基于层次广义随机Petri网的测试性建模新方法

翟禹尧，史贤俊，秦玉峰，吕佳朋

(海军航空大学, 山东 烟台 264001)

0 引言

测试性是指产品能及时、准确地确定其状态，并隔离其内部故障的一种设计特性[1]。装备系统进行测试性设计时，需要针对不同的维修级别和系统层次展开，建模亦是如此。装备在不同级别上的测试性水平不同，因此不仅要掌握装备的总体测试性水平，还应了解各层级所能达到的测试性水平。装备在执行任务中，该阶段所具有的测试资源水平决定了装备实时的测试性水平，也直接反映了装备实时地诊断维修效果[2]。文献[3]虽采用层次多信号模型进行建模，但是每层的测试集和故障集表述并不清楚。尹园威等[4]采用层次多信号模型对雷达装备进行测试性建模，完善了文献[3]的不足，但是多信号模型有其弊端，需要提出新的建模方法。

广义随机Petri网(GSPN)是随机Petri网(SPN)的进一步扩展，在SPN中引入瞬时变迁，该变迁优先级高于延时变迁，求解相对容易[5]。方欢等[6]总结分析了GSPN模型的基本建模方法，并比较了各种Petri网在可靠性分析中的优缺点；石健等[7]采用分层聚类和GSPN模型相结合的方式建立了机载液压系统可靠性模型，得到故障检测率对系统可靠性影响；李展等[8]提出了基于GSPN模型的舰载服务器系统可靠性分析方法，进而得到了舰载服务器系统的全局GSPN模型；王小强等[9]提出了一种基于GSPN模型的测试性指标确定方法，通过分析飞机航线级的维修过程构建其GSPN模型。

图2 双向总线的多信号模型

采用GSPN模型针对复杂系统进行层次测试性建模的相关文献几乎没有，本文根据装备特点，在维修级别与测试资源约束条件下，与实际装备层次化、模块化等特点相结合，确立装备各层级的测试性需求，提出基于HGSPN模型的测试性建模方法。

1 测试性建模方法比较

分析当前主流建模方法包括结构模型、信息流模型和多信号模型，发现尚存在以下不足：目前信息流模型和多信号流模型是应用最广泛的建模方法，但这两种建模方法存在着一定的缺点，用元素(0，1)定性地描述系统故障与测试之间的关系来得到相关性矩阵，系统之间的内在联系不能完整地表达出来。从另一个角度说该建模方法存在局限性，适用于定性分析, 而定量分析需用其他或者新的建模方法；主要针对电子产品，并且假定测试为理想测试，这个假设在面向包含机电、控制系统等其他装备不再适用；忽略大量有用信息，如测试不可靠、延时性以及故障与故障之间的相关性等，导致模型不够完备，所建模型与实际模型误差较大。

以某双向总线系统为例，分别建立其多信号模型、信息流模型以及GSPN模型，对比分析3种模型优缺点以及本文选择GSPN模型作为研究的原因。该系统由一个总线控制器、3个独立的总线可访问设备(设备A～设备C)以及数据总线构成，其信息流模型如图1所示；将各模块的故障划分为全局故障和功能故障，设置3个测试Ts1、Ts2、Ts3，对设备的通信进行监测，其多信号模型如图2所示；图3为双线总线的GSPN模型，同样设置3个测试，设备A的全局故障为GA，功能故障为FA，设备B的全局故障为GB，功能故障为FB，设备C的全局故障为GC，功能故障为FC，对故障动态传播机理以及诊断过程加强了描述。

图1 双向总线的信息流模型

图3 双向总线的GSPN模型

通过比较3种不同建模方式可以看出，信息流模型对组成单元故障模式的划分更加细致，但是模型与装备功能结构相差较大，因此建模难度较大；多信号模型对故障模式进行了简化，模型与装备结构功能相似，建模难度降低了，但是也损失了一些故障信息；GSPN模型结合了多信号和信息流模型的优点，不仅与装备结构功能相近，而且故障信息更加完善，故障传播走向也更加清晰，为后续故障诊断工作做好准备。图4(a)为根据图2虚线部分建立；图4(b)和图4(c)为根据图3中虚线部分建立，假设虚线部分为计算机和舵系统组成的简单串联系统，图4中f1和f2表示计算机故障和舵系统故障。图4(b)和图4(c)分别针对元件故障模式和功能执行情况而构建。相比之下，多信号模型虽也基于系统功能原理图而建，但其并未对故障模式和功能模式进行区分，因此仅存在图4(a)的一种可能性。在工程实践中，区分故障模式发生和功能失效两种情况具有重要意义。

图4 模型对比

例如，在某飞行任务中，驾驶员控制飞机改变姿态的指令可通过计算机传递到舵系统，且计算机一般存在机内自检测(BIT)，即当计算机自身存在故障时，其可通过自身的BIT完成计算机自身健康状态的监测及故障的检测与隔离。针对这样一个由计算机和舵系统组成的简单串联系统，若采用图4(a)中的多信号模型，计算机故障和舵系统故障均会被Ts1检测，通过多信号模型不能得到计算机故障可被单独监测和隔离的客观事实。而在图4(b)的GSPN模型中，测试项Ts1仅与计算机故障相关，与舵系统的故障无关，通过该模型能够得到计算机故障可被监测和隔离的事实。因此，当系统中需要单独检测或隔离某个故障时，多信号模型不再适用，需采用图4(b)形式的GSPN建模方法；当系统中不需单独检测或隔离某个故障时，采用图4(a)的相关性模型和图4(c)的GSPN模型均可有效表达系统的测试性逻辑。

通过上述分析可以得到：GSPN模型不仅具有多信号模型的建模与分析能力，而且可在同一模型中有效融合元件的功能模式与故障模式，可以清楚表达故障的传播方式、故障与故障之间的关系，可以表示时间延迟等因素；此外对故障模式的严酷度进行等级划分，以及对故障模式进行编码，可以得到比多信号模型更为准确的测试性分析结果。

2 HGSPN模型

2.1 Petri网

定义1满足下列条件的四元式PN=(P,T；F,M0)构成Petri网，P={P1,P2,…,Pn}为库所集合，P1,P2,…,Pn为库所，T={T1,T2,…,Tm}为有限变迁集合，T1,T2,…,Tm为有限变迁，F为一有向弧的集合，F⊆(P×T)∪(T×P)，×为笛卡尔积，M0为初始标识：

1)N=(P,T；F)是一个网；

2)M:P→Z为标识函数，Z为非负整数集；

3)点火规则和引发规则：

①变迁t∈T，若∀P∈t*M(P)≥1，则称变迁t是可被激发的或使能的，记作M[t>，t*表示变迁t的后置集；

②在M下使能的变迁t可以点火，点火后得到后继标识M′，则

*t表示变迁t的前置集。PN的标识M可以用一个非负整数的m维向量表示，向量元素满足M(i)=M(Pi)，i=1,2,…,m.

2.2 GSPN建模元素的图形化表示

GSPN定义：一个GSPN由一个8元组构成[10]，记为G=(P,T,I,O,H,M0,W,λ)，其中：I为输入矩阵，O为输出矩阵；H为禁止弧的集合；W为弧权函数的集合；λ={λ1,λ2,…,λm}表示变迁的平均实施速率集合。

引用文献[11]中的系统GSPN模型图形化表示方式，其基本含义如表1所示。

表1 GSPN模型的图形化表示

某个测试点可以有多个测试项与之对应，本文对测试点和测试项之间关系不作研究。假设一个测试点对应一个测试项，这样的假设并不影响故障检测率、故障隔离率的计算。基于该假设，在GSPN模型中添加测试项信息包括以下两步：

1)为每个测试项建立一个库所，简称测试项库所；

2)建立瞬时变迁和有向流表示故障与测试之间关系，具体为故障信息的库所指向瞬时变迁，并由瞬时变迁指向测试项库所。为与表示故障传播过程的库所进行区分，定义测试项库所颜色属性为黑色(BK)。

在此对GSPN模型中的元素重新定义，在某层上的GSPN模型中可表示为

(1)

式中：上标l代表装备的第l层；G(l)为第l层GSPN模型；Ts=(Ts1,Ts2,…,Tsm)为测试集库所。HGSPN模型比原GSPN模型增加了元素F和Ts.

2.3 HGSPN模型

HGSPN模型是将装备进行层次划分，分别建立各层级的GSPN模型，然后确定每层GSPN模型的测试性指标。根据装备物理结构设计以及测试资源条件所能达到的测试水平，最终建立完整的HGSPN模型。本文所提出的HGSPN模型具有以下3个特点：1)可灵活选择层次建模对象；2)任意层次可单独进行测试性建模与分析；3)明确HGSPN模型的各层级联系。

建立HGSPN模型如图5所示。图5中以顶层、中间层和底层GSPN模型为例，每层中的方框内带阴影的库所代表无法检测或隔离的模块，空白库所代表可直接检测或隔离维修的模块。在某层建模时，对该层GSPN模型进行测试性分析，获取该层模型的相关性矩阵[12-13]。故障可以在层次之间传播，层次的故障表达方式具有灵活性，有些故障可以作为底层故障，也可作为层次故障，因此在选用层次故障时，要具有合理性和针对性，确保符合维修与诊断的工作要求[14]。

图5 HGSPN模型

(2)

式中：a∈l为第a层；b∈l为第b层。

2.4 可达性算法

可达性(见定义2)是Petri网建模过程中分析的重要方式。

定义2Petri网PN=(P,T；F,M0)，若∃M1,M2,…,Mk,使得∀1≤i≤k，∃ti∈T:[ti>Mi+1，则称变迁序列σ=t1,t2,…,tk在M1下是使能的，Mk+1从M1是可达的，记作M1[σ>Mk+1.

图6 层次相关性矩阵

测试性建模的目的是获取故障和测试之间的关系，即故障测试相关矩阵(DM)。对故障传播过程进行可达性分析，获得DM的算法，简称可达性算法，通过可达性算法获得HGSPN模型的DM，仅需模拟故障向测试的传达过程。可达性算法可以搜索出GSPN模型中任意给定令牌通过有向弧到达的全部库所，并作出相应的标记，其基本原理为：令牌从某个给定库所出发，沿着有向弧寻找能够到达的全部库所；当令牌到达一个故障的库所或一个测试的库所时，就将该库所的状态标记为1(这些库所的初始状态为0)，再由该库所为起始继续寻找下一个可以到达的库所。具体过程为：将第i个故障模式作为给定令牌放入相应库所中，调用可达性算法，获得该令牌到达的全部测试项库所；若第i个令牌可到达第j个测试项库所，则矩阵D第i行第j列为1，否则为0；依次对模型中的每个故障模式进行上述操作，即可获得D.

由于本文研究故障与测试之间关系，得到相应的D矩阵即可，故障与故障之间的矩阵不作考虑。

2.5 HGSPN模型的相关性矩阵

本文以单故障假设为前提：

1)选择顶层，建立该层的GSPN模型，得到相应的相关性矩阵；

2)逐级往下进行建模，当出现不可测试或维修的库所时，对该库所内部进行分析，建立下层的GSPN模型，直到HGSPN建模完毕；

根据层次相关性矩阵，得到层次测试性指标的数学模型[17-18]。在指定某层中，计算该层故障检测率和故障隔离率分别为

(3)

(4)

对装备整体测试性水平的评估，是将全部层次的相关性矩阵进行综合分析得到，数学模型为

(5)

(6)

3 实例分析

由于导弹系统结构庞大，本文选取某型号导弹部分结构进行分析。图7为导弹发动机部分功能框图，图8为导弹发动机分系统框图。图8中LRU为外场可更换单元。

图7 某型号导弹发动机部分功能框图

图8 导弹发动机分系统框图

从系统FMECA分析中可以确定系统各故障模式及各故障模式对系统自身和各任务阶段的影响，同时也可确定各故障模式影响严酷度及发生概率[19]。以高速交流发电机为例，其部分FMECA信息如表2所示。

国家军用标准GJB/Z1391—2006故障模式影响及危害性分析指南规定对故障模式的严酷度(或等级)进行定义。本文根据表2的高速交流发电机其组成元件故障模式的严酷度进行等级划分，可分为4级：灾难级(Ⅰ级)、严重级(Ⅱ级)、轻度级

表2 高速交流发电机的部分FMECA信息

(Ⅲ级)和轻微级(Ⅳ级)[20]。参考工程预报学中颜色与危险程度的对应关系，本文将系统及其元件的故障模式严酷度等级按色标分为以下4类[21]：Ⅰ级——红(RD)；Ⅱ级——橙(OG)；Ⅲ级——黄(YW)；Ⅳ级——蓝(BL)。

引用文献[11]中变迁在GSPN模型中的表达形式，如图9所示，绿色令牌的库所表示系统处于正常状态(GR)；当满足变迁条件时，令牌会进行变迁，变迁之后的令牌颜色根据编码确定，当库所包含有颜色的令牌时，表示该系统处于故障状态[22]。

图9 变迁在GSPN模型中的表达形式

注意本文定义的库所颜色属性与传统有色Petri网的概念不同，传统有色Petri网定义在多重集上，目的在于将同一类物质、信息等抽象在一个库所，起到对模型简化的作用。而本文定义的有色仅用于区别模型中各库所表示的状态种类，增强模型可视性。若剔除本文库所的有色属性，则GSPN模型结构并不会发生变化[11]。

系统及其组成元件存在多个故障模式[23]，而同一级别的故障模式也可存在多个。为进一步区分这些故障模式，本文对导弹发动机系统采用三级编码体制XXX(系统)-XXX(LRU元件)-XXX(车间可更换单元(SRU)元件)，下面为详细的编码方案。

SRU元件编码：XXX-XXX-XXX-OO.x，其中：OO.x中OO表示故障模式级别，可为 RD、OG、YW、BL；x表示该LRU元件中第x个OO级别的故障模式，依次可以为 1、2、3 等。

对图7中的系统进行编码，点火启动系统故障为001-OG.1，润滑系统故障为002-OG.1，传动系统故障为003-OG.1，供电系统故障为004-OG.1.

由于模型较大，只对图5中的供电分系统进行编码，发电机外接磁力导线故障为004-001-OG.1，高速交流发电机故障为004-002-YW.1，发电机外接供电电缆故障为004-003-OG.2，发电机输出总线故障为004-004-OG.1，电气调控装置故障为004-005-YW.1，电源变换器故障为004-006-BL.1.

对表2的故障模式进行编码，轴承损坏为004-002-001-YW.1，电磁绕组开路为004-002-002-BL.1，电磁绕组短路为004-002-003-BL.2，发电机齿轮螺母损坏为004-002-004-YW.1，发电机功率不足为004-002-005-YW.1.

根据上述编码进行HGSPN建模：

1)根据框图内的各个系统找到GSPN模型中相应的库所；

2)根据编码确定每个库所中令牌的颜色，令牌的颜色代表严酷度；

3)根据箭头指向确立有相弧的方向；

4)确立从某个系统到某个系统的变迁是瞬时变迁还是延时变迁(可能满足某种条件才可发生)；

5)对每个库所(系统故障)施加测试，值得注意的是，所有测试为人为施加，可以根据费用约束减少测试，不做本文内容详细阐述。

某型号导弹发动机系统部分HGSPN模型如图10所示。

图10 某型号导弹发动机系统部分HGSPN模型

对所有的层次进行GSPN建模并通过可达性算法获取D矩阵，将每层上的D矩阵进行合并得到该层上完整的Dl，如表3～表5所示。

表3 第1层相关性矩阵

由于测试点是人为设置，表3和表4两个矩阵的故障检测率和故障隔离率都是100%，根据(3)式和(4)式，算出第3个矩阵的故障检测率100%，故障隔离率为66.7%.

表4 第2层相关性矩阵

测试性设计过程中测试点根据实际情况设置[24]，如果对所有元件都施加测试点，固然可以得到100%的故障检测率，但是故障隔离率得不到保证，也不符合实际工作情况，不仅增加了系统的复杂程度，还提高了实际费用。为此，下一步研究需要对测试点的优化选取以及故障诊断策略进行研究。

表5 第3层相关性矩阵

4 结论

本文采用GSPN模型对复杂系统进行分层建模。系统及其组成元件存在多个故障模式，为区分这些故障模式提出一套完整编码方案，给出可达性算法以获得相关性矩阵，最后以某导弹发动机系统为例，建立其HGSPN模型，并对测试性指标进行求解。得出主要结论如下：

1)将主流测试性模型和GSPN模型进行对比，阐述了现有模型缺点以及选择GSPN模型的原因。

2)完成了复杂系统层次测试性模型的构建，在得到测试性指标的基础上，所建模型与系统实际模型更加相近，可以描述故障传播过程，以及故障的诊断，可以区分故障模式和功能模式两种情况，这对工程实践具有重要意义。

3)通过实例对导弹发动机系统进行HGSPN建模，根据相关性矩阵得到100%的故障检测率和67.7%的故障隔离率，验证了所提建模方法和相应算法的有效性。