从安全功能角度谈失效模式

　　2019-09-02 12:07·质量与检测

　　一、失效模式分类

　　不同的失效方式称为失效模式。根据设备、子系统或系统发生失效的时间将失效分为早期失效、随机失效和老化失效；根据失效所造成的影响将安全仪表功能的失效模式分为安全失效、危险失效和无影响失效；根据引起失效的原因分为随机硬件失效、系统性失效和共因失效；考虑设备的自诊断功能时又分为通报失效、检测到和未检测到的失效；考虑冗余设备构成的表决系统时又分为独立失效和相关失效。

　　这里所说的失效模式为广义的失效模式，它涵盖了从各种角度分类的失效类别。通过分析，明确了正常寿命期内的随机失效是可靠性定量研究的基础；就安全相关系统来说，我们只关心危险失效和安全失效。

　　二、早期失效、随机失效和老化失效

　　对安全相关系统要求时危险失效平均概率（PFDavg）及每小时危险失效平均频率（PFH）的计算，实际上是可靠性理论在功能安全领域的应用。在可靠性理论中，“浴缸”（Bathtub）曲线是非常重要的对设备、模块或元件的失效率在其整个寿命期内变化情况的一种重要的描述。

　　设备在运行过程中会受到来自环境的应力，即环境对其施加的影响，如化学的、机械的、电气的或物理的影响。当其自身的强度不能抵抗这些应力的时候就会出现设备的失效。由图1中可以看出设备在其寿命周期内的失效分为三个阶段：最初故障期、正常寿命期和老化期。这个阶段对应于三种失效方式。

　　（1）早期失效

　　设备在最初故障期发生的失效为早期失效，失效率由大减小。这是因为生产出的设备中有一些存在生产缺陷，随着它们不断的暴露出来，失效率就逐渐下降。

　　（2）随机失效

　　在去掉具有生产缺陷的设备之后，失效率相对保持不变，进入设备的正常寿命期，在该期间，设备多发生由于工作应力引起的随机失效。如果设备只有很少的生产缺陷，而强度又很高，那么发生随机失效的概率将非常低。正常寿命期内的随机失效率为常数，它是可靠性研究中所需的失效数据。

　　（3）老化失效

　　随着使用时间的增长，设备自身的强度开始下降，进入老化报废阶段，失效率也随之逐渐上升（老化期）。

　　可以看出，在最初故障期，设备具有随时间下降的失效率；在正常寿命期，设备具有随时间相对恒定不变的常数失效率；在老化期，设备具有随时间增大的失效率。

　　“浴缸”曲线可能有几种变形的情况。某些情况下可能不存在最初故障期，因为一些设备几乎不存在生产测试过程未检测到的生产缺陷，这些设备就没有失效率降低的区域。而某些应用中，设备还未进入老化期就已经得到了更新换代，因此就没有失效率升高的区域。一般来讲，任何设备的设计生产都应该保证设备具有正常的寿命期。

　　有的设备在寿命期内失效率的变化并不符合“浴缸”曲线所描述的这种特征，而是其他的曲线，如“过山车”（Roll Coaster）曲线。符合这种特征的设备在其寿命期内很难找到一个失效率稳定的阶段。

　　设备的失效率是所有定量计算的基础。然而实际应用中，针对某个具体行业或某个具体工厂，设备的失效率很可能不是常数，而是随时间变化的早期失效率或老化失效率。

　　三、危险失效、安全失效和无影响失效

　　IEC61511中把危险失效定义为那些有潜力使E/E/PE安全相关系统失去安全功能执行能力的失效。这个定义与人们在实践中对危险失效的理解是一致的。定义中的潜力是否存在，取决于组成E/E/PE安全相关系统的设备之间的结构关系。冗余结构的系统会减少这种导致危险状态的潜力，因为冗余结构里1个硬件设备失效不易导致整个E/E/PE安全相关系统的失效。

　　IEC61511中把安全失效定义为那些没有潜力导致E/E/PE安全相关系统失去安全功能执行能力的失效。即不属于危险失效的都是安全失效，该定义包括了造成过程误停车在内的多种失效。但是在实践中，人们往往只把造成E/E/PE安全相关系统误动作的一类失效称为安全失效。这里对安全失效的定义是那些没有潜力造成E/E/PE安全相关系统失去安全功能执行能力的，但是有潜力造成E/E/PE安全相关系统误动作的失效。

　　设备的某些失效可能对E/E/PE安全功能无任何影响，这样的失效定义为无影响失效，记为λNONC。它既不会降低E/E/PE安全功能的执行能力，也不会增加E/E/PE安全相关系统的误动作，不影响E/E/PE安全相关系统的可靠性，对其进行分析没有实际意义。但是，无影响失效会影响单个设备的安全失效分数值（Safe Failure Fraction，SFF），从而可能会影响设备的应用。总而言之，从系统角度研究无影响失效没有意义。