基于有限狀態機的安全性仿真技術

王 蓓 趙廷弟 焦 健

(北京航空航天大學 可靠性與系統工程學院,北京 100191)

基于有限狀態機的安全性仿真技術

王 蓓 趙廷弟 焦 健

(北京航空航天大學 可靠性與系統工程學院,北京 100191)

為了研究系統中事故的動態變化機理,探索事故發展過程中的運動行為,制定正確的應急控制措施,提出了基于有限狀態機理論的安全性建模仿真方法.結合 Simulink/Stateflow工具開發了面向事故機理與應急過程的建模仿真平臺,實現了系統的機理模型、安全狀態控制模型以及應急操作模型的有效融合.該平臺能實現對人-機-環境綜合系統進行動態仿真,為明確事故的動態變化過程和制定應急控制措施提供依據.通過對某艦船艙室事故過程的仿真實例,驗證了該方法的有效性和合理性.

安全性;仿真;有限狀態機;Simulink;Stateflow

事故過程機理分析在系統安全性分析工作中有著重要地位,是進行安全性研究工作的基礎.系統如何從安全狀態演化到事故狀態的運動特性是事故過程機理研究中的根本問題,是制定事故應急預案的基礎.

上世紀 20年代以來,人們就致力于事故機理的研究,從 M.Greenwood和 H.Woods提出的基于統計的事故頻發傾向論,H.W.Heinrich的工業安全原理,到 60年代 Gibson和 Haddon的能量轉移論,以及 Benner等人的擾動理論等[1-2],為事故理論研究提供了一定的依據.但他們大多是從理論層面靜態地分析事故的成因,而安全性仿真技術為事故過程的動態性研究提供了新的途徑.

安全性仿真的機理是基于系統的動態性,要完整認識事故,需要系統地研究發生事故的運動特征.事故發生的原因來自于系統的不安全狀態,而事故發展的過程則體現了系統狀態的動態變化,從原因到事故的演化過程是系統運動規律決定的一種內在關系[3].通過仿真能明確由某種危險征兆所引發的狀態變化過程的運動行為.對這種具有離散特征的動態行為,有限狀態機提供了一種有效的建模思路[4-6].

因此,提出基于有限狀態機原理的安全性仿真技術,通過建立系統使用過程安全性模型,結合Simulink/Stateflow軟件平臺,進行事故發展機理與應急過程的仿真,系統的研究事故的發展過程機理與動態行為,從而實現事故發展過程中的系統狀態的運動特性和人機交互應急處理過程的動態模擬,為建立正確的應急措施提供依據.

1 有限狀態機原理

有限狀態機是指在系統中有可數的狀態,在某些事件發生時,系統從一個狀態轉換到另一個狀態,又稱為事件驅動系統.

一個有限狀態機 M定義為一個 6元組:

其中,∑為輸入集合;O為輸出集合;S為 M中有限狀態的集合;S0為初始狀態的集合;Δ(s,x)為狀態轉移函數為輸出函數;集合 ∑,O,S定義為非空集合;Δ和 Λ是多輸出的布爾函數:

它們定義了有限狀態機的狀態轉移圖.

式中,x1,…,xm為當前的狀態變量;w1,…,wk為原始的輸入變量;y1,…,ym為有限狀態機的下個狀態變量.

有限狀態機可以用圖形和表格的形式清晰直觀的表現,如圖 1所示,它是用兩狀態轉移圖表示的一個有限狀態機的簡圖.圖中,用圓表示狀態(State),用帶方向的弧表示一個狀態到另一個狀態之間的轉移,并在每個弧上放置相關聯的輸入變量(Input)和輸出行為(Action)[8].

圖 1 有限狀態機簡圖

為了清晰地描述有限狀態機的狀態轉移邏輯,可以用狀態轉移表來表示.表 1是與圖 1對應的狀態轉移表.狀態轉移表是一種比狀態轉移圖更嚴格的表示方式,便于有限狀態機的軟件實現.

表 1 狀態轉移表

有限狀態機方法可以對具有離散特征的系統進行緊湊而有效的再現.通過有限狀態機能實現對真實數字系統的建模和監控,不管是在硬件控制領域,還是在一些邏輯綜合的領域,有限狀態機方法都有很多成功的應用.

2 基于有限狀態機安全性仿真模型

有限狀態機建模方法能充分反映系統的動態特征和狀態轉移特性,其高效的建模能力為探索事故發展的規律提供了新的平臺.

2.1 系統的動態性分析

系統是一個包含了人員、工序、物資、設備、設施和軟件的集成.每個子系統互相有接口,實現各自的功能,整個系統處于某個環境或邊界中,有明確的目標輸出.

在系統安全性分析工作中,通常用 5M模型(見圖 2)反映系統各組分的接口關系.

5M模型體現了系統組成成分的靜態關系.系統的使用過程是一個人-機-環境動態協調的過程,除了考慮系統組成的靜態關系,還需要研究系統狀態的動態變化.系統使用過程的安全性研究必須著眼于系統動態過程,探索事故發生的原因、發展規律,并明確其控制措施.

圖 2 5M模型[9]

事故的發生和發展與系統的狀態緊密相關.事故原因體現在系統的組成成分和結構所處的狀態,以及它們之間的聯系與作用.在系統的使用過程中,人、設備、環境處于同一回路,由于人的失誤、設備故障或環境變化易導致整個系統的輸出發生變化,當系統的狀態超出安全限度時,系統則喪失穩定性,從而發生事故.

因此,事故是系統運動的一種表現形式,系統的狀態變化可以用某一時間段內的時間線圖[10]來描述,如圖 3所示.

圖 3 系統的狀態-時間特性

圖 3中,Si為系統中組分 i的狀態;S=(S1,S2,S3,…,Sn)為系統的狀態矢量.

分析系統的使用過程中的狀態-時間特性便于了解系統的動態特征,能針對系統使用過程中的事故發展機理進行系統化的分析和研究.

2.2 安全性建模與仿真

有限狀態機可以用圖形化的方式系統化地實現給定輸入和輸出的映射關系[11].

2.2.1 模型假設

根據有限狀態機的規則,定義其組成元素——狀態 S、輸入事件 X、輸出 Y、狀態轉移函數f以及輸出函數 g.在安全性仿真模型中,對這些元素進行如下的假設:

1)狀態(S).系統的工作/異常狀態.例如系統正常運行、工作異常、停機、過熱、燃燒 (火災)等等狀態.

2)輸入事件(X).輸入事件定義為 3類:A類事件——系統的組件失效;B類事件——人員操作;C類事件——系統所處的環境變化.隨著輸入事件的發生,觸發系統的狀態轉移的執行.

3)輸出(Y).模型的輸出定義為系統使用過程中需監測的物理量,如溫度、壓力、速度等.

4)狀態轉移函數(f).狀態轉移函數定義為由當前狀態轉移到下一狀態的判定函數,它與狀態、時間之間的關系為

其中,X(t)∈X,S(t+1),S(t)∈S.狀態轉移函數構成了狀態轉移的執行條件.

5)輸出函數(g).輸出函數定義為當前狀態與輸出之間的映射關系,可用下式表達:

其中,Y(t)∈Y.

2.2.2 模型描述

基于有限狀態機的安全性模型用圖形化的方式表達如圖 4所示.

圖 4 基于有限狀態機的安全性模型示意圖

由圖 4可見,在系統的使用過程中,系統從初始狀態 S0開始運行,隨著時鐘的推進,輸入事件發生,當滿足一定的條件時進行狀態的轉移,系統的輸出也隨之發生變化,當系統的狀態變化超出規定的安全界限則發生事故.在此模型中,體現了人-機-環境協調的時序動態性.

2.2.3 仿真實現

為了實現基于有限狀態機的安全性模型的動態仿真,將 Stateflow和 Simulink環境綜合在一起進行建模、仿真和分析.Stateflow生成的邏輯可以直接嵌入到 Simulink模型,也可以通過定義輸入輸出接口和 Simulink進行交互[12-13],因此,該平臺適合于構建安全性仿真系統.

Stateflow與 Simulink環境下建立的安全性仿真模型如圖 5所示,體現了在 Simulink/Stateflow環境中進行建模與仿真的基本結構,它是一個人在回路的閉環仿真系統.

圖 5 Simu link/Stateflow平臺下的仿真模型

仿真的輸入是系統使用過程的相關數據信息,Simulink構建的是離散事件模型和連續系統模型,分別處理邏輯信號和連續變化機理.Stateflow中構建的是系統的狀態變化邏輯模型.時鐘模塊分別向輸入數據處理模塊和 Stateflow模塊轉遞時鐘信息.操作人員依據 Stateflow模塊的實時輸出進行判斷與決策,通過人機交互模塊執行應急操作,形成反饋,為 Stateflow提供新的輸入,從而驅動新的狀態轉移的執行.

運用 Simulink/Stateflow能實現系統狀態的動態控制,其圖形化建模方法將整個仿真運行過程清晰而生動的再現出來,為研究事故過程的動態機理提供了平臺.

3 仿真與分析

以某產品發電機艙的某一事故過程為例,說明該建模仿真方法的應用過程.

3.1 事故過程描述

某一事故過程為:發電機在運行過程中因出現某種故障而產生過熱現象,如果操作人員及時發現并將電源切斷,則發電機艙進入安全狀態,若操作人員未發現,發熱到達一定程度可能引起機體附屬設施局部著火,此時,電機操作人員可啟動滅火器滅火,如果操作人員未及時熄滅火勢,將會引起艙內其他設施著火,若火勢繼續擴大,則會引起火災自動報警裝置鳴響,須疏散全部人員.

3.2 假設條件

對該事故過程中相關的關鍵系統組件與物理量假設如下:

1)電機過熱的底事件為:電機故障(x1)或電機過電流(x2),其故障率分別為 λx1=0.069/h,λx2=0.014/h.

2)電機過熱導致外殼溫度增長,溫升公式為

其中,T0為電機正常工作溫度,滿足 110～130℃的均勻分布,環境溫度設為 20℃.當殼體溫度達500℃以上時,將達到艙室燃點.

3)艙室開始燃燒后,燃燒放熱模型采用美國消防協會 NFPA指出的早期火災增長公式:

式中,Qf為火源熱釋放速率,kW;t為火災發展時間,s;α為火源熱釋放率增長系數,kW/s2,對于快速火,取值為 0.044kW/s2.當火源熱釋放速率 Qf達到 2MW后,艙室火災報警器開始鳴響.

4)此過程依次有兩大應急措施:措施Ⅰ——人員切斷電源,措施Ⅱ——手動滅火.兩大操作設定為只有成功與失敗兩種情況,模型中體現為布爾量 1與 0.

5)艙室火災報警器可靠度為 0.95.

3.3 仿真模型

根據假設條件,在 Simulink中構建仿真模型,如圖 6所示.構成該仿真模型的子模塊包括:系統狀態變量的連續時間模型、應急操作手動模型、時鐘模型、Stateflow狀態變化邏輯模型(如圖 7所示),并在 Scope模塊中顯示仿真運行過程中輸出的狀態-時間曲線.

圖 6 發電艙事故模擬與應急過程的Simulink模型

圖 7 Stateflow模型

在此平臺下運行仿真,設定時鐘脈沖觸發周期為 2 s,選取 3次典型的仿真過程:

1)在第 1次仿真中,人機反饋系統不工作,反映了在無應急措施情況下事故發展的過程;

2)第 2次仿真中,當電機過熱開始升溫后,采取應急措施Ⅰ——切斷電源;

3)在第 3次仿真中,電機過熱后,未采取措施Ⅰ,當艙室附屬設施開始燃燒即熱釋放率開始增長后,采取應急措施Ⅱ——手動滅火.

3.4 仿真結果分析

將 3次仿真中 Scope模塊輸出曲線整合后如圖 8所示,圖中的仿真曲線體現了采取應急措施前后的系統狀態變化情況的對比.

在圖 8中,第 1次仿真曲線再現了事故過程中系統的狀態-時間變化:在 t=0s,系統為正常狀態,在 t=21s時刻,發電機故障,溫度開始增加,此時發電機狀態為 A11(21,120),在 t=21 s時刻,達到臨界狀態 A12(68,500).此后,燃燒熱釋放率從 B11(21,0)開始增加,在 t=269s時刻,達到火災警戒狀態 B12(269,2000),此時,報警器狀態為C1(269,1),即發出火災警報.

第 2次仿真曲線中,在發電機升溫的過程中發生應急操作Ⅰ切斷電源(圖中 D2(57,1)),因此在 t=57 s時刻,發電機狀態曲線出現拐點A22(57,304),此后發電機溫度降為環境溫度20℃.系統進入安全狀態.

第 3次仿真曲線中,在燃燒熱釋放率增加過程中發生應急操作Ⅱ手動滅火(圖中 E3(164,1)),因此在 t=164 s時刻,燃燒狀態曲線拐點出現在圖中的 B3(164,289),此后,燃燒熱釋放率下降為 0,即火災停止,系統進入安全狀態.

仿真結果反映了事故發展過程中系統的狀態變化行為,即該發電艙由出現故障到發生火災事故的整個過程中的狀態變化,以及用戶通過采取不同的應急操作對系統狀態變化的監控作用,從而保證系統向安全狀態轉移.該模型再現了整個事故發展的過程,并為用戶的應急操作提供了平臺,實現了對系統中狀態變化行為的動態監控.

圖 8 3次仿真過程中系統的狀態-時間變化曲線

4 結 論

本文提出了基于有限狀態機的安全性仿真方法,并進行了深入的研究,主要結論如下:

1)在系統地研究事故的動態時間特性的基礎上,將有限狀態機理論融入安全性建模思想,仿真模型適用于展現事故發展過程的動態機理.

2)基于 Simulink/Stateflow的仿真平臺實現技術的成功開發,實現了系統的機理模型、安全狀態控制模型以及應急操作模型的有效融合.為明確事故過程的動態行為、制定應急措施提供了依據,彌補了現有的安全性分析方法在事故動態性研究方面的不足.

3)某產品發電艙事故過程的實例仿真,從事故邏輯上真實地反映了事故發展的過程,驗證了基于有限狀態機的安全性仿真方法的有效性.

References)

[1]陳寶智.危險源辨識評價與控制[M].成都:四川科學技術出版社,1996 Chen Baozhi.Hazard source identification,assessment and control[M].Chengdu:Sichuan Technology Press,1996(in Chinese)

[2]Badreddin E,Abdel-geliel M.Dynam ic safety margin principle and application in control of safety critical systems[C]//Proceedingsof the 2004 IEEE International Conference on Control Applications.Taipei,Taiwan:Concentration Banking Info,2004:689-694

[3]袁大祥,柯丹丹.事故的系統論[J].系統工程學報,2004,19(2):183-187 Yuan Daxiang,Ke Dandan.System theory of accident[J].Journalof System Engineering,2004,19(2):183-187(in Chinese)

[4]Hyunwoo Cho,Gary D Hachtel,Enrico Macii.Algorithms for approximate FSM traversal based on state space decomposition[J].IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems,1996,15(12):1465-1478

[5]Anastasios T Bouloutas,George W Hart,Mischa Schwartz.Fault identification using a finite state machine model with unreliable partially observed data sequences[J].IEEE Transactions on Communications,1993,41(7):1074-1083

[6]Chen Yiliang,Lin Feng.Safety control of discrete event systems using finite state machines with parameters[C]//Proceedings of the American Control Conference.Arlington:American Auotmatic Control Council,2001:975-980

[7]Gary D Hachtel,Enrico Macii,Abelardo Pardo,et al.Markovian analysis of large finite state machines[J].IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems,1996,15(12):1479-1493

[8]Drumea A,Popescu C.Finite state machines and their applications in software for industrial control[C]//27th Int'l Spring Seminar on Electronics Technology.Bucharest,Romaina:IEEE,2004

[9]James H Williams.NAS system engineering manual version3.1[M].FAA System Engineering Council,2006:47-60

[10]Sameer Vittal,Michel Teboul.Performance and reliability analysis of wind turbinesusing Monte Carlo methods based on system transport theory[C]//13th AIAA/ASME/AHS Adaptive Structures Conference.Austin,Texas:Alexander Bell Drive,2005

[11]Martin JIppel.Mental modelsas finite-state machines:examples and computational methods[R].AL/HR-TR-1997-0179,1997

[12]陳桂明,張明照,戚紅雨,等.應用 MATLAB建模與仿真[M].北京:科學出版社,2001 Chen Guim ing,Zhang Mingzhao,Qi Hongyu.et al.Apply MATLAB to modeling and simulation[M].Beijing:Science Press,2001(in Chinese)

[13]黃永安,馬路,劉慧敏.MATLAB7.0/Simulink6.0建模仿真開發與高級工程應用[M].北京:清華大學出版社,2005:236-256 Huang Yongan,Ma Lu,Liu Huimin.MATLAB 7.0/Simulink6.0 modeling simulation and advanced engineering application[M].Beijing:Tsinghua University Press,2005:236-256(in Chinese)

(編 輯 :婁 嘉)

Safety simulation technology based on finite state machine

Wang Bei Zhao Tingdi Jiao Jian

(School of Reliability and Systems Engineering,Beijing University of Aeronautics and Astronautics,Beijing 100191,China)

The safety modeling and simulation method based on finite state machine theory was proposed to research the dynamic change mechanism of the accident in system,as well as explore the movement during the accidentevolution and establish exactemergency treatment.The modeling and simulation platform for accident mechanism and control process was developed in the environment of Simulink/Stateflow.The combination of system mechanismmodel,safety state control model and emergency treatment model can be achieved in this platform.Therefore the dynamic simulation for such systems that integrated with human-machine and environment can be implemented in an effective way.Then the simulation results can be obtained,which provide reference for the precise identification of the accident process and the establishment of exact control treatment.Finally the accident simulation examp le was given,which proved the validity and rationality of this proposed method.

safety;simulation;finite state machine;Simulink;Stateflow

N 945

A

1001-5965(2011)04-0428-05

2010-01-22

王 蓓(1985-),女,湖北武漢人,碩士生,wangbei3414@126.com.