优化安全关键系统中的警报器放置

0 引言
应用在各种安全领域的大型安全关键系统，由许许
多多的复杂的部件组成。为了系统的安全运行、提供监
测界面以及辅助操作人员决策，可以对系统的架构进行
分析并建立一个系统的FPG， 动态地观察系统状况。
FPG 中的节点代表系统的部件，有向边代表着节点之间
的关系。
为了能及时发现故障，需要在系统中设置一定的监
测点和警报器，也就是在FPG 中的节点上放置警报器。
当故障发生时， 节点的警报器就会检测到异常并触发，
然后系统的FPG 可使用MFD 算法，计算出故障的来源
节点，提醒操作人员采取应对措施，避免进一步的灾难
发生。
然而，大型系统中往往存在警报器不足或冗余的现
象。警报器不足时，故障不易被检测到。警报器过多时，
造成系统的计算负荷大，运行速度缓慢。怎样给系统增
加节点的警报器， 或怎样减少节点上冗余的警报器，需
要科学的分析方法来解决， 从而提高监测工作的有效
性，减少系统的计算负担，对于系统的安全运行有着重
大的意义。
1 报警功能的需求和特性
报警功能的需求和特性，是通过监测系统的某些条
件或现象。因为异常的条件或现象往往预示着故障的出
现。对于硬件，监测的是人机界面上系统的运行状态和
薛亮
（广东第二师范学院实训中心广东广州510303）
【摘要】大型的安全关键系统由许许多多的部件组成，为了既能监测到系统故障，又能减少系统的计算负担，需要
对部件上的警报器放置进行优化。本文论述了如何对警报器的数量和位置进行优化，并讨论了报警功能的需求和特
性、优化警报器的放置目的，以及利用失效模式影响和危害性分析(FMECA)来给节点的失效危害程度予以评级。通
过对燃气SCADA 系统的两个不同的警报器放置实例对比，说明了采用FMECA 方法分析，给失效危害程度级别高
的节点优先放置警报器，再结合多重错误检测（MFD）算法，能正确地找出故障产生的来源节点。
【关键词】优化警报器放置；条件约束；安全分析方法；失效模式影响和危害性分析(FMECA)；故障传递图（FPG）；多
重错误检测算法（MFD）；SCADA（三遥）系统
Optimizing Alarm Placement in Safety Critical Systems
Xue Liang
(Centre of Training, Guangdong University of Education GuangdongGuangzhou 510303)
【Abstract】Alarge safetycritical systemis usuallycomposed of thousands ofcomponents. In order to detect the failure and reduce the computing burden
of the system, it is significant to optimise the alarmplacement on the components. This paper discusses on the optimising for the numbers and position of
alarm, requirements and properties of alarmfunction, the objective of alarmplacement optimising, and howto use FMECAto rank the nodes with criticality.
Through the comparison of the two different cases of alarmplacement on a naturalgas SCADAsystem, it proves a feasible way to identify the source node
producing the fault byalarmplacement on the nodes with the prior criticalityranked byFMECAand using theMFDalgorithmin computing.
【Keywords】alarm placement optimising; constraint; safety analysis techniques; failure modes effects and criticality analysis; fault propagation graph;
multiple fault diagnosis algorithm; SCADAsystem
优化安全关键系统中的警报器放置
Successful Cases·案例·技术实践·100·
信息安全与技术·2012 年9 月
发生的事件。对于软件，监测的是系统内部的参数或者
变量。软硬件监测的共同之处在于对每一个重要的参数
都建立一个监视点，这些重要的参数应能反映出系统的
行为或具体的监测值。
在监测时，需要预先在监视点上添加条件约束。条
件约束可以是一组逻辑表达式、运算表达式或者关系表
达式。它可以理解为一个监视点———能监测参数的边界
值。即在软件系统中，它可以理解为某个参数所加的上
限或者下限。若有故障发生，参数值就会突破条件约束，
即越过边界值。比如说，一个燃气管道压力的条件约束，
可以描述为以下形式：
压力值> 最高上限；
压力值< 最低下限；
Where：压力值：燃气管道的压力值；
最高上限：管道所能承受的最大压力值；
最低下限：管道内最小压力值。
在上述的条件约束中，如果系统运行正常，那么压
力值将会在最高上限和最低下限之间波动。当压力值超
过管道压力值的最高上限时， 发生故障的机率就很大，
处于危险状况。如果在参数“最高上限”已设置了一个压
力上限警报器，那么此时就会触发报警。所以，警报器适
合设置在系统中具体的条件约束处。
2 优化警报器的放置目的
在一个系统中常常有一系列的部件放置了警报器。
这些警报器在系统发生故障时会被触发，并作为计算故
障来源的的依据。因为系统部件可以用FPG 中的节点来
表示， 每个节点可以用FMECA 对其失效危害程度给予
不同的分级，危害程度最高的节点将被优先安装警报器。
优化警报器放置的目的，是为了在具有复杂部件的
大型系统中，对警报器的数量进行优化，有选择地在系
统部件上放置警报器， 保证系统更有效地进行故障监
测。同时，可以剔除冗余的警报器，减少计算故障来源的
时间复杂度。
3 警报器放置的分析方法
现实中，我们不可能面面俱到地在大型系统中的每
一个部件上都放置警报器。为了减少系统计算所花费的
时间和代价， 需要在系统的部件中有选择地放置警报
器。这就需要采用适合的方法对系统进行风险分析，从
而指导我们在系统的哪些部件上放置警报器。
在对安全系统进行分析时，选择合适的分析方法很
重要。常见的安全分析的方法有故障树分析（FTA）、风
险和可操作性分析（HAZOP）、严重程度分析(SA)、失效
模式与影响分析(FMEA)、失效模式影响和危害性分析
(FMECA)等。
其中，FMECA 方法可以识别出系统的各个部件和
这些部件的失效模式。即系统各部件的功能、失效模式、
失效后果和失效危害程度都能被FMECA 分析出来。失
效危害程度最高的节点， 会最先被放置警报器。所以，
FMECA 适合用于如何在节点上放置报警器的问题。
FMECA 方法分析的危害程度可以细分为几种级
别： 灾难性的（Catastrophic）； 危急的(Critical) ； 轻度的
(Marginal)；微小的(Minor)。
4 如何进行警报器的优化放置
在这里，我们以SCADA 系统作为研究对象，采用
FMECA 分析系统部件的失效模式和危害程度， 以期解
决警报器优化放置的问题。
SCADA （Supervisory Control and Data Acquisition
System）系统，在监测和控制领域十分常见，也称为“三
遥”系统，是一种可以执行遥测、遥控、遥调的数据采集
和控制系统。
SCADA 系统由硬件和软件两大部分组成。硬件包
括数据采集模块、通信模块、PLC/ 单片机、电源、前端仪
表等。软件包括中心控制系统、客户端数据浏览系统，
Web 数据发布系统、后台数据库等。前端仪表从传感器
采集数据，包括流量计、压力表等。通信模块通过无线网
络接收或发送数据帧。中心控制系统则是一套软件，提
供实时数据的浏览、遥控、遥调终端设备等功能。
在使用FMECA 分析之前， 需要建立一个系统的
FPG。在建立FPG 之前，需要先弄清楚系统架构。我们以
一个燃气SCADA 系统为例，其架构图如图1 所示。
有了系统架构图， 接着可以构造出该系统的FPG，
如图2 所示。
然后， 可以使用FMECA 分析该系统并生成表格。
表1 展示了该系统的部件的功能、失效模式、原因、后果
和危害程度。
下一步，我们给失效危害程度为“灾难性的”和“危
急的”节点“n1”、“n2”、“n3”、“n7”,“n10”、“n11”上放置了
警报器。当系统内某故障产生后， “n1”、“n2”、“n3”、
“n11”上的警报器就被触发。如图3 所示。
此时， 可以应用MFD 算法来分析系统的故障传递
技术实践·案例·Successful Cases
·101·
2012 年9 月·www.infosting.org
图，找出产生故障的来源节点。具体步骤如下：
第一步， 删除未触发警报和没有放置警报器的节
点。节点“n7” 和“n10” 装有警报器但未被触发，可以先
在图4 中删除。节点“n4”, “n5”, “n6”, “n8”, “n9”, “n12”
上因为没有警报器，也可以删除，如图4 所示。图5 显示
的是在第一步删除了部分节点后的情况。
第二步，分析触发警报的节点，删除不可能是故障
来源的节点。在图5 中，节点“n1”，“n2”，”n3”相连，且这
三个节点上的警报器都被触发。在图6 中，根据MFD 算
法，若是节点“n2”单独发生故障时，”n1”应该不会被触
发。同理，若是节点“n3”单独发生故障，“n2”和“n3”不应
该被触发。所以节点“n2”和“n3”可以被删除。图7 显示
Successful Cases·案例·技术实践·102·
信息安全与技术·2012 年9 月
表1 使用FMECA 分析燃气SCADA 系统
部件失效模式失效原因失效后果失效危害程度
燃气管道
(节点n1)
爆裂压力过高或者被外力损坏燃气泄露灾难性的
带传感器的仪表
(节点n2)
读取管道数据失败没有信号输入或仪表没有
安装好
无法获得管道压力值或
PLC 接收零压力值
灾难性的
可编程逻辑控制器
（PLC）(节点n3)
无法读取信号和转换数
据；无法构造数据帧
掉电；PLC 不正常工作；不
正确的传感器连接
丢失数据帧； 数据值不
正确；无法构造数据帧
危急的
数据存储模块
(节点n4)
数据无法储存储存容量已满或模块失效数据丢失轻度的
电池
(节点n5)
无电压电量耗尽PLC 在断电且无电池供
电情况下无法工作
轻度的
通信模块
(节点n6)
无法发送和接收数据模块损坏无法对PLC 进行发送
或者接收数据
轻度的
看门狗模块
(节点n7)
无法控制通信模块及纠
正错误
看门狗程序或者电路故障无法控制通信模块的状
态
危急的
无线网络
(节点n8)
无线网络意外中断信号太弱或者受到外部干
扰
数据帧无法经过网络发
送
轻度的
通信模块
(节点n9)
无法发送和接收数据模块损坏数据与中心控制系统之
间无法发送或者接收
轻度的
看门狗模块
(节点n10)
无法控制通信模块及纠
正错误
看门狗程序或者电路故障无法控制通信模块的状
态
危急的
中心控制系统
(节点n11)
无法监测数据和控制设
备
软件/ 硬件错误操作员无法观察到管道
压力
危急的
数据库服务器
(节点n12)
储存数据失败数据库或者磁盘损坏历史数据丢失轻度的
的在第二步删除节点后的情形。
第三步，找出最后的故障来源节点。在图7 中，节点
“n1” 和“n11”上都有警报被触发，故障的来源就存在于
这两个节点中。根据节点代表的意义，“n11”是中心控制
系统，而“n1”是输送气体的管道。“n1”正好是“n11”监
测的对象和数据来源。由于中心控制系统软件设有监测
数据上下限的机制， 当管道压力值超过上限或者下限
时，在“n11”处就会触发警报。一般情况下，节点“n11”都
不会发生故障。而且，若故障来源于“n11”的话， ”n1”不
应有触发的警报。所以，“n11”不可能是故障来源节点，
而“n1”就应该是故障的来源节点。
我们再来分析一下燃气SCADA 系统的另外一种
警报器放置情况，即不按照节点的失效危害程度级别来
放置警报器。这种情况下，警报器只是设置在一些失效
危害程度为“轻度的”的节点，于是系统的FPG 就变成如
图8 的形式：
如图8 所示， 如果有燃气管道破裂且气体泄漏，管
道的压力会很快下降至零。管道压力为零现象是一种燃
气SCADA 系统的典型故障。在图8 中，零压力故障会
沿着节点路径“n1->n2->n3”传递。由于节点”n3”上没有
安装警报器，故障到达”n3”时仍然不会告警。
节点“n4” 是数据存储模块，其警报器是检查数据有
无丢失。“n5”是电池，其警报器作用是检测电池的状态，
如电力是否耗尽。这两个节点上的警报器都不具有检测
管道压力值的功能，因此这里不会触发警报。
于是，故障会继续沿着路径传递至后续的节点。当
技术实践·案例·Successful Cases
·103·
2012 年9 月·www.infosting.org
表2 使用MFD 算法分析图2 中燃气SCADA 系统的FPG
序号类型节点
1 安装了警报器的节点n1, n2, n3, n7, n10, n11
2 没有安装了警报器的节点n4, n5, n6, n8, n9, n12
3 触发节点n1, n2, n3, n11
4 未触发节点n7, n10
5 可能产生故障的路径n1→n2→n3→n11
6 可能的故障来源{n1}
故障传递至具有警报器的节点“n6” 和“n9”，这两个节点
是通讯设备，警报器也不会被触发。因为这里的警报器
只检查通讯故障：如通信是否正常，能否接收数据等，并
不检查压力值范围，这里也不会引发报警。
节点”n7”、”n10”是看门狗模块，”n8”是无线网络，
都没有放置警报器，不会触发警报。
当故障经过节点”n11”中心控制系统时，这里没放
置警报器，不会触发警报。故障会继续传递至系统最后
一个节点———”n12”数据库服务器，这里的警报器只是
检查数据有无被正确存储， 即便是压力值为零的数据，
也能被储存，不会触发警报。
Successful Cases·案例·技术实践·104·
信息安全与技术·2012 年9 月
监控计算机软件每一个定时周期， 通过RS485 端口
从数字传感器经WebSphere 消息代理中间件读取所有需
要读取的传感器数据，并将这些数据通过移动GPRS 网络
和Internet 发送到数据库服务器，程序流程如图4 所示。
4 结束语
本文采用多个ZigBee 监测网络测报具体温室环境
数据， 此监测系统以较低的投资来实现温室环境数据的
采集以及设备故障的分析等， 最终达到农作物增效的目
的。网关节点基于中间件技术的分层体系结构，实现对各
个ZigBee 监测点的集中管理的方法， 实现数据传递，这
种方式有效地解决了星型拓扑结构ZigBee 监测网络监
测范围受限的问题。通过增加监测网络的个数来扩大监
测范围或多点分布式监测，而且还不会影响到管理应用。
参考文献
[1]吴光荣,章剑雄.基于ZigBee 的高压开关柜无线温湿度监测系
统.现代电子技术，2008；31（20）：169—171.
[2] IBM.Websphere Using Java,2004.
[3] C.F.Chiasserini and R.R.Rao,A Distributed Power Management
Policy for Wireless AdHoc Networks [C]，IEEE Wireless Communication
and Networking Conference，2008：1209—1213.
作者简介：
袁淑萍（1975-），女，江苏盐城人，徐州师范大学计算机应用及教
育专业，大学本科，学士学位，盐城生物工程高等职业技术学校计算
机工程系，讲师，多次参加市级省级职业学校技能竞赛并取得显著成
绩，近年来在国家级刊物上多次发表论文；主要研究方向：软件工程
技术。
最终，故障在系统中所有节点传递，竟没有一个节
点的警报器被触发。应用MFD 算法分析故障来源节点，
是建立在必须有一个或者多个被触发的警报节点的前
提下的。因此，如果不按照节点的失效危害程度级别来
选择节点放置警报器， 故障无法被发现， 也不能应用
MFD 算法找出故障的来源。
5 结束语
在大型的安全关键系统中，根据节点的失效危害程
度级别，选择合适的节点放置警报器，既能减少系统的
计算复杂度，又能保证有效地查找出产生故障的来源。
FMEACA 是风险分析的一种有效方法， 它采用了
失效危害程度级别的评定， 能分析出系统的每个部件
（节点）的失效后果和失效危害程度，为决定在系统的哪
些部件放置警报器提供了依据。
实现系统警报器的优化放置，要求尽可能地减少系
统节点上不必要或冗余的警报器，包括三个步骤：第一
步，分析整个系统的架构；第二步，生成系统的故障传递
图；第三步，使用FMECA 生成一个节点失效模式和危
害程度的表格。
每个节点的失效危害程度决定了其是否需要放置
警报器。失效危害程度级别高的节点，应优先放置警报
器。如果没按照节点的失效危害程度的优先级来放置警
报器，将会导致不能发现故障和计算出故障的来源。