1 工程招標中用戶面臨的風險
　　近年來,我國各地廠礦重大事故屢有發生，給人民生命、國家財產造成了巨大損失。從這些特別重大事故的調查結果來看,事故單位在安全生產工作中存在著嚴重的問題,也反映出安全生產的方針、政策措施在一些地方和企業沒有真正落實。而根據市場需求，主動編制標準，在市場競爭中升級成部級或國家級標準,則遠未成為風氣。
　　目前,在招標過程中,人們往往采取三種對策:
　　(1)一些用戶隨大流,利用外國名牌產品中標,不實事求是地分析產品。
　　(2)風險和責任重大的用戶則過分要求高可靠性。例如,對民航全國導航網某主站的UPS,額定功率100kVA,中標的是美、加、日高端用戶的名牌高級機型——“PWM整流+PWM逆變+DSP+DDC+3CPU的全數字機”。廠家給出單機平均無故障時間MTBF是300年。對于100kW的雷達、通信、計算機組成的導航系統,用兩路獨立的市電供電,每路市電饋入2臺200kVA的功率均分冗余系統。這兩套雙并機系統再用PLC系統聯機。以4臺高級的200kVA UPS的輸出電壓與輸出電流同時高精度采樣,控制環流為零的高冗余方式。實際運行的功率<100kW的負載,采用上述供電系統,以求萬無一失。

　　這樣就有兩個問題:一是過分冗余,成本太高,不可能推廣。二是MTBF→∞并不等于安全完整性(Safety Integrity)很高,如整體安全性(Over all Safety)設計不周,這就成了一個典型的“馬其諾防線”,故障在供電系統其他薄弱環節上可能發生。
　　(3)在同樣事關公眾生命安全的EPS系統中,竟出現“最低報價者中標”的“矯枉過正”的情況。這就出現“高風險”工程設計思想。而發達地區較傾向中價位中標。“高風險”工程思想隱患中的世界著名案例中最嚴重的是:1986年蘇聯切爾諾貝利核電站發生1kMW的大功率核電反應堆爆炸，造成的核輻射污染比廣島原子彈高100倍!后患無窮。其次是2003年世界最大的巨型城市地帶(Megalopolis)紐約-芝加哥-多倫多地區11個州發生的大面積停電事故。
　　2 以規則、標準和法規來化解用戶風險
　　目前工程責任人的“高風險”就是現在對事故防范于未然的過程。沒有規則的道德防范、標準的技術防范、法規的行為防范,而只有事后法律的懲罰,令工程責任人處于困境,這是沒有進行長期市場建設積累的后果。
　　(1)用市場的規則來降低用戶風險
　　市場建設是從計劃經濟的行政干預過渡到市場經濟中必不可少的程序。產品的第三方檢驗、測試實驗室、技術推廣與培訓中心以及那些制造商與用戶技術溝通的、非贏利的不代表某家公司利益的組織等等是市場規則的運行者。媒體在其中也作為一個重要的中立組織來運行上述規則。這些規則的運行者是“非盈利機構和個人”。用戶與制造商可以從這些組織得到真實客觀的知識,來分擔他們的風險。當然,其成本應由咨詢受益者支付。
　　(2)用標準化來界定用戶風險
　　這首先是由有信譽的標準化機構來界定,在中國是政府機構,如中國國家標準化管理委員會(SAC)與中國國家認證認可監督管理委員會(CNCA)相應授權的測試實驗室、第三方檢驗、鑒定、認可、認證機構。
　　(3)用國家標準來化解責任人的風險
　　如果工程負責人的行為是按照規則與標準化程序來行事,那就降低和限定了風險。如果這種降低與限定是符合國家標準GB或GB/T的,那么對工程與制造責任人的職業風險就會化解到安全的程度。
　　3 “功能安全措施”基本概念
　　與“風險”控制概念
　　“安全(Safe)”一般來看,就是“不出事故”。但這是一個絕對概念,事實上,沒有絕對不出事故的社會,“絕對安全”是不可能的。
因此,科學地看待“安全性”或“安全措施”,用這個詞來取代“安全”這個詞。那這種措施是針對什么呢?在IEC61508-1998與GB/T20438.1-2006中的“安全性或安全措施概念”是“不存在、不可接受的風險”。通過這個定義,把“安全”的絕對概念轉化為“安全措施”,使“風險”降到可接受的程度,而“風險”是可以控制的。
　　4 風險控制的步驟
　　風險控制的步驟如下:
　　(1)要確定受控制設備(EUC)的范圍,及其與外部環境的相互作用。
　　(2)找出EUC與外部環境作用的“危險點”,對危險點計算或評估出其風險,是全面的計算“風險”,而不只是簡單地計算MTBF。事實上,MTBF是必要技術條件而不是充分技術條件。
　　(3)明確上述風險在規則、標準中的目標,比較EUC危險點的風險值與法規允許風險值的差值,采取安全措施,這就是“安全措施”的操作程序,其概念可用圖2表示。
　　由此明確“安全措施(Safety)”的概念就可看出前述的用MTBF為300年供電系統來保障100kW的UPS供電,既是浪費的,也存在著其它風險,卻未能確保其安全性。由此可以深入到安全措施的完整性這一概念。
　　5 安全措施的完整性
　　安全措施的完整性就是針對上述掛一漏萬的“安全措施”的漏洞而提出的。其定義如IEC61508:1998與GB/T20438,4-2006所述:“在規定條件下”和規定時間內,安全性相關系統成功實現所要求的安全措施功能的概率。安全措施的完整性有兩類各4種級別。
　　對于具體工程的責任人根據國標法規、法律來首先設定工程的SIL等級，由上級批準后再來設計與選型。這樣合法的設計，責任是量化的。使得工程責任人可以放心地考慮其系統的最優化。而不是重復保險的高度冗余及300年的MTBF。
　　6 在設定SIL時的重要
　　TÜV數據
　　根據歐盟對外國出口到歐盟的產品必須經過歐盟指定的檢測、認可與認證機構TÜV(Technische Überwachen Verein),長期實踐中積累的經驗數據是“安全措施相關函數”。它是UPS/EPS設計與使用中,特別是設計中的“風險點數據”。
　　由此可見,作為典型的E/E/PE的UPS/EPS本身的失效起因比起用多種材料制成的傳感器小很多,而有機械接觸與動作的執行器則導致系統失效的概率最高!可以從上述IEC與GB/T的最高標準來論證與實現,標準模塊、機箱、機柜、分布式的UPS/EPS能對大系統大大提高安全完整性。
　　7 UPS/EPS系統設計中的
　　標準化模塊SIL的TÜV
　　數據根據
　　從上述“安全完整性”與“安全性措施”可知,把不可控“安全”化解為可控的“風險”出現概率的基本理念——新的國際標準與最新的國家標準，改進了MTBF與MTTR的經典觀念，以考慮UPS/EPS的設計新概念。近年來,筆者發表了一系列的關于標準化模塊的組合式與分布式的UPS/EPS文章，并已在較大的工程中實現。其中最優方案是在筆者發表的一些文章中指出的:一個標準電氣—電子19英寸立柜中，一臺受保護的主機(如服務器或雷達)、或通信主機或CAMAC測控主機、或NIM測控主機、或DCS測控主機、或PLC測控主機、或FCS測控主機,前置2臺有補償的cosφ≤0.95,功率均分并機的UPS，采用最短傳輸線,最少機械接觸點的設計，而一個大型雷達導航系統,一個大型自動測檢系統就有這樣的大立柜幾十個,這時TÜV“安全措施”相關函數中“失效概率”最低。