其它技术安 全相关系统
Other tecnology safetyrelated system
必要的风险降低 Necessary risk reduction(ΔR)
EUC和EUC控制系统 EUC and EUC control system
安全相关防护系统的安全完整性需要和必要的 风险降低像匹配
Safety integrity of safety-related protection system matched to the necessary risk reduction
系 统
2. 集散控制系统
SIS
1. 工艺过程
残留风险
SIS 和风险降低
可容忍风险
必要的风险降低
过程风险
风险升高
更优风险降低(ALARP)
SIS
泄放 报警
基本控制系统 设计
工艺
功能安全在安全分类中的位置
整体安全 = A+ B
非功能安全
B A
功能安全
A: 安全是通过采取被动系统措施获得的，如绝缘电阻。 B: 安全是通过主动系统获得的，如温度测量和继电器断开
•严格的法规体系与宏大的安全标准 体系（在选择、计算、系统方法上 都有详细规定）
•后果：大多数事故得以避免，生产 加速、系统加大、人们越来越依赖 于安全系统
社会应急响应 紧急广播
工厂应急响应 撤离规程
减轻 机械减轻系统 仪表安全控制系统 仪表安全减轻系统
操作员监督
预防 机械保护系统 操作员校正动作时的过程报警 仪表安全控制系统 仪表安全预防系统
功能描述 安全状态 响应时间 要求模式
– SIL要求
SIL 操作模式 极端环境与EMC条件 检验测试要求
石油、化工、轨道交通、 电力、冶金、等等工艺控 制过程复杂的高风险
• HAZOP\LOPA\QRA方法培训 • 工艺安全管理体系培训 • 建立安全要求规范体系
2 重点攻克开发技术难点
控制系统和监视 基本过程控制系统 监视系统（过程报警）
操作员监督
过程
功能安全中心
但是事故仍然发生……
•不但在新技术系统使用场合，也在“经证明是 正确的技术”应用场合
安全生产的困境—人会犯错
墨菲定律
如果有两种选择，其中一种将导致灾 难，则必定有人会作出这种选择。
•任何事都没有表面看起来那么简单； •所有的事都会比你预计的时间长； •会出错的事总会出错； •如果你担心某种情况发生，那么它 就更有可能发生。
有可能出错的 终将会出错
安全生产的困境—人会犯错
人总是会犯错的 人的素质是参差不齐的 多样性与不确定性
人的错误导致事故的案例
切尔诺贝利核电站事故（其中人的因素）
按计划停机调试时
多次违反操作规程 操作员关上了多级反应堆 的安全系统
人的错误导致事故的案例
设计错误案例（温州铁路事故）
设计理念 软件编写 调度安排
标准是基础！
交通运输及其它 8%
制造业 42%
流程工业 50%
国际功能安全基础标准发展过程
HSE PES
EWICS
ISA S84
DIN V 19250 DINV VDE0801
IEC61508
功能安全标准系列框架设计
SIL--系统能够实现风险降低的级别
IEC61508为基础
应用领域标准系列
子系统\产品标准系列
各级保护层所应对的危险级别
保护层及保护层分析（LOPA）
LOPA是一种简化的半定量风险评价方法，用以确定现有的安全措 施是否合适，是否需要增加新的安全措施。
LOPA所包含的内容如下： 1.分析由原因-后果对偶所定义的独立的危险剧情； 2.确定剧情的风险（risk）程度； 3.分析独立的保护层，其有效性及联合效果。
基本方法1 端到端地实现风险降低
风险管理:系统地识别风险,并将其控制在允许的范围内
SIL 主动系统—功能安全
疏散(降低伤害的严重性) 减轻(降低伤害的严重性)
以基于风险的方法建立安全 要求（风险降低因子RRF）
以执行功能可靠性的保障来 实现安全完整性要求（SIL）
预防(减少伤害的概率)
安全分级控制 功能分解与责任分解
潜在的新危险 供应商的责任
SIL--系统能够实现风险降低的级别
分解与集成关系 同时也是责任分解关系
功能安全的基本方法2：全系统
安全完整性（SIL）
系统失效完整性
质量管理 安全管理
条件
条件
技术安全 条件
随机失效完整性
量化的 安全目标
概率\统计方法 可靠性方法
全系统实现SIL要求
安全完整性
硬件安全完整性
安全应多依赖于技术
科技兴安 但技术设备与系统也会出现故障
安全生产的困境—设备会出故障
设备越来越复杂 采用大量电子、可 编程电子元件 自动化和智能化
设备必定会故障， 只是时间问题
整个宇宙约有1069到 1081个星球
10MB的电子存储器就 有1020000000种状态
BP事故案例
2005年3月23日，但于美国德克萨斯州的BP公司 炼油厂异构装置在开车过程中发生了多起爆炸事故 ，并引发火灾，15人死亡、170多人受伤，
如何证明？与评估与认证同步发展
应用要求
开发
评估
目标：形成产业链
• 产品安全完整性设计技术培训与咨询 • 管理故障，避免失效 • FMEDA,FAT…
认证
3 建立中国自己的评估队伍
掌握不同类型评估技术
系统功能安全评估 全系统、全生命周期
培训、合作、咨询
产品 供应商
子系统
供应商
安全要求
集成
用户
集成商
操作维护 用户
操作预员防监督 机械保护系统 操作员校正动作时的过程报警 仪表安全控制系统 仪表控安制全系预统防和系监统视 基本过程控制系统 监视系统（过程报警）
操作员监督
过程
HAZOP LOPA QRA
了详
解
细 的
危
险
识
别
、
风
险
评
估
，
最
后
确
定
等风
等 方
险 控 制
法方
案
基于风险确定风险降低因子
危险事件的 后果
Consequence of hazardous
危险日志 安全证明文件（Safபைடு நூலகம்ty case）
保证安全责任可追溯
实践
如何推进功能安全技术的应用与推广？
1 了解重点用户的功能安全要求
哪 些 点 最 关 键 ？ 如 何 控 制 危 险 ？
如何避免失控？
基于风险分析确定风险控制方案
社会应急响应 紧急广播
工厂应急响应 撤离规程
减轻 机械减轻系统 仪表安全控制系统 仪表安全减轻系统
故障检测
系统安全完整性
结构约束
随机失效
避免失效
故障控制
经使用证实
安全完整性等级 -在低要求操作模式下安全功能的目标失效量
安全完整性等级
4 3 2 1
安全功能在要求时的危险失效平均概率 (PFDavg ,即 Average probability of failure on demand)
≥10-5 至＜10-4 ≥10-4 至＜10-3 ≥10-3 至＜10-2 ≥10-2 至＜10-1
已经形成的应用领域标准系列
IEC 61513 核工业
IEC 61800-5-2 电驱设备
EN 50126/8/9 铁路
IEC 61508
IEC 60601 医疗设备
IEC 62061 机械
EN 50156 熔炉
EN 115 扶梯 ISO26262 熔炉
IEC 61511 流程工业领域
功能安全的基本方法
功能安全标准与标准体系概述
功能安全标准的出台背景
建立统一平台，保证了更高层次的安全 保证新技术产业化发展
•供应商的问题：如何说服用户使用？ •新技术产业化的需要
•用户的问题：使用没有标准的产品，责任谁负？ •未经过充分测试的产品，如何应用？
•政府的问题：快速发展的行业，如何规范 •欧洲市场03年达13亿美元，年增长率8%
event
危险事件的 频率
Frequency of hazardous event
C Risk ( Rnp ) Fnp C
EUC风险 EUC Risk
Fnp
外部风险降 低设施
External risk reduction facilities
E/E/PE 安 全 相关系统
E/E/PE safety related system
安全生产的困境—人会犯错
结论
– 安全依靠责任转为安全更多的依赖技术，尽量采用技 术系统减少人出错的可能性
– 不能要求人承担超出他能力的责任 – 能力与责任要匹配
安全生产的困境—责任无限
安全管理者如坐火药桶
责任有限
安全生产风险管理：
– 风险识别、分析、分摊、转移、控制等
让每个人都知道：
– 到底做什么？ – 做到什么程度？
4 建立与国际接轨的认证体系
产品 子系统 特定应用
SIL能力
功能安全认证
人员 机构 管理体系
5 建立符合中国特色的标准体系
在石油化工领域推广，在其他相关领域试点
事故直接原因：液位计故障
安全生产的困境—设备会出故障
结论
– 应尽可能采用技术设备与系统保障安全 – 但必须实现功能安全
理念
功能安全的基本概念与方法
什么是功能安全？
Functional safety