GB/T 21109.2-2007 过程工业领域安全仪表系统的功能安全 第2部分：GB/T 21109.1的应用指南

ICS25.040

N10@;m

=lI工

中华人民

和国国家标准

./、

Gß/T21109.2-2007/lEC61511-2:2003

过程工业领域安全仪表系统的功能安全

第2部分:Gß/T21109.1的应用指南

Functionalsafety-Safetyinstrumentedsystemsfortheprocessindustrysector一

Part2:GuidelinesfortheapplicationofGß/T21109.1

(lEC61511-2:2003,IDT)

2007-10-11发布

2007-12-01实施

中华人民共和国国家质量监督检验检茂总局

发布

中国国家标准化管理委员会

标准分享网免费下载

Gß/T21109.2-2007/IEC61511-2,2003

目次

前言…-…..………..…………….m

引言…………………..…….........N

I范围...

2规范性引用文件

3术语、定义和缩略语

4与GB/T21109的符合性……

5功能安全管理……..

5.1目的

5.2要求

6安全生命周期要求…-…-….....……6

6.1目的…...…………...…………...6

6.2要求………………….6

7验证………………..……·………6

7.1目的...............………-…-……..……-…...6

8过程危险和风险评估…………..………….7

8.1目的…..…………….7

8.2要求……………..…...…·…-…-…7

9给保护层分配安全功能……………………...9

9.1目的…………………9

9.2分配过程的要求...........…...……….9

9.3安全完整性等级4的附加要求……-…-………..…………..10

9.4作为一个保护层的基本过程控制系统的要求……..………...…………..10

9.5防止共同原因失效、共同模式失效和相关失效的要求-….......…...…...…11

10SIS安全要求规范………·……...…………12

10.1目的………………..12

10.2一般要求…………12

10.3SIS安全要求………………...12

11SIS设计和工程………………..………13

11.1目的.........………………….13

11.2一般要求……·………………….13

11.3检测故障时的系统行为要求………-………….16

11.4硬件故障裕度要求....…………………….16

11.5选择部件和子系统的要求………..………17

11.6现场装置………....………18

11.7接口…...………...……·四

11.8维护或测试设计要求…………………...……………..……….20

11.9SIF的失效概率.....….....…-…...…-…………21

12应用软件要求，包括工具软件的选择准则………………22

GB/T21109.2-2007/IEC61511-2:2003

12.1应用软件安全生命周期要求………·…………….22

12.2应用软件安全要求规范...………………..…25

12.3应用软件安全确认计划编制……………….26

12.4应用软件设计和开发………….26

12.5应用软件与SIS子系统的集成...………..……………...………….31

12.6FPL和LVL软件修改规程………-…·…….31

12.7应用软件验证…………………...……………..32

13工厂验收测试(FAT)…...………………...33

13.1目的…………33

13.2建议.…………....…….33

14SIS安装和调试运行……·………………-…….33

14.1目的…………...……...33

14.2要求…...….……..33

15SIS安全确认…...………………·………………..33

15.1目的………………33

15.2要求…………….....................………..33

16SIS操作和维护…………………...………………...34

16.1自的.…………"............34

16.2要求………………·…..34

16.3检验测试和检查………………...34

17SIS修改………-……………...…………35

17.1目的....……………·…...35

17.2要求…………35

18SIS停用·………...35

18.1目的·…..……·…………………...35

18.2要求…………………..……·………35

19信息和文铛要求-……...…...…………………36

川l目的...……………..……………....36

19.2要求...………..36

附录A(资料性附录)计算一个仪表安全功能要求时的失效概率的技术示例…….……….....37

附录B(资料性附录〉典型的SIS结构开发..........38

附录C(资料性附录)安全PLC的应用特征………u

附录o(资料性附录)SIS逻辑解算器应用软件开发方法的示例……..............................44

附录E(资料性附录〉开发安全配置的PE逻将解算器的外配诊断程序的示例…………...……48

图1GB/T21109的整体框架…………….V

图2BPCS功能和诱发原因的独立性说明……………….11

图3软件开发生命周期(V模型〉…-……...………………-………n

图且l实现SIL使用的模型……………...…...……….39

图C.I逻辑解算糕…………………·……42

图E.IEWDT定时图....……·……………...49

表1典型的安全手册编排方式和内容..………………...………………·………..30

表8.1典型的SIS生命周期步骤………-…………-………………...……38

H

'标准分享网免费下载

GB/T21109.2-2007/IEC61511-2,2003

目U言

GB/T2110闪过程工业领域安全仪表系统的功能安全B分为三个部分:

第I部分框架、定义、系统、硬件和软件要求，

第2部分GB/T21109.1的应用指南，

一-第3部分确定要求的安全完整性等级的指南.

本部分为GB/T21109的第2部分，等同采用IEC61511-2，2003(过程工业领域安全仪表系统的功

能安全第2部分lEC61511-1的应用指南以英文版λ为便于使用，对IEC61511-2，2∞3做了下列

编镜位修改=

一--删除国际标准的前言，按G日'T1.12000重新编写了本部分的前言5

凡是出现"lEC61511"之处均改为"Gll/T21109","IEC61511-1"均改为"GB/T21109.1",

"lEC61511-2"均改为"GB/T21109.2","IEC615113"均改为"GB/T21109.3";

一一凡是出现"本国际标准"之处均改为"Gll/T21109";

JtJ小数点u"代替作小数点的逗号""

一一根据Gll/T1.1-2000进行编街性修改.

本部分的附录A、附录8、附录C、附录D、附录E为资料性附录.

本部分由中国机械工业联合会提出.

本部分由全国工业过程测量和l控制标准化技术委员会归口.

本部分主要起草单位:机械工业仪器仪表综合技术经济研究所、上海自动化仪表股份有限公司技术

中心、北京华控技术有限责任公司、中科院沈阳自动化研究所、浙江中控技术有限公司、上海工业自动化

仪表研究所、国营759厂.

本部分主要起草人=王春喜、梅恪、包伟华、王麟混、刘丹、栋小枫、魏乡j鬼、史学玲、谭平、李佳嘉、欧

阳劲松、蔡延安、马光武.

本部分为首次制定.

皿

Gß/T21109.2-2007/IEC615门-2，2003

51

在过程工业(processindustrysecLOr)中，用来执行仪表安全功能的安全仪表系统已使用了多年.

如要使仪表能有效地用于仪表安全功能，最重要的是该仪表应达到某些最低标准和性能水平.

GB/T21109阐述了过程1109还要求执行一次过程危险和风

、逻辑解算器和最终

险评估，来处理安全仪表系统

元件.

GB/T21109包含了

形成了核心框架，从

安全仪表系统

技术的情况下，传感器和最终元

于过程领域(见

件，而不管

GB/T21J09一致的技术

策略，已采纳了

为了方便

相一致.

、机械的、液压

E.Jt一些保护系统，

的、气动的、电气单独的

一

一执行一

关于过程工业的安

阶段s

涉及从初始概念、

能使现有的或新的国

GB/T21109致力于在过程工

和经济两方面的好处.

GB/T21109的整体框架见图1.

H

标准分享网免费下载

咽'

Gß/T21109.2-2007/LEC61511-2,2003

〈王D

~

第1部分

制应'应1*聋全要求〈植幸.

商固定旦.危障和风陪i宇伯)

捕..

嚣t部骨

纷也幸查全功能卦配置企事草

和制也茸圭要靠规拖

第9慧和!如10"

圭圭住在矗统直圭也班革统

拉件面计阶段

世计酣匾

lIll2章

第'"位

第1面分

圭圭位茬矗统的工厂验收测试、

辈辈.i11试运行和直圭确认

靠13意~嚣15徽

图1Gß/T21109的整体框架

v

GB/T21109.2-2007/lEC61511-2,2003

过程工业领域安全仪表系统的功能安全

第2部分:GB/T21109.1的应用指南

1范围

本部分提供了按GB/T21109.1中定义的仪表安全功能及其相关的安全仪表系统的规范、设计、安

装、操作和维护的应用指南.为了方便GB/T21109的使用，提供的章、条号与GB/T21109.l(附录除

外〉中对应的规范性内容相一致.

2规范性引用文件

见GB/T21109.1.

3术语、定义和编赂语

术语、定义和缩略语见GB/T21109.1.GB/T21109.1←2007中以下两条术语在本部分中做了补

充说明.

3.2.68

安全功能safetyfunclion

一个安全功能应能防止一个特定的危险事件.例如"防止压力容器:=ABC456中压力超过

100bar".可以通过下列办法达到这个安全功能z

a)单独一个安全仪表系统(SIS);或者'

b)一个或几个安全仪表系统和/或其他的保护层.

在情况b)中，每个安全仪表系统或其他的保护层应有达到安全功能的能力并且组合整体-定要达

到要求的风险降低〈过程安全目标)•

3.2.71

仪表安全功能safetyinslrumentcdfunction

仪表安全功能源于安全功能，仪表安全功能具有一个相关联的安全完整性等级(SIL)并由一个特

定的安全仪表系统来执行宫.例如"当压力容嚣l'ABC456中的压力达到100bar时，在5s内关闭阀

门~XY123".多个仪表安全功能有可能使用同一个安全仪表系统的部件.

4与GB/T21109的符合性

见GB/T21109.1.

5功能安全管理

5.1目的

GB/T21109.1-2007第5章的目的是为保证满足功能安全目标必需实现的管理活动提供要求.

5.2要求

5.2.1概述

5.2.1.1JιGB/T2]]09.1.

5.2.1.2当一个组织负责执行功能安全所必需的一项或儿项活动，并且该组织按照质量保证规程进行

工作时，则出于质量的目的，本章中描述的许多活动将要被执行.在这种情况下，对功能安全来说，没有

标准分享网免费下载

Gß/T2门口9.2--2007/IEC615门-2，2∞3

必要重复这些活动.但应对质量保证规程进行复审，以确定它们对达到功能安全目标是合适的.

5.2.2组织和资源

5.2.2.1应定义一个公司/现场/工厂/工程项目范围内与安全仪表系统有关联的组织结构，并应清楚

地了解和l互通每个组成部分的作用和职责.应确定结构内的各个角色，包括它们的描述和目的.应清

楚地标明每个角色的责任;并判明各自的特殊职责.此外.还应标明各个报告提交给谁和委派谁来写报

告.目的是保证组织中的每一个人都要了解它们对安全仪表系统而言所扮演的角色以及它们的职责.

5.2.2.2应确定为实现与安全仪表系统有关的安全生命周期的任何活动所需的技能和知识5并应确定

每种技能所要求的能力水平.应根据可胜任的每种技能以及每种技能所需的人数对资源进行评估.当

查明有差异时，应制定一个开发计划使之能及时地达到要求的胜任能力水平.当出现技术力量短缺时，

可招收或签约合格的有经验人员.

5.2.3凤险评价和风险管理

GB/T21109.]--2007的5.2.3中规定的要求是确定危险、评价风险并确定必要的风险降低.公认

的进行这些评价的适用方法有很多种•GB/T21109.1并未认同任何一种特殊的方法.换句话说，在

GB/T21109.3中鼓励读者就这一问题对这些方法进行复审.

5.2.4计划编制

本条的目的是要保证在整个项目范围内，实施适当的安全计划编制以便论述生命周期每个阶段所

要求的活动〈例如工程设计、工厂运行).本部分未要求任何特殊结构用于这些计划编制活动，但它强调

要求定期更新或复审这些活动.

5.2.5实现和监视

5.2.5.1本条的目的是要确保有效的管理规程能到位从而.

保证危险分析、风险评估、其他评价和审核活动、验证和确认活动产生的建议得以圆满解决.

一-确定SIS在它的整个工作寿命期内部能按安全要求规范运行.

5.2.5.2在本部分中，供货商可能还包括设计承包商和维护承包商以及部件供货商.

5.2.5.3应定期对SIS的性能进行复帘，以保证在开发安全要求规范(SRS)过程中仍然遵守原米的设

想.例如，应对SIS中的各个部件假设的失效率进行定期的复审，以保证'Ë保持同初始定义相同.如果

失效率比初始预计的更差，则有必要修改设计.同样还应对SIS的要求率进行复审.如果对SIS的要

求率大于最初假定值，则可能需要对SIL进行调整.

5.2.6评估、审核和修订

评估和审核是以误差检测和l消除为目标的手段.后续段落阐明了这些活动之间的差别回

功能安全评估的目的是评价在所评估的各生命周期阶段中为实现安全所傲的准备是否充分.评估

者应对负责实现功能安全人员所作的决定作出判断.例如在调试运行之前应对维护规程是否充分作

一次评估.

功能安全审核人员应通过工程项目记录或者工厂记录来确定是否是具有必要资格的人员以规定的

频率使用必要的规程.不要求审核者对它们考虑的工作的充分性作出判断.然而，如果它们发觉更改

有益，则应在报告中包括对此的一个说明.

在许多情况下，评估者和审核者的工作之间有可能量迭.例如，一个审核者可能不仅需要确定-个

操作员是否已得到必要的培训，而且还要对培训是否使操作员达到了要求的胜任能力作出判断.

5.2.6.1功能安全评估

5.2.6.1.1功能安全评估(FSA)的使用是证明一个安全仪表系统(SIS)满足仪表安全功能和安全完整

性等级(SIL)要求的基础.这种评估的基本目的是通过系统开发过程的独立评估来证明符合一致同意

的标准和惯例.在各个生命周期阶段，可能都需要对SIS进行一次评估.为了进行一次有效的评估，应

拟定一个定义该评估范围的规程以及评估组组成的指南.

良好的功能安全评估(FSA)惯例应考虑以下属性:

2

GB月21109.2-2007/IEC61511-2,2003

一一对每个功能安全评估(FSA)都应拟制一个计划，这个计划应根据评估范阁、评估人员、评估人

员的能力以及评估将产生的信息来编排.

一-FSA应考虑到公司外部或者内部的标准、指南、规程或编程习惯(codesofpractice)范围内所

包含的标准和作法.FSA计划应定义对于特定的评估/系统/应用领域应评估些什么.

-一在不同的系统开发过程.功能安全评估的频次可能改变，但至少在系统而11面潜在危险之前应进

行一次FSA.有些公司也可能在构建/安装阶段之前进行一次评估，以防止在生命周期的较

后阶段出现高成本的返工.

一一在定义FSA频次和严密性时应考虑以下系统属性

•复杂程度3

•安全重要性;

•类似系统以往的经验3

•设计特征的标准化.

一一在评估之前应提供足够的设计、安装、验证和l确认活动的证据.足够证据的可用性本身可能是

一个评估准则.证据应代表系统设计或安装的当前/认可状态.

一一评估者的独立性一定要合适.

一一评估者应具有适合于所评估系统的技术和l应用领域的经验和知识.

一一在整个生命周期和对所有系统而言，实现FSA的方案都应保持系统性和1一致性.FSA是一

种主观的活动，为了尽可能多地消除主观性，可以使用检查列表来定义一个组织可接受活动的

详细指南.

FSA产生的记录应是完整的，并且在生命周期下一阶段开始之前，评估结论应同负责SIS功能安

全管理人员的意见一致.

5.2.6.1.2为了增强评估的客观性，需要独立于项目组的评估人员.需要高级(例如经验、等级、职位)

评估人员，以保证它们所关心的问题能被适时的关注和涉及.进一步建议，对于某些大型项目组或评估

组，可能有必要拥有多个独立于初始项目组的高级人员.

根据公司组织结构和公司内部的专家意见，也许不得不通过外部组织来满足对独立评估人员的要

求.相反地，对于熟练进行风险评估及安全仪表系统应用的内部组织的公司可使用它们本身的资源来

满足独立组织的要求，当然这样的内部组织应独立于负责项目的那些组织并在管理和其他资源方面是

同负责项目的那些组织分开的.

5.2.6.1.3评估量与工程项目的规模和复杂程度有关.在同一时间可以对不同阶段的结果进行评估.

在正在运行的工厂中改变不大的情况下尤其可能.

5.2.6.1.4在某些地区，在阶段3进行的功能安全评估常被称为起动前的安全复审(Pre-Startup-Safe-

ty-ReviewCPSSR))•

5.2.6.1.5见GB/T21109.1.

5.2.6.1.6见GB/T21109.1.

5.2.6.1.7评估组应能得到它们执行评估所需要的任何信息.这包括从设讨阶段一直到安装、调试运

行和确认阶段所作的危险和风险评估得到的信息.

5.2.6.2审核和修订

5.2.6.2.1本条给出有关审核的指南，并通过一个例子来说明相关活动.

a)审核类别

安全仪表系统的审核可给工厂管理、仪表维修工程师和仪表设计工程师提供有用的信息.

这使管理具有前瞻性，以及使之能了解它们的安全仪表系统的实现程度和有效性.存在有许

多种能执行的审核类型.任何特殊活动审核的实际类型、范围和频率应反映该活动对安全完

整性的潜在影响.

3

标准分享网免费下载

Gß/T21109.2-2007/IEC61511-2,2003

审核类型包括

1)审核，包括独立审核和自审核，

2)检查5

3)安全巡视〈例如工厂走查和事故(incident)复审);

4)安全仪表系统调查(通过调查表)0

需要在"监督和检查"以及审核活动之间进行区别.监督和检查的重点在于评价特定生命

周期活动的性能(例如在部件恢复工作之前，监督员检查维修活动的完成)0相反，审核活动更

广泛，并且主要集中在与安全生命周期有关的整个安全仪表系统的实现上.一次审核包括确

定是否执行了监督和检查程序.

审核和检查可由公司/现场/工厂/项目的人员来执行〈如自审核)，或由独立人员来执行

〈如公司的审核员、质量保证部门、调节员(regulator)、客户或者第三方)0

各级管理应使用相关类型的审核，以获取它们的安全仪表系统的实现有效性信息.来自

审核的信息可用来确定可指导改进实现，但还未真正使用过的规程.

b)审核策略

现场/工厂/项目实现审核的程序可以考虑滚动程序、独立程序或者自审核和检查程序.

应定期更新滚动程序，以便反映以往安全仪表系统的性能和审核结果，以及当前关心的

问题和重点.这些包含了在一个适当的时段内和适当深度上，现场/工厂/项目有关的所有活

动和安全仪表系统的所有方面.

进行审核的主要原因以及它所产生的附加价值在于对它们提供的信息及时采取动作.

这些动作的目的是增强安全仪表系统的有效性.例如，有助于降低雇员或成员公众受伤害或

致命的风险、有助于提高安全文明、有助于防止任何应避免释放的物质进入环搅.

总之，审核策略可以拥有各种审核类型的组合，它是由管理〈客户〉产生的、并为了把相关

的信息反馈给管理链以便及时动作.

c)审核过程和协议

总的同的是使审核的效能达到最大.仅当各方(包括审核者、联络员、工厂经理和l部门负

责人等)了解每个审核的需要并能影响每个审核时，才能达到最大效能.以下审核过程和协议

也许有助于确保达到这些目的的方案的某种一致性.它们涉及审核过程的下列5个关键

阶段·

1)审核策略和程序

应清楚地定义每个审核的目的以及确定审核组以及每个组的任务和职责.

应有一个审核策略.

应有一个审核程序.

应对审核过程、程序和策略的实现进行复审.

2)审核准备和预编制

开始进行某个审核之前，应为现场/工厂/项目的高级经理和/或适当的审核协调

员确定一位联络员.

在早期阶段审核人员和联络员应对以下问题进行讨论、理解并达成一致:

一一审核的范围;

-一审核的时间安排;

一一需要参加的人员;

一一审核的依据或者审核标准s

一一为了增加审核的成功机率在准备阶段要作的额外工作和涉及到的工厂

人员.

4

--

GB/T21109.2-2007/IEC61511-2,2003

以下各项可用作每个阶段所需时间的指南:

←-一审核准备30%;

进行审核40%;

一一审核结果报告，20%;

一一审核跟踪，10%0

审核员应为审核收集信息、规程/指令等，以及在适当的时候准备数据和1编制检

。

查列表

如果发现严重的观察结果/缺陷，审核员应强调和解释在审核过程中审核范围发

生改变的可能性.

3)实施审核

审核员应在对现场/工厂/项目人员可能造成的干扰具有足够的认识后，在设定

的审核时段内的儿组连续工作日中实施审核。

对在审核过程中已确定的审查结果，应定期向联络员通报，以免在审核结束时感

到意外.

在审核过程中，审核员应设法接近工厂人员，以便将知识和l理解(过程和审查结

果的〉通告给物主(achieveownership)0

审核员的风格对审核的成功是决定性的他应努力作到有耐心、态度积极、有

礼貌、精力集中和客观.

至少审核员应力图作到在改变商定好的范围和时间表时需经协商.

的审查结果报告

在审核结束时或稍后，但应在发布最终报告之前，审核员应举行一个结束会议。

应给相关的管理部门提供对草案报告和l审查结果提意见的机会，如有要求可在

正式的结束会议上进行讨论.

通常的作法是请求现场/工厂/项目的一份行动计划，以便提交报告的审查结果.

5)审核跟踪

通常审核报告要求用一份行动计划的形式作出回应.只要合适，审核员可在预

定日期或者下次审核时，验证行动完成的满意程度.

现场/工厂/项目跟踪系统可用来检验行动计划的实现.

应考虑每个审核组的审核结果的定期复审/总结，并就其结果进行广泛沟通.

审核结果/输出可用于复审审核的频次，并可用于安全仪表系统的管理复审的

输入.

5.2.6.2.2本条增强了变更管理在审核过程中所起的作用.

5.2.7SIS配置管理

5.2.7.1要求

5.2.7.1.1为了在整个生命周期内管理和l保持装置的可追溯性，可以建立一种用于标记、控制和追踪

每个装置的型号/版本的机制.

在安全生命周期最早可能的阶段，应给每台装置标上一个独特的工厂标识.在某些情况下，也可保

留和控制仍在使用中的较早型号版本.这只是配置管理程序中的第一步，配置管理程序还应包括以下

考虑。

配置管理系统可以包括

a)在生命周期的所有阶段，准备所有装置的标识规程.

b)每台装置包括软件的型号/版本以及建造状况的独特标识，包括供货商、日期和应用地方、最

初规定的型号/版本的变更情况.

5

标准分享网免费下载

Gß/T21109.2-2007/IEC61511-2,2003

。故障观察和帘核产生的所有动作和改变的标识和跟踪.

d)发布一个交付使用的版本的控制措施、标记相关装置的状况及型号/版本.

。已建立的安全防护措施，以确保在运行中的SlS不会遭受未经授权的变更/修改.

f)每个软件项的版本标识，这些版本一起构成了一台完整装置的一个特定版本.

g)提供在一个或多个工厂中多套SlS更新的协调.

h)交付使用的书面授权.

j)阶段(stage/phase)装置被纳

k)可交付使用的相关文挡

1)一台装置的每个型号

4

一←功能规范3

m)SIS的

6.1目的

任何过程设

用一种系统的安

白，融;

其他人证明已按

的生命周期.在

GB/T21109.如果允许把

1-2007的第6

安全活动较好地

出，及所有最基

章的目的是当使

本的要求.

6.2要求

6.2.1考虑的关键

很好的计划并且所有人

6.2.2虽然并没要109.1-2007图8中的

.当作这件事时，应考

那些方框)映射到过程的项目

虑开始某个安全生命周期活动

期，都不可能精确确定某个特殊

在稍后的某个时候再证实这些数据.如果存在这种情况，那么在安全生命周期中注意这点是很重要的.

6.2.3安全生命周期计划编制的另一重要部分是确定在每个阶段将使用的技术.确定这些技术是重

要的，因为通常需要使用某个专门的技术，这种技术要求人员或部门要具有独特的技能和经验.例如，

在某个特定应用中的后果可能与失效事件后形成的最大压力有关5能够确定这种关系的惟一方法就是

建立过程的动态模型.因此，动态Il!模的信息要求对设计过程将有重大影响.

7验证

7.1目的

验证的目的是要保证验证计划编制所确定的每个安全生命周期阶段的活动实际上已得到执行，并

保证阶段的输出〈无论是文档形式，还是硬件和软件形式〉已被产生且适合它们的用途.

GB/T21109.2-2007/lEC61511-2,2003

7.1.1要求

7.1.1.1Gll/T21109.1已考虑各