CN111260261B - 一种系统概率风险自动评价方法 - Google Patents

Abstract

本发明公开了一种系统概率风险自动评价方法，获取系统基础信息，包括系统功能、结构、接口信息；确定所需分析的系统功能的失效概率要求；根据系统基础信息，建立软硬件主模型；获取系统外部事件，包括人为操作事件、环境事件等；获取所分析系统的各功能的故障模式信息；根据所获得外部事件、各功能模块的故障模式信息，转换为系统功能模块的内部、外部状态，并获取对应状态的发生概率信息；根据所获得的系统功能模块的内部、外部状态信息、发生概率信息以及系统软硬件主模型中的逻辑结构模型、功能关联关系模型、接口关系模型，建立内外部状态到各功能模块输出状态间的故障逻辑关系模型。

Description

一种系统概率风险自动评价方法

技术领域

本发明涉及系统安全性研究领域，特别是涉及一种系统概率风险自动评价方法。

背景技术

概率风险评价是最典型、应用最广的定量风险评价方法。概率风险评价方法主要针对复杂系统、关键设备进行风险评价，在核工业、化工、航天领域的安全性工作中有着重要的地位。概率风险评价的主要工作是包括风险模型的建立和风险模型的定量化。风险模型包括描述危险事件发生可能性的模型和描述危险事件造成损失的模型，通常使用事件树与故障树相结合的方法建模。风险模型定量化主要是计算基本事件、危险事件发生概率的点估计和区间估计以及不确定性，在概率的意义上区分各种不同因素对风险影响的程度。

概率风险评价的特点是基于事故场景进行风险研究，即需要基于事故场景建立风险模型，在此基础上再进行后续的风险评价。所谓事故场景是指，在用概率风险评价方法进行系统风险分析时，首先要鉴别出系统所有可能的事故场景及其发生的后果和可能性。事故场景也就是发生事故的事件链，包括初因事件、一系列中间事件(环节事件)和后果事件。事故场景识别不完整或不准确，就无法准确地进行风险评价，从而不能有效地辅助管理决策。

概率风险评价工作是否有效，关键在于识别出系统所有潜在的事故场景，这是一项非常艰巨的工作。如果事故场景识别不完整或不准确，就无法准确地进行风险评价，从而不能有效地辅助管理决策。

传统的事故场景的识别在很大程度上依赖于分析人员的经验和知识水平、使用方法的熟练程度及对系统熟悉程度，同时又要综合运用多种分析方法，如故障树(FTA)、事件树(ETA)、故障模式影响分析(FMEA)、初步危险分析(PHA)等进行事故场景的开发，这对于核电、航天器等复杂、庞大系统来说，通过人工手段识别复杂系统的事故场景非常困难，而且容易出现事故场景识别不全、不准确的现象。传统的事故场景识别方法，是根据FMEA分析方法确定系统潜在的故障模式，然后选取故障模式为初因事件，直接使用头脑风暴方法、人工经验等方式，使用故障树或者事件树创建事故场景。这种方法主要存在以下问题：

1、现有的FMEA分析报告都是针对特定约定层次，或者特定故障分析范围得到的，比如工艺FMEA、软件FMEA、硬件FMEA等，且这些FMEA分析工作一般是独立开展的，没有考虑比如软件FMEA和硬件FMEA之间的关联关系、耦合因素、外部操作或者环境事件的耦合关系等。如果直接引用单一FMEA的故障模式作为初因事件，很容易造成引用的初因事件不全或者分析片面性，不能反映出该初因事件与整个系统所有功能模块、设备之间事件或者故障模式之间的关联关系。

2、传统的概率风险评价方法，由于初因事件的获取都是基于FMEA报告或者人工经验判断得到，属于文本驱动的分析方法，而不是基于数字化模型得到的。当所分析对象的构型发生变更时，所有的概率风险评价结果都需要重新分析，不仅效率低，而且很难保证数据的一致性、准确性。

3、根据FMEA分析确定初因事件后，直接使用事件树、故障树建立事故场景，依靠人工经验进行事故场景的建模，往往会出现不同人绘制的事故场景模型不一样的情况，缺乏统一模型、规则约束。

发明内容

本发明所要解决的技术问题是一种系统概率风险自动评价方法，更易于实现系统概率风险评价的自动化、信息化、模型化，更易于软件实现，可自动生成事故场景，自动进行概率风险评价，提高工作效率和准确性。

本发明是通过以下技术方案来实现的：一种系统概率风险自动评价方法，如图5所示：

(1)首先，获取概率风险评价对象的基础信息，包括该系统由多少个功能模块组成，各功能模块之间的层次关系、接口关系，每个功能模块可能的状态(正常、退化、失效等)。假设系统S包含的功能模块分别为M1,M2,……,Mn，功能模块M1的功能F11状态为S11,S12,……,S1k，功能模块M1的功能F12的状态为S21,S22,……,S2p，以此类推。如果由不同功能模块共同完成的同一功能时，创建一个抽象节点，并把共同完成的功能模块放入该抽象节点中。

(2)确定所需进行概率风险评价的每个功能模块的失效概率要求，该概率要求作为风险评价阈值约束。不同行业以及不同类型的产品，失效概率要求是不同的。例如，飞机I类失效状态的发生概率定量要求为＜10E-9/FH。

(3)绘制系统软硬件主模型，自上向下，逐层绘制。包括绘制系统各功能模块之间的层次关系、接口关系，包括定义各功能模块的状态集合(正常、退化、失效等)。

(4)分析系统在使用过程中可能受到的外部环境事件影响，以及维护操作事件的影响，在对应的功能模块定义外部事件，并与该功能模块建立关联关系。假设系统S包含的外部事件定义为E1,E2,……,Em。同时，分析各功能模块可能的故障模式，在对应的功能模块定义故障模式事件。假设系统S的功能模块M1包含的故障模式为FM1,FM2,……,FMl。

(5)收集每个功能模块的自身状态事件、外部事件、故障模式事件、与功能模块有输入接口关系所传递进入的状态事件，将外部事件、传递进入的状态事件归类为外部状态事件，功能模块的故障模式事件、自身状态事件归类为内部状态事件。其中，自身状态事件又属于输出状态。

(6)分别以功能模块的自身状态为输出，外部事件、故障模式事件、传递进入的状态事件为输入，以与门、或门、异或门、非门等逻辑结构建立输入与输出状态之间的故障逻辑关系R1,R2,……,Rx。

(7)根据各功能模块所包含的功能是否与所需进行概率风险评价的功能相关为约束条件，依次建立所需进行概率风险评价的功能的功能安全链。该功能安全链包含的元素可以是功能模块、外部事件、故障模式、故障逻辑关系等。以功能安全链方式进行全局的关联功能搜索，找出所需进行概率风险评价的功能的所有关联功能模块，并以所需进行概率风险评价的功能为起点，自上而下逐层找出所有与该功能相关的故障逻辑关系及事件(外部事件、故障模式)，并以最底层的事件作为备选初因事件。

(8)根据功能模块不同输出状态的严重性等级、发生概率等级或者其他约定的筛选规则，对备选初因事件进行筛选，筛选出最终的初因事件。

(9)根据筛选出来的初因事件，搜索出所有初因事件到所需分析的功能输出状态之间的故障传播路径。

(10)根据搜索出的初因事件到所需分析的功能输出状态的故障传播路径，进行故障传播路径各环节事件(也称为中间事件)的逻辑门处理，转化为事件树。处理方式为原故障传播路径环节事件的逻辑门为或门时，转化为事件树时将或门及下层事件全部舍弃，不添加到事件树的事件链；原故障传播路径环节事件的逻辑门为与门时，转化为事件树时将与门的事件直接添加到事件树的事件链中；原故障传播路径环节事件的逻辑门为异或门时，转化为事件树时将异或门的事件直接添加到事件树的事件链中；原故障传播路径环节事件的逻辑门为非门时，转化为事件树时将非门的事件直接添加到事件链中。

(11)根据所需分析的功能输出状态到初因事件的故障逻辑关系，自动组合生成故障树；根据所需分析的功能输出状态到初因事件之间的故障传播路径的逻辑门简化结果，生成事件树、事件序列图。

(12)根据所获得的事件树、事件序列图以及故障树，计算所需分析的功能输出状态的失效概率，并与失效概率要求阈值比较，判断是否满足安全性要求。

本发明的有益效果是：

1、本发明更易于实现概率风险评价的自动化、信息化、模型化，更易于软件实现，可自动生成事故场景，自动进行概率风险评价，有效提高工作效率和准确性；

2、本发明是基于统一的一个系统软硬件主模型进行概率风险评价，可避免不同人员所分析得到的事故场景不一致等问题，避免初因事件识别不全面等问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的第一层功能结构图；

图2为本发明的M1的子模块结构图；

图3为本发明的功能模块M1的故障逻辑关系模型；

图4为本发明的功能模块M1的O11故障树图；

图5为本发明的流程图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

在本发明的描述中，需要理解的是，术语“一端”、“另一端”、“外侧”、“上”、“内侧”、“水平”、“同轴”、“中央”、“端部”、“长度”、“外端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

本发明使用的例如“上”、“上方”、“下”、“下方”等表示空间相对位置的术语是出于便于说明的目的来描述如附图中所示的一个单元或特征相对于另一个单元或特征的关系。空间相对位置的术语可以旨在包括设备在使用或工作中除了图中所示方位以外的不同方位。例如，如果将图中的设备翻转，则被描述为位于其他单元或特征“下方”或“之下”的单元将位于其他单元或特征“上方”。因此，示例性术语“下方”可以囊括上方和下方这两种方位。设备可以以其他方式被定向(旋转90度或其他朝向)，并相应地解释本文使用的与空间相关的描述语。

在本发明中，除非另有明确的规定和限定，术语“设置”、“套接”、“连接”、“贯穿”、“插接”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

一种系统概率风险自动评价方法步骤，获取系统基础信息，包括系统功能、结构、接口信息；确定所需分析的系统功能的失效概率要求；根据系统基础信息，建立软硬件主模型，包括系统逻辑结构模型、系统功能关联关系模型、功能接口关系模型；获取系统外部事件，包括人为操作事件、环境事件等；获取所分析系统的各功能的故障模式信息；根据所获得外部事件、各功能模块的故障模式信息，转换为系统功能模块的内部、外部状态，并获取对应状态的发生概率信息；根据所获得的系统功能模块的内部、外部状态信息、发生概率信息以及系统软硬件主模型中的逻辑结构模型、功能关联关系模型、接口关系模型，建立内外部状态到各功能模块输出状态间的故障逻辑关系模型；根据所获得的内外部状态到各功能模块输出状态间的故障逻辑关系模型，以是否与所需分析功能的关联为约束，建立功能安全链，筛选出初因事件；根据所获得的初因事件以及初因事件所关联的输出状态故障逻辑关系模型，进行故障传播路径搜索；根据所搜索得到的故障传播路径，采用环节事件逻辑门转化规则进行逻辑门转化处理，并建立事件链模型；根据所获得的内外部状态故障逻辑关系模型，建立故障树模型；根据所获得的事件链模型，生成事件树、事件序列图；根据所获得的事件链、故障树模型，得到所分析系统的概率风险评估结果。

在此列举一具体的实施例，本实施例具体如下：

步骤S100,获取系统基本信息，获取概率风险评价对象的基础信息，包括该系统由多少个功能模块组成，各功能模块之间的层次关系、接口关系，每个功能模块可能的状态(正常、退化、失效等)。

系统是由相互作用、相互依赖的若干组成部分结合而成的具有特定功能的有机整体，可以是具体硬件系统、软件系统，可以是简单或复杂的大型飞机、舰船、核电系统等。系统各组成部分往往存在各种各样的关联关系、耦合关系。假设系统S由3个功能模块组成，功能模块分别为M1,M2,M3，功能模块M1包含子功能模块M11、M12。功能模块M1的功能F11状态为S11、S12，功能模块M11的功能F111状态为S111，功能模块M12的功能F121状态为S121；功能模块M2的功能F21状态为S21；功能模块M3的功能F31状态为S31。

步骤S200，确定所需进行概率风险评价的每个功能模块的失效概率要求，该概率要求作为风险评价阈值约束。不同行业以及不同类型的产品，失效概率要求是不同的。

具体地，根据所需进行概率风险评价的每个功能模块的失效概率要求，分别定义各功能模块的状态失效率概率要求。假设系统S是飞机系统，系统S的功能模块M1的功能F1是系统安全关键功能，严酷度等级属于II类，该功能的状态S11的失效概率要求是不大于1E-7/FH。

步骤S300，如图1和图2所示，绘制系统软硬件主模型，自上向下，逐层绘制。包括绘制系统各功能模块之间的层次关系、接口关系，包括定义各功能模块的状态集合。

具体地，根据所获得的概率风险评价对象的基本信息，绘制软硬件主模型。所绘制的软硬件主模型，模型中的功能模块可以代表具体的软件、硬件或者抽象功能。所绘制的软硬件主模型，自上而下进行绘制，且分层绘制。系统S各功能模块的功能、接口关系如表1、表2所示。系统S由3个功能模块组成，功能模块分别为M1,M2,M3，功能模块M1包含子功能模块M11、M12。功能模块M1包含功能F11、输出接口O11、状态S11、状态S12，功能模块M2包含功能F21、输入接口I21、输出接口O21、状态S21，功能模块M3包含功能F31、输入接口I31、状态S31，功能模块M1的子功能模块M11包含功能F111、输出接口O111以及状态S111，功能模块M1的子功能模块M12包含功能F121、输出接口O121以及状态S121。

系统S的各功能模块的接口关系为：功能模块M1的输出接口O11与功能模块2的输入接口I21连接，功能模块M2的输出接口O21与功能模块M3的输入接口I31连接，功能模块M1的子功能模块M11的输出接口O111与功能模块M1的输出接口O11连接，功能模块M1的子功能模块M12的输出接口O121与功能模块M1的输出接口O11连接。

表1系统功能、接口表

表2接口关系表

源点(模块)	源点接口	终点(模块)	终点接口
				功能模块M1	O11	功能模块M2	I21
功能模块M2	O21	功能模块M3	I31
				功能模块M11	O111	功能模块M1	O11
功能模块M12	0121	功能模块M1	O11

步骤S400，获取系统外部事件,获取各功能的故障模式，定义功能模块的外部事件、故障模式。

具体地，系统S的功能模块M1包含1个外部事件ET11,2个故障模式FM11、FM12，将故障模式FM11、FM12定义为(等效为)状态S11、S12，在系统软硬件主模型的功能模块M1添加外部事件ET11。系统的功能模块M2包含1个故障模式FM21，将故障模式FM21定义为(等效为)状态S21。功能模块M3包含1个故障模式FM31，将故障模式FM31定义为(等效为)S31。功能模块M11包含1个故障模式FM111，将故障模式FM111定义为(等效为)S111。功能模块M12包含1个故障模式FM121，将故障模式FM121定义为(等效为)S121。

步骤S500，根据所获得外部事件、故障模式，转换为系统功能模块的内部、外部状态，并获取对应状态的发生概率信息。

具体地，将系统S的功能模块M1添加的外部事件ET11以及故障模式FM11、FM12，利用可靠性预计、故障树分析、故障模式影响及危害性分析等方法确定ET11、FM11、FM12的发生概率。依此类推，获取FM21、FM31的发生概率，获取FM111、FM121的发生概率。

步骤S600，根据所获得的内外部状态信息以及系统软硬件主模型中的逻辑结构模型、功能关联关系模型、接口关系模型，建立内外部状态到输出状态间的故障逻辑关系模型(如图3所示)。

具体地，系统S的功能模块M1的子功能模块M11的内部状态到输出状态间的故障逻辑关系模型是：选择功能模块M1的子功能模块M11的模块状态S111为输出，功能模块M1的子功能模块M11的故障模式FM111为输入，逻辑关系选择或门，由此建立功能模块M1的子功能模块M11的内部状态到输出状态间的故障逻辑关系模型。同样，选择功能模块M1的输出S11(或O11)为输出，功能模块M1的子功能模块M11、M12的状态S111、S121为输入，以及外部事件ET11、自身状态S11、S12为输入，逻辑关系选择与门，建立功能模块M1的内部状态到输出状态间的故障逻辑关系模型。同理，建立功能模块M2、M3的内部状态到输出状态间的故障逻辑关系模型。

步骤S700，根据所获得的内外部状态到输出状态间的故障逻辑关系模型，以是否与所需分析功能关联为约束，建立功能安全链，筛选出初因事件。

具体地，根据功能模块M1的内部状态到输出状态间的故障逻辑关系模型，以功能模块M1的功能F11为例，当功能模块M1的O11输出故障，功能F11则故障。以功能模块M1的O11输出故障为起点，分别自上而下找出所有的功能安全链。功能安全链包括{FM111，O11故障}、{FM121,O11故障}、{ET11,O11故障}、{S11,O11故障}、{S12,O11故障}共5条。由此可筛选出初因事件为{FM111}、{FM121}、{ET11}、{S11}、{S12}。根据各事件发生概率以及对功能模块M1的影响程度对初因事件进行进一步筛选，假设外部事件ET11的发生概率较小，可剔除该事件；最后得到功能模块M1的初因事件。

步骤S800根据所获得的初因事件以及初因事件所关联的故障逻辑关系模型，进行故障传播路径搜索。

具体地，以初因事件为{FM111}为例，以该初因事件为起点，进行故障传播路径搜索。最终搜索得到的故障传播路径为“FM111-或门-O111故障-或门-O11故障”。其中，FM111与O111故障间的逻辑门是或门，O111故障与O11故障间的逻辑门是或门。

步骤S900根据所获得的故障传播路径结果，进行逻辑门转化处理及事件链模型构建。

具体地，根据故障传播路径各环节事件(也称为中间事件)的逻辑门处理方法：原故障逻辑门为或门时，转化为事件树时将或门及下层事件全部舍弃(初因事件除外)，不添加到事件树的事件链；原故障逻辑门为与门时，转化为事件树时将与门的事件直接添加到事件树的事件链中；原故障逻辑门为异或门时，转化为事件树时将异或门的事件直接添加到事件树的事件链中；原故障逻辑门为非门时，转化为事件树时将非门的事件直接添加到事件链中。根据该逻辑门处理方法，初因事件FM111的故障传播路径“FM111-或门-O111故障-或门-O11故障”转化为事件树时，由于FM111与O111故障间是或门，除了FM111事件保留外，将其他同层的事件舍弃；O111故障与O11故障间也是或门，同理，只保留O111故障，将与O111故障同层的O121、ET1、S11、S12事件舍弃掉。从而得到初因事件FM111的事件链。依此类推得到其他事件链。

步骤S100根据所获得的内外部状态故障逻辑关系模型，建立故障树模型(如图4所示)，根据所获得的事件链模型，生成事件树、事件序列图。

具体地，根据功能模块M1的所有功能安全链以及步骤S600建立的功能模块M1的内部状态到输出状态间的故障逻辑关系模型，生成以功能模块M1的O11故障为顶事件的故障树。根据步骤S900获得的事件链，可创建初因事件FM111的事件树。

步骤110根据所获得的事件树、故障树模型，得到所分析系统的概率风险评价结果。

具体地，根据功能模块M1的故障树，假设M11故障(即FM111故障模式)发生概率为1E-9/FH，M12故障(即FM121故障模式)发生概率为1E-9/FH,外部事件ET11发生概率为5E-10/FH，S11、S12的发生概率均为1E-9/FH，可计算得到功能模块O11输出故障(即功能F11故障)的概率为4.5E-9/FH。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何不经过创造性劳动想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书所限定的保护范围为准。

Claims (1)

1.一种系统概率风险自动评价方法，其特征在于：

S1：首先，获取概率风险评价系统的基础信息，包括该系统的各功能模块组成、各功能模块之间的层次关系、接口关系以及每个功能模块的状态；当不同功能模块共同完成的同一功能时，创建一个抽象节点，并把共同完成的功能模块放入该抽象节点中；

S2：确定所需进行概率风险评价的每个功能模块的失效概率要求，该失效概率要求作为风险评价阈值约束；

S3；绘制系统软硬件主模型，自上向下，逐层绘制，包括绘制系统各功能模块之间的层次关系、接口关系以及各功能模块的状态集合；

S4：分析系统各功能模块在使用过程中受到的外部环境事件的影响以及维护操作事件的影响，为功能模块定义外部事件，并建立外部事件与对应功能模块的关联关系；同时，分析各功能模块的故障模式，为功能模块定义故障模式事件；

S5：收集每个功能模块的自身状态事件、外部事件、故障模式事件和与功能模块有输入接口关系所传递进入的状态事件，将外部事件和传递进入的状态事件归类为外部状态事件，功能模块的故障模式事件和自身状态事件归类为内部状态事件；其中，自身状态事件又属于输出状态；

S6：以功能模块的自身状态为输出，外部事件、故障模式事件和传递进入的状态事件为输入，建立输入与输出状态之间的故障逻辑关系；

S7：根据各功能模块所包含的功能与所需进行概率风险评价的功能的相关约束条件，依次建立所需进行概率风险评价的功能的功能安全链；以功能安全链方式进行全局的关联功能搜索，找出所需进行概率风险评价的功能的所有关联功能模块，并以所需进行概率风险评价的功能为起点，自上而下逐层找出所有与该功能相关的故障逻辑关系、外部事件及故障模式，并以最底层的事件作为备选初因事件；

S8：根据功能模块输出状态的严重性等级、发生概率等级或者其他约定的筛选规则，对备选初因事件进行筛选，筛选出最终的初因事件；

S9：根据筛选出来的初因事件，搜索出所有初因事件到所需分析的功能输出状态之间的故障传播路径；

S10：根据搜索出的初因事件到所需分析的功能输出状态的故障传播路径，进行故障传播路径各环节事件的逻辑门处理，转化为事件树；当故障传播路径的环节事件的逻辑门为或门，则转化为事件树时将或门及下层事件全部舍弃，不添加到事件树的事件链；当故障传播路径环节事件的逻辑门为与门，则转化为事件树时将与门的事件直接添加到事件树的事件链中；当故障传播路径环节事件的逻辑门为异或门，则转化为事件树时将异或门的事件直接添加到事件树的事件链中；当故障传播路径环节事件的故障逻辑门为非门，则转化为事件树时将非门的事件直接添加到事件链中；

S11：根据所需分析的功能输出状态到初因事件的故障逻辑关系，自动组合生成故障树；根据所需分析的功能输出状态到初因事件之间的故障传播路径的逻辑门简化结果，生成事件树和事件序列图；

S12：根据所获得的事件树、事件序列图以及故障树，计算所需分析的功能输出状态的失效概率，并与失效概率要求比较，判断是否满足安全性要求。