這篇博客是關(guān)于可靠性建模的便捷技術(shù)，包括稱為馬爾可夫建模的CCF。作為復(fù)習(xí)，CCF通常涉及冗余安全系統(tǒng)中的所有通道同時(shí)發(fā)生故障，從而發(fā)生危險(xiǎn)。理想情況下，在冗余系統(tǒng)中，如果發(fā)生單個(gè)故障，仍然至少有一個(gè)通道可以確保您的安全。CCF 通常會(huì)關(guān)閉所有冗余通道。

我不會(huì)讓你對(duì)馬爾可夫模型的官方定義感到厭煩，而是給你一些馬爾可夫模型的例子，特別是在CCF建模的背景下。我要從定義中說(shuō)的一件事是，在馬爾可夫模型中，下一個(gè)狀態(tài)僅取決于當(dāng)前狀態(tài)，而不依賴于先前的任何狀態(tài)。作為我的第一個(gè)示例，下面顯示了使用馬爾可夫建模對(duì)雙通道安全系統(tǒng)（未顯示維修）進(jìn)行建模的兩種方法。在所有情況下，故障率都顯示在箭頭上方，在實(shí)際系統(tǒng)中實(shí)際上是危險(xiǎn)的未檢測(cè)到的故障率。查看左側(cè)的馬爾可夫分析，系統(tǒng)從“ok”狀態(tài)開(kāi)始，兩個(gè)通道都工作，然后進(jìn)入三種狀態(tài)之一，分別代表通道A故障，通道B失敗或兩個(gè)通道同時(shí)由于CCF而失敗。通道 A 發(fā)生故障后，如果通道 B 發(fā)生故障，您可以進(jìn)入狀態(tài) 4，同樣，如果在狀態(tài) 3 中并且通道 A 出現(xiàn)故障，您將進(jìn)入通道 A 和 B 都失敗的狀態(tài)。在下面的示例中，兩個(gè)通道的故障率為 λ。

注意 – 從 S1 到 S2 以及從 S2 到 S3 的路徑實(shí)際上應(yīng)為 λ-λ抄送但那是針對(duì)高級(jí)班的。

右圖顯示了對(duì)同一電路進(jìn)行建模的另一種方法，我將把它留作一個(gè)練習(xí)，讓你自己弄清楚。

圖 1 - 使用馬爾可夫模型表示雙通道安全系統(tǒng)的兩種方法

即使從上面的模型中，你現(xiàn)在也應(yīng)該已經(jīng)發(fā)現(xiàn)馬爾可夫建模需要識(shí)別系統(tǒng)狀態(tài)以及在它們之間移動(dòng)的概率。例如，下面是IEC 615800-5-2：2007附錄B中的雙通道安全系統(tǒng)的馬爾可夫模型。

它包含以下八個(gè)狀態(tài)：

S1 – 兩個(gè)通道都正常工作的正常狀態(tài)

S2 – 通道 A 出現(xiàn)故障，危險(xiǎn)

S3 – 通道 B 出現(xiàn)故障，危險(xiǎn)

S4、S7 是表示通道 B 故障是檢測(cè)到危險(xiǎn)還是未檢測(cè)到危險(xiǎn)的狀態(tài)

S5、S6 是表示通道 A 的故障是檢測(cè)到危險(xiǎn)還是未檢測(cè)到危險(xiǎn)的狀態(tài)

S8 – 表示兩個(gè)通道都未檢測(cè)到故障的危險(xiǎn)狀態(tài)

圖 2 - IEC 61800-5-2：2007 附錄 B 中各種雙通道安全系統(tǒng)的馬爾可夫模型

如果將這八個(gè)狀態(tài)排列為向量，則初始起點(diǎn)為 S=[1，0，0，0，0，0，0，0] 表示在時(shí)間 0 處處于狀態(tài) 1 的概率為 1，處于任何其他狀態(tài)的概率為 0。請(qǐng)記住，概率的總和必須是 <>。

然后，您可以創(chuàng)建一個(gè) 8x8 轉(zhuǎn)換矩陣（P 矩陣），顯示從任何狀態(tài)移動(dòng)到另一個(gè)狀態(tài)的概率。矩陣中的許多條目將為零，因?yàn)橥ǔＶ挥?1 或 2 條路徑脫離任何給定狀態(tài)。例如 6千表示存在狀態(tài) S6 的均值的行將是 [0， 0， 0， 0， 0， 1-λ屋宇 署， 0， l屋宇 署].每行的總和應(yīng)為 1，是對(duì) P 矩陣執(zhí)行的有用檢查。

要計(jì)算處于各種狀態(tài)的穩(wěn)態(tài)概率，請(qǐng)計(jì)算 SN=P*SN-1.經(jīng)過(guò)多次迭代后，您應(yīng)該達(dá)到處于各種狀態(tài)的穩(wěn)定狀態(tài)概率。

Matlab或非常相似但免費(fèi)的Octave可以用來(lái)做數(shù)學(xué)運(yùn)算。我也使用過(guò)Excel，但這需要更多的工作。

圖 2 中馬爾可夫模型的一個(gè)有趣方面是，它假設(shè)不同的通道，每個(gè)通道都有自己的故障率。因此，從“一切正常”到“全部失敗”狀態(tài)的常見(jiàn)原因故障路徑由 βA/B最小（L屋宇 署L自).使用最小值背后的最簡(jiǎn)單理由是，即使βA/B=1 故障率不能超過(guò)λ最低的通道。

另一個(gè)有趣的方面是如何對(duì)診斷進(jìn)行建模。請(qǐng)注意，從 S2 到 S5 和 S2 到 S6 的轉(zhuǎn)換建模為 DC一個(gè)*r測(cè)試和 （1-直流一個(gè)）*r測(cè)試在哪里測(cè)試是診斷測(cè)試率。

作為如何完成的示例，可以使用Matlab中的簡(jiǎn)單馬爾可夫模型重現(xiàn)IEC 61508-6：2010表B.12中的表格。

下面顯示了 1oo2 系統(tǒng)的馬爾可夫模型，一旦我們忽略所有未檢測(cè)到的危險(xiǎn)故障，它只有 3 個(gè)狀態(tài)。（使用倍頻程分析系統(tǒng)）

實(shí)現(xiàn)上述 β=2% 和 λ 的倍頻程代碼 D=0.5e-7如下所示，應(yīng)該合理地不言自明。書(shū)籍和論文中的一些圖表將顯示更多的狀態(tài)，但是如果您拿出熒光筆并突出顯示所有可能導(dǎo)致兩個(gè)通道的危險(xiǎn)未檢測(cè)到故障的路徑，您應(yīng)該得到上述內(nèi)容。其他狀態(tài)可能是計(jì)算不可用所必需的，但對(duì)于 PFH 則不是必需的d.

圖 5 - 符合 IEC 1-2：61508 表 B.6 的 2010oo10 系統(tǒng)的倍頻程代碼

對(duì)于具有三個(gè)或四個(gè)以上組件的系統(tǒng)，狀態(tài)轉(zhuǎn)換矩陣可能會(huì)變得笨拙。例如，BGIA報(bào)告2/2圖G.2008中給出的類別2系統(tǒng)模型有17個(gè)狀態(tài)和超過(guò)50個(gè)轉(zhuǎn)換。

圖6 - ISO 13849-1附錄K

ISO 13849-1附錄K中的數(shù)據(jù)是使用馬爾可夫分析生成的。擁有一個(gè)簡(jiǎn)單的查找表，讀者可以估算PL（性能水平），而無(wú)需自己進(jìn)行分析。但是，如果不了解建模背后的原因，您可能會(huì)被誤導(dǎo)。例如，它假設(shè)相同的通道，2%的β和使用交叉比較實(shí)現(xiàn)的診斷。這可能與您的系統(tǒng)不匹配。到目前為止，我為提供上述數(shù)據(jù)所做的努力已經(jīng)接近，但沒(méi)有成功。

審核編輯：郭婷