冯晓升中国功能安全中心教授级高工

1功能安全中心

1

冯晓升

中国功能安全中心教授级高工

功能安全技术与应用

2功能安全中心

功能安全基本概念

功能安全涉及的标准和领域

安全生命周期

结束语

3功能安全中心

功能安全的基本概念

4功能安全中心


对人体健康的损害或损伤以及对财产或环境的损害。伤害

功能安全中心 5

不存在不可接受的风险。

不存在绝对安全，只存在相对安全。将安全问题转化为风险问题，通过控制风险使安全变得可

控。

安全


6功能安全中心

风险出现伤害的概率及该伤害严重性的组合。


功能安全中心 7

允许风险根据当今社会的水准 , 在给定的范围内能够接受的风险。

允许风险取决于国家、社会、企业或个人能够接受的风险水平• - 国家政策法规的要求• - 企业的规章制度• - 社会对该事件的共识• - 业主的容忍程度• - ……


8功能安全中心

风险级别

不可容忍区域，一般风险值高于 10E-4

ALARP 或可容忍区域

( 只有当效益理想时风险是可以控制的 )

广泛可接受的区域，一般风险值低于10E-6

除非在特殊环境下，风险无法接受

只有当进一步的风险降低已经不切实际或其花费与收益严重不成比例时才可接受

当减少的花费超过获得的收益时可容忍

ALARP 原则

注： ALARP= As Low As Reasonably Practically ，即合理可行的低

9功能安全中心

功能安全与 EUC （ Equipment Under Control ，受控设备）

和 EUC控制系统有关的整体安全的组成部分，它取决于 E/E/PE （ Electrical/Electronic/Programmable Electronic,电气 / 电子 / 可编程电子）安全相关系统和其它风险降低措施功能的正确行使。

危险来自于：自然、自身、敌人。


功能安全中心10

安全相关系统所指的系统应满足以下两项要求：—执行要求的安全功能足以达到或保持 EUC

（ Equipment Under Control，受控设备）的安全状态；并且

—自身或与其它 E/E/PE （ Electrical/Electronic/ Programmable Electronic，电气 / 电子 / 可编程电子）安全相关系统、其它风险降低措施一道 , 足以达到要求的安全功能所需的安全完整性。


11功能安全中心

这条术语是指这样的系统，即所谓安全相关系统是它们 , 及与其他风险降低措施一道达到必要的风险降低量，以满足所要求的允许风险。

注 1 ：


注 2 ：

安全相关系统是在探测到可导致危险事件的情况时采取适当的动作以防止 EUC （ Equipment Under Control ，受控设备）进入危险状态。安全相关系统的失效应被包括在导致危害的事件中。尽管可能存在具备安全功能的其他系统，但所指定的安全相关系统应仅靠其自身能力达到要求的允许风险。安全相关系统一般被分为安全相关控制系统和安全相关防护系统。


安全相关系统可以是 EUC控制系统的组成部分，也可用传感器和 / 或执行器与 EUC接口。即可通过实现 EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立、专门的安全相关系统实现安全功能。

安全相关系统可以是 EUC （ Equipment Under Control ，受控设备）控制系统的组成部分，也可用传感器和 / 或执行器与 EUC接口。即可通过实现 EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立、专门的安全相关系统实现安全功能。

注 3 ：


安全相关系统可：• a)被用于防止危险事件发生（即安全相关系统一旦执行其安全功

能则没有危险事件发生）；• b)被用来减轻危险事件的影响，即通过减轻后果的办法来降低风

险 ;• c)同时具有 a) 和 b)的组合功能。

注 4 ：


人也可作为安全相关系统的一部分。例如，人可以接收来自可编程电子装置的信息，并根据接收信息执行安全动作，或通过可编程电子装置执行安全动作。

注 5 ：


注 6 ：

安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务（如电源）。（因此，传感器，其它输入装置，最终元件（执行器）和其它输出装置都包括在安全相关系统中）


注 7 ：

安全相关系统可基于范围的技术基础，包括电气、电子、可编程电子、液压和气动等。


18

安全状态达到安全时 EUC的状态。

注：从潜在的危险条件到最终的安全状态， EUC可能不得不经过几个中间的安全状态。有时，仅当 EUC处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。



19

安全功能针对特定的危险事件，为达到或保持 EUC （ Equipment Under Control ，受控设备）的安全状态，由 E/E/PE （ Electrical/Electronic/Programmable Electronic, 电气 / 电子 / 可编程电子）安全相关系统或其它风险降低措施实现的功能。

安全功能的例子包括：在要求时执行的功能，比如为避免危险状况的积极行动（如切断马达）；和

采取预防行为的功能（如防止马达启动）。



20

安全完整性在规定的时间段内，在规定的条件下安全相关系统成功

执行规定的安全功能的概率。

注 1 ：安全完整性越高，安全相关系统在要求时未能执行规定的安全功能或未能达到规定的状态的概率就越低。

注 2 ：规定了 4 种安全完整性水平。

注 3 ：安全完整性由硬件安全完整性和系统安全完整性构成。



21

随机硬件失效在硬件中，由一种或几种可能的退化机制而产生的，按随

机时间出现的失效。

注：在各种部件中，存在以不同速率发生的许多退化机制，在这些部件工作不同的时间之后，这些机制可使制造公差引起部件发生故障，从而使包含许多部件的设备将以可预见的速率，但在不可预见的时间 ( 即随机时间 ) 发生失效。



22

系统性失效原因确定的失效，只有对设计或制造过程、操作规程、文

档或其它相关因素进行修改后，才有可能排除这种失效。

注：系统性失效的例子有 ——安全要求规范： ——硬件的设计、制造、安装、操作； ——软件的设计和实现等。



23

随机硬件失效和系统失效的主要区别是 :

由随机硬件失效导致的系统失效率（或其它合适的量度）可用合理的精确度来预计，但系统失效生来就不能精确预计，因此系统失效引起的系统失效率则不能精确地用统计法量化。



24

硬件安全完整性在危险失效模式下与随机硬件失效有关的安全相关系统

安全完整性的一部分。

系统安全完整性在危险失效模式下与系统失效有关的安全相关系统安全

完整性的一部分



25

安全完整性等级一种离散的等级（四种可能等级之一），对应安全完整性

量值的范围。在这里，安全完整性等级 4 是最高的，安全完整性等级 1 是最低的。

注：安全完整性等级 (SIL, Safety Integrity Level) 并非系统、子系统、要素或元件的特性。对 SILN（ N=1 、 2 、 3 、 4 ）的正确理解是系统支持安全功能的潜在能力具有达到 N 的安全完整性水平。



26

安全完整性等级安全功能在要求时的危险失效平均概率 (PFDavg ,即 Average probability of failure on demand)

4 ≥ 10-5 至＜10-4 3 ≥ 10-4 至＜10-3 2 ≥ 10-3 至＜10-2 1 ≥ 10-2 至＜10-1

功能安全的基本概念表 2-安全完整性等级 - 在低要求操作模式下安全功能的目标失效量


27

安全完整性等级 (SIL)

安全功能危险失效的平均概率[H-1] （PFH, Probability of Failure per Hour）

4 ≥ 10-9 至＜10-8 3 ≥ 10-8 至＜10-7 2 ≥ 10-7 至＜10-6 1 ≥ 10-6 至＜10-5

功能安全的基本概念表 3-安全完整性等级 - 在高要求或连续操作模式下

安全功能的目标失效量


29

功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。



30

功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。

IEC61508(国标 GB/T 20438) 电气 / 电子 / 安全相关系统的功能安全IEC61511(国标 GB/T 21109) 过程工业领域安全仪表系统的功能安全IEC61800 可调节速度的电力驱动系统 IEC60335 家用和类似用途电器的安全IEC61784-3 功能安全的通信总线 IEC61513 核电厂 - 以安全为主的系统用仪器仪表和控制系统的一般要求 EN50126/8/9 铁路应用 IEC62061 机械安全 -- 与安全有关的电气、电子和可编程序电子控制系统的功能安全 ISO 13849 机械安全 --控制系统有关安全部件



IEC 61508

IEC 61800-5-2电驱设备

IEC 61511流程工业领域

IEC 61513核工业

EN50156熔炉

IEC 60601医疗设备

EN 50126/8/9铁路

IEC 62061机械

EN 115扶梯

ISO26262汽车

ISO15998土方机械

IEC60335家电

ISO25119农用拖拉机

DO-178B民用飞机机载软件

一套完备的功能安全标准体系


32

日常生活的安全卫士高铁、动车、地铁等列车信号系统和自动防护系统（ ATP ， Automatic Train Protection ）


电梯、扶梯超速保护，坠落保护等系统

日常生活的安全卫士

上下梯级缺失检测主电机速度检测扶手带速度检测

切断主电机，导致停机


日常生活的安全卫士汽车安全气囊、

发动机管理和防抱死刹车系统（ ABS ，Anti-locked Braking

System )


日常生活的安全卫士飞机操纵面的线控操作


日常生活的安全卫士医疗辐射机器的

辐射剂量互锁系统和控制系统


危险工艺装置的紧急停车系统消防灭火的火气系统机床的防护联锁和紧急停车系统有毒气体检测医疗设备气体燃烧器管理起重机自动安全锁定指示器动力定位 ( 当接近近海就位时的船动控制 ) 危险化学品运输应急保障系统。。。。。。

37

生产现场的安全保证


消防灭火

危险工艺装置

有毒气体检测

机床的防护联锁和紧急停车系统

生产现场的安全保证

功能安全

……


安全生命周期


40

安全生命周期安全相关系统实现过程中所必需的活动，这些活动从一项工程的概念阶段开始，直至所有的 E/E/PE （ Electrical/Electronic/Programmable Electronic, 电气 / 电子 / 可编程电子）安全相关系统和其它风险降低设施停止使用为止的一段时间内。

安全生命周期


安装

设计

过程危险分析安全分配

研究与概念

3

1

2 整体范围定义

危险和风险分析

6

整体计划编制

7 8整体操作和维护计划编制

整体安全确认计划编制

实现 ( 见 E/E/PES)安全生命周期

9E/E/PES

安全相关系统 : 10

实现

安全相关系统 :其它技术

11

实现

外部风险降低设施整体安装

和试运行计划编制

整体安装和试运行12

安全要求分配5

4 整体安全要求

返回适当的整体安全生命周期阶段

修改或停用停用或处理16

操作和维护整体操作、维护和修理14 整体修改和改型15

整体安全确认13

概念安全生命周期

功能安全中心

典型安全生命周期实施示例

注： SRS=Safety Requirements Specification ，即安全要求规范42

功能安全中心


1 、工艺过程概念设计 :

为降低生产过程中风险发生的概率，应保证工艺设计的固有安全性，即在工艺设计中应尽可能采用低压、低容量的设计方案

43

43

功能安全中心


2 、工艺过程风险分析及评估 :

概念危险分析；初步工艺风险分析 ( PHA, Process Hazard Analysis) ；工厂的危险与可操作性分析阶段 (HAZOP ， HAZard and

OPerability analysis) ；

44

功能安全中心

典型安全生命周期实施示例3 、确定保护功能及保护层

1. 工艺过程设计

2. 工艺控制 /报警

（ BPC

S ）

3. 重要报警及人员干预 / 调

整

4. 安全仪表系统（ SIS）

5. 释放设备 ( 如泄压阀 )

6. 物理保护（如围堰、消防、防爆

墙等）

7. 应急响应

45

功能安全中心


4 、定义安全要求规范（ SRS ， Safety Requirement Specification ）

安全功能描述操作模式响应时间维检修间隔手动 / 自动要求 ……

46

功能安全中心


5 、设计阶段概念设计初步设计详细设计

47

功能安全中心

典型安全生命周期实施示例6 、集成、安装、调试及验证在 SIS 硬件安装完成后，应确保现场设备安装符合设计要求 , 并且安全仪表系统的设计涵盖了所有 PHA 及 HAZOP中确定的危险；

SIS 现场软件调试前，应确保安全仪表系统全面地进行操作测试和验证 , 并要求第三方对安全仪表系统的设计和执行给出合格的功能安全评估 ( FSA ， Functional Safety Assessment) ；

SIS 运行一段时间后，验证安全仪表系统的性能指标可以满足期望风险减小的要求。

48

功能安全中心


7 、系统的投运、维护、变更及停运

49


结束语


功能安全是一门新的安全工程学科，它提出了一套保障安全的全新理念和方法；

本次培训只是功能安全技术的冰山一角，完整的功能安全理论需要进一步的学习和了解；

目前在我国从管理人员、技术人员到现场操作人员对功能安全技术的了解还十分欠缺，需要大家统统努力进一步推动该项技术的发展应用。

结束语


52

谢谢！冯晓升： 13671267302

中国功能安全中心邮箱： [email protected]电话： 010-63461786网址： www.fs-china.org传真： 010-63262677

冯晓升 中国功能安全中心 教授级高工

Documents

冯晓升中国功能安全中心教授级高工