[发明专利]一种基于修正β因子的控制系统共因失效分析方法

说明书

技术领域

本发明属于安全控制系统技术领域，尤其涉及一种基于修正β因子的控制系统共因失效分析方法。

背景技术

2000年2月，国际电工委员会(IEC)发布了功能安全基础标准IEC61508，该标准解决了困扰业内多年的对复杂安全系统功能安全保障的理论与实践问题，在工业界引起强烈反响。之后，欧洲首先采用该标准；2003年底，美国开始采用并在一些高危行业强制实施；2006年，IEC61508对应的中国国家标准发布,编号是GB/T20438：2006，并于2007年1月1日起开始正式实施。在国际上，针对流程工业的IEC61511，针对机械领域不同应用的IEC62061、ISO13849、EN/IEC60204-1，针对核领域的IEC61513，针对铁路领域的EN50126/7/8，针对熔炉的prEN-51056，针对汽车行业的ISO26262等不同应用领域的功能安全标准陆续出台，一个以IEC61508为基础的国际功能安全标准正在形成系列。

在这些标准中明确提出对于有功能安全应用场合的产品、设备和系统必须进行功能安全评估，以确定这些产品、设备和系统能够达到的安全完整性等级(简称SIL，共分4个等级，即SIL1/2/3/4)，而在SIL评估过程中，要求时的失效率PFDavg是确定SIL的一个关键参数，在确定PFDavg过程中，对于多通道的安全控制系统(如MooN表决)，必须对共因失效因子进行分析，获得准确的共因失效因子数值(如1％，2％等)。

1、现有技术方案

就目前的研究，对于安全控制系统的共因失效主要考虑如下四点：

1)建立待分析安全系统的逻辑模型，要求对系统有一个基本的认识，需要考虑故障模式、边界条件和操作运行条件；

系统失效被认为是由两种原因产生的：随机硬件失效和系统失效；

假设前者对任何部件而言在时间上是随机发生的，并且导致系统中构成系统一部分的部件即通道的失效。在多通道系统中所有通道发生独立硬件随机失效，从而使所有通道同时处于故障状态的概率是有限的。因为，随机硬件失效被假设在时间上是随机发生的，与单通道失效概率相比，同时发生影响其它并行通道的这种失效的概率是很低的。可以使用建立好的技术计算此概率。

然而，有些失效，即由单一原因引起的共同原因失效，可影响多个通道。它们可能是一个系统故障引起的(例如：设计或规范失误)或者由一个外部应力导致一个早期的随机硬件失效引起的(例如公用冷却风扇的随机硬件失效引起的温度过高，导致部件寿命缩短或使它们不能在规定的环境下工作)或者是上述两种情况共同导致的。由于在多通道系统中，共同原因失效可能会影响多个通道，共同原因的失效的概率就可能成为多通道系统中决定总的失效概率的主要因素，并且如果不考虑这一点就不能真实地估算组合系统的安全完整性等级。

虽然共同原因失效是由单一原因导致的，但是它们不会在所有通道中同时出现。例如如果冷却风扇出了故障，多通道E/E/PE系统的所有通道都会出故障，从而导致共同原因失效。但所有通道变热的速度不同，或有相同的临界温度，因此不同通道发生失效的时间各不相同。

可编程系统的结构准许系统在线运行时执行内部诊断测试功能，可使用的实现方法很多，例如：

能够连续检查单通道PES系统内部工作并同时检查输入及输出设备的功能。如果从开头就进行有计划的设计，测试覆盖率可以达到99％。如果在导致失效之前99％的内部故障都被揭露出来了，结果单一通道故障对共同原因失效的贡献将大大减少。

除内部测试之外，PES系统中每一个通道均可监视多通道PES系统中的其它通道(或者在一个多PE系统中每一个PE设备均可监测另一个PE设备)的输出。因此，如果在一个通道中发生失效，可以通过其它一个或多个没有发生故障的通道或执行交叉监测的通道发现失效并安全的关机(值得注意的是，交叉监测只有在控制系统不断改变状态下才会有效，例如常用于循环机械中保护装置的互锁功能，或者引入短暂改变不会影响受控功能时)。交叉监测可在较高频率下进行，因此，刚好可以在发生非同步共同原因失效之前，交叉监视就能检测到因第一个通道的故障而导致的失效，并可在第二通道受到影响之前，使系统进入某种安全状态。

基于PE的系统具有防御共同原因失效的潜力，因此同其它技术相比对共同原因失效的敏感性更低。

与其它技术相比较，不同的β-系数都能适用于基于PE的系统。因此基于历史数据估算的β系数可能不适用(不存在用于估算共同原因失效概率的研究模型以供研究自动交叉监视的效应之用)。