T-CCSAS 045-2023 安全仪表功能（SIF）安全完整性等级（SIL）验证导则

ICS13200

CCSC.68

团体标准

T/CCSAS045—2023

安全仪表功能SIF安全完整性等级SIL

()()

验证导则

GuidelinesforsafetinteritlevelSILverificationofsafetinstrumented

ygy()y

functionsSIF

()

2023-11-27发布2023-11-27实施

中国化学品安全协会发布

中国标准出版社出版

T/CCSAS045—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国化学品安全协会提出并归口

。

本文件起草单位惠生工程中国有限公司北京安必达科技有限公司中国化学品安全协会上海

:()、、、

歌略软件科技有限公司中科合成油工程有限公司中国成达工程有限公司中海壳牌石油化工有限公

、、、

司巴斯夫中国有限公司珠海安彦企业管理咨询有限公司中石油华东设计院有限公司中国化学赛

、()、、、

鼎宁波工程有限公司中国寰球工程有限公司万华化学集团股份有限公司浙江石油化工有限公司

、、、。

本文件主要起草人程泱唐彬王琳王楠王娇龙范咏峰张红东刘友玲冯建柱曾裕玲

:、、、、、、、、、、

代轶民戴益孙彦东林洪俊张志王雪梅李才华陆兴旺

、、、、、、、。

Ⅲ

T/CCSAS045—2023

安全仪表功能SIF安全完整性等级SIL

()()

验证导则

1范围

本文件确立了安全仪表功能的安全完整性等级验证的原则提供了验证方法公式示

(SIF)(SIL),、、

例数据等内容给出了失效率结构约束系统性能力等验证的程序内容等说明

、,、、、。

本文件适用于石油化工和化工装置的验证

SIL。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,。,()

本文件

。

电气电子可编程电子安全相关系统的功能安全第部分电气电

GB/T20438.2—2017//2:/

子可编程电子安全相关系统的要求

/

电气电子可编程电子安全相关系统的功能安全第部分软件要求

GB/T20438.3—2017//3:

电气电子可编程电子安全相关系统的功能安全第部分定义和缩

GB/T20438.4—2017//4:

略语

过程工业领域安全仪表系统的功能安全第部分框架定义系统硬

GB/T21109.1—20221:、、、

件和应用编程要求

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T20438.4—2017GB/T21109.1—2022。

31

.

安全仪表功能safetyinstrumentedfunctionSIF

;

由安全仪表系统实现的安全功能

(SIS)。

注设计用来达到一个要求的由其他参与降低相同风险的保护层决定

:SIFSIL,SIL。

来源

[:GB/T21109.1—2022,3.2.66]

32

.

安全完整性等级safetyintegritylevelSIL

;

为规定应达到的安全完整性要求而分配给的离散等级个等级中的一个

SISSIF(4)。

注1等级越高期望的越低

:SIL,PFDavg、PFH。

注2目标失效量和间的关系见的表和表

:SILGB/T21109.1—202245。

注3是安全完整性的最高等级是最低等级

:SIL4,SIL1。

注4此定义和中的定义有差别从而反映过程领域术语中的差异

:GB/T20438.4—2017,。

来源有修改

[:GB/T21109.1—2022,3.2.69,]

33

.

验证verification

通过检查和客观证据证实要求已满足

。

1

T/CCSAS045—2023

注本文件的范围是验证不包括对的其他的检查确认

:SIL,SIS、。

来源有修改

[:GB/T21109.1—2022,3.2.87,]

34

.

故障裕度faulttolerance

出现故障或错误时功能单元能够继续执行要求的功能或操作的能力

,。

注1硬件故障裕度表示当多个组件中的个故障时单元能工作

:HFT=1:1,。

注2配置的危险故障的是的是

:2oo3HFT1;1oo32。

来源有修改

[:GB/T21109.1—2022,3.2.21,]

35

.

系统性能力systematiccapabilitySC

;

当设备根据安全手册规定的说明进行应用时设备的系统性安全完整性达到规定要求的置信

,SIL

度的度量表示为到其与特定的安全功能有关

(SC1SC4),。

注1系统性能力参照和中系统性故障的避免和控制要求确定

:GB/T20438.2—2017GB/T20438.3—2017。

注2系统性失效机制取决于设备的特性对于只由硬件组成的设备只考虑硬件失效机制对于由硬件和软件组

:。,。

成的设备则需要考虑硬件和软件失效机制间的相互影响

,。

注3某设备N的系统性能力是指当设备按照安全手册规定的N要求应用时此设备达到了N的系统

:SCSC,SC

性安全完整性

。

来源

[:GB/T21109.1—2022,3.2.80]

36

.

要求时的平均失效概率averageprobabilityoffailureondemand

PFDavg

在规定时间段内当要求时设备系统不能响应的平均概率

,,()。

注1随时间积累而变化是时间的函数t是规定时间段内的平均值

:PFD,PFD();PFDavg。

注2对于需求时不能响应即为危险故障

:SIS,,,。

注3也称为要求时的平均危险失效概率

:(averageprobabilityofdangerousfailureondemand)。

来源附录有修改

[:ISATR84.00.02—2022,B,]

37

.

每小时的失效概率probabilityoffailureperhourPFH

;

每小时设备系统故障的平均次数

()。

注此处故障指危险故障

:。

来源第章有修改

[:ISATR84.00.02—2022,7,]

38

.

误停车率spurioustriprateSTR

;

在单位时间内设备误动作引起的工艺停车或混乱的预期次数

,,。

注

:STR=1/MTTFSP

来源附录有修改

[:ISATR84.00.02—2022,B,]

39

.

检验测试间隔testintervalTI

;

次成功的检验测试之间的时间间隔

2。

注1本文件中和含义相同

:,PTI(prooftestinterval)TI。

注2本文件中及其他时间参数参与计算时单位是小时

:,TI,(h)。

注3检验测试间隔也称检测周期

:。

来源有修改

[:ISATR84.00.02—2022,7,]

2

T/CCSAS045—2023

310

.

失效率failurerate

λ

时间点t之后的时间段t内发生失效的设备总量与t时间点完好设备的总量的比值在t趋向

Δ,,Δ

时的极限值

0。

注1本术语主要应用于随机失效本文件假定设备中失效的数量相对于完好的数量按固定比例出现

:。,。

注2单位通常是-9次

:FIT(10/h)。

注3本术语应用于系统失效时表示非设备自身原因导致的失效

:,。

来源附录有修改

[:ISATR84.00.02—2022,B,]

4符号和缩略语

41符号

.

下列符号适用于本文件

。

MN取M表决配置中的M

———(MooN)。

NN取M表决配置中的N

———(MooN)。

RN取M表决配置中RNM例如取时MNR

———(MooN),=-+1。:32,=2,=3,=2。

共因因子

β———。

λ失效率

———。

维修率

μ———。

42缩略语

.

下列缩略语适用于本文件

。

结构约束

AC:(architectureconstraint)

共因失效

CCF:(commoncausedfailure)

诊断覆盖率

DC:(diagnosticcoverage)

诊断周期

DI:(diagnosticinterval)

需求率

DR:(demandrate)

非励磁停车

DTT:(de-energizetotrip)

励磁停车

ETT:(energizetotrip)

菲特

FIT:(failureintime)

失效模式和影响分析

FMEA:(failuremodeandeffectsanalysis)

故障树分析

FTA:(faulttreeanalysis)

硬件故障裕度

HFT:(hardwarefaulttolerance)

独立失效

IF:(independentfailure)

使用期限

MT:(missiontime)

平均失效间隔时间

MTBF:(meantimebetweenfailure)

平均故障前时间

MTTF:(meantimetofailure)

注1也称为平均无故障时间

:。

平均恢复时间

MTTR:(meantimetorestoration)

要求时的失效概率

PFD:(probabilityoffailureondemand)

3

T/CCSAS045—2023

要求时的平均失效概率

PFDavg:(averageprobabilityoffailureondemand)

每小时的失效概率

PFH:(probabilityoffailureperhour)

检验测试覆盖率

PTC:(prooftestcoverage)

部分阀门行程测试

PVST:(partialvalvestroketest)

注2也称为部分行程测试

:PST(partialstroketest)。

危险降低因子

RRF:(riskreductionfactor)

安全失效分数

SFF:(safefailurefraction)

安全仪表功能

SIF:(safetyinstrumentedfunction)

安全完整性等级

SIL:(safetyintegritylevel)

安全仪表系统

SIS:(safetyinstrumentedsystem)

安全要求规范

SRS:(safetyrequirementsspecifications)

系统性能力

SC:(systematiccapability)

误停车率

STR:(spurioustriprate)

检验测试间隔

TI:(testinterval)

43标志符号

.

在代码或缩略语上加标志可构成新的含义例如λ表示危险未检测到的失效率使用标志

,。:DU“、”。

时可用作下标上标尾缀也可按需使用小写需保证可辨识无歧义统一

,、、,,、、。

应用于的标志如下

PFD、PFH、STR:

计算值

●cal———(calculated);

最终元件部分

●FE———(finalelement);

●逻辑解算器部分

LS———(logicsolver);

传感器部分

●S———(sensor);

●支持系统部分

SS———(supportingsystem);

●目标值

tar———(target)。

应用于λ的标志如下

、MTTF:

●危险

D———(dangerous);

●危险检测到的

DD———、(dangerousdetected);

●危险未检测到的

DU———、(dangerousundetected);

安全

●S———(safe);

安全检测到的

●SD———、(safedetected);

●误停车

SP———(spurioustrip);

安全未检测到的

●SU———、(safeundetected)。

5概述

51验证的外部关系和内部结构见图以及后续条目的说明示例见附录

.SIL1,。A。

4

T/CCSAS045—2023

图1SIL验证

52验证包括设计阶段的初步验证采购后的验证现役装置的验证等

.SILSIL、SIL、SIL。

53验证的输入对象图中实线箭头应包括如下对应的文件见附录

.SIL(1),B:

定级包括每个的说明和要求等

a)SIL:SIFSIL;

可用性要求包括等参数

b):STR;

维护情况包括等参数

c):TI;

可靠性参数包括λ等参数

d):;

工程设计包括因果表逻辑图等文件用于方便理解验证对象

e):P&ID、、,。

54仪表设备的可靠性参数的来源包括企业和行业的通用数据产品的证书数据在初步验证阶

.:、。

段未采购产品无产品数据可采用拟用产品证书数据或通用数据

,,,。

55验证的工作范围图中椭圆应包括

.SIL(1):

检查冗余度系统性能力可靠性误停车

a):(HFT)、(SC)、(PFDavg/PFH)、(STR);

计算

b):PFDavg/PFH、STR。

注为可选

:STR。

56验证的检查依据见表计算方法见附录

.SIL1,C。

表1SIL检查表

最小结构约束检查注

PFDavgPFHSCHFT(AC)3

SIL注注注注最小中类中类

1、21、2GB/T21109.1—2022GB/T20438.2—2017AGB/T20438.2—2017B

-1-5时

<10<100(SFF≥60%)

1-2-6100时

≥10≥101(SFF<60%)

低需求模式时时

-2-60()时0(SFF≥90%)

<10<10高需求模式连续0(SFF≥60%)时

2-3-721(、时1(60%≤SFF<90%)

≥10≥10模式时1(SFF<60%)时

)2(SFF<60%)

时时

-3-70(SFF≥90%)0(SFF≥99%)

<10<10时时

3-4-8311(60%≤SFF<90%)1(90%≤SFF<90%)

≥10≥10时时

2(SFF<60%)2(60%≤SFF<90%)

注1当定级报告中有具体的或数值要求时以其为准

:SILPFDavgPFH,。

注2选择检查或取决于的操作模式操作模式的需求率决定了或更客观

:PFDPFH,SIF。PFDPFH。

注3操作模式的说明见类类的说明见的说明见

:C.3.1,A/B5.7,SFFC.2.8。

注4的检查依据为用户和项目要求

:STR。

5

T/CCSAS045—2023

57组成的组件设备的分类见表

.SIF2。

表2设备分类表

分类条件

要实现安全功能的元器件满足下列全部条件

:

所有组成元器件的失效模式都被明确定义

类●;

A故障状况下组件的行为能够完全确定

●;

有充足而可靠的失效数据可显示出满足所声明的检测到的和未检测到的危险失效的失效率

●,

类不满足以上条件之一

B

58当计算检查不合格时可调整输入图中虚线箭头并重新计算检查直至合格调整对结果的

.,(1),,。

影响见附录

D。

59验证报告的内容应包括输入整理计算框图和过程结果和检查修改建议相关产品证书等

.:、、、、。

510验证结束后结果可反馈至各上游工作中形成闭环

.SIL,,。

6总体原则和要求

61的验证计算采用的仪表设备可靠性数据宜来自以往使用数据认证报告公开发行的

.SIFSIL、SIL、

工业数据库或手册等以往使用的术语和定义见中的根据以往使用

。GB/T21109.1—20223.2.51。“”

选择设备的要求见中的

GB/T21109.1—202211.5.3。

62用于逻辑解算器的可编程电子系统应取得功能安全认证

.。

63或安全子系统的的确定宜综合考虑验证的符合性和企业检维修与停车的整体规划

.SISTISIL。

或安全子系统的宜与企业计划停车检修时间间隔相同

SISTI。

64为满足验证的符合性或安全子系统的与企业计划停车检修时间间隔相同具有困难

.SIL,SISTI

时可采用不同的时间间隔同一的传感器最终元件和逻辑解算器可采用不同的

,。SIF、TI。

65当的误动作可能造成的损失大于可容忍程度时可规定可用性要求并验证满足可用性

.SIF,,SIF

要求如验证的满足企业可用性要求

,SIFSTR。

66可用性冗余配置应满足法律法规规章标准规范要求和企业可容忍风险标准的要求在

.SIF、、、。

的误停车不涉及法律法规规章标准规范要求时企业可决定误停车可容忍要求并据此确定

SIF、、、,,

的可用性配置

SIF。

67同一个传感器逻辑解算器最终元件可用于不同的共用部分应满足所有相关的安全技

.、、SIF,SIF

术要求包括要求和要求并应进行验证

,SIFSIL,。

68安全仪表系统应独立于基本过程控制系统并应独立完成安全仪表功能可执行非功能安全

.,。SIS

的仪表功能应具有优先权非功能安全的仪表功能的失效或指令不应影响的功能安全包括

。SIS,SIS,

不应降低的

SIFSIL。

69除非紧急停车按钮和相关环节包括操作人员和获取信息的措施满足功能安全标准的要求

.SIS()

并获得置信紧急停车按钮不应参与验算不应降低可达到的危险失效量

,SISSIL,SIF。

610验证计算的输入条件应包括危险失效率λ检验测试间隔表决形式诊断覆

.SIL()、(TI)、(MooN)、

盖率平均恢复时间共因因子β等

(DC)、(MTTR)、()。

611在对联锁逻辑确定具体时应区分联锁逻辑中的安全关键设备和非安全关键设备安全关

.SIF,。

键设备执行安全仪表功能非安全关键设备不执行安全仪表功能安全关键设备是指该设备的动作是

,。

将工艺过程转入安全状态必不可少的动作只有该设备的动作有效执行才能将工艺过程转入安全状态

,。

非安全关键设备是指该设备的动作不是将工艺过程转入安全状态必不可少的动作该设备的动作失效

,

6

T/CCSAS045—2023

不影响通过安全关键设备的动作将工艺过程转入安全状态

。

注1联锁逻辑不等同于联锁逻辑仅表达因果关系是对某一场景的保护功能一个明确定义一个

:SIF。;SIF。SIF

保护功能的范围和可靠性要求一个联锁逻辑可能是一个也可能包含多个反之亦然

。“”SIF,SIF,。

注2区分安全关键设备和非安全关键设备确定是定级的工作如果验证中发现中包括了非安

:、SIFSIL。SILSIF

全关键设备可以提出复核要求并由相关人员确定安全关键设备和非安全关键设备以及

,,SIF。

612中控制阀的阀体执行机构电磁阀均应参与验算

.SIF、、SIL。

613石油化工和化工装置的等级不应高于级如果在确定等级时有可能达到

.SIFSILSIL3。SIL,

应重新分配保护层的安全功能或采用多个独立的安全仪表功能使等级不高于

SIL4,,,SILSIL3。

614应确定检测到故障时的系统行为对验证的影响检测到故障时的系统行为应符合

.SIL,

的的要求

GB/T21109.1—202211.3。

615有变动时包括仪表设备的型号软件的版本号制造商联锁逻辑独立和共用场景等方面

.SIF(、、、、、

的变动应重新开展评估含定级验证

),SIL,SIL、SIL。

616验证可建立全生命周期的动态机制比如可根据仪表设备现场的实际运行情况定期评估用

.SIL,,

于验证的仪表设备的可靠性数据的合理性如果发现用于验证的仪表设备的可靠性数据不同

SIL,SIL

于现场实际情况可根据现场实际情况适当调整可靠性数据赋值合适的失效率以符合现场实际情

,,

况并开展验证

,SIL。

617用于验证的计算公式应符合有关国家标准的要求

.SIL。

7过程和执行

71验证程序

.

711SIL验证节点

..

安全生命周期中的设计和工程阶段应开展验证如图所示设计和工程阶

SIS“SIS”SIL,2。“SIS”

段中的基础工程设计阶段可开展预验证设计和工程阶段中的详细工程设计阶段应开展

SIL,“SIS”

验证现役装置有变动时按照的要求进行验证验证可按照的要求建立

SIL。,SIF,6.15SIL;SIL6.16,

全生命周期的动态机制

。

图2SIS安全生命周期框图