如果時間允許，我喜歡提前做好這些博客，并且至少每批 3 或 4 個。在這一批中，我計劃討論CCF和相關主題，因為我最近不得不復習一下這個主題，作為討論IEC 61508-2：2010附錄E（處理片上冗余）的一部分。我決定在這一批中涵蓋的三個主題涉及CCF，馬爾可夫建模以及為什么我認為強制要求架構不好的討論。

如果硬件可靠性不足，則并行使用兩個通道是提高可靠性的常用解決方案。ISO 13849等一些標準要求（不完全是，但足夠接近）兩個通道。雙通道系統可靠性的限制因素是CCF（常見原因故障）。在這篇博客中，我將總結我對CCF的看法，以及如何量化常見原因故障對危險故障率的貢獻。

縱觀各種標準，對CCF的含義有一種普遍的共識，但也存在差異。

ISO 13849 定義規定它必須來自單個事件，但 IEC 61508 定義允許多個事件。IEC 61508還說它們必須是并發的，但這是什么意思？ISO 13849 定義似乎排除了級聯故障。這兩個定義都沒有說明常見原因故障僅限于危險的故障。一般來說，一些定義可以做一些收緊。雖然字典對并發的定義在實踐中可能說“同時”，但這可能意味著在容錯時間內或需求速率的一小部分。對于單個事件，我認為量化必須包括級聯故障，否則算術不會加起來。下面是一個馬爾可夫模型，用于解釋為什么我說如果不包括級聯故障，它就不會加起來。從通道A失敗到通道A&B的路徑失敗，失敗率為λ，但如果B的故障率根據A是否已經失敗而變化，則無效。因此，從屬故障分析可能比常見原因分析更好地捕獲意圖。

圖 1 - 顯示具有相同冗余的系統的馬爾可夫模型上的 CCF

要記住的重要一點是，我們試圖描述一種情況，即您決定實施雙通道系統以提高可靠性，而限制因素是常見原因故障。基于安全常識（SCS），我傾向于采取保守的方法，包括任何會導致兩個通道在過程安全時間內失效的故障，無論它們是否是級聯故障。

注意 - 我剛剛發明了SCS首字母縮略詞。

請注意，在這兩個定義中都沒有提及故障是由于系統故障模式還是隨機故障模式。這意味著，作為遵循良好設計過程的一部分，您將最小化系統故障模式，并且包括任何剩余系統問題的常見原因故障率與組件的隨機故障率以某種方式相關。在各種量化方案中，對于常見原因故障率，有很多工程判斷，并且在ISO 13849，IEC 62061，IEC 61508-2：2010附錄E（半導體）和IEC 61508-6附錄D表中使用。在大多數情況下，它基于“選美比賽”，您可以在設計或運行過程中實現的功能中獲得積分，并根據總積分為您分配一個β因素（我稍后會回到這個問題）以允許量化 PFH（每小時危險的故障概率）。ISO 13849更像是通過/失敗的測試，如果你得到65分以上，你可以假設β因素為2%。IEC 62061 根據您的分數提供從 1% 到 10% 的四個β因素級別，IEC 61508 還提供 4 個值，范圍從 0.5% 到 10%。在 IEC 61508 和 IEC 62061 中，即使您什么都不做，您也會獲得 10% 的β系數。在所有這些系統中，多樣性會給你帶來很多獎勵積分，但不是必需的（多樣性有時會增加復雜性，因此可能是負面的）。IEC 61508-2：2010 附錄 E 半導體方法不同尋常，因為它規定了一長串最小功能，然后有一個既有正積分又有負積分的積分系統。你開始假設β因子為33%，如果你低于25%，你可以說你的HFT（硬件容錯）為1。這可能很重要，因為某些標準要求高頻交易為 1（請參閱即將發布的博客，了解我對此類要求的看法）。我實際上使用了IEC 61508-6：2010中的表格來根據ISO 3計算CAT 13849架構的β因子，并且通過我的一組假設令人放心，我得到了ISO 2聲稱的13849%的β因子。這一切都有助于對一個主要基于工程判斷的系統充滿信心。

到目前為止，我只是使用了術語β因素，但即使是IEC 61508也使用β，βDB集成電路和β國際.在下面討論β因素的量化過程中，我將嘗試解釋每個因素的含義。要記住的重要一點是，即使CCF的定義包括安全和危險故障，功能安全也更關注危險故障。使用SFF（安全故障分數）指標是我們安全人員為數不多的關注安全故障之一。

出于數學目的，許多標準假設相同的通道，盡管有很多多樣性點。

圖2-β因子示意圖

上圖試圖顯示兩個不同通道的β因子。在左側，您可以看到兩個沒有重疊的通道，因此β因子為 0。在最右邊，你可以看到藍色通道的所有故障也是黃色通道的故障，所以β因子是0，在中間你會看到一個更典型的情況，β因子在1到<>之間。以上還表明，實際常見原因故障率對PFH的貢獻由βmin（λDU1LDU2），因為CCF率不能大于λ的故障率較低的通道。

建模為可靠性框圖（RBD），故障率如下所示。

圖 3 - 符合 IEC 1-2：61508 的 6oo2010 架構的可靠性框圖和 PFH

如果不對β因素進行建模，那么將兩個系統并聯，每個系統的故障率為每1000年一次，將得到一個系統每百萬年一次的失敗率。然而，如果對β因素進行建模，那么失敗率將提高到每10萬年一次到每100萬年一次之間，這是一個更現實的改進。

常見原因故障也可以使用故障樹分析進行建模。事實上，使用 FTA 對其進行建模是顯示對β因素的所有系統貢獻的好方法。在您的工具箱中擁有所有可用的建模方法并為工作選擇合適的建模方法是一項經驗帶來的技能。

圖 4 - CCF 建模的各種方法 – 馬爾可夫、FTA、RBD

我將在以后的博客中介紹馬爾可夫模型，馬爾可夫模型在量化CCF方面也有一席之地。事實上，從上面的可靠性框圖中，很難看出IEC 1中給出的2oo61508架構的PFH數字如此復雜，但在馬爾可夫模型中更容易看到（至少在直觀層面上）。

圖 5 - IEC 61800-5-2：2007 附錄 B 中的馬爾可夫模型

在這個馬爾可夫模型中，您可以看到，雖然模型中間顯示的 CCF 將您直接從安全狀態帶到危險狀態，但您也可以從狀態 S2 和 S3 到達那里。

很難就何時使用可靠性框圖與FTA或馬爾可夫建模給出一般指導，但是如果您的武器庫中有所有三種類型，您會感覺更好。

我答應解釋標準中使用的β因子的一些變體。

IEC 61508-6 分離出檢測到和未檢測到的故障的β因素。 βD 是檢測到的危險故障的β因素，簡單β代表更重要的危險未檢測到故障率。IEC 61508-6 中的許多計算都假定βD=0.5β但沒有跡象表明這是從哪里來的。如果它說βD=β 它將與通常被認為是保守的 50% 安全 50% 危險近似值保持一致，很長一段時間這就是我實際上認為它的意思。

雖然理論上在具有兩個以上通道的系統中，常見原因故障會影響所有通道，但IEC 61508修改了假設的β因素，使其不那么保守。IEC 61508-6 使用β國際表示基本 1oo2 系統的β因子。然后，您可以使用β國際計算任意 MooN 系統的β因子。

B集成電路是符合IEC 61508-2：2010附錄E的IC β系數。沒有提到是否β集成電路意在代表β或βD如上所述，保守地假設這意味著β（未檢測到的危險故障的比例）。在這里保守通常不是那么糟糕，因為IC通常非常可靠，因此β*λ的還是不會那么高。

注意 – 計算β因子時不考慮軟誤差。

圖6 - 常見原因故障的相關故障分析視圖

查看常見原因故障的另一種方法如上所示。在此視圖中，您具有常見原因故障啟動器，但僅當通道之間存在某種耦合機制時，才會發生常見原因故障。

從以上手段降低危險的常見原因故障率包括

減少常見原因引發因素

減少常見原因耦合

降低至少一個冗余組件的故障率

審核編輯：郭婷