IEC61508-2010-6 公式解释

功能安全相关、IEC61508-2010

IEC61508-2010-6 公式解释

张屹2012年3月21日

摘要

明晰了IEC61508计算PFD和PFH需要的基本概念，包括低要求和高要求模式、失效的分类、以及PFD和PFH的定义。给出了IEC61508计算PFD和PFH的基本原理，解释了公式的导出过程，从而能够更精确的进行相关计算，尤其是符合实际中的各种假设和应用条件，最终保证计算结果的正确性。

关键字：功能安全、IEC61508、PFD、PFH

1 引言

IEC61508-2010-6（后称61508）给出计算PFD和PFH的公式，但是实际评价系统安全性指标很难直接应用这些公式。61508只对1oo1、1oo2、2oo2、1oo2D、2oo3、1oo3共6种结构的PFDavg和PFH给出计算公式，不能覆盖所有安全相关系统的所有结构。另外61508对公式本质，即推导过程没有给出详尽的描述，尤其是各种假设和应用条件与公式的密切联系没有体现出来，因此直接应用这些公式很可能导致错误的结果。所以有必要对61508各个公式进行详细的解释，有助于61508中的公式更好的投入实际应用中。

2 基本概念解释

2.1 低要求（Low demand）模式、高要求（High demand）模式、连续（Continuous）

模式

“要求”是受控设备（EUC：Equipment Under Control）对安全相关系统（Safety Related System）提出的要求。当EUC将要发生危险即是对安全相关系统提出了要求，要求安全相关系统执行安全功能。例如锅炉的压力超过了最高门限，锅炉即对安全仪表系统（SIS：Safety Instrumented System）提出要求，要求SIS打开减压阀门；又例如列车速度超过最高门限，列车即对自动超速防护系统（ATP：Automatic Train Protection）提出要求，要求ATP对列车实施制动。

低要求模式、高要求模式和连续模式的不同是与“要求”的频率（或时间间隔）有关。61508中给出的定义是：

低要求模式：为了使EUC进入规定的安全状态，安全功能是根据“要求”被执行的，而且“要求”的频率小于每年一次；

高要求模式：为了使EUC进入规定的安全状态，安全功能是根据“要求”被执行的，而且“要求”的频率大于每年一次；

连续模式：安全功能是作为正常运行的一部分，从而使EUC保持在安全状态。

2.2 失效分类

根据失效后果，失效可以分为安全失效（例如失效后减压阀门开放）和危险失效（例如失效后减压阀门关闭）。

根据失效是否被系统的在线诊断程序检测到，失效可以分为检测到失效和未检测到失效。

上述两种分类方式能够得到共四类失效类型：安全可测（SD：Safe & Detectable）、安全不可测（SU：Safe & Undetectable）、危险可测（DD：Dangerous & Detectable）和危险不可测（DU：Dangerous & Undetectable）。对于不同类型的失效，系统将采取不同的措施，并发生不同的后果。对于可维修系统而言，如果发生SD失效，系统将进入修复过程，系统

功能安全相关、IEC61508-2010

不发生危险；如果发生SU失效，系统进入安全状态，不发生危险，等待手动检查测试（Manual Proof Test）后进入修复过程（假设手动检查测试能够检测到100%的系统失效）；如果发生DD失效，系统将进入修复过程，如果此时能够及时拒绝（negation）危险失效，使EUC进入安全状态则系统不发生危险，否则系统发生危险；如果发生DU失效，则系统发生危险。图1的状态图描述了四类失效的发生与各个状态的转换过程，并表示了各个状态是否安全。其中RA（Repair resource available）表示维修资源可用；PT（Proof Test）表示定期的手动检查测试；NG（negation）表示拒绝危险失效，即导向安全侧；RF（Repairing finished）表示维修结束。可见图中的DD和DU失效产生了危险状态，如果NG的时间足够短，则只需考虑DU失效。

图1中的状态转移过程只代表一种通用的状况，实际中还应考虑具体应用场景而做出相应变更。例如，如果修复阶段也保持着EUC的正常运行，则危险失效后的修复阶段也应该是危险状态。

图1 系统失效状态图

2.3 PFDavg与PFH

PFDavg和PFH是评价安全完整性等级（SIL：Safety Integrity Level）的量化指标，可以通过61508的公式对它们进行计算。其中，低要求模式使用PFDavg评价，高要求和连续模式使用PFH评价。

表1 目标SIL等级的评价[3]

PFD（probability of dangerous failure on demand）的含义是安全相关系统被要求时执行安全功能的失效概率，即表示安全功能的不可用性。PFDavg（average probability of dangerous failure on demand）是PFD在给定时间段内的平均值。PFDavg表示为安全功能的不可用性[2]：

PFDavg 1 e D MDT D MDT (1)

其中 D为危险失效率；MDT（mean down time）是平均停机时间。公式(1)中的约等于

功能安全相关、IEC61508-2010

号是由于通常情况下 D MDT 1。对于可测危险失效，MDT为平均恢复时间（MTTR：mean time to restoration），包括了实际的平均维修时间（MRT：mean repair time）和其他相关的时间延迟（例如故障报告时间、维修人员的交通时间等）。对于不可测危险失效，MDT和手动检查测试的时间间隔T1有关，再加上MRT。因此，依据危险失效是否可测，决定了MDT的构成。

PFH（average frequency of a dangerous failure per hour）的含义是给定时间内安全相关系统执行安全功能的平均危险失效频率。理论上，PFH等于绝对失效强度（unconditional failure intensity，也叫失效频率）的平均，并不是一个失效率。根据61508的描述，当安全相关系统是最后的安全保障层时（即此安全相关系统危险失效后系统将发生危险），PFH的表达式为：

F(T)/T，其中F(t)为不可靠度函数；T为给定时间。当安全相关系统不是最后的安全保

障层时，PFH等于1/MTBF。61508中的计算公式是基于前一种情况，即安全相关系统是最后的安全保障层。此时如果假设危险失效率为常数，而且足够小，则F(t) 1 exp( Dt) Dt，因此

PFH F(T)/T DT/T D PFDavg/MDT (2).

3 PFDavg与PFH的计算

3.1 假设条件

61508的计算是基于一定的假设条件，因此应用61508公式之前需要检验实际情况是否满足其假设条件。例如：

1. 元件失效率在生命周期中保持恒定；

2. 一个比较组中各个通道具有相同的失效率和故障覆盖率； 3. 检查测试的时间间隔至少比MRT大一个数量级；

4. 高要求或连续模式下，系统诊断到危险失效后总能及时使系统进入到安全状态。 如果实际情况与假设条件不相符，则不能直接使用这些公式，需要对公式做相应修正才可以使用。

3.2 MDT的计算

对于可测危险失效，MDT等于MTTR。而对于不可测危险失效，MDT不但包括MRT而且与手动检查测试的时间间隔T1有关。因此计算MDT时，不可测失效的MDT需要得到更多的关注。

图2 不可测失效过程

11

图2表达了检查测试时间间隔内发生不可测危险失效的情况，其中t为不可测危险失效的发生时刻；T1为手动检查测试时刻；T1+MRT为系统安全功能已经恢复的时刻。可见对于不可测危险失效，MDT可以表示为T1-t在0<t<T1的条件下的数学期望，再加上MRT。所以对于不可测危险失效，MDT如下式所示：

功能安全相关、IEC61508-2010

MDTU

E(T t0 t T) MRT

1

1

T1

(T1 t)f(t)dt

T1

f(t)dt

MRT (3)

其中f(t)为失效概率密度函数。 对于可测危险失效，MDT为：

MDTD MTTR (4)

3.3 moon结构

为了实现足够高的安全完整性等级，安全相关系统通常由moon（n取m，例如1oo2、2oo3

等）结构组成。安全相关系统moon结构的可靠性框图由图3表示。多个通道具有相同的危险失效率 D；CCF（common cause failure）表示各通道的共因失效。

图3 moon结构系统可靠性框图

不考虑共因失效的情况下，只有当结构中有n-m+1个通道都发生危险失效的情况下，系统才发生危险失效。对于第一个发生危险失效的通道，其等效MDT等于单通道（1oo1）结构的MDT，即tCE；对于第二个发生危险失效的通道，其等效MDT等于双通道并联（1oo2）结构的MDT，即tGE；对于第三个发生危险失效的通道，其等效MDT等于三通道并联（1oo3）结构的MDT，即tG2E；以此类推，对于第n-m+1个发生危险失效的通道，其等效MDT等于n-m+1通道并联（1oo n-m+1）结构的MDT，也等于moon结构的MDT，即tG(n-m)E。因此，moon结构的PFDavg为：

PFDavg Pnn m 1(1 e D tCE)(1 e D tGE)(1 e D tG2E) (1 e

P

n m 1n m 1

nD

D tG(n-m)E

)

tCEtGEtG2E tG(n-m)E

n m 1

(5).

由公式(2)得出moon结构的PFH为：

PFH Pnn m 1 D

tCEtGEtG2E tG(n-m 1)E (6).

依据以上公式，下文将分别给出61508中各种结构PFDavg和PFH的推导过程。

3.4 1oo1结构

1oo1结构只由一个通道构成，通道的任何危险失效都将引起系统安全功能的失效，其物

理框图如图4所示。

功能安全相关、IEC61508-2010

图3 1oo1结构的物理框图

图3中的诊断模块可以在线检测通道的失效，所以61508将单个通道建模为两个串联的原件，一个代表可测失效，另一个代表不可测失效。它们具有的失效率分别为： DD和 DU；MDT分别为MDTD和MDTU；结构的整体失效率为 D，等效的MDT为tCE。可靠性框图如图4所示。

图4 1oo1结构的可靠性框图

整体失效率 D与个体失效率 DD和 DU的关系是：

D DU DD； DU D(1 DC) ； DD DDC (7)

通道的等效MDT为：

tCE

DU

MDTU DDMDTD (8) D D

其中MDTD需要由式(3)得出。对于恒定失效率，式(3)中的失效概率密度函数为：

f(t) (1 exp( DUt)) ( DUt) DU (9)

带入式(3)得出

MDTU

另外由式(4)得出

T1

MRT (10). 2

MDTD MTTR (11).

因此，由公式(5)得1oo1结构的PFDavg为

PFDavg DtCE (12).

计算PFDavg时的假设是1oo1结构中的诊断模块不对安全功能的输出产生影响，即使诊断出危险失效情况下，也只是给出维修的指示。因此在PFDavg中包含了 DD的成分。而在计算PFH时，假设在高要求或连续模式下，当诊断模块检测出危险故障时，立即驱使EUC进入安全状态。因此由公式(6)得出1oo1结构的PFH为

PFH DU (13).

功能安全相关、IEC61508-2010

3.5 1oo2结构

1oo2结构是由两个通道并联组合构成，只有当两个通道都发生危险失效时，系统的安全功能才发生失效。当只有一个通道发生危险失效时，系统处于降级运行状态，仍然可以实现安全功能。因此第一个失效通道的等效MDT等于1oo1结构的MDT，即tCE。当第二个通道也发生危险失效时，整个系统并联组合发生危险失效。此时第二个失效通道的等效MDT等于整个并联组合的等效MDT（tGE）。所以，1oo2结构的PFDavg为

PFDavg 2( DtCE)( DtGE) 2 DtCEtGE (14).

若考虑共因失效，1oo2结构的PFDavg为

2

T 2

PFDavg 2 (1 D) DD (1 ) DU tCEtGE D DDMTTR DU 1 MRT (15)

2

tGE的表达式为：

tGE

DU

MDTU DDMDTD (16) D D

T1

其中由公式(3)不可测危险失效的MDT为：

MDTU

T1

(T1 t)f(t)dt

T1

f(t)dt

MRT

(T1 t)[( Dt)2] dt

T1

[( Dt)2] dt

MRT

T1

MRT (17). 3

与1oo1结构相似，在计算PFH时，假设在高要求或连续模式下，当诊断模块检测出任一危险故障时，立即驱使EUC进入安全状态。因此最后失效通道不应包含 DD的成分，因此由公式(6)得出1oo2结构的PFH为

PFH 2 (1 D) DD (1 ) DU (1 ) DUtCE DU (18)

其他结构如2oo3、2oo2等可用相同方法计算得出。

4 结论

本文给出了IEC61508中系统结构的PFD和PFH的公式解释，指导和帮助工程师在实际工程中对相关公式的应用，从而保证系统安全评估的正确性。

引文

[1] Safety Instrumented Systems Verification: Practical Probabilistic Calculations [2] Safety Critical Systems Handbook - A Straightforward Guide to Functional Safety [3] IEC61508-2010

功能安全相关、IEC61508-2010

本文来源：https://www.bwwdw.com/article/i6j4.html