面向高需求模式的安全仪表系统可靠性评估

王玉堃　刘子先

天津大学，天津，300072

面向高需求模式的安全仪表系统可靠性评估

王玉堃刘子先

天津大学，天津，300072

摘要：针对高需求模式下，安全仪表系统的可靠性评估尚缺研究的现状，以1oo2冗余结构组为例，综合考虑过程需求、部件失效模式、验证测试策略和维修等因素，运用马尔可夫方法构建了结构组的可靠性分析模型，并分别对需求和测试策略对结构组可靠性的影响进行了研究。结果表明：结构组的可靠性随着需求频率及验证测试频率的增加而降低；当需求频率高于验证测试频率时，结构组的运行状态主要通过需求进行检测，反之，则通过验证测试进行检测。

关键词：安全仪表系统；高需求模式；马尔可夫方法；可靠性

0引言

安全仪表系统(safetyinstrumentedsystem，SIS)广泛应用于工业部门，其作用是在需求发生时执行规定的安全仪表功能(safetyinstrumentedfunction，SIF)，以及在危险事件发生时将被保护设备(equipmentundercontrol，EUC)返回至安全状态，避免或减轻潜在风险对人身、设备以及环境造成的伤害。根据需求出现的频率高低，由国际电工委员会制定的功能安全标准IEC61508[1]将安全仪表系统的运行模式分为低需求运行模式、高需求运行模式、连续模式。需求频率不超过一年一次时，安全仪表系统运行于低需求模式下，例如汽车的安全气囊系统在较长时间内都处于钝态；需求频率大于等于一年一次时，安全仪表系统运行于高需求或者连续需求模式下，例如汽车的刹车系统。

为将被保护系统的运行风险降至特定水平，安全仪表系统必须具备非常高的可靠性。为判定安全仪表系统所执行的安全仪表功能是否达到所要求的安全完整性水平，需要对安全仪表系统的可靠性进行定量分析。针对安全仪表系统可靠性分析的方法包括：基于可靠性框图的IEC近似公式[1]、故障树分析法[1-3]、马尔可夫法[1, 4-7]、Petri网建模分析法[1, 8-10]等。上述方法均可用来衡量安全仪表系统在不同需求运行模式下的可靠性。其中，可靠性框图和故障树属于布尔模型，适合对静态系统进行建模。马尔可夫法和Petri网建模分析法则是基于系统状态的建模方法，用于分析具有动态特征且规模较小的系统的行为特性。当前安全仪表系统的可靠性评估研究主要面向低需求运行模式[3-6, 8, 10-13]。在高需求模式下，系统的失效模式、需求发生频率与验证测试策略均将发生变化，然而，目前的研究[2，8，14]均未涉及系统失效模式，需求频率和测试策略对系统失效概率的影响，导致系统可靠性的评估结果与实际存在较大偏差。本文针对高需求模式下运行的安全仪表系统，以常见的1oo2结构组为例，考虑需求、部件失效模式、验证测试策略和维修等因素，构建结构组的马尔可夫链模型，识别导致结构组发生危险失效的所有失效组合序列，从而衡量结构组的可靠性。在此基础上，分别对需求和验证测试策略对结构组可靠性造成的影响进行研究。

1模型影响因素

1.1安全仪表功能及其完整性

一个安全仪表系统执行一个或多个安全仪表功能，每个安全仪表功能必须满足相应的安全完整性要求。安全完整性通过4个不同的安全完整性等级(safetyintegritylevel，SIL)表示，其中，SIL4表示最严格的安全完整性要求，SIL1则代表最宽松的安全完整性要求。如表1所示，为达到某一个SIL，安全仪表系统的可靠性必须满足一定的要求。由于需求模式的差异，安全仪表系统的可靠性衡量指标也各不相同。低需求模式下，安全仪表系统在大多数时间内处于钝态，并且与过程控制系统完全独立，其可靠性通过需求发生时安全仪表系统无法执行安全仪表功能的概率来衡量。高需求模式下，安全仪表系统与过程控制系统部分集成，即SIS中的某些部件是连续运行的，而其他部件则独立运行。连续模式下，SIS与控制系统完全集成，不间断地执行安全仪表功能。高需求模式和连续模式下，安全仪表系统的可靠性通过安全仪表系统发生危险失效的平均频率γ来衡量。

表1　安全仪表功能的安全完整性等级及其可靠性

1.2koon:G结构组

安全仪表系统由传感器子系统、逻辑运算器和最终执行元件这三个子系统组成。每个子系统由一个或多个结构组构成，每个结构组包含一个或多个通道，构成通道的元素为部件。一个广义koon:G结构组表示此结构组包含n个通道，其中至少有k个通道在需求发生时能正常执行安全仪表功能。常见的冗余结构组包括1oo1、1oo2、1oo3和2oo3结构组。

1.3失效模式和测试策略

根据失效影响，通道失效包括危险失效和安全失效。本文只考虑导致结构组无法正常执行安全仪表功能的危险失效。危险失效可分为被检测的危险失效(DD失效)和未被检测的危险失效(DU失效)。通道的总危险失效率λD是DD失效率λDD和DU失效率λDU之和。DD失效由自诊断测试检测出，自诊断测试间隔较短，一般在数秒到若干小时之间。DD失效占总危险失效的比例称为诊断覆盖度ηDC：

(1)

DU失效通过周期性验证测试以及需求检测而出，由验证测试检测出的DU失效占全体DU失效的比率为验证测试范围α，验证测试的间隔设定为τ。若不进行验证测试，则 (0，τ)为通道中部件的大修周期或持续运行时间。若既不进行验证测试，又不进行大修，则默认部件的持续运行时间为20年。当需求发生时，若结构组能够成功响应，则表示其可正常执行安全仪表功能。因此也可将需求视作一类特殊的测试，其有效性取决于需求发生后每个通道的状态。在不同运行模式下，需求和验证测试对安全仪表系统的可靠性有着不同的影响。

为提高结构组的可靠性，通常在设计中加入冗余结构，但这也使结构组的可靠性在很大程度上受到潜在共因失效的影响。共因失效会导致两个或两个以上的通道同时或在一个很短的时间间隔内相继发生失效。本文采用标准β因子模型对共因失效进行建模，其中，β表示共因失效占通道中所有失效的比率，反映系统对共因失效的敏感性。

21oo2结构组可靠性分析模型

1oo2结构组包含2个通道，每个通道包含1个部件。2个部件中只要有1个部件能正常运行，就能保证在需求发生时，结构组能正常执行安全仪表功能。考虑通道的失效模式、需求、测试策略和维修等因素，在一个验证测试间隔(0，τ)内构建结构组的可靠性分析模型。模型假设如下：①结构组中的通道等同且独立；②通道既可能发生独立的危险失效，又有可能发生共因失效；③共因失效可能全部为DD失效或全部为DU失效，不考虑既包含DD失效又包含DU失效的共因失效；④在同一时间，通道不会同时发生DD失效和DU失效；⑤当检测到通道失效，则立即实行维修；⑥需求持续时间忽略不计；⑦当检测出结构组的危险失效，将被保护系统立即返回至安全状态。

为简化模型，假设在需求发生后，将结构组重置到“恢复如新”状态。除了独立失效外，同时考虑共因失效，构建结构组的马尔可夫状态转移图，如图1所示。当t=0，结构组处于完全可得状态，此时无需求发生。阴影圆圈表示结构组可能处于的所有危险状态，状态之间的转移表示事件的发生，状态转移速率均为常数。

图1　1oo2结构组的马尔可夫状态转移图

根据状态转移图，可得到结构组的所有可能状态及含义，如表2所示。

表2　1oo2结构组的状态描述

在验证测试间隔(0，τ)内，当自诊断测试检测出某一通道发生DD失效，则立即对该失效通道进行修复，其平均修复时间为tMTTR,DD，则DD失效的维修率为

μDD=1/tMTTR,DD

(2)

若通道发生DU失效，则其在需求发生或实行验证测试以前都将处于钝态。假设期望需求间隔为τ1，对于通过需求检测出的DU通道失效，根据需求发生前通道的平均停机时间和对DU失效的平均维修时间tMTTR,DU，其维修率

μDUD=1/(τ1/2+tMTTR,DU)≈2/τ1

(3)

类似地，对于通过验证测试检测出的DU通道失效，其维修率μDUP为

μDUP=1/(τ/2+tMTTR,DU)≈2/τ

(4)

(5)

P(t)=[P0(t)P1(t)…Pn(t)]

根据结构组的初始状态P(0)以及转移矩阵Λ，结构组在时刻t的状态概率为

P(t)=P(0)eΛ t

(6)

假定X表示结构组的所有可能状态组成的集合，F⊆X表示结构组的正常状态集合，D⊆X表示结构组的危险状态集合，且X=F∪D，F∩D=∅。则结构组在时刻t处于危险状态的概率为

(7)

由于结构组的危险失效由独立危险失效和共因失效构成，因此结构组发生危险失效的平均频率可表示为

γ=γI+γC

(8)

式中，γI为独立危险失效的危险失效平均频率；γC为共因危险失效的危险失效平均频率。

由图1所示，1oo2结构组的正常状态集合记为F={0，1，2，3}，危险状态集合记为D={4，5，6，7，8，9}。状态转移图包含三个吸收态，其集合记为A={7，8，9}，其他状态均为瞬态。则根据等式(7)，在验证测试间隔(0，τ)内，1oo2结构组在高需求模式下的总体危险失效的平均概率为

γ(t)=P0(t)[β α λDU+β(1-α)λDU+β λDD]+

(P1(t)+P2(t)+P3(t))[α λDU+(1-α)λDU+λDD]=

λD(β P0(t)+P1(t)+P2(t)+P3(t))

(9)

其中，共因危险失效平均频率为

γC=β(λDD+λDU)=β λD

(10)

因此独立危险失效平均频率为

γI=γ(t)-γC=(β P0(t)+P1(t)+P2(t)+

P3(t))λD-β λD=(β P0(t)+P1(t)+

P2(t)+P3(t)-β)λD

(11)

3算例讨论

对于冗余结构组，共因失效是造成结构组失效的主要因素，由独立失效所产生的γI非常小。本节针对1oo2结构组，在MATLAB平台上，分别对需求和验证测试策略对γI的影响进行分析。其中，通道部件的DD失效率λDD=2.0×10-9/h，DU失效率λDU= 0.5×10-9/h，共因失效因子β为0.1，对DD失效的平均维修时间tMTTR，DD=8 h。对于高需求模式下运行的结构组，其验证测试间隔τ一般较长，在这里设定为10年(87 600 h)。

在(0，τ)内，需求频率λDE由高到低分别取值为1次/h、1次/星期、1次/月和2次/年(则期望需求间隔τ1分别为1h、1星期、1个月和半年)，验证测试的覆盖率为0.9。τ1与γ的关系如图2所示。可观察到，当验证测试间隔τ固定，γI随着期望需求间隔τ1的增加而增加。这种上升趋势在期望需求间隔τ1较大(例如半年)时更为明显。当期望需求期望间隔τ1小于验证测试间隔τ时，γI随验证测试间隔的增加而增加，但上升趋势较为平缓。这是由于：此时需求发生的频率大于执行验证测试的频率，当需求发生频率非常高时，与验证测试相比，需求在验证结构组是否处于正常运行状态方面发挥了主导作用。由于安全仪表系统的可靠性非常高，因此默认结构组能够正常响应绝大部分的需求。

图2　需求对1oo2结构组的γI值影响

图3　验证测试对1oo2结构组的γI值影响

图3显示了验证测试间隔τ以及验证测试覆盖率与γI的关系，这里需求频率取为1次/月。若保持验证测试覆盖率不变，而增加验证测试间隔τ，则结构组发生DU通道失效后，将会在更长的时间范围内处于钝态，从而导致结构组停留于危险状态的概率增加。因此可观察到γI的值随着测试间隔τ的增加而上升。若保持验证测试间隔τ和需求频率不变，分别取验证测试覆盖率为0.8、0.85、0.9和0.95，可看到γI随着测试覆盖率的上升而降低。验证测试覆盖率较高意味着绝大部分的危险失效可由验证测试检测而出。与验证测试相比，需求并不是一种主动检测行为。如果结构组对需求能够正常响应，则表示结构组能够正常执行安全仪表功能，但这并不代表结构组中的所有通道都能正常运行。因此，依然需要对结构组定期执行验证测试。

4结语

为降低被保护系统运行过程中的风险，安全仪表系统必须具备非常高的可靠性。当前对运行于低需求模式下的安全仪表系统的可靠性评估已有广泛的研究，而对高需求模式下的安全仪表系统的可靠性评估研究则非常有限。高需求运行模式下，安全仪表系统发生危险失效的平均频率是其可靠性的衡量指标。以1oo2结构组为例，考虑需求、失效、维修以及测试策略后，构建了结构组在高需求模式下的马尔可夫模型，对结构组的可靠性进行了分析，并对需求和验证测试对结构组可靠性的影响分别进行了研究。结果表明，需求频率越高，结构组发生危险失效的平均频率越小。当需求期望间隔远小于验证测试期望间隔时，结构组中通道的运行状态主要通过需求进行检测。验证测试间隔越大，结构组发生危险失效的平均频率越大。当需求期望间隔远大于验证测试期望间隔时，结构组中通道的运行状态主要通过验证测试进行检测。此外，验证测试覆盖度越高，结构组发生危险失效的平均频率越小。本文只针对1oo2结构组进行研究，不同冗余结构下的结构组可靠性分析结果可能存在差异，因此在未来研究工作中将进一步检验模型的适应性。

参考文献：

[1]International Electrotechnical Commission. IEC61508-2010. Functional Safety of Electrical/programmable Electronic Safety-related System[S]. Geneva：International Electrotechnical Commission，2010.

[2]Innal F. Contribution to Modelling Safety Instrumented Systems and to Assessing Their Performance Critical Analysis of IEC61508 Standard[D].Batna：University of Batna，2008.

[3]Lundteigen M A，Rausand M. Reliability Assessment of Safety Instrumented Systems in the Oil and Gas Industry：a Practical Approach and a Case Study[J]. International Journal of Reliability，Quality，and Safety Engineering，2009，16：187-212.

[4]Hui J，Lundteigen M A，Rausand M. Reliability Performance of Safety Instrumented Systems：a Common Approach for Both Low- and High-demand Mode of Operation[J]. Reliability Engineering and System Safety，2011，96：365-373.

[5]RausandM.RiskAssessment：Theory，Methods，andApplications[M].Hoboken：JohnWiley&Sons，2011.

[6]RausandM，HoylandA.SystemReliabilityTheory：Models，StatisticalMethods，andApplications[M].Hoboken：JonhnWiley&Sons，2004.

[7]LiuYL，RausandM.ReliabilityAssessmentofSafetyInstrumentedSystemsSubjecttoDifferentDemandModes[J].ReliabilityEngineeringandSystemSafety，2011，24：49-56.

[8]InnalF，DutuitY，RauzyA，etal.NewInsightintotheAverageProbabilityofFailureonDemandandtheProbabilityofDangerousFailurePerHourofSafetyInstrumentedSystems[J].JournalofRiskandReliability，2010，224：75-86.

[9]InternationalElectrotechnicalCommission.IEC62551-2012.AnalysisTechniquesforDependability-PetriNetTechniques[S].Geneva：InternationalElectrotechnicalCommission，2012.

[10]LiuYL，RausandM.ReliabilityEffectsofTestStrategiesonSafety-intrumentedSystemsinDifferentDemandModes[J].ReliabilityEngineeringandSystemSafety，2013，119：235-243.

[11]HokstadP，CorneliussenK.LossofSafetyAssessmentandtheIEC61508Standard[J].ReliabilityEngineeringandSystemSafety，2004，83：111-120.

[12]LangeronY，BarrosA，GrallA，etal.CombinationofSafetyIntegrityLevels(SILs)：AStudyofIEC61508MergingRules[J].JournalofLossPreventionintheProcessIndustries，2008，21：437-449.

[13]DutuitY，InnalF，RauzeA，etal.ProbabilisticAssessmentsinRelationshipwithSafetyIntegrityLevelsbyUsingFaultTrees[J].ReliabilityEngineeringandSystemSafety，2008，93：1867-1876.

[14]JinH，LundteigenMA，RausandM.NewPFH-formulasfork-out-of-n：FSystems[J].ReliabilityEngineeringandSystemSafety，2013，111：112-118.

(编辑张洋)

ReliabilityAssessmentofSafety-instrumentedSystemsOperatedinHigh-demandMode

WangYukunLiuZixian

TianjinUniversity，Tianjin，300072

Abstract:Currently, the research of reliability analysis of high-demand safety instrumented systems was rare. Considering the process demands, item failure modes, proof test strategy and maintenance, a Markov model of the 1oo2 voted group was developed for the reliability analysis. After that, the effects of demand and proof test strategy on the reliability of the voted group were explored, respectively. The results show that the reliability of the voted group decreases with the demand rate and the proof test frequency. The operating state of the group is dominantly verified by demands if the demand rate is larger than the proof test frequency, and by proof tests otherwise.

Key words:safety instrumented system; high-demand mode; Markov method; reliability

收稿日期：2014-08-15

基金项目：国家自然科学基金资助项目(71171142)；教育部博士学科点专项科研基金资助项目(20110032110034)

中图分类号：TP202

DOI：10.3969/j.issn.1004-132X.2016.01.016

作者简介：王玉堃，女，1989年生。天津大学管理与经济学部博士研究生。主要研究方向为产品可靠性工程。发表论文8篇。刘子先，男，1962年生。天津大学管理与经济学部教授、博士研究生导师。