基于FMEA和MARKOV的安全完整性等級評價方法比較

郁 強 徐建平

(華東理工大學信息科學與工程學院1，上海 200030；上海工業自動化儀表研究院2，上海 200233)

基于FMEA和MARKOV的安全完整性等級評價方法比較

郁 強1徐建平2

(華東理工大學信息科學與工程學院1，上海 200030；上海工業自動化儀表研究院2，上海 200233)

功能安全是工業過程成套設備和系統的一項重要性能指標。在簡要介紹目前國內外功能安全評價標準的基礎上，從電氣/電子/可編程電子系統的安全完整性等級(SIL)評價出發，闡述并比較了FMEA和MARKOV這兩種定量的SIL評價方法。綜合兩者的特點，提出了SIL評價的新方法，即FMEA-MARKOV評價方法。利用FMEA和MARKOV各自的優勢，在冗余結構復雜和危險程度較低時，使用FMEA評價方法；在冗余結構簡單和危險程度較高時，混合使用FMEA和MARKOV評價方法。新的評價方法對于評定SIL具有重要意義。

功能安全 FMEA MARKOV 安全完整性等級 IEC 61508 IEC 61511

0 引言

隨著工業成套設備和系統的大規模應用，特別是在設備招投標將功能安全作為其中的一項重要指標之后，功能安全的評價越發引起人們的關注。功能安全是一個全生命周期的過程，國際上關于功能安全評估的參考標準主要有IEC 61508和IEC 61511。

目前，關于安全完整性等級(safety integrity level,SIL)評價方法主要有定性和定量兩種。基于故障模式與影響分析(failure mode and effects analys，FMEA)和MARKOV方法都是定量的評價方法，但二者各有優勢。本文通過比較FMEA、MARKOV的SIL評價方法，綜合二者的優勢，提出了安全完整性等級評價方法的策略(即FMEA-MARKOV評價方法)，為評定SIL提供了參考。

1 標準介紹

功能安全是指與受控設備和系統有關的整體安全組成部分，它取決于電氣/電子/可編程電子安全相關系統和外部風險降低措施功能的正確執行[1]。

目前，國外在功能安全評估的過程中主要參考的標準有IEC 61508和IEC 61511。IEC 61508標準即電氣/電子/可編程電子安全相關系統的功能安全[1]。IEC 61511標準即過程工業領域安全儀表系統功能安全[2]。國內的功能安全評價則起步相對較晚，其標準主要采用等同翻譯的形式參考國際標準，目前國內功能安全評價的標準主要有GB/T 20438和GB/T 21109[3]。

2 安全完整性等級

在規定條件、規定時間內，安全相關系統成功地根據所要求的安全功能概率的大小來劃分SIL。根據安全相關系統使用方式、要求產生的頻率的不同,分為低要求操作模式和高要求操作模式。在不同操作模式下，SIL的目標失效概率如表1所示。

表1 SIL的目標失效概率Tab.1 The target failure probability of SIL

由表1可知：SIL和失效率成反比關系，高要求操作模式的失效率要遠遠低于低要求操作模式。

2.1 FMEA評價方法

在電氣/電子/可編程電子安全相關系統中，故障模式指元器件失效的相關表現形式，如電路的斷路、參數漂移、短路等。故障模式會導致整個系統的逐級影響。因此，按產生危險的嚴重程度進行影響分析，區分故障程度和失效類型。

常用的失效率符號定義如表2所示。

表2 失效率符號定義Tab.2 Definition of the Failure rate symbol

通過計算失效概率，就可以根據表1查得SIL。元器件的失效模式是通過查閱相關報告和經驗結果的集合，不同的器件，其失效模式會有差別[4]。比如普通的電阻器件，其失效模式可以分為斷路、短路和參數漂移，其失效百分比分別為80%、10%、10%。不同廠家的元器件氣失效百分比可能略有不同，具體可以參考廠家說明書。

為了更好地說明問題，以某隔離式安全柵的FMEA評價為例[3]。某隔離式安全柵的FMEA如表3所示，其失效分類如表4所示。

表3 某隔離式安全柵的FMEATab.3 FMEA of a certain type of isolation safety barrier

表4 某隔離式安全柵的失效分類Tab.4 Failure classification of a certain type of isolation safety barrier

假設其為1oo1的冗余結構，平均故障時間為MTTR=8 h,檢驗時間為T1=8 760 h,則由FMEA的評價模式可得：

λ=6.456 5×10-7/h

λS=3.398×10-8/h

λD=6.116 7×10-7/h

λDU=1.709 5×10-7/h

λDD=4.407×10-7/h

tCE=(λDU/λD)[(T1/2)+MTTR]+(λDD/λD)×MTTR=1 232.2 h

PFD=λDtCE=7.537×10-4/h

則由FMEA方法,得其在低要求模式下，SIL=3。

2.2 MARKOV評價方法

MARKOV模型是將系統歸于不同的若干狀態，每個狀態會以某種概率轉移到其他狀態，具有無記憶的性質[5]。以1oo1系統為例，1oo1的狀態轉移圖如圖1所示。

圖1 1oo1狀態轉移圖

Fig.1 State transition diagram of 1oo1

則可得其狀態轉移矩陣:

假設系統的初始的工作狀態是正常的，則n維初始狀態向量為S0=[10…0],其中n為系統狀態個數。假設第(n-1)個狀態為檢測到的危險失效，第n個狀態為未檢測到的危險失效，則n維危險失效向量為：

VD=[0 0 0…1 1]T

則可得功能測試周期內，PFDi=S0PiVD,i=1,2,...,Ti。

為了更好地說明問題，仍然以FMEA評價方法中的某隔離式安全柵為例，通過MATLAB仿真，可以動態觀察到隔離安全柵的PFD變化。基于MARKOV進行評價方法的某隔離式安全柵PFD變化示意圖如圖2所示。

圖2 基于MARKOV評價方法的PFD變化示意圖

Fig.2 Schematic diagram of the PFD variation based

on MARKOV evaluation method

從圖2可以看出，MARKOV評價方法所評價的SIL是動態變化的。初始狀態時SIL達到了4，隨著時間的推移，失效概率越來越大，其SIL隨之降低，安全危險失效概率也越來越大。

2.3 FMEA和MARKOV評價方法的比較

FMEA和MARKOV評價方法都是SIL的定量評價方法。二者都是基于設備或系統的故障模式和影響

所進行的分析。相較于FMEA方法，MARKOV方法是一種多目標和動態的評價方法。在實際評價的過程中，往往較多使用FMEA評價方法。但是在一些高危險情況復雜的情況下，使用MARKOV評價方法則可以提前發現SIL發生改變的時間。相較于FMEA，MARKOV更為嚴格，但是隨著冗余結構的增加和計算程度的復雜，MARKOV的應用也就受到了限制。

本文在此基礎上提出了關于SIL評價方法的新策略：即FMEA-MARKOV評價方法。該方法的核心思想就是利用FMEA和MARKOV各自評價方法的優勢，在冗余結構較復雜和危險程度低時使用FMEA評價方法。對于冗余結構簡單和危險程度較高情況可以混合使用FMEA和MARKOV評價方法。該方法可以為實際檢測設備和系統的SIL發生改變提供診斷時間的參考。

3 結束語

本文主要從電氣/電子/可編程電子系統的評價出發，介紹了定量評價SIL的FMEA和MARKOV評價方法，并介紹了其各自的優劣勢。在此基礎上,提出了關于SIL評價的新策略即FMEA-MARKOV評價方法。目前，已有MARKOV的計算軟件[6]，但是由于冗余結構的復雜化和多目標求值的特點，為了在實際應用中能夠更好地運用，應盡快開發關于FMEA-MARKOV評價的軟件。

[1] IEC commission. Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 0: Functional safety and IEC 61508[S].IEC 61508,2005.

[2] IEC commission. Functional safety-safety instrumented systems for the process industry sector[S].IEC 61511,2003.

[3] 劉建侯.功能安全技術基礎[M].北京：機械工業出版社，2008.

[4] 張艾森.智能壓力變送器功能安全評估與測試[D].上海：華東理工大學，2013.

[5] 郭海濤，陽憲惠.安全系統定量可靠性評估的Markov模型[J].清華大學學報(自然科學版)，2008,48(1):4.

[6] 吳寧寧.基于Markov模型的安全儀表系統可靠性建模方法研究[D].杭州：浙江大學，2010.

Comparison of the Evaluation Methods for Safety Integrity Level Respectively Based on FMEA and MARKOV

Functional safety is an important performance index of industrial process equipment and systems. On the basis of brief introduction of the functional safety assessment standards at home and abroad, two kinds of the quantitative methods, i.e., FMEA and MARKOV, for evaluating the safety integrity level are expounded and compared from the safety integrity level evaluation of the electrical/electronic/programmable electronic systems. By integrating the characteristics of the two, the new method namely FMEA-MARKOV is proposed. The advantages of both FMEA and MARKOV are adopted, when the redundant structure is complex and low degree of risk, the FMEA method is used; while when the redundant structure is simple and high degree of risk, then the mixed method of FMEA and MARKOV is used. The method is of great significance for the assessment of safety integrity levels.

Functional safety FMEA MARKOV SIL IEC 61508 IEC 61511

郁強(1989—)，男，2015年畢業于華東理工大學控制理論與控制工程專業，獲碩士學位；主要從事功能安全、防爆等方向的研究。

TH-3；TP202

A

10.16086/j.cnki.issn 1000-0380.201612008

修改稿收到日期：2016-05-31。