（高清版）GBT 41295.4-2022 功能安全應(yīng)用指南 第4部分：管理和維護(hù)

功能安全應(yīng)用指南第4部分：管理和維護(hù)GB/T41295.4—2022 I引言 Ⅱ 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 15總則 26文檔方面 27人員方面 28變更管理和配置管理 39運(yùn)行和維護(hù)過(guò)程的安全管理 3參考文獻(xiàn) 7I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T41295《功能安全應(yīng)用指南》的第4部分。GB/T41295已經(jīng)發(fā)布了以下部分：——第1部分：危害辨識(shí)和需求分析；——第2部分：設(shè)計(jì)和實(shí)現(xiàn)；——第3部分：測(cè)試驗(yàn)證；——第4部分：管理和維護(hù)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本文件起草單位：中國(guó)石油集團(tuán)安全環(huán)保技術(shù)研究院有限公司、機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、國(guó)能智深控制技術(shù)有限公司。Ⅱ自GB/T20438(所有部分)發(fā)布以來(lái)，電氣/電子/可編程電子系統(tǒng)已經(jīng)越來(lái)越多的應(yīng)用于國(guó)內(nèi)各個(gè)領(lǐng)域的安全控制和安全防護(hù)，包括石油、化工、電力、軌道交通、汽車、電梯/扶梯等。近年來(lái)隨著智能制造的興起，智能化設(shè)備(主要由電氣/電子/可編程電子為技術(shù)基礎(chǔ))的安全問(wèn)題逐漸成為一個(gè)新的研究方向和焦點(diǎn)，進(jìn)一步提升了對(duì)功能安全技術(shù)的需求。GB/T20438(所有部分)給出了實(shí)現(xiàn)功能安全的基本框架和結(jié)構(gòu)，作為等同轉(zhuǎn)化的標(biāo)準(zhǔn)，與國(guó)內(nèi)企業(yè)的管理體系和設(shè)計(jì)思路未能完全切合，加之很多國(guó)內(nèi)工程技術(shù)人員都是初次接觸功能安全技術(shù)，對(duì)于功能安全概念一時(shí)難以理解，這就造成雖然國(guó)際功能安全標(biāo)準(zhǔn)提出了非常好的安全理念和設(shè)計(jì)措施，但技術(shù)人員難以清楚的理解和認(rèn)識(shí)。GB/T20438(所有部分)發(fā)布10多年來(lái)，國(guó)內(nèi)一些領(lǐng)先的科研院所和企業(yè)已經(jīng)基于標(biāo)準(zhǔn)要求開展了很多工作，并積累了一定的經(jīng)驗(yàn)。因此，基于國(guó)內(nèi)目前已有的功能安全評(píng)估、功能安全設(shè)計(jì)、功能安全測(cè)試和功能安全管理實(shí)踐形成本文件，以更好地指導(dǎo)功能安全相關(guān)系統(tǒng)的運(yùn)行維護(hù)。GB/T41295擬制定4個(gè)部分： 第1部分：危害辨識(shí)和需求分析。目的在于確立功能安全系統(tǒng)設(shè)計(jì)初期的危害辨識(shí)內(nèi)容和需求如何產(chǎn)生的方法；——第2部分：設(shè)計(jì)和實(shí)現(xiàn)。目的在于確立功能安全系統(tǒng)的軟硬件設(shè)計(jì)和實(shí)現(xiàn)方法和實(shí)施指南；——第3部分：測(cè)試驗(yàn)證。目的在于確立功能安全系統(tǒng)在生命周期過(guò)程各個(gè)階段的測(cè)試導(dǎo)則和測(cè)試方法解讀；——第4部分：管理和維護(hù)。目的在于確立功能安全系統(tǒng)管理和維護(hù)過(guò)程的導(dǎo)則。1功能安全應(yīng)用指南第4部分：管理和維護(hù)本文件確立了功能安全系統(tǒng)實(shí)現(xiàn)相應(yīng)安全完整性等級(jí)的安全管理和維護(hù)活動(dòng)，包括文檔、人員、變更管理，以及維護(hù)過(guò)程的檢驗(yàn)測(cè)試等。本文件適用于從功能安全系統(tǒng)安裝、試運(yùn)行到正常運(yùn)行過(guò)程中的相關(guān)管理和維護(hù)活動(dòng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(yǔ)3術(shù)語(yǔ)和定義GB/T20438.4—2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。功能安全系統(tǒng)functionalsafetysystem執(zhí)行安全相關(guān)功能的系統(tǒng)，具有功能安全相關(guān)的特性，滿足特定的安全完整性等級(jí)(SIL)。注：這里的系統(tǒng)是一個(gè)廣義的概念，包含不同的層次，如安全部件、安全設(shè)備或安全控制系統(tǒng)等。在實(shí)際的工業(yè)過(guò)程中，功能安全系統(tǒng)可能是一個(gè)變送器、繼電器、安全可編程序控制器或安全儀表系統(tǒng)。功能安全系統(tǒng)研發(fā)團(tuán)隊(duì)teamforfunctionalsafetysystemresearchanddevelopment執(zhí)行功能安全系統(tǒng)設(shè)計(jì)研發(fā)的責(zé)任主體。注：包括功能安全系統(tǒng)硬件開發(fā)人員、軟件開發(fā)人員、驗(yàn)證測(cè)試人員、安全管理人員等。功能安全系統(tǒng)維護(hù)團(tuán)隊(duì)teamforfunctionalsafetysystemmaintenance執(zhí)行功能安全系統(tǒng)運(yùn)行維護(hù)的責(zé)任主體。注：包括對(duì)功能安全系統(tǒng)的檢驗(yàn)測(cè)試人員、變更管理人員、日常巡檢人員、配件更換人員等。離線測(cè)試offlinetest在受控設(shè)備處于安全狀態(tài)的情況下，開展的測(cè)試活動(dòng)。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。2HAZOP:危險(xiǎn)與可操作性(HazardandOperability)HMI:人機(jī)接口(HumanMachineInterface)LOPA:保護(hù)層分析(LayerOfProtectionAnalysis)PFDavg:要求時(shí)危險(xiǎn)失效平均概率(AverageProbabilityofDangerousFailureonDemand)PFH:危險(xiǎn)失效平均頻率(AverageFrequencyofDangerousFailurePerHour)SIL:安全完整性等級(jí)(SafetyIntegrityLevel)SRS:安全要求規(guī)范(SafetyRequirementSpecification)5總則5.1從事功能安全系統(tǒng)安裝、試運(yùn)行和正式運(yùn)行的組織需考慮建立功能安全管理體系，以保證在實(shí)施相關(guān)工作過(guò)程中要求的安全完整性能力得以保持。5.2功能安全管理體系可與已經(jīng)建立的安全/環(huán)保管理或質(zhì)量管理體系相結(jié)合，協(xié)同實(shí)施。6文檔方面6.1在執(zhí)行安裝、試運(yùn)行和維護(hù)之前，需考慮已經(jīng)獲得了足夠支持后續(xù)安全管理的所有文件和規(guī)范，包括但不限于：——危險(xiǎn)與風(fēng)險(xiǎn)分析報(bào)告(如HAZOP分析報(bào)告);——安全完整性等級(jí)確定報(bào)告(如LOPA分析報(bào)告);——所有安全相關(guān)系統(tǒng)的安全手冊(cè)和用戶手冊(cè)；——整個(gè)裝置或工藝的安全要求規(guī)范(SRS);——系統(tǒng)安全集成報(bào)告；——系統(tǒng)工廠驗(yàn)收測(cè)試報(bào)告；——項(xiàng)目宜符合的安全相關(guān)標(biāo)準(zhǔn)或國(guó)家法律法規(guī)[如GB/T20438(所有部分),GB/T21109(所有部分)等]。6.2編制安裝、試運(yùn)行和維護(hù)工作計(jì)劃，完成工作之后需要形成技術(shù)報(bào)告。6.3相關(guān)文檔妥善保存便于功能安全審計(jì)和功能安全評(píng)估時(shí)查閱，文檔在特定的安全相關(guān)系統(tǒng)停用之后可不再保存。7.1執(zhí)行功能安全系統(tǒng)運(yùn)行維護(hù)的人員，在上崗前需經(jīng)過(guò)獨(dú)立的第三方功能安全培訓(xùn)，培訓(xùn)內(nèi)容宜涵蓋GB/T20438(所有部分)、GB/T21109(所有部分)和本文件的相關(guān)內(nèi)容。7.2需考慮對(duì)負(fù)責(zé)開展活動(dòng)的所有人員、部門和組織(包括對(duì)驗(yàn)證和功能安全評(píng)估負(fù)責(zé)的人員，以及相關(guān)的批準(zhǔn)權(quán)威機(jī)構(gòu)或安全法規(guī)機(jī)構(gòu))進(jìn)行識(shí)別，并完整清楚地告知其責(zé)任。7.3清楚的定義出每個(gè)人員從事安全活動(dòng)的范圍、職責(zé)、應(yīng)具備的能力(即培訓(xùn)、技術(shù)知識(shí)、經(jīng)驗(yàn)和資格)和限制條件等。7.4需考慮對(duì)執(zhí)行特定功能安全活動(dòng)的人員能力進(jìn)行規(guī)定和限制，包括：——所有人員經(jīng)過(guò)專業(yè)機(jī)構(gòu)的功能安全培訓(xùn)，具備從事功能安全活動(dòng)的資質(zhì)；——團(tuán)隊(duì)負(fù)責(zé)人具備相關(guān)項(xiàng)目的經(jīng)驗(yàn)，并對(duì)功能安全標(biāo)準(zhǔn)和技術(shù)具有深入理解；——所有人員經(jīng)過(guò)定期的培訓(xùn)，以獲知最新的功能安全標(biāo)準(zhǔn)和技術(shù)進(jìn)展。7.5不同崗位的人員之間宜建立適當(dāng)?shù)臏贤ń涣鳈C(jī)制。38變更管理和配置管理8.1需保證采用了適當(dāng)?shù)呐渲霉芾砗妥兏刂埔?guī)程。8.2構(gòu)建符合特定項(xiàng)目要求的配置項(xiàng)，配置項(xiàng)宜涵蓋可能影響安全完整性等級(jí)的所有軟硬件實(shí)體和文檔。8.3需保證發(fā)生變更時(shí)要求的安全完整性得以持續(xù)滿足，這包括針對(duì)變更執(zhí)行影響分析和開發(fā)適當(dāng)?shù)臏y(cè)試計(jì)劃。8.4需保證一個(gè)適當(dāng)?shù)淖兏鷾?zhǔn)機(jī)制存在并且不會(huì)執(zhí)行非授權(quán)的變更。8.5配置管理系統(tǒng)需保證所有配置項(xiàng)的配置狀態(tài)和版本得以識(shí)別。8.6宜使用一套規(guī)范化的系統(tǒng)，保證配置下的所有項(xiàng)目都能單獨(dú)得以識(shí)別。9運(yùn)行和維護(hù)過(guò)程的安全管理9.1總則功能安全維護(hù)管理的核心目標(biāo)是保證功能安全系統(tǒng)在現(xiàn)場(chǎng)運(yùn)行過(guò)程中要求的SIL能力不會(huì)降低，導(dǎo)致SIL能力降低的原因可能包括：a)由于人為的安裝、試運(yùn)行不當(dāng)，導(dǎo)致功能安全系統(tǒng)從運(yùn)行開始就存在潛在的缺陷，無(wú)法實(shí)現(xiàn)預(yù)期的所有安全功能(系統(tǒng)性能力不滿足);b)由于人為的維護(hù)活動(dòng)不當(dāng)，導(dǎo)致沒(méi)有按照系統(tǒng)的要求執(zhí)行故障處理和維修更換等；c)系統(tǒng)的硬件(包括數(shù)據(jù)傳輸和軟錯(cuò)誤)由于環(huán)境或人為因素導(dǎo)致比預(yù)期的失效率高(硬件安全完整性不滿足);d)維護(hù)過(guò)程中沒(méi)有執(zhí)行適當(dāng)?shù)臋z驗(yàn)測(cè)試，包括檢驗(yàn)測(cè)試周期過(guò)長(zhǎng)或檢驗(yàn)測(cè)試的內(nèi)容不充分。a)和b)的內(nèi)容需要使用適當(dāng)?shù)墓δ馨踩芾砗瓦\(yùn)行前驗(yàn)收測(cè)試來(lái)保證，為避免c)和d)的發(fā)生需要考慮9.2～9.4的內(nèi)容。9.2運(yùn)行過(guò)程的在線安全分析9.2.1考慮在維護(hù)過(guò)程中開展對(duì)功能安全系統(tǒng)的現(xiàn)場(chǎng)失效分析和在線安全管理。9.2.2在功能安全系統(tǒng)運(yùn)行過(guò)程中，現(xiàn)場(chǎng)運(yùn)維人員需要對(duì)功能安全系統(tǒng)出現(xiàn)的故障情況進(jìn)行記錄。9.2.3宜采用專用記錄工具進(jìn)行自動(dòng)化的故障統(tǒng)計(jì)。自動(dòng)化的記錄工具可實(shí)現(xiàn)對(duì)功能安全系統(tǒng)各個(gè)組件故障信息通過(guò)通信網(wǎng)絡(luò)自動(dòng)獲取、匯總、分類和顯示。9.2.4基于故障收集的情況，對(duì)所有的故障記錄需要進(jìn)行定性和定量分析，確定這些故障的出現(xiàn)是否超出系統(tǒng)的預(yù)期運(yùn)行目標(biāo)、規(guī)則或失效率。設(shè)備失效模式及數(shù)據(jù)采集方法可見(jiàn)GB/T20172—2006、GB28526—2012、GB/T9.2.5對(duì)于關(guān)鍵的安全功能回路需要考慮采用專用的安全特性在線分析工具。在線分析工具可與記錄工具可以成套使用。安全特性在線分析工具至少具備安全回路設(shè)備狀態(tài)監(jiān)測(cè)、實(shí)時(shí)故障預(yù)警、要求率分析和風(fēng)險(xiǎn)動(dòng)態(tài)評(píng)價(jià)等功能。9.2.6當(dāng)故障分析結(jié)論為功能安全系統(tǒng)當(dāng)前的運(yùn)行狀態(tài)與安全要求規(guī)范、系統(tǒng)用戶手冊(cè)和安全手冊(cè)中規(guī)定的不符時(shí)，宜采取適當(dāng)?shù)拇胧?duì)系統(tǒng)進(jìn)行修改，可選的措施包括：——更換故障率高的組件，并排查導(dǎo)致故障率升高的原因，保證從根源上避免故障發(fā)生；——調(diào)整內(nèi)部的管理措施，加強(qiáng)人工的巡檢和維護(hù)；——重新開展一次完整的危險(xiǎn)與風(fēng)險(xiǎn)分析和安全完整性確定評(píng)估，提出新的安全防護(hù)需求。49.3檢驗(yàn)測(cè)試9.3.1.1實(shí)際開展的檢驗(yàn)測(cè)試的時(shí)間間隔不超過(guò)PFDavg或PFH計(jì)算中規(guī)定的間隔時(shí)間，如采用更長(zhǎng)的間隔時(shí)間，重新開展適當(dāng)?shù)腜FDavg或PFH計(jì)算，以證明符合要求的SIL。9.3.1.2實(shí)際開展的檢驗(yàn)測(cè)試達(dá)到的測(cè)試覆蓋率不小于PFDavg或PFH計(jì)算中假設(shè)的測(cè)試覆蓋率。9.3.1.3執(zhí)行檢驗(yàn)測(cè)試的人員需經(jīng)過(guò)培訓(xùn)，對(duì)功能安全系統(tǒng)及現(xiàn)場(chǎng)工藝等都有足夠的認(rèn)識(shí)。9.3.1.4執(zhí)行檢驗(yàn)測(cè)試的工具需考慮經(jīng)過(guò)定期的校核，以保證測(cè)量精度和溯源性。9.3.1.5制定檢驗(yàn)測(cè)試計(jì)劃，在完成測(cè)試后編制檢驗(yàn)測(cè)試報(bào)告。9.3.1.6理論上，檢驗(yàn)測(cè)試可在線或離線開展，具體選用何種方式取決于具體的工藝要求、生產(chǎn)要求和功能安全系統(tǒng)特性。9.3.1.7宜采用自動(dòng)化的工具對(duì)檢驗(yàn)測(cè)試的執(zhí)行情況進(jìn)行記錄和動(dòng)態(tài)分析，并基于測(cè)試要求提出改進(jìn)措施。9.3.2離線測(cè)試時(shí)間9.3.2.1最常用的用于揭露導(dǎo)致安全功能喪失功能的失效或故障的安全功能測(cè)試是離線功能測(cè)試。執(zhí)行該測(cè)試時(shí)，受控設(shè)備處于停產(chǎn)的狀態(tài)，可對(duì)安全功能的所有特征進(jìn)行確認(rèn)。該測(cè)試的主要目的是檢測(cè)安全功能中危險(xiǎn)未被揭露的故障。9.3.2.2對(duì)安全相關(guān)系統(tǒng)中的每個(gè)安全功能進(jìn)行辨識(shí)。與每個(gè)安全功能相關(guān)的所有輸入、輸出和邏輯均得到辨識(shí)。測(cè)試規(guī)范需要考慮定義如何對(duì)每個(gè)安全功能進(jìn)行確認(rèn)。對(duì)所有執(zhí)行測(cè)試的必要設(shè)備進(jìn)行辨識(shí)，并驗(yàn)證其是否適應(yīng)于該測(cè)試，包括具有可追溯特性的校準(zhǔn)設(shè)備。9.3.2.3考慮以下因素以確定離線測(cè)試的時(shí)間間隔：——測(cè)試間隔由對(duì)安全功能的性能計(jì)算確定；——當(dāng)邏輯發(fā)生變更，對(duì)安全功能產(chǎn)生影響的時(shí)候；——當(dāng)過(guò)程或設(shè)備由于計(jì)劃的維護(hù)活動(dòng)停止工作；——公司關(guān)于對(duì)安全功能進(jìn)行完整測(cè)試的政策；——在功能安全系統(tǒng)長(zhǎng)時(shí)間停機(jī)之后。9.3.2.4在執(zhí)行修改(改變下述中的任何一項(xiàng))之前，執(zhí)行相應(yīng)的審查以保證變更不會(huì)降低防護(hù)等級(jí)，并需要執(zhí)行適當(dāng)?shù)臏y(cè)試以確認(rèn)修改后的安全功能仍正常運(yùn)行，改變包括：——一個(gè)基于原始設(shè)計(jì)意圖的安全保護(hù)層的性能；——結(jié)構(gòu)的材料；——運(yùn)行模式；——運(yùn)行的規(guī)程；——報(bào)警和聯(lián)鎖設(shè)置；——響應(yīng)速度；——測(cè)試間隔或方法；——設(shè)備類型，除非是同型更換；——架構(gòu)或表決邏輯；——診斷。9.3.3傳感器子系統(tǒng)的離線測(cè)試9.3.3.1開關(guān)在正常工作過(guò)程中，狀態(tài)不經(jīng)常發(fā)生改變，為確認(rèn)其功能的有效性，需考慮周期性進(jìn)行離5線測(cè)試，測(cè)試周期提前給予確定。9.3.3.2變送器能夠提供如超范圍高/低診斷和超出控制范圍顯示，故根據(jù)變送器的診斷功能酌情降低對(duì)變送器的測(cè)試頻率。9.3.3.3輸入設(shè)備的校準(zhǔn)穩(wěn)定性可能要求其測(cè)試頻率要低于完整的安全功能。考慮設(shè)備會(huì)由于環(huán)境改變(如溫度)而漂移，可能要求更加頻繁的測(cè)試和校準(zhǔn)，以保證正確的過(guò)程變量輸入到安全功能。時(shí)漂大或者工作環(huán)境比較惡劣的變送器，需考慮增加其測(cè)試頻率。9.3.3.4組件的冗余可能會(huì)影響測(cè)試頻率。如果冗余變送器有輸出監(jiān)視，并且彼此比較，一致則意味著對(duì)測(cè)量量不需要頻繁的測(cè)試或校準(zhǔn)。如果輸出漂移分離，表示需要對(duì)所有冗余組件進(jìn)行測(cè)試和校準(zhǔn)。9.3.3.5對(duì)危險(xiǎn)條件檢測(cè)的多樣性是一種在不增加冗余組件的情況下提高安全功能的可用性。例如，對(duì)于壓力的測(cè)量可以通過(guò)對(duì)工藝過(guò)程條件的溫度測(cè)量來(lái)表示。通過(guò)對(duì)溫度、壓力值與預(yù)計(jì)的熱力學(xué)數(shù)據(jù)進(jìn)行比較，對(duì)過(guò)程測(cè)量的有效性進(jìn)行診斷，降低要求的測(cè)試間隔。9.3.3.6對(duì)于特定傳感器和服務(wù)的用戶經(jīng)驗(yàn)可用于確定設(shè)備的測(cè)試頻率，以保證傳感器的性能。9.3.4邏輯控制子系統(tǒng)的離線測(cè)試9.3.4.1當(dāng)對(duì)邏輯解算器進(jìn)行變更之后，對(duì)這些變更的潛在影響進(jìn)行評(píng)估以確定需要對(duì)多少安全功能進(jìn)行測(cè)試。如果程序的變更可以與某些區(qū)域明確隔離開，并且可以明確地證明變更不會(huì)影響邏輯解算器中執(zhí)行的其他邏輯，僅有該區(qū)域需要被完全測(cè)試(完整功能測(cè)試)。這可應(yīng)用各種技術(shù)的邏輯解算器，包括機(jī)電繼電器、固態(tài)繼電器、氣動(dòng)或可編程電子。9.3.4.2診斷功能作為邏輯解算器的外部診斷，宜對(duì)其采用與邏輯解算器同樣的頻率進(jìn)行測(cè)試。9.3.4.3宜對(duì)邏輯解算器的功能方面特性按照計(jì)劃進(jìn)行驗(yàn)證，根據(jù)與過(guò)程相關(guān)的風(fēng)險(xiǎn)情況、邏輯的復(fù)雜性和公司使用該邏輯解算器的經(jīng)驗(yàn)，確定測(cè)試頻率從一年到幾年。9.3.5最終執(zhí)行單元子系統(tǒng)的離線測(cè)試9.3.5.1當(dāng)執(zhí)行全系統(tǒng)功能測(cè)試的時(shí)候，需要對(duì)最終執(zhí)行組件(如閥門)進(jìn)行測(cè)試。測(cè)試頻率宜根據(jù)安全功能計(jì)算中的性能情況進(jìn)行。每當(dāng)過(guò)程停止工作之后，都宜對(duì)最終執(zhí)行組件進(jìn)行測(cè)試。9.3.5.2作為最終執(zhí)行組件的測(cè)試頻率取決于很多因素：——作為最終執(zhí)行組件的類型；——作為正常運(yùn)行的使用還是當(dāng)安全功能動(dòng)作后作為一個(gè)備用組件；——最終執(zhí)行組件的性能要求，如閥門是需要提供最小的泄漏隔離還是泄漏可以容忍。9.3.5.3當(dāng)測(cè)試最終執(zhí)行組件的時(shí)候，附件如閥門定位器、限位顯示器/傳感器、空氣壓力器等宜與最終執(zhí)行器按照同等頻率測(cè)試。9.3.6人機(jī)接口的離線測(cè)試對(duì)人機(jī)接口(HMI)按照與安全功能同等的頻率進(jìn)行測(cè)試。當(dāng)對(duì)HMI中的信息顯示進(jìn)行變更時(shí)，對(duì)變更進(jìn)行測(cè)試以確認(rèn)顯示的正確狀態(tài)。如果HMI用于初始化安全功能邏輯，所有與初始化相關(guān)的設(shè)備都應(yīng)該進(jìn)行測(cè)試，包括HMI、輸出電路和最終執(zhí)行組件。9.3.7安全通信的離線測(cè)試對(duì)于在安全功能采用安全通信總線進(jìn)行數(shù)據(jù)交換時(shí)，對(duì)通信采用與安全功能同等的頻率進(jìn)行測(cè)試。當(dāng)開展對(duì)安全功能的全功能測(cè)試時(shí)，測(cè)試包括到所有其他設(shè)備的通信，如到基本過(guò)程控制系統(tǒng)的通信。當(dāng)在安全功能和任何其他設(shè)備之間發(fā)生通信連接變更時(shí)，確認(rèn)對(duì)正確的信息進(jìn)行了傳遞。69.4在線測(cè)試9.4.1在線測(cè)試可保證工藝的連續(xù)性，但需要考慮到可能產(chǎn)