硬件故障裕度(硬件容錯)HFT指安全儀表系統(tǒng)在不發(fā)生整體故障的情況下能夠保持并繼續(xù)運行的硬件失效數(shù)量。結(jié)構(gòu)約束是依據(jù)子系統(tǒng)(如傳感器、邏輯控制器和最終元件)所要求的安全完整性等級(SIL)、所用組件的類型、子系統(tǒng)組件的安全失效分數(shù)SFF所建立的。當(dāng)前，流行的SIL證書種類較多，質(zhì)量良莠不齊，這些證書應(yīng)謹慎解釋。一些證書存在SFF數(shù)值不準確的情況，以下聲稱閥門SFF大于60%的情況是無效的：對“無作用”失效λ_NE給予信任；將部分行程測試(PST)視為診斷并給予信任。事實上，僅憑證書不足以證明產(chǎn)品符合GB/T20438-2017(IEC 61508:2010)第二部分和第三部分的要求，而必須要依據(jù)該文獻第二部分附錄D提供的安全手冊。

1、應(yīng)用硬件故障裕度的必要性
失效率的不確定性和設(shè)計中的假設(shè)通常需要采用“結(jié)構(gòu)約束”來補償。GB/T20438-2017(IEC 61508:2010)和GB/T21109-2007(IEC 61511:2003)均要求依據(jù)所需的SIL等級來設(shè)定結(jié)構(gòu)約束。眾所周知，結(jié)構(gòu)結(jié)束是以HFT進行表征，即在發(fā)生故障時執(zhí)行所需功能的能力。HFT是指當(dāng)硬件中出現(xiàn)一個或多個危險失效時，某一組件或子系統(tǒng)繼續(xù)執(zhí)行所要求的安全儀表功能(SIF)的能力。HFT為1是指有2臺設(shè)備，其結(jié)構(gòu)約束如下，即2個組件或子系統(tǒng)中的一個發(fā)生危險失效不能阻止安全動作的觸發(fā)。HFT對于緩解SIF設(shè)計中的潛在缺陷是必要的，這些缺陷可能是由于SIF設(shè)計時所做假設(shè)的數(shù)量，以及各種應(yīng)用中使用的組件或子系統(tǒng)失效率的不確定性所致，只簡單計算一下失效率是不夠的。為了滿足SIL等級目標，不僅需要具備最低的容錯級別，而且計算出的失效率還應(yīng)足夠低。需要的容錯級別主要取決于：失效率數(shù)據(jù)的置信度水平，主要的失效模式(安全或危險)，是否能夠檢測到失效并對其進行響應(yīng)。通過采用容錯回路結(jié)構(gòu)中的冗余組件可以實現(xiàn)容錯，2臺閥門串聯(lián)結(jié)構(gòu)實現(xiàn)容錯如圖1所示。

圖1 2臺閥門串聯(lián)結(jié)構(gòu)實現(xiàn)容錯示意

GB/T21109.1-2007(IEC 61511:2003)中針對HFT的方法僅適用于相對簡單的結(jié)構(gòu)。GB/T20438-2017(IEC 61508:2010)中的方法可用于評估復(fù)雜結(jié)構(gòu)的HFT要求。

2、硬件故障裕度應(yīng)用中存在的問題
GB/T21109-2017(IEC 61511:2003)11.4條給出了HFT的要求。傳感器、最終元件和非PE邏輯控制器的最小HFT見表1所列，表1規(guī)定了傳感器與最終元件的HFT等級。所要求的HFT等級會隨著SIL等級的提高而增加，并且給出了主導(dǎo)失效模式為安全狀態(tài)或為可檢測出危險失效條件下的要求。
表1 傳感器、最終元件和非PE邏輯控制器的最小


若主導(dǎo)失效模式為危險失效且無有效診斷，則需要增加HFT。危險失效與安全失效模式下的最小HFT見表2所列。
表2 危險失效與安全失效模式下的最小HFT

驅(qū)動式停車閥的常見失效模式為危險失效，很容易在開啟位置卡塞，從而發(fā)生泄漏。該類失效模式不僅危險，而且不易被檢測到。

為了實現(xiàn)SIL3等級要求，則需要串聯(lián)安裝4臺閥門，若能夠證明“調(diào)整有限”和“先驗使用”(證據(jù)充分)，則標準允許降低HFT的要求(危險失效模式下的HFT減1)。危險失效與安全失效模式在先驗使用證據(jù)充分且調(diào)整有限情況下的最小HFT見表3所列。
表3 危險失效與安全失效模式在先驗使用證據(jù)充分且調(diào)整有限情況下的最小HFT

因此，實現(xiàn)SIL3等級的最低要求是串聯(lián)3臺閥門。然而，該方案不可行。安裝3臺閥門降低了可靠性，而且會增加基建與維護成本。

3、采用路徑1_H的方案
可以使用GB/T20438-2017(IEC 61508：2010)的路徑1H來替代GB/T21109-2007(IEC 61511-2003)中的方法，以便確定所需的HFT。路徑1H可以區(qū)分簡單的“A類”設(shè)備和復(fù)雜的“B類”設(shè)備。

“A類”設(shè)備具有：明確的失效模式、確定性的行為、充分可靠的失效率數(shù)據(jù)。其他設(shè)備歸為“B類”，該類設(shè)備具有復(fù)雜的行為和失效模式，且通常為包含軟件的設(shè)備。

路徑1_H需要針對各組件的綜合性數(shù)據(jù)和文件，以及嚴格的質(zhì)量和配置管理。此外，還必須為各組件提供安全手冊，以證明其符合GB/T 20438-2017(IEC 61508:2010)?！癆類”設(shè)備的要求與GB/T 21109-2007(IEC 61511:2003)中“調(diào)整有限”和“先驗使用”的要求相同。

路徑1_H采用SFF的概念，這是評估常見失效是否為安全狀態(tài)的另一種方法。所要求的最高SIL等級取決于HFT，相關(guān)結(jié)果與GB/T 21109-2007(IEC 61511：2003)給出方法的結(jié)果近似。

A類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束見表4所列，表4給出的是依據(jù)HFT和SFF在路徑 1H下的A類組件所要求的最高SIL等級。

當(dāng)SFF＜60%時，主要失效模式并未處于安全狀態(tài)，若要達到SIL3，仍然要求HFT為2，則必須串聯(lián)3臺閥門，若只使用2臺閥門來實現(xiàn)SIL3，則需要證明SFF≥60%。2臺串聯(lián)閥門示意如圖1所示。
表4 A類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束


3.1 展示合規(guī)性時的常見錯誤
總失效率ΣλT是導(dǎo)致跳車的“安全”失效的失效率λS，與通過在線診斷檢測出的 “危險”失效的失效率λDD，以及未檢測出的“危險”失效的失效率λDU之和，如公式Σλ_T=Σλ_S+Σλ_DD+Σλ_DU所示；SFF的計算如公式SFF=(Σλ_S+Σλ_DD)/Σλ_T所示。

3.2 “無作用”失效
常見的方法是添加無關(guān)的“無作用”失效λ_NE，例如，典型的閥門和執(zhí)行器組件將具有：λ_S≈0.3×10-6/h， λ_D≈1.1×10-6/h，且無診斷功能，則λ_DD=0， SFF≈0.3/(0.3+1.1)≈21.4%。

λ_NE對安全功能沒有任何影響。典型的λ_NE有可能是執(zhí)行機構(gòu)上的位置開關(guān)故障或者變送器讀數(shù)顯示故障，該類型的失效既不是危險失效，也不是安全失效。如果發(fā)生該類故障，并不會阻止變送器發(fā)送信號，也不會造成誤停車。因此，該類失效對誤跳車率或要求時的失效概率均沒有影響，故應(yīng)該被忽略。加入λ_NE會增加SFF：λ_S≈0.3×10-6/h，λ_NE≈1.0×10-6/h， λ_D≈1.1×10-6/h， λ_DD=0，則SFF≈(1+0.3)/(0.3+1+1.1)≈54.2%。

GB/T 20438-2017(IEC 61508：2010)中給出的SFF公式?jīng)Q不允許包含λ_NE。IEC61508：2010增加了明確的說明，λNE必須排除在SFF之外。

目前國內(nèi)有部分在用的證書均對λ_NE給予了信任，因此，都是無效的。

過去一些選擇方法用于SIL驗證計算的商業(yè)軟件包均對λ_NE給予信任。例如：Exida公司于2007年出版的第三版安全設(shè)備可靠性手冊(SERH)曾將SFF計算中的λ_NE給予信任?，F(xiàn)在用戶計算SFF時應(yīng)注意該問題。

3.3 部分行程測試
德國萊茵TüV公司的證書在SFF的計算中對PST給予了信任：如果PST足夠頻繁，則可以稱之為診斷。GB/T20438-2017(IEC 61508：2010)第二部分7.4.4.1條明確了診斷功能的頻率要求。

低要求模式下，只有當(dāng)診斷測試間隔與修復(fù)檢測出失效所用的時間之和，小于確定安全功能實現(xiàn)的SIL計算中所使用的平均恢復(fù)時間MTTR時，才能對診斷給予信任。

診斷間隔必須包含在用于計算失效概率的MTTR之內(nèi)。MTTR的影響因素見表5所列。
表5 MTTR的影響因素


如果MTTR延長到以月為單位的時間段，則會導(dǎo)致SIF失效的可能性大幅增加。相同的要求同樣適用于HFT>0的高要求模式和連續(xù)模式。

在HFT=0的高要求模式和連續(xù)模式下，則允許：診斷間隔加安全動作響應(yīng)時間必須小于過程安全時間；診斷測試率必須比要求率至少高100倍以上。

對于流程領(lǐng)域的低要求應(yīng)用，每周或每天的自動測試可能足夠頻繁，但通常不切實際。6個月測試也不能歸類為診斷，且無助于改善SFF。

德國萊茵TüV公司已于2016年發(fā)表過聲明，闡述如何解釋該類證書。聲明部分內(nèi)容如下：
①對最終元件(尤其是閥門)進行認證，依據(jù)功能安全標準IEC 61508:2010對某些SIL的要求，SFF是至關(guān)重要的因素。由于SFF為安全失效與可檢測出危險失效之和與總失效之比，因此有必要依據(jù)所要求的SIL等級確定安全失效和可檢測出的危險失效。有關(guān)安全失效更為精確的定義可參見IEC 61508:2010。很顯然，最終元件(尤其是閥門)沒有足夠的安全失效(甚至無安全失效)，以達到SIL1以上的等級。因此，必須對最終元件采取診斷措施，以增加可測到的危險失效和SFF。以下要求適用于診斷措施：診斷措施必須為自動在線測試；測試頻率至少比要求率高10倍；PST可以達到的最高診斷覆蓋率DC為70%；SFF檢驗測試并非為診斷措施，因此不得用于增加SFF。

②EN161：2011/A3：2013 Automatic shut-off valves for gasburners and gas appliances中定義了SFF的替代定義，可用作確定所需HFT的替代方法。該方法基于失效模式與影響分析(FMEA)，并考慮了“故障排除”(視同檢測到的故障)。在進行FMEA期間，這些“故障排除”必須要證明是合理的。EN161:2011/A3:2013中定義的方法要求SIL3系統(tǒng)的HFT至少為1。如果使用該替代方法估算SFF，則必須要在證書當(dāng)中聲明。

3.4 在無證據(jù)的情況下假設(shè)先驗使用
GB/T21109-2007(IEC 61511:2003)第一部分11.5.3條對文件要求進行了嚴格規(guī)定，以支持先驗使用的聲明。但這些要求較為繁瑣，在實踐中很難達到。大多數(shù)用戶發(fā)現(xiàn)比較容易證明符合GB/T20438-2017(IEC 61508:2010)第二部分和/或第三部分，但需要采購獨立認證的組件。

3.5 假設(shè)符合GB/T20438-2017(IEC 61508:2010)
GB/T20438-2017(IEC 61508:2010)第二部分7.4.9.6條要求供應(yīng)商必須為聲稱符合該標準的每種產(chǎn)品提供安全手冊，否則不能聲稱其合規(guī)。其中附件D給出了安全手冊中應(yīng)包含的詳細要求，這些要求的信息類似于支持“先驗使用”要求的信息。

4、采用路徑2_H的方案
鑒于GB/T20438-2017(IEC 61508:2010)路徑1H在獲取SFF時可能存在的問題，故在采用路徑1H的HFT方案解決實際問題時應(yīng)慎重。GB/T20438-2017(IEC 61508:2010)路徑1H和GB/T21109-2007(IEC 61511:2003)均基于失效率，置信度水平至少為70%。這意味著所記錄的兩次失效之間70%的時間間隔要長于計算中使用的平均故障間隔時間MTBF。即計算要基于失效率λ70%，其至少要達到所記錄的失效率的70%。HFT的目的是補償失效率數(shù)據(jù)和假設(shè)中的不確定性。如果能夠降低不確定性，則可以減少HFT。路徑2H是基于90%的失效率的置信度水平，置信度水平如圖2示。

事實上，路徑2H的要求非常簡單，如果能夠證明置信度水平，則HFT為1足可以滿足SIL3的要求，HFT為0即可滿足SIL2的要求。對于“A類”組件，無需考慮SFF。而“B類”組件的要求很簡單，“路徑2H中使用的所有B類組件的診斷覆蓋率應(yīng)不低于60%”，置信度水平為90%的失效率比置信度水平為70%的失效率大約高0.8倍標準偏差(0.8σ)。

圖2 路徑2_H置信度水平示意

IEC 61511:2016第一部分對基于路徑2_H的HFT要求進行了詳細說明。

IEC 61511:2016中根據(jù)SIL等級的最小HFT見表6所列，HFT為1足可以滿足SIL3等級。IEC6 1511:2016標準中已取消90%置信度水平要求。
表6 IEC 61511:2016根據(jù)SIL等級的最小HFT


5、數(shù)據(jù)搜集
5.1 可靠的數(shù)據(jù)來源
可靠的數(shù)據(jù)來源有兩種：海上設(shè)備和可靠性數(shù)據(jù)庫(OREDA)，SERH。
由挪威科技工業(yè)研究院(SINTEF)發(fā)行的 OREDA提供了標準偏差和烴類加工行業(yè)中常用組件失效率的平均值，OREDA基于廣泛的現(xiàn)場經(jīng)驗，盡管其應(yīng)用范圍有限。SERH由美國Exida公司出版發(fā)行，SERH中的失效率是采用失效模式及影響診斷分析(FMEDA)計算的，但基于單個組件的廣泛數(shù)據(jù)集。盡管OREDA包含一些“特定現(xiàn)場”的失效，且OREDA的失效率有可能是相應(yīng)SERH中失效率的2倍，但二者的結(jié)果大致上相同。

5.2 系統(tǒng)性失效的不同處理
數(shù)據(jù)來源之間存在差異的原因之一在于如何決定從數(shù)據(jù)集中采集或排除失效。閥門等非電子組件的失效通常是“系統(tǒng)性的”，但仍可以視為“準隨機性”。GB/T 20438-2017(IEC 61508:2010)和GB/T 21109-2007(IEC 61511:2003)要求應(yīng)通過采用適當(dāng)?shù)募夹g(shù)和措施來避免或控制系統(tǒng)性失效，然而，許多系統(tǒng)性失效卻無法輕松消除。標準的目的是將這些“準隨機”失效包含在失效概率計算當(dāng)中，但需要注意的是，在確定需要排除的失效時需要做出判斷。

5.3 基于供應(yīng)商反饋數(shù)據(jù)的研究
諸多已發(fā)布的SIL證書的失效率要比SERH或OREDA中的失效率低約50倍，并聲稱90%的置信度水平。3.3節(jié)給出的示例證書具有：對于球閥的λ_S≈3×10-8/h，對于氣動執(zhí)行機構(gòu)的λ_D≈3×10-8/h，對于組件的Σλ_T≈6×10-8/h。

對于類似設(shè)備：SERH中λ_S≈1.4×10-6/h，OREDA中λ_S≈3.6×10-6/h。

請注意，置信度水平與給定數(shù)據(jù)集中的數(shù)據(jù)傳播有關(guān)。對于小型數(shù)據(jù)集，可以聲明90%的置信度水平，該置信度水平與測量出的失效率有效性或適用性無關(guān)。

基于供應(yīng)商反饋的研究可能會無意中將許多未報告給供應(yīng)商的失效排除在外。另外，還有可能將被視為“系統(tǒng)性”或“設(shè)計范圍之外”的失效排除在外。那些源自限制使用數(shù)據(jù)集的低失效率可能只是一種不切實際的樂觀。

5.4 最可靠的數(shù)據(jù)-用戶自己的數(shù)據(jù)
用戶使用自己數(shù)據(jù)的困難在于需要大量的運行經(jīng)驗。對于相當(dāng)數(shù)量的設(shè)備，也許需要數(shù)十年的經(jīng)驗。分析失效原因與失效率同樣重要，常見的系統(tǒng)原因必須予以控制。

6、結(jié)束語
GB/T20438-2017(IEC 61508:2010)和GB/T21109-2007(IEC61511:2003)路徑1H中的HFT方法在流程領(lǐng)域中實際上并不適用。該方法需要串聯(lián)3臺閥門(1oo3表決形式)才能實現(xiàn)SIL3等級。GB/T20438-2017(IEC 61508:2010)路徑2H的依據(jù)是將置信度水平提高到90%。該方案只允許使用2臺閥門作為最終元件來實現(xiàn)SIL3等級。

IEC61511:2016采用路徑2H，但并未明確要求90%的置信度水平。OREDA和SERH提供的失效率數(shù)據(jù)被公認為可靠。該類參考文件提供了足夠信息，故能夠以90%的置信度水平推斷失效率。國內(nèi)諸多流行的證書聲稱失效率遠低于OREDA和SERH當(dāng)中的失效率。用戶應(yīng)盡可能地收集自己的數(shù)據(jù)，盡管收集證據(jù)的工作異常繁重且需要大量證據(jù)。用戶應(yīng)將不同來源的失效率經(jīng)常進行比較和評估，以確定其合理性。

對于路徑2_H而言，應(yīng)采取較為保守的方法，并考慮失效率的整體傳播性。所有的閥門失效本質(zhì)上講都是系統(tǒng)性的，因此，可以在一定程度上加以避免或控制。在評估失效率時，應(yīng)考慮計劃操作和維護的有效性。此外，還應(yīng)特別注意辨識和控制好共因失效CCF，原因是該類失效幾乎始終在計算出的失效概率中占據(jù)主導(dǎo)地位。

在確定SFF時，某些在用的證書因λ_NE或PST而備受贊譽，但這些證書必須謹慎解釋。
作者：徐志杰、王立奉、黃剛