面向高需求模式的安全儀表系統可靠性評估

王玉堃　劉子先

天津大學，天津，300072

面向高需求模式的安全儀表系統可靠性評估

王玉堃劉子先

天津大學，天津，300072

摘要：針對高需求模式下，安全儀表系統的可靠性評估尚缺研究的現狀，以1oo2冗余結構組為例，綜合考慮過程需求、部件失效模式、驗證測試策略和維修等因素，運用馬爾可夫方法構建了結構組的可靠性分析模型，并分別對需求和測試策略對結構組可靠性的影響進行了研究。結果表明：結構組的可靠性隨著需求頻率及驗證測試頻率的增加而降低；當需求頻率高于驗證測試頻率時，結構組的運行狀態主要通過需求進行檢測，反之，則通過驗證測試進行檢測。

關鍵詞：安全儀表系統；高需求模式；馬爾可夫方法；可靠性

0引言

安全儀表系統(safetyinstrumentedsystem，SIS)廣泛應用于工業部門，其作用是在需求發生時執行規定的安全儀表功能(safetyinstrumentedfunction，SIF)，以及在危險事件發生時將被保護設備(equipmentundercontrol，EUC)返回至安全狀態，避免或減輕潛在風險對人身、設備以及環境造成的傷害。根據需求出現的頻率高低，由國際電工委員會制定的功能安全標準IEC61508[1]將安全儀表系統的運行模式分為低需求運行模式、高需求運行模式、連續模式。需求頻率不超過一年一次時，安全儀表系統運行于低需求模式下，例如汽車的安全氣囊系統在較長時間內都處于鈍態；需求頻率大于等于一年一次時，安全儀表系統運行于高需求或者連續需求模式下，例如汽車的剎車系統。

為將被保護系統的運行風險降至特定水平，安全儀表系統必須具備非常高的可靠性。為判定安全儀表系統所執行的安全儀表功能是否達到所要求的安全完整性水平，需要對安全儀表系統的可靠性進行定量分析。針對安全儀表系統可靠性分析的方法包括：基于可靠性框圖的IEC近似公式[1]、故障樹分析法[1-3]、馬爾可夫法[1, 4-7]、Petri網建模分析法[1, 8-10]等。上述方法均可用來衡量安全儀表系統在不同需求運行模式下的可靠性。其中，可靠性框圖和故障樹屬于布爾模型，適合對靜態系統進行建模。馬爾可夫法和Petri網建模分析法則是基于系統狀態的建模方法，用于分析具有動態特征且規模較小的系統的行為特性。當前安全儀表系統的可靠性評估研究主要面向低需求運行模式[3-6, 8, 10-13]。在高需求模式下，系統的失效模式、需求發生頻率與驗證測試策略均將發生變化，然而，目前的研究[2，8，14]均未涉及系統失效模式，需求頻率和測試策略對系統失效概率的影響，導致系統可靠性的評估結果與實際存在較大偏差。本文針對高需求模式下運行的安全儀表系統，以常見的1oo2結構組為例，考慮需求、部件失效模式、驗證測試策略和維修等因素，構建結構組的馬爾可夫鏈模型，識別導致結構組發生危險失效的所有失效組合序列，從而衡量結構組的可靠性。在此基礎上，分別對需求和驗證測試策略對結構組可靠性造成的影響進行研究。

1模型影響因素

1.1安全儀表功能及其完整性

一個安全儀表系統執行一個或多個安全儀表功能，每個安全儀表功能必須滿足相應的安全完整性要求。安全完整性通過4個不同的安全完整性等級(safetyintegritylevel，SIL)表示，其中，SIL4表示最嚴格的安全完整性要求，SIL1則代表最寬松的安全完整性要求。如表1所示，為達到某一個SIL，安全儀表系統的可靠性必須滿足一定的要求。由于需求模式的差異，安全儀表系統的可靠性衡量指標也各不相同。低需求模式下，安全儀表系統在大多數時間內處于鈍態，并且與過程控制系統完全獨立，其可靠性通過需求發生時安全儀表系統無法執行安全儀表功能的概率來衡量。高需求模式下，安全儀表系統與過程控制系統部分集成，即SIS中的某些部件是連續運行的，而其他部件則獨立運行。連續模式下，SIS與控制系統完全集成，不間斷地執行安全儀表功能。高需求模式和連續模式下，安全儀表系統的可靠性通過安全儀表系統發生危險失效的平均頻率γ來衡量。

表1　安全儀表功能的安全完整性等級及其可靠性

1.2koon:G結構組

安全儀表系統由傳感器子系統、邏輯運算器和最終執行元件這三個子系統組成。每個子系統由一個或多個結構組構成，每個結構組包含一個或多個通道，構成通道的元素為部件。一個廣義koon:G結構組表示此結構組包含n個通道，其中至少有k個通道在需求發生時能正常執行安全儀表功能。常見的冗余結構組包括1oo1、1oo2、1oo3和2oo3結構組。

1.3失效模式和測試策略

根據失效影響，通道失效包括危險失效和安全失效。本文只考慮導致結構組無法正常執行安全儀表功能的危險失效。危險失效可分為被檢測的危險失效(DD失效)和未被檢測的危險失效(DU失效)。通道的總危險失效率λD是DD失效率λDD和DU失效率λDU之和。DD失效由自診斷測試檢測出，自診斷測試間隔較短，一般在數秒到若干小時之間。DD失效占總危險失效的比例稱為診斷覆蓋度ηDC：

(1)

DU失效通過周期性驗證測試以及需求檢測而出，由驗證測試檢測出的DU失效占全體DU失效的比率為驗證測試范圍α，驗證測試的間隔設定為τ。若不進行驗證測試，則 (0，τ)為通道中部件的大修周期或持續運行時間。若既不進行驗證測試，又不進行大修，則默認部件的持續運行時間為20年。當需求發生時，若結構組能夠成功響應，則表示其可正常執行安全儀表功能。因此也可將需求視作一類特殊的測試，其有效性取決于需求發生后每個通道的狀態。在不同運行模式下，需求和驗證測試對安全儀表系統的可靠性有著不同的影響。

為提高結構組的可靠性，通常在設計中加入冗余結構，但這也使結構組的可靠性在很大程度上受到潛在共因失效的影響。共因失效會導致兩個或兩個以上的通道同時或在一個很短的時間間隔內相繼發生失效。本文采用標準β因子模型對共因失效進行建模，其中，β表示共因失效占通道中所有失效的比率，反映系統對共因失效的敏感性。

21oo2結構組可靠性分析模型

1oo2結構組包含2個通道，每個通道包含1個部件。2個部件中只要有1個部件能正常運行，就能保證在需求發生時，結構組能正常執行安全儀表功能。考慮通道的失效模式、需求、測試策略和維修等因素，在一個驗證測試間隔(0，τ)內構建結構組的可靠性分析模型。模型假設如下：①結構組中的通道等同且獨立；②通道既可能發生獨立的危險失效，又有可能發生共因失效；③共因失效可能全部為DD失效或全部為DU失效，不考慮既包含DD失效又包含DU失效的共因失效；④在同一時間，通道不會同時發生DD失效和DU失效；⑤當檢測到通道失效，則立即實行維修；⑥需求持續時間忽略不計；⑦當檢測出結構組的危險失效，將被保護系統立即返回至安全狀態。

為簡化模型，假設在需求發生后，將結構組重置到“恢復如新”狀態。除了獨立失效外，同時考慮共因失效，構建結構組的馬爾可夫狀態轉移圖，如圖1所示。當t=0，結構組處于完全可得狀態，此時無需求發生。陰影圓圈表示結構組可能處于的所有危險狀態，狀態之間的轉移表示事件的發生，狀態轉移速率均為常數。

圖1　1oo2結構組的馬爾可夫狀態轉移圖

根據狀態轉移圖，可得到結構組的所有可能狀態及含義，如表2所示。

表2　1oo2結構組的狀態描述

在驗證測試間隔(0，τ)內，當自診斷測試檢測出某一通道發生DD失效，則立即對該失效通道進行修復，其平均修復時間為tMTTR,DD，則DD失效的維修率為

μDD=1/tMTTR,DD

(2)

若通道發生DU失效，則其在需求發生或實行驗證測試以前都將處于鈍態。假設期望需求間隔為τ1，對于通過需求檢測出的DU通道失效，根據需求發生前通道的平均停機時間和對DU失效的平均維修時間tMTTR,DU，其維修率

μDUD=1/(τ1/2+tMTTR,DU)≈2/τ1

(3)

類似地，對于通過驗證測試檢測出的DU通道失效，其維修率μDUP為

μDUP=1/(τ/2+tMTTR,DU)≈2/τ

(4)

(5)

P(t)=[P0(t)P1(t)…Pn(t)]

根據結構組的初始狀態P(0)以及轉移矩陣Λ，結構組在時刻t的狀態概率為

P(t)=P(0)eΛ t

(6)

假定X表示結構組的所有可能狀態組成的集合，F?X表示結構組的正常狀態集合，D?X表示結構組的危險狀態集合，且X=F∪D，F∩D=?。則結構組在時刻t處于危險狀態的概率為

(7)

由于結構組的危險失效由獨立危險失效和共因失效構成，因此結構組發生危險失效的平均頻率可表示為

γ=γI+γC

(8)

式中，γI為獨立危險失效的危險失效平均頻率；γC為共因危險失效的危險失效平均頻率。

由圖1所示，1oo2結構組的正常狀態集合記為F={0，1，2，3}，危險狀態集合記為D={4，5，6，7，8，9}。狀態轉移圖包含三個吸收態，其集合記為A={7，8，9}，其他狀態均為瞬態。則根據等式(7)，在驗證測試間隔(0，τ)內，1oo2結構組在高需求模式下的總體危險失效的平均概率為

γ(t)=P0(t)[β α λDU+β(1-α)λDU+β λDD]+

(P1(t)+P2(t)+P3(t))[α λDU+(1-α)λDU+λDD]=

λD(β P0(t)+P1(t)+P2(t)+P3(t))

(9)

其中，共因危險失效平均頻率為

γC=β(λDD+λDU)=β λD

(10)

因此獨立危險失效平均頻率為

γI=γ(t)-γC=(β P0(t)+P1(t)+P2(t)+

P3(t))λD-β λD=(β P0(t)+P1(t)+

P2(t)+P3(t)-β)λD

(11)

3算例討論

對于冗余結構組，共因失效是造成結構組失效的主要因素，由獨立失效所產生的γI非常小。本節針對1oo2結構組，在MATLAB平臺上，分別對需求和驗證測試策略對γI的影響進行分析。其中，通道部件的DD失效率λDD=2.0×10-9/h，DU失效率λDU= 0.5×10-9/h，共因失效因子β為0.1，對DD失效的平均維修時間tMTTR，DD=8 h。對于高需求模式下運行的結構組，其驗證測試間隔τ一般較長，在這里設定為10年(87 600 h)。

在(0，τ)內，需求頻率λDE由高到低分別取值為1次/h、1次/星期、1次/月和2次/年(則期望需求間隔τ1分別為1h、1星期、1個月和半年)，驗證測試的覆蓋率為0.9。τ1與γ的關系如圖2所示。可觀察到，當驗證測試間隔τ固定，γI隨著期望需求間隔τ1的增加而增加。這種上升趨勢在期望需求間隔τ1較大(例如半年)時更為明顯。當期望需求期望間隔τ1小于驗證測試間隔τ時，γI隨驗證測試間隔的增加而增加，但上升趨勢較為平緩。這是由于：此時需求發生的頻率大于執行驗證測試的頻率，當需求發生頻率非常高時，與驗證測試相比，需求在驗證結構組是否處于正常運行狀態方面發揮了主導作用。由于安全儀表系統的可靠性非常高，因此默認結構組能夠正常響應絕大部分的需求。

圖2　需求對1oo2結構組的γI值影響

圖3　驗證測試對1oo2結構組的γI值影響

圖3顯示了驗證測試間隔τ以及驗證測試覆蓋率與γI的關系，這里需求頻率取為1次/月。若保持驗證測試覆蓋率不變，而增加驗證測試間隔τ，則結構組發生DU通道失效后，將會在更長的時間范圍內處于鈍態，從而導致結構組停留于危險狀態的概率增加。因此可觀察到γI的值隨著測試間隔τ的增加而上升。若保持驗證測試間隔τ和需求頻率不變，分別取驗證測試覆蓋率為0.8、0.85、0.9和0.95，可看到γI隨著測試覆蓋率的上升而降低。驗證測試覆蓋率較高意味著絕大部分的危險失效可由驗證測試檢測而出。與驗證測試相比，需求并不是一種主動檢測行為。如果結構組對需求能夠正常響應，則表示結構組能夠正常執行安全儀表功能，但這并不代表結構組中的所有通道都能正常運行。因此，依然需要對結構組定期執行驗證測試。

4結語

為降低被保護系統運行過程中的風險，安全儀表系統必須具備非常高的可靠性。當前對運行于低需求模式下的安全儀表系統的可靠性評估已有廣泛的研究，而對高需求模式下的安全儀表系統的可靠性評估研究則非常有限。高需求運行模式下，安全儀表系統發生危險失效的平均頻率是其可靠性的衡量指標。以1oo2結構組為例，考慮需求、失效、維修以及測試策略后，構建了結構組在高需求模式下的馬爾可夫模型，對結構組的可靠性進行了分析，并對需求和驗證測試對結構組可靠性的影響分別進行了研究。結果表明，需求頻率越高，結構組發生危險失效的平均頻率越小。當需求期望間隔遠小于驗證測試期望間隔時，結構組中通道的運行狀態主要通過需求進行檢測。驗證測試間隔越大，結構組發生危險失效的平均頻率越大。當需求期望間隔遠大于驗證測試期望間隔時，結構組中通道的運行狀態主要通過驗證測試進行檢測。此外，驗證測試覆蓋度越高，結構組發生危險失效的平均頻率越小。本文只針對1oo2結構組進行研究，不同冗余結構下的結構組可靠性分析結果可能存在差異，因此在未來研究工作中將進一步檢驗模型的適應性。

參考文獻：

[1]International Electrotechnical Commission. IEC61508-2010. Functional Safety of Electrical/programmable Electronic Safety-related System[S]. Geneva：International Electrotechnical Commission，2010.

[2]Innal F. Contribution to Modelling Safety Instrumented Systems and to Assessing Their Performance Critical Analysis of IEC61508 Standard[D].Batna：University of Batna，2008.

[3]Lundteigen M A，Rausand M. Reliability Assessment of Safety Instrumented Systems in the Oil and Gas Industry：a Practical Approach and a Case Study[J]. International Journal of Reliability，Quality，and Safety Engineering，2009，16：187-212.

[4]Hui J，Lundteigen M A，Rausand M. Reliability Performance of Safety Instrumented Systems：a Common Approach for Both Low- and High-demand Mode of Operation[J]. Reliability Engineering and System Safety，2011，96：365-373.

[5]RausandM.RiskAssessment：Theory，Methods，andApplications[M].Hoboken：JohnWiley&Sons，2011.

[6]RausandM，HoylandA.SystemReliabilityTheory：Models，StatisticalMethods，andApplications[M].Hoboken：JonhnWiley&Sons，2004.

[7]LiuYL，RausandM.ReliabilityAssessmentofSafetyInstrumentedSystemsSubjecttoDifferentDemandModes[J].ReliabilityEngineeringandSystemSafety，2011，24：49-56.

[8]InnalF，DutuitY，RauzyA，etal.NewInsightintotheAverageProbabilityofFailureonDemandandtheProbabilityofDangerousFailurePerHourofSafetyInstrumentedSystems[J].JournalofRiskandReliability，2010，224：75-86.

[9]InternationalElectrotechnicalCommission.IEC62551-2012.AnalysisTechniquesforDependability-PetriNetTechniques[S].Geneva：InternationalElectrotechnicalCommission，2012.

[10]LiuYL，RausandM.ReliabilityEffectsofTestStrategiesonSafety-intrumentedSystemsinDifferentDemandModes[J].ReliabilityEngineeringandSystemSafety，2013，119：235-243.

[11]HokstadP，CorneliussenK.LossofSafetyAssessmentandtheIEC61508Standard[J].ReliabilityEngineeringandSystemSafety，2004，83：111-120.

[12]LangeronY，BarrosA，GrallA，etal.CombinationofSafetyIntegrityLevels(SILs)：AStudyofIEC61508MergingRules[J].JournalofLossPreventionintheProcessIndustries，2008，21：437-449.

[13]DutuitY，InnalF，RauzeA，etal.ProbabilisticAssessmentsinRelationshipwithSafetyIntegrityLevelsbyUsingFaultTrees[J].ReliabilityEngineeringandSystemSafety，2008，93：1867-1876.

[14]JinH，LundteigenMA，RausandM.NewPFH-formulasfork-out-of-n：FSystems[J].ReliabilityEngineeringandSystemSafety，2013，111：112-118.

(編輯張洋)

ReliabilityAssessmentofSafety-instrumentedSystemsOperatedinHigh-demandMode

WangYukunLiuZixian

TianjinUniversity，Tianjin，300072

Abstract:Currently, the research of reliability analysis of high-demand safety instrumented systems was rare. Considering the process demands, item failure modes, proof test strategy and maintenance, a Markov model of the 1oo2 voted group was developed for the reliability analysis. After that, the effects of demand and proof test strategy on the reliability of the voted group were explored, respectively. The results show that the reliability of the voted group decreases with the demand rate and the proof test frequency. The operating state of the group is dominantly verified by demands if the demand rate is larger than the proof test frequency, and by proof tests otherwise.

Key words:safety instrumented system; high-demand mode; Markov method; reliability

收稿日期：2014-08-15

基金項目：國家自然科學基金資助項目(71171142)；教育部博士學科點專項科研基金資助項目(20110032110034)

中圖分類號：TP202

DOI：10.3969/j.issn.1004-132X.2016.01.016

作者簡介：王玉堃，女，1989年生。天津大學管理與經濟學部博士研究生。主要研究方向為產品可靠性工程。發表論文8篇。劉子先，男，1962年生。天津大學管理與經濟學部教授、博士研究生導師。