QMU 认证方法及其实现途径

被阅次数： 297

某些复杂工业产品用确定性模型进行系统设计, Q M U 是近几年提出的源自确定性模型的系统认证新方法, 它能够在综合利用试验信息和数值模拟信息的基础上, 有效揭示失效模式并以简捷的信息结构对系统的综合效能做出合理的评价和认证。 QM U 正在快速发展并引起了美国重要技术部门的重视, 但目前很少见到公开的应用实例。本文以可靠性物理和计算科学为背景论述 QM U 的基本思想和实现途径, 并探讨 QM U 在不同工程问题中的使用方法以及对 Q M U 起支撑作用的信息处理和 V & V 技术, 以便形成统一的全系统 QM U 认证体系。

0 引言

裕度和不确定度的量化QMU ( Quantification of Margins and Uncert ainties) , 它的提出来源于“ 裕度设计”理念: 要使系统达到所需的性能, 必须针对已知的潜在失效模式, 为系统留出足够的设计裕度, 以保证系统绝对可靠[ 1-3] 。

QMU最初用于确定性系统, 失效模式中的不确定量均用数学区间来表示。相对其他方法而言, 这种单纯的信息结构在反映系统薄弱环节时显得直观易懂, 因而受到广泛关注。将这一优点推广到实际上更为复杂的系统中, 需要建立统一的技术框架, 这将使 QMU具有很强的学术价值和应用价值。

QMU的输入信息主要来自试验和数值模拟, 在缺乏实物试验的条件下, 数值模拟是主要的信息来源, 因而数值模拟的置信度将会对QMU的分析结果产生重大影响。验证与确认V & V ( Verification & Validation) , 该项技术用于对数值模拟的置信度进行评价和认定, 是QMU的主要技术支撑。

本文主要研究QMU的基本概念及其实施方法,QMU与 V & V 的关系, 探索建立QMU统一认证体系的技术途径。

1 确定性模型的适用条件

QMU的“ 裕度设计”理念基于系统设计所沿用的确定性模型: 只要系统的初始状态落在可靠域( 一个特定的状态参数集合) 之内, 系统必定是绝对可靠的, 当初始状态落在可靠域之外时, 不能保证绝对可靠, 也不回答是否可靠( 但可以根据保守性原则人为规定该状态所对应的产品为不可靠) 。当可靠域在理论分析和全系统试验的联合支撑下被确定了以后, 制造工艺能够保证批量产品的状态参数均处于可靠域之内, 设计方案便通过QMU认证。

对一个研究对象, 假设状态参数 X∈R^m ,性能参数 Y ∈Rⁿ , 性能参数的可靠域为 R_perf⊂Rⁿ 。系统设计的最终任务是确定系统的初始状态, 因此首先要通过数值模拟和实物实验等手段求出R_perf在状态空间上的映射即状态参数可靠域R_state⊂R^m 。要保证全部批量产品的可靠性, 状态参数的设计范围 D_state一定要处于可靠域 R_state 内部。因此, 为保证产品绝对可靠, 需满足关系式: D_state ⊂ R_state。

系统认证可基于初始状态, 也可基于最终性能。如选择前者, 则在工程上具有更好的现场可操作性, 此时确定性模型的认证结果表示为

（1）

依据确定性模型, 产品设计的最终目标便是确定状态参数的设计范围D_state。

R_state和D_state均为状态空间 R^m的子集。由于制造过程存在公差, 批量产品的物理状态不会完全一样, 每个产品的状态参数都将随机分布在D_state之内。

本文认为, 适合于确定性模型的系统需要具备以下两个条件:

( 1) 所有与系统性能有关的初始状态参数均具有可测性和可控性;

( 2) 设计参数具有完备性, 即存在可靠域 R_state和设计范围D_state , 并且二者均为同一个参数空间的子集。

可测性, 即测试手段能够对产品中所有与可靠性有关的状态参数进行有效测量, 并且最终测量结果能够持续有效至系统工作时段, 而可控性, 则指加工工艺能够将上述状态参数控制在工艺标准所指定的设计范围 D_state之内。

如果一个系统能够通过原理试验, 则可靠域 R_state必定存在, 能否保证 R_state和D_state来自同一个参数空间, 往往取决于 R_state中的参数是否都具有可测性和可控性。

物质运动中“ 状态决定行为” 所反映的客观因果规律, 是本文提出这两个条件的思想基础。对于一个硬件系统, 在规定的工作条件下, 假若能够对系统初始状态实现完全和精确的描述, 那么系统的性能应该唯一地决定于所描述的初始状态, 换句话说, 针对精确描述的初始状态, 最终的性能是确定的而非随机的。工程中的随机性均来源于对初始状态描述的不完全(遗漏了对某些重要参数的描述) 和不精确(在量度上不够准确) 。在实际工程中, 能否对初始状态参数进行完全的描述和控制, 是决定这些参数是否具有可测性和可控性, 从而决定能否采用确定性模型的首要因素。

上述两个条件体现了确定性模型所对应的命题特征和工程背景。其中第一个条件保证了加工工艺能够将所有与性能有关的初始状态参数控制在规定的公差范围之内, 第二个条件保可以证了可靠域R_state 和设计范围D_state具有可比性。

前者是后者得以满足的基础, 后者保证了确定性模型中输入信息的有效性。当我们讨论一些实际工业产品时, 上述条件对流体介质系统一般能够满足, 对强释热运动介质系统(如爆轰系统) 也基本能够满足, 而对某些机械系统或电气系统则常常不能满足。

强释热运动介质系统追求稳定的动态响应性能, 所谓动态, 就是加载速度很高, 材料接近流体状态, 系统性能决定于材料的流体特性, 由于流体特性对影响材料强度的微观结构( 原子晶格) 的完整性不敏感, 因而初始状态的可靠域只是定义在由零件尺寸、材料密度和杂质含量等“ 单纯物理量”所组成的参数空间上, 这些物理量均具有很好的可测性和可控性, 如果原理试验获得通过, 便可以根据现行的公差标准确定设计范围D_state, 使得 R_state 和D_state 均取自一个共同的参数空间, 从而保证了选择确定性模型所具备的条件。

机械系统追求稳定的( 准) 静态承载能力,系统性能决定于材料在弹塑性状态下所具有的机械性能, 机械性能强烈地依赖于材料微观结构的完整性, 而微观缺陷特别是材料内部众多质点上由于应力集中而潜存的失效趋势( 尚未形成裂纹) 却不易被定量地探测, 这就使得对材料微观结构的质量要求很难体现在设计方案或设计范围D_state 中, 但可靠域R state 显然需要包含对微观结构的质量要求, 因此在客观上造成了R_state 和 D_state 来自不同参数空间的事实。

虽然机械强度具有较大的随机性, 但为了避免灾难性的失效事件, 人们仍希望机械产品有很高的可靠性。为了达到这一目的, 常常模拟实际的工作条件对每一件机械产品进行整体性应力加载试验( 如火箭发动机壳体的水压试验) , 以剔除具有微观结构缺陷的工件。如果将加载试验的载荷水平纳入设计要求, 并且认为宏观的加载试验就代表着对微观结构的质量检验, 那么这种作法就能够间接地满足 R state 和D state 必须来自同一个参数空间的条件。然而遗憾的是, 在加载试验之后的加工、运输和贮存过程中, 材料的微观结构会时时发生变化, 加载试验所得到的检测结果并不能持续有效至系统开始工作的那一时刻, 导致第一个条件不能得到满足, 从而不能保证所有通过检验的产品在工作时都是合格品。

由于不能同时满足上述两个条件, 机械结构必然存在因强度小于载荷而发生失效的可能性, 如图 1 所示, 图中f ₁ (x ) 、f ₂ (x) 和f ₃ ( x)是 x 对应于强度、载荷和强度与载荷之差的概率分布函数。在今后相当长的一段时间内, 尽管不断出现的新技术可以使结构件的失效概率无限趋近于零, 但失效概率能够保证为零的假定在可靠性论证中仍将不能成为一个合理的前提, 因而机械结构适合于用概率模型进行方案认证( 概率认证并不企图去寻找一个能够使批量产品绝对可靠的参数边界[ 4-5] ) , 如果直接使用确定性模型, 设计方案只能被否决。至于电器系统, 其可靠性特征与机械系统类似, 不再赘述。

裕度(Margin)定义为系统最坏情况下性能的最佳估计Y_worst超出性能最低要求的最佳估计Y_demand所具有的富裕量:

M=Y_worst-Y_demand ( 2)

最坏情况包括系统最不利的工作条件(如极端温度环境和震动条件)和最不利的工作状态(如最严重的材料属性变异和最差的加工安装质量),Y_demand相当于失效判据。

不确定度(Uncertainty)定义为裕度估计所具有的不确定度。它包含两个方面,即估计Y_worst和估计Y_demand所带来的不确定度:

U=U(Y_worst)+U(Y_demand) ( 3)

图2表示性能上、下限取100%置信限时(此时不确定度U不再包含Y_demand的不确定度)QMU的基本要素。认证结果取决于置信比率RC,RC为裕度M和不确定度U的比值,当置信比率大于或等于1时,方能通过认证。

图 1 机械结构的失效概率

2 QMU 的基本思想

可以认为, 确定性模型的推广和应用是通过QMU来实现的,QMU是贯彻和实施确定性模型的有效方法。确定性模型用关系式Dstate Rstate 是否满足来判断定型产品是否绝对可靠, 但不确定度的存在使Dstate 和R state 的边界变得模糊, 为判断带来了困难。QMU则通过裕度和不确定度的量化结果对上式做出合理的判断, 在工程实践中具有很强的科学性和可操作性。型号产品都有一个理论设计点, 工程设计的目的就是围绕这个设计点确定一个设计范围 Dstate, 以便加工生产, 因此, Dstate 代表了定型合格产品的初始状态所必须满足的物理条件。QMU认证的第一步, 是分析薄弱环节, 确定所有的失效模式及其对应的特征性能参数, 然后在这些性能参数上进行量化分析。

裕度( M argin) 定义为系统最坏情况下性能的最佳估计 Ywor st 超出性能最低要求的最佳估计 Ydem and所具有的富裕量:

M = Yworst – Ydemand ( 2)

最坏情况包括系统最不利的工作条件( 如极端温度环境和震动条件) 和最不利的工作状态( 如最严重的材料属性变异和最差的加工安装质量) , Ydemand相当于失效判据。

不确定度( U ncert aint y) 定义为裕度估计所具有的不确定度。它包含两个方面, 即估计 Yw orst 和估计 Ydemand所带来的不确定度:

U = U(Ywors t) + U(Ydemand) ( 3)

图 2 表示性能上、下限取 100% 置信限时 ( 此时不确定度 U 不再包含 Ydemand 的不确定度) Q MU 的基本要素。认证结果取决于置信比率 RC , RC 为裕度 M 和不确定度 U 的比值, 当置信比率大于或等于 1 时, 方能通过认证。

图 2 Q M U 的基本要素

Q MU 方法的核心是求出 M 和 U, 因此其数据结构可简记为( 裕度的) 最佳估计加不确定度( Best Estimation + U ncertaint y -BE + U ) 。Q MU 认证大致包含以下工作内容:

( 1) 系统定义, 明确需要认证的问题;

( 2) 分析失效模式, 确定每种失效模式所对应的特征性能参数;

( 3) 通过信息理论和 V & V 技术, 整合试验信息和数值模拟信息, 量化数值模拟对物理模型尤其是新模型进行预测时所具有的不确定度;

( 4) 通过适量的数值模拟, 确定各失效模式所对应的失效判据, 建立性能通道;

( 5) 利用前面得到的信息对性能通道各窗口所对应的 M 和 U 进行量化;

( 6) 构造置信比率汇总表, 给出认证结果。

本文将性能通道中对各关键环节的约束条件称为窗口。如图 3 所示, 构造性能通道的目的就是确定各道窗口的位置和大小, 也就是确定系统的所有失效模式及其失效判据, 这一步实际上是确定系统在该窗口上的 Ydem and 即可靠域。性能通道的构造主要依据系统的工作过程, 通道的第一窗口为系统初始状态的可靠域, 最后窗口为系统最终性能的可靠域。

图 3 性能通道时序图

性能通道的构造基于系统状态决定系统性能的思想认识, 因此, 一个产品在通道入口上的起点位置便决定了该产品在整个性能通道中的走向。从系统动作的时间序列上看, 前一阶段的性能决定后一阶段的性能, 初始状态决定其后的动作过程和整个系统的最终性能, 所以从某种意义上说, 第一道窗口应该是后面所有窗口在初始状态空间上的映射所形成的交集。如果设计范围处于第一道窗口之内, 则其后各个阶段的性能参数也必然会被约束在相应的窗口之内, 反之, 如果不能保证所有产品的最终性能绝对可靠, 那么定型产品的设计范围必然没有全部落入第一道窗口之内, 如图 4 所示。

性能通道的建立要通过反复的正算和反算。正算即以数值模拟和各种试验作为主要手段, 根据物理方程由前面窗口的边界参数演绎出后面各阶段的性能参数, 反算是根据后面窗口的约束条件推断前面窗口的约束条件, 直到建立整个性能通道, 确定出系统的初始状态所应该满足的条件即设计范围 D state。

图 4 设计范围与性能通道的关系

性能通道同时具有很大的工程价值, 因为借助第一道窗口, 生产厂家和用户可以仅仅通过对初始状态的测量, 就能判断所关心的产品是否可靠。

对认证对象的描述将反映在系统定义中。每一种型号的产品都有与该型号所对应的性能通道或失效判据。处在设计点上的产品代表着型号产品的基准模型。定型产品在研制期间难免经受某些设计和工艺上的技术更改, 并且加工过程的随机性也使得产品在个体之间存在初始状态的不确定性, 因而会造成批量生产的产品与基准模型的性能差异。在不同的研制阶段QMU的认证对象可以是基准模型, 也可以是批量产品。前者主要涉及认知不确定度, 后者同时涉及偶然不确定度和认知不确定度。

根据可靠性信息在系统内部的传递方式, 工程系统可分为离散系统和连续系统, 需要注意的是, QMU中提到的“ 失效”, 在这两类系统中具有不同的含义。离散系统强调功能的可靠, 可靠性信息以逻辑模式进行传播, 产品状态用二值逻辑变量来描述,“ 失效”意味着功能的完全丧失, 其实际意义与字面意义是一致的。连续系统强调性能的可靠, 无论从系统等级的下层到上层, 还是从动作过程的前期到后期, 可靠性信息都是沿着某些参数( 而不是以完成规定功能作为任务目标的实物单元) 以数理模式进行传播, 产品状态用多维实数变量来描述。

最终性能的失效是多维设计参数“ 共同作用”的结果, 加之可靠域R_state 的边界是“ 曲”的而非 “ 直”的, 这就很难为单个的设计参数或过程参数指定一个独立的失效判据, 因此, 连续系统中 “ 失效”的提法只有对最终性能是合理的。然而, 对连续系统的QMU, 我们也不妨继续沿袭离散系统中有关“ 失效”的术语, 因为在工程实践中, 对系统性能的控制, 最终还是要落实到对每一个设计参数的区间控制上, 这就等于为每一个设计参数或过程参数给定了一个人为的失效判据。假如R_state定义在二维空间中, 上述作法就相当于在 R_state 中确定一个内接长方形, 然后分别将长方形在两个方向上的延伸区域作为两个参数的设计范围, 超出各自范围即视为失效。

对连续系统, 性能通道中不同窗口所对应的物理量或约束条件可能存在某种程度的相关性或重复性。由于 Q M U 属于确定性模型, 各窗口物理量及其约束条件的相关性和重复性不会从原则上改变认证结果, 也不会像概率模型那样增加量化分析的难度。例如, 当一个物理量被认为应当加以约束时, 可以单独对其规定一个约束条件, 这相当于从另外一个物理视角去描述系统可靠工作所应该满足的条件。当它与其他物理量存在相关性并各有失效判据时, 只要新的约束条件提得正确, 该项约束便不会扩大但有可能“ 缩小”其他约束条件所构成的交集以及由这些交集产生的 R_state ,“ 缩小”的效果只是避免对失效模式的遗漏。

3 裕度和不确定度的量化

3.1 裕度的量化

如前所述, 裕度 M 在度量上表现为两个极端模型的性能之差, 其一对应于设计范围 D state 内性能最差的物理模型, 其二是处在性能通道边界上的物理模型。这里主要探讨在数值模拟置信度能够保证的情况下, 怎样确定这两个特定的物理模型以及由这两个模型产生的裕度值。

对产品状态集合及其对应性能参数集合的规范化描述有助于分析裕度的度量指标。加工生产的现实情况恰恰有利于我们对设计参数在边界描述上进行规范化处理。

描述产品初始状态的参数之间往往具有独立性, 或者经过合理的选择和构造能够实现其相互之间的独立性, 所以每一个具体的产品的状态都将对应于多维实数空间中的一个点。因为制造工艺和贮存条件往往对各个状态参数规定独立的取值范围, 所以批量产品的状态参数实际上构成了一个超矩形凸集合, 因此, 初始状态的可靠域也最好用一个超矩形凸集合来表示。之所以要强调超矩形凸集合, 一是因为工艺要求和技术规范确实将型号产品的初始状态

控制在一个超矩形凸集合中, 二是因为超矩形的拓扑特征有助于我们对初始状态沿用传统的 “ 失效”概念, 三是因为定义在超矩形凸集合中的函数往往在其极点或边界上取得极值( 理论认为, 线性函数的极值一定出现在凸集合的极点上) , 这都将为性能通道的构造和参数裕度的确定带来极大的方便。

型号产品都有一个初始状态的设计范围D_state 和可靠域 R_state ,“ 失效”的发生即意味着后者不能完全包含前者, 如果两者之中至少有一个表示为自然集合( 集合边界是由客观规律决定的曲面) , 那么判断一个产品是否失效, 就需要进行复杂的函数计算, 这在工程上很不现实。可行的办法是, 两者都采用超矩形凸集合, 这样失效判据就变得简单明了。如图 5 和图 6 所示, 设产品性能决定于两个状态参数 X 1 和 X 2 , 如采用超矩形凸集合, 则可以将任何一个状态参数的超差认定为初始状态的一个独立失效模式, 而用自然集合, 这种认定就不够合理。

图 5 用自然集合表示的设计范围和可靠域

图 6 用超矩形凸集表示的设计范围和可靠域

将可靠域从自然集合转化为超矩形凸集, 系统认证稍趋保守, 即少部分实际上是可靠的产品因为其状态参数没能落入超矩形可靠域中将被认定为不可靠。这部分产品如果一定要使用, 需进行单独的可靠性论证。

采用了超矩形凸集以后, 性能极值常常出现在设计范围和可靠域的极点上, 这一特性能够大大降低求解 Yworst 和Ydemand 时数值模拟和理论分析的工作量。如图 7 所示, 裕度为 Yworst 和 Ydemand所在性能等值线上的性能参数之差。

图 7 超矩形凸集中裕度的求解方法

3.2 不确定度的量化

由式( 3) , M 的不确定度决定于估计 Yworst 和 Ydemand 时所带来的不确定度。不确定度源于各种信息所具有的随机性、模糊性等不能完全确定的特性。根据来源的不同, 不确定度可分为两类:

( 1) 偶然不确定度: 属于客观不确定度, 产生于研究对象所固有的随机性或称可变性 ( V ariabilit y) , 增加试验次数或提高认知能力均不能对偶然不确定度起到消减的作用, 但有利于对其进行认识和量化。

( 2) 认知不确定度: 属于主观不确定度, 产生于人类对客观现象或某种规律在主观认识上的不充分( Lack of Knowledge) , 可随着试验信息的增加和认识水平的提高而逐步缩减甚至消除[6 ] 。

对 U 的量化简称 Q U ( Q uant ificat ion o f U ncert aint y) , 它使 Q M U 同传统设计中的安全系数法有了本质上的差别[ 7] 。Q U 为系统认证提供输入信息, 也是联系试验技术、数值模拟技术和信息理论的纽带。Q MU 通过置信比率 M/U 给出认证结果, U 可被理解为 M 在大、小两个方向上的可能变化范围, 它与 M 有相同的量纲。对 U 的量化是一个复杂的信息处理过程, 能否顺利得到量化结果, 取决于能否通过

“ 信息提取”和“ 信息整合”这两个关键的技术环节。前者从不同渠道获取不同类型的信息, 后者将不同类型的多源信息进行有效的整合。两者是 Q MU 的重要支撑技术, Q M U 本身不涉及对输入信息的收集整理。信息提取的主要手段有实物实验及其误差估计, 数值模拟及其 V & V 技术, 而最大信息熵原则、贝叶斯理论, P ossibilit y 或 Evidence 理论则是信息转换和信息整合的常用方法。

对于一个复杂系统, 两类不确定度往往同时存在并相互作用, 从而为整体不确定度的量化带来困难。产品状态参数的不确定度是由加工过程的随机性带来的, 一般能够通过样品统计的方法给出量化结果, 该不确定度可通过物理机制进行传递, 造成系统性能的随机波动。而认知不确定性主要表现在人们对物态参数以及系统状态和系统性能之间映射关系的模糊认识上。来自同一母体的重复试验有助于缩小认知不确定度[ 8] 。当试验数很少时, 需要结合 V & V 技术对认知不确定度进行量化。数值模拟包括建模( Mo deling ) 和模拟( Simulatio n) 两部分, 简称M& S 。V & V 通过对不确定度的评价来认定 M& S 的置信度( Credibilit y) [ 9- 10] 。

Verification( 验证) 用于认定计算模型能否正确求解给定的概念模型( 包括物理模型、控制方程和初边条件) , 通过数学上的误差分析技术以及与标准解的对比来评估数值解的不确定度, 而 Validat ion( 确认) 用于认定计算模型能否正确求解给定的物理问题, 通过与试验结果的对比来评估数值模拟的不确定度[ 11] 。前者为数值方法对新模型的预测提供了必要的“ 刚性”, 而后者则在前者的基础上, 结合一定数量的 Validation 试验来撑起数值模拟对工程预测的置信度。图 8 示意性地表达了三者之间的关系, 如果待求问题处于试验的覆盖范围之外, 数值模拟属于外插型预测, 置信度会逐渐降低。

为了证明数值模拟具有足够的置信度, V & V 必须充分收集有效证据来评价数值模拟的精度和不确定度, 这些评价结果是QMU用于对 U 进行量化的重要信息来源。用于QMU认证的输入信息可能来自实验, 也可能来自数值模拟或相似产品中有对比价值的数据。这些信息虽然来源不同, 相应的不确定量在取值空间、变量构成和特征函数上也可能存在较大的差别, 但它们具有共同的要素。我们发现, 不同的信息模型均包含 3 个基本组成部分:

图 8 V & V 与数值模拟置信度的关系

( 1) 变量的取值空间 Q;

(2) 由 Q 的子集所构成的变量x ;

(3) 定义在 Q 上的特征函数m(x ) 。

对异源信息进行整合, 应该首先实现变量及其取值空间的一致性, 如果不一致, 可借助某些特定方法(如最大熵原则)进行空间转换以求得一致, 在此之后, 信息整合就转变为对特征函数的整合[ 12- 14 ] 。对 U 的量化, 涉及较多的信息理论, 目前在QMU 中属于技术上相对薄弱的环节, 且不同问题各有不同的处理方法, 这里不再赘述。

4 QMU 方法的拓展

QMU的最终结果是形成一个置信比率汇总表, 该表能够以简单的数据结构清楚地显示系统各个关键环节中裕度及其不确定度的比值大小, 揭示薄弱环节, 便于对系统进行有效的技术管理与认证。因此, 建立统一的 QMU认证体系是很有意义的, 要达到这一目的, 必须将该方法普及应用到一般的系统中。作为确定性模型, QMU的认证原则是回避一切可以预见的风险[ 15] 。当工程问题不宜使用确定性模型时, 而对众多的概率分布类型, 找不到 M 和 U 的统一定义, 使得“ M/ U 大于 1”能够成为系统认证的决断标准, 这将难以形成统一的QMU框架。

本文认为, 要对全系统建立一个统一的QMU认证体系, 对概率问题也要套用 QMU 。

为了实现这一目标, 可将命题进行转换, 使得转换后的命题对象能够适合于QMU思想。例如, 在某些工程问题中, 虽然不能保证产品的特定功能“ 绝对”可靠, 但对产品提出可靠度“ 绝对”大于某值的要求却是完全合理的, 我们可由此实现概率模型到确定性模型的变换, 从而使概率模型被确定模型嵌套使用, QMU 的作用对象将由特征物理量转变为与该物理量有关的概率, 即裕度是“ 概率”的裕度, 不确定度也是 “ 概率”的不确定度, 如图 9 所示。

图 9 概率模型下的QMU

带有统一格式的QMU 认证可以应用到系统的最高层级中, 也可应用到所有层级中。在应用QMU的层级中, 需要首先分清哪些问题属于确定性模型, 哪些属于概率模型。对概率问题的可靠度进行QMU评价, 需要将可靠度在整个系统中进行很好的分配, 因为概率模型在系统可靠性综合评估中能够体现高可靠性单元对低可靠性单元的弥补作用, 而QMU 强调对失效模式的独立分析, 强调最弱环节, 不能用高可靠度单元所具有的优势去弥补低可靠度单元所具有的劣势。

5 QMU 实例

表 1 示例性地给出了某个系统的QMU认证结果, 其中共列出 10 项失效模式。前 9 个可以直接使用确定性模型, 所对应的特征性能参数一般具有不同的量纲。第 10 个失效模式所对应的物理量因随机性较大, 加工公差无法保证该物理量完全落入设计范围, 研制单位和用户一致同意采用概率模型, 并在设计要求中规定该物理量落入设计范围的概率( 即该物理量所对应的可靠度) 大于 0. 99, 因此对该失效模式采用概率模型下的QMU认证, 最终在全系统中取得统一的QMU认证结果。该例中 M 和 U 的量化过程简述如下:

( 1) 分析失效模式, 确定出对系统性能有较大影响并且在加工和贮存过程中变化较大因而需要重点控制的 2 个设计参数以及系统动作过程中各失效模式所对应的特征物理量;

( 2) 进行一定数量的数值模拟, 求出系统性能随上述 2 个设计参数的变化规律( 其他设计参数视为定值);

( 3) 根据设计方案和用户对系统提出的性能要求, 结合数值模拟所揭示的物理规律, 求出性能通道中各窗口处的设计范围 D_state 和可靠域 R_state;

( 4) 根据图 7 所示的方法估计各失效模式的裕度 M ;

( 5) 综合试验的测试不确定度和数值模拟的不确定度, 分析裕度估计值所具有的不确定度 U。

表 1 QMU 认证实例

失效模式	性能边界	设计范围	性能裕度	不确定度	置信比率	认证结果
1	[ 3. 10, 3. 34] kg	[ 3. 20, 3. 30] kg	0. 04 kg	0. 02 k g	2. 00	通过
2	[ 6. 95, 7. 49] kg	[ 7. 15, 7. 20] kg	0. 20 kg	0. 15 k g	1. 33	通过
3	[ 1. 18, 2. 50] kg	[ 1. 27, 2. 00] kg	0. 09 kg	0. 05 k g	1. 80	通过
4	≥1 000. 0 kJ	≥ 1 400. 0 kJ	400. 0 kJ	300. 0 kJ	1. 33	通过
5	≥4. 35 ms	≥6. 30 m s	1. 95 ms	1. 20 ms	1. 63	通过
6	≤81. 36 us	≤77. 40 us	3. 96 us	2. 00 us	1. 98	通过
7	> 150. 0 s^-1	≥ 193. 5 s^-1	43. 5s^-1	25. 0s^-1	1. 74	通过
8	≥0. 83( 无量纲)	≥0. 89	0. 06	0. 058	1. 03	通过
9	≥0. 96 g	≥ 1. 05 g	0. 09 g	0. 05 g	1. 80	通过
10	可靠度 ≥0. 99	可靠度 ≥0. 999 1	0. 009 1	0. 005	1. 82	通过

注: 系统认证结果: 通过 Q M U 认证, 但第 8 个失效模式属薄弱环节, 需高度关注。

[ 1] Katie Walt er. Qu antif ying M argin s and Un certainties: ABett er Met od f or Certifyin g the Nu clear St ockpile[ R] .S& T R, March 2004: 19 21.

[ 2] M cCoy Donald R. A Personal View: Weapon Certification[ R] . L os Alamos Science, Num ber 28, 2003: 54- 57.

[ 3] S harp David H , Wood Schultz Merri M. QMU and Nuclear Weapons Certification [ R ] . Los Alamos Science,Number 28, 2003: 47- 53.

[ 4] T rucano Timothy G. Uncert ain ty Quantifi cation Wh it e paper U ncert aint y Quantifi cation and th e Departm ent of Hom eland Securit y! [ R] . SAND2004 2411P.

[ 5] H elt on J S. Treatm ent of U ncert aint y in Perform ance Assessm ents f or compl ex Sy st ems [ J] . Risk Analy sis, 1994, 14( 4) : 483 511.

[ 6] Ch adw ick Mark B, Patrick Talou, Tosh ihiko Kawano. Reducing Uncert aint y in Nuclear Dat a[ R] . Los Alamos Science, Num ber 29, 2005: 26 41.

[ 7] H emez Francois M . An Inf ormation – Gap View of syt em Certificati on at Los Alamos[ R] . LA UR 05- 7429.

[ 8] Najm H N , et c. Un cert aint y Quan tification in Reacting Flow Modelin g[ R] . SAND2003 8598.

[ 9] H an son Kenneth M, H emez Francois M. Uncert aint yQuantification of Simu lation Codes Bas ed on Experiment al Dat a[ R] . LA U R 03 0171.

[ 10] Ober kam pf William L, et c. Estimation of T otal Un cert ain ty in M odeling and Simul ation [ R] . SAND2000

[ 11 ] Oberkampf William L, Tru can o T imothy G. Verification and Validation in Comput ational Fluid Dynamics[ R] . SAND2002 0529.

[ 12] 马智博, 朱建士, 徐乃新. 基于主观推断的可靠性评估方法[ J] . 核科学与工程, 2003, 23(2) .

[ 13] Ober kam pf William L, et c.C hallen ge Probl ems: Un cert ain ty in S yst em Res pon se Given U ncertaint y Paramet ers[ R] . November 29, 2001.

[ 14] Fers on S , et c. Diff er ent Meth od Ar e Needed t o Propagate Ign orance and Variabilit y[ J] . Reliabilit y Engin eering an d Syst em safet y, 1996, 54: 133 144.

[ 15] Martin Pil ch, Trucan o Tim othy G, H elt on Jon C. Ideas Un derlyin g Quantification of Margins and Un cert ainties ( QMU ) : A Wh it e Paper[ R] . SAND2006 5001.

系统

331

2024 年 4 月
一	二	三	四	五	六	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30