功能安全研發(fā)的方法論研究*

吳 超， 華佳敏

(1.中南大學(xué) 資源與安全工程學(xué)院，湖南 長沙 410083；2.中南大學(xué) 安全理論創(chuàng)新與促進研究中心，湖南 長沙 410083)

0 引言

隨著安全控制技術(shù)的快速發(fā)展，功能安全原理與方法被國際上與安全控制相關(guān)的領(lǐng)域廣泛接受，使得危險工業(yè)的安全得到保障，相關(guān)產(chǎn)業(yè)得到迅速發(fā)展[1]。發(fā)達國家的功能安全設(shè)計與應(yīng)用已逐漸趨于成熟，但我國尚處于起步階段，在基礎(chǔ)理論研究、先進技術(shù)應(yīng)用與標準制定等方面還與國際水平存在較大差距[2]，尤其在理論建設(shè)方面尚有很大空白，嚴重制約了功能安全在我國安全相關(guān)領(lǐng)域的應(yīng)用與發(fā)展。故有必要從方法論的高度進行功能安全研發(fā)研究，以指導(dǎo)其理論體系建設(shè)、技術(shù)應(yīng)用和實踐活動。

目前，功能安全研究引起了國內(nèi)外越來越多的相關(guān)學(xué)者的關(guān)注，如Kosmowski[3]研究系統(tǒng)中人的可靠性對系統(tǒng)功能的影響；Heffernan等[4]提出一種驗證控制網(wǎng)絡(luò)中應(yīng)用程序的功能安全屬性的方法；馬奔等[5]引入MBF參數(shù)模型定量評估系統(tǒng)安全完整性等級；郭建昇等[6]研究了功能安全繼電器的基本原理，并提出功能和安全性優(yōu)于傳統(tǒng)繼電器的智能型功能安全繼電器；文華等[7]將功能安全評估引入安全評價體系，并論述其應(yīng)用。綜上可知，當前功能安全研究主要側(cè)重于其應(yīng)用實踐方面，更多的是對具體安全產(chǎn)品的功能研究，而對于功能安全的基礎(chǔ)理論研究甚少，其在安全領(lǐng)域的發(fā)展缺乏有力的理論支撐。

鑒于此，筆者基于現(xiàn)有功能安全定義，并結(jié)合安全科學(xué)理論，重新提出功能安全內(nèi)涵，且歸納其研究對象；明晰功能安全的作用機理并詳細論述其研究內(nèi)容；闡述功能安全研究應(yīng)遵循的原則和適用方法；最后，給出功能安全研究的一般程序。以期為功能安全研究及其在安全領(lǐng)域的實踐應(yīng)用提供指導(dǎo)和借鑒，完善功能安全理論體系。

1 功能安全的定義與內(nèi)涵

1.1 功能安全的定義

文獻[8]給出基于電氣、電子或可編程電子系統(tǒng)(E/E/PES)的功能安全定義：安全依賴于電氣/電子/可編程電子安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)和外部風險降低設(shè)施功能的正確執(zhí)行的情況，稱之為“功能安全”。顯然，該定義僅給出了功能安全的實現(xiàn)措施，即安全相關(guān)系統(tǒng)(Safety Related System, SRS)，缺乏對功能安全的著眼點、應(yīng)用目的、實現(xiàn)過程以及學(xué)科屬性等的界定。基于此，結(jié)合文獻[9]及安全科學(xué)理論重新給出功能安全定義：以系統(tǒng)安全為著眼點，以提升生產(chǎn)和生活領(lǐng)域的安全性為目的，以SRS作為保障生產(chǎn)和生活安全的主要方法，并運用風險評估、確定安全完整性等級與功能安全管理等先進的技術(shù)和管理措施，確保SRS安全功能的有效執(zhí)行，從而將安全系統(tǒng)的整體風險控制在可接受范圍內(nèi)的一門新興安全工程學(xué)科。以下對其內(nèi)涵進一步解釋：

1)應(yīng)以系統(tǒng)和全局的觀點進行功能安全研究，既要從整體上審視安全系統(tǒng)，又要將安全系統(tǒng)分解為各個子系統(tǒng)，確保局部安全。功能安全研究的最終目的是將功能安全來保障系統(tǒng)安全的全新理念和先進技術(shù)應(yīng)用于生產(chǎn)和生活領(lǐng)域，保證安全產(chǎn)品自身安全功能的有效執(zhí)行，從而提升生產(chǎn)和生活領(lǐng)域的安全性。

2)功能安全是基于風險的安全理論[10](以系統(tǒng)風險控制為主線)進行的研究，通過SRS來降低風險或事件傷害后果嚴重，實現(xiàn)系統(tǒng)安全。其應(yīng)用的具體技術(shù)和方法有危險識別、危險分析、風險評估、安全生命周期管理、可靠性模型技術(shù)、基于風險的安全完整性等級(Safety Integrity Level, SIL)技術(shù)、定量計算系統(tǒng)故障裕度、提高系統(tǒng)診斷覆蓋率等。

3)安全系統(tǒng)中事故的發(fā)生可歸結(jié)為SRS安全功能的失效或錯誤執(zhí)行，如人的失誤導(dǎo)致的安全問題可視為“人”要素的安全意識、安全知識與安全技能等功能的“失效”，即沒有達到要求水平；設(shè)備的原因?qū)е碌陌踩鹿士梢暈槠漕A(yù)設(shè)的安全功能的失效，如汽車制動防抱死系統(tǒng)的失效導(dǎo)致交通事故、起重機限位器的失效導(dǎo)致重物墜落傷人事故、容器超壓時泄流功能失效導(dǎo)致容器爆炸等；環(huán)境原因?qū)е掳踩到y(tǒng)發(fā)生事故，可視為其周圍環(huán)境的適宜性與安全性等“功能”的失效。

4)功能安全研究中將安全定義為“不存在不可接受的風險”，這也是目前學(xué)界廣泛認同的定義[11]。即安全系統(tǒng)對風險有一定的容量，不可能無限制地接受風險的擾動。功能安全原理和方法可用于預(yù)防事故發(fā)生，控制安全系統(tǒng)整體風險，當危險出現(xiàn)時，系統(tǒng)各要素能正確執(zhí)行其功能以減輕事故后果或抑制事故發(fā)生等，使系統(tǒng)的整體安全狀態(tài)達到最優(yōu)水平，保證系統(tǒng)安全。

1.2 功能安全的研究對象

由功能安全定義可知，SRS為功能安全的主要研究對象，也是保障生產(chǎn)和生活安全的重要措施。馮曉升等[12]將SRS定義為：實現(xiàn)安全功能的系統(tǒng)。當檢測到風險量超過系統(tǒng)可容忍度時，立即采取響應(yīng)動作，由安全相關(guān)控制系統(tǒng)或安全相關(guān)防護系統(tǒng)執(zhí)行其安全功能，使被保護對象處于安全運行狀態(tài)。由此可見，SRS是功能安全的實施主體，是一個包含所有具有預(yù)防事故和減輕事故后果功能(或作用)的元素的系統(tǒng)。需要指出的是，除技術(shù)相關(guān)系統(tǒng)及設(shè)備設(shè)施外，人(設(shè)計者、生產(chǎn)者、安裝者、操作者、評估者、維護者等)、企業(yè)與生產(chǎn)環(huán)境均具有預(yù)防事故、降低風險功能，故人可視為SRS的一部分，企業(yè)的安全文化、安全管理、安全規(guī)章制度等及生產(chǎn)環(huán)境均可視為SRS的構(gòu)成要素。

為進一步明晰SRS，分解SRS的研究內(nèi)容如下：安全完整性、安全功能與故障安全原則是SRS的3大支柱[2]，既保障SRS正常時能有效執(zhí)行自身功能，又確保在SRS失效時，被保護對象能按故障安全原則要求達到安全狀態(tài)；SRS具有防災(zāi)和減災(zāi)功能；功能安全管理的主要方法為安全生命周期管理，故SRS管理方法是生命周期管理；SRS一般分為安全相關(guān)控制系統(tǒng)和安全相關(guān)防護系統(tǒng)，具體又可劃分為E/E/PES相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)、外部風險降低設(shè)施、人、企業(yè)與環(huán)境等，SRS的內(nèi)容分解如圖1所示。

圖1 SRS的內(nèi)容分解Fig.1 Compositions of SRS contents

2 功能安全的作用機理及研究內(nèi)容

2.1 功能安全的作用機理

功能安全預(yù)防系統(tǒng)事故發(fā)生通常是通過建立保護層來實現(xiàn)的，如利用保護層監(jiān)視系統(tǒng)生產(chǎn)過程狀態(tài)、執(zhí)行降低或消除事故風險等功能，達到保障系統(tǒng)安全的目的。但是，設(shè)計系統(tǒng)時并不將預(yù)防事故和降低風險等全部功能集中于某一保護層，而是在重大危險源或事故(傷害)高發(fā)區(qū)域布置多個保護層，運用技術(shù)方法將安全功能分配給不同的保護層，系統(tǒng)在檢測到會引發(fā)系統(tǒng)不可接受風險的事件時，SRS指揮1個或多個保護層執(zhí)行事件阻止功能或后果減輕功能，層層降低風險量或減弱觸發(fā)事故的能量。

功能安全系統(tǒng)中常見保護層有：基本過程控制系統(tǒng)、安全儀表系統(tǒng)(Safety Instrumented System, SIS)、操作員的干預(yù)、容器的機械完整性、物理釋放裝置、外部風險降低設(shè)備、點火率、爆炸率、占有率等[13]。此外，操作員的安全素養(yǎng)是設(shè)備執(zhí)行其功能的前提，行為習慣不良、安全意識不強、安全技能水平不高等均會直接增加事故風險。對于生產(chǎn)安全，生產(chǎn)環(huán)境、企業(yè)安全文化與安全管理等是隱性保護層，安全的生產(chǎn)環(huán)境、良好的安全文化建設(shè)、有效的安全管理體系是保證安全生產(chǎn)的基本要求。換言之，人、企業(yè)與生產(chǎn)環(huán)境也是重要保護層，生產(chǎn)安全領(lǐng)域功能安全的作用機理圖2所示。

圖2 生產(chǎn)安全領(lǐng)域功能安全的作用機理Fig.2 Functional safety mechanism in work safety

2.2 功能安全的研究內(nèi)容

2.2.1 理論部分

安全科學(xué)理論和實踐中始終堅持以人為本的原則[14]，因此，功能安全的最基本研究內(nèi)容是安全系統(tǒng)中人的分析和研究。操作員是保障系統(tǒng)安全的第一保護層，素質(zhì)良好的操作員能及時發(fā)現(xiàn)、消除風險或危險事件。換言之，系統(tǒng)安全首先取決于人的安全知識、安全技能、安全意識、安全態(tài)度、行為習慣等功能的正確執(zhí)行，任何環(huán)節(jié)出現(xiàn)錯誤或“功能失效”都可能會導(dǎo)致安全事故。

功能安全的主要研究內(nèi)容是功能安全管理。傅貴等[15]認為組織的安全管理體系和安全文化影響甚至決定個人行為，是導(dǎo)致事故的根本原因。由此可知，功能安全管理是實現(xiàn)功能安全的重要因素，明確功能安全管理的對象和方法(安全生命周期管理是目前功能安全管理的主要方法)，將所有參與系統(tǒng)分析、設(shè)計、運行、評估與維護等活動的個體或組織全部納入管理范圍，明確各方職責和素質(zhì)要求，建立完善、有效的功能安全管理體系。

此外，安全系統(tǒng)的結(jié)構(gòu)與周圍環(huán)境等，也是功能安全須研究的內(nèi)容。首先，結(jié)構(gòu)決定功能，安全系統(tǒng)結(jié)構(gòu)設(shè)計是否合理是安全相關(guān)系統(tǒng)能否正確、有效執(zhí)行其防護或控制功能的前提。其次，系統(tǒng)周圍環(huán)境對設(shè)備安全功能會產(chǎn)生影響(如腐蝕、雷擊、火災(zāi)等)，故需創(chuàng)造適宜于設(shè)備工作的環(huán)境，提高環(huán)境的安全性，同時也需采取措施提高設(shè)備抵抗外界侵害的能力(如地震、雷雨天氣、高溫、冰凍天氣、停電等)。

2.2.2 技術(shù)應(yīng)用部分

功能安全技術(shù)應(yīng)用部分是指通過技術(shù)方法，將功能安全的SIL分解為對安全系統(tǒng)各要素、安全產(chǎn)品、設(shè)備與子系統(tǒng)的安全等級要求，將風險條塊化、分割化，使得風險被多層次降低，以預(yù)防安全事故，保障系統(tǒng)安全。其內(nèi)容包括：風險識別、風險分析、風險評估、基于風險的SIL技術(shù)、可靠性模型技術(shù)、傳感器、PLC系統(tǒng)與執(zhí)行器等硬件的失效模式識別、應(yīng)用軟件、工具軟件與嵌入式軟件的程序開發(fā)等。其中，風險識別、風險分析和風險評估是功能安全管理的前提，可確定重大危險源問題所在[16]，以科學(xué)地降低系統(tǒng)風險；SIL是功能安全技術(shù)的體現(xiàn)，按照風險的可接受程度分為4個等級，并分別對應(yīng)在系統(tǒng)要求時，執(zhí)行其自身功能的平均失效概率，其目的是定量化地降低事故風險。

3 功能安全的方法論基礎(chǔ)

3.1 功能安全的研究原則

方法論原則是方法論基礎(chǔ)的重要內(nèi)容之一，由功能安全的定義可知，功能安全研究至少應(yīng)遵循規(guī)范性、完整性、科學(xué)性、綜合性、相對性等5個原則，具體解釋如表1所示。

3.2 功能安全的研究方法

功能安全與其他安全學(xué)科相比既有相似性，又有相異性。相似性在于所有安全學(xué)科的最終目的都是為了促進安全系統(tǒng)安全涌現(xiàn)，降低系統(tǒng)風險，預(yù)防事故發(fā)生，減少安全系統(tǒng)事故損失。相異性是與其他安全學(xué)科相比，功能安全是一門新興學(xué)科，有自身獨特的技術(shù)和管理措施。相似性和相異性決定了功能安全既有類似于其它安全學(xué)科的研究方法，如定性—定量法、宏觀—微觀法，又有自身的研究方法，如降維分解法、統(tǒng)籌兼顧法，具體如表2所示。

表1 功能安全的研究原則Table 1 Functional safety research principles

表2 功能安全的研究方法Tab.2 Functional safety research methods

4 功能安全研究的程序

功能安全研究須按一定程序有序進行，李佳嘉[17]給出了整體安全生命周期的研究流程，由于安全生命周期管理的過程對應(yīng)著功能安全研究的不同階段，故這在一定程度上可為功能安全研究步驟提供借鑒。基于此，可將功能安全研究程序分為安全系統(tǒng)分析階段、系統(tǒng)風險分析階段、SRS設(shè)計與開發(fā)階段與功能安全管理階段，功能安全研究的一般程序如圖3所示。

圖3 功能安全研究的一般程序Fig.3 General procedures for functional safety research

1)安全系統(tǒng)分析階段：不同的安全系統(tǒng)，其特點、結(jié)構(gòu)、性質(zhì)等不同，造成人員傷亡、財產(chǎn)損失和環(huán)境災(zāi)害的危險性也有所差異，故對功能安全的要求也不能一概而論，需根據(jù)實際情況而定，在進行功能安全體系設(shè)計前，需先分析安全系統(tǒng)的類型與性質(zhì)(如電氣系統(tǒng)、機械系統(tǒng)、建筑系統(tǒng)、化工系統(tǒng)等)、系統(tǒng)中相關(guān)人員的素質(zhì)水平、運行環(huán)境、生產(chǎn)過程等。

2)系統(tǒng)風險分析階段：系統(tǒng)風險分析是功能安全研究的重要階段，可確定危險源位置，掌握重點控制對象，深入認識系統(tǒng)風險并明確系統(tǒng)的風險程度，進而合理進行保護層設(shè)計，優(yōu)化功能安全資源配置，以將整體風險量控制在系統(tǒng)可接受范圍內(nèi)。

3)SRS設(shè)計與開發(fā)階段：SRS涵蓋所有具有安全功能的要素，故在進行SRS設(shè)計時應(yīng)考慮人、企業(yè)、生產(chǎn)環(huán)境與設(shè)備(包括硬件與軟件)等4個方面。首先，應(yīng)根據(jù)機器或系統(tǒng)的類型，選擇具備相應(yīng)素質(zhì)要求的操作員，避免人的失誤導(dǎo)致SRS安全功能失效，保障第一道防線的安全；其次，確保企業(yè)的安全教育、安全管理、安全培訓(xùn)等工作的規(guī)范性和有效性，構(gòu)筑可靠的隱形保護層；再次，根據(jù)機器設(shè)備運行地點的地理因素或環(huán)境因素，采取針對性的措施提高其抵抗自然災(zāi)害或非自然災(zāi)害侵害的能力；最后，根據(jù)危險源潛在風險大小和事故危害程度，設(shè)定保護層的數(shù)量，保護層越多，事故發(fā)生的概率越低，但同時也要考慮設(shè)計成本，合理配置資源。

4)功能安全管理階段：功能安全管理是功能安全體系有效運行的保障，是事前預(yù)防、事中應(yīng)急、事后追責的重要措施。功能安全管理貫穿系統(tǒng)設(shè)計、開發(fā)、運行、維護、停用等整個過程，對系統(tǒng)實行全生命周期管理，不斷修正和改進過程設(shè)計，力圖每個階段都能“固若金湯”，以拒風險或危害于“千里之外”。

5 結(jié)論

1)功能安全是以系統(tǒng)安全為著眼點，以提升生產(chǎn)和生活領(lǐng)域的安全水平為目的，以SRS來保障生產(chǎn)和生活安全的主要方法，并運用風險評估、確定安全完整性等級與功能安全管理等先進的技術(shù)和管理措施，確保SRS安全功能的有效執(zhí)行，從而將安全系統(tǒng)的整體風險控制在可接受范圍內(nèi)的一門新興安全工程學(xué)科。功能安全的重點研究對象為SRS，此外，SRS的支柱、結(jié)構(gòu)、功能與管理方法也都是功能的研究對象。

2)功能安全的作用機理是通過建立保護層來維持受保護對象的安全，層層盾牌式的保護層能嚴格控制系統(tǒng)風險，消除安全問題。功能安全的研究包含理論和技術(shù)應(yīng)用2部分，理論部分主要研究系統(tǒng)中的人員、功能安全管理、系統(tǒng)結(jié)構(gòu)及周圍環(huán)境等內(nèi)容；技術(shù)應(yīng)用部分主要研究風險分解、設(shè)計與開發(fā)SRS等內(nèi)容。

3)功能安全研究的方法論原則包括規(guī)范性性、完整性、科學(xué)性、綜合性與相對性等5個方面。由于功能安全學(xué)科與其他安全學(xué)科既有相似性又有相異性，其研究方法與其他安全學(xué)科相比也有相似和相異之處，其研究方法包括：定性-定量法、宏觀-微觀法、降維分解法與統(tǒng)籌兼顧法等4個方面。

4)功能安全研究的一般程序可分為安全系統(tǒng)分析階段、系統(tǒng)風險分析階段、SRS設(shè)計與開發(fā)階段與功能安全管理階段等4方面，歸納各步驟的具體內(nèi)容，并給出具體實施方法和實施依據(jù)示例。