机械工业仪器仪表综合技术经济研究所功能安全中心主任 史学玲

1　工业安全的相关概念

工业安全是一个宽泛的概念，通常指工业生产过程中没有不可容忍风险。由于生产过程不同，危险源特征差异很大，比如机械领域的生产过程主要危险是机械伤害、电气伤害；烟花爆竹行业主要危险源是爆炸物；而石油化工领域生产过程中的主要危险是能量或物料违背设计意图的意外泄漏导致的火灾、爆炸、毒害等等，在石油化工领域习惯称为过程安全，也称工艺安全。通常需要对每一个工业生产场所进行详细的危险识别和风险评估，才能确定都包括哪些危险源、应该如何控制、风险实际控制水平，最终确定是否实现了工业安全。

与工业安全相关，还需要了解固有安全、本质安全和功能安全的概念。

固有安全（Inherent Safety）是工业安全的最理想状态，它要求通过生产系统或产品的根本再设计、化学品存量削减或在该设施改用不太危险的化学品，降低或消除事故发生的可能性。比如说，长输管道全部等压设计，最坏情况下管道内压力也不会超过管道的承压，那么这条管道对于压力来说就是固有安全设计，整条管道不需要任何压力保护。

本质安全（Intrinsic Safety）是我们的实际追求。通常情况下我们很难做到固有安全，随着技术的发展，人们在不断追求高速、高效，但同时又受限于成本控制，因此本质安全设计就是我们的实际追求。我们在设备、设施或技术工艺内加入能够从根本上防止事故发生的功能，包括“失误-安全”功能和“故障-安全”功能，操作者即使操作失误，也不会发生事故或伤害，或者说设备、设施和技术工艺本身具有自动防止人的不安全行为的功能；设备设施或技术工艺发生故障或损坏时，还能暂时维持正常工作或者自动转变为安全状态。

功能安全（Functional Safety）是保证系统或设备执行正确的功能。它要求系统识别工业现场的所有风险，并将它控制在可容忍范围内。

这几种安全的关系是：为了实现工业安全，我们最理想的是进行固有安全设计，或者选择本质安全，但实现本质安全的前提是首先要实现功能安全。

2　功能安全解析

功能安全是整体安全的一部分，它依赖于系统或设备执行正确的功能。

在工业现场，有三类系统或设备：第一类是保证工业过程正常生产，生产出合格产品的系统；第二类是不参与生产，只负责降低风险（预防事故发生的预防系统，或降低事故发生后果严重程度的减轻系统）的系统；第三类是两种功能兼有的系统。功能安全只针对第二类和第三类系统，研究风险降低系统或设备执行功能的可靠性。由于第二、三类系统承担风险降低作用，一旦失效，风险就会加大，工业现场的风险就不可容忍，处于不安全状态，事故随时可能发生。

所谓功能安全防护应该指的就是降低这类风险的系统和设施，在石油、化工、冶金、机械等领域广泛使用。这类系统或设施在不同领域有不同的名称，如安全仪表系统、安全相关系统、安全联锁系统、紧急停车系统、安全控制系统、安全保护系统等等。

以锅炉压力保护系统为例。燃烧导致锅炉压力升高，当压力异常达到危险值时，压力控制系统会自动关阀断气灭火。但如果这个压力保护系统功能失效，压力异常达到危险值时不能关火，火持续燃烧，压力持续增大，最后锅炉爆炸。此时安全依赖于压力保护系统正常行使功能，功能失效，形成了第二类危险源，危险发生。

再比如冲压机上安装的防护系统，当人身体任何部分进入危险区域时，冲压机会自动停止动作，避免危险发生。又比如石油化工领域的紧急停车系统，当检测到危险量时会自动触发停车动作，避免严重后果发生。

3　功能安全的安全完整性等级指标

安全完整性等级（SIL）是功能安全的一个关键技术指标。指的是风险降低系统功能在规定时段内、在所有规定条件下满意执行要求功能的平均概率，分4个等级：SIL1~SIL4。安全完整性等级对应两个含义：

SIL是风险降低能力，SIL1指标表示风险降低1个数量级，假如有一个油罐每年会溢罐一次，加一个SIL1的高液位保护系统，就能保证该油罐几十年溢罐一次，风险降低一个数量级。

SIL同时也是衡量风险降低系统功能失效的参数，某功能SIL1表示这个功能几十年只能失效一次，SIL4就表示这个功能几万年只能失效一次了。某一功能安全的SIL一旦确定，即表示它的风险降低能力要求确定了，同时，对系统的设计、管理、维护的要求严格程度也确定了。

4　功能安全与信息安全的关系

在解释功能安全与信息安全之间的关系时，首先要了解IEV（国际电工术语委员会）对Safety和Security定义的内涵差异。

Security安保/安全/信息安全（351-57-07）：Freedom fromunacceptable risk to the physical units considered from the outside（所考虑的物理单元没有来自外部的不可接受的风险 ）。

Safety安全（351-57-05）：Freedom from unacceptable risk tothe outside from the functional and physical units considered（所考虑的物理单元没有对外部的不可接受风险）。

从定义可以看出， 对于控制系统而言， 功能安全（Functional Safety）研究的是如何避免系统功能失效而导致的对人身、财产、环境、声誉的不利影响，它需要研究随机硬件失效、系统性失效（包括软件）和安防（Security）（外部攻击或人为故意行为）三方面的影响。安防也称为信息安全，是系统互联互通之后带来的新问题。因此，从这个角度，信息安全是功能安全的一部分。

但信息安全还会有信息泄密导致有可能的经济损失，这是另一个问题，需要单独分析考虑。

在功能安全标准定义的生命周期中，有两个阶段会提及信息安全。一是在风险分析阶段，要考虑安防水平、信息泄密导致的风险；二是在安全验证阶段，需要把安防不足可能导致的功能失效考虑进去。

5　国内外功能安全标准发展现状

国际上功能安全基础标准IEC61508于2000年正式发布，随后，过程工业领域功能安全标准IEC61511、机械领域功能安全标准IEC62061等领域标准陆续出台。同时，功能安全PLC标准IEC61131-6、功能安全网络标准IEC61784-3等安全产品标准也纷纷出台，正在形成IEC61508为基础加上领域和产品的标准簇，工业信息安全国际标准IEC62443标准也正在制定中。

我国目前各相关标委会正积极地将功能安全标准系列转化为中国国家标准，如全国工业过程测量与控制自动化标准化委员会已经将IEC61508和IEC61511转化为中国的国家标准GB/T20438和GB/T21109。因此，与国际标准对应的功能安全中国国家标准簇已经形成。

2014年安监局发布了116号文，要求涉及“两重点一重大”生产装置或设施的化工企业和危险化学品储存单位应按GB/T21109和GB/T20438两个标准设置符合功能安全要求的安全仪表系统。在铁路、汽车、机械、电梯、铸塑机等领域，也都以强制性标准的条款对功能安全防护提出了要求，要求功能安全标准实施的环境已经形成。

在功能安全标准制定方面，我国与国际水平差距巨大。我们只是等同采用国际标准，翻译的成分占多数，真正理解功能安全标准理念与方法、并能正确使用的人才相对不多，能自主写出功能安全标准的专家人才也不多，这是影响我国功能安全标准正确使用的主要障碍。

6　智能制造给功能安全带来新挑战

制造业引入智能化、物联网之后，给制造业带来的有益处，也有挑战。

益处是显而易见的。智能化系统可以使制造业更好地实现本质安全，也就是说，它可以充分发挥智能化优势，在设计阶段即采取措施使生产设备或生产系统本身具有安全性，即使在误操作或设备发生故障的情况下也不会发生事故。

但挑战也是巨大的。最大的挑战来自于智能化系统的功能可靠性和功能安全性。当制造业引入智能化系统，我们最需要担心的就是智能化系统失控导致的人身伤害、财产损失、环境破坏和声誉扫地。试想一下，如果家里使用的机器人保姆，它随时会因功能失效撂挑子不干活；可能会因功能错乱攻击你；如果它受你敌人的控制可能会窃取你的秘密甚至暗杀你，你还敢用它吗？所以，如果智能化系统的功能可靠性和功能安全性难题不解决，智能制造就不可能被广泛接受和应用。

工信部于2015年启动的智能制造专项“功能安全和工业信息安全标准研究和验证平台建设”项目就是为了解决这个难题，通过研究建立我国智能制造系统功能安全标准体系，并建立实验验证平台形成标准实施能力，保证我国智能制造系统在安全的框架内发展，使制造业受益新技术发展的同时，避免因技术失效导致新的风险。

机械工业仪器仪表综合技术经济研究所功能安全中心至今已经举办了40多期功能安全培训，在中石油、中车等企业和电力、冶金、仪表控制等领域完成了70多套系统及产品的功能安全评估或SIL评测。发现的问题主要有：

（1）对功能安全理念和标准不了解也不理解，甚至有抵触；

（2）人才队伍严重缺乏，不会进行功能安全防护的设计、使用和评估；

（3）危险与风险分析不清，过保护和欠保护同时存在；

（4）一些评估机构进行的功能安全评估存在缺陷。

我们建议：第一步，在高危行业应率先实施功能安全标准，对新建项目和在用项目，在电气、电子、可编程电子安全相关系统的设计和制造过程中，提高工艺装置的本质安全水平，同时逐步形成符合我国国情的中国国家功能安全标准体系，弥补我国法规体系与欧美等国的差异，使功能安全标准实际能在中国实施。进一步，在国家提出的《中国制造2025》战略中，要以功能安全的理念建立智能制造系统的安全保障框架，研究建立智能制造系统安全保障标准体系，以保证新技术在安全的框架内发展。

7　我国实施功能安全标准战略建议

功能安全技术标准对实现功能安全保障、打破技术壁垒都具有重大作用，但要实现这些作用，决不只是制定完标准就解决了所有问题。要实现这个目标，需要国家从全局的角度进行战略部署，需要各行业管理部门、地方政府、企业和中介机构等社会各方积极配合。

具体地说，需要国家安全生产管理局、国家标准化管理委员会、国家认监委协同，分别对企业提出功能安全要求、组织制定功能安全标准、建立认可我国自主的功能安全检测检验机构。需要科技部、工信部、发改委等部委组织功能安全技术攻关、产业扶持，帮助形成我国功能安全技术能力和产业能力。

作者简介

史学玲（1961-），女，吉林舒兰人，副总工程师，教授级高工，现就任机械工业仪器仪表综合技术经济研究所功能安全中心主任，是国家安全生产专家组成员，主要研究方向为功能安全技术。

摘自《自动化博览》2016年2月刊