标准规范下载简介

GB／T 21109.1-2022 过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和应用编程要求.pdf

ICS 25.040 CCSN10

过程工业领域安全仪表系统的功能安全

Functionalsafetyofsafetyinstrumentedsystemsintheprocessindustrysector Part1:Framework，definitions1-5底板混凝土浇筑技术交底.doc，system,hardwareandapplicationprogramming requirements

国家市场监督管理总局 发布 国家标准化管理委员会

11.4硬件故障裕度..............· 11.5关于设备选择的要求 11.7接口... 11.8维护或测试设计要求 11.9随机失效的量化…............… 12SIS应用程序开发 12.1目的·.… 12.2一般要求 .·..*. 12.4应用程序的实现 *********47 12.5应用程序验证要求（审查和测试）….… 12.6应用程序方法和工具的要求 13工厂验收测试（FAT）.….… 13.1目的·.. 14SIS安装和调试 14.1目的·....… 15SIS安全确认 15.1目的… 15.2要求.. 16SIS操作和维护 16.2要求 16.3检验测试及检查 17SIS修改 17.1目的 17.2要求 18SIS停用 18.1目的 18.2要求 *****57 19信息和文档要求 19.1目的 19.2要求 参考文献

图1 GB/T21109的整体框架..…....· 图2 IEC61508与IEC61511间的关系 ........................................

图3IEC61511和IEC61508间的详细关系 图4安全仪表功能和其他功能的关系·…· 图5可编程电子系统(PES)：结构和术语 13 图6包含三个SIS子系统的SIS架构示例 ..... 图7 安全生命周期阶段和功能安全评估阶段 ....... 图8 2 应用程序安全生命周期及其与SIS安全生命周期的关系 图9典型保护层和风险降低方法

IEC61511中使用的缩略诺 表2 SIS安全生命周期一览表· 表3应用程序安全生命周期：一览表 表4 安全完整性要求：PFDvg 32 表5 安全完整性等级：SIF的危险失效平均频率 33 表6不同SIL对应的最小HFT要求 R0

图1GB/T21109的整体框架

过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和应用 编程要求

过程工业领域安全仪表系统的功能安全

本文件给出了安全仪表系统(SIS)的规范、设计、安装、运行和维护要求，以确保该系统能使过程达 发保持安全状态。本文件是GB/T20438（所有部分)在过程领域的应用标准。 本文件： a）规定了实现功能安全的要求，但未规定执行这些要求的责任方（如：设计方、供应商、业主/运行 公司、承包商）。根据安全计划、项目计划和管理以及国家规定将责任分配给不同各方。 b）适用于把满足GB/T20438.1～20438.3一2017或本文件中11.5要求的设备集成到用于过程 领域应用的整体系统中，但不适用于希望声明设备适用于过程领域的SIS的制造商（见 GB/T20438.2—2017和GB/T20438.3—2017)。 c）定义了IEC61511和IEC61508的关系（见图2和图3)。 d）适用于为具有有限可变语言的系统开发应用程序，或使用固定程序语言设备的情况，但不适用 于开发嵌人式软件（系统软件）或使用全可变语言的制造商、SIS设计方、集成商和用户（见 GB/T20438.3—2017)。 e）适用于过程领域的多个行业，例如，化工、石油和天然气、造纸、制药、食品与饮料及非核能 发电。 注1：过程领域中的某些应用可能还需满足一些附加的要求。 f) 描述了SIF与其他仪表功能间的关系（见图4)； g） 在考虑了通过其他方法实现的风险降低后，辨识出SIF的功能要求和安全完整性要求； h）.规定了系统架构和硬件配置、应用编程以及系统集成的生命周期要求； i 1 规定了SIS用户和集成商的应用编程要求； j) 适用于为保护人员、公众、环境，使用单个或多个SIF实现功能安全的情况； k）可适用于非安全应用，例如，资产保护； 1）定义了SIF的实施要求，SIF是实现功能安全的整体部署的一部分； m）使用了SIS安全生命周期（见图7)，并定义了确定SIS功能要求和安全完整性要求所必须的 系列活动； n）规定了定义每个SIF的安全功能要求和安全完整性等级(SIL)时应开展危险与风险评估； 注2：图9概述了风险降低措施。 o）建立了SIL对应的要求时失效平均概率（要求模式)和危险失效平均频率（要求模式和连续模 式)的目标值； p）规定了硬件故障裕度（HFT)的最低要求； q）规定了实现特定SIL所要求的措施和技术； r）定义了根据本文件实施一个SIF时所能实现的最高功能安全性能等级(SIL4)； s） 定义了最低的功能安全性能等级（SIL1)，低于这个等级则本文件不适用； t) 提供了一个确定SIL的框架，但未规定特定应用所要求的SIL（应基于特定应用的了解和整体 风险降低目标来确定）；

本文件给出了安全仪表系统(SIS)的规范、设计、安装、运行和维护要求，以确保该系统能使过程达 保持安全状态。本文件是GB/T20438（所有部分)在过程领域的应用标准。 本文件： a）规定了实现功能安全的要求，但未规定执行这些要求的责任方（如：设计方、供应商、业主/运行 公司、承包商）。根据安全计划、项目计划和管理以及国家规定将责任分配给不同各方。 b）适用于把满足GB/T20438.1～20438.3一2017或本文件中11.5要求的设备集成到用于过程 领域应用的整体系统中，但不适用于希望声明设备适用于过程领域的SIS的制造商（见 GB/T20438.2—2017和GB/T20438.3—2017)。 c) 定义了IEC61511和IEC61508的关系（见图2和图3)。 d）适用于为具有有限可变语言的系统开发应用程序，或使用固定程序语言设备的情况，但不适用 于开发嵌人式软件（系统软件）或使用全可变语言的制造商、SIS设计方、集成商和用户（见 GB/T20438.3—2017)。 e）适用于过程领域的多个行业，例如，化工、石油和天然气、造纸、制药、食品与饮料及非核能 发电。 注1：过程领域中的某些应用可能还需满足一些附加的要求。 f) 1 描述了SIF与其他仪表功能间的关系（见图4)； g) 在考虑了通过其他方法实现的风险降低后，辨识出SIF的功能要求和安全完整性要求； h）．规定了系统架构和硬件配置、应用编程以及系统集成的生命周期要求； D 1 规定了SIS用户和集成商的应用编程要求； j）适用于为保护人员、公众、环境，使用单个或多个SIF实现功能安全的情况； k）可适用于非安全应用，例如，资产保护； 1）定义了SIF的实施要求，SIF是实现功能安全的整体部署的一部分； m）使用了SIS安全生命周期（见图7)，并定义了确定SIS功能要求和安全完整性要求所必须的一 系列活动； n）规定了定义每个SIF的安全功能要求和安全完整性等级(SIL)时应开展危险与风险评估； 注2：图9概述了风险降低措施。 o）建立了SIL对应的要求时失效平均概率（要求模式)和危险失效平均频率（要求模式和连续模 式)的目标值； p）规定了硬件故障裕度（HFT)的最低要求； q）规定了实现特定SIL所要求的措施和技术； r）定义了根据本文件实施一个SIF时所能实现的最高功能安全性能等级(SIL4)； s) 1 定义了最低的功能安全性能等级（SIL1)，低于这个等级则本文件不适用； t 2 提供了一个确定SIL的框架，但未规定特定应用所要求的SIL（应基于特定应用的了解和整体 风险降低目标来确定）：

u） 规定了SIS从传感器到最终元件所有部分的要求； v） 2 定义了SIS安全生命周期中需要的信息； W） 规定了SIS设计需考虑人员因素； X 未对操作和维护人员个体提出直接要求

图2IEC61508与IEC61511间的关系

注3：对于IEC61511中引用IEC61508的内容，安全仪表设计方、集成商和用户还需使用IEC61508。

图3IEC61511和IEC61508间的详细关系

术语按照字母顺序在3.2中列出。

下列术语和定义适用于本文件。 某些定义可能和GB/T20438.4一2017中相同术语的定义不同，造成不同的原因可能是这些术语 过程领域，也可能是为了与其他相关权威引用文件匹配（如IEC60050，ISO/IECGuide51：2014) 除非另有声明，这些定义的技术含义和GB/T20438.4一2017中相同的术语完全一样。

下列术语和定义适用于本文件。 某些定义可能和GB/T20438.4一2017中相同术语的定义不同，造成不同的原因可能是这些术请 用于过程领域，也可能是为了与其他相关权威引用文件匹配（如IEC60050GB∕T 20240-2017标准下载，ISO/IECGuide51：2014) 然而，除非另有声明，这些定义的技术含义和GB/T20438.4一2017中相同的术语完全一样。 3.2.1 架构architecture 配置configuration 系统中硬件和软件组件的特定配置。 注：在IEC61511系列中可以指，例如，SIS子系统的布局、SIS子系统的内部结构或SIS应用程序的内部结构。 3.2.2 资产保护assetprotection 分配给一个系统的功能，为防止资产损失或破坏而设计。 3.2.3 基本过程控制系统basicprocesscontrolsystem；BPCS 对来自过程及其相关设备、其他可编程系统和/或操作员的输入信号作出响应并生成输出信号使过 程及其相关设备按照期望的方式运行的系统，但它不执行任何SIF。 注1：BPCS包括确保过程以期望的方式运行的所有必要设备。 注2：BPCS通常可执行多种功能，如过程控制功能、监视、报警。

下列术语和定义适用于本文件。 某些定义可能和GB/T20438.4一2017中相同术语的定义不同，造成不同的原因可能是这些术请 用于过程领域，也可能是为了与其他相关权威引用文件匹配（如IEC60050，ISO/IECGuide51：2014) 然而，除非另有声明，这些定义的技术含义和GB/T20438.4一2017中相同的术语完全一样。 3.2.1 架构architecture 配置configuration 系统中硬件和软件组件的特定配置。 注：在IEC61511系列中可以指，例如，SIS子系统的布局、SIS子系统的内部结构或SIS应用程序的内部结构。 3.2.2 资产保护assetprotection 分配给一个系统的功能，为防止资产损失或破坏而设计。 3.2.3 基本过程控制系统basicprocesscontrolsystem；BPCS 对来自过程及其相关设备、其他可编程系统和/或操作员的输入信号作出响应并生成输出信号使过 程及其相关设备按照期望的方式运行的系统，但它不执行任何SIF。 注1：BPCS包括确保过程以期望的方式运行的所有必要设备。 注2：BPCS通常可执行多种功能，如过程控制功能、监视、报警。

不同设备的并发失效，这些失效具有相同的失效模式（即相同故障）。 注1：共模失效可能由不同的原因引起。 注2：共模失效也可能是共因失效(3.2.6.1)的结果。 注3：共模失效的可能性降低了系统余和故障裕度的效果（如两个或更多通道以相同的方式失效，引起相 误结果)。 注4：单个共模生效是属于一组并发生效中的一个生效

相关失效dependentfailure

能实现某一特定功能的硬件或含有软件的硬件。 注：例如，传感器、逻辑解算器、最终元件、操作员接口和现场配线。 3.2.14.1 现场设备fielddevice 直接与过程连接或位置非常靠近过程的SIS或BPCS设备。 注：例如，传感器、最终元件和手动开关。 3.2.15 诊断diagnostics 揭露故障的频繁（相对于过程安全时间)自动测试。 3.2.15.1 诊断覆盖率diagnosticcoverage；DC 被诊断检测到的危险失效率的占比。不包括任何被检验测试检测到的故障。 注1：诊断覆盖率通常应用于SIS设备或SIS子系统。如通常为传感器、最终元件或逻辑解算器确定诊断覆盖率。 注2：对安全应用，诊断覆盖率通常应用于SIS设备或SIS子系统的危险失效。例如，一个设备的危险失效的诊断 覆盖率为DC=入pp/入or，式中入po是检测到的危险失效率，入pr是总的危险失效率。对于一个具有内部冗余的 SIS子系统，DC与时间有关：DC(t)=入pp（t)/入pr（t)。 注3：当给出诊断覆盖率（DC)和总的危险失效率（入pr），检测到的危险失效率（Apo)和未检测到的危险失效率（Apu） 可以按照如下计算：入pD=DC×入pr，Apu=（1一DC)×入pr。

商业住宅机电施工组织设计执行一个要求的功能的不同方式。 注：可以通过不同的物理方法、不同的编程技术或者不同的设计方式来实现多样性

BPCS或SIS的一部分，为达到或保持安全状态执行必要的物理动作。

逻辑解算器logicsolve