为了思路的连续,我们回顾一下上一讲的主要概念:
1.安全相关系统是达成功能安全的手段。
2.安全相关系统的作用是降低风险并达到必要的风险降低量。即将现有风险降低到可容忍风险以下。
3.每个安全相关系统都应是一道独立的安全防线。
4.安全相关系统的失效必须被包括在导致危害的事件中。
5.安全相关系统的存在方式,一是安全相关系统与被保护对象是完全独立的;二是被保护对象本身就是安全相关系统;三是安全相关系统与被保护对象虽然是分开的,但它们共用一个或一些组件。推荐第一种。
6.安全相关系统一般被分为安全相关控制系统和安全相关防护系统。
7.安全相关系统可基于广泛的技术基础。
8.安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务。
读者要完全理解上面的内容,才可继续向下阅读。
安全相关系统要满足两项要求:执行要求的安全功能,足以达到或保持被保护对象的安全状态;自身或与其他E/E/PE安全相关系统、其他风险降低措施一道,足以达到要求的安全功能所需的安全完整性。这是安全相关系统的规定动作和基本要求。
安全相关系统的规定动作从理论上讲很简单,即:执行安全功能。此处引出一个基本概念:安全功能。
安全功能是针对特定的危险事件,为达到或保持被保护对象的安全状态,由E/E/PE安全相关系统或其他风险降低措施实现的功能。安全功能的例子包括:
——在要求时执行,如为避免危险状况而采取的行动,如:切断发动机、打开阀门、关断电源、紧急停车、落棒等;
——采取预防行为,如防止发动机启动、保持连续控制,使被保护对象平稳运行在某一状态、保持连续控制,使被保护对象的某个参数不超过一个预定的值等。
任何产品或服务都具有其预定的功能,安全相关系统作为安全产品,其为保证安全所实现的功能称为安全功能。安全功能所要达到的目标是,达到或保持被保护对象的安全状态。也就是说,安全相关系统不论采取什么措施,通过什么步骤,执行什么动作,唯一要求其做到的,就是达到或保持被保护对象的安全状态。此处又引出安全状态(safe state)的概念,即:达到安全时,被保护对象的状态。(注:从潜在危险情况到最终安全状态,被保护对象可能经过几个中间的安全状态。有时,仅当被保护对象处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。)
安全状态是非常重要、十分有用、不可或缺的一个概念。在安全工作中,我们必须找到被保护对象的这个安全状态,一旦有事,我们的安全工作就应使被保护对象进入到安全状态。针对不同的被保护对象,安全状态也是不同的。如:车床工作状态是飞速旋转,安全状态是停车;压力容器的安全状态是其中的压力小于危险的压力值;核反应堆的安全状态是落棒,即一旦发现危险情况,将核反应棒插入堆芯,从而停止反应。
安全状态定义中的“注”也是不能忽略的内容。被保护对象从潜在的危险情况到最终的安全状态,在有些情况下是可以一步到位的,在有些情况下做不到一步到位,需经过一些中间过程。在这种情况下,我们除了要知道最终的安全状态,还要找到中间过渡性的安全状态。如:飞机工作状态是正常飞行,安全状态是落在地上,飞机在天上发生危险情况时,不可能一步到位落在地上,此时先以某种方式飞行是相对安全的,这就是所谓的中间安全状态。
安全相关系统以两种操作模式运行:
要求模式。将被保护对象导入规定的安全状态的安全功能,仅当要求时才执行。E/E/PE安全相关系统只在要求发生时才对被保护对象,或被保护对象的控制系统产生影响。如E/E/PE安全相关系统失效,不能执行安全功能,则可能使被保护对象偏离安全状态。
要求模式又分为低要求模式和高要求模式。低要求模式,指被保护对象对安全相关系统提出操作要求的频率,不大于每年1次;高要求模式,指被保护对象对安全相关系统提出操作要求的频率大于每年1次。
连续模式。安全功能将被保护对象保持在安全状态是正常操作的一部分。
了解安全功能之后,我们会面临另一个重要概念:安全完整性。这是对安全相关系统行为的基本要求。
安全完整性(safety integrity):在规定的时间段内,在规定的条件下,安全相关系统成功执行所规定安全功能的概率。
注1:安全完整性越高,安全相关系统在要求时未能执行规定的安全功能,或者未能达到规定的状态的概率就越低。
注2:规定了4种安全完整性水平(将在后面介绍)。
注3:在确定安全完整性时,应包括所有导致非安全状态的失效原因(随机硬件失效和系统失效),如:硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效,尤其是随机硬件失效,可用危险模式失效下的平均失效频率,或安全相关保护系统未能按要求运作的概率来量化,但安全完整性还取决于许多不能精确量化只可定性考虑的因素。
注4:安全完整性由硬件安全完整性和系统安全完整性构成(将在后面介绍)。
注5:本定义针对安全相关系统执行安全功能的可靠性(将在后面介绍)。
功能安全的实质,是用保证功能的存在来保证安全的存在。所以,保证功能存在的概率就是对相应的安全等级的保障。在功能安全中,安全相关系统首先要有安全功能,再就是该安全功能能保证以一个什么样的概率存在。这就是安全完整性。
安全产品与非安全产品的区别就在于安全完整性,这也是在完成同样功能的情况下,安全产品比非安全产品贵几倍甚至几十倍的原因所在。安全产品安全功能的安全完整性越高,其不能执行安全功能的概率就越低,但同时所需的资源也越多。在“IEC61508”中,将安全相关系统的安全完整性分为4个等级,分别是SIL1、SIL2、SIL3、SIL4。对应的要求是:在低要求操作模式下,SIL1的安全相关系统可以保证,在要求其起作用时其不能起作用的概率在1/10~1/100之间。以此类推,SIL2是1/100~1/1000之间, SIL3是1/1 000~1/10000之间, SIL4是1/10000~1/100000之间;在高要求模式或连续模式下,SIL1的安全相关系统可以保证,其每小时的平均危险失效概率在10-5/h~10-6/h之间,以此类推,SIL2是10-6/h~10-7/h之间, SIL3是10-7/h~10-8/h之间, SIL4是10-8/h~10-9/h之间。形象地说,在连续模式下,SIL1表示安全相关系统的安全功能在10年之间只可能有小于1次的失效。SIL2表示安全相关系统的安全功能在100年之间只可能有小于1次的失效。SIL3表示安全相关系统的安全功能在1000年之间只可能有小于1次的失效。SIL4表示安全相关系统的安全功能在1万年之间只可能有小于1次的失效。当然这种说法只是便于大家形象的理解,并不严谨。
安全功能和安全完整性构成了安全相关系统的两大支柱,还有一大不可或缺的支柱,就是故障安全原则。其定义为:组成安全相关系统的各环节自身出现故障的概率不可能为零,且外部环境的变化(如:供电、供气中断,地震导致的损坏、雷击导致的损坏等)亦可能发生。当内部或外部原因使安全相关系统失效时,被保护的对象应按预定的顺序达到安全状态,这就是故障安全原则。
安全相关系统自身是由各部件(要素)构成的。每个要素都存在失效率,尽管可控制在很小值,但仍有失效可能。另一方面,有些难以抗拒的外部因素也会造成安全相关系统的失效。所以安全相关系统一定要设计成在自身出现失效时,被保护对象能按预定的顺序达到安全状态。有了这样的机制,从理论上讲,安全相关系统就可将被保护对象置于全闭环的保护之中。
简要总结,对安全相关系统行为的要求就是3句话:有一个安全功能,使被保护对象一旦有事就能进入安全状态;保证每个安全功能以一个概率来实现(最起码是在要求模式下不能实现的概率小于1/10,在连续模式下不能实现的概率小于10-5/h);一旦自身失效,应使被保护对象按预定顺序达到安全状态。
编辑 边 安