功能安全技术和应用知识讲座第三讲 安全相关系统.docVIP

功能安全技术和应用知识讲座第三讲 安全相关系统 　　对安全相关系统行为的要求就是三句话：有一个安全功能，使被保护对象一旦有事就能进入安全状态；保证每个安全功能以一个概率来实现；一旦自身失效，应使被保护对象按预定顺序达到安全状态。 为了思路的连续，我们回顾一下上一讲的主要概念： 1.安全相关系统是达成功能安全的手段。 2.安全相关系统的作用是降低风险并达到必要的风险降低量。即将现有风险降低到可容忍风险以下。 3.每个安全相关系统都应是一道独立的安全防线。 4.安全相关系统的失效必须被包括在导致危害的事件中。 5.安全相关系统的存在方式，一是安全相关系统与被保护对象是完全独立的；二是被保护对象本身就是安全相关系统；三是安全相关系统与被保护对象虽然是分开的，但它们共用一个或一些组件。推荐第一种。 6.安全相关系统一般被分为安全相关控制系统和安全相关防护系统。 7.安全相关系统可基于广泛的技术基础。 8.安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务。 读者要完全理解上面的内容，才可继续向下阅读。 安全相关系统要满足两项要求：执行要求的安全功能，足以达到或保持被保护对象的安全状态；自身或与其他E/E/PE安全相关系统、其他风险降低措施一道，足以达到要求的安全功能所需的安全完整性。这是安全相关系统的规定动作和基本要求。 安全相关系统的规定动作从理论上讲很简单，即：执行安全功能。此处引出一个基本概念：安全功能。 安全功能是针对特定的危险事件，为达到或保持被保护对象的安全状态，由E/E/PE安全相关系统或其他风险降低措施实现的功能。安全功能的例子包括： ——在要求时执行，如为避免危险状况而采取的行动，如：切断发动机、打开阀门、关断电源、紧急停车、落棒等； ——采取预防行为，如防止发动机启动、保持连续控制，使被保护对象平稳运行在某一状态、保持连续控制，使被保护对象的某个参数不超过一个预定的值等。 任何产品或服务都具有其预定的功能，安全相关系统作为安全产品，其为保证安全所实现的功能称为安全功能。安全功能所要达到的目标是，达到或保持被保护对象的安全状态。也就是说，安全相关系统不论采取什么措施，通过什么步骤，执行什么动作，唯一要求其做到的，就是达到或保持被保护对象的安全状态。此处又引出安全状态（safe state）的概念，即：达到安全时，被保护对象的状态。（注：从潜在危险情况到最终安全状态，被保护对象可能经过几个中间的安全状态。有时，仅当被保护对象处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。） 安全状态是非常重要、十分有用、不可或缺的一个概念。在安全工作中，我们必须找到被保护对象的这个安全状态，一旦有事，我们的安全工作就应使被保护对象进入到安全状态。针对不同的被保护对象，安全状态也是不同的。如：车床工作状态是飞速旋转，安全状态是停车；压力容器的安全状态是其中的压力小于危险的压力值；核反应堆的安全状态是落棒，即一旦发现危险情况，将核反应棒插入堆芯，从而停止反应。 安全状态定义中的“注”也是不能忽略的内容。被保护对象从潜在的危险情况到最终的安全状态，在有些情况下是可以一步到位的，在有些情况下做不到一步到位，需经过一些中间过程。在这种情况下，我们除了要知道最终的安全状态，还要找到中间过渡性的安全状态。如：飞机工作状态是正常飞行，安全状态是落在地上，飞机在天上发生危险情况时，不可能一步到位落在地上，此时先以某种方式飞行是相对安全的，这就是所谓的中间安全状态。 安全相关系统以两种操作模式运行： 要求模式。将被保护对象导入规定的安全状态的安全功能，仅当要求时才执行。E/E/PE安全相关系统只在要求发生时才对被保护对象，或被保护对象的控制系统产生影响。如E/E/PE安全相关系统失效，不能执行安全功能，则可能使被保护对象偏离安全状态。 要求模式又分为低要求模式和高要求模式。低要求模式，指被保护对象对安全相关系统提出操作要求的频率，不大于每年1次；高要求模式，指被保护对象对安全相关系统提出操作要求的频率大于每年1次。 连续模式。安全功能将被保护对象保持在安全状态是正常操作的一部分。 了解安全功能之后，我们会面临另一个重要概念：安全完整性。这是对安全相关系统行为的基本要求。 安全完整性（safety integrity）：在规定的时间段内，在规定的条件下，安全相关系统成功执行所规定安全功能的概率。 注1：安全完整性越高，安全相关系统在要求时未能执行规定的安全功能，或者未能达到规定的状态的概率就越低。 注2：规定了4种安全完整性水平（将在后面介绍）。