郁 強(qiáng) 徐建平

(華東理工大學(xué)信息科學(xué)與工程學(xué)院1，上海 200030；上海工業(yè)自動(dòng)化儀表研究院2，上海 200233)

基于FMEA和MARKOV的安全完整性等級(jí)評(píng)價(jià)方法比較

郁 強(qiáng)1徐建平2

(華東理工大學(xué)信息科學(xué)與工程學(xué)院1，上海 200030；上海工業(yè)自動(dòng)化儀表研究院2，上海 200233)

功能安全是工業(yè)過(guò)程成套設(shè)備和系統(tǒng)的一項(xiàng)重要性能指標(biāo)。在簡(jiǎn)要介紹目前國(guó)內(nèi)外功能安全評(píng)價(jià)標(biāo)準(zhǔn)的基礎(chǔ)上，從電氣/電子/可編程電子系統(tǒng)的安全完整性等級(jí)(SIL)評(píng)價(jià)出發(fā)，闡述并比較了FMEA和MARKOV這兩種定量的SIL評(píng)價(jià)方法。綜合兩者的特點(diǎn)，提出了SIL評(píng)價(jià)的新方法，即FMEA-MARKOV評(píng)價(jià)方法。利用FMEA和MARKOV各自的優(yōu)勢(shì)，在冗余結(jié)構(gòu)復(fù)雜和危險(xiǎn)程度較低時(shí)，使用FMEA評(píng)價(jià)方法；在冗余結(jié)構(gòu)簡(jiǎn)單和危險(xiǎn)程度較高時(shí)，混合使用FMEA和MARKOV評(píng)價(jià)方法。新的評(píng)價(jià)方法對(duì)于評(píng)定SIL具有重要意義。

功能安全 FMEA MARKOV 安全完整性等級(jí) IEC 61508 IEC 61511

0 引言

隨著工業(yè)成套設(shè)備和系統(tǒng)的大規(guī)模應(yīng)用，特別是在設(shè)備招投標(biāo)將功能安全作為其中的一項(xiàng)重要指標(biāo)之后，功能安全的評(píng)價(jià)越發(fā)引起人們的關(guān)注。功能安全是一個(gè)全生命周期的過(guò)程，國(guó)際上關(guān)于功能安全評(píng)估的參考標(biāo)準(zhǔn)主要有IEC 61508和IEC 61511。

目前，關(guān)于安全完整性等級(jí)(safety integrity level,SIL)評(píng)價(jià)方法主要有定性和定量?jī)煞N。基于故障模式與影響分析(failure mode and effects analys，F(xiàn)MEA)和MARKOV方法都是定量的評(píng)價(jià)方法，但二者各有優(yōu)勢(shì)。本文通過(guò)比較FMEA、MARKOV的SIL評(píng)價(jià)方法，綜合二者的優(yōu)勢(shì)，提出了安全完整性等級(jí)評(píng)價(jià)方法的策略(即FMEA-MARKOV評(píng)價(jià)方法)，為評(píng)定SIL提供了參考。

1 標(biāo)準(zhǔn)介紹

功能安全是指與受控設(shè)備和系統(tǒng)有關(guān)的整體安全組成部分，它取決于電氣/電子/可編程電子安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低措施功能的正確執(zhí)行[1]。

目前，國(guó)外在功能安全評(píng)估的過(guò)程中主要參考的標(biāo)準(zhǔn)有IEC 61508和IEC 61511。IEC 61508標(biāo)準(zhǔn)即電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[1]。IEC 61511標(biāo)準(zhǔn)即過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)功能安全[2]。國(guó)內(nèi)的功能安全評(píng)價(jià)則起步相對(duì)較晚，其標(biāo)準(zhǔn)主要采用等同翻譯的形式參考國(guó)際標(biāo)準(zhǔn)，目前國(guó)內(nèi)功能安全評(píng)價(jià)的標(biāo)準(zhǔn)主要有GB/T 20438和GB/T 21109[3]。

2 安全完整性等級(jí)

在規(guī)定條件、規(guī)定時(shí)間內(nèi)，安全相關(guān)系統(tǒng)成功地根據(jù)所要求的安全功能概率的大小來(lái)劃分SIL。根據(jù)安全相關(guān)系統(tǒng)使用方式、要求產(chǎn)生的頻率的不同,分為低要求操作模式和高要求操作模式。在不同操作模式下，SIL的目標(biāo)失效概率如表1所示。

表1 SIL的目標(biāo)失效概率Tab.1 The target failure probability of SIL

由表1可知：SIL和失效率成反比關(guān)系，高要求操作模式的失效率要遠(yuǎn)遠(yuǎn)低于低要求操作模式。

2.1 FMEA評(píng)價(jià)方法

在電氣/電子/可編程電子安全相關(guān)系統(tǒng)中，故障模式指元器件失效的相關(guān)表現(xiàn)形式，如電路的斷路、參數(shù)漂移、短路等。故障模式會(huì)導(dǎo)致整個(gè)系統(tǒng)的逐級(jí)影響。因此，按產(chǎn)生危險(xiǎn)的嚴(yán)重程度進(jìn)行影響分析，區(qū)分故障程度和失效類型。

常用的失效率符號(hào)定義如表2所示。

表2 失效率符號(hào)定義Tab.2 Definition of the Failure rate symbol

通過(guò)計(jì)算失效概率，就可以根據(jù)表1查得SIL。元器件的失效模式是通過(guò)查閱相關(guān)報(bào)告和經(jīng)驗(yàn)結(jié)果的集合，不同的器件，其失效模式會(huì)有差別[4]。比如普通的電阻器件，其失效模式可以分為斷路、短路和參數(shù)漂移，其失效百分比分別為80%、10%、10%。不同廠家的元器件氣失效百分比可能略有不同，具體可以參考廠家說(shuō)明書(shū)。

為了更好地說(shuō)明問(wèn)題，以某隔離式安全柵的FMEA評(píng)價(jià)為例[3]。某隔離式安全柵的FMEA如表3所示，其失效分類如表4所示。

表3 某隔離式安全柵的FMEATab.3 FMEA of a certain type of isolation safety barrier

表4 某隔離式安全柵的失效分類Tab.4 Failure classification of a certain type of isolation safety barrier

假設(shè)其為1oo1的冗余結(jié)構(gòu)，平均故障時(shí)間為MTTR=8 h,檢驗(yàn)時(shí)間為T(mén)1=8 760 h,則由FMEA的評(píng)價(jià)模式可得：

λ=6.456 5×10-7/h

λS=3.398×10-8/h

λD=6.116 7×10-7/h

λDU=1.709 5×10-7/h

λDD=4.407×10-7/h

tCE=(λDU/λD)[(T1/2)+MTTR]+(λDD/λD)×MTTR=1 232.2 h

PFD=λDtCE=7.537×10-4/h

則由FMEA方法,得其在低要求模式下，SIL=3。

2.2 MARKOV評(píng)價(jià)方法

MARKOV模型是將系統(tǒng)歸于不同的若干狀態(tài)，每個(gè)狀態(tài)會(huì)以某種概率轉(zhuǎn)移到其他狀態(tài)，具有無(wú)記憶的性質(zhì)[5]。以1oo1系統(tǒng)為例，1oo1的狀態(tài)轉(zhuǎn)移圖如圖1所示。

圖1 1oo1狀態(tài)轉(zhuǎn)移圖

Fig.1 State transition diagram of 1oo1

則可得其狀態(tài)轉(zhuǎn)移矩陣:

假設(shè)系統(tǒng)的初始的工作狀態(tài)是正常的，則n維初始狀態(tài)向量為S0=[10…0],其中n為系統(tǒng)狀態(tài)個(gè)數(shù)。假設(shè)第(n-1)個(gè)狀態(tài)為檢測(cè)到的危險(xiǎn)失效，第n個(gè)狀態(tài)為未檢測(cè)到的危險(xiǎn)失效，則n維危險(xiǎn)失效向量為：

VD=[0 0 0…1 1]T

則可得功能測(cè)試周期內(nèi)，PFDi=S0PiVD,i=1,2,...,Ti。

為了更好地說(shuō)明問(wèn)題，仍然以FMEA評(píng)價(jià)方法中的某隔離式安全柵為例，通過(guò)MATLAB仿真，可以動(dòng)態(tài)觀察到隔離安全柵的PFD變化?；贛ARKOV進(jìn)行評(píng)價(jià)方法的某隔離式安全柵PFD變化示意圖如圖2所示。

圖2 基于MARKOV評(píng)價(jià)方法的PFD變化示意圖

Fig.2 Schematic diagram of the PFD variation based

on MARKOV evaluation method

從圖2可以看出，MARKOV評(píng)價(jià)方法所評(píng)價(jià)的SIL是動(dòng)態(tài)變化的。初始狀態(tài)時(shí)SIL達(dá)到了4，隨著時(shí)間的推移，失效概率越來(lái)越大，其SIL隨之降低，安全危險(xiǎn)失效概率也越來(lái)越大。

2.3 FMEA和MARKOV評(píng)價(jià)方法的比較

FMEA和MARKOV評(píng)價(jià)方法都是SIL的定量評(píng)價(jià)方法。二者都是基于設(shè)備或系統(tǒng)的故障模式和影響

所進(jìn)行的分析。相較于FMEA方法，MARKOV方法是一種多目標(biāo)和動(dòng)態(tài)的評(píng)價(jià)方法。在實(shí)際評(píng)價(jià)的過(guò)程中，往往較多使用FMEA評(píng)價(jià)方法。但是在一些高危險(xiǎn)情況復(fù)雜的情況下，使用MARKOV評(píng)價(jià)方法則可以提前發(fā)現(xiàn)SIL發(fā)生改變的時(shí)間。相較于FMEA，MARKOV更為嚴(yán)格，但是隨著冗余結(jié)構(gòu)的增加和計(jì)算程度的復(fù)雜，MARKOV的應(yīng)用也就受到了限制。

本文在此基礎(chǔ)上提出了關(guān)于SIL評(píng)價(jià)方法的新策略：即FMEA-MARKOV評(píng)價(jià)方法。該方法的核心思想就是利用FMEA和MARKOV各自評(píng)價(jià)方法的優(yōu)勢(shì)，在冗余結(jié)構(gòu)較復(fù)雜和危險(xiǎn)程度低時(shí)使用FMEA評(píng)價(jià)方法。對(duì)于冗余結(jié)構(gòu)簡(jiǎn)單和危險(xiǎn)程度較高情況可以混合使用FMEA和MARKOV評(píng)價(jià)方法。該方法可以為實(shí)際檢測(cè)設(shè)備和系統(tǒng)的SIL發(fā)生改變提供診斷時(shí)間的參考。

3 結(jié)束語(yǔ)

本文主要從電氣/電子/可編程電子系統(tǒng)的評(píng)價(jià)出發(fā)，介紹了定量評(píng)價(jià)SIL的FMEA和MARKOV評(píng)價(jià)方法，并介紹了其各自的優(yōu)劣勢(shì)。在此基礎(chǔ)上,提出了關(guān)于SIL評(píng)價(jià)的新策略即FMEA-MARKOV評(píng)價(jià)方法。目前，已有MARKOV的計(jì)算軟件[6]，但是由于冗余結(jié)構(gòu)的復(fù)雜化和多目標(biāo)求值的特點(diǎn)，為了在實(shí)際應(yīng)用中能夠更好地運(yùn)用，應(yīng)盡快開(kāi)發(fā)關(guān)于FMEA-MARKOV評(píng)價(jià)的軟件。

[1] IEC commission. Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 0: Functional safety and IEC 61508[S].IEC 61508,2005.

[2] IEC commission. Functional safety-safety instrumented systems for the process industry sector[S].IEC 61511,2003.

[3] 劉建侯.功能安全技術(shù)基礎(chǔ)[M].北京：機(jī)械工業(yè)出版社，2008.

[4] 張艾森.智能壓力變送器功能安全評(píng)估與測(cè)試[D].上海：華東理工大學(xué)，2013.

[5] 郭海濤，陽(yáng)憲惠.安全系統(tǒng)定量可靠性評(píng)估的Markov模型[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版)，2008,48(1):4.

[6] 吳寧寧.基于Markov模型的安全儀表系統(tǒng)可靠性建模方法研究[D].杭州：浙江大學(xué)，2010.

Comparison of the Evaluation Methods for Safety Integrity Level Respectively Based on FMEA and MARKOV

Functional safety is an important performance index of industrial process equipment and systems. On the basis of brief introduction of the functional safety assessment standards at home and abroad, two kinds of the quantitative methods, i.e., FMEA and MARKOV, for evaluating the safety integrity level are expounded and compared from the safety integrity level evaluation of the electrical/electronic/programmable electronic systems. By integrating the characteristics of the two, the new method namely FMEA-MARKOV is proposed. The advantages of both FMEA and MARKOV are adopted, when the redundant structure is complex and low degree of risk, the FMEA method is used; while when the redundant structure is simple and high degree of risk, then the mixed method of FMEA and MARKOV is used. The method is of great significance for the assessment of safety integrity levels.

Functional safety FMEA MARKOV SIL IEC 61508 IEC 61511

郁強(qiáng)(1989—)，男，2015年畢業(yè)于華東理工大學(xué)控制理論與控制工程專業(yè)，獲碩士學(xué)位；主要從事功能安全、防爆等方向的研究。

TH-3；TP202

A

10.16086/j.cnki.issn 1000-0380.201612008

修改稿收到日期：2016-05-31。