基于贝叶斯网络的机载氧气系统可靠性评估

王　鹏，陈　曦，阎　芳，赵长啸

（中国民航大学a.天津市民用航空器适航与维修重点实验室；b.中欧航空工程师学院，天津　300300）



基于贝叶斯网络的机载氧气系统可靠性评估

王鹏a，陈曦b，阎芳a，赵长啸a

（中国民航大学a.天津市民用航空器适航与维修重点实验室；b.中欧航空工程师学院，天津300300）

摘要：通过分析机载氧气系统架构，构建基于贝叶斯网络的系统可靠性评估模型。通过前向和后向推理得到叶节点失效率及根节点后验失效概率，结合重要度及联合重要度的大小，找出影响系统可靠性的关键因素，求解最大可能解释（MPE）。通过与故障树分析（FTA）法对比，说明该方法的优势。综合各定量分析结果，说明贝叶斯网络方法进行可靠性评估的有效性，评估结果还可对系统结构设计和故障诊断提供相关参考信息。

关键词：贝叶斯网络；机载氧气系统；定量评估

飞机系统安全性分析常采用故障树分析法（FTA），对于设定的顶事件，该方法采用自上而下的方法，逐步找出引发故障的底事件。通过对顶事件失效率以及相关的定性和定量结果，考虑设计是否满足安全性要求。利用故障树中的逻辑符号可清晰地表示出各事件间的逻辑关系。在进行定性和定量评估前，还需求出故障树最小割集，当所研究系统高度复杂时，会存在很多基本事件，生成大量最小割集，为解决组合爆炸问题，还需采取近似和截断方法。现有的近似和截断方法都仅适用于二态单调系统，对多态、非单调系统无能为力［1］。此外文献指出FTA在应用上的限制：当系统存在多个失效状态，那么对于其中的每一个可要求构建单独的故障树，这会增加评估工作量［2］。

贝叶斯网络是基于概率理论和图论的一种方法，最早由Pearl于1986年提出。通过利用概率推算，贝叶斯网络可进行正向和反向的推理，处理系统多状态以及不确定性问题［3］，这些是用故障树方法无法完成的。在高效的推理算法和成熟软件支持下，在可靠性和安全性评估领域得到越来越多的关注及应用。贝叶斯网络已成功用于多领域，如电网可靠性评估、医学诊断、数据挖掘和智能决策等。应用贝叶斯网络进行系统评估和分析，可避免求解系统的最小割集，使分析更加直观并减少计算量。在已建立故障树情况下，可直接将其映射转化成贝叶斯网络［4］。

1　评估模型构建

1.1氧气系统架构分析

飞机的氧气系统由3个子系统组成：空勤氧气系统、旅客氧气系统和便携式氧气设备。通过介绍旅客氧气系统控制原理，以“旅客氧气面罩自动、手动抛放控制系统都失效”为顶事件进行可靠性评估分析。

旅客氧气系统由旅客氧气装置和控制抛放电路组成。其装置采用化学氧，控制抛放电路主要由自动抛放信号源（IASC）、高度继电器、手动抛放按钮、抛放继电器和旅客氧气状态继电器等组成，图1给出该控制系统的原理图。当座舱高度超过4 200 m时，IASC为旅客氧气控制系统输出接地信号，通过继电器控制实现面罩的抛放，并将状态信息传送给灯式开关和告警系统。另一方面，空勤人员可通过按下驾驶舱内的“PASS OXY ON”，通过继电器控制来实现手动抛放。其中自动和手动抛放控制方式是独立工作的，手动抛放的设计作为冗余设计，可以有效地提高系统可靠性和安全性。该系统控制电路采用的是右28 V直流供电通道供电，并且有左应急直流供电通道作为备用通道。

图1　旅客氧气系统控制原理图Fig.1　Schematic diagram of passenger oxygen control system

1.2贝叶斯网络构建

具有N个节点的贝叶斯网络可用BNN=＜＜V，E＞，P＞表示，＜V，E＞表示有向无环图，V =｛V1，…，VN｝表示节点集合，有向边E代表变量间的依赖关系。对于有向边（Vi，Vj），Vi称为Vj的父节点，Vj称为Vi的子节点。没有父节点的节点称为根节点，没有子节点的节点称为叶节点［5］。

P表示节点条件概率分布（condition probability distribution）。它以概率为基础，定量刻画父子节点间的依赖关系，其中根节点对应的是先验概率分布。

在分析旅客氧气控制系统构架的基础上，构建贝叶斯网络模型用于可靠性分析。一般来说，在知道系统架构的基础上，利用已有的因果关系来确定贝叶斯网络的结构，尤其针对大规模复杂网络，可有效提高建模效率及准确性。

构建的贝叶斯网络模型如图2所示，表1给出各节点的实际含义。在该网络中，根节点与故障树中的底事件相对应，中间节点与中间事件相对应，叶节点则对应顶事件，有向边体现了节点的因果相关性。D节点到A节点的有向通路有2条，因此该网络是多连通的网络。

网络中同时存在从D到C和到B的有向边，说明节点D是节点C和B的父节点，在故障树方法中，D对应的事件则要出现2次。对于这种产生多重影响的事件，在构建故障树时每次都需要表示，这会使结构显得复杂，而在贝叶斯网络中，只需一个节点和多个有向边即可表示这种多重相关性。贝叶斯网络因为缺少逻辑符号使得逻辑关系显得不直观，虽然在定性分析方面不具优势，但在定量分析上却体现了很多优点。

确定贝叶斯网络的拓扑结构后，还需考虑中间节点的条件概率分布以及根节点先验概率分布，分别对应于系统不同层级的逻辑关系和底事件的先验可靠性信息。本文氧气系统的分析基于二态系统，即每个节点只有失效和正常2种状态，并体现确定的逻辑关系：其中用f表示失效状态，t表示正常工作状态。

图2　用于氧气系统评估的贝叶斯网络Fig.2　Bayesian network used for oxygen system assessment

表1　网络中各节点含义Tab.1　Meaning of network nodes

故障树中常用逻辑门都可用贝叶斯网络体现，这种关系体现在节点的条件概率表（condition probability table）中。限于篇幅原因，本文仅给出C和D节点所对应的条件概率表（CPT），如表2所示。2个CPT分别对应或门和与门关系。

表2　节点C和D的条件概率表Tab.2　Condition probability of node C and node D

对于根节点，通过FMEA（失效模式和影响分析）可得到对应节点的失效率，在此基础上给出节点先验概率分布，如表3所示。

表3　根节点对应底事件的失效率Tab.3　Failure rate of primary events by root nodes

2　系统可靠性评估

2.1贝叶斯网络的推理

贝叶斯网络的推理，又称为信度更新（belief updating），其过程基于概率论理论。直接使用联合分布进行推理的复杂度相对于变量个数成指数增长，一般来说，对N个二态变量的联合概率分布会包含2n- 1个独立参数［6］，变量数量较多时，联合概率的获取和运算都很困难。

利用变量间的条件独立关系，可将联合概率分布分解成如下的乘积形式

其中：π（X）i表示节点Xi的父节点，当π（X）i不存在时，P（π（X）i）为边缘分布P（X）i。通过分解联合概率可使复杂度降低，进而提高推理效率。

贝叶斯网络的推理算法分为精确推理和近似推理。2种算法均被指出是NP问题。在这些算法中，消息传递算法只适用于单连通网络，其他算法对单、多连通网络都适用。其中联结树算法（junction tree algorithm）由Lauritzen等［8］于1988年提出，该算法分为2种：Shafer-Shenoy算法和Hugin算法。Park和Darwiche结合这2种算法的优点，对联结树算法进行了改进，大大提高了算法效率［9］。联结树算法计算速度最快并且准确，很多贝叶斯网络应用软件都将其作为默认或可选推理算法。

经计算得到叶节点A失效率为3.66×10-5，体现了顶事件的失效率，利用故障树也可得到。但由于利用贝叶斯网络可进行双向推理，在推理过程中加入证据，还可得到故障树无法分析的结果。双向推理依据的是贝叶斯定理，其描述了先验及后验概率间的关系

对于H和E为2个随机变量，对事件H=h的概率P（H=h）称为先验概率。而在考虑证据E=e之后，对H=h的估计P（H=E=e）称为后验概率。根据此定理可得到底事件的后验概率，假设给定证据A=f，得到的根节点后验概率如表4所示，这种从结果考虑原因的过程叫做诊断推理。

表4　根节点对应底事件的后验失效率Tab.4　Posteriori failure rate of primary events by root nodes

2.2重要度分析

重要度分析的目的在于通过单一部件或几个部件对系统整体可靠性影响的程度，识别系统可靠性薄弱环节。常用的重要度定义如下［10］：

Birnbaum Measure（BM）重要度，也叫概率重要度。其反映了某一元件在确定失效后和确定正常时系统失效率的变化，其数学表达式为

关键重要度，也叫临界重要度，反映了某个元件失效概率的变化率所引起的系统失效概率的变化率。其数学表达式为

对根节点进行重要度计算，其结果如图3所示，利用图3可很直观地比较各个重要度的大小。2种重要度分析中，前3项均为G、I、J、K和L的重要度远小于其他项，表明其可靠性比其他节点的要高。

图3　根节点重要度大小比较Fig.3　Importance comparison of root nodes

传统重要度分析的是单一部件对系统可靠度的影响程度，J.S.Hong在概率重要度的基础上提出了联合概率重要度，目的是判断系统中任意两个部件失效发生时导致对系统可靠度的影响程度。但是此联合重要度的取值区间从概率重要度取值区间［0，1］变为［-1，1］，与系统的结构和失效模式对比存在很大差异。毕卫星等［11］在此基础上提出新的算法，并通过实例说明算法的有效性，该算法还可扩展到K个部件的情况，下面利用该新定义对系统进行分析。

对于i和j两节点，联合概率重要度的公式为

所有根节点的联合关键重要度组合如表5所示。

表5　联合概率重要度结果Tab.5　Result of joint probability importance

对于该系统，手动抛放通道和旅客氧气开关对应是最大的两个失效概率，对联合重要度结果进行分析，会发现两者（I，J）的联合重要度大小却并不靠前，而失效率相对不大的E和F，联合概率重要度却排在了第1位。原因在于两者虽然失效率不是最大，但当右28 V直流供电通道和左应急直流通道同时失效时，会引起自动和手动抛放同时失效，A的状态变为f，而手动抛放通道和旅客氧气开关同时失效时，只会引起手动抛放失效，并不能引起A失效。

上述重要度可解决原联合概率重要度取值出现负值的问题，但是并未考虑部件自身可靠性因素，在此基础上作出进一步改进，提出了联合关键重要度，兼容了部件本身可靠性因素，可以证明其值域也是［0，1］。其定义为

计算结果如表6所示。此时（E，F）的重要度有所下降，（I，J）的重要度提高到第4位，结合先验失效概率可知这是由于E、F相对G、I、J的失效率较小导致的。综合以上2种重要度结果，得到重要度前3的组合为（E，F）、（G，I）和（G，J）。

表6　联合关键重要度结果Tab.6　Result of joint critical importance

2.3最大可能解释

贝叶斯网络推理不仅可以处理后验概率问题，还可以求解最大后验概率问题（maximum a posteriori hypothesis，MAP）以及最大可能解释问题（most probable explanation，MPE）。MAP是为了找到相关变量的后验概率最大的组合状态，将这些相关变量称为假设变量（hypothesis variables），记作H，H的一个状态组合作为一个假设，记为h，给定证据E=e，找出所有假设中后验概率最大的h*，即h*= argP（H =E = e），这就是最大后验假设问题。当假设变量H包含所有非证据变量，MAP就变为MPE问题，对应的h称为解释。

在本文举例中，分析自动、手动抛放功能失效的MPE，则对应的证据变量及其状态是｛A = f｝，对它的一个解释为｛B，C，D，E，F，G，H，I，J，K，L = t｝，这样的解释组合最多共有211= 2 048个，利用Netica软件的MPE功能可以直接求解。结果为

｛B，C，G，J = f，D，E，F，H，I，K，L = t｝

MPE的结果说明当面罩自动、手动抛放功能都失效时，最有可能由G和J失效引起。此结果与联合关键重要度结果一致，并且对于故障诊断也有重要参考意义。

3　结语

采用贝叶斯网络构建机载氧气系统评估模型，对其进行了可靠性评估分析，并得出如下结论：

1）贝叶斯网络在模型的表达上比故障树清晰直观，并且可避免求最小割集，进行精确的推理计算。

2）利用贝叶斯网络不仅可以得到顶事件失效率（分析系统的可靠度）、重要度等结果，还可以在给定证据条件下推理，进行诊断分析，作出最大后验解释。

3）利用各个部件重要度、联合重要度的分析以及诊断推理的结果进行综合分析，找出了可靠性相对薄弱的G、I和J对应的部件，并且发现E和F同时失效会对系统可靠性产生严重影响。

参考文献:

［1］EPSTAIN S，RAUZY A. Can we trust PRA［J］. Reliability Engineer and System Safety，2005，88（3）: 195-205.

［2］SAE. SAE ARP 4761 Guideline and Methods for Conducting the Safety Assessment Process on Civil Airborne System and Equipment［S］. SAE，1996.

［3］周忠宝，董豆豆，周经纶.贝叶斯网络在可靠性分析中的应用［J］.系统工程理论与实践，2006，26（6）：95-100.

［4］BOBBIO A，PORTINALE L，MINICHINO M，et al. Improving the analysis of dependable systems by mapping fault trees into Bayesian networks［J］. Reliability Engineer and System Safety，2001，71（3）: 249-260.

［5］张连文，郭海鹏.贝叶斯网引论［M］.北京：科学出版社，2006.

［6］王宏川.因果图推理及其应用研究［D］.重庆：重庆大学，2002.

［7］厉海涛，金光，周经伦，等.贝叶斯网络推理算法综述［J］.系统工程与电子技术，2008，30（5）：935-939.

［8］LAURITZEN S L，SPIEGELHALTER D J. Local computations with probabilities on graphical structures and their applications to expert systems［J］. Journal of the Royal Statistical Society，1988，50（2）: 157-224.

［9］PARK J D，DARWICHE A. Morphing the Hugin and Shenoy-Shafer Architectures［C］//European Conference on Symbolic and Quantitative Approaches to Reasoning with Uncertainty，Aalborg，Danemark，2003: 149-160.

［10］尹晓伟，钱文学，谢里阳.系统可靠性的贝叶斯网络评估方法［J］.航空学报，2008，29（6）：1482-1489.

［11］毕卫星，陈建军.一种改良的联合重要度算法［J］.大连交通大学学报，2009，30（5）：74-76.

（责任编辑：黄月）

Reliability assessment of airborne oxygen system based on Bayesian network

WANG Penga，CHEN Xib，YAN Fanga，ZHAO Changxiaoa
（a. Civil Aircraft Airworthiness and Maintenance Key Lab of Tianjin；b. Sino-European Institute of Aviation Engineering，CAUC，Tianjin 300300，China）

Abstract:By analyzing airborne oxygen system architecture，the system reliability assessment model is built based on Bayesian network. The failure rate of leaf node and posteriori failure probability of root nodes are obtained by the forward and backward inferences，the key factors of system reliability are identified based on importance sequence and joint importance，the most probable explanation（MPE）is given. The advantages of the method are explained by comparing with FTA. Quantitative analysis proves the effectiveness of reliability assessment by using Bayesian network，and assessment results can also provide referencial information for the system structure design and fault diagnosis.

Key words:Bayesian network；airborne oxygen system；quantitative assessment

中图分类号：V240.2

文献标志码：A

文章编号：1674－5590（2016）02－0001－05

收稿日期：2015-03-01；修回日期：2015-03-29基金项目：国家自然科学基金项目（U1333120）；国家重点基础研究发展计划（973计划）（2014CB744902）

作者简介：王鹏（1982—），男，天津人，副研究员，硕士，研究方向为民机系统安全性设计与评估、机载电子硬件适航技术.