功能安全的概念源于国际电工委员会的一个标准——IEC61508。该标准的全称是:《E/E/PE安全相关系统的功能安全》。该标准由7个分标准构成,共有700页的篇幅,分别是:
《IEC61508.1整体安全生命周期》;
《IEC61508.2 E/E/PE安全相关系统的安全生命周期》;
《IEC61508.3安全相关软件的安全生命周期》;
《IEC61508.4术语和概念》;
《IEC61508.5确定安全完整性的方法示例》;
《IEC61508.6 IEC61508,2和IEC61508.3的应用指南》;
《IEC61508.7技术和措施概览》。
其中前4个分标准是规范性文件,后3个是信息性文件。标准一经发布,就引起了全社会的广泛关注。由于该标准提炼了不同行业安全工作的经验,并总结出一套基本的思想方法,因此在实践中得到了很好的应用。目前国际上已基本形成了以功能安全为思路基础的,包括风险分析、基础安全产品生产、安全产品认证、安全集成、安全评估等在内的安全保障产业链。国际电工委员会也将这套标准作为IEC的基础标准。
为说明功能安全的理念,首先必须理解工业技术界安全的概念,及其理念变迁。
根据传统词典解释,“安”的含义是:平静,稳定,如安定、安心、安宁、安稳、安闲等;对生活、工作等感觉满足合适;没有危险,不受威胁;做动词,有使得平静、安定(多指心情)的含义,如安民、安慰、安抚。“全”的含义是:完备,齐备,完整,不缺少,如齐全、完全;整个、遍,全部;做动词有使得不受损伤,保全的含义。
“安全”的基本解释是:没有危险;不受威胁;不出事故。从传统的理念上看,安全是一个美好而绝对的境界,表现出人们对这种境界的追求。但现实中的绝对安全是不存在的,以绝对安全为目标是不现实的。但这并不意味着放弃安全工作,而是将安全工作的目标确定在一个相对安全的点上。为此,工业技术界为安全作出一个全新的定义,即:安全是不存在不可接受的风险。
这个定义有两个划时代的意义:一是把安全从一个绝对的概念转变为一个相对的概念,在这个概念中,安全不再是一个高不可攀的绝对目标,而是风险可接受即是安全。从此,安全成为了有现实目标的工作。此处引入了一个概念——可容忍风险(tolerable risk),根据当今社会的水准,即在给定的范围内能够接受的风险。在这个概念的引导下,安全工作的全部内涵就是将风险控制在可容忍的风险以内。
这个定义的另一个划时代的意义就是把对安全的控制转变为对风险的控制。此处引入了另一个概念——风险(risk),即:出现伤害的概率及该伤害严重性的组合。以这一概念为引导,安全工作产生了两种方式,一种是降低伤害的概率;另一种是降低伤害的严重程度。此处都含有一个伤害(harm)的概念,即:对人体健康的损害或损伤,以及对财产或环境的损害。也就是说,安全工作的保护对象可以是人、环境或财产。当然,再延伸一下,还可以是动物、植物等。不论对象是谁,风险一定要与保护对象连在一起才可以分析。
新的安全概念确立之后,我们就有基础来理解什么是功能安全。
首先看“IEC61508”的定义:功能安全(funetionalsafety),是与EUC(受控设备)和EUC控制系统有关的全部安全的一部分,它取决于E/E/PE安全相关系统和其他风险降低措施功能的正确行使。此处要说明,该定义是基于“E/E/PE安全相关系统的功能安全”这一狭窄领域的,但仍然可以看到功能安全的全貌。首先,什么是全部安全。人类面临的威胁来自很多方面,因此安全也是多方面的。对安全的分类有多种方式,比如以领域分类,像煤矿安全、非煤矿山安全、石油化工安全、建筑施工安全、电力安全、核工业安全等;再比如以危险源分类,像电气安全、机械安全等。为更好地说明功能安全,我们不妨做这样的分类,安全问题可分为内部的问题和外部的问题,对于内部问题,又可分为产品功能硬件随机失效产生的问题和人的错误产生的问题;对于外部问题,可分为自然的威胁(如地震、洪水、雷、雨等),外界其他非故意的侵害(如各种运行的电力设备之间的相互影响等),人的有意侵害(如外国入侵、敌对势力破坏、黑客、小偷、强盗等)。这就是所谓的全部安全。
关于外部安全问题,英语中有一词,叫security,其定义是:对实体而言,从外部考虑,没有不可承受的风险。
对于此词中文的翻译,业界有不同意见,一直用“安全”来翻译。问题是将safety和security都翻译成安全,其词义是不同的,用同一词来表示,显然有不妥之处。目前,部分专家建议将security翻译成“安保”,笔者个人的看法是,就其含义和用法来看,security有外来的对安全产生威胁的含义,同时又有人为故意的对安全产生威胁的含义,如:地震、停电、电磁干扰,都是外部的安全问题,一般不用security来描述其防护,但对于黑客、小偷、强盗等的防护常用security来描述。所以,在没有发现更好的词之前,用“安保”是一个可接受的翻译,这一观点仅供参考。
第二,功能安全是全部安全的一部分。什么是功能呢?人类自从开始生产以后,就产生了人为的产品和服务,随着人类的进步,生产和生活越来越多的依赖于自己生产的产品和服务。每个产品和服务都有其自身的功能,如:电话有通信的功能;笔有写字的功能;衣服有御寒、遮体、装饰等功能;车有运输功能。每个产品或服务为其用户提供的使用特性就是它们的功能。在诸多功能之中,有一些功能是与安全有关的,如:压力容器的功能可以承载内部压力,失效可能造成爆炸;铁路信号系统能够指挥火车按预设规程运行,失效可能会导致撞车;一条输油管线的功能是将油从一个地方输送到另一个地方,失效方式之一是爆裂,另一个失效方式是泄漏,肯定会造成环境污染,还可能会造成人员伤亡。所有的功能都有可能失效,产品或服务与安全有关的功能失效后就会产生安全问题,这也是目前安全生产领域中造成问题最多的环节。
所以,功能安全的定义,就是功能的正确行使。这里包括三重含义:
其一,我们让功能以一个预定的概率实现,比如一旦要求该功能实现时,其失效的概率要小于1/10、1/100、1/1000、1/10000等。也就是说,我们以与安全有关的功能能够实现的概率,来保证安全的实现。
其二,我们让功能的实现时时处于监视之下,当与安全有关的功能一旦丧失时,可及时获得相应信息。
其三,与安全有关的功能一旦丧失时,使其将会导致的伤害事件不发生,或至少降低其严重性。
功能安全虽然在实践中起了很大作用,但仍然有其不适用的方面。功能安全完全适用于内部的安全问题,即:产品功能硬件随机失效产生的问题,以及人的错误产生的问题,这是它的最长项。对于外部问题,即:自然的威胁和外界其他非故意的侵害,功能安全的办法是针对其风险,设置一个降低风险的功能,然后保证功能的正确实施。但外部风险如果超出所设置的降低风险的能力范围,则功能安全的作用将全部或部分丧失,就如一座能抵抗7级地震的房子遇到了8级地震。对于人的有意侵害,功能安全的作用就仅限于对防护设备的保障,就如同在战争中,功能安全仅可保障武器发挥正常功能,战争能否打得赢,就非其能力范围了。