功能安全技术讲座第二讲功能安全的基本方法.docx

[编者按] 本刊“安全控制技术”栏目自2005 年开设以来，得到了广大读者的广泛关注与大力支持。今年除了继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第 一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了 解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副 所长冯晓升教授。主讲人简介：冯晓升，全国工业过程测量与控制标准化技术委员会主任委员，教授级高 工。一九八二年毕业于浙江大学。不仅是IEC TC65 MT13工作组的中国专家，参 与IEC 61508标准维护工作，还是IEC TC65 SC65C WG12工作组的中国专家，参 与工业控制网络功能安全标准IEC 61784-3的制定。同时又是等同采用IEC 61508 的中国国家标准GB/T 20438.1～7的起草工作组组长，主持了国际功能安全标 准的研究与中国国家标准GB/T 20438.1～7的制定工作，对功能安全标准及技 术有深入研究。第二讲 功能安全的基本方法Chapter 2: Basic Methods of the Functional Safety冯晓升（机械工业仪器仪表综合技术经济研究所，北京市100055）Feng Xiaosheng(Instrumentation Technology Economy Institute, Beijing 100055)【摘要】 重点讲述了功能安全标准采用的端到端、全系统、全生命周期三个基本方法。【关键词】 功能安全 端到端 全系统 全生命周期Abstract: The paper mainly introduced the basic methods of the functional safety standard, the three basic methods of end to end, whole system, and whole life circle.Key words: Functional Safety End to End Whole System Whole Life Circle在我们进行 IEC 61508、IEC 61511 等功能安全系列标准宣传与培训的过程中，经常遇到用户、系统 集成商和设备供应商提出各种问题，其中最集中的二类问题就是：新标准出台后，我们该怎样做才能符合标准的要求？系统SIL（安全完整性等级）3级是什么 意思，是不是表示控制器必须是SIL3级，或者传感器、执行器也必须选择 SIL3级？实际上，用户、系统集成商和设备供应商在功能 安全过程中起着不同的作用，功能安全标准中规定了 三者各自的工作内容与目标，同时特别强调了三者的 配合与协调。另外，要求某一个安全仪表功能的 SIL 等级为3，仪器仪表标准化与计量1 5Control Tech of Safety Security 也并不是简单地把几个SIL3级子系统串接起来就可以了，而是必须需要计算与分析，全系统考虑后才能实 现。这一讲重点讲述功能安全标准采用的端到端、全 系统、全生命周期三个基本方法，并用实例演示全系统安全完整性分配及系统结构配置设计的过程与步骤， 以便安全相关系统与设备的用户、系统集成商和供应 商了解在实际工作中各自的任务与SIL设计的方法步 骤。1 遵守功能安全的端到端的方法安全相关系统与一般的自动化控制系统的最大区 别，在于它在承担过程监控任务的同时，承担了安全 生产风险控制的任务，实际起到了风险降低的作用。 而功能安全标准采用端到端的方法，将受控设备或系 统的风险控制要求与安全相关系统的设计要求直接对 接，是安全相关系统实现风险控制的关键步骤，也是 实现功能安全的重要方法。目标量值，还表明了必须采取的技术与措施。图 1 清楚表明了用户、系统集成商与安全专家的 工作分工与配合。用户专家对被控对象最熟悉，也最 能胜任风险分析提出安全控制要求的责任，系统集成 商针对用户提出的要求进行系统设计，初始设计完成后，还要将该系统放入整个风险评估对象中，重新评 估风险与可接受风险，最终完成系统设计。有统计资料表明，在安全控制系统危险失效导致 的事故中，有40%以上是由于安全要求不明导致的。功 能安全标准采用的这种端到端的方法，使风险分析与控制系统的目标设计值直接对应，同时也使受控设备 或系统的风险等级与控制系统能实现的风险降低级别 直接对应。避免了因对受控设备或系统的危险认识不 清、安全要求不明造成的系统性危险失效。2 遵守功能安全的全系统的方法功能安全的全系统方法有效避免了随机失效，它 要求在设计和开发过程中采取有效措施避免和控制失 效，严格满足结构约束条件与诊断覆盖