姬 康,王 璐,王明鋒,王先朝,許 鵬,劉曉亮

(1.中國石油新疆油田分公司呼圖壁儲氣庫作業(yè)區(qū),新疆 呼圖壁 831200；2.機械工業(yè)儀器儀表綜合技術經(jīng)濟研究所,北京 100055)

安全儀表系統(tǒng)(Safety Instrumented System,SIS)是用來實現(xiàn)一個和多個安全功能的系統(tǒng)，在發(fā)生事故時能夠?qū)⒐に囘^程或生產(chǎn)裝置切換至安全狀態(tài)，起到防止危險發(fā)生或減輕事故后果的效果，最終能夠保證人員、設備和環(huán)境的安全。本文僅限于在低要求運行模式下的SIS，要求時危險失效平均概率(the average Probability of dangerous Failure on Demand,

PFD

)是SIS的安全性量化的重要指標，通常要求頻率小于每年一次。

PFD

受系統(tǒng)架構、系統(tǒng)中組件的故障率、平均故障診斷時間、維修恢復時間、檢驗測試時間間隔等因素的影響，可以通過提高系統(tǒng)中組件的可靠性、增加冗余通道、縮短檢驗測試時間間隔、增加部分檢驗測試等方式，來降低

PFD

的值。在SIS整個安全生命周期中，運行維護階段占了較大的比例，關于SIS的運行特性和生產(chǎn)維護對其安全性造成的影響已有大量的相關研究，提出了眾多計算方法。如IEC 61508-6標準中提出了常用冗余系統(tǒng)的簡化計算公式，但該系列公式只涵蓋了SIS安全性分析中的少數(shù)因素；Innal等分析了部分檢驗測試的影響，給出了一個基于1oo2系統(tǒng)的Markov模型簡化公式；Wu等考慮了故障率的韋伯分布，利用條件概率理論，提出了SIS不可用性計算公式；Signoret等建立了一個以可靠性框圖為驅(qū)動的Petri網(wǎng)安全分析模型。隨著工藝自動化程度越來越高，SIS本身結構和運行維護日益復雜，安全性的動態(tài)特征越來越明顯，針對由于組件故障和檢驗測試而導致系統(tǒng)安全性隨時間變化的冗余系統(tǒng)來說，IEC 61508-6標準中推薦使用Markov模型和Petri網(wǎng)。Petri網(wǎng)能夠?qū)IS安全性進行較為準確的評估，但是由于Petri網(wǎng)生成的模型使用起來難度較大，安全分析師往往需要深刻地了解Petri網(wǎng)建模原理才能建立計算模型。Markov模型相比Petri網(wǎng)較為簡單，具有較高的靈活性和能夠覆蓋多種場景的特性，被認為更適合用于SIS在動態(tài)環(huán)境中的定量評估。然而，當在Markov模型中引入新的組件和因素時，其狀態(tài)數(shù)量會呈指數(shù)增長。鑒于這一局限性，通過分析系統(tǒng)結構特征，將Markov模型進行簡化的方法得到了廣泛的研究。如Stewart提出了狀態(tài)合并的思想來簡化Markov模型；Xu等使用圖形合并的方法將高階Markov模型近似簡化為低階Markov模型；Guo等提出了合并具有相同轉(zhuǎn)換率狀態(tài)的方法來簡化Markov模型；Chen指出可以通過刪除停留時間較短狀態(tài)來簡化Markov模型；李鵬等在傳統(tǒng)Markov模型的基礎上，考慮周期檢測策略，對SIS的安全失效概率(Probability of Failing Safety，PFS)進行了評估；王海清等綜合考慮檢驗測試、冗余結構和系統(tǒng)失效等因素，提出了多階段馬爾可夫模型簡化算法。本文在上述研究的基礎上，提出了一種基于檢驗測試的要求時危險失效平均概率(

PFD

)的Markov簡化計算模型，適用于常見同構冗余架構系統(tǒng)的SIS，并以1oo2冗余架構系統(tǒng)為例對Markov簡化模型進行了詳細的分析說明，該Markov簡化模型主要包括確定狀態(tài)間轉(zhuǎn)換率、刪除停留時間較短的狀態(tài)、合并具有相似特征的狀態(tài)，并利用參數(shù)靈敏度分析引入模型修正因子。

1 安全儀表系統(tǒng)(SIS)失效分類

安全儀表系統(tǒng)(SIS)失效可分為危險失效、安全失效和無影響失效，能夠引起危險事件的失效稱為危險失效，能夠引起誤停車的失效稱為安全失效，無影響失效不參與失效率計算，可能會造成潛伏故障。

PFD

只與危險失效相關。危險失效被分為可診斷到的危險失效(dd)和不可被診斷到的危險失效(du)兩種類型。其中，為了減少由于du類型失效導致的系統(tǒng)不可控時間，最常用的方法是增加部分檢驗測試的頻率。考慮部分檢驗測試，du類型失效又被分為兩類：一類是可被部分檢驗測試發(fā)現(xiàn)并進行恢復的失效，稱為PT類型失效；另一類是僅可被完全檢驗測試發(fā)現(xiàn)并恢復的失效，稱為FT類型失效。假設系統(tǒng)總體失效率為

λ

，危險失效率為

λ

，安全失效率為

λ

，dd類型失效率為

λ

，du類型失效率為

λ

，PT類型失效率為

λ

，F(xiàn)T類型失效率為

λ

，診斷覆蓋率為

DC

，部分檢驗測試可檢測到失效的能力為

θ

。它們之間的關系如圖1所示。

圖1 安全儀表系統(tǒng)(SIS)失效率分類Fig.1 Classification of failure rate for Safety Instrumented System (SIS)

2 Markov簡化模型

2.1 基于Markov的PFDavg計算模型

本文以應用較為廣泛的1oo2冗余架構系統(tǒng)為例對Markov模型進行簡化說明。假設部分檢驗測試時間間隔(

T

)在完全檢驗測試時間間隔(

T

)內(nèi)定周期分布。如圖2所示，建立了基于1oo2冗余架構系統(tǒng)的Markov安全分析模型，此模型沒有考慮部分檢驗測試。其中：狀態(tài)用圓圈表示，轉(zhuǎn)換率用箭頭表示；在狀態(tài)圈中，下半圈中標注的是狀態(tài)的索引值，上半圈中序號1對應的是先發(fā)生的失效類型，序號2對應的是后發(fā)生的失效類型。

圖2 基于1oo2冗余架構系統(tǒng)的Markov安全分析模型Fig.2 Markov safety evaluation model for 1oo2 redundant architecture system注：OK表示正常工作；dd表示已產(chǎn)生dd類型失效；du表示已產(chǎn)生du類型失效；μdd表示一個dd類型失效的恢復率；μ1、μ2表示不同狀態(tài)之間的轉(zhuǎn)換率。下同。

如圖3所示，建立了包含部分和完全檢驗測試的1oo2冗余架構系統(tǒng)的Markov安全分析模型。

圖3 包含部分和完全檢驗測試的1oo2冗余架構系統(tǒng)Markov安全分析模型Fig.3 Markov safety evaluation model for 1oo2 redundant architecture system (with partial and entire test)注：FT表示已產(chǎn)生FT類型失效；PT表示已產(chǎn)生PT類型失效；μ1～μ6表示不同狀態(tài)之間的轉(zhuǎn)換率。

由圖2和圖3可見，在考慮部分和完全檢驗測試對SIS的影響時，Markov模型的狀態(tài)數(shù)量從6個變?yōu)榱?1個?？梢姡紤]因素的增加會導致狀態(tài)數(shù)呈指數(shù)增長，這是在安全性分析中使用Markov模型的主要局限之一。因此，在計算結果的誤差能被接受，并且保留Markov模型動態(tài)特性的前提下，對Markov模型進行簡化，可以有效提高建模和計算效率。

2.2 Markov模型的簡化步驟

Markov模型的具體簡化步驟如下：

(1) 簡化第一步：確定轉(zhuǎn)換率

μ

。假設

V

?

U

?

μ

，其中

V

={

λ

、

λ

、

λ

},

U

={

μ

,

μ

,

μ

,

μ

,

μ

,

μ

},從穩(wěn)態(tài)不可用度和瞬態(tài)不可用度兩個角度，得出各狀態(tài)的

PFD

計算公式，以此來計算各狀態(tài)之間的轉(zhuǎn)換率。其中：

(1)

(2)

(3)

(4)

(5)

在計算

μ

時，因為狀態(tài)10是先發(fā)生FT類型失效，后發(fā)生PT失效，系統(tǒng)不工作的時段無法確定，只依賴于狀態(tài)10很難列出瞬態(tài)方程式，因此將狀態(tài)9和狀態(tài)10合并，列出基于此兩種狀態(tài)的瞬態(tài)和穩(wěn)態(tài)不可用度的方程:

(6)

其中：

T

=

mT

；

m

為部分檢驗測試定周期分布因子；

j

為單個部分檢驗測試的索引值；

t

為時間積分變量。(2) 簡化第二步：確定主導狀態(tài)。對于冗余系統(tǒng)來說，若系統(tǒng)由

n

個獨立通道構成，且在要求發(fā)生時至少有

k

個通道能正常執(zhí)行安全功能，則系統(tǒng)

PFD

是(

n

-

k

+1)個已失效通道狀態(tài)的

PFD

之和。對于1oo2冗余架構系統(tǒng)來說，就是2個通道失效狀態(tài)的

PFD

之和，即：

(7)

式中：

l

為各狀態(tài)的索引值。利用各狀態(tài)基于穩(wěn)態(tài)不可用度的

PFD

計算公式，計算與系統(tǒng)

PFD

相關的各個分狀態(tài)的

PFD

，表1給出了各個分狀態(tài)

PFD

的計算結果，其中相關安全數(shù)據(jù)來自OREDA數(shù)據(jù)庫。根據(jù)公式(1)，可計算得到系統(tǒng)

PFD

為1.143 3×10。

表1 Markov模型的計算結果Table 1 Results of the Markov model

由表1可知，狀態(tài)5、6和7對系統(tǒng)

PFD

的權重較小，可以發(fā)現(xiàn)這些狀態(tài)(5、6和7)都與

λ

相關，是能夠被在線診斷檢測出的狀態(tài)，因為在線診斷的間隔時間較短，所以在此狀態(tài)的停留時間也較短。由于停留時間較短的狀態(tài)對Markov模型計算結果的影響不大，因此在Markov模型簡化過程中，可將此類狀態(tài)從Markov原始模型中刪除。另外，狀態(tài)2與系統(tǒng)

PFD

的計算無關，也可將其刪除，從而得出如圖4所示的Markov初步簡化模型，表2給出了特定安全參數(shù)下Markov原始模型與Markov初步簡化模型的計算結果。

圖4 Markov初步簡化模型Fig.4 Preliminary simplified Markov model

表2 特定安全參數(shù)下Markov原始模型與Markov初步簡化模型計算結果的對比Table 2 Comparison of the results between original Markov model and preliminary simplified Markov model with certain safety parameters

由表2可知，Markov原始模型與其初步簡化模型在

PFD

的計算中結果非常接近，表明從Markov模型中刪除停留時間較短的狀態(tài)不會對計算結果產(chǎn)生較大的影響。(3) 簡化第三步：合并特征相似的狀態(tài)。系統(tǒng)

PFD

是狀態(tài)8、9、10、11的

PFD

之和。將公式(1)～(6)代入各狀態(tài)的穩(wěn)態(tài)公式。其中，狀態(tài)8和狀態(tài)9的穩(wěn)態(tài)方程式相似，故在公式中可將其進行合并。有：

(8)

分析公式(8)，此公式與由挪威工業(yè)科技研究院(SINTEF)采用PDS方法給出的如下公式相似：

(9)

(1) 首個失效為PT類型失效的狀態(tài)。當某一通道發(fā)生PT類型失效后，接下來發(fā)生任何類型的失效，系統(tǒng)失效都一定發(fā)生在部分檢驗測試時間間隔

T

內(nèi)，即此種狀態(tài)可被部分檢驗測試修復到系統(tǒng)不失效的狀態(tài)。此類狀態(tài)對應的公式為

(10)

(2) 全部失效為FT類型失效的狀態(tài)。即此種狀態(tài)可被完全檢驗測試修復到系統(tǒng)不失效的狀態(tài)。此類狀態(tài)對應的公式為

(11)

(3) 首個失效為FT類型失效，在

n

-

k

+1個失效中包含有PT類型失效的狀態(tài)。此類狀態(tài)受連續(xù)發(fā)生FT類型失效的個數(shù)影響，假設首先連續(xù)發(fā)生了

s

(

s

<

n

-

k

+1)個FT類型失效后，發(fā)生PT類型失效。前

s

個FT類型失效對應的平均系統(tǒng)不工作時間是以

T

為基礎的，在PT類型失效發(fā)生后，系統(tǒng)失效一定發(fā)生在部分檢驗測試時間間隔

T

內(nèi)，這與(1)中描述內(nèi)容相同，計算首個PT類型失效對應的系統(tǒng)平均不工作時間時，假設完全檢驗測試時間間隔比部分檢驗測試時間間隔大很多，可以忽略FT類型失效數(shù)量，近似看作發(fā)生

s

=1個FT類型失效后發(fā)生PT類型失效的系統(tǒng)平均不工作時間。此類狀態(tài)對應的公式為

(12)

其中:1≤

s

≤

n

-

k

；1≤

g

≤max(1,

n

-

k

-

s

)；

系統(tǒng)

PFD

等于相關各分狀態(tài)的

PFD

之和，可表示如下：

PFD

=

PFD

avg+

PFD

avg+

PFD

avg

(13)

其中:1≤

s

≤

n

-

k

;1≤

g

≤max(1,

n

-

k

-

s

);

3 Markov簡化模型修正因子分析

與Markov原始模型相比，其簡化過程通常會導致公式的計算結果有偏差。通常對于Markov簡化模型，可以用以下公式進行修正：

(14)

C

是修正因子，在此用于最小化Markov簡化模型與Markov原始模型計算結果的偏差。本文通過歐幾里得距離來導出多個安全參數(shù)在置信范圍內(nèi)兩模型之間的相似度，并利用各安全參數(shù)對

PFD

的權重影響，確定整體

C

。

3.1 修正因子分析指標

影響修正因子的因素有相似度、相對誤差和參數(shù)靈敏度及其權重值。利用歐幾里得距離來比較Markov原始模型與Markov簡化模型繪制的兩條曲線之間的相似度。相似度定義如下:

(15)

式中:

x

為選定的安全參數(shù);(

a

，

b

)為相關安全參數(shù)的置信區(qū)間。

ED

的取值范圍為(0,1]，

ED

值越小，兩條曲線越相背離，越接近于1，相似度越高；如果兩條曲線完全吻合，則

ED

值為1。在給定范圍(

a

，

b

)內(nèi)，按下式計算基于選定安全參數(shù)的Markov原始模型與Markov簡化模型

PFD

的相對誤差(

RE

)：

(16)

RE值不宜超過15%，否則認為模型不可信。同時，記錄

PFD

的最大偏差(即

PFD

的最大值和最小值)，并根據(jù)

PFD

值的變化，來度量該安全參數(shù)的靈敏度及其權重值。靈敏度定義如下：

(17)

其中，Δ

x

≤(

b

-

a

)，

x

∈(

a

,

b

)。

該安全參數(shù)的權重值計算公式如下：

(18)

3.2 基于安全參數(shù)的修正因子分析

針對不同的冗余架構系統(tǒng)，修正因子

C

是不同的。在1oo2冗余架構系統(tǒng)中，當分析選定安全參數(shù)

x

對

PFD

的影響時，假設其他安全參數(shù)是恒定值，函數(shù)方程為：

PFD

=

f

(

x

),

x

∈(

a

,

b

)，在給定范圍(

a

,

b

)內(nèi)，通過插值計算得出本安全參數(shù)

x

對應的最佳

C

值，該最佳

C

值能夠使得Markov簡化模型與Markov原始模型的相似度ED無限接近于1，并且兩模型

PFD

之間的相對誤差小于15%。將

λ

作為選定安全參數(shù)，設定

λ

的置信區(qū)間為(10h,10h)，其他安全參數(shù)為恒定值，經(jīng)過插值計算表明：當

C

=1.910 7時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0.999 986；兩模型

PFD

之間的最大相對誤差

RE

為5.40%，

PFD

的最大值和最小值分別為6.924 1×10和7.398 2×10，見圖5。

圖5 基于λdu的PFDavg趨勢圖Fig.5 Trend curves of PFDavg based on λdu

將

DC

作為選定安全參數(shù)，設定

DC

的置信區(qū)間為(0.2,0.8)，其他參數(shù)為恒定值，經(jīng)過插值計算表明：當

C

=1.965 4時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0.999 997；兩模型

PFD

之間的最大相對誤差

RE

為1.57%，

PFD

的最大值和最小值分別為1.171 0×10和1.143 2×10，見圖6。

圖6 基于DC的PFDavg趨勢圖Fig.6 Trend curves of PFDavg based on DC

將

θ

作為選定安全參數(shù)，設定

θ

的置信區(qū)間為(0

.

2,0

.

8)，其他參數(shù)為恒定值，經(jīng)過插值計算表明：當

C

=1.944 1時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0

.

999 995;兩模型

PFD

之間的最大相對誤差

RE

為3.68%，

PFD

的最大值和最小值分別為2.627 1×10和2.734 3×10，見圖7。

圖7 基于θ的PFDavg趨勢圖Fig.7 Trend curves of PFDavg based on θ

將

T

作為選定安全參數(shù)，設定

T

(h)的置信區(qū)間為(200 h,4 000 h)，其他參數(shù)為恒定值，經(jīng)過插值計算表明：當

C

=1.959 7時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0.999 999；兩模型

PFD

之間的最大相對誤差

RE

為0.41%，

PFD

的最大值和最小值分別為2.012 3×10和1.051 4×10，見圖8。

圖8 基于TPT的PFDavg趨勢圖Fig.8 Trend curves of PFDavg based on TPT

將

T

作為選定安全參數(shù)，設定

T

的置信區(qū)間為(4 000 h,24 000 h)，其他參數(shù)為恒定值，經(jīng)過插值計算表明：當

C

=1.849 6時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0

.

999 963;兩模型

PFD

之間的最大相對誤差為8.18%，

PFD

的最大值和最小值分別為7.283 2×10和2.899 7×10，見圖9。

圖9 基于TFT的PFDavg趨勢圖Fig.9 Trend curves of PFDavg based on TFT

3.3 確定整體修正因子

為了計算整體修正因子，需要利用公式(17)和(18)確定模型中每個安全參數(shù)的靈敏度及其權重，1oo2冗余架構系統(tǒng)安全參數(shù)的權重分布，見圖10。

圖10 1oo2冗余架構系統(tǒng)安全參數(shù)的權重分布圖Fig.10 Weight distribution of safety parameters of 1oo2 redundant architecture system

每個安全參數(shù)的單參數(shù)因子與該參數(shù)的權重值相乘，可得出單個參數(shù)修正因子。表3給出了基于1oo2冗余架構系統(tǒng)的單個安全參數(shù)修正因子的計算結果。將所有參數(shù)的修正因子相加，可得出1oo2冗余架構系統(tǒng)的整體修正因子

C

，即

C

=1.919 6。

表3 1oo2冗余架構系統(tǒng)的單個安全參數(shù)修正因子計算結果Table 3 Calculation of the correction factor of individual safety parameter for 1oo2 redundant architecture system

利用同樣的的方法，可以計算出其他常用的冗余架構系統(tǒng)的整體修正因子，見表4。

表4 常用冗余架構系統(tǒng)的整體修正因子取值表Table 4 Values of correction factors for common 1oo2 redundant architecture system

3.4 修正后的計算公式

采用整體修正因子乘以Markov簡化模型對應的公式(13)，可得出不同冗余架構系統(tǒng)修正后的簡化計算公式:

(19)

其中：1≤

s

≤

n

-

k

；1≤

g

≤max(1,

n

-

k

-

s

)；

4 模型驗證

以1oo2冗余架構系統(tǒng)為例，將本文導出的簡化計算公式分別與Markov原始計算模型和IEC 61508-6中公式進行了對比分析。

如表5所示，列出了Markov原始模型一次迭代和Markov簡化模型所需的實數(shù)加法器和實數(shù)乘法器數(shù)量，

N

表示符號個數(shù)，可以看出在一定的置信區(qū)間內(nèi)，簡化計算公式的計算復雜度有顯著降低。

表5 不同計算公式的計算復雜度對比Table 5 Comparison of computational complexity between different formulas

不同計算公式得到的

PFD

結果對比，見表6。

表6 不同公式得到的PFDavg計算結果對比Table 6 Comparison of calculation results (PFDavg) between different Markov formulas

由表6可知：Markov簡化模型與Markov原始模型

PVD

的計算結果相比，平均誤差小于5%;與IEC 61508-6中公式的計算結果相比，平均誤差小于15%，這種偏差程度在評定安全完整性等級(SIL)時是可接受的。圖11給出了Markov簡化模型與IEC 61508-6中公式和Markov原始模型

PFD

計算結果的偏差曲線對比圖。由圖11可見，Markov簡化模型

PFD

計算結果的偏差曲線與Markov原始模型在形狀、趨勢和大小上保持了高度的一致。

圖11 Markov簡化模型和IEC 61508-6中公式與Markov原始模型PFDavg計算結果的偏差曲線對比Fig.11 Comparison of deriation of PFDavg calculation result of simplified Markov model and formula in IEC 61508-6 from original Markov model

5 結 論

(1) 本文提出了一種基于檢驗測試的

PFD

簡化計算模型，適用于低要求運行模式下同構冗余koon架構系統(tǒng)的SIS。驗證結果表明:Markov簡化模型與Markov原始模型在主要特征上有很高的一致性，相對誤差小于5%，可以應用于SIL等級的評估。

(2) 本文在考慮了部分和完全檢驗測試的情況下，以1oo2冗余架構系統(tǒng)為例，詳細說明了Markov模型簡化分析過程，包括狀態(tài)之間的轉(zhuǎn)換率計算、主導狀態(tài)的確定、相似狀態(tài)的合并，并將安全參數(shù)放入一定的置信區(qū)間內(nèi)，通過參數(shù)敏感性分析引入修正因子將計算誤差最小化。