(高清版)GBT 21109.1-2022 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第1部分：框架、定義、系統(tǒng)、硬件和應(yīng)用編程要求

processindustrysect國家市場監(jiān)督管理總局國家標準化管理委員會I V 1 3 3 33.2術(shù)語和定義 43.3縮略語 4與本文件的符合性 215功能安全管理 21 6安全生命周期要求 24 24 6.3應(yīng)用程序SIS安全生命周期 27 8過程危險和風險評估 31 9給保護層分配安全功能 9.2分配過程要求 9.3基本過程控制系統(tǒng)作為保護層的要求 10.3SIS安全要求 ⅡGB/T21109.1—2022/IEC61511-1:11.4硬件故障裕度 40 42 4211.8維護或測試設(shè)計要求 43 4412SIS應(yīng)用程序開發(fā) 45 45 46 4712.5應(yīng)用程序驗證要求(審查和測試) 48 48 49 49 49 16.3檢驗測試及檢查 17.2要求 2ⅢGB/T21109.1—2022/IEC61511-1:2016 2圖4安全儀表功能和其他功能的關(guān)系 3 圖7安全生命周期階段和功能安全評估階段 28 表1IEC61511中使用的縮略語 20表2SIS安全生命周期一覽表 26 26 V 本文件代替GB/T21109.1—200——刪除了“安全完整性等級4的附加要求”,增加風險降低要求>10000或危險失效平均頻V MGB/T21109.1—2022/IECMGB/T21109.1—2022/IEC制定整體安全要求(概念、范圍定義、危險和風險評估) 安全儀表系統(tǒng)的工廠驗收測試、安全儀表系安全儀表系統(tǒng)的運行和維護、引用文件引用文件 的應(yīng)用指南的指南 1GB/T21109.1—2022/IEC過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全b)適用于把滿足GB/T20438.1～20438.3—2017或本文件中11.5要求的設(shè)備集成到用于過程領(lǐng)域應(yīng)用的整體系統(tǒng)中，但不適用于希望聲明設(shè)備適用于過程領(lǐng)域的SIS的制造商(見GB/T20438.2—2017和GB/T204c)定義了IEC61511和IEC61508的關(guān)系(見圖2和圖3)。2(系統(tǒng))軟件3開始否是是否否是不相關(guān)連續(xù)要求降低措施要求模式IEC61511(所有部分)功能安全過程工業(yè)領(lǐng)域安全儀表系統(tǒng)(Functionalsafety—Safetyin-GB/T20438.3—2017電氣/電子4某些定義可能和GB/T20438.4—2017中相同術(shù)語的定義不同，造成不同的原因可能是這些術(shù)語旁路bypass共因commoncause5在維護或過程運行中，發(fā)現(xiàn)SIS性能降保守方式conservativeapproach對來自過程和/或操作員的輸入信號進行響應(yīng)，并產(chǎn)生使過程以期望的方式運行的輸出信號的相關(guān)失效dependentfailure概率不能表示為引起失效的獨立事件的無條件概率的簡單6GB/T21109.1—2022/IEC61511檢測到的detected顯性的overt硬件和軟件相關(guān)的一類失效或故障，它們自身發(fā)出通知或可通過正常操作或?qū)Ｓ脵z測方法發(fā)現(xiàn)。設(shè)備device能實現(xiàn)某一特定功能的硬件或含有軟件的硬件?，F(xiàn)場設(shè)備fielddevice直接與過程連接或位置非常靠近過程的SIS或BPCS設(shè)備。揭露故障的頻繁(相對于過程安全時間)自動測試。診斷覆蓋率diagnosticcoverage;DC被診斷檢測到的危險失效率的占比。不包括任何被檢驗測試檢測到的故障。多樣性diversity執(zhí)行一個要求的功能的不同方式。7GB/T21109.1—2022/IEC615計算出的、觀測到的或測量到的值或條件，和真實的、規(guī)定的或理論上正確的值或條件之間的差異。失效failure失去按要求執(zhí)行的能力。失效模式failuremode失效發(fā)生的方式。故障fault由于某個內(nèi)部狀態(tài)，無能力按要求執(zhí)行。故障避免faultavoidance在SIS安全生命周期的任何階段，使用技術(shù)和規(guī)程避免引入故障。故障排除faultexclusion通過進一步分析排除由不太可能發(fā)生的失效模式引發(fā)的故障。故障裕度faulttolerance出現(xiàn)故障或錯誤時，功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力。最終元件finalelementBPCS或SIS的一部分，為達到或保持安全狀態(tài)執(zhí)行必要的物理動作。8GB/T21109.1—2022/IEC61511-1:對于按計劃安排的功能安全要求專用的程序是否有效地執(zhí)行并滿意地達到規(guī)定目的進行系統(tǒng)地、傷害harm9確定一個功能或組件的改變對該系統(tǒng)和其他系統(tǒng)中其他功能或組件在執(zhí)行某個動作中使用的儀器(典型的參見在輸入信息(由一個或幾個輸入功能提供)和輸出信息(由一個或幾個輸出功能平均恢復(fù)時間meantimetores●可選擇小于MRT的MPRT來降低危險事件的可能性?！袢绻梢苑艑拰ξｋU事件可能性的約束，則可選擇大于MRT的MPRT。減輕mitigationSIS應(yīng)用程序中的獨立部分(可以嵌入一個或一組程序),用來執(zhí)行某個特定功能(例如，最終元件基于非計算機技術(shù)的系統(tǒng)(即不基于可編程電子或軟●過程接口；●與工廠維護和運行管理系統(tǒng)的集成情況；由異常事件(包括BPCS故障)引起的過程條件產(chǎn)生的風險。如果SIF未執(zhí)行，從過程失效或基本過程控制系統(tǒng)失效(潛在的增加危險事件的可能性)到危險事 為檢測出SIS中隱藏的危險失效而執(zhí)行的周期性測試，以期在必要時通過維修使系統(tǒng)恢復(fù)如新或盡可能“如新”GB/T21109.1—2022/IEC61511-1:2016質(zhì)量quality一個實體滿足指明的和隱含需要的性能總和。隨機硬件失效randomhardwarefailure由一種或多種可能的退化機理引起的，硬件在某個隨機時間發(fā)生的失效。冗余redundancy存在不止一種途徑來執(zhí)行要求的功能或表示信息。風險risk傷害發(fā)生可能性與該傷害嚴重性的組合。安全失效safefailure可能觸發(fā)某個給定的安全動作的失效。達到安全時的過程狀態(tài)。GB/T21109.1—2022/IEC注2:在有些情況下，僅當過程處于連續(xù)控制時才存在安全狀態(tài)。這樣的連續(xù)控制可能是短時間的或是不確定的注3:一個狀態(tài)對于一個給定的安全功能來說是安全的，而對于其他給定的安全功能可能會增加危險事件的可能性。在這種情況下，第一個功能的最大允許平均誤動作率(見10.3.2)宜考慮其他功能相關(guān)的潛在風險的注4:本定義同GB/T20438.4—2017中的定義有差別，從而反映出過程領(lǐng)域術(shù)語安全儀表系統(tǒng)safetyinstrumentedsystem;SIS注3:SIS可以包括人為動作作為SIF的一部分(見ISATR84.00.04:2015,第1部分)。NPNPNP注1:對于要求的SIF,此定義等同于SIS的可信性?？尚判猿１焕斫鉃榻?jīng)濟概念而不是安全概念，為了避免混淆，GB/T21109.1—2022/IEC61511安全完整性等級safetyintegritylevel;SIL為規(guī)定SIS應(yīng)達到的安全完整性要求而分配給SIF的離散等級(4個等級中的一個)。安全完整性要求safetyintegrityrequirements為某個SIF聲明一個給定的SIL,實現(xiàn)這個SIF的SIS必須滿足的一組IEC61511的要求。SIS安全生命周期SISsafetylife-cycle從項目概念階段開始到所有的SIF停用為止所發(fā)生的、包含在SIF實現(xiàn)中的必要活動。安全手冊safetymanual功能安全手冊functionalsafetymanual定義如何安全應(yīng)用SIS設(shè)備、子系統(tǒng)或系統(tǒng)的信息。安全要求規(guī)范safetyrequirementsspecification;SRS包含安全儀表功能和相關(guān)安全完整性等級的功能要求的規(guī)范。傳感器sensorBPCS或SIS的一部分，用來測量或檢測過程條件。軟件softwareGB/T21109.1—2022/IEC61511-有限可變語言limitedvaria用于商業(yè)或工業(yè)可編程電子控制器的編程語言，其能力僅限于在相關(guān)安工具軟件utilitysoftwareGB/T21109.1—2022/IEC61511-1:2016SIS子系統(tǒng)SISsubsystemSIS的獨立部分，它的危險失效將導(dǎo)致SIS的危險失效。系統(tǒng)system根據(jù)某個規(guī)則相互作用的一組設(shè)備。系統(tǒng)性能力systematiccapability當設(shè)備根據(jù)安全手冊規(guī)定的說明進行應(yīng)用時，設(shè)備的系統(tǒng)性安全完整性達到規(guī)定SIL要求的置信度的度量(表示為SC1到SC4),其與特定的安全功能有關(guān)。系統(tǒng)性失效systematicfailure與已有故障有關(guān)的失效，這種失效會在特定條件下發(fā)生，只有對設(shè)計、制造過程、操作規(guī)程、文檔或其他相關(guān)因素進行修改以去除故障，才能消除這種失效。系統(tǒng)性安全完整性systematicsafetyintegrity在失效的危險模式中與系統(tǒng)性失效有關(guān)的SIS的安全完整性的一部分。SIF要求的性能，既可規(guī)定為在要求運行模式下要求時執(zhí)行SIF的平均失效概率，也可規(guī)定為在連續(xù)運行模式時執(zhí)行SIF的危險失效平均頻率。GB/T21109.1—2022/IEC61511-1:20可容忍風險tolerablerisk根據(jù)社會的當前水平，在給定范圍內(nèi)能夠接受的風險。未檢測到的undetected未揭露出的unrevealed隱藏的covert沒有檢測到的或沒有揭露出的或未顯露的。確認validation通過檢查和提供客觀證據(jù)，證實用于某個規(guī)定用途的特定要求得到了滿足。通過檢查和客觀證據(jù)證實要求已滿足。用來監(jiān)視可編程電子設(shè)備正確運行，并能在檢測到不正確運行時采取動作的診斷設(shè)備和輸出設(shè)備(典型如開關(guān))的組合。3.3縮略語IEC61511中使用的縮略語如表1所示。還包括了過程領(lǐng)域功能安全相關(guān)的一些通用縮略語。GB/T21109.1—2022/IECAlternatingcurrent/directcurrentAmericanNationalStandardsInstituteElectrical/electronic/programmableelect電氣/電子/可編程電子Electro-magneticcompatib電磁兼容Factoryacceptancetes固定程序語言功能安全管理體系Hazard&.riskassessmInternationalElectrotec國際電工委員會InternationalElectrotec國際電工詞匯國際自動化協(xié)會InternationalOrganizationforStand國際標準化組織“M”outof“N”channela“N”取“M”通道架構(gòu)最大允許維修時間平均維修時間Meantimetorestorati平均恢復(fù)時間NationalFireProtectionAgency(US)OriginalEquipmentManuf原始設(shè)備制造商ProgrammableelectroGB/T21109.1—2022/IECAverageprobabilityof每小時的失效概率(危險失效平均頻率)系統(tǒng)性能力安全完整性等級Safetyrequirementspeci安全要求規(guī)范g)對事件潛在后果的理解；5.2.2.3應(yīng)制定規(guī)程以管理所有參與SIS生命周期的人員的能力。應(yīng)定期進行評估，以記錄人員能力 b)質(zhì)量保證活動；5.2.5.2任何給全權(quán)負責SIS安全生命周期一個或幾個階段的組織提供產(chǎn)品或服務(wù)的供應(yīng)商，應(yīng)按該如果一個供應(yīng)商為產(chǎn)品或服務(wù)做了任何的功能安全聲明，這個聲明被組織用來證明對IEC61511功能安全管理體系應(yīng)滿足GB/T20438.1—2017中第6章的要求，或功能安全聲明符合的 對比實際運行中SIF的要求率與風險評估中在確定SIL要求時所做的假設(shè)。5.2.6.1.2評估小組應(yīng)至少包括一位與項目設(shè)計團隊(階段1,階段2和階段3)無關(guān)或不參與SIS運行和維護(階段4和階段5)的具有高級資質(zhì)的人員。b)參加功能安全評估的人員；f)完成功能安全評估活動所需的資源；5.2.6.1.4FSA團隊應(yīng)審查當前評估覆蓋階段以前的安全生命周期各階段開展的，且未被之前FSA覆蓋的工作。如果之前開展過FSA,FSA小組需考慮之前評估的結(jié)論和建議。開展FSA活動所在的SIS 5.2.6.1.5危險出現(xiàn)之前FSA小組應(yīng)執(zhí)行FSA并確認：a)已開展危險和風險評估(見8.1);b)已執(zhí)行或解決由危險和風險評估提出的適用于SIS的建議；d)已解決所有功能安全評估提出的建議；i)實現(xiàn)進一步功能安全評估的計劃或策略已經(jīng)就位。5.2.6.1.6應(yīng)針對SIS安全生命周期活動中使用的設(shè)計、開發(fā)和生產(chǎn)工具評估以證明它們不會對SIS5.2.6.1.10在運行和維護階段，應(yīng)定期開展FSA以保證維護和操作的執(zhí)行符合設(shè)計預(yù)期，并滿足5.2.6.2.3功能安全審核應(yīng)由不參與SIS工作的獨立人員開展。應(yīng)為審核制定規(guī)程并嚴格執(zhí)行，并應(yīng)5.2.6.2.5變更管理規(guī)程應(yīng)到位，識別出影響SIS要求的變更(如BPCS的再設(shè)計，某個區(qū)域人員配備 GB/T21109.1—2022/IEC安全生命周3階段1567停用9信息流的典型方向注1:在5.2.6.1.4中定義了階段安全生命周期階段或活動輸出圖7方框號1險和危險事件、導(dǎo)致危險事要求和要達到必要的風險降低所需要的安全功能8員配備安排、安全目標關(guān)于危險、要求的安全功能和相關(guān)2并為每個SIF分配相應(yīng)9安全完整性要求的配的描述(見第93的安全完整性規(guī)定每個SIS的要求的描述(見第9章)4設(shè)計SIS以滿足SIF及其相SIS安全要求；符合SIS安全要求的SIS設(shè)計SIS集成測試計劃5集成和測試SIS;的安全完整性，確認SIS在各方面都滿足安全要求符合SIS安全要求的功能齊全的SIS結(jié)果安裝、調(diào)試和確認活動的結(jié)果6的結(jié)果7造以確保達到和保持要求的SIL8停用保證正確審查、部門組織確保SIF(繼續(xù)恰當保留);織，并確保SIF適當保留程信息GB/T21109.1—2022/IEC安全生命周期階段或活動輸出圖7方框號9出，以確保作為該階段輸入的產(chǎn)品和標準的正確性和證計劃的結(jié)果SIS功能安全評估對SIS所達到的功能安全5劃編制結(jié)果安全生命周期結(jié)構(gòu)和計劃不適用安全計劃輸出圖8方框號明確分配給該SIS的各SIF的應(yīng)用程序要求SIS應(yīng)用程序安全計劃編制編制確認應(yīng)用程序的計劃SIS安全確認計劃GB/T21109.1—2022/IEC輸出圖8方框號結(jié)構(gòu)安全要求的應(yīng)用程序架構(gòu)審查和評價SIS硬件架構(gòu)對明確開發(fā)應(yīng)用程序的規(guī)程SIS硬件架構(gòu)設(shè)計的將應(yīng)用程序分離為用應(yīng)用程序模塊編程過程中使用的實現(xiàn)能滿足規(guī)定的應(yīng)用程序安全要求的應(yīng)用程序語言使用)1)應(yīng)用程序(例如功能塊圖、梯形邏輯)2)應(yīng)用程序仿真和正確地相互作用，從而執(zhí)行它定的功能測試要求(基于結(jié)構(gòu)的測試)應(yīng)用程序結(jié)構(gòu)集成測經(jīng)驗證和測試過的解算器上，包括與現(xiàn)場設(shè)備和/或模擬器的交互。GB/T21109.1—2022/IEC1)文件的可讀性和可審核性；GB/T21109.1—2022/IE7.2.6應(yīng)提供驗證過程的結(jié)果(見第19章),包括是否達到測試的目的和準則。8過程危險和風險評估本章目的是確定：a)過程及其相關(guān)設(shè)備的危險和危險事件；b)導(dǎo)致危險事件的事件序列；c)與危險事件對應(yīng)的過程風險；d)風險降低的要求；e)達到必要的風險降低所要求的安全功能；f)某些安全功能是否是SIF。8.2要求8.2.1對物料、過程及設(shè)備應(yīng)進行危險和風險評估。其結(jié)果應(yīng)是：a)識別出的每個危險事件及其起因的描述；b)危險事件可能性和后果的描述；d)確定為達到要求的功能安全所需的附加風險降低；e)降低或消除危險和風險所采取的措施的描述或引用信息；f)在風險分析中對保護層的要求率和觸發(fā)源的危險失效平均頻率所做的假設(shè)的詳細描述，以及賦予操作約束或人為干預(yù)的可信度的詳細描述；8.2.2BPCS危險失效作為觸發(fā)源對保護層提出要求時，其危險失效平均頻率不應(yīng)被假設(shè)小于8.2.3應(yīng)記錄危險和風險評估，使以上各項之間的關(guān)系清楚和可追溯。8.2.4應(yīng)開展安防風險評估以識別SIS的安防漏洞。評估應(yīng)得出：a)該風險評估所覆蓋的設(shè)備的描述(如SIS、BPCS或任何其他與SIS連接的識別);c)安防事件導(dǎo)致的潛在后果以及這些事件發(fā)生的可能性描述； 9.2.3在要求模式下運行的每個SIF所需要的SIL,應(yīng)根據(jù)表4或表5來確定。9.2.4在連續(xù)模式下運行的每個SIF所需要的SIL,應(yīng)根據(jù)表5來確定。安全完整性等級(SIL)要求的風險降低4310-?~<10-210-3~<10-2110-2~<10-1安全完整性等級(SIL)危險失效平均頻率(每小時失效)410~?~<10-3210-?~<10-110-?~<10-59.2.5當分配過程出現(xiàn)對單個或多個SIS或SIS與BPCS保護層的協(xié)同風險降低要求>10000或危險失效平均頻率<10-?/h時，應(yīng)重新考慮該應(yīng)用(如過程或其他保護層)以確定是否可通過修改某些風險參數(shù)來避免出現(xiàn)風險降低要求>10000或危險失效平均評頻率<10-8/h。審查需考慮是否： 可修改過程或容器/管道以從源頭消除或降低危險；——可采用額外的非儀表安全相關(guān)系統(tǒng)或其他一降低后果嚴重性，如減少危險物料的數(shù)量；9.2.6如果進一步考慮后證實仍需某個風險較低要求>10000或危險失效平均頻率<10-?/h時，則應(yīng)考慮使用多個較低風險降低要求的保護層(如SIS或BPC ——共用操作、維護、檢查或測試活動或共用檢驗測試規(guī)程和檢驗測試時間可能引入的所有相注6:當需要高等級的風險降低，并且根據(jù)注5檢驗測試沒有同時開展，即使使用多個獨立保護層來降低風險，主導(dǎo)因素通常仍是共因失效。針對為同一危險事件提供風險降低的保護層內(nèi)和保護層間的相關(guān)性開展評估并證明其足夠低。9.2.7如果要實現(xiàn)>10000或危險失效平均頻率<10-?/h的風險降低要求，無論是分功能，如要采取的行動、設(shè)定點、響應(yīng)時間、延遲、故障處理、閥門密閉要求。注：描述需有清晰的邏輯格式，并且可作為過程要求規(guī)范或安全描述引用。描述應(yīng)明晰分配過程的目的和使用的方法。過程要求規(guī)范是SRS(見第10章)輸入信息，需足夠詳細以確保對SIS及其設(shè)備有足夠的要求，例如，描述包括傳感器設(shè)定點、可用于響應(yīng)的過程安全時間以及閥門密閉要求。注：可考慮到這樣一個事實，即BPCS可以是對保護層提出要求的觸發(fā)源。 9.3.5當9.3.4適用時，每個BPCS保護層應(yīng)獨立并且與觸發(fā)源彼此分離，直至每個BPCS保護層聲明關(guān)失效的可能性，同保護層的整體安全完整性要求相比足夠低。這種評估可以是定性的也可以是定量 安全要求應(yīng)從SIF分配和在危險及風險評估中確定的那些要求中推導(dǎo)出來。SIS要求應(yīng)以下述方 易于安全生命周期任何階段有可能使用這些信息的人理解和解釋。10.3.1闡述制定SIS安全要求時需考慮的問題。10.3.2這些要求對設(shè)計SIS而言應(yīng)是足夠的，并且在編寫SIS安全要求過程中應(yīng)適GB/T21109.1—2022/IECGB/T21109.1—2022/IEC11.2一般要求GB/T21109.1—2022/IEC61511-11.2.4如果不準備讓BPCS符合IEC61511,SIS應(yīng)單獨設(shè)計，并與BPCS分開，從而不影響SIS的安11.2.5應(yīng)在SIS設(shè)計中給出可操作性、可維護性、診斷、檢查和可測試性的要求，降低危險失效可11.2.8應(yīng)設(shè)置與邏輯解算器無關(guān)的手動機制(如緊急停車按鈕)來啟動SIS最終元件，除非SRS另有11.2.9SIS設(shè)計應(yīng)全面考慮SIS和BPCS之間，以及SIS11.2.10一個設(shè)備用于BPCS時，不應(yīng)同時用于SIS,因為這個設(shè)備失效導(dǎo)致引發(fā)對SIF的要求和該11.3采取行動。持安全運行。如果不能維持安全運行，則應(yīng)采取規(guī)定的動作來達到或保持過程的安全狀態(tài)。如果補償措施依賴于操作員執(zhí)行規(guī)定動作來響應(yīng)某個報警(如打開或關(guān)閉閥門),該報警則應(yīng)作為SIS的組成11.3.2當SIS的某個危險故障是通過某個報警來獲得操作員注意時，應(yīng)對該報警進行適當?shù)臋z驗測11.4.1對每個SIF而言，執(zhí)行它的SIS應(yīng)具有最低的HFT。11.4.3SIS或SIS子系統(tǒng)的HFT應(yīng)符合：——11.4.5～11.4.9;——GB/T20438.2—2017中7.4.4.2(路線——GB/T20438.2—2017中7.4.4.11.4.4確定實現(xiàn)的HFT時，如果某些故障發(fā)生的可能性相較于安全完整性要求來說非常低，那么可11.4.5執(zhí)行某個具有特定SIL的SIF的SIS(或SIS子系統(tǒng))的最小HFT應(yīng)符合表6,以及11.4.6和11.4.7(如果適用)1(任何模式)02(低要求模式)02(高要求/連續(xù)模式)13(任何模式)14(任何模式)211.4.6對于未使用FVL或LVL可編程設(shè)備的SIS或SIS子系統(tǒng)，若表6規(guī)定的最小HFT導(dǎo)致額外故障并導(dǎo)致整體過程安全降級，則HFT可以減小。這種情況應(yīng)開展論證并形成文檔。論證時應(yīng)有證據(jù)證明計劃的架構(gòu)符合預(yù)期目的并且滿足安全11.4.7應(yīng)用11.4.6時，如果得出某個故障裕度等于0的結(jié)果，11.4.6中要求的論證應(yīng)提供證據(jù)證明相11.4.8FVL和LVL可編程設(shè)備的診斷覆蓋率不應(yīng)小于60%。11.4.9失效量計算中使用的可靠性數(shù)據(jù)應(yīng)由不小于70%的統(tǒng)計置信區(qū)間上限確定。GB/T21109.1—2022/IEC61511-1:201611.5關(guān)于設(shè)備選擇的要求本章目的是：——規(guī)定組成SIS設(shè)備的選擇要求；——規(guī)定把設(shè)備集成到SIS架構(gòu)中的要求；——根據(jù)相關(guān)的SIF和安全完整性要求規(guī)定設(shè)備的驗收準則。11.5.2.1用于規(guī)定SIL的SIS的設(shè)備應(yīng)符合GB/T20438.2—2017、GB/T20438.3—2017和/或11.5.3~11.5.2.2應(yīng)通過考慮制造商文件、SRS的約束以及11.9假定的可靠性參數(shù)來確定所有設(shè)備適用于運行環(huán)境。所選設(shè)備的適用性應(yīng)始終在特定運行環(huán)境中加以考慮。11.5.3.1應(yīng)提供證明設(shè)備適用于SIS的適當證據(jù)。11.5.3.2適用性證據(jù)應(yīng)包括：——對制造商質(zhì)量體系、管理體系和配置管理體系的考慮；——設(shè)備的標識和規(guī)格書；——在類似運行環(huán)境下設(shè)備性能的證明； 運行經(jīng)驗的豐富程度。GB/T21109.1—2022/IEC61511-1●程序順序監(jiān)視；●通過在線監(jiān)測來檢測失效或保護代碼不被修改；●失效斷言或多樣化編程；●模塊化方法；●嵌入式軟件和工具軟件已使用合適的編碼標準；●使用可代表預(yù)期運行場景的測試用例進行了典型配置的測試；●系統(tǒng)已經(jīng)過動態(tài)分析和測試；●已執(zhí)行文檔化的故障插入測試(負面測試)。11.5.6選擇FVL可編程設(shè)當使用FVL對應(yīng)用程序進行編程時，PE設(shè)備應(yīng)符合GB/T20438.2—2017和GB/T20438.3—2017的要求。11.6.1現(xiàn)場設(shè)備的選擇和安裝應(yīng)最大程度減小可能因運行環(huán)境條件導(dǎo)致信息不準確的失效?？紤]的11.7.2.4對于維護SIF至關(guān)重要的SIS狀態(tài)信息應(yīng)在操作 旁路保護功能的指示 11.7.2.7SIS操作員接口借助于BPCS操作員接口的設(shè)計應(yīng)保證從BPCS到SIS的錯誤信息或數(shù)據(jù)不11.7.3.1SIS維護/工程接口的設(shè)計應(yīng)確保此接口的任何失效都不會對SIS執(zhí)行SIF的能力產(chǎn)生不利 11.7.4.1SIS通信接口的設(shè)計應(yīng)確保通信接口的任何失效不會對SIS使過程達到或保持安全狀態(tài)的11.8.1設(shè)計應(yīng)允許以端-端或分段對SIS進行測試。在預(yù)定的過程停機時間之間的間隔大于檢驗測試 應(yīng)按SRS中定義的維護和測試要求設(shè)計SIS; 對SIS任何部分的旁路均應(yīng)通過報警或操除非設(shè)置有規(guī)程和訪問安防，否則不準許在SIS不停止工作的情況下強制輸入和輸出。針對任何i)檢測到的失效的維修時間和維修期間SIS的狀態(tài)(在線或離線);j)在任何模式下可能引起SIS危險失效的任何通信過程的估計危險失效率(包括診斷測試檢測k)可能引起SIS危險失效的操作員響應(yīng)的估計可能性(包括診斷測試檢測到的和未檢測到的 a)識別對失效量貢獻最大的設(shè)備或者參數(shù)；c)選擇并且實施改進措施以建立新的結(jié)果；d)對比新結(jié)果與目標失效量，并重復(fù)a)~本步驟直至以保守的方式達到目標失效量。12.2一般要求12.2.1SIS應(yīng)用程序應(yīng)符合應(yīng)用程序安全要求(見10.3.3)以及本章對SIL1～SIL3(包括SIL3)的所有要求。12.2.3IEC61511解決與LVL編程以及使用FPL的設(shè)備相關(guān)問題。IEC61511不關(guān)注與FVL以及SIL4應(yīng)用程序編程相關(guān)的問題。如果某些功能塊是用FVL編寫的，那么這些功能塊應(yīng)按照GB/T21109.1—2022/IEC61511-1:201612.2.6在SIS啟動(或上電)期間，應(yīng)用程序應(yīng)確保安全輸出保持在安全狀態(tài)(通常為失電狀態(tài))直至在應(yīng)用程序設(shè)計和開發(fā)過程中應(yīng)用的SIS安全生命周期階段和活動。這些要求包括為了避免執(zhí)行應(yīng)用程序修改的組織滿足的規(guī)程和規(guī)范。12.3.2應(yīng)用程序設(shè)計的輸入應(yīng)為SRS,包括應(yīng)用程序要求(見第10章)、SIS架構(gòu)(見第11章)以及進行應(yīng)用程序設(shè)計的方法與工具(見12.6)。應(yīng)用程序設(shè)計應(yīng)與SRS一致并可追溯回SRS。12.3.3應(yīng)用程序設(shè)計應(yīng)能支撐功能安全評估的實施。 —所使用標準庫模塊(功能塊)的詳細描述； 為實現(xiàn)要求的SIL而實施的應(yīng)用層診斷的詳細描述，例如， 1)版本標識和修改歷史。 功能的模塊化分解；GB/T21109.1—2022/IEC615——將SIF應(yīng)用程序的復(fù)雜度保持在與SIF的復(fù)雜度一致的最低限度； 12.5.2應(yīng)用程序(包括其文檔)應(yīng)由某個未參與原始開發(fā)的具備資質(zhì)的人員審查。應(yīng)記錄審查的方法c)一系列典型數(shù)據(jù)條件的測試；d)失效情況的測試(即負面測試);g)將離線應(yīng)用程序集成到邏輯解算器硬件和底層PE上； 必要的重新設(shè)計和重新驗證活動。 測試的目標和準則是否達到： 失效原因、失效分析以及糾正措施和復(fù)測要求(如果在測試中出現(xiàn)失效) 本章目的是測試SIS設(shè)備以確保其達到了SRS中規(guī)定的要求。13.2.1在項目安全計劃編制時應(yīng)明確FAT的需求。的重啟)以及SIS維護與操作手冊的應(yīng)用； 13.2.4應(yīng)按照FAT計劃進行FAT。這些測試應(yīng)顯示所有邏輯均正確執(zhí)行。GB/T21109.1—2022/IEC 14.2.4應(yīng)形成適當?shù)腟IS調(diào)試記錄，說明調(diào)試活動的結(jié)果以及是否滿足設(shè)計階段確定的目標和準則。14.2.5對于實際安裝與設(shè)計資料不符的情況，應(yīng)由有資質(zhì)的人員對差異進行評估并確定差異對安全本章目的是通過審查和測試來確認安裝和調(diào)試好的SIS及相關(guān)的SIF達到了SRS中所聲明的那 確認所使用的規(guī)程、措施和技術(shù)，包括如何在不將工廠和 何時進行這些活動。 ●手動和自動技術(shù)；●靜態(tài)和動態(tài)技術(shù)；●分析和統(tǒng)計技術(shù)。c)根據(jù)b),將用于證實各SIF符合規(guī)定的安全要求和SIL的措施(技術(shù))及規(guī)程?！褚蟮倪^程和操作員輸入信號以及它們的順序和值；●預(yù)期的輸出信號以及它們的順序和值；h)確認所有文件(見第19章)以確保SIF的準確性、一致性和可追溯性(從H&RA開始到SIF的儀表校準到適合該應(yīng)用的某個不確定度范圍內(nèi)。如果這種校準不可行，則應(yīng)使用一種替代方法并15.2.4應(yīng)根據(jù)SIS確認計劃對SIS及其相關(guān)SIF進行確認。確認活動應(yīng)包括(但不限于):b)證實BPCS和連接的其他系統(tǒng)間不良相互作用不會影響SIS的正常運行；c)SIS能與BPCS或任何其他系統(tǒng)或網(wǎng)絡(luò)進行正常通信(如需要),包括在異常情況下，如數(shù)據(jù)d)傳感器、邏輯解算器和最終元件均按照SRS運行，包括所有冗余通道，包括數(shù)據(jù)過載等異常e)SIS設(shè)計文檔與安裝的系統(tǒng)一致；j)SIS復(fù)位功能按SRS執(zhí)行；q)證實達到了SRS規(guī)定的EMCa)所有規(guī)定的應(yīng)用程序安全要求b)在SIS故障情況或降級運行模式或SIS和BPCS之間的任何接口故障情況下，應(yīng)用程序均不b)被測試(或分析)的SIF,及其在SIS確認計劃編制過程中識別出的要求；GB/T21109.1—2022/IECg)需保留的表明SIS審核和測試結(jié)果的信息；●故障診斷和維修規(guī)程；●重新確認規(guī)程；●維護報告要求；●跟蹤維護性能的規(guī)程。16.2.3操作規(guī)程應(yīng)切實可行。在由于旁路(維修或測試)導(dǎo)致SIS被禁用或降級時，應(yīng)在相應(yīng)的操作限制下(持續(xù)時間、過程參數(shù)等)采取補償措施以維持安全。應(yīng)向操作員提供旁路前和旁路中適用16.2.4當某個SIS設(shè)備被旁路時，只有在危險分析確定已實施補償措施且其提供了足夠的風險降低——SIS如何工作(跳閘點及SIS因此執(zhí)行的動作); 作);16.2.8應(yīng)按要求培訓(xùn)維護人員，以維持SIS(硬件和軟件)全部功能的性能，從而滿足各SIF的目16.2.9應(yīng)分析預(yù)計的和實際的SIS行為之間的差異，必要時應(yīng)做修改以保持要求的安全。應(yīng)包括監(jiān) GB/T21109.1—2022/IEC61511-1:2016 16.2.11應(yīng)為每個SIF編制書面的檢驗測試規(guī)程，以揭露未被診斷檢測到的危險失效。這些書面的測 每個傳感器和最終元件的正確操作； 正確的邏輯動作； 正確的報警和指示。 16.2.12應(yīng)標識出SIS的備件并且保證其可用，從而將由于SIS某部件不可用而引起的旁路時間縮短16.3.1.4應(yīng)以一種安全和及時的方式修復(fù)檢驗測試過程中發(fā)現(xiàn)的任何缺陷。在修復(fù)完成后應(yīng)再進行16.3.1.6對應(yīng)用程序的任何變更都需要對受影響的SIF進行全面的確認和檢驗測試。如果對變更進 確保不管SIS作何改變都能保持所要求的SIS安全完整性。17.2.3在對SIS(包括應(yīng)用程序)進行任何修改之前，應(yīng)進行分析，以確定擬進行的修改對功能安全的b)變更原因；c)識別出的危險和可能受影響SIF;g)SIS修改活動的詳細信息(如修改日志);i)用于驗證變更沒有對未修改的SIS部分產(chǎn)生不利影響的測試。17.2.8修改應(yīng)由經(jīng)過適當培訓(xùn)的合格人員進行。變更宜通知所有受