1 引 言
2000年5月,国际电工委员会正式发布了通用性标准IEC61508《电气/电子/可编程电子安全系统的功能安全》;2003年又推出了《过程工业领域安全仪表系统(SIS)国际标准》,即专门应用于过程行业安全控制系统的IEC61511标准[1]。IEC61508和IEC61511已成为设计安全仪表系统SIS(Safety In-strumented System),选择计算其安全完整性水平SIL(Safety IntegrityLevel),确保所要求的安全仪表功能得以实现的重要规范。相应的国家标准也于2006年正式颁布[2]。
安全仪表系统SIS是在生产过程中被广泛采用的、由仪表构成的一类安全相关系统,安全性是SIS的立足之本[1]。安全完整性水平SIL指在一定时间、一定条件下, SIS执行其所规定的安全功能的概率[3,4]。在规定的工作时间段内, SIS的平均要求时失效概率PFDavg(AverageProbability ofFailure onDe-mand)是划分SIL的主要依据,PFDavg越小,对应的SIL等级越高,安全性越高。
利用常用SIL评估方法进行评估的过程会引入一些不确定性因素,而这些因素在计算结果中却往往被忽略,人们很少对其影响重新进行评价;实际生产中,人们发现真实情况与理论计算结果往往出现偏差,虽然偏差多数在可容忍的范围内,但有时也可能出现较大偏差,导致严重后果。所以要求工程人员分析出现这种偏差的原因。
“参数不确定性”是SIL评估中一类主要的不确定问题。根据已知参数信息量的多少,我们可以将参数不确定性研究大致分为三类:充分信息,即参数几乎不存在不确定性,可以使用确定性方法直接计算;部分信息,比如了解参数满足某种概率分布,这类情况可引入Monte Carlo仿真方法进行研究,将在其它文章中讨论;极少信息,根据经验仅知道参数满足某一分布区间而不知道在此区间内满足何种概率分布。受试验条件限制,数据往往不足,得到的关于模型参数的信息量通常极少,本文将重点讨论参数满足分布区间的情况。
完全取消不确定性是不现实的,但是可以通过不确定性分析,采用合适的方法来减小不确定性,进而确保整个系统的不确定性保持在可容忍的范围内,提高SIL评估的准确度。①
2 区间分析的一般计算方法
为了能全面描述一个SIS,我们必须知道描述该系统的所有物理量的准确值,而不确定性意味着我们不知道这些量的精确值,可能存在一些不同的值。我们可以利用区间来表示其不确定性,也就是利用最大和最小范围值来表示。
如有n个参数,其中第i个参数的准确值、典型值表示为~xi,该参数的分布区间不确定性可以表示为Xi=[xi,xi],理想输出为~y=f(~x1,…,~xn);而对于某次直接测量,第i个参数的值为xi,误差为Δxi,则实际系统计算输出为y=f(x1,…,xn)(~yi≠yi)。我们可以考察Δy=yi-~yi来确定输出的分布区间。在很多情况下,我们仅知道误差上限,对于第i个参数可以表示为Δi(Δi≥0),有|Δxi|≤Δi,每次测量后我们仅有的信息是实际的xi值属于区间Xi=[~xi-Δi,~xi+Δi]。
当元件不确定性用这种方法表示时,参数传递和概率分配传递的方式有所不同。
对于分布区间a=[a,a]和b=[b, b],基本运算包括:
根据应用背景,本文考察的区间范围足够窄,Δxi的二次或更高次形式可以被忽略,设计值y=f(x1,…,xn)=f(~x1+Δx1,…,~xn+Δxn)满足线性条件。
当区间足够小时,将函数f在点(~x1,…,~xn)处Taylor展开并取线性部分,我们可以将表达式Δy=y-~y=f(x1,…,xn)-f(~x1,…,~xn)简化为:Δy=c1Δx1+…+cnΔxn,求点(~x1,…,~xn)处的偏微分得到ci,即ci= f/ xi|(~x1,…,~xn)。
当Δy=c1Δx1+…+cnΔxn中的各个ciΔxi都达到最大时,输出得到最大可能偏差。如果ci≥0,那么该项的累加使函数非减,根据误差上限Δi可以得到Δxi=Δi,相应的该项最大值为ciΔi;如果ci<0,那么该项的累加使函数减小,根据误差上限Δi可以得到Δxi=-Δi,相应的该项最大值为-ciΔi=|ci|Δi。所以Δ=|c1|Δ1+…+|cn|Δn为Δy的最大可能值。同理,Δy的最小可能值为-Δ。
Δy的区间表示为[-Δ,Δ],输出值Y的分布区间为[~y-Δ,~y+Δ]。计算过程如图1所示。上面的计算建立在表达式f为显式的基础上,而在一些复杂系统中,通常很难得到具体表达式。这种情况下,我们可以逐个计算ci,Δ可以根据式子Δ=|c1|Δ1+…+|cn|Δn计算得到。对于第i个系数ci,我们将对应输入参数xi改为~xi+hi,而其他参数不变,其中,hi必须足够小。因为我们已经知道Δi,且Δi足够小,所以可令hi=Δi,即令δ1=…=δi-1=0,δi=Δi,δi+1=…=δn=0得ci为:
这种方法对于单个或少量参数的设计较有效,但是如果要对多个参数进行设计、比较,得到其最优输出,对于应用来说并不十分适用。
3 基于Cauchy分布的MC方法
当参数符合某种分布时,可以使用MC方法[5]得到输出量的统计特性。但是,当信息量很少时,我们无法确定参数符合何种分布,而仅根据经验得知参数的分布区间,在这种情况下,如果仍需进行简便的MC仿真,就需要设计一种新的计算方法。
一种解决方案是在参数区间内采用尽可能多的概率模型,分别进行多次MC仿真,分析得到输出值的准确值。
但是,这种方法耗时多,误差不易估计,于是我们尝试从数学上来找到一类典型的概率分布取代多种分布,而且因为信息匮乏,我们对于模型的数学期望、方差等统计特性有特殊的要求,使得能够忽略其影响,使模型具有典型性、适用性。
基于Cauchy分布的MC方法包括3个步骤:
(1)根据由真实物理模型建立的数学模型,从某次直接测量的参数~x1,…,~xn得到系统输出结果,即~y=f(~x1,…,~xn);
(2)采用MC方法进行下面计算(某一次计算的序数用k表示,k=1,…,N,共进行N次计算):
基于Cauchy分布的MC方法如图2所示。
根据计算速度,在一定准确度要求下,如果模型满足分布区间的输入参数个数为n,MC仿真的最少次数为Nf,那么n≥Nf时可选用标准化的MC仿真方法,反之可选用一般计算方法。
需要说明的是,选用MC方法在时间成本上不影响本课题研究,而且在实际的大型复杂系统中,参数往往很多,研究MC仿真方法是有必要的。如果有多个处理器,MC方法可以进行并行计算,这样可以减少运算时间。
最后强调非线性问题,因其容易被忽略,使计算结果发生较大偏差。如果输入参数的区间不够窄,会导致计算过程中不能忽略二次及其以上的高次项,需要对算法做出某种改进。假设某输入参数xi区间[xi,xi]太宽,可以使用二分法将其分成两个子区间,可以使得子区间满足线性要求,然后分别就相应的子区间按照步骤估算输出的区间范围,将得到的区间进行合并,即可得到最终关于输出的分布区间。当然,如果一次二分法后某个区间仍然过大,那么可以再次二分处理,直到能够确保线性关系,然后按照标准化MC方法进行计算。
4 实例分析
以1oo2结构为例,重点探讨MC方法在输入参数满足某种分布区间情况下的应用,对输出不确定性进行讨论。
若考虑多个参数,即除了失效率λ以外,其他参数也仅知其分布区间,就相对复杂,可以使用本文介绍的MC方法进行分析和计算。选取若干典型输入参数举例介绍,如假设符合分布区间的参数为λ,DC,β,βD且β=βD输入参数的分布区间范围分别为:λ∈[10-8,10-6],DC∈[0.9,0.99],β,βD∈[0,0.3],其他参数为前面常数,代入化简可得关系式PFDavg=f(λ,β,DC)=βλ(2 190-2 186DC)+λ2(1-β)2(1 581 196DC2-3 179 880DC+1 598 700)。
各输入参数的典型值一般采用区间中值。x1=β,x2=λ,x3=DC。其中x1,x2,x3的典型值分别取0.15,0. 945和5×10-7h-1,且Δ1=0.15,Δ2=5×10-7,Δ3=0.045,可以判断x1,x2,x3区间足够小,高 次项可以被忽略,即符合线性要求。
按照本文MC方法的步骤:计算直接测量结果
当然,在实际问题中,失效率数据一般是非负的,所以在仿真过程中需要舍去理论计算中出现的负值部分。
最后,可以比较确定性计算方法,即FTA、RBD、Markov建模等方法,一般计算方法和基于Cauchy分布的标准化MC方法的计算结果,说明不同方法SIL评估的影响。仿真得到的PFDavg计算结果如表1所示。
由仿真结果可知Δy≈5.233×10-6,即输出的偏差可能达到±50%以上,考虑偏差可以使SIL评估更加准确。
和确定性方法的计算结果不同,MC方法得到了输出PFDavg的分布区间,在一定程度上使SIL评估的结果比不考虑不确定因素,仅用单一值来描述输出时更加全面、准确,工程师可以更好地设计满足要求的SIS或进行管理;另一方面,我们可以利用表1中确定性方法的计算结果来验证本文提出的基于Cauchy分布的标准化MC方法的正确性,其典型值与确定性方法计算结果是一致的。
理论真实结果的分布区间较MC仿真要宽一些,因为中间考虑了Cauchy方法本身的误差;而典型值在本例的算法下应该是相等的。
一般计算方法的计算结果无论在区间范围还是在典型值上,都和MC方法有一定偏差。这和ci=[f(~x1,…,~xi-1,~xi+hi,~xi+1,…,~xn)-~y] /hi中的hi取值有关(hi应足够小),本例使用hi=Δi,若取h1=0.015,h2=5×10-8,h3=0.045,则该方法输出的区间为[7. 593×10-8, 1. 856×10-5],且典型值为9.318×10-6,与MC方法和确定性方法一致。一般计算方法简单且易于理解,对于单个或较少参数的设计是比较有效的,但是相比MC方法,准确性容易受hi影响。
另外,MC方法可以实现两大优点:简单,快速。随着计算机技术包括硬件、软件的新发展,该方法的应用领域及深度在不断发展,所以在SIS的SIL评估中引入MC方法,是具有推广价值的。
至此,在已知参数满足某一分布区间但不知道其具体概率分布时,我们可以采用基于Cauchy分布的标准化MC方法来得到输出PFDavg的分布区间,进而提高安全仪表系统SIL评估的准确性。对于具体问题及应用背景,需要进行具体分析计算,但是思想与方法是一致的。
5 结 论
在介绍讨论参数满足某分布区间的不确定性时引入了一种基于Cauchy分布的标准化Monte Carlo仿真方法,并以典型冗余结构1oo2为例讨论其在安全仪表系统的SIL评估中的应用,通过其和确定性方法、区间分析的一般计算方法之间的比较,指出其在减小输出不确定性,提高准确性方面的优势。
MC方法可以考察单个输入参数,也可以考察多个输入参数,特别适用于大型复杂系统中参数众多的情况;该方法在区间内采用Cauchy分布来描述参数的概率分布;关于方程的求解,有许多方法,文章主要采用了二分法。重要但容易忽视的是:该方法需要考虑区间的线性要求,对不满足线性要求的需要进行标准化处理,否则该问题求解会成为复杂的NP问题。
MC方法是基于Cauchy分布的标准化方法,它是否能从数学上找到更好更典型的分布来描述SIL评估中的具体问题,或者基于Cauchy分布的方法本身还可作何种改进,都是值得进一步深入研究的。
参考文献:
[1] 阳宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社, 2007.
[2] GB/T 20438-2006,电气/电子/可编程电子安全系统的功能安全[S].
[3] 郭海涛,阳宪惠.安全系统的安全完整性水平及其选择[J].化工自动化及仪表, 2006, 33(2): 71-75.
[4] 郭海涛,阳宪惠.一种安全仪表系统SIL分配的定量方法[J].化工自动化及仪表, 2006, 17(6): 65-67.
[5] 肖 刚,李天柁.系统可靠性分析中的蒙特卡罗方法[M].北京:科学出版社, 2003.
[6] KREINOVICH V, FRESON S A.A New Cauchy-based Black-boxTechNIque forUncertainty in Risk Analysis[J].ReliabilityEngineering and System Safety, 2004, 85: 267-279.
[7] 张 斌,阳宪惠.安全仪表系统安全性和可用性指标计算的一种方法[C] //2007中国仪器仪表与测控技术交流大会论文集(二). 2007: 542-547.
