CN112560268B - 基于性能模型的***安全性分析方法 - Google Patents

Abstract

本发明提供一种基于性能模型的***安全性分析方法，该方法包括以下步骤：步骤S1：***性能模型构建，包括建模信息收集，单元模块性能建模、***集成性能建模、确定***性能观测指标；步骤S2：***性能故障模型构建，包括对***进行分层、单元模块的失效建模、耦合失效建模、故障的触发建模；步骤S3：基于***性能故障模型的安全性分析，包括获取***输出的敏感参数、选择需要触发的故障状态，得到***失效时间、耦合作用的失效分布和失效集合，再结合抽样算法开展***性能输出的安全性分析。本发明解决传统可靠性建模方法不准确、不全面问题；以图形化方式和数学模型方式同时准确定位导致***性能失效的敏感参数和关键失效模式。

Description

基于性能模型的***安全性分析方法

技术领域

本发明属于设备安全技术领域，具体涉及一种基于性能模型的***安全性分析方法。

背景技术

安全性是装备产品的一种共性的固有属性，必须与产品功能性能同步设计、有效融合。安全性是与危险做斗争的一门工作，设计人员需要通过不断分析发现产品的各种缺陷、薄弱环节、使用风险，并采取有效的改进和补偿措施以提高安全性水平。随着装备产品集成度越高、设计算法越来越复杂，安全性分析工作难度越来越大。在实际***设计中，最终的目的都是将***性能控制在理想的范围内，而超出理想范围，均会带来***的安全性问题。

目前传统的安全性设计分析方法，一方面不能基于模型对风险进行参数化描述，另一方面不能将具体的故障对***输出设计参数的影响进行分析。如危险分析方法只是对***潜在风险进行梳理，设计人员根据***架构、使用环境等对危险因素及影响进行梳理，但对于具体故障的参数改变、敏感参数变化等造成的***输出效果均无法提供具体描述，无法保证安全性分析工作的精确性与完整性。同时，基于人工推演的危险分析工作无法实现对导致***性能失效的关键硬件故障模式的精确定位、以及敏感参数的精确识别，无法有效开展成品的故障控制措施设计。

因此，目前需要新的***安全分析方法来实现对复杂装备产品的安全分析，有效解决***故障模式参数化、故障影响关系复杂、功能FMEA与硬件FMEA分析脱节等问题。

发明内容

本发明提出一种基于性能模型的***安全性分析方法，适用于复杂***的安全性图形化与数学建模方法，并可实现基于模型的安全性分析，识别关键故障模式及敏感参数，以便进行***的安全性研究。

本发明提出一种基于性能模型的***安全性分析方法，包括如下实现步骤：

步骤S1：***性能模型构建；

***性能设计是表征***设计实现具体功能的参数化描述，***性能模型采用层级化的建模方式，具体包括以下步骤：

S1.1收集建模信息，以***性能设计实现过程的文档或模型为基础，收集用于***性能建模相关设计信息，梳理***性能参数设计及实现，设计信息主要包括：***的性能指标、逻辑架构、控制律、接口信息、各元件设计参数、性能以及典型的故障模式信息；

S1.2进行单元性能模块建模，单元性能模块以模块元素为基础进行图形与数学模型构建，根据设计信息对单元性能模块进行构建，构建内容包括单元输入、单元输出以及输入输出之间的函数关系，设单元输入以x_i＝{x_i1，x_i2，…，x_im}表示，其中x_i表示单元i的输入，m表示输入参数的个数；单元输出以y_i＝{y_i1，y_i2，…，y_in}表示，其中y_i表示单元i的输出，n表示输出参数的个数；则y_i＝F_ix_i表示单元性能正常情况下的传递关系，其中，F_i为单元模块的性能设计参数，表征的是输入输出的传递函数关系参数，单元性能模块建模后需要进行校验；

S1.3进行***性能模型建模，结合***性能架构以及单元模块的输入输出接口关系，将***输入输出进行关联建模，实现***性能模型的集成，通过对单元性能模块的组合最终形成***性能模型，***输出以y＝{y₁，y₂，…，y_i，…，y_g}表示，其中g为***输出的个数；

S1.4确定能够表征***性能的性能指标，作为***的故障判据，性能指标从***输出y中进行选择；

步骤S2：***性能故障模型构建；

在***性能模型基础上，通过对故障状态对应参数以及触发事件、故障交联参数的扩展定义，以完整描述***在故障发生及参数交联条件下对***输出参数的影响关系，实现***性能故障的模型搭建，具体包括以下步骤：

S2.1对***进行分层：

***按结构能够划分为***、组件和元件三个大层次，组件能够根据需要分成多个子组件层，元件根据需要能够分成多个子元件层；

S2.2单元模块的失效建模：

单元模块的失效建模是在单元模型的基础上，结合单元模块输入输出及传递机理，搭建故障逻辑模型，故障逻辑模型初步用下式表达：

其中，{x_i1f，x_i2f，…，x_imf}表示的是单元i的输入故障状态，{y_i1f，y_i2f，…，y_inf}表示的是单元i的输出故障状态，F_if是针对F_i故障的表征，表示的是传递函数的参数故障状态，通过对相关的设计发生故障的故障机理分析得到；

S2.3元器件或零件之间由于耦合导致的失效建模：

***失效由元器件或零件的性能参数退化耦合导致的***性能超出阈值；输出耦合失效体现为y_i＝Gy_l,其中G为失效耦合因子矩阵；

S2.4故障触发控制；

步骤S3：基于***性能故障模型的安全性分析；

S3.1获取***输出的敏感参数：

在***性能故障模型的基础上，对单元模块的性能设计参数F_i设置步长和范围，进行单一参数扫描仿真或参数组合扫描仿真，根据不同参数值下的***输出以及参数改变情况下的***输出变化率，得到对***输出影响较大的敏感参数；

S3.2选择需要触发的故障状态，将其

设置为1或将τ_iqf置为1而相对应的τ_iq为0时，对故障状态的触发进行控制，通过对不同故障状态参数配置，进行故障状态的单一注入或组合注入，得到***输出性能参数的范围；基于***性能故障模型，结合仿真求解器，选中要进行分析的故障状态模式进行触发，得到***输出范围，若在合理范围之内，则判定为所选故障状态不会导致***输出性能失效；否则，判定为会导致***输出性能失效；

S3.3对于随时间或使用环境变化导致***失效的单元模块故障模式，得到***失效时间，通过大量的抽样仿真计算得到单元模块故障的***失效分布；

S3.4对于耦合作用失效导致***输出性能失效的故障模式组合，通过改变耦合相关参数及大量抽样仿真，得到耦合作用的失效分布；

S3.5将步骤S3.2、S3.3和S3.4所分析的故障模式组合进行整合，得到失效集合，再结合抽样算法开展***性能输出的安全性分析。

优选的，步骤S3.5中抽样算法具体步骤为：

S3.5.1根据***的故障判据定义观测仿真的性能指标和阈值；

S3.5.2根据各元件/组件故障的故障时间分布，进行随机抽样，得到一组元件/组件故障时间序列(t₁，t₂……t_n)；

S3.5.3若故障模式为元件/组件性能故障且相互独立，则直接对该故障模式的故障时间进行抽样；如果故障类型为渐变模式，则应首先将所有元件/组件的渐变曲线在***性能模型中进行融合计算，然后根据***故障判据判定***性能渐变超差时间的随机分布，再进行随机抽样；

S3.5.4在得到的故障时间序列(t₁，t₂……t_n)取出最短时间点，该最短时间点即为判断可能存在***任务失效的潜在点；

S3.5.5判定该时间点处于第几次任务单元；设该时间点为t_f，每次任务时间为t_m，则任务序号为小于t_f/t_m的最大整数mod(t_f/t_m)；

S3.5.6挑选出时间区间[mod(t_f/t_m)·t_m，(mod(t_f/t_m)+1)·t_m]内发生的所有故障组合；

S3.5.7将步骤S3.5.6获得的所有故障组合注入到***性能模型中进行仿真，如果影响多状态***的关键性能，则将该时刻点和任务序列号记录下来；

S3.5.8将本次任务的故障单元视为修复，开始下一轮仿真，其故障发生时间重新进行抽样，未故障单元用上次抽样时间减去(mod(t_f/t_m)+1)·t_m；

S3.5.9判断是否已达到抽样次数，如未达到，重复本流程S3.5.3；如已达到规定抽样次数，则仿真结束；

S3.5.10根据记录的故障时间点和编号，进行***性能输出正常概率计算；

对于得到的***性能输出正常概率，若不满足要求，需要进行设计改进或使用补偿。

优选的，步骤S1.3中单元模块的输入输出接口关系中存在耦合关系，具体为：

对于单元模块输入输出接口存在耦合的模型，结合耦合机理，利用模块化或编程语言进行耦合机理表达，若第i个单元的输出y_ih和第l个单元的输出y_lk存在耦合作用为第j个单元输入x_js，则其耦合机理为：

x_js＝γ₁y_ih+γ₂y_lk

其中，γ₁与γ₂为耦合因子。

优选的，步骤S2.1中，单元模块的失效具体原因如下：

所述单元模块的失效一般由元器件或零件的失效引起，元器件或零件的失效是产品在一定载荷条件下，随着时间的推移，由于应力损伤或累计损伤而出现元器件或零件的物理结构发生变化或性能水平不可接受的情况；***中的元器件或零件的故障有三种基本类型：离散二状态故障、离散多状态故障、连续多状态故障；

离散二状态故障即为0,1故障，其在性能模型的基础上通过增加输入端口故障状态x_if、输出端口故障状态y_if、传递变量的故障状态F_if，并进行故障状态的触发；离散多状态故障对于输入端即为多个变量

输出端故障状态表征为

单元模块自身的多状态故障特性表征为

连续多状态故障是最常见的一类故障，该类故障与前两种故障最大区别在于，该类故障是连续的，即渐变的,通常随着使用时间或环境的变化而改变，其故障状态表征为输入端连续多状态故障

其中p为输入端口的故障状态数；输出端连续多状态故障特性表征为

(r为输出端口的故障状态数)；单元模块自身的多状态故障特性表征为F(t，z)_if；上式中，t为时间变量因子，z为使用环境等变量因子,F(t，z)_if表示的是传递状态函数随时间和环境变化的描述。

优选的，步骤S2.4故障的触发控制是通过增加switch开关，并结合可视化模块界面进行，通过控制switch模块，对故障状态的触发进行控制，一般当switch定义为“0”时，不触发相关故障，当需要对该故障进行触发时，将对应的switch置为“1”；针对输入状态，增加

对故障触发进行控制；针对输出，增加

对故障触发进行控制；增加传递函数，增加

对设计参数F的故障状态进行控制；其中

均为0和1两个状态，当其状态为0时，则为正常的性能模型，当其状态为1时，则切换为故障状态表达式，软件工具对故障状态模式下的参数进行仿真。

优选的，步骤S2.4故障的触发控制是通过函数对故障和正常的性能模型进行控制仿真，针对传递函数的状态，建立以下方程，结合图形化建模语言和可编程逻辑进行描述；

其中，τ_iq与τ_iqf为正常状态与故障状态的控制因子，一般将其置为0或者1进行相应的故障状态控制。

与现有技术相比，本发明具有以下有益效果：

(1)解决传统安全性无法精确描述对***输出具体影响的问题；

(2)以图形化方式清晰直观显示***故障状态，以数学模型方式准确表达***不同层级间的故障传递关系；

(3)准确定位导致***关键功能失效的硬件故障设计参数，指导设计改进。

附图说明

图1为本发明基于性能模型的***安全性分析方法的整体架构框图；

图2为本发明基于性能故障模型构建的***示例图。

具体实施方式

为更好的理解本发明的技术方案，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

本发明提出一种基于性能的***安全性分析方法。首先，定义与划分***约定层次，明确建模对象；然后以***不同层级产品架构组成作为输入，以模块、状态参数、模块间信号传输关系元素为基础构建架构图形化、参数化模型，以输入x，输出y，设计变量F为变量的数学表达式构建各层级数学模型；然后通过图形化、数据变量扩展描述模块设计故障状态、输入/输出端口故障状态、局部故障参数关系构建故障状态模型；最后，基于***不同层级内部交互关系与数学表达式形成全***故障状态图形化与数学模型，识别导致***级性能输出偏差的关键故障模式及相关设计参数。

本发明提出一种基于性能的***安全性分析方法，如图1和图2所示，具体实施步骤如下：

步骤S1：***性能模型构建；

***性能设计是表征***设计实现具体功能的参数化描述，在***设计过程中，***输出往往存在偏差，***性能设计就是要保证***输出在合理的偏差范围之内。本实施例中以Modelica语言的图形化、可编辑建模手段为基础构建***性能模型。***性能模型采用层级化的建模方式，具体为：从单元性能模块建模到***性能集成模块建模，最后实现***性能模型建模。每当一个单元性能模块建模完成或者多个单元模块组合为***性能集成模块后，都要立即对完成的模块进行校验，以避免建模过程中模块错误或者误差累积。最后，确定能够表征***性能的指标，作为***的故障判据。

***性能模型构建具体包括以下步骤：

S1.1收集建模信息，以***性能设计实现过程的文档或模型为基础，收集用于***性能建模相关设计信息，梳理***性能参数设计及实现。设计信息主要包括：***的性能指标、逻辑架构、控制律、接口信息、各元件设计参数及性能等设计信息以及典型的故障模式信息等。详细内容如表1的所示，表1为***建模和安全性建模分析的相关设计信息表；

表1建模信息收集

S1.2进行单元性能模块建模，单元性能模块以模块元素为基础进行图形与数学模型构建，根据设计信息对单元性能模块进行构建，构建内容包括单元输入、单元输出、以及输入输出之间的函数关系，设单元输入以x_i＝{x_i1，x_i2，…，x_im}表示，其中x_i表示单元i的输入，m表示输入参数的个数；单元输出以y_i＝{y_i1，y_i2，…，y_in}表示，其中y_i表示单元i的输出，n表示输出参数的个数；则y_i＝F_ix_i表示单元性能正常情况下的传递关系，其中，F_i为单元模块的性能设计参数，F_i中具体内容根据步骤S1.1中的设计信息获得，表征的是输入输出的传递函数关系参数。单元性能模块建模后需要进行校验。y_i＝F_ix_i的详细表达方程如下：

其中，

S1.3进行***性能模型建模，结合***性能架构、单元模块的输入输出接口关系，将***输入输出进行关联建模，实现***性能模型的集成。对于单元模块输入输出接口存在耦合的模型，结合耦合机理，利用模块化或编程语言进行耦合机理表达。例如，若第i个单元的输出y_ih和第l个单元的输出y_lk存在耦合作用为第j个单元输入x_js，则其耦合机理为：

x_js＝γ₁y_ih+γ₂y_lk

其中，γ₁与γ₂为耦合因子，也是根据步骤S1.1中的设计信息获得。

通过对单元性能模块的组合最终形成***性能模型，***输出以y＝{y₁，y₂，…，y_i，…，y_g}表示，其中g为***输出的个数。

S1.4确定能够表征***性能的性能指标，作为***的故障判据。性能指标从***输出y中进行选择，依据***性能逻辑架构和***性能输出设计参数，在***级输出中选择具体的输出变量作为观测值，将理想的设计输出作为控制范围，即为***的输出故障判据。

步骤S2：***性能故障模型构建

在***性能模型基础上，通过对故障状态对应参数以及触发事件、故障交联参数的扩展定义，以完整描述***在故障发生及参数交联条件下对***输出参数的影响关系，实现***性能故障的模型搭建。

***性能故障模型的具体建模过程如下：

S2.1对***进行分层

***大多是由相互关联、相互作用和相互制约的多个子***所组成的有机整体，这就决定了其故障传递具有层次性，按结构可划分为***、组件(含设备和功能模块)、元件(含元器件和零件)三个大层次，组件可根据需要分成多个子组件层，元件根据需要也可分成多个子元件层。

S2.2单元模块的失效建模

单元模块的失效建模是在单元模型的基础上，结合单元模块输入输出及传递机理，搭建故障逻辑模型，故障逻辑模型初步可用下式表达：

其中，{x_i1f，x_i2f，…，x_imf}表示的是单元i的输入故障状态，{y_i1f，y_i2f，…，y_inf}表示的是单元i的输出故障状态，F_if是针对F_i故障的表征，表示的是传递函数的参数故障状态，通过对相关的设计发生故障的故障机理分析得到：

单元模块的失效一般由元器件或零件的失效引起，元器件或零件的失效是产品在一定载荷条件如振动、温度、湿度和应力下，随着时间的推移，由于应力损伤或累计损伤而出现元器件或零件的物理结构发生变化或性能水平不可接受的情况。***中的元器件或零件的故障有三种基本类型：离散二状态故障、离散多状态故障、连续多状态故障。

离散二状态故障即为(0,1)故障，其在性能模型的基础上通过增加输入端口故障状态x_if、输出端口故障状态y_if、传递变量的故障状态F_if，并进行故障状态的触发。离散多状态故障对于输入端即为多个变量

输出端故障状态表征为

单元模块自身的多状态故障特性表征为

连续多状态故障是最常见的一类故障，该类故障与前两种故障最大区别在于，该类故障是连续的，即渐变的,通常随着使用时间或环境的变化而改变，其故障状态表征为输入端连续多状态故障

其中p为输入端口的故障状态数；输出端连续多状态故障特性表征为

r为输出端口的故障状态数；单元模块自身的多状态故障特性表征为F(t，z)_if。上式中，t为时间变量因子，z为使用环境等变量因子,F(t，z)_if表示的是传递状态函数随时间和环境变化的描述。

下面的表2中给出了机械元件/组件的常见故障模式，表3给出了电子元件/组件的常见故障模式。

表2机械元件/组件的常见故障模式

表3电子元件/组件的常见故障模式

S2.3元器件或零件之间由于耦合导致的失效建模

***失效由元器件或零件的性能参数退化耦合导致的***性能超出阈值。故障机理分析结合***性能参数之间的交联耦合关系，搭建具有耦合失效状态的参数交联函数；输出耦合失效体现为y_i＝Gy_l,其中G为失效耦合因子，失效耦合因子为矩阵；

其中，nⁱ为单元i的输出个数，m^l为单元l的输出个数。

S2.4故障的触发控制

故障的触发控制采用两种方式，一种是通过增加“switch”开关，并结合可视化模块界面进行，通过控制“switch”模块，对故障状态的触发进行控制，一般当“switch”定义为“0”时，不触发相关故障，当需要对该故障进行触发时，将对应的“switch”置为“1”；针对输入状态，增加

对故障触发进行控制；针对输出，增加

对故障触发进行控制；增加传递函数，增加

对设计参数F的故障状态进行控制。以上描述中，

均为0和1两个状态，当其状态为0时，则为正常的性能模型，当其状态为1时，则切换为故障状态表达式，软件工具对故障状态模式下的参数进行仿真，

分别表示单元i的输入、输出、以及设计参数的“switch”开关。

另一种是通过函数对故障和正常的性能模型进行控制仿真，针对传递函数的状态，建立以下方程，结合图形化建模语言和可编程逻辑进行描述；

其中，τ_iq与τ_iqf为正常状态与故障状态的控制因子，一般将其置为“0”或者“1”进行相应的故障状态控制。

步骤S3：基于***性能故障模型的安全性分析

S3.1获取***输出的敏感参数

在***性能故障模型的基础上，对单元模块的性能设计参数F_i设置步长和范围，进行单一参数扫描仿真或参数组合扫描仿真，根据不同参数值下的***输出以及参数改变情况下的***输出变化率，得到对***输出影响较大的敏感参数；通过识别敏感参数，得到对***安全性影响较大的单元模块以及相关的设计，在实际使用中，通过增加观测点对敏感参数进行观测，当其超出预定设计值时，进行维护，以提高***使用的安全性。

S3.2选择需要触发的故障状态，将其

设置为1或将τ_iqf置为1而相对应的τ_iq为0时，对故障状态的触发进行控制，通过对不同故障状态参数配置，进行故障状态的单一注入或组合注入，得到***输出性能参数的范围。基于***性能故障模型，结合仿真求解器，选中要进行分析的故障状态模式进行触发，得到***输出范围，若在合理范围之内，则判定为所选故障状态(组)不会导致***输出性能失效；否则，判定为会导致***输出性能失效；通过故障注入，得到***输出是否在偏差范围之内，当某单一故障或组合故障导致***输出超出合理的允许范围，则判定为最小割集。本实施例中，依次进行单一故障注入和组合故障注入，直到该故障模式或故障模式组合会导致***输出性能失效，则判定为最小割集。

S3.3对于随时间或使用环境变化导致***失效的单元模块故障模式，得到***失效时间，通过大量的抽样仿真计算得到单元模块故障的***失效分布；

S3.4对于耦合作用失效导致***输出性能失效的故障模式组合，通过改变耦合相关参数及大量抽样仿真，得到耦合作用的失效分布。

S3.5将步骤S3.2、S3.3和S3.4所分析的故障模式组合进行整合，得到失效集合，再结合抽样算法进行***性能的安全性分析。

步骤S3.5的详细实施过程如下：

S3.5.1根据***的故障判据定义观测仿真的性能指标和阈值。

S3.5.2根据各元件/组件故障的故障时间分布，进行随机抽样，得到一组元件/组件故障时间序列(t₁，t₂……t_n)。

S3.5.3若故障模式为元件/组件性能故障且相互独立，可直接对该故障模式的故障时间进行抽样；如果故障类型为渐变模式，则应首先将所有元件/组件的渐变曲线在***性能模型中进行融合计算，其中主要是因为考虑到渐变中间状态的聚集效应也可能会导致***故障，然后根据***故障判据判定***性能渐变超差时间的随机分布，再进行随机抽样。

S3.5.4在得到的故障时间序列(t₁，t₂……t_n)取出最短时间，该时间点即为判断可能存在***任务失效的潜在点。

S3.5.5判定该时间点处于第几次任务单元。假设该时间点为t_f，每次任务时间为t_m，则任务序号为小于t_f/t_m的最大整数mod(t_f/t_m)。

S3.5.6挑选出时间区间[mod(t_f/t_m)·t_m，(mod(t_f/t_m)+1)·t_m]内发生的所有故障组合。

S3.5.7将步骤S3.5.6获得的所有故障组合注入到***性能模型中进行仿真，如果影响多状态***的关键性能，则将该时刻点和任务序列号记录下来。

S3.5.8将本次任务的故障单元视为修复，开始下一轮仿真，其故障发生时间重新进行抽样，未故障单元用上次抽样时间减去(mod(t_f/t_m)+1)·t_m。

S3.5.9判断是否已达到抽样次数，如未达到，重复S3.5.3；如已达到规定抽样次数，则仿真结束。

S3.5.10根据记录的故障时间点和编号，进行***性能输出正常概率计算。

对于得到的***性能输出正常概率，若不满足要求，需要进行设计改进或使用补偿等。根据得到的导致***输出值超出允许的安全值范围的最小割集，将最小割集反馈给设计人员，设计人员进行参数调整、冗余设计等，增加最小割集里的故障模式数量，使***单点故障或导致***输出失效的共因故障越少。使用补偿主要包括以下几个方面：

①对于随时间变化的连续故障，通过仿真发现导致不可接受的***输出，分析得到相应的使用时间，在实际使用中，开展定期维修避免此类故障引起的安全性问题；

②对于离散的多状态故障，通过设置状态观测点，对故障状态进行观测，分析导致***输出的不可接受值，并依据故障观测值开展单元模块更换或维护等措施。

而且，图2为本发明基于性能故障模型构建的***示例示意图，其中

分别为分***B的输出性能参数5，分***A的输出性能参数4；

为参数

与

的失效耦合因子；

为分***C的输出性能参数7与输出性能参数8，

为输出性能参数7与输出性能参数8之间的失效耦合因子。从此实例也可以看出，本发明的创新之处在于以图形化、可编辑的方式直观清晰显示***故障状态参数关系，以数学模型方式准确表达***不同层级间的故障参数传递关系，用于解决影响***性能参数偏差的关键故障模式和敏感设计参数。

最后应说明的是：以上所述的各实施例仅用于说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或全部技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (6)

1.一种基于性能模型的***安全性分析方法，其特征在于，具体包括以下步骤：

步骤S1：***性能模型构建；

***性能设计是表征***设计实现具体功能的参数化描述，***性能模型采用层级化的建模方式，具体包括以下步骤：

S1.1收集建模信息，以***性能设计实现过程的文档或模型为基础，收集用于***性能建模相关设计信息，梳理***性能参数设计及实现，设计信息主要包括：***的性能指标、逻辑架构、控制律、接口信息、各元件设计参数、性能以及典型的故障模式信息；

S1.2进行单元性能模块建模，单元性能模块以模块元素为基础进行图形与数学模型构建，根据设计信息对单元性能模块进行构建，构建内容包括单元输入、单元输出以及输入输出之间的函数关系，设单元输入以x_i＝{x_i1，x_i2，…，x_im}表示，其中x_i表示单元i的输入，m表示输入参数的个数；单元输出以y_i＝{y_i1，y_i2，…，y_in}表示，其中y_i表示单元i的输出，n表示输出参数的个数；则y_i＝F_ix_i表示单元性能正常情况下的传递关系，其中，F_i为单元模块的性能设计参数，表征的是输入输出的传递函数关系参数，单元性能模块建模后需要进行校验；

S1.3进行***性能模型建模，结合***性能架构以及单元模块的输入输出接口关系，将***输入输出进行关联建模，实现***性能模型的集成，通过对单元性能模块的组合最终形成***性能模型，***输出以y＝{y₁，y₂，…，y_i，…，y_g}表示，其中g为***输出的个数；

S1.4确定能够表征***性能的性能指标，作为***的故障判据，性能指标从***输出y中进行选择；

步骤S2：***性能故障模型构建；

在***性能模型基础上，通过对故障状态对应参数以及触发事件、故障交联参数的扩展定义，以完整描述***在故障发生及参数交联条件下对***输出参数的影响关系，实现***性能故障的模型搭建，具体包括以下步骤：

S2.1对***进行分层：

***按结构能够划分为***、组件和元件三个大层次，组件能够根据需要分成多个子组件层，元件根据需要能够分成多个子元件层；

S2.2单元模块的失效建模：

单元模块的失效建模是在单元模型的基础上，结合单元模块输入输出及传递机理，搭建故障逻辑模型，故障逻辑模型用下式表达：

其中，{x_i1f，x_i2f，…，x_imf}表示的是单元i的输入故障状态，{y_i1f，y_i2f，…，y_inf}表示的是单元i的输出故障状态，F_if是针对F_i故障的表征，表示的是传递函数的参数故障状态，通过对相关的设计发生故障的故障机理分析得到；

S2.3元器件或零件之间由于耦合导致的失效建模：

***失效由元器件或零件的性能参数退化耦合导致的***性能超出阈值；输出耦合失效体现为y_i＝Gy_l，其中G为失效耦合因子；

S2.4故障触发控制；

步骤S3：基于***性能故障模型的安全性分析；

S3.1获取***输出的敏感参数：

在***性能故障模型的基础上，对单元模块的性能设计参数F_i设置步长和范围，进行单一参数扫描仿真或参数组合扫描仿真，根据不同参数值下的***输出以及参数改变情况下的***输出变化率，得到对***输出影响较大的敏感参数；

S3.2选择需要触发的故障状态，将其

设置为1或将τ_iqf置为1而相对应的τ_iq为0时，对故障状态的触发进行控制，通过对不同故障状态参数配置，进行故障状态的单一注入或组合注入，得到***输出性能参数的范围；基于***性能故障模型，结合仿真求解器，选中要进行分析的故障状态模式进行触发，得到***输出范围，若在合理范围之内，则判定为所选故障状态不会导致***输出性能失效；否则，判定为会导致***输出性能失效；

S3.3对于随时间或使用环境变化导致***失效的单元模块故障模式，得到***失效时间，通过大量的抽样仿真计算得到单元模块故障的***失效分布；

S3.4对于耦合作用失效导致***输出性能失效的故障模式组合，通过改变耦合相关参数及大量抽样仿真，得到耦合作用的失效分布；

S3.5将步骤S3.2、S3.3和S3.4所分析的故障模式组合进行整合，得到失效集合，再结合抽样算法实现对***的安全性分析。

2.根据权利要求1所述的基于性能模型 的***安全性分析方法，其特征在于：所述步骤S3.5中抽样算法的具体步骤为：

S3.5.1根据***的故障判据定义观测仿真的性能指标和阈值；

S3.5.2根据各元件/组件故障的故障时间分布，进行随机抽样，得到一组元件/组件故障时间序列(t₁，t₂......t_n)；

S3.5.3若故障模式为元件/组件性能故障且相互独立，则直接对该故障模式的故障时间进行抽样；如果故障类型为渐变模式，则应首先将所有元件/组件的渐变曲线在***性能模型中进行融合计算，然后根据***故障判据判定***性能渐变超差时间的随机分布，再进行随机抽样；

S3.5.4在得到的故障时间序列(t₁，t₂......t_n)取出最短时间点，该最短时间点即为判断可能存在***任务失效的潜在点；

S3.5.5判定该时间点处于第几次任务单元；设该时间点为t_f，每次任务时间为t_m，则任务序号为小于t_f/t_m的最大整数mod(t_f/t_m)；

S3.5.6挑选出时间区间[mod(t_f/t_m)·t_m，(mod(t_f/t_m)+1)·t_m]内发生的所有故障组合；

S3.5.7将步骤S3.5.6获得的所有故障组合注入到***性能模型中进行仿真，如果影响多状态***的关键性能，则将该时刻点和任务序列号记录下来；

S3.5.8将本次任务的故障单元视为修复，开始下一轮仿真，其故障发生时间重新进行抽样，未故障单元用上次抽样时间减去(mod(t_f/t_m)+1)·t_m；

S3.5.9判断是否已达到抽样次数，如未达到，重复步骤S3.5.3；如已达到规定抽样次数，则仿真结束；

S3.5.10根据记录的故障时间点和编号，进行***性能输出正常概率计算；

对于得到的***性能输出正常概率，若不满足要求，需要进行设计改进或使用补偿。

3.根据权利要求1所述的基于性能模型 的***安全性分析方法，其特征在于：所述步骤S1.3中单元模块的输入输出接口关系中存在耦合关系，具体为：

对于单元模块输入输出接口存在耦合的模型，结合耦合机理，利用模块化或编程语言进行耦合机理表达，若第i个单元的输出y_ih和第l个单元的输出y_lk存在耦合作用为第j个单元输入x_js，则其耦合机理为：

x_js＝γ₁y_ih+γ₂y_lk

其中，γ₁与γ₂为耦合因子。

4.根据权利要求1所述的基于性能模型 的***安全性分析方法，其特征在于：所述步骤S2.1 中，所述单元模块的失效具体原因如下：

所述单元模块的失效一般由元器件或零件的失效引起，元器件或零件的失效是产品在一定载荷条件下，随着时间的推移，由于应力损伤或累计损伤而出现元器件或零件的物理结构发生变化或性能水平不可接受的情况；***中的元器件或零件的故障有三种基本类型：离散二状态故障、离散多状态故障、连续多状态故障；

离散二状态故障即为0，1故障，其在性能模型的基础上通过增加输入端口故障状态x_if、输出端口故障状态y_if、传递变量的故障状态F_if，并进行故障状态的触发；离散多状态故障对于输入端即为多个变量

输出端故障状态表征为

单元模块自身的多状态故障特性表征为

连续多状态故障是最常见的一类故障，该类故障与前两种故障最大区别在于，该类故障是连续的，即渐变的，通常随着使用时间或环境的变化而改变，其故障状态表征为输入端连续多状态故障

其中p为输入端口的故障状态数；输出端连续多状态故障特性表征为

(r为输出端口的故障状态数)；单元模块自身的多状态故障特性表征为F(t，z)_if；上式中，t为时间变量因子，z为使用环境等变量因子，F(t，z)_if表示的是传递状态函数随时间和环境变化的描述。

5.根据权利要求1所述的基于性能模型 的***安全性分析方法，其特征在于：所述步骤52.4故障的触发控制是通过增加switch开关，并结合可视化模块界面进行，通过控制switch模块，对故障状态的触发进行控制，一般当switch定义为“0”时，不触发相关故障，当需要对该故障进行触发时，将对应的switch置为“1”；针对输入状态，增加

对故障触发进行控制；针对输出，增加

对故障触发进行控制；增加传递函数，增加

对设计参数F的故障状态进行控制；其中

均为0和1两个状态，当其状态为0时，则为正常的性能模型，当其状态为1时，则切换为故障状态表达式，软件工具对故障状态模式下的参数进行仿真。

6.根据权利要求1所述的基于性能模型 的***安全性分析方法，其特征在于：所述步骤S2.4故障的触发控制是通过函数对故障和正常的性能模型进行控制仿真，针对传递函数的状态，建立以下方程，结合图形化建模语言和可编程逻辑进行描述；

其中，τ_iq与τ_iqf为正常状态与故障状态的控制因子，一般将其置为0或者1进行相应的故障状态控制。

Images