一种发动机系统安全性分析方法、系统及电子设备

1.本发明涉及系统安全分析技术领域，特别是涉及一种发动机系统安全性分析方法、系统及电子设备。


背景技术：

2.现代高科技的快速发展，给人们带来自动化、信息化、便捷化的现代实用系统，同时也给复杂发动机系统的安全性设计、安全性分析提出了严峻挑战。这些复杂发动机系统的安全性要求更高、安全影响因素更多、安全因素之间的关联性更强，尤其在系统交联、功能交互等方面引起的系统性风险愈加突出。传统的安全性分析方法主要包括故障树分析(fault tree analysis，fta)、故障模式及影响分析(failure mode effects analysis，fmea)、共因分析(canonical correlation analysis，cca)、可靠性框图(rbd)等，由于这些传统安全性分析方法主观性较强，分析结果的准确性高度依赖专家的自身水平，难以有效捕捉发动机系统错综复杂的功能和故障交互关系。基于模型的安全性分析(microsoft baseline security analyzer，mbsa)被认为是解决以上问题的有效途径。与直接通过人工演绎建立fta、rbd模型等不同，基于模型的安全性分析强调的是建立一个系统功能与安全性的综合模型，该模型需要在定义系统正常行为的同时，同步描述系统的故障行为，从而可以使用自动化、半自动化方式导出fta、rbd等模型，或者可以通过故障注入、仿真等手段执行安全性分析。
3.但从现有研究结果来看，mbsa技术所考虑的发动机系统危险类型是有限的，其主要考虑的是由于“系统功能硬件失效”导致的相关危险，侧重于分析功能-物理架构层面的安全性问题，对于复杂发动机系统的安全性问题，通常未能捕捉部件状态间的不良交互带来的影响或后果，难以从发动机系统层面的宏观角度挖掘潜在的风险因素，进而难以确定发动机系统的安全边界。


技术实现要素：

4.为解决现有技术存在的上述问题，本发明提供了一种发动机系统安全性分析方法、系统及电子设备。
5.为实现上述目的，本发明提供了如下方案：
6.一种发动机系统安全性分析方法，包括：
7.基于待分析发动机系统的物理框架将所述待分析发动机系统中的预设部件抽象为有限状态机；
8.基于待分析发动机系统的工作原理和所述物理框架、所述有限状态机构建有限状态机网络模型；
9.基于所述有限状态机网络模型构建待分析发动机系统的系统状态转移网络；
10.基于所述系统状态转移网络确定待分析发动机系统的安全分析因素；所述安全分析因素包括：安全风险、失效传播路径和/或故障树；
11.基于所述安全分析因素得到待分析发动机系统的安全性分析结果。
12.可选地，基于待分析发动机系统的工作原理和所述物理框架、所述有限状态机构建有限状态机网络模型，具体包括：
13.基于所述物理框架和所述工作原理确定各有限状态机间的有向连边；
14.以有限状态机为顶点，以所述有向连边为边构建所述有限状态机网络模型。
15.可选地，基于所述有限状态机网络模型构建待分析发动机系统的系统状态转移网络，具体包括：
16.基于有限状态机网络模型中各有限状态机的输入状态和功能输出状态定义状态转移规则；
17.基于所述状态转移规则构建所述系统状态转移网络。
18.可选地，定义的状态转移规则为：
[0019][0020]
其中，表示t时刻第i个有限状态机的全部输入，q
p
表示第一状态阈值，q
p-1
表示第二状态阈值，表示t时刻第i个有限状态机的内部状态，表示t+1时刻的第i个有限状态机的功能输出状态，r'表示输出正常功能。
[0021]
可选地，基于所述系统状态转移网络确定待分析发动机系统的安全风险，具体包括：
[0022]
基于所述系统状态转移网络确定待分析发动机系统的系统稳态；所述系统稳态为所述系统状态转移网络中所有随时间不再发生转移的系统状态；
[0023]
基于各系统稳态的失效程度和安全需求确定各系统稳态的安全等级；
[0024]
确定最终指向各系统稳态的系统初始状态，并基于各系统稳态的安全等级，将所述系统初始状态划分为多个不同安全等级的安全域；
[0025]
考察任一系统初始状态，根据这一系统初始状态所在安全域的安全等级确定该系统初始状态的安全风险。
[0026]
可选地，基于所述系统状态转移网络确定待分析发动机系统失效传播的关键路径，具体包括：
[0027]
基于所述系统状态转移网络确定系统状态的转移轨迹和流量，并确定转移轨迹的收敛性；所述转移轨迹为从系统任一状态到系统稳态的轨迹；
[0028]
根据所述转移轨迹的收敛性挖掘待分析发动机系统失效传播的关键路径。
[0029]
可选地，基于所述系统状态转移网络确定待分析发动机系统的故障树，具体包括：
[0030]
基于所述系统状态转移网络，遍历引起顶事件发生的所有状态转移轨迹；所述顶事件为不满足预设安全性需求的系统状态；
[0031]
基于所述系统状态转移网络确定引起顶事件发生的所有中间事件；
[0032]
基于所述系统状态转移网络确定引起所述中间事件发生的所有底事件；
[0033]
根据所述顶事件、所述中间事件和所述底事件构建所述故障树。
[0034]
可选地，还包括：
[0035]
基于所述故障树追溯得到所述顶事件发生的原因。
[0036]
根据本发明提供的具体实施例，本发明公开了以下技术效果：
[0037]
本发明构建有限状态机网络模型可以更清晰精准地描述发动机系统功能状态的转移特征以及系统失效的传播规律。基于系统状态转移网络能够精确确定三类主要的安全分析因素，以在实际应用过程中，通过确定安全风险尽早识别系统初始状态的潜在风险；通过挖掘出系统失效传播的关键路径，便于提前进行风险防控，阻止系统失效的大范围扩散；通过生成故障树，能够有针对性地面向系统安全需求对风险事件发生的原因及规律进行诊断，进而能够解决现有安全性分析方法主观性因素较强或难以捕捉部件状态间的不良交互带来的影响等问题，精确确定发动机系统的安全边界。
[0038]
此外，本发明还提供了以下实施结构：
[0039]
一种发动机系统安全性分析系统，应用于上述提供的发动机系统安全性分析方法；所述系统包括：
[0040]
有限状态机抽象模块，用于基于待分析发动机系统的物理框架将所述待分析发动机系统中的预设部件抽象为有限状态机；
[0041]
有限状态机网络模型构建模块，用于基于待分析发动机系统的工作原理和所述物理框架、所述有限状态机构建有限状态机网络模型；
[0042]
有限状态机网络模型构建模块，用于基于所述有限状态机网络模型构建待分析发动机系统的系统状态转移网络；
[0043]
安全分析因素确定模块，用于基于所述系统状态转移网络确定待分析发动机系统的安全分析因素；所述安全分析因素包括：安全风险、失效传播路径和/或故障树；
[0044]
安全分析模块，用于基于所述安全分析因素得到待分析发动机系统的安全性分析结果。
[0045]
一种电子设备，包括：
[0046]
存储器，用于存储计算机程序；
[0047]
处理器，与所述存储器连接，用于调取并执行所述计算机程序以实施上述提供的发动机系统安全性分析方法。
[0048]
因本发明提供的上述两种实施结构与本发明提供的发动机系统安全性分析方法实现的技术效果相同，故在此不再进行赘述。
附图说明
[0049]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0050]
图1为本发明提供的发动机系统安全性分析方法的流程示意图。
具体实施方式
[0051]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0052]
本发明的目的是提供一种发动机系统安全性分析方法、系统及电子设备，能够解决现有安全性分析方法主观性因素较强或难以捕捉部件状态间的不良交互带来的影响等问题，进而能够精确确定发动机系统的安全边界。
[0053]
为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
[0054]
如图1所示，本发明提供的发动机系统安全性分析方法，包括：
[0055]
步骤a、分析待分析发动机系统，构建有限状态机网络模型。
[0056]
对建模对象(即待分析发动机系统)进行分析，依据建模对象的物理框架和工作原理，将建模对象中的各关键部件(可以根据实际分析需求设定)抽象为有限状态机，依据部件间的物理连接关系和功能依赖关系(即工作原理)，构建建模对象的有限状态机网络模型，具体步骤如下：
[0057]
步骤a1、依据建模对象的具体结构，将其各部件抽象为有限状态机m。
[0058]
设建模对象共有n个关键部件，将每个关键部件作为有限状态机表示为m＝《x
t
,s
t
,y
t
》，其中，x
t
表示t时刻有限状态机的输入参数，s
t
表示t时刻有限状态机的内部状态，y
t
表示t时刻有限状态机的功能输出状态。y
t
的取值与x
t
、s
t
有关，t+1时刻有限状态机的内部状态s
t+1
的取值也与x
t
、s
t
有关，即y
t
＝f(s
t
,x
t
)，s
t+1
＝g(s
t
,x
t
)，其中函数f(
·
)与g(
·
)分别表示状态转移规则。
[0059]
步骤a2、根据有限状态机m构建有限状态机间的连边集合e。
[0060]
如果关键部件i和关键部件j有物理连接关系，且关键部件j的功能完成依赖于关键部件i的功能完成，则认为关键部件i是关键部件j的上一级部件，关键部件j是关键部件i的下一级部件，建立由关键部件i(有限状态机mi)指向关键部件j(有限状态机mj)的有向连边(弧)e
ij
，构成连边集合e。
[0061]
步骤a3、基于有限状态机和连边集合构建有限状态机网络模型g
sys
。
[0062]
根据步骤a1和步骤a2，将建模对象，构建为有限状态机网络模型g
sys
＝《m(g),e(g)》，其中m(g)＝{m1,m2,
…
,mn}为网络顶点集，为关键部件i的有限状态机模型，e(g)＝{e
ij
，e
ij
≠e
ji
}为网络弧集，e
ij
为mi到mj的弧，e
ji
为mj到mi的弧。下面将有限状态机网络模型g
sys
简称为系统g
sys
。
[0063]
步骤b、基于有限状态机网络模型，构建待分析发动机系统的系统状态转移网络。
[0064]
基于步骤a中所建立的有限状态机网络模型，定义各有限状态机的内部状态和功能输出状态的状态转移规则，通过遍历所有待分析发动机系统中可能状态的转移轨迹，构建待分析发动机系统的系统状态转移网络。通过计算系统状态转移网络中的吸引子，划分系统状态的安全域，以判定系统状态的潜在安全风险，具体步骤如下：
[0065]
步骤b1、定义有限状态机m的内部状态s。
[0066]
基于步骤a中所建立的有限状态机网络模型，设每个有限状态机mi共有r+1个内部状态，集合表示为s＝{0,1,
…
,r}(r》0)，其中0表示失效状态，r表示正常工作状态，其他数
值表示介于失效和正常工作之间的中间态，且数值越大，有限状态机mi的内部状态越好。
[0067]
步骤b2、定义有限状态机的功能输出状态y。
[0068]
基于步骤b1定义的有限状态机的内部状态，设每个有限状态机mi相对应地有r'+1个功能输出状态，集合表示为y＝{0,1,
…
,r'}(r'＝r)，其中0表示无法输出功能，r'表示可以输出正常功能，其他数值表示介于无法输出功能和能够输出正常功能之间的中间态，且数值越大，有限状态机输出的功能状态越好。该定义过程最终为了定义系统状态，进而构建系统的系统状态转移网络。
[0069]
步骤b3、根据系统及各部件的工作原理，定义各有限状态机的状态转移规则。
[0070]
根据步骤b1和步骤b2，令有限状态机mi在t(t》0)时刻的功能输出状态等于该时刻的内部状态，即表示有限状态机的功能输出状态与内部状态一致，内部状态越好，则输出的功能状态越好，反之亦然。其次，根据系统g
sys
＝《m(g),e(g)》，若存在从有限状态机mj到有限状态机mi的弧e
ji
，则令有限状态机mj在时刻t的输出为有限状态机mi在时刻t的输入即如果没有到mi的弧，则认为其在时刻t的输入为0，即令t+1时刻有限状态机mi的功能输出状态遵循状态转移规则:
[0071][0072]
其中，表示t时刻第i个有限状态机的全部输入，q
p
表示第一状态阈值，q
p-1
,
……
,q
p-j
表示第p-j个状态阈值，表示t时刻第i个有限状态机的内部状态，表示t+1时刻的第i个有限状态机的输出状态，r'表示输出正常功能。
[0073]
1)这里的参数和公式给出了部件的功能输出状态的状态转移规则，这个规则刻画了部件功能输出状态随时间的变化情况，可以得到每个时刻部件的功能输出状态。
[0074]
2)步骤b4中的状态就是在这里的参数和规则下得到的。
[0075]
步骤b4：根据步骤b3的状态转移规则构建系统状态转移网络。
[0076]
给定各有限状态机mi的初始内部状态系统g
sys
的初始状态表示为n维向量根据步骤b3的状态转移规则，各有限状态机的功能输出状态会随时间发生转移，记t时刻系统g
sys
的状态为sys
t
，遍历所有可能的系统内部初始状态，将每一时刻的系统状态作为一个节点，若下一时刻系统状态发生转移，则建立当前时刻状态指向下一时刻状态的有向连边。系统的全部状态及状态间的连边构成系统状态转移网络。
[0077]
步骤c、基于系统状态转移网络，划分系统状态安全域，以挖掘系统状态的潜在安全风险。
[0078]
步骤c1、定义并统计系统稳态。
[0079]
定义系统稳态为系统状态转移网络中所有随时间不再发生转移的系统状态，即对
于每个系统初始状态如果t时刻系统状态与t+1时刻状态相等，即则状态则状态为系统的一个稳态(也称之为吸引子)，设待分析发动机系统共有v个稳态。
[0080]
步骤c2、基于系统稳态划分不同等级的系统状态安全域。
[0081]
根据步骤b4中系统状态的定义，不同系统稳态反映了不同失效程度，依据各系统稳态的失效程度和实际安全需求，将这v个系统稳态分为a个安全等级，即lev1,lev2,
…
,leva。基于步骤b4构建的系统状态转移网络，根据最终指向各系统稳态的系统初始状态和该稳态所属的安全等级，将全部系统初始状态划分为a个不同安全等级的安全域。
[0082]
步骤c3、基于系统状态安全域挖掘潜在的系统安全风险。
[0083]
考察系统任意的初始状态，根据其所在安全域的安全等级，判定该系统初始状态的安全性，即所在安全域的安全等级越高，该系统初始状态越安全，其潜在的安全风险越小，反之，其潜在的安全风险越大。
[0084]
步骤d、基于系统状态转移网络，分析状态转移轨迹的收敛性，挖掘系统失效传播的关键路径。
[0085]
系统状态的收敛性为该状态的转移轨迹与经过该状态的所有其他状态转移轨迹的重叠程度。计算各系统状态转移轨迹的收敛性，收敛性高的轨迹即为系统失效传播的关键路径，具体步骤如下：
[0086]
步骤d1、定义系统状态的转移轨迹和流量。
[0087]
定义系统状态h到状态k的转移轨迹a
h,k
为在一个时间步长内由系统状态h指向状态k的有向连边，因此，假设从系统状态l到其吸引子(即系统稳态)的轨迹共有m
l
步，则从系统状态l到其吸引子的轨迹共包含a
k-1,k
(k＝1,2,
…
,m
l
)个有向连边。定义通过有向连边a
h,k
的总流量为t
h,k
。t
h,k
表示从所有初始系统状态出发的通过a
h,k
的状态转移轨迹总数。
[0088]
步骤d2、基于系统状态的转移轨迹和流量，计算转移轨迹的收敛性。
[0089]
设待分析发动机系统共有z个系统状态，对于每一个系统状态l的转移轨迹的收敛性w
l
，其计算公式为：
[0090][0091]
也就是w
l
度量了系统状态l的转移轨迹与经过系统状态l的所有其他状态转移轨迹的重叠程度，w
l
的值越大，表示系统状态l的转移轨迹与经过系统状态l的所有其他状态转移轨迹的重叠程度越大，其轨迹收敛性越高，认为系统状态l的转移路径越关键。
[0092]
步骤d3、根据轨迹收敛性挖掘系统失效传播的关键路径。
[0093]
计算每个系统状态l的w
l
值，并按w
l
值由高到低的顺序对所有系统状态进行排序，排序较前的系统状态的转移轨迹即为系统失效传播的关键路径。系统失效传播的关键路径反映了系统失效传播的典型规律和重大安全风险特征，实际操作中，技术人员通过有针对性地对失效传播关键路径上的系统状态进行防御和控制，可以有效阻止系统失效的大范围扩散。
[0094]
步骤e、基于系统状态转移网络中失效状态的组合，构建故障树。
[0095]
确定待分析发动机系统的安全性需求，将不满足安全性需求的系统状态作为顶事件，遍历步骤d1中定义的转移轨迹得到所有引起顶事件发生必须的最低限度的初始状态组
合，生成系统故障树，具体步骤如下：
[0096]
步骤e1、根据系统安全性需求，定义故障树的顶事件。
[0097]
根据系统的实际运行情况或按照所分析发动机系统的相关安全规章，确定系统的安全性需求，将不满足该安全性需求的系统状态作为故障树的顶事件。例如，对于航空发动机系统，安全规章中规定的安全需求之一是“系统能够正常输出动力”，则可将“系统无法正常输出动力”的系统状态作为故障树的顶事件，之后进一步探究导致该顶事件发生的条件。
[0098]
步骤e2、基于系统状态转移网络，计算引起顶事件发生的所有中间事件。
[0099]
基于系统状态转移网络，遍历所有导致顶事件发生的系统状态，计算得到引起顶事件发生必须的最低限度的状态组合，计算规则如下：将所有导致该顶事件发生的系统状态进行两两比较，即对于任意两个系统状态与如果对于任意系统状态l，有则保留状态sys
1,0
，删除状态sys
2,0
，否则状态sys
1,0
和sys
2,0
都保留。最终剩余的系统状态即为引起顶事件发生必须的最低限度的状态组合，将这些状态用逻辑门中的“或”门连接到顶事件，记这些状态组合为故障树的中间事件。
[0100]
步骤e3、基于系统状态转移网络和步骤e2中给出的计算规则，计算引起中间事件发生的所有底事件。
[0101]
基于系统状态转移网络，使用步骤e2中给出的计算规则，遍历所有导致每个中间事件发生的系统初始状态，计算得到引起每个中间事件发生必须的最低限度的初始状态组合，将这些初始状态用“或”门连接到各个中间事件，记这些状态组合为故障树的底事件。
[0102]
步骤e4：生成系统故障树，对风险事件进行诊断。
[0103]
基于步骤e2和步骤e3，生成了由顶事件、中间事件和底事件组成的故障树，根据故障树，可以找到导致某不安全事件(顶事件)发生的所有中间事件组合，进一步找到引发中间事件的底事件组合，从而追溯到引起顶事件发生的最根本事件，实现对系统风险事件的诊断。
[0104]
步骤f：通过以上步骤a-步骤e，对待分析发动机系统进行安全性分析，输出至少三类安全性分析结果。
[0105]
其中，
①
划分不同安全等级的系统状态安全域，能够尽早识别发动机系统初始状态的潜在风险。
②
挖掘出发动机系统失效传播的关键路径，便于提前进行风险防控，阻止发动机系统失效的大范围扩散。
③
生成故障树，能够有针对性地面向发动机系统安全需求对风险事件发生的原因及规律进行诊断。
[0106]
基于上述描述，在具体应用过程中，用户可以根据实际的安全性分析需求，查看上述三类安全性分析结果中的任意结果，例如：
[0107]
在待分析发动机系统的设计阶段，用户可以基于上述步骤c划分的不同安全等级的系统状态安全域，识别系统初始状态的潜在风险，进而为系统的安全设计提供指导意义。
[0108]
或者，在系统运行阶段，为了考察系统当前状态可能引发的一系列风险事件，用户可以基于步骤d挖掘出的系统失效传播的关键路径，或基于步骤c划分的不同安全等级的系统状态安全域进行安全性分析，以能够在系统运行阶段考察系统当前状态可能引发的一系列风险事件，反映发动机系统的失效机理，从而让用户(或工作人员)更及时地对当前发动
机系统的薄弱环节提前进行重点防控，进而阻止系统失效的大范围扩散。
[0109]
再或者，在系统的设计和运行过程中的任意阶段，用户可以基于上述步骤c划分的不同安全等级的系统状态安全域、步骤d挖掘出的系统失效传播的关键路径或步骤e生成的故障树中的至少一种分析结果，得到系统全生命周期中能够反映风险事件的诱因和演化规律，使工作人员可以更有针对性地根据系统安全需求对风险事件进行诊断和预防，进而为系统的安全设计、安全运行提供重要依据。
[0110]
下面以采用本发明上述提供的方法对某型航空涡扇发动机系统进行安全性分析为例，对本发明上述提供的方法的实施过程和优点进行说明。
[0111]
采用本发明上述方法对某型航空涡扇发动机系统进行安全性分析的过程为：
[0112]
步骤1、分析发动机系统，构建有限状态机网络模型。
[0113]
对建模对象，即航空涡扇发动机系统进行分析，依据涡扇发动机系统的物理框架和工作原理，将发动机中的各关键部件(主要包括进气道、风扇、压气机、燃烧室、高压涡轮、低压涡轮、外涵道、尾喷管)抽象为有限状态机，依据部件间的物理连接关系和功能依赖关系，构建涡扇发动机系统的有限状态机网络模型。以上过程的具体步骤如下：
[0114]
步骤1-1、依据涡扇发动机系统的具体结构，将进气道、风扇、压气机、燃烧室、高压涡轮、低压涡轮、外涵道、尾喷管等8个关键部件抽象为有限状态机。将每个关键部件作为有限状态机表示为m＝《x
t
,s
t
,y
t
》。
[0115]
步骤1-2、根据8个有限状态机构建有限状态机间的连边e。具体构建方式见上述步骤a2。
[0116]
步骤1-3：基于有限状态机和连边构建有限状态机网络模型g
sys
。根据步骤1-1和步骤1-2，将涡扇发动机系统构建为有限状态机网络模型g
sys
＝《m(g),e(g)》。
[0117]
步骤2：基于有限状态机网络模型，构建系统的状态转移网络。
[0118]
基于步骤1中所建立的涡扇发动机系统有限状态机网络模型，定义各有限状态机内部状态和功能输出状态的状态转移规则，通过遍历发动机系统所有可能状态的转移轨迹，构建系统的状态转移网络。通过计算系统状态转移网络中的吸引子，划分系统状态安全域，判定系统状态的潜在安全风险。以上过程的具体步骤如下：
[0119]
步骤2-1：定义有限状态机的内部状态。基于步骤1中所建立的有限状态机网络模型，其中，每个有限状态机mi共有3个内部状态，集合表示为s＝{0,1,2}，其中0表示失效状态，2表示正常工作状态，1表示介于失效和正常工作之间的中间态。
[0120]
步骤2-2：定义有限状态机的功能输出状态。基于步骤2-1定义的有限状态机内部状态，设每个有限状态机mi相对应地有3个功能输出状态，集合表示为y＝{0,1,2}，此处，0表示无法输出功能，2表示可以输出正常功能，1表示介于无法输出功能和能够输出正常功能之间的中间态。
[0121]
步骤2-3：根据涡扇发动机系统及各部件的工作原理，定义各有限状态机的状态转移规则。状态转移规则的具体确定过程见上述步骤b3。
[0122]
步骤2-4：根据步骤2-3的状态转移规则构建系统的状态转移网络。具体构建过程请参见上述步骤b4。
[0123]
步骤3：基于系统的状态转移网络，划分系统状态安全域，挖掘系统状态的潜在安全风险。
[0124]
步骤3-1：定义并统计系统稳态。定义系统稳态为系统状态转移网络中所有随时间不再发生转移的系统状态，即该实施例中，对于每个系统初始状态如果t时刻系统状态与t+1时刻状态相等，则状态为系统的一个稳态(吸引子)，本案例共得到357个系统稳态。
[0125]
步骤3-2：基于系统稳态划分不同等级的系统状态安全域。根据步骤2-4中系统状态的定义，不同系统稳态反映了系统的不同失效程度，依据各系统稳态的失效程度和实际安全需求，将357个系统稳态分为为3个安全等级，分别为高安全等级、中安全等级和低安全等级。基于步骤2-步骤4构建的系统状态转移网络，根据最终指向各系统稳态的系统初始状态和该稳态所属的安全等级，将全部系统初始状态划分为3个不同安全等级的安全域(高安全域、中安全域和低安全域)。
[0126]
步骤3-3：基于系统状态安全域挖掘潜在的系统安全风险。考察涡扇发动机系统的任意初始状态，根据其所在安全域的安全等级，判定该系统初始状态的安全性，即所在安全域的安全等级越高，该系统初始状态越安全，其潜在的安全风险越小，反之，其潜在的安全风险越大。如考察涡扇发动机系统某初始状态sys0＝(2,2,1,1,1,2,1,2)，其在状态转移网络中最终指向低安全等级的系统稳态，则认为该初始状态处于低安全域。实际上，从该系统初始状态可以看出，尽管初始时刻没有部件处于失效状态，但整个系统状态仍具有较大的潜在风险，需要提前做好防控措施。
[0127]
步骤4：基于系统的状态转移网络，分析状态转移轨迹的收敛性，挖掘系统失效传播的关键路径。该步骤的具体实施过程可以参见上述步骤d，具体的：
[0128]
步骤4-1：定义系统状态的转移轨迹和流量。具体定义过程请参见上述步骤d1。
[0129]
步骤4-2：基于系统状态的转移轨迹和流量，计算状态转移轨迹的收敛性，具体计算步骤请参见上述步骤d2。本案例中发动机系统共有38＝6561个系统状态。
[0130]
步骤4-3：根据轨迹收敛性挖掘系统失效传播的关键路径，具体过程可参见上述步骤d3。
[0131]
步骤5：基于系统状态转移网络中失效状态的组合，构建故障树，具体实施过程如上述步骤e所示，具体如下：
[0132]
步骤5-1：根据系统安全性需求，定义故障树的顶事件。根据涡扇发动机系统的实际运行情况，确定系统的安全性需求，将不满足该安全性需求的系统状态作为故障树的顶事件。在本实施例中，考虑航空涡扇发动机的安全需求之一“系统能够正常输出动力”，将“系统无法正常输出动力”的系统状态作为本案例中故障树的顶事件。
[0133]
步骤5-2：基于系统的状态转移网络，计算引起顶事件发生的所有底事件。基于系统的状态转移网络，遍历所有导致“系统无法正常输出动力”这一顶事件发生的系统状态，计算得到引起顶事件发生必须的最低限度的初始状态组合，计算规则参见上述步骤e2。
[0134]
步骤5-3：生成系统故障树，对风险事件进行诊断。根据状态间的逻辑关系，将步骤5-2中得到的底事件使用逻辑门连接，生成涡扇发动机系统的“系统无法正常输出动力”故障树。根据故障树，可以找到导致“系统无法正常输出动力”事件发生的所有底事件组合，实现对该系统风险事件的诊断。
[0135]
步骤6：通过以上步骤，对涡扇发动机系统进行安全性分析，输出三类安全性分析结果。
[0136]
本发明还提供了以下实施结构：
[0137]
一种发动机系统安全性分析系统，应用于上述提供的发动机系统安全性分析方法。系统包括：
[0138]
有限状态机抽象模块，用于基于待分析发动机系统的物理框架将待分析发动机系统中的预设部件抽象为有限状态机。
[0139]
有限状态机网络模型构建模块，用于基于待分析发动机系统的工作原理和物理框架、有限状态机构建有限状态机网络模型。
[0140]
系统状态转移网络构建模块，用于基于有限状态机网络模型构建待分析发动机系统的系统状态转移网络。
[0141]
安全分析因素确定模块，用于基于系统状态转移网络确定待分析发动机系统的安全分析因素。安全分析因素包括：安全风险、失效传播路径和/或故障树。
[0142]
一种电子设备，包括：
[0143]
存储器，用于存储计算机程序。
[0144]
处理器，与存储器连接，用于调取并执行计算机程序以实施上述提供的发动机系统安全性分析方法。
[0145]
此外，上述的存储器中的计算机程序通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
[0146]
本发明相对于现有技术还具有以下优点：
[0147]
1、通用性强：本发明是面向发动机系统进行的基于有限状态机网络模型的安全性分析方法，并不限定于发动机的特定领域和型号，因此具有较好的通用性。
[0148]
2、可移植性好：本发明并没有指定发动机系统中部件的内部状态以及功能输出状态随时间的转移规则，因此在具体的不同系统中可以根据实际情况的需要进行状态转移规则的确定与调整，因此具有很好的可移植性。
[0149]
3、系统性强：本发明是站在整体系统的角度上进行的基于有限状态机网络模型的安全性分析，从三个不同发面进行分析，因此能够把握全局信息的变化，同时发现对于系统全局安全情况具有重要影响的状态转移路径，具有良好的系统性。
[0150]
综上，本发明提供的这种基于有限状态机网络模型的系统安全性分析方案能够为工程应用中发动机系统的安全性分析提供一种很好的解决方式。
[0151]
本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统和设备而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
[0152]
本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

技术特征：
1.一种发动机系统安全性分析方法，其特征在于，包括：基于待分析发动机系统的物理框架将所述待分析发动机系统中的预设部件抽象为有限状态机；基于待分析发动机系统的工作原理和所述物理框架、所述有限状态机构建有限状态机网络模型；基于所述有限状态机网络模型构建待分析发动机系统的系统状态转移网络；基于所述系统状态转移网络确定待分析发动机系统的安全分析因素；所述安全分析因素包括：安全风险、失效传播路径和/或故障树；基于所述安全分析因素得到待分析发动机系统的安全性分析结果。2.根据权利要求1所述的发动机系统安全性分析方法，其特征在于，基于待分析发动机系统的工作原理和所述物理框架、所述有限状态机构建有限状态机网络模型，具体包括：基于所述物理框架和所述工作原理确定各有限状态机间的有向连边；以有限状态机为顶点，以所述有向连边为边构建所述有限状态机网络模型。3.根据权利要求1所述的发动机系统安全性分析方法，其特征在于，基于所述有限状态机网络模型构建待分析发动机系统的系统状态转移网络，具体包括：基于有限状态机网络模型中各有限状态机的输入状态和功能输出状态定义状态转移规则；基于所述状态转移规则构建所述系统状态转移网络。4.根据权利要求3所述的发动机系统安全性分析方法，其特征在于，定义的状态转移规则为：其中，表示t时刻第i个有限状态机的全部输入，q
p
表示第一状态阈值，q
p-1
表示第二状态阈值，表示t时刻第i个有限状态机的内部状态，表示t+1时刻的第i个有限状态机的功能输出状态，r'表示输出正常功能。5.根据权利要求1所述的发动机系统安全性分析方法，其特征在于，基于所述系统状态转移网络确定待分析发动机系统的安全风险，具体包括：基于所述系统状态转移网络确定待分析发动机系统的系统稳态；所述系统稳态为系统状态转移网络中所有随时间不再发生转移的系统状态；基于各系统稳态的失效程度和安全需求确定各系统稳态的安全等级；确定最终指向各系统稳态的系统初始状态，并基于各系统稳态的安全等级，将所述系统初始状态划分为多个不同安全等级的安全域；考察任一系统初始状态，根据这一系统初始状态所在安全域的安全等级确定该系统初始状态的安全风险。6.根据权利要求5所述的发动机系统安全性分析方法，其特征在于，基于所述系统状态转移网络确定待分析发动机系统失效传播的关键路径，具体包括：
基于所述系统状态转移网络确定系统状态的转移轨迹和流量，并确定转移轨迹的收敛性；所述转移轨迹为从系统任一状态到系统稳态的轨迹；根据所述转移轨迹的收敛性挖掘待分析发动机系统失效传播的关键路径。7.根据权利要求6所述的发动机系统安全性分析方法，其特征在于，基于所述系统状态转移网络确定待分析发动机系统的故障树，具体包括：基于所述系统状态转移网络，遍历引起顶事件发生的所有状态转移轨迹；所述顶事件为不满足预设安全性需求的系统状态；基于所述系统状态转移网络确定引起顶事件发生的所有中间事件；基于所述系统状态转移网络确定引起所述中间事件发生的所有底事件；根据所述顶事件、所述中间事件和所述底事件构建所述故障树。8.根据权利要求7所述的发动机系统安全性分析方法，其特征在于，还包括：基于所述故障树追溯得到所述顶事件发生的原因。9.一种发动机系统安全性分析系统，其特征在于，应用于如权利要求1-8任意一项所述的发动机系统安全性分析方法；所述系统包括：有限状态机抽象模块，用于基于待分析发动机系统的物理框架将所述待分析发动机系统中的预设部件抽象为有限状态机；有限状态机网络模型构建模块，用于基于待分析发动机系统的工作原理和所述物理框架、所述有限状态机构建有限状态机网络模型；所述系统状态转移网络构建模块，用于基于所述有限状态机网络模型构建待分析发动机系统的所述系统状态转移网络；安全分析因素确定模块，用于基于所述系统状态转移网络确定待分析发动机系统的安全分析因素；所述安全分析因素包括：安全风险、失效传播路径和/或故障树；安全分析模块，用于基于所述安全分析因素得到待分析发动机系统的安全性分析结果。10.一种电子设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，与所述存储器连接，用于调取并执行所述计算机程序以实施如权利要求1-8任意一项所述的发动机系统安全性分析方法。

技术总结
本发明公开一种发动机系统安全性分析方法、系统及电子设备，涉及系统安全分析技术领域。本发明构建有限状态机网络模型可以更清晰精准地描述发动机系统功能状态的转移特征以及系统失效的传播规律。基于系统状态转移网络能够精确确定三类主要的安全分析因素，以在实际应用过程中，通过确定安全风险尽早识别系统初始状态的潜在风险；通过挖掘出系统失效传播的关键路径，便于提前进行风险防控，阻止系统失效的大范围扩散；通过生成故障树，能够有针对性地面向系统安全需求对风险事件发生的原因及规律进行诊断，进而能够解决现有安全性分析方法主观性因素较强或难以捕捉部件状态间的不良交互带来的影响等问题，精确确定发动机系统的安全边界。系统的安全边界。系统的安全边界。


技术研发人员：李大庆 松雪莹 丁水汀
受保护的技术使用者：北京航空航天大学
技术研发日：2023.05.12
技术公布日：2023/8/13