功能安全技术讲座 第十八讲 安全仪表系统中的共因失效

　　安全仪表系统(SIS)是指用来实现一个或几个仪表安全功能的仪表系统，它包括从传感器到最终元件的所有部件和子系统。目前SIS正广泛应用于石油、化工、电力等过程工业领域，用以监测生产过程中的安全参量，以便在出现危险时及时采取有效措施从而防止人身伤害、经济损失及环境影响。根据GB 21109(IEC 61511)，SIS的其中一项设计要求就是识别和考虑共因失效。在给保护层分配安全功能时，共因失效、共同模式失效和相关失效也是需要考虑的内容。下面将详细介绍共因失效。

　　1 共因失效的定义

　　共同原因失效(common cause failure)是指由一个或多个事件引起一个多通道系统中的两个或多个分离通道失效，从而导致系统失效的一种失效。它是一种相关失效。相对应的，在GB 21109(IEC 61511)中，还有一个词即共同模式失效(common m o d efailure)与它相似但不完全相同，共同模式失效是指两个或多个通道以同样的方式引起相同的误差结果的失效。在此特别提请注意的是，共因失效是指多个通道失效的原因(即引发事件)相同，但它们造成的误差结果未必相同;而共模失效是说多个通道失效的方式相同，而且引起的结果亦相同。各个通道失效与共因失效的关系见图1所示。

　　2 共因失效的产生

　　由定义可看出，共因失效发生在多通道系统中，如冗余、多数表决。不同的设备、模块、组件都可能产生共因失效。增加冗余可以提高系统的故障裕度，避免随机硬件失效，因此它是降低系统失效可能性的一种有效方法，但是人们常常发现冗余系统的一些可靠性指标如PFD、MTTF却比理论值低，经研究发现这是由共因失效导致的[4]，它削弱了冗余的作用。共因失效产生的原因可能是环境因素，如火、水、地震、电磁干扰、撞击等。同时，系统也可能受与操作和维护有关的意外事故的影响，如运行期间的组态错误或错误指令、人为的误开/关行为，维护期间的升级错误和安装错误、维修程序错误、校准错误以及更换设备错误等，它们都可能对冗余系统内的多个部件造成影响。通常，冗余系统的所有部分都使用同一个程序，这就存在发生共因失效的潜在可能性。对此最根本的解决办法是，为操作和维护编写严格合理的规程并使相关人员得到良好的培训。

　　内部影响也是共因失效的一个主要原因，例如相同部件以及它们的接口的设计缺陷，或者部分部件的老化。

　　事实上，很多共因失效都是内外部因素共同作用的结果。以下是几个共因失效的示例：例一，某个冗余系统中，为保证可靠性使用了两个元件使它们同时起作用，但系统所处环境忽然发生地震，结果两元件都失效了。导致此次共因失效的客观原因就是环境因素——地震，内部原因则是元件本身的抗震性能不够。