基于MBF參數模型的安全完整性等級定量評估

馬 奔， 孫自強（華東理工大學化工過程先進控制和優化技術教育部重點實驗室，上海 200237）

基于MBF參數模型的安全完整性等級定量評估

馬 奔， 孫自強
（華東理工大學化工過程先進控制和優化技術教育部重點實驗室，上海 200237）

介紹了安全完整性等級驗證的相關內容，并對系統發生危險失效因素進行分析；在引入MBF（Multiple Beta Factor）參數模型的基礎上，定量計算系統發生共因失效的概率，并研究系統發生獨立危險失效的概率及其影響；最后給出應用實例進行驗證。結果表明：本文方法不僅更接近工業生產中安全儀表系統冗余結構的實際情況，也大大簡化了計算，彌補了馬爾可夫模型法分析計算過程復雜的缺陷。

安全完整性等級；MBF參數模型；馬爾可夫模型；共因失效

隨著中國工業化特別是化工工業進程不斷加快，重大的生產安全事故頻繁發生。如何確?；どa過程的運行更加穩定、可靠、安全成為大家研究的重點。在控制系統中，安全保護設備和控制設備一般是分離的?？刂圃O備被稱為基本過程控制系統（Basic Process Control System，BPCS），而保護設備則被稱為安全儀表系統（Safety Instrument System，SIS）。

SIS是安全相關系統（Safety-Related System，SRS）的一類［1］，是保障生產安全的重要措施。安全儀表系統可以對工業過程一些重要的工藝參數進行密切實時監測，避免使生產過程持續處于具有安全風險的環境。為了更好地對安全儀表系統的運行水平及減少風險的能力進行評估，一些安全相關標準如IEC61508和ANSI/ISA S84.01提出了一個重要概念——安全完整性等級（Safety Integrity

Levels，SIL）。在定量計算SIL等級的方法中，如何運用馬爾可夫模型對系統進行可靠性分析一直是研究的熱點；Knegtering等［2］首先提出微馬爾可夫模型法計算失效率，但其僅在概念上進行了闡述；Zhang等［3］對系統的可靠性框圖進行研究，在其基礎上建立微馬爾可夫模型，但他們僅對幾種典型的冗余結構進行了分析，而且模型結構太過簡單，沒有考慮共因失效的影響。本文采用基于MBF （Multiple Beta Factor）的共因失效參數模型來簡化馬爾可夫模型的計算，并綜合考慮共因和獨立失效對系統的影響，最后給出實例進行驗證，結果表明，本文方法可以很好地彌補現有計算方法的缺點。

1　安全完整性水平的驗證

安全完整性水平是安全儀表系統的核心，也是設計安全系統的重要依據。在安全系統整體生命周期的設計安裝、檢驗評估、維護修理等階段都是圍繞其安全完整性水平進行的［4］。

系統的安全完整性水平主要與系統失效相關。系統失效主要是由制造過程、文檔錯誤、軟件問題等系統性故障所引發的失效。由于系統故障的影響與引入它的生命周期階段有關，且為避免系統失效的各種單一措施的有效性都與應用有關，故只能用定性的方法分析系統失效。

硬件的安全完整性水平主要與隨機硬件失效相關，其SIL等級可以通過定量分析來確定。確定一個系統的硬件安全完整性等級通常需要綜合考慮隨機失效和結構約束兩方面內容，以避免出現過于樂觀的失效率數據，從而在不恰當的結構設計情況下得到較高的安全完整性等級。其中，隨機失效的安全完整性可以通過計算一個重要的指標來進行評估，即平均需求失效概率（Probability of Failure on Demand，PFD），它是安全儀表系統在整個安全生命周期內發生失效的平均概率。IEC 61508定義了4種安全完整性等級如表1所示。

表1　IEC61508安全完整性等級Table 1 Safety integrity levels of IEC61508

硬件安全完整性的安全功能所能聲明的最高安全完整性等級受限于硬件故障裕度（HFT）和執行該安全功能的子系統的安全失效分數（SFF）。其中：λS為系統安全失效概率；λDD為可被診斷功能診斷到的危險失效概率；λD為系統危險失效概率。

硬件故障裕度與系統或部件的結構有關，若用數值K表示，則意味著發生K＋1個故障會導致系統安全相關功能失效。對于一個具有Moo N結構的系統，需要其中的M個獨立通道來完成其安全功能，在不考慮如診斷等其他可能控制故障影響的措施時，可得K=N－M［5］。

對于TYPE B的子系統，其結構約束條件如表2所示。

表2　硬件安全完整性結構約束Table 2 Integrity safety constraints of hardware structure

2　系統危險失效影響因素分析

2.1概述

IEC 61508對危險失效定義為使安全相關系統處于潛在的危險或喪失功能狀態的失效。在計算平均需求失效概率時，我們僅考慮引起系統危險失效的概率。本文將從診斷、共因、冗余結構等方面對安全儀表系統的危險失效進行定性分析。

2.2診斷和修復

在冗余和非冗余結構中，系統檢測部件故障的能力即在線診斷對于安全儀表系統的可靠性與安全性具有重要影響。當增加診斷時，不僅可以減少系統在危險模式下的運行時間，減少降級模式（不能完全執行正常功能）下的時間，還可直接干預系統的運行，從而改善其安全性與可用性。其中，一個重要的術語“診斷覆蓋率”是指能夠診斷出所發生失效的概率。根據不同的失效模式，將其區分為安全失效診斷覆蓋率（CS）和危險失效診斷覆蓋率

（CD）。衡量系統的診斷覆蓋率可以使用失效模式、影響和診斷分析（FMEDA）進行評估。

根據診斷覆蓋率危險失效分為檢測到的危險失效和未檢測到的危險失效。檢測到的危險失效可以通過在線診斷系統檢測維修；未檢測到的危險失效只能在定期的周期性維護測試時進行維修。定義在線維修率為μ0，周期性檢查的維修率為μP，計算公式如下：

其中：TR是平均修理時間；T1是周期性檢查時間。

在系統進入安全失效時，定義一次無故障停車后設備重啟時間為SD（Shut Down），檢測到的安全失效修復率為μSD，則有

2.3共因失效

安全儀表系統采用冗余結構時，通常會發生共因失效。在對系統失效率進行定量分析時，經常采用β模型對共因失效進行建模，β因子將失效分為共因失效與普通失效兩種。由于共因失效會嚴重降低系統的安全性與可靠性，所以在進行安全儀表系統的設計時，一定要找出與共因失效相關的失效源，并采取一定措施消除其影響。

2.4冗余表決組

通常，組成安全儀表系統的傳感器子系統、邏輯控制器子系統和最終元件子系統都會采用多個設備組成Moo N的冗余表決結構，不同的冗余結構具有不同的特點，如1oo1結構即常規的單通道結構，其安全性與可用性都較低；對于雙通道結構，1oo2表決結構適用于安全性要求較高的情況，而2oo2結構其安全性較低但具有很高的可用性；1oo3結構具有很好的安全性與可用性，但其成本也較高。

3　系統危險失效率的定量計算

3.1概述

目前，有許多方法計算一個具有Moo N結構系統的PFD值，其中定量計算的方法主要有可靠性框圖法、故障樹分析法、馬爾可夫模型法等。馬爾可夫模型法是根據系統過程狀態的轉移建立馬爾可夫模型。由于馬爾可夫模型涵蓋了多種可靠性指標，具有很好的實時性，所以在可靠性工程中具有廣泛的應用。

3.2常用表決結構的馬爾可夫模型

對馬爾可夫模型進行分析計算時往往考慮的共因失效是基于單β因子，假設系統的N個通道具有完整的對稱性，且所有通道具有相同的常數失效率。本文以1oo1單通道結構為例進行分析，這種結構包括一個單通道，若發生任何一種危險失效（包括檢測到的和未檢測到的）則系統就會發生危險失效。1oo1結構的馬爾可夫模型如圖1所示。

圖11　oo1結構馬爾可夫模型Fig.1 Markov model for 1oo1 structure

模型中狀態0代表正常；狀態1表示安全失效狀態；狀態2表示檢測到的危險失效狀態，并可以維修；狀態3表示未檢測到的危險失效狀態。1oo1系統的狀態轉移矩陣Q為

在初始狀態，所有設備正常工作，即初始狀態向量S0=［1 0 0 0］，由于模型中狀態2、3為危險失效狀態，所以其危險失效向量為VD=［0 0 1 1］T。假設測試時間間隔為T1，則1oo1結構的危險失效率為

由以上分析可以知道，盡管馬爾可夫模型在描述系統不同狀態的動態轉移過程時具有很大的靈活性，但隨著狀態的增加，其轉移矩陣的維數將急劇增加，造成分析過程復雜及計算空間爆炸的問題，所以我們可以考慮基于MBF（Multiple Beta Factor）的共因失效參數模型來簡化馬爾可夫的計算過程。

3.3考慮MBF的共因失效模型計算

共因失效往往是系統級的失效或者是隨機硬件失效，在IEC 61508中對共因失效模型計算其需求失效率時僅僅考慮單β因子，然而，對于不同的冗余結構，單β因子模型并不能很好地描述共因失效，所以引入更具有一般性的MBF參數模型以區分β因子在不同冗余結構中的影響。

在MBF參數模型中，假設如下：

（1）系統的各種冗余結構由完全相同的通道配置而成，一個Moo N結構的每個通道都可以看作是一個1oo1結構。

（2）系統的N個通道具有完整的對稱性，每個通道都具有相同的恒定失效率且各通道相互獨立。

因此，對于一個具有Moo N結構的系統，由于共因失效所引起的系統失效率（PC）為

其中：CMooN為不同系統結構共因失效配置影響因子；β為單β因子（僅適用于2個通道）；P1為單通道失效率。根據上述定義，當系統通道數N為2時，β 在MBF模型中與IEC 61508標準中意義相同，所以C1oo2=1。

為了確定不同系統結構的共因失效率，必須對CMooN進行估計。定義以下參數：

gj，n：在具有n個通道的系統中，有j個特定的通道發生失效的概率。

fj，n：在具有n個通道的系統中，有j個通道發生共因失效的概率。故有

式（7）中：Aj表示通道j發生共因失效，根據定義有β=β1。在具有n個通道的系統中，有j個特定的通道發生失效的概率為

對于一個具有koon結構的系統，則至少有nk＋1個通道發生共因失效才會引起系統失效，所以系統失效的概率如下：

因為Ckoon與β、P1相互獨立，由式（10）得［6］

單項運動本身所具有的魅力足以吸引大眾的參與，形形色色的項目匯聚在一起時反而會顯得雜亂無章，凸顯不出小鎮的特色。聚焦于自身優勢，把一個項目做到極致，讓大眾在體驗中真正感受到這項運動的韻味，培養運動鍛煉的興趣，這便是體育特色小鎮建造宗旨的關鍵所在。

且有k=1，2，…，n－1。根據文獻［6-7］可知道，

其中j=2，3，…，n，且Gj，n滿足以下關系式：

式中：j=n－1，n－2，…，1。根據專家對系統失效多樣性分布的實驗研究，令β2=0.3，βp=0.5，p≥3，經過計算，得到不同系統結構CMooN的值如表3［8］所示。

因此，在計算一個Moo N結構系統由于共因失效所引起的系統失效率時，首先對其中的一個通道建立1oo1的馬爾可夫模型，計算其單通道的危險失效率P1，然后對應表3查出系統結構的配置影響因子CMooN，再根據式（6）計算其共因失效率。由此，避免了對大型冗余系統建立馬爾可夫模型，大大簡化了計算。

表3　不同系統結構的CMooN值Table 3 Values of CMooNfor different system structures

3.4獨立危險失效率的計算

除了由于共因引起的系統失效，我們還必須考慮設備同時發生獨立危險失效所引起的系統失效概率。對于Moo N結構，至少有N－M＋1個通道同時發生獨立危險失效時，則系統失效。其失效率

（P I）為

由于當i=N－M＋2，N－M＋3，…，N時，系統發生獨立失效的概率相對于i=N－M＋1時已經很小，且TR＜＜T1，所以公式簡化為

綜上所述可以求得系統發生危險失效的概率為

深入研究發現，當N－M＋1足夠大時，N－M＋1個通道同時發生獨立危險失效的概率很小。例如，要使SIS滿足最高完整性等級SIL4，則其PFD值最高為10－4，若給定其他參數，通過迭代計算當N－M＋1≥4，即硬件故障裕度HFT≥3［9］時，N－M＋1個通道同時發生獨立危險失效的概率遠小于設備所要求的最高失效率10－4，此時可忽略獨立危險失效的影響。

4　不同方法之間的比較

4.1計算效率對比

為了研究傳統馬爾可夫建模方法計算的效率，必須確定MooN結構模型中所有狀態個數，即其狀態轉移矩陣的大小。定義狀態向量F=［nSD，nSU，nDD，nDU］，其中nSD與nSU分別代表檢測到的和未檢測到的安全失效的個數，nDD與nDU分別代表檢測到的和未檢測到的危險失效的個數，定義d為系統中失效的總數量，令nS=nSD＋nSU，由此可知當nS≥M時，系統為安全失效狀態；當F=［0，0，0，0］，即d= 0時為初始狀態。對文獻［10］中自動創建馬爾可夫模型的方法進一步研究，推導出如下公式：

其中：d=1，2，3…，N；nS=0，1，2…，M－1，且nS≤d；S（d，nS）僅由d與nS決定，定義為Moo N結構馬爾可夫狀態轉移過程中的中間狀態和發生危險失效狀態個數的和。系統總狀態個數為S（d，nS）與初始狀態、安全失效狀態個數的和即S（d，nS）＋2。以1oo2結構為例求其包含狀態的總數量：S（1，0）=2；S（2，0）=3，故其狀態總個數為S（1，0）＋S（2，0）＋2=7，即1oo2結構的系統具有7×7的狀態轉移矩陣。因此得到MooN結構的狀態總個數即其狀態轉移矩陣大小如表4所示。

由于一個N×N的矩陣相乘一次，需要2N3次浮點運算（FLOPS-floating point operations）完成計算，所以對于一個2oo3結構的系統，由表4可知其狀態轉移矩陣大小為23×23，所以其相乘一次需要24 334 FLOPS，若采用MBF模型的方法，所有結構只需對1oo1結構的4×4轉移矩陣進行計算，相乘一次僅需要128 FLOPS。由此可知，采用本文方法計算效率會顯著提高，若結構更加復雜的話，其效果將會更加明顯。

表4　不同Moo N結構狀態個數Table 4 Number of state for different Moo N structure

4.2計算結果比較

假設β=0.03，λSD=9.996×10－6，λSU=9.8× 10－8，λDD=5.996×10－6，λDU=1.12×10－7，平均修復時間TR為8 h，周期性檢查時間T1為8 760 h，一次無故障停車后裝置重啟時間SD（Shut Down）為24 h，則有μ0=1/TR=0.125；μSD=1/SD= 0.041 7。

根據以上數據，利用MBF模型求得的PFD值與普通馬爾可夫方法所求的值對比結果如表5所示。在用普通方法計算PFD值時，由于N≥4系統結構的馬爾可夫模型非常復雜，采用故障樹模型近似計算。

表5　PFD計算結果比較Table 5 Comparison of PFD calculation results

由表5可知，兩種方法的結果具有很好的一致性，但本文方法具有很高的計算效率，且省略了復雜的馬爾可夫建模過程，使計算更加簡便。

5　實例驗證

在工業生產中，壓力保護系統是安全儀表系統中最典型的例子。圖2所示為一套化工石油生產中的高完整性壓力保護系統（High Integrity Pressure Protection System，HIPPS）。通過隔斷上游部分產生的過壓源，降低了下游設備的壓力等級，減少了系統由于超壓帶來的危險性。

圖2　高完整性壓力保護系統示意圖Fig.2 HIPPS schematic diagram

圖2所示的HIPPS安全儀表系統由均為1oo1冗余結構的壓力傳感器子系統、邏輯控制器子系統、執行器（閥門）子系統組成。首先，壓力傳感器檢測儲罐內的壓力，若壓力超過給定限值，則觸發高保護設定點，將信號傳遞至邏輯控制器，并由邏輯控制器發送關斷信號控制閥門PZA-001B、PZA-001A斷開，從而保護壓力儲罐。根據生產安全性要求，我們要設計滿足安全完整性等級為SIL2的壓力保護系統，該壓力保護系統相關設備失效率數據［11］如表6所示，且TR=8 h，T1=8 760 h，SD=24 h。

表6　HIPPS設備失效率數據Table 6 Equipment failure data of HIPPS

由于該系統的各子系統均為1oo1冗余結構，分別對其建立馬爾可夫模型，并將上述失效率數據分別代入狀態轉移矩陣Q得到Q1、Q2、Q3，根據式（5）得

由此得該壓力保護系統總平均危險失效率為

由此可得該壓力保護系統并不滿足所要求的安全完整性等級，需要對各子系統進行冗余結構配置。若將傳感器子系統配置成2oo3結構，邏輯控制器和閥門子系統配置成1oo2結構，令β=0.05，根據式（17）分別計算各子系統的危險失效率。

（1）傳感器子系統

（2）控制器子系統

（3）閥門子系統

（4）系統整體平均危險失效率

由上可知，該壓力保護系統滿足安全完整性等級為SIL2的要求。

若采用普通馬爾可夫建模，通過已有模型計算得該壓力保護系統危險失效率為2.966×10－3，與本文計算結果具有很好的一致性。在用常規的馬爾可夫建模法設計系統的冗余結構時，必須對每一個子系統建立馬爾可夫模型，并對模型逐一分析計算，與此相比，本文方法可以很方便地計算每個子系統的失效率，并根據失效率快捷地設計滿足所需安全完整性等級的儀表系統。

6　結束語

近年來，由于化工行業事故頻發，如何設計并利用安全儀表系統來保證生產過程的平穩安全運行已經成為研究熱點，而安全完整性等級是安全儀表系統的核心，不管是在設計安全系統之初或是在設計完成試運行之后，其SIL等級都是對其系統功能安全評估的重要依據。本文引入更具有一般性的MBF參數以區分β因子在不同冗余結構中的影響，根據結構配置因子計算其共因失效率，并對獨立危險失效進行研究。本文方法不僅更接近工業生產的實際情況，避免了對安全儀表系統功能安全水平的估計過于樂觀或保守，也大大簡化了計算，使安全儀表系統結構的配置更加方便。

［1］ 靳江紅，吳宗之，趙壽堂，等.安全儀表系統的功能安全國內外發展綜述［J］.化工自動化及儀表，2010，37（5）：1-5.

［2］ KNEGTERING B，BROMBACHER A.Application of micro Markov models for quantitative safety assessment to determine safety integrity levels as defined by the IEC 61508 standard for functional safety［J］.Reliability Engineering and System Safety，1999，66（2）：171-175.

［3］ ZHANG Tieling，LONG Wei，SATO Y.Availability of systems with self-diagnostic components-applying Markov model to IEC 61508-6［J］.Reliability Engineering and System Safety，2003，80（2）：133-141.

［4］ 郭海濤，陽憲惠.安全系統的安全完整性水平及其選擇［J］.化工自動化及儀表，2006，33（2）：71-75.

［5］ 楊栩楠.功能安全與微控制器自診斷技術的研究［D］.北京：北京交通大學，2010.

［6］ HOKSTAD P，MARIA A，TOMIS P.Estimation of common cause factors from systems with different number of channels ［J］.IEEE Transactions on Reliability，2006，55（1）：18-25.

［7］ HOKSTAD P，CORNELIUSSEN K.Loss of safety assessment and the IEC61508 standard［J］.Reliability Engineering and System Safety，2004，83（1）：111-120.

［8］ SHU Yidan，ZHAO Jinsong.A simplified Markov-based approach for safety integrity level verification［J］.Journal of Loss Prevention in the Process Industries，2014，29：262-266.

［9］ 李紅，趙建平.故障樹法在大型冗余結構失效率計算中的應用［J］.儀表技術與傳感器，2012（12）：86-88.

［10］ GUO Haitao，YANG Xianhui.Automatic creation of Markov models for reliability assessment of safety instrumented systems［J］.Reliability Engineering and System Safety，2008，93（6），807-815.

［11］ 張亨.化工裝置安全儀表系統功能安全評估體系的研究與應用［D］.上海：華東理工大學，2013.

Quantitative Assessment of Safety Integrity Levels Based on MBF Model

MA Ben， SUN Zi-qiang
（Key Laboratory of Advanced Chemical Process Control and Optimization Technology，Ministry of Education，East China University of Science and Technology，Shanghai 200237，China）

This paper introduces the safety integrity level verification and analyzes the dangerous failure factors of the considered system.By using MBF parameter model，this paper quantitatively calculates the probability of common cause failure of the system.Moreover，the impact of independent failure probability for the safety instrument system is analyzed.Finally，the application example shows that the proposed method is not only closer to the actual redundant structure of safety instrument system in the industrial production，but also greatly simplifies the calculation and deals with the shortcoming of Markov model with complicated calculating procedure.

safety integrity levels；MBF parameter model；Markov model；common cause failure

TP277

A

1006-3080（2016）01-0097-07 DOI：10.14135/j.cnki.1006-3080.2016.01.016

2015-04-21

上海市重點學科建設基金（B504）

馬 奔（1992-），男，碩士生，研究方向為儀表功能安全技術。E-mail：970422373@qq.com

孫自強，E-mail：sunziqiang@ecust.edu.cn