SIS系统设计中安全要求规格书(SRS)的编制

SIS系统设计中安全要求规格书（SRS）的编制一、安全要求规格书SRS的基本介绍SRS是SIS系统设计(初设、详设以及全生命周期设计及使用阶段管理)的基础，也是SIS系统最终确认的依据，因此所有必须的信息都应该包括在内，形成一整套完整的文件。SRS是整个安全生命周期中重要的一环，通过SRS可以知道怎样设计一个安全仪表功能(SIF)，以及如何把这些功能(SIF)集成到一个SIS中。安全功能要求规范SRS（safetyrequirementspecification）是包含安全仪表系统应执行的安全仪表功能的所有要求的规范。SRS虽然在IEC61508、IEC61511中很早就提出，但是由于国内对SRS编制的详细要求还存在一定的差距和不足，因此部分企业仍然尚未编制SRS文件。随着近几年专家频次及深度的增加，SRS文件缺失的现象被逐渐暴露出来。SRS实施的阶段如下（来自GB/T20438.1-2017）：二、安全要求规格书(SRS)的安全要求（摘自GB/T20438.1-2017

7.10）1.

E/E/PE系统安全要求规范应来自7.6中指定的安全要求的分配，并结合应用的相关信息。这些信息应提供给E/E/PE安全相关系统的开发者。2.

E/E/PE系统安全要求规范应当包括安全功能的要求以及它们相应的安全完整性等级。注：描述安全功能利它们所需的功能安全性能.而并不特指设备。此规范可以依据整体安全要求和整体安全要求分配阶段的输出进行验证,并可作为E/E/PE系统实现（见GB/T20438.2—2017的7.2）的基础。设备设计者可-将规范作为选择设备和架构的基础。3.

E/E/PE系统安全要求规范应当提供给E/E/PE安全相关系统的开发者.E/E/PF：系统安全要求规范的结构和表达应当按如下方式：a）清晰、准确、不含糊、可验证、可测试、可维护且切实可行;b）便于在E/E/PE系统安全生命周期任何阶段使用此信息的工作人员理解；c）安全功能的要求可以通过自然语言或正式语言和/或逻辑图、顺序图或因果图表述，每个安全功能应单独定义。4.

E/E/PF2系统安全要求规范应当包含E/E/PE系统安全功能要求。5.E/E/PE系统安全功能要求规范应当包含：a.为实现所需的功能安全所需的所有安全功能的描述.每-个安全功能的描述应：——提供综合详细的具体要求以满足E/E/PE安全相关系统的设计与开发；——包含E/E/PE安全相关系统实现或保持EUC系统安全状态的行为方式；——规定为实现或保持EUC系统安全状态.是否要求连续控制以及控制周期；——规定安全功能是否适用于E/E/PE安全相关系统的低要求、高要求或连续运行模式。

b.响应时间性能（即安全功能必须在要求的时间内完成）。c.实现所需的功能安全所必需的E/E/PE安全相关系统和操作员接口.d.所有功能安全相关的可能会对E/E/PE安全相关系统设计产生影响的信息。e.实现所需的功能安全所必需的E/E/PE安全相关系统和其他系统（EUC内部或外部的）之间的接口。f所有EUC的相关运行模式，包括：——使用准备包括设置和调整；启动、示教、自动、手动、半自动、稳态运行；——非运行的稳定状态、夏位、关机、维护：—合理可预见的不正常状态。运行的特定模式（例如设置、调整或维护）可能要:求额外的安全功能以确保安全运行。g.应规定所有E/E/PE安全相关系统所需的行为模式。特别是E/E/PE安全相关系统的失效行为和失效事件要求的响应（例如报警、自动停车等）。6、E/E/PE系统安全完整性要求规范应当包含：a.每一个安全功能的安全完整性等级和要求时目标失效的规定值；b.每个安全功能的运行模式c.要求的负荷率和寿命d.硬件检验测试的要求、约束、功能和设施e.可能发生的所有极端环境条件f.电磁干扰限制g.共因失效三、安全要求规格书(SRS)的安全要求(摘自GB/T21109.1-2007

10.3)1、达到安全功能所必须的所有的SIF的描述(例如：联锁逻辑说明、因果图或逻辑图)；2、识别并考虑共同原因失效的要求；3、对每个所确定的仪表安全功能的过程安全状态定义；4、任何单个的过程安全状态的定义，当这些状态同时发生时就会产生一个单独的风险(例如应急储存的过载、燃烧系统的多次泄压)；5、仪表安全功能SIF的“要求(Demand)”和要求率(DemandRate)的假定来源；6、与检验测试(ProofTest)时间间隔(TI)有关的要求；7、SIS将工艺过程置于安全状态,对每个SIF的响应时间(执行时间)要求；8、每个SIF的安全完整性等级(SIL)以及操作模式(要求/连续)；9、对PID工艺测量参数、量程、精度，以及脱扣点(关断设定值)的描述；10、SIF过程输出动作及成功操作准则的描述(例如对关断阀的泄漏率的要求)；11、过程输入、输出点之间的功能关系，包括逻辑、数学功能，以及任何要求的许可；12、人工停机要求(每个SIF手动停机的要求)；13、与加电或断电脱扣有关的要求(每个SIF得电还是失电关停的相关要求)；14、每个SIF的最大允许脱扣率(最大允许误关停率)；15、SIF停机后的复位要求(例如,对最终元件的手动、半自动，或者自动复位的要求)；16、每个SIF的失效模式和要求的SIS响应(例如：报警、自动停机)；17、与SIS启动和再启动规程有关的任何特别要求；18、SIS和任何其他设备之间(包括BPCS和操作员)之间所有接口的安全要求；19、工厂操作模式的描述，以及在每种操作模式下仪表安全功能识别；20、应用程序(软件)的安全要求；21、超驰/禁止/旁路的要求，包括关于旁路操作的书面要求，要明确描述出旁路如何设置、如何解除；22、当检测出SIS中存在某种故障，达到或保持某个工艺过程的安全状态所必须的任何动作的规范，任何这样的动作都需要考虑人力因素的影响；23、关于SIS的切实可行的平均维修时间(MTTR)，要考虑维修备件库存、人员的路途时间、备件安装、服务合同的规定，以及考虑人员技术能力和环境方面的限制；24、需要避免的SIS输出状态危险组合的识别；25、SIS在运输、存储、安装，以及操作期间，可能遭遇的所有极端环境状态的辨识。需要考虑下面这些方面：温度、湿度、污染物、电磁干扰/射频干扰(EMI/RFI)、振动/撞击、静电放电、电气防爆区域分级、洪水、雷电，以及其他相关因素；26、工艺过程正常或非正常操作模式的辨识，包括整个工艺装置的操作(例如，开车)，以及单项操作规程(例如，设备维护、传感器标定或维修)。可能需要附加的SIF应对这些工艺过程操作模式；27、任何SIF能经受一次重大意外事故的仪表安全功能要求的定义要求。例如，在发生火灾时，要求关断阀必须维持操作多长时间；28、与每个SIF有关的输入、输出仪表以及执行机构清单，保证位号的唯一性。四、安全要求规格书(SRS)的安全要求(摘自某国外文献)五、安全要求规格书(SRS)的安全要求(摘自T/CIS71001-2021化工安全仪表系统安全要求规格书编制导则)（1）SRS的实施阶段：T/CIS71001-2021化工安全仪表系统安全要求规格书编制导则对SRS的实施阶段进行了说明，与GB20438的要求一致，是位于SIS工程设计的前期，可作为SIS设计的输入资料。具体的内容如下：（2）SRS的一般性要求如下：1.列出所有SIF的功能说明，可采用因果表、逻辑说明或逻辑图。2.列出各SIF相关的输入输出设备清单，通过设备位号予以识别。3.识别并考虑共因失效要求。4.定义每个已识别的SIF的过程安全状态。5.定义单个危险事件的过程安全状态，以及多个危险事件同时发生时可能造成的额外风险。如装置跳车时多个设备同时排放至火炬可能产生新的风险。6.识别每个SIF的危险源，确定危险发生的概率。7.确定检验测试间隔的相关要求。8.确定检验测试实施的相关要求。9.确定每个SIF的响应时间要求。通常SIF的响应时间是指从信号检测、逻辑处理到最终元件动作完成的响应时间之和10.列出每个SIF的SIL等级和操作模式（如要求模式、连续模式）。11.列出SIS过程测量形式、量程范围、精确度等级及联锁设定值等。12.列出SIF过程输出动作及成功操作的标准，如控制阀的泄漏等级。13.说明每个SIF输入与输出之间的功能关系，如逻辑关系、数学函数关系及允许触发条件等。14.说明每个SIF手动停车要求，如控制室或现场手动关闭某台设备。15.说明每个SIF得／失电联锁停车的相关要求。16.说明每个SIF停车后的复位要求，如停车后最终元件手动、半自动或自动复位。17.说明SIF最高允许的误停车率。18.说明每个SIF的失效模式和SIS的预期响应，如报警、自动停车等。19.说明SIS启动及重启程序的具体要求。20.说明SIS与其他系统之间的接口要求，如过程接口、通信接口、人机接口等。21.说明装置各种运行模式及每种模式下SIF操作的相关要求。装置运行模式通常包括开车、正常、牌号切换、其他特殊操作模式（如重启、火灾、低负荷等）。22.识别装置内某单元或设备的正常和异常过程操作模式，说明是否需要额外增加SIF。23.说明旁路要求及旁路期间的管理要求，如维护旁路、操作旁路等。24.说明SIS检测到故障事件时，为达到或保持过程的安全状态需采取的必要措施，及所有相关的人为因素。25.确定SIS合理的MTTR，综合考虑备品备件存储、地理位置、路程时间、服务合同、环境限制等。26.识别需要避免的SIS输出状态的关联危险。27.识别在运输、储存、安装及运行过程中SIS可能遇到的所有极端环境条件，如：温度、湿度、污染物、接地、电磁干扰（EMI）、射频干扰（RFI）、冲击、振动、静电、防爆、雷电、洪涝、腐蚀及其他相关因素。28.确定在发生重大事故时所需任何SIF的要求，如控制阀在发生火灾事故时保持正常操作的时间、电缆的防火要求等。六、SRS模板示例（部分内容引用“《SIL定级与验证》中石化出版社”）七、

总结实施阶段：SRS的一般性要求应在SIS设计初期执行，一般认为在SIL定级后执行即可，这部分内容是SIS工程设计的输入文件。但是仪表、SIS系统和阀门的具体参数值，应该在详细设计后进行补充完善。采购根据SIS设计文件购买设备，设备厂商提供相关型号等数据由自控专业继续补充SRS文件；最后验证人员根据SRS的要求进行SIF回路的验证，当SIL验证不通过时需重新调整SRS中的内容。专业分工：SRS文件编制需要工艺、仪表及安全专业的人员协同编制，参与的单位应该有设计院、评估单位、业主及专利商。通常SRS的内容会涉及多个专业，有些内容还涉及到数据的计算，例如：工程安全时间等参数，因此需要共同讨论。内容要求：SRS一般包括通用性要求、安全功能要求及完全完整性要求。SIS通用要求包括的设计标准、运行环境、EMI/RFI(电磁干扰/射频干扰)要求、EMC(电磁兼容性)要求等，这些内容