满足功能安全必须满足两类要求:
●安全功能;
●安全完整性。
安全功能要求包括诸如运行频率、所需的响应时间、运行模式、工作周期、运行环境与故障反应等功能。安全完整性要求由SIL(安全完整性等级)表示。由危险分析可推导出安全的功能要求(即该安全功能的目的),由风险评估得出安全完整性要求(即安全功能顺利执行的可能性)。根据系统的复杂程度确定系统是否满足所需的SIL级别时,必须考虑表8-5中列出的一些或者全部要素。
表8-5 SIL的考虑要素
一旦知道具体概率,就能根据表8-6确定系统达到哪级SIL。
表8-6 确定系统的SIL级别
另外,安全系统可分为多个子系统。硬件安全完整性等级可由硬件的故障承受能力(HFT)和子系统的安全失效分数(SFF)确定。硬件的故障承受力即系统在故障情况下完成其功能的能力,是指某个子系统在造成危险性失效前能够承受的故障数量,故障承受力为零表示出现单一故障时系统不能执行其功能。安全失效分数属于总失效率中不会造成危险性失效情况的那部分。这两部分组合后便是结构性限制(SILCL),由子系统组合而成的系统,其安全完整性等级只能低于或者等于任何子系统的最低SIL要求限制。安全失效分数和硬件的故障承受力之间的关系见表8-7。
表8-7 安全失效分数和硬件的故障承受力之间的关系
例如,由上表知,无论危险性失效的概率有多大,具有单一故障承受力且安全失效分数为75%的结构,其安全完整性等级超过SIL2。
为了计算危险性失效的概率,必须将每个安全功能分解成多个功能块,然后按照安全标准设计子系统以实现这些功能。如果能确定每个子系统的危险性是小概率,知道其结构性限制(SILCL),那么通过将各个子系统的失效概率相加就能够很容易地算出总系统的失效概率。这种方法如图8-14所示。
图8-14 计算危险性失效概率的方法
例如,如果需要达到SIL 2级,则每个系统的SIL要求极限值SIL CL至少为SIL2,系统的PFHD总值不得超过“SIL危险性失效概率”表(表8-2、表8-3)中的允许值。
下面给出计算不同结构子系统的失效率的计算公式。
在IEC/EN 62061标准中术语“子系统”具有特殊的含义,是一个系统分为多个部分,后一级再分部分,并且如果这些再分部分失效,将会导致安全功能失效。所以,如果两个冗余型开关用于一个系统中,则任何一个开关都不能作为一个子系统,子系统应由两个开关及其相关的故障诊断功能(如有)组成。
IEC/EN 62061标准给出了4个子系统逻辑结构以及估算低复杂性子系统达到PFHD时可能用到的公式。这些结构是单纯的逻辑表示法,不应视作实际结构。这4个子系统逻辑结构以及伴随公式下面将一一介绍。
1)对于图8-15所示的基本型子系统而言,仅需把各个危险性失效概率简单相加即可。
图8-15 基本型子系统失效概率计算(www.xing528.com)
λDssA=λDe1+...+λDen
PFHDssA=λDssA×1h
λ表示失效率,单位为失效数量/h;λD下标D表示危险性失效率,λDssA下标DssA表示子系统A的危险失效率,即单独元件失效率e1、e2、e3、…en之和。危险性失效概率乘以1得到1h内危险性失效的概率。
2)图8-16所示为无诊断功能的单故障承受系统,其中,常见失效原因(CCF)是指由单个原因造成多个故障,导致危险性失效。
图8-16 无诊断功能的单故障承受系统
这种结构采用的公式考虑了子系统元件并联布置的情况,增加两个要素:
β—对常见原因失效的敏感性。
T1—验证试验时间间隔或者使用期限,选其中时间较短的,验证试验用于探测子系统的故障、性能降低情况,以使子系统恢复到运行状态。
3)图8-17所示为具有诊断功能的零故障承受系统。诊断范围是探测到的危险性失效率与所有危险性失效率之比,计算诊断范围时不考虑安全失效的类型或者数量,诊断范围仅用探测到的危险性失效数量的百分值表示。
上述公式中包含了每个子系统的诊断范围—DC,诊断范围是探测到的危险性失效数量与所有的危险性失效数量的比值,诊断范围的值在0与1之间。
4)图8-18所示的子系统能够承受单故障,具有诊断功能。考虑单故障承受系统时,必须考虑潜在的“常见失效原因”情况。
图8-17 具有诊断功能的零故障承受系统
图8-18 能够承受单故障具有诊断功能的子系统
如果子系统的各个要素相同,那么可用以下公式:
如果子系统的各个要素不同,那么可用以下公式:
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
