张宏扬,卢佩玲,张 浩

(中国铁道科学研究院集团有限公司通信信号研究所,北京 100081)

电气/电子/可编程电子(Electrical/Electronic/ Programmable electronic，E/E/PE)安全相关系统广泛应用于石油化工、航空铁路、矿业核能等领域，功能安全基础标准IEC61508—6[1](以下简称IEC61508)中提供了一种基于可靠性框图(Reliability Block Diagram) 的硬件失效概率计算方法，以预测E/E/PE安全相关系统的硬件安全完整性能否达到规定等级，许多领域常利用该方法推导出的PFD(Average probability of failure on demand)/PFH(Average frequency of dangerous failure)公式对产品的安全性进行定量分析与评估。

工业过程控制领域中，王耀等[2]利用该方法中PFD计算公式对锅炉炉膛的安全监控系统中“炉膛风量小于25%触发主燃烧跳闸”这一安全功能进行了定量评估，结果显示，为使系统满足要求的SIL(Safety Integrity)2级，可将原来的电动执行机构由1oo1结构改进为1oo2结构；薛利俊[3]以某化工装置的安全仪表系统中“当温度低于低联锁值时，应立刻切断阀门保护下游管道和设备”这一安全联锁功能为例，采用1oo1、2oo3结构的PFD公式计算系统中的回路是否满足相应SIL等级，除考虑增加系统的冗余度外，文献[1-2]均建议通过缩短离线的检验测试时间间隔T来提升系统的SIL等级；靳江红[4]通过考虑误动率、不完善检验测试等因素改进了PFD计算公式，并对某储罐系统的压力保护系统进行了安全评估。铁路信号领域中，WANG等[5-6]分别采用标准中PFH公式计算了不同结构计算机联锁系统的危险失效概率，以评价整个系统的SIL等级，但文献[5]没有对检验测试时间T的取值进行说明，文献[6]中T取值为一年，但检验测试需在离线条件下进行，而计算机联锁系统具有常年连续不间断运行的特点，难以定期执行检验测试，且两个文献均未考虑2oo2结构中共因失效对安全性的影响。

通过分析上述文献可知，工业过程控制领域内的安全生产过程一般由实现应用功能的安全控制系统与对其进行监控防护的安全防护系统共同完成，后者并不参与生产应用功能，IEC61508中的PFD/PFH公式是根据其中防护系统的安全特性推导得出的，而铁路信号地面控制系统的生产应用功能与防护功能融为一体，一般不存在附加防护系统，但铁路信号领域内部分研究[7-8]在计算其冗余结构的危险失效概率时直接采用了该标准中的公式，并没有分析该公式的适用性，也有研究[9]对IEC61508所面向的工业领域内单纯实现防护功能的系统进行了分析，说明其与铁路信号控制系统间的差异性，但文中只从定性角度进行了评判，并没有给出定量评估。

以A类系统表示IEC61508所面向的主要用于实现安全防护功能的安全相关系统，以B类系统表示铁路信号安全相关系统。从定性角度，分析两类系统在系统结构、控制对象、危险侧判定等方面差异性；从定量角度，以两类系统中常见的3种冗余结构—1oo1、1oo2、2oo2为对象，首先，采用IEC61508中的可靠性框图法计算A类系统这3种结构的危险失效概率；然后，根据B类系统的安全特性，采用马尔科夫链计算B类系统上述结构的危险失效概率；最后，以实际参数为例进行仿真，比较两类系统计算结果的差异性，对IEC61508推荐的可靠性框图法在B类系统中的适用性进行分析。

1 A、B类系统安全特性比较

图1为典型A类系统某化学反应器的高完整性压力保护系统结构示意。图2为典型B类系统某计算机联锁系统结构示意。

图1 A类系统高完整性压力保护系统

图2 B类系统某计算机联锁系统

如图1所示，该生产过程由实现生产控制的化学反应器和对其进行监控防护的压力保护系统共同完成。其中，压力保护系统由2oo3结构传感器子系统、1oo1结构逻辑控制器子系统和1oo2结构执行器子系统组成，它们各自实现不同的功能且与化学反应器之间相互独立。当传感器子系统中任意2个压力传感器PT(Pressure Transducer)检测到化学反应器顶部压力过高时，逻辑控制器子系统的PLC(Programmable Logic Controller)将输出控制信号来关闭执行器子系统的任意阀门V(Valve)，从而切断反应器进料源，以防止反应器内因压力过高而造成安全事故[10]。如图2所示，以计算机联锁系统的核心部分—联锁逻辑子系统为例，它通过输入子系统采集的现场设备状态，结合操作显示子系统下达的执行命令，经过逻辑运算并通过输出子系统控制现场设备。整个系统不仅执行正常的生产任务(控车)且保证行车安全，例如对于道岔转换这一功能来说，联锁系统不仅控制道岔进行转换，而且决定所转向的位置，以防止转换错误导致列车处于危险状态。

由上述分析可知，在工业过程控制领域中，一个正常的安全生产过程通常由2个系统组成：用来执行生产控制功能的安全控制系统与用来保证前者处于安全状态的安全防护系统[11]。而IEC61508中的安全性定量分析主要面向其中的安全防护系统，但铁路信号领域中安全相关系统直接面向信号系统的具体应用需求，实现所有或主要的应用功能，而非仅对受控设备进行“监控”，这显然与上述单纯实现防护功能的系统之间存在差异。

此外，虽然在形式上“MooN”(以MooN(M≤N)表示在N个独立完成相同功能通道结构中的M个通道，当采用以M为判值的表决原则构成冗余时，MooN为标准可靠性模型中的M/N[G]表决系统，即该冗余系统功能完好的充要条件为：N个通道中有M个及M以上个完好)已足以表达大部分冗余结构，但本质上“MooN”能够清晰表达的只包括输出选择方式(表决/比较/选择)在内的由多个“通道”构成的基本冗余结构或冗余关系，并未表达也无法表达该冗余结构在“通道”故障后的处理原则。实际上，冗余系统故障检出及之后的处理原则通常不仅是影响和决定MooN系统具体技术实现的关键因素，而且对冗余系统可靠性、安全性影响也至关重要，即冗余系统可靠性、安全性不但取决于其MooN结构，还取决于其故障检测的有效性和故障处理原则，而且一般还与其安全相关功能的性质及实现方式密切相关。因此，这些因素直接影响对冗余系统可靠性和安全性分析与建模(可靠性框图等)、计算，甚至还可能会使同一种MooN结构对安全相关功能性质及其实现方式不同的系统的安全性起到不同的作用。

下面以常见的1oo1、1oo2、2oo2结构为对象，采用IEC61508中的方法计算A类系统这3种结构的危险失效概率，采用马尔科夫链计算B类系统这3种结构的危险失效概率，从定量角度分析两类系统安全性的差异。

2 A类与B类系统常见冗余结构安全性定量分析

(1)假设单元模块的失效率服从指数分布，其失效率用λ表示，危险失效率λD=0.5λ，λDD为可被在线检测到的危险失效率，λDU为不能被在线检测到的危险失效率，诊断覆盖率DC=λDD/λD。

(2)共因失效部分采用β因子模型[12-13]，定义β=λDUC/λDU为具有共同原因的，没有被检测到的失效分数；βD=λDDC/λDD为具有共同原因的，已被检测到的失效分数[1]；且检测模块与功能模块之间互相独立，不存在共因失效。

(3)冗余结构中比较单元和切换单元不发生失效，均能可靠完成规定功能。

2.1 基于IEC61508中RBD法的A类系统安全性分析

2.1.1 1oo1结构

(1)

图3 1oo1结构

2.1.2 1oo2结构

1oo2结构的物理块图如图4(a)所示。

图4 1oo2结构

FA1oo2=2((1-β)λDU+(1-βD)λDD)tCE(1-β)×

(2)

2.1.3 2oo2结构

2oo2结构的物理块图如图5(a)所示。由图5可知，该结构包括两个并联通道，只有当两通道在要求时均进行安全处理，系统才能实现安全功能，假设每个通道在检测到任何失效时，均使本通道进入安全状态，但两通道中只要有一个发生不能被在线检测到的失效，整个系统就会在要求时失效。建立其可靠性框图如图5(b)所示，是典型的两个单通道串联后结构，根据2.1.1节中对1oo1结构危险失效概率的计算，可得

(3)

图5 2oo2结构

2.2 基于Markov链的B类系统安全性分析

马尔科夫链(Markov)研究随机事件状态变化及其之间的转移规律[15-17]，适合描述和分析具有动态交互过程的铁路信号系统的安全性，故这里采用马尔科夫链分析铁路信号系统不同冗余结构的安全性。

2.2.1 1oo1结构

图6为铁路信号系统典型的1oo1结构。模块A无失效发生时系统处于正常工作状态；当模块A发生可被在线检测到的失效后会在短时间内被拒绝，使系统导向安全侧[18]；当模块A发生不能被在线检测到的失效后会致系统于危险侧。对该系统的3种状态定义及说明如表1所示。

图6 1oo1结构

表1 1oo1结构系统状态编号及说明

根据表1中3种状态建立图7所示的Markov模型。

图7 1oo1结构Markov模型

不同状态之间转换的相应描述如下。

0→1：A发生可被在线检测到的失效，系统无法正常工作，导向安全侧。

0→2：A发生不能被在线检测到的失效，可能导致事故的发生，系统处于危险侧。

FB1oo1=P2=(1-DC)(1-e-λDt)≈(1-DC)λDt

(4)

2.2.2 1oo2结构

图8为以1oo2结构在铁路信号领域中最常见的实现方式，双机热备架构为例，该结构由两个完成相同功能并具有主备关系的A、B两系组成，正常时A、B均无失效发生，系统正常工作，以主系A的输出有效，当A发生可被在线检测到的失效，拒绝A的输出并由切换单元切换至B系保持系统的正常运行，从而实现冗余功能。对该结构系统状态定义及说明如表2所示。

图8 双机热备结构

表2 双机设备系统状态编号及说明

根据表2中5种状态建立图9所示的Markov模型。

图9 双机热备Markov模型

不同状态之间转换的相应描述如下。

0→1：A或B发生可被在线检测到的失效，另一系可以代替失效的模块继续正常工作。

0→2：B发生不能被在线检测到的失效，由于A正常，因此系统正常工作。

0→4：A发生不能被在线检测到的失效或A、B发生不能被在线检测到的共因失效，系统处于危险侧。

0→3：A、B发生可被在线检测到的共因失效，系统处于安全侧。

1→3：对于仅有一系正常工作的状态，当该系出现可被在线检测到的失效时，系统无法正常工作，导向安全侧。

1→4：对于仅有一系正常工作的状态，当该系出现不能被在线检测到的失效时，可能导致事故的发生，使系统处于危险侧。

2→4：对于A正常、B出现不能被在线检测到的失效的状态时，当A再次发生失效(不论是可被在线检测到还是不能被在线检测到的类型)，将置系统于危险侧。

由图9可知，该模型通过三条马尔科夫链到达危险侧状态4，分别为：0→1→4、0→2→4、0→4，其中

(1)0→1→4

P41=2(1-βD)λDD(1-β)λDU×

(5)

(2)0→2→4

(6)

(3)0→4

P43=((1-β)λDU+βλDU)×

(7)

状态4的发生概率为上述三条马尔科夫链计算结果之和P4=P41+P42+P43。即系统的危险失效概率为

FB1oo2=P4

(8)

2.2.3 2oo2结构

图10为铁路信号系统2oo2结构，该系统由两个完成相同规定功能的基本模块A、B组成，两模块的输出需由比较单元进行一致性校核，若一致才允许输出[16]，否则系统在短时间内导向安全侧，以避免因错误执行而产生风险。通常情况下，比较单元比较周期的间隔不会超过最大数百毫秒的应用软件运行周期，这相对于电子器件的可靠寿命而言已足够短[7]，且可编程电子器件构成的大规模集成电路的失效组合数值空间巨大，拥有海量内部状态，因此，无论是什么类型的失效，只要导致输出结果有差异，一般都可以通过比较检测得到，故在极短时间内连续发生多重失效且造成相同错误结果的可能性几乎为零。综上，该系统导向危险侧只由不能被在线检测到的共因失效造成，且必须是导致相同错误结果的共因失效类型。故

δ·β(1-DC)λDt

(9)

式中，δ为引发相同错误结果的失效率占总λDUC的比值。

图10 2oo2结构

3 算例分析

以第2节中A类系统与B类系统常用的3种结构1oo1、1oo2、2oo2为例进行仿真，采用蒙特卡洛模拟法[20-21]消除DC、β参数变化导致的结果不确定性，假设DC与β均服从均匀分布，各参数取值如表3所示。

表3 参数取值

表4 蒙特卡洛模拟下A、B类系统不同冗余结构危险失效概率均值及误差

由表4可得如下结论。

4 结论

(1)工业领域中主要用于实现防护功能的安全相关系统与铁路信号系统具有不同的系统结构特点和安全控制特性，后者的生产应用功能与防护功能融为一体，一般不存在附加防护系统。

(2)相比单一的1oo1结构，1oo2与2oo2结构在A、B两类系统安全性方面所起的作用正好完全相反，这表明IEC61508所面向的工业领域中过程控制系统(即防护功能和控制功能分离的A类系统)的可靠性框图法并不适用于铁路信号控制系统(控制与防护融为一体的B类系统)的安全性定量分析。因此，在选择安全相关系统的安全性定量分析方法时，需首先对系统本身的安全特性进行分析。