1、功能安全的概念

什么是功能安全？功能安全是與EUC或EUC控制系統(tǒng)有關(guān)的整體安全的組成部分,取決于電氣/電子/可編程電子（E/E/PE）安全系統(tǒng)、其它技術(shù)安全系統(tǒng)和外界風(fēng)險(xiǎn)降低設(shè)施功能的正確行使。

如何來(lái)正確行使？主要內(nèi)容包括管理和技術(shù)兩方面。即在技術(shù)上和管理上保證E/E/PE安全系統(tǒng)、其它技術(shù)安全系統(tǒng)和外界風(fēng)險(xiǎn)降低設(shè)施在需要時(shí)能執(zhí)行安全功能。

在過(guò)程工業(yè)領(lǐng)域如石化、化工等，是用安全儀表系統(tǒng)來(lái)表述安全相關(guān)系統(tǒng)。即SIS(Safty Instrumented Systems)用來(lái)實(shí)現(xiàn)一個(gè)或幾個(gè)儀表安全功能的儀表系統(tǒng),可以由傳感器、邏輯解算器和終端元件的任何組合組成. 儀表安全功能(Safty Instrumented Function)就是具有某個(gè)特定SIL的,用以達(dá)到功能安全的安全功能,它既可以是安全保護(hù)系統(tǒng),也可以是安全控制系統(tǒng).

一個(gè)SIS整體安全生命周期包括概念、整體范圍定義、危險(xiǎn)和風(fēng)險(xiǎn)分析、整體安全要求、安全要求分配、整體的安全計(jì)劃編制（操作和維護(hù)計(jì)劃、整體安全確認(rèn)計(jì)劃、整體安裝和試運(yùn)行計(jì)劃）、E/E/PES安全相關(guān)系統(tǒng)的實(shí)現(xiàn)、其他安全相關(guān)系統(tǒng)的實(shí)現(xiàn)、外部危險(xiǎn)降低設(shè)施的實(shí)現(xiàn)、整體安裝和試運(yùn)行、整體安全確認(rèn)、整體操作維護(hù)和維修、整體修改和改型、停用和處理。

在整體安全生命周期的各階段都有各自相關(guān)的功能安全活動(dòng)和要求。其中E/E/PES安全相關(guān)系統(tǒng)的實(shí)現(xiàn)包括兩個(gè)部分即硬件的實(shí)現(xiàn)和軟件的實(shí)現(xiàn)，這個(gè)階段是通過(guò)設(shè)計(jì)滿足系統(tǒng)的SIL要求。所以，我們說(shuō)功能安全是設(shè)計(jì)出來(lái)的。 E/E/PES安全相關(guān)系統(tǒng)的實(shí)現(xiàn)階段包括安全要求規(guī)范（安全功能要求規(guī)范和安全完整性要求規(guī)范）、安全確認(rèn)計(jì)劃、設(shè)計(jì)和開(kāi)發(fā)、集成、操作和維護(hù)規(guī)程、安全確認(rèn)（IEC61508-2）。

軟件安全生命周期（實(shí)現(xiàn)階段）包括：軟件安全要求規(guī)范（安全功能要求規(guī)范和安全完整性要求規(guī)范）、軟件安全確認(rèn)計(jì)劃、軟件設(shè)計(jì)和開(kāi)發(fā)、PE集成（硬件和軟件）、軟件操作和維護(hù)規(guī)程、軟件安全確認(rèn)（IEC61508-3）。

3 、功能安全的評(píng)估

功能安全評(píng)估的目的是調(diào)查并判斷E/E/PE安全相關(guān)系統(tǒng)所達(dá)到的功能安全。對(duì)SIS的功能安全評(píng)估從兩個(gè)方面來(lái)進(jìn)行。第一，評(píng)估為了確保滿足功能安全目的所必需的管理活動(dòng)是否有效。第二，評(píng)估安全儀表系統(tǒng)或安全儀表是否達(dá)到了要求的SIL。如何確認(rèn)設(shè)計(jì)和生產(chǎn)的安全儀表和SIS的SIL達(dá)到要求？我們可以從以下幾個(gè)方面來(lái)考慮：

（1）建立功能安全管理體系

建立功能安全管理系統(tǒng)目的是確定整體的、E/E/PES的和軟件的安全生命周期所有階段的管理和技術(shù)活動(dòng)，這些階段是達(dá)到E/E/PE安全相關(guān)系統(tǒng)要求的功能安全所必需的；確定人員、部門(mén)和組織對(duì)整體的、E/E/PES的和軟件的安全生命周期各階段或各階段中活動(dòng)所負(fù)的責(zé)任。通過(guò)體系來(lái)保障能達(dá)到要求的安全完整性。

（2）建立與功能安全相關(guān)的文件

文件應(yīng)規(guī)定能夠有效執(zhí)行整體安全生命周期、E/E/PES安全生命周期和軟件安全生命周期各階段所必需的信息；規(guī)定能夠有效執(zhí)行功能安全管理、驗(yàn)證以及功能安全評(píng)估等活動(dòng)所必需的信息；以及有關(guān)的報(bào)告和記錄功能安全評(píng)估時(shí)，為了滿足IEC61508對(duì)文檔的要求，在整體安全生命周期的各階段的各個(gè)活動(dòng)都要給出相關(guān)的文檔。功能安全評(píng)估時(shí)需要的文檔示例可以在IEC61508.1附錄A中找到。

（3）安全完整性和安全完整性等級(jí)的確定

安全完整性指在規(guī)定條件下、規(guī)定時(shí)間內(nèi)成功實(shí)現(xiàn)所要求的儀表安全功能的平均概率。

安全完整性等級(jí)是用來(lái)規(guī)定分配給SIS安全功能的安全完整性要求的分離等級(jí),記為SIL，共分4個(gè)等級(jí),SIL4為最高等級(jí)。IEC61508-1規(guī)定了目標(biāo)失效量（表1）。

在確定安全完整性時(shí)，應(yīng)包括導(dǎo)致非安全狀態(tài)的所有失效因素(硬件隨機(jī)失效和系統(tǒng)失效)。

安全相關(guān)系統(tǒng)使用方式，按要求產(chǎn)生的頻率可分為：低要求模式(≤1次/年)和高要求或連續(xù)模式(＞1次/年)。低要求模式和高要求模式SIL的目標(biāo)失效量是不同的，見(jiàn)表1。

（4）軟硬件SIL的評(píng)估

① 硬件故障裕度的要求

硬件故障裕度指部件或子系統(tǒng)在出現(xiàn)一個(gè)或幾個(gè)硬件故障的情況下，功能單元繼續(xù)執(zhí)行所要求的儀表安全功能的能力。硬件故障裕度N意味著N+1個(gè)故障會(huì)導(dǎo)致全功能的喪失。例如：硬件故障裕度為1，表示如有兩臺(tái)設(shè)備，它們的結(jié)構(gòu)應(yīng)使得兩個(gè)部件之一的危險(xiǎn)失效不得阻止安全動(dòng)作發(fā)生。為了減輕儀表安全功能設(shè)計(jì)中的潛在缺陷，IEC61511-1表5和表6定義了傳感器、邏輯解算器和終端元件最低的硬件故裕度。對(duì)儀表安全功能而言，傳感器、邏輯解算器和最終元件應(yīng)具有最低的硬件故障裕度,硬件故障裕度表示了最低的部件或子系統(tǒng)冗余。

② 硬件安全完整性的結(jié)構(gòu)約束

硬件安全功能所聲明的最高安全完整性等級(jí)受限于硬件故障裕度及執(zhí)行該安全功能的子系統(tǒng)的安全失效分?jǐn)?shù)(SFF)。IEC61508.2中表2和表3為A類(lèi)和B類(lèi)相關(guān)子系統(tǒng)的結(jié)構(gòu)約束，表示在失效分?jǐn)?shù)(SFF)確定的情況下，SIL與最低硬件故障裕度之間的關(guān)系。

在進(jìn)行SIL評(píng)估時(shí)，我們首先要根據(jù)部件或子系統(tǒng)的失效模式是否已知、數(shù)據(jù)是否可靠、故障行為是否確定來(lái)區(qū)別硬件的結(jié)構(gòu)約束是屬于A類(lèi)還是B類(lèi)。

然后，進(jìn)行SFF及PFD計(jì)算,對(duì)應(yīng)IEC61508.1表2或表3,可以得到相對(duì)應(yīng)的SIL。即部件和相關(guān)子系統(tǒng)的安全完整性等級(jí)。

確定子系統(tǒng)最大硬件安全完整性等級(jí)時(shí),必須考慮系統(tǒng)結(jié)構(gòu)約束,即在SFF確定前提下,故障裕度要求與SIL的對(duì)應(yīng)關(guān)系。表2為B類(lèi)相關(guān)子系統(tǒng)的結(jié)構(gòu)約束。