功能安全培训-2
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
根据IEC 61508对失效的考虑
22/06/2010
153
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
失效率λ(t)
定义: 产品工作到t时刻时,单位时间的发生故障的概率。对于电子类元器件 ,在正常工作期间,失效率为常数,与时间无关。
3
22/06/2010
SITIIAS 系统失效-避免系统失效
为避免系统失效推荐采取的措施和方法
IEC 61508-2 附录B, 表B.1-为在E/E/PES要求规范中避免错误的建议
技术/措施
见IEC61508-7
SIL1 SIL2 SIL3 SIL4
项目管理 编制文档 分离开E/E/PE安全相关系统与非安全相 关系统 结构规范 规范检查 半形式化方法 检查列表 计算机辅助规范工具 形式化方法
由随机硬件失效造成的安全相关产品失效的失效率的数据来源: ·通用数据 -- 失效率预计手册 ·具体数据 -- 现场失效数据 ·具体数据 – 试验室寿命试验数据 所有的数据来源要求置信度至少为70% 参见IEC 61508-2 第7.4.7.6
154
SITIIAS, Shanghai, China
SITIIAS
E/E/PES的硬件要求
(IEC 61508 Part 2)
22/06/2010
133
SITIIAS, Shanghai, China
SITIIAS IEC61508-2 主要内容
主要内容 ◇ 描述E/E/PE 安全相关系统的安全生命周期 ◇ 确定安全相关功能的要求,和怎样达到安全完整性等级(SIL) ◇ 计算失效概率和安全失效分数 ◇ 要求关于避免失效和控制失效的措施 ◇ 确定系统结构的要求
147
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制系统失效
运行期间控制系统失效的措施
IEC 61508-2,表A.18 ·修改保护 ·利用在线监视诊断失效 ·输入确认 ·失效断言编程
148
SITIIAS, Shanghai, China
8
22/06/2010
SITIIAS 系统失效-控制与避免系统失效
文档化的一般要求
·简明准确 ·毫不含糊 ·可核查(明确标准) ·证明要求(要求可跟踪) ·正式规范
题目、名称、日期、修订版本、历史、结构、作者、检查者、发布
149
SITIIAS, Shanghai, China
141
SITIIAS, Shanghai, China
SITIIAS 系统失效-避免系统失效
避免失效建议(SIL2和SIL3)
阶段:E/E/PES安全要求规范
结构规范(IEC 61508-7,B.2.1)
目的: 通过建立一种分层结构的部分要求来减少复杂性。为了避免各要求之间接口 失效。
描述:本技术把功能规范构建成许多部分要求,从而各部分要求之间存在最简单、 明显的关系。这种分析依次细化直到能够区别那些小而清晰的部分要求为止。最终 细化的结果是一种分层结构的部分要求,它提供了完整的要求规范的框架。这种方 法着重于各部分要求之间的接口,且对避免接口失效特别有效。
146
SITIIAS, Shanghai, China
7
22/06/2010
SITIIAS 系统失效-控制系统失效
控制由环境应力或外部影响引起的系统失效的措施
IEC 61508-2,表A.17 ·防电压击穿、电压波动、过压、低压的措施 ·分割开电力线和信息线 ·抗物理环境(如温度、湿度、水、振动、灰尘、腐蚀物)的措施 ·程序顺序监视 ·抗温升措施 ·多线路的空间分隔 ·…
SITIIAS 系统失效-避免系统失效
根据IEC 61508-2附录B,硬件方面下列阶段必须考虑避免系统失效: ·E/E/PES要求规范 ·E/E/PES设计和开发 ·E/E/PES集成 ·E/E/PES运行和维护 ·E/E/PES确认
138
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
控制失效的措施
. 措施基于SIL和选择的安全结构(单通道或多通道) . 故障模型的应用:
. 安全失效分数, Safe Failure Fraction (SFF)
134
SITIIAS, Shanghai, China
1
SITIIAS
硬件系统失效的控制与避免
22/06/2010
135
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制与避免系统失效
失效分类
故障: 使功能单元执行要求的功能的能力降低或失去其能力的异常状况。 失效: 功能单元执行一个要求功能的能力的终止。
强制 此技术或措施是所有安全完整性等级所需要的,并应尽可能有效 地使用(即给出高有效性)。
高
若使用,采用的技术和措施应在防止系统失效方面至少达到高有
效性。
中 若使用,采用的技术和措施应在防止系统失效方面至少达到中有 效性。
低 若使用,采用的技术和措施应在防止系统失效方面至少达到低有 效性。
11
SITIIAS 随机失效-失效率与故障模型
失效率预计:估算产品有效寿命期间的失效率
方法: ⑴ 分析产品结构 ⑵ 选择适合的失效率预计手册 ⑶ 确定各种环境应力条件
22/06/2010
155
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
详细的措施和方法见IEC 61508-7 附录A,随机硬件失效的控 制
143
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制系统失效
我们知道控制系统失效的方法有: 1.应用质量管理(QM)的措施以避免在产品生命周期的不同阶段 的失效。 2.根据安全完整性等级(SIL)采用相应的一些措施。
示例:失效率λ
来源: Siemens SN 29500
元器件 金属膜电阻 电容(KS,聚苯乙烯) 晶体管(双极,SOT23) 74HC逻辑单元 放大器(双极,BIFET) μC(CMOS,50K-500K个晶体管) RAM(stat. CMOS,512K-1M) Flash ROM (512K-1M)
B1.1 B1.2 B1.3 B2.1 B2.6 B2.3也见 IEC61508-3表B.7 B2.5 B2.4 B2.2
HR
HR
HR
低
低
中
HR
HR
HR
低
低
中
HR
HR
HR
低
低
中
HR
HR
HR
低
低
中
-
HR
HR
低
低
中
R
R
HR
低
低
中
R
R
R
低
低
中
-
R
R
低
低
中
-
-
R
低
低
中
HR 高 HR 高 HR 高 HR 高 HR 高 HR 高 R 高 R 高 R 高
SITIIAS
硬件随机失效的控制
150
SITIIAS, Shanghai, China
9
22/06/2010
SITIIAS 随机失效-失效率与故障模型
失效分类
故障: 使功能单元执行要求的功能的能力降低或失去其能力的异常状况。 失效: 功能单元执行一个要求功能的能力的终止。
重要度和有效性: 对于SIL2:HR/低 对于SIL3:HR/中
142
SITIIAS, Shanghai, China
5
22/06/2010
SITIIAS 系统失效-控制系统失效
控制系统失效的措施
见IEC 61508-2 附录A中表A16---表A18给出了有关技术和措 施的建议
失效
系统失效
随机失效
确定原因的失效,能通过改变设计、生产过 程、操作模式、操作指令或其他影响因 子来消除
随机时间发生的失效,不能清楚 确定引起的原因。
避免失效 控制失效
估算由于随机硬件失效造 成的每个安全功能的失 效概率
136
SITIIAS, Shanghai, China
如果制造商按要求已采取了一切手段以减少可能的失效.则产品的 设计失效或系统失效就全部消除了吗? -----仍然有残余系统失效概率发生。
144
SITIIAS, Shanghai, China
6
SITIIAS 系统失效-控制系统失效
这就是为什么要求采取一些措施和技术以控制系统故障: ·由HW和SW设计引起 ·由环境应力或外部影响引起 ·由操作引起(如人的错误)
22/06/2010
145
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制系统失效
控制由HW和SW设计引起的系统失效的措施
IEC 61508-2,表A.16 ·程序顺序监视 ·利用在线监视诊断失效 ·利用冗余硬件进行测试 ·访问端口和边界扫描结构的标准测试 ·代码保护。 ·多种硬件 ·恢复程序块 ·…
2
22/06/2010
SITIIAS 系统失效-避免系统失效
避免系统失效的措施:
IEC 61508-2 附录B中表B1---表B5是避免生命周期不同阶段 中的系统失效的建议 详细的措施和方法见IEC 61508-7 附录B 系统失效的避免
137
SITIIAS, Shanghai, China
失效率的意义: λ=1/MTTF (MTTF: Mean Time to Failure)
■与质量等级有关 失
MTBF: Mean Time Between Failure 产品从故障到修理好的平均时间为:
效
■与温度应力有关
MTTR 所以:
率 ■与电压或电流或功率有关
MTBF=MTTF+MTTR
-
-:
此技术或措施是不推荐或禁止使用的。
NR 不推荐:
此技术或措施是该安全完整性绝对不推荐的。若使用这项技术或措施 ,则应详细说明使用的理由
140
SITIIAS, Shanghai, China
4
22/06/2010
SITIIAS 系统失效-避免系统失效
措施和技术的有效性
失效
系统失效
随机失效
确定原因的失效,能通过改变设计、生产过 程、操作模式、操作指令或其他影响因 子来消除
随机时间发生的失效,不能清楚 确定引起的原因。
避免失效 控制失效
估算由于随机硬件失效造 成的每个安全功能的失 效概率
151
SITIIAS, Shanghai, China
157
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
元器件失效模式分类
元器件可由几种不同的故障模式而失效
例如: 电容
-开路 -短路 -漂移,参数改变
158
SITIIAS, Shanghai, China
13
22/06/2010
λb/ fit 0.2 1 3 3 3 100 10 40
156
SITIIAS, Shanghai, China
12
22/06/2010
SITIIAS 随机失效-失效率与故障模型
示例:失效率λ
来源: Siemens SN 29500 根据规定的工作和负载条件计算 λ=λB·πT·πQ·πU…
139
SITIIAS, Shanghai, China
SITIIAS 系统失效-避免系统失效
采用规定措施/技术的重要程度
HR 强烈推荐:
此技术或措施是为该安全完整性等级所极力推荐的。若不使用这种技 术和措施,则应详细说明不使用的理由。
R
推荐:
此技术或措施是为该安全完整性等级所推荐的。至少需要使用表中浅 灰色阴影组中的一项技术。
SITIIAS 随机失效-失效率与故障模型
根据IEC 61508划分随机故障
所有安全失效之和 λs
所有不可检测到的 危险失效之和
λDU
〔λ=fit=10-9 /h 〕
所有可检测到的 危险失效之和
λDD
152
SITIIAS, Shanghai, China
10
SITIIAS 随机失效-失效率与故障模型
22/06/2010
153
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
失效率λ(t)
定义: 产品工作到t时刻时,单位时间的发生故障的概率。对于电子类元器件 ,在正常工作期间,失效率为常数,与时间无关。
3
22/06/2010
SITIIAS 系统失效-避免系统失效
为避免系统失效推荐采取的措施和方法
IEC 61508-2 附录B, 表B.1-为在E/E/PES要求规范中避免错误的建议
技术/措施
见IEC61508-7
SIL1 SIL2 SIL3 SIL4
项目管理 编制文档 分离开E/E/PE安全相关系统与非安全相 关系统 结构规范 规范检查 半形式化方法 检查列表 计算机辅助规范工具 形式化方法
由随机硬件失效造成的安全相关产品失效的失效率的数据来源: ·通用数据 -- 失效率预计手册 ·具体数据 -- 现场失效数据 ·具体数据 – 试验室寿命试验数据 所有的数据来源要求置信度至少为70% 参见IEC 61508-2 第7.4.7.6
154
SITIIAS, Shanghai, China
SITIIAS
E/E/PES的硬件要求
(IEC 61508 Part 2)
22/06/2010
133
SITIIAS, Shanghai, China
SITIIAS IEC61508-2 主要内容
主要内容 ◇ 描述E/E/PE 安全相关系统的安全生命周期 ◇ 确定安全相关功能的要求,和怎样达到安全完整性等级(SIL) ◇ 计算失效概率和安全失效分数 ◇ 要求关于避免失效和控制失效的措施 ◇ 确定系统结构的要求
147
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制系统失效
运行期间控制系统失效的措施
IEC 61508-2,表A.18 ·修改保护 ·利用在线监视诊断失效 ·输入确认 ·失效断言编程
148
SITIIAS, Shanghai, China
8
22/06/2010
SITIIAS 系统失效-控制与避免系统失效
文档化的一般要求
·简明准确 ·毫不含糊 ·可核查(明确标准) ·证明要求(要求可跟踪) ·正式规范
题目、名称、日期、修订版本、历史、结构、作者、检查者、发布
149
SITIIAS, Shanghai, China
141
SITIIAS, Shanghai, China
SITIIAS 系统失效-避免系统失效
避免失效建议(SIL2和SIL3)
阶段:E/E/PES安全要求规范
结构规范(IEC 61508-7,B.2.1)
目的: 通过建立一种分层结构的部分要求来减少复杂性。为了避免各要求之间接口 失效。
描述:本技术把功能规范构建成许多部分要求,从而各部分要求之间存在最简单、 明显的关系。这种分析依次细化直到能够区别那些小而清晰的部分要求为止。最终 细化的结果是一种分层结构的部分要求,它提供了完整的要求规范的框架。这种方 法着重于各部分要求之间的接口,且对避免接口失效特别有效。
146
SITIIAS, Shanghai, China
7
22/06/2010
SITIIAS 系统失效-控制系统失效
控制由环境应力或外部影响引起的系统失效的措施
IEC 61508-2,表A.17 ·防电压击穿、电压波动、过压、低压的措施 ·分割开电力线和信息线 ·抗物理环境(如温度、湿度、水、振动、灰尘、腐蚀物)的措施 ·程序顺序监视 ·抗温升措施 ·多线路的空间分隔 ·…
SITIIAS 系统失效-避免系统失效
根据IEC 61508-2附录B,硬件方面下列阶段必须考虑避免系统失效: ·E/E/PES要求规范 ·E/E/PES设计和开发 ·E/E/PES集成 ·E/E/PES运行和维护 ·E/E/PES确认
138
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
控制失效的措施
. 措施基于SIL和选择的安全结构(单通道或多通道) . 故障模型的应用:
. 安全失效分数, Safe Failure Fraction (SFF)
134
SITIIAS, Shanghai, China
1
SITIIAS
硬件系统失效的控制与避免
22/06/2010
135
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制与避免系统失效
失效分类
故障: 使功能单元执行要求的功能的能力降低或失去其能力的异常状况。 失效: 功能单元执行一个要求功能的能力的终止。
强制 此技术或措施是所有安全完整性等级所需要的,并应尽可能有效 地使用(即给出高有效性)。
高
若使用,采用的技术和措施应在防止系统失效方面至少达到高有
效性。
中 若使用,采用的技术和措施应在防止系统失效方面至少达到中有 效性。
低 若使用,采用的技术和措施应在防止系统失效方面至少达到低有 效性。
11
SITIIAS 随机失效-失效率与故障模型
失效率预计:估算产品有效寿命期间的失效率
方法: ⑴ 分析产品结构 ⑵ 选择适合的失效率预计手册 ⑶ 确定各种环境应力条件
22/06/2010
155
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
详细的措施和方法见IEC 61508-7 附录A,随机硬件失效的控 制
143
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制系统失效
我们知道控制系统失效的方法有: 1.应用质量管理(QM)的措施以避免在产品生命周期的不同阶段 的失效。 2.根据安全完整性等级(SIL)采用相应的一些措施。
示例:失效率λ
来源: Siemens SN 29500
元器件 金属膜电阻 电容(KS,聚苯乙烯) 晶体管(双极,SOT23) 74HC逻辑单元 放大器(双极,BIFET) μC(CMOS,50K-500K个晶体管) RAM(stat. CMOS,512K-1M) Flash ROM (512K-1M)
B1.1 B1.2 B1.3 B2.1 B2.6 B2.3也见 IEC61508-3表B.7 B2.5 B2.4 B2.2
HR
HR
HR
低
低
中
HR
HR
HR
低
低
中
HR
HR
HR
低
低
中
HR
HR
HR
低
低
中
-
HR
HR
低
低
中
R
R
HR
低
低
中
R
R
R
低
低
中
-
R
R
低
低
中
-
-
R
低
低
中
HR 高 HR 高 HR 高 HR 高 HR 高 HR 高 R 高 R 高 R 高
SITIIAS
硬件随机失效的控制
150
SITIIAS, Shanghai, China
9
22/06/2010
SITIIAS 随机失效-失效率与故障模型
失效分类
故障: 使功能单元执行要求的功能的能力降低或失去其能力的异常状况。 失效: 功能单元执行一个要求功能的能力的终止。
重要度和有效性: 对于SIL2:HR/低 对于SIL3:HR/中
142
SITIIAS, Shanghai, China
5
22/06/2010
SITIIAS 系统失效-控制系统失效
控制系统失效的措施
见IEC 61508-2 附录A中表A16---表A18给出了有关技术和措 施的建议
失效
系统失效
随机失效
确定原因的失效,能通过改变设计、生产过 程、操作模式、操作指令或其他影响因 子来消除
随机时间发生的失效,不能清楚 确定引起的原因。
避免失效 控制失效
估算由于随机硬件失效造 成的每个安全功能的失 效概率
136
SITIIAS, Shanghai, China
如果制造商按要求已采取了一切手段以减少可能的失效.则产品的 设计失效或系统失效就全部消除了吗? -----仍然有残余系统失效概率发生。
144
SITIIAS, Shanghai, China
6
SITIIAS 系统失效-控制系统失效
这就是为什么要求采取一些措施和技术以控制系统故障: ·由HW和SW设计引起 ·由环境应力或外部影响引起 ·由操作引起(如人的错误)
22/06/2010
145
SITIIAS, Shanghai, China
SITIIAS 系统失效-控制系统失效
控制由HW和SW设计引起的系统失效的措施
IEC 61508-2,表A.16 ·程序顺序监视 ·利用在线监视诊断失效 ·利用冗余硬件进行测试 ·访问端口和边界扫描结构的标准测试 ·代码保护。 ·多种硬件 ·恢复程序块 ·…
2
22/06/2010
SITIIAS 系统失效-避免系统失效
避免系统失效的措施:
IEC 61508-2 附录B中表B1---表B5是避免生命周期不同阶段 中的系统失效的建议 详细的措施和方法见IEC 61508-7 附录B 系统失效的避免
137
SITIIAS, Shanghai, China
失效率的意义: λ=1/MTTF (MTTF: Mean Time to Failure)
■与质量等级有关 失
MTBF: Mean Time Between Failure 产品从故障到修理好的平均时间为:
效
■与温度应力有关
MTTR 所以:
率 ■与电压或电流或功率有关
MTBF=MTTF+MTTR
-
-:
此技术或措施是不推荐或禁止使用的。
NR 不推荐:
此技术或措施是该安全完整性绝对不推荐的。若使用这项技术或措施 ,则应详细说明使用的理由
140
SITIIAS, Shanghai, China
4
22/06/2010
SITIIAS 系统失效-避免系统失效
措施和技术的有效性
失效
系统失效
随机失效
确定原因的失效,能通过改变设计、生产过 程、操作模式、操作指令或其他影响因 子来消除
随机时间发生的失效,不能清楚 确定引起的原因。
避免失效 控制失效
估算由于随机硬件失效造 成的每个安全功能的失 效概率
151
SITIIAS, Shanghai, China
157
SITIIAS, Shanghai, China
SITIIAS 随机失效-失效率与故障模型
元器件失效模式分类
元器件可由几种不同的故障模式而失效
例如: 电容
-开路 -短路 -漂移,参数改变
158
SITIIAS, Shanghai, China
13
22/06/2010
λb/ fit 0.2 1 3 3 3 100 10 40
156
SITIIAS, Shanghai, China
12
22/06/2010
SITIIAS 随机失效-失效率与故障模型
示例:失效率λ
来源: Siemens SN 29500 根据规定的工作和负载条件计算 λ=λB·πT·πQ·πU…
139
SITIIAS, Shanghai, China
SITIIAS 系统失效-避免系统失效
采用规定措施/技术的重要程度
HR 强烈推荐:
此技术或措施是为该安全完整性等级所极力推荐的。若不使用这种技 术和措施,则应详细说明不使用的理由。
R
推荐:
此技术或措施是为该安全完整性等级所推荐的。至少需要使用表中浅 灰色阴影组中的一项技术。
SITIIAS 随机失效-失效率与故障模型
根据IEC 61508划分随机故障
所有安全失效之和 λs
所有不可检测到的 危险失效之和
λDU
〔λ=fit=10-9 /h 〕
所有可检测到的 危险失效之和
λDD
152
SITIIAS, Shanghai, China
10
SITIIAS 随机失效-失效率与故障模型