功能安全技术与应用知识讲座

　　为了思路的连续，我们回顾一下上一讲的主要概念：

　　1.安全相关系统是达成功能安全的手段。

　　2.安全相关系统的作用是降低风险并达到必要的风险降低量。即将现有风险降低到可容忍风险以下。

　　3.每个安全相关系统都应是一道独立的安全防线。

　　4.安全相关系统的失效必须被包括在导致危害的事件中。

　　5.安全相关系统的存在方式，一是安全相关系统与被保护对象是完全独立的;二是被保护对象本身就是安全相关系统;三是安全相关系统与被保护对象虽然是分开的，但它们共用一个或一些组件。推荐第一种。

　　6.安全相关系统一般被分为安全相关控制系统和安全相关防护系统。

　　7.安全相关系统可基于广泛的技术基础。

　　8.安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务。

　　读者要完全理解上面的内容，才可继续向下阅读。

　　安全相关系统要满足两项要求：执行要求的安全功能，足以达到或保持被保护对象的安全状态;自身或与其他E/E/PE安全相关系统、其他风险降低措施一道，足以达到要求的安全功能所需的安全完整性。这是安全相关系统的规定动作和基本要求。

　　安全相关系统的规定动作从理论上讲很简单，即：执行安全功能。此处引出一个基本概念：安全功能。

　　安全功能是针对特定的危险事件，为达到或保持被保护对象的安全状态，由E/E/PE安全相关系统或其他风险降低措施实现的功能。安全功能的例子包括：

　　——在要求时执行，如为避免危险状况而采取的行动，如：切断发动机、打开阀门、关断电源、紧急停车、落棒等;

　　——采取预防行为，如防止发动机启动、保持连续控制，使被保护对象平稳运行在某一状态、保持连续控制，使被保护对象的某个参数不超过一个预定的值等。

　　任何产品或服务都具有其预定的功能，安全相关系统作为安全产品，其为保证安全所实现的功能称为安全功能。安全功能所要达到的目标是，达到或保持被保护对象的安全状态。也就是说，安全相关系统不论采取什么措施，通过什么步骤，执行什么动作，唯一要求其做到的，就是达到或保持被保护对象的安全状态。此处又引出安全状态(safe state)的概念，即：达到安全时，被保护对象的状态。(注：从潜在危险情况到最终安全状态，被保护对象可能经过几个中间的安全状态。有时，仅当被保护对象处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。)

　　安全状态是非常重要、十分有用、不可或缺的一个概念。在安全工作中，我们必须找到被保护对象的这个安全状态，一旦有事，我们的安全工作就应使被保护对象进入到安全状态。针对不同的被保护对象，安全状态也是不同的。如：车床工作状态是飞速旋转，安全状态是停车;压力容器的安全状态是其中的压力小于危险的压力值;核反应堆的安全状态是落棒，即一旦发现危险情况，将核反应棒插入堆芯，从而停止反应。

　　安全状态定义中的“注”也是不能忽略的内容。被保护对象从潜在的危险情况到最终的安全状态，在有些情况下是可以一步到位的，在有些情况下做不到一步到位，需经过一些中间过程。在这种情况下，我们除了要知道最终的安全状态，还要找到中间过渡性的安全状态。如：飞机工作状态是正常飞行，安全状态是落在地上，飞机在天上发生危险情况时，不可能一步到位落在地上，此时先以某种方式飞行是相对安全的，这就是所谓的中间安全状态。

　　安全相关系统以两种操作模式运行：

　　要求模式。将被保护对象导入规定的安全状态的安全功能，仅当要求时才执行。E/E/PE安全相关系统只在要求发生时才对被保护对象，或被保护对象的控制系统产生影响。如E/E/PE安全相关系统失效，不能执行安全功能，则可能使被保护对象偏离安全状态。

　　要求模式又分为低要求模式和高要求模式。低要求模式，指被保护对象对安全相关系统提出操作要求的频率，不大于每年1次;高要求模式，指被保护对象对安全相关系统提出操作要求的频率大于每年1次。

　　连续模式。安全功能将被保护对象保持在安全状态是正常操作的一部分。

　　了解安全功能之后，我们会面临另一个重要概念：安全完整性。这是对安全相关系统行为的基本要求。

　　安全完整性(safety integrity)：在规定的时间段内，在规定的条件下，安全相关系统成功执行所规定安全功能的概率。

　　注1：安全完整性越高，安全相关系统在要求时未能执行规定的安全功能，或者未能达到规定的状态的概率就越低。

　　注2：规定了4种安全完整性水平(将在后面介绍)。

　　注3：在确定安全完整性时，应包括所有导致非安全状态的失效原因(随机硬件失效和系统失效)，如：硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效，尤其是随机硬件失效，可用危险模式失效下的平均失效频率，或安全相关保护系统未能按要求运作的概率来量化，但安全完整性还取决于许多不能精确量化只可定性考虑的因素。

　　注4：安全完整性由硬件安全完整性和系统安全完整性构成(将在后面介绍)。

　　注5：本定义针对安全相关系统执行安全功能的可靠性(将在后面介绍)。

　　功能安全的实质，是用保证功能的存在来保证安全的存在。所以，保证功能存在的概率就是对相应的安全等级的保障。在功能安全中，安全相关系统首先要有安全功能，再就是该安全功能能保证以一个什么样的概率存在。这就是安全完整性。

　　安全产品与非安全产品的区别就在于安全完整性，这也是在完成同样功能的情况下，安全产品比非安全产品贵几倍甚至几十倍的原因所在。安全产品安全功能的安全完整性越高，其不能执行安全功能的概率就越低，但同时所需的资源也越多。在“IEC61508”中，将安全相关系统的安全完整性分为4个等级，分别是SIL1、SIL2、SIL3、SIL4。对应的要求是：在低要求操作模式下，SIL1的安全相关系统可以保证，在要求其起作用时其不能起作用的概率在1/10~1/100之间。以此类推，SIL2是1/100~1/1000之间， SIL3是1/1 000~1/10000之间， SIL4是1/10000~1/100000之间;在高要求模式或连续模式下，SIL1的安全相关系统可以保证，其每小时的平均危险失效概率在10-5/h~10-6/h之间，以此类推，SIL2是10-6/h~10-7/h之间， SIL3是10-7/h~10-8/h之间， SIL4是10-8/h~10-9/h之间。形象地说，在连续模式下，SIL1表示安全相关系统的安全功能在10年之间只可能有小于1次的失效。SIL2表示安全相关系统的安全功能在100年之间只可能有小于1次的失效。SIL3表示安全相关系统的安全功能在1000年之间只可能有小于1次的失效。SIL4表示安全相关系统的安全功能在1万年之间只可能有小于1次的失效。当然这种说法只是便于大家形象的理解，并不严谨。

　　安全功能和安全完整性构成了安全相关系统的两大支柱，还有一大不可或缺的支柱，就是故障安全原则。其定义为：组成安全相关系统的各环节自身出现故障的概率不可能为零，且外部环境的变化(如：供电、供气中断，地震导致的损坏、雷击导致的损坏等)亦可能发生。当内部或外部原因使安全相关系统失效时，被保护的对象应按预定的顺序达到安全状态，这就是故障安全原则。

　　安全相关系统自身是由各部件(要素)构成的。每个要素都存在失效率，尽管可控制在很小值，但仍有失效可能。另一方面，有些难以抗拒的外部因素也会造成安全相关系统的失效。所以安全相关系统一定要设计成在自身出现失效时，被保护对象能按预定的顺序达到安全状态。有了这样的机制，从理论上讲，安全相关系统就可将被保护对象置于全闭环的保护之中。

　　简要总结，对安全相关系统行为的要求就是3句话：有一个安全功能，使被保护对象一旦有事就能进入安全状态;保证每个安全功能以一个概率来实现(最起码是在要求模式下不能实现的概率小于1/10，在连续模式下不能实现的概率小于10-5/h);一旦自身失效，应使被保护对象按预定顺序达到安全状态。

　　编辑 边 安