陳 強(qiáng) 陳墾倫 李 騫 雷柏茂 ＊

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 511370；2.廣東省電子信息產(chǎn)品可靠性技術(shù)重點(diǎn)實(shí)驗(yàn)室，廣東 廣州 511370）

0 引言

多層流模型（Multilevel Flow Models，MFM）是丹麥科技大學(xué)M.Lind 教授于20 世紀(jì)80 年代提出的一種以目標(biāo)為導(dǎo)向的系統(tǒng)功能性建模方法，可高度層次化、抽象化地表達(dá)系統(tǒng)構(gòu)成，適合復(fù)雜系統(tǒng)建模。MFM通過“部分”到“整體”，“手段”到“目的”兩種途徑將系統(tǒng)進(jìn)行拆解，在不同的層次上實(shí)現(xiàn)對系統(tǒng)、部件及其行為的功能性描述，可體現(xiàn)系統(tǒng)及部件的設(shè)計(jì)意圖和使用目的，易于理解，在缺乏詳細(xì)系統(tǒng)資料的情況下也可完成建模并清晰描述系統(tǒng)設(shè)計(jì)的意圖。目前，MFM 在不確定推理分析、故障診斷、報(bào)警分析、危險(xiǎn)與可操作性分析、可靠性分析等方面等均有應(yīng)用，本文將重點(diǎn)介紹MFM 在可靠性分析方面的應(yīng)用。

1 MFM 建模方法

MFM 運(yùn)用特定的符號(hào)通過目標(biāo)、功能以及關(guān)系來構(gòu)建系統(tǒng)的模型。功能是物理部件的抽象化表達(dá)，物理部件是實(shí)現(xiàn)功能的載體，物理部件不會(huì)出現(xiàn)在MFM 中。

MFM 使用的基本元素如下：

（1）目標(biāo)：系統(tǒng)要實(shí)現(xiàn)的設(shè)計(jì)目的，分為子目標(biāo)和主目標(biāo)。

（2）功能：實(shí)現(xiàn)目標(biāo)的途徑或方法，是對物理部件的高度抽象，如圖1 所示。

圖1 MFM 中的符號(hào)

源：向外提供物質(zhì)、信息、能量的能力。對應(yīng)的物理部件如油箱、信號(hào)發(fā)生器、燃燒室等。

傳輸：物質(zhì)、信息、能量從一處傳輸至另一處的能力。對應(yīng)的物理部件如管道、數(shù)據(jù)線、電源線等。

轉(zhuǎn)化：對物質(zhì)、信息、能量的轉(zhuǎn)化能力。對應(yīng)的物理部件如壓差式傳感器、數(shù)模轉(zhuǎn)換器等。

阻礙：阻礙物質(zhì)、信息、能量從一處傳輸?shù)搅硪惶幍哪芰Α?yīng)的物理部件如閥門、閉鎖錯(cuò)誤信號(hào)的裝置、隔熱材料等。

平衡：輸入和輸出保持相對平衡的能力。多用于故障診斷領(lǐng)域，本應(yīng)處于平衡狀態(tài)的物理部件發(fā)生失衡時(shí)，結(jié)合上下游傳感器的信息可用于故障定位。

存儲(chǔ)：存儲(chǔ)物質(zhì)、信息的能力。對應(yīng)的物理部件如油箱、硬盤、超級(jí)電容等。

決策：邏輯處理的能力，可由操作者或者控制部件實(shí)現(xiàn)。

執(zhí)行：將信息轉(zhuǎn)為物理結(jié)果的能力。對應(yīng)的物理部件為系統(tǒng)中的各類執(zhí)行機(jī)構(gòu)。

觀測：將被監(jiān)測狀態(tài)轉(zhuǎn)為信息的能力，如各類傳感器及各類操作者等。

阱：接收或消耗物質(zhì)、能量和信息的能力，符合守恒原理。

流：分為物質(zhì)流、能量流、信息流，目的是將相互連接的功能組成流結(jié)構(gòu)，描述其產(chǎn)生、傳播、消耗的過程。

此外，楊明將邏輯門引入多層流模型中用于表示目標(biāo)和子目標(biāo)之間的邏輯關(guān)系。

MFM 中的關(guān)系：

MFM 中有實(shí)現(xiàn)關(guān)系、達(dá)成關(guān)系、條件關(guān)系三種常用的關(guān)系，三種關(guān)系將物質(zhì)流、能量流、信息流組成為一個(gè)有機(jī)整體，表示其之間的邏輯關(guān)系。

圖2 是一個(gè)簡化的三取二邏輯的反應(yīng)堆緊急停堆系統(tǒng)，系統(tǒng)由三個(gè)控制單元U、U、U，六個(gè)停堆斷路器a、a、b、b、c、c，兩個(gè)控制棒r、r組成以及相互連接的線纜組成。圖3 是三取二邏輯的反應(yīng)堆緊急停堆系統(tǒng)的MFM，其中sou、sou、sou分別對應(yīng)三個(gè)控制單元U、U、U輸出控制信號(hào)，act、act、act、act、act、act分別對應(yīng)六個(gè)停堆斷路器a、b、a、c、b、c動(dòng)作，G、G、G、G、G、G分別對應(yīng)相應(yīng)的停堆斷路器已成功斷開，G、G、G分別代表實(shí)現(xiàn)一種三取二邏輯，G代表系統(tǒng)實(shí)現(xiàn)三取二邏輯并發(fā)出停堆信號(hào)，sou代表停堆信號(hào)，act代表控制板r動(dòng)作，act代表控制板r動(dòng)作，G代表反應(yīng)堆成功停堆?？梢钥闯?，作為一種功能化建模方法，MFM 與系統(tǒng)結(jié)構(gòu)圖有較好的對應(yīng)關(guān)系，易于理解，相對于故障樹等其他建模方法，規(guī)模也較小，隨著實(shí)際系統(tǒng)的改進(jìn)完善MFM 也易于維護(hù)、修改。

圖2 三取二邏輯緊急停堆系統(tǒng)結(jié)構(gòu)簡圖

圖3 三取二邏輯緊急停堆系統(tǒng)MFM

2 MFM 在可靠性分析中的應(yīng)用

MFM 符合質(zhì)量和能量守恒定律，圖形化的MFM 已經(jīng)包含了一部分系統(tǒng)知識(shí)，但這些知識(shí)還不足以提供足夠的信息來進(jìn)行系統(tǒng)可靠性分析，通過離散系統(tǒng)狀態(tài)和引入決策表可以將其他有用的系統(tǒng)知識(shí)融入MFM 中。決策表描述了輸入、輸出事件的關(guān)系，決策表建立之后，MFM 就包含了足夠的開展可靠性分析的知識(shí)。

2.1 可靠性定性分析

基于MFM 可靠性定性分析主要有兩種形式，一是基于MFM 的故障模式和影響分析（FMEA）；二是研究MFM 與故障樹的轉(zhuǎn)化規(guī)則，借助成熟商業(yè)軟件開展可靠性定性分析工作。

基于MFM 的FMEA 是將MFM 融入FMEA 的過程中去：在預(yù)備階段便建立系統(tǒng)的MFM，按照MFM中的層次結(jié)構(gòu)依次開展各層次的故障模式分析、故障原因分析、故障影響及嚴(yán)酷度分析、故障檢測方法分析、設(shè)計(jì)改進(jìn)措施分析、防范措施分析等工作，最終輸出FMEA 報(bào)告。MFM 中包含了能量流、物質(zhì)流和信息流，符合能量和質(zhì)量守恒定律，MFM 中功能的故障模式可描述為系統(tǒng)中設(shè)備在產(chǎn)生、傳輸、存儲(chǔ)、消耗能量和物質(zhì)時(shí)流量、溫度、水位、壓力等的異常事件以及信息的誤輸出、拒輸出等狀態(tài)。

在相同的邊界條件和基本假設(shè)下，MFM 與故障樹對同一系統(tǒng)的可靠性邏輯關(guān)系的描述上是等價(jià)的，因此可以通過研究兩種模型的轉(zhuǎn)化關(guān)系來借助商業(yè)化的故障樹軟件開展可靠性定性分析工作。對于兩狀態(tài)系統(tǒng)，提出了多層流模型向故障樹轉(zhuǎn)化的算法，分別開發(fā)了多層流模型建模平臺(tái)及多層流多狀態(tài)故障樹轉(zhuǎn)化的程序，為快速建立故障樹提供了一種新思路，可直接借助于故障樹商業(yè)軟件開展可靠性分析。其中主要以決策表中的知識(shí)為依據(jù)建立故障樹，每個(gè)決策表都可以生成若干個(gè)故障子樹，決策表通過MFM 中的流結(jié)構(gòu)關(guān)系產(chǎn)生聯(lián)系，從而將故障子樹連接為系統(tǒng)的故障樹。文獻(xiàn)[7]以MFM 中目標(biāo)、功能、邏輯門與故障樹中事件、邏輯門的對應(yīng)關(guān)系為思路建立了故障樹，其中基本目標(biāo)對應(yīng)底事件或未展開器件、中間目標(biāo)對應(yīng)中間事件、主目標(biāo)對應(yīng)頂事件，MFM 中與門（或門）對應(yīng)故障樹中或門（與門）；中間事件下添加或門，或門輸入為該功能對應(yīng)的物理部件的故障事件（只考慮本質(zhì)故障）和系統(tǒng)故障事件；系統(tǒng)故障事件下添加或門，或門輸入是上游功能故障和支持功能故障事件；若有多個(gè)上游功能，依據(jù)上游功能間的關(guān)系添加相應(yīng)的邏輯門，并依次為邏輯門添加上游功能故障原因。對于多狀態(tài)系統(tǒng)，基于MFM 建模平臺(tái)開發(fā)了程序?qū)FM 模型轉(zhuǎn)化為Isograph Reliability Workbench（RWB）可以識(shí)別的XML 格式的故障樹文件，基于RWB 的分析結(jié)果，首先基于動(dòng)態(tài)一致性原則（Dynamic consistency）、物理一致性原則（Physical consistency）對RWB 分析的結(jié)果進(jìn)行簡化，而后基于文獻(xiàn)[8]、文獻(xiàn)[9]提出的立方體表示法和Quine 原理求出多狀態(tài)系統(tǒng)的質(zhì)蘊(yùn)含集，實(shí)現(xiàn)對多狀態(tài)系統(tǒng)的可靠性定性分析工作。

2.2 可靠性定量分析

基于MFM 可靠量定性分析主要有兩種形式，一是基于MFM 建模平臺(tái)直接開發(fā)可靠性定量分析算法；二是通過研究MFM 與其他可靠性分析模型的轉(zhuǎn)化規(guī)則，調(diào)用其他可靠性定量分析軟件開展可靠性定量分析工作。

J.E.Larsson 提出了基于MFM 進(jìn)行可靠性定量分析的思想，但缺少對功能的可靠性定義，采用將系統(tǒng)簡化為全串聯(lián)模型的處理方法，得到的是系統(tǒng)可靠性的保守分析結(jié)果。通過對MFM 功能進(jìn)行可靠性定義開展可靠性定量分析工作，系統(tǒng)目標(biāo)的實(shí)現(xiàn)取決于目標(biāo)的功能，而目標(biāo)的功能是由對應(yīng)該功能的物理部件，為實(shí)現(xiàn)該功能系統(tǒng)需提供的輸入功能、支持功能共同決定的。那么系統(tǒng)目標(biāo)的成功概率則由部件的成功概率、條件的成功概率和輸入信號(hào)的成功概率的聯(lián)合概率決定。某功能的實(shí)現(xiàn)可能是以其他功能的實(shí)現(xiàn)作為條件輸入的，因此功能與功能之間可能存在關(guān)聯(lián)，不一定是相互獨(dú)立的，盡管物理部件彼此是獨(dú)立的。文獻(xiàn)[11]給出了基于MFM 的可靠定量分析的一般步驟，并用貝葉斯分析法處理了共有信號(hào)的問題。

對于兩狀態(tài)系統(tǒng)，MFM 轉(zhuǎn)化為故障樹后則可以直接借助于商業(yè)化故障樹軟件得到可靠性定量分析的結(jié)果。對于有時(shí)序系統(tǒng)可靠性定量分析的問題，給出了MFM 的目標(biāo)、功能、關(guān)系與GO-FLOW 中操作符的對應(yīng)關(guān)系，建立了MFM 轉(zhuǎn)化為GO-FLOW 模型的規(guī)則，借助于GO-FLOW 分析軟件，實(shí)現(xiàn)對有時(shí)序系統(tǒng)的可靠性定量分析。對于多狀態(tài)系統(tǒng)可靠性定量分析問題，文獻(xiàn)[13]對蘊(yùn)含集或者質(zhì)蘊(yùn)含集開展不交化運(yùn)算進(jìn)而求得系統(tǒng)的故障率。則基于BDD（Binary Decision Diagram）給出了多狀態(tài)系統(tǒng)可靠性定量分析的算法。

2.3 MFM 在軟件可靠性分析中的應(yīng)用

流網(wǎng)模型（Flow Network Model，F(xiàn)NM）是一種基于軟件結(jié)構(gòu)和軟件測試的軟件可靠性定量分析方法，可有效提高軟件測試的效率。但利用FNM 定量評估軟件可靠性時(shí)需要不斷地對串聯(lián)邊和并聯(lián)邊進(jìn)行等效分析，手動(dòng)建模耗時(shí)費(fèi)力且模型不宜更新，其中邊代表代碼的執(zhí)行路徑，假設(shè)一條邊被執(zhí)行，則其中的每一行代碼均被執(zhí)行，即每條邊內(nèi)無分支。文獻(xiàn)[16]利用MFM去構(gòu)建FNM，MFM 可在不同抽象層次上表示軟件結(jié)構(gòu)，使模型更容易被理解和修改。其中，源表示代碼起始；阱表示代碼結(jié)束；網(wǎng)絡(luò)表示代碼的功能模塊；目標(biāo)表示代碼目的；傳輸可分為實(shí)功能與虛功能，實(shí)功能表示單邊，虛功能通過條件連接目標(biāo)，表示虛功能的實(shí)現(xiàn)是以實(shí)現(xiàn)目標(biāo)為條件的，即虛功能是實(shí)現(xiàn)目標(biāo)的模塊的等效邊。利用MFM 概念構(gòu)建FNM 可清晰的表示軟件結(jié)構(gòu)，通過一次分析可以獲得總目標(biāo)及所有子目標(biāo)的可靠度，便于識(shí)別軟件設(shè)計(jì)中的薄弱環(huán)節(jié)。

3 結(jié)語

MFM 是一種以目標(biāo)為導(dǎo)向的系統(tǒng)功能性建模方法，可清晰地描述復(fù)雜系統(tǒng)工藝過程，高度抽象化、層次化地組織系統(tǒng)結(jié)構(gòu)知識(shí)，與系統(tǒng)原理圖、結(jié)構(gòu)圖對應(yīng)清晰，易于建立、修改和維護(hù)。筆者認(rèn)為MFM 是一種優(yōu)秀的建模方法，完全可以應(yīng)用于可靠性分析，基于MFM 的可靠性分析方法研究在可靠性定性分析、可靠性定量分析、軟件可靠性分析等方面也已經(jīng)有了很多有益的探索，表明MFM 在可靠性分析方面有著良好的應(yīng)用前景。但相關(guān)文獻(xiàn)中的基于MFM 的可靠性分析算例都相對簡單，雖然從原理上說明了方法的可行性，距離工程應(yīng)用還有一定的距離。