深度关注 今日话题 安全法规
易安评论 工伤保险 下载中心

安全技术 安全评价 安全教育
安全管理 事故案例 安 全 月 

职业健康 原创大赛 易安商城  
标  准  化 安全文艺 生活安全  

首页 新闻 专题 标准 论坛 博客 问吧 《劳动保护》 《现代职业安全》

功能安全技术与应用知识讲座

第三讲 安全相关系统——行为和要求
作者:冯晓升 来源:本站搜集 发布时间:2013年03月30日
点击数: 【字体: 打印文章

  为了思路的连续,我们回顾一下上一讲的主要概念:

  1.安全相关系统是达成功能安全的手段。

  2.安全相关系统的作用是降低风险并达到必要的风险降低量。即将现有风险降低到可容忍风险以下。

  3.每个安全相关系统都应是一道独立的安全防线。

  4.安全相关系统的失效必须被包括在导致危害的事件中。

  5.安全相关系统的存在方式,一是安全相关系统与被保护对象是完全独立的;二是被保护对象本身就是安全相关系统;三是安全相关系统与被保护对象虽然是分开的,但它们共用一个或一些组件。推荐第一种。

  6.安全相关系统一般被分为安全相关控制系统和安全相关防护系统。

  7.安全相关系统可基于广泛的技术基础。

  8.安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务。

  读者要完全理解上面的内容,才可继续向下阅读。

  安全相关系统要满足两项要求:执行要求的安全功能,足以达到或保持被保护对象的安全状态;自身或与其他E/E/PE安全相关系统、其他风险降低措施一道,足以达到要求的安全功能所需的安全完整性。这是安全相关系统的规定动作和基本要求。

  安全相关系统的规定动作从理论上讲很简单,即:执行安全功能。此处引出一个基本概念:安全功能。

  安全功能是针对特定的危险事件,为达到或保持被保护对象的安全状态,由E/E/PE安全相关系统或其他风险降低措施实现的功能。安全功能的例子包括:

  ——在要求时执行,如为避免危险状况而采取的行动,如:切断发动机、打开阀门、关断电源、紧急停车、落棒等;

  ——采取预防行为,如防止发动机启动、保持连续控制,使被保护对象平稳运行在某一状态、保持连续控制,使被保护对象的某个参数不超过一个预定的值等。

  任何产品或服务都具有其预定的功能,安全相关系统作为安全产品,其为保证安全所实现的功能称为安全功能。安全功能所要达到的目标是,达到或保持被保护对象的安全状态。也就是说,安全相关系统不论采取什么措施,通过什么步骤,执行什么动作,唯一要求其做到的,就是达到或保持被保护对象的安全状态。此处又引出安全状态(safe state)的概念,即:达到安全时,被保护对象的状态。(注:从潜在危险情况到最终安全状态,被保护对象可能经过几个中间的安全状态。有时,仅当被保护对象处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。)

  安全状态是非常重要、十分有用、不可或缺的一个概念。在安全工作中,我们必须找到被保护对象的这个安全状态,一旦有事,我们的安全工作就应使被保护对象进入到安全状态。针对不同的被保护对象,安全状态也是不同的。如:车床工作状态是飞速旋转,安全状态是停车;压力容器的安全状态是其中的压力小于危险的压力值;核反应堆的安全状态是落棒,即一旦发现危险情况,将核反应棒插入堆芯,从而停止反应。

  安全状态定义中的“注”也是不能忽略的内容。被保护对象从潜在的危险情况到最终的安全状态,在有些情况下是可以一步到位的,在有些情况下做不到一步到位,需经过一些中间过程。在这种情况下,我们除了要知道最终的安全状态,还要找到中间过渡性的安全状态。如:飞机工作状态是正常飞行,安全状态是落在地上,飞机在天上发生危险情况时,不可能一步到位落在地上,此时先以某种方式飞行是相对安全的,这就是所谓的中间安全状态。

  安全相关系统以两种操作模式运行:

  要求模式。将被保护对象导入规定的安全状态的安全功能,仅当要求时才执行。E/E/PE安全相关系统只在要求发生时才对被保护对象,或被保护对象的控制系统产生影响。如E/E/PE安全相关系统失效,不能执行安全功能,则可能使被保护对象偏离安全状态。

  要求模式又分为低要求模式和高要求模式。低要求模式,指被保护对象对安全相关系统提出操作要求的频率,不大于每年1次;高要求模式,指被保护对象对安全相关系统提出操作要求的频率大于每年1次。

  连续模式。安全功能将被保护对象保持在安全状态是正常操作的一部分。

  了解安全功能之后,我们会面临另一个重要概念:安全完整性。这是对安全相关系统行为的基本要求。

  安全完整性(safety integrity):在规定的时间段内,在规定的条件下,安全相关系统成功执行所规定安全功能的概率。

  注1:安全完整性越高,安全相关系统在要求时未能执行规定的安全功能,或者未能达到规定的状态的概率就越低。

  注2:规定了4种安全完整性水平(将在后面介绍)。

  注3:在确定安全完整性时,应包括所有导致非安全状态的失效原因(随机硬件失效和系统失效),如:硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效,尤其是随机硬件失效,可用危险模式失效下的平均失效频率,或安全相关保护系统未能按要求运作的概率来量化,但安全完整性还取决于许多不能精确量化只可定性考虑的因素。

  注4:安全完整性由硬件安全完整性和系统安全完整性构成(将在后面介绍)。

  注5:本定义针对安全相关系统执行安全功能的可靠性(将在后面介绍)。

  功能安全的实质,是用保证功能的存在来保证安全的存在。所以,保证功能存在的概率就是对相应的安全等级的保障。在功能安全中,安全相关系统首先要有安全功能,再就是该安全功能能保证以一个什么样的概率存在。这就是安全完整性。

  安全产品与非安全产品的区别就在于安全完整性,这也是在完成同样功能的情况下,安全产品比非安全产品贵几倍甚至几十倍的原因所在。安全产品安全功能的安全完整性越高,其不能执行安全功能的概率就越低,但同时所需的资源也越多。在“IEC61508”中,将安全相关系统的安全完整性分为4个等级,分别是SIL1、SIL2、SIL3、SIL4。对应的要求是:在低要求操作模式下,SIL1的安全相关系统可以保证,在要求其起作用时其不能起作用的概率在1/10~1/100之间。以此类推,SIL2是1/100~1/1000之间, SIL3是1/1 000~1/10000之间, SIL4是1/10000~1/100000之间;在高要求模式或连续模式下,SIL1的安全相关系统可以保证,其每小时的平均危险失效概率在10-5/h~10-6/h之间,以此类推,SIL2是10-6/h~10-7/h之间, SIL3是10-7/h~10-8/h之间, SIL4是10-8/h~10-9/h之间。形象地说,在连续模式下,SIL1表示安全相关系统的安全功能在10年之间只可能有小于1次的失效。SIL2表示安全相关系统的安全功能在100年之间只可能有小于1次的失效。SIL3表示安全相关系统的安全功能在1000年之间只可能有小于1次的失效。SIL4表示安全相关系统的安全功能在1万年之间只可能有小于1次的失效。当然这种说法只是便于大家形象的理解,并不严谨。

  安全功能和安全完整性构成了安全相关系统的两大支柱,还有一大不可或缺的支柱,就是故障安全原则。其定义为:组成安全相关系统的各环节自身出现故障的概率不可能为零,且外部环境的变化(如:供电、供气中断,地震导致的损坏、雷击导致的损坏等)亦可能发生。当内部或外部原因使安全相关系统失效时,被保护的对象应按预定的顺序达到安全状态,这就是故障安全原则。

  安全相关系统自身是由各部件(要素)构成的。每个要素都存在失效率,尽管可控制在很小值,但仍有失效可能。另一方面,有些难以抗拒的外部因素也会造成安全相关系统的失效。所以安全相关系统一定要设计成在自身出现失效时,被保护对象能按预定的顺序达到安全状态。有了这样的机制,从理论上讲,安全相关系统就可将被保护对象置于全闭环的保护之中。

  简要总结,对安全相关系统行为的要求就是3句话:有一个安全功能,使被保护对象一旦有事就能进入安全状态;保证每个安全功能以一个概率来实现(最起码是在要求模式下不能实现的概率小于1/10,在连续模式下不能实现的概率小于10-5/h);一旦自身失效,应使被保护对象按预定顺序达到安全状态。

  编辑 边 安

责任编辑:kerrywang




上一篇:没有了!

下一篇:没有了!
相关信息
  • 避难层的设置
  • 爆炸危险环境中电气设备的选用
  • 处置爆炸物品火灾的基本对策
  • 氨供冷储罐区动火作业安全措施
  • 丁、辛醇安全生产技术要点
  • 观后心情
    感动 同情 无聊 愤怒 搞笑 难过 高兴 路过
    最新排行
    最新推荐
    论坛精华
    问吧精华
    博客精华
    联系我们 | 友情链接 | 版权申明 | 广告业务 | 网站地图
    版权:《劳动保护》杂志社 电话:010-84850376-928 传真:010-84854726
    主站:www.esafety.cn 杂志:www.ldbh.com.cn 商城: www.esafetyshop.cn 安全月:www.anquanyue.cn
    京ICP备11028188号 京公网安备11010502022994 友情提示:分辨率1024*768显示
    地址:北京市朝阳区北苑路172号欧陆大厦B座9层《劳动保护》·易安网 邮编:100101