一、失效模式分類不同的失效方式稱為失效模式。

根據(jù)設(shè)備、子系統(tǒng)或系統(tǒng)發(fā)生失效的時(shí)間將失效分為早期失效、隨機(jī)失效和老化失效；根據(jù)失效所造成的影響將安全儀表功能的失效模式分為安全失效、危險(xiǎn)失效和無(wú)影響失效；根據(jù)引起失效的原因分為隨機(jī)硬件失效、系統(tǒng)性失效和共因失效；考慮設(shè)備的自診斷功能時(shí)又分為通報(bào)失效、檢測(cè)到和未檢測(cè)到的失效；考慮冗余設(shè)備構(gòu)成的表決系統(tǒng)時(shí)又分為獨(dú)立失效和相關(guān)失效。

這里所說(shuō)的失效模式為廣義的失效模式，它涵蓋了從各種角度分類的失效類別。通過(guò)分析，明確了正常壽命期內(nèi)的隨機(jī)失效是可靠性定量研究的基礎(chǔ)；就安全相關(guān)系統(tǒng)來(lái)說(shuō)，我們只關(guān)心危險(xiǎn)失效和安全失效。

二、早期失效、隨機(jī)失效和老化失效對(duì)安全相關(guān)系統(tǒng)要求時(shí)危險(xiǎn)失效平均概率（PFDavg）及每小時(shí)危險(xiǎn)失效平均頻率（PFH）的計(jì)算，實(shí)際上是可靠性理論在功能安全領(lǐng)域的應(yīng)用。

在可靠性理論中，“浴缸”（Bathtub）曲線是非常重要的對(duì)設(shè)備、模塊或元件的失效率在其整個(gè)壽命期內(nèi)變化情況的一種重要的描述，如圖1所示。

圖1浴缸曲線設(shè)備在運(yùn)行過(guò)程中會(huì)受到來(lái)自環(huán)境的應(yīng)力，即環(huán)境對(duì)其施加的影響，如化學(xué)的、機(jī)械的、電氣的或物理的影響。

當(dāng)其自身的強(qiáng)度不能抵抗這些應(yīng)力的時(shí)候就會(huì)出現(xiàn)設(shè)備的失效。由圖1中可以看出設(shè)備在其壽命周期內(nèi)的失效分為三個(gè)階段：最初故障期、正常壽命期和老化期。這個(gè)階段對(duì)應(yīng)于三種失效方式。

（1）早期失效設(shè)備在最初故障期發(fā)生的失效為早期失效，失效率由大減小。這是因?yàn)樯�產(chǎn)出的設(shè)備中有一些存在生產(chǎn)缺陷，隨著它們不斷的暴露出來(lái)，失效率就逐漸下降。

（2）隨機(jī)失效在去掉具有生產(chǎn)缺陷的設(shè)備之后，失效率相對(duì)保持不變，進(jìn)入設(shè)備的正常壽命期，在該期間，設(shè)備多發(fā)生由于工作應(yīng)力引起的隨機(jī)失效。如果設(shè)備只有很少的生產(chǎn)缺陷，而強(qiáng)度又很高，那么發(fā)生隨機(jī)失效的概率將非常低。正常壽命期內(nèi)的隨機(jī)失效率為常數(shù)，它是可靠性研究中所需的失效數(shù)據(jù).

（3）老化失效隨著使用時(shí)間的增長(zhǎng)，設(shè)備自身的強(qiáng)度開始下降，進(jìn)入老化報(bào)廢階段，失效率也隨之逐漸上升（老化期）�？梢钥闯�，在最初故障期，設(shè)備具有隨時(shí)間下降的失效率；在正常壽命期，設(shè)備具有隨時(shí)間相對(duì)恒定不變的常數(shù)失效率；在老化期，設(shè)備具有隨時(shí)間增大的失效率。

“浴缸”曲線可能有幾種變形的情況。某些情況下可能不存在最初故障期，因?yàn)橐恍┰O(shè)備幾乎不存在生產(chǎn)測(cè)試過(guò)程未檢測(cè)到的生產(chǎn)缺陷，這些設(shè)備就沒(méi)有失效率降低的區(qū)域。而某些應(yīng)用中，設(shè)備還未進(jìn)入老化期就已經(jīng)得到了更新?lián)Q代，因此就沒(méi)有失效率升高的區(qū)域。

一般來(lái)講，任何設(shè)備的設(shè)計(jì)生產(chǎn)都應(yīng)該保證設(shè)備具有正常的壽命期。有的設(shè)備在壽命期內(nèi)失效率的變化并不符合“浴缸”曲線所描述的這種特征，而是其他的曲線，如“過(guò)山車”（Roll Coaster）曲線。符合這種特征的設(shè)備在其壽命期內(nèi)很難找到一個(gè)失效率穩(wěn)定的階段。設(shè)備的失效率是所有定量計(jì)算的基礎(chǔ)。然而實(shí)際應(yīng)用中，針對(duì)某個(gè)具體行業(yè)或某個(gè)具體工廠，設(shè)備的失效率很可能不是常數(shù)，而是隨時(shí)間變化的早期失效率或老化失效率。

三、危險(xiǎn)失效、安全失效和無(wú)影響失效IEC61511中把危險(xiǎn)失效定義為那些有潛力使E/E/PE安全相關(guān)系統(tǒng)失去安全功能執(zhí)行能力的失效。

這個(gè)定義與人們?cè)趯?shí)踐中對(duì)危險(xiǎn)失效的理解是一致的。定義中的潛力是否存在，取決于組成E/E/PE安全相關(guān)系統(tǒng)的設(shè)備之間的結(jié)構(gòu)關(guān)系。冗余結(jié)構(gòu)的系統(tǒng)會(huì)減少這種導(dǎo)致危險(xiǎn)狀態(tài)的潛力，因?yàn)槿哂嘟Y(jié)構(gòu)里1個(gè)硬件設(shè)備失效不易導(dǎo)致整個(gè)E/E/PE安全相關(guān)系統(tǒng)的失效。

IEC61511中把安全失效定義為那些沒(méi)有潛力導(dǎo)致E/E/PE安全相關(guān)系統(tǒng)失去安全功能執(zhí)行能力的失效。即不屬于危險(xiǎn)失效的都是安全失效，該定義包括了造成過(guò)程誤停車在內(nèi)的多種失效。但是在實(shí)踐中，人們往往只把造成E/E/PE安全相關(guān)系統(tǒng)誤動(dòng)作的一類失效稱為安全失效。這里對(duì)安全失效的定義是那些沒(méi)有潛力造成E/E/PE安全相關(guān)系統(tǒng)失去安全功能執(zhí)行能力的，但是有潛力造成E/E/PE安全相關(guān)系統(tǒng)誤動(dòng)作的失效。

設(shè)備的某些失效可能對(duì)E/E/PE安全功能無(wú)任何影響，這樣的失效定義為無(wú)影響失效，記為λNONC。它既不會(huì)降低E/E/PE安全功能的執(zhí)行能力，也不會(huì)增加E/E/PE安全相關(guān)系統(tǒng)的誤動(dòng)作，不影響E/E/PE安全相關(guān)系統(tǒng)的可靠性，對(duì)其進(jìn)行分析沒(méi)有實(shí)際意義。但是，無(wú)影響失效會(huì)影響單個(gè)設(shè)備的安全失效分?jǐn)?shù)值（Safe Failure Fraction，SFF），從而可能會(huì)影響設(shè)備的應(yīng)用�？偠�言之，從系統(tǒng)角度研究無(wú)影響失效沒(méi)有意義。因此，從影響E/E/PE安全功能角度劃分設(shè)備級(jí)的失效模式如圖2所示。

圖2 設(shè)備級(jí)失效模式劃分圖實(shí)際應(yīng)用中，人們不但希望E/E/PE安全相關(guān)系統(tǒng)是安全的，而且也希望E/E/PE安全相關(guān)系統(tǒng)的誤動(dòng)作率越低越好，以盡量減少或避免因E/E/PE安全相關(guān)系統(tǒng)的誤動(dòng)作對(duì)正常生產(chǎn)過(guò)程的影響。

可見，安全功能的誤動(dòng)作率與系統(tǒng)的可用性及成本密切相關(guān)，因此，對(duì)E/E/PE安全相關(guān)系統(tǒng)誤動(dòng)作率進(jìn)行定量分析也很有意義。IEC61508、IEC61511關(guān)注的重點(diǎn)是安全性，并沒(méi)有涉及與誤動(dòng)作率相關(guān)的問(wèn)題。

四、隨機(jī)硬件失效、系統(tǒng)性失效和共因失效對(duì)于一個(gè)E/E/PE安全相關(guān)系統(tǒng)來(lái)說(shuō)，兩種最基本的失效是物理失效和功能失效，或者說(shuō)是隨機(jī)硬件失效和系統(tǒng)性失效。

兩者最根本的區(qū)別是：發(fā)生物理失效的設(shè)備根本不能執(zhí)行功能，而發(fā)生系統(tǒng)性失效的設(shè)備是能夠操作的，但不能執(zhí)行其預(yù)定的功能。IEC61508-4也將E/E/PE安全相關(guān)系統(tǒng)的失效分為隨機(jī)硬件失效和系統(tǒng)性失效，但該標(biāo)準(zhǔn)定義的隨機(jī)硬件失效只指由于機(jī)能退化而導(dǎo)致的隨機(jī)硬件失效，而不包含由于過(guò)大環(huán)境應(yīng)力而導(dǎo)致的設(shè)備失效。但是兩年后發(fā)布的IEC61508-6使用“硬件失效”沒(méi)有“隨機(jī)”二字，而且IEC61508-6附錄D中描述共因失效可能源于設(shè)計(jì)或規(guī)范等系統(tǒng)錯(cuò)誤或外部應(yīng)力導(dǎo)致的隨機(jī)硬件失效，這里的隨機(jī)硬件失效的范疇與原定義不同，包含了外部應(yīng)力導(dǎo)致的硬件失效。這里仍然沿用IEC61508-4的分類，并對(duì)系統(tǒng)性失效進(jìn)一步分類，如圖3所示。

圖3 基于失效原因的失效分類隨機(jī)硬件失效：設(shè)備的操作條件在系統(tǒng)設(shè)計(jì)范圍內(nèi)，僅由設(shè)備自然機(jī)能退化引起的失效。

如老化失效。系統(tǒng)性失效：不是由隨時(shí)間的自然機(jī)能退化引起，而是由特定原因引起的失效。這類失效一般通過(guò)修改設(shè)計(jì)或操作程序來(lái)減少。根據(jù)系統(tǒng)性失效產(chǎn)生的原因，系統(tǒng)性失效又進(jìn)一步分為以下三類：

①過(guò)應(yīng)力失效：設(shè)備承受了設(shè)計(jì)范圍外的過(guò)應(yīng)力而產(chǎn)生的失效。這個(gè)過(guò)應(yīng)力可能由外部原因引起或者由內(nèi)部影響因素導(dǎo)致。例如過(guò)大振動(dòng)對(duì)過(guò)程傳感器的損壞或者不可預(yù)見的砂塵造成的閥門失效。

②設(shè)計(jì)失效：廣義地把系統(tǒng)投入運(yùn)行之前引入的失效稱為設(shè)計(jì)失效，包括軟件錯(cuò)誤、系統(tǒng)說(shuō)明規(guī)范的缺陷，制造缺陷或者安裝不規(guī)范帶來(lái)的失效。例如由于操作力不夠?qū)е碌拈y門失效，傳感器不能區(qū)分正確或錯(cuò)誤要求，火災(zāi)或氣體探測(cè)器安裝位置錯(cuò)誤。

③人因失效：由于人員在操作、維護(hù)和測(cè)試中的錯(cuò)誤引起的失效。例如維護(hù)完后忘記拆除旁路線或者將過(guò)程傳感器的隔離閥置于關(guān)閉位置。另外在修改中安裝新的程序模塊，但邏輯控制器不能滿足所有設(shè)備的順序停車要求。

一般來(lái)講，系統(tǒng)性失效增加了冗余設(shè)備構(gòu)成的E/E/PE安全相關(guān)系統(tǒng)的安全功能失效概率，例如系統(tǒng)的共因失效。而隨機(jī)硬件失效是一種獨(dú)立失效，一般認(rèn)為其不會(huì)導(dǎo)致共因失效。共因失效是由于相同的原因?qū)е乱粋�(gè)以上的組件、模塊或者設(shè)備發(fā)生失效。這些因素可能是內(nèi)在原因，也可能是外部原因。

五、通報(bào)失效、檢測(cè)到和未檢測(cè)到的失效根據(jù)設(shè)備的自診斷功能又將安全儀表功能的失效模式分為檢測(cè)到的和未檢測(cè)到的失效。

顧名思義，被設(shè)備自診斷功能檢測(cè)到的失效稱為檢測(cè)到的失效；未被設(shè)備自診斷功能檢測(cè)到的失效稱為未檢測(cè)到的失效。因此設(shè)備的自診斷能力決定了檢測(cè)到的和未檢測(cè)到的失效率。通常用診斷覆蓋率來(lái)衡量設(shè)備的自診斷能力。診斷覆蓋率表示一次失效被自診斷檢測(cè)到的概率�？梢杂上旅娴墓�式來(lái)表示：

式中，c為診斷覆蓋率；∑λD為所有檢測(cè)到的失效率之和，這里的“D”代表“檢測(cè)到”，即Detected；∑λ為失效率總和。設(shè)備的自診斷功能可以檢測(cè)設(shè)備狀態(tài)，在設(shè)備出現(xiàn)失效時(shí)發(fā)出警告，使設(shè)備能夠盡快得到維修。

然而，自診斷功能不會(huì)百分之百檢測(cè)到設(shè)備危險(xiǎn)失效，因此，設(shè)備危險(xiǎn)失效分為檢測(cè)到的危險(xiǎn)失效和未檢測(cè)到的危險(xiǎn)失效，它們的失效率分別為λDD和λDU。對(duì)安全失效也可以做相似的分解。

設(shè)備的總危險(xiǎn)失效率和總安全失效率分別為λD、λS，則有：λD=λDD+λDU  （1）λS=λSD+λSU

（2）某些設(shè)備的失效會(huì)導(dǎo)致自診斷功能不能正常工作。把不能檢測(cè)和通報(bào)設(shè)備診斷狀態(tài)的失效稱為通報(bào)失效。通報(bào)失效有可能是被診斷設(shè)備自身的一種失效，也可能是用于自動(dòng)診斷功能的另一設(shè)備的失效。

六、獨(dú)立失效和相關(guān)失效在多個(gè)設(shè)備構(gòu)成的冗余結(jié)構(gòu)中，往往存在獨(dú)立失效和相關(guān)失效兩種情況。

本書將由自然應(yīng)力導(dǎo)致的單一設(shè)備的隨機(jī)硬件失效（見圖3）定義為獨(dú)立失效，即單一設(shè)備的失效不影響系統(tǒng)中其他相同的設(shè)備。

相關(guān)失效是指在同一時(shí)間或規(guī)定時(shí)間段內(nèi)，由于系統(tǒng)間或單元間的空間、環(huán)境、設(shè)計(jì)、人為失誤等原因而引起的兩個(gè)或多個(gè)設(shè)備失效的狀態(tài)。其原因可分為兩大類：造成系統(tǒng)設(shè)備失效的原因（或環(huán)境）是相同的或非獨(dú)立的，特別是當(dāng)原因（或環(huán)境）相同而系統(tǒng)設(shè)備的失效特性也完全相同時(shí)，將發(fā)生系統(tǒng)中的共因失效；獨(dú)立原因（或環(huán)境）造成的設(shè)備失效在系統(tǒng)中傳播，導(dǎo)致系統(tǒng)設(shè)備的傳遞失效。所以，共因失效屬于相關(guān)失效，是相關(guān)失效最主要的一種形式。所有系統(tǒng)性失效，如應(yīng)力失效、設(shè)計(jì)相關(guān)的失效和人因失效，從根本上來(lái)說(shuō)是相關(guān)失效。