摘要
       本篇文章介绍了使用不可用性、不可靠性和马可夫模型计算要求时的平均失效概率的方法和公式，可供使用功能安全系统的人员参考。
关键字
       要求时的平均失效概率，不可用性，不可靠性，马可夫模型
ABSTRACT
       This article present how to use unavailability method, unreliability method and Makov model to calculate PFDavg. The equations can be reference to users who use safety related system.
KEYWORDS
       PFDavg, Unavailability, Unreliability, Markov model

概述
       IEC61508 需要对用于安全相关系统中每套设备降低风险的概率进行评估。达到不同数量级风险降低水平取决于需要时的平均失效概率PFDavg（经常称之为平均危险失效概率）。实际上，计算这个概率有许多不同的方法。其中最流行的方法是失效树分析、可靠性方块图、简化等式（使用多种方法导出）和马可夫（Markov）模型。这些方法中，很多方案都使用马可夫模型。不同周期关于采用哪种方法更合适的争论至今一直存在着。
       问题是使用不同方法算出的结果相差很大，如对同一套输入参数计算出的结果竟然会相差两倍多。这是我们今后要注意的问题。

什么是 PFDavg – 不可用性（unavailability）或不可靠性（unreliability）?
       产生这个问题的部分原因可能是对 PFDavg 意思的不同解释。因为两个计算度量的基本方法是不同的。

不可靠性方法
       在这个方法中，计算的不可靠性函数，就是用于特定任务时间的函数，通常等于用于工业设备“检测证明”的时间。然后把这个函数“平均”到整个任务的时间。
       这个用于安全相关系统的模型假定对系统进行周期性检查和检测。通常假定周期性检查能够发现所有的失效部件，并使系统恢复到正常状态。因此不可靠性函数是没有问题的。进一步的推论是系统的故障可能正好发生在刚刚检查后、刚刚检查前或者在两者之间的任何时间。因此，PFDavg 是不可靠性函数包括了检查周期的平均值。
       用于单一通道系统常数失效率的一个著名等式：
       用于特定任务时间 t 的不可靠性为：F(t) = 1 – e^-lt。它有时被称为失效概率，PF。PF(t) = 1 – e^-lt。
对于失效模式，失效危险，l = ld 和在危险模式的失效概率：
       PFD(t) = 1 – e^-ldt。它接近等于：
       PFD(t) =  ldt。（当结果小于0.1时，误差小于3%，近似值是可接受的。因为所有安全完整性等级要求 PFDavg 值小于 0.1，所以接近的结果是可接受的）
       PFDavg 由在时间间隔 T 的算术平均值获得：

      
       可使用接近公式：
          PFDavg = ldT /2        （等式 1）

不可用性方法
       这里使用了不同的方法，PFDavg 被解释为稳定状态的不可用性。系统的不可用性计算使用了概率并结合了不同部件不可用性的方法。这种方法的一个例子是简化可维修系统，从著名的用于单一通道系统不可用性等式开始：
       Usteady state = l / (l + m)               
      如果  m 远大于 l，那么：
       Usteady state = l /  m         （等式 2）
       假设在日常的运行中不能检测出失效，平均时间恢复包括检查时间加上实际维修时间。假设失效可能发生在任何时间，平均检查时间等于一半检查周期（检测证明周期）。如果实际的维修时间比起检查周期可以忽略的话，平均“维修”时间（在IEC61508 称为平均恢复时间）是：
 
        MTTR = T/2 和 m = 2/T

        替换等式 2，得出：
        PFDavg = ldT /2，它和等式1 的结果一样    （等式 3）
        等式1和等式3得出同样的近似值导致了把两种方法：不可靠性方法和不可用性方法，最后合并为同一个计算 PFDavg的公式。然而，用于功能安全冗余系统的等式是不同的。一个常见的例子是“1oo2”结构。不同的结构会有不同的计算方法。
        比如，一个1oo2 结构具有两个部件。使用稳定状态不可用性概率方法做为PFDavg，每个部件有一个在等式 3表出的  PFDavg = ldT /2。在一个带有“与”门的故障树中，两个这样部件的失效概率的相乘给出了平均（基于稳定状态）系统不可用性：
         PFDavg = ld² T² /4      （等式 4）
        如果问题的模型是同样的，也可使用马可夫“一个维修人员”的模型（见附录1）计算稳定状态不可用性：
         PFDavg = ld² T² /2       （等式 5）
        同样使用马可夫 “两个维修人员”模型（见附件2）可表示成：
         PFDavg = ld² T² /4      （等式6）
        以上结果显示了用两个维修人员的马可夫模型与用稳定状态不可用性得到了同样的结果。应该注意的是仅在马可夫模型中使用了假设，它在概率分析中被隐藏起来了。
        这里有一个问题。维修人员模型使用的恢复时间受控于周期检查/检测时间间隔情况是正确的吗？
        在现实中，一个维修团队一次行动几乎同时能够恢复一个或两个部件失效。所以马可夫模型显示了一个返回到完全正常系统（见附录3）的维修率。
        用不可用性稳定状态方法，对这个模型提供的一个结果是：
         PFDavg = ld² T² /2        （等式 7）
         更详细的马可夫模型显示了返回到完全恢复状态的维修率。甚至使用一个维修人员模型和没有返回到恢复状态，不同模型的结果是相同或者非常接近的。
         还用同样的例子做进一步的计算，考虑一个1oo2 系统的情况，用拉平非可靠性函数（见附录4）计算 PFDavg。
         一个部件的非可靠性（PFD）大概是：
         PFD(t) = ldt.
         系统失效仅在两个部件都出故障才出现。因此，使用概率的方法表示成一个带“与”门的故障树：
         PFD(t) = (ldt)²     （等式 8）