SIS和BPCS之间的独立性，通常因以下原因，SIS是同BPCS分开的：

a)为了降低BPCS对SIS的影响，特别是当它们共享共用设备时。例如，当BPCS和SIS共享一个用于停机和控制的共用阀门时，在该阀门的一次危险失效事件中，它并不能用来执行一个SIS停机功能。

b)为了保持与BPCS有关的更改、维护、测试和文档的灵活性。

c)为了有助于SIS的确认和功能安全评估。

d)如果BPCS与SIS组合在一起，为满足修改管理的计划安排，需要限制对BPCS的编程和配置功能的访问。

在共用设备的一次失效可引起向SIS提出一次要求的情况下，应进行一次分析以保证总危险率满足预期值。总的危险率是共用元件的危险失效率和其他要求源的危险率（包括SIS独立部分的危险失效）的总和。

SIS和BPCS之间的分离可使用同种分离或异种分离。同种分离意味着BPCS和SIS使用相同的技术，而异种分离则意味着使用同一制造商或不同制造商的不同技术。

与有助于降低随机失效的同种分离相比，异种分离有利于降低系统失效概率和减小共同原因失效。

在SIS和BPCS之间的同种分离在设计和维护时有一些优势，因为它降低了维护错误的可能性，特别是选择在用户组织范围内此前还未使用过的各种部件。

虽然要考虑共同原因失效的源头和影响，并且要降低它们的可能性，但对SIL1、SIL2和SIL3而言，SIS和BPCS之间的同种分离是可接受的。共同原因失效的一些例子是：

A.仪表连接器的插拔和导线上的脉冲群；

B.侵蚀和腐蚀；

C.由于环境引起的硬件故障；

D.软件误差；

E.动力源和供电；

F.人为误差。

异种分离有助于降低系统失效概率（在SIL3和SIL4应用中此降低因子特别重要）和减小共同原因失效。

一般可供SIS和BPCS进行分离的区域有４个：

1)现场传感器；

2)最终元件；

3)逻辑解算器；

4)配线。

BPCS和SIS之间也不一定需要物理分离，其条件是它们之间应保持独立性，并且设备安排方式和所使用的规程可以保证SIS不受下列因素的危险影响：

BPCS的失效；

在BPCS上进行的作业，如维护、操作或修改。

SIS设计师需规定可保证SIS不受危险影响应使用的规程。

现场传感器

BPCS和SIS共用一个传感器时要求进一步地复审和分析。因为此单一传感器的失效可能产生一种危险情况，故有必要进行额外的复审和分析。例如：当BPCS和SIS使用同一个液位传感器，传感器低位失效时，高液位脱扣会产生一次要求。传感器低位失效导致控制器将驱动阀门开启，由于SIS也使用该传感器，而它并不会检测到作为结果而产生的高液位工况。

在一个BPCS和SIS功能使用单一传感器的情况下，一般只有在传感器诊断可把危险失效率降到足够低且SIS能在要求的时间内把过程置于某个安全状态时，才能满足GB/T21109.1的要求。

实际上，即使是在SIL1应用的情况，也难以达到这一点。对一个SIL2、SIL3或SIL4的仪表安全功能来说，通常需用具有同型或异型冗余的单独SIS传感器来满足要求的安全完整性。

当使用冗余SIS传感器时，通过适当的隔离器也可把这些传感器连接到BPCS上。BPCS中的适当算法，通过降低对SIS的要求率，如“取中间值”，可提高安全性。

最终元件

BPCS和SIS共用一个阀门的情况大致同共用一个传感器的情况一样，也需要进一步地复审和分析。如果阀门失效将向SIS提出一次要求，通常不推荐SIS和BPCS共用一个阀门。

在BPCS和SIS只使用一个阀门的情况下，一般仅当阀门诊断可把危险失效率降到足够低，且SIS能在要求的时间内把过程置于某个安全状态时，才能满足GB/T21109.1的要求。

实际上，即使对SIL1应用而言，要达到上述要求也是困难的。对一个SIL2、SIL3或SIL4仪表安全功能而言，要满足安全完整性通常需要SIS具有同型或异型冗余的单独阀门。

在BPCS和SIS功能使用单一阀门的情况下，设计应保证SIS动作超驰BPCS动作。一般可通过把SIS直接连接到一个电磁阀上来达到这个要求，该电磁阀可直接断开执行器的动力源，例如在阀门定位器和执行器之间。

当使用冗余SIS阀门时，这些阀门可同时连接到SIS和BPCS上。

确定阀门要求的附加考虑有：

a)截断要求；

b)类似过程应用中阀门可靠性的经验；

c)阀门的非安全失效模式；

d)降低阀门作用的操作规程（例如开启旁路阀门）；

e)检验测试要求。

配线
有关给脱扣系统供电的问题，通常BPCS和有关现场装置的配线是同SIS和它的现场装置的配线分开的，这是因为安全功能可能意外失效而不通知脱扣系统。有关这类系统的典型指南包括了安装SIS和BPCS专用的多芯电缆和接线盒。在配线未分开的情况下，为了减少维护中可能产生的误差所导致的SIS失效，建议使用良好的标号和维护规程。

加电脱扣系统和断电脱扣系统的电缆支持系统（如电缆支架、管道），除另有原因（如电磁干扰）要求分开外，可以共用。关于给脱扣系统供电的问题，可附加对火灾风险区电缆支架防火的考虑。

节选自《GB/T21109-2007过程工业领域安全仪表系统的功能安全》