摘要
       本篇文章介紹了使用不可用性、不可靠性和馬可夫模型計算要求時的平均失效概率的方法和公式，可供使用功能安全系統(tǒng)的人員參考。
關(guān)鍵字
       要求時的平均失效概率，不可用性，不可靠性，馬可夫模型
ABSTRACT
       This article present how to use unavailability method, unreliability method and Makov model to calculate PFDavg. The equations can be reference to users who use safety related system.
KEYWORDS
       PFDavg, Unavailability, Unreliability, Markov model

概述
       IEC61508 需要對用于安全相關(guān)系統(tǒng)中每套設(shè)備降低風(fēng)險的概率進(jìn)行評估。達(dá)到不同數(shù)量級風(fēng)險降低水平取決于需要時的平均失效概率PFDavg（經(jīng)常稱之為平均危險失效概率）。實(shí)際上，計算這個概率有許多不同的方法。其中最流行的方法是失效樹分析、可靠性方塊圖、簡化等式（使用多種方法導(dǎo)出）和馬可夫（Markov）模型。這些方法中，很多方案都使用馬可夫模型。不同周期關(guān)于采用哪種方法更合適的爭論至今一直存在著。
       問題是使用不同方法算出的結(jié)果相差很大，如對同一套輸入?yún)?shù)計算出的結(jié)果竟然會相差兩倍多。這是我們今后要注意的問題。

什么是 PFDavg – 不可用性（unavailability）或不可靠性（unreliability）?
       產(chǎn)生這個問題的部分原因可能是對 PFDavg 意思的不同解釋。因?yàn)閮蓚€計算度量的基本方法是不同的。

不可靠性方法
       在這個方法中，計算的不可靠性函數(shù)，就是用于特定任務(wù)時間的函數(shù)，通常等于用于工業(yè)設(shè)備“檢測證明”的時間。然后把這個函數(shù)“平均”到整個任務(wù)的時間。
       這個用于安全相關(guān)系統(tǒng)的模型假定對系統(tǒng)進(jìn)行周期性檢查和檢測。通常假定周期性檢查能夠發(fā)現(xiàn)所有的失效部件，并使系統(tǒng)恢復(fù)到正常狀態(tài)。因此不可靠性函數(shù)是沒有問題的。進(jìn)一步的推論是系統(tǒng)的故障可能正好發(fā)生在剛剛檢查后、剛剛檢查前或者在兩者之間的任何時間。因此，PFDavg 是不可靠性函數(shù)包括了檢查周期的平均值。
       用于單一通道系統(tǒng)常數(shù)失效率的一個著名等式：
       用于特定任務(wù)時間 t 的不可靠性為：F(t) = 1 – e^-lt。它有時被稱為失效概率，PF。PF(t) = 1 – e^-lt。
對于失效模式，失效危險，l = ld 和在危險模式的失效概率：
       PFD(t) = 1 – e^-ldt。它接近等于：
       PFD(t) =  ldt。（當(dāng)結(jié)果小于0.1時，誤差小于3%，近似值是可接受的。因?yàn)樗邪踩暾缘燃壱?PFDavg 值小于 0.1，所以接近的結(jié)果是可接受的）
       PFDavg 由在時間間隔 T 的算術(shù)平均值獲得：

      
       可使用接近公式：
          PFDavg = ldT /2        （等式 1）

不可用性方法
       這里使用了不同的方法，PFDavg 被解釋為穩(wěn)定狀態(tài)的不可用性。系統(tǒng)的不可用性計算使用了概率并結(jié)合了不同部件不可用性的方法。這種方法的一個例子是簡化可維修系統(tǒng)，從著名的用于單一通道系統(tǒng)不可用性等式開始：
       Usteady state = l / (l + m)               
      如果  m 遠(yuǎn)大于 l，那么：
       Usteady state = l /  m         （等式 2）
       假設(shè)在日常的運(yùn)行中不能檢測出失效，平均時間恢復(fù)包括檢查時間加上實(shí)際維修時間。假設(shè)失效可能發(fā)生在任何時間，平均檢查時間等于一半檢查周期（檢測證明周期）。如果實(shí)際的維修時間比起檢查周期可以忽略的話，平均“維修”時間（在IEC61508 稱為平均恢復(fù)時間）是：
 
        MTTR = T/2 和 m = 2/T

        替換等式 2，得出：
        PFDavg = ldT /2，它和等式1 的結(jié)果一樣    （等式 3）
        等式1和等式3得出同樣的近似值導(dǎo)致了把兩種方法：不可靠性方法和不可用性方法，最后合并為同一個計算 PFDavg的公式。然而，用于功能安全冗余系統(tǒng)的等式是不同的。一個常見的例子是“1oo2”結(jié)構(gòu)。不同的結(jié)構(gòu)會有不同的計算方法。
        比如，一個1oo2 結(jié)構(gòu)具有兩個部件。使用穩(wěn)定狀態(tài)不可用性概率方法做為PFDavg，每個部件有一個在等式 3表出的  PFDavg = ldT /2。在一個帶有“與”門的故障樹中，兩個這樣部件的失效概率的相乘給出了平均（基于穩(wěn)定狀態(tài)）系統(tǒng)不可用性：
         PFDavg = ld² T² /4      （等式 4）
        如果問題的模型是同樣的，也可使用馬可夫“一個維修人員”的模型（見附錄1）計算穩(wěn)定狀態(tài)不可用性：
         PFDavg = ld² T² /2       （等式 5）
        同樣使用馬可夫 “兩個維修人員”模型（見附件2）可表示成：
         PFDavg = ld² T² /4      （等式6）
        以上結(jié)果顯示了用兩個維修人員的馬可夫模型與用穩(wěn)定狀態(tài)不可用性得到了同樣的結(jié)果。應(yīng)該注意的是僅在馬可夫模型中使用了假設(shè)，它在概率分析中被隱藏起來了。
        這里有一個問題。維修人員模型使用的恢復(fù)時間受控于周期檢查/檢測時間間隔情況是正確的嗎？
        在現(xiàn)實(shí)中，一個維修團(tuán)隊(duì)一次行動幾乎同時能夠恢復(fù)一個或兩個部件失效。所以馬可夫模型顯示了一個返回到完全正常系統(tǒng)（見附錄3）的維修率。
        用不可用性穩(wěn)定狀態(tài)方法，對這個模型提供的一個結(jié)果是：
         PFDavg = ld² T² /2        （等式 7）
         更詳細(xì)的馬可夫模型顯示了返回到完全恢復(fù)狀態(tài)的維修率。甚至使用一個維修人員模型和沒有返回到恢復(fù)狀態(tài)，不同模型的結(jié)果是相同或者非常接近的。
         還用同樣的例子做進(jìn)一步的計算，考慮一個1oo2 系統(tǒng)的情況，用拉平非可靠性函數(shù)（見附錄4）計算 PFDavg。
         一個部件的非可靠性（PFD）大概是：
         PFD(t) = ldt.
         系統(tǒng)失效僅在兩個部件都出故障才出現(xiàn)。因此，使用概率的方法表示成一個帶“與”門的故障樹：
         PFD(t) = (ldt)²     （等式 8）