SIL验算的失效数据如何取值

最新推荐文章于 2024-11-14 09:37:39 发布

可靠的豪鹏科技

最新推荐文章于 2024-11-14 09:37:39 发布

阅读量1k

点赞数 12

文章标签：经验分享大数据

本文链接：https://blog.csdn.net/2301_81826310/article/details/142513993

版权

SIL证书的失效数据需要降级70%使用？

1、前言

在最近与客户的交流中，我们频繁地遇到了关于SIL（安全完整性等级）验算的技术性咨询。一个特别突出的问题是，对第三方认证机构如TÜV、Exida、BV等提供的SIL认证证书上的失效数据是否需要按照70%的比例进行降级处理。经过交流分析，我们发现这一疑问源于对标准中关于失效数据70%置信度概念的误解。

起初，我们认为这仅仅是豪鹏科技SIL验算软件用户所特有的困惑。然而，随着讨论的深入，我们意识到这一问题在行业内普遍存在，许多同行也面临着相同的疑问。为了解决这一问题，我们决定撰写一篇专题文章，深入分析和探讨失效数据70%置信度的概念。我们希望通过这篇文章，能够为豪鹏科技SIL验算软件的用户以及整个行业的同行提供一个交流和讨论的平台，共同推动行业的发展和技术的进步。

在这篇文章中，我们将详细阐述“置信区间”，如何正确理解和应用置信度概念。通过这样的分析和探讨，希望能够帮助大家更准确地进行SIL验算，从而确保安全系统的可靠性和有效性。

2、置信区间和置信水平（置信度）

在统计学中，一个概率样本的置信区间（Confidence interval）是对这个样本的某个总体参数的区间估计。置信区间展现的是这个参数的真实值有一定概率落在测量结果的周围的程度。置信区间给出的是被测量参数测量值的可信程度范围，即前面所要求的“一定概率”。这个概率被称为置信水平。

以上解释也许不够通俗易懂，我们来举个例子：假如你有一个装满不同颜色球的大箱子，但你不知道每种颜色球的具体数量。现在，你从箱子里随机抽取一些球，然后根据这些球的颜色比例来估计整个箱子里各种颜色球的比例。

这个估计的过程就类似于统计学中的“置信区间”。你抽取的球的颜色比例就是你对箱子里球颜色比例的估计，而“置信区间”就是告诉你，如果你多次重复这个过程，你的估计值有多少次会落在一个特定的范围内。

“置信水平”就是你对这个估计有多自信。比如，你可能会说“我有95%的把握，箱子里红色球的比例在20%到30%之间”。这里的95%就是置信水平，意味着如果你重复这个估计过程很多次，大约100次中有95次，你的估计值都会落在20%到30%这个范围内。

所以，置信区间和置信水平一起告诉你，你的估计有多可靠。

3、第三方认证数据已考虑70%置信度

由于GB/T 20438适用于更大应用范围，而GB/T 21109明确支持过程工业领域内的安全仪表系统功能安全相关工作，我们有理由相信也更应该依赖GB/T 21109的内容。

GB/T 21109告诉我们，可靠性参数并非完全已知的确定值，而是一个随机变量，其分布或多或少分散在其平均值周围。

分布越尖锐，参数的不确定性就越小。不确定度在图中从左到右递增。在极限情况下，如果参数完全已知，则该曲线将为简单的垂直直线(即狄拉克分布)。

随着现场反馈数据的累积，该可靠性参数的不确定度将逐渐减小。

而当置信区间较宽时(即在现场反馈比较稀疏的情况下)，宜尽快实现可靠性数据收集过程，并且利用已收集的可靠性数据定期更新目标概率测量值的概率预测。
注1：GB/T 21109涉及到需要执行准确可靠性数据的概率计算。如果未从用户处收集可靠性数据，则不能正确实现这一计算。在确定缺乏可靠性数据时，为了填补这一空白而启动特定的可靠性数据收集是一次机会。如果不能用于现在的SIS，则可用于下一个。

由上图可以看出，若使用可靠性参数的平均值λavg，有一半的可能优于实际值，另一半的可能则是劣于实际值。假设我们不幸地使用了劣值，错误地高估了SIS的可靠性，这可能为后续生产埋下隐患。

因此，GB/T 21109提出了一种解决方法，即使用“悲观输入可靠性数据”，通过输入可靠性参数的置信上限值（高于传统的平均值）来完成，保证即便缺乏准确度的情况下，目标测量值（PFDavg或PFH）的评价足够保守。

通常，GB/T21109提出可靠性数据应由不小于70%的统计置信区间上限确定，也就是λ70%>λavg

所以，SIL验算时使用该标准认证的设备应已经将这一方法（置信水平70%）体现在SIL证书上了，即证书上提供的失效数据已经满足70%以上的置信度。

4、实践应用

在安全仪表系统中，置信度是一个重要的概念，它用于评估系统在给定的时间内按照预定的安全要求成功执行其功能的概率。特别是在进行安全完整性等级（SIL）验算时，置信度的使用对于确保安全仪表功能（SIF）的可靠性至关重要。

在SIL验算实践中，置信度的使用确保了风险评估的准确性。通过设定一个置信度阈值，可以确保所计算的失效概率是在可接受的置信水平上。例如，GB/T21109标准规定，用于计算故障率的可靠性数据的统计置信度上限应不低于70%，这意味着计算出的失效概率有至少70%的把握不超过该值，从而为安全仪表系统的设计提供了一个更为保守的风险评估。

置信度70%不是把第三方认证的失效数据降级70%使用，因为SIL证书已经声明该设备采用IEC61508（GB/T20438）或IEC61511（GB/T21109）标准认证，就必然已经符合置信度70%的要求。即置信度大于70% ≠ 降级70%（降低3-10倍使用）且SIL认证证书数据是符合IEC61508等标准要求的，即置信度大于70%。

4、延伸阅读

4.1、置信区间和置信度简介

如果在一次大选中某人的支持率为55%，而置信水平0.95上的置信区间是（50%，60%），那么他的真实支持率有百分之九十五的机率落在百分之五十和百分之六十之间，因此他的真实支持率不足一半的可能性小于百分之2.5（假设分布是对称的)。

如例子中一样，置信水平一般用百分比表示，因此置信水平0.95上的置信区间也可以表达为：95%置信区间。置信区间的两端被称为置信极限。对一个给定情形的估计来说，置信水平越高，所对应的置信区间就会越大。

对置信区间的计算通常要求对估计过程的假设（因此属于参数统计），比如说假设估计的误差是成正态分布的。

置信区间只在频率统计中使用。在贝叶斯统计中的对应概念是可信区间。但是可信区间和置信区间是建立在不同的概念基础上的，因此一般上说取值不会一样。置信空间表示通过计算估计值所在的区间。置信水平表示准确值落在这个区间的概率。置信区间表示具体值范围，置信水平是个概率值。例如：估计某件事件完成会在10~12日之间，但这个估计准确性大约只有80%：表示置信区间（10，12），置信水平80%。要想提高置信水平，就要放宽置信空间。

置信水平是指总体参数值落在样本统计值某一区内的概率；而置信区间是指在某一置信水平下，样本统计值与总体参数值间误差范围。置信区间越大，置信水平越高。

4.2PDS_data_book（安全仪表系统可靠性数据手册）

因此，由于以下因素，所提供的数据与不确定性有关：

数据收集本身;故障报告、分类或数据解释不充分。
安装之间的差异;故障率高度依赖于操作条件，并且设备制造在安装之间也会有所不同。
数据/设备边界的相关性;报告数据中包括/不包括哪些组件？设备部件是否经过维修或简单更换等？
假设的统计模型;恒定故障率的标准假设是否始终与所考虑的设备类型相关？
总的操作经验;给定估计所依据的操作经验的总量是多少？

最后一个要点涉及操作经验量，与建立故障率置信区间的可能性有关。而不是只指定一个平均值，区间可能包括参数。区间包含参数的可能性由置信水平决定。例如，λDU的90%置信区间可由下式给出：[0.1×10-6/小时，5×10-6/小时]。这意味着我们有90%的信心，故障率将位于此区间内。也可以指定单侧置信区间，其中间隔的下限为零。例如，λDU的单侧70%区间可以由[0，4×10-6/h]给出，这意味着我们可以70%确定故障率低于4×10-6/h。

特别是，在IEC 61508-2第7.4.7.4节中，规定基于操作经验的任何故障率数据应具有至少70%的置信水平（类似要求见IEC 61511-1第11.9.2节）。因此，IEC 61508和IEC 61511指出，当使用历史数据时，应该保守，推荐的方法是选择失效率的70%置信度上限，如下图2所示。

一些数据源，如OREDA（陆上与海洋装备可靠性数据手册），提供了故障率估计的置信区间，而大多数数据源，包括本手册，仅提供平均值。然而，在下一节中，已尝试按照IEC 61508/61511标准的要求，以至少70%的置信水平指示故障率值。

……

对上表应作一些评论：

根据来自不同来源和不同装置的数据建立置信区间并不是一项简单的任务。因此，建议的70%上限值应仅作为粗略估计。
如第2.4.1节所述，本手册中提供的通用数据包括经常从制造商故障报告和证书中排除的故障机制。因此，在预测设备的预期风险降低时，表3-5中给出的平均故障率被认为具有代表性。因此，使用上述70%置信上限值应被视为增加结果稳健性的一种方法，例如，在进行敏感性分析时。
在SINTEF报告“运行阶段安全仪表系统（SIS）后续指南”中，[23]描述了更新运行中故障率的程序。为此，需要对λDU进行保守估计。除非有其他设备特定值可用，否则可采用上述70%上限值。

……

作为开发完全符合IEC 61508中给出的系统能力要求的产品的替代方案，制造商可以根据特定设备的运行经验和返回数据声称“已在使用中得到证明”。一个经常出现的问题是“什么时候获得了足够的操作经验，以便声称在使用中得到了证明？”

在SINTEF报告“运行阶段安全仪表系统（SIS）后续指南”[23]中，讨论了在建立新故障率估计的合理信心之前需要多少操作经验。对于来自OREDA的SIS组件数据（探测器、传感器和阀门），可以发现DU故障率的95%置信上限通常是故障率平均值的2-3倍，[23]，[24]。因此，一个建议的声称已在使用中得到证实的“截止”标准可以是，收集的运行经验应足以建立具有可比置信度的故障率估计值，即λDU的95%置信度上限应在平均值的2-3倍范围内。

根据这一标准以及[23]和[24]的进一步工作，对于给定的现场设备，声称“已证明使用”的一些建议规则是：

最短累计运行时间应为250万（2.5 × 106）运行小时，或在考虑的观察期内至少记录了2次未检测到的危险故障4;
应至少从2个具有可比操作环境的装置获得操作数据;
数据应从设备的使用寿命期开始收集（通常这意味着应排除前6个月的操作）;
应实施系统的数据收集和报告制度，以确保所有故障都得到正式记录;
应确保样本中包含的所有设备单元在观察期内至少启动（即测试或要求）一次（以确保从未启动的组件被计入）。

IEC标准中给出了其他要求。应该注意的是，IEC 61508使用术语“已证明使用”，而IEC 61511使用术语“先前使用”。然而，IEC 61508和IEC 61511均未量化所需的操作经验量，但指出对于现场设备，可能有丰富的操作经验可用作证据的基础[对于先前使用，参考IEC 61511-1，第11.5.3节]。

有人可能会说，对于除火灾和气体探测器以外的其他设备，上述关于累计使用时间的要求难以满足。然而，声称在使用中得到证明的一个重要部分是清楚地了解故障机制，如何检测和修复故障，以及需要进行哪些维护活动，以使设备保持“完好如新”。为此目的，需要大量的操作经验，因此，重点应放在改进数据收集和故障登记上。此外，它将要求制造商从运营商那里获得关于运营性能的反馈，也超过了设备的保修期。

……

一般而言，失效数量的增加将导致置信区间变窄，即估计平均值的置信度更高。因此，有经验的DU故障可以“补偿”有限的操作经验（但如果要求低故障率，则无论如何将需要大量的操作时间）。

4.3GB/T 20438-2017 电气电子可编程电子安全相关系统的功能安全

GB/T20438规定了对E/E/PE安全相关系统的要求，以满足与这种系统相关联的全范围的复杂性。但对于低复杂的E/E/PE安全相关系统(见GB/T20438.4-2017的3.4.3)，如有能为达到要求的安全完整性提供必要的置信度的可靠现场经验的情况下，有下列几种选择：

在有关应用和产品领域标准中实现GB/T20438.1~GB/T20438.7要求时，有些要求也许不必要，不符合这些要求是可接受的。
如在有关产品或应用领域没有相应标准，则可直接应用GB/T20438，如有理由认为GB/T20438中的某些要求不必要，不满足这些要求是可接受的。

……

如果选择路线2H，那么当使用可靠性数据来量化随机硬件失效的影响时(见7.4.5)，应该：

a)基于在役组件在类似应用和环境下的现场反馈;和
b)基于按照国际标准(例如，IEC 60300-3-2或ISO 14244)采集的数据;和
C)依据以下条款的评价：
1)大量的现场反馈;和
2专家判断;和
3)如有必要，实施特定的测试。

以预估计算中所用各个可靠性参数(如失效率)的平均值与不确定度(如90%置信区间或概率分布见注2)。
注1：鼓励最终用户按照已发布标准组织相关元器件可靠性数据的收集。
注2：失效率λ的90%置信区间是指，其实际值有90%的概率落在这一区间[λ5%，λ95%]。λ有5%的概率优于λ5%而差于λ95%。基于纯粹的统计学，平均失效率可使用“最大似然估算法”预估，置信区间(λ5%，λ95%)可使用χ^2函数计算。精确度取决于累计的观测时间与所观察到的失效次数。可使用贝叶斯方法处理统计观察、专家判断与具体试验结果。可由此拟合相关的概率分布函数，用于后续的蒙特卡罗仿真。

如选择了路线2，则计算目标失效量时(即PFD或PFH)应考虑可靠性数据不确定度，并应改进系统直至目标失效量达到90%以上的置信度。

……

由于随机硬件失效造成的组件失效的估算失效率[见7.4.9.4的a)和c)]，可通过以下方式之一确定：

a)利用行业公认的组件失效数据，通过对设计做失效模式和影响分析来确定;
b)基于组件在以往类似环境条件下使用的经验来确定(见7.4.10);
注1：所使用的所有失效率都宜具有至少70%的置信度。置信度的统计测定方法请参见参考文献[9，IEC 61164：2004_GBT 39844-2021 可靠性增长统计试验和评估方法]。与其等价的术语“显著性水平”请参见参考文献[10，IEC 62308 2006_GBT XXX- 设备可靠性可靠性评估方法].
注2：最好能获得现场特定的的失效数据，否则，只能采用通用数据。
注3：大多数概率估算方法假定失效率为一恒量，但前提条件是组件没有超过使用寿命。超过使用寿命(即当失效的概率随时间推移大幅度地增长)大多数概率计算方法的结果也就失去了意义。因此，任何概率估算要包括组件使用寿命的规范。使用寿命高度依赖于组件本身和工作条件，特别是温度(例如，电解电容可能是非常敏感的)。经验表明，使用寿命往往在8~12年之间。然而，总是在接近规范极限下工作的组件，其寿命将可能大大降低。

……

如果使用现场数据来支持失效模式与影响分析，现场数据应足以支持安全完整性的要求。在统计学上，最低限度单边置信度下限至少要求达到70%。

……

安全手册中应包含以下内容：
b)分配给组件的置信度：组件的任何证书的细节、已执行的独立评估、集成商能分配给已有组件的完整性。这应包括组件设计的完整性、在设计阶段所遵循的标准，以及传达给集成商的为了支撑所声称的系统性能力而应该被实施的任何约束。(与组件的功能有关，有可能有些要求仅在系统的集成阶段被满足。在这种情况下，这些要求应由集成商为以后的进展进行识别。与响应时间和性能有关的要求是两个这方面的例子)。
注：与GB/T20438.2不同，GB/T20438.3不要求在符合项安全手册中包含软件失效模式或定量的失效率，因为软件错误的原因从根本上不同于GB/T20438.2-2017的附录D关注的随机硬件失效的原因。

……

个人风险
对于员工和公众，确定的风险目标通常不同。员工的个人风险目标适用于暴露最多的人员，表示为每年来自所有生产活动的总风险。由于该目标用于一个假定的人员，因此需要考虑个人工作时间的百分比。该目标适用于暴露人员的所有风险，而单个安全功能的可容忍风险还需要考虑其他风险。
确保总风险降低到规定目标以下可通过多种方式实现。一种方法是对暴露最多的人员考虑所有风险并求和。这种方式在一个人员暴露于多个风险并需要对系统开发提前决策的情况下可能较为困难。另一种方法是将整体个人风险目标按照一定的百分比分配给需考虑的每个安全功能。分配的百分数通常可通过考虑的同类设备的先前经验确定。
单个安全功能的目标值还需要考虑所用风险分析方法的保守性。所有的定性方法，如风险图，都包含对导致风险的关键参数的评估。导致风险的因素包括危险事件后果及发生频率。要确定这些因素，可能需要考虑大量风险参数，如危险事件的严重程度，可能被危险事件影响的人数，危险事件发生时人员出现的概率(即占有率)及避免危险事件发生的概率。
定性方法通常需要判断某一参数是否在确定的取值范围内。当使用这些方法时，需要考虑如下准则：应有高的置信度表明风险不超过目标。这包含设定所有参数的范用边界，以使参数处于边界值的情况也能满足安全规定的风险准则。设置边界范围的方法是非常保守的，因为所有参数都处于范围最坏情况的应用很少。如果公众面临的是E/E/PE安全相关系统失效带来的风险，那么通常使用一个更小的风险目标值。

……

第6部分附录B还提供了相关算法。

……

蒙特卡洛模拟理论是用随机数字来表达出正常和非正常的系统模型。这些行为模型是通过状态转移模型(马尔可夫图、佩特里网、形式化语言等)提供的。蒙特卡洛仿真法就是通过从已被观测的统计结果中生成大量的统计样本来完成的。
在使用蒙特卡洛模拟法的时候要注意偏差、允差、噪声都要取合理的数值。这要通过置信区间来实现，而置信区间可以很容易地从仿真中观察到。和一般的分析方法相反，蒙特卡洛仿真法可以完成自我逼近。小概率事件基本不会发生因此就没有必要定义，从而简化了模型。
蒙特卡洛模拟方法的一般原则是重新声明和重新表示问题，这样相比于追踪初始化问题能获得更加精确的结论。

……

经使用证明的
只有在极少数情况下，“经使用证明的”(见GB/T20438.4，3.8.18)才是一个充分的论据，证明个受信任的软件组件达到必要的安全完整性。对于具有许多可能功能的复杂的组件(例如，操作系统)，确定组件的哪些功能实际上充分经使用证明是很重要的。例如，自检例程用于检测故障，如果在运行期间没有发生失效，我们就不能把用于故障检测的自检例程作为经使用证明的。
如果软件模块符合以下标准，那么它被视为经使用证明的：
——未改变的规范；
——在不同应用中的系统；
——服务历史至少一年；
——按照安全完整性等级或适当的要求次数的运行时间;证明非安全相关的失效率低于

在置信度 95%时，每次需求(或每年)为10-2，发生 300次要求(或运行 300年)。
在置信度 99.9%时，每次需求(或每年)为10-5，发生690000次要求(或运行 690 000年)；

注1：见附录D对上面数值估算的数学支持。见B.5.4相似的措施和统计学的方法。
——所有的运行经验必须与一个已知软件组件的功能要求概要相关，以确保增强的运行经验真正增强与要求概要相关的软件组件行为的知识；
——没有安全相关的失效。
注2：一个失效在一种情形下可能不是安全关键的，而在另一种情形下是安全关键的，反之亦然。
为了能验证软件组件符合这些标准，必须记录以下几项：
——准确标识每一系统和它的组件，包括版本号(对软件和硬件而言)
——用户的标识和应用的时间；
——运行时间；

……

第7部分附录D还提供了相关算法。

4.4GB/T 21109.2-2023 过程工业领域安全仪表系统的功能安全

对于未使用 FVL或LVL，可编程设备的SIS或SIS子系统，若表6规定的最小HFT导致额外故障并导致整体过程安全降级，则HET可以减小。这种情况应开展论证并形成文档。论证时应有证据证明计划的架构符合预期目的并且满足安全完整性要求。
注：故障裕度是实现要求置信度(实现健壮的架构)的首选解决方案。当应用本条时，论证的目的是证明提议的咎代架构提供了等效的或更好的解决方案。这可能取决于应用和/或使用的技术;如备用设置(例如，解析冗余.用其他传感器输出量的物理计算结果代替某个失效的传感器输出量);使用同类技术的更可靠产品(如果有);改用更可靠的技术;通过使用多样性技术减小共因失效的影响;提高设计余量;限制环境条件(例如，针对电子组件)：通过收集更多的现场反馈或专家判断减小可靠度的不确定性。

……

在计算失效量时应评估和考虑可靠性数据的不确定度。
注 1：可靠性数据的不确定度可通过现场反馈的数量(越少的现场反馈意味着越大的不确定度)或/和运用专家判断来进行评价。已出版的标准(IEC 60605-4)，贝叶斯方法，工程判断技术等可被用于估计可靠性数据的不确
定度。
注2：下列技术可被用于计算失效量(详见IEC 61511-2：2016)：
——对各输入的可靠性参数，采用 70%置信区间的上限值而不采用其平均值，以获得失效量的保守估计；
——利用输入的可靠性参数的概率分布函数，进行蒙特卡罗模拟得出可代表失效量分布的柱状图，并用此分布评估出一个保守值(例如，失效量真值有90%的置信度优于计算值)。

……

失效量计算中使用的可靠性数据应由不小于70%的统计置区间上限确定。

……

第2部分附录A还提供了相关算法。