冯晓升 中国功能安全中心 教授级高工

1. 冯晓升 中国功能安全中心 教授级高工 功能安全技术与应用 1

2. 功能安全基本概念 功能安全涉及的标准和领域 安全生命周期 结束语

3. 功能安全的基本概念

4. 对人体健康的损害或损伤以及对财产或环境的损害。 对人体健康的损害或损伤以及对财产或环境的损害。 功能安全的基本概念 伤害

5. 功能安全的基本概念 安全 不存在不可接受的风险。 不存在绝对安全，只存在相对安全。 将安全问题转化为风险问题，通过控制风险使安全变得可控。 5

6. 风险 出现伤害的概率及该伤害严重性的组合。 功能安全的基本概念

7. 功能安全的基本概念 允许风险 根据当今社会的水准,在给定的范围内能够接受的风险。 • 允许风险取决于国家、社会、企业或个人能够接受的风险水平 • - 国家政策法规的要求 • - 企业的规章制度 • - 社会对该事件的共识 • - 业主的容忍程度 • - …… 7

8. ALARP原则 风险级别 不可容忍区域，一般风险值高于10E-4 除非在特殊环境下，风险无法接受 只有当进一步的风险降低已经不切实际或其花费与收益严重不成比例时才可接受 ALARP 或可容忍区域 (只有当效益理想时风险是可以控制的) ALARP原则 当减少的花费超过获得的收益时可容忍 广泛可接受的区域，一般风险值低于10E-6 注：ALARP=As Low As Reasonably Practically，即合理可行的低

9. 功能安全的基本概念 功能安全 与EUC（Equipment Under Control，受控设备）和EUC控制系统有关的整体安全的组成部分，它取决于E/E/PE（Electrical/Electronic/Programmable Electronic,电气/电子/可编程电子）安全相关系统和其它风险降低措施功能的正确行使。 危险来自于：自然、自身、敌人。

10. 功能安全的基本概念 安全相关系统 所指的系统应满足以下两项要求： —执行要求的安全功能足以达到或保持EUC （Equipment Under Control，受控设备 ）的安全状态；并且 —自身或与其它E/E/PE （Electrical/Electronic/ Programmable Electronic，电气/电子/可编程电子）安全相关系统、其它风险降低措施一道, 足以达到要求的安全功能所需的安全完整性。 10

11. 注1： 这条术语是指这样的系统，即所谓安全相关系统 是它们,及与其他风险降低措施一道达到必要的风险降低量，以满足所要求的允许风险。

12. 注2： 安全相关系统是在探测到可导致危险事件的情况时采取适当的动作以防止EUC（Equipment Under Control，受控设备）进入危险状态。 安全相关系统的失效应被包括在导致危害的事件中。 尽管可能存在具备安全功能的其他系统，但所指定的安全相关 系统应仅靠其自身能力达到要求的允许风险。 安全相关系统一般被分为安全相关控制系统和安全相关防护系统。

13. 注3： 安全相关系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC接口。即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立、专门的安全相关系统实现安全功能。 安全相关系统可以是EUC （Equipment Under Control，受控设备）控制系统的组成部分，也可用传感器和/或执行器与EUC接口。即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立、专门的安全相关系统实现安全功能。

14. 注4： • 安全相关系统可： • a)被用于防止危险事件发生（即安全相关系统一旦执行其安全功能则没有危险事件发生）； • b)被用来减轻危险事件的影响，即通过减轻后果的办法来降低风险; • c)同时具有a)和b)的组合功能。

15. 注5： 人也可作为安全相关系统的一部分。例如，人可以接收来自可编程电子装置的信息，并根据接收信息执行安全动作，或通过可编程电子装置执行安全动作。

16. 注6： 安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务（如电源）。（因此，传感器，其它输入装置，最终元件（执行器）和其它输出装置都包括在安全相关系统中）

17. 注7： 安全相关系统可基于范围的技术基础，包括电气、电子、可编程电子、液压和气动等。

18. 安全状态 达到安全时EUC的状态。 注：从潜在的危险条件到最终的安全状态，EUC可能不得不经过几个中间的安全状态。有时，仅当EUC处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。 功能安全的基本概念 18

19. 安全功能 针对特定的危险事件，为达到或保持EUC （Equipment Under Control，受控设备）的安全状态，由E/E/PE （Electrical/Electronic/Programmable Electronic,电气/电子/可编程电子）安全相关系统或其它风险降低措施实现的功能。 安全功能的例子包括： 在要求时执行的功能，比如为避免危险状况的积极行动（如切断马达）；和 采取预防行为的功能（如防止马达启动）。 功能安全的基本概念 19

20. 功能安全的基本概念 • 安全完整性 • 在规定的时间段内，在规定的条件下安全相关系统成功执行规定的安全功能的概率。 • 注1：安全完整性越高，安全相关系统在要求时未能执行规定的安 全功能或未能达到规定的状态的概率就越低。 • 注2：规定了4种安全完整性水平。 • 注3：安全完整性由硬件安全完整性和系统安全完整性构成。 20

21. 功能安全的基本概念 • 随机硬件失效 • 在硬件中，由一种或几种可能的退化机制而产生的，按随机时间出现的失效。 • 注：在各种部件中，存在以不同速率发生的许多退化机制，在这些部件工作不同的时间之后，这些机制可使制造公差引起部件发生故障，从而使包含许多部件的设备将以可预见的速率，但在不可预见的时间(即随机时间)发生失效。 21

22. 功能安全的基本概念 • 系统性失效 • 原因确定的失效，只有对设计或制造过程、操作规程、文档或其它相关因素进行修改后，才有可能排除这种失效。 • 注：系统性失效的例子有 • ——安全要求规范： • ——硬件的设计、制造、安装、操作； • ——软件的设计和实现等。 22

23. 功能安全的基本概念 随机硬件失效和系统失效的主要区别是: 由随机硬件失效导致的系统失效率（或其它合适的量度）可用合理的精确度来预计，但系统失效生来就不能精确预计，因此系统失效引起的系统失效率则不能精确地用统计法量化。 23

24. 功能安全的基本概念 硬件安全完整性 在危险失效模式下与随机硬件失效有关的安全相关系统安全完整性的一部分。 系统安全完整性 在危险失效模式下与系统失效有关的安全相关系统安全完整性的一部分 24

25. 功能安全的基本概念 • 安全完整性等级 • 一种离散的等级（四种可能等级之一），对应安全完整性量值的范围。在这里，安全完整性等级4是最高的，安全完整性等级1是最低的。 • 注：安全完整性等级(SIL, Safety Integrity Level)并非系统、子系统、要素或元件的特性。对SILN（N=1、2、3、4）的正确理解是系统支持安全功能的潜在能力具有达到N的安全完整性水平。 25

26. 功能安全的基本概念 表2-安全完整性等级-在低要求操作模式下安全功能的目标失效量 26

27. 功能安全的基本概念 表3-安全完整性等级-在高要求或连续操作模式下 安全功能的目标失效量 27

28. 功能安全涉及的标准和领域

29. 功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。 功能安全涉及的标准和领域 29

30. 功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。 IEC61508(国标GB/T 20438) 电气/电子/安全相关系统的功能安全 IEC61511(国标GB/T 21109) 过程工业领域安全仪表系统的功能安全 IEC61800 可调节速度的电力驱动系统 IEC60335 家用和类似用途电器的安全 IEC61784-3 功能安全的通信总线 IEC61513 核电厂-以安全为主的系统用仪器仪表和控制系统的一般要求 EN50126/8/9 铁路应用 IEC62061 机械安全-- 与安全有关的电气、电子和可编程序电子控制系统的功能安全 ISO 13849 机械安全--控制系统有关安全部件 功能安全涉及的标准和领域 30

31. IEC 61511 流程工业领域 ISO26262 汽车 EN 115 扶梯 ISO15998 土方机械 EN50156 熔炉 IEC 61800-5-2 电驱设备 EN 50126/8/9 铁路 IEC 60601 医疗设备 IEC 61513 核工业 IEC60335 家电 IEC 61508 一套完备的功能安全标准体系 ISO25119 农用拖拉机 DO-178B 民用飞机机载软件 IEC 62061 机械

32. 高铁、动车、地铁等列车信号系统和自动防护系统（ATP，Automatic Train Protection） 日常生活的安全卫士 32

33. 上下梯级缺失检测 主电机速度检测 扶手带速度检测 切断主电机，导致停机 日常生活的安全卫士 • 电梯、扶梯超速保护，坠落保护等系统

34. 日常生活的安全卫士 • 汽车安全气囊、 • 发动机管理和防抱 • 死刹车系统（ABS， • Anti-locked Braking • System)

35. 日常生活的安全卫士 • 飞机操纵面的线控操作

36. 日常生活的安全卫士 • 医疗辐射机器的 • 辐射剂量互锁系统 • 和控制系统

37. 危险工艺装置的紧急停车系统 消防灭火的火气系统 机床的防护联锁和紧急停车系统 有毒气体检测 医疗设备 气体燃烧器管理 起重机自动安全锁定指示器 动力定位(当接近近海就位时的船动控制) 危险化学品运输应急保障系统 。。。。。。 生产现场的安全保证 37

38. 功能安全 生产现场的安全保证 有毒气体检测 消防灭火 机床的防护联锁和紧急停车系统 危险工艺装置 ……

39. 安全生命周期

40. 安全生命周期 安全相关系统实现过程中所必需的活动，这些活动从一项工程的概念阶段开始，直至所有的E/E/PE （Electrical/Electronic/Programmable Electronic,电气/电子/可编程电子）安全相关系统和其它风险降低设施停止使用为止的一段时间内。 安全生命周期 40

41. 过程危险分析 安全分配 安装 设计 研究与概念 操作和维护 修改或停用 安全生命周期 1 概念 整体范围定义 2 危险和风险分析 3 整体安全要求 4 安全要求分配 5 整体计划编制 9 10 11 安全相关系统: 安全相关系统: 其它技术 外部风险 降低设施 6 7 8 E/E/PES 整体操作 和维护计 划编制 整体安装 和试运行 计划编制 整体安全 确认计划 编制 实现(见E/E/PES) 安全生命周期 实现 实现 12 整体安装和试运行 返回适当的整体安全 生命周期阶段 13 整体安全确认 整体操作、维护 和修理 14 15 整体修改和改型 16 停用或处理

42. 典型安全生命周期实施示例 注：SRS=Safety Requirements Specification，即安全要求规范 42

43. 1、工艺过程概念设计: 为降低生产过程中风险发生的概率，应保证工艺设计的固有安全性，即在工艺设计中应尽可能采用低压、低容量的设计方案 典型安全生命周期实施示例 43 43

44. 2、工艺过程风险分析及评估: 概念危险分析； 初步工艺风险分析( PHA, Process Hazard Analysis)； 工厂的危险与可操作性分析阶段(HAZOP，HAZard and OPerability analysis)； 典型安全生命周期实施示例 44

45. 3、确定保护功能及保护层 典型安全生命周期实施示例 7. 应急响应 6. 物理保护（如围堰、消防、防爆墙等） 5. 释放设备(如泄压阀) 4. 安全仪表系统（SIS） 3. 重要报警及人员干预/调整 2. 工艺控制/报警（BPCS） 1. 工艺过程设计 45

46. 典型安全生命周期实施示例 • 4、定义安全要求规范（SRS，Safety Requirement Specification） • 安全功能描述 • 操作模式 • 响应时间 • 维检修间隔 • 手动/自动要求 • …… 46

47. 典型安全生命周期实施示例 • 5、设计阶段 • 概念设计 • 初步设计 • 详细设计 47

48. 典型安全生命周期实施示例 6、集成、安装、调试及验证 • 在SIS硬件安装完成后，应确保现场设备安装符合设计要求, 并且安全仪表系统的设计涵盖了所有PHA 及HAZOP中确定的危险； • SIS现场软件调试前，应确保安全仪表系统全面地进行操作测试和验证, 并要求第三方对安全仪表系统的设计和执行给出合格的功能安全评估( FSA ，Functional Safety Assessment)； • SIS运行一段时间后，验证安全仪表系统的性能指标可以满足期望风险减小的要求。 48

49. 典型安全生命周期实施示例 7、系统的投运、维护、变更及停运 49

50. 结束语