吴 超, 华佳敏
(1.中南大学 资源与安全工程学院,湖南 长沙 410083;2.中南大学 安全理论创新与促进研究中心,湖南 长沙 410083)
随着安全控制技术的快速发展,功能安全原理与方法被国际上与安全控制相关的领域广泛接受,使得危险工业的安全得到保障,相关产业得到迅速发展[1]。发达国家的功能安全设计与应用已逐渐趋于成熟,但我国尚处于起步阶段,在基础理论研究、先进技术应用与标准制定等方面还与国际水平存在较大差距[2],尤其在理论建设方面尚有很大空白,严重制约了功能安全在我国安全相关领域的应用与发展。故有必要从方法论的高度进行功能安全研发研究,以指导其理论体系建设、技术应用和实践活动。
目前,功能安全研究引起了国内外越来越多的相关学者的关注,如Kosmowski[3]研究系统中人的可靠性对系统功能的影响;Heffernan等[4]提出一种验证控制网络中应用程序的功能安全属性的方法;马奔等[5]引入MBF参数模型定量评估系统安全完整性等级;郭建昇等[6]研究了功能安全继电器的基本原理,并提出功能和安全性优于传统继电器的智能型功能安全继电器;文华等[7]将功能安全评估引入安全评价体系,并论述其应用。综上可知,当前功能安全研究主要侧重于其应用实践方面,更多的是对具体安全产品的功能研究,而对于功能安全的基础理论研究甚少,其在安全领域的发展缺乏有力的理论支撑。
鉴于此,笔者基于现有功能安全定义,并结合安全科学理论,重新提出功能安全内涵,且归纳其研究对象;明晰功能安全的作用机理并详细论述其研究内容;阐述功能安全研究应遵循的原则和适用方法;最后,给出功能安全研究的一般程序。以期为功能安全研究及其在安全领域的实践应用提供指导和借鉴,完善功能安全理论体系。
文献[8]给出基于电气、电子或可编程电子系统(E/E/PES)的功能安全定义:安全依赖于电气/电子/可编程电子安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确执行的情况,称之为“功能安全”。显然,该定义仅给出了功能安全的实现措施,即安全相关系统(Safety Related System, SRS),缺乏对功能安全的着眼点、应用目的、实现过程以及学科属性等的界定。基于此,结合文献[9]及安全科学理论重新给出功能安全定义:以系统安全为着眼点,以提升生产和生活领域的安全性为目的,以SRS作为保障生产和生活安全的主要方法,并运用风险评估、确定安全完整性等级与功能安全管理等先进的技术和管理措施,确保SRS安全功能的有效执行,从而将安全系统的整体风险控制在可接受范围内的一门新兴安全工程学科。以下对其内涵进一步解释:
1)应以系统和全局的观点进行功能安全研究,既要从整体上审视安全系统,又要将安全系统分解为各个子系统,确保局部安全。功能安全研究的最终目的是将功能安全来保障系统安全的全新理念和先进技术应用于生产和生活领域,保证安全产品自身安全功能的有效执行,从而提升生产和生活领域的安全性。
2)功能安全是基于风险的安全理论[10](以系统风险控制为主线)进行的研究,通过SRS来降低风险或事件伤害后果严重,实现系统安全。其应用的具体技术和方法有危险识别、危险分析、风险评估、安全生命周期管理、可靠性模型技术、基于风险的安全完整性等级(Safety Integrity Level, SIL)技术、定量计算系统故障裕度、提高系统诊断覆盖率等。
3)安全系统中事故的发生可归结为SRS安全功能的失效或错误执行,如人的失误导致的安全问题可视为“人”要素的安全意识、安全知识与安全技能等功能的“失效”,即没有达到要求水平;设备的原因导致的安全事故可视为其预设的安全功能的失效,如汽车制动防抱死系统的失效导致交通事故、起重机限位器的失效导致重物坠落伤人事故、容器超压时泄流功能失效导致容器爆炸等;环境原因导致安全系统发生事故,可视为其周围环境的适宜性与安全性等“功能”的失效。
4)功能安全研究中将安全定义为“不存在不可接受的风险”,这也是目前学界广泛认同的定义[11]。即安全系统对风险有一定的容量,不可能无限制地接受风险的扰动。功能安全原理和方法可用于预防事故发生,控制安全系统整体风险,当危险出现时,系统各要素能正确执行其功能以减轻事故后果或抑制事故发生等,使系统的整体安全状态达到最优水平,保证系统安全。
由功能安全定义可知,SRS为功能安全的主要研究对象,也是保障生产和生活安全的重要措施。冯晓升等[12]将SRS定义为:实现安全功能的系统。当检测到风险量超过系统可容忍度时,立即采取响应动作,由安全相关控制系统或安全相关防护系统执行其安全功能,使被保护对象处于安全运行状态。由此可见,SRS是功能安全的实施主体,是一个包含所有具有预防事故和减轻事故后果功能(或作用)的元素的系统。需要指出的是,除技术相关系统及设备设施外,人(设计者、生产者、安装者、操作者、评估者、维护者等)、企业与生产环境均具有预防事故、降低风险功能,故人可视为SRS的一部分,企业的安全文化、安全管理、安全规章制度等及生产环境均可视为SRS的构成要素。
为进一步明晰SRS,分解SRS的研究内容如下:安全完整性、安全功能与故障安全原则是SRS的3大支柱[2],既保障SRS正常时能有效执行自身功能,又确保在SRS失效时,被保护对象能按故障安全原则要求达到安全状态;SRS具有防灾和减灾功能;功能安全管理的主要方法为安全生命周期管理,故SRS管理方法是生命周期管理;SRS一般分为安全相关控制系统和安全相关防护系统,具体又可划分为E/E/PES相关系统、其他技术安全相关系统、外部风险降低设施、人、企业与环境等,SRS的内容分解如图1所示。
图1 SRS的内容分解Fig.1 Compositions of SRS contents
功能安全预防系统事故发生通常是通过建立保护层来实现的,如利用保护层监视系统生产过程状态、执行降低或消除事故风险等功能,达到保障系统安全的目的。但是,设计系统时并不将预防事故和降低风险等全部功能集中于某一保护层,而是在重大危险源或事故(伤害)高发区域布置多个保护层,运用技术方法将安全功能分配给不同的保护层,系统在检测到会引发系统不可接受风险的事件时,SRS指挥1个或多个保护层执行事件阻止功能或后果减轻功能,层层降低风险量或减弱触发事故的能量。
功能安全系统中常见保护层有:基本过程控制系统、安全仪表系统(Safety Instrumented System, SIS)、操作员的干预、容器的机械完整性、物理释放装置、外部风险降低设备、点火率、爆炸率、占有率等[13]。此外,操作员的安全素养是设备执行其功能的前提,行为习惯不良、安全意识不强、安全技能水平不高等均会直接增加事故风险。对于生产安全,生产环境、企业安全文化与安全管理等是隐性保护层,安全的生产环境、良好的安全文化建设、有效的安全管理体系是保证安全生产的基本要求。换言之,人、企业与生产环境也是重要保护层,生产安全领域功能安全的作用机理图2所示。
图2 生产安全领域功能安全的作用机理Fig.2 Functional safety mechanism in work safety
2.2.1 理论部分
安全科学理论和实践中始终坚持以人为本的原则[14],因此,功能安全的最基本研究内容是安全系统中人的分析和研究。操作员是保障系统安全的第一保护层,素质良好的操作员能及时发现、消除风险或危险事件。换言之,系统安全首先取决于人的安全知识、安全技能、安全意识、安全态度、行为习惯等功能的正确执行,任何环节出现错误或“功能失效”都可能会导致安全事故。
功能安全的主要研究内容是功能安全管理。傅贵等[15]认为组织的安全管理体系和安全文化影响甚至决定个人行为,是导致事故的根本原因。由此可知,功能安全管理是实现功能安全的重要因素,明确功能安全管理的对象和方法(安全生命周期管理是目前功能安全管理的主要方法),将所有参与系统分析、设计、运行、评估与维护等活动的个体或组织全部纳入管理范围,明确各方职责和素质要求,建立完善、有效的功能安全管理体系。
此外,安全系统的结构与周围环境等,也是功能安全须研究的内容。首先,结构决定功能,安全系统结构设计是否合理是安全相关系统能否正确、有效执行其防护或控制功能的前提。其次,系统周围环境对设备安全功能会产生影响(如腐蚀、雷击、火灾等),故需创造适宜于设备工作的环境,提高环境的安全性,同时也需采取措施提高设备抵抗外界侵害的能力(如地震、雷雨天气、高温、冰冻天气、停电等)。
2.2.2 技术应用部分
功能安全技术应用部分是指通过技术方法,将功能安全的SIL分解为对安全系统各要素、安全产品、设备与子系统的安全等级要求,将风险条块化、分割化,使得风险被多层次降低,以预防安全事故,保障系统安全。其内容包括:风险识别、风险分析、风险评估、基于风险的SIL技术、可靠性模型技术、传感器、PLC系统与执行器等硬件的失效模式识别、应用软件、工具软件与嵌入式软件的程序开发等。其中,风险识别、风险分析和风险评估是功能安全管理的前提,可确定重大危险源问题所在[16],以科学地降低系统风险;SIL是功能安全技术的体现,按照风险的可接受程度分为4个等级,并分别对应在系统要求时,执行其自身功能的平均失效概率,其目的是定量化地降低事故风险。
方法论原则是方法论基础的重要内容之一,由功能安全的定义可知,功能安全研究至少应遵循规范性、完整性、科学性、综合性、相对性等5个原则,具体解释如表1所示。
功能安全与其他安全学科相比既有相似性,又有相异性。相似性在于所有安全学科的最终目的都是为了促进安全系统安全涌现,降低系统风险,预防事故发生,减少安全系统事故损失。相异性是与其他安全学科相比,功能安全是一门新兴学科,有自身独特的技术和管理措施。相似性和相异性决定了功能安全既有类似于其它安全学科的研究方法,如定性—定量法、宏观—微观法,又有自身的研究方法,如降维分解法、统筹兼顾法,具体如表2所示。
表1 功能安全的研究原则Table 1 Functional safety research principles
表2 功能安全的研究方法Tab.2 Functional safety research methods
功能安全研究须按一定程序有序进行,李佳嘉[17]给出了整体安全生命周期的研究流程,由于安全生命周期管理的过程对应着功能安全研究的不同阶段,故这在一定程度上可为功能安全研究步骤提供借鉴。基于此,可将功能安全研究程序分为安全系统分析阶段、系统风险分析阶段、SRS设计与开发阶段与功能安全管理阶段,功能安全研究的一般程序如图3所示。
图3 功能安全研究的一般程序Fig.3 General procedures for functional safety research
1)安全系统分析阶段:不同的安全系统,其特点、结构、性质等不同,造成人员伤亡、财产损失和环境灾害的危险性也有所差异,故对功能安全的要求也不能一概而论,需根据实际情况而定,在进行功能安全体系设计前,需先分析安全系统的类型与性质(如电气系统、机械系统、建筑系统、化工系统等)、系统中相关人员的素质水平、运行环境、生产过程等。
2)系统风险分析阶段:系统风险分析是功能安全研究的重要阶段,可确定危险源位置,掌握重点控制对象,深入认识系统风险并明确系统的风险程度,进而合理进行保护层设计,优化功能安全资源配置,以将整体风险量控制在系统可接受范围内。
3)SRS设计与开发阶段:SRS涵盖所有具有安全功能的要素,故在进行SRS设计时应考虑人、企业、生产环境与设备(包括硬件与软件)等4个方面。首先,应根据机器或系统的类型,选择具备相应素质要求的操作员,避免人的失误导致SRS安全功能失效,保障第一道防线的安全;其次,确保企业的安全教育、安全管理、安全培训等工作的规范性和有效性,构筑可靠的隐形保护层;再次,根据机器设备运行地点的地理因素或环境因素,采取针对性的措施提高其抵抗自然灾害或非自然灾害侵害的能力;最后,根据危险源潜在风险大小和事故危害程度,设定保护层的数量,保护层越多,事故发生的概率越低,但同时也要考虑设计成本,合理配置资源。
4)功能安全管理阶段:功能安全管理是功能安全体系有效运行的保障,是事前预防、事中应急、事后追责的重要措施。功能安全管理贯穿系统设计、开发、运行、维护、停用等整个过程,对系统实行全生命周期管理,不断修正和改进过程设计,力图每个阶段都能“固若金汤”,以拒风险或危害于“千里之外”。
1)功能安全是以系统安全为着眼点,以提升生产和生活领域的安全水平为目的,以SRS来保障生产和生活安全的主要方法,并运用风险评估、确定安全完整性等级与功能安全管理等先进的技术和管理措施,确保SRS安全功能的有效执行,从而将安全系统的整体风险控制在可接受范围内的一门新兴安全工程学科。功能安全的重点研究对象为SRS,此外,SRS的支柱、结构、功能与管理方法也都是功能的研究对象。
2)功能安全的作用机理是通过建立保护层来维持受保护对象的安全,层层盾牌式的保护层能严格控制系统风险,消除安全问题。功能安全的研究包含理论和技术应用2部分,理论部分主要研究系统中的人员、功能安全管理、系统结构及周围环境等内容;技术应用部分主要研究风险分解、设计与开发SRS等内容。
3)功能安全研究的方法论原则包括规范性性、完整性、科学性、综合性与相对性等5个方面。由于功能安全学科与其他安全学科既有相似性又有相异性,其研究方法与其他安全学科相比也有相似和相异之处,其研究方法包括:定性-定量法、宏观-微观法、降维分解法与统筹兼顾法等4个方面。
4)功能安全研究的一般程序可分为安全系统分析阶段、系统风险分析阶段、SRS设计与开发阶段与功能安全管理阶段等4方面,归纳各步骤的具体内容,并给出具体实施方法和实施依据示例。