熊海軍 ，朱永利，張 琦 ，王德文

（1.華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院，河北 保定 071003；2.華北電力大學(xué) 科技學(xué)院，河北 保定 071003）

0 引言

可靠性是指元件、產(chǎn)品、系統(tǒng)在一定時(shí)間內(nèi)、在一定條件下無(wú)故障地執(zhí)行指定功能的能力或可能性。繼電保護(hù)系統(tǒng)的可靠性是電網(wǎng)安全運(yùn)行的關(guān)鍵，對(duì)保護(hù)系統(tǒng)可靠性定量評(píng)估有助于發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)，為保護(hù)系統(tǒng)的設(shè)計(jì)和運(yùn)行檢修提供指導(dǎo)［1-5］。因此，研究保護(hù)的可靠性評(píng)估方法具有重要現(xiàn)實(shí)意義。

學(xué)者對(duì)可靠性分析計(jì)算及其應(yīng)用進(jìn)行了大量研究，但由于保護(hù)系統(tǒng)可靠性評(píng)估涉及因素眾多、建模難度大，工程領(lǐng)域至今尚無(wú)廣泛使用的可靠性評(píng)估方法?，F(xiàn)有的定量評(píng)估方法主要有基于狀態(tài)的馬爾科夫（Markov）方法［6-9］和基于系統(tǒng)結(jié)構(gòu)的 GO法［10-12］。Markov方法在處理復(fù)雜系統(tǒng)動(dòng)態(tài)可靠性時(shí)存在狀態(tài)劃分和求解困難等不足；GO法基于系統(tǒng)靜態(tài)結(jié)構(gòu)，且元素較多不易使用、編程實(shí)現(xiàn)相對(duì)困難。上述2類方法進(jìn)行可靠性分析時(shí)使用的是專用模型，與分析設(shè)計(jì)階段的模型均不一致。

目前，在保持與系統(tǒng)需求分析和設(shè)計(jì)模型一致的基礎(chǔ)上進(jìn)行可靠性建模與評(píng)估方面尚缺乏相應(yīng)的研究。行為樹(shù)BT（Behavior Trees）是一種能夠用于系統(tǒng)行為建模的新方法，因其具有嚴(yán)格的形式語(yǔ)義、方便的圖形語(yǔ)法及良好的層次特性而被越來(lái)越多的領(lǐng)域所使用。需求工程和游戲領(lǐng)域已使用行為樹(shù)方法成功進(jìn)行系統(tǒng)分析和設(shè)計(jì)階段的建模，但未給出其可靠性建模方法［13-18］。 文獻(xiàn)［19-20］給出了行為樹(shù)的相關(guān)定義并提出采用行為樹(shù)進(jìn)行智能電子設(shè)備（IED）的交互過(guò)程建模與驗(yàn)證，但該方法未考慮系統(tǒng)中的失效行為及其概率，不適用于保護(hù)系統(tǒng)的可靠性評(píng)估。

行為樹(shù)作為一種具有嚴(yán)格形式語(yǔ)義的形式化方法用于保護(hù)系統(tǒng)建模與可靠性分析計(jì)算具有以下幾點(diǎn)優(yōu)勢(shì)：

a.基于行為樹(shù)的建模方法在建模過(guò)程中著眼于系統(tǒng)行為及其關(guān)系而忽略隱含在其中的系統(tǒng)狀態(tài)，其建模思路符合系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)的自然思維，可以復(fù)用系統(tǒng)分析和設(shè)計(jì)階段所建模型，建模過(guò)程及生成的模型簡(jiǎn)單；

b.由于行為樹(shù)模型與形式化的通信順序進(jìn)程（CSP）模型具有對(duì)應(yīng)關(guān)系，行為樹(shù)模型可以很容易地轉(zhuǎn)化為CSP模型后采用過(guò)程分析工具（PAT）進(jìn)行各個(gè)行為的概率求取，采用模型工具進(jìn)行求解，無(wú)需人工搜索行為路徑并推導(dǎo)計(jì)算公式，直接在PAT中設(shè)定需要計(jì)算的目標(biāo)即可由模型給出計(jì)算結(jié)果，大幅簡(jiǎn)化了計(jì)算復(fù)雜度，適合工程化應(yīng)用。

本文采用行為樹(shù)對(duì)保護(hù)系統(tǒng)進(jìn)行建模和可靠性定量分析，主要做了以下幾點(diǎn)工作：

a.對(duì)硬件部件、軟件行為、順序和選擇關(guān)系的可靠度模型進(jìn)行定義，給出行為發(fā)生概率的計(jì)算公式；

b.對(duì)原行為樹(shù)模型進(jìn)行擴(kuò)展后完成了保護(hù)系統(tǒng)的建模，給出通過(guò)已知的基礎(chǔ)行為條件概率計(jì)算后續(xù)行為概率的方法；

c.針對(duì)具體算例，采用過(guò)程分析工具對(duì)所提方法進(jìn)行可靠性計(jì)算、薄弱環(huán)節(jié)識(shí)別與冗余可靠性分析。

1 保護(hù)系統(tǒng)可靠性特點(diǎn)

影響保護(hù)系統(tǒng)可靠性的因素較多，主要包括環(huán)境、一次設(shè)備、保護(hù)設(shè)備及人為因素等。由于除保護(hù)設(shè)備本身外其他影響因素對(duì)保護(hù)系統(tǒng)可靠性的影響難以準(zhǔn)確評(píng)估，保護(hù)系統(tǒng)可靠性的定量評(píng)估多以保護(hù)設(shè)備部件的可靠性計(jì)算為出發(fā)點(diǎn)。就保護(hù)設(shè)備而言，其可靠性存在如下特點(diǎn)：

a.保護(hù)系統(tǒng)可靠性受其硬件部件（如電源、CPU和網(wǎng)絡(luò)接口等）及軟件可靠性影響，部件的可靠性與其本身的質(zhì)量、環(huán)境、部件成熟度及運(yùn)行時(shí)間等因素相關(guān)；

b.保護(hù)設(shè)備之間及部件之間通過(guò)協(xié)作完成系統(tǒng)功能，其間存在一定的邏輯關(guān)系，不同的邏輯關(guān)系對(duì)整體可靠性的影響也會(huì)有所不同。

2 行為及其關(guān)系的可靠度模型

2.1 行為的可靠度模型

保護(hù)設(shè)備硬件部件及軟件常常是構(gòu)成系統(tǒng)功能的基礎(chǔ)部件，本文將其視為系統(tǒng)的基礎(chǔ)行為。目前常用的硬件元件及其模塊的可靠性模型主要是美國(guó)軍用標(biāo)準(zhǔn)中發(fā)布的電子設(shè)備可靠性預(yù)計(jì)模型，模型給出了電子元件及由其構(gòu)成的硬件模塊的失效概率模型。文獻(xiàn)［6］給出了其中元件及模塊的失效模型。

軟件系統(tǒng)的可靠性與硬件模塊的可靠性有較大區(qū)別，軟件系統(tǒng)的可靠性與其漏洞被發(fā)現(xiàn)和修補(bǔ)的次數(shù)相關(guān)，隨著時(shí)間的推移其可靠性可由于其漏洞修復(fù)而逐步增加，常采用Logarithmic exponential模型［6］表示保護(hù)軟件的可靠性。

本文將元件及軟件的功能視為系統(tǒng)基礎(chǔ)行為，其可靠性可由文獻(xiàn)所述失效率導(dǎo)出。由于文獻(xiàn)所述均為恒定失效率模型，基礎(chǔ)行為的可靠度與其失效率間存在式（1）所示關(guān)系：

其中，F(xiàn)i（t）為 0～ t時(shí)間段內(nèi)行為 i的可靠度；pi（t）為0～t時(shí)段內(nèi)行為i發(fā)生的概率；λi為行為i的失效率。

2.2 行為交互關(guān)系的可靠度模型

為方便后續(xù)描述，下面首先給出概率行為樹(shù)的形式化定義。

定義1概率行為樹(shù)T可以用一個(gè)四元組表示：T=＜CT，N，r，p＞。 其中，CT為控制子樹(shù)集合，CT=｛LT，QT｝，LT為選擇子樹(shù)集合，為一選擇子樹(shù)，QT為順序控制子樹(shù)，NQi，rQi，pQi＞為一順序控制子樹(shù)；N 為葉子節(jié)點(diǎn)集合，N=｛O，Cd｝，O=｛o1，o2，…，ot｝為原子行為節(jié)點(diǎn)集合，Cd=｛c1，c2，…，cp｝為條件集合；r為行為樹(shù)的根節(jié)點(diǎn)，r∈T；p= ｛pL，pQ｝為不同類型的節(jié)點(diǎn)到父節(jié)點(diǎn)啟動(dòng)后其子節(jié)點(diǎn)發(fā)生概率的映射函數(shù)集合。

系統(tǒng)的多個(gè)行為之間的交互關(guān)系可用控制子樹(shù)（分為選擇子樹(shù)和順序子樹(shù)2種類型）描述。

2.2.1 選擇子樹(shù)

保護(hù)系統(tǒng)中，電源模塊的“電源工作”這一抽象行為可分為“供電”和“停電”2個(gè)原子行為，2種行為只能任選其一，此類關(guān)系可稱為選擇關(guān)系，可用行為樹(shù)選擇子樹(shù)表示。

若為一選擇子樹(shù)，其子節(jié)點(diǎn)可以為和NL類型。若其所有子節(jié)點(diǎn)采用集合｛B1，B2，…，Bn｝來(lái)表示，在父節(jié)點(diǎn)執(zhí)行的情況下執(zhí)行某子節(jié)點(diǎn)行為的條件概率形成集合pL=｛p（B1/rL），p（B2/rL），…，p（Bn/rL）｝，則有式（2）所示關(guān)系。

式（2）表明所有子節(jié)點(diǎn)行為構(gòu)成其父節(jié)點(diǎn)這一抽象行為的劃分。

2.2.2 順序子樹(shù)

保護(hù)設(shè)備的硬件行為包括：傳感器變換、輸入、CPU加工、輸出等，這些行為順序發(fā)生，前一行為結(jié)束后順序執(zhí)行后續(xù)行為，行為間的這種關(guān)系稱為順序關(guān)系。對(duì)順序關(guān)系下的子節(jié)點(diǎn)而言，后繼行為的執(zhí)行前提是其前驅(qū)行為的成功執(zhí)行。

為簡(jiǎn)化描述，本文將“傳感器變換AI”等基礎(chǔ)行為進(jìn)一步細(xì)分為“AI正?！焙汀癆I異?！?個(gè)原子行為，它們滿足選擇關(guān)系。根據(jù)式（2）可知“傳感器變換AI”的2個(gè)子節(jié)點(diǎn)的概率和為1，即節(jié)點(diǎn)“傳感器變換AI”啟動(dòng)的前提下完成執(zhí)行的概率為1。因此，在這種結(jié)構(gòu)下順序關(guān)系的第1個(gè)子行為啟動(dòng)后各個(gè)后繼基礎(chǔ)行為啟動(dòng)的概率為1。

若為一順序控制子樹(shù)，其子節(jié)點(diǎn)可以為和NQ類型，若其所有子節(jié)點(diǎn)采用集合｛B1，B2，…，Bn｝來(lái)表示，pQ=｛p（B1/rQ），p（B2/rQ），…，p（Bn/rQ）｝表示在父節(jié)點(diǎn)執(zhí)行的條件下子各節(jié)點(diǎn)執(zhí)行的條件概率集合，則有式（3）所示關(guān)系。

需要說(shuō)明的是在特定情況下，順序關(guān)系中若前面某個(gè)子行為正常是后續(xù)行為啟動(dòng)的條件，則它們間形成守護(hù)關(guān)系，行為樹(shù)可完成該關(guān)系的建模，但其建模方法應(yīng)與上述方法有所區(qū)別。本文所述模型不涉及守護(hù)關(guān)系，因此未給出其建模方法。

3 保護(hù)系統(tǒng)的行為樹(shù)模型

3.1 行為樹(shù)的概率擴(kuò)展

采用行為樹(shù)進(jìn)行系統(tǒng)建模時(shí)，常用其圖形表示法。現(xiàn)有行為樹(shù)圖形表示法不能描述上述條件概率，本文將概率引入原行為樹(shù)中，用于修飾父節(jié)點(diǎn)與子節(jié)點(diǎn)的連接，其結(jié)構(gòu)如圖1所示。

圖1 中，P1、P2、…、PN分別為行為樹(shù)執(zhí)行到“選擇 L”的前提下，執(zhí)行行為 L1、L2、…、LN的條件概率，右圖概率的定義與左圖相似；虛線框中的行為表示抽象行為，其實(shí)際類型可以是葉子節(jié)點(diǎn)、選擇和順序控制子樹(shù)等。

圖1 BT的概率修飾Fig.1 Probabilistic definition of behavior trees

行為樹(shù)從根節(jié)點(diǎn)開(kāi)始運(yùn)行，若所建模型能通過(guò)可達(dá)性驗(yàn)證，則行為樹(shù)可運(yùn)行至任意節(jié)點(diǎn)。若從根節(jié)點(diǎn)運(yùn)行至行為BN的運(yùn)行路徑為：BN，則行為BN在r啟動(dòng)情況下的發(fā)生概率為：

其中，為Bi的父節(jié)點(diǎn)Bif執(zhí)行的前提下執(zhí)行Bi的條件概率。

3.2 保護(hù)系統(tǒng)可靠性的行為樹(shù)建模

采用行為樹(shù)通過(guò)分層建模的方法能夠逐步構(gòu)建系統(tǒng)的完整模型。建模過(guò)程可采用自頂向下或自底向上的方法，本例中采用自頂向下的方法，即先對(duì)系統(tǒng)的抽象行為進(jìn)行建模后逐步求精并最終完成保護(hù)系統(tǒng)的建模。

3.2.1 保護(hù)系統(tǒng)概要建模

可將“保護(hù)系統(tǒng)SYS”這一根行為分為“供電運(yùn)行R”和“停電拒動(dòng)d”2個(gè)子行為，行為間構(gòu)成選擇關(guān)系，它們的發(fā)生概率分別為和通?？杉俣ㄐ袨闃?shù)根節(jié)點(diǎn)“保護(hù)系統(tǒng)SYS”啟動(dòng)的概率為1。R和d的啟動(dòng)概率與電源的可靠性相關(guān)，若電源的可靠性為 Fd（t），則保護(hù)系統(tǒng)概要建模用概率行為樹(shù)圖形表示如圖2所示。

圖2 保護(hù)系統(tǒng)的概要BT模型Fig.2 Brief behavior tree model of relay protection system

圖2中，“停電拒動(dòng)d”為原子行為，不可繼續(xù)展開(kāi)；“供電運(yùn)行R”為順序子樹(shù)，需要進(jìn)一步展開(kāi)。

3.2.2 保護(hù)系統(tǒng)詳細(xì)建模

“供電運(yùn)行 R”行為由“變送 AI”、“輸入 DI”、“處理 CPU”、“軟件判斷 SF”及“輸出 DO”等行為順序構(gòu)成，其行為關(guān)系及其可靠性的描述如圖3（a）所示。

圖3 保護(hù)系統(tǒng)的詳細(xì)BT模型Fig.3 Detailed behavior tree model of relay protection system

圖3（b）為圖 3（a）中“故障運(yùn)行 E”的細(xì)化展開(kāi)。圖中，F(xiàn)DI（t）、FSF（t）為相關(guān)部件的可靠度；c 為故障的自檢檢出率；p為系統(tǒng)故障運(yùn)行的前提下發(fā)生“誤動(dòng) w”的概率。 “變送 AI”、“處理 CPU”和“輸出 DO”均為硬件部件的行為，其展開(kāi)過(guò)程與“輸入DI”相似，本文不再一一展開(kāi)。由于“軟件判斷SF”故障自檢無(wú)法檢出，其展開(kāi)與“輸入信號(hào)DI”有所區(qū)別。

需要說(shuō)明的是，上述行為樹(shù)模型并非保護(hù)系統(tǒng)通用模型，僅代表一般系統(tǒng)結(jié)構(gòu)。若某保護(hù)系統(tǒng)結(jié)構(gòu)不同于此，則其行為樹(shù)模型也需要作相應(yīng)調(diào)整。

4 行為樹(shù)模型的可靠性問(wèn)題求解

4.1 可靠性問(wèn)題求解

經(jīng)過(guò)上述方法建模后，可根據(jù)式（4）思路計(jì)算到達(dá)行為樹(shù)任意節(jié)點(diǎn)的概率。

“停電拒動(dòng)d”行為的發(fā)生概率為：

“誤動(dòng)w”和“帶電拒動(dòng)j”行為在保護(hù)系統(tǒng)中出現(xiàn)多次，AI、DI、CPU、軟件和DO的行為子樹(shù)下都有這一行為，其發(fā)生概率的計(jì)算公式分別為：

其中，i取 1、2、3、4 時(shí)，F(xiàn)i（t）分別為 AI、DI、CPU 和 DO硬件的可靠度。

本文將系統(tǒng)的整體可靠度定義為不發(fā)生以上3種行為的概率，其計(jì)算公式如下。

將式（5）—（7）代入式（8）展開(kāi)后，如式（9）所示。

至此，根據(jù)上述公式可以計(jì)算出系統(tǒng)的可靠度。但復(fù)雜行為樹(shù)可靠性模型中人工路徑搜索及概率計(jì)算復(fù)雜，為了進(jìn)一步提高算法的工程實(shí)用性，本文將行為樹(shù)模型轉(zhuǎn)為CSP后采用PAT進(jìn)行求解。

4.2 行為樹(shù)模型到PAT描述的映射

由于現(xiàn)階段尚缺乏直接對(duì)行為樹(shù)進(jìn)行驗(yàn)證計(jì)算的方法和工具，本文將其映射到CSP這一經(jīng)典模型，以便采用PAT對(duì)模型進(jìn)行求解。行為樹(shù)模型與CSP模型元素間的映射關(guān)系可以參考文獻(xiàn)［20］。經(jīng)過(guò)文獻(xiàn)所述轉(zhuǎn)化步驟后，行為樹(shù)模型可完全轉(zhuǎn)化為滿足PAT語(yǔ)法格式的CSP模型。

圖2所示行為樹(shù)模型轉(zhuǎn)化為PAT所定義的語(yǔ)句如式（10）所示。

其中，R為行為子樹(shù)，需要進(jìn)一步展開(kāi)，R展開(kāi)后如式（11）所示。

式（11）中的行為均是抽象行為，都需要進(jìn)一步展開(kāi)。本文僅以“輸入DI”為例進(jìn)行說(shuō)明，該行為被完整展開(kāi)后如式（12）—（14）所示。

AI、CPU和DO與DI的展開(kāi)過(guò)程相似，SF則少了故障檢出環(huán)節(jié)，經(jīng)過(guò)上述方法可將行為樹(shù)模型轉(zhuǎn)化為完整的PAT語(yǔ)法的CSP模型。

4.3 基于PAT的可靠性問(wèn)題求解

完成模型轉(zhuǎn)化后，系統(tǒng)模型已經(jīng)能夠在PAT下仿真運(yùn)行，但要實(shí)現(xiàn)特定計(jì)算目標(biāo)，需用PAT提供的斷言（assert）進(jìn)行目標(biāo)問(wèn)題描述。

由于斷言中不便描述某行為是否發(fā)生，本文用PAT中的變量來(lái)記錄某行為是否發(fā)生，因此需對(duì)上述模型進(jìn)行簡(jiǎn)單修改。例如在PAT中定義變量ww（初始值設(shè)置為0）用于記錄“誤動(dòng)w”行為是否發(fā)生，則需要在w行為發(fā)生時(shí)修改變量ww的值為1，即將上述PAT描述中的w更改為w｛ww=1｝即可。計(jì)算“誤動(dòng)w”的發(fā)生概率，需要定義如下斷言：

其中，第1個(gè)斷言為設(shè)定目標(biāo)；第2個(gè)斷言為驗(yàn)證目標(biāo)的可達(dá)性及其可達(dá)概率，經(jīng)PAT驗(yàn)證可輸出其可達(dá)性及其概率；pmax表示達(dá)到設(shè)定目標(biāo)的最大概率值。

5 算例

目前，能用于驗(yàn)證算法有效性的實(shí)際案例樣本還很缺乏，本文使用文獻(xiàn)［6］的部分?jǐn)?shù)據(jù)進(jìn)行算例分析。各個(gè)參數(shù)的取值如表1所示。表1中，t為從設(shè)備投運(yùn)開(kāi)始的小時(shí)數(shù)。從表中可以看出，在沒(méi)有發(fā)生維修更換的情況下，硬件及軟件部件的可靠度隨時(shí)間增長(zhǎng)逐步下降。

表1 參數(shù)取值Table 1 Parameters

選取部分時(shí)間取值計(jì)算各參數(shù)的可靠度，結(jié)果表2所示。由于本文中模塊的可靠性與元件參數(shù)及使用時(shí)長(zhǎng)等因素相關(guān)，維修更換部分元件甚至整體部件換新，使得維修部件的可靠性發(fā)生變化。設(shè)備維修后需要修改部件的失效率及部件的使用時(shí)長(zhǎng)，然后計(jì)算得到新的部件可靠性，再計(jì)算系統(tǒng)的整體可靠性。

表2 部件可靠度隨時(shí)間的變化關(guān)系Table 2 Relationship between component reliability and duration

5.1 系統(tǒng)可靠性及薄弱環(huán)節(jié)分析

所建模型按表2中的數(shù)據(jù)進(jìn)行仿真計(jì)算，可算出誤動(dòng)概率、拒動(dòng)概率（分為帶電拒動(dòng)和停電拒動(dòng)）及系統(tǒng)可靠度，結(jié)果如圖4所示。

圖4 誤動(dòng)概率、拒動(dòng)概率及系統(tǒng)可靠度Fig.4 Variation of misoperaion probability，refuse-to-operation probability and system reliability along with duration

從結(jié)果可以看出，系統(tǒng)可靠度隨時(shí)間增長(zhǎng)逐漸降低，誤動(dòng)和拒動(dòng)發(fā)生的概率逐漸增加；實(shí)例系統(tǒng)在10000 h的可靠度僅為0.761。

為了進(jìn)一步分析各參數(shù)對(duì)系統(tǒng)可靠度的影響，分別將表2中不同時(shí)刻下各部件的可靠度單獨(dú)降低10%后，仿真計(jì)算系統(tǒng)可靠度結(jié)果如表3所示。

表3 系統(tǒng)可靠度隨參數(shù)下降的變化關(guān)系Table 3 Relationship between system reliability and duration for 10%reliability deduction of different components

從結(jié)果可以看出，各參數(shù)可靠度在不同時(shí)間降低10%后，均引起系統(tǒng)可靠度的下降。電源及軟件的影響較大，檢出率c次之，其他參數(shù)的影響相對(duì)較小。為了更清楚地分析各環(huán)節(jié)的重要度隨時(shí)間的變化關(guān)系，將表3的計(jì)算結(jié)果進(jìn)行變換后，可靠度下降比例如圖5所示。

圖5 部件可靠度降低后的系統(tǒng)可靠度Fig.5 Variation of system reliability deduction along with duration for 10%reliability deduction of different components

從圖5可以看出，在給定的參數(shù)情況下CPU等硬件部件引起的可靠度下降比例較小，且隨時(shí)間增長(zhǎng)呈緩慢下降趨勢(shì)；電源和軟件引起可靠性的下降比例較大且呈緩慢上升趨勢(shì)；檢出率在1000 h以內(nèi)影響最?。ㄐ∮?.8%），隨后其影響逐步超過(guò)CPU等硬件影響，10000 h時(shí)增至7.7%。

CPU等硬件對(duì)可靠度下降比例的影響較小的主要原因是其故障有自檢后修復(fù)機(jī)會(huì)，而模型中電源及軟件故障沒(méi)有。檢出率對(duì)可靠性的影響隨時(shí)間變化較大的主要原因是在運(yùn)行初期各個(gè)部件的可靠度本身較高，故障檢出率對(duì)整體系統(tǒng)可靠的影響相對(duì)較??；而后隨時(shí)間增長(zhǎng)部件可靠度逐步下降，故障檢出率的影響則逐漸增加。由此可見(jiàn)，該方法能夠計(jì)算出不同時(shí)期的系統(tǒng)薄弱環(huán)節(jié)及系統(tǒng)可靠度，能為保護(hù)系統(tǒng)的運(yùn)行檢修提供指導(dǎo)。

就實(shí)例模型而言，其薄弱環(huán)節(jié)主要體現(xiàn)為電源和軟件，檢出率隨時(shí)間增長(zhǎng)也逐步成為系統(tǒng)薄弱環(huán)節(jié)。軟件和檢出率分別對(duì)應(yīng)于功能程序和自檢程序，均可通過(guò)漏洞修補(bǔ)逐步提升其可靠度。而硬件部件則常通過(guò)冗余方式實(shí)現(xiàn)可靠度的提升。

5.2 冗余可靠性分析

系統(tǒng)中的關(guān)鍵部件常常采用冗余結(jié)構(gòu)以提高系統(tǒng)可靠性。算例中電源屬系統(tǒng)薄弱環(huán)節(jié)，下面增加一個(gè)同型號(hào)電源模塊為熱備用電源后對(duì)系統(tǒng)可靠性進(jìn)行分析。電源熱備用冗余結(jié)構(gòu)可以用行為樹(shù)中的選擇結(jié)構(gòu)表達(dá)，如圖6所示。

圖6 雙電源系統(tǒng)BT模型Fig.6 Behavior tree model of dual power-supply system

電源采用熱備用結(jié)構(gòu)后，對(duì)原有系統(tǒng)模型做簡(jiǎn)單修改，將式（10）更改為式（15）、（16）即可。

采用表2所示參數(shù)及雙電源模型進(jìn)行系統(tǒng)可靠度計(jì)算，結(jié)果如圖7所示。

圖7 冗余結(jié)構(gòu)系統(tǒng)可靠度Fig.7 Deduction of system reliability along with duration for single and dual power-supply systems

從結(jié)果可以看出，采用雙電源結(jié)構(gòu)后系統(tǒng)可靠度明顯提升，隨時(shí)間增長(zhǎng)系統(tǒng)可靠度逐漸下降，但下降速率明顯降低。由此可見(jiàn)，硬件部件類薄弱環(huán)節(jié)采用冗余結(jié)構(gòu)后可顯著提升系統(tǒng)可靠性。

雙電源情況下，每個(gè)電源可靠度單獨(dú)降低10%后，引起的系統(tǒng)可靠度下降比例與單電源的對(duì)比如圖8所示。

從圖8結(jié)果可以看出，對(duì)原薄弱環(huán)節(jié)電源部分采用雙電源冗余結(jié)構(gòu)后，其單一電源的可靠度下降10%對(duì)整體系統(tǒng)的可靠度的影響明顯減小，系統(tǒng)薄弱環(huán)節(jié)也因此發(fā)生變化?？梢?jiàn)，該方法能為保護(hù)系統(tǒng)的設(shè)計(jì)提供指導(dǎo)。

圖8 冗余結(jié)構(gòu)系統(tǒng)可靠度下降比例Fig.8 Variation of system reliability deduction along with duration for single and dual power-supply systems

6 結(jié)論

本文給出了保護(hù)系統(tǒng)行為的條件概率、交互關(guān)系的可靠度的定義，完成了保護(hù)系統(tǒng)的概率行為樹(shù)建模，并給出了行為及系統(tǒng)的可靠度計(jì)算方法。采用過(guò)程分析工具對(duì)所建模型進(jìn)行了仿真運(yùn)行，并對(duì)系統(tǒng)可靠度隨時(shí)間的變化、薄弱環(huán)節(jié)及冗余結(jié)構(gòu)進(jìn)行了分析。

a.模型真實(shí)反映了保護(hù)系統(tǒng)中硬件部件、軟件行為及抽象行為間的關(guān)系，有助于防止扁平化建模對(duì)可靠度計(jì)算帶來(lái)的影響。

b.給出了順序和選擇2種關(guān)系的定義及其可靠性計(jì)算方法，采用圖形化方法完成了保護(hù)系統(tǒng)可靠性的完整建模，建模思路清晰、過(guò)程簡(jiǎn)單。

c.計(jì)算了系統(tǒng)可靠度隨時(shí)間的變化關(guān)系；探討了各行為對(duì)系統(tǒng)可靠度的影響，發(fā)現(xiàn)了系統(tǒng)中的薄弱環(huán)節(jié)及其隨時(shí)間的變化趨勢(shì)。

d.采用選擇關(guān)系完成了冗余結(jié)構(gòu)的建模與分析，實(shí)驗(yàn)表明模型具有較強(qiáng)的描述能力，對(duì)于不同廠家，不同硬件結(jié)構(gòu)只需調(diào)整行為樹(shù)模型即可。本文方法能為保護(hù)系統(tǒng)運(yùn)行檢修和設(shè)計(jì)提供指導(dǎo)，但還要針對(duì)保護(hù)可靠性基礎(chǔ)數(shù)據(jù)進(jìn)行大量細(xì)致系統(tǒng)的積累、分析和挖掘，才能使該模型更好地服務(wù)于工程實(shí)際。

［1］IEC.Communication networks and systems in substations part 5：communication requirements for functions and device models：IEC61850-5［S］.Geneva，Switzerland：IEC，2003.

［2］李鋒，謝俊，蘭金波，等.智能變電站繼電保護(hù)配置的展望與探討［J］.電力自動(dòng)化設(shè)備，2012，32（2）：122-126.LI Feng，XIE Jun，LAN Jinbo，et al.Prospect and discussion of relay system configuration for intelligent substation［J］.Electric Power Automation Equipment，2012，32（2）：122-126.

［3］張春合，陸征軍，李九虎，等.數(shù)字化變電站的保護(hù)配置方案和應(yīng)用［J］.電力自動(dòng)化設(shè)備，2011，31（6）：122-125.ZHANG Chunhe，LU Zhengjun，LI Jiuhu，et al.Protection configuration scheme and application in digital substation［J］.Electric Power Automation Equipment，2011，31（6）：122-125.

［4］戴志輝，李芷筠，焦彥軍，等.基于BP神經(jīng)網(wǎng)絡(luò)的小樣本失效數(shù)據(jù)下繼電保護(hù)可靠性評(píng)估［J］.電力自動(dòng)化設(shè)備，2014，34（11）：129-134.DAI Zhihui，LI Zhijun，JIAO Yanjun，et al.Reliability assessment based on BP neural network for relay protection system with a few failure data samples［J］.Electric Power Automation Equipment，2014，34（11）：129-134.

［5］徐志超，李曉明，楊玲君，等.數(shù)字化變電站系統(tǒng)可靠性評(píng)估與分析［J］. 電力系統(tǒng)自動(dòng)化，2012，36（5）：67-71.XU Zhichao，LI Xiaoming，YANG Lingjun，et al.Reliability assessment and analysis on digital substation system［J］.Automation of Electric Power Systems，2012，36（5）：67-71.

［6］王剛，丁茂生，李曉華，等.數(shù)字繼電保護(hù)裝置可靠性研究［J］.中國(guó)電機(jī)工程學(xué)報(bào)，2004，24（7）：47-52.WANG Gang，DING Maosheng，LIXiaohua，etal.Reliability analysis of digital protection［J］.Proceedings of the CSEE，2004，24（7）：47-52.

［7］戴志輝，王增平，焦彥軍.基于動(dòng)態(tài)故障樹(shù)與蒙特卡羅仿真的保護(hù)系統(tǒng)動(dòng)態(tài)可靠性評(píng)估［J］. 中國(guó)電機(jī)工程學(xué)報(bào)，2011，31（19）：105-113.DAI Zhihui，WANG Zengping，JIAO Yanjun.Dynamic reliability assessment of protection system based on dynamic fault tree and Monte Carlo simulation［J］.Proceedings of the CSEE，2011，31（19）：105-113.

［8］戴志輝，王增平，焦彥軍，等.階段式保護(hù)原理性失效風(fēng)險(xiǎn)的概率評(píng)估方法［J］. 電工技術(shù)學(xué)報(bào)，2012，27（6）：175-182.DAI Zhihui，WANG Zengping，JIAO Yanjun，et al.Probabilistic assessment method for failure risk of stepped protection philosophy［J］.Transactions of China Electrotechnical Society，2012，27（6）：175-182.

［9］郭創(chuàng)新，俞斌，郭嘉，等.基于IEC61850的變電站自動(dòng)化系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估［J］. 中國(guó)電機(jī)工程學(xué)報(bào)，2014，34（4）：685-694.GUO Chuangxin，YU Bin，GUO Jia，et al.Security risk assessment of the IEC61850-based substaion automation system ［J］.Proceedings of the CSEE，2014，34（4）：685-694.

［10］徐荊州，李揚(yáng).基于GO法的復(fù)雜配電系統(tǒng)可靠性評(píng)估［J］.電工技術(shù)學(xué)報(bào)，2007，22（1）：149-153.XU Jingzhou，LI Yang.Reliability assessment of complex distribution system using GO method［J］.Transactions of China Electrotechnical Society，2007，22（1）：149-153.

［11］沈祖培，黃祥瑞.GO法原理及應(yīng)用：一種系統(tǒng)可靠性分析方法［M］.北京：清華大學(xué)出版社，2004.

［12］王超，高鵬，徐政，等.GO法在繼電保護(hù)可靠性評(píng)估中的初步應(yīng)用［J］. 電力系統(tǒng)自動(dòng)化，2007，31（24）：52-56.WANG Chao，GAO Peng，XU Zheng，et al.Application of GO methodology in reliability assessment of protective relays［J］.Automation of Electric Power Systems，2007，31（24）：52-56.

［13］WINTER K.Formalising behaviour trees with CSP［J］.Integrated Formal Methods，2004，2999：148-167.

［14］COLVIN R J，HAYES I J.A semantics for behavior trees using CSP with specification commands［J］.Journal Science of Computer Programming，2011，76（10）：891-914.

［15］WANG Zhiliang，YIN Xia，JING Chuanming.A formal method to real-time protocol interoperability testing［J］.Science in China Series F：Information Sciences，2008（51）：1723-1744.

［16］SUN J，LIU Y，DONG J S，et al.Verifying stateful timed CSP using implicit clocks and zone abstraction［C］∥Proceedings of the 11th International Conference on Formal Engineering Methods：Formal Methods and SoftwareEngineering.Berlin，Germany：Springer-Verlag，2009：581-600.

［17］SWIGART J.Omni-Bot：building flexible AI for enemy territory and multiplayer action games［EB /OL］. （2010-10-22）［2013-07-12］.http：∥aigamedev.com /plus /interview /omnibot-enemyterritory.

［18］LINDSAY P A，WINTER，K，YATAPANAGE N.Safety assessment using behavior trees and model checking［C］∥2010 8th IEEE International Conference on Software Engineering and Formal Methods（SEFM）. ［S.l.］：IEEE，2010：181-190.

［19］熊海軍，朱永利，張凡，等.基于行為樹(shù)的IEC61850智能電子設(shè)備互操作性描述與驗(yàn)證［J］. 電力系統(tǒng)自動(dòng)化，2013，37（24）：66-71.XIONG Haijun，ZHU Yongli，ZHANG Fan，et al.Formal specification and verification of IEC61850 IED interoperability based on behavior tree［J］.Automation of Electric Power Systems，2013，37（24）：66-71.

［20］熊海軍，王曉輝，朱永利，等.IEC61850智能電子設(shè)備交互實(shí)時(shí)性建模與驗(yàn)證［J］. 電力系統(tǒng)自動(dòng)化，2014，38（19）：90-95.XIONG Haijun，WANG Xiaohui，ZHU Yongli，et al.A specification and verification method of real-time interoperability for IEC61850 IED［J］.Automation of Electric Power Systems，2014，38（19）：90-95.