（高清版）GBT 43037-2023 可信性分析技术 佩特里网技术

可信性分析技术佩特里网技术2023-09-07发布2023-09-07实施国家市场监督管理总局发布国家标准化管理委员会I Ⅲ 12规范性引用文件 l 13.1术语和定义 1 33.3缩略语 34佩特里网概述 44.1非时间低级佩特里网 44.2时间低级佩特里网 44.3高级佩特里网 54.4佩特里网的扩展与建模 55佩特里网可信性建模与分析 65.1建模的一般步骤 65.2建模的详细步骤 76与其他可信性模型的关系 附录A(资料性)佩特里网的结构与动态性 附录B(资料性)m/n冗余的可用性 附录C(资料性)简要示例 附录D(资料性)典型可信性概念的建模 附录E(资料性)平交道口示例 参考文献 Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件等同采用IEC62551:2012《可信性分析技术佩特里网技术》。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本标准由中华人民共和国工业和信息化部提出。本标准由全国电工电子产品可靠性和维修性标准化技术委员会(SAC/TC24)归口。本标准起草单位：工业和信息化部电子第五研究本文件提供一种佩特里网基本元素表示的基础方法[1,以及这一技术在可信性领域的应用指南。佩特里网建模的固有能力使其能够通过对局部状态及局部事件关系建模来描述系统的行为。依托中获得广泛的认可。传统方法(如故障树和可靠性框图)无法处理多态系统，也无法对动态系统的行为建模，还会遇到状态组合爆炸问题(如马尔可夫过程)。在处理实际的工业系统问题时颇受限制，因此，需要其他的建模和发生时系统如何从一种状态演化为另一种状态建模。佩特里网具有图形化的表示方式，能有效支持可靠性工程师的建模，是一种非常有前途的可信性建模和计算技术。分析计算通常只适用于小型系统，且/或需要强有力的前提假设(如指数规律、小概率)。当处理工业级系统时，就可能需要方法上质的突破，如从分析计算改为蒙特卡洛仿真。本文件旨在从可信性角度，定义统一的佩特里网基本原则，将目前佩特里网建模和分析使用方法，作为系统可信性及风险相关量度的定性和定量评估方法。1可信性分析技术佩特里网技术本文件给出以可信性为目标的佩特里网的基础方法，支持系统建模、模型分析并提供分析结果。本方法面向可信性相关的所有特性的量度，如可靠性、可用性、生产可用性、维修性和安全性(如安全完整性等级(SIL)[2]相关量度)。本文件处理下列佩特里网相关问题：a)定义基本术语及符号，描述其使用和图形化表示方法；b)概述术语及其与可信性的关系；1)采用佩特里网建立可信性模型；2)采用基于佩特里网的技术进行定性和定量可信性分析；3)分析结果的解释说明。d)概述佩特里网与其他建模技术的关系；e)提供实践案例。本文件没有给出解决分析佩特里网时出现的数学问题方面的指引，相关指南能参考文献[3]和[4]。本文件适用于所有需要定性与定量可信性分析的行业。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于IEC60050-192国际电工词汇(IEV)第192部分：可信性(InternationalElectrotechnicalVocab-ulary(IEV)—Part192:Dependability)IEC60050-192界定的以及下列术语和定义适用于本文件。保持其特定功能的前提下，构成设备的物理上不能继续分解的最小组成单元。某时刻发生的事情。2在特定背景下作为一个整体且分离于环境的、互相联系的元素集合。注1:通常从实现目标的角度来定义系统，例如执行某个确定的功能。注2:系统的元素可是自然的或人工材质的物体，也可是思维模式及其结果(如组织形式、数学方法和程序语言)。注3:通常认为有一个虚构的截面，切断了系统与环境和其他外界系统的联系，将系统从中分离出来。安全完整性等级safetyintegritylevel;SIL对应于一系列安全完整性值的离散等级(4个可能等级中的1个)。其中，等级4的安全完整性最高，等级1的安全完整性最低。注：IEC61508-1;2010[9]表2和表3中规定了4个安全完整性等级的目标失效量度(见IEC61508-4:2010,3-5-17)[8]。具有两种类型节点(库所和变迁)及有向弧的双向图，用于建立局部状态和局部事件的模型。注：佩特里网通常用于对分布式系统的行为建模。注1:一般来说，佩特里网的弧是有向的，只能连接两个不同类型的节点。注2:除有向弧之外，还有其他的表示方式。库所place佩特里网中对局部状态或条件建模的节点类型。佩特里网中对局部事件建模的节点类型，即状态改变。变迁类型transitiontype对属于一个给定类别的一组事件中的特定事件建模的变迁类型。超级节点supernode佩特里网中隐藏子网，尤其是用于层级模型的节点类型。在佩特里网中用于隐藏两个超级节点间多种连接的弧类型。注：隐藏两个子网的两个超级节点可能有多种弧的连接。可达图reachabilitygraph;RG表示系统行为的状态变迁图。3注：可达图可在带有初始标识的佩特里网的基础上生成。标识marking用佩特里网建模的系统中状态的图形化表示。佩特里网的图形化表示应使用统一的符号、标识符和标签。常用的图形化表示见表1、表2和表3。表1中常规弧的标签“n”为整数值。表1非时间佩特里网的符号标识符标识符标识符(权)n(常规)弧库所符号，也用于多重库所变迁符号符号关系符号——常规弧关系符号测试弧关系符号抑制弧令牌符号有多种测试弧和抑制弧的图形化方式。令牌符号用于表征信息流，并不是佩特里网静态结构的符号。表2时间佩特里网的附加符号变迁类型确定的随机的延时为0延时为d指数分布或几何分布任意分布参数dak任意分布符号注：在确定变迁情况下常用狄拉克分布。此外，时间变迁的参数可独立于状态或时间。表3层级建模的符号标识符标识符标识符超级库所符号超级变迁符号超级节点符号超级弧符号注：“超级弧”的符号没有方向，因为它可代表了不同方向的多个弧。下列缩略语适用于本文件。CDF:累积分布函数(Cumulativedistributionfunction)4DZ:危险区(Dangerzone)ETA:事件树分析(Eventtreeanalysis)FME(C)A:失效模式、影响(和危害性)分析[Failure,mode,effects(andcriticality)analysis]FTA:故障树分析(Faulttreeanalysis)HR:危险率(Hazardrate)LC:道口(Levelcrossing)MTBF:平均失效间隔时间(Meantimebetweenfailures)MTTF:平均失效前时间(Meantimetofailure)PN:佩特里网(Petrinet)RBD:可靠性框图(Reliabilityblockdiagram)RG:可达图(Reachabilitygraph)SIL:安全完整性等级(Safetyintegritylevel)ir:冲量回报(Impulsereward)rr:率回报(Ratereward)4佩特里网概述4.1非时间低级佩特里网佩特里网(PNs)是区分了主动节点和被动节点的图。被动元素称为库所，用于对局部状态或条件建模，当局部状态得到满足时，库所将标记上令牌。主动元素称为变迁，用于对一个状态到另一个状态的变化(例如可能发生的潜在事件)建模。库所和变迁可称节点。库所和变迁表示的现象之间的因果关系，通过不同类型的有向弧连接来描述(见表1中佩特里网的基本符号和附录A中A.1对佩特里网的介绍)。抑制弧只能连接前集库所及其后集变迁(见A.1.2)。对于一个变迁，当所有通过常规弧或测试弧与其连接的前集库所都标记了足够数量的令牌，且所有通过抑制弧连接的前集都无标识时，该变迁被使能。足够使变迁使能的令牌数量将注释在弧上。一般来说，该注释能取决于标识。这些概念的一般应用概要见4.4。变迁被启用后可引发，即改变模型的标识。变迁引发只改变通过常规弧连接的库所的标识：从变迁对应的前集库吸收令牌，并在后集生成令牌。吸收与生成的令牌数量由弧的标签指定。如果弧标签没从初始标识开始，通过任意的变迁引发的序列可达的所有全局标识，都包含在佩特里网的可达图中。可达图的每个节点表示一个全局标识，每个弧表示一个变迁的引发，即一个全局标识转换到另一个。佩特里网也具有非图形化的表示方式，即关联矩阵。假设T是变迁集合阵的维数为|P|×|T|。对于每一个变迁，矩阵相应的列指定了引发后全局标识的改变。在时间佩特里网中，时间与非时间的变迁都可能用到。时间变迁只有在指定的持续时间内使能，才能引发。该持续时间取决于变迁分布函数(累积分布函数，CDF),可能是确定的或随机的。如果两个以引发时间分布，执行策略和存储策略的选择也应说明[3]。当持续时间过去，变迁即可引发。时间佩特里网的常用变迁见表2。对应于指定的时间变迁类型，时间参数可能是固定引发持续时间(引发时间确定的变迁)、常引发率5(引发时间指数或几何分布的变迁)或带参数的概率分布(引发时间任意分布的变迁)。注意，非时间变迁是延迟为零的特殊的固定引发持续时间变迁。在非时间情况下，时间佩特里网的可达图包含表示全局标识的节点以及表示变迁引发的箭头。除非时间可达图的元素外，时间佩特里网的可达图还应考虑变迁的具体参数。4.3高级佩特里网在高级佩特里网中，标识不再是匿名的黑色令牌，取而代之的是独特且可辨别的元组。元组不仅对条件的满足或状态的存在建模，自身也含有特殊信息。这样一来，弧的标签可表达为已有信息的函数。这种建模方式能得到紧凑且直观的模型，甚至适用于复杂系统。本文件介绍的方法不涉及高级佩特里4.4佩特里网的扩展与建模4.4.1佩特里网元素的进一步表示除表1介绍的符号之外，～给出的加权抑制弧、多重库所和全局变量的符号和概念也是佩特里网常用的元素。加权抑制弧与常规弧相比较，抑制弧能赋以权值，见图1。只有当图1中库所p上令牌数少于n,变迁t才使能。注意，若库所p刚好有n个令牌，变迁t仍不使能。为了提高复杂网络的可读性，尤其对于工业规模的系统模型，通常会用到许多附加概念。图2多重库所p图3变迁t引发后p上的标识6全局变量的用法与多重库所相似，变迁是否使能取决于全局变量的取值或判断。除此之外，变迁的引发可能会通过声明和判断来改变全局变量的值。图4t的使能取决于V的值图4的佩特里网中，变迁t只有在全局变量V为真时才使能(?是“读取”运算符，即?V作为守卫，读取全局变量V的值)。t引发后会标记库所q并消除库所p的标识，同时将V设置为假(!是“写入”工业规模的佩特里网通常被模块化为多个彼此联系的子佩特里网[l,12]。在可信性背景下，像失效、修理这样的局部事件能用变迁来建模，而像故障等局部状态可用库所来建模。因此，每个节点的名称能表示相应的可信性特征，需要时还可代表相关的设备。用这种方式理解表4给出了一般系统、佩特里网和可信性的对应概念。这里并不包括失效或故障状态的所有可能方面系统佩特里网可信性动态事件变迁失效修理静态局部状态库所故障运行注：失效和修理只是可信性相关事件的两个例子；故障和运行只是可信性相关状态的两个例子，更多例子还有首次失效、降级失效和状态。这些概念可用作计算基础，如平均生产可用度。5佩特里网可信性建模与分析系统分析通常需要足够详细的系统模型，而模型的详细程度取决于要执行的分析。系统通常极其复杂，无法一步建成一个整体的详细模型。因此，从粗略的文本描述直到详细的形式化模型，建模应迭代进行。基于模型得到的分析结果，应以用户友好的方式表示出来，并根据分析任务进行解释说明(见图5)。7分析任务分析任务影响分析方法合适手法表示方法分析结果建模方法系统参数系统模型影响影响表示建模分析图6描述了佩特里网可信性建模和分析的主要步骤。分析人员应注意，虽然过程看上去简单易行，步骤1:步骤2:步骤3:步骤4:步骤5:分析模型获得感表示和说明步骤4的组成和功能满足要求的详细程度兴趣的结果分析结果文档编制步骤1～步骤5图6可信性佩特里网建模和分析流程步骤1:用传统方法描述系统的主要组成，例如，使用文字配以图片和表格等(见5.2.2)。步骤2:基于佩特里网子模型及其关系，建立系统的结构模型，并编制模型文档(见5.2.3)。系统通常包含两个主要的子系统：b)控制单元，如用来控制设备的子系统。步骤3:细化步骤2得到的模型，直到满足要求的详细程度，并编制细化模型的文档(见5.2.4)。应提供步骤2的系统佩特里网注释，包括子系统。当模型包含了分析必需的所有信息时，系统即达到要求的详细程度。步骤4:分析模型获得感兴趣的结果，并编制分析文档(见5.2.5)。步骤5:表示和说明分析结果，并编制文档(见5.2.6)。若分析结果不充分或不符合要求，应进一步补充(子)模型(回到步骤2)或细化已有(子)模型(回到步骤3)。每个步骤及其结果都需要持续编制文档。佩特里网可信性建模与分析的应用示例见附录E。5.2建模的详细步骤本条更详细地描述了建模步骤，每个步骤的工作都应编制文档。85.2.2描述系统的主要组成和功能(步骤1)建模和分析应识别和描述以下系统概念：b)主要组成部分(如设备和控制单元);5.2.3基于佩特里网子模型及其关系建立系统结构模型(步骤2)这些子系统还能从功能和可信性的角度来解释。例如因设备的控制单元不能总是恰当地运行，那么就必须考虑控制单元的可信性——系统的可信性取决于控制单元的可信性。由于建模需要依据系统的复杂度及分析任务，整个模型通常由以下4种子模型的子集组成(也存在不必建立设备可信性模型也能得到充分结果的情况):a)设备的功能；b)设备的可信性；c)控制单元的功能；d)控制单元的可信性。在a)中，运行的子系统必须是受控的，也就是说，应建立设备的模型。如果不受控，该动态子系统将根据佩特里网的可达图，在庞大的状态空间中建立大量的进程。可达图中的一些状态表示危险并导在b)中，应建立设备可信性模型。该子模型中，涉及设备运行状况的不确定因素都应加以考虑(例如人的行为和环境影响)。在c)中，应指定用于控制设备以约束其运行过程的子系统。该子模型假定控制任务执行完好，并不考虑控制单元失效的可能性。这样一来，模型a)与b)结合得到的可达图，无任何不希望有的状态(例如危险状态或事故状态)。在d)中，考虑可信性，建立控制单元的物理实现的子模型。该模型取决于技术实现或者人为操作和环境影响。通过与子模型c)的联系，可能出现的失效和控制的不恰当行为都予以考虑。当这些失效和不恰当行为影响c)中控制功能的模型时，总体模型[a]至d]子模型联合组成的模型]中的设备、控制单元及控制单元的可信性都被考虑到了。这样一来，相应的可达图就涵盖了危险和事故状态及相应的对于不同的功能层级及其可信性方面，得到的正交基础结构见图7。9依照前述条款为每个子系统建立单独的佩特里网模型，那么很容易就能建立起整个系统的完整模型。各单独的佩特里网模型，通过测试弧和抑制弧连接起来。这里可采用模块化方法，这样任何子系统都能独立地修改或改变，并不受相邻模型的本步骤的文档编制，应识别出系统的主要子模型及其关系。每一子模型的边界、主要组成部分、功能及用途都应采用传统的描述方法编制文档，例如使用文字并配上图片和表格等。如果系统没有必要分解为子系统(如十分简单的系统)或是难以分解，模型设计者应明确说明原因。5.2.4细化模型到满足要求的详细程度(步骤3)本步骤中，对步骤2已经建立的模型进行改进完善，并编制文档。本步骤是重复迭代的过程，需要步骤2建立的佩特里网模型也应细化，包括每个考虑的子系统。这种改进应持续细化过程到模型达到预期的详细程度要求，即包含了步骤4分析所需的全部信息：a)每个节点都应标有唯一的标识符。如果使用时间佩特里网，时间概念也应用符号阐明。推荐使用3.2中定义的符号。b)应明确时间概念的进一步细节，即指定参数(例如，因果变迁的权、固定持续时间、确定变迁、CDF对应的随机变迁参数等),还有任何变迁的守卫、变迁的存储策略(变迁的使能时间是累积，或者变迁无存储，即占先策略[3])以及库所容量等。如果可读性不受影响，这些信息能直接添加在佩特里网中。否则，应选择表格或矩阵来表示。本步骤的文档编制应根据模型细化过程逐步细化完成。本步骤的文档编制应包含：c)子系统乃至整个模型的佩特里网表示。d)每个子系统的文本描述(至少在建模的最低层级)。e)可靠性参数(如失效和恢复、假设或统计数据)和系统结构的依据。5.2.5分析模型得到结果(步骤4)选择何种模型分析方法取决于想要的结果。此外，佩特里网模型的基础及信息的有效性也限制了适用的分析方法(见图8)。基本上，有两种可选方法：a)定性分析解决有关可能性的问题，例如达到某个(全局)状态的可能性，或不断反复引发某个变迁序列的可能性。定性分析主要基于非时间可达图。如果从一个初始标识开始，可达标识的数量有限，至少理论上就能得到非时间可达图。特殊情况下，非时间可达图中也可能衍生时间的动态特性([14])。当可达标识的数量过大甚至是无穷时，需要选择其他方法，如结构分析法。即不变量、死锁和陷阱至少得到模型化系统的高质量度量结果。([11]和[14])。b)定量分析解决有关定性结果的概率问题(例如，达到一个特定状态的概率，或引发一个特定变迁的概率),及可靠性或可信性的量度问题(例如，失效概率、失效率、平均失效时间或平均失效间隔)。这些概念可作为计算基础，例如计算平均生产可用度。定量分析主要基于时间可达图或随机可达图。与非时间可达图相似，如果可达标识的数量并非过于庞大，时间可达图都是可分析的。根据佩特里网中变迁的不同，有两种可选的方法：1)如果在定义的时间段内，时间佩特里网所有变迁的引发持续时间都服从指数分布(即定义的时间段内引发率是常数),那么时间可达图可转化为马尔可夫链再进行稳态或瞬态2)否则，应使用蒙特卡洛仿真的方法进行稳态或瞬态分析。如果可达标识的数量过于庞大，将使用蒙特卡洛的方法进行瞬态分析。软硬件的性能决定了可处理的状态数量。如今，含有10⁸个状态的系统都是可处理的。而带有数百万个状态的系统通常称为“小定性定量RG可分析RG可分析RG规模过大可达性分析全指数分布任意分布蒙特卡洛蒙特卡洛装特卡洛稳态分析稳态分析图8佩特里网模型的分析方法本步骤的文档编制应包括以下内容：c)列出计算结果所选择的方法；d)列出用于计算的工具、计算设备、数据条件和缺省设5.2.6表示和说明分析结果(步骤5)本步骤得到的输出应满足以下要求：a)应用适当的方式表示可达图。一般来说，若将每个态整合的概念非常有必要。b)充分表述不同参数值或不同系统结构的影响。例如，可将系统可用性作为其安全性功能，用图表的方式展现不同的维修性和可靠性参数，或是不同系统结构(如冗余方案，见附录B中对m/n冗余的可用性介绍)对可用性及安全性的影响。应以文本的方式清楚而具体地解释分析结果。此外，分析结果应指出备选的实现方案(考虑系统结构或子模型的实现)。表5强制及推荐的文件材料编号步骤表示方法和手段强制强烈推荐推荐1基本文档材料：系统、功能、模块、边界的基本描述；分析的目标和范围；采用佩特里网技术的理由文本和图片文本文本2四个子模型的文档编制(见5.2.3)文本和图片高级佩特里网3详细文档编制：系统细化模型(抽象层级);失效率、恢复率数据的来源(假设数据或统计数据)文本和图片文本表格b)表格4分析方法：分析方法的描述；计算机及使用工具的描述文本文本a)表格b)表格5结果：数值和图形的形式；结果的说明文本和图片文本a)表格6与其他可信性模型的关系或基本状态如何导致某个全局状态。这些分析通过FTA、ETA、RBD或者FMEA得到。而可达图则佩特里网的建模能力比FTA,ETA以及RBD更强大。因此FTA、ETA、RBD模型都能转换为佩指数分布，因此一般随机佩特里网具有更高的建模能力。通过FMEA或者FME(C)A得到的信息，可用于建立系统的佩特里网模型。尽管FME(C)A可提供包含特定程序和方式的形式化过程，但FME(C)A在数学意义上并不是形式化的。另外，由于FMEA或FME(C)A只能分析单个失效，因此无法A是佩特里网的有效补充。(资料性)佩特里网的结构与动态性A.1一般佩特里网概念及其与可靠性的关系A.1.1概述通过区分主动节点与被动节点(见表1),能总体描述佩特里网及其可信性解释。被动元素称为“库辑规则),基于引发规则改变基本状态。佩特里网是有向图，每个弧都与两个不同类型的节点相连。也就是说，任意两个先后状态(如故障状态和运行状态)之间，必定会由一个事件相连(如修理)。此外，任意两个先后事件(如失效和修理)之在修理中”的缩写)。状态及事件间的关系通过有向弧表示。节点n的“前集”是指通过有向弧指向n的全部节点n₁的集合。节点n的“后集”是指从n出发通过有向弧指向的全部节点n₂的集合。“前集”对于可能出现的全部状态，以及基于条件(如状态集)可能出现的全部因果关系，佩特里网都应建立模型。附录C提供了表示可用性、维修性等不同特性的佩特里网结构简要示例。A.1.3低级佩特里网的因果动态性A.1.3.1概述佩特里网中系统的动态性可通过观察状态和反映状态关系的系统状态转移得到佐证。A.1.3.2标识令牌(黑色圆点)标记在库所上，表示局部状态实际出现或“局部标识”。所有局部标识的集合称为A.1.3.3令牌流和引发规则如果全部的前集库所都标识了适当数量的令牌，变迁被使能(可引发)。引发的变迁会消除前集库所的令牌(对应于连接其前集库所的弧的种类和权),并在后集库所中生成令牌(见图A.2和图A.3)。实际上，令牌的吸收(或销毁)和生成，像“流”一样对网的行为建模。通常，局部事件的发生只改变与其直接相连的局部状态。能这么理解：若事件发生(例如发生失效),系统的状态被改变(例如从“运行”到超限应力部件：失效超限应力超限应力失效A.1.3.4测试弧所是否被标记。测试弧用双箭头表示(见图A.4和图A.5中连接“维修人员”和“修理”的箭头)。这里避免了在冬季进行修理(无维修人员)。注意本例已被高度简化，主要用于展示测试弧的用法。有维修人员无维修人员春季开始冬季开始有维修人员无维修人员春季开始中该检查通过，变迁被使能，且引发后的标识结果见图A.5。通过抑制弧与前集库所连接的变迁，只有在这些库所的令牌数严格低于对应抑制弧的权时，才被使能。也就是说，当权等于一时，只有在库所内没有任何令牌时才会被使能。抑制弧用一个小圆圈代替箭头。这类变迁的引发并不会改变对应前集库所的标识。使能。图A.7中的变迁被使能且引发后的标识见图A.8。应注意的是，图A.8中的变迁能无限地引发下去，这种情况能用另一个抑制弧连接后集库所及变迁来避免。与普通弧一样，抑制弧能加权(见图4.4)。A.1.3中能找到抑制弧应用的例子。图A.6变迁未被使能图A.8引发后的标识A.1.4可达图佩特里网的可达图(RG)表示从给定的“初始标识”开始，通过变迁引发能达到的所有全局标识。因此，可达图通过描述状态空间表示了系统可能的行为。图A.9中佩特里网的可达状态空间包括四个全局状态(见图A.10)。为展示可达图的含义，本例做运行结束修理无维修人员有维修人员开始系统丧失修理图A.9带初始标识的佩特里网修人员开始修理维修，无维修人员有维修人员运行，有维修人员失效事故图A.10对应的可达图每个全局变量都用圆或椭圆表示，并用实际的网的标识明确地标记。通过弧上的注释，可达图说明了一个全局状态是如何变化为另一个状态的。对于更复杂的佩特里网，可达图全局状态的数量可能随着部件数量的增加而迅速增加。可达图能通过计算机工具自动建立。方面系统佩特里网可达图可信性动态事件变迁弧例如：失效事件或错误处理事件静态局部状态库所局部状态全局状态标识=标记库所集节点全局状态(如维修、危险)整合全局状态标识集节点集全局状态集(如可用、安全)件运行”满足，因此变迁“部件失效”被使能。部件运行部件修理部件故障无维修人员冬季结束运行部件失效的标识不会改变(见图A.12)。部件。失效部件。失效部件运行冬季开始有维修人员冬季结束部件无维修人员部件p故障部件修理部件修理考虑另一种状态下网的行为，若高优先级的部件失效而低优先级的部件正在修理，那么:a)低优先级部件的修理被暂停；b)高优先级部件的修理开始；c)高优先级部件修理完成之后，低优先级部件的修理重新开始。此类“暂停”事件的建模和分析计算非常复杂，然而蒙特卡洛仿真能轻松分析此类模型。A.2时间佩特里网A.2.1概述从时间的角度建模对于可信性应用也非常有用。例如通过网处在相应标识的时间表示系统启动或停止的时间。同时，状态改变的延迟通过变迁表示。考虑了时间，确定的和随机的行为可被区分。这两类行为，分别用带有确定时间参数(如确定的事件持续时间)变迁和带有随机时间参数(如指数函数)变迁(随机时间佩特里网见文献[3]和[16])的时间佩特里网表示。所有情况下，变迁特性由各种标签或补充条件决定。A.2.2时间低级佩特里网的指定变迁时间佩特里网中，非时间和时间变迁都可能被使用。原则上，时间变迁的引发规则与非时间变迁一致(见4.2)。时间变迁应持续使能一段时间。持续时间取决于指定的分布函数(CDF)及相应的参数，可能是确定的或是随机的。持续时间结束，变迁即可引发。时间佩特里网的常用变迁见表2。指定的时间变迁种类及其时间参数，将决定确定的引发持续时间、(恒定)引发率或概率分布。注意，用于确定延迟d的狄拉克分布δ(d)可在统一结构下既包含确定变迁也包含随机变迁[δ(0)包含非时间和时间变迁]。然而，不同种类的行为对应着本质不同的事件，通常应区分开来。A.2.3时间低级佩特里网的动态性时间佩特里网中，系统的动态性也是通过对应可达图表示的标识变化过程来建模的(见图A.10)。根据不同变迁率或随机分布，状态—变迁弧将注释上指定的时间符号。由于变迁的时间行为，即随机引发，对可信性相关状态建模的每个全局状态都会有一定的概率。经证明，只要所有事件都服从指数分布，任何有限且标记的随机佩特里网都可同构为离散空间的马尔可夫链[]。图A.13中的变迁带有变迁率。图A.14中的全局状态分别为π。和π₁。图A.13带有两个指数分布时间变迁的时间佩特里网图A.14对应的随机可达图部件p冬季开始部件修理部件故障无维修无维修人员部件运行有维修人员N(L2,σ₂)故障在指数分布的时间内保持该状态。若部件进入故障状态，将在正态分布的时间内保持该状态，由参数μ₂(均值)和σ₂(标准差)确定。注意这里为变迁N(μ2,σ₂)假设了截取正态分布律，取值范围为(0,～)。广义随机佩特里网(GSPN):所有时间变迁的引发时间都服从指数分布；马尔可夫随机佩特里网(MSPN):以马尔可夫链为随机过程基础的SPNs。当所有时间变迁的引发时间服从指数分布，或所有时间变迁的引发时间服从几何分布(即无记忆性、离散时间)。其中前者对应于GSPNs;确定与随机佩特里网(DSPNs):时间变迁是指数的或者是确定的，其中确定变迁互斥且有特殊的马尔可夫再生随机佩特里网(MRSPNs):以马尔可夫再生过程为基础的SPNs。其中一类称为广义的非马尔可夫随机佩特里网：任何不是马尔可夫过程的SPN。A.3佩特里网的分析方法A.3.1概述一般来说，佩特里网主要有两种不同的分析工作：A.3.2定性分析定性分析可分为结构分析和动态分析。a)结构分析只考虑佩特里网的结构，并不包括可达图的分析。因此，这类分析与初始标识无关，任意的初始标识下分析结果都一致。这类分析的缺点在于分析结果通常很粗略。死锁和陷阱b)动态分析会考虑可达图或其子集，例如佩特里网的一个(最短)序列或序列集。由于可达图取决于指定的初始标识，这类分析的结果也取决于初始标识。动态分析的优势在于，若生成且处理了可达图，所有定性问题都能回答。缺点在于通常由于规模问题无法创建可达图。动态分A.3.3.1概述系统可信性的特征及量度，例如系统可操作性的稳态或瞬态概率，通常是我们关注的焦点。许多系统定量分析的方法和算法，都有自己的概率理论基础。在开展分析之前，必须指定相关的概率分布。若方法都能使用。文献[12]中介绍了工业级规模的模型的分析方法。此外，对于安全性相关系统，佩特里网是一种非常高效的安全性计算(SIL——计算)方法，如失效概率(即平均不可用度)和每小时失效概率(即平均失效频率)。A.3.3.2马尔可夫模型分析为了使用连续时间马尔可夫链(CTMCs)的分析方法，随机佩特里网将映射为CTMC;映射时，随机佩特里网必须是GSPN(见A.2.4和文献[3])。关注两种马尔可夫过程的解[19]:瞬态解和稳态解。瞬态解通过求解“科尔莫戈洛夫微分方程”得到，而求解方程的线性系统能得到稳态解。对于高度结构化或是规模很小的马尔可夫图，有可能得到闭式的解析结果。在其他大多数情况下，还需用到数值求解技术。可使用马尔可夫过程评估：——(时间相关的和渐进的)状态概率；——状态的累积时间(例如用于生产可用性)。在指定的生产可用性问题中会使用“多状态”马尔可夫过程，当处理定期测试的安全性系统时，通常更多求解马尔可夫模型的方法可在文献[18]和文献[19]中找到。A.3.3.3非马尔可夫模型分析当放宽指数分布的假设时，能通过许多技术来求解模型。a)在马尔可夫更新理论中，过程是无记忆性的且在特定瞬时上考虑。瞬时中重新生成过程并嵌入另一个过程。嵌入过程能通过状态方程表达，并得到实际过程的解[3]。b)蒙特卡洛仿真方法通过采用随机数，得到数值问题的估计解。该方法基于随机变量的重复计算，其优势在于不必在求解过程中新增复杂度，就能考虑到许多真实情况下会发生的现象。早期蒙特卡洛主要缺点在于，相关计算次数会随精度要求的提高而变多，而如今这个问题依然值得讨论。此外，马尔可夫链仿真能提供结果的精确度(置信区间),而截断马尔可夫模型或聚合马尔可夫模型的情况需另行讨论。特定标识时获得的值。一般根据以下数据计算率回报：——有关系统不同状态的统计数据；——有关系统变量的统计数据；——多处令牌花费的时间；——其他数据。冲量回报的计算基于变迁的引发频率[3]。件成本的模型。可见，这些概念在计算生产可用度等很多情况时会非常有用。附录D中能找到可信性领域的回报函数的应用示例。带有回报的库所和变迁的图示见表A.2。表A.2带有回报的库所和变迁标识符标识符带率回报的库所带冲量回报的变迁(指数分布)(资料性)m/n冗余的可用性任何有功能的产品，都能通过佩特里网的状态-变迁圈建立模型并表达可用度，例如运行状态或故障状态(见图A.1)。系统的可用性模型，通过全局变量展现了产品局部可用度的集合(由两个独立的产品构成的系统见图B.1和图B.2,由三个独立的产品构成的系统见图B.3和图B.4)。可达图由整个佩特里网衍生得到，表示了系统所有的全局变量。图B.1指定失效率/修理率的两个独立产品的可用性佩特里网P2“/图B.3带有指定失效/修理率的三个独立产品的可靠度佩特里网22C₁C₂C₃兰“₃CC₂CC₂C₃“GGC₃()₂的带有全局状态的随机可达图B.2全局状态和系统结构对于由多个彼此间相关联的产品构成的复杂功能系统(每个产品有自己的子功能),应结合相应的建模概念考虑整个系统的结构(如链和冗余)。根据这种逻辑结构，可达图才能暗含系统可用度及不可用度的所有全局状态。1/3、2/3和3/3系统的可信性结构建模分别见图B.5、图B.6和图B.7。文献[20]介绍了如何避免和处理巨大模型以及更多其他的建模技术。失效山"失效修理图B.5特定连接的1/3可用度佩特里网部件1故障部件1故障故障故障失效失效修理失效图B.6特定连接的2/3可用度佩特里网系统运行系统部件1部件1部件3故障H₃故障部件1运行部件3部件1运行部件3修理部件₃运行部件2运行图B.7特定连接的3/3可用度佩特里网行时系统才运行；而2/3系统中，系统运行有四种可能的状态。考虑到可靠性，相应的系统的建模见图B.9、图B.11和图B.13。对应的可达图分别见图B.10、图B.9特定连接的1/3可靠性佩特里网C₁C₂C₃也矿Hg图B.10图B.9中网的可达图la部件₃部件a图B.11特定连接的2/3可靠性佩特里网a₂₃₂故障故障故障故障修理部件，失效图B.13特定连接的3/3可靠性佩特里网C₁C₂C₃(资料性)就可信性而言，佩特里网及相应的可达图能表示其可用性、维修性等不同的特性。考虑到可用性和维修性，可通过扩展的环状佩特里网建立系统相应产品不同状态的更详细的执行功能模型(见图C.1),例如：——检测到缺陷；能通过四种变迁实现：——失效事件； ——开始维修；——转移至运行状态。所。图C.1对应的可达图有着类似的简单结构，包括四个全局状态及其概率，以及每个变迁及其变迁运行转移至运行维修失效未检测到缺陷M开始维修失效检测且停止或隔离检测到缺陷图C.1单个可用性佩特里网GB/T43037—2023/IEC62551:2012图C.2对应图C.1中带有与可用性和安全性相关的全局状态和聚合全局状态的随机可用性图考虑到可用性和安全性的特征，其量度的数值能通过可用性-安全性正交坐标系表示。由于可用性和安全性的概率值通常接近于1,因此在衡量时应对不可用度和不安全度取对数，分别称为可用度的概率潜能pA和安全度的概率潜能pS:其中，A是表征系统可用的全部状态集合的概率。…………(C.2)其中，S是表征系统安全的全部状态集合的概率。例如，A=0.9999,即(1-A)=0.0001,-lg(1-A)=4。A'=0.99999,pA=-lg(1-A')=5,也基于可靠性的定义，佩特里网模型将所需功能作为“状态-变迁-状态”的结果。部件本身执行所需功能的可用性，通过单独的可靠性状态-变迁圈来建模，表征其运行及补充的故障状态(见图A.1)。两个子网通过测试弧连接，从运行状态指向执行功能(见图C.3)。系统故障系统运行系统故障图C.3基本可靠性和功能建模的概念行所需功能。该概念综合了产品(资源)的功能性和可靠性表现。图C.4中的超级变迁隐藏了表征n/3连接的特定逻辑结构。这里的“n”取决于超级变迁内隐藏的网。此外，图C.5中每个部件的状态-变迁圈也通过超级库所隐藏。也就是说，超级节点能隐藏详细的图C.4带有超级变迁的一般层级佩特里网可靠性模型图C.5带有超级变迁和超级库所的一般层级佩特里网对应的可用度模型见图C.6和图C.7。部件₃H₁₁图C.6带有超级变迁的一般层级佩特里网可用度模型系统部件₃部件₃图C.7带有超级变迁和超级节点的一般层级佩特里网(资料性)典型可信性概念的建模用佩特里网结构对可信性的常规概念建模，见表D.1。表D.1用佩特里网结构可信性的常规概念建模可信性概念佩特里网建模方法失效率为常数λ(失效时间服从指数分布)可用状态失效(λ)修理率为常数μ的修理或恢复(修理/恢复时间服从指数分布)不可用状态修理(μ)修理或恢复(修理时间为固定的n个时间单元)不可用状态修理(n小时)修理或恢复(修理时间服从截断正态分布，以x为均值，y为偏差)不可用状态修理[N(x,y)]可维护性(维护行为“监控”成功完成的概率为x%,0≤x监控完成(概率x)监控前的产品监控终止(概率1-x)监控的产品未监控的产品表D.2展示了如何建立特定状态和事件成本的模型。这里用到率回报(rr)和冲量回报(ir)的概念，见表A.2。注意，这里为变迁N(x,y)假设了取值范围为[0,～]的截断正态律。表D.2建立状态和事件的成本模型成本类型佩特里网建模方式失效成本(成本与不可用状态的累积时间成比例)不可用状态(rr)修理(μ)修理或恢复成本(成本与修理数量成比例)不可用状态修理(μ),(ir)表D.2建立状态和事件的成本模型(续)成本类型佩特里网建模方式可维护性成本(维护行为“监控”成功完成的概率为x%,0≤x≤1,且监控时间均匀分布在区间[1…y];任何情况下监控成本都会累积)监控前的产品开始成功的监控(概率x)产品被成功产品的成功监控结束监控的产品监控(rr)(统一的[1…y])开始不成功的监控(概率1-x)产品未被成功监控(rr)终止不成功的监控(z)未监控的产品(资料性)平交道口示例E.1概述这里选择了一个受保护的平交道口(带有栅栏)的建模过程作为佩特里网可信性应用的示例。本例将确定道口交通的可用度及每年死亡人数(风险)。关注的概率参数包括：道口的危险率、汽车和火车间隔到达时间，以及汽车驾驶员到达道口的可能行为。E.2描述系统的主要组成和功能a)假设的道口拓扑条件见图E.1,包括相互影响的交通流(铁路和公路)以及控制共用部分路径不被两方同时使用的安全设备。这里假定该系统与其他系统无关。图E.1平交道口及其保护系统示例b)系统主要组成包括设备(相互影响的公路和铁路交通)及控制单元(由道口保护设备实现)。c)公路和铁路交通的主要功能是人员和货物的安全运输。两种运输工具都假设了恒定的速度，对应于公路和铁路的最大允许速度。交通流之间唯一可能的交互就是汽车驾驶员识别到火车。这种情况下，公路车辆将会停止。火车驾驶员识别到汽车并不会改变火车的速度。d)保护设备的主要功能是，在火车临近时通过视觉信号警告公路车辆。由于公路车辆有一定速度，不能一看到警告信号就立即在危险区域前停下。因此该保护设备必须能在特定时间(触发时间T,即火车位于触发和临近区域的时间，之后即到达危险区域)内检测到铁路车辆，从而保证任何公路车辆安全通过危险区域。E.3基于佩特里网子模型建立系统的结构模型为了在道口案例中对交通过程进行可信性分析，需要考虑的主要模型组成见图E.2。交通过程交通可信性控制功能控制设备可信性控制单元基于超级变迁的对应子模型见图E.3,该图揭示了模型主要组成之间的信息交换。交通过程火车离LC完好控制功能LC失效安全交通可信性道口关闭开LC标引序号说明：LC——平交道口模型由以下四个子模型构成。a)详细说明交通过程的子模型：该子模型指定了汽车、火车临近和离开道口的过程。若汽车在危险区域遇到火车，将发生事故。该模型旨在从事故概率的角度，描述不同汽车驾驶员行为导致的后果。本模型并不考虑任何安全措施。b)详细说明交通可信性的子模型：对可能事故的发生建模，此外还考虑到事故移除的过程，即公路和铁路被清理且再次可用的时间。c)详细说明控制功能的子模型：对道口栅栏的行为建模。本模型不考虑导致危险状态的失效，只d)详细描述控制设备可信性的子模型：对控制功能的可信性建模。由于考虑了失效，应区分失效安全的状态和危险的状态。该子模型的行为影响控制功能的行为。E.4细化模型直到满足要求的详细程度E.4.1概述第三步，细化第二步的模型直到满足需要的详细程度，并为细化模型编制文档(见5.2.4)。本步可E.4.2细化模型结构事故能视为交通过程中发生危险情况的后果。模型基于以下四个子模型来描述这种因果关系：a)交通过程子模型的道口(LC)交通流；b)交通可信性子模型的事故发生；c)控制功能子模型的LC操作运行；d)控制设备可信性子模型的危险影响的来源。汽车进入汽车进入DZ且无火车汽车位于DZP1汽车离开DZ汽车进入临近区域火车进入触发区域火车进入临近区域火车进入DZ火车离开DZ火车位于DZ火车位于DZ之外交通过程火车位于触发区域火车临近汽车临近图E.4汽车和火车交通过程佩特里网模型图E.4建立了理想情况下交通过程的模型：所有汽车驾驶员只有在无火车临近或位于危险区域为了考虑不同类型的汽车驾驶员，引入“交通可信性”子模型。该子模型中考虑了火车临近时还进入危险区域的驾驶员，甚至是火车已经位于危险区域时还进入危险区域的驾驶员。考虑这两类驾驶员汽车进入汽车进入DZP1汽车离开DZ没有事故3交通可信性事故移除火车临近交通过程火车位于DZ之外火车位于DZ汽车位于DZ火车离开DZ汽车临近图E.5交通过程及交通可信性佩特里网模型汽车位于汽车位于DZP1汽车离开DZ汽车进入临近区域没有事故p2|火车临近时汽车进入DZ事故发生火车通过时汽车进入DZ交通可信性火车进入触发区域火车进入临近区域事故移除火车位于DZ火车位于DZ之外交通过程LC关闭安全触发消除LC触发控制功能汽车进入DZ且无火车火车位于触发区域火车离开DZ汽车临近LC触发LC开放事故p3/图E.6带有理想控制功能的交通过程佩特里网模型考虑了理想运作的控制系统的模型见图E.6。模型中，一旦火车临近，道口就会被触发并关闭。图汽车临近汽车临近且无火车火车临近时汽车进入DZ没有事故事故发生交通可信性事故移除火车临近火车位于DZ交通过程LC关闭LC运行LC修复消除LC触发LC危险消除安全触发LC失效安全控制功能事故图E.7平交道口示例的佩特里网模型E.4.3进一步说明模型结构及参数交通过程子模型分别描述了汽车、火车的运动。公路交通由六个库所和八个变迁表示(库所“无事型变迁。库所代表的汽车状态见表E.1。概率概率表E.1子模型“交通过程”中汽车交通相关库所(见图E.4)库所容量“描述汽车位于DZ之外汽车离开道口系统。使用多个令牌来表示汽车的连续流汽车临近汽车驾驶员临近道口，可能会看到临近的火车1汽车驾驶员临近道口，只要近处无火车就准备进入危险区域汽车位于DZ1汽车位于道口的危险区域域的决定。‘库所的“容量”指的是库所内最大令牌数量。“Inf”表示该库所的令牌数量(非负数)没有限制。变迁对汽车的运动建模。公路交通流通过变迁“汽车进入临近区域”表示。该变迁的参数能通过统计测量某个特定的道口来评估。测量的两辆汽车到达时间间隔的柱状图见图E.8,相应的概率分布近似函数见图E.9。时间/s图E.8收集的平交道口公路交通流的测量值：两辆汽车到达时间间隔时间/s图E.9基于图E.8的近似概率分布函数测量结果用指数分布近似，且期望值为16.2s(0.27用类似的方法评估变迁“汽车离开DZ”的参数。现场测量结果见图E.10。时间/s间隔为0.05收集的汽车在道口危险区域时间的测量值时间/s由图E.1l可见，对应的分布并不是指数型的。由于该参数对事故发生概率有重大影响，宜采用最慢汽车的时间作为指数分布函数的均值，而不是采用占用危险区域的平均时间。因此，变迁“汽车离开DZ”的参数设置为3.96s(0.066min)。考虑到保护设备未提供警告的情况(例如保护设备失效),模型包含了汽车临近道口时可能的不同行为。据专家预计，这种情况下50%的驾驶员即使看到火车临近也会进入道口的危险区域：变迁t2的引发将激活“火车临近时汽车进入DZ”(假设LC未关闭)。t1引发的概率为45%且将标记库所pl。只有在没有火车位于临近区域或危险区域时，变迁“无火车时汽车进入DZ”才激活。5%的驾驶员在火车通过道口时仍会进入危险区域(例如视力或刹车不良的情况)。这些考虑分别在立即变迁t1、t2和t3的权中体现。当两个或更多的变迁同时激活时需用到权。例如汽车和火车同时位于临近区域时(库所所有描述公路交通动态特性的变迁的参数(包括进一步的说明)见表E.2。变迁名称时间概念权参数时间(分钟)描述汽车进入临近区域指数分布描述公路交通流(见上文)瞬时—描述只在无火车时汽车才进入危险区域的情况瞬时—描述火车临近且无警告时汽车进入危险区域的情况瞬时5描述火车通过且无警告时汽车进入危险区域的情况汽车进入DZ且无火车指数分布描述汽车在临近区域的时间火车临近时汽车进入DZ指数分布描述汽车在临近区域的时间火车通过时汽车进入DZ指数分布描述汽车在临近区域的时间汽车离开DZ指数分布0.066描述汽车在危险区域的时间所有描述铁路交通动态特性的库所的参数(包括进一步的说明)见表E.3。库所名称容量描述火车位于DZ之外1火车位于道口系统之外火车位于触发区域1火车位于道口的保护设备(警告灯)被触发且视觉警告被启用的区域中火车临近1火车位于汽车驾驶员能看到的临近区域火车位于DZ1火车位于道口的危险区域铁路交通的动态特性通过变迁来描述。铁路交通流用变迁“火车进入触发区域”描述，其参数基于火车时刻表来评估。本例中火车平均频率是每小时两班，假定两班火车的间隔时间服从指数分布。这里进一步假设所有火车速度一致，这样火车头通过道口触发及邻近区域的时间是常数(Tc=常数=0.133min+0.166min)。在危险区域的时间取决于火车的长度。其变化根据平均时间为0.3min的指铁路交通变迁的分布及参数意义见表E.4。变迁名称时间概念时间(分钟)描述火车进入触发区域指数分布描述铁路交通流火车进入临近区域确定值0.133描述火车在触发区域(触发警告)的时间火车进入DZ确定值0.166描述火车在临近区域(可被汽车驾驶员看见)的时间火车离开DZ指数分布描述火车在危险区域的时间公路和铁路交通过程的相互作用通过测试弧和抑制弧表示，尤其在对汽车驾驶员进入危险区域的决策及汽车间相互作用建模时(只有在库所p1,p2,p3中没有汽车准备进入危险区域，立即变迁t1、t2和t3才能被激活)。“火车位于DZ”的两个弧表示事故的发生。这里并无时间性的假设，事故是道口危险区域内同时出现汽车和火车的即时逻辑结果。假设事故移除过程服从指数分布，平均持续时间为2h(120min)。事故移除期间，道口对铁路和公路交通都不可用(用抑制弧建模)。库所和变迁的意义及其参数见表E.5库所名称容量描述无事故1危险区域内没有事故事故1危险区域内有事故1汽车驾驶员临近道口且准备进入危险区域，甚至在火车临近时(只要警告设备未打开)1汽车驾驶员临近道口且准备进入危险区域，甚至在火车通过时(只要警告设备未打开)变迁名称时间概念权时间(分钟)描述事故发生瞬时1描述汽车和火车同时占用危险区域的逻辑结果事故移除指数分布描述事故移除过程持续时间备的主要系统状态。设备的触发(变迁“LC触发”)用测试弧连接交通过程模型的库所来建模，表示火车位于触发区域。触发的另一个原因是检测到设备失效，用子网“控制设备可信性”中一个安全的失效状态来建模(例如，用于撤销保护设备触发的车轮检测器的失效以及其他检测到的失效)。只要设备处于运行状态，在火车已经离开危险区域后(与库所“火车离开DZ”连接的测试弧),设备撤销就会发生(用指向交通过程子网变迁的抑制弧建模)。模型进一步地拓展，能考虑忽视警告灯的情况，建立更为真实的汽车驾驶员行为模型。表E.7和表E.8概括了“控制功能”子模型中的库所和变迁的意义及参数。库所名称容量描述LC开放1LC处于被动状态，公路警告关闭LC关闭1LC处于主动状态，公路警告打开变迁名称时间概念权参数描述LC触发瞬时1描述LC保护设备的触发激活撤销LC触发瞬时1描述LC保护设备的撤销LC失效安全触发瞬时1描述由于检测到保护设备失效而触发LC道口保护设备的内部可信性状态在子网“控制设备可信性”中建模。包括三个相关状态，分别表示运行、失效安全及危险状态。指数型变迁对可能的状态变化建模(类似于使用马尔可夫链)。用图E.3中的测试弧连接控制功能设备的子网，对可信性状态对道口保护设备功能性的影响建模。特别地，若保护设备处于危险状态(例如火车检测设备失效或任何未检测到的保护设备失效),对汽车驾驶员的警告就不会触发。库所名称容量描述LC运行1LC处于运行状态，LC保护设备功能性(触发及撤销)完全可用LC失效安全1LC处于失效安全状态，LC保护设备处于安全状态——汽车驾驶员的警告开启LC危险1LC处于危险状态，LC保护设备功能性(触发及撤销触发)不可用变迁名称时间概念时间(分钟)描述LC危险失效指数分布6×10⁶描述LC保护设备危险失效的发生时间LC安全失效指数分布6×10⁵描述LC保护设备安全失效的发生时间LC危险消除指数分布描述LC保护设备危险失效的检测时间LC修理指数分布描述LC保护设备(在检测失效后)的修理时间变迁“LC危险失效”的时间参数是平均危险失效时间，与道口保护设备的安全完整性等级相对应。模型中假设，安全的系统失效发生率比危险失效高出十倍。变迁“LC危险消除”的参数能通过分析统计数据得到，或考虑采用两辆火车间的最长时延(假设例如火车驾驶员察觉到LC保护设备的危险失效),即6h(360min)。变迁“LC修理”的时间参数估计为4h(240min),表示检测到失效后的修理时间，包括启用维修人员及其花费在路上和修理上的时间。说都是差异重复占先。E.5分析模型得到结果定性分析的目标是研究模型的状态空间。示例中网的定性可达图状态多达300个，由于无法将其定量分析的目标是，根据模型中变迁的参数(例如每小时火车或汽车的数量，触发时间TAc的长短，保护设备的安全完整性等级(SIL,见EN50126)等)评估事故发生率。由于不仅有指数分布，还有确定时间变迁和因果变迁，采用蒙特卡洛仿真的方法得到分析结果。所有分析都采用了PN-ToolTimeNet4.0版[22],并采用工具π-Tool23虑了“事故移除”,只仿真了一个历史记录。该历史记录时间约25000万年且计算时间约120天。通过E.6表示和说明分析结果合可达图就揭示了道口保护设备的主要可信性状态及其与事故状态的关系。如图E.12所示，可达图证实了的可信性状态(运行，危险，失效安全)顺序模型，也说明了事故的发生独立于道口保护设备的可信性状态(任何情况下，都会出现汽车进入并滞留在危险区域直到火车抵达的情况)。LC失效安全LC运行佩特里网模型集合状态包含的状态数量(根据布尔条件)见表E.11。表E.11集合状态中包含状态的布尔条件集合状态的名称布尔条件集合可达图的状态包含的(初始)可达图状态的数量事故m(accident)≥1m(LC_opetating)≥1^m(accident)=0LC危险m(LC_hazard)≥1~m(accident)=0LC失效安全m(LC_fail_safe)≥1-m(accident)=0注：“”代表逻辑“与”;m(库所)表示库所的标识，如库所内令牌的数量。一方面，定量分析的结果能用于评估公路交通道口的可用度。经预测，通过缩短(火车抵达前)道口警告的触发时间Tac或减少危险失效发生率(尤其在本例假设安全的系统失效的发生率比危险失效高出十倍时),将提高可用度。图E.13的结果验证了这些预测。道路交通平交道口的可用度/%风险(死亡率/人×年)道路交通平交道口的可用度/%风险(死亡率/人×年)危险率图E.13定量分析结果表明不同的T时道口平均可用度是保护设备危险率的函数另一方面，定量分析的结果还可用于评估公路交通的安全性。考虑到给定的汽车流，汽车平均乘客人数1.5及致死系数1,获得的事故发生率可用于评估道口处的单人风险(每人每年的死亡率)。图E.14表明了单人风险与触发时间Tc及道口保护设备危险率的关系。危险率图E.14定量分析结果表明不同的Tc时道口风险是保护设备危险率的函数根据图E.13和图E.14的结果，通过一些技术改进提升安全完整性等级(降低危险率)效果不明显，且可能只会增加系统开发及生产的成本。将定量分析结果可视化为安全性/可用性图，揭示了不同优化风险(死亡率/人×年)根据图E.15的结果，最优触发时间T的取值约为54s,从而降低汽车可能无法完全离开危险区域的风险。该值揭示了采用安全完整性等级1(HR=1E-5～1E—6)的可能性，使得道口的可用率为94.5%,且单人风险为每人每年1E—5次死亡(风险接受值MEMcEN来源为EN50126[211的“最小内[1]PETRI,C.A.,KommunikationmitAutomaten.SchriftendesInstitutsfürinstrumentel-leMathematik,Bonn,1962[2]IEC61508(allparts),Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems[3]GERMAN,R.,PerformanceAnalysisofCommunicationSystems—ModellingwithNon-MarkovianStochasticPetriNets,JohnChichester:Wiley,2000[4]MURATA,T.,Petrinets:Properties,AnalysisandApplication.In:ProceedingsofthelEEE,[5]