可靠性預(yù)測的不確定性是否證明強制要求雙通道安全是合理的？

在這篇博客中，我將集中討論針對此類要求給出的最常見的理由之一，即可靠性數(shù)字的不確定性。人們的擔(dān)憂主要集中在較舊的機械技術(shù)上，大多數(shù)人都認為半導(dǎo)體等新技術(shù)的可靠性預(yù)測更好。

由于許多雙通道安全的倡導(dǎo)者來自機械行業(yè)，讓我們使用基于ISO 13849的論點。標準中有一個數(shù)字顯示了CAT（類別 - 5種標準架構(gòu)之一），DC（診斷覆蓋范圍）和MTTFd（危險故障率）的組合，可用于實現(xiàn)各種PL（性能水平 - 給定設(shè)計所需或?qū)崿F(xiàn)的安全性的衡量標準）。

圖 1 - 圖表顯示如何結(jié)合 MTTFd、DC 和 CAT 以實現(xiàn)所需的 PL

因此，如果我們的危害分析和風(fēng)險評估表明我們需要PL d安全功能，則圖表顯示我們可以通過a）CAT 2架構(gòu)，高可靠性（MTTFd在30至100年范圍內(nèi)）以及低（60%）到中（90%）的直流或b）具有MTTFd高和低（3%）到中（60%）直流的CAT 90架構(gòu)來實現(xiàn)這一點。

ISO 13849-1的附錄K給出了比上表所示更多的數(shù)據(jù)粒度。附錄 K 基于各種架構(gòu)/類別的馬爾可夫建模（見下面的鏈接）。因此，讓我們以 CAT 2 和 CAT 3 架構(gòu)為例，它們都提供 PL d。

因此，對于PL d，我們需要在1e-6 / h 到1e - 7 / h范圍內(nèi)的PFHd。

設(shè)計解決方案 1 – CAT 2（單通道）架構(gòu)，直流為 90%，MTTFd 為 75 年。

設(shè)計解決方案 2 – CAT 3（冗余）架構(gòu)，直流為 60%，每個通道的 MTTFd 為 47 年。

兩種解決方案的PFHd約為3.4e-7 / h，因此在隨機硬件錯誤安全性方面具有相同的性能。兩者都在PL d范圍內(nèi)，因此在隨機硬件故障的容差方面符合PL d標準。

圖 2 - 比較基于 ISO 13849-1 附錄 K 的非冗余和冗余架構(gòu)的可靠性不確定性。

現(xiàn)在讓我們假設(shè)我們的可靠性數(shù)字很糟糕。假設(shè)樂觀是 2 倍。

因此，對于使用單通道的設(shè)計解決方案 1，MTTFd 從 75 年到 36 年（不是完全減半，但與表格給出的一樣接近），那么設(shè)計解決方案 1 的 PFHd 為 9.39e-7h。

對于使用冗余架構(gòu)的設(shè)計解決方案 2，MTTFd 從 47 年變?yōu)?24 年，然后 PFHd 降至 9.47e-7/h。

對于冗余解決方案和非冗余解決方案，我們?nèi)匀痪哂械刃У腜FHd，并且兩者都仍然給出PL d。因此，如果硬件的可靠性估計值為2倍，那么無論解決方案是單通道還是冗余，PFHd都會出現(xiàn)類似的降級。因此，倡導(dǎo)基于可靠性不確定性的冗余架構(gòu)對我來說毫無意義。也許那些支持CAT 3的人會聲稱，對雙通道系統(tǒng)中兩個通道的預(yù)測不太可能是樂觀的，但我不確定我是否相信這一點。

那么，標準如何防止可靠性數(shù)字的不確定性呢？

ISO 13849 通常將您可以聲稱的最大 MTTFd 限制為 100 年 （1141 FIT），從而防止過度依賴可靠性。

IEC 61508 使用置信度。因此，IEC 50不是將可靠性基于可能是平均值的值（61508%置信度），而是將70%的置信水平作為標準，在某些情況下為90%甚至99%。

此外，SN29500等標準通常用作可靠性數(shù)據(jù)的來源，沒有引用置信水平，但我看到聲稱它們處于99%的水平。此外，它們混合了系統(tǒng)和隨機故障，這意味著如果您只分析隨機硬件故障（應(yīng)使用嚴格的開發(fā)過程解決系統(tǒng)故障），它們可能會悲觀 2 倍。

因此，可靠性預(yù)測應(yīng)該已經(jīng)是保守的了，我不認為人們在安全裕度之上堆積安全裕度是好的做法，因為他們對標準中的內(nèi)容感到不舒服。

在“可靠性可維護性和風(fēng)險”一書中，對“預(yù)測的置信極限”進行了很好的討論，作者比較了使用站點特定數(shù)據(jù)的預(yù)測、使用行業(yè)特定數(shù)據(jù)的預(yù)測以及使用通用數(shù)據(jù)的預(yù)測。

也許支持雙通道安全的更好論據(jù)是它可以針對系統(tǒng)故障模式提供保護，這些模式通常不會在可靠性計算中建模。

審核編輯：郭婷