王　强，王筱涵，刘　刚，耿慧欣

(空军工程大学 装备管理与安全工程学院， 陕西 西安　710051)



飞机系统安全性指标的Petri Net分配方法*

王强，王筱涵，刘刚，耿慧欣

(空军工程大学 装备管理与安全工程学院， 陕西 西安710051)

摘要：为解决动态故障树抽象而不利于交流的问题，利用Petri Net直观、易用且适用范围广的优点，提出基于Petri Net的飞机系统安全性指标分配方法。通过整理安全性指标及其相关的可靠性指标，选取失效率作为安全性指标，对比动态故障树及Petri Net建模方法，选取后者建立静态逻辑变迁和动态逻辑变迁的Petri Net指标分配模型。在此基础上，提出考虑严酷等级的系统安全性指标分配方法，经过算例分析，构建Petri Net层次系统故障模型进行指标分配。结果表明，分配值均在相应安全性指标内，该方法能够克服动态故障树法不直观、等分配法分配过于粗糙等缺陷，为飞机安全性设计与评估提供参考。

关键词：安全性指标分配；Petri Net故障模型；Petri Net方法；故障严酷等级

随着科学技术的飞速发展，飞机系统复杂性呈几何级增加，系统安全性问题已成为安全性领域的研究热点。现阶段民用飞机已采用民用航空标准SAE.ARP4761[1]的系统安全性要求来开展飞机的系统安全性分析，因此对于系统安全性分析中的安全性指标分配过程研究十分必要[2]。民用航空标准SAE.ARP4754给出了高度综合和复杂系统研制保证水平分配的总体框架，可作为安全性指标分配指南；文献[3]提出了一种树结构指标分配方法并将其应用于数据传播，可作为安全性指标分配的应用指南。指标分配方面，国内多集中于可靠性分配的研究。文献[4]提出了基于连续参数马尔可夫链的动态故障树可靠性计算公式。文献[5]通过功能故障树对安全性指标进行精确的分配和计算，提高了个别安全性指标数值。文献[6]将故障树分析与失效模式影响和危害性分析相融合，对可靠性分配方法进行了改进。系统安全性指标分配不同于可靠性分配，在进行系统安全性指标分配时，必须使每一层级的失效状态都严格符合各严酷等级规定的最低安全性要求值，因此，探究适用于飞机系统安全性指标分配的方法具有重要意义。

利用Petri Net的优势，提出基于Petri Net的系统安全性指标分配方法，通过整理安全性指标分配相关理论，选取失效率作为安全性指标，建立Petri Net静态逻辑和动态逻辑系统安全性指标分配模型，采用考虑严酷等级的指标分配方法，通过算例进行指标分配，并验证了方法的适用性。

指标是参数量化的结果，由于现阶段系统安全性参数量化十分困难，通常以借鉴和吸收飞机可靠性指标作为系统安全性指标。常用的安全性指标包括平均事故间隔时间(Mean Time Between Failures, MTBA)，事故率或事故概率，安全可靠度以及损失率或损失概率，除安全性指标之外，还有故障率和失效率等与安全性相关的可靠性指标[7-8]。

1Petri Net方法的选取及其指标分配过程

1.1　Petri Net方法的选取

在描述系统动态行为方面，动态故障树的应用十分广泛，但模型构建过程却十分抽象。相比动态故障树，Petri Net以相对自然的图形组合方式描述模型，便于安全性分析人员与系统设计人员的交流。

与此同时，Petri Net能够将服从指数分布的故障形式转化为马尔可夫链进行解析计算，也可以采用仿真方式模拟其他分布形式的故障，无疑具有更为广阔的应用前景[9]。

Petri Net在基本定义的基础上，发展出随机、着色、层次Petri Net等扩展形式，在诸多领域的应用可以证明其方法的适用性。因此，选取Petri Net作为系统动态模型的描述方法。

1.2　分配方法的选取

在系统动态行为描述的基础上，需要对安全性指标的分配方法进行选取。目前，常用的分配方法主要有等分配法、评分分配法、AGREE法、比例组合法、层次分析法等。这些方法应用于系统安全性指标分配中的优势及劣势对比如表1所示。

对比表1所示分配方法的优劣，结合等分配法的简单性与AGREE法的综合性，提出考虑严酷等级的分配方法以进行飞机系统安全性指标分配。

表1　常用分配方法对比

1.3　系统安全性指标分配过程

在进行系统安全性分配前，首先，需要分析系统运行原理与故障特性；其次，分析系统各级子系统及底事件各元素的严酷等级和各元素严酷等级对安全性指标的影响；最后，开始进行分配。基于Petri Net的系统安全性指标分配流程图，如图1所示。

图1　系统安全性指标分配流程图Fig.1　Flow chart of system safety index distribution

为建立Petri Net层次系统运行模型，需对运行与故障状态分配相应的位置，根据状态之间的转移关系建立变迁并且与位置连接以形成Petri Net模型的框架结构。模型构建完成后，运用层次Petri Net的方法，将需要细化的变迁扩展为构造块，引入系统层次的元素构造反应系统层次的子Net。以此类推，自顶向下反复将网络分解至元件层次，使最终的系统运行与故障模型得到全部描述。在构建层次系统运行模型之后，需要对层次系统故障模型进行裁剪，与此同时，根据系统安全性分配要求，必须确定系统(分系统、部件)所需要达到的安全等级，以及顶层变迁的安全性要求。当系统中故障服从的分布均为指数分布时，Petri Net模型的计算可以转化为马尔可夫过程进行。鉴于其他分布故障形式的复杂性，这里只讨论指数分布条件下的Petri Net建模。

1.4　静态逻辑变迁指标分配模型[10-11]

1.4.1与结构变迁指标值分配模型

图2中，x1，x2表示两个输入位置故障；y表示输出位置故障。与结构变迁模型表明，一旦输入位置故障不发生，则输出位置故障一定不发生。

图2　与结构变迁指标分配模型Fig.2　AND structure index distribution model

与结构算子为：

(1)

式(1)中，P(y)，P(xi)分别为输出位置故障的发生概率和输入位置故障的发生概率。与结构变迁弧权函数为：

(2)

式(2)中，S(xi)代表严酷等级对应的安全性要求值，α可忽略不计。

由于Petri Net中所有位置的故障都必须满足相应的安全性要求，当分配结果不符合要求时，需要对其进行修正。因此，得到与结构变迁的安全性指标分配修正模型为：

0≤i≤n

(3)

1.4.2或结构变迁指标分配模型

图3中，x1，x2表示两个输入位置故障；y表示输出位置故障。或结构变迁模型表明，一旦有输入发生位置故障，则输出位置故障一定发生。

或结构算子为：

(4)

或结构变迁弧权函数为：

(5)

类似与结构变迁的安全性指标分配模型的推导，或结构变迁的安全性指标分配模型为：

0≤i≤n

(6)

图3　或结构变迁指标分配模型Fig.3　OR structure index distribution model

1.5　动态逻辑变迁指标分配模型

常用的动态逻辑变迁指标分配模型包括功能相关结构变迁，热备份、温备份、冷备份结构变迁及优先结构变迁指标分配模型[12-13]，本文以热备份和冷备份结构变迁指标分配模型为例，进行模型描述及相应的公式推导。

1.5.1热备份结构变迁指标分配模型

热备份结构变迁，主件与热备件均处于工作状态，当主件和热备件均失效时输出位置故障才会发生，如图4所示。

图4　热备份结构变迁指标分配模型Fig.4　Hot backup structure index distribution model

(7)

式(7)中，P(y(t))表示输出位置故障在t时刻发生的概率；T1，T2分别表示两个输入位置故障x1(t)，x2(t)的发生时间。P(x1(t))，P(x2(t))分别表示输入事件随时间的发生概率。

若输入位置故障服从指数分布，其发生概率(失效概率)P(x(t))=F(x(t))=1-e-λt，当λ小于0.001时，P(x(t))=λt，则P(x1(t))=λ1t，P(x2(t))=λ2t，式(7)可简化为：y(t)=λ1λ2t2。

考虑到各元素可能具有不同的严酷等级，忽略同一数量级元素间的微小差别，认为各元件失效率之比仅与各自严酷等级相关，因此热备份结构变迁输入位置对应故障发生概率在t时刻的指标值为：

(8)

式(8)中，i=1,2；F为某层次变迁或构造体的安全性评估指标值；xi(t)为输入位置对应故障发生概率在t时刻的值；y(t)为构造体对应故障发生概率在t时刻的值；S(xi)代表严酷等级对应的安全性要求值；i为第i个输入位置对应的故障。

1.5.2冷备份结构变迁指标分配模型

冷备份结构变迁，主件处于工作状态时，冷备件处于不工作状态，失效率为零，在主件失效的时候才开始工作，当且仅当冷备件也失效时输出位置故障才会发生，如图5所示。

图5　冷备份结构变迁指标分配模型Fig.5　Cold backup structure index distribution model

根据输入位置故障和输出位置故障的发生概率，可以得到冷备份结构变迁弧权函数为：

在第一轮评审完成之后，选拔出比较好的作品进入决赛阶段。在决赛答辩过程中，需要学生们演示作品，评委现场提问，注重作品中是否采用新方法，新思路解决了现在的问题，注重于学生的创新方法。在总决赛中，需要以组为单位，需要学生在PPT 上较详细地讲解作品，然后回答专家评委的问题。在决赛答辩过程中，组员之间要密切配合，要展现出团队的默契协作能力，很流利地完成决赛答辩过程。评委会根据作品的完成情况，包括采用的技术手段、实现的方法、系统的架构、采用的算法以及性能效率的优化情况，综合给出相应的成绩，在进行排名颁奖。

将t=T1+T2代入，

(9)

(10)

因此，冷备份结构变迁输入位置对应故障发生概率在t时刻的指标值：

(11)

2算例

现有某型飞机燃油系统故障(部分)，选取失效状态“供油系统故障”，即Ⅱ类严酷等级为算例进行系统安全性分配，飞机供油系统的系统机理图如图6所示。

图6　飞机供油系统(部分)Fig.6　Aircraft fuel supply system(partial)

2.1　构建运行模型

2.1.1或结构变迁模型

根据图6所示的供油系统工作原理及系统组成，从功能的角度构建Petri Net运行模型[14]。供油系统故障模型、供油附件故障模型和传感器故障模型均为或结构变迁模型。在此，以供油系统故障模型为例进行建模，其分为油箱泄露构造体、供油管道泄构造体、供油控附件失效构造体。供油系统故障模型如图7所示。

图7　供油系统故障模型Fig.7　Failure model of fuel supply system

2.1.2与结构变迁模型

图6中的各部分，供油控制阀故障模型为与结构变迁模型，分为01号阀门故障导致供油控制阀故障构造体、02号阀门故障导致供油控制阀故障构造体。供油控制阀故障模型如图8所示。

图8　供油控制阀故障模型Fig.8　Failure model of oil supply control valve

2.1.3热备份结构变迁模型

由图6可知，软件失效模型为热备份结构变迁模型，分为系统主软件失效导致软件失效构造体、系统备份软件失效导致软件失效构造体、支撑软件失效导致软件失效构造体。软件失效模型如图9所示。

图9　软件失效模型Fig.9　Software failure model

2.2　确定顶层模型安全性指标要求

算例采用联邦适航条例(Joint Airworthiness Requirements,JAR)规定的危险可能性等级，其等级划分、定义及等级失效状态严酷等级如表2所示。失效状态“供油系统故障”为II类严酷等级，假设失效率服从指数分布，同时假设系统工作时间为1h。

表2　飞机失效率等级及安全性评估要求值

2.3　系统安全性指标值的分配

根据各层次系统故障模型的结构划分与分配方法，确认供油系统故障模型中变迁与构造体对应元素的严酷等级，采用自顶向下的方法对指标进行分配，运用式(3)、式(6)、式(8)和式(11)得到的安全性指标分配结果如表3所示[15]。

表3　飞机供油系统(部分)安全性指标分配结果

从表3中可以看出，所有的安全性分配结果经过修正后均满足相应安全性要求的值。该分配结果表明，基于Petri Net的安全性指标分配方法，在直观度上优于动态故障树法，结果上优于等分配法，因此考虑严酷等级并进行了结果修正的Petri Net安全性指标分配方法可以使过程更为直观，分配结果更为精细。

3结论

针对动态故障树图形抽象的缺陷，利用Petri Net描述动态行为的优点，提出基于Petri Net的飞机系统安全性指标分配方法。通过对Petri Net静态逻辑与动态逻辑分配模型的构建，综合考虑系统各个部件的严酷等级，进行有差别的分配，实现系统安全性指标在一定程度上更为精细化的分配，并通过算例验证了该方法的适用性，从而为科学度量和综合权衡飞机的安全性提供了参考，也为系统安全性分配方法的研究提供了思路。

参考文献(References)

[1]SAE. ARP4761 guidelines and methods for conducting the safety assessment process on airborne systems and equipments[S]. America: the Engineering Society for Advancing Mobility Land Sea Air and Space, 1996.

[2]李大伟,陈云翔,徐浩军,等.系统安全性分析中风险概率指标确定方法研究[J].飞行力学,2014,23(4): 380-384.

LI Dawei, CHEN Yunxiang, XU Haojun,et al. Study on method of risk probability index determination in aircraft system safety analysis[J].Flight Dynamics,2014,23(4):380-384.(in Chinese)

[3]Jung S,Lee B,Pramanik S.A tree-structured index allocation method with replication over multiple broadcast channels in wireless environments[J].IEEE Transactions on Knowledge and Data Engineering, 2005,17(3):311-325.

[4]朱正福,李长福,何恩山,等.基于马尔可夫链的动态故障树分析方法[J].兵工学报,2008,29(9):1104-1107.

ZHU Zhengfu,LI Changfu,HE Enshan,et al. Dynamic fault tree analysis method based on Markov chain[J].Acta Armamentarii,2008,29(9):1104-1107.(in Chinese)

[5]宗蜀宁,端木京顺,汪建华,等.飞机整机级系统安全性评估方法探讨[J].中国安全科学学报,2011,21(10):125-130.

ZONG Shuning, DUANMU Jingshun, WANG Jianhua,et al. Research on evaluation method of aircraft engine level system security[J]. China Safety Science Journal, 2011,21(10):125-130.(in Chinese)

[6]杜雷,高建民,陈琨.基于故障相关性分析的可靠性配置[J].计算机集成制造系统，2011,17(9):1973-1980.

DU Lei, GAO Jianmin, CHEN Kun. Reliability allocation based on fault correlation analysis[J].Computer Integrated Manufacturing Systems,2011,17(9): 1973-1980.(in Chinese)

[7]尹树悦,王少飞,陈超.无人机安全性指标要求确定方法研究[J].现代防御技术,2015,43(2): 154-158.

YIN Shuyue,WANG Shaofei, CHEN Chao. Research on method for determination of UAV safety index requirements[J]. Modern Defence Technology,2015,43(2):154-158. (in Chinese)

[8]宗蜀宁,端木京顺,王青,等.飞机整机级系统安全性指标分析[J].空军工程大学学报( 自然科学版),2012,13(1):10-14.

ZONG Shuning, DUANMU Jingshun, WANG Qing,et al. Aircraft machine-level analysis of system safety index[J].Journal of Air Force Engineering University(Natural Science Edition),2012,13(1):10-14.(in Chinese)

[9]张嘉焱,罗雪山.Petri网在多因素影响分析中的应用[J].系统仿真学报,2012,24(3):665-678.

ZHANG Jiayan, LUO Xueshan. Application of Petri net in multi-factor influence analysis[J].Journal of System Simulation,2012,24(3):665-678. (in Chinese)

[10]Amari S,Dill G,Howald E.A new approach to solve dynamic fault trees[C]//Proceedings of Annual Reliability and Maintainability Symposium, IEEE,2003:78-110.

[11]Tang Z H, Dugan J B. Minimal cut set/sequence generation for dynamic fault trees[C]//Proceedings of Annual Symposium-RAMS Reliability and Maintainability,IEEE,2004:207-213.

[12]季会媛.动态故障树分析方法研究[D].长沙:国防科学技术大学,2002.

JI Huiyuan. Research on dynamic fault tree method[D]. Changsha: National University of Defense Technology,2002.(in Chinese)

[13]尤明懿.一种面向设计寿命全过程的电子系统可靠性分配法[J].电子产品可靠性与环境试验,2012,30(1):32-36.

YOU Mingyi.A designed lifetime process centered reliability allocation method for electronic systems[J]. Electric Product Reliability and Environmental Testing, 2012,30(1):32-36. (in Chinese)

[14]尉玉峰,阚树林,任漪舟，等.基于Petri网的复杂制造系统故障树分析[J].机械设计与制造,2010, (7):192-194.

WEI Yufeng, KAN Shulin, REN Yizhou,et al. Petri nets-based fault tree analysis method for complex manufacturing systems[J]. Machinery Design and Manufacture,2010,(7):192-194.(in Chinese)

[15]李大伟,陈云翔,徐浩军,等.一种改进的系统安全性分析方法[J].科技导报,2012,30(34):32-35.

LI Dawei, CHEN Yunxiang, XU Haojun,et al.Improved method for system safety analysis[J]. Science and Technology Review, 2012,30(34):32-35.(in Chinese)

http://journal.nudt.edu.cn

Petri Net distribution method for aircraft system safety index

WANGQiang,WANGXiaohan,LIUGang,GENGHuixin

(College of Equipment Management and Safety Engineering, Air Force Engineering University, Xi′an 710051, China)

Abstract：To solve the abstractness and communication difficulties of dynamic fault tree, a distribution method based on Petri Net for system safety index was proposed by utilizing the advantages of Petri Net including intuition, easy and wide application. Failure rate was selected as a safety index through arranging the safety index and related reliability index. In the comparison of the modeling methods between dynamic fault tree and Petri Net, the latter was chosen to establish index distribution models for static and dynamic logic changes. On the basis of this, the hash classification for the refinement of system safety index distribution method was proposed. And through example analysis, a Petri Net hierarchical model for system faults was constructed to distribute index. Distribution results demonstrate that all the distributed values are within the corresponding safety indexes and this method can overcome the defects of non-intuition in dynamic fault tree method and of excessive roughness in equal distribution method, which provides references for the design and evaluation of aircraft safety.

Key words：safety index distribution; fault models of Petri Net; Petri Net method; hash classification for faults

中图分类号：X949

文献标志码：A

文章编号：1001-2486(2015)06-135-06

作者简介：王强(1978—)，男，江苏南通人，教授，博士，硕士生导师，E-mail：wq01010004@126.com

基金项目：国家自然科学基金资助项目(71171199)

收稿日期：*2015-05-21

doi:10.11887/j.cn.201506025