《安全儀表功能（SIF）安全完整性等級(jí)（SIL）驗(yàn)證導(dǎo)則》

ICS

C

團(tuán)體標(biāo)準(zhǔn)

T/CCSAS0XX—202X

安全儀表功能（SIF）安全完整性等級(jí)（SIL）

驗(yàn)證導(dǎo)則

Guidelinesforsafetyintegritylevel(SIL)verificationofsafetyinstrumented

functions(SIF)

（征求意見(jiàn)稿）

202X-XX-XX發(fā)布202X-XX-XX實(shí)施

中國(guó)化學(xué)品安全協(xié)會(huì)發(fā)布

T/CCSAS0XX—202X

安全儀表功能（SIF）安全完整性等級(jí)（SIL）驗(yàn)證導(dǎo)則

1范圍

本文件確立了安全儀表功能（SIF）的安全完整性等級(jí)（SIL）驗(yàn)證的原則，提供了驗(yàn)證原理、公式、

示例、數(shù)據(jù)等內(nèi)容；給出了失效率驗(yàn)證、結(jié)構(gòu)約束驗(yàn)證、系統(tǒng)性安全完整性驗(yàn)證、驗(yàn)證程序、驗(yàn)證報(bào)告、

驗(yàn)證審查等說(shuō)明。

本文件適用于流程工業(yè)的SIL驗(yàn)證。

注：流程工業(yè)的含義見(jiàn)：GB/T21109.1—2022第1章列項(xiàng)e。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件。不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20438.1—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求(IEC

61508-1:2010,IDT)

GB/T20438.2—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程

電子安全相關(guān)系統(tǒng)的要求(IEC61508-22:2010,IDT)

GB/T20438.3—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求(IEC

61508-3:2010,IDT)

GB/T20438.4—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(yǔ)(IEC

61508-4:2010,IDT)

GB/T20438.5—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等

級(jí)的方法示例(IEC61508-5:2010,IDT)

GB/T20438.6—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB/T20438.2和

GB/T20438.3的應(yīng)用指南(IEC61508-6:2010,IDT)

GB/T20438.7—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述

(IEC61508-7:2010,IDT)

注1：GB/T20438與IEC61508最新版次相同，不再重復(fù)羅列。

GB/T21109.1—2022過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分：框架、定義、系統(tǒng)、硬件

和應(yīng)用編程要求(IEC61511-1:2016,IDT)

GB/T21109.2—2007過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第2部分：GB-T21109.1的應(yīng)用指南

(IEC61511-2:2003,IDT)

GB/T21109.3—2007過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第3部分：確定要求的安全完整性等

級(jí)的指南(IEC61511-3:2003,IDT)

注2：GB/T21109與IEC61511最新版次不同，再次羅列IEC61511的最新版次。

GB/T50770—2013石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范

IEC61511-1—2016(AMD2017)Functionalsafety–Safetyinstrumentedsystemsforthe

processindustrysector–Part1:Framework,definitions,system,hardwareandapplication

programmingrequirements

1

T/CCSAS0XX—202X

IEC61511-2—2016Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustry

sector–Part2:GuidelinesfortheapplicationofIEC61511-1

IEC61511-3—2016Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustry

sector–Part3:GuidanceforthedeterminationoftherequiredSIL

IEC61511-4—2016Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustry

sector–Part4:ExplanationandrationaleforchangesinIEC61511-1fromEdition1toEdition

2

ISATR84.00.02—2022安全儀表功能的安全完整性等級(jí)（SIL）驗(yàn)證(Safetyintegritylevel

(SIL)verificationofsafetyinstrumentedfunctions)

ISATR84.00.04—2020第1部分：ANSI/ISA-61511-1:2018的實(shí)現(xiàn)導(dǎo)則(Part1Guidelinesfor

theimplementationofANSI/ISA-61511-1:2018)

ISOTR12489—2013,石油、石化、天然氣行業(yè)–安全系統(tǒng)的可靠性建模和計(jì)算(Petroleum,

petrochemicalandnaturalgasindustries--Reliabilitymodelingandcalculationofsafety

systems)

3術(shù)語(yǔ)和定義

GB/T21109、GB/T20438、IEC61511、IEC61508、ISATR84.00.02中界定的以及下列術(shù)語(yǔ)和定義

適用于本文件。

3.1

安全儀表功能safetyinstrumentedfunction(SIF)

由安全儀表系統(tǒng)SIS實(shí)現(xiàn)的安全功能。

注1：每個(gè)SIF實(shí)現(xiàn)要求的SIL，SIL定級(jí)與參與同一危險(xiǎn)降低的其他保護(hù)層有關(guān)。

注2：來(lái)源：GB/T21109.1—2022,3.2.66，有修改。

3.2

安全完整性等級(jí)safetyintegritylevel(SIL)

分配給SIF的分級(jí)（4級(jí))，明確安全儀表系統(tǒng)SIS實(shí)現(xiàn)的安全完整性要求。

注1：SIL等級(jí)越高，導(dǎo)致危險(xiǎn)事故的PFDavg和PFH越低。

注2：目標(biāo)失效范圍與SIL等級(jí)之間的對(duì)應(yīng)關(guān)系詳見(jiàn)GB/T21109.1—2022中的表4和表5。

注3：SIL4為最高級(jí)，SIL1為最低級(jí)。

注4：本定義與IEC61508-4—2010不同，反映了過(guò)程行業(yè)的不同。

注5：來(lái)源：GB/T21109.1—2022,3.2.69，有修改。

3.3

驗(yàn)證verification

通過(guò)檢查和提供客觀證據(jù)，確認(rèn)要求已滿足。

注1：SIL驗(yàn)證是SIS驗(yàn)證的一個(gè)環(huán)節(jié)，本文件的范圍是SIL驗(yàn)證。

注2：來(lái)源：GB/T21109.1—2022,3.2.87，有修改。

3.4

硬件故障裕度hardwarefaulttolerance(HFT)

出現(xiàn)（硬件組件）故障或錯(cuò)誤時(shí)，（硬件）功能單元繼續(xù)執(zhí)行要求功能的能力。

2

T/CCSAS0XX—202X

注1：HFT=1表示：當(dāng)多個(gè)組件中的1個(gè)故障時(shí)，單元可以工作。

注2：2oo3配置的危險(xiǎn)故障的HFT是1；1oo3的是2。

注3：來(lái)源：GB/T21109.1—2022,3.2.21，有修改。

3.5

系統(tǒng)性能力systematiccapability(SC)

當(dāng)一個(gè)組件按組件符合項(xiàng)安全手冊(cè)的規(guī)定應(yīng)用時(shí),針對(duì)規(guī)定的組件安全功能,組件的系統(tǒng)性安全

完整性滿足規(guī)定的SIL要求的置信度的度量（表示為SC1~SC4）。

注1：系統(tǒng)性能力由用于避免和控制系統(tǒng)性故障的要求來(lái)確定（見(jiàn)GB/T20438.2和GB/T20438.3）。

注2：相關(guān)的系統(tǒng)性失效機(jī)理取決于組件的特性。比如一個(gè)組件單獨(dú)由軟件構(gòu)成,則只需考慮軟件失效機(jī)理。如組

件由硬件和軟件構(gòu)成則需要考慮硬件和軟件的失效機(jī)理。

注3：當(dāng)一個(gè)組件按組件符合項(xiàng)安全手冊(cè)的規(guī)定應(yīng)用時(shí)，針對(duì)規(guī)定的組件安全功能，組件具有SCN的系統(tǒng)性能力意

味著SILN的系統(tǒng)性安全完整性已被滿足。

注4：來(lái)源：GB/T20438.4—2017,3.5.9；GB/T21109.1—2022,3.2.81。

3.6

要求時(shí)的平均失效概率averageprobabilityoffailureondemand(PFDavg)

在規(guī)定時(shí)間段內(nèi)，當(dāng)要求時(shí)，設(shè)備（系統(tǒng)）不能響應(yīng)的平均概率。

注1：本文件中，PFDavg也可簡(jiǎn)寫(xiě)為PFD。PFD是時(shí)間的函數(shù)PFD(t)，通常使用時(shí)間段內(nèi)的平均值。

注2：對(duì)于SIS，需求時(shí)，不能響應(yīng)，即為危險(xiǎn)故障。

注3：來(lái)源：ISATR84.00.02—2022，附錄B，有修改。

3.7

每小時(shí)的失效概率probabilityoffailureperhour(PFH)

每小時(shí)設(shè)備（系統(tǒng)）故障的平均次數(shù)。

注1：此處故障指危險(xiǎn)故障。

注2：來(lái)源：ISATR84.00.02—2022,7，有修改。

3.8

誤停車(chē)率spurioustriprate(STR)

在單位時(shí)間內(nèi)，設(shè)備誤動(dòng)作引起的，工藝停車(chē)或混亂的預(yù)期次數(shù)。

注1：STR=1/MTTFSP

注2：來(lái)源：ISATR84.00.02—2022，附錄B，有修改。

3.9

檢驗(yàn)測(cè)試間隔testinterval(TI)

2次成功的檢驗(yàn)測(cè)試之間的時(shí)間間隔。也稱(chēng)為檢測(cè)周期。

注1：本文件中，PTIprooftestinterval和TI含義相同。

注2：來(lái)源：ISATR84.00.02—2022,7，有修改。

3.10

失效率failurerate(λ)

時(shí)間點(diǎn)t之后的時(shí)間段dt內(nèi)發(fā)生失效的設(shè)備總量，與t時(shí)間點(diǎn)完好設(shè)備的總量的比值，在dt趨向0時(shí)

的極限值。

3

T/CCSAS0XX—202X

注1：本術(shù)語(yǔ)主要應(yīng)用于隨機(jī)失效。本文件假定設(shè)備中失效的數(shù)量相對(duì)于完好的數(shù)量，按固定比例出現(xiàn)。

注2：?jiǎn)挝煌ǔＪ荈IT(10-9次/小時(shí))。

注3：本術(shù)語(yǔ)應(yīng)用于系統(tǒng)失效時(shí)，表示非設(shè)備自身原因?qū)е碌氖А?/p>

注4：來(lái)源：ISATR84.00.02—2022，附錄B，有修改。

4符號(hào)和縮略語(yǔ)

下列符號(hào)和縮略語(yǔ)適用于本文件。

4.1符號(hào)

M──N取M（MooN）表決配置中的M。

N──N取M（MooN）表決配置中的N。

R──N取M（MooN）表決配置中，R=N-M+1。例如：3取2時(shí)，M=2，N=3，R=2。

β──共因因子。

λ──失效率。

μ──維修率。

4.2縮略語(yǔ)

AC：結(jié)構(gòu)約束（Architectureconstraint）。

CCF：共因失效（Commoncausedfailure）。

DC：診斷覆蓋率（Diagnosticcoverage）。

DI：診斷周期（Diagnosticinterval）。

DR：需求率（Demandrate）。

DTT：非勵(lì)磁停車(chē)（De-energizetotrip）。

ETT：勵(lì)磁停車(chē)（Energizetotrip）。

FIT：菲特（Failureintime）。

FMEA：失效模式和影響分析（Failuremodeandeffectsanalysis）。

FTA：故障樹(shù)分析（Faulttreeanalysis）。

HFT：硬件故障裕度（Hardwarefaulttolerance）。

IF：獨(dú)立失效（Independentfailure）。

IPL：獨(dú)立保護(hù)層（Independentprotectionlayer）。

LOPA：保護(hù)層分析（Layerofprotectionanalysis）。

MT：使用期限（Missiontime）。

MTBF：平均失效間隔時(shí)間（Meantimebetweenfailure）。

MTTF：平均故障前時(shí)間（Meantimetofailure）。

注1：也稱(chēng)為：平均無(wú)故障時(shí)間。

MTTR：平均恢復(fù)時(shí)間（Meantimetorestore）。

PFDavg：要求時(shí)的平均失效概率（Averageprobabilityoffailureondemand）。

注2：也稱(chēng)為：要求時(shí)的平均危險(xiǎn)失效概率（Averageprobabilityofdangerousfailureondemand）。

PFH：每小時(shí)的失效概率（ProbabilityoffailureperHour）。

4

T/CCSAS0XX—202X

注3：也稱(chēng)為：每小時(shí)的失效概率（危險(xiǎn)失效平均頻率），Probability(averagefrequencyofdangerousfailures)

offailureperhour。

PHA：工藝危害分析（Processhazardanalysis）。

PTC：檢驗(yàn)測(cè)試覆蓋率（Prooftestcoverage）。

PVST：部分閥門(mén)行程測(cè)試（Partialvalvestoketest）。

RRF：危險(xiǎn)降低因子（Riskreductionfactor）。

SFF：安全失效分?jǐn)?shù)（Safefailurefraction）。

SIF：安全儀表功能（Safetyinstrumentedfunction）。

SIL：安全完整性等級(jí)（Safetyintegritylevel）。

SIS：安全儀表系統(tǒng)（Safetyinstrumentedsystem）。

SRS：安全需求規(guī)范（Safetyrequirementsspecifications）。

SC：系統(tǒng)性能力（Systematiccapability）。

STR：誤停車(chē)率（Spurioustriprate）。

TI：檢驗(yàn)測(cè)試間隔（Testinterval）。

4.3標(biāo)志符號(hào)

在代碼或縮略語(yǔ)上加標(biāo)志，可構(gòu)成新的含義。例如：λDU表示“危險(xiǎn)、未檢測(cè)到的失效率”。使用

標(biāo)志時(shí)，可用作下標(biāo)、上標(biāo)、尾綴，需保證可辨識(shí)、無(wú)歧義、統(tǒng)一。

應(yīng)用于PFD、PFH、STR的標(biāo)志如下：

cal──計(jì)算值（Calculated）；

FE──最終元件部分（Finalelement）；

LS──邏輯解算器部分（Logicsolver）；

S──傳感器部分（Sensor）；

SS──支持系統(tǒng)部分（Supportingsystem）；

tar──目標(biāo)值（Target）。

應(yīng)用于λ、MTTF的標(biāo)志如下：

D──危險(xiǎn)、檢測(cè)到的（Dangerous）；

DD──危險(xiǎn)（Dangerousdetected）；

DU──危險(xiǎn)、未檢測(cè)到的（Dangerousundetected）；

F──系統(tǒng)（Systematic）；

S──Safe（安全）；

SD──安全、檢測(cè)到的（Safedetected）；

SP──誤停車(chē)（Spurioustrip）；

SU──安全、未檢測(cè)到的（SafeUndetected）。

5概述

5.1SIL驗(yàn)證的外部工作關(guān)系見(jiàn)圖1。

5

T/CCSAS0XX—202X

圖1SIL驗(yàn)證的外部關(guān)系

5.2SIL驗(yàn)證可用于設(shè)計(jì)階段的初步SIL驗(yàn)證、采購(gòu)后的SIL驗(yàn)證、現(xiàn)有裝置的SIL驗(yàn)證等。

5.3SIL驗(yàn)證的輸入（圖1中實(shí)線箭頭）為：

a)SIL定級(jí)：包括每個(gè)SIF的說(shuō)明和SIL要求等；

b)可用性要求：包括STR等參數(shù)；

c)維護(hù)情況：包括TI等參數(shù)；

d)產(chǎn)品參數(shù)：包括λ等參數(shù)；

e)工程設(shè)計(jì)：包括P&ID、因果圖等文件，用于方便理解驗(yàn)證對(duì)象。

5.4產(chǎn)品參數(shù)的來(lái)源包括：企業(yè)和行業(yè)的通用數(shù)據(jù)、產(chǎn)品的證書(shū)數(shù)據(jù)。在初步驗(yàn)證階段，未采購(gòu)產(chǎn)品，

無(wú)產(chǎn)品數(shù)據(jù)，可采用通用數(shù)據(jù)。

5.5SIL驗(yàn)證的內(nèi)部工作（圖1中橢圓）包括：

a)4項(xiàng)檢查：冗余度（HFT）、系統(tǒng)性能力（SC）、可靠性（PFD/PFH）、誤停車(chē)（STR）；

b)3項(xiàng)計(jì)算：PFD、PFH、STR。合稱(chēng)SIF計(jì)算。

注：STR為可選。

5.6SIL驗(yàn)證的檢查表見(jiàn)表1。

表1SIL檢查表

SILPFDavgPFHSCHFT（結(jié)構(gòu)約束AC檢查，危險(xiǎn)HFT）冗余設(shè)置

注1、2注1、2GB/T21109GB/T20438TypeAGB/T20438TypeBGB/T50770

1<10?1<10?510可單一

≥10?2≥10?6

2<10?2<10?620/1宜冗余

≥10?3≥10?7注3

3<10?3<10?731應(yīng)冗余

≥10?4≥10?8

4<10?4<10?842不適用

≥10?5≥10?9

6

T/CCSAS0XX—202X

SILPFDavgPFHSCHFT（結(jié)構(gòu)約束AC檢查，危險(xiǎn)HFT）冗余設(shè)置

注1、2注1、2GB/T21109GB/T20438TypeAGB/T20438TypeBGB/T50770

注1：當(dāng)SIL定級(jí)報(bào)告中有具體的PFD或PFH數(shù)值要求時(shí)，以其為準(zhǔn)。

注2：選擇檢查PFD或PFH，取決于SIF的操作模式。操作模式的需求率決定了PFD或PFH更客觀。

注3：低需求模式時(shí)，為0；高需求模式、連續(xù)模式時(shí)，為1。

注4：下圖的含義是：0≤SFF＜60%時(shí)，為2；60%≤SFF＜90%時(shí)，為1；90%≤SFF≤100%時(shí)，為0。其他類(lèi)似。

SFF的定義見(jiàn)圖6。

注5：本表依據(jù)如下：

GB/T21109.1—2022：條目9.2.3、9.2.4、11.4、表4、表6。（PFDavg、PFH、HFT依據(jù)）

GB/T21109.1—2022：條目3.2.80。（SC依據(jù)）

GB/T20438.2—2017,IEC61508-2—2010：條目、、表2、表3。（HFT依據(jù)）

GB/T50770—2013：條目6.3、7.3、8.3。（參考的冗余依據(jù)）

注6：STR的檢查依據(jù)為用戶(hù)和項(xiàng)目要求。

5.7組成SIF的組件設(shè)備的分類(lèi)（TypeA/B，表1中IEC61508的分類(lèi)）見(jiàn)表2。

表2設(shè)備分類(lèi)表

分類(lèi)條件

TypeA滿足以下所有條件：

組成元件的失效模式可以清晰定義；

失效條件下設(shè)備的行為可完全確定；

有充足的數(shù)據(jù)說(shuō)明可檢測(cè)和不可檢測(cè)危險(xiǎn)失效率。

TypeB不滿足以上條件之一。

5.8驗(yàn)證報(bào)告的內(nèi)容包括：輸入整理、計(jì)算框圖和過(guò)程、檢查和結(jié)果、修改建議、相關(guān)產(chǎn)品證書(shū)等。

示例見(jiàn)附錄A。

5.9當(dāng)計(jì)算檢查不合格時(shí)（圖1中虛線箭頭），需調(diào)整并重新計(jì)算檢查直至合格。調(diào)整方法見(jiàn)附錄C。

5.10SIL驗(yàn)證結(jié)束后，結(jié)果可反饋至各上游工作中，形成閉環(huán)。

6總體要求

6.1SIF的SIL驗(yàn)證計(jì)算采用的儀表設(shè)備可靠性數(shù)據(jù)宜來(lái)自以往使用數(shù)據(jù)、SIL認(rèn)證報(bào)告、公開(kāi)發(fā)行的工

業(yè)數(shù)據(jù)庫(kù)或手冊(cè)等。

6.2用于邏輯控制器的可編程電子系統(tǒng)應(yīng)取得國(guó)家授權(quán)認(rèn)證機(jī)構(gòu)的功能安全認(rèn)證。

6.3SIS或安全子系統(tǒng)的TI的確定應(yīng)綜合考慮SIL驗(yàn)證的符合性和企業(yè)檢維修與停車(chē)的整體規(guī)劃。SIS

或安全子系統(tǒng)的TI宜與企業(yè)計(jì)劃停車(chē)檢修時(shí)間間隔相同。

6.4為滿足SIL驗(yàn)證的符合性，SIS或安全子系統(tǒng)的TI與企業(yè)計(jì)劃停車(chē)檢修時(shí)間間隔相同具有困難時(shí)，

可采用不同的時(shí)間間隔。同一SIF的測(cè)量?jī)x表、最終元件和邏輯控制器可采用不同的TI。

7

T/CCSAS0XX—202X

6.5當(dāng)安全儀表功能的誤動(dòng)作可能造成的損失大于可容忍程度時(shí)，可以規(guī)定可用性要求，并驗(yàn)證安全

儀表功能滿足可用性要求，如驗(yàn)證安全儀表功能的STR滿足企業(yè)可用性要求。

6.6SIF可用性冗余配置應(yīng)滿足法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)范要求和企業(yè)可容忍風(fēng)險(xiǎn)標(biāo)準(zhǔn)的要求。在SIF

的誤停車(chē)不涉及法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)范要求時(shí)，企業(yè)可決定誤停車(chē)可容忍要求，并據(jù)此確定SIF

的可用性配置。

6.7同一個(gè)測(cè)量?jī)x表、邏輯控制器、最終元件可以用于不同的安全儀表功能，共用部分應(yīng)滿足所有相

關(guān)安全儀表功能的安全技術(shù)要求，包括儀表安全功能要求和安全完整性等級(jí)要求，并應(yīng)進(jìn)行驗(yàn)證。

6.8SIS可執(zhí)行非功能安全的儀表功能。SIS應(yīng)具有優(yōu)先權(quán)，非功能安全的儀表功能的失效或指令不應(yīng)

影響SIS的功能安全，包括不應(yīng)降低SIF的安全完整性等級(jí)。

6.9除非SIS緊急停車(chē)按鈕和相關(guān)環(huán)節(jié)（包括操作人員和獲取信息的措施）滿足功能安全標(biāo)準(zhǔn)的要求并

獲得置信，SIS緊急停車(chē)按鈕不應(yīng)參與SIL驗(yàn)算，不應(yīng)降低SIF可以達(dá)到的危險(xiǎn)失效量。

6.10SIL驗(yàn)證計(jì)算宜包括危險(xiǎn)失效率（λ）、檢驗(yàn)測(cè)試間隔（TI）、表決形式（MooN）、診斷覆蓋率

（DC）、平均恢復(fù)時(shí)間（MTTR）和共因失效因子（β）。

6.11應(yīng)確定SIF關(guān)鍵設(shè)備，SIF關(guān)鍵設(shè)備應(yīng)參與SIL驗(yàn)證。非SIF關(guān)鍵設(shè)備不參與SIL驗(yàn)證。

6.12SIF中的控制閥屬于安全關(guān)鍵設(shè)備時(shí)，用于實(shí)現(xiàn)安全關(guān)鍵動(dòng)作的控制閥的執(zhí)行機(jī)構(gòu)、電磁閥、閥

體均應(yīng)參與SIL驗(yàn)算。

6.13石油化工工廠或裝置SIF的SIL等級(jí)不應(yīng)高于SIL3級(jí)。如果在確定SIL等級(jí)時(shí)，有可能達(dá)到SIL4，

應(yīng)重新分配保護(hù)層的安全功能，或采用多個(gè)獨(dú)立的安全儀表功能，使SIL等級(jí)不高于SIL3。

6.14應(yīng)確定檢測(cè)到故障時(shí)的系統(tǒng)行為，應(yīng)確定對(duì)SIL驗(yàn)證的影響，檢測(cè)到故障時(shí)的系統(tǒng)行為應(yīng)符合GB/T

20438.2—2017的7.4.8的要求。

6.15SIF有變動(dòng)時(shí)，應(yīng)重新開(kāi)展SIL評(píng)估，含SIL定級(jí)、SIL驗(yàn)證。

6.16SIL驗(yàn)證可建立全生命周期的動(dòng)態(tài)機(jī)制，比如可根據(jù)儀表設(shè)備現(xiàn)場(chǎng)的實(shí)際運(yùn)行情況，定期評(píng)估用

于SIL驗(yàn)證的儀表設(shè)備的可靠性數(shù)據(jù)的合理性，如果發(fā)現(xiàn)用于SIL驗(yàn)證的儀表設(shè)備的可靠性數(shù)據(jù)不同于現(xiàn)

場(chǎng)實(shí)際情況，可根據(jù)現(xiàn)場(chǎng)實(shí)際情況適當(dāng)調(diào)整可靠性數(shù)據(jù)，賦值合適的失效率以符合現(xiàn)場(chǎng)實(shí)際情況，并開(kāi)

展SIL驗(yàn)證。

6.17用于SIL驗(yàn)證的計(jì)算公式應(yīng)符合現(xiàn)行的國(guó)家標(biāo)準(zhǔn)（GB/T21109、GB/T20438等）、國(guó)際標(biāo)準(zhǔn)（IEC

61511、IEC61508、ISATR84.00.02等）的要求。

7過(guò)程和執(zhí)行

7.1驗(yàn)證程序

7.1.1SIL驗(yàn)證節(jié)點(diǎn)

SIL驗(yàn)證在多個(gè)節(jié)點(diǎn)開(kāi)展，其中重要節(jié)點(diǎn)在SIS安全生命周期的SIS工程設(shè)計(jì)階段開(kāi)展，如圖2所

示。

8

T/CCSAS0XX—202X

圖2SIS安全生命周期框圖

7.1.2SIL驗(yàn)證程序

典型的SIL驗(yàn)證流程如圖3所示。

圖3SIL驗(yàn)證流程示意圖

9

T/CCSAS0XX—202X

7.2驗(yàn)證輸入

7.2.1SIL驗(yàn)證輸入資料宜包括但不局限于以下資料：

a)工程設(shè)計(jì)資料，包括P&ID、邏輯圖等；

b)SIF清單、SIF組成和SIF安全關(guān)鍵設(shè)備清單；

c)SIF的SIL級(jí)別要求；

d)SIF的操作模式；

e)SIF的目標(biāo)失效量要求；

f)檢驗(yàn)測(cè)試間隔（TI）；

g)儀表設(shè)備的可靠性數(shù)據(jù)；

h)配置方案，包括表決形式（MooN）；

i)儀表設(shè)備安全手冊(cè)。

7.2.2可以檢查表的形式檢查SIL驗(yàn)證輸入資料是否齊全，見(jiàn)附錄B。

7.3驗(yàn)證符合性

7.3.1SIL驗(yàn)證應(yīng)包括實(shí)施SIF硬件安全完整性驗(yàn)證；SIL驗(yàn)證可包括系統(tǒng)性安全完整性驗(yàn)證。

7.3.2硬件安全完整性驗(yàn)證應(yīng)包括失效量驗(yàn)證（見(jiàn)7.4）和結(jié)構(gòu)約束驗(yàn)證（見(jiàn)7.5）。在低要求操作模

式時(shí)，失效量驗(yàn)證應(yīng)采用PFDavg驗(yàn)證；在連續(xù)操作模式或高要求操作模式時(shí)，失效量驗(yàn)證應(yīng)采用PFH驗(yàn)

證。

7.3.3SC可用于系統(tǒng)安全完整性的驗(yàn)證，見(jiàn)7.6。

7.4失效量驗(yàn)證

7.4.1SIF應(yīng)確定SIL等級(jí)要求。SIF宜確定明確的目標(biāo)失效量。沒(méi)有給出具體的目標(biāo)失效量時(shí)，失效量

應(yīng)參考表3或表4，可采用要求達(dá)到的SIL等級(jí)對(duì)應(yīng)的最小的平均失效率概率或失效頻率。（參考GB/T

20438.1—2017條目注1。）

7.4.2SIF的計(jì)算失效量應(yīng)不大于目標(biāo)失效量。

7.4.3在低要求操作模式時(shí)，SIF的SIL等級(jí)應(yīng)采用PFDavg或RRF衡量，應(yīng)根據(jù)表3確定。

表3安全完整性等級(jí)（低要求操作模式）

SILPFDavgRRF

4≥10-5到<10-4>10000到≤100000

3≥10-4到<10-3>1000到≤10000

2≥10-4到<10-2>100到≤1000

1≥10-2到<10-1>10到≤100

7.4.4在連續(xù)操作模式或高要求操作模式時(shí)，安全儀表功能的安全完整性等級(jí)應(yīng)采用PFH衡量，宜根據(jù)

表4確定。

10

T/CCSAS0XX—202X

表4安全完整性等級(jí)（連續(xù)操作模式或高要求操作模式）

SILPFH

4≥10-9到<10-8

3≥10-8到<10-7

2≥10-7到<10-6

1≥10-6到<10-5

7.5結(jié)構(gòu)約束驗(yàn)證

7.5.1每個(gè)SIF均應(yīng)滿足結(jié)構(gòu)約束的要求，結(jié)構(gòu)約束要求可通過(guò)HFT的要求表達(dá)。

7.5.2當(dāng)SIS可被分解成獨(dú)立的SIS子系統(tǒng)時(shí)（如測(cè)量?jī)x表、邏輯控制器及執(zhí)行元件），則HFT可在SIS

子系統(tǒng)層級(jí)指定。

7.5.3SIS或SIS子系統(tǒng)的HFT和相關(guān)要求應(yīng)按照以下三種路線之一確定：

a)符合表5的要求，并且全可變語(yǔ)言（FVL）和有限可變語(yǔ)言（LVL）可編程設(shè)備的診斷覆蓋率應(yīng)

不小于60%；

注1：此路線同GB/T21109.1-2022中11.4.5～11.4.9建立的路線。GB/T21109.1-2022中建立的路線源自GB/T

20438.2-2017中的路線2H。

b)符合表6的要求和GB/T20438.2-2017中（路線1H）的要求；

注2：GB/T20438.2-2017中的路線1H基于硬件故障裕度和安全失效分?jǐn)?shù)的概念。

c)符合表5的要求和GB/T20438.2-2017中（路線2H）的要求。

注3：GB/T20438.2-2017中的路線2H基于由最終用戶(hù)反饋的元器件可靠性數(shù)據(jù)、對(duì)指定的安全完整性等級(jí)增強(qiáng)的置

信度和硬件故障裕度。

表5不同SIL對(duì)應(yīng)的最小HFT要求

SIL操作模式要求的最小HFT

1任何模式0

2低要求模式0

2高要求/連續(xù)模式1

3任何模式1

4任何模式2

表6安全相關(guān)組件或子系統(tǒng)執(zhí)行安全功能時(shí)的最大允許安全完整性等級(jí)

HFT

組件的SFFA類(lèi)安全相關(guān)組件或子系統(tǒng)B類(lèi)安全相關(guān)組件或子系統(tǒng)

012012

＜60%SIL1SIL2SIL3不允許SIL1SIL2

60%～＜90%SIL2SIL3SIL4SIL1SIL2SIL3

90%～＜99%SIL3SIL4SIL4SIL2SIL3SIL4

11

T/CCSAS0XX—202X

HFT

組件的SFFA類(lèi)安全相關(guān)組件或子系統(tǒng)B類(lèi)安全相關(guān)組件或子系統(tǒng)

012012

≥99%SIL3SIL4SIL4SIL3SIL4SIL4

7.6系統(tǒng)性安全完整性驗(yàn)證

7.6.1設(shè)備的系統(tǒng)性能力SCN應(yīng)滿足SIF要求的SIL等級(jí)要求。設(shè)備SCN的系統(tǒng)性能力是指SILN的系統(tǒng)

性安全完整性已被滿足。

7.6.2系統(tǒng)性安全完整性（系統(tǒng)性能力）要求，可通過(guò)實(shí)現(xiàn)以下合規(guī)路線之一來(lái)滿足：

a)路線1s：符合避免系統(tǒng)性工作要求（見(jiàn)GB/T20438.2-2017的7.4.6和GB/T20438.3）和控制系

統(tǒng)性故障要求（見(jiàn)GB/T20438.2-2017的7.4.7和GB/T20438.3）；

b)路線2s：符合設(shè)備以往使用證明的要求（見(jiàn)GB/T20438.2-2017的7.4.10）；

c)路線3s（僅針對(duì)已有軟件組件）：符合GB/T20438.3-2017的2的要求。

7.6.3對(duì)于某具有系統(tǒng)性能力SCN（N=1，2，3）的組件，若該組件的系統(tǒng)性故障并不會(huì)使指定安全功

能失效，而僅在另一個(gè)具有系統(tǒng)性能力SCN的組件同時(shí)發(fā)生系統(tǒng)故障時(shí)才會(huì)使指定功能失效，則在兩個(gè)

組件之間足夠獨(dú)立的前提下其組合的系統(tǒng)性能力可視為SC（N+1）。足夠獨(dú)立性的判斷可參考GB/T

20438.2-2017的。

7.6.4多個(gè)系統(tǒng)性能力為SCN的組件組合后可聲明的最高系統(tǒng)性能力為SC（N+1）。每個(gè)SCN組件在這

種方式下僅能使用一次，不允許繼續(xù)增加SCN組件達(dá)到或超過(guò)SC（N+2）。

7.7不合格調(diào)整

7.7.1SIL驗(yàn)證不滿足要求時(shí)，可采取的措施包括：

a)選擇高可靠性設(shè)備；

b)提高冗余配置；

c)縮短TI；

d)重新進(jìn)行安全評(píng)估，考慮是否可以通過(guò)增加保護(hù)層來(lái)降低SIL等級(jí)要求。

7.7.2調(diào)整配置對(duì)驗(yàn)證的影響示例見(jiàn)附錄C。

7.8驗(yàn)證報(bào)告

SIL驗(yàn)證報(bào)告宜包括，但不局限于以下內(nèi)容：

a)SIL驗(yàn)證輸入資料清單；

b)說(shuō)明硬件安全完整性驗(yàn)證的符合性；

c)說(shuō)明系統(tǒng)性安全完整性驗(yàn)證的符合性；

d)說(shuō)明SIL驗(yàn)證采用的公式，并說(shuō)明標(biāo)準(zhǔn)符合性；

e)SIL驗(yàn)證結(jié)果清單和建議清單。

12

T/CCSAS0XX—202X

7.9驗(yàn)證審查

7.9.1SIS開(kāi)車(chē)前，應(yīng)進(jìn)行SIL驗(yàn)證審查。

7.9.2SIL驗(yàn)證審查宜包括，但不局限于以下內(nèi)容：

a)審查SIL驗(yàn)證輸入資料的有效性及是否齊全；

b)審查SIL驗(yàn)證計(jì)算采用的公式是否符合功能安全標(biāo)準(zhǔn)的要求；

c)審查T(mén)I的合理性；

d)審查用于SIL驗(yàn)算的可靠性數(shù)據(jù)的來(lái)源；

e)審查確定的儀表配置是否滿足了SIL等級(jí)的要求。

7.10驗(yàn)證示例

SIL驗(yàn)證的實(shí)例見(jiàn)附錄A。附錄A以實(shí)際的SIF為例，采用計(jì)算軟件，詳細(xì)具體的執(zhí)行了SIL計(jì)算和驗(yàn)

證。

a)確認(rèn)SIF功能回路的結(jié)構(gòu)以及表決關(guān)系。根據(jù)最新版SIL定級(jí)報(bào)告中的SIF功能回路描述，確

定回路中各個(gè)子系統(tǒng)涉及的各部件，如傳感器子系統(tǒng)（輸入）各部件、邏輯子系統(tǒng)各部件、最

終執(zhí)行元件子系統(tǒng)（輸出）以及部件之間的邏輯表決結(jié)構(gòu)。

b)確認(rèn)SIF功能回路各部件的失效數(shù)據(jù)。通過(guò)可信數(shù)據(jù)資料（現(xiàn)場(chǎng)使用積累數(shù)據(jù)，SIL證書(shū)或可

信數(shù)據(jù)庫(kù)）等，確認(rèn)該SIF功能回路內(nèi)各部件硬件安全失效SD/SU，危險(xiǎn)失效DD/DU數(shù)據(jù)等。

c)對(duì)于每一個(gè)子系統(tǒng)中的表決組，通過(guò)現(xiàn)場(chǎng)維護(hù)狀態(tài)或可信數(shù)據(jù)資料，分析確認(rèn)以下主要參數(shù)：

選取的判斷標(biāo)準(zhǔn)（本例中，使用IEC61511）；

失效后果及響應(yīng)模式（低，高或者連續(xù)）；

預(yù)計(jì)部件的使用年限（MT）；

檢驗(yàn)測(cè)試間隔（TI）；

檢測(cè)覆蓋率（PTC）；

現(xiàn)場(chǎng)維護(hù)能力指數(shù)；

共因失效因子等數(shù)據(jù)。

d)計(jì)算SIF功能回路的要求時(shí)的平均失效概率PFDavg。使用相應(yīng)計(jì)算軟件計(jì)算PFDavg以及預(yù)

期誤動(dòng)作率STR(MTTFSP)。

e)得到整個(gè)SIF功能回路的PFDavg/HFT/系統(tǒng)性能力（SC），預(yù)期誤動(dòng)作率STR(MTTFSP)后，參

照標(biāo)準(zhǔn)確認(rèn)PFDavg對(duì)應(yīng)的SIL等級(jí)，其中HFT/系統(tǒng)性能力（SC）（如適用）均滿足要求，與

定級(jí)時(shí)得到的PFDavg（如適用）/SIL比較，可判定該SIF回路是否實(shí)現(xiàn)SIL定級(jí)要求；如對(duì)

誤動(dòng)作率STR(MTTFSP)也有要求，同理可做比較判定。

8方法和計(jì)算

8.1概述

8.1.1本文件中失效率通用數(shù)據(jù)和公式來(lái)自ISATR84.00.02—2022。本文件主要羅列使用公式，次要

說(shuō)明使用公式的推導(dǎo)過(guò)程、假設(shè)前提、近似處理情況。

13

T/CCSAS0XX—202X

8.1.2SIF計(jì)算的本質(zhì)是通過(guò)現(xiàn)有的儀表可靠性，以概率數(shù)學(xué)的方式，在不同的維修方式下，預(yù)測(cè)SIF

失效的概率、可靠性。其中的計(jì)算涉及儀表的可靠性數(shù)據(jù)管理、目標(biāo)管理，以及有效的儀表供電、布線

等安全設(shè)計(jì)。

8.1.3SIF計(jì)算的內(nèi)部過(guò)程見(jiàn)圖4。依據(jù)設(shè)備的各類(lèi)失效的概率，考慮邏輯結(jié)構(gòu)、維護(hù)情況，計(jì)算系統(tǒng)

的各類(lèi)失效的概率。本圖僅表示了主要部分，詳細(xì)見(jiàn)后續(xù)章節(jié)。其中：計(jì)算輸入見(jiàn)8.2；計(jì)算過(guò)程見(jiàn)

8.3~8.7。

圖4SIF計(jì)算

8.1.4PFD的整體計(jì)算過(guò)程如下。PFH、STR的過(guò)程相同。

1個(gè)SIF包括3個(gè)部分：

a)傳感器部分：含傳感器至解算器輸入之間所有環(huán)節(jié)，通常包括變送器、安全柵等。通常需考慮

N取M的結(jié)構(gòu)、1個(gè)SIF中涉及多個(gè)參數(shù)測(cè)量等因素。

b)邏輯解算器部分：通常包括輸入、控制器、輸出、電源等。

c)最終元件部分：含解算器輸出至最終元件之間所有環(huán)節(jié)。通常包括閥體、執(zhí)行機(jī)構(gòu)、電磁閥、

繼電器等。通常需考慮多個(gè)閥門(mén)的關(guān)系、多個(gè)電磁閥的關(guān)系、部分行程測(cè)試等。

對(duì)于每一部分，從單體設(shè)備失效率，計(jì)算這部分子系統(tǒng)的PFD。合并3部分求和,即SIF的PFD。

8.2失效的基本特征

8.2.1本章節(jié)說(shuō)明設(shè)備組件的失效。設(shè)備、組件等指組成系統(tǒng)、SIF的儀表、閥門(mén)、控制設(shè)備等。失效

有時(shí)也稱(chēng)為故障。

注：關(guān)于失效和故障的定義和互換使用，參考GB/T7826—2012系統(tǒng)可靠性分析技術(shù)失效模式和影響分析(FMEA)

程序，條目3.3，注2。

8.2.2失效的分級(jí)見(jiàn)表7。

表7失效分級(jí)

失效分級(jí)說(shuō)明舉例

危險(xiǎn)失效因?yàn)樵O(shè)備故障不能完成設(shè)定的安全功能。電磁閥卡頓：停車(chē)觸發(fā)，電磁閥失電，但是電磁閥和閥門(mén)

不動(dòng)作。

安全失效設(shè)備的誤操作不會(huì)引起危險(xiǎn)，或喪失保護(hù)電磁閥電纜斷了，電磁閥失電，閥門(mén)誤動(dòng)作至停車(chē)觸發(fā)的

功能。位置。

8.2.3失效的模式見(jiàn)表8。

表8失效模式

14

T/CCSAS0XX—202X

失效模式說(shuō)明舉例

完全失效設(shè)備失去完成設(shè)定功能的能力。需要時(shí)，切斷閥不能全關(guān)。

工藝參數(shù)變化時(shí)，變送器信號(hào)無(wú)變化。

控制系統(tǒng)不能接受輸入。

降級(jí)條件設(shè)備的可靠性降低，仍能完成預(yù)設(shè)的功能，不滿足預(yù)設(shè)的規(guī)格?？刂戚敵龈摺?/p>

（部分失如果降級(jí)條件一直存在，會(huì)惡化為完全失效。工藝參數(shù)指示高。

效）降級(jí)條件可以通過(guò)巡檢、周期維護(hù)、預(yù)測(cè)性維護(hù)、診斷等發(fā)現(xiàn)，邏輯表決通道失效。

以防惡化。

早期條件不影響設(shè)備的功能。接頭松動(dòng)。

如果不矯正，可能惡化為降級(jí)條件或完全失效。端子腐蝕。

隔離被損壞。

8.2.4失效的機(jī)理見(jiàn)表9。

表9失效機(jī)理

失效機(jī)理說(shuō)明舉例

隨機(jī)失效本質(zhì)原因是內(nèi)部的。變送器電路板故障。

隨著時(shí)間而發(fā)生，可以預(yù)測(cè)。

系統(tǒng)失效本質(zhì)原因是外部的。非常規(guī)的復(fù)雜的設(shè)計(jì)。復(fù)雜的診斷維護(hù)。不好的維護(hù)和操

發(fā)生與時(shí)間無(wú)關(guān)，無(wú)法預(yù)測(cè)。依據(jù)經(jīng)驗(yàn)整作。管理中的變更。

體估算，通過(guò)系統(tǒng)性的改善工作使之減少。SIS錯(cuò)誤、接線錯(cuò)誤、導(dǎo)壓管錯(cuò)誤、供氣供電不足、安裝

錯(cuò)誤、軟件錯(cuò)誤、人機(jī)接口錯(cuò)誤、硬件設(shè)計(jì)錯(cuò)誤、變更錯(cuò)

誤。

8.2.5FMEA列表分析失效的模式、分級(jí)、原因、機(jī)理。例子詳見(jiàn)附錄I。

8.2.6有些失效的根本原因是相同的，稱(chēng)為共因失效。非共因失效即獨(dú)立失效。二者對(duì)于整個(gè)系統(tǒng)失

效的影響是不同的。共因失效的占比是共用因子。

8.2.7失效的詳細(xì)分級(jí)見(jiàn)圖5。

15

T/CCSAS0XX—202X

圖5失效詳細(xì)分級(jí)

8.2.8設(shè)備失效率的相關(guān)公式和示意見(jiàn)圖6。

圖6設(shè)備失效率

其中：λSP是否包含λDD取決于系統(tǒng)設(shè)計(jì)，檢測(cè)到的危險(xiǎn)失效是否可以安全停車(chē)。通常認(rèn)為失電停車(chē)

DTT系統(tǒng)的λSP包含λDD；反之ETT不包含。

8.2.9設(shè)備的失效率服從浴盆效應(yīng)，見(jiàn)圖7。早期，失效率高，主要是磨合失效；使用期，失效率穩(wěn)定

且低，主要是隨機(jī)失效；末期，失效率高，主要是老化失效。SIL驗(yàn)證假設(shè)在使用期SIF的功能要求可靠

運(yùn)行，僅估算穩(wěn)定期的隨機(jī)失效率。

圖7浴盆效應(yīng)

8.2.10失效率數(shù)據(jù)的來(lái)源包括：企業(yè)的可靠性數(shù)據(jù)積累；行業(yè)數(shù)據(jù)手冊(cè)和共享；制造廠SIL證書(shū)、安

全手冊(cè)等。SIL證書(shū)的數(shù)據(jù)需基于分析，可以查證。附錄D羅列了一部分?jǐn)?shù)據(jù)和來(lái)源。

16

T/CCSAS0XX—202X

8.3操作模式

8.3.1SIF的操作模式見(jiàn)表10。

表10操作模式

操作模式說(shuō)明舉例

低需求需求時(shí)，SIF才動(dòng)作。汽包液位低低：

模式DR≤1次/年。作為保護(hù)措施，預(yù)期的DR為0.1次/年。

高需求需求時(shí)，SIF才動(dòng)作。批量反應(yīng)器進(jìn)料超限：

模式DR＞1次/年。每批次：16小時(shí)運(yùn)行，4小時(shí)切換。每年：50批次。DR=600次/年。

連續(xù)模式SIF是正常運(yùn)行的一部分，使工反應(yīng)器溫度：

藝處于安全狀態(tài)。溫度控制必須維持正常；當(dāng)超溫時(shí)，其他手段（超溫保護(hù)、超壓保護(hù)

SIF的失效會(huì)導(dǎo)致危險(xiǎn)的事故。等）因?yàn)榫唧w原因（時(shí)間不足、措施不足等）不能保證反應(yīng)器的安全。

DR=需求次數(shù)/總操作時(shí)間。

8.3.2SIL驗(yàn)證的輸入文件應(yīng)明確每個(gè)SIF的操作模式，并明確驗(yàn)證值選擇PFDavg或PFH。

8.3.3PFDavg是1個(gè)時(shí)間段失效概率的平均值，PFH是瞬時(shí)值。選擇依據(jù)是操作模式和DR（需求的頻繁

程度）。選擇目的是更客觀的反映實(shí)際情況。

8.3.4STR的驗(yàn)證僅考慮瞬時(shí)情況，不考慮操作模式和DR。

8.4PFH計(jì)算

8.4.1PFH的一般公式見(jiàn)（8-1）。

(8-1)

8.4.2公式（8-1）的說(shuō)明如下：

a)本公式適用于DR較高的情況，包括：連續(xù)模式、需求模式（DR較高時(shí)，通常是高需求模式）；

b)DR較高時(shí)，診斷出的故障依然會(huì)導(dǎo)致失效，診斷對(duì)可靠性無(wú)貢獻(xiàn)。因?yàn)椋涸\斷出的危險(xiǎn)失效沒(méi)

有時(shí)間將系統(tǒng)移至安全停車(chē)狀態(tài)；

c)PFH的計(jì)算基于D型失效，包括DU、DD型；DC不參與計(jì)算。

8.4.3PFH具體公式和推導(dǎo)見(jiàn)附錄E。

8.5PFD計(jì)算

8.5.1本條目詳細(xì)說(shuō)明PFD計(jì)算的原理和過(guò)程。PFH、STR的計(jì)算原理與PFD相同且簡(jiǎn)化，可不考慮時(shí)間

積累等因素，因此PFH、STR計(jì)算各條目不再詳述，參考PFD計(jì)算章節(jié)。

8.5.2可靠性方塊圖是PFD計(jì)算的基本方法，它表示了組件和系統(tǒng)的失效傳遞關(guān)系。在圖中有通路表示

系統(tǒng)無(wú)失效，無(wú)通路表示系統(tǒng)有失效。

17

T/CCSAS0XX—202X

可靠性方塊圖（單表結(jié)構(gòu)）見(jiàn)圖8，3個(gè)部分的1個(gè)部分失效，無(wú)通路，整個(gè)系統(tǒng)失效，所以系統(tǒng)PFD

等于組件PFD的匯總。

可靠性方塊圖（冗余結(jié)構(gòu)）見(jiàn)圖9，2個(gè)輸入（S1/S2）組件中1個(gè)失效，有通路，這個(gè)環(huán)節(jié)沒(méi)有失效。

這個(gè)環(huán)節(jié)PFD不是2個(gè)組件的匯總，是基于排列組合的概率計(jì)算。

圖8可靠性方塊圖（單表結(jié)構(gòu)）

圖9可靠性方塊圖（冗余結(jié)構(gòu)）

8.5.3完整的維修時(shí)間應(yīng)包括檢測(cè)時(shí)間、準(zhǔn)備時(shí)間、維修時(shí)間、等待延長(zhǎng)時(shí)間，各部分見(jiàn)圖10。實(shí)際

應(yīng)用中可忽略較小或未知的時(shí)間，并應(yīng)明確MTTR。

圖10MTTR

8.5.4表決（N取M配置）邏輯影響了（單個(gè)儀表和組合之間的）失效傳遞關(guān)系，見(jiàn)表11。同一配置，

對(duì)于危險(xiǎn)失效、安全失效（誤停車(chē)），這一傳遞關(guān)系是不同的。失效傳遞關(guān)系是建立模型的基礎(chǔ)。

表11表決

表決危險(xiǎn)HFT安全HFT邏輯圖（危險(xiǎn)失效的可靠性框圖）

1取100

2取110

2取201

3取211

4取221

18

T/CCSAS0XX—202X

8.5.5共因抵消了冗余的作用。對(duì)于共因失效CCF部分，冗余配置無(wú)作用，相當(dāng)于1取1（例：?jiǎn)伪怼?/p>

閥等）；對(duì)于獨(dú)立失效IF部分，冗余降低了失效。示意見(jiàn)圖11。

圖11共因

8.5.6PFD基本公式的推導(dǎo)見(jiàn)附錄E。故障樹(shù)方法和馬爾可夫方法的介紹，及PFD具體公式見(jiàn)附錄F、G。

8.6STR計(jì)算

8.6.1STR的一般公式見(jiàn)（8-2）。

(8-2)

其中：

a)假設(shè)共因失效少，可忽略。

b)假設(shè)設(shè)備無(wú)連續(xù)自動(dòng)診斷功能，檢測(cè)時(shí)間為檢修時(shí)間TI的一半。當(dāng)設(shè)備為自動(dòng)診斷功能時(shí)，去

掉公式中的“TI/2”。

c)公式推導(dǎo)為：冗余配置中，1個(gè)設(shè)備失效期間，另一個(gè)設(shè)備也失效的概率，并依次類(lèi)推。

8.6.2STR的具體公式見(jiàn)附錄E。

8.7SIF計(jì)算

8.7.1基于以下假設(shè)，可以把實(shí)際裝置分析為理想化的模型，進(jìn)而可開(kāi)展SIF計(jì)算。

a)設(shè)備的失效率和維修率在計(jì)算目標(biāo)周期內(nèi)是固定的；

b)設(shè)備失效之后，修好之前，不會(huì)再次失效；

c)TI遠(yuǎn)遠(yuǎn)小于MTTF；

d)測(cè)試和維修是完善的；

e)所有設(shè)備選擇正確。例如：閥門(mén)根據(jù)應(yīng)用，在失效時(shí)都是安全位置；

f)電源失效是非勵(lì)磁狀態(tài)；

g)可檢測(cè)的危險(xiǎn)失效（DD）發(fā)生時(shí)，將發(fā)生安全停車(chē)；

h)人員經(jīng)過(guò)培訓(xùn)，按照制度工作。

8.7.2SIF計(jì)算僅針對(duì)隨機(jī)失效。系統(tǒng)失效部分無(wú)法定量計(jì)算，需整體處理。其代號(hào)為λF。

19

T/CCSAS0XX—202X

8.7.3不同方法的SIF計(jì)算示例見(jiàn)