ICS25.040 CCS N 10
GB
中华人民共和国国家标准
GB/T41295.4—2022
功能安全应用指南第4部分：管理和维护
Application guide of functional safety- Part 4:Management and maintenance
2022-10-01实施
2022-03-09发布
国家市场监督管理总局
国家标准化管理委员会 发布 GB/T41295.4—2022
目 次
前言引言 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 总则 6 文档方面 7 人员方面 8 变更管理和配置管理
1
/
1
1
运行和维护过程的安全管理参考文献 GB/T41295.4—2022
前言
本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是GB/T41295《功能安全应用指南》的第4部分。GB/T41295已经发布了以下部分：
第1部分：危害辨识和需求分析；一第2部分：设计和实现；一第3部分：测试验证；
一第4部分：管理和维护。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由中国机械工业联合会提出。 本文件由全国工业过程测量和控制标准化技术委员会（SAC/TC124)归口。 本文件起草单位：中国石油集团安全环保技术研究院有限公司、机械工业仪器仪表综合技术经济研
究所、国能智深控制技术有限公司
本文件主要起草人：熊文泽、闫伦江、王璐、魏振强、孟邹清、孙文勇、田雨聪、彭其勇、靳江红、任军民、 张亚彬、刘晓亮、张雪、朱明露、孙腾
1 GB/T 41295.4—2022
引言
自GB/T20438（所有部分）发布以来，电气/电子/可编程电子系统已经越来越多的应用于国内各个领域的安全控制和安全防护，包括石油、化工、电力、轨道交通、汽车、电梯/扶梯等。近年来随着智能制造的兴起，智能化设备（主要由电气/电子/可编程电子为技术基础）的安全问题逐渐成为一个新的研究方向和焦点，进一步提升了对功能安全技术的需求。
GB/T20438（所有部分）给出了实现功能安全的基本框架和结构，作为等同转化的标准，与国内企业的管理体系和设计思路未能完全切合，加之很多国内工程技术人员都是初次接触功能安全技术，对于功能安全概念一时难以理解，这就造成虽然国际功能安全标准提出了非常好的安全理念和设计措施，但技术人员难以清楚的理解和认识。GB/T20438（所有部分）发布10多年来，国内一些领先的科研院所和企业已经基于标准要求开展了很多工作，并积累了一定的经验。因此，基于国内目前已有的功能安全评估、功能安全设计、功能安全测试和功能安全管理实践形成本文件，以更好地指导功能安全相关系统的运行维护。
GB/T41295拟制定4个部分：
第1部分：危害辨识和需求分析。目的在于确立功能安全系统设计初期的危害辨识内容和需求如何产生的方法；第2部分：设计和实现。目的在于确立功能安全系统的软硬件设计和实现方法和实施指南
-
一第3部分：测试验证。目的在于确立功能安全系统在生命周期过程各个阶段的测试导则和测
试方法解读；一第4部分：管理和维护。目的在于确立功能安全系统管理和维护过程的导则。
II GB/T41295.4—2022
功能安全应用指南第4部分：管理和维护
1范围
本文件确立了功能安全系统实现相应安全完整性等级的安全管理和维护活动，包括文档、人员、变
更管理，以及维护过程的检验测试等
本文件适用于从功能安全系统安装、试运行到正常运行过程中的相关管理和维护活动，
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注目期的引用文
件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T20438.4一2017电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语
术语和定义
3
GB/T20438.4一2017界定的以及下列术语和定义适用于本文件。
3.1
功能安全系统 functionalsafetysystem 执行安全相关功能的系统，具有功能安全相关的特性，满足特定的安全完整性等级（SIL）。 注：这里的系统是一个广义的概念，包含不同的层次，如安全部件、安全设备或安全控制系统等。在实际的工业过
程中，功能安全系统可能是一个变送器、继电器、安全可编程序控制器或安全仪表系统［来源：GB/T41295.1—2022,3.6]
3.2
功能安全系统研发团队teamforfunctionalsafetysystemresearchanddevelopment 执行功能安全系统设计研发的责任主体。 注：包括功能安全系统硬件开发人员、软件开发人员、验证测试人员、安全管理人员等。 ［来源：GB/T41295.2—2022,3.2]
3.3
功能安全系统维护团队 teamforfunctional safetysystemmaintenance 执行功能安全系统运行维护的责任主体注：包括对功能安全系统的检验测试人员、变更管理人员、日常巡检人员、配件更换人员等。
3.4
离线测试 offlinetest 在受控设备处于安全状态的情况下，开展的测试活动，
4缩略语
下列缩略语适用于本文件。
1 GB/T41295.4—2022
HAZOP：危险与可操作性（HazardandOperability） HMI：人机接（HumanMachineInterface) LOPA：保护层分析（LayerOfProtectionAnalysis） PFDavg：要求时危险失效平均概率（AverageProbabilityofDangerousFailureonDemand） PFH：危险失效平均频率（AverageFrequencyofDangerousFailurePerHour） SIL：安全完整性等级（SafetyIntegrityLevel） SRS：安全要求规范（SafetyRequirementSpecification）
5总则
5.1从事功能安全系统安装、试运行和正式运行的组织需考虑建立功能安全管理体系，以保证在实施相关工作过程中要求的安全完整性能力得以保持。 5.2功能安全管理体系可与已经建立的安全/环保管理或质量管理体系相结合，协同实施
6文档方面
6.1在执行安装、试运行和维护之前，需考虑已经获得了足够支持后续安全管理的所有文件和规范，包括但不限于：
危险与风险分析报告（如HAZOP分析报告）；安全完整性等级确定报告（如LOPA分析报告）；所有安全相关系统的安全手册和用户手册；
-
一整个装置或工艺的安全要求规范（SRS）一系统安全集成报告；一系统工广验收测试报告；
项目宜符合的安全相关标准或国家法律法规［如GB/T20438（所有部分），GB/T21109（所有部分）等门。
-
6.2编制安装、试运行和维护工作计划，完成工作之后需要形成技术报告。 6.3相关文档妥善保存便于功能安全审计和功能安全评估时查阅，文档在特定的安全相关系统停用之后可不再保存。
7人员方面
7.1执行功能安全系统运行维护的人员，在上岗前需经过独立的第三方功能安全培训，培训内容宜涵盖GB/T20438（所有部分）、GB/T21109（所有部分）和本文件的相关内容。 7.2需考虑对负责开展活动的所有人员、部门和组织（包括对验证和功能安全评估负责的人员，以及相关的批准权威机构或安全法规机构)进行识别，并完整清楚地告知其责任。 7.3清楚的定义出每个人员从事安全活动的范围、职责、应具备的能力（即培训、技术知识、经验和资格）和限制条件等 7.4需考虑对执行特定功能安全活动的人员能力进行规定和限制，包括：
所有人员经过专业机构的功能安全培训，具备从事功能安全活动的资质；一团队负责人具备相关项目的经验，并对功能安全标准和技术具有深人理解；一所有人员经过定期的培训，以获知最新的功能安全标准和技术进展
5不同岗位的人员之间宜建立适当的沟通交流机制。
7.5
2 GB/T41295.4—2022
8变更管理和配置管理
8.1需保证采用了适当的配置管理和变更控制规程。 8.2构建符合特定项目要求的配置项，配置项宜涵盖可能影响安全完整性等级的所有软硬件实体和文档。 8.3需保证发生变更时要求的安全完整性得以持续满足，这包括针对变更执行影响分析和开发适当的测试计划。 8.4需保证一个适当的变更批准机制存在并且不会执行非授权的变更 8.5配置管理系统需保证所有配置项的配置状态和版本得以识别。 8.6宜使用一套规范化的系统，保证配置下的所有项目都能单独得以识别。
9运行和维护过程的安全管理
9.1总则
功能安全维护管理的核心目标是保证功能安全系统在现场运行过程中要求的SIL能力不会降低，导致SIL能力降低的原因可能包括：
a）由于人为的安装、试运行不当，导致功能安全系统从运行开始就存在潜在的缺陷，无法实现预
期的所有安全功能（系统性能力不满足）； b）由于人为的维护活动不当，导致没有按照系统的要求执行故障处理和维修更换等； c） 系统的硬件（包括数据传输和软错误）由于环境或人为因素导致比预期的失效率高（硬件安全
完整性不满足）；
d) 维护过程中没有执行适当的检验测试，包括检验测试周期过长或检验测试的内容不充分。 a)和b)的内容需要使用适当的功能安全管理和运行前验收测试来保证，为避免c)和d)的发生需
要考虑9.2～9.4的内容。 9.2运行过程的在线安全分析 9.2.1考虑在维护过程中开展对功能安全系统的现场失效分析和在线安全管理 9.2.2在功能安全系统运行过程中，现场运维人员需要对功能安全系统出现的故障情况进行记录。 9.2.3宜采用专用记录工具进行自动化的故障统计。自动化的记录工具可实现对功能安全系统各个组件故障信息通过通信网络自动获取、汇总、分类和显示。 9.2.4基于故障收集的情况，对所有的故障记录需要进行定性和定量分析，确定这些故障的出现是否超出系统的预期运行目标、规则或失效率。设备失效模式及数据采集方法可见GB/T20172一2006、 GB28526—2012,GB/T15969.6—2015 9.2.5对于关键的安全功能回路需要考虑采用专用的安全特性在线分析工具。在线分析工具可与记录工具可以成套使用。安全特性在线分析工具至少具备安全回路设备状态监测、实时故障预警、要求率分析和风险动态评价等功能。 9.2.6当故障分析结论为功能安全系统当前的运行状态与安全要求规范、系统用户手册和安全手册中规定的不符时，宜采取适当的措施对系统进行修改，可选的措施包括
一更换故障率高的组件，并排查导致故障率升高的原因，保证从根源上避免故障发生：一调整内部的管理措施，加强人工的巡检和维护；一重新开展一次完整的危险与风险分析和安全完整性确定评估，提出新的安全防护需求。
3 GB/T 41295.4—2022
9.3 检验测试 9.3.1一般原则 9.3.1.1实际开展的检验测试的时间间隔不超过PFDaVg或PFH计算中规定的间隔时间，如采用更长的间隔时间，重新开展适当的PFDaVg或PFH计算，以证明符合要求的SIL 9.3.1.2 实际开展的检验测试达到的测试覆盖率不小于PFDavg或PFH计算中假设的测试覆盖率。 9.3.1.3 执行检验测试的人员需经过培训，对功能安全系统及现场工艺等都有足够的认识。 9.3.1.4执行检验测试的工具需考虑经过定期的校核，以保证测量精度和溯源性。 9.3.1.5 制定检验测试计划，在完成测试后编制检验测试报告 9.3.1.6 理论上，检验测试可在线或离线开展，具体选用何种方式取决于具体的工艺要求、生产要求和功能安全系统特性 9.3.1.7 宜采用自动化的工具对检验测试的执行情况进行记录和动态分析，并基于测试要求提出改进措施。 9.3.2离线测试时间 9.3.2.1最常用的用于揭露导致安全功能丧失功能的失效或故障的安全功能测试是离线功能测试。执行该测试时，受控设备处于停产的状态，可对安全功能的所有特征进行确认。该测试的主要目的是检测安全功能中危险未被揭露的故障。 9.3.2.2对安全相关系统中的每个安全功能进行辨识。与每个安全功能相关的所有输人、输出和逻辑均得到辨识。测试规范需要考虑定义如何对每个安全功能进行确认。对所有执行测试的必要设备进行辨识，并验证其是否适应于该测试，包括具有可追溯特性的校准设备。 9.3.2.3考虑以下因素以确定离线测试的时间间隔：
测试间隔由对安全功能的性能计算确定；一当逻辑发生变更，对安全功能产生影响的时候；一当过程或设备由于计划的维护活动停止工作；公司关于对安全功能进行完整测试的政策；在功能安全系统长时间停机之后
9.3.2.4在执行修改（改变下述中的任何一项）之前，执行相应的审查以保证变更不会降低防护等级，并需要执行适当的测试以确认修改后的安全功能仍正常运行，改变包括：
个基于原始设计意图的安全保护层的性能：结构的材料；
—运行模式；一运行的规程；
报警和联锁设置；响应速度：
一测试间隔或方法；设备类型，除非是同型更换；架构或表决逻辑；一诊断。
9.3.3传感器子系统的离线测试 9.3.3.1开关在正常工作过程中，状态不经常发生改变，为确认其功能的有效性，需考虑周期性进行离
4