安全控制技术
[编者按] 本刊在2007～2008的两年间，在“安全控制技术”栏目共安排了12讲功能安全技术讲座，系统介 绍了功能安全的基本概念、方法与技术，并针对读者关心的一些问题进行了分析，得到广大读者的广泛关 注与积极回应。2009年，该讲座还将继续进行，主题将集中在安全相关子系统的功能安全评估与认证技术 上。本讲主讲人是刘瑶工程师。
例四，检修人员打开控制机柜门检查工作状 态，此时，对讲机传来另一处需要紧急检修的信息， 他回应“马上到”。由于机柜中容错系统的两个处理 器安装在同一机架中，这时它们受到同样的电磁干扰 因而发生故障。这两个处理器是安全仪表系统的一部 分，这就导致一个主要的过程单元立刻停止工作。究 其产生原因就是机柜门打开、对讲机传来的无线电信 息产生电磁干扰。
当共因失效不是严格地在同一时间内发生时， 可以借助多通道之间的比较方法采取预防措施。采用 这种比较方法可以在失效成为所有通道共有失效之前 检测出来。
一般情况下，实际分析过程中，共因失效分析 可分以下四个步骤进行：
1 )建立系统逻辑模型 要求对系统有一个基本的认识。需要考虑故障 模式、边界条件和逻辑模型等。 2 )识别共因事件组
自的印刷电路板上？
如果传感器/最终元件拥有专用的控制电子电路，那么每个通道的电子电路是否分别位于室
内各自的控制台内？
多样性与冗余
各通道是否使用不同的电子技术？例如使用一个电子电路、可编程电子及其他继电器。
7.0
各通道是否使用不同的电子技术？例如使用一个电子电路或其他可编程电子。
5.0
各传感器件是否使用不同的物理原理？例如压力、温度叶片式风速计及多普勒变换器等。
影响。主要包括敏感性分析和备选后续措施的选择等。 4 共因失效的量化方法。
λDD—检测到单一通道的失效概率，即在诊断测 试范围内单一通道的失效概率；此时，如果诊断测试
在GB 20438（IEC 61508）中介绍了一种在E/E/ 的重复率高，则有一部分失效将被揭露出来，从而导
PE系统中量化共因失效的方法。在两个或多个系统 并行操作时，采用一个共因失效因子β根据其中一个 系统的随即硬件失效估算共因失效率。此方法的应用 范围局限于硬件的共因失效。方法如下：
内部影响也是共因失效的一个主要原因，例如 相同部件以及它们的接口的设计缺陷，或者部分部件 的老化。
事实上，很多共因失效都是内外部因素共同作 用的结果。以下是几个共因失效的示例：
例一，某个冗余系统中，为保证可靠性使用了 两个元件使它们同时起作用，但系统所处环境忽然发
生地震，结果两元件都失效了。导致此次共因失效的 客观原因就是环境因素——地震，内部原因则是元件 本身的抗震性能不够。
λDUβ+λDDβD 式中：
利用经验数据选择所要使用的共因失效模型、 最小割集和参数估计等。
λDU—单一通道中未检测到的失效概率，即诊断 测试覆盖范围之外的失效概率。
4 )系统量化和结果的进一步解释
β—不可能检测到的危险故障的共因失效系数，
确定系统失效的可能性和共因失效对最终结果的 它等于在没有诊断测试时应用的总β系数。
例二，某输油站场中，出站处高压报警、高压 泄压、压力高高连锁保护停泵等保护措施共用一个压 力变送器。一旦压力变送器发生故障，上述三层保护 会同时失效，这就产生了共因失效，如果此时管内石 油压力过高则是相当危险的。其根本原因就是保护层 之间不独立，取压点未分开单独设立。
例三，为确保阀门关断时能切断管内流质，在 管道中串联安装了两个阀门。设计时这两个阀门均为 带电跳闸。若此设备附近发生火灾，则安全监控系统 一旦检测到这一情况后即给两个阀门上电，但是由于 两个阀门的电缆都铺设在同样的电缆槽上，而这个电 缆槽恰恰就在火灾区域，其后果是电缆被毁坏，两个 阀门都不能关闭。造成此次共因失效的根本原因是冗 余电缆的物理位置相同，外部因素是火灾，内部因素 则是设计缺陷。
16 仪器仪表标准化与计量 2009 . 6
安全控制技术
对 所 有 可 能 发 生 共 因 失 效 的 系 统 单 元 进 行 检 是在诊断测试覆盖范围之内的（总可以被检测到的）。
查。考察外部因素与内部影响，进一步确定共因失效
则危险共因失效引起的总失效概率为：
建模的先后次序。 3 )共因建模和数据分析
上面的几则示例分别从环境因素、设计缺陷、 电磁干扰等方面说明了共因失效的产生原因。 3 共因失效的分析方法
根据GB20438（IEC 61508），共因失效的分析 方法是：通用的质量控制；设计复审；由一个独立小 组进行的验证和测试；根据类似系统反馈的经验分析 实际的意外事故。然而此分析范围超出了硬件范围。 即使在一个冗余系统的各通道中使用软件多样化，还 是有可能在软件方法中存在一些共性，他们将引起共 因失效，例如共用的规范中的错误。
X、Y的确定方法如下：
λDβ。其中λD为各通道随机硬件危险失效的概率，β 为无诊断测试时的β系数，也就是影响所有通道的单 一通道的失效分数。
假设共因失效影响所有通道，并且与连续共因 失效的时间间隔相比，第一个通道被影响到所有通道
用户需确定系统中为避免共因失效应使用哪些 措施，然后根据表1分别求出每个逻辑子系统的XLS之 和、YLS之和，以及传感器和最终元件的XSF 之和、 YSF之和，求出它们的总和就可分别得出X、Y。
Z的值由表2、表3获得。
被影响之间的时间间隔较小。
5 如何降低共因失效概率
假设每一个通道中均执行诊断测试来检测和揭露
降低共因失效的方法主要有以下三类：
一部分失效，则可将所有失效分为两大类：一类是在诊
a）减少随机硬件失效和系统失效的总数（即减
断测试覆盖范围之外的（不可能被检测到的），另一类 少图1中两圆重合的部分）。
Chapter 18: The Common Cause Failure in the Safety Instrumented System 刘瑶
（机械工业仪器仪表综合技术经济研究所，北京市 100055） Liu Yao
(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)
设备是否使用不同的电原理/设计方案？例如数字或模拟、不同的制造商（不重复标记）或
不同的技术
通道是否使用具有增强冗余的MooN结构？其中N>M+2
2.0 0.5
是否使用低多样性方法？例如使用同样的技术进行硬件诊断测试。
2.0 1.0
是否使用中等多样性方法？例如使用不同的技术进行硬件诊断测试。
3.0 1.5
共因失效产生的原因可能是环境因素，如火、 水、地震、电磁干扰、撞击等。同时，系统也可能受 与操作和维护有关的意外事故的影响，如运行期间的 组态错误或错误指令、人为的误开/关行为，维护期 间的升级错误和安装错误、维修程序错误、校准错误 以及更换设备错误等，它们都可能对冗余系统内的多 个部件造成影响。通常，冗余系统的所有部分都使用 同一个程序，这就存在发生共因失效的潜在可能性。 对此最根本的解决办法是，为操作和维护编写严格合 理的规程并使相关人员得到良好的培训。
致β即βD减小。 βD—可检测到危险故障的共因失效系数。当诊
断测试的重复率提高时，βD的值越来越小，并下降到 β之下。
考虑在多通道系统中的每一个通道中执行诊断 测试时，共因失效对该系统的效应。
在应用β系数模型时，危险的共因失效的概率为
β、βD均可从表4中获得：β计算公式为S =X +Y ； βD计算公式为 SD=X(Z+1)+Y。
表1 可编程电子或传感器和最终元件的评分[1]
项目
逻辑子系统
分离/隔开
XLS
YLS
在所有位பைடு நூலகம்，各通道的全部信号电缆布线是否都已分隔开？
1.5 1.5
逻辑子系统的所有通道的印刷电路板是否是单独的？
3.0 1.0
逻辑子系统通道是否在各自的框架中？
2.5 0.5
如果传感器/最终元件拥有专用的控制电子电路，那么每个通道的电子电路是否分别位于各
在设计活动中设计者在设计通道时相互间是否不进行交流？
1.0 1.0
在试运行期间，每个通道是否使用不同人员和不同测试方法？
1.0 0.5
在不同时间，由不同人员对每个通道是否进行维护？
2.5
传感器和
最终元件
XSF
YSF
1.0 2.0
2.5 1.5 2.5 0.5
安全仪表系统（SIS）是指用来实现一个或几个 仪表安全功能的仪表系统，它包括从传感器到最终 元件的所有部件和子系统。目前SIS正广泛应用于石 油、化工、电力等过程工业领域，用以监测生产过程
中的安全参量，以便在出现危险时及时采取有效措施 从而防止人身伤害、经济损失及环境影响。根据GB 21109（IEC 61511），SIS的其中一项设计要求就是 识别和考虑共因失效。在给保护层分配安全功能时，
主讲人简介： 刘瑶，女，工学学士，机械工业仪器仪表综合技术经济研究所功能
安全技术研发中心工程师，参与功能安全标准I E C 61508（G B/T 20438） 及I E C 61511（G B/T 21109）技术与应用研究、宣传和推广，功能安全 HAZOP+SIL工程项目技术辅助与支持。
第十八讲 安全仪表系统中的共因失效
仪器仪表标准化与计量 15 2009 . 6
Control Tech of Safety & Security
共因失效、共同模式失效和相关失效也是需要考虑的 内容。下面将详细介绍共因失效。 1 共因失效的定义
共同原因失效（common cause failure）是指由一 个或多个事件引起一个多通道系统中的两个或多个分 离通道失效，从而导致系统失效的一种失效。它是一 种相关失效。相对应的，在GB 21109（IEC 61511） 中，还有一个词即共同模式失效（common mode failure）与它相似但不完全相同，共同模式失效是指 两个或多个通道以同样的方式引起相同的误差结果的 失效。在此特别提请注意的是，共因失效是指多个通 道失效的原因（即引发事件）相同，但它们造成的误 差结果未必相同；而共模失效是说多个通道失效的方 式相同，而且引起的结果亦相同。