基于FMEA和MARKOV的安全完整性等级评价方法比较

郁 强 徐建平

(华东理工大学信息科学与工程学院1，上海 200030；上海工业自动化仪表研究院2，上海 200233)

基于FMEA和MARKOV的安全完整性等级评价方法比较

郁 强1徐建平2

(华东理工大学信息科学与工程学院1，上海 200030；上海工业自动化仪表研究院2，上海 200233)

功能安全是工业过程成套设备和系统的一项重要性能指标。在简要介绍目前国内外功能安全评价标准的基础上，从电气/电子/可编程电子系统的安全完整性等级(SIL)评价出发，阐述并比较了FMEA和MARKOV这两种定量的SIL评价方法。综合两者的特点，提出了SIL评价的新方法，即FMEA-MARKOV评价方法。利用FMEA和MARKOV各自的优势，在冗余结构复杂和危险程度较低时，使用FMEA评价方法；在冗余结构简单和危险程度较高时，混合使用FMEA和MARKOV评价方法。新的评价方法对于评定SIL具有重要意义。

功能安全 FMEA MARKOV 安全完整性等级 IEC 61508 IEC 61511

0 引言

随着工业成套设备和系统的大规模应用，特别是在设备招投标将功能安全作为其中的一项重要指标之后，功能安全的评价越发引起人们的关注。功能安全是一个全生命周期的过程，国际上关于功能安全评估的参考标准主要有IEC 61508和IEC 61511。

目前，关于安全完整性等级(safety integrity level,SIL)评价方法主要有定性和定量两种。基于故障模式与影响分析(failure mode and effects analys，FMEA)和MARKOV方法都是定量的评价方法，但二者各有优势。本文通过比较FMEA、MARKOV的SIL评价方法，综合二者的优势，提出了安全完整性等级评价方法的策略(即FMEA-MARKOV评价方法)，为评定SIL提供了参考。

1 标准介绍

功能安全是指与受控设备和系统有关的整体安全组成部分，它取决于电气/电子/可编程电子安全相关系统和外部风险降低措施功能的正确执行[1]。

目前，国外在功能安全评估的过程中主要参考的标准有IEC 61508和IEC 61511。IEC 61508标准即电气/电子/可编程电子安全相关系统的功能安全[1]。IEC 61511标准即过程工业领域安全仪表系统功能安全[2]。国内的功能安全评价则起步相对较晚，其标准主要采用等同翻译的形式参考国际标准，目前国内功能安全评价的标准主要有GB/T 20438和GB/T 21109[3]。

2 安全完整性等级

在规定条件、规定时间内，安全相关系统成功地根据所要求的安全功能概率的大小来划分SIL。根据安全相关系统使用方式、要求产生的频率的不同,分为低要求操作模式和高要求操作模式。在不同操作模式下，SIL的目标失效概率如表1所示。

表1 SIL的目标失效概率Tab.1 The target failure probability of SIL

由表1可知：SIL和失效率成反比关系，高要求操作模式的失效率要远远低于低要求操作模式。

2.1 FMEA评价方法

在电气/电子/可编程电子安全相关系统中，故障模式指元器件失效的相关表现形式，如电路的断路、参数漂移、短路等。故障模式会导致整个系统的逐级影响。因此，按产生危险的严重程度进行影响分析，区分故障程度和失效类型。

常用的失效率符号定义如表2所示。

表2 失效率符号定义Tab.2 Definition of the Failure rate symbol

通过计算失效概率，就可以根据表1查得SIL。元器件的失效模式是通过查阅相关报告和经验结果的集合，不同的器件，其失效模式会有差别[4]。比如普通的电阻器件，其失效模式可以分为断路、短路和参数漂移，其失效百分比分别为80%、10%、10%。不同厂家的元器件气失效百分比可能略有不同，具体可以参考厂家说明书。

为了更好地说明问题，以某隔离式安全栅的FMEA评价为例[3]。某隔离式安全栅的FMEA如表3所示，其失效分类如表4所示。

表3 某隔离式安全栅的FMEATab.3 FMEA of a certain type of isolation safety barrier

表4 某隔离式安全栅的失效分类Tab.4 Failure classification of a certain type of isolation safety barrier

假设其为1oo1的冗余结构，平均故障时间为MTTR=8 h,检验时间为T1=8 760 h,则由FMEA的评价模式可得：

λ=6.456 5×10-7/h

λS=3.398×10-8/h

λD=6.116 7×10-7/h

λDU=1.709 5×10-7/h

λDD=4.407×10-7/h

tCE=(λDU/λD)[(T1/2)+MTTR]+(λDD/λD)×MTTR=1 232.2 h

PFD=λDtCE=7.537×10-4/h

则由FMEA方法,得其在低要求模式下，SIL=3。

2.2 MARKOV评价方法

MARKOV模型是将系统归于不同的若干状态，每个状态会以某种概率转移到其他状态，具有无记忆的性质[5]。以1oo1系统为例，1oo1的状态转移图如图1所示。

图1 1oo1状态转移图

Fig.1 State transition diagram of 1oo1

则可得其状态转移矩阵:

假设系统的初始的工作状态是正常的，则n维初始状态向量为S0=[10…0],其中n为系统状态个数。假设第(n-1)个状态为检测到的危险失效，第n个状态为未检测到的危险失效，则n维危险失效向量为：

VD=[0 0 0…1 1]T

则可得功能测试周期内，PFDi=S0PiVD,i=1,2,...,Ti。

为了更好地说明问题，仍然以FMEA评价方法中的某隔离式安全栅为例，通过MATLAB仿真，可以动态观察到隔离安全栅的PFD变化。基于MARKOV进行评价方法的某隔离式安全栅PFD变化示意图如图2所示。

图2 基于MARKOV评价方法的PFD变化示意图

Fig.2 Schematic diagram of the PFD variation based

on MARKOV evaluation method

从图2可以看出，MARKOV评价方法所评价的SIL是动态变化的。初始状态时SIL达到了4，随着时间的推移，失效概率越来越大，其SIL随之降低，安全危险失效概率也越来越大。

2.3 FMEA和MARKOV评价方法的比较

FMEA和MARKOV评价方法都是SIL的定量评价方法。二者都是基于设备或系统的故障模式和影响

所进行的分析。相较于FMEA方法，MARKOV方法是一种多目标和动态的评价方法。在实际评价的过程中，往往较多使用FMEA评价方法。但是在一些高危险情况复杂的情况下，使用MARKOV评价方法则可以提前发现SIL发生改变的时间。相较于FMEA，MARKOV更为严格，但是随着冗余结构的增加和计算程度的复杂，MARKOV的应用也就受到了限制。

本文在此基础上提出了关于SIL评价方法的新策略：即FMEA-MARKOV评价方法。该方法的核心思想就是利用FMEA和MARKOV各自评价方法的优势，在冗余结构较复杂和危险程度低时使用FMEA评价方法。对于冗余结构简单和危险程度较高情况可以混合使用FMEA和MARKOV评价方法。该方法可以为实际检测设备和系统的SIL发生改变提供诊断时间的参考。

3 结束语

本文主要从电气/电子/可编程电子系统的评价出发，介绍了定量评价SIL的FMEA和MARKOV评价方法，并介绍了其各自的优劣势。在此基础上,提出了关于SIL评价的新策略即FMEA-MARKOV评价方法。目前，已有MARKOV的计算软件[6]，但是由于冗余结构的复杂化和多目标求值的特点，为了在实际应用中能够更好地运用，应尽快开发关于FMEA-MARKOV评价的软件。

[1] IEC commission. Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 0: Functional safety and IEC 61508[S].IEC 61508,2005.

[2] IEC commission. Functional safety-safety instrumented systems for the process industry sector[S].IEC 61511,2003.

[3] 刘建侯.功能安全技术基础[M].北京：机械工业出版社，2008.

[4] 张艾森.智能压力变送器功能安全评估与测试[D].上海：华东理工大学，2013.

[5] 郭海涛，阳宪惠.安全系统定量可靠性评估的Markov模型[J].清华大学学报(自然科学版)，2008,48(1):4.

[6] 吴宁宁.基于Markov模型的安全仪表系统可靠性建模方法研究[D].杭州：浙江大学，2010.

Comparison of the Evaluation Methods for Safety Integrity Level Respectively Based on FMEA and MARKOV

Functional safety is an important performance index of industrial process equipment and systems. On the basis of brief introduction of the functional safety assessment standards at home and abroad, two kinds of the quantitative methods, i.e., FMEA and MARKOV, for evaluating the safety integrity level are expounded and compared from the safety integrity level evaluation of the electrical/electronic/programmable electronic systems. By integrating the characteristics of the two, the new method namely FMEA-MARKOV is proposed. The advantages of both FMEA and MARKOV are adopted, when the redundant structure is complex and low degree of risk, the FMEA method is used; while when the redundant structure is simple and high degree of risk, then the mixed method of FMEA and MARKOV is used. The method is of great significance for the assessment of safety integrity levels.

Functional safety FMEA MARKOV SIL IEC 61508 IEC 61511

郁强(1989—)，男，2015年毕业于华东理工大学控制理论与控制工程专业，获硕士学位；主要从事功能安全、防爆等方向的研究。

TH-3；TP202

A

10.16086/j.cnki.issn 1000-0380.201612008

修改稿收到日期：2016-05-31。