SH/T 3225-2024 石油化工安全仪表系统安全完整性等级设计规范（正式版）

ICS**.**.**CCSP**备案号：中华人民共和国石油化工行业标准2024-03-29发布2024-10-01实施中华人民共和国工业和信息化部发布SH/T3225—2024前言 2规范性引用文件 3术语和缩略语 3.1术语和定义 3.2缩略语 44基本规定 54.1SIS的安全完整性等级基本要求 54.2SIS安全生命周期工作流程 64.3SIL评估工作流程 65安全完整性等级定级 75.1过程危险辨识与风险评估 75.2保护层分析 75.3SIL定级报告 86安全要求规格书 96.1编制原则 96.2内容要求 97安全完整性等级验证 7.1一般规定 7.2硬件结构约束验证 7.3PFDAVG验证计算 7.4SIF过程可用性验证 7.5系统性能力评估 附录A（资料性）SIS安全生命周期工作流程 附录B（资料性）SIL评估工作流程 附录C（资料性）典型石油化工风险矩阵 附录D（资料性）减缓层降低风险措施的PFD 参考文献 本标准用词说明 附：条文说明 SH/T3225—2024ContentsForeword 2Normativereferences 3Termsandabbreviations 3.1Termsanddefinitions 3.2Abbreviations 4Basicspecification 4.1SISbasicrequirementsforSIL 4.2SISssafetylifecycleworkflow 4.3SILassessmentworkflow 5Safetyintegritylevelsselection 5.1Processhazardandriskassessment 5.2Layerofprotectionanalysis 5.3SILclassificationreport 6Safetyrequirementsspecification 6.1Purposeandprinciple 6.2Contantsrequirements 7Safetyintegritylevelsverification 7.1Generalspecification 7.2Hardwarearchitecturalconstraintsverification 7.3PFDAVGVerificationcalculation 7.4SIFprocessavailabilityverification 7.5Systematiccapability AnnexA（Informative）WorkflowdiagramforsafetylifecycleofSIS AnnexB（Informative）WorkflowdiagramforSILassessment AnnexC（Informative）Typicalriskmatrixforpetrochemicalplants AnnexD（Informative）PFDofriskreductionmeasuresinmitigationlayers Bibliography Explanationofwordinginthisstandard Addition：Explanationofarticles SH/T3225—2024根据中华人民共和国工业和信息化部《关于印发2014年第一批行业标准制修订计划的通知》（工信厅科〔2015〕429号）的要求，标准编制组经广泛调查研究，认真总结实践经验，参考有关国际标准和国外标准，并在广泛征求意见的基础上，制定本标准。本标准由中国石油化工集团有限公司负责管理，由中国石油化工集团有限公司安全卫生消防技术中心站负责日常管理，由中国石化工程建设有限公司负责具体技术内容的解释。执行过程中如有意见和建议，请寄送日常管理机构和主编单位。本标准日常管理机构：中国石油化工集团有限公司安全卫生消防技术中心站通讯地址：北京市朝阳区安慧北里安园21号邮政编码：100101电话箱：zhangli@本标准主编单位：中国石化工程建设有限公司通讯地址：北京市朝阳区安慧北里安园21号邮政编码：100101本标准参编单位：中国石化安全工程研究院有限公司中石化广州工程有限公司中石化上海工程有限公司中石化-霍尼韦尔（天津）有限公司北京康吉森自动化技术股份有限公司厦门熙宝源化工技术有限公司劳氏瑞安咨询（北京）有限公司莱茵检测认证服务（中国）有限公司汉威科技集团股份有限公司本标准主要起草人员：林融、李玉明、穆帅、张建国、王若青、贾萍、张翼、高生军、黄玖来、金光海、王朝晖、何磊、裴炳安、范宗海、张力、李少鹏、张斌、贾微、华俊杰、赵斌、张凯、李志刚、牛小民、唐平、单丹本标准主要审查人员：舒小芹、曾裕玲、袁小军、魏毅、于宝全、施建设、李冬、杨芳育、刘齐忠、范咏峰、陈鹏、冯双虎、马莉、葛春玉、齐青、张同科本标准为首次发布。1SH/T3225—2024石油化工安全仪表系统安全完整性等级设计规范本标准规定了石油化工安全仪表系统安全完整性等级的定级、验证及设计要求。本标准适用于石油化工及以煤为原料制取燃料和化工产品工厂的新建、扩建和改建工程的安全仪表系统安全完整性等级的定级、验证与工程设计。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB/T20438（所有部分）电气/电子/可编程电子安全相关系统的功能安全GB/T21109（所有部分）过程工业领域安全仪表系统的功能安全GB/T35320危险与可操作性分析（HAZOP分析）应用指南AQ/T3054保护层分析（LOPA）方法应用导则3术语和缩略语3.1术语和定义下列术语和定义适用于本标准。3.1.1风险risk危害发生的可能性与该危害严重程度的组合。3.1.2过程风险processrisk因异常事件（含基本过程控制系统故障）引起过程条件改变而产生的风险。3.1.3风险评估riskassessment评估风险大小并确定风险容许度的全过程。3.1.4过程危险分析processhazardanalysis对过程危险源进行辨识，并对危险源发生不期望的事件后，对人员、财产、环境和社会所产生的影响进行分析的过程。3.1.5保护层protectionlayer用来防止不期望事件的发生或降低不期望事件后果严重性从而降低过程风险的设备、系统或行动。3.1.6独立保护层independentprotectionlayer能够阻止场景向不期望后果发展，并且独立于场景初始事件或其他保护层的设备、系统或行动。3.1.7安全功能safetyfunction针对特定的危险事件，为了达到或保持过程的安全状态，由安全仪表系统、其它安全相关系统或外部风险降低设施实现的功能。3.1.8安全仪表功能safetyinstrumentedfunction由安全仪表系统（SIS）实现的安全功能。2SH/T3225—20243.1.9安全仪表系统safetyinstrumentedsystem用于实施一个或多个安全仪表功能的仪表系统。安全仪表系统由测量仪表、逻辑控制器、最终执行机构及相关软件、通信和辅助设备组合而成。3.1.10安全要求规格书safetyrequirementsspecification规定安全仪表系统SIF功能和与SIF相关的安全完整性等级要求的技术文件。3.1.11安全生命周期safetylifecycle从工程概念设计开始到所有安全仪表功能停止使用期间，安全仪表系统实现安全仪表功能的所有必要活动。3.1.12安全完整性safetyintegrity在规定的条件和时间内，安全仪表系统执行要求的安全仪表功能的能力。3.1.13安全完整性等级safetyintegritylevel用来规定分配给安全仪表功能的安全完整性要求的离散等级，对应安全完整性量值的范围。安全完整性等级4是最高的，安全完整性等级1是最低的。3.1.14风险降低因子riskreductionfactor安全仪表功能要求时危险失效平均失效概率（PFDavg）的倒数，对安全仪表功能所提供的风险降低程度的度量。3.1.15基本过程控制系统basicprocesscontrolsystem响应过程测量以及其他相关设备、其他仪表、控制系统或操作员的输入信号，按过程控制规律、算法、方式，产生输出信号实现过程控制及其相关设备运行的系统，但它不执行任何SIF。3.1.16测量仪表sensor(measurementinstrument)安全仪表系统的组成部分，测量过程变量的设备。3.1.17逻辑控制器logicsolver安全仪表系统的组成部分，执行逻辑功能的设备。3.1.18最终执行机构finalelement安全仪表系统的组成部分，执行逻辑控制器指令或设定的动作，使过程达到安全状态的设备。3.1.19故障fault可导致功能单元执行要求功能的能力降低或丧失的异常状况。3.1.20失效failure功能单元某种功能或执行能力的丧失。3.1.21失效率failurerate正常工作的产品在单位时间内失效的概率。3.1.22危险失效dangerousfailure可导致安全仪表系统处于潜在危险或丧失功能的失效。3.1.23安全失效safefailureSH/T3225—2024不可能导致安全仪表系统处于潜在危险或丧失功能的失效。3.1.24共因失效commoncausefailure由单一事件引起的、在不同设备上同时发生的失效，这些失效相互之间无因果关系。3.1.25共模失效commonmodefailure不同设备的并发失效，这些失效具有相同的失效模式，即相同故障。3.1.26表决voting构成安全仪表功能子系统的一个或多个组件之间的逻辑关系。3.1.27要求时危险失效平均概率averageprobabilityofdangerousfailureondemand安全仪表功能发生危险失效且不能按要求执行其安全功能的平均概率，与安全仪表功能所提供的风险降低量级有关。3.1.28冗余redundancy采用独立执行同一个功能的二个或多个部件或系统，互为备用及切换。3.1.29故障裕度faulttolerance出现故障或错误时，功能单元能够继续执行要求的功能或操作的能力。3.1.30故障安全failsafe安全仪表系统发生故障时，使被控制过程转入预定安全状态。3.1.31诊断覆盖率diagnosticcoverage被诊断检测到的危险失效率占总的危险失效率的百分比。诊断覆盖率不包括任何被检验测试检测到的故障。3.1.32平均失效间隔时间meantimebetweenfailures相邻两次失效间隔时间的平均值。3.1.33平均无失效时间meantimetofailures工作单元失效前正常工作的平均时间，也称平均无故障时间、平均失效前时间。3.1.34平均恢复时间meantimetorestoration完成功能完全恢复的预计时间，包括检测到失效的时间、开始维修前的时间、有效维修的时间和组件恢复运行前的时间之和。3.1.35结构约束architecturalconstraints表决所需的设备数量与硬件故障裕度所需设备数量的综合限制。3.1.36系统性能力systematiccapability当设备根据安全手册规定的说明进行应用时，设备的系统性安全完整性达到规定SIL要求的置信度的度量（表示为SC1到SC4共四个等级其与特定的安全功能有关。3.1.37检验测试prooftest为检测出安全仪表系统中隐藏的危险失效而执行的周期性测试，以期在必要时通过维护使系统恢复成“全新”状态或者尽可能接近该状态。3.1.384SH/T3225—2024功能安全functionsafety与过程控制系统有关的整体安全的一部分，取决于安全相关系统和其他风险减少措施的正确运行。3.1.39安全失效分数safefailurefraction子系统的安全失效率与危险可检测失效率的和值与子系统总失效率之间的比例分数。3.1.40使能条件enablingcondition导致场景发生、发展的必要条件，但不会直接导致场景发生。3.1.41运行模式modeofoperation安全仪表功能运行的方式，分为低要求模式、高要求模式和连续模式：低要求模式：在这种运行模式下，SIF只有在要求时才动作，以将过程导入一个特定的安全状态，并且要求的频率不大于一年一次。高要求模式：在这种运行模式下，SIF只有在要求时才动作，以将过程导入一个特定的安全状态，并且要求的频率大于一年一次。连续模式：在这种运行模式下，SIF作为正常运行的一部分保持过程处于一种安全状态。3.1.42保护层分析layerofprotectionanalysis通过分析事故场景初始事件、后果和独立保护层，对事故场景风险进行半定量评估的一种系统方法。3.1.43过程安全时间processsafetytime如果安全仪表功能未执行，从过程失效或基本过程控制系统失效（潜在的增加危险事件的可能性）直至过程发生超安全设计工况并导致危险事件发生之间的时间段。3.2缩略语下列缩略语适用于本标准。AP：应用程序（ApplicationProgram）ALARP：最低合理可行原则（AsLowAsReasonablyPracticable）BPCS：基本过程控制系统（BasicProcessControlSystem）DC：诊断覆盖率（DiagnosticCoverage）DTT：非励磁联锁（De-energizedToTrip）EMI：电磁干扰（Electro-MagneticInterference）ETT：励磁联锁（EnergizedToTrip）FE：最终执行机构（FinalElement/Finalactuator）FMEDA：失效模式影响与诊断分析（FailureModesEffectsandDiagnosticAnalysis）FTA：故障树分析法（FaultTreeAnalysis）FVL：全可变语言（FullVariabilityLanguage）HAZOP：危险与可操作性分析（HAZardandOPerabilityanalysis）HFT：硬件故障裕度（HardwareFaultTolerance）IE：初始事件（InitiatingEvent）IPL：独立保护层（IndependentProtectionLayer）LOPA：保护层分析（LayerOfProtectionAnalysis）LVL：有限可变语言（LimitedVariabilityLanguage）MPRT：最大允许维修时间（MaximumPermittedRepairTime）MTBF：平均失效间隔时间（MeanTimeBetweenFailures）MTTF：平均无失效时间（MeanTimeToFailures）MTTFSP：平均无误停车失效时间（MeanTimeToFailuresonspurious）MTTR：平均恢复时间（MeanTimeToRestoration）SH/T3225—2024PFD：要求时危险失效概率（ProbabilityofdangerousFailureonDemand）PFDavg：要求时危险失效平均概率（averageProbabilityofdangerousFailureonDemand）PFH：每小时危险失效平均频率（AveragefrequencyofadangerousFailureperHour）PHA：过程危险分析（ProcessHazardAnalysis）PST：部分行程测试（PartialStrokeTesting）RBD：可靠性方块图（ReliabilityBlockDiagram）RFI：射频干扰（RadioFrequencyInterference）RRF：风险降低因子（RiskReductionFactor）SA：安全有效性（SafetyAvailability）SC：系统性能力（SystematicCapability）SFF：安全失效分数（SafeFailureFraction）SIF：安全仪表功能（SafetyInstrumentedFunction）SIL：安全完整性等级（SafetyIntegrityLevel）SIS：安全仪表系统（SafetyInstrumentedSystem）SRS：安全要求规格书（SafetyRequirementsSpecification）STR：误停车率（SpuriousTripRate）TI：检验测试周期（proofTestInterval）4基本规定4.1SIS的安全完整性等级基本要求4.1.1SIS应具有在工艺生产过程发生危险时将过程导向到预先设定的安全状态的功能。4.1.2SIL定级应在过程危险分析之后进行，并应满足企业的风险管理要求。4.1.3SIL定级宜优先使用企业的风险矩阵标准。当企业没有风险矩阵标准时，可采用AQ/T3054或参考附录C中的典型石油化工风险矩阵。4.1.4在低要求模式下，每个SIF的SIL与PFDavg、RRF及SA的对应关系应符合表4.1.4要求。表4.1.4低要求模式下SIL与PFDavg、RRF及SA的对应关系123RRF=1/PFD。在石油化工项目中的SIF不应采用4.1.5在连续模式或高要求模式下，每个SIF的SIL与PFH的对应关系应符合表4.1.5要求。表4.1.5连续模式或高要求模式下SIL与PFH的对应关系123在石油化工项目中的SIF不应采用S4.1.6石油化工项目的SIF不应采用SIL4。当SIL定级要求需要采用SIL4等级的SIF时，则表示6SH/T3225—2024该工艺技术存在极大隐患，需要进一步修改工艺设计，宜通过采用削减、缓解、替代、简化等手段，实现本质更安全的工艺设计，之后再重新分配保护层的安全功能，并充分考虑共因失效的影响。工艺设计宜采取下列措施之一以降低SIF的SIL要求：a）修改工艺流程，使过程风险降低；b）增加机械保护层或其它IPL，使SIL小于或等于SIL3；c）对SIS联锁阀增加部分行程测试（PST）功能。4.1.7SIF运行模式的判定应符合表4.1.7要求。表4.1.7SIF运行模式的判定4.1.8SIS系统的设计既应符合生产过程的安全完整性要求又宜兼顾过程可用性要求。4.2SIS安全生命周期工作流程4.2.1SIS安全生命周期工作流程宜包括下列步骤的评估和设计工作。a）工艺包阶段包括下列步骤：1）步骤①：工艺概念设计；2）步骤②：过程危险与风险评估（PHA报告）。b）基础工程设计阶段包括下列步骤：1）步骤③：保护层安全功能分配（LOPA报告2）步骤④：SIF回路SIL定级（SIL等级定级报告3）步骤⑤：编制SIS的SRS技术要求；4）步骤⑥：SIS基础工程设计。c）详细工程设计阶段包括下列步骤：步骤⑦：SIS详细工程设计与SIL验证（SIL验证报告）。d）集成调试验收阶段包括下列步骤：步骤⑧：SIS集成、验收测试与确认（SIS集成组态文件、SIS验收测试FAT、SAT报告、SISe）操作运行维护阶段包括下列步骤：1）步骤⑨：SIS操作、运行与维护；2）步骤⑩：SIS周期性检验测试；3）步骤⑪：SIS变更。f）停用包括下列步骤：步骤⑫：SIS停用。4.2.2SIS安全生命周期工作流程可参照附录A的图A.1。4.3SIL评估工作流程4.3.1SIL评估工作流程宜包括SIL定级、SRS编制和SIL验证3个阶段。a）SIL定级阶段包括下列步骤：1）步骤①：过程危险分析；2）步骤②：风险评估；3）步骤③：确定SIF的目标SIL。b）SRS编制阶段包括下列步骤：步骤④：SRS编制。7SH/T3225—2024c）SIL验证阶段包括下列步骤：1）步骤⑤a：确定SIF设备；2）步骤⑤b：选择SIF结构；3）步骤⑤c：确定TI；4）步骤⑥：可靠性评估。4.3.2SIL评估工作总流程可参照附录B的图B.1。4.3.3SIL验证工作流程可参照附录B的图B.2。5安全完整性等级定级5.1过程危险辨识与风险评估5.1.1SIL定级前应完成过程危险辨识与风险评估，过程危险辨识与风险评估宜采用HAZOP方法，HAZOP应符合GB/T35320的相关规定。5.1.2过程危险辨识与风险评估应确定下列事项：a）风险评估标准；b）过程危险与危险事件；c）导致危险事件的原因及发生的可能性等级；d）危险事件的后果及后果的严重性等级；e）风险降低要求；g）SIF。5.1.3风险评估标准宜采用企业的风险矩阵；当企业无风险矩阵时，石油化工风险矩阵可参照附录C的表C.1，后果严重性等级、发生可能性等级可参照附录C的表C.2、C.3确定。5.1.4对于识别出的SIF，应完整描述其触发条件、安全关键、执行动作（包括复杂的动作关系）。5.1.5应对过程危险辨识与风险评估结果进行记录。5.2保护层分析5.2.1一般规定SIL的定级宜采用LOPA，LOPA宜符合AQ/T3054的相关规定。应根据过程危险辨识与风险评估报告筛选需要进行LOPA的场景。5.2.2独立保护层的确定IPL应具有独立性、有效性、可审查性、安全性和变更管理的要求。IPL应满足下列基本要求：a）同一事故场景中的IPL不应为IE，且在设计条件下能够独立于其它保护层完成其安全功能；b）IPL应具有要求的PFD，并至少将已经确定的风险降低10倍。BPCS的控制和/或联锁回路作为单个IPL时，其RRF不应大于10，且应满足以下三个条件：a）控制和/或联锁回路应处于连续的自动模式；b）控制和/或联锁回路应处于连续的报警模式；c）控制和/或工艺联锁动作应使过程处于安全状态。报警及人员响应作为IPL时，尚应满足下列要求：a）BPCS控制回路和同回路中的报警及人员响应不应同时作为两个IPL；b）报警应处于报警管理系统的有效管理之下；c）操作人员对报警应具备及时和有效的响应和处理能力。SIS的SIF作为IPL应符合下列要求：a）SIF的测量仪表、逻辑控制器、最终执行机构在安全功能上应独立于BPCS；b）SIF的设计、组态、集成、检验测试和确认、运行维护应按GB/T21109的有关规定执行；c）SIF响应时间与过程滞后时间之和不应超过过程安全时间的50％。8SH/T3225—2024物理防护作为IPL应符合下列要求：a）安全泄放系统的能力应满足减缓风险的要求；b）如在安全泄放设施的上下游有隔离阀，这些隔离阀应定期维护且保持打开状态；c）如泄放到大气或尾气处理系统，该场景应被作为次要场景，应另外进行评估。释放后保护措施作为IPL时，应仅限于可燃和有毒液体外泄场景。其风险消减能力应经量化的后果计算后确定。管理程序作为IPL仅用于非正常运行的特殊工况，并应满足IPL的基本要求。下列情况不应作为IPL：a）如果IE是一个BPCS的控制回路，则该控制回路不应作为IPL；b）培训和取证，正常的测试和检测、维护、通信、标识、火灾保护等不应作为IPL；c）在严重及以上后果（三人及以上死亡）的事故场景下，报警及人员响应不应作为IPL；d）工厂和社区应急响应不应作为未发生事故前的IPL。5.2.3初始事件发生频率IE发生频率宜使用行业通用的数据库，当企业有历史统计数据时，也可采用企业统计数据或对行业通用数据库进行修正。IE发生频率在分析中选用的原则宜一致。5.2.4使能条件与条件概率存在使能条件时，可根据使能事件或条件发生概率对场景频率进行修正。使能条件应包括时间风险使能条件和生产模式使能条件。当后果存在火灾爆炸风险、人员中毒及伤害风险时，可根据导致该严重后果的条件概率对不同后果场景频率进行修正。条件概率可根据下列因素确定：a）点火概率；b）人员暴露概率；c）人员受伤或致死概率。5.2.5风险降低因子的确定当BPCS作为IPL时，其RRF应符合下列要求：a）BPCS作为IE时，在同一个场景中BPCS作为IPL只能使用一次且RRF应小于或等于10；b）BPCS不作为IE时，在同一个场景中BPCS作为IPL不应超过两次，BPCS合计RRF应小于或等于100。当报警及人员响应作为IPL时，RRF应小于或等于10；当多个报警及人员响应作为IPL时，RRF仍应小于或等于10。当单个高可靠度的物理保护作为IPL时，RRF应小于或等于100。IPL的PFD及RRF参见附录D。5.3SIL定级报告5.3.1SIL定级报告应至少包括以下内容：a）项目概况；b）分析目的；c）风险可容许标准；d）场景识别及IE和IE发生频率、条件概率；f）场景风险和频率的计算结果；g）风险评估与为满足风险标准要求而给出的改善建议；h）每个SIF回路的位号、测量仪表位号、执行机构位号、功能描述、触发条件、安全关键、执行动作（包括复杂的动作关系）、要求的SIL及RRF；9SH/T3225—2024i）SIL定级所使用的图纸、说明书、数据表和危险分析报告等的清单（包括版本号j）SIL定级的小组成员名单。5.3.2如采用LOPA方法，SIL定级报告尚应符合AQ/T3054的相关规定。6安全要求规格书6.1编制原则6.1.1SRS的编制原则应基于风险可容许标准，依据危险辨识与风险评估得出的风险降低要求，确定SIL评估、工程设计、硬件系统集成、软件组态编程、系统测试验收、运行维护要求和安全管理策略。6.1.2依据本标准设计的SIS安全完整性应符合GB/T21109.1的规定。6.1.3SRS提出的功能安全要求应清晰、明确，可验证、可维护、可操作，能用于规范SIS生命周期各阶段的使用者理解和执行。6.2内容要求6.2.1SRS的主要内容宜包括下列要求：a）列出所有SIF的编号、名称和功能描述清单；b）列出各个SIF相关的输入输出仪表位号及逻辑表决关系；c）识别并考虑共因失效率(β)及消除措施要求；d）定义每个已识别的SIF的IE、触发原因和每个危险事件的过程安全状态；e）当存在多个SIF同时动作可能导致额外风险情况时，对其安全操作和安全状态分别进行定义；f）识别每个SIF的危险源（要求源）和确定危险发生的概率（要求率g）分别确定测量仪表、逻辑控制器、最终执行机构的TI及实施的相关要求；h）确定每个SIF将工艺参数从操作状态置于安全状态的响应时间要求；i）列出每个SIF的SIL等级和运行模式；j）列出SIS过程测量变量、量程范围、报警设定值及联锁设定值等；k）列出SIF输出动作及最终状态要求；l）说明每个SIF输入与输出之间的功能关系，包括逻辑关系、数学函数、延时与时序及允许或旁路等要求；m）说明每个SIF手动停车要求；n）说明每个SIF的动作方式：DTT或ETT的相关要求；o）说明每个SIF启动、联锁动作后的复位、再启动允许（Re-startuppermissive）及重启程序的具体要求；p）说明SIF最高允许的STR；q）说明每个SIF的失效模式和SIF对失效的预期响应要求；r）说明SIS与其它系统之间的所有接口要求，包括SIS与BPCS的通信接口、SIS的人机接口s）说明工艺装置的运行模式及每种模式下对SIF的相关要求；t）识别工艺装置内某单元或设备的正常和异常过程运行模式，说明是否需要额外增加SIF；u）说明旁路/禁止/超驰（Bypass/Inhibit/Override）的设置和取消的要求及旁路/禁止/超驰期间的管理要求，说明维护旁路（MOS）、操作旁路（OOS）的不同要求；v）说明SIS检测到故障事件时，为达到或保持过程的安全状态需采取的必要措施，及所有相关的人为因素；w）确定SIS合理的MTTR，综合考虑备品备件存储、地理位置、路程时间、服务合同、环境限制x）识别需要避免的SIS输出状态的关联危险；y）识别在运输、储存、安装及运行过程中SIS可能遇到的所有极端环境条件，包括温度、湿度、污染物、接地、电磁干扰（EMI）、射频干扰（RFI）、撞击、振动、静电、防爆、雷电、洪涝、腐蚀及其它相关因素；z）确定在发生重大意外事故时，对SIF的特殊要求，包括控制阀在发生火灾事故时保持正常操SH/T3225—2024作的时间、电缆的防火要求等。6.2.2在SIS中的应用程序（AP）宜包括下列安全要求：a）列出AP支持的SIF功能及SIL等级；b）列出实时性能参数，如CPU负荷、通信负荷等；c）说明程序时序及时间延迟；d）说明设备和操作员接口及其可操作性；e）确定各种运行模式AP的要求；f）确定对异常测量结果，如测量仪表超量程、欠量程、变动幅度过大、测量值冻结、检测线路开路/短路等，应采取的措施；g）确定AP运行所需的外部设备（如测量仪表和最终执行机构）的检验测试及诊断要求；h）说明AP的监控，如应用看门狗、数据有效性确认；i）说明SIS内其他设备的监控，如测量仪表；j）确定在工艺运行时SIF实施周期性测试的相关要求；k）列出参考输入文件，如SIF清单、SIS配置或结构、SIS硬件安全完整性要求；l）确定对通信接口的要求，如对接收和发送的数据或指令的限制措施、数据有效性检查；m）识别并避免AP产生的过程危险状态，如同时关闭两个气体隔离阀可能产生压力波动，从而导致危险状态；n）确定AP的其他安全要求，如联锁设定值的修改保护措施、AP的响应时间、功能验收测试、变更管理等。7安全完整性等级验证7.1一般规定7.1.1每个SIF回路的SIL验证计算结果应符合SIL定级报告或SRS所要求的SIL及RRF的目标值要求；当SIL定级报告或SRS没有给出具体的目标值时，目标值应符合表4.1.4和表4.1.5，采用要求达到的SIL等级所对应的PFDavg范围或PFH范围。7.1.2SIL定级报告中SIL大于或等于1的SIF回路应进行SIL验证，SIL验证应实施SIF硬件安全完整性验证；SIL验证可包括系统安全完整性评估。7.1.3SIF硬件安全完整性应由表征硬件结构约束的HFT和表征硬件随机失效所对应的PFDavg值或PFH值确定。7.1.4SIF系统安全完整性应由表征系统性失效的系统性能力（SC）经过评估确定。7.1.5依据SIF的运行模式，应采用不同的量化指标进行SIL验证计算。低要求模式的SIL和RRF值由计算PFDavg值确定；高要求模式或连续模式的SIL由计算PFH值确定。7.1.6对于误停车将造成重大的经济损失或者导致额外的工艺过程危险的SIF，应对每个SIF回路计算MTTFsp或STR。计算结果应符合项目设计的目标值要求。7.1.7SIL验证的范围不应包括下列功能回路：a）SIL定级报告中定级为SIL0及SILa的回路；b）涉及人员干预的紧急停车按钮、开关；c）包含在SIS逻辑中但不属于SIF的允许信号（开车/启动/点火等）、操作旁路（OOS）、维护旁路（MOS）信号及关联的非SIF联锁；d）非安全关键的最终执行机构；e）未参与SIF的SIS控制阀阀位或限位开关信号。7.2硬件结构约束验证7.2.1每个SIF均应满足结构约束的要求，结构约束要求宜通过硬件故障裕度（HFT）的要求表达。7.2.2应对SIF的测量仪表、逻辑控制器、最终执行机构等子系统分别确定HFT。SH/T3225—20247.2.3在确定HFT时，宜兼顾工艺过程的可用性要求。7.2.4在确定SIF子系统的HFT时，对于符合GB/T21109以往使用原则的仪表设备，其最低HFT应符合表7.2.4要求，并且FVL和LVL可编程设备的DC不应小于60％。表7.2.4最低硬件故障裕度HFT要求10202131427.2.5失效量计算中使用的可靠性数据应由不小于70％的统计置信区间上限确定。7.2.6在确定SIF子系统的HFT时，对于符合GB/T20438并取得了SIL认证的仪表设备，最低HFT应符合GB/T20438的路径1H或路径2H的相关要求。7.3PFDavg验证计算的PFDavg值由各子系统的平均PFD值相加获得，见式（7.3.1）。PFDSIF=ΣPFDSE+ΣPFDLS+ΣPFDFE+ΣPFDSS……………（7.3.1）式中：PFDSIF——SIF回路的PFDavg；PFDSE——测量仪表子系统的PFDavg；PFDLS——逻辑控制器子系统的PFDavg；PFDFE——最终执行机构子系统的PFDavg；PFDSS——辅助设备的PFDavg。7.3.2SIF子系统PFDavg的计算，应确定下列因素：a）SIF子系统的架构，包括同型表决、异型表决，以及实现某种计算功能的复杂架构；b）硬件随机失效模式、失效率；c）共因失效或共模失效的影响；d）自动在线诊断的DC；e）对自动诊断检测出的危险失效，MTTR；f）TI以及检验测试覆盖率；g）需在线检验测试时的检验测试持续时间；h）对于阀门类最终执行机构，应考虑工艺物料物理和化学特性、阀门的密封等级、是否采用PST等因素对危险失效率的影响；i）非励磁联锁（DTT）或励磁联锁（ETT）。库数据，及制造商直接提供的非认证数据。应说明可靠性数据的来源并确保性、可追溯性。7.3.4可靠性数据的确定应依据现场使用环境和实际维护状态等的影响，评估其不确定性。不确定性评估可参考GB/T20438和GB/T21109中的相关规定。7.3.5自动诊断对失效率的分类和影响，应依据仪表选型时的故障安全程序和规程。SH/T3225—20247.3.7MTTR、在线检验测试持续时间，应小于MPRT。MPRT由在旁路期间过程提供的补偿和应急措施的能力确定。7.3.8在阀门上采用PST措施时，认定的危险失效DC应低于70％。块图（RBD）、故障树分析法（FTA以及马尔可夫模型。失效不对该SIF造成影响，不宜纳入SIL验证计算。7.4SIF过程可用性验证7.4.1SIF的过程可用性，应通过对每个SIF回路计算MTTFsp或STR获得，见式（7.4.1-1）和式（7.4.1-2）：STRSIF=ΣSTRSE+ΣSTRLS+ΣSTRFE+ΣSTRSS……………（7.4.1-1）MTTFsp=1/STRSIF……………（7.4.1-2）式中：STRSIF——SIF的误停车率，次/年；STRSE——测量仪表子系统的误停车率，次/年；STRLS——逻辑控制器子系统的误停车率，次/年；STRFE——最终执行机构子系统的误停车率，次/年；STRSS——辅助设备的的误停车率，次/年；MTTFsp——平均无误停车失效时间，年。7.4.2SIF子系统的MTTFsp或STR，应确定下列因素：a）SIF子系统的架构、仪表设备的安全失效率、辅助设备和子系统内公用支持系统（例如电源、气源）的安全失效率；b）在计算SIF的误停车率时，不将无关失效和无影响失效归类为安全失效；c）评估AP组态对过程可用性的影响。对于1oo1表决架构，如AP中将可检测出的危险失效(λDD）组态为关停动作，则将其纳入误停车率计算。7.4.3如初步计算出的PFDSIF和STRSIF不满足项目的设计要求，应调整冗余结构、选用可靠性更高的仪表设备（影响PFDavg）、选用可用性更高的仪表设备（影响STR）、改进AP中自诊断组态、调整工厂的大检修周期等影响因素。7.5系统性能力评估7.5.1SC可用于SIF的SIL验证。7.5.2SC分为SC1、SC2、SC3和SC4四级，如果SIF要求的SIL为SILn，则该子系统的SC应大于或等于SCn。7.5.3PFDavg、结构约束、SC等级应同时满足需求的SIL。SH/T3225—2024（资料性）SIS安全生命周期工作流程A.1SIS安全生命周期工作流程如图A所示。图ASIS安全生命周期工作流程SH/T3225—2024（资料性）SIL评估工作流程B.1SIL评估工作总流程如图B.1所示。图B.1SIL评估工作总流程SH/T3225—2024B.2SIL验证工作流程如图B.2所示。图B.2SIL验证工作流程SH/T3225—2024（资料性）典型石油化工风险矩阵C.1典型石油化工风险矩阵如表C.1所示。表C.1典型石油化工风险矩阵类似的事件没有在石油石化行业发生过，且发生的可能类似的事件没有在石油石化行业发生过类似事件在石油石化行业发类似的事件在本集团曾经发类似的事件在本企业相似设（使用寿命内）或相似作业活动中发在设备设施（使用寿命内）或相同作业活动中在设备设施（使用寿命内）或相同作业中发生在设备设施或相同作业活动中经常发生（至少10-10/年10-10/年年10-10/年年年>1/年重性等到重）112357223572357587说明：a）伤害后果需要考虑健康与安全影响、财产损失影响、非财务与社会影响三类，按严重性从轻微到特别重大分为7个等级，依次A、B、C、D、E、F和G，后果严重性等级分类详见表C.2。其中重伤标准、事故直接经济损失按相关规定执行。b）伤害后果发生的可能性从低到高分为8个等级，依次为1、2、3、4、5、6、7和8，可能性分级详见表C.3。c）对于某风险的具体风险等级，应取三种后果中最高的风险等级，采用后果严重性等级的代表字母和可能性等级数字组合表示。例如：当后果等级为A，可能性等级为7时，其对应的风险等级为A7。d）风险级别分为重大风险（红色）、较大风险（橙色）、一般风险（黄色）和低风险（蓝色）4个级别。e）容忍风险（TolerableRisk）是ALARP区域的上限值，当超过该值时，风险属于不可容忍风险。可接受风险（AcceptableRisk）是ALARP区域的下限值，小于等于该值时，风险属于广泛可接受的风险。该表中厂内人员年度累计死亡风险上限值为10-3、下限值为10-5，具体可根据企业管理要求确定。f）厂外人员年度累计死亡风险执行GB36894个人风险基准值，其符合性应经定量风险评估确定。SH/T3225—2024C.2后果严重性等级如表C.2所示。表C.2后果严重性等级等级A1.急救处理或医疗处理，但2.短时间暴露超标，引起身事故直接经济损失在10万元民短期内不满、抱怨或投诉（如抱怨设施噪声超B直接经济损失排放很少量的有毒有害污2.对当地公共设施的日常运行造成干扰（如导致某道路在24小时内无法正C2.暴露超标，带来长期健康影响或造成职业相关的严重直接经济损失1～2套装置停造成严重的安全后果或不会导致地方政府相关监管3.在当地造成不利的社会影响。对当地公共设施的D1.界区内1～2人死亡；3～9直接经济损失区域的火灾爆1.因污染物排放造成企业水体及环境敏感区的油品的油品泄漏量10吨以上1003.危险化学品以污水形式1.引起地方政府相关监管部门采取强制性措施；2.引起国内或国际媒体E1.界区内3～9人死亡；10人2.界区外1～2人死亡，3～9事故直接经济损失1000万元1.因污染物排放造成企业众的正常生活受到严重影水体及环境敏感区的油品在非环境敏感区的油品泄1.引起国内或国际媒体2.造成省级范围内的不利社会影响；对省级公共设施的日常运行造成严重3.引起了省级政府相关4.导致失去当地市场的SH/T3225—2024表C.2（续）等级3.危险化学品以污水形式4.因环境污染造成水源地保护的动植物物种受到破F1.界区内10人及以上，30人以下死亡；50人及以上，1002.界区外3～9人死亡；10人事故直接经济损失5000万元1.因污染物排放使当地群水体及环境敏感区的油品在非环境敏感区的油品泄3.危险化学品以污水形式4.因环境污染造成水源地点保护的动植物物种受到5.国际区域性严重环境事1.引起了国家相关部门2.在全国范围内造成严3.引起国内国际媒体重G将导致工厂界区内或界区外事故直接经济1.因污染物排放使当地群影响企业所属地区的社会水体及环境敏感区的油品在非环境敏感区的油品泄3.危险化学品以污水形式4.因环境污染造成水源地国家重点保护的动植物物种受到严重破坏或群体死或国务院、相关部委领导2.导致吊销国际国内主要市场的生产、销售或经3.引起国际国内主要市场上公众或投资人的强烈SH/T3225—2024C.3后果发生可能性等级如表C.3所示。表C.3发生可能性等级1类似的事件没有在石油石化行业发生过，且2345类似的事件发生过或者可能在多个相似设备设施678>1SH/T3225—2024（资料性）减缓层降低风险措施的PFDD.1主动安全泄压装置降低风险措施的PFD如表D.1所示。表D.1主动安全泄压装置降低风险措施的PFD有多个部分载荷的安全阀。超过一个安全阀N×10N×10011在泄放时会造成高分子聚合堵塞，这些特殊设D.2被动独立保护层的PFD如表D.2所示。表D.2被动独立保护层的PFDSH/T3225—2024[1]GB/T50770石油化工安全仪表系统设计规范[2]IEC61508-1Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part1:Generalrequirements[3]IEC61508-2Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part2:Requirementsforelectrical/electronic/programmableelectronicsafety-relatedsystems[4]IEC61508-3Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part3:Softwarerequirements[5]IEC61508-4Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part4:Definitionsandabbreviations[6]IEC61508-5Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part5:Examplesofmethodsforthedeterminationofsafetyintegritylevels[7]IEC61508-6Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part6:GuidelinesontheapplicationofIEC61508-2andIEC61508-3[8]IEC61508-7Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystems—Part7:Overviewoftechniquesandmeasures[9]IEC61511-1Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part1:Framework,definitions,system,hardwareandsoftwarerequirements[10]IEC61511-2Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part2:GuidelinesfortheapplicationofIEC61511-1[11]IEC61511-3Functionalsafety—Safetyinstrumentedsystemsfortheprocessindustrysector—Part3:Guidanceforthedeterminationoftherequiredsafetyintegritylevels[12]ISATR84.00.02-2022Safetyintegritylevel(SIL)verificationofsafetyinstrumentedfunctions[13]APIRP556-2011(R2019)Instrumentationandcontrolsystemsforfiredheatersandsteamgenerators[14]T/CIS71001─2021化工安全仪表系统安全要求规格书编制导则SH/T3225—20241为便于在执行本标准条文时区别对待，对要求严格程度不同的用词说明如下：1）表示很严格，非这样做不可的：正面词采用“必须”，反面词采用“严禁”；2）表示严格，在正常情况下均应这样做的：3）表示允许稍有选择，在条件许可时首先应这样做的：正面词采用“宜”，反面词采用“不宜”；4）表示有选择，在一定条件下可以这样做的，采用“可”。2条文中指明应按其他有关标准执行的写法为：“应符合……的规定”或“应按……执行”。SH/T3225—2024中华人民共和国石油化工行业标准石油化工安全仪表系统安全完整性等级设计规范条文说明SH/T3225—2024SH/T3225—2024《石油化工安全仪表系统安全完整性等级设计规范》，经工业和信息化部2024本标准制定过程中，编制组进行了广泛深入的调查研究，总结了近10年来我国石油化工工程建设中，石油化工安全仪表系统安全完整性等级在设计和应用中的实践经验，同时参考了大量国内外石油化工行业及其他行业技术标准和有关资料，通过广泛征求意见，认真讨论，分析研究，取得了共识。为便于广大设计、施工、科研、学校等单位有关人员在使用本标准时能正确理解和执行条文规定，《石油化工安全仪表系统安全完整性等级设计规范》编制组按章、条顺序编制了本标准的条文说明，对条文规定的目的、依据以及执行中需注意的有关事项进行了说明。但是，本条文说明不具备与规范正文同等的法律效力，仅供使用者作为理解和把握规范规定的参考。SH/T3225—20243术语和缩略语 3.1术语和定义 4基本规定 4.1SIS的安全完整性等级基本要求 4.2SIS安全生命周期工作流程 5安全完整性等级定级 5.1过程危险辨识与风险评估 5.2保护层分析 6安全要求规格书 6.2内容要求 7安全完整性等级验证 357.1一般规定 7.2硬件结构约束验证 357.3PFDAVG验证计算 7.4系统性能力评估 36SH/T3225—2024石油化工安全仪表系统安全完整性等级设计规范3术语和缩略语3.1术语和定义3.1.1风险risk1.危害发生可能性包括暴露于危险情况的概率、危险事件发生概率和避免或限制伤害的可能2.本条采用“危害”代替GB/T21109.1─2007的术语条目3.2.61采用的“伤害”更合理，因为“伤害”的对象一般指人，而“危害”的对象可以是人、物（设备、厂房等）、环境等。3.1.8安全仪表功能safetyinstrumentedfunction1.安全仪表功能（SIF）源于安全功能，SIF具有一个相关联的安全完整性等级（SIL）并由一个特定的安全仪表系统（SIS）来执行它。多个SIF有可能使用同一个SIS的设备。2.SIF设计用来达到一个要求的SIL，SIL由其他参与降低相同风险的保护层决定。3.1.9安全仪表系统safetyinstrumentedsystem1.SIS由任意组合的测量仪表、逻辑控制器及最终执行机构组成。它也包括通信和辅助设备（如网络交换机、网关、路由器、通信接口、人机界面、电源、安全栅、信号隔离器、电涌防护器、中间继电器、电磁阀、导压管等）。2.SIS可以包括软件。3.1.19故障fault1.故障可能由部件本身的失效引发，也可能由生命周期早先阶段（如规范、设计、制造或维护）的缺陷引发。2.当一组特定的情况出现时，设备的一个故障会导致一个失效。3.故障和失效的关系参见GB/T20438.4-2017图4。3.1.20失效failureGB/T21109.1-2022的3.2.18条定义：功能单元失去按要求执行的能力。1.设备失效是导致设备出现某种故障状态的事件。2.如果能力的丧失是由一个潜在故障引起，一旦特定的一组条件出现，则失效发生。3.执行要求的功能必定会排除某些行为，把某些功能定义为要避免出现的行为，这些行为的出现就是失效。4.失效是随机性的或系统性的。3.1.24共因失效commoncausefailure1.由一个共因引起的所有失效未必恰好在同一时间发生,因此在SIF实际失效前有一定时间来检测共因的发生。2.共因失效也可能导致共模失效。3.共因失效的可能性降低了系统冗余或故障裕度的效果(如增加了多通道系统中两个或更多通道的失效概率)。4.共因失效是相关失效,可能由外部事件（如温度、湿度、过电压、火灾、腐蚀）、系统性故障（如设计的、组装的或安装的错误、缺陷）、人为错误（如误用）等引起。5.单个共因失效是属于一组并发失效中的一个失效。3.1.25共模失效commonmodefailureSH/T3225—20241.共模失效可能由不同的原因引起。2.共模失效也可能是共因失效的结果。3.共模失效的可能性降低了系统冗余和故障裕度的效果（如两个或更多通道以相同的方式失效，4.单个共模失效是属于一组并发失效中的一个失效。3.1.31诊断覆盖率diagnosticcoverage系统自我诊断检测故障能力的度量。1.诊断覆盖率（DC）通常应用于SIS设备或SIS子系统。如通常为测量仪表、逻辑控制器及最终执行机构分别确定诊断覆盖率。2.对于安全应用，DC通常应用于SIS设备或SIS子系统的危险失效。例如，一个设备的危险失效的诊断覆盖率为：DC=λDD/λDT…………（1）式中：DC——诊断覆盖率,%；λDD——检测到的危险失效率；λDT——总的危险失效率；3.对于一个具有内部冗余的SIS子系统，DC与时间有关：DC(t)=λDD(t)/λDT(t) 4.当给出DC和总的危险失效率(λDT)，检测到的危险失效率(λDD)和未检测到的危险失效率(λDU)可以按照如下公式计算得出：λDD=DC×λDT λDU=(1-DC)×λDT （4）式中：λDU——未检测到的危险失效率。3.1.32平均失效间隔时间MeantimebetweenfailuresMTTR、MTTF和MTBF之间的关系如图1所示，MTBF为MTTR与MTTF之和。图1MTTR、MTTF和MTBF之间的关系3.1.33平均无失效时间Meantimetofailures计算公式：MTTFSP=1/STR…………（5）式中：MTTFSP——平均无误停车失效时间，年；STR——误停车率，次/年。SH/T3225—20243.1.36系统性能力systematiccapability1.系统性能力参照GB/T20438.2-2017和GB/T20438.3-2017中系统性故障的避免和控制要求确定。2.系统性失效机制取决于设备的特性。对于只由硬件组成的设备，只考虑硬件失效机制；对于由硬件和软件组成的设备，则需要考虑硬件和软件失效机制间的相互影响。3.某设备SCN的系统性能力是指当设备按照安全手册规定的SCN要求应用时，此设备达到了SCN的系统性安全完整性。3.1.39安全失效分数safefailurefraction计算公式：安全失效分数： 安全失效率：S=SU 危险失效率：D=DU 式中：S——安全失效率；D——危险失效率；SD——可检测的安全失效率；SU——不可检测的安全失效率；DD——可检测的危险失效率；DU--不可检测的危险失效率。3.1.41运行模式modeofoperation符合GB/T21109.1-2022（IEC61511-1：2016）的3.2.39条定义，同时符合GB/T20438.4-2017（IEC61508-4：2010）的3.5.16条。3.1.43过程安全时间processsafetytime全设计工况”。过程安全时间的起点从“过程失效或基本过程控制系统失效”开始，即从过程变量超过预先设定的紧急停车（EmergencyShutdown-ESD）或紧急泄压（EmergencyDe-pressure-EDP）限值（如：高高、低低等）开始，终点为“过程发生超安全设计工况”（如：超过设计温度、设计压力、腐蚀裕度等）并可能导致危险事件发生（如：泄漏、破裂、着火、爆炸等不可逆状态）为止的时间间隔，如图2所示。SH/T3225—2024图2过程安全时间与SIS响应时间的关系2.另外2个涵义相近似的标准是：（1）APIRP556-2011(R2019)的条定义：过程安全时间是导致不可接受工艺偏离的初始事件和危险事件之间的时间间隔。（2）CCPS在“GuidelinesforSafeandReliableInstrumentedProtectiveSystems”中的定义：工艺过程或其控制系统发生故障时与危险的事件发生之间的时间段。3.用于确定SIS响应时间是否合理的过程安全时间具备以下特点：（1）根据起始点和终止点的不同，过程安全时间由若干段时间组成；（2）过程安全时间是由工艺过程固有特性决定的；（3）计算过程安全时间时，应在一定的预期故障场景下进行计算；（4）时间的起始点应是从触发联锁开始计时；（5）时间的终止点应是达到危险不可逆状态的时间点。4基本规定4.1SIS的安全完整性等级基本要求4.1.6石油化工项目的SIF不应使用SIL4等级，如果存在的风险需要SIL4的保护层来降低的话，则意味着该工艺路线存在极大隐患，需要进一步修改工艺设计，可通过采用较温和操作条件，更换较安全的化学品、更换更为安全的设备材质、提高设备的设计等级、增加机械安全防护措施等方法实现相对安全的工艺技术。4.1.7在低要求模式或高要求模式下运行的SIF，具有以下特征。1.SIF发生危险失效时,危险事件只会在下列情况下发生：（1）失效未被检测到并且在下次检验测试前发生要求；（2）诊断测试检测到失效，但是相应过程及其有关设备没有在要求发生前进入安全状态。2.在高要求模式下，通常使用连续模式标准是合适的。在连续模式下运行的SIF，具有以下特征：1.SIF发生危险失效时，除非在过程安全时间内采取预防措施，否则无需进一步失效就将发生危险事件。SH/T3225—20242.连续模式涵盖执行连续控制以保持功能安全的SIF。4.1.8过程可用性可通过STR或MTTFsp计算得出。过程可用性既要满足企业可接受风险，又要满足企业长周期运行需要，一般为5倍～10倍的大检修周期。4.2SIS安全生命周期工作流程4.2.1工艺包阶段并非必须包括步骤a）2a)2)也可以放在b)阶段执行。5安全完整性等级定级5.1过程危险辨识与风险评估5.1.1过程危险辨识与风险评估的方法有很多种，HAZOP分析方法能够详细分析并记录事故的因果逻辑及危害程度，详细的事故的因果逻辑及危害程度可以作为保护层分析（LOPA）的重要输入。5.1.2f)风险降低措施通常可以由独立保护层承担，石油化工装置常用的风险降低独立保护层包括：1.本质安全设计；2.基本过程控制系统；3.及时、有效的报警和人员响应；4.安全仪表功能；5.可燃和有毒气体泄漏检测报警系统、火灾报警系统；6.安全阀、爆破片、机械联锁、喷淋、蒸汽幕等物理保护；7.防火堤、围堰、集液池、隔离沟等释放后保护措施；8.工厂和社区应急响应（有条件，见条文说明）。5.1.4SIL定级分析表包括SIF编号、SIF标识、SIF描述、最终执行机构、初始原因（描述、失效概率）、SIL定级结果、建议措施及备注等。“安全关键”动作指的是该动作是将工艺过程转入安全状态必不可少的动作，只有该动作的有效执行才能将工艺过程转入安全状态。非安全关键动作指的是该动作不是将工艺过程转入安全状态必不可少的动作，该动作的非有效执行不会影响工艺过程转入安全状态。非安全关键动作可能出于下次开车的便利等因素的考虑。5.2保护层分析5.2.1一般规定当石油化工过程为非“两重点一重大”时，可采用风险图法或其他分析方法进行安全完整性等级定级。可以考虑进行LOPA的场景如下：1.HAZOP分析后果严重程度高的（比如，后果严重程度为人身伤亡1至2人的场景和后果严重程度更高的场景2.HAZOP分析得出的风险等级（剩余风险1a）较高的（根据风险标准确定3.可能性等级较高（举例：发生频率大于101次/年4.“两重点一重大”中重点监管化学品工艺中定义的联锁和紧急停车系统相关的联锁；5.行业、地方、企业集团公司要求的联锁、重点安全回路；6.HAZOP分析得出的分险等级（剩余风险1a）为一般等级的（根据风险标准确定属于ALARP区域时，由业主和评估单位共同协商确定是否进行LOPA分析和定级，可以对分险等级为一般等级中的重点关注场景进行LOPA分析和定级。注a：剩余风险1指的是考虑除SIS以外的其他保护措施时的剩余风险。5.2.2独立保护层的确定BPCS的控制和/或联锁回路作为独立保护层时，其RRF应符合的规定。如果BPCS的RRF大于10，应遵循AQ/T3054附录D相关要求。SH/T3225—2024报警管理和最大允许响应时间的定义（依据GB/T41261-2022《过程工业报警系统管理》和T/CCSAS012—2022《化工企业工艺报警管理实施指南》1.报警管理：对报警的需求、设置、操作、监控、记录和维护、变更、取消等全生命周期的管2.最大允许响应时间：容许从报警发生到操作员做出正确响应操作之间的最长时间。如图3所示，既过程变量从A点变化到B点所需要的时间。图3报警及人员干预的最大允许响应时间SIF做为IPL规定了下列要求：a）如果SIF的测量仪表、最终执行机构与BPCS有共用部分，则BPCS的失效不应导致SIF任何安全功能的失效；c）SIF的响应时间包括测量仪表、逻辑控制器、最终执行机构三部分的响应时间加上SIS动作后的过程滞后时间之和。物理防护指超压保护，防止容器的灾难性破裂，包括安全阀、爆破片、放空阀等，其有效性受使用条件的影响较大，比如在确定安全阀、爆破片是否为保护层或确定其PFD时，应考虑其设计工况是否满足最大泄放工况的要求，其实际运行的环境是否可能出现污染、堵塞、腐蚀、不恰当维护等因素。释放后保护措施需要考虑以下2方面因素：1.释放后保护措施属于降低事故后果的措施，主要包括：（1）气体检测报警系统；（2）火灾检测报警系统；（3）拦蓄收集设施（防火堤、集液池及相关收集系统（4）抑制可燃气体蒸发扩散的设施（LNG集液池的高