1　概述

1.1　引言

印度博帕尔毒气泄漏、前苏联切尔诺贝利核电站爆炸等人类工业史上的几次重大事故给了人们深刻惨痛的教训，使人们认识到安全问题永远都不应该被忽视。IEC61508等国际标准将安全保障推向了更加系统、本质安全和成本节约的方向，并首次提出了电气/电子/可编程电子（Electrical/Electronic/Programmable Electronic，E/E/PE）安全相关系统（Safety-Related system，SRS）的功能安全。E/E/PE安全相关系统已被广泛应用于过程工业、机械工业、核工业、采矿业、航空航天、铁路、公共安全等各个领域。例如，过程工业中的安全仪表系统（Safety Instrumented System，SIS）、机械行业的安全相关电气控制系统（safety-Related Electrical Control System，SRECS）、煤矿安全监测监控系统、铁路信号系统等。E/E/PE安全相关系统监视生产过程的状态，在危险条件出现时采取相应措施，防止事故发生，避免潜在危险对人身、设备、环境造成伤害或减轻其造成的损失。

以往设计人员通常根据经验设计具有某种安全保护功能的E/E/PE安全相关系统，而且工业界也常常认为安装了E/E/PE安全相关系统就达到了安全。然而，由于本身结构、硬件、软件及其周围环境等原因，E/E/PE安全相关系统将不可避免地存在安全性问题；而且E/E/PE安全相关系统大多长期处于被动休眠状态，往往不易发现它的缺陷，因此，不但其是否已安装、是否具有正确的功能非常重要，而且其执行安全功能的可靠程度——安全性能或者说其安全完整性等级（Safety Integrity Level，SIL）有多高亦不容忽视。而后者却经常被工业生产者及安全管理者忽视。

传统的风险评估（安全评价）往往将受控设备设施、E/E/PE安全相关系统和其他风险降低措施一起评价，例如道化学火灾、爆炸指数评价法，或者完全忽略了E/E/PE安全相关系统，造成安全评价内容不够全面。本书基于系统安全理论，提出对E/E/PE安全相关系统的功能安全单独进行评估，使受控设备或过程的残余风险降低到可接受水平。这个风险的降低就是E/E/PE安全相关系统的SIL等级，其选择应恰到好处，过高会造成投资成本的浪费，过低会使风险不可接受。如何评估设计选用的或已在役的E/E/PE安全相关系统能够满足受控系统风险降低的要求，而且选择得经济合理，这就对E/E/PE安全相关系统的功能安全评估提出了要求。

E/E/PE安全相关系统是自动控制领域的研究内容，而E/E/PE安全相关系统的功能安全问题则涉及安全工程领域，因此，E/E/PE安全相关系统的功能安全属于自动控制与安全工程的交叉学科范畴。本书将以E/E/PE安全相关系统为主要对象，讨论其功能安全评估的理论、方法及应用示例。