3.1　确定安全功能

一般根据风险分析结果确定E/E/PE安全相关系统需要哪些安全功能（SF），也就是确定E/E/PE安全相关系统应该完成什么动作。以安全仪表系统为例，首先判别危险状态，接下来考虑安全仪表功能（SIF）动作后能将过程带入何种安全状态，最后是具体如何动作才能使过程进入安全状态。被控制的系统不同，安全功能执行的动作也不同。即需要对控制、设备及过程等多方面的认识来正确地确定完整的安全功能。而这些认识来自风险分析，风险分析可以提供用于确定过程所需各个安全功能的信息，安全仪表功能也不例外。

3.1.1　根据风险分析报告确定SF

风险分析通常采用第2.2节中介绍的定性方法，如预先危险性分析（PHA）、危险与可操作性分析（HAZOP）、失效模式及影响分析、检查表等。以过程工业为例，通过分析风险分析报告能够发现已有的安全仪表功能和为了提高安全性需要增加的安全仪表功能。例如PHA报告中的安全措施包含了受控过程中正在使用的SIF，PHA报告中的建议包含了应该增加的SIF。通常根据风险分析报告会确定出一张SF列表。

在根据风险分析报告确定SF时，需要以下4种信息：

①SF的描述。无论是现役的还是新增的SF，每个SF都应该在安全措施及建议项中列出。

②不期望后果的描述。风险分析报告中应列出需要预防和控制的不期望的后果。

③造成后果的初始事件。风险分析报告中应列出造成事故后果的原因。

④其他能够防止初始事件演变为事故的安全措施。包括已有的和新增的安全措施，这些安全措施包括E/E/PE安全相关系统和其他风险降低措施。

3.1.2　根据工程文件确定SF

过程工业企业和设计单位一般将安全仪表功能（SIF）打包在基础设计包中，通常表现为P&ID图或过程流程图。因为基础设计包中的BPCS和SIF没有分开，所以识别SIF较为困难。从工程文件中识别SIF需要对控制过程、受控过程和风险分析有足够深入的理解。例如从P&ID图中识别SIF时，需要具有自动控制工程和工艺过程的相关知识。

PHA通常不能识别过去发生过的危险，因为针对这些危险已经采取了安全工程技术措施。即工程设计文件中通常已经包含了根据以往事故经验设计的安全措施，但这些措施可能不会出现在PHA报告中。

3.1.3　根据经验确定SF

因为许多受控过程或系统不是新建的，而是改建或扩建的，这样可以直接使用以前生产过程中已经验证的安全功能，也就是根据经验确定安全功能。实际上，在功能安全没有提出，更准确地说是对安全功能没有安全完整性等级的要求时，许多设计院的自动控制专业都是根据以往经验来确定安全功能。