功能安全的基本定义

机械工业仪器仪表综合技术经济研究所冯晓升功能安全的基本定义(GB/T20438.4IEC61508)一安全术语1）伤害harm由于对财产或环境的破坏而导致的直接或间接地对人体健康的损害或对人身的损伤。2）危险hazard伤害的潜在根源。注：该术语包括短时内发生的对人员的威协（如，着火或爆炸）以及对人体健康长时间有影响的那些威胁（如有毒物质的释放）。3）危险情况hazardoussituation人暴露于危险的环境。4）危险事件hazardousevent导致伤害的危险情况。5）风险risk出现伤害的概率及该伤害严重性的组合。6）允许风险tolerablerisk根据当今社会的水准,在给定的范围内能够接受的风险。7）残余风险residualrisk采取防护措施以后仍存在的风险。8）安全safety不存在不可接受的风险。残余风险允许风险EUC风险风险增加必要的风险降低实际风险降低被其它技术安全相关系统覆盖的部分风险被E/E/PE安全相关系统覆盖的部分风险被外部风险降低设施覆盖的部分风险所有安全系统和外部风险降低设施所获得的风险降低风险降低：通用概念9）功能安全functionalsafety与EUC和EUC控制系统有关的整体安全的组成部分，它取决于E/E/PE安全相关系统，其它技术安全相关系统和外部风险降低设施功能的正确行使。10）安全状态safestate达到安全时EUC的状态。注：从潜在的危险条件到最终的安全状态，EUC可能不得不经过几个中间的安全状态。有时，仅当EUC处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。11）合理的可预见的误用reasonableforeseeablemisuse由于产品、过程或服务加上人的行为习惯而导致的，或者作为人的行为习惯的一个结果有可能发生的，未按照供方要求的条件和用途对产品、过程和服务的使用。二设备和装置1)功能单元functionalunit能够完成规定目的的软件、硬件或两者相结合的实体。注：在IEV191-01-01中，常用“项目（item）”一词代替功能单元，一个项目有时可能包括人员在内。2)软件software包括程序、规程、数据、规则以及相关的数据处理系统操作文档在内的智能创作。注1：软件与其记录媒体无关。注2：该定义不带有注1与ISO2382-1不同，而且完整的定义与ISO9000-3不同之处在于增加了一个词“数据”。3)受控设备equipmentundercontrol(EUC)用于制造、加工、运输、制药或其它活动的设备、机器、器械或成套装置。注：EUC控制系统与EUC是不同的并且是分开的。4)EUC风险EUCrisk由EUC或由EUC与EUC控制系统相互作用而产生的风险。注1：本文所说的风险是指与特定的危险事件相伴的风险。在这种危险事件中E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施被用来提供必要的风险降低（即与功能安全相关的风险）。注2：GB/T××××××.5的图A.1简要说明了EUC风险。确定EUC风险的主要目的是在未使用E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施之前建立一个风险参考点。注3：风险评估应包括相关的人的因素。危险事件的后果危险事件的频率EUC风险外部风险降低设施E/E/PE安全相关系统其它技术安全相关系统允许风险目标必要的风险降低外部风险降低设施安全完整性和与必要的风险降低匹配的安全相关系统EUC和EUC控制系统风险和安全完整性概念5)可编程电子（PE）programmableelectronic（PE）可编程电子以计算机技术为基础，可以由硬件、软件及其输入和(或)输出单元构成。注：这个术语包括以一个或多个中央处理器（CPU）及相关的存储器等为基础的微电子装置。举例：下列均是可编程电子装置：—微处理器；—微控制器；—可编程控制器；—专用集成电路（ASIC）；—可编程逻辑控制器（PLC）；—其它以计算机为基础的装置（智能传感器、变送器、执行器）。6)电气/电子/可编程电子（E/E/PES）electrical/electronic/programmableelectronic(E/E/PE)基于电气（E）和/或电子（E）和/或可编程电子（PE）的技术。注：本术语试图覆盖所有的在电原理下运行的装置或系统。举例：电气/电子/可编程电子装置包括：—电－机装置（电气）；—使用电晶体的非可编程电子装置（电子）；—以计算机技术为基础的电子装置（可编程电子）见3.2.5。7)有限可变语言（limitedvariabilitylanguage）能力范围局限于应用的，用于工商业可编程电子控制器的，文本的或图形的软件编程语言。举例：下列引自IEC61131-3和其它地方的有限可变语言，用来表示PLC系统的应用程序。—梯形图：一种图形语言，由一系列输入符号（代表相似装置的行为，如常开接点和常闭接点）与输出符号（代表相似继电器的行为）由线条（指出电流流动方向）相它连接构成；—布尔代数：带有增加某些记忆指令能力的，基于布尔运算符（如AND、OR和NOT）的低级语言；—功能块图：除布尔运算符外，可使用更复杂的功能，如数据传输文件、块传输读/写，移位寄存器和序列发生器指令等。—顺序功能图：有顺序之程序的图形表示,由相互联系的步骤、动作和带转换条件的定向连接线构成。三系统：一般概念1)系统（system）根据设计相互作用的一组元素，可能包括相互作用的硬件、软件和人等。系统中的某一元素也可自成一个另外的系统，称为子系统，子系统可以是控制系统也可以是被控系统。注：人可以是系统的一部分2)可编程电子系统(PES)(programmableelectronicsystem(PES))基于一个或多个可编程电子装置的控制、防护或监视系统，包括系统中所有的元素，诸如电源、传感器和其它输入装置，数据高速公路和其它通信路径，以及执行器和其它输出装置。3)电气/电子/可编程电子系统（E/E/PES）（electrical/electronic/programmable.electronicsystem(E/E/PES)基于一个或多个电气/电子/可编程电子(E/E/PE)装置的用于控制、防护或监视的系统，包括系统中所有的元素,诸如电源、传感器和其它输入装置，数据高速公路和其它通信途径，以及执行器和其它输出装置。4)EUC控制系统(EUCcontrolsystem)对来自过程和(或)操作者的输入信号起反应，产生能使EUC按要求的方式工作的输出信号的系统。注：EUC控制系统包括输入装置和最终元件。5)结构(architecture)在一个系统中硬件和软件元素的特定配置。6)模块(module)程序、分立部件、封装程序的一个功能集、或一组归并在一起的分立部件。7)软件模块（softwaremodule）由规程和（或）数据说明组成的构造，并能与其它这样的构造相互作用。8)通道（channel）独立执行一个功能的一个或一组元素举例：两通道（或双通道）配置是指具有两个能独立执行相同功能的通道构成的配置。注1：在通道中的元素可能包括输入/输出模块、逻辑系统、传感器和最终元件。注2：该术语可用来描述一个完整的系统或一个系统的一部分（如传感器或最终元件）。9)多样性（diversity）执行一个要求功能的不同方法。举例：可用不同的物理方法或不同的设计途径来达到多样性。10)冗余（redundancy）对于执行一个要求功能的功能单元或对于表示信息的数据而言，除了够用之外还有多余。举例：功能部件加倍和奇偶校验位的附加都是冗余的例子。注：冗余主要用于提高可靠性或可用性。四.系统：安全方面1)安全相关系统（safety-relatedsystem）所指的系统：—必需要能实现要求的安全功能以达到或保持EUC的安全状态；并且—自身或与其它E/E/PE安全相关系统、其它技术安全相关系统或外部风险降低设施一道,能够达到要求的安全功能所需的安全完整性。注1：这条术语是指这样的系统，即所谓安全相关系统是它们,及与外部风险降低设施一道达到必要的风险降低量，以满足所要求的允许风险.注2：安全相关系统是在接受命令时采取适当的动作以防止EUC进入危险状态。安全相关系统的失效被包括在导致危险或危害的事件中。尽管存在可能具备安全功能的其他系统，但已指定的安全相关系统仅是指靠其自身能力达到要求的允许风险的安全相关系统。安全相关系统一般分为安全控制系统和安全防护系统并且具有两种操作模式。注3：安全相关系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC接口，即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立、专门的安全相关系统实现安全功能。注4：安全相关系统可能包括：a)被用于防止危险事件发生（即安全相关系统一旦执行其安全功能则没有危险事件发生）；b)被用来减轻危险事件的影响，即通过减轻后果的办法来降低风险。c)同时具有a)和b)的组合功能。注5：人也可作为安全相关系统的一部分（3.3.1），例如，人可以接收来自可编程电子装置的信息，并通过可编程电子装置按接收信息要求执行安全动作。注6：该术语包括执行安全功能所需的全部硬件、软件以及支持服务（如电源）（传感器，其它输入装置，最终元件（执行器）和其它输出装置也包括在安全相关系统中）。注7：安全相关系统的技术基础范围可以十分广泛，包括电气、电子、可编程电子、液压和气动等。2)其它技术安全相关系统（othertechnologysafety-relatedsystem）基于电气/电子/可编程电子技术之外的安全相关系统。举例：安全阀就是一种其它技术安全相关系统。3)外部风险降低设施（externalriskreductionfacility）不使用E/E/PE安全相关系统或其它技术安全相关系统，且与上述系统分开并不同的降低或减轻风险的手段。举例：排放系统、防火墙和堤都是外部风险降低设施。4)简单E/E/PE安全相关系统（lowcomplexityE/E/PEsafety-relatedsystem）一种E/E/PE安全相关系统（见3.2.6和3.4.1），其中：—已很好确定了每个单独部件的失效模式；—能完全确定在故障状况下系统的行为。注：在故障状况下系统行为可用试验和/或分析的方法确定。举例：包括一个或几个限位开关，可能还要通过一些承插式机电继电器控制一个或多个接触器来切断电机电源的系统。就是一个简单E/E/PE安全相关系统。5)逻辑系统(logicsystem)系统的一部分，用于执行功能逻辑，但不包括传感器和最终元件。注：本标准中使用下列逻辑系统；—用于机电技术的电气逻辑系统；—用于电子技术的电子逻辑系统；—用于可编程电子系统的可编程电子逻辑系统。五安全功能和安全完整性1)安全功能（Safetyfunction）针对特定的危险事件，为达到或保持EUC的安全状态，由E/E/PE安全相关系统、其它技术安全相关系统或外部风险降低设施实现的功能.2)安全完整性（safetyintegrity）在规定的条件下、规定的时间内，安全相关系统成功实现所要求的安全功能的概率。注1：安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低。注2：安全相关系统有4种安全完整性等级（见3.5.6）。注3：在确定安全完整性的过程中，应包括导致非安全状态的所有失效（随机硬件失效和系统失效）的起因，例如硬件失效，软件导致的失效以及由电气干扰引起的失效，其中有些类型的失效，尤其是随机硬件失效，在危险失效模式中，可用失效率这样的量来量化，对一个安全防护系统而言，可以用有要求时不能工作的概率来量化，但是，系统的安全完整性也取决于许多因素，这些因素无法精确定量仅可定性考虑。注4：安全完整性由硬件安全完整性（见3.5.5）和系统安全完整性（见3.5.4）构成。注5：这一定义着重于安全相关系统执行安全功能的可靠性（见IEV191-12-01对可靠性的定义）