GB_T 21109.1-2022 过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和应用编程要求.docx

《GB_T 21109.1-2022 过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和应用编程要求.docx》由会员分享，可在线阅读，更多相关《GB_T 21109.1-2022 过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和应用编程要求.docx（70页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 25.040CCS N 10中 华 人 民 共 和 国 国 家 标 准GB/T 21109.12022/IEC 61511-1:2016 代替 GB/T 21109.12007过程工业领域安全仪表系统的功能安全第 1部分：框架、定义、系统、硬件和应用编程要求Functional safety of safety instrumented systems in the process industry sector-Part 1:Framework,definitions,system,hardware and application programmingrequirements(IE

2、C 61511-1:2016,Functional safetySafety instrumented systems for theprocess industry sectorPart 1:Framework,definitions,system,hardwareand application programming requirements,IDT)2022-10-12发布2 0 2 3 - 0 5 - 0 1 实 施国 家 市 场 监 督 管 理 总 局发 布国家标准化管理委员会GB/T 21109.12022/IEC 61511-1:2016目 次前 言 N引言 VI1 范围 12

3、规范性引用文件 33 术语和定义及缩略语 33.1 术语 33.2 术语和定义 43.3 缩略语 194 与本文件的符合性 215 功能安全管理 215.1 目 的215.2 要求 216 安全生命周期要求 246.1 目 的246.2 要求 266.3 应用程序 SIS 安全生命周期要求 277 验证 307.1 目 的 307.2 要求 308 过程危险和风险评估 318.1 目 的 318.2 要求 319 给保护层分配安全功能 329.1 目的 329.2 分配过程要求 329.3 基本过程控制系统作为保护层的要求 349.4 防止共因、共模和相关失效的要求 3510 SIS 安全要求

4、规范(SRS ) 3510.1 目 的 3510.2 一般要求 3510.3 SIS 安全要求 3511 SIS 设计和工程 3711.1 目的 3711.2 一般要求 3711.3 检测到故障时的系统行为要求 38IGB/T 21109.12022/IEC 61511-1:201611.4 硬件故障裕度 3911.5 关于设备选择的要求 4011.6 现场设备 4211.7 接口 4211.8 维护或测试设计要求 4311.9 随机失效的量化 4412 SIS 应用程序开发 4512.1 目 的 4512.2 一般要求 4512.3 应用程序设计 4612.4 应用程序的实现 4712.5

5、应用程序验证要求(审查和测试) 4812.6 应用程序方法和工具的要求 4813 工厂验收测试(FAT) 4913.1 目 的 4913.2 建议 4914 SIS 安装和调试 5014.1 目 的 5014.2 要求 5015 SIS 安全确认 5115.1 目 的 5115.2 要 求 5116 SIS 操作和维护 5316.1 目 的 5316.2 要求 5316.3 检验测试及检查 5517 SIS 修 改 5617.1 目 的 5617.2 要求 5618 SIS 停 用 5718.1 目的 5718.2 要求 5719 信息和文档要求 5719.1 目 的 5719.2 要 求 5

6、7参考文献 59图 1 GB/ T 21109的整体框架 M图 2 IEC 61508与IEC 61511间的关系 2GB/T 21109.12022/IEC 61511-1:2016图 3 IEC 61511和IEC 61508间的详细关系 2图 4 安全仪表功能和其他功能的关系 3图 5 可编程电子系统(PES ):结构和术语 13图 6 包含三个 SIS 子系统的 SIS 架构示例 15图 7 安全生命周期阶段和功能安全评估阶段 25图 8 应用程序安全生命周期及其与SIS 安全生命周期的关系 28图 9 典型保护层和风险降低方法 34表 1 IEC 61511中使用的缩略语 20表 2

7、 SIS 安全生命周期一览表 26表 3 应用程序安全生命周期： 一览表 26表 4 安全完整性要求；PFD.m 32表 5 安全完整性等级；SIF 的危险失效平均频率 33表 6 不 同SIL 对应的最小HFT 要求 39GB/T 21109.12022/IEC 61511-1:2016前 言本文件按照 GB/T1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定 起草。本文件是GB/T21109 过程工业领域安全仪表系统的功能安全的第1部分。GB/T 21109已 经 发布了以下部分：第1部分：框架、定义、系统、硬件和应用编程要求； 第2部分：GB/T 21109.1

8、的应用指南；第3部分：确定要求的安全完整性等级的指南。本文件代替 GB/T21109.12007过程工业领域安全仪表系统的功能安全 第1部分：框架、定 义、系统、硬件和软件要求,与GB/T 21109.12007相比，除结构调整和编辑性改动外，主要技术变化 如下：增加了功能安全管理中对人员的管理要求(见5.2.2.3);增加了功能安全管理系统的要求(见5.2.5.2);增加了根据本文件发布前的规范、标准或实践设计和实施的 SIS, 对用户提出了要求(见5.2.5,4); 增加了功能安全评估、审核和修订的新要求(见5.2.6);增加了安全生命周期结构和计划要求(见6.2);增加了应用程序 SIS

9、 安全生命周期要求(见6.3);增加了验证要求(见7.2);增加了对 SIS 开展安防风险评估的要求(见8.2.4);删除了“安全完整性等级4的附加要求”,增加风险降低要求10000或危险失效平均频 率10/h的审查要求和保护层分配要求；增加了 BPCS 不准备符合本文件时，保护层分配的要求(见9.3.4);增加了应用程序安全要求规范相关要求(见10.3.310.3.6);增加了SIS 设计和工程要求中的安全手册要求和 SIF 通信要求(见11.2); 增加了SIS 旁路情况下的相关要求(见16.2.3、16.2.4、16.2.7、16.2.11);增加了 SIS 备件的相关要求(见16.2.

10、12);增加了负责执行操作和维护的人员关于危险和风险分析、分配和设计的审查要求(见16.2.13); 更改了失电情况下 SIS 的行为要求，将其扩充为动力源(包括电源、空气、液动源或气动源)丢失情况下 SIS 的行为要求(见11.2.11,2007年版的11.2.11);更改了检测到故障时的系统行为要求(见11.3,2007年版的11.3);更改了硬件故障裕度要求(见11.4,2007年版的11.4);更改了设备选择要求(见11.5,2007年版的11.5); 更改了SIF 的失效概率，将其改为随机失效的量化并补充了随机失效量化相关要求(见11.9, 2007年版的11.9);更改了应用软件要

11、求，已改为SIS 应用程序开发，并明确应用程序设计、实施、验证要求及方法 工具要求(见第12章，2007年版的第12章)。本文件等同采用IEC 61511-1;2016功能安全 义、系统、硬件和应用编程要求。本文件做了下列最小限度的编辑性改动：过程工业领域安全仪表系统 第1部分；框架、定VGB/T 21109.12022/IEC 61511-1:2016将标准名称修改为过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和应用编程要求;将规范性引用的 IEC 61511(所有部分)列入第2章；纳入了IEC 61511-1:2016/AMD1:2017的修正内容，所涉及的条款的外

12、侧页边空白位置用垂 直双线()进行了标示。本文件由中国机械工业联合会提出。本文件由全国工业过程测量控制和自动化标准化技术委员会归口(SAC/TC124)。本文件起草单位：机械工业仪器仪表综合技术经济研究所、中石化安全工程研究院有限公司、国能 智深控制技术有限公司、浙江中控技术股份有限公司、国家管网集团北方管道有限责任公司、杭州盘古 自动化系统有限公司、上海辰竹仪表有限公司、北京龙鼎源科技股份有限公司、上海工业自动化仪表研 究院有限公司、北京市科学技术研究院城市安全与环境科学研究所、绵阳市维博电子有限责任公司、福 建顺昌虹润精密仪器有限公司、北京京仪集团有限责任公司、重庆宇通系统软件有限公司、南

13、京优倍电 气有限公司、西安东风机电股份有限公司、北京维盛新仪科技有限公司、深圳市特安电子有限公司、安徽 天康(集团)股份有限公司、汉威科技集团股份有限公司、西门子(中国)有限公司。本文件主要起草人：史学玲、刘瑶、李玉明、裘坤、周有铮、俞文光、朱明露、田雨聪、张韬、靳江红、 钱福群、沈玉富、阮赐元、岳周、王玥、朱杰、姜巍巍、张卫华、张艾森、魏海洋、帅冰、张新国、张刚、杨柳、 施隋靖、左新、马欣欣、周婷、卜志军、姜荣怀、张鹏、朱爱松、王莉、陈志扬、董健、王毅、李传友、牛小民、 史威、熊文泽、孙炜、张萍、魏振强、皮英霞、孙舒、韩占武、陈祖志、李佳、曹德舜、李荣强。本文件及其所代替文件的历次版本发布情

14、况：2007年首次发布为 GB/T 21109.12007;本次为第一次修订。VIGB/T 21109.12022/IEC 61511-1:2016引 言在过程工业中，用来执行安全仪表功能的安全仪表系统已应用多年。要使仪表能有效地用于安全 仪表功能，最重要的是该仪表需达到某些最低标准和性能水平。GB/T 21109阐述了过程工业安全仪表系统的应用。GB/T 21109 还强调要执行一次过程危险和 风险评估(H&RA), 使之能导出安全仪表系统的规范。仅在与安全仪表系统的性能要求相关时，才考 虑其他安全系统的贡献。安全仪表系统包括执行安全仪表功能所必要的从传感器到最终元件的所有 设备。GB/T2

15、1109 包括以下几部分。第1部分：框架、定义、系统、硬件和应用编程要求。目的是提出安全仪表系统(SIS) 的规范、设 计、安装、运行和维护要求，以确保该系统能使过程达到或保持安全状态。 第2部分：GB/T21109.1 的应用指南。目的是提供按GB/T21109.1 中定义的安全仪表功能及其相关的安全仪表系统的规范、设计、安装、操作和维护的指南。第3部分：确定要求的安全完整性等级的指南。目的是确定安全仪表功能的安全完整性等级 的各种不同方法。GB/T 21109 包含了作为应用基础的两个概念：安全生命周期和安全完整性等级。GB/T 21109针对基于使用电气(E)/ 电子(E)/ 可编程电子

16、(PE) 技术的安全仪表系统。在逻辑解 算器使用其他技术的情况下，需应用GB/T21109 的基本原则来确保实现功能安全要求。GB/T 21109 还涉及安全仪表系统的传感器和最终元件，不管它们用了何种技术。GB/T21109 在 GB/T 20438 的框 架范围内专用于过程领域。为达到上述最低原则，GB/T21109 提出了 SIS 安全生命周期活动的方法。采纳此种方法以便使 用合理和一致的技术策略。在大多数情况下，固有安全过程设计就能很好地实现安全性。但是在某些情况下，这是不可能或不 切实际的。必要时，还可结合一个或一些保护系统来降低已发现的残余风险。保护系统可依靠不同的 技术(化学的、

17、机械的、液压的、气动的、电气的、电子的、可编程电子的)。为促成该方法，GB/T 21109 要求：执行危险和风险评估以便确定整体安全要求；给安全仪表系统分配安全要求；在一个框架内工作，该框架适用于实现功能安全的所有仪表类措施；详述了如何使用某些活动(如安全管理),这些活动适用于实现功能安全的所有方法。 针对过程工业的安全仪表系统的 GB/T 21109:包括从初始概念、设计、实现、运行和维护直到停用的所有 SIS 安全生命周期阶段； 能使现有的或新的国家专用的过程工业标准同 GB/T 21109 协调一致。GB/T 21109致力于在过程工业领域达到高度一致(如基本原则、术语、信息等)。这将带

18、来安全和 经济两方面的好处。GB/T 21109 的整体框架见图1。在权限方面，在管理当局(如国家的、省的、自治区的等)已建立过程安全设计、过程安全管理或其他 规定的情况下，这些要求需比 GB/T 21109 中定义的要求优先考虑。NIGB/T 21109.12022/IEC 61511-1:2016技术要求第1部分制定整体安全要求(概念、范围定义、 危险和风险评估)第8章第1部分给安全仪表功能分配安全要求和制定安全要求规范第9章和第10章第1部分支持部分引用文件第2章第1部分定义和缩略语第3章第1部分符合性第4章第1部分功能安全管理第5章第1部分安全生命周期要求第6章第1部分验证第7章第1部

19、分信息要求第19章第1部分第1部分的应用指南第2部分确定要求的安全完整性等级的指南第3部分安全仪表系统设计阶段第11章安全仪表系统应用编程设计阶段第12章第1部分安全仪表系统的工厂验收测试、安装、调试运行和安全确认第13章第15章第1部分安全仪表系统的运行和维护、修改和改型、停用或处理第16章第18章图 1 GB/T21109 的整体框架VIGB/T 21109.12022/IEC 61511-1:2016过程工业领域安全仪表系统的功能安全第 1部分：框架、定义、系统、硬件和应用编程要求1 范围本文件给出了安全仪表系统(SIS) 的规范、设计、安装、运行和维护要求，以确保该系统能使过程达 到或

20、保持安全状态。本文件是GB/T 20438(所有部分)在过程领域的应用标准。本文件：a) 规定了实现功能安全的要求，但未规定执行这些要求的责任方(如：设计方、供应商、业主/运行 公司、承包商)。根据安全计划、项目计划和管理以及国家规定将责任分配给不同各方。b) 适用于把满足GB/T20438.120438.32017 或本文件中11.5要求的设备集成到用于过程 领域应用的整体系统中，但不适用于希望声明设备适用于过程领域的 SIS 的制造商(见 GB/T 20438.22017 和 GB/T 20438.32017)。c) 定义了IEC 61511和 IEC 61508 的关系(见图2和图3)。

21、d) 适用于为具有有限可变语言的系统开发应用程序，或使用固定程序语言设备的情况，但不适用 于开发嵌入式软件(系统软件)或使用全可变语言的制造商、SIS 设计方、集成商和用户(见 GB/T 20438.32017)。e) 适用于过程领域的多个行业，例如，化工、石油和天然气、造纸、制药、食品与饮料及非核能 发电。注1:过程领域中的某些应用可能还需满足一些附加的要求。f) 描述了 SIF 与其他仪表功能间的关系(见图4);g) 在考虑了通过其他方法实现的风险降低后，辨识出SIF 的功能要求和安全完整性要求； h) 规定了系统架构和硬件配置、应用编程以及系统集成的生命周期要求；i) 规定了 SIS 用

22、户和集成商的应用编程要求；j) 适用于为保护人员、公众、环境，使用单个或多个 SIF 实现功能安全的情况； k) 可适用于非安全应用，例如，资产保护；1) 定义了SIF 的实施要求，SIF 是实现功能安全的整体部署的一部分；m) 使用了SIS 安全生命周期(见图7),并定义了确定SIS 功能要求和安全完整性要求所必须的一 系列活动；n) 规定了定义每个 SIF 的安全功能要求和安全完整性等级(SIL) 时应开展危险与风险评估； 注2:图9概述了风险降低措施。o) 建立了SIL 对应的要求时失效平均概率(要求模式)和危险失效平均频率(要求模式和连续模 式)的目标值；p) 规定了硬件故障裕度(HF

23、T) 的最低要求；q) 规定了实现特定 SIL 所要求的措施和技术；r) 定义了根据本文件实施一个 SIF 时所能实现的最高功能安全性能等级(SIL4); s) 定义了最低的功能安全性能等级(SIL1), 低于这个等级则本文件不适用；t) 提供了一个确定SIL 的框架，但未规定特定应用所要求的 SIL(应基于特定应用的了解和整体 风险降低目标来确定);1GB/T 21109.12022/IEC 61511-1:2016u) 规定了SIS 从传感器到最终元件所有部分的要求；v) 定义了SIS 安全生命周期中需要的信息；w) 规定了SIS 设计需考虑人员因素；x) 未对操作和维护人员个体提出直接要

24、求。过程领域安全仪表系统标准安全仪表系统设计 方、集成商和用户IEC 61511设备制造商和供应商 IEC 61508图 2 IEC61508 与IEC 61511 间的关系注3:对于IEC 61511中引用IEC61508 的内容，安全仪表设计方、集成商和用户还需使用IEC 61508。过程领域安全仪表系统标准过程领域软件和应用程序使用根据IEC 61508开发和评估的硬件遵循IEC 61511开发使用有限可变 语言或固定程序语 言的应用程序遵循IEC 61511开发嵌入式(系统)软件遵循IEC 61508-3开发使用全可变 语言的应用程序 遵循IEC 61508-3开发新的硬件 设备遵循I

25、EC 61508使用“以往使 用”的硬件设备 遵循IEC 61511过程领域 硬件图 3 IEC61511 和 IEC 61508 间的详细关系注4:当系统中包含遵循其他标准(如机械、燃烧器等)的子系统时，指南见本文件和IEC 61511-2:2016中A.7.2.2。2GB/T 21109.12022/IEC 61511-1:2016开始否是否是仪表功能?是是安全功能?否否安全仪表功能?是不相关连续模式?要求其他风险降低措施其他仪表类风险降低措施连续模式SIF要求模式SIF本文件规定了应执行的活动，但并未详述要求。图4 安全仪表功能和其他功能的关系2 规范性引用文件下列文件中的内容通过文中的

26、规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于 本文件。IEC 61511(所有部分) 功能安全 过程工业领域安全仪表系统(Functional safetySafety in- strumented systems for the process industry sector)注 ：GB/T21109 (所有部分) 过程工业领域安全仪表系统的功能安全IEC 61511(所有部分)GB/T20438.12017 电气/电子/可编程电子安全相关系统的功能安全 第1部分： 一般要求 (IEC

27、 61508-1:2010,IDT)GB/T 20438.22017 电气/电子/可编程电子安全相关系统的功能安全 第2部分：电气/电子/ 可编程电子安全相关系统的要求(IEC 61508-2:2010,IDT)GB/T 20438.32017 电气/电子/可编程电子安全相关系统的功能安全 第3部分：软件要求 (IEC 61508-3:2010,IDT)3 术语和定义及缩略语3.1 术语术语按照字母顺序在3.2中列出。3GB/T 21109.12022/IEC 61511-1:20163.2 术语和定义下列术语和定义适用于本文件。某些定义可能和GB/T 20438.42017 中相同术语的定义

28、不同，造成不同的原因可能是这些术语 用于过程领域，也可能是为了与其他相关权威引用文件匹配(如 IEC 60050,ISO/IEC Guide 51:2014)。 然而，除非另有声明，这些定义的技术含义和GB/T 20438.42017 中相同的术语完全一样。3.2.1架构 architecture配置 configuration系统中硬件和软件组件的特定配置。注：在 IEC61511 系列中可以指，例如，SIS子系统的布局、SIS子系统的内部结构或 SIS应用程序的内部结构。3.2.2资产保护 asset protection分配给一个系统的功能，为防止资产损失或破坏而设计。3.2.3基本过程

29、控制系统 basic process control system;BPCS对来自过程及其相关设备、其他可编程系统和/或操作员的输入信号作出响应并生成输出信号使过 程及其相关设备按照期望的方式运行的系统，但它不执行任何SIF。注1:BPCS包括确保过程以期望的方式运行的所有必要设备。注2:BPCS通常可执行多种功能，如过程控制功能、监视、报警。3.2.4旁路 bypass阻止全部或部分SIS 功能执行的行为或设施。注1:旁路的例子包括： 阻断跳闸逻辑的输入信号，但仍然显示输入参数并向操作员报警； 使跳闸逻辑发送给最终元件的输出信号保持在正常状态，以阻止最终元件动作； 在最终元件周围设置的物理旁

30、路； 预选输入状态(如开/关输入)或通过一种工程工具(如在应用程序里)强制设置。注2:其他术语也可用于代指旁路，如超驰、阻止、禁用、强制、抑制或屏蔽。3.2.5通道 channel独立执行某个特定功能的单个设备或一组设备。注1:通道中的设备可包括输入/输出(I/O) 设备、逻辑解算器、传感器以及最终元件。注2:双通道(即两个通道)配置是指拥有执行相同功能的两个独立通道的配置。两个通道可以完全相同也可以 不同。注3:本术语可用来描述一个完整系统或系统的一部分(如传感器或最终元件)。注4:通道描述了 SIS硬件架构特征，通常用此特征来满足硬件故障裕度要求。3.2.6共因 common cause3

31、.2.6.1共因失效 common cause failures由单一事件引起的不同设备的并发失效，并且这些失效间不互为因果。注1:由一个共因引起的所有失效未必恰好在同一时间发生，因此在 SIF实际失效前有一定时间来检测共因的 发生。4GB/T 21109.12022/IEC 61511-1:2016注2:共因失效也可能导致共模失效。注3:共因失效的可能性降低了系统冗余或故障裕度的效果(如增加了多通道系统中两个或更多通道的失效概率)。 注4: 共因失效是相关失效，可能由外部事件(如温度、湿度、过电压、火灾、腐蚀)、系统性故障(如设计的、组装的或安装的错误、缺陷)、人为错误(如误用)等引起。注5

32、:单个共因失效是属于一组并发失效中的一个失效。3.2.6.2共模失效 common mode failures不同设备的并发失效，这些失效具有相同的失效模式(即相同故障)。注1:共模失效可能由不同的原因引起。注2:共模失效也可能是共因失效(3.2.6.1)的结果。注3:共模失效的可能性降低了系统冗余和故障裕度的效果(如两个或更多通道以相同的方式失效，引起相同的错 误结果)。注4:单个共模失效是属于一组并发失效中的一个失效。3.2.7补偿措施 compensating measure在维护或过程运行中，发现 SIS 性能降级时，临时采取用来管理风险的方法(这些方法是计划内的 并且文档化)。3.2

33、.8组件 component执行某一特定功能的系统、SIS 子系统或设备的组成部分。注：组件也可能包括软件。3.2.9配置管理 configuration management迭代系统中组件识别和布置的规则，为了在生命周期全过程中管控组件变更，保持系统连续性和变 更的可追溯性。3.2.9.1保守方式 conservative approach开展分析和计算时使用的谨慎方式。注：在安全领域，每次分析、假设或计算时(关于模型、输入数据、计算等)都选择这种方式以确保产生保守结果。3.2.10控制系统 control system对来自过程和/或操作员的输入信号进行响应，并产生使过程以期望的方式运行的

34、输出信号的 系统。注：控制系统包括传感器和最终元件，可能是 BPCS,可能是 SIS,也可能是两者的结合。3.2.11危险失效 dangerous failure使给定的安全动作受阻或无法执行的失效。注1:只有在针对一个给定的SIF 时，才可以说某个失效是“危险”的。注2:实施了故障裕度时， 一个危险失效可导致： SIF 降级，这种情况下可执行安全动作，但是会有更高的 PFD或 PFH, 或 SIF失效，这种情况下完全无法执行安全动作或已经诱发了危险事件。注3:没有实施故障裕度时，所有的危险失效都会导致 SIF失效。3.2.12相关失效 dependent failure概率不能表示为引起失效

35、的独立事件的无条件概率的简单乘积的失效。5GB/T 21109.12022/IEC 61511-1:2016注1:两个事件 A 和 B,如果A 和 B 同时发生的概率P(A&B) 大于P(A)P(B), 则 A 和 B 是相关的。注2:保护层间相关失效的考虑参见9.4.2和 IEC 61511-3:2016 中附录J。注3:相关失效包括共因失效。3.2.13检测到的 detected揭露出的 revealed显性的 overt硬件和软件相关的一类失效或故障，它们自身发出通知或可通过正常操作或专用检测方法发现。 注1:使用这些术语有以下差异： “显性的”是用于发生时(如由于状态改变)会自己发出通

36、知的失效或故障。这样的失效可以在一发生时 就开始维修。 “检测到的”是用于发生时自己不会发出通知，保持隐藏直至被一些方法(例如，诊断测试、检验测试、操作 员介入如物理检查和人工测试)检测到的失效或故障。只有当这些失效被揭露后才能对其进行维修。 IEC 61511 中此术语的具体运用见注2。 “揭露出的”是用于由于是显性的或被检测到而被发现的失效或故障。注2:在IEC61511 中，除非上下文提及了其他含义，否则术语“危险的检测到的失效/故障”均指通过诊断测试检测 到的危险失效。注3:若检测非常及时(例如，通过诊断测试),则检测到的失效或故障可作为显性的失效或故障考虑。若检测不是 非常及时(例如

37、，通过检验测试),则在提出安全完整性等级时，检测到的失效或故障不能作为显性的失效或故 障考虑。注4:一个揭露出的危险失效只有在足够短时间内能够自动或人工采取有效措施以确保过程安全的情况下才能当 作一个安全失效。3.2.14设备 device能实现某一特定功能的硬件或含有软件的硬件。注：例如，传感器、逻辑解算器、最终元件、操作员接口和现场配线。3.2.14.1现场设备 field device直接与过程连接或位置非常靠近过程的 SIS 或 BPCS 设备。注：例如，传感器、最终元件和手动开关。3.2.15诊断 diagnostics揭露故障的频繁(相对于过程安全时间)自动测试。3.2.15.1

38、诊断覆盖率 diagnostic coverage;DC被诊断检测到的危险失效率的占比。不包括任何被检验测试检测到的故障。注1:诊断覆盖率通常应用于SIS设备或 SIS子系统。如通常为传感器、最终元件或逻辑解算器确定诊断覆盖率。注2:对安全应用，诊断覆盖率通常应用于SIS 设备或 SIS 子系统的危险失效。例如， 一个设备的危险失效的诊断 覆盖率为 DC=mo/pr,式中po是检测到的危险失效率，pr是总的危险失效率。对于一个具有内部冗余的 SIS子系统，DC与时间有关：DC(t)=no(t)/pr(t)。注3:当给出诊断覆盖率(DC)和总的危险失效率(pr), 检测到的危险失效率(uo)和未

39、检测到的危险失效率(apu) 可以按照如下计算：pp=DCpr,pu=(1-DC)pr。3.2.16多样性 diversity执行一个要求的功能的不同方式。注：可以通过不同的物理方法、不同的编程技术或者不同的设计方式来实现多样性。6GB/T 21109.1-2022/IEC 61511-1:20163.2.17误差 error计算出的、观测到的或测量到的值或条件，和真实的、规定的或理论上正确的值或条件之间的差异。 来源：GB/T 2900.992016,192-03-023.2.18失效 failure失去按要求执行的能力。注1:设备失效是导致设备出现某种故障状态的事件。注2:如果能力的丧失是

40、由一个潜在故障引起， 一旦特定的一组条件出现，则失效发生。注3:执行要求的功能必定会排除某些行为，把某些功能定义为要避免出现的行为，这些行为的出现就是失效。 注4:失效是随机的或系统性的(见3.2.59和3.2.81)。来源：GB/T 2900.992016,192-03-01,有修改3.2.18.1失效模式 failure mode失效发生的方式。注：失效模式可以由功能丧失或状态转变来定义。来源：GB/T 2900.992016,192-03-173.2.19故障 fault由于某个内部状态，无能力按要求执行。注1:故障可能由部件本身的失效引发，也可能由生命周期早先阶段(如规范、设计、制造或

41、维护)的缺陷引发。 注2:当一组特定的情况出现时，设备的一个故障会导致一个失效。来源：GB/T 2900.992016,192-04-01,有修改3.2.20故障避免 fault avoidance在 SIS 安全生命周期的任何阶段，使用技术和规程避免引入故障。3.2.20.1故障排除 fault exclusion通过进一步分析排除由不太可能发生的失效模式引发的故障。注1:关于故障排除的进一步信息可参见ISO13849-1和ISO 13849-2。根据这些标准，故障排除可以基于： 技术上不太可能发生的故障； 独立于应用的普遍接受的技术经验； 与应用和特定危险有关的技术要求。注2:对于执行安全功能的设备识别出的失效模式，当其相关危险失效率相对于安全功能的目标失效量足够低时， 此失效模式可以排除。也就是说，对于已声明故障排除的所有设备的失效模式，其危险失效率之和通常不可 超过目标失效量的1%。3.2.21故障裕度 fault tolerance出现故障或错误时，功能单元能够继续执行要求的功能或操作的能力。3.2.22最终元件 final elementBPCS