1 工程招標(biāo)中用戶面臨的風(fēng)險
　　近年來,我國各地廠礦重大事故屢有發(fā)生，給人民生命、國家財產(chǎn)造成了巨大損失。從這些特別重大事故的調(diào)查結(jié)果來看,事故單位在安全生產(chǎn)工作中存在著嚴(yán)重的問題,也反映出安全生產(chǎn)的方針、政策措施在一些地方和企業(yè)沒有真正落實。而根據(jù)市場需求，主動編制標(biāo)準(zhǔn)，在市場競爭中升級成部級或國家級標(biāo)準(zhǔn),則遠(yuǎn)未成為風(fēng)氣。
　　目前,在招標(biāo)過程中,人們往往采取三種對策:
　　(1)一些用戶隨大流,利用外國名牌產(chǎn)品中標(biāo),不實事求是地分析產(chǎn)品。
　　(2)風(fēng)險和責(zé)任重大的用戶則過分要求高可靠性。例如,對民航全國導(dǎo)航網(wǎng)某主站的UPS,額定功率100kVA,中標(biāo)的是美、加、日高端用戶的名牌高級機(jī)型——“PWM整流+PWM逆變+DSP+DDC+3CPU的全數(shù)字機(jī)”。廠家給出單機(jī)平均無故障時間MTBF是300年。對于100kW的雷達(dá)、通信、計算機(jī)組成的導(dǎo)航系統(tǒng),用兩路獨立的市電供電,每路市電饋入2臺200kVA的功率均分冗余系統(tǒng)。這兩套雙并機(jī)系統(tǒng)再用PLC系統(tǒng)聯(lián)機(jī)。以4臺高級的200kVA UPS的輸出電壓與輸出電流同時高精度采樣,控制環(huán)流為零的高冗余方式。實際運行的功率<100kW的負(fù)載,采用上述供電系統(tǒng),以求萬無一失。

　　這樣就有兩個問題:一是過分冗余,成本太高,不可能推廣。二是MTBF→∞并不等于安全完整性(Safety Integrity)很高,如整體安全性(Over all Safety)設(shè)計不周,這就成了一個典型的“馬其諾防線”,故障在供電系統(tǒng)其他薄弱環(huán)節(jié)上可能發(fā)生。
　　(3)在同樣事關(guān)公眾生命安全的EPS系統(tǒng)中,竟出現(xiàn)“最低報價者中標(biāo)”的“矯枉過正”的情況。這就出現(xiàn)“高風(fēng)險”工程設(shè)計思想。而發(fā)達(dá)地區(qū)較傾向中價位中標(biāo)。“高風(fēng)險”工程思想隱患中的世界著名案例中最嚴(yán)重的是:1986年蘇聯(lián)切爾諾貝利核電站發(fā)生1kMW的大功率核電反應(yīng)堆爆炸，造成的核輻射污染比廣島原子彈高100倍!后患無窮。其次是2003年世界最大的巨型城市地帶(Megalopolis)紐約-芝加哥-多倫多地區(qū)11個州發(fā)生的大面積停電事故。
　　2 以規(guī)則、標(biāo)準(zhǔn)和法規(guī)來化解用戶風(fēng)險
　　目前工程責(zé)任人的“高風(fēng)險”就是現(xiàn)在對事故防范于未然的過程。沒有規(guī)則的道德防范、標(biāo)準(zhǔn)的技術(shù)防范、法規(guī)的行為防范,而只有事后法律的懲罰,令工程責(zé)任人處于困境,這是沒有進(jìn)行長期市場建設(shè)積累的后果。
　　(1)用市場的規(guī)則來降低用戶風(fēng)險
　　市場建設(shè)是從計劃經(jīng)濟(jì)的行政干預(yù)過渡到市場經(jīng)濟(jì)中必不可少的程序。產(chǎn)品的第三方檢驗、測試實驗室、技術(shù)推廣與培訓(xùn)中心以及那些制造商與用戶技術(shù)溝通的、非贏利的不代表某家公司利益的組織等等是市場規(guī)則的運行者。媒體在其中也作為一個重要的中立組織來運行上述規(guī)則。這些規(guī)則的運行者是“非盈利機(jī)構(gòu)和個人”。用戶與制造商可以從這些組織得到真實客觀的知識,來分擔(dān)他們的風(fēng)險。當(dāng)然,其成本應(yīng)由咨詢受益者支付。
　　(2)用標(biāo)準(zhǔn)化來界定用戶風(fēng)險
　　這首先是由有信譽的標(biāo)準(zhǔn)化機(jī)構(gòu)來界定,在中國是政府機(jī)構(gòu),如中國國家標(biāo)準(zhǔn)化管理委員會(SAC)與中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)相應(yīng)授權(quán)的測試實驗室、第三方檢驗、鑒定、認(rèn)可、認(rèn)證機(jī)構(gòu)。
　　(3)用國家標(biāo)準(zhǔn)來化解責(zé)任人的風(fēng)險
　　如果工程負(fù)責(zé)人的行為是按照規(guī)則與標(biāo)準(zhǔn)化程序來行事,那就降低和限定了風(fēng)險。如果這種降低與限定是符合國家標(biāo)準(zhǔn)GB或GB/T的,那么對工程與制造責(zé)任人的職業(yè)風(fēng)險就會化解到安全的程度。
　　3 “功能安全措施”基本概念
　　與“風(fēng)險”控制概念
　　“安全(Safe)”一般來看,就是“不出事故”。但這是一個絕對概念,事實上,沒有絕對不出事故的社會,“絕對安全”是不可能的。
因此,科學(xué)地看待“安全性”或“安全措施”,用這個詞來取代“安全”這個詞。那這種措施是針對什么呢?在IEC61508-1998與GB/T20438.1-2006中的“安全性或安全措施概念”是“不存在、不可接受的風(fēng)險”。通過這個定義,把“安全”的絕對概念轉(zhuǎn)化為“安全措施”,使“風(fēng)險”降到可接受的程度,而“風(fēng)險”是可以控制的。
　　4 風(fēng)險控制的步驟
　　風(fēng)險控制的步驟如下:
　　(1)要確定受控制設(shè)備(EUC)的范圍,及其與外部環(huán)境的相互作用。
　　(2)找出EUC與外部環(huán)境作用的“危險點”,對危險點計算或評估出其風(fēng)險,是全面的計算“風(fēng)險”,而不只是簡單地計算MTBF。事實上,MTBF是必要技術(shù)條件而不是充分技術(shù)條件。
　　(3)明確上述風(fēng)險在規(guī)則、標(biāo)準(zhǔn)中的目標(biāo),比較EUC危險點的風(fēng)險值與法規(guī)允許風(fēng)險值的差值,采取安全措施,這就是“安全措施”的操作程序,其概念可用圖2表示。
　　由此明確“安全措施(Safety)”的概念就可看出前述的用MTBF為300年供電系統(tǒng)來保障100kW的UPS供電,既是浪費的,也存在著其它風(fēng)險,卻未能確保其安全性。由此可以深入到安全措施的完整性這一概念。
　　5 安全措施的完整性
　　安全措施的完整性就是針對上述掛一漏萬的“安全措施”的漏洞而提出的。其定義如IEC61508:1998與GB/T20438,4-2006所述:“在規(guī)定條件下”和規(guī)定時間內(nèi),安全性相關(guān)系統(tǒng)成功實現(xiàn)所要求的安全措施功能的概率。安全措施的完整性有兩類各4種級別。
　　對于具體工程的責(zé)任人根據(jù)國標(biāo)法規(guī)、法律來首先設(shè)定工程的SIL等級，由上級批準(zhǔn)后再來設(shè)計與選型。這樣合法的設(shè)計，責(zé)任是量化的。使得工程責(zé)任人可以放心地考慮其系統(tǒng)的最優(yōu)化。而不是重復(fù)保險的高度冗余及300年的MTBF。
　　6 在設(shè)定SIL時的重要
　　TÜV數(shù)據(jù)
　　根據(jù)歐盟對外國出口到歐盟的產(chǎn)品必須經(jīng)過歐盟指定的檢測、認(rèn)可與認(rèn)證機(jī)構(gòu)TÜV(Technische Überwachen Verein),長期實踐中積累的經(jīng)驗數(shù)據(jù)是“安全措施相關(guān)函數(shù)”。它是UPS/EPS設(shè)計與使用中,特別是設(shè)計中的“風(fēng)險點數(shù)據(jù)”。
　　由此可見,作為典型的E/E/PE的UPS/EPS本身的失效起因比起用多種材料制成的傳感器小很多,而有機(jī)械接觸與動作的執(zhí)行器則導(dǎo)致系統(tǒng)失效的概率最高!可以從上述IEC與GB/T的最高標(biāo)準(zhǔn)來論證與實現(xiàn),標(biāo)準(zhǔn)模塊、機(jī)箱、機(jī)柜、分布式的UPS/EPS能對大系統(tǒng)大大提高安全完整性。
　　7 UPS/EPS系統(tǒng)設(shè)計中的
　　標(biāo)準(zhǔn)化模塊SIL的TÜV
　　數(shù)據(jù)根據(jù)
　　從上述“安全完整性”與“安全性措施”可知,把不可控“安全”化解為可控的“風(fēng)險”出現(xiàn)概率的基本理念——新的國際標(biāo)準(zhǔn)與最新的國家標(biāo)準(zhǔn)，改進(jìn)了MTBF與MTTR的經(jīng)典觀念，以考慮UPS/EPS的設(shè)計新概念。近年來,筆者發(fā)表了一系列的關(guān)于標(biāo)準(zhǔn)化模塊的組合式與分布式的UPS/EPS文章，并已在較大的工程中實現(xiàn)。其中最優(yōu)方案是在筆者發(fā)表的一些文章中指出的:一個標(biāo)準(zhǔn)電氣—電子19英寸立柜中，一臺受保護(hù)的主機(jī)(如服務(wù)器或雷達(dá))、或通信主機(jī)或CAMAC測控主機(jī)、或NIM測控主機(jī)、或DCS測控主機(jī)、或PLC測控主機(jī)、或FCS測控主機(jī),前置2臺有補償?shù)腸osφ≤0.95,功率均分并機(jī)的UPS，采用最短傳輸線,最少機(jī)械接觸點的設(shè)計，而一個大型雷達(dá)導(dǎo)航系統(tǒng),一個大型自動測檢系統(tǒng)就有這樣的大立柜幾十個,這時TÜV“安全措施”相關(guān)函數(shù)中“失效概率”最低。