硬件及系统的安全完整性设计-计算方法

硬件及系统的安全完整性设计-计算方法机械工业仪器仪表综合技术经济研究所孟邹清课程主要内容：•硬件失效概率的计算方法◆概述◆基本假设◆术语及缩略语◆可靠性基础◆平均失效概率计算◆应用举例•诊断覆盖率的计算◆诊断覆盖率的计算方法◆确定诊断覆盖率的各种因素◆诊断覆盖率的计算示例课程主要内容：•硬件共同原因失效率的量化方法论◆概述◆共同原因失效简述◆方法的使用范围◆方法中考虑的要点◆使用β-系数计算E/E/PE安全相关系统中共同原因失效的失效概率◆使用表来估算β◆方法的使用示例硬件失效概率的计算方法硬件失效概率的计算方法：◆概述概述◆基本假设◆术语及缩略语◆可靠性基础◆平均失效概率计算◆应用举例硬件失效概率的计算方法：概述：•有很多技术可用来分析E/E/PE安全相关系统硬件安全完整性——因果图分析；——故障树分析；——马尔可夫模型；——可靠性框图。•其中比较常用的技术有两种——马尔可夫模型；——可靠性框图。硬件失效概率的计算方法：概述：•两种方法比较◆如果正确使用,这两种方法会得到相似的结果◆对于复杂的可编程电子子系统的情况（如使用多通道交叉表决和自动测试的情况）与马尔可夫模型相比，使用可靠性框图时的精确性有所下降。◆这种精度的损失对于整个E/E/PE安全相关系统来说以及考虑在分析中使用可靠性数据的精度时不太重要。•我们以一种较简单的方法——可靠性框图法为例，说明硬件失效概率的计算过程。硬件失效概率的计算方法：◆概述◆基本假设基本假设◆术语及缩略语◆可靠性基础◆平均失效概率计算◆应用举例硬件失效概率的计算方法：基本假设：•在要求时子系统出现失效的平均概率低于10-1，或者子系统每小时的失效概率小于10-5；•在系统寿命内部件失效概率为常量；•传感器（输入）子系统包含实际的传感器、其他部件、接线，但不包括通过表决或其它处理首先组合信号的那些部件；•逻辑子系统包括首先组合信号的部件和把昀终信号传递给昀终元件子系统的所有其它部件；•昀终元件子系统包括用来处理来自逻辑子系统的昀终信号的所有部件和连线，还包括昀终执行元件；硬件失效概率的计算方法：基本假设：•对于子系统中的单个通道，硬件失效率被当作计算和表格的输入（例如，如果使用2oo3传感器，失效率则是指单个传感器的失效率，并且单独计算2oo3的影响）；•在一个经表决过的组中所有通道具有相同的失效率和诊断覆盖率；•子系统中一个通道的硬件总失效率为此通道危险失效率和安全失效率的总和（假设两者是相同的）；注：本假设将影响安全失效分数，但安全失效分数不影响失效概率的计算值。硬件失效概率的计算方法：基本假设：•每个安全功能都已经过很好的检验测试和修复（即：所有未检测到的失效可由检验测试检测到）；注：非完全检验测试----在安全相关系统中的故障，既没有被诊断测试又没有被检验测试检测到，而仅由受故障影响而要求安全功能时才能被发现。•检验测试的间隔至少要比诊断测试的间隔大一个数量级；•对于每个子系统都有一个检验测试间隔以及平均恢复时间；硬件失效概率的计算方法：基本假设：•对于已知的失效可采取多个修理班组同时进行处理；•预计的要求间隔至少比平均恢复时间大一个数量级；•对于所有在低要求操作模式下运行的子系统以及在高要求或连续操作模式下工作的1oo2、1oo2D、2oo3表决组，诊断覆盖率规定的失效分数，在平均恢复时间内已被检测和修复，并用来决定硬件安全完整性的需求。例如：假设平均恢复时间为8h，它一般包括小于1h的诊断测试间隔，其余为实际修理时间。注：对1oo2、1oo2D、2oo3表决组，假设任何修理均在线进行。硬件失效概率的计算方法：基本假设：•对于在高要求或连续操作模式下工作的1oo2、1oo2D、2oo3表决组，E/E/PE安全相关系统在检测到危险故障后，总可达到安全状态。为了达到这种状态，要求之间的预计间隔至少要比诊断测试间隔大一个数量级，或者诊断测试间隔与达到安全状态所需时间的总和少于过程安全时间；注：过程安全时间为EUC或EUC控制系统发生失效（具有引起一次危险事件的潜在可能）至未能执行安全功能就会发生危险事件之间的时段。硬件失效概率的计算方法：系统失效发生危险诊断测试间隔过程安全时间达到安全状态时间时间差图1诊断测试间隔与达到安全状态所需时间的总和少于过程安全时间硬件失效概率的计算方法：基本假设：•当电源失效，不能对断电跳闸E/E/PE安全相关系统提供电力时，系统脱扣到安全状态，此时电源不会对E/E/PE安全相关系统要求的平均失效概率产生影响；如果系统需通电跳闸，或者电源的失效模式能引起E/E/PE安全相关系统不安全工作，电源应包括在评价内容之中；•当使用术语通道时，它只限于所讨论的系统的那部分，通常指传感器子系统、逻辑子系统或昀终元件子系统；硬件失效概率的计算方法：◆概述◆基本假设◆术语及缩略语术语及缩略语◆可靠性基础◆平均失效概率计算◆应用举例硬件失效概率的计算方法：术语及缩略语：•T1：检验测试时间间隔（h）•MTTR：平均恢复时间（h）•DC：诊断覆盖率（在公式中以一个分数或者百分比表示）•β：具有共同原因的、没有被检测到的失效分数（在公式中用一个分数或者百份比表示）•βD：具有共同原因的，已被诊断测试检测到的失效分数（在公式中表示成一个分数或者百分比）硬件失效概率的计算方法：术语及缩略语：•λ：子系统中一个通道的失效率（每小时）•λD：子系统中通道的危险失效率（每小时），等于0.5λ•λDD：检测到的子系统中通道每小时的危险失效率（它是在子系统通道中所有检测到的危险失效率的总和）•λDU：未检测到的子系统中通道每小时的危险失效率（它是在子系统通道中所有未检测到的危险失效率的总和）•λSD：子系统中被检测到的通道每小时的安全失效率（它是在子系统通道中所有检测到的安全失效率的总和）硬件失效概率的计算方法：术语及缩略语：•tCE：结构中通道的等效平均停止工作时间（h）（它是子系统通道中所有部件的组合关闭时间）•tGE：结构中表决组的等效平均停止工作时间（h）（它是表决组中所有部件的组合关闭时间）•tCE′：1oo2D结构中通道的等效平均停止工作时间（h）（它是子系统通道中所有部件的组合关闭时间）•tGE′：1oo2D结构中表决组的等效平均停止工作时间（h）（它是表决组中所有部件的组合关闭时间）硬件失效概率的计算方法：术语及缩略语：•PFDG：表决通道组在要求时的平均失效概率（如果传感器、逻辑或昀终元件子系统仅由一个表决组构成，则PFDG分别等于PFDS、PFDL或PFDFE）•PFDS：传感器子系统在要求时的平均失效概率•PFDL：逻辑子系统在要求时的平均失效概率•PFDFE：昀终元件子系统在要求时的平均失效概率硬件失效概率的计算方法：术语及缩略语：•PFHG：表决通道组在要求时的每小时平均失效概率（如果传感器、逻辑或昀终元件子系统仅由一个表决组构成，则PFDG分别等于PFHS、PFHL或PFHFE）•PFHS：传感器子系统每小时的平均失效概率•PFHL：逻辑子系统每小时的平均失效概率•PFHFE：昀终元件子系统每小时的平均失效概率硬件失效概率的计算方法：◆概述◆基本假设◆术语及缩略语◆可靠性基础可靠性基础◆平均失效概率计算◆应用举例硬件失效概率的计算方法：可靠性基础：生产装置或工艺过程发生事故是由组成它的若干元件相互复杂作用的结果，总的故障概率取决于这些元件的故障概率和他们之间相互作用的性质，故要计算装置或工艺过程的事故概率，必须首先了解各个元件的故障概率。硬件失效概率的计算方法：可靠性基础：1.元件的故障概率及其求法构成设备或装置的元件，工作一定时间后就会发生故障或失效。元件在两次相邻故障间隔期内正常工作的平均时间，叫平均故障间隔期，用τ表示。如果元件在第一次工作t1时间后出现故障，第二次工作t2时间后出现故障，。。。第n次工作tn时间后出现故障，则平均故障间隔期为：（1）τ一般是通过实验测定几个元件的平均故障间隔时间的平均值得到。nn1iit∑==τ硬件失效概率的计算方法：可靠性基础：元件在单位时间（或周期）内发生故障的平均值称为平均故障率，用λ表示，单位为故障次数/时间。平均故障率是平均故障间隔期的倒数，即：（2）元件在规定时间内和规定条件下完成规定功能的概率称为可靠度，用R(t)表示。元件在时间间隔（0,t）内的可靠度符合下列关系：（3）ettRλ−=)(τλ1=可靠性基础：元件在规定时间内和规定条件下没有完成规定功能（失效）的概率就是故障概率（或不可靠度），用P(t)表示。故障概率是可靠度的补事件，用下式得到：（4）硬件失效概率的计算方法：ettRtPλ−−=−=1)(1)(硬件失效概率的计算方法：可靠性基础：2.元件的联接及系统故障（事故）概率计算装置或工艺过程是由许多元件连接在一起构成的，这些元件发生故障常会导致整个系统故障或事故的发生。因此，可根据各个元件的故障概率，依照它们之间的联接关系计算出整个系统的故障概率。元件的相互联接简单的说有串联和并联两种情况。硬件失效概率的计算方法：可靠性基础：串联联接的元件，任何一个元件故障都会引起系统发生故障或事故。串联元件组成的系统，其可靠度计算公式如下：（5）式中，Ri—每个元件的可靠度；n—元件的数量；Π—表示连乘。∏==niiRR1硬件失效概率的计算方法：可靠性基础：串联系统的故障概率P由下式计算：（6）式中，表示每个元件的故障概率。∏=−−=niiPP1)1(1Pi硬件失效概率的计算方法：可靠性基础：对于只有A和B两个元件组成的系统，上式展开为：（7）如果元件的故障概率很小，则项可以忽略。此时，上式（7）可以简化为：（8）)()()()()(BPAPBPAPBAP−+=或)()()(BPAPBAP+=或)()(BPAP硬件失效概率的计算方法：可靠性基础：因此，串联系统的故障概率P计算公式：（9）可以简化为：注：当元件的故障概率不是很小时，不能用简化公式计算总的故障概率。∏=−−=niiPP1)1(1∑==niiPP1硬件失效概率的计算方法：可靠性基础：并联联接的元件，当并联的几个元件同时发生故障，系统就会故障。并联元件组成的系统故障概率P计算公式是：（10）系统的可靠度R计算公式如下：（11）∏==niiPP1∏=−−=niiRR1)1(1硬件失效概率的计算方法：可靠性基础：3.n中取m冗余（表决结构）在一些工作并联配置中，需要n中的m个单元能工作，以使系统能起作用。这称为n中取m（或m/n）并联冗余。具有n个统计独立部件的m/n系统（所有单元的可靠度相等）的可靠度是二项式方程：（12）注：())1(101RRiniminiR−∑−−=−=())!(!!xnxnnx−=硬件失效概率的计算方法：可靠性基础：对于恒定瞬时故障率有：（13）())()1(1011ttinmininRλλ−−=∑+−=硬件失效概率的计算方法：可靠性基础：4.备用冗余一个单元不连续工作，仅当主单元失效时才接通该单元，这样就实现了备用冗余。对于有n个相同单元的备用冗余配置（具有正确的转换），一般性的可靠度公式是：（14）ettniiiRλλ−−=∑=10)(！硬件失效概率的计算方法：◆概述◆基本假设◆术语及缩略语◆可靠性基础◆平均失效概率计算平均失效概率计算◆应用举例硬件失效概率的计算方法：◆平均失效概率计算平均失效概率计算√要求时的平均失效概率（低要求操作模式）计算过程结构模型：1oo1、1oo2、2oo2、1oo2D、2oo3、moon√每小时的失效概率（高要求或连续操作模式）计算过程结构模型硬件失效概率的计算方法：1、要求时的平均失效概率计算过程：E/E/PE安全相关系统的安全功能在要求时的平均失效概率，是通过计算和组合提供安全功能的所有子系统在要求时的平均失效概率确定的。由于失效概率很低，它可以表示为：PFDSYS=PFDS+PFDL+PFDFE式中：PFDSYS——E/E/PE安全相关系统的安全功能在要求时的平均失效概率；PFDS——为传感器子系统要求的平均失效概率；PFDL——为逻辑子系统要求的平均失效概率；PFDFE——为昀终