ICS31.200

CCSA20/39

團(tuán)體標(biāo)準(zhǔn)

T/CIEXXX-2022

基于模型的系統(tǒng)可靠性分析指南

GuideforModel-basedSystemreliabilityAnalysis

（征求意見(jiàn)稿）

2022-0X-XX發(fā)布2022-XX-XX實(shí)施

中國(guó)電子學(xué)會(huì)發(fā)布

T/CIEXXX-2022

基于模型的系統(tǒng)可靠性分析指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了基于模型的系統(tǒng)可靠性分析的程序和方法，并給出了應(yīng)用示例。

本標(biāo)準(zhǔn)適用于復(fù)雜電子系統(tǒng)在論證、方案、工程研制等階段開(kāi)展基于模型的可靠性分析

工作，其它系統(tǒng)亦可參考進(jìn)行。

2術(shù)語(yǔ)

模塊：構(gòu)成系統(tǒng)組成單元的抽象表達(dá)，可以是功能的，也可以是物理的，由事件、狀態(tài)、

輸入端口、輸出端口故障傳遞函數(shù)組成。

狀態(tài)：用于表述模塊在系統(tǒng)運(yùn)行過(guò)程中可能所處的有限狀態(tài)集合，其定義主要分為如下

兩類：功能狀態(tài)——系統(tǒng)正常情況下的工作模式或工作狀態(tài)；失效狀態(tài)——來(lái)自系統(tǒng)各研制

階段下的故障模式數(shù)據(jù)，如組件的功能故障模式

事件：模塊狀態(tài)發(fā)生跳變的觸發(fā)條件，事件的定義內(nèi)容可包括：系統(tǒng)正常行為下各組件

自身工作狀態(tài)發(fā)生跳變的觸發(fā)條件；其他模塊的輸入激勵(lì)信息；組件故障模式等。

輸入端口：用于表示模塊的信息輸入。

輸出端口：用于表示模塊的信息輸出。

故障傳輸函數(shù)：用于表示模塊輸出與輸入、自身狀態(tài)的邏輯關(guān)系的函數(shù)。

3縮略語(yǔ)

下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)：

MBSRA：ModelBasedSystemReliabilityAnalysis基于模型的系統(tǒng)可靠性分析

FMECA：FailureModeEffectsandCriticalityAnalysis故障模式影響及危害性分析

4實(shí)施過(guò)程

4.1總體流程

基于模型的系統(tǒng)可靠性分析總體流程如圖1所示。

系統(tǒng)數(shù)據(jù)收集

定義分析深度

確定分析的失效狀態(tài)

構(gòu)建失效傳遞模型

建立失效狀態(tài)邏輯

失效狀態(tài)評(píng)估

圖1基于模型的系統(tǒng)可靠性分析總體流程

1

T/CIEXXX-2022

4.2詳細(xì)實(shí)施步驟

4.2.1系統(tǒng)數(shù)據(jù)收集

在實(shí)施MBSRA之前，應(yīng)收集系統(tǒng)的各類完整信息，具體包括：

a)系統(tǒng)架構(gòu)組成；

b)系統(tǒng)組成單元的輸入/輸出關(guān)系，如功能流程圖或接口定義；

c)系統(tǒng)組成單元的FMEA/FMECA結(jié)果；

d)系統(tǒng)組成單元的可靠性數(shù)據(jù)，包括組成單元故障模式，每個(gè)故障模式的失效分布

及其失效率。

4.2.2定義分析深度

進(jìn)行基于模型的可靠性分析時(shí)，需要明確分析到系統(tǒng)的哪一個(gè)層級(jí)，如設(shè)備級(jí)、組件級(jí)

或元器件級(jí)。

4.2.3確定要研究的功能失效狀態(tài)

功能失效狀態(tài)可以從系統(tǒng)的功能故障模式影響分析中獲得。功能失效狀態(tài)的確定是一個(gè)

不斷細(xì)化和迭代的過(guò)程。功能失效狀態(tài)包括單個(gè)失效狀態(tài)和組合失效狀態(tài)兩類。典型的單個(gè)

失效狀態(tài)如：功能喪失、功能延時(shí)等；典型的組合失效狀態(tài)如：A功能與B功能同時(shí)喪失。

4.2.4構(gòu)建失效傳播模型

4.2.4.1構(gòu)建模塊

根據(jù)4.2.2節(jié)確定的分析深度創(chuàng)建模塊。模塊可以是基于所需分析深度的功能模塊，也

可以是物理模塊，圖2給出模塊示意。

電電源源模模塊塊

圖2模塊示意

4.2.4.2構(gòu)建模塊狀態(tài)

模塊狀態(tài)用于描述當(dāng)前模塊對(duì)應(yīng)單元所處的工作狀態(tài)、工作模式或功能定義，狀態(tài)可進(jìn)

一步通過(guò)狀態(tài)類型進(jìn)行擴(kuò)展，可用于定義系統(tǒng)的故障狀態(tài)。圖3給出電源模塊的狀態(tài)定義示

意（假設(shè)只有工作、失效兩種狀態(tài)）。

電源模塊

狀態(tài)：工作/失效

圖3模塊狀態(tài)示意

4.2.4.3構(gòu)建模塊端口

4.2.4.3.1構(gòu)建輸入端口

對(duì)已經(jīng)建立好的模塊，根據(jù)系統(tǒng)實(shí)際設(shè)計(jì)構(gòu)建輸入端口，并對(duì)輸出端口的信息類型進(jìn)行

定義，圖4給出模塊輸入端口示意。

2

T/CIEXXX-2022

輸入端口1電源模塊

狀態(tài)：工作/失效

輸入端口2

圖4輸入端口示意

4.2.4.3.2構(gòu)建輸出端口

對(duì)已經(jīng)建立好的模塊，根據(jù)系統(tǒng)實(shí)際設(shè)計(jì)構(gòu)建輸出端口，并對(duì)輸出端口的信息類型進(jìn)行

定義，通?？啥x為無(wú)輸出、輸出錯(cuò)誤、延時(shí)輸出等。圖5給出模塊輸出端口示意。

輸入端口1電源模塊輸出端口1

狀態(tài)：工作/失效

輸入端口2輸出端口2

圖5輸出端口示意

4.2.4.4構(gòu)建模塊事件

事件用于定義系統(tǒng)在工作過(guò)程中導(dǎo)致?tīng)顟B(tài)發(fā)生變化的觸發(fā)機(jī)制和條件，圖6給出模塊事

件構(gòu)建的示意（假設(shè)只有模塊自身故障這一事件）。

電源模塊

輸出端口1

輸入端口1

狀態(tài)

失效事件

·工作

·故障（λ）

Batt·失效

輸出端口2

輸入端口2

圖6事件構(gòu)建示意

4.2.4.5構(gòu)建模塊故障傳遞函數(shù)

用于描述當(dāng)前模塊的輸出端口與自身故障狀態(tài)、輸入端口故障狀態(tài)的邏輯定義，圖7

給出故障傳遞函數(shù)構(gòu)建示意。

電源模塊

狀態(tài)

失效事件

輸入端口1·工作輸出端口1

·故障（λ）

Batt·失效

輸入輸出轉(zhuǎn)換函數(shù)：狀態(tài)圖

狀態(tài)=正工作故障狀態(tài)=失效

輸出=有輸出=無(wú)

輸入端口2輸出端口2

圖7故障傳遞函數(shù)構(gòu)建示意

3

T/CIEXXX-2022

4.2.5建立失效狀態(tài)邏輯

建立失效狀態(tài)邏輯，即是要建立系統(tǒng)功能失效狀態(tài)與已構(gòu)建的模塊之間的邏輯關(guān)系，通

過(guò)模塊的輸出端口與系統(tǒng)功能失效狀態(tài)進(jìn)行邏輯連接來(lái)實(shí)現(xiàn)。圖8給出失效狀態(tài)邏輯構(gòu)建的

示意。其中，假設(shè)電源模塊輸出端口1和輸出端口2均無(wú)輸出才會(huì)造成失效狀態(tài)”電源模塊

無(wú)輸出”。

電源模塊

狀態(tài)輸出端口

失效事件1

輸入端口1·正常

·故障（λ）

Batt·失效

故障傳遞函數(shù)電源模塊無(wú)輸出

狀態(tài)=正常故障狀態(tài)=失效

輸出=有輸出=無(wú)

輸入端口2

輸出端口2

圖8失效狀態(tài)邏輯構(gòu)建示意

4.2.6失效狀態(tài)評(píng)估

4.2.6.1單點(diǎn)故障

根據(jù)4.2.5節(jié)確定的失效狀態(tài)邏輯，可開(kāi)展故障樹(shù)分析。以4.2.3節(jié)確定的要研究的功能

失效狀態(tài)為頂事件，開(kāi)展故障樹(shù)分析，通過(guò)故障樹(shù)分析確定系統(tǒng)是否存在單點(diǎn)故障，并進(jìn)一

步評(píng)估該單點(diǎn)故障是否可接受。

4.2.6.2失效狀態(tài)概率評(píng)估

根據(jù)4.2.2節(jié)確定的分析深度，利用系統(tǒng)中各組成層級(jí)的失效率數(shù)據(jù)作為底層數(shù)據(jù)輸入，

通過(guò)定量故障樹(shù)分析，即可求得失效狀態(tài)的失效概率，并進(jìn)一步評(píng)估該失效概率是否滿足預(yù)

定的要求。

4

T/CIEXXX-2022

附錄A應(yīng)用示例

（資料性附錄）

A.1系統(tǒng)定義

燈光控制系統(tǒng)的原理如圖A.1所示。

系統(tǒng)組成包括：

a)電池；

b)雙觸點(diǎn)開(kāi)關(guān)；

c)燈。

其中，電源為雙觸點(diǎn)開(kāi)關(guān)供電，雙觸點(diǎn)開(kāi)關(guān)控制燈的點(diǎn)亮。雙觸點(diǎn)開(kāi)關(guān)只要有一個(gè)觸點(diǎn)

正常閉合，則燈可以正常點(diǎn)亮。

雙觸點(diǎn)開(kāi)關(guān)

電池?zé)?/p>

圖A.1系統(tǒng)原理圖

A.2失效傳播模型構(gòu)建

A.2.1電池模塊構(gòu)建

a)構(gòu)建端口

電池模塊共有兩個(gè)輸出端口（分別對(duì)應(yīng)雙觸點(diǎn)開(kāi)關(guān)的兩個(gè)觸點(diǎn)），為輸出端口1和輸出

端口2；

b)構(gòu)建狀態(tài)

電池模塊有兩種狀態(tài)：“工作”、“失效”；

c)構(gòu)建事件

電池模塊有一個(gè)觸發(fā)事件：“故障”，假設(shè)事件發(fā)生服從指數(shù)分布，參數(shù)為Batt。

d)構(gòu)建故障傳遞函數(shù)

“故障”事件觸發(fā)電池狀態(tài)從“工作”狀態(tài)轉(zhuǎn)變?yōu)椤笆А睜顟B(tài)。當(dāng)電池處于“工作”

狀態(tài)時(shí)，輸出端口1和輸出端口2都輸出為“有”，否則為“無(wú)”。

電池模塊的模型元素構(gòu)建見(jiàn)圖A.2。

電池

狀態(tài)

失效事件

·工作

·故障（λ）輸出端口1

Batt·失效

故障傳遞函數(shù)

狀態(tài)=工作故障狀態(tài)=失效

輸出端口2

輸出=有輸出=無(wú)

圖A.2電池模塊模型元素

5

T/CIEXXX-2022

A.2.2雙觸點(diǎn)開(kāi)關(guān)模塊構(gòu)建

a)構(gòu)建端口

雙觸點(diǎn)開(kāi)關(guān)有兩個(gè)輸入端口：輸入端口1和輸入端口2，有兩個(gè)輸出端口：輸出端口1

和輸出端口2。

b)構(gòu)建狀態(tài)

雙觸點(diǎn)開(kāi)關(guān)共有6種狀態(tài)：“觸點(diǎn)1正常工作”、“觸點(diǎn)1無(wú)法關(guān)閉”、“觸點(diǎn)1無(wú)法打開(kāi)”

“觸點(diǎn)2正常工作”、“觸點(diǎn)2無(wú)法關(guān)閉”、“觸點(diǎn)2無(wú)法打開(kāi)”。

c)構(gòu)建事件

雙觸點(diǎn)開(kāi)關(guān)共有5個(gè)觸發(fā)事件：“觸點(diǎn)1閉合失敗”、“觸點(diǎn)1打開(kāi)失敗”、“觸點(diǎn)2閉合

失敗”、“觸點(diǎn)2打開(kāi)失敗”、“共模機(jī)械故障（commonmechfailure）”，假設(shè)事件都服從指數(shù)

分布。

d)構(gòu)建故障傳遞函數(shù)

模塊狀態(tài)在事件觸發(fā)下發(fā)生跳轉(zhuǎn)。當(dāng)“觸點(diǎn)1打開(kāi)失敗”或“共模機(jī)械故障”發(fā)生時(shí)，

則系統(tǒng)狀態(tài)從“觸點(diǎn)1正常工作”狀態(tài)轉(zhuǎn)變?yōu)椤坝|點(diǎn)1無(wú)法打開(kāi)”狀態(tài)；當(dāng)“觸點(diǎn)1閉合失

敗”發(fā)生，則系統(tǒng)狀態(tài)從“觸點(diǎn)1正常工作”狀態(tài)轉(zhuǎn)變?yōu)椤坝|點(diǎn)1無(wú)法閉合”狀態(tài)。當(dāng)事件

“觸點(diǎn)2打開(kāi)失敗”或“共模通機(jī)械故障”發(fā)生，則系統(tǒng)狀態(tài)從“觸點(diǎn)2正常工作”狀態(tài)轉(zhuǎn)

變?yōu)椤坝|點(diǎn)2無(wú)法打開(kāi)”狀態(tài)；當(dāng)事件“觸點(diǎn)2閉合失敗”發(fā)生，則系統(tǒng)狀態(tài)從“觸點(diǎn)2

正常工作”狀態(tài)轉(zhuǎn)變?yōu)椤坝|點(diǎn)2無(wú)法閉合”狀態(tài)。

觸點(diǎn)開(kāi)關(guān)輸出端口狀態(tài)由模塊自身狀態(tài)與輸入端口狀態(tài)決定。當(dāng)模塊處于“觸點(diǎn)1正常

工作”狀態(tài)且輸入端口1為“有”，則輸出端口3狀態(tài)為“切換”，否則狀態(tài)為“閉合”；當(dāng)

模塊處于“觸點(diǎn)1無(wú)法閉合”狀態(tài)且輸入端口為“有”，則輸出端口1狀態(tài)為“打開(kāi)”，否則

狀態(tài)為“閉合”；當(dāng)模塊處于“觸點(diǎn)1無(wú)法打開(kāi)”狀態(tài)，則輸出端口1狀態(tài)為“閉合”。當(dāng)模

塊處于“觸點(diǎn)2正常工作”狀態(tài)且輸入端口2為“有”，則輸出端口1狀態(tài)為“切換”，否則

狀態(tài)為“閉合”；當(dāng)模塊處于“觸點(diǎn)2無(wú)法閉合”狀態(tài)且輸入端口為“有”，則輸出端口2

狀態(tài)為“打開(kāi)”，否則狀態(tài)為“閉合”；當(dāng)模塊處于“觸點(diǎn)2無(wú)法打開(kāi)”狀態(tài)，則輸出端口2

狀態(tài)為“閉合”。

雙觸點(diǎn)開(kāi)關(guān)模塊的模型元素構(gòu)建見(jiàn)圖A.3。

雙觸點(diǎn)開(kāi)關(guān)

狀態(tài)

失效事件·觸點(diǎn)1正常工作

·觸點(diǎn)1閉合失?。é薈losed）·觸點(diǎn)1無(wú)法閉合

·觸點(diǎn)1打開(kāi)失敗（λOpen,TLatent）·觸點(diǎn)1無(wú)法打開(kāi)

·觸點(diǎn)2閉合失?。é薈losed）·觸點(diǎn)2正常工作

·觸點(diǎn)2打開(kāi)失?。é薕pen,TLatent）·觸點(diǎn)2無(wú)法閉合

·共模機(jī)械故障（λmech）·觸點(diǎn)2無(wú)法打開(kāi)

故障傳遞函數(shù)

輸入端口1輸出端口1

共模機(jī)械故障

觸點(diǎn)1打

狀態(tài)=觸點(diǎn)1無(wú)法閉合狀態(tài)=觸點(diǎn)1正常工作

開(kāi)失敗狀態(tài)=觸點(diǎn)1無(wú)法打開(kāi)

if輸入1=有觸點(diǎn)1閉if輸入1=有

輸出1=閉合

then輸出1=打開(kāi)合失敗then輸出1=切換共模機(jī)械故

else輸出1=閉合else輸出1=閉合障

輸入端口2共模機(jī)械故障輸出端口2

觸點(diǎn)2打

狀態(tài)=觸點(diǎn)2無(wú)法閉合狀態(tài)=觸點(diǎn)2正常工作

開(kāi)失敗狀態(tài)=觸點(diǎn)2無(wú)法打開(kāi)

輸入有觸點(diǎn)2閉if輸出2=有

if2=輸出2=閉合

then輸出2=打開(kāi)合失敗then輸出2=切換共模機(jī)械故

else輸出2=閉合’else輸出2=閉合障

圖A.3雙觸點(diǎn)開(kāi)關(guān)模塊模型元素

A.2.3燈模塊構(gòu)建

a)構(gòu)建端口

燈模塊有兩個(gè)輸入端口：輸入端口1和輸入端口2，有1個(gè)輸出端口：輸出端口。

b)構(gòu)建狀態(tài)

燈模塊有兩種狀態(tài)：“工作”、“失效”；。

6

T/CIEXXX-2022

c)構(gòu)建事件

燈模塊有一個(gè)觸發(fā)事件：“故障”，假設(shè)事件發(fā)生服從指數(shù)分布。

d)構(gòu)建故障傳遞函數(shù)

“故障”事件觸發(fā)燈模塊的狀態(tài)從“工作”狀態(tài)轉(zhuǎn)變?yōu)椤笆А睜顟B(tài)。當(dāng)電池處于“工

作”狀態(tài)時(shí)，輸出端口為“亮”，否則為“滅”。

燈模塊的模型元素構(gòu)建見(jiàn)圖A.4。

燈

狀態(tài)

輸入端口失效事件

1