安全是将风险控制在可容忍风险之下。功能安全是用与安全有关的功能能够实现的概率,来保障安全的实现。安全的实现,以安全相关功能的概率实现来保障;同时,安全相关功能的失效处于完全监测之下,并且即使其失效,被保护对象也不至发生伤害事件,或至少降低伤害事件的严重性。这样的思想方法,需要有一个机制来贯彻执行,这样的机制即安全相关系统。
按照标准,安全相关系统(safety-related system)应满足两项要求:执行要求的安全功能,达到或保持受控设备的安全状态;自身或与其他安全相关系统、其他风险降低措施一道,达到要求的安全功能所需的安全完整性。我们可以从以下6方面了解安全相关系统。
安全相关系统的作用
安全相关系统是用其自身的能力,或与其他安全相关系统一起,达到必要的风险降低量,以满足所要求的可容忍风险。也就是说,当发现风险大于可容忍风险时,使用安全相关系统把风险降下来,直至降低到可容忍风险以下。而降低风险的方法包括两个方面:降低危险事件发生的概率,即:安全相关系统一旦执行其安全功能,则危险事件发生的概率小于一个预期的数值;被用来减轻危险事件的影响,即:通过减轻后果的办法来降低风险。一个安全相关系统也可能同时具有上述两个组合功能。
安全相关系统的工作方式
安全相关系统是在探测到可导致危险事件的情况时,采取适当的动作,使被保护对象进入安全状态,防止伤害事件的发生。
有一点要非常重视,即:安全相关系统的失效,必须被包括在导致危害的事件中。其含义是一旦安全相关系统失效,要能够被探测到,并应采取适当的动作,使被保护对象进入安全状态。任何功能都有可能失效,安全功能也不例外,虽然我们采取了诸多技术和措施,来保障其失效率在一个目标值以下,但失效率仅意味着失效会以可知的概率,但在不可知的时间点发生。就好像一个1万年才可能发生一次的事件,可能就发生在你面前,而前后的9 999年都不会发生。所以,安全相关系统既要保证其失效率小于预期的值,又要保证一旦其自身失效,被保护对象的相对安全。
每个安全相关系统都应是一道独立的安全防线,尽管可能与其他安全相关系统一道使用,并可能存在多条防线,但每个安全相关系统应仅靠其自身能力达到要求将风险降低。
安全相关系统按其工作的状态,一般被分为安全相关控制系统和安全相关防护系统。
安全相关控制系统,是指安全相关系统要不断地以连续模式工作,才能保障被保护对象处于安全状态,连续模式涵盖了实现连续控制以保持功能安全的那些安全功能。在安全功能的危险失效事件中,如不采取其他的预防动作,即使没有进一步的失效,潜在危险也会发生。用较简明的话说,即:被保护对象的安全,是靠安全相关系统连续运行来保障的。一旦安全相关系统失效,被保护对象即处于不安全状态。
安全相关防护系统,是指安全相关系统在正常情况下是处于待命状态的。在有危险时,响应过程条件或其他要求而采取一个规定动作,使被保护对象处于安全状态。在安全功能发生危险时,仅当发生失效事件时,才会发生潜在危险。换句话说,只有在被保护对象发生危险事件,要求安全相关系统保护,而安全相关系统在此时也失效的境况下,才会出现安全问题。
安全相关系统的存在方式
安全相关系统可以3种方式存在:第一种,安全相关系统与被保护对象是完全独立存在的,安全相关系统随时监测被保护对象,一旦发现问题,就立即实施保护动作。第二种,被保护对象本身就是安全相关系统,它能达到必要的风险降低,并满足对安全相关系统的所有要求。第三种,安全相关系统与被保护对象虽是分开的,但它们共用一个或一些组件,两者既相互独立又不充分独立。这三种方式都是在现实中存在的,也是允许的。
在具体实践中,我们推荐使用第一种方式,在不得已的情况下,再考虑使用另外两种方式。其中的原因很简单,就像老百姓的社会安全问题,需要警察来保证,但我们不能要求所有的老百姓都具有警察的能力,尤其是我们不能用管理警察的手段去管理老百姓。安全相关系统从设计到使用直至停止使用,都有严格的要求,对资源的占用也是十分可观的,所以应尽可能限制其范围。
安全相关系统的技术基础
安全相关系统可基于广泛的技术基础,包括电气、电子、可编程电子、液压、气动等。第一讲提到,“IEC61508”标准的名称是《E/E/PE安全相关系统的功能安全》,其中E/E/PE表示由电器(如电动机、电器开关等)和/或电子(带有晶体管)和/或可编程电子(带有计算机功能,可编写并执行程序)的方式,来执行功能的系统。
这让人易产生误解,以为安全相关系统都是E/E/PE的。其实,安全相关系统可以基于任何技术基础。按照已有的国际分工,国际电工委员会负责与电有关产品的国际标准的制定,所以,尽管功能安全是该委员会提出的,但按分工,仍把范围限定于E/E/PE。与此同时,标准中人为的将降低风险的手段,划分为E/E/PE安全相关系统和其他风险降低措施。从广义上看,安全相关系统可包括E/E/PE安全相关系统和其他风险降低措施,而其他风险降低措施也不仅是某种产品,它甚至可以是一套行之有效的规章制度。
安全相关系统中的人
人也可作为安全相关系统一部分。例如人能够接收来自可编程电子装置的信息,并根据接收信息执行安全动作,或通过可编程电子装置执行安全动作。从根本上说,所有人为产品和服务的功能都是人的作用。所以,安全相关系统中有人的参与也是可以理解的。这是允许的,但并不推荐。因为人虽然是最有创造力的,但与设备相比也是相对不可靠的。
如果安全相关系统中必须有人参与,则起码要求实现3方面要求:人的作用须以制度方式进行规定,由相关权力机构正式发布;要对相应的人进行足够的培训,以确保其能够执行相关任务;要为人执行相关任务留有足够的能力空间,如足够的时间。
安全相关系统的范围
安全相关系统包括执行规定安全功能所需的全部硬件、软件及支持服务。因此,传感器、其他输入装置、控制器、最终元件(执行器)和其他输出装置,都应包括在安全相关系统中。安全相关系统是用来执行一个或几个安全功能的,对于执行安全功能所需的所有方面,都在安全相关系统的范围内。在此,执行规定安全功能所需的全部硬件、软件是较容易理解的,容易忽略的是所有支持服务,应包括供电电源、气源、水源等,还可能包括操作规程、维护规程、检定规程等。
另外,还有必要介绍一下“IEC61508”的另一个产生背景,该标准的制定者是国际电工委员会第65技术委员(IEC/TC65),其全称是“工业过程测量和控制及自动化技术委员会”。委员会的重要工作是制定测控及相关自动化方面的标准。测控及相关自动化的典型功能回路,主要由传感器、控制器和执行器构成。由传感器探知外界的变化;由控制器接受传感器的输入,进行逻辑解算并给执行器发出指令;由执行器(最终元件)执行控制动作。“IEC/TC65”以这个标准将工业控制的典型方法用于控制安全。从工业控制的角度,这是工业控制技术在应用领域的扩展,从安全的角度看,这是实现安全的行之有效的方法之一。安全是可控制的,控制方式也是多种多样的,主要由传感器、控制器和执行器构成的典型功能回路,仅是控制安全的方式之一。E/E/PE安全相关系统虽是目前较为常用的方法,但并不是唯一的,也不是安全系统的全部,仅是一种降低风险的办法。所以从安全的角度,更重要的是正确理解安全相关系统的含义。读者在学习“IEC61508”时,要注意从典型功能回路和E/E/PE的圈子里跳出来。
编辑 边 安