必維07BV功能安全工程師課程for展會（必維）

?-CopyrightBureauVeritas鄭威

功能安全產(chǎn)品經(jīng)理BV功能安全專家(1-173V5J5)TUV功能安全工程師(2631/10)

功能安全的來龍去脈介紹

我們是誰?必維國際檢驗集團鄭威

BV功能安全產(chǎn)品經(jīng)理BV授權功能安全專家和發(fā)證授權人（1-173V5J5），TUV功能安全工程師（2631/10）。等同采用IEC61508的中國國家標準起草工作組專家成員。

電話:+862123190132，+8618017501711EMAIL:Andy.zheng@

必維國際檢驗集團發(fā)展歷史180年深厚歷史積淀，構筑卓越服務品牌工業(yè)與設施澳大利亞19101929198419881995199820022004Wendel全部控股必維國際檢驗集團船級社工業(yè)服務建筑服務政府服務

與國際貿(mào)易消費品服務建立全球HSE

業(yè)務平臺Wendel首次投資必維國際檢驗集團首次公開發(fā)行IPO認證服務20071828消費品美國與中國開展亞洲與東歐業(yè)務工業(yè)與設施美國工業(yè)與設施德國199320012006開展非洲業(yè)務工業(yè)與設施中國工業(yè)與設施英國1996在法國并購CEP2008采礦平臺2010大宗商品平臺2012華夏監(jiān)理足跡遍布全球非洲、中東、西歐

9,000

260亞太

23,000

410歐洲

14,400

400美洲

20,100

33066,500名員工1,400個辦公室和實驗室

遍布全球140個國家

RAMS部門業(yè)務組織&交付文件方法市場可用性分析風險分析功能安全分析SIL認證Oil&GasNuclearProcess(water…)AutomotiveMachineInfrastructureDefenseSmartGridsOil&GasProcess(water…)AutomotiveDefenseSmartGridsOil&GasNuclearProcess(water…)AutomotiveMachineInfrastructureDefenseOil&GasNuclearAutomotiveMachineInfrastructureDefenseRiskanalysistoolsTrainingFunctionnalAnalysisPreliminaryRiskAssessmentHAZOP/LOPASILAllocation/SILReviewFMEDAFaultTreeAnalysisEventTreeAnalysisFunctionnalAnalysisFaultTreeAnalysisAvailabilityCalculationPetriNets/MarkovStandardsTrainingQualiSILTrainingTechnicalAssistance/Standardapplicationcoaching/support:-IEC61508-IEC61511-ISO26262-ISO13849/25119/62061-RCC-E-…Assessment/auditofcompliancyvsfollowingstandards:-IEC61508-IEC61511-ISO26262-ISO13849/25119/62061-RCC-E-HIPSStandards(on-shore,off-shoreorsubsea)-…DocumentationassessmentAssessmentreportSILCertificateforE/E/PEsystemsSILCapabilitycertificatesforsystemsbasedonothertechno(mecanical…)AvailabilityreportCriticalequipmentsidentificationImprovmentaxisCost/BenefitAnalysisChairingandScribingofRiskAnalysisRiskAnalysisreportProjectDocumentation(Safetyplan…)Gapanalysis課程內(nèi)容模塊：1功能安全是什么?2功能安全涉及的基本概念模塊1功能安全是什么?模塊主要內(nèi)容：功能安全定義功能安全背景功能安全應用必維能力1.1功能安全是什么?–安全是什么?ISO/IECguide51安全定義：沒有不可接受的風險。1.1功能安全是什么?定義IEC61508中，

整體安全中與EUC和EUC控制系統(tǒng)相關的部分，它取決于E/E/PE安全相關系統(tǒng)和其他風險降低措施正確執(zhí)行其功能。IEC61511definesas“partoftheoverallsafetyrelatingtotheprocessandtheBPCSwhichdependsonthecorrectfunctioningoftheSISandotherprotectionlayers”Wikipedia:Functionalsafetyisthepartoftheoverallsafetyofasystemorpieceofequipmentthatdependsonthesystemorequipmentoperatingcorrectlyinresponsetoitsinputs,includingthesafemanagementoflikelyoperatorerrors,hardwarefailuresandenvironmentalchanges.1.1功能安全是什么?SIL:IEC61508/IEC61511標準是用來幫助使用者達到合理的風險降低。因此，引入了SIL概念：

SafetyIntegrityLevelSIL:是什么?定性的技術和方法

定量的等級數(shù)據(jù)

4個級別:1-4SIL:不是什么?僅僅計算失效率…1.2功能安全背景事故告訴我們什么?1984年12月3日凌晨，印度中央邦的博帕爾市的美國聯(lián)合碳化物屬下的聯(lián)合碳化物（印度）有限公司設于貧民區(qū)附近一所農(nóng)藥廠發(fā)生氰化物泄漏，引發(fā)了嚴重的后果。大災難造成了2.5萬人直接致死，55萬人間接致死，另外有20多萬人永久殘廢的人間慘劇。異氰酸甲酯（MIC），劇毒氣體。這種氣體只要有極少量短時間停留在空氣中，就會使人感到眼睛疼痛，若濃度稍大，就會使人窒息。1.2功能安全背景第一個基于安全相關的設備的微處理器Y2000認證‘64‘75‘81‘86意大利－德國的輸油管線的電子保護系統(tǒng)通過審批“微處理器的安全技術”出版‘89‘92‘93‘00Security‘95‘98‘10組織及個人認證工廠認證?歐洲用于測試和認證機構的工業(yè)電子元器件安全及質(zhì)量認證的測試計劃‘99面向過程工業(yè)及機械工業(yè)的分布式安全相關的PES的硬件和軟件的認證IEC61508發(fā)布用于大型安裝的動態(tài)的、故障安全的硬件系統(tǒng)IEC61511發(fā)布‘03民用及核動力發(fā)電站大型DCS軟件質(zhì)量控制鐵路設備及信息安全的國際認證計劃1.2功能安全背景在役裝置新建裝置

國家安全生產(chǎn)監(jiān)督管理總局第116號令1.3功能安全應用IEC61508IEC61511過程工業(yè)IEC61326-3-2電氣設備IEC62061ISO13849-1機械EN50126/EN50128鐵路應用IEC61513核電廠IEC61800-5-2可調(diào)速的電動設備IEC26262車輛軟件IEC61784-3測量和控制數(shù)字數(shù)據(jù)通信IEC60335家用和類似用途電器IEC60601醫(yī)療電氣設備1.3功能安全應用InSIS:火災及氣體檢測系統(tǒng)F&G：FireandGasSystems透平壓縮機安全保護主要是透平壓縮機集成控制系統(tǒng)ITCC：IntegratedTurbo&CompressorControlSystems高壓保護系統(tǒng)HIPPS:HighIntegrityPressureProtectionSystem緊急停車系統(tǒng)ESD:EmergencyShutDownsystem燃燒管理系統(tǒng)BMS:BurnerManagementSystem汽機保護緊急遮斷系統(tǒng)ETS：EmergencyTripSystem汽輪機數(shù)字電液控制系統(tǒng)DEH：DigitalElectro-HydraulicControlSystem1.4必維能力介紹2012年8月，必維獲得COFRAC關于SIL認證（IEC61508）的認可(NFENISO/CEI17065)1.4必維能力介紹證書模板1.4必維能力介紹法國認證委員會（COFRAC）已簽署加入了國際認可論壇（IAF–InternationalAccreditationForum）互認協(xié)議(MLA)UKASCOFRACIAFDAKKSMembersofIAFBureauVeritasCertificationTUVEXIDAAccreditedBodies(IEC61508)SIL&SILCapableCertificates1.4必維能力介紹我們的服務分析業(yè)務:answerstoareliability,availability,maintainabilityorsafetyproblematicinalmosteveryfields(chemical,mechanical,software,hardware,…)支持/指導:SupportintheapplicationofRAMSStandardsortools,globalproblematicanalysis審核:ofproject,oforganization,regardingastandard(publicouprivate)培訓:genericorspecific,theoricalorpractical專業(yè)知識：inparticularinelectric/electronicandsoftwarefields一致性評估，認證..1.4必維能力介紹我們的工具：GRIF(RAMSToolbox:Faulttrees,ReliabilityBasedDiagram,PetriNets);ARALIASIMTREE(FaultTreeanalysisandModeling);iTEMTOOLKIT(Reliabilitycalculation);TOPCASED(SysMLModeling);ARTISAN(ATEGO)(SysMLModeling).1.4必維能力介紹認證過程第1階段初步審核和評估規(guī)劃第2階段文檔評估（根據(jù)IEC61508標準）第1類：功能安全的規(guī)劃和管理，包括系統(tǒng)定義（外部視角），危害分析和風險評估第2類：硬件、軟件層面的概念和開發(fā)第3類：核查活動，安全案例，運行和維護規(guī)劃第4類：驗證活動第3階段評估報告和IEC61508證書1.4必維能力介紹1.4必維能力介紹1.4必維能力介紹

HIPS認證

評估HIPS系統(tǒng)與道達爾(TOTAL)要求的一致性認證–高完整性壓力保護系統(tǒng)–關于SIL的要求目標

我們的貢獻約50天BV船級社與當?shù)谺V的合作(非洲/韓國/英國)驗證及評價工程設計過程中針對HIPS系統(tǒng)的安全分析：可靠性，可用性和安全性評估產(chǎn)品的文檔管理體系測試見證證實安全等級（SILX）

1.4必維能力介紹

CertificationofProgrammableLogicController評估安全案例以及所有用于此核潛艇（Barracuda）功能安全相關的可編程邏輯控制器的文檔。目標

我們的貢獻

項目起始時間:2008-總共約500天補充性的任務:?

軟件

?,培訓評估產(chǎn)品生命周期的架構和概念評估ELTA組成與標準IEC61508的合規(guī)性評估產(chǎn)品設計開發(fā)的過程評估驗證及確認過程驗證證據(jù)性資料：計算，軟件要求，等等……認證安全功能1.4必維能力介紹

ApplicativeSoftwareCertification評估安全案例以及所有與潛艇安全舵應用性軟件相關的文件認證DCS（DistributedControlSystem）的軟件目標

我們的貢獻項目起始時間:2011–總共約150天補充性任務:培訓評估應用軟件評估施耐德電氣的組織與標準IEC61508的合規(guī)性評估產(chǎn)品的設計開發(fā)過程評估驗證及確認過程驗證證據(jù)性資料：計算，軟件要求，等等……1.4必維能力介紹1.4必維能力介紹1.4必維能力介紹模塊2功能安全涉及的基本概念模塊主要內(nèi)容：2.1基本介紹GeneralPresentation2.2概念和術語BasicConcepts&Vocabulary2.3標準介紹IntroductiontoFunctionalSafetyStandard2.1基本介紹風險分析安全完整性等級的分配，SIL分級（安全完整性等級）整體安全生命周期簡介隨機硬件失效系統(tǒng)失效（硬件和軟件）2.1基本介紹-IEC61508LifecycleConcept安裝設計過程危險分析安全分配研究與概念312整體范圍定義危險和風險分析6整體計劃編制78整體操作和維護計劃編制整體安全確認計劃編制實現(xiàn)(見E/E/PES)安全生命周期9E/E/PES安全相關系統(tǒng):10實現(xiàn)安全相關系統(tǒng):其它技術11實現(xiàn)外部風險降低設施整體安裝和試運行計劃編制整體安裝和試運行12安全要求分配54整體安全要求返回適當?shù)恼w安全生命周期階段修改或停用停用或處理16操作和維護整體操作、維護和修理14整體修改和改型15整體安全確認13概念2.1基本介紹-SafetyLifecycle–IEC61511功能安全的管理和功能安全的評估安全生命周期的結構及規(guī)劃危險及風險評估安全功能的分配安全儀表系統(tǒng)的要求規(guī)范其它減少危險方法的設計和開發(fā)安裝、開車及評估操作及維護修改再開車安全儀表系統(tǒng)的設計和集成認證分析階段實現(xiàn)階段操作階段2.1基本介紹驗證就是保證很好的完成了計劃該做的事情。

通過檢查和提供客觀證據(jù)證實規(guī)定要求已經(jīng)被滿足

舉個例子:在程序設計的最后階段，我們要驗證當反應釜內(nèi)的液位達到預設高度閾值時（液位過高），輸送泵會停止進料。確認就是保證所期待的功能得到實現(xiàn)。

通過檢查和提供客觀證據(jù)來證明某一具體預期用途的特定要求已被滿足

舉個例子:進料泵停止足夠避免液位的持續(xù)升高

2.1基本介紹過程方法

2.1基本介紹隨機硬件失效:在硬件中，由一種或幾種可能的退化機理而產(chǎn)生的，在隨機事件出現(xiàn)的失效。他們可以被在線監(jiān)測方法或周期性測試檢測出來

系統(tǒng)性失效:原因確定的失效，只有對設計或制造過程，操作規(guī)程、文檔或者其他相關因素進行修改后，才有可能消除這種失效。

它們是由人為失誤引起的（編程錯誤，閾值，等等……),這些失效需要在最終確認之前就被檢測識別出來

舉個例子：缺少維護，觸發(fā)閾值的命令延遲，等等。2.1基本介紹標準的目標:標準IEC61508給使用者提供了降低風險的過程方法。從以下方面，保證對電子/電氣/可編程點電子系統(tǒng)的控制：?減少硬件相關的隨機失效?減少與產(chǎn)品生命周期各個階段相關的系統(tǒng)失效2.2概念和術語安全功能針對特定的危險事件，為實現(xiàn)或保持EUC的安全狀態(tài)，由E/E/PE安全相關系統(tǒng)或其他風險降低措施實現(xiàn)的功能。舉一些例子：在要求時執(zhí)行的功能，作為一種主動行動以避免危險狀況采取預防行為的功能(比如說，組織一個發(fā)動機發(fā)動).2.2概念和術語–安全系統(tǒng)狀態(tài)系統(tǒng)一般可能會存在4種狀態(tài)正常安全：沒有要求的情況下，安全功能錯誤執(zhí)行危險：要求的情況下，安全功能不能執(zhí)行中間狀態(tài)：安全功能仍然可以執(zhí)行，盡管有一個或多個內(nèi)部失效2.2概念和術語IEC61511中定義安全儀表系統(tǒng)的概念如下：“instrumentedsystemusedtoimplementoneormoresafetyinstrumentedfunctions.ASISiscomposedofanycombinationofsensor(s),logicsolver(s),andfinalelement(s).”IEC61511Part13.2.722.2概念和術語IEC61511中安全儀表功能的定義：

“SafetyfunctionwithaspecifiedSILwhichisnecessarytoachievefunctionalsafetyandwhichcanbeeitherasafetyinstrumentedprotectionfunctionorasafetyinstrumentedcontrolfunction.”

IEC61511Part1(3.2.71)Loop116LogicSolverSensorsFinalelements2.2概念和術語SensorsFinalelementsLoop1Loop2Loop3Loop4LogicSolver12345678Loop5安全儀表系統(tǒng)可以按照安全儀表功能的方式表述：2.2概念和術語低要求模式或者(不大于每年一次)僅當要求時才執(zhí)行將EUC導入規(guī)定安全狀態(tài)的安全功能，并且要求的頻率不大于每年一次

保護性系統(tǒng)(exESDsystem緊急停車系統(tǒng))高要求模式

將EUC導入規(guī)定安全狀態(tài)的安全功能僅當要求時才執(zhí)行，并且要求的頻率大于每年一次

連續(xù)控制系統(tǒng)(ex.,燃燒爐的控制系統(tǒng))連續(xù)模式

安全功能將EUC保持在安全狀態(tài)是正常運行的一部分

2.2概念和術語危險失效:a)在要求時組織安全功能的執(zhí)行（要求模式）,或?qū)е掳踩δ苁ВㄟB續(xù)模式）以致EUC進入危險或潛在危險的狀態(tài)，或者

B)降低在要求時安全功能正確執(zhí)行的概率

安全失效:a)導致安全功能的誤動作從而使EUC（或其一部分）進入或保持安全狀態(tài)，或

b)增加安全功能的誤動作從而使EUC（或其一部分）進入或保持安全狀態(tài)的概率

檢測到的失效通過內(nèi)置的在線監(jiān)測方式檢測到的失效，稱為檢測到的失效2.2概念和術語無關失效不執(zhí)行安全功能的元器件的失效注意：無關失效并不影響SFF的計算無影響失效執(zhí)行安全功能的某個組件失效但不直接影響安全功能2.2概念和術語什么是周期性測試?指的是一個周期性但并不是自動的檢測方式人為主導的通常并不是‘內(nèi)置’的舉個例子，閥門的部分行程測試2.2概念和術語什么是診斷性測試？沒有人為參與的，經(jīng)常地自動地進行的在線監(jiān)測方式，稱為診斷性測試通常內(nèi)置于軟件和/或硬件中通常意味著最終失效率的數(shù)值會比期望的失效率小一個數(shù)量級2.2概念和術語安全失效分數(shù)

(SFF)為什么我們需要它？Whydoweneedit?只有PFD還不足以說明安全相關系統(tǒng)的安全可靠性現(xiàn)在，（電氣）組件的可靠性很好對內(nèi)置的診斷性測試的有效性進行測試計算公式如下:λDU=SFF2.2概念和術語2.2概念和術語要求時危險失效概率,PFD:?不可用性(按照IEC60050-19