如何計算平均失效概率

1、摘要本篇文章介紹了使用不可用性、不可靠性和馬可夫模型計算要求時的平均失效概率的方法和公式，可供使用功能安全系統(tǒng)的人員參考。 關(guān)鍵字要求時的平均失效概率，不可用性，不可靠性，馬可夫模型 ABSTRACTThis article present how to use unavailability method, unreliability method and Makov model to calculate PFDavg. The equations can be reference to users who use safety related system. K

2、EYWORDSPFDavg, Unavailability, Unreliability, Markov model  概述 IEC61508 需要對用于安全相關(guān)系統(tǒng)中每套設(shè)備降低風(fēng)險的概率進行評估。達(dá)到不同數(shù)量級風(fēng)險降低水平取決于需要時的平均失效概率PFDavg（經(jīng)常稱之為平均危險失效概率）。實際上，計算這個概率有許多不同的方法。其中最流行的方法是失效樹分析、可靠性方塊圖、簡化等式（使用多種方法導(dǎo)出）和馬可夫（Markov）模型。這些方法中，很多方案都使用馬可夫模型。不同周期關(guān)于采用哪種方法更合適的爭論至今一直存在著。 問題是使用不同方法算出的結(jié)果相差

3、很大，如對同一套輸入?yún)?shù)計算出的結(jié)果竟然會相差兩倍多。這是我們今后要注意的問題。 什么是 PFDavg 不可用性（unavailability）或不可靠性（unreliability）? 產(chǎn)生這個問題的部分原因可能是對 PFDavg 意思的不同解釋。因為兩個計算度量的基本方法是不同的。 不可靠性方法 在這個方法中，計算的不可靠性函數(shù)，就是用于特定任務(wù)時間的函數(shù)，通常等于用于工業(yè)設(shè)備“檢測證明”的時間。然后把這個函數(shù)“平均”到整個任務(wù)的時間。 這個用于安全相關(guān)系統(tǒng)的模型假定對系統(tǒng)進行周期性檢查和檢測。通常假定周期性檢查能夠發(fā)現(xiàn)所有的失效部件，并使

4、系統(tǒng)恢復(fù)到正常狀態(tài)。因此不可靠性函數(shù)是沒有問題的。進一步的推論是系統(tǒng)的故障可能正好發(fā)生在剛剛檢查后、剛剛檢查前或者在兩者之間的任何時間。因此，PFDavg 是不可靠性函數(shù)包括了檢查周期的平均值。 用于單一通道系統(tǒng)常數(shù)失效率的一個著名等式：用于特定任務(wù)時間 t 的不可靠性為：F(t) = 1 e-lt。它有時被稱為失效概率，PF。PF(t) = 1 e-lt。 對于失效模式，失效危險，l=ld和在危險模式的失效概率：PFD(t) = 1 e-ldt。它接近等于：PFD(t) = ldt。（當(dāng)結(jié)果小于0.1時，誤差小于3%，近似值是可接受的。因為所有安全完整性等級要求 PFDa

5、vg 值小于 0.1，所以接近的結(jié)果是可接受的）    PFDavg 由在時間間隔 T 的算術(shù)平均值獲得：  可使用接近公式： PFDavg = ldT /2                                

6、;                 （等式 1） 不可用性方法 這里使用了不同的方法，PFDavg 被解釋為穩(wěn)定狀態(tài)的不可用性。系統(tǒng)的不可用性計算使用了概率并結(jié)合了不同部件不可用性的方法。這種方法的一個例子是簡化可維修系統(tǒng)，從著名的用于單一通道系統(tǒng)不可用性等式開始： Usteady state = l / (ld + m)        

7、        如果m 遠(yuǎn)大于 l ，那么： Usteady state =l / m                                   &#

8、160;            （等式 2） 假設(shè)在日常的運行中不能檢測出失效，平均時間恢復(fù)包括檢查時間加上實際維修時間。假設(shè)失效可能發(fā)生在任何時間，平均檢查時間等于一半檢查周期（檢測證明周期）。如果實際的維修時間比起檢查周期可以忽略的話，平均“維修”時間（在IEC61508 稱為平均恢復(fù)時間）是： MTTR = T/2 和 m = 2/T 替換等式 2，得出： PFDavg = ldT /2，它和等式1 的結(jié)果一樣   &#

9、160;               （等式 3） 等式1和等式3得出同樣的近似值導(dǎo)致了把兩種方法：不可靠性方法和不可用性方法，最后合并為同一個計算 PFDavg的公式。然而，用于功能安全冗余系統(tǒng)的等式是不同的。一個常見的例子是“1oo2”結(jié)構(gòu)。不同的結(jié)構(gòu)會有不同的計算方法。 比如，一個1oo2 結(jié)構(gòu)具有兩個部件。使用穩(wěn)定狀態(tài)不可用性概率方法做為PFDavg，每個部件有一個在等式 3表出的 PFDavg = ldT /2。在一個帶有“與

10、”門的故障樹中，兩個這樣部件的失效概率的相乘給出了平均（基于穩(wěn)定狀態(tài)）系統(tǒng)不可用性：PFDavg = ld2 T2 /4                                         

11、;      （等式 4） 如果問題的模型是同樣的，也可使用馬可夫“一個維修人員”的模型（見附錄1）計算穩(wěn)定狀態(tài)不可用性：PFDavg = ld2 T2 /2                                

12、0;             （等式 5） 同樣使用馬可夫 “兩個維修人員”模型（見附件2）可表示成：PFDavg = ld2 T2 /4                            

13、60;                  （等式6） 以上結(jié)果顯示了用兩個維修人員的馬可夫模型與用穩(wěn)定狀態(tài)不可用性得到了同樣的結(jié)果。應(yīng)該注意的是僅在馬可夫模型中使用了假設(shè)，它在概率分析中被隱藏起來了。這里有一個問題。維修人員模型使用的恢復(fù)時間受控于周期檢查/檢測時間間隔情況是正確的嗎？ 在現(xiàn)實中，一個維修團隊一次行動幾乎同時能夠恢復(fù)一個或兩個部件失效。所以馬可夫模型顯示了一個返回到完全正常系統(tǒng)（見附錄3）的

14、維修率。用不可用性穩(wěn)定狀態(tài)方法，對這個模型提供的一個結(jié)果是：PFDavg = ld2 T2 /2                                           

15、;   （等式 7） 更詳細(xì)的馬可夫模型顯示了返回到完全恢復(fù)狀態(tài)的維修率。甚至使用一個維修人員模型和沒有返回到恢復(fù)狀態(tài)，不同模型的結(jié)果是相同或者非常接近的。 還用同樣的例子做進一步的計算，考慮一個1oo2 系統(tǒng)的情況，用拉平非可靠性函數(shù)（見附錄4）計算 PFDavg。 一個部件的非可靠性（PFD）大概是：PFD(t) = ldt. 系統(tǒng)失效僅在兩個部件都出故障才出現(xiàn)。因此，使用概率的方法表示成一個帶“與”門的故障樹：PFD(t) = (ldt)2       

16、60;                                              （等式 8）當(dāng)使用下面公式計算平均值時： 

17、結(jié)果是： PFDavg = (ldt)2/3                                            （等式 9） 另一

18、個方法是用于不可靠性的馬可夫模型得到與時間相關(guān)的等式。這個等式能夠用于分析平均值。結(jié)果是： PFDavg = (ldt)2/3 等式顯示了使用概率方法和馬可夫方法得到的結(jié)果是一樣的。差異不是由于方法的不同，差異是由于從不同的角度 “穩(wěn)定狀態(tài)不可用性”相對于“平均不可靠性”。這個問題就像解決這種問題的方法哪個更好一樣，仍然存在。 思考一下實際情況就可以獲得洞察力。在周期時間以后，進行一次系統(tǒng)的檢查和檢測。 在檢查和檢測期間發(fā)現(xiàn)的任何失效都會得到修復(fù)。周期地執(zhí)行這個操作。系統(tǒng)永遠(yuǎn)不會達(dá)到穩(wěn)定狀態(tài)。穩(wěn)定狀態(tài)不可用性方法是無效的。使用馬可夫模型、概率故障樹或者任何其他方法

19、是無效的。 對于這個問題, 平均不可靠性方法提供了正確的方案。平均不可靠性方法用于導(dǎo)出在 ISA 的 TR84.00.02 的簡化等式。很多 SIL 驗證工具使用基于平均不可靠性的馬可夫計算技術(shù)。 結(jié)論時間相關(guān)的解決方案提供了最精確的模型，用于在周期檢查和檢測系統(tǒng)的情況下“PFDavg”的計算。那些使用穩(wěn)定狀態(tài)帶有一個維修人員模型不可用性方法將得到保守的、悲觀的結(jié)果。這會導(dǎo)致設(shè)計做得過于安全。 當(dāng)使用有兩個維修人員的穩(wěn)定狀態(tài)不可用性方法會得出一個潛在的問題。用馬可夫模型或用故障樹或概率分析方法可能導(dǎo)致一個結(jié)果，就是系統(tǒng)的設(shè)計不夠安全 。 假設(shè)·  所有舉出的例子假設(shè)為一個單一失效模式，失敗-危險帶一個常數(shù)失效率。·  無公共原因加入到1oo2 冗余系統(tǒng)模型中去。·  假