基于馬爾科夫矩陣的安全完整性等級(jí)驗(yàn)算推導(dǎo)及探討

沈立明，李云龍

(寧夏天源石化有限公司，寧夏 吳忠 751100)

近年來石化裝置中安全儀表系統(tǒng)(SIS)應(yīng)用越來越廣泛。在SIS設(shè)計(jì)中一項(xiàng)重要的工作就是安全完整性等級(jí)(SIL)的驗(yàn)算。在IEC 61508[1]中給出了框圖法、故障樹法、馬爾科夫建模法。本文以“1oo1”和“1oo2”電路模型深入探討馬爾科夫建模的方法。

1 “1oo1”電路模型馬爾科夫狀態(tài)轉(zhuǎn)換矩陣的建立

在安全功能正常有效的情況下，系統(tǒng)結(jié)構(gòu)配置能夠容忍的危險(xiǎn)失效數(shù)即為故障裕度，對(duì)于“MooN”模型來說，其故障裕度為N-M，因而可知“1oo1”模型故障裕度為0，即“1oo1”模型不能容忍任何危險(xiǎn)失效。

1.1 狀態(tài)的建立

對(duì)于“1oo1”輸出開路安全電路系統(tǒng)基本電路如圖1所示。

通常情況下，SIS無聯(lián)鎖觸發(fā)時(shí)輸出電路觸點(diǎn)為閉合狀態(tài)。故而在安全電路中安全失效狀態(tài)為輸出電路存在不正常的開路，危險(xiǎn)狀態(tài)為輸出電路存在不正常的短路。如圖1所示，電路只存在1個(gè)輸出電路，當(dāng)發(fā)生安全失效時(shí)輸出電路存在不正常的開路，使電路無法正常輸出，系統(tǒng)處于安全失效狀態(tài)。當(dāng)發(fā)生危險(xiǎn)失效時(shí)輸出電路存在不正常的短路，使得電路無法正常輸出，系統(tǒng)處于危險(xiǎn)失效狀態(tài)。因此，“1oo1”模型無法容忍危險(xiǎn)失效。

圖1 “1oo1”輸出開路安全電路系統(tǒng)示意

因?yàn)椤?oo1”模型既無法容忍安全失效也無法容忍危險(xiǎn)失效，所以當(dāng)發(fā)生任何失效時(shí)均會(huì)使得系統(tǒng)處于結(jié)果狀態(tài)?？紤]到本身的自診斷的原因，對(duì)于“1oo1”模型來說存在一種初始狀態(tài)即系統(tǒng)完好狀態(tài)(OK)，三種最終結(jié)果狀態(tài)即安全失效狀態(tài)(FS)、被檢測(cè)的危險(xiǎn)失效狀態(tài)(FDD)、未被檢測(cè)的危險(xiǎn)失效狀態(tài)(FDU)，且最終結(jié)果狀態(tài)之間無法相互轉(zhuǎn)換。在“1oo1”模型中無論是被檢測(cè)的安全失效狀態(tài)(FSD)和未被檢測(cè)的安全失效狀態(tài)(FSU)均會(huì)造成過程誤停車，處于該兩種狀態(tài)時(shí)，重啟后系統(tǒng)能夠再次完好使用。因此，在建立狀態(tài)關(guān)系時(shí)把FSD狀態(tài)和FSU狀態(tài)合并為FS狀態(tài)。對(duì)于被發(fā)現(xiàn)的危險(xiǎn)失效會(huì)被系統(tǒng)診斷出來，因而FDD狀態(tài)會(huì)被系統(tǒng)拒絕。此時(shí)系統(tǒng)資源是可用的，經(jīng)過維修后系統(tǒng)恢復(fù)正常狀態(tài)。在該狀態(tài)情況下系統(tǒng)會(huì)拒絕危險(xiǎn)失效，即導(dǎo)向安全側(cè)。對(duì)于FDU狀態(tài)因未被系統(tǒng)診斷出來，因此FDU狀態(tài)不會(huì)被系統(tǒng)拒絕，在該情況下系統(tǒng)會(huì)發(fā)生危險(xiǎn)的狀態(tài)。為了下文方便表述，將OK，F(xiàn)S，F(xiàn)DD，F(xiàn)DU狀態(tài)分別標(biāo)為0，1，2，3狀態(tài)。

1．2 各狀態(tài)間概率轉(zhuǎn)換的分析

系統(tǒng)發(fā)生安全失效后能夠通過重啟恢復(fù)到初始狀態(tài)，因而系統(tǒng)在0狀態(tài)和1狀態(tài)之間能夠相互轉(zhuǎn)換。當(dāng)發(fā)生危險(xiǎn)時(shí)，也能通過維修等手段恢復(fù)到初始狀態(tài)，因而系統(tǒng)也能夠在0狀態(tài)和2狀態(tài)之間相互轉(zhuǎn)換。系統(tǒng)在3狀態(tài)時(shí)已經(jīng)發(fā)生了危險(xiǎn)失效，因而系統(tǒng)只能由0狀態(tài)轉(zhuǎn)換到3狀態(tài)。因?yàn)?，2，3狀態(tài)為結(jié)果狀態(tài)，所以無法相互轉(zhuǎn)換?！?oo1”電路模型馬爾科夫狀態(tài)轉(zhuǎn)換如圖2所示，圖2中對(duì)應(yīng)物理量見表1所列。

圖2 “1oo1”電路模型馬爾科夫狀態(tài)轉(zhuǎn)換

符 號(hào)含 義λSD被檢測(cè)的安全失效率λSU未被檢測(cè)的安全失效率λDD被檢測(cè)的危險(xiǎn)失效率λDU未被檢測(cè)的危險(xiǎn)失效率μo維修率μSD重啟率

1．3 狀態(tài)轉(zhuǎn)換矩陣的得出

從圖2中可以得出0狀態(tài)可轉(zhuǎn)換到1，2，3狀態(tài)。因而0—0的狀態(tài)就是全概率1減去轉(zhuǎn)換到1，2，3狀態(tài)的概率值。0—1狀態(tài)： 即兩者之間轉(zhuǎn)換線上的值。其他狀態(tài)轉(zhuǎn)換依照此情況。將轉(zhuǎn)換模型中的值填入矩陣中得出“1oo1”模型的狀態(tài)轉(zhuǎn)換矩陣P為

(1)

2 “1oo2”電路模型馬爾科夫狀態(tài)轉(zhuǎn)換矩陣的建立

對(duì)于“MooN”模型來說，其故障裕度為N-M，故而“1oo2”模型故障裕度為1。即該模型能夠容忍一個(gè)危險(xiǎn)失效。即當(dāng)系統(tǒng)發(fā)生一次危險(xiǎn)失效時(shí)，不影響其執(zhí)行安全儀表功能(SIF)。

2．1 狀態(tài)的建立

“1oo2”輸出開路安全電路系統(tǒng)基本電路如圖3所示。

“1oo2”系統(tǒng)輸出電路為2個(gè)輸出電路串聯(lián)，即使1個(gè)電路存在危險(xiǎn)失效即不正常的短路，另一個(gè)通道仍能完成安全功能。該情況下系統(tǒng)降級(jí)為“1oo1”系統(tǒng)。雖然仍能執(zhí)行SIF，但其失效概率已經(jīng)改變。這也就是當(dāng)N>M時(shí)“MooN”結(jié)構(gòu)能夠容忍危險(xiǎn)失效的根本原因。因“1oo2”模型輸出為2個(gè)輸出電路串聯(lián)，當(dāng)系統(tǒng)存在安全失效即不正常的開路時(shí)，整個(gè)系統(tǒng)輸出電路將無法再正常執(zhí)行SIF。從以上論點(diǎn)得出“1oo2”模型會(huì)容忍1個(gè)危險(xiǎn)失效，但是不會(huì)容忍任何安全失效。在降級(jí)為“1oo1”模型后系統(tǒng)仍能執(zhí)行SIF，因此會(huì)多出1個(gè)或多個(gè)系統(tǒng)中間狀態(tài)。

圖3 “1oo2”輸出開路安全電路系統(tǒng)示意

由上文分析可知“1oo2”模型發(fā)生1個(gè)危險(xiǎn)失效時(shí)系統(tǒng)會(huì)繼續(xù)運(yùn)行，而危險(xiǎn)失效又分為被檢測(cè)到的和未被檢測(cè)到的，因此“1oo2”模型要比“1oo1”模型多出降級(jí)后被檢測(cè)到的危險(xiǎn)失效(Degraded Fail Detected)、降級(jí)后未被檢測(cè)到的危險(xiǎn)失效(Degraded Fail Undetected)兩個(gè)中間狀態(tài)。對(duì)于初始狀態(tài)與結(jié)果狀態(tài)與“1oo1”模型類似。因而對(duì)于“1oo2”模型通道來說存在6種狀態(tài)：FS，F(xiàn)DD，F(xiàn)DU，OK，Degraded Fail Detected，Degraded Fail Undetected。為了下文方便表述將OK，Degraded Fail Detected，Degraded Fail Undetected，F(xiàn)S，F(xiàn)DD，F(xiàn)DU狀態(tài)分別標(biāo)為0，1，2，3，4，5狀態(tài)。

2．2 各狀態(tài)轉(zhuǎn)換的分析

因?yàn)椤?oo2”模型多了由危險(xiǎn)失效導(dǎo)致的危險(xiǎn)狀態(tài)，因而當(dāng)模型第一次發(fā)生危險(xiǎn)失效時(shí)先轉(zhuǎn)換到中間狀態(tài)。中間狀態(tài)再次發(fā)生失效時(shí)才能轉(zhuǎn)換到最終結(jié)果狀態(tài)。“1oo2”電路模型馬爾科夫狀態(tài)轉(zhuǎn)換如圖4所示，圖4中相關(guān)物理量見表2所列。

圖4 “1oo2”電路模型馬爾科夫狀態(tài)轉(zhuǎn)換示意

“1oo2”模型轉(zhuǎn)換概率的分析大體與“1oo1”模型相同，下面對(duì)個(gè)別特殊的回路進(jìn)行分析。

4) 0—4狀態(tài)轉(zhuǎn)換。因?yàn)橄到y(tǒng)存在2條輸出通道，而2個(gè)通道均出現(xiàn)FDD的原因只能是共因失效，概率為λDDC。

5) 0—5狀態(tài)轉(zhuǎn)換。因?yàn)橄到y(tǒng)存在2條輸出通道，因而2個(gè)通道均出現(xiàn)FDU的原因只能是由于共因失效，其概率為λDUC。

6) 2—4狀態(tài)轉(zhuǎn)換。2—4的狀態(tài)轉(zhuǎn)換是在0—2狀態(tài)轉(zhuǎn)換的前提下，由于0狀態(tài)轉(zhuǎn)換到2狀態(tài)是FDU，因此2—4的狀態(tài)轉(zhuǎn)換概率為λDD。

7) 2—3狀態(tài)轉(zhuǎn)換。2—3狀態(tài)轉(zhuǎn)換是在0—2轉(zhuǎn)換的前提下，由于0狀態(tài)轉(zhuǎn)換到2狀態(tài)是FDU，因此2—3狀態(tài)轉(zhuǎn)換的概率為λS，λS出現(xiàn)的原因是該回路不容忍安全失效。

8) 2—5狀態(tài)轉(zhuǎn)換。分析方法與2—4相同。

9) 1—5狀態(tài)轉(zhuǎn)換則不存在，因?yàn)樵?—1狀態(tài)轉(zhuǎn)換過程中危險(xiǎn)失效已經(jīng)被發(fā)現(xiàn)，因此不會(huì)再造成FDU。

2．3 狀態(tài)轉(zhuǎn)換矩陣

根據(jù)“1oo1”矩陣可得到“1oo2”模型的轉(zhuǎn)換矩陣P為

(2)

3 馬爾科夫計(jì)算PFDavg原理

馬爾科夫轉(zhuǎn)換概率矩陣的意義： 在固定時(shí)長(zhǎng)內(nèi)系統(tǒng)某一個(gè)狀態(tài)轉(zhuǎn)換到其他狀態(tài)的概率矩陣P。

2) 功能測(cè)試矩陣W。在一個(gè)檢測(cè)周期T內(nèi)測(cè)試出的FDU狀態(tài)轉(zhuǎn)換到系統(tǒng)完好狀態(tài)的狀態(tài)轉(zhuǎn)換概率矩陣。

3) 初始矩陣S0。系統(tǒng)OK元素為1時(shí)的矩陣。馬爾科夫矩陣每行的數(shù)值相加都為1，但是每列相加就不一定為1。該情況是因?yàn)轳R爾科夫矩陣行的意義為表示系統(tǒng)在在一個(gè)固定時(shí)間內(nèi)，與其中元素的取值單位有關(guān)，一般計(jì)算中每個(gè)元素的單位為h-1。由一個(gè)狀態(tài)向其他狀態(tài)轉(zhuǎn)換或保持自身狀態(tài)的概率。

通過將2個(gè)向量相乘得出在第一個(gè)檢測(cè)周期內(nèi)經(jīng)過一段時(shí)間后系統(tǒng)各狀態(tài)存在的概率，即：

Si=S0Pi

(3)

式中：P——Δt=1 h的馬爾科夫矩陣即狀態(tài)轉(zhuǎn)換矩陣;i——t時(shí)間段內(nèi)Δt的個(gè)數(shù)。

由式(3)可知Si是狀態(tài)轉(zhuǎn)換概率矩陣對(duì)系統(tǒng)初始狀態(tài)的影響。因?yàn)榫仃嘩對(duì)系統(tǒng)的未檢測(cè)到的危險(xiǎn)失效產(chǎn)生了影響，所以在系統(tǒng)功能測(cè)試時(shí)的Si是P與W共同作用的結(jié)果。假設(shè)通過功能測(cè)試能夠檢測(cè)當(dāng)時(shí)的全部安全失效及FDD狀態(tài)并通過維修等手段被系統(tǒng)完全消除?？傻肳為

(4)

式中：CT——測(cè)試覆蓋率。

因而在第二個(gè)功能測(cè)試周期內(nèi)，系統(tǒng)狀態(tài)矩陣為

ST+i=STWPii=1，2，3，4，5，…，T1

(5)

ST=S0PT1

(6)

T1=730T

(7)

式中：T——檢測(cè)測(cè)試周期，月；ST——第2個(gè)測(cè)試周期開始之前系統(tǒng)的狀態(tài)矩陣

在第j個(gè)功能測(cè)試周期內(nèi)，系統(tǒng)狀態(tài)矩陣為

SjT+i=(STW)jPi

(8)

因?yàn)楦鳡顟B(tài)矩陣的(0，n-1)，(0，n-2)元素值相加即可求得在t時(shí)刻系統(tǒng)處在危險(xiǎn)狀態(tài)的概率PFD。依據(jù)該情況，可以引入一個(gè)元素?cái)?shù)與系統(tǒng)狀態(tài)相同的危險(xiǎn)失效向量Vd，應(yīng)注意的是該向量表示的不是系統(tǒng)在某狀態(tài)的概率，而表示在要求的情況下系統(tǒng)能夠處于該狀態(tài)。所求的為危險(xiǎn)失效概率即FDD和FDU，因而“1oo1”模型的危險(xiǎn)失效向量Vd=[0011]T。以此有n個(gè)狀態(tài)的系統(tǒng)危險(xiǎn)失效向量Vd=[00…11]T，Vd中的元素為n個(gè)。因此，可得PFD(t)的公式為

PFD(t)=SjT+iVd=(STW)jPiVd

(9)

在式(9)中需要注意的是無論初始狀態(tài)矩陣，狀態(tài)轉(zhuǎn)換概率矩陣，失效狀態(tài)矩陣必須一一對(duì)應(yīng)。

(10)

式中：N=12TL/T(結(jié)果取其整數(shù))，T1=730T，TL——裝置的運(yùn)行周期，a。

4 結(jié)束語(yǔ)

通過公式(10)可以得出： 主要影響危險(xiǎn)失效概率的因素有轉(zhuǎn)換矩陣P，W和T。在一個(gè)產(chǎn)品選定之后其λSDC，λSDN，λSUC，λSUN，λDDC，λDDN，λDUC，λDUN，CT1等已經(jīng)固定，因此P，W矩陣基本無法改變，故而在SIL等級(jí)不夠時(shí)可以根據(jù)實(shí)際改變T來提高SIL等級(jí)。除此之外，上文的W是在FDD全部轉(zhuǎn)換為完好狀態(tài)下得出的，因此在應(yīng)用時(shí)要考慮FDD是否全部轉(zhuǎn)換為完好狀態(tài)，如果沒有則需做相應(yīng)的改變。