夜城直播_夜城直播app官方正版下载_夜城直播高品质美女在线视频互动社区

實現(xiàn)硬件故障裕度一致性問題的探討

2020/12/8 0:09:14 人評論 次瀏覽 分類:DCS  文章地址:http://prosperiteweb.com/tech/3485.html

硬件故障裕度(硬件容錯)HFT指安全儀表系統(tǒng)在不發(fā)生整體故障的情況下能夠保持并繼續(xù)運行的硬件失效數(shù)量。結構約束是依據(jù)子系統(tǒng)(如傳感器、邏輯控制器和最終元件)所要求的安全完整性等級(SIL)、所用組件的類型、子系統(tǒng)組件的安全失效分數(shù)SFF所建立的。當前,流行的SIL證書種類較多,質(zhì)量良莠不齊,這些證書應謹慎解釋。一些證書存在SFF數(shù)值不準確的情況,以下聲稱閥門SFF大于60%的情況是無效的:對“無作用”失效λNE給予信任;將部分行程測試(PST)視為診斷并給予信任。事實上,僅憑證書不足以證明產(chǎn)品符合GB/T20438-2017(IEC 61508:2010)第二部分和第三部分的要求,而必須要依據(jù)該文獻第二部分附錄D提供的安全手冊。

1、應用硬件故障裕度的必要性

失效率的不確定性和設計中的假設通常需要采用“結構約束”來補償。GB/T20438-2017(IEC 61508:2010)和GB/T21109-2007(IEC 61511:2003)均要求依據(jù)所需的SIL等級來設定結構約束。眾所周知,結構結束是以HFT進行表征,即在發(fā)生故障時執(zhí)行所需功能的能力。HFT是指當硬件中出現(xiàn)一個或多個危險失效時,某一組件或子系統(tǒng)繼續(xù)執(zhí)行所要求的安全儀表功能(SIF)的能力。HFT為1是指有2臺設備,其結構約束如下,即2個組件或子系統(tǒng)中的一個發(fā)生危險失效不能阻止安全動作的觸發(fā)。HFT對于緩解SIF設計中的潛在缺陷是必要的,這些缺陷可能是由于SIF設計時所做假設的數(shù)量,以及各種應用中使用的組件或子系統(tǒng)失效率的不確定性所致,只簡單計算一下失效率是不夠的。為了滿足SIL等級目標,不僅需要具備最低的容錯級別,而且計算出的失效率還應足夠低。需要的容錯級別主要取決于:失效率數(shù)據(jù)的置信度水平,主要的失效模式(安全或危險),是否能夠檢測到失效并對其進行響應。通過采用容錯回路結構中的冗余組件可以實現(xiàn)容錯,2臺閥門串聯(lián)結構實現(xiàn)容錯如圖1所示。
2臺閥門串聯(lián)結構實現(xiàn)容錯示意
圖1 2臺閥門串聯(lián)結構實現(xiàn)容錯示意

GB/T21109.1-2007(IEC 61511:2003)中針對HFT的方法僅適用于相對簡單的結構。GB/T20438-2017(IEC 61508:2010)中的方法可用于評估復雜結構的HFT要求。


2、硬件故障裕度應用中存在的問題

GB/T21109-2017(IEC 61511:2003)11.4條給出了HFT的要求。傳感器、最終元件和非PE邏輯控制器的最小HFT見表1所列,表1規(guī)定了傳感器與最終元件的HFT等級。所要求的HFT等級會隨著SIL等級的提高而增加,并且給出了主導失效模式為安全狀態(tài)或為可檢測出危險失效條件下的要求。
表1 傳感器、最終元件和非PE邏輯控制器的最小
傳感器、最終元件和非PE邏輯控制器的最小


若主導失效模式為危險失效且無有效診斷,則需要增加HFT。危險失效與安全失效模式下的最小HFT見表2所列。

表2 危險失效與安全失效模式下的最小HFT
危險失效與安全失效模式下的最小HFT
驅動式停車閥的常見失效模式為危險失效,很容易在開啟位置卡塞,從而發(fā)生泄漏。該類失效模式不僅危險,而且不易被檢測到。

為了實現(xiàn)SIL3等級要求,則需要串聯(lián)安裝4臺閥門,若能夠證明“調(diào)整有限”和“先驗使用”(證據(jù)充分),則標準允許降低HFT的要求(危險失效模式下的HFT減1)。危險失效與安全失效模式在先驗使用證據(jù)充分且調(diào)整有限情況下的最小HFT見表3所列。

表3 危險失效與安全失效模式在先驗使用證據(jù)充分且調(diào)整有限情況下的最小HFT
危險失效與安全失效模式在先驗使用證據(jù)充分且調(diào)整有限情況下的最小HFT
因此,實現(xiàn)SIL3等級的最低要求是串聯(lián)3臺閥門。然而,該方案不可行。安裝3臺閥門降低了可靠性,而且會增加基建與維護成本。


3、采用路徑1H的方案

可以使用GB/T20438-2017(IEC 61508:2010)的路徑1H來替代GB/T21109-2007(IEC 61511-2003)中的方法,以便確定所需的HFT。路徑1H可以區(qū)分簡單的“A類”設備和復雜的“B類”設備。

“A類”設備具有:明確的失效模式、確定性的行為、充分可靠的失效率數(shù)據(jù)。其他設備歸為“B類”,該類設備具有復雜的行為和失效模式,且通常為包含軟件的設備。


路徑1H需要針對各組件的綜合性數(shù)據(jù)和文件,以及嚴格的質(zhì)量和配置管理。此外,還必須為各組件提供安全手冊,以證明其符合GB/T 20438-2017(IEC 61508:2010)。“A類”設備的要求與GB/T 21109-2007(IEC 61511:2003)中“調(diào)整有限”和“先驗使用”的要求相同。


路徑1H采用SFF的概念,這是評估常見失效是否為安全狀態(tài)的另一種方法。所要求的最高SIL等級取決于HFT,相關結果與GB/T 21109-2007(IEC 61511:2003)給出方法的結果近似。


A類安全相關子系統(tǒng)的結構約束見表4所列,表4給出的是依據(jù)HFT和SFF在路徑 1H下的A類組件所要求的最高SIL等級。


當SFF<60%時,主要失效模式并未處于安全狀態(tài),若要達到SIL3,仍然要求HFT為2,則必須串聯(lián)3臺閥門,若只使用2臺閥門來實現(xiàn)SIL3,則需要證明SFF≥60%。2臺串聯(lián)閥門示意如圖1所示。

表4 A類安全相關子系統(tǒng)的結構約束
A類安全相關子系統(tǒng)的結構約束

3.1 展示合規(guī)性時的常見錯誤

總失效率ΣλT是導致跳車的“安全”失效的失效率λS,與通過在線診斷檢測出的 “危險”失效的失效率λDD,以及未檢測出的“危險”失效的失效率λDU之和,如公式ΣλT=ΣλS+ΣλDD+ΣλDU所示;SFF的計算如公式SFF=(ΣλS+ΣλDD)/ΣλT所示。

3.2 “無作用”失效

常見的方法是添加無關的“無作用”失效λNE,例如,典型的閥門和執(zhí)行器組件將具有:λS≈0.3×10-6/h, λD≈1.1×10-6/h,且無診斷功能,則λDD=0, SFF≈0.3/(0.3+1.1)≈21.4%。

λNE對安全功能沒有任何影響。典型的λNE有可能是執(zhí)行機構上的位置開關故障或者變送器讀數(shù)顯示故障,該類型的失效既不是危險失效,也不是安全失效。如果發(fā)生該類故障,并不會阻止變送器發(fā)送信號,也不會造成誤停車。因此,該類失效對誤跳車率或要求時的失效概率均沒有影響,故應該被忽略。加入λNE會增加SFF:λS≈0.3×10-6/h,λNE≈1.0×10-6/h, λD≈1.1×10-6/h, λDD=0,則SFF≈(1+0.3)/(0.3+1+1.1)≈54.2%。


GB/T 20438-2017(IEC 61508:2010)中給出的SFF公式?jīng)Q不允許包含λNE。IEC61508:2010增加了明確的說明,λNE必須排除在SFF之外。


目前國內(nèi)有部分在用的證書均對λNE給予了信任,因此,都是無效的。


過去一些選擇方法用于SIL驗證計算的商業(yè)軟件包均對λNE給予信任。例如:Exida公司于2007年出版的第三版安全設備可靠性手冊(SERH)曾將SFF計算中的λNE給予信任?,F(xiàn)在用戶計算SFF時應注意該問題。


3.3 部分行程測試

德國萊茵TüV公司的證書在SFF的計算中對PST給予了信任:如果PST足夠頻繁,則可以稱之為診斷。GB/T20438-2017(IEC 61508:2010)第二部分7.4.4.1條明確了診斷功能的頻率要求。

低要求模式下,只有當診斷測試間隔與修復檢測出失效所用的時間之和,小于確定安全功能實現(xiàn)的SIL計算中所使用的平均恢復時間MTTR時,才能對診斷給予信任。


診斷間隔必須包含在用于計算失效概率的MTTR之內(nèi)。MTTR的影響因素見表5所列。

表5 MTTR的影響因素
MTTR的影響因素

如果MTTR延長到以月為單位的時間段,則會導致SIF失效的可能性大幅增加。相同的要求同樣適用于HFT>0的高要求模式和連續(xù)模式。


在HFT=0的高要求模式和連續(xù)模式下,則允許:診斷間隔加安全動作響應時間必須小于過程安全時間;診斷測試率必須比要求率至少高100倍以上。


對于流程領域的低要求應用,每周或每天的自動測試可能足夠頻繁,但通常不切實際。6個月測試也不能歸類為診斷,且無助于改善SFF。


德國萊茵TüV公司已于2016年發(fā)表過聲明,闡述如何解釋該類證書。聲明部分內(nèi)容如下:

①對最終元件(尤其是閥門)進行認證,依據(jù)功能安全標準IEC 61508:2010對某些SIL的要求,SFF是至關重要的因素。由于SFF為安全失效與可檢測出危險失效之和與總失效之比,因此有必要依據(jù)所要求的SIL等級確定安全失效和可檢測出的危險失效。有關安全失效更為精確的定義可參見IEC 61508:2010。很顯然,最終元件(尤其是閥門)沒有足夠的安全失效(甚至無安全失效),以達到SIL1以上的等級。因此,必須對最終元件采取診斷措施,以增加可測到的危險失效和SFF。以下要求適用于診斷措施:診斷措施必須為自動在線測試;測試頻率至少比要求率高10倍;PST可以達到的最高診斷覆蓋率DC為70%;SFF檢驗測試并非為診斷措施,因此不得用于增加SFF。

②EN161:2011/A3:2013 Automatic shut-off valves for gasburners and gas appliances中定義了SFF的替代定義,可用作確定所需HFT的替代方法。該方法基于失效模式與影響分析(FMEA),并考慮了“故障排除”(視同檢測到的故障)。在進行FMEA期間,這些“故障排除”必須要證明是合理的。EN161:2011/A3:2013中定義的方法要求SIL3系統(tǒng)的HFT至少為1。如果使用該替代方法估算SFF,則必須要在證書當中聲明。


3.4 在無證據(jù)的情況下假設先驗使用

GB/T21109-2007(IEC 61511:2003)第一部分11.5.3條對文件要求進行了嚴格規(guī)定,以支持先驗使用的聲明。但這些要求較為繁瑣,在實踐中很難達到。大多數(shù)用戶發(fā)現(xiàn)比較容易證明符合GB/T20438-2017(IEC 61508:2010)第二部分和/或第三部分,但需要采購獨立認證的組件。

3.5 假設符合GB/T20438-2017(IEC 61508:2010)

GB/T20438-2017(IEC 61508:2010)第二部分7.4.9.6條要求供應商必須為聲稱符合該標準的每種產(chǎn)品提供安全手冊,否則不能聲稱其合規(guī)。其中附件D給出了安全手冊中應包含的詳細要求,這些要求的信息類似于支持“先驗使用”要求的信息。

4、采用路徑2H的方案

鑒于GB/T20438-2017(IEC 61508:2010)路徑1H在獲取SFF時可能存在的問題,故在采用路徑1H的HFT方案解決實際問題時應慎重。GB/T20438-2017(IEC 61508:2010)路徑1H和GB/T21109-2007(IEC 61511:2003)均基于失效率,置信度水平至少為70%。這意味著所記錄的兩次失效之間70%的時間間隔要長于計算中使用的平均故障間隔時間MTBF。即計算要基于失效率λ70%,其至少要達到所記錄的失效率的70%。HFT的目的是補償失效率數(shù)據(jù)和假設中的不確定性。如果能夠降低不確定性,則可以減少HFT。路徑2H是基于90%的失效率的置信度水平,置信度水平如圖2示。

事實上,路徑2H的要求非常簡單,如果能夠證明置信度水平,則HFT為1足可以滿足SIL3的要求,HFT為0即可滿足SIL2的要求。對于“A類”組件,無需考慮SFF。而“B類”組件的要求很簡單,“路徑2H中使用的所有B類組件的診斷覆蓋率應不低于60%”,置信度水平為90%的失效率比置信度水平為70%的失效率大約高0.8倍標準偏差(0.8σ)。
路徑2H置信度水平示意

圖2 路徑2H置信度水平示意

IEC 61511:2016第一部分對基于路徑2H的HFT要求進行了詳細說明。


IEC 61511:2016中根據(jù)SIL等級的最小HFT見表6所列,HFT為1足可以滿足SIL3等級。IEC6 1511:2016標準中已取消90%置信度水平要求。

表6 IEC 61511:2016根據(jù)SIL等級的最小HFT


5、數(shù)據(jù)搜集

5.1 可靠的數(shù)據(jù)來源
可靠的數(shù)據(jù)來源有兩種:海上設備和可靠性數(shù)據(jù)庫(OREDA),SERH。
由挪威科技工業(yè)研究院(SINTEF)發(fā)行的 OREDA提供了標準偏差和烴類加工行業(yè)中常用組件失效率的平均值,OREDA基于廣泛的現(xiàn)場經(jīng)驗,盡管其應用范圍有限。SERH由美國Exida公司出版發(fā)行,SERH中的失效率是采用失效模式及影響診斷分析(FMEDA)計算的,但基于單個組件的廣泛數(shù)據(jù)集。盡管OREDA包含一些“特定現(xiàn)場”的失效,且OREDA的失效率有可能是相應SERH中失效率的2倍,但二者的結果大致上相同。

5.2 系統(tǒng)性失效的不同處理

數(shù)據(jù)來源之間存在差異的原因之一在于如何決定從數(shù)據(jù)集中采集或排除失效。閥門等非電子組件的失效通常是“系統(tǒng)性的”,但仍可以視為“準隨機性”。GB/T 20438-2017(IEC 61508:2010)和GB/T 21109-2007(IEC 61511:2003)要求應通過采用適當?shù)募夹g和措施來避免或控制系統(tǒng)性失效,然而,許多系統(tǒng)性失效卻無法輕松消除。標準的目的是將這些“準隨機”失效包含在失效概率計算當中,但需要注意的是,在確定需要排除的失效時需要做出判斷。

5.3 基于供應商反饋數(shù)據(jù)的研究

諸多已發(fā)布的SIL證書的失效率要比SERH或OREDA中的失效率低約50倍,并聲稱90%的置信度水平。3.3節(jié)給出的示例證書具有:對于球閥的λS≈3×10-8/h,對于氣動執(zhí)行機構的λD≈3×10-8/h,對于組件的ΣλT≈6×10-8/h。

對于類似設備:SERH中λS≈1.4×10-6/h,OREDA中λS≈3.6×10-6/h。


請注意,置信度水平與給定數(shù)據(jù)集中的數(shù)據(jù)傳播有關。對于小型數(shù)據(jù)集,可以聲明90%的置信度水平,該置信度水平與測量出的失效率有效性或適用性無關。


基于供應商反饋的研究可能會無意中將許多未報告給供應商的失效排除在外。另外,還有可能將被視為“系統(tǒng)性”或“設計范圍之外”的失效排除在外。那些源自限制使用數(shù)據(jù)集的低失效率可能只是一種不切實際的樂觀。


5.4 最可靠的數(shù)據(jù)-用戶自己的數(shù)據(jù)

用戶使用自己數(shù)據(jù)的困難在于需要大量的運行經(jīng)驗。對于相當數(shù)量的設備,也許需要數(shù)十年的經(jīng)驗。分析失效原因與失效率同樣重要,常見的系統(tǒng)原因必須予以控制。

6、結束語

GB/T20438-2017(IEC 61508:2010)和GB/T21109-2007(IEC61511:2003)路徑1H中的HFT方法在流程領域中實際上并不適用。該方法需要串聯(lián)3臺閥門(1oo3表決形式)才能實現(xiàn)SIL3等級。GB/T20438-2017(IEC 61508:2010)路徑2H的依據(jù)是將置信度水平提高到90%。該方案只允許使用2臺閥門作為最終元件來實現(xiàn)SIL3等級。

IEC61511:2016采用路徑2H,但并未明確要求90%的置信度水平。OREDA和SERH提供的失效率數(shù)據(jù)被公認為可靠。該類參考文件提供了足夠信息,故能夠以90%的置信度水平推斷失效率。國內(nèi)諸多流行的證書聲稱失效率遠低于OREDA和SERH當中的失效率。用戶應盡可能地收集自己的數(shù)據(jù),盡管收集證據(jù)的工作異常繁重且需要大量證據(jù)。用戶應將不同來源的失效率經(jīng)常進行比較和評估,以確定其合理性。


對于路徑2H而言,應采取較為保守的方法,并考慮失效率的整體傳播性。所有的閥門失效本質(zhì)上講都是系統(tǒng)性的,因此,可以在一定程度上加以避免或控制。在評估失效率時,應考慮計劃操作和維護的有效性。此外,還應特別注意辨識和控制好共因失效CCF,原因是該類失效幾乎始終在計算出的失效概率中占據(jù)主導地位。


在確定SFF時,某些在用的證書因λNE或PST而備受贊譽,但這些證書必須謹慎解釋。

作者:徐志杰、王立奉、黃剛

共有訪客發(fā)表了評論 網(wǎng)友評論

  客戶姓名:
郵箱或QQ:
驗證碼: 看不清楚?