功能安全技术讲座第二十二讲功能安全评估的应用研究

Control Tech of Safety & Security

功能安全技术讲座

【摘 要】【关键词】Abstract: The frequent accidents, such as fire, explosion, oil leakage, are threatening the existing of mankind. Risk analysis and safety assessment for process are becoming more and more important. The developed countries have widely adopted functional safety standards and carried out functional safety assessment in all areas, while the functional safety has just begun in our country. There has not been complete functional safety assessment system at present. The paper mainly describes the HAZOP analysis and SIL assessment which are the common international functional safety assessment methods.

Key words: F unctional Safety Assessment HAZOP Analysis SIL Assessment

频频发生的火灾、爆炸、漏油事故威胁着人类的生存，对工艺过程进行风险分析与安全评估愈

发的重要起来。目前工业发达国家已广泛采用功能安全标准并在各领域开展功能安全评估，而我国的功能安全事业才刚刚起步，目前尚无完整的功能安全评估体系。本文介绍了一套国际标准的功能安全评估方法：危险与可操作性（HAZOP）分析和安全完整性等级（SIL）评估。

功能安全评估 HAZOP分析 SIL评价

[编者按] 本刊自2007年开设本专题讲座以来，至今已刊登了18讲。系统地介绍了功能安全的基本概念、方法与技术，认证与评估，得到了广大读者的广泛关注与积极回应。2010年，本讲座将从用户的角度详细介绍功能安全在各行业中的应用，强调功能安全的重要性，使读者从抽象的概念中获得一些感性的认识，以推广功能安全的应用。

第二十二讲

功能安全评估的应用研究

Chapter 22: Application and Research of Functional Safety Assessment

刘瑶

（机械工业仪器仪表综合技术经济研究所，北京市 100055）

Liu Yao

(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)

主讲人简介：

刘瑶，女，工学学士，机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师，参与功能安全标准I E C 61508（G B/T 20438）及I E C 61511（G B/T 21109）技术与应用研究、宣传和推广，功能安全

HAZOP+SIL工程项目技术辅助与支持。

安全控制技术

1 引言

近几十年来，随着各行业的迅速发展，人们的生活愈加的富裕便捷，伴随而来的却是一系列威胁人类生存环境、健康安全的重大灾难，印度博帕尔毒气泄漏事件、黄岛油库爆炸事故、墨西哥湾漏油事故、大连漏油事故……一件件触目惊心的安全事故接连发生。如何在保证正常工艺运行的同时保障安全成为当今社会的一大热点问题。安全相关系统即是用来保证安全、降低风向的重要措施。

为保证安全相关系统能够正确行使其功能，功能安全的研究应运而生。1996年，美国发布的ANSI/ ISA-S84.01标准中将“功能安全”概念纳入其中，从而正式开启了功能安全理论研究的道路。2000年，国际电工委发布了标准IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》，成为国际通行的各领域功能安全研究的基础标准，在此基础上IEC相继发布了针对过程工业、核工业、机械工业等各领域的功能安全标准。2006年、2007年等同采用IEC 61508、IEC 61511的国家标准GB/T20438、GB/T21109发布，中国的功能安全理论研究开始走上轨道。

在国外，功能安全研究起步较早，目前很多工业发达国家已广泛采用功能安全标准并在各领域开展功能安全评估，而我国的功能安全事业才刚刚起步，目前尚无完整的功能安全评估体系。本文将为大家介绍目前国际上通行的功能安全评估方法：危险与可操作性(HAZOP)分析和安全完整性等级(SIL)评估。

1 HAZOP分析

HAZOP（HAZard and OPerability）分析是一套结构化、系统性的分析方法。它可以系统、详细地对工艺过程和操作进行检查，识别出现有工艺系统的风险点所在，保证操作的有效性。

其目的在于：

* 系统、详细地对工艺过程和操作进行检查，识别出系统中可能存在的设计缺陷、设备故障、操作过程中的人员失误等可能带来的安全影响。

* 列出偏离正常工艺状态的偏差、导致偏差的原因、可能出现的后果，以及针对这些偏差现有的安全措施。

* 评估现有的工程和程序上的安全设施的适当性，建议必要的附加安全设施或操作程序，从而减少事故发生的频率，减小事故可能的后果。

HAZOP分析是以组成HAZOP团队的各学科的工作人员所累积的经验为基础。团队成员在评估过程中应保证评估的客观性和专业性。

HAZOP分析的方法是：根据不同的工艺流程或设备将系统分成几个节点，在每一个节点下列出可能导致工艺偏离于正常工作条件的偏差。此方法要求完全考虑到工艺所有的活动细节，从而确定是否由于工艺参数的偏差而导致安全和操作上的问题。HAZOP 分析只考虑在评估的节点范围内造成偏差的原因。

一旦所有原因被确认，则每一原因会造成的最终结果也将被确认。此时不考虑任何可能存在的安全设施。在考虑过所有可能发生的情况后，才能识别出潜在的风险，从而确定现有安全设施是否足够。最后，HAZOP团队对问题的严重性和现有安全设施的充分性进行评估，提出合理的改进建议。

传统HAZOP评估操作如下：

(1) 在工艺流程图或P&ID上划分节点；

(2) 选择一个节点；

(3) 定义设计意图和正常操作条件；

(4) 选择一个工艺参数；

(5) 应用引导词和工艺参数建立有意义的偏差；

(6) 确认造成偏差的相关原因；

(7) 确认可能导致的最终结果(不考虑安全设施)；

(8) 确认现有安全设施；

(9) 在发现提供的安全设施不够充分时，确认所提改进建议及其操作方；

(10) 进入下一个节点，循环以上过程。

HAZOP分析流程如图1所示。

图1 HAZOP

分析流程

Control Tech of Safety & Security

2 SIL 选择

SIL 评估是在HAZOP 分析的基础上，确定SIS 的安全功能和合理的SIL 指标，以实现安全和成本的最佳平衡。不同的SIL 等级，为用户单位的管理、人员配备、操作规程和维护周期等提出不同的要求。SIL 选择的定性的方法有风险矩阵和风险图，定量方法则有故障树、LOPA 等。本文主要介绍风险矩阵法。其方法如下：

1） 根据国际惯例及企业相关标准确定过程可接受风险；

2） 根据用户单位相关要求确定风险矩阵的两大参数：后果严重性和要求率，并将其定量描述在工作组会议上进行讨论，以取得来自现场和各方专家的一致认同；

3） 结合可接受风险，根据国际标准IEC 61511确定两大参数（后果严重性和要求率）的各种组合所对应的SIL ，建立用户单位认可的风险评价矩阵表；

4） 根据HAZOP 分析结果辨识出需要由安全仪表系统实现的安全仪表功能；

5） 选取一个待分析的安全仪表功能；6） 根据现场调研、现场人员经验及用户单位相关的安全评价资料估算该安全仪表功能要求的动作率及拒动后果严重性；

7） 依据风险评价矩阵表选定该仪表功能所需达到的P I L （人身安全完整性等级）、AIL

（经济安全完整性等级）、EIL （环境安全完整性等级）、RIL （声誉安全完整性等级），并确定该系统必须达到的综合的安全完整性等级（SIL ）；

8） 进入下一个安全仪表功能的SIL 分析。表1为风险矩阵的一个例子。3 SIL 验证

SIL 验证目的是通过可靠性建模证实现有安全仪表功能的安全完整性是否满足在SIL 评估中提出的目标，若未满足则提出相关的意见与建议。常用的方法有：可靠性框图、故障树、马尔可夫模型。本文主要介绍用可靠性框图的方法进行SIL 验证。其方法如下：

1） 确定每个安全功能回路的结构，及各组成部分的操作模式、连锁逻辑以及检验测试间隔等信息。

2） 查找安全回路中包含的传感器、逻辑控制器、执行部分等器件相关的型号、规格，根据国际上可信的数据库确定各器件检测到的危险失效率（λDD ）、未检测到的危险失效率（λDU ）、检测到的安全失效率（λSD ）以及未检测到的安全失效率（λSU ）。

3） 画出各个安全功能对应的可靠性框图。（图2为某功能回路的可靠性框图）

后果

频率（/年）

等级

人员伤亡（P ）

直接经济损失（A ）

环境影响（E ）

声誉影响（R ）

A B C D E

行业内从未发生行业内曾经发生国内曾经发生公司内曾经发生装置内曾经发生>0.0001次<0.001次>0.001次<0.01次

>0.01次<0.1次>0.1次<1次>1次0无人员伤亡无破坏无影响无影响---a

a 1轻伤经济损失1万元以下轻微影响轻微影响--a 112重伤经济损失1-10万元较小影响较小影响-a

12231-2人死亡经济损失 10-30万元局部影响严重影响a 123343-9人死亡经济损失30-100万元重大影响国家性影响1234b 510人以上死亡经济损失100-300万元特大影响国际性影响

234b

b

注：

- 代表不需要SIS

a 代表DCS 报警或连锁1 代表SIL1

2 代表SIL2

3 代表SIL3

4 代表SIL4

b 代表单独一个SIS 不够

表1 风险矩阵

（下转第21页）

安全控制技术

[1] IEC 61508 - Functional safety of electronic/ electrical/programmable electronic Safety-Related Systems

[2] IEC 61511 - Functional safet - Safety instrumented systems for the process sector

[3] Stuart Nunns，曾硕巍. 功能安全评估. 仪表仪器标准化与计量，2009(3)、(4)

[4] Stuart Nunns，一个用于取得符合IEC 61508组织性功能安全认证的方法论. 仪表仪器标准化与计量，2008(3)、(4)、(5)、(6)、

[5] IET Competence criteria for safety-related system practitioners

[6] I E T/B C S C o m p e t e n c y F r a m e w o r k f o r Independent Safety Assessors (ISAs)

[7] HSE Managing competence for safety-related systems

[8] The CASS Assessor Competency Scheme

□

（上接第16页）

4）根据以上内容以及标准中给出的公式，计算出安全失效分数、硬件故障裕度，得出结构约束的安全完整性等级，计算PFD值，确定随机失效的SIL等级。

5）确定出各安全功能目前能达到的SIL等级，与在SIL评估中确定的最低SIL等级要求比较。

6）对于未达到要求的SIL等级的安全功能回路，分析其结构及PFD分布，给出合理的建议，使回路的安全完整性达到要求。

4 功能安全评估的国内外形势

在工业发达国家，功能安全评估起步较早，从初步设计、详细设计到安装投产、正常运行等各阶段均需做功能安全评估，为功能安全管理提供依据。用户通过权威的第三方机构进行评估，可以更清楚地掌握自己目前选用的安全相关系统的风险点所在及安全等级，使用起来更加放心；设计单位通过功能安全评估可以辨识出系统中的重大危险源，并针对其增加相应措施，使设计更合理更安全；系统供应商与集成商可通过功能安全评估使自己的设备更加可靠，提高自身竞争力。目前国际上比较权威的评估机构和公司有德国的TüV和美国的exida。

我国目前尚无专业的功能安全评估机构。一些大型企业内部已经开始尝试功能安全评估工作，但只局限于对过程进行风险分析和硬件安全完整性等级计算。[3]一些研究机构也已经开始了功能安全评估的实践，但也不够全面。

作为国际功能安全技术标准归口单位，机械工业仪器仪表综合技术经济研究所（ITEI）将国际先进的功能安全技术引入到中国，主持完成了等同采用国际标准IEC 61508、IEC 61511的中国国家标准的制定（GB/T20438-2006，GB/T21109-2007）；承担并行使系统及功能安全分技术标准委员会秘书处职责(SAC/TC124 SC10)。近年来，ITEI功能安全中心对功能安全评估进行了深入研究，致力于在全国范围内各领域推广危险与可操作（HAZOP）分析和安全完整性等级（SIL）评估，并承担了一些工程项目的风险评估工作，开展了从风险分析到SIL分配再到SIL验证的全套工作，取得了丰富的实践经验，也为用户单位提供了许多合理而有价值的建议，帮助其安全而高效的运行工艺系统。

通过多个项目的实践，我们发现目前所面临的主要问题在于事故发生频率、相关器件失效率等数据缺乏，在评估过程中只能参考一些国际通行的数据库进行定量。国内的各个工程运行单位还没有收集事故相关数据、设备运行参数的意识，这在一定程度上限制了功能安全评估的发展。

5 结论

功能安全在中国的发展相比发达国家还较为落后，需要功能安全从业者与各领域的用户、设备制造与集成商、设计单位以及工艺运行单位携起手来，通力合作，共同完善中国的功能安全评估体系。

参考文献

[1] GB/T20438-2006. 电气/电子/可编程电子安全相关系统的功能安全

[2] GB/T21109-2007. 过程工业领域安全仪表系统的功能安全

[3] 靳江红，吴宗之，等. 安全仪表系统的功能安全国内外发展综述. 化工自动化及仪表，2010, 37(5):1~5

[4] 张志凛. 安全仪表系统技术与应用进展. 自动化博览，2009(6)

□

功能安全技术讲座第三讲基于风险的SIL确定技术

［编者按］　本刊“安全控制技术”栏目自２００５年开设以来，得到了广大读者的广泛关注与大力支持。今年除了继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。 第三讲　基于风险的ＳＩＬ确定技术 主讲人简介： 冯晓升，全国工业过程测量与控制标准化技术委员会主任委员，教授级高工。一九八二年毕业于浙江大学。不仅是ＩＥＣ　ＴＣ６５　ＭＴ１３工作组的中国专家，参与ＩＥＣ　６１５０８标准维护工作，还是ＩＥＣ　ＴＣ６５　ＳＣ６５Ｃ　ＷＧ１２工作组的中国专家，参与工业控制网络功能安全标准ＩＥＣ　６１７８４－３的制定。同时又是等同采用ＩＥＣ　６１５０８的中国国家标准ＧＢ／Ｔ　２０４３８．１～７的起草工作组组长，主持了国际功能安全标准的研究与中国国家标准ＧＢ／Ｔ　２０４３８．１～７的制定工作，对功能安全标准及技术有深入研究。 冯晓升 （机械工业仪器仪表综合技术经济研究所，北京市 １０００５５） Fen g X iaosh en g (In strum en tation Tech n ology & E con om y In stitute, B eijin g 100055) Chapter 3: Confirmation Technology of SIL Based on Risk Abstract: T he paper explained th e confirm ation technology of S IL , and three m ethods to confirm th e S IL w ere given.Key words: S IL AL AR P 【摘 要】【关键词】讲解基于风险的安全完整性等级确定技术，给出三种确定安全完整性等级的方法。ＳＩＬ ＡＬＡＲＰ ＳＩＬ是安全相关系统的必备指标。理论上，如何选择ＳＩＬ取决于原有设备（未加装安全相关系统前的设备）的安全程度和加装安全相关系统后希望达到的安全程度。实际操作时可能还要考虑一些技术的经济的甚至政治的问题。ＳＩＬ并非越高越好，但必须够用或起码能被接受。ＳＩＬ越高，意味着经济支出和管理要求都会相应提高。所以ＳＩＬ的选择要以合适为好。 图１是安全生命周期图。ＳＩＬ的选择是基于前三个步骤的第四步骤。前三个步骤主要解决确定保护范围，即确定ＥＵＣ的范围；找出危险源；评估危险源的风险；以及确定危险源的允许风险。第四个步骤则是确定安全功能和安全功能的安全完整性等级，即ＳＩＬ。第五个

DCS自动控制系统安全验收评价

DCS控制系统安全验收评价 引言（1） 近年来，自动化控制系统,特别是集散控制系统（ＤCS控制系统)在石油、化工、电力、冶金、轻纺行业中得到广泛的应用。在降低能源和原材料消耗、提高产品质量、确保安全生产、改善和加强企业管理等方面已取得了明显的经济效益和和社会效益。同时,这种生产过程的大型化、连续化、自动化发展趋势和在集控室内的集中控制，也增加了安全生产的复杂性。本文针对DCS控制系统的特点，就安全验收评价中涉及的有关技术问题进行阐述。 安全评价的总体要求（2) 总体要求是：DＣS控制系统应能在异常情况下控制设备和装置不发生危险，必要时控制装置要能自动切换到备用电源和备用设备或装置中去；调节装置要有连锁,以防止误操作和自动调节装置的误通、误断；要评价紧急事故开关的设置情况。 下列情况须设置紧急事故开关: (1）发生事故时，不能通过停车开关来终止危险的运行; (2) 不能通过总开关来迅速中断若干个造成危险的运行单元； （3）由于中断某个单元能出现其它危险; （４）控制台不能看到所控制的全部装置和设备,无法分析判断和实施有效控制。 紧急事故控制要有防止灾害的措施,如防窜压、防逆转等措施。紧急事故开关应该用红色,并能明显区别其它开关。 主要危险因素的识别（３) 2．1主要危险因素及相关作业场所 ＤCＳ控制系统的主要危险因素有:控制系统断电;控制站失灵；仪表损坏和电气联锁失效等。 主要危险因素的相关作业场所是集中控制室和在现场的检测仪表、执行机构。 2.2 DＣS控制系统所涉及的危险因素及存在的部位

ＤCS控制系统断电、控制站失灵和电气联锁失效将导致系统的非正常停机。对于有毒和高温、高压设备而言可能导致有毒物质的泄漏、引发火灾或高压设备的爆炸。危险因素存在的部位是UPＳ电源、DCＳ控制器和可编程控制器（PLC 控制器)。 仪表损坏将导致系统的非正常运行。特别是执行机构损环将导致控制失灵,对于有毒和高温、高压设备而言可能导致有毒物质的泄漏、引发火灾或高压设备的爆炸。危险因素存在的部位是现场的检测仪表、执行机构。 危险因素安全控制措施（４) 首先，要制定DCＳ控制系统的安全应急救援预案，并组织员工按照安全应急救援预案进行演练。其次,必须针对主要危险因素制定相应的安全控制措施,具体是: ３．1ＤCS控制系统断电的安全控制措施 DCS控制系统通常采用UPＳ电源，以保证在供电电源断电后，仍能在规定时间内将系统关闭在安全状态，这就要定期检查UＰS电源的工作状态和容量,对于冗余电源,应分别切换,确认系统运行正常。 3.２控制站失灵的安全控制措施——进行控制站冗余安全试验 ３.２.1在操作站上调出系统状态显示画面,确认控制站OK,在另一操作台上调入该控制站内的某一位号，送4~20mA信号于该位号，记录测量值(ＰV）、给定值（SP)和输出值(OP); ３.2.2控制站电源开关置于“ＯFF”状态，确认冗余的控制站自动投入控制运行，PV、SＰ和ＯP值保持不变； 3.2.3主控制站电源开关恢复“ON”状态,再确认ＰV、SＰ和OP值不变; ３.2.4重复以上步骤检测冗余控制站。 ３.3仪表损坏的安全控制措施 3.3.1把好仪表入口关,＂三证"齐全方可使用."三证"包括生产许可证、出厂的合格证及化验单、试验报告等。 3．3.2定期检查、校验强制性检测的仪表运行情况，以避免仪表失灵。 3.3．3对于重要联锁保护系统开关量仪表的整定，及重要调节回路的仪表单体调试，其整定调试完毕到仪表投用之间的存放时间不宜不超过2个月。 3.3．４仪表应备有足够的备品、备件。

电气安全常识培训资料

安全生产、预防第一 安全生产：安全生产是指为了预防生产过程中发生人身、设备事故，形成良好的劳动环境和工作秩序而采取的一系列措施和活动。内容包括采取各种安全技术和技术措施，经常开展群众性的安全教育和安全检查活动等。 电气安全常识 电气安全：电气设备在正常运行时以及在预期的非正常状态下不会危害人体健康和周围设备，当电气设备发生非预期的故障时，应能切断电源，将事故限制在允许的范围内。如果电气设备安装不恰当，使用不合理，维修不及时，尤其是电气工作人员缺乏必要的电气安全知识，不仅会造成电能浪费，而且会发生电气事故，危及人身安全，给公司和职工带来重大损失。 1、车间用电设备的安全要求是什么？ 车间用电设备必须符合下列安全要求：（1）设备的结构形式应与场所环境相适应；（2）设备上的裸露带电体要有保护；（3）设备上安装的开关设备、保护装置、控制装置、信号装置必须齐全完好；（4）设备的相间绝缘电阻，对地绝缘电阻必须符合要求；（5）所有不带电的金属外壳都应根据其供电系统的特点进行接地或接零；（6）定期进行检修和安全检查。

2、电气工作人员必须具备哪些条件？ 电气工作人员必须具备如下条件：（1）经医生鉴定无无妨碍工作疾病；（2）具备必要的电气知识，且按其职务和工作性质熟悉《电业安全工作规程》的有关部分，并经考试合格；（3）学会紧急救护法，首先学会触电解救法和人工呼吸法。 3、电气作业应使用的安全用具有哪些？ 电气作业使用的安全用具一般包括：（1）绝缘安全用具；（2）登高作业安全用具；（3）携带式电压和电流指示器；（4）临时接地线等。电工安全用具应按《电业安全工作规程》的规定，定期进行检查、试验。 4、常见的触电事故发生的主要原因有哪些？ （1）人体直接接触带电体；（2）人体接触发生故障的电气设备；（3）与带电体的距离小于安全距离；（4）跨步电压触电 （如果人或牲畜站在距离通电电线落地点8～10米以内。就可能发生触电事故，这种触电叫做跨步电压触电）。 5、防止触电的主要方法有哪些？ （1）限制电压或电源能量。包括采用安全的超低电压、安全电源、安全电路结构；（2）增加绝缘距离。包括采用绝缘带电零件、隔离罩或外罩、漏电保护装置；（3）接地。在不同的电网系统中，电气设备外壳使用不同的接地方法。 6、安全用电的基本要求时什么？ （1）绝缘；（2）安全距离；（3）安全载流量；（4）安全标志。

新版医疗质量安全管理考核标准.pdf

附1：临床科室医疗质量安全管理目标考核标准 （非手术科室100分手术科室120分） 项目分 值 基本要求缺陷内容及扣分标准 扣 分 得 分 质量管理20分 4 1、科主任负责质量管理与持续改进 工作，建立科室质量管理小组及工作 制度，体现全面质量管理与持续改进 工作 1、缺科室质量管理小组及制度扣1分 2、科室质量存在问题改进力度不够，相同质量问 题重复出现无改进扣1分 3 2、每月底召开科室质控小组会议， 内容要体现全面、全过程质量管理， 有记录 1、未按规定召开科室质控管理小组会议每缺一次 扣0.5分 2、缺改进工作措施记录每缺一次扣0.5分 5 3、严格执行医师法、在未取得执业 医师资格，不能独立值班、手术、有 创操作 1、发现无资格医师独立值班每发生一次扣0.5分 2、发现无资格医师独立会诊每发生一次扣0.5分 3、发现无资格医师独立手术每发生一次扣0.5分 4、发现无资格医师独立有创操作每发生一次扣 0.5分 4、积极引进新技术、新业务，有相 关培训内容、讨论、记录和操作规程、 有代表科室特色及水平的技术项目 1、有开展新技术、新业务工作培训加5分 2、有开展新技术、新业务的讨论记录和操作规程 加5分 3、有代表科室特色及水平的技术项目加5分 2 5、有“三基”培训计划 有“三基”培训落实记录 有“三基”操作考核记录 1、无“三基”培训计划扣0.5分 2、无“三基”培训落实记录扣1分 3、无“三基”操作考核记录扣0.5分 3 6、临床路径落实规范 1、根据疾病第一诊断应入径而无入径的每一例扣 0.5分 2、入径病历未按治疗方案执行每一例扣0.5分 3、发生变异病历要进行登记，病程记录中要详细 记录并与医嘱相符，其中一项未做到扣0.5分 3 7、重新修订科内常见疾病诊疗常规 各种手术操作常规并落实 1、未按时限要求修订诊疗常规扣0.5分 2、未按时限要求制定各种手术操作扣0.5分 3、在医疗工作中未落实常规发生一次扣1分 医疗文书 15分4 1、有运行病历自查情况记录（每月 至少5份） 2、有终末病历自查情况记录（每月 至少5份） 1、无运行病历自查情况记录扣1分 2、记录不完善扣1分 3、无终末病历自查情况记录扣1分 4、记录不完善扣1分 6 3、住院病历书写规范 1、单项否决病历及≤75分病历不能出科室，每 出科一份病历扣0.5分 2、病历中的缺陷内容要在3至7日内，到病案室 进行修正，超期一例扣0.5分。 5 4、门诊病历书写规范 5、门诊处方书写规范 1、抽查门诊病人未按规定书写门诊病历每发生一 例扣0.5分

可靠性系列讲座-18

2

安全控制技术 【摘 要】【关键词】Abstract: In safety instrumented systems, the common cause failures which occur between redundant parts within each layer between safety layers or between safety layers and the BPCS may make the potential degrade of the effective protection higher and then affect the safety and the reliability of a system. The paper describes the de ? nition, causes, analytical approach and the quantitative methods given in the standard, and also discusses how to reduce probability of common cause failure. Key words: SIS Common Cause Failure Redundancy 在安全仪表系统中，保护层的冗余部分之间、保护层之间、保护层和BPCS之间的共同原因失效 （亦称共因失效）都会引起有效保护潜在的降低，从而影响系统的安全性与可靠性。本文阐述了共因失效的定义、产生原因、分析方法、标准中的量化方法以及降低其概率的措施。 安全仪表系统 共因失效 冗余 [编者按] 本刊在2007～2008的两年间，在“安全控制技术”栏目共安排了12讲功能安全技术讲座，系统介绍了功能安全的基本概念、方法与技术，并针对读者关心的一些问题进行了分析，得到广大读者的广泛关注与积极回应。2009年，该讲座还将继续进行，主题将集中在安全相关子系统的功能安全评估与认证技术上。本讲主讲人是刘瑶工程师。 第十八讲 安全仪表系统中的共因失效 Chapter 18: The Common Cause Failure in the Safety Instrumented System 刘瑶 （机械工业仪器仪表综合技术经济研究所，北京市 100055） Liu Yao (Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055) 主讲人简介： 刘瑶，女，工学学士，机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师，参与功能安全标准I E C 61508（G B/T 20438）及I E C 61511（G B/T 21109）技术与应用研究、宣传和推广，功能安全HAZOP+SIL工程项目技术辅助与支持。 安全仪表系统（SIS）是指用来实现一个或几个仪表安全功能的仪表系统，它包括从传感器到最终元件的所有部件和子系统。目前SIS正广泛应用于石油、化工、电力等过程工业领域，用以监测生产过程 中的安全参量，以便在出现危险时及时采取有效措施从而防止人身伤害、经济损失及环境影响。根据GB 21109（IEC 61511），SIS的其中一项设计要求就是识别和考虑共因失效。在给保护层分配安全功能时，

《JSPHA患者安全目标评估标准与细则》学习

医院患者安全评估 2012年，我院认真组织学习《JSPHA患者安全目标评估标准与细则》，进一步完善、落实相关制度和关键性措施，以保障患者安全为核心，加强安全监管工作力度，全面提升医疗服务质量，特制定如下规范： 一、医疗安全方面我院就“构建和谐医患关系，切实防范医疗纠纷”、做专题讲座；重新修订《医疗质量和医疗安全核心制度汇编》，经常深入临床一线检查医务人员核心制度掌握和执行情况，及时进行督促整改；开展核心制度竞赛和百日医疗安全知识竞赛，在全院掀起注重医疗质量和安全的热潮。进一步强化院科两级负责制，对重点部门、重点时间、重点人员进行重点考核管理。通过强化交接班制度、三级医师查房制度、疑难重危病人讨论制度、会诊制度、术前讨论制度等，坚决杜绝违反医疗操作常规行为的发生。加强“三基三严”训练考核，医院制订了胃癌、乳腺癌、胰腺癌、原发性肺癌、原发性肝癌诊疗规范，对胃癌、结肠癌、宫颈癌、肺癌等10个病种实施临床路径管理，有效地规范了肿瘤诊治，提高了医疗质量和效率。放大会诊中心优势，在原有多学科专家免费为病人会诊的基础上，规定特殊手术必须会诊，定期组织对常见肿瘤进行专项联合检查。全年利用会诊中心平台会诊危重病人。开展“三好一满意”系列活动之“满意在会诊、满意在医技”现场交流会。推行安全巡查与医疗预警报告制度，杜绝安全隐患。规定各科室严密关注病重病危、发生严重并发症、有纠纷苗头、二次手术、有心理障碍等情况的患者，并在第一时

间填写医疗预警报告单，上报医务科备案。医务科每日安排一人值班，深入病区一线，发现安全隐患，加强与临床一线的沟通。每日安全巡查制度实施以来，成功对多例疑难、复杂病例、手术进行了沟通，化解了安全隐患。根据安全目标评审细则的要求，2012年6月对我院《危急值报告制度》进行了修订，充实了相关内容，修订后的制度包含了危急值的定义、报告目的、报告程序和登记制度、质控、危机值的报告范围，新增了心电图、影像科的危急值，进一步保障了患者安全。目前全院临床科室、医技科室、医务部门针对危急值能够进行及时有效的沟通，确保患者得到及时有效的治疗。以升级电子病历系统为契机，加强质量安全监控。进行时限节点质控，如8小时内完成首次病程录、24小时内完成入院录、6小时完成抢救记录等，有效加强运行病历时效性；制订并审核了近200个病历模板，规范了病历书写的基本要求，提高了病历书写质量，在省卫生厅“病历处方质量及三合理”专项检查中，病案甲级率达到100%；在新电子病历系统中创新性增加了医疗安全监控模块；新增手术安全监控，对高龄、二次手术、特殊患者等进行术前监控；新增危急值安全监控，避免因处理延时导致的医疗差错；新增抗菌素使用监控，对抗菌素使用不合理的治疗组及时干预；新增住院费用实时监控，对不合理用药、不合理检查、不合理治疗及时进行监管。严格执行手术病人安全核查制度，根据实践经验及科内实际制订“麻醉手术安全检查流程”并严格贯彻落实; 建立并完善麻醉科每日质控制度, 每日晨会进行质控交班，做到无缝链接,麻醉科坚持每日质控制度；完善麻醉前访视病人制度，术前认

功能安全技术与应用知识讲座

功能安全技术与应用知识讲座功能安全的概念源于国际电工委员会的一个标准——IEC61508。该标准的全称是：《E／E／PE安全相关系统的功能安全》。该标准由7个分标准构成，共有700页的篇幅，分别是： 《IEC61508.1整体安全生命周期》； 《IEC61508.2 E／E／PE安全相关系统的安全生命周期》； 《IEC61508.3安全相关软件的安全生命周期》； 《IEC61508.4术语和概念》； 《IEC61508.5确定安全完整性的方法示例》； 《IEC61508.6 IEC61508，2和IEC61508.3的应用指南》；

《IEC61508.7技术和措施概览》。 其中前4个分标准是规范性文件，后3个是信息性文件。标准一经发布，就引起了全社会的广泛关注。由于该标准提炼了不同行业 安全工作的经验，并总结出一套基本的思想方法，因此在实践中得 到了很好的应用。目前国际上已基本形成了以功能安全为思路基础的，包括风险分析、基础安全产品生产、安全产品认证、安全集成、安全评估等在内的安全保障产业链。国际电工委员会也将这套标准 作为IEC的基础标准。 为说明功能安全的理念，首先必须理解工业技术界安全的概念，及其理念变迁。 根据传统词典解释，“安”的含义是：平静，稳定，如安定、 安心、安宁、安稳、安闲等；对生活、工作等感觉满足合适；没有 危险，不受威胁；做动词，有使得平静、安定（多指心情）的含义，如安民、安慰、安抚。“全”的含义是：完备，齐备，完整，不缺少，如齐全、完全；整个、遍，全部；做动词有使得不受损伤，保 全的含义。

“安全”的基本解释是：没有危险；不受威胁；不出事故。从传统的理念上看，安全是一个美好而绝对的境界，表现出人们对这种境界的追求。但现实中的绝对安全是不存在的，以绝对安全为目标是不现实的。但这并不意味着放弃安全工作，而是将安全工作的目标确定在一个相对安全的点上。为此，工业技术界为安全作出一个全新的定义，即：安全是不存在不可接受的风险。 这个定义有两个划时代的意义：一是把安全从一个绝对的概念转变为一个相对的概念，在这个概念中，安全不再是一个高不可攀的绝对目标，而是风险可接受即是安全。从此，安全成为了有现实目标的工作。此处引入了一个概念——可容忍风险（tolerable risk），根据当今社会的水准，即在给定的范围内能够接受的风险。在这个概念的引导下，安全工作的全部内涵就是将风险控制在可容忍的风险以内。 这个定义的另一个划时代的意义就是把对安全的控制转变为对风险的控制。此处引入了另一个概念——风险（risk），即：出现伤害的概率及该伤害严重性的组合。以这一概念为引导，安全工作产生了两种方式，一种是降低伤害的概率；另一种是降低伤害的严重程度。此处都含有一个伤害（harm）的概念，即：对人体健康的损害或损伤，以及对财产或环境的损害。也就是说，安全工作的保护对

实施功能安全标准完善安全评估体系

摘要：从功能安全标准的进展和功能安全评估的现状两个方面进行了论述，强调了实施安全仪表系统功能安全评估的重要意义，并提出了建议。 关键词：安全仪表系统；功能安全；安全完整性等级；评估 安全仪表系统也被称为仪表型安全系统，由3部分（检测部分、执行部分和逻辑部分）组成，其在事故和故障状态下,能够迅速、正确地做出响应，使生产装置在安全模式下停车，避免灾难事故的发生，减少事故给设备、环境和人员造成的危害。 安全仪表系统作为保障生产安全的重要措施，需要在危险发生时正确地执行其安全功能。安全仪表系统的安全功能是指对某个具体的潜在危险事件实行的保护措施。如某管道或容器在出现超高压情况时的泄压或停车属于一个安全功能。而功能安全则是指安全功能本身的安全性，用于描述安全仪表系统执行其安全功能的能力。但由于系统结构、硬件、软件、周围环境及维护等原因，安全仪表系统会不可避免地存在着安全性问题。在石化装置开展安全仪表系统功能安全评估，合理、有效地设置安全仪表系统，实现安全仪表系统的功能安全，保障石化装置安全，已经成为目前迫切需要解决的问题。1功能安全标准的进展 电气、电子、可编程电子安全相关系统功能安全标准 IEC61508，于1998年发布其第1、3、4和第5部分，于2000年发布其第2、6和第7部分；与之对应的过程工业领域分支标准IEC61511于2003年发布。随着IEC61508/61511相继成为国际标准，功能安全，特别是在过程工业领域，已形成完整的理论、技术，以及管理体系，成为工业安全不可或缺的组成部分。 世界上第一个过程工业安全设备分级标准，是德国的DIN 19250 （DIN 19250：控制技术；测量和控制设备应考虑的基本安全原则）／DIN V VDE0801（计算机在安全相关系统中的原理）。功能安全的概念也由此产生。该标准将安全设备分为AK （Anforderungs Klasse ） 1～8个等级。AK 等级越高，意味着制造产品的技术难度越大。AK 代表了为在产品内控制和避免失效所采取的技术措施的多寡。DIN 19250标准于2008年8月废止，并被IEC61508取代。 在美国，ISA 标准委员会SP84发布了过程工业功能安全标准ANSI/ISA-84.01-1996“安全仪表系统在过程工业中的应用”。该标准提供了一个安全完整性等级SIL 的分级标准，将安全完整性等级定义为SIL 1～3级；同时，该标准定义了用于管理安全仪表系统（SIS ）的安全生命李玉明 姜巍巍 （中国石油化工股份有限公司青岛安全工程研究院，山东青岛266071） 收稿日期：2009-01-19 作者简介：李玉明，高级工程师，功能安全工程师（TUV FSEng ），1984年毕业于南京化工学院自动化专业，从事功能安全评估方面的工作。 实施功能安全标准完善安全评估体系 专题介绍 安全健康环境 、和 编辑李文波 ２００９年第９卷第４期 2

功能安全 Functional Safety ISO26262-2 中文翻译

ISO 26262-2 功能安全管理 译者：逯建枫 图1 ISO26262概览 1 范围 ISO26262适用于包含有一个或多个电子电气系统的安全相关系统，且该系统安装于车辆最大总质量为3500kg的一系列乘用车车型上。ISO26262不适用于特殊用途车辆（比如残疾人专用车辆）中的特殊电子电气系统。 在ISO26262发布日期之前已发布生产的、或已在开发过程中的系统及其零部件，不受此标准约束。在对ISO26262发布前生产的系统及其零部件进行开发或更改时，只需要使得更改的部分符合ISO26262的要求即可。 ISO26262阐述了E/E安全相关系统故障或系统相互作用故障可能导致的危害。ISO26262不涉及电击、火灾、烟雾、热量、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关危害，除非以上这些危害是由于E/E安全相关系统故障直接导致的。 ISO26262不涉及E/E系统的名义性能，尽管这些系统（例如主动和被动安全系统、制动系统、自适应巡航系统）有专门的性能标准。

ISO26262-2部分规定了汽车应用的功能安全管理要求，包括： -相关组织的项目独立要求（全面安全管理），以及 -与安全生命周期的管理活动有关的具体项目要求（即概念阶段、产品开发期间以及生产发布后的管理）。 2 相关标准 略 3 术语、定义和缩略语 见ISO26262-1部分。 4 合规性要求 4.1 一般化要求 若声称符合ISO26262要求时，应当遵守每项要求，除非有以下其中一项： a)计划按照ISO26262-2对安全活动进行裁剪，发现该要求不适用，或者 b)有缘由表明，不合规是可以接受的，且该缘由经评估符合ISO26262-2。 标记为“注释”或“示例”的信息仅用于指导理解或澄清相关要求，不应理解为要求本身或完整需求或详细需求。 安全活动的结果是以工作产品的形式输出的。“先决条件”是指作为前一阶段工作产品提供的信息。考虑到某条款的某些需求是ASIL依赖的或定制的，某些工作产品可能不需要作为先决条件。 “进一步的支持信息”是可以考虑的信息，但在某些情况下，ISO 26262不要求该信息作为前一阶段的工作产品，并且可以由非功能安全人员或组织外部人员提供。 4.2 表格释义 根据上下文信息，表格可能是规范性的或信息性的。表中列出的不同方法，有助于将置信度提升到符合相应要求的水平。表中每个方法都是： a)连续条目（用最左边列中的序列号标记，例如1、2、3），或 b)一个可选条目（用数字和最左边一列中的字母标记，例如2a、2b、2c）。 对于连续条目，应按照ASIL的建议，考虑使用所有方法。如果要采用其他方法，应给出满足相应要求的理由。 对于替代条目，要根据ASIL的要求，采用适当的方法组合；至于表中是否有列出这些方法则无关紧要。若列出的这些方法的ASIL等级不相同，那么应当优先选择等级较高的方法。且要给出所选方法组合符合相应要求的理由。

“ 功能安全产品实现技术“系列讲座 第2讲 功能安全与安全相关产品

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.7July 2013 修改稿收到日期:2013-05-14三 作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究三 功能安全产品实现技术”系列讲座第2讲　功能安全与安全相关产品 Chapter Ⅱ　Functional Safety and Safety?related Products 谢亚莲1,2 (上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233) 摘　要:介绍了引入功能安全的原因和功能安全的目的,以及危险二风险二安全功能二安全完整性和安全相关系统之间的内在关联三通过一个安全相关系统的实例,给出了几类安全相关产品确定安全功能和设定安全完整性目标值的方法;同时指出了执行机构和阀的特殊性,并针对这种特殊性,引入了部分行程测试这一解决方法三关键词:功能安全　危险　风险　安全功能　安全完整性等级中图分类号:TP202 文献标志码:A Abstract :The reasons for introducing functional safety and the purposes of functional safety ,as well as the inherent relationship among hazards ,risks ,safety function ,safety integrity ,and safety?related system are described.With a safety related system as practical example ,the methods of determining safety functions and setting target values of safety integrity for several types of safety related products are given.In addition ,the particularities of the actuator and valve are pointed out ,and in accordance with these particularities ,the solution of partial stroke test is introduced. Keywords :Functional safety　Hazard　Risk　Safety function　Safety integrity level 0　引言 IEC 61508(GB /T 20438)是完整的二系统性的关于 电气/电子/可编程电子安全相关系统的功能安全的基础标准;以基于风险的方式确定E /E /PE 安全相关系统的安全要求规范;采用整体安全生命周期模型作为技术框架,系统地论述了为保证E /E /PE 安全相关系统的功能安全所需进行的活动三 本文通过对危险二风险二安全功能二安全完整性二安全相关系统二安全相关产品之间的内在关联的介绍,有助于大家了解以下几个概念,即安全相关产品为什么要具有这样的安全功能,并达到这样的安全完整性与安全完整性等级三 1　功能安全 功能安全,首先是安全的概念,所谓安全就是不存在不可接受的风险,这种风险是指由危险的发生而造 成的对人身健康的伤害二财产的损失和环境的破坏三功能安全是属于受控装置(equipments under control,EUC)和EUC 控制系统的整体安全的一部分三用于避免使在爆炸气体中的设备成为潜在点燃源的安全装置,如处在爆炸气体中的笼型转子,当转子的温度超过某一限值,将会引起气体爆炸三要限制笼型转子的温升,采用一个依赖于电流的安全装置,即将测量转子的电流作为输入信号,当电流超过某一限定值,采取措施切断笼型转子的供电电源,从而防止爆炸危险的发生三这属于功能安全三采用风扇抽风强制降温的方式,也属于安全的一个例子,但它不能保证防止危险的发生,不属于功能安全三 由于EUC 和EUC 控制系统潜在的危险而导致风险的存在,从而引出了对功能安全的需求三功能安全的起因是危险和风险,功能安全的目的是将风险降低到可接受的范围内,功能安全的实现是通过电气/电子/可编程安全相关系统(简称E /E /PE 安全相关系统)二其他技术安全相关系统和外部风险降低设施正确执行其功能三 功能安全的目的示意图如图1所示三 2 9功能安全与安全相关产品　谢亚莲

软件安全风险评估

1概述 1.1安全评估目的 随着信息化的发展，政府部门、金融机构、企事业单位等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。对信息系统软件进行安全测评，综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果，对其软件系统安全要求符合性和安全保障能力作出综合评价，提出相关改进建议，并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。 根据最新的统计结果，超过70%的安全漏洞出现在应用层而不是网络层。而且不只发生在操作系统或者web浏览器，而发生在各种应用程序中-特别是关键的业务系统中。因此，有必要针对xxx系统应用软件进行安全风险评估，根据评估结果，预先采取防范措施，预防或缓解各种可能出现的信息数据安全风险。 安全评估要求 XXXXXXXX 软件安全评估具体需求 安全评估指导原则 软件安全风险评估作为一项目标明确的项目，应分为以下五个阶段，每个阶段有不同的任务需要完成。 1、启动和范围确定：在安全相关软件的合同或任务书中应提出软件安全性分析的范围和要求。实施方明确责任，管理者检查必备的资源（包括人员、技术、基础设施和时间安排），确保软件安全性分析的开展； 2、策划：软件安全性分析管理者应制定安全性分析计划，该计划可作为所属软件过程或活动的计划的一部分。 3、执行和控制：管理者应监控由软件安全性分析计划规定的任务的执行。管理者应控制安全性分析进展并对发现的问题进行调查、分析和解决（解决方案有可能导致计划变更）。 4、评审和评价：管理者应对安全性分析及其输出的软件产品进行评价，以便使软件安全性分析达到目标，完成计划。 5、结束：管理者应根据合同或任务书中的准则，确定各项软件安全性分析任务是否完成，并核查软件安全性分析中产生的产品和记录是否完整。 安全评估主要任务 根据安全评估指导原则，为尽量发现系统的安全漏洞，提高系统的安全标准，在具体的软件安全评估过程中，应该包含但不限于以下七项任务： 软件需求安全性分析 需要对分配给软件的系统级安全性需求进行分析，规定软件的安全性需求，保证规定必要的软件安全功能和软件安全完整性。

功能安全技术讲座第10讲功能安全的管理

功能安全技术讲座 ［编者按］　本刊２００７年在“安全控制技术”栏目安排了六讲功能安全技术讲座，概要介绍了功能安全的基本概念、方法与技术，得到广大读者的广泛关注与积极回应。２００８年，该讲座还将继续进行，针对读者关心、与功能安全相关的几个关键问题，进行更详细的技术介绍。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。 第十讲　功能安全的管理 冯晓升 （机械工业仪器仪表综合技术经济研究所，北京市 １０００５５）Feng Xiaosheng (Instrumentation Technology & Economy Institute, Beijing 100055) Chapter 10: Management for Functional safety Abstract:Management is an indispensable means to achieve safety and is an important factor of impacting system failure.Functional safety management has its unique way of thinking and throughout the whole life cycle of safety at all stages.Key words: Management Functional Safety 【摘 要】【关键词】管理作为影响系统失效的重要因素，是达到安全必不可少的手段。功能安全管理贯穿于整体安全 生命周期的所有阶段之中，有其独到的思想方法。 管理 功能安全 １ 随机硬件失效和系统失效 功能安全作为一种保障安全的思想方法，近几年已经被广泛了解和应用。有大量的文章从不同的角度论述功能安全，但大多都是从技术方面来考虑问题。其实，功能安全的最殊胜之处是将可以精确计算的硬件随机失效和难以精确定量分析的系统失效结合考虑并规划为一种半定量化的方法。所以功能安全的管理作为影响系统失效的重要因素之一，是达到安全必不可少的手段。为能正确理解这个问题，先将随机硬件失效和系统失效这两个概念介绍一下。 首先介绍随机硬件失效（ｒａｎｄｏｍ　ｈａｒｄｗａｒｅｆａｉｌｕｒｅ），随机硬件失效是在硬件中，由于一种或几种机能退化可能产生的，按随机时间出现的失效。既在各种部件中，存在以不同速率发生的许多机器退化，在这些部件工作了一段不同的时间之后，这些机能可 使制造公差引起部件发生故障，从而使包含许多部件的设备将以可预见的速率，但在不可预见的时间（即随机时间）发生失效。 再介绍一下系统失效（Ｓｙｓｔｅｍａｔｉｃ　ｆａｉｌｕｒｅ），系统失效是一种原因确定的失效，只有对设计或制造过程、操作规程、文档或其它相关因素进行修改后，才有可能排除这种失效。 对于系统失效来说，仅正确维护而不加修改，无法排除失效原因。 而且通过模拟失效原因可以导致系统失效。 在下列各条中以人为错误为原因引起的系统失效的例子有： ——安全要求规范： ——硬件的设计、制造、安装、操作；——软件的设计和实现等。

安全仪表系统SIS的SIL评估

安全仪表系统(SIS)的SIL评估 摘要: 主要论述安全仪表系统及进行SIL评估的必要性,并作了简单的可靠性计算,随着安全仪表系统工程的发展,在安全仪表系统的设计过程中,对安全仪表系统的SIL等级进行定量分析将是重要的。 1 引言 随着石油、化工装置的经济规模日趋大型化,生产装置的密集程度越来越高,对操作、控制及安全的要求也越来越严格。石化装置的产品一般都属于易燃、易爆或有毒介质,生产过程稍有闪失就会酿成灾难性的事故,造成生产、设备、人员等方面的重大损失。作为过程工业安全的重要保障,确保过程工业安全仪表系统本身的可靠性对于过程工业的安全具有重要意义。 2 安全仪表系统 安全仪表系统(Safety instrumented systems,SIS)是一种自动安全保护系统,它是保证正常生产和人身、设备安全的必不可少的措施,它已发展成为工业自动化的重要组成部分。在过程工业中,安全仪表系统的安全性对于事故的影响十分巨大,由于过程工业中的安全事故通常会造成人员伤亡和巨额财产损失,因此开展过程工业安全仪表系统安全评定对于确保过程工业安全具有重要意义。统计资料表明,过程工业中,由于对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不恰当所造成的安全事故在全部事故中所占的比重最大。安全仪表系统设计不当,一种可能的后果是该跳车时不跳,造成

拒动作;另一种可能的后果是不该跳车时跳车,造成误动作。拒动作会造成严重甚至灾难性的后果,误动作的直接后果是装置停车,造成巨额的经济损失。 根据IEC61511中的定义,安全仪表系统是由传感器、逻辑控制器、执行器组成的,能够行使一项或多项安全仪表功能(Safety instrumented function,SIF)的系统。每一个安全仪表功能针对特定的风险对生产过程进行保护[1]。图1为一典型的安全仪表功能,它的功能是为了防止压力容器V100中压力过高而发生爆炸等危险事故。此SIF由压力变送器、一个逻辑控制器和一个阀门组成,在DCS(Dis-tributed ControlSystem)对于压力控制已经失效的情况下,容器内压力持续升高,达到压力变送器最高(比DCS控制压力预设值更高)的预设值时,压力变送器将其转换成合适的信号传送给逻辑求解器,由逻辑求解器经过运算发出控制指令,关闭阀门,停止对容器内碳氢化合物的供给。这就是一个完整的安全仪表功能。在整个SIF的实现过程中,其中的三个环节中的任何一个失效将导致SIF的失效,对于此例而言,如果SIF失效,那么系统将继续向容器V100中输送碳氢化合物,容器内的压力将继续升高,极有可能造成容器泄漏、爆炸等严重的后果,导致容器损坏、装置停产、人员伤亡等严重损失。所以对安全仪表系统进行完整性评估,定量的可靠性计算是十分重要和有效的途径,以防止各类事故的发生。

第11讲功能安全问答

［编者按］　本刊２００７年在“安全控制技术”栏目安排了六讲功能安全技术讲座，概要介绍了功能安全的基本概念、方法与技术，得到广大读者的广泛关注与积极回应。２００８年，该讲座还将继续进行，针对读者关心、与功能安全相关的几个关键问题，进行更详细的技术介绍。主讲人是机械工业仪器仪表综合技术经济研究所功能安全中心主任史学玲教授。 第十一讲　功能安全问答 史学玲 （机械工业仪器仪表综合技术经济研究所，北京市 １０００５５） Shi Xueling (Instrumentation Technology & Economy Institute, Beijing 100055) Chapter 11: Questions and Answers of Functional Safety 主讲人简介： 史学玲，机械工业仪器仪表综合技术经济研究所副总工程师、功能安全中心主任、教授级高工。近年来主要致力于以ＩＥＣ　６１５０８为基础的功能安全技术研究。主持并完成了国家软科学研究项目“利用功能安全标准保障安全的政策措施研究”，向政府提出了多行业协同行动的用功能安全标准保障安全的国家执行方案和政策措施建议。是等同采用ＩＥＣ　６１５１１的中国国家标准起草工作组专家成员。在多份杂志及学术期刊上发表了多篇功能安全的论文，对功能安全标准及标准实施认证相关的技术、法律、政策等问题有深入研究。 引言 自２００７年４月以来，在已经举办的八期“功能安全技术与应用培训班”上，我们结识了来自石油、化工、机械、铁路、医疗设备等领域的２００多名安全控制专家，这些专家经常会与我们就一些问题展开讨论。在此期讲座中，列出几个经常被提出讨论的问题与讨论结果，以功能安全问答的方式，展示给读者。 问：标准要求安全仪表设备必须提供每一种失效模式下的失效率数据，用什么方法可以确定仪表的失效率与失效模式？ 答：可以采用ＦＭＥＤＡ（失效模式、影响及诊断分 析）方法。ＦＭＥＤＡ是ＭＩＬ　Ｓｔｄ１６２９Ａ（ＦＭＥＡ，失效模式及影响分析）的扩展，用于在器件级分析失效率与失效模式、确定哪种失效导致安全情况、哪种失效导致危险情况。与ＦＭＥＡ相比，ＦＭＥＤＡ增加了诊断分析。通过ＦＭＥＤＡ，可以预知哪种危险失效会被诊断并导向安全。因此，通过ＦＭＥＤＡ可以获得详细的失效率数据和安全失效分数，但需要由有资格的安全工程师主导进行分析。 问：我的产品通过ＦＭＥＤＡ分析，数据达到了ＳＩＬ３要求，我声明我的产品是ＳＩＬ（安全完整性等级）３级的设备，为什么有人会提出异议？ 安全控制技术

信息安全评估标准简介

信息安全产品评估标准综述 全国信息安全标准化技术委员会安全评估标准组崔书昆 信息安全产品，广义地是指具备安全功能（保密性、完整性、可用性、可鉴别性与不可否认性）的信息通信技术（ICT）产品，狭义地是指具备上述功能的专用信息通信技术产品。这些产品可能是硬件、固件和软件，也可能是软、固、硬件的结合。 一、国外信息安全产品评估标准的发展 以美国为首的西方发达国家和前苏联及其盟国，早在20世纪50年代即着手开发用于政府和军队的信息安全产品。到20世纪末，美国信息安全产品产值已达500亿美元。 随着产品研发，有关信息安全产品评估标准的制定也相应地开展起来。 （一）国外信息安全产品评估标准的演变 国际上信息安全产品检测评估标准的发展大体上经历了三个阶段： 1.本土化阶段 1983年，美国国防部率先推出了《可信计算机系统评估准则》（TCSEC），该标准事实上成了美国国家信息安全评估标准，对世界各国也产生了广泛影响。在1990年前后，英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准，如加拿大的《可信计算机产品评估准则》（CTCPEC）等。在欧洲影响下，美国1991年制定了一个《联邦（最低安全要求）评估准则》（FC），但由于其不完备性，未能推开。 2.多国化阶段 由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成，单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求，于是多国共同制定统一的信息安全产品评估标准被提了出来。 1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》（ITSEC），并在事实上成为欧盟各国使用的共同评估标准。这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全产品技术与市场的主导权，美国在欧洲四国出台ITSEC之后，立即倡议欧美六国七方（即英、