可靠性系列讲座-11.pdf

《可靠性系列讲座-11.pdf》由会员分享，可在线阅读，更多相关《可靠性系列讲座-11.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、23续附表1正态分布函数表u0.00 0.01 0.02 0.03 0.04 0.05 0.06 0.07 0.08 0.09仪器仪表标准化与计量2008511 编者按 本刊2 0 0 7 年在“安全控制技术”栏目安排了六讲功能安全技术讲座，概要介绍了功能安全的基本概念、方法与技术，得到广大读者的广泛关注与积极回应。2 0 0 8 年，该讲座还将继续进行，针对读者关心、与功能安全相关的几个关键问题，进行更详细的技术介绍。主讲人是机械工业仪器仪表综合技术经济研究所功能安全中心主任史学玲教授。第十一讲 功能安全问答史学玲（机械工业仪器仪表综合技术经济研究所，北京市 1 0 0 0 5 5）Shi

2、Xueling(Instrumentation Technology&Economy Institute,Beijing 100055)Chapter 11:Questions and Answers of Functional Safety主讲人简介：史学玲，机械工业仪器仪表综合技术经济研究所副总工程师、功能安全中心主任、教授级高工。近年来主要致力于以I E C 6 1 5 0 8 为基础的功能安全技术研究。主持并完成了国家软科学研究项目“利用功能安全标准保障安全的政策措施研究”，向政府提出了多行业协同行动的用功能安全标准保障安全的国家执行方案和政策措施建议。是等同采用I E C 6 1 5

3、 1 1 的中国国家标准起草工作组专家成员。在多份杂志及学术期刊上发表了多篇功能安全的论文，对功能安全标准及标准实施认证相关的技术、法律、政策等问题有深入研究。引言自2 0 0 7 年4 月以来，在已经举办的八期“功能安全技术与应用培训班”上，我们结识了来自石油、化工、机械、铁路、医疗设备等领域的2 0 0 多名安全控制专家，这些专家经常会与我们就一些问题展开讨论。在此期讲座中，列出几个经常被提出讨论的问题与讨论结果，以功能安全问答的方式，展示给读者。问：标准要求安全仪表设备必须提供每一种失效模式下的失效率数据，用什么方法可以确定仪表的失效率与失效模式？答：可以采用F M E D A(失效模式

4、、影响及诊断分析)方法。F M E D A 是 M I L S t d 1 6 2 9 A(F M E A，失效模式及影响分析)的扩展，用于在器件级分析失效率与失效模式、确定哪种失效导致安全情况、哪种失效导致危险情况。与F M E A 相比，F M E D A 增加了诊断分析。通过 F M E D A，可以预知哪种危险失效会被诊断并导向安全。因此，通过 F M E D A 可以获得详细的失效率数据和安全失效分数，但需要由有资格的安全工程师主导进行分析。问：我的产品通过F M E D A 分析，数据达到了S I L 3要求，我声明我的产品是S I L（安全完整性等级）3 级的设备，为什么有人会提

5、出异议？安全控制技术仪器仪表标准化与计量2008512答：S I L 是针对过程分配的安全相关系统而言，用正确应用适当的设备在系统中获得的，一个设备不能有S I L 等级。因此，针对单一设备，“我们的产品是S I L 3级的设备”，或者“我们的产品被认证为S I L 3 级设备”这些声明方式是不对的。问：我的产品通过 F M E D A 分析，我应该如何宣传我的产品？答：应该这样声明：该设备已经经过 F M E D A 分析并发现它适合于应用在安全仪表系统(S I S)的S I L 3 级安全仪表功能（S I F）中，但没有考虑安装、操作、测试、维护和环境应力的影响与限制。也可以这样声明：该产

6、品已经经过 F M E D A程序分析,并确定适合用于S I S 的S I L 3 级S I F（安全仪表功能）中。问：应该到哪里获得计算硬件失效的失效率数据？答：失效率数据缺乏是功能安全标准实施时遇到的一个现实问题，但现在情况越来越好。目前功能安全领域常用的失效率数据包括：E X I D A 公司推出的“安全设备可靠性手册”O R E D A公司推出的“可靠性数据手册”美国化工过程安全中心（C C P S）推出的“过程设备可靠性数据”这些数据主要集中在流程工业领域。问：我们使用E X I D A 的设备可靠性数据时发现，同类设备也存在不同的评估，请问它们的真实含义是什么？答：目前在功能安全领

7、域，不同认证服务机构进行产品功能安全评估时内容不完全相同，而且存在多种评估水平的失效数据。不清楚各种评估水平代表的真实含义，很容易误导用户并导致用户的使用错误。在E X I D A 的安全设备可靠性手册中，列出了一系列的评估，它们是：F M E D A评估F M E D A 评估只针对硬件随机失效，没有包括软件和安装、操作、测试、维护和环境应力的影响与限制，也就是说，完成 F M E D A 评估的产品，只能说明其硬件部分达到了某一S I L 等级要求，系统失效部分没有考虑，不能保证产品在使用中不出现系统失效。F M E D A 评估包括了硬件失效模式、硬件诊断能力的详细分析。E X I D

8、A F M E D A评估E X I D A F M E D A评估除了通常的 F M E D A评估内容外，还包括硬件使用寿命及检验测试有效性的分析，所以如此评估后得出的失效数据更接近实际情况。I E C 6 1 5 1 1 P R I O R U S E 评估这类评估是根据I E C 6 1 5 1 1 标准，主要针对在流程工业领域已经有足够的使用历史、实践证明是好用的产品，如果有统计数据表明该产品工作小时足够、现场故障记录完整、故障数据获取过程和产品版本的修改过程合理正确，并且有软硬件故障分析结论，根据I E C 6 1 5 0 8 要求进行配置管理系统评估后，可以确定该产品能达到的S

9、I L 等级。这类评估是由用户而不是设备供应商进行。这类评估的结果有效消除了系统失效的数据，因此，可以很好保证产品在使用中的安全性。但条件是要使用的目标应用条件与评估时产品的应用条件必须完全相同，只要有一点不同，所导致的数据就可能完全不同。需要专门分析这一点不同可能导致的所有失效可能性。I E C 6 1 5 0 8 P R O V E N I N U S E 评估这类评估是根据I E C 6 1 5 0 8 标准，对以往开发的子系统，如果功能明确、有充分文档依据表明子系统的具体配置此前确实应用过，以及考虑过任何所需的附加分析和测试时，才能被认为是经使用证实的子系统。E X I D A 在进行

10、此项评估时，除了进行I E C 6 1 5 1 1P R I O R U S E 的评估内容，还要对硬件的随机失效进行详细分析，包括硬件失效模式、诊断能力、使用寿命、检验测试有效性分析，同时还要对现场失效回报、设计修正历史、硬件设计过程进行评估。评估水平大大高于前几项评估。因为产品经过使用证实其安全性达到要求，因此，该类评估并不需要对软件等可能导致系统失效的部分进行深入评估。I E C 6 1 5 0 8 C e r t i f i c a t i o n 评估这是所有评估中水平最高的一种评估。该项评估针对的是新开发的电气、电子、可编程电子产品，因此，除了对硬件随机失效进行完全评估外，它还需要

11、对所有可能导致系统失效的部分进行评估。它包括的内容除了I E C 6 1 5 0 8 P R O V E N I N U S E 所包括的内容外，还包括了硬件测试技术、软件要求、软件危险程度、软件设计技术、安全手册的确认、软件测试技术、产品测试技术包括环境测试以及制造过程的完整评估。几种评估的比较见表1。Control Tech of Safety&Security仪器仪表标准化与计量2008513由表1 可见，I E C 6 1 5 0 8 C e r t i f i c a t i o n 是最完全的评估，只有通过这类评估，设备才可以声称符合I E C6 1 5 0 8 标准的S I L

12、等级。问：我有一系列产品想请 TUV 做功能安全认证，请问TUV 莱茵公司进行功能安全认证的一般程序是什么？答：TUV 莱茵在功能安全产品认证方面有很丰富的经验，他们对产品及系统进行功能安全认证，一般需要经过概念审查、要点检查与认证3 个步骤。概念审查在概念审查阶段，需要检查产品规范与设计及安全概念，看相关标准的要求是不是遵守了，看安全概念是不是能够满足要求安全等级的功能安全要求。在结构和功能块一级进行失效影响分析，以确定是否采用了足够的失效检测和控制措施。如果需要，还会进行一下预算，确定定量部分（H F T，S F F，P F D，P F H）是否符合I E C 6 1 5 0 8 的规定。

13、确认与审批要求规范、测试计划及要点检查时的测试方案。还需要评估确定所有避免失效的要求（质量保证）都能够满足。通过概念审查，表明产品设计在原理层面上符合要求。要点检查此阶段需要查证和分析产品的所有安全相关功能。根据想要达到的安全等级（S I L）进行详细的F M E A 分析，此分析不仅包括部件内部的失效，还要包括外部电路，包括有意或无意的错误操作与使用。要分析产品在这些反常条件下的行为。需要进行进一步的测试：根据I E C 6 1 5 0 8 计算定量的部分，必须达到S I L 要求的目标失效量；气候、机械、电气测试环境适应性；电气安全和设备；整个生命周期中应用的避免失效措施（质量保证）的评估

14、。要点检查完成后要提交一份最终测试报告。总之，在要点检查阶段，需要检查测试硬件/软件及机械部件的功能安全；电气安全；环境条件与E M C；在设计开发阶段的质量管理状况；验证与确认计划；部件级、子系统级、系统级的 F M E D A；失效检测与反应（内部自测试）；验证/计划P F D、S F F 值；评估内容F M E D AE X I D AI E C 6 1 5 1 1I E C 6 1 5 0 8I E C 6 1 5 0 8F M E D AP R I O RP R O V E N I NC e r t i c a t i o nU S EU S E硬件失效模式的详细分析 硬件论断能力的

15、详细分析 硬件使用寿命的分析 检验测试有效性分析 基于制造单元的工作小时数 根据I E C 6 1 5 0 8 的配置管理系 统评估现场失效回报系统评估-现场 失效改正现场失效回报系统评估-通知 用户的安全问题设计修正历史评估基于设计 错误的少量修正硬件设计过程评估 硬件测试技术评估 软件要求评估 软件危险程度评估 软件设计技术评估 按I E C 5 1 5 0 8 进行安全手册检证 软件测试技术评估 产品测试技术包括环境测试评估 制造过程评估 表1 E X I D A 收集失效率数据时采用的几种评估内容比较仪器仪表标准化与计量2008514软件审批；用户文件及安全手册的检查。检查阶段应完成检

16、查与测试报告。最终认证在认证阶段，主要依据检查与测试报告的结果，确认是否有足够的证据表明已经采取了有效措施避免和控制硬件及软件失效；系统的所有安全功能是否都能实现；所有定量指标都达到要求。如果结果符合标准要求，则可通过认证。检查与认证的内容包括硬件、软件、用户文件、安全手册及使用的程序设计工具。在硬件、软件的检查与认证过程中，需要对设计方案等细节、质量管理等做详细检查。所有系统必须满足下列要求:在设计与开发阶段,采取避免和控制失效的措施,特别是避免和控制硬件及软件系统失效的措施；结构约束(安全失效分数和硬件故障裕度，诊断的覆盖率)；危险失效率（P D F）；还要考虑应用（响应时间，安全状态）。

17、问：我有一个新开发的压力变送器，想请E X I D A公司认证，但我担心花了钱最后又达不到认证要求，有没有变通的方法？答：E X I D A比较灵活，可以请他们先做 F M E D A分析，对硬件部分的失效模式及失效率进行分析后，相关的数据就可以进入E X I D A 的“安全设备可靠性手册”中，第一步宣传目标就可以达到，随后再进行软件等系统失效的评估，最终完成I E C 6 1 5 0 8 c e r t i f i c a-t i o n 认证。问：我集成的系统中，选用的设备失效率全部都符合要求，最后计算的每一个功能安全回路P F D 也符合要求，是不是就可以说：实现功能安全了？答：不，系

18、统中每个安全功能回路的硬件随机失效部分控制住了，只是开始。有统计表明，多于6 0%的安全仪表系统失效是由于设计、安装、操作、测试、维护、文档错误导致的，因此，还需要考虑设计者的资格、要求和使用供应商的安全手册、环境压力、腐蚀、响应时间、安装/装配、布线/接地、电源/冗余、维护指导、测试间隔、程序和工作表、产品复审等级等等多方面。结束语I E C 6 1 5 0 8 标准是功能安全基础标准，涉及石化、化工、电力、冶金、铁路、医疗仪器、机械等多个领域，不同用户面临不同的行业特点，但在功能安全方面，有许多共同的问题需要业界专家的共同探讨。参考文献 1 S a f e t y e q u i p m

19、e n t r e l i a b i l i t y h a n d b o o k 2 I E C 6 1 5 0 8Control Tech of Safety&Security(上接第7 页)1 0 讨论2 0 0 3 年本系统中标,2 0 0 5 年建成试运行时，还是有系统设计意料不到的安全问题。广州市电的波动大大超出欧洲标准E N；意大利E P S 中市电信号传感变压器烧坏，排除故障后正常；国产嵌入式系统良好，但限于成本，配置不够。本工作设计思想是：1）根据作者2 0 多年大国企从事核技术的经验，用U P S/E P S 网络化与小功率组合成分布式，取代中国当时办不到的大功率U P

20、 S/E P S制造；2）在P r o f i b u s、D e v i c e N e t、C o n t r o l N e t、E P A、E I B、L O N W o r k s、C C-L i n k 等著名的F C S 之外，采用嵌入式F C S-M o d b u s-E t h e r e t，成本低、国产、灵活。本工作是把两个重要的新领域I E C 6 1 5 0 8 功能安全措施与前景远大的嵌入式系统结合起来，通过一项地铁工程来实现。它对于中国的市场是有参考价值的。参考文献 1 赵杰雄.微机控制U P S 自动检测.U P S 论文专集.暨南大学电力电子研究所，1 9

21、9 9:1 5 1 7 2 沈经，徐永福.I G B T/I P M-P W M-D S P 全数字化U P S.中国电源学会1 4 届全国电源技术年会论文集.2 0 0 1:2 4 8 2 5 1 3 R o l a n d H e i d e l.C h a i r m a n I E C/T C 6 5.A s-p e c t s o f t h e F u t u r e i n A u t o m a t i o n f r o m I E CP e r s p e c t i v e.5 t h A n n i v e r s a r y o f S A C/T C 1 2 4.C

22、 h o n g q i n g.O c t.2 7 t h,2 0 0 6 4 H a r t m u t v o n K r o s i g k.A p p l i c a t i o n o f I E C6 1 5 0 8-1 9 8 8(G B/T 2 0 4 3 8-2 0 0 6)a n d E x p e c t e dC h a n g e s i n 2 n d E d i t i o n,B e i j i n g,2 0 0 7 5 冯晓升.功能安全技术讲座.仪器仪表标准化与计量，2 0 0 7(1 6)6 史学玲.功能安全技术讲座，仪器仪表标准化与计量，2 0 0 8(2)7 张广明.如何正确配置 U P S 冗余供电系统.U P S 应用，2 0 0 7(1 1):2 5 3 0