基于馬爾科夫矩陣的安全完整性等級驗算推導及探討

沈立明，李云龍

(寧夏天源石化有限公司，寧夏 吳忠 751100)

近年來石化裝置中安全儀表系統(SIS)應用越來越廣泛。在SIS設計中一項重要的工作就是安全完整性等級(SIL)的驗算。在IEC 61508[1]中給出了框圖法、故障樹法、馬爾科夫建模法。本文以“1oo1”和“1oo2”電路模型深入探討馬爾科夫建模的方法。

1 “1oo1”電路模型馬爾科夫狀態轉換矩陣的建立

在安全功能正常有效的情況下，系統結構配置能夠容忍的危險失效數即為故障裕度，對于“MooN”模型來說，其故障裕度為N-M，因而可知“1oo1”模型故障裕度為0，即“1oo1”模型不能容忍任何危險失效。

1.1 狀態的建立

對于“1oo1”輸出開路安全電路系統基本電路如圖1所示。

通常情況下，SIS無聯鎖觸發時輸出電路觸點為閉合狀態。故而在安全電路中安全失效狀態為輸出電路存在不正常的開路，危險狀態為輸出電路存在不正常的短路。如圖1所示，電路只存在1個輸出電路，當發生安全失效時輸出電路存在不正常的開路，使電路無法正常輸出，系統處于安全失效狀態。當發生危險失效時輸出電路存在不正常的短路，使得電路無法正常輸出，系統處于危險失效狀態。因此，“1oo1”模型無法容忍危險失效。

圖1 “1oo1”輸出開路安全電路系統示意

因為“1oo1”模型既無法容忍安全失效也無法容忍危險失效，所以當發生任何失效時均會使得系統處于結果狀態。考慮到本身的自診斷的原因，對于“1oo1”模型來說存在一種初始狀態即系統完好狀態(OK)，三種最終結果狀態即安全失效狀態(FS)、被檢測的危險失效狀態(FDD)、未被檢測的危險失效狀態(FDU)，且最終結果狀態之間無法相互轉換。在“1oo1”模型中無論是被檢測的安全失效狀態(FSD)和未被檢測的安全失效狀態(FSU)均會造成過程誤停車，處于該兩種狀態時，重啟后系統能夠再次完好使用。因此，在建立狀態關系時把FSD狀態和FSU狀態合并為FS狀態。對于被發現的危險失效會被系統診斷出來，因而FDD狀態會被系統拒絕。此時系統資源是可用的，經過維修后系統恢復正常狀態。在該狀態情況下系統會拒絕危險失效，即導向安全側。對于FDU狀態因未被系統診斷出來，因此FDU狀態不會被系統拒絕，在該情況下系統會發生危險的狀態。為了下文方便表述，將OK，FS，FDD，FDU狀態分別標為0，1，2，3狀態。

1．2 各狀態間概率轉換的分析

系統發生安全失效后能夠通過重啟恢復到初始狀態，因而系統在0狀態和1狀態之間能夠相互轉換。當發生危險時，也能通過維修等手段恢復到初始狀態，因而系統也能夠在0狀態和2狀態之間相互轉換。系統在3狀態時已經發生了危險失效，因而系統只能由0狀態轉換到3狀態。因為1，2，3狀態為結果狀態，所以無法相互轉換。“1oo1”電路模型馬爾科夫狀態轉換如圖2所示，圖2中對應物理量見表1所列。

圖2 “1oo1”電路模型馬爾科夫狀態轉換

符 號含 義λSD被檢測的安全失效率λSU未被檢測的安全失效率λDD被檢測的危險失效率λDU未被檢測的危險失效率μo維修率μSD重啟率

1．3 狀態轉換矩陣的得出

從圖2中可以得出0狀態可轉換到1，2，3狀態。因而0—0的狀態就是全概率1減去轉換到1，2，3狀態的概率值。0—1狀態： 即兩者之間轉換線上的值。其他狀態轉換依照此情況。將轉換模型中的值填入矩陣中得出“1oo1”模型的狀態轉換矩陣P為

(1)

2 “1oo2”電路模型馬爾科夫狀態轉換矩陣的建立

對于“MooN”模型來說，其故障裕度為N-M，故而“1oo2”模型故障裕度為1。即該模型能夠容忍一個危險失效。即當系統發生一次危險失效時，不影響其執行安全儀表功能(SIF)。

2．1 狀態的建立

“1oo2”輸出開路安全電路系統基本電路如圖3所示。

“1oo2”系統輸出電路為2個輸出電路串聯，即使1個電路存在危險失效即不正常的短路，另一個通道仍能完成安全功能。該情況下系統降級為“1oo1”系統。雖然仍能執行SIF，但其失效概率已經改變。這也就是當N>M時“MooN”結構能夠容忍危險失效的根本原因。因“1oo2”模型輸出為2個輸出電路串聯，當系統存在安全失效即不正常的開路時，整個系統輸出電路將無法再正常執行SIF。從以上論點得出“1oo2”模型會容忍1個危險失效，但是不會容忍任何安全失效。在降級為“1oo1”模型后系統仍能執行SIF，因此會多出1個或多個系統中間狀態。

圖3 “1oo2”輸出開路安全電路系統示意

由上文分析可知“1oo2”模型發生1個危險失效時系統會繼續運行，而危險失效又分為被檢測到的和未被檢測到的，因此“1oo2”模型要比“1oo1”模型多出降級后被檢測到的危險失效(Degraded Fail Detected)、降級后未被檢測到的危險失效(Degraded Fail Undetected)兩個中間狀態。對于初始狀態與結果狀態與“1oo1”模型類似。因而對于“1oo2”模型通道來說存在6種狀態：FS，FDD，FDU，OK，Degraded Fail Detected，Degraded Fail Undetected。為了下文方便表述將OK，Degraded Fail Detected，Degraded Fail Undetected，FS，FDD，FDU狀態分別標為0，1，2，3，4，5狀態。

2．2 各狀態轉換的分析

因為“1oo2”模型多了由危險失效導致的危險狀態，因而當模型第一次發生危險失效時先轉換到中間狀態。中間狀態再次發生失效時才能轉換到最終結果狀態。“1oo2”電路模型馬爾科夫狀態轉換如圖4所示，圖4中相關物理量見表2所列。

圖4 “1oo2”電路模型馬爾科夫狀態轉換示意

“1oo2”模型轉換概率的分析大體與“1oo1”模型相同，下面對個別特殊的回路進行分析。

4) 0—4狀態轉換。因為系統存在2條輸出通道，而2個通道均出現FDD的原因只能是共因失效，概率為λDDC。

5) 0—5狀態轉換。因為系統存在2條輸出通道，因而2個通道均出現FDU的原因只能是由于共因失效，其概率為λDUC。

6) 2—4狀態轉換。2—4的狀態轉換是在0—2狀態轉換的前提下，由于0狀態轉換到2狀態是FDU，因此2—4的狀態轉換概率為λDD。

7) 2—3狀態轉換。2—3狀態轉換是在0—2轉換的前提下，由于0狀態轉換到2狀態是FDU，因此2—3狀態轉換的概率為λS，λS出現的原因是該回路不容忍安全失效。

8) 2—5狀態轉換。分析方法與2—4相同。

9) 1—5狀態轉換則不存在，因為在0—1狀態轉換過程中危險失效已經被發現，因此不會再造成FDU。

2．3 狀態轉換矩陣

根據“1oo1”矩陣可得到“1oo2”模型的轉換矩陣P為

(2)

3 馬爾科夫計算PFDavg原理

馬爾科夫轉換概率矩陣的意義： 在固定時長內系統某一個狀態轉換到其他狀態的概率矩陣P。

2) 功能測試矩陣W。在一個檢測周期T內測試出的FDU狀態轉換到系統完好狀態的狀態轉換概率矩陣。

3) 初始矩陣S0。系統OK元素為1時的矩陣。馬爾科夫矩陣每行的數值相加都為1，但是每列相加就不一定為1。該情況是因為馬爾科夫矩陣行的意義為表示系統在在一個固定時間內，與其中元素的取值單位有關，一般計算中每個元素的單位為h-1。由一個狀態向其他狀態轉換或保持自身狀態的概率。

通過將2個向量相乘得出在第一個檢測周期內經過一段時間后系統各狀態存在的概率，即：

Si=S0Pi

(3)

式中：P——Δt=1 h的馬爾科夫矩陣即狀態轉換矩陣;i——t時間段內Δt的個數。

由式(3)可知Si是狀態轉換概率矩陣對系統初始狀態的影響。因為矩陣W對系統的未檢測到的危險失效產生了影響，所以在系統功能測試時的Si是P與W共同作用的結果。假設通過功能測試能夠檢測當時的全部安全失效及FDD狀態并通過維修等手段被系統完全消除。可得W為

(4)

式中：CT——測試覆蓋率。

因而在第二個功能測試周期內，系統狀態矩陣為

ST+i=STWPii=1，2，3，4，5，…，T1

(5)

ST=S0PT1

(6)

T1=730T

(7)

式中：T——檢測測試周期，月；ST——第2個測試周期開始之前系統的狀態矩陣

在第j個功能測試周期內，系統狀態矩陣為

SjT+i=(STW)jPi

(8)

因為各狀態矩陣的(0，n-1)，(0，n-2)元素值相加即可求得在t時刻系統處在危險狀態的概率PFD。依據該情況，可以引入一個元素數與系統狀態相同的危險失效向量Vd，應注意的是該向量表示的不是系統在某狀態的概率，而表示在要求的情況下系統能夠處于該狀態。所求的為危險失效概率即FDD和FDU，因而“1oo1”模型的危險失效向量Vd=[0011]T。以此有n個狀態的系統危險失效向量Vd=[00…11]T，Vd中的元素為n個。因此，可得PFD(t)的公式為

PFD(t)=SjT+iVd=(STW)jPiVd

(9)

在式(9)中需要注意的是無論初始狀態矩陣，狀態轉換概率矩陣，失效狀態矩陣必須一一對應。

(10)

式中：N=12TL/T(結果取其整數)，T1=730T，TL——裝置的運行周期，a。

4 結束語

通過公式(10)可以得出： 主要影響危險失效概率的因素有轉換矩陣P，W和T。在一個產品選定之后其λSDC，λSDN，λSUC，λSUN，λDDC，λDDN，λDUC，λDUN，CT1等已經固定，因此P，W矩陣基本無法改變，故而在SIL等級不夠時可以根據實際改變T來提高SIL等級。除此之外，上文的W是在FDD全部轉換為完好狀態下得出的，因此在應用時要考慮FDD是否全部轉換為完好狀態，如果沒有則需做相應的改變。