GB∕T 43037-2023 可信性分析技術 佩特里網(wǎng)技術（正式版）

可信性分析技術佩特里網(wǎng)技術2023-09-07發(fā)布2023-09-07實施國家市場監(jiān)督管理總局發(fā)布國家標準化管理委員會I Ⅲ 12規(guī)范性引用文件 l 13.1術語和定義 1 33.3縮略語 34佩特里網(wǎng)概述 44.1非時間低級佩特里網(wǎng) 44.2時間低級佩特里網(wǎng) 44.3高級佩特里網(wǎng) 54.4佩特里網(wǎng)的擴展與建模 55佩特里網(wǎng)可信性建模與分析 65.1建模的一般步驟 65.2建模的詳細步驟 76與其他可信性模型的關系 附錄A(資料性)佩特里網(wǎng)的結構與動態(tài)性 附錄B(資料性)m/n冗余的可用性 附錄C(資料性)簡要示例 附錄D(資料性)典型可信性概念的建模 附錄E(資料性)平交道口示例 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件等同采用IEC62551:2012《可信性分析技術佩特里網(wǎng)技術》。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本標準由中華人民共和國工業(yè)和信息化部提出。本標準由全國電工電子產(chǎn)品可靠性和維修性標準化技術委員會(SAC/TC24)歸口。本標準起草單位：工業(yè)和信息化部電子第五研究本文件提供一種佩特里網(wǎng)基本元素表示的基礎方法[1,以及這一技術在可信性領域的應用指南。佩特里網(wǎng)建模的固有能力使其能夠通過對局部狀態(tài)及局部事件關系建模來描述系統(tǒng)的行為。依托中獲得廣泛的認可。傳統(tǒng)方法(如故障樹和可靠性框圖)無法處理多態(tài)系統(tǒng)，也無法對動態(tài)系統(tǒng)的行為建模，還會遇到狀態(tài)組合爆炸問題(如馬爾可夫過程)。在處理實際的工業(yè)系統(tǒng)問題時頗受限制，因此，需要其他的建模和發(fā)生時系統(tǒng)如何從一種狀態(tài)演化為另一種狀態(tài)建模。佩特里網(wǎng)具有圖形化的表示方式，能有效支持可靠性工程師的建模，是一種非常有前途的可信性建模和計算技術。分析計算通常只適用于小型系統(tǒng)，且/或需要強有力的前提假設(如指數(shù)規(guī)律、小概率)。當處理工業(yè)級系統(tǒng)時，就可能需要方法上質的突破，如從分析計算改為蒙特卡洛仿真。本文件旨在從可信性角度，定義統(tǒng)一的佩特里網(wǎng)基本原則，將目前佩特里網(wǎng)建模和分析使用方法，作為系統(tǒng)可信性及風險相關量度的定性和定量評估方法。1可信性分析技術佩特里網(wǎng)技術本文件給出以可信性為目標的佩特里網(wǎng)的基礎方法，支持系統(tǒng)建模、模型分析并提供分析結果。本方法面向可信性相關的所有特性的量度，如可靠性、可用性、生產(chǎn)可用性、維修性和安全性(如安全完整性等級(SIL)[2]相關量度)。本文件處理下列佩特里網(wǎng)相關問題：a)定義基本術語及符號，描述其使用和圖形化表示方法；b)概述術語及其與可信性的關系；1)采用佩特里網(wǎng)建立可信性模型；2)采用基于佩特里網(wǎng)的技術進行定性和定量可信性分析；3)分析結果的解釋說明。d)概述佩特里網(wǎng)與其他建模技術的關系；e)提供實踐案例。本文件沒有給出解決分析佩特里網(wǎng)時出現(xiàn)的數(shù)學問題方面的指引，相關指南能參考文獻[3]和[4]。本文件適用于所有需要定性與定量可信性分析的行業(yè)。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于IEC60050-192國際電工詞匯(IEV)第192部分：可信性(InternationalElectrotechnicalVocab-ulary(IEV)—Part192:Dependability)IEC60050-192界定的以及下列術語和定義適用于本文件。保持其特定功能的前提下，構成設備的物理上不能繼續(xù)分解的最小組成單元。某時刻發(fā)生的事情。2在特定背景下作為一個整體且分離于環(huán)境的、互相聯(lián)系的元素集合。注1:通常從實現(xiàn)目標的角度來定義系統(tǒng)，例如執(zhí)行某個確定的功能。注2:系統(tǒng)的元素可是自然的或人工材質的物體，也可是思維模式及其結果(如組織形式、數(shù)學方法和程序語言)。注3:通常認為有一個虛構的截面，切斷了系統(tǒng)與環(huán)境和其他外界系統(tǒng)的聯(lián)系，將系統(tǒng)從中分離出來。安全完整性等級safetyintegritylevel;SIL對應于一系列安全完整性值的離散等級(4個可能等級中的1個)。其中，等級4的安全完整性最高，等級1的安全完整性最低。注：IEC61508-1;2010[9]表2和表3中規(guī)定了4個安全完整性等級的目標失效量度(見IEC61508-4:2010,3-5-17)[8]。具有兩種類型節(jié)點(庫所和變遷)及有向弧的雙向圖，用于建立局部狀態(tài)和局部事件的模型。注：佩特里網(wǎng)通常用于對分布式系統(tǒng)的行為建模。注1:一般來說，佩特里網(wǎng)的弧是有向的，只能連接兩個不同類型的節(jié)點。注2:除有向弧之外，還有其他的表示方式。庫所place佩特里網(wǎng)中對局部狀態(tài)或條件建模的節(jié)點類型。佩特里網(wǎng)中對局部事件建模的節(jié)點類型，即狀態(tài)改變。變遷類型transitiontype對屬于一個給定類別的一組事件中的特定事件建模的變遷類型。超級節(jié)點supernode佩特里網(wǎng)中隱藏子網(wǎng)，尤其是用于層級模型的節(jié)點類型。在佩特里網(wǎng)中用于隱藏兩個超級節(jié)點間多種連接的弧類型。注：隱藏兩個子網(wǎng)的兩個超級節(jié)點可能有多種弧的連接。可達圖reachabilitygraph;RG表示系統(tǒng)行為的狀態(tài)變遷圖。3注：可達圖可在帶有初始標識的佩特里網(wǎng)的基礎上生成。標識marking用佩特里網(wǎng)建模的系統(tǒng)中狀態(tài)的圖形化表示。佩特里網(wǎng)的圖形化表示應使用統(tǒng)一的符號、標識符和標簽。常用的圖形化表示見表1、表2和表3。表1中常規(guī)弧的標簽“n”為整數(shù)值。表1非時間佩特里網(wǎng)的符號標識符標識符標識符(權)n(常規(guī))弧庫所符號，也用于多重庫所變遷符號符號關系符號——常規(guī)弧關系符號測試弧關系符號抑制弧令牌符號有多種測試弧和抑制弧的圖形化方式。令牌符號用于表征信息流，并不是佩特里網(wǎng)靜態(tài)結構的符號。表2時間佩特里網(wǎng)的附加符號變遷類型確定的隨機的延時為0延時為d指數(shù)分布或幾何分布任意分布參數(shù)dak任意分布符號注：在確定變遷情況下常用狄拉克分布。此外，時間變遷的參數(shù)可獨立于狀態(tài)或時間。表3層級建模的符號標識符標識符標識符超級庫所符號超級變遷符號超級節(jié)點符號超級弧符號注：“超級弧”的符號沒有方向，因為它可代表了不同方向的多個弧。下列縮略語適用于本文件。CDF:累積分布函數(shù)(Cumulativedistributionfunction)4DZ:危險區(qū)(Dangerzone)ETA:事件樹分析(Eventtreeanalysis)FME(C)A:失效模式、影響(和危害性)分析[Failure,mode,effects(andcriticality)analysis]FTA:故障樹分析(Faulttreeanalysis)HR:危險率(Hazardrate)LC:道口(Levelcrossing)MTBF:平均失效間隔時間(Meantimebetweenfailures)MTTF:平均失效前時間(Meantimetofailure)PN:佩特里網(wǎng)(Petrinet)RBD:可靠性框圖(Reliabilityblockdiagram)RG:可達圖(Reachabilitygraph)SIL:安全完整性等級(Safetyintegritylevel)ir:沖量回報(Impulsereward)rr:率回報(Ratereward)4佩特里網(wǎng)概述4.1非時間低級佩特里網(wǎng)佩特里網(wǎng)(PNs)是區(qū)分了主動節(jié)點和被動節(jié)點的圖。被動元素稱為庫所，用于對局部狀態(tài)或條件建模，當局部狀態(tài)得到滿足時，庫所將標記上令牌。主動元素稱為變遷，用于對一個狀態(tài)到另一個狀態(tài)的變化(例如可能發(fā)生的潛在事件)建模。庫所和變遷可稱節(jié)點。庫所和變遷表示的現(xiàn)象之間的因果關系，通過不同類型的有向弧連接來描述(見表1中佩特里網(wǎng)的基本符號和附錄A中A.1對佩特里網(wǎng)的介紹)。抑制弧只能連接前集庫所及其后集變遷(見A.1.2)。對于一個變遷，當所有通過常規(guī)弧或測試弧與其連接的前集庫所都標記了足夠數(shù)量的令牌，且所有通過抑制弧連接的前集都無標識時，該變遷被使能。足夠使變遷使能的令牌數(shù)量將注釋在弧上。一般來說，該注釋能取決于標識。這些概念的一般應用概要見4.4。變遷被啟用后可引發(fā)，即改變模型的標識。變遷引發(fā)只改變通過常規(guī)弧連接的庫所的標識：從變遷對應的前集庫吸收令牌，并在后集生成令牌。吸收與生成的令牌數(shù)量由弧的標簽指定。如果弧標簽沒從初始標識開始，通過任意的變遷引發(fā)的序列可達的所有全局標識，都包含在佩特里網(wǎng)的可達圖中?？蛇_圖的每個節(jié)點表示一個全局標識，每個弧表示一個變遷的引發(fā)，即一個全局標識轉換到另一個。佩特里網(wǎng)也具有非圖形化的表示方式，即關聯(lián)矩陣。假設T是變遷集合陣的維數(shù)為|P|×|T|。對于每一個變遷，矩陣相應的列指定了引發(fā)后全局標識的改變。在時間佩特里網(wǎng)中，時間與非時間的變遷都可能用到。時間變遷只有在指定的持續(xù)時間內使能，才能引發(fā)。該持續(xù)時間取決于變遷分布函數(shù)(累積分布函數(shù)，CDF),可能是確定的或隨機的。如果兩個以引發(fā)時間分布，執(zhí)行策略和存儲策略的選擇也應說明[3]。當持續(xù)時間過去，變遷即可引發(fā)。時間佩特里網(wǎng)的常用變遷見表2。對應于指定的時間變遷類型，時間參數(shù)可能是固定引發(fā)持續(xù)時間(引發(fā)時間確定的變遷)、常引發(fā)率5(引發(fā)時間指數(shù)或幾何分布的變遷)或帶參數(shù)的概率分布(引發(fā)時間任意分布的變遷)。注意，非時間變遷是延遲為零的特殊的固定引發(fā)持續(xù)時間變遷。在非時間情況下，時間佩特里網(wǎng)的可達圖包含表示全局標識的節(jié)點以及表示變遷引發(fā)的箭頭。除非時間可達圖的元素外，時間佩特里網(wǎng)的可達圖還應考慮變遷的具體參數(shù)。4.3高級佩特里網(wǎng)在高級佩特里網(wǎng)中，標識不再是匿名的黑色令牌，取而代之的是獨特且可辨別的元組。元組不僅對條件的滿足或狀態(tài)的存在建模，自身也含有特殊信息。這樣一來，弧的標簽可表達為已有信息的函數(shù)。這種建模方式能得到緊湊且直觀的模型，甚至適用于復雜系統(tǒng)。本文件介紹的方法不涉及高級佩特里4.4佩特里網(wǎng)的擴展與建模4.4.1佩特里網(wǎng)元素的進一步表示除表1介紹的符號之外，～給出的加權抑制弧、多重庫所和全局變量的符號和概念也是佩特里網(wǎng)常用的元素。加權抑制弧與常規(guī)弧相比較，抑制弧能賦以權值，見圖1。只有當圖1中庫所p上令牌數(shù)少于n,變遷t才使能。注意，若庫所p剛好有n個令牌，變遷t仍不使能。為了提高復雜網(wǎng)絡的可讀性，尤其對于工業(yè)規(guī)模的系統(tǒng)模型，通常會用到許多附加概念。圖2多重庫所p圖3變遷t引發(fā)后p上的標識6全局變量的用法與多重庫所相似，變遷是否使能取決于全局變量的取值或判斷。除此之外，變遷的引發(fā)可能會通過聲明和判斷來改變全局變量的值。圖4t的使能取決于V的值圖4的佩特里網(wǎng)中，變遷t只有在全局變量V為真時才使能(?是“讀取”運算符，即?V作為守衛(wèi)，讀取全局變量V的值)。t引發(fā)后會標記庫所q并消除庫所p的標識，同時將V設置為假(!是“寫入”工業(yè)規(guī)模的佩特里網(wǎng)通常被模塊化為多個彼此聯(lián)系的子佩特里網(wǎng)[l,12]。在可信性背景下，像失效、修理這樣的局部事件能用變遷來建模，而像故障等局部狀態(tài)可用庫所來建模。因此，每個節(jié)點的名稱能表示相應的可信性特征，需要時還可代表相關的設備。用這種方式理解表4給出了一般系統(tǒng)、佩特里網(wǎng)和可信性的對應概念。這里并不包括失效或故障狀態(tài)的所有可能方面系統(tǒng)佩特里網(wǎng)可信性動態(tài)事件變遷失效修理靜態(tài)局部狀態(tài)庫所故障運行注：失效和修理只是可信性相關事件的兩個例子；故障和運行只是可信性相關狀態(tài)的兩個例子，更多例子還有首次失效、降級失效和狀態(tài)。這些概念可用作計算基礎，如平均生產(chǎn)可用度。5佩特里網(wǎng)可信性建模與分析系統(tǒng)分析通常需要足夠詳細的系統(tǒng)模型，而模型的詳細程度取決于要執(zhí)行的分析。系統(tǒng)通常極其復雜，無法一步建成一個整體的詳細模型。因此，從粗略的文本描述直到詳細的形式化模型，建模應迭代進行?；谀Ｐ偷玫降姆治鼋Y果，應以用戶友好的方式表示出來，并根據(jù)分析任務進行解釋說明(見圖5)。7分析任務分析任務影響分析方法合適手法表示方法分析結果建模方法系統(tǒng)參數(shù)系統(tǒng)模型影響影響表示建模分析圖6描述了佩特里網(wǎng)可信性建模和分析的主要步驟。分析人員應注意，雖然過程看上去簡單易行，步驟1:步驟2:步驟3:步驟4:步驟5:分析模型獲得感表示和說明步驟4的組成和功能滿足要求的詳細程度興趣的結果分析結果文檔編制步驟1～步驟5圖6可信性佩特里網(wǎng)建模和分析流程步驟1:用傳統(tǒng)方法描述系統(tǒng)的主要組成，例如，使用文字配以圖片和表格等(見5.2.2)。步驟2:基于佩特里網(wǎng)子模型及其關系，建立系統(tǒng)的結構模型，并編制模型文檔(見5.2.3)。系統(tǒng)通常包含兩個主要的子系統(tǒng)：b)控制單元，如用來控制設備的子系統(tǒng)。步驟3:細化步驟2得到的模型，直到滿足要求的詳細程度，并編制細化模型的文檔(見5.2.4)。應提供步驟2的系統(tǒng)佩特里網(wǎng)注釋，包括子系統(tǒng)。當模型包含了分析必需的所有信息時，系統(tǒng)即達到要求的詳細程度。步驟4:分析模型獲得感興趣的結果，并編制分析文檔(見5.2.5)。步驟5:表示和說明分析結果，并編制文檔(見5.2.6)。若分析結果不充分或不符合要求，應進一步補充(子)模型(回到步驟2)或細化已有(子)模型(回到步驟3)。每個步驟及其結果都需要持續(xù)編制文檔。佩特里網(wǎng)可信性建模與分析的應用示例見附錄E。5.2建模的詳細步驟本條更詳細地描述了建模步驟，每個步驟的工作都應編制文檔。85.2.2描述系統(tǒng)的主要組成和功能(步驟1)建模和分析應識別和描述以下系統(tǒng)概念：b)主要組成部分(如設備和控制單元);5.2.3基于佩特里網(wǎng)子模型及其關系建立系統(tǒng)結構模型(步驟2)這些子系統(tǒng)還能從功能和可信性的角度來解釋。例如因設備的控制單元不能總是恰當?shù)剡\行，那么就必須考慮控制單元的可信性——系統(tǒng)的可信性取決于控制單元的可信性。由于建模需要依據(jù)系統(tǒng)的復雜度及分析任務，整個模型通常由以下4種子模型的子集組成(也存在不必建立設備可信性模型也能得到充分結果的情況):a)設備的功能；b)設備的可信性；c)控制單元的功能；d)控制單元的可信性。在a)中，運行的子系統(tǒng)必須是受控的，也就是說，應建立設備的模型。如果不受控，該動態(tài)子系統(tǒng)將根據(jù)佩特里網(wǎng)的可達圖，在龐大的狀態(tài)空間中建立大量的進程?？蛇_圖中的一些狀態(tài)表示危險并導在b)中，應建立設備可信性模型。該子模型中，涉及設備運行狀況的不確定因素都應加以考慮(例如人的行為和環(huán)境影響)。在c)中，應指定用于控制設備以約束其運行過程的子系統(tǒng)。該子模型假定控制任務執(zhí)行完好，并不考慮控制單元失效的可能性。這樣一來，模型a)與b)結合得到的可達圖，無任何不希望有的狀態(tài)(例如危險狀態(tài)或事故狀態(tài))。在d)中，考慮可信性，建立控制單元的物理實現(xiàn)的子模型。該模型取決于技術實現(xiàn)或者人為操作和環(huán)境影響。通過與子模型c)的聯(lián)系，可能出現(xiàn)的失效和控制的不恰當行為都予以考慮。當這些失效和不恰當行為影響c)中控制功能的模型時，總體模型[a]至d]子模型聯(lián)合組成的模型]中的設備、控制單元及控制單元的可信性都被考慮到了。這樣一來，相應的可達圖就涵蓋了危險和事故狀態(tài)及相應的對于不同的功能層級及其可信性方面，得到的正交基礎結構見圖7。9依照前述條款為每個子系統(tǒng)建立單獨的佩特里網(wǎng)模型，那么很容易就能建立起整個系統(tǒng)的完整模型。各單獨的佩特里網(wǎng)模型，通過測試弧和抑制弧連接起來。這里可采用模塊化方法，這樣任何子系統(tǒng)都能獨立地修改或改變，并不受相鄰模型的本步驟的文檔編制，應識別出系統(tǒng)的主要子模型及其關系。每一子模型的邊界、主要組成部分、功能及用途都應采用傳統(tǒng)的描述方法編制文檔，例如使用文字并配上圖片和表格等。如果系統(tǒng)沒有必要分解為子系統(tǒng)(如十分簡單的系統(tǒng))或是難以分解，模型設計者應明確說明原因。5.2.4細化模型到滿足要求的詳細程度(步驟3)本步驟中，對步驟2已經(jīng)建立的模型進行改進完善，并編制文檔。本步驟是重復迭代的過程，需要步驟2建立的佩特里網(wǎng)模型也應細化，包括每個考慮的子系統(tǒng)。這種改進應持續(xù)細化過程到模型達到預期的詳細程度要求，即包含了步驟4分析所需的全部信息：a)每個節(jié)點都應標有唯一的標識符。如果使用時間佩特里網(wǎng)，時間概念也應用符號闡明。推薦使用3.2中定義的符號。b)應明確時間概念的進一步細節(jié)，即指定參數(shù)(例如，因果變遷的權、固定持續(xù)時間、確定變遷、CDF對應的隨機變遷參數(shù)等),還有任何變遷的守衛(wèi)、變遷的存儲策略(變遷的使能時間是累積，或者變遷無存儲，即占先策略[3])以及庫所容量等。如果可讀性不受影響，這些信息能直接添加在佩特里網(wǎng)中。否則，應選擇表格或矩陣來表示。本步驟的文檔編制應根據(jù)模型細化過程逐步細化完成。本步驟的文檔編制應包含：c)子系統(tǒng)乃至整個模型的佩特里網(wǎng)表示。d)每個子系統(tǒng)的文本描述(至少在建模的最低層級)。e)可靠性參數(shù)(如失效和恢復、假設或統(tǒng)計數(shù)據(jù))和系統(tǒng)結構的依據(jù)。5.2.5分析模型得到結果(步驟4)選擇何種模型分析方法取決于想要的結果。此外，佩特里網(wǎng)模型的基礎及信息的有效性也限制了適用的分析方法(見圖8)?；旧?，有兩種可選方法：a)定性分析解決有關可能性的問題，例如達到某個(全局)狀態(tài)的可能性，或不斷反復引發(fā)某個變遷序列的可能性。定性分析主要基于非時間可達圖。如果從一個初始標識開始，可達標識的數(shù)量有限，至少理論上就能得到非時間可達圖。特殊情況下，非時間可達圖中也可能衍生時間的動態(tài)特性([14])。當可達標識的數(shù)量過大甚至是無窮時，需要選擇其他方法，如結構分析法。即不變量、死鎖和陷阱至少得到模型化系統(tǒng)的高質量度量結果。([11]和[14])。b)定量分析解決有關定性結果的概率問題(例如，達到一個特定狀態(tài)的概率，或引發(fā)一個特定變遷的概率),及可靠性或可信性的量度問題(例如，失效概率、失效率、平均失效時間或平均失效間隔)。這些概念可作為計算基礎，例如計算平均生產(chǎn)可用度。定量分析主要基于時間可達圖或隨機可達圖。與非時間可達圖相似，如果可達標識的數(shù)量并非過于龐大，時間可達圖都是可分析的。根據(jù)佩特里網(wǎng)中變遷的不同，有兩種可選的方法：1)如果在定義的時間段內，時間佩特里網(wǎng)所有變遷的引發(fā)持續(xù)時間都服從指數(shù)分布(即定義的時間段內引發(fā)率是常數(shù)),那么時間可達圖可轉化為馬爾可夫鏈再進行穩(wěn)態(tài)或瞬態(tài)2)否則，應使用蒙特卡洛仿真的方法進行穩(wěn)態(tài)或瞬態(tài)分析。如果可達標識的數(shù)量過于龐大，將使用蒙特卡洛的方法進行瞬態(tài)分析。軟硬件的性能決定了可處理的狀態(tài)數(shù)量。如今，含有10?個狀態(tài)的系統(tǒng)都是可處理的。而帶有數(shù)百萬個狀態(tài)的系統(tǒng)通常稱為“小定性定量RG可分析RG可分析RG規(guī)模過大可達性分析全指數(shù)分布任意分布蒙特卡洛蒙特卡洛裝特卡洛穩(wěn)態(tài)分析穩(wěn)態(tài)分析圖8佩特里網(wǎng)模型的分析方法本步驟的文檔編制應包括以下內容：c)列出計算結果所選擇的方法；d)列出用于計算的工具、計算設備、數(shù)據(jù)條件和缺省設5.2.6表示和說明分析結果(步驟5)本步驟得到的輸出應滿足以下要求：a)應用適當?shù)姆绞奖硎究蛇_圖。一般來說，若將每個態(tài)整合的概念非常有必要。b)充分表述不同參數(shù)值或不同系統(tǒng)結構的影響。例如，可將系統(tǒng)可用性作為其安全性功能，用圖表的方式展現(xiàn)不同的維修性和可靠性參數(shù)，或是不同系統(tǒng)結構(如冗余方案，見附錄B中對m/n冗余的可用性介紹)對可用性及安全性的影響。應以文本的方式清楚而具體地解釋分析結果。此外，分析結果應指出備選的實現(xiàn)方案(考慮系統(tǒng)結構或子模型的實現(xiàn))。表5強制及推薦的文件材料編號步驟表示方法和手段強制強烈推薦推薦1基本文檔材料：系統(tǒng)、功能、模塊、邊界的基本描述；分析的目標和范圍；采用佩特里網(wǎng)技術的理由文本和圖片文本文本2四個子模型的文檔編制(見5.2.3)文本和圖片高級佩特里網(wǎng)3詳細文檔編制：系統(tǒng)細化模型(抽象層級);失效率、恢復率數(shù)據(jù)的來源(假設數(shù)據(jù)或統(tǒng)計數(shù)據(jù))文本和圖片文本表格b)表格4分析方法：分析方法的描述；計算機及使用工具的描述文本文本a)表格b)表格5結果：數(shù)值和圖形的形式；結果的說明文本和圖片文本a)表格6與其他可信性模型的關系或基本狀態(tài)如何導致某個全局狀態(tài)。這些分析通過FTA、ETA、RBD或者FMEA得到。而可達圖則佩特里網(wǎng)的建模能力比FTA,ETA以及RBD更強大。因此FTA、ETA、RBD模型都能轉換為佩指數(shù)分布，因此一般隨機佩特里網(wǎng)具有更高的建模能力。通過FMEA或者FME(C)A得到的信息，可用于建立系統(tǒng)的佩特里網(wǎng)模型。盡管FME(C)A可提供包含特定程序和方式的形式化過程，但FME(C)A在數(shù)學意義上并不是形式化的。另外，由于FMEA或FME(C)A只能分析單個失效，因此無法A是佩特里網(wǎng)的有效補充。(資料性)佩特里網(wǎng)的結構與動態(tài)性A.1一般佩特里網(wǎng)概念及其與可靠性的關系A.1.1概述通過區(qū)分主動節(jié)點與被動節(jié)點(見表1),能總體描述佩特里網(wǎng)及其可信性解釋。被動元素稱為“庫輯規(guī)則),基于引發(fā)規(guī)則改變基本狀態(tài)。佩特里網(wǎng)是有向圖，每個弧都與兩個不同類型的節(jié)點相連。也就是說，任意兩個先后狀態(tài)(如故障狀態(tài)和運行狀態(tài))之間，必定會由一個事件相連(如修理)。此外，任意兩個先后事件(如失效和修理)之在修理中”的縮寫)。狀態(tài)及事件間的關系通過有向弧表示。節(jié)點n的“前集”是指通過有向弧指向n的全部節(jié)點n?的集合。節(jié)點n的“后集”是指從n出發(fā)通過有向弧指向的全部節(jié)點n?的集合?！扒凹睂τ诳赡艹霈F(xiàn)的全部狀態(tài)，以及基于條件(如狀態(tài)集)可能出現(xiàn)的全部因果關系，佩特里網(wǎng)都應建立模型。附錄C提供了表示可用性、維修性等不同特性的佩特里網(wǎng)結構簡要示例。A.1.3低級佩特里網(wǎng)的因果動態(tài)性A.1.3.1概述佩特里網(wǎng)中系統(tǒng)的動態(tài)性可通過觀察狀態(tài)和反映狀態(tài)關系的系統(tǒng)狀態(tài)轉移得到佐證。A.1.3.2標識令牌(黑色圓點)標記在庫所上，表示局部狀態(tài)實際出現(xiàn)或“局部標識”。所有局部標識的集合稱為A.1.3.3令牌流和引發(fā)規(guī)則如果全部的前集庫所都標識了適當數(shù)量的令牌，變遷被使能(可引發(fā))。引發(fā)的變遷會消除前集庫所的令牌(對應于連接其前集庫所的弧的種類和權),并在后集庫所中生成令牌(見圖A.2和圖A.3)。實際上，令牌的吸收(或銷毀)和生成，像“流”一樣對網(wǎng)的行為建模。通常，局部事件的發(fā)生只改變與其直接相連的局部狀態(tài)。能這么理解：若事件發(fā)生(例如發(fā)生失效),系統(tǒng)的狀態(tài)被改變(例如從“運行”到超限應力部件：失效超限應力超限應力失效A.1.3.4測試弧所是否被標記。測試弧用雙箭頭表示(見圖A.4和圖A.5中連接“維修人員”和“修理”的箭頭)。這里避免了在冬季進行修理(無維修人員)。注意本例已被高度簡化，主要用于展示測試弧的用法。有維修人員無維修人員春季開始冬季開始有維修人員無維修人員春季開始中該檢查通過，變遷被使能，且引發(fā)后的標識結果見圖A.5。通過抑制弧與前集庫所連接的變遷，只有在這些庫所的令牌數(shù)嚴格低于對應抑制弧的權時，才被使能。也就是說，當權等于一時，只有在庫所內沒有任何令牌時才會被使能。抑制弧用一個小圓圈代替箭頭。這類變遷的引發(fā)并不會改變對應前集庫所的標識。使能。圖A.7中的變遷被使能且引發(fā)后的標識見圖A.8。應注意的是，圖A.8中的變遷能無限地引發(fā)下去，這種情況能用另一個抑制弧連接后集庫所及變遷來避免。與普通弧一樣，抑制弧能加權(見圖4.4)。A.1.3中能找到抑制弧應用的例子。圖A.6變遷未被使能圖A.8引發(fā)后的標識A.1.4可達圖佩特里網(wǎng)的可達圖(RG)表示從給定的“初始標識”開始，通過變遷引發(fā)能達到的所有全局標識。因此，可達圖通過描述狀態(tài)空間表示了系統(tǒng)可能的行為。圖A.9中佩特里網(wǎng)的可達狀態(tài)空間包括四個全局狀態(tài)(見圖A.10)。為展示可達圖的含義，本例做運行結束修理無維修人員有維修人員開始系統(tǒng)喪失修理圖A.9帶初始標識的佩特里網(wǎng)修人員開始修理維修，無維修人員有維修人員運行，有維修人員失效事故圖A.10對應的可達圖每個全局變量都用圓或橢圓表示，并用實際的網(wǎng)的標識明確地標記。通過弧上的注釋，可達圖說明了一個全局狀態(tài)是如何變化為另一個狀態(tài)的。對于更復雜的佩特里網(wǎng)，可達圖全局狀態(tài)的數(shù)量可能隨著部件數(shù)量的增加而迅速增加?？蛇_圖能通過計算機工具自動建立。方面系統(tǒng)佩特里網(wǎng)可達圖可信性動態(tài)事件變遷弧例如：失效事件或錯誤處理事件靜態(tài)局部狀態(tài)庫所局部狀態(tài)全局狀態(tài)標識=標記庫所集節(jié)點全局狀態(tài)(如維修、危險)整合全局狀態(tài)標識集節(jié)點集全局狀態(tài)集(如可用、安全)件運行”滿足，因此變遷“部件失效”被使能。部件運行部件修理部件故障無維修人員冬季結束運行部件失效的標識不會改變(見圖A.12)。部件。失效部件。失效部件運行冬季開始有維修人員冬季結束部件無維修人員部件p故障部件修理部件修理考慮另一種狀態(tài)下網(wǎng)的行為，若高優(yōu)先級的部件失效而低優(yōu)先級的部件正在修理，那么:a)低優(yōu)先級部件的修理被暫停；b)高優(yōu)先級部件的修理開始；c)高優(yōu)先級部件修理完成之后，低優(yōu)先級部件的修理重新開始。此類“暫?！笔录慕：头治鲇嬎惴浅碗s，然而蒙特卡洛仿真能輕松分析此類模型。A.2時間佩特里網(wǎng)A.2.1概述從時間的角度建模對于可信性應用也非常有用。例如通過網(wǎng)處在相應標識的時間表示系統(tǒng)啟動或停止的時間。同時，狀態(tài)改變的延遲通過變遷表示?？紤]了時間，確定的和隨機的行為可被區(qū)分。這兩類行為，分別用帶有確定時間參數(shù)(如確定的事件持續(xù)時間)變遷和帶有隨機時間參數(shù)(如指數(shù)函數(shù))變遷(隨機時間佩特里網(wǎng)見文獻[3]和[16])的時間佩特里網(wǎng)表示。所有情況下，變遷特性由各種標簽或補充條件決定。A.2.2時間低級佩特里網(wǎng)的指定變遷時間佩特里網(wǎng)中，非時間和時間變遷都可能被使用。原則上，時間變遷的引發(fā)規(guī)則與非時間變遷一致(見4.2)。時間變遷應持續(xù)使能一段時間。持續(xù)時間取決于指定的分布函數(shù)(CDF)及相應的參數(shù)，可能是確定的或是隨機的。持續(xù)時間結束，變遷即可引發(fā)。時間佩特里網(wǎng)的常用變遷見表2。指定的時間變遷種類及其時間參數(shù)，將決定確定的引發(fā)持續(xù)時間、(恒定)引發(fā)率或概率分布。注意，用于確定延遲d的狄拉克分布δ(d)可在統(tǒng)一結構下既包含確定變遷也包含隨機變遷[δ(0)包含非時間和時間變遷]。然而，不同種類的行為對應著本質不同的事件，通常應區(qū)分開來。A.2.3時間低級佩特里網(wǎng)的動態(tài)性時間佩特里網(wǎng)中，系統(tǒng)的動態(tài)性也是通過對應可達圖表示的標識變化過程來建模的(見圖A.10)。根據(jù)不同變遷率或隨機分布，狀態(tài)—變遷弧將注釋上指定的時間符號。由于變遷的時間行為，即隨機引發(fā)，對可信性相關狀態(tài)建模的每個全局狀態(tài)都會有一定的概率。經(jīng)證明，只要所有事件都服從指數(shù)分布，任何有限且標記的隨機佩特里網(wǎng)都可同構為離散空間的馬爾可夫鏈[]。圖A.13中的變遷帶有變遷率。圖A.14中的全局狀態(tài)分別為π。和π?。圖A.13帶有兩個指數(shù)分布時間變遷的時間佩特里網(wǎng)圖A.14對應的隨機可達圖部件p冬季開始部件修理部件故障無維修無維修人員部件運行有維修人員N(L2,σ?)故障在指數(shù)分布的時間內保持該狀態(tài)。若部件進入故障狀態(tài)，將在正態(tài)分布的時間內保持該狀態(tài)，由參數(shù)μ?(均值)和σ?(標準差)確定。注意這里為變遷N(μ2,σ?)假設了截取正態(tài)分布律，取值范圍為(0,～)。廣義隨機佩特里網(wǎng)(GSPN):所有時間變遷的引發(fā)時間都服從指數(shù)分布；馬爾可夫隨機佩特里網(wǎng)(MSPN):以馬爾可夫鏈為隨機過程基礎的SPNs。當所有時間變遷的引發(fā)時間服從指數(shù)分布，或所有時間變遷的引發(fā)時間服從幾何分布(即無記憶性、離散時間)。其中前者對應于GSPNs;確定與隨機佩特里網(wǎng)(DSPNs):時間變遷是指數(shù)的或者是確定的，其中確定變遷互斥且有特殊的馬爾可夫再生隨機佩特里網(wǎng)(MRSPNs):以馬爾可夫再生過程為基礎的SPNs。其中一類稱為廣義的非馬爾可夫隨機佩特里網(wǎng)：任何不是馬爾可夫過程的SPN。A.3佩特里網(wǎng)的分析方法A.3.1概述一般來說，佩特里網(wǎng)主要有兩種不同的分析工作：A.3.2定性分析定性分析可分為結構分析和動態(tài)分析。a)結構分析只考慮佩特里網(wǎng)的結構，并不包括可達圖的分析。因此，這類分析與初始標識無關，任意的初始標識下分析結果都一致。這類分析的缺點在于分析結果通常很粗略。死鎖和陷阱b)動態(tài)分析會考慮可達圖或其子集，例如佩特里網(wǎng)的一個(最短)序列或序列集。由于可達圖取決于指定的初始標識，這類分析的結果也取決于初始標識。動態(tài)分析的優(yōu)勢在于，若生成且處理了可達圖，所有定性問題都能回答。缺點在于通常由于規(guī)模問題無法創(chuàng)建可達圖。動態(tài)分A.3.3.1概述系統(tǒng)可信性的特征及量度，例如系統(tǒng)可操作性的穩(wěn)態(tài)或瞬態(tài)概率，通常是我們關注的焦點。許多系統(tǒng)定量分析的方法和算法，都有自己的概率理論基礎。在開展分析之前，必須指定相關的概率分布。若方法都能使用。文獻[12]中介紹了工業(yè)級規(guī)模的模型的分析方法。此外，對于安全性相關系統(tǒng)，佩特里網(wǎng)是一種非常高效的安全性計算(SIL——計算)方法，如失效概率(即平均不可用度)和每小時失效概率(即平均失效頻率)。A.3.3.2馬爾可夫模型分析為了使用連續(xù)時間馬爾可夫鏈(CTMCs)的分析方法，隨機佩特里網(wǎng)將映射為CTMC;映射時，隨機佩特里網(wǎng)必須是GSPN(見A.2.4和文獻[3])。關注兩種馬爾可夫過程的解[19]:瞬態(tài)解和穩(wěn)態(tài)解。瞬態(tài)解通過求解“科爾莫戈洛夫微分方程”得到，而求解方程的線性系統(tǒng)能得到穩(wěn)態(tài)解。對于高度結構化或是規(guī)模很小的馬爾可夫圖，有可能得到閉式的解析結果。在其他大多數(shù)情況下，還需用到數(shù)值求解技術?？墒褂民R爾可夫過程評估：——(時間相關的和漸進的)狀態(tài)概率；——狀態(tài)的累積時間(例如用于生產(chǎn)可用性)。在指定的生產(chǎn)可用性問題中會使用“多狀態(tài)”馬爾可夫過程，當處理定期測試的安全性系統(tǒng)時，通常更多求解馬爾可夫模型的方法可在文獻[18]和文獻[19]中找到。A.3.3.3非馬爾可夫模型分析當放寬指數(shù)分布的假設時，能通過許多技術來求解模型。a)在馬爾可夫更新理論中，過程是無記憶性的且在特定瞬時上考慮。瞬時中重新生成過程并嵌入另一個過程。嵌入過程能通過狀態(tài)方程表達，并得到實際過程的解[3]。b)蒙特卡洛仿真方法通過采用隨機數(shù)，得到數(shù)值問題的估計解。該方法基于隨機變量的重復計算，其優(yōu)勢在于不必在求解過程中新增復雜度，就能考慮到許多真實情況下會發(fā)生的現(xiàn)象。早期蒙特卡洛主要缺點在于，相關計算次數(shù)會隨精度要求的提高而變多，而如今這個問題依然值得討論。此外，馬爾可夫鏈仿真能提供結果的精確度(置信區(qū)間),而截斷馬爾可夫模型或聚合馬爾可夫模型的情況需另行討論。特定標識時獲得的值。一般根據(jù)以下數(shù)據(jù)計算率回報：——有關系統(tǒng)不同狀態(tài)的統(tǒng)計數(shù)據(jù)；——有關系統(tǒng)變量的統(tǒng)計數(shù)據(jù)；——多處令牌花費的時間；——其他數(shù)據(jù)。沖量回報的計算基于變遷的引發(fā)頻率[3]。件成本的模型?？梢?，這些概念在計算生產(chǎn)可用度等很多情況時會非常有用。附錄D中能找到可信性領域的回報函數(shù)的應用示例。帶有回報的庫所和變遷的圖示見表A.2。表A.2帶有回報的庫所和變遷標識符標識符帶率回報的庫所帶沖量回報的變遷(指數(shù)分布)(資料性)m/n冗余的可用性任何有功能的產(chǎn)品，都能通過佩特里網(wǎng)的狀態(tài)-變遷圈建立模型并表達可用度，例如運行狀態(tài)或故障狀態(tài)(見圖A.1)。系統(tǒng)的可用性模型，通過全局變量展現(xiàn)了產(chǎn)品局部可用度的集合(由兩個獨立的產(chǎn)品構成的系統(tǒng)見圖B.1和圖B.2,由三個獨立的產(chǎn)品構成的系統(tǒng)見圖B.3和圖B.4)。可達圖由整個佩特里網(wǎng)衍生得到，表示了系統(tǒng)所有的全局變量。圖B.1指定失效率/修理率的兩個獨立產(chǎn)品的可用性佩特里網(wǎng)P2“/圖B.3帶有指定失效/修理率的三個獨立產(chǎn)品的可靠度佩特里網(wǎng)22C?C?C?蘭“?CC?CC?C?“GGC?()?的帶有全局狀態(tài)的隨機可達圖B.2全局狀態(tài)和系統(tǒng)結構對于由多個彼此間相關聯(lián)的產(chǎn)品構成的復雜功能系統(tǒng)(每個產(chǎn)品有自己的子功能),應結合相應的建模概念考慮整個系統(tǒng)的結構(如鏈和冗余)。根據(jù)這種邏輯結構，可達圖才能暗含系統(tǒng)可用度及不可用度的所有全局狀態(tài)。1/3、2/3和3/3系統(tǒng)的可信性結構建模分別見圖B.5、圖B.6和圖B.7。文獻[20]介紹了如何避免和處理巨大模型以及更多其他的建模技術。失效山"失效修理圖B.5特定連接的1/3可用度佩特里網(wǎng)部件1故障部件1故障故障故障失效失效修理失效圖B.6特定連接的2/3可用度佩特里網(wǎng)系統(tǒng)運行系統(tǒng)部件1部件1部件3故障H?故障部件1運行部件3部件1運行部件3修理部件?運行部件2運行圖B.7特定連接的3/3可用度佩特里網(wǎng)行時系統(tǒng)才運行；而2/3系統(tǒng)中，系統(tǒng)運行有四種可能的狀態(tài)?？紤]到可靠性，相應的系統(tǒng)的建模見圖B.9、圖B.11和圖B.13。對應的可達圖分別見圖B.10、圖B.9特定連接的1/3可靠性佩特里網(wǎng)C?C?C?也礦Hg圖B.10圖B.9中網(wǎng)的可達圖la部件?部件a圖B.11特定連接的2/3可靠性佩特里網(wǎng)a???故障故障故障故障修理部件，失效圖B.13特定連接的3/3可靠性佩特里網(wǎng)C?C?C?(資料性)就可信性而言，佩特里網(wǎng)及相應的可達圖能表示其可用性、維修性等不同的特性?？紤]到可用性和維修性，可通過擴展的環(huán)狀佩特里網(wǎng)建立系統(tǒng)相應產(chǎn)品不同狀態(tài)的更詳細的執(zhí)行功能模型(見圖C.1),例如：——檢測到缺陷；能通過四種變遷實現(xiàn)：——失效事件； ——開始維修；——轉移至運行狀態(tài)。所。圖C.1對應的可達圖有著類似的簡單結構，包括四個全局狀態(tài)及其概率，以及每個變遷及其變遷運行轉移至運行維修失效未檢測到缺陷M開始維修失效檢測且停止或隔離檢測到缺陷圖C.1單個可用性佩特里網(wǎng)GB/T43037—2023/IEC62551:2012圖C.2對應圖C.1中帶有與可用性和安全性相關的全局狀態(tài)和聚合全局狀態(tài)的隨機可用性圖考慮到可用性和安全性的特征，其量度的數(shù)值能通過可用性-安全性正交坐標系表示。由于可用性和安全性的概率值通常接近于1,因此在衡量時應對不可用度和不安全度取對數(shù)，分別稱為可用度的概率潛能pA和安全度的概率潛能pS:其中，A是表征系統(tǒng)可用的全部狀態(tài)集合的概率?！?C.2)其中，S是表征系統(tǒng)安全的全部狀態(tài)集合的概率。例如，A=0.9999,即(1-A)=0.0001,-lg(1-A)=4。A'=0.99999,pA=-lg(1-A')=5,也基于可靠性的定義，佩特里網(wǎng)模型將所需功能作為“狀態(tài)-變遷-狀態(tài)”的結果。部件本身執(zhí)行所需功能的可用性，通過單獨的可靠性狀態(tài)-變遷圈來建模，表征其運行及補充的故障狀態(tài)(見圖A.1)。兩個子網(wǎng)通過測試弧連接，從運行狀態(tài)指向執(zhí)行功能(見圖C.3)。系統(tǒng)故障系統(tǒng)運行系統(tǒng)故障圖C.3基本可靠性和功能建模的概念行所需功能。該概念綜合了產(chǎn)品(資源)的功能性和可靠性表現(xiàn)。圖C.4中的超級變遷隱藏了表征n/3連接的特定邏輯結構。這里的“n”取決于超級變遷內隱藏的網(wǎng)。此外，圖C.5中每個部件的狀態(tài)-變遷圈也通過超級庫所隱藏。也就是說，超級節(jié)點能隱藏詳細的圖C.4帶有超級變遷的一般層級佩特里網(wǎng)可靠性模型圖C.5帶有超級變遷和超級庫所的一般層級佩特里網(wǎng)對應的可用度模型見圖C.6和圖C.7。部件?H??圖C.6帶有超級變遷的一般層級佩特里網(wǎng)可用度模型系統(tǒng)部件?部件?圖C.7帶有超級變遷和超級節(jié)點的一般層級佩特里網(wǎng)(資料性)典型可信性概念的建模用佩特里網(wǎng)結構對可信性的常規(guī)概念建模，見表D.1。表D.1用佩特里網(wǎng)結構可信性的常規(guī)概念建?？尚判愿拍钆逄乩锞W(wǎng)建模方法失效率為常數(shù)λ(失效時間服從指數(shù)分布)可用狀態(tài)失效(λ)修理率為常數(shù)μ的修理或恢復(修理/恢復時間服從指數(shù)分布)不可用狀態(tài)修理(μ)修理或恢復(修理時間為固定的n個時間單元)不可用狀態(tài)修理(n小時)修理或恢復(修理時間服從截斷正態(tài)分布，以x為均值，y為偏差)不可用狀態(tài)修理[N(x,y)]可維護性(維護行為“監(jiān)控”成功完成的概率為x%,0≤x監(jiān)控完成(概率x)監(jiān)控前的產(chǎn)品監(jiān)控終止(概率1-x)監(jiān)控的產(chǎn)品未監(jiān)控的產(chǎn)品表D.2展示了如何建立特定狀態(tài)和事件成本的模型。這里用到率回報(rr)和沖量回報(ir)的概念，見表A.2。注意，這里為變遷N(x,y)假設了取值范圍為[0,～]的截斷正態(tài)律。表D.2建立狀態(tài)和事件的成本模型成本類型佩特里網(wǎng)建模方式失效成本(成本與不可用狀態(tài)的累積時間成比例)不可用狀態(tài)(rr)修理(μ)修理或恢復成本(成本與修理數(shù)量成比例)不可用狀態(tài)修理(μ),(ir)表D.2建立狀態(tài)和事件的成本模型(續(xù))成本類型佩特里網(wǎng)建模方式可維護性成本(維護行為“監(jiān)控”成功完成的概率為x%,0≤x≤1,且監(jiān)控時間均勻分布在區(qū)間[1…y];任何情況下監(jiān)控成本都會累積)監(jiān)控前的產(chǎn)品開始成功的監(jiān)控(概率x)產(chǎn)品被成功產(chǎn)品的成功監(jiān)控結束監(jiān)控的產(chǎn)品監(jiān)控(rr)(統(tǒng)一的[1…y])開始不成功的監(jiān)控(概率1-x)產(chǎn)品未被成功監(jiān)控(rr)終止不成功的監(jiān)控(z)未監(jiān)控的產(chǎn)品(資料性)平交道口示例E.1概述這里選擇了一個受保護的平交道口(帶有柵欄)的建模過程作為佩特里網(wǎng)可信性應用的示例。本例將確定道口交通的可用度及每年死亡人數(shù)(風險)。關注的概率參數(shù)包括：道口的危險率、汽車和火車間隔到達時間，以及汽車駕駛員到達道口的可能行為。E.2描述系統(tǒng)的主要組成和功能a)假設的道口拓撲條件見圖E.1,包括相互影響的交通流(鐵路和公路)以及控制共用部分路徑不被兩方同時使用的安全設備。這里假定該系統(tǒng)與其他系統(tǒng)無關。圖E.1平交道口及其保護系統(tǒng)示例b)系統(tǒng)主要組成包括設備(相互影響的公路和鐵路交通)及控制單元(由道口保護設備實現(xiàn))。c)公路和鐵路交通的主要功能是人員和貨物的安全運輸。兩種運輸工具都假設了恒定的速度，對應于公路和鐵路的最大允許速度。交通流之間唯一可能的交互就是汽車駕駛員識別到火車。這種情況下，公路車輛將會停止?；疖囻{駛員識別到汽車并不會改變火車的速度。d)保護設備的主要功能是，在火車臨近時通過視覺信號警告公路車輛。由于公路車輛有一定速度，不能一看到警告信號就立即在危險區(qū)域前停下。因此該保護設備必須能在特定時間(觸發(fā)時間T,即火車位于觸發(fā)和臨近區(qū)域的時間，之后即到達危險區(qū)域)內檢測到鐵路車輛，從而保證任何公路車輛安全通過危險區(qū)域。E.3基于佩特里網(wǎng)子模型建立系統(tǒng)的結構模型為了在道口案例中對交通過程進行可信性分析，需要考慮的主要模型組成見圖E.2。交通過程交通可信性控制功能控制設備可信性控制單元基于超級變遷的對應子模型見圖E.3,該圖揭示了模型主要組成之間的信息交換。交通過程火車離LC完好控制功能LC失效安全交通可信性道口關閉開LC標引序號說明：LC——平交道口模型由以下四個子模型構成。a)詳細說明交通過程的子模型：該子模型指定了汽車、火車臨近和離開道口的過程。若汽車在危險區(qū)域遇到火車，將發(fā)生事故。該模型旨在從事故概率的角度，描述不同汽車駕駛員行為導致的后果。本模型并不考慮任何安全措施。b)詳細說明交通可信性的子模型：對可能事故的發(fā)生建模，此外還考慮到事故移除的過程，即公路和鐵路被清理且再次可用的時間。c)詳細說明控制功能的子模型：對道口柵欄的行為建模。本模型不考慮導致危險狀態(tài)的失效，只d)詳細描述控制設備可信性的子模型：對控制功能的可信性建模。由于考慮了失效，應區(qū)分失效安全的狀態(tài)和危險的狀態(tài)。該子模型的行為影響控制功能的行為。E.4細化模型直到滿足要求的詳細程度E.4.1概述第三步，細化第二步的模型直到滿足需要的詳細程度，并為細化模型編制文檔(見5.2.4)。本步可E.4.2細化模型結構事故能視為交通過程中發(fā)生危險情況的后果。模型基于以下四個子模型來描述這種因果關系：a)交通過程子模型的道口(LC)交通流；b)交通可信性子模型的事故發(fā)生；c)控制功能子模型的LC操作運行；d)控制設備可信性子模型的危險影響的來源。汽車進入汽車進入DZ且無火車汽車位于DZP1汽車離開DZ汽車進入臨近區(qū)域火車進入觸發(fā)區(qū)域火車進入臨近區(qū)域火車進入DZ火車離開DZ火車位于DZ火車位于DZ之外交通過程火車位于觸發(fā)區(qū)域火車臨近汽車臨近圖E.4汽車和火車交通過程佩特里網(wǎng)模型圖E.4建立了理想情況下交通過程的模型：所有汽車駕駛員只有在無火車臨近或位于危險區(qū)域為了考慮不同類型的汽車駕駛員，引入“交通可信性”子模型。該子模型中考慮了火車臨近時還進入危險區(qū)域的駕駛員，甚至是火車已經(jīng)位于危險區(qū)域時還進入危險區(qū)域的駕駛員?？紤]這兩類駕駛員汽車進入汽車進入DZP1汽車離開DZ沒有事故3交通可信性事故移除火車臨近交通過程火車位于DZ之外火車位于DZ汽車位于DZ火車離開DZ汽車臨近圖E.5交通過程及交通可信性佩特里網(wǎng)模型汽車位于汽車位于DZP1汽車離開DZ汽車進入臨近區(qū)域沒有事故p2|火車臨近時汽車進入DZ事故發(fā)生火車通過時汽車進入DZ交通可信性火車進入觸發(fā)區(qū)域火車進入臨近區(qū)域事故移除火車位于DZ火車位于DZ之外交通過程LC關閉安全觸發(fā)消除LC觸發(fā)控制功能汽車進入DZ且無火車火車位于觸發(fā)區(qū)域火車離開DZ汽車臨近LC觸發(fā)LC開放事故p3/圖E.6帶有理想控制功能的交通過程佩特里網(wǎng)模型考慮了理想運作的控制系統(tǒng)的模型見圖E.6。模型中，一旦火車臨近，道口就會被觸發(fā)并關閉。圖汽車臨近汽車臨近且無火車火車臨近時汽車進入DZ沒有事故事故發(fā)生交通可信性事故移除火車臨近火車位于DZ交通過程LC關閉LC運行LC修復消除LC觸發(fā)LC危險消除安全觸發(fā)LC失效安全控制功能事故圖E.7平交道口示例的佩特里網(wǎng)模型E.4.3進一步說明模型結構及參數(shù)交通過程子模型分別描述了汽車、火車的運動。公路交通由六個庫所和八個變遷表示(庫所“無事型變遷。庫所代表的汽車狀態(tài)見表E.1。概率概率表E.1子模型“交通過程”中汽車交通相關庫所(見圖E.4)庫所容量“描述汽車位于DZ之外汽車離開道口系統(tǒng)。使用多個令牌來表示汽車的連續(xù)流汽車臨近汽車駕駛員臨近道口，可能會看到臨近的火車1汽車駕駛員臨近道口，只要近處無火車就準備進入危險區(qū)域汽車位于DZ1汽車位于道口的危險區(qū)域域的決定。‘庫所的“容量”指的是庫所內最大令牌數(shù)量。“Inf”表示該庫所的令牌數(shù)量(非負數(shù))沒有限制。變遷對汽車的運動建模。公路交通流通過變遷“汽車進入臨近區(qū)域”表示。該變遷的參數(shù)能通過統(tǒng)計測量某個特定的道口來評估。測量的兩輛汽車到達時間間隔的柱狀圖見圖E.8,相應的概率分布近似函數(shù)見圖E.9。時間/s圖E.8收集的平交道口公路交通流的測量值：兩輛汽車到達時間間隔時間/s圖E.9基于圖E.8的近似概率分布函數(shù)測量結果用指數(shù)分布近似，且期望值為16.2s(0.27用類似的方法評估變遷“汽車離開DZ”的參數(shù)?，F(xiàn)場測量結果見圖E.10。時間/s間隔為0.05收集的汽車在道口危險區(qū)域時間的測量值時間/s由圖E.1l可見，對應的分布并不是指數(shù)型的。由于該參數(shù)對事故發(fā)生概率有重大影響，宜采用最慢汽車的時間作為指數(shù)分布函數(shù)的均值，而不是采用占用危險區(qū)域的平均時間。因此，變遷“汽車離開DZ”的參數(shù)設置為3.96s(0.066min)?？紤]到保護設備未提供警告的情況(例如保護設備失效),模型包含了汽車臨近道口時可能的不同行為。據(jù)專家預計，這種情況下50%的駕駛員即使看到火車臨近也會進入道口的危險區(qū)域：變遷t2的引發(fā)將激活“火車臨近時汽車進入DZ”(假設LC未關閉)。t1引發(fā)的概率為45%且將標記庫所pl。只有在沒有火車位于臨近區(qū)域或危險區(qū)域時，變遷“無火車時汽車進入DZ”才激活。5%的駕駛員在火車通過道口時仍會進入危險區(qū)域(例如視力或剎車不良的情況)。這些考慮分別在立即變遷t1、t2和t3的權中體現(xiàn)。當兩個或更多的變遷同時激活時需用到權。例如汽車和火車同時位于臨近區(qū)域時(庫所所有描述公路交通動態(tài)特性的變遷的參數(shù)(包括進一步的說明)見表E.2。變遷名稱時間概念權參數(shù)時間(分鐘)描述汽車進入臨近區(qū)域指數(shù)分布描述公路交通流(見上文)瞬時—描述只在無火車時汽車才進入危險區(qū)域的情況瞬時—描述火車臨近且無警告時汽車進入危險區(qū)域的情況瞬時5描述火車通過且無警告時汽車進入危險區(qū)域的情況汽車進入DZ且無火車指數(shù)分布描述汽車在臨近區(qū)域的時間火車臨近時汽車進入DZ指數(shù)分布描述汽車在臨近區(qū)域的時間火車通過時汽車進入DZ指數(shù)分布描述汽車在臨近區(qū)域的時間汽車離開DZ指數(shù)分布0.066描述汽車在危險區(qū)域的時間所有描述鐵路交通動態(tài)特性的庫所的參數(shù)(包括進一步的說明)見表E.3。庫所名稱容量描述火車位于DZ之外1火車位于道口系統(tǒng)之外火車位于觸發(fā)區(qū)域1火車位于道口的保護設備(警告燈)被觸發(fā)且視覺警告被啟用的區(qū)域中火車臨近1火車位于汽車駕駛員能看到的臨近區(qū)域火車位于DZ1火車位于道口的危險區(qū)域鐵路交通的動態(tài)特性通過變遷來描述。鐵路交通流用變遷“火車進入觸發(fā)區(qū)域”描述，其參數(shù)基于火車時刻表來評估。本例中火車平均頻率是每小時兩班，假定兩班火車的間隔時間服從指數(shù)分布。這里進一步假設所有火車速度一致，這樣火車頭通過道口觸發(fā)及鄰近區(qū)域的時間是常數(shù)(Tc=常數(shù)=0.133min+0.166min)。在危險區(qū)域的時間取決于火車的長度。其變化根據(jù)平均時間為0.3min的指鐵路交通變遷的分布及參數(shù)意義見表E.4。變遷名稱時間概念時間(分鐘)描述火車進入觸發(fā)區(qū)域指數(shù)分布描述鐵路交通流火車進入臨近區(qū)域確定值0.133描述火車在觸發(fā)區(qū)域(觸發(fā)警告)的時間火車進入DZ確定值0.166描述火車在臨近區(qū)域(可被汽車駕駛員看見)的時間火車離開DZ指數(shù)分布描述火車在危險區(qū)域的時間公路和鐵路交通過程的相互作用通過測試弧和抑制弧表示，尤其在對汽車駕駛員進入危險區(qū)域的決策及汽車間相互作用建模時(只有在庫所p1,p2,p3中沒有汽車準備進入危險區(qū)域，立即變遷t1、t2和t3才能被激活)?！盎疖囄挥贒Z”的兩個弧表示事故的發(fā)生。這里并無時間性的假設，事故是道口危險區(qū)域內同時出現(xiàn)汽車和火車的即時邏輯結果。假設事故移除過程服從指數(shù)分布，平均持續(xù)時間為2h(120min)。事故移除期間，道口對鐵路和公路交通都不可用(用抑制弧建模)。庫所和變遷的意義及其參數(shù)見表E.5庫所名稱容量描述無事故1危險區(qū)域內沒有事故事故1危險區(qū)域內有事故1汽車駕駛員臨近道口且準備進入危險區(qū)域，甚至在火車臨近時(只要警告設備未打開)1汽車駕駛員臨近道口且準備進入危險區(qū)域，甚至在火車通過時(只要警告設備未打開)變遷名稱時間概念權時間(分鐘)描述事故發(fā)生瞬時1描述汽車和火車同時占用危險區(qū)域的邏輯結果事故移除指數(shù)分布描述事故移除過程持續(xù)時間備的主要系統(tǒng)狀態(tài)。設備的觸發(fā)(變遷“LC觸發(fā)”)用測試弧連接交通過程模型的庫所來建模，表示火車位于觸發(fā)區(qū)域。觸發(fā)的另一個原因是檢測到設備失效，用子網(wǎng)“控制設備可信性”中一個安全的失效狀態(tài)來建模(例如，用于撤銷保護設備觸發(fā)的車輪檢測器的失效以及其他檢測到的失效)。只要設備處于運行狀態(tài)，在火車已經(jīng)離開危險區(qū)域后(與庫所“火車離開DZ”連接的測試弧),設備撤銷就會發(fā)生(用指向交通過程子網(wǎng)變遷的抑制弧建模)。模型進一步地拓展，能考慮忽視警告燈的情況，建立更為真實的汽車駕駛員行為模型。表E.7和表E.8概括了“控制功能”子模型中的庫所和變遷的意義及參數(shù)。庫所名稱容量描述LC開放1LC處于被動狀態(tài)，公路警告關閉LC關閉1LC處于主動狀態(tài)，公路警告打開變遷名稱時間概念權參數(shù)描述LC觸發(fā)瞬時1描述LC保護設備的觸發(fā)激活撤銷LC觸發(fā)瞬時1描述LC保護設備的撤銷LC失效安全觸發(fā)瞬時1描述由于檢測到保護設備失效而觸發(fā)LC道口保護設備的內部可信性狀態(tài)在子網(wǎng)“控制設備可信性”中建模。包括三個相關狀態(tài)，分別表示運行、失效安全及危險狀態(tài)。指數(shù)型變遷對可能的狀態(tài)變化建模(類似于使用馬爾可夫鏈)。用圖E.3中的測試弧連接控制功能設備的子網(wǎng)，對可信性狀態(tài)對道口保護設備功能性的影響建模。特別地，若保護設備處于危險狀態(tài)(例如火車檢測設備失效或任何未檢測到的保護設備失效),對汽車駕駛員的警告就不會觸發(fā)。庫所名稱容量描述LC運行1LC處于運行狀態(tài)，LC保護設備功能性(觸發(fā)及撤銷)完全可用LC失效安全1LC處于失效安全狀態(tài)，LC保護設備處于安全狀態(tài)——汽車駕駛員的警告開啟LC危險1LC處于危險狀態(tài)，LC保護設備功能性(觸發(fā)及撤銷觸發(fā))不可用變遷名稱時間概念時間(分鐘)描述LC危險失效指數(shù)分布6×10?描述LC保護設備危險失效的發(fā)生時間LC安全失效指數(shù)分布6×10?描述LC保護設備安全失效的發(fā)生時間LC危險消除指數(shù)分布描述LC保護設備危險失效的檢測時間LC修理指數(shù)分布描述LC保護設備(在檢測失效后)的修理時間變遷“LC危險失效”的時間參數(shù)是平均危險失效時間，與道口保護設備的安全完整性等級相對應。模型中假設，安全的系統(tǒng)失效發(fā)生率比危險失效高出十倍。變遷“LC危險消除”的參數(shù)能通過分析統(tǒng)計數(shù)據(jù)得到，或考慮采用兩輛火車間的最長時延(假設例如火車駕駛員察覺到LC保護設備的危險失效),即6h(360min)。變遷“LC修理”的時間參數(shù)估計為4h(240min),表示檢測到失效后的修理時間，包括啟用維修人員及其花費在路上和修理上的時間。說都是差異重復占先。E.5分析模型得到結果定性分析的目標是研究模型的狀態(tài)空間。示例中網(wǎng)的定性可達圖狀態(tài)多達300個，由于無法將其定量分析的目標是，根據(jù)模型中變遷的參數(shù)(例如每小時火車或汽車的數(shù)量，觸發(fā)時間TAc的長短，保護設備的安全完整性等級(SIL,見EN50126)等)評估事故發(fā)生率。由于不僅有指數(shù)分布，還有確定時間變遷和因果變遷，采用蒙特卡洛仿真的方法得到分析結果。所有分析都采用了PN-ToolTimeNet4.0版[22],并采用工具π-Tool23慮了“事故移除”,只仿真了一個歷史記錄。該歷史記錄時間約25000萬年且計算時間約120天。通過E.6表示和說明分析結果合可達圖就揭示了道口保護設備的主要可信性狀態(tài)及其與事故狀態(tài)的關系。如圖E.12所示，可達圖證實了的可信性狀態(tài)(運行，危險，失效安全)順序模型，也說明了事故的發(fā)生獨立于道口保護設備的可信性狀態(tài)(任何情況下，都會出現(xiàn)汽車進入并滯留在危險區(qū)域直到火車抵達的情況)。LC失效安全LC運行佩特里網(wǎng)模型集合狀態(tài)包含的狀態(tài)數(shù)量(根據(jù)布爾條件)見表E.11。表E.11集合狀態(tài)中包含狀態(tài)的布爾條件集合狀態(tài)的名稱布爾條件集合可達圖的狀態(tài)包含的(初始)可達圖狀態(tài)的數(shù)量事故m(accident)≥1m(LC_opetating)≥1^m(accident)=0LC危險m(LC_hazard)≥1~m(accident)=0LC失效安全m(LC_fail_safe)≥1-m(accident)=0注：“”代表邏輯“與”;m(庫所)表示庫所的標識，如庫所內令牌的數(shù)量。一方面，定量分析的結果能用于評估公路交通道口的可用度。經(jīng)預測，通過縮短(火車抵達前)道口警告的觸發(fā)時間Tac或減少危險失效發(fā)生率(尤其在本例假設安全的系統(tǒng)失效的發(fā)生率比危險失效高出十倍時),將提高可用度。圖E.13的結果驗證了這些預測。道路交通平交道口的可用度/%風險(死亡率/人×年)道路交通平交道口的可用度/%風險(死亡率/人×年)危險率圖E.13定量分析結果表明不同的T時道口平均可用度是保護設備危險率的函數(shù)另一方面，定量分析的結果還可用于評估公路交通的安全性?？紤]到給定的汽車流，汽車平均乘客人數(shù)1.5及致死系數(shù)1,獲得的事故發(fā)生率可用于評估道口處的單人風險(每人每年的死亡率)。圖E.14表明了單人風險與觸發(fā)時間Tc及道口保護設備危險率的關系。危險率圖E.14定量分析結果表明不同的Tc時道口風險是保護設備危險率的函數(shù)根據(jù)圖E.13和圖E.14的結果，通過一些技術改進提升安全完整性等級(降低危險率)效果不明顯，且可能只會增加系統(tǒng)開發(fā)及生產(chǎn)的成本。將定量分析結果可視化為安全性/可用性圖，揭示了不同優(yōu)化風險(死亡率/人×年)根據(jù)圖E.15的結果，最優(yōu)觸發(fā)時間T的取值約為54s,從而降低汽車可能無法完全離開危險區(qū)域的風險。該值揭示了采用安全完整性等級1(HR=1E-5～1E—6)的可能性，使得道口的可用率為94.5%,且單人風險為每人每年1E—5次死亡(風險接受值MEMcEN來源為EN50126[211的“最小內[1]PETRI,C.A.,KommunikationmitAutomaten.SchriftendesInstitutsfürinstrumentel-leMathematik,Bonn,1962[2]IEC61508(allparts),Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems[3]GERMAN,R.,PerformanceAnalysisofCommunicationSystems—ModellingwithNon-MarkovianStochasticPetriNets,JohnChichester:Wiley,2000[4]MURATA,T.,Petrinets:Properties,AnalysisandApplication.In:ProceedingsofthelEEE,[5]