在這篇博客中，我將集中討論針對此類要求給出的最常見的理由之一，即可靠性數字的不確定性。人們的擔憂主要集中在較舊的機械技術上，大多數人都認為半導體等新技術的可靠性預測更好。

由于許多雙通道安全的倡導者來自機械行業，讓我們使用基于ISO 13849的論點。標準中有一個數字顯示了CAT（類別 - 5種標準架構之一），DC（診斷覆蓋范圍）和MTTFd（危險故障率）的組合，可用于實現各種PL（性能水平 - 給定設計所需或實現的安全性的衡量標準）。

圖 1 - 圖表顯示如何結合 MTTFd、DC 和 CAT 以實現所需的 PL

因此，如果我們的危害分析和風險評估表明我們需要PL d安全功能，則圖表顯示我們可以通過a）CAT 2架構，高可靠性（MTTFd在30至100年范圍內）以及低（60%）到中（90%）的直流或b）具有MTTFd高和低（3%）到中（60%）直流的CAT 90架構來實現這一點。

ISO 13849-1的附錄K給出了比上表所示更多的數據粒度。附錄 K 基于各種架構/類別的馬爾可夫建模（見下面的鏈接）。因此，讓我們以 CAT 2 和 CAT 3 架構為例，它們都提供 PL d。

因此，對于PL d，我們需要在1e-6 / h 到1e - 7 / h范圍內的PFHd。

設計解決方案 1 – CAT 2（單通道）架構，直流為 90%，MTTFd 為 75 年。

設計解決方案 2 – CAT 3（冗余）架構，直流為 60%，每個通道的 MTTFd 為 47 年。

兩種解決方案的PFHd約為3.4e-7 / h，因此在隨機硬件錯誤安全性方面具有相同的性能。兩者都在PL d范圍內，因此在隨機硬件故障的容差方面符合PL d標準。

圖 2 - 比較基于 ISO 13849-1 附錄 K 的非冗余和冗余架構的可靠性不確定性。

現在讓我們假設我們的可靠性數字很糟糕。假設樂觀是 2 倍。

因此，對于使用單通道的設計解決方案 1，MTTFd 從 75 年到 36 年（不是完全減半，但與表格給出的一樣接近），那么設計解決方案 1 的 PFHd 為 9.39e-7h。

對于使用冗余架構的設計解決方案 2，MTTFd 從 47 年變為 24 年，然后 PFHd 降至 9.47e-7/h。

對于冗余解決方案和非冗余解決方案，我們仍然具有等效的PFHd，并且兩者都仍然給出PL d。因此，如果硬件的可靠性估計值為2倍，那么無論解決方案是單通道還是冗余，PFHd都會出現類似的降級。因此，倡導基于可靠性不確定性的冗余架構對我來說毫無意義。也許那些支持CAT 3的人會聲稱，對雙通道系統中兩個通道的預測不太可能是樂觀的，但我不確定我是否相信這一點。

那么，標準如何防止可靠性數字的不確定性呢？

ISO 13849 通常將您可以聲稱的最大 MTTFd 限制為 100 年 （1141 FIT），從而防止過度依賴可靠性。

IEC 61508 使用置信度。因此，IEC 50不是將可靠性基于可能是平均值的值（61508%置信度），而是將70%的置信水平作為標準，在某些情況下為90%甚至99%。

此外，SN29500等標準通常用作可靠性數據的來源，沒有引用置信水平，但我看到聲稱它們處于99%的水平。此外，它們混合了系統和隨機故障，這意味著如果您只分析隨機硬件故障（應使用嚴格的開發過程解決系統故障），它們可能會悲觀 2 倍。

因此，可靠性預測應該已經是保守的了，我不認為人們在安全裕度之上堆積安全裕度是好的做法，因為他們對標準中的內容感到不舒服。

在“可靠性可維護性和風險”一書中，對“預測的置信極限”進行了很好的討論，作者比較了使用站點特定數據的預測、使用行業特定數據的預測以及使用通用數據的預測。

也許支持雙通道安全的更好論據是它可以針對系統故障模式提供保護，這些模式通常不會在可靠性計算中建模。

審核編輯：郭婷