PROCESS AUTOMATION INSTRUMENTATION Vol.34No.10October 2013
修改稿收到日期:2013-05-14三
作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究三
功能安全产品实现技术”系列讲座第5讲 安全相关产品的硬件实现(二)
Chapter Ⅴ Implementation of the Hardware for Safety?related Products :Part 2
谢亚莲1,2
(上海工业自动化仪表研究院1,上海 200233;上海仪器仪表自控检验测试所功能安全中心2,上海 200233)
摘 要:安全相关产品的硬件设计需满足硬件安全完整性要求二系统安全完整性要求以及检测到故障时对系统(产品)的行为要求三为满足硬件安全完整性的要求,给出了架构设计的方法和量化随机失效影响的方法三同时,对实现系统安全完整性要求和检测到故障时对系统(产品)的行为要求进行了阐述三
关键词:安全相关系统 子系统 组件 危险失效 安全失效 硬件故障裕度 架构约束 设计要求规范中图分类号:TP202 文献标志码:A
Abstract :The hardware design of safety-related products shall meet the requirements of hardware safety integrity ,system safety integrity ,and the activities to the system (product )when failures have been detected.In order to satisfy the requirement of hardware safety integrity ,the method of architectural design and the method to make quantification for influence of random failures are given.In addition ,the requirements for implementing system safety integrity and the activities to the system (product )when failures have been detected are elaborated.Keywords :Safety?related system Subsystem Component Dangerous failure Failsafe Hardware fault tolerance Architectural constraints
Design requirement and specification
0 引言
在上一讲中,我们首先讲述了安全相关产品的设计理念及其特有的安全相关参数,其次讲述了如何编制产品设计要求规范(安全要求规范)三功能安全的设计理念就在于提出安全完整性的指标,并给出通过采取诊断措施和结构冗余的方法来实现安全完整性三安全相关产品设计围绕着实现安全功能和实现安全完整性目标值进行三
安全相关产品的硬件设计包含满足硬件安全完整性要求二系统安全完整性要求以及检测到故障时对系统(产品)的行为要求三在这一讲中,我们将偏重于智能型安全相关产品,继续讨论如何对安全相关产品的硬件进行设计,这是因为标准中的大多诊断措施和方法是针对智能型产品提出的三
1 硬件安全完整性要求
安全相关产品有别于非安全相关产品的特殊之处
在于达到安全完整性目标值,因此安全相关产品的硬件安全完整性要求包括硬件安全完整性架构约束要求和量化随机失效影响要求三
1)硬件安全完整性架构约束要求
安全相关产品的设计主要围绕着满足架构约束要
求进行,一般满足结构约束条件的产品其安全完整性目标设定值都能达到架构约束要求三安全相关产品的设计按照下面流程进行三
(1)架构设计
首先,基于产品安全要求规范,为实现安全相关产品的安全功能,进行产品的初步架构设计,规定需用功能块图表示构成产品的模块二输入二输出三其次,需确定功能模块的硬件故障裕度(HFT),即该功能模块是否需要冗余三架构设计基于功能的要求和架构约束条件的要求三最后,硬件安全完整性的约束条件考虑了组件的复杂性二安全失效分数等级二硬件故障裕度和可声明的最大安全完整性等级,并规定了它们之间的关系三组件的复杂性容易确定,且在已知安全完整性等级目标设定的情况下,根据IEC 61508的相关内容,安全失效分数和硬件故障裕度也可以被确定三
例如,微处理器单元的安全完整性等级为SIL2的
2
9第5讲 安全相关产品的硬件实现(二) 谢亚莲
架构设计,微处理器属于B类组件,对它进行架构设计基于的约束条件如表1所示[3]三各别安全完整性等极可达到SIL2,可查到其对应的安全失效分数和硬件故障裕度三当HFT=2时,在组件内部的设计中不可能采用高冗余,而且成本也太高,所以舍去;当HFT=0时,要求安全失效分数大于90%,需采用具有中等诊断覆盖率的诊断措施达到要求的安全失效分数;当HFT=1时,安全失效分数在60%和90%之间,至少需采用具有低诊断覆盖率的诊断措施达到要求的安全失效分数三后两种架构都是可行的方案,但要确定所选的诊断措施是否满足诊断测试时间间隔的要求三
表1 B类组件的安全功能的最大允许安全完整性等级
Tab.1 Maximum allowable safety integrity level
for a safety function executed by Class
B component
组件的安全失效分数
硬件故障裕度012
60%不允许SIL1SIL2 60%~90%SIL1SIL2SIL3 90%~99%SIL2SIL3SIL4 ≥99%SIL3SIL4SIL4 (2)诊断功能设计
针对架构约束的要求,对各执行功能的模块设计诊断功能三诊断功能的设计包括诊断测试方法和诊断测试时间间隔这两个方面三
关于各类功能模块应采用的诊断方法及各种方法可达到的诊断覆盖率在标准IEC61508.2附录A表A.1~表A.14中有详细的介绍,可以参考或直接采用,当然也可以采用标准未曾提及的其他诊断方法三可变内存进行诊断的方法及可达到的诊断覆盖率如表2所示(引自IEC61508.2表A.6)三
表2 可变内存范围
Tab.2 Variable memory ranges
诊断技术/措施GB/T20438.7经考虑能达到的最大诊断覆盖率
检测板(checkerboard)或跨步(march)RAM测试法A.5.1低
漫步路径(walk?path)RAM测
试法
A.5.2中
跳步模式(galpat)或透明跳步
模式(transparent galpat)RAM
测试法
A.5.3高
执行诊断功能的时间应根据诊断测试时间间隔来决定,是在开机时执行诊断功能,还是在正常操作运行时执行诊断功能三确定诊断测试时间间隔的输入确定和标准要求为:产品的工作模式二要求模式或连续模式;上电时间间隔;诊断出故障后的平均修理时间(mean repair time,MRT);安全相关系统的平均恢复时间(mean time to restoration,MTTR);过程安全时间;受控装置的要求率;实现功能的模块的硬件故障裕度三这些输入来源于安全要求规范和其他实际应用的惯例,从而也可确定在什么时候执行诊断功能三
标准中规定诊断测试时间间隔如下三
①若安全相关产品的工作模式是高要求连续模式,则当该功能模块的硬件故障裕度为0时,诊断测试时间的设定需满足:诊断测试时间间隔和执行特定功能,以获得或维持安全状态的时间总和小于过程安全时间,或诊断测试率与要求率之比等于或大于100三
当该功能模块的硬件故障裕度大于0时,诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)三
②若安全相关产品的工作模式是低要求操作模式时,则诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)三
2)量化随机失效影响的要求
对安全相关产品的每个安全功能在随机硬件失效与数据通信过程随机影响下的安全完整性进行估算的过程如下三
①对安全相关产品的每个安全功能的实现建模,如构建可靠性框图,确定实现某一安全功能的安全相关产品的各功能模块,以及各功能模块的串并联关系三
如果该功能模块的失效会导致安全相关产品的安全功能失效,则该功能模块在可靠性框图中用串联表示;如果该功能模块执行的功能可被另一功能模块执行,即该功能模块的失效不会导致安全相关产品的安全功能失效,则该功能模块与执行同一功能的另一功能模块在可靠性框图中用并联表示三
②对功能模块中的每一个元器件估计其失效率,失效率的数据来源于公认的通用数据,如SN29500二IEC62380二GJB299C等,也可采用具体现场获得的失效数据三
③对每一功能模块进行分析,采用FMECA法(故障模式二影响和危害度分析)或诊断覆盖率,将总的失效率划分为安全失效二可检测的危险失效以及不可检
39第5讲 安全相关产品的硬件实现(二) 谢亚莲
‘自动化仪表“第34卷第10期 2013年10月
PROCESS AUTOMATION INSTRUMENTATION Vol.34No.10October 2013
测的危险失效三需考虑诊断测试的诊断测试时间间隔,只有满足标准中规定的诊断测试时间间隔的诊断测试才有效三
④对可靠性框图为并联的冗余功能模块部分,需确定共因失效因子三
⑤完成每一功能模块的安全失效二可检测的危险
失效和不可检测到的危险失效的失效率计算后,按照可靠性框图对安全相关产品进行计算,具体计算方法将在下一讲中讲述三
事实上,建模的方法有很多,应由分析人员根据具体情况来确定最合适的方法三可行的建模方法包括因果分析二马尔可夫模型等三
2 系统安全完整性要求
安全相关产品在其实现过程中需满足的系统安全完整性要求包括避免系统性故障的要求和控制系统性故障的要求三
1)避免系统性故障的要求
设计和开发安全相关产品的软硬件时,为避免引
入故障,应采用一组适当的技术和措施,具体参见IEC
61508.2的表B2和IEC 61508.3的附录A,针对硬件的技术和措施参见IEC 61508的表B2三
根据所需的安全完整性等级,所选择的设计方法具有的特性应有助于:简化模块化和控制复杂性;清晰和精确地表述(功能二与外部的接口二顺序和时间相关信息以及并发和同步);利于文档和信息的交流;验证和确认三
如适用,应使用自动测试工具和集成开发工具三
设计期间,应编制安全相关产品的集成测试计划三编制测试计划的文档应包括:所执行测试的类型和所遵循的规程;测试环境二工具二配置和程序;通过/失败的准则三同时,在设计阶段就应编写安全相关产品的操作和维护规范三
2)控制系统性故障的要求
为控制系统性故障,安全相关产品的设计特点应使
得安全相关产品能容许:硬件中的任何残余设计故障,除非能排除硬件设计故障的可能性(见IEC 61508.2表A.15);环境应力,包括电磁干扰(见IEC 61508.2表A.16);操作员造成的失误(见IEC 61508.2表A.17);软件中的任何残余设计故障(见IEC 61508.2表A.15)三
在设计和开发活动中应考虑可维护性和可测试性,以便在最终的E /E /PE 安全相关系统中实现这些属性三
安全相关产品的设计应充分考虑人员的能力和局
限性,并应合理分配操作者和维护人员的活动三所有接口的设计应根据良好的人员操作习惯并应适合操作者的认知能力和培训水平,对操作者和维护人员所犯的可预见的致命错误,只要有可能都应能通过设计来防止和消除,或者在完成该动作之前对这些动作进行二次确认三
3 检测到故障时系统行为的要求
若安全相关产品为安全相关系统的一个组件,当诊断测试检测到安全相关产品的一个危险失效时,安全相关产品启动报警功能将故障信息输出三
若安全相关产品即为安全相关系统,并有明确的控制对象受控设备(equipment under control,EUC),则在硬件故障裕度大于零的子系统中,对通过诊断测试二检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持EUC 安全状态,或者隔离子系统的故障部分,以保证EUC 继续安全工作,同时修理故障部分三如果在计算随机硬件失效概率时设定的平均修复时间(MRT)内未完成修理,那么应该采取某一规定的动作以达到或维持安全状态三安全状态包括安全关闭EUC,或者安全关闭与故障子系统相关的EUC 部分三
对于硬件故障裕度等于零的子系统,当该子系统仅在低要求模式下运行安全功能时,对通过诊断测试二检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持安全状态,或者在计算随机硬件失效概率时设定的平均修复时间(MRT)内修理故障子系统,且EUC 的连续安全应通过附加措施和约束来保证三该附加措施和约束应在安全相关系统的操作和维护规程中进行规定三
对于硬件故障裕度等于零的子系统,当该子系统在高要求或连续操作模式下运行安全功能时,对通过诊断测试二检验测试或其他方法检测到危险故障,应采取规定的动作以达到或维持EUC 的安全状态三
4 结束语
安全相关产品的硬件设计要求包含满足硬件安全完整性要求二系统安全完整性要求以及检测到故障时对系统(产品)的行为要求三建立了功能安全的设计理念,在掌握了安全相关产品的设计方法后,只要按步骤且按照标准的要求来设计与功能安全相关的产品或系统,就能实现安全相关产品或系统的安全功能和安全完整性这两个目标三
4
9第5讲 安全相关产品的硬件实现(二) 谢亚莲
[编者按] 本刊“安全控制技术”栏目自2005年开设以来,得到了广大读者的广泛关注与大力支持。今年除了继续刊登这方面的优秀技术文章外,还特别增设一个板块“功能安全技术系列讲座”,共六讲,分别刊登在第一期至第六期,从功能安全的基本概念、方法、技术等各方面逐一深入讲解,使大家对功能安全有一个全面了解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。 第三讲 基于风险的SIL确定技术 主讲人简介: 冯晓升,全国工业过程测量与控制标准化技术委员会主任委员,教授级高工。一九八二年毕业于浙江大学。不仅是IEC TC65 MT13工作组的中国专家,参与IEC 61508标准维护工作,还是IEC TC65 SC65C WG12工作组的中国专家,参与工业控制网络功能安全标准IEC 61784-3的制定。同时又是等同采用IEC 61508的中国国家标准GB/T 20438.1~7的起草工作组组长,主持了国际功能安全标准的研究与中国国家标准GB/T 20438.1~7的制定工作,对功能安全标准及技术有深入研究。 冯晓升 (机械工业仪器仪表综合技术经济研究所,北京市 100055) Fen g X iaosh en g (In strum en tation Tech n ology & E con om y In stitute, B eijin g 100055) Chapter 3: Confirmation Technology of SIL Based on Risk Abstract: T he paper explained th e confirm ation technology of S IL , and three m ethods to confirm th e S IL w ere given.Key words: S IL AL AR P 【摘 要】【关键词】讲解基于风险的安全完整性等级确定技术,给出三种确定安全完整性等级的方法。SIL ALARP SIL是安全相关系统的必备指标。理论上,如何选择SIL取决于原有设备(未加装安全相关系统前的设备)的安全程度和加装安全相关系统后希望达到的安全程度。实际操作时可能还要考虑一些技术的经济的甚至政治的问题。SIL并非越高越好,但必须够用或起码能被接受。SIL越高,意味着经济支出和管理要求都会相应提高。所以SIL的选择要以合适为好。 图1是安全生命周期图。SIL的选择是基于前三个步骤的第四步骤。前三个步骤主要解决确定保护范围,即确定EUC的范围;找出危险源;评估危险源的风险;以及确定危险源的允许风险。第四个步骤则是确定安全功能和安全功能的安全完整性等级,即SIL。第五个
第五章安全技术措施 第一节概述 一、能量与屏蔽 1、能量与伤害事故 如果失去控制的、意外释放的能量到达人体,并且能量的作用超过了人体的承受能力,人体将受到伤害。根据能量意外释放理论,伤害事故原因是: ①接触了超过机体组织(或结构)抵抗力的某种形式的过量 的能量; ②有机体与周围环境的正常能量交换受到了干扰(如窒息、 淹溺等) 2、能量的表现形式 机械能、电能、热能、化学能、电离辐射及非电量辐射、声能和生物能等形式的能量都可能导致人员伤害,其中前4种形式的能量引起的伤害最为常见。 3、防止能量意外释放的屏蔽措施 一般把约束、限制能量和防止人体与能量接触的措施叫做屏蔽,这是一种广义的屏蔽。 在工业生产中经常采用的防止能量意外释放的屏蔽措施主要有以下几种。 (1)用安全的能源代替不安全的能源。如用压缩空气代替电力。但是,绝对安全的能源是不存在的,如压缩空气管路破裂、脱落的软
管抽打等都可能带来新的危害。 (2)限制能量。如利用低电压设备防止电击、限制设备运转速度以防止机械伤害、限制露天矿爆破装药量以防止飞石伤人等(3)防止能量蓄积。例如接地防止静电蓄积。 (4)缓慢地释放能量。例如各种减震装置。 (5)开辟释放能量的渠道。例如,在矿山探放水可以防止透水事故;预先抽放煤体内瓦斯可以防止瓦斯蓄积爆炸等。 (6)设置屏蔽设施。屏蔽设施是一些防止人员与能量接触的物理实体,即狭义的屏蔽。屏蔽设施可以被设置在带有能量的装置上面(如安装在机械转动部分外面的防护罩),也可以被设置在人员与能源之间(如安全围栏)。人员佩戴的个体防护用品,可被看做是设置在人员身上的屏蔽设施。在时间和空间上把能量与人隔离也是一种屏蔽。 在生产过程中也有两种或两种以上的能量相互作用引起事故的情况。例如,一台吊车移动的机械能作用于化工装置,使化工装置破裂而引起有毒物质泄露,引起人员中毒。针对类似情况,应考虑设置两组屏蔽设施:一组设置于两种能量之间,防止能量间的相互作用;一组设置于能量与人之间,防止能量达及人体。 (7)提高防护标准。如采用双重绝缘工具防止触电;使用耐高温、耐高寒及高强度材料制作的个体防护用具等。 (8)信息形式的屏蔽。各种警告措施等形式的屏蔽,可以提醒人员注意自己的行为,防止人员接触能量。
关于功能安全编程的软件实现方法 Author: Zhanzr21 @ 21ic BBS 功能安全与信息安全其实是两个概念,两者都很重要但相互独立.在汽车电子设计中,两个安全都很重要,但是功能安全往往涉及到很严重的事故,所以显得更为重要. 功能安全-一般使用Safety这个词 信息安全-使用这个词:Security 但是到了中文两者都是安全,本文只涉及到功能安全,也就是前者Safety. 关于功能安全,业界一直在积极研究与推行相关标准.比如IEC,VDE.应该说功能安全的研究与发展永远不会停止,因为没有任何一种设计能够达到百分百的绝对安全标准. 功能安全与EMC测试联系较为紧密,因为电磁辐射会影响其他部件或者使用者的健康,而如何防范EMC噪音也是评价功能安全的一项指标. 兼容IEC,VDE的标准 IEC(International Electrotechnical Commission)是一个非营利,非政府的标准制定组织.IEC制定的标准主要关注安全,性能,环保,电气能效与再生能力.IEC与ISO和ITU有着紧密联系.这些制定的标准不仅包括对硬件的规定也有软件方面的.另外这些标准一般会根据应用场景细化为若干子标准. 除了老资格,国际化的IEC之外,这个领域中比较知名的,认可度较高还有德国的VDE,英国的IET,美国的IEEE.其中VDE还包括一个测试与认证机构专注于软件功能安全方面的前沿性研究.该机构属于德国的国家注册的认证机构.其主要目的在于给各家电子制品厂商提供标准符合与质量检验服务. IEC的标准中最为人熟知的是IEC 60335-1.这个标准主要覆盖家用或类似场合的电子制品的功能安全与信息安全规范.其原则:被测品应该在各种元器件失效的情况下保持安全.从此标准的角度观察,微控制器(MCU)也属于众多器件之一.如果电子器件影响到最终产品的安全性,那么在连续的两次失效后该制品依然能够保持安全.这意味着该制品必须在微控制器不工作(正在复位或者运行异常)且硬件发生失效的情况下依然能保持安全. 如果安全取决于软件,那么软件被当做第二次失效来考虑.该标准规定了三种软件的安全类型: Class A: 安全根本不取决于软件
2
安全控制技术 【摘 要】【关键词】Abstract: In safety instrumented systems, the common cause failures which occur between redundant parts within each layer between safety layers or between safety layers and the BPCS may make the potential degrade of the effective protection higher and then affect the safety and the reliability of a system. The paper describes the de ? nition, causes, analytical approach and the quantitative methods given in the standard, and also discusses how to reduce probability of common cause failure. Key words: SIS Common Cause Failure Redundancy 在安全仪表系统中,保护层的冗余部分之间、保护层之间、保护层和BPCS之间的共同原因失效 (亦称共因失效)都会引起有效保护潜在的降低,从而影响系统的安全性与可靠性。本文阐述了共因失效的定义、产生原因、分析方法、标准中的量化方法以及降低其概率的措施。 安全仪表系统 共因失效 冗余 [编者按] 本刊在2007~2008的两年间,在“安全控制技术”栏目共安排了12讲功能安全技术讲座,系统介绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关注与积极回应。2009年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术上。本讲主讲人是刘瑶工程师。 第十八讲 安全仪表系统中的共因失效 Chapter 18: The Common Cause Failure in the Safety Instrumented System 刘瑶 (机械工业仪器仪表综合技术经济研究所,北京市 100055) Liu Yao (Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055) 主讲人简介: 刘瑶,女,工学学士,机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师,参与功能安全标准I E C 61508(G B/T 20438)及I E C 61511(G B/T 21109)技术与应用研究、宣传和推广,功能安全HAZOP+SIL工程项目技术辅助与支持。 安全仪表系统(SIS)是指用来实现一个或几个仪表安全功能的仪表系统,它包括从传感器到最终元件的所有部件和子系统。目前SIS正广泛应用于石油、化工、电力等过程工业领域,用以监测生产过程 中的安全参量,以便在出现危险时及时采取有效措施从而防止人身伤害、经济损失及环境影响。根据GB 21109(IEC 61511),SIS的其中一项设计要求就是识别和考虑共因失效。在给保护层分配安全功能时,
功能安全技术与应用知识讲座功能安全的概念源于国际电工委员会的一个标准——IEC61508。该标准的全称是:《E/E/PE安全相关系统的功能安全》。该标准由7个分标准构成,共有700页的篇幅,分别是: 《IEC61508.1整体安全生命周期》; 《IEC61508.2 E/E/PE安全相关系统的安全生命周期》; 《IEC61508.3安全相关软件的安全生命周期》; 《IEC61508.4术语和概念》; 《IEC61508.5确定安全完整性的方法示例》; 《IEC61508.6 IEC61508,2和IEC61508.3的应用指南》;
《IEC61508.7技术和措施概览》。 其中前4个分标准是规范性文件,后3个是信息性文件。标准一经发布,就引起了全社会的广泛关注。由于该标准提炼了不同行业 安全工作的经验,并总结出一套基本的思想方法,因此在实践中得 到了很好的应用。目前国际上已基本形成了以功能安全为思路基础的,包括风险分析、基础安全产品生产、安全产品认证、安全集成、安全评估等在内的安全保障产业链。国际电工委员会也将这套标准 作为IEC的基础标准。 为说明功能安全的理念,首先必须理解工业技术界安全的概念,及其理念变迁。 根据传统词典解释,“安”的含义是:平静,稳定,如安定、 安心、安宁、安稳、安闲等;对生活、工作等感觉满足合适;没有 危险,不受威胁;做动词,有使得平静、安定(多指心情)的含义,如安民、安慰、安抚。“全”的含义是:完备,齐备,完整,不缺少,如齐全、完全;整个、遍,全部;做动词有使得不受损伤,保 全的含义。
“安全”的基本解释是:没有危险;不受威胁;不出事故。从传统的理念上看,安全是一个美好而绝对的境界,表现出人们对这种境界的追求。但现实中的绝对安全是不存在的,以绝对安全为目标是不现实的。但这并不意味着放弃安全工作,而是将安全工作的目标确定在一个相对安全的点上。为此,工业技术界为安全作出一个全新的定义,即:安全是不存在不可接受的风险。 这个定义有两个划时代的意义:一是把安全从一个绝对的概念转变为一个相对的概念,在这个概念中,安全不再是一个高不可攀的绝对目标,而是风险可接受即是安全。从此,安全成为了有现实目标的工作。此处引入了一个概念——可容忍风险(tolerable risk),根据当今社会的水准,即在给定的范围内能够接受的风险。在这个概念的引导下,安全工作的全部内涵就是将风险控制在可容忍的风险以内。 这个定义的另一个划时代的意义就是把对安全的控制转变为对风险的控制。此处引入了另一个概念——风险(risk),即:出现伤害的概率及该伤害严重性的组合。以这一概念为引导,安全工作产生了两种方式,一种是降低伤害的概率;另一种是降低伤害的严重程度。此处都含有一个伤害(harm)的概念,即:对人体健康的损害或损伤,以及对财产或环境的损害。也就是说,安全工作的保护对
PROCESS AUTOMATION INSTRUMENTATION Vol.34No.7July 2013 修改稿收到日期:2013-05-14三 作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究三 功能安全产品实现技术”系列讲座第2讲 功能安全与安全相关产品 Chapter Ⅱ Functional Safety and Safety?related Products 谢亚莲1,2 (上海工业自动化仪表研究院1,上海 200233;上海仪器仪表自控检验测试所功能安全中心2,上海 200233) 摘 要:介绍了引入功能安全的原因和功能安全的目的,以及危险二风险二安全功能二安全完整性和安全相关系统之间的内在关联三通过一个安全相关系统的实例,给出了几类安全相关产品确定安全功能和设定安全完整性目标值的方法;同时指出了执行机构和阀的特殊性,并针对这种特殊性,引入了部分行程测试这一解决方法三关键词:功能安全 危险 风险 安全功能 安全完整性等级中图分类号:TP202 文献标志码:A Abstract :The reasons for introducing functional safety and the purposes of functional safety ,as well as the inherent relationship among hazards ,risks ,safety function ,safety integrity ,and safety?related system are described.With a safety related system as practical example ,the methods of determining safety functions and setting target values of safety integrity for several types of safety related products are given.In addition ,the particularities of the actuator and valve are pointed out ,and in accordance with these particularities ,the solution of partial stroke test is introduced. Keywords :Functional safety Hazard Risk Safety function Safety integrity level 0 引言 IEC 61508(GB /T 20438)是完整的二系统性的关于 电气/电子/可编程电子安全相关系统的功能安全的基础标准;以基于风险的方式确定E /E /PE 安全相关系统的安全要求规范;采用整体安全生命周期模型作为技术框架,系统地论述了为保证E /E /PE 安全相关系统的功能安全所需进行的活动三 本文通过对危险二风险二安全功能二安全完整性二安全相关系统二安全相关产品之间的内在关联的介绍,有助于大家了解以下几个概念,即安全相关产品为什么要具有这样的安全功能,并达到这样的安全完整性与安全完整性等级三 1 功能安全 功能安全,首先是安全的概念,所谓安全就是不存在不可接受的风险,这种风险是指由危险的发生而造 成的对人身健康的伤害二财产的损失和环境的破坏三功能安全是属于受控装置(equipments under control,EUC)和EUC 控制系统的整体安全的一部分三用于避免使在爆炸气体中的设备成为潜在点燃源的安全装置,如处在爆炸气体中的笼型转子,当转子的温度超过某一限值,将会引起气体爆炸三要限制笼型转子的温升,采用一个依赖于电流的安全装置,即将测量转子的电流作为输入信号,当电流超过某一限定值,采取措施切断笼型转子的供电电源,从而防止爆炸危险的发生三这属于功能安全三采用风扇抽风强制降温的方式,也属于安全的一个例子,但它不能保证防止危险的发生,不属于功能安全三 由于EUC 和EUC 控制系统潜在的危险而导致风险的存在,从而引出了对功能安全的需求三功能安全的起因是危险和风险,功能安全的目的是将风险降低到可接受的范围内,功能安全的实现是通过电气/电子/可编程安全相关系统(简称E /E /PE 安全相关系统)二其他技术安全相关系统和外部风险降低设施正确执行其功能三 功能安全的目的示意图如图1所示三 2 9功能安全与安全相关产品 谢亚莲
功能安全技术讲座 [编者按] 本刊2007年在“安全控制技术”栏目安排了六讲功能安全技术讲座,概要介绍了功能安全的基本概念、方法与技术,得到广大读者的广泛关注与积极回应。2008年,该讲座还将继续进行,针对读者关心、与功能安全相关的几个关键问题,进行更详细的技术介绍。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。 第十讲 功能安全的管理 冯晓升 (机械工业仪器仪表综合技术经济研究所,北京市 100055)Feng Xiaosheng (Instrumentation Technology & Economy Institute, Beijing 100055) Chapter 10: Management for Functional safety Abstract:Management is an indispensable means to achieve safety and is an important factor of impacting system failure.Functional safety management has its unique way of thinking and throughout the whole life cycle of safety at all stages.Key words: Management Functional Safety 【摘 要】【关键词】管理作为影响系统失效的重要因素,是达到安全必不可少的手段。功能安全管理贯穿于整体安全 生命周期的所有阶段之中,有其独到的思想方法。 管理 功能安全 1 随机硬件失效和系统失效 功能安全作为一种保障安全的思想方法,近几年已经被广泛了解和应用。有大量的文章从不同的角度论述功能安全,但大多都是从技术方面来考虑问题。其实,功能安全的最殊胜之处是将可以精确计算的硬件随机失效和难以精确定量分析的系统失效结合考虑并规划为一种半定量化的方法。所以功能安全的管理作为影响系统失效的重要因素之一,是达到安全必不可少的手段。为能正确理解这个问题,先将随机硬件失效和系统失效这两个概念介绍一下。 首先介绍随机硬件失效(random hardwarefailure),随机硬件失效是在硬件中,由于一种或几种机能退化可能产生的,按随机时间出现的失效。既在各种部件中,存在以不同速率发生的许多机器退化,在这些部件工作了一段不同的时间之后,这些机能可 使制造公差引起部件发生故障,从而使包含许多部件的设备将以可预见的速率,但在不可预见的时间(即随机时间)发生失效。 再介绍一下系统失效(Systematic failure),系统失效是一种原因确定的失效,只有对设计或制造过程、操作规程、文档或其它相关因素进行修改后,才有可能排除这种失效。 对于系统失效来说,仅正确维护而不加修改,无法排除失效原因。 而且通过模拟失效原因可以导致系统失效。 在下列各条中以人为错误为原因引起的系统失效的例子有: ——安全要求规范: ——硬件的设计、制造、安装、操作;——软件的设计和实现等。
第五章职业危害控制技术 第一节职业危害控制基本原则和要求 第二节生产性粉尘危害控制技术 一、生产性粉尘的来源和分类 (一)来源 生产性粉尘来源十分广泛,如: 固体物质的机械加工、粉碎;金属的研磨、切削;矿石的粉碎、筛分、配料或岩石的钻孔、爆破和破碎等;耐火材料、玻璃、水泥和陶瓷等工业中原料加工;皮毛、纺织物等原料处理;化学工业中固体原料加工处理,物质加热时产生的蒸气、有机物质的不完全燃烧所产生的烟。 粉末状物质在混合、过筛、包装和搬运等操作时产生的粉尘,以及沉积的粉尘二次扬尘等。 (二)分类 生产性粉尘分类方法有几种,根据生产性粉尘的性质可将其分为3类。 1.无机性粉尘 无机性粉尘包括矿物性粉尘,如硅石、石棉、煤等;金属性粉尘,如铁、锡、铝等及其化合物;人工无机性粉尘,如水泥、金刚砂等。 2.有机性粉尘 有机性粉尘包括植物性粉尘,如棉、麻、面粉、木材;动物性粉尘,如皮毛、丝、骨质粉尘;人工合成有机粉尘,如有机染料、农药、合成树脂、炸药和人造纤维等。 3.混合性粉尘 混合性粉尘是上述各种粉尘的混合存在,一般包括两种以上的粉尘。生产环境中最常见的就是混合性粉尘。 二、生产性粉尘的理化性质 粉尘对人体的危害程度与其理化性质有关,与其生物学作用及防尘措施等也有密切关系。 在卫生学上,常用的粉尘理化性质包括:化学成分、分散度、溶解度、密度、形状、硬度、荷电性、爆炸性 (一)粉尘的化学成分 粉尘的化学成分、浓度和接触时间是直接决定粉尘对人体危害性质和严重程度的重要因素。 根据粉尘化学性质不同,粉尘对人体可有致纤维化、中毒、致敏等作用,如游离二氧化硅粉尘的致纤维化作用。 对于同一种粉尘,它的浓度越高,与其接触的时间越长,对人体危害越重。 (二)分散度 粉尘的分散度是表示粉尘颗粒大小的一个概念,它与粉尘在空气中呈浮游状态存在的持续时间(稳定程度)有密切关系。 在生产环境中,由于通风、热源、机器转动以及人员走动等原因,使空气经常流动,从而使尘粒沉降变慢,延长其在空气中的浮游时间,被人吸入的机会就越多。 直径小于5μm的粉尘对机体的危害性较大,也易于达到呼吸器官的深部。 (三)溶解度与密度 粉尘溶解度大小与对人危害程度的关系,因粉尘作用性质不同而异。 主要呈化学毒副作用的粉尘,随溶解度的增加其危害作用增强;
安全生产技术知识培训 安全生产技术知识培训——作业过程中危险因素的识别 一、危险化学品概念 1、化学品指各种化学元素、由元素组成的化合物及其混合物无 论是人造的或是天然的。 2、危险化学品化学品中具有易燃、易爆、有毒、有害及有腐蚀 特性会对人员、设施、环境造成伤害或损害的化学品属危险化学品。 二、危险化学品安全管理形势 近些年危险化学品的生产、储存、经营、运输过程中发生很多事故可以说是管理失控事故频发。危害严重。因此国家领导多次批示 进行危险化学品专项整治整治的内容主要包括生产环节、储运环节、包装管理、经营环节、剧毒品管理。 三、危险化学品的危险性类别 2、压缩气体和液化气体本类化学品系指压缩、液化或加压溶解 气体并符合下述两种情况之一者①临届温度低于50℃时、或在50℃ 时其蒸汽压力大于294KPa的压缩气体或液化气体②温度在21.1℃ 时气体的绝对压力大于275KPa或在54.4℃时气体的绝对压力大于715KPa的压缩气体或在37.8℃时雷德蒸汽压力大于275KPa的液化 气体或加压溶解气体。本类物品当受热、撞击或强烈震动时容器内 压力急剧增大致使容器破裂爆炸或导致气体阀门松动漏气酿成火灾 或中毒事故。按其性质分为①易燃气体②不燃气体③有毒气体 3、易燃液体指闭杯闪点等于或低于61℃的液体、液体混合物或 含有固体物质的液体但不包括由于危险性已列入其它类别的液体。 本类物质在常温下易挥发其蒸汽与空气混合能形成爆炸性混合物。
按闪点分为以下三项①低闪点液体闪点-18℃②中闪点液体-18℃≤闪点23℃③高闪点液体23℃≤闪点61℃ 4、易燃固体、自燃品和遇湿易燃物品本类物品易于引起火灾和促成火灾按其燃烧特性分为以下三项①易燃固体指燃点低对热、撞击、摩擦敏感易被外部火源点燃燃烧迅速并可能散发出有毒烟雾或有害气体的固体。如硫磺、红磷等。②自燃物品指自燃点低在空气中易发生氧化反应放出热量而自行燃烧的物品。如白磷等。③遇湿易燃品指遇水或受潮时发生剧烈化学反应放出大量易燃气体和热量的物品。有些不需明火即能燃烧或爆炸如钠、钾等。 5、氧化剂和有机过氧化物本类物品具有强氧化性易引起燃烧或爆炸按其组成分为以下二项①氧化剂指处于高氧化状态具有强氧化性易分解并放出氧和热量的物质。包括含有过氧基的无机物其本身不一定可燃但能够导致可燃物的燃烧与粉末状可燃物能组成爆炸性混合物。对热、震动或摩擦较为敏感。按其危险性大小分为一级氧化剂和二级氧化剂如KMnO4等。②有机过氧化物指分子结构中含有过氧键的有机物其本身易燃易爆极易热分解对热、震动极为敏感。 7、放射性物品指放射性比活度大于7.4×104Bq/Kg的物品。按其放射性大小分为一级放射性物品、二级放射性物品和三级放射性物品。 8、腐蚀品指能灼伤人体组织并对金属等物品造成损坏的固体或液体与皮肤接触在4小时内出现可见坏死现象或温度在55℃时对20号钢的表面均匀腐蚀率超过6.25mm/年的固体或液体。按其化学性质分为三项①酸性腐蚀品如硫酸、硝酸、盐酸等。②碱性腐蚀品如氢氧化钠等。③其它腐蚀品如氯化锌等。按其腐蚀性的强弱有细分为一级腐蚀品和二级腐蚀品。
[编者按] 本刊2007年在“安全控制技术”栏目安排了六讲功能安全技术讲座,概要介绍了功能安全的基本概念、方法与技术,得到广大读者的广泛关注与积极回应。2008年,该讲座还将继续进行,针对读者关心、与功能安全相关的几个关键问题,进行更详细的技术介绍。主讲人是机械工业仪器仪表综合技术经济研究所功能安全中心主任史学玲教授。 第十一讲 功能安全问答 史学玲 (机械工业仪器仪表综合技术经济研究所,北京市 100055) Shi Xueling (Instrumentation Technology & Economy Institute, Beijing 100055) Chapter 11: Questions and Answers of Functional Safety 主讲人简介: 史学玲,机械工业仪器仪表综合技术经济研究所副总工程师、功能安全中心主任、教授级高工。近年来主要致力于以IEC 61508为基础的功能安全技术研究。主持并完成了国家软科学研究项目“利用功能安全标准保障安全的政策措施研究”,向政府提出了多行业协同行动的用功能安全标准保障安全的国家执行方案和政策措施建议。是等同采用IEC 61511的中国国家标准起草工作组专家成员。在多份杂志及学术期刊上发表了多篇功能安全的论文,对功能安全标准及标准实施认证相关的技术、法律、政策等问题有深入研究。 引言 自2007年4月以来,在已经举办的八期“功能安全技术与应用培训班”上,我们结识了来自石油、化工、机械、铁路、医疗设备等领域的200多名安全控制专家,这些专家经常会与我们就一些问题展开讨论。在此期讲座中,列出几个经常被提出讨论的问题与讨论结果,以功能安全问答的方式,展示给读者。 问:标准要求安全仪表设备必须提供每一种失效模式下的失效率数据,用什么方法可以确定仪表的失效率与失效模式? 答:可以采用FMEDA(失效模式、影响及诊断分 析)方法。FMEDA是MIL Std1629A(FMEA,失效模式及影响分析)的扩展,用于在器件级分析失效率与失效模式、确定哪种失效导致安全情况、哪种失效导致危险情况。与FMEA相比,FMEDA增加了诊断分析。通过FMEDA,可以预知哪种危险失效会被诊断并导向安全。因此,通过FMEDA可以获得详细的失效率数据和安全失效分数,但需要由有资格的安全工程师主导进行分析。 问:我的产品通过FMEDA分析,数据达到了SIL3要求,我声明我的产品是SIL(安全完整性等级)3级的设备,为什么有人会提出异议? 安全控制技术
安全技术措施 第一节概述 一、能量与屏蔽 1、能量与伤害事故 如果失去控制的、意外释放的能量到达人体,并且能量的作用超过了人体的承受能力,人体将受到伤害。根据能量意外释放理论,伤害事故原因是: ①接触了超过机体组织(或结构)抵抗力的某种形式的过量的能量; ②有机体与周围环境的正常能量交换受到了干扰(如窒息、淹溺等) 2、能量的表现形式 机械能、电能、热能、化学能、电离辐射及非电量辐射、声能和生物能等形式的能量都可能导致人员伤害,其中前4种形式的能量引起的伤害最为常见. 3、防止能量意外释放的屏蔽措施 一般把约束、限制能量和防止人体与能量接触的措施叫做屏蔽,这是一种广义的屏蔽。 在工业生产中经常采用的防止能量意外释放的屏蔽措施主要有以下几种。 (1)用安全的能源代替不安全的能源。如用压缩空气代替电力。但是,绝对安全的能源是不存在的,如压缩空气管路破裂、脱落的软管抽打等都可能带来新的危害。 (2)限制能量。如利用低电压设备防止电击、限制设备运转速度以防止机械伤害、限制露天矿爆破装药量以防止飞石伤人等 (3)防止能量蓄积.例如接地防止静电蓄积. (4)缓慢地释放能量。例如各种减震装置。 (5)开辟释放能量的渠道。例如,在矿山探放水可以防止透水事故;预先抽放煤体内瓦斯可以防止瓦斯蓄积爆炸等。 (6)设置屏蔽设施.屏蔽设施是一些防止人员与能量接触的物理实体,即狭义的屏蔽。屏蔽设施可以被设置在带有能量的装置上面(如安装在机械转动部分外面的防护罩),也可以被设置在人员与能源之间(如安全围栏)。人员佩戴的个体防护用品,可被看做是设置在人员身上的屏蔽设施。在时间和空间上把能量与人隔离也是一种屏蔽。 在生产过程中也有两种或两种以上的能量相互作用引起事故的情况。例如,一台吊车移动的机械能作用于化工装置,使化工装置破裂而引起有毒物质泄露,引起人员中毒.针对类似情况,应考虑设置两组屏蔽设施:一组设置于两种能量之间,防止能量间的相互作用;一组设置于能量与人之间,防止能量达及人体. (7)提高防护标准。如采用双重绝缘工具防止触电;使用耐高温、耐高寒及高强度
Author: Zhanzr21 @ 21ic BBS 功能安全与信息安全其实是两个概念,两者都很重要但相互独立.在汽车电子设计中,两个安全都很重要,但是功能安全往往涉及到很严重的事故,所以显得更为重要. 功能安全-一般使用Safety这个词 信息安全-使用这个词:Security 但是到了中文两者都是安全,本文只涉及到功能安全,也就是前者Safety. 关于功能安全,业界一直在积极研究与推行相关标准.比如IEC,VDE.应该说功能安全的研究与发展永远不会停止,因为没有任何一种设计能够达到百分百的绝对安全标准. 功能安全与EMC测试联系较为紧密,因为电磁辐射会影响其他部件或者使用者的健康,而如何防范EMC噪音也是评价功能安全的一项指标. 兼容IEC,VDE的标准 IEC(International Electrotechnical Commission)是一个非营利,非政府的标准制定组织.IEC制定的标准主要关注安全,性能,环保,电气能效与再生能力.IEC与ISO和ITU有着紧密联系.这些制定的标准不仅包括对硬件的规定也有软件方面的.另外这些标准一般会根据应用场景细化为若干子标准. 除了老资格,国际化的IEC之外,这个领域中比较知名的,认可度较高还有德国的VDE,英国的IET,美国的IEEE.其中VDE还包括一个测试与认证机构专注于软件功能安全方面的前沿性研究.该机构属于德国的国家注册的认证机构.其主要目的在于给各家电子制品厂商提供标准符合与质量检验服务. IEC的标准中最为人熟知的是IEC 60335-1.这个标准主要覆盖家用或类似场合的电子制品的功能安全与信息安全规范.其原则:被测品应该在各种元器件失效的情况下保持安全.从此标准的角度观察,微控制器(MCU)也属于众多器件之一.如果电子器件影响到最终产品的安全性,那么在连续的两次失效后该制品依然能够保持安全.这意味着该制品必须在微控制器不工作(正在复位或者运行异常)且硬件发生失效的情况下依然能保持安全. 如果安全取决于软件,那么软件被当做第二次失效来考虑.该标准规定了三种软件的安全类型: Class A: 安全根本不取决于软件 Class B: 软件能够防范不安全的操作 Class C: 软件主动防范特殊危险
Control Tech of Safety & Security 功能安全技术讲座 【摘 要】【关键词】Abstract: The paper introduces some typical voting structure and their analysis and application methods. Through the comparison between the various voting structures, ? nd their difference on implementing the safety integrity of Functional Safety. Keywords: Functional Safety V oting Redundancy 阐述功能安全理论中几种典型的表决结构及其分析应用方法,通过对不同表决结构的比较,确 定其在实现安全功能的安全完整性和可用性上的差异。 功能安全 表决 冗余 [编者按] 本刊在2007~2008的两年间,在“安全控制技术”栏目共安排了12讲功能安全技术讲座,系统介绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关注与积极回应。2009年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术上。本讲主讲人是熊文泽工程师。 第十六讲 功能安全中表决结构的分析与应用 Chapter 16: Analysis and Application on Voting Structure for Functional Safety 熊文泽 (机械工业仪器仪表综合技术经济研究所,北京市 100055) Xiong Wenze (Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055) 主讲人简介: 熊文泽,男,工学学士,机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师,对功能安全标准I E C 61508(G B/T 20438-2006)和IEC 61511(GB/T 21109-2007)有深入的研究,参与多项国家科技部、863课题中功能安全子项的研究。 功能安全理论的服务对象为:执行多种安全功能的E/E/PE (电子、电气和可编程电子)安全相关系统,这些系统在石化、化工、电力、铁路等领域中已经得到广泛应用,如:主要应用于流程工业(石化、化工)的安全联锁系统(Safety Interlock System —SIS )和紧急停车系统(Emergency Shutdown —ESD );在电厂中广泛应用的火灾及气体检测系统(Fire and gas systems —F&G )和燃烧管理系统(Burner Management System )以及应用于铁路的列车自动防护系统(ATP )。这些系统不仅能响应生产过程因超过安全极限而带来的风险,而且能检测和处理自身的故障,从而按预定条件或程序使生产过程处于安全状态,对于保障人员、设备及工厂周边环境的安全至关重要。 不同的表决结构配置直接影响安全相关系统的好坏。如何选择表决结构,才能既保证安全相关系统
第5章高处作业安全技术一、单选题 【问题】1、在距坠落高度基准面()有可能坠落的高处进行的作业称为高处作业。(分值:1.00) A、1m或1m以上 B、2m或2m以上 C、1m至4m D、3m或3m以上 【答案】B 【解析】《高处作业分级》(GB/T3608)规定:在距坠落高度基准面2m或2m以上有可能坠落的高处进行的作业称为高处作业。 【问题】2、高处作业前,项目分管负责人应组织有关部门对()设施进行验收,经验收合格签字后,方可作业。(分值:1.00) A、基础 B、工程 C、安全防护 D、环境安全
【答案】C 【解析】(1)施工单位在编制施工组织设计时,应制定预防高处坠落事故的安全技术措施。项目经理对本项目的安全生产全面负责。(2)施工单位应做好高处作业人员的安全教育及相关的安全预防工作。高处作业人员应接受高处作业安全知识的教育;上岗前应依据有关规定进行专门的安全技术签字交底。高处作业人员应经过体检,合格后方可上岗。施工单位应为作业人员提供合格的安全帽、安全带等必备的安全防护用具,作业人员应按规定正确佩戴和使用。(3)高处作业前,项目分管负责人应组织有关部门对安全防护设施进行验收,经验收合格签字后,方可作业。安全防护设施应做到定型化、工具化,防护栏以黄黑(或红白)相间的条纹标示,盖件等以黄(或红)色标示。需要临时拆除或变动安全设施的,应经项目分管负责人审批签字,并组织有关部门验收,经验收合格签字后,方可实施。 【问题】3、物料提升机()应装设有联锁装置的安全门,同时采用断绳保护装置或安全停靠装置。(分值:1.00) A、安全口 B、通道门 C、上料口 D、下料口 【答案】C 【解析】物料提升机应有完好的停层装置,各层联络要有明确信号和楼层标记。物料提升机上料口应装设有连锁装置的安全门,同时采用断绳保护装置或安全停
功能安全产品的设计流程 自动化程度的提高为人们日常生活中的方方面面都带来了更多的舒适性和灵活性,但我们也需要注意到这些好处背后的安全风险。尤其是工业领域中让人引以为傲的高精密生产线,它们应当是易于使用,并能提供高度舒适和安全的操作性。 本文深切认为技术系统不应当为人们和环境带来超出允许风险范围的安全风险。完全没有风险是不现实的,所以风险可接受与否在于其严重程度。每个领域对可接受风险程度都有自己的定义,并使用不同的安全等级对其进行衡量。对于电气和可编程系统来说,得益于一系列标准建立,由此形成了关于功能安全的共识。这些标准适用于不同的应用领域,但它们都基于由IEC61508标准派生出的安全理念。 图1:常见的功能安全标准概览 IEC61508标准覆盖了系统的整个生命周期,并着重为系统中可能出现危险的部分制订了相关规范。该标准旨在提供从零开始设计系统的最安全方式。实现功能安全的普遍措施是添加额外的元器件,用于监控功能的正常运行以及在发生不正常的情况时对系统进行控制。这个理念常用于工业自动化或过程工业领域中。 IEC61508标准定义了功能安全的操作模式:低要求操作模式、高要求操作模式和连续模式。操作模式则由每年对于安全功能的使用频率决定。 同时,针对功能安全领域中的标准控制功能的设计方法是可选的。IEC61508标准中定义的连续模式包含这些信息。 通常做法是从分析所有可能对系统产生影响的关键问题开始。所有被定位的问题必须使用参数进行衡量,如暴露时间、受伤的严重程度以及脱离伤害的可能性。这是典型的风险分析措施,必须在没有额外电气保护系统的情况下对受控设备施行。系统整个生命周期的所有部分均必须使用该措施。凭借风险图,风险分析将提供要
ISO 26262-1 词汇表 ISO26262是基于IEC61508标准演化而来的一项标准,旨在满足道路车辆电子电气系统领域的特定需求。 这种改编适用于由电子电气元件和软件组件组成的安全系统的整个生命周期内的所有活动。 安全是未来汽车发展的关键问题之一。一些新的功能,在驾驶员辅助、动力、车内动态控制和主动&被动安全系统等方面日益牵涉到越来越多的系统安全工程。这些功能的开发和集成会增加对安全系统开发流程、并证明所有合理的系统安全目标都得到满足的证据的需求程度。 随着技术复杂度、软件内容和机电一体化程度的不断提高,系统失效和随机硬件失效的风险也越来越大。ISO 26262会提供适当的要求和流程来避免这些风险。 系统安全是通过一系列安全措施来实现的,通过应用各种技术(例如机械、液压、气动、电气、电子、可编程电子),并在开发过程的各个层面上应用。尽管ISO26262涉及到电子电气系统的功能安全,但是它也会提供其他系统常用安全技术的框架。ISO26262可以: a)提供车辆安全生命周期的支持(管理、开发、生产、操作、服务、报废); b)提供车辆专用的风险评估方法(ASIL,Automotive Safety Integrity Levels,汽车安全完 整性等级); c)使用ASIL评级提出可实施的功能安全需求,来避免不合理的剩余风险; d)向供应商提供功能安全需求。 功能安全受到开发流程(需求规范、设计、实现、集成、验证、确认和配置)、生产和服务流程、管理流程的影响。 安全问题与以功能为导向、以质量为导向的开发活动和工作产品交织在一起。ISO 26262阐述了开发活动和工作产品等安全相关的内容。
2010年安全生产技术第五章《矿山安全生产技术》内部试题 一、单选题 1. 矿井火灾时期,过量烟气生成的主要原因不是因为()。 A. 温度升高、气体体积膨胀 B.火源附近煤等可燃物干馏产生的气体、瓦斯涌出等 C. 灭火用水生成的水蒸汽 D. 风机运行 【答案】D 2. 对于露天铁矿的采矿场,以下说法正确的是()。 A.最大危害的是可能发生的瓦斯 B.最大危害是由于边坡不稳定发生的滑坡 C.大爆炸时人员在采场外是绝对安全的 D.大爆破时的点炮人员必须撤到采场外 【答案】B 3. 测定瓦斯的仪器中常用的有瓦斯检查器和()。 A. 测氧仪 B. 温度计 C. 瓦斯检测灯 D.水压计 【答案】C 4. 风机风量的大小可以通过什么方法来调节?() A. 改变闸板或挡板的开度 B. 改变叶轮的转数 C. 改变导向器叶片的开度 D. 以上全是 【答案】D 5. 当矿井下含氧量减少至()以下时,就可能发生窒息死亡事故。 A. 20% B. 15% C. 12% D. 5% 【答案】C 6. 以下关于矿井内因火灾的说法不正确的是()。 A. 煤炭具有自然倾向性是可以形成矿井内因火灾的必要条件 B. 矿井内因火灾不能发展成为明火,因为火灾的供氧条件不好 C. 发生内因火灾必须具备热量聚居的环境 D. 矿井内因火灾与外因火灾的发生机理是相同的 【答案】B 7. 新进矿山的井下职工,矿山企业应当组织对其进行安全教育、培训,下矿井工作前至少必须接受多少个小时的安全教育、培训。() A.72 B.60 C.40 D.20 【答案】A 8. 矿用安全炸药不会引燃或引爆瓦斯的原因是()。 A. 不产生热量 B. 其爆炸时间小于瓦斯与空气混合气体的感应期 C. 其爆炸时间大于瓦斯与空气混合气体的感应期 D.其爆炸时间等于瓦斯与空气混合气体的感应期 【答案】B