1、1功能安全技术与应用知识讲座第五讲安全相关系统失效控制与失效率是安全相关系统的基本理念。安全问题以概率方式存在,且往往以小概率方式存在。我们要做的是结合事件的后果,将小概率事件的概率控制在允许的范围内。 在功能安全的基本概念中,失效是指功能单元执行要求功能能力的终止,或功能单元不按要求起作用。功能单元是指能够完成规定目标的软件实体、硬件实体,或两者相结合的实体。故障是指,可能导致功能单元执行要求功能的能力降低,或丧失其能力的异常状况。人为错误即失误,会引发非期望的结果。 安全相关系统与一般系统的重要差别之一,是安全相关系统具有一个可声明的,优于安全完整性等级 1(SIL1)的安全完整性(即失效
2、控制的程度) 。因此,任何安全相关系统都必须具有失效控制机制,将失效率控制在其声明的安全完整性之内。 失效和故障中的一个概念是:引发失效的原因不论是从什么地方来,都须进行考虑和控制。 比如,对产品错误的使用,对于一般产品人们会说:“对不起,你用错了,请再看看说明书,或接受一次培训。 ”但对于安全相关系统就不行,必须对“合理可预见的误用” (由于已知的人为习惯,而导致的未按照供方预想的方式对产品、过程和服务的使用。此处采用 ISO/IEC 导则51:1999,3.14 的定义)进行分析。如果分析结果显示,其造成的失效2率与该安全相关系统所声明的失效率不匹配,则应配备相应措施,使其误用的概率降低到
3、可以接受的程度。其方法可以是强制性的培训,也可以是在说明书中强调培训的重要作用,以及如未培训则对产品免责。也可以设计一个机制,使“合理可预见的误用”不会发生(发生概率小于可接受的程度) ,如加锁和加密以防止误用,或设计一个类似误用提示确认的机制,即便发生了“合理可预见的误用”也不会导致失效,比如误用提示确认。换个角度说,使用的过程,应被看作是安全相关系统的必要组成部分。 再比如,产品如需水、电、气等的供给,如果供给中断,则产品会失效,对于一般产品,人们会认为这是供给的问题,而不是产品本身失效。但对于安全相关系统,则必须分析供给中断的可能性与安全相关系统声明的安全完整性是否配备,否则应采取措施,
4、使供给中断的概率降低到可接受的程度。换个角度说,供给应被看作是安全相关系统的必要组成部分。 另外,还须考虑外部事件,如雷击、电磁兼容性(EMC) 、地震等。对于外部事件,一般要考虑其频率和强度,如抗拒 7 级、8 级或 9 级地震,要根据风险要求来定。这里存在一个取舍问题,抗拒的等级越高当然越安全,但费用可能会不成比例大幅增加。如将抗拒 9 级地震的等级降低到 8 级,费用会节省,但也意味着要承受相应的小概率、大强度的风险。日本福岛核电站事故就是一个典型的例子。换个角度说,对外部事件的抗击能力,应被看作是安全相关系统的必要组成部分。有必要强调的是,抗击能力的选择是一个取舍问题,如何取舍,应按照
5、国家法律法规进行,3或在社会上取得共识(如用标准的方式规定) 。 人为破坏也是要考虑的方面。对于人为破坏的防护,主战场还是人与人的较量,在此处,功能安全的角色作用是提供措施保障,使敌方人为破坏的难度增加或提高我方防御的能力。 总之,考虑安全相关系统的失效控制思路,是一个内化倾向的问题,有点像修行,不见人过,只见己非。自身失效一定要控制在允许水平,外部问题也应当作自身问题来控制,而且也须控制在允许水平以下。 失效控制大致要考虑以下方面:一般意义上的内部问题,包括安全相关系统的自身随机硬件失效和系统性失效;一般意义上的外部问题,包括使用的错误、供给出现的问题、服务上出现的问题等;外部事件的防护问题
6、,包括自然的外部事件(如地震、雷击、下雨等) ;人为非故意的外部问题(如停电、EMC、飞机失事等) 、人为破坏的问题等。 以上方面,对于等级高的安全相关系统,如安全完整性等级3、4(SIL3、SIL4) ,或面对极大的风险时,在考虑后,可能需要增加一系列附加的措施;对于低等级的安全相关系统或面对小的风险,在考虑后,可能无需增加太多的措施。但一定是在考虑评估后作出结论。 上述的各类问题,都是安全相关系统必须面对和解决的,但由于问题不同,解决的思想方法也不同。 以下即是针对不同问题,予以解决的基本思想方法,目的是控制失效。需说明的是,此处仅是方法论,具体做法和要求,会在后面结合安全生命周期来介绍。
7、在介绍方法论之前,须先了解有关失效率的理念。 失效率(引用“IEC61508”的术语)是指:一个实体(单个元器件4或系统)的可靠性参数(t) ) ,即 (t).dt 表示该实体在0,t之间未发生失效情况下,在t, t+dt内发生失效的概率。用略为通俗的话说,所谓失效率是指工作到某一时刻尚未失效的产品,在该时刻后,单位时间内发生失效的概率。一般用符号 表示, 因为失效率是时间t 的函数,所以也可表示为 (t) ,称为失效率函数,有时也称为故障率函数或风险函数。在极值理论中,失效率称为“强度函数” ;在经济学中,称它的倒数为“密尔(Mill)率” ;在人寿保险事故中,称它为“死亡率强度” 。 产品
8、的失效率随时间而变化的规律,可用失效率曲线表示,有时形象地称为浴盆曲线。见图 1。 失效率随时间变化可分为 3 个阶段。 早期失效期:失效率为递减型。此阶段是产品使用的早期,失效率较高而下降很快。失效主要是由于设计、制造、贮存、运输等形成的缺陷,以及调试、跑合、起动不当等人为因素所造成。使产品失效率达到偶然失效期的时间(t0)称为交付使用点。 偶然失效期:失效率为恒定型。在此阶段,失效主要由非预期的过载、误操作、意外的天灾及一些尚不清楚的偶然因素所造成。由于失效原因多属偶然,故称为偶然失效期。偶然失效期是能有效工作的时期,这段时间称为有效寿命。为降低偶然失效期的失效率而增长有效寿命,应注意提高
9、产品的质量,精心使用维护。 耗损失效期:失效率是递增型。在此阶段,失效率上升较快,失效主要原因是由于产品老化、疲劳、磨损、蠕变、腐蚀等,是耗损的原因5所引起的,故称为耗损失效期。针对耗损失效的原因,应注意检查、监控、预测耗损开始的时间,可使用维修、维护、更换配件等方法,使失效率不上升,尽可能延长偶然失效期。当然,如修复花费很大,与效果相比较不合算,则不如报废更为经济。 理论上,我们只使用产品的偶然失效期。一般用加快老化的办法,使产品度过早期失效期后才交付用户使用;用维护维修等方法,延长产品的偶然失效期;用到期报废的办法,避免使用产品的耗损失效期。 数学上, (t) 是每单位时间 t, t+dt
10、 上失效的条件概率,其与可靠性函数(即 0 到 t 内未发生失效的概率)密切相关,可由公式表示:R(t) =exp (-()d。反之可由可靠性函数表示: ()= - dR(t)/dt1/R(t) 。 失效率及其不确定度可用传统的统计学由现场反馈数据估算,在有效生命期间(即老化后至报废前)一个简单项的失效率几乎等于常量,即 (t) 。 在给定区间0, T内 (t)的平均值, ,不是失效率,因为平均值不能用于计算 R(t) ,但可解释为在这一期间失效的平均频率(即 PFH,见下面的说明) 。 串联项的失效率是每一个项失效率的和。 冗余系统的失效率一般不是一个常量。不过,当所有失效能很快被发现,而且是独立的,并能被很快修复,(t)就会很快的收敛于一个近似值 as,as 即相当于系统失效率。与上面所说的平均失效率不同,平均失效率不需收敛于近似值。 6失效率是一个重要概念,但比较专业,并不要求读者都必须掌握。但要求读者了解并掌握的是我们所面对的安全问题是概率问题,不能简单的用绝对有或绝对没有来理解。安全问题是以概率方式存在的,且往往以小概率方式存在。我们要做的是,将这个小概率事件的概率控制在允许的范围内。 编辑 边安
