一张图助读功能安全概念中的几种失效前些天,笔者家里的洗衣机“坏了”,导致一大堆衣服需要手洗,因为是亲手洗的,所以甚为感慨。因此本文准备从功能安全中“坏了”的概念出发与大家互动。在上一期文章中,笔者描述了关于安全生命周期的概念,这期与大家分享一下功能安全所围绕的核心问题----失效。 首先,何谓失效? Failure--termination of the abilityof a functional unit to provide a required function or operation ofa functionalunit in any way other than as required(IEC61508第二版第四部分,章节3.6.4) 失效--功能单元执行一个要求功能的能力的终止(GBT20438第一版第四部分,章节3.6.4) 说的通俗些也就是原先的功能不能被执行,更直观的理解可以是:正常情况下y=f(x),失效后就变成y≠f(x),f()就是我们预先设定的功能,而y就代表了我们的安全预期。这也可以解释为何在英文中函数和功能是同一个单词function。 了解了失效是什么之后可以开始划分失效的种类,在功能安全的概念里,依据失效的生成原因可以分为两大类:系统失效(systematicfailure)和随机硬件失效(random hardware failure) 。 何谓系统失效? Systematic failure—failure, related in a deterministic way to acertain cause, which can only beeliminated by a modification of the design orof the manufacturing process,operational procedures, documentation or otherrelevant factors(IEC61508第二版第四部分,章节3.6.6) 系统失效-原因确定的失效,只有对设计或制造过程、操作规范、文档或其他相关因素进行修改后才有可能排除这种失效。(GBT20438第一版第四部分,章节3.6.6) 换言之,人为的错误可以通过修改去避免的失效称之为系统失效。举个例子如图1(截取自某轨交项目并且简化了相关电路),该图描述了通过CPU_Signal信号(高有效)去控制场效应管的导通从而控制常开继电器触点闭合,列车门随即打开(列车门的开合与继电器触点的开合呈反逻辑)。其安全功能或者说安全目标定义为:按要求打开列车门。 图1,列车门接口电路 图1中继电器G6B2214P-US的触电容量是5A/30VDC,不妨假设该继电器选型不当,列车门打开所需要的平均电流接近该继电器触点容量,那么可能在一次或者几次开关之后,由于该继电器长时间满负荷状态下极容易导致损坏并使得列车门无法正常打开或关闭,结果是某扇列车门失效了。由于该失效属于设计中的选型不当并且可以通过设计修正(选择更大容量触点继电器)去排除,很显然该失效属于系统失效。 何谓随机硬件失效? Random hardware failure—failure, occurring at a random time, whichresults from one or more of the possibledegradation mechanisms in the hardware(IEC61508第二版第四部分,章节3.6.5) 随机硬件失效-在硬件中,由一种或几种机能退化可能产生的、按随机时间出现的失效。(GBT20438 第一版第四部分,章节3.6.5) 也就是说,这种失效是器件本身的物理性质与退化机制所导致的失效。譬如说电阻,其随机失效通常表现为开路,电阻值漂移等现象,原因往往是由电负荷高温老化、结晶化加速、氧化和空气吸附等退化因素所导致。 上述两种失效是按照失效生成的原因所划分,下面介绍一下按照失效导致的影响所划分的几种失效,包括危险失效,安全失效,无关失效和无影响失效。 何谓危险失效? Dangerous failure—failure ofan element and/or subsystem and/orsystem that plays a part in implementing thesafety function that: a) prevents a safetyfunctionfrom operating when required (demand mode) or causes a safety function to fail(continuousmode) such that the EUC is put into a hazardous or potentially hazardous state;or b) decreases theprobabilitythat the safety function operates correctly when required(IEC61508第二版第四部分,章节3.6.7) 危险失效—使安全相关系统处于潜在的危险或者丧失功能状态的失效。(GBT20438第一版第四部分,章节3.6.7) 简言之,使被控设施处于危险之中的失效。举个例子如图1,假设场效应管J1失效,其失效模式表现为漏极和源极短路(场效应管几种失效模式中的一种),那么造成的后果是继电器线圈导通—〉触点短接—〉列车门打开。毋庸置疑,这是在没有得到CPU命令的情况下打开了列车门,设想列车在高速行驶之中,列车门突然就开了,后果显然是危险的,所以该失效属于危险失效。 何谓安全失效? Safe failure-- failure ofanelement and/or subsystem and/or system that plays a part in implementingthesafety function that: a) results in thespuriousoperation of the safety function to put the EUC (or part thereof) intoa safestate or maintain a safe state; or b) increases theprobabilityof the spurious operation of the safety function to put the EUC (or part thereof) into a safe state or maintain a safe state(IEC 61508第二版第四部分,章节3.6.8) 安全失效—不可能使安全相关系统处于潜在的危险或丧失功能状态的失效。(GBT 20438第一版第四部分,章节3.6.8) 与危险失效相对,该失效造成的结果属于安全范畴。举个例子如图1,假设场效应管J1失效,其失效模式表现为漏极和源极开路(场效应管几种失效模式中的一种),那么造成的后果是即使CPU发出了打开列车门的指令,由于场效应管失效两极开路不受控—〉继电器线圈保持开路—〉触点无法吸合—〉列车门始终关闭。我们坐地铁应该都遇见过类似情况,列车到站了,准备下车,自己等的那一扇列车门并没有按要求打开,只能选择从旁边的车门下车,由此可见车门无法打开带来了麻烦但不是危险,所以该失效属于安全失效。 何谓无关失效? No part failure--failureof acomponent that plays no part in implementing the safety function(IEC 61508第二版第四部分,章节3.6.13) 无关失效--不执行安全功能的元器件失效 此概念是IEC61508标准第二版新增概念,所以国标20438第一版没有对应内容。举个例子,列车停靠了人民广场站,列车门也相应的打开了,安全功能一切正常,此时液晶显示屏上本应该显示“人民广场站到了”但是它却黑屏了,由于该失效不属于安全功能(按要求打开列车门)的范畴,所以定义为无关失效。 何谓无影响失效? No effect failure--failureof an element that plays a part in implementing the safety function buthas nodirect effect on the safety function(IEC61508第二版第四部分,章节3.6.14) 无影响失效--执行安全功能的某个组件失效但不直接影响安全功能。 此概念也是IEC61508标准第二版新增概念,所以国标20438第一版没有对应内容。依然举图1的例子,假设图1中的二极管V1 失效,其失效模式是断路(二极管失效模式中的一种),该管在此的作用是泄放继电器线圈由得电和放电所产生的感应电动势从而保护继电器的使用寿命,因此当假设该二极管失效断开时,并不直接影响继电器的开关功能从而不造成列车门的失效,因此属于无影响失效。 综上述,本文阐述了关于功能安全的几种失效概念,为了更直观的解读,使用了一个简单的实例进行分析,也希望就此话题能与读者们更深一步地在实际应用与工作中探讨。 【闲话功能安全】,作者:宪俊 |