功能安全技术与应用...ppt

1,1,冯晓升中国功能安全中心教授级高工,功能安全技术与应用,2,3,功能安全的基本概念,4,功能安全的基本概念,对人体健康的损害或损伤以及对财产或环境的损害。,伤害,5,不存在不可接受的风险。,不存在绝对安全，只存在相对安全。将安全问题转化为风险问题，通过控制风险使安全变得可控。,安全,功能安全的基本概念,6,风险出现伤害的概率及该伤害严重性的组合。,功能安全的基本概念,7,允许风险根据当今社会的水准,在给定的范围内能够接受的风险。,允许风险取决于国家、社会、企业或个人能够接受的风险水平-国家政策法规的要求-企业的规章制度-社会对该事件的共识-业主的容忍程度-,功能安全的基本概念,8,风险级别,不可容忍区域，一般风险值高于10E-4,ALARP原则,ALARP或可容忍区域(只有当效益理想时风险是可以控制的),广泛可接受的区域，一般风险值低于10E-6,除非在特殊环境下，风险无法接受,只有当进一步的风险降低已经不切实际或其花费与收益严重不成比例时才可接受,当减少的花费超过获得的收益时可容忍,ALARP原则,注：ALARP=AsLowAsReasonablyPractically，即合理可行的低,9,功能安全与EUC（EquipmentUnderControl，受控设备）和EUC控制系统有关的整体安全的组成部分，它取决于E/E/PE（Electrical/Electronic/ProgrammableElectronic,电气/电子/可编程电子）安全相关系统和其它风险降低措施功能的正确行使。危险来自于：自然、自身、敌人。,功能安全的基本概念,10,安全相关系统所指的系统应满足以下两项要求：执行要求的安全功能足以达到或保持EUC（EquipmentUnderControl，受控设备）的安全状态；并且自身或与其它E/E/PE（Electrical/Electronic/ProgrammableElectronic，电气/电子/可编程电子）安全相关系统、其它风险降低措施一道,足以达到要求的安全功能所需的安全完整性。,功能安全的基本概念,11,这条术语是指这样的系统，即所谓安全相关系统是它们,及与其他风险降低措施一道达到必要的风险降低量，以满足所要求的允许风险。,注1：,12,注2：,安全相关系统是在探测到可导致危险事件的情况时采取适当的动作以防止EUC（EquipmentUnderControl，受控设备）进入危险状态。安全相关系统的失效应被包括在导致危害的事件中。尽管可能存在具备安全功能的其他系统，但所指定的安全相关系统应仅靠其自身能力达到要求的允许风险。安全相关系统一般被分为安全相关控制系统和安全相关防护系统。,13,安全相关系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC接口。即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立、专门的安全相关系统实现安全功能。,安全相关系统可以是EUC（EquipmentUnderControl，受控设备）控制系统的组成部分，也可用传感器和/或执行器与EUC接口。即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立、专门的安全相关系统实现安全功能。,注3：,14,安全相关系统可：a)被用于防止危险事件发生（即安全相关系统一旦执行其安全功能则没有危险事件发生）；b)被用来减轻危险事件的影响，即通过减轻后果的办法来降低风险;c)同时具有a)和b)的组合功能。,注4：,15,人也可作为安全相关系统的一部分。例如，人可以接收来自可编程电子装置的信息，并根据接收信息执行安全动作，或通过可编程电子装置执行安全动作。,注5：,16,注6：,安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务（如电源）。（因此，传感器，其它输入装置，最终元件（执行器）和其它输出装置都包括在安全相关系统中）,17,注7：,安全相关系统可基于范围的技术基础，包括电气、电子、可编程电子、液压和气动等。,18,18,安全状态达到安全时EUC的状态。注：从潜在的危险条件到最终的安全状态，EUC可能不得不经过几个中间的安全状态。有时，仅当EUC处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。,功能安全的基本概念,19,19,安全功能针对特定的危险事件，为达到或保持EUC（EquipmentUnderControl，受控设备）的安全状态，由E/E/PE（Electrical/Electronic/ProgrammableElectronic,电气/电子/可编程电子）安全相关系统或其它风险降低措施实现的功能。安全功能的例子包括：在要求时执行的功能，比如为避免危险状况的积极行动（如切断马达）；和采取预防行为的功能（如防止马达启动）。,功能安全的基本概念,20,20,安全完整性在规定的时间段内，在规定的条件下安全相关系统成功执行规定的安全功能的概率。注1：安全完整性越高，安全相关系统在要求时未能执行规定的安全功能或未能达到规定的状态的概率就越低。注2：规定了4种安全完整性水平。注3：安全完整性由硬件安全完整性和系统安全完整性构成。,功能安全的基本概念,21,21,随机硬件失效在硬件中，由一种或几种可能的退化机制而产生的，按随机时间出现的失效。注：在各种部件中，存在以不同速率发生的许多退化机制，在这些部件工作不同的时间之后，这些机制可使制造公差引起部件发生故障，从而使包含许多部件的设备将以可预见的速率，但在不可预见的时间(即随机时间)发生失效。,功能安全的基本概念,22,22,系统性失效原因确定的失效，只有对设计或制造过程、操作规程、文档或其它相关因素进行修改后，才有可能排除这种失效。注：系统性失效的例子有安全要求规范：硬件的设计、制造、安装、操作；软件的设计和实现等。,功能安全的基本概念,23,23,随机硬件失效和系统失效的主要区别是:由随机硬件失效导致的系统失效率（或其它合适的量度）可用合理的精确度来预计，但系统失效生来就不能精确预计，因此系统失效引起的系统失效率则不能精确地用统计法量化。,功能安全的基本概念,24,24,硬件安全完整性在危险失效模式下与随机硬件失效有关的安全相关系统安全完整性的一部分。系统安全完整性在危险失效模式下与系统失效有关的安全相关系统安全完整性的一部分,功能安全的基本概念,25,25,安全完整性等级一种离散的等级（四种可能等级之一），对应安全完整性量值的范围。在这里，安全完整性等级4是最高的，安全完整性等级1是最低的。注：安全完整性等级(SIL,SafetyIntegrityLevel)并非系统、子系统、要素或元件的特性。对SILN（N=1、2、3、4）的正确理解是系统支持安全功能的潜在能力具有达到N的安全完整性水平。,功能安全的基本概念,26,26,功能安全的基本概念,表2-安全完整性等级-在低要求操作模式下安全功能的目标失效量,27,27,功能安全的基本概念,表3-安全完整性等级-在高要求或连续操作模式下安全功能的目标失效量,28,功能安全涉及的标准和领域,29,29,功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。,功能安全涉及的标准和领域,30,30,功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、核电、机械、冶金、电梯、汽车等领域。IEC61508(国标GB/T20438)电气/电子/安全相关系统的功能安全IEC61511(国标GB/T21109)过程工业领域安全仪表系统的功能安全IEC61800可调节速度的电力驱动系统IEC60335家用和类似用途电器的安全IEC61784-3功能安全的通信总线IEC61513核电厂-以安全为主的系统用仪器仪表和控制系统的一般要求EN50126/8/9铁路应用IEC62061机械安全-与安全有关的电气、电子和可编程序电子控制系统的功能安全ISO13849机械安全-控制系统有关安全部件,功能安全涉及的标准和领域,31,IEC62061机械,ISO25119农用拖拉机,DO-178B民用飞机机载软件,一套完备的功能安全标准体系,32,32,日常生活的安全卫士,高铁、动车、地铁等列车信号系统和自动防护系统（ATP，AutomaticTrainProtection）,33,电梯、扶梯超速保护，坠落保护等系统,日常生活的安全卫士,34,日常生活的安全卫士,汽车安全气囊、发动机管理和防抱死刹车系统（ABS，Anti-lockedBrakingSystem),35,日常生活的安全卫士,飞机操纵面的线控操作,36,日常生活的安全卫士,医疗辐射机器的辐射剂量互锁系统和控制系统,37,危险工艺装置的紧急停车系统消防灭火的火气系统机床的防护联锁和紧急停车系统有毒气体检测医疗设备气体燃烧器管理起重机自动安全锁定指示器动力定位(当接近近海就位时的船动控制)危险化学品运输应急保障系统。,37,生产现场的安全保证,38,消防灭火,危险工艺装置,有毒气体检测,机床的防护联锁和紧急停车系统,生产现场的安全保证,功能安全,39,安全生命周期,40,40,安全生命周期安全相关系统实现过程中所必需的活动，这些活动从一项工程的概念阶段开始，直至所有的E/E/PE（Electrical/Electronic/ProgrammableElectronic,电气/电子/可编程电子）安全相关系统和其它风险降低设施停止使用为止的一段时间内。,安全生命周期,41,3,1,2,整体范围定义,危险和风险分析,6,整体计划编制,7,8,整体操作和维护计划编制,整体安全确认计划编制,实现(见E/E/PES)安全生命周期,9,E/E/PES,安全相关系统:,10,实现,安全相关系统:其它技术,11,实现,外部风险降低设施,整体安装和试运行计划编制,整体安装和试运行,12,安全要求分配,5,4,整体安全要求,返回适当的整体安全生命周期阶段,停用或处理,16,整体操作、维护和修理,14,整体修改和改型,15,整体安全确认,13,概念,安全生命周期,典型安全生命周期实施示例,注：SRS=SafetyRequirementsSpecification，即安全要求规范,42,典型安全生命周期实施示例,1、工艺过程概念设计:为降低生产过程中风险发生的概率，应保证工艺设计的固有安全性，即在工艺设计中应尽可能采用低压、低容量的设计方案,43,43,典型安全生命周期实施示例,2、工艺过程风险分析及评估:概念危险分析；初步工艺风险分析(PHA,ProcessHazardAnalysis)；工厂的危险与可操作性分析阶段(HAZOP，HAZardandOPerabilityanalysis)；,44,典型安全生命周期实施示例,3、确定保护功能及保护层,1.工艺过程设计,2.工艺控制/报警（BPCS）,3.重要报警及人员干预/调整,4.安全仪表系统（SIS）,5.释放设备(如泄压阀),6.物理保护（如围堰、消防、防爆墙等）,7.应急响应,45,典型安全生命周期实施示例,4、定义安全要求规范（SRS，SafetyRequirementSpecification）安全功能描述操作模式响应时间维检修间隔手动/自动要求,46,典型安全生命周期实施示例,5、设计阶段概念设计初步设计详细设计,47,典型安全生命周期实施示例,6、集成、安装、调试及验证,在SIS硬件安装完成后，应确保现场设备安装符合设计要求,并且安全仪表系统的设计涵盖了所有PHA及HAZOP中确定的危险；SIS现场软件调试前，应确保安全仪表系统全面地进行操作测试和验证,并要求第三方对安全仪表系统的设计和执行给出合格的功能安全评估(FSA，FunctionalSafetyAssessment)；SIS运行一段时间后，验证安全仪表系统的性能指标可以满足期望风险减小的要求。,48,典型安全生命周期实施