我发现在这个板块上关于功能安全分析的讨论比较少，自己目前正好事这方面的工作，趁着有点时间就写写自己的愚见，跟大家交流一下。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－-
        为了能够让大家更好的理解功能安全分析，先简单说说安全性，再引入功能安全（functional safety）的概念。关于安全的定义，我是这样理解的：在某种状态下，人员伤亡、环境破坏和产品损坏的风险处在广泛可接受的范围之内。通常情况下，我们都是用风险（Risk）来描述安全性的。举一个简单的例子，在某高楼的某扇窗户，由于铰链断裂，从高楼坠落，砸中路过的行人，造成重伤。整个过程中，窗户从高楼坠落是危险事件（hazard），铰链锻炼是危险事件的原因（cause），对行人造成重伤则是后果（severity），这时，我们就可以用危险事件发生的概率和其后果严重程度来描述窗户从高楼坠落的风险（两者相乘），如果窗户从高楼落下的风险大家都能接受，那我们就可以放心挨着高楼行走；如果风险太大，大家接受不了，我们就应该采取一定的措施来降低风险了。 
        风险降低措施一般分为两种，一种是被动安全措施，另一种是主动安全措施。被动安全措施的目的主要是降低后果的严重程度，比如在距离高楼5米的范围内禁止行人靠近，这样能够减少窗户掉下来时受到伤害的人数。而主动安全措施的目的则是降低危险事件发生的概率，比如给窗户的绞链安装一个保护装置，该保护装置能够检测到绞链断裂，并且在铰链断裂后很短时间内将窗户固定在原位置，这中情况下，只有当保护装置失效，且绞链断裂时，危险事件才会发生，其发生概率大大降低。
功能安全就是一种主动安全措施。  
        举上面的例子是想让大家对功能安全有一个比较具体的印象，便于后续理解。
        功能安全主要应用于化工厂、核电厂、火电厂、熔炉和铁路等行业，一般通过大型可编程电子电气系统（SIS、ETS等）来实现。国外几家大型自动化供应商比如ABB、霍尼韦尔、西门子、横河等都有相关产品，我这里简称安全相关系统（safety-related system），而国内则刚刚开始研发。这就意味着，中国那么多自动化工厂和轨道交通，用的全都是国外的安全相关系统（属于大型高新技术密集设备，附加值很高，价格高达千万元），我们给人家送了很多钱。

        功能安全的英文定义来自于IEC61508，标准中的表述为：part of the overall safety relating to the EUC and the EUC control system that depends on the correct functioning of the E/E/PE safety-related systems and other risk reduction measures。这一表述非常晦涩难懂，连培训我们的莱茵TUV的权威专家（德国人）都说标准上功能安全概念的表述“不知所云”，对此，他们给出了一个更便于理解的定义，中文表述如下：安全相关系统，通过其自身具备的安全功能，确保受控对象（EUC）风险在广泛可接受水平之内的能力。在此概念表述中，有两个比较重要的对象——安全相关系统和受控对象。安全相关系统是实施安全功能的主体，比如铰链的保护装置；受控对象则是安全相关系统的保护对象，受控对象是一个广义概念，它可以是一个具体的物体，比如窗户的铰链，也可以是一个过程，比如化工行业中的乙炔合成流程，无论受控对象是什么，它们都具有共同的属性，即对人们有益处同时存在较大风险。因此，为了实现利益最大化，人们利用安全相关系统来降低受控对象的风险，以更安全可靠地获取受控对象的效益，最典型的应用就是石油化工领域（石油易燃易爆）。这时候，再回过头看功能安全的定义，就很简单了——安全相关系统降低EUC风险的能力。

 
        安全相关系统是实现功能安全的系统的统称，能够对控制对象直接操作，在不同的行业有着不同的用处和名称。在石油化工行业，安全相关系统通常是指安全仪表系统（SIS），它能够对整个化工流程进行监控，当出现危险工控时（比如化学反应温度过高），安全仪表系统能够在极短时间（几十毫秒）内关掉控制化工流程的过程控制系统，终止化工进程，避免危险工况进一步导致爆炸、泄露等严重后果的发生。

        在火电行业，安全相关系统则是指紧急跳闸系统（ETS），它是用来监测汽轮机汽轮机的状态，当汽轮机发生危险工况时（汽轮转速过快），紧急跳闸系统同样能够在极短时间（几十毫秒）内切断火电厂控制系统，避免产生汽轮机飞车等严重事故。
化工行业和火电行业大家可能接触较少，而铁路行业大家就比较熟悉了。在铁路行业，安全相关系统则是联锁系统，它的目的就是当列车出现危险状态（无法停车、两列车靠得太近）时强制停车。
接下来说说安全相关系统的工作方式。

        安全相关系统是以闭环的监控方式来实现功能安全的，它通常包括3部分：传感器子系统、逻辑子系统和执行器子系统，这三部分构成一个安全回路。传感器子系统采集来自受控对象的实时数据，并发送给逻辑器子系统；逻辑器子系统对采集到的数据进行运算，判断出受控对象的状态，并给出控制指令；执行器子系统根据逻辑器子系统发出的控制指令动作，若指令为现场状态安全，则执行器无动作，若指令为现场状态危险，则执行器关断受控对象。

         IEC61508根据安全相关系统采用的技术措施，将安全相关系统分为基于E/E/PE（电气/电子/可编程电子）技术措施的安全相关系统（逻辑器子系统）、基于其他技术措施的安全相关系统（传感器子系统、执行器子系统），外部风险降低措施（防火墙）等。而IEC61508则主要介绍如何实现基于E/E/PE技术措施的安全相关系统。

         安全相关系统到底能多大程度地降低风险，是人们最为关心的问题。在安全相关行业，通常用PFD（probability of dangerous failure on demand，需求（受控对象有危险）时（安全相关系统）发生危险失效的概率）来量化安全相关系统降低风险的能力，在此基础上增加一系列定性安全要求，即形成国际通用的评估安全相关系统实现安全能力的评价指标-安全完整性等级（SIL）。

       PFD的概念表述太简略，直接去理解依旧很抽象，我举一个应用场景帮大家形象理解。

       考虑一下火力发电厂，火电厂的工作流程可简单概括为，燃料燃烧释放的能量被蒸汽吸收，推动汽轮机运转，从而带动发电机运行，进而产生电能。整个工况过程（化学能-热能-机械能-电能）中，大量能量迅速的转移和耗散，这个对于人和环境而言都是一个潜在的伤害源，任何一个环节出现问题都会造成灾难性后果，因此需要增加安全仪表系统（SIS）来确保整个工况安全可靠地运行。火电厂安装上安全仪表系统后，整个工况的主要状态指标（温度、锅炉压力、汽轮机转速等）都受到安全仪表系统的监测，一旦这些指标超出安全阈值（预先设定好的），安全仪表系统的执行器就会动作（断电、停止送料等），终止整个工况，避免出现灾难的后果。
        在理想情况下，安全仪表系统是一个完美系统，它不会发生失效，这种情况下火电厂就永远不会发生事故。然而，理想情况是不存在的，任何产品都会老化、故障、失效，安全仪表系统也不例外，因此安全仪表系统也会有可靠性问题，火电厂事故时有发生。一旦安全仪表系统出现可靠性问题，比如执行器（继电器、安全闸等）失效了，它不能动作（开关拉死）；再比如逻辑器（PLC）失效，它无法判断传感器传送给它的现场数据是否超过安全阈值（控制器CPU的IEC运算功能失效）；这些情况下，整个工况的安全运行就得不到保证，即前述提到的危险事件的风险增大至不可接受，一旦工况出现危险，安全仪表系统则因自身失效而无法进行有效动作，危险事件最终将演变成事故。
   &nbs