基于有限状态机的安全性仿真技术

王 蓓 赵廷弟 焦 健

(北京航空航天大学 可靠性与系统工程学院,北京 100191)

基于有限状态机的安全性仿真技术

王 蓓 赵廷弟 焦 健

(北京航空航天大学 可靠性与系统工程学院,北京 100191)

为了研究系统中事故的动态变化机理,探索事故发展过程中的运动行为,制定正确的应急控制措施,提出了基于有限状态机理论的安全性建模仿真方法.结合 Simulink/Stateflow工具开发了面向事故机理与应急过程的建模仿真平台,实现了系统的机理模型、安全状态控制模型以及应急操作模型的有效融合.该平台能实现对人-机-环境综合系统进行动态仿真,为明确事故的动态变化过程和制定应急控制措施提供依据.通过对某舰船舱室事故过程的仿真实例,验证了该方法的有效性和合理性.

安全性;仿真;有限状态机;Simulink;Stateflow

事故过程机理分析在系统安全性分析工作中有着重要地位,是进行安全性研究工作的基础.系统如何从安全状态演化到事故状态的运动特性是事故过程机理研究中的根本问题,是制定事故应急预案的基础.

上世纪 20年代以来,人们就致力于事故机理的研究,从 M.Greenwood和 H.Woods提出的基于统计的事故频发倾向论,H.W.Heinrich的工业安全原理,到 60年代 Gibson和 Haddon的能量转移论,以及 Benner等人的扰动理论等[1-2],为事故理论研究提供了一定的依据.但他们大多是从理论层面静态地分析事故的成因,而安全性仿真技术为事故过程的动态性研究提供了新的途径.

安全性仿真的机理是基于系统的动态性,要完整认识事故,需要系统地研究发生事故的运动特征.事故发生的原因来自于系统的不安全状态,而事故发展的过程则体现了系统状态的动态变化,从原因到事故的演化过程是系统运动规律决定的一种内在关系[3].通过仿真能明确由某种危险征兆所引发的状态变化过程的运动行为.对这种具有离散特征的动态行为,有限状态机提供了一种有效的建模思路[4-6].

因此,提出基于有限状态机原理的安全性仿真技术,通过建立系统使用过程安全性模型,结合Simulink/Stateflow软件平台,进行事故发展机理与应急过程的仿真,系统的研究事故的发展过程机理与动态行为,从而实现事故发展过程中的系统状态的运动特性和人机交互应急处理过程的动态模拟,为建立正确的应急措施提供依据.

1 有限状态机原理

有限状态机是指在系统中有可数的状态,在某些事件发生时,系统从一个状态转换到另一个状态,又称为事件驱动系统.

一个有限状态机 M定义为一个 6元组:

其中,∑为输入集合;O为输出集合;S为 M中有限状态的集合;S0为初始状态的集合;Δ(s,x)为状态转移函数为输出函数;集合 ∑,O,S定义为非空集合;Δ和 Λ是多输出的布尔函数:

它们定义了有限状态机的状态转移图.

式中,x1,…,xm为当前的状态变量;w1,…,wk为原始的输入变量;y1,…,ym为有限状态机的下个状态变量.

有限状态机可以用图形和表格的形式清晰直观的表现,如图 1所示,它是用两状态转移图表示的一个有限状态机的简图.图中,用圆表示状态(State),用带方向的弧表示一个状态到另一个状态之间的转移,并在每个弧上放置相关联的输入变量(Input)和输出行为(Action)[8].

图 1 有限状态机简图

为了清晰地描述有限状态机的状态转移逻辑,可以用状态转移表来表示.表 1是与图 1对应的状态转移表.状态转移表是一种比状态转移图更严格的表示方式,便于有限状态机的软件实现.

表 1 状态转移表

有限状态机方法可以对具有离散特征的系统进行紧凑而有效的再现.通过有限状态机能实现对真实数字系统的建模和监控,不管是在硬件控制领域,还是在一些逻辑综合的领域,有限状态机方法都有很多成功的应用.

2 基于有限状态机安全性仿真模型

有限状态机建模方法能充分反映系统的动态特征和状态转移特性,其高效的建模能力为探索事故发展的规律提供了新的平台.

2.1 系统的动态性分析

系统是一个包含了人员、工序、物资、设备、设施和软件的集成.每个子系统互相有接口,实现各自的功能,整个系统处于某个环境或边界中,有明确的目标输出.

在系统安全性分析工作中,通常用 5M模型(见图 2)反映系统各组分的接口关系.

5M模型体现了系统组成成分的静态关系.系统的使用过程是一个人-机-环境动态协调的过程,除了考虑系统组成的静态关系,还需要研究系统状态的动态变化.系统使用过程的安全性研究必须着眼于系统动态过程,探索事故发生的原因、发展规律,并明确其控制措施.

图 2 5M模型[9]

事故的发生和发展与系统的状态紧密相关.事故原因体现在系统的组成成分和结构所处的状态,以及它们之间的联系与作用.在系统的使用过程中,人、设备、环境处于同一回路,由于人的失误、设备故障或环境变化易导致整个系统的输出发生变化,当系统的状态超出安全限度时,系统则丧失稳定性,从而发生事故.

因此,事故是系统运动的一种表现形式,系统的状态变化可以用某一时间段内的时间线图[10]来描述,如图 3所示.

图 3 系统的状态-时间特性

图 3中,Si为系统中组分 i的状态;S=(S1,S2,S3,…,Sn)为系统的状态矢量.

分析系统的使用过程中的状态-时间特性便于了解系统的动态特征,能针对系统使用过程中的事故发展机理进行系统化的分析和研究.

2.2 安全性建模与仿真

有限状态机可以用图形化的方式系统化地实现给定输入和输出的映射关系[11].

2.2.1 模型假设

根据有限状态机的规则,定义其组成元素——状态 S、输入事件 X、输出 Y、状态转移函数f以及输出函数 g.在安全性仿真模型中,对这些元素进行如下的假设:

1)状态(S).系统的工作/异常状态.例如系统正常运行、工作异常、停机、过热、燃烧 (火灾)等等状态.

2)输入事件(X).输入事件定义为 3类:A类事件——系统的组件失效;B类事件——人员操作;C类事件——系统所处的环境变化.随着输入事件的发生,触发系统的状态转移的执行.

3)输出(Y).模型的输出定义为系统使用过程中需监测的物理量,如温度、压力、速度等.

4)状态转移函数(f).状态转移函数定义为由当前状态转移到下一状态的判定函数,它与状态、时间之间的关系为

其中,X(t)∈X,S(t+1),S(t)∈S.状态转移函数构成了状态转移的执行条件.

5)输出函数(g).输出函数定义为当前状态与输出之间的映射关系,可用下式表达:

其中,Y(t)∈Y.

2.2.2 模型描述

基于有限状态机的安全性模型用图形化的方式表达如图 4所示.

图 4 基于有限状态机的安全性模型示意图

由图 4可见,在系统的使用过程中,系统从初始状态 S0开始运行,随着时钟的推进,输入事件发生,当满足一定的条件时进行状态的转移,系统的输出也随之发生变化,当系统的状态变化超出规定的安全界限则发生事故.在此模型中,体现了人-机-环境协调的时序动态性.

2.2.3 仿真实现

为了实现基于有限状态机的安全性模型的动态仿真,将 Stateflow和 Simulink环境综合在一起进行建模、仿真和分析.Stateflow生成的逻辑可以直接嵌入到 Simulink模型,也可以通过定义输入输出接口和 Simulink进行交互[12-13],因此,该平台适合于构建安全性仿真系统.

Stateflow与 Simulink环境下建立的安全性仿真模型如图 5所示,体现了在 Simulink/Stateflow环境中进行建模与仿真的基本结构,它是一个人在回路的闭环仿真系统.

图 5 Simu link/Stateflow平台下的仿真模型

仿真的输入是系统使用过程的相关数据信息,Simulink构建的是离散事件模型和连续系统模型,分别处理逻辑信号和连续变化机理.Stateflow中构建的是系统的状态变化逻辑模型.时钟模块分别向输入数据处理模块和 Stateflow模块转递时钟信息.操作人员依据 Stateflow模块的实时输出进行判断与决策,通过人机交互模块执行应急操作,形成反馈,为 Stateflow提供新的输入,从而驱动新的状态转移的执行.

运用 Simulink/Stateflow能实现系统状态的动态控制,其图形化建模方法将整个仿真运行过程清晰而生动的再现出来,为研究事故过程的动态机理提供了平台.

3 仿真与分析

以某产品发电机舱的某一事故过程为例,说明该建模仿真方法的应用过程.

3.1 事故过程描述

某一事故过程为:发电机在运行过程中因出现某种故障而产生过热现象,如果操作人员及时发现并将电源切断,则发电机舱进入安全状态,若操作人员未发现,发热到达一定程度可能引起机体附属设施局部着火,此时,电机操作人员可启动灭火器灭火,如果操作人员未及时熄灭火势,将会引起舱内其他设施着火,若火势继续扩大,则会引起火灾自动报警装置鸣响,须疏散全部人员.

3.2 假设条件

对该事故过程中相关的关键系统组件与物理量假设如下:

1)电机过热的底事件为:电机故障(x1)或电机过电流(x2),其故障率分别为 λx1=0.069/h,λx2=0.014/h.

2)电机过热导致外壳温度增长,温升公式为

其中,T0为电机正常工作温度,满足 110～130℃的均匀分布,环境温度设为 20℃.当壳体温度达500℃以上时,将达到舱室燃点.

3)舱室开始燃烧后,燃烧放热模型采用美国消防协会 NFPA指出的早期火灾增长公式:

式中,Qf为火源热释放速率,kW;t为火灾发展时间,s;α为火源热释放率增长系数,kW/s2,对于快速火,取值为 0.044kW/s2.当火源热释放速率 Qf达到 2MW后,舱室火灾报警器开始鸣响.

4)此过程依次有两大应急措施:措施Ⅰ——人员切断电源,措施Ⅱ——手动灭火.两大操作设定为只有成功与失败两种情况,模型中体现为布尔量 1与 0.

5)舱室火灾报警器可靠度为 0.95.

3.3 仿真模型

根据假设条件,在 Simulink中构建仿真模型,如图 6所示.构成该仿真模型的子模块包括:系统状态变量的连续时间模型、应急操作手动模型、时钟模型、Stateflow状态变化逻辑模型(如图 7所示),并在 Scope模块中显示仿真运行过程中输出的状态-时间曲线.

图 6 发电舱事故模拟与应急过程的Simulink模型

图 7 Stateflow模型

在此平台下运行仿真,设定时钟脉冲触发周期为 2 s,选取 3次典型的仿真过程:

1)在第 1次仿真中,人机反馈系统不工作,反映了在无应急措施情况下事故发展的过程;

2)第 2次仿真中,当电机过热开始升温后,采取应急措施Ⅰ——切断电源;

3)在第 3次仿真中,电机过热后,未采取措施Ⅰ,当舱室附属设施开始燃烧即热释放率开始增长后,采取应急措施Ⅱ——手动灭火.

3.4 仿真结果分析

将 3次仿真中 Scope模块输出曲线整合后如图 8所示,图中的仿真曲线体现了采取应急措施前后的系统状态变化情况的对比.

在图 8中,第 1次仿真曲线再现了事故过程中系统的状态-时间变化:在 t=0s,系统为正常状态,在 t=21s时刻,发电机故障,温度开始增加,此时发电机状态为 A11(21,120),在 t=21 s时刻,达到临界状态 A12(68,500).此后,燃烧热释放率从 B11(21,0)开始增加,在 t=269s时刻,达到火灾警戒状态 B12(269,2000),此时,报警器状态为C1(269,1),即发出火灾警报.

第 2次仿真曲线中,在发电机升温的过程中发生应急操作Ⅰ切断电源(图中 D2(57,1)),因此在 t=57 s时刻,发电机状态曲线出现拐点A22(57,304),此后发电机温度降为环境温度20℃.系统进入安全状态.

第 3次仿真曲线中,在燃烧热释放率增加过程中发生应急操作Ⅱ手动灭火(图中 E3(164,1)),因此在 t=164 s时刻,燃烧状态曲线拐点出现在图中的 B3(164,289),此后,燃烧热释放率下降为 0,即火灾停止,系统进入安全状态.

仿真结果反映了事故发展过程中系统的状态变化行为,即该发电舱由出现故障到发生火灾事故的整个过程中的状态变化,以及用户通过采取不同的应急操作对系统状态变化的监控作用,从而保证系统向安全状态转移.该模型再现了整个事故发展的过程,并为用户的应急操作提供了平台,实现了对系统中状态变化行为的动态监控.

图 8 3次仿真过程中系统的状态-时间变化曲线

4 结 论

本文提出了基于有限状态机的安全性仿真方法,并进行了深入的研究,主要结论如下:

1)在系统地研究事故的动态时间特性的基础上,将有限状态机理论融入安全性建模思想,仿真模型适用于展现事故发展过程的动态机理.

2)基于 Simulink/Stateflow的仿真平台实现技术的成功开发,实现了系统的机理模型、安全状态控制模型以及应急操作模型的有效融合.为明确事故过程的动态行为、制定应急措施提供了依据,弥补了现有的安全性分析方法在事故动态性研究方面的不足.

3)某产品发电舱事故过程的实例仿真,从事故逻辑上真实地反映了事故发展的过程,验证了基于有限状态机的安全性仿真方法的有效性.

References)

[1]陈宝智.危险源辨识评价与控制[M].成都:四川科学技术出版社,1996 Chen Baozhi.Hazard source identification,assessment and control[M].Chengdu:Sichuan Technology Press,1996(in Chinese)

[2]Badreddin E,Abdel-geliel M.Dynam ic safety margin principle and application in control of safety critical systems[C]//Proceedingsof the 2004 IEEE International Conference on Control Applications.Taipei,Taiwan:Concentration Banking Info,2004:689-694

[3]袁大祥,柯丹丹.事故的系统论[J].系统工程学报,2004,19(2):183-187 Yuan Daxiang,Ke Dandan.System theory of accident[J].Journalof System Engineering,2004,19(2):183-187(in Chinese)

[4]Hyunwoo Cho,Gary D Hachtel,Enrico Macii.Algorithms for approximate FSM traversal based on state space decomposition[J].IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems,1996,15(12):1465-1478

[5]Anastasios T Bouloutas,George W Hart,Mischa Schwartz.Fault identification using a finite state machine model with unreliable partially observed data sequences[J].IEEE Transactions on Communications,1993,41(7):1074-1083

[6]Chen Yiliang,Lin Feng.Safety control of discrete event systems using finite state machines with parameters[C]//Proceedings of the American Control Conference.Arlington:American Auotmatic Control Council,2001:975-980

[7]Gary D Hachtel,Enrico Macii,Abelardo Pardo,et al.Markovian analysis of large finite state machines[J].IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems,1996,15(12):1479-1493

[8]Drumea A,Popescu C.Finite state machines and their applications in software for industrial control[C]//27th Int'l Spring Seminar on Electronics Technology.Bucharest,Romaina:IEEE,2004

[9]James H Williams.NAS system engineering manual version3.1[M].FAA System Engineering Council,2006:47-60

[10]Sameer Vittal,Michel Teboul.Performance and reliability analysis of wind turbinesusing Monte Carlo methods based on system transport theory[C]//13th AIAA/ASME/AHS Adaptive Structures Conference.Austin,Texas:Alexander Bell Drive,2005

[11]Martin JIppel.Mental modelsas finite-state machines:examples and computational methods[R].AL/HR-TR-1997-0179,1997

[12]陈桂明,张明照,戚红雨,等.应用 MATLAB建模与仿真[M].北京:科学出版社,2001 Chen Guim ing,Zhang Mingzhao,Qi Hongyu.et al.Apply MATLAB to modeling and simulation[M].Beijing:Science Press,2001(in Chinese)

[13]黄永安,马路,刘慧敏.MATLAB7.0/Simulink6.0建模仿真开发与高级工程应用[M].北京:清华大学出版社,2005:236-256 Huang Yongan,Ma Lu,Liu Huimin.MATLAB 7.0/Simulink6.0 modeling simulation and advanced engineering application[M].Beijing:Tsinghua University Press,2005:236-256(in Chinese)

(编 辑 :娄 嘉)

Safety simulation technology based on finite state machine

Wang Bei Zhao Tingdi Jiao Jian

(School of Reliability and Systems Engineering,Beijing University of Aeronautics and Astronautics,Beijing 100191,China)

The safety modeling and simulation method based on finite state machine theory was proposed to research the dynamic change mechanism of the accident in system,as well as explore the movement during the accidentevolution and establish exactemergency treatment.The modeling and simulation platform for accident mechanism and control process was developed in the environment of Simulink/Stateflow.The combination of system mechanismmodel,safety state control model and emergency treatment model can be achieved in this platform.Therefore the dynamic simulation for such systems that integrated with human-machine and environment can be implemented in an effective way.Then the simulation results can be obtained,which provide reference for the precise identification of the accident process and the establishment of exact control treatment.Finally the accident simulation examp le was given,which proved the validity and rationality of this proposed method.

safety;simulation;finite state machine;Simulink;Stateflow

N 945

A

1001-5965(2011)04-0428-05

2010-01-22

王 蓓(1985-),女,湖北武汉人,硕士生,wangbei3414@126.com.