面向系统状态监控与故障诊断的安全评估方法

陈 浩 荣 冈 冯毅萍

(浙江大学智能系统与控制研究所工业控制技术国家重点实验室，杭州 310027)

石油化工过程等典型流程工业的安全评估工作越来越受到人们的重视。传统的安全评估方法多是从预防事故发生的角度针对研究对象的抗意外能力展开评价，重点关注设备或系统保持稳定安全运行的能力。如道化学评价法、蒙德法、日本劳动省六阶段法都是根据生产工艺和生产装置的经验数据构建评价体系，定义指标和安全等级[1～3]。故障树分析(FTA)、事件树分析(ETA)和危险与可操作性分析(HAZOP)的出现使得评估问题的思路转向分析可能引起故障的事件[4～6]，保护层分析法(LOPA)是HAZOP方法的延伸，将安全评估分类为不同的层次[7]。虽然它们有涉及一部分系统状态监控和故障诊断能力方面的评估，但是并没有将其作为重点给出具体全面的评估流程。

针对系统展开状态监测与故障诊断的研究方法主要包括基于机理数学模型的方法、基于专家知识系统的方法和基于离散事件系统(DEVS)模型的方法。实际应用中，很难得到准确的数学模型，专家系统需要依靠充足的专家知识，前两种方法对设备的依赖性强，通用性差。离散事件系统模型方法不需要对系统模型有深入的了解，表达简单，适用广泛，在研究系统整体状态监测和故障诊断能力时较为方便。

1 背景知识①

有限状态自动机(FSM)模型是一种非常方便形象的DEVS描述工具。可以将系统描述为G=(X，Σ，δ，x0)，其中X是系统状态空间的集合，Σ是事件的集合，δ是系统状态转移的变迁，x0是系统的初始状态。Sampath M指出G模型经过P(s)运算得到模型G′=(X0,Σo，δG′,x0)，其中Σo是可观测事件集，δG′是各个状态之间的可观测事件[8]。G′模型经过LP(x,l,s)、R(q,δ)、LC(q)运算可以得到诊断器模型Gd=(Qd,Σo,δd,q0)，其中Qd是诊断器中包含由状态和故障图标组成的待诊断状态集，q0是初始待诊断状态，δd是连接待诊断状态之间的可观测事件。系统是可诊断的，当且仅当系统的诊断器模型中不含有二义性状态的循环或模糊状态，模糊状态和二义性循环的定义分别作如下说明。

模糊状态。诊断器中存在模糊状态A，即∃s1、s2∈L,∃i∈Πf使得Σfi∈s1、Σfi∉s2,且P(s1)=P(s2),δd[q0,P(s1)]=q,δ(x0,s1)=δ(x0,s2)。

二义性循环。诊断器中存在二义性循环，即状态q1，q2，…，qn满足如下条件：

a.δd[ql,δl]=ql+1，其中l=1,…,n-1；δd[qn,δn]=q1，其中δl∈Σo，l=1,…,n。

和

2 系统的DEVS描述

系统的运转过程就是各个参数(液位、温度、压力及位置等)不断变化的过程。为了有效地描述系统的运转，需要在系统可以测量的各个参数中进行选择，形成合适的参数集来描述系统的状态，每一种参数组合就是系统的一个状态x，所有的参数组合即为状态集X。对于单个储油罐，选择储油罐的液位作为参数，该系统不涉及参数的组合，包括储油罐满载、半载和空载3个状态。事件是描述系统由一个状态向另一个状态的转化过程，其表现形式是系统部分参数在事件发生前、后的变化。定义油罐收油δ1和付油δ2两个事件后，系统的状态转移DEVS图如图1所示。

图1 单个储油罐系统状态转移DEVS描述

实际设计中，传感器的布置要受到维持系统正常运转及经济投入等的约束，通常并不能采集到需要的全部参数的变化情况。因此将事件分为可观测事件集合Σo和不可观测事件集合Σu。不可观测事件又分为完全不可观测事件和部分不可观测事件。故障事件集合Σf属于不可观测事件，可以分为若干类别，即Σf=Σf1∪…∪Σfm。为了更好地阐述上述内容现举例如图2所示，该FSM模型描述系统中有18个状态，事件δ1～δ7为可观测事件，δu为不可观测事件中的正常事件，δf1～δf4为故障事件。

图2 FSM模型描述系统图例

3 评估方法

3.1 系统的监控与诊断能力

Sampath M提出系统可诊断和可检测当且仅当系统不存在二义性循环和模糊状态。但是在实际生产中，一方面要考虑故障的可诊断性；另一方面理论上的可观测事件并不是都能得到的，往往还会由于传感器设置不足导致缺少关键的可观测件而出现系统不能被诊断的情况，为此从结合实际出发，补充如下定义:

a. 诊断器Gd中存在二义性循环，系统是不可检测和诊断的。

b. 诊断器Gd中存在模糊状态，系统可能是可检测的，一定是不可诊断的，具体为诊断器Gd中存在A图标；FSM模型中∃s1、s2∈L,P(s1)=P(s2),δd[q0,P(s1)]=q,δ(x0,s1)=δ(x0,s2)。∃i∈Πf使得Σfi∈s1、Σfi∉s2或∃i、j∈Π使得Σfi∈s1、Σfi∉s2、Σfj∉s1、Σfj∈s2。

c. 诊断器Gd中存在不确定状态，系统可能是可检测的，一定是不可诊断的，具体为诊断器Gd中∃(x,l)、(y,l′)∈q,q∈Qd，使得Fi∈l、Fi∉l′，且∀δd[q,P(s)]=q′可得P(s)=φ；FSM模型中∃s1、s2∈L，P(s1)=P(s2)，δd[q0,P(s1)]=q，δ(x0,s1)≠δ(x0,s2)。∀t1=L/s1，∀t2=L/s2，P(t1)=P(t2)=φ。∃i∈Πf使得Σfi∈s1、Σfi∉s2或∃i、j∈Π使得Σfi∈s1、Σfi∉s2、Σfj∉s1、Σfj∈s2。

d. 诊断器Gd中存在隐藏故障，系统是不可检测和诊断的，具体为诊断器Gd中∀q∈Qd，Fi∉q；FSM模型中∃i∈Πf，∀s∈ψ(Σfi)，∀t=L/s，满足P(t)=φ。

图2的FSM模型就是结合实际情况的一个典型例子，针对其构建出的诊断器Gd模型如图3所示。故障δf1不能被准确诊断是因为存在二义性状态循环δ2-δ3-δ4-δ2,循环往复进行使得无法监测和诊断故障δf1。δf2不能被诊断是因为没有对其影响的变量进行检测而继续进行常规操作，即缺少可观测事件序列。δf3不能被诊断的原因与δf2的情况类似，区别在于发生故障后没有后续操作需要进行。δf4不能被诊断是由于存在模糊状态，即不能确定观测状态是由哪条事件序列得到。存在模糊状态的情况又可细分为两条并行的支路上一个存在故障、一个不存在故障和存在两种故障的情况。

图3 系统的故障诊断器Gd模型

3.2 评估流程

由3.1节可知，系统的诊断能力不足是由于系统的诊断器模型Gd中的4种局部结构导致的(表1)。系统监控能力与诊断能力的差别在于诊断器中模糊状态和不确定状态两种局部结构中正常与故障之间不易辨别。因此，可计算系统故障可检测率、可诊断率和二者间的关系来定量进行安全评估工作，其计算式分别为：

100%

100%

其中N为诊断器中故障类别总数。

表1 诊断器局部结构与监测诊断能力

总结系统状态监控与故障诊断能力评估流程：

a. 明确评价对象，构建系统FSM状态转移模型；

b. 梳理系统故障集，将其加入FSM状态转移模型；

c. 根据FSM状态转移模型构建系统诊断器Gd模型；

d. 根据系统诊断器Gd模型和相应定义，计算模型中4种结构相应的数目；

e. 计算故障可检测率、故障可诊断率和故障模糊率的数值；

f. 对系统设计优化给出建议。

3.3 评估意义

对系统进行状态监控和故障诊断能力评价的目的是发现系统的不足并给出优化设备配置的建议。显然当故障检测率和故障诊断率不为100%时，系统在状态监控和故障诊断方面是存在一定风险的，为了提高系统的抗风险能力，需要将两个指标尽可能地提升，而且需要将故障模糊率尽可能提升为1。

增加系统状态监控和故障诊断能力在诊断器Gd中的表现是将系统的FSM模型结构改进，在系统模型中消除4种典型的不可诊断的局部结构。针对二义性循环，可以采用增加操作等方式打破循环。针对其他情况，系统运转的实际过程是客观不变的，诊断器结构的改变是由于传感器的设置等使得系统可检测变量决定的系统可观测序列在改变，可以通过改变系统变量的检测设置从而增加或减少系统的可观测序列来达到优化诊断器结构的目的。

4 油罐区典型流程案例

图4是石化企业油品罐区调度中一个典型的流程，其中包括3个储油罐T1、T2、T3，6个电信号阀门V1,…，V6，13条管线P1,…,P13，1个电信号控制的选择阀门Vs，电信号为正时Vs接通管道P5，电信号为负时Vs接通管道P6。储油罐T1的容积大致是储油罐T2与T3的两倍，储油罐T1收油至高液位，然后分别将油品付入储油罐T2与T3中。储油罐收油、付油的操作不能同时进行，且收油后需静止足够时间再进行付油操作。

图4 石化企业罐区调度典型流程

现对该流程进行系统状态监测和故障诊断能力的评估，评估过程如下：

a. 构建如图5所示的FSM状态转移模型，具体含义见表2、3。

b. 梳理常见故障集Σf见表4，加入故障集的FSM模型各分支如图6所示(其中δf5、δf6与δf2类似，其在FSM模型中的分支图省去)。其中δ7表示T1付油事件不成功，δ8表示T1付油、T2收油事件不成功。

c. 构建诊断器Gd模型，故障在Gd模型中的分支如图7所示。

d. 分析诊断器Gd局部结构，其中δf1、δf3可以被检测和诊断；δf2、δf5、δf6会导致二义性循环，不一定可以被检测和诊断；δf4和δf7在Gd中会产生支路均含有故障的模糊状态，可以被检测，不能被诊断；δf8发生后，无可观测事件，不可被检测和诊断。综上，N1=3，N2=2，N3=0，N4=0，N5=0，N6=1。

e. 计算指标，最终评估结果见表5。

f. 对系统优化设计给出建议。系统中存在3个二义性循环、一个两故障之间的模糊状态和一个没有观测序列的故障。针对二义性循环，需要增加必要的操作步骤使系统跳出循环，如针对故障δf2的循环2-3-12-13-14-2和2-3-5-6-9-2的可观测序列相同，此时若跳出循环则可以通过事件δ8来判断是否发生了故障δf2。针对故障δf4和故障δf7构成的模糊状态22A，虽然可以判断出系统发生了故障，但由于两个故障发生后的可观测事件都只有一个δ2，需要增加可观测事件来诊断究竟发生了哪个故障，如增加检测管线P3中是否有油体，检测阀门V1的状态等。故障δf8发生后无可观测序列反映相应的变化，因此需要检测δf8影响的系统变量以便进行监控和诊断，如检测管线P12中是否有油体。

图5 石化企业罐区局部FSM模型

上述评估过程中，计算指标的算式如下：

表2 罐区FSM模型状态中液位分布

表3 罐区FSM模型事件含义

表4 罐区故障集

图6 加入故障集的FSM模型分支

表5 油罐区典型流程案例评估结果

图7 故障在Gd模型中的分支

5 结束语

传统的安全评估工作侧重于评估系统避免事故、维持系统稳定正常运行的能力。笔者围绕系统对状态的监控能力和出现故障后及时诊断的能力展开评估工作，在一定程度上完善了安全评估理论。从构造系统诊断器出发，借助系统诊断器的拓扑结构特征，建立了一套评估系统状态监控和故障诊断能力的方法，提出了评估流程，从而可以对系统的优化设计提供一定的建议。以石油罐区的典型流程为例，展示了该评估方法的全部流程和评估意义，证明了方法的有效性。

但是在构造诊断器时，本研究还没有考虑到每个可观测事件的时间特性，也没有从集中式、分散式及分布式等关系的角度建立合理的层次结构，在以后的研究中需要综合考虑这些因素，并建立相应的评价指标，更为合理全面地展开对系统状态监测与故障诊断能力的评估，此外诊断器的构建存在状态爆炸问题，需要在算法上进行优化，以方便评估工作简单易行地展开。