功能安全技术与应用知识讲座

　　安全是将风险控制在可容忍风险之下。功能安全是用与安全有关的功能能够实现的概率，来保障安全的实现。安全的实现，以安全相关功能的概率实现来保障;同时，安全相关功能的失效处于完全监测之下，并且即使其失效，被保护对象也不至发生伤害事件，或至少降低伤害事件的严重性。这样的思想方法，需要有一个机制来贯彻执行，这样的机制即安全相关系统。

　　按照标准，安全相关系统(safety-related system)应满足两项要求：执行要求的安全功能，达到或保持受控设备的安全状态;自身或与其他安全相关系统、其他风险降低措施一道,达到要求的安全功能所需的安全完整性。我们可以从以下6方面了解安全相关系统。

安全相关系统的作用

　　安全相关系统是用其自身的能力,或与其他安全相关系统一起，达到必要的风险降低量，以满足所要求的可容忍风险。也就是说，当发现风险大于可容忍风险时，使用安全相关系统把风险降下来，直至降低到可容忍风险以下。而降低风险的方法包括两个方面：降低危险事件发生的概率，即：安全相关系统一旦执行其安全功能，则危险事件发生的概率小于一个预期的数值;被用来减轻危险事件的影响，即：通过减轻后果的办法来降低风险。一个安全相关系统也可能同时具有上述两个组合功能。

安全相关系统的工作方式

　　安全相关系统是在探测到可导致危险事件的情况时，采取适当的动作，使被保护对象进入安全状态，防止伤害事件的发生。

　　有一点要非常重视，即：安全相关系统的失效，必须被包括在导致危害的事件中。其含义是一旦安全相关系统失效，要能够被探测到，并应采取适当的动作，使被保护对象进入安全状态。任何功能都有可能失效，安全功能也不例外，虽然我们采取了诸多技术和措施，来保障其失效率在一个目标值以下，但失效率仅意味着失效会以可知的概率，但在不可知的时间点发生。就好像一个1万年才可能发生一次的事件，可能就发生在你面前，而前后的9 999年都不会发生。所以，安全相关系统既要保证其失效率小于预期的值，又要保证一旦其自身失效，被保护对象的相对安全。

　　每个安全相关系统都应是一道独立的安全防线，尽管可能与其他安全相关系统一道使用，并可能存在多条防线，但每个安全相关系统应仅靠其自身能力达到要求将风险降低。

　　安全相关系统按其工作的状态，一般被分为安全相关控制系统和安全相关防护系统。

　　安全相关控制系统，是指安全相关系统要不断地以连续模式工作，才能保障被保护对象处于安全状态，连续模式涵盖了实现连续控制以保持功能安全的那些安全功能。在安全功能的危险失效事件中，如不采取其他的预防动作，即使没有进一步的失效，潜在危险也会发生。用较简明的话说，即：被保护对象的安全，是靠安全相关系统连续运行来保障的。一旦安全相关系统失效，被保护对象即处于不安全状态。

　　安全相关防护系统，是指安全相关系统在正常情况下是处于待命状态的。在有危险时，响应过程条件或其他要求而采取一个规定动作，使被保护对象处于安全状态。在安全功能发生危险时，仅当发生失效事件时，才会发生潜在危险。换句话说，只有在被保护对象发生危险事件，要求安全相关系统保护，而安全相关系统在此时也失效的境况下，才会出现安全问题。

安全相关系统的存在方式

　　安全相关系统可以3种方式存在：第一种，安全相关系统与被保护对象是完全独立存在的，安全相关系统随时监测被保护对象，一旦发现问题，就立即实施保护动作。第二种，被保护对象本身就是安全相关系统，它能达到必要的风险降低，并满足对安全相关系统的所有要求。第三种，安全相关系统与被保护对象虽是分开的，但它们共用一个或一些组件，两者既相互独立又不充分独立。这三种方式都是在现实中存在的，也是允许的。

　　在具体实践中，我们推荐使用第一种方式，在不得已的情况下，再考虑使用另外两种方式。其中的原因很简单，就像老百姓的社会安全问题，需要警察来保证，但我们不能要求所有的老百姓都具有警察的能力，尤其是我们不能用管理警察的手段去管理老百姓。安全相关系统从设计到使用直至停止使用，都有严格的要求，对资源的占用也是十分可观的，所以应尽可能限制其范围。

安全相关系统的技术基础

　　安全相关系统可基于广泛的技术基础，包括电气、电子、可编程电子、液压、气动等。第一讲提到，“IEC61508”标准的名称是《E/E/PE安全相关系统的功能安全》，其中E/E/PE表示由电器(如电动机、电器开关等)和/或电子(带有晶体管)和/或可编程电子(带有计算机功能，可编写并执行程序)的方式，来执行功能的系统。

　　这让人易产生误解，以为安全相关系统都是E/E/PE的。其实，安全相关系统可以基于任何技术基础。按照已有的国际分工，国际电工委员会负责与电有关产品的国际标准的制定，所以，尽管功能安全是该委员会提出的，但按分工，仍把范围限定于E/E/PE。与此同时，标准中人为的将降低风险的手段，划分为E/E/PE安全相关系统和其他风险降低措施。从广义上看，安全相关系统可包括E/E/PE安全相关系统和其他风险降低措施，而其他风险降低措施也不仅是某种产品，它甚至可以是一套行之有效的规章制度。

安全相关系统中的人

　　人也可作为安全相关系统一部分。例如人能够接收来自可编程电子装置的信息，并根据接收信息执行安全动作，或通过可编程电子装置执行安全动作。从根本上说，所有人为产品和服务的功能都是人的作用。所以，安全相关系统中有人的参与也是可以理解的。这是允许的，但并不推荐。因为人虽然是最有创造力的，但与设备相比也是相对不可靠的。

　　如果安全相关系统中必须有人参与，则起码要求实现3方面要求：人的作用须以制度方式进行规定，由相关权力机构正式发布;要对相应的人进行足够的培训，以确保其能够执行相关任务;要为人执行相关任务留有足够的能力空间，如足够的时间。

安全相关系统的范围

　　安全相关系统包括执行规定安全功能所需的全部硬件、软件及支持服务。因此，传感器、其他输入装置、控制器、最终元件(执行器)和其他输出装置，都应包括在安全相关系统中。安全相关系统是用来执行一个或几个安全功能的，对于执行安全功能所需的所有方面，都在安全相关系统的范围内。在此，执行规定安全功能所需的全部硬件、软件是较容易理解的，容易忽略的是所有支持服务，应包括供电电源、气源、水源等，还可能包括操作规程、维护规程、检定规程等。

　　另外，还有必要介绍一下“IEC61508”的另一个产生背景，该标准的制定者是国际电工委员会第65技术委员(IEC/TC65)，其全称是“工业过程测量和控制及自动化技术委员会”。委员会的重要工作是制定测控及相关自动化方面的标准。测控及相关自动化的典型功能回路，主要由传感器、控制器和执行器构成。由传感器探知外界的变化;由控制器接受传感器的输入，进行逻辑解算并给执行器发出指令;由执行器(最终元件)执行控制动作。“IEC/TC65”以这个标准将工业控制的典型方法用于控制安全。从工业控制的角度,这是工业控制技术在应用领域的扩展,从安全的角度看,这是实现安全的行之有效的方法之一。安全是可控制的,控制方式也是多种多样的,主要由传感器、控制器和执行器构成的典型功能回路，仅是控制安全的方式之一。E/E/PE安全相关系统虽是目前较为常用的方法，但并不是唯一的，也不是安全系统的全部，仅是一种降低风险的办法。所以从安全的角度，更重要的是正确理解安全相关系统的含义。读者在学习“IEC61508”时，要注意从典型功能回路和E/E/PE的圈子里跳出来。

　　编辑 边 安