陳 浩 榮 岡 馮毅萍

(浙江大學(xué)智能系統(tǒng)與控制研究所工業(yè)控制技術(shù)國家重點實驗室，杭州 310027)

石油化工過程等典型流程工業(yè)的安全評估工作越來越受到人們的重視。傳統(tǒng)的安全評估方法多是從預(yù)防事故發(fā)生的角度針對研究對象的抗意外能力展開評價，重點關(guān)注設(shè)備或系統(tǒng)保持穩(wěn)定安全運行的能力。如道化學(xué)評價法、蒙德法、日本勞動省六階段法都是根據(jù)生產(chǎn)工藝和生產(chǎn)裝置的經(jīng)驗數(shù)據(jù)構(gòu)建評價體系，定義指標和安全等級[1～3]。故障樹分析(FTA)、事件樹分析(ETA)和危險與可操作性分析(HAZOP)的出現(xiàn)使得評估問題的思路轉(zhuǎn)向分析可能引起故障的事件[4～6]，保護層分析法(LOPA)是HAZOP方法的延伸，將安全評估分類為不同的層次[7]。雖然它們有涉及一部分系統(tǒng)狀態(tài)監(jiān)控和故障診斷能力方面的評估，但是并沒有將其作為重點給出具體全面的評估流程。

針對系統(tǒng)展開狀態(tài)監(jiān)測與故障診斷的研究方法主要包括基于機理數(shù)學(xué)模型的方法、基于專家知識系統(tǒng)的方法和基于離散事件系統(tǒng)(DEVS)模型的方法。實際應(yīng)用中，很難得到準確的數(shù)學(xué)模型，專家系統(tǒng)需要依靠充足的專家知識，前兩種方法對設(shè)備的依賴性強，通用性差。離散事件系統(tǒng)模型方法不需要對系統(tǒng)模型有深入的了解，表達簡單，適用廣泛，在研究系統(tǒng)整體狀態(tài)監(jiān)測和故障診斷能力時較為方便。

1 背景知識①

有限狀態(tài)自動機(FSM)模型是一種非常方便形象的DEVS描述工具。可以將系統(tǒng)描述為G=(X，Σ，δ，x0)，其中X是系統(tǒng)狀態(tài)空間的集合，Σ是事件的集合，δ是系統(tǒng)狀態(tài)轉(zhuǎn)移的變遷，x0是系統(tǒng)的初始狀態(tài)。Sampath M指出G模型經(jīng)過P(s)運算得到模型G′=(X0,Σo，δG′,x0)，其中Σo是可觀測事件集，δG′是各個狀態(tài)之間的可觀測事件[8]。G′模型經(jīng)過LP(x,l,s)、R(q,δ)、LC(q)運算可以得到診斷器模型Gd=(Qd,Σo,δd,q0)，其中Qd是診斷器中包含由狀態(tài)和故障圖標組成的待診斷狀態(tài)集，q0是初始待診斷狀態(tài)，δd是連接待診斷狀態(tài)之間的可觀測事件。系統(tǒng)是可診斷的，當且僅當系統(tǒng)的診斷器模型中不含有二義性狀態(tài)的循環(huán)或模糊狀態(tài)，模糊狀態(tài)和二義性循環(huán)的定義分別作如下說明。

模糊狀態(tài)。診斷器中存在模糊狀態(tài)A，即?s1、s2∈L,?i∈Πf使得Σfi∈s1、Σfi?s2,且P(s1)=P(s2),δd[q0,P(s1)]=q,δ(x0,s1)=δ(x0,s2)。

二義性循環(huán)。診斷器中存在二義性循環(huán)，即狀態(tài)q1，q2，…，qn滿足如下條件：

a.δd[ql,δl]=ql+1，其中l(wèi)=1,…,n-1；δd[qn,δn]=q1，其中δl∈Σo，l=1,…,n。

和

2 系統(tǒng)的DEVS描述

系統(tǒng)的運轉(zhuǎn)過程就是各個參數(shù)(液位、溫度、壓力及位置等)不斷變化的過程。為了有效地描述系統(tǒng)的運轉(zhuǎn)，需要在系統(tǒng)可以測量的各個參數(shù)中進行選擇，形成合適的參數(shù)集來描述系統(tǒng)的狀態(tài)，每一種參數(shù)組合就是系統(tǒng)的一個狀態(tài)x，所有的參數(shù)組合即為狀態(tài)集X。對于單個儲油罐，選擇儲油罐的液位作為參數(shù)，該系統(tǒng)不涉及參數(shù)的組合，包括儲油罐滿載、半載和空載3個狀態(tài)。事件是描述系統(tǒng)由一個狀態(tài)向另一個狀態(tài)的轉(zhuǎn)化過程，其表現(xiàn)形式是系統(tǒng)部分參數(shù)在事件發(fā)生前、后的變化。定義油罐收油δ1和付油δ2兩個事件后，系統(tǒng)的狀態(tài)轉(zhuǎn)移DEVS圖如圖1所示。

圖1 單個儲油罐系統(tǒng)狀態(tài)轉(zhuǎn)移DEVS描述

實際設(shè)計中，傳感器的布置要受到維持系統(tǒng)正常運轉(zhuǎn)及經(jīng)濟投入等的約束，通常并不能采集到需要的全部參數(shù)的變化情況。因此將事件分為可觀測事件集合Σo和不可觀測事件集合Σu。不可觀測事件又分為完全不可觀測事件和部分不可觀測事件。故障事件集合Σf屬于不可觀測事件，可以分為若干類別，即Σf=Σf1∪…∪Σfm。為了更好地闡述上述內(nèi)容現(xiàn)舉例如圖2所示，該FSM模型描述系統(tǒng)中有18個狀態(tài)，事件δ1～δ7為可觀測事件，δu為不可觀測事件中的正常事件，δf1～δf4為故障事件。

圖2 FSM模型描述系統(tǒng)圖例

3 評估方法

3.1 系統(tǒng)的監(jiān)控與診斷能力

Sampath M提出系統(tǒng)可診斷和可檢測當且僅當系統(tǒng)不存在二義性循環(huán)和模糊狀態(tài)。但是在實際生產(chǎn)中，一方面要考慮故障的可診斷性；另一方面理論上的可觀測事件并不是都能得到的，往往還會由于傳感器設(shè)置不足導(dǎo)致缺少關(guān)鍵的可觀測件而出現(xiàn)系統(tǒng)不能被診斷的情況，為此從結(jié)合實際出發(fā)，補充如下定義:

a. 診斷器Gd中存在二義性循環(huán)，系統(tǒng)是不可檢測和診斷的。

b. 診斷器Gd中存在模糊狀態(tài)，系統(tǒng)可能是可檢測的，一定是不可診斷的，具體為診斷器Gd中存在A圖標；FSM模型中?s1、s2∈L,P(s1)=P(s2),δd[q0,P(s1)]=q,δ(x0,s1)=δ(x0,s2)。?i∈Πf使得Σfi∈s1、Σfi?s2或?i、j∈Π使得Σfi∈s1、Σfi?s2、Σfj?s1、Σfj∈s2。

c. 診斷器Gd中存在不確定狀態(tài)，系統(tǒng)可能是可檢測的，一定是不可診斷的，具體為診斷器Gd中?(x,l)、(y,l′)∈q,q∈Qd，使得Fi∈l、Fi?l′，且?δd[q,P(s)]=q′可得P(s)=φ；FSM模型中?s1、s2∈L，P(s1)=P(s2)，δd[q0,P(s1)]=q，δ(x0,s1)≠δ(x0,s2)。?t1=L/s1，?t2=L/s2，P(t1)=P(t2)=φ。?i∈Πf使得Σfi∈s1、Σfi?s2或?i、j∈Π使得Σfi∈s1、Σfi?s2、Σfj?s1、Σfj∈s2。

d. 診斷器Gd中存在隱藏故障，系統(tǒng)是不可檢測和診斷的，具體為診斷器Gd中?q∈Qd，F(xiàn)i?q；FSM模型中?i∈Πf，?s∈ψ(Σfi)，?t=L/s，滿足P(t)=φ。

圖2的FSM模型就是結(jié)合實際情況的一個典型例子，針對其構(gòu)建出的診斷器Gd模型如圖3所示。故障δf1不能被準確診斷是因為存在二義性狀態(tài)循環(huán)δ2-δ3-δ4-δ2,循環(huán)往復(fù)進行使得無法監(jiān)測和診斷故障δf1。δf2不能被診斷是因為沒有對其影響的變量進行檢測而繼續(xù)進行常規(guī)操作，即缺少可觀測事件序列。δf3不能被診斷的原因與δf2的情況類似，區(qū)別在于發(fā)生故障后沒有后續(xù)操作需要進行。δf4不能被診斷是由于存在模糊狀態(tài)，即不能確定觀測狀態(tài)是由哪條事件序列得到。存在模糊狀態(tài)的情況又可細分為兩條并行的支路上一個存在故障、一個不存在故障和存在兩種故障的情況。

圖3 系統(tǒng)的故障診斷器Gd模型

3.2 評估流程

由3.1節(jié)可知，系統(tǒng)的診斷能力不足是由于系統(tǒng)的診斷器模型Gd中的4種局部結(jié)構(gòu)導(dǎo)致的(表1)。系統(tǒng)監(jiān)控能力與診斷能力的差別在于診斷器中模糊狀態(tài)和不確定狀態(tài)兩種局部結(jié)構(gòu)中正常與故障之間不易辨別。因此，可計算系統(tǒng)故障可檢測率、可診斷率和二者間的關(guān)系來定量進行安全評估工作，其計算式分別為：

100%

100%

其中N為診斷器中故障類別總數(shù)。

表1 診斷器局部結(jié)構(gòu)與監(jiān)測診斷能力

總結(jié)系統(tǒng)狀態(tài)監(jiān)控與故障診斷能力評估流程：

a. 明確評價對象，構(gòu)建系統(tǒng)FSM狀態(tài)轉(zhuǎn)移模型；

b. 梳理系統(tǒng)故障集，將其加入FSM狀態(tài)轉(zhuǎn)移模型；

c. 根據(jù)FSM狀態(tài)轉(zhuǎn)移模型構(gòu)建系統(tǒng)診斷器Gd模型；

d. 根據(jù)系統(tǒng)診斷器Gd模型和相應(yīng)定義，計算模型中4種結(jié)構(gòu)相應(yīng)的數(shù)目；

e. 計算故障可檢測率、故障可診斷率和故障模糊率的數(shù)值；

f. 對系統(tǒng)設(shè)計優(yōu)化給出建議。

3.3 評估意義

對系統(tǒng)進行狀態(tài)監(jiān)控和故障診斷能力評價的目的是發(fā)現(xiàn)系統(tǒng)的不足并給出優(yōu)化設(shè)備配置的建議。顯然當故障檢測率和故障診斷率不為100%時，系統(tǒng)在狀態(tài)監(jiān)控和故障診斷方面是存在一定風(fēng)險的，為了提高系統(tǒng)的抗風(fēng)險能力，需要將兩個指標盡可能地提升，而且需要將故障模糊率盡可能提升為1。

增加系統(tǒng)狀態(tài)監(jiān)控和故障診斷能力在診斷器Gd中的表現(xiàn)是將系統(tǒng)的FSM模型結(jié)構(gòu)改進，在系統(tǒng)模型中消除4種典型的不可診斷的局部結(jié)構(gòu)。針對二義性循環(huán)，可以采用增加操作等方式打破循環(huán)。針對其他情況，系統(tǒng)運轉(zhuǎn)的實際過程是客觀不變的，診斷器結(jié)構(gòu)的改變是由于傳感器的設(shè)置等使得系統(tǒng)可檢測變量決定的系統(tǒng)可觀測序列在改變，可以通過改變系統(tǒng)變量的檢測設(shè)置從而增加或減少系統(tǒng)的可觀測序列來達到優(yōu)化診斷器結(jié)構(gòu)的目的。

4 油罐區(qū)典型流程案例

圖4是石化企業(yè)油品罐區(qū)調(diào)度中一個典型的流程，其中包括3個儲油罐T1、T2、T3，6個電信號閥門V1,…，V6，13條管線P1,…,P13，1個電信號控制的選擇閥門Vs，電信號為正時Vs接通管道P5，電信號為負時Vs接通管道P6。儲油罐T1的容積大致是儲油罐T2與T3的兩倍，儲油罐T1收油至高液位，然后分別將油品付入儲油罐T2與T3中。儲油罐收油、付油的操作不能同時進行，且收油后需靜止足夠時間再進行付油操作。

圖4 石化企業(yè)罐區(qū)調(diào)度典型流程

現(xiàn)對該流程進行系統(tǒng)狀態(tài)監(jiān)測和故障診斷能力的評估，評估過程如下：

a. 構(gòu)建如圖5所示的FSM狀態(tài)轉(zhuǎn)移模型，具體含義見表2、3。

b. 梳理常見故障集Σf見表4，加入故障集的FSM模型各分支如圖6所示(其中δf5、δf6與δf2類似，其在FSM模型中的分支圖省去)。其中δ7表示T1付油事件不成功，δ8表示T1付油、T2收油事件不成功。

c. 構(gòu)建診斷器Gd模型，故障在Gd模型中的分支如圖7所示。

d. 分析診斷器Gd局部結(jié)構(gòu)，其中δf1、δf3可以被檢測和診斷；δf2、δf5、δf6會導(dǎo)致二義性循環(huán)，不一定可以被檢測和診斷；δf4和δf7在Gd中會產(chǎn)生支路均含有故障的模糊狀態(tài)，可以被檢測，不能被診斷；δf8發(fā)生后，無可觀測事件，不可被檢測和診斷。綜上，N1=3，N2=2，N3=0，N4=0，N5=0，N6=1。

e. 計算指標，最終評估結(jié)果見表5。

f. 對系統(tǒng)優(yōu)化設(shè)計給出建議。系統(tǒng)中存在3個二義性循環(huán)、一個兩故障之間的模糊狀態(tài)和一個沒有觀測序列的故障。針對二義性循環(huán)，需要增加必要的操作步驟使系統(tǒng)跳出循環(huán)，如針對故障δf2的循環(huán)2-3-12-13-14-2和2-3-5-6-9-2的可觀測序列相同，此時若跳出循環(huán)則可以通過事件δ8來判斷是否發(fā)生了故障δf2。針對故障δf4和故障δf7構(gòu)成的模糊狀態(tài)22A，雖然可以判斷出系統(tǒng)發(fā)生了故障，但由于兩個故障發(fā)生后的可觀測事件都只有一個δ2，需要增加可觀測事件來診斷究竟發(fā)生了哪個故障，如增加檢測管線P3中是否有油體，檢測閥門V1的狀態(tài)等。故障δf8發(fā)生后無可觀測序列反映相應(yīng)的變化，因此需要檢測δf8影響的系統(tǒng)變量以便進行監(jiān)控和診斷，如檢測管線P12中是否有油體。

圖5 石化企業(yè)罐區(qū)局部FSM模型

上述評估過程中，計算指標的算式如下：

表2 罐區(qū)FSM模型狀態(tài)中液位分布

表3 罐區(qū)FSM模型事件含義

表4 罐區(qū)故障集

圖6 加入故障集的FSM模型分支

表5 油罐區(qū)典型流程案例評估結(jié)果

圖7 故障在Gd模型中的分支

5 結(jié)束語

傳統(tǒng)的安全評估工作側(cè)重于評估系統(tǒng)避免事故、維持系統(tǒng)穩(wěn)定正常運行的能力。筆者圍繞系統(tǒng)對狀態(tài)的監(jiān)控能力和出現(xiàn)故障后及時診斷的能力展開評估工作，在一定程度上完善了安全評估理論。從構(gòu)造系統(tǒng)診斷器出發(fā)，借助系統(tǒng)診斷器的拓撲結(jié)構(gòu)特征，建立了一套評估系統(tǒng)狀態(tài)監(jiān)控和故障診斷能力的方法，提出了評估流程，從而可以對系統(tǒng)的優(yōu)化設(shè)計提供一定的建議。以石油罐區(qū)的典型流程為例，展示了該評估方法的全部流程和評估意義，證明了方法的有效性。

但是在構(gòu)造診斷器時，本研究還沒有考慮到每個可觀測事件的時間特性，也沒有從集中式、分散式及分布式等關(guān)系的角度建立合理的層次結(jié)構(gòu)，在以后的研究中需要綜合考慮這些因素，并建立相應(yīng)的評價指標，更為合理全面地展開對系統(tǒng)狀態(tài)監(jiān)測與故障診斷能力的評估，此外診斷器的構(gòu)建存在狀態(tài)爆炸問題，需要在算法上進行優(yōu)化，以方便評估工作簡單易行地展開。