今日頭條
官方微信
官方抖音
案例頻道
作者簡(jiǎn)介:史學(xué)玲,女,現(xiàn)任機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所副總工程師,功能安全中心主任,全國(guó)測(cè)量控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)系統(tǒng)及功能安全分技術(shù)委員會(huì)副主任委員,IEC61511標(biāo)準(zhǔn)工作組中國(guó)專家。主要研究方向?yàn)楣δ馨踩翱刂葡到y(tǒng)可信性評(píng)估。先后承擔(dān)并完成了科技部下達(dá)的國(guó)家軟科學(xué)研究、國(guó)家“863”計(jì)劃、國(guó)家科技支撐計(jì)劃、科研院所開發(fā)等十多個(gè)研究項(xiàng)目,在控制設(shè)備及系統(tǒng)的功能安全關(guān)鍵技術(shù)上實(shí)現(xiàn)多項(xiàng)突破,獲得2份計(jì)算機(jī)軟件著作權(quán)登記證書,在各類雜志上發(fā)表論文近30篇,作為主要起草人參加起草了3個(gè)功能安全國(guó)家標(biāo)準(zhǔn)。先后獲省部級(jí)二等獎(jiǎng)2次、三等獎(jiǎng)1次
摘要:在役過(guò)程控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估、可靠性評(píng)估、可用性評(píng)估與安全性評(píng)估都是系統(tǒng)可信性評(píng)估的一個(gè)方面,應(yīng)按照國(guó)際標(biāo)準(zhǔn)的要求,采用與國(guó)際接軌的方法進(jìn)行。
關(guān)鍵詞:在役 控制系統(tǒng) 風(fēng)險(xiǎn)評(píng)估 系統(tǒng)可信性評(píng)估 可靠性評(píng)估 安全性評(píng)估 可用性評(píng)估
大規(guī)模工業(yè)生產(chǎn)過(guò)程能否平穩(wěn)安全地運(yùn)行,極大地依賴于控制系統(tǒng)的可信性。因?yàn)榭刂葡到y(tǒng)是生產(chǎn)過(guò)程的神經(jīng)與指揮,一旦發(fā)生故障與失效,不但會(huì)造成非計(jì)劃停產(chǎn),破壞生產(chǎn)的平穩(wěn)運(yùn)行,給企業(yè)造成巨大經(jīng)濟(jì)損失,還有可能危及生產(chǎn)人員安全,甚至可能造成工廠毀滅性的災(zāi)難。
作為一個(gè)可信賴的控制系統(tǒng),它必須隨時(shí)可以執(zhí)行其功能。這屬于可用性方面的問(wèn)題,它取決于系統(tǒng)的故障發(fā)生頻率(可靠性)和系統(tǒng)恢復(fù)正常所需的時(shí)間(可維修性)。但事實(shí)上,當(dāng)系統(tǒng)準(zhǔn)備執(zhí)行其功能時(shí),并不表示系統(tǒng)功能一定會(huì)被正確執(zhí)行。這又涉及到信任性方面的問(wèn)題。信任性取決于在系統(tǒng)處于不能正確執(zhí)行某些或全部功能的狀態(tài)時(shí),系統(tǒng)發(fā)出警告的能力(忠實(shí)性);還取決于系統(tǒng)拒絕任何不正確輸入或未經(jīng)許可進(jìn)入系統(tǒng)的能力(防護(hù)性)。其之間關(guān)系如圖1所示。
隨著計(jì)算機(jī)控制技術(shù)的快速發(fā)展,控制設(shè)備系統(tǒng)如DCS 的人機(jī)接口更新頻繁,控制器不斷升級(jí),許多系統(tǒng)投用不久就面臨升級(jí)與改造。在我國(guó)石油、化工、冶金、電力、機(jī)械等領(lǐng)域,大量不同時(shí)期、不同供應(yīng)商提供的控制系統(tǒng)及設(shè)備應(yīng)用于各類生產(chǎn)過(guò)程中,各行業(yè)企業(yè)不同程度地存在著設(shè)備老化與可靠性不足、備品備件不足、人員培訓(xùn)不夠、人員難以掌握眾多品牌的系統(tǒng)設(shè)備維修維護(hù)技術(shù)等問(wèn)題,因此,控制系統(tǒng)失效導(dǎo)致生產(chǎn)事故與安全事故的風(fēng)險(xiǎn)很大。為了保證生產(chǎn)平穩(wěn)與安全高效,或?yàn)榱舜_定系統(tǒng)改造方案,不少用戶都提出并進(jìn)行了安全性評(píng)估、可靠性評(píng)估、可用性評(píng)估、風(fēng)險(xiǎn)評(píng)估等不同評(píng)估,希望能把因控制失效導(dǎo)致風(fēng)險(xiǎn)的可能降至最低。實(shí)際上,所有這些評(píng)估都是可信性評(píng)估的一個(gè)方面,應(yīng)按照國(guó)際標(biāo)準(zhǔn)的要求,采用與國(guó)際接軌的方法進(jìn)行。
本文從介紹國(guó)際標(biāo)準(zhǔn)與基本定義開始,提出了一套評(píng)估控制系統(tǒng)可信性時(shí)需要考慮的因素、應(yīng)掌握的基礎(chǔ)技術(shù),以及應(yīng)采用的評(píng)估技術(shù)。
1 控制系統(tǒng)可信性評(píng)估標(biāo)準(zhǔn)概述
國(guó)際標(biāo)準(zhǔn)IEC61069.1~8(中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18272.1~8)“工業(yè)過(guò)程測(cè)量和控制系統(tǒng)評(píng)估中系統(tǒng)特性的評(píng)定”包括8個(gè)分標(biāo)準(zhǔn),可以供控制系統(tǒng)的用戶和制造廠以及負(fù)責(zé)評(píng)估的獨(dú)立研究機(jī)構(gòu)評(píng)估控制系統(tǒng)特性時(shí)使用,進(jìn)行可信性評(píng)估時(shí),這是一套可借鑒的標(biāo)準(zhǔn)。
IEC62278(GB/T21562)“ 軌道交通 可靠性、可用性、可維修性和安全性規(guī)范及示例”雖然是為軌道交通行業(yè)制定的,但它定義的安全性與可用性評(píng)估、管理、分析方法等要求可以為其它應(yīng)用領(lǐng)域借鑒。
IEC61508.1~7(GB/T20438.1~7)“電氣、電子、可編程電子安全相關(guān)系統(tǒng)的功能安全”包括7個(gè)分標(biāo)準(zhǔn),它規(guī)定了控制系統(tǒng)功能安全的基本要求,也可用于功能安全評(píng)估。以此標(biāo)準(zhǔn)為基礎(chǔ)的其它功能安全標(biāo)準(zhǔn)都是進(jìn)行安全性評(píng)估時(shí)需要考慮的重要內(nèi)容。
IEC61511.1~3(GB/T21109.1~3)“過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全”。這套標(biāo)準(zhǔn)包括3個(gè)分標(biāo)準(zhǔn),規(guī)定了流程工業(yè)領(lǐng)域安全儀表系統(tǒng)功能安全的基本要求,在石油、化工、電力、冶金等流程工業(yè)領(lǐng)域進(jìn)行評(píng)估時(shí)需要參考此標(biāo)準(zhǔn)。
IEC 62439與IEC61784-3分別描述了自動(dòng)化網(wǎng)絡(luò)的可用性與安全性相關(guān)要求。
依據(jù)評(píng)估目的、范圍不同,還會(huì)有一些領(lǐng)域?qū)S脴?biāo)準(zhǔn)需要參考借鑒。
2 相關(guān)術(shù)語(yǔ)與基本定義
2.1可信性 denpendability
假定具備必要的外部資源,系統(tǒng)能在規(guī)定的條件下,在規(guī)定的一瞬間或一段時(shí)間內(nèi)正確地完成特定任務(wù)的可信賴程度[1]。
可信性的層次如圖1所示。
圖1 可信性的層次
2.2可用性(availability)
可用性定義是: 在要求的外部資源得到保證的前提下,產(chǎn)品(裝備)在規(guī)定的條件下和規(guī)定的時(shí)刻或時(shí)間區(qū)間內(nèi)處于可執(zhí)行規(guī)定功能狀態(tài)的能力。
2.3可靠性(reliability)
可靠性的定義是:在給定條件下和規(guī)定時(shí)間間隔內(nèi),產(chǎn)品執(zhí)行所需功能的能力。
系統(tǒng)的可靠性取決于系統(tǒng)各個(gè)部件的可靠性以及這些部件在執(zhí)行系統(tǒng)任務(wù)時(shí)的協(xié)作方式。部件的協(xié)作方式可包括功能冗余(同類或不同類)、功能退化和功能下降。系統(tǒng)的可靠性相對(duì)于每一項(xiàng)任務(wù)來(lái)說(shuō)可能是各不相同的。各項(xiàng)任務(wù)的可靠性均可量化,但其預(yù)計(jì)置信度水平則各不相同。系統(tǒng)各個(gè)硬件的可靠性可以采用部件計(jì)數(shù)法進(jìn)行預(yù)計(jì)。然后利用綜合法就可以預(yù)計(jì)系統(tǒng)的可靠性。
2.4可維修性(maintainability)
可維修性的定義是:一個(gè)實(shí)體在規(guī)定的條件下采用規(guī)定的程序和資源進(jìn)行維修以后,可以在規(guī)定的使用條件下保持或恢復(fù)到能完成規(guī)定功能的狀態(tài)的能力[2]。
系統(tǒng)的可維修性取決于系統(tǒng)各個(gè)部件的維修性以及系統(tǒng)的物理結(jié)構(gòu)和功能結(jié)構(gòu)。物理結(jié)構(gòu)影響到存取的難易程度和更換性等。功能結(jié)構(gòu)影響到診斷等的難易程度。
在定量表示一個(gè)系統(tǒng)的可維修性時(shí),應(yīng)該把使系統(tǒng)恢復(fù)到完全能執(zhí)行其任務(wù)的狀態(tài)所需采取的各種措施計(jì)算在內(nèi),包括檢測(cè)故障、通知維修、論斷和排除故障起因、調(diào)和及檢驗(yàn)等所需的時(shí)間。還應(yīng)通過(guò)核對(duì)下列項(xiàng)目的保障措施和覆蓋系數(shù),給可維修性的定量表示增加定性說(shuō)明:
發(fā)生故障時(shí)的通報(bào)方式,如燈光、報(bào)警信息、報(bào)告等;
訪問(wèn)方式,為便于人員存取和連接測(cè)量?jī)x表,模塊化程度等;
診斷,故障直接識(shí)別、本身對(duì)系統(tǒng)沒有影響的診斷工具、遠(yuǎn)程維修支持裝置、統(tǒng)計(jì)誤差檢查和報(bào)告會(huì);
修復(fù)性、更換性:模塊化程度、模塊和元件的明確識(shí)別、幾乎不需要專用工具、更換元件或模塊時(shí)對(duì)其它元件或模塊的影響程度;
檢驗(yàn):維護(hù)指導(dǎo)程度,極少量檢驗(yàn)要求。
2.5忠實(shí)性 (integrity)
在系統(tǒng)處于不能正確執(zhí)行某些或全部功能的狀態(tài)時(shí),系統(tǒng)發(fā)出警告的能力。
系統(tǒng)的忠實(shí)性取決于在系統(tǒng)的輸出元件上實(shí)現(xiàn)的檢驗(yàn)輸出是否正確的機(jī)理,同時(shí)也取決于系統(tǒng)內(nèi)部實(shí)現(xiàn)的檢測(cè)和防止系統(tǒng)部件之間錯(cuò)誤地傳輸信號(hào)和數(shù)據(jù)的機(jī)理。對(duì)于每一個(gè)其本身就可被看作是一個(gè)系統(tǒng)的相關(guān)部件而言,這兩種內(nèi)部機(jī)理就是忠實(shí)性機(jī)理或防護(hù)性機(jī)理。
2.6 防護(hù)性 (security)
系統(tǒng)拒絕任何不正確輸入或未經(jīng)許可進(jìn)入系統(tǒng)的能力。
系統(tǒng)的防護(hù)性取決于系統(tǒng)邊界上實(shí)現(xiàn)的檢測(cè)和防止不正確的輸入或未經(jīng)許可存取的機(jī)理。
2.7安全性(Safety)
免除不可接受的風(fēng)險(xiǎn)影響的特性。
2.8完全完整性(safety integrity)
在所有規(guī)定的條件下系統(tǒng)在規(guī)定時(shí)間內(nèi)實(shí)現(xiàn)所需安全功能的可能性
2.9安全完整性等級(jí) (SIL)(safety integrity level(SIL)
一種離散的等級(jí)(四種可能等級(jí)之一),用于規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)的安全功能的安全完整性要求,在這里,安全完整性等級(jí)4是最高的,安全完整性等級(jí)1是最低的[3]。
2.10系統(tǒng) (system)
系統(tǒng)可定義為用一定的方法組織起來(lái)獲得特定功能的子系統(tǒng)的部件集合。這些功能分配給系統(tǒng)中的子系統(tǒng)和部件,且系統(tǒng)的性能和狀態(tài)隨著子系統(tǒng)或部件功能的改變而改變。系統(tǒng)對(duì)輸入做出響應(yīng)以產(chǎn)生指定的輸出,同時(shí)與環(huán)境相互影響。一個(gè)通用的系統(tǒng)模型如圖2所示。
圖2 工業(yè)過(guò)程測(cè)量和控制系統(tǒng)模型
2.11可用性與安全性的關(guān)系
安全性和可用性相互關(guān)聯(lián),對(duì)安全性要求和可用性要求之間的沖突如果管理不善,會(huì)妨礙獲得可信的系統(tǒng)。其相互關(guān)系如圖3所示。
圖3 控制系統(tǒng)可用性、安全性與可靠性和可維修性的關(guān)系
由圖3可知,只有滿足了可靠性和可維修性的所有要求,并控制正在進(jìn)行的、長(zhǎng)期的維修、運(yùn)營(yíng)活動(dòng)及環(huán)境,才能達(dá)到運(yùn)行期間的安全性和可用性的目標(biāo)。
3 評(píng)估可信性時(shí)需要進(jìn)行的分析
要評(píng)估一個(gè)系統(tǒng)的可信性,必須確定和評(píng)估對(duì)系統(tǒng)可信性起決定作用的一些子特性,每一種子特性都取決于系統(tǒng)模塊的結(jié)構(gòu)配置以及這些模塊的可信性特性,這些模塊的子可信性特性與系統(tǒng)的可信性特性之間的關(guān)系可能是相當(dāng)復(fù)雜的。系統(tǒng)級(jí)的每一種子特性可能取決于模塊級(jí)的若干種子特性。可信性的某些特性可以用概率表示,有些特性可以量化,有些特性只能用定性的方法加以描述。
當(dāng)一個(gè)系統(tǒng)執(zhí)行若干個(gè)系統(tǒng)任務(wù)時(shí),其可信性可能會(huì)因系統(tǒng)任務(wù)的不同而發(fā)生變化,這就需要分別對(duì)每一項(xiàng)任務(wù)進(jìn)行分析。需要對(duì)每一項(xiàng)任務(wù)明確所涉及的子系統(tǒng)、模塊、元件,明確任務(wù)的相對(duì)重要性(重要度分級(jí)),認(rèn)定任務(wù)故障的定義,以可信性特性表示的故障的判斷依據(jù)、工作和運(yùn)行環(huán)境。
4 評(píng)估可用性與安全性時(shí)需要考慮的影響因素
4.1評(píng)估可用性
系統(tǒng)的可用性取決于系統(tǒng)各個(gè)部件的可用性以及這些部件在執(zhí)行系統(tǒng)任務(wù)時(shí)的協(xié)作方式。部件的協(xié)作方式可包括功能冗余(同類或不同類)、功能退化和功能下降。事實(shí)上,可用性取決于所采用的程序和可用于維持系統(tǒng)工作的資源。系統(tǒng)的可用性對(duì)于系統(tǒng)的每一項(xiàng)任務(wù)來(lái)說(shuō)可能是各不相同的。各項(xiàng)任務(wù)的系統(tǒng)可用性可以按兩種方式加以量化。
4.1.1預(yù)計(jì)系統(tǒng)的可用性時(shí),可按式(1)計(jì)算:
可用性=平均失效前時(shí)間/(平均失效前時(shí)間+平均恢復(fù)時(shí)間) (1)
式中: “可用性”指規(guī)定任務(wù)的系統(tǒng)可用性;
“平均失效前時(shí)間”是從系統(tǒng)恢復(fù)到執(zhí)行規(guī)定任務(wù)的狀態(tài)起,至因故障而中止執(zhí)行任務(wù)止的平均時(shí)間;
“平均恢復(fù)時(shí)間”是從系統(tǒng)因故障而中止執(zhí)行任務(wù)起,至恢復(fù)執(zhí)行規(guī)定任務(wù)止所需總時(shí)間的平均值。
4.1.2對(duì)于正在工作中的系統(tǒng),可以用下列公式計(jì)算可用性:
可用性=系統(tǒng)已經(jīng)能執(zhí)行任務(wù)的總時(shí)間/預(yù)計(jì)系統(tǒng)執(zhí)行任務(wù)的總時(shí)間
4.2可用性與安全性的綜合評(píng)估
影響控制系統(tǒng)可用性與安全性的因素,主要來(lái)源于系統(tǒng)生命周期中任何階段系統(tǒng)內(nèi)部的失效(系統(tǒng)因素)、運(yùn)行過(guò)程中環(huán)境因素導(dǎo)致的失效(運(yùn)行因素)和在系統(tǒng)維修工作中導(dǎo)致的失效(維修因素)。這些失效源相互作用,其關(guān)系如圖4所示。
圖4控制系統(tǒng)可用性與安全性的三個(gè)影響因素
系統(tǒng)因素考慮是的在系統(tǒng)生命周期內(nèi)任何階段系統(tǒng)內(nèi)部的失效,包括系統(tǒng)性失效與隨機(jī)性失效兩類。導(dǎo)致系統(tǒng)性失效的原因通常有要求錯(cuò)誤、設(shè)計(jì)與實(shí)現(xiàn)不充分、制造缺陷、內(nèi)在缺點(diǎn)、軟件錯(cuò)誤、工作指令不足、指令不充分、人為錯(cuò)誤等等;導(dǎo)致系統(tǒng)隨機(jī)性失效主要是由于工作模式、環(huán)境、應(yīng)力、磨損等原因?qū)е碌目煽啃圆蛔恪?br />
運(yùn)行因素考慮的主要是環(huán)境條件、人為因素、工作程序、任務(wù)變動(dòng)、后勤等過(guò)程中強(qiáng)加給系統(tǒng)的失效。
維修因素考慮的是人為因素、維修程序、售后服務(wù)等在系統(tǒng)維修工作中強(qiáng)加給系統(tǒng)的失效。復(fù)雜控制系統(tǒng)的維護(hù)維修是一項(xiàng)技術(shù)管理綜合性很強(qiáng)的工作。
為了實(shí)現(xiàn)高可用性與高安全性的系統(tǒng),需要確定所有影響因素,評(píng)估其影響,并且在系統(tǒng)的生命周期內(nèi)應(yīng)用適當(dāng)?shù)目刂苼?lái)駕馭產(chǎn)生這些影響的原因,使系統(tǒng)性能得到最優(yōu)化。
5 需要掌握的基礎(chǔ)與評(píng)估技術(shù)
進(jìn)行控制系統(tǒng)可信性評(píng)估,需要具備一些基礎(chǔ)的技術(shù)基礎(chǔ),同時(shí)掌握定性與定量的評(píng)估技術(shù),根據(jù)評(píng)估的實(shí)際目標(biāo),制定評(píng)估計(jì)劃方案。
5.1需要掌握的技術(shù)基礎(chǔ)
5.1.1需要掌握的可用性基礎(chǔ)技術(shù)
(1)可靠性包括:
·規(guī)定應(yīng)用及環(huán)境下所有可能的系統(tǒng)失效模式
·每個(gè)失效發(fā)生的概率,或者每個(gè)失效出現(xiàn)的幾率
·失效對(duì)系統(tǒng)功能的影響
(2)可維修性包括:
·執(zhí)行計(jì)劃維修的時(shí)間
·故障檢測(cè)、識(shí)別及定位的時(shí)間
·失效系統(tǒng)的修復(fù)時(shí)間(計(jì)劃之外的維修)
(3)運(yùn)營(yíng)和維修包括:
·系統(tǒng)生命周期內(nèi)全部可能的工作模式和必要維修
·人為因素的問(wèn)題
5.1.2需要掌握的安全性相關(guān)技術(shù)概念
(1)在所有運(yùn)行、維護(hù)和環(huán)境模式下系統(tǒng)中所有可能的危害
(2)每個(gè)危害的特征,以危害后果和嚴(yán)重性表示
(3)安全性/安全相關(guān)的失效包括:
·導(dǎo)致危害的全部系統(tǒng)失效模式,它是全部可靠性失效模式中安全相關(guān)的失效模式子集,需要考慮“規(guī)定應(yīng)用及環(huán)境下所有可能的系統(tǒng)失效模式”、“每個(gè)失效發(fā)生的概率,或者每個(gè)失效出現(xiàn)的幾率”以及“ 失效對(duì)系統(tǒng)功能的影響”;
·每個(gè)安全相關(guān)系統(tǒng)失效模式發(fā)生的概率;
· 在應(yīng)用中,可能導(dǎo)致事故的事件(即導(dǎo)致事故的危害)的順序和(或)并發(fā)率、失效、工作狀態(tài)、環(huán)境條件等等;
·應(yīng)用中,每個(gè)事件、失效、工作狀態(tài)和環(huán)境條件等出現(xiàn)的概率;
· SIL確定與SIL驗(yàn)證技術(shù)。
(4)系統(tǒng)的安全相關(guān)部件的可維修性包括:
·與安全相關(guān)失效模式或危害有關(guān)的系統(tǒng)中子系統(tǒng)或部件維修的方便性;
·系統(tǒng)安全有關(guān)部件在維修工作期間內(nèi)發(fā)生錯(cuò)誤的概率;
· 系統(tǒng)恢復(fù)到安全狀態(tài)的時(shí)間。
(5)系統(tǒng)操作與系統(tǒng)安全相關(guān)部件的維修包括:
·人為因素對(duì)系統(tǒng)安全相關(guān)部分的有效維修及系統(tǒng)安全運(yùn)營(yíng)的影響;
·用于系統(tǒng)安全有關(guān)部分的有效維修和系統(tǒng)安全運(yùn)營(yíng)的工具、設(shè)備和工序;
· 有效的控制、處理危害并減輕危害后果的措施。
5.2采用的評(píng)估技術(shù)
可以采用多種技術(shù)評(píng)定控制系統(tǒng)的可用性與安全性,但必須選用能將評(píng)定結(jié)果與系統(tǒng)要求文件的要求做定性和(或)定量比較的評(píng)估技術(shù)。
5.2.1定性評(píng)定技術(shù)
定性評(píng)定的基礎(chǔ)是預(yù)測(cè)分析或試驗(yàn)。無(wú)論是預(yù)測(cè)分析還是試驗(yàn),都需要通過(guò)分析系統(tǒng)的功能結(jié)構(gòu)和物理結(jié)構(gòu),確定系統(tǒng)執(zhí)行任務(wù)的方式才能開展評(píng)定。系統(tǒng)的結(jié)構(gòu)可以用功能框圖和物理框圖、信號(hào)流程圖、狀態(tài)圖、表格等來(lái)描述。考慮系統(tǒng)所有元件(硬件和軟件)的故障模式,確定其對(duì)系統(tǒng)任務(wù)可用性的影響,以及可維修性要求的影響。
5.2.1.1歸納分析法
歸納分析法是一種定性的分析方法,它采用的是一種自下而上的方法,在組件或元件層次上確定故障模式,分析每一種模式對(duì)高一級(jí)系統(tǒng)任務(wù)可信性的影響。此故障的影響即成為高一級(jí)層次的故障模式。這種方法要到最后才能確定各種假設(shè)故障模式在系統(tǒng)各個(gè)層次上的影響。
5.2.1.2推斷分析法
推斷分析也是一種定性的分析方法,它從系統(tǒng)最高層次的假設(shè)故障即任務(wù)故障開始,各層次依次進(jìn)行,直至底層。逐層分析以確定將導(dǎo)致最高層(即任務(wù)層)產(chǎn)生故障的故障模式和相關(guān)故障。沿著功能上的和物理上的路徑,重復(fù)這種分析直至獲取足夠的可用性信息,供評(píng)估用。對(duì)于不屬于假設(shè)事件的故障模式,推斷分析不提供任何信息。但對(duì)于較復(fù)雜的系統(tǒng),推斷分析則非常節(jié)省時(shí)間。對(duì)于比較復(fù)雜的系統(tǒng)來(lái)說(shuō),描述如何認(rèn)定系統(tǒng)的故障或成功要比認(rèn)定系統(tǒng)各組件的所有各種可能的故障模式方便得多。
故障樹分析是一種適用的推斷分析法。
5.2.2定量評(píng)定技術(shù)
定量評(píng)估技術(shù)的依據(jù)可以是預(yù)測(cè)分析和計(jì)算,也可以是試驗(yàn)。定量評(píng)定也必須從分析系統(tǒng)的功能結(jié)構(gòu)和物理結(jié)構(gòu)以及系統(tǒng)執(zhí)行任務(wù)的方式入手,采用預(yù)測(cè)評(píng)定或試驗(yàn)方法進(jìn)行。
5.2.2.1預(yù)測(cè)評(píng)定
預(yù)測(cè)評(píng)定以定性分析結(jié)果輔以系統(tǒng)元件基本可靠性(故障率)的量化值為依據(jù)。在定量表示系統(tǒng)執(zhí)行任務(wù)的故障率時(shí)需要采用預(yù)測(cè)分析法。可靠性框圖法是一種適用的預(yù)測(cè)分析法,另外,各種數(shù)據(jù)工具如布爾代數(shù)、真值表、通路割集分析等也都可用于計(jì)算故障率。在以定量的方法預(yù)測(cè)多狀態(tài)情況下系統(tǒng)執(zhí)行任務(wù)的故障率時(shí),可以采用馬爾可夫分析法。
5.2.2.2試驗(yàn)
僅僅通過(guò)系統(tǒng)一級(jí)的試驗(yàn)來(lái)判定一個(gè)復(fù)雜系統(tǒng)的可靠性與可用性,既不現(xiàn)實(shí)也不經(jīng)濟(jì)。通常情況下,復(fù)雜系統(tǒng)都是獨(dú)一無(wú)二的(樣品數(shù)為1)。此外,試驗(yàn)的范圍必然會(huì)受到允許試驗(yàn)時(shí)間的嚴(yán)格限制。但對(duì)于已經(jīng)投入運(yùn)行的系統(tǒng),這類試驗(yàn)則能提供有價(jià)值的數(shù)據(jù)。
由此所取得的實(shí)驗(yàn)數(shù)據(jù)可能用于:
· 日后指導(dǎo)改進(jìn)系統(tǒng)設(shè)計(jì)和系統(tǒng)結(jié)構(gòu),重新設(shè)計(jì)或更換易出故障的設(shè)備和軟件;
· 將預(yù)期特性或規(guī)定特性與實(shí)際數(shù)據(jù)相比較;
· 產(chǎn)生可用于今后可信性預(yù)測(cè)的現(xiàn)場(chǎng)數(shù)據(jù)。
對(duì)系統(tǒng)進(jìn)行實(shí)驗(yàn)的主要目的是評(píng)定系統(tǒng)在出現(xiàn)硬件和軟件故障、出現(xiàn)未經(jīng)許可或錯(cuò)誤的輸入時(shí)的工作狀態(tài)。為了觀察系統(tǒng)的工作狀態(tài),首先應(yīng)確定一項(xiàng)或一組典型的任務(wù),同時(shí)確定每一項(xiàng)任務(wù)的被認(rèn)為屬于故障的系統(tǒng)狀態(tài),例如輸出狀態(tài)。
主要有故障插入試驗(yàn)與環(huán)境擾動(dòng)試驗(yàn)兩類。
(1)故障插入試驗(yàn)
對(duì)于具有高可用性與高安全性的控制系統(tǒng)來(lái)說(shuō),其基本特質(zhì)之一就是無(wú)論其元件出現(xiàn)故障還是受到來(lái)自各界面外的干預(yù),都必須能正確地執(zhí)行其功能。故障插入試驗(yàn)可以驗(yàn)證系統(tǒng)的這一特質(zhì)。試驗(yàn)的方法包括制造故障和(或)引入未經(jīng)許可的或錯(cuò)誤的操作,觀察由此造成的系統(tǒng)工況,如輸出狀態(tài)及發(fā)出的信號(hào)。觀察輸出狀態(tài)時(shí),需要考慮如:
·出現(xiàn)故障時(shí)輸出是否輸入或凍結(jié)在預(yù)定的位置(對(duì)安全系統(tǒng)來(lái)說(shuō),就是進(jìn)入安全狀態(tài))?
·屏幕不能正確工作時(shí),鍵盤是否能自動(dòng)鎖定?
·通信過(guò)載時(shí)系統(tǒng)如何動(dòng)作?
·插入故障后監(jiān)視、報(bào)警和打印裝置是否有信號(hào)顯示?
為有效利用時(shí)間,應(yīng)該在定性分析的基礎(chǔ)上設(shè)計(jì)系統(tǒng)試驗(yàn)項(xiàng)目,并盡可能使用系統(tǒng)所具備的診斷特性。對(duì)于安全相關(guān)系統(tǒng),診斷特性本身必須單獨(dú)接受試驗(yàn)。在GB/T18272.5-2000標(biāo)準(zhǔn)的附錄C中,列出了若干種故障可供試驗(yàn)使用。
(2)環(huán)境擾動(dòng)試驗(yàn)
對(duì)于具有高可用性與高安全性的控制系統(tǒng)來(lái)說(shuō),另一個(gè)基本特質(zhì)是應(yīng)能承受環(huán)境擾動(dòng)而不影響其執(zhí)行正確的功能。
環(huán)境擾動(dòng)實(shí)驗(yàn)是試驗(yàn)系統(tǒng)的防護(hù)性機(jī)理。需要考慮如系統(tǒng)過(guò)載、系統(tǒng)連接的工業(yè)過(guò)程和外部系統(tǒng)的影響如電噪、系統(tǒng)使用的公用設(shè)施如氣、電壓變化、系統(tǒng)所處的環(huán)境如溫濕度等的影響。所選擇影響條件的變化應(yīng)不超出正常值范圍。
6 結(jié)語(yǔ)
在我國(guó)石油、化工、電力、冶金、機(jī)械等領(lǐng)域,對(duì)于在役過(guò)程控制系統(tǒng)的可信性評(píng)估,包括風(fēng)險(xiǎn)評(píng)估、安全評(píng)估、可用性評(píng)估、可靠性評(píng)估等等要求日益增多。迅速建立我國(guó)控制系統(tǒng)可信性評(píng)估技術(shù)與管理體系、幫助企業(yè)建立自己的評(píng)估隊(duì)伍與專業(yè)人才是當(dāng)務(wù)之急。
參考文獻(xiàn):
【1】GB/T21562-2008/idtIEC62278 ,軌道交通 可靠性、可用性、可維修性和安全性規(guī)范及示例[S].
【2】GB/T18272.5-2000/idtIEC61069, 工業(yè)過(guò)程測(cè)量和控制系統(tǒng)評(píng)估中系統(tǒng)特性的評(píng)定 系統(tǒng)可信性評(píng)估[S].
【3】GB/T20438.4/idtIEC61508, 電氣、電子、可編程電子安全相關(guān)系統(tǒng)的功能安全[S].
北京市公安局海淀分局備案號(hào):11010802023656號(hào)