一種“KooN”結構的馬爾可夫簡并建模和簡化計算的方法

鄭敏，蔣佳奇，李強，陳世奕

(杭州豪鵬科技有限公司，浙江 杭州 330000)

為評估安全儀表系統的可靠性，IEC 61508[1]提出了安全儀表系統(SIS)需求時平均失效概率PFDavg的幾種計算方法，較為常用的是可靠性框圖法和馬爾可夫模型。研究者對這些方法進行了比較[2-4]，結果表明，對于表決結構簡單的SIS，使用可靠性框圖法和馬爾可夫模型會得到相似的結果，但是對于復雜的SIS，可靠性框圖法不如馬爾可夫模型得到的結果精確度高。這是由于可靠性框圖法沒有考慮到系統運行時間(LT)、系統啟動時間(TSD)和功能測試覆蓋率(CTI)等因素對PFDavg的影響。清華大學郭海濤等人[5]也認為馬爾可夫分析具有更高的靈活性，且涵蓋了影響可靠性的大部分因素，是唯一能描述系統狀態之間動態轉移的方法。雖然馬爾可夫分析計算結果精確度高，但是建立復雜結構的馬爾可夫模型更耗時且容易出錯。清華大學趙勁松等人[6]采用馬爾可夫模型計算了“1oo1”結構的PFDavg，用“1oo1”的結果間接計算冗余結構的PFDavg，避免了直接對冗余結構進行馬爾可夫建模的困難，但該方法只考慮了系統5種轉移狀態，忽略了降級狀態，計算精度不高。王海青等[7]以連續多階段馬爾可夫模型為框架，給出了“KooN”異型冗余表決結構的多階段馬爾可夫模型簡化算法。這些簡化算法雖然易于使用，但計算結果往往存在較大偏差，沒有馬爾可夫模型分析精確度高。

IEC 61165介紹了馬爾可夫方法的應用和相關術語，并給出了“1oo2”結構的建模過程[8]。一些學者[9-10]給出了“1oo1”“1oo2”“2oo3”等結構的馬爾可夫模型狀態轉移，但對于更復雜的邏輯結構沒有舉例。對于“KooN”表決結構，在文獻[1]中僅列舉了N≤3的幾種組合，對于傳感器來說基本能滿足，這是因為實際應用中，傳感器冗余度為3已經足夠了[11]，但部分執行單元的冗余度會大于3。對于冗余度大于3的表決結構，馬爾可夫建模過程難度增大、狀態轉移模型數量變得非常龐大。這是因為單個元件有五種狀態，即正常OK(Normal)、檢測到的安全失效SD(detected safe failure)、未檢測到的安全失效SU(undetected safe failure)、檢測到的危險失效DD(detected dangerous failure)和未檢測到的危險失效DU(undetected dangerous failure)；對于“KooN”表決結構，馬爾可夫模型描述的系統狀態除了這五種最終狀態外，還有降級狀態(或稱為中間狀態)。

實際上，隨著系統組件數量的增加，系統的轉移狀態數快速增長，用戶難以構建馬爾可夫模型[12]。Shooman和Laemmel在1987年提出了一種合并馬爾可夫模型狀態的方法[13]。一些文章提出將SIS分解為多個“1oo1”的子系統，然后合并相同狀態[6，14]，但這種簡化建模的方法省略了一些降級狀態，不能完全描述系統狀態，其計算結果的精度不夠。鑒于此，筆者提出了一種馬爾可夫簡并建模和簡化計算方法。

1 馬爾可夫簡并建模

1.1 假 設

本文的馬爾可夫建模方法與IEC 61165保持一致，在給定的時間單元(t，t+Δt)內，系統會從t時刻的狀態轉移到t+Δt時刻的狀態，時間單元Δt越小，模型的精度越高。單個元件在t時刻所處的狀態為OK，SD，SU，DD，DU五種情形之一。基于上述標準，本文有以下假設：

1)故障率和維修率都是恒定的。

2)系統發生安全失效可以通過維修(維修率為μSD)回到正常狀態。

3)在不影響系統其他部件的情況下，某個元件發生DD失效可以通過維修(維修率為μ0)回到正常狀態。

4)系統一旦發生了DU失效，是不能被維修的，只能處于該狀態。

5)初始狀態下，所有部件都能正常運行。

6)共因失效的β系數恒定，即采用單因子失效模型。

7)時間單元內，共因失效和單獨失效不會同時發生。

8)時間單元內只能發生一種單獨失效。

9)具有相同轉入率和維修率的狀態可以簡并。

1.2 降級狀態

降級狀態是系統的中間狀態，即某些設備失效后，系統能以降級狀態繼續運行。以“2oo3”表決結構為例，推導出“KooN”結構的降級狀態。當1個組件發生安全失效，系統會降級為“1oo2”結構，系統降級運行，2個組件發生安全失效，系統處于誤停車狀態；1個組件發生危險失效，系統降級為“2oo2”結構，系統降級運行，2個組件發生危險失效，系統處于危險失效停車狀態。由此可以推導出，對于“KooN”結構，nS個組件發生安全失效，降級為“(K-nS)oo(N-nS)”，nD個組件發生危險失效，系統降級為“Koo(N-nD)”結構；n(n=nS+nD)個組件發生失效后，系統降級為“(K-nS)oo(N-nS-nD)”。

由于系統發生安全失效意味著誤跳車，因此可以認為它總是能被檢測到。當K個或K個以上的組件發生安全失效時，整個“KooN”結構將發生誤跳車；如果剩下不到K個設備能執行安全功能，那么“KooN”結構在工藝需求時無法保護工藝，系統將發生危險失效；由此可見，系統失效不可能同時處于危險失效狀態和安全失效狀態。系統在危險失效狀態下，如果檢測到至少1個組件發生安全或危險失效，則系統發生的是危險可檢測失效，即DD失效；如果組件發生的是不可檢測危險失效，則系統也處于不可檢測危險失效狀態，即DU失效。因此有以下結論：

1)nS≥K，系統發生安全失效，造成系統誤停車，以維修率μSD維修并回到正常狀態。

2)0

3)nD≥N-K且nDD+nSD>0，系統發生可檢測危險失效。

4)nDU≥N-K+1，系統發生不可檢測危險失效。

1.3 簡并狀態

對于“KooN”結構，根據N個設備的所處狀態，可以得到t時刻的系統狀態，見表1所列。

表1 t時刻“KooN”結構系統狀態

表1中，is D列中0表示非危險失效，1表示危險失效。

1.4 建立轉移矩陣P

對“KooN”結構，將所有符合條件的系統轉移狀態簡并后，可以得到系統狀態數為m+2(m為不能簡并的狀態數量)。系統初始狀態下，所有設備都正常工作，得到了初始狀態矩陣S0，S0=[1 0 … 0 0]，該矩陣最后2列依次為Ssys和DUsys。因此狀態轉移矩陣P為(m+2)×(m+2)的矩陣。

正常狀態轉移到降級狀態的概率為設備的失效概率λ，設備的失效有單獨正常失效和共因失效兩種情況，具體的失效概率為λSDN，λSUN，λDDN，λDUN，λSDC，λSUC，λDDC，λDUC，在狀態轉移矩陣中，描述其狀態轉移概率時，根據系統所處的降級狀態，依次將上述8個失效概率代入即可，需要注意的是K個設備發生單獨正常失效，其狀態轉移概率為設備單獨正常失效概率乘以K。由此可以寫出狀態轉移矩陣如式(1)所示。

(1)

2 PFDavg的簡化計算

馬爾可夫建模方法描述了系統狀態轉移隨Δt轉移，Δt越小，模型的精度越高，為保證精確度同時又減少計算量，取Δt=1 h，即每小時發生一次狀態轉移。在一個功能測試周期(TI，單位為年)內，初始狀態矩陣為S0，1小時后狀態S1=S0P，2小時后狀態S2=S1P=S0P2，x小時后狀態Sx=Sx-1P=S0Px。

其中，x=8 760×TI，因此一個功能測試周期內有：

(2)

在SIS運行時間(LT，單位為年)內，會有NTI(NTI=LT/TI)個功能測試周期，DU失效只有通過功能測試才能發現，功能測試的狀態轉移矩陣為W。

第二個功能測試周期內，初始狀態為

Sx×W=S0×Px×W

(3)

第NTI個功能測試周期內，初始狀態為

S0×P(NTI-1)x×W(NTI-1)

(4)

由此可得，系統運行時間內的PFDavg計算式為

(5)

從式(2)和式(5)中可以看到，求解PFDavg最終需要求解矩陣P的x次冪，總計算量為2(m+2)2，當“KooN”結構中N值較大時，計算量較大，基于此提出了一種減少計算量的方法。在表1中加入了is D一列，即判斷該狀態是否為危險失效，只有發生危險失效時，才會有PFD數據，因此在計算t時刻的狀態矩陣S(t)時，只需計算S(t)中對應列為危險失效的數據，即is D為1狀態的失效概率，再對這些危險失效取平均值即可得到PFDavg。

3 方法驗證和說明

傳統建模方法當N較大時，矩陣模型變得非常龐大，對比文獻[5]和文獻[14]的矩陣規模，本文的簡化方法縮小了矩陣規模，簡化了計算又不失精度。文獻與簡化方法矩陣模型的大小對比見表2所列。

表2 文獻與簡化方法矩陣模型的大小對比

以“1oo2”結構為例，將符合nS≥K=1的狀態簡并為Ssys，將符合nDU≥N-K+1=2的狀態簡并為DUsys，得到的狀態表格見表3所列。

從表3可以看到，“1oo2”結構一共有15種狀態，狀態2，3，6，7，8，9，10，11，12滿足條件nS≥K，可以簡并為安全失效狀態Ssys，因此，“1oo2”結構最終可簡并為7個狀態。

表3 t時刻“1oo2”結構系統狀態

根據簡并后的系統狀態可以得到一個7×7矩陣如式(6)所示：

(6)

矩陣P從左到右狀態依次為表3中的狀態1， 4， 5， 13， 14，Ssys， 15(DUsys)。

假設某反應釜壓力高高聯鎖切斷閥門的SIF回路中，壓力傳感器為“1oo2”表決結構，系統的LT=15年，功能測試周期TI=12個月，功能測試覆蓋率CTI=90%，系統啟動時間TSD=24 h，μSD=0.041 67 h-1，平均恢復時間MTTR=24 h，μ0=0.041 67 h-1，共因失效因子β=10%，日本橫河EJA壓力變送器的失效數據為：λSD=0，λSU=55FIT，λDD=348FIT，λDU=36FIT，將數據代入“1oo2”的馬爾可夫模型轉移矩陣中，得到：

(7)

系統初始狀態矩陣S0=[1 0 0 0 0 0 0]，其中危險失效在第2，3，4，5，7列，計算狀態時，只要得到狀態矩陣S(t)的第2，3，4，5，7列失效數據即可。計算得到PFDavg=3.93×10-5。

表3中，當1個或1個以上的組件發生安全失效時，系統就會發生誤跳車，而發生誤跳車后系統可以通過維修回到正常狀態。這些安全失效狀態具有相同的轉移率和修復率，因此可以進行狀態簡并。

4 轉移狀態數量計算

每個設備有OK，SD，SU，DD，DU共5種狀態，一個時間單元內同一設備只能出現一種狀態，因此在一個時間單元內，N個設備會出現N種狀態(這些狀態為OK/SD/SU/DD/DU中的任一種)。對于“KooN”結構，其狀態數量即為N種設備狀態的組合。

5 結束語

本文對照傳統馬爾可夫建模，采取簡并中間狀態的方法，在保證計算精度的前提下，大幅減少了馬爾可夫建模狀態數量。而且對系統狀態增加了是否為危險失效狀態的判斷，計算時只需計算出所有危險失效狀態的失效率，減少了矩陣S和矩陣P相乘的計算量。

用馬爾可夫模型分析計算功能安全系統的PFDavg，必然要借助計算機軟件，但在保證計算結果精確度的前提下，可以將Δt適當延長，從而使軟件減少計算量。采用本文方法利用計算機進行馬爾可夫建模，針對不同的表決結構，可以方便地修改模型，減少了手工建模的工作量。同時，采用了單因子β模型，計算量減少，建模更為簡化，還可以用多因子β模型來構建馬爾可夫模型。

在本文的基礎上，還可以提出進一步不損失精度的狀態簡并方法。