如何量化常见原因故障

如果时间允许，我喜欢提前做好这些博客，并且至少每批 3 或 4 个。在这一批中，我计划讨论CCF和相关主题，因为我最近不得不复习一下这个主题，作为讨论IEC 61508-2：2010附录E（处理片上冗余）的一部分。我决定在这一批中涵盖的三个主题涉及CCF，马尔可夫建模以及为什么我认为强制要求架构不好的讨论。

如果硬件可靠性不足，则并行使用两个通道是提高可靠性的常用解决方案。ISO 13849等一些标准要求（不完全是，但足够接近）两个通道。双通道系统可靠性的限制因素是CCF（常见原因故障）。在这篇博客中，我将总结我对CCF的看法，以及如何量化常见原因故障对危险故障率的贡献。

纵观各种标准，对CCF的含义有一种普遍的共识，但也存在差异。

ISO 13849 定义规定它必须来自单个事件，但 IEC 61508 定义允许多个事件。IEC 61508还说它们必须是并发的，但这是什么意思？ISO 13849 定义似乎排除了级联故障。这两个定义都没有说明常见原因故障仅限于危险的故障。一般来说，一些定义可以做一些收紧。虽然字典对并发的定义在实践中可能说“同时”，但这可能意味着在容错时间内或需求速率的一小部分。对于单个事件，我认为量化必须包括级联故障，否则算术不会加起来。下面是一个马尔可夫模型，用于解释为什么我说如果不包括级联故障，它就不会加起来。从通道A失败到通道A&B的路径失败，失败率为λ，但如果B的故障率根据A是否已经失败而变化，则无效。因此，从属故障分析可能比常见原因分析更好地捕获意图。

图 1 - 显示具有相同冗余的系统的马尔可夫模型上的 CCF

要记住的重要一点是，我们试图描述一种情况，即您决定实施双通道系统以提高可靠性，而限制因素是常见原因故障。基于安全常识（SCS），我倾向于采取保守的方法，包括任何会导致两个通道在过程安全时间内失效的故障，无论它们是否是级联故障。

注意 - 我刚刚发明了SCS首字母缩略词。

请注意，在这两个定义中都没有提及故障是由于系统故障模式还是随机故障模式。这意味着，作为遵循良好设计过程的一部分，您将最小化系统故障模式，并且包括任何剩余系统问题的常见原因故障率与组件的随机故障率以某种方式相关。在各种量化方案中，对于常见原因故障率，有很多工程判断，并且在ISO 13849，IEC 62061，IEC 61508-2：2010附录E（半导体）和IEC 61508-6附录D表中使用。在大多数情况下，它基于“选美比赛”，您可以在设计或运行过程中实现的功能中获得积分，并根据总积分为您分配一个β因素（我稍后会回到这个问题）以允许量化 PFH（每小时危险的故障概率）。ISO 13849更像是通过/失败的测试，如果你得到65分以上，你可以假设β因素为2%。IEC 62061 根据您的分数提供从 1% 到 10% 的四个β因素级别，IEC 61508 还提供 4 个值，范围从 0.5% 到 10%。在 IEC 61508 和 IEC 62061 中，即使您什么都不做，您也会获得 10% 的β系数。在所有这些系统中，多样性会给你带来很多奖励积分，但不是必需的（多样性有时会增加复杂性，因此可能是负面的）。IEC 61508-2：2010 附录 E 半导体方法不同寻常，因为它规定了一长串最小功能，然后有一个既有正积分又有负积分的积分系统。你开始假设β因子为33%，如果你低于25%，你可以说你的HFT（硬件容错）为1。这可能很重要，因为某些标准要求高频交易为 1（请参阅即将发布的博客，了解我对此类要求的看法）。我实际上使用了IEC 61508-6：2010中的表格来根据ISO 3计算CAT 13849架构的β因子，并且通过我的一组假设令人放心，我得到了ISO 2声称的13849%的β因子。这一切都有助于对一个主要基于工程判断的系统充满信心。

到目前为止，我只是使用了术语β因素，但即使是IEC 61508也使用β，βDB集成电路和β国际.在下面讨论β因素的量化过程中，我将尝试解释每个因素的含义。要记住的重要一点是，即使CCF的定义包括安全和危险故障，功能安全也更关注危险故障。使用SFF（安全故障分数）指标是我们安全人员为数不多的关注安全故障之一。

出于数学目的，许多标准假设相同的通道，尽管有很多多样性点。

图2-β因子示意图

上图试图显示两个不同通道的β因子。在左侧，您可以看到两个没有重叠的通道，因此β因子为 0。在最右边，你可以看到蓝色通道的所有故障也是黄色通道的故障，所以β因子是0，在中间你会看到一个更典型的情况，β因子在1到<>之间。以上还表明，实际常见原因故障率对PFH的贡献由βmin（λDU1LDU2），因为CCF率不能大于λ的故障率较低的通道。

建模为可靠性框图（RBD），故障率如下所示。

图 3 - 符合 IEC 1-2：61508 的 6oo2010 架构的可靠性框图和 PFH

如果不对β因素进行建模，那么将两个系统并联，每个系统的故障率为每1000年一次，将得到一个系统每百万年一次的失败率。然而，如果对β因素进行建模，那么失败率将提高到每10万年一次到每100万年一次之间，这是一个更现实的改进。

常见原因故障也可以使用故障树分析进行建模。事实上，使用 FTA 对其进行建模是显示对β因素的所有系统贡献的好方法。在您的工具箱中拥有所有可用的建模方法并为工作选择合适的建模方法是一项经验带来的技能。

图 4 - CCF 建模的各种方法 – 马尔可夫、FTA、RBD

我将在以后的博客中介绍马尔可夫模型，马尔可夫模型在量化CCF方面也有一席之地。事实上，从上面的可靠性框图中，很难看出IEC 1中给出的2oo61508架构的PFH数字如此复杂，但在马尔可夫模型中更容易看到（至少在直观层面上）。

图 5 - IEC 61800-5-2：2007 附录 B 中的马尔可夫模型

在这个马尔可夫模型中，您可以看到，虽然模型中间显示的 CCF 将您直接从安全状态带到危险状态，但您也可以从状态 S2 和 S3 到达那里。

很难就何时使用可靠性框图与FTA或马尔可夫建模给出一般指导，但是如果您的武器库中有所有三种类型，您会感觉更好。

我答应解释标准中使用的β因子的一些变体。

IEC 61508-6 分离出检测到和未检测到的故障的β因素。 βD 是检测到的危险故障的β因素，简单β代表更重要的危险未检测到故障率。IEC 61508-6 中的许多计算都假定βD=0.5β但没有迹象表明这是从哪里来的。如果它说βD=β 它将与通常被认为是保守的 50% 安全 50% 危险近似值保持一致，很长一段时间这就是我实际上认为它的意思。

虽然理论上在具有两个以上通道的系统中，常见原因故障会影响所有通道，但IEC 61508修改了假设的β因素，使其不那么保守。IEC 61508-6 使用β国际表示基本 1oo2 系统的β因子。然后，您可以使用β国际计算任意 MooN 系统的β因子。

B集成电路是符合IEC 61508-2：2010附录E的IC β系数。没有提到是否β集成电路意在代表β或βD如上所述，保守地假设这意味着β（未检测到的危险故障的比例）。在这里保守通常不是那么糟糕，因为IC通常非常可靠，因此β*λ的还是不会那么高。

注意 – 计算β因子时不考虑软误差。

图6 - 常见原因故障的相关故障分析视图

查看常见原因故障的另一种方法如上所示。在此视图中，您具有常见原因故障启动器，但仅当通道之间存在某种耦合机制时，才会发生常见原因故障。

从以上手段降低危险的常见原因故障率包括

减少常见原因引发因素

减少常见原因耦合

降低至少一个冗余组件的故障率

审核编辑：郭婷