CN110175359A - 基于业务流程的复杂系统安全性建模方法及装置 - Google Patents

Abstract

本发明公开了基于业务流程的复杂系统安全性建模方法及装置，所述方法包括：获取复杂系统的至少一个业务活动；根据复杂系统的任务剖面和所述业务活动，确定所述业务活动之间的关联关系，并根据所述业务活动和所述业务活动之间的关联关系建立业务活动流程和故障判据；根据所述故障判据建立所述复杂系统的事件树模型和故障树模型；根据所述事件树模型和所述故障树模型建立所述复杂系统的安全性模型。本发明可有效进行存在关联失效、人机交互、与任务执行过程密切相关的大型复杂系统的安全性建模分析，解决面向任务的复杂系统任务执行过程表征、关联失效特性表征、综合考虑任务执行过程和关联失效特性的安全性建模难题。

Description

基于业务流程的复杂系统安全性建模方法及装置

技术领域

本发明涉及复杂系统安全性领域，尤其涉及基于业务流程的复杂系统安 全性建模方法及装置，以及基于业务流程的复杂系统安全性定量评估方法及 装置。

背景技术

安全性是产品具有的不导致人员伤亡、系统损坏、财产损失或不危及人 员健康和环境的能力。安全性是产品的一个重要属性，安全性指标是承制方 进行产品研制、生产和试验的依据，也是订购方进行监控、考核和验收的重 要指标。

复杂系统的安全性问题事关任务成功、人员安全和财产保障等方面。在 进行系统安全性分析时，以功能危险分析(FHA)、FTA、故障模式和影响分 析/故障模式和影响汇总(FMEA/FMES)、共模分析(CMA)组合使用，形成 了一种常用安全性分析评价思路。

FTA是一种演绎性的安全性分析方法，关注于一个特定的不希望事件， 并提供确定引起该事件发生原因的一种方法。

FMEA是一种识别系统、组件、功能或单个零部件失效模式并确定其对 更高层次设计所产生影响的系统性方法，形成的结果可汇总形成系统各层级 失效模式和影响。

CMA是用于分析系统功能、系统部件、故障影响之间的独立性，对故障 树分析中各层级逻辑门下的事件是否成立进行判断，识别出导致灾难性或危 险失效状态的单一失效模式或外部事件。

FHA是安全性分析的第一步，全面地检查系统各项功能，识别其失效状 态，确定可能的影响，并根据影响的严酷度划分等级、分配安全性水平，可 以说FHA是整个安全性后续工作的输入和起点，提供最顶层的安全性需求。 根据FHA得到的关键失效状态，确定系统的一个不希望发生的事件，将其作 为FTA的顶层危险事件，利用FTA在下一个可能产生该事件的较低层次上， 系统性的确定所有单个失效及失效组合。其最大特点就是利用分层图，以可 视化的形式显示系统影响关系，以定量的形式表示顶层事件概率，对下层事 件发生概率进行分配与预计以及评估设计更改对安全性的影响。

FMEA与FTA结合非常紧密，通过FMEA自下而上识别组件、功能模块、 分系统和系统的失效模式，并确定其对更高设计层次所产生的影响，得到各 个层次的失效模式和失效率，与FTA的基本事件进行比较，支持FTA的验证， 为FTA提供基本事件的失效率，量化FTA的基本事件。FMES在FMEA的基础 上，对FMEA的失效模式的概率和影响进行汇总，通常与FMEA同时开展。

为了对FTA中的“与”事件在实际执行中的独立性进行验证，需要同时 采用另一种方法---CCA。CCA是验证功能、系统和组件之间的独立性，并确 保这种独立性的存在处于可接受的状态，以满足安全性要求的方法，主要由 区域安全性分析(ZSA)、PRA和CMA三部分组成。ZSA针对系统的区域模块 进行分析，以确保设备的基本安装符合相应的设计和安装要求。PRA用于分 析系统和组件外部的可能违背失效独立性的事件。CMA是一种用来确保设计“良好”的定性分析方法，使用设计经验以一种逻辑方式来检查部件的综合 特性，可以有效解决系统安全性设计中的共因失效问题。

通过以上方法的综合使用，可以得到一个完整准确描述系统安全性的系 统树和系统树中各事件的发生概率，根据各个不希望发生事件发生后产生的 影响，可以计算得到系统的安全性风险，完成系统安全性定量分析。

但是以单纯的FTA为主要方法，辅以FHA、FMEA/FMES和CMA等方法， 对存在共因失效、人机交互的复杂系统进行安全性定量分析时，存在以下问 题：

无法对复杂系统中的共因失效、人机交互及其对系统安全性的影响进行 表征。单纯的FTA可以对系统不同组成部分对顶事件的影响关系进行表征， FHA、FMEA/FMES可以从功能的角度对系统功能构成和功能故障之间的相互 影响进行分析，但是无法对复杂系统中存在的共因失效、人机交互等关联失 效进行表征，也无法对共因失效、人机交互对系统安全性的影响关系进行表 征。

未考虑不同应用场景、不同业务流程对系统安全性的影响。随着系统综 合化、集成化发展，同一个系统部件一般可随着应用场景的变化，实现不同 的功能，表现出的系统安全性水平也会有所差异，而现有的解析技术方法主 要以系统全部功能和系统基本组成为基础进行分析，难以将具体的任务执行 过程中的业务流融入到安全性模型中，无法反应业务流程对系统安全性的影 响。

缺少综合考虑业务流程和关联失效的复杂系统安全性计算模型。现有的 以FTA、FMEA/FMES、CMA为主的定量计算方法，在进行安全性指标计算时， 只是单纯的从一些基本事件进行分析，不能分别计算得到不同应用场景、不 同业务流程下的系统安全性水平，而且忽略了不同失效事件之间的关联性， 导致复杂系统的安全性水平计算结果存在较大误差。

发明内容

本发明的目的是提供基于业务流程的复杂系统安全性建模方法及装置、 以及基于业务流程的复杂系统安全性定量评估方法及装置，以解决现有技术 不能分别计算得到不同应用场景、不同业务流程下的系统安全性水平，忽略 不同失效事件之间的关联性，导致复杂系统的安全性水平计算结果存在较大 误差的问题。

为实现上述目的，本发明提供了基于业务流程的复杂系统安全性建模方 法，所述方法包括：

获取复杂系统的至少一个业务活动；

根据复杂系统的任务剖面和所述业务活动，确定所述业务活动之间的关 联关系，并根据所述业务活动和所述业务活动之间的关联关系建立业务活动 流程；

根据所述业务活动和所述业务活动之间的关联关系建立复杂系统的故 障判据；

根据所述故障判据建立所述复杂系统的事件树模型和故障树模型；

根据所述事件树模型和所述故障树模型建立所述复杂系统的安全性模 型。

优选地，所述获取复杂系统的至少一个业务活动之后，还包括获取所述 复杂系统的至少一个系统部件，并获取所述业务活动与所述系统部件之间的 关联关系。

优选地，所述根据所述故障判据建立所述复杂系统的事件树和故障树， 包括：

根据所述业务活动确定事件；

根据业务活动之间的关联关系确定事件序列；

根据所述事件和所述事件序列建立事件树模型；

根据所述业务活动和业务活动与系统部件之间的关联关系建立故障树 模型。

优选地，所述根据所述故障判据建立所述复杂系统的事件树模型和故障 树模型之后，还包括，建立人因分析模型，所述人因分析模型的分析结果用 于故障树模型的底事件或中间事件。

优选地，所述根据所述故障判据建立所述复杂系统的事件树模型和故障 树模型之后，还包括，建立共因失效分析模型，所述共因失效分析模型的分 析结果用于故障树模型的事件。

本发明还提供了基于业务流程的复杂系统安全性建模装置，包括：

获取单元，用于获取复杂系统的至少一个业务活动；

业务活动流程建立单元，用于根据复杂系统的任务剖面和所述业务活 动，确定所述业务活动之间的关联关系，并根据所述业务活动和所述业务活 动之间的关联关系建立业务活动流程；

故障判据建立单元，用于根据所述业务活动和所述业务活动之间的关联 关系建立复杂系统的故障判据；

事件树模型建立单元，用于根据所述故障判据建立所述复杂系统的事件 树模型；

故障树模型建立单元，用于根据所述故障判据建立所述复杂系统的故障 树模型；

安全性模型建立单元，用于根据所述业务活动流程、所述事件树模型和 所述故障树模型建立所述复杂系统的安全性模型。

优选地，所述的基于业务流程的复杂系统安全性建模装置，还包括：

人因分析模型建立单元，用于建立人因分析模型，所述人因分析模型的 分析结果用于故障树模型的底事件或中间事件；

共因分析模型建立单元，用于建立共因失效分析模型，所述共因失效分 析模型的分析结果用于故障树模型的事件。

本发明还提供了基于业务流程的复杂系统安全性定量评估方法，其特征 在于，利用上述的基于业务流程的复杂系统安全性建模方法定量评估所述复 杂系统的安全性等级；所述方法还包括：

根据所述复杂系统的故障判据建立所述复杂系统的安全性等级判据；

获取所述复杂系统的安全性等级。

优选地，所述获取所述复杂系统的安全性等级，包括：

计算事件树中每个事件序列的发生概率；

计算复杂系统的安全性等级，所述安全性等级为所述复杂系统中的每个 事件序列的发生概率之和。

本发明还提供了基于业务流程的复杂系统安全性定量评估装置， 利用上述基于业务流程的复杂系统安全性建模装置定量评估所述复杂系统 的安全性等级；所述装置还包括：

安全性等级判据建立单元，用于根据所述复杂系统的故障判据建立所述 复杂系统的安全性等级判据；

安全性等级获取单元，用于获取所述复杂系统的安全性等级。

根据以上技术方案，本发明的基于业务流程的复杂系统安全性建模方法 及装置以及基于业务流程的复杂系统安全性定量评估方法及装置，可产生以 下效果：

(1)可有效进行存在关联失效、人机交互、与任务执行过程密切相关 的发动机系统、航空器、对接控制系统等大型复杂系统的安全性建模分析， 解决面向任务的复杂系统任务执行过程表征、关联失效特性表征、综合考虑 任务执行过程和关联失效特性的安全性建模难题。

(2)可为具有关联失效、人机交互、与任务执行过程密切相关的复杂 系统安全性指标的定量评估验证工作的开展提供参考，具有重要的工程应用 价值。

附图说明

图1为本发明一种实施例提供的基于业务流程的复杂系统安全性建模 方法的流程示意图；

图2为本发明一种实施例提供的业务活动流程示意图；

图3为本发明一种实施例提供的建立所述复杂系统的事件树模型和故 障树模型的流程示意图；

图4为本发明一种实施例提供的另一业务活动流程示意图；

图5为本发明一种实施例提供的事件树模型；

图6为本发明一种实施例提供的另一基于业务流程的复杂系统安全性 建模方法的流程示意图；

图7为本发明一种实施例提供的基于业务流程的复杂系统安全性建模 装置的结构示意图；

图8为本发明一种实施例提供的基于业务流程的复杂系统安全性定量 评估方法的流程示意图；

图9为本发明一种实施例提供的获取所述复杂系统的安全性等级的流 程示意图；

图10为发明一种实施例提供的基于业务流程的复杂系统安全性定量评 估装置的结构示意图。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案，下面将结合附 图对本发明作进一步的详细介绍。

随着科学技术的进步，特别是计算机技术、电子技术的飞速发展，发动 机系统、航空器、对接控制系统等现代系统的性能大大提高，结构也变得越 来越复杂。尤其是冗余和动态重构等技术的应用，使得系统各部件和系统功 能之间具有密切的关联关系，在提高系统安全性水平的同时，也可能给系统 引入一些潜在的致命安全隐患，使复杂系统的安全性面临严峻挑战。突出表 现在：

(1)关联失效引致的系统安全性问题越来越突出。关联失效是指由于 功能或流程相关性引起的系统故障或事故。关联失效的原因主要包括复杂系 统本身的涌现性、共因失效、流程相关、环境影响和人因等。为提高系统的 性能和任务可靠性，发动机系统、航空器、对接控制系统等大型复杂系统在 研制过程中大量采用了冗余设计、模块共用等技术。这些技术方法引入了新 的安全隐患——例如，共因失效等关联失效问题，由于其隐蔽性强、危害大 且在复杂系统中普遍存在，迫切需要工程化的解决方法和途径。

(2)在任务执行过程中，系统运行或控制流程设计不合理引致的安全 性问题时有发生。复杂系统一般由人-机-环境及其相互作用构成，其行为具 有高度的关联性和涌现性，各组成部分之间在功能和行为上貌似相对独立， 其实存在千丝万缕的联系——例如，任务执行过程中的业务流、系统行为或 控制流程的关系和时序等。由于缺乏系统层面的综合考虑和技术手段，这些 系统性的业务流、控制流程难以统筹考虑、系统设计、协调一致，极易留下 设计缺陷，成为系统性的安全隐患。

(3)复杂系统是否具有规定的安全特性、能否达到规定的安全性指标， 一般很难通过工程试验来充分验证，即便进行部分相应的试验，也很难真实 地模拟各种因素相互作用的复杂系统运行和环境剖面。因而，系统安全性建 模和分析技术在解决复杂系统的安全性问题方面具有不可替代的作用。

国外自20世纪50年代开始，已开展安全性分析技术、方法的研究及应 用。1957年，美国GF部开始在飞机发动机上应用故障模式影响及危害性分 析(FMECA)进行可靠性和安全性分析。1961年，美国贝尔实验室首先提出故 障树分析(FTA)方法，并首次应用于“民兵”导弹发控系统的安全性分析。 20世纪70年代初，英国化工行业开始应用运行危险分析方法(HAZOP)进行 危险分析。1975年，美国原子能委员会采用了FTA和事件树(ETA)结合的方 法对核电站运行的安全性进行了定量的评价。

FTA、ETA、FMEA等分析方法，更多是侧重于安全性定性分析。后来， 逐步发展了以概率风险评价技术(Probabilistic Risk Assessment，PRA) 为代表的安全性定性定量综合评价方法。PRA是一种综合分析方法，综合了 包括主逻辑图(MLD)、ETA、事件序列图(ESD)、FTA、FMEA等方法。目 前，美国航空宇航局(NASA)、欧空局(ESA)、国际原子能组织(IAEA) 等机构，均已形成相对规范的关于PRA的工作程序和实施办法。但是，目前 已有的这些安全性工作开展思路和方法都无法分析复杂系统中存在的关联 失效、不同任务执行过程对系统安全性的影响。

通过对现有的FTA、FMECA、PRA等方法及其在实际工程中的应用情况进 行分析可知，这些方法在分析存在关联失效、人机交互等特点的复杂系统安 全性、任务执行过程对复杂系统安全性影响时，存在以下问题：

(1)无法对复杂系统中存在的关联失效及关联失效对系统安全性的影 响关系进行表征；

(2)难以考虑任务执行过程具体业务活动对系统安全性的影响；

(3)缺少综合考虑业务流程、关联失效影响的复杂系统安全性等级定 量计算模型。

针对以上问题，本发明提供了基于业务流程的复杂系统安全性建模方法 及装置以及基于业务流程的复杂系统安全性定量评估方法及装置。

图1为本发明一种实施例提供的基于业务流程的复杂系统安全性建模 方法的流程示意图。如图1所示，所述方法包括步骤S101至S105。

S101：获取复杂系统的至少一个业务活动。

所述获取复杂系统的至少一个业务活动之后，还包括获取所述复杂系统 的至少一个系统部件，并获取所述业务活动与所述系统部件之间的关联关 系。

在一具体实施例中，根据所述复杂系统的任务要求，分析确定所述复杂 系统在当前任务执行过程中的基础信息，包括：

所述复杂系统的业务活动，记为A＝{a₁，a₂，…，a_n}；

所述复杂系统的系统部件(软件和硬件)，记为C＝{c₁，c₂，…，c_m}。

一个复杂系统的运行是为了完成一件或是多件事，每件事的完成过程可 以包括多个业务活动，每个业务活动相当于是复杂系统的一个功能，功能的 实现具体是由系统部件完成的。所述还包括所述业务活动与所述系统部件之 间的关联关系，其中可包括相关或不相关，如表1所示。

表1业务活动与系统部件之间的关联关系

收集系统部件的基本参数，包括系统部件失效率、部件故障后的影响、 系统部件故障之间的关联关系等，如表2所示。例如，一个系统由打印机、 电脑、电源组成，就要分析打印机、电脑、电源可能出现的故障，并分析这 些故障对这个系统的影响，打印机出故障，影响的是打印功能，电源出现故 障就会导致打印机和电脑都不能工作。

表2系统部件属性信息

S102：根据复杂系统的任务剖面和所述业务活动，确定所述业务活动之 间的关联关系，并根据所述业务活动和所述业务活动之间的关联关系建立业 务活动流程。

所述任务剖面，是复杂系统完成一件任务所需经历的业务活动、时间、 具体的环境条件及业务活动之间的时序关系等内容。

在一具体实施例中，根据任务剖面，分析确定不同业务活动之间的关联 关系，所述业务活动之间的关联关系包括无直接关系、依赖关系、独立关系 3种情况，如表3所示。

依赖关系表示后面一个业务活动需要在前一个业务活动的基础上才能 实现相关功能或发挥相应的作用。

独立关系表示两者之间是并行关系，彼此之间无交叉，故障与否不会对 彼此产生影响。

无直接关系表示两个业务活动之间有其他的业务活动隔开，但是这些业 务活动共同构成要完成的任务，并不是完全没关系。

表3业务活动之间的相关性

根据上述分析结果，建立对应的业务活动流程，如图2所示。

S103：根据所述业务活动和所述业务活动之间的关联关系建立复杂系统 的故障判据。

故障是可靠性、安全性分析的基础，通过分析故障对复杂系统的影响， 判定其是否影响系统安全性。

根据所述业务活动及所述业务活动之间的相关性，确定系统故障判据。 主要原则如下：

对于具有依赖关系的业务活动，可认为任何一个业务活动的故障，都将 导致复杂系统的任务无法实现，构成串联关系；

对于具有独立关系的业务活动，可根据复杂系统的具体任务要求，确定 故障判据；

如果独立关系的业务活动具有可替代性，则可以认为这些业务活动构成 并联关系；

如果独立关系的业务活动是复杂系统的两项并行执行的业务活动，且没 有重要性区分，则可以认为这些业务活动构成串联关系；

如果独立关系的业务活动是复杂系统的两项并行执行的业务活动，具有 重要性区分，则需要根据具体要求，确定不同等级的复杂系统的故障状态和 判据。

S104：根据所述故障判据建立所述复杂系统的事件树模型和故障树模 型。该步骤具体实施包括S401-S404，如图3所示。

S401：根据所述业务活动确定事件。

假设复杂系统中每个业务活动有正常和故障两种状态，所述正常状态即 所述复杂系统能完成任务，所述故障状态即所述复杂系统不能完成任务。将 业务活动的故障作为要构建的事件树模型的事件，其中，业务活动a1故障 作为初始事件。以某一简单系统为例，该系统在某一应用场景下，任务执行 过程中包括6个业务活动，各业务活动之间的相关性分析结果如3所示，且 图4中业务活动3和业务活动4具有可替代性，业务活动i对应的正常状态 用a_i表示，业务活动i对应的故障状态用表示，i＝1，2，3，4，5，6。

根据图4所述业务活动流程可知，该复杂系统的事件树模型中的事件为 业务活动1故障、业务活动2故障、业务活动3故障、业务活动4故障、业 务活动5故障、业务活动6故障，其中初始事件为业务活动1故障。

具体实施时，业务活动中会有多种状态，如果考虑复杂系统的性能降级， 在正常状态和故障状态之间还会有其他状态，主要根据故障判据的准则去判 定。

S402：根据业务活动之间的关联关系确定事件序列。

继续以上述例子为例，根据业务活动流程中各业务活动之间的关联关系 可知，业务活动1、2、5、6构成依赖关系，任何一个业务活动的故障都将 导致系统任务的无法正常执行，业务活动3和业务活动4具有可替代性，可 以确定复杂系统的事件序列包括：

业务活动1、2、3、4、5、6都正常，记为事件序列A；

业务活动1、2、3、4、5都正常，但业务活动6故障，记为事件序列B；

业务活动1、2、3、4都正常，但业务活动5故障，记为事件序列C， 包括业务活动1、2、3、4都正常，业务活动5故障，业务活动6正常和业 务活动6故障两种情况，后续事件序列与此相同；

业务活动1、2、3、5、6都正常，但业务活动4故障，记为事件序列D；

业务活动1、2、3、5都正常，业务活动4、6故障，记为事件序列E；

业务活动1、2、3都正常，但业务活动4、5故障，记为事件序列F；

业务活动1、2、4、5、6都正常，但业务活动3故障，记为事件序列G；

业务活动1、2、4、5都正常，但业务活动3、6故障，记为事件序列H；

业务活动1、2、4都正常，但业务活动3、5故障，记为事件序列I；

业务活动1、2正常，但业务活动3、4都故障，记为事件序列J；

业务活动1正常，但业务活动2故障，记为事件序列K；

业务活动1故障，记为事件序列L。

A到L只是标识，可以用其他任何符号表示。

S403：根据所述事件和所述事件序列建立事件树模型。

在建立事件树模型时，当复杂系统/业务活动已经失效，在其以后的各 复杂系统/业务活动已经不可能缓减后果时，那么以后的复杂系统/业务活动 不必再分叉。

例如，上述例子中的业务活动1一旦故障，则复杂系统任务将无法完成， 认为后续业务活动对事件后果已经无法起到缓减的作用，所以，业务活动1 故障对应的就是一个导致系统失效的事件序列，在该事件序列中不再对其他 业务活动进行分析。

根据上述事件及事件序列规则，可建立该复杂系统的事件树模型，如图 5所示。

S404：根据所述业务活动和业务活动与系统部件之间的关联关系建立故 障树模型。

对于严重影响复杂系统的功能实现或任务执行的业务活动，根据业务活 动与系统部件之间的关联关系，依据GJB 768A中定义的建模元素和建模流 程方法，建立以各个业务活动故障为顶事件的故障树模型。

S105：根据所述事件树模型和所述故障树模型建立所述复杂系统的安全 性模型。

通过上述步骤的建模，可形成基于业务流程、综合利用事件树和故障树 建模方法的复杂系统安全性模型。

S106：建立人因分析模型，所述人因分析模型的分析结果用于故障树模 型的底事件或中间事件。

S107：建立共因失效分析模型，所述共因失效分析模型的分析结果用于 故障树模型的事件。

如图6所示，在复杂系统故障树建模时，如果存在人因和共因失效，可 将于人因和共因失效相关的事件利用下面方法分别单独进行考虑，将分析结 果作为故障树中的一个事件，再分析人因和共因失效对复杂系统的影响。

其中，人因的影响可利用人的失误率预测技术(THERP)、人的认知可 靠性模型(HCR)两种方法进行分析，分析结果作为故障树中的底事件或中 间事件。

共因失效可采用基本参数(BP)模型、β因子(BF)模型、多希腊字母(MGL)和二项故障率(BFR)模型4种经典模型进行分析。

本发明提供的基于业务流程、综合利用事件树和故障树建模方法的复杂 系统安全性建模方法有效对存在关联失效、人机交互、与任务执行过程密切 相关的发动机系统、航空器、对接控制系统等大型复杂系统的安全性建模分 析，解决面向任务的复杂系统任务执行过程表征、关联失效特性表征、综合 考虑任务执行过程和关联失效特性的安全性建模难题。

与本发明提供的基于业务流程的复杂系统安全性建模方法实施例相对 应，本申请还提供了基于业务流程的复杂系统安全性建模装置的实施例。参 见图7，为本发明实施例提供的基于业务流程的复杂系统安全性建模装置的 结构示意图，所述装置包括：

获取单元101，用于获取复杂系统的至少一个业务活动，还包括获取所 述复杂系统的至少一个系统部件，并获取所述业务活动与所述系部件之间的 关联关系；

业务活动流程建立单元102，用于根据复杂系统的任务剖面和所述业务 活动，确定所述业务活动的关联关系，并根据所述业务活动和所述业务活动 的关联关系建立业务活动流程；

故障判据建立单元103，用于根据所述业务活动和所述业务活动的关联 关系建立复杂系统的故障判据；

事件树模型建立单元1041，用于根据所述故障判据建立所述复杂系统 的事件树模型；

故障树模型建立单元1042，用于根据所述故障判据建立所述复杂系统 的故障树模型；

安全性模型建立单元105，用于根据所述业务活动流程、所述事件树模 型和所述故障树模型建立所述复杂系统的安全性模型。

还包括：

人因分析模型建立单元106，用于建立人因分析模型，所述人因分析模 型的分析结果用于故障树模型的底事件或中间事件；

共因分析模型建立单元107，用于建立共因失效分析模型，所述共因失 效分析模型的分析结果用于故障树模型的事件。

图8为本发明一种实施例提供的基于业务流程的复杂系统安全性定量 评估方法的流程示意图。

S101：获取复杂系统的至少一个业务活动。

S102：根据复杂系统的任务剖面和所述业务活动，确定所述业务活动之 间的关联关系，并根据所述业务活动和所述业务活动之间的关联关系建立业 务活动流程。

S103：根据所述业务活动和所述业务活动之间的关联关系建立复杂系统 的故障判据。

S104：根据所述故障判据建立所述复杂系统的事件树模型和故障树模 型。

S105：根据所述事件树模型和所述故障树模型建立所述复杂系统的安全 性模型。

S108：根据复杂系统的故障判据建立所述复杂系统的安全性等级判据。

根据不同业务活动的故障对复杂系统安全性的影响程度，可给出复杂系 统安全性等级判定依据。本发明主要是从对任务的影响情况，对影响复杂系 统安全性的事件发生概率进行定量分析计算，所以，本发明中以业务活动发 生故障对复杂系统任务的影响程度为主要的安全性判定依据。

以上述图4所给系统为例进行分析，如果假设复杂系统只有两种状态： 安全和危险，安全对应的是复杂系统的任务成功，危险对应的是复杂系统的 任务失败，则可得到该复杂系统安全对应的事件序列包括A、D、G。

S109：获取所述复杂系统的安全性等级。

在一实施例中，获取所述复杂系统的安全性等级具体包括步骤 S1091-S1092，如图9所示。

S1091：计算事件树中每个事件序列的发生概率。

每个事件序列的发生概率等于事件序列中相关事件的概率乘积，需注意 事件序列中各事件的相关性，如果事件相关，就是条件概率，如果事件不相 关，就是各事件故障发生概率直接相乘。

以上述例子中的事件序列C为例，其发生概率P(C)可表示为：

其中P(a₁)表示业务活动1正常的概率，P(a₂|a₁)表示业务活动1正常的情 况下业务活动2正常的概率，表示业务活动1、2、3、4都正常 的情况下，业务活动5故障的概率，其他依次类推。

如果上述6个业务活动的故障与否是相互独立的，则上述发生概率表达 式可简化为：

S1092：计算复杂系统的安全性等级，所述安全性等级为所述复杂系统 中的每个事件序列的发生概率之和。

基于上述计算得到的事件树中每个事件序列的发生概率，根据复杂系统 安全性及等级判定依据，可计算得到系统安全性水平。

以上述图3所述复杂系统为例，该复杂系统安全对应的事件序列为事件 序列A、D、G，则该系统的安全性等级S为：

S＝P(A)+P(D)+P(G)

与本发明提供的基于业务流程的复杂系统安全性定量评估方法实施例 相对应，本申请还提供了基于业务流程的复杂系统安全性定量评估装置的实 施例。参见图10，为本申请实施例提供的基于业务流程的复杂系统安全性 定量评估装置的结构示意图，所述装置包括：

获取单元101，用于获取复杂系统的至少一个业务活动，还包括获取所 述复杂系统的至少一个系统部件，并获取所述业务活动与所述系部件之间的 关联关系；

业务活动流程建立单元102，用于根据复杂系统的任务剖面和所述业务 活动，确定所述业务活动的关联关系，并根据所述业务活动和所述业务活动 的关联关系建立业务活动流程；

故障判据建立单元103，用于根据所述业务活动和所述业务活动的关联 关系建立复杂系统的故障判据；

事件树模型建立单元1041，用于根据所述故障判据建立所述复杂系统 的事件树模型；

故障树模型建立单元1042，用于根据所述故障判据建立所述复杂系统 的故障树模型；

安全性模型建立单元105，用于根据所述业务活动流程、所述事件树模 型和所述故障树模型建立所述复杂系统的安全性模型。

还包括：

人因分析模型建立单元106，用于建立人因分析模型，所述人因分析模 型的分析结果用于故障树模型的底事件或中间事件；

共因分析模型建立单元107，用于建立共因失效分析模型，所述共因失 效分析模型的分析结果用于故障树模型的事件。

所述装置还包括：

安全性等级判据建立单元108，用于根据复杂系统的故障判据建立所述 复杂系统的安全性等级判据。

安全性等级获取单元109，用于获取所述复杂系统的安全性等级。

本发明基于业务流程、综合利用事件树与故障树建模分析方法实现存在 关联失效的大型复杂系统安全性建模与定量指标计算的方法，可用于发动机 系统、航空器、对接控制系统等大型复杂系统的安全性建模与验证评估。

本发明通过对复杂系统任务的分析，梳理出任务执行过程的相关业务活 动，并根据不同业务活动之间的相关性，给出任务执行过程的业务流程，在 此基础上，综合利用事件树与故障树建模方法，构建复杂系统安全性模型。 同时，在故障树模型中可对复杂系统中存在的关联失效事件进行表征，嵌入 到复杂系统的安全性模型中，形成大型复杂系统安全性综合模型，并给出复 杂系统安全性定量评价方法，解决具有关联失效特点的面向任务的大型复杂 系统安全性定量评估问题。

以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑， 对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以 用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本 质上是说明性的，不应理解为对本发明权利要求保护范围的限制。

Claims (10)

1.基于业务流程的复杂系统安全性建模方法，其特征在于，所述方法包括：

获取复杂系统的至少一个业务活动；

根据复杂系统的任务剖面和所述业务活动，确定所述业务活动之间的关联关系，并根据所述业务活动和所述业务活动之间的关联关系建立业务活动流程；

根据所述业务活动和所述业务活动之间的关联关系建立复杂系统的故障判据；

根据所述故障判据建立所述复杂系统的事件树模型和故障树模型；

根据所述事件树模型和所述故障树模型建立所述复杂系统的安全性模型。

2.根据权利要求1所述的基于业务流程的复杂系统安全性建模方法，其特征在于，所述获取复杂系统的至少一个业务活动之后，还包括获取所述复杂系统的至少一个系统部件，并获取所述业务活动与所述系统部件之间的关联关系。

3.根据权利要求1或2所述的基于业务流程的复杂系统安全性建模方法，其特征在于，所述根据所述故障判据建立所述复杂系统的事件树和故障树，包括：

根据所述业务活动确定事件；

根据业务活动之间的关联关系确定事件序列；

根据所述事件和所述事件序列建立事件树模型；

根据所述业务活动和业务活动与系统部件之间的关联关系建立故障树模型。

4.根据权利要求1-3中任一项所述的基于业务流程的复杂系统安全性建模方法，其特征在于，所述根据所述故障判据建立所述复杂系统的事件树模型和故障树模型之后，还包括，建立人因分析模型，所述人因分析模型的分析结果用于故障树模型的底事件或中间事件。

5.根据权利要求1-4中任一项所述的基于业务流程的复杂系统安全性建模方法，其特征在于，所述根据所述故障判据建立所述复杂系统的事件树模型和故障树模型之后，还包括，建立共因失效分析模型，所述共因失效分析模型的分析结果用于故障树模型的事件。

6.基于业务流程的复杂系统安全性建模装置，其特征在于，包括：

获取单元，用于获取复杂系统的至少一个业务活动；

业务活动流程建立单元，用于根据复杂系统的任务剖面和所述业务活动，确定所述业务活动之间的关联关系，并根据所述业务活动和所述业务活动之间的关联关系建立业务活动流程；

故障判据建立单元，用于根据所述业务活动和所述业务活动之间的关联关系建立复杂系统的故障判据；

事件树模型建立单元，用于根据所述故障判据建立所述复杂系统的事件树模型；

故障树模型建立单元，用于根据所述故障判据建立所述复杂系统的故障树模型；

安全性模型建立单元，用于根据所述业务活动流程、所述事件树模型和所述故障树模型建立所述复杂系统的安全性模型。

7.根据权利要求6所述的基于业务流程的复杂系统安全性建模装置，其特征在于，还包括：

人因分析模型建立单元，用于建立人因分析模型，所述人因分析模型的分析结果用于故障树模型的底事件或中间事件；

共因分析模型建立单元，用于建立共因失效分析模型，所述共因失效分析模型的分析结果用于故障树模型的事件。

8.基于业务流程的复杂系统安全性定量评估方法，其特征在于，利用权利要求1-5中任一项所述的基于业务流程的复杂系统安全性建模方法定量评估所述复杂系统的安全性等级；所述方法还包括：

根据所述复杂系统的故障判据建立所述复杂系统的安全性等级判据；

获取所述复杂系统的安全性等级。

9.根据权利要求8所述的基于业务流程的复杂系统安全性定量评估方法，其特征在于，所述获取所述复杂系统的安全性等级，包括：

计算事件树中每个事件序列的发生概率；

计算复杂系统的安全性等级，所述安全性等级为所述复杂系统中的每个事件序列的发生概率之和。

10.基于业务流程的复杂系统安全性定量评估装置，其特征在于，利用权利要求6或7所述的基于业务流程的复杂系统安全性建模装置定量评估所述复杂系统的安全性等级；所述装置还包括：

安全性等级判据建立单元，用于根据所述复杂系统的故障判据建立所述复杂系统的安全性等级判据；

安全性等级获取单元，用于获取所述复杂系统的安全性等级。