张江丰，汪自翔，苏 烨，孙坚栋，张宏鑫

(1.国网浙江省电力有限公司电力科学研究院，浙江 杭州 310014；2.杭州意能电力技术有限公司，浙江 杭州 310014；3.中电国际新能源海南有限公司，海南 海口 570000)

0 引言

安全仪表系统(safety instrumented system，SIS)作为控制系统的报警和联锁部分，根据火电机组的运行监测数据实施报警、调节、切投等动作，保障人员和设备安全，是火电自动控制的重要组成部分[1]。SIS应在危险工况时及时动作，并且需要尽量避免误动造成的非计划停机。目前，火电厂SIS可靠性评估体系并不完善，相应的系统组态一般只能凭经验完成，给机组的安全、可靠运行带来了隐患。实际上，国内外对于系统的安全可靠性评估已制订了一系列标准。美国仪表协会(The Instrumentation,Systems,and Automation Society，ISA)在1996年出台了ANSI/ISA-84.01标准[2]，提出了安全完整性等级(safety integrity level，SIL)作为系统安全性、完整性评价指标。国际电工委员会(International Electrotechnical Commission，IEC)在ANSI/ISA-84.01基础上，通过要求时失效概率(probability of failure on demand，PFD)和每小时危险失效概率(probability of dangerous failure per hour，PFH)2个指标对SIL进行分类[3]。我国国家标准GB/T 20438—2017[4]、GB/T 21109—2007[5]也规定了相关领域的SIL。在SIS可靠性评估方面，国内外已有相应的标准体系提供支持，目前已逐步开始通过SIL来分析SIS的可靠性。文献[6]基于IEC 61508和IEC 61511标准，计算了化工装置SIS的安全完整性等级，为SIS设计提供了重要参考；文献[7]采用危险和可操作性方法确定锅炉保护系统所需的整体安全性等级，既提高了锅炉保护系统的可靠性，又避免了过度冗余；文献[8]针对某化工装置中液位联锁回路检验周期延长的变更要求，进行了SIL验证计算，确保了SIS的安全应用。

系统的SIL可以通过定性或定量的方法确定。定性方法根据工程师的主观经验，将各类风险模糊数值化，并基于风险矩阵推算SIL[9]。定量方法需要通过计算PFD或者PFH来确定SIL[10]。计算PFD、PFH等参数时，首先需要对SIS进行建模。常用建模方式包括可靠性框图建模、故障树建模和马尔可夫模型等。其中，马尔可夫模型可以描述系统的动态过程，并且在该模型下可以同时计算多个性能指标，因此正越来越广泛地被应用。在马尔可夫模型建立过程中，需要依赖大量试验得到的样本数据。但是在电厂SIS中，难以准确获取传感器、控制器、继电装置、I/O组件等设备的实际状态，给建模带来了巨大困难。

本文利用隐马尔可夫模型(hidden Markov model，HMM)对安全仪表系统的状态进行建模，无需知道系统实际状态，仅仅依靠可直接获取的观测样本对系统建模。在HMM建模基础上，通过计算PFD和PFH，查找对应的SIL，准确地评估安全仪表系统的可靠性水平。

1 安全仪表系统控制器的HMM建模

马尔可夫模型属于离散随机过程描述。在马尔可夫模型中，系统当前状态仅仅和前一时刻的状态相关，且一个状态会以某个状态转移概率跳转到下一个状态。HMM是马尔可夫模型的延伸，用于研究状态无法直接被观测的马尔可夫模型。HMM已被用于语音识别、文字识别、故障诊断等领域[11]。

图1给出了一个简单的HMM结构图。其中：Sk(k= 1,2,3,4)表示隐含状态；Qk(k= 1,2,3)表示观测状态。隐含状态是系统中实际存在但无法直接观测的状态。观测状态是可以通过一些手段直接观测的状态。隐含状态之间的转移概率用隐含状态转移概率矩阵A来描述，Aij=P(Sj|Si)，观测状态对应隐含状态的概率用观测状态转移矩阵B来描述，Bij=P(Qi|Sj)。HMM还包含了一个初始状态，如果用π表示初始状态概率，那么可以用三元组λ= (A,B,π)来描述HMM。

图1 HMM结构图

安全仪表系统控制器通常包含传感器、输入电路、逻辑运算电路、输出电路和执行机构。安全仪表控制系统控制器结构如图2所示。

图2 安全仪表控制系统控制器结构示意图

任何部件无法正常工作均有可能导致系统发生危险失效。在危险失效状态下，安全仪表系统无法对危险工况做出正确动作，存在潜在的安全隐患。如果已知每个部件的PFD，便可以求得安全仪表系统控制器的PFD。然而，控制器中各个部件的PFD通常是未知的，因而只能利用试验样本数据来拟合系统的PFD。对于一个安全仪表系统控制器，可以认为包含正常和失效2种状态。系统的状态转移可以用1个只包含2个隐含状态的HMM来描述。在此用S1、S2表示系统的隐含状态，Q1、Q2表示HMM中的观测状态。S1表示系统正常，S2表示系统失效。状态转移矩阵A给出了系统在S1、S2之间跳转的概率，观测状态转移矩阵B给出了在不同状态下得到的某个观测状态Qi(i= 1,2)的概率。在安全仪表系统运行过程中，可以选择执行机构的动作情况作为观测样本，并利用得到的某一时间段内的观测样本序列对HMM进行训练，确定该HMM的隐含状态转移概率矩阵和观测状态转移矩阵。本文以λ= (A,B,π)表示安全仪表系统控制器的HMM，系统控制器的PFD等价于对应HMM的不变测度：

(1)

式中：p为PFD值；Aij为从系统状态Si(i=1,2)转移到Sj(j= 1,2)的概率。

2 基于BW-G算法的HMM训练

用λ= (A,B,π)表示安全仪表系统控制器所对应的HMM，需要根据观测样本序列O来训练该HMM。目前较为通用的训练方法为Baum-Welch算法。该算法基于最大后验概率估计思想，根据观测样本序列寻找一个使P(O|λ)为最大的HMM。但Baum-Welch算法具有很强的初值敏感性，最终的训练结果往往收敛至初值附近。本文将Baum-Welch算法与遗传算法相结合，通过Baum-Welch遗传(Baum-Welch-genetic，BW-G)算法训练HMM。类似方法已被用于语音识别和文字识别等领域[12]。算法包含两部分：基于遗传算法的全局寻优过程和基于Baum-Welch算法的局部寻优过程。

2.1 基于遗传算法的全局寻优过程

对于图2所示的安全仪表系统控制器，可以将其HMM表示为λ= (A,B,π)。采用实数编码，以X= (A11,A21,B11,B21,π)表示染色体。在基于Baum-Welch算法的HMM训练过程中，需要利用最大后验概率估计来匹配HMM参数。为了使遗传算法的优化指标与Baum-Welch算法相一致，以P(O|λ)作为遗传算法的生存度函数，经过选择、复制、交叉和变异等4个过程，寻找λ= argmaxP(O|λ)。其中，P(O|λ)求解由前向后向算法完成：

αt(i)=P(O1O2…Ot,s(t)=Si|λ)

(2)

βt(i)=P(Ot+1Ot+2…OT|s(t)=Si,λ)

(3)

(4)

(5)

式中：αt(i)为前向算法中的中间变量；βt(i)为后向算法中的中间变量。

在选择过程中，根据P(O|λ)大小，以轮盘赌方式对染色体进行复制。然后，对复制后的种群进行算术交叉和非均匀变异：

X′1=μX1+(1-μ)X2

(6)

X′2=μX2+(1-μ)X1

(7)

(8)

式中：μ为(0,1)区间内的可调节参数；r为区间[0,1]内的随机数；t为当前遗传代数；T为最大遗传代数；b为决定非均匀程度的常数；X1、X2为交叉前的染色体；X′1、X′2为交叉后的染色体；Xk为变异前的染色体；X′k为变异后的染色体。

经过不断迭代，完成全局寻优，从而找到一个HMM与系统执行机构动作的观测序列相匹配。图3给出了遗传算法训练HMM的误差变化曲线。由图3可以看出，随着迭代次数的增加，误差逐渐趋于恒定，其大小约为0.07。由此表明，利用遗传算法进行全局寻优可以将结果收敛至实际值附近。

图3 遗传算法训练HMM的误差变化曲线

2.2 基于Baum-Welch算法的局部寻优过程

用λ0表示利用遗传算法得到的HMM，并以λ0为初值运行Baum-Welch算法，在小范围内继续搜索与观测序列匹配的HMM。对于给定的观测序列O，在t时刻系统状态为Si，在(t+1)时刻状态为Sj，其概率可以表示为：

ξt(i,j)=P[s(t)=Si,s(t+1)=Sj|O,λ]

(9)

根据式(1)、式(2)，ξ(i,j)(t)可以进一步表示为：

(10)

通过ξt(i,j)可以求得HMM的各个参数：

(11)

(12)

(13)

3 仿真实例

根据IEC 61508-1标准，系统SIL的划分标准如表1所示。将PFD对照表1，便可以对安全仪表系统的可靠性进行评估。

表1 SIL划分标准

对于一个SIS控制器，在计算PFD时需要知道2个性能指标：用P10表示正常状态跳转到失效状态的概率；用P01表示失效状态跳转到正常状态的概率。在仿真中，统计了1 000个采样周期的安全仪表系统执行机构动作情况。针对这些数据，利用BW-G算法训练HMM，并基于训练得到的HMM计算PFD，在不同安全仪表系统失效概率情况下得到的PFD和SIL。不同失效概率下的可靠性评估如表2所示。计算结果验证了本文提出的方法可以准确地对安全仪表系统控制器的可靠性水平进行评估。

表2 不同失效概率下的可靠性评估

4 结论

本文主要研究了电厂安全仪表系统可靠性评估问题，通过对安全仪表系统控制器的正常状态及失效状态进行HMM建模，并基于该模型计算安全仪表系统控制器的PFD，通过对照IEC的SIL划分标准确定系统可靠性等级。该方法不仅可以对电厂现有的安全仪表系统相关设备进行可靠性评估，还可以辅助电厂分布式控制系统(distributed control system,DCS)设计，提高系统的安全可靠性。