飛機系統安全性指標的Petri Net分配方法*

王　強，王筱涵，劉　剛，耿慧欣

(空軍工程大學 裝備管理與安全工程學院， 陜西 西安　710051)

?

飛機系統安全性指標的Petri Net分配方法*

王強，王筱涵，劉剛，耿慧欣

(空軍工程大學 裝備管理與安全工程學院， 陜西 西安710051)

摘要：為解決動態故障樹抽象而不利于交流的問題，利用Petri Net直觀、易用且適用范圍廣的優點，提出基于Petri Net的飛機系統安全性指標分配方法。通過整理安全性指標及其相關的可靠性指標，選取失效率作為安全性指標，對比動態故障樹及Petri Net建模方法，選取后者建立靜態邏輯變遷和動態邏輯變遷的Petri Net指標分配模型。在此基礎上，提出考慮嚴酷等級的系統安全性指標分配方法，經過算例分析，構建Petri Net層次系統故障模型進行指標分配。結果表明，分配值均在相應安全性指標內，該方法能夠克服動態故障樹法不直觀、等分配法分配過于粗糙等缺陷，為飛機安全性設計與評估提供參考。

關鍵詞：安全性指標分配；Petri Net故障模型；Petri Net方法；故障嚴酷等級

隨著科學技術的飛速發展，飛機系統復雜性呈幾何級增加，系統安全性問題已成為安全性領域的研究熱點。現階段民用飛機已采用民用航空標準SAE.ARP4761[1]的系統安全性要求來開展飛機的系統安全性分析，因此對于系統安全性分析中的安全性指標分配過程研究十分必要[2]。民用航空標準SAE.ARP4754給出了高度綜合和復雜系統研制保證水平分配的總體框架，可作為安全性指標分配指南；文獻[3]提出了一種樹結構指標分配方法并將其應用于數據傳播，可作為安全性指標分配的應用指南。指標分配方面，國內多集中于可靠性分配的研究。文獻[4]提出了基于連續參數馬爾可夫鏈的動態故障樹可靠性計算公式。文獻[5]通過功能故障樹對安全性指標進行精確的分配和計算，提高了個別安全性指標數值。文獻[6]將故障樹分析與失效模式影響和危害性分析相融合，對可靠性分配方法進行了改進。系統安全性指標分配不同于可靠性分配，在進行系統安全性指標分配時，必須使每一層級的失效狀態都嚴格符合各嚴酷等級規定的最低安全性要求值，因此，探究適用于飛機系統安全性指標分配的方法具有重要意義。

利用Petri Net的優勢，提出基于Petri Net的系統安全性指標分配方法，通過整理安全性指標分配相關理論，選取失效率作為安全性指標，建立Petri Net靜態邏輯和動態邏輯系統安全性指標分配模型，采用考慮嚴酷等級的指標分配方法，通過算例進行指標分配，并驗證了方法的適用性。

指標是參數量化的結果，由于現階段系統安全性參數量化十分困難，通常以借鑒和吸收飛機可靠性指標作為系統安全性指標。常用的安全性指標包括平均事故間隔時間(Mean Time Between Failures, MTBA)，事故率或事故概率，安全可靠度以及損失率或損失概率，除安全性指標之外，還有故障率和失效率等與安全性相關的可靠性指標[7-8]。

1Petri Net方法的選取及其指標分配過程

1.1　Petri Net方法的選取

在描述系統動態行為方面，動態故障樹的應用十分廣泛，但模型構建過程卻十分抽象。相比動態故障樹，Petri Net以相對自然的圖形組合方式描述模型，便于安全性分析人員與系統設計人員的交流。

與此同時，Petri Net能夠將服從指數分布的故障形式轉化為馬爾可夫鏈進行解析計算，也可以采用仿真方式模擬其他分布形式的故障，無疑具有更為廣闊的應用前景[9]。

Petri Net在基本定義的基礎上，發展出隨機、著色、層次Petri Net等擴展形式，在諸多領域的應用可以證明其方法的適用性。因此，選取Petri Net作為系統動態模型的描述方法。

1.2　分配方法的選取

在系統動態行為描述的基礎上，需要對安全性指標的分配方法進行選取。目前，常用的分配方法主要有等分配法、評分分配法、AGREE法、比例組合法、層次分析法等。這些方法應用于系統安全性指標分配中的優勢及劣勢對比如表1所示。

對比表1所示分配方法的優劣，結合等分配法的簡單性與AGREE法的綜合性，提出考慮嚴酷等級的分配方法以進行飛機系統安全性指標分配。

表1　常用分配方法對比

1.3　系統安全性指標分配過程

在進行系統安全性分配前，首先，需要分析系統運行原理與故障特性；其次，分析系統各級子系統及底事件各元素的嚴酷等級和各元素嚴酷等級對安全性指標的影響；最后，開始進行分配?；赑etri Net的系統安全性指標分配流程圖，如圖1所示。

圖1　系統安全性指標分配流程圖Fig.1　Flow chart of system safety index distribution

為建立Petri Net層次系統運行模型，需對運行與故障狀態分配相應的位置，根據狀態之間的轉移關系建立變遷并且與位置連接以形成Petri Net模型的框架結構。模型構建完成后，運用層次Petri Net的方法，將需要細化的變遷擴展為構造塊，引入系統層次的元素構造反應系統層次的子Net。以此類推，自頂向下反復將網絡分解至元件層次，使最終的系統運行與故障模型得到全部描述。在構建層次系統運行模型之后，需要對層次系統故障模型進行裁剪，與此同時，根據系統安全性分配要求，必須確定系統(分系統、部件)所需要達到的安全等級，以及頂層變遷的安全性要求。當系統中故障服從的分布均為指數分布時，Petri Net模型的計算可以轉化為馬爾可夫過程進行。鑒于其他分布故障形式的復雜性，這里只討論指數分布條件下的Petri Net建模。

1.4　靜態邏輯變遷指標分配模型[10-11]

1.4.1與結構變遷指標值分配模型

圖2中，x1，x2表示兩個輸入位置故障；y表示輸出位置故障。與結構變遷模型表明，一旦輸入位置故障不發生，則輸出位置故障一定不發生。

圖2　與結構變遷指標分配模型Fig.2　AND structure index distribution model

與結構算子為：

(1)

式(1)中，P(y)，P(xi)分別為輸出位置故障的發生概率和輸入位置故障的發生概率。與結構變遷弧權函數為：

(2)

式(2)中，S(xi)代表嚴酷等級對應的安全性要求值，α可忽略不計。

由于Petri Net中所有位置的故障都必須滿足相應的安全性要求，當分配結果不符合要求時，需要對其進行修正。因此，得到與結構變遷的安全性指標分配修正模型為：

0≤i≤n

(3)

1.4.2或結構變遷指標分配模型

圖3中，x1，x2表示兩個輸入位置故障；y表示輸出位置故障?；蚪Y構變遷模型表明，一旦有輸入發生位置故障，則輸出位置故障一定發生。

或結構算子為：

(4)

或結構變遷弧權函數為：

(5)

類似與結構變遷的安全性指標分配模型的推導，或結構變遷的安全性指標分配模型為：

0≤i≤n

(6)

圖3　或結構變遷指標分配模型Fig.3　OR structure index distribution model

1.5　動態邏輯變遷指標分配模型

常用的動態邏輯變遷指標分配模型包括功能相關結構變遷，熱備份、溫備份、冷備份結構變遷及優先結構變遷指標分配模型[12-13]，本文以熱備份和冷備份結構變遷指標分配模型為例，進行模型描述及相應的公式推導。

1.5.1熱備份結構變遷指標分配模型

熱備份結構變遷，主件與熱備件均處于工作狀態，當主件和熱備件均失效時輸出位置故障才會發生，如圖4所示。

圖4　熱備份結構變遷指標分配模型Fig.4　Hot backup structure index distribution model

(7)

式(7)中，P(y(t))表示輸出位置故障在t時刻發生的概率；T1，T2分別表示兩個輸入位置故障x1(t)，x2(t)的發生時間。P(x1(t))，P(x2(t))分別表示輸入事件隨時間的發生概率。

若輸入位置故障服從指數分布，其發生概率(失效概率)P(x(t))=F(x(t))=1-e-λt，當λ小于0.001時，P(x(t))=λt，則P(x1(t))=λ1t，P(x2(t))=λ2t，式(7)可簡化為：y(t)=λ1λ2t2。

考慮到各元素可能具有不同的嚴酷等級，忽略同一數量級元素間的微小差別，認為各元件失效率之比僅與各自嚴酷等級相關，因此熱備份結構變遷輸入位置對應故障發生概率在t時刻的指標值為：

(8)

式(8)中，i=1,2；F為某層次變遷或構造體的安全性評估指標值；xi(t)為輸入位置對應故障發生概率在t時刻的值；y(t)為構造體對應故障發生概率在t時刻的值；S(xi)代表嚴酷等級對應的安全性要求值；i為第i個輸入位置對應的故障。

1.5.2冷備份結構變遷指標分配模型

冷備份結構變遷，主件處于工作狀態時，冷備件處于不工作狀態，失效率為零，在主件失效的時候才開始工作，當且僅當冷備件也失效時輸出位置故障才會發生，如圖5所示。

圖5　冷備份結構變遷指標分配模型Fig.5　Cold backup structure index distribution model

根據輸入位置故障和輸出位置故障的發生概率，可以得到冷備份結構變遷弧權函數為：

在第一輪評審完成之后，選拔出比較好的作品進入決賽階段。在決賽答辯過程中，需要學生們演示作品，評委現場提問，注重作品中是否采用新方法，新思路解決了現在的問題，注重于學生的創新方法。在總決賽中，需要以組為單位，需要學生在PPT 上較詳細地講解作品，然后回答專家評委的問題。在決賽答辯過程中，組員之間要密切配合，要展現出團隊的默契協作能力，很流利地完成決賽答辯過程。評委會根據作品的完成情況，包括采用的技術手段、實現的方法、系統的架構、采用的算法以及性能效率的優化情況，綜合給出相應的成績，在進行排名頒獎。

將t=T1+T2代入，

(9)

(10)

因此，冷備份結構變遷輸入位置對應故障發生概率在t時刻的指標值：

(11)

2算例

現有某型飛機燃油系統故障(部分)，選取失效狀態“供油系統故障”，即Ⅱ類嚴酷等級為算例進行系統安全性分配，飛機供油系統的系統機理圖如圖6所示。

圖6　飛機供油系統(部分)Fig.6　Aircraft fuel supply system(partial)

2.1　構建運行模型

2.1.1或結構變遷模型

根據圖6所示的供油系統工作原理及系統組成，從功能的角度構建Petri Net運行模型[14]。供油系統故障模型、供油附件故障模型和傳感器故障模型均為或結構變遷模型。在此，以供油系統故障模型為例進行建模，其分為油箱泄露構造體、供油管道泄構造體、供油控附件失效構造體。供油系統故障模型如圖7所示。

圖7　供油系統故障模型Fig.7　Failure model of fuel supply system

2.1.2與結構變遷模型

圖6中的各部分，供油控制閥故障模型為與結構變遷模型，分為01號閥門故障導致供油控制閥故障構造體、02號閥門故障導致供油控制閥故障構造體。供油控制閥故障模型如圖8所示。

圖8　供油控制閥故障模型Fig.8　Failure model of oil supply control valve

2.1.3熱備份結構變遷模型

由圖6可知，軟件失效模型為熱備份結構變遷模型，分為系統主軟件失效導致軟件失效構造體、系統備份軟件失效導致軟件失效構造體、支撐軟件失效導致軟件失效構造體。軟件失效模型如圖9所示。

圖9　軟件失效模型Fig.9　Software failure model

2.2　確定頂層模型安全性指標要求

算例采用聯邦適航條例(Joint Airworthiness Requirements,JAR)規定的危險可能性等級，其等級劃分、定義及等級失效狀態嚴酷等級如表2所示。失效狀態“供油系統故障”為II類嚴酷等級，假設失效率服從指數分布，同時假設系統工作時間為1h。

表2　飛機失效率等級及安全性評估要求值

2.3　系統安全性指標值的分配

根據各層次系統故障模型的結構劃分與分配方法，確認供油系統故障模型中變遷與構造體對應元素的嚴酷等級，采用自頂向下的方法對指標進行分配，運用式(3)、式(6)、式(8)和式(11)得到的安全性指標分配結果如表3所示[15]。

表3　飛機供油系統(部分)安全性指標分配結果

從表3中可以看出，所有的安全性分配結果經過修正后均滿足相應安全性要求的值。該分配結果表明，基于Petri Net的安全性指標分配方法，在直觀度上優于動態故障樹法，結果上優于等分配法，因此考慮嚴酷等級并進行了結果修正的Petri Net安全性指標分配方法可以使過程更為直觀，分配結果更為精細。

3結論

針對動態故障樹圖形抽象的缺陷，利用Petri Net描述動態行為的優點，提出基于Petri Net的飛機系統安全性指標分配方法。通過對Petri Net靜態邏輯與動態邏輯分配模型的構建，綜合考慮系統各個部件的嚴酷等級，進行有差別的分配，實現系統安全性指標在一定程度上更為精細化的分配，并通過算例驗證了該方法的適用性，從而為科學度量和綜合權衡飛機的安全性提供了參考，也為系統安全性分配方法的研究提供了思路。

參考文獻(References)

[1]SAE. ARP4761 guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S]. America: the Engineering Society for Advancing Mobility Land Sea Air and Space, 1996.

[2]李大偉,陳云翔,徐浩軍,等.系統安全性分析中風險概率指標確定方法研究[J].飛行力學,2014,23(4): 380-384.

LI Dawei, CHEN Yunxiang, XU Haojun,et al. Study on method of risk probability index determination in aircraft system safety analysis[J].Flight Dynamics,2014,23(4):380-384.(in Chinese)

[3]Jung S,Lee B,Pramanik S.A tree-structured index allocation method with replication over multiple broadcast channels in wireless environments[J].IEEE Transactions on Knowledge and Data Engineering, 2005,17(3):311-325.

[4]朱正福,李長福,何恩山,等.基于馬爾可夫鏈的動態故障樹分析方法[J].兵工學報,2008,29(9):1104-1107.

ZHU Zhengfu,LI Changfu,HE Enshan,et al. Dynamic fault tree analysis method based on Markov chain[J].Acta Armamentarii,2008,29(9):1104-1107.(in Chinese)

[5]宗蜀寧,端木京順,汪建華,等.飛機整機級系統安全性評估方法探討[J].中國安全科學學報,2011,21(10):125-130.

ZONG Shuning, DUANMU Jingshun, WANG Jianhua,et al. Research on evaluation method of aircraft engine level system security[J]. China Safety Science Journal, 2011,21(10):125-130.(in Chinese)

[6]杜雷,高建民,陳琨.基于故障相關性分析的可靠性配置[J].計算機集成制造系統，2011,17(9):1973-1980.

DU Lei, GAO Jianmin, CHEN Kun. Reliability allocation based on fault correlation analysis[J].Computer Integrated Manufacturing Systems,2011,17(9): 1973-1980.(in Chinese)

[7]尹樹悅,王少飛,陳超.無人機安全性指標要求確定方法研究[J].現代防御技術,2015,43(2): 154-158.

YIN Shuyue,WANG Shaofei, CHEN Chao. Research on method for determination of UAV safety index requirements[J]. Modern Defence Technology,2015,43(2):154-158. (in Chinese)

[8]宗蜀寧,端木京順,王青,等.飛機整機級系統安全性指標分析[J].空軍工程大學學報( 自然科學版),2012,13(1):10-14.

ZONG Shuning, DUANMU Jingshun, WANG Qing,et al. Aircraft machine-level analysis of system safety index[J].Journal of Air Force Engineering University(Natural Science Edition),2012,13(1):10-14.(in Chinese)

[9]張嘉焱,羅雪山.Petri網在多因素影響分析中的應用[J].系統仿真學報,2012,24(3):665-678.

ZHANG Jiayan, LUO Xueshan. Application of Petri net in multi-factor influence analysis[J].Journal of System Simulation,2012,24(3):665-678. (in Chinese)

[10]Amari S,Dill G,Howald E.A new approach to solve dynamic fault trees[C]//Proceedings of Annual Reliability and Maintainability Symposium, IEEE,2003:78-110.

[11]Tang Z H, Dugan J B. Minimal cut set/sequence generation for dynamic fault trees[C]//Proceedings of Annual Symposium-RAMS Reliability and Maintainability,IEEE,2004:207-213.

[12]季會媛.動態故障樹分析方法研究[D].長沙:國防科學技術大學,2002.

JI Huiyuan. Research on dynamic fault tree method[D]. Changsha: National University of Defense Technology,2002.(in Chinese)

[13]尤明懿.一種面向設計壽命全過程的電子系統可靠性分配法[J].電子產品可靠性與環境試驗,2012,30(1):32-36.

YOU Mingyi.A designed lifetime process centered reliability allocation method for electronic systems[J]. Electric Product Reliability and Environmental Testing, 2012,30(1):32-36. (in Chinese)

[14]尉玉峰,闞樹林,任漪舟，等.基于Petri網的復雜制造系統故障樹分析[J].機械設計與制造,2010, (7):192-194.

WEI Yufeng, KAN Shulin, REN Yizhou,et al. Petri nets-based fault tree analysis method for complex manufacturing systems[J]. Machinery Design and Manufacture,2010,(7):192-194.(in Chinese)

[15]李大偉,陳云翔,徐浩軍,等.一種改進的系統安全性分析方法[J].科技導報,2012,30(34):32-35.

LI Dawei, CHEN Yunxiang, XU Haojun,et al.Improved method for system safety analysis[J]. Science and Technology Review, 2012,30(34):32-35.(in Chinese)

http://journal.nudt.edu.cn

Petri Net distribution method for aircraft system safety index

WANGQiang,WANGXiaohan,LIUGang,GENGHuixin

(College of Equipment Management and Safety Engineering, Air Force Engineering University, Xi′an 710051, China)

Abstract：To solve the abstractness and communication difficulties of dynamic fault tree, a distribution method based on Petri Net for system safety index was proposed by utilizing the advantages of Petri Net including intuition, easy and wide application. Failure rate was selected as a safety index through arranging the safety index and related reliability index. In the comparison of the modeling methods between dynamic fault tree and Petri Net, the latter was chosen to establish index distribution models for static and dynamic logic changes. On the basis of this, the hash classification for the refinement of system safety index distribution method was proposed. And through example analysis, a Petri Net hierarchical model for system faults was constructed to distribute index. Distribution results demonstrate that all the distributed values are within the corresponding safety indexes and this method can overcome the defects of non-intuition in dynamic fault tree method and of excessive roughness in equal distribution method, which provides references for the design and evaluation of aircraft safety.

Key words：safety index distribution; fault models of Petri Net; Petri Net method; hash classification for faults

中圖分類號：X949

文獻標志碼：A

文章編號：1001-2486(2015)06-135-06

作者簡介：王強(1978—)，男，江蘇南通人，教授，博士，碩士生導師，E-mail：wq01010004@126.com

基金項目：國家自然科學基金資助項目(71171199)

收稿日期：*2015-05-21

doi:10.11887/j.cn.201506025