谢亚莲

(上海工业自动化仪表研究院1，上海 200233;上海仪器仪表自控检验测试所功能安全中心2，上海 200233)

0 引言

IEC 61508(GB/T 20438)是完整的、系统性的关于电气/电子/可编程电子安全相关系统的功能安全的基础标准;以基于风险的方式确定E/E/PE安全相关系统的安全要求规范;采用整体安全生命周期模型作为技术框架，系统地论述了为保证E/E/PE安全相关系统的功能安全所需进行的活动。

本文通过对危险、风险、安全功能、安全完整性、安全相关系统、安全相关产品之间的内在关联的介绍，有助于大家了解以下几个概念，即安全相关产品为什么要具有这样的安全功能，并达到这样的安全完整性与安全完整性等级。

1 功能安全

功能安全，首先是安全的概念，所谓安全就是不存在不可接受的风险，这种风险是指由危险的发生而造成的对人身健康的伤害、财产的损失和环境的破坏。功能安全是属于受控装置(equipments under control，EUC)和EUC控制系统的整体安全的一部分。用于避免使在爆炸气体中的设备成为潜在点燃源的安全装置，如处在爆炸气体中的笼型转子，当转子的温度超过某一限值，将会引起气体爆炸。要限制笼型转子的温升，采用一个依赖于电流的安全装置，即将测量转子的电流作为输入信号，当电流超过某一限定值，采取措施切断笼型转子的供电电源，从而防止爆炸危险的发生。这属于功能安全。采用风扇抽风强制降温的方式，也属于安全的一个例子，但它不能保证防止危险的发生，不属于功能安全。

由于EUC和EUC控制系统潜在的危险而导致风险的存在，从而引出了对功能安全的需求。功能安全的起因是危险和风险，功能安全的目的是将风险降低到可接受的范围内，功能安全的实现是通过电气/电子/可编程安全相关系统(简称E/E/PE安全相关系统)、其他技术安全相关系统和外部风险降低设施正确执行其功能。

功能安全的目的示意图如图1所示。

图1 功能安全目的示意图Fig.1 The purpose of functional safety

功能安全是“纵深防御”的理念。E/E/PE安全相关系统通常用于预防危险的发生，在危险条件产生时即切断危险源，使EUC及其控制系统保持在安全状态;虽然在一些情况下它也用于减轻危险产生的后果，例如气体探测器检测到着火或气体泄漏，采取紧急减压措施。其他技术安全相关系统和外部风险降低设施用于在危险发生后减轻危险所造成的后果，通常它是在控制系统失控、E/E/PE安全相关系统因危险失效而不能执行其安全功能时发挥作用，例如属于其他技术安全相关系统的减压阀泄压，属于外部风险降低设施的安全壳将危险源密封在壳内，阻止其向外扩散。

当然，功能安全的基础标准GB/T 20438所关注的是E/E/PE安全相关系统，我们所研究和关注的也是E/E/PE安全相关系统实现的安全功能、安全功能降低风险的能力即安全完整性等级、构成E/E/PE安全相关系统的安全相关产品等。

2 安全功能与安全相关系统

安全相关这个词语是被用来描述要求执行规定的功能，以确保风险保持在一个可接受的水平。这个规定的功能就被定义为安全功能。因此，执行安全功能的系统就是安全相关系统。

对安全相关系统的要求包含安全功能的要求和安全完整性等级的要求。安全功能的要求来源于危险分析，即必须做什么以避开危险事件;安全完整性等级的要求来源于风险评估，即安全功能必须执行到什么程度以使残余风险可接受。安全相关系统需求产生的过程如图2所示。

图2 安全相关系统需求产生示意图Fig.2 The demand generation of safety-related systems

EUC和EUC控制系统的功能安全中包含一个或多个安全相关系统，以实现一个或多个安全功能。安全相关系统通常独立于装置控制系统，但也存在装置控制系统同时作为安全相关系统执行安全功能。一些领域的功能安全标准对安全相关系统的独立要求有明确规定。如在自动扶梯和自动人行道的标准EN 115-2008(国标GB 16899-2011)中就明确规定安全相关系统和电梯控制系统必须分开。

3 安全相关产品的目标设定

虽然我们在上述内容中讲述了危险、风险、安全功能和安全相关系统它们之间的内在关联，但是安全相关产品的设计者并不需要过多关注危险和风险，而是需要知道作为实现功能安全的基础——安全相关产品在安全相关系统中需实现的功能以及安全完整性需要达到的目标值。

在过程工业中，存在这样一个安全相关系统:当反应炉烧嘴板冷却水流量低时，执行烧嘴板及燃烧室保护。安全相关系统的安全功能描述为:当反应炉烧嘴板冷却水流量低于低低报警(LL)值，触发连锁，同时关闭氧气进料阀。辅助功能为打开放空阀，该功能属于非安全功能。安全功能的安全完整性等级要求达到SIL2。安全相关系统配置如表1所示，按常规安全相关系统的安全完整性目标值分配如图3所示。

表1 安全相关系统配置表Tab.1 Configuration of the safety-related system

图3 安全完整性目标值分配示意图Fig.3 Schematic diagram of the allocation of safety integrity target values

参照表1和图3，构成系统的安全相关产品及目标设定如下。

3.1 传感器子系统

传感器子系统通常包含各种变送器和输入端安全栅。在过程工业中，常见的各类变送器包括压力变送器、温度变送器、流量计、液位变送器、氧气分析仪、气体探测器等;在机械工业中，常见的各类变送器包括转速测量仪、位置变送器等。这类安全相关产品需要确定的目标有以下两项。

①安全功能

需将产品放在安全相关系统中，分析其在安全相关系统中为保证安全相关系统正确执行其安全功能应具有的功能。该功能便设定为产品的安全功能。同时，需考虑产品的现场总线通信功能是否也设定为安全功能等。如流量计，其安全功能为流量测量。

②安全完整性目标值

按照市场需求对产品进行定位。市场对变送器的要求一般为SIL2，所以按结构约束条件，变送器在结构设计上要求达到SIL2。按照安全相关系统的安全完整性目标值分配，传感器子系统的安全完整性目标值通常为30%SIL2，所以变送器设定的安全完整性目标值最好不大于20%SIL2。采用验证测试时间间隔为1年来计算要求时危险失效概率(PFDavg)和每小时危险失效概率(probability of failure per hour，PFH)。对于安全栅，其在结构设计上至少应达到SIL2，而它的安全完整性目标值最好不大于5%SIL2。

3.2 逻辑单元子系统

逻辑单元子系统通常由输入模块、PLC和输出模块组成。PLC的安全功能和安全完整性的目标设定可参考关于可编程控制器功能安全的相关标准IEC 61131-6，在此不再叙述。

3.3 终端元件子系统

在过程工业中，较为常见的终端元件子系统是阀组。气动调节阀阀组的构成包含气动执行机构、电磁阀、定位器、气动调节阀等。同上述传感器子系统一样，需要确定的各终端单元目标也有以下两项。

①安全功能

对于终端元件子系统各单元，它们的安全功能比较清晰，如电磁阀执行开启和关闭功能、执行机构执行角行程或直行程、定位器能按照输入信号正确控制阀的开度等。也就是说各终端单元的主要功能就是它们的安全功能。

②安全完整性目标值。

虽然在安全相关系统的安全完整性目标分配上，终端元件的目标失效值为60%SIL2，但若给气动执行机构和调节阀分配安全完整性目标值，而仍然沿袭固有的设计理念，那么这样的目标安全完整性是难以通过传统的机械设计来实现，除非它本身就满足目标安全完整性。若完全依靠机械设计，结构约束条件要想达到SIL2的要求是比较困难的。因为机械类设备的平均无故障工作时间(mean time between failures，MTBF)和失效模式分布取决于设备的结构、材料、制造工艺、正常工作时的流体介质等，这些因素导致的结果是难以预测的，也就难以展开针对结构约束条件和目标安全完整性的机械设计。

目前，较为先进的设计理念是引入诊断功能的智能化设计，采用部分行程测试法(partial stroke test，PST)，关注由执行机构和阀杆卡死引起或由阀泄漏引起的阀操作失效。对这类失效进行诊断，从而提高安全失效分数(safety failure fraction，SFF)，使阀和执行机构的安全完整性等级提高到SIL2甚至SIL3。部分行程测试法使工厂能够周期性地检查和确认阀和执行机构的完整性和安全性特征，而不需关停工艺线。

综合上述，对于由机械结构构成的气动执行机构和阀设定安全完整性目标值没有实际意义，而设计具有诊断故障功能的阀门定位器更为有效。

关于安全相关产品目标值设定的方法同样适用于DCS系统，即只需关注系统实现的安全功能与安全功能实现相关的各个模块，然后再将安全完整性目标值分解给各个模块。

4 结束语

对功能安全的起因、目的，以及危险、风险、安全功能和安全相关系统的内在关联只需概念性了解就可以了，我们的目的是设计安全功能、安全完整性和安全完整性等级(SIL)都具有市场竞争力的安全相关产品，因为安全相关产品是实现功能安全的基础。在讲述了安全相关产品实现的过程、安全相关产品的目标设定之后，后续的讲座将就功能安全管理、安全相关产品的软件硬实现方法进行展开。