（高清版）GBT 43037-2023 可信性分析技術(shù) 佩特里網(wǎng)技術(shù)

可信性分析技術(shù)佩特里網(wǎng)技術(shù)2023-09-07發(fā)布2023-09-07實(shí)施國家市場(chǎng)監(jiān)督管理總局發(fā)布國家標(biāo)準(zhǔn)化管理委員會(huì)I Ⅲ 12規(guī)范性引用文件 l 13.1術(shù)語和定義 1 33.3縮略語 34佩特里網(wǎng)概述 44.1非時(shí)間低級(jí)佩特里網(wǎng) 44.2時(shí)間低級(jí)佩特里網(wǎng) 44.3高級(jí)佩特里網(wǎng) 54.4佩特里網(wǎng)的擴(kuò)展與建模 55佩特里網(wǎng)可信性建模與分析 65.1建模的一般步驟 65.2建模的詳細(xì)步驟 76與其他可信性模型的關(guān)系 附錄A(資料性)佩特里網(wǎng)的結(jié)構(gòu)與動(dòng)態(tài)性 附錄B(資料性)m/n冗余的可用性 附錄C(資料性)簡要示例 附錄D(資料性)典型可信性概念的建模 附錄E(資料性)平交道口示例 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件等同采用IEC62551:2012《可信性分析技術(shù)佩特里網(wǎng)技術(shù)》。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本標(biāo)準(zhǔn)由中華人民共和國工業(yè)和信息化部提出。本標(biāo)準(zhǔn)由全國電工電子產(chǎn)品可靠性和維修性標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC24)歸口。本標(biāo)準(zhǔn)起草單位：工業(yè)和信息化部電子第五研究本文件提供一種佩特里網(wǎng)基本元素表示的基礎(chǔ)方法[1,以及這一技術(shù)在可信性領(lǐng)域的應(yīng)用指南。佩特里網(wǎng)建模的固有能力使其能夠通過對(duì)局部狀態(tài)及局部事件關(guān)系建模來描述系統(tǒng)的行為。依托中獲得廣泛的認(rèn)可。傳統(tǒng)方法(如故障樹和可靠性框圖)無法處理多態(tài)系統(tǒng)，也無法對(duì)動(dòng)態(tài)系統(tǒng)的行為建模，還會(huì)遇到狀態(tài)組合爆炸問題(如馬爾可夫過程)。在處理實(shí)際的工業(yè)系統(tǒng)問題時(shí)頗受限制，因此，需要其他的建模和發(fā)生時(shí)系統(tǒng)如何從一種狀態(tài)演化為另一種狀態(tài)建模。佩特里網(wǎng)具有圖形化的表示方式，能有效支持可靠性工程師的建模，是一種非常有前途的可信性建模和計(jì)算技術(shù)。分析計(jì)算通常只適用于小型系統(tǒng)，且/或需要強(qiáng)有力的前提假設(shè)(如指數(shù)規(guī)律、小概率)。當(dāng)處理工業(yè)級(jí)系統(tǒng)時(shí)，就可能需要方法上質(zhì)的突破，如從分析計(jì)算改為蒙特卡洛仿真。本文件旨在從可信性角度，定義統(tǒng)一的佩特里網(wǎng)基本原則，將目前佩特里網(wǎng)建模和分析使用方法，作為系統(tǒng)可信性及風(fēng)險(xiǎn)相關(guān)量度的定性和定量評(píng)估方法。1可信性分析技術(shù)佩特里網(wǎng)技術(shù)本文件給出以可信性為目標(biāo)的佩特里網(wǎng)的基礎(chǔ)方法，支持系統(tǒng)建模、模型分析并提供分析結(jié)果。本方法面向可信性相關(guān)的所有特性的量度，如可靠性、可用性、生產(chǎn)可用性、維修性和安全性(如安全完整性等級(jí)(SIL)[2]相關(guān)量度)。本文件處理下列佩特里網(wǎng)相關(guān)問題：a)定義基本術(shù)語及符號(hào)，描述其使用和圖形化表示方法；b)概述術(shù)語及其與可信性的關(guān)系；1)采用佩特里網(wǎng)建立可信性模型；2)采用基于佩特里網(wǎng)的技術(shù)進(jìn)行定性和定量可信性分析；3)分析結(jié)果的解釋說明。d)概述佩特里網(wǎng)與其他建模技術(shù)的關(guān)系；e)提供實(shí)踐案例。本文件沒有給出解決分析佩特里網(wǎng)時(shí)出現(xiàn)的數(shù)學(xué)問題方面的指引，相關(guān)指南能參考文獻(xiàn)[3]和[4]。本文件適用于所有需要定性與定量可信性分析的行業(yè)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于IEC60050-192國際電工詞匯(IEV)第192部分：可信性(InternationalElectrotechnicalVocab-ulary(IEV)—Part192:Dependability)IEC60050-192界定的以及下列術(shù)語和定義適用于本文件。保持其特定功能的前提下，構(gòu)成設(shè)備的物理上不能繼續(xù)分解的最小組成單元。某時(shí)刻發(fā)生的事情。2在特定背景下作為一個(gè)整體且分離于環(huán)境的、互相聯(lián)系的元素集合。注1:通常從實(shí)現(xiàn)目標(biāo)的角度來定義系統(tǒng)，例如執(zhí)行某個(gè)確定的功能。注2:系統(tǒng)的元素可是自然的或人工材質(zhì)的物體，也可是思維模式及其結(jié)果(如組織形式、數(shù)學(xué)方法和程序語言)。注3:通常認(rèn)為有一個(gè)虛構(gòu)的截面，切斷了系統(tǒng)與環(huán)境和其他外界系統(tǒng)的聯(lián)系，將系統(tǒng)從中分離出來。安全完整性等級(jí)safetyintegritylevel;SIL對(duì)應(yīng)于一系列安全完整性值的離散等級(jí)(4個(gè)可能等級(jí)中的1個(gè))。其中，等級(jí)4的安全完整性最高，等級(jí)1的安全完整性最低。注：IEC61508-1;2010[9]表2和表3中規(guī)定了4個(gè)安全完整性等級(jí)的目標(biāo)失效量度(見IEC61508-4:2010,3-5-17)[8]。具有兩種類型節(jié)點(diǎn)(庫所和變遷)及有向弧的雙向圖，用于建立局部狀態(tài)和局部事件的模型。注：佩特里網(wǎng)通常用于對(duì)分布式系統(tǒng)的行為建模。注1:一般來說，佩特里網(wǎng)的弧是有向的，只能連接兩個(gè)不同類型的節(jié)點(diǎn)。注2:除有向弧之外，還有其他的表示方式。庫所place佩特里網(wǎng)中對(duì)局部狀態(tài)或條件建模的節(jié)點(diǎn)類型。佩特里網(wǎng)中對(duì)局部事件建模的節(jié)點(diǎn)類型，即狀態(tài)改變。變遷類型transitiontype對(duì)屬于一個(gè)給定類別的一組事件中的特定事件建模的變遷類型。超級(jí)節(jié)點(diǎn)supernode佩特里網(wǎng)中隱藏子網(wǎng)，尤其是用于層級(jí)模型的節(jié)點(diǎn)類型。在佩特里網(wǎng)中用于隱藏兩個(gè)超級(jí)節(jié)點(diǎn)間多種連接的弧類型。注：隱藏兩個(gè)子網(wǎng)的兩個(gè)超級(jí)節(jié)點(diǎn)可能有多種弧的連接?？蛇_(dá)圖reachabilitygraph;RG表示系統(tǒng)行為的狀態(tài)變遷圖。3注：可達(dá)圖可在帶有初始標(biāo)識(shí)的佩特里網(wǎng)的基礎(chǔ)上生成。標(biāo)識(shí)marking用佩特里網(wǎng)建模的系統(tǒng)中狀態(tài)的圖形化表示。佩特里網(wǎng)的圖形化表示應(yīng)使用統(tǒng)一的符號(hào)、標(biāo)識(shí)符和標(biāo)簽。常用的圖形化表示見表1、表2和表3。表1中常規(guī)弧的標(biāo)簽“n”為整數(shù)值。表1非時(shí)間佩特里網(wǎng)的符號(hào)標(biāo)識(shí)符標(biāo)識(shí)符標(biāo)識(shí)符(權(quán))n(常規(guī))弧庫所符號(hào)，也用于多重庫所變遷符號(hào)符號(hào)關(guān)系符號(hào)——常規(guī)弧關(guān)系符號(hào)測(cè)試弧關(guān)系符號(hào)抑制弧令牌符號(hào)有多種測(cè)試弧和抑制弧的圖形化方式。令牌符號(hào)用于表征信息流，并不是佩特里網(wǎng)靜態(tài)結(jié)構(gòu)的符號(hào)。表2時(shí)間佩特里網(wǎng)的附加符號(hào)變遷類型確定的隨機(jī)的延時(shí)為0延時(shí)為d指數(shù)分布或幾何分布任意分布參數(shù)dak任意分布符號(hào)注：在確定變遷情況下常用狄拉克分布。此外，時(shí)間變遷的參數(shù)可獨(dú)立于狀態(tài)或時(shí)間。表3層級(jí)建模的符號(hào)標(biāo)識(shí)符標(biāo)識(shí)符標(biāo)識(shí)符超級(jí)庫所符號(hào)超級(jí)變遷符號(hào)超級(jí)節(jié)點(diǎn)符號(hào)超級(jí)弧符號(hào)注：“超級(jí)弧”的符號(hào)沒有方向，因?yàn)樗纱砹瞬煌较虻亩鄠€(gè)弧。下列縮略語適用于本文件。CDF:累積分布函數(shù)(Cumulativedistributionfunction)4DZ:危險(xiǎn)區(qū)(Dangerzone)ETA:事件樹分析(Eventtreeanalysis)FME(C)A:失效模式、影響(和危害性)分析[Failure,mode,effects(andcriticality)analysis]FTA:故障樹分析(Faulttreeanalysis)HR:危險(xiǎn)率(Hazardrate)LC:道口(Levelcrossing)MTBF:平均失效間隔時(shí)間(Meantimebetweenfailures)MTTF:平均失效前時(shí)間(Meantimetofailure)PN:佩特里網(wǎng)(Petrinet)RBD:可靠性框圖(Reliabilityblockdiagram)RG:可達(dá)圖(Reachabilitygraph)SIL:安全完整性等級(jí)(Safetyintegritylevel)ir:沖量回報(bào)(Impulsereward)rr:率回報(bào)(Ratereward)4佩特里網(wǎng)概述4.1非時(shí)間低級(jí)佩特里網(wǎng)佩特里網(wǎng)(PNs)是區(qū)分了主動(dòng)節(jié)點(diǎn)和被動(dòng)節(jié)點(diǎn)的圖。被動(dòng)元素稱為庫所，用于對(duì)局部狀態(tài)或條件建模，當(dāng)局部狀態(tài)得到滿足時(shí)，庫所將標(biāo)記上令牌。主動(dòng)元素稱為變遷，用于對(duì)一個(gè)狀態(tài)到另一個(gè)狀態(tài)的變化(例如可能發(fā)生的潛在事件)建模。庫所和變遷可稱節(jié)點(diǎn)。庫所和變遷表示的現(xiàn)象之間的因果關(guān)系，通過不同類型的有向弧連接來描述(見表1中佩特里網(wǎng)的基本符號(hào)和附錄A中A.1對(duì)佩特里網(wǎng)的介紹)。抑制弧只能連接前集庫所及其后集變遷(見A.1.2)。對(duì)于一個(gè)變遷，當(dāng)所有通過常規(guī)弧或測(cè)試弧與其連接的前集庫所都標(biāo)記了足夠數(shù)量的令牌，且所有通過抑制弧連接的前集都無標(biāo)識(shí)時(shí)，該變遷被使能。足夠使變遷使能的令牌數(shù)量將注釋在弧上。一般來說，該注釋能取決于標(biāo)識(shí)。這些概念的一般應(yīng)用概要見4.4。變遷被啟用后可引發(fā)，即改變模型的標(biāo)識(shí)。變遷引發(fā)只改變通過常規(guī)弧連接的庫所的標(biāo)識(shí)：從變遷對(duì)應(yīng)的前集庫吸收令牌，并在后集生成令牌。吸收與生成的令牌數(shù)量由弧的標(biāo)簽指定。如果弧標(biāo)簽沒從初始標(biāo)識(shí)開始，通過任意的變遷引發(fā)的序列可達(dá)的所有全局標(biāo)識(shí)，都包含在佩特里網(wǎng)的可達(dá)圖中。可達(dá)圖的每個(gè)節(jié)點(diǎn)表示一個(gè)全局標(biāo)識(shí)，每個(gè)弧表示一個(gè)變遷的引發(fā)，即一個(gè)全局標(biāo)識(shí)轉(zhuǎn)換到另一個(gè)。佩特里網(wǎng)也具有非圖形化的表示方式，即關(guān)聯(lián)矩陣。假設(shè)T是變遷集合陣的維數(shù)為|P|×|T|。對(duì)于每一個(gè)變遷，矩陣相應(yīng)的列指定了引發(fā)后全局標(biāo)識(shí)的改變。在時(shí)間佩特里網(wǎng)中，時(shí)間與非時(shí)間的變遷都可能用到。時(shí)間變遷只有在指定的持續(xù)時(shí)間內(nèi)使能，才能引發(fā)。該持續(xù)時(shí)間取決于變遷分布函數(shù)(累積分布函數(shù)，CDF),可能是確定的或隨機(jī)的。如果兩個(gè)以引發(fā)時(shí)間分布，執(zhí)行策略和存儲(chǔ)策略的選擇也應(yīng)說明[3]。當(dāng)持續(xù)時(shí)間過去，變遷即可引發(fā)。時(shí)間佩特里網(wǎng)的常用變遷見表2。對(duì)應(yīng)于指定的時(shí)間變遷類型，時(shí)間參數(shù)可能是固定引發(fā)持續(xù)時(shí)間(引發(fā)時(shí)間確定的變遷)、常引發(fā)率5(引發(fā)時(shí)間指數(shù)或幾何分布的變遷)或帶參數(shù)的概率分布(引發(fā)時(shí)間任意分布的變遷)。注意，非時(shí)間變遷是延遲為零的特殊的固定引發(fā)持續(xù)時(shí)間變遷。在非時(shí)間情況下，時(shí)間佩特里網(wǎng)的可達(dá)圖包含表示全局標(biāo)識(shí)的節(jié)點(diǎn)以及表示變遷引發(fā)的箭頭。除非時(shí)間可達(dá)圖的元素外，時(shí)間佩特里網(wǎng)的可達(dá)圖還應(yīng)考慮變遷的具體參數(shù)。4.3高級(jí)佩特里網(wǎng)在高級(jí)佩特里網(wǎng)中，標(biāo)識(shí)不再是匿名的黑色令牌，取而代之的是獨(dú)特且可辨別的元組。元組不僅對(duì)條件的滿足或狀態(tài)的存在建模，自身也含有特殊信息。這樣一來，弧的標(biāo)簽可表達(dá)為已有信息的函數(shù)。這種建模方式能得到緊湊且直觀的模型，甚至適用于復(fù)雜系統(tǒng)。本文件介紹的方法不涉及高級(jí)佩特里4.4佩特里網(wǎng)的擴(kuò)展與建模4.4.1佩特里網(wǎng)元素的進(jìn)一步表示除表1介紹的符號(hào)之外，～給出的加權(quán)抑制弧、多重庫所和全局變量的符號(hào)和概念也是佩特里網(wǎng)常用的元素。加權(quán)抑制弧與常規(guī)弧相比較，抑制弧能賦以權(quán)值，見圖1。只有當(dāng)圖1中庫所p上令牌數(shù)少于n,變遷t才使能。注意，若庫所p剛好有n個(gè)令牌，變遷t仍不使能。為了提高復(fù)雜網(wǎng)絡(luò)的可讀性，尤其對(duì)于工業(yè)規(guī)模的系統(tǒng)模型，通常會(huì)用到許多附加概念。圖2多重庫所p圖3變遷t引發(fā)后p上的標(biāo)識(shí)6全局變量的用法與多重庫所相似，變遷是否使能取決于全局變量的取值或判斷。除此之外，變遷的引發(fā)可能會(huì)通過聲明和判斷來改變?nèi)肿兞康闹?。圖4t的使能取決于V的值圖4的佩特里網(wǎng)中，變遷t只有在全局變量V為真時(shí)才使能(?是“讀取”運(yùn)算符，即?V作為守衛(wèi)，讀取全局變量V的值)。t引發(fā)后會(huì)標(biāo)記庫所q并消除庫所p的標(biāo)識(shí)，同時(shí)將V設(shè)置為假(!是“寫入”工業(yè)規(guī)模的佩特里網(wǎng)通常被模塊化為多個(gè)彼此聯(lián)系的子佩特里網(wǎng)[l,12]。在可信性背景下，像失效、修理這樣的局部事件能用變遷來建模，而像故障等局部狀態(tài)可用庫所來建模。因此，每個(gè)節(jié)點(diǎn)的名稱能表示相應(yīng)的可信性特征，需要時(shí)還可代表相關(guān)的設(shè)備。用這種方式理解表4給出了一般系統(tǒng)、佩特里網(wǎng)和可信性的對(duì)應(yīng)概念。這里并不包括失效或故障狀態(tài)的所有可能方面系統(tǒng)佩特里網(wǎng)可信性動(dòng)態(tài)事件變遷失效修理靜態(tài)局部狀態(tài)庫所故障運(yùn)行注：失效和修理只是可信性相關(guān)事件的兩個(gè)例子；故障和運(yùn)行只是可信性相關(guān)狀態(tài)的兩個(gè)例子，更多例子還有首次失效、降級(jí)失效和狀態(tài)。這些概念可用作計(jì)算基礎(chǔ)，如平均生產(chǎn)可用度。5佩特里網(wǎng)可信性建模與分析系統(tǒng)分析通常需要足夠詳細(xì)的系統(tǒng)模型，而模型的詳細(xì)程度取決于要執(zhí)行的分析。系統(tǒng)通常極其復(fù)雜，無法一步建成一個(gè)整體的詳細(xì)模型。因此，從粗略的文本描述直到詳細(xì)的形式化模型，建模應(yīng)迭代進(jìn)行?；谀Ｐ偷玫降姆治鼋Y(jié)果，應(yīng)以用戶友好的方式表示出來，并根據(jù)分析任務(wù)進(jìn)行解釋說明(見圖5)。7分析任務(wù)分析任務(wù)影響分析方法合適手法表示方法分析結(jié)果建模方法系統(tǒng)參數(shù)系統(tǒng)模型影響影響表示建模分析圖6描述了佩特里網(wǎng)可信性建模和分析的主要步驟。分析人員應(yīng)注意，雖然過程看上去簡單易行，步驟1:步驟2:步驟3:步驟4:步驟5:分析模型獲得感表示和說明步驟4的組成和功能滿足要求的詳細(xì)程度興趣的結(jié)果分析結(jié)果文檔編制步驟1～步驟5圖6可信性佩特里網(wǎng)建模和分析流程步驟1:用傳統(tǒng)方法描述系統(tǒng)的主要組成，例如，使用文字配以圖片和表格等(見5.2.2)。步驟2:基于佩特里網(wǎng)子模型及其關(guān)系，建立系統(tǒng)的結(jié)構(gòu)模型，并編制模型文檔(見5.2.3)。系統(tǒng)通常包含兩個(gè)主要的子系統(tǒng)：b)控制單元，如用來控制設(shè)備的子系統(tǒng)。步驟3:細(xì)化步驟2得到的模型，直到滿足要求的詳細(xì)程度，并編制細(xì)化模型的文檔(見5.2.4)。應(yīng)提供步驟2的系統(tǒng)佩特里網(wǎng)注釋，包括子系統(tǒng)。當(dāng)模型包含了分析必需的所有信息時(shí)，系統(tǒng)即達(dá)到要求的詳細(xì)程度。步驟4:分析模型獲得感興趣的結(jié)果，并編制分析文檔(見5.2.5)。步驟5:表示和說明分析結(jié)果，并編制文檔(見5.2.6)。若分析結(jié)果不充分或不符合要求，應(yīng)進(jìn)一步補(bǔ)充(子)模型(回到步驟2)或細(xì)化已有(子)模型(回到步驟3)。每個(gè)步驟及其結(jié)果都需要持續(xù)編制文檔。佩特里網(wǎng)可信性建模與分析的應(yīng)用示例見附錄E。5.2建模的詳細(xì)步驟本條更詳細(xì)地描述了建模步驟，每個(gè)步驟的工作都應(yīng)編制文檔。85.2.2描述系統(tǒng)的主要組成和功能(步驟1)建模和分析應(yīng)識(shí)別和描述以下系統(tǒng)概念：b)主要組成部分(如設(shè)備和控制單元);5.2.3基于佩特里網(wǎng)子模型及其關(guān)系建立系統(tǒng)結(jié)構(gòu)模型(步驟2)這些子系統(tǒng)還能從功能和可信性的角度來解釋。例如因設(shè)備的控制單元不能總是恰當(dāng)?shù)剡\(yùn)行，那么就必須考慮控制單元的可信性——系統(tǒng)的可信性取決于控制單元的可信性。由于建模需要依據(jù)系統(tǒng)的復(fù)雜度及分析任務(wù)，整個(gè)模型通常由以下4種子模型的子集組成(也存在不必建立設(shè)備可信性模型也能得到充分結(jié)果的情況):a)設(shè)備的功能；b)設(shè)備的可信性；c)控制單元的功能；d)控制單元的可信性。在a)中，運(yùn)行的子系統(tǒng)必須是受控的，也就是說，應(yīng)建立設(shè)備的模型。如果不受控，該動(dòng)態(tài)子系統(tǒng)將根據(jù)佩特里網(wǎng)的可達(dá)圖，在龐大的狀態(tài)空間中建立大量的進(jìn)程?？蛇_(dá)圖中的一些狀態(tài)表示危險(xiǎn)并導(dǎo)在b)中，應(yīng)建立設(shè)備可信性模型。該子模型中，涉及設(shè)備運(yùn)行狀況的不確定因素都應(yīng)加以考慮(例如人的行為和環(huán)境影響)。在c)中，應(yīng)指定用于控制設(shè)備以約束其運(yùn)行過程的子系統(tǒng)。該子模型假定控制任務(wù)執(zhí)行完好，并不考慮控制單元失效的可能性。這樣一來，模型a)與b)結(jié)合得到的可達(dá)圖，無任何不希望有的狀態(tài)(例如危險(xiǎn)狀態(tài)或事故狀態(tài))。在d)中，考慮可信性，建立控制單元的物理實(shí)現(xiàn)的子模型。該模型取決于技術(shù)實(shí)現(xiàn)或者人為操作和環(huán)境影響。通過與子模型c)的聯(lián)系，可能出現(xiàn)的失效和控制的不恰當(dāng)行為都予以考慮。當(dāng)這些失效和不恰當(dāng)行為影響c)中控制功能的模型時(shí)，總體模型[a]至d]子模型聯(lián)合組成的模型]中的設(shè)備、控制單元及控制單元的可信性都被考慮到了。這樣一來，相應(yīng)的可達(dá)圖就涵蓋了危險(xiǎn)和事故狀態(tài)及相應(yīng)的對(duì)于不同的功能層級(jí)及其可信性方面，得到的正交基礎(chǔ)結(jié)構(gòu)見圖7。9依照前述條款為每個(gè)子系統(tǒng)建立單獨(dú)的佩特里網(wǎng)模型，那么很容易就能建立起整個(gè)系統(tǒng)的完整模型。各單獨(dú)的佩特里網(wǎng)模型，通過測(cè)試弧和抑制弧連接起來。這里可采用模塊化方法，這樣任何子系統(tǒng)都能獨(dú)立地修改或改變，并不受相鄰模型的本步驟的文檔編制，應(yīng)識(shí)別出系統(tǒng)的主要子模型及其關(guān)系。每一子模型的邊界、主要組成部分、功能及用途都應(yīng)采用傳統(tǒng)的描述方法編制文檔，例如使用文字并配上圖片和表格等。如果系統(tǒng)沒有必要分解為子系統(tǒng)(如十分簡單的系統(tǒng))或是難以分解，模型設(shè)計(jì)者應(yīng)明確說明原因。5.2.4細(xì)化模型到滿足要求的詳細(xì)程度(步驟3)本步驟中，對(duì)步驟2已經(jīng)建立的模型進(jìn)行改進(jìn)完善，并編制文檔。本步驟是重復(fù)迭代的過程，需要步驟2建立的佩特里網(wǎng)模型也應(yīng)細(xì)化，包括每個(gè)考慮的子系統(tǒng)。這種改進(jìn)應(yīng)持續(xù)細(xì)化過程到模型達(dá)到預(yù)期的詳細(xì)程度要求，即包含了步驟4分析所需的全部信息：a)每個(gè)節(jié)點(diǎn)都應(yīng)標(biāo)有唯一的標(biāo)識(shí)符。如果使用時(shí)間佩特里網(wǎng)，時(shí)間概念也應(yīng)用符號(hào)闡明。推薦使用3.2中定義的符號(hào)。b)應(yīng)明確時(shí)間概念的進(jìn)一步細(xì)節(jié)，即指定參數(shù)(例如，因果變遷的權(quán)、固定持續(xù)時(shí)間、確定變遷、CDF對(duì)應(yīng)的隨機(jī)變遷參數(shù)等),還有任何變遷的守衛(wèi)、變遷的存儲(chǔ)策略(變遷的使能時(shí)間是累積，或者變遷無存儲(chǔ)，即占先策略[3])以及庫所容量等。如果可讀性不受影響，這些信息能直接添加在佩特里網(wǎng)中。否則，應(yīng)選擇表格或矩陣來表示。本步驟的文檔編制應(yīng)根據(jù)模型細(xì)化過程逐步細(xì)化完成。本步驟的文檔編制應(yīng)包含：c)子系統(tǒng)乃至整個(gè)模型的佩特里網(wǎng)表示。d)每個(gè)子系統(tǒng)的文本描述(至少在建模的最低層級(jí))。e)可靠性參數(shù)(如失效和恢復(fù)、假設(shè)或統(tǒng)計(jì)數(shù)據(jù))和系統(tǒng)結(jié)構(gòu)的依據(jù)。5.2.5分析模型得到結(jié)果(步驟4)選擇何種模型分析方法取決于想要的結(jié)果。此外，佩特里網(wǎng)模型的基礎(chǔ)及信息的有效性也限制了適用的分析方法(見圖8)?；旧?，有兩種可選方法：a)定性分析解決有關(guān)可能性的問題，例如達(dá)到某個(gè)(全局)狀態(tài)的可能性，或不斷反復(fù)引發(fā)某個(gè)變遷序列的可能性。定性分析主要基于非時(shí)間可達(dá)圖。如果從一個(gè)初始標(biāo)識(shí)開始，可達(dá)標(biāo)識(shí)的數(shù)量有限，至少理論上就能得到非時(shí)間可達(dá)圖。特殊情況下，非時(shí)間可達(dá)圖中也可能衍生時(shí)間的動(dòng)態(tài)特性([14])。當(dāng)可達(dá)標(biāo)識(shí)的數(shù)量過大甚至是無窮時(shí)，需要選擇其他方法，如結(jié)構(gòu)分析法。即不變量、死鎖和陷阱至少得到模型化系統(tǒng)的高質(zhì)量度量結(jié)果。([11]和[14])。b)定量分析解決有關(guān)定性結(jié)果的概率問題(例如，達(dá)到一個(gè)特定狀態(tài)的概率，或引發(fā)一個(gè)特定變遷的概率),及可靠性或可信性的量度問題(例如，失效概率、失效率、平均失效時(shí)間或平均失效間隔)。這些概念可作為計(jì)算基礎(chǔ)，例如計(jì)算平均生產(chǎn)可用度。定量分析主要基于時(shí)間可達(dá)圖或隨機(jī)可達(dá)圖。與非時(shí)間可達(dá)圖相似，如果可達(dá)標(biāo)識(shí)的數(shù)量并非過于龐大，時(shí)間可達(dá)圖都是可分析的。根據(jù)佩特里網(wǎng)中變遷的不同，有兩種可選的方法：1)如果在定義的時(shí)間段內(nèi)，時(shí)間佩特里網(wǎng)所有變遷的引發(fā)持續(xù)時(shí)間都服從指數(shù)分布(即定義的時(shí)間段內(nèi)引發(fā)率是常數(shù)),那么時(shí)間可達(dá)圖可轉(zhuǎn)化為馬爾可夫鏈再進(jìn)行穩(wěn)態(tài)或瞬態(tài)2)否則，應(yīng)使用蒙特卡洛仿真的方法進(jìn)行穩(wěn)態(tài)或瞬態(tài)分析。如果可達(dá)標(biāo)識(shí)的數(shù)量過于龐大，將使用蒙特卡洛的方法進(jìn)行瞬態(tài)分析。軟硬件的性能決定了可處理的狀態(tài)數(shù)量。如今，含有10?個(gè)狀態(tài)的系統(tǒng)都是可處理的。而帶有數(shù)百萬個(gè)狀態(tài)的系統(tǒng)通常稱為“小定性定量RG可分析RG可分析RG規(guī)模過大可達(dá)性分析全指數(shù)分布任意分布蒙特卡洛蒙特卡洛裝特卡洛穩(wěn)態(tài)分析穩(wěn)態(tài)分析圖8佩特里網(wǎng)模型的分析方法本步驟的文檔編制應(yīng)包括以下內(nèi)容：c)列出計(jì)算結(jié)果所選擇的方法；d)列出用于計(jì)算的工具、計(jì)算設(shè)備、數(shù)據(jù)條件和缺省設(shè)5.2.6表示和說明分析結(jié)果(步驟5)本步驟得到的輸出應(yīng)滿足以下要求：a)應(yīng)用適當(dāng)?shù)姆绞奖硎究蛇_(dá)圖。一般來說，若將每個(gè)態(tài)整合的概念非常有必要。b)充分表述不同參數(shù)值或不同系統(tǒng)結(jié)構(gòu)的影響。例如，可將系統(tǒng)可用性作為其安全性功能，用圖表的方式展現(xiàn)不同的維修性和可靠性參數(shù)，或是不同系統(tǒng)結(jié)構(gòu)(如冗余方案，見附錄B中對(duì)m/n冗余的可用性介紹)對(duì)可用性及安全性的影響。應(yīng)以文本的方式清楚而具體地解釋分析結(jié)果。此外，分析結(jié)果應(yīng)指出備選的實(shí)現(xiàn)方案(考慮系統(tǒng)結(jié)構(gòu)或子模型的實(shí)現(xiàn))。表5強(qiáng)制及推薦的文件材料編號(hào)步驟表示方法和手段強(qiáng)制強(qiáng)烈推薦推薦1基本文檔材料：系統(tǒng)、功能、模塊、邊界的基本描述；分析的目標(biāo)和范圍；采用佩特里網(wǎng)技術(shù)的理由文本和圖片文本文本2四個(gè)子模型的文檔編制(見5.2.3)文本和圖片高級(jí)佩特里網(wǎng)3詳細(xì)文檔編制：系統(tǒng)細(xì)化模型(抽象層級(jí));失效率、恢復(fù)率數(shù)據(jù)的來源(假設(shè)數(shù)據(jù)或統(tǒng)計(jì)數(shù)據(jù))文本和圖片文本表格b)表格4分析方法：分析方法的描述；計(jì)算機(jī)及使用工具的描述文本文本a)表格b)表格5結(jié)果：數(shù)值和圖形的形式；結(jié)果的說明文本和圖片文本a)表格6與其他可信性模型的關(guān)系或基本狀態(tài)如何導(dǎo)致某個(gè)全局狀態(tài)。這些分析通過FTA、ETA、RBD或者FMEA得到。而可達(dá)圖則佩特里網(wǎng)的建模能力比FTA,ETA以及RBD更強(qiáng)大。因此FTA、ETA、RBD模型都能轉(zhuǎn)換為佩指數(shù)分布，因此一般隨機(jī)佩特里網(wǎng)具有更高的建模能力。通過FMEA或者FME(C)A得到的信息，可用于建立系統(tǒng)的佩特里網(wǎng)模型。盡管FME(C)A可提供包含特定程序和方式的形式化過程，但FME(C)A在數(shù)學(xué)意義上并不是形式化的。另外，由于FMEA或FME(C)A只能分析單個(gè)失效，因此無法A是佩特里網(wǎng)的有效補(bǔ)充。(資料性)佩特里網(wǎng)的結(jié)構(gòu)與動(dòng)態(tài)性A.1一般佩特里網(wǎng)概念及其與可靠性的關(guān)系A(chǔ).1.1概述通過區(qū)分主動(dòng)節(jié)點(diǎn)與被動(dòng)節(jié)點(diǎn)(見表1),能總體描述佩特里網(wǎng)及其可信性解釋。被動(dòng)元素稱為“庫輯規(guī)則),基于引發(fā)規(guī)則改變基本狀態(tài)。佩特里網(wǎng)是有向圖，每個(gè)弧都與兩個(gè)不同類型的節(jié)點(diǎn)相連。也就是說，任意兩個(gè)先后狀態(tài)(如故障狀態(tài)和運(yùn)行狀態(tài))之間，必定會(huì)由一個(gè)事件相連(如修理)。此外，任意兩個(gè)先后事件(如失效和修理)之在修理中”的縮寫)。狀態(tài)及事件間的關(guān)系通過有向弧表示。節(jié)點(diǎn)n的“前集”是指通過有向弧指向n的全部節(jié)點(diǎn)n?的集合。節(jié)點(diǎn)n的“后集”是指從n出發(fā)通過有向弧指向的全部節(jié)點(diǎn)n?的集合。“前集”對(duì)于可能出現(xiàn)的全部狀態(tài)，以及基于條件(如狀態(tài)集)可能出現(xiàn)的全部因果關(guān)系，佩特里網(wǎng)都應(yīng)建立模型。附錄C提供了表示可用性、維修性等不同特性的佩特里網(wǎng)結(jié)構(gòu)簡要示例。A.1.3低級(jí)佩特里網(wǎng)的因果動(dòng)態(tài)性A.1.3.1概述佩特里網(wǎng)中系統(tǒng)的動(dòng)態(tài)性可通過觀察狀態(tài)和反映狀態(tài)關(guān)系的系統(tǒng)狀態(tài)轉(zhuǎn)移得到佐證。A.1.3.2標(biāo)識(shí)令牌(黑色圓點(diǎn))標(biāo)記在庫所上，表示局部狀態(tài)實(shí)際出現(xiàn)或“局部標(biāo)識(shí)”。所有局部標(biāo)識(shí)的集合稱為A.1.3.3令牌流和引發(fā)規(guī)則如果全部的前集庫所都標(biāo)識(shí)了適當(dāng)數(shù)量的令牌，變遷被使能(可引發(fā))。引發(fā)的變遷會(huì)消除前集庫所的令牌(對(duì)應(yīng)于連接其前集庫所的弧的種類和權(quán)),并在后集庫所中生成令牌(見圖A.2和圖A.3)。實(shí)際上，令牌的吸收(或銷毀)和生成，像“流”一樣對(duì)網(wǎng)的行為建模。通常，局部事件的發(fā)生只改變與其直接相連的局部狀態(tài)。能這么理解：若事件發(fā)生(例如發(fā)生失效),系統(tǒng)的狀態(tài)被改變(例如從“運(yùn)行”到超限應(yīng)力部件：失效超限應(yīng)力超限應(yīng)力失效A.1.3.4測(cè)試弧所是否被標(biāo)記。測(cè)試弧用雙箭頭表示(見圖A.4和圖A.5中連接“維修人員”和“修理”的箭頭)。這里避免了在冬季進(jìn)行修理(無維修人員)。注意本例已被高度簡化，主要用于展示測(cè)試弧的用法。有維修人員無維修人員春季開始冬季開始有維修人員無維修人員春季開始中該檢查通過，變遷被使能，且引發(fā)后的標(biāo)識(shí)結(jié)果見圖A.5。通過抑制弧與前集庫所連接的變遷，只有在這些庫所的令牌數(shù)嚴(yán)格低于對(duì)應(yīng)抑制弧的權(quán)時(shí)，才被使能。也就是說，當(dāng)權(quán)等于一時(shí)，只有在庫所內(nèi)沒有任何令牌時(shí)才會(huì)被使能。抑制弧用一個(gè)小圓圈代替箭頭。這類變遷的引發(fā)并不會(huì)改變對(duì)應(yīng)前集庫所的標(biāo)識(shí)。使能。圖A.7中的變遷被使能且引發(fā)后的標(biāo)識(shí)見圖A.8。應(yīng)注意的是，圖A.8中的變遷能無限地引發(fā)下去，這種情況能用另一個(gè)抑制弧連接后集庫所及變遷來避免。與普通弧一樣，抑制弧能加權(quán)(見圖4.4)。A.1.3中能找到抑制弧應(yīng)用的例子。圖A.6變遷未被使能圖A.8引發(fā)后的標(biāo)識(shí)A.1.4可達(dá)圖佩特里網(wǎng)的可達(dá)圖(RG)表示從給定的“初始標(biāo)識(shí)”開始，通過變遷引發(fā)能達(dá)到的所有全局標(biāo)識(shí)。因此，可達(dá)圖通過描述狀態(tài)空間表示了系統(tǒng)可能的行為。圖A.9中佩特里網(wǎng)的可達(dá)狀態(tài)空間包括四個(gè)全局狀態(tài)(見圖A.10)。為展示可達(dá)圖的含義，本例做運(yùn)行結(jié)束修理無維修人員有維修人員開始系統(tǒng)喪失修理圖A.9帶初始標(biāo)識(shí)的佩特里網(wǎng)修人員開始修理維修，無維修人員有維修人員運(yùn)行，有維修人員失效事故圖A.10對(duì)應(yīng)的可達(dá)圖每個(gè)全局變量都用圓或橢圓表示，并用實(shí)際的網(wǎng)的標(biāo)識(shí)明確地標(biāo)記。通過弧上的注釋，可達(dá)圖說明了一個(gè)全局狀態(tài)是如何變化為另一個(gè)狀態(tài)的。對(duì)于更復(fù)雜的佩特里網(wǎng)，可達(dá)圖全局狀態(tài)的數(shù)量可能隨著部件數(shù)量的增加而迅速增加?？蛇_(dá)圖能通過計(jì)算機(jī)工具自動(dòng)建立。方面系統(tǒng)佩特里網(wǎng)可達(dá)圖可信性動(dòng)態(tài)事件變遷弧例如：失效事件或錯(cuò)誤處理事件靜態(tài)局部狀態(tài)庫所局部狀態(tài)全局狀態(tài)標(biāo)識(shí)=標(biāo)記庫所集節(jié)點(diǎn)全局狀態(tài)(如維修、危險(xiǎn))整合全局狀態(tài)標(biāo)識(shí)集節(jié)點(diǎn)集全局狀態(tài)集(如可用、安全)件運(yùn)行”滿足，因此變遷“部件失效”被使能。部件運(yùn)行部件修理部件故障無維修人員冬季結(jié)束運(yùn)行部件失效的標(biāo)識(shí)不會(huì)改變(見圖A.12)。部件。失效部件。失效部件運(yùn)行冬季開始有維修人員冬季結(jié)束部件無維修人員部件p故障部件修理部件修理考慮另一種狀態(tài)下網(wǎng)的行為，若高優(yōu)先級(jí)的部件失效而低優(yōu)先級(jí)的部件正在修理，那么:a)低優(yōu)先級(jí)部件的修理被暫停；b)高優(yōu)先級(jí)部件的修理開始；c)高優(yōu)先級(jí)部件修理完成之后，低優(yōu)先級(jí)部件的修理重新開始。此類“暫停”事件的建模和分析計(jì)算非常復(fù)雜，然而蒙特卡洛仿真能輕松分析此類模型。A.2時(shí)間佩特里網(wǎng)A.2.1概述從時(shí)間的角度建模對(duì)于可信性應(yīng)用也非常有用。例如通過網(wǎng)處在相應(yīng)標(biāo)識(shí)的時(shí)間表示系統(tǒng)啟動(dòng)或停止的時(shí)間。同時(shí)，狀態(tài)改變的延遲通過變遷表示?？紤]了時(shí)間，確定的和隨機(jī)的行為可被區(qū)分。這兩類行為，分別用帶有確定時(shí)間參數(shù)(如確定的事件持續(xù)時(shí)間)變遷和帶有隨機(jī)時(shí)間參數(shù)(如指數(shù)函數(shù))變遷(隨機(jī)時(shí)間佩特里網(wǎng)見文獻(xiàn)[3]和[16])的時(shí)間佩特里網(wǎng)表示。所有情況下，變遷特性由各種標(biāo)簽或補(bǔ)充條件決定。A.2.2時(shí)間低級(jí)佩特里網(wǎng)的指定變遷時(shí)間佩特里網(wǎng)中，非時(shí)間和時(shí)間變遷都可能被使用。原則上，時(shí)間變遷的引發(fā)規(guī)則與非時(shí)間變遷一致(見4.2)。時(shí)間變遷應(yīng)持續(xù)使能一段時(shí)間。持續(xù)時(shí)間取決于指定的分布函數(shù)(CDF)及相應(yīng)的參數(shù)，可能是確定的或是隨機(jī)的。持續(xù)時(shí)間結(jié)束，變遷即可引發(fā)。時(shí)間佩特里網(wǎng)的常用變遷見表2。指定的時(shí)間變遷種類及其時(shí)間參數(shù)，將決定確定的引發(fā)持續(xù)時(shí)間、(恒定)引發(fā)率或概率分布。注意，用于確定延遲d的狄拉克分布δ(d)可在統(tǒng)一結(jié)構(gòu)下既包含確定變遷也包含隨機(jī)變遷[δ(0)包含非時(shí)間和時(shí)間變遷]。然而，不同種類的行為對(duì)應(yīng)著本質(zhì)不同的事件，通常應(yīng)區(qū)分開來。A.2.3時(shí)間低級(jí)佩特里網(wǎng)的動(dòng)態(tài)性時(shí)間佩特里網(wǎng)中，系統(tǒng)的動(dòng)態(tài)性也是通過對(duì)應(yīng)可達(dá)圖表示的標(biāo)識(shí)變化過程來建模的(見圖A.10)。根據(jù)不同變遷率或隨機(jī)分布，狀態(tài)—變遷弧將注釋上指定的時(shí)間符號(hào)。由于變遷的時(shí)間行為，即隨機(jī)引發(fā)，對(duì)可信性相關(guān)狀態(tài)建模的每個(gè)全局狀態(tài)都會(huì)有一定的概率。經(jīng)證明，只要所有事件都服從指數(shù)分布，任何有限且標(biāo)記的隨機(jī)佩特里網(wǎng)都可同構(gòu)為離散空間的馬爾可夫鏈[]。圖A.13中的變遷帶有變遷率。圖A.14中的全局狀態(tài)分別為π。和π?。圖A.13帶有兩個(gè)指數(shù)分布時(shí)間變遷的時(shí)間佩特里網(wǎng)圖A.14對(duì)應(yīng)的隨機(jī)可達(dá)圖部件p冬季開始部件修理部件故障無維修無維修人員部件運(yùn)行有維修人員N(L2,σ?)故障在指數(shù)分布的時(shí)間內(nèi)保持該狀態(tài)。若部件進(jìn)入故障狀態(tài)，將在正態(tài)分布的時(shí)間內(nèi)保持該狀態(tài)，由參數(shù)μ?(均值)和σ?(標(biāo)準(zhǔn)差)確定。注意這里為變遷N(μ2,σ?)假設(shè)了截取正態(tài)分布律，取值范圍為(0,～)。廣義隨機(jī)佩特里網(wǎng)(GSPN):所有時(shí)間變遷的引發(fā)時(shí)間都服從指數(shù)分布；馬爾可夫隨機(jī)佩特里網(wǎng)(MSPN):以馬爾可夫鏈為隨機(jī)過程基礎(chǔ)的SPNs。當(dāng)所有時(shí)間變遷的引發(fā)時(shí)間服從指數(shù)分布，或所有時(shí)間變遷的引發(fā)時(shí)間服從幾何分布(即無記憶性、離散時(shí)間)。其中前者對(duì)應(yīng)于GSPNs;確定與隨機(jī)佩特里網(wǎng)(DSPNs):時(shí)間變遷是指數(shù)的或者是確定的，其中確定變遷互斥且有特殊的馬爾可夫再生隨機(jī)佩特里網(wǎng)(MRSPNs):以馬爾可夫再生過程為基礎(chǔ)的SPNs。其中一類稱為廣義的非馬爾可夫隨機(jī)佩特里網(wǎng)：任何不是馬爾可夫過程的SPN。A.3佩特里網(wǎng)的分析方法A.3.1概述一般來說，佩特里網(wǎng)主要有兩種不同的分析工作：A.3.2定性分析定性分析可分為結(jié)構(gòu)分析和動(dòng)態(tài)分析。a)結(jié)構(gòu)分析只考慮佩特里網(wǎng)的結(jié)構(gòu)，并不包括可達(dá)圖的分析。因此，這類分析與初始標(biāo)識(shí)無關(guān)，任意的初始標(biāo)識(shí)下分析結(jié)果都一致。這類分析的缺點(diǎn)在于分析結(jié)果通常很粗略。死鎖和陷阱b)動(dòng)態(tài)分析會(huì)考慮可達(dá)圖或其子集，例如佩特里網(wǎng)的一個(gè)(最短)序列或序列集。由于可達(dá)圖取決于指定的初始標(biāo)識(shí)，這類分析的結(jié)果也取決于初始標(biāo)識(shí)。動(dòng)態(tài)分析的優(yōu)勢(shì)在于，若生成且處理了可達(dá)圖，所有定性問題都能回答。缺點(diǎn)在于通常由于規(guī)模問題無法創(chuàng)建可達(dá)圖。動(dòng)態(tài)分A.3.3.1概述系統(tǒng)可信性的特征及量度，例如系統(tǒng)可操作性的穩(wěn)態(tài)或瞬態(tài)概率，通常是我們關(guān)注的焦點(diǎn)。許多系統(tǒng)定量分析的方法和算法，都有自己的概率理論基礎(chǔ)。在開展分析之前，必須指定相關(guān)的概率分布。若方法都能使用。文獻(xiàn)[12]中介紹了工業(yè)級(jí)規(guī)模的模型的分析方法。此外，對(duì)于安全性相關(guān)系統(tǒng)，佩特里網(wǎng)是一種非常高效的安全性計(jì)算(SIL——計(jì)算)方法，如失效概率(即平均不可用度)和每小時(shí)失效概率(即平均失效頻率)。A.3.3.2馬爾可夫模型分析為了使用連續(xù)時(shí)間馬爾可夫鏈(CTMCs)的分析方法，隨機(jī)佩特里網(wǎng)將映射為CTMC;映射時(shí)，隨機(jī)佩特里網(wǎng)必須是GSPN(見A.2.4和文獻(xiàn)[3])。關(guān)注兩種馬爾可夫過程的解[19]:瞬態(tài)解和穩(wěn)態(tài)解。瞬態(tài)解通過求解“科爾莫戈洛夫微分方程”得到，而求解方程的線性系統(tǒng)能得到穩(wěn)態(tài)解。對(duì)于高度結(jié)構(gòu)化或是規(guī)模很小的馬爾可夫圖，有可能得到閉式的解析結(jié)果。在其他大多數(shù)情況下，還需用到數(shù)值求解技術(shù)?？墒褂民R爾可夫過程評(píng)估：——(時(shí)間相關(guān)的和漸進(jìn)的)狀態(tài)概率；——狀態(tài)的累積時(shí)間(例如用于生產(chǎn)可用性)。在指定的生產(chǎn)可用性問題中會(huì)使用“多狀態(tài)”馬爾可夫過程，當(dāng)處理定期測(cè)試的安全性系統(tǒng)時(shí)，通常更多求解馬爾可夫模型的方法可在文獻(xiàn)[18]和文獻(xiàn)[19]中找到。A.3.3.3非馬爾可夫模型分析當(dāng)放寬指數(shù)分布的假設(shè)時(shí)，能通過許多技術(shù)來求解模型。a)在馬爾可夫更新理論中，過程是無記憶性的且在特定瞬時(shí)上考慮。瞬時(shí)中重新生成過程并嵌入另一個(gè)過程。嵌入過程能通過狀態(tài)方程表達(dá)，并得到實(shí)際過程的解[3]。b)蒙特卡洛仿真方法通過采用隨機(jī)數(shù)，得到數(shù)值問題的估計(jì)解。該方法基于隨機(jī)變量的重復(fù)計(jì)算，其優(yōu)勢(shì)在于不必在求解過程中新增復(fù)雜度，就能考慮到許多真實(shí)情況下會(huì)發(fā)生的現(xiàn)象。早期蒙特卡洛主要缺點(diǎn)在于，相關(guān)計(jì)算次數(shù)會(huì)隨精度要求的提高而變多，而如今這個(gè)問題依然值得討論。此外，馬爾可夫鏈仿真能提供結(jié)果的精確度(置信區(qū)間),而截?cái)囫R爾可夫模型或聚合馬爾可夫模型的情況需另行討論。特定標(biāo)識(shí)時(shí)獲得的值。一般根據(jù)以下數(shù)據(jù)計(jì)算率回報(bào)：——有關(guān)系統(tǒng)不同狀態(tài)的統(tǒng)計(jì)數(shù)據(jù)；——有關(guān)系統(tǒng)變量的統(tǒng)計(jì)數(shù)據(jù)；——多處令牌花費(fèi)的時(shí)間；——其他數(shù)據(jù)。沖量回報(bào)的計(jì)算基于變遷的引發(fā)頻率[3]。件成本的模型?？梢?，這些概念在計(jì)算生產(chǎn)可用度等很多情況時(shí)會(huì)非常有用。附錄D中能找到可信性領(lǐng)域的回報(bào)函數(shù)的應(yīng)用示例。帶有回報(bào)的庫所和變遷的圖示見表A.2。表A.2帶有回報(bào)的庫所和變遷標(biāo)識(shí)符標(biāo)識(shí)符帶率回報(bào)的庫所帶沖量回報(bào)的變遷(指數(shù)分布)(資料性)m/n冗余的可用性任何有功能的產(chǎn)品，都能通過佩特里網(wǎng)的狀態(tài)-變遷圈建立模型并表達(dá)可用度，例如運(yùn)行狀態(tài)或故障狀態(tài)(見圖A.1)。系統(tǒng)的可用性模型，通過全局變量展現(xiàn)了產(chǎn)品局部可用度的集合(由兩個(gè)獨(dú)立的產(chǎn)品構(gòu)成的系統(tǒng)見圖B.1和圖B.2,由三個(gè)獨(dú)立的產(chǎn)品構(gòu)成的系統(tǒng)見圖B.3和圖B.4)?？蛇_(dá)圖由整個(gè)佩特里網(wǎng)衍生得到，表示了系統(tǒng)所有的全局變量。圖B.1指定失效率/修理率的兩個(gè)獨(dú)立產(chǎn)品的可用性佩特里網(wǎng)P2“/圖B.3帶有指定失效/修理率的三個(gè)獨(dú)立產(chǎn)品的可靠度佩特里網(wǎng)22C?C?C?蘭“?CC?CC?C?“GGC?()?的帶有全局狀態(tài)的隨機(jī)可達(dá)圖B.2全局狀態(tài)和系統(tǒng)結(jié)構(gòu)對(duì)于由多個(gè)彼此間相關(guān)聯(lián)的產(chǎn)品構(gòu)成的復(fù)雜功能系統(tǒng)(每個(gè)產(chǎn)品有自己的子功能),應(yīng)結(jié)合相應(yīng)的建模概念考慮整個(gè)系統(tǒng)的結(jié)構(gòu)(如鏈和冗余)。根據(jù)這種邏輯結(jié)構(gòu)，可達(dá)圖才能暗含系統(tǒng)可用度及不可用度的所有全局狀態(tài)。1/3、2/3和3/3系統(tǒng)的可信性結(jié)構(gòu)建模分別見圖B.5、圖B.6和圖B.7。文獻(xiàn)[20]介紹了如何避免和處理巨大模型以及更多其他的建模技術(shù)。失效山"失效修理圖B.5特定連接的1/3可用度佩特里網(wǎng)部件1故障部件1故障故障故障失效失效修理失效圖B.6特定連接的2/3可用度佩特里網(wǎng)系統(tǒng)運(yùn)行系統(tǒng)部件1部件1部件3故障H?故障部件1運(yùn)行部件3部件1運(yùn)行部件3修理部件?運(yùn)行部件2運(yùn)行圖B.7特定連接的3/3可用度佩特里網(wǎng)行時(shí)系統(tǒng)才運(yùn)行；而2/3系統(tǒng)中，系統(tǒng)運(yùn)行有四種可能的狀態(tài)?？紤]到可靠性，相應(yīng)的系統(tǒng)的建模見圖B.9、圖B.11和圖B.13。對(duì)應(yīng)的可達(dá)圖分別見圖B.10、圖B.9特定連接的1/3可靠性佩特里網(wǎng)C?C?C?也礦Hg圖B.10圖B.9中網(wǎng)的可達(dá)圖la部件?部件a圖B.11特定連接的2/3可靠性佩特里網(wǎng)a???故障故障故障故障修理部件，失效圖B.13特定連接的3/3可靠性佩特里網(wǎng)C?C?C?(資料性)就可信性而言，佩特里網(wǎng)及相應(yīng)的可達(dá)圖能表示其可用性、維修性等不同的特性?？紤]到可用性和維修性，可通過擴(kuò)展的環(huán)狀佩特里網(wǎng)建立系統(tǒng)相應(yīng)產(chǎn)品不同狀態(tài)的更詳細(xì)的執(zhí)行功能模型(見圖C.1),例如：——檢測(cè)到缺陷；能通過四種變遷實(shí)現(xiàn)：——失效事件； ——開始維修；——轉(zhuǎn)移至運(yùn)行狀態(tài)。所。圖C.1對(duì)應(yīng)的可達(dá)圖有著類似的簡單結(jié)構(gòu)，包括四個(gè)全局狀態(tài)及其概率，以及每個(gè)變遷及其變遷運(yùn)行轉(zhuǎn)移至運(yùn)行維修失效未檢測(cè)到缺陷M開始維修失效檢測(cè)且停止或隔離檢測(cè)到缺陷圖C.1單個(gè)可用性佩特里網(wǎng)GB/T43037—2023/IEC62551:2012圖C.2對(duì)應(yīng)圖C.1中帶有與可用性和安全性相關(guān)的全局狀態(tài)和聚合全局狀態(tài)的隨機(jī)可用性圖考慮到可用性和安全性的特征，其量度的數(shù)值能通過可用性-安全性正交坐標(biāo)系表示。由于可用性和安全性的概率值通常接近于1,因此在衡量時(shí)應(yīng)對(duì)不可用度和不安全度取對(duì)數(shù)，分別稱為可用度的概率潛能pA和安全度的概率潛能pS:其中，A是表征系統(tǒng)可用的全部狀態(tài)集合的概率?！?C.2)其中，S是表征系統(tǒng)安全的全部狀態(tài)集合的概率。例如，A=0.9999,即(1-A)=0.0001,-lg(1-A)=4。A'=0.99999,pA=-lg(1-A')=5,也基于可靠性的定義，佩特里網(wǎng)模型將所需功能作為“狀態(tài)-變遷-狀態(tài)”的結(jié)果。部件本身執(zhí)行所需功能的可用性，通過單獨(dú)的可靠性狀態(tài)-變遷圈來建模，表征其運(yùn)行及補(bǔ)充的故障狀態(tài)(見圖A.1)。兩個(gè)子網(wǎng)通過測(cè)試弧連接，從運(yùn)行狀態(tài)指向執(zhí)行功能(見圖C.3)。系統(tǒng)故障系統(tǒng)運(yùn)行系統(tǒng)故障圖C.3基本可靠性和功能建模的概念行所需功能。該概念綜合了產(chǎn)品(資源)的功能性和可靠性表現(xiàn)。圖C.4中的超級(jí)變遷隱藏了表征n/3連接的特定邏輯結(jié)構(gòu)。這里的“n”取決于超級(jí)變遷內(nèi)隱藏的網(wǎng)。此外，圖C.5中每個(gè)部件的狀態(tài)-變遷圈也通過超級(jí)庫所隱藏。也就是說，超級(jí)節(jié)點(diǎn)能隱藏詳細(xì)的圖C.4帶有超級(jí)變遷的一般層級(jí)佩特里網(wǎng)可靠性模型圖C.5帶有超級(jí)變遷和超級(jí)庫所的一般層級(jí)佩特里網(wǎng)對(duì)應(yīng)的可用度模型見圖C.6和圖C.7。部件?H??圖C.6帶有超級(jí)變遷的一般層級(jí)佩特里網(wǎng)可用度模型系統(tǒng)部件?部件?圖C.7帶有超級(jí)變遷和超級(jí)節(jié)點(diǎn)的一般層級(jí)佩特里網(wǎng)(資料性)典型可信性概念的建模用佩特里網(wǎng)結(jié)構(gòu)對(duì)可信性的常規(guī)概念建模，見表D.1。表D.1用佩特里網(wǎng)結(jié)構(gòu)可信性的常規(guī)概念建?？尚判愿拍钆逄乩锞W(wǎng)建模方法失效率為常數(shù)λ(失效時(shí)間服從指數(shù)分布)可用狀態(tài)失效(λ)修理率為常數(shù)μ的修理或恢復(fù)(修理/恢復(fù)時(shí)間服從指數(shù)分布)不可用狀態(tài)修理(μ)修理或恢復(fù)(修理時(shí)間為固定的n個(gè)時(shí)間單元)不可用狀態(tài)修理(n小時(shí))修理或恢復(fù)(修理時(shí)間服從截?cái)嗾龖B(tài)分布，以x為均值，y為偏差)不可用狀態(tài)修理[N(x,y)]可維護(hù)性(維護(hù)行為“監(jiān)控”成功完成的概率為x%,0≤x監(jiān)控完成(概率x)監(jiān)控前的產(chǎn)品監(jiān)控終止(概率1-x)監(jiān)控的產(chǎn)品未監(jiān)控的產(chǎn)品表D.2展示了如何建立特定狀態(tài)和事件成本的模型。這里用到率回報(bào)(rr)和沖量回報(bào)(ir)的概念，見表A.2。注意，這里為變遷N(x,y)假設(shè)了取值范圍為[0,～]的截?cái)嗾龖B(tài)律。表D.2建立狀態(tài)和事件的成本模型成本類型佩特里網(wǎng)建模方式失效成本(成本與不可用狀態(tài)的累積時(shí)間成比例)不可用狀態(tài)(rr)修理(μ)修理或恢復(fù)成本(成本與修理數(shù)量成比例)不可用狀態(tài)修理(μ),(ir)表D.2建立狀態(tài)和事件的成本模型(續(xù))成本類型佩特里網(wǎng)建模方式可維護(hù)性成本(維護(hù)行為“監(jiān)控”成功完成的概率為x%,0≤x≤1,且監(jiān)控時(shí)間均勻分布在區(qū)間[1…y];任何情況下監(jiān)控成本都會(huì)累積)監(jiān)控前的產(chǎn)品開始成功的監(jiān)控(概率x)產(chǎn)品被成功產(chǎn)品的成功監(jiān)控結(jié)束監(jiān)控的產(chǎn)品監(jiān)控(rr)(統(tǒng)一的[1…y])開始不成功的監(jiān)控(概率1-x)產(chǎn)品未被成功監(jiān)控(rr)終止不成功的監(jiān)控(z)未監(jiān)控的產(chǎn)品(資料性)平交道口示例E.1概述這里選擇了一個(gè)受保護(hù)的平交道口(帶有柵欄)的建模過程作為佩特里網(wǎng)可信性應(yīng)用的示例。本例將確定道口交通的可用度及每年死亡人數(shù)(風(fēng)險(xiǎn))。關(guān)注的概率參數(shù)包括：道口的危險(xiǎn)率、汽車和火車間隔到達(dá)時(shí)間，以及汽車駕駛員到達(dá)道口的可能行為。E.2描述系統(tǒng)的主要組成和功能a)假設(shè)的道口拓?fù)錀l件見圖E.1,包括相互影響的交通流(鐵路和公路)以及控制共用部分路徑不被兩方同時(shí)使用的安全設(shè)備。這里假定該系統(tǒng)與其他系統(tǒng)無關(guān)。圖E.1平交道口及其保護(hù)系統(tǒng)示例b)系統(tǒng)主要組成包括設(shè)備(相互影響的公路和鐵路交通)及控制單元(由道口保護(hù)設(shè)備實(shí)現(xiàn))。c)公路和鐵路交通的主要功能是人員和貨物的安全運(yùn)輸。兩種運(yùn)輸工具都假設(shè)了恒定的速度，對(duì)應(yīng)于公路和鐵路的最大允許速度。交通流之間唯一可能的交互就是汽車駕駛員識(shí)別到火車。這種情況下，公路車輛將會(huì)停止?；疖囻{駛員識(shí)別到汽車并不會(huì)改變火車的速度。d)保護(hù)設(shè)備的主要功能是，在火車臨近時(shí)通過視覺信號(hào)警告公路車輛。由于公路車輛有一定速度，不能一看到警告信號(hào)就立即在危險(xiǎn)區(qū)域前停下。因此該保護(hù)設(shè)備必須能在特定時(shí)間(觸發(fā)時(shí)間T,即火車位于觸發(fā)和臨近區(qū)域的時(shí)間，之后即到達(dá)危險(xiǎn)區(qū)域)內(nèi)檢測(cè)到鐵路車輛，從而保證任何公路車輛安全通過危險(xiǎn)區(qū)域。E.3基于佩特里網(wǎng)子模型建立系統(tǒng)的結(jié)構(gòu)模型為了在道口案例中對(duì)交通過程進(jìn)行可信性分析，需要考慮的主要模型組成見圖E.2。交通過程交通可信性控制功能控制設(shè)備可信性控制單元基于超級(jí)變遷的對(duì)應(yīng)子模型見圖E.3,該圖揭示了模型主要組成之間的信息交換。交通過程火車離LC完好控制功能LC失效安全交通可信性道口關(guān)閉開LC標(biāo)引序號(hào)說明：LC——平交道口模型由以下四個(gè)子模型構(gòu)成。a)詳細(xì)說明交通過程的子模型：該子模型指定了汽車、火車臨近和離開道口的過程。若汽車在危險(xiǎn)區(qū)域遇到火車，將發(fā)生事故。該模型旨在從事故概率的角度，描述不同汽車駕駛員行為導(dǎo)致的后果。本模型并不考慮任何安全措施。b)詳細(xì)說明交通可信性的子模型：對(duì)可能事故的發(fā)生建模，此外還考慮到事故移除的過程，即公路和鐵路被清理且再次可用的時(shí)間。c)詳細(xì)說明控制功能的子模型：對(duì)道口柵欄的行為建模。本模型不考慮導(dǎo)致危險(xiǎn)狀態(tài)的失效，只d)詳細(xì)描述控制設(shè)備可信性的子模型：對(duì)控制功能的可信性建模。由于考慮了失效，應(yīng)區(qū)分失效安全的狀態(tài)和危險(xiǎn)的狀態(tài)。該子模型的行為影響控制功能的行為。E.4細(xì)化模型直到滿足要求的詳細(xì)程度E.4.1概述第三步，細(xì)化第二步的模型直到滿足需要的詳細(xì)程度，并為細(xì)化模型編制文檔(見5.2.4)。本步可E.4.2細(xì)化模型結(jié)構(gòu)事故能視為交通過程中發(fā)生危險(xiǎn)情況的后果。模型基于以下四個(gè)子模型來描述這種因果關(guān)系：a)交通過程子模型的道口(LC)交通流；b)交通可信性子模型的事故發(fā)生；c)控制功能子模型的LC操作運(yùn)行；d)控制設(shè)備可信性子模型的危險(xiǎn)影響的來源。汽車進(jìn)入汽車進(jìn)入DZ且無火車汽車位于DZP1汽車離開DZ汽車進(jìn)入臨近區(qū)域火車進(jìn)入觸發(fā)區(qū)域火車進(jìn)入臨近區(qū)域火車進(jìn)入DZ火車離開DZ火車位于DZ火車位于DZ之外交通過程火車位于觸發(fā)區(qū)域火車臨近汽車臨近圖E.4汽車和火車交通過程佩特里網(wǎng)模型圖E.4建立了理想情況下交通過程的模型：所有汽車駕駛員只有在無火車臨近或位于危險(xiǎn)區(qū)域?yàn)榱丝紤]不同類型的汽車駕駛員，引入“交通可信性”子模型。該子模型中考慮了火車臨近時(shí)還進(jìn)入危險(xiǎn)區(qū)域的駕駛員，甚至是火車已經(jīng)位于危險(xiǎn)區(qū)域時(shí)還進(jìn)入危險(xiǎn)區(qū)域的駕駛員?？紤]這兩類駕駛員汽車進(jìn)入汽車進(jìn)入DZP1汽車離開DZ沒有事故3交通可信性事故移除火車臨近交通過程火車位于DZ之外火車位于DZ汽車位于DZ火車離開DZ汽車臨近圖E.5交通過程及交通可信性佩特里網(wǎng)模型汽車位于汽車位于DZP1汽車離開DZ汽車進(jìn)入臨近區(qū)域沒有事故p2|火車臨近時(shí)汽車進(jìn)入DZ事故發(fā)生火車通過時(shí)汽車進(jìn)入DZ交通可信性火車進(jìn)入觸發(fā)區(qū)域火車進(jìn)入臨近區(qū)域事故移除火車位于DZ火車位于DZ之外交通過程LC關(guān)閉安全觸發(fā)消除LC觸發(fā)控制功能汽車進(jìn)入DZ且無火車火車位于觸發(fā)區(qū)域火車離開DZ汽車臨近LC觸發(fā)LC開放事故p3/圖E.6帶有理想控制功能的交通過程佩特里網(wǎng)模型考慮了理想運(yùn)作的控制系統(tǒng)的模型見圖E.6。模型中，一旦火車臨近，道口就會(huì)被觸發(fā)并關(guān)閉。圖汽車臨近汽車臨近且無火車火車臨近時(shí)汽車進(jìn)入DZ沒有事故事故發(fā)生交通可信性事故移除火車臨近火車位于DZ交通過程LC關(guān)閉LC運(yùn)行LC修復(fù)消除LC觸發(fā)LC危險(xiǎn)消除安全觸發(fā)LC失效安全控制功能事故圖E.7平交道口示例的佩特里網(wǎng)模型E.4.3進(jìn)一步說明模型結(jié)構(gòu)及參數(shù)交通過程子模型分別描述了汽車、火車的運(yùn)動(dòng)。公路交通由六個(gè)庫所和八個(gè)變遷表示(庫所“無事型變遷。庫所代表的汽車狀態(tài)見表E.1。概率概率表E.1子模型“交通過程”中汽車交通相關(guān)庫所(見圖E.4)庫所容量“描述汽車位于DZ之外汽車離開道口系統(tǒng)。使用多個(gè)令牌來表示汽車的連續(xù)流汽車臨近汽車駕駛員臨近道口，可能會(huì)看到臨近的火車1汽車駕駛員臨近道口，只要近處無火車就準(zhǔn)備進(jìn)入危險(xiǎn)區(qū)域汽車位于DZ1汽車位于道口的危險(xiǎn)區(qū)域域的決定?！畮焖摹叭萘俊敝傅氖菐焖鶅?nèi)最大令牌數(shù)量?！癐nf”表示該庫所的令牌數(shù)量(非負(fù)數(shù))沒有限制。變遷對(duì)汽車的運(yùn)動(dòng)建模。公路交通流通過變遷“汽車進(jìn)入臨近區(qū)域”表示。該變遷的參數(shù)能通過統(tǒng)計(jì)測(cè)量某個(gè)特定的道口來評(píng)估。測(cè)量的兩輛汽車到達(dá)時(shí)間間隔的柱狀圖見圖E.8,相應(yīng)的概率分布近似函數(shù)見圖E.9。時(shí)間/s圖E.8收集的平交道口公路交通流的測(cè)量值：兩輛汽車到達(dá)時(shí)間間隔時(shí)間/s圖E.9基于圖E.8的近似概率分布函數(shù)測(cè)量結(jié)果用指數(shù)分布近似，且期望值為16.2s(0.27用類似的方法評(píng)估變遷“汽車離開DZ”的參數(shù)?，F(xiàn)場(chǎng)測(cè)量結(jié)果見圖E.10。時(shí)間/s間隔為0.05收集的汽車在道口危險(xiǎn)區(qū)域時(shí)間的測(cè)量值時(shí)間/s由圖E.1l可見，對(duì)應(yīng)的分布并不是指數(shù)型的。由于該參數(shù)對(duì)事故發(fā)生概率有重大影響，宜采用最慢汽車的時(shí)間作為指數(shù)分布函數(shù)的均值，而不是采用占用危險(xiǎn)區(qū)域的平均時(shí)間。因此，變遷“汽車離開DZ”的參數(shù)設(shè)置為3.96s(0.066min)?？紤]到保護(hù)設(shè)備未提供警告的情況(例如保護(hù)設(shè)備失效),模型包含了汽車臨近道口時(shí)可能的不同行為。據(jù)專家預(yù)計(jì)，這種情況下50%的駕駛員即使看到火車臨近也會(huì)進(jìn)入道口的危險(xiǎn)區(qū)域：變遷t2的引發(fā)將激活“火車臨近時(shí)汽車進(jìn)入DZ”(假設(shè)LC未關(guān)閉)。t1引發(fā)的概率為45%且將標(biāo)記庫所pl。只有在沒有火車位于臨近區(qū)域或危險(xiǎn)區(qū)域時(shí)，變遷“無火車時(shí)汽車進(jìn)入DZ”才激活。5%的駕駛員在火車通過道口時(shí)仍會(huì)進(jìn)入危險(xiǎn)區(qū)域(例如視力或剎車不良的情況)。這些考慮分別在立即變遷t1、t2和t3的權(quán)中體現(xiàn)。當(dāng)兩個(gè)或更多的變遷同時(shí)激活時(shí)需用到權(quán)。例如汽車和火車同時(shí)位于臨近區(qū)域時(shí)(庫所所有描述公路交通動(dòng)態(tài)特性的變遷的參數(shù)(包括進(jìn)一步的說明)見表E.2。變遷名稱時(shí)間概念權(quán)參數(shù)時(shí)間(分鐘)描述汽車進(jìn)入臨近區(qū)域指數(shù)分布描述公路交通流(見上文)瞬時(shí)—描述只在無火車時(shí)汽車才進(jìn)入危險(xiǎn)區(qū)域的情況瞬時(shí)—描述火車臨近且無警告時(shí)汽車進(jìn)入危險(xiǎn)區(qū)域的情況瞬時(shí)5描述火車通過且無警告時(shí)汽車進(jìn)入危險(xiǎn)區(qū)域的情況汽車進(jìn)入DZ且無火車指數(shù)分布描述汽車在臨近區(qū)域的時(shí)間火車臨近時(shí)汽車進(jìn)入DZ指數(shù)分布描述汽車在臨近區(qū)域的時(shí)間火車通過時(shí)汽車進(jìn)入DZ指數(shù)分布描述汽車在臨近區(qū)域的時(shí)間汽車離開DZ指數(shù)分布0.066描述汽車在危險(xiǎn)區(qū)域的時(shí)間所有描述鐵路交通動(dòng)態(tài)特性的庫所的參數(shù)(包括進(jìn)一步的說明)見表E.3。庫所名稱容量描述火車位于DZ之外1火車位于道口系統(tǒng)之外火車位于觸發(fā)區(qū)域1火車位于道口的保護(hù)設(shè)備(警告燈)被觸發(fā)且視覺警告被啟用的區(qū)域中火車臨近1火車位于汽車駕駛員能看到的臨近區(qū)域火車位于DZ1火車位于道口的危險(xiǎn)區(qū)域鐵路交通的動(dòng)態(tài)特性通過變遷來描述。鐵路交通流用變遷“火車進(jìn)入觸發(fā)區(qū)域”描述，其參數(shù)基于火車時(shí)刻表來評(píng)估。本例中火車平均頻率是每小時(shí)兩班，假定兩班火車的間隔時(shí)間服從指數(shù)分布。這里進(jìn)一步假設(shè)所有火車速度一致，這樣火車頭通過道口觸發(fā)及鄰近區(qū)域的時(shí)間是常數(shù)(Tc=常數(shù)=0.133min+0.166min)。在危險(xiǎn)區(qū)域的時(shí)間取決于火車的長度。其變化根據(jù)平均時(shí)間為0.3min的指鐵路交通變遷的分布及參數(shù)意義見表E.4。變遷名稱時(shí)間概念時(shí)間(分鐘)描述火車進(jìn)入觸發(fā)區(qū)域指數(shù)分布描述鐵路交通流火車進(jìn)入臨近區(qū)域確定值0.133描述火車在觸發(fā)區(qū)域(觸發(fā)警告)的時(shí)間火車進(jìn)入DZ確定值0.166描述火車在臨近區(qū)域(可被汽車駕駛員看見)的時(shí)間火車離開DZ指數(shù)分布描述火車在危險(xiǎn)區(qū)域的時(shí)間公路和鐵路交通過程的相互作用通過測(cè)試弧和抑制弧表示，尤其在對(duì)汽車駕駛員進(jìn)入危險(xiǎn)區(qū)域的決策及汽車間相互作用建模時(shí)(只有在庫所p1,p2,p3中沒有汽車準(zhǔn)備進(jìn)入危險(xiǎn)區(qū)域，立即變遷t1、t2和t3才能被激活)?！盎疖囄挥贒Z”的兩個(gè)弧表示事故的發(fā)生。這里并無時(shí)間性的假設(shè)，事故是道口危險(xiǎn)區(qū)域內(nèi)同時(shí)出現(xiàn)汽車和火車的即時(shí)邏輯結(jié)果。假設(shè)事故移除過程服從指數(shù)分布，平均持續(xù)時(shí)間為2h(120min)。事故移除期間，道口對(duì)鐵路和公路交通都不可用(用抑制弧建模)。庫所和變遷的意義及其參數(shù)見表E.5庫所名稱容量描述無事故1危險(xiǎn)區(qū)域內(nèi)沒有事故事故1危險(xiǎn)區(qū)域內(nèi)有事故1汽車駕駛員臨近道口且準(zhǔn)備進(jìn)入危險(xiǎn)區(qū)域，甚至在火車臨近時(shí)(只要警告設(shè)備未打開)1汽車駕駛員臨近道口且準(zhǔn)備進(jìn)入危險(xiǎn)區(qū)域，甚至在火車通過時(shí)(只要警告設(shè)備未打開)變遷名稱時(shí)間概念權(quán)時(shí)間(分鐘)描述事故發(fā)生瞬時(shí)1描述汽車和火車同時(shí)占用危險(xiǎn)區(qū)域的邏輯結(jié)果事故移除指數(shù)分布描述事故移除過程持續(xù)時(shí)間備的主要系統(tǒng)狀態(tài)。設(shè)備的觸發(fā)(變遷“LC觸發(fā)”)用測(cè)試弧連接交通過程模型的庫所來建模，表示火車位于觸發(fā)區(qū)域。觸發(fā)的另一個(gè)原因是檢測(cè)到設(shè)備失效，用子網(wǎng)“控制設(shè)備可信性”中一個(gè)安全的失效狀態(tài)來建模(例如，用于撤銷保護(hù)設(shè)備觸發(fā)的車輪檢測(cè)器的失效以及其他檢測(cè)到的失效)。只要設(shè)備處于運(yùn)行狀態(tài)，在火車已經(jīng)離開危險(xiǎn)區(qū)域后(與庫所“火車離開DZ”連接的測(cè)試弧),設(shè)備撤銷就會(huì)發(fā)生(用指向交通過程子網(wǎng)變遷的抑制弧建模)。模型進(jìn)一步地拓展，能考慮忽視警告燈的情況，建立更為真實(shí)的汽車駕駛員行為模型。表E.7和表E.8概括了“控制功能”子模型中的庫所和變遷的意義及參數(shù)。庫所名稱容量描述LC開放1LC處于被動(dòng)狀態(tài)，公路警告關(guān)閉LC關(guān)閉1LC處于主動(dòng)狀態(tài)，公路警告打開變遷名稱時(shí)間概念權(quán)參數(shù)描述LC觸發(fā)瞬時(shí)1描述LC保護(hù)設(shè)備的觸發(fā)激活撤銷LC觸發(fā)瞬時(shí)1描述LC保護(hù)設(shè)備的撤銷LC失效安全觸發(fā)瞬時(shí)1描述由于檢測(cè)到保護(hù)設(shè)備失效而觸發(fā)LC道口保護(hù)設(shè)備的內(nèi)部可信性狀態(tài)在子網(wǎng)“控制設(shè)備可信性”中建模。包括三個(gè)相關(guān)狀態(tài)，分別表示運(yùn)行、失效安全及危險(xiǎn)狀態(tài)。指數(shù)型變遷對(duì)可能的狀態(tài)變化建模(類似于使用馬爾可夫鏈)。用圖E.3中的測(cè)試弧連接控制功能設(shè)備的子網(wǎng)，對(duì)可信性狀態(tài)對(duì)道口保護(hù)設(shè)備功能性的影響建模。特別地，若保護(hù)設(shè)備處于危險(xiǎn)狀態(tài)(例如火車檢測(cè)設(shè)備失效或任何未檢測(cè)到的保護(hù)設(shè)備失效),對(duì)汽車駕駛員的警告就不會(huì)觸發(fā)。庫所名稱容量描述LC運(yùn)行1LC處于運(yùn)行狀態(tài)，LC保護(hù)設(shè)備功能性(觸發(fā)及撤銷)完全可用LC失效安全1LC處于失效安全狀態(tài)，LC保護(hù)設(shè)備處于安全狀態(tài)——汽車駕駛員的警告開啟LC危險(xiǎn)1LC處于危險(xiǎn)狀態(tài)，LC保護(hù)設(shè)備功能性(觸發(fā)及撤銷觸發(fā))不可用變遷名稱時(shí)間概念時(shí)間(分鐘)描述LC危險(xiǎn)失效指數(shù)分布6×10?描述LC保護(hù)設(shè)備危險(xiǎn)失效的發(fā)生時(shí)間LC安全失效指數(shù)分布6×10?描述LC保護(hù)設(shè)備安全失效的發(fā)生時(shí)間LC危險(xiǎn)消除指數(shù)分布描述LC保護(hù)設(shè)備危險(xiǎn)失效的檢測(cè)時(shí)間LC修理指數(shù)分布描述LC保護(hù)設(shè)備(在檢測(cè)失效后)的修理時(shí)間變遷“LC危險(xiǎn)失效”的時(shí)間參數(shù)是平均危險(xiǎn)失效時(shí)間，與道口保護(hù)設(shè)備的安全完整性等級(jí)相對(duì)應(yīng)。模型中假設(shè)，安全的系統(tǒng)失效發(fā)生率比危險(xiǎn)失效高出十倍。變遷“LC危險(xiǎn)消除”的參數(shù)能通過分析統(tǒng)計(jì)數(shù)據(jù)得到，或考慮采用兩輛火車間的最長時(shí)延(假設(shè)例如火車駕駛員察覺到LC保護(hù)設(shè)備的危險(xiǎn)失效),即6h(360min)。變遷“LC修理”的時(shí)間參數(shù)估計(jì)為4h(240min),表示檢測(cè)到失效后的修理時(shí)間，包括啟用維修人員及其花費(fèi)在路上和修理上的時(shí)間。說都是差異重復(fù)占先。E.5分析模型得到結(jié)果定性分析的目標(biāo)是研究模型的狀態(tài)空間。示例中網(wǎng)的定性可達(dá)圖狀態(tài)多達(dá)300個(gè)，由于無法將其定量分析的目標(biāo)是，根據(jù)模型中變遷的參數(shù)(例如每小時(shí)火車或汽車的數(shù)量，觸發(fā)時(shí)間TAc的長短，保護(hù)設(shè)備的安全完整性等級(jí)(SIL,見EN50126)等)評(píng)估事故發(fā)生率。由于不僅有指數(shù)分布，還有確定時(shí)間變遷和因果變遷，采用蒙特卡洛仿真的方法得到分析結(jié)果。所有分析都采用了PN-ToolTimeNet4.0版[22],并采用工具π-Tool23慮了“事故移除”,只仿真了一個(gè)歷史記錄。該歷史記錄時(shí)間約25000萬年且計(jì)算時(shí)間約120天。通過E.6表示和說明分析結(jié)果合可達(dá)圖就揭示了道口保護(hù)設(shè)備的主要可信性狀態(tài)及其與事故狀態(tài)的關(guān)系。如圖E.12所示，可達(dá)圖證實(shí)了的可信性狀態(tài)(運(yùn)行，危險(xiǎn)，失效安全)順序模型，也說明了事故的發(fā)生獨(dú)立于道口保護(hù)設(shè)備的可信性狀態(tài)(任何情況下，都會(huì)出現(xiàn)汽車進(jìn)入并滯留在危險(xiǎn)區(qū)域直到火車抵達(dá)的情況)。LC失效安全LC運(yùn)行佩特里網(wǎng)模型集合狀態(tài)包含的狀態(tài)數(shù)量(根據(jù)布爾條件)見表E.11。表E.11集合狀態(tài)中包含狀態(tài)的布爾條件集合狀態(tài)的名稱布爾條件集合可達(dá)圖的狀態(tài)包含的(初始)可達(dá)圖狀態(tài)的數(shù)量事故m(accident)≥1m(LC_opetating)≥1^m(accident)=0LC危險(xiǎn)m(LC_hazard)≥1~m(accident)=0LC失效安全m(LC_fail_safe)≥1-m(accident)=0注：“”代表邏輯“與”;m(庫所)表示庫所的標(biāo)識(shí)，如庫所內(nèi)令牌的數(shù)量。一方面，定量分析的結(jié)果能用于評(píng)估公路交通道口的可用度。經(jīng)預(yù)測(cè)，通過縮短(火車抵達(dá)前)道口警告的觸發(fā)時(shí)間Tac或減少危險(xiǎn)失效發(fā)生率(尤其在本例假設(shè)安全的系統(tǒng)失效的發(fā)生率比危險(xiǎn)失效高出十倍時(shí)),將提高可用度。圖E.13的結(jié)果驗(yàn)證了這些預(yù)測(cè)。道路交通平交道口的可用度/%風(fēng)險(xiǎn)(死亡率/人×年)道路交通平交道口的可用度/%風(fēng)險(xiǎn)(死亡率/人×年)危險(xiǎn)率圖E.13定量分析結(jié)果表明不同的T時(shí)道口平均可用度是保護(hù)設(shè)備危險(xiǎn)率的函數(shù)另一方面，定量分析的結(jié)果還可用于評(píng)估公路交通的安全性?？紤]到給定的汽車流，汽車平均乘客人數(shù)1.5及致死系數(shù)1,獲得的事故發(fā)生率可用于評(píng)估道口處的單人風(fēng)險(xiǎn)(每人每年的死亡率)。圖E.14表明了單人風(fēng)險(xiǎn)與觸發(fā)時(shí)間Tc及道口保護(hù)設(shè)備危險(xiǎn)率的關(guān)系。危險(xiǎn)率圖E.14定量分析結(jié)果表明不同的Tc時(shí)道口風(fēng)險(xiǎn)是保護(hù)設(shè)備危險(xiǎn)率的函數(shù)根據(jù)圖E.13和圖E.14的結(jié)果，通過一些技術(shù)改進(jìn)提升安全完整性等級(jí)(降低危險(xiǎn)率)效果不明顯，且可能只會(huì)增加系統(tǒng)開發(fā)及生產(chǎn)的成本。將定量分析結(jié)果可視化為安全性/可用性圖，揭示了不同優(yōu)化風(fēng)險(xiǎn)(死亡率/人×年)根據(jù)圖E.15的結(jié)果，最優(yōu)觸發(fā)時(shí)間T的取值約為54s,從而降低汽車可能無法完全離開危險(xiǎn)區(qū)域的風(fēng)險(xiǎn)。該值揭示了采用安全完整性等級(jí)1(HR=1E-5～1E—6)的可能性，使得道口的可用率為94.5%,且單人風(fēng)險(xiǎn)為每人每年1E—5次死亡(風(fēng)險(xiǎn)接受值MEMcEN來源為EN50126[211的“最小內(nèi)[1]PETRI,C.A.,KommunikationmitAutomaten.SchriftendesInstitutsfürinstrumentel-leMathematik,Bonn,1962[2]IEC61508(allparts),Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems[3]GERMAN,R.,PerformanceAnalysisofCommunicationSystems—ModellingwithNon-MarkovianStochasticPetriNets,JohnChichester:Wiley,2000[4]MURATA,T.,Petrinets:Properties,AnalysisandApplication.In:ProceedingsofthelEEE,[5]