對1oo2架構(gòu)的思考

IEC 61508-6：2010附錄B分析了如何計算包括1oo2架構(gòu)在內(nèi)的幾種架構(gòu)的故障概率計算。在這種情況下，1oo2代表“二分之一”，這意味著有兩個安全通道，每個通道的排列方式是，如果至少有一個通道跳閘，系統(tǒng)將進入安全狀態(tài)。這通常比使用單個通道提供更高的安全性。我之所以這么說，通常是因為具有非常可靠組件和/或更高診斷覆蓋率的單通道架構(gòu)可以實現(xiàn)更低的PFH。

下面重繪了IEC 1-2：61508圖B.6中2010oo6通道的框圖。

圖 1 - 符合 IEC 1 標準的 2oo61508 架構(gòu)

此圖與 B.3.2.2.2 中的文本相匹配，其中指出“該架構(gòu)由兩個并聯(lián)的通道組成，因此任一通道都可以處理安全功能。因此，在安全功能按需失效之前，兩個通道都必須存在危險的故障。

包含 1oo2 文本的深藍色方塊是一個選民，為了清楚起見，我認為架構(gòu)最好顯示為如下所示的內(nèi)容，否則投票本身就是擊敗冗余的單點故障。

此處的投票邏輯顯示為兩個開關(guān)。如果任一開關(guān)打開，則執(zhí)行器或接觸器的電源斷開，從而使機器進入安全狀態(tài)（斷開電源通常稱為基本安全措施）。

圖 2 - 1oo2 重新繪制以清晰顯示選民

在有人問為什么診斷沒有第三個輸出來控制額外的開關(guān)之前，文本清楚地表明“假設任何診斷測試只會報告發(fā)現(xiàn)的故障，不會更改任何輸出狀態(tài)或更改輸出投票”，因此圖表和文本是一致的。也可以將其更改為每個通道具有額外的診斷塊，而不是共享診斷塊，但這顯然沒有完成。正如我們稍后將看到的，方程假設相同的冗余（只有 DC 和 λ 的 1 個公共值的對于兩個通道）。診斷可能是通過比較進行診斷，在這種情況下，當系統(tǒng)將進入安全狀態(tài)時，您無法判斷哪些通道出現(xiàn)故障。

我注意到 1oo2D 架構(gòu)的每個通道都有一個診斷塊，診斷確實會輸入投票，但要小心，因為 IEC 1-2：61508 中繪制的 6oo2010D 架構(gòu)實際上針對高可用性進行了優(yōu)化，安全性更高，正如其描述所證明的那樣，“在正常運行期間，兩個通道都需要要求安全功能才能發(fā)生”。我見過其他文檔和標準，它們對1oo2D有不同的含義。

IEC 1-2的圖B.7給出了61508oo6架構(gòu)的匹配可靠性框圖。我在下面重新繪制了它。

圖 3 - 1oo2 架構(gòu)的可靠性框圖

可靠性框圖是評估安全功能的PFH（每小時平均危險故障概率）的工具。在此圖中，僅顯示了每個通道的危險故障率和常見原因。

每個通道都可能危險或安全地發(fā)生故障，但可靠性框圖上未顯示安全或?qū)嶋H上沒有影響的故障。相反，僅顯示危險的未檢測到的故障和檢測到的危險故障，并用λ表示的和 λDD.此外，常見原因故障貢獻與并行通道串聯(lián)顯示，其危險故障率由λCCFD.常見原因故障是導致兩個通道同時發(fā)生故障的故障（對于兩個通道中的隨機故障，分別是不同的）。

如果您正在注意，您可能會問為什么包括檢測到的危險故障。檢測到這些故障，但該信息未在附錄B中定義的1oo2架構(gòu)中使用，因為它明確指出“假設任何診斷測試只會報告發(fā)現(xiàn)的故障，不會更改任何輸出狀態(tài)或更改輸出投票。我覺得這是不尋常的，如果您的系統(tǒng)實際上有辦法進入安全狀態(tài)以應對檢測到的危險故障，這將使生成的方程變得保守。

從 1oo2 架構(gòu)的描述中不清楚，但是我們稍后將研究的方程式清楚地表明，檢測到的故障以某種方式標記給修復團隊，該團隊將及時修復檢測到的錯誤 MTTR。在進行這些維修之前，系統(tǒng)使用良好的通道以較低的完整性運行。與診斷程序具有自己的輸出以使系統(tǒng)進入安全狀態(tài)相比，這提供了更高級別的可用性。

我注意到該方程沒有對診斷的故障率進行建模，但這甚至不包括在 1oo1 系統(tǒng)的計算中，至少對我來說，目前還不清楚診斷失敗是否對應于根據(jù) IEC 61508 的安全功能的危險故障，并且根據(jù) IEC 2 修訂版 61508 對它們進行建模的要求僅限于附錄 D 中的聲明第 2 部分說安全手冊必須包含診斷的故障率。無論如何，我跑題了，讓我們回到等式。

我們現(xiàn)在從IEC 61508第6部分的低需求部分跳到B.3.3.2.2中的高需求部分，我們找到下面的等式。

圖 4 - 1oo2 架構(gòu)每小時發(fā)生危險故障的平均概率

該等式包括

BD– 導致兩個通道同時發(fā)生故障的檢測到的故障比例。典型值為 0.01、0.02 至 0.1。

β – 導致兩個通道同時失敗的所有故障的比例。典型值與β相似。

LDD– 每個通道檢測到的危險故障率。數(shù)值通常在 1e-6 到 1e-9/h 的范圍內(nèi)。

L的– 每個通道的危險未檢測到故障率。數(shù)值通常在 1e-6 到 1e-9/h 的范圍內(nèi)。

TCE – 見下文

t的定義那在 1oo1 部分中給出，如下所示，所以讓我們從它開始。

圖5 - 通道等效停機時間

這里有一些新術(shù)語：

T1– 驗證測試間隔，如果沒有驗證測試，則說明安全系統(tǒng)的預期使用壽命。T1以小時為單位給出，其中一年為 8760 小時。

MRT – 平均維修時間（小時）

MTTR – 平均恢復時間（小時）

MRT和MTTR都是維修時間，但一個適用于通過驗證測試檢測到的故障，其他適用于通過自動測試（即正常診斷）檢測到的故障。

所以，讓我們從 t 開始那它由兩部分組成。

第一部分那方程表示任何自動診斷都無法檢測到的危險故障的比例。如果執(zhí)行非自動測試（證明測試），則假定這將檢測自動測試未檢測到的故障，并且平均而言，這些故障對于 T 已經(jīng)存在1/2+實施修復的時間。在實踐中，T1通常等于系統(tǒng)的預期壽命，因為從未完成過證明測試。在這種情況下，故障平均存在一半的生命周期。當通過驗證測試檢測到故障時，將在MRT中進行修復。

后半段那方程表示檢測到的危險故障，一旦檢測到，它們將在 MTTR 中修復。在實踐中，您可能會設置 MRT=MTTR=0，假設維修時間與系統(tǒng)的使用壽命相比更快（海上風電場或太空應用可能無法從此假設中受益）。在停機并等待修復時，系統(tǒng)依賴于另一個通道正常工作。

所以現(xiàn)在讓我們回到主要等式。

圖6 - 重復標準中的公式

讓我們先看等式的最后一點。βλ的= λCCFD從可靠性框圖。β的典型值為 1%、2%、5% 或 10%。如果 β=10%，則 PFHG 通常是單個通道的危險未檢測到故障率的 10%，即通道的可靠性（在安全意義上）提高了 10 倍。如果沒有等式的這一部分，你會天真地認為FIT率提高了100倍，1000倍甚至更多。

等式的第一部分表示未檢測到的故障的累積，平均而言，對于 T 將存在這些故障1/2 其中 T1是驗證測試間隔或安全系統(tǒng)的使用壽命，以較小者為準。要看到這一點，讓我們設置 MTTR=MTR=β=βD=0。然后，方程的第一部分變?yōu)?PFHG = 2*λ的2*噸1/2其中 λ的2表示兩個完全獨立的項目發(fā)生故障的概率，并且包括前 2 個，因為有兩種方式可以先發(fā)生通道 1 故障，然后通道 2 發(fā)生故障，反之亦然。The T1最后/2來自這樣一個事實，即如果存在故障，則平均存在 T1/2（記住每小時危險故障平均概率的PFH標準）。

如果您想了解方程為輸入變量的各種值給出的結(jié)果，后續(xù)表 B.10 到 B.13 給出計算出的 PFHG適用于各種架構(gòu)，如 λD、直流、β、MTTR 和 T1假設βD=b/2。

圖 7 - IEC 61508-6：2010 中的一些預先計算值

將等式分解為多個部分，看看等式的哪個部分占主導地位是很有趣的。

驗證測試間隔為 20 年， MTTR=MTR=0， β=0.02， λD=50 等式的第一部分是 DC=20% 時最大值<總數(shù)的 60%，并且隨著 DC 的增加而迅速變得不那么重要。

圖8 - 零件方程

一旦證明測試間隔下降到10年或更短，方程的第一部分就變得微不足道了。

當 Beta 降低到 2% 或更低時，等式前半部分的影響變得更加顯著，但對于 β 的最小可行值來說，仍然不到總數(shù)的 30%，這對我來說是違反直覺的。我必須試著找時間再次玩這個等式。

至于這個等式從何而來，我不知道。但是我看過一些關(guān)于類似方程的論文，摘錄如下所示。我曾嘗試使用馬爾可夫模型和符號數(shù)學程序為自己推導它，但在我弄清楚如何在數(shù)學軟件中進行部分集成之前失去了耐心。下面是我看到的一個推導的中間部分，顯示了推導中的步驟 95 到 98，因此您需要良好的數(shù)學知識和大量時間來從第一原理驗證此方程。

圖 9 - 方程背后的計算示例

審核編輯：郭婷