GB/T 43037-2023 可信性分析技術(shù) 佩特里網(wǎng)技術(shù)（正式版）

ICS21.020GB/T43037—2023/IEC62551:2012可信性分析技術(shù)佩特里網(wǎng)技術(shù)Analysistechniquesfordependability—Petrinettechniques(IEC62551:2012,IDT)2023-09-07發(fā)布2023-09-07實施國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會IGB/T43037—2023/IEC62551:2012 Ⅲ 12規(guī)范性引用文件 1 1 1 33.3縮略語 34佩特里網(wǎng)概述 44.1非時間低級佩特里網(wǎng) 44.2時間低級佩特里網(wǎng) 44.3高級佩特里網(wǎng) 54.4佩特里網(wǎng)的擴展與建模 55佩特里網(wǎng)可信性建模與分析 65.1建模的一般步驟 65.2建模的詳細步驟 76與其他可信性模型的關(guān)系 附錄A(資料性)佩特里網(wǎng)的結(jié)構(gòu)與動態(tài)性 附錄B(資料性)m/n冗余的可用性 附錄C(資料性)簡要示例 附錄D(資料性)典型可信性概念的建模 附錄E(資料性)平交道口示例 48ⅢGB/T43037—2023/IEC62551:2012本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本標(biāo)準(zhǔn)由中華人民共和國工業(yè)和信息化部提出。本標(biāo)準(zhǔn)由全國電工電子產(chǎn)品可靠性和維修性標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC24)歸口。GB/T43037—2023/IEC62551:2012本文件提供一種佩特里網(wǎng)基本元素表示的基礎(chǔ)方法[1],以及這一技術(shù)在可信性領(lǐng)域的應(yīng)用指南。佩特里網(wǎng)建模的固有能力使其能夠通過對局部狀態(tài)及局部事件關(guān)系建模來描述系統(tǒng)的行為。依托中獲得廣泛的認(rèn)可。傳統(tǒng)方法(如故障樹和可靠性框圖)無法處理多態(tài)系統(tǒng)，也無法對動態(tài)系統(tǒng)的行為建模，還會遇到狀態(tài)組合爆炸問題(如馬爾可夫過程)。在處理實際的工業(yè)系統(tǒng)問題時頗受限制，因此，需要其他的建模和計算方法。發(fā)生時系統(tǒng)如何從一種狀態(tài)演化為另一種狀態(tài)建模。佩特里網(wǎng)具有圖形化的表示方式，能有效支持可靠性工程師的建模，是一種非常有前途的可信性建模和計算技術(shù)。分析計算通常只適用于小型系統(tǒng)，且/或需要強有力的前提假設(shè)(如指數(shù)規(guī)律、小概率)。當(dāng)處理工業(yè)級系統(tǒng)時，就可能需要方法上質(zhì)的突破，如從分析計算改為蒙特卡洛仿真。本文件旨在從可信性角度，定義統(tǒng)一的佩特里網(wǎng)基本原則，將目前佩特里網(wǎng)建模和分析使用方法，作為系統(tǒng)可信性及風(fēng)險相關(guān)量度的定性和定量評估方法。1GB/T43037—2023/IEC62551:2012可信性分析技術(shù)佩特里網(wǎng)技術(shù)性等級(SIL)[2]相關(guān)量度)。b)概述術(shù)語及其與可信性的關(guān)系；1)采用佩特里網(wǎng)建立可信性模型；2)采用基于佩特里網(wǎng)的技術(shù)進行定性和定量可信性分析；3)分析結(jié)果的解釋說明。d)概述佩特里網(wǎng)與其他建模技術(shù)的關(guān)系；e)提供實踐案例。本文件適用于所有需要定性與定量可信性分析的行業(yè)。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。IEC60050-192國際電工詞匯(IEV)第192部分：可信性(InternationalElectrotechnicalVocab-ulary(IEV)—Part192:Dependability)3.1術(shù)語和定義IEC60050-192界定的以及下列術(shù)語和定義適用于本文件。.2某時刻發(fā)生的事情。2GB/T43037—2023/IEC62551:20123.1.3注1:通常從實現(xiàn)目標(biāo)的角度來定義系統(tǒng)，例如執(zhí)行某個確定的功能。注2:系統(tǒng)的元素可是自然的或人工材質(zhì)的物體，也可是思維模式及其結(jié)果(如組織形式、數(shù)學(xué)方法和程序語言)。注3:通常認(rèn)為有一個虛構(gòu)的截面，切斷了系統(tǒng)與環(huán)境和其他外界系統(tǒng)的聯(lián)系，將系統(tǒng)從中分離出來。3.1.4安全完整性等級safetyintegritylevel;SIL對應(yīng)于一系列安全完整性值的離散等級(4個可能等級中的1個)。其中，等級4的安全完整性最高，等級1的安全完整性最低。注：IEC61508-1:2010[9]表2和表3中規(guī)定了4個安全完整性等級的目標(biāo)失效量度(見IEC61508-4:2010,3-5-17)[8]。3.1.5注：佩特里網(wǎng)通常用于對分布式系統(tǒng)的行為建模。.7佩特里網(wǎng)中對局部狀態(tài)或條件建模的節(jié)點類型。3.1.83.1.9變遷類型transitiontype對屬于一個給定類別的一組事件中的特定事件建模的變遷類型。3.1.10超級節(jié)點supernode3.1.11超級弧superarc在佩特里網(wǎng)中用于隱藏兩個超級節(jié)點間多種連接的弧類型。注：隱藏兩個子網(wǎng)的兩個超級節(jié)點可能有多種弧的連接。3.1.12表示系統(tǒng)行為的狀態(tài)變遷圖。3標(biāo)識marking用佩特里網(wǎng)建模的系統(tǒng)中狀態(tài)的圖形化表示。3.2符號佩特里網(wǎng)的圖形化表示應(yīng)使用統(tǒng)一的符號、標(biāo)識符和標(biāo)簽。常用的圖形化表示見表1、表2和表3。表1中常規(guī)弧的標(biāo)簽“n”為整數(shù)值。表1非時間佩特里網(wǎng)的符號標(biāo)識符標(biāo)識符標(biāo)識符(權(quán))n(常規(guī))弧庫所符號，也用于多重庫所變遷符號符號關(guān)系符號常規(guī)弧關(guān)系符號測試弧關(guān)系符號抑制弧令牌符號有多種測試弧和抑制弧的圖形化方式。令牌符號用于表征信息流，并不是佩特里網(wǎng)靜態(tài)結(jié)構(gòu)的符號。表2時間佩特里網(wǎng)的附加符號變遷類型確定的隨機的延時為0延時為d指數(shù)分布或幾何分布任意分布參數(shù)dλ任意分布符號注：在確定變遷情況下常用狄拉克分布。此外，時間變遷的參數(shù)可獨立于狀態(tài)或時間。表3層級建模的符號標(biāo)識符標(biāo)識符標(biāo)識符超級庫所符號超級變遷符號超級節(jié)點符號超級弧符號注：“超級弧”的符號沒有方向，因為它可代表了不同方向的多個弧。下列縮略語適用于本文件。CDF:累積分布函數(shù)(Cumulativedistributionfunction)4GB/T43037—2023/IEC62551:2012DZ:危險區(qū)(Dangerzone)ETA:事件樹分析(Eventtreeanalysis)FME(C)A:失效模式、影響(和危害性)分析[Failure,mode,effects(andcriticality)analysis]FTA:故障樹分析(Faulttreeanalysis)HR:危險率(Hazardrate)LC:道口(Levelcrossing)MTBF:平均失效間隔時間(Meantimebetweenfailures)MTTF:平均失效前時間(Meantimetofailure)PN:佩特里網(wǎng)(Petrinet)RBD:可靠性框圖(Reliabilityblockdiagram)RG:可達圖(Reachabilitygraph)SIL:安全完整性等級(Safetyintegritylevel)ir:沖量回報(Impulsereward)4佩特里網(wǎng)概述佩特里網(wǎng)(PNs)是區(qū)分了主動節(jié)點和被動節(jié)點的圖。被動元素稱為庫所，用于對局部狀態(tài)或條件的變化(例如可能發(fā)生的潛在事件)建模。庫所和變遷可稱節(jié)點。庫所和變遷表示的現(xiàn)象之間的因果關(guān)系，通過不同類型的有向弧連接來描述(見表1中佩特里網(wǎng)的基本符號和附錄A中A.1對佩特里網(wǎng)的介紹)。抑制弧只能連接前集庫所及其后集變遷(見A.1.2)。對應(yīng)的前集庫吸收令牌，并在后集生成令牌。吸收與生成的令牌數(shù)量由弧的標(biāo)簽指定。如果弧標(biāo)簽沒從初始標(biāo)識開始，通過任意的變遷引發(fā)的序列可達的所有全局標(biāo)識，都包含在佩特里網(wǎng)的可達圖中?？蛇_圖的每個節(jié)點表示一個全局標(biāo)識，每個弧表示一個變遷的引發(fā)，即一個全局標(biāo)識轉(zhuǎn)換到另一個。陣的維數(shù)為|P|×|T|。對于每一個變遷，矩陣相應(yīng)的列指定了引發(fā)后全局標(biāo)識的改變。網(wǎng)的常用變遷見表2。5GB/T43037—2023/IEC62551:2012(引發(fā)時間指數(shù)或幾何分布的變遷)或帶參數(shù)的概率分布(引發(fā)時間任意分布的變遷)。注意，非時間變遷是延遲為零的特殊的固定引發(fā)持續(xù)時間變遷。在非時間情況下，時間佩特里網(wǎng)的可達圖包含表示全局標(biāo)識的節(jié)點以及表示變遷引發(fā)的箭頭。除非時間可達圖的元素外，時間佩特里網(wǎng)的可達圖還應(yīng)考慮變遷的具體參數(shù)。4.3高級佩特里網(wǎng)在高級佩特里網(wǎng)中，標(biāo)識不再是匿名的黑色令牌，取而代之的是獨特且可辨別的元組。元組不僅對條件的滿足或狀態(tài)的存在建模，自身也含有特殊信息。這樣一來，弧的標(biāo)簽可表達為已有信息的函數(shù)。這種建模方式能得到緊湊且直觀的模型，甚至適用于復(fù)雜系統(tǒng)。本文件介紹的方法不涉及高級佩特里4.4佩特里網(wǎng)的擴展與建模4.4.1佩特里網(wǎng)元素的進一步表示概述除表1介紹的符號之外，～給出的加權(quán)抑制弧、多重庫所和全局變量的符號和概念也是佩特里網(wǎng)常用的元素。加權(quán)抑制弧與常規(guī)弧相比較，抑制弧能賦以權(quán)值，見圖1。圖1加權(quán)抑制弧只有當(dāng)圖1中庫所p上令牌數(shù)少于n,變遷t才使能。注意，若庫所p剛好有n個令牌，變遷t仍不使能。為了提高復(fù)雜網(wǎng)絡(luò)的可讀性，尤其對于工業(yè)規(guī)模的系統(tǒng)模型，通常會用到許多附加概念。多重庫所圖2多重庫所p圖3變遷t引發(fā)后p上的標(biāo)識6GB/T43037—2023/IEC62551:2012全局變量引發(fā)可能會通過聲明和判斷來改變?nèi)肿兞康闹怠D4t的使能取決于V的值圖4的佩特里網(wǎng)中，變遷t只有在全局變量V為真時才使能(?是“讀取”運算符，即?V作為守衛(wèi)，讀取全局變量V的值)。t引發(fā)后會標(biāo)記庫所q并消除庫所p的標(biāo)識，同時將V設(shè)置為假(!是“寫入”表4給出了一般系統(tǒng)、佩特里網(wǎng)和可信性的對應(yīng)概念。這里并不包括失效或故障狀態(tài)的所有可能方面系統(tǒng)佩特里網(wǎng)可信性動態(tài)事件變遷失效修理靜態(tài)局部狀態(tài)庫所故障運行注：失效和修理只是可信性相關(guān)事件的兩個例子；故障和運行只是可信性相關(guān)狀態(tài)的兩個例子，更多例子還有首次失效、降級失效和狀態(tài)。這些概念可用作計算基礎(chǔ)，如平均生產(chǎn)可用度。5佩特里網(wǎng)可信性建模與分析系統(tǒng)分析通常需要足夠詳細的系統(tǒng)模型，而模型的詳細程度取決于要執(zhí)行的分析。系統(tǒng)通常極其代進行。基于模型得到的分析結(jié)果，應(yīng)以用戶友好的方式表示出來，并根圖5)。7GB/T43037—2023/IEC62551:2012影響分析方法合適手法表示方法分析結(jié)果影響影響建模表示圖6描述了佩特里網(wǎng)可信性建模和分析的主要步驟。分析人員應(yīng)注意，雖然過程看上去簡單易行，步驟1步驟2:步驟3:步驟4:步驟5:描述系統(tǒng)的主要分析模型獲得感組成和功能興趣的結(jié)果分析結(jié)果文檔編制步驟1～步驟5系統(tǒng)通常包含兩個主要的子系統(tǒng)：步驟3:細化步驟2得到的模型，直到滿足要求的詳細程度應(yīng)提供步驟2的系統(tǒng)佩特里網(wǎng)注釋，包括子系統(tǒng)。若分析結(jié)果不充分或不符合要求，應(yīng)進一步補充(子)模型(回到步驟2)或細化已有(子)模型(回到步驟3)。佩特里網(wǎng)可信性建模與分析的應(yīng)用示例見附錄E。8GB/T43037—2023/IEC62551:20125.2.2描述系統(tǒng)的主要組成和功能(步驟1)b)主要組成部分(如設(shè)備和控制單元);5.2.3基于佩特里網(wǎng)子模型及其關(guān)系建立系統(tǒng)結(jié)構(gòu)模型(步驟2)這些子系統(tǒng)還能從功能和可信性的角度來解釋。例如因設(shè)備的控制單元不能總是恰當(dāng)?shù)剡\行，那么就必須考慮控制單元的可信性——系統(tǒng)的可信性取決于控制單元的可信性。由于建模需要依據(jù)系統(tǒng)的復(fù)雜度及分析任務(wù)，整個模型通常由以下4種子模型的子集組成(也存在不必建立設(shè)備可信性模型也能得到充分結(jié)果的情況):a)設(shè)備的功能；b)設(shè)備的可信性；c)控制單元的功能；d)控制單元的可信性。將根據(jù)佩特里網(wǎng)的可達圖，在龐大的狀態(tài)空間中建立大量的進程?？蛇_圖中的一些狀態(tài)表示危險并導(dǎo)如人的行為和環(huán)境影響)。在c)中，應(yīng)指定用于控制設(shè)備以約束其運行過程的子系統(tǒng)。該子模型假定控制任務(wù)執(zhí)行完好，并如危險狀態(tài)或事故狀態(tài))。在d)中，考慮可信性，建立控制單元的物理實現(xiàn)的子模型。該模型取決于技術(shù)實現(xiàn)或者人為操作和環(huán)境影響。通過與子模型c)的聯(lián)系，可能出現(xiàn)的失效和控制的不恰當(dāng)行為都予以考慮。當(dāng)這些失效單元及控制單元的可信性都被考慮到了。這樣一來，相應(yīng)的可達圖就涵蓋了危險和事故狀態(tài)及相應(yīng)的可能性。對于不同的功能層級及其可信性方面，得到的9GB/T設(shè)備(可信性)b)功能設(shè)備(功能)控制單元(功能)依照前述條款為每個子系統(tǒng)建立單獨的佩特里網(wǎng)模型，那么很容易就能建立起整個系統(tǒng)的完整模型。各單獨的佩特里網(wǎng)模型，通過測試弧和抑制弧連接起來。這里可采用模塊化方法，這樣任何子系統(tǒng)都能獨立地修改或改變，并不受相鄰模型的影響。本步驟的文檔編制，應(yīng)識別出系統(tǒng)的主要子模型及其關(guān)系。每一子模型的邊界、主要組成部分、功能及用途都應(yīng)采用傳統(tǒng)的描述方法編制文檔，例如使用文字并配上圖片和表格等。如果系統(tǒng)沒有必要分解為子系統(tǒng)(如十分簡單的系統(tǒng))或是難以分解，模型設(shè)計者應(yīng)明確說明原因。5.2.4細化模型到滿足要求的詳細程度(步驟3)本步驟中，對步驟2已經(jīng)建立的模型進行改進完善，并編制文檔。本步驟是重復(fù)迭代的過程，需要反復(fù)進行。步驟2建立的佩特里網(wǎng)模型也應(yīng)細化，包括每個考慮的子系統(tǒng)。這種改進應(yīng)持續(xù)細化過程到模型達到預(yù)期的詳細程度要求，即包含了步驟4分析所需的全部信息：a)每個節(jié)點都應(yīng)標(biāo)有唯一的標(biāo)識符。如果使用時間佩特里網(wǎng)，時間概念也應(yīng)用符號闡明。推薦使用3.2中定義的符號。b)應(yīng)明確時間概念的進一步細節(jié)，即指定參數(shù)(例如，因果變遷的權(quán)、固定持續(xù)時間、確定變遷、CDF對應(yīng)的隨機變遷參數(shù)等),還有任何變遷的守衛(wèi)、變遷的存儲策略(變遷的使能時間是累積，或者變遷無存儲，即占先策略[3])以及庫所容量等。如果可讀性不受影響，這些信息能直接添加在佩特里網(wǎng)中。否則，應(yīng)選擇表格或矩陣來表示。本步驟的文檔編制應(yīng)根據(jù)模型細化過程逐步細化完成。本步驟的文檔編制應(yīng)包含：c)子系統(tǒng)乃至整個模型的佩特里網(wǎng)表示。d)每個子系統(tǒng)的文本描述(至少在建模的最低層級)。e)可靠性參數(shù)(如失效和恢復(fù)、假設(shè)或統(tǒng)計數(shù)據(jù))和系統(tǒng)結(jié)構(gòu)的依據(jù)。5.2.5分析模型得到結(jié)果(步驟4)選擇何種模型分析方法取決于想要的結(jié)果。此外，佩特里網(wǎng)模型的基礎(chǔ)及信息的有效性也限制了適用的分析方法(見圖8)?；旧?，有兩種可選方法：GB/T43037—2023/IEC62551:2012遷序列的可能性。定性分析主要基于非時間可達圖。如果從一個初始標(biāo)識開始，可達標(biāo)識的的動態(tài)特性([14])。當(dāng)可達標(biāo)識的數(shù)量過大甚至是無窮時，需要選擇其他方法，如結(jié)構(gòu)分析b)定量分析解決有關(guān)定性結(jié)果的概率問題(例如，達到一個特定狀態(tài)的概率，或引發(fā)一個特定變間隔)。這些概念可作為計算基礎(chǔ)，例如計算平均生產(chǎn)可用度。定量分析主要基于時間可達圖1)如果在定義的時間段內(nèi)，時間佩特里網(wǎng)所有變遷的引發(fā)持續(xù)時間都服從指數(shù)分布(即定義的時間段內(nèi)引發(fā)率是常數(shù)),那么時間可達圖可轉(zhuǎn)化為馬爾可夫鏈再進行穩(wěn)態(tài)或瞬態(tài)如果可達標(biāo)識的數(shù)量過于龐大，將使用蒙特卡洛的方法進行瞬態(tài)分析。軟硬件的性能決定了可處理的狀態(tài)數(shù)量。如今，含有10?個狀態(tài)的系統(tǒng)都是可處理的。而帶有數(shù)百萬個狀態(tài)的系統(tǒng)通常稱為“小RG可分析任意分布蒙特卡洛RG規(guī)模過大RG規(guī)模過大RG可分析定性定量本步驟的文檔編制應(yīng)包括以下內(nèi)容：c)列出計算結(jié)果所選擇的方法；5.2.6表示和說明分析結(jié)果(步驟5)態(tài)整合的概念非常有必要。b)充分表述不同參數(shù)值或不同系統(tǒng)結(jié)構(gòu)的影響。例如，可將系統(tǒng)可用性作為其安全性功能，用m/n冗余的可用性介紹)對可用性及安全性的影響。應(yīng)以文本的方式清楚而具體地解釋分析結(jié)果。此外，分析結(jié)果應(yīng)指出備選的實現(xiàn)方案(考慮系統(tǒng)結(jié)GB/T43037—2023/IEC62551:2012編號步驟表示方法和手段強制強烈推薦推薦1基本文檔材料：系統(tǒng)、功能、模塊、邊界的基本描述；分析的目標(biāo)和范圍；采用佩特里網(wǎng)技術(shù)的理由文本和圖片文本文本2四個子模型的文檔編制(見5.2.3)文本和圖片高級佩特里網(wǎng)3詳細文檔編制：系統(tǒng)細化模型(抽象層級);失效率、恢復(fù)率數(shù)據(jù)的來源(假設(shè)數(shù)據(jù)或統(tǒng)計數(shù)據(jù))文本和圖片文本表格b)表格4分析方法：分析方法的描述；計算機及使用工具的描述文本文本5結(jié)果：數(shù)值和圖形的形式；結(jié)果的說明文本和圖片文本6與其他可信性模型的關(guān)系或基本狀態(tài)如何導(dǎo)致某個全局狀態(tài)。這些分析通過FTA、ETA、RBD或者FMEA得到。而可達圖則佩特里網(wǎng)的建模能力比FTA,ETA以及RBD更強大。因此FTA、ETA、RBD模型都能轉(zhuǎn)換為佩指數(shù)分布，因此一般隨機佩特里網(wǎng)具有更高的建模能力。通過FMEA或者FME(C)A得到的信息，可用于建立系統(tǒng)的佩特里網(wǎng)模型。盡管FME(C)A可提供包含特定程序和方式的形式化過程，但FME(C)A在數(shù)學(xué)意義上并不是形式化的。另外，由于FMEA或FME(C)A只能分析單個失效，因此無法A是佩特里網(wǎng)的有效補充。GB/T43037—2023/IEC62551:2012(資料性)佩特里網(wǎng)的結(jié)構(gòu)與動態(tài)性A.1一般佩特里網(wǎng)概念及其與可靠性的關(guān)系A(chǔ).1.1概述通過區(qū)分主動節(jié)點與被動節(jié)點(見表1),能總體描述佩特里網(wǎng)及其可信性解釋。被動元素稱為“庫輯規(guī)則),基于引發(fā)規(guī)則改變基本狀態(tài)。佩特里網(wǎng)是有向圖，每個弧都與兩個不同類型的節(jié)點相連。也就是說，任意兩個先后狀態(tài)(如故障狀態(tài)和運行狀態(tài))之間，必定會由一個事件相連(如修理)。此外，任意兩個先后事件(如失效和修理)之間，也存在一個中間狀態(tài)(如故障狀態(tài)),見圖A.1(本圖及后文圖中“部件1故障”是“部件1故障狀態(tài)且在修理中”的縮寫)。狀態(tài)及事件間的關(guān)系通過有向弧表示。節(jié)點n的“前集”是指通過有向弧指向n的全部節(jié)點n?的集合。節(jié)點n的“后集”是指從n出發(fā)通過有向弧指向的全部節(jié)點n2的集合?！扒凹睂τ诳赡艹霈F(xiàn)的全部狀態(tài)，以及基于條件(如狀態(tài)集)可能出現(xiàn)的全部因果關(guān)系，佩特里網(wǎng)都應(yīng)建立模型。附錄C提供了表示可用性、維修性等不同特性的佩特里網(wǎng)結(jié)構(gòu)簡要示例。部件部件?失效部件?運行部件?故障圖A.1部件可用性的狀態(tài)-變遷循環(huán)A.1.3低級佩特里網(wǎng)的因果動態(tài)性A.1.3.1概述佩特里網(wǎng)中系統(tǒng)的動態(tài)性可通過觀察狀態(tài)和反映狀態(tài)關(guān)系的系統(tǒng)狀態(tài)轉(zhuǎn)移得到佐證。A.1.3.2標(biāo)識令牌(黑色圓點)標(biāo)記在庫所上，表示局部狀態(tài)實際出現(xiàn)或“局部標(biāo)識”。所有局部標(biāo)識的集合稱為GB/T43037—2023/IEC62551:2012A.1.3.3令牌流和引發(fā)規(guī)則如果全部的前集庫所都標(biāo)識了適當(dāng)數(shù)量的令牌，變遷被使能(可引發(fā))。引發(fā)的變遷會消除前集庫所的令牌(對應(yīng)于連接其前集庫所的弧的種類和權(quán)),并在后集庫所中生成令牌(見圖A.2和圖A.3)。實際上，令牌的吸收(或銷毀)和生成，像“流”一樣對網(wǎng)的行為建模。通常，局部事件的發(fā)生只改變與其直接相連的局部狀態(tài)。能這么理解：若事件發(fā)生(例如發(fā)生失效),系統(tǒng)的狀態(tài)被改變(例如從“運行”到“故障”)。此外，變遷可根據(jù)其引發(fā)的可能性來加權(quán)：有多個使能變遷的狀態(tài)中，權(quán)最大的變遷引發(fā)的可從可信性角度，失效的引發(fā)會將系統(tǒng)狀態(tài)從“運行”變?yōu)椤肮收稀?且不再滿足“超限應(yīng)力”條件。超限應(yīng)力失效超限應(yīng)力超限應(yīng)力失效A.1.3.4測試弧通過“測試弧”或“通信弧”與庫所連接的變遷，并不會改變庫所內(nèi)令牌的數(shù)量。這樣就可能看出庫所是否被標(biāo)記。測試弧用雙箭頭表示(見圖A.4和圖A.5中連接“維修人員”和“修理”的箭頭)。這里避免了在冬季進行修理(無維修人員)。注意本例已被高度簡化，主要用于展示測試弧的用法。GB/T43037—2023/IEC62551:2012部件1運行部件?修理冬季開始有維修人員無維修人員春季開始部件部件?失效部件1運行部件1修理冬季開始有維修人員無維修人員春季開始A.1.3.5抑制弧通過抑制弧與前集庫所連接的變遷，只有在這些庫所的令牌數(shù)嚴(yán)格低于對應(yīng)抑制弧的權(quán)時，才被使能。也就是說，當(dāng)權(quán)等于一時，只有在庫所內(nèi)沒有任何令牌時才會被使能。抑制弧用一個小圓圈代替箭頭。這類變遷的引發(fā)并不會改變對應(yīng)前集庫所的標(biāo)識。如圖A.6,圖A.7和圖A.8所示，變遷只有在前集庫所沒有標(biāo)識時才被使能。圖A.6中的變遷未被使能。圖A.7中的變遷被使能且引發(fā)后的標(biāo)識見圖A.8。應(yīng)注意的是，圖A.8中的變遷能無限地引發(fā)A.1.3中能找到抑制弧應(yīng)用的例子。圖A.6變遷未被使能GB/T43037—2023/IEC62551:2012圖A.7引發(fā)前的標(biāo)識圖A.8引發(fā)后的標(biāo)識A.1.4可達圖佩特里網(wǎng)的可達圖(RG)表示從給定的“初始標(biāo)識”開始，通過變遷引發(fā)能達到的所有全局此，可達圖通過描述狀態(tài)空間表示了系統(tǒng)可能的行為。圖A.9中佩特里網(wǎng)的可達狀態(tài)空間包括四個全局狀態(tài)(見圖A.10)。為展示可達圖的含義，本例做了大量簡化。失效失效故障圖A.9帶初始標(biāo)識的佩特里網(wǎng)修人員開始修理有維修人員修人員修人員圖A.10對應(yīng)的可達圖每個全局變量都用圓或橢圓表示，并用實際的網(wǎng)的標(biāo)識明確地標(biāo)記。通過弧上的注釋，可達圖說明了一個全局狀態(tài)是如何變化為另一個狀態(tài)的。對于更復(fù)雜的佩特里網(wǎng)，可達圖全局狀態(tài)的數(shù)量可能隨著部件數(shù)量的增加而迅速增加?？蛇_圖能通過計算機工具自動建立。GB/T43037—2023/IEC62551:2012方面系統(tǒng)佩特里網(wǎng)可達圖可信性動態(tài)事件變遷弧例如：失效事件或錯誤處理事件靜態(tài)局部狀態(tài)庫所局部狀態(tài)全局狀態(tài)標(biāo)識=標(biāo)記庫所集節(jié)點全局狀態(tài)(如維修、危險)整合全局狀態(tài)標(biāo)識集節(jié)點集全局狀態(tài)集(如可用、安全)部件冬季開始有維修人員冬季結(jié)束部件故障無維修人員部件運行部件p的標(biāo)識不會改變(見圖A.12)。GB/T43037—2023/IEC62551:2012故障部件故障部件人員考慮另一種狀態(tài)下網(wǎng)的行為，若高優(yōu)先級的部件失效而低優(yōu)先級的部件正在修理，那么:a)低優(yōu)先級部件的修理被暫停；b)高優(yōu)先級部件的修理開始；c)高優(yōu)先級部件修理完成之后，低優(yōu)先級部件的修理重新開始。A.2時間佩特里網(wǎng)A.2.1概述從時間的角度建模對于可信性應(yīng)用也非常有用。例如通過網(wǎng)處在相應(yīng)標(biāo)識的時間表示系統(tǒng)啟動或停止的時間。同時，狀態(tài)改變的延遲通過變遷表示?？紤]了時間，確定的和隨機的行為可被區(qū)分。這兩類行為，分別用帶有確定時間參數(shù)(如確定的事件持續(xù)時間)變遷和帶有隨機時間參數(shù)(如指數(shù)函數(shù))變遷(隨機時間佩特里網(wǎng)見文獻[3]和[16])的時間佩特里網(wǎng)表示。所有情況下，變遷特性由各種標(biāo)簽或補充條件決定。A.2.2時間低級佩特里網(wǎng)的指定變遷時間佩特里網(wǎng)中，非時間和時間變遷都可能被使用。原則上，時間變遷的引發(fā)規(guī)則與非時間變遷一致(見4.2)。時間變遷應(yīng)持續(xù)使能一段時間。持續(xù)時間取決于指定的分布函數(shù)(CDF)及相應(yīng)的參數(shù)，可能是確定的或是隨機的。持續(xù)時間結(jié)束，變遷即可引發(fā)。時間佩特里網(wǎng)的常用變遷見表2。指定的時間變遷種類及其時間參數(shù)，將決定確定的引發(fā)持續(xù)時間、(恒定)引發(fā)率或概率分布。注意，用于確定延遲d的狄拉克分布δ(d)可在統(tǒng)一結(jié)構(gòu)下既包含確定變遷也包含隨機變遷[δ(0)包含非時間和時間變遷]。然而，不同種類的行為對應(yīng)著本質(zhì)不同的事件，通常應(yīng)區(qū)分開來。A.2.3時間低級佩特里網(wǎng)的動態(tài)性時間佩特里網(wǎng)中，系統(tǒng)的動態(tài)性也是通過對應(yīng)可達圖表示的標(biāo)識變化過程來建模的(見圖A.10)。GB/T43037—2023/IEC62551:2012發(fā)，對可信性相關(guān)狀態(tài)建模的每個全局狀態(tài)都會有一定的概率。經(jīng)證明，只要所有事件都服從指數(shù)分圖A.13中的變遷帶有變遷率。圖A.14中的全局狀態(tài)部件?故障圖A.13帶有兩個指數(shù)分布時間變遷的時間佩特里網(wǎng)μ對應(yīng)的隨機可達圖人員部件A?運行H?N(I2,02)部件故障A?部件失效圖A.15帶有時間變遷的佩特里網(wǎng)μ?(均值)和o?(標(biāo)準(zhǔn)差)確定。注意這里為變遷N(μ2,o2)假設(shè)了截取正態(tài)分布律，取值范圍為(0,GB/T43037—2023/IEC62551:2012A.2.4時間佩特里網(wǎng)分類文獻中常見的模型分類如下[3]:廣義隨機佩特里網(wǎng)(GSPN):所有時間變遷的引發(fā)時間都服從指數(shù)分布；馬爾可夫隨機佩特里網(wǎng)(MSPN):以馬爾可夫鏈為隨機過程基礎(chǔ)的SPNs。當(dāng)所有時間變遷的引發(fā)時間服從指數(shù)分布，或所有時間變遷的引發(fā)時間服從幾何分布(即無記憶性、離散時間)。其中前者對應(yīng)于GSPNs;確定與隨機佩特里網(wǎng)(DSPNs):時間變遷是指數(shù)的或者是確定的，其中確定變遷互斥且有特殊的占先策略；馬爾可夫再生隨機佩特里網(wǎng)(MRSPNs):以馬爾可夫再生過程為基礎(chǔ)的SPNs。其中一類稱為廣義的非馬爾可夫隨機佩特里網(wǎng)：任何不是馬爾可夫過程的SPN。A.3佩特里網(wǎng)的分析方法A.3.1概述一般來說，佩特里網(wǎng)主要有兩種不同的分析工作：因此，分析工作能分為定性分析和定量分析。A.3.2定性分析定性分析可分為結(jié)構(gòu)分析和動態(tài)分析。a)結(jié)構(gòu)分析只考慮佩特里網(wǎng)的結(jié)構(gòu)，并不包括可達圖的分析。因此，這類分析與初始標(biāo)識無關(guān)，任意的初始標(biāo)識下分析結(jié)果都一致。這類分析的缺點在于分析結(jié)果通常很粗略。死鎖和陷阱b)動態(tài)分析會考慮可達圖或其子集，例如佩特里網(wǎng)的一個(最短)序列或序列集。由于可達圖取決于指定的初始標(biāo)識，這類分析的結(jié)果也取決于初始標(biāo)識。動態(tài)分析的優(yōu)勢在于，若生成且處理了可達圖，所有定性問題都能回答。缺點在于通常由于規(guī)模問題無法創(chuàng)建可達圖。動態(tài)分A.3.3定量分析A.3.3.1概述系統(tǒng)可信性的特征及量度，例如系統(tǒng)可操作性的穩(wěn)態(tài)或瞬態(tài)概率，通常是我們關(guān)注的焦點。許多系統(tǒng)定量分析的方法和算法，都有自己的概率理論基礎(chǔ)。在開展分析之前，必須指定相關(guān)的概率分布。若方法都能使用。文獻[12]中介紹了工業(yè)級規(guī)模的模型的分析方法。此外，對于安全性相關(guān)系統(tǒng)，佩特里網(wǎng)是一種非常高效的安全性計算(SIL——計算)方法，如失效概率(即平均不可用度)和每小時失效概率(即平均失效頻率)。A.3.3.2馬爾可夫模型分析為了使用連續(xù)時間馬爾可夫鏈(CTMCs)的分析方法，隨機佩特里網(wǎng)將映射為CTMC;映射時，隨機GB/T43037—2023/IEC62551:2012佩特里網(wǎng)必須是GSPN(見A.2.4和文獻[3])。關(guān)注兩種馬爾可夫過程的解[19]:瞬態(tài)解和穩(wěn)態(tài)解。瞬態(tài)解通過求解“科爾莫戈洛夫微分方程”得到，而求解方程的線性系統(tǒng)能得到穩(wěn)態(tài)解。對于高度結(jié)構(gòu)化或是規(guī)模很小的馬爾可夫圖，有可能得到閉式的解析結(jié)果。在其他大多數(shù)情況下，還需用到數(shù)值求解技術(shù)?？墒褂民R爾可夫過程評估：—(時間相關(guān)的和漸進的)狀態(tài)概率；-——狀態(tài)的累積時間(例如用于生產(chǎn)可用性)。更多求解馬爾可夫模型的方法可在文獻[18]和文獻[19]中找到。當(dāng)放寬指數(shù)分布的假設(shè)時，能通過許多技術(shù)來求解模型。a)在馬爾可夫更新理論中，過程是無記憶性的且在特定瞬時上考慮。瞬時中重新生成過程并嵌入另一個過程。嵌入過程能通過狀態(tài)方程表達，并得到實際過程的解[3]。b)蒙特卡洛仿真方法通過采用隨機數(shù)，得到數(shù)值問題的估計解。該方法基于隨機變量的重復(fù)計算，其優(yōu)勢在于不必在求解過程中新增復(fù)雜度，就能考慮到許多真實情況下會發(fā)生的現(xiàn)象。早期蒙特卡洛主要缺點在于，相關(guān)計算次數(shù)會隨精度要求的提高而變多，而如今這個問題依然值得討論。此外，馬爾可夫鏈仿真能提供結(jié)果的精確度(置信區(qū)間),而截斷馬爾可夫模型或聚合馬爾可夫模型的情況需另行討論。特定標(biāo)識時獲得的值。一般根據(jù)以下數(shù)據(jù)計算率回報：——有關(guān)系統(tǒng)不同狀態(tài)的統(tǒng)計數(shù)據(jù)；——多處令牌花費的時間；--—其他數(shù)據(jù)。件成本的模型?？梢?，這些概念在計算生產(chǎn)可用度等很多情況時會非常有用。附錄D中能找到可信性領(lǐng)域的回報函數(shù)的應(yīng)用示例。帶有回報的庫所和變遷的圖示見表A.2。表A.2帶有回報的庫所和變遷標(biāo)識符標(biāo)識符帶率回報的庫所帶沖量回報的變遷(指數(shù)分布)21m/n冗余的可用性任何有功能的產(chǎn)品，都能通過佩特里網(wǎng)的狀態(tài)-變遷圈建立模型并表達可用度，例如運行狀態(tài)或故障狀態(tài)(見圖A.1)。系統(tǒng)的可用性模型，通過全局變量展現(xiàn)了產(chǎn)品局部可用度的集合(由兩個獨立的產(chǎn)品構(gòu)成的系統(tǒng)見圖B.1和圖B.2,由三個獨立的產(chǎn)品構(gòu)成的系統(tǒng)見圖B.3和圖B.4)?？蛇_圖由整個佩特里網(wǎng)衍生得到，表示了系統(tǒng)所有的全局變量。部件?部件?A?圖B.1指定失效率/修理率的兩個獨立產(chǎn)品的可用性佩特里網(wǎng)H??GB/T43037—2023/IEC62551:2012部件?故障H?部件部件?運行修理部件?故障失效部件?部件。運行部件?故障圖B.3帶有指定失效/修理率的三個獨立產(chǎn)品的可靠度佩特里網(wǎng)圖B.4對應(yīng)圖B.3的帶有全局狀態(tài)的隨機可達圖B.2全局狀態(tài)和系統(tǒng)結(jié)構(gòu)對于由多個彼此間相關(guān)聯(lián)的產(chǎn)品構(gòu)成的復(fù)雜功能系統(tǒng)(每個產(chǎn)品有自己的子功能),應(yīng)結(jié)合相應(yīng)的建模概念考慮整個系統(tǒng)的結(jié)構(gòu)(如鏈和冗余)。根據(jù)這種邏輯結(jié)構(gòu)，可達圖才能暗含系統(tǒng)可用度及不可用度的所有全局狀態(tài)。1/3、2/3和3/3系統(tǒng)的可信性結(jié)構(gòu)建模分別見圖B.5、圖B.6和圖B.7。文獻[20]介紹了如何避免和處理巨大模型以及更多其他的建模技術(shù)。23GB/T43037—2023/IEC62系統(tǒng)故障失效修理失效故障故障修理修理修理失效部件1運行圖B.5特定連接的1/3可用度佩特里網(wǎng)系統(tǒng)運行系統(tǒng)故障部件?失效部件1部件1修理A?失效部件2部件?故障故障修理失效修理圖B.6特定連接的2/3可用度佩特里網(wǎng)故障H?故障故障H?故障修理失效A?失效部件?修理部件?運行系統(tǒng)運行H?部件?修理?部件?失效部件2運行部件1運行部件2運行圖B.7特定連接的3/3可用度佩特里網(wǎng)圖B.8帶有系統(tǒng)指定運行狀態(tài)的隨機可達圖考慮到可靠性，相應(yīng)的系統(tǒng)的建模見圖B.9、圖B.11和圖B.13。對應(yīng)的可達圖分別見圖B.10、圖B.12和圖B.14。25GB/T43037—2023/IEC62551:2012系統(tǒng)運行系統(tǒng)運行故障修理故障故障失效修理部件1部件?失效A?2221圖B.9特定連接的1/3可靠性佩特里網(wǎng)C?C?C?22G?C?C?λ*3A?C?C?CH?H?圖B.10圖B.9中網(wǎng)的可達圖26GB/T43037—2023/IEC62551:2012故障故障故障部件?修理圖B.11特定連接的2/3可靠性佩特里網(wǎng)72?GB/T43037—2023/系統(tǒng)故障故障故障故障故障部件修理部件修理失效修理部件?失效失效C?C?C?圖B.14圖B.13中網(wǎng)的可達圖27GB/T43037—2023/IEC62551:2012(資料性)簡要示例就可信性而言，佩特里網(wǎng)及相應(yīng)的可達圖能表示其可用性、維修性等不同的特性?？紤]到可用性和維修性，可通過擴展的環(huán)狀佩特里網(wǎng)建立系統(tǒng)相應(yīng)產(chǎn)品不同狀態(tài)的更詳細的執(zhí)行功能模型(見圖C.1),例如： 能通過四種變遷實現(xiàn)：注意的是，后三個庫所及其間變遷能濃縮為一個超級庫所，等效于圖A.1的一個“部件?失效”庫所。圖C.1對應(yīng)的可達圖有著類似的簡單結(jié)構(gòu)，包括四個全局狀態(tài)及其概率，以及每個變遷及其變遷運行轉(zhuǎn)移至運行?維修失效未檢測H?開始維修圖C.1單個可用性佩特里網(wǎng)GB/T43037—2023/IEC62551:2012運行H?A未檢測到缺陷H?λ?檢測到缺陷維修圖C.2對應(yīng)圖C.1中帶有與可用性和安全性相關(guān)的全局狀態(tài)和聚合全局狀態(tài)的隨機可用性圖考慮到可用性和安全性的特征，其量度的數(shù)值能通過可用性-安全性正交坐標(biāo)系表示。由于可用性和安全性的概率值通常接近于1,因此在衡量時應(yīng)對不可用度和不安全度取對數(shù)，分別稱為可用度的概率潛能pA和安全度的概率潛能pS:…………(C.1)其中，A是表征系統(tǒng)可用的全部狀態(tài)集合的概率?！?C.2)其中，S是表征系統(tǒng)安全的全部狀態(tài)集合的概率。例如，A=0.9999,即(1-A)=0.0001,-1g(1-A)=4。A'=0.99999,pA=—1g(1-A′)=5,也C.2可用性、可靠性、系統(tǒng)功能和層級(層次)基于可靠性的定義，佩特里網(wǎng)模型將所需功能作為“狀態(tài)-變遷-狀態(tài)”的結(jié)果。部件本身執(zhí)行所需功能的可用性，通過單獨的可靠性狀態(tài)-變遷圈來建模，表征其運行及補充的故障狀態(tài)(見圖A.1)。兩個子網(wǎng)通過測試弧連接，從運行狀態(tài)指向執(zhí)行功能(見圖C.3)。圖C.3基本可靠性和功能建模的概念GB/T43037—2023/IEC62551:2012行所需功能。該概念綜合了產(chǎn)品(資源)的功能性和可靠性表現(xiàn)。圖C.4中的超級變遷隱藏了表征n/3連接的特定邏輯結(jié)構(gòu)。這里的“n”取決于超級變遷內(nèi)隱藏的網(wǎng)。此外，圖C.5中每個部件的狀態(tài)-變遷圈也通過超級庫所隱藏。也就是說，超級節(jié)點能隱藏詳細的系統(tǒng)H?失效故障H?部件?修理部件?失效部件?失效修理部件?運行A?/圖C.4帶有超級變遷的一般層級系統(tǒng)運行系統(tǒng)運行系統(tǒng)故障圖C.5帶有超級變遷和超級庫所的一般層級佩特里網(wǎng)對應(yīng)的可用度模型見圖C.6和圖C.7。修理失效修理失效失效?修理GB/T43037—2023/IEC62551:2012系統(tǒng)故障故障故障??修理部件1運行失效圖C.6帶有超級變遷的一般層級佩特里網(wǎng)可用度模型系統(tǒng)運行故障圖C.7帶有超級變遷和超級節(jié)點的一般層級佩特里網(wǎng)GB/T43037—2023/IEC62551:2012(資料性)表D.1用佩特里網(wǎng)結(jié)構(gòu)可信性的常規(guī)概念建?？尚判愿拍钆逄乩锞W(wǎng)建模方法失效率為常數(shù)λ(失效時間服從指數(shù)分布)可用狀態(tài)失效(A)修理率為常數(shù)μ的修理或恢復(fù)(修理/恢復(fù)時間服從指數(shù)分布)不可用狀態(tài)修理(H)修理或恢復(fù)(修理時間為固定的n個時間單元)不可用狀態(tài)修理(n小時)修理或恢復(fù)(修理時間服從截斷正態(tài)分布，以x為均值，y為偏差)不可用狀態(tài)修理[N(x,y]可維護性(維護行為“監(jiān)控”成功完成的概率為x%.0≤x監(jiān)控完成(概率x)監(jiān)控前的產(chǎn)品監(jiān)控終止(概率1-x)監(jiān)控的產(chǎn)品未監(jiān)控的產(chǎn)品表D.2展示了如何建立特定狀態(tài)和事件成本的模型。這里用到率回報(rr)和沖量回報(ir)的概念，見表A.2。注意，這里為變遷N(x,y)假設(shè)了取值范圍為[0,0]的截斷正態(tài)律。表D.2建立狀態(tài)和事件的成本模型成本類型佩特里網(wǎng)建模方式失效成本(成本與不可用狀態(tài)的累積時間成比例)不可用狀態(tài)(rr)修理(μ)修理或恢復(fù)成本(成本與修理數(shù)量成比例)不可用狀態(tài)修理(μ),(ir)GB/T43037—2023/IEC62551:2012表D.2建立狀態(tài)和事件的成本模型(續(xù))成本類型佩特里網(wǎng)建模方式可維護性成本(維護行為“監(jiān)控”成功完成的概率為x%,0≤x≤1,且監(jiān)控時間均勻分布在區(qū)間[1…y];任何情況下監(jiān)控成本都會累積)監(jiān)控前的產(chǎn)品開始成功的監(jiān)控(概率x)產(chǎn)品被成功產(chǎn)品的成功監(jiān)控結(jié)束監(jiān)控(rr)(統(tǒng)一的[1…y])監(jiān)控的產(chǎn)品開始不成功的監(jiān)控(概率1-x)產(chǎn)品未被成功監(jiān)控(rr)終止不成功的監(jiān)控(z)未監(jiān)控的產(chǎn)品GB/T43037—2023/IEC62551:2012(資料性)平交道口示例E.1概述這里選擇了一個受保護的平交道口(帶有柵欄)的建模過程作為佩特里網(wǎng)可信性應(yīng)用的示例。本例將確定道口交通的可用度及每年死亡人數(shù)(風(fēng)險)。關(guān)注的概率參數(shù)包括：道口的危險率、汽車和火車間隔到達時間，以及汽車駕駛員到達道口的可能行為。E.2描述系統(tǒng)的主要組成和功能a)假設(shè)的道口拓?fù)錀l件見圖E.1,包括相互影響的交通流(鐵路和公路)以及控制共用部分路徑不被兩方同時使用的安全設(shè)備。這里假定該系統(tǒng)與其他系統(tǒng)無關(guān)。車輪車輪探測器危險區(qū)域警告燈控制觸發(fā)區(qū)域D軌道電路圖E.1平交道口及其保護系統(tǒng)示例b)系統(tǒng)主要組成包括設(shè)備(相互影響的公路和鐵路交通)及控制單元(由道口保護設(shè)備實現(xiàn))。c)公路和鐵路交通的主要功能是人員和貨物的安全運輸。兩種運輸工具都假設(shè)了恒定的速度，對應(yīng)于公路和鐵路的最大允許速度。交通流之間唯一可能的交互就是汽車駕駛員識別到火車。這種情況下，公路車輛將會停止?；疖囻{駛員識別到汽車并不會改變火車的速度。d)保護設(shè)備的主要功能是，在火車臨近時通過視覺信號警告公路車輛。由于公路車輛有一定速度，不能一看到警告信號就立即在危險區(qū)域前停下。因此該保護設(shè)備必須能在特定時間(觸發(fā)時間TAc,即火車位于觸發(fā)和臨近區(qū)域的時間，之后即到達危險區(qū)域)內(nèi)檢測到鐵路車輛，從而保證任何公路車輛安全通過危險區(qū)域。E.3基于佩特里網(wǎng)子模型建立系統(tǒng)的結(jié)構(gòu)模型為了在道口案例中對交通過程進行可信性分析，需要考慮的主要模型組成見圖E.2。GB/T43037—2023/IEC62551:2012交通過程交通可信性設(shè)備控制功能控制設(shè)備可信性控制單元基于超級變遷的對應(yīng)子模型見圖E.3,該圖揭示了模型主要組成之間的信息交換。汽車位于汽車位于DZ交通過程火車位于DZ火車進入觸發(fā)區(qū)域LC完好控制功能LC失效安全控制設(shè)備可信性火車離開LC交通可信性道口關(guān)閉標(biāo)引序號說明：LC——平交道口DZ——危險區(qū)域的后果。本模型并不考慮任何安全措施。路和鐵路被清理且再次可用的時間。d)詳細描述控制設(shè)備可信性的子模型：對控制功能的可信性建模。由于考慮了失效，應(yīng)區(qū)分失效安全的狀態(tài)和危險的狀態(tài)。該子模型的行為影響控制功能的行為。GB/T43037—2023/IEC62551:2012E.4細化模型直到滿足要求的詳細程度E.4.1概述E.4.2細化模型結(jié)構(gòu)事故能視為交通過程中發(fā)生危險情況的后果。模型基于以下四個子模型來描述這種因果關(guān)系：a)交通過程子模型的道口(LC)交通流；b)交通可信性子模型的事故發(fā)生；c)控制功能子模型的LC操作運行；d)控制設(shè)備可信性子模型的危險影響的來源。汽車位于汽車位于DZP1汽車離開DZ火車進入敏發(fā)區(qū)域火車進入臨近區(qū)域火車進入DZ火交通過程無火車汽車臨近圖E.4建立了理想情況下交通過程的模型：所有汽車駕駛員只有在無火車臨近或位于危險區(qū)域入危險區(qū)域的駕駛員，甚至是火車已經(jīng)位于危險區(qū)域時還進入危險區(qū)域的駕駛員?？紤]這兩類駕駛員GB/T43037—2023/IEC62551:2012田田汽車進入DZ汽車臨近汽車位于DZ汽車離開DZ沒有事故交通可信性火車進入Dz火車離開DZ事故移除火車位于DZ火車位于DZ之外P1火車臨近事故p3P2交通過程圖E.5交通過程及交通可信性佩特里網(wǎng)模型GB/T43037—2023/IEC62551:2012田田p1沒有事故P2事故發(fā)生交通可信性事故移除交通過程LC關(guān)閉LC失效安全觸發(fā)控制功能LC觸發(fā)事故圖E.6帶有理想控制功能的交通過程佩特里網(wǎng)模型考慮了理想運作的控制系統(tǒng)的模型見圖E.6。模型中，一旦火車臨近，道口就會被觸發(fā)并關(guān)閉。圖GB/T43037—2023/IEC62551:2012田田且無火車P1沒有事故p2火車臨近時汽車進入DZ事故發(fā)生交通可信性事故移除交通過程LC關(guān)閉LC安全失效LC運行LC修復(fù)消除LC觸發(fā)LC危險消除LC危險控制設(shè)備可信性LC失效安全觸發(fā)LC危險失效汽車臨近LC觸發(fā)LC開放圖E.7平交道口示例的佩特里網(wǎng)模型E.4.3進一步說明模型結(jié)構(gòu)及參數(shù)交通過程子模型分別描述了汽車、火車的運動。公路交通由六個庫所和八個變遷表示(庫所“無事型變遷。庫所代表的汽車狀態(tài)見表E.1。40GB/T43037—2023/IEC庫所容量描述汽車位于DZ之外汽車離開道口系統(tǒng)。使用多個令牌來表示汽車的連續(xù)流汽車臨近汽車駕駛員臨近道口，可能會看到臨近的火車1汽車駕駛員臨近道口，只要近處無火車就準(zhǔn)備進入危險區(qū)域汽車位于DZ1汽車位于道口的危險區(qū)域域的決定。庫所的“容量”指的是庫所內(nèi)最大令牌數(shù)量。“Inf”表示該庫所的令牌數(shù)量(非負(fù)數(shù))沒有限制。變遷對汽車的運動建模。公路交通流通過變遷“汽車進入臨近區(qū)域”表示。該變遷的參數(shù)能通過統(tǒng)計測量某個特定的道口來評估。測量的兩輛汽車到達時間間隔的柱狀圖見圖E.8,相應(yīng)的概率分布近似函數(shù)見圖E.9。0.1600+0.1400+0.1200+0.1000+0.0800+0.0600-0.0400-0.0200+0.0000+時間/s圖E.8收集的平交道口公路交通流的測量值：兩輛汽車到達時間間隔0.80000.60000.40000.20000.00004時間/s圖E.9基于圖E.8的近似概率分布函數(shù)GB/T43037—2023/IEC用類似的方法評估變遷“汽車離開DZ”的參數(shù)。現(xiàn)場測量結(jié)果見圖E.10。時間/s間隔為0.0510圖E.11基于圖E.10的近似概率分布函數(shù)由圖E.11可見，對應(yīng)的分布并不是指數(shù)型的。由于該參數(shù)對事故發(fā)生概率有重大影響，宜采用最考慮到保護設(shè)備未提供警告的情況(例如保護設(shè)備失效),模型包含了汽車臨近道口時可能的不同行為。據(jù)專家預(yù)計，這種情況下50%的駕駛員即使看到火車臨近也會進入道口的危險區(qū)域：變遷12的引發(fā)將激活“火車臨近時汽車進入DZ”(假設(shè)LC未關(guān)閉)。t1引發(fā)的概率為45%且將標(biāo)記庫所p1。只有在沒有火車位于臨近區(qū)域或危險區(qū)域時，變遷“無火車時汽車進入DZ”才激活。5%的駕駛員在火車通過道口時仍會進入危險區(qū)域(例如視力或剎車不良的情況)。這些考慮分別在立即變遷t1、t2和t3的權(quán)中體現(xiàn)。當(dāng)兩個或更多的變遷同時激活時需用到權(quán)。例如汽車和火車同時位于臨近區(qū)域時(庫所所有描述公路交通動態(tài)特性的變遷的參數(shù)(包括進一步的說明)見表E.2。GB/T43037—2023/IEC62551:2012變遷名稱時間概念權(quán)參數(shù)時間(分鐘)描述汽車進人臨近區(qū)域指數(shù)分布描述公路交通流(見上文)瞬時描述只在無火車時汽車才進入危險區(qū)域的情況瞬時描述火車臨近且無警告時汽車進入危險區(qū)域的情況瞬時5描述火車通過且無警告時汽車進入危險區(qū)域的情況汽車進入DZ且無火車指數(shù)分布描述汽車在臨近區(qū)域的時間火車臨近時汽車進入DZ指數(shù)分布描述汽車在臨近區(qū)域的時間火車通過時汽車進入DZ指數(shù)分布描述汽車在臨近區(qū)域的時間汽車離開DZ指數(shù)分布0.066描述汽車在危險區(qū)域的時間所有描述鐵路交通動態(tài)特性的庫所的參數(shù)(包括進一步的說明)見表E.3。庫所名稱容量描述火車位于DZ之外1火車位于道口系統(tǒng)之外火車位于觸發(fā)區(qū)域1火車位于道口的保護設(shè)備(警告燈)被觸發(fā)且視覺警告被啟用的區(qū)域中火車臨近1火車位于汽車駕駛員能看到的臨近區(qū)域火車位于DZ1火車位于道口的危險區(qū)域火車時刻表來評估。本例中火車平均頻率是每小時兩班，假定兩班火車的間隔時間服從指數(shù)分布。這里進一步假設(shè)所有火車速度一致，這樣火車頭通過道口觸發(fā)及鄰近區(qū)域的時間是常數(shù)(TAc=常數(shù)=0.133min+0.166min)。在危險區(qū)域的時間取決于火車的長度。其變化根據(jù)平均時間為0.3min的指數(shù)分布來假設(shè)。鐵路交通變遷的分布及參數(shù)意義見表E.4。變遷名稱時間概念時間(分鐘)描述火車進入觸發(fā)區(qū)域指數(shù)分布描述鐵路交通流火車進入臨近區(qū)域確定值0.133描述火車在觸發(fā)區(qū)域(觸發(fā)警告)的時間火車進入DZ確定值0.166描述火車在臨近區(qū)域(可被汽車駕駛員看見)的時間火車離開DZ指數(shù)分布描述火車在危險區(qū)域的時間GB/T43037—2023/IEC62551:2012公路和鐵路交通過程的相互作用通過測試弧和抑制弧表示，尤其在對汽車駕駛員進入危險區(qū)域的決策及汽車間相互作用建模時(只有在庫所p1,p2,p3中沒有汽車準(zhǔn)備進入危險區(qū)域，立即變遷t1、t2和t3才能被激活)?！盎疖囄挥贒Z”的兩個弧表示事故的發(fā)生。這里并無時間性的假設(shè)，事故是道口危險區(qū)域內(nèi)同時出現(xiàn)汽車和火車的即時邏輯結(jié)果。假設(shè)事故移除過程服從指數(shù)分布，平均持續(xù)時間為2h(120min)。事故移除期間，道口對鐵路和公路交通都不可用(用抑制弧建模)。庫所和變遷的意義及其參數(shù)見表E.5和表E.6。庫所名稱容量描述無事故1危險區(qū)域內(nèi)沒有事故事故1危險區(qū)域內(nèi)有事故1汽車駕駛員臨近道口且準(zhǔn)備進入危險區(qū)域，甚至在火車臨近時(只要警告設(shè)備未打開)1汽車駕駛員臨近道口且準(zhǔn)備進入危險區(qū)域，甚至在火車通過時(只要警告設(shè)備未打開)變遷名稱時間概念權(quán)時間(分鐘)描述事故發(fā)生瞬時1描述汽車和火車同時占用危險區(qū)域的邏輯結(jié)果事故移除指數(shù)分布描述事故移除過程持續(xù)時間備的主要系統(tǒng)狀態(tài)。設(shè)備的觸發(fā)(變遷“LC觸發(fā)”)用測試弧連接交通過程模型的庫所來建模，表示火狀態(tài)來建模(例如，用于撤銷保護設(shè)備觸發(fā)的車輪檢測器的失效以及其他檢測到的失效)。只要設(shè)備處于運行狀態(tài)，在火車已經(jīng)離開危險區(qū)域后(與庫所“火車離開DZ”連接的測試弧),設(shè)備撤銷就會發(fā)生庫所名稱容量描述LC開放1LC處于被動狀態(tài)，公路警告關(guān)閉LC關(guān)閉1LC處于主動狀態(tài)，公路警告打開GB/T43037—2023/IEC62551:2012變遷名稱時間概念權(quán)參數(shù)描述LC觸發(fā)瞬時1描述LC保護設(shè)備的觸發(fā)激活撤銷LC觸發(fā)瞬時1描述LC保護設(shè)備的撤銷LC失效安全觸發(fā)瞬時1描述由于檢測到保護設(shè)備失效而觸發(fā)LC運行、失效安全及危險狀態(tài)。指數(shù)型變遷對可能的狀態(tài)變化建模(類似于使用馬爾可夫鏈)。用圖E.3護設(shè)備處于危險狀態(tài)(例如火車檢測設(shè)備失效或任何未檢測到的保護設(shè)備失效),對汽車駕駛員的警告庫所名稱容量描述LC運行1LC處于運行狀態(tài)，LC保護設(shè)備功能性(觸發(fā)及撤銷)完全可用LC失效安全1LC處于失效安全狀態(tài)，LC保護設(shè)備處于安全狀態(tài)——汽車駕駛員的警告開啟LC危險1LC處于危險狀態(tài)，LC保護設(shè)備功能性(觸發(fā)及撤銷觸發(fā))不可用變遷名稱時間概念時間(分鐘)描述LC危險失效指數(shù)分布6×10?描述LC保護設(shè)備危險失效的發(fā)生時間LC安全失效指數(shù)分布6×10?描述LC保護設(shè)備安全失效的發(fā)生時間LC危險消除指數(shù)分布描述LC保護設(shè)備危險失效的檢測時間LC修理指數(shù)分布描述LC保護設(shè)備(在檢測失效后)的修理時間變遷“LC危險失效”的時間參數(shù)是平均危險失效時間模型中假設(shè)，安全的系統(tǒng)失效發(fā)生率比危險失效高出十倍。變遷“LC危險消除”的參數(shù)能通過分析統(tǒng)計數(shù)據(jù)得到，或考慮采用兩輛火車間的最長時延(假設(shè)例如火車駕駛員察覺到LC保護設(shè)備的危險失效),即6h(360min)。變遷“LC修理”的時間參數(shù)估計為4h(240min),表示檢測到失效后的修理時E.5分析模型得到結(jié)果定性分析的目標(biāo)是研究模型的狀態(tài)空間。示例中網(wǎng)的定性可達圖狀態(tài)多達300個，由于無法將其GB/T43037—2023/IEC62551:2012保護設(shè)備的安全完整性等級(SIL,見EN50126)等)評估事故發(fā)生率。由于不僅有指數(shù)分布，還有確定慮了“事故移除”,只仿真了一個歷史記錄。該歷史記錄時間約25000萬年且計算時間約120天。通過合可達圖就揭示了道口保護設(shè)備的主要可信性狀態(tài)及其與事故狀態(tài)的關(guān)系。如圖E.12所示，可達圖證LC運行圖E.12集合可達圖及對應(yīng)狀態(tài)的信息佩特里網(wǎng)模型集合狀態(tài)包含的狀態(tài)數(shù)量(根據(jù)布爾條件)見表E.11。集合狀態(tài)的名稱布爾條件集合可達圖的狀態(tài)包含的(初始)可達圖狀態(tài)的數(shù)量事故m(accident)≥1LC運行m(LC_opetating)≥1~m(accident)=0LC危險m(LC_hazard)≥1-m(accident)=0LC失效安全m(LC_fail_safe)≥1~m(accident)=0注：“-”代表邏輯“與”;m(庫所)表示庫所的標(biāo)識，如庫所內(nèi)令牌的數(shù)量。警告的觸發(fā)時間TAc或減少危險失效發(fā)生率(尤其在本例假設(shè)安全的系統(tǒng)失效的發(fā)生率比危險失效高出十倍時),將提高可用度。圖E.13的結(jié)果驗證了這些預(yù)測。46道路交通平交道口的可用度/%GB/T43037—2023/IEC道路交通平交道口的可用度/%99-99-Tac≤305TAc=42sTAc=54sTAc-90sTAc=138s危險率圖E.13定量分析結(jié)果表明不同的TAc時道口平均可用度是保護設(shè)備危險率的函數(shù)另一方面，定量分析的結(jié)果還可用于評估公路交通的安全性。考慮到給定的汽車流，汽車平均乘客人數(shù)1.5及致死系數(shù)1,獲得的事故發(fā)生率可用于評估道口處的單人風(fēng)險(每人每年的死亡率)。圖E.14表明了單人風(fēng)險與觸發(fā)時間TAc及道口保護設(shè)備危險率的關(guān)系。TAc≥90sTAc=54sTAc=42sTAc=18sTAc=30s危險率圖E.14定量分析結(jié)果表明不同的TAc時道口風(fēng)險是保護設(shè)備危險率的函數(shù)根據(jù)圖E.13和圖E.14的結(jié)果，通過一些技術(shù)改進提升安全完整性等級(降低危險率)效果不明顯，且可能只會增加系統(tǒng)開發(fā)及生產(chǎn)的成本。將定量分析結(jié)果可視化為安全性/可用性圖，揭示了不同優(yōu)化GB/T43037—2023/IEC42sTx=18sIAc=30sT=54sTAc=138sS71.0HR=1E—03SII,1MEMc百SII3SII4S/L2定量分析結(jié)果的可用性安全性圖根據(jù)圖E.15的結(jié)果，最優(yōu)觸發(fā)時間TAc的取值約為54s,從而降低汽車可能無法完全離開危險區(qū)域的風(fēng)險。該值揭示了采用安全完整性等級1(HR=1E-5～1E-6)的可能性，使得道口的可用率為94.5%,且單人風(fēng)險為每人每年1E-5次死亡(風(fēng)險接受值[1]PETRI,C.A.,KommunikationmitAutomaten.SchriftendesInstitutsfürinstrumentel-leMathematik,Bonn,1962[2]IEC61508(allparts),Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems[3]GERMAN,R.,PerformanceAnalysisofCommunicationSystems—ModellingwithNon-MarkovianStochasticPetriNets,JohnChichester:Wiley,200