SIS中考虑功能测试的Markov建模分析

Analysis of Markov Modeling Considering Functional Test for SIS

王慧锋　龙　飞

(华东理工大学信息科学与工程学院，上海　200237)

SIS中考虑功能测试的Markov建模分析

Analysis of Markov Modeling Considering Functional Test for SIS

王慧锋龙飞

(华东理工大学信息科学与工程学院，上海200237)

摘要：采用Markov建模方法计算安全完整性水平(SIL)时，为了使计算结果更加精确，对安全仪表系统(SIS)中带诊断电路的系统建模时加入考虑功能测试的条件进行重新建模。利用重建的模型计算出系统在功能测试后的测试时间间隔内的平均要求时失效概率，进而得出SIS的SIL等级，并与未考虑功能测试条件建模的计算结果进行比较。通过分析得出考虑功能测试条件建模时计算得到的结果相对精确，并以化工装置中的加氢装置为例进一步验证了理论研究结果的正确性和适用性。

关键词：安全仪表系统Markov模型功能测试安全完整性等级冗余结构失效率诊断电路

Abstract：For the system with diagnostic circuit in safety instrumented system (SIS), to calculate safety integrity level (SIL) by adopting Markov modeling method, in order to improve the accuracy of calculation, the functional test condition is taken into account for model reconstruction. From the rebuilt model, the PFDavg of the system in the test interval after the functional test is calculated; then come to the SIL of SIS. The calculated result is compared with that by using the method in which the functional test is not taken into account. Through analyzing, it is found that the method proposed obtained more accurate result, and with the hydrogenation unit in chemical industry as example, the correctness and applicability of the result of theoretical research are verified.

Keywords：SISMarkov modelFunctional testSILRedundant structureFailure rateDiagnostic circuit

0引言

在石化装置中，安全仪表系统(safety instrumented system,SIS)已被广泛应用，用来确保生产过程的安全，降低风险[1-2]。为了确保安全仪表系统能够正确地执行其安全功能，满足要求的安全完整性等级(safety integrity level,SIL)，SIS在投入运行前需要对其进行功能安全评估，确定其 SIL等级[3]。为了计算SIL等级， IEC 61508标准中给出了故障树分析[4]、可靠性框图[5]以及Markov建模[6]的定量计算方法，其中，Markov建模方法应用较好[7]。

IEC 61508标准中介绍了几种冗余结构的Markov模型的建模方法[8]。文献[9]在对1oo1D和2oo2D结构的系统建模时还考虑了诊断电路的失效概率，使得模型的全面性和完整性得到进一步提高，但这些模型计算出的平均要求时失效概率(average probability of failure on demand，PFDavg)只是在一个功能测试间隔内的，不能对功能测试[10]期间的失效和修复行为进行定量计算。在实际生产过程中，功能测试是很有必要的。本文在文献[9]的基础上，以 1oo1D和 2oo2D冗余结构的 SIS为例，对带诊断电路的SIS重新建立Markov模型，分析功能测试(本文仅讨论在线功能测试)对SIL等级确定的影响。

1Markov建模方法简介

安全仪表系统中定量计算SIL等级的建模方法所使用的 Markov模型采用状态转移图表示系统的状态变化。系统的状态(可以是正常、失效或者中间状态)用圆圈来表示，系统状态转移用带箭头的一条弧线表示，起点表示转移前系统状态，终点表示转移后系统状态，弧线上方标注的数值代表各个状态之间的转移概率[6](通常用λ表示失效率，μ表示修复率)。Markov模型示例如图1所示。

图1　Markov模型示例

图1所示模型中有两个状态：正常(状态0)和失效(状态1)，状态0可能以失效率λ1转移到状态1，而状态1可以通过修复率μ0恢复到状态0。由 Markov模型可以得到系统的状态方程，对此方程进行求解并根据 IEC 61508中的公式就可以计算出PFDavg。

2考虑功能测试的Markov模型

1oo1D和 2oo2D 是典型的两个带诊断通道的冗余结构，本文将对安全仪表系统中逻辑控制器模块的 1oo1D和 2oo2D结构进行建模分析，表1列出了模型中用到的符号含义，表2为IEC 61508中低要求操作模式下 SIL等级划分表。

表1　模型中的符号含义

表2　安全完整性水平划分表

2.1　1oo1D结构的Markov模型

未考虑功能测试条件下，1oo1D结构加入诊断模块失效率(图中虚线部分)的Markov模型如图2所示。

状态转移矩阵如下所示。

1oo1D结构的PFDavg可以由式(1)计算得到：

PFDavg=S0PTIVD

(1)

图2　1oo1D考虑诊断模块失效率的Markov模型

考虑功能测试条件时，未检测到的危险失效(状态2)就可以通过功能测试发现，并以μ1的修复率(图中虚线部分)恢复到正常状态。考虑功能测试的Markov模型如图3所示，其状态转移矩阵如下所示。

图3　1oo1D考虑功能测试的Markov模型

(2)

2.2　2oo2D结构的Markov模型

同样，可以建立 2oo2D冗余结构加入诊断模块失效率的 Markov模型，如图4所示。其状态转移矩阵如式(3)所示，2oo2D的状态相对复杂，共有9个状态。

图4　2oo2D考虑诊断模块失效率的Markov模型

同理，考虑功能测试的Markov模型如图5所示，其中的虚线表示未检测到的危险失效(状态2、5、7、8)。未检测到的危险失效可以通过功能测试发现并修复(修复率为μ1)，状态转移矩阵如式(4)所示。式(3)和式(4)中Σ表示矩阵中当前行其他元素之和。

图5　2oo2D考虑功能测试的Markov模型

(3)

(4)

3理论分析

考虑功能测试后重新建立的Markov模型在一定程度上会影响到SIL等级的计算结果，利用上述对1oo1D和2oo2D冗余结构建立的模型，以逻辑控制器为研究对象，做计算分析。计算中做以下规定。

① 设备失效率取为：λSD=1.007×10-6、λSU=9.900×10-8、λDD=5.900×10-7、λDU=1.180×10-7、λE=9.4×10-8，共因失效因子β=0.05。

② 仪表故障在线修复时间TD= 8 h,则μ0=1/8=0.125；功能测试周期为1年(8 760 h)，一次无故障停车后装置重启时间为 24 h，则μSD=1/24=0.042。假定功能测试是理想的，即CTI=100%。

③ 一个功能测试周期后，各状态都达到了极限状态概率。

3.1　1oo1D冗余结构计算结果

由式(1)可以求出未考虑功能测试时的平均要求时失效概率:

PFDavg=1.9×10-3

(5)

(6)

3.2　2oo2D冗余结构计算结果

3.3　计算结果分析

与表2对比可以得出，上述两组计算结果中，未考虑功能测试和考虑功能测试条件时计算的结果所对应的SIL等级都为SIL2，但考虑了功能测试之后得到的PFDavg稍微偏大，而未考虑功能测试时计算的结果相对保守，一定程度上会高估SIL等级，影响其精确性。

图6　误差e随u1的变化曲线

从图6可以看出,随着测试覆盖率的不断增大，虽然两者的误差不断减小，但始终保持在0.001 1的范围之内。对照表2可以看出,虽然这个误差对SIL1和SIL2等级的计算影响不大，但对SIL3和SIL4等级的系统将影响其计算结果的精确性。如果高估安全仪表系统的SIL等级，在实际工程应用中对安全仪表系统的投入成本就会相对增加，一定程度上会降低企业的经济效益。因此，SIL等级计算的精确性在实际应用中具有重要意义。

4理论应用

以上是对 1oo1D和 2oo2D结构Markov建模方法计算SIL等级进行的理论分析，为了验证理论分析结果在实际应用中是否具有正确性和适用性，以加氢装置为例，做进一步探讨。对于工况较为复杂的加氢装置必须设置安全仪表系统来保证生产过程的安全[13]，加氢装置的工艺背景和工艺流程在文献[14]中有详细描述，这里不一一赘述，仅以加氢裂化反应器入口温度安全仪表功能为例，对其进行相关安全仪表的SIL等级计算。循环氢加热炉燃气压力安全仪表系统框图如图7所示。

图7　循环氢加热炉燃气压力安全仪表系统框图

在该安全仪表系统中，使用热电偶对加氢裂化反应器入口处温度进行检测，检测到的信号传输到温度变送器，温度变送器将标准的4~20 mA信号输出到报警设置，逻辑控制器根据报警设置输出的开关量信号执行相应的安全联锁逻辑。当检测到反应器入口温度过高时， 逻辑控制器会执行联锁动作来关闭阀门 XCVI-11和 XCVI-16，去长明灯和去主火嘴的燃料气将会被切断，从而熄灭长明灯和火嘴，防止由于温度过高引起反应失控。

同样以逻辑控制器为研究对象做进一步探讨，可以看出图7中逻辑控制器系统结构为 1oo1的冗余结构，下面通过建立Markov模型对其SIL等级进行计算。其未考虑功能测试的Markov模型如图8所示。

图8　1oo1结构的Markov模型

其状态转移矩阵如式(7)所示。

(7)

考虑功能测试的Markov模型如图9所示。

图9　1oo1结构考虑功能测试的Markov模型

其状态转移矩阵如式(8)所示。

(8)

设备的相关失效数据[15]如表3所示。对于逻辑控制器部分，采用前面同样的方法计算，得出未考虑功能测试时PFD1=1.04×10-3;考虑功能测试时的计算结果为PFD2=1.4×10-3。从计算结果可以看出，加氢装置的逻辑控制器模块的SIL等级达到了SIL2。同样，未考虑功能测试时的计算结果相对保守，而考虑了功能测试后的计算结果稍微偏大，相对精确，这和理论分析上的结果保持一致，从而证明了理论分析的正确性。另外,加氢装置逻辑控制器部分是 1oo1的冗余结构，进一步说明了上述理论对其他系统结构同样具有适用性。

表3　相应设备失效率

5结束语

对于1oo1D和2oo2D冗余结构的系统，分别建立未考虑功能测试和考虑功能测试的 Markov模型，并通过对 Markov模型求解，进一步计算出平均要求时失效概率，得出其SIL等级。将考虑功能测试的计算结果与未考虑功能测试时的计算结果进行比较，可以看出考虑功能测试后的计算结果相对精确，能更好地对化工装置中的安全仪表系统进行 SIL等级评估。通过对加氢装置的控制器部分进行 SIL等级计算，进一步验证了本文理论分析结果的正确性和适用性。

参考文献

[1] 张双亮，李庆涛.海洋石油平台安全仪表系统的设计与应用[J].自动化仪表,2011,32(9):83-86.

[2] 龚义文.安全仪表系统在化工装置中的应用[J].自动化仪表,2010,31(12):50-54.

[3] 黄文君，何伟挺，边俊.安全仪表系统的功能安全设计[J].自动化仪表,2010,31(7):75-78.

[4] Dutuit Y,Innal F,Rauzy A,et al.Probabilistic assessments in relationship with safety integrity levels by using Fault Trees[J].Reliability Engineering and System Safety,2008,93(12):1867-1876.

[5] Catelani M,Ciani L,Luongo V.A simplified procedure for the analysis of Safety Instrumented Systems in the process industry application[J].Microelectronics Reliability,2011,51(9-11):1503-1507.

[6] Bukowski J,Goble W.Using Markov models for safety analysis of programmable electronic systems[J].ISA Transaction,1995,34(2):193-198.

[7] Zhang T L,Long W,Sato Y.Availability of systems with self-diagnostic components-applying Markov model to IEC 61508-6[J].Reliability Engineering and System Safety,2003,80(2):133-141.

[8] International Electrotechnical Commission.IEC 61508 Functional safety of electrical/electronic/programmable safety-related system[S].2000.

[9] 王慧锋，张亨，汤陈怀，等.SIS中基于Markov模型的诊断模块失效率分析[J].化工自动化及仪表,2012,40(2):196-199.

[10]Torres-Echeverria A C,Martorell S,Thompson H A.Modelling and optimization of proof testing policies for safety instrumented systems[J].Reliability Engineering and System Safety,2009,94(4):838-854.

[11]阳宪惠，郭海涛.安全仪表系统的功能安全[M].北京：清华大学出版社,2007：90-91.

[12]陈伟，赵建平.功能测试条件下安全仪表系统失效概率预测方法[J].石油化工设备,2012,41(1):80-82.

[13]宋小宁.加氢装置安全仪表系统设计[J].自动化仪表,2008,29(11):64-68.

中图分类号：TH701

文献标志码：A

DOI:10.16086/j.cnki.issn1000-0380.201502015

修改稿收到日期：2014-08-09。

第一作者王慧锋(1969-),女，1992年毕业于华东理工大学生产过程自动化专业，获博士学位，教授；主要从事检测技术及自动化装置的研究。