基于FMEA的系统可靠性模型的构建

摘要：为了能对安全系统进行可靠性评估，采用fmea定性分析安全系统潜在的各种故障模式、原因和影响因素，并建立系统的故障树模型，求解系统所要求的可靠性指标。

关键词：安全系统；FMEA；故障树模型

中图分类号：TP202文献标识码：A文章编号：1009-3044(2011)25-6238-02

Construction of System Reliability Model Based on FMEA

HE Hui-lin, XIAO Qiang-hua

(School of Mathematics & Physics, University of South China, Hengyang 421001, China)

Abstract: In order to evaluate the reliability of safety system, the paper uses FMEA to qualitatively analyse various kinds of potential failure modes, causes and influences, build the fault tree model of the safety system to calculate the system reliability indexes.

Key words: safety system; FMEA; fault tree model

在当今工业控制领域中，可靠性、可用性及经济性已成为安全防护系统设计中考虑的主要问题， 同时也是进行安全性评价的重要指标。本文讨论了构建安全系统可靠性模型的方法，采用FMEA进行定性分析，再根据定性分析结果构建故障树模型，最后求解系统的所要求的可靠性指标。

1 FMEA

故障模式及影响分析（FMEA）是一种可靠性分析和安全性评估方法，该方法通过分析系统中的每一个潜在的故障模式，确定其对系统所产生的影响，并把每一个潜在的故障模式按它的严酷度进行分类。根据故障分析，进一步针对故障原因和失效机理采取预防和纠正措施，从而提高产品的可靠性。

一个可靠性评估系统能否取得成功，在很大程度上取决于系统模型的定义工程。最好的工具之一就是失效模式和影响分析（FMEA）。为了确保构建一个精确可靠性模型，主要包括一下几个步骤：1）定义一个失效；2）完成一个系统级别的FMEA；3）确定模型细化程度；4）创建模型；5）求解可靠性指标。

2 系统可靠性模型的构建过程

2.1 失效的定义

对于工业控制系统来说，失效即在规定的时间内完成需要的功能，如果一个降级的模式做到了，那这个模式就不是一个系统失效。这里的失效包括硬件失效、软件失效和人为失效。

2.2 系统级的FMEA

一个FMEA是针对系统内的所有部件的。系统的覆盖范围必须确定。对于控制系统和安全系统，这个范围通常包括过程通道、传感器、控制器、执行器以及阀门。系统级别的FMEA是一个重要的定性分析过程。在这个步骤中所获得信息的准确性会影响模型的建立以及由此模型所获的安全性和可靠性指标。

考虑这样一个安全系统，它有一个压力开关，两个单板控制器，一个阀门所构成。当生产过程正常时，压力很低，且压力开关是闭合的（激励状态），控制器使输出处于激励状态，阀门是关闭的。当压力越限时，开关打开（非激励状态）。控制器读取压力开关的状态并执行计时和滤波功能。当压力开关打开了足够长的时间，并且生产过程处于运行状态（不是在启动或停止状态），控制器会使输出处于非激励状态。当控制器使输出处于非激励状态后，阀门打开，释放压力。

如果系统发生故障，控制器输出一直处于激励状态或者阀门卡涩在关闭状态，这叫做“危险”失效，因为此时安全系统不能释放压力，如果系统发生故障，控制器输出处于非激励状态或者阀门因故障而打开，这叫做“安全”失效，因为压力可以得到释放。

表1是为安全系统建立的FMEA表，表中列出了每个系统级部件以及它的失效模式，列出了每个失效对系统的影响并加以分类。失效率一般可以从原件制造商那里获得。失效率的单位为FIT（每109h中发生的失效数）。

2.3 确定模型的细化程度

一个模型的细化程度会对结果产生影响。一般来说，越精确的模型细化程度就越高。对于这个例子来说，细化过程要考虑的因素有失效类别、复合失效模式、共因及在线诊断。首先由FMEA表可知系统级别失效分为了安全的（阀门打开）和危险的（阀门关闭），总失效率λTOT=λS+λD ，上标S代表一个安全失效，上标D代表一个危险失效。

在这个例子中使用了冗余控制器，因此需考虑共因失效这个因素。共因失效可能导致安全的或危险的系统失效，因此控制器的失效率可分为安全共因失效与危险共因失效，这可以用一个简单的β模型来描述，该模型通过定义一个称为β因子的部分乘数因子将部件的失效率分成共因失效率和一般失效率，这时失效率为：λS=λSC +λSN且λD=λDC +λDN ，其中上标SC用来表示安全共因失效，SN用来表示安全一般应力失效，DC表示危险共因失效，DN危险一般应力失效。β因子取决于由于共因应力导致的复合冗余单元失效的几率。对于安全失效与危险失效可能有很多不同的β因子，但要考虑的因素是一样的，因此，一般会使用相同的β因子。根据以往的记录表明：高应力事件的发生率为10%。因此，选定β因子为0.1。

诊断覆盖率（记为C）是一个反映系统内部的检测能力的指标，用来区分可检测到的失效与检测不到的失效，系统中的每个原件都要取一个诊断覆盖率，可用0到1的一个数来表示。8个失效类计算公式如下：λSDN=CSλSN 、λSUN=(1-CS)λSN 、λDDN=CDλDN 、λDUN=(1-CD)λDN 、λSDC=CSλSC 、λSUC=(1-CS)λSC 、λDDC=CDλDC 、λDUC=(1-CD)λDC。其中控制器制造商提供的安全诊断覆盖率为0.97，危险诊断覆盖率为0.99。

压力开关没有诊断程序，但控制器可以检测到开关中的接地失效，因此那些失效被归类为危险可检测的失效。其他压力开关失效被归类为检测不到的失效。阀门没有诊断程序，但控制器可检测到短路或开路。阀门失效也依此分类。系统原件的失效率计算结果如表2所示。

2.4 创建模型

创建模型的过程依赖于模型的种类，常用的可靠性模型有可靠性框图、故障树和马尔科夫模型。本文建立的是故障树模型。

每个故障树表示了一个失效模型。因为有两种失效模式，那么须建立两个故障树，但建立过程是一样的。首先画出表明模式的顶事件，接着画出会触发顶事件的底事件，继续这个过程，直到所有的失效率都用尽。

依据对FMEA表的分析为危险失效模式建立故障树：开关的一个危险失效、两个控制器同时出现的一个危险失效以及阀门的一个危险失效这3个主要事件会使系统发生危险失效；一个开关如果发生危险可检测失效，或发生危险不可检测失效，它就可能发生危险失效。在故障树中加入一个或门来表示这些事件。只有一个阀门失效是危险不可检测失效，将这个基本失效加入故障树中；两个控制器同时发生危险失效可能会有许多种方式，包括一个可检测到的共因失效或一个检测不到的共因失效，如果发生了危险可检测失效与危险不可检测失效之中的任意四种组合，那么两个控制器就会发生危险失效，把它们也加入到故障树之中。完成的模型如图1所示。

2.5 故障树模型的计算

可通过图1中故障树来计算系统发生危险失效的概率，这个术语称为需求失效概率（PDF），从故障树中推导出PFD的近似计算式如下，其中假设平均维修时间（RT）是8h，周期性检查时间（TI）每年一次（8760h）。

3 结束语

安全系统的可靠性与安全性评估是必须的。本文研究了关于安全系统可靠性模型的构建问题，介绍了安全系统可靠性模型的构建过程，首先用FMEA进行定性分析，然后根据FMEA的分析结果构建故障树模型，用故障树进行定量分析，整个过程采用定性分析和定量分析相结合的方法对安全系统的可靠性进行了评估。

参考文献：

[1] 国际标准.Functional safety of electrical/electronic/programmable electronic safety 2related system s[S].IEC 61508.

[2] Wang Chun ming.A safety PLC system[J].Automation in Prtro-Chemical Industry,2000(4):29-33.

[3] 谢春芳.FMEA的认识及应用[J].China High Technology Enterprises,2011(5):40-41.