2022年安全仪表系统设计与SIL的计算方法.pdf

《2022年安全仪表系统设计与SIL的计算方法.pdf》由会员分享，可在线阅读，更多相关《2022年安全仪表系统设计与SIL的计算方法.pdf（30页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、安全仪表系统设计与SIL 的计算方法左信朱春丽中国石油大学（北京）自动化研究所2008 年 11 月? 北京? 自控中心站培训精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 30 页 - - - - - - - - - - 目录第 1 章 安全仪表系统设计概述. . 错误 !未定义书签。安全性与可用性. . 错误 !未定义书签。安全仪表系统的安全性. . 错误 !未定义书签。安全仪表系统的可用性. . 错误 !未定义书签。安全性与可用性之间的关系. . 错误 !未定义书签。安全仪表系统的设计目

2、标. . 错误 !未定义书签。安全仪表系统的设计原则. . 错误 !未定义书签。基本原则 . . 错误 !未定义书签。逻辑设计原则. . 错误 !未定义书签。回路配置原则. . 错误 !未定义书签。完整的安全仪表回路设计. . 错误 !未定义书签。安全仪表系统的设计步骤. . 错误 !未定义书签。第 2 章 安全度等级SIL 的计算方法 . . 错误 !未定义书签。系统结构介绍. . 错误 !未定义书签。 1oo1 结构 . 错误 !未定义书签。 1oo2 结构 . 错误 !未定义书签。 2oo2 结构 . 错误 !未定义书签。 2oo3 结构 . 错误 !未定义书签。 1oo2D 结构 .

3、错误 !未定义书签。 SIL 的可靠性框图计算方法. 错误 !未定义书签。 1oo1 结构的可靠性框图. 错误 !未定义书签。 1oo2 结构的可靠性框图. 错误 !未定义书签。 2oo2 结构的可靠性框图. 错误 !未定义书签。 2oo3 结构的可靠性框图. 错误 !未定义书签。 1oo2D 结构的可靠性框图. 错误 !未定义书签。术语列表 . . 错误 !未定义书签。 SIL 的马尔可夫模型计算方法. 错误 !未定义书签。 1oo1 结构的马尔可夫模型. 错误 !未定义书签。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - -

4、- - - - -第 2 页，共 30 页 - - - - - - - - - - 1oo2 结构的马尔可夫模型. 错误 !未定义书签。 2oo2 结构的马尔可夫模型. 错误 !未定义书签。 2oo3 结构的马尔可夫模型. 错误 !未定义书签。 1oo1D 结构的马尔可夫模型. 错误 !未定义书签。 1oo2D 结构的马尔可夫模型. 错误 !未定义书签。术语列表 . . 错误 !未定义书签。 SIL 的故障树分析计算方法. 错误 !未定义书签。 1oo1 结构的 PFD故障树 . 错误 !未定义书签。 1oo2 结构的 PFD故障树 . 错误 !未定义书签。 2oo2 结构的 PFD故障树 .

5、 错误 !未定义书签。 2oo3 结构的 PFD故障树 . 错误 !未定义书签。 2oo4 结构的 PFD故障树 . 错误 !未定义书签。 1oo1D 结构的 PFD故障树 . 错误 !未定义书签。 1oo2D 结构的 PFD故障树 . 错误 !未定义书签。 2oo2D 结构的 PFD故障树 . 错误 !未定义书签。 2oo4D 结构的 PFD故障树 . 错误 !未定义书签。术语列表 . . 错误 !未定义书签。第 3 章 计算实例 . . 错误 !未定义书签。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -

6、第 3 页，共 30 页 - - - - - - - - - - 第 1 章 安全仪表系统设计概述安全性与可用性1.1.1 安全仪表系统的安全性安全仪表系统的安全性是指任何潜在危险发生时，安全仪表系统保证使过程处于安全状态的能力。 不同安全仪表系统的安全性是不一样的，安全仪表系统自身的故障无法使过程处于安全状态的概率越低，则其安全性越高。 安全仪表系统自身的故障有两种类型。（1）安全故障当此类故障发生时，不管过程有无危险，系统均使过程处于安全状态。此类故障称为安全故障。对于按故障安全原则( 正常时励磁、闭合 ) 设计的系统而言，回路上的任何断路故障是安全故障。（2）危险故障当此类故障存在时，系

7、统即丧失使过程处于安全状态的能力。此类故障称为危险故障。 对于按故障安全原则设计的系统而言，回路上任何可断开触点的短路故障均是危险故障。换言之，一个系统内发生危险故障的概率越低，则其安全性越高。1.1.2 安全仪表系统的可用性安全仪表系统的可用性是指系统在冗余配置的条件下，当某一个系统发生故障时，冗余系统在保证安全功能的条件下，仍能保证生产过程不中断的能力。与可用性比较接近的一个概念是系统的容错能力。一个系统具有高可用性或高容错能力不能以降低安全性作为代价，丧失安全性的可用性是没有意义的。严格地讲，可用性应满足以下几个条件。 （1）系统是冗余的 ;（2）系统产生故障时，不丧失其预先定义的功能;

8、 （3）系统产生故障时，不影响正常的工艺过程。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 30 页 - - - - - - - - - - 1.1.3 安全性与可用性之间的关系从某种意义上说， 安全性与可用性是矛盾的两个方面。某些措施会提高安全性，但会导致可用性的下降，反之亦然。例如，冗余系统采用二取二逻辑，则可用性提高，安全性下降 ; 若采用二取一逻辑，则相反。采用故障安全原则设计的系统安全性高，采用非故障安全原则设计的系统可用性好。安全性与可用性是衡量一个安全仪表系统的重要指标，无论是

9、安全性低、 还是可用性低，都会使损失的概率提高。因此，在设计安全仪表系统时，要兼顾安全性和可用性。安全性是前提，可用性必须服从安全性; 可用性是基础，没有高可用性的安全性是不现实的。安全仪表系统的设计目标安全仪表系统设计的目标， 首先是要满足装置的安全度等级要求，衡量标准在于它能否达到要求平均故障概率PFDaverage ，即要求下的设备失效的可能性。为了达到装置的安全度等级， 系统必须具有高的安全性。 但是，系统的安全性越高，必然使设备停车次数越多，维修时间延长，降低了系统的可用性。而在石化等行业的现实应用当中， 设备停车可能造成重大的经济损失，这就要求系统既具有高安全性， 又具有高可用性。

10、 安全仪表系统的设计并不是安全性越高越好，要寻求的是一种最优配置， 即在达到安全度等级的前提下，合理配置经济实用的系统。因此，在设计安全仪表系统时， 首先要进行风险分析， 确定必要的风险降低指标; 然后确定 SIL 等级并进行风险分配，以确定安全仪表系统应承担的风险降低指标 ; 最后，综合考虑系统的安全性与可用性，对系统的结构进行合理配置。安全仪表系统的设计原则1.3.1 基本原则SIL设计的基本原则之一， 是应根据 E/E/PES安全要求规范进行设计。 分析确定SIL的方法，确定的 SIL 就是E/E/PES设计时要求实现的安全完整性目标。精品资料 - - - 欢迎下载 - - - - -

11、- - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页，共 30 页 - - - - - - - - - - SIL设计的基本原则之二，是采取一切必要的技术与措施保证要求的安全完整性。为了实现安全完整性，必须同时满足E/E/PES的随机安全完整性要求与系统安全完整性要求，因为随机失效主要是硬件的随机失效。因此，分析时，随机安全完整性就简化为硬件安全完整性。故障检测会影响系统的行为，因此，它与硬件以及系统的安全完整性都相关。1.3.2 逻辑设计原则可靠性原则整个系统的可靠性R0 ( t) 是由组成系统的各单元可靠性( R1 ( t) , R2 ( t) ,

12、R3 ( t) 的乘积 , 即R0 ( t) = R1 ( t) R2 ( t) R3 ( t) 任何一个环节可靠性的下降都会导致整个系统可靠性的下降。人们通常对于逻辑控制系统的可靠性十分重视, 往往忽视检测元件和执行元件的可靠性, 使得整套安全仪表系统可靠性低, 达不到降低受控设备风险的要求。可靠性决定系统的安全性。可用性原则可用性不影响系统的安全性, 但系统的可用性低可能会导致装置或工厂无法进行正常的生产。可用性常用下面公式表示。A = M TB F/ ( M TB F + M T TR)式中 A 可用度 ;MTBF 平均故障间隔时间;MTTR 平均修复时间。而对于安全仪表系统对工艺过程的

13、认知过程, 还应当重视系统的可用性，正确地判断过程事故 , 尽量减少装置的非正常停工, 减少开、停工造成的经济损失。故障安全原则当安全仪表系统的元件、设备、环节或能源发生故障或失效时, 系统设计应当使工艺过程能够趋向安全运行或安全状态。这就是系统设计的故障安全型原则。能否实现“故障安全”取决于工艺过程及安全仪表系统的设置。过程适应原则精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 30 页 - - - - - - - - - - 安全仪表系统的设置必须根据工艺过程的运行规律, 为工艺过程在正常

14、运行和非正常运行时服务。正常时安全仪表系统不能影响过程运行, 在工艺过程发生危险情况时安全仪表系统要发挥作用, 保证工艺装置的安全。这就是系统设计的过程适应原则。1.3.3 回路配置原则为保证系统的安全性和可靠性，以下2 个原则在回路配置时应当加以注意。独立设置原则用于 SIS 和 BPCS( 基本过程控制系统 ) 的信号检测应各自采用检测元件。在SIL3 级时， BPCS 的控制阀不能用作SIS 仅有的最终元件 ; 在 SIL1 级与 2 级时可以使用，但要做安全性检查。中间环节最少原则一个回路中仪表越多可靠性越差，典型情况是本安回路的应用。在石化装置中，防爆区域在 0 区的情况很少。 因此

15、可尽量采用隔爆型仪表，减少由于安全栅而产生的故障源，减少误停车。完整的安全仪表回路设计在系统设计选型时， 很容易只要求控制器部分的安全性，忽略了现场仪表的安全要求，实际上安全仪表系统包括了传感单元、 逻辑控制单元和最终执行单元，其故障失效率的计算方法如下：PFDSYS = PFDS + PFDL + PFDFE式中： PFDSYS E/E/PE 安全相关系统的安全功能在要求时的平均失效概率PFDS 传感器子系统要求的平均失效概率PFDL 逻辑子系统要求的平均失效概率PFDFE 最终元件子系统要求的平均失效概率传感器子系统（传感器及输入接 口）逻辑子系统最终元件子系统（输出接口及最终元件）子系统

16、结构图精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 30 页 - - - - - - - - - - 安全仪表系统的设计步骤按照安全生命周期的内容，一套完整的SIS 的设计主要包含以下步骤 :（1）过程系统初步设计 , 包括系统定义、系统描述和总体目标确认。（2）执行过程系统危险分析和风险评价。（3）论证采用非安全控制保护方案能否防止识别出的危险或降低风险。（4）判断是否需要设计安全控制系统SIS , 如果需要则转第（ 5）步, 否则按常规控制系统设计。（5）依据 IEC61508确定对象的

17、安全度等级SIL。（6）确定安全要求技术规范SRS 。（7） 完成 SIS 初步设计并检验是否符合SRS 。（8） 完成 SIS 详细设计。（9） SIS 组装、授权、预开车及可行性试验。（10） 在建立操作和维护规程的基础上, 完成预开车安全评价。（11） SIS 正式投用 , 操作、维护及定期进行功能测试。（12）当原工艺流程被改造或在生产实践中发现安全控制系统不完善时, 判断安全控制系统是否停用或改进。（13）如果需要改进 , 则转至第 (2) 步进入新的过程安全生命周期设计。完整的 SIS 设计的步骤第 2 章 安全度等级SIL 的计算方法SIS 系统设计完成之后， 其可靠性和安全性的

18、评价标准就是要求时失效概率PFD 。其 SIL 等级应该通过计算 PFDavg来确定。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 8 页，共 30 页 - - - - - - - - - - 系统结构介绍2.1.1 1oo1结构这种结构包括一个单通道。 在这种结构中当产生一次要求时，任何危险失效就会导致一个安全功能失效。1oo1 物理结构图2.1.2 1oo2结构此结构由两个并联的通道组成， 无论哪一个通道都能处理安全功能。因此如果两个通道都存在危险失效， 则在要求时某个安全功能失效。 假设任何诊断测

19、试仅报告发现故障，但并不改变任何输出状态或输出表决。1oo2 物理结构图2.1.3 2oo2结构此结构由并联的两个通道构成， 因此，在发生安全功能之前两个通道都要求功能。假设任何诊断测试仅报告发现故障，并不改变任何输出状态或输出表决。2oo2 物理结构图2.1.4 2oo3结构此结构由 3 个并联通道构成， 其输出信号具有多数表决安排，这样，如果仅其中一个通道的输出与其他两个通道的输出状态不同时，输出状态不会因此而改变。假设任何诊断测试只报告发现故障，不改变任何输出状态或者输出表决。2oo3 物理结构图精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归

20、纳 - - - - - - - - - -第 9 页，共 30 页 - - - - - - - - - - 2.1.5 1oo2D结构此结构中由并联的两个通道构成，正常工作期间， 在发生安全功能前， 两个通道都要求安全功能。 此外，如果任一通道中诊断测试检测到一个故障，则将采用输出表决， 因此整个输出状态则按照另一通道给出的输出状态。如果诊断测试在两个通道中同时检测到故障， 或者检测到两个通道间存在的差异时，输出则转为安全状态。 为了检测两个通道间的差异，通过一种与另一通道无关的方法，无论其中哪个通道都能确定另一通道的状态。1oo2D物理结构图SIS 系统设计完成之后，其可靠性和安全性的评价标

21、准就是要求时失效概率PFD 。其 SIL 等级应该通过计算 PFDavg来确定。 SIL 的可靠性框图计算方法2.2.1 1oo1结构的可靠性框图1oo1可靠性框图通道的等效平均停止工作时间表示如下：MTTRMTTR2TtDDD1DDUCE已被检测和未被检测到的危险失效率如下：DC2DC12DDDU；此结构在要求时的平均失效概率为：CEDDDUG tPFD2.2.2 1oo2结构的可靠性框图精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 10 页，共 30 页 - - - - - - - - - - 1o

22、o2可靠性框图系统等效停止工作时间表示如下：MTTRMTTR3TtDDU1DDUGE此结构在要求时的平均失效概率为：MTTR2TMTTRtt1112PFD1DUDDDGECESDDDDDUDUG2.2.3 2oo2结构的可靠性框图2oo2可靠性框图此结构在要求时的平均失效概率为：CEDGt2PFD2.2.4 2oo3结构的可靠性框图2oo3可靠性框图此结构在要求时的平均失效概率为：MTTR2/TMTTRtt116PFD1DUDDDGECE2DUDDDG2.2.5 1oo2D结构的可靠性框图每个通道中被检测的安全失效率如下：2DC/SDSDDDDUSDDD1DUCE/MTTRMTTR2/T/ t

23、SDDDDUSDDD1DUGE/MTTRMTTR3/T/ t精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 11 页，共 30 页 - - - - - - - - - - 1oo2D可靠性框图此结构在要求时的平均失效概率为：MTTR2/TMTTRt t1112PFD1DUDDDGECESDDDDDUDUG2.2.6术语列表缩略语及符号术语（单位）1T检验测试时间间隔（h）2T要求之间的时间间隔MTTR平均恢复时间（h）DC诊断覆盖率（在公式中以一个分数或者百分比表示）具有共同原因的、没有被检测到的失效分数

24、（在公式中用一个分数或者百分比表示）D具有共同原因的、已被诊断测试检测到的失效分数（在公式中用一个分数或者百分比表示） （假设D2）子系统中一个通道的失效率（每小时）D子系统中通道的危险失效率（每小时），等于（假设 50% 的危险失效和 50% 的安全失效）DD检测到的子系统中通道每小时的危险失效率（它是在子系统通道中所有检测到的危险失效率的总和）DU未检测到的子系统中通道每小时的危险失效率（它是在子系统通道中所有未检测到的危险失效率的总和）SD子系统中被检测到的通道每小时的安全失效率（它是在子系统通道中所有检测到的安全失效率的总和）CEt1oo1、1oo2、2oo2、1oo2D 、2oo3

25、结构中通道的等效平均停止工作时间（ h） （它是子系统通道中所有部件的组合关闭时间）GEt1oo2、2oo3 结构中表决组的等效平均停止工作时间（h） （它是表决组中所有部件的组合关闭时间）CE t1oo2D 结构中通道的等效平均停止工作时间（h） （它是子系统通道中精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 12 页，共 30 页 - - - - - - - - - - 所有部件的组合关闭时间）GE t1oo2D 结构中表决组的等效平均停止工作时间（h） （它是表决组中所有部件的组合关闭时间）GPF

26、D表决通道组在要求时的平均失效概率（如果传感器、逻辑或最终元件子系统仅由一个表决组构成，则GPFD分别等于SPFD、LPFD或FEPFD） SIL 的马尔可夫模型计算方法2.3.1 1oo1结构的马尔可夫模型在 1oo1 的马尔可夫模型中， 状态 0 表示没有失效。 从这个状态， 控制器可达其他 3 个状态，状态 1 表示安全失效状态， 控制器发生失效， 其输出非使能（失电或开路）。状态 2 表示检测到的危险失效状态，输出使能而发生失效，但是失效被自诊断检测出可立即进行修复。状态 3 表示发生了危险失效， 但失效没能被自诊断发现。FS1OK0FDD2FDU3SDOSUSDDDDU1oo1 结构

27、马尔可夫模型 1oo1结构的状态转移矩阵P为10001000101PDUODDSDSUSDOSDDS精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 13 页，共 30 页 - - - - - - - - - - 计算 MTTFS 的马尔可夫状态转移图如下图所示.OK0SDFS1SUSD1oo1 结构马尔可夫模型MTTFS相应的 Q 矩阵为SUSD1Q因为 N=I-Q -1 ，故SUSD1N因为 MTTFS 是给定起始状态矩阵N行元素的和，故SDSU1MTTFS2.3.2 1oo2结构的马尔可夫模型系统存在

28、 3 个能够执行安全功能的状态。在状态0。两个通道都正常运行。在状态 1 和 2，一个通道发生危险使得输出短路（使能）。系统能够继续正常运行是因为另一个通道仍然能够使输出开路（非使能）。因为状态 1 的危险失效被检测到，所以能够进行在线修复，状态1 会以修复率o返回到状态 0。状态 3，4，和 5 是系统的失效状态。在状态3，系统发生安全失效。在状态4，系统发生检测到的危险失效。在状态5，系统发生未检测到的危险失效。共因失效会导致系统由状态 0 直接到达状态 4 或状态 5。假设维修过程会检查并修复系统的所有失效，状态 4 通过维修会回到状态0。否则，状态 4 必须拆分为两个状态：一个是两个通

29、道都发生检测到的危险失效，另一个是一个通道发生检测到的危险失效、一个通道发生未检测到的危险失效。前者通过维修回到状态0，后者通过维修回到状态2。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 14 页，共 30 页 - - - - - - - - - - OK0Degraded-1FailDetected1Degraded-1Failundetected2SystemFS3SystemFDD4SystemFDU5SUNSDNSUCSDC22SDDDN2ODUN2SDSDDDUODDCDUC1oo2 结构马

30、尔可夫模型1oo2结构的状态转移矩阵P为10000100012000102000012001PDUDUCODDDDDCSDSSSNSCDUNDDNOSDO其中表示矩阵元素所在行除该元素外其他元素之和。相应的 Q 矩阵为A31020A12A1QDUN2DDNDDO1其中S32SUNSDNSUCSDC1AA22A精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 15 页，共 30 页 - - - - - - - - - - OK0Degraded-1FailDetected1Degraded-1Failunde

31、tected2SystemFS3SUNSDNSUCSDC22SDDDN2ODUN2SSDDDUD1oo2 结构马尔可夫模型MTTFS 2oo2 结构的马尔可夫模型在状态 0、1 和 2 系统能够成功运行。 状态 3，系统发色和能够了安全失效，输出开路。状态 4 和 5，系统发生检测到和未检测到的危险失效。这个马尔可夫模型与 1oo2 结构的马尔可夫模型比较可以看出在安全与危险失效上两者具有部分对称性。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 16 页，共 30 页 - - - - - - - - -

32、 - OK0Degraded-1FailDetected1Degraded-1Failundetected2SystemFS3SystemFDD4SystemFDU5SDOSDSDDDUOSUCSDCSUN2DUNDUC2DDNDDC2SDN22oo2 结构马尔可夫模型2oo2结构的状态转移矩阵P为100020102001000102000012001PDUDUNDUCODDDDDNDDCSDSSSCSUNSDNOSDO其中表示矩阵元素所在行除该元素外其他元素之和。相应的 Q 矩阵为A31020A12A1QSUN2SDNDDO1其中S32SC1AAA精品资料 - - - 欢迎下载 - - -

33、- - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 17 页，共 30 页 - - - - - - - - - - OK0Degraded-1FailDetected1Degraded-1Failundetected2SystemFS3SDOSSSUCSDCSUN2SDN2DD2oo2 结构马尔可夫模型MTTFS2.3.4 2oo3结构的马尔可夫模型系统初始状态时全部3 个通道的运行状态均为正常状态。3 个通道的 4 种模式的失效会导致系统离开初始状态。另外，共因失效也需要考虑。 对于两个通道存在 3 种组合方式： AB 、AC和 BC ，表示 3 组

34、共因失效。在状态1，一个通道出现检测到的安全失效。在状态2，一个通道出现未检测到的安全失效。在状态1 和状态 2，系统降级为 1oo2 结构。在状态 3，表明一个通道出现检测到的危险失效。在状态 4，一个通道出现未检测到的危险失效。在状态3 和状态 4，系统降级为 2oo2 结构。在 1、2、3、4 各状态，系统尚未失效。在状态 1 和 2 系统仍处于运行状态， 正常通道再次出现安全失效将使系统安全失效，而正常通道出现危险失效将使系统又降一级。在状态3 和 4，系统运行在 2oo2 配置。当出现正常通道的危险失效，系统将会危险失效，而正常通道出现安全失效也将使系统又降一级。假设系统修理时所有的

35、故障单元会被修复，因此，所有的修复将使系统回到状态0。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 18 页，共 30 页 - - - - - - - - - - OK0SDN1SUN2DDN3DUN4SDNDDN5SDNDUN6SUNDDN7SUNDUN8FS9FDD10FDU11SUCSDC33SDSDN3OSUN3DDN3ODUN3DDC3ODUC3DUNDUC2DDN2DUN2DDN2DUN2SNSC2DUCDDCSDN2SUN2OODNDC2DDNDDC2SDN2SUN2DUDUSUCSDCS

36、DDD2oo3 结构马尔可夫模型2oo2结构的状态转移矩阵P为1000020301022300122300010002020000001020220000000102002000000010202000000001000300000000100300000000010300000000001300001PDUDUDUNDUCDUCDUCDUCDDDDDDDDNDDCDNDCDDCDDCDDCSSSSSCSCSNSCSNSCSCSUNDUNSDNSUNDDNSDNDUNSDNDDNDUNDDNSUNSDNOSDOOOOO其中表示矩阵元素所在行除该元素外其他元素之和。精品资料 - - - 欢迎下载

37、 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 19 页，共 30 页 - - - - - - - - - - 2.3.5 1oo1D结构的马尔可夫模型状态 0 代表无效的情况。从状态0 系统可以到达其他两个状态。状态1代表安全失效， 状态 2 代表未检测到的危险失效。 1oo1D的马尔可夫模型与1oo1相似，不同的是检测到的危险失效将使系统出现安全失效，造成受控过程的误停车。FS1OK0FDU2SDDUDDSUSD1oo1D结构马尔可夫模型1oo1D结构的状态转移矩阵P为100101PDUSDDDSUSDSDDS求解 1oo1D结构

38、系统的 MTTFS 与 1oo1 的相似，这是因为 1oo1D体系结构仅仅将检测到的危险失效转换为安全失效，它本身并没有容错能力，即DDS1MTTFS2.3.6 1oo2D结构的马尔可夫模型 1oo2D结构的马尔可夫模型共有4 个系统成功运行的状态。状态1 代表发生了一个检测到的安全失效或检测到的危险失效。当一个危险失效被检测出时，诊断开关断开，输出非使能，因此，两种失效的结果是相同的。另一个系统成功状态 2 代表某一控制器出现了未检测到的危险失效。系统仍然继续正常运行是因为另一个单元仍能够检测到该失效，使得系统停车。 在第三个降级的系统成功状态 3，系统某一单元出现未检测到的安全失效后，系统

39、输出仍可由另一正常单元控制。在状态 1，系统降级到1oo1D结构。后续的安全失效或检测到的危险失效精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 20 页，共 30 页 - - - - - - - - - - 会导致系统发生安全失效；后续的未检测到的危险失效将使系统发生危险失效。系统在失效状态 5 时，一个单元发生检测到的失效， 另一个单元发生未检测到的失效。在检测到的失效发出维修请求后，所有的单元都要进行检验测试，因此从状态 5 到状态 0 存在一个维修的状态转移。在状态 2，一个单元发生在未检测到的危

40、险失效。由于系统仍能正确响应过程危险， 因此仍能正常运行。 在这个状态下， 任何部件的失效都会导致系统发生危险失效。 例如，一个单元发生未检测到的危险失效，另一个单元发生了检测到的安全失效。这时第二个单元因为故障也不能对第一个单元的开关进行控制，所以系统被认为发生危险失效， 不会响应过程请求。 如果第二个单元发生检测到的安全失效，则系统转到状态5。在状态 3，一个单元发生未检测到的安全失效，系统降级到1oo1D结构。后续的检测到的安全失效或危险失效都将使系统发生安全失效。而后续的未检测到的危险失效则会使系统发生危险故障使系统转到状态6，也就是说两个单元出现未检测到的失效。 处于该状态的失效只有

41、在进行周期性功能测试时才会被发现。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 21 页，共 30 页 - - - - - - - - - - OK0Degraded-1FailDetected1Degraded-1Fail undetectedDangerous2SystemFS4SystemFDD5SystemFDU6SDODegraded-1Fail undetectedSafe3DDCSUCSDNDUN2ODUSUN2DUCDDNSDN22DDSDDSDUDDSDDUSU1oo2D结构马尔可夫模

42、型1oo2D结构的状态转移矩阵P为100001000001000010020000102000001220001PDUDUSUDUCDDSDDUDDSDDSDDCSCSUNDUNDDNSDNOSDO其中表示矩阵元素所在行除该元素外其他元素之和。2.3.7 术语列表精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 22 页，共 30 页 - - - - - - - - - - 缩略语及符号术语（单位）TI检验测试时间间隔（h）TSD系统启动时间（h）SD系统启动率SD=1/ TSD（ h-1）MTTR平均恢复

43、时间（h）O维修率O=1/ MTTR（ h-1）TIC功能测试覆盖率，取值01具有共同原因的、没有被检测到的失效分数（在公式中用一个分数或者百分比表示）D具有共同原因的、已被诊断测试检测到的失效分数（在公式中用一个分数或者百分比表示）（假设D2）D危险失效率（h-1）S安全失效率（h-1）DD检测到的危险失效率（h-1）DU未检测到的危险失效率（h-1）SD检测到的安全失效率（h-1）SU未检测到的安全失效率（h-1）SDN正常检测出安全失效率（h-1）SUN正常未检测出安全失效率（h-1）DDN正常检测出危险失效率（h-1）DUN正常未检测出危险失效率（h-1）SDC共因检测出安全失效率（h

44、-1）SUC共因未检测出安全失效率（h-1）DDC共因检测出危险失效率（h-1）DUC共因未检测出危险失效率（h-1）精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 23 页，共 30 页 - - - - - - - - - - SIL 的故障树分析计算方法2.4.1 1oo1结构的 PFD故障树1oo1 DDDU1oo1 结构的 PFD故障树11*ooDDDUPFDRTTI011(*)1*2TIDDDUavg ooDDDURTTI dTIPFDRTTITI2.4.2 1oo2结构的 PFD故障树1oo2

45、 DDNDUNA 失效DNDDNDUNB 失效DNA&B 失效DDCA&B 失效DUC1oo2 结构的 PFD故障树212*(*)ooDUCDDCDDNDUNPFDTIRTRTTI精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 24 页，共 30 页 - - - - - - - - - - 201222*(*) 11*(*)(*)*23TIDUCDDCDDNDUNavg ooDUCDDCDDNDUNDDNDUNTIRTRTTIdTIPFDTITIRTRTTIRTTI2.4.3 2oo2结构的 PFD故障树

46、2oo2 A&B 失效DUCA&B 失效DDCA 失效DDNA失效DUNB失效DDNB失效DUN2oo2 结构的 PFD故障树22*2*2*ooDUCDDCDDNDUNPFDTIRTRTTI022(*2*2*)1*2*2TIDUCDDCDDNDUNavg ooDUCDDCDDNDUNTIRTRTTI dTIPFDTITIRTRTTI2.4.4 2oo3结构的 PFD故障树2oo3 A失效DDNA失效DUNA 失效B失效DDNB失效DUNB 失效A&B 失效A 失效DDNA失效DUNA 失效B失效DDNB失效DUNC 失效A&C 失效B失效DDNB失效DUNB 失效C失效DDNC失效DUNC 失

47、效B&C 失效A&B&C 失效DUCA&B&C 失效DDC2oo3 结构的 PFD故障树223*3(*)ooDUCDDCDDNDUNPFDTIRTRTTI202322*3(*) 1*3(*)(*)3*2TIDUCDDCDDNDUNavg ooDUCDDCDDNDUNDDNDUNTIRTRTTIdTIPFDTITIRTRTTIRTTI精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 25 页，共 30 页 - - - - - - - - - - 2.4.5 2oo4结构的 PFD故障树2oo4 A失效DDNA

48、失效DUNA 失效B失效DDNB失效DUNB 失效A&B &C失效C失效DDNC失效DUNC失效A 失效DDNA失效DUNA 失效B失效DDNB失效DUNB 失效A&B &C失效D失效DDND失效DUND 失效A失效DDNA失效DUNA 失效C失效DDNC失效DUNC 失效A&C &D失效D 失效DDND失效DUND 失效B失效DDNB 失效DUNB 失效C 失效DDNC失效DUNC 失效B&C &D 失效D失效DDND失效DUND 失效A&B&C&D 失效DDCA&B&C&D 失效DUC2oo4 结构的 PFD故障树324*4(*)ooDUCDDCDDNDUNPFDTIRTRTTI30243

49、322033*4(*) *(*)(*)3(*) *(*)3(*)*(*) 1*4(*)(*)23(*2TIDUCDDCDDNDUNavgooTIDUCDDCDDNDUNDDNDUNDDNDUNDUCDDCDDNDUNDDNTIRTRTTIdTIPFDTITIRTRTTIRTTIRTTIdTITITIRTRTTI22) *(*)DUNDDNDUNRTTIRTTI2.4.6 1oo1D结构的 PFD故障树1oo1D DU1oo1D结构的 PFD故障树11*oo DDUPFDTI011(*)1*2TIDUavg oo DDUTI dTIPFDTITI精品资料 - - - 欢迎下载 - - - - -

50、 - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 26 页，共 30 页 - - - - - - - - - - 2.4.7 1oo2D结构的 PFD故障树1oo2D A&B 失效DUNA 失效DUNB失效DUN1oo2D结构的 PFD故障树212*(*)ooDDUCDUNPFDTITI22012*(*) 11*(*)23TIDUCDUNavg oo DDUCDUNTITIdTIPFDTITITI2.4.8 2oo2D结构的 PFD故障树2oo2D A&B 失效DUCA失效DUNB失效DUN2oo2D结构的 PFD故障树22*2*ooDDUCDUNPFDT