陳 浩 榮 岡 馮毅萍

(浙江大學(xué)智能系統(tǒng)與控制研究所工業(yè)控制技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，杭州 310027)

石油化工過(guò)程等典型流程工業(yè)的安全評(píng)估工作越來(lái)越受到人們的重視。傳統(tǒng)的安全評(píng)估方法多是從預(yù)防事故發(fā)生的角度針對(duì)研究對(duì)象的抗意外能力展開(kāi)評(píng)價(jià)，重點(diǎn)關(guān)注設(shè)備或系統(tǒng)保持穩(wěn)定安全運(yùn)行的能力。如道化學(xué)評(píng)價(jià)法、蒙德法、日本勞動(dòng)省六階段法都是根據(jù)生產(chǎn)工藝和生產(chǎn)裝置的經(jīng)驗(yàn)數(shù)據(jù)構(gòu)建評(píng)價(jià)體系，定義指標(biāo)和安全等級(jí)[1～3]。故障樹(shù)分析(FTA)、事件樹(shù)分析(ETA)和危險(xiǎn)與可操作性分析(HAZOP)的出現(xiàn)使得評(píng)估問(wèn)題的思路轉(zhuǎn)向分析可能引起故障的事件[4～6]，保護(hù)層分析法(LOPA)是HAZOP方法的延伸，將安全評(píng)估分類為不同的層次[7]。雖然它們有涉及一部分系統(tǒng)狀態(tài)監(jiān)控和故障診斷能力方面的評(píng)估，但是并沒(méi)有將其作為重點(diǎn)給出具體全面的評(píng)估流程。

針對(duì)系統(tǒng)展開(kāi)狀態(tài)監(jiān)測(cè)與故障診斷的研究方法主要包括基于機(jī)理數(shù)學(xué)模型的方法、基于專家知識(shí)系統(tǒng)的方法和基于離散事件系統(tǒng)(DEVS)模型的方法。實(shí)際應(yīng)用中，很難得到準(zhǔn)確的數(shù)學(xué)模型，專家系統(tǒng)需要依靠充足的專家知識(shí)，前兩種方法對(duì)設(shè)備的依賴性強(qiáng)，通用性差。離散事件系統(tǒng)模型方法不需要對(duì)系統(tǒng)模型有深入的了解，表達(dá)簡(jiǎn)單，適用廣泛，在研究系統(tǒng)整體狀態(tài)監(jiān)測(cè)和故障診斷能力時(shí)較為方便。

1 背景知識(shí)①

有限狀態(tài)自動(dòng)機(jī)(FSM)模型是一種非常方便形象的DEVS描述工具?？梢詫⑾到y(tǒng)描述為G=(X，Σ，δ，x0)，其中X是系統(tǒng)狀態(tài)空間的集合，Σ是事件的集合，δ是系統(tǒng)狀態(tài)轉(zhuǎn)移的變遷，x0是系統(tǒng)的初始狀態(tài)。Sampath M指出G模型經(jīng)過(guò)P(s)運(yùn)算得到模型G′=(X0,Σo，δG′,x0)，其中Σo是可觀測(cè)事件集，δG′是各個(gè)狀態(tài)之間的可觀測(cè)事件[8]。G′模型經(jīng)過(guò)LP(x,l,s)、R(q,δ)、LC(q)運(yùn)算可以得到診斷器模型Gd=(Qd,Σo,δd,q0)，其中Qd是診斷器中包含由狀態(tài)和故障圖標(biāo)組成的待診斷狀態(tài)集，q0是初始待診斷狀態(tài)，δd是連接待診斷狀態(tài)之間的可觀測(cè)事件。系統(tǒng)是可診斷的，當(dāng)且僅當(dāng)系統(tǒng)的診斷器模型中不含有二義性狀態(tài)的循環(huán)或模糊狀態(tài)，模糊狀態(tài)和二義性循環(huán)的定義分別作如下說(shuō)明。

模糊狀態(tài)。診斷器中存在模糊狀態(tài)A，即?s1、s2∈L,?i∈Πf使得Σfi∈s1、Σfi?s2,且P(s1)=P(s2),δd[q0,P(s1)]=q,δ(x0,s1)=δ(x0,s2)。

二義性循環(huán)。診斷器中存在二義性循環(huán)，即狀態(tài)q1，q2，…，qn滿足如下條件：

a.δd[ql,δl]=ql+1，其中l(wèi)=1,…,n-1；δd[qn,δn]=q1，其中δl∈Σo，l=1,…,n。

和

2 系統(tǒng)的DEVS描述

系統(tǒng)的運(yùn)轉(zhuǎn)過(guò)程就是各個(gè)參數(shù)(液位、溫度、壓力及位置等)不斷變化的過(guò)程。為了有效地描述系統(tǒng)的運(yùn)轉(zhuǎn)，需要在系統(tǒng)可以測(cè)量的各個(gè)參數(shù)中進(jìn)行選擇，形成合適的參數(shù)集來(lái)描述系統(tǒng)的狀態(tài)，每一種參數(shù)組合就是系統(tǒng)的一個(gè)狀態(tài)x，所有的參數(shù)組合即為狀態(tài)集X。對(duì)于單個(gè)儲(chǔ)油罐，選擇儲(chǔ)油罐的液位作為參數(shù)，該系統(tǒng)不涉及參數(shù)的組合，包括儲(chǔ)油罐滿載、半載和空載3個(gè)狀態(tài)。事件是描述系統(tǒng)由一個(gè)狀態(tài)向另一個(gè)狀態(tài)的轉(zhuǎn)化過(guò)程，其表現(xiàn)形式是系統(tǒng)部分參數(shù)在事件發(fā)生前、后的變化。定義油罐收油δ1和付油δ2兩個(gè)事件后，系統(tǒng)的狀態(tài)轉(zhuǎn)移DEVS圖如圖1所示。

圖1 單個(gè)儲(chǔ)油罐系統(tǒng)狀態(tài)轉(zhuǎn)移DEVS描述

實(shí)際設(shè)計(jì)中，傳感器的布置要受到維持系統(tǒng)正常運(yùn)轉(zhuǎn)及經(jīng)濟(jì)投入等的約束，通常并不能采集到需要的全部參數(shù)的變化情況。因此將事件分為可觀測(cè)事件集合Σo和不可觀測(cè)事件集合Σu。不可觀測(cè)事件又分為完全不可觀測(cè)事件和部分不可觀測(cè)事件。故障事件集合Σf屬于不可觀測(cè)事件，可以分為若干類別，即Σf=Σf1∪…∪Σfm。為了更好地闡述上述內(nèi)容現(xiàn)舉例如圖2所示，該FSM模型描述系統(tǒng)中有18個(gè)狀態(tài)，事件δ1～δ7為可觀測(cè)事件，δu為不可觀測(cè)事件中的正常事件，δf1～δf4為故障事件。

圖2 FSM模型描述系統(tǒng)圖例

3 評(píng)估方法

3.1 系統(tǒng)的監(jiān)控與診斷能力

Sampath M提出系統(tǒng)可診斷和可檢測(cè)當(dāng)且僅當(dāng)系統(tǒng)不存在二義性循環(huán)和模糊狀態(tài)。但是在實(shí)際生產(chǎn)中，一方面要考慮故障的可診斷性；另一方面理論上的可觀測(cè)事件并不是都能得到的，往往還會(huì)由于傳感器設(shè)置不足導(dǎo)致缺少關(guān)鍵的可觀測(cè)件而出現(xiàn)系統(tǒng)不能被診斷的情況，為此從結(jié)合實(shí)際出發(fā)，補(bǔ)充如下定義:

a. 診斷器Gd中存在二義性循環(huán)，系統(tǒng)是不可檢測(cè)和診斷的。

b. 診斷器Gd中存在模糊狀態(tài)，系統(tǒng)可能是可檢測(cè)的，一定是不可診斷的，具體為診斷器Gd中存在A圖標(biāo)；FSM模型中?s1、s2∈L,P(s1)=P(s2),δd[q0,P(s1)]=q,δ(x0,s1)=δ(x0,s2)。?i∈Πf使得Σfi∈s1、Σfi?s2或?i、j∈Π使得Σfi∈s1、Σfi?s2、Σfj?s1、Σfj∈s2。

c. 診斷器Gd中存在不確定狀態(tài)，系統(tǒng)可能是可檢測(cè)的，一定是不可診斷的，具體為診斷器Gd中?(x,l)、(y,l′)∈q,q∈Qd，使得Fi∈l、Fi?l′，且?δd[q,P(s)]=q′可得P(s)=φ；FSM模型中?s1、s2∈L，P(s1)=P(s2)，δd[q0,P(s1)]=q，δ(x0,s1)≠δ(x0,s2)。?t1=L/s1，?t2=L/s2，P(t1)=P(t2)=φ。?i∈Πf使得Σfi∈s1、Σfi?s2或?i、j∈Π使得Σfi∈s1、Σfi?s2、Σfj?s1、Σfj∈s2。

d. 診斷器Gd中存在隱藏故障，系統(tǒng)是不可檢測(cè)和診斷的，具體為診斷器Gd中?q∈Qd，F(xiàn)i?q；FSM模型中?i∈Πf，?s∈ψ(Σfi)，?t=L/s，滿足P(t)=φ。

圖2的FSM模型就是結(jié)合實(shí)際情況的一個(gè)典型例子，針對(duì)其構(gòu)建出的診斷器Gd模型如圖3所示。故障δf1不能被準(zhǔn)確診斷是因?yàn)榇嬖诙x性狀態(tài)循環(huán)δ2-δ3-δ4-δ2,循環(huán)往復(fù)進(jìn)行使得無(wú)法監(jiān)測(cè)和診斷故障δf1。δf2不能被診斷是因?yàn)闆](méi)有對(duì)其影響的變量進(jìn)行檢測(cè)而繼續(xù)進(jìn)行常規(guī)操作，即缺少可觀測(cè)事件序列。δf3不能被診斷的原因與δf2的情況類似，區(qū)別在于發(fā)生故障后沒(méi)有后續(xù)操作需要進(jìn)行。δf4不能被診斷是由于存在模糊狀態(tài)，即不能確定觀測(cè)狀態(tài)是由哪條事件序列得到。存在模糊狀態(tài)的情況又可細(xì)分為兩條并行的支路上一個(gè)存在故障、一個(gè)不存在故障和存在兩種故障的情況。

圖3 系統(tǒng)的故障診斷器Gd模型

3.2 評(píng)估流程

由3.1節(jié)可知，系統(tǒng)的診斷能力不足是由于系統(tǒng)的診斷器模型Gd中的4種局部結(jié)構(gòu)導(dǎo)致的(表1)。系統(tǒng)監(jiān)控能力與診斷能力的差別在于診斷器中模糊狀態(tài)和不確定狀態(tài)兩種局部結(jié)構(gòu)中正常與故障之間不易辨別。因此，可計(jì)算系統(tǒng)故障可檢測(cè)率、可診斷率和二者間的關(guān)系來(lái)定量進(jìn)行安全評(píng)估工作，其計(jì)算式分別為：

100%

100%

其中N為診斷器中故障類別總數(shù)。

表1 診斷器局部結(jié)構(gòu)與監(jiān)測(cè)診斷能力

總結(jié)系統(tǒng)狀態(tài)監(jiān)控與故障診斷能力評(píng)估流程：

a. 明確評(píng)價(jià)對(duì)象，構(gòu)建系統(tǒng)FSM狀態(tài)轉(zhuǎn)移模型；

b. 梳理系統(tǒng)故障集，將其加入FSM狀態(tài)轉(zhuǎn)移模型；

c. 根據(jù)FSM狀態(tài)轉(zhuǎn)移模型構(gòu)建系統(tǒng)診斷器Gd模型；

d. 根據(jù)系統(tǒng)診斷器Gd模型和相應(yīng)定義，計(jì)算模型中4種結(jié)構(gòu)相應(yīng)的數(shù)目；

e. 計(jì)算故障可檢測(cè)率、故障可診斷率和故障模糊率的數(shù)值；

f. 對(duì)系統(tǒng)設(shè)計(jì)優(yōu)化給出建議。

3.3 評(píng)估意義

對(duì)系統(tǒng)進(jìn)行狀態(tài)監(jiān)控和故障診斷能力評(píng)價(jià)的目的是發(fā)現(xiàn)系統(tǒng)的不足并給出優(yōu)化設(shè)備配置的建議。顯然當(dāng)故障檢測(cè)率和故障診斷率不為100%時(shí)，系統(tǒng)在狀態(tài)監(jiān)控和故障診斷方面是存在一定風(fēng)險(xiǎn)的，為了提高系統(tǒng)的抗風(fēng)險(xiǎn)能力，需要將兩個(gè)指標(biāo)盡可能地提升，而且需要將故障模糊率盡可能提升為1。

增加系統(tǒng)狀態(tài)監(jiān)控和故障診斷能力在診斷器Gd中的表現(xiàn)是將系統(tǒng)的FSM模型結(jié)構(gòu)改進(jìn)，在系統(tǒng)模型中消除4種典型的不可診斷的局部結(jié)構(gòu)。針對(duì)二義性循環(huán)，可以采用增加操作等方式打破循環(huán)。針對(duì)其他情況，系統(tǒng)運(yùn)轉(zhuǎn)的實(shí)際過(guò)程是客觀不變的，診斷器結(jié)構(gòu)的改變是由于傳感器的設(shè)置等使得系統(tǒng)可檢測(cè)變量決定的系統(tǒng)可觀測(cè)序列在改變，可以通過(guò)改變系統(tǒng)變量的檢測(cè)設(shè)置從而增加或減少系統(tǒng)的可觀測(cè)序列來(lái)達(dá)到優(yōu)化診斷器結(jié)構(gòu)的目的。

4 油罐區(qū)典型流程案例

圖4是石化企業(yè)油品罐區(qū)調(diào)度中一個(gè)典型的流程，其中包括3個(gè)儲(chǔ)油罐T1、T2、T3，6個(gè)電信號(hào)閥門(mén)V1,…，V6，13條管線P1,…,P13，1個(gè)電信號(hào)控制的選擇閥門(mén)Vs，電信號(hào)為正時(shí)Vs接通管道P5，電信號(hào)為負(fù)時(shí)Vs接通管道P6。儲(chǔ)油罐T1的容積大致是儲(chǔ)油罐T2與T3的兩倍，儲(chǔ)油罐T1收油至高液位，然后分別將油品付入儲(chǔ)油罐T2與T3中。儲(chǔ)油罐收油、付油的操作不能同時(shí)進(jìn)行，且收油后需靜止足夠時(shí)間再進(jìn)行付油操作。

圖4 石化企業(yè)罐區(qū)調(diào)度典型流程

現(xiàn)對(duì)該流程進(jìn)行系統(tǒng)狀態(tài)監(jiān)測(cè)和故障診斷能力的評(píng)估，評(píng)估過(guò)程如下：

a. 構(gòu)建如圖5所示的FSM狀態(tài)轉(zhuǎn)移模型，具體含義見(jiàn)表2、3。

b. 梳理常見(jiàn)故障集Σf見(jiàn)表4，加入故障集的FSM模型各分支如圖6所示(其中δf5、δf6與δf2類似，其在FSM模型中的分支圖省去)。其中δ7表示T1付油事件不成功，δ8表示T1付油、T2收油事件不成功。

c. 構(gòu)建診斷器Gd模型，故障在Gd模型中的分支如圖7所示。

d. 分析診斷器Gd局部結(jié)構(gòu)，其中δf1、δf3可以被檢測(cè)和診斷；δf2、δf5、δf6會(huì)導(dǎo)致二義性循環(huán)，不一定可以被檢測(cè)和診斷；δf4和δf7在Gd中會(huì)產(chǎn)生支路均含有故障的模糊狀態(tài)，可以被檢測(cè)，不能被診斷；δf8發(fā)生后，無(wú)可觀測(cè)事件，不可被檢測(cè)和診斷。綜上，N1=3，N2=2，N3=0，N4=0，N5=0，N6=1。

e. 計(jì)算指標(biāo)，最終評(píng)估結(jié)果見(jiàn)表5。

f. 對(duì)系統(tǒng)優(yōu)化設(shè)計(jì)給出建議。系統(tǒng)中存在3個(gè)二義性循環(huán)、一個(gè)兩故障之間的模糊狀態(tài)和一個(gè)沒(méi)有觀測(cè)序列的故障。針對(duì)二義性循環(huán)，需要增加必要的操作步驟使系統(tǒng)跳出循環(huán)，如針對(duì)故障δf2的循環(huán)2-3-12-13-14-2和2-3-5-6-9-2的可觀測(cè)序列相同，此時(shí)若跳出循環(huán)則可以通過(guò)事件δ8來(lái)判斷是否發(fā)生了故障δf2。針對(duì)故障δf4和故障δf7構(gòu)成的模糊狀態(tài)22A，雖然可以判斷出系統(tǒng)發(fā)生了故障，但由于兩個(gè)故障發(fā)生后的可觀測(cè)事件都只有一個(gè)δ2，需要增加可觀測(cè)事件來(lái)診斷究竟發(fā)生了哪個(gè)故障，如增加檢測(cè)管線P3中是否有油體，檢測(cè)閥門(mén)V1的狀態(tài)等。故障δf8發(fā)生后無(wú)可觀測(cè)序列反映相應(yīng)的變化，因此需要檢測(cè)δf8影響的系統(tǒng)變量以便進(jìn)行監(jiān)控和診斷，如檢測(cè)管線P12中是否有油體。

圖5 石化企業(yè)罐區(qū)局部FSM模型

上述評(píng)估過(guò)程中，計(jì)算指標(biāo)的算式如下：

表2 罐區(qū)FSM模型狀態(tài)中液位分布

表3 罐區(qū)FSM模型事件含義

表4 罐區(qū)故障集

圖6 加入故障集的FSM模型分支

表5 油罐區(qū)典型流程案例評(píng)估結(jié)果

圖7 故障在Gd模型中的分支

5 結(jié)束語(yǔ)

傳統(tǒng)的安全評(píng)估工作側(cè)重于評(píng)估系統(tǒng)避免事故、維持系統(tǒng)穩(wěn)定正常運(yùn)行的能力。筆者圍繞系統(tǒng)對(duì)狀態(tài)的監(jiān)控能力和出現(xiàn)故障后及時(shí)診斷的能力展開(kāi)評(píng)估工作，在一定程度上完善了安全評(píng)估理論。從構(gòu)造系統(tǒng)診斷器出發(fā)，借助系統(tǒng)診斷器的拓?fù)浣Y(jié)構(gòu)特征，建立了一套評(píng)估系統(tǒng)狀態(tài)監(jiān)控和故障診斷能力的方法，提出了評(píng)估流程，從而可以對(duì)系統(tǒng)的優(yōu)化設(shè)計(jì)提供一定的建議。以石油罐區(qū)的典型流程為例，展示了該評(píng)估方法的全部流程和評(píng)估意義，證明了方法的有效性。

但是在構(gòu)造診斷器時(shí)，本研究還沒(méi)有考慮到每個(gè)可觀測(cè)事件的時(shí)間特性，也沒(méi)有從集中式、分散式及分布式等關(guān)系的角度建立合理的層次結(jié)構(gòu)，在以后的研究中需要綜合考慮這些因素，并建立相應(yīng)的評(píng)價(jià)指標(biāo)，更為合理全面地展開(kāi)對(duì)系統(tǒng)狀態(tài)監(jiān)測(cè)與故障診斷能力的評(píng)估，此外診斷器的構(gòu)建存在狀態(tài)爆炸問(wèn)題，需要在算法上進(jìn)行優(yōu)化，以方便評(píng)估工作簡(jiǎn)單易行地展開(kāi)。