功能安全与技术

1、1，1，冯晓升中国功能安全中心教授级高工，功能安全技术和应用，2，3，功能安全基本概念，4，功能安全基本概念，对人体健康的损害和损伤，对财产和环境的损害。 没有伤害、伤害、5、不能接受的风险。 绝对的安全不存在，只存在相对的安全。 把安全问题变成风险问题，通过控制风险可以控制安全。 安全、功能安全的基本概念、6、风险引起伤害的概率及其伤害重量的组合。 功能安全的基本概念、7、风险根据当前社会水平，允许在规定范围内被接受的风险。 容许风险是国家、社会、企业或个人可以接受的风险级别-国家政策法规的要求-企业的规章制度-社会对这个事件的共识-所有者的宽容度- 、功能安全的基本概念、8、 风险级别、不

2、可接受区域、一般风险值超过10E-4、ALARP原则的ALARP或可接受区域(只有在利益理想的情况下才能控制风险)、广泛的可接受区域、一般风险值低于10E-6，只要在特殊环境下风险不被接受此外，ALARP的原则注： alarp=aslowasreasonablypractically，即合理执行的低，9，仅在风险降低不现实或成本与收入不成比例时可以接受，而在减少的费用超过收入时可以接受。 功能安全、控制设备(EUC )和EUC控制系统的整体安全的组成部分这是电子/电子/可编程电子(e/e/PE )。 危险来自自然，自己，敌人。功能安全的基本概念、10、安全相关系统指出的系统应满足以下两个要求：

3、执行请求的安全功能足以实现或保持设备中央控制(euc )的安全状态，或者其本身，或者其他e/e/PE (电子邮件) 电子/可编程电子、电气/电子/可编程电子)安全相关系统和其他降低风险的措施一起，足以实现要求的安全功能所需的安全完整性。 术语“功能安全”基本概念、11.是指用于与安全相关系统一起实现必要的风险降低措施并满足要求的容忍风险的系统。 注1 :12，注2 :安全相关系统在检测到成为危险事件的原因的状况时，采取适当的动作，避免EUC(Equipment Under Control，控制机器)成为危险状态。 安全相关系统的故障必须包含在造成危害的事件中。 可以存在具有安全功能的其他系统，

4、但指定的安全相关系统必须仅凭自己的能力来实现所需的容许风险。 安全相关系统一般分为安全相关控制系统和安全相关防护系统。 另外，13、安全相关系统可以是EUC控制系统的构成部分，也可以是传感器或致动器与EUC接口。 EUC控制系统中的安全功能可实现要求的安全的完整性等级，或利用分离的独立的专业的安全相关系统来实施安全功能。 另外，安全相关系统可以是设备控制器(EUC )控制系统的一部分，也可以是传感器或致动器与EUC接口。 EUC控制系统中的安全功能可实现要求的安全的完整性等级，或利用分离的独立的专业的安全相关系统来实施安全功能。 注3 :14，可安全相关系统： a )用于防止危险事件的发生(即

5、，安全相关系统执行安全功能时不发生危险事件)。 b )用于减轻危险事件的影响，具有以减轻结果的方法来降低风险的c)a )和b )的组合功能。 注4 :15 :人也成为安全相关系统的一部分。例如，人可以从可编程的电子设备接收信息，并基于接收的信息来执行安全操作，或经由可编程电子设备执行安全操作。 注5 :16 :注6 :安全相关系统包含执行规定的安全功能所需的所有硬件、软件和支持服务(电源等)。 (因此，传感器、其他输入设备、最终部件(致动器)和其他输出设备包括在安全相关系统中)、17、注7 :安全相关系统可以包括基于范围技术基础的电、电子、可编程电子、液压和气压等。 18、18、安全状态变为安

6、全时EUC的状态。 注意：从潜在的危险条件到最终的安全状态，EUC可能必须通过几个中间的安全状态。 仅在EUC持续控制的情况下，可能存在安全状态。 这种连续控制可以是短时间或不确定的时间。 功能安全的基本概念，19，19，安全功能对于特定的危险事件，为了实现或保持电子设备(euc )的安全状态，电子/电子/可编程电子(e/e )。 安全功能的例子有为了避免危险状况的积极行动(切断马达等)等，如果有要求时执行的功能，就采取预防行动的功能(防止马达的启动等)。 功能安全的基本概念，20，20，安全完整性在规定的时间段内，在规定的条件下安全相关系统正常执行规定的安全功能的概率。 注1 :安全的完整性

7、越高，安全相关系统在要求时无法执行规定的安全功能，或者无法达到规定状态的概率越低。 注2 :规定了4种安全完整性水平。 注3 :安全性的完整性由硬件的安全性的完整性和系统的安全性的完整性构成。 功能安全的基本概念，21，21，随机硬件故障是由硬件中一个或几个潜在的退化机制引起的，在随机时间出现的故障。 注意：在各种零件中存在许多以不同速度发生的劣化机制，如果这些零件在不同时间工作，制造公差会引起零件故障，因此包含许多零件的设备虽然是可预测的速度，但在意想不到的时间(随机时间)发生故障。 功能安全的基本概念、22、22、系统故障原因确定的故障，只有修改设计和制造过程、操作规程、文件和其他相关因素

8、才能排除。 注：系统故障的例子有安全要求规范： 硬件的设计、制造、安装、操作软件的设计和实现等。 功能安全的基本概念，23，23，随机硬件故障和系统故障的主要区别在于：能以合理的精度预测随机硬件故障引起的系统故障效率(或其他合适的测量值)，但在发生系统故障时不能正确预测，所以系统故障引起的系统功能安全的基本概念，24，24，硬件安全完整性危险故障模式下随机硬件故障相关的安全相关系统安全完整性的一部分。 系统安全完整性危险故障模式下与系统故障相关的安全相关系统安全完整性的一部分，功能安全的基本概念，25，25，安全完整性等级为离散等级(4个可能等级之一)，对应安全完整性的大小范围。 在此，安全性

9、等级4最高，安全性等级1最低。 注意：安全完整性级别(SIL、Safety Integrity Level )不是系统、子系统、元件或组件的特性。 对SILN(N=1、2、3、4 )的准确理解在于，安全的完整性等级是系统支持安全功能的潜在能力达到n的。功能安全的基本概念，26，26，功能安全的基本概念，表2-安全完整性等级-低要求操作模式下的安全功能的目标故障量，27，27，功能安全的基本概念，表3-安全完整性等级-高要求或连续操作模式下的安全功能的目标故障量，28，功能安全的标准和区域，29， 29、功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、原子能、机械、冶金、电梯、汽车等领域

10、。 涉及功能安全的标准和领域，30、30，功能安全技术和设备已经广泛应用于石油、化工、电力、铁路、原子能、机械、冶金、电梯、汽车等领域。 IEC61508 (国标GB/T 20438 )电气/电子/安全相关系统的功能安全IEC61511 (国标GB/T 21109 ) 流程工业领域的安全仪表系统的功能安全可以调节IEC61800速度的电力驱动系统IEC60335家庭和类似用途的电气设备的安全IEC61784-3功能安全的通信总线IEC61513核电站-以安全为主的系统用仪表和控制系统的一般要求EN50126/8/9铁路应用IEC62061机械安全-与安全相关的电气、电子和可编程电子控制系统的功

11、能安全ISO 13849机械安全-与控制系统相关的安全部件、与功能安全相关的基准和区域、31、 IEC62061机械，ISO25119农用拖拉机，DO-178B民用飞机搭载软件，、完整的功能安全标准系统，32、32、日常生活的安全卫生员、高铁、高铁、地铁等列车信号系统和自动防护系统(ATP， 自动车道保护，33，电梯，自动扶梯超速保护，坠落保护等系统，日常生活安全卫生士，34，日常生活安全卫生士汽车气囊，发动机管理和防抱死系统(ABS， 防抱死系统)，35，日常生活安全卫生人员，飞机操纵面在线操作，36，日常生活安全卫生人员，医疗放射设备辐射量联锁系统和控制系统，37， 危险过程装置的紧急停车

12、系统消防灭火的火灾系统机床的防护联锁和紧急停车系统有毒气体检测医疗设备气体燃烧器管理起重机自动安全锁定指示器动力定位(接近近海时的船动控制)危险化学物质输送紧急保障系统。 的双曲正切值。 的双曲正切值。 的双曲正切值。 的双曲正切值。 的双曲正切值。 37、生产现场安全保证、38、消防灭火、危险过程装置、有毒气体检测、机床防护联锁和紧急停车系统、生产现场安全保证、功能安全、39、安全生命周期、40、40、安全生命周期安全相关系统的实现所需要的活动， 从一个工序的概念阶段开始的所有e/e/PE (electrical/electronic /可编程电子)安全相关系统和其他降低风险的设施不再使用为

13、止安全生命周期，41，3，1，2，整体范围定义，危险和风险分析，6，整体计划制作，7，8，整体操作和维护计划制作，整体安全确认计划制作，实现(参照E/E/PES )安全生命周期，9，e/e/PE 安全关联系统：10，实现安全关联系统：其他技术，11，实现，降低外部风险的设施，整体设置和试运行计划制作，整体设置和试运行，12，安全要求分配，5，4，整体安全要求，返回到适当的整体安全生命周期阶段， 无效或处理，16，整体操作，保养和修理，14，整体的修正和改造，15，整体的安全确认，13，概念，SRS=safetyrequirementsspecification，即安全要求规格，42，1，流程概

14、念设计：为了降低生产过程中发生风险的概率，必须保证流程设计的固有安全性。 也就是说，过程设计必须尽可能采用低压、低容量的设计方案，43，43，典型的安全生命周期实施例，2，过程风险分析和评价：概念风险分析； 初步的流程风险分析(PHA，Process Hazard Analysis )工厂危险和操作性分析阶段(HAZOP，HAZard and OPerability analysis )，44，典型的安全生命周期实施，3，确定保护功能和保护层，、 1 .流程设计，2 .过程控制/警报(BPCS )，3 .重要警报和人员干扰/调整，4 .安全仪表系统(SIS )，5 .释放设备(泄压阀等)，6

15、.物理保护(围堰、消防、防爆墙等)，7 .应答，45，典型的安全生命周期实施定义safetyrequirementsspecification )的安全功能说明操作模式响应时间维持检查间隔手动/自动请求46，典型的安全生命周期实施，5，设计阶段概念设计的初步详细设计，47，典型的安全生命周期实施， SIS硬件安装完成后，必须确认现场设备的安装满足设计要求，安全仪表系统的设计复盖了所有PHA和HAZOP决定的危险，在调试SIS现场软件之前，安全仪表系统进行全面的操作测试和验证向第三方要求通过安全仪表系统设计和执行的功能安全评价(FSA，Functional Safety Assessment )的SIS暂时运行后，验证安全仪表系统的性能指标满足预期的降低风险的要求。 48、典型的安全生命周期实施例：7、系统发货、维护、变更和停运、49