【工程师博客】低需求、高需求和连续模式安全功能

作者:Tom-M

在上一篇关于软错误的博客中,我承诺下一篇将关注PFH和PFD。但是,承诺以后我想到,应该首先讨论低需求和高需求模式。

在IEC 61508中,安全功能基本上分为两类:高需求和低需求。高需求安全功能是针对每年发生一次以上(例如每天一次)的需求,低需求是指预期需求率不到每年一次(例如每10年一次)。

确定安全功能是低需要还是高需求有如下意义:

关键可靠性指标 - 可能是PFD或PFH(参见下一篇博客)
确定安全功能所需SIL的合适方法
为防止引入设计错误(系统错误)而必须采取的措施
诊断率
IEC 61508中没有“需求”的定义,但IEC TR 631161将需求定义为“导致安全控制系统执行安全控制功能的事件”。在过程行业中,需求也可以指过程更新或过程偏差。

IEC 61508定义了第三种工作模式,称为连续模式,但其要求类似于高需求模式。在低需求和高需求模式中,致人受伤需要发生两件事情:1) 安全系统失效;2) 在安全系统处于失效状态的情况下发生一个需求。在连续模式下,一旦安全系统以危险状态失效,就会发生事故,因为只有安全系统才能维持安全状态。

图1 - ISO/TR 12489:2013中的连续模式与需求模式

虽然IEC 61508作为基本标准需要同时涵盖低需求和高需求模式,但行业特定标准则不然。例如,机械只有高需求,而过程控制大部分是低需求。安全气囊子系统之类的东西有高需求和低需求安全功能,不过ISO 26262根本没有工作模式,使得所有安全功能都是高需求(低需求安全功能是在车辆发生碰撞时打开安全气囊,高需求安全功能是防止安全气囊意外打开)。

图2 - IEC 63161中的需求率计算方法

上图来自IEC 63161的草案,需求率计算如下:DR=IR.Pr.Fr.(1-AV)

在下一篇博客中,我将讨论PFH(高需求)和PFD(低需求)指标。

需求率可用于根据系统要求确定SIL。假设最大可接受风险为1e-5/y。并且假设100次事件中只有1次导致死亡 => 允许需求发生的频率快100倍 => 1e-3/y,不超过1e-5/y。进一步假设EUC(受控设备)每5年仅失效一次(0.2/y)。这样,安全系统的平均需求失效最大值须为 1e-3/0.2 = 5e-3,即二百分之一,根据IEC 61508-1:2010表2,属于SIL 2范围。

因此,系统需要实现200的RRF(风险降低因子)并满足SIL 2的系统要求 - 注意,根据系统要求(也称为系统能力SC 1至SC 4),100到999的RRF对应SIL 2要求。但是,PFH和PFD(参见下一篇博客)仍必须足以实现200的风险降低因子。

关于设置诊断测试率,参见IEC 61508-2:2010第7.4.4.1.4和7.4.4.1.5条。实际上,对于非冗余系统,它规定:诊断测试间隔(诊断测试率的倒数)加上达到安全状态所需的时间之和应小于过程安全时间,或者诊断测试率与需求率之比等于100。对于低需求安全功能,没有规定最低诊断测试率,但一天次或一班以次通常被认为是保守的,应能达到硬件可靠性指标(PFD)。

点击这里,获取更多IOT物联网设计信息