可靠性预测的不确定性是否证明强制要求双通道安全是合理的？

在这篇博客中，我将集中讨论针对此类要求给出的最常见的理由之一，即可靠性数字的不确定性。人们的担忧主要集中在较旧的机械技术上，大多数人都认为半导体等新技术的可靠性预测更好。

由于许多双通道安全的倡导者来自机械行业，让我们使用基于ISO 13849的论点。标准中有一个数字显示了CAT（类别 - 5种标准架构之一），DC（诊断覆盖范围）和MTTFd（危险故障率）的组合，可用于实现各种PL（性能水平 - 给定设计所需或实现的安全性的衡量标准）。

图 1 - 图表显示如何结合 MTTFd、DC 和 CAT 以实现所需的 PL

因此，如果我们的危害分析和风险评估表明我们需要PL d安全功能，则图表显示我们可以通过a）CAT 2架构，高可靠性（MTTFd在30至100年范围内）以及低（60%）到中（90%）的直流或b）具有MTTFd高和低（3%）到中（60%）直流的CAT 90架构来实现这一点。

ISO 13849-1的附录K给出了比上表所示更多的数据粒度。附录 K 基于各种架构/类别的马尔可夫建模（见下面的链接）。因此，让我们以 CAT 2 和 CAT 3 架构为例，它们都提供 PL d。

因此，对于PL d，我们需要在1e-6 / h 到1e - 7 / h范围内的PFHd。

设计解决方案 1 – CAT 2（单通道）架构，直流为 90%，MTTFd 为 75 年。

设计解决方案 2 – CAT 3（冗余）架构，直流为 60%，每个通道的 MTTFd 为 47 年。

两种解决方案的PFHd约为3.4e-7 / h，因此在随机硬件错误安全性方面具有相同的性能。两者都在PL d范围内，因此在随机硬件故障的容差方面符合PL d标准。

图 2 - 比较基于 ISO 13849-1 附录 K 的非冗余和冗余架构的可靠性不确定性。

现在让我们假设我们的可靠性数字很糟糕。假设乐观是 2 倍。

因此，对于使用单通道的设计解决方案 1，MTTFd 从 75 年到 36 年（不是完全减半，但与表格给出的一样接近），那么设计解决方案 1 的 PFHd 为 9.39e-7h。

对于使用冗余架构的设计解决方案 2，MTTFd 从 47 年变为 24 年，然后 PFHd 降至 9.47e-7/h。

对于冗余解决方案和非冗余解决方案，我们仍然具有等效的PFHd，并且两者都仍然给出PL d。因此，如果硬件的可靠性估计值为2倍，那么无论解决方案是单通道还是冗余，PFHd都会出现类似的降级。因此，倡导基于可靠性不确定性的冗余架构对我来说毫无意义。也许那些支持CAT 3的人会声称，对双通道系统中两个通道的预测不太可能是乐观的，但我不确定我是否相信这一点。

那么，标准如何防止可靠性数字的不确定性呢？

ISO 13849 通常将您可以声称的最大 MTTFd 限制为 100 年 （1141 FIT），从而防止过度依赖可靠性。

IEC 61508 使用置信度。因此，IEC 50不是将可靠性基于可能是平均值的值（61508%置信度），而是将70%的置信水平作为标准，在某些情况下为90%甚至99%。

此外，SN29500等标准通常用作可靠性数据的来源，没有引用置信水平，但我看到声称它们处于99%的水平。此外，它们混合了系统和随机故障，这意味着如果您只分析随机硬件故障（应使用严格的开发过程解决系统故障），它们可能会悲观 2 倍。

因此，可靠性预测应该已经是保守的了，我不认为人们在安全裕度之上堆积安全裕度是好的做法，因为他们对标准中的内容感到不舒服。

在“可靠性可维护性和风险”一书中，对“预测的置信极限”进行了很好的讨论，作者比较了使用站点特定数据的预测、使用行业特定数据的预测以及使用通用数据的预测。

也许支持双通道安全的更好论据是它可以针对系统故障模式提供保护，这些模式通常不会在可靠性计算中建模。

审核编辑：郭婷