中華人民共和國化工行業標準化工安全儀表系統工程設計規范中華人民共和國工業和信息化部發布2化工安全儀表系統工程設計規范主編單位：中石油華東設計院有限公司批準部門：中華人民共和國工業和信息化部34 82術語與縮略語 92.1術語 92.2縮略語 3基本要求 3.1安全生命周期 3.2安全完整性 4設計原則 5系統組成 6測量儀表 6.1基本規定 6.2獨立性設計 6.3冗余設計 7最終元件 7.1基本規定 7.2獨立性設計 7.3冗余設計 7.4控制閥附件的配置 8邏輯控制器 8.1基本規定 8.2邏輯控制器輸入、輸出卡件配置 289網絡和通信接口 9.1基本規定 9.2信息安全 10人機接口 10.1操作員站 10.2輔助操作臺 10.3儀表維護旁路開關 10.4操作旁路開關 10.5聯鎖復位按鈕 10.6緊急停車按鈕 10.7工程師站及事件順序記錄站 3311應用程序 11.1基本要求 11.2應用程序的安全性 11.3應用程序設計和組態 3412供電、接地、防雷與配線 13工程設計 13.1基礎工程設計 13.2詳細工程設計 14集成、組態、調試、驗收、聯調與確認 40514.1集成、組態、調試 4014.2驗收 4114.3聯調 4214.4確認 4215維護、維修和變更管理 4316文檔管理 44本規范用詞說明 45引用標準名錄 46附：條文說明 476Contents1Generalprovisions 2Termsandabbreviations 2.1Terms 2.2Abbreviations 3Generalrequirement 3.1Safetylifecycle 3.2Safetyintegritylevel 4Designcriteria 215Systemcomposition 236Sensor 246.1Generalrequirement 246.2Seperationrequirementsforsensor 246.3Redundancyrequirementsforsensor 247Finalelement 267.1Generalrequirement 267.2Seperationrequirementsforfinalelement 267.3Redundancyrequirementsforfinalelement 267.4Settingrequirementsforcontrolvalveaccessory 278Logicsolver 288.1Generalrequirement 288.2SettingrequirementsforlogicalsolverI/Omodule 289Networkandcommunicationinterface 309.1Generalrequirement 309.2Cybersecurity 3010Humanmachineinterface 3110.1Operationstation 3110.2Auxiliaryconsole 3110.3Maintenanceoverrideswitch 3110.4Operationaloverrideswitch 3210.5Interlockresetbutton 3210.6Emergencyshutdownswitch 3310.7Engineeringworkstationandsequenceeventrecorder 3311Applicationprogram 3411.1Generalrequirement 3411.2Safteyofapplicationprogram 3411.3Designandconfigurationofapplicationprogram 3412Powersupply,earthing,lightningsurgeprotectionandwiring 36713Engineeringdesign 3713.1Basicengineeringdesign 3713.2Detailedengineeringdesign 3814Integration,configuration,commissioning,acceptancetestandvalidation 4014.1Integration,configurationandcommissioning 4014.2Acceptancetest 4114.3Commissioning 4214.4Validation 4215Maintenanceandchangemanagement 4316Documentation 44ExplanationofWordinginthiscode 45ListofQuotedStandards 46Addition：ExplanationofProvisions 4781.0.1為了統一安全儀表系統在化工行業的技術要求，推進安全儀表系統工程設計的規范化，達到技術先進、經濟合理、安全適用的目的，制定本規范。1.0.2本規范適用于化工企業新建、擴建及改建項目安全儀表系統的工程設計。1.0.3化工安全儀表系統的工程設計除應符合本規范外，尚應符合國家現行有關標準的規定。92.1.1安全儀表系統safetyinstrumentedsystem；SIS實現一個或多個安全儀表功能的儀表系統。2.1.2風險risk傷害發生可能性與該傷害嚴重性的組合。2.1.3安全儀表系統的安全生命周期SISsafetylife-cycle從工程方案設計開始到所有安全儀表功能停止使用期間，安全儀表系統實現安全儀表功能涉及的所有必要活動。2.1.4危險hazard導致人身傷害或疾病、財產損失或環境破壞的潛在根源。2.1.5保護層protectionlayer通過控制、預防或減輕以降低風險的任何獨立機制。注：它可能是過程工程機制（如處置危險化學品的容器尺寸也可能是機械工程機制（如安全閥2.1.6安全功能safetyfunction對于特定危險事件，為達到或保持過程的安全狀態，由一個或多個保護層實現的功能。2.1.7安全儀表功能safetyinstrumentedfunction；SIF只能由SIS實現的安全功能。安全儀表功能用來達到一個要求的SIL。SIL由其它參與降低相同風險的保護層決定。2.1.8故障fault由于內部異常狀態，導致不能執行所需的功能。2.1.9安全完整性safetyintegrity安全儀表系統在需要時執行特定安全儀表功能的能力。2.1.10安全完整性等級safetyintegritylevel；SIL為規定SIS應達到的安全完整性要求而分配給SIF的離散等級（4個等級中的一個）。在出現故障或錯誤時，某項功能仍繼續執行規定功能的能力。2.1.12失效failure失去按要求執行的能力。2.1.13危險失效dangerousfailure使給定的安全動作受阻或無法執行的失效。2.1.14安全失效safefailure可能觸發某個給定的安全動作的失效。2.1.15目標失效量targetfailuremeasureSIF要求的性能，既可規定為在低要求模式下要求時執行SIF的平均失效概率，也可規定為在連續模式時執行SIF的危險失效平均頻率。表1和表2給出了SIL和目標失效量之間的關系。2.1.16測量儀表sensor安全儀表系統或基本過程控制系統中檢測測量過程變量的設備。2.1.17邏輯控制器logicsolver安全儀表系統或基本過程控制系統中執行一個或多個邏輯功能的設備。2.1.18最終元件finalelement安全儀表系統或基本過程控制系統中達到或保持安全狀態執行必要物理動作的設備。注：例如，控制閥、開關設備以及電機，包括他們的輔助元件（如電磁閥和用來驅動控制閥的執行機2.1.19關聯儀表signaltransmissioninstrument安全儀表系統或基本過程控制系統中，在測量儀表與邏輯控制器之間或邏輯控制器與最終元件之間，執行信號變換、信號隔離、能量限制等功能的儀表。如：信號轉換器，信號隔離器，繼電器，安全柵、電涌保護器等。2.1.20基本過程控制系統basicprocesscontrolsystem；BPCS對來自工藝過程及其關聯設備的輸入信號、其它可編程電子系統和/或操作員的輸入信號進行運算處理，并作出響應輸出信號，使工藝過程及其關聯設備按所期望的方式運行的系統。但它不執行任何安全儀表功能。2.1.21故障安全failsafe安全儀表系統發生故障時，使被控制過程轉入預定安全狀態。2.1.22冗余redundancy采用兩個或多個部件或手段執行一個特定功能或展示信息。2.1.23開關量digitalvariable只有兩個數值的變量，用來表示事物或事件的狀態。也稱為數字變量。2.1.24開關switch具有兩種穩定位置的狀態器件。有軟件開關和硬件開關。2.1.25按鈕pushbutton只有一種穩定位置的狀態器件。有軟件按鈕和硬件按鈕。2.1.26觸點mechanicalcontact由導電的金屬元件組成的機械式電氣器件。在外界因素作用下可以改變接通或斷開導電狀態。2.1.27可編程電子系統programmableelectronicsystem；PES基于可以按功能需要編制或改變運行程序的電子設備，用于控制、保護或監視的系統。2.1.28過程安全時間processsafetytime在SIF未執行時，從過程失效或基本過程控制系統失效到危險事件發生之間的時間段。2.1.29旁路bypass阻止執行所有或部分安全儀表系統功能的動作或設施。2.1.30驗證verification通過檢查和客觀證據證實要求已滿足。注1：是指在相關SIS安全生命周期的每個階段，通過分析和/或測試，證?在系統各個部分分步組裝到一起后進行集成測試，并進行環境性能試驗以確保所有部分能按規2.1.31確認validation通過檢查和提供客觀證據，證實用于某個規定用途的特定要求得到了滿足。這是指證明安裝后的SIF和SIS在各方面滿足SRS。2.1.32安全要求規格書safetyrequirementspecification；SRS包含所有安全儀表功能和與之相關的安全完整性等級要求的規范性文件。2.1.33平均恢復時間meantimetorestoration；MTTR完成功能恢復的平均預計時間。2.1.34檢驗測試prooftest為了檢測安全儀表系統隱性的危險故障的周期性測試。必要時，通過維護將安全儀表系統恢復到新的狀態或盡可能接近該狀態。2.1.35以往使用prioruse基于以往在類似運行環境的使用經驗，由用戶開展的文檔化評估，以證明某個設備適用于SIS，并且能達到所需的功能和安全完整性要求。的性能。為高度確定計劃的設計、檢查、測試、維護和操作具有充分的實踐，必須了解在運行環境中設備注2：經使用證明是基于設備制造商的設計基礎（即溫度極限、震動極限、腐蝕極限、需要的維護支2.1.36（SIF的）運行模式modeofoperation（ofaSIF）SIF的運行方式，可分為低要求模式、高要求模式和連續模式。1低要求模式：在這種運行模式下，SIF只有在要求時才動作，以將過程導入一個特定的安全狀態，并且要求的頻率不大于一年一次。2高要求模式：在這種運行模式下，SIF只有在要求時才動作，以將過程導入一個特定的安全狀態，并且要求的頻率大于一年一次。3連續模式：在這種運行模式下，SIF作為正常運行的一部分保持過程處于一種安全狀態。2.1.37診斷diagnostics揭露故障的頻繁（相對于過程安全時間）自動測試。2.1.38診斷覆蓋率diagnosticscoverrage；DC通過診斷檢測出的危險失效率的占比。診斷覆蓋率不包括任何被檢驗測試檢測到的故障。2.1.39誤停車率spurioustriprate；STR特定時間內，在過程未發生異常的情況下安全儀表功能發生安全停車的比例。2.1.40共因失效commoncausefailure由單個事件引起不同設備同時失效，此類失效之間沒有因果關系。2.1.41系統性能力systematiccapability；SC當設備根據安全手冊規定的說明進行應用時，設備的系統性安全完整性達到規定的SIL要求的置信度的度量（表示為SC1到SC4其與特定的安全功能有關。注2：系統性失效機制取決于設備的特性。對于只由硬件組成的設備，只考慮硬件失效機制。對于由硬件和軟件組成的設備，則需要考慮硬件和軟件失效2.1.42結構約束architecturalconstraint；AC對安全回路中的某個組件從硬件結構上進行約束，限制所能達到的SIL。2.1.43可用性availability當某一個系統設備發生故障時，系統在保證安全功能的前提下，仍能保證生產過程不中斷的能力。2.1.44可靠性reliability在給定的時間周期內，系統在規定的狀態下完成設計功能的能力。本規范準采用下列縮略語：BPCSBasicProcessControlSystem基本過程控制系統CPUCentralProcessUnit中央處理單元DiagnosticCoverage診斷覆蓋率FactoryAcceptanceTesting工廠驗收測試Fullvariabilitylanguage完全可變語言FunctionalSafetyAssessment功能安全評估FullStrokeTest全行程測試HAZOPHazardandOperabilityStudy危險和可操作性分析HardwareFaultTolerance硬件故障裕度HumanMachineInterface人機接口Health，SafetyandEnvironment健康、安全和環境Input/outputmodule輸入/輸出模件LOPALayerofProtectionAnalysis保護層分析LVLLimitedvariabilitylanguage有限可變語言MooN“M”outof“N”“N”取“M”MaintenanceOverrideSwitch維護旁路開關MTTRMeanTimeToRestoration平均恢復時間OOSOperationalOverrideSwitch操作旁路開關PESProgrammableElectronicSystem可編程電子系統PFDProbabilityofDangerousFailureonDemand要求時危險失效概率PFDavgAverageProbabilityofDangerousFailureonDemand要求時危險失效平均概率PFHProbability(averagefrequencyofdangerousfailures)ofFailureperHour每小時失效概率（危險失效平均頻率）PLCProgrammableLogicController可編程邏輯控制器PSTPartialStrokeTest部分行程測試RRFRiskReductionFactor風險降低因子SATSiteAcceptanceTesting現場驗收測試SCSystematicCapability系統性能力SERSequenceofEventsRecorder事件順序記錄SIFSafetyInstrumentedFunction安全儀表功能SILSafetyIntegrityLevel安全完整性等級SISSafetyInstrumentedSystem安全儀表系統SRSSafetyrequirementspecification安全要求規格書STRSpuriousTripRate誤停車率UPSUninterruptablePowerSupply不間斷電源3.1.1化工廠或裝置工程設計中，應確定安全儀表系統安全生命周期內所需要的技術活動和管理活動。安全儀表系統設計應按照安全生命周期進行，完成相關工作。工程設計集成調試運行維護+v3.1.2安全儀表系統的安全生命周期宜分為工程設計階段、集成調試階段和運行維護階段。如圖3.1.2所示。工程設計集成調試運行維護+v圖3.1.2安全儀表系統安全生命周期工作流程3.1.3對安全儀表系統實際安全完整性與目標安全完整性應進行符合性驗證。需要時可對安全儀表系統的可用性進行驗證，如誤停車率（STR）。3.1.4工程設計階段宜包括工程方案設計，過程危險分析與風險評估，保護層的安全功能分配，安全完整性等級分級，確定安全儀表系統安全技術要求，安全儀表系統基礎工程設計，安全儀表系統詳細工程設計。3.1.5集成調試階段宜包括安全儀表系統硬件集成、應用軟件編制、調試、測試、驗收、安裝、聯調及確認。3.1.6運行維護階段宜包括安全儀表系統維護、變更、檢驗測試、停用等。3.1.7工程方案設計宜包括初步的危險分析，自動檢測、報警、控制、聯鎖方案，儀表選型方案，其它安全措施等。3.1.8過程危險分析和風險評估宜包括識別工藝過程、相關設備及生產環境的危險事件、原因、危險事件發生的順序、可能性及后果，確定降低風險的要求和措施，確定安全儀表功能3.1.9保護層安全功能的分配可包括分配預防、控制或減緩過程危險的保護層安全功能，分配安全儀表功能的風險降低目標。保護層的安全功能分配應符合現行國家標準《電氣/電子/可編程電子安全相關系統的功能安全》GB/T20438、《過程工業領域安全儀表系統的功能安全》GB/T21109和《保護層分析（LOPA）應用指南》GB/T32857的有關規定。3.1.10安全儀表功能的安全完整性等級分級應根據過程危險分析和保護層功能分配的結果確定，不得低于分配的風險降低目標。3.1.11安全儀表系統安全技術要求應基于國家和企業風險標準，依據過程危險分析與風險評估得出的風險降低要求，確定工程設計、運行、維護和管理策略。安全技術要求可通過編制安全要求規格書表述。安全要求規格書的內容應包括過程與環境安全要求、安全儀表功能及與之相關的安全完整性等級要求、安全儀表系統的硬件性能與規格要求、應用程序的安全要求等。3.1.12安全儀表系統的基礎工程設計應根據安全技術要求，編制滿足安全完整性等級要求和滿足可用性、可維護性、經濟性的安全儀表系統技術方案。設計文件宜包括安全聯鎖因果表或聯鎖邏輯圖、邏輯控制器技術規格書、測量儀表及最終元件選型及數據表等。3.1.13安全儀表系統的詳細工程設計應根據安全技術要求和基礎設計編制安全儀表系統技術文件。設計文件宜包括安全儀表系統邏輯控制器技術規格書、聯鎖邏輯圖、輸入/輸出點清單、報警聯鎖設定值表、測量儀表及最終元件儀表規格書等。3.1.14集成、編程、調試、測試、驗收、安裝、聯調、確認應包括下列內容：1安全儀表系統集成、編程、調試應在集成工廠根據安全儀表系統的安全技術要求、設備技術規格書及聯鎖邏輯圖的要求進行。2安全儀表系統測試、驗收應包括工廠測試、驗收和現場測試、驗收。測試、驗收內容應包括安全儀表系統硬件、系統軟件和應用程序等。3安全儀表系統應根據安裝設計要求安裝，應根據聯鎖邏輯圖等設計文件聯調。4安全儀表系統投用前應開展確認工作，確認系統具備投入使用條件。確認內容宜包括測量儀表、邏輯控制器、最終元件及關聯設備的測試、安裝、聯調等程序和最終結果符合要求。3.1.15安全儀表系統運行維護階段應建立保持安全儀表系統功能安全有效性的運行維護作業規程。運行維護應按照安全技術要求、安全手冊和維護規程進行。3.1.16安全儀表系統的硬件、軟件的變更應進行風險評估和可靠性、可用性需求驗證，滿足需求目標。變更過程應按照變更管理程序進行，獲得授權批準，并應保留變更記錄。3.1.17安全儀表系統應按照檢驗測試間隔要求進行功能測試。對發現的失效進行原因分析并消除。檢驗測試應按照檢驗測試管理程序進行，并應保留測試記錄。3.1.18安全儀表系統的停用應進行審查并得到批準。安全儀表系統的更新應進行安全評估、驗證，更新后的安全儀表系統應實現規定的安全儀表功能和安全完整性等級。更新過程應按照更新管理程序進行，獲得授權批準，并應保留更新記錄。3.1.19運行維護人員應定期培訓。培訓內容宜包括安全儀表系統功能、測量儀表、最終元件、邏輯控制器、系統故障報警、儀表維護旁路、操作旁路、聯鎖邏輯圖、安全技術要求等。3.2.1安全儀表系統安全完整性應包括硬件設備安全完整性和系統安全完整性。硬件設備安全完整性應包括硬件設備危險失效率和結構約束。3.2.2硬件設備安全完整性等級可分為SIL1、SIL2、SIL3、SIL4。3.2.3在低要求模式時，硬件設備安全完整性等級應采用要求時危險失效平均概率（PFDavg）或風險降低因子（RRF）衡量。應根據表3.2.3確定。表3.2.3安全完整性等級（低要求模式）要求時危險失效平均概率（PFDavg）43213.2.4在連續模式或高要求模式時，硬件設備安全完整性等級應采用每小時危險失效平均頻率（PFH）衡量，應根據表3.2.4確定。表3.2.4安全完整性等級（連續模式或高要求模式）43213.2.5安全儀表功能的硬件設備危險失效平均概率或每小時危險失效平均頻率應包括安全儀表功能回路中所有設備的危險失效平均概率或每小時危險失效平均頻率。3.2.6安全儀表功能的硬件設備配置結構應滿足結構約束的要求。結構約束可通過硬件故障裕度（HFT）要求表達。3.2.7安全儀表系統可分解為獨立子系統（如測量儀表、邏輯控制器、最終元件硬件故障裕度可在子系統層級指定。3.2.8安全儀表系統或子系統的硬件故障裕度應符合下列要求之一：（1）表3.2.8的要求；（2）GB/T20438.2-2017的7.4.4.2（路線1H）的要求；（3）GB/T20438.2-2017的7.4.4.3（路線2H）的要求。10202131423.2.9安全儀表系統的系統性能力可分為SC1、SC2、SC3、SC4共4級。3.2.10安全儀表系統的安全完整性等級應為硬件安全完整性等級與系統性能力等級中的較小值。3.2.11儀表設備可靠性數據宜來自以往使用數據、安全完整性認證報告、公開發行的數據庫或手冊等。4.0.1安全儀表系統的工程設計應滿足化工廠或裝置的安全儀表系統安全技術要求。4.0.2安全儀表系統的工程設計應兼顧安全完整性、可用性、可維護性、可追溯性和經濟性，應防止設計不足或過度設計。4.0.3化工廠或裝置安全儀表功能的安全完整性等級不應高于SIL3級。4.0.4安全儀表功能的響應時間應小于過程安全時間。4.0.5安全儀表系統可執行一個或多個安全儀表功能。當多個安全儀表功能在同一安全儀表系統內實現時，系統的共用部分應滿足所有相關安全儀表功能的安全技術要求，包括安全儀表功能要求和安全完整性等級要求。4.0.6安全儀表系統應獨立于基本過程控制系統，應獨立完成安全儀表功能。4.0.7安全儀表系統與基本過程控制系統之間的共用設備應優先執行安全儀表功能。4.0.8非安全儀表功能在安全儀表系統中實施不應影響安全儀表功能的執行。4.0.9安全儀表系統宜設計為故障安全型，包括安全儀表系統電源故障、氣源故障、信號線路斷路、設備故障等。4.0.10安全儀表系統宜具有故障自診斷功能，可編程邏輯控制器應具有故障自診斷功能。4.0.11安全儀表系統中間環節宜盡可能少。4.0.12可編程邏輯控制器的中央處理單元、輸入輸出單元、通信單元及電源單元等，應采用冗余技術。4.0.13安全儀表系統的交流供電應采用UPS供電。4.0.16安全儀表系統應設置信息安全防護措施。5.0.1安全儀表系統應包括測量儀表、邏輯控制器、最終元件、關聯儀表、測量管路、信號線路、網絡和通信接口、人機接口設備等。5.0.2可編程電子系統邏輯控制器應包括中央處理單元、輸入單元、輸出單元、電源單元、通信單元等。5.0.3關聯儀表應包括邏輯控制器輸入、輸出回路中的信號分配器、隔離器、信號轉換器、安全柵、電涌防護器、繼電器等。5.0.4人機接口設備應包括操作站、報警燈、儀表維護旁路用開關、操作旁路開關、復位按鈕、緊急停車按鈕、工程師站、事件順序記錄站等。5.0.5安全儀表系統邏輯控制器內和邏輯控制器與工程師站、操作站、事件順序記錄站之間應采用網絡通信互聯。5.0.6安全儀表系統網絡應按功能分層設計，宜分為安全邏輯控制層和操作監控層。5.0.7安全儀表系統網絡宜分域設計，可按工藝裝置或裝置群分域。5.0.8安全儀表系統網絡應冗余配置。5.0.9安全儀表系統網絡通信介質可采用通信光纖或通信電纜。6.1.1測量儀表的性能和配置應滿足安全儀表功能及其安全完整性等級、結構約束的需求。6.1.2測量儀表的配置應滿足可用性的要求。6.1.3測量儀表宜采用模擬量輸出信號測量儀表，也可采用開關量輸出信號測量儀表。測量儀表不應采用現場總線信號或其它通信協議信號作為安全儀表功能的輸入信號，不應采用無線信號作為安全儀表功能的輸入信號。測量儀表宜采用具有故障自診斷功能的智能儀表。6.1.4測量儀表與邏輯控制器之間信號回路中的信號分配器、隔離器、信號轉換器、安全柵、電涌防護器、繼電器等關聯儀表，其性能和配置應滿足安全儀表功能及其安全完整性等級的需求。安全柵宜選用隔離型。6.1.5測量儀表宜在測量管路中設計儀表維護、維修、檢驗測試用措施。6.1.6測量儀表選型除應滿足本規范外，尚應滿足現行行業標準《自動化儀表選型設計規范》HG/T20507的要求。6.2.1安全儀表系統測量儀表獨立性設計應滿足安全技術要求。6.2.2SIL1級安全儀表功能的測量儀表宜與基本過程控制系統分開。6.2.3SIL2級安全儀表功能的測量儀表應與基本過程控制系統分開。6.2.4SIL3級安全儀表功能的測量儀表應與基本過程控制系統分開。6.2.5安全儀表系統與基本過程控制系統的測量儀表取源點宜分開設置。6.2.6安全儀表系統冗余的測量儀表之間取源點宜分開設置。6.2.7安全儀表系統與基本過程控制系統的測量儀表測量管路應分開設置。6.2.8安全儀表系統冗余的測量儀表之間測量管路應分開設置。6.2.9在測量儀表測量管路中應設計儀表維護、維修、檢驗測試用措施。6.3.1安全儀表系統的測量儀表冗余設計應滿足下列要求：1應滿足安全儀表功能對測量儀表安全完整性等級的故障裕度要求；2應滿足安全儀表功能安全完整性對測量儀表結構約束的要求；3應滿足工藝裝置對測量儀表可用性的要求。6.3.2當要求高安全性時，測量儀表應采用安全性冗余結構，單一測量儀表的動作應能實現安全聯鎖功能。6.3.3當要求高可用性時，測量儀表應采用可用性冗余結構，單一測量儀表的動作不能實現安全聯鎖功能。6.3.4當要求兼顧安全性和可用性時，測量儀表應采用兼顧安全性和可用性的冗余結構，如三取二表決機制結構。6.3.5測量儀表冗余配置時，宜設置儀表信號之間偏差報警。7.1.1最終元件的性能和配置應滿足安全儀表功能及其安全完整性等級、結構約束的要求。7.1.2最終元件的配置應滿足可用性需求。7.1.3最終元件可為控制閥、電機控制器等。動作方式宜為兩位式，控制信號宜為開關量信7.1.4控制閥宜采用氣動執行機構，也可采用電液執行機構或電動執行機構。控制閥應為故障安全型。7.1.5最終元件與邏輯控制器之間信號回路中的繼電器、隔離器、電涌防護器、安全柵等關聯儀表，其性能和設置應滿足安全儀表功能及其安全完整性等級的需求。安全柵宜選用隔離型。7.1.6控制閥宜設計檢驗測試、維護、維修用措施。7.1.7控制閥選型除應滿足本規范外，尚應滿足現行行業標準《自動化儀表選型設計規范》HG/T20507的要求。7.2.1安全儀表系統最終元件的獨立性設計應滿足安全技術要求。7.2.2SIL1級安全儀表功能的控制閥宜與基本過程控制系統分開。當控制閥與基本過程控制系統共用時，安全儀表功能的需求應被優先執行，并由安全儀表系統獨立完成。7.2.3SIL2級安全儀表功能的控制閥應與基本過程控制系統分開。7.2.4SIL3級安全儀表功能的控制閥應與基本過程控制系統分開。7.3.1安全儀表系統的最終元件冗余設計應滿足下列要求：1應滿足安全儀表功能對最終元件安全完整性等級的要求；2應滿足安全儀表功能安全完整性對最終元件結構約束的要求；3應滿足工藝裝置對最終元件可用性的要求；7.3.2當要求高安全性時，控制閥應采用安全性冗余結構，單一控制閥的動作應能實現安全功能。7.3.3當要求高可用性時，控制閥應采用可用性冗余結構，單一控制閥的動作不能實現安全功能。7.4.1氣動執行機構的控制電磁閥應安裝在靠近氣缸、膜頭的氣動控制管路上。7.4.2氣動執行機構的控制電磁閥應選用長期帶電型，正常時勵磁，聯鎖時非勵磁。7.4.3氣動執行機構控制電磁閥的安全完整性應滿足控制閥的安全完整性要求。7.4.4氣動執行機構的控制電磁閥可通過冗余配置提高可靠性或可用性。當要求高安全性時，電磁閥應采用安全性冗余結構，單一電磁閥的動作應能實現控制閥的安全功能。當要求高可用性時，電磁閥應采用可用性冗余結構，單一電磁閥的動作不能實現控制閥的安全功能。7.4.5控制閥應配置現場閥位指示器。7.4.6控制閥應配置閥位行程開關。7.4.7當控制閥實際檢驗測試間隔小于計劃停車檢修間隔，且不具備在線檢驗測試手段時，可設計部分行程測試措施。8.1.1邏輯控制器可采用可編程電子系統、繼電器系統或可編程電子系統與繼電器的組合系8.1.2用于邏輯控制器的可編程電子系統應取得功能安全認證。8.1.3邏輯控制器的安全完整性應滿足安全儀表功能及其安全完整性等級、結構約束的需求。8.1.4邏輯控制器的配置應滿足可用性的要求。8.1.5邏輯控制器應獨立設置，應獨立完成安全儀表功能的邏輯控制功能。8.1.6可編程電子系統邏輯控制器應冗余配置。8.1.7邏輯控制器所有部件應滿足安裝環境的防電磁干擾、防腐蝕、防潮濕、防銹蝕等要求。8.1.8可編程電子系統邏輯控制器的中央處理單元、輸入單元、輸出單元、電源單元、通信單元等應為獨立的單元，應允許在線更換而不影響邏輯控制器的正常工作。8.1.9可編程電子系統邏輯控制器的響應時間不宜大于300ms。響應時間應包括輸入處理時間、輸入掃描時間、中央處理單元掃描時間、應用軟件執行時間、輸出掃描時間、輸出處理時間、通信時間等。8.1.10可編程電子系統邏輯控制器的中央處理單元負荷不應超過額定負荷的50%。8.1.11可編程電子系統邏輯控制器內部通信負荷不應超過50%，采用以太網的通信負荷不應超過20%。8.1.12可編程電子系統邏輯控制器應具有故障診斷、測試功能。診斷和測試信息應在工程師站顯示、記錄。8.1.13可編程電子系統邏輯控制器的故障應可在安全儀表系統或基本過程控制系統的操作員站報警。8.2.1輸入、輸出卡件應采用冗余技術。8.2.2輸入、輸出卡件信號通道間應采用光電或電磁技術隔離。8.2.3輸入、輸出卡件宜具有線路斷路和短路檢測功能，并在安全儀表系統或基本過程控制系統操作員站報警。8.2.4安全儀表功能輸入、輸出卡件的過程輸入、輸出信號不應采用總線信號，不應采用無線信號。8.2.5冗余配置的測量儀表信號宜接到不同的輸入卡件。8.2.6冗余配置的最終元件宜接到不同的輸出卡件。每一輸出信號通道應只接一個最終元件。8.2.7各類輸入、輸出卡件宜預留不低于10%的備用通道。8.2.8當測量儀表、最終元件端可能引入電氣干擾或危害電壓時，應在輸入、輸出卡件之前信號回路中設置隔離措施。模擬量信號宜設置信號隔離器，開關量信號宜設置隔離繼電器。9.1.1安全儀表系統通信網絡應采用工業交換機，并應冗余配置。安全儀表系統的交換機不應采用級聯或堆疊方式擴展交換機端口數量。9.1.2網絡和通信接口負荷不應超過50%，采用以太網通信時負荷不應超過20%。9.1.3安全儀表系統網絡可包括安全功能網絡和非安全功能網絡。邏輯控制器內單元間通信網絡應為安全功能網絡。邏輯控制器之間通信執行完全功能時其通信網絡應為安全功能網絡。邏輯控制器、操作站、工程師站間通信網絡可為非安全功能網絡。9.1.4安全儀表系統與基本過程控制系統通信不應執行非安全功能。通信接口的故障不應影響安全儀表系統的功能安全。9.1.5除旁路信號和復位信號外，基本過程控制系統不應采用通信方式向安全儀表系統發送指令。9.1.6安全儀表系統與基本過程控制系統應直接通信，不應通過工廠管理網絡傳輸。通信宜采用RS485串行通信接口，MODBUSRTU通信協議。9.1.7除基本過程控制系統外，安全儀表系統與其他系統之間不應設置通信接口，應采用硬接線方式連接。9.2.1安全儀表系統的邏輯控制器采用可編程電子系統時應進行信息安全風險分析與評估，根據評估結果采取相應的信息安全防護措施。9.2.2安全儀表系統宜按生產裝置或生產區域進行網絡分域，分域間宜進行隔離。9.2.3安全儀表系統不應接入無線儀表和無線網絡。9.2.4安全儀表系統的服務器、操作員站、工程師站、事件順序記錄站及其它終端設備應采取防病毒和相應信息安全防護措施。9.2.5安全儀表系統不應直接與工廠信息網絡相連。安全儀表系統無關的設備或網絡不應接入安全儀表系統或利用安全儀表系統網絡傳輸數據。9.2.6安全儀表系統的服務器、工程師站、事件順序記錄站、操作員站等人機接口網絡設備應嚴格管理操作權限。10.1.1安全儀表系統可設操作員站，用于過程信號報警、系統故障報警、聯鎖動作報警、運行與維護狀態顯示，聯鎖邏輯顯示，聯鎖復位、聯鎖旁路操作與狀態顯示。10.1.2安全儀表系統操作員站失效應不影響安全儀表系統的功能安全。10.1.3安全儀表系統操作員站可共用基本過程控制系統的操作員站，也可獨立設置操作員站。10.1.4操作員站不應具有修改安全儀表系統應用程序的權限。10.1.5操作員站設置的軟件旁路開關應加鍵鎖或口令保護。10.1.6基本過程控制系統的操作員站可設置聯鎖保護參數預報警。10.2.1輔助操作臺應設置在控制室操作間，安裝按鈕、開關、報警燈、音響器等。10.2.2輔助操作臺宜按工藝裝置分別設置。10.2.3輔助操作臺的形式、顏色宜與操作站的操作臺協調一致。10.2.4輔助操作臺上按鈕、開關、報警燈的布置、標識應便于操作人員辨識和操作。10.2.5輔助操作臺上的按鈕、開關、報警燈、音響器應采用硬接線方式接入安全儀表系統輸入、輸出卡件。10.2.6緊急停車按鈕應為紅色，復位按鈕宜為綠色，試驗按鈕宜為白色，確認按鈕宜為黑色。10.2.7報警燈光宜采用下列顏色：1越限報警或緊急狀態為紅色；2預報警或旁路狀態為黃色；3設備運轉或過程變量正常為綠色。10.2.8關鍵報警除了在操作站顯示外，宜同時在輔助操作臺上設置硬件報警燈顯示。10.3.1在測量儀表輸入信號通道上宜設置儀表維護旁路開關。手動緊急停車輸入信號不應設置儀表維護旁路開關。輸出信號不應設置儀表維護旁路開關。10.3.2儀表維護旁路開關可在下列設備上以下列方式設置：1在安全儀表系統的工程師站設置軟件開關；.2在機柜內設置硬件開關；3在輔助操作臺設置硬件開關。10.3.3儀表維護旁路開關采用軟件開關或在機柜內設硬件開關方式時，每個安全聯鎖單元或工藝區域宜在操作室輔助操作臺上設置硬件“允許旁路”開關作為軟件開關或機柜內硬件開關生效的“允許”條件。10.3.4對儀表維護旁路、允許旁路的操作應進行報警和記錄。宜設計旁路限時，超過設定的旁路時間報警。10.4.1當工藝過程變量或設備狀態從初始值到正常值一直處于聯鎖設定值范圍內，不旁路不能建立正常工藝條件時，應設置操作旁路開關。10.4.2在操作旁路狀態，聯鎖輸入信號應正常顯示、報警。10.4.3輸出信號不應設置操作旁路。10.4.4緊急停車命令和功能不應設置操作旁路。10.4.5操作旁路開關可在下列設備上以下列方式設置：1在安全儀表系統操作員站設置軟件開關；2在基本過程控制系統操作員站設置軟件開關；3在輔助操作臺設置硬件開關。10.4.6對操作旁路操作應進行報警和記錄。10.5.1安全儀表功能聯鎖邏輯應設置復位按鈕。10.5.2復位按鈕可按下列方式設置：1在安全儀表系統操作員站設置軟件按鈕；2在基本過程控制系統操作員站設置軟件按鈕；3在輔助操作臺設置硬件按鈕；4需要時在控制室和現場分別設置按鈕，兩處均復位操作后復位指令生效。10.5.3對復位操作應進行記錄。10.6.1安全儀表功能應根據工藝和安全需求設置緊急停車按鈕。10.6.2緊急停車按鈕宜按下列方式設置：1在輔助操作臺設置硬件按鈕；2需要時在輔助操作臺和現場均設置硬件按鈕，在一處停車操作后即停車指令生效。10.6.3硬件緊急停車按鈕應配防護罩。10.6.4緊急停車按鈕信號和功能不應被旁路。10.6.5對緊急停車操作應作報警和記錄。10.7.1采用可編程電子系統的安全儀表系統應設工程師站，用于安全儀表系統組態、系統診斷、系統變更、系統更新、系統維護等。10.7.2工程師站應能顯示操作站的內容。10.7.3工程師站應設不同級別的訪問權限及保護密碼。10.7.4安全儀表系統應設事件順序記錄站。事件順序記錄站可單獨設置，也可與工程師站共用。10.7.5事件順序記錄站應記錄每個事件的時間、日期、標識、狀態等。事件順序記錄站應設密碼保護。10.7.6工程師站和事件順序記錄站宜采用位置固定的臺式計算機。10.7.7工程師站及事件順序記錄站失效應不影響安全儀表功能。10.7.8工程師站及事件順序記錄站可配置打印機。11.1.1應用程序的邏輯功能應采用布爾邏輯及布爾代數運算規則。11.1.2應用程序的組態宜采用功能邏輯圖或布爾邏輯表達式。11.1.3應用程序的組態應使用安全儀表系統制造廠的標準組態工具軟件。11.1.4應用程序組態工具軟件應具有下列功能：1應用程序版本管理；2應用程序正確性檢查；3標準功能塊及其符號說明；4應用程序的編輯、編譯、下裝及運行管理；5應用程序的離線仿真測試；6組態管理。11.2.1應用程序的設計、編程、組態、測試、集成、確認、運行維護及變更等應符合安全儀表系統安全技術要求、工程設計文件要求，工作程序、規則、人力、管理等應符合安全手冊的要求。11.2.2應用程序應進行離線和在線測試，確認其功能滿足既定要求后再投入運行。11.2.3應用程序宜采用光盤或磁介質進行復制和備份，電子版文件的復制應防止病毒侵入。11.2.4應用程序應同時進行本地備份和異地備份。11.3.1應用程序設計文件應包括下列內容：1應用程序說明；2輸入點、輸出點、通信點清單；3功能邏輯圖；4其它要求。11.3.2邏輯設計應具有可讀性，復雜功能邏輯圖應有相應的邏輯功能說明。11.3.3應用程序組態應與安全儀表系統安全技術要求、功能邏輯圖、因果表等要求一致。程序執行順序及時間應符合過程安全的要求。11.3.4應用程序組態宜使用標準功能塊。標準功能塊應為經功能測試正確的邏輯功能塊。11.3.5應用程序組態文件應包括功能邏輯圖、用戶手冊、使用說明等。11.3.6采用邏輯語言的軟件組態文件還應包括源程序、程序說明等。12.0.1安全儀表系統供電設計應符合現行行業標準《儀表供電設計規范》HG/T20509。安全儀表系統的交流供電宜采用兩路獨立的UPS電源供電。12.0.2安全儀表系統接地設計應符合現行行業標準《儀表系統接地設計規范》HG/T20513。安全儀表系統應與基本過程控制系統共用接地網。12.0.3安全儀表系統應根據安全技術要求和雷電風險控制要求進行防雷工程設計。防雷設計宜符合現行行業標準《石油化工儀表防雷工程設計規范》SH/T3164。12.0.4安全儀表系統配管配線設計應符合現行行業標準《儀表配管配線設計規范》HG/T20512。安全儀表系統可與基本過程控制系統共用匯線槽、電纜溝，不宜共用接線箱，不宜共用穿線管。13.1.1安全儀表系統基礎工程設計應根據工藝要求、工況條件、環境條件和安全儀表系統安全技術要求編制。設計文件宜包括下列內容：1安全聯鎖因果表，復雜聯鎖說明；2邏輯控制器技術規格書；3測量儀表、最終元件、關聯儀表選型原則及儀表數據表；4安全儀表系統配置圖。13.1.2邏輯控制器技術規格書宜包括下列內容：1基本要求；2選型原則；3控制器；4操作員站；5輔助操作臺；6工程師站和事件順序記錄站；7應用程序組態；8通信；11供電及接地；12驗收測試；13運行環境；14儲運條件；15技術服務；16質量保證；17文檔資料。13.1.3測量儀表、最終元件、關聯儀表的數據表宜包括下列內容：1工藝條件；2環境條件；3儀表規格；4安全完整性；5檢驗測試間隔。13.2.1安全儀表系統詳細工程設計文件應根據安全儀表系統安全技術要求、基礎工程設計文件及工藝要求編制。設計文件宜包括下列內容：1邏輯控制器技術規格書；2安全儀表系統配置圖；3聯鎖邏輯圖或因果表，復雜聯鎖說明；4輸入、輸出點清單；5聯鎖及報警設定值表；6應用程序需要的技術資料；7測量儀表、最終元件、關聯儀表的儀表規格書；8操作員站、輔助操作臺及機柜布置圖；9輸入、輸出卡件及端子布置圖、接線圖；10供電及接地系統圖；11遠程控制器或遠程輸入、輸出卡件及端子布置、接線圖；12回路接線圖或接線表；13系統網絡通信電纜、光纜連接表。13.2.2邏輯控制器技術規格書宜包括下列內容：1系統技術規格；2硬件配置基本要求；3軟件配置基本要求；4備品備件及輔助工具；5應用程序組態、生成、調試；6工廠驗收；7現場驗收；8運行、維護培訓；9現場服務；10保證期；11其他技術要求。12輸入、輸出匯總表；13硬件設備匯總表。13.2.3安全儀表系統測量儀表、最終元件、關聯儀表的技術規格書宜包括下列內容：1工藝條件；2環境條件；3儀表規格；4安全完整性；5檢驗測試間隔；6其他技術要求。14.1.1邏輯控制器、工程師站、操作員站、事件順序記錄站、輔助操作臺、控制機柜、端子柜、安全柵柜、電涌保護器柜、繼電器柜、電源柜、網絡機柜等集成應符合安全儀表系統安全技術要求和詳細工程設計文件的要求。14.1.2集成商宜進行功能設計。功能設計宜包括下列內容：1安全儀表系統網絡結構設計，包括網絡分層、分域設計；2安全儀表系統設備編號設計，包括人機接口設備編號，機柜編號，卡件編號，通道編號，線纜編號等；3安全儀表系統設備布置設計，包括機柜分柜原則，機柜內布置，卡件布置，通道分配等；4安全儀表系統配線設計，包括機柜間配線，機柜內配線等；5安全儀表系統供電設計，包括機柜外供電系統，機柜內儀表設備供電等；6安全儀表系統接地設計，包括接地原則，機柜內儀表設備接地，機柜外接地界面。7安全儀表系統組態設計，包括組態原則，邏輯符號，邏輯約定，流程畫面，報警畫面，儀表畫面，顏色規定，文字格式等。8安全儀表系統報表設計，包括報警報表，SER報表。功能設計應經業主和工程設計單位審核、批準后執行。14.1.3應用程序編譯、調試及下裝應經過完整、詳細地檢查和測試。14.1.4硬件、軟件集成后應按照詳細工程設計文件、供貨合同、功能設計對所有功能和要求進行檢查、調試、測試。14.1.5安全儀表系統集成文件宜包括下列主要內容：1硬件規格書；2軟件規格書；3硬件配置圖；4機柜布置及接線圖；5供電圖；6接地圖；7負荷計算表；8功耗計算表；9輸入、輸出卡件通道分配表；10組態文件（源程序、功能邏輯圖等11運行維護手冊。14.2.1集成驗收應包括工廠驗收、現場驗收、邏輯控制器與基本過程控制系統之間的聯動驗收。驗收應對所有硬件和軟件進行測試，測試結果應滿足相關相求。14.2.2工廠驗收測試應在集成工廠進行。宜包括下列內容：1測試內容、測試程序確定；2測試用標準儀器檢查；3集成文件檢查；4硬件測試及檢查；5冗余和容錯功能檢驗；6在線可維護性測試，包括在線更換卡件、在線修改及下裝軟件；7應用程序的邏輯功能測試；8測試完成，測試報告簽字。14.2.3現場驗收測試應在應用控制室進行。宜包括下列內容：1測試內容、測試程序確定；2集成文件及有關資料檢查；3安裝、接線檢查；4冗余功能、在線更換卡件功能測試；5操作員站畫面測試；6工程師站及事件順序記錄站功能測試；7輔助操作臺按鈕、開關、報警燈功能測試；8網絡功能測試；9診斷功能測試；10測試完成，測試報告簽字。14.2.4邏輯控制器與基本過程控制系統之間的聯動驗收測試，可在邏輯控制器集成工廠、基本過程控制系統集成工廠、現場應用控制室進行。驗收測試宜包括下列內容：1雙向通信測試；2聯動畫面測試；3聯動功能測試；4測試完成，測試報告簽字。14.3.1測量儀表、邏輯控制器、最終元件、管道、線路、供電、供氣、接地等施工完畢后，應按照詳細工程設計文件對測量儀表、邏輯控制器、最終元件和關聯儀表進行聯合調試。14.3.2聯調宜包括下列內容：1測量儀表輸出值與操作站、工程師站指示值一致；2邏輯控制器輸出值與最終元件動作一致；3聯鎖輸入、聯鎖動作、動作循序與工程設計聯鎖邏輯要求一致。14.3.3聯調內容、結果應進行記錄、歸檔。14.4.1安全儀表系統投入使用前應進行確認。14.4.2安全儀表系統的確認宜包括下列內容：1測量儀表、邏輯控制器、最終元件等的設置、安裝等符合安全儀表系統安全技術要求、工程設計文件和安全手冊；2供電、接地、供氣、保溫伴熱、隔離吹洗、配管配線等符合工程設計文件；3邏輯控制器驗收測試發現的問題已經整改完畢；4安全儀表系統聯調發現的問題已經整改完畢；5安全儀表系統與基本過程控制系統通信和功能測試結果符合工程設計要求；6安全儀表功能安全完整性驗證結果符合安全技術要求；7安全儀表系統相關技術文件完整；8確認內容應記錄歸檔。15.0.1維護、維修應根據安全技術要求、工程設計文件、安全手冊，制定安全儀表系統運行維護內容、維護程序、維修程序、檢驗測試計劃、作業章程。應編制維護、維修、檢驗測試記錄或報告。15.0.2變更管理應制定變更管理程序，包括提出變更原因，提出變更方案，審核變更方案，評估需要變更的安全儀表功能及其安全完整性等級，變更方案的工程設計與實施，變更的聯鎖邏輯功能測試與確認，變更文件的歸檔，運行維護內容的更新等。16.0.1安全儀表系統安全生命周期各階段文檔的電子版和/或紙質版應異地存檔保存。文檔應包括工程設計文件，集成、組態文件，驗收測試文件，單校、聯調文件，確認文件，維護、維修文件，變更文件等。16.0.2文檔管理應包括文件命名規則、文件格式、文件傳遞方式、文件控制程序、文件審核流程及文件版本管理等。2)表示嚴格，在正常情況下均應3)表示允許稍有選擇，在條件許可時4)表示有選擇，在一定條件下可以這樣做的，采用“2條文中指明應按其它有關標準執行的寫法為：“應符合……的規定”或“應按……執《電氣/電子/可編程電子安全相關系統的功能安全第1部分：一般要求》GB/T20438.1/IEC61508-1《電氣/電子/可編程電子安全相關系統的功能安全第2部分：電氣/電子/可編程電子安全相關系統的要求》GB/T20438.2/IEC61508-2《電氣/電子/可編程電子安全相關系統的功能安全第3部分：軟件要求》GB/T20438.3/IEC61508-3《電氣/電子/可編程電子安全相關系統的功能安全第4部分：定義和縮略語》GB/T20438.4/IEC61508-4《電氣/電子/可編程電子安全相關系統的功能安全第5部分：確定安全完整性等級的方法示例》GB/T20438.5/IEC61508-5《電氣/電子/可編程電子安全相關系統的功能安全第6部分：GB/T20438.2和GB/T20438.3的應用指南》GB/T20438.6/IEC61508-6《電氣/電子/可編程電子安全相關系統的功能安全第7部分：技術和措施概述》GB/T20438.7/IEC61508-7《過程工業領域安全儀表系統的功能安全第1部分：框架、定義、系統、硬件和應用程序要求》GB/T21109.1/IEC61511-1《過程工業領域安全儀表系統的功能安全第2部分：GB/T21109.1的應用指南》GB/T21109.2/IEC61511-2《過程工業領域安全儀表系統的功能安全第3部分：確定要求的安全完整性等級的指南》GB/T21109.3/IEC61511-3《電氣電子可編程電子安全相關系統的功能安全功能安全概念及GB∕T20438系列概況》GB/Z29638/IEC/TR61508-0《自動化儀表選型設計規范》HG/T20507《儀表供電設計規范》HG/T20509《儀表配管配線設計規范》HG/T20512《儀表系統接地設計規范》HG/T20513《石油化工儀表防雷工程設計規范》SH/T3164化工安全儀表系統工程設計規范2術語與縮略語 2.1術語 503基本要求 3.1安全生命周期 523.2安全完整性 544設計原則 5系統組成 6測量儀表 6.1基本規定 596.2獨立性設計 596.3冗余設計 607最終元件 7.1基本規定 627.2獨立性設計 627.3冗余設計 637.4控制閥附件的配置 8邏輯控制器 8.1基本規定 678.2邏輯控制器輸入、輸出卡件配置 679網絡和通信接口 9.1基本規定 689.2信息安全 6810人機接口 10.1操作員站 6910.2輔助操作臺 6910.3儀表維護旁路開關 6910.4操作旁路開關 7010.5聯鎖復位按鈕 7010.6緊急停車按鈕 7110.7工程師站及事件順序記錄站 7111應用程序 11.1基本要求 7211.3應用程序設計和組態 7212供電、接地、防雷與配線 13工程設計 13.1基礎工程設計 7413.2詳細工程設計 7414集成、組態、調試、驗收、聯調與確認 7414.1集成、組態、調試 7514.3聯調 752.1.5保護層protectionlayer化工廠或裝置典型多保護層結構如圖1所示：應急響應（緊急廣播、人員疏散、火災消防）等）物理防護（抗爆墻、圍堰等）泄壓閥、安全閥、爆破膜等安全儀表系統（SIS）過程報警及操作員干預過程報警及操作員干預基本過程控系統（BPCS）過程2.1.19基本過程控制系統basicprocesscontrolsystem基本過程控制系統用于生產過程的連續測量、常規控制（如連續、順序、間歇控制等）、操作管理，保證生產裝置的平穩運行。在化工廠或裝置中，基本過程控制系統通常采用分散控制系統（DCS）。基本過程控制系統不應執行SIL1、SIL2、SIL3的安全儀表功能。3.1.1安全儀表系統的安全生命周期是安全儀表系統安全功能存在的全過程。引用安全生命周期的目的是為了確定實現功能安全目標所必要的活動，并進行策劃與組織安排，以便在設計、集成調試以及運行維護各階段內有效實施，確保安全儀表系統滿足功能安全的要求。3.1.2安全儀表系統的安全生命周期包括從工程方案設計到運行維護，直至停用的全過程，涉及工程設計和安全儀表系統集成、建設、確認、運行等多方面的工作。本規范重點說明安全儀表系統工程設計，簡要說明相關的系統集成、運行維護等方面的要求。3.1.3安全完整性驗證貫穿于安全儀表系統安全生命周期各階段，涵蓋安全儀表系統各組成部分。可采用分段驗證方式，如設計驗證和最終驗證，也可采用最終驗證一段驗證方式。設計驗證是指在設計初期根據經驗數據對安全儀表功能進行驗證，指導安全儀表回路的構建和設計。最終驗證是指采用安全儀表系統的實際可靠性數據對安全儀表回路進行驗證。對于經驗證不符合目標安全完整性要求的安全儀表功能，應提出整改措施，達到目標安全完整性要求。可通過選擇硬件危險失效率低的設備、改變冗余結構形式、提高設備的診斷覆蓋率、調整設備檢驗測試間隔等措施提高安全完整性等級。化工廠和裝置的安全儀表系統通常工作于低要求模式，失效率驗證采用危險失效平均概率驗證。在連續模式或高要求模式時，失效率驗證采用每小時危險失效平均頻率驗證。安全完整性等級驗證內容宜包括系統性能力。若企業對連續穩定生產、盡可能減少誤停車有要求，且安全儀表功能的誤動作造成的損失（如經濟損失、聲譽損失等）大于可容忍程度時，可通過計算誤停車率（STR）驗證是否滿足可用性要求。對于經驗證不符合可用性要求的安全儀表功能，應提出整改措施，可選擇硬件安全失效率低的設備、采用可用性冗余配置或兼顧安全性與可用性的冗余配置等。提高安全儀表功能的可用性時，應滿足目標安全完整性等級要求。3.1.7工程方案設計是指在工程前期開展的設計工作，可包括可行性研究、工藝包設計、基礎設計前期等。工程方案設計應根據工藝技術的特點、生產操作方式、運行維護方式、以往經驗等，對工藝過程中可能發生的危險和風險進行初步分析，提出需采取的安全措施和保護系統。3.1.8過程危險分析和風險評估的詳細內容及方法不屬于本規范的內容。過程危險是因異常事件引起過程條件變化產生的危險，包括由于過程、基本過程控制系統和相關人員因素等引發的特定危險事件。風險評估是分析特定危險事件可能發生的頻率和后果的嚴重程度，確定工程的可承受風險。化工廠或裝置的過程危險分析和風險評估通常采用危險和可操作性研究（HAZOP）方法，也可采用安全檢查表、故障模式和影響分析、因果分析等方法。3.1.9安全功能是針對特定的危險事件，為達到或保持過程的安全狀態，由安全儀表系統、其他安全相關系統或外部風險降低設施實現的功能。一個安全功能應能防止一個特定的危險事件。安全功能可采用安全儀表系統和其他的保護層來實現。在化工廠或裝置中通常采用多個保護層，當某一個保護層失效時不會產生或導致嚴重后果。分配安全功能是給各相關的保護層進行安全功能分配，不僅僅是給安全儀表系統。3.1.11安全儀表系統的安全技術要求是安全儀表系統工程設計的基礎性依據，因此應為安全儀表系統安全生命周期的重要環節。安全要求規格書（SRS）是描述安全儀表系統安全技術要求的一種表現形式。安全要求規格書的編制應依據前面分析、評估、分配、定級結果，明確為實現功能安全對安全儀表系統的硬件、軟件、工程、管理、運行維護等相關要素的要求。安全要求規格書提出的功能安全要求應清晰明確、可驗證、可維護、可操作，以便安全儀表系統安全生命周期各階段的使用者理解和執行。安全要求規格書的主要內容包括安全儀表功能的說明、安全儀表功能的安全完整性等級和運行模式、輸入輸出設備清單、共因失效要求、過程安全狀態、過程安全時間、響應時間、單個或多個危險事件發生時可能造成的風險、聯鎖設定值、檢驗測試間隔、檢驗測試實施、測量儀表類型及精度、控制閥泄漏等級、輸入與輸出功能關系、手動停車要求、得/失電聯鎖、復位、旁路、誤停車率（若需要）、不同工藝操作模式的要求、關聯動作、通信接口、極端環境或重大事故時的要求、應用程序的安全要求等。3.1.15安全儀表系統安全手冊包括邏輯控制器的安全手冊、關聯設備的安全手冊、測量儀表和最終元件的安全手冊。3.1.16用戶應制定變更管理程序，保證安全儀表系統發生改變時符合安全完整性相關要求。變更記錄應包括變更內容描述、變更原因、變更活動對安全儀表系統的影響分析、變更的批準、變更驗證結果、變更時間、相關文件等。3.2.2SIL等級越高，失效的概率或頻率越低。3.2.3通常化工廠和裝置的安全儀表系統工作于低要求模式。風險降低因子（RRF）與要求時危險失效平均概率（PFDavg）互為倒數，代表目標風險降低倍數。在要求時危險失效平均概率介于10-1和1之間時，聯鎖保護功能可由基本過程控制系統實現，也可由安全儀表系統實現。3.2.5安全儀表功能的硬件失效率計算舉例：某安全儀表功能為低要求模式，該安全儀表功能的硬件危險失效平均概率計算如下：∑PFD功能=∑PFD測量+∑PFD邏輯+∑PFD最終其中：∑PFD功能：安全功能危險失效平均概率。∑PFD測量：測量儀表危險失效平均概率。計算范圍包括測量儀表和測量儀表信號回路上的關聯儀表。∑PFD邏輯：邏輯控制器危險失效平均概率。∑PFD最終：最終元件危險失效平均概率。計算范圍包括最終元件和最終元件控制信號回路上的關聯儀表。3.2.9SC等級越高，系統性能力越高。3.2.10SIF的安全完整性等級SILN應為硬件安全完整性SILX（X=1~4）和系統性能力SCY（Y=1~4）的較小值，即N=min（X，Y）。4.0.3化工廠或裝置的安全儀表功能安全完整性等級最高為SIL3級。如果在確定安全儀表功能安全完整性等