CN104460337B - 一种基于修正β因子的控制系统共因失效分析方法 - Google Patents
一种基于修正β因子的控制系统共因失效分析方法 Download PDFInfo
- Publication number
- CN104460337B CN104460337B CN201410524272.1A CN201410524272A CN104460337B CN 104460337 B CN104460337 B CN 104460337B CN 201410524272 A CN201410524272 A CN 201410524272A CN 104460337 B CN104460337 B CN 104460337B
- Authority
- CN
- China
- Prior art keywords
- common cause
- cause failure
- failure
- amendment
- values
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
本发明公开了一种基于修正β因子的控制系统共因失效分析方法,该基于修正β因子的控制系统共因失效分析方法包括:利用传统的评分表对共因失效因子β进行估算,如果待分析的系统是1oo2结构,则考虑诊断后系统的行为(是否立即进入安全状态,如果否考虑人的操作),对因子Z值进行调整,从而获得修正后的Z值;如果系统是其他结构考虑这种结构与1oo2之间的差异,因为通道数不同对于某些技术措施(如多样性)在避免共因失效上面有很大影响,但对于某些技术措施(如环境)就没有影响,通过对评分表中的分数进行重新分类,对于通道数不同产生影响的增加调整因子,无影响的保持原值,重新进行计算从而获得修正后的β因子。
Description
技术领域
本发明属于安全控制系统技术领域,尤其涉及一种基于修正β因子的控制系统共因失效分析方法。
背景技术
2000年2月,国际电工委员会(IEC)发布了功能安全基础标准IEC61508,该标准解决了困扰业内多年的对复杂安全系统功能安全保障的理论与实践问题,在工业界引起强烈反响。之后,欧洲首先采用该标准;2003年底,美国开始采用并在一些高危行业强制实施;2006年,IEC61508对应的中国国家标准发布,编号是GB/T20438:2006,并于2007年1月1日起开始正式实施。在国际上,针对流程工业的IEC61511,针对机械领域不同应用的IEC62061、ISO13849、EN/IEC60204-1,针对核领域的IEC61513,针对铁路领域的EN50126/7/8,针对熔炉的prEN-51056,针对汽车行业的ISO26262等不同应用领域的功能安全标准陆续出台,一个以IEC61508为基础的国际功能安全标准正在形成系列。
在这些标准中明确提出对于有功能安全应用场合的产品、设备和系统必须进行功能安全评估,以确定这些产品、设备和系统能够达到的安全完整性等级(简称SIL,共分4个等级,即SIL1/2/3/4),而在SIL评估过程中,要求时的失效率PFDavg是确定SIL的一个关键参数,在确定PFDavg过程中,对于多通道的安全控制系统(如MooN表决),必须对共因失效因子进行分析,获得准确的共因失效因子数值(如1%,2%等)。
1、现有技术方案
就目前的研究,对于安全控制系统的共因失效主要考虑如下四点:
1)建立待分析安全系统的逻辑模型,要求对系统有一个基本的认识,需要考虑故障模式、边界条件和操作运行条件;
系统失效被认为是由两种原因产生的:随机硬件失效和系统失效;
假设前者对任何部件而言在时间上是随机发生的,并且导致系统中构成系统一部分的部件即通道的失效。在多通道系统中所有通道发生独立硬件随机失效,从而使所有通道同时处于故障状态的概率是有限的。因为,随机硬件失效被假设在时间上是随机发生的,与单通道失效概率相比,同时发生影响其它并行通道的这种失效的概率是很低的。可以使用建立好的技术计算此概率。
然而,有些失效,即由单一原因引起的共同原因失效,可影响多个通道。它们可能是一个系统故障引起的(例如:设计或规范失误)或者由一个外部应力导致一个早期的随机硬件失效引起的(例如公用冷却风扇的随机硬件失效引起的温度过高,导致部件寿命缩短或使它们不能在规定的环境下工作)或者是上述两种情况共同导致的。由于在多通道系统中,共同原因失效可能会影响多个通道,共同原因的失效的概率就可能成为多通道系统中决定总的失效概率的主要因素,并且如果不考虑这一点就不能真实地估算组合系统的安全完整性等级。
虽然共同原因失效是由单一原因导致的,但是它们不会在所有通道中同时出现。例如如果冷却风扇出了故障,多通道E/E/PE系统的所有通道都会出故障,从而导致共同原因失效。但所有通道变热的速度不同,或有相同的临界温度,因此不同通道发生失效的时间各不相同。
可编程系统的结构准许系统在线运行时执行内部诊断测试功能,可使用的实现方法很多,例如:
能够连续检查单通道PES系统内部工作并同时检查输入及输出设备的功能。如果从开头就进行有计划的设计,测试覆盖率可以达到99%。如果在导致失效之前99%的内部故障都被揭露出来了,结果单一通道故障对共同原因失效的贡献将大大减少。
除内部测试之外,PES系统中每一个通道均可监视多通道PES系统中的其它通道(或者在一个多PE系统中每一个PE设备均可监测另一个PE设备)的输出。因此,如果在一个通道中发生失效,可以通过其它一个或多个没有发生故障的通道或执行交叉监测的通道发现失效并安全的关机(值得注意的是,交叉监测只有在控制系统不断改变状态下才会有效,例如常用于循环机械中保护装置的互锁功能,或者引入短暂改变不会影响受控功能时)。交叉监测可在较高频率下进行,因此,刚好可以在发生非同步共同原因失效之前,交叉监视就能检测到因第一个通道的故障而导致的失效,并可在第二通道受到影响之前,使系统进入某种安全状态。
基于PE的系统具有防御共同原因失效的潜力,因此同其它技术相比对共同原因失效的敏感性更低。
与其它技术相比较,不同的β-系数都能适用于基于PE的系统。因此基于历史数据估算的β系数可能不适用(不存在用于估算共同原因失效概率的研究模型以供研究自动交叉监视的效应之用)。
因为按时间分布的共同原因失效,在它们可能影响到所有通道之前就被诊断测试揭露出来了,因此这样的失效不会看作为共同原因失效并被报告。
2)识别共因事件组。对所有可能发生共因失效的系统单元进行检查,考察外部因素与内部影响,进一步确定共因失效建模的先后次序;此方法以上述为基础,并需要一个三方面的方法:
将整个系统失效的概率减少到与随机硬件失效的概率同数量级的水平;
量化那些能够被量化的系数;
通过考虑目前最实际的途径得出与随机硬件失效概率有关的共同原因失效概率的系数。获得该系数的方法在本附录中已作了描述。
大多数估算共同原因失效概率的方法均试图从随机硬件失效概率中进行预测。显然,对这些概率之间的任何直接关系的正确性证明十分贫乏,然而,在实践中已经发现这样的相互关系,并且很可能是二次效应的结果。例如系统随机硬件失效概率越高,系统需要的维护量就越高,在维护时引入的系统故障的概率取决于执行维护的次数,而且这也会对导致共同原因失效的人为错误率产生影响。这将会导致随机硬件失效概率与共同原因失效概率之间的关系。例如:
当每次随机硬件失效发生时,紧随测试之后就需要进行修理,可能还要重新校准;
对于给定的安全完整性等级,随机硬件失效概率越高的系统需要执行的检验测试就越频繁,其深度和复杂程度也越大,这又增加了人为干扰;
系统也越复杂,发生随机硬件失效的概率依赖于系统部件的数量,因此也依赖于系统的复杂性。复杂的系统不容易被了解,就更易导致系统故障。此外,无论是通过分析或测试,系统的复杂性都会使其更难检测到故障,并会导致系统逻辑部分不能运用(极少的情况除外),还会导致随机硬件失效概率与共同原因失效率概率之间的关联。
尽管,目前的模型存在着种种限制,但是要相信它们代表了目前最先进的评价多通道系统中共同原因失效的方法。本附录中阐述的方法采用了与建立完善的β-系数模型相同的方法,如已经描述过的三方面方法中的第三部分。
下面是在E/E/PE系统上使用β-系数模型时所遇到的两个难点:
应该选择什么样的β-系数值?很多原始资料建议β-系数值可能出现的范围,但是没有给出确切的值,使得用户只能做出主观选择;β-系数模型没有考虑到现代PES经改进的诊断测试能力,它可以用来在非同步共同原因失效有足够时间充分显现之前就检测到它;在PES中运行的诊断测试功能不断地将PES的工作与预定义的状态相比较,这些状态能以软件和硬件形式预先定义(如看门狗)。据此,诊断测试功能可以被看作是一个附加的、部分不同的、与PES并行的通道。
在通道之间还可以执行交叉监视。此项技术已在只基于继电器的双通道互锁系统中使用多年了。但是使用继电器技术,通常只有当通道转变状态时,才可以用来执行交叉检查,当系统长时间保持同一状态时,这种测试不适合用来揭露非同步共同原因失效。因为在这种情况下系统长期保持在同一状态下(例如ON)使用PES技术,交叉监视能以高重复频率执行。
3)共因建模和数据分析,利用经验数据选择所要使用的共因失效模型、最小割集和参数估计;
由于传感器、逻辑子系统以及最终元件容易受到诸如不同环境条件和不同能力水平的诊断测试的影响,因此,此方法应在每种子系统中分别使用。例如,逻辑子系统更多的是在受控环境中使用,而传感器可安装在工程管道外部,暴露在自然环境中。
可编程电子通道有执行经改进的诊断测试功能的潜力,它们能够:在通道中拥有较高的诊断覆盖率;监测附加的冗余通道;具有高重复率;并且在增加用例数的情况下,仍旧可以监测传感器和/或最终元件。
在受到影响的所有通道中,大部分共同原因失效并不同时发生,因此,如果诊断测试的重复频率足够高时,可以揭露出大部分共同原因失效,从而在它们影响所有的可用通道之前得以避免。
诊断测试并不能评价一个多通道系统的所有特性,这些特性都对共同原因失效的免疫力有影响。然而,与多样性或独立性相关的这些特性会更有效。非同步共同原因失效中,任何可以提高通道失效间隔时间(或者减少同步共同原因失效分数)的特性,均可提高诊断测试检测到失效并使设备处于安全状态的概率。所以有关共同原因失效免疫力的特性可分成两部分:即可认为通过使用诊断测试能增加其效果的那部分特性和不能提高其效果的那部分特性。这就产生了两列,在表中分别用X、Y表示。
虽然,对于三通道系统,影响所有三个通道的共同原因失效的概率可能小于影响两个通道的失效概率,但为了简化方法,假设概率是与受到影响的通道数无关的,也就是说,假设当发生一次共同原因失效时,它将影响所有通道。
不存在用于校准方法的有关硬件共同原因失效已知数据的方法,所以,此附录中的表均以工程判断为基础。
有时候,并不将诊断测试例行程序看作具有直接的安全作用,所以它可不接收与提供主要控制功能的例行程序相同的质量等级。此方法是在假设诊断测试的完整性与目标安全完整性等级大小相当的基础上开发出来的。因此,开发任何基于诊断测试例行程序的软件均需使用与目标安全完整性等级相适合的技术。
考虑在多通道系统中的每一个通道中执行诊断测试时,共同原因失效对该系统的效应。
在应用β-系数模型时,危险的共同原因失效的概率为:λDβ
其中λD为各个通道随机硬件危险失效的概率,β为无诊断测试时的β-系数,也就是影响所有通道的单一通道的失效分数。
假设共同原因失效影响所有通道,而且与连续共同原因失效的时间间隔相比,第一个通道被影响和所有通道被影响之间的时间间隔要小。
假设每一个通道中均执行诊断测试来检测和揭露一部分失效,并且将所有失效分为两大类:在诊断测试覆盖范围之外的一类(因此绝不可能被检测到的)以及在诊断测试覆盖范围之内的一类(因此总可以通过诊断测试检测到的)。
危险共同原因失效引起的总失效概率为:λDUβ+λDDβD
其中:λDU单一通道中未检测到的失效概率,即诊断测试覆盖范围之外的失效概率,很显然,诊断测试重复率造成的任何β-系数的任何减少均不会对这部分失效产生影响;β不可能检测到的危险故障的共同原因失效系数,它等于在没有诊断测试时应用的总β-系数;λDD检测到单一通道的失效概率,即在诊断测试范围内单一通道的失效概率;此时,如果诊断测试的重复率高,则有一部份失效将被揭露出来,从而导致β,即βD值减小:βD可检测到危险故障的共同原因失效系数。当诊断测试的重复率提高时,βD的值越来越小并下降到β之下。
β——计算公式为S=X+Y;
βD——计算公式为SD=X(Z+1)+Y。
4)系统量化和结果的进一步解释,确定系统失效的可能性和共因失效对最终结果的影响,主要包括敏感性分析和备选后续措施的选择。
考虑到以上因素,目前的共因失效分析方法如下:
一、对待分析设备进行如下的检查表打分,获得要求的X和Y的总分。
表1 X与Y值评价表
二、对于无自诊断的产品,在完成上述表格内容评价后,计算S=X+Y,获得一个S的数值。
三、对于有诊断的产品,利用如下表格计算Z值;
表2 Z值评价表(逻辑子系统)
表3 Z值评价表(传感器和最终元件)
然后计算SD=X(Z+1)+Y,获得SD数值。
四、通过S和SD数值,对照下表就可以获得1oo2冗余系统诊断到的故障的共因系数βDint和未诊断到的故障的共因系数βint
表4 βint和βDint的计算
五、在获得了1oo2冗余系统的共因系数后,对于其他冗余的共因系数通过表5获得。
表5 冗余级别高于1oo2的系统的β的计算
发明内容
本发明提供的基于修正β因子的控制系统共因失效分析方法
一般来说,为了降低共因失效,可以采用三种方式:
a)减少随机硬件和系统失效的总数(减少部分为下图中两椭圆相重合的部分)。
b)使通道最大程度的独立(减少下图中两椭圆间重合部分的总量,同时维持它们的原来的面积)。
c)仅有一个通道受到影响,在下一个通道被影响之前诊断测试就已把共同原因失效揭露出来了。
对于方法a)无论是多少个通道,其对共因失效的影响都一样,对于b)和c),如果多个通道,且硬件故障裕度较大(对于MooN,N-M越大),其对共因失效的避免的可能性越大。
在标准中已经明确给出了通用的方法,该方法是:对照具体的产品设计,查下表,是否采用了相应的方法,如果采用了就获得相应的分数。
对于无自诊断的产品,在完成上述表格内容评价后,计算S=X+Y,获得一个S的数值。对于有诊断的产品,利用表格计算Z值;然后计算SD=X(Z+1)+Y,获得SD数值。但是这些方法存在如下问题:
一方面,原来的评价方法在处理不同的多通道时候(如1oo2,2oo3等)没有进行分别,对于所有类型的多通道设备其共因失效因子都是一样,新方法从评分开始就对多通道进行了区分。共因失效的影响评分项,其每一项对于不同表决结构的影响是不一样,例如多样性和诊断方面3个通道的1oo3肯定要比1oo2好,但从维护、环境等方面,1oo3的抗共因能力与1oo2是差不多的,因此需要对评分表中的分数进行重新调整来进行更为精细的评价。
另一方面,诊断到故障后对于共因的避免情况是有差异的,如果诊断到故障后即刻停车则可最为有效的避免失效,因此影响共因失效的因素也就仅限于诊断覆盖率和诊断测试间隔,但如果诊断到故障后仅是报警,需要操作人员现场动作才能停车,那么对于共因失效的避免还必须考虑人员的响应情况,因此人员能力此次也应设计相应的影响权重因子。
附图说明
图1是本发明实施例提供的基于修正β因子的控制系统共因失效分析方法的流程图;
图2是本发明实施例提供的进行Z值修正的基本流程图;
图3是本发明实施例提供的基于修正β因子的控制系统共因失效分析方法实施例的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面结合附图及具体实施例对本发明的应用原理作进一步描述。
如图1所示,本发明实施例的基于修正β因子的控制系统共因失效分析方法包括以下步骤:
S101,利用评分表对共因失效因子β进行估算,如果待分析的系统是1oo2结构则,考虑对Z值的调整,获得新的β,该β值即代表了1oo2的修正的共因失效因子;
S102,如果系统是其他结构考虑这种结构与1oo2之间的差异,对评分表进行重新分类,考虑不同的通道数造成的影响,进行修正因子的重新计算。
S103,综合以上两点进行更为精细的评价。
如图3所示,本发明实施例提供的基于修正β因子的控制系统共因失效分析方法实施例包括以下步骤:
S301:获取控制系统的基本技术参数和信息;
S302:利用评分表对控制系统采用的控制共因失效的技术和措施进行判定;
S303:判断系统是否有诊断功能,有诊断功能,则执行下一步;没有诊断功能,则执行步骤S306;
S304:计算Z值;
S305:考虑到系统诊断后的行为,对Z值进行修正;
S306:系统的冗余情况是否为1oo2;为1oo2获得修正后的β和βD;不是1oo2则执行下一步;
S307:对技术评分表进行重新分类,获得调整后的X,Y值;
S308:利用调整后的额X,Y值,结合不同结构的权重分配情况,获得结构修正后的β;
S309:结合修正后的Z值,获得结构修正后的βD。
本发明的具体步骤如下:
1、利用传统的评分表对共因失效因子β进行估算,对于上表中八大项目的评价准则如下:
1.1、分离/隔离
a)在所有位置,各通道的全部信号电缆布线都是否已分隔开:
没有分开的例子可能是各通道的信号电缆在同一个的管束内,在这种情况下该项不得分。
b)逻辑子系统的所有通道的印制电路板是否是单独的?
即各个通道的完整硬件是否在一块块单独的电路板上,彼此通过内部总线通讯,如果是则获得此项分数。
c)逻辑子系统通道是否在各自的框架中?
即各个通道的逻辑子系统在各自单独的机笼内,如果是则获得此项分数。
d)如果传感器/最终元件拥有专用的控制电子电路,那么每个通道的电子电路是否分别位于各自的印制电路板上?
e)如果传感器/最终元件拥有确定的控制电子电路,那么每一个通道的电子电路是否分别位于室内各自的控制台内?
1.2、多样性和冗余
a)各通道是否使用不同的电子技术?例如使用一个电子电路、可编程电子及其它继电器。
实际上,对于工业自动化相关的产品开发,基本上不会在一个产品内做到多个通道用不同的电子技术(基于成本和技术实现的角度)。但对于系统应用的角度,可能设计一套系统采用不同的技术的产品来实现上述应用,例如一个通道利用继电器控制,另一个通道采用安全PLC控制,因此对于设计院或用户需要对此条仔细考虑。
b)各通道是否使用不同的电子技术?例如使用一个电子电路或其它可编程电子。
c)各传感器件是否使用不同的物理原理?例如压力、温度叶片式风速计及多谱勒变换器等。
此条仅针对传感器部件,该条对于产品开发可能基本上不会使用,即在一个传感器内不可能使用不同原理的敏感元件,对于系统应用可能购买不同原理的传感器来搭建。
d)设备均是否使用不同的电原理/设计方案?例如数字或模拟、不同的制造商(不重复标记的)或不同的技术。
e)是否使用低多样性方法?例如使用同样的技术进行硬件诊断测试。
此条主要考虑两个方面,一采用用了诊断测试的技术;二对于多个通道该诊断测试的技术方法相同。
f)是否使用中等多样性方法?例如使用不同的技术进行硬件诊断测试了。
此条主要考虑两个方面,一采用用了诊断测试的技术;二对于多个通道该诊断测试的技术方法不同。例如一个通道采用软件的方式,另一通道采用硬件表决的方式。
g)在设计活动中,各设计者设计通道时,相互之间是否不进行交流?
此项主要根据产品开发的《安全计划》中对于内部沟通交流的描述,评估对这些沟通要求的实施情况,如果存在适当的沟通交流则获得分数;交流应至少保证:一参与不同通道的设计人员能完全了解对方采用的技术方法;二不同通道的设计过程在内部进行了有效的协调(如接口、通讯协议、软件编程标准等);三不同通道间设计变更的通知机制。
h)在试运行期间,每个通道是否使用不同人员和不同的测试方法?
此项不是产品开发人员的责任,但考虑到对于单个产品来说,在试运行期间基本不可能采用不同的测试方法和测试人员,因此一般的评测过程此项为否,否则制造商需说明详细的理由,并给出证据。
i)在不同时间,由不同人员对每个通道是否进行维护?
同h,不是产品开发人员的责任,但考虑到对于单个产品来说,在试运行期间基本不可能采用不同的测试方法和测试人员,因此一般的评测过程此项为否,否则制造商需说明详细的理由,并给出证据。
1.3、复杂性/设计/应用/成熟度/经验
a)通道之间的交叉连接是否能排除任何信息交换,除非用于诊断测试或表决目的?即通道之间除了交换诊断信息和表决以外,没有其他任何的信息交换。
b)设计时使用的技术,是否是基于在现场已成功使用5年或5年以上的设备中所采用的技术?
即采用的技术是基于已经成功使用5年以上产品,这里的技术是指设计方案、架构等,而不是具体的代码或电路。基于保守的考虑,必须是所有的技术。
c)在相似的环境中使用相同的硬件的经验是否已超过5年?
同b,基于保守的考虑,必须是所有的硬件。
d)系统是否简单?如每个通道的输入/输出不大于10。
即较小型的产品,一般是针对逻辑子系统,例如小型的专用控制器。
e)输入和输出是否具有可能级别的过压和过流的保护?
即对过电压和过电流的监视。
f)所有设备/部件是否经过适当的定额(例如,大于2%)?
即硬件的降额考虑,一般选用的硬件都需要在降额情况下使用,产看开发过程的降额分析和结论以确定此项。
1.4、评估/分析及数据反馈
a)为建立共同原因失效源的失效模式、效果分析或故障树分析的结果是否已经通过测验,并且通过设计是否已经消除了事先确定了的共同原因失效源?
主要包括两个方面:一产品开发过程开展了FEMA或FTA分析,以确定哪些失效会导致共同原因失效;二在分析发现这些共同原因失效之后,开发人员是否采取了相应的设计措施来避免这些失效的发生。
b)设计复审过程中,所考虑的共同原因失效的结果是否被反馈回设计中去了?(要求设计复审中的文档证据)。
即在设计复审过程中发现的共同原因失效,得到设计的修正,并且有相关的文档证据支持。
c)对现场失效的所有分析是否均反馈到设计中去了?(要求规程的文档证据)。
制造商应建立一套对产品现场失效的收集系统,以保证对现场发生的失效均能得到反馈和处理,并且经过分析确定是否需要对设计进行修改。
1.5、规程/人工接口
a)是否存在一种已书写的工作系统可以用来确保检测到的所有部件的失效(或老化)被记录?是否存在所建立的根本原因?和用于检查类似潜在的失效原因的其它类似项目?
即在产品内存在一个记录系统,能够对于关键失效故障的原因过程进行记录和保存,以便制造商开展失效分析和设计修改。
b)为保证独立通道中任一部分的维护(包括调节或校准)已升级,并且除在维护后执行手动检查外,在完成一个通道的维护与另一个通道开始进行维护之间允许满意地运行诊断测试的规程是否就位?
即产品的诊断设计应保证对不同通道的诊断交错进行。
c)文档化的维护规程是否规定了冗余系统中所有部分(如电缆线等)之间是相互独立的,并不需重新定位?
此项不是产品开发人员的责任,但需要再产品的安全手册或用户手册中说明该项内容。
d)是否所有印制电路板等的维护均需在质量维修中心工场外执行,而且,是否所有修复项目均通过了预装测试?
即对于产品内部的维护是否在制造商自己的合格的环境中进行,并且在完成维护之后开展了相应的预备测试。
e)系统是否为低诊断覆盖率(60%~90%)?并且是否对现场可置换模块层提供失效报告?
即产品为低诊断覆盖率,且对于发现可置换模块时,发出警告。
f)系统是否为中等诊断覆盖率(90%~99%)?并且是否对现场可置换模块层提供失效报告?
见e。
g)系统是否为高诊断覆盖率(>99%)?并且是否对现场可置换模块层提供失效报告?
见g。以上三条针对的是逻辑子系统
h)系统的诊断测试是否对现场可置换模块层提供了报告?
该条针对的是传感器/执行器子系统。
1.6、能力/培训/安全素养
a)设计人员是否经过培训(使用培训文档),从而懂得了共同原因失效的原因及后果?
按照功能安全管理中要求的培训,查看培训文档和记录,培训应保证是与此次产品开发相关的。
b)维护人员是否经过培训(使用培训文档),从而懂得了共同原因失效的原因及后果?
此项不是开发人员的责任,如果假设用户能够按照此条实施,制造商需在安全手册或用户手册中明确说明此项要求,例如使用本产品必须经过相关的培训。
1.7、环境的控制
a)人员的进出是否有限制(如上锁的机柜与不准许接近的位置)?
此项不是开发人员的责任,如果假设用户能够按照此条实施,制造商需在安全手册或用户手册中明确说明此项要求。
b)在无外部环境控制的情况下,系统是否总能在已经测试过的一定温度、湿度、腐蚀度、尘埃、振动等范围内工作?
此项不是开发人员的责任,如果假设用户能够按照此条实施,制造商需在安全手册或用户手册中明确说明此项要求,即产品在必须在何种温度、湿度、腐蚀度、尘埃、振动等范围内工作。
c)信号和电源电缆在所有位置是否是隔离开的?
即产品内部的信号线和电源线是分开的。
1.8、环境测试
a)系统对所有有关环境的影响(如EMC、温度、振动、冲击温度等)的抗干扰性是否达到认可的标准中规定的水平?
即产品是否按照相关产品和功能安全标准要求开展了这些测试,且通过了测试符合相关的规定。
2、对X和Y值进行细化分类
对表1和表2评分表中的各大项进行重新分类,这些项对于共因失效不同通道的影响不同;
表6 评分技术措施的重新分类
表7 评分技术措施的重新分类
将以上内容分为两类之后,分别查表获得相应项目的分数,从而可获得Xa、Xb、Ya、Yb,其中a项表示对于不同表决结构(如1oo2、2oo3等)具有不同影响的评分项,b项表示对于不同表决结构(如1oo2、2oo3等)具有相同影响的评分项。计算S=Xa+Ya+Xb+Yb,获得一个S的值(见表4),该值表示在没有修正情况下的1oo2结构的共因失效因子。
一、对Z值进行调整:
由于诊断后的系统反应对于共因失效的避免有直接影响,因此需考虑到这个问题,对Z值进行修正。流程如图2:
S201:获取系统的详细诊断信息,包括诊断测试间隔和诊断覆盖率;
S202:系统在诊断到故障后,是否自动停车进入安全状态;是,则采用传统的方法进行Z值的估计;否,则执行下一步;
S203:评估工作人员响应和操作维护情况对于共因失效避免的可能性;无人员执行诊断后操作,Z值为0;若人员能力评估,则,执行下一步;
S204:给出修正后的Z值;
对于第3步,根据工程经验,设计了相应的评估项目,具体如表3:
表8 人员对于诊断到共因故障后的响应能力
根据现场实际的情况,获得累计的P值,从而获得修正的Z值,Z=Z*P,然后计算SD=X(Z+1)+Y,获得SD数值;通过S和SD数值,对照表4就可以获得1oo2冗余系统在修正Z值之后的共因系数。
二、根据不同的表决结构进行调整:
接下来考虑如果是其他非1oo2的结构,按照一的划分,根据不同部分对总值的影响比例,将获得的βint和βDint分为两个部分重新进行计算,如表5:
表9 不同结构对X和Y值的重新计算
对于βint(a)和βDint(a),由于不同的结构具有不同的影响力,考虑到其他非1oo2结构的影响因子,这些仅会对βint(a)和βDint(a)产生影响,利用表5。对于上表的解释如下,以1oo3为例,由于2个通道发生共因失效不会导致系统失效,仅当3个通道都发生失效时,才会导致共因失效,因此1oo3的共因失效为为1oo2的一半。
因此经过上述调整获得新的β’int(a)和β’Dint(a)。
最终的共因失效因子为:
β=β'int(a)+βint(b)
βD=βD'int(a)+βDint(b)
通过该计算过程,可以获得更为精确的共因因子。
本发明的实施示例:
一、控制器基本情况
为了演示使用此方法的效果,以某个安全控制器为例子,说明如下。系统结构为2oo3结构,即三个通道,只要任意两个通道完好都能保证安全功能的正常执行。虽然采用了多通道的结构,但共同原因失效会导致三个通道同时失效,因此在对该控制器进行功能安全评估过程中,必须对共因失效因子(β)进行精确的分析和测定。
本示例即利用前文描述的修正β因子方法对该控制器进行实践评估。由于评估的前提是要了解该控制器的实际设计方案(例如采用了什么样的诊断或多样性手段)和开发的组织架构,因此假设相关设计信息如下(其中对于与多样性和冗余均无关的类别,考虑到当前共因习惯设计方法,使用了典型的X和Y值):
-三个通道中其中一个通道采用了可编程电子技术,利用集成电路微处理器来实现;而其它的使用非可编程的模拟电路技术;
-由于设计原理不同,对于不同通道的硬件诊断测试也使用了不同的技术,从而保证最大的独立性;
-在对每个通道的设计过程中,彼此之间完全独立;
-在对每个通道的测试过程中,彼此之间完全独立;
-在诊断到故障后仅报告故障,而不会自动进入安全状态。
二、基础共因因子的评价
利用上述的传统评价表,考虑待分析的安全控制器在设计过程中是否采用了相应的技术和措施,对基本共因因子的分析过程如下(见表1):
通过以上分析,可以得到:
| X总计 | 32.5 |
| Y总计 | 28.5 |
| S=X+Y | 61 |
对于诊断部分,假设系统诊断测试间隔Td=20秒;
诊断覆盖率DC=99.2%,利用Z值判定表如下:
得Z=2,因此SD=X(Z+1)+Y=126,在利用βint判定表获得基本的共因因子:
结论如下:
| βint | 2﹪ |
| 0.5﹪ |
三、对基本因子进行修正
以上获得还仅是1oo2情况下的基本β因子,由于本示例的结构为2oo3,因此还需要按照前文描述的过程进行修正。考虑到哪些措施会由于通道不同对共因因子产生影响,将X和Y的得分进行细分,结论如下:
Xa=18,Xb=15.5,Ya=4.5,Yb=21;这是对X和Y的修正。
另一方面,由于系统在诊断到故障并不立即进入安全状态,仅采取报警,因此对后续人员执行情况的评价结论如下:
按照前文的描述,对Z进行修正如下:
Z=Z*P=1.6;Z+1=2.6
利用上述修正后的结果,对最终的β进行计算如下:
利用下表进行校正,由于系统为2oo3结构,因此需要乘以1.5
因此经过上述调整获得新的β’int(a)=1.14%和β’Dint(a)=0.285%。
最终的共因失效因子为:
β=β'int(a)+βint(b)=1.14%+1.24%=2.38%
βD=βD'int(a)+βDint(b)=0.285%+0.31%=0.595%
可以发现,经过修正后获得的β值更加精确,更符合实际情况。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于修正共因失效因子β的控制系统共因失效分析方法,其特征在于,该方法包括:
步骤一,利用评分表对共因失效因子β进行估算,基于工作人员对诊断到共因故障后的响应能力对Z值进行修正,如果待分析的系统是1oo2结构则根据该Z值获得β值,该β值即代表了1oo2的修正的共因失效因子;
步骤二,如果待分析的系统是其他结构则,考虑这种结构与1oo2之间的差异,对评分表进行重新分类,将评分表中的评分项分为两部分,第一部分为对于不同表决结构具有不同影响的评分项,第二部分为对于不同表决结构具有相同影响的评分项,并根据第一部分的共因失效因子对β总值的影响比例,计算第一部分的共因失效因子乘以该影响比例之后与第二部分的共因失效因子之和,从而获得修正后的因子β;
步骤三,综合以上两步骤进行更为精细的分析。
2.如权利要求1所述的一种基于修正共因失效因子β的控制系统共因失效分析方法,其特征在于:在步骤一之前,还包括步骤一(1):判断系统是否有诊断功能,若有,进行步骤一,若没有,直接进行步骤二。
3.如权利要求2所述的一种基于修正共因失效因子β的控制系统共因失效分析方法,其特征在于:步骤一中,所述对Z值进行修正的过程为:系统在诊断到故障后,判断系统是否自动停车进入安全状态,若是,则不进行Z值修正;若否,则进行Z值修正。
4.如权利要求3所述的一种基于修正共因失效因子β的控制系统共因失效分析方法,其特征在于:步骤一中,若无工作人员执行诊断后操作,则修正Z值为0。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410524272.1A CN104460337B (zh) | 2014-10-08 | 2014-10-08 | 一种基于修正β因子的控制系统共因失效分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410524272.1A CN104460337B (zh) | 2014-10-08 | 2014-10-08 | 一种基于修正β因子的控制系统共因失效分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104460337A CN104460337A (zh) | 2015-03-25 |
| CN104460337B true CN104460337B (zh) | 2017-06-23 |
Family
ID=52906578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410524272.1A Active CN104460337B (zh) | 2014-10-08 | 2014-10-08 | 一种基于修正β因子的控制系统共因失效分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104460337B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107656514A (zh) * | 2017-08-28 | 2018-02-02 | 北京广利核系统工程有限公司 | 数字化仪控系统中fpga诊断判定方法和装置 |
| CN110580559B (zh) * | 2018-06-08 | 2023-08-11 | 大陆泰密克汽车系统(上海)有限公司 | 随机硬件失效指标获取方法、装置、设备及存储介质 |
| CN114297561B (zh) * | 2021-12-28 | 2022-12-16 | 国家石油天然气管网集团有限公司 | 一种简化β因子计算的方法与装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102034025A (zh) * | 2010-12-02 | 2011-04-27 | 北京市劳动保护科学研究所 | 安全仪表系统的功能安全评估方法 |
| CN102880451A (zh) * | 2011-07-15 | 2013-01-16 | 中国辐射防护研究院 | Go法中系统有共因失效时可靠性的确定方法 |
| CN102938014B (zh) * | 2012-09-03 | 2016-06-22 | 北京广利核系统工程有限公司 | 一种四取二通道逻辑架构系统中pfd和pfh的计算方法 |
| CN103646095B (zh) * | 2013-12-17 | 2016-08-17 | 中国科学院合肥物质科学研究院 | 一种基于数据驱动的共因失效的可靠性判断系统及方法 |
-
2014
- 2014-10-08 CN CN201410524272.1A patent/CN104460337B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104460337A (zh) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104504248B (zh) | 一种基于设计数据分析的故障诊断建模方法 | |
| RU2757436C9 (ru) | Устройство и способ контроля указаний на неисправность от транспортного средства, компьютерочитаемый носитель | |
| WO2005111806A3 (en) | Sensor fault diagnostics and prognostics using component model and time scale orthogonal expansions | |
| CN104035431B (zh) | 用于非线性过程监控的核函数参数的获取方法和系统 | |
| US9606902B2 (en) | Malfunction influence evaluation system and evaluation method using a propagation flag | |
| CN106054822B (zh) | 规划和工程设计方法,软件工具和模拟工具 | |
| KR101865666B1 (ko) | 원자로노심보호계통 소프트웨어 검증용 시뮬레이션 장치 및 시스템 | |
| KR20170031985A (ko) | 공기조화시스템의 고장 검출 및 진단 방법 | |
| EP3059676B1 (en) | A method and apparatus for analyzing the availability of a system, in particular of a safety critical system | |
| CN104460337B (zh) | 一种基于修正β因子的控制系统共因失效分析方法 | |
| US20110264396A1 (en) | Electrical circuit with physical layer diagnostics system | |
| Niculita et al. | Use of COTS functional analysis software as an IVHM design tool for detection and isolation of UAV fuel system faults | |
| CN114860518A (zh) | 功能安全系统的检测方法、系统、电子设备、存储介质 | |
| CN110531608B (zh) | 基于冗余设计的高可靠电子设备定量fmeca分析方法和系统 | |
| Babeshko et al. | Practical aspects of operating and analytical reliability assessment of FPGA-based I&C systems | |
| EP3762877A1 (en) | Method for identifying and evaluating common cause failures of system components | |
| Kosmowski | Safety Integrity Verification Issues of the Control Systems for Industrial Process Plants | |
| CN111044826B (zh) | 检测方法及检测系统 | |
| KR102537723B1 (ko) | 신경망 모델을 이용한 비정상 상태 판단 근거 추적 장치 및 방법 | |
| He et al. | Architecture design and safety research of a double-triple-channel redundant and fault-tolerant system | |
| KR20230082079A (ko) | 원자력발전소의 기기 사전진단시스템 및 그 운용방법 | |
| Brinzei et al. | Functional safety: probabilistic assessment of safety instrumented systems | |
| Durmuş et al. | An application of discrete event systems based fault diagnosis to German railway signaling system | |
| Reibling et al. | Diagnostic reasoning technology for the on-board maintenance system | |
| Hasegawa | Introduction of functional safety into the field of maintenance and preventive maintenance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |