功能安全技术与应用知识讲座__第三讲__安全相关系统_行为和要求_冯晓升.pdf

专家讲座Lectures

对安全相关系统行为的要求就是三句话：有一个安全功能，使被

保护对象一旦有事就能进入安全状态；保证每个安全功能以一个概率

来实现；一旦自身失效，应使被保护对象按预定顺序达到安全状态。

功能安全技术与应用知识讲座

第三讲安全相关系统——行为和要求

文冯晓升

为了思路的连续，我们回顾一下上一讲的主要概念：动，如：切断发动机、打开阀门、关断电源、紧急停车、

1.安全相关系统是达成功能安全的手段。落棒等；

2.安全相关系统的作用是降低风险并达到必要的风——采取预防行为，如防止发动机启动、保持连续

险降低量。即将现有风险降低到可容忍风险以下。控制，使被保护对象平稳运行在某一状态、保持连续控

3.每个安全相关系统都应是一道独立的安全防线。制，使被保护对象的某个参数不超过一个预定的值等。

4.安全相关系统的失效必须被包括在导致危害的事任何产品或服务都具有其预定的功能，安全相关

件中。系统作为安全产品，其为保证安全所实现的功能称为

5.安全相关系统的存在方式，一是安全相关系统与安全功能。安全功能所要达到的目标是，达到或保持

被保护对象是完全独立的；二是被保护对象本身就是安被保护对象的安全状态。也就是说，安全相关系统不

全相关系统；三是安全相关系统与被保护对象虽然是分论采取什么措施，通过什么步骤，执行什么动作，唯

开的，但它们共用一个或一些组件。推荐第一种。一要求其做到的，就是达到或保持被保护对象的安全

6.安全相关系统一般被分为安全相关控制系统和安状态。此处又引出安全状态（safestate）的概念，即：

全相关防护系统。达到安全时，被保护对象的状态。（注：从潜在危险情

7.安全相关系统可基于广泛的技术基础。况到最终安全状态，被保护对象可能经过几个中间的

8.安全相关系统包括执行规定安全功能所需的全部安全状态。有时，仅当被保护对象处于连续控制下才

硬件、软件以及支持服务。存在一个安全状态。这样的连续控制可能是短时间的

读者要完全理解上面的内容，才可继续向下阅读。或是不确定的一段时间。）

安全相关系统要满足两项要求：执行要求的安全功安全状态是非常重要、十分有用、不可或缺的一个

能，足以达到或保持被保护对象的安全状态；自身或概念。在安全工作中，我们必须找到被保护对象的这个

与其他E/E/PE安全相关系统、其他风险降低措施一道，安全状态，一旦有事，我们的安全工作就应使被保护对

足以达到要求的安全功能所需的安全完整性。这是安全象进入到安全状态。针对不同的被保护对象，安全状态

相关系统的规定动作和基本要求。也是不同的。如：车床工作状态是飞速旋转，安全状态

安全相关系统的规定动作从理论上讲很简单，即：是停车；压力容器的安全状态是其中的压力小于危险的

执行安全功能。此处引出一个基本概念：安全功能。压力值；核反应堆的安全状态是落棒，即一旦发现危险

安全功能是针对特定的危险事件，为达到或保持被情况，将核反应棒插入堆芯，从而停止反应。

保护对象的安全状态，由E/E/PE安全相关系统或其他安全状态定义中的“注”也是不能忽略的内容。被

风险降低措施实现的功能。安全功能的例子包括：保护对象从潜在的危险情况到最终的安