久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

                        

    作者簡(jiǎn)介：史學(xué)玲，女，現(xiàn)任機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所副總工程師，功能安全中心主任，全國(guó)測(cè)量控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)系統(tǒng)及功能安全分技術(shù)委員會(huì)副主任委員，IEC61511標(biāo)準(zhǔn)工作組中國(guó)專家。主要研究方向?yàn)楣δ馨踩翱刂葡到y(tǒng)可信性評(píng)估。先后承擔(dān)并完成了科技部下達(dá)的國(guó)家軟科學(xué)研究、國(guó)家“863”計(jì)劃、國(guó)家科技支撐計(jì)劃、科研院所開發(fā)等十多個(gè)研究項(xiàng)目，在控制設(shè)備及系統(tǒng)的功能安全關(guān)鍵技術(shù)上實(shí)現(xiàn)多項(xiàng)突破，獲得2份計(jì)算機(jī)軟件著作權(quán)登記證書，在各類雜志上發(fā)表論文近30篇，作為主要起草人參加起草了3個(gè)功能安全國(guó)家標(biāo)準(zhǔn)。先后獲省部級(jí)二等獎(jiǎng)2次、三等獎(jiǎng)1次
摘要：在役過程控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估、可靠性評(píng)估、可用性評(píng)估與安全性評(píng)估都是系統(tǒng)可信性評(píng)估的一個(gè)方面，應(yīng)按照國(guó)際標(biāo)準(zhǔn)的要求，采用與國(guó)際接軌的方法進(jìn)行。

    關(guān)鍵詞：在役 控制系統(tǒng) 風(fēng)險(xiǎn)評(píng)估 系統(tǒng)可信性評(píng)估 可靠性評(píng)估 安全性評(píng)估 可用性評(píng)估

    大規(guī)模工業(yè)生產(chǎn)過程能否平穩(wěn)安全地運(yùn)行，極大地依賴于控制系統(tǒng)的可信性。因?yàn)榭刂葡到y(tǒng)是生產(chǎn)過程的神經(jīng)與指揮，一旦發(fā)生故障與失效，不但會(huì)造成非計(jì)劃停產(chǎn)，破壞生產(chǎn)的平穩(wěn)運(yùn)行，給企業(yè)造成巨大經(jīng)濟(jì)損失，還有可能危及生產(chǎn)人員安全，甚至可能造成工廠毀滅性的災(zāi)難。

    作為一個(gè)可信賴的控制系統(tǒng)，它必須隨時(shí)可以執(zhí)行其功能。這屬于可用性方面的問題，它取決于系統(tǒng)的故障發(fā)生頻率（可靠性）和系統(tǒng)恢復(fù)正常所需的時(shí)間（可維修性）。但事實(shí)上，當(dāng)系統(tǒng)準(zhǔn)備執(zhí)行其功能時(shí)，并不表示系統(tǒng)功能一定會(huì)被正確執(zhí)行。這又涉及到信任性方面的問題。信任性取決于在系統(tǒng)處于不能正確執(zhí)行某些或全部功能的狀態(tài)時(shí)，系統(tǒng)發(fā)出警告的能力（忠實(shí)性）；還取決于系統(tǒng)拒絕任何不正確輸入或未經(jīng)許可進(jìn)入系統(tǒng)的能力（防護(hù)性）。其之間關(guān)系如圖1所示。

    隨著計(jì)算機(jī)控制技術(shù)的快速發(fā)展,控制設(shè)備系統(tǒng)如DCS 的人機(jī)接口更新頻繁,控制器不斷升級(jí),許多系統(tǒng)投用不久就面臨升級(jí)與改造。在我國(guó)石油、化工、冶金、電力、機(jī)械等領(lǐng)域，大量不同時(shí)期、不同供應(yīng)商提供的控制系統(tǒng)及設(shè)備應(yīng)用于各類生產(chǎn)過程中，各行業(yè)企業(yè)不同程度地存在著設(shè)備老化與可靠性不足、備品備件不足、人員培訓(xùn)不夠、人員難以掌握眾多品牌的系統(tǒng)設(shè)備維修維護(hù)技術(shù)等問題，因此，控制系統(tǒng)失效導(dǎo)致生產(chǎn)事故與安全事故的風(fēng)險(xiǎn)很大。為了保證生產(chǎn)平穩(wěn)與安全高效，或?yàn)榱舜_定系統(tǒng)改造方案，不少用戶都提出并進(jìn)行了安全性評(píng)估、可靠性評(píng)估、可用性評(píng)估、風(fēng)險(xiǎn)評(píng)估等不同評(píng)估，希望能把因控制失效導(dǎo)致風(fēng)險(xiǎn)的可能降至最低。實(shí)際上，所有這些評(píng)估都是可信性評(píng)估的一個(gè)方面，應(yīng)按照國(guó)際標(biāo)準(zhǔn)的要求，采用與國(guó)際接軌的方法進(jìn)行。

    本文從介紹國(guó)際標(biāo)準(zhǔn)與基本定義開始，提出了一套評(píng)估控制系統(tǒng)可信性時(shí)需要考慮的因素、應(yīng)掌握的基礎(chǔ)技術(shù)，以及應(yīng)采用的評(píng)估技術(shù)。

    1 控制系統(tǒng)可信性評(píng)估標(biāo)準(zhǔn)概述

    國(guó)際標(biāo)準(zhǔn)IEC61069.1~8（中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18272.1~8）“工業(yè)過程測(cè)量和控制系統(tǒng)評(píng)估中系統(tǒng)特性的評(píng)定”包括8個(gè)分標(biāo)準(zhǔn)，可以供控制系統(tǒng)的用戶和制造廠以及負(fù)責(zé)評(píng)估的獨(dú)立研究機(jī)構(gòu)評(píng)估控制系統(tǒng)特性時(shí)使用，進(jìn)行可信性評(píng)估時(shí)，這是一套可借鑒的標(biāo)準(zhǔn)。

    IEC62278（GB/T21562）“ 軌道交通 可靠性、可用性、可維修性和安全性規(guī)范及示例”雖然是為軌道交通行業(yè)制定的，但它定義的安全性與可用性評(píng)估、管理、分析方法等要求可以為其它應(yīng)用領(lǐng)域借鑒。

    IEC61508.1~7（GB/T20438.1~7）“電氣、電子、可編程電子安全相關(guān)系統(tǒng)的功能安全”包括7個(gè)分標(biāo)準(zhǔn)，它規(guī)定了控制系統(tǒng)功能安全的基本要求，也可用于功能安全評(píng)估。以此標(biāo)準(zhǔn)為基礎(chǔ)的其它功能安全標(biāo)準(zhǔn)都是進(jìn)行安全性評(píng)估時(shí)需要考慮的重要內(nèi)容。

    IEC61511.1~3（GB/T21109.1~3）“過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全”。這套標(biāo)準(zhǔn)包括3個(gè)分標(biāo)準(zhǔn)，規(guī)定了流程工業(yè)領(lǐng)域安全儀表系統(tǒng)功能安全的基本要求，在石油、化工、電力、冶金等流程工業(yè)領(lǐng)域進(jìn)行評(píng)估時(shí)需要參考此標(biāo)準(zhǔn)。
IEC 62439與IEC61784-3分別描述了自動(dòng)化網(wǎng)絡(luò)的可用性與安全性相關(guān)要求。

    依據(jù)評(píng)估目的、范圍不同，還會(huì)有一些領(lǐng)域?qū)Ｓ脴?biāo)準(zhǔn)需要參考借鑒。

   2  相關(guān)術(shù)語與基本定義

    2.1可信性 denpendability 

    假定具備必要的外部資源，系統(tǒng)能在規(guī)定的條件下，在規(guī)定的一瞬間或一段時(shí)間內(nèi)正確地完成特定任務(wù)的可信賴程度[1]。

    可信性的層次如圖1所示。

                   

                                      圖1 可信性的層次

    2.2可用性（availability）

    可用性定義是: 在要求的外部資源得到保證的前提下，產(chǎn)品（裝備）在規(guī)定的條件下和規(guī)定的時(shí)刻或時(shí)間區(qū)間內(nèi)處于可執(zhí)行規(guī)定功能狀態(tài)的能力。

    2.3可靠性（reliability）

    可靠性的定義是：在給定條件下和規(guī)定時(shí)間間隔內(nèi)，產(chǎn)品執(zhí)行所需功能的能力。

    系統(tǒng)的可靠性取決于系統(tǒng)各個(gè)部件的可靠性以及這些部件在執(zhí)行系統(tǒng)任務(wù)時(shí)的協(xié)作方式。部件的協(xié)作方式可包括功能冗余（同類或不同類）、功能退化和功能下降。系統(tǒng)的可靠性相對(duì)于每一項(xiàng)任務(wù)來說可能是各不相同的。各項(xiàng)任務(wù)的可靠性均可量化，但其預(yù)計(jì)置信度水平則各不相同。系統(tǒng)各個(gè)硬件的可靠性可以采用部件計(jì)數(shù)法進(jìn)行預(yù)計(jì)。然后利用綜合法就可以預(yù)計(jì)系統(tǒng)的可靠性。

    2.4可維修性（maintainability）

    可維修性的定義是：一個(gè)實(shí)體在規(guī)定的條件下采用規(guī)定的程序和資源進(jìn)行維修以后，可以在規(guī)定的使用條件下保持或恢復(fù)到能完成規(guī)定功能的狀態(tài)的能力[2]。

    系統(tǒng)的可維修性取決于系統(tǒng)各個(gè)部件的維修性以及系統(tǒng)的物理結(jié)構(gòu)和功能結(jié)構(gòu)。物理結(jié)構(gòu)影響到存取的難易程度和更換性等。功能結(jié)構(gòu)影響到診斷等的難易程度。

    在定量表示一個(gè)系統(tǒng)的可維修性時(shí)，應(yīng)該把使系統(tǒng)恢復(fù)到完全能執(zhí)行其任務(wù)的狀態(tài)所需采取的各種措施計(jì)算在內(nèi)，包括檢測(cè)故障、通知維修、論斷和排除故障起因、調(diào)和及檢驗(yàn)等所需的時(shí)間。還應(yīng)通過核對(duì)下列項(xiàng)目的保障措施和覆蓋系數(shù)，給可維修性的定量表示增加定性說明：

    發(fā)生故障時(shí)的通報(bào)方式，如燈光、報(bào)警信息、報(bào)告等；
    訪問方式，為便于人員存取和連接測(cè)量?jī)x表，模塊化程度等；
    診斷，故障直接識(shí)別、本身對(duì)系統(tǒng)沒有影響的診斷工具、遠(yuǎn)程維修支持裝置、統(tǒng)計(jì)誤差檢查和報(bào)告會(huì)；
    修復(fù)性、更換性：模塊化程度、模塊和元件的明確識(shí)別、幾乎不需要專用工具、更換元件或模塊時(shí)對(duì)其它元件或模塊的影響程度；
    檢驗(yàn)：維護(hù)指導(dǎo)程度，極少量檢驗(yàn)要求。

    2.5忠實(shí)性 （integrity）

    在系統(tǒng)處于不能正確執(zhí)行某些或全部功能的狀態(tài)時(shí)，系統(tǒng)發(fā)出警告的能力。

    系統(tǒng)的忠實(shí)性取決于在系統(tǒng)的輸出元件上實(shí)現(xiàn)的檢驗(yàn)輸出是否正確的機(jī)理，同時(shí)也取決于系統(tǒng)內(nèi)部實(shí)現(xiàn)的檢測(cè)和防止系統(tǒng)部件之間錯(cuò)誤地傳輸信號(hào)和數(shù)據(jù)的機(jī)理。對(duì)于每一個(gè)其本身就可被看作是一個(gè)系統(tǒng)的相關(guān)部件而言，這兩種內(nèi)部機(jī)理就是忠實(shí)性機(jī)理或防護(hù)性機(jī)理。

    2.6 防護(hù)性 （security）

    系統(tǒng)拒絕任何不正確輸入或未經(jīng)許可進(jìn)入系統(tǒng)的能力。

    系統(tǒng)的防護(hù)性取決于系統(tǒng)邊界上實(shí)現(xiàn)的檢測(cè)和防止不正確的輸入或未經(jīng)許可存取的機(jī)理。

    2.7安全性(Safety)

    免除不可接受的風(fēng)險(xiǎn)影響的特性。

    2.8完全完整性（safety integrity）

    在所有規(guī)定的條件下系統(tǒng)在規(guī)定時(shí)間內(nèi)實(shí)現(xiàn)所需安全功能的可能性

    2.9安全完整性等級(jí) （SIL）(safety integrity level（SIL） 

    一種離散的等級(jí)（四種可能等級(jí)之一），用于規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)的安全功能的安全完整性要求，在這里，安全完整性等級(jí)4是最高的，安全完整性等級(jí)1是最低的[3]。

    2.10系統(tǒng) （system）

    系統(tǒng)可定義為用一定的方法組織起來獲得特定功能的子系統(tǒng)的部件集合。這些功能分配給系統(tǒng)中的子系統(tǒng)和部件，且系統(tǒng)的性能和狀態(tài)隨著子系統(tǒng)或部件功能的改變而改變。系統(tǒng)對(duì)輸入做出響應(yīng)以產(chǎn)生指定的輸出，同時(shí)與環(huán)境相互影響。一個(gè)通用的系統(tǒng)模型如圖2所示。

                               

                    圖2 工業(yè)過程測(cè)量和控制系統(tǒng)模型

    2.11可用性與安全性的關(guān)系

    安全性和可用性相互關(guān)聯(lián)，對(duì)安全性要求和可用性要求之間的沖突如果管理不善，會(huì)妨礙獲得可信的系統(tǒng)。其相互關(guān)系如圖3所示。

                

                圖3 控制系統(tǒng)可用性、安全性與可靠性和可維修性的關(guān)系

    由圖3可知，只有滿足了可靠性和可維修性的所有要求，并控制正在進(jìn)行的、長(zhǎng)期的維修、運(yùn)營(yíng)活動(dòng)及環(huán)境，才能達(dá)到運(yùn)行期間的安全性和可用性的目標(biāo)。

    3 評(píng)估可信性時(shí)需要進(jìn)行的分析

    要評(píng)估一個(gè)系統(tǒng)的可信性，必須確定和評(píng)估對(duì)系統(tǒng)可信性起決定作用的一些子特性，每一種子特性都取決于系統(tǒng)模塊的結(jié)構(gòu)配置以及這些模塊的可信性特性，這些模塊的子可信性特性與系統(tǒng)的可信性特性之間的關(guān)系可能是相當(dāng)復(fù)雜的。系統(tǒng)級(jí)的每一種子特性可能取決于模塊級(jí)的若干種子特性?？尚判缘哪承┨匦钥梢杂酶怕时硎?，有些特性可以量化，有些特性只能用定性的方法加以描述。

    當(dāng)一個(gè)系統(tǒng)執(zhí)行若干個(gè)系統(tǒng)任務(wù)時(shí)，其可信性可能會(huì)因系統(tǒng)任務(wù)的不同而發(fā)生變化，這就需要分別對(duì)每一項(xiàng)任務(wù)進(jìn)行分析。需要對(duì)每一項(xiàng)任務(wù)明確所涉及的子系統(tǒng)、模塊、元件，明確任務(wù)的相對(duì)重要性（重要度分級(jí)），認(rèn)定任務(wù)故障的定義，以可信性特性表示的故障的判斷依據(jù)、工作和運(yùn)行環(huán)境。

   4  評(píng)估可用性與安全性時(shí)需要考慮的影響因素

    4.1評(píng)估可用性

    系統(tǒng)的可用性取決于系統(tǒng)各個(gè)部件的可用性以及這些部件在執(zhí)行系統(tǒng)任務(wù)時(shí)的協(xié)作方式。部件的協(xié)作方式可包括功能冗余（同類或不同類）、功能退化和功能下降。事實(shí)上，可用性取決于所采用的程序和可用于維持系統(tǒng)工作的資源。系統(tǒng)的可用性對(duì)于系統(tǒng)的每一項(xiàng)任務(wù)來說可能是各不相同的。各項(xiàng)任務(wù)的系統(tǒng)可用性可以按兩種方式加以量化。

    4.1.1預(yù)計(jì)系統(tǒng)的可用性時(shí)，可按式（1）計(jì)算：

    可用性=平均失效前時(shí)間/（平均失效前時(shí)間+平均恢復(fù)時(shí)間） （1）
    式中： “可用性”指規(guī)定任務(wù)的系統(tǒng)可用性；
    “平均失效前時(shí)間”是從系統(tǒng)恢復(fù)到執(zhí)行規(guī)定任務(wù)的狀態(tài)起，至因故障而中止執(zhí)行任務(wù)止的平均時(shí)間；
    “平均恢復(fù)時(shí)間”是從系統(tǒng)因故障而中止執(zhí)行任務(wù)起，至恢復(fù)執(zhí)行規(guī)定任務(wù)止所需總時(shí)間的平均值。

    4.1.2對(duì)于正在工作中的系統(tǒng)，可以用下列公式計(jì)算可用性：

    可用性=系統(tǒng)已經(jīng)能執(zhí)行任務(wù)的總時(shí)間/預(yù)計(jì)系統(tǒng)執(zhí)行任務(wù)的總時(shí)間

    4.2可用性與安全性的綜合評(píng)估

    影響控制系統(tǒng)可用性與安全性的因素，主要來源于系統(tǒng)生命周期中任何階段系統(tǒng)內(nèi)部的失效（系統(tǒng)因素）、運(yùn)行過程中環(huán)境因素導(dǎo)致的失效（運(yùn)行因素）和在系統(tǒng)維修工作中導(dǎo)致的失效（維修因素）。這些失效源相互作用，其關(guān)系如圖4所示。

                

                    圖4控制系統(tǒng)可用性與安全性的三個(gè)影響因素

    系統(tǒng)因素考慮是的在系統(tǒng)生命周期內(nèi)任何階段系統(tǒng)內(nèi)部的失效，包括系統(tǒng)性失效與隨機(jī)性失效兩類。導(dǎo)致系統(tǒng)性失效的原因通常有要求錯(cuò)誤、設(shè)計(jì)與實(shí)現(xiàn)不充分、制造缺陷、內(nèi)在缺點(diǎn)、軟件錯(cuò)誤、工作指令不足、指令不充分、人為錯(cuò)誤等等；導(dǎo)致系統(tǒng)隨機(jī)性失效主要是由于工作模式、環(huán)境、應(yīng)力、磨損等原因?qū)е碌目煽啃圆蛔恪?br />
    運(yùn)行因素考慮的主要是環(huán)境條件、人為因素、工作程序、任務(wù)變動(dòng)、后勤等過程中強(qiáng)加給系統(tǒng)的失效。

    維修因素考慮的是人為因素、維修程序、售后服務(wù)等在系統(tǒng)維修工作中強(qiáng)加給系統(tǒng)的失效。復(fù)雜控制系統(tǒng)的維護(hù)維修是一項(xiàng)技術(shù)管理綜合性很強(qiáng)的工作。

    為了實(shí)現(xiàn)高可用性與高安全性的系統(tǒng)，需要確定所有影響因素，評(píng)估其影響，并且在系統(tǒng)的生命周期內(nèi)應(yīng)用適當(dāng)?shù)目刂苼眈{馭產(chǎn)生這些影響的原因，使系統(tǒng)性能得到最優(yōu)化。

    5 需要掌握的基礎(chǔ)與評(píng)估技術(shù)

    進(jìn)行控制系統(tǒng)可信性評(píng)估，需要具備一些基礎(chǔ)的技術(shù)基礎(chǔ)，同時(shí)掌握定性與定量的評(píng)估技術(shù)，根據(jù)評(píng)估的實(shí)際目標(biāo)，制定評(píng)估計(jì)劃方案。

    5.1需要掌握的技術(shù)基礎(chǔ)

    5.1.1需要掌握的可用性基礎(chǔ)技術(shù)

    （1）可靠性包括：
    ·規(guī)定應(yīng)用及環(huán)境下所有可能的系統(tǒng)失效模式
    ·每個(gè)失效發(fā)生的概率，或者每個(gè)失效出現(xiàn)的幾率
    ·失效對(duì)系統(tǒng)功能的影響

    （2）可維修性包括：
    ·執(zhí)行計(jì)劃維修的時(shí)間
    ·故障檢測(cè)、識(shí)別及定位的時(shí)間
    ·失效系統(tǒng)的修復(fù)時(shí)間（計(jì)劃之外的維修）

    （3）運(yùn)營(yíng)和維修包括：
    ·系統(tǒng)生命周期內(nèi)全部可能的工作模式和必要維修
    ·人為因素的問題

    5.1.2需要掌握的安全性相關(guān)技術(shù)概念

    （1）在所有運(yùn)行、維護(hù)和環(huán)境模式下系統(tǒng)中所有可能的危害
    （2）每個(gè)危害的特征，以危害后果和嚴(yán)重性表示
    （3）安全性/安全相關(guān)的失效包括：
    ·導(dǎo)致危害的全部系統(tǒng)失效模式，它是全部可靠性失效模式中安全相關(guān)的失效模式子集，需要考慮“規(guī)定應(yīng)用及環(huán)境下所有可能的系統(tǒng)失效模式”、“每個(gè)失效發(fā)生的概率，或者每個(gè)失效出現(xiàn)的幾率”以及“ 失效對(duì)系統(tǒng)功能的影響”；
    ·每個(gè)安全相關(guān)系統(tǒng)失效模式發(fā)生的概率；
    · 在應(yīng)用中，可能導(dǎo)致事故的事件（即導(dǎo)致事故的危害）的順序和（或）并發(fā)率、失效、工作狀態(tài)、環(huán)境條件等等；
    ·應(yīng)用中，每個(gè)事件、失效、工作狀態(tài)和環(huán)境條件等出現(xiàn)的概率；
    · SIL確定與SIL驗(yàn)證技術(shù)。
    （4）系統(tǒng)的安全相關(guān)部件的可維修性包括：
    ·與安全相關(guān)失效模式或危害有關(guān)的系統(tǒng)中子系統(tǒng)或部件維修的方便性；
    ·系統(tǒng)安全有關(guān)部件在維修工作期間內(nèi)發(fā)生錯(cuò)誤的概率；
    · 系統(tǒng)恢復(fù)到安全狀態(tài)的時(shí)間。
    （5）系統(tǒng)操作與系統(tǒng)安全相關(guān)部件的維修包括：
    ·人為因素對(duì)系統(tǒng)安全相關(guān)部分的有效維修及系統(tǒng)安全運(yùn)營(yíng)的影響；
    ·用于系統(tǒng)安全有關(guān)部分的有效維修和系統(tǒng)安全運(yùn)營(yíng)的工具、設(shè)備和工序；
    · 有效的控制、處理危害并減輕危害后果的措施。

    5.2采用的評(píng)估技術(shù)

    可以采用多種技術(shù)評(píng)定控制系統(tǒng)的可用性與安全性，但必須選用能將評(píng)定結(jié)果與系統(tǒng)要求文件的要求做定性和（或）定量比較的評(píng)估技術(shù)。

    5.2.1定性評(píng)定技術(shù)

    定性評(píng)定的基礎(chǔ)是預(yù)測(cè)分析或試驗(yàn)。無論是預(yù)測(cè)分析還是試驗(yàn)，都需要通過分析系統(tǒng)的功能結(jié)構(gòu)和物理結(jié)構(gòu)，確定系統(tǒng)執(zhí)行任務(wù)的方式才能開展評(píng)定。系統(tǒng)的結(jié)構(gòu)可以用功能框圖和物理框圖、信號(hào)流程圖、狀態(tài)圖、表格等來描述。考慮系統(tǒng)所有元件（硬件和軟件）的故障模式，確定其對(duì)系統(tǒng)任務(wù)可用性的影響，以及可維修性要求的影響。

    5.2.1.1歸納分析法

    歸納分析法是一種定性的分析方法，它采用的是一種自下而上的方法，在組件或元件層次上確定故障模式，分析每一種模式對(duì)高一級(jí)系統(tǒng)任務(wù)可信性的影響。此故障的影響即成為高一級(jí)層次的故障模式。這種方法要到最后才能確定各種假設(shè)故障模式在系統(tǒng)各個(gè)層次上的影響。

    5.2.1.2推斷分析法

    推斷分析也是一種定性的分析方法，它從系統(tǒng)最高層次的假設(shè)故障即任務(wù)故障開始，各層次依次進(jìn)行，直至底層。逐層分析以確定將導(dǎo)致最高層（即任務(wù)層）產(chǎn)生故障的故障模式和相關(guān)故障。沿著功能上的和物理上的路徑，重復(fù)這種分析直至獲取足夠的可用性信息，供評(píng)估用。對(duì)于不屬于假設(shè)事件的故障模式，推斷分析不提供任何信息。但對(duì)于較復(fù)雜的系統(tǒng)，推斷分析則非常節(jié)省時(shí)間。對(duì)于比較復(fù)雜的系統(tǒng)來說，描述如何認(rèn)定系統(tǒng)的故障或成功要比認(rèn)定系統(tǒng)各組件的所有各種可能的故障模式方便得多。

    故障樹分析是一種適用的推斷分析法。

    5.2.2定量評(píng)定技術(shù)

    定量評(píng)估技術(shù)的依據(jù)可以是預(yù)測(cè)分析和計(jì)算，也可以是試驗(yàn)。定量評(píng)定也必須從分析系統(tǒng)的功能結(jié)構(gòu)和物理結(jié)構(gòu)以及系統(tǒng)執(zhí)行任務(wù)的方式入手，采用預(yù)測(cè)評(píng)定或試驗(yàn)方法進(jìn)行。

    5.2.2.1預(yù)測(cè)評(píng)定

    預(yù)測(cè)評(píng)定以定性分析結(jié)果輔以系統(tǒng)元件基本可靠性（故障率）的量化值為依據(jù)。在定量表示系統(tǒng)執(zhí)行任務(wù)的故障率時(shí)需要采用預(yù)測(cè)分析法。可靠性框圖法是一種適用的預(yù)測(cè)分析法，另外，各種數(shù)據(jù)工具如布爾代數(shù)、真值表、通路割集分析等也都可用于計(jì)算故障率。在以定量的方法預(yù)測(cè)多狀態(tài)情況下系統(tǒng)執(zhí)行任務(wù)的故障率時(shí)，可以采用馬爾可夫分析法。

    5.2.2.2試驗(yàn)

    僅僅通過系統(tǒng)一級(jí)的試驗(yàn)來判定一個(gè)復(fù)雜系統(tǒng)的可靠性與可用性，既不現(xiàn)實(shí)也不經(jīng)濟(jì)。通常情況下，復(fù)雜系統(tǒng)都是獨(dú)一無二的（樣品數(shù)為1）。此外，試驗(yàn)的范圍必然會(huì)受到允許試驗(yàn)時(shí)間的嚴(yán)格限制。但對(duì)于已經(jīng)投入運(yùn)行的系統(tǒng)，這類試驗(yàn)則能提供有價(jià)值的數(shù)據(jù)。

    由此所取得的實(shí)驗(yàn)數(shù)據(jù)可能用于：
    · 日后指導(dǎo)改進(jìn)系統(tǒng)設(shè)計(jì)和系統(tǒng)結(jié)構(gòu)，重新設(shè)計(jì)或更換易出故障的設(shè)備和軟件；
    · 將預(yù)期特性或規(guī)定特性與實(shí)際數(shù)據(jù)相比較；
    · 產(chǎn)生可用于今后可信性預(yù)測(cè)的現(xiàn)場(chǎng)數(shù)據(jù)。

    對(duì)系統(tǒng)進(jìn)行實(shí)驗(yàn)的主要目的是評(píng)定系統(tǒng)在出現(xiàn)硬件和軟件故障、出現(xiàn)未經(jīng)許可或錯(cuò)誤的輸入時(shí)的工作狀態(tài)。為了觀察系統(tǒng)的工作狀態(tài)，首先應(yīng)確定一項(xiàng)或一組典型的任務(wù)，同時(shí)確定每一項(xiàng)任務(wù)的被認(rèn)為屬于故障的系統(tǒng)狀態(tài)，例如輸出狀態(tài)。
主要有故障插入試驗(yàn)與環(huán)境擾動(dòng)試驗(yàn)兩類。

    （1）故障插入試驗(yàn)

    對(duì)于具有高可用性與高安全性的控制系統(tǒng)來說，其基本特質(zhì)之一就是無論其元件出現(xiàn)故障還是受到來自各界面外的干預(yù)，都必須能正確地執(zhí)行其功能。故障插入試驗(yàn)可以驗(yàn)證系統(tǒng)的這一特質(zhì)。試驗(yàn)的方法包括制造故障和（或）引入未經(jīng)許可的或錯(cuò)誤的操作，觀察由此造成的系統(tǒng)工況，如輸出狀態(tài)及發(fā)出的信號(hào)。觀察輸出狀態(tài)時(shí)，需要考慮如：

    ·出現(xiàn)故障時(shí)輸出是否輸入或凍結(jié)在預(yù)定的位置（對(duì)安全系統(tǒng)來說，就是進(jìn)入安全狀態(tài)）？
    ·屏幕不能正確工作時(shí)，鍵盤是否能自動(dòng)鎖定？
    ·通信過載時(shí)系統(tǒng)如何動(dòng)作？
    ·插入故障后監(jiān)視、報(bào)警和打印裝置是否有信號(hào)顯示？

    為有效利用時(shí)間，應(yīng)該在定性分析的基礎(chǔ)上設(shè)計(jì)系統(tǒng)試驗(yàn)項(xiàng)目，并盡可能使用系統(tǒng)所具備的診斷特性。對(duì)于安全相關(guān)系統(tǒng)，診斷特性本身必須單獨(dú)接受試驗(yàn)。在GB/T18272.5-2000標(biāo)準(zhǔn)的附錄C中，列出了若干種故障可供試驗(yàn)使用。

    （2）環(huán)境擾動(dòng)試驗(yàn)

    對(duì)于具有高可用性與高安全性的控制系統(tǒng)來說，另一個(gè)基本特質(zhì)是應(yīng)能承受環(huán)境擾動(dòng)而不影響其執(zhí)行正確的功能。

    環(huán)境擾動(dòng)實(shí)驗(yàn)是試驗(yàn)系統(tǒng)的防護(hù)性機(jī)理。需要考慮如系統(tǒng)過載、系統(tǒng)連接的工業(yè)過程和外部系統(tǒng)的影響如電噪、系統(tǒng)使用的公用設(shè)施如氣、電壓變化、系統(tǒng)所處的環(huán)境如溫濕度等的影響。所選擇影響條件的變化應(yīng)不超出正常值范圍。

    6 結(jié)語

    在我國(guó)石油、化工、電力、冶金、機(jī)械等領(lǐng)域，對(duì)于在役過程控制系統(tǒng)的可信性評(píng)估，包括風(fēng)險(xiǎn)評(píng)估、安全評(píng)估、可用性評(píng)估、可靠性評(píng)估等等要求日益增多。迅速建立我國(guó)控制系統(tǒng)可信性評(píng)估技術(shù)與管理體系、幫助企業(yè)建立自己的評(píng)估隊(duì)伍與專業(yè)人才是當(dāng)務(wù)之急。

    參考文獻(xiàn)：

    【1】GB/T21562-2008/idtIEC62278 ，軌道交通 可靠性、可用性、可維修性和安全性規(guī)范及示例[S].
    【2】GB/T18272.5-2000/idtIEC61069， 工業(yè)過程測(cè)量和控制系統(tǒng)評(píng)估中系統(tǒng)特性的評(píng)定 系統(tǒng)可信性評(píng)估[S].
    【3】GB/T20438.4/idtIEC61508， 電氣、電子、可編程電子安全相關(guān)系統(tǒng)的功能安全[S].