IEC 61508-6:2010附錄B分析了如何計(jì)算包括1oo2架構(gòu)在內(nèi)的幾種架構(gòu)的故障概率計(jì)算。在這種情況下,1oo2代表“二分之一”,這意味著有兩個(gè)安全通道,每個(gè)通道的排列方式是,如果至少有一個(gè)通道跳閘,系統(tǒng)將進(jìn)入安全狀態(tài)。這通常比使用單個(gè)通道提供更高的安全性。我之所以這么說(shuō),通常是因?yàn)榫哂蟹浅?煽拷M件和/或更高診斷覆蓋率的單通道架構(gòu)可以實(shí)現(xiàn)更低的PFH。
下面重繪了IEC 1-2:61508圖B.6中2010oo6通道的框圖。
圖 1 - 符合 IEC 1 標(biāo)準(zhǔn)的 2oo61508 架構(gòu)
此圖與 B.3.2.2.2 中的文本相匹配,其中指出“該架構(gòu)由兩個(gè)并聯(lián)的通道組成,因此任一通道都可以處理安全功能。因此,在安全功能按需失效之前,兩個(gè)通道都必須存在危險(xiǎn)的故障。
包含 1oo2 文本的深藍(lán)色方塊是一個(gè)選民,為了清楚起見(jiàn),我認(rèn)為架構(gòu)最好顯示為如下所示的內(nèi)容,否則投票本身就是擊敗冗余的單點(diǎn)故障。
此處的投票邏輯顯示為兩個(gè)開(kāi)關(guān)。如果任一開(kāi)關(guān)打開(kāi),則執(zhí)行器或接觸器的電源斷開(kāi),從而使機(jī)器進(jìn)入安全狀態(tài)(斷開(kāi)電源通常稱(chēng)為基本安全措施)。
圖 2 - 1oo2 重新繪制以清晰顯示選民
在有人問(wèn)為什么診斷沒(méi)有第三個(gè)輸出來(lái)控制額外的開(kāi)關(guān)之前,文本清楚地表明“假設(shè)任何診斷測(cè)試只會(huì)報(bào)告發(fā)現(xiàn)的故障,不會(huì)更改任何輸出狀態(tài)或更改輸出投票”,因此圖表和文本是一致的。也可以將其更改為每個(gè)通道具有額外的診斷塊,而不是共享診斷塊,但這顯然沒(méi)有完成。正如我們稍后將看到的,方程假設(shè)相同的冗余(只有 DC 和 λ 的 1 個(gè)公共值的對(duì)于兩個(gè)通道)。診斷可能是通過(guò)比較進(jìn)行診斷,在這種情況下,當(dāng)系統(tǒng)將進(jìn)入安全狀態(tài)時(shí),您無(wú)法判斷哪些通道出現(xiàn)故障。
我注意到 1oo2D 架構(gòu)的每個(gè)通道都有一個(gè)診斷塊,診斷確實(shí)會(huì)輸入投票,但要小心,因?yàn)?IEC 1-2:61508 中繪制的 6oo2010D 架構(gòu)實(shí)際上針對(duì)高可用性進(jìn)行了優(yōu)化,安全性更高,正如其描述所證明的那樣,“在正常運(yùn)行期間,兩個(gè)通道都需要要求安全功能才能發(fā)生”。我見(jiàn)過(guò)其他文檔和標(biāo)準(zhǔn),它們對(duì)1oo2D有不同的含義。
IEC 1-2的圖B.7給出了61508oo6架構(gòu)的匹配可靠性框圖。我在下面重新繪制了它。
圖 3 - 1oo2 架構(gòu)的可靠性框圖
可靠性框圖是評(píng)估安全功能的PFH(每小時(shí)平均危險(xiǎn)故障概率)的工具。在此圖中,僅顯示了每個(gè)通道的危險(xiǎn)故障率和常見(jiàn)原因。
每個(gè)通道都可能危險(xiǎn)或安全地發(fā)生故障,但可靠性框圖上未顯示安全或?qū)嶋H上沒(méi)有影響的故障。相反,僅顯示危險(xiǎn)的未檢測(cè)到的故障和檢測(cè)到的危險(xiǎn)故障,并用λ表示的和 λDD.此外,常見(jiàn)原因故障貢獻(xiàn)與并行通道串聯(lián)顯示,其危險(xiǎn)故障率由λCCFD.常見(jiàn)原因故障是導(dǎo)致兩個(gè)通道同時(shí)發(fā)生故障的故障(對(duì)于兩個(gè)通道中的隨機(jī)故障,分別是不同的)。
如果您正在注意,您可能會(huì)問(wèn)為什么包括檢測(cè)到的危險(xiǎn)故障。檢測(cè)到這些故障,但該信息未在附錄B中定義的1oo2架構(gòu)中使用,因?yàn)樗鞔_指出“假設(shè)任何診斷測(cè)試只會(huì)報(bào)告發(fā)現(xiàn)的故障,不會(huì)更改任何輸出狀態(tài)或更改輸出投票。我覺(jué)得這是不尋常的,如果您的系統(tǒng)實(shí)際上有辦法進(jìn)入安全狀態(tài)以應(yīng)對(duì)檢測(cè)到的危險(xiǎn)故障,這將使生成的方程變得保守。
從 1oo2 架構(gòu)的描述中不清楚,但是我們稍后將研究的方程式清楚地表明,檢測(cè)到的故障以某種方式標(biāo)記給修復(fù)團(tuán)隊(duì),該團(tuán)隊(duì)將及時(shí)修復(fù)檢測(cè)到的錯(cuò)誤 MTTR。在進(jìn)行這些維修之前,系統(tǒng)使用良好的通道以較低的完整性運(yùn)行。與診斷程序具有自己的輸出以使系統(tǒng)進(jìn)入安全狀態(tài)相比,這提供了更高級(jí)別的可用性。
我注意到該方程沒(méi)有對(duì)診斷的故障率進(jìn)行建模,但這甚至不包括在 1oo1 系統(tǒng)的計(jì)算中,至少對(duì)我來(lái)說(shuō),目前還不清楚診斷失敗是否對(duì)應(yīng)于根據(jù) IEC 61508 的安全功能的危險(xiǎn)故障,并且根據(jù) IEC 2 修訂版 61508 對(duì)它們進(jìn)行建模的要求僅限于附錄 D 中的聲明第 2 部分說(shuō)安全手冊(cè)必須包含診斷的故障率。無(wú)論如何,我跑題了,讓我們回到等式。
我們現(xiàn)在從IEC 61508第6部分的低需求部分跳到B.3.3.2.2中的高需求部分,我們找到下面的等式。
圖 4 - 1oo2 架構(gòu)每小時(shí)發(fā)生危險(xiǎn)故障的平均概率
該等式包括
BD– 導(dǎo)致兩個(gè)通道同時(shí)發(fā)生故障的檢測(cè)到的故障比例。典型值為 0.01、0.02 至 0.1。
β – 導(dǎo)致兩個(gè)通道同時(shí)失敗的所有故障的比例。典型值與β相似。
LDD– 每個(gè)通道檢測(cè)到的危險(xiǎn)故障率。數(shù)值通常在 1e-6 到 1e-9/h 的范圍內(nèi)。
L的– 每個(gè)通道的危險(xiǎn)未檢測(cè)到故障率。數(shù)值通常在 1e-6 到 1e-9/h 的范圍內(nèi)。
TCE – 見(jiàn)下文
t的定義那在 1oo1 部分中給出,如下所示,所以讓我們從它開(kāi)始。
圖5 - 通道等效停機(jī)時(shí)間
這里有一些新術(shù)語(yǔ):
T1– 驗(yàn)證測(cè)試間隔,如果沒(méi)有驗(yàn)證測(cè)試,則說(shuō)明安全系統(tǒng)的預(yù)期使用壽命。T1以小時(shí)為單位給出,其中一年為 8760 小時(shí)。
MRT – 平均維修時(shí)間(小時(shí))
MTTR – 平均恢復(fù)時(shí)間(小時(shí))
MRT和MTTR都是維修時(shí)間,但一個(gè)適用于通過(guò)驗(yàn)證測(cè)試檢測(cè)到的故障,其他適用于通過(guò)自動(dòng)測(cè)試(即正常診斷)檢測(cè)到的故障。
所以,讓我們從 t 開(kāi)始那它由兩部分組成。
第一部分那方程表示任何自動(dòng)診斷都無(wú)法檢測(cè)到的危險(xiǎn)故障的比例。如果執(zhí)行非自動(dòng)測(cè)試(證明測(cè)試),則假定這將檢測(cè)自動(dòng)測(cè)試未檢測(cè)到的故障,并且平均而言,這些故障對(duì)于 T 已經(jīng)存在1/2+實(shí)施修復(fù)的時(shí)間。在實(shí)踐中,T1通常等于系統(tǒng)的預(yù)期壽命,因?yàn)閺奈赐瓿蛇^(guò)證明測(cè)試。在這種情況下,故障平均存在一半的生命周期。當(dāng)通過(guò)驗(yàn)證測(cè)試檢測(cè)到故障時(shí),將在MRT中進(jìn)行修復(fù)。
后半段那方程表示檢測(cè)到的危險(xiǎn)故障,一旦檢測(cè)到,它們將在 MTTR 中修復(fù)。在實(shí)踐中,您可能會(huì)設(shè)置 MRT=MTTR=0,假設(shè)維修時(shí)間與系統(tǒng)的使用壽命相比更快(海上風(fēng)電場(chǎng)或太空應(yīng)用可能無(wú)法從此假設(shè)中受益)。在停機(jī)并等待修復(fù)時(shí),系統(tǒng)依賴于另一個(gè)通道正常工作。
所以現(xiàn)在讓我們回到主要等式。
圖6 - 重復(fù)標(biāo)準(zhǔn)中的公式
讓我們先看等式的最后一點(diǎn)。βλ的= λCCFD從可靠性框圖。β的典型值為 1%、2%、5% 或 10%。如果 β=10%,則 PFHG 通常是單個(gè)通道的危險(xiǎn)未檢測(cè)到故障率的 10%,即通道的可靠性(在安全意義上)提高了 10 倍。如果沒(méi)有等式的這一部分,你會(huì)天真地認(rèn)為FIT率提高了100倍,1000倍甚至更多。
等式的第一部分表示未檢測(cè)到的故障的累積,平均而言,對(duì)于 T 將存在這些故障1/2 其中 T1是驗(yàn)證測(cè)試間隔或安全系統(tǒng)的使用壽命,以較小者為準(zhǔn)。要看到這一點(diǎn),讓我們?cè)O(shè)置 MTTR=MTR=β=βD=0。然后,方程的第一部分變?yōu)?PFHG = 2*λ的2*噸1/2其中 λ的2表示兩個(gè)完全獨(dú)立的項(xiàng)目發(fā)生故障的概率,并且包括前 2 個(gè),因?yàn)橛袃煞N方式可以先發(fā)生通道 1 故障,然后通道 2 發(fā)生故障,反之亦然。The T1最后/2來(lái)自這樣一個(gè)事實(shí),即如果存在故障,則平均存在 T1/2(記住每小時(shí)危險(xiǎn)故障平均概率的PFH標(biāo)準(zhǔn))。
如果您想了解方程為輸入變量的各種值給出的結(jié)果,后續(xù)表 B.10 到 B.13 給出計(jì)算出的 PFHG適用于各種架構(gòu),如 λD、直流、β、MTTR 和 T1假設(shè)βD=b/2。
圖 7 - IEC 61508-6:2010 中的一些預(yù)先計(jì)算值
將等式分解為多個(gè)部分,看看等式的哪個(gè)部分占主導(dǎo)地位是很有趣的。
驗(yàn)證測(cè)試間隔為 20 年, MTTR=MTR=0, β=0.02, λD=50 等式的第一部分是 DC=20% 時(shí)最大值<總數(shù)的 60%,并且隨著 DC 的增加而迅速變得不那么重要。
圖8 - 零件方程
一旦證明測(cè)試間隔下降到10年或更短,方程的第一部分就變得微不足道了。
當(dāng) Beta 降低到 2% 或更低時(shí),等式前半部分的影響變得更加顯著,但對(duì)于 β 的最小可行值來(lái)說(shuō),仍然不到總數(shù)的 30%,這對(duì)我來(lái)說(shuō)是違反直覺(jué)的。我必須試著找時(shí)間再次玩這個(gè)等式。
至于這個(gè)等式從何而來(lái),我不知道。但是我看過(guò)一些關(guān)于類(lèi)似方程的論文,摘錄如下所示。我曾嘗試使用馬爾可夫模型和符號(hào)數(shù)學(xué)程序?yàn)樽约和茖?dǎo)它,但在我弄清楚如何在數(shù)學(xué)軟件中進(jìn)行部分集成之前失去了耐心。下面是我看到的一個(gè)推導(dǎo)的中間部分,顯示了推導(dǎo)中的步驟 95 到 98,因此您需要良好的數(shù)學(xué)知識(shí)和大量時(shí)間來(lái)從第一原理驗(yàn)證此方程。
圖 9 - 方程背后的計(jì)算示例
審核編輯:郭婷
-
接觸器
+關(guān)注
關(guān)注
63文章
1196瀏覽量
64361 -
DC
+關(guān)注
關(guān)注
9文章
3648瀏覽量
679661 -
執(zhí)行器
+關(guān)注
關(guān)注
5文章
377瀏覽量
19350
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論