1、书 书 书犐 犆犛 犆犆犛犖 中 华 人 民 共 和 国 国 家 标 准犌犅犜 功能安全应用指南第部分:危害辨识和需求分析犃狆 狆 犾 犻 犮 犪 狋 犻 狅 狀犵 狌 犻 犱 犲狅 犳犳 狌 狀 犮 狋 犻 狅 狀 犪 犾狊 犪 犳 犲 狋 狔犘 犪 狉 狋:犎犪 狕 犪 狉 犱犻 犱 犲 狀 狋 犻 犳 犻 犮 犪 狋 犻 狅 狀犪 狀 犱狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犪 狀 犪 犾 狔 狊 犻 狊 发布 实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布目次前言引言范围规范性引用文件术语和定义缩略语总则 危害辨识和需求分析所处生命周期的阶段
2、 危害辨识和需求分析的基本考虑 危害辨识和需求分析的过程考虑 危害辨识和需求分析的变更考虑 危害辨识和需求分析的文档化考虑危害辨识 危害辨识的一般过程 自然环境在危害辨识过程中的影响分析 法律法规在危害辨识过程中的影响分析 工艺过程在危害辨识过程中的影响分析 受控设备的风险 安全系统的风险 风险记录需求分析参考文献图危害辨识的一般过程表风险记录表示例犌犅犜 前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。本文件是 功能安全应用指南的第部分。 已经发布了以下部分: 第部分:危害辨识和需求分析; 第部分:设计和实现; 第部分:测试验证; 第部分:管理和维护。请注意本文件
3、的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国工业过程测量和控制标准化技术委员会( )归口。本文件起草单位:中国石油集团安全环保技术研究院有限公司、机械工业仪器仪表综合技术经济研究所、国能智深控制技术有限公司、中国软件评测中心(工业和信息化部软件与集成电路促进中心) 、中国石油大学(北京) 。本文件主要起草人:熊文泽、魏振强、刘晓亮、田雨聪、史学玲、郭永振、姜涛、靳江红、张雪、董绍华、孟邹清、张亚彬、王璐、安健、李世斌、罗方伟、刘瑶、朱明露。犌犅犜 引言自 (所有部分)发布以来,电气电子可编程电子系统已经越来越多的应用于国内各个领域的
4、安全控制和安全防护,包括石油、化工、电力、轨道交通、汽车、电梯扶梯等。近年来随着智能制造的兴起,智能化设备(主要由电气电子可编程电子为技术基础)的安全问题逐渐成为一个新的研究方向和焦点,进一步提升了对功能安全技术的需求。 (所有部分)给出了实现功能安全的基本框架和结构,作为等同转化的标准,与国内企业的管理体系和设计思路未能完全切合,加之很多国内工程技术人员都是初次接触功能安全技术,对于功能安全概念一时难以理解,这就造成虽然国际功能安全标准提出了非常好的安全理念和设计措施,但技术人员难以清楚的理解和认识。 (所有部分)发布 多年来,国内一些领先的科研院所和企业已经基于标准要求开展了很多工作,并积
5、累了一定的经验。因此,基于国内目前已有的功能安全评估、功能安全设计、功能安全测试和功能安全管理实践形成本文件,以更好地指导功能安全相关系统的设计、分析、评估和运行维护。 拟制定个部分。 第部分:危害辨识和需求分析。目的在于规定功能安全系统设计初期的危害辨识内容和需求如何产生的方法。 第部分:设计和实现。目的在于规定功能安全系统的软硬件设计和实现方法和实施指南。 第部分:测试验证。目的在于规定功能安全系统在生命周期过程各个阶段的测试导则和测试方法解读。 第部分:管理和维护。目的在于规定功能安全系统管理和维护过程的导则。犌犅犜 功能安全应用指南第部分:危害辨识和需求分析范围本文件提供了功能安全系统
6、应用指南中危害辨识和需求分析指导。本文件适用于功能安全系统开发的概念阶段。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 电气电子可编程电子安全相关系统的功能安全第部分:一般要求 电气电子可编程电子安全相关系统的功能安全第部分:电气电子可编程电子安全相关系统的要求 电气电子可编程电子安全相关系统的功能安全第部分:软件要求 电气电子可编程电子安全相关系统的功能安全第部分:定义和缩略语术语和定义 界定的以及下列术语和定义适用于本文件。 危害辨识犺
7、犪 狕 犪 狉 犱犻 犱 犲 狀 狋 犻 犳 犻 犮 犪 狋 犻 狅 狀受控设备、工艺过程、运行环境及功能安全系统本身中潜在危险的发生风险,通过理论推导和经验总结等方法分辨并标识风险的可接受程度。 需求分析狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犪 狀 犪 犾 狔 狊 犻 狊根据危害辨识( )的结论,制定功能安全系统的安全需求;根据功能安全系统的架构将安全需求分解到组件的过程。 系统相关人员狊 狔 狊 狋 犲犿狉 犲 犾 犪 狋 犲 犱狆 犲 狉 狊 狅 狀 狀 犲 犾在功能安全系统的整个生命周期中,可能与系统发生直接关系的人员。注:包括系统的定义、需求、设计、实施、测试、操作、维护、商务等
8、人员。 运行场景狅 狆 犲 狉 犪 狋 犻 狅 狀狊 犮 犲 狀 犪 狉 犻 狅功能安全系统运行时,相关的自然环境、工艺过程、受控设备以及功能安全系统所组成的集合。这个场景是具象化的,能够通过实体仿真观察研究的。犌犅犜 安全需求狊 犪 犳 犲 狋 狔狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊功能安全系统为了降低风险到可容忍级别,而需要满足的功能安全完整性等级要求。注:安全需求在 中被称之为安全要求,两者具有相同的含义。 功能安全系统犳 狌 狀 犮 狋 犻 狅 狀 犪 犾狊 犪 犳 犲 狋 狔狊 狔 狊 狋 犲犿执行安全相关功能的系统,具有功能安全相关的特性,满足特定的安全完整性等级( ) 。注
9、:这里的系统是一个广义的概念,包含不同的层次,如安全部件、安全设备或安全控制系统等。在实际的工业过程中,功能安全系统可能是一个变送器、继电器、安全可编程序控制器或安全仪表系统。缩略语下列缩略语适用于本文件。:诊断覆盖率( ):电磁兼容性( ) :取通道架构( ):安全失效分数( ) :安全完整性等级( )总则 危害辨识和需求分析所处生命周期的阶段本文件所提供的危害辨识和需求分析是指在功能安全系统研发设计前,基于系统的预期用途和工作环境对系统失效可能造成的危害情况进行充分的辨识,从而获得系统预期要实现的安全功能需求。功能安全系统应用的整体生命周期宜按照 ,功能安全系统生命周期宜按照 ,功能安全系
10、统软件生命周期宜按照 。 危害辨识和需求分析的基本考虑在危害辨识和需求分析时,一般遵循如下的基本通则。 重点关注会导致人员生命和健康受到伤害的危害。 危害辨识需要综合考虑各要素的相互影响,需要系统相关人员共同提出辨识意见,系统相关人员包括:工艺设计人员;现场操作人员;系统开发人员;维修维护人员;商务人员等。 安全需求制定时,需要兼顾系统的基本控制功能。 安全需求不会产生新的危害,并且需要进行迭代分析。 危害辨识和需求分析的过程考虑在危害辨识和需求分析时,需要遵循如下的实施过程:犌犅犜 选择功能安全系统需要运行场景以及需要控制的范围; 收集同类场景已经发生过的危险事件数据,包括已确定的危险事件和
11、导致该危险事件的事件序列; 征询系统相关人员对危险事件的意见和对系统的需求; 记录危害辨识结果,并对不可接受危害,逐一制定安全措施; 分析安全措施的有效性,总结编制安全需求; 征询系统相关人员对安全需求合理性的意见; 安全需求经过审批后作为功能安全系统的开发的依据; 根据系统的架构设计,将安全需求的实现方法分配到每一个子系统或者组件中。 危害辨识和需求分析的变更考虑在危害辨识和需求分析时,需要考虑如下的变更: 变更一般由系统开发人员发起; 需要进行变更影响分析,重点是变更前后运行场景的差异对比; 变更具有足够的合理性,合理的变更具有如下几个特征:所有系统相关人员均不强烈反对此项需求变更,此项需
12、求变更能够获得审批授权签字人的认可,变更有具体的原因,这些原因包括:危害辨识的错误或疏漏,市场竞争原因,现有技术条件无法满足此项需求,需求完全无法被验证等; 变更需要通知所有引用危害辨识记录和安全需求的人员。 危害辨识和需求分析的文档化考虑在危害辨识和需求分析时,需要文档化的内容包括: 运行场景的内容和特征; 危害的特征; 安全需求; 危害与需求的关联关系; 变更影响分析; 变更的审批记录; 发布的审批记录。危害辨识 危害辨识的一般过程危害辨识从分析自然环境和工艺过程开始,到获得风险记录为止,一般过程如图所示。犌犅犜 图危害辨识的一般过程 自然环境在危害辨识过程中的影响分析危害辨识中的自然环境
13、包括:气候、天气、地理、生物环境、人类社会等,对于自然环境的影响,需要从如下方面进行分析: 重大自然灾害影响,如地震、海啸、洪水、飓风、泥石流、雪崩; 轻度自然灾害的影响,如冰雹、暴雨、大风、雷电、太阳活动异常、沙尘暴、雾霾; 气候的影响,如温度、风沙、盐雾、潮湿、日照; 生物活动影响,如动物闯入、飞鸟、昆虫、植物发芽、发霉; 与工艺无关的人类活动影响,如违规闯入、施工、人为破坏电力或通信线路; 公共服务影响,如停水、停电、停气、交通中断、通信中断。 法律法规在危害辨识过程中的影响分析法律法规的影响分析,重点不在于技术层面,而在于组织管理层面,需要从如下方面进行分析: 明文规定的关于工艺、设备
14、、系统的要求; 条文中对于人员生命财产的安全保护规定; 对环境保护的规定; 对伤害程度的定级。 工艺过程在危害辨识过程中的影响分析工艺过程是运行场景存在风险的直接原因,这是生产生活不可避免的环节,为了辨识危害,需要从如下方面进行分析: 原料和产品在运输和存储过程中有毒物质泄漏,易燃易爆品被引燃引爆,意外的接触导致的剧烈化学反应,例如,金属钠与水,长期大量堆放引发的自燃; 高温工艺的温度控制、超温保护、异常热传导; 高压工艺的压力控制、超压保护、压力泄漏; 高速工艺的速度控制、超速保护、速度骤降; 爆炸性环境中的静电火花和电源通断时的电火花; 存在明火的环境中,意外泄漏粉尘或者可燃气体; 设备运
15、行环境的人员所承受的加速度、温度、噪声、氧气浓度及气压等。犌犅犜 受控设备的风险受控设备的风险,需要从如下方面进行辨识: 自然环境、法律法规及工艺过程对受控设备的影响; 老化和腐蚀引起的泄漏、堵塞、断裂; 周边设施坍塌、异动对受控设备的撞击; 错误的现场人员操控,维修维护。 安全系统的风险功能安全系统自身的风险,需要从如下方面进行辨识: 自然环境、法律法规、工艺过程对安全系统的影响; 错误的人为操作,例如,在线更新安全逻辑、长时间旁路; 不正确的维修维护操作,例如,线缆接错、不停车维修; 配置错误,例如,未明确安全状态、联锁触发条件不合理。 风险记录风险记录表示例见表。表风险记录表示例风险描述
16、危险源发生概率后果严重程度是否可检测是否可防御安全措施此处描述风险发生的过程以及可能引发的后果导致危害发生的最终源头,可以简化描述为:自然环境、工艺、受控 设 备、安 全系统极小:次 年很小:次年次 年偶尔:次月次年经常:次周次月频繁:次天次周特大:死亡 人及以上,或经济损失 万元及以上重大:死亡人人或 人以上重伤,或经济损失 万元 万元严重:死亡人人或人人重伤,或经济损失 万元 万元普通:人人重伤,或经济损失 万元 万元轻微:无重伤死亡但造成停产停工,或经济损失 万元以内是否 是否仅描述安全系统相关的安全措施。其他安全措施可记录为“其他措施”需求分析制定安全需求的依据是风险记录的安全措施,制
17、定安全需求至少需要考虑如下因素: 安全需求是针对功能安全系统的要求,需要其他装置完成的安全要求不需要列出; 安全需求宜考虑信息安全,并进行脆弱性分析; 安全需求宜考虑实体防护,例如,机柜等; 每一项对应风险降低的安全需求确定安全完整性等级; 安全需求能够被验证。犌犅犜 系统安全要求规格书可以包括如下的具体内容。 遵守产品标准和安全标准,符合的法律、文化、政策要求。 产品的功能要求,需要考虑区分安全功能和非安全功能,需要对安全需求进行编号,需要描述对操作、维护、启动、重启的要求。 安全完整性等级的要求,所有安全需求中安全完整性等级要求最高的作为整个系统的安全完整性等级要求。 结构方面包括:系统的
18、分类,无法明确描述所有失效模式的系统,定义为类系统;冗余架构,以 的形式描述,是系统的通道数量,是能够让系统进入安全状态的最少通道数量。 运行模式方面,包括:低要求模式,仅当要求时才执行将受控设备导入规定安全状态的安全功能,并且要求的频率不大于每年一次;高要求模式,将受控设备导入规定安全状态的安全功能仅当要求时才执行,并且要求的频率大于每年一次;连续模式,安全功能将受控设备保持在安全状态是正常运行的一部分。 诊断方面,包括:诊断覆盖率()和安全失效分数()的要求,根据安全完整性等级的要求确定;诊断的范围,需要考虑供电、输入回路、输出回路、时钟、通信通道、存储、可编程组件;故障响应时间,任意一个
19、可被系统自诊断发现的故障,从故障发生到系统针对该故障完成响应处理的时间间隔;平均维修时间,故障被发现,到故障被排除的平均时长;自诊断周期,任何一个可被系统自诊断发现的故障,从故障发生到系统发现该故障的最长时间间隔;检验测试间隔,对功能安全系统所有安全功能的有效性进行全面检验测试的间隔时间,这些检验测试以人工检验为主;检验测试要求,如:检验测试前的准备,检测测试项目,检验测试的通过标准,检验测试需要的工具或设施;故障报警要求:报警的方式,报警的持续时间,报警的消除条件。 应用场景,需要规定功能安全系统具体应用的领域和工况环境。 环境方面:安装方式、室内室外、温度、湿度、所需空间、气压海拔、运输及
20、存储。 方面,根据不同的应用现场,参照不同的国家标准或行业标准。 接口方面:输入输出接口、通信接口、人机操作接口,安全相关组件和非安全相关组件的接口。 通信方面:速率、节点数、传输距离及抗干扰能力。 性能方面:响应时间、容量点数规模、扩展性能、防爆性能及防护性能。 安全状态:安全状态时的输出、显示,安全状态与其他状态的切换方面。犌犅犜 参考文献 可编程序控制器第部分:功能安全 石油天然气工业设备可靠性和维修数据的采集与交换 (所有部分)电气电子可编程电子安全相关系统的功能安全 (所有部分)过程工业领域安全仪表系统的功能安全 机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全 : 犌犅犜
浙ICP备2021020529号-1 | 浙B2-20240490 
