谢亚莲

(上海工业自动化仪表研究院1，上海 200233;上海仪器仪表自控检验测试所功能安全中心2，上海 200233)

0 引言

企业的共识是在企业内部建立ISO 9000质量管理体系。质量管理体系是组织内部建立的、为实现质量目标所必需的、系统的质量管理模式，是一项战略决策。它将资源与过程相结合，是以过程管理方法进行的系统管理。质量管理体系一般由与管理活动、资源提供、产品实现以及测量、分析与改进活动相关的过程组成，可以理解为涵盖了从确定顾客需求、设计研制、生产、检验、销售、最终产品交付之前全过程的策划、实施、监控、纠正与改进活动的要求。

功能安全管理关注从需求分析阶段直至安全相关系统完成其使命，这整个安全生命周期中，为达到安全相关系统的功能安全所进行的管理活动。功能安全管理的目的是确定整体的、E/E/PES的和软件的安全生命周期所有阶段的管理和技术活动的内容，并确定人员、部门和组织在安全生命周期各阶段的活动所担负的责任。功能安全管理体系应建立在质量管理体系之下。但是整个安全生命周期活动的参与者包括安全相关设备的制造商、安全相关系统的设计集成商以及最终使用的用户，所以各企业可以根据企业参与安全生命周期数个阶段的特点选用若干体系要素加以组合。

本文将讨论安全相关产品的制造商应建立的功能安全管理体系、在安全相关产品的设计制造过程中为保证功能安全，功能安全管理体系应规定执行的活动以及这些活动的责任方与应承担的责任。

1 安全生命周期

功能安全管理体系的建立，首先要引出安全生命周期的概念，因为功能安全管理的要求应与安全生命周期各阶段并行。安全生命周期(safety lifecycle)定义为参与安全相关系统实现的所有活动，这些活动发生在从一项工程项目的概念开始阶段，直至所有的E/E/PES安全相关系统和其他风险降低设施不再使用，所以安全生命周期的主词是“活动”而不是“时间”。

安全生命周期模型是采用系统化的方法安排整体的、E/E/PES的和软件的为达到和保持安全完整性等级所需的全部活动。标准IEC 61508(GB/T 20438)包含整体安全生命周期(IEC 61508.1)、E/E/PES安全生命周期(硬件和系统)(IEC 61508.2)和软件安全生命周期(IEC 61508.3)这三个标准。这三个标准按照安全生命周期的模型展开，详述了安全生命周期每个阶段要求的输入和输出，从而分解出每个阶段需要进行的最基本的活动。

安全相关产品是构成E/E/PES安全相关系统的最基本的单元，安全相关产品的实现是由设备制造商开展的活动，所以通常适用的安全生命周期模型为E/E/PES安全生命周期和软件安全生命周期。适用于安全相关产品的安全生命周期如图1所示。

图1 安全相关产品的安全生命周期Fig.1 The Safety lifecycle of safety-related products

由图1可知，安全相关产品的安全生命周期仅属于整体安全生命周期的一个阶段，但它是安全相关产品的开发过程的所有活动。安全生命周期包括以下内容。

(1)安全相关产品的安全要求规范阶段包括硬件(产品)安全要求规范和软件安全要求规范的制订;(2)安全确认计划编制阶段即是编制产品的安全确认计划，安全确认计划的编制阶段是与产品的设计开发和集成阶段并行;(3)设计和开发阶段包括硬件的设计和软件的设计，设计和开发阶段又可扩展为设计和开发的V模型，将设计和开发阶段的活动再进行细分，如系统设计、模块设计、模块测试等;(4)集成阶段指对软硬件进行集成调试并测试其性能;(5)安全手册也就是操作维护规程，但对于安全相关产品的安全手册，它有其特殊性，在安全手册中有安全相关产品的关于功能安全的特殊的参数以及对验证测试的要求;(6)安全确认阶段就是对安全产品的确认测试，包括功能测试、性能测试、环境适应性测试、EMC试验、故障插入测试等。

在安全生命周期的每个阶段还必须完成下列活动。

①要求的输入;

②达到的目的即输出，并且给出目的是否达到的判据;

③用输入信息验证输出，以确定输出是否正确;

④所有的活动必须文档化，基于有效文档，安全生命周期的每个阶段都必须可再现。

2 功能安全管理体系的要求

采用安全生命周期定义了实现安全相关产品的所有的活动，同时也给出了安全相关产品的实现过程，这个过程由安全生命周期的每个阶段构成。所有的活动的执行者都是人和组织，任何实现目标的活动以及任何参与实现目标的组织都需要管理。当管理与功能安全相关时，则为功能安全管理。为有效开展功能安全管理，必须设计、建立、实施和保持功能安全管理体系。功能安全管理体系的设计和建立，应结合组织的功能安全目标、产品类别、过程特点和实践经验。因此，不同组织的功能安全管理体系有不同的特点。

设计和建立功能安全管理体系，首先要建立功能安全管理体系文件。功能安全管理体系文件可以和质量管理体系文件相类似，即可以包括以下三个层次。

第一层次为大纲，内容应包括达到功能安全的方针和战略、评价是否达到的方法、组织内部进行交流的方法，安全生命周期各阶段负责执行和审查的人员、部门或组织的识别等。

第二层次为程序文件，根据GB/T 20438的标准要求形成的程序文件。

第三层次为作业指导文件，公司为确保过程有效策划、运行和控制的作业指导文件、规定及其他文件。

过程中的一些质量记录和表单，作为程序文件或作业指导文件的附件型式规定。

应用于安全相关产品，同时满足GB/T 20438要求的功能安全管理体系文件如表1所示。在实际操作中体系文件可能会有所增加或减少，但内容不能少于表1的要求。

表1中所列的功能安全管理体系文件是根据IEC 61508.1:1998 ed1.0 的版本(GB/T 20438-2006)的要求建立的。IEC 61508.1:2010 ed 2.0的版本在功能安全管理要求上有所变化，譬如由不同组织执行安全生命周期时，在不同阶段之间的接口的要求。符合新版标准的安全相关产品的功能安全管理体系的建立此处暂不做论述。

表1 功能安全管理体系文件Tab.1 The documents related to functional safety management system

3 项目实施中的功能安全管理

功能安全管理体系建立后，便应将功能安全管理落实到具体的项目实施中，也就是在安全相关产品的开发过程中进行功能安全管理。功能安全管理就是对安全生命周期活动的管理，对参与活动的人员和组织的资质和承担责任的管理。功能安全管理如图2所示。

图2 功能安全管理Fig.2 Functional safety management

在具体的项目实施中，首先要求制订安全计划，安全计划涵盖安全相关产品的安全生命周期中所有活动、参与活动的人员和组织的资质及职责，具体包括以下内容。

①定义项目范围;②确定参与项目的人员、组织的资质和职责，及相互间的沟通方式;③定义项目的安全生命周期;④根据文档要求程序文件，定义项目在安全生命周期的每个阶段的输入、输出文档;⑤规划控制和避免系统失效措施;⑥确定功能安全评估活动的执行间断、执行者和执行者的独立性要求;⑦修改安全相关产品，引用程序文件;⑧制定针对项目要求的人员培训计划;⑨ 项目的配置管理，引用配置管理程序文件;⑩对供方的管理，引用合格供方程序文件。

在制订针对项目的安全计划后，随着按安全生命周期进程的项目的开展，需要制定相应的一些计划、文件，相应的一些引用措施、使用工具、测试结果、评估结果都应记录，以符合功能安全管理的要求，安全生命周期的每个阶段都可再现的要求。如制订验证计划、安全确认计划、安全评估计划、集成测试规范，记录验证、测试过程和结果并完成验证报告、集成测试报告、确认报告等。

为保持功能安全管理体系，功能安全管理体系所需求过程及其活动应持续受控，并定期进行功能安全管理评审，以改进、完善和持续功能安全管理体系。

4 功能安全管理与安全相关产品的实现

在第一讲讲到达到目标安全完整性等级的安全相关产品关键在于在安全相关产品的开发过程中使其软硬件安全完整性等级都达到目标安全完整性等级。在设计开发过程中采取一些措施和手段降低随机硬件失效中不可诊断的危险失效的份额，同时也是采取一些措施和手段避免和控制产品在开发过程中引入的系统失效。而功能安全管理达到的效果就是在规范、设计开发、维护和修改中避免失效。

安全相关产品安全生命周期各阶段的失效类型以及针对失效类型采取的措施如表2所示，可以说功能安全管理是保证安全相关产品的系统安全完整性达到系统安全完整性等级的必要手段。

表2 安全生命周期阶段的失效与功能安全管理Tab.2 The failure in safety lifecycle phase and functional safety management

5 结束语

功能安全管理贯穿于安全相关产品实现的全过程中。功能安全管理体系是公司内部的功能安全活动能够得以切实管理的基础，是安全相关产品的功能安全得以实现和保持的基础。

因此，安全相关产品的制造商可以通过功能安全管理体系的建立、实施和保持来实现功能安全目标，进而满足顾客的需求和期望以及法律法规的要求。

[1] 国家质量技术监督检验总局.GB/T 20438.1－2006电气/电子/可编程电子安全相关系统的功能安全第1部分:一般要求〔S〕.北京:中国标准出版社，2006:4－6.

[2] IEC 61508-4 Edition 2.0[S].Functional safety of electrical/electronic/programmble electronic safety-related systems-part 4:Definitions and abbreviations，2010:27