可靠性系列讲座-18.pdf

23续附表1正态分布函数表u0.00 0.01 0.02 0.03 0.04 0.05 0.06 0.07 0.08 0.09安全控制技术15仪器仪表标准化与计量2009 . 6【摘 要】【关键词】Abstract: In safety instrumented systems, the common cause failures which occur between redundant parts within each layer between safety layers or between safety layers and the BPCS may make the potential degrade of the effective protection higher and then affect the safety and the reliability of a system. The paper describes the defi nition, causes, analytical approach and the quantitative methods given in the standard, and also discusses how to reduce probability of common cause failure.Key words: SIS Common Cause Failure Redundancy在安全仪表系统中，保护层的冗余部分之间、保护层之间、保护层和BPCS之间的共同原因失效（亦称共因失效）都会引起有效保护潜在的降低，从而影响系统的安全性与可靠性。

本文阐述了共因失效的定义、产生原因、分析方法、标准中的量化方法以及降低其概率的措施安全仪表系统 共因失效 冗余[编者按] 本刊在2007～2008的两年间，在“安全控制技术”栏目共安排了12讲功能安全技术讲座，系统介绍了功能安全的基本概念、方法与技术，并针对读者关心的一些问题进行了分析，得到广大读者的广泛关注与积极回应2009年，该讲座还将继续进行，主题将集中在安全相关子系统的功能安全评估与认证技术上本讲主讲人是刘瑶工程师第十八讲 安全仪表系统中的共因失效Chapter 18: The Common Cause Failure in the Safety Instrumented System刘瑶（机械工业仪器仪表综合技术经济研究所，北京市 100055）Liu Yao(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)主讲人简介：刘瑶，女，工学学士，机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师，参与功能安全标准IEC 61508（GB/T 20438）及IEC 61511（GB/T 21109）技术与应用研究、宣传和推广，功能安全HAZOP+SIL工程项目技术辅助与支持。

安全仪表系统（SIS）是指用来实现一个或几个仪表安全功能的仪表系统，它包括从传感器到最终元件的所有部件和子系统目前SIS正广泛应用于石油、化工、电力等过程工业领域，用以监测生产过程中的安全参量，以便在出现危险时及时采取有效措施从而防止人身伤害、经济损失及环境影响根据GB 21109（IEC 61511），SIS的其中一项设计要求就是识别和考虑共因失效在给保护层分配安全功能时，Control Tech of Safety & Security16仪器仪表标准化与计量2009 . 6生地震，结果两元件都失效了导致此次共因失效的客观原因就是环境因素——地震，内部原因则是元件本身的抗震性能不够例二，某输油站场中，出站处高压报警、高压泄压、压力高高连锁保护停泵等保护措施共用一个压力变送器一旦压力变送器发生故障，上述三层保护会同时失效，这就产生了共因失效，如果此时管内石油压力过高则是相当危险的其根本原因就是保护层之间不独立，取压点未分开单独设立例三，为确保阀门关断时能切断管内流质，在管道中串联安装了两个阀门设计时这两个阀门均为带电跳闸若此设备附近发生火灾，则安全监控系统一旦检测到这一情况后即给两个阀门上电，但是由于两个阀门的电缆都铺设在同样的电缆槽上，而这个电缆槽恰恰就在火灾区域，其后果是电缆被毁坏，两个阀门都不能关闭。

造成此次共因失效的根本原因是冗余电缆的物理位置相同，外部因素是火灾，内部因素则是设计缺陷例四，检修人员打开控制机柜门检查工作状态，此时，对讲机传来另一处需要紧急检修的信息，他回应“马上到”由于机柜中容错系统的两个处理器安装在同一机架中，这时它们受到同样的电磁干扰因而发生故障这两个处理器是安全仪表系统的一部分，这就导致一个主要的过程单元立刻停止工作究其产生原因就是机柜门打开、对讲机传来的无线电信息产生电磁干扰上面的几则示例分别从环境因素、设计缺陷、电磁干扰等方面说明了共因失效的产生原因3 共因失效的分析方法根据GB20438（IEC 61508），共因失效的分析方法是：通用的质量控制；设计复审；由一个独立小组进行的验证和测试；根据类似系统反馈的经验分析实际的意外事故然而此分析范围超出了硬件范围即使在一个冗余系统的各通道中使用软件多样化，还是有可能在软件方法中存在一些共性，他们将引起共因失效，例如共用的规范中的错误当共因失效不是严格地在同一时间内发生时，可以借助多通道之间的比较方法采取预防措施采用这种比较方法可以在失效成为所有通道共有失效之前检测出来一般情况下，实际分析过程中，共因失效分析可分以下四个步骤进行： 1 )建立系统逻辑模型 要求对系统有一个基本的认识。

需要考虑故障模式、边界条件和逻辑模型等 2 )识别共因事件组 共因失效、共同模式失效和相关失效也是需要考虑的内容下面将详细介绍共因失效1 共因失效的定义共同原因失效（common cause failure）是指由一个或多个事件引起一个多通道系统中的两个或多个分离通道失效，从而导致系统失效的一种失效它是一种相关失效相对应的，在GB 21109（IEC 61511）中，还有一个词即共同模式失效（common mode failure）与它相似但不完全相同，共同模式失效是指两个或多个通道以同样的方式引起相同的误差结果的失效在此特别提请注意的是，共因失效是指多个通道失效的原因（即引发事件）相同，但它们造成的误差结果未必相同；而共模失效是说多个通道失效的方式相同，而且引起的结果亦相同 各个通道失效与共因失效的关系见图1所示图1 各个通道失效与共因失效的关系2 共因失效的产生由定义可看出，共因失效发生在多通道系统中，如冗余、多数表决不同的设备、模块、组件都可能产生共因失效增加冗余可以提高系统的故障裕度，避免随机硬件失效，因此它是降低系统失效可能性的一种有效方法，但是人们常常发现冗余系统的一些可靠性指标如PFD、MTTF却比理论值低，经研究发现这是由共因失效导致的[4]，它削弱了冗余的作用。

共因失效产生的原因可能是环境因素，如火、水、地震、电磁干扰、撞击等同时，系统也可能受与操作和维护有关的意外事故的影响，如运行期间的组态错误或错误指令、人为的误开/关行为，维护期间的升级错误和安装错误、维修程序错误、校准错误以及更换设备错误等，它们都可能对冗余系统内的多个部件造成影响通常，冗余系统的所有部分都使用同一个程序，这就存在发生共因失效的潜在可能性对此最根本的解决办法是，为操作和维护编写严格合理的规程并使相关人员得到良好的培训内部影响也是共因失效的一个主要原因，例如相同部件以及它们的接口的设计缺陷，或者部分部件的老化事实上，很多共因失效都是内外部因素共同作用的结果以下是几个共因失效的示例：例一，某个冗余系统中，为保证可靠性使用了两个元件使它们同时起作用，但系统所处环境忽然发安全控制技术17仪器仪表标准化与计量2009 . 6对所有可能发生共因失效的系统单元进行检查考察外部因素与内部影响，进一步确定共因失效建模的先后次序3 )共因建模和数据分析 利用经验数据选择所要使用的共因失效模型、最小割集和参数估计等 4 )系统量化和结果的进一步解释 确定系统失效的可能性和共因失效对最终结果的影响。

主要包括敏感性分析和备选后续措施的选择等4 共因失效的量化方法在GB 20438（IEC 61508）中介绍了一种在E/E/PE系统中量化共因失效的方法在两个或多个系统并行操作时，采用一个共因失效因子β根据其中一个系统的随即硬件失效估算共因失效率此方法的应用范围局限于硬件的共因失效方法如下：考虑在多通道系统中的每一个通道中执行诊断测试时，共因失效对该系统的效应在应用β系数模型时，危险的共因失效的概率为λDβ其中λD为各通道随机硬件危险失效的概率，β为无诊断测试时的β系数，也就是影响所有通道的单一通道的失效分数假设共因失效影响所有通道，并且与连续共因失效的时间间隔相比，第一个通道被影响到所有通道被影响之间的时间间隔较小假设每一个通道中均执行诊断测试来检测和揭露一部分失效，则可将所有失效分为两大类：一类是在诊断测试覆盖范围之外的（不可能被检测到的），另一类是在诊断测试覆盖范围之内的（总可以被检测到的）则危险共因失效引起的总失效概率为：λDUβ+λDDβD式中：λDU—单一通道中未检测到的失效概率，即诊断测试覆盖范围之外的失效概率β—不可能检测到的危险故障的共因失效系数，它等于在没有诊断测试时应用的总β系数。

λDD—检测到单一通道的失效概率，即在诊断测试范围内单一通道的失效概率；此时，如果诊断测试的重复率高，则有一部分失效将被揭露出来，从而导致β即βD减小βD—可检测到危险故障的共因失效系数当诊断测试的重复率提高时，βD的值越来越小，并下降到 β之下 β、βD均可从表4中获得：β计算公式为S=X+Y； βD计算公式为 SD=X(Z+1)+YX、Y的确定方法如下：用户需确定系统中为避免共因失效应使用哪些措施，然后根据表1分别求出每个逻辑子系统的XLS之和、YLS之和，以及传感器和最终元件的XSF 之和、YSF之和，求出它们的总和就可分别得出X、YZ的值由表2、表3获得5 如何降低共因失效概率 降低共因失效的方法主要有以下三类：a）减少随机硬件失效和系统失效的总数（即减少图1中两圆重合的部分）表1 可编程电子或传感器和最终元件的评分[1]项目逻辑子系统传感器和最终元件XLSYLSXSFYSF分离/隔开在所有位置，各通道的全部信号电缆布线是否都已分隔开？1.51.51.02.0逻辑子系统的所有通道的印刷电路板是否是单独的？3.01.0逻辑子系统通道是否在各自的框架中？2.50.5如果传感器/最终元件拥有专用的控制电子电路，那么每个通道的电子电路是否分别位于各自的印刷电路板上？2.51.5如果传感器/最终元件拥有专用的控制电子电路，那么每个通道的电子电路是否分别位于室内各自的控制台内？2.50.5多样性与冗余各通道是否使用不同的电子技术？例如使用一个电子电路、可编程电子及其他继电器。

7.0各通道是否使用不同的电子技术？例如使用一个电子电路或其他可编程电子5.0各传感器件是否使用不同的物理原理？例如压力、温度叶片式风速计及多普勒变换器等7.5设备是否使用不同的电原理/设计方案？例如数字或模拟、不同的制造商（不重复标记）或不同的技术5.5通道是否使用具有增强冗余的MooN结构？其中N>M+22.00.52.00.5是否使用低多样性方法？例如使用同样的技术进行硬件诊断测试2.01.0是否使用中等多样性方法？例如使用不同的技术进行硬件诊断测试3.01.5在设计活动中设计者在设计通道时相互间是否不进行交流？1.01.0在试运行期间，每个通道是否使用不同人员和不同测试方法？1.00.51.01.0在不同时间，由不同人员对每个通道是否进行维护？2.52.5Control Tech of Safety & Security18仪器仪表标准化与计量2009 . 6复杂性/设计/应用/老化/经验通道之间的交叉连接是否能排除任何信息交换，除非用于诊断测试或表决目的？0.50.50.50.5设计时使用的技术，是否是基于在现场已成功使用5年或5年以上的设备中所采用的技术？0.51.01.01.0在相似的环境中使用相同的硬件的经验是否已超过5年？1.01.51.51.5系统是否简单？如每个通道的输入/输出不大于101.0输入和输出是否具有可能级别的过压和过留的保护？1.50.51.50.5所有设备/部件是否经过适当的定额（例如，不小于2）？2.02.0评估/分析及数据反馈为建立共因失效源的失效模式、效果分析或故障树分析的结果是否已经通过测验，并且通过设计是否已消除了事先确定了的共因失效源？3.03.0设计复审过程中，所考虑的共因失效的结果是否被反馈回设计中去了？（要求设计复审中的文档证据）3.03.0对现场失效的所有分析是否均反馈到设计中去了？（要求规程的文档证据）0.53.50.53.5规程/人工接口是否存在一种已书写的工作系统可以用来确保检测到的所有失效（或老化）被记录？是否存在所建立的根本原因和用于检查类似潜在的失效原因的其他类似项目？1.50.51.5为保证独立通道中任一部分的维护（包括调节和校准）已升级，并且除在维护后执行手动检查外，在完成一个通道的维护与另一个通道开始进行维护之间允许满意地运行诊断测试的规程是否就位？1.50.52.01.0文档化的维护规程是否规定了冗余系统中所有部分（如电缆线等）之间是相互独立的，并不需重新定位？0.50.50.50.5是否所有印刷电路板等的维护均需在质量维修中心工场外之行，而且是否所有修复项目均通过了预装测试？0.51.00.51.5系统是否为低诊断覆盖率（60%~90%）？并且是否对现场可置换模块层提供失效报告？0.5系统是否为中诊断覆盖率（90%~99%）？并且是否对现场可置换模块层提供失效报告？1.51.0系统是否为高诊断覆盖率（>99%）？并且是否对现场可置换模块层提供失效报告？2.51.5系统的诊断测试是否对现场可置换模块层提供了报告？1.01.0能力/培训/安全素养设计人员是否经过培训（使用培训文档），从而懂得了共因失效的原因及后果？2.03.02.03.0维护人员是否经过培训（使用培训文档），从而懂得了共因失效的原因及后果？0.54.50.54.5环境的控制人员的进出是否有限制（如上锁的机柜与不准接近的位置）？0.52.50.52.5在无外部环境控制的情况下，系统是否总能在已经测试过的一定温度、湿度、腐蚀度、尘埃、振动等范围内工作？3.01.03.01.0信号和电源电缆在所有位置是否是隔离开的2.01.02.01.0环境测试系统对所有有关环境的影响（如EMC、温度、振动冲击温度等）的抗干扰性是否达到被认可的标准中规定的水平？10.010.010.010.0注1：在设计阶段很难预测到与系统工作相关的许多项目。

对于这些情况，设计者需要做出合理的假设，随后应保证系统最终用户能了解注2：X、Y列的只是根据工程判断得出的，并且考虑到了第1列中各项直接与间接的影响表2 Z的值：可编程电子[1]诊断覆盖率诊断测试间隔小于1 min1 min ~ 5 min大于5 min≥99%2.01.00≥90%1.50.50≥60%1.000表3 Z的值：传感器或最终元件[1]诊断覆盖率诊断测试间隔小于2 h2 h～2 d 2 d～7 d7 d≥99%2.01.51.00≥90%1.51.00.50≥60%1.00.500注1：如果统一采用表1中的分类目录，则此方法是最有效的，因此极力推荐每类X、Y列中的总分不能小于X、Y总和的1/20注2：如果传感器或最终元件是以PE为基础的，当把它们作为构成逻辑子系统的主要部分的设备，安放在同一建筑物（或车辆）内时，则被视为逻辑子系统的一部分否则应被视为传感器或最终元件注3：对于使用非零Z值，应确保在非同步共因失效影响所有通道之前受控设备进入安全状态同时保证安全状态的持续时间小于所声明的诊断测试时间间隔非零Z值仅在下列情况下才可被使用：——检测到故障时，系统启动自动关机；或——在第一次故障后，并不启动安全关机，而诊断测试能确定故障位置，或发现任何后续故障时继续将EUC置于安全状态；或（下转第36页）36仪器仪表标准化与计量2009 . 6Industrial Control Network在一个应用循环中，由应用来刷新BUF中的数据，保障所有输入数据是最新的数据，而SPC3在接受到由PROFIBUS主站传送的不同输出数据时，会产生输出标志，CPU通过在应用循环中轮循标志来进行接受主站数据。

4 从站的调试所开发的从站，必须与一个PROFIBUS-DP的主站进行联接调试，为此以带有CP5611通讯卡和安装有STEP7软件的PC机作为主站，对从站的GSD文件进行配置和保存，并设置从站的地址、波特率等信息，然后模拟主站测试从站的通信可靠性和实用性5 总结PROFIBUS作为一种过程控制总线得到广泛的应用，它低成本地实现了设备级控制系统与其他分散式设备间的通信，具有突出的抗干扰性和规范性，便于设备接入本文提出的基于PROFIBUS-DP的从站系统设计，使具有RS232串口设备能够连接到PROFIBUS-DP网络，实现了设备的网络功能，对开发与应用PROFIBUS产品有现实意义参考文献[1] 王永华. 现场总线技术及应用教程[M]. 北京：机械工业出版社，2006[2] 阳宪惠. 现场总线技术及其应用[M]. 北京：清华大学出版社，1999[3] 胡汉生. 单片机原理及应用技术[M]. 哈尔滨：哈尔滨大学出版社，1995[4] 米歇尔，福尔茨. 现场总线PROFIBUS技术手册[Z].1998[5] 张永德，徐秀杰. 从RS232到PROFIBUS-DP的转换接口设计[J].自动化仪表，2004，25（11）：31～34 □b）使通道最大程度地独立（减少图1中两圆重合的部分，但维持两圆各自原来的面积）。

c）仅有一个通道受到影响，诊断测试能在下一个通道被影响之前把共因失效揭露出来在控制系统的设计过程中，设计者必须认识到共因失效会严重降低系统的安全性这个问题，应采取具体的解决方法来消除共因失效共因失效的防范可以归纳为以下三个基本原则：（1）冗余单元的物理间隔 如果将冗余设备物理隔离，那么控制系统就能较强地抵御环境造成的共因失效在软件中，异步操作可以减少共因失效，应避免处理器间的同步机制另外，在冗余处理器单元中使用不同的操作模式也可减少共因失效的概率2）多样化冗余对冗余部件使用不同的设计，或者使用不同制造商的产品可以减少共因失效3）增强组件可靠性降低系统复杂性，减少设备的失效率是有效降低共因失效的一个途径此外，复杂的操作尽可能自动完成，在操作和维护时都使用安全可靠的技术，也是很有效的方法6 结束语在安全仪表系统中，每个保护层的冗余部分之间、保护层之间、保护层和BPCS之间的共因失效都会引起有效保护的潜在降低，从而影响系统的安全性与可靠性因此，系统设计者应在设计过程中充分考虑共因失效因素，采取适当措施降低其出现的概率共因失效的量化本文中只介绍了标准中给出的一种方法，近年来，很多业内专家进行了深入研究并提出了很多值得借鉴的新方法。

参考文献[1] GB/T 20438-2006，电气/电子/可编程电子安全相关系统的功能安全[2] GB/T 21109-2007，过程工业领域安全仪表系统的功能安全[3]阳宪惠，郭海涛. 安全仪表系统的功能安全. 清华大学出版社，2007[4]William M. Goble 著，白焰，董玲等译.控制系统的安全评估与可靠性. 中国电力出版社，2008[5]刘春雷，任立明. 航天产品共因失效分析流程. 质量与可靠性，2005 □——为了保证在声明的诊断测试间隔中，充分调查已揭露出的任何故障的起因，一个正式的工作系统已安装到位；并且如果故障可能导致共因失效，应立即关闭设备，或在声明的诊断测试间隔中修复了有故障的通道表4 β和βD的计算[1]得分（S 或 SD） β和βD的相应值逻辑子系统传感器或最终元件不小于1200.5%1%70～1201%2%45～702%5%小于455%10%注1：表中所示的βD最大水平比平常使用中低；注2：逻辑子系统中小于0.5%的βD，传感器中小于1%的βD的合理性是很难证明的上接第18页）。