安全仪表系统sil定级参数-平均失效率PFDavg，IEC61508 需要对用于安全仪表系统中每套设备降低风险的概率进行评估。达到不同数量级风险降低水平取决于需要时的平均失效概率PFDavg（经常称之为平均危险失效概率）。实际上，计算这个概率有许多不同的方法。其中的方法是失效树分析、可靠性方块图、简化等式（使用多种方法导出）和马可夫（Markov）模型。这些方法中，很多方案都使用马可夫模型。不同周期关于采用哪种方法更合适的争论至今一直存在着。

   问题是使用不同方法算出的结果相差很大，如对同一套输入参数计算出的结果竟然会相差两倍多。这是我们今后要注意的问题。什么是 PFDavg – 不可用性（unavailability）或不可靠（unreliability），产生这个问题的部分原因可能是对 PFDavg 意思的不同解释。因为两个计算度量的基本方法是不同的。

一、不可靠性方法
    在安全仪表系统中，计算的不可靠性函数，就是用于特定任务时间的函数，通常等于用于工业设备“检测证明”的时间。然后把这个函数“平均”到整个任务的时间。这个用于安全仪表系统的模型假定对系统进行周期性检查和检测。通常假定周期性检查能够发现所有的失效部件，并使系统恢复到正常状态。因此不可靠性函数是没有问题的。进一步的推论是系统的故障可能正好发生在刚刚检查后、刚刚检查前或者在两者之间的任何时间。因此，PFDavg 是不可靠性函数包括了检查周期的平均值。
用于单一通道系统常数失效率的一个等式：
   用于特定任务时间 t 的不可靠性为：F(t) = 1 – e-lt。它有时被称为失效概率，PF。PF(t) = 1 – e-lt。
对于安全仪表系统失效模式，失效危险，l = ld 和在危险模式的失效概率：
       PFD(t) = 1 – e-ldt。它接近等于：
       PFD(t) =  ldt。（当结果小于0.1时，误差小于3%，近似值是可接受的。因为所有安全完整性等级要求 PFDavg 值小于 0.1，所以接近的结果是可接受的）
       PFDavg 由在时间间隔 T 的算术平均值获得：

              
          PFDavg = ldT /2        （等式 1）

二、不可用性方法
     这里使用了不同的方法，PFDavg 被解释为稳定状态的不可用性。系统的不可用性计算使用了概率并结合了不同部件不可用性的方法。这种方法的一个例子是简化可维修系统，从的用于单一通道系统不可用性等式开始：
       Usteady state = l / (l + m)                
      如果  m 远大于 l，那么：
       Usteady state = l /  m         （等式 2）
       假设在日常的运行中不能检测出失效，平均时间恢复包括检查时间加上实际维修时间。假设失效可能发生在任何时间，平均检查时间等于一半检查周期（检测证明周期）。如果实际的维修时间比起检查周期可以忽略的话，平均“维修”时间（在IEC61508 称为平均恢复时间）是：
 
        MTTR = T/2 和 m = 2/T

        替换等式 2，得出：
        PFDavg = ldT /2，它和等式1 的结果一样    （等式 3）
        等式1和等式3得出同样的近似值导致了把两种方法：不可靠性方法和不可用性方法，最后合并为同一个计算 PFDavg的公式。然而，用于功能安全冗余系统的等式是不同的。一个常见的例子是“1oo2”结构。不同的结构会有不同的计算方法。
        比如，一个1oo2 结构具有两个部件。使用稳定状态不可用性概率方法做为PFDavg，每个部件有一个在等式 3表出的  PFDavg = ldT /2。在一个带有“与”门的故障树中，两个这样部件的失效概率的相乘给出了平均（基于稳定状态）系统不可用性：
         PFDavg = ld2 T2 /4      （等式 4）
        如果问题的模型是同样的，也可使用马可夫“一个维修人员”的模型（见附录1）计算稳定状态不可用性：
         PFDavg = ld2 T2 /2       （等式 5）
        同样使用马可夫 “两个维修人员”模型（见附件2）可表示成：
         PFDavg = ld2 T2 /4      （等式6）
        以上结果显示了用两个维修人员的马可夫模型与用稳定状态不可用性得到了同样的结果。应该注意的是仅在马可夫模型中使用了假设，它在概率分析中被隐藏起来了。
        这里有一个问题。维修人员模型使用的恢复时间受控于周期检查/检测时间间隔情况是正确的吗？
        在现实中，一个维修团队一次行动几乎同时能够恢复一个或两个部件失效。所以马可夫模型显示了一个返回到正常系统（见附录3）的维修率。
        用不可用性稳定状态方法，对这个模型提供的一个结果是：
         PFDavg = ld2 T2 /2        （等式 7）
         更详细的马可夫模型显示了返回到恢复状态的维修率。甚至使用一个维修人员模型和没有返回到恢复状态，不同模型的结果是相同或者非常接近的。
         还用同样的例子做进一步的计算，考虑一个1oo2 系统的情况，用拉平非可靠性函数（见附录4）计算 PFDavg。
         一个部件的非可靠性（PFD）大概是：
         PFD(t) = ldt.
         系统失效仅在两个部件都出故障才出现。因此，使用概率的方法表示成一个带“与”门的故障树：
         PFD(t) = (ldt)2     （等式 8）

      当使用下面公式计算平均值时：   

           结果是：
           PFDavg = (ldt)2/3      （等式 9）
           sil定级另一个方法是用于不可靠性的马可夫模型得到与时间相关的等式。这个等式能够用于分析平均值。结果是：
           PFDavg = (ldt)2/3
    等式显示了使用概率方法和马可夫方法得到的结果是一样的。差异不是由于方法的不同，差异是由于从不同的角度 – “稳定状态不可用性”相对于“平均不可靠性”。这个问题就像解决这种问题的方法哪个更好一样，仍然存在。
    思考一下实际情况就可以获得洞察力。在周期时间以后，进行一次系统的检查和检测。 在检查和检测期间发现的任何失效都会得到修复。周期地执行这个操作。系统永远不会达到稳定状态。稳定状态不可用性方法是无效的。使用马可夫模型、概率故障树或者任何其他方法是无效的。对于这个问题, 平均不可靠性方法提供了正确的方案。平均不可靠性方法用于导出在 ISA 的 TR84.00.02 的简化等式。很多SIL定级验证工具使用基于平均不可靠性的马可夫计算技术。
    时间相关的解决方案提供了确的模型，用于在周期检查和检测系统的情况下“PFDavg”的计算。那些使用稳定状态带有一个维修人员模型不可用性方法将得到保守的、悲观的结果。这会导致设计做得过于安全。
    当使用有两套安全仪表系统的稳定状态不可用性方法会得出一个潜在的问题。用马可夫模型或用故障树或概率分析方法可能导致一个结果，就是安全仪表系统的设计不够安全 。
假设
      · 所有举出的例子假设为一个单一失效模式，失败-危险带一个常数失效率。
      ·无公共原因加入到1oo2 冗余系统模型中去。
      ·假设验证测试是完善的，并且在这个期间里所有的失效都能够发现。
      ·模型中没有诊断能力。
       这些假设可能不符合实际情况，但可以帮助你快速显示十分复杂系统的关键点。结论同样可以应用于没有这些假设的更复杂模型。