基于檢驗測試的安全儀表系統安全評價Markov簡化模型

姬 康,王 璐,王明鋒,王先朝,許 鵬,劉曉亮

(1.中國石油新疆油田分公司呼圖壁儲氣庫作業區,新疆 呼圖壁 831200；2.機械工業儀器儀表綜合技術經濟研究所,北京 100055)

安全儀表系統(Safety Instrumented System,SIS)是用來實現一個和多個安全功能的系統，在發生事故時能夠將工藝過程或生產裝置切換至安全狀態，起到防止危險發生或減輕事故后果的效果，最終能夠保證人員、設備和環境的安全。本文僅限于在低要求運行模式下的SIS，要求時危險失效平均概率(the average Probability of dangerous Failure on Demand,

PFD

)是SIS的安全性量化的重要指標，通常要求頻率小于每年一次。

PFD

受系統架構、系統中組件的故障率、平均故障診斷時間、維修恢復時間、檢驗測試時間間隔等因素的影響，可以通過提高系統中組件的可靠性、增加冗余通道、縮短檢驗測試時間間隔、增加部分檢驗測試等方式，來降低

PFD

的值。在SIS整個安全生命周期中，運行維護階段占了較大的比例，關于SIS的運行特性和生產維護對其安全性造成的影響已有大量的相關研究，提出了眾多計算方法。如IEC 61508-6標準中提出了常用冗余系統的簡化計算公式，但該系列公式只涵蓋了SIS安全性分析中的少數因素；Innal等分析了部分檢驗測試的影響，給出了一個基于1oo2系統的Markov模型簡化公式；Wu等考慮了故障率的韋伯分布，利用條件概率理論，提出了SIS不可用性計算公式；Signoret等建立了一個以可靠性框圖為驅動的Petri網安全分析模型。隨著工藝自動化程度越來越高，SIS本身結構和運行維護日益復雜，安全性的動態特征越來越明顯，針對由于組件故障和檢驗測試而導致系統安全性隨時間變化的冗余系統來說，IEC 61508-6標準中推薦使用Markov模型和Petri網。Petri網能夠對SIS安全性進行較為準確的評估，但是由于Petri網生成的模型使用起來難度較大，安全分析師往往需要深刻地了解Petri網建模原理才能建立計算模型。Markov模型相比Petri網較為簡單，具有較高的靈活性和能夠覆蓋多種場景的特性，被認為更適合用于SIS在動態環境中的定量評估。然而，當在Markov模型中引入新的組件和因素時，其狀態數量會呈指數增長。鑒于這一局限性，通過分析系統結構特征，將Markov模型進行簡化的方法得到了廣泛的研究。如Stewart提出了狀態合并的思想來簡化Markov模型；Xu等使用圖形合并的方法將高階Markov模型近似簡化為低階Markov模型；Guo等提出了合并具有相同轉換率狀態的方法來簡化Markov模型；Chen指出可以通過刪除停留時間較短狀態來簡化Markov模型；李鵬等在傳統Markov模型的基礎上，考慮周期檢測策略，對SIS的安全失效概率(Probability of Failing Safety，PFS)進行了評估；王海清等綜合考慮檢驗測試、冗余結構和系統失效等因素，提出了多階段馬爾可夫模型簡化算法。本文在上述研究的基礎上，提出了一種基于檢驗測試的要求時危險失效平均概率(

PFD

)的Markov簡化計算模型，適用于常見同構冗余架構系統的SIS，并以1oo2冗余架構系統為例對Markov簡化模型進行了詳細的分析說明，該Markov簡化模型主要包括確定狀態間轉換率、刪除停留時間較短的狀態、合并具有相似特征的狀態，并利用參數靈敏度分析引入模型修正因子。

1 安全儀表系統(SIS)失效分類

安全儀表系統(SIS)失效可分為危險失效、安全失效和無影響失效，能夠引起危險事件的失效稱為危險失效，能夠引起誤停車的失效稱為安全失效，無影響失效不參與失效率計算，可能會造成潛伏故障。

PFD

只與危險失效相關。危險失效被分為可診斷到的危險失效(dd)和不可被診斷到的危險失效(du)兩種類型。其中，為了減少由于du類型失效導致的系統不可控時間，最常用的方法是增加部分檢驗測試的頻率。考慮部分檢驗測試，du類型失效又被分為兩類：一類是可被部分檢驗測試發現并進行恢復的失效，稱為PT類型失效；另一類是僅可被完全檢驗測試發現并恢復的失效，稱為FT類型失效。假設系統總體失效率為

λ

，危險失效率為

λ

，安全失效率為

λ

，dd類型失效率為

λ

，du類型失效率為

λ

，PT類型失效率為

λ

，FT類型失效率為

λ

，診斷覆蓋率為

DC

，部分檢驗測試可檢測到失效的能力為

θ

。它們之間的關系如圖1所示。

圖1 安全儀表系統(SIS)失效率分類Fig.1 Classification of failure rate for Safety Instrumented System (SIS)

2 Markov簡化模型

2.1 基于Markov的PFDavg計算模型

本文以應用較為廣泛的1oo2冗余架構系統為例對Markov模型進行簡化說明。假設部分檢驗測試時間間隔(

T

)在完全檢驗測試時間間隔(

T

)內定周期分布。如圖2所示，建立了基于1oo2冗余架構系統的Markov安全分析模型，此模型沒有考慮部分檢驗測試。其中：狀態用圓圈表示，轉換率用箭頭表示；在狀態圈中，下半圈中標注的是狀態的索引值，上半圈中序號1對應的是先發生的失效類型，序號2對應的是后發生的失效類型。

圖2 基于1oo2冗余架構系統的Markov安全分析模型Fig.2 Markov safety evaluation model for 1oo2 redundant architecture system注：OK表示正常工作；dd表示已產生dd類型失效；du表示已產生du類型失效；μdd表示一個dd類型失效的恢復率；μ1、μ2表示不同狀態之間的轉換率。下同。

如圖3所示，建立了包含部分和完全檢驗測試的1oo2冗余架構系統的Markov安全分析模型。

圖3 包含部分和完全檢驗測試的1oo2冗余架構系統Markov安全分析模型Fig.3 Markov safety evaluation model for 1oo2 redundant architecture system (with partial and entire test)注：FT表示已產生FT類型失效；PT表示已產生PT類型失效；μ1～μ6表示不同狀態之間的轉換率。

由圖2和圖3可見，在考慮部分和完全檢驗測試對SIS的影響時，Markov模型的狀態數量從6個變為了11個。可見，考慮因素的增加會導致狀態數呈指數增長，這是在安全性分析中使用Markov模型的主要局限之一。因此，在計算結果的誤差能被接受，并且保留Markov模型動態特性的前提下，對Markov模型進行簡化，可以有效提高建模和計算效率。

2.2 Markov模型的簡化步驟

Markov模型的具體簡化步驟如下：

(1) 簡化第一步：確定轉換率

μ

。假設

V

?

U

?

μ

，其中

V

={

λ

、

λ

、

λ

},

U

={

μ

,

μ

,

μ

,

μ

,

μ

,

μ

},從穩態不可用度和瞬態不可用度兩個角度，得出各狀態的

PFD

計算公式，以此來計算各狀態之間的轉換率。其中：

(1)

(2)

(3)

(4)

(5)

在計算

μ

時，因為狀態10是先發生FT類型失效，后發生PT失效，系統不工作的時段無法確定，只依賴于狀態10很難列出瞬態方程式，因此將狀態9和狀態10合并，列出基于此兩種狀態的瞬態和穩態不可用度的方程:

(6)

其中：

T

=

mT

；

m

為部分檢驗測試定周期分布因子；

j

為單個部分檢驗測試的索引值；

t

為時間積分變量。(2) 簡化第二步：確定主導狀態。對于冗余系統來說，若系統由

n

個獨立通道構成，且在要求發生時至少有

k

個通道能正常執行安全功能，則系統

PFD

是(

n

-

k

+1)個已失效通道狀態的

PFD

之和。對于1oo2冗余架構系統來說，就是2個通道失效狀態的

PFD

之和，即：

(7)

式中：

l

為各狀態的索引值。利用各狀態基于穩態不可用度的

PFD

計算公式，計算與系統

PFD

相關的各個分狀態的

PFD

，表1給出了各個分狀態

PFD

的計算結果，其中相關安全數據來自OREDA數據庫。根據公式(1)，可計算得到系統

PFD

為1.143 3×10。

表1 Markov模型的計算結果Table 1 Results of the Markov model

由表1可知，狀態5、6和7對系統

PFD

的權重較小，可以發現這些狀態(5、6和7)都與

λ

相關，是能夠被在線診斷檢測出的狀態，因為在線診斷的間隔時間較短，所以在此狀態的停留時間也較短。由于停留時間較短的狀態對Markov模型計算結果的影響不大，因此在Markov模型簡化過程中，可將此類狀態從Markov原始模型中刪除。另外，狀態2與系統

PFD

的計算無關，也可將其刪除，從而得出如圖4所示的Markov初步簡化模型，表2給出了特定安全參數下Markov原始模型與Markov初步簡化模型的計算結果。

圖4 Markov初步簡化模型Fig.4 Preliminary simplified Markov model

表2 特定安全參數下Markov原始模型與Markov初步簡化模型計算結果的對比Table 2 Comparison of the results between original Markov model and preliminary simplified Markov model with certain safety parameters

由表2可知，Markov原始模型與其初步簡化模型在

PFD

的計算中結果非常接近，表明從Markov模型中刪除停留時間較短的狀態不會對計算結果產生較大的影響。(3) 簡化第三步：合并特征相似的狀態。系統

PFD

是狀態8、9、10、11的

PFD

之和。將公式(1)～(6)代入各狀態的穩態公式。其中，狀態8和狀態9的穩態方程式相似，故在公式中可將其進行合并。有：

(8)

分析公式(8)，此公式與由挪威工業科技研究院(SINTEF)采用PDS方法給出的如下公式相似：

(9)

(1) 首個失效為PT類型失效的狀態。當某一通道發生PT類型失效后，接下來發生任何類型的失效，系統失效都一定發生在部分檢驗測試時間間隔

T

內，即此種狀態可被部分檢驗測試修復到系統不失效的狀態。此類狀態對應的公式為

(10)

(2) 全部失效為FT類型失效的狀態。即此種狀態可被完全檢驗測試修復到系統不失效的狀態。此類狀態對應的公式為

(11)

(3) 首個失效為FT類型失效，在

n

-

k

+1個失效中包含有PT類型失效的狀態。此類狀態受連續發生FT類型失效的個數影響，假設首先連續發生了

s

(

s

<

n

-

k

+1)個FT類型失效后，發生PT類型失效。前

s

個FT類型失效對應的平均系統不工作時間是以

T

為基礎的，在PT類型失效發生后，系統失效一定發生在部分檢驗測試時間間隔

T

內，這與(1)中描述內容相同，計算首個PT類型失效對應的系統平均不工作時間時，假設完全檢驗測試時間間隔比部分檢驗測試時間間隔大很多，可以忽略FT類型失效數量，近似看作發生

s

=1個FT類型失效后發生PT類型失效的系統平均不工作時間。此類狀態對應的公式為

(12)

其中:1≤

s

≤

n

-

k

；1≤

g

≤max(1,

n

-

k

-

s

)；

系統

PFD

等于相關各分狀態的

PFD

之和，可表示如下：

PFD

=

PFD

avg+

PFD

avg+

PFD

avg

(13)

其中:1≤

s

≤

n

-

k

;1≤

g

≤max(1,

n

-

k

-

s

);

3 Markov簡化模型修正因子分析

與Markov原始模型相比，其簡化過程通常會導致公式的計算結果有偏差。通常對于Markov簡化模型，可以用以下公式進行修正：

(14)

C

是修正因子，在此用于最小化Markov簡化模型與Markov原始模型計算結果的偏差。本文通過歐幾里得距離來導出多個安全參數在置信范圍內兩模型之間的相似度，并利用各安全參數對

PFD

的權重影響，確定整體

C

。

3.1 修正因子分析指標

影響修正因子的因素有相似度、相對誤差和參數靈敏度及其權重值。利用歐幾里得距離來比較Markov原始模型與Markov簡化模型繪制的兩條曲線之間的相似度。相似度定義如下:

(15)

式中:

x

為選定的安全參數;(

a

，

b

)為相關安全參數的置信區間。

ED

的取值范圍為(0,1]，

ED

值越小，兩條曲線越相背離，越接近于1，相似度越高；如果兩條曲線完全吻合，則

ED

值為1。在給定范圍(

a

，

b

)內，按下式計算基于選定安全參數的Markov原始模型與Markov簡化模型

PFD

的相對誤差(

RE

)：

(16)

RE值不宜超過15%，否則認為模型不可信。同時，記錄

PFD

的最大偏差(即

PFD

的最大值和最小值)，并根據

PFD

值的變化，來度量該安全參數的靈敏度及其權重值。靈敏度定義如下：

(17)

其中，Δ

x

≤(

b

-

a

)，

x

∈(

a

,

b

)。

該安全參數的權重值計算公式如下：

(18)

3.2 基于安全參數的修正因子分析

針對不同的冗余架構系統，修正因子

C

是不同的。在1oo2冗余架構系統中，當分析選定安全參數

x

對

PFD

的影響時，假設其他安全參數是恒定值，函數方程為：

PFD

=

f

(

x

),

x

∈(

a

,

b

)，在給定范圍(

a

,

b

)內，通過插值計算得出本安全參數

x

對應的最佳

C

值，該最佳

C

值能夠使得Markov簡化模型與Markov原始模型的相似度ED無限接近于1，并且兩模型

PFD

之間的相對誤差小于15%。將

λ

作為選定安全參數，設定

λ

的置信區間為(10h,10h)，其他安全參數為恒定值，經過插值計算表明：當

C

=1.910 7時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0.999 986；兩模型

PFD

之間的最大相對誤差

RE

為5.40%，

PFD

的最大值和最小值分別為6.924 1×10和7.398 2×10，見圖5。

圖5 基于λdu的PFDavg趨勢圖Fig.5 Trend curves of PFDavg based on λdu

將

DC

作為選定安全參數，設定

DC

的置信區間為(0.2,0.8)，其他參數為恒定值，經過插值計算表明：當

C

=1.965 4時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0.999 997；兩模型

PFD

之間的最大相對誤差

RE

為1.57%，

PFD

的最大值和最小值分別為1.171 0×10和1.143 2×10，見圖6。

圖6 基于DC的PFDavg趨勢圖Fig.6 Trend curves of PFDavg based on DC

將

θ

作為選定安全參數，設定

θ

的置信區間為(0

.

2,0

.

8)，其他參數為恒定值，經過插值計算表明：當

C

=1.944 1時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0

.

999 995;兩模型

PFD

之間的最大相對誤差

RE

為3.68%，

PFD

的最大值和最小值分別為2.627 1×10和2.734 3×10，見圖7。

圖7 基于θ的PFDavg趨勢圖Fig.7 Trend curves of PFDavg based on θ

將

T

作為選定安全參數，設定

T

(h)的置信區間為(200 h,4 000 h)，其他參數為恒定值，經過插值計算表明：當

C

=1.959 7時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0.999 999；兩模型

PFD

之間的最大相對誤差

RE

為0.41%，

PFD

的最大值和最小值分別為2.012 3×10和1.051 4×10，見圖8。

圖8 基于TPT的PFDavg趨勢圖Fig.8 Trend curves of PFDavg based on TPT

將

T

作為選定安全參數，設定

T

的置信區間為(4 000 h,24 000 h)，其他參數為恒定值，經過插值計算表明：當

C

=1.849 6時，Markov原始模型與Markov簡化模型之間的相似度最高，

ED

值為0

.

999 963;兩模型

PFD

之間的最大相對誤差為8.18%，

PFD

的最大值和最小值分別為7.283 2×10和2.899 7×10，見圖9。

圖9 基于TFT的PFDavg趨勢圖Fig.9 Trend curves of PFDavg based on TFT

3.3 確定整體修正因子

為了計算整體修正因子，需要利用公式(17)和(18)確定模型中每個安全參數的靈敏度及其權重，1oo2冗余架構系統安全參數的權重分布，見圖10。

圖10 1oo2冗余架構系統安全參數的權重分布圖Fig.10 Weight distribution of safety parameters of 1oo2 redundant architecture system

每個安全參數的單參數因子與該參數的權重值相乘，可得出單個參數修正因子。表3給出了基于1oo2冗余架構系統的單個安全參數修正因子的計算結果。將所有參數的修正因子相加，可得出1oo2冗余架構系統的整體修正因子

C

，即

C

=1.919 6。

表3 1oo2冗余架構系統的單個安全參數修正因子計算結果Table 3 Calculation of the correction factor of individual safety parameter for 1oo2 redundant architecture system

利用同樣的的方法，可以計算出其他常用的冗余架構系統的整體修正因子，見表4。

表4 常用冗余架構系統的整體修正因子取值表Table 4 Values of correction factors for common 1oo2 redundant architecture system

3.4 修正后的計算公式

采用整體修正因子乘以Markov簡化模型對應的公式(13)，可得出不同冗余架構系統修正后的簡化計算公式:

(19)

其中：1≤

s

≤

n

-

k

；1≤

g

≤max(1,

n

-

k

-

s

)；

4 模型驗證

以1oo2冗余架構系統為例，將本文導出的簡化計算公式分別與Markov原始計算模型和IEC 61508-6中公式進行了對比分析。

如表5所示，列出了Markov原始模型一次迭代和Markov簡化模型所需的實數加法器和實數乘法器數量，

N

表示符號個數，可以看出在一定的置信區間內，簡化計算公式的計算復雜度有顯著降低。

表5 不同計算公式的計算復雜度對比Table 5 Comparison of computational complexity between different formulas

不同計算公式得到的

PFD

結果對比，見表6。

表6 不同公式得到的PFDavg計算結果對比Table 6 Comparison of calculation results (PFDavg) between different Markov formulas

由表6可知：Markov簡化模型與Markov原始模型

PVD

的計算結果相比，平均誤差小于5%;與IEC 61508-6中公式的計算結果相比，平均誤差小于15%，這種偏差程度在評定安全完整性等級(SIL)時是可接受的。圖11給出了Markov簡化模型與IEC 61508-6中公式和Markov原始模型

PFD

計算結果的偏差曲線對比圖。由圖11可見，Markov簡化模型

PFD

計算結果的偏差曲線與Markov原始模型在形狀、趨勢和大小上保持了高度的一致。

圖11 Markov簡化模型和IEC 61508-6中公式與Markov原始模型PFDavg計算結果的偏差曲線對比Fig.11 Comparison of deriation of PFDavg calculation result of simplified Markov model and formula in IEC 61508-6 from original Markov model

5 結 論

(1) 本文提出了一種基于檢驗測試的

PFD

簡化計算模型，適用于低要求運行模式下同構冗余koon架構系統的SIS。驗證結果表明:Markov簡化模型與Markov原始模型在主要特征上有很高的一致性，相對誤差小于5%，可以應用于SIL等級的評估。

(2) 本文在考慮了部分和完全檢驗測試的情況下，以1oo2冗余架構系統為例，詳細說明了Markov模型簡化分析過程，包括狀態之間的轉換率計算、主導狀態的確定、相似狀態的合并，并將安全參數放入一定的置信區間內，通過參數敏感性分析引入修正因子將計算誤差最小化。