可靠性系列讲座-4.pdf

《可靠性系列讲座-4.pdf》由会员分享，可在线阅读，更多相关《可靠性系列讲座-4.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、23续附表1正态分布函数表u0.00 0.01 0.02 0.03 0.04 0.05 0.06 0.07 0.08 0.09 编者按本刊“安全控制技术”栏目自2 0 0 5 年开设以来，得到了广大读者的广泛关注与大力支持。今年除了 继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第 一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了 解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副 所长 马晓升教授。第四讲 安呈相关系统 S I L设计的要求 Cha p

2、 t e r 4：The Re q ui r e me n t s o f t he De s i g n o f E E PES 冯晓升(机械 工业 仪器仪表综 合技术 经济研 究所，北京市 1 0 0 0 5 5)Fe n g Xi a o s h e n g (I n s t r u me n t a t i o n T e c h n o l o g yE c o n o m y I n s t i t u t e，B e ij i n g 1 0 0 0 5 5)【摘 要】主要讲述进行电气电子可编程电子安全相关系统的S IL(安全完整性等级)设计时需要满足 的特殊要求。【关键词】电气

3、 电子 可编程电子安全完整性等级 Abs t r a c t：Th e p a p e r i n t r o d u c e d t h e r e q u i r e me n t s o f t h e d e s i g n o f E E P ES Ke y wo r d s：E E P ES S I L 这一讲主要讲述进行 电气 电子 可编程 电子安 全相关系统的S I L(安全完整性等级)设计时需要满足 的特殊要求。本文中，电气电子 可编程电子系统 是指传感器、执行器、可编程电子设备及由这些设备 及子系统组成的系统，简称为E E P E S。安全相关的 E E P E S与一 般

4、系统设计过程的基 本差异，就在于系统设 计的过 程中要 增加 S I L设计的 内容，以确保E E P E S 的设计和实现满足规定的安全 功能和安全完整性要求。1 S I L 设计的基本原则及要求 S I L设计的基本原则之一，是应根据E E P E S 安 全要求规范进行设计。在上一讲我们讲述了基于风险 分析确定S I L的方法，确定的S I L 就是E E P E S 设计 时要求实现的安全完整性 目标。S I L设计的基本原则之二，是采取一切 必要 的技 术与措施保证要求的安全完整性。为 了实现安全完整 性，必须同时满足E E P E S 的随机安全完 整J陛要求与 系统安全完整性要求

5、，因为随机失效主要是硬件的随 机失效。因此，分析时，只提随机安全完整性就简化 为硬件安全完整性。故障检测 会影响 系统的行为，因 此，它与硬件以及系统的安全 完整性都相关。图 1 表 示进 行 S I L设计时 为达到要求 的安全完 整 性，必须考虑的所有要求。以后各章会分别予以介绍。图1 安全完整性与各要求之间的关系 仪蓦 仪表麓 准化 与计删 面 维普资讯 http:/ 2 硬件安全完整性结构约束的要求 此要求对应 图 1 的“结构约束”框 图。硬件安全完整性的安全功能所声明的最高安全完 整性等级，受限于硬件故障裕度和执行该安全功能的 子系统的安全失效分数。在 I E C 6 1 5 0

6、8 中规定，对于 B类安全相关子系统的结构约束如表 1。表 1 硬件安全完整性：B类安全相关子系统的结构约束 安全失效分数 硬件故障裕度(HF T)(S S F)0 1 2 6 0 不允许 S I L 1 S I L 2 6 0 9 0 S I L1 S I L2 S I L3 9 0 9 9 SI L 2 S I L3 S I L 4 9 9 S I L 3 S I L 4 S I L 4 注 1：硬件故障裕度 N表示N+1 个故障将导致安全功能的 丧失。注 2：子 系统的安全失效分数是子 系统 的平均安全失效率加 检测到的平均危险失效率 与子 系统总平均失效率之比。注 3：满足 以下条件，

7、子系统可被视为 B类：a)至少一个组成部件的失效模式未被很好地定义；或 b)故障状况下子系统的行为不能完全确定；或 c)通过现场经验获得的可靠性数据不够充分，不足以显示 出满足所声明的检测到的和未检测到的危险失效的失效率。3 危险失效硬件失效概率的要求 此要求对应图 1 的 随机失效”框 图。需要估算由于随机硬件失效引起安全功能失效的 概率。该概率应该等于或者低于安全要求规范中规定 的目标失效量。估算由于随机硬件失效造成的每个安全功能的失 效概率应考虑以下因素：1)与所考虑的每个安全功能相关的E E P E 安全 相关系统 的结构；2)在任何能造成E E P E 安全相关系统危险失效 但能通过

8、诊断测试检测到这个危险失效的模式下，估 算出的每个子系统的失效率；3)在任何能造成E E P E 安全相关系统危险失效 但不能通过诊断测试检测到这种危险失效的模式下，估算出的每个子系统的失效率；4)E E P E 安全相关系统对共同原 因失效的敏感 性；5)诊断测试的诊断覆盖率和相关的诊断测试间 隔；6)用来揭露未被诊断测试检测到的危险故障而执 行检验测试的间隔；7)对 已检测到的失效的修理时 间；8)任何数据通信过程中未检测到的失效的概率。对于每个安全功能，将E E P E安全相关系统的 可靠性分开进行量化是十分必要的，因为使用了不同 的部件失效模式，并且E E P E S的结构(根据冗余)

9、4 J仪 誉 仪 表 麓 准 化 与 计 丽F 一 也可能改变。可以应用的建模方法很多，选择最恰当 的方法是分析员的事，要依赖于具体情况，可采用的 方法包括：因果图分析、故障树分析、马尔可夫模型、可靠性框图等。4 故障检测要求 此要求对应图 1 的“故障检测”框图。需要认真 分析故障检测时对系统行为的要求，以避免系统危险 失效导致事故。在硬件故障裕度大于零的子系统中，对检测出的 危险故障(通过诊断测试，检验测试或其它方法)应 采取：1)某个规定动作以达到或维持安全状态，或者 2)隔离子系统的故障部分，以允许 E UC继续安 全工作，同时修理故障部分。如果在计算随机硬件失 效概率时设定的平均恢复

10、时间(MT T R)内未完成修 理，那么应该采取某一规定的动作以达到或维持安全 状态。对于硬件故障裕度等于零以及安全功能完全依赖 该子系统本身的子系统，当该子系统仅在低要求模式 下运行安全功能时，对检测 出的危险故障应采取：1)某个规定动作以达到或维持安全状态，或者 2)在计算随机硬件失效概率时设定的平均恢复时 间(MT T R)内，修理故障子系统。在此期间内，E UC 的连续安全应通过附加 措施和 约束来保证。这些措施 和约束提供的风险降低至少应等于无任何故障的 E E P E S 安全相关系统提供的风险降低。应在E E P E S 操作和维护规程中对附加措施和约束进行规定。如果 在规定的平

11、均恢复时间(MT T R)内不能进行修理，那 么应该采取其它规定的动作以达到或维持安全状态。对于硬件故障裕度大于零以及安全功能完全依赖 该子系统本身的子系统，当该子系统在高要求或连续 操作模式下运行安全功能时危险故障的检测(通过 诊 断测试，检验测试或其它方法)将导致规定的动作以 达到或维持安全状态。5 避免失效的要求 此要求对应图1 的“避免失效”框图。此条要求 不适 用于满足“经 使用证实”要 求的子系统。应使用一组恰 当的技术和措施，用于在 E E P E 安全相关系统硬件的设计和开发期内防止引入故障。根据所需的安全完整性等级，所选择的设计方法具有 的特性应有助于：1)透明性、模块化和控

12、制复杂性的其它特性；2)清晰和精确地表述：功能性；子系统接 口；排序和时间关联信 皂、；并发性和同步化。3)信息的通信和清晰、准确的文档化；维普资讯 http:/ 4)验证和 确认。为保证E E P E安全相关系统的安全完整性能保 持在所需的等级，在设计阶段就应将维护要求规范化。如适用，应使用 自动测试工具和集成 开发 工具。设计 期间，应编制E E P E s 的集成测试计划。编制测试计 划的文档应包括：1)所执行测试的类型和所遵循的规程；2)测试环境、工具、配置和程 序；3)测试是 否通过 的准则。设计期间，根据开发者提出的前提条件可执行的 那些活动，应该与在用户立场 上所要 求的活动加

13、以区 分。6 系统故障控制的要求 此要求对应图 l 中的“故障控制”框图。本条要 求 不适用于满足“经使用证实”要求的子系统。为控制系统故障，E E P E S的设计特点应使得 E E P E安全相关系统能容许：1)如果不能排除硬件设计故障的可能性，硬件中 的任何残 余设计 故障；2)环境应力，包括电磁干扰；3)E UC操作 员造成 的失误；4)软件中的任何残余设计故障；5)任何数据通信过程中产生的错误和其它影响。在设计和开发活动中应考虑可维护性和可测试性，以便在最终 的E E P E 安全相关系统 中实现这些属性。E E P E安全相关系统的设计应充分考虑人员的能力 和局限性，并应适合分配给

14、操作者和维护人员的行动。所有接 口的设计应根据良好的人员操作习惯并应适合 操作者的认知能力和培训水平。安全相关系统设计的一个基本原则，是设计时应 对操作者和维护人员所犯的可预见的致命失误有充分 认识，只要有可能都应能通过设计来防止和消除，或 者在完成该动作之前对这些动作进行二次确认。7 设备“经使用证实”的证据 此要求对应 图l 的“经使用证实”框 图。I E C 6 1 5 0 8 制定时，充分考虑了当前安全控制系统应用现状，对 于有充分证据证明是安全的设备及系统，特别提出了 本条要求。对于以往开发的子 系统，只有在功能性规定 明确、有充分文档依据表明子系统的具体配置此前确实应用 过(使用时

15、的所有失效记录均登记在册)以及考虑过 任何所需的附加分析和测试时，才能被认为是经使用 证实的子系统。文档依据应显示 E E P E安全相关系 统子系统的任何失效(由随机硬件和系统故障造成)的可能性足够低，可以达到使用子系统的安全功能所 需的安全完整性等级。为了确定任何未被检测到的系统故障的可能性足 够低，可以达到使用子系统的安全功能所需的安全完 整性等级，要求的文档应显示出具体子系统以往的使 用条件与在E E P E 安全相关系统中子系统将要经历 的条件相同或者非常接近。以往使用条件(操作行规)包括可能影响子系统硬件和软件内系统故障可能性的 所有因素，例如环境、使用模式、执行的功能、配置、与其

16、它系统的接 口、操作系统、翻译器、人为因素。如果以往的使用条件与在E E P E安全相关系统 内将要经历的条件存在差异，应当对这些差异加以标 识，并结合恰当的分析方法和测试对这些差异进行明 确地例示，以便确定任何未被揭露 出的系统 故障的可 能性足够低，以致可以达到使用子系统的安全功能所 需的安全完整性等级。要求的文档证据应确定以往子系统的专用配置的 使用程度(用工作小时表示)在统计学基础上足以支 持所声明的失效率。最低限度，需要足够的工作时间 才能确立所声明的失效率数据的置信度单边下限值至 少能达到7 0，任何工作时间不超过一年的单个子系 统在统计分析中不作为计算总工作时间的一部分。在确定是

17、否满足上述要求时，仅考虑以前的将子 系统的全部失效有效地检测和报告的操作。在根据可 用信息的广度和深度确定是否满足上述要求时，应考 虑以下 因素：1)子 系统 的复杂性；2)子系统对降低风险所起的作用；3)子系统失效产生的后果；4)设计的新颖性。在E E P E 安全相 关系统 中，对“经使用证实”的 安全相关子系统的应 用只局 限于在满足相关要求的子 系统 的那些功 能和 接 口。8 结束语 为了设计一个E E P E 安全相关系统，如传感器、执行器、可编程控制设备及由这些设备与子系统组成 的系统，一般都需要以下几个基本步骤：(1)确定安 全功能所要求的安全完整性等级(S I L)；(2)假

18、设：硬 件安全完整性=系统安全完整性=S I L；(3)对于硬件 安全完整性，确定能够满足结构约束条件的结构并且 证明由于随机硬件失效引起的安全功能失效的概率能 够满足要求的目标失效量；(4)对于系统安全完整性，选择实际操作中控制(容许)系统故障的设计特性或 是证明“经使用证实”的要求已经得到满足；(5)对于 系统安全完整性，选择在设计与开发中避免(防止引入)系统故障的技术和措施或是证明“经使用证实”的要 求已经得到满足。这些步骤把以上要求串了起来。因 此，系统 S I L设计的过程，就是满足以上提到的要求 的过程。(注 这一讲主要讲解 了安 全相 关系统s I L 设计时需 要满足 的各项要求，下一讲将讲述安全相关 系统s I L 设 计时应采取的技术与措施。)口 维普资讯 http:/