互行为也放大了系统中危机事件的危害程度，进行有效的危机管理具有很强的必要性。由于智能化生产环境中的危机管理是一项知识密集型的任务，文中通过构建危机管理本体来对智能化生产环境中的危机进行管理。首先确定了危机管理的四个阶段，然后根据各个阶段中需要的环境知识对危机管理本体进行层次划分，并确定各本体类，接着对各本体类的属性进行了详细描述，构建出了整体的危机管理本体，最后基于本体并结合案例描述了对应的SWRL推理规则。

关键词：ISO 31000：2018;危机管理;本体;SWRL;本体推理

中图分类号：TP311                                             文献标识码：A

Ontology-based Hazard Management in Smart Production Environment

YANG Yang1，2？覮，CAO Yan1，2

（1. College of Computer Science and Technology，Nanjing University of Aeronautics and

Astronautics，Nanjing，Jiangsu 211016，China;

2. Key Laboratory of Safety-Critical Software（Ministry of Industry and Information Technology），

Nanjing University of Aeronautics and Astronautics，Nanjing，Jiangsu 211106，China）

Abstract：Smart production environment has greatly improved the efficiency and quality of production. However，the complex composition structure and interaction behavior in the smart production environment also magnify the damage degree of hazardous events in the system，so it is necessary to conduct effective hazard management. The hazard management in smart production environment is a knowledge-intensive task，in this paper，an ontology is constructed to manage the hazard in the smart production environment. Firstly，we identified the four stages of hazard management. Then，we divided the ontology into different hierarchies according to the environmental knowledge needed in each stage and determined each ontology class. Next，the attributes of each ontology class were described in detail，and the whole hazard management ontology was constructed. Finally，the corresponding SWRL reasoning rules were described based on the ontology and cases.

Key words：ISO 31000：2018;hazard management;ontology;SWRL;ontology reasoning

隨着普适计算的快速发展，信息化和智能化已经成为当代工业发展的主要趋势。在2011年的汉诺威博览会上，首次提出了“工业4.0”的概念，建议利用信息化技术来促进产业变革，建立智能化的生产环境。随后，世界各国都开始制定新的产业发展战略，我国也于2015年提出了“中国制造2025战略”，以进行新一轮的科技革命和产业变革。

智能化生产环境蓬勃发展的同时也放大了生产环境中的危机处理问题。由于智能化生产环境的复杂组成结构和交互行为，相较于传统工业环境而言，在这类环境下发生的危机有着更多种类的源头，同时也可能会造成更大的危害[1]。一个部件或子系统中发生的危机事件会很快蔓延到整个系统当中，进而造成损失。因此，智能化生产环境中的危机管理尤为重要。

智能化生产环境中的危机管理具有知识密集的性质[2]，危机知识包括执行工作活动的人员，用于工作活动的工具和机械，以及正在执行工作活动的环境特征等。不同的实体特征意味着不同的潜在危机。为了在智能化生产环境中进行危机管理，危机知识应以计算机可解释和语义可推断的方式表示，进而可以在系统运行时进行计算。

由于智能化生产环境的动态特征[3]，并且考虑到环境中可使用的的各种实体的监测数据，通过构建本体，动态感知的数据可以被正确分析并且应用于危机管理中。主要研究目的是设计一个通用本体，用于智能化生产环境中的知识管理，以获取各种所需的危机管理知识。将智能化生产环境下的危机管理划分为监控-分析-计划-执行四个阶段，并且利用每个阶段中获取的危机知识，结合文中的危机管理本体，进行系统中危机的识别和处理。

1   相关工作

目前，针对智能化生产环境中系统危机管理的研究主要在构建系统模型和分析方法方面，危机管理模型可以利用多种方法来构建和分析。

文献[4]中提出了一种系统危机管理的建模方法，利用层次分析法（Analytic Hierarchy Process，AHP）和网络分析法（Analytic Network Process，ANP）建立系统危机管理模型，克服了危机评估过程中的碎片化问题，解决了安全和效率之间的潜在冲突。文献[5]中，基于ALE、ROSI、ISRAM等方法，通过安全措施-威胁关系矩阵来对危机进行定量分析，建立了更灵活，更精确的度量，以支持不同组织级别的危机管理过程。文献[6]基于多级模型的构建和危机因素分组的方法，在模糊环境下给出了层次结构的加权因子组，进而进行危机的评定。文献[7]设计了用于安全检查的自动化施工的基于本体的知识模型，该模型旨在通过将安全知识链接到施工和产品制造的过程中，来将安全规则和施工计划进行集成。在本体模型中引入了前驱因素的概念，代表导致事故的条件、事件以及顺序。

这些模型针对不同行业和领域，通过不同的方法来进行危机事件的分析，既有针对软件系统的危机管理模型，也有针对现实工业系统进行建立的模型。所采用的理论和技术也各不相同，最终的目标都是构建一个有效的危机管理模型。

2   危机管理本体的构建

2.1   智能化生产环境中的危机管理流程

结合ISO 31000：2018标准中的风险管理过程，将智能化生产环境中的危机管理划分为监控-分析-计划-执行（Monitoring-Analysis-Planning- Execution，MAPE）四个阶段。

1.监控（Monitoring）

危机管理需要通过系统中的信息来进行，而这些信息的获取可以通过系统中各类传感设备的功能来实现，这些传感设备能够监控环境的一些参数和一些物理设备的属性，并将这些信息传送到信息处理模块来分析系统的状态变化。在本文中，监控阶段包括对操作人员自身属性的监控，对物理设备状态的监控，对环境变化的监控和对操作人员执行动作的监控。

2.分析（Analysis）

危机事件的分析是对其进行管理的第二个阶段。在这个阶段中，通过监管阶段获得的数据，需要识别出危机事件发生的时间，发生的位置及其发生的原因，分析危机事件可能带来的风险的种类及其可能性，并且确定相应的处理动作。由于系统中导致危机事件发生的因素有多种，因此危机事件的存在可能是时间重叠的，同一时刻可能存在多个危机事件，此时需考虑危机事件之间的关系，并决定危机事件的处理顺序。

3.计划（Planning）

危机管理的第三个阶段是计划阶段，这个阶段需要根据分析阶段的结果来制定或选择处理危机的策略，以消除或减少危机事件可能造成的后果。通常情况下，处理策略的产生有两种方式，一是可以从预定义的策略集中选择符合现场状况的策略，二是基于现场状况和系统中可执行的应对操作，采用一定的算法来进行自适应的处理。在计划阶段，需先对现有的策略选项进行成本以及性能评估，包括执行这个处理过程可能引入的其他危机事件，通过一定的评定方式来选择最合适的处理方案。

4.執行（Execution）

执行阶段是危机管理的最后一个阶段，其目标是为了实施计划阶段决定的应急策略对应的动作。在这个阶段中，系统中的执行器会执行系统指派的动作，同时系统中的安全管理相关人员会执行处理策略分配给他们的任务。在处理策略执行完毕后，需要评价处理工作的有效性，并确定系统中是否残留有未处理的或新产生的危机事件，如果还有不可容许残留的危机事件，则需要产生新的危机事件处理策略。

2.2   系统危机管理知识的层次结构

在本体的知识库中，一般通过先分类再分层的方法来对知识进行组织[8]。分类是根据解决问题的需要以及知识的类别，来将知识分成不同的类别。分层是在分类完成之后，将某一类别的知识划分为多个层次，其中高层次的知识是对低层次知识的概括与总结。

根据系统危机管理流程中的四个阶段，将危机管理领域划分为四个部分，分别对应四个本体类：监控类、分析类、计划类、执行类。

在系统中，危机事件的诱发因素有很多，环境自身的因素，系统中操作人员自身，工具和仪器自身，以及操作人员在设备上的行为动作都有可能导致危机事件的发生。

因此，系统中的监控目标包括工作活动，工作活动进行的区域，工作活动的执行者和其操作的对象，因此，监控类的子类可以进一步划分为作业执行者（WorkExecutor）、操作对象（WorkObject）、工作区域（WorkArea）、工作活动（WorkActivity）和监控设备（MonitoringDevice）这五个类。

分析阶段的主要目标是基于监控阶段本体获得的知识来进行危机事件的分析，当系统中有危机事件发生时，需要进行识别，对其可能造成的后果进行分类，并确定其可能性，除此之外，还需要进行评估，可以根据实际需要采用现有的评估方法[9-12]，以确定危机事件和其导致的风险的强度和优先级。因此，分析类的子类为危机事件（HazardousEvent）和风险（Risk）。

计划阶段的目的是制定或选择处理危机事件的策略，以消除或减少其造成的消极后果。在决定处理策略时，还需要确定由哪个实体来进行处理，需要使用哪些资源，在哪个区域内进行哪些动作。因此，计划类的子类为应急策略（EmergencyStrategy）。

执行阶段的目标是实施计划阶段中确定的策略。在此过程中，需要策略中规定的实体执行相应的动作，仅看作一个实施的阶段，因此执行类没有子类。

2.3   危机管理本体类的创建

在对本体类进行了层次划分后，针对每一个子类，需要分析其与危机管理有关的属性，去除非必要的属性，并且根据危机管理的过程来对类之间的关系进行分析，以构建危机管理本体。

1.作业执行者（WorkExecutor）

作业执行者一般指的是系统中的操作人员，他们自身的一些因素会导致危机事件的发生，比如滥用工具或机器，忘记穿戴安全服装和安全设备，忽视安全程序等。

为了保护作业执行者的安全，减少危机事件发生的可能性，各国都在建立适用的职业安全与健康标准，其中比较有代表性的是美国职业安全与健康管理局頒布的OSHA标准。根据OSHA标准，不同的行业应该建立对应的培训需求评估（Training Needs Assessment）来确定和定义执行一项特定工作所需要的安全和健康培训。在每个行业中，需要定义所有人员的角色等级，表明每个角色的责任和能力范围。此外，对于每项工作活动，根据该活动中所使用的工具和机械，建议作业执行者采用一些安全保护元件（Safety Protection Elements，以下简称SPE）来保护自己免受潜在危机事件所带来的危害。根据OSHA标准中的规章和指令，可以提取一些影响安全的重要概念作为作业执行者的属性，主要为：

（1）作业执行者在系统中的角色;

（2）作业执行者执行某项工作所需要的职业技能以及工作经验;

（3）作业执行者当前使用的安全保护元件。

作业执行者类的详细属性如图1所示。

图1   作业执行者类的详细属性

2.操作对象（WorkObject）

操作对象一般指的是系统中的资源，包括信息类型的资源和物理类型的资源，信息类型的资源包括系统中的数据和文档等，这些信息可能会由于黑客入侵遭到破坏，也有可能因为其载体损坏而导致丢失。物理类型的资源包括各类工具和仪器等，它们中可能存在故障，可能由于维护不当或者由于功能缺陷而导致运转不正常。操作对象需要定期进行检查，其结果通过安全检查状态表示，是危机事件发生的参数之一。

每个操作对象有着各自的复杂程度。一般来说，复杂的操作对象会由一组简单的操作对象组成，可以通过对其组件的安全控制进行建模。对复杂操作对象的建模和分析可以模块化从其组成部分来进行。

一部分操作对象上配有传感器和执行器部件，可以进行远程的操作或者自动控制，在应急策略的计划和执行阶段通常将此类操作对象上的危机事件定义为自动控制的类型。

因此，通过以下三点描述操作对象的属性：

（1）操作对象的类型，为信息类型或物理类型;

（2）操作对象当前的安全检查状态;

（3）操作对象的复杂程度，复杂操作对象的组成部件。

操作对象类的详细属性如图2所示。

图2   操作对象类的详细属性

3.工作区域（WorkArea）

工作区域是指整个系统所存在的环境，工作区域可以被划分为若干子区域，每个子区域都有着其唯一的标识方式，且区域内应有其监控设备。

根据ISO 31000：2018标准，工作区域内可能会存在导致危机事件的不安全因素，比如医院药剂室内和化工原料仓库中可能存在的可燃气体或者化学药剂。同时工作区域自身的一些特性也可能会导致潜在的危机事件，比如未被固定的架子，未被修缮的屋顶等。工作区域内的安全保护元件对于危机事件的发生和处理也有着一定的影响。针对工作区域，本文主要考虑以下属性：

（1）子区域的识别标识;

（2）子工作区域的在整体区域内的位置;

（3）区域内存在的不安全因素;

（4）区域内监控设备和安全保护设备的配备情况。

工作区域类的详细属性如图3所示。

图3   工作区域类的详细属性

4.工作活动（WorkActivity）

工作活动是作业执行者进行的作业。每项活动都有着与其相关的不安全因素，执行某项工作活动需要执行者有对应的工作技能，且需要执行者激活特定的角色来进行，并且其执行过程通常有着对系统内操作对象的使用。因此，工作活动的属性主要包括：

（1）该项动作活动的不安全因素;

（2）执行者进行这项工作所需要的技能;

（3）执行者进行这项工作所需激活的角色;

（4）进行这项工作需要使用到的操作对象。

工作活动类的详细属性如图4所示。

5. 监控设备（MonitoringDevice）

监控设备是能够收集系统中实体属性参数的物理设备，这类设备有着唯一的标识，根据标识来建立与监控对象的对应关系。在危机管理过程中需要考虑的是监控设备的类型，监控设备的类型分为四类：作用于作业执行者的监控设备（WorkExecutor-Specific）、作用于操作对象的监控设备（WorkObject-Specific）、作用于工作区域的监控设备（WorkArea-Specific）和作用于工作活动的监控设备（WorkActivity-Specific）。监控设备的属性考虑以下两种：

（1）监控设备的唯一标识

（2）监控设备的类型

监控设备类的详细属性如图5所示。

图4   工作活动类的详细属性

图5   监控设备类的详细属性

6. 危机事件（HazardousEvent）

危机事件指的是出现之后会给系统的正常运行带来影响的事件，它们的发生会使得系统发生异常或变得不可用。危机事件如果不进行恰当的处理，会导致风险的发生。由于系统中危机事件的导致因素较多，当多个危机事件同时发生时，需要根据危机事件的优先级来确定危机事件的处理顺序。

每个危机事件都有其发生的位置和导致其发生的源头，在对作业执行者、操作对象、工作区域和工作活动属性的分析过程中，可以看出这些实体均有可能成为危机事件的源头。

危机事件根据其特点可以划分为不同类型，根据OSHA标准，危机事件的类型主要可以分为五种：物理类型（火灾，辐射等）、机械类型（物理设备或者器械出现的问题）、电气类型（电压、电流等）、化学类型（易燃物、有毒元素等）和心理类型（压力过大、身体疲惫等）。因此，工作活动的属性主要包括：

（1）危机事件发生的位置;

（2）造成危机事件发生的源头;

（3）危机事件的优先级;

（4）危机事件的类型。

危机事件类的详细属性如图6所示。

图6   危机事件类的详细属性

7. 风险（Risk）

风险作为危机事件可能带来的后果，与危机事件类似有着发生的位置、来源和类型等属性。风险的紧急程度通过风险的等级来进行划分，风险等级的划分方法有多种，其中比较常用的是美国的LEC评价法，利用与风险相关的三个因素的指标值乘积来对风险等级进行界定，分别为事故发生的可能性（likelihood，L）、人员在危险环境中暴露的频繁程度（exposure，E）和当事故发生可能造成的后果（consequence，C），根据三个因素的不同等级确定对应的分值，再以三个分值的乘积所处的区间将风险等级划分为稍有危险、一般危险、显著危险、高度危險和极其危险五个等级。因此，风险的相关属性主要考虑以下几个方面：

（1）风险发生的位置;

（2）造成风险的来源;

（3）风险的类型;

（4）风险等级。

风险类的详细属性如图7所示。

图7   风险类的详细属性

8. 应急策略（EmergencyStrategy）

应急策略指的是在危机事件分析过程完成后所确定的处理方案，包括执行一系列的相应动作来控制，降低或消除危机事件所带来的不良影响。应急策略与危机事件一致，有着对应的优先级，根据危机事件处理顺序的不同，应急策略的优先级也应不同。策略的执行需要通过执行者在一定的区域通过使用一定的资源来执行应急策略的动作。因此，应急策略的相关属性主要考虑以下几个方面：

（1）多个应急策略需要执行时，每个策略各自的优先级;

（2）策略的执行者;

（3）执行策略需要的资源;

（4）策略的实施位置;

（5）策略对应的执行动作。

应急策略类的详细属性如图8所示。

图8   应急策略类的详细属性

根据上述分析的各个本体类以及类的详细属性，可以确定最终的风险管理本体，结构如图9所示。

针对具体系统而言，使用危机管理本体，需要将危机管理本体实例化，描述不同工作活动的特定安全概念，从而建立起系统的模型。

3   基于本体的SWRL推理规则

SWRL（Semantic Web Rule Language）是W3C规范中的一员，主要作用是描述推理规则[13]。在SWRL架构当中，本体是推理规则组成部分的主要来源，Atom利用本体的属性和实例来建立，Atom的属性由本体的属性得到，Atom的参数由本体的实例组成[14]。

根据危机管理本体，按照SWRL框架的详细规范，部分Atom的解析如表1所示：

表1   部分Atom详细解析

风险管理本体的应用考虑两个方面，一方面是在工作活动执行前根据实体的属性推理可能发生的危机事件，进而采取一定的预防措施，另一方面是检测到系统中有危机时，制定一些措施来进行应对和处理。考虑以下简单的应用场景：

场景1：制药车间内药剂装箱工作（危机预防）

车间内有各类化学药剂，这些化学药剂误食可能会导致中毒，因此，操作人员需要穿戴口罩才可以执行此项工作。

该场景可以通过以下规则描述：

Rule-1：WorkActivity（？baling）

∧activity_performed_by（？baling，？worker1）

∧activity_performed_in（？baling，？pharmacy）

∧environment_unsafe_factor（？room，chemical）

→might_cause（？room，？toxicosis）

∧strategy_use（UseGauzeMask，？worker1）

规则1解析如下：装箱工作baling是WorkActivity类的一个实例，这项工作是由操作人员worker1在药剂室pharmacy中进行，且药剂室内有不安全因素化学药剂chemical，推理的结果为可能会导致中毒toxicosis，需要的预防策略是让操作人员worker1使用口罩UseGauzeMask。

场景2：办公区域内失火（风险处理）

系统内某间办公室内有温度传感器和烟雾传感器，监测到办公室内失火，需要让室内人员进行撤离并打开灭火装置。

该场景可以通过以下规则描述：

Rule-2：Environmen t（？office）

∧temperature_data（？temperature_sensor，？tem）

∧smoke_data（？smoke_sensor，？smo）

∧swrlb：greaterThan（？tem，tem_threshold）

∧swrlb：greaterThan（？smo，smo_threshold）

→strategy_use（LeaveOffice，？workers）

∧strategy_use（Sprinkle，？Sprinkler）

规则2解析如下：系统环境中的区域办公室office内的温度传感器temperature_sensor监测到区域内温度数据tem已经大于设定的阈值tem_threshold，且同时烟雾传感器smoke_sensor监测到区域内的烟雾浓度数据smo也大于设定的阈值smo_threshold，推理的结果为区域内有火灾发生，处理策略为让工作人员workers离开办公室LeaveOffice，且同时洒水器Sprinkler执行洒水动作Sprinkle。

4   结  论

基于ISO 31000：2018标准，提出了一个危机管理本体对智能化生产环境中的危机进行管理，通过对标准中内容的分析，确定了危机管理的步骤以及各步骤所需要考虑的环境知识，在此基础上构建了危机管理本体，并将本体中的概念作为危机管理四个阶段的知识库，以在系统运行时进行SWRL推理，进而对系统中的危机进行管理。

在未来的研究工作中，会继续考虑其他属性给危机管理带来的影响，对危机管理本体进行完善，使其能够更好的为相关研究工作提供帮助。

参考文献

[1]    李炳燃，张辉，叶佩青. 智能制造环境下的数控系统发展需求[J]. 航空制造技术，2017，60（6）：24—30.

[2]    ZHANG S，BOUKAMP F，TEIZER J. Ontology-based semantic modeling of construction safety knowledge：Towards automated safety planning for job hazard analysis （JHA）[J]. Automation in Construction，2015，52：29—41.

[3]    面向管理的智能化生产环境监测系统[D]. 呼和浩特：内蒙古大学，2016.

[4]    BEAUCHAMP-AKATOVA E，CURRAN R. From initial risk assessments to system risk management[J].Journal of Modelling in Management，2013，8（3）：262—289.

[5]    WAWRZYNIAK D. Information security risk assessment model for risk management[C]//International Conference on Trust，Privacy and Security in Digital Business. Springer，Berlin，Heidelberg，2006：21—30.

[6]    TAKACS M. Multilevel fuzzy model for risk management[C]// IEEE International Conference on Computational Cybernetics. IEEE，2009：153—156.

[7]    LU Y，LI Q，ZHOU Z，et al. Ontology-based knowledge modeling for automated construction safetychecking[J]. Safety Science，2015，79：11—18.

[8]    李善平，尹奇韡，胡玉杰，等. 本體论研究综述[J]. 计算机研究与发展，2004，41（7）：1041—1052.

[9]    陈鍊，胡作进，蔡淑珍. 信息系统安全风险评估模型研究[J]. 计算机应用与软件，2007，24（6）：73—77.

[10]  WONG S T. Natural hazard risk assessment and public policy[J]. IEEE Transactions on Reliability，2010，19（5）：845—847.

[11]  张润莲，武小年，周胜源，等. 一种基于实体行为风险评估的信任模型[J]. 计算机学报，2009，32（4）：688—698.

[12]  ASNAR Y，GIORGINI P，MYLOPOULOS J. Goal-driven risk assessment in requirements engineering[J]. Requirements Engineering，2011，16（2）：101—116.

[13]  MISHRA R B，KUMAR S. Semantic web reasoners and languages[J]. Artificial Intelligence Review，2011，35（4）：339—368.

[14]  葛强，沈国华，黄志球，等. Web服务中支持本体推理的隐私保护研究[J]. 计算机科学与探索，2013，7（6）.