作者:Tom-M
本博客继续讨论上一个博客中的需求模式话题,特别是低需求和高需求模式。
先介绍基础知识:
PFH = 每小时危险故障概率(IEC 62061加了一个很有用的“d”,如PFHd,提醒我们这仅适用于危险故障)
PFDavg= 平均需求故障概率(它与风险降低因数RRF相对)
PFH和PFD代表根据SIL的随机硬件故障方面的硬件可靠性指标。IEC 61508-1:2010的表1、2提出了实际要求
需要记住的重点是,这两个指标都只关注危险故障,这些故障将阻止系统维护安全或实现安全状态。通过诊断检测到的危险故障实际上是安全的,不包括在指标范围内。
上一篇博客中提到,划分低需求模式和高需求模式的指标是一年一次的需求率,可以看出,如果以一年10,000小时而不是8,760小时计算,PFH和PFDavg的需求率是相同的,即一年一次。
看表格,如果您有SIL 3高需求安全功能,则PFH需要< 1e-7/h (100 FIT)。这可以使用FMEA(失效模式和效果分析)或FTA(故障树分析)确定。对于低需求,SIL 3安全功能所需故障的平均概率应小于0.001。
使用IEC 61508-6:2010的近似值,上述结果导致一个有趣的反常现象,即当需求率从1.01/年改为0.99/年时,可靠性要求似乎增加了10倍。这没有多大意义,因为需求率在下降。
举例说明,假设您有一个使用寿命为20年的单通道系统,并且没有验证测试(验证测试间隔 = 20年)。进一步假设高需求率为1.01/年(为便于计算用1/年),那么为了满足IEC 61508-1:2010表3的要求,λDU为0.99e-7允许硬件指标要求为SIL 3。
但是,如果需求率降至0.99/年(为便于计算用1/年),降低需求率当然是件好事,那么,我们允许使用低需求规则的SIL级别是多少。根据IEC 61508-6:2010第B.3.2.2.2条,我们得到的PFDavg为9e-3,正好在SIL 2范围的高端,λDU显然需要下降10倍才能在SIL 3范围内。正如我所说,这是令人困惑的,似乎也没有意义。编写这项标准的可敬女士们和先生们是否犯了个错误?恐怕没有,他们没有犯错。
即使使用需求率来计算RRF,显然仍出现这种异常现象,如下所示。这肯定是不对的,原因是什么?
如ISO 10218-1中所规定的,上述数字假设验证测试间隔为20年。
第一个错误警告是,如果遵循低需求规则,随着需求率进一步上升(进入高需求区域),情况会变得更糟。这表明,以高于0.1/年的高需求率(包括所指出的1.0/年)计算的低需求近似值是非常错误的。
IEC 61508-6:2010第B.3.1条中给出了第二个警告,其中规定:“需求之间的预期间隔至少比验证测试间隔大一个数量级。”但是,您必须非常仔细地阅读标准才能发现这一点。在这种情况下,验证测试间隔为20年,因此近似方程只会在需求率达到每200年一次时才成立!!
因此您如何解释这一点?下面的图有所帮助。
看上图,您会估计危险事件的频率遵循下面的红色曲线,且危险事件的频率随着需求率的增加而增加。然而,安全功能介于需求率和危险事件之间,因此危险事件率绝不能超过与需求率无关的安全功能的故障率,并以图上所示的紫色线表示。当您进行计算时,会得到类似于下面的虚线值,其给出了真实的危险事件频率,如果使用这条虚线,关于1/年需求率的异常将消失,且危险事件频率绝不会超过λDU给出的频率。
在IEC 63161中,上述曲线的方程称为Henley/Kumamoto方程。
虽然在博客中难以处理这个复杂的主题,但下面有一些重要的结论:
高需求模式为给定的λDU提供最大危险事件率
IC供应商以及真正的模块或子系统供应商需要给出一个λDU,并让安全功能设计人员计算PFH和PFD
针对低需求计算RRF/PFD的一个重要原因是确定系统需求所需的SIL
当需求率从1/年下降到1/千年时,所需的RRF和SIL(SC)就会下降 .