馬 奔， 孫自強(qiáng)（華東理工大學(xué)化工過程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，上海 200237）

基于MBF參數(shù)模型的安全完整性等級(jí)定量評(píng)估

馬 奔， 孫自強(qiáng)
（華東理工大學(xué)化工過程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，上海 200237）

介紹了安全完整性等級(jí)驗(yàn)證的相關(guān)內(nèi)容，并對(duì)系統(tǒng)發(fā)生危險(xiǎn)失效因素進(jìn)行分析；在引入MBF（Multiple Beta Factor）參數(shù)模型的基礎(chǔ)上，定量計(jì)算系統(tǒng)發(fā)生共因失效的概率，并研究系統(tǒng)發(fā)生獨(dú)立危險(xiǎn)失效的概率及其影響；最后給出應(yīng)用實(shí)例進(jìn)行驗(yàn)證。結(jié)果表明：本文方法不僅更接近工業(yè)生產(chǎn)中安全儀表系統(tǒng)冗余結(jié)構(gòu)的實(shí)際情況，也大大簡化了計(jì)算，彌補(bǔ)了馬爾可夫模型法分析計(jì)算過程復(fù)雜的缺陷。

安全完整性等級(jí)；MBF參數(shù)模型；馬爾可夫模型；共因失效

隨著中國工業(yè)化特別是化工工業(yè)進(jìn)程不斷加快，重大的生產(chǎn)安全事故頻繁發(fā)生。如何確保化工生產(chǎn)過程的運(yùn)行更加穩(wěn)定、可靠、安全成為大家研究的重點(diǎn)。在控制系統(tǒng)中，安全保護(hù)設(shè)備和控制設(shè)備一般是分離的?？刂圃O(shè)備被稱為基本過程控制系統(tǒng)（Basic Process Control System，BPCS），而保護(hù)設(shè)備則被稱為安全儀表系統(tǒng)（Safety Instrument System，SIS）。

SIS是安全相關(guān)系統(tǒng)（Safety-Related System，SRS）的一類［1］，是保障生產(chǎn)安全的重要措施。安全儀表系統(tǒng)可以對(duì)工業(yè)過程一些重要的工藝參數(shù)進(jìn)行密切實(shí)時(shí)監(jiān)測(cè)，避免使生產(chǎn)過程持續(xù)處于具有安全風(fēng)險(xiǎn)的環(huán)境。為了更好地對(duì)安全儀表系統(tǒng)的運(yùn)行水平及減少風(fēng)險(xiǎn)的能力進(jìn)行評(píng)估，一些安全相關(guān)標(biāo)準(zhǔn)如IEC61508和ANSI/ISA S84.01提出了一個(gè)重要概念——安全完整性等級(jí)（Safety Integrity

Levels，SIL）。在定量計(jì)算SIL等級(jí)的方法中，如何運(yùn)用馬爾可夫模型對(duì)系統(tǒng)進(jìn)行可靠性分析一直是研究的熱點(diǎn)；Knegtering等［2］首先提出微馬爾可夫模型法計(jì)算失效率，但其僅在概念上進(jìn)行了闡述；Zhang等［3］對(duì)系統(tǒng)的可靠性框圖進(jìn)行研究，在其基礎(chǔ)上建立微馬爾可夫模型，但他們僅對(duì)幾種典型的冗余結(jié)構(gòu)進(jìn)行了分析，而且模型結(jié)構(gòu)太過簡單，沒有考慮共因失效的影響。本文采用基于MBF （Multiple Beta Factor）的共因失效參數(shù)模型來簡化馬爾可夫模型的計(jì)算，并綜合考慮共因和獨(dú)立失效對(duì)系統(tǒng)的影響，最后給出實(shí)例進(jìn)行驗(yàn)證，結(jié)果表明，本文方法可以很好地彌補(bǔ)現(xiàn)有計(jì)算方法的缺點(diǎn)。

1　安全完整性水平的驗(yàn)證

安全完整性水平是安全儀表系統(tǒng)的核心，也是設(shè)計(jì)安全系統(tǒng)的重要依據(jù)。在安全系統(tǒng)整體生命周期的設(shè)計(jì)安裝、檢驗(yàn)評(píng)估、維護(hù)修理等階段都是圍繞其安全完整性水平進(jìn)行的［4］。

系統(tǒng)的安全完整性水平主要與系統(tǒng)失效相關(guān)。系統(tǒng)失效主要是由制造過程、文檔錯(cuò)誤、軟件問題等系統(tǒng)性故障所引發(fā)的失效。由于系統(tǒng)故障的影響與引入它的生命周期階段有關(guān)，且為避免系統(tǒng)失效的各種單一措施的有效性都與應(yīng)用有關(guān)，故只能用定性的方法分析系統(tǒng)失效。

硬件的安全完整性水平主要與隨機(jī)硬件失效相關(guān)，其SIL等級(jí)可以通過定量分析來確定。確定一個(gè)系統(tǒng)的硬件安全完整性等級(jí)通常需要綜合考慮隨機(jī)失效和結(jié)構(gòu)約束兩方面內(nèi)容，以避免出現(xiàn)過于樂觀的失效率數(shù)據(jù)，從而在不恰當(dāng)?shù)慕Y(jié)構(gòu)設(shè)計(jì)情況下得到較高的安全完整性等級(jí)。其中，隨機(jī)失效的安全完整性可以通過計(jì)算一個(gè)重要的指標(biāo)來進(jìn)行評(píng)估，即平均需求失效概率（Probability of Failure on Demand，PFD），它是安全儀表系統(tǒng)在整個(gè)安全生命周期內(nèi)發(fā)生失效的平均概率。IEC 61508定義了4種安全完整性等級(jí)如表1所示。

表1　IEC61508安全完整性等級(jí)Table 1 Safety integrity levels of IEC61508

硬件安全完整性的安全功能所能聲明的最高安全完整性等級(jí)受限于硬件故障裕度（HFT）和執(zhí)行該安全功能的子系統(tǒng)的安全失效分?jǐn)?shù)（SFF）。其中：λS為系統(tǒng)安全失效概率；λDD為可被診斷功能診斷到的危險(xiǎn)失效概率；λD為系統(tǒng)危險(xiǎn)失效概率。

硬件故障裕度與系統(tǒng)或部件的結(jié)構(gòu)有關(guān)，若用數(shù)值K表示，則意味著發(fā)生K＋1個(gè)故障會(huì)導(dǎo)致系統(tǒng)安全相關(guān)功能失效。對(duì)于一個(gè)具有Moo N結(jié)構(gòu)的系統(tǒng)，需要其中的M個(gè)獨(dú)立通道來完成其安全功能，在不考慮如診斷等其他可能控制故障影響的措施時(shí)，可得K=N－M［5］。

對(duì)于TYPE B的子系統(tǒng)，其結(jié)構(gòu)約束條件如表2所示。

表2　硬件安全完整性結(jié)構(gòu)約束Table 2 Integrity safety constraints of hardware structure

2　系統(tǒng)危險(xiǎn)失效影響因素分析

2.1概述

IEC 61508對(duì)危險(xiǎn)失效定義為使安全相關(guān)系統(tǒng)處于潛在的危險(xiǎn)或喪失功能狀態(tài)的失效。在計(jì)算平均需求失效概率時(shí)，我們僅考慮引起系統(tǒng)危險(xiǎn)失效的概率。本文將從診斷、共因、冗余結(jié)構(gòu)等方面對(duì)安全儀表系統(tǒng)的危險(xiǎn)失效進(jìn)行定性分析。

2.2診斷和修復(fù)

在冗余和非冗余結(jié)構(gòu)中，系統(tǒng)檢測(cè)部件故障的能力即在線診斷對(duì)于安全儀表系統(tǒng)的可靠性與安全性具有重要影響。當(dāng)增加診斷時(shí)，不僅可以減少系統(tǒng)在危險(xiǎn)模式下的運(yùn)行時(shí)間，減少降級(jí)模式（不能完全執(zhí)行正常功能）下的時(shí)間，還可直接干預(yù)系統(tǒng)的運(yùn)行，從而改善其安全性與可用性。其中，一個(gè)重要的術(shù)語“診斷覆蓋率”是指能夠診斷出所發(fā)生失效的概率。根據(jù)不同的失效模式，將其區(qū)分為安全失效診斷覆蓋率（CS）和危險(xiǎn)失效診斷覆蓋率

（CD）。衡量系統(tǒng)的診斷覆蓋率可以使用失效模式、影響和診斷分析（FMEDA）進(jìn)行評(píng)估。

根據(jù)診斷覆蓋率危險(xiǎn)失效分為檢測(cè)到的危險(xiǎn)失效和未檢測(cè)到的危險(xiǎn)失效。檢測(cè)到的危險(xiǎn)失效可以通過在線診斷系統(tǒng)檢測(cè)維修；未檢測(cè)到的危險(xiǎn)失效只能在定期的周期性維護(hù)測(cè)試時(shí)進(jìn)行維修。定義在線維修率為μ0，周期性檢查的維修率為μP，計(jì)算公式如下：

其中：TR是平均修理時(shí)間；T1是周期性檢查時(shí)間。

在系統(tǒng)進(jìn)入安全失效時(shí)，定義一次無故障停車后設(shè)備重啟時(shí)間為SD（Shut Down），檢測(cè)到的安全失效修復(fù)率為μSD，則有

2.3共因失效

安全儀表系統(tǒng)采用冗余結(jié)構(gòu)時(shí)，通常會(huì)發(fā)生共因失效。在對(duì)系統(tǒng)失效率進(jìn)行定量分析時(shí)，經(jīng)常采用β模型對(duì)共因失效進(jìn)行建模，β因子將失效分為共因失效與普通失效兩種。由于共因失效會(huì)嚴(yán)重降低系統(tǒng)的安全性與可靠性，所以在進(jìn)行安全儀表系統(tǒng)的設(shè)計(jì)時(shí)，一定要找出與共因失效相關(guān)的失效源，并采取一定措施消除其影響。

2.4冗余表決組

通常，組成安全儀表系統(tǒng)的傳感器子系統(tǒng)、邏輯控制器子系統(tǒng)和最終元件子系統(tǒng)都會(huì)采用多個(gè)設(shè)備組成Moo N的冗余表決結(jié)構(gòu)，不同的冗余結(jié)構(gòu)具有不同的特點(diǎn)，如1oo1結(jié)構(gòu)即常規(guī)的單通道結(jié)構(gòu)，其安全性與可用性都較低；對(duì)于雙通道結(jié)構(gòu)，1oo2表決結(jié)構(gòu)適用于安全性要求較高的情況，而2oo2結(jié)構(gòu)其安全性較低但具有很高的可用性；1oo3結(jié)構(gòu)具有很好的安全性與可用性，但其成本也較高。

3　系統(tǒng)危險(xiǎn)失效率的定量計(jì)算

3.1概述

目前，有許多方法計(jì)算一個(gè)具有Moo N結(jié)構(gòu)系統(tǒng)的PFD值，其中定量計(jì)算的方法主要有可靠性框圖法、故障樹分析法、馬爾可夫模型法等。馬爾可夫模型法是根據(jù)系統(tǒng)過程狀態(tài)的轉(zhuǎn)移建立馬爾可夫模型。由于馬爾可夫模型涵蓋了多種可靠性指標(biāo)，具有很好的實(shí)時(shí)性，所以在可靠性工程中具有廣泛的應(yīng)用。

3.2常用表決結(jié)構(gòu)的馬爾可夫模型

對(duì)馬爾可夫模型進(jìn)行分析計(jì)算時(shí)往往考慮的共因失效是基于單β因子，假設(shè)系統(tǒng)的N個(gè)通道具有完整的對(duì)稱性，且所有通道具有相同的常數(shù)失效率。本文以1oo1單通道結(jié)構(gòu)為例進(jìn)行分析，這種結(jié)構(gòu)包括一個(gè)單通道，若發(fā)生任何一種危險(xiǎn)失效（包括檢測(cè)到的和未檢測(cè)到的）則系統(tǒng)就會(huì)發(fā)生危險(xiǎn)失效。1oo1結(jié)構(gòu)的馬爾可夫模型如圖1所示。

圖11　oo1結(jié)構(gòu)馬爾可夫模型Fig.1 Markov model for 1oo1 structure

模型中狀態(tài)0代表正常；狀態(tài)1表示安全失效狀態(tài)；狀態(tài)2表示檢測(cè)到的危險(xiǎn)失效狀態(tài)，并可以維修；狀態(tài)3表示未檢測(cè)到的危險(xiǎn)失效狀態(tài)。1oo1系統(tǒng)的狀態(tài)轉(zhuǎn)移矩陣Q為

在初始狀態(tài)，所有設(shè)備正常工作，即初始狀態(tài)向量S0=［1 0 0 0］，由于模型中狀態(tài)2、3為危險(xiǎn)失效狀態(tài)，所以其危險(xiǎn)失效向量為VD=［0 0 1 1］T。假設(shè)測(cè)試時(shí)間間隔為T1，則1oo1結(jié)構(gòu)的危險(xiǎn)失效率為

由以上分析可以知道，盡管馬爾可夫模型在描述系統(tǒng)不同狀態(tài)的動(dòng)態(tài)轉(zhuǎn)移過程時(shí)具有很大的靈活性，但隨著狀態(tài)的增加，其轉(zhuǎn)移矩陣的維數(shù)將急劇增加，造成分析過程復(fù)雜及計(jì)算空間爆炸的問題，所以我們可以考慮基于MBF（Multiple Beta Factor）的共因失效參數(shù)模型來簡化馬爾可夫的計(jì)算過程。

3.3考慮MBF的共因失效模型計(jì)算

共因失效往往是系統(tǒng)級(jí)的失效或者是隨機(jī)硬件失效，在IEC 61508中對(duì)共因失效模型計(jì)算其需求失效率時(shí)僅僅考慮單β因子，然而，對(duì)于不同的冗余結(jié)構(gòu)，單β因子模型并不能很好地描述共因失效，所以引入更具有一般性的MBF參數(shù)模型以區(qū)分β因子在不同冗余結(jié)構(gòu)中的影響。

在MBF參數(shù)模型中，假設(shè)如下：

（1）系統(tǒng)的各種冗余結(jié)構(gòu)由完全相同的通道配置而成，一個(gè)Moo N結(jié)構(gòu)的每個(gè)通道都可以看作是一個(gè)1oo1結(jié)構(gòu)。

（2）系統(tǒng)的N個(gè)通道具有完整的對(duì)稱性，每個(gè)通道都具有相同的恒定失效率且各通道相互獨(dú)立。

因此，對(duì)于一個(gè)具有Moo N結(jié)構(gòu)的系統(tǒng)，由于共因失效所引起的系統(tǒng)失效率（PC）為

其中：CMooN為不同系統(tǒng)結(jié)構(gòu)共因失效配置影響因子；β為單β因子（僅適用于2個(gè)通道）；P1為單通道失效率。根據(jù)上述定義，當(dāng)系統(tǒng)通道數(shù)N為2時(shí)，β 在MBF模型中與IEC 61508標(biāo)準(zhǔn)中意義相同，所以C1oo2=1。

為了確定不同系統(tǒng)結(jié)構(gòu)的共因失效率，必須對(duì)CMooN進(jìn)行估計(jì)。定義以下參數(shù)：

gj，n：在具有n個(gè)通道的系統(tǒng)中，有j個(gè)特定的通道發(fā)生失效的概率。

fj，n：在具有n個(gè)通道的系統(tǒng)中，有j個(gè)通道發(fā)生共因失效的概率。故有

式（7）中：Aj表示通道j發(fā)生共因失效，根據(jù)定義有β=β1。在具有n個(gè)通道的系統(tǒng)中，有j個(gè)特定的通道發(fā)生失效的概率為

對(duì)于一個(gè)具有koon結(jié)構(gòu)的系統(tǒng)，則至少有nk＋1個(gè)通道發(fā)生共因失效才會(huì)引起系統(tǒng)失效，所以系統(tǒng)失效的概率如下：

因?yàn)镃koon與β、P1相互獨(dú)立，由式（10）得［6］

單項(xiàng)運(yùn)動(dòng)本身所具有的魅力足以吸引大眾的參與，形形色色的項(xiàng)目匯聚在一起時(shí)反而會(huì)顯得雜亂無章，凸顯不出小鎮(zhèn)的特色。聚焦于自身優(yōu)勢(shì)，把一個(gè)項(xiàng)目做到極致，讓大眾在體驗(yàn)中真正感受到這項(xiàng)運(yùn)動(dòng)的韻味，培養(yǎng)運(yùn)動(dòng)鍛煉的興趣，這便是體育特色小鎮(zhèn)建造宗旨的關(guān)鍵所在。

且有k=1，2，…，n－1。根據(jù)文獻(xiàn)［6-7］可知道，

其中j=2，3，…，n，且Gj，n滿足以下關(guān)系式：

式中：j=n－1，n－2，…，1。根據(jù)專家對(duì)系統(tǒng)失效多樣性分布的實(shí)驗(yàn)研究，令β2=0.3，βp=0.5，p≥3，經(jīng)過計(jì)算，得到不同系統(tǒng)結(jié)構(gòu)CMooN的值如表3［8］所示。

因此，在計(jì)算一個(gè)Moo N結(jié)構(gòu)系統(tǒng)由于共因失效所引起的系統(tǒng)失效率時(shí)，首先對(duì)其中的一個(gè)通道建立1oo1的馬爾可夫模型，計(jì)算其單通道的危險(xiǎn)失效率P1，然后對(duì)應(yīng)表3查出系統(tǒng)結(jié)構(gòu)的配置影響因子CMooN，再根據(jù)式（6）計(jì)算其共因失效率。由此，避免了對(duì)大型冗余系統(tǒng)建立馬爾可夫模型，大大簡化了計(jì)算。

表3　不同系統(tǒng)結(jié)構(gòu)的CMooN值Table 3 Values of CMooNfor different system structures

3.4獨(dú)立危險(xiǎn)失效率的計(jì)算

除了由于共因引起的系統(tǒng)失效，我們還必須考慮設(shè)備同時(shí)發(fā)生獨(dú)立危險(xiǎn)失效所引起的系統(tǒng)失效概率。對(duì)于Moo N結(jié)構(gòu)，至少有N－M＋1個(gè)通道同時(shí)發(fā)生獨(dú)立危險(xiǎn)失效時(shí)，則系統(tǒng)失效。其失效率

（P I）為

由于當(dāng)i=N－M＋2，N－M＋3，…，N時(shí)，系統(tǒng)發(fā)生獨(dú)立失效的概率相對(duì)于i=N－M＋1時(shí)已經(jīng)很小，且TR＜＜T1，所以公式簡化為

綜上所述可以求得系統(tǒng)發(fā)生危險(xiǎn)失效的概率為

深入研究發(fā)現(xiàn)，當(dāng)N－M＋1足夠大時(shí)，N－M＋1個(gè)通道同時(shí)發(fā)生獨(dú)立危險(xiǎn)失效的概率很小。例如，要使SIS滿足最高完整性等級(jí)SIL4，則其PFD值最高為10－4，若給定其他參數(shù)，通過迭代計(jì)算當(dāng)N－M＋1≥4，即硬件故障裕度HFT≥3［9］時(shí)，N－M＋1個(gè)通道同時(shí)發(fā)生獨(dú)立危險(xiǎn)失效的概率遠(yuǎn)小于設(shè)備所要求的最高失效率10－4，此時(shí)可忽略獨(dú)立危險(xiǎn)失效的影響。

4　不同方法之間的比較

4.1計(jì)算效率對(duì)比

為了研究傳統(tǒng)馬爾可夫建模方法計(jì)算的效率，必須確定MooN結(jié)構(gòu)模型中所有狀態(tài)個(gè)數(shù)，即其狀態(tài)轉(zhuǎn)移矩陣的大小。定義狀態(tài)向量F=［nSD，nSU，nDD，nDU］，其中nSD與nSU分別代表檢測(cè)到的和未檢測(cè)到的安全失效的個(gè)數(shù)，nDD與nDU分別代表檢測(cè)到的和未檢測(cè)到的危險(xiǎn)失效的個(gè)數(shù)，定義d為系統(tǒng)中失效的總數(shù)量，令nS=nSD＋nSU，由此可知當(dāng)nS≥M時(shí)，系統(tǒng)為安全失效狀態(tài)；當(dāng)F=［0，0，0，0］，即d= 0時(shí)為初始狀態(tài)。對(duì)文獻(xiàn)［10］中自動(dòng)創(chuàng)建馬爾可夫模型的方法進(jìn)一步研究，推導(dǎo)出如下公式：

其中：d=1，2，3…，N；nS=0，1，2…，M－1，且nS≤d；S（d，nS）僅由d與nS決定，定義為Moo N結(jié)構(gòu)馬爾可夫狀態(tài)轉(zhuǎn)移過程中的中間狀態(tài)和發(fā)生危險(xiǎn)失效狀態(tài)個(gè)數(shù)的和。系統(tǒng)總狀態(tài)個(gè)數(shù)為S（d，nS）與初始狀態(tài)、安全失效狀態(tài)個(gè)數(shù)的和即S（d，nS）＋2。以1oo2結(jié)構(gòu)為例求其包含狀態(tài)的總數(shù)量：S（1，0）=2；S（2，0）=3，故其狀態(tài)總個(gè)數(shù)為S（1，0）＋S（2，0）＋2=7，即1oo2結(jié)構(gòu)的系統(tǒng)具有7×7的狀態(tài)轉(zhuǎn)移矩陣。因此得到MooN結(jié)構(gòu)的狀態(tài)總個(gè)數(shù)即其狀態(tài)轉(zhuǎn)移矩陣大小如表4所示。

由于一個(gè)N×N的矩陣相乘一次，需要2N3次浮點(diǎn)運(yùn)算（FLOPS-floating point operations）完成計(jì)算，所以對(duì)于一個(gè)2oo3結(jié)構(gòu)的系統(tǒng)，由表4可知其狀態(tài)轉(zhuǎn)移矩陣大小為23×23，所以其相乘一次需要24 334 FLOPS，若采用MBF模型的方法，所有結(jié)構(gòu)只需對(duì)1oo1結(jié)構(gòu)的4×4轉(zhuǎn)移矩陣進(jìn)行計(jì)算，相乘一次僅需要128 FLOPS。由此可知，采用本文方法計(jì)算效率會(huì)顯著提高，若結(jié)構(gòu)更加復(fù)雜的話，其效果將會(huì)更加明顯。

表4　不同Moo N結(jié)構(gòu)狀態(tài)個(gè)數(shù)Table 4 Number of state for different Moo N structure

4.2計(jì)算結(jié)果比較

假設(shè)β=0.03，λSD=9.996×10－6，λSU=9.8× 10－8，λDD=5.996×10－6，λDU=1.12×10－7，平均修復(fù)時(shí)間TR為8 h，周期性檢查時(shí)間T1為8 760 h，一次無故障停車后裝置重啟時(shí)間SD（Shut Down）為24 h，則有μ0=1/TR=0.125；μSD=1/SD= 0.041 7。

根據(jù)以上數(shù)據(jù)，利用MBF模型求得的PFD值與普通馬爾可夫方法所求的值對(duì)比結(jié)果如表5所示。在用普通方法計(jì)算PFD值時(shí)，由于N≥4系統(tǒng)結(jié)構(gòu)的馬爾可夫模型非常復(fù)雜，采用故障樹模型近似計(jì)算。

表5　PFD計(jì)算結(jié)果比較Table 5 Comparison of PFD calculation results

由表5可知，兩種方法的結(jié)果具有很好的一致性，但本文方法具有很高的計(jì)算效率，且省略了復(fù)雜的馬爾可夫建模過程，使計(jì)算更加簡便。

5　實(shí)例驗(yàn)證

在工業(yè)生產(chǎn)中，壓力保護(hù)系統(tǒng)是安全儀表系統(tǒng)中最典型的例子。圖2所示為一套化工石油生產(chǎn)中的高完整性壓力保護(hù)系統(tǒng)（High Integrity Pressure Protection System，HIPPS）。通過隔斷上游部分產(chǎn)生的過壓源，降低了下游設(shè)備的壓力等級(jí)，減少了系統(tǒng)由于超壓帶來的危險(xiǎn)性。

圖2　高完整性壓力保護(hù)系統(tǒng)示意圖Fig.2 HIPPS schematic diagram

圖2所示的HIPPS安全儀表系統(tǒng)由均為1oo1冗余結(jié)構(gòu)的壓力傳感器子系統(tǒng)、邏輯控制器子系統(tǒng)、執(zhí)行器（閥門）子系統(tǒng)組成。首先，壓力傳感器檢測(cè)儲(chǔ)罐內(nèi)的壓力，若壓力超過給定限值，則觸發(fā)高保護(hù)設(shè)定點(diǎn)，將信號(hào)傳遞至邏輯控制器，并由邏輯控制器發(fā)送關(guān)斷信號(hào)控制閥門PZA-001B、PZA-001A斷開，從而保護(hù)壓力儲(chǔ)罐。根據(jù)生產(chǎn)安全性要求，我們要設(shè)計(jì)滿足安全完整性等級(jí)為SIL2的壓力保護(hù)系統(tǒng)，該壓力保護(hù)系統(tǒng)相關(guān)設(shè)備失效率數(shù)據(jù)［11］如表6所示，且TR=8 h，T1=8 760 h，SD=24 h。

表6　HIPPS設(shè)備失效率數(shù)據(jù)Table 6 Equipment failure data of HIPPS

由于該系統(tǒng)的各子系統(tǒng)均為1oo1冗余結(jié)構(gòu)，分別對(duì)其建立馬爾可夫模型，并將上述失效率數(shù)據(jù)分別代入狀態(tài)轉(zhuǎn)移矩陣Q得到Q1、Q2、Q3，根據(jù)式（5）得

由此得該壓力保護(hù)系統(tǒng)總平均危險(xiǎn)失效率為

由此可得該壓力保護(hù)系統(tǒng)并不滿足所要求的安全完整性等級(jí)，需要對(duì)各子系統(tǒng)進(jìn)行冗余結(jié)構(gòu)配置。若將傳感器子系統(tǒng)配置成2oo3結(jié)構(gòu)，邏輯控制器和閥門子系統(tǒng)配置成1oo2結(jié)構(gòu)，令β=0.05，根據(jù)式（17）分別計(jì)算各子系統(tǒng)的危險(xiǎn)失效率。

（1）傳感器子系統(tǒng)

（2）控制器子系統(tǒng)

（3）閥門子系統(tǒng)

（4）系統(tǒng)整體平均危險(xiǎn)失效率

由上可知，該壓力保護(hù)系統(tǒng)滿足安全完整性等級(jí)為SIL2的要求。

若采用普通馬爾可夫建模，通過已有模型計(jì)算得該壓力保護(hù)系統(tǒng)危險(xiǎn)失效率為2.966×10－3，與本文計(jì)算結(jié)果具有很好的一致性。在用常規(guī)的馬爾可夫建模法設(shè)計(jì)系統(tǒng)的冗余結(jié)構(gòu)時(shí)，必須對(duì)每一個(gè)子系統(tǒng)建立馬爾可夫模型，并對(duì)模型逐一分析計(jì)算，與此相比，本文方法可以很方便地計(jì)算每個(gè)子系統(tǒng)的失效率，并根據(jù)失效率快捷地設(shè)計(jì)滿足所需安全完整性等級(jí)的儀表系統(tǒng)。

6　結(jié)束語

近年來，由于化工行業(yè)事故頻發(fā)，如何設(shè)計(jì)并利用安全儀表系統(tǒng)來保證生產(chǎn)過程的平穩(wěn)安全運(yùn)行已經(jīng)成為研究熱點(diǎn)，而安全完整性等級(jí)是安全儀表系統(tǒng)的核心，不管是在設(shè)計(jì)安全系統(tǒng)之初或是在設(shè)計(jì)完成試運(yùn)行之后，其SIL等級(jí)都是對(duì)其系統(tǒng)功能安全評(píng)估的重要依據(jù)。本文引入更具有一般性的MBF參數(shù)以區(qū)分β因子在不同冗余結(jié)構(gòu)中的影響，根據(jù)結(jié)構(gòu)配置因子計(jì)算其共因失效率，并對(duì)獨(dú)立危險(xiǎn)失效進(jìn)行研究。本文方法不僅更接近工業(yè)生產(chǎn)的實(shí)際情況，避免了對(duì)安全儀表系統(tǒng)功能安全水平的估計(jì)過于樂觀或保守，也大大簡化了計(jì)算，使安全儀表系統(tǒng)結(jié)構(gòu)的配置更加方便。

［1］ 靳江紅，吳宗之，趙壽堂，等.安全儀表系統(tǒng)的功能安全國內(nèi)外發(fā)展綜述［J］.化工自動(dòng)化及儀表，2010，37（5）：1-5.

［2］ KNEGTERING B，BROMBACHER A.Application of micro Markov models for quantitative safety assessment to determine safety integrity levels as defined by the IEC 61508 standard for functional safety［J］.Reliability Engineering and System Safety，1999，66（2）：171-175.

［3］ ZHANG Tieling，LONG Wei，SATO Y.Availability of systems with self-diagnostic components-applying Markov model to IEC 61508-6［J］.Reliability Engineering and System Safety，2003，80（2）：133-141.

［4］ 郭海濤，陽憲惠.安全系統(tǒng)的安全完整性水平及其選擇［J］.化工自動(dòng)化及儀表，2006，33（2）：71-75.

［5］ 楊栩楠.功能安全與微控制器自診斷技術(shù)的研究［D］.北京：北京交通大學(xué)，2010.

［6］ HOKSTAD P，MARIA A，TOMIS P.Estimation of common cause factors from systems with different number of channels ［J］.IEEE Transactions on Reliability，2006，55（1）：18-25.

［7］ HOKSTAD P，CORNELIUSSEN K.Loss of safety assessment and the IEC61508 standard［J］.Reliability Engineering and System Safety，2004，83（1）：111-120.

［8］ SHU Yidan，ZHAO Jinsong.A simplified Markov-based approach for safety integrity level verification［J］.Journal of Loss Prevention in the Process Industries，2014，29：262-266.

［9］ 李紅，趙建平.故障樹法在大型冗余結(jié)構(gòu)失效率計(jì)算中的應(yīng)用［J］.儀表技術(shù)與傳感器，2012（12）：86-88.

［10］ GUO Haitao，YANG Xianhui.Automatic creation of Markov models for reliability assessment of safety instrumented systems［J］.Reliability Engineering and System Safety，2008，93（6），807-815.

［11］ 張亨.化工裝置安全儀表系統(tǒng)功能安全評(píng)估體系的研究與應(yīng)用［D］.上海：華東理工大學(xué)，2013.

Quantitative Assessment of Safety Integrity Levels Based on MBF Model

MA Ben， SUN Zi-qiang
（Key Laboratory of Advanced Chemical Process Control and Optimization Technology，Ministry of Education，East China University of Science and Technology，Shanghai 200237，China）

This paper introduces the safety integrity level verification and analyzes the dangerous failure factors of the considered system.By using MBF parameter model，this paper quantitatively calculates the probability of common cause failure of the system.Moreover，the impact of independent failure probability for the safety instrument system is analyzed.Finally，the application example shows that the proposed method is not only closer to the actual redundant structure of safety instrument system in the industrial production，but also greatly simplifies the calculation and deals with the shortcoming of Markov model with complicated calculating procedure.

safety integrity levels；MBF parameter model；Markov model；common cause failure

TP277

A

1006-3080（2016）01-0097-07 DOI：10.14135/j.cnki.1006-3080.2016.01.016

2015-04-21

上海市重點(diǎn)學(xué)科建設(shè)基金（B504）

馬 奔（1992-），男，碩士生，研究方向?yàn)閮x表功能安全技術(shù)。E-mail：970422373@qq.com

孫自強(qiáng)，E-mail：sunziqiang@ecust.edu.cn