如何量化常見原因故障

如果時(shí)間允許，我喜歡提前做好這些博客，并且至少每批 3 或 4 個(gè)。在這一批中，我計(jì)劃討論CCF和相關(guān)主題，因?yàn)槲易罱坏貌粡?fù)習(xí)一下這個(gè)主題，作為討論IEC 61508-2：2010附錄E（處理片上冗余）的一部分。我決定在這一批中涵蓋的三個(gè)主題涉及CCF，馬爾可夫建模以及為什么我認(rèn)為強(qiáng)制要求架構(gòu)不好的討論。

如果硬件可靠性不足，則并行使用兩個(gè)通道是提高可靠性的常用解決方案。ISO 13849等一些標(biāo)準(zhǔn)要求（不完全是，但足夠接近）兩個(gè)通道。雙通道系統(tǒng)可靠性的限制因素是CCF（常見原因故障）。在這篇博客中，我將總結(jié)我對(duì)CCF的看法，以及如何量化常見原因故障對(duì)危險(xiǎn)故障率的貢獻(xiàn)。

縱觀各種標(biāo)準(zhǔn)，對(duì)CCF的含義有一種普遍的共識(shí)，但也存在差異。

ISO 13849 定義規(guī)定它必須來自單個(gè)事件，但 IEC 61508 定義允許多個(gè)事件。IEC 61508還說它們必須是并發(fā)的，但這是什么意思？ISO 13849 定義似乎排除了級(jí)聯(lián)故障。這兩個(gè)定義都沒有說明常見原因故障僅限于危險(xiǎn)的故障。一般來說，一些定義可以做一些收緊。雖然字典對(duì)并發(fā)的定義在實(shí)踐中可能說“同時(shí)”，但這可能意味著在容錯(cuò)時(shí)間內(nèi)或需求速率的一小部分。對(duì)于單個(gè)事件，我認(rèn)為量化必須包括級(jí)聯(lián)故障，否則算術(shù)不會(huì)加起來。下面是一個(gè)馬爾可夫模型，用于解釋為什么我說如果不包括級(jí)聯(lián)故障，它就不會(huì)加起來。從通道A失敗到通道A&B的路徑失敗，失敗率為λ，但如果B的故障率根據(jù)A是否已經(jīng)失敗而變化，則無效。因此，從屬故障分析可能比常見原因分析更好地捕獲意圖。

圖 1 - 顯示具有相同冗余的系統(tǒng)的馬爾可夫模型上的 CCF

要記住的重要一點(diǎn)是，我們?cè)噲D描述一種情況，即您決定實(shí)施雙通道系統(tǒng)以提高可靠性，而限制因素是常見原因故障。基于安全常識(shí)（SCS），我傾向于采取保守的方法，包括任何會(huì)導(dǎo)致兩個(gè)通道在過程安全時(shí)間內(nèi)失效的故障，無論它們是否是級(jí)聯(lián)故障。

注意 - 我剛剛發(fā)明了SCS首字母縮略詞。

請(qǐng)注意，在這兩個(gè)定義中都沒有提及故障是由于系統(tǒng)故障模式還是隨機(jī)故障模式。這意味著，作為遵循良好設(shè)計(jì)過程的一部分，您將最小化系統(tǒng)故障模式，并且包括任何剩余系統(tǒng)問題的常見原因故障率與組件的隨機(jī)故障率以某種方式相關(guān)。在各種量化方案中，對(duì)于常見原因故障率，有很多工程判斷，并且在ISO 13849，IEC 62061，IEC 61508-2：2010附錄E（半導(dǎo)體）和IEC 61508-6附錄D表中使用。在大多數(shù)情況下，它基于“選美比賽”，您可以在設(shè)計(jì)或運(yùn)行過程中實(shí)現(xiàn)的功能中獲得積分，并根據(jù)總積分為您分配一個(gè)β因素（我稍后會(huì)回到這個(gè)問題）以允許量化 PFH（每小時(shí)危險(xiǎn)的故障概率）。ISO 13849更像是通過/失敗的測(cè)試，如果你得到65分以上，你可以假設(shè)β因素為2%。IEC 62061 根據(jù)您的分?jǐn)?shù)提供從 1% 到 10% 的四個(gè)β因素級(jí)別，IEC 61508 還提供 4 個(gè)值，范圍從 0.5% 到 10%。在 IEC 61508 和 IEC 62061 中，即使您什么都不做，您也會(huì)獲得 10% 的β系數(shù)。在所有這些系統(tǒng)中，多樣性會(huì)給你帶來很多獎(jiǎng)勵(lì)積分，但不是必需的（多樣性有時(shí)會(huì)增加復(fù)雜性，因此可能是負(fù)面的）。IEC 61508-2：2010 附錄 E 半導(dǎo)體方法不同尋常，因?yàn)樗?guī)定了一長(zhǎng)串最小功能，然后有一個(gè)既有正積分又有負(fù)積分的積分系統(tǒng)。你開始假設(shè)β因子為33%，如果你低于25%，你可以說你的HFT（硬件容錯(cuò)）為1。這可能很重要，因?yàn)槟承?biāo)準(zhǔn)要求高頻交易為 1（請(qǐng)參閱即將發(fā)布的博客，了解我對(duì)此類要求的看法）。我實(shí)際上使用了IEC 61508-6：2010中的表格來根據(jù)ISO 3計(jì)算CAT 13849架構(gòu)的β因子，并且通過我的一組假設(shè)令人放心，我得到了ISO 2聲稱的13849%的β因子。這一切都有助于對(duì)一個(gè)主要基于工程判斷的系統(tǒng)充滿信心。

到目前為止，我只是使用了術(shù)語β因素，但即使是IEC 61508也使用β，βDB集成電路和β國(guó)際.在下面討論β因素的量化過程中，我將嘗試解釋每個(gè)因素的含義。要記住的重要一點(diǎn)是，即使CCF的定義包括安全和危險(xiǎn)故障，功能安全也更關(guān)注危險(xiǎn)故障。使用SFF（安全故障分?jǐn)?shù)）指標(biāo)是我們安全人員為數(shù)不多的關(guān)注安全故障之一。

出于數(shù)學(xué)目的，許多標(biāo)準(zhǔn)假設(shè)相同的通道，盡管有很多多樣性點(diǎn)。

圖2-β因子示意圖

上圖試圖顯示兩個(gè)不同通道的β因子。在左側(cè)，您可以看到兩個(gè)沒有重疊的通道，因此β因子為 0。在最右邊，你可以看到藍(lán)色通道的所有故障也是黃色通道的故障，所以β因子是0，在中間你會(huì)看到一個(gè)更典型的情況，β因子在1到<>之間。以上還表明，實(shí)際常見原因故障率對(duì)PFH的貢獻(xiàn)由βmin（λDU1LDU2），因?yàn)镃CF率不能大于λ的故障率較低的通道。

建模為可靠性框圖（RBD），故障率如下所示。

圖 3 - 符合 IEC 1-2：61508 的 6oo2010 架構(gòu)的可靠性框圖和 PFH

如果不對(duì)β因素進(jìn)行建模，那么將兩個(gè)系統(tǒng)并聯(lián)，每個(gè)系統(tǒng)的故障率為每1000年一次，將得到一個(gè)系統(tǒng)每百萬年一次的失敗率。然而，如果對(duì)β因素進(jìn)行建模，那么失敗率將提高到每10萬年一次到每100萬年一次之間，這是一個(gè)更現(xiàn)實(shí)的改進(jìn)。

常見原因故障也可以使用故障樹分析進(jìn)行建模。事實(shí)上，使用 FTA 對(duì)其進(jìn)行建模是顯示對(duì)β因素的所有系統(tǒng)貢獻(xiàn)的好方法。在您的工具箱中擁有所有可用的建模方法并為工作選擇合適的建模方法是一項(xiàng)經(jīng)驗(yàn)帶來的技能。

圖 4 - CCF 建模的各種方法 – 馬爾可夫、FTA、RBD

我將在以后的博客中介紹馬爾可夫模型，馬爾可夫模型在量化CCF方面也有一席之地。事實(shí)上，從上面的可靠性框圖中，很難看出IEC 1中給出的2oo61508架構(gòu)的PFH數(shù)字如此復(fù)雜，但在馬爾可夫模型中更容易看到（至少在直觀層面上）。

圖 5 - IEC 61800-5-2：2007 附錄 B 中的馬爾可夫模型

在這個(gè)馬爾可夫模型中，您可以看到，雖然模型中間顯示的 CCF 將您直接從安全狀態(tài)帶到危險(xiǎn)狀態(tài)，但您也可以從狀態(tài) S2 和 S3 到達(dá)那里。

很難就何時(shí)使用可靠性框圖與FTA或馬爾可夫建模給出一般指導(dǎo)，但是如果您的武器庫中有所有三種類型，您會(huì)感覺更好。

我答應(yīng)解釋標(biāo)準(zhǔn)中使用的β因子的一些變體。

IEC 61508-6 分離出檢測(cè)到和未檢測(cè)到的故障的β因素。 βD 是檢測(cè)到的危險(xiǎn)故障的β因素，簡(jiǎn)單β代表更重要的危險(xiǎn)未檢測(cè)到故障率。IEC 61508-6 中的許多計(jì)算都假定βD=0.5β但沒有跡象表明這是從哪里來的。如果它說βD=β 它將與通常被認(rèn)為是保守的 50% 安全 50% 危險(xiǎn)近似值保持一致，很長(zhǎng)一段時(shí)間這就是我實(shí)際上認(rèn)為它的意思。

雖然理論上在具有兩個(gè)以上通道的系統(tǒng)中，常見原因故障會(huì)影響所有通道，但I(xiàn)EC 61508修改了假設(shè)的β因素，使其不那么保守。IEC 61508-6 使用β國(guó)際表示基本 1oo2 系統(tǒng)的β因子。然后，您可以使用β國(guó)際計(jì)算任意 MooN 系統(tǒng)的β因子。

B集成電路是符合IEC 61508-2：2010附錄E的IC β系數(shù)。沒有提到是否β集成電路意在代表β或βD如上所述，保守地假設(shè)這意味著β（未檢測(cè)到的危險(xiǎn)故障的比例）。在這里保守通常不是那么糟糕，因?yàn)镮C通常非常可靠，因此β*λ的還是不會(huì)那么高。

注意 – 計(jì)算β因子時(shí)不考慮軟誤差。

圖6 - 常見原因故障的相關(guān)故障分析視圖

查看常見原因故障的另一種方法如上所示。在此視圖中，您具有常見原因故障啟動(dòng)器，但僅當(dāng)通道之間存在某種耦合機(jī)制時(shí)，才會(huì)發(fā)生常見原因故障。

從以上手段降低危險(xiǎn)的常見原因故障率包括

減少常見原因引發(fā)因素

減少常見原因耦合

降低至少一個(gè)冗余組件的故障率

審核編輯：郭婷