SIL验证中硬件故障裕度（HFT）的确定

T/CCSAS045—2023 安全仪表功能(SIF)安全完整性等级(SIL)验证导则

7.5 结构约束验证

7.5.1 每个SIF均应满足结构约束要求,结构约束要求可通过HFT的要求表达。

7.5.2 当SIS可被分解成独立的SIS子系统时(如传感器、逻辑解算器及最终元件),则HFT 可在SIS子系统层级指定。

7.5.3 SIS或SIS子系统的HFT和相关要求应按照以下3种路线之一确定：

a) 符合表5的要求，并且全可变语言(FVL)和有限可变语言(LVL)可编程设备的诊断覆盖率应不小于60%,并且失效量计算中使用的可靠性数据应由不小于70%的统计置信区间上限确定；

注1：此路线同GB/T21109.1—2022中11.4.5～11.4.9建立的路线。GB/T21109.1—2022中建立的路线源自GB/T20438.2—2017中的路线2H。

b) 符合表6的要求和GB/T20438.2—2017中7.4.4.2(路线1H)的要求；

注2：GB/T20438.2—2017中的路线1H 基于硬件故障裕度和安全失效分数的概念。

c) 符合表5的要求和GB/T20438.2—2017中7.4.4.3(路线2H)的要求。

注3：GB/T20438.2—2017中的路线2H 基于由最终用户反馈的元器件可靠性数据、对指定的安全完整性等级增强的置信度和硬件故障裕度。

GB/T 21109.1-2022 过程工业领域安全仪表系统

GB/T 21109.1-2022 过程工业领域安全仪表系统的功能安全第1部分：框架、定义、系统、硬件和应用编程要求

11.4 硬件故障裕度

11.4.1 对每个 SIF 而言,执行它的 SIS 应具有最低的 HFT。

注:这不排除在发生故障后系统运行期间的某一时刻 HFT可能降低到最小要求以下的可能性。

11.4.2 当 SIS 可被分解成独立的 SIS 子系统(如传感器、逻辑解算器及最终元件)时,则 HFT 可在 SIS子系统层级指定。

11.4.3 SIS或 SIS 子系统的 HFT 应符合:

---11.4.5~11.4.9;

---GB/T 20438.2-2017 中 7.4.4.2(路线 1H);

---GB/T 20438.2-2017 中 7.4.4.3(路线 2H)。

注:IEC 61511 中建立的路线源自 GB/T 20438.2-2017 中的路线 2H

11.4.4 确定实现的 HFT时,如果某些故障发生的可能性相较于安全完整性要求来说非常低,那么可
以排除这些故障。这样的故障排除都应进行论证和记录。

注:关于故障排除的进一步信息可参见 ISO 13849-1:2006 和 ISO 13849-2:2012。

11.4.5 执行某个具有特定 SIL,的 SIF 的 SIS(或 SIS 子系统)的最小 HFT 应符合表 6,以及 11.4.6 和11.4.7(如果适用)。

注:表6中的 HFT要求表示最小的系统或 SIS 子系统冗余度。取决于具体应用、设备失效率和检验测试间隔;根据 11.9 要求,可能需要额外的冗余来满足 SIF 的 SIL对应的失效量。

11.4.6 对于未使用 FVL,或 LVL,可编程设备的 SIS或 SIS 子系统,若表6规定的最小 HFT 导致额外故障并导致整体过程安全降级,则 HFT可以减小。这种情况应开展论证并形成文档。论证时应有证据证明计划的架构符合预期目的并且满足安全完整性要求。

注:故障裕度是实现要求置信度(实现健壮的架构)的首选解决方案。当应用本条时,论证的目的是证明提议的替代架构提供了等效的或更好的解决方案。这可能取决于应用和/或使用的技术;如备用设置(例如,解析冗余用其他传感器输出量的物理计算结果代替某个失效的传感器输出量);使用同类技术的更可靠产品(如果有);改用更可靠的技术:通过使用多样性技术减小共因失效的影响:提高设计余量:限制环境条件(例如,针对电子组件);通过收集更多的现场反馈或专家判断减小可靠度的不确定性。

11.4.7 应用 11.4.6时,如果得出某个故障裕度等于0的结果,11.4.6中要求的论证应提供证据证明相关的危险失效模式可被排除(根据 11.4.4要求,包括对系统性失效的可能性的考虑)。

11.4.8 FVL 和 LVL 可编程设备的诊断覆盖率不应小于 60%。

11.4.9失效量计算中使用的可靠性数据应由不小于 70%的统计置信区上限确定。