摘要
       本篇文章介紹了使用不可用性、不可靠性和馬可夫模型計算要求時的平均失效概率的方法和公式，可供使用功能安全系統的人員參考。
關鍵字
       要求時的平均失效概率，不可用性，不可靠性，馬可夫模型
ABSTRACT
       This article present how to use unavailability method, unreliability method and Makov model to calculate PFDavg. The equations can be reference to users who use safety related system.
KEYWORDS
       PFDavg, Unavailability, Unreliability, Markov model

概述
       IEC61508 需要對用于安全相關系統中每套設備降低風險的概率進行評估。達到不同數量級風險降低水平取決于需要時的平均失效概率PFDavg（經常稱之為平均危險失效概率）。實際上，計算這個概率有許多不同的方法。其中最流行的方法是失效樹分析、可靠性方塊圖、簡化等式（使用多種方法導出）和馬可夫（Markov）模型。這些方法中，很多方案都使用馬可夫模型。不同周期關于采用哪種方法更合適的爭論至今一直存在著。
       問題是使用不同方法算出的結果相差很大，如對同一套輸入參數計算出的結果竟然會相差兩倍多。這是我們今后要注意的問題。

什么是 PFDavg – 不可用性（unavailability）或不可靠性（unreliability）?
       產生這個問題的部分原因可能是對 PFDavg 意思的不同解釋。因為兩個計算度量的基本方法是不同的。

不可靠性方法
       在這個方法中，計算的不可靠性函數，就是用于特定任務時間的函數，通常等于用于工業設備“檢測證明”的時間。然后把這個函數“平均”到整個任務的時間。
       這個用于安全相關系統的模型假定對系統進行周期性檢查和檢測。通常假定周期性檢查能夠發現所有的失效部件，并使系統恢復到正常狀態。因此不可靠性函數是沒有問題的。進一步的推論是系統的故障可能正好發生在剛剛檢查后、剛剛檢查前或者在兩者之間的任何時間。因此，PFDavg 是不可靠性函數包括了檢查周期的平均值。
       用于單一通道系統常數失效率的一個著名等式：
       用于特定任務時間 t 的不可靠性為：F(t) = 1 – e^-lt。它有時被稱為失效概率，PF。PF(t) = 1 – e^-lt。
對于失效模式，失效危險，l = ld 和在危險模式的失效概率：
       PFD(t) = 1 – e^-ldt。它接近等于：
       PFD(t) =  ldt。（當結果小于0.1時，誤差小于3%，近似值是可接受的。因為所有安全完整性等級要求 PFDavg 值小于 0.1，所以接近的結果是可接受的）
       PFDavg 由在時間間隔 T 的算術平均值獲得：

      
       可使用接近公式：
          PFDavg = ldT /2        （等式 1）

不可用性方法
       這里使用了不同的方法，PFDavg 被解釋為穩定狀態的不可用性。系統的不可用性計算使用了概率并結合了不同部件不可用性的方法。這種方法的一個例子是簡化可維修系統，從著名的用于單一通道系統不可用性等式開始：
       Usteady state = l / (l + m)               
      如果  m 遠大于 l，那么：
       Usteady state = l /  m         （等式 2）
       假設在日常的運行中不能檢測出失效，平均時間恢復包括檢查時間加上實際維修時間。假設失效可能發生在任何時間，平均檢查時間等于一半檢查周期（檢測證明周期）。如果實際的維修時間比起檢查周期可以忽略的話，平均“維修”時間（在IEC61508 稱為平均恢復時間）是：
 
        MTTR = T/2 和 m = 2/T

        替換等式 2，得出：
        PFDavg = ldT /2，它和等式1 的結果一樣    （等式 3）
        等式1和等式3得出同樣的近似值導致了把兩種方法：不可靠性方法和不可用性方法，最后合并為同一個計算 PFDavg的公式。然而，用于功能安全冗余系統的等式是不同的。一個常見的例子是“1oo2”結構。不同的結構會有不同的計算方法。
        比如，一個1oo2 結構具有兩個部件。使用穩定狀態不可用性概率方法做為PFDavg，每個部件有一個在等式 3表出的  PFDavg = ldT /2。在一個帶有“與”門的故障樹中，兩個這樣部件的失效概率的相乘給出了平均（基于穩定狀態）系統不可用性：
         PFDavg = ld² T² /4      （等式 4）
        如果問題的模型是同樣的，也可使用馬可夫“一個維修人員”的模型（見附錄1）計算穩定狀態不可用性：
         PFDavg = ld² T² /2       （等式 5）
        同樣使用馬可夫 “兩個維修人員”模型（見附件2）可表示成：
         PFDavg = ld² T² /4      （等式6）
        以上結果顯示了用兩個維修人員的馬可夫模型與用穩定狀態不可用性得到了同樣的結果。應該注意的是僅在馬可夫模型中使用了假設，它在概率分析中被隱藏起來了。
        這里有一個問題。維修人員模型使用的恢復時間受控于周期檢查/檢測時間間隔情況是正確的嗎？
        在現實中，一個維修團隊一次行動幾乎同時能夠恢復一個或兩個部件失效。所以馬可夫模型顯示了一個返回到完全正常系統（見附錄3）的維修率。
        用不可用性穩定狀態方法，對這個模型提供的一個結果是：
         PFDavg = ld² T² /2        （等式 7）
         更詳細的馬可夫模型顯示了返回到完全恢復狀態的維修率。甚至使用一個維修人員模型和沒有返回到恢復狀態，不同模型的結果是相同或者非常接近的。
         還用同樣的例子做進一步的計算，考慮一個1oo2 系統的情況，用拉平非可靠性函數（見附錄4）計算 PFDavg。
         一個部件的非可靠性（PFD）大概是：
         PFD(t) = ldt.
         系統失效僅在兩個部件都出故障才出現。因此，使用概率的方法表示成一個帶“與”門的故障樹：
         PFD(t) = (ldt)²     （等式 8）