1.3　功能安全

1.3.1　主要概念和参数

（1）安全生命周期与功能安全管理

IEC61508中提出了安全生命周期（Safety Life cycle，SLC）的概念，即安全相关系统实现过程中所必需的活动，这些活动从项目的概念阶段开始，直至所有的E/E/PE安全相关系统和其他风险降低措施停止使用为止的时间周期。E/E/PE安全相关系统整体安全生命周期包括的活动非常多，其主要活动概括总结如图1.3所示。其中涉及功能安全评估的活动为1、3阶段。第1阶段主要是根据对受控设备风险评估的结果确定E/E/PE安全相关系统应具有的安全功能及其安全完整性等级；第3阶段主要是对刚设计完成或安装完成试运行后或已运行多年的E/E/PE安全相关系统进行功能安全评估，验证其实现的安全完整性等级是否能够满足安全要求，否则E/E/PE安全相关系统应进行修改，修改后必须重新进行功能安全评估，直至达到安全要求为止。

功能安全管理贯穿于整个SLC。对于过程工业，功能安全管理是过程安全管理（Process Safety Management，PSM）的一部分，也应纳入SIS工程项目管理和质量保证体系中。功能安全管理涉及SLC各阶段相关组织和人员的责任、人员的能力、活动的计划与控制、文档管理等方面。典型的功能安全管理活动包括：确认（Verificaiton）、验证（Validation）、功能安全评估（Functional Safety Assessment）及审计（Audit）。就E/E/PE安全相关系统而言，相对于硬件的随机失效，人为因素导致的失效、设计失效等，都归类为系统性失效。系统性失效只能通过安全生命周期的有效功能安全管理才能避免或降低。

（2）功能安全评估

功能安全（Functional Safety，FS）是与EUC和EUC控制系统有关的整体安全的组成部分，它取决于E/E/PE安全相关系统、其他风险降低措施功能的正确行使。它包含安全相关系统的安全功能和安全功能的执行能力两层含义。E/E/PE安全相关系统的功能安全评估，即评估以E/E/PE为原理的安全相关系统的安全功能是否正确，以及其执行预期的安全功能的能力，也可以说是对E/E/PE安全相关系统的功能和性能进行评估。

功能安全评估是功能安全管理的重要内容。之前已结合安全生命周期阶段介绍了进行功能安全评估的时机。功能安全评估活动的次数、评估范围取决于：

①项目的规模；

②技术复杂程度；

③安全完整性等级要求；

④项目的时间跨度；

⑤失效事件的后果；

⑥各设计环节的标准化程度；

⑦安全法律法规的要求；

⑧是否有以前类似项目的设计经验。

（3）安全完整性等级与失效概率（频率）

安全完整性是在规定的时间段内和规定的条件下，安全相关系统成功执行规定的安全功能的概率。安全完整性等级是对安全相关系统执行其安全功能的能力的一种衡量。安全完整性等级还与受控设备或过程的风险降低因子（Risk Reduction Factor，RRF）相对应（如表1.1所示），因此，从另一角度说，安全完整性等级也是受控设备或过程本质安全性的一种度量。需要指出的是，安全完整性等级是针对某个特定的安全功能而言的。工业应用中的E/E/PE安全相关系统往往具有多个回路，每个回路实现一种安全功能，因此，一个具有多个不同功能回路的E/E/PE安全相关系统应该具有针对不同回路的多个安全完整性等级。

注：表1.1中的风险降低因子是要求时危险失效平均概率的倒数。

IEC61508按照要求时危险失效平均概率（Average Probability of Dangerous Failure on De-mand，PFDavg）和每小时危险失效平均频率（Average Frequency of a Dangerous Failure per Hour，PFH）将两种运行模式下的SIL划分为离散的4级。如表1.1和表1.2所示。

低要求运行模式和高要求（连续）运行模式是根据对不同使用方式的安全相关系统动作要求的频率来区分的。2010年版IEC61508对运行模式的定义进行了修改，并对连续运行模式单独定义。在低要求模式下，对一个E/E/PE安全相关系统提出动作要求的频率不大于每年1次，如过程工业的SIS；在高要求模式下，对一个E/E/PE安全相关系统提出动作要求的频率大于每年1次，如机械行业的SRECS；连续运行模式是正常运行的一部分，如航空航天控制系统。低要求运行模式是过程工业中最普遍的模式；高要求和连续运行模式在制造加工业、铁路运输业和航天工业中比较常见。

需要指出的是，在纯粹的连续运行模式中，动作要求是持续存在的，如果没有其他保护层，SIF的危险失效将立刻导致意外事件发生。在这种模式下，检验测试（Proof Test）以及单通道（1oo1表决）系统的自动在线诊断将不会产生任何安全作用。检验测试通常半年或一年对E/E/PE安全相关系统进行1次安全检验测试，也称为周期性检验测试。

（4）平均失效前时间（MTTF）、平均恢复时间（MTTR）、平均失效间隔时间（MTBF）

平均失效前时间（Mean Time to Failure，MTTF）是最广泛使用的可靠性参数之一。它描述了系统从开始正常工作直到系统发生失效的平均时间，是失效前时间的期望值。其定义中的失效包括危险失效、安全失效和无影响失效。如果失效率是常数，则。MTTF既可用于可维修系统，也可应用于不可维修系统。对于不可维修系统，MTTF，代表系统的平均寿命。

2010版IEC61508提出了平均恢复时间（Mean Time to Restoration，MTTR）和平均维修时间（mean repair time，MRT）。MTTR是随机变量修复时间的期望值，是达到恢复的预期时间，包括检测失效发生所需要的时间以及检测和判断失效之后所需要维修的时间。MRT是预期的大体维修时间。与MTTR相比，不包括检测失效时间。MTTR只用于可维修系统。

平均失效间隔时间（Mean Time between Failure，MTBF）是仅用于可维修系统的术语。顾名思义，它是两次相邻失效间隔时间的期望值，代表可维修系统的平均寿命。

在数学上，MTBF=MTTF+MTTR。由于MTTR远小于MTTF，因此MTBF近似等于MTTF。

1.3.2　国内外功能安全的发展现状

1.3.2.1　功能安全标准及应用

近年来，欧美工业发达国家都在研究并致力解决安全相关系统的功能安全问题，已发布了一系列功能安全相关标准。1996年美国仪器仪表协会（ISA）完成了第一个关于过程工业安全仪表系统的标准——ANSI/ISA-S84.01。随后，国际电工委员会（IEC）于2000年出台了功能安全国际标准IEC61508：电气/电子/可编程电子（E/E/PE）安全相关系统的功能安全。该标准是功能安全的通用标准，是其他行业制订功能安全标准的基础。从此，功能安全逐步成为研究热点。2003年，IEC发布了适用于石油、化工等过程工业的标准IEC61511。随即，美国用IEC61511取代了ANSI/ISA-S84.01成为国家标准。之后，适用于其他行业的功能安全标准相继出台，例如，核工业的IEC61513、机械工业的IEC62061、医药工业的IEC60601等。这些标准均对安全相关系统的功能安全提出了要求，但没有明确达到要求的方法和步骤。目前，IEC61508已完成修订，并于2010年发布了第二版；IEC61511正在修订，2016年将推出新版。

在功能安全标准出台之初，英国、澳大利亚等国就开始强制采用该标准。日本已将IEC61508国际标准转变为JIS-C-0508国家标准，并在电子、宇航、铁路、汽车、原子能、化工、冶金等许多领域得到了应用。由于西方国家针对安全管理的研究和应用已经趋于成熟，它们往往将功能安全国际标准同本国的工业实践相结合，由本国安全监管部门提出明确的标准应用指南。例如在挪威海上石油开采工业中，就采用了IEC61511标准。在标准的基础上，相关管理部门根据自身管理的经验，制定了一系列指南，从而使得标准更容易理解，更方便使用。在应用标准的过程中，还加入了自身对于国际标准的理解和一系列改进，更加丰富了国际标准的内涵。比如在IEC61511中，对于系统性失效并没有要求进行定量的风险分析，但是挪威海上采油作业中根据工业生产中的系统性失效平均概率，对其进行了估算，做出了系统性失效定量化的初步探索。欧盟结合实际应用，于2005年起草了有关可燃和有毒气体检测系统的功能安全分析导则（prEN50402）和爆炸性气体环境保护系统功能安全评估规则（prEN15233）。另外，有关防爆电气的IEC国际标准正在将功能安全引入正压型、增安型、特殊型防爆电气设备的安全装置。

在没有相应行业功能安全标准的工业领域中，行业监管部门往往通过吸取IEC61508的总体框架和一般方法的精髓，结合本行业的实际，开发适合本行业的功能安全规范。例如，在美国的采矿业中，为了减少事故造成的人身伤亡，引入了基于可编程电子器件的自动采矿系统，但是对于这种应用尚无相应的功能安全标准可以遵照执行，因此在安全管理上还是存在一定的隐患。1995～2001年间，发生了11起矿难，其中4起造成人员死亡。为了加强对自动采矿系统的安全管理，矿山安全和健康监察局（Mine Safety and Health Administration）委托国家职业安全与健康研究所（National Institute fo rOccupational Safety and Health）制定了基于PE的采矿系统功能安全框架。这个框架吸取了IEC61508中的安全生命周期等基本概念，并结合安全等级规定，针对采矿业的自身特点做出了相应的规范，在应用中取得了良好的效果。世界著名石油、石化公司，如壳牌石油，道化学，美孚石油，新加坡石化公司等都通过应用功能安全标准，取得了良好的社会、经济效益。2001年，Shell（壳牌石油公司）下的一个研究机构GSI（Shell Global Solutions International B.V.）发布了企业内部应用规范“仪表保护功能的分类与实施”、“仪表保护功能的管理”及“仪表保护系统技术规范”。CNOOC-SHELL项目以及其他Shell的国内项目都在不折不扣地执行其标准规范。马来西亚国家石油公司2000年对新建项目开始应用IEC61508/IEC61511，并对照IEC61508/61511标准逐步开始对在役装置进行审查。

在我国，功能安全引入较晚。SHBZ06—1999《石油化工紧急停车及安全联锁系统设计导则》初步采用了IEC标准中的一些理念，SY/T10045—2003《工业过程中安全仪表系统的应用》等同采用了ISA84.01—1996，SH/T3018—2003《石油化工安全仪表系统设计规范》采用了SIL等级，但未提及安全生命周期和功能安全管理。我国于2006、2007年分别等同采用了IEC61508和IEC61511，发布了GB/T20438.1～7—2006《电气/电子/可编程电子安全相关系统功能安全》和GB/T21109.1～3—2007《过程工业领域安全仪表系统的功能安全》，这两个功能安全标准仅为推荐性国家标准，而非强制性标准，并且尚未发布与标准相应的应用指南或指令，这在某种程度上限制了功能安全标准在我国的实施步伐。GB/T50770—2013《石油化工安全仪表系统设计规范》已于2013年9月实施，该标准更加贴近IEC61508和IEC61511，而且上升为国家标准。国家标准《油气管道安全仪表系统的功能安全评估规范》和《油气管道安全仪表系统的功能安全验收规范》将于2015年正式发布。另外GB/T20438—2006正在修订，并即将对GB/T21109—2007进行修订。

1.3.2.2　评估和认证服务

在国外，功能安全评估和认证起步较早，并且已经被广大用户、设备供应商和集成商、工程承包商所接受。用户通过权威的第三方机构进行评估和认证，对自己选用的安全系统更加放心，也使设备制造商能够生产出更加可靠的设备，提高自身竞争力。目前国外比较著名的评估和认证机构和公司有德国的TÜV和美国的Exida。功能安全评估和认证主要有产品安全评估和认证、过程评估和认证、管理过程评估、人员资格认证和应用项目安全评估，详见表1.3。

目前，我国有些研究机构已开展功能安全评估工作，如中石化安全工程研究院已在中石化内部开展功能安全评估工作，但只局限于对过程进行风险分析和硬件安全完整性等级计算等工作。上海工业自动化仪表研究所已经建立了功能安全相关实验室，并对某化工厂的工业煤气输送系统开展了功能安全评估工作。北京市劳动保护科学研究所尝试对中石化燕山石化公司某竣工验收项目的安全仪表系统进行了评估，从项目风险分析开始，明确危险事件，从而对可能引发该危险事件的安全仪表系统进行评估，但也只考虑了随机硬件失效。机械工业仪器仪表综合技术经济研究所开展了油气管道SCADA系统等项目的功能安全评估工作。另外，该所筹建了“系统功能安全测试实验室”，拟开展产品的功能安全认证工作。同时，该所开展了一系列功能安全标准和相关技术培训及功能安全人员资格认证。

1.3.2.3　功能安全产品

目前，国外很多可编程控制器（Programmable Logical Control，PLC）、智能安全仪表等产品已经通过了功能安全产品第三方认证，达到了IEC61508或IEC61511标准规定的相应SIL等级要求，或者通过使用证明ProveninUse的原则达到了一定的SIL等级。例如，西门子、霍尼韦尔、罗克韦尔、黑马、横河、欧姆龙、倍加福、贝加莱、三菱电机、施耐德、皮尔磁、A&D等厂家的安全控制器、安全总线几乎都符合IEC61508标准并得到了SIL3等级的认证，即安全仪表系统的逻辑控制器大都达到了SIL3等级。可见，自动化厂家将安全仪表系统的安全性能提高过多地放在了逻辑控制器上，这实际是一个误区。事实上，制约SIL等级提高的瓶颈大多是“最终执行机构”——电磁阀或切断阀等。近年来，已出现带有自诊断的智能型电动执行机构，其安全完整性等级可达到SIL2。至于安全仪表系统的前端——传感器，一些自动化厂家的智能传感器已达到了SIL2等级，如西门子安全测量仪表（传感器）经过使用证明达到SIL2等级，通过冗余的多通道设计，可实现安全完整性等级高达SIL3。

我国石化、化工、冶金、电力等高危行业的大型企业采用的紧急停车系统（Emergency Shutdown System，ESD）、火灾和气体报警系统（Fire&GasSystem，F&G）往往都是国外产品。一些典型的国产化系统，如中石化北京设计院开发的炼油核心装置“催化裂化机组综合控制系统”、“连续重整装置催化剂再生控制系统”，中国铁道科学研究院研制的TR-9型容错铁路联锁系统等，其核心控制设备也都是国外设备。而且，目前国内尚无经过第三方功能安全认证的自动化安全产品。

1.3.3　功能安全评估与安全评估和可靠性计算的关系

功能安全评估是基于风险分析的对E/E/PE安全相关系统的安全评估，可以说是传统安全评价的延伸和扩展，它包括对E/E/PE安全相关系统的功能和性能进行评估这两个方面，即基于风险分析的安全完整性等级选择和安全完整性等级验证。

安全完整性等级选择的实质就是在受控系统原始风险和可容忍风险的基础上确定E/E/PE安全相关系统的目标安全完整性等级。受控系统的原始风险分析属于传统的工业风险分析（安全评价）范畴，虽然会影响E/E/PE安全相关系统的目标SIL，但其所用方法跟E/E/PE安全相关系统本身并没有直接关系，而且安全完整性等级选择多处于工程项目中E/E/PE安全相关系统的设计阶段，而对于工业生产中在役的E/E/PE安全相关系统或E/E/PE安全相关系统新产品，我们更关注的是其本身执行安全功能的可靠程度，即E/E/PE安全相关系统本身的安全性能如何，因此，本书没有将安全完整性等级的选择作为重点，而重点阐述了安全完整性等级的验证方法。

根据IEC61508，安全完整性是在规定的时间段内和规定的条件下，安全相关系统成功实现所要求的安全功能的概率。这个定义与可靠性的概念是一致的，因此，可靠性理论和方法可以应用于功能安全研究领域，尤其是安全完整性等级验证中。

IEC61508对E/E/PE安全相关系统的设计、运行和维护提出了新的要求。E/E/PE安全相关系统PFDavg或PFH的计算实质上就是可靠性理论在功能安全评估中的延伸。但是E/E/PE安全相关系统又具有自身的一些特点，如安全仪表系统（SIS）多处于休眠状态、设备的多失效模式、冗余表决、检验测试及其非理想性或不完善性、维修等，使得SIS系统安全性能评估的问题与传统的系统可靠性分析既有相似又存差异；而其他E/E/PE安全相关系统，如机械行业的安全相关电气控制系统（SRECS）、轨道交通信号系统中的列车防护系统（ATP）和计算机联锁系统（CI）以及航空、航天行业中的安全控制系统与过程工业的SIS有所不同，它们同样具有设备的多失效模式、冗余结构及维修的特点，但它们多处于主动工作状态，且检验测试和单通道的自动在线诊断对系统本身的安全意义较SIS小。