從安全功能角度談失效模式
來源:http://www.yixingyidao.com發布時間:2019-08-14點擊次數:3158
一、失效模式分類不同的失效方式稱為失效模式。
根據設備、子系統或系統發生失效的時間將失效分為早期失效、隨機失效和老化失效;根據失效所造成的影響將安全儀表功能的失效模式分為安全失效、危險失效和無影響失效;根據引起失效的原因分為隨機硬件失效、系統性失效和共因失效;考慮設備的自診斷功能時又分為通報失效、檢測到和未檢測到的失效;考慮冗余設備構成的表決系統時又分為獨立失效和相關失效。
這里所說的失效模式為廣義的失效模式,它涵蓋了從各種角度分類的失效類別。通過分析,明確了正常壽命期內的隨機失效是可靠性定量研究的基礎;就安全相關系統來說,我們只關心危險失效和安全失效。
二、早期失效、隨機失效和老化失效對安全相關系統要求時危險失效平均概率(PFDavg)及每小時危險失效平均頻率(PFH)的計算,實際上是可靠性理論在功能安全領域的應用。
在可靠性理論中,“浴缸”(Bathtub)曲線是非常重要的對設備、模塊或元件的失效率在其整個壽命期內變化情況的一種重要的描述,如圖1所示。
圖1浴缸曲線設備在運行過程中會受到來自環境的應力,即環境對其施加的影響,如化學的、機械的、電氣的或物理的影響。
當其自身的強度不能抵抗這些應力的時候就會出現設備的失效。由圖1中可以看出設備在其壽命周期內的失效分為三個階段:最初故障期、正常壽命期和老化期。這個階段對應于三種失效方式。
(1)早期失效設備在最初故障期發生的失效為早期失效,失效率由大減小。這是因為生產出的設備中有一些存在生產缺陷,隨著它們不斷的暴露出來,失效率就逐漸下降。
(2)隨機失效在去掉具有生產缺陷的設備之后,失效率相對保持不變,進入設備的正常壽命期,在該期間,設備多發生由于工作應力引起的隨機失效。如果設備只有很少的生產缺陷,而強度又很高,那么發生隨機失效的概率將非常低。正常壽命期內的隨機失效率為常數,它是可靠性研究中所需的失效數據.
(3)老化失效隨著使用時間的增長,設備自身的強度開始下降,進入老化報廢階段,失效率也隨之逐漸上升(老化期)?梢钥闯,在最初故障期,設備具有隨時間下降的失效率;在正常壽命期,設備具有隨時間相對恒定不變的常數失效率;在老化期,設備具有隨時間增大的失效率。
“浴缸”曲線可能有幾種變形的情況。某些情況下可能不存在最初故障期,因為一些設備幾乎不存在生產測試過程未檢測到的生產缺陷,這些設備就沒有失效率降低的區域。而某些應用中,設備還未進入老化期就已經得到了更新換代,因此就沒有失效率升高的區域。
一般來講,任何設備的設計生產都應該保證設備具有正常的壽命期。有的設備在壽命期內失效率的變化并不符合“浴缸”曲線所描述的這種特征,而是其他的曲線,如“過山車”(Roll Coaster)曲線。符合這種特征的設備在其壽命期內很難找到一個失效率穩定的階段。設備的失效率是所有定量計算的基礎。然而實際應用中,針對某個具體行業或某個具體工廠,設備的失效率很可能不是常數,而是隨時間變化的早期失效率或老化失效率。
三、危險失效、安全失效和無影響失效IEC61511中把危險失效定義為那些有潛力使E/E/PE安全相關系統失去安全功能執行能力的失效。
這個定義與人們在實踐中對危險失效的理解是一致的。定義中的潛力是否存在,取決于組成E/E/PE安全相關系統的設備之間的結構關系。冗余結構的系統會減少這種導致危險狀態的潛力,因為冗余結構里1個硬件設備失效不易導致整個E/E/PE安全相關系統的失效。
IEC61511中把安全失效定義為那些沒有潛力導致E/E/PE安全相關系統失去安全功能執行能力的失效。即不屬于危險失效的都是安全失效,該定義包括了造成過程誤停車在內的多種失效。但是在實踐中,人們往往只把造成E/E/PE安全相關系統誤動作的一類失效稱為安全失效。這里對安全失效的定義是那些沒有潛力造成E/E/PE安全相關系統失去安全功能執行能力的,但是有潛力造成E/E/PE安全相關系統誤動作的失效。
設備的某些失效可能對E/E/PE安全功能無任何影響,這樣的失效定義為無影響失效,記為λNONC。它既不會降低E/E/PE安全功能的執行能力,也不會增加E/E/PE安全相關系統的誤動作,不影響E/E/PE安全相關系統的可靠性,對其進行分析沒有實際意義。但是,無影響失效會影響單個設備的安全失效分數值(Safe Failure Fraction,SFF),從而可能會影響設備的應用?偠灾,從系統角度研究無影響失效沒有意義。因此,從影響E/E/PE安全功能角度劃分設備級的失效模式如圖2所示。
圖2 設備級失效模式劃分圖實際應用中,人們不但希望E/E/PE安全相關系統是安全的,而且也希望E/E/PE安全相關系統的誤動作率越低越好,以盡量減少或避免因E/E/PE安全相關系統的誤動作對正常生產過程的影響。
可見,安全功能的誤動作率與系統的可用性及成本密切相關,因此,對E/E/PE安全相關系統誤動作率進行定量分析也很有意義。IEC61508、IEC61511關注的重點是安全性,并沒有涉及與誤動作率相關的問題。
四、隨機硬件失效、系統性失效和共因失效對于一個E/E/PE安全相關系統來說,兩種最基本的失效是物理失效和功能失效,或者說是隨機硬件失效和系統性失效。
兩者最根本的區別是:發生物理失效的設備根本不能執行功能,而發生系統性失效的設備是能夠操作的,但不能執行其預定的功能。IEC61508-4也將E/E/PE安全相關系統的失效分為隨機硬件失效和系統性失效,但該標準定義的隨機硬件失效只指由于機能退化而導致的隨機硬件失效,而不包含由于過大環境應力而導致的設備失效。但是兩年后發布的IEC61508-6使用“硬件失效”沒有“隨機”二字,而且IEC61508-6附錄D中描述共因失效可能源于設計或規范等系統錯誤或外部應力導致的隨機硬件失效,這里的隨機硬件失效的范疇與原定義不同,包含了外部應力導致的硬件失效。這里仍然沿用IEC61508-4的分類,并對系統性失效進一步分類,如圖3所示。
圖3 基于失效原因的失效分類隨機硬件失效:設備的操作條件在系統設計范圍內,僅由設備自然機能退化引起的失效。
如老化失效。系統性失效:不是由隨時間的自然機能退化引起,而是由特定原因引起的失效。這類失效一般通過修改設計或操作程序來減少。根據系統性失效產生的原因,系統性失效又進一步分為以下三類:
①過應力失效:設備承受了設計范圍外的過應力而產生的失效。這個過應力可能由外部原因引起或者由內部影響因素導致。例如過大振動對過程傳感器的損壞或者不可預見的砂塵造成的閥門失效。
②設計失效:廣義地把系統投入運行之前引入的失效稱為設計失效,包括軟件錯誤、系統說明規范的缺陷,制造缺陷或者安裝不規范帶來的失效。例如由于操作力不夠導致的閥門失效,傳感器不能區分正確或錯誤要求,火災或氣體探測器安裝位置錯誤。
③人因失效:由于人員在操作、維護和測試中的錯誤引起的失效。例如維護完后忘記拆除旁路線或者將過程傳感器的隔離閥置于關閉位置。另外在修改中安裝新的程序模塊,但邏輯控制器不能滿足所有設備的順序停車要求。
一般來講,系統性失效增加了冗余設備構成的E/E/PE安全相關系統的安全功能失效概率,例如系統的共因失效。而隨機硬件失效是一種獨立失效,一般認為其不會導致共因失效。共因失效是由于相同的原因導致一個以上的組件、模塊或者設備發生失效。這些因素可能是內在原因,也可能是外部原因。
五、通報失效、檢測到和未檢測到的失效根據設備的自診斷功能又將安全儀表功能的失效模式分為檢測到的和未檢測到的失效。
顧名思義,被設備自診斷功能檢測到的失效稱為檢測到的失效;未被設備自診斷功能檢測到的失效稱為未檢測到的失效。因此設備的自診斷能力決定了檢測到的和未檢測到的失效率。通常用診斷覆蓋率來衡量設備的自診斷能力。診斷覆蓋率表示一次失效被自診斷檢測到的概率?梢杂上旅娴墓絹肀硎荆
式中,c為診斷覆蓋率;∑λD為所有檢測到的失效率之和,這里的“D”代表“檢測到”,即Detected;∑λ為失效率總和。設備的自診斷功能可以檢測設備狀態,在設備出現失效時發出警告,使設備能夠盡快得到維修。
然而,自診斷功能不會百分之百檢測到設備危險失效,因此,設備危險失效分為檢測到的危險失效和未檢測到的危險失效,它們的失效率分別為λDD和λDU。對安全失效也可以做相似的分解。
設備的總危險失效率和總安全失效率分別為λD、λS,則有:λD=λDD+λDU (1)λS=λSD+λSU
(2)某些設備的失效會導致自診斷功能不能正常工作。把不能檢測和通報設備診斷狀態的失效稱為通報失效。通報失效有可能是被診斷設備自身的一種失效,也可能是用于自動診斷功能的另一設備的失效。
六、獨立失效和相關失效在多個設備構成的冗余結構中,往往存在獨立失效和相關失效兩種情況。
本書將由自然應力導致的單一設備的隨機硬件失效(見圖3)定義為獨立失效,即單一設備的失效不影響系統中其他相同的設備。
相關失效是指在同一時間或規定時間段內,由于系統間或單元間的空間、環境、設計、人為失誤等原因而引起的兩個或多個設備失效的狀態。其原因可分為兩大類:造成系統設備失效的原因(或環境)是相同的或非獨立的,特別是當原因(或環境)相同而系統設備的失效特性也完全相同時,將發生系統中的共因失效;獨立原因(或環境)造成的設備失效在系統中傳播,導致系統設備的傳遞失效。所以,共因失效屬于相關失效,是相關失效最主要的一種形式。所有系統性失效,如應力失效、設計相關的失效和人因失效,從根本上來說是相關失效。