【国家标准(GB)】 过程工业领域安全仪表系统的功能安全 第2部分：GB/T 21109.1的应用指南

ICS25.040
中华人民共和国国家标准
GB/T21109.2—2007/IEC61511-2:2003过程工业领域安全仪表系统的功能安全第2部分：GB/T21109.1的应用指南Functional safety-Safety instrumented systems for the process industry sectorPart2:GuidelinesfortheapplicationofGB/T21109.1(IEC61511-2:2003.IDT）
2007-10-11发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-12-01实施
规范性引用文件
术语，定义和缩略语
与GB/T21109的符合性
功能安全管理
安全生命周期要求
8过程危险和风险评估
给保护层分配安全功能
分配过程的要求
安全完整性等级4的附加要求·
作为一个保护层的基本过程控制系统的要求次
防止共同原因失效、共同模式失效和相关失效的要求SIS安全要求规范
一般要求
SIS安全要求
SIS设计和工程
般要求
检测故障时的系统行为要求
硬件故障裕度要求
选择部件和子系统的要求
现场装置
维护或测试设计要求
SIF的失效概率
应用软件要求，包括工具软件的选择准则TrrKAONiKAca
GB/T21109.2—2007/IEC61511-2:200310
GB/T21109.2—2007/IEC61511-2:200312.1
应用软件安全生命周期要求
应用软件安全要求规范
应用软件安全确认计划编制
应用软件设计和开发
应用软件与SIS子系统的集成
FPL和LVL软件修改规程
应用软件验证
工厂验收测试（FAT)
SIS安装和调试运行
SIS安全确认
SIS操作和维护
检验测试和检查
SIS修改
SIS停用
信息和文档要求
附录A（资料性附录）
附录B（资料性附录）
附录C（资料性附录）
附录D（资料性附录）
附录E（资料性附录）
计算一个仪表安全功能要求时的失效概率的技术示例典型的SIS结构开发
安全PLC的应用特征
SIS逻辑解算器应用软件开发方法的示例开发安全配置的PE逻辑解算器的外配诊断程序的示例GB/T21109的整体框架
BPCS功能和诱发原因的独立性说明软件开发生命周期（V模型）
实现SIL使用的模型
逻辑解算器
EWDT定时图
典型的安全手册编排方式和内容表B.1
典型的SIS生命周期步骤
rikAoNiKAca
GB/T21109.2—2007/IEC61511-2:2003GB/T21109过程工业领域安全仪表系统的功能安全》分为三个部分：第1部分：框架、定义、系统、硬件和软件要求；第2部分：GB/T21109.1的应用指南；第3部分：确定要求的安全完整性等级的指南。本部分为GB/T21109的第2部分，等同采用IEC61511-2：2003《过程工业领域安全仪表系统的功能安全第2部分：IEC61511-1的应用指南》（英文版）。为便于使用，对IEC61511-2：2003做了下列编辑性修改：
删除国际标准的前言，按GB/T1.1—2000重新编写了本部分的前言；凡是出现IEC61511”之处均改为“GB/T21109”，“IEC61511-1”均改为\GB/T21109.1”，“IEC61511-2”均改为“GB/T21109.2”，“IEC61511-3”均改为\GB/T21109.3”凡是出现”本国际标准”之处均改为GB/T21109”一用小数点“，”代替作小数点的逗号“，”根据GB/T1.1-2000进行编辑性修改。本部分的附录A、附录B、附录C、附录D、附录E为资料性附录。本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会归口。本部分主要起草单位：机械工业仪器仪表综合技术经济研究所、上海自动化仪表股份有限公司技术中心，北京华控技术有限责任公司、中科院沈阳自动化研究所、浙江中控技术有限公司、上海工业自动化仪表研究所、国营759厂。
本部分主要起草人：王春喜、梅恪、包伟华、王麟琨、刘丹、陈小枫、魏剑鬼、史学玲、谭平、李佳嘉、欧阳劲松、蔡廷安、马光武。
本部分为首次制定。
GB/T21109.2—2007/IEC61511-2:2003引言
在过程工业（processindustrysector）中，用来执行仪表安全功能的安全仪表系统已使用了多年。如要使仪表能有效地用于仪表安全功能，最重要的是该仪表应达到某些最低标准和性能水平。GB/T21109阐述了过程工业安全仪表系统的应用。GBT21109还要求执行一次过程危险和风险评估，来处理安全仪表系统和其他安全系统间的接口。安全仪表系统包括传感器、逻辑解算器和最终元件。
应基础的两个概念：安全生命周期和安全完整性等级。安全生命周期GB/T21109包含了作为应
多数概念连接在一起。
形成了核心框架，从而将本部时安全仪表系统逻辑解算幕道括电气（E/电子（E)/可编程电子（PE）技术。在逻辑解算器使用其他技术的情况下，须应用B%
1109的基本原则，GBT21109还涉及安全仪表系象的传感器和最终元GB）T21109在GB/I20438-2006的框架范周内专用于过程领域（见件，而不管它们所使用随技来。GB/T21109.1-2097
GB/T21109提出
策略，已采纳了此才韧
达到这些最低标准的安全生命周期活动的方法。为了使用合理和一致的技术本部分的目的是提供如何符合本部分的指南为了方便GBU
109的使用，提供的章
条号与GB/T21109.1（附录除外）中对应的规范性内容E
相一致。
在大多数情况有(inherendy)全过程设计就能很好题实现安全性。必要时还可结合一个或一些保护系统，使理任何已发现的残余风险，保护系统可依靠不同的技术化学的、机械的、液压
的、气动的、电气的电子的、热力学的（如灭火器）、可编程电子的）任何安全策略都需要将每个单独的安全仪表系统放在真D保护系统环境下进行考虑。为促成该方法，GBVT21109要求：执行一次危风险评估以便确定整体安全要要求
给安全功能安全系统（如安全仪表系统）分配安全要求：应在一个适用
详述了适用于实理
有用仪表实现功能安全
方法的框架内进行工作，
能安全的所有方法的某些活动（如安全管理）的使用关于过程工业的安全仪表统的GB/T21109：涉及从初始概念、设运行和维护直到停用的所有安全生命周期阶段；能使现有的或新的国象专用的过需工业标准同本标准协调一致GB/T21109致力于在过程工业领域内导致高度一致（如基本原删、术语、信息等）。这将带来安全和经济两方面的好处。
GB/T21109的整体框架见图1。
技术要求
第1部分
制定整体安全要求（额念、
范围定义、危险和风险课估）
第8章
第1部分
给仪表安全功能分配安全要求
和制定安全要求规范
第9章和第10章
第1部分
安全仪表系统
设计阶段
第1章
第1部分
安全仪表系统
软件设计阶段
第12章
安全仪表系统的工厂验收测试、安装、调试运行和安全确认
第13章～第15章
第1部分
安全仪表系统的运行和维护、修改和改型、停用或处理
第16章～第18章
KAONKAca
GB/T21109.2-2007/IEC61511-2.2003支持部分
规范性引用文件
第2章
第1部分
定义和缩略语
第3章
第1部分
符合性
第4章
第1部分
功能安全管理
第5章
第1部分
安全生命周期要求
第6章
第1部分
第7章
第1部分
信息要求
第19章
第1部分
附录A
第1部分
第1部分
的应用指南
第2部分
确定要求的安全完整性
等级的指南
第3部分
图1GB/T21109的整体框架
1范围
GB/T21109.2—2007/IEC61511-2:2003过程工业领域安全仪表系统的功能安全第2部分：GB/T21109.1的应用指南本部分提供了按GB/T21109.1中定义的仪表安全功能及其相关的安全仪表系统的规范、设计、安装、操作和维护的应用指南。为了方便GB/T21109的使用，提供的章、条号与GB/T21109.1（附录除外）中对应的规范性内容相一致。2规范性引用文件
见GB/T21109.1。
3术语、定义和缩略语
术语、定义和缩略语见GB/T21109.1。GB/T21109.1—2007中以下两条术语在本部分中做了补充说明。
安全功能safetyfunction
一个安全功能应能防止一个特定的危险事件。例如“防止压力容器#ABC456中压力超过100bar”。可以通过下列办法达到这个安全功能：a）单独一个安全仪表系统（SIS)，或者b）二个或几个安全仪表系统和/或其他的保护层。在情况b）中，每个安全仪表系统或其他的保护层应有达到安全功能的能力并且组合整体一定要达到要求的风险降低（过程安全目标）。3.2.71
仪表安全功能safetyinstrumentedfunction仪表安全功能源于安全功能，仪表安全功能具有一个相关联的安全完整性等级（SIL）并由一个特定的安全仪表系统来执行它。例如“当压力容器#ABC456中的压力达到100bar时，在5s内关闭阀门#XY123”。多个仪表安全功能有可能使用同一个安全仪表系统的部件。4与GB/T21109的符合性
见GB/T21109.1。
5功能安全管理
5.1目的
GB/T21109.1—2007第5章的目的是为保证满足功能安全目标必需实现的管理活动提供要求。5.2要求
5.2.1概述
5.2.1.1见GB/T21109.1。
5.2.1.2当一个组织负责执行功能安全所必需的一项或几项活动，并且该组织按照质量保证规程进行工作时，则出于质量的目的，本章中描述的许多活动将要被执行。在这种情况下，对功能安全来说，没有GB/T21109.2-2007/IEC61511-2:2003必要重复这些活动。但应对质量保证规程进行复审，以确定它们对达到功能安全目标是合适的。5.2.2组织和资源
FKAOARLKACa
5.2.2.1应定义一个公司/现场/工厂/工程项目范围内与安全仪表系统有关联的组织结构，并应清楚地了解和互通每个组成部分的作用和职责。应确定结构内的各个角色，包括它们的描述和目的。应清楚地标明每个角色的责任，并判明各自的特殊职责。此外，还应标明各个报告提交给谁和委派谁来写报告。目的是保证组织中的每一个人都要了解它们对安全仪表系统面言所扮演的角色以及它们的职责。5.2.2.2应确定为实现与安全仪表系统有关的安全生命周期的任何活动所需的技能和知识，并应确定每种技能所要求的能力水平。应根据可胜任的每种技能以及每种技能所需的人数对资源进行评估。当查明有差异时，应制定一个开发计划使之能及时地达到要求的胜任能力水平。当出现技术力量短缺时，可招收或签约合格的有经验人员。5.2.3风险评价和风险管理
GB/T21109.1—2007的5.2.3中规定的要求是确定危险、评价风险并确定必要的风险降低。公认的进行这些评价的适用方法有很多种。GB/T21109.1并未认同任何一种特殊的方法。换句话说，在GB/T21109.3中鼓励读者就这一问题对这些方法进行复审。5.2.4计划编制
本条的目的是要保证在整个项目范围内，实施适当的安全计划编制以便论述生命周期每个阶段所要求的活动（例如工程设计、工厂运行）。本部分未要求任何特殊结构用于这些计划编制活动，但它强调要求定期更新或复审这些活动。5.2.5实现和监视
5.2.5.1本条的目的是要确保有效的管理规程能到位从而：一保证危险分析、风险评估，其他评估和审核活动、验证和确认活动产生的建议得以圆满解决确定SIS在它的整个工作寿命期内都能按安全要求规范运行。5.2.5.2在本部分中，供货商可能还包括设计承包商和维护承包商以及部件供货商5.2.5.3应定期对SIS的性能进行复审，以保证在开发安全要求规范（SRS）过程中仍然遵守原来的设想。例如，应对SIS中的客个部件假设的失效率进行定期的复审，以保证它保持同初始定义相同。如果失效率比初始预计的更差，则有必要修改设计。同样还应对SIS的要求率进行复审。如果对SIS的要求率大于最初假定值，则可能需要对SIL进行调整。5.2.6评估、审核和修订
评估和审核是以误差检测和消除为目标的手段。后续段落阐明了这些活动之间的差别。功能安全评估的目的是评价在所评估的各生命周期阶段中为实现安全所做的准备是否充分。评估者应对负责实现功能安全人员所作的决定作出判断。例如：在调试运行之前应对维护规程是否充分作一次评估：
功能安全审核人员应通过工程项目记录或者工厂记录来确定是否是具有必要资格的人员以规定的颗率使用必要的规程。不要求审核者对它们考患的工作的充分性作出判断。然而，如果它们发觉更改有益，则应在报告中包括对此的一个说明。在许多情况下，评估者和审核者的工作之间有可能重选。例如，一个审核者可能不仅需要确定一个操作员是否已得到必要的培训，而且还要对培训是否使操作员达到了要求的胜任能力作出判断5.2.6.1功能安全评估
5.2.6.1.1功能安全评估（FSA）的使用是证明一个安全仪表系统（SIS）满足仪表安全功能和安全完整性等级（SIL）要求的基础。这种评估的基本目的是通过系统开发过程的独立评估来证明符合一致同意的标准和惯例。在各个生命周期阶段，可能都需要对SIS进行一次评估。为了进行一次有效的评估，应拟定一个定义该评估范围的规程以及评估组组成的指南。良好的功能安全评估（FSA）惯例应考虑以下属性：2
GB/T21109.2—2007/IEC61511-2:2003对每个功能安全评估（FSA）都应拟制一个计划，这个计划应根据评估范围、评估人员，评估人员的能力以及评估将产生的信息来编排，FSA应考到公司外部或者内部的标准、指南、规程或编程习惯（codesofpractice）范围内所包含的标准和作法。FSA计划应定义对于特定的评估/系统/应用领域应评估些什么。在不同的系统开发过程，功能安全评估的频次可能改变，但至少在系统面临潜在危险之前应进行一次FSA。有些公司也可能在构建/安装阶段之前进行一次评估，以防止在生命周期的较后阶段出现高成本的返工。
在定义FSA频次和严密性时应考虑以下系统属性：·复杂程度；
·安全重要性；
·类似系统以往的经验；
·设计特征的标准化
一一在评估之前应提供足够的设计、安装、验证和确认活动的证据。足够证据的可用性本身可能是一个评估准则。证据应代表系统设计或安装的当前/认可状态评估者的独立性一定要合适。
评估者应具有适合于所评估系统的技术和应用领域的经验和知识。在整个生命周期和对所有系统而言，实现FSA的方案都应保持系统性和一致性。FSA是种主观的活动，为了尽可能多地消除主观性，可以使用检查列表来定义一个组织可接受活动的详细指南。
FSA产生的记录应是完整的，并且在生命周期下一阶段开始之前，评估结论应同负责SIS功能安全管理人员的意见一致。
5.2.6.1.2为了增强评估的客观性，需要独立于项目组的评估人员。需要高级（例如经验、等级、职位）评估人员，以保证它们所关心的问题能被适时的关注和涉及。进一步建议，对于某些大型项自组或评估组，可能有必要拥有多个独立于初始项目组的高级人员。根据公司组织结构和公司内部的专家意见，也许不得不通过外部组织来满足对独立评估人员的要求。相反地，对于熟练进行风险评估及安全仪表系统应用的内部组织的公司可使用它们本身的资源来满足独立组织的要求，当然这样的内部组织应独立于负责项目的那些组织并在管理和其他资源方面是同负责项目的那些组织分开的。5.2.6.1.3评估量与工程项目的规模和复杂程度有关。在同一时间可以对不同阶段的结果进行评估。在正在运行的工广中改变不大的情况下尤其可能5.2.6.1.4在某些地区，在阶段3进行的功能安全评估常被称为起动前的安全复审（Pre-Startup-Safety-Review(PSSR))。
5.2.6.1.5见GB/T21109.1。
5.2.6.1.6见GB/T21109.1.
5.2.6.1.7
评估组应能得到它们执行评估所需要的任何信息。这包括从设计阶段一直到安装，调试运行和确认阶段所作的危险和风险评估得到的信息。5.2.6.2审核和修订
5.2.6.2.1本条给出有关审核的指南，并通过三个例子来说明相关活动。a)审核类别
安全仪表系统的审核可给工厂管理、仪表维修工程师和仪表设计工程师提供有用的信息。这使管理具有前瞻性，以及使之能了解它们的安全仪表系统的实现程度和有效性。存在有许多种能执行的审核类型。任何特殊活动审核的实际类型、范围和频率应反映该活动对安全先整性的潜在影响。
GB/T21109.22007/1EC61511-2:2003审核类型包括：
1）审核，包括独立审核和自审核；2）
检查；
安全巡视（例如工厂走查和事故（incident）复审）：3）
4）安全仪表系统调查（通过调查表）。HTIKAONIKA
需要在“监督和检查”以及审核活动之间进行区别。监督和检查的重点在于评价特定生命周期活动的性能（例如在部件恢复工作之前，监肾员检查维修活动的完成）。相反，审核活动更广泛，并且主要集中在与安全生命周期有关的整个安全仪表系统的实现上。一次审核包括确定是否执行了监督和检查程序。审核和检查可由公司/现场/工厂/项自的人员来执行（如自审核），或由独立人员来执行（如公司的审核员、质量保证部门、调节员（regulator）、客户或者第三方）。各级管理应使用相关类型的审核，以获取它们的安全仪表系统的实现有效性信息。来自审核的信息可用来确定可指导改进实现，但还未真正使用过的规程。b）审核策略
现场/工厂/项目实现审核的程序可以考虑滚动程序、独立程序或者自审核和检查程序。应定期更新滚动程序，以便反映以往安全仪表系统的性能和审核结果，以及当前关心的问题和重点。这些包含了在一个适当的时段内和适当深度上，现场/工厂/项目有关的所有活动和安全仪表系统的所有方面。进行审核的主要原因以及它所产生的附加价值在于对它们提供的信息及时采取动作。这些动作的目的是增强安全仪表系统的有效性。例如，有助于降低雇员或成员公众受伤害或致命的风险，有助于提高安全文明、有助于防止任何应避免释放的物质进入环境。总之，审核策略可以拥有各种审核类型的组合，它是由管理（客户）产生的、并为了把相关的信息反馈给管理链以便及时动作。c）审核过程和协议
总的目的是使审核的效能达到最大。仅当各方（包括审核者、联络员、工厂经理和部门负责人等）了解每个审核的需要并能影响每个审核时，才能达到最大效能。以下审核过程和协议也许有助于确保达到这些目的的方案的某种一致性。它们涉及审核过程的下列5个关键阶段：
审核策略和程序
应清楚地定义每个审核的目的以及确定审核组以及每个组的任务和职责。应有一个审核策略。
应有一个审核程序。
应对审核过程，程序和策略的实现进行复审。2）审核准备和预编制
开始进行某个审核之前，应为现场/工厂/项目的高级经理和/或适当的审核协调员确定一位联络员。
在早期阶段审核人员和联络员应对以下问题进行讨论、理解并达成一致：审核的范围；
一审核的时间安排；
需要参加的人员；
一审核的依据或者审核标准；
一为了增加审核的成功机率在准备阶段要作的额外工作和涉及到的工厂人员。
GB/T21109.22007/1EC61511-2:2003以下各项可用作每个阶段所需时间的指南：审核准备：30%；
进行审核：40%；
审核结果报告：20%；
一审核跟踪：10%
审核员应为审核收集信息、规程/指令等，以及在适当的时候准备数据和编制检查列表。
如果发现严重的观察结果/缺陷，审核员应强调和解释在审核过程中审核范围发生改变的可能性。
3）实施审核
审核员应在对现场/工厂/项目人员可能造成的十扰具有足够的认识后，在设定的审核时段内的儿组连续工作日中实施审核。对在审核过程中已确定的审查结果，应定期向联络员通报，以免在审核结束时感到意外。
在审核过程中，审核员应设法接近工厂人员，以便将知识和理解（过程和审查结果的）通告给物主（achieveownership）。审核员的风格对审核的成功是决定性的一一他应努力作到有耐心、态度积极、有礼貌、精力集中和客观。
至少审核员应力图作到在改变商定好的范围和时间表时需经协商。4）审查结果报告
在审核结束时或稍后，但应在发布最终报告之前，审核员应举行一个结束会议。应给相关的管理部门提供对草案报告和审查结果提意见的机会，如有要求可在正式的结束会议上进行讨论。
通常的作法是请求现场/工厂/项目的一份行动计划，以便提交报告的审查结果。5审核跟瞻
通常审核报告要求用一份行动计划的形式作出回应。只要合适，审核员可在预定日期或者下次审核时，验证行动完成的满意程度，现场/工厂/项目跟踪系统可用来检验行动计划的实现。应考虑每个审核组的审核结果的定期复审/总结，并就其结果进行广泛沟通。审核结果/输出可用于复审审核的频次，并可用于安全仪表系统的管理复审的输人
5.2.6.2.2本条增强了变更管理在审核过程中所起的作用。5.2.7SIS配置管理
5.2.7.1要求
5.2.7.1.1为了在整个生命周期内管理和保持装置的可追溯性，可以建立一种用于标记、控制和追踪每个装置的型号/版本的机制。
在安全生命周期最早可能的阶段，应给每台装置标上一个独特的工厂标识。在某些情况下，也可保留和控制仍在使用中的较早型号版本。这只是配置管理程序中的第一步，配置管理程序还应包括以下考虑。
配置管理系统可以包括：
a）在生命周期的所有阶段，准备所有装置的标识规程。每台装置包括软件的型号/版本以及建造状况的独特标识，包括供货商、日期和应用地方、最b）
初规定的型号/版本的变更情况。5
GB/T21109.2—2007/TEC61511-2:2003故障观察和审核产生的所有动作和改变的标识和跟踪d)
发布一个交付使用的版本的控制措施、标记相关装置的状况及型号/版本。已建立的安全防护措施，以确保在运行中的SIS不会遭受未经授权的变更/修改。每个软件项的版本标识，这些版本一起构成了一台完整装置的一个特定版本。提供在一个或多个工厂中多套SIS更新的协调。交付使用的书面授权。
批准装置交付使用的一份签字批准的列表j）
阶段（stage/phase）装置被纳人配置控制之下可交付使用的相关文档的轻制。一台装置的每个型号版本的标识：功能规范；
技术规范
m）SIS的管理和维@量及的所有部门/组织的确定、职责分配及其理解6安全生命周期要求
6.1目的
任何过程设施中所达到的功能安全，都有赖于一系列活动的圆满执行。针对TT KAONi KAca-
个安全仪表系统采
周期方法的目的，是确保能执行达到功能安全所必要的全音，以及保证能向
用一种系统的安全
部活动
其他人证明已按适
在GB/T21109
序执行了这些活动。免费标准bzxz.net
2007的图8和表
中提出了一个典型
个生命周期价段的要求。
1109.1—2007的第8章~第16章中给出了每的生命周期。在GBC
GB/T21109
如果遵守所有的要求，那么可以用不同的方法构建规定的活动。如果允许把
安全活动较好地集成到常规的项目规程中，这种重新构建可能是有益的。GB/T11091—2007的第6
章的目的是当使用不安全生命周期时确保已定义了生命周期每个阶段的输人和输出，及所有最基本的要求。
6.2要求
6.2.1考虑的关键是
定义将被使用的SIS安全生命周期经验表明除非事前对这个活动作了和组织对承担的职责达成了一致意见，否则有可能发生问题。出现问题很好的计划并且所有人员
时，最好的情况是某些工作被您读或不得不重做；最糟糕的情况是可能报害了安全6.2.2虽然并没要求把建议SI@全生命周期（包括适用于项目的GB/21109.1-2007图8中的那些方框）映射到过程的项日生命周期上，国在某个早期阶段这样做是有好处的。当作这件事时，应考虑开始某个安全生命周期活动所需的信息以及谁能提供这些信息。在某些情况下，直到设计阶段的后期，都不可能精确确定某个特殊问题的相关信息。在这种情况不，有必要根据以往经验进行估计，然后在稍后的某个时候再证实这些数据。如果存在这种情况，那么在安全生命周期中注意这点是很重要的。6.2.3安全生命周期计划编制的另一重要部分是确定在每个阶段将使用的技术。确定这些技术是重要的，因为通常需要使用某个专门的技术，这种技术要求人员或部门要具有独特的技能和经验。例如，在某个特定应用中的后果可能与失效事件后形成的最大压力有关：能够确定这种关系的惟一方法就是建立过程的动态模型。因此，动态建模的信息要求对设计过程将有重大影响。7验证
7.1自的
验证的目的是要保证验证计划编制所确定的每个安全生命周期阶段的活动实际上已得到执行，并保证阶段的输出（无论是文档形式，还是硬件和软件形式）已被产生且适合它们的用途。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。