功能安全的概念源于國際電工委員會的一個標準——IEC61508。該標準的全稱是:《E/E/PE安全相關(guān)系統(tǒng)的功能安全》。該標準由7個分標準構(gòu)成�,共有700頁的篇幅���,分別是:
《IEC61508.1整體安全生命周期》;
《IEC61508.2 E/E/PE安全相關(guān)系統(tǒng)的安全生命周期》����;
《IEC61508.3安全相關(guān)軟件的安全生命周期》�����;
《IEC61508.4術(shù)語和概念》�����;
《IEC61508.5確定安全完整性的方法示例》����;
《IEC61508.6 IEC61508����,2和IEC61508.3的應(yīng)用指南》�����;
《IEC61508.7技術(shù)和措施概覽》����。
其中前4個分標準是規(guī)范性文件,后3個是信息性文件���。標準一經(jīng)發(fā)布�����,就引起了全社會的廣泛關(guān)注�����。由于該標準提煉了不同行業(yè)安全工作的經(jīng)驗�,并總結(jié)出一套基本的思想方法�,因此在實踐中得到了很好的應(yīng)用�。目前國際上已基本形成了以功能安全為思路基礎(chǔ)的�,包括風險分析、基礎(chǔ)安全產(chǎn)品生產(chǎn)�、安全產(chǎn)品認證、安全集成��、安全評估等在內(nèi)的安全保障產(chǎn)業(yè)鏈��。國際電工委員會也將這套標準作為IEC的基礎(chǔ)標準��。
為說明功能安全的理念�,首先必須理解工業(yè)技術(shù)界安全的概念,及其理念變遷�。
根據(jù)傳統(tǒng)詞典解釋,“安”的含義是:平靜�����,穩(wěn)定�����,如安定�、安心����、安寧�、安穩(wěn)�����、安閑等��;對生活����、工作等感覺滿足合適;沒有危險����,不受威脅;做動詞���,有使得平靜�����、安定(多指心情)的含義�����,如安民�、安慰、安撫����。“全”的含義是:完備,齊備�,完整,不缺少�,如齊全、完全����;整個、遍����,全部;做動詞有使得不受損傷���,保全的含義�。
“安全”的基本解釋是:沒有危險����;不受威脅;不出事故���。從傳統(tǒng)的理念上看����,安全是一個美好而絕對的境界����,表現(xiàn)出人們對這種境界的追求。但現(xiàn)實中的絕對安全是不存在的���,以絕對安全為目標是不現(xiàn)實的���。但這并不意味著放棄安全工作,而是將安全工作的目標確定在一個相對安全的點上�����。為此�,工業(yè)技術(shù)界為安全作出一個全新的定義,即:安全是不存在不可接受的風險�。
這個定義有兩個劃時代的意義:一是把安全從一個絕對的概念轉(zhuǎn)變?yōu)橐粋€相對的概念,在這個概念中,安全不再是一個高不可攀的絕對目標����,而是風險可接受即是安全。從此����,安全成為了有現(xiàn)實目標的工作。此處引入了一個概念——可容忍風險(tolerable risk)���,根據(jù)當今社會的水準���,即在給定的范圍內(nèi)能夠接受的風險。在這個概念的引導下���,安全工作的全部內(nèi)涵就是將風險控制在可容忍的風險以內(nèi)�����。
這個定義的另一個劃時代的意義就是把對安全的控制轉(zhuǎn)變?yōu)閷︼L險的控制��。此處引入了另一個概念——風險(risk)�,即:出現(xiàn)傷害的概率及該傷害嚴重性的組合�����。以這一概念為引導,安全工作產(chǎn)生了兩種方式��,一種是降低傷害的概率�����;另一種是降低傷害的嚴重程度��。此處都含有一個傷害(harm)的概念����,即:對人體健康的損害或損傷��,以及對財產(chǎn)或環(huán)境的損害�。也就是說,安全工作的保護對象可以是人����、環(huán)境或財產(chǎn)。當然�����,再延伸一下,還可以是動物�����、植物等��。不論對象是誰����,風險一定要與保護對象連在一起才可以分析。
新的安全概念確立之后���,我們就有基礎(chǔ)來理解什么是功能安全�����。
首先看“IEC61508”的定義:功能安全(funetionalsafety)����,是與EUC(受控設(shè)備)和EUC控制系統(tǒng)有關(guān)的全部安全的一部分�,它取決于E/E/PE安全相關(guān)系統(tǒng)和其他風險降低措施功能的正確行使。此處要說明���,該定義是基于“E/E/PE安全相關(guān)系統(tǒng)的功能安全”這一狹窄領(lǐng)域的�,但仍然可以看到功能安全的全貌。首先��,什么是全部安全�。人類面臨的威脅來自很多方面,因此安全也是多方面的���。對安全的分類有多種方式����,比如以領(lǐng)域分類����,像煤礦安全�����、非煤礦山安全���、石油化工安全����、建筑施工安全�����、電力安全、核工業(yè)安全等���;再比如以危險源分類�����,像電氣安全�����、機械安全等�����。為更好地說明功能安全���,我們不妨做這樣的分類,安全問題可分為內(nèi)部的問題和外部的問題�,對于內(nèi)部問題,又可分為產(chǎn)品功能硬件隨機失效產(chǎn)生的問題和人的錯誤產(chǎn)生的問題�;對于外部問題,可分為自然的威脅(如地震����、洪水�、雷��、雨等)�����,外界其他非故意的侵害(如各種運行的電力設(shè)備之間的相互影響等)�����,人的有意侵害(如外國入侵�����、敵對勢力破壞�、黑客�����、小偷�����、強盜等)。這就是所謂的全部安全����。
關(guān)于外部安全問題,英語中有一詞�,叫security,其定義是:對實體而言��,從外部考慮��,沒有不可承受的風險���。
對于此詞中文的翻譯���,業(yè)界有不同意見,一直用“安全”來翻譯�����。問題是將safety和security都翻譯成安全���,其詞義是不同的�,用同一詞來表示��,顯然有不妥之處。目前����,部分專家建議將security翻譯成“安保”,筆者個人的看法是�,就其含義和用法來看,security有外來的對安全產(chǎn)生威脅的含義����,同時又有人為故意的對安全產(chǎn)生威脅的含義,如:地震����、停電、電磁干擾��,都是外部的安全問題�,一般不用security來描述其防護�,但對于黑客、小偷�、強盜等的防護常用security來描述。所以����,在沒有發(fā)現(xiàn)更好的詞之前���,用“安保”是一個可接受的翻譯,這一觀點僅供參考�。
第二,功能安全是全部安全的一部分���。什么是功能呢�?人類自從開始生產(chǎn)以后����,就產(chǎn)生了人為的產(chǎn)品和服務(wù),隨著人類的進步�,生產(chǎn)和生活越來越多的依賴于自己生產(chǎn)的產(chǎn)品和服務(wù)。每個產(chǎn)品和服務(wù)都有其自身的功能�,如:電話有通信的功能;筆有寫字的功能�����;衣服有御寒����、遮體、裝飾等功能;車有運輸功能�。每個產(chǎn)品或服務(wù)為其用戶提供的使用特性就是它們的功能。在諸多功能之中�����,有一些功能是與安全有關(guān)的���,如:壓力容器的功能可以承載內(nèi)部壓力�����,失效可能造成爆炸����;鐵路信號系統(tǒng)能夠指揮火車按預設(shè)規(guī)程運行�,失效可能會導致撞車;一條輸油管線的功能是將油從一個地方輸送到另一個地方���,失效方式之一是爆裂�,另一個失效方式是泄漏�����,肯定會造成環(huán)境污染���,還可能會造成人員傷亡�����。所有的功能都有可能失效�����,產(chǎn)品或服務(wù)與安全有關(guān)的功能失效后就會產(chǎn)生安全問題�,這也是目前安全生產(chǎn)領(lǐng)域中造成問題最多的環(huán)節(jié)�。
所以,功能安全的定義�,就是功能的正確行使。這里包括三重含義:
其一����,我們讓功能以一個預定的概率實現(xiàn),比如一旦要求該功能實現(xiàn)時���,其失效的概率要小于1/10�、1/100�����、1/1000、1/10000等�。也就是說,我們以與安全有關(guān)的功能能夠?qū)崿F(xiàn)的概率�,來保證安全的實現(xiàn)。
其二�,我們讓功能的實現(xiàn)時時處于監(jiān)視之下,當與安全有關(guān)的功能一旦喪失時�����,可及時獲得相應(yīng)信息���。
其三����,與安全有關(guān)的功能一旦喪失時�,使其將會導致的傷害事件不發(fā)生,或至少降低其嚴重性����。
功能安全雖然在實踐中起了很大作用,但仍然有其不適用的方面��。功能安全完全適用于內(nèi)部的安全問題��,即:產(chǎn)品功能硬件隨機失效產(chǎn)生的問題���,以及人的錯誤產(chǎn)生的問題���,這是它的最長項。對于外部問題���,即:自然的威脅和外界其他非故意的侵害����,功能安全的辦法是針對其風險�����,設(shè)置一個降低風險的功能�,然后保證功能的正確實施。但外部風險如果超出所設(shè)置的降低風險的能力范圍��,則功能安全的作用將全部或部分喪失�,就如一座能抵抗7級地震的房子遇到了8級地震。對于人的有意侵害�����,功能安全的作用就僅限于對防護設(shè)備的保障,就如同在戰(zhàn)爭中�,功能安全僅可保障武器發(fā)揮正常功能,戰(zhàn)爭能否打得贏�,就非其能力范圍了。
