浅谈GB/T 21109-2007和GB/T 20438-1017中硬件结构约束的完整性等级

3EHS-AD

       在安全仪表系统中，硬件结构约束的安全完整性等级由两个因素共同决定： 一是硬件故障裕度(HFT)，硬件故障裕度N意味着N+1个故障会导致安全功能的丧失；二是安全失效分数(SFF)，它的数值体现了对危险故障预发现的能力。

       《电气/电子/可编程电子安全相关系统的功能安全》（GB/T 20438-2017）和《过程工业领域安全仪表系统的功能安全要求》（GB/T 21109-2007）分别对硬件结构约束的安全完整性等级、硬件故障裕度和安全失效分数之间的关系进行了定义。

       《电气/电子/可编程电子安全系统的功能安全》（GB/T 20438-2017）

       GB/T 20438-2017将组件类型分为A类和B类，定义如下：

       A类组件（需满足下列全部条件）

       1) 所有组成部件的失效模式都被很好地定义；

       2) 故障状况下子系统的行为能够完全确定；

       3) 有充足而可靠的数据，可显示出满足所声明的检测到的和未检测到的危险失效的失效率。

       B类组件（需满足下列条件之一）

       1) 至少一个组成部件的失效模式未被很好地定义；或

       2) 故障状况下子系统的行为不能完全确定；或

       3) 通过现场经验获得的数据不够充分、可靠，不足以显示满足所声明的检测到的和未检测到的危险失效的失效率。

       根据上述定义，典型A类组件包括开关、气动增压器、执行器、阀门、继电器，或由电阻、电容放大器等构成的简单电子模块等；典型B类组件则包括压力变送器、逻辑控制器等。

       A类安全相关组件硬件故障裕度、安全失效分数和结构约束的最大允许安全完整性等级的关系见下表：

表1-1 A类安全相关组件或子系统的最大允许安全完整性等级情况表

安全失效分数 (SFF)	硬件故障裕度(HFT)
	0	1	2
＜60%	SIL1	SIL2	SIL3
60%～<90%	SIL2	SIL3	SIL4
90%～<99%	SIL3	SIL4	SIL4
≥99%	SIL3	SIL4	SIL4

       B类安全相关组件硬件故障裕度、安全失效分数和最大允许安全完整性等级的关系见下表：

表1-2 B类安全相关组件或子系统的最大允许安全完整性等级情况表

安全失效分数 (SFF)	硬件故障裕度
	0	1	2
＜60%	不允许	SIL1	SIL2
60%～<90%	SIL1	SIL2	SIL3
90%～<99%	SIL2	SIL3	SIL4
≥99%	SIL3	SIL4	SIL4

      

       《过程工业领域安全仪表系统的功能安全要求》（GB/T 21109-2007）

       GB/T 21109-2007认为传感器、逻辑解算器和最终元件都应具有最低的硬件故障裕度。为减少SIF设计的潜在缺陷，GB/T 21109-2007定义了最低的硬件故障裕度要求。这些潜在缺陷可能是由于SIS系统设计中假设条件变化，或部件与子系统故障率的不确定性所导致的。

       逻辑解算器的最低硬件故障裕度与安全完整性等级、安全失效分数之间的关系见下表：

表2-1 PE逻辑解算器的最低硬件故障裕度情况表

安全完整性等级	安全失效分数(SFF)
	＜60%	60%～90%	＞90%
1	1	0	0
2	2	1	0
3	3	2	1
4	应用特殊要求

       假如主导失效模式达到安全状态或者已检测出危险失效，则传感器、最终元件和非PE逻辑结算的最低故障裕度与安全完整性等级、安全失效分数之间的关系见表2-2，否则最低硬件故障裕度应增加1。

       当使用的装置符合所有下列各项时，表2-2中的最低硬件故障裕度可减少1：

       1) 根据以往使用的情况，合理选择硬件（早先经验使用）；

       2) 只允许调整过程参数：如测量范围、上限或下限失效指示；

       3) 过程参数的调整有严格的管理要求及描施，如：跳线、密码；

       4) 功能有小

表2-2 传感器、最终元件和非PE逻辑解算器的最低硬件故障裕度情况表

SIL	最低硬件故障裕度(HFT)
1	0
2	1
3	2
4	应用特殊要求

       注：若根据GB/T 20438.2-2006的表2和表3进行了一次评估，则可使用替代的故障裕度要求。