安全儀表系統(tǒng)設計與SIL的計算方法

左信朱春麗

中國石油大學（北京）自動化研究所

2008年11月?北京?自控中心站培訓

目錄

第1章安全儀表系統(tǒng)設計概述.....................................................1

1.1安全性與可用性...........................................................1

1.1.1安全儀表系統(tǒng)的安全性...............................................1

1.1.2安全儀表系統(tǒng)的可用性...............................................1

1.1.3安全性與可用性之間的關(guān)系..........................................2

1.2安全儀表系統(tǒng)的設計目標..................................................2

1.3安全儀表系統(tǒng)的設計原則..................................................2

131基本原則............................................................2

132邏輯設計原則.......................................................3

133回路配置原則.......................................................4

1.4完整的安全儀表回路設計..................................................4

1.5安全儀表系統(tǒng)的設計步驟..................................................5

第2章安全度等級SIL的計算方法..................................................6

2』系統(tǒng)結(jié)構(gòu)介紹.............................................................7

2.1.1lool結(jié)構(gòu)...........................................................7

2.1.2loo2結(jié)構(gòu)...........................................................7

2.1.32oo2結(jié)構(gòu)...........................................................8

2.1.42uu3結(jié)構(gòu)...........................................................8

2.1.5loo2D結(jié)構(gòu)..........................................................8

2.2SIL的可靠性框圖計算方法.................................................9

221lool結(jié)構(gòu)的可靠性框圖...............................................9

2.2.2loo2結(jié)構(gòu)的可靠性框圖.............................................10

2232oo2結(jié)構(gòu)的可靠性框圖..............................................10

2242oo3結(jié)構(gòu)的可靠性框圖..............................................II

2.2.5loo2D結(jié)構(gòu)的可靠性框圖............................................11

226術(shù)語列表...........................................................12

2.3SIL的馬爾可夫模型計算方法..............................................13

231lool結(jié)構(gòu)的馬爾可夫模型............................................13

232loo2結(jié)構(gòu)的馬爾可夫模型............................................14

2332oo2結(jié)構(gòu)的馬爾可夫模型............................................16

2342oo3結(jié)構(gòu)的馬爾可夫模型............................................18

235loolD結(jié)構(gòu)的馬爾可夫模型...........................................20

236loo2D結(jié)構(gòu)的馬爾可夫模型...........................................20

2.3.7術(shù)語列表..........................................................22

2.4SIL的故障樹分析計算方法................................................24

2.4.1lool結(jié)構(gòu)的PFD故障樹..............................................24

242loo2結(jié)構(gòu)的PFD故隙樹..............................................24

2432oo2結(jié)構(gòu)的PFD故障樹..............................................25

2.4.42oo3結(jié)構(gòu)的PFD故障樹.............................................25

2.4.52oo4結(jié)構(gòu)的PFD故障樹.............................................26

246loolD結(jié)構(gòu)的PFD故障樹.............................................26

2.4.7loo2D結(jié)構(gòu)的PFD故障樹.............................................27

2.4.82oo2D結(jié)構(gòu)的PFD故障樹............................................27

2492oo4D結(jié)構(gòu)的PFD故障樹.............................................28

2.4.10術(shù)語列表.........................................................28

第3章計算實例................................................................29

第1章安全儀表系統(tǒng)設計概述

1.1安全性與可用性

1.1.1安全儀表系統(tǒng)的安全性

安全儀表系統(tǒng)的安全性是指任何潛在危險發(fā)生時.，安全儀表系統(tǒng)保證使過程

處于安全狀態(tài)的能力。不同安全儀表系統(tǒng)的安全性是不一樣的，安全儀表系統(tǒng)自

身的故障無法使過程處于安全狀態(tài)的概率越低，則其安全性越高。安全儀表系統(tǒng)

自身的故障有兩種類型。

（1）安全故障

當此類故障發(fā)生時，不管過程有無危險，系統(tǒng)均使過程處于安仝狀態(tài)。此類故障

稱為安全故障。對于按故障安全原則（正常時勵磁、閉合）設計的系統(tǒng)而言，回

路上的任何斷路故障是安全故障。

（2）危險故障

當此類故障存在時，系統(tǒng)即喪失使過程處于安全狀態(tài)的能力。此類故障稱為危險

故障。對于按故障安全原則設計的系統(tǒng)而言，回路上任何可斷開觸點的短路故障

均是危險故障。

換言之，一個系統(tǒng)內(nèi)發(fā)生危險故障的概率越低，則其安全性越高。

1.1.2安全儀表系統(tǒng)的可用性

安全儀表系統(tǒng)的可用性是指系統(tǒng)在冗余配置的條件下，當某一個系統(tǒng)發(fā)生故障

時，冗余系統(tǒng)在保證安全功能的條件下，仍能保證生產(chǎn)過程不中斷的能力。

與可用性比較接近的一個概念是系統(tǒng)的容錯能力。一個系統(tǒng)具有高可用性或高容

錯能力不能以降低安全性作為代價，喪失安全性的可用性是沒有意義的。嚴格地

講，可用性應滿足以下幾個條件。（1）系統(tǒng)是冗余的；（2）系統(tǒng)產(chǎn)生故障時，

不喪失其預先定義的功能；（3）系統(tǒng)產(chǎn)生故障時，不影響正常的工藝過程。

1.1.3安全性與可用性之間的關(guān)系

從某種意義上說，安全性與可用性是矛盾的兩個方面。某些措施會提高安全性，

但會導致可用性的下降，反之亦然。例如，冗余系統(tǒng)采用二取二邏輯，則可用性

提高，安全性下降;若采用二取一邏輯，則相反。采用故障安全原則設計的系統(tǒng)

安全性高，采用非故障安全原則設計的系統(tǒng)可用性好。

安全性與可用性是衡量一個安全儀表系統(tǒng)的重要指標，無論是安全性低、還是可

用性低，都會使損失的概率提高。因此，在設計安全儀表系統(tǒng)時，要兼顧安全性

和可用性。安全性是前提，可用性必須服從安全性;可用性是基礎，沒有高可用

性的安全性是不現(xiàn)實的。

1.2安全儀表系統(tǒng)的設計目標

安全儀表系統(tǒng)設計的目標，首先是要滿足裝置的安全度等級要求，衡量標準在于

它能否達到要求平均故障概率PFDaverage,即要求下的設備失效的可能性°為

了達到裝置的安全度等級，系統(tǒng)必須具有高的安全性。但是，系統(tǒng)的安全性越高,

必然使設備停車次數(shù)越多，維修時間延長，降低了系統(tǒng)的可用性。而在石化等行

業(yè)的現(xiàn)實應用當中，設備停車可能造成重大的經(jīng)濟損失，這就要求系統(tǒng)既具有高

安全性，又具有高可用性。安全儀表系統(tǒng)的設計并不是安全性越高越好，要尋求

的是一種最優(yōu)配置，即在達到安全度等級的前提下，合理配置經(jīng)濟實用的系統(tǒng)。

因此，在設計安全儀表系統(tǒng)時，首先要進行風險分析，確定必要的風險降低指標;

然后確定SIL等級并進行風險分配，以確定安全儀表系統(tǒng)應承擔的風險降低指標;

最后，綜合考慮系統(tǒng)的安全性與可用性，對系統(tǒng)的結(jié)構(gòu)進行合理配置。

1.3安全儀表系統(tǒng)的設計原則

1.3.1基本原則

SIL設計的基本原則之一，是應根據(jù)E/E/PES安全要求規(guī)范進行設計。分析

確定SIL的方法，確定的SIL就是E/E/PES設計時要求實現(xiàn)的安全完整性目標。

SIL設計的基本原則之二，是采取一切必要的技術(shù)與措施保證要求的安全完整

性。為了實現(xiàn)安全完整性，必須同時滿足E/E/PES的隨機安全完整性要求與系統(tǒng)

安全完整性要求，因為隨機失效主要是硬件的隨機失效。因此，分析時，隨機安

全完整性就簡化為硬件安全完整性。故障檢測會影響系統(tǒng)的行為，因此，它與硬

件以及系統(tǒng)的安全完整性都相關(guān)。

1.3.2邏輯設計原則

①可靠性原則

整個系統(tǒng)的可靠性R0(t)是由組成系統(tǒng)的各單元可靠性(RI(t),R2(t),R3

(t)K)的乘積，即

RO(t)=Rl(t)R2(t)R3(t)

任何一個環(huán)節(jié)可靠性的下降都會導致整個系統(tǒng)可靠性的下降。人們通常對于邏輯

控制系統(tǒng)的可靠性十分重視往往忽視檢測元件和執(zhí)行元件的可靠性，使得整套安

全儀表系統(tǒng)可靠性低，達不到降低受控設備風險的要求?？煽啃詻Q定系統(tǒng)的安全

性。

②可用性原則

可用性不影響系統(tǒng)的安全性，但系統(tǒng)的可用性低可能會導致裝置或工廠無法

進行正常的生產(chǎn)。可用性常用下面公式表示。

A=MTBF/(MTBF+MTTR)

式中A---------可用度；

MTBF---------平均故障間隔時間；

MTTR---------平均修復時間。

而對于安全儀表系統(tǒng)對工藝過程的認知過程,還應當重視系統(tǒng)的可用性，正確地

判斷過程事故，盡量減少裝置的非正常停工,減少開、停工造成的經(jīng)濟損失.

③故障安全原則

當安全儀表系統(tǒng)的元件、設備、環(huán)節(jié)或能源發(fā)生故障或失效時，系統(tǒng)設計應當使

工藝過程能夠趨向安全運行或安全狀態(tài)。這就是系統(tǒng)設計的故障安全型原則。能

否實現(xiàn)“故障安全”取決于工藝過程及安全儀表系統(tǒng)的設置。

④過程適應原則

安全儀表系統(tǒng)的設置必須根據(jù)工藝過程的運行規(guī)律,為工藝過程在正常運行前非

正常運行時服務。正常時安全儀表系統(tǒng)不能影響過程運行,在工藝過程發(fā)生危險

情況時安全儀表系統(tǒng)要發(fā)揮作用，保證工藝裝置的安全。這就是系統(tǒng)設計的過程

適應原則。

1.3.3回路配置原則

為保證系統(tǒng)的安全性和可靠性，以下2個原則在回路配置時應當加以注意。

①獨立設置原則

用于SIS和BPCS(基本過程控制系統(tǒng))的信號檢測應各自采用檢測元件。在SIL3

級時，BPCS的控制閥不能用作SIS僅有的最終元件;在SIL1級與2級時可以使

用，但要做安全性檢查。

②中間環(huán)節(jié)最少原則

一個回路中儀表越多可靠性越差，典型情況是本安回路的應用。在石化裝置中，

防爆區(qū)域在0區(qū)的情況很少。因此可盡量采用隔爆型儀表，減少由于安全柵而產(chǎn)

生的故障源，減少誤停車。

1.4完整的安全儀表回路設計

在系統(tǒng)設計選型時，很容易只要求控制器部分的安全性，忽略了現(xiàn)場儀表的安全

要求，實際上安全儀表系統(tǒng)包括了傳感單元、邏輯控制單元和最終執(zhí)行單元，其

故障失效率的計算方法切下：

PFDSYS=PFDs+PFDL+PFDFE

式中：PFDSYS—E/E/PE安全相關(guān)系統(tǒng)的安全功能在要求時的平均失效概率

PFDs-傳感器子系統(tǒng)要求的平均失效概率

PFDL-邏輯子系統(tǒng)要求的平均失效概率

PFDFE—最終元件子系統(tǒng)要求的平均失效概率

子系統(tǒng)結(jié)構(gòu)圖

1.5安全儀表系統(tǒng)的設計步驟

按照安全生命周期的內(nèi)容，一套完整的SIS的設計主要包含以下步驟：

(I)過程系統(tǒng)初步設計，包括系統(tǒng)定義、系統(tǒng)描述和總體目標確認。

(2)執(zhí)行過程系統(tǒng)危險分析和風險評價。

(3)論證采用非安全控制保護方案能否防止識別出的危險或降低風險。

(4)判斷是否需要設計安全控制系統(tǒng)SIS，如果需要則轉(zhuǎn)第(5)步，否則按常規(guī)

控制系統(tǒng)設計。

(5)依據(jù)IEC61508確定對象的安全度等級SIL。

(6)確定安全要求技術(shù)規(guī)范SRSo

(7)完成SIS初步設計并檢驗是否符合SRS。

(8)完成SIS詳細設計。

(9)SIS組裝、授權(quán)、預開車及可行性試驗。

(10)在建立操作和維護規(guī)程的基礎上，完成預開車安全評價。

(11)SIS正式投用,操作、維護及定期進行功能測試。

(12)當原工藝流程被改造或在生產(chǎn)實踐中發(fā)現(xiàn)安全控制系統(tǒng)不完善時，判斷安

全控制系統(tǒng)是否停用或改進。

(13)如果需要改進，則轉(zhuǎn)至第(2)步進入新的過程安全生命周期設計。

停用SIS

完整的SIS設計的步驟

第2章安全度等級SIL的計算方法

SIS系統(tǒng)設計完成之后，其可靠性和安全性的評價標準就是要求時失效概率PFD。

其SIL等級應該通過計算PFDavg來確定。

2.1系統(tǒng)結(jié)構(gòu)介紹

2.1.1lool結(jié)構(gòu)

這種結(jié)構(gòu)包括一個單通道。在這種結(jié)構(gòu)中當產(chǎn)生一次要求時，任何危險失效就會

導致一個安全功能失效。

?---------Channel——《

Diagnostics;

1IEC324/2000

1001物理結(jié)構(gòu)圖

2.1.2loo2結(jié)構(gòu)

此結(jié)構(gòu)由兩個并聯(lián)的通道組成，無論哪一個通道都能處理安全功能。因此如果兩

個通道都存在危險失效，則在要求時某個安全功能失效。假設任何診斷測試僅報

告發(fā)現(xiàn)故障，但并不改變?nèi)魏屋敵鰻顟B(tài)或輸出表決。

loo2物理結(jié)構(gòu)圖

2.1.32oo2結(jié)構(gòu)

此結(jié)構(gòu)由并聯(lián)的兩個通道構(gòu)成，因此，在發(fā)生安全功能之前兩個通道都要求功能。

假設任何診斷測試僅報告發(fā)現(xiàn)故障，并不改變?nèi)魏屋敵鰻顟B(tài)或輸出表決。

2oo2物理結(jié)構(gòu)圖

2.1.42oo3結(jié)構(gòu)

此結(jié)構(gòu)由3個并聯(lián)通道構(gòu)成，其輸出信號具有多數(shù)表決安排，這樣，如果僅其中

一個通道的輸出與其他兩個通道的輸出狀態(tài)不同時，輸出狀態(tài)不會因此而改變。

假設任何診斷測試只報告發(fā)現(xiàn)故障，不改變?nèi)魏屋敵鰻顟B(tài)或者輸出表決。

2oo3物理結(jié)構(gòu)圖

2.1.5loo2D結(jié)構(gòu)

此結(jié)構(gòu)中由并聯(lián)的兩個通道構(gòu)成，正常工作期間，在發(fā)生安全功能前，兩個通道

都要求安全功能。此外，如果任一通道中診斷測試檢測到一個故障，則將采用輸

出表決，因此整個輸出狀態(tài)則按照另一通道給出的輸出狀態(tài)。如果診斷測試在兩

個通道中同時檢測到故障，或者檢測到兩個通道間存在的差異時，輸出則轉(zhuǎn)為安

全狀態(tài)。為了檢測兩個通道間的差異，通過一種與另一通道無關(guān)的方法，無論其

中哪個通道都能確定另一通道的狀態(tài)。

loo2D物理結(jié)構(gòu)圖

SIS系統(tǒng)設計完成之后，其可靠性和安全性的評價標準就是要求時失效暇率

PFDo其SIL等級應該通過計算PFDavg來確定。

2.2SIL的可靠性框圖計算方法

2.2.1lool結(jié)構(gòu)的可靠性框圖

IEC325/2003

lool可靠性框圖

通道的等效平均停止工作時間表示如下：

tCE=+MTTR

己被檢測和未被檢測到的危險失效率如下:

4u=5(l-DC)；.D='DC

此結(jié)構(gòu)在要求時的平均失效概率為：

PFDG=(^DU+4DD)tCE

2.2.2loo2結(jié)構(gòu)的可靠性框圖

IEC327/2OX)

loo2可靠性框圖

系統(tǒng)等效停止工作時間表示如下:

+MTTR+逝MTTP

)

此結(jié)構(gòu)在要求時的平均失效概率為：

PFDG=2(1-￡)/((1一￡)%+(1一綜見D+%XcEtGE+AADMTTR+網(wǎng)u佟+MTTR

2.2.32oo2結(jié)構(gòu)的可靠性框圖

fEC329/2)00

2oo2可靠性框圖

此結(jié)構(gòu)在要求時的平均失效概率為:

PFDG=243

2.2.42oo3結(jié)構(gòu)的可靠性框圖

fEC3232CCC

2oo3可靠性框圖

此結(jié)構(gòu)在要求時的平均失效概率為：

PEDG=6((1-BD)4D+(1-0)%u丫tCEtGE+外為DMTTR+/2+MTTR)

2.2.51002D結(jié)構(gòu)的可靠性框圖

每個通道中被檢測的安全失效率如下：

/=A/2DC

t'cE=[^DU/(T]/2+MTTR)+(4D+幾勖)MTTR]/(&u+4^+)

t'GE=[4u/(T]/3+KTTTR)+(%D++%+/)

loo2D可靠性框圖

此結(jié)構(gòu)在要求時的平均失效概率為：

PFD廣2(1-+((1-￡)/+(1-是XD+/L%'+產(chǎn)D%MTIR+￡/(T]/2+MTTR)

2.2.6術(shù)語列表

縮略語及符號術(shù)吾(單位)

檢驗測試時間間隔(h)

T,

工要求之間的時間間隔

MTTR平均恢復時間（h）

DC診斷覆蓋率（在公式中以一個分數(shù)或者百分比表示）

P具有共同原因的、沒有被檢測到的失效分數(shù)（在公式中用一個分數(shù)

或者百分比表示）

具有共同原囚的、己被診斷則試檢測到的失效分數(shù)（在公式中用一

BD

個分數(shù)或者百分比表示）（假設￡=2*瓦）

A子系統(tǒng)中一個通道的失效率（每小時）

4子系統(tǒng)中通道的危險失效率（每小時），等于0.52（假設50%

的危險失效和50%的安全失效）

檢測到的子系統(tǒng)中通道每小時的危險失效率（它是在子系統(tǒng)通道中

所有檢測到的危險失效率的總和）

未檢測到的子系統(tǒng)中通道每小時的危險失效率（它是在子系統(tǒng)通道

中所有未檢測到的危險失效率的總和）

子系統(tǒng)中被檢測到的通道每小時的安全失效率（它是在子系統(tǒng)通道

4D

中所有檢測到的安全失效率的總和）

lool、loo2、2oo2、loo2D、2oo3結(jié)構(gòu)中通道的等效平均停止工作

tcE

時間（h）（它是子系統(tǒng)通道中所有部件的組合關(guān)閉時間）

loo2、2oo3結(jié)構(gòu)中表決組的等效平均停止工作時間（h）（它是表

IGE

決組中所有部件的組合關(guān)閉時間）

loo2D結(jié)構(gòu)中通道的等效平均停止工作時間（h）（它是子系統(tǒng)通

t'cE

道中所有部件的組合關(guān)閉時間）

loo2D結(jié)構(gòu)中表決組的等效平均停止工作時間（h）（它是表決組

t，GE

中所有部件的組合關(guān)閉時間）

表決通道組在要求時的平均失效概率（如果傳感器、邏輯或最終元

PFDG

件子系統(tǒng)僅由一個表決組構(gòu)成，則分別等于、或）

PFDCPFDSPFDLPFDFE

2.3SIL的馬爾可夫模型計算方法

2.3.1lool結(jié)構(gòu)的馬爾可夫模型

在1001的馬爾可夫模型中，狀態(tài)。表示沒有失效。從這個狀態(tài)，控制器可達其

他3個狀態(tài)，狀態(tài)1表示安全失效狀態(tài)，控制器發(fā)生失效，其輸出非使能（失電

或開路）。狀態(tài)2表示檢測到的危險失效狀態(tài)，輸出使能而發(fā)生失效，但是失效

被自診斷檢測出可立即進行修復。狀態(tài)3表示發(fā)生了危險失效，但失效沒能被自

診斷發(fā)現(xiàn)。

1OO1結(jié)構(gòu)馬爾可夫模型

lool結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P為

l-(zs+2D)2SD+2SU尸產(chǎn)

〃SD1-4SD0°

No°l-Mo0

0001

計算MTTFS的馬爾可夫狀態(tài)轉(zhuǎn)移圖如下圖所示.

lool結(jié)構(gòu)馬爾可夫模型——MTTFS

相應的Q'矩陣為

Q'=1-(^SD+2SU)

因為N=[I?Q)I,故

1

N=

龍口+產(chǎn)

因為MTTFS是給定起始狀態(tài)矩陣N行元素的和，故

1

MTTFS=

2s0+2SD

2.3.2loo2結(jié)構(gòu)的馬爾可夫模型

系統(tǒng)存在3個能夠執(zhí)行安全功能的狀態(tài)。在狀態(tài)0。兩個通道都正常運行。在狀

態(tài)1和2,一個通道發(fā)生危險使得輸出短路（使能）。系統(tǒng)能夠繼續(xù)正常運行是

因為另一個通道仍然能夠使輸出開路（非使能）。因為狀態(tài)1的危險失效被檢測

到，所以能夠進行在線修復，狀態(tài)1會以修復率4。返回到狀態(tài)0。狀態(tài)3,4,

和5是系統(tǒng)的失效狀態(tài)。在狀態(tài)3,系統(tǒng)發(fā)生安全失效。在狀態(tài)4,系統(tǒng)發(fā)生檢

測到的危險失效。在狀態(tài)5,系統(tǒng)發(fā)生未檢測到的危險失效。共因失效會導致系

統(tǒng)由狀態(tài)0直接到達狀態(tài)4或狀態(tài)5。

假設維修過程會檢查并修復系統(tǒng)的所有失效，狀杰4通過維修會回到狀態(tài)0。否

則，狀態(tài)4必須拆分為兩個狀態(tài)：一個是兩個通道都發(fā)生檢測到的危險失效，另

一個是一個通道發(fā)生檢測到的危險失效，一個通道發(fā)生未檢測到的危險失效。前

者通過維修回到狀態(tài)0,后者通過維修回到狀態(tài)2。

1。。2結(jié)構(gòu)馬爾可夫模型

loo2結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P為

嚴C

2嚴N2乃8產(chǎn)+2A"

1-Z0萬AD0

0龍DD2D,

P=0A

“SD001-〃SD00

Ao0000

000001

其中X表示矩陣元素所在行除該元素外其他元素之和。

相應的Q，矩陣為

2嚴N2ADUN

Q'=I-^-A2o

2D0l-^-A3

SDCSUCSDNSUN

A1=2+2+2Z+22

s

其中A?=A3=z

2332oo2結(jié)構(gòu)的馬爾可夫模型

在狀態(tài)0、1和2系統(tǒng)能夠成功運行。狀態(tài)3,系統(tǒng)發(fā)色和能夠了安全失效，輸

出開路。狀態(tài)4和5,系統(tǒng)發(fā)生檢測到和未檢測到的危險失效。這個馬爾可夫模

型與1002結(jié)構(gòu)的馬爾可夫模型比較可以看出在安全與危險失效上兩者具有部分

對稱性。

2oo2結(jié)構(gòu)馬爾可夫模型

2oo2結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P為

2/SDN2/SUNDDC

25c2+22DDN4DUC+2乃川

"01-Z02s2D0

00「A尤2DD2DU

p=

ASD001-MSD00

〃。000l-〃o0

000001

其中Z表示矩陣元素所在行除該元素外其他元素之和。

相應的Q'矩陣為

Z-Z-Ai22SDN22SUN-

Q'=〃O+%DA2o

乃01-Z-A3

A、=2SC

其中A2=A3

產(chǎn)C+/SUC

2.3.42oo3結(jié)構(gòu)的馬爾可夫模型

系統(tǒng)初始狀態(tài)時全部3個通道的運行狀態(tài)均為正常狀態(tài)。3個通道的4種模式的

失效會導致系統(tǒng)離開初始狀態(tài)。另外，共因失效也需要考慮。對于兩個通道存在

3種組合方式：AB、AC和BC,表示3組共因失效。在狀態(tài)1,一個通道出現(xiàn)

檢測到的安全失效。在狀態(tài)2,一個通道出現(xiàn)未檢測到的安全失效。在狀態(tài)1和

狀態(tài)2,系統(tǒng)降級為loo2結(jié)構(gòu)。在狀態(tài)3,表明一個通道出現(xiàn)檢測到的危險失效。

在狀態(tài)4,一個通道出現(xiàn)未檢測到的危險失效。在狀態(tài)3和狀態(tài)4,系統(tǒng)降級為

2oo2結(jié)構(gòu)。在1、2、3、4各狀態(tài)，系統(tǒng)尚未失效。

在狀態(tài)1和2系統(tǒng)仍處于運行狀態(tài)，正常通道再次出現(xiàn)安全失效將使系統(tǒng)安全失

效,而正常通道出現(xiàn)危險失效將使系統(tǒng)乂降一級。在狀態(tài)3和4,系統(tǒng)運行在2oo2

配置。當出現(xiàn)正常通道的危險失效，系統(tǒng)將會危險失效，而正常通道出現(xiàn)安全失

效也將使系統(tǒng)又降一級。假設系統(tǒng)修理時所有的故障單元會被修復，因此，所有

的修復將使系統(tǒng)回到狀態(tài)0。

3”+3抨.

DDN

SLTN

DUN

6

DDN

SUN

DDN

SUN

DUN

FDD

10

2

003結(jié)構(gòu)馬爾可夫模型

2oo2結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P為

SUN3嚴N3把DC產(chǎn)

i-3產(chǎn)N3/3萬UN00003本3c

2產(chǎn)N乃^DDC%DUC

2w2SC+22SN

Ao1-X00000

2乃UN產(chǎn)c

001-S00002”尤0+2/SN2DUC

產(chǎn)Nsc

〃。001-Z0202ASUN0A產(chǎn)+2/DN0

2/SDN2產(chǎn)ND,

00001-z00Asc2DDC+22DDN之DUC+2A

產(chǎn)D

00，02N04sA0

P二001

*。0000000矛產(chǎn)ADU

0000000尤AD0

000000001-X2s產(chǎn)尸

〃SD00000000i-Z00

Ao0000000001-S0

000000000001

其中z表示矩陣元素所在行除該元素外其他元素之和。

2.3.5loolD結(jié)構(gòu)的馬爾可夫模型

狀態(tài)0代表無效的情況。從狀態(tài)0系統(tǒng)可以到達其他兩個狀態(tài)。狀態(tài)1代表安全

失效，狀態(tài)2代表未檢測到的危險失效。1001D的馬爾可夫模型與1001相議，

不同的是檢測到的危險失效將使系統(tǒng)出現(xiàn)安全失效，造成受控過程的誤停車。

loolD結(jié)構(gòu)馬爾可夫模型

loolD結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P為

SDSUDDDU-

一1一3+/)2+2+2A

P="SD1-〃SD°

001

求解loolD結(jié)構(gòu)系統(tǒng)的MTTFS與lool的相似，這是因為loolD體系結(jié)構(gòu)僅僅

將檢測到的危險失效轉(zhuǎn)換為安全失效，它本身并沒有容錯能力，即

MTTFS=01…

2.3.6loo2D結(jié)構(gòu)的馬爾可夫模型

1002D結(jié)構(gòu)的馬爾可夫模型共有4個系統(tǒng)成功運行的狀態(tài)。狀態(tài)1代表發(fā)生了一

個檢測到的安全失效或檢測到的危險失效。當一個危險失效被檢測出時，診斷開

關(guān)斷開，輸出非使能，因此，兩種失效的結(jié)果是相同的。另一個系統(tǒng)成功狀態(tài)2

代表某一控制器出現(xiàn)了未檢測到的危險失效。系統(tǒng)仍然繼續(xù)正常運行是因為另一

個單元仍能夠檢測到該失效，使得系統(tǒng)停車。在第三個降級的系統(tǒng)成功狀態(tài)3,

系統(tǒng)某一單元出現(xiàn)未檢測到的安全失效后，系統(tǒng)輸出仍可由另一正常單元控制。

在狀態(tài)1,系統(tǒng)降級到loolD結(jié)構(gòu)。后續(xù)的安全失效或檢測到的危險失效會導致

系統(tǒng)發(fā)生安全失效；后續(xù)的未檢測到的危險失效將使系統(tǒng)發(fā)生危險失效。系統(tǒng)在

失效狀態(tài)5時，一個單元發(fā)生檢測到的失效，另一個單元發(fā)生未檢測到的失效。

在檢測到的失效發(fā)出維修請求后，所有的單元都要進行檢驗測試，因此從狀態(tài)5

到狀態(tài)0存在一個維修的狀態(tài)轉(zhuǎn)移。

在狀態(tài)2,一個單元發(fā)生在未檢測到的危險失效。由于系統(tǒng)仍能正確響應過程

危險，因此仍能正常運行。在這個狀態(tài)下，任何剖件的失效都會導致系統(tǒng)發(fā)生危

險失效。例如，一個單元發(fā)生未檢測到的危險失效，另一個單元發(fā)生了檢測到的

安全失效。這時第二個單元因為故障也不能對第一個單元的開關(guān)進行控制，所以

系統(tǒng)被認為發(fā)生危險失效，不會響應過程請求。如果第二個單元發(fā)生檢測到的安

全失效，則系統(tǒng)轉(zhuǎn)到狀態(tài)5。

在狀態(tài)3,一個單元發(fā)生未檢測到的安全失效，系統(tǒng)降級到loolD結(jié)構(gòu)。后續(xù)的

檢測到的安全失效或危險失效都將使系統(tǒng)發(fā)生安全失效。而后續(xù)的未檢測到的危

險失效則會使系統(tǒng)發(fā)生危險故障一使系統(tǒng)轉(zhuǎn)到狀態(tài)6,也就是說兩個單元出現(xiàn)未

檢測到的失效。處于該狀態(tài)的失效只有在進行周期性功能測試時才會被發(fā)現(xiàn)。

loo2D結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P為

2產(chǎn)N48c+%DDC

1-X2ASDN+22DDN22SUN02DUC

/ls+ADD

AoY00ADU0

00002SD+2DD2SU+2DU

p=000i-X才+嚴0產(chǎn)

4SD00000

〃。0000i-E0

0000001

其中表示矩陣元素所在行除該元素外其他元素之和。w

2.3.7術(shù)語列表

I司術(shù)語（單位）

TI檢驗測試時間間隔（h）

TSD系統(tǒng)啟動時間（h）

〃SE系統(tǒng)啟動率MSD=I/TSD(h-i)

MTTR平均恢復時間（h）

Mo維修率31/MTTR(h-i)

功能測試覆蓋率，取值0~1

a

p具有共同原因的、沒有被檢測到的失效分數(shù)（在公式中用一個

分數(shù)或者百分比表示）

具有共同原因的、已被診斷測試檢測到的失效分數(shù)（在公式中

為

用一個分數(shù)或者百分比表示）（假設￡=2x為）

把危險失效率（h-i）

萬安全失效率（h/）

2DD檢測到的危險失效率（h.i）

2DU未檢測到的危險失效率（山）

2SC檢測到的安全失效率（h-i）

儼未檢測到的安全失效率（h.i）

尤DN正常檢測出安全失效率（皿）

矛UN正常未檢測出安全失效率（h」）

丸DDN正常檢測出危險失效率（h.i）

/DUN正常未檢測出危險失效率（h-i）

嚴共因檢測出安全失效率（h-i）

儼c共因未檢測出安全失效率（h」）

產(chǎn)c共因檢測出危險失效率（山）

共因未檢測出危險失效率(h-i)

2.4SIL的故障樹分析計算方法

2.4.1lool結(jié)構(gòu)的PFD故障樹

lool結(jié)構(gòu)的PFD故障樹

PFD3-RT+/*77

J。(人DD*R，+*77即1

1P1F^Davglool-----=%*曾+彳%*77

TI

2.4.2loo2結(jié)構(gòu)的PFD故障樹

1ZdbMifVinr?c汝唔fcrt

Ioo2結(jié)構(gòu)的PFD故障對

PFRx%-TM小*RT+%N*TI)2

fTI,

Joguc*TI+%DDC*RT+(2DDN*RT+入皿*□)15I

1P1FD

y2ygi82TI

=j，DUC*TI+入DDC*RT+(弘*RT)2小RTj*"

J

2.4.32oo2結(jié)構(gòu)的PFD故障樹

PF-=4g*77+2曲*HT+1^DDN*RT+2%四*〃

J：(%g*"+%”*HT+22沖*RT+2%3*TI)dTI

PFDM

0cz~77

=9DUC*TI+2DDC*RT+2即DN*■+九DUN*77

2.4.42oo3結(jié)構(gòu)的PFD故障樹

2oo3結(jié)構(gòu)的PFD故障樹

PF%=%。*"+%”*RT+3(4?*HT+。*TI)2

,._J；[%C*TI+&*RT+3（%W*RT+*TI）2]dTI

PFD吸20o3=—

=9陰*"+%8*.+3（%/曾）2+（心*77）2+3%/氏7*2胡*"

2.4.52oo4結(jié)構(gòu)的PFD故障樹

I2二|

A

MC&D先AI

2oo4結(jié)構(gòu)的PFD故障對

200a門+尢DM*RT+4（冬加'KT+九⑻*'口）3

4g*77+七*KT+4（4郎*RT+4卯*77），陽

PFDsg284

TI

l^DUC*77+2RT+（為「6+（577）3+3（4『R""&聞*打）+3（入：

_Jo

TI

=；%C**+兌*AT+4（0*6+（377）3

燈*（&*功？

4*S'*S+2

2.4.6loolD結(jié)構(gòu)的PFD故障樹

）結(jié)構(gòu)的PFD在

loolD結(jié)構(gòu)的PFD故障樹

f5閃*口)打11

區(qū)---------------=f*TI

P11FjDvglMD

TI2/

2.4.7loo2D結(jié)構(gòu)的PFD故障樹

loo2D結(jié)構(gòu)的PFD故障樹

P%2D=4w*T/+(5T/)2

TI

%9*77+(4"77)2]〃/

」/C*77+%“77)2

PFDiD23、LAJxV，

"TI

2.4.82oo2D結(jié)構(gòu)的PFD故障樹

2oo2D結(jié)構(gòu)的PFD故障樹

^^2oo2D="DUC*7/+24卯*77

「(%RC*T/+243*77)加

尸皿畤2。。2。

TI

2.4.92oo4D結(jié)構(gòu)的PFD