标准号:TCCSAS 045-2023
标准名:安全仪表功能(SIF)安全完整性等级(SIL)验证导则
发布单位:中国化学品安全协会
发布日期:2023年11月27日
实施日期:2023年11月27日
安全仪表功能(SIF)安全完整性等级(SIL)验证导则
1.范围
本文件确立了安全仪表功能(SIF)的安全完整性等级(SIL)验证的原则,提供了验证方法、公式、示例、数据等内容,给出了失效率、结构约束、系统性能力等验证的程序、内容等说明。
本文件适用于石油化工和化工装置的SIL验证。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件。不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20438.2-2017 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/可编程电子安全相关系统的要求
GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略语
GB/T 21109.1-2022 过程工业领域安全仪表系统的功能安全 第1部分:框架、定义、系统、硬件和应用编程要求
3术语和定义
GB/T 20438.4-2017和GB/T 21109.1-2022界定的以及下列术语和定义适用于本文件。
3.1安全仪表功能 safety instrumented function;SIF由安全仪表系统(SIS)实现的安全功能。
注:SIF设计用来达到一个要求的SIL,SIL.由其他参与降低相同风险的保护层决定。
[来源:GB/T 21109.1-2022,3.2.66]
3.2安全完整性等级 safety integrity level;SIL为规定SIS应达到的安全完整性要求而分配给SIF的离散等级(4个等级中的一个)。
注 1:SIL.等级越高,期望的 PFD、PFH 越低。
注2:目标失效量和 SIL 间的关系见 GB/T 21109.1-2022的表 4 和表 5。
注 3:SIL4 是安全完整性的最高等级,SIL1是最低等级。
注 4:此定义和 GB/T 20438.4—2017 中的定义有差别,从而反映过程领域术语中的差异。
[来源:GB/T 21109.1-2022,3.2.69,有修改]
3.3验证 verification通过检查和客观证据证实要求已满足。
注:本文件的范围是 SIL.验证,不包括对 SIS的其他的检查、确认。
[来源:GB/T 21109.1-2022,3.2.87,有修改]
3.4故障裕度 fault tolerance出现故障或错误时,功能单元能够继续执行要求的功能或操作的能力。
注1:硬件故障裕度HFT-1表示:当多个组件中的1个故障时,单元能工作。
注2:2003配置的危险故障的HFT是1;1003的是2.
[来源:GB/T 21109.1-2022,3.2.21,有修改]
3.5系统性能力 systematic capability;SC当设备根据安全手册规定的说明进行应用时,设备的系统性安全完整性达到规定SIL.要求的置信度的度量(表示为SC 1 到 SC 4),其与特定的安全功能有关。
注 1:系统性能力参照 GB/T 20438.2-2017 和 GB/T 20438.3-2017 中系统性故障的避免和控制要求确定。
注2:系统性失效机制取决于设备的特性。对于只由硬件组成的设备,只考虑硬件失效机制。对于由硬件和软件组成的设备,则需要考虑硬件和软件失效机制间的相互影响。
注3:某设备SCN的系统性能力是指当设备按照安全手册规定的SCN要求应用时,此设备达到了SCN的系统性安全完整性。
[来源:GB/T 21109.1-2022,3.2.80]
3.6要求时的平均失效概率 average probability of failure on demand
在规定时间段内,当要求时,设备(系统)不能响应的平均概率。
注 1:PFD 随时间积累而变化,是时间的函数PFD(t);PFD.,是规定时间段内的平均值。累注 2:对于SIS,需求时,不能响应,即为危险故障。
注3:也称为要求时的平均危险失效概率(average probability of dangerous failure on demand).
[来源:ISA TR84.00.02-2022,附录B,有修改]
3.7每小时的失效概率 probability of failure per hour;PFH每小时设备(系统)故障的平均次数。
注:此处故障指危险故障。
[来源:ISA TR84.00.02-2022,第7章,有修改]
3.8误停车率 spurious trip rate;STR在单位时间内,设备误动作引起的,工艺停车或混乱的预期次数。
注:STR=1/MTTFsP
[来源:ISA TR84.00.02-2022,附录B,有修改]
3.9检验测试间隔 test interval;TI
2 次成功的检验测试之间的时间间隔。
注 1:本文件中,PTI(proof test interval)和 TI 含义相同。
注2:本文件中,TI及其他时间参数参与计算时,单位是小时(h)。
注3:检验测试间隔也称检测周期。
3.10失效率
failure rate时间点t之后的时间段△t内发生失效的设备总量,与t时间点完好设备的总量的比值,在△t趋向0时的极限值。
注1:本术语主要应用于随机失效。本文件假定设备中失效的数量相对于完好的数量,按固定比例出现。
注2:单位通常是FIT(10-"次/h)。
注 3:本术语应用于系统失效时,表示非设备自身原因导致的失效。[来源:ISA TR84.00.02-2022,附录B,有修改]
4.符号和缩略语
4.1符号
下列符号适用于本文件。
M——N 取 M(MooN)表决配置中的 M。
N——N 取 M(MooN)表决配置中的 N。
R—-N 取 M(MooN)表决配置中,R=N-M+1。例如:3 取 2 时,M=2,N=3,R=2。
β——共因因子。λ——失效率。
μ维修率。
4.2 缩略语
下列缩略语适用于本文件。
AC:结构约束(architecture constraint)
CCF:共因失效(common caused failure)
DC:诊断覆盖率(diagnostic coverage)
DI:诊断周期(diagnostic interval)
DR:需求率(demand rate)
DTT:非励磁停车(de-energize to trip)
ETT:励磁停车(energize to trip)
FIT:菲特(failure in time)
FMEA:失效模式和影响分析(failure mode and effects analysis)
FTA:故障树分析(fault tree analysis)
HFT:硬件故障裕度(hardware fault tolerance)
IF:独立失效(independent failure)
MT:使用期限(mission time)
MTBF:平均失效间隔时间(mean time between failure)
MTTF:平均故障前时间(mean time to failure)
注 1:也称为平均无故障时间。
MTTR:平均恢复时间(mean time to restoration)
PFD:要求时的失效概率(probability of failure on demand)
PFDavg:要求时的平均失效概率(average probability of failure on demand)
PFH:每小时的失效概率(probability of failure per hour)
PTC:检验测试覆盖率(proof test coverage)
PVST:部分阀门行程测试(partial valve stroke test)
注2:也称为PST部分行程测试(partial stroke test)。
RRF:危险降低因子(risk reduction factor)SFF:安全失效分数(safe failure fraction)
SIF:安全仪表功能(safety instrumented function)
SIL:安全完整性等级(safety integrity level)
SIS:安全仪表系统(safety instrumented system)
SRS:安全要求规范(safety requirements specifications)
SC:系统性能力(systematic capability)
STR:误停车率(spurious trip rate)
TI:检验测试间隔(test interval)
4.3 标志符号
在代码或缩略语上加标志,可构成新的含义。
5概述
5.1 SIL.验证的外部关系和内部结构见图1,以及后续条目的说明。示例见附录A.
5.2 SIL 验证包括设计阶段的初步 SIL 验证、采购后的 SIL 验证、现役装置的 SIL 验证等
5.3 SIL 验证的输入对象(图 1 中实线箭头)应包括如下,对应的文件见附录 B:
a)SIL 定级:包括每个 SIF 的说明和 SIL 要求等;
b)可用性要求:包括 STR 等参数;
c)维护情况:包括TI等参数;
d)可靠性参数:包括λ 等参数;
e)工程设计:包括P&-ID、因果表、逻辑图等文件,用于方便理解验证对象。
5.4 仪表设备的可靠性参数的来源包括:企业和行业的通用数据、产品的证书数据。在初步验证阶段,未采购产品,无产品数据,可采用拟用产品证书数据或通用数据。
5.5 SIL 验证的工作范围(图 1 中椭圆)应包括:
a)检查:冗余度(HFT)、系统性能力(SC)、可靠性(PFDg/PFH)、误停车(STR);
b)计算:PFD/PFH、STR注:STR 为可选。
5.6 SIL 验证的检查依据见表 1,计算方法见附录 C。
5.7 组成SIF的组件设备的分类见表2.
5.8 当计算检查不合格时,可调整输入(图1中虚线箭头),并重新计算检查,直至合格。调整对结果的影响见附录 D。
5.9 验证报告的内容应包括:输入整理、计算框图和过程、结果和检查、修改建议、相关产品证书等。
5.10 SIL 验证结束后,结果可反馈至各上游工作中,形成闭环。
6 总体原则和要求
6.1 SIF的SIL验证计算采用的仪表设备可靠性数据宜来自以往使用数据、SIL认证报告、公开发行的工业数据库或手册等。以往使用的术语和定义见GB/T 21109.1—2022中的3.2.51。根据“以往使用”选择设备的要求见GB/T 21109.1—2022 中的 11.5.3.
6.2 用于逻辑解算器的可编程电子系统应取得功能安全认证。
6.3 SIS或安全子系统的TI的确定宜综合考虑SIL验证的符合性和企业检维修与停车的整体规划。
SIS 或安全子系统的 TI 宜与企业计划停车检修时间间隔相同。
6.4 为满足SIL验证的符合性,SIS或安全子系统的TI与企业计划停车检修时间间隔相同具有困难时,可采用不同的时间间隔。同一SIF 的传感器、最终元件和逻辑解算器可采用不同的 TI。
6.5 当SIF的误动作可能造成的损失大于可容忍程度时,可规定可用性要求,并验证SIF满足可用性要求,如验证SIF的STR满足企业可用性要求。
6.6 SIF可用性冗余配置应满足法律、法规、规章、标准规范要求和企业可容忍风险标准的要求。在SIF的误停车不涉及法律、法规、规章、标准规范要求时,企业可决定误停车可容忍要求,并据此确定SIF 的可用性配置。
6.7 同一个传感器、逻辑解算器、最终元件可用于不同的SIF,共用部分应满足所有相关SIF的安全技术要求,包括 SIF要求和 SIL 要求,并应进行验证。
6.8 安全仪表系统应独立于基本过程控制系统,并应独立完成安全仪表功能。SIS可执行非功能安全的仪表功能。SIS应具有优先权,非功能安全的仪表功能的失效或指令不应影响SIS的功能安全,包括不应降低 SIF 的 SIL
6.9除非SIS紧急停车按钮和相关环节(包括操作人员和获取信息的措施)满足功能安全标准的要求并获得置信,SIS紧急停车按钮不应参与 SIL 验算,不应降低 SIF 可达到的危险失效量。
6.10 SIL验证计算的输入条件应包括危险失效率(A)、检验测试间隔(TI)、表决形式(MooN)、诊断覆盖率(DC)、平均恢复时间(MTTR)、共因因子(β)等。
6.11 在对联锁逻辑确定具体SIF时,应区分联锁逻辑中的安全关键设备和非安全关键设备。安全关键设备执行安全仪表功能,非安全关键设备不执行安全仪表功能。安全关键设备是指该设备的动作是将工艺过程转入安全状态必不可少的动作,只有该设备的动作有效执行才能将工艺过程转入安全状态。非安全关键设备是指该设备的动作不是将工艺过程转入安全状态必不可少的动作,该设备的动作失效不影响通过安全关键设备的动作将工艺过程转入安全状态。
注1:联锁逻辑不等同于SIF,联锁逻辑仅表达因果关系;SIF是对某一场景的保护功能。一个SIF明确定义一个保护功能的范围和可靠性要求。一个“联锁逻辑”可能是一个SIF,也可能包含多个SIF,反之亦然。
注2:区分安全关键设备和非安全关键设备、确定SIF是SIL定级的工作。如果SIL验证中发现SIF中包括了非安全关键设备,可以提出复核要求并由相关人员确定安全关键设备和非安全关键设备,以及SIF。
6.12 SIF中控制阀的阀体、执行机构、电磁阀均应参与SIL验算。
6.13 石油化工和化工装置SIF的SIL等级不应高于SIL3级。如果在确定SIL等级时,有可能达到SILA,应重新分配保护层的安全功能,或采用多个独立的安全仪表功能,使SIL等级不高于SIL3.
6.14 应确定检测到故障时的系统行为对SIL验证的影响,检测到故障时的系统行为应符合GB/T 21109.1-2022的11.3的要求。
6.15 SIF有变动时(包括仪表设备的型号、软件的版本号、制造商、联锁逻辑、独立和共用、场景等方面的变动),应重新开展 SIL.评估,含 SIL定级、SIL 验证。
6.16 SIL验证可建立全生命周期的动态机制,比如可根据仪表设备现场的实际运行情况,定期评估用于SIL验证的仪表设备的可靠性数据的合理性,如果发现用于SIL验证的仪表设备的可靠性数据不同于现场实际情况,可根据现场实际情况适当调整可靠性数据,赋值合适的失效率以符合现场实际情况,并开展 SIL 验证。
6.17 用于 SIL 验证的计算公式应符合有关国家标准的要求。
7过程和执行
7.1验证程序
7.1.1 SIL 验证节点
SIS安全生命周期中的"SIS设计和工程”阶段应开展SIL验证,如图2所示,"SIS设计和工程”阶段中的基础工程设计阶段可开展SIL预验证,"SIS设计和工程”阶段中的详细工程设计阶段应开展SIL验证。现役装置,SIF有变动时,按照6.15的要求进行SIL验证;SIL验证可按照6.16的要求,建立全生命周期的动态机制。
7.1.2 SIL验证程序典型的 SIL 验证流程如图 3 所示。
7.2 验证输入
7.2.1 SIL验证输入资料宜包括但不局限于以下内容:
a)工程设计资料,包括P&-ID、逻辑图等;
b)SIF 清单、SIF 组成和 SIF 安全关键设备清单;
c)SIF 的 SIL 级别要求;
d)SIF 的操作模式;
e)SIF 的目标失效量要求;
f)检验测试间隔(TI);
g)仪表设备的可靠性数据;
h)配置方案,包括表决形式(MooN);
i)仪表设备安全手册;
j)变更文件。
7.2.2 可检查表的形式检查SIL验证输入资料是否齐全,见附录B.
7.3 验证符合性
7.3.1 SIL验证应包括SIF硬件安全完整性验证;SIL.验证可包括系统性安全完整性验证。
7.3.2 硬件安全完整性验证应包括失效量验证(见 7.4)和结构约束验证(见 7.5)。在低要求操作模式时,失效量验证应采用PFD,验证;在连续操作模式或高要求操作模式时,失效量验证应采用PFH验证。
7.3.3 SC 可用于系统安全完整性的验证,见 7.6。
7.4 失效量验证
7.4.1 应确定用于 SIL 验证的 SIF 目标失效量。SIL 定级给出明确的目标失效量时,SIF 目标失效量应采用此目标失效量。SIL.定级没有给出明确的目标失效量,只给出SIL等级时,SIF目标失效量参考表3或表4,可采用要求达到的SIL.等级对应的最小的PFD或PFH
7.4.2 SIF 的计算失效量应不大于目标失效量。
7.4.3 在低要求操作模式时,SIF 的 SIL 等级应采用 PFD或 RRF 衡量,根据表 3 确定。
7.5 结构约束验证
7.5.1 每个SIF均应满足结构约束要求,结构约束要求可通过HFT的要求表达。
7.5.2 当SIS可被分解成独立的SIS子系统时(如传感器、逻辑解算器及最终元件),则HFT可在SIS子系统层级指定。
7.5.3 SIS 或 SIS 子系统的HFT 和相关要求应按照以下 3 种路线之一确定:
a)符合表5的要求,并且全可变语言(FVL)和有限可变语言(LVL)可编程设备的诊断覆盖率应不小于60%,并且失效量计算中使用的可靠性数据应由不小于70%的统计置信区间上限确定;注1:此路线同GB/T 21109.1-2022中11.4.5~11.4.9建立的路线。GB/T 21109.1-2022中建立的路线源自GB/T 20438.2-2017 中的路线 2H。
b)符合表 6 的要求和 GB/T 20438.2—2017中 7.4.4.2(路线1H)的要求;注2:GB/T 20438.2-2017中的路线 1H基于硬件故障裕度和安全失效分数的概念c)
符合表 5 的要求和 GB/T 20438.2-2017 中 7.4.4.3(路线 2H)的要求。
7.6 系统性安全完整性验证
7.6.1 设备的系统性能力SCN(N=1,2,3)应满足SIF要求的SIL等级要求。设备的系统性能力SC N 是指SIL N 的系统性安全完整性已被满足。
7.6.2 系统性安全完整性(系统性能力)要求,可通过实现以下合规路线之一来满足:
a)路线 1s:符合避免系统性工作要求(见 GB/T 20438.2-2017 的 7.4.6 和 GB/T 20438.3-
2017)和控制系统性故障要求(见 GB/T 20438.2—2017 的 7.4.7 和 GB/T 20438.3—2017);b)路线 2s:符合设备以往使用证明的要求(见 GB/T 20438.2-2017 的 7.4.10);c)路线 3s(仅针对已有软件组件):符合 GB/T 20438.3—2017 的 7.4.2.12 的要求。
7.6.3 对于某具有系统性能力SCN的组件,若该组件的系统性故障并不会使指定安全功能失效,而仅在另一个具有系统性能力SCN 的组件同时发生系统故障时才会使指定功能失效,则在两个组件之间足够独立的前提下其组合的系统性能力可视为SC(N+1)。足够独立性的判断可参考 GB/T 20438.2一2017 的 7.4.3.4。
7.6.4 多个系统性能力为SCN的组件组合后可声明的最高系统性能力为SC(N+1)。每个SCN组件在这种方式下仅能使用一次,不准许继续增加SC N组件达到或超过SC(N+2)
7.7 不合格调整
7.7.1 SIL验证不满足要求时,可采取的措施例如:
a)选择高可靠性设备;
b)提高冗余配置;
c)缩短 TI(如适用);
d)提高检验测试覆盖率;
e)减少共因失效;
f)增加 PST 功能;
g)重新进行安全评估,考虑是否可通过增加保护层来降低SIL等级要求。
7.7.2 调整输入及对验证的影响见附录D。
7.8 验证报告
SIL验证报告宜包括,但不局限于以下内容:
a)SIL 验证输入资料清单;
b)说明硬件安全完整性验证的符合性;
c)说明系统性安全完整性验证的符合性;
d)说明SIL验证采用的公式,并说明标准符合性;
e)对于验证不合格的SIF给出的建议措施(尤其是对现役装置进行SIL.验证时);
f)SIL验证结果清单和建议清单。
7.9 验证示例
7.9.1 SIL验证的示例见附录A.
7.9.2 附录A以实际的SIF为例,采用计算软件,详细具体地执行了SIL计算和验证,包括如下内容。
a)明确SIF的结构以及表决关系。根据SIL定级报告中的SIF描述、P&.ID、逻辑描述和相关设计文件,确定 SIF 各子系统(传感器、逻辑解算器、最终元件)组成的逻辑表决结构。
b)整理 SIF 组件的失效数据。明确数据来源、组件的安全失效 入sD/入su、危险失效 入DD/ADu等。
c)整理每个子系统及组件的以下参数:
采用的标准(本例中,使用 GB/T 21109.1—2022);操作模式(低、高或者连续);使用期限(MT);检验测试间隔(TI);检验测试覆盖率(PTC);共因因子等。
d)计算 SIF 的 PFD和 STR.
e)得到整个SIF功能回路的PFDg、HFT,SC、STR后,对比要求值,判定该SIF回路是否实现SIL 定级要求。当对 STR 无要求时,不需对比判定。
下载地址:
TCCSAS 045-2023 安全仪表功能(SIF)安全完整性等级(SIL)验证导则.pdf:
https://url00.ctfile.com/f/15961800-983327575-b868c3?p=5851
(访问密码: 5851)
