SIS中基于Markov模型的诊断模块失效率分析

本资料包含pdf文件1个，下载需要1积分

近些年来，由电子、电气元件组成，以微处理器为基础构件的系统在许多领域中执行重要的安全功能 。国际电工委员会 于 2000年发布了关于这些系统功能安全 的国际标 准 IEC61508∮着在 2003年发布了针对过程工业的安全仪表系统功能安全国际标准 IEC61511。标准中给出了安全生命周期和安全完整性等级 (Safety IntegrityLevel，SIL)的概念。不同的安全仪表系统根据其正确执行安全功能的能力划分不同的 SIL等级，而安全完整性水平 SIL根据安全仪表功能 (SafetyInstrumented Function，SIF)的平均要求--动作时功能失效的概率 PFD来确定 。标准中列举了计算平均危险失效概率的模型和方法，为设计和评估过程提供了指导。其中通过 Markov模型计算平均危险失效概率以其灵活及无记忆性等优点得到了很好的应用 。

为了提高系统的可靠性，安全仪表系统往往构成冗余结构。IEC61508中阐述了部分冗余构造的Markov模型的建模以及计算方法，如 1 ool、l002及 2003等。然而 由于生产过程安全要求的提高，带有诊断拈的系统冗余结构开始得到广泛的应用，如 1oolD及 20o2D等。标准中给出的关于具有诊断能力冗余结构的PFD建模和计算流程中，没有考虑诊断拈失效概率，势必对计算结果的精确程度造成影响。PFD是确定系统安全完整性水平的基础，只有精确地计算出PFD才能正确得到系统的SIL等级。笔者将对 Markov建模方法进行改进，在考虑诊断拈失效率的情况下建立模型，并分析计算结果。

1 Markov建模原理及计算方法安全仪表功能安全可靠性建模中用到的马尔可夫模型采用状态转移图表示系统状态变化。圆圈表示系统的状态 ，可以是正常 、失效或者中间状态。带箭头的-条弧线表示系统状态转移，起点表示转移前系统状态，终点表示转移后状态。通常状态之间的转移概率标于相应的弧线上方。

求解马尔可夫模型的方法很多，工程上采用- 种离散时间矩阵相乘的方法非常有效和方便。

首先选择-个时间间隔 △作为基本的时间单位，状态的转移概率等于失效率或者维修率与时间间隔的乘积(A△ 或 /.tAt)。时间间隔越小，模型解的精度就越高。状态转移图上可以省略△ 。

从马尔可夫状态转移图可以得到状态转移矩阵 户，它是-个方阵。矩阵元素表示各状态之 间的转移概率。用-行向量表示系统的初始状态s ，它乘以P便得到经过-个 △后系统处于各状态的概率。经过 个时间间隔后系统处于各状态的概率等于S。XP。

2 改进后的 Markov模型IEC61508中给出了对于带有诊断通道冗余结构的 Markov建模及计算方法，在此基础上，考虑诊断拈失效率，加入新的中间状态，改进模型。1oolD和 20o2D是两个典型的带诊断通道 的冗余结构，以下将以安全仪表系统中逻辑控制器收稿日期：2012-10-05(修改稿)第 2期 王慧锋等.SIS中基于 Markov模型的诊断拈失效率分析部分的这两种结构对改进后的建镍行阐述。 在模型中用到的符号及其代表的含义见表 1。

表 1 公式符号含义符号 含义 符号 含义A 。 可检测到的安全失效率 A 未检测到的危险失效率，共因失效 未检测到的安全失效率 可检测到的安全失效率，非共因失效A 可检测到的危险失效率 A 。 可检测到的安全失效率，共因失效A 未检测到的危险失效率 A 未检测到的安全失效率，非共因失效A 可检测到的危险失效率，非共因失效 A 未检测到的安全失效率，共因失效 。 可检测到的危险失效率，共因失效 o 检测到危险失效修复率A 未检测到的危险失效率，非共因失效 s。 检测到安全失效修复率2.1 1oolD的Markov建模1oolD结构由-个具有诊断能力的通道和第二个诊断通道串联而成，诊断通道能够控制输出。

两条通道相互独立，这种结构增强了系统的安全性。如果诊断电路检测到控制器发生失效，将使其控制的输出开路，导致系统发生安全失效。诊断通道可以将被检测到的危险失效转变成安全失效。

OV模型如图 1所示。Fs代表安全失效模式，FDU代表未检测到的危险失效模式，诊断拈的作用使得检测到的危险失效转变成安全失效。

图 1 1ool D马 尔可夫模型然而当考虑到诊断拈的失效，失效模式将增加，马尔可夫状态也必然增加。在原有基础上，加入-个 中间状态 ，即诊断拈 的失效状态DF，用 A 表示诊断拈 的失效率 ，由此可以建立如图 2所示 的模型。

改进模型中正常运行状态0以A 的失效率过渡到中间状态 3，此时诊断通道失效，冗余结构降级为 1ool，此时失去了诊断拈的保护，状态 3将以A 、A 的失效率分别过渡到状态 1和状态2。

2.2 20o2D的 Markov建模对于 1oolD冗余结构，只需加人-个中间状态，建模方式简单，随着结构的复杂化，模型所加入的中间状态也要相应增加，但依然可以用同样的方式建立模型。

20o2D可以看做由两组 1oolD并联组成，这种并联结构，当任意-组通道发生未检测到的危险失效，系统将发生危险失效。-组通道发生安全失效 ，系统仍然可以正常工作，因为另-组通道可以控制输出。因此在-定程度上降低了安全失效概率。

2表示两个中间降级状态，D-1表示-条通道发生检测到的失效，另-条通道正常工作，系统正常；D-2表示 -条通 道发 生未检 测到 的失效，另- 条通道正常工作 ，系统状态正常。状态3和5图 2 1oolD改进后 的马 尔可夫模 型 图 3 20o2D结构 马 尔可夫模 型l98 化 工 自 动 化 及 仪 表 第40卷分别表示系统安全失效状态和未检测到的危险失效状态，状态4系统失效，-条通道发生检测到的危险失效，修复后另-条通道发生未检测到的危险失效 。

在此基础上，增加中间状态，将诊断拈失效率 A 引入 Markov模型，得到的结果如图4所示。

图4 20o2D改进后的马 尔可夫模型改进的模型中增加 了几个 中间状态 ，是-条通道正常工作，另-通道失效的降级状态。状态1表示-条通道发生检测到的失效 ，可以是 检测到的安全失效或是检测到的危险失效；状态2表示-条通道发生未检测到的安全失效，另-条通道工作正常；状态 3表示-条通道的检测拈发生失效；状态4表示-条通道发生检测到的失效，另-通道的检测拈发生失效；状态 5表示-条通道发生未检测到的安全失效，另-通道发生诊断拈失效〖虑诊断拈失效后模型较之前将较为复杂，在模型复杂化后是否对计算参数影响将是关心的问题。

3 PFD计算结果分析对于改进后的模型，由于增加了中间状态，必然会影响马尔可夫状态转移矩阵的维数 ，从而对-系列安全性能参数的计算造成影响，在这里以逻辑控制器为讨论对象，对 1oolD冗余结构的系统用改进后的模型做计算讨论。表 2是设备相关的失效数据表。

表2 设备失效率 h逻辑控制器 sD su DD DU1.810 ×10- 1.007× 10-69， 900 ×10- 5.900×10- 1.180×10-规定测试周期为-年(8 760h)，根据前文建立的马尔可夫模型，1oolD的 PFD 可由下式得到：PFD SoP Eo 0 1] (1)其中.s。为起始状态向量[1 0 0]，表示起始时刻系统处于状态 0的概率为 1，系统处于其他状态的概率为0；向量[0 0 1]代表系统危险失效状态向量。设仪表故障在线修复时间为8h，则 。1/80.125；装置检修周期(功能测试周期)为-年；-次无故障停车后装置重启时间为24h，则 s。1/240.041667；假设测试 是理想的，则测试覆盖率 C 100%。

对于未改进的 1oolD马尔可夫模型，状态转移矩阵 P为 ：r1-(A A ) A 。A A。。 A。 ]PI sD 1-/xsD 0 l (2)0 o l J改进后 ，由于增加了中间状态 ，状态转移矩阵的维数将增加，改进后的状态转移矩阵P为：1-(A A。A ) A5DA uADo A。 A ]p∞ 1- sD 0 0 10 0 1 0 l0 A A。 1-(A A。)J(3)其中，诊断拈失效率 A 取 9.4×10-，根据PFD计算公式，可以分别得出：PFD 0.0010331 (4)PFD ( )0.0010352 (5)考虑诊断拈失效率后对 PFD的计算结果可以看到 ，改进后 的 PFD 稍稍偏大，但并不 明显。由此可见 ，在未考虑诊断拈失效的情况下对危险失效概率的计算趋于保守，在-定程度上会过高估计安全仪表系统的 SIL等级，影响其精确性。但从结果来看，加入诊断拈失效率后的计算结果与之前结果相比，差异并不明显。

改变A 的取值，分别取10×10-、40×10-、70×10-、10×10～、50×10～、90×10 可以计算出 在浮动情况下计算结果 P肋 的变化情况 ，如图 5所示。 从图5中可 以看到 PFD的变化趋势，虽然有明显的浮动，但都在 l0 的精度范围内变化。

IEC61508中对于安全设备的操作模式分为低要求和高要求两种。对于两种不同的操作模式 SIL等级划分也有所不同，表 3给出了标准中规定的第 2期 王慧锋等.SIS中基于 Markov模型的诊断拈失效率分析 199不同操作模式下 SIL等级的划分原则。

图5 PFD 计算结果变化表 3 安全完整性水平划分原则失效概率安全完整性水平 - - 低要求操作模式 高要求操作模式对于低要求操作模式，最高级别的安全完整性水平 SIL4要求 的失效概率精度只有 10-～10～；对于高要求操作模式 SILl等级对于失效概率精度的要求就达到了 10～～lO～，即对于流程工业上应用的低要求操作模式的安全仪表系统，可以不考虑诊断拈失效率对 SIL水平评估的影响；而对于高要求模式，对 SIL水平评定要求的失效概率精度更高，此时诊断拈失效率会影响到评估结果，在建模时不应该忽略其失效率的影响。

4 结束语笔者在 IEC61508的基础上，对其中介绍的关于安全仪表系统 Markov模型进行了改进。标准中对于 1oolD及20o2D等冗余结构的描述中，未考虑诊断拈对于计算评估 SIL等级的影响，改进 Markov模型后，将诊断通道失效率加入到模型以及 PFD计算当中，使得模型更加完整更加全面，结果更加精确。通过对 PFD 计算结果的分析，发现诊断拈失效率对危险失效概率的计算结果造成了影响，但影响的精度范围较小，对于低要求操作模式下的安全仪表系统可以忽略诊断模块对计算结果的影响；而对于高要求操作系统，若忽略诊断拈失效率，必然会影响失效概率计算的精确度，从而影响SIL等级的确定。