煉油與化工裝置安全儀表系統(tǒng)安全完整性等級（SIL）評估技術(shù)規(guī)范（征求意見稿）

1煉化企業(yè)安全儀表系統(tǒng)安全完整性等級（SIL）評估技術(shù)規(guī)范本文件規(guī)定了煉化企業(yè)安全儀表系統(tǒng)安全完整性等級評估的基本要求、定級方本文件適用于煉化企業(yè)安全儀表系統(tǒng)安全完整性等級評下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少GB/T20438電氣/電子/可編程電子安全相關(guān)系統(tǒng)的GB/T21109過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能GB/T32857保護(hù)層分析（LOAQ/T3033化工建設(shè)項目安全設(shè)計管理導(dǎo)則AQ/T3054保護(hù)層分析（LOPA用于實現(xiàn)一個或幾個安全儀表功能的儀表系統(tǒng)，可以由測量儀表、邏輯控制器為達(dá)到功能安全所必需的具有特定安全完整性等級的用于規(guī)定分配給安全儀表系統(tǒng)的安全儀表功能的安全完整性要求的離散等級。SIL4是安2某一事件/事故導(dǎo)致的影響。通常包括人員傷亡、財產(chǎn)損失、環(huán)境污染、非財務(wù)性影響與獨立的一種設(shè)備、系統(tǒng)或行動，能阻止場景向不期望后果發(fā)展。其獨立性表示保護(hù)層要求時的失效概率probabilityoffa要求時的平均失效概率averageprobabilityoffailureond危險失效平均頻率probabilityof一個E/E/PE安全相關(guān)系統(tǒng)在一個給定的時間周期內(nèi)執(zhí)行規(guī)定安全功能時的危險失效平均硬件故障裕度hardwarefaulttoler安全相關(guān)組件的屬性，定義為平均安全失效率加上檢測出的平均危險失效率，與平均安全a)低要求模式：在這種運行模式下，SIF只有在要求時才動作，以將過程導(dǎo)入一個特定的b)高要求模式：在這種運行模式下,SIF只有在要求時才動作，以將過程導(dǎo)入一個特定的3c)連續(xù)模式：在這種運行模式下，SIF作為正常運行的一部分保持過程處于一種安全狀用于商業(yè)或工業(yè)可編程電子控制器的編程語言，其能力僅限于在相關(guān)安全手冊中定義的應(yīng)計算機(jī)編程者易于理解，并可提供實現(xiàn)各種各樣功能和應(yīng)用的能力的一種語言。FVL的例子包括：Ada、C、Pascal、指令表診斷覆蓋率diagnosticc通過自動在線診斷測試檢測到的危險失效分?jǐn)?shù)。危險失效分?jǐn)?shù)是由檢測到的危險失效率除BPCS:基本過程控制系統(tǒng)（BasicprocesscontrolsysteHAZOP：危險與可操作性分析（HazardandoperabilitystudiLOPA：保護(hù)層分析（LayerofprotectionanaIPL：獨立保護(hù)層（IndependentSIF：安全儀表功能（SafetyinstrumentedPFD：要求時的失效概率（ProbabilityoffailureondemPFH：危險失效平均頻率（ProbabilityoffailureperhHFT：硬件故障裕度(HardwarefaulttolerancMTTF：平均無故障時間（MeantiDD：可檢測到的危險失效（Dangerousfailuredetected）DU：未檢測到的危險失效（DangerousfailureundetecteSD：可檢測到的安全失效（SafetyfailuredSU：未檢測到的安全失效（SafetyfailureundetRRF：風(fēng)險降低因子（RiskreductionfaSRS：安全要求規(guī)格書（Safetyrequirementsspecif4.1安全儀表系統(tǒng)應(yīng)獨立于基本過程控制系統(tǒng)，能夠獨立完成安全保護(hù)功能。44.2企業(yè)應(yīng)組織對安全儀表系統(tǒng)中每一個安全儀表功能的安全完整性等級進(jìn)行評估，包括SIL4.3新建、改建和擴(kuò)建項目設(shè)計階段應(yīng)開展安全儀表系統(tǒng)SIL定級和SIL驗證工作。設(shè)計初期時，為了避免后期驗算不通過帶來的設(shè)計修改，可進(jìn)行SIL預(yù)驗證，采用擬用產(chǎn)品證書數(shù)據(jù)或4.4企業(yè)應(yīng)結(jié)合HAZOP分析結(jié)果開展SIL定級工作，依據(jù)定級結(jié)果開展SIS系統(tǒng)工程設(shè)計。4.6SIL評估小組應(yīng)包含工藝、儀表、設(shè)備、安全、電氣等專業(yè)人員，SIL評估主持人應(yīng)具有4.7企業(yè)應(yīng)建立安全儀表功能的日常管理檔案，包括但不限于聯(lián)鎖功能、設(shè)定值、變更信5.3.1場景識別信息通常來源于新建、改建、擴(kuò)建項目或在役系統(tǒng)開展HAZOP分析識別的風(fēng)險5c)當(dāng)同一初始事件導(dǎo)致不同的后果時，或多種初始事件導(dǎo)致同一后果時，應(yīng)假設(shè)多個場e)如果考慮人員傷害、財產(chǎn)損失或環(huán)境影響作為后果，則場景應(yīng)考慮下列因素或條件修5.3.3推薦采用定性或半定量的方法對場景后果的嚴(yán)重性進(jìn)行評估，并根據(jù)后果嚴(yán)重性對場景進(jìn)行篩選。典型的后果種類包括人員傷害、財產(chǎn)損失、環(huán)境影響、非財務(wù)性影響與社會影5.4.1初始事件一般包括外部事件、設(shè)備故障和人為失誤，初始事件確認(rèn)時應(yīng)遵循以下原c)應(yīng)將每個原因細(xì)分為獨立的初始事件（如“冷卻失效”可細(xì)分為冷卻劑泵故障、電力d)在識別潛在事件時，應(yīng)確保已經(jīng)識別和審查所有操作模式（如正常運行、開車、停e)當(dāng)人為失誤作為初始事件時，應(yīng)制定人為失誤頻率評估的統(tǒng)一規(guī)則并在分析時嚴(yán)格執(zhí)5.5.2獨立保護(hù)層應(yīng)滿足獨立性要求：應(yīng)獨立于初始事件及其后果和同一場景中的其他獨立保5.5.3獨立保護(hù)層應(yīng)滿足有效性要求：執(zhí)行動作以后可以有效防止事故后果的發(fā)生。65.5.4獨立保護(hù)層應(yīng)滿足可審查性要求：對有效性、獨立性以及PFD值可以某種方式（通過記5.6.1初始事件發(fā)生頻率和IPL的PFD數(shù)據(jù)參見附錄D和附錄E。實際應(yīng)用時，PFD值的確定應(yīng)經(jīng)評估小組共同確認(rèn)，如有必要可進(jìn)行適當(dāng)?shù)男拚源_認(rèn)PFD取值的合適性，并作為分析過程的統(tǒng)一規(guī)則執(zhí)行。初始事件發(fā)生頻率應(yīng)優(yōu)先使用企業(yè)的經(jīng)驗數(shù)據(jù)，其次使用行業(yè)通用數(shù)據(jù)。5.6.2單一場景后果的頻率為初始事件發(fā)生頻率乘以所有IPL的PFD，場景后果頻率可以由以b)當(dāng)需要計算危險物質(zhì)釋放后的后續(xù)后果發(fā)生頻率時，應(yīng)乘以條件修正因子，常見的條—初始事件i中j個阻止后果C的IPL的PFD5.7.1根據(jù)式（2）計算場景所需安全儀表功能PFDSIF=F/f9（2）PFDSF—安全儀表功能要求時的失效概率；F—風(fēng)險可接受頻率，具體根據(jù)5.3.3場景后果嚴(yán)重性評估結(jié)果查閱風(fēng)險可接受準(zhǔn)則進(jìn)5.7.2根據(jù)PFDSIF計算結(jié)果查閱表F.1，確定單一場景安全儀表功能需要達(dá)到的SIL等級。5.7.3同一初始事件導(dǎo)致多個事故場景的，逐個場景進(jìn)行分析，該安全儀表功能SIL等級取場景需要達(dá)到SIL等級的最高值。多個初始事件導(dǎo)致同一事故后果的，場景頻率76.1.1安全儀表功能的測量儀表、邏輯控制器和最終執(zhí)行元件等廠家規(guī)格型號確定后6.1.3SIL驗證通常采用專業(yè)化軟件進(jìn)行建模計算，軟件內(nèi)嵌驗算方法應(yīng)符合GB/T6.1.4儀表設(shè)備可靠性數(shù)據(jù)宜來自以往使用數(shù)據(jù)、SIL認(rèn)證報告、公開發(fā)行的工業(yè)數(shù)據(jù)庫0011826.4.1應(yīng)對測量儀表、邏輯控制器、最終執(zhí)行元件等子系統(tǒng)分別確定HFT，安全儀表功能結(jié)構(gòu)6.4.2依據(jù)安全儀表功能中包含的測量儀表、邏輯控制器、最終執(zhí)行元件等元器件相關(guān)的規(guī)注1：基于路線1H和2H確定結(jié)構(gòu)約束S6.5.1依據(jù)安全儀表功能中包含的測量儀表、邏輯控制器、最終執(zhí)行元件等元器件相關(guān)的到的危險失效率(λDD）、未檢測到的危險失效率(λDU）、可檢測到的安全失效率 (λSD）、未檢測到的安全失效率(λSU），以及共因失效因子(共因失效因子β的選取可根據(jù)工程經(jīng)驗或參考附錄G確定)、平均恢復(fù)時間、檢驗測試間隔、檢驗測試覆蓋率等參6.5.2根據(jù)安全儀表功能各子系統(tǒng)的要求時的平均失效概率，按式（3）PFDavg-SIF=PFDavg-S+PFDavg-L+PFDavg-FE（3）PFDavg-S—測量儀表子系統(tǒng)要求時PFDavg-L—邏輯控制器子系統(tǒng)要求時的平均失效概率；6.6.1設(shè)備的系統(tǒng)性能力SCN（N=1,2,3）應(yīng)滿足SIF要求的SIL等級。宜根據(jù)廠商提供SIL認(rèn)6.6.2設(shè)備的系統(tǒng)性能力要求可通過滿足GB/T20436.6.3對于某具有系統(tǒng)性能力SCN(N=1,2,3)的組件，若該組件的系統(tǒng)性故障并不會使指定安全功能失效，而僅在另一個具有系統(tǒng)性能力SCN的組件同時發(fā)生系統(tǒng)故障時才會使指定功能失效，則在兩個組件之間足夠獨立的前提下其組合的系統(tǒng)性能力可視為SC(N+1)。足夠獨6.6.4多個系統(tǒng)性能力為SCN的組件組合后可聲明的最高系統(tǒng)性能力為SC(N+1)。每個SCN組件在這種方式下僅能使用一次，不允許繼續(xù)增加SCN組件達(dá)到或超過SC(N+2)。96.7.1應(yīng)以安全儀表功能結(jié)構(gòu)約束SIL等級和隨機(jī)失效SIL等級兩者中的較小值作為該安全儀表功能可以達(dá)到的SIL等級，同時系統(tǒng)性能力SC應(yīng)滿足SIL等6.7.2安全儀表功能驗證達(dá)到的SIL等級大于或等于SIL定級要求達(dá)到的SIL等級時，該安全儀7.1基礎(chǔ)設(shè)計階段宜開展SRS編制工作，并跟隨設(shè)計和工程進(jìn)度不斷補充完善，以指導(dǎo)安全儀7.3安全儀表系統(tǒng)測試方法應(yīng)參考廠商安全手冊或安裝維護(hù)手冊，并編制相應(yīng)的檢驗測試規(guī)7.4安全儀表系統(tǒng)檢驗測試周期應(yīng)綜合考慮法律法規(guī)與標(biāo)準(zhǔn)規(guī)范的要求、廠商建議、SIL驗7.5安全儀表系統(tǒng)變更包括投用狀態(tài)的變更（投用/摘除）、聯(lián)鎖設(shè)定值的變更、控制邏輯的變更、硬件的非同類替換或更換廠家、系統(tǒng)軟件的版本變化等等，對安全儀表系統(tǒng)的所有變更A.4.1項目概述A.4.2工作范圍A.4.3定級方法概述A.4.4風(fēng)險可接受標(biāo)準(zhǔn)A.4.5條件修正假設(shè)A.4.6工藝描述A.4.10改進(jìn)建議（含改進(jìn)建議措施匯總表）B.4.1項目概述B.4.2工作范圍B.4.3驗證方法概述B.4.4驗證假設(shè)說明B.4.6驗證結(jié)果匯總B.4.7改進(jìn)方案建議B.5.1驗證工作表（包括測量儀表、邏輯控制器、最終執(zhí)行元件三個部分的PFDavg、B.5.2驗證數(shù)據(jù)（包括測量儀表、邏輯控制器、最終執(zhí)行元件等設(shè)備的廠家型號以及對DU風(fēng)險頻率，包括但不限于安全、環(huán)境、財產(chǎn)、非財務(wù)性影響與社會影響方面的風(fēng)SIL定級過程中所采用的安全相關(guān)風(fēng)險的可接受頻率，如表SIL定級過程中所采用的環(huán)境相關(guān)風(fēng)險的可接受頻率，如表重大泄漏，給工作場所外帶來嚴(yán)重的環(huán)境影響，且會導(dǎo)危險物質(zhì)泄漏，不影響現(xiàn)場以外區(qū)域，微損，可很快清除SIL定級過程中所采用的財產(chǎn)相關(guān)風(fēng)險的可接受頻率，如表C.4非財務(wù)性影響與社會影響相關(guān)風(fēng)險的2.造成省級范圍內(nèi)的不利社會影響；對省級公共設(shè)施的日常1.存在合規(guī)性問題，不會造成嚴(yán)重的安全后果或不會導(dǎo)致地3.在當(dāng)?shù)卦斐刹焕纳鐣绊?對當(dāng)?shù)毓苍O(shè)施的日常運行造2.對當(dāng)?shù)毓苍O(shè)施的日常運行造成干擾（如:導(dǎo)致某道路在閥門1容