SH/T 3225-2024 石油化工安全儀表系統(tǒng)安全完整性等級設計規(guī)范（正式版）

ICS**.**.**CCSP**備案號：中華人民共和國石油化工行業(yè)標準2024-03-29發(fā)布2024-10-01實施中華人民共和國工業(yè)和信息化部發(fā)布SH/T3225—2024前言 2規(guī)范性引用文件 3術語和縮略語 3.1術語和定義 3.2縮略語 44基本規(guī)定 54.1SIS的安全完整性等級基本要求 54.2SIS安全生命周期工作流程 64.3SIL評估工作流程 65安全完整性等級定級 75.1過程危險辨識與風險評估 75.2保護層分析 75.3SIL定級報告 86安全要求規(guī)格書 96.1編制原則 96.2內容要求 97安全完整性等級驗證 7.1一般規(guī)定 7.2硬件結構約束驗證 7.3PFDAVG驗證計算 7.4SIF過程可用性驗證 7.5系統(tǒng)性能力評估 附錄A（資料性）SIS安全生命周期工作流程 附錄B（資料性）SIL評估工作流程 附錄C（資料性）典型石油化工風險矩陣 附錄D（資料性）減緩層降低風險措施的PFD 參考文獻 本標準用詞說明 附：條文說明 SH/T3225—2024ContentsForeword 2Normativereferences 3Termsandabbreviations 3.1Termsanddefinitions 3.2Abbreviations 4Basicspecification 4.1SISbasicrequirementsforSIL 4.2SISssafetylifecycleworkflow 4.3SILassessmentworkflow 5Safetyintegritylevelsselection 5.1Processhazardandriskassessment 5.2Layerofprotectionanalysis 5.3SILclassificationreport 6Safetyrequirementsspecification 6.1Purposeandprinciple 6.2Contantsrequirements 7Safetyintegritylevelsverification 7.1Generalspecification 7.2Hardwarearchitecturalconstraintsverification 7.3PFDAVGVerificationcalculation 7.4SIFprocessavailabilityverification 7.5Systematiccapability AnnexA（Informative）WorkflowdiagramforsafetylifecycleofSIS AnnexB（Informative）WorkflowdiagramforSILassessment AnnexC（Informative）Typicalriskmatrixforpetrochemicalplants AnnexD（Informative）PFDofriskreductionmeasuresinmitigationlayers Bibliography Explanationofwordinginthisstandard Addition：Explanationofarticles SH/T3225—2024根據(jù)中華人民共和國工業(yè)和信息化部《關于印發(fā)2014年第一批行業(yè)標準制修訂計劃的通知》（工信廳科〔2015〕429號）的要求，標準編制組經(jīng)廣泛調查研究，認真總結實踐經(jīng)驗，參考有關國際標準和國外標準，并在廣泛征求意見的基礎上，制定本標準。本標準由中國石油化工集團有限公司負責管理，由中國石油化工集團有限公司安全衛(wèi)生消防技術中心站負責日常管理，由中國石化工程建設有限公司負責具體技術內容的解釋。執(zhí)行過程中如有意見和建議，請寄送日常管理機構和主編單位。本標準日常管理機構：中國石油化工集團有限公司安全衛(wèi)生消防技術中心站通訊地址：北京市朝陽區(qū)安慧北里安園21號郵政編碼：100101電話箱：zhangli@本標準主編單位：中國石化工程建設有限公司通訊地址：北京市朝陽區(qū)安慧北里安園21號郵政編碼：100101本標準參編單位：中國石化安全工程研究院有限公司中石化廣州工程有限公司中石化上海工程有限公司中石化-霍尼韋爾（天津）有限公司北京康吉森自動化技術股份有限公司廈門熙寶源化工技術有限公司勞氏瑞安咨詢（北京）有限公司萊茵檢測認證服務（中國）有限公司漢威科技集團股份有限公司本標準主要起草人員：林融、李玉明、穆帥、張建國、王若青、賈萍、張翼、高生軍、黃玖來、金光海、王朝暉、何磊、裴炳安、范宗海、張力、李少鵬、張斌、賈微、華俊杰、趙斌、張凱、李志剛、牛小民、唐平、單丹本標準主要審查人員：舒小芹、曾裕玲、袁小軍、魏毅、于寶全、施建設、李冬、楊芳育、劉齊忠、范詠峰、陳鵬、馮雙虎、馬莉、葛春玉、齊青、張同科本標準為首次發(fā)布。1SH/T3225—2024石油化工安全儀表系統(tǒng)安全完整性等級設計規(guī)范本標準規(guī)定了石油化工安全儀表系統(tǒng)安全完整性等級的定級、驗證及設計要求。本標準適用于石油化工及以煤為原料制取燃料和化工產(chǎn)品工廠的新建、擴建和改建工程的安全儀表系統(tǒng)安全完整性等級的定級、驗證與工程設計。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本標準必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本標準；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標準。GB/T20438（所有部分）電氣/電子/可編程電子安全相關系統(tǒng)的功能安全GB/T21109（所有部分）過程工業(yè)領域安全儀表系統(tǒng)的功能安全GB/T35320危險與可操作性分析（HAZOP分析）應用指南AQ/T3054保護層分析（LOPA）方法應用導則3術語和縮略語3.1術語和定義下列術語和定義適用于本標準。3.1.1風險risk危害發(fā)生的可能性與該危害嚴重程度的組合。3.1.2過程風險processrisk因異常事件（含基本過程控制系統(tǒng)故障）引起過程條件改變而產(chǎn)生的風險。3.1.3風險評估riskassessment評估風險大小并確定風險容許度的全過程。3.1.4過程危險分析processhazardanalysis對過程危險源進行辨識，并對危險源發(fā)生不期望的事件后，對人員、財產(chǎn)、環(huán)境和社會所產(chǎn)生的影響進行分析的過程。3.1.5保護層protectionlayer用來防止不期望事件的發(fā)生或降低不期望事件后果嚴重性從而降低過程風險的設備、系統(tǒng)或行動。3.1.6獨立保護層independentprotectionlayer能夠阻止場景向不期望后果發(fā)展，并且獨立于場景初始事件或其他保護層的設備、系統(tǒng)或行動。3.1.7安全功能safetyfunction針對特定的危險事件，為了達到或保持過程的安全狀態(tài)，由安全儀表系統(tǒng)、其它安全相關系統(tǒng)或外部風險降低設施實現(xiàn)的功能。3.1.8安全儀表功能safetyinstrumentedfunction由安全儀表系統(tǒng)（SIS）實現(xiàn)的安全功能。2SH/T3225—20243.1.9安全儀表系統(tǒng)safetyinstrumentedsystem用于實施一個或多個安全儀表功能的儀表系統(tǒng)。安全儀表系統(tǒng)由測量儀表、邏輯控制器、最終執(zhí)行機構及相關軟件、通信和輔助設備組合而成。3.1.10安全要求規(guī)格書safetyrequirementsspecification規(guī)定安全儀表系統(tǒng)SIF功能和與SIF相關的安全完整性等級要求的技術文件。3.1.11安全生命周期safetylifecycle從工程概念設計開始到所有安全儀表功能停止使用期間，安全儀表系統(tǒng)實現(xiàn)安全儀表功能的所有必要活動。3.1.12安全完整性safetyintegrity在規(guī)定的條件和時間內，安全儀表系統(tǒng)執(zhí)行要求的安全儀表功能的能力。3.1.13安全完整性等級safetyintegritylevel用來規(guī)定分配給安全儀表功能的安全完整性要求的離散等級，對應安全完整性量值的范圍。安全完整性等級4是最高的，安全完整性等級1是最低的。3.1.14風險降低因子riskreductionfactor安全儀表功能要求時危險失效平均失效概率（PFDavg）的倒數(shù)，對安全儀表功能所提供的風險降低程度的度量。3.1.15基本過程控制系統(tǒng)basicprocesscontrolsystem響應過程測量以及其他相關設備、其他儀表、控制系統(tǒng)或操作員的輸入信號，按過程控制規(guī)律、算法、方式，產(chǎn)生輸出信號實現(xiàn)過程控制及其相關設備運行的系統(tǒng)，但它不執(zhí)行任何SIF。3.1.16測量儀表sensor(measurementinstrument)安全儀表系統(tǒng)的組成部分，測量過程變量的設備。3.1.17邏輯控制器logicsolver安全儀表系統(tǒng)的組成部分，執(zhí)行邏輯功能的設備。3.1.18最終執(zhí)行機構finalelement安全儀表系統(tǒng)的組成部分，執(zhí)行邏輯控制器指令或設定的動作，使過程達到安全狀態(tài)的設備。3.1.19故障fault可導致功能單元執(zhí)行要求功能的能力降低或喪失的異常狀況。3.1.20失效failure功能單元某種功能或執(zhí)行能力的喪失。3.1.21失效率failurerate正常工作的產(chǎn)品在單位時間內失效的概率。3.1.22危險失效dangerousfailure可導致安全儀表系統(tǒng)處于潛在危險或喪失功能的失效。3.1.23安全失效safefailureSH/T3225—2024不可能導致安全儀表系統(tǒng)處于潛在危險或喪失功能的失效。3.1.24共因失效commoncausefailure由單一事件引起的、在不同設備上同時發(fā)生的失效，這些失效相互之間無因果關系。3.1.25共模失效commonmodefailure不同設備的并發(fā)失效，這些失效具有相同的失效模式，即相同故障。3.1.26表決voting構成安全儀表功能子系統(tǒng)的一個或多個組件之間的邏輯關系。3.1.27要求時危險失效平均概率averageprobabilityofdangerousfailureondemand安全儀表功能發(fā)生危險失效且不能按要求執(zhí)行其安全功能的平均概率，與安全儀表功能所提供的風險降低量級有關。3.1.28冗余redundancy采用獨立執(zhí)行同一個功能的二個或多個部件或系統(tǒng)，互為備用及切換。3.1.29故障裕度faulttolerance出現(xiàn)故障或錯誤時，功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力。3.1.30故障安全failsafe安全儀表系統(tǒng)發(fā)生故障時，使被控制過程轉入預定安全狀態(tài)。3.1.31診斷覆蓋率diagnosticcoverage被診斷檢測到的危險失效率占總的危險失效率的百分比。診斷覆蓋率不包括任何被檢驗測試檢測到的故障。3.1.32平均失效間隔時間meantimebetweenfailures相鄰兩次失效間隔時間的平均值。3.1.33平均無失效時間meantimetofailures工作單元失效前正常工作的平均時間，也稱平均無故障時間、平均失效前時間。3.1.34平均恢復時間meantimetorestoration完成功能完全恢復的預計時間，包括檢測到失效的時間、開始維修前的時間、有效維修的時間和組件恢復運行前的時間之和。3.1.35結構約束architecturalconstraints表決所需的設備數(shù)量與硬件故障裕度所需設備數(shù)量的綜合限制。3.1.36系統(tǒng)性能力systematiccapability當設備根據(jù)安全手冊規(guī)定的說明進行應用時，設備的系統(tǒng)性安全完整性達到規(guī)定SIL要求的置信度的度量（表示為SC1到SC4共四個等級其與特定的安全功能有關。3.1.37檢驗測試prooftest為檢測出安全儀表系統(tǒng)中隱藏的危險失效而執(zhí)行的周期性測試，以期在必要時通過維護使系統(tǒng)恢復成“全新”狀態(tài)或者盡可能接近該狀態(tài)。3.1.384SH/T3225—2024功能安全functionsafety與過程控制系統(tǒng)有關的整體安全的一部分，取決于安全相關系統(tǒng)和其他風險減少措施的正確運行。3.1.39安全失效分數(shù)safefailurefraction子系統(tǒng)的安全失效率與危險可檢測失效率的和值與子系統(tǒng)總失效率之間的比例分數(shù)。3.1.40使能條件enablingcondition導致場景發(fā)生、發(fā)展的必要條件，但不會直接導致場景發(fā)生。3.1.41運行模式modeofoperation安全儀表功能運行的方式，分為低要求模式、高要求模式和連續(xù)模式：低要求模式：在這種運行模式下，SIF只有在要求時才動作，以將過程導入一個特定的安全狀態(tài)，并且要求的頻率不大于一年一次。高要求模式：在這種運行模式下，SIF只有在要求時才動作，以將過程導入一個特定的安全狀態(tài)，并且要求的頻率大于一年一次。連續(xù)模式：在這種運行模式下，SIF作為正常運行的一部分保持過程處于一種安全狀態(tài)。3.1.42保護層分析layerofprotectionanalysis通過分析事故場景初始事件、后果和獨立保護層，對事故場景風險進行半定量評估的一種系統(tǒng)方法。3.1.43過程安全時間processsafetytime如果安全儀表功能未執(zhí)行，從過程失效或基本過程控制系統(tǒng)失效（潛在的增加危險事件的可能性）直至過程發(fā)生超安全設計工況并導致危險事件發(fā)生之間的時間段。3.2縮略語下列縮略語適用于本標準。AP：應用程序（ApplicationProgram）ALARP：最低合理可行原則（AsLowAsReasonablyPracticable）BPCS：基本過程控制系統(tǒng)（BasicProcessControlSystem）DC：診斷覆蓋率（DiagnosticCoverage）DTT：非勵磁聯(lián)鎖（De-energizedToTrip）EMI：電磁干擾（Electro-MagneticInterference）ETT：勵磁聯(lián)鎖（EnergizedToTrip）FE：最終執(zhí)行機構（FinalElement/Finalactuator）FMEDA：失效模式影響與診斷分析（FailureModesEffectsandDiagnosticAnalysis）FTA：故障樹分析法（FaultTreeAnalysis）FVL：全可變語言（FullVariabilityLanguage）HAZOP：危險與可操作性分析（HAZardandOPerabilityanalysis）HFT：硬件故障裕度（HardwareFaultTolerance）IE：初始事件（InitiatingEvent）IPL：獨立保護層（IndependentProtectionLayer）LOPA：保護層分析（LayerOfProtectionAnalysis）LVL：有限可變語言（LimitedVariabilityLanguage）MPRT：最大允許維修時間（MaximumPermittedRepairTime）MTBF：平均失效間隔時間（MeanTimeBetweenFailures）MTTF：平均無失效時間（MeanTimeToFailures）MTTFSP：平均無誤停車失效時間（MeanTimeToFailuresonspurious）MTTR：平均恢復時間（MeanTimeToRestoration）SH/T3225—2024PFD：要求時危險失效概率（ProbabilityofdangerousFailureonDemand）PFDavg：要求時危險失效平均概率（averageProbabilityofdangerousFailureonDemand）PFH：每小時危險失效平均頻率（AveragefrequencyofadangerousFailureperHour）PHA：過程危險分析（ProcessHazardAnalysis）PST：部分行程測試（PartialStrokeTesting）RBD：可靠性方塊圖（ReliabilityBlockDiagram）RFI：射頻干擾（RadioFrequencyInterference）RRF：風險降低因子（RiskReductionFactor）SA：安全有效性（SafetyAvailability）SC：系統(tǒng)性能力（SystematicCapability）SFF：安全失效分數(shù)（SafeFailureFraction）SIF：安全儀表功能（SafetyInstrumentedFunction）SIL：安全完整性等級（SafetyIntegrityLevel）SIS：安全儀表系統(tǒng)（SafetyInstrumentedSystem）SRS：安全要求規(guī)格書（SafetyRequirementsSpecification）STR：誤停車率（SpuriousTripRate）TI：檢驗測試周期（proofTestInterval）4基本規(guī)定4.1SIS的安全完整性等級基本要求4.1.1SIS應具有在工藝生產(chǎn)過程發(fā)生危險時將過程導向到預先設定的安全狀態(tài)的功能。4.1.2SIL定級應在過程危險分析之后進行，并應滿足企業(yè)的風險管理要求。4.1.3SIL定級宜優(yōu)先使用企業(yè)的風險矩陣標準。當企業(yè)沒有風險矩陣標準時，可采用AQ/T3054或參考附錄C中的典型石油化工風險矩陣。4.1.4在低要求模式下，每個SIF的SIL與PFDavg、RRF及SA的對應關系應符合表4.1.4要求。表4.1.4低要求模式下SIL與PFDavg、RRF及SA的對應關系123RRF=1/PFD。在石油化工項目中的SIF不應采用4.1.5在連續(xù)模式或高要求模式下，每個SIF的SIL與PFH的對應關系應符合表4.1.5要求。表4.1.5連續(xù)模式或高要求模式下SIL與PFH的對應關系123在石油化工項目中的SIF不應采用S4.1.6石油化工項目的SIF不應采用SIL4。當SIL定級要求需要采用SIL4等級的SIF時，則表示6SH/T3225—2024該工藝技術存在極大隱患，需要進一步修改工藝設計，宜通過采用削減、緩解、替代、簡化等手段，實現(xiàn)本質更安全的工藝設計，之后再重新分配保護層的安全功能，并充分考慮共因失效的影響。工藝設計宜采取下列措施之一以降低SIF的SIL要求：a）修改工藝流程，使過程風險降低；b）增加機械保護層或其它IPL，使SIL小于或等于SIL3；c）對SIS聯(lián)鎖閥增加部分行程測試（PST）功能。4.1.7SIF運行模式的判定應符合表4.1.7要求。表4.1.7SIF運行模式的判定4.1.8SIS系統(tǒng)的設計既應符合生產(chǎn)過程的安全完整性要求又宜兼顧過程可用性要求。4.2SIS安全生命周期工作流程4.2.1SIS安全生命周期工作流程宜包括下列步驟的評估和設計工作。a）工藝包階段包括下列步驟：1）步驟①：工藝概念設計；2）步驟②：過程危險與風險評估（PHA報告）。b）基礎工程設計階段包括下列步驟：1）步驟③：保護層安全功能分配（LOPA報告2）步驟④：SIF回路SIL定級（SIL等級定級報告3）步驟⑤：編制SIS的SRS技術要求；4）步驟⑥：SIS基礎工程設計。c）詳細工程設計階段包括下列步驟：步驟⑦：SIS詳細工程設計與SIL驗證（SIL驗證報告）。d）集成調試驗收階段包括下列步驟：步驟⑧：SIS集成、驗收測試與確認（SIS集成組態(tài)文件、SIS驗收測試FAT、SAT報告、SISe）操作運行維護階段包括下列步驟：1）步驟⑨：SIS操作、運行與維護；2）步驟⑩：SIS周期性檢驗測試；3）步驟?：SIS變更。f）停用包括下列步驟：步驟?：SIS停用。4.2.2SIS安全生命周期工作流程可參照附錄A的圖A.1。4.3SIL評估工作流程4.3.1SIL評估工作流程宜包括SIL定級、SRS編制和SIL驗證3個階段。a）SIL定級階段包括下列步驟：1）步驟①：過程危險分析；2）步驟②：風險評估；3）步驟③：確定SIF的目標SIL。b）SRS編制階段包括下列步驟：步驟④：SRS編制。7SH/T3225—2024c）SIL驗證階段包括下列步驟：1）步驟⑤a：確定SIF設備；2）步驟⑤b：選擇SIF結構；3）步驟⑤c：確定TI；4）步驟⑥：可靠性評估。4.3.2SIL評估工作總流程可參照附錄B的圖B.1。4.3.3SIL驗證工作流程可參照附錄B的圖B.2。5安全完整性等級定級5.1過程危險辨識與風險評估5.1.1SIL定級前應完成過程危險辨識與風險評估，過程危險辨識與風險評估宜采用HAZOP方法，HAZOP應符合GB/T35320的相關規(guī)定。5.1.2過程危險辨識與風險評估應確定下列事項：a）風險評估標準；b）過程危險與危險事件；c）導致危險事件的原因及發(fā)生的可能性等級；d）危險事件的后果及后果的嚴重性等級；e）風險降低要求；g）SIF。5.1.3風險評估標準宜采用企業(yè)的風險矩陣；當企業(yè)無風險矩陣時，石油化工風險矩陣可參照附錄C的表C.1，后果嚴重性等級、發(fā)生可能性等級可參照附錄C的表C.2、C.3確定。5.1.4對于識別出的SIF，應完整描述其觸發(fā)條件、安全關鍵、執(zhí)行動作（包括復雜的動作關系）。5.1.5應對過程危險辨識與風險評估結果進行記錄。5.2保護層分析5.2.1一般規(guī)定SIL的定級宜采用LOPA，LOPA宜符合AQ/T3054的相關規(guī)定。應根據(jù)過程危險辨識與風險評估報告篩選需要進行LOPA的場景。5.2.2獨立保護層的確定IPL應具有獨立性、有效性、可審查性、安全性和變更管理的要求。IPL應滿足下列基本要求：a）同一事故場景中的IPL不應為IE，且在設計條件下能夠獨立于其它保護層完成其安全功能；b）IPL應具有要求的PFD，并至少將已經(jīng)確定的風險降低10倍。BPCS的控制和/或聯(lián)鎖回路作為單個IPL時，其RRF不應大于10，且應滿足以下三個條件：a）控制和/或聯(lián)鎖回路應處于連續(xù)的自動模式；b）控制和/或聯(lián)鎖回路應處于連續(xù)的報警模式；c）控制和/或工藝聯(lián)鎖動作應使過程處于安全狀態(tài)。報警及人員響應作為IPL時，尚應滿足下列要求：a）BPCS控制回路和同回路中的報警及人員響應不應同時作為兩個IPL；b）報警應處于報警管理系統(tǒng)的有效管理之下；c）操作人員對報警應具備及時和有效的響應和處理能力。SIS的SIF作為IPL應符合下列要求：a）SIF的測量儀表、邏輯控制器、最終執(zhí)行機構在安全功能上應獨立于BPCS；b）SIF的設計、組態(tài)、集成、檢驗測試和確認、運行維護應按GB/T21109的有關規(guī)定執(zhí)行；c）SIF響應時間與過程滯后時間之和不應超過過程安全時間的50％。8SH/T3225—2024物理防護作為IPL應符合下列要求：a）安全泄放系統(tǒng)的能力應滿足減緩風險的要求；b）如在安全泄放設施的上下游有隔離閥，這些隔離閥應定期維護且保持打開狀態(tài)；c）如泄放到大氣或尾氣處理系統(tǒng)，該場景應被作為次要場景，應另外進行評估。釋放后保護措施作為IPL時，應僅限于可燃和有毒液體外泄場景。其風險消減能力應經(jīng)量化的后果計算后確定。管理程序作為IPL僅用于非正常運行的特殊工況，并應滿足IPL的基本要求。下列情況不應作為IPL：a）如果IE是一個BPCS的控制回路，則該控制回路不應作為IPL；b）培訓和取證，正常的測試和檢測、維護、通信、標識、火災保護等不應作為IPL；c）在嚴重及以上后果（三人及以上死亡）的事故場景下，報警及人員響應不應作為IPL；d）工廠和社區(qū)應急響應不應作為未發(fā)生事故前的IPL。5.2.3初始事件發(fā)生頻率IE發(fā)生頻率宜使用行業(yè)通用的數(shù)據(jù)庫，當企業(yè)有歷史統(tǒng)計數(shù)據(jù)時，也可采用企業(yè)統(tǒng)計數(shù)據(jù)或對行業(yè)通用數(shù)據(jù)庫進行修正。IE發(fā)生頻率在分析中選用的原則宜一致。5.2.4使能條件與條件概率存在使能條件時，可根據(jù)使能事件或條件發(fā)生概率對場景頻率進行修正。使能條件應包括時間風險使能條件和生產(chǎn)模式使能條件。當后果存在火災爆炸風險、人員中毒及傷害風險時，可根據(jù)導致該嚴重后果的條件概率對不同后果場景頻率進行修正。條件概率可根據(jù)下列因素確定：a）點火概率；b）人員暴露概率；c）人員受傷或致死概率。5.2.5風險降低因子的確定當BPCS作為IPL時，其RRF應符合下列要求：a）BPCS作為IE時，在同一個場景中BPCS作為IPL只能使用一次且RRF應小于或等于10；b）BPCS不作為IE時，在同一個場景中BPCS作為IPL不應超過兩次，BPCS合計RRF應小于或等于100。當報警及人員響應作為IPL時，RRF應小于或等于10；當多個報警及人員響應作為IPL時，RRF仍應小于或等于10。當單個高可靠度的物理保護作為IPL時，RRF應小于或等于100。IPL的PFD及RRF參見附錄D。5.3SIL定級報告5.3.1SIL定級報告應至少包括以下內容：a）項目概況；b）分析目的；c）風險可容許標準；d）場景識別及IE和IE發(fā)生頻率、條件概率；f）場景風險和頻率的計算結果；g）風險評估與為滿足風險標準要求而給出的改善建議；h）每個SIF回路的位號、測量儀表位號、執(zhí)行機構位號、功能描述、觸發(fā)條件、安全關鍵、執(zhí)行動作（包括復雜的動作關系）、要求的SIL及RRF；9SH/T3225—2024i）SIL定級所使用的圖紙、說明書、數(shù)據(jù)表和危險分析報告等的清單（包括版本號j）SIL定級的小組成員名單。5.3.2如采用LOPA方法，SIL定級報告尚應符合AQ/T3054的相關規(guī)定。6安全要求規(guī)格書6.1編制原則6.1.1SRS的編制原則應基于風險可容許標準，依據(jù)危險辨識與風險評估得出的風險降低要求，確定SIL評估、工程設計、硬件系統(tǒng)集成、軟件組態(tài)編程、系統(tǒng)測試驗收、運行維護要求和安全管理策略。6.1.2依據(jù)本標準設計的SIS安全完整性應符合GB/T21109.1的規(guī)定。6.1.3SRS提出的功能安全要求應清晰、明確，可驗證、可維護、可操作，能用于規(guī)范SIS生命周期各階段的使用者理解和執(zhí)行。6.2內容要求6.2.1SRS的主要內容宜包括下列要求：a）列出所有SIF的編號、名稱和功能描述清單；b）列出各個SIF相關的輸入輸出儀表位號及邏輯表決關系；c）識別并考慮共因失效率(β)及消除措施要求；d）定義每個已識別的SIF的IE、觸發(fā)原因和每個危險事件的過程安全狀態(tài)；e）當存在多個SIF同時動作可能導致額外風險情況時，對其安全操作和安全狀態(tài)分別進行定義；f）識別每個SIF的危險源（要求源）和確定危險發(fā)生的概率（要求率g）分別確定測量儀表、邏輯控制器、最終執(zhí)行機構的TI及實施的相關要求；h）確定每個SIF將工藝參數(shù)從操作狀態(tài)置于安全狀態(tài)的響應時間要求；i）列出每個SIF的SIL等級和運行模式；j）列出SIS過程測量變量、量程范圍、報警設定值及聯(lián)鎖設定值等；k）列出SIF輸出動作及最終狀態(tài)要求；l）說明每個SIF輸入與輸出之間的功能關系，包括邏輯關系、數(shù)學函數(shù)、延時與時序及允許或旁路等要求；m）說明每個SIF手動停車要求；n）說明每個SIF的動作方式：DTT或ETT的相關要求；o）說明每個SIF啟動、聯(lián)鎖動作后的復位、再啟動允許（Re-startuppermissive）及重啟程序的具體要求；p）說明SIF最高允許的STR；q）說明每個SIF的失效模式和SIF對失效的預期響應要求；r）說明SIS與其它系統(tǒng)之間的所有接口要求，包括SIS與BPCS的通信接口、SIS的人機接口s）說明工藝裝置的運行模式及每種模式下對SIF的相關要求；t）識別工藝裝置內某單元或設備的正常和異常過程運行模式，說明是否需要額外增加SIF；u）說明旁路/禁止/超馳（Bypass/Inhibit/Override）的設置和取消的要求及旁路/禁止/超馳期間的管理要求，說明維護旁路（MOS）、操作旁路（OOS）的不同要求；v）說明SIS檢測到故障事件時，為達到或保持過程的安全狀態(tài)需采取的必要措施，及所有相關的人為因素；w）確定SIS合理的MTTR，綜合考慮備品備件存儲、地理位置、路程時間、服務合同、環(huán)境限制x）識別需要避免的SIS輸出狀態(tài)的關聯(lián)危險；y）識別在運輸、儲存、安裝及運行過程中SIS可能遇到的所有極端環(huán)境條件，包括溫度、濕度、污染物、接地、電磁干擾（EMI）、射頻干擾（RFI）、撞擊、振動、靜電、防爆、雷電、洪澇、腐蝕及其它相關因素；z）確定在發(fā)生重大意外事故時，對SIF的特殊要求，包括控制閥在發(fā)生火災事故時保持正常操SH/T3225—2024作的時間、電纜的防火要求等。6.2.2在SIS中的應用程序（AP）宜包括下列安全要求：a）列出AP支持的SIF功能及SIL等級；b）列出實時性能參數(shù)，如CPU負荷、通信負荷等；c）說明程序時序及時間延遲；d）說明設備和操作員接口及其可操作性；e）確定各種運行模式AP的要求；f）確定對異常測量結果，如測量儀表超量程、欠量程、變動幅度過大、測量值凍結、檢測線路開路/短路等，應采取的措施；g）確定AP運行所需的外部設備（如測量儀表和最終執(zhí)行機構）的檢驗測試及診斷要求；h）說明AP的監(jiān)控，如應用看門狗、數(shù)據(jù)有效性確認；i）說明SIS內其他設備的監(jiān)控，如測量儀表；j）確定在工藝運行時SIF實施周期性測試的相關要求；k）列出參考輸入文件，如SIF清單、SIS配置或結構、SIS硬件安全完整性要求；l）確定對通信接口的要求，如對接收和發(fā)送的數(shù)據(jù)或指令的限制措施、數(shù)據(jù)有效性檢查；m）識別并避免AP產(chǎn)生的過程危險狀態(tài)，如同時關閉兩個氣體隔離閥可能產(chǎn)生壓力波動，從而導致危險狀態(tài)；n）確定AP的其他安全要求，如聯(lián)鎖設定值的修改保護措施、AP的響應時間、功能驗收測試、變更管理等。7安全完整性等級驗證7.1一般規(guī)定7.1.1每個SIF回路的SIL驗證計算結果應符合SIL定級報告或SRS所要求的SIL及RRF的目標值要求；當SIL定級報告或SRS沒有給出具體的目標值時，目標值應符合表4.1.4和表4.1.5，采用要求達到的SIL等級所對應的PFDavg范圍或PFH范圍。7.1.2SIL定級報告中SIL大于或等于1的SIF回路應進行SIL驗證，SIL驗證應實施SIF硬件安全完整性驗證；SIL驗證可包括系統(tǒng)安全完整性評估。7.1.3SIF硬件安全完整性應由表征硬件結構約束的HFT和表征硬件隨機失效所對應的PFDavg值或PFH值確定。7.1.4SIF系統(tǒng)安全完整性應由表征系統(tǒng)性失效的系統(tǒng)性能力（SC）經(jīng)過評估確定。7.1.5依據(jù)SIF的運行模式，應采用不同的量化指標進行SIL驗證計算。低要求模式的SIL和RRF值由計算PFDavg值確定；高要求模式或連續(xù)模式的SIL由計算PFH值確定。7.1.6對于誤停車將造成重大的經(jīng)濟損失或者導致額外的工藝過程危險的SIF，應對每個SIF回路計算MTTFsp或STR。計算結果應符合項目設計的目標值要求。7.1.7SIL驗證的范圍不應包括下列功能回路：a）SIL定級報告中定級為SIL0及SILa的回路；b）涉及人員干預的緊急停車按鈕、開關；c）包含在SIS邏輯中但不屬于SIF的允許信號（開車/啟動/點火等）、操作旁路（OOS）、維護旁路（MOS）信號及關聯(lián)的非SIF聯(lián)鎖；d）非安全關鍵的最終執(zhí)行機構；e）未參與SIF的SIS控制閥閥位或限位開關信號。7.2硬件結構約束驗證7.2.1每個SIF均應滿足結構約束的要求，結構約束要求宜通過硬件故障裕度（HFT）的要求表達。7.2.2應對SIF的測量儀表、邏輯控制器、最終執(zhí)行機構等子系統(tǒng)分別確定HFT。SH/T3225—20247.2.3在確定HFT時，宜兼顧工藝過程的可用性要求。7.2.4在確定SIF子系統(tǒng)的HFT時，對于符合GB/T21109以往使用原則的儀表設備，其最低HFT應符合表7.2.4要求，并且FVL和LVL可編程設備的DC不應小于60％。表7.2.4最低硬件故障裕度HFT要求10202131427.2.5失效量計算中使用的可靠性數(shù)據(jù)應由不小于70％的統(tǒng)計置信區(qū)間上限確定。7.2.6在確定SIF子系統(tǒng)的HFT時，對于符合GB/T20438并取得了SIL認證的儀表設備，最低HFT應符合GB/T20438的路徑1H或路徑2H的相關要求。7.3PFDavg驗證計算的PFDavg值由各子系統(tǒng)的平均PFD值相加獲得，見式（7.3.1）。PFDSIF=ΣPFDSE+ΣPFDLS+ΣPFDFE+ΣPFDSS……………（7.3.1）式中：PFDSIF——SIF回路的PFDavg；PFDSE——測量儀表子系統(tǒng)的PFDavg；PFDLS——邏輯控制器子系統(tǒng)的PFDavg；PFDFE——最終執(zhí)行機構子系統(tǒng)的PFDavg；PFDSS——輔助設備的PFDavg。7.3.2SIF子系統(tǒng)PFDavg的計算，應確定下列因素：a）SIF子系統(tǒng)的架構，包括同型表決、異型表決，以及實現(xiàn)某種計算功能的復雜架構；b）硬件隨機失效模式、失效率；c）共因失效或共模失效的影響；d）自動在線診斷的DC；e）對自動診斷檢測出的危險失效，MTTR；f）TI以及檢驗測試覆蓋率；g）需在線檢驗測試時的檢驗測試持續(xù)時間；h）對于閥門類最終執(zhí)行機構，應考慮工藝物料物理和化學特性、閥門的密封等級、是否采用PST等因素對危險失效率的影響；i）非勵磁聯(lián)鎖（DTT）或勵磁聯(lián)鎖（ETT）。庫數(shù)據(jù)，及制造商直接提供的非認證數(shù)據(jù)。應說明可靠性數(shù)據(jù)的來源并確保性、可追溯性。7.3.4可靠性數(shù)據(jù)的確定應依據(jù)現(xiàn)場使用環(huán)境和實際維護狀態(tài)等的影響，評估其不確定性。不確定性評估可參考GB/T20438和GB/T21109中的相關規(guī)定。7.3.5自動診斷對失效率的分類和影響，應依據(jù)儀表選型時的故障安全程序和規(guī)程。SH/T3225—20247.3.7MTTR、在線檢驗測試持續(xù)時間，應小于MPRT。MPRT由在旁路期間過程提供的補償和應急措施的能力確定。7.3.8在閥門上采用PST措施時，認定的危險失效DC應低于70％。塊圖（RBD）、故障樹分析法（FTA以及馬爾可夫模型。失效不對該SIF造成影響，不宜納入SIL驗證計算。7.4SIF過程可用性驗證7.4.1SIF的過程可用性，應通過對每個SIF回路計算MTTFsp或STR獲得，見式（7.4.1-1）和式（7.4.1-2）：STRSIF=ΣSTRSE+ΣSTRLS+ΣSTRFE+ΣSTRSS……………（7.4.1-1）MTTFsp=1/STRSIF……………（7.4.1-2）式中：STRSIF——SIF的誤停車率，次/年；STRSE——測量儀表子系統(tǒng)的誤停車率，次/年；STRLS——邏輯控制器子系統(tǒng)的誤停車率，次/年；STRFE——最終執(zhí)行機構子系統(tǒng)的誤停車率，次/年；STRSS——輔助設備的的誤停車率，次/年；MTTFsp——平均無誤停車失效時間，年。7.4.2SIF子系統(tǒng)的MTTFsp或STR，應確定下列因素：a）SIF子系統(tǒng)的架構、儀表設備的安全失效率、輔助設備和子系統(tǒng)內公用支持系統(tǒng)（例如電源、氣源）的安全失效率；b）在計算SIF的誤停車率時，不將無關失效和無影響失效歸類為安全失效；c）評估AP組態(tài)對過程可用性的影響。對于1oo1表決架構，如AP中將可檢測出的危險失效(λDD）組態(tài)為關停動作，則將其納入誤停車率計算。7.4.3如初步計算出的PFDSIF和STRSIF不滿足項目的設計要求，應調整冗余結構、選用可靠性更高的儀表設備（影響PFDavg）、選用可用性更高的儀表設備（影響STR）、改進AP中自診斷組態(tài)、調整工廠的大檢修周期等影響因素。7.5系統(tǒng)性能力評估7.5.1SC可用于SIF的SIL驗證。7.5.2SC分為SC1、SC2、SC3和SC4四級，如果SIF要求的SIL為SILn，則該子系統(tǒng)的SC應大于或等于SCn。7.5.3PFDavg、結構約束、SC等級應同時滿足需求的SIL。SH/T3225—2024（資料性）SIS安全生命周期工作流程A.1SIS安全生命周期工作流程如圖A所示。圖ASIS安全生命周期工作流程SH/T3225—2024（資料性）SIL評估工作流程B.1SIL評估工作總流程如圖B.1所示。圖B.1SIL評估工作總流程SH/T3225—2024B.2SIL驗證工作流程如圖B.2所示。圖B.2SIL驗證工作流程SH/T3225—2024（資料性）典型石油化工風險矩陣C.1典型石油化工風險矩陣如表C.1所示。表C.1典型石油化工風險矩陣類似的事件沒有在石油石化行業(yè)發(fā)生過，且發(fā)生的可能類似的事件沒有在石油石化行業(yè)發(fā)生過類似事件在石油石化行業(yè)發(fā)類似的事件在本集團曾經(jīng)發(fā)類似的事件在本企業(yè)相似設（使用壽命內）或相似作業(yè)活動中發(fā)在設備設施（使用壽命內）或相同作業(yè)活動中在設備設施（使用壽命內）或相同作業(yè)中發(fā)生在設備設施或相同作業(yè)活動中經(jīng)常發(fā)生（至少10-10/年10-10/年年10-10/年年年>1/年重性等到重）112357223572357587說明：a）傷害后果需要考慮健康與安全影響、財產(chǎn)損失影響、非財務與社會影響三類，按嚴重性從輕微到特別重大分為7個等級，依次A、B、C、D、E、F和G，后果嚴重性等級分類詳見表C.2。其中重傷標準、事故直接經(jīng)濟損失按相關規(guī)定執(zhí)行。b）傷害后果發(fā)生的可能性從低到高分為8個等級，依次為1、2、3、4、5、6、7和8，可能性分級詳見表C.3。c）對于某風險的具體風險等級，應取三種后果中最高的風險等級，采用后果嚴重性等級的代表字母和可能性等級數(shù)字組合表示。例如：當后果等級為A，可能性等級為7時，其對應的風險等級為A7。d）風險級別分為重大風險（紅色）、較大風險（橙色）、一般風險（黃色）和低風險（藍色）4個級別。e）容忍風險（TolerableRisk）是ALARP區(qū)域的上限值，當超過該值時，風險屬于不可容忍風險。可接受風險（AcceptableRisk）是ALARP區(qū)域的下限值，小于等于該值時，風險屬于廣泛可接受的風險。該表中廠內人員年度累計死亡風險上限值為10-3、下限值為10-5，具體可根據(jù)企業(yè)管理要求確定。f）廠外人員年度累計死亡風險執(zhí)行GB36894個人風險基準值，其符合性應經(jīng)定量風險評估確定。SH/T3225—2024C.2后果嚴重性等級如表C.2所示。表C.2后果嚴重性等級等級A1.急救處理或醫(yī)療處理，但2.短時間暴露超標，引起身事故直接經(jīng)濟損失在10萬元民短期內不滿、抱怨或投訴（如抱怨設施噪聲超B直接經(jīng)濟損失排放很少量的有毒有害污2.對當?shù)毓苍O施的日常運行造成干擾（如導致某道路在24小時內無法正C2.暴露超標，帶來長期健康影響或造成職業(yè)相關的嚴重直接經(jīng)濟損失1～2套裝置停造成嚴重的安全后果或不會導致地方政府相關監(jiān)管3.在當?shù)卦斐刹焕纳鐣绊?。對當?shù)毓苍O施的D1.界區(qū)內1～2人死亡；3～9直接經(jīng)濟損失區(qū)域的火災爆1.因污染物排放造成企業(yè)水體及環(huán)境敏感區(qū)的油品的油品泄漏量10噸以上1003.危險化學品以污水形式1.引起地方政府相關監(jiān)管部門采取強制性措施；2.引起國內或國際媒體E1.界區(qū)內3～9人死亡；10人2.界區(qū)外1～2人死亡，3～9事故直接經(jīng)濟損失1000萬元1.因污染物排放造成企業(yè)眾的正常生活受到嚴重影水體及環(huán)境敏感區(qū)的油品在非環(huán)境敏感區(qū)的油品泄1.引起國內或國際媒體2.造成省級范圍內的不利社會影響；對省級公共設施的日常運行造成嚴重3.引起了省級政府相關4.導致失去當?shù)厥袌龅腟H/T3225—2024表C.2（續(xù)）等級3.危險化學品以污水形式4.因環(huán)境污染造成水源地保護的動植物物種受到破F1.界區(qū)內10人及以上，30人以下死亡；50人及以上，1002.界區(qū)外3～9人死亡；10人事故直接經(jīng)濟損失5000萬元1.因污染物排放使當?shù)厝核w及環(huán)境敏感區(qū)的油品在非環(huán)境敏感區(qū)的油品泄3.危險化學品以污水形式4.因環(huán)境污染造成水源地點保護的動植物物種受到5.國際區(qū)域性嚴重環(huán)境事1.引起了國家相關部門2.在全國范圍內造成嚴3.引起國內國際媒體重G將導致工廠界區(qū)內或界區(qū)外事故直接經(jīng)濟1.因污染物排放使當?shù)厝河绊懫髽I(yè)所屬地區(qū)的社會水體及環(huán)境敏感區(qū)的油品在非環(huán)境敏感區(qū)的油品泄3.危險化學品以污水形式4.因環(huán)境污染造成水源地國家重點保護的動植物物種受到嚴重破壞或群體死或國務院、相關部委領導2.導致吊銷國際國內主要市場的生產(chǎn)、銷售或經(jīng)3.引起國際國內主要市場上公眾或投資人的強烈SH/T3225—2024C.3后果發(fā)生可能性等級如表C.3所示。表C.3發(fā)生可能性等級1類似的事件沒有在石油石化行業(yè)發(fā)生過，且2345類似的事件發(fā)生過或者可能在多個相似設備設施678>1SH/T3225—2024（資料性）減緩層降低風險措施的PFDD.1主動安全泄壓裝置降低風險措施的PFD如表D.1所示。表D.1主動安全泄壓裝置降低風險措施的PFD有多個部分載荷的安全閥。超過一個安全閥N×10N×10011在泄放時會造成高分子聚合堵塞，這些特殊設D.2被動獨立保護層的PFD如表D.2所示。表D.2被動獨立保護層的PFDSH/T3225—2024[1]GB/T50770石油化工安全儀表系統(tǒng)設計規(guī)范[2]IEC61508-1Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part1:Generalrequirements[3]IEC61508-2Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part2:Requirementsforelectrical/electronic/programmableelectronicsafety-relatedsystems[4]IEC61508-3Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part3:Softwarerequirements[5]IEC61508-4Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part4:Definitionsandabbreviations[6]IEC61508-5Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part5:Examplesofmethodsforthedeterminationofsafetyintegritylevels[7]IEC61508-6Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part6:GuidelinesontheapplicationofIEC61508-2andIEC61508-3[8]IEC61508-7Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part7:Overviewoftechniquesandmeasures[9]IEC61511-1Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part1:Framework,definitions,system,hardwareandsoftwarerequirements[10]IEC61511-2Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part2:GuidelinesfortheapplicationofIEC61511-1[11]IEC61511-3Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part3:Guidanceforthedeterminationoftherequiredsafetyintegritylevels[12]ISATR84.00.02-2022Safetyintegritylevel(SIL)verificationofsafetyinstrumentedfunctions[13]APIRP556-2011(R2019)Instrumentationandcontrolsystemsforfiredheatersandsteamgenerators[14]T/CIS71001─2021化工安全儀表系統(tǒng)安全要求規(guī)格書編制導則SH/T3225—20241為便于在執(zhí)行本標準條文時區(qū)別對待，對要求嚴格程度不同的用詞說明如下：1）表示很嚴格，非這樣做不可的：正面詞采用“必須”，反面詞采用“嚴禁”；2）表示嚴格，在正常情況下均應這樣做的：3）表示允許稍有選擇，在條件許可時首先應這樣做的：正面詞采用“宜”，反面詞采用“不宜”；4）表示有選擇，在一定條件下可以這樣做的，采用“可”。2條文中指明應按其他有關標準執(zhí)行的寫法為：“應符合……的規(guī)定”或“應按……執(zhí)行”。SH/T3225—2024中華人民共和國石油化工行業(yè)標準石油化工安全儀表系統(tǒng)安全完整性等級設計規(guī)范條文說明SH/T3225—2024SH/T3225—2024《石油化工安全儀表系統(tǒng)安全完整性等級設計規(guī)范》，經(jīng)工業(yè)和信息化部2024本標準制定過程中，編制組進行了廣泛深入的調查研究，總結了近10年來我國石油化工工程建設中，石油化工安全儀表系統(tǒng)安全完整性等級在設計和應用中的實踐經(jīng)驗，同時參考了大量國內外石油化工行業(yè)及其他行業(yè)技術標準和有關資料，通過廣泛征求意見，認真討論，分析研究，取得了共識。為便于廣大設計、施工、科研、學校等單位有關人員在使用本標準時能正確理解和執(zhí)行條文規(guī)定，《石油化工安全儀表系統(tǒng)安全完整性等級設計規(guī)范》編制組按章、條順序編制了本標準的條文說明，對條文規(guī)定的目的、依據(jù)以及執(zhí)行中需注意的有關事項進行了說明。但是，本條文說明不具備與規(guī)范正文同等的法律效力，僅供使用者作為理解和把握規(guī)范規(guī)定的參考。SH/T3225—20243術語和縮略語 3.1術語和定義 4基本規(guī)定 4.1SIS的安全完整性等級基本要求 4.2SIS安全生命周期工作流程 5安全完整性等級定級 5.1過程危險辨識與風險評估 5.2保護層分析 6安全要求規(guī)格書 6.2內容要求 7安全完整性等級驗證 357.1一般規(guī)定 7.2硬件結構約束驗證 357.3PFDAVG驗證計算 7.4系統(tǒng)性能力評估 36SH/T3225—2024石油化工安全儀表系統(tǒng)安全完整性等級設計規(guī)范3術語和縮略語3.1術語和定義3.1.1風險risk1.危害發(fā)生可能性包括暴露于危險情況的概率、危險事件發(fā)生概率和避免或限制傷害的可能2.本條采用“危害”代替GB/T21109.1─2007的術語條目3.2.61采用的“傷害”更合理，因為“傷害”的對象一般指人，而“危害”的對象可以是人、物（設備、廠房等）、環(huán)境等。3.1.8安全儀表功能safetyinstrumentedfunction1.安全儀表功能（SIF）源于安全功能，SIF具有一個相關聯(lián)的安全完整性等級（SIL）并由一個特定的安全儀表系統(tǒng)（SIS）來執(zhí)行它。多個SIF有可能使用同一個SIS的設備。2.SIF設計用來達到一個要求的SIL，SIL由其他參與降低相同風險的保護層決定。3.1.9安全儀表系統(tǒng)safetyinstrumentedsystem1.SIS由任意組合的測量儀表、邏輯控制器及最終執(zhí)行機構組成。它也包括通信和輔助設備（如網(wǎng)絡交換機、網(wǎng)關、路由器、通信接口、人機界面、電源、安全柵、信號隔離器、電涌防護器、中間繼電器、電磁閥、導壓管等）。2.SIS可以包括軟件。3.1.19故障fault1.故障可能由部件本身的失效引發(fā)，也可能由生命周期早先階段（如規(guī)范、設計、制造或維護）的缺陷引發(fā)。2.當一組特定的情況出現(xiàn)時，設備的一個故障會導致一個失效。3.故障和失效的關系參見GB/T20438.4-2017圖4。3.1.20失效failureGB/T21109.1-2022的3.2.18條定義：功能單元失去按要求執(zhí)行的能力。1.設備失效是導致設備出現(xiàn)某種故障狀態(tài)的事件。2.如果能力的喪失是由一個潛在故障引起，一旦特定的一組條件出現(xiàn)，則失效發(fā)生。3.執(zhí)行要求的功能必定會排除某些行為，把某些功能定義為要避免出現(xiàn)的行為，這些行為的出現(xiàn)就是失效。4.失效是隨機性的或系統(tǒng)性的。3.1.24共因失效commoncausefailure1.由一個共因引起的所有失效未必恰好在同一時間發(fā)生,因此在SIF實際失效前有一定時間來檢測共因的發(fā)生。2.共因失效也可能導致共模失效。3.共因失效的可能性降低了系統(tǒng)冗余或故障裕度的效果(如增加了多通道系統(tǒng)中兩個或更多通道的失效概率)。4.共因失效是相關失效,可能由外部事件（如溫度、濕度、過電壓、火災、腐蝕）、系統(tǒng)性故障（如設計的、組裝的或安裝的錯誤、缺陷）、人為錯誤（如誤用）等引起。5.單個共因失效是屬于一組并發(fā)失效中的一個失效。3.1.25共模失效commonmodefailureSH/T3225—20241.共模失效可能由不同的原因引起。2.共模失效也可能是共因失效的結果。3.共模失效的可能性降低了系統(tǒng)冗余和故障裕度的效果（如兩個或更多通道以相同的方式失效，4.單個共模失效是屬于一組并發(fā)失效中的一個失效。3.1.31診斷覆蓋率diagnosticcoverage系統(tǒng)自我診斷檢測故障能力的度量。1.診斷覆蓋率（DC）通常應用于SIS設備或SIS子系統(tǒng)。如通常為測量儀表、邏輯控制器及最終執(zhí)行機構分別確定診斷覆蓋率。2.對于安全應用，DC通常應用于SIS設備或SIS子系統(tǒng)的危險失效。例如，一個設備的危險失效的診斷覆蓋率為：DC=λDD/λDT…………（1）式中：DC——診斷覆蓋率,%；λDD——檢測到的危險失效率；λDT——總的危險失效率；3.對于一個具有內部冗余的SIS子系統(tǒng)，DC與時間有關：DC(t)=λDD(t)/λDT(t) 4.當給出DC和總的危險失效率(λDT)，檢測到的危險失效率(λDD)和未檢測到的危險失效率(λDU)可以按照如下公式計算得出：λDD=DC×λDT λDU=(1-DC)×λDT （4）式中：λDU——未檢測到的危險失效率。3.1.32平均失效間隔時間MeantimebetweenfailuresMTTR、MTTF和MTBF之間的關系如圖1所示，MTBF為MTTR與MTTF之和。圖1MTTR、MTTF和MTBF之間的關系3.1.33平均無失效時間Meantimetofailures計算公式：MTTFSP=1/STR…………（5）式中：MTTFSP——平均無誤停車失效時間，年；STR——誤停車率，次/年。SH/T3225—20243.1.36系統(tǒng)性能力systematiccapability1.系統(tǒng)性能力參照GB/T20438.2-2017和GB/T20438.3-2017中系統(tǒng)性故障的避免和控制要求確定。2.系統(tǒng)性失效機制取決于設備的特性。對于只由硬件組成的設備，只考慮硬件失效機制；對于由硬件和軟件組成的設備，則需要考慮硬件和軟件失效機制間的相互影響。3.某設備SCN的系統(tǒng)性能力是指當設備按照安全手冊規(guī)定的SCN要求應用時，此設備達到了SCN的系統(tǒng)性安全完整性。3.1.39安全失效分數(shù)safefailurefraction計算公式：安全失效分數(shù)： 安全失效率：S=SU 危險失效率：D=DU 式中：S——安全失效率；D——危險失效率；SD——可檢測的安全失效率；SU——不可檢測的安全失效率；DD——可檢測的危險失效率；DU--不可檢測的危險失效率。3.1.41運行模式modeofoperation符合GB/T21109.1-2022（IEC61511-1：2016）的3.2.39條定義，同時符合GB/T20438.4-2017（IEC61508-4：2010）的3.5.16條。3.1.43過程安全時間processsafetytime全設計工況”。過程安全時間的起點從“過程失效或基本過程控制系統(tǒng)失效”開始，即從過程變量超過預先設定的緊急停車（EmergencyShutdown-ESD）或緊急泄壓（EmergencyDe-pressure-EDP）限值（如：高高、低低等）開始，終點為“過程發(fā)生超安全設計工況”（如：超過設計溫度、設計壓力、腐蝕裕度等）并可能導致危險事件發(fā)生（如：泄漏、破裂、著火、爆炸等不可逆狀態(tài)）為止的時間間隔，如圖2所示。SH/T3225—2024圖2過程安全時間與SIS響應時間的關系2.另外2個涵義相近似的標準是：（1）APIRP556-2011(R2019)的條定義：過程安全時間是導致不可接受工藝偏離的初始事件和危險事件之間的時間間隔。（2）CCPS在“GuidelinesforSafeandReliableInstrumentedProtectiveSystems”中的定義：工藝過程或其控制系統(tǒng)發(fā)生故障時與危險的事件發(fā)生之間的時間段。3.用于確定SIS響應時間是否合理的過程安全時間具備以下特點：（1）根據(jù)起始點和終止點的不同，過程安全時間由若干段時間組成；（2）過程安全時間是由工藝過程固有特性決定的；（3）計算過程安全時間時，應在一定的預期故障場景下進行計算；（4）時間的起始點應是從觸發(fā)聯(lián)鎖開始計時；（5）時間的終止點應是達到危險不可逆狀態(tài)的時間點。4基本規(guī)定4.1SIS的安全完整性等級基本要求4.1.6石油化工項目的SIF不應使用SIL4等級，如果存在的風險需要SIL4的保護層來降低的話，則意味著該工藝路線存在極大隱患，需要進一步修改工藝設計，可通過采用較溫和操作條件，更換較安全的化學品、更換更為安全的設備材質、提高設備的設計等級、增加機械安全防護措施等方法實現(xiàn)相對安全的工藝技術。4.1.7在低要求模式或高要求模式下運行的SIF，具有以下特征。1.SIF發(fā)生危險失效時,危險事件只會在下列情況下發(fā)生：（1）失效未被檢測到并且在下次檢驗測試前發(fā)生要求；（2）診斷測試檢測到失效，但是相應過程及其有關設備沒有在要求發(fā)生前進入安全狀態(tài)。2.在高要求模式下，通常使用連續(xù)模式標準是合適的。在連續(xù)模式下運行的SIF，具有以下特征：1.SIF發(fā)生危險失效時，除非在過程安全時間內采取預防措施，否則無需進一步失效就將發(fā)生危險事件。SH/T3225—20242.連續(xù)模式涵蓋執(zhí)行連續(xù)控制以保持功能安全的SIF。4.1.8過程可用性可通過STR或MTTFsp計算得出。過程可用性既要滿足企業(yè)可接受風險，又要滿足企業(yè)長周期運行需要，一般為5倍～10倍的大檢修周期。4.2SIS安全生命周期工作流程4.2.1工藝包階段并非必須包括步驟a）2a)2)也可以放在b)階段執(zhí)行。5安全完整性等級定級5.1過程危險辨識與風險評估5.1.1過程危險辨識與風險評估的方法有很多種，HAZOP分析方法能夠詳細分析并記錄事故的因果邏輯及危害程度，詳細的事故的因果邏輯及危害程度可以作為保護層分析（LOPA）的重要輸入。5.1.2f)風險降低措施通?？梢杂瑟毩⒈Ｗo層承擔，石油化工裝置常用的風險降低獨立保護層包括：1.本質安全設計；2.基本過程控制系統(tǒng)；3.及時、有效的報警和人員響應；4.安全儀表功能；5.可燃和有毒氣體泄漏檢測報警系統(tǒng)、火災報警系統(tǒng)；6.安全閥、爆破片、機械聯(lián)鎖、噴淋、蒸汽幕等物理保護；7.防火堤、圍堰、集液池、隔離溝等釋放后保護措施；8.工廠和社區(qū)應急響應（有條件，見條文說明）。5.1.4SIL定級分析表包括SIF編號、SIF標識、SIF描述、最終執(zhí)行機構、初始原因（描述、失效概率）、SIL定級結果、建議措施及備注等?！鞍踩P鍵”動作指的是該動作是將工藝過程轉入安全狀態(tài)必不可少的動作，只有該動作的有效執(zhí)行才能將工藝過程轉入安全狀態(tài)。非安全關鍵動作指的是該動作不是將工藝過程轉入安全狀態(tài)必不可少的動作，該動作的非有效執(zhí)行不會影響工藝過程轉入安全狀態(tài)。非安全關鍵動作可能出于下次開車的便利等因素的考慮。5.2保護層分析5.2.1一般規(guī)定當石油化工過程為非“兩重點一重大”時，可采用風險圖法或其他分析方法進行安全完整性等級定級。可以考慮進行LOPA的場景如下：1.HAZOP分析后果嚴重程度高的（比如，后果嚴重程度為人身傷亡1至2人的場景和后果嚴重程度更高的場景2.HAZOP分析得出的風險等級（剩余風險1a）較高的（根據(jù)風險標準確定3.可能性等級較高（舉例：發(fā)生頻率大于101次/年4.“兩重點一重大”中重點監(jiān)管化學品工藝中定義的聯(lián)鎖和緊急停車系統(tǒng)相關的聯(lián)鎖；5.行業(yè)、地方、企業(yè)集團公司要求的聯(lián)鎖、重點安全回路；6.HAZOP分析得出的分險等級（剩余風險1a）為一般等級的（根據(jù)風險標準確定屬于ALARP區(qū)域時，由業(yè)主和評估單位共同協(xié)商確定是否進行LOPA分析和定級，可以對分險等級為一般等級中的重點關注場景進行LOPA分析和定級。注a：剩余風險1指的是考慮除SIS以外的其他保護措施時的剩余風險。5.2.2獨立保護層的確定BPCS的控制和/或聯(lián)鎖回路作為獨立保護層時，其RRF應符合的規(guī)定。如果BPCS的RRF大于10，應遵循AQ/T3054附錄D相關要求。SH/T3225—2024報警管理和最大允許響應時間的定義（依據(jù)GB/T41261-2022《過程工業(yè)報警系統(tǒng)管理》和T/CCSAS012—2022《化工企業(yè)工藝報警管理實施指南》1.報警管理：對報警的需求、設置、操作、監(jiān)控、記錄和維護、變更、取消等全生命周期的管2.最大允許響應時間：容許從報警發(fā)生到操作員做出正確響應操作之間的最長時間。如圖3所示，既過程變量從A點變化到B點所需要的時間。圖3報警及人員干預的最大允許響應時間SIF做為IPL規(guī)定了下列要求：a）如果SIF的測量儀表、最終執(zhí)行機構與BPCS有共用部分，則BPCS的失效不應導致SIF任何安全功能的失效；c）SIF的響應時間包括測量儀表、邏輯控制器、最終執(zhí)行機構三部分的響應時間加上SIS動作后的過程滯后時間之和。物理防護指超壓保護，防止容器的災難性破裂，包括安全閥、爆破片、放空閥等，其有效性受使用條件的影響較大，比如在確定安全閥、爆破片是否為保護層或確定其PFD時，應考慮其設計工況是否滿足最大泄放工況的要求，其實際運行的環(huán)境是否可能出現(xiàn)污染、堵塞、腐蝕、不恰當維護等因素。釋放后保護措施需要考慮以下2方面因素：1.釋放后保護措施屬于降低事故后果的措施，主要包括：（1）氣體檢測報警系統(tǒng)；（2）火災檢測報警系統(tǒng)；（3）攔蓄收集設施（防火堤、集液池及相關收集系統(tǒng)（4）抑制可燃氣體蒸發(fā)擴散的設施（LNG集液池的高