复杂装备维修项目风险评估与控制CPN 模型*

董 鹏，颜功达，余 鹏，卢 苇

（海军工程大学管理工程与装备经济系，武汉 430033）

0 引言

复杂装备由于技术先进、结构多样、构成单元多，维修（尤其是规模较大的计划性修理）时容易出现超支、延期甚至重大的质量与安全性事故。国内外学者针对航空、海上石油开采设备以及核电站等易产生维修风险的领域开展了一定研究，主要集中在两个方面，一是维修风险事故的统计分析［1-2］；二是维修风险事故发生概率和损失严重程度的计算与评估，如风险矩阵模型［3］、概率风险分析模型（PSA）［4］、关键链模型［5］、Bayes 网络模型［6］以及联系数模型［7］等。目前的研究只关注了维修工程中影响较大的风险事故，缺乏维修工程整体性风险分析与评价。

复杂装备维修工程具有牵连与盲目工程多的特点，工程中存在着大量风险隐患。对此，必须认真分析、提前预防、严格控制，既要关注维修过程可能出现的风险事件，也要掌握工程整体风险状况。本文通过定义维修单元任务，建立单元任务风险仿真着色Petri 网（以下简称CPN）模型，并在此基础上，根据单元任务的逻辑关系，构建维修工程整体风险评估与控制的CPN 仿真模型。

1 工程整体风险仿真评估与控制的理论分析

1.1 复杂装备维修的整体性分析

维修工程整体风险评估的目的是，动态掌握维修工程进行的当前时刻到工程结束时，维修质量、安全、进度、费用是否会超出目标的可能性。维修工程整体过程是由时间上、逻辑上相互关联的各个环节组成的，各环节在工作内容、技术支撑、资源保障等方面都存在一定的不确定性，各环节不确定性经维修全过程累积后，将对工程目标的顺利完成产生显著影响。为便于分析和描述，用单元任务的概念定义维修工程中的基本环节，维修单元任务是指装备维修过程中相互独立、互不包含的任务单元。维修单元任务最大特点是独立性和原子性，独立性体现在各单元任务间除时间上存在逻辑关系外没有其他相互影响，原子性体现在单元任务是最小必要的、不可再分割的单元。一个单元任务的目的明确，与别的单元任务不存在重复的工作内容，如柴油机汽缸套的拆卸、汽缸盖的装配等。

复杂装备维修工程是一个典型的离散事件过程，从风险角度看，其整体性表现有3 种可能：

1）各单元任务的质量目标、安全目标、进度目标、费用目标都按预期顺利完成，维修工程整体顺利完成。

2）某个单元任务完成后存在质量或安全隐患，维修进行到某一特定阶段，质量或安全事件爆发，时间成本和经济成本大大增加甚至导致装备重大损坏，维修工程失败。

3）单元任务产生的质量、安全问题导致维修工作反复，时间和经济成本增加。为不影响维修进度，后期维修工作的维修人力、资源投入加大，工程过程和结果状态产生较大变化。

1.2 基于CPN 仿真的复杂装备维修风险评估模型框架

着色Petri 网（CPN）通过引入多重集的概念，能够描述维修工程中人员、技术、设备、资源等所有要素［8-11］；扩展性好能够对风险事件发生后维修要素的变化进行及时更新；分析技术能力强可以对工程整体的风险状态进行动态评估。因此，本文采用CPN 模型进行复杂装备维修工程整体风险的评估与控制。

1.2.1 着色Petri 网的基本定义

定义1 CPN：一个CPN 是一个九元组CPN =（∑，P，T，A，N，C，G，E，I），其中：

1）∑表示一个非空的有限集合，也可称为着色集；

2）P 表示位置的有限集合；

3）T 表示变迁的有限集合；

4）A 表示弧的有限集合，并且满足：P∩T=P∩A=T∩A=Φ

5）N 表示一个节点函数，N∶A→P×T∪T×P，节点函数将每一条弧映射到一个二元组；

6）C 表示一个着色函数，C∶P→∑，着色函数将每个位置映射到某一个类型C（p）；

7）G 表示一个guard 函数，它将变迁T 与表达式相关联，并使得：∀t∈T：［Type（G（t））=Bool∧Type（Var（G（t）））⊆∑］；

8）E 表示一个弧函数，它将弧A 与表达式相关联，并使得：∀a∈A：［Type（E（a））=C（p）MS∧Type（Var（E（a）））⊆∑］，p 是N（a）中的位置，即每个弧表达式的计算结果为一个与相连位置p 类型相同的多重集合；

9）I 表示初始函数。它将位置P 与一个常量相关联，并使得：∀p∈P：［Type（I（p））=C（p）MS］

1.2.2 模型框架

根据以上分析，在维修工作单元风险评估的基础上，利用CPN 模型进行复杂装备维修风险的整体评估与控制。其中，单元风险评估与控制为整体风险评估与控制提供了基本输入。

为实现维修工程整体维修风险仿真，首先，根据所确定的任务单元之间的逻辑关系，以各逻辑关系的CPN 模型为基础，构建维修风险仿真的CPN模型。其次，以单元任务风险状态评估值为输入，以风险仿真CPN 模型为工具，进行维修工程整体风险仿真评估与控制分析；最后，对仿真结果数据进行整理分析。基于CPN 的维修工程整体风险仿真模型总体层级结构如下页图1 所示。

若工程整体风险评估值高于风险容忍度，则进一步研究降低单元任务风险的措施，对单元任务风险值重新评估后，利用CPN 模型进行工程整体风险的再次仿真评估，直到工程整体风险评估值满足风险容忍度。

图1 维修整体风险评估模型总体层级结构图

为满足风险评估与控制的分析需求，该仿真模型应具备以下功能：

1）能够较为合理地模拟复杂装备维修工程，如维修工作要素的描述，人员、技术以及设施、设备等资源保障，各单元任务的时序约束信息的表达等。

2）能够对维修单元任务的维修内容增加事件、质量事件、安全事件、时间和费用成本增加事件进行仿真模拟。

3）能够对质量事件、安全事件产生后，时间成本和费用成本增加的维修资源和进程调整状态进行模拟。

4）能够对工程整体目标（质量、安全、费用、进度）实现的可能状况进行动态仿真分析。

2 工程整体风险评估与控制模型

2.1 模型的静态结构

工程整体风险评估与控制模型由单元任务CPN 模型、单元任务工程逻辑关系和维修工程整体模型3 个部分组成。

2.1.1 单元任务CPN 模型

单元任务维修CPN 仿真模型主要是用于模拟维修单元任务进行时的质量状态、进度状态、费用状态以及安全状态。建立单元任务维修风险CPN 仿真模型如图2 所示。

图2 单元维修任务维修风险仿真的CPN 模型

图3 3 种逻辑关系的CPN 模型

上述着色Petri 网模型中库所和变迁的含义分别如下页表1 和表2 所示。

表1 库所代表含义

表2 变迁代表含义

图4 柴油机中修的CPN 模型

2.1.2 单元任务工程逻辑关系

根据所确定的任务单元之间的逻辑关系，构建维修工程整体CPN 模型。各典型逻辑关系模式CPN模型分别如图3 所示。

2.1.3 维修工程整体模型

在各单元任务CPN 模型的基础上，根据各单元任务的逻辑关系构建整个维修工程的CPN 仿真模型，如图4 所示。

2.2 模型的动态结构

1）通过变迁S_Judge 判断单元维修任务是否发生安全事故，如果发生安全事故，则中止整个维修任务，否则继续执行单元维修任务。通过变迁CheckQ 判断是否产生质量风险，如果产生质量风险，则通过CheckQT 具体判别哪一类型质量风险，并给出相应的进度、费用变化情况；如果没有质量风险，直接判断是否有进度、费用风险及相应的进度、费用变化情况。

2）质量问题是否能够被检测出来，如果不能被检测出来，则产生质量风险，对应的质量风险被记录下来，标准的进度和费用也存入单元维修任务状态；但质量风险被检测出来虽然不会导致质量后果，但将使进度、费用增加，相应的进度与费用通过变迁CheckQT 处理。

3）以工程整体维修仿真CPN 模型为工具，进行整体风险状态仿真模拟。仿真的输入包括单元维修任务之间的逻辑关系模型、各个任务的安全风险概率、安全风险事件、质量风险检测概率、质量风险模式及其概率以及各种模式下进度和费用情况。仿真过程中，如果某个单元维修任务发生安全事故，则整个维修任务失败，返回安全事故类型及发生事故的单元维修任务编号；否则将完成所有单元任务，并记录各个单元任务的进度、费用以及统计整个复杂装备维修任务的总时间和总费用。

4）具体统计任务完成概率、平均任务完成时间和平均费用等指标，计算工程整体风险值。

5）根据整体风险值的情况，判断是否需要进一步制定风险管控措施，并进行风险再评估，直到风险值在可接受范围内。

3 案例分析

对某柴油机中修工程进行风险仿真评估与控制分析。经评估，在这次的柴油机中修中，存在风险的维修单元任务分别有柴油机拆卸、气缸盖拆修、活塞连杆拆修、冷却泵拆修、空气分配器拆修等，各单元任务的风险评估值如表3 所示。

表3 柴油机中修中单元任务的风险评估值

将以上维修单元任务风险评估值转换为维修单元CPN 模型输入库所T_List 的初始托肯参数为：

1`（10，1，［（0，0）］，［（0，0）］，［（0，0）］）++

1`（1，0，［（Q1，10），（Q2，20）］，［（0，0），（5，10），（10，20）］，［（0，0），（1，10），（3，20）］）++

1`（2，0，［（Q3，8），（Q2，10）］，［（10，15），（5，8），（5，10）］，［（1，15），（1，10），（3，20）］）++

1`（3，0，［（0，0）］，［（10，15）］，［（1，15）］）++

1`（4，0，［（Q2，10）］，［（0，0），（10，10）］，［（0，0），（3，20）］）++

1` （5，0，［（Q1，20）］，［（20，20），（10，20）］，［（0，0），（3，30）］）

其中Q1，Q2，Q3 分别表示影响使用、功能丧失和性能下降3 种质量危害模式。由于CPN TOOLS中不能表示小数，因此，所有概率均乘以100，进度延期都乘以10。

在模型中，首先根据任务逻辑关系确定当前执行的维修单元，每个维修单元再由维修单元CPN 模型判别是否产生安全事故、质量问题、进度延迟和费用增加情况，并汇总仿真结果。

其次，在各单元任务CPN 模型的基础上，根据各单元任务的逻辑关系构建的整个维修工程的CPN 仿真模型如图4 所示。

经过仿真计算，得到安全、质量、进度、费用的仿真计算结果。本案例进行仿真次数1 000 次。仿真结果除火灾发生1 次外，其余各项结果如表4、表5和下页表6 所示。

表4 质量仿真结果

表5 进度仿真结果

表6 费用仿真结果

根据以上仿真结果，可以得出如下结论：

1）经过维修单元任务风险分析后，该型柴油机中修的安全风险、质量风险、费用风险在可承受范围之内。

2）进度风险状态中超期2 个工作日以上的概率达到15%，超过了可承受范围，考虑采取进一步的控制措施。

针对工程整体进度控制风险问题，考虑加强冷却泵拆修、空气分配器拆修、摆式减振器拆修、摆式减振器拆修的人力资源准备，从而将其滞后时间减少到一定程度，达到降低工程整体进度风险目的，采取人力资源准备的措施后，对各相关单元任务重现进行风险评估，结果如表7 所示。

表7 采取措施后的各相关单元任务的风险评估值

根据新的单元任务风险评估值，应用CPN 仿真模型，对柴油机中修的进度风险进行重新评估，结果如表8 所示。

表8 采取措施后的工程整体进度风险仿真结果

从仿真结果可知，采取措施后超期2 个工作日以上概率约4%，工程整体进度风险降至可承受范围，达到了风险整体控制的目的。

4 结论

风险管理是装备维修工程管理中的重要内容之一。本文在维修单元任务风险评估的基础上，以单元任务的安全、质量、进度、费用风险值为基本输入，通过CPN 模型实现了工程整体风险的仿真评估与控制分析，柴油机中修风险分析案例验证了方法的科学性和实用性。在后续的研究中，将进一步探讨单元任务的多粒度划分问题，以及如何考虑单元任务风险关联性影响的工程整体风险评估问题。