9.3安全完整性等级4的附加要求

9.3.1见GB/T.1。

9.3.2见GB/T.1。

9.4作为一个保护层的基本过程控制系统的要求

9.4.1基本过程控制系统也可视为是一个遵从某些条件的保护层。如果在BPCS中，以降低过程风险为目的的功能得到实现，针对预定要降低的确定的风险，也可给BPCS分配一个风险降低。

9.4.2不需遵从GB/T.1，仪表型系统就可声明低于10的风险降低。这使得BPCS可用于某些风险降低，而无需按GB/T.1的要求实现该系统。应通过考虑BPCS的完整性（由可靠性分析或者性能数据确定）和用于配置、修改、操作和维护的规程表证明所作的任何声明都是合理的。当在BPCS中给功能分配风险降低时，保证提供访向保密和更改管理是重要的。能声明的一个BPCS功能的风险降低也可由BPCS功能和诱发原因之间的独立程度来确定。图2说明了BPCS功能和诱发原因之间的独立性。

图2BPCS功能和诱发原因的独立性说明

例如，考虑一个流量控制回路是诱发原因的情况。此诱发原因包括一个流量变送器、一个控制器和一个控制阀。为了给BPCS中的一个压力控制回路分配风险降低，压力变送器应连接到一个独立的控制器，调节一个独立的最终元件（例如到燃烧系统的排气阀）。

9.4.3见GB/T.1。

9.5防止共同原因失效、共同模式失效和相关失效的要求

9.5.1在早期阶段应考虑的一个重要问题是在每层中的各冗余部分之间（例如同一压力容器上的2个安全阀之间)、各安全层之间或者各安全层和BPCS之间是否存在任何共同原因失效。一个基本过程控制系统测量的失效可能引起对安全仪表系统提出一次要求，以及在安全仪表系统中使用一个具有同样特点的设备的情况就是它的一个例子。在这种情况下，有必要确定是否存在使两台设备同时失效的可信的失效模式。在判明是一个共同原因失效的情况下，则可采取以下动作：

a)可通过改变安全仪表系统或者基本过程控制系统的设计来减少共同原因。降低共同原因失效的可能性的两种有效方法是设计的多样化和物理分离。这是通常优先选用的方法。

b)当确定总的风险降低是否足够时应考虑共同原因事件的可能性。这要求对由要求原因以及保护系统失效构成的故障树进行一次分析。在这种故障树上可以表示出共同原因失效并通过适当的建模方法量化对整个风险的影响。

BPCS和SIS共享的任何传感器或者执行机构都很可能引入共同原因失效，而解决装置的这种共享的方法应如本条中所述。

9.5.2当对共同原因失效、共同模式失效和相关失效的可能性执行一次评估时，应使用下面所列的考虑。评估的范围、形式和深度取决于预期功能的安全完整性等级。对安全完整性水平为3或者更高的情况而言，共同原因、共同模式和相关失效的影响也许是决定性的。应考虑：

——各保护层之间的独立性：应进行一次失效模式影响分析，以便确立单一事件是否能引起不止一个保护层失效或者BPCS和一个保护层同时失效。分析的深度和严密性取决于风险。

——各保护层之间的多样性；目标应是各保护层和BPCS之间的多样性，但并不一定总是能作到。例如过压保护，在这种情况中，BPCS压力控制回路的一次失效将导致一次要求。BPCS和SIS都需要测量压力，并对提供的合适设备有一个限制。使用从不同生产厂购买的设备也许能达到某些多样性，但如果使用同类型的连接方式把SIS和BPCS传感器连接到过程，则多样性也许很有限。

——不同保护层之间物理分离：物理分离可以降低由物理原因引起的共同原因失效的影响。根据比如精确性和响应时间这样的功能需要，BPCS和SIS的测量连接位置应有最大物理间隔。