1、.安全儀表系統(tǒng)設計與SIL 的計算方法左信朱春麗中國石油大學（北京）自動化研究所2008 年 11 月 ?北京 ?自控中心站培訓.目錄第 1 章 安全儀表系統(tǒng)設計概述 .11.1安全性與可用性 .11.1.1安全儀表系統(tǒng)的安全性 .11.1.2安全儀表系統(tǒng)的可用性 .11.1.3安全性與可用性之間的關(guān)系 .21.2安全儀表系統(tǒng)的設計目標 .21.3安全儀表系統(tǒng)的設計原則 .21.3.1基本原則 .21.3.2邏輯設計原則 .31.3.3回路配置原則 .41.4完整的安全儀表回路設計 .41.5安全儀表系統(tǒng)的設計步驟 .5第 2 章安全度等級 SIL 的計算方法 .62.1系統(tǒng)結(jié)構(gòu)介紹 .72.

2、1.11oo1 結(jié)構(gòu) .72.1.21oo2 結(jié)構(gòu) .72.1.32oo2 結(jié)構(gòu) .82.1.42oo3 結(jié)構(gòu) .82.1.51oo2D 結(jié)構(gòu) .82.2SIL 的可靠性框圖計算方法 .92.2.11oo1 結(jié)構(gòu)的可靠性框圖 .92.2.21oo2 結(jié)構(gòu)的可靠性框圖 .102.2.32oo2 結(jié)構(gòu)的可靠性框圖 .102.2.42oo3 結(jié)構(gòu)的可靠性框圖 .112.2.51oo2D 結(jié)構(gòu)的可靠性框圖 .112.2.6 術(shù)語列表 .122.3SIL 的馬爾可夫模型計算方法 .132.3.11oo1 結(jié)構(gòu)的馬爾可夫模型 .13.2.3.2 1oo2 結(jié)構(gòu)的馬爾可夫模型142.3.3 2oo2 結(jié)構(gòu)的

3、馬爾可夫模型162.3.4 2oo3 結(jié)構(gòu)的馬爾可夫模型182.3.5 1oo1D 結(jié)構(gòu)的馬爾可夫模型202.3.6 1oo2D 結(jié)構(gòu)的馬爾可夫模型202.3.7 術(shù)語列表222.4 SIL 的故障樹分析計算方法242.4.1 1oo1 結(jié)構(gòu)的 PFD 故障樹242.4.2 1oo2 結(jié)構(gòu)的 PFD 故障樹242.4.3 2oo2 結(jié)構(gòu)的 PFD 故障樹252.4.4 2oo3 結(jié)構(gòu)的 PFD 故障樹252.4.5 2oo4 結(jié)構(gòu)的 PFD 故障樹262.4.6 1oo1D 結(jié)構(gòu)的 PFD 故障樹262.4.7 1oo2D 結(jié)構(gòu)的 PFD 故障樹272.4.8 2oo2D 結(jié)構(gòu)的 PFD 故障

4、樹272.4.9 2oo4D 結(jié)構(gòu)的 PFD 故障樹282.4.10 術(shù)語列表28第 3 章 計算實例29.第 1 章 安全儀表系統(tǒng)設計概述1.1 安全性與可用性1.1.1 安全儀表系統(tǒng)的安全性安全儀表系統(tǒng)的安全性是指任何潛在危險發(fā)生時， 安全儀表系統(tǒng)保證使過程處于安全狀態(tài)的能力。 不同安全儀表系統(tǒng)的安全性是不一樣的， 安全儀表系統(tǒng)自身的故障無法使過程處于安全狀態(tài)的概率越低， 則其安全性越高。 安全儀表系統(tǒng)自身的故障有兩種類型。（1）安全故障當此類故障發(fā)生時，不管過程有無危險，系統(tǒng)均使過程處于安全狀態(tài)。此類故障稱為安全故障。對于按故障安全原則 (正常時勵磁、閉合 ) 設計的系統(tǒng)而言，回路上的任

5、何斷路故障是安全故障。（2）危險故障當此類故障存在時，系統(tǒng)即喪失使過程處于安全狀態(tài)的能力。此類故障稱為危險故障。對于按故障安全原則設計的系統(tǒng)而言， 回路上任何可斷開觸點的短路故障均是危險故障。換言之，一個系統(tǒng)內(nèi)發(fā)生危險故障的概率越低，則其安全性越高。1.1.2 安全儀表系統(tǒng)的可用性安全儀表系統(tǒng)的可用性是指系統(tǒng)在冗余配置的條件下，當某一個系統(tǒng)發(fā)生故障時，冗余系統(tǒng)在保證安全功能的條件下，仍能保證生產(chǎn)過程不中斷的能力。與可用性比較接近的一個概念是系統(tǒng)的容錯能力。一個系統(tǒng)具有高可用性或高容錯能力不能以降低安全性作為代價，喪失安全性的可用性是沒有意義的。嚴格地講，可用性應滿足以下幾個條件。 （1）系統(tǒng)是

6、冗余的 ;（2）系統(tǒng)產(chǎn)生故障時，不喪失其預先定義的功能; （3）系統(tǒng)產(chǎn)生故障時，不影響正常的工藝過程。.1.1.3 安全性與可用性之間的關(guān)系從某種意義上說， 安全性與可用性是矛盾的兩個方面。某些措施會提高安全性，但會導致可用性的下降，反之亦然。例如，冗余系統(tǒng)采用二取二邏輯，則可用性提高，安全性下降;若采用二取一邏輯，則相反。采用故障安全原則設計的系統(tǒng)安全性高，采用非故障安全原則設計的系統(tǒng)可用性好。安全性與可用性是衡量一個安全儀表系統(tǒng)的重要指標，無論是安全性低、 還是可用性低，都會使損失的概率提高。因此，在設計安全儀表系統(tǒng)時，要兼顧安全性和可用性。安全性是前提，可用性必須服從安全性;可用性是基礎(chǔ)

7、，沒有高可用性的安全性是不現(xiàn)實的。1.2 安全儀表系統(tǒng)的設計目標安全儀表系統(tǒng)設計的目標， 首先是要滿足裝置的安全度等級要求， 衡量標準在于它能否達到要求平均故障概率 PFDaverage，即要求下的設備失效的可能性。為了達到裝置的安全度等級， 系統(tǒng)必須具有高的安全性。 但是，系統(tǒng)的安全性越高，必然使設備停車次數(shù)越多，維修時間延長，降低了系統(tǒng)的可用性。而在石化等行業(yè)的現(xiàn)實應用當中， 設備停車可能造成重大的經(jīng)濟損失， 這就要求系統(tǒng)既具有高安全性， 又具有高可用性。 安全儀表系統(tǒng)的設計并不是安全性越高越好， 要尋求的是一種最優(yōu)配置， 即在達到安全度等級的前提下， 合理配置經(jīng)濟實用的系統(tǒng)。因此，在設計

8、安全儀表系統(tǒng)時， 首先要進行風險分析， 確定必要的風險降低指標 ;然后確定 SIL 等級并進行風險分配，以確定安全儀表系統(tǒng)應承擔的風險降低指標 ;最后，綜合考慮系統(tǒng)的安全性與可用性，對系統(tǒng)的結(jié)構(gòu)進行合理配置。1.3 安全儀表系統(tǒng)的設計原則1.3.1 基本原則SIL設計的基本原則之一， 是應根據(jù) E/E/PES安全要求規(guī)范進行設計。 分析確定 SIL的方法，確定的 SIL 就是 E/E/PES設計時要求實現(xiàn)的安全完整性目標。.SIL設計的基本原則之二，是采取一切必要的技術(shù)與措施保證要求的安全完整性。為了實現(xiàn)安全完整性，必須同時滿足E/E/PES的隨機安全完整性要求與系統(tǒng)安全完整性要求，因為隨機失

9、效主要是硬件的隨機失效。因此，分析時，隨機安全完整性就簡化為硬件安全完整性。故障檢測會影響系統(tǒng)的行為，因此，它與硬件以及系統(tǒng)的安全完整性都相關(guān)。1.3.2 邏輯設計原則可靠性原則整個系統(tǒng)的可靠性R0 ( t)是由組成系統(tǒng)的各單元可靠性( R1 ( t) , R2 ( t) ,R3 ( t) 的乘積 ,即R0 ( t) = R1 ( t) R2 ( t) R3 ( t)任何一個環(huán)節(jié)可靠性的下降都會導致整個系統(tǒng)可靠性的下降。人們通常對于邏輯控制系統(tǒng)的可靠性十分重視,往往忽視檢測元件和執(zhí)行元件的可靠性,使得整套安全儀表系統(tǒng)可靠性低,達不到降低受控設備風險的要求。可靠性決定系統(tǒng)的安全性?？捎眯栽瓌t可用

10、性不影響系統(tǒng)的安全性,但系統(tǒng)的可用性低可能會導致裝置或工廠無法進行正常的生產(chǎn)?？捎眯猿Ｓ孟旅婀奖硎尽 = M TB F/ ( M TB F + M T TR)式中A 可用度 ;MTBF 平均故障間隔時間;MTTR 平均修復時間。而對于安全儀表系統(tǒng)對工藝過程的認知過程,還應當重視系統(tǒng)的可用性，正確地判斷過程事故 ,盡量減少裝置的非正常停工,減少開、停工造成的經(jīng)濟損失。故障安全原則當安全儀表系統(tǒng)的元件、設備、環(huán)節(jié)或能源發(fā)生故障或失效時,系統(tǒng)設計應當使工藝過程能夠趨向安全運行或安全狀態(tài)。這就是系統(tǒng)設計的故障安全型原則。能否實現(xiàn)“故障安全”取決于工藝過程及安全儀表系統(tǒng)的設置。過程適應原則.安全儀表

11、系統(tǒng)的設置必須根據(jù)工藝過程的運行規(guī)律,為工藝過程在正常運行和非正常運行時服務。正常時安全儀表系統(tǒng)不能影響過程運行,在工藝過程發(fā)生危險情況時安全儀表系統(tǒng)要發(fā)揮作用,保證工藝裝置的安全。這就是系統(tǒng)設計的過程適應原則。1.3.3 回路配置原則為保證系統(tǒng)的安全性和可靠性，以下2 個原則在回路配置時應當加以注意。獨立設置原則用于 SIS 和 BPCS(基本過程控制系統(tǒng) )的信號檢測應各自采用檢測元件。在 SIL3 級時， BPCS 的控制閥不能用作 SIS 僅有的最終元件 ;在 SIL1 級與 2 級時可以使用，但要做安全性檢查。中間環(huán)節(jié)最少原則一個回路中儀表越多可靠性越差，典型情況是本安回路的應用。在

12、石化裝置中，防爆區(qū)域在 0 區(qū)的情況很少。 因此可盡量采用隔爆型儀表，減少由于安全柵而產(chǎn)生的故障源，減少誤停車。1.4 完整的安全儀表回路設計在系統(tǒng)設計選型時， 很容易只要求控制器部分的安全性，忽略了現(xiàn)場儀表的安全要求，實際上安全儀表系統(tǒng)包括了傳感單元、邏輯控制單元和最終執(zhí)行單元，其故障失效率的計算方法如下：PFDSYS = PFDS + PFDL + PFDFE式中： PFDSYS E/E/PE 安全相關(guān)系統(tǒng)的安全功能在要求時的平均失效概率PFDS 傳感器子系統(tǒng)要求的平均失效概率PFDL 邏輯子系統(tǒng)要求的平均失效概率PFDFE 最終元件子系統(tǒng)要求的平均失效概率傳感器子系統(tǒng)邏輯子系統(tǒng)最終元件子

13、系統(tǒng)（傳感器及輸入接口）（輸出接口及最終元件）子系統(tǒng)結(jié)構(gòu)圖.1.5 安全儀表系統(tǒng)的設計步驟按照安全生命周期的內(nèi)容，一套完整的SIS 的設計主要包含以下步驟:（ 1）過程系統(tǒng)初步設計 ,包括系統(tǒng)定義、系統(tǒng)描述和總體目標確認。（ 2）執(zhí)行過程系統(tǒng)危險分析和風險評價。（ 3）論證采用非安全控制保護方案能否防止識別出的危險或降低風險。（ 4）判斷是否需要設計安全控制系統(tǒng) SIS ,如果需要則轉(zhuǎn)第（ 5）步 ,否則按常規(guī)控制系統(tǒng)設計。（ 5）依據(jù) IEC61508 確定對象的安全度等級 SIL 。（ 6）確定安全要求技術(shù)規(guī)范 SRS 。（ 7） 完成 SIS 初步設計并檢驗是否符合 SRS。（ 8） 完

14、成 SIS 詳細設計。（ 9） SIS 組裝、授權(quán)、預開車及可行性試驗。（ 10） 在建立操作和維護規(guī)程的基礎(chǔ)上 ,完成預開車安全評價。（ 11） SIS 正式投用 ,操作、維護及定期進行功能測試。（ 12）當原工藝流程被改造或在生產(chǎn)實踐中發(fā)現(xiàn)安全控制系統(tǒng)不完善時,判斷安全控制系統(tǒng)是否停用或改進。（ 13）如果需要改進 ,則轉(zhuǎn)至第 (2)步進入新的過程安全生命周期設計。.完整的 SIS 設計的步驟第 2 章 安全度等級SIL 的計算方法SIS 系統(tǒng)設計完成之后，其可靠性和安全性的評價標準就是要求時失效概率PFD。其 SIL 等級應該通過計算PFDavg 來確定。.2.1 系統(tǒng)結(jié)構(gòu)介紹2.1.1

15、 1oo1 結(jié)構(gòu)這種結(jié)構(gòu)包括一個單通道。 在這種結(jié)構(gòu)中當產(chǎn)生一次要求時，任何危險失效就會導致一個安全功能失效。1oo1 物理結(jié)構(gòu)圖2.1.2 1oo2 結(jié)構(gòu)此結(jié)構(gòu)由兩個并聯(lián)的通道組成， 無論哪一個通道都能處理安全功能。 因此如果兩個通道都存在危險失效， 則在要求時某個安全功能失效。 假設任何診斷測試僅報告發(fā)現(xiàn)故障，但并不改變?nèi)魏屋敵鰻顟B(tài)或輸出表決。1oo2 物理結(jié)構(gòu)圖.2.1.3 2oo2 結(jié)構(gòu)此結(jié)構(gòu)由并聯(lián)的兩個通道構(gòu)成，因此，在發(fā)生安全功能之前兩個通道都要求功能。假設任何診斷測試僅報告發(fā)現(xiàn)故障，并不改變?nèi)魏屋敵鰻顟B(tài)或輸出表決。2oo2 物理結(jié)構(gòu)圖2.1.4 2oo3 結(jié)構(gòu)此結(jié)構(gòu)由 3 個并聯(lián)

16、通道構(gòu)成， 其輸出信號具有多數(shù)表決安排，這樣，如果僅其中一個通道的輸出與其他兩個通道的輸出狀態(tài)不同時，輸出狀態(tài)不會因此而改變。假設任何診斷測試只報告發(fā)現(xiàn)故障，不改變?nèi)魏屋敵鰻顟B(tài)或者輸出表決。2oo3 物理結(jié)構(gòu)圖2.1.5 1oo2D 結(jié)構(gòu)此結(jié)構(gòu)中由并聯(lián)的兩個通道構(gòu)成，正常工作期間， 在發(fā)生安全功能前， 兩個通道都要求安全功能。 此外，如果任一通道中診斷測試檢測到一個故障，則將采.用輸出表決，因此整個輸出狀態(tài)則按照另一通道給出的輸出狀態(tài)。如果診斷測試在兩個通道中同時檢測到故障，或者檢測到兩個通道間存在的差異時，輸出則轉(zhuǎn)為安全狀態(tài)。 為了檢測兩個通道間的差異，通過一種與另一通道無關(guān)的方法，無論其中

17、哪個通道都能確定另一通道的狀態(tài)。1oo2D 物理結(jié)構(gòu)圖SIS 系統(tǒng)設計完成之后，其可靠性和安全性的評價標準就是要求時失效概率PFD。其 SIL 等級應該通過計算PFDavg 來確定。2.2 SIL 的可靠性框圖計算方法2.2.1 1oo1 結(jié)構(gòu)的可靠性框圖1oo1 可靠性框圖通道的等效平均停止工作時間表示如下：t CEDUT1MTTRDD MTTRD2D已被檢測和未被檢測到的危險失效率如下：DU1DC；DDDC22此結(jié)構(gòu)在要求時的平均失效概率為：PFD GDUDDt CE.2.2.2 1oo2 結(jié)構(gòu)的可靠性框圖1oo2 可靠性框圖系統(tǒng)等效停止工作時間表示如下：t GEDUT1MTTRDU MT

18、TRD3D此結(jié)構(gòu)在要求時的平均失效概率為：PFD G 2 1DU 1DU1DDDSD t CE t GED DD MTTRDUT1MTTR22.2.3 2oo2 結(jié)構(gòu)的可靠性框圖2oo2 可靠性框圖此結(jié)構(gòu)在要求時的平均失效概率為：PFD G2 D t CE.2.2.4 2oo3 結(jié)構(gòu)的可靠性框圖2oo3 可靠性框圖此結(jié)構(gòu)在要求時的平均失效概率為：PFD G6 1DDD1DU2 t CE t GEDDD MTTRDUT1 / 2MTTR2.2.5 1oo2D 結(jié)構(gòu)的可靠性框圖每個通道中被檢測的安全失效率如下：SD/ 2DCt CEDU / T1 / 2MTTRDDSDMTTR/DUDDSDtGE

19、DU / T1 / 3MTTRDDSDMTTR/DUDDSD1oo2D 可靠性框圖此結(jié)構(gòu)在要求時的平均失效概率為：PFD G2 1DU1DU1DDDSDt CE t GE DDD MTTRDUT1 / 2MTTR.2.2.6 術(shù)語列表縮略語及符號T1T2MTTRDCDDDDDUSDt CEt GEt CEt GE術(shù)語（單位）檢驗測試時間間隔（h）要求之間的時間間隔平均恢復時間（h）診斷覆蓋率（在公式中以一個分數(shù)或者百分比表示）具有共同原因的、沒有被檢測到的失效分數(shù)（在公式中用一個分數(shù)或者百分比表示）具有共同原因的、已被診斷測試檢測到的失效分數(shù)（在公式中用一個分數(shù)或者百分比表示） （假設2D ）

20、子系統(tǒng)中一個通道的失效率（每小時）子系統(tǒng)中通道的危險失效率（每小時），等于 0.5（假設 50%的危險失效和 50%的安全失效）檢測到的子系統(tǒng)中通道每小時的危險失效率（它是在子系統(tǒng)通道中所有檢測到的危險失效率的總和）未檢測到的子系統(tǒng)中通道每小時的危險失效率（它是在子系統(tǒng)通道中所有未檢測到的危險失效率的總和）子系統(tǒng)中被檢測到的通道每小時的安全失效率（它是在子系統(tǒng)通道中所有檢測到的安全失效率的總和）1oo1 、 1oo2、 2oo2、 1oo2D 、 2oo3 結(jié)構(gòu)中通道的等效平均停止工作時間（ h）（它是子系統(tǒng)通道中所有部件的組合關(guān)閉時間）1oo2 、2oo3 結(jié)構(gòu)中表決組的等效平均停止工作時間

21、（h）（它是表決組中所有部件的組合關(guān)閉時間）1oo2D 結(jié)構(gòu)中通道的等效平均停止工作時間（h）（它是子系統(tǒng)通道中所有部件的組合關(guān)閉時間）1oo2D 結(jié)構(gòu)中表決組的等效平均停止工作時間（h）（它是表決組中所有部件的組合關(guān)閉時間）.PFD G表決通道組在要求時的平均失效概率（如果傳感器、邏輯或最終元件子系統(tǒng)僅由一個表決組構(gòu)成，則PFD G 分別等于 PFD S 、 PFD L 或PFD FE ）2.3 SIL 的馬爾可夫模型計算方法2.3.1 1oo1 結(jié)構(gòu)的馬爾可夫模型在 1oo1 的馬爾可夫模型中， 狀態(tài) 0 表示沒有失效。 從這個狀態(tài)， 控制器可達其他 3 個狀態(tài)，狀態(tài) 1 表示安全失效狀態(tài)

22、， 控制器發(fā)生失效，其輸出非使能（失電或開路）。狀態(tài) 2 表示檢測到的危險失效狀態(tài)，輸出使能而發(fā)生失效，但是失效被自診斷檢測出可立即進行修復。 狀態(tài) 3 表示發(fā)生了危險失效， 但失效沒能被自診斷發(fā)現(xiàn)。SDSUFS1SDDDOKFDD02ODUFDU31oo1 結(jié)構(gòu)馬爾可夫模型1oo1 結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P 為1SDSDSUDDDUPSD1SD00010OO0001計算 MTTFS 的馬爾可夫狀態(tài)轉(zhuǎn)移圖如下圖所示.SDSUOKFS01SD1oo1 結(jié)構(gòu)馬爾可夫模型MTTFS相應的 Q矩陣為SDSUQ1-1因為 N=I-Q ，故1NSDSU因為 MTTFS 是給定起始狀態(tài)矩陣N 行元素的和，故1M

23、TTFSSUSD2.3.2 1oo2 結(jié)構(gòu)的馬爾可夫模型系統(tǒng)存在 3 個能夠執(zhí)行安全功能的狀態(tài)。在狀態(tài) 0。兩個通道都正常運行。在狀態(tài) 1 和 2，一個通道發(fā)生危險使得輸出短路（使能） 。系統(tǒng)能夠繼續(xù)正常運行是因為另一個通道仍然能夠使輸出開路（非使能） 。因為狀態(tài) 1 的危險失效被檢測到，所以能夠進行在線修復，狀態(tài)1 會以修復率o 返回到狀態(tài) 0。狀態(tài) 3，4，和 5 是系統(tǒng)的失效狀態(tài)。在狀態(tài) 3，系統(tǒng)發(fā)生安全失效。在狀態(tài) 4，系統(tǒng)發(fā)生檢測到的危險失效。在狀態(tài) 5，系統(tǒng)發(fā)生未檢測到的危險失效。共因失效會導致系統(tǒng)由狀態(tài) 0 直接到達狀態(tài) 4 或狀態(tài) 5。假設維修過程會檢查并修復系統(tǒng)的所有失效，狀

24、態(tài) 4 通過維修會回到狀態(tài)0。否則，狀態(tài) 4 必須拆分為兩個狀態(tài)：一個是兩個通道都發(fā)生檢測到的危險失效，另一個是一個通道發(fā)生檢測到的危險失效、一個通道發(fā)生未檢測到的危險失效。前者通過維修回到狀態(tài)0，后者通過維修回到狀態(tài)2。.SDCSUC2 SDN 2 SUNSDSystemSFS3Degraded-1FailDetected2DDN1DOOK0S2DUNDDSystemFDD4Degraded-1FailundetectedO2DUDDCDUCSystemFDU51oo2 結(jié)構(gòu)馬爾可夫模型1oo2 結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P 為12DDN2DUNSC2SNDDCDUCDO10S0001SDDDUP0

25、0100SDSDO0001 O0000001其中表示矩陣元素所在行除該元素外其他元素之和。相應的 Q矩陣為1Q SDCSUC其中 A 12SA 2A 3A 12 DDN2 DUND1A 20OD01A3SDN2SUN.SDCSUC2 SDN 2 SUNSDSSystemFS3Degraded-1FailDetected2 DDN1ODOKS02DUNDDDUDegraded-1Failundetected21oo2 結(jié)構(gòu)馬爾可夫模型MTTFS2.3.3 2oo2 結(jié)構(gòu)的馬爾可夫模型在狀態(tài) 0、1 和 2 系統(tǒng)能夠成功運行。 狀態(tài) 3，系統(tǒng)發(fā)色和能夠了安全失效，輸出開路。狀態(tài) 4 和 5，系統(tǒng)發(fā)

26、生檢測到和未檢測到的危險失效。這個馬爾可夫模型與 1oo2 結(jié)構(gòu)的馬爾可夫模型比較可以看出在安全與危險失效上兩者具有部分對稱性。.SDCSUCSDSDegraded-1Fail2SDNDetected1DOOK02 SUNSDDSystemFS3SystemFDD4Degraded-1FailundetectedO2DUDDC2DDNDUC2DUNSystemFDU52oo2 結(jié)構(gòu)馬爾可夫模型2oo2 結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P 為12SDN2SUNSCDDC2DDNDUC2DUNSO10D0001SDDDUP001SD00SDO00010O000001其中表示矩陣元素所在行除該元素外其他元素之和。

27、相應的 Q矩陣為1A 12 SDN2 SUNQ OD1A 20D01A3SC其中A 1SA 2A 3.SDCSUCSDSSystemFS32SDNODDegraded-1FailDetected1OK02SUNSDegraded-1DFailundetected22oo2 結(jié)構(gòu)馬爾可夫模型MTTFS2.3.4 2oo3 結(jié)構(gòu)的馬爾可夫模型系統(tǒng)初始狀態(tài)時全部 3 個通道的運行狀態(tài)均為正常狀態(tài)。 3 個通道的 4 種模式的失效會導致系統(tǒng)離開初始狀態(tài)。 另外，共因失效也需要考慮。 對于兩個通道存在 3 種組合方式： AB 、 AC 和 BC，表示 3 組共因失效。在狀態(tài) 1，一個通道出現(xiàn)檢測到的安全

28、失效。在狀態(tài) 2，一個通道出現(xiàn)未檢測到的安全失效。在狀態(tài) 1 和狀態(tài) 2，系統(tǒng)降級為 1oo2 結(jié)構(gòu)。在狀態(tài) 3，表明一個通道出現(xiàn)檢測到的危險失效。在狀態(tài) 4，一個通道出現(xiàn)未檢測到的危險失效。在狀態(tài) 3 和狀態(tài) 4，系統(tǒng)降級為 2oo2 結(jié)構(gòu)。在 1、2、3、4 各狀態(tài)，系統(tǒng)尚未失效。在狀態(tài) 1 和 2 系統(tǒng)仍處于運行狀態(tài)， 正常通道再次出現(xiàn)安全失效將使系統(tǒng)安全失效，而正常通道出現(xiàn)危險失效將使系統(tǒng)又降一級。在狀態(tài)3 和 4，系統(tǒng)運行在 2oo2 配置。當出現(xiàn)正常通道的危險失效，系統(tǒng)將會危險失效，而正常通道出現(xiàn)安全失效也將使系統(tǒng)又降一級。 假設系統(tǒng)修理時所有的故障單元會被修復， 因此，所有的修復

29、將使系統(tǒng)回到狀態(tài) 0。.SC2 SNSDCSUC33SDFS93 SDN2 DDNSDCSUCSDNSDN1O2 SDNDDN5SO2 DUNSUNSDN3SUN22SDNDUNOK602DDN3DDNDDN2 SUNSUN3DDNOO73DUNDUN42SUN3 DDC3 DUCODUCDUC2DUNFDU112 DUNSUNDUND C8D2DNDDCD D CDD2D D NFDDDU10DU2oo3 結(jié)構(gòu)馬爾可夫模型2oo2 結(jié)構(gòu)的狀態(tài)轉(zhuǎn)移矩陣P 為13 SDN3 SUN3DDN3 DUN0000O10002DDN2DUN0000100002 DDN2DUNO00102SDN02 SU

30、N00000102SDN02SUNPO0000102 SDN0O00000100O00000010000000001SD00000000O00000000000000000其中表示矩陣元素所在行除該元素外其他元素之和。3 SC3DDC3DUCSC2SNDDCDUCSC2SNDDCDUCSCDC2DN0SCDDC2DDNDUC2 DUNSD0SDDDUSD0SDDDU100010001.2.3.5 1oo1D 結(jié)構(gòu)的馬爾可夫模型狀態(tài) 0 代表無效的情況。從狀態(tài)0 系統(tǒng)可以到達其他兩個狀態(tài)。狀態(tài)1代表安全失效，狀態(tài) 2 代表未檢測到的危險失效。 1oo1D 的馬爾可夫模型與1oo1相似，不同的是檢測到的