安全,一个各个领域都在强调,却又很难给出明确定义的词语。我们常说:设备安全,用电安全,食品安全,交通安全等等,那么安全究竟是什么呢?我们又怎么来衡量什么是安全呢?在IEC61508-4的3.1.11中引用ISO/IEC Guide 51:1999给出的定义是“freedom from unacceptable risk”,意即“没有不可接受的风险”。可见,安全是个相对的概念,没有不可接受的风险存在就被认为是安全的。那么对于风险是否可被接受,又跟社会的生产力水平,人们对安全的认可程度,社会的接受水平等有关。所以在对安全的研究中,发达国家是走在前列的。
从工业革命以来,随着各种各样的机器及自动化设备的大量应用,把人从大量的繁重体力劳动中解放出来和提高生产效率的同时,也给人带来了各种伤害。为了最大程度上减少这种风险,上个世纪90年代,作为发达国家阵营之一的欧盟,从93/68/EC起,颁布了各种新方法指令,来规范进入欧盟市场的各种产品符合相关的安全要求,并为满足要求的产品贴上了“CE”标识,也就是我们通常熟知的CE认证。如对于机器设备来讲,有98/37/EC指令(现已更新为2006/42/EC),主要是通过加装各种安全防护(如各种防护罩)、控制设备(如各种连锁电路)的设计及设置相应的监控设备(如安全光幕)来避免由于人们的误操作导致的危险事件的发生,这在一定程度上起到了由于各种机械危险对人员造成的伤害,而对于这些安全相关元器件的失效或者故障,却没有引起足够的重视。
但随着技术和人们认知的发展,发现由于设备设计不合理、系统失效或者故障、安全相关元器件、零部件的失效或故障、软件的问题导致的设备故障引发的危险开始越来越频繁的出现,有时甚至会造成巨大的人员及财产损失,已经到了不可忽略的程度。要从根本上避免风险,不再仅仅是防护问题,而是需要从产品设计、元器件的选择、软件的验证等根本问题上来解决。这就提出了功能安全这个概念。所谓功能安全(functional safety),IEC61508-4的3.1.12给出的定义是“part of the overall safety relating to the EUC and the EUC control system that depends on the correct functioning of the E/E/PE safety-related systems and other risk reduction measures”,意即“功能安全是与受控设备(Equipment Under Control)和受控设备控制系统有关的整体安全的组成部分,它取决于E/E/PE(Electrical/Electronic/Programmable Equipment)安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确执行”。
对功能安全的评估,大家公认的是由国际电工委员会(International Electrical Committee)编写的IEC61508-1到-7,目前已经更新到2010版。其详细规定了功能安全的具体要求、分类(SIL:Safety Integrity Level)和做法,对设备的整个生命周期提出了一整套安全要求,不但包含了从设备的安全需求规范(Safety Requirement Specification)开始到产品验证(Product Validation)的开发全过程,还包括了过程中的所有相关的功能安全管理及文档规范。并进一步从过程中及具体的实现方法上给出了明确的规定和指导。更重要的是,IEC61508中指定了一整套具体的计算方法,可以把与安全相关的控制系统及风险等级分类并量化,更方便了让设计者和最终用户评估和了解设备的风险情况,从而更安全的把设备应用到实践中去,在可控的安全范围内发挥其功能。
由上述可见,功能安全是设备安全的一部分,其主要是从E/E/PE相关的控制系统考虑,着重避免由于受控设备及其相关系统在故障或者失效的情况下导致的风险,而对于非电控的风险,如锋利毛边、高温表面、噪声、辐射等导致的危险,这里并没有做考虑,需参见其他相关标准中的要求。