必維07BV功能安全工程師課程for展會(huì)（必維）

?-CopyrightBureauVeritas鄭威

功能安全產(chǎn)品經(jīng)理BV功能安全專家(1-173V5J5)TUV功能安全工程師(2631/10)

功能安全的來龍去脈介紹

我們是誰?必維國際檢驗(yàn)集團(tuán)鄭威

BV功能安全產(chǎn)品經(jīng)理BV授權(quán)功能安全專家和發(fā)證授權(quán)人（1-173V5J5），TUV功能安全工程師（2631/10）。等同采用IEC61508的中國國家標(biāo)準(zhǔn)起草工作組專家成員。

電話:+862123190132，+8618017501711EMAIL:Andy.zheng@

必維國際檢驗(yàn)集團(tuán)發(fā)展歷史180年深厚歷史積淀，構(gòu)筑卓越服務(wù)品牌工業(yè)與設(shè)施澳大利亞19101929198419881995199820022004Wendel全部控股必維國際檢驗(yàn)集團(tuán)船級(jí)社工業(yè)服務(wù)建筑服務(wù)政府服務(wù)

與國際貿(mào)易消費(fèi)品服務(wù)建立全球HSE

業(yè)務(wù)平臺(tái)Wendel首次投資必維國際檢驗(yàn)集團(tuán)首次公開發(fā)行IPO認(rèn)證服務(wù)20071828消費(fèi)品美國與中國開展亞洲與東歐業(yè)務(wù)工業(yè)與設(shè)施美國工業(yè)與設(shè)施德國199320012006開展非洲業(yè)務(wù)工業(yè)與設(shè)施中國工業(yè)與設(shè)施英國1996在法國并購CEP2008采礦平臺(tái)2010大宗商品平臺(tái)2012華夏監(jiān)理足跡遍布全球非洲、中東、西歐

9,000

260亞太

23,000

410歐洲

14,400

400美洲

20,100

33066,500名員工1,400個(gè)辦公室和實(shí)驗(yàn)室

遍布全球140個(gè)國家

RAMS部門業(yè)務(wù)組織&交付文件方法市場可用性分析風(fēng)險(xiǎn)分析功能安全分析SIL認(rèn)證Oil&GasNuclearProcess(water…)AutomotiveMachineInfrastructureDefenseSmartGridsOil&GasProcess(water…)AutomotiveDefenseSmartGridsOil&GasNuclearProcess(water…)AutomotiveMachineInfrastructureDefenseOil&GasNuclearAutomotiveMachineInfrastructureDefenseRiskanalysistoolsTrainingFunctionnalAnalysisPreliminaryRiskAssessmentHAZOP/LOPASILAllocation/SILReviewFMEDAFaultTreeAnalysisEventTreeAnalysisFunctionnalAnalysisFaultTreeAnalysisAvailabilityCalculationPetriNets/MarkovStandardsTrainingQualiSILTrainingTechnicalAssistance/Standardapplicationcoaching/support:-IEC61508-IEC61511-ISO26262-ISO13849/25119/62061-RCC-E-…Assessment/auditofcompliancyvsfollowingstandards:-IEC61508-IEC61511-ISO26262-ISO13849/25119/62061-RCC-E-HIPSStandards(on-shore,off-shoreorsubsea)-…DocumentationassessmentAssessmentreportSILCertificateforE/E/PEsystemsSILCapabilitycertificatesforsystemsbasedonothertechno(mecanical…)AvailabilityreportCriticalequipmentsidentificationImprovmentaxisCost/BenefitAnalysisChairingandScribingofRiskAnalysisRiskAnalysisreportProjectDocumentation(Safetyplan…)Gapanalysis課程內(nèi)容模塊：1功能安全是什么?2功能安全涉及的基本概念模塊1功能安全是什么?模塊主要內(nèi)容：功能安全定義功能安全背景功能安全應(yīng)用必維能力1.1功能安全是什么?–安全是什么?ISO/IECguide51安全定義：沒有不可接受的風(fēng)險(xiǎn)。1.1功能安全是什么?定義IEC61508中，

整體安全中與EUC和EUC控制系統(tǒng)相關(guān)的部分，它取決于E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施正確執(zhí)行其功能。IEC61511definesas“partoftheoverallsafetyrelatingtotheprocessandtheBPCSwhichdependsonthecorrectfunctioningoftheSISandotherprotectionlayers”Wikipedia:Functionalsafetyisthepartoftheoverallsafetyofasystemorpieceofequipmentthatdependsonthesystemorequipmentoperatingcorrectlyinresponsetoitsinputs,includingthesafemanagementoflikelyoperatorerrors,hardwarefailuresandenvironmentalchanges.1.1功能安全是什么?SIL:IEC61508/IEC61511標(biāo)準(zhǔn)是用來幫助使用者達(dá)到合理的風(fēng)險(xiǎn)降低。因此，引入了SIL概念：

SafetyIntegrityLevelSIL:是什么?定性的技術(shù)和方法

定量的等級(jí)數(shù)據(jù)

4個(gè)級(jí)別:1-4SIL:不是什么?僅僅計(jì)算失效率…1.2功能安全背景事故告訴我們什么?1984年12月3日凌晨，印度中央邦的博帕爾市的美國聯(lián)合碳化物屬下的聯(lián)合碳化物（印度）有限公司設(shè)于貧民區(qū)附近一所農(nóng)藥廠發(fā)生氰化物泄漏，引發(fā)了嚴(yán)重的后果。大災(zāi)難造成了2.5萬人直接致死，55萬人間接致死，另外有20多萬人永久殘廢的人間慘劇。異氰酸甲酯（MIC），劇毒氣體。這種氣體只要有極少量短時(shí)間停留在空氣中，就會(huì)使人感到眼睛疼痛，若濃度稍大，就會(huì)使人窒息。1.2功能安全背景第一個(gè)基于安全相關(guān)的設(shè)備的微處理器Y2000認(rèn)證‘64‘75‘81‘86意大利－德國的輸油管線的電子保護(hù)系統(tǒng)通過審批“微處理器的安全技術(shù)”出版‘89‘92‘93‘00Security‘95‘98‘10組織及個(gè)人認(rèn)證工廠認(rèn)證?歐洲用于測試和認(rèn)證機(jī)構(gòu)的工業(yè)電子元器件安全及質(zhì)量認(rèn)證的測試計(jì)劃‘99面向過程工業(yè)及機(jī)械工業(yè)的分布式安全相關(guān)的PES的硬件和軟件的認(rèn)證IEC61508發(fā)布用于大型安裝的動(dòng)態(tài)的、故障安全的硬件系統(tǒng)IEC61511發(fā)布‘03民用及核動(dòng)力發(fā)電站大型DCS軟件質(zhì)量控制鐵路設(shè)備及信息安全的國際認(rèn)證計(jì)劃1.2功能安全背景在役裝置新建裝置

國家安全生產(chǎn)監(jiān)督管理總局第116號(hào)令1.3功能安全應(yīng)用IEC61508IEC61511過程工業(yè)IEC61326-3-2電氣設(shè)備IEC62061ISO13849-1機(jī)械EN50126/EN50128鐵路應(yīng)用IEC61513核電廠IEC61800-5-2可調(diào)速的電動(dòng)設(shè)備IEC26262車輛軟件IEC61784-3測量和控制數(shù)字?jǐn)?shù)據(jù)通信IEC60335家用和類似用途電器IEC60601醫(yī)療電氣設(shè)備1.3功能安全應(yīng)用InSIS:火災(zāi)及氣體檢測系統(tǒng)F&G：FireandGasSystems透平壓縮機(jī)安全保護(hù)主要是透平壓縮機(jī)集成控制系統(tǒng)ITCC：IntegratedTurbo&CompressorControlSystems高壓保護(hù)系統(tǒng)HIPPS:HighIntegrityPressureProtectionSystem緊急停車系統(tǒng)ESD:EmergencyShutDownsystem燃燒管理系統(tǒng)BMS:BurnerManagementSystem汽機(jī)保護(hù)緊急遮斷系統(tǒng)ETS：EmergencyTripSystem汽輪機(jī)數(shù)字電液控制系統(tǒng)DEH：DigitalElectro-HydraulicControlSystem1.4必維能力介紹2012年8月，必維獲得COFRAC關(guān)于SIL認(rèn)證（IEC61508）的認(rèn)可(NFENISO/CEI17065)1.4必維能力介紹證書模板1.4必維能力介紹法國認(rèn)證委員會(huì)（COFRAC）已簽署加入了國際認(rèn)可論壇（IAF–InternationalAccreditationForum）互認(rèn)協(xié)議(MLA)UKASCOFRACIAFDAKKSMembersofIAFBureauVeritasCertificationTUVEXIDAAccreditedBodies(IEC61508)SIL&SILCapableCertificates1.4必維能力介紹我們的服務(wù)分析業(yè)務(wù):answerstoareliability,availability,maintainabilityorsafetyproblematicinalmosteveryfields(chemical,mechanical,software,hardware,…)支持/指導(dǎo):SupportintheapplicationofRAMSStandardsortools,globalproblematicanalysis審核:ofproject,oforganization,regardingastandard(publicouprivate)培訓(xùn):genericorspecific,theoricalorpractical專業(yè)知識(shí)：inparticularinelectric/electronicandsoftwarefields一致性評(píng)估，認(rèn)證..1.4必維能力介紹我們的工具：GRIF(RAMSToolbox:Faulttrees,ReliabilityBasedDiagram,PetriNets);ARALIASIMTREE(FaultTreeanalysisandModeling);iTEMTOOLKIT(Reliabilitycalculation);TOPCASED(SysMLModeling);ARTISAN(ATEGO)(SysMLModeling).1.4必維能力介紹認(rèn)證過程第1階段初步審核和評(píng)估規(guī)劃第2階段文檔評(píng)估（根據(jù)IEC61508標(biāo)準(zhǔn)）第1類：功能安全的規(guī)劃和管理，包括系統(tǒng)定義（外部視角），危害分析和風(fēng)險(xiǎn)評(píng)估第2類：硬件、軟件層面的概念和開發(fā)第3類：核查活動(dòng)，安全案例，運(yùn)行和維護(hù)規(guī)劃第4類：驗(yàn)證活動(dòng)第3階段評(píng)估報(bào)告和IEC61508證書1.4必維能力介紹1.4必維能力介紹1.4必維能力介紹

HIPS認(rèn)證

評(píng)估HIPS系統(tǒng)與道達(dá)爾(TOTAL)要求的一致性認(rèn)證–高完整性壓力保護(hù)系統(tǒng)–關(guān)于SIL的要求目標(biāo)

我們的貢獻(xiàn)約50天BV船級(jí)社與當(dāng)?shù)谺V的合作(非洲/韓國/英國)驗(yàn)證及評(píng)價(jià)工程設(shè)計(jì)過程中針對HIPS系統(tǒng)的安全分析：可靠性，可用性和安全性評(píng)估產(chǎn)品的文檔管理體系測試見證證實(shí)安全等級(jí)（SILX）

1.4必維能力介紹

CertificationofProgrammableLogicController評(píng)估安全案例以及所有用于此核潛艇（Barracuda）功能安全相關(guān)的可編程邏輯控制器的文檔。目標(biāo)

我們的貢獻(xiàn)

項(xiàng)目起始時(shí)間:2008-總共約500天補(bǔ)充性的任務(wù):?

軟件

?,培訓(xùn)評(píng)估產(chǎn)品生命周期的架構(gòu)和概念評(píng)估ELTA組成與標(biāo)準(zhǔn)IEC61508的合規(guī)性評(píng)估產(chǎn)品設(shè)計(jì)開發(fā)的過程評(píng)估驗(yàn)證及確認(rèn)過程驗(yàn)證證據(jù)性資料：計(jì)算，軟件要求，等等……認(rèn)證安全功能1.4必維能力介紹

ApplicativeSoftwareCertification評(píng)估安全案例以及所有與潛艇安全舵應(yīng)用性軟件相關(guān)的文件認(rèn)證DCS（DistributedControlSystem）的軟件目標(biāo)

我們的貢獻(xiàn)項(xiàng)目起始時(shí)間:2011–總共約150天補(bǔ)充性任務(wù):培訓(xùn)評(píng)估應(yīng)用軟件評(píng)估施耐德電氣的組織與標(biāo)準(zhǔn)IEC61508的合規(guī)性評(píng)估產(chǎn)品的設(shè)計(jì)開發(fā)過程評(píng)估驗(yàn)證及確認(rèn)過程驗(yàn)證證據(jù)性資料：計(jì)算，軟件要求，等等……1.4必維能力介紹1.4必維能力介紹1.4必維能力介紹模塊2功能安全涉及的基本概念模塊主要內(nèi)容：2.1基本介紹GeneralPresentation2.2概念和術(shù)語BasicConcepts&Vocabulary2.3標(biāo)準(zhǔn)介紹IntroductiontoFunctionalSafetyStandard2.1基本介紹風(fēng)險(xiǎn)分析安全完整性等級(jí)的分配，SIL分級(jí)（安全完整性等級(jí)）整體安全生命周期簡介隨機(jī)硬件失效系統(tǒng)失效（硬件和軟件）2.1基本介紹-IEC61508LifecycleConcept安裝設(shè)計(jì)過程危險(xiǎn)分析安全分配研究與概念312整體范圍定義危險(xiǎn)和風(fēng)險(xiǎn)分析6整體計(jì)劃編制78整體操作和維護(hù)計(jì)劃編制整體安全確認(rèn)計(jì)劃編制實(shí)現(xiàn)(見E/E/PES)安全生命周期9E/E/PES安全相關(guān)系統(tǒng):10實(shí)現(xiàn)安全相關(guān)系統(tǒng):其它技術(shù)11實(shí)現(xiàn)外部風(fēng)險(xiǎn)降低設(shè)施整體安裝和試運(yùn)行計(jì)劃編制整體安裝和試運(yùn)行12安全要求分配54整體安全要求返回適當(dāng)?shù)恼w安全生命周期階段修改或停用停用或處理16操作和維護(hù)整體操作、維護(hù)和修理14整體修改和改型15整體安全確認(rèn)13概念2.1基本介紹-SafetyLifecycle–IEC61511功能安全的管理和功能安全的評(píng)估安全生命周期的結(jié)構(gòu)及規(guī)劃危險(xiǎn)及風(fēng)險(xiǎn)評(píng)估安全功能的分配安全儀表系統(tǒng)的要求規(guī)范其它減少危險(xiǎn)方法的設(shè)計(jì)和開發(fā)安裝、開車及評(píng)估操作及維護(hù)修改再開車安全儀表系統(tǒng)的設(shè)計(jì)和集成認(rèn)證分析階段實(shí)現(xiàn)階段操作階段2.1基本介紹驗(yàn)證就是保證很好的完成了計(jì)劃該做的事情。

通過檢查和提供客觀證據(jù)證實(shí)規(guī)定要求已經(jīng)被滿足

舉個(gè)例子:在程序設(shè)計(jì)的最后階段，我們要驗(yàn)證當(dāng)反應(yīng)釜內(nèi)的液位達(dá)到預(yù)設(shè)高度閾值時(shí)（液位過高），輸送泵會(huì)停止進(jìn)料。確認(rèn)就是保證所期待的功能得到實(shí)現(xiàn)。

通過檢查和提供客觀證據(jù)來證明某一具體預(yù)期用途的特定要求已被滿足

舉個(gè)例子:進(jìn)料泵停止足夠避免液位的持續(xù)升高

2.1基本介紹過程方法

2.1基本介紹隨機(jī)硬件失效:在硬件中，由一種或幾種可能的退化機(jī)理而產(chǎn)生的，在隨機(jī)事件出現(xiàn)的失效。他們可以被在線監(jiān)測方法或周期性測試檢測出來

系統(tǒng)性失效:原因確定的失效，只有對設(shè)計(jì)或制造過程，操作規(guī)程、文檔或者其他相關(guān)因素進(jìn)行修改后，才有可能消除這種失效。

它們是由人為失誤引起的（編程錯(cuò)誤，閾值，等等……),這些失效需要在最終確認(rèn)之前就被檢測識(shí)別出來

舉個(gè)例子：缺少維護(hù)，觸發(fā)閾值的命令延遲，等等。2.1基本介紹標(biāo)準(zhǔn)的目標(biāo):標(biāo)準(zhǔn)IEC61508給使用者提供了降低風(fēng)險(xiǎn)的過程方法。從以下方面，保證對電子/電氣/可編程點(diǎn)電子系統(tǒng)的控制：?減少硬件相關(guān)的隨機(jī)失效?減少與產(chǎn)品生命周期各個(gè)階段相關(guān)的系統(tǒng)失效2.2概念和術(shù)語安全功能針對特定的危險(xiǎn)事件，為實(shí)現(xiàn)或保持EUC的安全狀態(tài)，由E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)的功能。舉一些例子：在要求時(shí)執(zhí)行的功能，作為一種主動(dòng)行動(dòng)以避免危險(xiǎn)狀況采取預(yù)防行為的功能(比如說，組織一個(gè)發(fā)動(dòng)機(jī)發(fā)動(dòng)).2.2概念和術(shù)語–安全系統(tǒng)狀態(tài)系統(tǒng)一般可能會(huì)存在4種狀態(tài)正常安全：沒有要求的情況下，安全功能錯(cuò)誤執(zhí)行危險(xiǎn)：要求的情況下，安全功能不能執(zhí)行中間狀態(tài)：安全功能仍然可以執(zhí)行，盡管有一個(gè)或多個(gè)內(nèi)部失效2.2概念和術(shù)語IEC61511中定義安全儀表系統(tǒng)的概念如下：“instrumentedsystemusedtoimplementoneormoresafetyinstrumentedfunctions.ASISiscomposedofanycombinationofsensor(s),logicsolver(s),andfinalelement(s).”IEC61511Part13.2.722.2概念和術(shù)語IEC61511中安全儀表功能的定義：

“SafetyfunctionwithaspecifiedSILwhichisnecessarytoachievefunctionalsafetyandwhichcanbeeitherasafetyinstrumentedprotectionfunctionorasafetyinstrumentedcontrolfunction.”

IEC61511Part1(3.2.71)Loop116LogicSolverSensorsFinalelements2.2概念和術(shù)語SensorsFinalelementsLoop1Loop2Loop3Loop4LogicSolver12345678Loop5安全儀表系統(tǒng)可以按照安全儀表功能的方式表述：2.2概念和術(shù)語低要求模式或者(不大于每年一次)僅當(dāng)要求時(shí)才執(zhí)行將EUC導(dǎo)入規(guī)定安全狀態(tài)的安全功能，并且要求的頻率不大于每年一次

保護(hù)性系統(tǒng)(exESDsystem緊急停車系統(tǒng))高要求模式

將EUC導(dǎo)入規(guī)定安全狀態(tài)的安全功能僅當(dāng)要求時(shí)才執(zhí)行，并且要求的頻率大于每年一次

連續(xù)控制系統(tǒng)(ex.,燃燒爐的控制系統(tǒng))連續(xù)模式

安全功能將EUC保持在安全狀態(tài)是正常運(yùn)行的一部分

2.2概念和術(shù)語危險(xiǎn)失效:a)在要求時(shí)組織安全功能的執(zhí)行（要求模式）,或?qū)е掳踩δ苁ВㄟB續(xù)模式）以致EUC進(jìn)入危險(xiǎn)或潛在危險(xiǎn)的狀態(tài)，或者

B)降低在要求時(shí)安全功能正確執(zhí)行的概率

安全失效:a)導(dǎo)致安全功能的誤動(dòng)作從而使EUC（或其一部分）進(jìn)入或保持安全狀態(tài)，或

b)增加安全功能的誤動(dòng)作從而使EUC（或其一部分）進(jìn)入或保持安全狀態(tài)的概率

檢測到的失效通過內(nèi)置的在線監(jiān)測方式檢測到的失效，稱為檢測到的失效2.2概念和術(shù)語無關(guān)失效不執(zhí)行安全功能的元器件的失效注意：無關(guān)失效并不影響SFF的計(jì)算無影響失效執(zhí)行安全功能的某個(gè)組件失效但不直接影響安全功能2.2概念和術(shù)語什么是周期性測試?指的是一個(gè)周期性但并不是自動(dòng)的檢測方式人為主導(dǎo)的通常并不是‘內(nèi)置’的舉個(gè)例子，閥門的部分行程測試2.2概念和術(shù)語什么是診斷性測試？沒有人為參與的，經(jīng)常地自動(dòng)地進(jìn)行的在線監(jiān)測方式，稱為診斷性測試通常內(nèi)置于軟件和/或硬件中通常意味著最終失效率的數(shù)值會(huì)比期望的失效率小一個(gè)數(shù)量級(jí)2.2概念和術(shù)語安全失效分?jǐn)?shù)

(SFF)為什么我們需要它？Whydoweneedit?只有PFD還不足以說明安全相關(guān)系統(tǒng)的安全可靠性現(xiàn)在，（電氣）組件的可靠性很好對內(nèi)置的診斷性測試的有效性進(jìn)行測試計(jì)算公式如下:λDU=SFF2.2概念和術(shù)語2.2概念和術(shù)語要求時(shí)危險(xiǎn)失效概率,PFD:?不可用性(按照IEC60050-19