從安全功能角度談失效模式
來源:http://www.jc3122.com發(fā)布時間:2019-08-14點(diǎn)擊次數(shù):4438
一、失效模式分類不同的失效方式稱為失效模式。
根據(jù)設(shè)備、子系統(tǒng)或系統(tǒng)發(fā)生失效的時間將失效分為早期失效、隨機(jī)失效和老化失效;根據(jù)失效所造成的影響將安全儀表功能的失效模式分為安全失效、危險失效和無影響失效;根據(jù)引起失效的原因分為隨機(jī)硬件失效、系統(tǒng)性失效和共因失效;考慮設(shè)備的自診斷功能時又分為通報失效、檢測到和未檢測到的失效;考慮冗余設(shè)備構(gòu)成的表決系統(tǒng)時又分為獨(dú)立失效和相關(guān)失效。
這里所說的失效模式為廣義的失效模式,它涵蓋了從各種角度分類的失效類別。通過分析,明確了正常壽命期內(nèi)的隨機(jī)失效是可靠性定量研究的基礎(chǔ);就安全相關(guān)系統(tǒng)來說,我們只關(guān)心危險失效和安全失效。
二、早期失效、隨機(jī)失效和老化失效對安全相關(guān)系統(tǒng)要求時危險失效平均概率(PFDavg)及每小時危險失效平均頻率(PFH)的計算,實(shí)際上是可靠性理論在功能安全領(lǐng)域的應(yīng)用。
在可靠性理論中,“浴缸”(Bathtub)曲線是非常重要的對設(shè)備、模塊或元件的失效率在其整個壽命期內(nèi)變化情況的一種重要的描述,如圖1所示。
圖1浴缸曲線設(shè)備在運(yùn)行過程中會受到來自環(huán)境的應(yīng)力,即環(huán)境對其施加的影響,如化學(xué)的、機(jī)械的、電氣的或物理的影響。
當(dāng)其自身的強(qiáng)度不能抵抗這些應(yīng)力的時候就會出現(xiàn)設(shè)備的失效。由圖1中可以看出設(shè)備在其壽命周期內(nèi)的失效分為三個階段:最初故障期、正常壽命期和老化期。這個階段對應(yīng)于三種失效方式。
(1)早期失效設(shè)備在最初故障期發(fā)生的失效為早期失效,失效率由大減小。這是因?yàn)樯a(chǎn)出的設(shè)備中有一些存在生產(chǎn)缺陷,隨著它們不斷的暴露出來,失效率就逐漸下降。
(2)隨機(jī)失效在去掉具有生產(chǎn)缺陷的設(shè)備之后,失效率相對保持不變,進(jìn)入設(shè)備的正常壽命期,在該期間,設(shè)備多發(fā)生由于工作應(yīng)力引起的隨機(jī)失效。如果設(shè)備只有很少的生產(chǎn)缺陷,而強(qiáng)度又很高,那么發(fā)生隨機(jī)失效的概率將非常低。正常壽命期內(nèi)的隨機(jī)失效率為常數(shù),它是可靠性研究中所需的失效數(shù)據(jù).
(3)老化失效隨著使用時間的增長,設(shè)備自身的強(qiáng)度開始下降,進(jìn)入老化報廢階段,失效率也隨之逐漸上升(老化期)?梢钥闯觯谧畛豕收掀,設(shè)備具有隨時間下降的失效率;在正常壽命期,設(shè)備具有隨時間相對恒定不變的常數(shù)失效率;在老化期,設(shè)備具有隨時間增大的失效率。
“浴缸”曲線可能有幾種變形的情況。某些情況下可能不存在最初故障期,因?yàn)橐恍┰O(shè)備幾乎不存在生產(chǎn)測試過程未檢測到的生產(chǎn)缺陷,這些設(shè)備就沒有失效率降低的區(qū)域。而某些應(yīng)用中,設(shè)備還未進(jìn)入老化期就已經(jīng)得到了更新?lián)Q代,因此就沒有失效率升高的區(qū)域。
一般來講,任何設(shè)備的設(shè)計生產(chǎn)都應(yīng)該保證設(shè)備具有正常的壽命期。有的設(shè)備在壽命期內(nèi)失效率的變化并不符合“浴缸”曲線所描述的這種特征,而是其他的曲線,如“過山車”(Roll Coaster)曲線。符合這種特征的設(shè)備在其壽命期內(nèi)很難找到一個失效率穩(wěn)定的階段。設(shè)備的失效率是所有定量計算的基礎(chǔ)。然而實(shí)際應(yīng)用中,針對某個具體行業(yè)或某個具體工廠,設(shè)備的失效率很可能不是常數(shù),而是隨時間變化的早期失效率或老化失效率。
三、危險失效、安全失效和無影響失效IEC61511中把危險失效定義為那些有潛力使E/E/PE安全相關(guān)系統(tǒng)失去安全功能執(zhí)行能力的失效。
這個定義與人們在實(shí)踐中對危險失效的理解是一致的。定義中的潛力是否存在,取決于組成E/E/PE安全相關(guān)系統(tǒng)的設(shè)備之間的結(jié)構(gòu)關(guān)系。冗余結(jié)構(gòu)的系統(tǒng)會減少這種導(dǎo)致危險狀態(tài)的潛力,因?yàn)槿哂嘟Y(jié)構(gòu)里1個硬件設(shè)備失效不易導(dǎo)致整個E/E/PE安全相關(guān)系統(tǒng)的失效。
IEC61511中把安全失效定義為那些沒有潛力導(dǎo)致E/E/PE安全相關(guān)系統(tǒng)失去安全功能執(zhí)行能力的失效。即不屬于危險失效的都是安全失效,該定義包括了造成過程誤停車在內(nèi)的多種失效。但是在實(shí)踐中,人們往往只把造成E/E/PE安全相關(guān)系統(tǒng)誤動作的一類失效稱為安全失效。這里對安全失效的定義是那些沒有潛力造成E/E/PE安全相關(guān)系統(tǒng)失去安全功能執(zhí)行能力的,但是有潛力造成E/E/PE安全相關(guān)系統(tǒng)誤動作的失效。
設(shè)備的某些失效可能對E/E/PE安全功能無任何影響,這樣的失效定義為無影響失效,記為λNONC。它既不會降低E/E/PE安全功能的執(zhí)行能力,也不會增加E/E/PE安全相關(guān)系統(tǒng)的誤動作,不影響E/E/PE安全相關(guān)系統(tǒng)的可靠性,對其進(jìn)行分析沒有實(shí)際意義。但是,無影響失效會影響單個設(shè)備的安全失效分?jǐn)?shù)值(Safe Failure Fraction,SFF),從而可能會影響設(shè)備的應(yīng)用。總而言之,從系統(tǒng)角度研究無影響失效沒有意義。因此,從影響E/E/PE安全功能角度劃分設(shè)備級的失效模式如圖2所示。
圖2 設(shè)備級失效模式劃分圖實(shí)際應(yīng)用中,人們不但希望E/E/PE安全相關(guān)系統(tǒng)是安全的,而且也希望E/E/PE安全相關(guān)系統(tǒng)的誤動作率越低越好,以盡量減少或避免因E/E/PE安全相關(guān)系統(tǒng)的誤動作對正常生產(chǎn)過程的影響。
可見,安全功能的誤動作率與系統(tǒng)的可用性及成本密切相關(guān),因此,對E/E/PE安全相關(guān)系統(tǒng)誤動作率進(jìn)行定量分析也很有意義。IEC61508、IEC61511關(guān)注的重點(diǎn)是安全性,并沒有涉及與誤動作率相關(guān)的問題。
四、隨機(jī)硬件失效、系統(tǒng)性失效和共因失效對于一個E/E/PE安全相關(guān)系統(tǒng)來說,兩種最基本的失效是物理失效和功能失效,或者說是隨機(jī)硬件失效和系統(tǒng)性失效。
兩者最根本的區(qū)別是:發(fā)生物理失效的設(shè)備根本不能執(zhí)行功能,而發(fā)生系統(tǒng)性失效的設(shè)備是能夠操作的,但不能執(zhí)行其預(yù)定的功能。IEC61508-4也將E/E/PE安全相關(guān)系統(tǒng)的失效分為隨機(jī)硬件失效和系統(tǒng)性失效,但該標(biāo)準(zhǔn)定義的隨機(jī)硬件失效只指由于機(jī)能退化而導(dǎo)致的隨機(jī)硬件失效,而不包含由于過大環(huán)境應(yīng)力而導(dǎo)致的設(shè)備失效。但是兩年后發(fā)布的IEC61508-6使用“硬件失效”沒有“隨機(jī)”二字,而且IEC61508-6附錄D中描述共因失效可能源于設(shè)計或規(guī)范等系統(tǒng)錯誤或外部應(yīng)力導(dǎo)致的隨機(jī)硬件失效,這里的隨機(jī)硬件失效的范疇與原定義不同,包含了外部應(yīng)力導(dǎo)致的硬件失效。這里仍然沿用IEC61508-4的分類,并對系統(tǒng)性失效進(jìn)一步分類,如圖3所示。
圖3 基于失效原因的失效分類隨機(jī)硬件失效:設(shè)備的操作條件在系統(tǒng)設(shè)計范圍內(nèi),僅由設(shè)備自然機(jī)能退化引起的失效。
如老化失效。系統(tǒng)性失效:不是由隨時間的自然機(jī)能退化引起,而是由特定原因引起的失效。這類失效一般通過修改設(shè)計或操作程序來減少。根據(jù)系統(tǒng)性失效產(chǎn)生的原因,系統(tǒng)性失效又進(jìn)一步分為以下三類:
①過應(yīng)力失效:設(shè)備承受了設(shè)計范圍外的過應(yīng)力而產(chǎn)生的失效。這個過應(yīng)力可能由外部原因引起或者由內(nèi)部影響因素導(dǎo)致。例如過大振動對過程傳感器的損壞或者不可預(yù)見的砂塵造成的閥門失效。
②設(shè)計失效:廣義地把系統(tǒng)投入運(yùn)行之前引入的失效稱為設(shè)計失效,包括軟件錯誤、系統(tǒng)說明規(guī)范的缺陷,制造缺陷或者安裝不規(guī)范帶來的失效。例如由于操作力不夠?qū)е碌拈y門失效,傳感器不能區(qū)分正確或錯誤要求,火災(zāi)或氣體探測器安裝位置錯誤。
③人因失效:由于人員在操作、維護(hù)和測試中的錯誤引起的失效。例如維護(hù)完后忘記拆除旁路線或者將過程傳感器的隔離閥置于關(guān)閉位置。另外在修改中安裝新的程序模塊,但邏輯控制器不能滿足所有設(shè)備的順序停車要求。
一般來講,系統(tǒng)性失效增加了冗余設(shè)備構(gòu)成的E/E/PE安全相關(guān)系統(tǒng)的安全功能失效概率,例如系統(tǒng)的共因失效。而隨機(jī)硬件失效是一種獨(dú)立失效,一般認(rèn)為其不會導(dǎo)致共因失效。共因失效是由于相同的原因?qū)е乱粋以上的組件、模塊或者設(shè)備發(fā)生失效。這些因素可能是內(nèi)在原因,也可能是外部原因。
五、通報失效、檢測到和未檢測到的失效根據(jù)設(shè)備的自診斷功能又將安全儀表功能的失效模式分為檢測到的和未檢測到的失效。
顧名思義,被設(shè)備自診斷功能檢測到的失效稱為檢測到的失效;未被設(shè)備自診斷功能檢測到的失效稱為未檢測到的失效。因此設(shè)備的自診斷能力決定了檢測到的和未檢測到的失效率。通常用診斷覆蓋率來衡量設(shè)備的自診斷能力。診斷覆蓋率表示一次失效被自診斷檢測到的概率?梢杂上旅娴墓絹肀硎荆
式中,c為診斷覆蓋率;∑λD為所有檢測到的失效率之和,這里的“D”代表“檢測到”,即Detected;∑λ為失效率總和。設(shè)備的自診斷功能可以檢測設(shè)備狀態(tài),在設(shè)備出現(xiàn)失效時發(fā)出警告,使設(shè)備能夠盡快得到維修。
然而,自診斷功能不會百分之百檢測到設(shè)備危險失效,因此,設(shè)備危險失效分為檢測到的危險失效和未檢測到的危險失效,它們的失效率分別為λDD和λDU。對安全失效也可以做相似的分解。
設(shè)備的總危險失效率和總安全失效率分別為λD、λS,則有:λD=λDD+λDU (1)λS=λSD+λSU
(2)某些設(shè)備的失效會導(dǎo)致自診斷功能不能正常工作。把不能檢測和通報設(shè)備診斷狀態(tài)的失效稱為通報失效。通報失效有可能是被診斷設(shè)備自身的一種失效,也可能是用于自動診斷功能的另一設(shè)備的失效。
六、獨(dú)立失效和相關(guān)失效在多個設(shè)備構(gòu)成的冗余結(jié)構(gòu)中,往往存在獨(dú)立失效和相關(guān)失效兩種情況。
本書將由自然應(yīng)力導(dǎo)致的單一設(shè)備的隨機(jī)硬件失效(見圖3)定義為獨(dú)立失效,即單一設(shè)備的失效不影響系統(tǒng)中其他相同的設(shè)備。
相關(guān)失效是指在同一時間或規(guī)定時間段內(nèi),由于系統(tǒng)間或單元間的空間、環(huán)境、設(shè)計、人為失誤等原因而引起的兩個或多個設(shè)備失效的狀態(tài)。其原因可分為兩大類:造成系統(tǒng)設(shè)備失效的原因(或環(huán)境)是相同的或非獨(dú)立的,特別是當(dāng)原因(或環(huán)境)相同而系統(tǒng)設(shè)備的失效特性也完全相同時,將發(fā)生系統(tǒng)中的共因失效;獨(dú)立原因(或環(huán)境)造成的設(shè)備失效在系統(tǒng)中傳播,導(dǎo)致系統(tǒng)設(shè)備的傳遞失效。所以,共因失效屬于相關(guān)失效,是相關(guān)失效最主要的一種形式。所有系統(tǒng)性失效,如應(yīng)力失效、設(shè)計相關(guān)的失效和人因失效,從根本上來說是相關(guān)失效。