關(guān)于實(shí)現(xiàn)硬件故障裕度一致性問題的探討

徐志杰，王立奉，黃剛

(1. Kenexis咨詢公司，天津 300270；2. 北京龍湖安全技術(shù)研究院，北京102500；3. 北方華錦化學(xué)工業(yè)集團(tuán)有限公司，遼寧 盤錦 124021)

硬件故障裕度(硬件容錯(cuò))HFT指安全儀表系統(tǒng)在不發(fā)生整體故障的情況下能夠保持并繼續(xù)運(yùn)行的硬件失效數(shù)量。結(jié)構(gòu)約束是依據(jù)子系統(tǒng)(如傳感器、邏輯控制器和最終元件)所要求的安全完整性等級(jí)(SIL)、所用組件的類型、子系統(tǒng)組件的安全失效分?jǐn)?shù)SFF所建立的。當(dāng)前，流行的SIL認(rèn)證證書種類較多，質(zhì)量良莠不齊，這些證書應(yīng)謹(jǐn)慎解釋。一些證書存在SFF數(shù)值不準(zhǔn)確的情況，以下聲稱閥門SFF大于60%的情況是無效的： 對(duì)“無作用”失效λNE給予信任；將部分行程測(cè)試(PST)視為診斷并給予信任。事實(shí)上，僅憑證書不足以證明產(chǎn)品符合GB/T 20438—2017[1](IEC 61508： 2010[2])第二部分和第三部分的要求，而必須要依據(jù)該文獻(xiàn)第二部分附錄D提供的安全手冊(cè)。

1 應(yīng)用硬件故障裕度的必要性

失效率的不確定性和設(shè)計(jì)中的假設(shè)通常需要采用“結(jié)構(gòu)約束”來補(bǔ)償。GB/T 20438—2017(IEC 61508： 2010)和GB/T 21109—2007[3](IEC 61511： 2003[4])均要求依據(jù)所需的SIL等級(jí)來設(shè)定結(jié)構(gòu)約束。眾所周知，結(jié)構(gòu)結(jié)束是以HFT進(jìn)行表征，即在發(fā)生故障時(shí)執(zhí)行所需功能的能力。HFT是指當(dāng)硬件中出現(xiàn)一個(gè)或多個(gè)危險(xiǎn)失效時(shí)，某一組件或子系統(tǒng)繼續(xù)執(zhí)行所要求的安全儀表功能(SIF)的能力。HFT為1是指有2臺(tái)設(shè)備，其結(jié)構(gòu)約束如下，即2個(gè)組件或子系統(tǒng)中的一個(gè)發(fā)生危險(xiǎn)失效不能阻止安全動(dòng)作的觸發(fā)。HFT對(duì)于緩解SIF設(shè)計(jì)中的潛在缺陷是必要的，這些缺陷可能是由于SIF設(shè)計(jì)時(shí)所做假設(shè)的數(shù)量，以及各種應(yīng)用中使用的組件或子系統(tǒng)失效率的不確定性所致，只簡(jiǎn)單計(jì)算一下失效率是不夠的。為了滿足SIL等級(jí)目標(biāo)，不僅需要具備最低的容錯(cuò)級(jí)別，而且計(jì)算出的失效率還應(yīng)足夠低。需要的容錯(cuò)級(jí)別主要取決于： 失效率數(shù)據(jù)的置信度水平，主要的失效模式(安全或危險(xiǎn))，是否能夠檢測(cè)到失效并對(duì)其進(jìn)行響應(yīng)。通過采用容錯(cuò)回路結(jié)構(gòu)中的冗余組件可以實(shí)現(xiàn)容錯(cuò)，2臺(tái)閥門串聯(lián)結(jié)構(gòu)實(shí)現(xiàn)容錯(cuò)如圖1所示。

圖1 2臺(tái)閥門串聯(lián)結(jié)構(gòu)實(shí)現(xiàn)容錯(cuò)示意

GB/T 21109.1—2007(IEC 61511： 2003)中針對(duì)HFT的方法僅適用于相對(duì)簡(jiǎn)單的結(jié)構(gòu)。GB/T 20438—2017(IEC 61508： 2010)中的方法可用于評(píng)估復(fù)雜結(jié)構(gòu)的HFT要求。

2 硬件故障裕度應(yīng)用中存在的問題

GB/T 21109—2017(IEC 61511： 2003)11.4條給出了HFT的要求。傳感器、最終元件和非PE邏輯控制器的最小HFT[3]見表1所列，表1規(guī)定了傳感器與最終元件的HFT等級(jí)。所要求的HFT等級(jí)會(huì)隨著SIL等級(jí)的提高而增加，并且給出了主導(dǎo)失效模式為安全狀態(tài)或?yàn)榭蓹z測(cè)出危險(xiǎn)失效條件下的要求。

表1 傳感器、最終元件和非PE邏輯控制器的最小HFT[3]

若主導(dǎo)失效模式為危險(xiǎn)失效且無有效診斷，則需要增加HFT。危險(xiǎn)失效與安全失效模式下的最小HFT見表2所列。

表2 危險(xiǎn)失效與安全失效模式下的最小HFT

驅(qū)動(dòng)式停車閥的常見失效模式為危險(xiǎn)失效，很容易在開啟位置卡塞，從而發(fā)生泄漏。該類失效模式不僅危險(xiǎn)，而且不易被檢測(cè)到。

為了實(shí)現(xiàn)SIL3等級(jí)要求，則需要串聯(lián)安裝4臺(tái)閥門，若能夠證明“調(diào)整有限”和“先驗(yàn)使用”(證據(jù)充分)，則標(biāo)準(zhǔn)允許降低HFT的要求(危險(xiǎn)失效模式下的HFT減1)。危險(xiǎn)失效與安全失效模式在先驗(yàn)使用證據(jù)充分且調(diào)整有限情況下的最小HFT見表3所列。

表3 危險(xiǎn)失效與安全失效模式在先驗(yàn)使用證據(jù)充分且調(diào)整有限情況下的最小HFT

因此，實(shí)現(xiàn)SIL 3等級(jí)的最低要求是串聯(lián)3臺(tái)閥門。然而，該方案不可行。安裝3臺(tái)閥門降低了可靠性，而且會(huì)增加基建與維護(hù)成本。

3 采用路徑1H的方案

可以使用GB/T 20438—2017(IEC 61508： 2010)的路徑1H來替代GB/T 21109—2007(IEC 61511—2003)中的方法，以便確定所需的HFT。路徑1H可以區(qū)分簡(jiǎn)單的“A類”設(shè)備和復(fù)雜的“B類”設(shè)備。

“A類”設(shè)備具有： 明確的失效模式、確定性的行為、充分可靠的失效率數(shù)據(jù)。其他設(shè)備歸為“B類”，該類設(shè)備具有復(fù)雜的行為和失效模式，且通常為包含軟件的設(shè)備。

路徑1H需要針對(duì)各組件的綜合性數(shù)據(jù)和文件，以及嚴(yán)格的質(zhì)量和配置管理。此外，還必須為各組件提供安全手冊(cè)，以證明其符合GB/T 20438—2017(IEC 61508： 2010)。“A類”設(shè)備的要求與GB/T 21109—2007(IEC 61511： 2003)中“調(diào)整有限”和“先驗(yàn)使用”的要求相同。

路徑1H采用SFF的概念，這是評(píng)估常見失效是否為安全狀態(tài)的另一種方法。所要求的最高SIL等級(jí)取決于HFT，相關(guān)結(jié)果與GB/T 21109—2007(IEC 61511： 2003)給出方法的結(jié)果近似。

A類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束[1]見表4所列，表4給出的是依據(jù)HFT和SFF在路徑 1H下的A類組件所要求的最高SIL等級(jí)。

當(dāng)SFF<60%時(shí)，主要失效模式并未處于安全狀態(tài)，若要達(dá)到SIL 3，仍然要求HFT為2，則必須串聯(lián)3臺(tái)閥門，若只使用2臺(tái)閥門來實(shí)現(xiàn)SIL 3，則需要證明SFF≥60%。2臺(tái)串聯(lián)閥門示意如圖1所示。

表4 A類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束

3.1 展示合規(guī)性時(shí)的常見錯(cuò)誤

總失效率ΣλT是導(dǎo)致跳車的“安全”失效的失效率λS，與通過在線診斷檢測(cè)出的 “危險(xiǎn)”失效的失效率λDD，以及未檢測(cè)出的“危險(xiǎn)”失效的失效率λDU之和，如式(1)所示：

ΣλT=ΣλS+ΣλDD+ΣλDU

(1)

SFF的計(jì)算如式(2)所示：

SFF=(ΣλS+ΣλDD)/ΣλT

(2)

3.2 “無作用”失效

常見的方法是添加無關(guān)的“無作用”失效λNE，例如，典型的閥門和執(zhí)行器組件將具有：λS≈0.3×10-6/h，λD≈1.1×10-6/h，且無診斷功能，則λDD=0，SFF≈0.3/(0.3+1.1)≈21.4%。

λNE對(duì)安全功能沒有任何影響。典型的λNE有可能是執(zhí)行機(jī)構(gòu)上的位置開關(guān)故障或者變送器讀數(shù)顯示故障，該類型的失效既不是危險(xiǎn)失效，也不是安全失效。如果發(fā)生該類故障，并不會(huì)阻止變送器發(fā)送信號(hào)，也不會(huì)造成誤停車。因此，該類失效對(duì)誤跳車率或要求時(shí)的失效概率均沒有影響，故應(yīng)該被忽略。加入λNE會(huì)增加SFF：λS≈0.3×10-6/h，λNE≈1.0×10-6/h，λD≈1.1×10-6/h，λDD=0，則SFF≈(1+0.3)/(0.3+1+1.1)≈54.2%。

GB/T 20438—2017(IEC 61508： 2010)中給出的SFF公式?jīng)Q不允許包含λNE。IEC61508： 2010增加了明確的說明，λNE必須排除在SFF之外。

目前國內(nèi)有部分在用的證書均對(duì)λNE給予了信任，因此，都是無效的。

過去一些選擇方法用于SIL驗(yàn)證計(jì)算的商業(yè)軟件包均對(duì)λNE給予信任。例如： Exida公司于2007年出版的第三版安全設(shè)備可靠性手冊(cè)(SERH)曾將SFF計(jì)算中的λNE給予信任?，F(xiàn)在用戶計(jì)算SFF時(shí)應(yīng)注意該問題。

3.3 部分行程測(cè)試

德國萊茵TüV公司的證書在SFF的計(jì)算中對(duì)PST給予了信任： 如果PST足夠頻繁，則可以稱之為診斷。GB/T 20438—2017(IEC 61508： 2010)第二部分7.4.4.1條明確了診斷功能的頻率要求。

低要求模式下，只有當(dāng)診斷測(cè)試間隔與修復(fù)檢測(cè)出失效所用的時(shí)間之和，小于確定安全功能實(shí)現(xiàn)的SIL計(jì)算中所使用的平均恢復(fù)時(shí)間MTTR時(shí)，才能對(duì)診斷給予信任。

診斷間隔必須包含在用于計(jì)算失效概率的MTTR之內(nèi)。MTTR的影響因素見表5所列。

表5 MTTR的影響因素

如果MTTR延長(zhǎng)到以月為單位的時(shí)間段，則會(huì)導(dǎo)致SIF失效的可能性大幅增加。相同的要求同樣適用于HFT>0的高要求模式和連續(xù)模式。

在HFT=0的高要求模式和連續(xù)模式下，則允許： 診斷間隔加安全動(dòng)作響應(yīng)時(shí)間必須小于過程安全時(shí)間；診斷測(cè)試率必須比要求率至少高100倍以上。

對(duì)于流程領(lǐng)域的低要求應(yīng)用，每周或每天的自動(dòng)測(cè)試可能足夠頻繁，但通常不切實(shí)際。6個(gè)月測(cè)試也不能歸類為診斷，且無助于改善SFF。

德國萊茵TüV公司已于2016年發(fā)表過聲明，闡述如何解釋該類證書。聲明部分內(nèi)容如下：

1)對(duì)最終元件(尤其是閥門)進(jìn)行認(rèn)證，依據(jù)功能安全標(biāo)準(zhǔn)IEC 61508： 2010對(duì)某些SIL的要求，SFF是至關(guān)重要的因素。由于SFF為安全失效與可檢測(cè)出危險(xiǎn)失效之和與總失效之比，因此有必要依據(jù)所要求的SIL等級(jí)確定安全失效和可檢測(cè)出的危險(xiǎn)失效。有關(guān)安全失效更為精確的定義可參見IEC 61508： 2010。很顯然，最終元件(尤其是閥門)沒有足夠的安全失效(甚至無安全失效)，以達(dá)到SIL1以上的等級(jí)。因此，必須對(duì)最終元件采取診斷措施，以增加可測(cè)到的危險(xiǎn)失效和SFF。以下要求適用于診斷措施： 診斷措施必須為自動(dòng)在線測(cè)試；測(cè)試頻率至少比要求率高10倍；PST可以達(dá)到的最高診斷覆蓋率DC為70%；SFF檢驗(yàn)測(cè)試并非為診斷措施，因此不得用于增加SFF。

2)EN161： 2011/A3： 2013Automaticshut-offvalvesforgasburnersandgasappliances中定義了SFF的替代定義，可用作確定所需HFT的替代方法。該方法基于失效模式與影響分析(FMEA)，并考慮了“故障排除”(視同檢測(cè)到的故障)。在進(jìn)行FMEA期間，這些“故障排除”必須要證明是合理的。EN161： 2011/A3： 2013中定義的方法要求SIL 3系統(tǒng)的HFT至少為1。如果使用該替代方法估算SFF，則必須要在證書當(dāng)中聲明。

3.4 在無證據(jù)的情況下假設(shè)先驗(yàn)使用

GB/T 21109—2007(IEC 61511： 2003)第一部分11.5.3條對(duì)文件要求進(jìn)行了嚴(yán)格規(guī)定，以支持先驗(yàn)使用的聲明。但這些要求較為繁瑣，在實(shí)踐中很難達(dá)到。大多數(shù)用戶發(fā)現(xiàn)比較容易證明符合GB/T 20438—2017(IEC 61508： 2010)第二部分和/或第三部分，但需要采購獨(dú)立認(rèn)證的組件。

3.5 假設(shè)符合GB/T 20438—2017(IEC 61508： 2010)

GB/T 20438—2017(IEC 61508： 2010)第二部分7.4.9.6條要求供應(yīng)商必須為聲稱符合該標(biāo)準(zhǔn)的每種產(chǎn)品提供安全手冊(cè)，否則不能聲稱其合規(guī)。其中附件D給出了安全手冊(cè)中應(yīng)包含的詳細(xì)要求，這些要求的信息類似于支持“先驗(yàn)使用”要求的信息。

4 采用路徑2H的方案

鑒于GB/T 20438—2017(IEC 61508： 2010)路徑1H在獲取SFF時(shí)可能存在的問題，故在采用路徑1H的HFT方案解決實(shí)際問題時(shí)應(yīng)慎重。GB/T 20438—2017(IEC 61508： 2010)路徑1H和GB/T 21109—2007(IEC 61511： 2003)均基于失效率，置信度水平至少為70%。這意味著所記錄的兩次失效之間70%的時(shí)間間隔要長(zhǎng)于計(jì)算中使用的平均故障間隔時(shí)間MTBF。即計(jì)算要基于失效率λ70%，其至少要達(dá)到所記錄的失效率的70%。HFT的目的是補(bǔ)償失效率數(shù)據(jù)和假設(shè)中的不確定性。如果能夠降低不確定性，則可以減少HFT。路徑2H是基于90%的失效率的置信度水平，置信度水平如圖2示。

事實(shí)上，路徑2H的要求非常簡(jiǎn)單，如果能夠證明置信度水平，則HFT為1足可以滿足SIL 3的要求，HFT為0即可滿足SIL 2的要求。對(duì)于“A類”組件，無需考慮SFF。而“B類”組件的要求很簡(jiǎn)單，“路徑2H中使用的所有B類組件的診斷覆蓋率應(yīng)不低于60%”，置信度水平為90%的失效率比置信度水平為70%的失效率大約高0.8倍標(biāo)準(zhǔn)偏差(0.8σ)。

圖2 路徑2H置信度水平示意

IEC 61511： 2016第一部分對(duì)基于路徑2H的HFT要求進(jìn)行了詳細(xì)說明。

IEC 61511： 2016中根據(jù)SIL等級(jí)的最小HFT見表6所列，HFT為1足可以滿足SIL3等級(jí)。IEC6 1511： 2016標(biāo)準(zhǔn)中已取消90%置信度水平要求。

表6 IEC 61511： 2016根據(jù)SIL等級(jí)的最小HFT

5 數(shù)據(jù)搜集

5.1 可靠的數(shù)據(jù)來源

可靠的數(shù)據(jù)來源有兩種： 海上設(shè)備和可靠性數(shù)據(jù)庫(OREDA)，SERH。

由挪威科技工業(yè)研究院(SINTEF)發(fā)行的 OREDA提供了標(biāo)準(zhǔn)偏差和烴類加工行業(yè)中常用組件失效率的平均值，OREDA基于廣泛的現(xiàn)場(chǎng)經(jīng)驗(yàn)，盡管其應(yīng)用范圍有限。SERH由美國Exida公司出版發(fā)行，SERH中的失效率是采用失效模式及影響診斷分析(FMEDA)計(jì)算的，但基于單個(gè)組件的廣泛數(shù)據(jù)集。盡管OREDA包含一些“特定現(xiàn)場(chǎng)”的失效，且OREDA的失效率有可能是相應(yīng)SERH中失效率的2倍，但二者的結(jié)果大致上相同。

5.2 系統(tǒng)性失效的不同處理

數(shù)據(jù)來源之間存在差異的原因之一在于如何決定從數(shù)據(jù)集中采集或排除失效。閥門等非電子組件的失效通常是“系統(tǒng)性的”，但仍可以視為“準(zhǔn)隨機(jī)性”。GB/T 20438—2017(IEC 61508： 2010)和GB/T 21109—2007(IEC 61511： 2003)要求應(yīng)通過采用適當(dāng)?shù)募夹g(shù)和措施來避免或控制系統(tǒng)性失效，然而，許多系統(tǒng)性失效卻無法輕松消除。標(biāo)準(zhǔn)的目的是將這些“準(zhǔn)隨機(jī)”失效包含在失效概率計(jì)算當(dāng)中，但需要注意的是，在確定需要排除的失效時(shí)需要做出判斷。

5.3 基于供應(yīng)商反饋數(shù)據(jù)的研究

諸多已發(fā)布的SIL證書的失效率要比SERH或OREDA中的失效率低約50倍，并聲稱90%的置信度水平。3.3節(jié)給出的示例證書具有： 對(duì)于球閥的λS≈3×10-8/h，對(duì)于氣動(dòng)執(zhí)行機(jī)構(gòu)的λD≈3×10-8/h，對(duì)于組件的ΣλT≈6×10-8/h。

對(duì)于類似設(shè)備： SERH中λS≈1.4×10-6/h，OREDA中λS≈3.6×10-6/h。

請(qǐng)注意，置信度水平與給定數(shù)據(jù)集中的數(shù)據(jù)傳播有關(guān)。對(duì)于小型數(shù)據(jù)集，可以聲明90%的置信度水平，該置信度水平與測(cè)量出的失效率有效性或適用性無關(guān)。

基于供應(yīng)商反饋的研究可能會(huì)無意中將許多未報(bào)告給供應(yīng)商的失效排除在外。另外，還有可能將被視為“系統(tǒng)性”或“設(shè)計(jì)范圍之外”的失效排除在外。那些源自限制使用數(shù)據(jù)集的低失效率可能只是一種不切實(shí)際的樂觀。

5.4 最可靠的數(shù)據(jù)-用戶自己的數(shù)據(jù)

用戶使用自己數(shù)據(jù)的困難在于需要大量的運(yùn)行經(jīng)驗(yàn)。對(duì)于相當(dāng)數(shù)量的設(shè)備，也許需要數(shù)十年的經(jīng)驗(yàn)。分析失效原因與失效率同樣重要，常見的系統(tǒng)原因必須予以控制。

6 結(jié)束語

GB/T 20438—2017(IEC 61508： 2010)和GB/T 21109—2007(IEC 61511： 2003)路徑1H中的HFT方法在流程領(lǐng)域中實(shí)際上并不適用。該方法需要串聯(lián)3臺(tái)閥門(“1oo3”表決形式)才能實(shí)現(xiàn)SIL 3等級(jí)。GB/T 20438—2017(IEC 61508： 2010)路徑2H的依據(jù)是將置信度水平提高到90%。該方案只允許使用2臺(tái)閥門作為最終元件來實(shí)現(xiàn)SIL 3等級(jí)。

IEC61511： 2016采用路徑2H，但并未明確要求90%的置信度水平。OREDA和SERH提供的失效率數(shù)據(jù)被公認(rèn)為可靠。該類參考文件提供了足夠信息，故能夠以90%的置信度水平推斷失效率。國內(nèi)諸多流行的證書聲稱失效率遠(yuǎn)低于OREDA和SERH當(dāng)中的失效率。用戶應(yīng)盡可能地收集自己的數(shù)據(jù)，盡管收集證據(jù)的工作異常繁重且需要大量證據(jù)。用戶應(yīng)將不同來源的失效率經(jīng)常進(jìn)行比較和評(píng)估，以確定其合理性。

對(duì)于路徑2H而言，應(yīng)采取較為保守的方法，并考慮失效率的整體傳播性。所有的閥門失效本質(zhì)上講都是系統(tǒng)性的，因此，可以在一定程度上加以避免或控制。在評(píng)估失效率時(shí)，應(yīng)考慮計(jì)劃操作和維護(hù)的有效性。此外，還應(yīng)特別注意辨識(shí)和控制好共因失效CCF，原因是該類失效幾乎始終在計(jì)算出的失效概率中占據(jù)主導(dǎo)地位。

在確定SFF時(shí)，某些在用的證書因λNE或PST而備受贊譽(yù)，但這些證書必須謹(jǐn)慎解釋。