SH/T 3225-2024 石油化工安全儀表系統(tǒng)安全完整性等級設(shè)計規(guī)范（正式版）

ICS**.**.**CCSP**備案號：中華人民共和國石油化工行業(yè)標(biāo)準(zhǔn)2024-03-29發(fā)布2024-10-01實施中華人民共和國工業(yè)和信息化部發(fā)布SH/T3225—2024前言 2規(guī)范性引用文件 3術(shù)語和縮略語 3.1術(shù)語和定義 3.2縮略語 44基本規(guī)定 54.1SIS的安全完整性等級基本要求 54.2SIS安全生命周期工作流程 64.3SIL評估工作流程 65安全完整性等級定級 75.1過程危險辨識與風(fēng)險評估 75.2保護層分析 75.3SIL定級報告 86安全要求規(guī)格書 96.1編制原則 96.2內(nèi)容要求 97安全完整性等級驗證 7.1一般規(guī)定 7.2硬件結(jié)構(gòu)約束驗證 7.3PFDAVG驗證計算 7.4SIF過程可用性驗證 7.5系統(tǒng)性能力評估 附錄A（資料性）SIS安全生命周期工作流程 附錄B（資料性）SIL評估工作流程 附錄C（資料性）典型石油化工風(fēng)險矩陣 附錄D（資料性）減緩層降低風(fēng)險措施的PFD 參考文獻(xiàn) 本標(biāo)準(zhǔn)用詞說明 附：條文說明 SH/T3225—2024ContentsForeword 2Normativereferences 3Termsandabbreviations 3.1Termsanddefinitions 3.2Abbreviations 4Basicspecification 4.1SISbasicrequirementsforSIL 4.2SISssafetylifecycleworkflow 4.3SILassessmentworkflow 5Safetyintegritylevelsselection 5.1Processhazardandriskassessment 5.2Layerofprotectionanalysis 5.3SILclassificationreport 6Safetyrequirementsspecification 6.1Purposeandprinciple 6.2Contantsrequirements 7Safetyintegritylevelsverification 7.1Generalspecification 7.2Hardwarearchitecturalconstraintsverification 7.3PFDAVGVerificationcalculation 7.4SIFprocessavailabilityverification 7.5Systematiccapability AnnexA（Informative）WorkflowdiagramforsafetylifecycleofSIS AnnexB（Informative）WorkflowdiagramforSILassessment AnnexC（Informative）Typicalriskmatrixforpetrochemicalplants AnnexD（Informative）PFDofriskreductionmeasuresinmitigationlayers Bibliography Explanationofwordinginthisstandard Addition：Explanationofarticles SH/T3225—2024根據(jù)中華人民共和國工業(yè)和信息化部《關(guān)于印發(fā)2014年第一批行業(yè)標(biāo)準(zhǔn)制修訂計劃的通知》（工信廳科〔2015〕429號）的要求，標(biāo)準(zhǔn)編制組經(jīng)廣泛調(diào)查研究，認(rèn)真總結(jié)實踐經(jīng)驗，參考有關(guān)國際標(biāo)準(zhǔn)和國外標(biāo)準(zhǔn)，并在廣泛征求意見的基礎(chǔ)上，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)由中國石油化工集團有限公司負(fù)責(zé)管理，由中國石油化工集團有限公司安全衛(wèi)生消防技術(shù)中心站負(fù)責(zé)日常管理，由中國石化工程建設(shè)有限公司負(fù)責(zé)具體技術(shù)內(nèi)容的解釋。執(zhí)行過程中如有意見和建議，請寄送日常管理機構(gòu)和主編單位。本標(biāo)準(zhǔn)日常管理機構(gòu)：中國石油化工集團有限公司安全衛(wèi)生消防技術(shù)中心站通訊地址：北京市朝陽區(qū)安慧北里安園21號郵政編碼：100101電話箱：zhangli@本標(biāo)準(zhǔn)主編單位：中國石化工程建設(shè)有限公司通訊地址：北京市朝陽區(qū)安慧北里安園21號郵政編碼：100101本標(biāo)準(zhǔn)參編單位：中國石化安全工程研究院有限公司中石化廣州工程有限公司中石化上海工程有限公司中石化-霍尼韋爾（天津）有限公司北京康吉森自動化技術(shù)股份有限公司廈門熙寶源化工技術(shù)有限公司勞氏瑞安咨詢（北京）有限公司萊茵檢測認(rèn)證服務(wù)（中國）有限公司漢威科技集團股份有限公司本標(biāo)準(zhǔn)主要起草人員：林融、李玉明、穆帥、張建國、王若青、賈萍、張翼、高生軍、黃玖來、金光海、王朝暉、何磊、裴炳安、范宗海、張力、李少鵬、張斌、賈微、華俊杰、趙斌、張凱、李志剛、牛小民、唐平、單丹本標(biāo)準(zhǔn)主要審查人員：舒小芹、曾裕玲、袁小軍、魏毅、于寶全、施建設(shè)、李冬、楊芳育、劉齊忠、范詠峰、陳鵬、馮雙虎、馬莉、葛春玉、齊青、張同科本標(biāo)準(zhǔn)為首次發(fā)布。1SH/T3225—2024石油化工安全儀表系統(tǒng)安全完整性等級設(shè)計規(guī)范本標(biāo)準(zhǔn)規(guī)定了石油化工安全儀表系統(tǒng)安全完整性等級的定級、驗證及設(shè)計要求。本標(biāo)準(zhǔn)適用于石油化工及以煤為原料制取燃料和化工產(chǎn)品工廠的新建、擴建和改建工程的安全儀表系統(tǒng)安全完整性等級的定級、驗證與工程設(shè)計。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本標(biāo)準(zhǔn)必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本標(biāo)準(zhǔn)；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。GB/T20438（所有部分）電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全GB/T21109（所有部分）過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全GB/T35320危險與可操作性分析（HAZOP分析）應(yīng)用指南AQ/T3054保護層分析（LOPA）方法應(yīng)用導(dǎo)則3術(shù)語和縮略語3.1術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1.1風(fēng)險risk危害發(fā)生的可能性與該危害嚴(yán)重程度的組合。3.1.2過程風(fēng)險processrisk因異常事件（含基本過程控制系統(tǒng)故障）引起過程條件改變而產(chǎn)生的風(fēng)險。3.1.3風(fēng)險評估riskassessment評估風(fēng)險大小并確定風(fēng)險容許度的全過程。3.1.4過程危險分析processhazardanalysis對過程危險源進(jìn)行辨識，并對危險源發(fā)生不期望的事件后，對人員、財產(chǎn)、環(huán)境和社會所產(chǎn)生的影響進(jìn)行分析的過程。3.1.5保護層protectionlayer用來防止不期望事件的發(fā)生或降低不期望事件后果嚴(yán)重性從而降低過程風(fēng)險的設(shè)備、系統(tǒng)或行動。3.1.6獨立保護層independentprotectionlayer能夠阻止場景向不期望后果發(fā)展，并且獨立于場景初始事件或其他保護層的設(shè)備、系統(tǒng)或行動。3.1.7安全功能safetyfunction針對特定的危險事件，為了達(dá)到或保持過程的安全狀態(tài)，由安全儀表系統(tǒng)、其它安全相關(guān)系統(tǒng)或外部風(fēng)險降低設(shè)施實現(xiàn)的功能。3.1.8安全儀表功能safetyinstrumentedfunction由安全儀表系統(tǒng)（SIS）實現(xiàn)的安全功能。2SH/T3225—20243.1.9安全儀表系統(tǒng)safetyinstrumentedsystem用于實施一個或多個安全儀表功能的儀表系統(tǒng)。安全儀表系統(tǒng)由測量儀表、邏輯控制器、最終執(zhí)行機構(gòu)及相關(guān)軟件、通信和輔助設(shè)備組合而成。3.1.10安全要求規(guī)格書safetyrequirementsspecification規(guī)定安全儀表系統(tǒng)SIF功能和與SIF相關(guān)的安全完整性等級要求的技術(shù)文件。3.1.11安全生命周期safetylifecycle從工程概念設(shè)計開始到所有安全儀表功能停止使用期間，安全儀表系統(tǒng)實現(xiàn)安全儀表功能的所有必要活動。3.1.12安全完整性safetyintegrity在規(guī)定的條件和時間內(nèi)，安全儀表系統(tǒng)執(zhí)行要求的安全儀表功能的能力。3.1.13安全完整性等級safetyintegritylevel用來規(guī)定分配給安全儀表功能的安全完整性要求的離散等級，對應(yīng)安全完整性量值的范圍。安全完整性等級4是最高的，安全完整性等級1是最低的。3.1.14風(fēng)險降低因子riskreductionfactor安全儀表功能要求時危險失效平均失效概率（PFDavg）的倒數(shù)，對安全儀表功能所提供的風(fēng)險降低程度的度量。3.1.15基本過程控制系統(tǒng)basicprocesscontrolsystem響應(yīng)過程測量以及其他相關(guān)設(shè)備、其他儀表、控制系統(tǒng)或操作員的輸入信號，按過程控制規(guī)律、算法、方式，產(chǎn)生輸出信號實現(xiàn)過程控制及其相關(guān)設(shè)備運行的系統(tǒng)，但它不執(zhí)行任何SIF。3.1.16測量儀表sensor(measurementinstrument)安全儀表系統(tǒng)的組成部分，測量過程變量的設(shè)備。3.1.17邏輯控制器logicsolver安全儀表系統(tǒng)的組成部分，執(zhí)行邏輯功能的設(shè)備。3.1.18最終執(zhí)行機構(gòu)finalelement安全儀表系統(tǒng)的組成部分，執(zhí)行邏輯控制器指令或設(shè)定的動作，使過程達(dá)到安全狀態(tài)的設(shè)備。3.1.19故障fault可導(dǎo)致功能單元執(zhí)行要求功能的能力降低或喪失的異常狀況。3.1.20失效failure功能單元某種功能或執(zhí)行能力的喪失。3.1.21失效率failurerate正常工作的產(chǎn)品在單位時間內(nèi)失效的概率。3.1.22危險失效dangerousfailure可導(dǎo)致安全儀表系統(tǒng)處于潛在危險或喪失功能的失效。3.1.23安全失效safefailureSH/T3225—2024不可能導(dǎo)致安全儀表系統(tǒng)處于潛在危險或喪失功能的失效。3.1.24共因失效commoncausefailure由單一事件引起的、在不同設(shè)備上同時發(fā)生的失效，這些失效相互之間無因果關(guān)系。3.1.25共模失效commonmodefailure不同設(shè)備的并發(fā)失效，這些失效具有相同的失效模式，即相同故障。3.1.26表決voting構(gòu)成安全儀表功能子系統(tǒng)的一個或多個組件之間的邏輯關(guān)系。3.1.27要求時危險失效平均概率averageprobabilityofdangerousfailureondemand安全儀表功能發(fā)生危險失效且不能按要求執(zhí)行其安全功能的平均概率，與安全儀表功能所提供的風(fēng)險降低量級有關(guān)。3.1.28冗余redundancy采用獨立執(zhí)行同一個功能的二個或多個部件或系統(tǒng)，互為備用及切換。3.1.29故障裕度faulttolerance出現(xiàn)故障或錯誤時，功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力。3.1.30故障安全failsafe安全儀表系統(tǒng)發(fā)生故障時，使被控制過程轉(zhuǎn)入預(yù)定安全狀態(tài)。3.1.31診斷覆蓋率diagnosticcoverage被診斷檢測到的危險失效率占總的危險失效率的百分比。診斷覆蓋率不包括任何被檢驗測試檢測到的故障。3.1.32平均失效間隔時間meantimebetweenfailures相鄰兩次失效間隔時間的平均值。3.1.33平均無失效時間meantimetofailures工作單元失效前正常工作的平均時間，也稱平均無故障時間、平均失效前時間。3.1.34平均恢復(fù)時間meantimetorestoration完成功能完全恢復(fù)的預(yù)計時間，包括檢測到失效的時間、開始維修前的時間、有效維修的時間和組件恢復(fù)運行前的時間之和。3.1.35結(jié)構(gòu)約束architecturalconstraints表決所需的設(shè)備數(shù)量與硬件故障裕度所需設(shè)備數(shù)量的綜合限制。3.1.36系統(tǒng)性能力systematiccapability當(dāng)設(shè)備根據(jù)安全手冊規(guī)定的說明進(jìn)行應(yīng)用時，設(shè)備的系統(tǒng)性安全完整性達(dá)到規(guī)定SIL要求的置信度的度量（表示為SC1到SC4共四個等級其與特定的安全功能有關(guān)。3.1.37檢驗測試prooftest為檢測出安全儀表系統(tǒng)中隱藏的危險失效而執(zhí)行的周期性測試，以期在必要時通過維護使系統(tǒng)恢復(fù)成“全新”狀態(tài)或者盡可能接近該狀態(tài)。3.1.384SH/T3225—2024功能安全functionsafety與過程控制系統(tǒng)有關(guān)的整體安全的一部分，取決于安全相關(guān)系統(tǒng)和其他風(fēng)險減少措施的正確運行。3.1.39安全失效分?jǐn)?shù)safefailurefraction子系統(tǒng)的安全失效率與危險可檢測失效率的和值與子系統(tǒng)總失效率之間的比例分?jǐn)?shù)。3.1.40使能條件enablingcondition導(dǎo)致場景發(fā)生、發(fā)展的必要條件，但不會直接導(dǎo)致場景發(fā)生。3.1.41運行模式modeofoperation安全儀表功能運行的方式，分為低要求模式、高要求模式和連續(xù)模式：低要求模式：在這種運行模式下，SIF只有在要求時才動作，以將過程導(dǎo)入一個特定的安全狀態(tài)，并且要求的頻率不大于一年一次。高要求模式：在這種運行模式下，SIF只有在要求時才動作，以將過程導(dǎo)入一個特定的安全狀態(tài)，并且要求的頻率大于一年一次。連續(xù)模式：在這種運行模式下，SIF作為正常運行的一部分保持過程處于一種安全狀態(tài)。3.1.42保護層分析layerofprotectionanalysis通過分析事故場景初始事件、后果和獨立保護層，對事故場景風(fēng)險進(jìn)行半定量評估的一種系統(tǒng)方法。3.1.43過程安全時間processsafetytime如果安全儀表功能未執(zhí)行，從過程失效或基本過程控制系統(tǒng)失效（潛在的增加危險事件的可能性）直至過程發(fā)生超安全設(shè)計工況并導(dǎo)致危險事件發(fā)生之間的時間段。3.2縮略語下列縮略語適用于本標(biāo)準(zhǔn)。AP：應(yīng)用程序（ApplicationProgram）ALARP：最低合理可行原則（AsLowAsReasonablyPracticable）BPCS：基本過程控制系統(tǒng)（BasicProcessControlSystem）DC：診斷覆蓋率（DiagnosticCoverage）DTT：非勵磁聯(lián)鎖（De-energizedToTrip）EMI：電磁干擾（Electro-MagneticInterference）ETT：勵磁聯(lián)鎖（EnergizedToTrip）FE：最終執(zhí)行機構(gòu)（FinalElement/Finalactuator）FMEDA：失效模式影響與診斷分析（FailureModesEffectsandDiagnosticAnalysis）FTA：故障樹分析法（FaultTreeAnalysis）FVL：全可變語言（FullVariabilityLanguage）HAZOP：危險與可操作性分析（HAZardandOPerabilityanalysis）HFT：硬件故障裕度（HardwareFaultTolerance）IE：初始事件（InitiatingEvent）IPL：獨立保護層（IndependentProtectionLayer）LOPA：保護層分析（LayerOfProtectionAnalysis）LVL：有限可變語言（LimitedVariabilityLanguage）MPRT：最大允許維修時間（MaximumPermittedRepairTime）MTBF：平均失效間隔時間（MeanTimeBetweenFailures）MTTF：平均無失效時間（MeanTimeToFailures）MTTFSP：平均無誤停車失效時間（MeanTimeToFailuresonspurious）MTTR：平均恢復(fù)時間（MeanTimeToRestoration）SH/T3225—2024PFD：要求時危險失效概率（ProbabilityofdangerousFailureonDemand）PFDavg：要求時危險失效平均概率（averageProbabilityofdangerousFailureonDemand）PFH：每小時危險失效平均頻率（AveragefrequencyofadangerousFailureperHour）PHA：過程危險分析（ProcessHazardAnalysis）PST：部分行程測試（PartialStrokeTesting）RBD：可靠性方塊圖（ReliabilityBlockDiagram）RFI：射頻干擾（RadioFrequencyInterference）RRF：風(fēng)險降低因子（RiskReductionFactor）SA：安全有效性（SafetyAvailability）SC：系統(tǒng)性能力（SystematicCapability）SFF：安全失效分?jǐn)?shù)（SafeFailureFraction）SIF：安全儀表功能（SafetyInstrumentedFunction）SIL：安全完整性等級（SafetyIntegrityLevel）SIS：安全儀表系統(tǒng)（SafetyInstrumentedSystem）SRS：安全要求規(guī)格書（SafetyRequirementsSpecification）STR：誤停車率（SpuriousTripRate）TI：檢驗測試周期（proofTestInterval）4基本規(guī)定4.1SIS的安全完整性等級基本要求4.1.1SIS應(yīng)具有在工藝生產(chǎn)過程發(fā)生危險時將過程導(dǎo)向到預(yù)先設(shè)定的安全狀態(tài)的功能。4.1.2SIL定級應(yīng)在過程危險分析之后進(jìn)行，并應(yīng)滿足企業(yè)的風(fēng)險管理要求。4.1.3SIL定級宜優(yōu)先使用企業(yè)的風(fēng)險矩陣標(biāo)準(zhǔn)。當(dāng)企業(yè)沒有風(fēng)險矩陣標(biāo)準(zhǔn)時，可采用AQ/T3054或參考附錄C中的典型石油化工風(fēng)險矩陣。4.1.4在低要求模式下，每個SIF的SIL與PFDavg、RRF及SA的對應(yīng)關(guān)系應(yīng)符合表4.1.4要求。表4.1.4低要求模式下SIL與PFDavg、RRF及SA的對應(yīng)關(guān)系123RRF=1/PFD。在石油化工項目中的SIF不應(yīng)采用4.1.5在連續(xù)模式或高要求模式下，每個SIF的SIL與PFH的對應(yīng)關(guān)系應(yīng)符合表4.1.5要求。表4.1.5連續(xù)模式或高要求模式下SIL與PFH的對應(yīng)關(guān)系123在石油化工項目中的SIF不應(yīng)采用S4.1.6石油化工項目的SIF不應(yīng)采用SIL4。當(dāng)SIL定級要求需要采用SIL4等級的SIF時，則表示6SH/T3225—2024該工藝技術(shù)存在極大隱患，需要進(jìn)一步修改工藝設(shè)計，宜通過采用削減、緩解、替代、簡化等手段，實現(xiàn)本質(zhì)更安全的工藝設(shè)計，之后再重新分配保護層的安全功能，并充分考慮共因失效的影響。工藝設(shè)計宜采取下列措施之一以降低SIF的SIL要求：a）修改工藝流程，使過程風(fēng)險降低；b）增加機械保護層或其它IPL，使SIL小于或等于SIL3；c）對SIS聯(lián)鎖閥增加部分行程測試（PST）功能。4.1.7SIF運行模式的判定應(yīng)符合表4.1.7要求。表4.1.7SIF運行模式的判定4.1.8SIS系統(tǒng)的設(shè)計既應(yīng)符合生產(chǎn)過程的安全完整性要求又宜兼顧過程可用性要求。4.2SIS安全生命周期工作流程4.2.1SIS安全生命周期工作流程宜包括下列步驟的評估和設(shè)計工作。a）工藝包階段包括下列步驟：1）步驟①：工藝概念設(shè)計；2）步驟②：過程危險與風(fēng)險評估（PHA報告）。b）基礎(chǔ)工程設(shè)計階段包括下列步驟：1）步驟③：保護層安全功能分配（LOPA報告2）步驟④：SIF回路SIL定級（SIL等級定級報告3）步驟⑤：編制SIS的SRS技術(shù)要求；4）步驟⑥：SIS基礎(chǔ)工程設(shè)計。c）詳細(xì)工程設(shè)計階段包括下列步驟：步驟⑦：SIS詳細(xì)工程設(shè)計與SIL驗證（SIL驗證報告）。d）集成調(diào)試驗收階段包括下列步驟：步驟⑧：SIS集成、驗收測試與確認(rèn)（SIS集成組態(tài)文件、SIS驗收測試FAT、SAT報告、SISe）操作運行維護階段包括下列步驟：1）步驟⑨：SIS操作、運行與維護；2）步驟⑩：SIS周期性檢驗測試；3）步驟?：SIS變更。f）停用包括下列步驟：步驟?：SIS停用。4.2.2SIS安全生命周期工作流程可參照附錄A的圖A.1。4.3SIL評估工作流程4.3.1SIL評估工作流程宜包括SIL定級、SRS編制和SIL驗證3個階段。a）SIL定級階段包括下列步驟：1）步驟①：過程危險分析；2）步驟②：風(fēng)險評估；3）步驟③：確定SIF的目標(biāo)SIL。b）SRS編制階段包括下列步驟：步驟④：SRS編制。7SH/T3225—2024c）SIL驗證階段包括下列步驟：1）步驟⑤a：確定SIF設(shè)備；2）步驟⑤b：選擇SIF結(jié)構(gòu)；3）步驟⑤c：確定TI；4）步驟⑥：可靠性評估。4.3.2SIL評估工作總流程可參照附錄B的圖B.1。4.3.3SIL驗證工作流程可參照附錄B的圖B.2。5安全完整性等級定級5.1過程危險辨識與風(fēng)險評估5.1.1SIL定級前應(yīng)完成過程危險辨識與風(fēng)險評估，過程危險辨識與風(fēng)險評估宜采用HAZOP方法，HAZOP應(yīng)符合GB/T35320的相關(guān)規(guī)定。5.1.2過程危險辨識與風(fēng)險評估應(yīng)確定下列事項：a）風(fēng)險評估標(biāo)準(zhǔn)；b）過程危險與危險事件；c）導(dǎo)致危險事件的原因及發(fā)生的可能性等級；d）危險事件的后果及后果的嚴(yán)重性等級；e）風(fēng)險降低要求；g）SIF。5.1.3風(fēng)險評估標(biāo)準(zhǔn)宜采用企業(yè)的風(fēng)險矩陣；當(dāng)企業(yè)無風(fēng)險矩陣時，石油化工風(fēng)險矩陣可參照附錄C的表C.1，后果嚴(yán)重性等級、發(fā)生可能性等級可參照附錄C的表C.2、C.3確定。5.1.4對于識別出的SIF，應(yīng)完整描述其觸發(fā)條件、安全關(guān)鍵、執(zhí)行動作（包括復(fù)雜的動作關(guān)系）。5.1.5應(yīng)對過程危險辨識與風(fēng)險評估結(jié)果進(jìn)行記錄。5.2保護層分析5.2.1一般規(guī)定SIL的定級宜采用LOPA，LOPA宜符合AQ/T3054的相關(guān)規(guī)定。應(yīng)根據(jù)過程危險辨識與風(fēng)險評估報告篩選需要進(jìn)行LOPA的場景。5.2.2獨立保護層的確定IPL應(yīng)具有獨立性、有效性、可審查性、安全性和變更管理的要求。IPL應(yīng)滿足下列基本要求：a）同一事故場景中的IPL不應(yīng)為IE，且在設(shè)計條件下能夠獨立于其它保護層完成其安全功能；b）IPL應(yīng)具有要求的PFD，并至少將已經(jīng)確定的風(fēng)險降低10倍。BPCS的控制和/或聯(lián)鎖回路作為單個IPL時，其RRF不應(yīng)大于10，且應(yīng)滿足以下三個條件：a）控制和/或聯(lián)鎖回路應(yīng)處于連續(xù)的自動模式；b）控制和/或聯(lián)鎖回路應(yīng)處于連續(xù)的報警模式；c）控制和/或工藝聯(lián)鎖動作應(yīng)使過程處于安全狀態(tài)。報警及人員響應(yīng)作為IPL時，尚應(yīng)滿足下列要求：a）BPCS控制回路和同回路中的報警及人員響應(yīng)不應(yīng)同時作為兩個IPL；b）報警應(yīng)處于報警管理系統(tǒng)的有效管理之下；c）操作人員對報警應(yīng)具備及時和有效的響應(yīng)和處理能力。SIS的SIF作為IPL應(yīng)符合下列要求：a）SIF的測量儀表、邏輯控制器、最終執(zhí)行機構(gòu)在安全功能上應(yīng)獨立于BPCS；b）SIF的設(shè)計、組態(tài)、集成、檢驗測試和確認(rèn)、運行維護應(yīng)按GB/T21109的有關(guān)規(guī)定執(zhí)行；c）SIF響應(yīng)時間與過程滯后時間之和不應(yīng)超過過程安全時間的50％。8SH/T3225—2024物理防護作為IPL應(yīng)符合下列要求：a）安全泄放系統(tǒng)的能力應(yīng)滿足減緩風(fēng)險的要求；b）如在安全泄放設(shè)施的上下游有隔離閥，這些隔離閥應(yīng)定期維護且保持打開狀態(tài)；c）如泄放到大氣或尾氣處理系統(tǒng)，該場景應(yīng)被作為次要場景，應(yīng)另外進(jìn)行評估。釋放后保護措施作為IPL時，應(yīng)僅限于可燃和有毒液體外泄場景。其風(fēng)險消減能力應(yīng)經(jīng)量化的后果計算后確定。管理程序作為IPL僅用于非正常運行的特殊工況，并應(yīng)滿足IPL的基本要求。下列情況不應(yīng)作為IPL：a）如果IE是一個BPCS的控制回路，則該控制回路不應(yīng)作為IPL；b）培訓(xùn)和取證，正常的測試和檢測、維護、通信、標(biāo)識、火災(zāi)保護等不應(yīng)作為IPL；c）在嚴(yán)重及以上后果（三人及以上死亡）的事故場景下，報警及人員響應(yīng)不應(yīng)作為IPL；d）工廠和社區(qū)應(yīng)急響應(yīng)不應(yīng)作為未發(fā)生事故前的IPL。5.2.3初始事件發(fā)生頻率IE發(fā)生頻率宜使用行業(yè)通用的數(shù)據(jù)庫，當(dāng)企業(yè)有歷史統(tǒng)計數(shù)據(jù)時，也可采用企業(yè)統(tǒng)計數(shù)據(jù)或?qū)π袠I(yè)通用數(shù)據(jù)庫進(jìn)行修正。IE發(fā)生頻率在分析中選用的原則宜一致。5.2.4使能條件與條件概率存在使能條件時，可根據(jù)使能事件或條件發(fā)生概率對場景頻率進(jìn)行修正。使能條件應(yīng)包括時間風(fēng)險使能條件和生產(chǎn)模式使能條件。當(dāng)后果存在火災(zāi)爆炸風(fēng)險、人員中毒及傷害風(fēng)險時，可根據(jù)導(dǎo)致該嚴(yán)重后果的條件概率對不同后果場景頻率進(jìn)行修正。條件概率可根據(jù)下列因素確定：a）點火概率；b）人員暴露概率；c）人員受傷或致死概率。5.2.5風(fēng)險降低因子的確定當(dāng)BPCS作為IPL時，其RRF應(yīng)符合下列要求：a）BPCS作為IE時，在同一個場景中BPCS作為IPL只能使用一次且RRF應(yīng)小于或等于10；b）BPCS不作為IE時，在同一個場景中BPCS作為IPL不應(yīng)超過兩次，BPCS合計RRF應(yīng)小于或等于100。當(dāng)報警及人員響應(yīng)作為IPL時，RRF應(yīng)小于或等于10；當(dāng)多個報警及人員響應(yīng)作為IPL時，RRF仍應(yīng)小于或等于10。當(dāng)單個高可靠度的物理保護作為IPL時，RRF應(yīng)小于或等于100。IPL的PFD及RRF參見附錄D。5.3SIL定級報告5.3.1SIL定級報告應(yīng)至少包括以下內(nèi)容：a）項目概況；b）分析目的；c）風(fēng)險可容許標(biāo)準(zhǔn)；d）場景識別及IE和IE發(fā)生頻率、條件概率；f）場景風(fēng)險和頻率的計算結(jié)果；g）風(fēng)險評估與為滿足風(fēng)險標(biāo)準(zhǔn)要求而給出的改善建議；h）每個SIF回路的位號、測量儀表位號、執(zhí)行機構(gòu)位號、功能描述、觸發(fā)條件、安全關(guān)鍵、執(zhí)行動作（包括復(fù)雜的動作關(guān)系）、要求的SIL及RRF；9SH/T3225—2024i）SIL定級所使用的圖紙、說明書、數(shù)據(jù)表和危險分析報告等的清單（包括版本號j）SIL定級的小組成員名單。5.3.2如采用LOPA方法，SIL定級報告尚應(yīng)符合AQ/T3054的相關(guān)規(guī)定。6安全要求規(guī)格書6.1編制原則6.1.1SRS的編制原則應(yīng)基于風(fēng)險可容許標(biāo)準(zhǔn)，依據(jù)危險辨識與風(fēng)險評估得出的風(fēng)險降低要求，確定SIL評估、工程設(shè)計、硬件系統(tǒng)集成、軟件組態(tài)編程、系統(tǒng)測試驗收、運行維護要求和安全管理策略。6.1.2依據(jù)本標(biāo)準(zhǔn)設(shè)計的SIS安全完整性應(yīng)符合GB/T21109.1的規(guī)定。6.1.3SRS提出的功能安全要求應(yīng)清晰、明確，可驗證、可維護、可操作，能用于規(guī)范SIS生命周期各階段的使用者理解和執(zhí)行。6.2內(nèi)容要求6.2.1SRS的主要內(nèi)容宜包括下列要求：a）列出所有SIF的編號、名稱和功能描述清單；b）列出各個SIF相關(guān)的輸入輸出儀表位號及邏輯表決關(guān)系；c）識別并考慮共因失效率(β)及消除措施要求；d）定義每個已識別的SIF的IE、觸發(fā)原因和每個危險事件的過程安全狀態(tài)；e）當(dāng)存在多個SIF同時動作可能導(dǎo)致額外風(fēng)險情況時，對其安全操作和安全狀態(tài)分別進(jìn)行定義；f）識別每個SIF的危險源（要求源）和確定危險發(fā)生的概率（要求率g）分別確定測量儀表、邏輯控制器、最終執(zhí)行機構(gòu)的TI及實施的相關(guān)要求；h）確定每個SIF將工藝參數(shù)從操作狀態(tài)置于安全狀態(tài)的響應(yīng)時間要求；i）列出每個SIF的SIL等級和運行模式；j）列出SIS過程測量變量、量程范圍、報警設(shè)定值及聯(lián)鎖設(shè)定值等；k）列出SIF輸出動作及最終狀態(tài)要求；l）說明每個SIF輸入與輸出之間的功能關(guān)系，包括邏輯關(guān)系、數(shù)學(xué)函數(shù)、延時與時序及允許或旁路等要求；m）說明每個SIF手動停車要求；n）說明每個SIF的動作方式：DTT或ETT的相關(guān)要求；o）說明每個SIF啟動、聯(lián)鎖動作后的復(fù)位、再啟動允許（Re-startuppermissive）及重啟程序的具體要求；p）說明SIF最高允許的STR；q）說明每個SIF的失效模式和SIF對失效的預(yù)期響應(yīng)要求；r）說明SIS與其它系統(tǒng)之間的所有接口要求，包括SIS與BPCS的通信接口、SIS的人機接口s）說明工藝裝置的運行模式及每種模式下對SIF的相關(guān)要求；t）識別工藝裝置內(nèi)某單元或設(shè)備的正常和異常過程運行模式，說明是否需要額外增加SIF；u）說明旁路/禁止/超馳（Bypass/Inhibit/Override）的設(shè)置和取消的要求及旁路/禁止/超馳期間的管理要求，說明維護旁路（MOS）、操作旁路（OOS）的不同要求；v）說明SIS檢測到故障事件時，為達(dá)到或保持過程的安全狀態(tài)需采取的必要措施，及所有相關(guān)的人為因素；w）確定SIS合理的MTTR，綜合考慮備品備件存儲、地理位置、路程時間、服務(wù)合同、環(huán)境限制x）識別需要避免的SIS輸出狀態(tài)的關(guān)聯(lián)危險；y）識別在運輸、儲存、安裝及運行過程中SIS可能遇到的所有極端環(huán)境條件，包括溫度、濕度、污染物、接地、電磁干擾（EMI）、射頻干擾（RFI）、撞擊、振動、靜電、防爆、雷電、洪澇、腐蝕及其它相關(guān)因素；z）確定在發(fā)生重大意外事故時，對SIF的特殊要求，包括控制閥在發(fā)生火災(zāi)事故時保持正常操SH/T3225—2024作的時間、電纜的防火要求等。6.2.2在SIS中的應(yīng)用程序（AP）宜包括下列安全要求：a）列出AP支持的SIF功能及SIL等級；b）列出實時性能參數(shù)，如CPU負(fù)荷、通信負(fù)荷等；c）說明程序時序及時間延遲；d）說明設(shè)備和操作員接口及其可操作性；e）確定各種運行模式AP的要求；f）確定對異常測量結(jié)果，如測量儀表超量程、欠量程、變動幅度過大、測量值凍結(jié)、檢測線路開路/短路等，應(yīng)采取的措施；g）確定AP運行所需的外部設(shè)備（如測量儀表和最終執(zhí)行機構(gòu)）的檢驗測試及診斷要求；h）說明AP的監(jiān)控，如應(yīng)用看門狗、數(shù)據(jù)有效性確認(rèn)；i）說明SIS內(nèi)其他設(shè)備的監(jiān)控，如測量儀表；j）確定在工藝運行時SIF實施周期性測試的相關(guān)要求；k）列出參考輸入文件，如SIF清單、SIS配置或結(jié)構(gòu)、SIS硬件安全完整性要求；l）確定對通信接口的要求，如對接收和發(fā)送的數(shù)據(jù)或指令的限制措施、數(shù)據(jù)有效性檢查；m）識別并避免AP產(chǎn)生的過程危險狀態(tài)，如同時關(guān)閉兩個氣體隔離閥可能產(chǎn)生壓力波動，從而導(dǎo)致危險狀態(tài)；n）確定AP的其他安全要求，如聯(lián)鎖設(shè)定值的修改保護措施、AP的響應(yīng)時間、功能驗收測試、變更管理等。7安全完整性等級驗證7.1一般規(guī)定7.1.1每個SIF回路的SIL驗證計算結(jié)果應(yīng)符合SIL定級報告或SRS所要求的SIL及RRF的目標(biāo)值要求；當(dāng)SIL定級報告或SRS沒有給出具體的目標(biāo)值時，目標(biāo)值應(yīng)符合表4.1.4和表4.1.5，采用要求達(dá)到的SIL等級所對應(yīng)的PFDavg范圍或PFH范圍。7.1.2SIL定級報告中SIL大于或等于1的SIF回路應(yīng)進(jìn)行SIL驗證，SIL驗證應(yīng)實施SIF硬件安全完整性驗證；SIL驗證可包括系統(tǒng)安全完整性評估。7.1.3SIF硬件安全完整性應(yīng)由表征硬件結(jié)構(gòu)約束的HFT和表征硬件隨機失效所對應(yīng)的PFDavg值或PFH值確定。7.1.4SIF系統(tǒng)安全完整性應(yīng)由表征系統(tǒng)性失效的系統(tǒng)性能力（SC）經(jīng)過評估確定。7.1.5依據(jù)SIF的運行模式，應(yīng)采用不同的量化指標(biāo)進(jìn)行SIL驗證計算。低要求模式的SIL和RRF值由計算PFDavg值確定；高要求模式或連續(xù)模式的SIL由計算PFH值確定。7.1.6對于誤停車將造成重大的經(jīng)濟損失或者導(dǎo)致額外的工藝過程危險的SIF，應(yīng)對每個SIF回路計算MTTFsp或STR。計算結(jié)果應(yīng)符合項目設(shè)計的目標(biāo)值要求。7.1.7SIL驗證的范圍不應(yīng)包括下列功能回路：a）SIL定級報告中定級為SIL0及SILa的回路；b）涉及人員干預(yù)的緊急停車按鈕、開關(guān)；c）包含在SIS邏輯中但不屬于SIF的允許信號（開車/啟動/點火等）、操作旁路（OOS）、維護旁路（MOS）信號及關(guān)聯(lián)的非SIF聯(lián)鎖；d）非安全關(guān)鍵的最終執(zhí)行機構(gòu)；e）未參與SIF的SIS控制閥閥位或限位開關(guān)信號。7.2硬件結(jié)構(gòu)約束驗證7.2.1每個SIF均應(yīng)滿足結(jié)構(gòu)約束的要求，結(jié)構(gòu)約束要求宜通過硬件故障裕度（HFT）的要求表達(dá)。7.2.2應(yīng)對SIF的測量儀表、邏輯控制器、最終執(zhí)行機構(gòu)等子系統(tǒng)分別確定HFT。SH/T3225—20247.2.3在確定HFT時，宜兼顧工藝過程的可用性要求。7.2.4在確定SIF子系統(tǒng)的HFT時，對于符合GB/T21109以往使用原則的儀表設(shè)備，其最低HFT應(yīng)符合表7.2.4要求，并且FVL和LVL可編程設(shè)備的DC不應(yīng)小于60％。表7.2.4最低硬件故障裕度HFT要求10202131427.2.5失效量計算中使用的可靠性數(shù)據(jù)應(yīng)由不小于70％的統(tǒng)計置信區(qū)間上限確定。7.2.6在確定SIF子系統(tǒng)的HFT時，對于符合GB/T20438并取得了SIL認(rèn)證的儀表設(shè)備，最低HFT應(yīng)符合GB/T20438的路徑1H或路徑2H的相關(guān)要求。7.3PFDavg驗證計算的PFDavg值由各子系統(tǒng)的平均PFD值相加獲得，見式（7.3.1）。PFDSIF=ΣPFDSE+ΣPFDLS+ΣPFDFE+ΣPFDSS……………（7.3.1）式中：PFDSIF——SIF回路的PFDavg；PFDSE——測量儀表子系統(tǒng)的PFDavg；PFDLS——邏輯控制器子系統(tǒng)的PFDavg；PFDFE——最終執(zhí)行機構(gòu)子系統(tǒng)的PFDavg；PFDSS——輔助設(shè)備的PFDavg。7.3.2SIF子系統(tǒng)PFDavg的計算，應(yīng)確定下列因素：a）SIF子系統(tǒng)的架構(gòu)，包括同型表決、異型表決，以及實現(xiàn)某種計算功能的復(fù)雜架構(gòu)；b）硬件隨機失效模式、失效率；c）共因失效或共模失效的影響；d）自動在線診斷的DC；e）對自動診斷檢測出的危險失效，MTTR；f）TI以及檢驗測試覆蓋率；g）需在線檢驗測試時的檢驗測試持續(xù)時間；h）對于閥門類最終執(zhí)行機構(gòu)，應(yīng)考慮工藝物料物理和化學(xué)特性、閥門的密封等級、是否采用PST等因素對危險失效率的影響；i）非勵磁聯(lián)鎖（DTT）或勵磁聯(lián)鎖（ETT）。庫數(shù)據(jù)，及制造商直接提供的非認(rèn)證數(shù)據(jù)。應(yīng)說明可靠性數(shù)據(jù)的來源并確保性、可追溯性。7.3.4可靠性數(shù)據(jù)的確定應(yīng)依據(jù)現(xiàn)場使用環(huán)境和實際維護狀態(tài)等的影響，評估其不確定性。不確定性評估可參考GB/T20438和GB/T21109中的相關(guān)規(guī)定。7.3.5自動診斷對失效率的分類和影響，應(yīng)依據(jù)儀表選型時的故障安全程序和規(guī)程。SH/T3225—20247.3.7MTTR、在線檢驗測試持續(xù)時間，應(yīng)小于MPRT。MPRT由在旁路期間過程提供的補償和應(yīng)急措施的能力確定。7.3.8在閥門上采用PST措施時，認(rèn)定的危險失效DC應(yīng)低于70％。塊圖（RBD）、故障樹分析法（FTA以及馬爾可夫模型。失效不對該SIF造成影響，不宜納入SIL驗證計算。7.4SIF過程可用性驗證7.4.1SIF的過程可用性，應(yīng)通過對每個SIF回路計算MTTFsp或STR獲得，見式（7.4.1-1）和式（7.4.1-2）：STRSIF=ΣSTRSE+ΣSTRLS+ΣSTRFE+ΣSTRSS……………（7.4.1-1）MTTFsp=1/STRSIF……………（7.4.1-2）式中：STRSIF——SIF的誤停車率，次/年；STRSE——測量儀表子系統(tǒng)的誤停車率，次/年；STRLS——邏輯控制器子系統(tǒng)的誤停車率，次/年；STRFE——最終執(zhí)行機構(gòu)子系統(tǒng)的誤停車率，次/年；STRSS——輔助設(shè)備的的誤停車率，次/年；MTTFsp——平均無誤停車失效時間，年。7.4.2SIF子系統(tǒng)的MTTFsp或STR，應(yīng)確定下列因素：a）SIF子系統(tǒng)的架構(gòu)、儀表設(shè)備的安全失效率、輔助設(shè)備和子系統(tǒng)內(nèi)公用支持系統(tǒng)（例如電源、氣源）的安全失效率；b）在計算SIF的誤停車率時，不將無關(guān)失效和無影響失效歸類為安全失效；c）評估AP組態(tài)對過程可用性的影響。對于1oo1表決架構(gòu)，如AP中將可檢測出的危險失效(λDD）組態(tài)為關(guān)停動作，則將其納入誤停車率計算。7.4.3如初步計算出的PFDSIF和STRSIF不滿足項目的設(shè)計要求，應(yīng)調(diào)整冗余結(jié)構(gòu)、選用可靠性更高的儀表設(shè)備（影響PFDavg）、選用可用性更高的儀表設(shè)備（影響STR）、改進(jìn)AP中自診斷組態(tài)、調(diào)整工廠的大檢修周期等影響因素。7.5系統(tǒng)性能力評估7.5.1SC可用于SIF的SIL驗證。7.5.2SC分為SC1、SC2、SC3和SC4四級，如果SIF要求的SIL為SILn，則該子系統(tǒng)的SC應(yīng)大于或等于SCn。7.5.3PFDavg、結(jié)構(gòu)約束、SC等級應(yīng)同時滿足需求的SIL。SH/T3225—2024（資料性）SIS安全生命周期工作流程A.1SIS安全生命周期工作流程如圖A所示。圖ASIS安全生命周期工作流程SH/T3225—2024（資料性）SIL評估工作流程B.1SIL評估工作總流程如圖B.1所示。圖B.1SIL評估工作總流程SH/T3225—2024B.2SIL驗證工作流程如圖B.2所示。圖B.2SIL驗證工作流程SH/T3225—2024（資料性）典型石油化工風(fēng)險矩陣C.1典型石油化工風(fēng)險矩陣如表C.1所示。表C.1典型石油化工風(fēng)險矩陣類似的事件沒有在石油石化行業(yè)發(fā)生過，且發(fā)生的可能類似的事件沒有在石油石化行業(yè)發(fā)生過類似事件在石油石化行業(yè)發(fā)類似的事件在本集團曾經(jīng)發(fā)類似的事件在本企業(yè)相似設(shè)（使用壽命內(nèi)）或相似作業(yè)活動中發(fā)在設(shè)備設(shè)施（使用壽命內(nèi)）或相同作業(yè)活動中在設(shè)備設(shè)施（使用壽命內(nèi)）或相同作業(yè)中發(fā)生在設(shè)備設(shè)施或相同作業(yè)活動中經(jīng)常發(fā)生（至少10-10/年10-10/年年10-10/年年年>1/年重性等到重）112357223572357587說明：a）傷害后果需要考慮健康與安全影響、財產(chǎn)損失影響、非財務(wù)與社會影響三類，按嚴(yán)重性從輕微到特別重大分為7個等級，依次A、B、C、D、E、F和G，后果嚴(yán)重性等級分類詳見表C.2。其中重傷標(biāo)準(zhǔn)、事故直接經(jīng)濟損失按相關(guān)規(guī)定執(zhí)行。b）傷害后果發(fā)生的可能性從低到高分為8個等級，依次為1、2、3、4、5、6、7和8，可能性分級詳見表C.3。c）對于某風(fēng)險的具體風(fēng)險等級，應(yīng)取三種后果中最高的風(fēng)險等級，采用后果嚴(yán)重性等級的代表字母和可能性等級數(shù)字組合表示。例如：當(dāng)后果等級為A，可能性等級為7時，其對應(yīng)的風(fēng)險等級為A7。d）風(fēng)險級別分為重大風(fēng)險（紅色）、較大風(fēng)險（橙色）、一般風(fēng)險（黃色）和低風(fēng)險（藍(lán)色）4個級別。e）容忍風(fēng)險（TolerableRisk）是ALARP區(qū)域的上限值，當(dāng)超過該值時，風(fēng)險屬于不可容忍風(fēng)險?？山邮茱L(fēng)險（AcceptableRisk）是ALARP區(qū)域的下限值，小于等于該值時，風(fēng)險屬于廣泛可接受的風(fēng)險。該表中廠內(nèi)人員年度累計死亡風(fēng)險上限值為10-3、下限值為10-5，具體可根據(jù)企業(yè)管理要求確定。f）廠外人員年度累計死亡風(fēng)險執(zhí)行GB36894個人風(fēng)險基準(zhǔn)值，其符合性應(yīng)經(jīng)定量風(fēng)險評估確定。SH/T3225—2024C.2后果嚴(yán)重性等級如表C.2所示。表C.2后果嚴(yán)重性等級等級A1.急救處理或醫(yī)療處理，但2.短時間暴露超標(biāo)，引起身事故直接經(jīng)濟損失在10萬元民短期內(nèi)不滿、抱怨或投訴（如抱怨設(shè)施噪聲超B直接經(jīng)濟損失排放很少量的有毒有害污2.對當(dāng)?shù)毓苍O(shè)施的日常運行造成干擾（如導(dǎo)致某道路在24小時內(nèi)無法正C2.暴露超標(biāo)，帶來長期健康影響或造成職業(yè)相關(guān)的嚴(yán)重直接經(jīng)濟損失1～2套裝置停造成嚴(yán)重的安全后果或不會導(dǎo)致地方政府相關(guān)監(jiān)管3.在當(dāng)?shù)卦斐刹焕纳鐣绊?。對?dāng)?shù)毓苍O(shè)施的D1.界區(qū)內(nèi)1～2人死亡；3～9直接經(jīng)濟損失區(qū)域的火災(zāi)爆1.因污染物排放造成企業(yè)水體及環(huán)境敏感區(qū)的油品的油品泄漏量10噸以上1003.危險化學(xué)品以污水形式1.引起地方政府相關(guān)監(jiān)管部門采取強制性措施；2.引起國內(nèi)或國際媒體E1.界區(qū)內(nèi)3～9人死亡；10人2.界區(qū)外1～2人死亡，3～9事故直接經(jīng)濟損失1000萬元1.因污染物排放造成企業(yè)眾的正常生活受到嚴(yán)重影水體及環(huán)境敏感區(qū)的油品在非環(huán)境敏感區(qū)的油品泄1.引起國內(nèi)或國際媒體2.造成省級范圍內(nèi)的不利社會影響；對省級公共設(shè)施的日常運行造成嚴(yán)重3.引起了省級政府相關(guān)4.導(dǎo)致失去當(dāng)?shù)厥袌龅腟H/T3225—2024表C.2（續(xù)）等級3.危險化學(xué)品以污水形式4.因環(huán)境污染造成水源地保護的動植物物種受到破F1.界區(qū)內(nèi)10人及以上，30人以下死亡；50人及以上，1002.界區(qū)外3～9人死亡；10人事故直接經(jīng)濟損失5000萬元1.因污染物排放使當(dāng)?shù)厝核w及環(huán)境敏感區(qū)的油品在非環(huán)境敏感區(qū)的油品泄3.危險化學(xué)品以污水形式4.因環(huán)境污染造成水源地點保護的動植物物種受到5.國際區(qū)域性嚴(yán)重環(huán)境事1.引起了國家相關(guān)部門2.在全國范圍內(nèi)造成嚴(yán)3.引起國內(nèi)國際媒體重G將導(dǎo)致工廠界區(qū)內(nèi)或界區(qū)外事故直接經(jīng)濟1.因污染物排放使當(dāng)?shù)厝河绊懫髽I(yè)所屬地區(qū)的社會水體及環(huán)境敏感區(qū)的油品在非環(huán)境敏感區(qū)的油品泄3.危險化學(xué)品以污水形式4.因環(huán)境污染造成水源地國家重點保護的動植物物種受到嚴(yán)重破壞或群體死或國務(wù)院、相關(guān)部委領(lǐng)導(dǎo)2.導(dǎo)致吊銷國際國內(nèi)主要市場的生產(chǎn)、銷售或經(jīng)3.引起國際國內(nèi)主要市場上公眾或投資人的強烈SH/T3225—2024C.3后果發(fā)生可能性等級如表C.3所示。表C.3發(fā)生可能性等級1類似的事件沒有在石油石化行業(yè)發(fā)生過，且2345類似的事件發(fā)生過或者可能在多個相似設(shè)備設(shè)施678>1SH/T3225—2024（資料性）減緩層降低風(fēng)險措施的PFDD.1主動安全泄壓裝置降低風(fēng)險措施的PFD如表D.1所示。表D.1主動安全泄壓裝置降低風(fēng)險措施的PFD有多個部分載荷的安全閥。超過一個安全閥N×10N×10011在泄放時會造成高分子聚合堵塞，這些特殊設(shè)D.2被動獨立保護層的PFD如表D.2所示。表D.2被動獨立保護層的PFDSH/T3225—2024[1]GB/T50770石油化工安全儀表系統(tǒng)設(shè)計規(guī)范[2]IEC61508-1Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part1:Generalrequirements[3]IEC61508-2Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part2:Requirementsforelectrical/electronic/programmableelectronicsafety-relatedsystems[4]IEC61508-3Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part3:Softwarerequirements[5]IEC61508-4Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part4:Definitionsandabbreviations[6]IEC61508-5Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part5:Examplesofmethodsforthedeterminationofsafetyintegritylevels[7]IEC61508-6Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part6:GuidelinesontheapplicationofIEC61508-2andIEC61508-3[8]IEC61508-7Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part7:Overviewoftechniquesandmeasures[9]IEC61511-1Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part1:Framework,definitions,system,hardwareandsoftwarerequirements[10]IEC61511-2Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part2:GuidelinesfortheapplicationofIEC61511-1[11]IEC61511-3Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part3:Guidanceforthedeterminationoftherequiredsafetyintegritylevels[12]ISATR84.00.02-2022Safetyintegritylevel(SIL)verificationofsafetyinstrumentedfunctions[13]APIRP556-2011(R2019)Instrumentationandcontrolsystemsforfiredheatersandsteamgenerators[14]T/CIS71001─2021化工安全儀表系統(tǒng)安全要求規(guī)格書編制導(dǎo)則SH/T3225—20241為便于在執(zhí)行本標(biāo)準(zhǔn)條文時區(qū)別對待，對要求嚴(yán)格程度不同的用詞說明如下：1）表示很嚴(yán)格，非這樣做不可的：正面詞采用“必須”，反面詞采用“嚴(yán)禁”；2）表示嚴(yán)格，在正常情況下均應(yīng)這樣做的：3）表示允許稍有選擇，在條件許可時首先應(yīng)這樣做的：正面詞采用“宜”，反面詞采用“不宜”；4）表示有選擇，在一定條件下可以這樣做的，采用“可”。2條文中指明應(yīng)按其他有關(guān)標(biāo)準(zhǔn)執(zhí)行的寫法為：“應(yīng)符合……的規(guī)定”或“應(yīng)按……執(zhí)行”。SH/T3225—2024中華人民共和國石油化工行業(yè)標(biāo)準(zhǔn)石油化工安全儀表系統(tǒng)安全完整性等級設(shè)計規(guī)范條文說明SH/T3225—2024SH/T3225—2024《石油化工安全儀表系統(tǒng)安全完整性等級設(shè)計規(guī)范》，經(jīng)工業(yè)和信息化部2024本標(biāo)準(zhǔn)制定過程中，編制組進(jìn)行了廣泛深入的調(diào)查研究，總結(jié)了近10年來我國石油化工工程建設(shè)中，石油化工安全儀表系統(tǒng)安全完整性等級在設(shè)計和應(yīng)用中的實踐經(jīng)驗，同時參考了大量國內(nèi)外石油化工行業(yè)及其他行業(yè)技術(shù)標(biāo)準(zhǔn)和有關(guān)資料，通過廣泛征求意見，認(rèn)真討論，分析研究，取得了共識。為便于廣大設(shè)計、施工、科研、學(xué)校等單位有關(guān)人員在使用本標(biāo)準(zhǔn)時能正確理解和執(zhí)行條文規(guī)定，《石油化工安全儀表系統(tǒng)安全完整性等級設(shè)計規(guī)范》編制組按章、條順序編制了本標(biāo)準(zhǔn)的條文說明，對條文規(guī)定的目的、依據(jù)以及執(zhí)行中需注意的有關(guān)事項進(jìn)行了說明。但是，本條文說明不具備與規(guī)范正文同等的法律效力，僅供使用者作為理解和把握規(guī)范規(guī)定的參考。SH/T3225—20243術(shù)語和縮略語 3.1術(shù)語和定義 4基本規(guī)定 4.1SIS的安全完整性等級基本要求 4.2SIS安全生命周期工作流程 5安全完整性等級定級 5.1過程危險辨識與風(fēng)險評估 5.2保護層分析 6安全要求規(guī)格書 6.2內(nèi)容要求 7安全完整性等級驗證 357.1一般規(guī)定 7.2硬件結(jié)構(gòu)約束驗證 357.3PFDAVG驗證計算 7.4系統(tǒng)性能力評估 36SH/T3225—2024石油化工安全儀表系統(tǒng)安全完整性等級設(shè)計規(guī)范3術(shù)語和縮略語3.1術(shù)語和定義3.1.1風(fēng)險risk1.危害發(fā)生可能性包括暴露于危險情況的概率、危險事件發(fā)生概率和避免或限制傷害的可能2.本條采用“危害”代替GB/T21109.1─2007的術(shù)語條目3.2.61采用的“傷害”更合理，因為“傷害”的對象一般指人，而“危害”的對象可以是人、物（設(shè)備、廠房等）、環(huán)境等。3.1.8安全儀表功能safetyinstrumentedfunction1.安全儀表功能（SIF）源于安全功能，SIF具有一個相關(guān)聯(lián)的安全完整性等級（SIL）并由一個特定的安全儀表系統(tǒng)（SIS）來執(zhí)行它。多個SIF有可能使用同一個SIS的設(shè)備。2.SIF設(shè)計用來達(dá)到一個要求的SIL，SIL由其他參與降低相同風(fēng)險的保護層決定。3.1.9安全儀表系統(tǒng)safetyinstrumentedsystem1.SIS由任意組合的測量儀表、邏輯控制器及最終執(zhí)行機構(gòu)組成。它也包括通信和輔助設(shè)備（如網(wǎng)絡(luò)交換機、網(wǎng)關(guān)、路由器、通信接口、人機界面、電源、安全柵、信號隔離器、電涌防護器、中間繼電器、電磁閥、導(dǎo)壓管等）。2.SIS可以包括軟件。3.1.19故障fault1.故障可能由部件本身的失效引發(fā)，也可能由生命周期早先階段（如規(guī)范、設(shè)計、制造或維護）的缺陷引發(fā)。2.當(dāng)一組特定的情況出現(xiàn)時，設(shè)備的一個故障會導(dǎo)致一個失效。3.故障和失效的關(guān)系參見GB/T20438.4-2017圖4。3.1.20失效failureGB/T21109.1-2022的3.2.18條定義：功能單元失去按要求執(zhí)行的能力。1.設(shè)備失效是導(dǎo)致設(shè)備出現(xiàn)某種故障狀態(tài)的事件。2.如果能力的喪失是由一個潛在故障引起，一旦特定的一組條件出現(xiàn)，則失效發(fā)生。3.執(zhí)行要求的功能必定會排除某些行為，把某些功能定義為要避免出現(xiàn)的行為，這些行為的出現(xiàn)就是失效。4.失效是隨機性的或系統(tǒng)性的。3.1.24共因失效commoncausefailure1.由一個共因引起的所有失效未必恰好在同一時間發(fā)生,因此在SIF實際失效前有一定時間來檢測共因的發(fā)生。2.共因失效也可能導(dǎo)致共模失效。3.共因失效的可能性降低了系統(tǒng)冗余或故障裕度的效果(如增加了多通道系統(tǒng)中兩個或更多通道的失效概率)。4.共因失效是相關(guān)失效,可能由外部事件（如溫度、濕度、過電壓、火災(zāi)、腐蝕）、系統(tǒng)性故障（如設(shè)計的、組裝的或安裝的錯誤、缺陷）、人為錯誤（如誤用）等引起。5.單個共因失效是屬于一組并發(fā)失效中的一個失效。3.1.25共模失效commonmodefailureSH/T3225—20241.共模失效可能由不同的原因引起。2.共模失效也可能是共因失效的結(jié)果。3.共模失效的可能性降低了系統(tǒng)冗余和故障裕度的效果（如兩個或更多通道以相同的方式失效，4.單個共模失效是屬于一組并發(fā)失效中的一個失效。3.1.31診斷覆蓋率diagnosticcoverage系統(tǒng)自我診斷檢測故障能力的度量。1.診斷覆蓋率（DC）通常應(yīng)用于SIS設(shè)備或SIS子系統(tǒng)。如通常為測量儀表、邏輯控制器及最終執(zhí)行機構(gòu)分別確定診斷覆蓋率。2.對于安全應(yīng)用，DC通常應(yīng)用于SIS設(shè)備或SIS子系統(tǒng)的危險失效。例如，一個設(shè)備的危險失效的診斷覆蓋率為：DC=λDD/λDT…………（1）式中：DC——診斷覆蓋率,%；λDD——檢測到的危險失效率；λDT——總的危險失效率；3.對于一個具有內(nèi)部冗余的SIS子系統(tǒng)，DC與時間有關(guān)：DC(t)=λDD(t)/λDT(t) 4.當(dāng)給出DC和總的危險失效率(λDT)，檢測到的危險失效率(λDD)和未檢測到的危險失效率(λDU)可以按照如下公式計算得出：λDD=DC×λDT λDU=(1-DC)×λDT （4）式中：λDU——未檢測到的危險失效率。3.1.32平均失效間隔時間MeantimebetweenfailuresMTTR、MTTF和MTBF之間的關(guān)系如圖1所示，MTBF為MTTR與MTTF之和。圖1MTTR、MTTF和MTBF之間的關(guān)系3.1.33平均無失效時間Meantimetofailures計算公式：MTTFSP=1/STR…………（5）式中：MTTFSP——平均無誤停車失效時間，年；STR——誤停車率，次/年。SH/T3225—20243.1.36系統(tǒng)性能力systematiccapability1.系統(tǒng)性能力參照GB/T20438.2-2017和GB/T20438.3-2017中系統(tǒng)性故障的避免和控制要求確定。2.系統(tǒng)性失效機制取決于設(shè)備的特性。對于只由硬件組成的設(shè)備，只考慮硬件失效機制；對于由硬件和軟件組成的設(shè)備，則需要考慮硬件和軟件失效機制間的相互影響。3.某設(shè)備SCN的系統(tǒng)性能力是指當(dāng)設(shè)備按照安全手冊規(guī)定的SCN要求應(yīng)用時，此設(shè)備達(dá)到了SCN的系統(tǒng)性安全完整性。3.1.39安全失效分?jǐn)?shù)safefailurefraction計算公式：安全失效分?jǐn)?shù)： 安全失效率：S=SU 危險失效率：D=DU 式中：S——安全失效率；D——危險失效率；SD——可檢測的安全失效率；SU——不可檢測的安全失效率；DD——可檢測的危險失效率；DU--不可檢測的危險失效率。3.1.41運行模式modeofoperation符合GB/T21109.1-2022（IEC61511-1：2016）的3.2.39條定義，同時符合GB/T20438.4-2017（IEC61508-4：2010）的3.5.16條。3.1.43過程安全時間processsafetytime全設(shè)計工況”。過程安全時間的起點從“過程失效或基本過程控制系統(tǒng)失效”開始，即從過程變量超過預(yù)先設(shè)定的緊急停車（EmergencyShutdown-ESD）或緊急泄壓（EmergencyDe-pressure-EDP）限值（如：高高、低低等）開始，終點為“過程發(fā)生超安全設(shè)計工況”（如：超過設(shè)計溫度、設(shè)計壓力、腐蝕裕度等）并可能導(dǎo)致危險事件發(fā)生（如：泄漏、破裂、著火、爆炸等不可逆狀態(tài)）為止的時間間隔，如圖2所示。SH/T3225—2024圖2過程安全時間與SIS響應(yīng)時間的關(guān)系2.另外2個涵義相近似的標(biāo)準(zhǔn)是：（1）APIRP556-2011(R2019)的條定義：過程安全時間是導(dǎo)致不可接受工藝偏離的初始事件和危險事件之間的時間間隔。（2）CCPS在“GuidelinesforSafeandReliableInstrumentedProtectiveSystems”中的定義：工藝過程或其控制系統(tǒng)發(fā)生故障時與危險的事件發(fā)生之間的時間段。3.用于確定SIS響應(yīng)時間是否合理的過程安全時間具備以下特點：（1）根據(jù)起始點和終止點的不同，過程安全時間由若干段時間組成；（2）過程安全時間是由工藝過程固有特性決定的；（3）計算過程安全時間時，應(yīng)在一定的預(yù)期故障場景下進(jìn)行計算；（4）時間的起始點應(yīng)是從觸發(fā)聯(lián)鎖開始計時；（5）時間的終止點應(yīng)是達(dá)到危險不可逆狀態(tài)的時間點。4基本規(guī)定4.1SIS的安全完整性等級基本要求4.1.6石油化工項目的SIF不應(yīng)使用SIL4等級，如果存在的風(fēng)險需要SIL4的保護層來降低的話，則意味著該工藝路線存在極大隱患，需要進(jìn)一步修改工藝設(shè)計，可通過采用較溫和操作條件，更換較安全的化學(xué)品、更換更為安全的設(shè)備材質(zhì)、提高設(shè)備的設(shè)計等級、增加機械安全防護措施等方法實現(xiàn)相對安全的工藝技術(shù)。4.1.7在低要求模式或高要求模式下運行的SIF，具有以下特征。1.SIF發(fā)生危險失效時,危險事件只會在下列情況下發(fā)生：（1）失效未被檢測到并且在下次檢驗測試前發(fā)生要求；（2）診斷測試檢測到失效，但是相應(yīng)過程及其有關(guān)設(shè)備沒有在要求發(fā)生前進(jìn)入安全狀態(tài)。2.在高要求模式下，通常使用連續(xù)模式標(biāo)準(zhǔn)是合適的。在連續(xù)模式下運行的SIF，具有以下特征：1.SIF發(fā)生危險失效時，除非在過程安全時間內(nèi)采取預(yù)防措施，否則無需進(jìn)一步失效就將發(fā)生危險事件。SH/T3225—20242.連續(xù)模式涵蓋執(zhí)行連續(xù)控制以保持功能安全的SIF。4.1.8過程可用性可通過STR或MTTFsp計算得出。過程可用性既要滿足企業(yè)可接受風(fēng)險，又要滿足企業(yè)長周期運行需要，一般為5倍～10倍的大檢修周期。4.2SIS安全生命周期工作流程4.2.1工藝包階段并非必須包括步驟a）2a)2)也可以放在b)階段執(zhí)行。5安全完整性等級定級5.1過程危險辨識與風(fēng)險評估5.1.1過程危險辨識與風(fēng)險評估的方法有很多種，HAZOP分析方法能夠詳細(xì)分析并記錄事故的因果邏輯及危害程度，詳細(xì)的事故的因果邏輯及危害程度可以作為保護層分析（LOPA）的重要輸入。5.1.2f)風(fēng)險降低措施通?？梢杂瑟毩⒈Ｗo層承擔(dān)，石油化工裝置常用的風(fēng)險降低獨立保護層包括：1.本質(zhì)安全設(shè)計；2.基本過程控制系統(tǒng)；3.及時、有效的報警和人員響應(yīng)；4.安全儀表功能；5.可燃和有毒氣體泄漏檢測報警系統(tǒng)、火災(zāi)報警系統(tǒng)；6.安全閥、爆破片、機械聯(lián)鎖、噴淋、蒸汽幕等物理保護；7.防火堤、圍堰、集液池、隔離溝等釋放后保護措施；8.工廠和社區(qū)應(yīng)急響應(yīng)（有條件，見條文說明）。5.1.4SIL定級分析表包括SIF編號、SIF標(biāo)識、SIF描述、最終執(zhí)行機構(gòu)、初始原因（描述、失效概率）、SIL定級結(jié)果、建議措施及備注等。“安全關(guān)鍵”動作指的是該動作是將工藝過程轉(zhuǎn)入安全狀態(tài)必不可少的動作，只有該動作的有效執(zhí)行才能將工藝過程轉(zhuǎn)入安全狀態(tài)。非安全關(guān)鍵動作指的是該動作不是將工藝過程轉(zhuǎn)入安全狀態(tài)必不可少的動作，該動作的非有效執(zhí)行不會影響工藝過程轉(zhuǎn)入安全狀態(tài)。非安全關(guān)鍵動作可能出于下次開車的便利等因素的考慮。5.2保護層分析5.2.1一般規(guī)定當(dāng)石油化工過程為非“兩重點一重大”時，可采用風(fēng)險圖法或其他分析方法進(jìn)行安全完整性等級定級?？梢钥紤]進(jìn)行LOPA的場景如下：1.HAZOP分析后果嚴(yán)重程度高的（比如，后果嚴(yán)重程度為人身傷亡1至2人的場景和后果嚴(yán)重程度更高的場景2.HAZOP分析得出的風(fēng)險等級（剩余風(fēng)險1a）較高的（根據(jù)風(fēng)險標(biāo)準(zhǔn)確定3.可能性等級較高（舉例：發(fā)生頻率大于101次/年4.“兩重點一重大”中重點監(jiān)管化學(xué)品工藝中定義的聯(lián)鎖和緊急停車系統(tǒng)相關(guān)的聯(lián)鎖；5.行業(yè)、地方、企業(yè)集團公司要求的聯(lián)鎖、重點安全回路；6.HAZOP分析得出的分險等級（剩余風(fēng)險1a）為一般等級的（根據(jù)風(fēng)險標(biāo)準(zhǔn)確定屬于ALARP區(qū)域時，由業(yè)主和評估單位共同協(xié)商確定是否進(jìn)行LOPA分析和定級，可以對分險等級為一般等級中的重點關(guān)注場景進(jìn)行LOPA分析和定級。注a：剩余風(fēng)險1指的是考慮除SIS以外的其他保護措施時的剩余風(fēng)險。5.2.2獨立保護層的確定BPCS的控制和/或聯(lián)鎖回路作為獨立保護層時，其RRF應(yīng)符合的規(guī)定。如果BPCS的RRF大于10，應(yīng)遵循AQ/T3054附錄D相關(guān)要求。SH/T3225—2024報警管理和最大允許響應(yīng)時間的定義（依據(jù)GB/T41261-2022《過程工業(yè)報警系統(tǒng)管理》和T/CCSAS012—2022《化工企業(yè)工藝報警管理實施指南》1.報警管理：對報警的需求、設(shè)置、操作、監(jiān)控、記錄和維護、變更、取消等全生命周期的管2.最大允許響應(yīng)時間：容許從報警發(fā)生到操作員做出正確響應(yīng)操作之間的最長時間。如圖3所示，既過程變量從A點變化到B點所需要的時間。圖3報警及人員干預(yù)的最大允許響應(yīng)時間SIF做為IPL規(guī)定了下列要求：a）如果SIF的測量儀表、最終執(zhí)行機構(gòu)與BPCS有共用部分，則BPCS的失效不應(yīng)導(dǎo)致SIF任何安全功能的失效；c）SIF的響應(yīng)時間包括測量儀表、邏輯控制器、最終執(zhí)行機構(gòu)三部分的響應(yīng)時間加上SIS動作后的過程滯后時間之和。物理防護指超壓保護，防止容器的災(zāi)難性破裂，包括安全閥、爆破片、放空閥等，其有效性受使用條件的影響較大，比如在確定安全閥、爆破片是否為保護層或確定其PFD時，應(yīng)考慮其設(shè)計工況是否滿足最大泄放工況的要求，其實際運行的環(huán)境是否可能出現(xiàn)污染、堵塞、腐蝕、不恰當(dāng)維護等因素。釋放后保護措施需要考慮以下2方面因素：1.釋放后保護措施屬于降低事故后果的措施，主要包括：（1）氣體檢測報警系統(tǒng)；（2）火災(zāi)檢測報警系統(tǒng)；（3）攔蓄收集設(shè)施（防火堤、集液池及相關(guān)收集系統(tǒng)（4）抑制可燃?xì)怏w蒸發(fā)擴散的設(shè)施（LNG集液池的高