T-CCSAS 045-2023 安全儀表功能（SIF）安全完整性等級（SIL）驗證導則

ICS13200

CCSC.68

團體標準

T/CCSAS045—2023

安全儀表功能SIF安全完整性等級SIL

()()

驗證導則

GuidelinesforsafetinteritlevelSILverificationofsafetinstrumented

ygy()y

functionsSIF

()

2023-11-27發(fā)布2023-11-27實施

中國化學品安全協(xié)會發(fā)布

中國標準出版社出版

T/CCSAS045—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由中國化學品安全協(xié)會提出并歸口

。

本文件起草單位惠生工程中國有限公司北京安必達科技有限公司中國化學品安全協(xié)會上海

:()、、、

歌略軟件科技有限公司中科合成油工程有限公司中國成達工程有限公司中海殼牌石油化工有限公

、、、

司巴斯夫中國有限公司珠海安彥企業(yè)管理咨詢有限公司中石油華東設計院有限公司中國化學賽

、()、、、

鼎寧波工程有限公司中國寰球工程有限公司萬華化學集團股份有限公司浙江石油化工有限公司

、、、。

本文件主要起草人程泱唐彬王琳王楠王嬌龍范詠峰張紅東劉友玲馮建柱曾裕玲

:、、、、、、、、、、

代軼民戴益孫彥東林洪俊張志王雪梅李才華陸興旺

、、、、、、、。

Ⅲ

T/CCSAS045—2023

安全儀表功能SIF安全完整性等級SIL

()()

驗證導則

1范圍

本文件確立了安全儀表功能的安全完整性等級驗證的原則提供了驗證方法公式示

(SIF)(SIL),、、

例數(shù)據(jù)等內容給出了失效率結構約束系統(tǒng)性能力等驗證的程序內容等說明

、,、、、。

本文件適用于石油化工和化工裝置的驗證

SIL。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,。,()

本文件

。

電氣電子可編程電子安全相關系統(tǒng)的功能安全第部分電氣電

GB/T20438.2—2017//2:/

子可編程電子安全相關系統(tǒng)的要求

/

電氣電子可編程電子安全相關系統(tǒng)的功能安全第部分軟件要求

GB/T20438.3—2017//3:

電氣電子可編程電子安全相關系統(tǒng)的功能安全第部分定義和縮

GB/T20438.4—2017//4:

略語

過程工業(yè)領域安全儀表系統(tǒng)的功能安全第部分框架定義系統(tǒng)硬

GB/T21109.1—20221:、、、

件和應用編程要求

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T20438.4—2017GB/T21109.1—2022。

31

.

安全儀表功能safetyinstrumentedfunctionSIF

;

由安全儀表系統(tǒng)實現(xiàn)的安全功能

(SIS)。

注設計用來達到一個要求的由其他參與降低相同風險的保護層決定

:SIFSIL,SIL。

來源

[:GB/T21109.1—2022,3.2.66]

32

.

安全完整性等級safetyintegritylevelSIL

;

為規(guī)定應達到的安全完整性要求而分配給的離散等級個等級中的一個

SISSIF(4)。

注1等級越高期望的越低

:SIL,PFDavg、PFH。

注2目標失效量和間的關系見的表和表

:SILGB/T21109.1—202245。

注3是安全完整性的最高等級是最低等級

:SIL4,SIL1。

注4此定義和中的定義有差別從而反映過程領域術語中的差異

:GB/T20438.4—2017,。

來源有修改

[:GB/T21109.1—2022,3.2.69,]

33

.

驗證verification

通過檢查和客觀證據(jù)證實要求已滿足

。

1

T/CCSAS045—2023

注本文件的范圍是驗證不包括對的其他的檢查確認

:SIL,SIS、。

來源有修改

[:GB/T21109.1—2022,3.2.87,]

34

.

故障裕度faulttolerance

出現(xiàn)故障或錯誤時功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力

,。

注1硬件故障裕度表示當多個組件中的個故障時單元能工作

:HFT=1:1,。

注2配置的危險故障的是的是

:2oo3HFT1;1oo32。

來源有修改

[:GB/T21109.1—2022,3.2.21,]

35

.

系統(tǒng)性能力systematiccapabilitySC

;

當設備根據(jù)安全手冊規(guī)定的說明進行應用時設備的系統(tǒng)性安全完整性達到規(guī)定要求的置信

,SIL

度的度量表示為到其與特定的安全功能有關

(SC1SC4),。

注1系統(tǒng)性能力參照和中系統(tǒng)性故障的避免和控制要求確定

:GB/T20438.2—2017GB/T20438.3—2017。

注2系統(tǒng)性失效機制取決于設備的特性對于只由硬件組成的設備只考慮硬件失效機制對于由硬件和軟件組

:。,。

成的設備則需要考慮硬件和軟件失效機制間的相互影響

,。

注3某設備N的系統(tǒng)性能力是指當設備按照安全手冊規(guī)定的N要求應用時此設備達到了N的系統(tǒng)

:SCSC,SC

性安全完整性

。

來源

[:GB/T21109.1—2022,3.2.80]

36

.

要求時的平均失效概率averageprobabilityoffailureondemand

PFDavg

在規(guī)定時間段內當要求時設備系統(tǒng)不能響應的平均概率

,,()。

注1隨時間積累而變化是時間的函數(shù)t是規(guī)定時間段內的平均值

:PFD,PFD();PFDavg。

注2對于需求時不能響應即為危險故障

:SIS,,,。

注3也稱為要求時的平均危險失效概率

:(averageprobabilityofdangerousfailureondemand)。

來源附錄有修改

[:ISATR84.00.02—2022,B,]

37

.

每小時的失效概率probabilityoffailureperhourPFH

;

每小時設備系統(tǒng)故障的平均次數(shù)

()。

注此處故障指危險故障

:。

來源第章有修改

[:ISATR84.00.02—2022,7,]

38

.

誤停車率spurioustriprateSTR

;

在單位時間內設備誤動作引起的工藝停車或混亂的預期次數(shù)

,,。

注

:STR=1/MTTFSP

來源附錄有修改

[:ISATR84.00.02—2022,B,]

39

.

檢驗測試間隔testintervalTI

;

次成功的檢驗測試之間的時間間隔

2。

注1本文件中和含義相同

:,PTI(prooftestinterval)TI。

注2本文件中及其他時間參數(shù)參與計算時單位是小時

:,TI,(h)。

注3檢驗測試間隔也稱檢測周期

:。

來源有修改

[:ISATR84.00.02—2022,7,]

2

T/CCSAS045—2023

310

.

失效率failurerate

λ

時間點t之后的時間段t內發(fā)生失效的設備總量與t時間點完好設備的總量的比值在t趨向

Δ,,Δ

時的極限值

0。

注1本術語主要應用于隨機失效本文件假定設備中失效的數(shù)量相對于完好的數(shù)量按固定比例出現(xiàn)

:。,。

注2單位通常是-9次

:FIT(10/h)。

注3本術語應用于系統(tǒng)失效時表示非設備自身原因導致的失效

:,。

來源附錄有修改

[:ISATR84.00.02—2022,B,]

4符號和縮略語

41符號

.

下列符號適用于本文件

。

MN取M表決配置中的M

———(MooN)。

NN取M表決配置中的N

———(MooN)。

RN取M表決配置中RNM例如取時MNR

———(MooN),=-+1。:32,=2,=3,=2。

共因因子

β———。

λ失效率

———。

維修率

μ———。

42縮略語

.

下列縮略語適用于本文件

。

結構約束

AC:(architectureconstraint)

共因失效

CCF:(commoncausedfailure)

診斷覆蓋率

DC:(diagnosticcoverage)

診斷周期

DI:(diagnosticinterval)

需求率

DR:(demandrate)

非勵磁停車

DTT:(de-energizetotrip)

勵磁停車

ETT:(energizetotrip)

菲特

FIT:(failureintime)

失效模式和影響分析

FMEA:(failuremodeandeffectsanalysis)

故障樹分析

FTA:(faulttreeanalysis)

硬件故障裕度

HFT:(hardwarefaulttolerance)

獨立失效

IF:(independentfailure)

使用期限

MT:(missiontime)

平均失效間隔時間

MTBF:(meantimebetweenfailure)

平均故障前時間

MTTF:(meantimetofailure)

注1也稱為平均無故障時間

:。

平均恢復時間

MTTR:(meantimetorestoration)

要求時的失效概率

PFD:(probabilityoffailureondemand)

3

T/CCSAS045—2023

要求時的平均失效概率

PFDavg:(averageprobabilityoffailureondemand)

每小時的失效概率

PFH:(probabilityoffailureperhour)

檢驗測試覆蓋率

PTC:(prooftestcoverage)

部分閥門行程測試

PVST:(partialvalvestroketest)

注2也稱為部分行程測試

:PST(partialstroketest)。

危險降低因子

RRF:(riskreductionfactor)

安全失效分數(shù)

SFF:(safefailurefraction)

安全儀表功能

SIF:(safetyinstrumentedfunction)

安全完整性等級

SIL:(safetyintegritylevel)

安全儀表系統(tǒng)

SIS:(safetyinstrumentedsystem)

安全要求規(guī)范

SRS:(safetyrequirementsspecifications)

系統(tǒng)性能力

SC:(systematiccapability)

誤停車率

STR:(spurioustriprate)

檢驗測試間隔

TI:(testinterval)

43標志符號

.

在代碼或縮略語上加標志可構成新的含義例如λ表示危險未檢測到的失效率使用標志

,。:DU“、”。

時可用作下標上標尾綴也可按需使用小寫需保證可辨識無歧義統(tǒng)一

,、、,,、、。

應用于的標志如下

PFD、PFH、STR:

計算值

●cal———(calculated);

最終元件部分

●FE———(finalelement);

●邏輯解算器部分

LS———(logicsolver);

傳感器部分

●S———(sensor);

●支持系統(tǒng)部分

SS———(supportingsystem);

●目標值

tar———(target)。

應用于λ的標志如下

、MTTF:

●危險

D———(dangerous);

●危險檢測到的

DD———、(dangerousdetected);

●危險未檢測到的

DU———、(dangerousundetected);

安全

●S———(safe);

安全檢測到的

●SD———、(safedetected);

●誤停車

SP———(spurioustrip);

安全未檢測到的

●SU———、(safeundetected)。

5概述

51驗證的外部關系和內部結構見圖以及后續(xù)條目的說明示例見附錄

.SIL1,。A。

4

T/CCSAS045—2023

圖1SIL驗證

52驗證包括設計階段的初步驗證采購后的驗證現(xiàn)役裝置的驗證等

.SILSIL、SIL、SIL。

53驗證的輸入對象圖中實線箭頭應包括如下對應的文件見附錄

.SIL(1),B:

定級包括每個的說明和要求等

a)SIL:SIFSIL;

可用性要求包括等參數(shù)

b):STR;

維護情況包括等參數(shù)

c):TI;

可靠性參數(shù)包括λ等參數(shù)

d):;

工程設計包括因果表邏輯圖等文件用于方便理解驗證對象

e):P&ID、、,。

54儀表設備的可靠性參數(shù)的來源包括企業(yè)和行業(yè)的通用數(shù)據(jù)產(chǎn)品的證書數(shù)據(jù)在初步驗證階

.:、。

段未采購產(chǎn)品無產(chǎn)品數(shù)據(jù)可采用擬用產(chǎn)品證書數(shù)據(jù)或通用數(shù)據(jù)

,,,。

55驗證的工作范圍圖中橢圓應包括

.SIL(1):

檢查冗余度系統(tǒng)性能力可靠性誤停車

a):(HFT)、(SC)、(PFDavg/PFH)、(STR);

計算

b):PFDavg/PFH、STR。

注為可選

:STR。

56驗證的檢查依據(jù)見表計算方法見附錄

.SIL1,C。

表1SIL檢查表

最小結構約束檢查注

PFDavgPFHSCHFT(AC)3

SIL注注注注最小中類中類

1、21、2GB/T21109.1—2022GB/T20438.2—2017AGB/T20438.2—2017B

-1-5時

<10<100(SFF≥60%)

1-2-6100時

≥10≥101(SFF<60%)

低需求模式時時

-2-60()時0(SFF≥90%)

<10<10高需求模式連續(xù)0(SFF≥60%)時

2-3-721(、時1(60%≤SFF<90%)

≥10≥10模式時1(SFF<60%)時

)2(SFF<60%)

時時

-3-70(SFF≥90%)0(SFF≥99%)

<10<10時時

3-4-8311(60%≤SFF<90%)1(90%≤SFF<90%)

≥10≥10時時

2(SFF<60%)2(60%≤SFF<90%)

注1當定級報告中有具體的或數(shù)值要求時以其為準

:SILPFDavgPFH,。

注2選擇檢查或取決于的操作模式操作模式的需求率決定了或更客觀

:PFDPFH,SIF。PFDPFH。

注3操作模式的說明見類類的說明見的說明見

:C.3.1,A/B5.7,SFFC.2.8。

注4的檢查依據(jù)為用戶和項目要求

:STR。

5

T/CCSAS045—2023

57組成的組件設備的分類見表

.SIF2。

表2設備分類表

分類條件

要實現(xiàn)安全功能的元器件滿足下列全部條件

:

所有組成元器件的失效模式都被明確定義

類●;

A故障狀況下組件的行為能夠完全確定

●;

有充足而可靠的失效數(shù)據(jù)可顯示出滿足所聲明的檢測到的和未檢測到的危險失效的失效率

●,

類不滿足以上條件之一

B

58當計算檢查不合格時可調整輸入圖中虛線箭頭并重新計算檢查直至合格調整對結果的

.,(1),,。

影響見附錄

D。

59驗證報告的內容應包括輸入整理計算框圖和過程結果和檢查修改建議相關產(chǎn)品證書等

.:、、、、。

510驗證結束后結果可反饋至各上游工作中形成閉環(huán)

.SIL,,。

6總體原則和要求

61的驗證計算采用的儀表設備可靠性數(shù)據(jù)宜來自以往使用數(shù)據(jù)認證報告公開發(fā)行的

.SIFSIL、SIL、

工業(yè)數(shù)據(jù)庫或手冊等以往使用的術語和定義見中的根據(jù)以往使用

。GB/T21109.1—20223.2.51?！啊?/p>

選擇設備的要求見中的

GB/T21109.1—202211.5.3。

62用于邏輯解算器的可編程電子系統(tǒng)應取得功能安全認證

.。

63或安全子系統(tǒng)的的確定宜綜合考慮驗證的符合性和企業(yè)檢維修與停車的整體規(guī)劃

.SISTISIL。

或安全子系統(tǒng)的宜與企業(yè)計劃停車檢修時間間隔相同

SISTI。

64為滿足驗證的符合性或安全子系統(tǒng)的與企業(yè)計劃停車檢修時間間隔相同具有困難

.SIL,SISTI

時可采用不同的時間間隔同一的傳感器最終元件和邏輯解算器可采用不同的

,。SIF、TI。

65當?shù)恼`動作可能造成的損失大于可容忍程度時可規(guī)定可用性要求并驗證滿足可用性

.SIF,,SIF

要求如驗證的滿足企業(yè)可用性要求

,SIFSTR。

66可用性冗余配置應滿足法律法規(guī)規(guī)章標準規(guī)范要求和企業(yè)可容忍風險標準的要求在

.SIF、、、。

的誤停車不涉及法律法規(guī)規(guī)章標準規(guī)范要求時企業(yè)可決定誤停車可容忍要求并據(jù)此確定

SIF、、、,,

的可用性配置

SIF。

67同一個傳感器邏輯解算器最終元件可用于不同的共用部分應滿足所有相關的安全技

.、、SIF,SIF

術要求包括要求和要求并應進行驗證

,SIFSIL,。

68安全儀表系統(tǒng)應獨立于基本過程控制系統(tǒng)并應獨立完成安全儀表功能可執(zhí)行非功能安全

.,。SIS

的儀表功能應具有優(yōu)先權非功能安全的儀表功能的失效或指令不應影響的功能安全包括

。SIS,SIS,

不應降低的

SIFSIL。

69除非緊急停車按鈕和相關環(huán)節(jié)包括操作人員和獲取信息的措施滿足功能安全標準的要求

.SIS()

并獲得置信緊急停車按鈕不應參與驗算不應降低可達到的危險失效量

,SISSIL,SIF。

610驗證計算的輸入條件應包括危險失效率λ檢驗測試間隔表決形式診斷覆

.SIL()、(TI)、(MooN)、

蓋率平均恢復時間共因因子β等

(DC)、(MTTR)、()。

611在對聯(lián)鎖邏輯確定具體時應區(qū)分聯(lián)鎖邏輯中的安全關鍵設備和非安全關鍵設備安全關

.SIF,。

鍵設備執(zhí)行安全儀表功能非安全關鍵設備不執(zhí)行安全儀表功能安全關鍵設備是指該設備的動作是

,。

將工藝過程轉入安全狀態(tài)必不可少的動作只有該設備的動作有效執(zhí)行才能將工藝過程轉入安全狀態(tài)

,。

非安全關鍵設備是指該設備的動作不是將工藝過程轉入安全狀態(tài)必不可少的動作該設備的動作失效

,

6

T/CCSAS045—2023

不影響通過安全關鍵設備的動作將工藝過程轉入安全狀態(tài)

。

注1聯(lián)鎖邏輯不等同于聯(lián)鎖邏輯僅表達因果關系是對某一場景的保護功能一個明確定義一個

:SIF。;SIF。SIF

保護功能的范圍和可靠性要求一個聯(lián)鎖邏輯可能是一個也可能包含多個反之亦然

。“”SIF,SIF,。

注2區(qū)分安全關鍵設備和非安全關鍵設備確定是定級的工作如果驗證中發(fā)現(xiàn)中包括了非安

:、SIFSIL。SILSIF

全關鍵設備可以提出復核要求并由相關人員確定安全關鍵設備和非安全關鍵設備以及

,,SIF。

612中控制閥的閥體執(zhí)行機構電磁閥均應參與驗算

.SIF、、SIL。

613石油化工和化工裝置的等級不應高于級如果在確定等級時有可能達到

.SIFSILSIL3。SIL,

應重新分配保護層的安全功能或采用多個獨立的安全儀表功能使等級不高于

SIL4,,,SILSIL3。

614應確定檢測到故障時的系統(tǒng)行為對驗證的影響檢測到故障時的系統(tǒng)行為應符合

.SIL,

的的要求

GB/T21109.1—202211.3。

615有變動時包括儀表設備的型號軟件的版本號制造商聯(lián)鎖邏輯獨立和共用場景等方面

.SIF(、、、、、

的變動應重新開展評估含定級驗證

),SIL,SIL、SIL。

616驗證可建立全生命周期的動態(tài)機制比如可根據(jù)儀表設備現(xiàn)場的實際運行情況定期評估用

.SIL,,

于驗證的儀表設備的可靠性數(shù)據(jù)的合理性如果發(fā)現(xiàn)用于驗證的儀表設備的可靠性數(shù)據(jù)不同

SIL,SIL

于現(xiàn)場實際情況可根據(jù)現(xiàn)場實際情況適當調整可靠性數(shù)據(jù)賦值合適的失效率以符合現(xiàn)場實際情

,,

況并開展驗證

,SIL。

617用于驗證的計算公式應符合有關國家標準的要求

.SIL。

7過程和執(zhí)行

71驗證程序

.

711SIL驗證節(jié)點

..

安全生命周期中的設計和工程階段應開展驗證如圖所示設計和工程階

SIS“SIS”SIL,2?！癝IS”

段中的基礎工程設計階段可開展預驗證設計和工程階段中的詳細工程設計階段應開展

SIL,“SIS”

驗證現(xiàn)役裝置有變動時按照的要求進行驗證驗證可按照的要求建立

SIL。,SIF,6.15SIL;SIL6.16,

全生命周期的動態(tài)機制

。

圖2SIS安全生命周期框圖