功能安全技术讲座:第16讲 功能安全中表决结构的分析与应用
安全标准和功能安全的基本定义——季瞻
PFD 0.0001 0.001 0.01 0.1 Probability to Fail Dangerous 危险可能性 A(s) in % 99.99 99.9 99 90 Availability for Safety Functions 安全功能可提 供性 RRF 10,000 1,000 SIL SIL 4 3 2 3 2 1 IEC 61508 100 1 10 Risk Reduction Factor ISA S84.01 降低危险因素 - AK 8 7 6 5 4 3 2 1 DIN-V 19250 功能安全的基本定义 一 安全术语 1) 伤害harm 由于对财产或环境的破坏而导致的直接或间接 地对 人体健康的损害或对人身的损伤。 2) 危险Hazard 伤害的潜在根源。 注:该术语包括短时间内发生的对人员的威胁(如,着火或爆炸) 以及对人体 健康长时间有影响的那些威胁(如有毒物质的释 放)。 3)危险情况 人暴露于危险的环境 4)危险事件 导致伤害的危险情况。 5)风 险risk 出现伤害的概率及该伤害严重性的组合。 6)允许风险 根据当今社会的水准,在特定的范围内能够 接受的风险。 7)残 余风险 采取防护措施以后仍存在的风险。 8)安全safety 不存在不可接受的风险。
本文由zzabchappy贡献 pdf1。 安全标准和功能安全的基本定义 季瞻 ? 13916027145 ? 北京康吉森自动化设备技术 有限公司 功能安全的重要性 不言而语, 工厂或装置 等发生的一 系列安全事 故证明,其 引发的焦点 即是 功能安 全。 介绍的内容 一、标准 二、功能安全的基本定义 功能安全的标准体系 ? ? ? ? IEC 61508 “Functional Safety: Safety Related Systems” IEC 6 1511 “Functional Safety Instrumented Systems for the Process Industry Sec tor” DIN 19250 "Control Technology; Fundamental Safety Aspects To Be Cons idered for Measurement and Control Equipment" DIN V VDE 0801 "Principles f or Computers in Safety Related Systems" ISA S84.01 SP-91 “Identification of Emergency Shutdown Systems and Controls That are Critical to Maintainin g Safety in Process Industries” 我国与之对应的标准:GB/T20438.1-7 2007年1月实施 GB21109.1-3 2007年12月实施 IEC 61508 电气/电子/可编程电子安全 相关系统的功能安全 Part 1:一般要求 Part 2:电子/电气/电子可编程电子安全相关系统的要求 P art 3:软件要求 Part 4:定义和缩略语 Part 5:确定安全完整性等级的方法示例 Part 6:IEC61508.2和IEC61508.3的应用指南 Part 7:技术和措施概述 2000年版 IEC 61511 过程工业领域安全仪表系统 的功能安全 Part 1:框架、定义、系统、硬件和软件要求 Part 2:IEC61511.1的应用指南 Part 3:确定要求的安全完整性等级的指南 2003年版 安全标准之间的关系 DIN V 19250 / VDE V 0801 (Germany) IEC 61508 IEC 61511 – Overall Safety Life Cycle安全生命周期 – Safety plan / 安全计划/管 理 management – Safety Integrity Levels 安全整体要求等级 – Safety system diagnostic requirements 安全系统诊断要求 – Safety system architectures a nd reliability figures安全系统和可靠性数据 – Risk classification 1989 风险等级1989 – Safety system requirements 安全系统要求 Various national standards 各种国家标准 ANSI / ISA S84.01 (USA) 1996 – Safety procedures安全步骤 – Safety L ife Cycle安全生命周期 – Safety Integrity Levels 安全整体要求等级 NFPA / UL1998 功能安全的标准体系 IEC60335 家庭和类似电子器具-安全 IEC 62061 机械安全-SRPCS功能安全 IEC61784-3 现场总线 IEC61508 E/E/PE安全相关系统功能安全 IEC61513 核工业 IEC61511 过程领域 IEC60601-1 医药工业 各安全标准的安全等级划分对比
EPB功能安全笔记(1):危害分析与风险评估(理论篇)
EPB功能安全笔记(1):危害分析与风险评估(理论篇)本文要点功能安全(Functional Safety)的定义为:不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。
要想避免“不合理的风险”,第一步是要正确地识别风险。
在ISO 26262的第3部分对危害分析与风险评估(Hazard Analysis and Risk Assessment)的方法论做了细致的阐述,同时也定义了很多功能安全的关键概念。
但是,这些概念的定义虽然精炼却又抽象拗口,且由于缺乏足够的案例作为理解辅助,让人很难快速理解其中的要点。
基于此,本文结合实例来梳理危害分析与风险评估的方法及其中的关键点,希望能为正在学习功能安全的朋友提供一些有价值的参考。
研究对象选择——EPB从功能安全开发流程上讲,相关项定义(Item Definition)是功能安全开发的第一步,其主要目的是明确研究对象的功能、接口以及边界。
为了方便后续对危害分析与风险评估的相关概念进行说明,本文选取EPB系统(电子驻车系统,Electric Parking Brake)作为研究对象。
EPB,电子驻车系统EPB系统的工作原理与机械式手刹相同, 均是通过制动卡钳与刹车片产生的摩擦力来实现车辆驻车, 只不过控制方式从之前的机械式手刹拉杆变成了电子控制。
EPB系统最基本的功能就是实现临时性和长时间驻车。
另外,在配备了EPB系统的车辆中,由于传统的手刹杆或脚刹杆被电子按钮代替,根据法规要求:车辆制动系统必须能够提供除行车制动系统外第二套装置,通过操作该装置能够使车辆达到至少1.5m/s2的减速度。
对于传统车辆,手刹或脚刹可以实现这个功能,而在配备EPB系统的车辆上,可以通过电控液压制动单元主动建压来实现该减速度。
出于安全考虑,EPB系统的人机交互即电子按钮必须设计成上拉激活而不是按压激活,因为在实际使用过程中按钮可能会错误地被按压,比如把女士把包放在按钮上面而造成EPB系统错误激活。
功能安全技术安全概念示例
功能安全技术安全概念示例功能安全是指在产品或系统设计、开发和运行过程中,确保其功能的安全性和可靠性。
下面是一些功能安全技术和安全概念的示例。
1. 误操作限制:在设计控制系统时,使用适当的ergonomic措施,限制误操作的可能性。
例如,通过设计易于理解和使用的用户界面,使用标准化的操作手册,以及提供警告和提示等方式。
2. 安全功能分析:对产品的功能进行分析,识别和评估潜在的安全风险和可能的故障模式。
通过这种方法可以设计并实施安全功能,以应对可能的故障和危险情况。
3. 安全相关电子系统设计:使用安全硬件(例如,可靠性高的电子组件)和安全软件(例如,自动故障检测和容错机制)来设计和构建安全相关的电子系统。
这些措施可以提高系统的可靠性和稳定性,减少潜在的故障和事故。
4. 自检和适度检查:内置自检机制和适度检查,确保系统在运行时能够识别和响应任何错误或异常情况。
例如,使用故障检测代码和安全监控设备来检测系统故障,并采取预定义的措施来保护系统和用户安全。
5. 故障和错误管理:建立故障管理系统,用于收集、记录和分析系统的故障信息。
通过对故障数据进行分析,可以识别潜在的问题和改进系统设计,提高系统的安全性和可靠性。
6. 安全培训和意识:为产品的使用者、开发者和运维人员提供相关的安全培训和意识,使其了解产品的功能和安全要求。
定期进行安全演习和培训,以保持相关人员的安全意识和应对能力。
7. 安全验证和认证:对系统进行独立的安全验证和认证,以确保系统符合相关的安全标准和要求。
这可以通过安全评估、渗透测试、功能测试等方法来进行。
上述示例展示了功能安全技术和安全概念的一些方面,但并不是详尽无遗的。
在实际应用中,根据具体的产品和系统需求,可能还会有其他的安全技术和概念被应用。
功能安全_精品文档
功能安全功能安全是指确保系统在正常操作、故障和故障恢复期间,能够保持运行的安全性。
在许多行业中,功能安全是非常重要的,特别是在涉及人员生命安全或财产损失的领域。
功能安全的概念和实践已经存在了很长时间,但它在现代信息技术和自动化系统中的重要性越来越突出。
许多行业都引入了功能安全标准和规范,以确保系统的设计和运行能够满足特定的安全要求。
在功能安全的概念中,有几个重要的方面需要考虑。
首先是系统的可靠性和可用性。
系统必须设计成能够在故障情况下继续正常运行,避免停机和数据丢失。
其次是系统的安全性和完整性。
系统必须能够防止未经授权的访问和数据篡改,并确保系统的数据完整性。
最后是系统的故障恢复能力。
系统必须能够自动检测和纠正故障,以避免系统崩溃。
为了确保功能安全,必须采取一系列的措施和方法。
首先是系统的设计。
在设计阶段,必须考虑到所有可能的故障和故障恢复情况,以确保系统能够在面对故障时正确操作。
其次是系统的测试和验证。
在开发和部署系统之前,必须进行全面的测试和验证,以确保系统达到预期的功能安全要求。
最后是系统的监控和维护。
一旦系统投入运行,必须进行定期的监控和维护,以确保系统能够持续满足功能安全要求。
在不同的行业中,有许多不同的功能安全标准和规范。
例如,在汽车行业中,ISO 26262是一种用于功能安全的国际标准,要求设计和开发具有功能安全性能的电子和电气系统。
在医疗行业中,IEC 60601是一种用于医疗电气设备的国际标准,要求这些设备具有高度的功能安全性。
在核电行业中,IEC 61508是一种适用于电气、电子和可编程电子系统的国际标准,要求这些系统具有可靠的功能安全性能。
功能安全的实现还需要考虑到人因因素。
人操作错误是导致许多故障和事故的主要原因。
因此,在设计和开发功能安全系统时,必须考虑到人工因素,并采取适当的措施来减少因为人的错误而导致的故障。
总之,功能安全是确保系统在正常操作、故障和故障恢复期间能够保持运行的安全性。
《基于ISO26262的汽车电子功能安全:方法与应用》笔记
《基于ISO26262的汽车电子功能安全:方法与应用》读书札记目录一、内容描述 (2)1.1 书籍简介 (3)1.2 ISO26262标准概述 (4)二、汽车电子功能安全基础 (5)2.1 功能安全概念 (6)2.2 ISO26262标准体系 (8)2.3 功能安全等级 (9)三、ISO26262在汽车电子中的应用 (11)3.1 驱动电机控制系统 (12)3.2 电池管理系统 (14)3.3 传感器与执行器 (15)3.4 车载通信系统 (17)四、功能安全方法与技术 (18)4.1 安全需求分析 (19)4.2 安全完整性等级 (21)4.3 故障模式与影响分析 (22)4.4 控制器设计与测试 (24)4.5 人机界面设计 (26)五、案例分析 (27)5.1 案例一 (29)5.2 案例二 (29)六、实践与建议 (30)6.1 企业实施功能安全的步骤 (32)6.2 政策建议与行业标准 (33)七、总结与展望 (35)7.1 本书总结 (36)7.2 未来发展趋势 (37)一、内容描述《基于ISO2的汽车电子功能安全:方法与应用》是一本关于汽车电子系统功能安全的专业书籍,作者通过对国际标准化组织(ISO)2标准的研究和实践,详细介绍了汽车电子功能安全的基本概念、原则、方法和技术。
本书旨在帮助读者深入了解汽车电子功能安全的重要性,掌握相关的理论知识,并能够将其应用于实际的汽车电子系统中。
本书共分为五个部分:第一部分为引言,介绍了汽车电子功能安全的背景、意义和发展趋势;第二部分为ISO2标准概述,详细解读了ISO2标准的体系结构、架构和要求;第三部分为基础知识和方法,包括汽车电子系统的安全性分析、故障模式与影响分析(FMEA)、耐久性测试等方面的内容;第四部分为实际应用案例,通过分析典型的汽车电子系统实例,展示了如何将ISO2标准应用于实际项目中;第五部分为结论和展望,总结了本书的主要内容,并对未来汽车电子功能安全的发展进行了展望。
功能安全的危害分析和风险评估方法
10.16638/ki.1671-7988.2019.15.033功能安全的危害分析和风险评估方法楼志江(比亚迪汽车工业有限公司,广东深圳518118)摘要:在功能安全开发过程中,关键指标ASIL存在定义过于抽象、评估指标过于主观的问题,因此,很多功能安全工程师无法得出有效的ASIL评级结果。
文章通过数学分析,为功能安全工程师了解释了ASIL的物理意义,同时针对ASIL的定级问题提出了九条建议措施。
工作成果对ASIL的评估工作就有一定的指导意义,功能安全工程师们在实际开发过程中可以酌情参考采纳。
关键词:功能安全;ASIL中图分类号:U461.91 文献标识码:B 文章编号:1671-7988(2019)15-90-02Hazard Analysis and Risk Assessment of Function Safety DevelopmentLou Zhijiang(BYD Automobile Industry CO., Ltd., Guangdong Shenzhen 518118)Abstract: As the key index in function safety development, ASIL has an obscure definition and its classification rules are too subjective for engineers. Therefore, most functional safety engineers are unable to obtain effective ASIL classification result. Through mathematical analysis, this paper explains the physical meaning of ASIL for functional safety engineers, and then puts forward nine reference rules for ASIL classification. This paper has certain guiding significance for ASIL classification, and hence functional safety engineers can refer to these rules as appropriate.Keywords: Functional safety; ASILCLC NO.: U461.91 Document Code: B Article ID: 1671-7988(2019)15-90-02引言所谓功能安全,即是通过分析和设计,将系统电子元器件失效引起的安全风险降低到社会接受的水平。
三取二表决模型的可靠性与安全性分析
V0l - 38
・
计
算
机
工
程
21 0 2年 7月
J y 01 ul 2 2
N O.4 1
Co pu e gi e i m trEn ne rng
开发 研 究与设 计技 术 ・
文章缩号: 0 _ 48 02 4_2 _ 3 10 32( 1 1_o8 _ 2 ) o
mo e s T y u et e l g cg t sa i i l y t m n ta d smpl y t eo i i a o i g m o e y d fe e tl g c l o d l . he s h o i a e sm n ma se u i n i s i rg n l t d l i r n i a mbi a ins By a l z n s f h v n b o c n to . nay i g t e he
22 安全性 . 安全性是指系统免于 危险情况 发生的概率 ,与可靠性 不
同的是 ,安全性 关注 的是故 障结果 是否会造 成危 险情况 发
生,因此,安全性指标对于安全计算机来说是至关重要的 。 E 0 2 [对安全完整性等级做 出明确的规定 ,在 SL N5 197 1 I4等级 的安全系统中 ,系统 的安全功能每小时能够容忍的危险概率
wi as d 1C mp r o eut so ta eMe i aueMT F o ein dS eil d ls ih r b u 0 ta lsi t Cl i mo e. o ai nrsl hw th a Tme oF i r( T ) f s e pca一 mo e g e o t1% h nCas h sc s s h t n t l d g 1 ih a c
“功能安全产品实现技术”系列讲座 第10讲实用功能安全设计技术解析
O 引 言
在安全相关产 品的实现 过程 中 , 为达 到控制 危险 失效的 目的 。 需在软硬件 的设 计 和开发 中针对 相应 的
断的危险失效。同样控 制系统性失效有利 于在线控制 失效 。 为 了控 制随机 硬件失效 , 在标准 I E C 6 1 5 0 8 . 2附 录 A中 . 表 A. 2~表 A. 1 4对构 成安全 相关 系统 和产
铹 丕 篷1 , 2 廖 弱华 ,
( 上海 工业 自动化仪 表研 究 院 , 上海 2 0 0 2 3 3 ; 上 海仪 器仪 表 自控检验 测 试所功 能安 全 中心。 , 上海 2 0 0 2 3 3 ) Nhomakorabea摘
要 :针 对在设 计 和开发 功能安 全相关 产 品 中控 制失 效 的要 求及 标准 中推荐 的控 制失效 的技 术 和措 施 的建议 , 详 述 了控 制 随机 硬
件 失效 中对 可变 内存 R A M 进行 诊断测 试 的 G a l p a t 测 试法 和 M a r c h测试 法 , 并 分 析 了这两 种 测试 方法 可 测 试 的 R A M 故 障类 型 , 以及 如 何选 择可 变 内存 诊断 测试方 法 。最后对 控制 系统性 失效 的部 分技术 措施 进行 了解析 。 关键 词 :功 能安全 控 制失效 安全 完整 性
第1 0讲
实用功能安全设计技术解析
谢亚莲 , 等
“ 功能安全产 品实现技术 " 系列讲座
第 1 0讲 实 用功 能 安全 设 计技 术 解 析
Ch a p t er X An a l y s i s o n t h e P r a c t i c a l De s i gn T e c h n i q u e s f o r F u n c t i o n a l S a f e t y
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Control Tech of Safety & Security功能安全技术讲座【摘 要】【关键词】Abstract: The paper introduces some typical voting structure and their analysis and application methods. Through the comparison between the various voting structures, fi nd their difference on implementing the safety integrity of Functional Safety.Keywords: Functional Safety V oting Redundancy阐述功能安全理论中几种典型的表决结构及其分析应用方法,通过对不同表决结构的比较,确定其在实现安全功能的安全完整性和可用性上的差异。
功能安全 表决 冗余[编者按] 本刊在2007~2008的两年间,在“安全控制技术”栏目共安排了12讲功能安全技术讲座,系统介绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关注与积极回应。
2009年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术上。
本讲主讲人是熊文泽工程师。
第十六讲 功能安全中表决结构的分析与应用Chapter 16: Analysis and Application on Voting Structure for Functional Safety熊文泽(机械工业仪器仪表综合技术经济研究所,北京市 100055)Xiong Wenze(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)主讲人简介:熊文泽,男,工学学士,机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师,对功能安全标准I E C 61508(G B/T 20438-2006)和IEC 61511(GB/T 21109-2007)有深入的研究,参与多项国家科技部、863课题中功能安全子项的研究。
功能安全理论的服务对象为:执行多种安全功能的E/E/PE (电子、电气和可编程电子)安全相关系统,这些系统在石化、化工、电力、铁路等领域中已经得到广泛应用,如:主要应用于流程工业(石化、化工)的安全联锁系统(Safety Interlock System —SIS )和紧急停车系统(Emergency Shutdown —ESD );在电厂中广泛应用的火灾及气体检测系统(Fire and gas systems —F&G )和燃烧管理系统(Burner Management System )以及应用于铁路的列车自动防护系统(ATP )。
这些系统不仅能响应生产过程因超过安全极限而带来的风险,而且能检测和处理自身的故障,从而按预定条件或程序使生产过程处于安全状态,对于保障人员、设备及工厂周边环境的安全至关重要。
不同的表决结构配置直接影响安全相关系统的好坏。
如何选择表决结构,才能既保证安全相关系统安全控制技术1)假定将执行某一安全功能的安全系统回路划分为传感器单元、终端执行单元和逻辑解算器(安全PLC )三部分,根据统计数据表明,各部分出现故障的概率分布如下:* 检测元件故障概率35%* 终端执行元件故障概率50%* 逻辑解算器故障概率15%[2]可见,在检测元件和终端执行元件采用多通道表决,可以有效的提高SIL 等级。
以上面例子来说,若通过冗余使得检测元件和执行元件的PFDavg 降低如下:传感器 PFD s 3.09*10-4(SIL 3)终端执行器 PFD A 2.0*10-4(SIL 3)则达到了SIL3的要求。
2)根据IEC6 1508.2(GB/T 20438.2)中关于硬件安全完整性的结构约束要求,系统必须根据其安全失效分数达到相应的硬件故障裕度(HFT ),例如硬件故障裕度为1,则可选用1oo2或2oo3表决[1]。
3)与安全相关系统关联的传感器和终端执行元件应与常规控制元件分开单独设置,并采用保障故障安全(fail-safe )配置,如正常工况带电(励磁),非正常工况失电(非励磁),保障安全系统发生故障时能将过程置于安全状态。
4)在实际应用中为保证整个系统的有效性,避免安全失效导致安全相关系统误动作,与安全相关系统关联的单元可采用二取一、二取二、三取二等表决结构,其好处是即使其中一个通道发生失效,通过诊断能对失效的通道报警,在保证安全的前提下继续工作,等待在规定时间内完成修复,如果不能完成修复再将过程置于安全状态。
5)冗余的构成必须充分考虑到共因失效的影响,尽可能保证不同通道对电源、外界环境影响的独立性,可能的话对不同通道采用不同的厂商设备、不同的诊断测试机制和置于不同的物理位置。
3 几种典型表决结构的分析计算3.1 一取一表决逻辑该结构由单通道构成,如图2所示。
图2 1oo1结构图安全可靠性要求,当危险发生时及时采取响应措施,使设备能够按照预定要求进入安全状态,防止事故发生;又能尽量避免由于安全相关系统系统安全失效而导致误停车,从而造成极大的经济损失,是广大工程师们必须要考虑的问题。
本文将分别讨论不同表决结构的分析计算方法并对其不同应用效果进行比较。
1 什么是表决MooN 表决是指一套安全相关系统或者其中某一部分,有N 个独立的通道,以这样的方式连接:即至少需要其中的M 个通道完好,才能执行正确的安全功能。
例如1oo2表决就意味着2个独立设备,只需要其中一个装置正常运行就能正确的执行安全功能,只有当两个设备都出现危险故障时,安全功能才会失效[1]。
2 构建表决结构的要点功能安全的最终量化标准是安全完整性等级(SIL ),一个安全功能要达到要求安全完整性等级,就必须保证执行这个安全功能的整个安全回路从传感器单元、逻辑解算器单元到最终执行器单元都必须达到相应的SIL 等级,例如若一个安全功能要求达到SIL3级,那必须保证三个部分都至少为SIL3级,如图1所示。
图1 SIL3系统的基本要求示例如何保证每一部分都能达到SIL3要求?大家知道,对于现场仪表来说,由于环境条件或技术条件等的限制,若SIL 等级要求很高,单台设备往往不能满足要求。
另一方面,即使每个部分都达到了相应的SIL 等级,整个回路是否一定能满足SIL 要求呢?假定,三部分在要求时的失效概率PFDavg 分别如下传感器 PFD s 5.09*10-4(SIL 3)安全PLC PFD L 1.21*10-4(SIL 3)终端执行器 PFD A 5.1*10-4(SIL 3)则可见即使系统的三个部分都达到了SIL3的安全完整性等级,整个系统也不一定能达到SIL3。
在以上情况下,采用多通道表决使系统达到要求的SIL 等级是一个不错的选择。
这里归纳出以下几个要点说明在实际操作中如何考虑构建表决结构:Control Tech of Safety & Security可靠性框图如图3所示。
注:λD为危险失效率图3 1oo1可靠性框图假定系统处于低要求操作模式,采用可靠性框图法分析计算并简化(下同),其要求时平均失效率PFDavg为:可见由于只有一个通道执行安全功能,虽然结构简单,但系统的拒动率和误动率都很高,而不具有容错能力,对设备的各种失效模式没有保护能力,一旦发生危险失效(λD),系统无法执行安全功能将过程置于安全状态。
3.2 一取一带诊断表决逻辑1oo1D该结构由一个普通通道和一个诊断通道构成。
如图4所示。
图4 1oo1D表决结构图可靠性框图如图5所示。
注:λDU为未检测到的危险失效率(下同)图5 1oo1D可靠性框图假定不考虑诊断测试间隔的影响(以下同),其要求时平均失效率PFDavg简化计算公式为:可见由于带有诊断通路,不但系统的可靠性得以提高,而且能通过自诊断检测出发生故障的元件,向系统或操作员报警,通知工厂相关人员及时对故障元件进行维修,保障系统的整体安全。
3.3 二取一表决逻辑1oo2据标准GB/T20438,1oo2结构为两个并联的通道构成,无论哪一个通道都能处理安全功能。
如图6所示。
可靠性框图如图7所示。
考虑共同原因失效影响,引入共因失效因子β(分析计算方法参见标准GB/T20438.6),其要求时平均失效率PFDavg为:若检验测试时间间隔足够短,那么非共因失效部分的数量级将远小于共因部分,上式可近似为:若两通道采用相同的结构,即λD1=λD2=λD,则可见由于系统采取了冗余结构(二取一结构),能有效地抵御危险失效的发生。
由于采用的是失电停车,通过将两个PLC单元串联起来,如果一个单元故障发生了危险失效,但由于系统或操作人员不知道,它将仍有假性正常输出,而另一个单元仍然可以检测到故障,发出命令使系统进入安全状态,起到保护作用。
从公式可以看出,此时共同原因失效成为系统发生失效的关键因素,在实际设计过程中应尽量避免。
总的来说系统安全性较好,但可用性差。
3.4 二取一带诊断表决逻辑1oo2D1oo2D结构中有4个通道,其中包括两个诊断电路通道。
1oo2D结构由双重1oo1D系统并联接线,每个诊断电路通道,不仅受到自身所在电路单元的控制,同时也受到另外一个冗余电路单元的控制。
正常工作期间,在发生安全功能之前,两个通道都要求安全功能。
如果任一通道中诊断测试检测到一个故障,则将采用输出表决,因此整个输出状态则按照另一通道给出的输出状态。
如果诊断测试在两个通道同时检测到故障、或者检测到两个通道间存在差异时,输出(2)(1)图6 1oo2表决结构图注:λCC为共因失效部分(下同)图7 1oo2可靠性框图(3)安全控制技术则转到安全状态。
为了检测两个通道间的差异,通过一种与另一通道无关的方法,无论其中那个通道都能确定另一通道的状态[1]。
图8 1oo2D表决结构图假设λD1=λD2=λD,λS1=λS2=λS(以下均采用此假设),可靠性框图如图9所示。
注:λDD为检测到的危险失效率,λSD为检测到的安全失效率λDU为未检测到的危险失效率,λSU为未检测到的安全失效率图9 1oo2D可靠性框图参考1oo2和1oo1D的公式,且由于前两项很小可忽略,其要求时平均失效率PFDavg为:通过以上的分析可见,这种结构的好处是既能够容忍一个单元通道未检测出的危险失效也能容忍安全失效。
一方面当一个单元中的通道未检测出危险失效时,其诊断电路的开关将处于短路状态而不能被该单元打开,但1oo2D的另一个单元检测到过程危险后除了将自己诊断电路开关打开外,同时也可以将危险失效单元诊断电路的开关打开,从而执行单元动作,保证系统安全。