高空模拟试验应急管理的 Petri网建模及应用

马 锋 邱菀华

(北京航空航天大学 经济管理学院,北京 100191)

高空模拟试验应急管理的 Petri网建模及应用

马 锋 邱菀华

(北京航空航天大学 经济管理学院,北京 100191)

针对我国高空模拟试验的应急管理,构建了一个应急管理工作流策略,并对这个策略进行了 Petri网建模.这个模型主要包括应急停车程序和紧急停车程序.应急停车程序以保证被试发动机与试验设备的安全、同时兼顾快速停车为目标,所以主要由一些串行处理环节组成;而紧急停车程序则以快速停车为目标,所以以并行处理环节为主.模型的分析表明:模型具有可达性、合理性、自由选择性、良构性和 S可覆盖性.根据这个模型,对某发动机在高空模拟试验时的应急管理进行了演练,获得了完成各个变迁需要的响应时间.分析这些时间数据,找到了在紧急停车程序的应急管理操作中影响整体应急响应时间的关键环节.同时发现,在应急停车程序中,可以根据应急事件的分级在保证发动机和试验设备的安全与应急响应时间之间找到一个折中,最大化应急管理的效果.应急程序的修改和应急培训有效地减少了关键环节的应急响应时间.

应急管理;高空模拟试验;Petri网;工作流;建模

应急管理是在世界各地不断频发灾难性事件的情况下出现的一门新兴学科,是一门综合了运筹学、战略管理、信息技术以及各种专门知识的交叉学科,是针对突发事件的决策优化的研究.研究高空模拟试验的应急管理对于降低试验设备、被试发动机和参试人员等在意外情况下的风险非常必要.试验时的应急工作流是应急管理的响应流程.建立正确的工作流模型可以成为改进、完善、选择应急管理流程的依据.Petri网有图形表示和描述精确的特性,以及它们固有的数学基础,常常用于建模许多复杂系统.它既可用于静态的结构分析,又可用于动态的行为分析[2].不仅它们的正式语义允许精确而无歧义的描述,而且它们的图形本质允许模型易于理解.1962年,Petri提出了 Petri网.1971年,Holt提炼并命名了它.1981年,Peterson讨论了 Petri网的动态行为,而 1989年 Murata的教学综述文章提供了一个 Petri网历史和应用的完整综述.Petri网和研究者们的修正提供了一个丰富、通用的建模方法.在管理系统中,Petri网相当适合建模控制流,是提供“定性”验证的高效方法.这些 Petri网能提供过程和控制规范,这些规范把“是什么”和 “如何做”相联系,更接近实际系统的实现.文献[3]展示 Petri网对建模核电厂应急管理系统的适应性及高效性,对于减少电站中故障撤离的有效性特别有用.

本文拟研究我国高空模拟试验应急管理工作流的 Petri网模型.

1 定 义

下列定义描述了 Petri网的工作流的重要属性[4].

1)可达性.Petri网的初始状态一旦确定,被建模过程的可能行为就是确定的,通常利用模型的可达图来分析工作流行为.可达图是一种有向图,由节点和有向箭头构成,每个节点表示一种可达状态,每个箭头表示一种可能的状态改变.

2)合理性.一个工作流 PN=(P,T,F)的建模过程是合理的,当且仅当:

环境就是民生，青山就是美丽，蓝天也是幸福。我们相信，在习近平新时代中国特色社会主义思想指引下，绿色崛起的普洱必定会像许嘉璐先生所预言的那样：“在中国和世界迂回、曲折前进的道路上，普洱自身的未来不可限量，将所作出更多更大的贡献。”

①对于每一个从初始状态 i可达的状态 M,存在一个实施序列,从状态 M到达结束状态 o,形式化为∀M(i→M)⇒(M→o);

②结束状态o是从初始状态 i可达的唯一最终状态,且结束时库所 o至少会有一个托肯,形式化表示为∀M(i→M∧A≥o)⇒(M=o);

③(PN,i)中不存在死变迁,形式化表示为∀t∈ T∃M,M′(i→M→M′).

3)自由选择性.Petri网是自由选择的,当且仅当∀ti和 tj,ti∩ tj≠∅隐含了 ti=tj(i≠j).

4)良构性.工作流网的良构性要求具有平衡的AND/OR-split和AND/OR-join.

5)S可覆盖性.一个合理的自由选择的工作流网是 S可覆盖的.

2 高空台的组成

航空发动机高空模拟试车台(简称“高空台”)主要有直接连接式、自由射流式、管道喷管式和推进风洞式等类型[1,5].不论哪种类型的高空模拟试车台,大多由进排气控制系统、发动机控制系统、电气系统、测试系统等组成[1,5-9],各个系统又由分系统组成,如测试系统常包括稳态测试系统和动态测试系统,稳态测试系统又包括稳态气体压力、温度、转速、流量、推力、振动、应力等子测量系统,进排气控制系统包括进气调压系统和调温系统及抽气系统.显然,子系统、分系统与系统之间是一个分层结构.这些系统在试验指挥系统的指挥下运行.高空模拟试验时的这种系统组成关系可用系统框图的方式表示,系统组成框图如图 1所示.

图1 高空模拟试验的系统组成框图

3 高空模拟应急管理的工作流拓扑

图1所示的系统是一个庞大的系统,在试验过程中,需要多人有机协调共同完成.试验过程中,一旦出现突发事件,如地震、滑坡、紧急设备故障等,即满足应急条件时,就应有序进入应急状态.进入应急状态的工作流图如图 2所示.试验指挥宣布进入应急状态以后,非子系统负责人立刻开始按撤离程序撤离;消防人员就位,准备处理意外失火;试验指挥选择紧急停车程序或应急停车程序;子系统负责人执行试验指挥选定的停车程序.待各子系统停车程序完成后,各子系统负责人撤离.

图2 高空模拟试验的应急管理的网络拓扑

由图 2可见,紧急停车程序与应急停车程序最大的区别是:紧急停车的许多子系统之间的操作是并行完成的,而应急停车是串行的.这就使得紧急停车更加迅速,而应急停车对发动机因停车导致损坏的风险最低.选择哪个停车程序取决于试验指挥对应急事件发生后果和应急事件演化速度的判断.

紧急停车程序分两步:首先将油门杆拉至停车,然后关供油电磁阀,开高空舱底回油阀,关发动机部件吹风,关高空舱进气阀,开高空舱排气阀,关数控电源等.后一个步骤的各项工作是并行完成的,没有先后顺序.各子系统负责人完成自己的应急程序后即可撤离.

应急停车程序中各个步骤是顺序完成的.首先把油门杆拉至慢车,接着调整进气总压至适当位置,防止与大气压的压力差过大.然后视情况工作或在工作 1～3m in后发动机停车.继而关闭高温高压进气,舱内部分通大气,保持合适负压一段时间.接下来风车运行一段时间.然后舱内压力维持大气压,最后撤离.

4 应急管理工作流的 Petri网模型

资源约束情况下,多个并行流程的工作流的Petri网建模步骤[10]如下:

1)对于系统中各个工作流子流程,分别构建子流程的工作流网模型;

2)增加两个变迁和两个库所:初始变迁、结束变迁和输入库所、输出库所,使初始变迁作为模型所有输入库所的输入变迁,结束变迁作为所有输出库所的输出变迁,输入库所作为初始变迁的输入,输出库所作为结束变迁的输出;

3)用弧连接系统的输入库所与输入变迁、输入变迁与各个子流程工作流网的输入库所、各个子流程工作流网的输出库所与系统的输出变迁、系统的输出变迁与输出库所;

4)改变子流程模型各个输入库所的初始标识,将其置零,并令系统的初始标识为 1,其余库所的标识不变;

5)如果在多个相关工作流中活动的资源存在冲突,则在冲突的变迁之间增加一个库所,并分别添加从新库所到相应冲突变迁处的输出弧、变迁到新库所的输入弧作为公共部分.

图3是根据高空模拟试验应急管理的网络拓扑建立的工作流网模型.模型中库所 pi(i=1,2,…,8),pm1,pm7,pp1,pp3和变迁 tj(j=1,2,…,9)的含义见表 1.

t5是一个互斥选择(OR-split)变迁,t8是互斥同步(OR-join)变迁,这两个变迁符号是 Aalst为工作流网专门定义,在基本 Petri中没有的.t5使用 OR-split变迁是因为试验指挥必须在紧急停车程序与应急停车程序中选择一个,而 t8使用 OR-join是因为不论执行哪个停车程序变迁都要到达库所 p7的子系统负责人处于安全状态.一个从 p1到 p8的过程是一次应急管理的完整过程.

图3 高空模拟试验应急管理工作流的Petri网模型

表 1 图 3中各库所和变迁的含义

t7和 t6分别表示执行应急停车程序和紧急停车程序,这两个停车程序又可表示成子工作流网模型,如图 4和图 5所示.图 4和图 5中的各库所和变迁的含义如表 2和表 3所示.

由图 4和图 5可见,紧急停车程序中大部分变迁是并发执行的,而应急停车程序大部分变迁是顺序执行的,这与拓扑图(图 2)一致.这种并发与顺序执行的差异对管理系统运行性能的影响完全不同.并发变迁执行的最短时间取决于执行时间最长的那个变迁,而顺序执行的变迁的执行时间取决于每一个变迁的执行时间的和.要想提高顺序执行的变迁的效率,缩短执行时间,缩短每一个环节的时间都是有效的.但是,对于并发执行的变迁,要想缩短系统的执行时间,只有缩短执行时间最长的变迁环节才是有效的.

图4 应急停车程序工作流的Petri网模型

图5 紧急停车程序工作流的Petri网模型

表 2 图 4中各库所和变迁的含义

表 3 图 5中各库所和变迁的含义

5 应急工作流 Petri网模型分析

1)可达性.由图 3所示的工作流网模型可得图 6所示的可达图.图中每个可达状态用(p1,p2,p3,p4,p5,p6,pp1,pp3,pm1,pm7,p7,p8)的十二元组表示.分析图 6所示的可达图可知,图 3所示的工作流网模型具有可达性.

图6 图 3所示工作流图的可达图

2)合理性.分析图 3和图 6发现:对应于满足应急条件的一个 p1和 p2标记,最终有且只有一个标记出现在库所 p5和 p8中;当库所 p5和 p8出现标记时,其他所有库所都是空的;对每个变迁,从初始状态都能到达该变迁就绪的状态.根据前面合理性的定义和文献[4]中合理性的要求可知,该工作流的 Petri网是合理的.

3)自由选择性.图 3中,由 t5和 t8的 OR-split和 OR-join组成的一个过程满足“重要定义”中的自由选择性定义,所以这个过程是自由选择的,这使得在应急停车程序与紧急停车程序之间的选择是自由的.

4)良构性.图 3中的 OR-split与 OR-join变迁是成对出现的,这说明图 3的 Petri网具有良构性.

5)S可覆盖性.由 S可覆盖性的推论 3和4[4]可知,一个合理的自由选择的工作流是 S可覆盖的,说明图 3所示 Petri网具有 S可覆盖性.

6 应急管理 Petri网模型的应用

根据图 3的模型,组织了应急演练.表 4是应急演练获得的模型各环节的应急响应时间.综合图 3～图 5,可以获得完成紧急停车程序应急管理的响应时间 t′和完成应急停车程序应急管理的响应时间 t″分别为

表 4 应急演练获得的模型各环节的应急响应时间

因此,由表 4可计算得执行紧急停车程序的应急管理过程耗时:t′=242 s,而执行应急停车程序的应急管理过程耗时:t″=723s.

由表 4可见,在紧急停车程序中并列的 tt2～tt7的变迁中,tt4耗时 150s,比其他几个并列变迁的耗时大很多,这意味着减小 tt4可以有效减小整个应急管理过程的响应时间.分析发现,tt4是关发动机部件吹风,造成 tt4完成时间长的原因,是这台发动机在 tt4这个环节上有很多部件单元通过不同大小的吹风口吹风,而不同吹风口都使用了各自独立的控制组件,所以工作人员在完成这个步骤时要对多个独立的控制组件进行操作,花去很多时间.发现这个问题后,重新设计了管路关系,减少 tt4的工作内容,结果 tt4缩短到了 27 s.因此,整个紧急停车程序的应急管理的响应时间也减少到了 135s,比没有改进时缩短了近一半.

在应急停车程序中,耗时比较多的环节有 tm1(拉油门杆至慢车)、tm3(视情工作)、tm6(开抽气)、tm7(风车运行),分别耗时 136s,158 s,107s,180s.这些环节是保证发动机试验安全的关键环节,耗时较多是与保证发动机安全、降低试验风险相一致的.其实,这些环节都可以再缩短工作时间,比如 tm3视情工作可以选择 1～3min,这里选择了接近上限的最长的运行时间,主要是从安全的角度考虑,在必要的时候,可以选择下限运行时间.其他环节也是如此.更为程序化的方法可以根据应急事件的分级来选择应急停车程序中各环节的运行时间,这里不再赘述.

7 结 论

本文研究了高空模拟试验的应急管理,提出了用 Petri网方法来建模高空模拟试验的应急管理工作流,获得了该应急管理工作流的 Petri网模型,该工作流网模型是一个层次化 Petri网,存在着顺序执行和并行执行环节.通过对该应急管理的 Petri网模型分析发现,这个模型具有可达性、合理性、自由选择性、良构性和 S可覆盖性.

应急管理工作流的 Petri网建模,对于发现应急管理各环节中的不足、改善应急水平、合理规划应急网络非常有益.在本文的建模过程中,不断地修改并完善了原来的应急管理流程.进一步,在用Petri网建模之后,可以考虑在现有应急管理流程中用某些自动化控制环节来替换相应的手动环节,提高应急管理的效率,缩短应急响应时间,更大限度的保障应急状态下的生命和财产安全.

该应急管理模型是根据高空模拟试验的应急管理需求建立的,对于国内外广泛应用的地面模拟试验,这个模型的构造方法同样适用,且模型本身也有借鉴作用.

References)

[1]杜鹤龄.发动机高空模拟[M].北京:国防工业出版社,2002 Du Heling.Altitude simulation of aero-engine[M].Beijing:Defence Industry Press,2002(in Chinese)

[2]袁崇义.Petri网原理与应用[M].北京:电子工业出版社,2005 Yuan Chongyi.Theory and application of Petri net[M].Beijing:Publishing House of Electronics Industry,2005(in Chinese)

[3]Madjid Tavana.Dynamic process modelling using Petri nets with applications to nuclear power plant emergency management[J].Int J Simulation and Process Modelling,2008,4(2):130-138

[4]Wil van der Aalst,Kees van Hee.Work Flow management models,methods,and systems[M].Cambridge:MIT Press,2002

[5]杜鹤龄.我国大型连续式高空台与国际标准的衔接问题[J].燃气涡轮试验与研究,1995,8(2):7-11 Du Heling.Link of the large-scale continuous pumping altitude test facility in China with in international standards[J].Gas Turbine Experiment and Research,1995,8(2):7-11(in Chinese)

[6]Kim C,Yoon M,Yang S,et al.An altitude test facility for small jet engines[R].AIAA-2001-3680,2001

[7]Jun Y,Yang I,Nam S,et al.Uncertainty analysis and improvement of an altitude test facility for small jet engines[R].AIAA-2002-2791,2002

[8]Braig W.Transient aeroengine testing atstuttgart altitude test facility[R].AIAA-ISABE 99-7074,1999

[9]Tagashira T,Koh M,Sugiyama N.Dynamic characteristic tests of single spool turbojet engine using altitude test facility[R].AIAA-2007-5012,2007

[10]杜彦华,范玉顺.扩展模糊时间工作流网的建模与仿真研究[J].计算机集成制造系统,2007,13(12):2358-2364 Du Yanhua,Fan Yushun.Modeling and simulation of extended fuzzy timing work flow nets[J].Computer Integrated Manufacturing Systems,2007,13(12):2358-2364(in Chinese)

(编 辑:文丽芳)

Modeling of emergency management in altitude simulation testing with Petrinet and its application

Ma Feng Qiu Wanhua

(School of Economics and Management,Beijing University of Aeronautics and Astronautics,Beijing 100191,China)

An emergency management work flow strategy was constructed for altitude simulation testing,and a Petrinet model of the strategy was modeled.The model mainly comprises an urgency stop program and a crisis stop program.The urgency stop program isaimed to ensure safety of the tested engine and the testing facilities,simultaneously,is gotattention to quickly stop,so it is basically composed of some stages in series.But the crisis stop program is targeted for a quick response,therefore,its various stages is principally in parallel.By analyzing the model,it was demonstrated that the model is reachable,sound,with free choice,well structure,and S-coverable characteristics.According to the Petrinet model,an emergency management for an aero-engine in altitude simulation testing was trained,and the response time was obtained in each stage.Key stages that effect the response time of emergency management were found in the crisis stop program of emergency management operation by analyzing the time data.In the follow,it was found that maximum benefit come from a compromise between ensuring safety of tested engine,testing facilities and the response time according to emergency event level in the urgency stop program.Modified emergency program and training effectively reduced the emergency response time in the key stage.

emergency management;altitude simulation testing;Petrinet;workflow;modeling

V 216

A

1001-5965(2010)10-1207-06

2010-06-23

马 锋(1952-),男,山东博兴人,博士生,JesonMa1@163.com.