功能安全研發的方法論研究*

吳 超， 華佳敏

(1.中南大學 資源與安全工程學院，湖南 長沙 410083；2.中南大學 安全理論創新與促進研究中心，湖南 長沙 410083)

0 引言

隨著安全控制技術的快速發展，功能安全原理與方法被國際上與安全控制相關的領域廣泛接受，使得危險工業的安全得到保障，相關產業得到迅速發展[1]。發達國家的功能安全設計與應用已逐漸趨于成熟，但我國尚處于起步階段，在基礎理論研究、先進技術應用與標準制定等方面還與國際水平存在較大差距[2]，尤其在理論建設方面尚有很大空白，嚴重制約了功能安全在我國安全相關領域的應用與發展。故有必要從方法論的高度進行功能安全研發研究，以指導其理論體系建設、技術應用和實踐活動。

目前，功能安全研究引起了國內外越來越多的相關學者的關注，如Kosmowski[3]研究系統中人的可靠性對系統功能的影響；Heffernan等[4]提出一種驗證控制網絡中應用程序的功能安全屬性的方法；馬奔等[5]引入MBF參數模型定量評估系統安全完整性等級；郭建昇等[6]研究了功能安全繼電器的基本原理，并提出功能和安全性優于傳統繼電器的智能型功能安全繼電器；文華等[7]將功能安全評估引入安全評價體系，并論述其應用。綜上可知，當前功能安全研究主要側重于其應用實踐方面，更多的是對具體安全產品的功能研究，而對于功能安全的基礎理論研究甚少，其在安全領域的發展缺乏有力的理論支撐。

鑒于此，筆者基于現有功能安全定義，并結合安全科學理論，重新提出功能安全內涵，且歸納其研究對象；明晰功能安全的作用機理并詳細論述其研究內容；闡述功能安全研究應遵循的原則和適用方法；最后，給出功能安全研究的一般程序。以期為功能安全研究及其在安全領域的實踐應用提供指導和借鑒，完善功能安全理論體系。

1 功能安全的定義與內涵

1.1 功能安全的定義

文獻[8]給出基于電氣、電子或可編程電子系統(E/E/PES)的功能安全定義：安全依賴于電氣/電子/可編程電子安全相關系統、其他技術安全相關系統和外部風險降低設施功能的正確執行的情況，稱之為“功能安全”。顯然，該定義僅給出了功能安全的實現措施，即安全相關系統(Safety Related System, SRS)，缺乏對功能安全的著眼點、應用目的、實現過程以及學科屬性等的界定。基于此，結合文獻[9]及安全科學理論重新給出功能安全定義：以系統安全為著眼點，以提升生產和生活領域的安全性為目的，以SRS作為保障生產和生活安全的主要方法，并運用風險評估、確定安全完整性等級與功能安全管理等先進的技術和管理措施，確保SRS安全功能的有效執行，從而將安全系統的整體風險控制在可接受范圍內的一門新興安全工程學科。以下對其內涵進一步解釋：

1)應以系統和全局的觀點進行功能安全研究，既要從整體上審視安全系統，又要將安全系統分解為各個子系統，確保局部安全。功能安全研究的最終目的是將功能安全來保障系統安全的全新理念和先進技術應用于生產和生活領域，保證安全產品自身安全功能的有效執行，從而提升生產和生活領域的安全性。

2)功能安全是基于風險的安全理論[10](以系統風險控制為主線)進行的研究，通過SRS來降低風險或事件傷害后果嚴重，實現系統安全。其應用的具體技術和方法有危險識別、危險分析、風險評估、安全生命周期管理、可靠性模型技術、基于風險的安全完整性等級(Safety Integrity Level, SIL)技術、定量計算系統故障裕度、提高系統診斷覆蓋率等。

3)安全系統中事故的發生可歸結為SRS安全功能的失效或錯誤執行，如人的失誤導致的安全問題可視為“人”要素的安全意識、安全知識與安全技能等功能的“失效”，即沒有達到要求水平；設備的原因導致的安全事故可視為其預設的安全功能的失效，如汽車制動防抱死系統的失效導致交通事故、起重機限位器的失效導致重物墜落傷人事故、容器超壓時泄流功能失效導致容器爆炸等；環境原因導致安全系統發生事故，可視為其周圍環境的適宜性與安全性等“功能”的失效。

4)功能安全研究中將安全定義為“不存在不可接受的風險”，這也是目前學界廣泛認同的定義[11]。即安全系統對風險有一定的容量，不可能無限制地接受風險的擾動。功能安全原理和方法可用于預防事故發生，控制安全系統整體風險，當危險出現時，系統各要素能正確執行其功能以減輕事故后果或抑制事故發生等，使系統的整體安全狀態達到最優水平，保證系統安全。

1.2 功能安全的研究對象

由功能安全定義可知，SRS為功能安全的主要研究對象，也是保障生產和生活安全的重要措施。馮曉升等[12]將SRS定義為：實現安全功能的系統。當檢測到風險量超過系統可容忍度時，立即采取響應動作，由安全相關控制系統或安全相關防護系統執行其安全功能，使被保護對象處于安全運行狀態。由此可見，SRS是功能安全的實施主體，是一個包含所有具有預防事故和減輕事故后果功能(或作用)的元素的系統。需要指出的是，除技術相關系統及設備設施外，人(設計者、生產者、安裝者、操作者、評估者、維護者等)、企業與生產環境均具有預防事故、降低風險功能，故人可視為SRS的一部分，企業的安全文化、安全管理、安全規章制度等及生產環境均可視為SRS的構成要素。

為進一步明晰SRS，分解SRS的研究內容如下：安全完整性、安全功能與故障安全原則是SRS的3大支柱[2]，既保障SRS正常時能有效執行自身功能，又確保在SRS失效時，被保護對象能按故障安全原則要求達到安全狀態；SRS具有防災和減災功能；功能安全管理的主要方法為安全生命周期管理，故SRS管理方法是生命周期管理；SRS一般分為安全相關控制系統和安全相關防護系統，具體又可劃分為E/E/PES相關系統、其他技術安全相關系統、外部風險降低設施、人、企業與環境等，SRS的內容分解如圖1所示。

圖1 SRS的內容分解Fig.1 Compositions of SRS contents

2 功能安全的作用機理及研究內容

2.1 功能安全的作用機理

功能安全預防系統事故發生通常是通過建立保護層來實現的，如利用保護層監視系統生產過程狀態、執行降低或消除事故風險等功能，達到保障系統安全的目的。但是，設計系統時并不將預防事故和降低風險等全部功能集中于某一保護層，而是在重大危險源或事故(傷害)高發區域布置多個保護層，運用技術方法將安全功能分配給不同的保護層，系統在檢測到會引發系統不可接受風險的事件時，SRS指揮1個或多個保護層執行事件阻止功能或后果減輕功能，層層降低風險量或減弱觸發事故的能量。

功能安全系統中常見保護層有：基本過程控制系統、安全儀表系統(Safety Instrumented System, SIS)、操作員的干預、容器的機械完整性、物理釋放裝置、外部風險降低設備、點火率、爆炸率、占有率等[13]。此外，操作員的安全素養是設備執行其功能的前提，行為習慣不良、安全意識不強、安全技能水平不高等均會直接增加事故風險。對于生產安全，生產環境、企業安全文化與安全管理等是隱性保護層，安全的生產環境、良好的安全文化建設、有效的安全管理體系是保證安全生產的基本要求。換言之，人、企業與生產環境也是重要保護層，生產安全領域功能安全的作用機理圖2所示。

圖2 生產安全領域功能安全的作用機理Fig.2 Functional safety mechanism in work safety

2.2 功能安全的研究內容

2.2.1 理論部分

安全科學理論和實踐中始終堅持以人為本的原則[14]，因此，功能安全的最基本研究內容是安全系統中人的分析和研究。操作員是保障系統安全的第一保護層，素質良好的操作員能及時發現、消除風險或危險事件。換言之，系統安全首先取決于人的安全知識、安全技能、安全意識、安全態度、行為習慣等功能的正確執行，任何環節出現錯誤或“功能失效”都可能會導致安全事故。

功能安全的主要研究內容是功能安全管理。傅貴等[15]認為組織的安全管理體系和安全文化影響甚至決定個人行為，是導致事故的根本原因。由此可知，功能安全管理是實現功能安全的重要因素，明確功能安全管理的對象和方法(安全生命周期管理是目前功能安全管理的主要方法)，將所有參與系統分析、設計、運行、評估與維護等活動的個體或組織全部納入管理范圍，明確各方職責和素質要求，建立完善、有效的功能安全管理體系。

此外，安全系統的結構與周圍環境等，也是功能安全須研究的內容。首先，結構決定功能，安全系統結構設計是否合理是安全相關系統能否正確、有效執行其防護或控制功能的前提。其次，系統周圍環境對設備安全功能會產生影響(如腐蝕、雷擊、火災等)，故需創造適宜于設備工作的環境，提高環境的安全性，同時也需采取措施提高設備抵抗外界侵害的能力(如地震、雷雨天氣、高溫、冰凍天氣、停電等)。

2.2.2 技術應用部分

功能安全技術應用部分是指通過技術方法，將功能安全的SIL分解為對安全系統各要素、安全產品、設備與子系統的安全等級要求，將風險條塊化、分割化，使得風險被多層次降低，以預防安全事故，保障系統安全。其內容包括：風險識別、風險分析、風險評估、基于風險的SIL技術、可靠性模型技術、傳感器、PLC系統與執行器等硬件的失效模式識別、應用軟件、工具軟件與嵌入式軟件的程序開發等。其中，風險識別、風險分析和風險評估是功能安全管理的前提，可確定重大危險源問題所在[16]，以科學地降低系統風險；SIL是功能安全技術的體現，按照風險的可接受程度分為4個等級，并分別對應在系統要求時，執行其自身功能的平均失效概率，其目的是定量化地降低事故風險。

3 功能安全的方法論基礎

3.1 功能安全的研究原則

方法論原則是方法論基礎的重要內容之一，由功能安全的定義可知，功能安全研究至少應遵循規范性、完整性、科學性、綜合性、相對性等5個原則，具體解釋如表1所示。

3.2 功能安全的研究方法

功能安全與其他安全學科相比既有相似性，又有相異性。相似性在于所有安全學科的最終目的都是為了促進安全系統安全涌現，降低系統風險，預防事故發生，減少安全系統事故損失。相異性是與其他安全學科相比，功能安全是一門新興學科，有自身獨特的技術和管理措施。相似性和相異性決定了功能安全既有類似于其它安全學科的研究方法，如定性—定量法、宏觀—微觀法，又有自身的研究方法，如降維分解法、統籌兼顧法，具體如表2所示。

表1 功能安全的研究原則Table 1 Functional safety research principles

表2 功能安全的研究方法Tab.2 Functional safety research methods

4 功能安全研究的程序

功能安全研究須按一定程序有序進行，李佳嘉[17]給出了整體安全生命周期的研究流程，由于安全生命周期管理的過程對應著功能安全研究的不同階段，故這在一定程度上可為功能安全研究步驟提供借鑒。基于此，可將功能安全研究程序分為安全系統分析階段、系統風險分析階段、SRS設計與開發階段與功能安全管理階段，功能安全研究的一般程序如圖3所示。

圖3 功能安全研究的一般程序Fig.3 General procedures for functional safety research

1)安全系統分析階段：不同的安全系統，其特點、結構、性質等不同，造成人員傷亡、財產損失和環境災害的危險性也有所差異，故對功能安全的要求也不能一概而論，需根據實際情況而定，在進行功能安全體系設計前，需先分析安全系統的類型與性質(如電氣系統、機械系統、建筑系統、化工系統等)、系統中相關人員的素質水平、運行環境、生產過程等。

2)系統風險分析階段：系統風險分析是功能安全研究的重要階段，可確定危險源位置，掌握重點控制對象，深入認識系統風險并明確系統的風險程度，進而合理進行保護層設計，優化功能安全資源配置，以將整體風險量控制在系統可接受范圍內。

3)SRS設計與開發階段：SRS涵蓋所有具有安全功能的要素，故在進行SRS設計時應考慮人、企業、生產環境與設備(包括硬件與軟件)等4個方面。首先，應根據機器或系統的類型，選擇具備相應素質要求的操作員，避免人的失誤導致SRS安全功能失效，保障第一道防線的安全；其次，確保企業的安全教育、安全管理、安全培訓等工作的規范性和有效性，構筑可靠的隱形保護層；再次，根據機器設備運行地點的地理因素或環境因素，采取針對性的措施提高其抵抗自然災害或非自然災害侵害的能力；最后，根據危險源潛在風險大小和事故危害程度，設定保護層的數量，保護層越多，事故發生的概率越低，但同時也要考慮設計成本，合理配置資源。

4)功能安全管理階段：功能安全管理是功能安全體系有效運行的保障，是事前預防、事中應急、事后追責的重要措施。功能安全管理貫穿系統設計、開發、運行、維護、停用等整個過程，對系統實行全生命周期管理，不斷修正和改進過程設計，力圖每個階段都能“固若金湯”，以拒風險或危害于“千里之外”。

5 結論

1)功能安全是以系統安全為著眼點，以提升生產和生活領域的安全水平為目的，以SRS來保障生產和生活安全的主要方法，并運用風險評估、確定安全完整性等級與功能安全管理等先進的技術和管理措施，確保SRS安全功能的有效執行，從而將安全系統的整體風險控制在可接受范圍內的一門新興安全工程學科。功能安全的重點研究對象為SRS，此外，SRS的支柱、結構、功能與管理方法也都是功能的研究對象。

2)功能安全的作用機理是通過建立保護層來維持受保護對象的安全，層層盾牌式的保護層能嚴格控制系統風險，消除安全問題。功能安全的研究包含理論和技術應用2部分，理論部分主要研究系統中的人員、功能安全管理、系統結構及周圍環境等內容；技術應用部分主要研究風險分解、設計與開發SRS等內容。

3)功能安全研究的方法論原則包括規范性性、完整性、科學性、綜合性與相對性等5個方面。由于功能安全學科與其他安全學科既有相似性又有相異性，其研究方法與其他安全學科相比也有相似和相異之處，其研究方法包括：定性-定量法、宏觀-微觀法、降維分解法與統籌兼顧法等4個方面。

4)功能安全研究的一般程序可分為安全系統分析階段、系統風險分析階段、SRS設計與開發階段與功能安全管理階段等4方面，歸納各步驟的具體內容，并給出具體實施方法和實施依據示例。