“安全问题”不容轻视,已经是社会通识,人们关注的“安全”,信息来源不同,造成影响多元,虽都冠以“安全”之名,然而却指不同的“安全”,如高铁通信数据被窃取包含了信息安全和国家安全,火车相撞包含了生产安全和功能安全、客机失事包含了公共安全和功能安全、俄乌冲突包含了国家安全等。作为大众,当然可以不作区分,但是作为功能安全的从业人员,要解决不同安全性质的问题,管理和技术方法等方面还是存在较大差异,有厘清的必要性。安全说明叔提笔的目的不是为了广而论之“大安全”,毕竟“功能安全”仅是“大安全”中的一个分支,提笔是想通过此文浅谈几个安全误区,厘清几类安全关系图谱,以减功能安全之负,不误用功能安全之方法。

几个误区

“安全“是自然科学与社会科学交叉的一门新兴学科。早期安全科学以生产安全为研究对象,后来随着以人为本的安全工程学的应用,考虑了“人-机-料-法-环”等要素,并扩展到了人类生活和生产等诸多领域的安全性问题,安全学科以系统论的方式影响了人们生产和生活的方方面面。从狭义的视角来看,以系统为对象的安全问题研究的是“事故”,如因司机操作失误引起的交通事故、因安全仪表系统失效引起的爆炸事故、因超速防护系统失效引起的列车脱轨事故、因设备漏电引起的触电事故等等,事故会造成“人员伤亡”、“财产损失”、“环境破坏”等后果。

GB/T20438.4-2017《电气 电子 可编程电子安全相关系统的功能安全 第4部分:定义和缩略语》3.1.11关于“安全”的定义为“没有不可接受的风险”,3.1.6关于“风险”的定义为“伤害发生的概率与该伤害严重程度的组合”。

基于这两个概念,在评估由设备系统失效引起的风险等级时,考虑的两个因素为“伤害发生的概率”和“伤害严重度”。在评价设备系统失效引起的风险等级时,业内以“安全完整性”来衡量,GB/T20438.4-2017《电气 电子 可编程电子安全相关系统的功能安全 第4部分:定义和缩略语》3.5.4中,安全完整性的定义为“在规定的时间和规定条件下,安全相关系统成功执行规定安全功能的概率”。衡量安全完整性的数值为“安全完整性等级”,即SIL。

由于设备系统失效导致的事故发生存在一定的概率,且造成的伤害也会有一定程度的严重性,因此关于“功能安全”问题,存在如下误区:

误区1:由设备系统失效引起了“人员伤亡”或“财产损失”或“环境损害”的事故,该设备系统需要分配安全完整性等级要求。

如:设备漏电导致人触电了,该设备需要具备一定的安全完整性等级;火灾情况下,通风设备没有启动导致人员窒息伤亡,该通风设备需要具备一定的安全完整性等级。

上述示例,混淆了功能安全和生产安全的关系,这也导致功能安全的管理要求中被加上了生产安全的要求,如“机械安全”、“消防安全”、“特种设备安全”等要求。然而GB/T20438.1-2017《电气 电子 可编程电子安全相关系统的功能安全 第1部分:一般要求》1.2明确,功能安全适用于包含一个或几个电气/电子/可编程电子组件的安全相关系统。因此关于“功能安全”问题,还存在如下误区:

误区2:用功能安全的技术和管理要求解决“机械安全”、“消防安全”和“特种设备安全”等生产安全问题。

误区1会导致不需要承担也不应承担安全功能的电气/电子/可编程电子组件组成的系统需要满足SIL要求,从而带来设备的改型升级以及成本的增加,当然,需要承担安全功能的设备系统,应依据确定的SIL要求改型升级,如果以原有设计硬套安全设计要求,是不可能合规并且满足预期的安全目标要求的,一旦投用未经安全设计改型的产品,引起了事故,依据《中华人民共和国安全生产法》,其责任和法律后果不言自明。

误区2会额外增加“功能安全”的负担,“机械安全”、“消防安全”和“特种设备安全”等生产安全的问题应依据适用的标准和法规要求来保障,不属于受控设备和受控设备控制系统的功能安全范围。

几类“安全”的关系图谱

在人们的生产、生活中,会听闻到多种类型的安全,按行业分,可以分为矿山安全、交通安全、建筑安全、化工安全、消防安全等。这些行业安全问题引起的后果又会涉及生产安全和公共安全等问题,在某种程度上来说,也不排除会引起国家安全的问题。

为了不同行业或是严防不同类型的安全问题,主流的手段是“人防、物防和技防”,这三类方法从系统安全论的角度来看,涉及两个方面的工作,即安全管理和安全技术。

而设备系统功能安全和信息安全又是实现系统性安全的两个重要的安全技术手段和安全管理手段。

安全工具发挥作用(给功能安全减负)(1)

从几类安全的图谱来看,“安全”类别的划分,只是角度和分类方法不同而已,但是归结来看,功能安全是一种重要的技术手段,万物互联的大背景下,信息安全也将成为影响系统安全的一个重要因素。

正“功能安全”之名,减“功能安全”之负

大家在工作、生活中,面对安全性问题,都是站在自己的视角来审视和对待“安全”性问题,安全说明叔此刻是以“功能安全”为基点,提供高维视角,论一论到底什么是功能安全,功能安全到底应该承载什么,设备系统的哪些要求属于功能安全要求。

GB/T20438.1-2017《电气 电子 可编程电子安全相关系统的功能安全 第1部分:一般要求》3.1.12功能安全指“整体安全中与受控设备(EUC)和受控设备(EUC)控制系统相关的部分,他取决于电气、电子、可编程电子安全相关系统和其他风险减低措施正确执行其功能”。

结合概念,功能安全的范畴如下:

安全工具发挥作用(给功能安全减负)(2)

功能安全与其他安全的关系如下图所示:

安全工具发挥作用(给功能安全减负)(3)

功能安全仅指安全相关系统执行所要求的安全功能足以实现或保持受控设备的安全状态,并且能够实现所要求安全功能的安全完整性等级,简言之,功能安全与安全相关系统的安全功能有关。

前面提到了的误区之一,“由设备系统失效引起了人员伤亡或财产损失或环境损害的事故,该设备系统需要分配功能安全完整性等级要求”。然而功能安全并不是大包大揽地囊括所有安全要求,依据EN50126-2:2017 9.3明确了系统安全需求的类别,包含:

关于功能安全要求,EN50126-2:2017 9.3.2指出,功能安全要求应包括:安全相关功能的预期功能行为和故障情况下安全相关功能的行为。其中,安全完整性涉及安全相关系统实现其所需安全功能的能力。安全完整性越高,其无法执行所需安全功能的可能性越低。随机故障和系统故障都会影响功能的安全完整性,因此,安全完整性包括两部分:系统安全完整性和随机安全完整性。由此可知,如果没有安全功能存在,即使设备系统失效引起了“人员伤亡”或“财产损失”或“环境损害”的事故,该设备系统不需要分配功能安全完整性等级要求。

虽然没有功能安全要求,但是EN50126-2:2017 9.3.3和9.3.4 仍然提出了设备系统的技术安全要求和环境安全要求。

关于技术安全要求,EN50126-2:2017 9.3.3指出技术安全要求与系统的技术设计和实施有关。例如火灾危险、内部危险,锐边、存在可燃材料、与结构完整性相关的危险、有害物质/物质的存在、机械强度,在潮湿/高温/火灾等物理条件下的不安全行为。技术安全要求的满足,需要通过相应标准规范符合性等方式来证明,而不是通过安全完整性等级来证明。

关于环境安全要求,EN50126-2:2017 9.3.4指出环境安全要求包括操作和维护安全要求,任何相关人员类别的预期具体行动,正常和异常运行模式的预期操作程序、人机交互等均是影响环境安全要求的因素,需要通过培训、一系列的安全检查或测试来确保满足环境安全要求。而不是通过安全完整性等级来证明。

安全工具发挥作用(给功能安全减负)(4)

综上所述,功能安全解决的是安全相关系统的安全功能失效防护问题,而不是系统安全问题,系统安全问题的解决还要依赖于技术安全和环境安全,切不可随意基于风险判断准则给系统分配安全完整性等级(SIL)要求。也不可仅用功能安全解决由系统安全问题引起的生产安全问题或公共安全等安全问题。

结语

最后,安全说明叔分享一个寓言故事,希望一解功能安全之惑,为功能安全“减负”。

人们为了满足比赛要求,折断了蝴蝶的翅膀,让他与乌龟和兔子赛跑,那蝴蝶永远只能是一只成为摆设的毛毛虫。若把翅膀插在了乌龟身上,乌龟也永远不可能像蝴蝶那样自由平稳飞翔。

,