大系统的可靠性与概率风险评估

大系统的可靠性与概率风险评估

0基于事件树—引言核电站系统、宇宙系统、工业化系统和军事装备系统通常由硬件、软件和操作员组成。该系统的运营是系统硬件、软件和操作员之间的互动和互动过程。系统以及组成系统各部件的状态往往处于动态的变化过程中,因此在可靠性与概率风险评估时就需要考虑系统的响应时间、系统与部件状态变化,以及系统各部件相互作用对系统可靠性与风险性产生的影响,反之亦然。而传统的可靠性与概率风险评估方法往往将系统假定为不变的过程,如典型的基于事件树—故障树的系统概率风险评估技术,假设当割集事件发生时,故障树顶事件同时发生,在大多数情况下这一假设存在合理性,但对于复杂大系统中存在的硬件、软件与人相互作用的过程,就必须考虑各事件发生的驻留时间、部件与系统的响应时间,各事件发生的时间顺序以及部件状态对系统状态产生的影响等一系列动态因素对系统可靠性与风险性产生的影响,而不能仅考虑静态事件的组合对系统可靠性与风险性的影响。可靠性与风险性评估关注的3个问题可以定义成一个三元素集合来表示,即“假定的事件序列、事件序列的发生频率、事件序列产生的结果”,表示为〈si,fi,pi〉.传统的基于布尔逻辑模型的可靠性与风险性分析方法的一个主要缺陷就是无法描述各事件发生的时间和顺序,或者说无法描述和时间相关的假定事件序列,因此在分析复杂大系统时不得不进行大量的简化,无法描述系统存在的诸多动态行为,使得分析的结果与实际情况存在较大差异。为了解决上述问题,可靠性工程领域提出和发展了所谓的动态可靠性(DynamicReliability)或者动态概率风险评估(DynamicProbabilisticRiskAssessment,DPRA)的相关技术方法。本文以下部分对动态可靠性的概念与内涵,理论基础与技术特点,发展现状与应用情况,以及未来可能的发展趋势和研究热点进行了总结归纳。1动态可靠性概念的内涵动态可靠性研究的对象是动态系统,实际上在工程系统中几乎所有的系统都是动态系统。动态系统可定义为这样的系统,其对初始扰动的响应随着系统组成部件的相互作用,以及部件与所处工作环境的相互作用而发展变化,这里的“动态”刻意强调事件的时间历程,以及系统各组件间相互作用的重要性。动态可靠性与动态概率风险评估的定义很多,其中普遍认同的定义是:动态可靠性是研究包括系统动态行为在内的随机过程的理论方法,重点研究系统安全领域中故障特征的描述问题,其中“动态”一词主要强调系统的动态变化过程,以及故障、维修、控制操作行为对系统动态特性的影响,反之系统动态行为以及与之相关的状态变量也将对故障率、维修率以及控制操作人员的行为产生影响。换言之,“动态”一词强调系统在整个工作过程中将随机地、动态地从一个状态转换到另一个状态。动态可靠性主要用来分析部件的随机故障与维修行为、动态特性,以及与操作人员和工作环境之间的相互影响,如何分析属于不同时间尺度的确定性过程与随机过程的相互作用是该技术需要解决的复杂问题之一。动态可靠性分析的主要目标就是计算系统概率密度函数π(x,i,t),即系统在t时刻处于状态(x,i)的概率密度;或者计算由π(x,i,t)导出的相关函数,如概率P(D,t),即系统在t时刻损伤超过D的概率。其中:i表示系统硬件结构的离散随机变量,如部件的状态;向量x表示包含系统动态行为的过程变量或者物理变量,它描述了系统的状态;D表示系统可接受的损伤水平。因此π(x,i,t)是描述系统在t时刻,系统组部件状态为i时,系统处于x状态的概率密度。与经典的概率风险性评估技术相比动态可靠性(或者动态概率风险性评估)概念的内涵主要体现在以下几方面:首先,动态可靠性强调系统的动态行为对系统的响应将产生重要的影响,例如控制保护装置的操作对于过程变量设定阈值的响应;其次,系统硬件组部件故障与操作人员的行为依赖于当时系统过程的动态特性;第三,操作人员的行为与系统硬件组部件之间复杂的交互行为和相互作用将影响系统的响应与系统的故障行为;最后,从动态可靠性的概念出发,可以针对复杂大系统的多故障模式和过程动态行为建立相关的不同退化模型。2系统状态的二元组动态可靠性技术的理论框架分为2类:即状态转移模型或马尔可夫模型,连续事件树模型(或称为蒙特卡洛仿真模型)。其中:状态转移模型或马尔可夫模型可参见控制工程与随机过程的相关理论,其描述了系统在不同状态下的发展历程,以及各个状态之间的转换,系统状态由系统硬件功能、过程变量值和操作人员的行为定义,由该模型可以得到系统在给定时间和状态下的概率。另一类是连续事件树模型,众所周知传统的事件树模型是依据各事件发生的固定时间顺序建立的,也就是说事件之间的传递或者转换时刻是由分析人员预先确定的(或者想定的),而连续事件树模型不对事件序列空间进行离散化处理,而是假设事件序列随机的、连续的产生,因此更好地描述了系统固有的物理特性以及不确定的动态行为。为分析问题方便,假设系统为马尔可夫过程系统,则基于连续事件树模型的系统概率密度函数π(x,i,t)是Chapman-Kolmogorov方程的解,其近似解析解可由该方程得到。根据动态可靠性的定义可知:在时刻t及给定部件状态为i的条件下,系统状态x随时间的变化可表示为∂x∂t=fi(x,t)∂x∂t=fi(x,t).(1)根据系统的马尔可夫特性,系统在t时刻且处于状态y转移到s时刻且处于状态x(s>t)的概率为P(x,s|y,t)=∫P(x,s|z,u)P(z,u|y,t)dz,(2)其中:t<u<s,且在动态可靠性分析中系统的状态表示为二元组(x,i).设λi(u)Δt表示当系统状态为u,且在时间间隔Δt内,部件离开状态i的条件概率;并设p(j→i|u)Δt表示当系统状态为u,且在时间间隔Δt内,部件离开状态j转移到状态i的条件概率。则系统部件处于状态i,且系统处于状态u的概率可表示为λi(u)=∑j≠i∑j≠ip(j→i|u).(3)考虑到系统概率密度函数与初始条件的相关性,采用π(x,i,t|x0,k,t0)替换π(x,i,t),且满足π(x,i,t|x0,k,t0)=δ(x-x0)δik,则由随机过程与马尔可夫过程理论可知∂∂tπ(x,i,t|x0,k,t0)+λi(x)π(x,i,t|x0,k,t0)+∂∂tπ(x,i,t|x0,k,t0)+λi(x)π(x,i,t|x0,k,t0)+divx[π(x,i,t|x0,k,t0)fi(x,t)]=∑j≠1∑j≠1p(j→i|x)π(x,i,t|x0,k,t0).(4)显然有π(x,t)=∑i∑iπ(x,i,t),π(i,t)=∫π(x,i,t)dx成立,对于系统部件状态i求和,并由(4)式及(3)式得:∂π(x,t)∂t+div∂π(x,t)∂t+divx[π(x,t)f(x,t)]=0.(5)其中,f(x,t)≅∑iπ(x,i,t)fi(x,t)∑iπ(x,i,t).∑iπ(x,i,t)fi(x,t)∑iπ(x,i,t).同样知∫divx[π(x,i,t)fi(x,t)]dx=成立,对系统状态x积分,并由式(4)得:∂π(i,t)∂t+⟨λi⟩π(i,t)=∂π(i,t)∂t+〈λi〉π(i,t)=∑j≠i∑j≠i〈p(j→i)〉π(j,t)(6)其中:〈λi〉=∫λi(x)π(x,i,t)dx∫π(x,i,t)dx∫λi(x)π(x,i,t)dx∫π(x,i,t)dx,〈p(j→i〉=∫p(j→i|x)π(x,j,t)dx∫π(x,j,t)dx∫p(j→i|x)π(x,j,t)dx∫π(x,j,t)dx显然∫π(x,t)dx=∑i∑iπ(i,t)=1,并且式(5)、(6)中隐含了概率密度函数π(x,i,t)的信息,以上就是基于连续事件树模型的动态可靠性方法的数理基础,进一步的资料和算例参见文献。显然,由于(4)式是含有向量的多维微分方程,对于复杂大系统无法得到其解析解,实际工程中很难应用,并且在实际分析中也不需要得到精确的解析解。因此,可以采用蒙特卡洛仿真的方法估计出系统概率密度函数,这就是该方法也称为蒙特卡洛仿真模型法的原因之一,其基本原理是采用蒙特卡洛方法建立系统对初始事件的响应集,并对可能的事件序列进行采样,从而得到系统在给定时间处于某一状态的概率,而不是跟踪事先确定的事件序列,进一步的理论参见文献。此外,由于复杂大系统结构复杂,系统各组成部分存在复杂的相互作用,因此系统风险分析人员不可能得到系统所有可能的、假定的事件序列集,并且对于大多数需要进行风险性与可靠性分析的系统而言,其本身的可靠性很高,系统发生故障的事件往往属于小概率事件,在基于事件树—故障树模型的风险分析中确定类似的小概率事件序列相当困难,仿真是对小概率事件分析的有效方法,成为动态可靠性分析的主要方法之一。事实上对于复杂大系统的动态可靠性与动态概率风险评估,由于系统规模巨大,其状态向量的高维度和物理建模的困难,使得基于状态转移和动态事件树等模型的评估相当困难,有时甚至难以实施。但就动态可靠性方法而言,其问题本质是寻找可能获得系统风险信息的可能事件序列空间,而蒙特卡洛仿真一般忽略系统的具体结构,而是寻求最优的采样函数,因此蒙特卡洛方法也是目前唯一可应用于实际工程的方法。3动态可靠性方法与传统分析方法的比较动态可靠性与动态概率风险评估方法发展至今已有20多年的历史,1981年Amendola和Reina开始探讨动态概率风险性评估方法的可行性,几年后基于离散动态事件树的概率风险评估方法应用于核电站风险性评估领域,典型的方法包括基于离散动态事件树模型(DiscreteDynamicEventTree,DDET)的DYLAM(DynamicLogicalAnalyticalMethodology)、ADS(AccidentDynamicSimulator)、DETAM(DynamicEventTreeAnalysisMethod),以及ADS-IDA(AccidentDynamicSimulator-InformationDiagnosis/DecisionActionCognitiveModel)等。在理论研究方面Devooght和Smidts于1992年提出了基于连续事件树模型的理论框架,此后促进了基于蒙特卡洛方法的动态概率风险性评估技术的发展,并将该技术逐步应用于那些传统风险性分析方法无法适用的领域,如交互式人机系统的可靠性与风险性分析,其研究对象也涉及复杂大系统到简单系统的各种系统尺度,目前已在核工业以及航天等领域中得到应用,也有一些研究者将其应用于诸如汽车发动机诊断等领域,这种方法典型的应用分析软件如马里兰大学可靠性与风险性研究中心为美国国家航空与宇宙航行局(NationalAeronauticsandSpaceAdministration,NASA)开发的基于仿真的概率风险性分析软件SimPRA。在不同阶段都有研究者对动态可靠性技术的阶段性研究成果进行了总结,可进一步参见文献等。总结动态可靠性领域的主要研究成果和发展现状,可得到其发展的现状与各种方法的关系图,如图1所示。图1显示了动态可靠性方法按照是否源于传统的概率风险性分析方法,可以分为两类,其一:通过改进传统的分析方法提高其描述系统动态行为的能力,如动态故障树方法、扩展的事件序列图法等;其二:发展新的动态概率风险性分析方法,如GO-FLOW方法、动态流图法与基于仿真分析的方法,基于仿真的方法又可细分为基于离散动态事件树模型的方法,以及基于连续事件树模型的方法(一般也称为MonteCarlo方法)。以下对各种方法做一简单介绍:1fautth模型分析由于传统的静态故障树方法在系统可靠性与风险性分析领域中的普遍应用,因此一些研究者试图通过改进静态故障树分析法来使其能够部分描述系统的动态行为,从而将该技术应用于动态可靠性分析中,最早由Dugan于1991提出了所谓动态故障树分析法,即DFT(DynamicFaultTree,DFT)。DFT通过引进新的逻辑门来描述系统的动态行为,如冷备份门、序列强制门等。马尔可夫链模型(MarkovChain,MC)和二元决策图(BinaryDecisionDiagrams,BDD)是用于进行DFT分析的主要方法,对于复杂大系统一般将系统故障树分解为静态故障树和动态故障树等子树分别进行求解,对于静态故障树采用BDD方法求解,对于DFT采用MC求解。DFT方法已经开发出专门软件和商业软件,如维吉尼亚大学开发的DITree和Galileo,以及商业软件如Relex、Sapphire、FaultTree+等。尽管DFT可以描述系统部分的动态行为,如时间相关性,事件发生时序等,并发表了许多相关论文,但其仍无法描述系统全部的动态行为,而且DFT的求解必须依赖于马尔可夫假设,因此对于存在各种组部件交互行为的复杂大系统其应用效果并不理想。2静态事件序列图法事件序列图法是一种反映假想的成功事件序列和失效事件序列的图形化的方法,用来构造事件树和排查系统可能的故障事件序列。1999年Swaminathan和Smidts扩展了静态事件序列图法,以便可以用该方法描述系统的动态行为,如时间相关性、并发事件等等。该方法仍然是建立在系统为马尔可夫过程或半马尔可夫过程假设基础之上的,并于2002年开发了相应的软件,即QRAS(QuantitativeRiskAssessmentSystem,QRAS),但其本质上仍是以静态概率风险分析技术为主的,对于系统潜在的风险性事件序列仍需要专门的风险性分析人员分析得到,对于复杂大系统仍存在仅依靠风险分析人员难以得到系统全部事件序列集的问题,使得该方法的应用受到限制。3go-fwell模型的缺陷作为一种分析系统任务成功性的系统分析技术,其由信号流和操作子组成,借以表示系统的配置、功能和可能的故障。对于单层次系统,可以方便的建立GO-FLOW模型,也便于应用,甚至有些研究者声称其较故障树—事件树模型而言,可以更好的描述系统的特性。但GO-FLOW模型也存在一些自身无法克服的缺陷。其一:该模型只能描述二值系统的状态,并且任何正常状态的偏离都被视为故障处理;其二:在GO-FLOW模型中必须列出系统所有可能事件的组合,从而使得诸如N中取K这样的系统难以用该模型描述;其三:GO-FLOW模型无法处理复杂大系统这样的多级系统模型,而且也无法得到类时故障树的最小割集等主要的系统风险性分析信息。类时GO-FLOW模型在系统可靠性与风险性分析领域的应用,有些研究者也将其他信息描述领域的模型引入到系统风险性分析领域,典型的有Petri网模型,神经网络模型等,但这些技术远未达到实用化的程度,有大量的理论与技术问题需要解决。4风险性评估Garrett是最早将动态流图法应用于软件驱动的嵌入式系统建模中的研究者,而后一些研究者将该方法应用于核工业、航天和其他工业领域的控制系统风险性分析评估中。该方法的目标是确定系统事先假定的事件怎样发生,以及根据系统功能行为分析得出系统合理的测试策略。该方法的主要缺点是存在组合爆炸问题,随着系统规模的不断增加,由于对物理变量的离散化将产生巨大的多维矩阵,并导致离散误差迅速增加,使得该方法无法应用,此外该方法也无法完成定量风险性分析评估。5仿真时间步长的选择基于该模型的仿真一般采用前向事件树分支生成技术,仿真中分支点仅在离散时间点生成,所研究的系统需要风险分析人员对其进行详细的分析,以便能够在仿真模型中应用。系统各部件的状态必须进行离散化处理,且仿真过程中需要遍历系统所有可能的事件序列。以上特点使得仿真时间步长的选择相当关键,只有合适的时间步长才能保证仿真遍历系统所有可能的事件序列。因此,在某种程度上该模型只是传统事件树分析的扩展,只是在该模型中去除了传统事件树中二值逻辑的假设。显然如果仿真时间步长较小则很容易产生巨大的事件序列,使得仿真无法进行,时间步长增加必定使得仿真的精度降低,因此一些研究者提出了一些控制事件序列数量的准则,如系统所有可能事件序列的概率必须大于给定的阈值,其它小概率的事件序列将被忽略,但在风险性分析中往往小概率高风险的事件序列最值得关注,因此如何有效的控制事件序列的数量,并保证仿真的精度和有效性是该方法在实际工程中应用的关键。6动态可靠性方法与离散动态事件树模型要求事件必须在预先设定的时间点发生不同,连续事件树模型中事件可以在任意时刻发生,这与实际情况更相符合,同时也避免了各种事件序列组合爆炸问题。在基于连续事件树模型的仿真中一般采用蒙特卡洛方法,该方法对系统的维数和复杂性没有特殊的要求,因此任何模型假设,如变故障率假设、系统部件与过程的相互作用假设均可以用蒙特卡洛模型处理,系统各状态之间的转移隐含在蒙特卡洛模型中,因此不需要向离散动态事件树一样列举全部可能的系统状态和状态转移概率,极大地提高了模型的适用性。虽然基于连续事件树的仿真模型具有良好的工程应用前景,但仍存在一些问题需要解决,其中最为主要的是如何解决仿真时间的问题。由于许多实际系统具有极高的可靠性,在仿真分析中为了得到该系统高风险的事件序列就需要进行长时间的仿真,有时这种仿真变得难以进行,甚至无法实现。因此,许多研究者探讨在仿真过程中如何有效地得到小概率高风险的事件序列,其中一种被成为偏执采样的技术受到广泛关注,其主要思想是:研究如何在蒙特卡洛仿真过程中保证那些对系统可靠性与风险性有重要影响的事件序列能够被仿真程序运行足够多的次数,也即蒙特卡洛仿真事件序列采样准则问题,并且提出了诸如基于Shannon信息熵的各种采样方法。动态可靠性方法提出至今已吸引了许多研究者从事该领域的研究,如AliMosleh(UniversityofMarylandCollegePark,USA),TuncAldemir(TheOhioStateUniversity,USA),CarolSmidts(TheOhioStateUniversity,USA),NathanSiu(U.S.NuclearRegulatoryCommission,USA),StevenArndt(U.S.NuclearRegulatoryCommission,USA),EnricoZio(PolytechnicofMilan,Italy),J.D.Lewins(UniversityofCambridge,UK)等。开展该技术研究的国家主要包括:美国、比利时、意大利、西班牙、法国、英国、瑞士、日本和韩国等,并且不定期的举办专门的动态可靠性会议,如2007年10月在Annapolis,Maryland,U.S.A举办的DYNAMICPRA/PSAWORKSHOP等,目前为止该会议已经举办了6次。此外,在美国的可靠性与维修性年会(Theannualreliabilityandmaintainabilitysymposium,RAMS),欧洲的概率安全性评估与管理会议(ProbabilisticSafetyAssessmentandManagement,PASM)等可靠性领域的主要国际会议上也都有一些关于动态可靠性与动态概率风险性评估的论文发表。可靠性与安全性工程领域的主要杂志,诸如可靠性与安全性工程杂志(ReliabilityEngineeringandSystemSafety),IEEE可靠性会刊(IEEETransactionsonReliability)等,也发表大量关于动态可靠性研究领域的论文。此外,一些核工业、航空航天、化工、数学与仿真等相关领域的杂志也刊登关于动态可靠性研究领域的学术论文。在动态可靠性技术应用方面,目前该领域的研究者认为其可应用于可靠性与可用性、安全性、维修性、诊断以及风险监测与管理等领域。至今已有一些工程应用案例,典型的案例包括:美国马里兰大学为美国联邦航空局(FederalAviationAdministration,FAA)航空系统开展的可靠性与风险性分析评估中采用了动态概率风险性评估的方法,开发了相关的软件系统;为NASA月球探测卫星(LunarReconnaissanceOrbiter,LRO)开展的风险性评估中也采用了动态可靠性的分析方法