通过之前皮尔磁的GB/T16855.1标准解读的内容连载,相信大家已经了解到了如何确定类别、如何确定平均危险失效间隔时间MTTFD以及如何确定平均诊断覆盖率DCavg等知识。有了这些积累,就可以确定安全控制系统中安全功能的性能等级PL了。
“子系统的概念”
实现安全功能的安全控制系统通常由不同的子系统组成。这些子系统采用不同的技术和/或实现不同的类别/性能等级。
如下图一,这是一个实现安全联锁功能的安全控制系统,由安全输入子系统、安全逻辑子系统和安全输出子系统三部分组成,宜分别确定每一个子系统的PFHD。
一般有两种情况:
1. 子系统直接给出PFHD的值,可以直接使用。如图一中的安全逻辑子系统(安全继电器),就可以通过该产品的技术手册,直接查到PFHD的值。
2. 对于未直接给出PFHD值的子系统,如图一中的安全输入子系统(两个安全联锁开关)和安全输出子系统(两个接触器),宜根据每一个子系统中确定的类别、MTTFD、DCavg来确定该子系统的PFHD(参见GB/T 16855.1-2018中附录K)。
图一
将所有子系统的PFHD数值相加,通过求和得出整体PFHtotal的相关数值;
式中:
N——安全功能所使用子系统的数量,以图一为列,N为3
PFHDi——第i个子系统的平均每小时危险失效概率
得出总的PFHtotal的值后,对照下表,就可以得出对应的性能等级PL。
在确定PL的同时,如果使用类别2及以上的结构,还需要考虑共因失效。
共因失效 (common cause failure),缩写为CCF,是由单一事件引发的不同产品的失效,这些失效不互为因果。共因失效为冗余安全控制系统两个通道都发生的因相同原因造成的相关危险失效。GB/T 16855.1-2018中附录F中提出了一个包含8种重要防范措施的检查清单。这8种措施分别被赋予了5~25不等的分值:
l 不同通道的信号路径之间的物理分离/隔离(15分)
l 采用不同的技术/设计或物理原则(20分)
l 防止可能发生的过电压、过电流、过压力、过热等(15分)以及使用经验证的元件(5分)
l 开发过程中进行失效模式和影响分析(5分)
l 就CCF的原因和后果,对设计者/维护者进行培训(5分)
l 防止污染(机械或流体系统)以及电磁干扰(电气系统)触发共因失效(25分)
l 防止不利环境条件触发共因失效(10分)
对于上面提到的8种措施,每种措施的得分只能得满分或零分,即使是部分满足某种措施,该措施对应的得分也为零。基于此原则计算出安全控制系统防止CCF的措施得分。
足够防止CCF(共因失效)的措施要求最低得分为65分。
在实现PL≥PLr的基础上,CCF适用时其得分大于等于65分,实现安全功能的安全控制系统的设计,才符合GB/T 16855.1或ISO 13849-1的要求。
京公网安备 11011202001138号
