硬件可靠性指标 - PFH和PFD

该博客涵盖了需求模式，特别是低需求和高需求模式。

PFH = 每小时危险故障的概率（IEC 62061 添加了一个非常有用的“d”，如 PFHd 中，以提醒我们它仅适用于危险故障）

·        PFDavg = 按需平均故障概率（其倒数是 RRF 或风险降低因子）

PFH 和 PFD 根据 SIL 的随机硬件故障表示硬件的可靠性目标。IEC 61508-1：2010的表1，2给出了实际要求

图1 - PFH和PFD之间的链接平均

要记住的一个关键点是，这两个指标都只涉及危险的故障，这些故障会阻止系统维护安全或实现安全状态。诊断检测到的危险故障实际上是安全的，并且从指标中排除。

记得从上一篇博客中，低需求模式和高需求模式之间的划分是一次/年的需求率，可以看出对PFH和PFD的要求平均如果将一年视为 10，000 小时而不是 8，760 小时，则在一次/年的需求率下相同。

阅读表格 如果您有 SIL 3 高要求安全功能，则 PFH 需要< 1e-7/h （100 FIT）。这可以使用FMEA（失效模式和影响分析）或FTA（故障树分析）来确定。对于低需求，SIL 3 安全功能需要具有小于 0.001 的平均按需故障概率。

使用IEC 61508-6：2010的近似值，上述情况导致了一个有趣的异常现象，即随着需求率从10.1 /年变为01.0/年，可靠性要求似乎增加了99倍。由于需求率正在下降，这没有多大意义。

为了说明这一点，假设您有一个生命周期为 20 年的单通道系统，并且没有验证测试（证明测试间隔 = 20 年）。进一步假设 1.01/年的高需求率（1/年以保持数学简单），然后满足 IEC 61508-1：2010 表 3 a λ 的要求的的 0.99e-7 允许在硬件指标方面声明 SIL 3。

但是，如果需求率下降到0.99 /年（为了保持数学简单，1 /年），那么需求率下降肯定是一件好事，因此我们允许使用低需求规则声明SIL。根据IEC 61508-6：2010条款B.3.2.2.2，我们得到PFD平均的 9e-3 位于 SIL 2 范围的顶部，并且L的显然需要下降 10 倍才能进入 SIL 3 范围。正如我所说，这令人困惑，似乎没有意义。难道编写标准的庄严女士们和先生们犯了错误吗？不要害怕他们没有。

即使使用需求率来计算RRF，明显的异常也会继续，如下所示。这肯定是不对的，什么给？

图 2 - 当需求率超过 1/年时，所需可靠性明显提高

上述数字假设验证测试间隔为 20 年，例如 ISO 10218-1 中规定的。

出现问题的第一个警告是，如果您遵循低需求规则，随着需求率的进一步增加（进入高需求区域），情况会变得更糟。 这表明在高于 0.1/年的高需求率（包括注意到的 1.0/年）下，低需求近似值存在非常错误。

第二个警告是在IEC 61508-6：2010条款B.3.1中给出的，其中指出，“需求之间的预期间隔至少比证明测试间隔大一个数量级。但是，您必须非常仔细地阅读标准才能发现这一点。在这种情况下，证明测试间隔为 20 年，因此近似方程只有在需求率达到每 200 年一次时才成立！！

那么如何合理化呢？下图有所帮助。

图3 - 低需求系统如何发生故障

查看上图，您可以估计危险事件频率遵循下面的红色曲线，危险事件频率随着需求率的增加而增加。但是，安全函数介于需求率和危险事件之间，因此危险事件率永远不会超过安全功能的故障率，该故障率与需求率无关，并由图表上显示的紫线显示。当你计算数学时，你会得到类似于下面的虚线，给出真正的危险事件频率，如果使用这条虚线，1/年需求率周围的异常就会消失，危险事件频率永远不会超过给出的L的。

图4 - 最大危险事件率

在IEC 63161中，上述曲线的方程称为亨利/熊本方程。

虽然这是一个复杂的话题，很难在博客中处理，但这里有一些要点：

·        高需求模式给出给定 λ 的最大危险事件发生率 的

·        IC供应商和实际上模块或子系统供应商需要给出λ 的并让PFH和PFD计算给安全功能设计人员

·        计算低需求RRF/PFD的一个重要原因是确定系统需求所需的SIL。

·        随着需求率从一年一次下降到一千年/千年，所需的RRF和SIL（SC）下降

审核编辑：郭婷