時(shí)間的重要性

各種標(biāo)準(zhǔn)中對(duì)時(shí)間的利用比我意識(shí)到的要多，我沒有涵蓋所有內(nèi)容，但我認(rèn)為我得到了最重要的標(biāo)準(zhǔn)。希望這可以作為功能安全標(biāo)準(zhǔn)中有關(guān)時(shí)間的問題和術(shù)語的有用總結(jié)。

讓我們從符合IEC 61508的典型安全相關(guān)系統(tǒng)開始。下圖顯示了頂部的EUC（受控設(shè)備）和非安全EUC控制系統(tǒng)。然而，底部是E/E/PE（電氣電子或可編程電子）控制系統(tǒng)，該系統(tǒng)使用傳感器監(jiān)控EUC，如果傳感器檢測到問題，它能夠?qū)UC置于安全狀態(tài)。例如，如果EUC是由變速驅(qū)動(dòng)器控制的大型旋轉(zhuǎn)電機(jī)，則E/E/PE安全相關(guān)系統(tǒng)可能會(huì)監(jiān)控電機(jī)的速度，如果超過安全速度限制，它將使系統(tǒng)進(jìn)入安全狀態(tài)，通常（除非它是一架飛行飛機(jī)）停止電機(jī)旋轉(zhuǎn)。

圖2 - 受控設(shè)備

IEC 4 第 61508 部分將過程安全時(shí)間定義為“在 EUC 或 EUC 控制系統(tǒng)中發(fā)生的故障（有可能引起危險(xiǎn)事件）與必須在 EUC 中完成操作以防止危險(xiǎn)事件發(fā)生之間的時(shí)間段。我們可能會(huì)立即通過討論什么是危險(xiǎn)事件而陷入困境，但我不會(huì)。

讓我們繼續(xù)以旋轉(zhuǎn)電機(jī)為例，圖中的吹氣顯示了電機(jī)以遞增的速度旋轉(zhuǎn)，直到時(shí)間 t1它超過了設(shè)定的安全速度限制。E/E/PE 安全相關(guān)系統(tǒng)檢測到此超限事件并啟動(dòng) STO（IEC 61800-5-2 中定義的安全轉(zhuǎn)矩關(guān)閉），以在時(shí)間 t 之前使電機(jī)停止2.時(shí)間 t2-噸1必須小于過程安全時(shí)間，從圖中可以看出（隨著歲月的流逝和設(shè)備的磨損，我們甚至內(nèi)置了一些制動(dòng)效率較低的余量）。

圖 3 - IEC 61508 的過程安全時(shí)間

在某些情況下，確定過程安全時(shí)間可能很困難，但在其他情況下，一旦做出某些保守的假設(shè)，計(jì)算起來就相當(dāng)容易了。例如，假設(shè)我們有一個(gè)機(jī)器人安全應(yīng)用程序，其中機(jī)器人不在籠子里，如果有人接近機(jī)器人，則必須在人到達(dá)系統(tǒng)并造成傷害之前停止機(jī)器人。在這種情況下，如果我們知道機(jī)器人的最大速度，操作員的最大假定行走速度（在機(jī)器安全標(biāo)準(zhǔn)中通常為1.6m / s），機(jī)器人的制動(dòng)時(shí)間，安全功能響應(yīng)極限需要多長時(shí)間被打破，我們可以定義一個(gè)過程安全時(shí)間。以下是基于 ISO TS 15066 的計(jì)算示例，即將納入 ISO 10218-2。

圖 4 - 使用 SLS 安全功能計(jì)算機(jī)器人的過程安全時(shí)間

在機(jī)器人安全的情況下，過程安全時(shí)間用于定義保護(hù)性分離距離，然后用激光掃描儀或?qū)淼?D TOF相機(jī)（3D TOF相機(jī)可以減少保護(hù)性分離距離（并且遵循過程安全時(shí)間）進(jìn)行監(jiān)控，因?yàn)樗槐卦试S伸手）。

時(shí)間的另一個(gè)非常相似的方面如下所示。然而，這里是E/E/PE控制系統(tǒng)本身發(fā)生的故障，而不是觸發(fā)移動(dòng)到安全狀態(tài)的外部不良事件。此故障應(yīng)通過 E/E/PE 安全相關(guān)控制系統(tǒng)內(nèi)的診斷來檢測。如果檢測此故障的診斷程序每隔diagnostic_test_interval那么最壞的情況是，直到指定的時(shí)間才會(huì)檢測到故障。從那里開始，需要一段時(shí)間才能達(dá)到安全狀態(tài)，該圖中稱為“故障反應(yīng)時(shí)間”。在圖中，診斷測試間隔和故障響應(yīng)時(shí)間的總和顯示為安全響應(yīng)時(shí)間，并且安全響應(yīng)時(shí)間再次需要小于過程安全時(shí)間。對(duì)于高需求模式（需求速率超過每年一次），有另一種選擇是診斷測試>需求速率的 100 倍）。

圖5 - 與診斷相關(guān)的時(shí)間

我不會(huì)分心，但上述計(jì)算實(shí)際上僅適用于單通道架構(gòu)，因?yàn)槭褂秒p通道架構(gòu)時(shí)，第二個(gè)通道仍然可用于將您帶到安全狀態(tài)，因此診斷測試間隔并不那么重要。然而，對(duì)于機(jī)械，歐盟垂直建議的使用要求SIL 2 / PL d的診斷測試間隔至少每年一次，SIL 3 / PL e每月一次。對(duì)于所有閱讀此博客的汽車人，請(qǐng)記住，在工業(yè)領(lǐng)域，與汽車不同，安全系統(tǒng)可能會(huì)打開并運(yùn)行 20 或 30 年而不會(huì)關(guān)閉。沒有像鍵控這樣的好時(shí)機(jī)來測試潛在故障。

在上述術(shù)語中，只有過程安全時(shí)間被定義為IEC 61508，診斷測試間隔在IEC 61508的文本中使用。故障反應(yīng)時(shí)間實(shí)際上在IEC 61800-5-2中使用，但在IEC 61508中未提及，其中它指出諸如“診斷測試間隔和執(zhí)行指定操作以達(dá)到或保持安全狀態(tài)的時(shí)間的總和小于處理時(shí)間”。我認(rèn)為故障反應(yīng)時(shí)間是一個(gè)很好的術(shù)語。

上面還顯示了FTTI（容錯(cuò)時(shí)間間隔），它實(shí)際上是ISO 26262中的一個(gè)術(shù)語，但類似于IEC 61508的過程安全時(shí)間。ISO26262的其他術(shù)語是FDTI（故障檢測時(shí)間間隔），它類似于上面顯示的診斷測試間隔和FHTI（故障處理時(shí)間間隔），這是上面顯示的安全響應(yīng)時(shí)間。遺憾的是，標(biāo)準(zhǔn)無法根據(jù) electropeida 或類似術(shù)語對(duì)此類術(shù)語進(jìn)行標(biāo)準(zhǔn)化。

對(duì)于網(wǎng)絡(luò)，術(shù)語安全功能響應(yīng)時(shí)間如下所示，類似于上圖所示的響應(yīng)時(shí)間。它提醒我們，需要考慮從網(wǎng)絡(luò)一端到另一端的最大可能傳輸時(shí)間。請(qǐng)注意，總和始終使用最大保證響應(yīng)時(shí)間而不是 RMS 總和完成。這樣做的理由可能會(huì)成為另一個(gè)未來的博客。IEC 61784-3中一個(gè)很好的句子是“經(jīng)驗(yàn)測量只能作為最壞情況計(jì)算的合理性檢查”，這清楚地表明它必須通過分析而不是測量來完成。

圖 6 - IEC 61784-3 中的圖形，用于說明安全功能響應(yīng)時(shí)間

IEC 61508中另一個(gè)重要的時(shí)間概念是需求速率。速率是時(shí)間的倒數(shù)。因此，例如，如果您每小時(shí)發(fā)生一次，則需求率為1 / h。對(duì)于每 15 分鐘發(fā)生一次的事情，需求率為 4/h。如果某件事每年發(fā)生一次，需求率為 1e-4/h。如果估計(jì)需求率小于 1/年，則根據(jù) IEC 61508，我們使用 PFD（按需故障概率）作為關(guān)鍵可靠性指標(biāo)，但如果需求率大于一次/年，則關(guān)鍵指標(biāo)是 PFH（每小時(shí)平均故障概率）。允許的 PFH 和 PFD 因所需的 SIL（安全完整性等級(jí)）而異。我在下面顯示了PFH的SIL相關(guān)要求，因?yàn)閱挝皇? / h，因此與時(shí)間有關(guān)。

圖 7 - IEC 61508 第 1 部分每個(gè) SIL 允許的最大 PFH

為什么我們以每年一次的需求率從PFD切換到PFH是一個(gè)有趣的話題，并且會(huì)成為一個(gè)很好的未來博客，但是我今天不會(huì)討論它。

IEC 61508中的另一個(gè)概念是任務(wù)時(shí)間。這是安全系統(tǒng)的預(yù)期壽命。對(duì)于工業(yè)應(yīng)用，任務(wù)時(shí)間通常為20年。用于構(gòu)建安全系統(tǒng)的組件的使用壽命需要大于任務(wù)時(shí)間，否則您將進(jìn)入組件的磨損期，組件的可靠性將迅速下降（您可以通過在此之前更換組件來應(yīng)對(duì)這種情況）。對(duì)于汽車來說，任務(wù)時(shí)間可能是 15 年（對(duì)于汽車來說，壽命還不錯(cuò)），但這可能只有 6 個(gè)月的運(yùn)行時(shí)間（6 個(gè)月大約是 5000 小時(shí)，每小時(shí) 30 英里/50 公里意味著您將有 150000 英里或 2500000 公里），這聽起來至少適合愛爾蘭的汽車。

圖8 - ADI可靠性手冊(cè)中的可靠性浴盆曲線

說到電子元件的可靠性，可靠性通常表示為FIT（時(shí)間故障），這是1億小時(shí)運(yùn)行中預(yù)期的故障次數(shù)。IC的典型FIT可能是20 FIT，但簡單組件可以聲稱FIT為1。FIT 為 1 并不意味著組件將持續(xù)十億年，而是在上述曲線的綠色區(qū)域內(nèi)，每小時(shí)運(yùn)行的故障概率為 1e-9/h。使用 FIT 的一個(gè)原因是，人們覺得使用 10 而不是 1e-8 這樣的數(shù)字更好。

組件的可靠性通常用符號(hào) λ 表示?？煽啃缘牧硪环N表達(dá)方式是MTTF（平均故障時(shí)間），MTTF在機(jī)器安全標(biāo)準(zhǔn)中非常常見。如果您在浴缸曲線的平坦部分操作，則 MTTF 通常取為 1/λ。

一個(gè)有趣的方程給出了在恒定故障率 λ 的一段時(shí)間 t 后仍能正常運(yùn)行的單元的比例是 R（t）=1-exp（-λt）。一段時(shí)間后，MTTF 63% 的單位已經(jīng)出現(xiàn)故障（R（MTTF）=1-exp （-1））。對(duì)于可修復(fù)的系統(tǒng)，通常使用 MTBF – 故障前的平均時(shí)間 – 而不是 MTTF。對(duì)于機(jī)械部件，β10天代替 MTTF。這表示預(yù)計(jì) 10% 的組件發(fā)生危險(xiǎn)故障的循環(huán)次數(shù)。

IEC 61508中提到的另一個(gè)時(shí)間是驗(yàn)證測試間隔。驗(yàn)證測試類似于診斷，但正常診斷是自動(dòng)運(yùn)行的，而驗(yàn)證測試是一種非自動(dòng)測試，通常涉及將安全系統(tǒng)從其電路中取出并運(yùn)行旨在查找正常自動(dòng)診斷無法檢測到的項(xiàng)目的所有故障模式的測試。如果不允許驗(yàn)證測試，那么通常會(huì)說內(nèi)部證明測試等于任務(wù)時(shí)間。如果證明測試不完美，那么如果發(fā)生故障，它們將平均存在 T1/2 其中 T1是證明測試間隔或任務(wù)時(shí)間，以較短者為準(zhǔn)。最近一篇關(guān)于 1oo2 架構(gòu)的博客對(duì)此進(jìn)行了分析，請(qǐng)參見此處。

與任務(wù)時(shí)間相關(guān)的是任務(wù)配置文件。這通常表示為產(chǎn)品整個(gè)生命周期內(nèi)給定溫度下的時(shí)間量。例如，如果壽命為20年，那么任務(wù)概況可能在-1'c時(shí)為20年，在4'c時(shí)為0年，在10'c時(shí)為45年，在4'c下為65年，在1'c時(shí)為85年。此任務(wù)配置文件可用于根據(jù)IEC 62380等標(biāo)準(zhǔn)進(jìn)行可靠性預(yù)測。

審核編輯：郭婷