下载文档原格式
EPB功能安全笔记(1):危害分析与风险评估(理论篇)本文要点功能安全(Functional Safety)的定义为:不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。
要想避免“不合理的风险”,第一步是要正确地识别风险。
在ISO 26262的第3部分对危害分析与风险评估(Hazard Analysis and Risk Assessment)的方法论做了细致的阐述,同时也定义了很多功能安全的关键概念。
但是,这些概念的定义虽然精炼却又抽象拗口,且由于缺乏足够的案例作为理解辅助,让人很难快速理解其中的要点。
基于此,本文结合实例来梳理危害分析与风险评估的方法及其中的关键点,希望能为正在学习功能安全的朋友提供一些有价值的参考。
研究对象选择——EPB从功能安全开发流程上讲,相关项定义(Item Definition)是功能安全开发的第一步,其主要目的是明确研究对象的功能、接口以及边界。
为了方便后续对危害分析与风险评估的相关概念进行说明,本文选取EPB系统(电子驻车系统,Electric Parking Brake)作为研究对象。
EPB,电子驻车系统EPB系统的工作原理与机械式手刹相同, 均是通过制动卡钳与刹车片产生的摩擦力来实现车辆驻车, 只不过控制方式从之前的机械式手刹拉杆变成了电子控制。
EPB系统最基本的功能就是实现临时性和长时间驻车。
另外,在配备了EPB系统的车辆中,由于传统的手刹杆或脚刹杆被电子按钮代替,根据法规要求:车辆制动系统必须能够提供除行车制动系统外第二套装置,通过操作该装置能够使车辆达到至少1.5m/s2的减速度。
对于传统车辆,手刹或脚刹可以实现这个功能,而在配备EPB系统的车辆上,可以通过电控液压制动单元主动建压来实现该减速度。
出于安全考虑,EPB系统的人机交互即电子按钮必须设计成上拉激活而不是按压激活,因为在实际使用过程中按钮可能会错误地被按压,比如把女士把包放在按钮上面而造成EPB系统错误激活。
功能安全技术安全概念示例功能安全是指在产品或系统设计、开发和运行过程中,确保其功能的安全性和可靠性。
下面是一些功能安全技术和安全概念的示例。
1. 误操作限制:在设计控制系统时,使用适当的ergonomic措施,限制误操作的可能性。
例如,通过设计易于理解和使用的用户界面,使用标准化的操作手册,以及提供警告和提示等方式。
2. 安全功能分析:对产品的功能进行分析,识别和评估潜在的安全风险和可能的故障模式。
通过这种方法可以设计并实施安全功能,以应对可能的故障和危险情况。
3. 安全相关电子系统设计:使用安全硬件(例如,可靠性高的电子组件)和安全软件(例如,自动故障检测和容错机制)来设计和构建安全相关的电子系统。
这些措施可以提高系统的可靠性和稳定性,减少潜在的故障和事故。
4. 自检和适度检查:内置自检机制和适度检查,确保系统在运行时能够识别和响应任何错误或异常情况。
例如,使用故障检测代码和安全监控设备来检测系统故障,并采取预定义的措施来保护系统和用户安全。
5. 故障和错误管理:建立故障管理系统,用于收集、记录和分析系统的故障信息。
通过对故障数据进行分析,可以识别潜在的问题和改进系统设计,提高系统的安全性和可靠性。
6. 安全培训和意识:为产品的使用者、开发者和运维人员提供相关的安全培训和意识,使其了解产品的功能和安全要求。
定期进行安全演习和培训,以保持相关人员的安全意识和应对能力。
7. 安全验证和认证:对系统进行独立的安全验证和认证,以确保系统符合相关的安全标准和要求。
这可以通过安全评估、渗透测试、功能测试等方法来进行。
上述示例展示了功能安全技术和安全概念的一些方面,但并不是详尽无遗的。
在实际应用中,根据具体的产品和系统需求,可能还会有其他的安全技术和概念被应用。
功能安全功能安全是指确保系统在正常操作、故障和故障恢复期间,能够保持运行的安全性。
在许多行业中,功能安全是非常重要的,特别是在涉及人员生命安全或财产损失的领域。
功能安全的概念和实践已经存在了很长时间,但它在现代信息技术和自动化系统中的重要性越来越突出。
许多行业都引入了功能安全标准和规范,以确保系统的设计和运行能够满足特定的安全要求。
在功能安全的概念中,有几个重要的方面需要考虑。
首先是系统的可靠性和可用性。
系统必须设计成能够在故障情况下继续正常运行,避免停机和数据丢失。
其次是系统的安全性和完整性。
系统必须能够防止未经授权的访问和数据篡改,并确保系统的数据完整性。
最后是系统的故障恢复能力。
系统必须能够自动检测和纠正故障,以避免系统崩溃。
为了确保功能安全,必须采取一系列的措施和方法。
首先是系统的设计。
在设计阶段,必须考虑到所有可能的故障和故障恢复情况,以确保系统能够在面对故障时正确操作。
其次是系统的测试和验证。
在开发和部署系统之前,必须进行全面的测试和验证,以确保系统达到预期的功能安全要求。
最后是系统的监控和维护。
一旦系统投入运行,必须进行定期的监控和维护,以确保系统能够持续满足功能安全要求。
在不同的行业中,有许多不同的功能安全标准和规范。
例如,在汽车行业中,ISO 26262是一种用于功能安全的国际标准,要求设计和开发具有功能安全性能的电子和电气系统。
在医疗行业中,IEC 60601是一种用于医疗电气设备的国际标准,要求这些设备具有高度的功能安全性。
在核电行业中,IEC 61508是一种适用于电气、电子和可编程电子系统的国际标准,要求这些系统具有可靠的功能安全性能。
功能安全的实现还需要考虑到人因因素。
人操作错误是导致许多故障和事故的主要原因。
因此,在设计和开发功能安全系统时,必须考虑到人工因素,并采取适当的措施来减少因为人的错误而导致的故障。
总之,功能安全是确保系统在正常操作、故障和故障恢复期间能够保持运行的安全性。
《基于ISO26262的汽车电子功能安全:方法与应用》读书札记目录一、内容描述 (2)1.1 书籍简介 (3)1.2 ISO26262标准概述 (4)二、汽车电子功能安全基础 (5)2.1 功能安全概念 (6)2.2 ISO26262标准体系 (8)2.3 功能安全等级 (9)三、ISO26262在汽车电子中的应用 (11)3.1 驱动电机控制系统 (12)3.2 电池管理系统 (14)3.3 传感器与执行器 (15)3.4 车载通信系统 (17)四、功能安全方法与技术 (18)4.1 安全需求分析 (19)4.2 安全完整性等级 (21)4.3 故障模式与影响分析 (22)4.4 控制器设计与测试 (24)4.5 人机界面设计 (26)五、案例分析 (27)5.1 案例一 (29)5.2 案例二 (29)六、实践与建议 (30)6.1 企业实施功能安全的步骤 (32)6.2 政策建议与行业标准 (33)七、总结与展望 (35)7.1 本书总结 (36)7.2 未来发展趋势 (37)一、内容描述《基于ISO2的汽车电子功能安全:方法与应用》是一本关于汽车电子系统功能安全的专业书籍,作者通过对国际标准化组织(ISO)2标准的研究和实践,详细介绍了汽车电子功能安全的基本概念、原则、方法和技术。
本书旨在帮助读者深入了解汽车电子功能安全的重要性,掌握相关的理论知识,并能够将其应用于实际的汽车电子系统中。
本书共分为五个部分:第一部分为引言,介绍了汽车电子功能安全的背景、意义和发展趋势;第二部分为ISO2标准概述,详细解读了ISO2标准的体系结构、架构和要求;第三部分为基础知识和方法,包括汽车电子系统的安全性分析、故障模式与影响分析(FMEA)、耐久性测试等方面的内容;第四部分为实际应用案例,通过分析典型的汽车电子系统实例,展示了如何将ISO2标准应用于实际项目中;第五部分为结论和展望,总结了本书的主要内容,并对未来汽车电子功能安全的发展进行了展望。
10.16638/ki.1671-7988.2019.15.033功能安全的危害分析和风险评估方法楼志江(比亚迪汽车工业有限公司,广东深圳518118)摘要:在功能安全开发过程中,关键指标ASIL存在定义过于抽象、评估指标过于主观的问题,因此,很多功能安全工程师无法得出有效的ASIL评级结果。
文章通过数学分析,为功能安全工程师了解释了ASIL的物理意义,同时针对ASIL的定级问题提出了九条建议措施。
工作成果对ASIL的评估工作就有一定的指导意义,功能安全工程师们在实际开发过程中可以酌情参考采纳。
关键词:功能安全;ASIL中图分类号:U461.91 文献标识码:B 文章编号:1671-7988(2019)15-90-02Hazard Analysis and Risk Assessment of Function Safety DevelopmentLou Zhijiang(BYD Automobile Industry CO., Ltd., Guangdong Shenzhen 518118)Abstract: As the key index in function safety development, ASIL has an obscure definition and its classification rules are too subjective for engineers. Therefore, most functional safety engineers are unable to obtain effective ASIL classification result. Through mathematical analysis, this paper explains the physical meaning of ASIL for functional safety engineers, and then puts forward nine reference rules for ASIL classification. This paper has certain guiding significance for ASIL classification, and hence functional safety engineers can refer to these rules as appropriate.Keywords: Functional safety; ASILCLC NO.: U461.91 Document Code: B Article ID: 1671-7988(2019)15-90-02引言所谓功能安全,即是通过分析和设计,将系统电子元器件失效引起的安全风险降低到社会接受的水平。
SITIIAS功能安全技术及应用李佳嘉 高级工程师机械工业仪器仪表可靠性技术中心 上海仪器仪表自控系统检验测试所漕宝路103号 TEL:64368180-308 FAX:64849355 E-mail: lijiajia@ http:// 1Lijiajia, SITIIAS, Shanghai, ChinaSITIIAS日程第一天(上午):概述和基本概念 第一天(下午):功能安全管理 第二天(上午):硬件安全性设计 第二天(下午):软件安全性设计2Lijiajia, SITIIAS, Shanghai, China1SITIIAS目录1.功能安全概述 2.安全术语 3.安全概念-原理-结构 4.IEC61508-1功能安全3Lijiajia, SITIIAS, Shanghai, ChinaSITIIAS功能安全概述4Lijiajia, SITIIAS, Shanghai, China2SITIIAS 功能安全-----引言在现代过程工业生产中,由于设备繁复,工艺复杂,要求整个控制系统不 允许存在任何安全薄弱环节,一旦系统中的过程成套仪表以及其他设备工作 不正常(失效),就有可能造成控制系统的故障和设备停车,发生诸如化工厂的 中毒、火灾、爆炸,核电站的辐射超剂量、飞机的机械漏油等危险事件,会 对人员、设备或环境造成灾难性后果。
5Lijiajia, SITIIAS, Shanghai, ChinaSITIIAS血的教训– 装置规模的日趋扩大 – 高温、高压、易燃、易爆、大型机组等连续性生产装置的安全保护 – 追求企业的效益最大化 – 对安全认识的提高6Lijiajia, SITIIAS, Shanghai, China3SITIIAS工业灾难----切尔诺贝利核电站1986年4月26日凌晨1时许,随着一声震天动地的巨响火光四起烈焰 冲天,火柱高达30多米,切尔诺贝利核电站4号反应堆发生爆炸,其厂房屋顶被 炸飞,墙壁坍塌.当时前苏联官方说事故中有31人当场死亡.200多人受到严 重的放射性辐射.8吨多辐射物质混合着炙热的石墨残片和核燃料碎片喷涌而 出,释放出的辐射量相当于日本广岛原子弹爆炸量的200多倍.大量的放射性 物质外泻,使周围环境的放射剂量高达200伦琴/小时为安全剂量的2万倍 .1700多吨石墨成了熊熊大火的燃料,火灾现场温度高达2000度以上。
功能安全技术安全概念要素下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
功能安全技术安全概念要素该文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document 功能安全技术安全概念要素 can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!功能安全技术是现代工程领域中至关重要的一部分,尤其是在涉及到自动化系统、汽车行业、航空航天和医疗设备等领域。
VCU功能安全架构研究【摘要】整车控制器VCU作为整车功能的交互节点及调度模块,是新能源汽车的重要控制器之一。
本文基于功能安全相关标准,介绍危害分析和风险评估的分析方法,并根据此方法确定VCU的安全目标及功能安全等级。
在确定整车层面的需求后进行功能安全概念的分解和分配,并通过对EGAS架构的应用,提出对其功能实现层进行监控的系统架构,为其他控制器的功能安全分析提供参考的示例。
关键词:功能安全;VCU;概念阶段;EGAS架构引言伴随着汽车智能化及新能源汽车产业的发展,车载电气电子系统的功能也日益增多,作为整车功能重要组成部分,VCU承担了极为复杂的功能,因其失效而导致的安全风险也不断升高。
如何预防此类风险对人身造成伤害,已成为行业关注的重点研究内容[1-3]。
国际标准化组织(ISO)于2011年发布的ISO 26262标准,就是为了解决这类风险,其第二版也于2018年正式发布[4-5]。
尽管该标准对于功能安全的开发给出了较为完整的流程,但是其仅作为规范类标准,涉及到的具体开发实例较少,且目前国内关于这部分的开发也处于起步阶段,所以如何实现实际产品的功能安全对开发人员来说还有一定的困难。
整车控制器(VCU)是实现整车扭矩控制的核心控制单元,而且还涉及到整车上下电、模式控制、能量回收控制等众多关键功能,负责系统模块间的交互和调度,故此其是否实现功能安全对整车安全来说意义重大。
本文将从混合动力汽车整车控制器出发,详细阐述如何实现概念及系统阶段的功能安全。
1 VCU概念阶段的开发由于VCU在整车电子电气架构中的特殊性,其在功能安全概念阶段的开发也呈现出自身的特点,具体表现为:VCU作为整车交互单元,会跟整车大部分的系统有功能间的交互,所以VCU系统最终得到的安全目标在数量上会较多;而且VCU只是负责功能的调度,不直接进行功能的执行,所以分配的ASIL等级也不会过高。
1.1安全目标及ASIL等级的定义安全目标作为系统最高层级的需求,需要由危害分析和风险评估得到,并为安全目标定义ASIL等级。
NXP培训PPT如何进行功能安全设计•ISO 26262 是对 IEC 61508 的改编,旨在满足道路车辆内电气和/或电子(E/E)系统的特定需求。
ISO 26262 解决了由 E/E 安全相关系统的故障行为引起的可能危害。
解决系统故障和随机硬件故障带来的风险。
系统安全是通过多种安全措施实现的。
ISO 26262 提供了一种基于汽车特定风险的方法来确定完整性等级 [汽车安全完整性等级(ASIL)]。
ISO 26262使用ASIL来指定ISO 26262的适用要求,以避免不合理的残余风险。
汽车制造商、汽车供应商(一级供应商)、半导体供应商和知识产权供应商之间符合 ISO 26262 标准风险评估使用三个标准进行:•严重程度- 造成多大的伤害?•暴露–多久可能发生一次?•可控性–危险可以控制吗?•对于每个危险事件,根据严重性、暴露和可控性确定 ASIL然后制定安全目标,预防或减轻每次事件,避免不合理的风险功能安全概念功能安全概念涉及:−故障检测和故障缓解−安全状态转换−容错机制−驾驶员警告问:这是一种自上而下的方法,通常是作为脱离上下文的安全元素(SEooC)开发的组件和IP,如何做出假设?安全机制是由E/E功能或元件或其他技术实现的技术解决方案,用于检测故障或控制故障,以实现或保持安全状态实施安全机制以防止故障导致单点故障或减少残余故障并防止故障成为潜在故障- 多点故障是单个故障,与其他独立故障相结合,导致多个点故障。
故障检测和响应时间· 诊断测试间隔−通过安全机制执行在线诊断测试之间的时间· 故障响应时间−从检测到故障到达到安全状态的时间跨度· 容错时间间隔−在危险事件发生之前,系统中可能存在一个或多个故障的时间跨度· 多点故障检测间隔开发和维护旨在安装在道路车辆中的安全相关元件或物品的生产过程。
−通常,符合ISO TS 16949的现有生产流程也与ISO 26262要求保持一致·此外,可能还需要符合与安全相关的特殊特性- 此类与安全相关的特殊特性的示例包括:- 特定工艺参数(例如温度范围或紧固扭矩- 材料特性- 生产公差- 配置此外,在生产过程中需要对变更或现场退货进行安全影响分析,>增强标准流程以符合要求。
功能安全的组件评估
功能安全的组件评估是指对汽车、航空、医疗设备等领域中的安全关键组件进行评估,以确保其正常工作时不会引发危险情况。
在进行功能安全的组件评估时,一般会遵循以下步骤:
1. 定义安全目标和要求:明确组件的功能安全目标以及与安全相关的要求,包括所需的安全等级和实施标准。
2. 评估设计文档:评估组件的设计文档,确认设计是否满足功能安全的要求,包括硬件和软件设计的安全架构、安全措施等。
3. 进行分析和测试:进行各种分析和测试活动,包括故障树分析、失效模式与影响分析、安全性能测试等,以判断组件的功能安全性能。
4. 验证和验证:验证和验证组件是否满足功能安全要求,可以使用模型验证、仿真测试、实际测试等方法。
5. 文档和记录:记录评估过程和结果,并编写评估报告,包括对组件安全性能的评估结论和建议。
需要注意的是,功能安全的组件评估是一个综合性的过程,需要综合考虑组件设计的各个方面,包括硬件、软件、通信、电源、环境适应性等,以确保组件在各种情况下都能可靠地工作,不会引发危险情况。
同时,评估过程中要充分考虑各种潜在的
故障和失效模式,以确保组件在发生故障时能够安全降级或故障隔离,避免对系统整体造成危害。
功能安全政策
功能安全政策是组织在功能安全管理方面的纲领性文件,用于确保组织能够有效地管理其功能安全活动,并确保产品的功能安全。
功能安全政策应明确组织对功能安全的承诺、方针、目标以及为实现这些方针和目标而采取的措施。
它应该明确指出组织对功能安全责任的承担,并强调预防安全事故和减少潜在危害的重要性。
在制定功能安全政策时,组织应考虑相关的法律法规和标准要求,以及自身的产品特点和风险状况。
同时,为了确保功能安全政策的可行性,组织还应为其制定具体的实施计划和措施,并配置必要的资源。
在实施功能安全政策的过程中,组织应定期对其政策进行评审和更新,以确保其始终能反映当前的安全要求和组织的需求。
此外,组织还应确保其员工都了解并遵循功能安全政策,并在必要时对其进行培训和指导。
总之,功能安全政策是组织在功能安全方面的重要指导文件,对于确保产品的功能安全和预防安全事故具有重要意义。
Control Tech of Safety & Security功能安全技术讲座【摘 要】【关键词】Abstract: The paper introduces some typical voting structure and their analysis and application methods. Through the comparison between the various voting structures, fi nd their difference on implementing the safety integrity of Functional Safety.Keywords: Functional Safety V oting Redundancy阐述功能安全理论中几种典型的表决结构及其分析应用方法,通过对不同表决结构的比较,确定其在实现安全功能的安全完整性和可用性上的差异。
功能安全 表决 冗余[编者按] 本刊在2007~2008的两年间,在“安全控制技术”栏目共安排了12讲功能安全技术讲座,系统介绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关注与积极回应。
2009年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术上。
本讲主讲人是熊文泽工程师。
第十六讲 功能安全中表决结构的分析与应用Chapter 16: Analysis and Application on Voting Structure for Functional Safety熊文泽(机械工业仪器仪表综合技术经济研究所,北京市 100055)Xiong Wenze(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)主讲人简介:熊文泽,男,工学学士,机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师,对功能安全标准I E C 61508(G B/T 20438-2006)和IEC 61511(GB/T 21109-2007)有深入的研究,参与多项国家科技部、863课题中功能安全子项的研究。
功能安全理论的服务对象为:执行多种安全功能的E/E/PE (电子、电气和可编程电子)安全相关系统,这些系统在石化、化工、电力、铁路等领域中已经得到广泛应用,如:主要应用于流程工业(石化、化工)的安全联锁系统(Safety Interlock System —SIS )和紧急停车系统(Emergency Shutdown —ESD );在电厂中广泛应用的火灾及气体检测系统(Fire and gas systems —F&G )和燃烧管理系统(Burner Management System )以及应用于铁路的列车自动防护系统(ATP )。
这些系统不仅能响应生产过程因超过安全极限而带来的风险,而且能检测和处理自身的故障,从而按预定条件或程序使生产过程处于安全状态,对于保障人员、设备及工厂周边环境的安全至关重要。
不同的表决结构配置直接影响安全相关系统的好坏。
如何选择表决结构,才能既保证安全相关系统安全控制技术1)假定将执行某一安全功能的安全系统回路划分为传感器单元、终端执行单元和逻辑解算器(安全PLC )三部分,根据统计数据表明,各部分出现故障的概率分布如下:* 检测元件故障概率35%* 终端执行元件故障概率50%* 逻辑解算器故障概率15%[2]可见,在检测元件和终端执行元件采用多通道表决,可以有效的提高SIL 等级。
以上面例子来说,若通过冗余使得检测元件和执行元件的PFDavg 降低如下:传感器 PFD s 3.09*10-4(SIL 3)终端执行器 PFD A 2.0*10-4(SIL 3)则达到了SIL3的要求。
2)根据IEC6 1508.2(GB/T 20438.2)中关于硬件安全完整性的结构约束要求,系统必须根据其安全失效分数达到相应的硬件故障裕度(HFT ),例如硬件故障裕度为1,则可选用1oo2或2oo3表决[1]。
3)与安全相关系统关联的传感器和终端执行元件应与常规控制元件分开单独设置,并采用保障故障安全(fail-safe )配置,如正常工况带电(励磁),非正常工况失电(非励磁),保障安全系统发生故障时能将过程置于安全状态。
4)在实际应用中为保证整个系统的有效性,避免安全失效导致安全相关系统误动作,与安全相关系统关联的单元可采用二取一、二取二、三取二等表决结构,其好处是即使其中一个通道发生失效,通过诊断能对失效的通道报警,在保证安全的前提下继续工作,等待在规定时间内完成修复,如果不能完成修复再将过程置于安全状态。
5)冗余的构成必须充分考虑到共因失效的影响,尽可能保证不同通道对电源、外界环境影响的独立性,可能的话对不同通道采用不同的厂商设备、不同的诊断测试机制和置于不同的物理位置。
3 几种典型表决结构的分析计算3.1 一取一表决逻辑该结构由单通道构成,如图2所示。
图2 1oo1结构图安全可靠性要求,当危险发生时及时采取响应措施,使设备能够按照预定要求进入安全状态,防止事故发生;又能尽量避免由于安全相关系统系统安全失效而导致误停车,从而造成极大的经济损失,是广大工程师们必须要考虑的问题。
本文将分别讨论不同表决结构的分析计算方法并对其不同应用效果进行比较。
1 什么是表决MooN 表决是指一套安全相关系统或者其中某一部分,有N 个独立的通道,以这样的方式连接:即至少需要其中的M 个通道完好,才能执行正确的安全功能。
例如1oo2表决就意味着2个独立设备,只需要其中一个装置正常运行就能正确的执行安全功能,只有当两个设备都出现危险故障时,安全功能才会失效[1]。
2 构建表决结构的要点功能安全的最终量化标准是安全完整性等级(SIL ),一个安全功能要达到要求安全完整性等级,就必须保证执行这个安全功能的整个安全回路从传感器单元、逻辑解算器单元到最终执行器单元都必须达到相应的SIL 等级,例如若一个安全功能要求达到SIL3级,那必须保证三个部分都至少为SIL3级,如图1所示。
图1 SIL3系统的基本要求示例如何保证每一部分都能达到SIL3要求?大家知道,对于现场仪表来说,由于环境条件或技术条件等的限制,若SIL 等级要求很高,单台设备往往不能满足要求。
另一方面,即使每个部分都达到了相应的SIL 等级,整个回路是否一定能满足SIL 要求呢?假定,三部分在要求时的失效概率PFDavg 分别如下传感器 PFD s 5.09*10-4(SIL 3)安全PLC PFD L 1.21*10-4(SIL 3)终端执行器 PFD A 5.1*10-4(SIL 3)则可见即使系统的三个部分都达到了SIL3的安全完整性等级,整个系统也不一定能达到SIL3。
在以上情况下,采用多通道表决使系统达到要求的SIL 等级是一个不错的选择。
这里归纳出以下几个要点说明在实际操作中如何考虑构建表决结构:Control Tech of Safety & Security可靠性框图如图3所示。
注:λD为危险失效率图3 1oo1可靠性框图假定系统处于低要求操作模式,采用可靠性框图法分析计算并简化(下同),其要求时平均失效率PFDavg为:可见由于只有一个通道执行安全功能,虽然结构简单,但系统的拒动率和误动率都很高,而不具有容错能力,对设备的各种失效模式没有保护能力,一旦发生危险失效(λD),系统无法执行安全功能将过程置于安全状态。
3.2 一取一带诊断表决逻辑1oo1D该结构由一个普通通道和一个诊断通道构成。
如图4所示。
图4 1oo1D表决结构图可靠性框图如图5所示。
注:λDU为未检测到的危险失效率(下同)图5 1oo1D可靠性框图假定不考虑诊断测试间隔的影响(以下同),其要求时平均失效率PFDavg简化计算公式为:可见由于带有诊断通路,不但系统的可靠性得以提高,而且能通过自诊断检测出发生故障的元件,向系统或操作员报警,通知工厂相关人员及时对故障元件进行维修,保障系统的整体安全。
3.3 二取一表决逻辑1oo2据标准GB/T20438,1oo2结构为两个并联的通道构成,无论哪一个通道都能处理安全功能。
如图6所示。
可靠性框图如图7所示。
考虑共同原因失效影响,引入共因失效因子β(分析计算方法参见标准GB/T20438.6),其要求时平均失效率PFDavg为:若检验测试时间间隔足够短,那么非共因失效部分的数量级将远小于共因部分,上式可近似为:若两通道采用相同的结构,即λD1=λD2=λD,则可见由于系统采取了冗余结构(二取一结构),能有效地抵御危险失效的发生。
由于采用的是失电停车,通过将两个PLC单元串联起来,如果一个单元故障发生了危险失效,但由于系统或操作人员不知道,它将仍有假性正常输出,而另一个单元仍然可以检测到故障,发出命令使系统进入安全状态,起到保护作用。
从公式可以看出,此时共同原因失效成为系统发生失效的关键因素,在实际设计过程中应尽量避免。
总的来说系统安全性较好,但可用性差。
3.4 二取一带诊断表决逻辑1oo2D1oo2D结构中有4个通道,其中包括两个诊断电路通道。
1oo2D结构由双重1oo1D系统并联接线,每个诊断电路通道,不仅受到自身所在电路单元的控制,同时也受到另外一个冗余电路单元的控制。
正常工作期间,在发生安全功能之前,两个通道都要求安全功能。
如果任一通道中诊断测试检测到一个故障,则将采用输出表决,因此整个输出状态则按照另一通道给出的输出状态。
如果诊断测试在两个通道同时检测到故障、或者检测到两个通道间存在差异时,输出(2)(1)图6 1oo2表决结构图注:λCC为共因失效部分(下同)图7 1oo2可靠性框图(3)安全控制技术则转到安全状态。
为了检测两个通道间的差异,通过一种与另一通道无关的方法,无论其中那个通道都能确定另一通道的状态[1]。
图8 1oo2D表决结构图假设λD1=λD2=λD,λS1=λS2=λS(以下均采用此假设),可靠性框图如图9所示。
注:λDD为检测到的危险失效率,λSD为检测到的安全失效率λDU为未检测到的危险失效率,λSU为未检测到的安全失效率图9 1oo2D可靠性框图参考1oo2和1oo1D的公式,且由于前两项很小可忽略,其要求时平均失效率PFDavg为:通过以上的分析可见,这种结构的好处是既能够容忍一个单元通道未检测出的危险失效也能容忍安全失效。
一方面当一个单元中的通道未检测出危险失效时,其诊断电路的开关将处于短路状态而不能被该单元打开,但1oo2D的另一个单元检测到过程危险后除了将自己诊断电路开关打开外,同时也可以将危险失效单元诊断电路的开关打开,从而执行单元动作,保证系统安全。
