GB T 21109.1-2007 过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和软件要求.pdf

1、ICS 25040N 10 a雪中华人民共和国国家标准GBT 21109。1-2007IEC 615111：2003过程工业领域安全仪表系统的功能安全第1部分：框架、定义、系统、硬件和软件要求Functional safety-Safety instrumented systems for the processindustry sectorPart 1：Framework，definitions，system，hardware and software requirements200710-1 1发布(IEC 6lSll一l：2003，IDT)200712一01实施宰瞀髁紫瓣警箍警瞥翼发布中

2、国国家标准化管理委员会“目 次GBT 21 1091-2007IEC 615111：2003前言引言1范围一2规范性引用文件3缩略语和定义31缩略语32术语和定义4与GBT 2109的符合性5功能安全管理51 目的-52要求一6安全生命周期要求6，l 目的62要求7验证71 目的8过程危险和风险评估-t81 目的82要求9给保护层分配安全功能9，1 目的92分配过程要求93安全完整性等级4的附加要求94对作为一个保护层的基本过程控制系统的要求95 防止共同原因失效、共同模式失效和相关失效的要求10 SIS安全要求规范-”101 目的102一般要求103 SIS安全要求11 SIS设计和工程11

3、1 目的112一般要求1i3检测故障时的系统行为要求11，4硬件故障裕度要求115选择部件和子系统的要求-116现场装置”117接口118维护或测试设计要求v，oo00他MGBT 211091-2007IEC 615111：2003119 SIF的失效概率12 应用软件要求，包括工具软件的选择准则121应用软件安全生命周期要求122应用软件安全要求规范123应用软件安全确认计划编制124应用软件设计和开发125应用软件与SIS子系统的集成126 FPI。和I。VI。软件修改规程127应用软件验证13工厂验收测试(FAT)131 目的“1 32建议14 SIS安装和调试运行141 目的142要求

4、1 5 SIS安全确认1 51 目的-1 52要求16 SIS操作和维护161 目的162要求163检验测试和检查1 7 SIS修改1 71 目的-1 72要求18 SIS停用181 目的”182要求“19信息和文档要求191 目的1 92要求附录A(资料性附录)差异参考文献图1 GBT 21109的整体框架”图2(；BT 21109与GBT 20438 2006的关系图3 GBT 21109与GBT 204382006的关系(见第l章)图4仪表安全功能和其他功能的关系图5本部分的系统、硬件和软件的关系图6可编程电子系统(PES)：结构和术语图7 SIS结构示例一图8 SIS安全生命周期阶段和

5、功能安全评估阶段图9过程工厂中常见的典型风险降低方法一34353640414245464647-47474848484949495151515253535353535354545455562233他H孙图图图图GBT 211091-2007IEC 6151 11：2003应用软件安全生命周期及其与SIS安全生命周期的关系应用软件安全生命周期(在实现阶段)软件开发生命周期(V模型)SiS硬件和软件结构之间的关系表1 GBT 21109中使用的缩略语表2 SIS安全生命周期一览表表3安全完整性等级：要求时的失效概率”表4安全完整性等级：SIF的危险失效频率一表5 PE逻辑解算器的最低硬件故障裕度-

6、表6传感器、最终元件和非PE逻辑解算器的最低硬件故障裕度表7应用软件安全生命周期一览表一表A1组织上的差异表A2术语上的差异卵弘如。舱筋拍诣弱前 言CBT 211091-2007IEC 6151 11：2003GBT 21109(过程工业领域安全仪表系统的功能安全分为三个部分：第1部分：框架、定义、系统、硬件和软件要求；第2部分：GBT 211091的应用指南；第3部分：确定要求的安全完整性等级的指南。本部分为GBT 21109的第1部分，等同采用IEC 61511-1：2003P(A)P(B)时，两个事件A和B才是相关的。P(Z)是事件Z的概率。注2：考虑保护层当中相关失效的例子见95。注3

7、：相关失效包括共同原因失效(见3 26)。3213检测到的detected揭露的revealed明丑的overt在与硬件失效和软件故障有关时，通过诊断测试或正常操作发现的。3214装置device能实现某个规定目的的硬件或软件或者二者结合的功能单元(如现场装置，同SIS IO端的现场侧面连接的设备，这些设备包括现场接线、传感器、最终元件、逻辑解算器和硬接线到SIS I0端的操作员接口装置)。6GBT 21 1091-200711EC 61511-l：20033215诊断覆盖率diagnostic coverage；DC诊断测试检测到的部件或子系统的失效率与总失效率之比。诊断覆盖率不包含由检验测

8、试检测到的任何故障。注1：诊断覆盖率用于从总失效率(h*#_)计算检测到的失效率(h_)和未检测到的失效率(_)；h_=DCxh*t_和kd=(】一r)c)ht十。注2。诊断覆盖率适用于安全仪表系统的部件或于系统。如：典型地对于传感器、最终元件或逻辑解算器需确定其诊断覆盖率。注3；对安全应用，典型的诊断覆盖率可适用于一个部件或子系统的安全失效和危险失效。如：一个部件或于系统的危险失效的诊断覆盖率为Dc=，式中、是检测到的危险失效率DT是总的危险失效率。3216多样性diversity执行一个要求功能存在不同方法。注：可用不同的物理方法或不同的设汁途径来实现多样性。3217电气电子可编程电子el

9、ectHcaleleclronicprogrammable electronic；EEPE基于电气(E)和或电子(E)和或可编程电子(PE)技术。注：打算用本术语来覆盖以电原理工作的任一和所有装置或系统它包括：机电装置(电气)固态非可编程电子装置(电子)；基于计算机技术的电子装置(可编程电子)(见3255)。3218误差error计算出的、观测到的和测量到的值或条件，和真实的、规定的或理论上正确的值或条件之间的差异。注；采用IEV 19105 24中的定义但不包括注。3219外部风险降低设施external risk reduction facilities与SIS分离且性质不同的降低或减少风

10、险的措施。注1：如排放系统、舫火墙、堤(坝)。注2；本术语的定义同GBT 204384 2006中的定义有差别从而反映出过程领域术语中的差异。3220失效failure功能单元执行一个要求功能的能力的终止。注1；本定义(除注外)同ISOIEC 238214-0109：1997相符。注2：另外的信息见GBT 2043842006。注3：要求的功能特性必需排除某些行为，并根据应避免的行为来规定某些功能。这些行为的出现就是失效。注4：失效或是随机的或是系统的(见3262和3289)。3221故障fault可能引起功能单元执行要求功能的能力降低或丧失的异常状况。注：1EV 1910501定义“故障”是

11、一种无能力执行要求功能的状态，不包括预防性维护、或其他计划行动的期间的无能力，或外部资源缺少产生的无能力ISOIEC 2382一14-01一09。3222故障避免 fault avoidance在安全仪表系统安全生命周期的任何阶段中为避免引入故障而使用的技术和程序。7GBT 21 1091-2007IEC 6151 1-1：20033223故障裕度faair tolerance在出现故障或误差的情况下，功能单元继续执行要求功能的能力。注：EV 1 911 5-05中的定义仅卡旨子项目故障。见3 2 21的IS()IEC 2382 14 0406。3224最终元件final element执行实

12、现某种安全状态所必需的实际动作的安全仪表系统的组成部分。注：例如阀门、开关装置、电机及其附属元件如仪表安全功能中的电磁阀和执行机构。3225功能安全functional safety与过程和BPCS有关的整体安全的组成部分，它取决于SIS和其他保护层的正确功能执行。注：本术语的定义同GB1、204384-2006中的定义有差别，从而反映出过程领域术语中的差异。3226功能安全评估functional safety assessment基于证据的调查，以判定由一个或多个保护层所实现的功能安全。注：本术语的定义同GBT 204384-2006中的定义有差别，从而反映出过程领域术语中的差异。3227

13、功能安全审核functional safety audit对于按计划安排的功能安全要求专用的规范是否有效地执行并满意地达到规定目的进行系统地、独立的检查。注：功能安全审核可以作为功能安全评估的一部分。3228功能单元functional unit能够完成规定目的的软件、硬件或两者相结合的实体。注1：在IEV 191 01 01中常用“项目(item)”一词代替功能单元一个项目有时可能包括人员在内。注2：本定义是在IS()IEC 238214 01。01中给出的定义。3229硬件安全完整性hardware safety integrity在危险失效模式中，与硬件随机失效有关的仪表安全功能的安全完

14、整性的一部分。注l：此术语与危险模式中的失效有关即有损于安全完整性的仪表安全功能的那些失效。与本术语中有关的两个参数是总危险失效率和要求时操作失效率。洼2：见3，286。 注3：本术语的定义同(；BT 204384 2006中的定义有差别从而反映出过程领域术语中的差异。3230伤害harm由财产或环境的破坏而直接或间接导致的人身伤害或人体健康的损害。注：此定义同ISOIEC指南51相符。3231危险hazard伤害的潜在根源。注1：此定义同ISOIEC指南51的3 4相符。注2：本术语包括短时内发生的对人员的威胁(如着火或爆炸)，以及对人体健康长时间有影响的那些威胁(如有毒物质的释放)。8GB

15、T 21 1091-2007IEC 615”1：2003323Z人为误差human error失误 mistake引发非期望结果的人的动作或不动作。注；本定义是以ISOIEC 238214-0203为基础，并与IEV 191-0525给出的不同，它增加了“或不动作”。3233影响分析impact analysis确定一个系统中的一个功能或部件的改变，对该系统和其他系统中其他功能或部件影响的活动。3234独立部门independent department在进行安全评估或确认的安全生命周期的特定阶段中，同负责所发生活动的部门分开且不同的部门。3235独立组织independent organiz

16、ation在进行安全评估或确认的安全生命周期的特定阶段中，通过管理和其他资源同负责所发生活动的组织分开且不同的组织。3236独立人员independent person在进行安全评估或确认的安全生命周期的特定阶段中，同所发生活动分开且不同的人员，这些人员并不直接负责那些活动。3237输入功能input function为了给逻辑解算器提供输入信息，监视过程及其相关设备的功能。注：输入功能可以是手动功能。3238仪表instrument在执行某个动作中使用的仪器(典型的可见仪表系统)。注：过程领域中，仪表系统典型地由传感器(如压力、流量、温度变送器)、逻辑解算器或控制系统(如可编程控制器、分散型

17、控制系统)和最终元件(如控制阀)组成。在特殊情况下，仪表系统可能是安全仪表系统(见3272)。3239逻辑功能logic function在输入信息(由一个或几个输入功能提供)和输出信息(由一个或几个输出功能使用)之间执行变换的功能；逻辑功能提供从一个或几个输入功能到一个或几个输出功能的转换。注：另见GBT 159693和IEC 60617-12。3240逻辑解算器logic solver既可以是一个BPCS的一部分，也可以是SIS的一部分。它执行一个或几个逻辑功能。注1：在GBT 2】109中，逻辑系统使用了以下术语：机电技术的电气逻辑系统，电子技术的电子逻辑系统可编程电子系统的可编程逻辑系

18、统。注2：例如：电气系统、电子系统、可编程电子系统、气动系统、液压系统。传感器和最终元件不是逻辑解算器的组成部分。9GBT 21 1091-2007IEC 61511-1：2003324D，1安全配置的逻辑解算器safety configured logic solver根据115为在安全应用中使用专门配置的工业级通用型PE逻辑解算器。3241维护工程接口maintenanceengineering interface为能正确维护或修改SIS所提供的硬件和软件。包括：在软件中可能含有的指令和诊断程序、具有适当通信协议的编程终端、诊断工具、指示器、旁路装置、试验装置和校正装置。3242减轻 mi

19、tigation减小危险事件后果的动作。注：例如根据已证实的着火或气体泄漏的检测所采取的紧急减压。3243操作模式mode of operation仪表安全功能运行方式。32431要求模式下的仪表安全功能demand mode safety instrumented function响应过程条件或其他要求Ifi!采取一个规定动作(如关闭一个阀门)的场合。在仪表安全功能的危险失效事件中，仅当发生过程或BPCS的失效事件时，才发生潜在危险。32432连续模式下的仪表安全功能continuous mode safety instrumented function在仪表安全功能的危险失效事件中，如果不

20、采取预防动作，即使没有进一步的失效，潜在危险也会发生。注1：=连续模式涵盖了实现连续控制以保持功能安全的那些往表安全功能。注2：要求模式应用中在要求率的频率大于每年1次的情况F，危险率不高于仪表安全功能的危险失效率。在这种情况下通常适宜使用连续模式准则。注3：袁3和表4定义了运行在要求模式和连续模式下的仪表安全功能的目标失效量。注4：本术语的定义同GBT 2043842006中的定义有差别，从而反映出过程领域术语中的差异。3244模块module执行某个特定硬件功能的硬件部件的自含式组件(即数字输入模块、模拟输出模块)，或支持某一特定功能的可重用应用程序可能是一个或一组内固程序)。如执行特定功

21、能的计算机程序的一部分。注l：在GRI 159693中。软件模块是一个功能或功能块。注2：本术晤的定义同GBT 204384 2006中的定义有差别从而反映出过程领域术语中的差异。3245从N中取M MooN”N”个独立通道构成的安全仪表系统或其部分它被连接成其中“M”个通道足以执行仪表安全功能。3246必要的风险降低necessary risk reduction为保证把风险降低到允许水平所需的风险降低。3。247非可编程(NP)系统nonprogrammable(NP)system基于非计算机技术的系统(即不基于可编程电子PE或软件的系统)。注：例如硬接线电气或电子系统，机械、液压或气动系

22、统。】0GBT 211091-200711EC 615111：20033248操作员接口operator interface在操作人员和SIS之间进行信息交换的手段(如阴极射线管CRT、指示灯、按钮、操纵杆、报警器)；操作员接口有时又叫人机接口(HMI)。3249其他技术安全相关系统other technology safety related system不基于电气、电子或可编程电子技术的安全相关系统。注：安全阀就是另种技术的安全相荧系统”。“其他技术安全相关系统”可以包括液压和气动系统。3250输出功能output function根据来自逻辑功能的终端执行机构的信息，控制过程及其相关设备

23、的功能。3251阶段phase发生GBT 21109中描述活动的安全生命周期中的某个时段。3252预防prevention降低危险事件发生频率的动作。3253以往使用prior use见3260。3254过程风险process risk因异常每件(包括BPCS功能失常)引起过程条件产生的风险。注l：本文中的风险与使用SiS提供必要的风险降低的特定危险事件有关(即与功能安全相关的风险)。洼2：GBT 211093中描述了过程风险分析。确定过程风险的主要目的是给未考虑保护层的风险确立一个参考点。注3。过程风险的评估应包括相关人为因素问题。注4；本术语相当于GBT 2043842006中的“受控设备

24、(Euc)风险”。3255可编程电子programmable electronicsPE基于计算机技术构成PES一部分的电子部件或装置。本术语包括硬件和软件及输入和输出单元。注1：本术语覆盖基于一个或几个中央处理单元(CPU)及相关的存储器的微电子设备。过程领域可编程电子的例子包括：智能传感器和最终元件。一 可编程电子逻辑解算器，包括：n可编程控制器可编程逻辑控制器；回路控制器。注2：本术语的定义同GBT 204384 2006中的定义有差别，从而反映出过程领域术语中的差异。3256可编程电子系统programmable electronic systemPES基于一个或多个可编程电子装置的，

25、用于控制、防护或监视的系统，包括系统中所有的元素，如电源、传感器和其他输入装置、数据高速公路和其他通信途径以及执行器和其他输出装置(见图6)。11GBT 21 1091-2007IEC 6151 1-1：2003注：可编程电子位于图中心位置，但在PES中可位于几个不同的位置。圈6可编程电子系统(PES)：结构和术语3257编程programming为解决问题或处理数据而设计、编写和测试一组指令的过程。注：GBT 21109中，编程典型地同可编程电子(PE)相关。3258检验测试proof test为揭露安全仪表系统中未检测到的故障而执行的测试，以便在必要时把系统修复到所设计的功能。3259保护

26、层protection layer借助控制、预防或减轻以降低风险的任何独立机制。注：它可能是装危险化学物品的压力容器的容量这样的一个过程工程机制，也可能是一个安全阀这样的机械工程机制，或者一个安全仪表系统或者是应对紧急危险的一个应急计划这样的管理规程。可以自动启动或手动启动这些响应机制(见图9)。3260经使用验证的proveninuse当文档化的评估显示有适当证据表明：基于部件以往使用的情况，该部件适用于安全仪表系统时(见115中的“以往使用”)。注：本术语的定义同GBT 20438有差别，从而反映出过程领域技术的差异。3261质量quality一个实体满足指明的和隐含需要的性能总和。注：更

27、多的情况见1St)9000。3262硬件随机失效random hardware failure在硬件中，由各种退化机制引起，以随机时间发生的失效。注l：在不同部件中存在以不同速率发生的许多退化机制。因为在工作不同的时间之后，由于这些机制，制造公差】2GBT 2”091-2007IEC 615111：2003会引起部件故障；所以包含许多部件的整个设备的失效将以可预见的速率发生，而发生的时间却是不可预见的(即是随机的)。注2：硬件随机失效和系统失效(见3 2 85)特征之间的主要差别在于硬件随机失效引起的系统失效率(或其他相应的量)能被预测而由固有特性产生的系统失效则不可预测。即硬件随机失效引起的

28、系统失效率可被量化，而由系统失效引起的系统失效率则因导致系统失效的事件不易被预测而不能进行统计量化。3263冗余 redundancy使用多个元素或系统来执行同一种功能；冗余可以使用同种元素实现(同型冗余)，或使用不同元素实现(异型冗余)。注1：例如，使用重复功能部件和附加奇偶校验位。注2：冗余主要用来提高可靠性或可用性。注3：IEV 191-1501中的定义不太完全-1SOIEC 238214-0111。注4：本术语的定义同GBT 204384 2006中的定义有差别从而反映出过程领域术语中的差异。3264风险risk出现伤害的概率及该伤害严重性的组合。注：有关本概念的其他讨论见第8章。32

29、65安全失效safe failure不会使安全仪表系统处于潜在的危险状态或功能故障状态的失效。注1：潜在是否成为现实可能取决于系统通道结构。注2：安全失效又称为扰乱性失效(nuisance failure)、假错误失效(spurious t rip failu re)、伪错误失效(false trip failure)或者故障安全失效(failtosafe failure)。32651安全失效分数safe failure fraction导致安全失效或者可检测出的危险失效的装置总硬件随机失效率分数。3266安全状态safe state达到安全时的过程状态。注l：从某个潜在的危险工况达到最终的安

30、全状态，过程可能不得不经过几个中间安全状态。在有螳情况下仅当过程处于连续控制时才存在安全状态。这样的连续控制可能是短时间的或是不确定的时段。注2。本术语的定义同GBT 204384 2006中的定义有差别，从而反映出过程领域术语中的差异。3267安全 safety不存在不可接受的风险。注：本定义依据是ISOIEC指南5l。3268安全功能safety function针对特定的危险事件，为达到或保持过程的安全状态，由SIS、其他技术安全相关系统或外部风险降低设施实现的功能。注：本术语的定义同GBT 204384-2006中的定义有差别，从而反映出过程领域术语中的差异。3269仪表安全控制功能s

31、afety instrumented control function具有某个规定的SII，并运行在连续模式下，以防止发生危险工况和或减轻其后果所必需的仪表安全功能。1 3GBT 21 1091-2007IEC 615111：20033270仪表安全控制系统safety instrumented control system用来实现一个或几个仪表安全控制功能的仪表系统。注：在过程工业中，仪表安全控制系统是少见的。在对待这种系统时应把它们当成一种特殊情况处理，进行个案设计。应使用GBT 21109中的要求，但需要更详细的分析以证明系统能够达到安全要求。327l仪衰安全功能safety instr

32、umented functionlSIF具有某个特定SII。的，用以达到功能安全的安全功能，它既可以是一个仪表安全保护功能，也可以是一个仪表安全控制功能。3272安全仪衰系统safety instrumented system；SiS用来实现一个或几个仪表安全功能的仪表系统。SIS可以由传感器、逻辑解算器和最终元件的任何组合组成(示例见图7)。注1：它可包含仪表安全控制功能。也可包含仪表安全保护功能或包含这两者。注2；SIS装置制造商和供应商应参见第1章a)d)。注3t SIS可以包括或不包括软件。注4：见A2。注5：当人的动作是SIS的一部分时，操作员动作的可用性和可靠性在SRS中规定，并且

33、包含在SIS性能计算中。在SII。计算中如何包含操作员动作的可用性和可靠性的指南见GBT 211092。不同设备的SIS结构和仪表安全功能示倒田7 SIS结构示例3273安全完整性safety integrity安全仪表系统在规定时段内、在所有规定条件下满足执行要求的仪表安全功能的平均概率。注1 t安全完整性等级越高应执行所要求的仪表安全功能的概率也越高。注2 z仪表安全功能的安全完整性等级分成4个等级。注3：在确定安全完整性时，应包括导致非安全状态的所有失效因素(硬件随机失效和系统失效)，如：硬件失效、软件导致的失效和电气干扰日f起的失效。这些类型中的某些失效，特别是硬件随机失效可以使用危险

34、失效模式中的失效率或者要求时的仪表安全功能失效概率这样的量来量化。但SIF的安全完整性还取决于许多因素，它们不能精确量化，只能定性考虑。注4：安全完整性由硬件安全完整性和系统安全完整性组成。3274安全完整性等级safety integrity levellSIL用来规定分配给安全仪表系统的仪表安全功能的安全完整性要求的离散等级(4个等级中的一个)。SII。4是安全完整性的最高等级SII。1为最低等级。注1：安全完整性等级的目标失效景见表3和表4。注2：有可能使用几个安全完整性等级较低的系统来满足一个较高安伞完整性等级功能的需要(例如：使用个14GBT 211091-2007IEC 6151卜

35、1：2003SII，2和一个SII。1的系统共同来满足一个SI!3功能的需要)。注3：本术语的定义同GBT 204384 2006中的定义有差别，从而反映出过程领域术语中的差异。3275安全完整性要求规范safety integrity requirements specification包含了安全仪表系统应执行的仪表安全功能的安全完整性要求的规范。注1：本规范是安全要求规范的一部分(安全完整性部分)(见3278)。注2：本术语的定义同GBT 204384 2006中的定义有差别，从而反映出过程领域术语的差异。3276安全生命周期safety life cycle从项目概念阶段开始到所有的仪表

36、安全功能不再适用时为止所发生的、包含在仪表安全功能实现中的必要活动。注1；严格地讲，术语“功能安全生命周期”更为准确，但从(；BT 21109上下文来看可不必考虑形容词“功能(的)”。注2：GBT 21109中使用的安全生命周期模型见图8。3277安全手册safety manual定义如何安全使用装置、子系统或系统的手册。注：安全手册可以是一份独立文档、一份说明书、一份编程手册、一份标准文档，或包含在定义应用限制的用户文档中。3278安全要求规范safety requirements specification包含安全仪表系统应执行的仪表安全功能的所有要求的规范。3279安全软件safety

37、software在安全仪表系统中具有应用软件功能性、嵌人式软件功能性或工具软件功能性的软件。3280传感器sensor测量过程条件的装置或装置组合(如：变送器、传感器、过程开关和定位开关)。3281软件software包括程序、进程、数据、规则和关于数据处理系统操作的相关文档的智能创作。注l；软件与记录它的媒体无关。注2：没有注1的本定义与ISO 23821不同整个定义与IS()90003的不同之处在于增加了词“数据”。32811 SIS子系统中的软件语言328111固定程序语言fixed program language；FPL限定用户只能调整几个参数(如压力变送器的量程、报警等级和网络地址

38、)的语言类型。注；使用FP。的装置的典型例子是：智能传感器(如压力变送器)、智能阀、事件时序控制器、专用智能报警盒和小型数据录入系统。 328112有限可变语言limited variability language；LVL被设计成过程领域用户容易理解并可为实现安全要求规范提供组合预定的、应用专用的库功能能力的一种语言类型。I。VL可提供一种与达到应用所要求的功能几乎一致的功能。注1：GBT 15969 3中给出了I。vL的典型示例。它们包括梯形图、功能块图和顺序功能图。注2：使用LVL系统的典型示例：标准PI。c(如熔炉管理用的可编程逻辑控制器)。1 5GBT 21 1091-2007IEC

39、 6151 1-1：2003328113全可变语言full variability language；FVL设计成计算机编程者易于理解，并可提供实现各种各样功能和应用的能力的一种语言。注1：使用FVI，的系统的典型例子是通用型计算机。注2：在过程领域中，嵌入式软件常用FVI，而应用软件则很少使用FvL。注3：FVI的例子包括：Ada、C、Pascal、指令表、汇编程序语盲、c+、Java和SQl。32引2软件程序类型328121应用软件application software用户应用专用软件。通常，它包含控制正确输入、输出、计算和决策的逻辑时序、允许值、极值和表达式，用以满足仪表安全功能所必须

40、的要求。参见固定程序语言和有限可变语言。328122嵌入式软件embedded software作为系统组成部分由制造商提供的软件，最终用户不能对其进行修改。嵌入式软件又叫固件或系统软件。见328113。328123工具软件utility software用来创建、修改和编写应用程序的软件工具。操作SIS并不需要这些软件工具。3282软件生命周期software life cycle从开始构思软件到永久性停用软件期间发生的活动。注1：一个典型的软件生命周期包括需求、开发，测试、集成、安装和修改等阶段。注2：软件不能被维护，但可以被修改。3283子系统subsystem见3284。3284系统

41、system根据设计相互联系的一组元素系统的一个元素可以是称为子系统的另一系统，该子系统可以是一个主控系统，也可以是一个受控系统，它可能包含硬件、软件和人的交互作用。注1：人可以是系统的一部分。注2：本定义不同于IEV 35卜ol一0l。注3：系统包括传感器、逻辑解算器、最终元件、通信和附属于SIS的辅助设备(如：电缆、管道系统和电源)。3285系统失效systematic failure与某种起因以确定性方式有关的失效，只有对设计或制造过程、操作规程、文档或其他相关因素进行修改才能消除这种失效。注1：仅凭借正确维护而不作修改通常不能消除失效起因。注2：通过模拟失效起因能引发系统失效。注3：本

42、定义(注2以上)与IEV 19l04 19一致。注4；系统失效起因的例子包括以下各项中的人为误差z安全要求规范I硬件的设计、制造、安装和操作软件的设计和或实现。6GBT 21 1091-2007IEC 6151 11：20033286系统安全完整性systematic safety integrity在失效的危险模式中与系统失效(见3273的注3)有关的仪表安全功能的安全完整性部分。注1t系统安全完整性通常不能被量化(不同于硬件安全完整性)。注2：另见3229。3287目标失效target failure measure 、就安全完整性要求而言，应达到的预计危险模式失效概率，既可规定为要求时执

43、行设计功能的平均失效概率(要求操作模式时)，也可规定为每小时执行SIF的危险失效频率(连续操作模式时)。注：表3和表4给出了目标失效量的数值。3288模板template软件模板software template保持原有结构的同时，易于改变以支持特定功能的结构化非专用应用软件段，例如：交互界面模板控制应用界面的过程流，但并非专用于正呈现的数据。程序员可以采用通用模板，并做特定功能修改，从而为用户生成一个新界面。注：有时也使用相关术语“软件模板”。典型地它指编程用于执行要求的一个或一组功能的一种算法或者算法集，并且它被构建成可在多个不同的事例中使用。在GBT 159693中，它是可被选择用于多个应用的一个程序。3289允许风险tolerable risk