可靠性預(yù)測(cè)的不確定性是否證明強(qiáng)制要求雙通道安全是合理的

我以前經(jīng)常在博客上說(shuō)我不喜歡要求兩個(gè)通道安全的標(biāo)準(zhǔn)。值得慶幸的是，這種情況越來(lái)越少見(jiàn)，但仍然有一些人仍然希望強(qiáng)制冗余，主要表現(xiàn)為 CAT 3 架構(gòu)的要求。在這篇博客中，我將集中討論針對(duì)此類(lèi)要求給出的最常見(jiàn)的理由之一，即可靠性數(shù)字的不確定性。人們的擔(dān)憂主要集中在較舊的機(jī)械技術(shù)上，大多數(shù)人都認(rèn)為半導(dǎo)體等新技術(shù)的可靠性預(yù)測(cè)更好。

由于許多雙通道安全的倡導(dǎo)者來(lái)自機(jī)械行業(yè)，讓我們使用基于ISO 13849的論點(diǎn)。標(biāo)準(zhǔn)中有一個(gè)數(shù)字顯示了CAT（類(lèi)別 - 5種標(biāo)準(zhǔn)架構(gòu)之一），DC（診斷覆蓋范圍）和MTTFd（危險(xiǎn)故障率）的組合，可用于實(shí)現(xiàn)各種PL（性能水平 - 給定設(shè)計(jì)所需或?qū)崿F(xiàn)的安全性的衡量標(biāo)準(zhǔn)）。

圖 1 - 圖表顯示如何結(jié)合 MTTFd、DC 和 CAT 以實(shí)現(xiàn)所需的 PL

因此，如果我們的危害分析和風(fēng)險(xiǎn)評(píng)估表明我們需要PL d安全功能，則圖表顯示我們可以通過(guò)a）CAT 2架構(gòu)，高可靠性（MTTFd在30至100年范圍內(nèi)）以及低（60%）到中（90%）的直流或b）具有MTTFd高和低（3%）到中（60%）直流的CAT 90架構(gòu)來(lái)實(shí)現(xiàn)這一點(diǎn)。

ISO 13849-1的附錄K給出了比上表所示更多的數(shù)據(jù)粒度。附錄 K 基于各種架構(gòu)/類(lèi)別的馬爾可夫建模（見(jiàn)下面的鏈接）。因此，讓我們以 CAT 2 和 CAT 3 架構(gòu)為例，它們都提供 PL d。

因此，對(duì)于PL d，我們需要在1e-6 / h 到1e - 7 / h范圍內(nèi)的PFHd。

設(shè)計(jì)解決方案 1 – CAT 2（單通道）架構(gòu)，直流為 90%，MTTFd 為 75 年。

設(shè)計(jì)解決方案 2 – CAT 3（冗余）架構(gòu)，直流為 60%，每個(gè)通道的 MTTFd 為 47 年。

兩種解決方案的PFHd約為3.4e-7 / h，因此在隨機(jī)硬件錯(cuò)誤安全性方面具有相同的性能。兩者都在PL d范圍內(nèi)，因此在隨機(jī)硬件故障的容差方面符合PL d標(biāo)準(zhǔn)。

圖 2 - 比較基于 ISO 13849-1 附錄 K 的非冗余和冗余架構(gòu)的可靠性不確定性。

現(xiàn)在讓我們假設(shè)我們的可靠性數(shù)字很糟糕。假設(shè)樂(lè)觀是 2 倍。

因此，對(duì)于使用單通道的設(shè)計(jì)解決方案 1，MTTFd 從 75 年到 36 年（不是完全減半，但與表格給出的一樣接近），那么設(shè)計(jì)解決方案 1 的 PFHd 為 9.39e-7h。

對(duì)于使用冗余架構(gòu)的設(shè)計(jì)解決方案 2，MTTFd 從 47 年變?yōu)?24 年，然后 PFHd 降至 9.47e-7/h。

對(duì)于冗余解決方案和非冗余解決方案，我們?nèi)匀痪哂械刃У腜FHd，并且兩者都仍然給出PL d。因此，如果硬件的可靠性估計(jì)值為2倍，那么無(wú)論解決方案是單通道還是冗余，PFHd都會(huì)出現(xiàn)類(lèi)似的降級(jí)。因此，倡導(dǎo)基于可靠性不確定性的冗余架構(gòu)對(duì)我來(lái)說(shuō)毫無(wú)意義。也許那些支持CAT 3的人會(huì)聲稱，對(duì)雙通道系統(tǒng)中兩個(gè)通道的預(yù)測(cè)不太可能是樂(lè)觀的，但我不確定我是否相信這一點(diǎn)。

那么，標(biāo)準(zhǔn)如何防止可靠性數(shù)字的不確定性呢？

ISO 13849 通常將您可以聲稱的最大 MTTFd 限制為 100 年 （1141 FIT），從而防止過(guò)度依賴可靠性。

IEC 61508 使用置信度。因此，IEC 50不是將可靠性基于可能是平均值的值（61508%置信度），而是將70%的置信水平作為標(biāo)準(zhǔn)，在某些情況下為90%甚至99%。

此外，SN29500等標(biāo)準(zhǔn)通常用作可靠性數(shù)據(jù)的來(lái)源，沒(méi)有引用置信水平，但我看到聲稱它們處于99%的水平。此外，它們混合了系統(tǒng)和隨機(jī)故障，這意味著如果您只分析隨機(jī)硬件故障（應(yīng)使用嚴(yán)格的開(kāi)發(fā)過(guò)程解決系統(tǒng)故障），它們可能會(huì)悲觀 2 倍。

因此，可靠性預(yù)測(cè)應(yīng)該已經(jīng)是保守的了，我不認(rèn)為人們?cè)诎踩６戎隙逊e安全裕度是好的做法，因?yàn)樗麄儗?duì)標(biāo)準(zhǔn)中的內(nèi)容感到不舒服。

在“可靠性可維護(hù)性和風(fēng)險(xiǎn)”一書(shū)中，對(duì)“預(yù)測(cè)的置信極限”進(jìn)行了很好的討論，作者比較了使用站點(diǎn)特定數(shù)據(jù)的預(yù)測(cè)、使用行業(yè)特定數(shù)據(jù)的預(yù)測(cè)以及使用通用數(shù)據(jù)的預(yù)測(cè)。

也許支持雙通道安全的更好論據(jù)是它可以針對(duì)系統(tǒng)故障模式提供保護(hù)，這些模式通常不會(huì)在可靠性計(jì)算中建模。

審核編輯：郭婷