怎樣計(jì)算要求時(shí)的平均失效概率（PFDavg）

概述
       IEC61508 需要對(duì)用于安全相關(guān)系統(tǒng)中每套設(shè)備降低風(fēng)險(xiǎn)的概率進(jìn)行評(píng)估。達(dá)到不同數(shù)量級(jí)風(fēng)險(xiǎn)降低水平取決于需要時(shí)的平均失效概率PFDavg（經(jīng)常稱之為平均危險(xiǎn)失效概率）。實(shí)際上，計(jì)算這個(gè)概率有許多不同的方法。其中最流行的方法是失效樹(shù)分析、可靠性方塊圖、簡(jiǎn)化等式（使用多種方法導(dǎo)出）和馬可夫（Markov）模型。這些方法中，很多方案都使用馬可夫模型。不同周期關(guān)于采用哪種方法更合適的爭(zhēng)論至今一直存在著。
       問(wèn)題是使用不同方法算出的結(jié)果相差很大，如對(duì)同一套輸入?yún)?shù)計(jì)算出的結(jié)果竟然會(huì)相差兩倍多。這是我們今后要注意的問(wèn)題。

什么是 PFDavg – 不可用性（unavailability）或不可靠性（unreliability）?
       產(chǎn)生這個(gè)問(wèn)題的部分原因可能是對(duì) PFDavg 意思的不同解釋。因?yàn)閮蓚€(gè)計(jì)算度量的基本方法是不同的。

不可靠性方法
       在這個(gè)方法中，計(jì)算的不可靠性函數(shù)，就是用于特定任務(wù)時(shí)間的函數(shù)，通常等于用于工業(yè)設(shè)備“檢測(cè)證明”的時(shí)間。然后把這個(gè)函數(shù)“平均”到整個(gè)任務(wù)的時(shí)間。
       這個(gè)用于安全相關(guān)系統(tǒng)的模型假定對(duì)系統(tǒng)進(jìn)行周期性檢查和檢測(cè)。通常假定周期性檢查能夠發(fā)現(xiàn)所有的失效部件，并使系統(tǒng)恢復(fù)到正常狀態(tài)。因此不可靠性函數(shù)是沒(méi)有問(wèn)題的。進(jìn)一步的推論是系統(tǒng)的故障可能正好發(fā)生在剛剛檢查后、剛剛檢查前或者在兩者之間的任何時(shí)間。因此，PFDavg 是不可靠性函數(shù)包括了檢查周期的平均值。
       用于單一通道系統(tǒng)常數(shù)失效率的一個(gè)著名等式：
       用于特定任務(wù)時(shí)間 t 的不可靠性為：F(t) = 1 – e^-lt。它有時(shí)被稱為失效概率，PF。PF(t) = 1 – e^-lt。
對(duì)于失效模式，失效危險(xiǎn)，l = ld 和在危險(xiǎn)模式的失效概率：
       PFD(t) = 1 – e^-ldt。它接近等于：
       PFD(t) =  ldt。（當(dāng)結(jié)果小于0.1時(shí)，誤差小于3%，近似值是可接受的。因?yàn)樗邪踩暾缘燃?jí)要求 PFDavg 值小于 0.1，所以接近的結(jié)果是可接受的）
       PFDavg 由在時(shí)間間隔 T 的算術(shù)平均值獲得：

      
       可使用接近公式：
          PFDavg = ldT /2        （等式 1）

不可用性方法
       這里使用了不同的方法，PFDavg 被解釋為穩(wěn)定狀態(tài)的不可用性。系統(tǒng)的不可用性計(jì)算使用了概率并結(jié)合了不同部件不可用性的方法。這種方法的一個(gè)例子是簡(jiǎn)化可維修系統(tǒng)，從著名的用于單一通道系統(tǒng)不可用性等式開(kāi)始：
       Usteady state = l / (l + m)               
      如果  m 遠(yuǎn)大于 l，那么：
       Usteady state = l /  m         （等式 2）
       假設(shè)在日常的運(yùn)行中不能檢測(cè)出失效，平均時(shí)間恢復(fù)包括檢查時(shí)間加上實(shí)際維修時(shí)間。假設(shè)失效可能發(fā)生在任何時(shí)間，平均檢查時(shí)間等于一半檢查周期（檢測(cè)證明周期）。如果實(shí)際的維修時(shí)間比起檢查周期可以忽略的話，平均“維修”時(shí)間（在IEC61508 稱為平均恢復(fù)時(shí)間）是：
 
        MTTR = T/2 和 m = 2/T

        替換等式 2，得出：
        PFDavg = ldT /2，它和等式1 的結(jié)果一樣    （等式 3）
        等式1和等式3得出同樣的近似值導(dǎo)致了把兩種方法：不可靠性方法和不可用性方法，最后合并為同一個(gè)計(jì)算 PFDavg的公式。然而，用于功能安全冗余系統(tǒng)的等式是不同的。一個(gè)常見(jiàn)的例子是“1oo2”結(jié)構(gòu)。不同的結(jié)構(gòu)會(huì)有不同的計(jì)算方法。
        比如，一個(gè)1oo2 結(jié)構(gòu)具有兩個(gè)部件。使用穩(wěn)定狀態(tài)不可用性概率方法做為PFDavg，每個(gè)部件有一個(gè)在等式 3表出的  PFDavg = ldT /2。在一個(gè)帶有“與”門的故障樹(shù)中，兩個(gè)這樣部件的失效概率的相乘給出了平均（基于穩(wěn)定狀態(tài)）系統(tǒng)不可用性：
         PFDavg = ld² T² /4      （等式 4）
        如果問(wèn)題的模型是同樣的，也可使用馬可夫“一個(gè)維修人員”的模型（見(jiàn)附錄1）計(jì)算穩(wěn)定狀態(tài)不可用性：
         PFDavg = ld² T² /2       （等式 5）
        同樣使用馬可夫 “兩個(gè)維修人員”模型（見(jiàn)附件2）可表示成：
         PFDavg = ld² T² /4      （等式6）
        以上結(jié)果顯示了用兩個(gè)維修人員的馬可夫模型與用穩(wěn)定狀態(tài)不可用性得到了同樣的結(jié)果。應(yīng)該注意的是僅在馬可夫模型中使用了假設(shè)，它在概率分析中被隱藏起來(lái)了。
        這里有一個(gè)問(wèn)題。維修人員模型使用的恢復(fù)時(shí)間受控于周期檢查/檢測(cè)時(shí)間間隔情況是正確的嗎？
        在現(xiàn)實(shí)中，一個(gè)維修團(tuán)隊(duì)一次行動(dòng)幾乎同時(shí)能夠恢復(fù)一個(gè)或兩個(gè)部件失效。所以馬可夫模型顯示了一個(gè)返回到完全正常系統(tǒng)（見(jiàn)附錄3）的維修率。
        用不可用性穩(wěn)定狀態(tài)方法，對(duì)這個(gè)模型提供的一個(gè)結(jié)果是：
         PFDavg = ld² T² /2        （等式 7）
         更詳細(xì)的馬可夫模型顯示了返回到完全恢復(fù)狀態(tài)的維修率。甚至使用一個(gè)維修人員模型和沒(méi)有返回到恢復(fù)狀態(tài)，不同模型的結(jié)果是相同或者非常接近的。
         還用同樣的例子做進(jìn)一步的計(jì)算，考慮一個(gè)1oo2 系統(tǒng)的情況，用拉平非可靠性函數(shù)（見(jiàn)附錄4）計(jì)算 PFDavg。
         一個(gè)部件的非可靠性（PFD）大概是：
         PFD(t) = ldt.
         系統(tǒng)失效僅在兩個(gè)部件都出故障才出現(xiàn)。因此，使用概率的方法表示成一個(gè)帶“與”門的故障樹(shù)：
         PFD(t) = (ldt)²     （等式 8）

[DividePage:NextPage]

      當(dāng)使用下面公式計(jì)算平均值時(shí)：   

           結(jié)果是：
           PFDavg = (ldt)²/3      （等式 9）
           另一個(gè)方法是用于不可靠性的馬可夫模型得到與時(shí)間相關(guān)的等式。這個(gè)等式能夠用于分析平均值。結(jié)果是：
           PFDavg = (ldt)²/3
        等式顯示了使用概率方法和馬可夫方法得到的結(jié)果是一樣的。差異不是由于方法的不同，差異是由于從不同的角度 – “穩(wěn)定狀態(tài)不可用性”相對(duì)于“平均不可靠性”。這個(gè)問(wèn)題就像解決這種問(wèn)題的方法哪個(gè)更好一樣，仍然存在。
        思考一下實(shí)際情況就可以獲得洞察力。在周期時(shí)間以后，進(jìn)行一次系統(tǒng)的檢查和檢測(cè)。 在檢查和檢測(cè)期間發(fā)現(xiàn)的任何失效都會(huì)得到修復(fù)。周期地執(zhí)行這個(gè)操作。系統(tǒng)永遠(yuǎn)不會(huì)達(dá)到穩(wěn)定狀態(tài)。穩(wěn)定狀態(tài)不可用性方法是無(wú)效的。使用馬可夫模型、概率故障樹(shù)或者任何其他方法是無(wú)效的。
 
         對(duì)于這個(gè)問(wèn)題, 平均不可靠性方法提供了正確的方案。平均不可靠性方法用于導(dǎo)出在 ISA 的 TR84.00.02 的簡(jiǎn)化等式。很多 SIL 驗(yàn)證工具使用基于平均不可靠性的馬可夫計(jì)算技術(shù)。
結(jié)論
       時(shí)間相關(guān)的解決方案提供了最精確的模型，用于在周期檢查和檢測(cè)系統(tǒng)的情況下“PFDavg”的計(jì)算。那些使用穩(wěn)定狀態(tài)帶有一個(gè)維修人員模型不可用性方法將得到保守的、悲觀的結(jié)果。這會(huì)導(dǎo)致設(shè)計(jì)做得過(guò)于安全。
         當(dāng)使用有兩個(gè)維修人員的穩(wěn)定狀態(tài)不可用性方法會(huì)得出一個(gè)潛在的問(wèn)題。用馬可夫模型或用故障樹(shù)或概率分析方法可能導(dǎo)致一個(gè)結(jié)果，就是系統(tǒng)的設(shè)計(jì)不夠安全 。
假設(shè)
      · 所有舉出的例子假設(shè)為一個(gè)單一失效模式，失敗-危險(xiǎn)帶一個(gè)常數(shù)失效率。
      ·無(wú)公共原因加入到1oo2 冗余系統(tǒng)模型中去。
      ·假設(shè)驗(yàn)證測(cè)試是完善的，并且在這個(gè)期間里所有的失效都能夠發(fā)現(xiàn)。
      ·模型中沒(méi)有診斷能力。
       這些假設(shè)可能不完全符合實(shí)際情況，但可以幫助你快速顯示十分復(fù)雜系統(tǒng)的關(guān)鍵點(diǎn)。結(jié)論同樣可以應(yīng)用于沒(méi)有這些假設(shè)的更復(fù)雜模型。

附件1 – 用一個(gè)維修人員 1oo2 冗余結(jié)構(gòu)的穩(wěn)定狀態(tài)馬可夫模型

       穩(wěn)定狀態(tài)等式：   

         
       如果：    

       
 
        如果：    

[DividePage:NextPage]

附件2－用兩個(gè)維修人員1oo2 冗余結(jié)構(gòu)的穩(wěn)定狀態(tài)馬可夫模型

            
       穩(wěn)定狀態(tài)等式：  

        
       如果：

        

 
附錄3－在檢查和檢測(cè)周期全部恢復(fù)1oo2冗余結(jié)構(gòu)的穩(wěn)定狀態(tài)馬可夫模型  

        穩(wěn)定狀態(tài)等式：  

        
        如果：  

 
附件4－用平均邏輯前后1oo2冗余結(jié)構(gòu)的概率模型（用故障樹(shù)顯示）

        
        集成邏輯后：

（轉(zhuǎn)載）