油氣管道安全儀表系統(tǒng)的功能安全 第1部分：評(píng)估要求 征求意見稿

1GB/T32202—XXXX油氣管道安全儀表系統(tǒng)的功能安全第1部分：評(píng)估要求本文件規(guī)定了油氣管道安全儀表系統(tǒng)的功能安全評(píng)估節(jié)點(diǎn)、人員、評(píng)估機(jī)構(gòu)以及評(píng)估管理的總體要求，以及安全要求評(píng)估、設(shè)計(jì)階段評(píng)估、運(yùn)維階段評(píng)估各階段的一般要求、評(píng)估依據(jù)、評(píng)估內(nèi)容及文檔要求。本文件適用于油氣管道輸送、儲(chǔ)存系統(tǒng)中安全儀表系統(tǒng)的功能安全評(píng)估。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20438（所有部分）電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全GB/T21109（所有部分）過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全GB/T32203油氣管道安全儀表系統(tǒng)的功能安全驗(yàn)收規(guī)范GB/T34040工業(yè)通信網(wǎng)絡(luò)功能安全現(xiàn)場(chǎng)總線行規(guī)通用規(guī)則和行規(guī)定義GB/T16855.1機(jī)械安全控制系統(tǒng)安全相關(guān)部件第1部分：設(shè)計(jì)通則GB/T16855.2機(jī)械安全控制系統(tǒng)安全相關(guān)部件第2部分：確認(rèn)3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1危險(xiǎn)失效dangerousfailure使給定的安全動(dòng)作受阻或無法執(zhí)行的失效。.SIF降級(jí)，這種情況下可執(zhí)行安全動(dòng)作，但是會(huì)有更高的PFD或PFH，或.SIF失效，這種情況下完全無法執(zhí)行安全動(dòng)作或已經(jīng)誘發(fā)了危險(xiǎn)事件。[來源：GB/T21109.1-2022，3.2.11]3.2安全失效safefailure可能觸發(fā)某個(gè)給定的安全動(dòng)作的失效。GB/T32202—XXXX.在安全功能可用的情況下繼續(xù)運(yùn)行，但是有更高的要求時(shí)成功率或者更低的危險(xiǎn)事件發(fā)生可能性；.觸發(fā)安全功能誤動(dòng)作。注4：誤動(dòng)作就給定的安全功能來說是安全的，但是對(duì)其他安[來源：GB/T21109.1-2022，3.2.62]3.3診斷覆蓋率diagnosticcoverage；DC被診斷檢測(cè)到的危險(xiǎn)失效率的占比，不包括任何被檢驗(yàn)測(cè)試檢測(cè)到的故障。注1：診斷覆蓋率通常應(yīng)用于SIS設(shè)備或SIS子系統(tǒng)。如通常為傳感器、最終元件或邏輯率為DC=λDD/λDT，式中λDD是檢測(cè)到的危險(xiǎn)失效率，λDT是總的危險(xiǎn)失效率。對(duì)于一個(gè)具有內(nèi)部冗余的SIS子系統(tǒng)，DC與時(shí)間有關(guān)：DC(t)=λDD(t)/λDT(t)。注3：當(dāng)給出診斷覆蓋率（DC）和總的危險(xiǎn)失效率(λDT)，檢測(cè)到的危險(xiǎn)失效率(λDD)和未檢測(cè)到的危險(xiǎn)失效率(λDU)可以按照如下計(jì)算：λDD=DC×λDT，λDU=(1-DC)×λDT。[來源：GB/T21109.1-2022，3.2.15.1]3.4故障裕度faulttolerance出現(xiàn)故障或錯(cuò)誤時(shí)，功能單元能夠繼續(xù)執(zhí)行要求功能的能力。[來源：GB/T21109.1-2022，3.2.21，有修改]3.5功能安全functionalsafety與過程和BPCS有關(guān)的整體安全的一部分，它取決于SIS和其他保護(hù)層的正確工作。[來源：GB/T21109.1-2022，3.2.23]3.6功能安全評(píng)估functionalsafetyassessment；FSA基于證據(jù)的調(diào)查，以評(píng)判一個(gè)或多個(gè)SIS和/或其它保護(hù)層所實(shí)現(xiàn)的功能安全。[來源：GB/T21109.1-2022，3.2.24]3.7硬件安全完整性hardwaresafetyintegrity在危險(xiǎn)失效模式中，與隨機(jī)硬件失效有關(guān)的SIS安全完整性的一部分。注：與本術(shù)語有關(guān)的兩個(gè)失效參數(shù)是危險(xiǎn)失效平均頻率[來源：GB/T21109.1-2022，3.2.26]3.8檢驗(yàn)測(cè)試prooftest3GB/T32202—XXXX為檢測(cè)出SIS中隱藏的危險(xiǎn)失效而執(zhí)行的周期性測(cè)試，以期在必要時(shí)通過維修使系統(tǒng)恢復(fù)如新或盡可能“如新”。[來源：GB/T21109.1-2022，3.2.56]3.9保護(hù)層protectionlayer通過控制、預(yù)防或減輕以降低風(fēng)險(xiǎn)的任何獨(dú)立機(jī)制。是管理規(guī)程（如應(yīng)對(duì)緊急危險(xiǎn)的應(yīng)急計(jì)劃）?？梢宰詣?dòng)啟動(dòng)或[來源：GB/T21109.1-2022，3.2.57]3.10以往使用prioruse基于以前在類似運(yùn)行環(huán)境的運(yùn)行經(jīng)驗(yàn)，由用戶開展的文檔化評(píng)估，以證明某個(gè)設(shè)備適用于SIS并且能達(dá)到所需的功能和安全完整性要求。注1：為了基于以往使用證明一個(gè)SIS設(shè)備可用，用戶需要文檔說明設(shè)備能在類似的運(yùn)行環(huán)境高度確定計(jì)劃的設(shè)計(jì)、檢查、測(cè)試、維護(hù)和操作具有充分的實(shí)踐，需要了解注2：經(jīng)使用證明是基于設(shè)備制造商的設(shè)計(jì)基礎(chǔ)（即溫度極限、振動(dòng)極限、腐蝕極限、需要的維護(hù)支持）。以往使用在處理設(shè)備的安全性能時(shí)，設(shè)備只能在某個(gè)過程領(lǐng)域工廠場(chǎng)地內(nèi)運(yùn)行，而這些場(chǎng)地往往不同于制造商的設(shè)[來源：GB/T21109.1-2022，3.2.51]3.11隨機(jī)硬件失效randomhardwarefailure由一種或多種可能的退化機(jī)理引起的，硬件在某個(gè)隨機(jī)時(shí)間發(fā)生的失效。注1：在不同部件中存在以不同速率發(fā)生的許多退化機(jī)理。因?yàn)樵诠ぷ鞑煌臅r(shí)間之后，由于這些機(jī)理，制造公差會(huì)引起部件失效，所以某個(gè)包含許多部件的整體設(shè)備的失效將以可預(yù)見的速率發(fā)生，但發(fā)生的時(shí)間是不可預(yù).隨機(jī)硬件失效只涉及系統(tǒng)本身（某個(gè)故障而系統(tǒng)性失效涉及系統(tǒng)本身和某個(gè)特定的條件（見3.12），因此，隨機(jī)硬件失效僅由一個(gè)單獨(dú)的可靠性參數(shù)（即失效率）表征，而系統(tǒng)性失效由兩個(gè)可靠性參數(shù)（即已有故障的可能性和某個(gè)特定條件的危險(xiǎn)率）表征。.系統(tǒng)性失效可在檢測(cè)到后消除而隨機(jī)硬件失效不能。這意味著隨機(jī)硬件失效的可靠性參數(shù)可以通過現(xiàn)場(chǎng)反饋來估計(jì)，而對(duì)系統(tǒng)性失效很難做到。系統(tǒng)性失效更適[來源：GB/T21109.1-2022，3.2.59]3.12系統(tǒng)性失效systematicfailure與已有故障有關(guān)的失效，這種失效會(huì)在特定條件下發(fā)生，只有對(duì)設(shè)計(jì)、制造過程、操作規(guī)程、文檔或其他相關(guān)因素進(jìn)行修改以去除故障，才能消除這種失效。注2：僅憑矯正性維護(hù)而不做修改通常不能消除涉及GB/T32202—XXXX.安全要求規(guī)范；.硬件的設(shè)計(jì)、制造、安裝和運(yùn)維；.軟件（包括應(yīng)用程序）的設(shè)計(jì)或?qū)崿F(xiàn)。注5：以相同方式設(shè)計(jì)、安裝、操作、實(shí)施或維護(hù)的相似設(shè)備可能包含相同的故障。因此，在特定條件發(fā)生時(shí)，它[來源：GB/T21109.1-2022，3.2.81]3.13冗余redundancy存在不止一種途徑來執(zhí)行要求的功能或表示信息。[來源：GB/T21109.1-2022，3.2.60]3.14風(fēng)險(xiǎn)risk傷害發(fā)生可能性與該傷害嚴(yán)重性的組合。[來源：GB/T21109.1-2022，3.2.61]3.15安全失效分?jǐn)?shù)safefailurefraction；SFF安全相關(guān)組件的屬性，定義為平均安全失效率加上檢測(cè)出的平均危險(xiǎn)失效率，與平均安全失效率加上平均危險(xiǎn)失效率之比。公式如下：SFF=(ΣλSavg+ΣλDDavg)/(ΣλSavg+ΣλDDavg+ΣλDUavg)如失效率是基于一個(gè)常數(shù)失效率，則公式簡(jiǎn)化為：SFF=(ΣλS+ΣλDD)/(ΣλS+ΣλDD+ΣλDU)[來源：GB/T20438.4-2017，3.6.15]3.16安全儀表系統(tǒng)safetyinstrumentedsystem；SIS用來實(shí)現(xiàn)一個(gè)或幾個(gè)安全儀表功能的儀表系統(tǒng)。注1：SIS由任意組合的傳感器、邏輯解算器及最終元件組成。它也包括通信和輔助設(shè)備（如電纜[來源：GB/T21109.1-2022，3.2.67]3.17安全儀表功能safetyinstrumentedfunction；SIF由SIS實(shí)現(xiàn)的安全功能。5GB/T32202—XXXX[來源：GB/T21109.1-2022，3.2.66]3.18安全狀態(tài)safestate達(dá)到安全時(shí)的過程狀態(tài)。[來源：GB/T21109.1-2022，3.2.63]3.19安全功能safetyfunction針對(duì)特定的危險(xiǎn)事件，為達(dá)到或保持過程的安全狀態(tài)，由一個(gè)或多個(gè)保護(hù)層實(shí)現(xiàn)的功能。[來源：GB/T21109.1-2022，3.2.65]3.20SIS子系統(tǒng)SISsubsystemSIS的獨(dú)立部分，它的危險(xiǎn)失效將導(dǎo)致SIS的危險(xiǎn)失效。3.21系統(tǒng)system根據(jù)某個(gè)規(guī)則相互作用的一組設(shè)備。[來源：GB/T21109.1-2022，3.2.79]3.22（SIF的）運(yùn)行模式modeofoperation(ofaSIF)SIF的運(yùn)行方式，低要求模式、高要求模式或連續(xù)模式。a)低要求模式：在這種運(yùn)行模式下，SIF只有在要求時(shí)才動(dòng)作，以將過程導(dǎo)入一個(gè)特定的安全狀態(tài)，并且要求的頻率不大于一年一次。b)高要求模式：在這種運(yùn)行模式下，SIF只有在要求時(shí)才動(dòng)作，以將過程導(dǎo)入一個(gè)特定的安全狀態(tài)，并且要求的頻率大于一年一次。c)連續(xù)模式：在這種運(yùn)行模式下，SIF作為正常運(yùn)行的一部分保持過程處于一種安全狀態(tài)。[來源：GB/T21109.1-2022，3.2.39]3.23安全完整性safetyintegrity在要求時(shí)執(zhí)行所需SIF的SIS能力。注2：能力包括功能響應(yīng)（如在規(guī)定時(shí)間內(nèi)關(guān)閉某個(gè)特定的閥門）和S注3：在確定安全完整性時(shí)，宜包括導(dǎo)致非安全狀態(tài)的隨機(jī)硬件和系統(tǒng)性失效的所有原因（如硬件失效、軟件導(dǎo)致的失效和電氣干擾引起的失效）。這些類型中的某些失效，特別是隨機(jī)硬件失效，可以使用危險(xiǎn)失效平均頻率或者要求時(shí)的失效概率等參數(shù)來量化。然而，安全完整性還取決于許多系統(tǒng)因素，它們不能精確量化，通6GB/T32202—XXXX常在生命周期中定性考慮。系統(tǒng)性失效導(dǎo)致SIS危險(xiǎn)失效的可能性可以通過硬件故障裕度[來源：GB/T21109.1-2022，3.2.68]3.24安全完整性等級(jí)safetyintegritylevel；SIL為規(guī)定SIS應(yīng)達(dá)到的安全完整性要求而分配給SIF的離散等級(jí)（4個(gè)等級(jí)中的一個(gè)）。注1：SIL等級(jí)越高，期望的PFDavg越低，或者導(dǎo)致危險(xiǎn)事件的危[來源：GB/T21109.1-2022，3.2.69]3.25SIS安全生命周期SISsafetylife-cycle從項(xiàng)目概念階段開始到所有的SIF停用為止所發(fā)生的、包含在SIF實(shí)現(xiàn)中的必要活動(dòng)。[來源：GB/T21109.1-2022，3.2.70]3.26安全要求規(guī)格書safetyrequirementsspecification；SRS包含安全儀表功能和與之相關(guān)的安全完整性等級(jí)的功能要求的工程說明性和規(guī)范性文件。[來源：GB/T21109.1-2022，3.2.72，有修改]3.27安全手冊(cè)safetymanual功能安全手冊(cè)functionalsafetymanual定義如何安全應(yīng)用SIS設(shè)備、子系統(tǒng)或系統(tǒng)的信息。[來源：GB/T21109.1-2022，3.2.71，有修改]4縮略語下列縮略語適用于本文件。BPCS：基本過程控制系統(tǒng)（BasicProcessControlSystem）DC：診斷覆蓋率（DiagnosticCoverage）EUC：受控設(shè)備（EquipmentUnderControl）EMC：電磁兼容（Electro-MagneticCompatibility）E/E/PE：電氣/電子/可編程電子（Electrical/Electronic/ProgrammableElectronic）FAT：工廠驗(yàn)收測(cè)試（FactoryAcceptanceTest）FSA：功能安全評(píng)估（FunctionalSafetyAssessment）FVL：全可變語言（FullVariabilityLanguage）HAZOP：危險(xiǎn)與可操作性分析（HazardandOperabilityStudies）7GB/T32202—XXXXHFT：硬件故障裕度（HardwareFaultTolerance）LVL：有限可變語言（LimitedVariabilityLanguage）MTTR：平均恢復(fù)時(shí)間（MeanTimeToRestoration）MOC：變更管理（ManagementofChange）PE：可編程電子（ProgrammableElectronic）PFD：要求時(shí)危險(xiǎn)失效概率（ProbabilityofDangerousFailureonDemand）PFDavg：要求時(shí)危險(xiǎn)失效平均概率（AverageProbabilityofDangerousFailureonDemand）PFH：每小時(shí)的失效概率（危險(xiǎn)失效平均頻率Probability(averagefrequencyofdangerousfailures)ofFailurePerHour）P&ID：管道及儀表流程圖（PipeandInstrumentDiagram）SAT：現(xiàn)場(chǎng)驗(yàn)收測(cè)試（SiteAcceptanceTest）SFF：安全失效分?jǐn)?shù)（SafeFailureFaction）SIF：安全儀表功能（SafetyInstrumentedFunction）SIL：安全完整性等級(jí)（SafetyIntegrityLevel）SIS：安全儀表系統(tǒng)（SafetyInstrumentedSystem）SRS：安全要求規(guī)格書（SafetyRequirementsSpecification）TI：檢驗(yàn)測(cè)試時(shí)間間隔（ProofTestInterval）5總體要求5.1評(píng)估節(jié)點(diǎn)5.1.1功能安全評(píng)估應(yīng)貫穿于SIS安全生命周期。根據(jù)GB/T21109以及油氣管道SIS安全生命周期活動(dòng)（見圖1），應(yīng)在以下節(jié)點(diǎn)執(zhí)行功能安全評(píng)估活動(dòng)：——節(jié)點(diǎn)1：安全要求評(píng)估。應(yīng)在已執(zhí)行危險(xiǎn)和風(fēng)險(xiǎn)評(píng)估、已確定要求的保護(hù)層和已制定安全要求規(guī)格書之后，即油氣管道SIS安全生命周期活動(dòng)1~4完成之后進(jìn)行，見第6章；——節(jié)點(diǎn)2：設(shè)計(jì)階段評(píng)估。應(yīng)在SIS設(shè)計(jì)完成之后，即油氣管道SIS安全生命周期活動(dòng)5完成之后進(jìn)行，見第7章；——節(jié)點(diǎn)3：運(yùn)維階段評(píng)估。應(yīng)在取得操作和維護(hù)經(jīng)驗(yàn)之后，或者在對(duì)SIS進(jìn)行修改之后和退役之前，即油氣管道SIS安全生命周期活動(dòng)13~14完成之后或活動(dòng)15之前進(jìn)行，見第8章。注：施工階段的評(píng)估活動(dòng)可與驗(yàn)收活動(dòng)中的啟動(dòng)前安全確認(rèn)合并開展，具體內(nèi)容參見GB/T322035.1.2在設(shè)計(jì)階段應(yīng)完成SIS安全要求評(píng)估和SIS設(shè)計(jì)評(píng)估。5.1.3對(duì)于已開展過功能安全評(píng)估的同類型站場(chǎng)可參考采用評(píng)估結(jié)論，但應(yīng)做差異分析，并對(duì)差異部分進(jìn)行評(píng)估。5.1.4對(duì)于改、擴(kuò)建項(xiàng)目應(yīng)按照安全生命周期各節(jié)點(diǎn)執(zhí)行功能安全評(píng)估活動(dòng)，對(duì)于簡(jiǎn)單變更參照第8章要求執(zhí)行。發(fā)生變更應(yīng)根據(jù)所處的生命周期階段參照相應(yīng)章節(jié)執(zhí)行。5.1.5在運(yùn)行和維護(hù)階段，應(yīng)定期開展FSA以保證維護(hù)和操作的執(zhí)行符合設(shè)計(jì)預(yù)期，并滿足GB/T21109中安全管理和驗(yàn)證的有關(guān)要求。5.2人員要求5.2.1功能安全評(píng)估人員獨(dú)立性水平應(yīng)滿足GB/T20438的要求。8GB/T32202—XXXX5.2.2功能安全評(píng)估人員應(yīng)了解功能安全基礎(chǔ)標(biāo)準(zhǔn)GB/T20438和過程工業(yè)領(lǐng)域的應(yīng)用標(biāo)準(zhǔn)GB/T21109，并經(jīng)過培訓(xùn)和考核，取得相應(yīng)證書。5.2.3功能安全評(píng)估人員應(yīng)具備油氣管道工程相關(guān)經(jīng)驗(yàn)及相關(guān)法律法規(guī)知識(shí)，以確保評(píng)估結(jié)果的合理可信。5.2.4評(píng)估組內(nèi)高級(jí)資質(zhì)人員人數(shù)不應(yīng)少于總數(shù)的三分之二。注2：高級(jí)資質(zhì)人員指高級(jí)工程師以及持有行業(yè)5.2.5項(xiàng)目設(shè)計(jì)人員應(yīng)配合評(píng)估人員參與評(píng)估活動(dòng)，設(shè)計(jì)方宜根據(jù)分析需求派出工藝、儀表專業(yè)人員，必要時(shí)還需派出電氣、消防、總圖等專業(yè)人員，專業(yè)經(jīng)驗(yàn)不少于三年。5.2.6被評(píng)估方應(yīng)根據(jù)評(píng)估需求派出相關(guān)專業(yè)人員，專業(yè)經(jīng)驗(yàn)不少于三年。5.3評(píng)估機(jī)構(gòu)5.3.1應(yīng)由具有資質(zhì)的機(jī)構(gòu)在其資質(zhì)證書認(rèn)可的業(yè)務(wù)范圍內(nèi)從事功能安全評(píng)估活動(dòng)。5.3.2評(píng)估機(jī)構(gòu)獨(dú)立性水平應(yīng)滿足GB/T20438的要求。5.4評(píng)估管理5.4.1評(píng)估組織方應(yīng)成立評(píng)估組，并明確各成員的職責(zé)和獨(dú)立性要求。9GB/T32202—XXXX圖1油氣管道安全儀表系統(tǒng)功能安全評(píng)估節(jié)點(diǎn)圖GB/T32202—XXXX圖1油氣管道安全儀表系統(tǒng)功能安全評(píng)估節(jié)點(diǎn)圖（續(xù)）GB/T32202—XXXX5.4.2執(zhí)行功能安全評(píng)估活動(dòng)的人員或機(jī)構(gòu)應(yīng)滿足本文件5.2、5.3的要求。5.4.3評(píng)估組應(yīng)編制功能安全評(píng)估計(jì)劃，計(jì)劃應(yīng)包括：——需要執(zhí)行功能安全評(píng)估活動(dòng)的生命周期階段，即功能安全評(píng)估的范圍；——在各階段要求執(zhí)行的活動(dòng)；——參與評(píng)估活動(dòng)的人員、部門、組織或其他單位；——為完成功能安全評(píng)估活動(dòng)需要的所有資源；——完成功能安全評(píng)估活動(dòng)應(yīng)得到的輸出；——功能安全評(píng)估小組的技能、職責(zé)和權(quán)限；——評(píng)估小組的獨(dú)立水平；——系統(tǒng)發(fā)生修改后，對(duì)功能安全評(píng)估進(jìn)行重新確認(rèn)所使用的方法。5.4.4在整個(gè)生命周期當(dāng)中，功能安全評(píng)估計(jì)劃應(yīng)不斷的更新和維護(hù)。任何的設(shè)備或系統(tǒng)變更都可能需要附加的功能安全評(píng)估活動(dòng)，以確定是否會(huì)產(chǎn)生新的危險(xiǎn)。5.4.5在進(jìn)行功能安全評(píng)估之前，功能安全評(píng)估計(jì)劃應(yīng)得到評(píng)估組織方的同意。5.4.6評(píng)估組應(yīng)根據(jù)功能安全評(píng)估計(jì)劃進(jìn)行功能安全評(píng)估管理和開展功能安全評(píng)估活動(dòng)。5.4.7評(píng)估組織方應(yīng)向評(píng)估組提供SIS的所有相關(guān)信息，包括先前執(zhí)行的功能安全評(píng)估的結(jié)果、通過該評(píng)估提出的建議以及相應(yīng)的整改報(bào)告。5.4.8全部功能安全評(píng)估活動(dòng)都應(yīng)實(shí)現(xiàn)文檔化。5.4.9評(píng)估結(jié)束后，評(píng)估組應(yīng)提供評(píng)估報(bào)告，評(píng)估組織方應(yīng)對(duì)此報(bào)告進(jìn)行審查。5.4.10評(píng)估組織方應(yīng)對(duì)評(píng)估建議的實(shí)現(xiàn)進(jìn)程進(jìn)行跟蹤。建議涉及的問題被解決后，評(píng)估組織方應(yīng)進(jìn)行確認(rèn)。5.4.11評(píng)估結(jié)果僅對(duì)評(píng)估期間的SIS現(xiàn)狀有效，一旦SIS作出任何變更，先前的評(píng)估結(jié)果則不再有效，但可作為下次評(píng)估活動(dòng)的參考。5.4.12用于SIS開發(fā)、安裝、調(diào)試、測(cè)試、維護(hù)的設(shè)備工具及材料的性能和質(zhì)量，應(yīng)符合相應(yīng)SIS的功能安全要求。6安全要求評(píng)估6.1一般要求應(yīng)審查并判斷SIS的安全要求規(guī)格書的制定、安全功能的提出以及安全完整性等級(jí)的確定過程是否達(dá)到功能安全。6.2評(píng)估依據(jù)6.2.1應(yīng)采用與實(shí)際最符合的評(píng)估依據(jù)。6.2.2評(píng)估的基礎(chǔ)依據(jù)包括：危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估報(bào)告、安全要求分配報(bào)告、安全要求規(guī)格書。必要情況下，還應(yīng)包括以上各活動(dòng)的相關(guān)程序文檔，以及分析報(bào)告中記錄的分析和引用資料。注1：有些時(shí)候，這些資料的名字并不固定如上，且文件形式也并不單一。如：采用HAZOP分析方法開展危險(xiǎn)分析與6.2.3為了實(shí)施SIS安全要求評(píng)估，評(píng)估組織方應(yīng)提供以下資料：——危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估報(bào)告；——安全要求分配報(bào)告；——安全要求規(guī)格書。GB/T32202—XXXX必要時(shí)，還應(yīng)提供如下資料：——工藝流程圖；——因果圖；——總平面布置圖；——設(shè)計(jì)說明書；——操作原理；——危險(xiǎn)事件分類及統(tǒng)計(jì)；——風(fēng)險(xiǎn)分級(jí)；——其他可作為危險(xiǎn)和風(fēng)險(xiǎn)分析依據(jù)的資料；——SIL分級(jí)；——保護(hù)層分類及降險(xiǎn)統(tǒng)計(jì)；——人員能力分級(jí)；——SIF清單和每個(gè)安全功能的SIL；——SIF的潛在危險(xiǎn)事件及其事件鏈（如原因、發(fā)展和終端事件）；——過程公共原因需要考慮的事項(xiàng)（如腐蝕、堵塞、涂層破損等——影響SIS的管理要求。6.3評(píng)估內(nèi)容6.3.1對(duì)SIS安全要求規(guī)格書進(jìn)行評(píng)估6.3.1.1安全要求規(guī)格書（SRS）應(yīng)包括安全功能要求和安全完整性要求兩方面的內(nèi)容。SRS可以是一套文件或資料，應(yīng)可追溯。6.3.1.2SRS中對(duì)于SIS要求的表述應(yīng)清楚、精確、可驗(yàn)證、可維護(hù)和切實(shí)可行，且易于被在生命周期任何階段有可能使用這些信息的人員理解。6.3.1.3應(yīng)對(duì)安全功能要求的以下內(nèi)容進(jìn)行評(píng)估：——達(dá)到要求的功能安全所必需的所有SIF的描述；——SIF相關(guān)的現(xiàn)場(chǎng)輸入和輸出設(shè)備清單，它通過現(xiàn)場(chǎng)設(shè)備標(biāo)識(shí)的方法清晰列出（如現(xiàn)場(chǎng)位號(hào)一覽表）；——識(shí)別和考慮共因失效的要求；——對(duì)每個(gè)已確定的事件，定義其過程安全狀態(tài)；——若多個(gè)安全狀態(tài)同時(shí)發(fā)生可能產(chǎn)生的危險(xiǎn)識(shí)別（如場(chǎng)站多處位置同時(shí)泄壓可能導(dǎo)致泄壓系統(tǒng)過載）；——SIF的假定觸發(fā)源及要求頻率；——SIF在過程安全時(shí)間內(nèi)，使過程進(jìn)入安全狀態(tài)的響應(yīng)時(shí)間要求；——SIS的過程輸入及其動(dòng)作設(shè)定點(diǎn)；——工藝變量的正常操作范圍及操作界限；——SIS的過程輸出及其作用，以及可能存在的輸出狀態(tài)危險(xiǎn)組合的識(shí)別；——過程輸入輸出的功能關(guān)系，包括邏輯、數(shù)學(xué)功能及所需的許可；——?jiǎng)?lì)磁觸發(fā)或非勵(lì)磁觸發(fā)的選擇；——手動(dòng)關(guān)斷的考慮；——SIS失去驅(qū)動(dòng)源采取的動(dòng)作；——對(duì)任何可診斷的危險(xiǎn)故障的響應(yīng)（如報(bào)警及人員響應(yīng)、自動(dòng)停機(jī)）；GB/T32202—XXXX——SIS和其他系統(tǒng)（包括BPCS和操作員）之間的所有接口（包括人機(jī)界面——復(fù)位功能；——場(chǎng)站操作模式的描述（如越站、加熱輸送、清管、啟輸、維護(hù)等）以及每種操作模式下SIF要求的識(shí)別；——6.3.1.4中列出的應(yīng)用程序安全要求；——旁路操作和使用條件；——應(yīng)識(shí)別SIS在運(yùn)輸、存儲(chǔ)、安裝及運(yùn)行中可能遇到的所有極端環(huán)境條件。需考慮的有：溫度、濕度、污染、接地、電磁干擾/射頻干擾（EMI/RFI）、沖擊/振動(dòng)、靜電放電、用電等級(jí)、水淹、雷電和其他有關(guān)因素。——必要時(shí)應(yīng)為SIF定義承受一次重大意外事故的要求，例如，在一次火災(zāi)事故中閥門保持可操作性的時(shí)間要求。6.3.1.4應(yīng)對(duì)應(yīng)用程序安全要求進(jìn)行評(píng)估。應(yīng)用程序安全要求應(yīng)從SRS和SIS的架構(gòu)（布局和內(nèi)部結(jié)構(gòu)）中推導(dǎo)，可以是SRS中的一部分，也可以是一個(gè)獨(dú)立文檔（如應(yīng)用程序要求規(guī)范）。應(yīng)用程序的相關(guān)的特殊要求包括：——每個(gè)SIF的詳細(xì)安全要求，包括傳感器表決等；——SIS架構(gòu)和安全手冊(cè)提出的要求，如硬件和嵌入式軟件的限制和約束；——安全計(jì)劃的要求，安全計(jì)劃編制應(yīng)符合GB/T21109.1中的要求；——各SIF所需的每個(gè)可編程SIS設(shè)備的應(yīng)用程序安全要求，其應(yīng)遵循SIS架構(gòu)?！獙?shí)時(shí)性能參數(shù)，如CPU容量、網(wǎng)絡(luò)帶寬、有故障時(shí)可接受的實(shí)時(shí)性能以及一個(gè)特定時(shí)間段內(nèi)接收到的所有聯(lián)鎖信號(hào)；——程序次序和延時(shí)（如適用）；——針對(duì)異常過程變量（如傳感器值超量程、變化率過大、數(shù)據(jù)無更新、檢測(cè)到開路/短路）采取的動(dòng)作；——應(yīng)用程序中執(zhí)行的外部設(shè)備（如傳感器和最終元件）進(jìn)行檢驗(yàn)測(cè)試和自動(dòng)診斷測(cè)試的功能；——應(yīng)用程序自監(jiān)測(cè)（例如應(yīng)用驅(qū)動(dòng)的看門狗和數(shù)據(jù)范圍確認(rèn)——對(duì)SIS中的其他設(shè)備（如傳感器和最終元件）的監(jiān)測(cè)；——通信接口的要求，包括限制它們使用的措施、數(shù)據(jù)確認(rèn)以及接收和傳輸命令；——應(yīng)識(shí)別和避免由應(yīng)用程序產(chǎn)生的過程危險(xiǎn)狀態(tài)（如同時(shí)關(guān)閉兩個(gè)截?cái)嚅y可能導(dǎo)致壓力波動(dòng)，從而導(dǎo)致危險(xiǎn)狀態(tài)）；——應(yīng)定義每個(gè)SIF過程變量的確認(rèn)準(zhǔn)則。6.3.1.5應(yīng)對(duì)安全完整性要求的以下內(nèi)容進(jìn)行評(píng)估：——每個(gè)SIF所需的SIL；——達(dá)到所需的SIL的診斷要求；——達(dá)到所需的SIL的維修和檢驗(yàn)測(cè)試要求；——如果誤動(dòng)作是不可接受的，對(duì)誤動(dòng)作率的要求。6.3.2對(duì)安全功能要求的提出過程進(jìn)行評(píng)估6.3.2.1應(yīng)開展過一次危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估。6.3.2.2開展危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估的過程應(yīng)符合國家、行業(yè)或企業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求，包括：分析評(píng)估資質(zhì)、組織管理、實(shí)施流程、文檔化和發(fā)布簽署等。6.3.2.3應(yīng)對(duì)危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估所依據(jù)的資料進(jìn)行審查。6.3.2.4應(yīng)已評(píng)估工藝、設(shè)備、設(shè)施、人員等方面所有合理可預(yù)見的情況，包括故障狀況、誤用、人員誤操作、異常的EUC運(yùn)行模式等。GB/T32202—XXXX6.3.2.5應(yīng)已明確所有辨識(shí)出的合理可預(yù)見情況下，EUC的危險(xiǎn)和危險(xiǎn)事件。6.3.2.6應(yīng)已明確導(dǎo)致已確定的危險(xiǎn)和危險(xiǎn)事件發(fā)生的事件順序。6.3.2.7應(yīng)已評(píng)估已確定的危險(xiǎn)事件的發(fā)生頻率（或頻率等級(jí)），頻率或頻率等級(jí)的定義和選擇應(yīng)符合國家、行業(yè)或企業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求，并具有可信的來源。6.3.2.8應(yīng)已評(píng)估已確定的危險(xiǎn)事件后果的嚴(yán)重性程度，后果及其嚴(yán)重性等級(jí)的定義和選擇應(yīng)符合國家、行業(yè)或企業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求，并具有可信的來源。6.3.2.9應(yīng)已評(píng)估與已確定的危險(xiǎn)和危險(xiǎn)事件相關(guān)的事故風(fēng)險(xiǎn)，風(fēng)險(xiǎn)分級(jí)準(zhǔn)則應(yīng)符合國家、行業(yè)或企業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求。6.3.2.10應(yīng)依據(jù)明確的風(fēng)險(xiǎn)可容忍標(biāo)準(zhǔn)開展分析評(píng)估，該標(biāo)準(zhǔn)應(yīng)符合國家、行業(yè)或企業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求。6.3.2.11對(duì)提出的降低或消除危險(xiǎn)和風(fēng)險(xiǎn)的措施，應(yīng)有明確的實(shí)施和追蹤的負(fù)責(zé)人。6.3.2.12應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估以識(shí)別SIS的信息安全漏洞。評(píng)估應(yīng)得出：——該風(fēng)險(xiǎn)評(píng)估所覆蓋的設(shè)備的描述（如SIS、BPCS或任何其他與SIS連接的識(shí)別）；——識(shí)別出的威脅描述，這些威脅可能利用漏洞并造成信息安全事件（包括對(duì)硬件、應(yīng)用程序和相關(guān)軟件的蓄意攻擊，以及人為錯(cuò)誤導(dǎo)致的非蓄意事件）；——信息安全事件導(dǎo)致的潛在后果以及這些事件發(fā)生的可能性描述；——各階段的考慮，如設(shè)計(jì)、實(shí)現(xiàn)、調(diào)試、運(yùn)行和維護(hù)；——附加風(fēng)險(xiǎn)降低要求的確定；——對(duì)減少或消除威脅而采取的措施的描述或信息的引用。6.3.2.13應(yīng)已詳細(xì)記錄6.3.2.1~6.3.2.12各項(xiàng)活動(dòng)所分析及引用的資料的名稱及版本號(hào)。6.3.2.14應(yīng)已詳細(xì)記錄6.3.2.1~6.3.2.12各項(xiàng)活動(dòng)內(nèi)容，形成文檔，并由相關(guān)責(zé)任人簽署。6.3.3對(duì)安全完整性要求的提出過程進(jìn)行評(píng)估6.3.3.1安全要求分配應(yīng)在開展過一次危險(xiǎn)與風(fēng)險(xiǎn)分析后展開。6.3.3.2安全要求分配應(yīng)包括了安全功能要求分配和安全完整性要求分配。6.3.3.3開展安全要求分配的過程應(yīng)符合國家、行業(yè)或企業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求，包括：分析評(píng)估資質(zhì)、組織管理、實(shí)施流程、文檔化和發(fā)布簽署等。6.3.3.4應(yīng)對(duì)安全要求分配所依據(jù)的資料進(jìn)行審查。6.3.3.5應(yīng)明確分析使用的風(fēng)險(xiǎn)可容忍標(biāo)準(zhǔn)，且風(fēng)險(xiǎn)可容忍標(biāo)準(zhǔn)至少應(yīng)滿足國家相關(guān)要求。6.3.3.6應(yīng)明確定義用于預(yù)防、控制或減輕來自過程及其相關(guān)裝置危險(xiǎn)的保護(hù)層及其安全功能，包括由SIS執(zhí)行的SIF。6.3.3.7應(yīng)已評(píng)估并識(shí)別各保護(hù)層之間的相關(guān)性和獨(dú)立性，如SIS與BPCS之間、SIS與其他保護(hù)層之間存在的潛在的共因失效。6.3.3.8應(yīng)已評(píng)估并識(shí)別各保護(hù)層與觸發(fā)事件或原因之間的相關(guān)性和獨(dú)立性，如SIS與觸發(fā)事件或原因之間存在的潛在的共因失效。6.3.3.9應(yīng)已評(píng)估并記錄已確定的獨(dú)立保護(hù)層的風(fēng)險(xiǎn)降低能力，各保護(hù)層風(fēng)險(xiǎn)降低能力的定義和選擇應(yīng)符合國家、行業(yè)或企業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求，并具有可信的來源。6.3.3.10應(yīng)已分析并規(guī)范記錄被定義SIF的安全功能要求和安全完整性要求的信息。6.3.3.11應(yīng)已分析并規(guī)定各SIF最大可接受誤動(dòng)作率要求（如果需要）。6.3.3.12應(yīng)已分析并識(shí)別單個(gè)或多個(gè)SIF動(dòng)作可能帶來的附加危害。6.3.3.13應(yīng)已分析并識(shí)別各SIF是勵(lì)磁觸發(fā)還是非勵(lì)磁觸發(fā)，如果為勵(lì)磁觸發(fā)，應(yīng)審查失電對(duì)安全運(yùn)行的影響。GB/T32202—XXXX6.3.3.14應(yīng)已分析并識(shí)別各SIF運(yùn)行可能需要的其他輔助設(shè)備或設(shè)施，如氣動(dòng)閥供氣系統(tǒng)，并審查其失效對(duì)安全運(yùn)行的影響。6.3.3.15油氣管道SIF的SIL不應(yīng)高于SIL3。如果在確定SIL時(shí)出現(xiàn)SIL4的要求，應(yīng)重新分配保護(hù)層的安全功能，或采用多個(gè)獨(dú)立的SIF，使SIL不高于SIL3。6.3.3.16應(yīng)已詳細(xì)記錄6.3.3.1~6.3.3.15各項(xiàng)活動(dòng)中所分析及引用的資料的名稱及版本號(hào)。6.3.3.17應(yīng)已詳細(xì)記錄6.3.3.1~6.3.3.15各項(xiàng)活動(dòng)內(nèi)容，形成文檔，并由相關(guān)責(zé)任人簽署。6.4文檔要求6.4.1SIS安全要求評(píng)估報(bào)告應(yīng)為功能安全評(píng)估報(bào)告的一部分。6.4.2SIS安全要求評(píng)估報(bào)告應(yīng)結(jié)構(gòu)清晰、表述準(zhǔn)確、無歧義，并可追溯。6.4.3項(xiàng)目背景應(yīng)包括立項(xiàng)意義、任務(wù)由來、項(xiàng)目概況等相關(guān)內(nèi)容。6.4.4評(píng)估依據(jù)應(yīng)列出評(píng)估項(xiàng)目所引用的法律法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)、基礎(chǔ)技術(shù)資料名稱等相關(guān)信息。6.4.5評(píng)估目的應(yīng)明確描述評(píng)估目的。6.4.6評(píng)估范圍和內(nèi)容應(yīng)明確描述評(píng)估的范圍和內(nèi)容。6.4.7評(píng)估方法根據(jù)項(xiàng)目的特點(diǎn)，應(yīng)明確表達(dá)采用的評(píng)估方法。6.4.8評(píng)估過程應(yīng)明確描述評(píng)估工作過程，包括評(píng)估程序、工作進(jìn)度、參加人員等，可用圖、表、文字描述等方式表述。6.4.9評(píng)估結(jié)論與建議應(yīng)根據(jù)6.3中所述內(nèi)容的評(píng)判結(jié)果，給出對(duì)站場(chǎng)工藝、設(shè)備等的危險(xiǎn)與風(fēng)險(xiǎn)分析結(jié)論、SIF的完整性結(jié)論、SIS安全要求的完整性結(jié)論等，并指出存在的問題，提出有針對(duì)性的建議。6.4.10附件6.4.10.1評(píng)估工作表應(yīng)給出評(píng)估工作過程中生成的調(diào)研表、分析記錄表等。樣表見附錄A。6.4.10.2評(píng)估軟件工具的采用應(yīng)明確評(píng)估過程中所用軟件、測(cè)試等輔助工具的名稱、型號(hào)、軟件版本號(hào)、出品公司、功能說明以及在本項(xiàng)目中的使用情況。6.4.10.3其他資料GB/T32202—XXXX應(yīng)給出評(píng)估工作所依據(jù)的必要資料，如分析圖紙、評(píng)估準(zhǔn)則來源、分析評(píng)估假設(shè)及來源等。7設(shè)計(jì)階段評(píng)估7.1一般要求應(yīng)審查并判斷SIS的設(shè)計(jì)是否符合SRS以達(dá)到功能安全。7.2評(píng)估依據(jù)7.2.1評(píng)估依據(jù)應(yīng)準(zhǔn)確、可靠。7.2.2應(yīng)提供但不限于以下所列資料：——SRS；——SIS安全要求評(píng)估報(bào)告及整改報(bào)告；——設(shè)計(jì)說明書；——操作原理；——設(shè)備匯總表；——供應(yīng)商可提供的設(shè)備SIL認(rèn)證資料或長(zhǎng)期使用說明材料；——設(shè)計(jì)過程中做的SIL評(píng)估報(bào)告。7.3評(píng)估內(nèi)容7.3.1SIS執(zhí)行功能評(píng)估7.3.1.1當(dāng)SIS既執(zhí)行SIF又執(zhí)行非SIF時(shí)，在正常和故障條件下，對(duì)任何SIF有負(fù)面影響的所有硬件、嵌入式軟件和應(yīng)用程序均應(yīng)被當(dāng)成評(píng)估的一部分考慮進(jìn)來，并應(yīng)符合其可能影響的SIF中最高的SIL要求。在SIS實(shí)現(xiàn)不同SIL的SIF時(shí)，評(píng)估時(shí)應(yīng)確認(rèn)共享或共用硬件、嵌入式軟件和應(yīng)用程序應(yīng)至少符合最高SIL。7.3.1.2SIS應(yīng)被設(shè)計(jì)成一旦其將過程置于某個(gè)安全狀態(tài)，除非SRS另有規(guī)定，過程應(yīng)保持在該安全狀態(tài)直至SIS被復(fù)位。7.3.1.3應(yīng)設(shè)置與邏輯解算器無關(guān)的手動(dòng)機(jī)制（如緊急停車按鈕）來觸發(fā)SIS最終元件的聯(lián)鎖動(dòng)作，除非SRS另有規(guī)定。在SIS控制器SIL能力高于SIF的SIL至少一個(gè)等級(jí)時(shí)，手動(dòng)機(jī)制可以通過SIS控制器實(shí)現(xiàn)。7.3.1.4所有用于SIF的通信應(yīng)使用適用于安全應(yīng)用的技術(shù)，以滿足要求的SIL，具體要求參見GB/T34040。7.3.2獨(dú)立性評(píng)估7.3.2.1SIS設(shè)計(jì)應(yīng)全面考慮SIS和BPCS之間，以及SIS和其他保護(hù)層之間的獨(dú)立性和相關(guān)性。7.3.2.2一個(gè)設(shè)備用于BPCS時(shí)，不應(yīng)同時(shí)用于SIS，因?yàn)檫@個(gè)設(shè)備失效導(dǎo)致引發(fā)對(duì)SIF的要求和該SIF的危險(xiǎn)失效。除非分析后可以確認(rèn)整體風(fēng)險(xiǎn)是可接受的。7.3.3可操作性評(píng)估7.3.3.1應(yīng)評(píng)估SIS可操作性是否符合SRS，并在設(shè)計(jì)文件中明確相關(guān)要求。GB/T32202—XXXX7.3.3.2應(yīng)提供安全手冊(cè)，手冊(cè)內(nèi)容應(yīng)涵蓋在設(shè)備的預(yù)期配置和預(yù)期運(yùn)行環(huán)境下，SIS相關(guān)的運(yùn)行、維護(hù)、故障檢測(cè)和約束。7.3.4可維修性評(píng)估應(yīng)評(píng)估SIS可維修性是否符合SRS要求，并在設(shè)計(jì)文件中明確相關(guān)要求。7.3.5可測(cè)試性評(píng)估應(yīng)評(píng)估SIS可測(cè)試性是否符合SRS要求。對(duì)于7.3.3~7.3.5，需要在線測(cè)試和可能產(chǎn)生報(bào)警的系統(tǒng)，應(yīng)考慮到旁路設(shè)施。7.3.6方便易用性評(píng)估為了保證SIL在實(shí)施中的實(shí)現(xiàn)，應(yīng)考慮人的能力和限制；應(yīng)審查SIS的設(shè)計(jì)是否適合于分派給操作員和維護(hù)人員的任務(wù)。所有的人-機(jī)接口設(shè)計(jì)應(yīng)遵循良好的人員操作慣例，并適合操作員可接受的培訓(xùn)或認(rèn)知水平。注：例如，如果操作時(shí)要求經(jīng)常進(jìn)行限值數(shù)據(jù)輸入或其他操作員輸入，7.3.7SIS信息安全評(píng)估SIS的設(shè)計(jì)應(yīng)針對(duì)識(shí)別出的信息安全風(fēng)險(xiǎn)提供必要的防護(hù)能力。7.3.8硬件故障裕度（HFT）評(píng)估7.3.8.1對(duì)每個(gè)SIF而言，執(zhí)行它的SIS應(yīng)具有最低的HFT。7.3.8.2當(dāng)SIS可被分解成獨(dú)立的SIS子系統(tǒng)時(shí)（如傳感器、邏輯解算器及最終元件），則HFT可在SIS子系統(tǒng)層級(jí)指定。7.3.8.3SIS或SIS子系統(tǒng)的HFT應(yīng)符合：.本節(jié)條款7.3.8.5~7.3.8.9；或者；.GB/T20438.2中的7.4.4.2（路線1H.GB/T20438.2中的7.4.4.3（路線2H）。注：GB/T21109中建立的路線源自GB/T20438.2-207.3.8.4如果在SIS設(shè)計(jì)過程中對(duì)一些故障進(jìn)行了排除，這樣的故障排除都應(yīng)根據(jù)GB/T16855.1和GB/T16855.2進(jìn)行論證和記錄。7.3.8.5執(zhí)行某個(gè)具有特定SIL的SIF的SIS（或其子系統(tǒng)）的最小HFT應(yīng)符合表1以及7.3.8.6和7.3.8.7（如果適用）。表1不同SIL對(duì)應(yīng)的最小HFT要求SIL要求的最小HFT1（任何模式）02（低要求模式）0GB/T32202—XXXX2（高要求/連續(xù)模式）13（任何模式）14（任何模式）27.3.8.6對(duì)于未使用FVL或LVL可編程設(shè)備的SIS或SIS子系統(tǒng)，若表1規(guī)定的最小HFT導(dǎo)致額外故障并導(dǎo)致整體過程安全降級(jí)，則HFT可以減小。這種情況應(yīng)開展論證并形成文檔。論證時(shí)應(yīng)有證據(jù)證明計(jì)劃的架構(gòu)符合預(yù)期目的并且滿足安全完整性要求。7.3.8.7應(yīng)用7.3.8.6時(shí)，如果得出某個(gè)故障裕度等于0的結(jié)果，7.3.8.6中要求的論證應(yīng)提供證據(jù)證明相關(guān)的危險(xiǎn)失效模式可被排除（根據(jù)7.3.8.4要求，包括對(duì)系統(tǒng)性失效的可能性的考慮）。7.3.8.8FVL和LVL可編程設(shè)備的診斷覆蓋率不應(yīng)小于60%。7.3.8.9失效量計(jì)算中使用的可靠性數(shù)據(jù)應(yīng)由不小于70%的統(tǒng)計(jì)置信區(qū)間上限確定。7.3.9檢測(cè)到故障時(shí)的系統(tǒng)行為的評(píng)估7.3.9.1在SIS中檢測(cè)（通過診斷測(cè)試、檢驗(yàn)測(cè)試或其他方式）到一個(gè)危險(xiǎn)故障時(shí)，應(yīng)采取補(bǔ)償措施來維持安全運(yùn)行。如果不能維持安全運(yùn)行，則應(yīng)采取規(guī)定的動(dòng)作來達(dá)到或保持過程的安全狀態(tài)。如果補(bǔ)償措施依賴于操作員執(zhí)行規(guī)定動(dòng)作來響應(yīng)某個(gè)報(bào)警（如打開或關(guān)閉閥門該報(bào)警則應(yīng)作為SIS的組成部分。注2：維持安全運(yùn)行所需的補(bǔ)償措施取決于安全完整性要求、危險(xiǎn)事件對(duì)應(yīng)的可容忍風(fēng)險(xiǎn)、SI的平均維修時(shí)間以及其他保護(hù)層的可用性。在某些情況下，只要采取動(dòng)作確保在PFDavg計(jì)算時(shí)假設(shè)的MPRT時(shí)間內(nèi)完成危險(xiǎn)失效的維修即可；但在其他情況下，可能需要提供其他措施來補(bǔ)償缺失的風(fēng)險(xiǎn)降低直7.3.9.2當(dāng)SIS的某個(gè)危險(xiǎn)故障是通過某個(gè)報(bào)警來獲得操作員注意時(shí)，應(yīng)對(duì)該報(bào)警進(jìn)行適當(dāng)?shù)臋z驗(yàn)測(cè)試和變更管理。7.3.10SIS組件或子系統(tǒng)的選擇和集成的評(píng)估7.3.10.1對(duì)于SIL1~SIL3的應(yīng)用而言，應(yīng)評(píng)估是否選用了符合相應(yīng)SIL等級(jí)要求的部件或子系統(tǒng)。7.3.10.2應(yīng)評(píng)估是否選用了符合SRS的部件或子系統(tǒng)。7.3.11對(duì)維護(hù)和測(cè)試的評(píng)估7.3.11.1設(shè)計(jì)應(yīng)允許以端-端或分段對(duì)SIS進(jìn)行測(cè)試。注：端-端意味著從傳感器與過程流體的接觸端到7.3.11.2對(duì)在線測(cè)試的要求如下：——在預(yù)定的過程停機(jī)時(shí)間間隔（即通常所說的大修時(shí)間間隔）大于檢驗(yàn)測(cè)試間隔的情況下，需要GB/T32202—XXXX在線測(cè)試；——當(dāng)需要在線檢驗(yàn)測(cè)試時(shí)，測(cè)試設(shè)施應(yīng)為SIS設(shè)計(jì)的必要組成部分。——SIS的在線測(cè)試/旁路設(shè)施：.應(yīng)符合SRS所定義的維護(hù)和測(cè)試要求；.SIS任何部分的旁路都應(yīng)通過報(bào)警和/或操作規(guī)程對(duì)操作員發(fā)出警告。7.3.11.3應(yīng)確定在維持過程安全運(yùn)行前提下，允許SIS處于旁路狀態(tài)（維修或測(cè)試）的最大時(shí)間。7.3.11.4當(dāng)SIS處于旁路狀態(tài)（維修或測(cè)試）時(shí)，應(yīng)按7.3.9要求提供確保維持安全運(yùn)行的補(bǔ)償措施。7.3.11.5在可編程電子SIS中，強(qiáng)制輸入和輸出不得用作應(yīng)用程序、操作規(guī)程和維護(hù)的一部分，除非設(shè)置有規(guī)程和訪問安全防護(hù)措施，否則不允許在SIS不停止工作的情況下強(qiáng)制輸入和輸出。針對(duì)任何這種強(qiáng)制，應(yīng)選用合適的方式通知或發(fā)出報(bào)警。7.3.12SIF的PFD/PFH的評(píng)估7.3.12.1在低要求運(yùn)行模式下運(yùn)行的SIF，應(yīng)使用在要求時(shí)執(zhí)行其設(shè)計(jì)功能的平均失效概率（PFD）來表示目標(biāo)失效量，如表2所示。應(yīng)對(duì)每個(gè)SIF分別評(píng)估其PFD，每個(gè)SIF的PFD應(yīng)小于或等于SRS中規(guī)定的目標(biāo)失效量。同一項(xiàng)目中應(yīng)選用統(tǒng)一的驗(yàn)算方法進(jìn)行隨機(jī)失效PFD計(jì)算。在要求模式下運(yùn)行的每個(gè)SIF所需要的SIL，應(yīng)根據(jù)表2或表3來確定。在連續(xù)模式下運(yùn)行的每個(gè)SIF所需要的SIL，應(yīng)根據(jù)表3來確定。表2安全完整性要求：PFDavg要求運(yùn)行模式安全完整性等級(jí)（SIL）PFDavg要求的風(fēng)險(xiǎn)降低410-5～<10-4>10000～100000310-4～<10-3>1000～10000210-3～<10-2>100～1000110-2～<10-1>10～100表3安全完整性等級(jí)：SIF的危險(xiǎn)失效平均頻率連續(xù)運(yùn)行模式或要求運(yùn)行模式安全完整性等級(jí)（SIL）4-9～<10-83-8～<10-72-7～<10-61-6～<10-57.3.12.2應(yīng)對(duì)用于計(jì)算SIF硬件失效概率的資料和數(shù)據(jù)進(jìn)行評(píng)估：——SIS的結(jié)構(gòu)；——各部分的表決結(jié)構(gòu)；——各部件或子系統(tǒng)的失效率數(shù)據(jù)；注：正確使用各設(shè)備對(duì)應(yīng)的失效率數(shù)據(jù)（如經(jīng)過SIL認(rèn)證的產(chǎn)品，需提供配套安全手冊(cè)等作為證明文件，且業(yè)主需GB/T32202—XXXX確認(rèn)產(chǎn)品使用條件符合認(rèn)證產(chǎn)品要求的應(yīng)用環(huán)境，則可使用認(rèn)程符合GB/T20438相關(guān)要求，則謹(jǐn)慎使用認(rèn)證數(shù)據(jù)；對(duì)于未經(jīng)SIL認(rèn)證的產(chǎn)品，按照其設(shè)備原理正確選擇或計(jì)——檢驗(yàn)測(cè)試時(shí)間間隔（TI——平均恢復(fù)時(shí)間（MTTR）；——共因失效因子β;——根據(jù)客觀實(shí)際（如備品備件情況）選用最大允許維修時(shí)間參數(shù)（MRT——結(jié)合維檢修方案及其有效性確定檢驗(yàn)測(cè)試覆蓋率（PTC）。7.3.13接口設(shè)計(jì)的評(píng)估——操作員接口設(shè)置是否考慮了以下方面：.SIS操作員接口是否與BPCS分開，若未分開，則應(yīng)考慮BPCS操作員接口中可能發(fā)生的可信失效；.SIS操作員接口應(yīng)盡量減少需要操作員進(jìn)行選擇的選項(xiàng)。如果運(yùn)行過程中不要求操作員動(dòng)作，則宜設(shè)置防止操作員錯(cuò)誤的設(shè)施；.旁路開關(guān)或旁路手段應(yīng)防止未經(jīng)許可的使用（如加鍵鎖或口令保護(hù)，連同有效管理控制）。.對(duì)于維護(hù)SIF至關(guān)重要的SIS狀態(tài)信息應(yīng)在操作員接口顯示。這些信息包括：過程處于其流程中的哪個(gè)環(huán)節(jié)；已發(fā)生SIS保護(hù)動(dòng)作的指示；旁路保護(hù)功能的指示；已發(fā)生某個(gè)自動(dòng)動(dòng)作（如表決降級(jí)和/或故障處理）的指示；傳感器和最終元件的狀態(tài)；影響安全的斷電；診斷結(jié)果及支持SIS所需的環(huán)境調(diào)節(jié)設(shè)備的失效。.SIS操作員接口應(yīng)能防止改變SIS應(yīng)用程序。.在需要將信息從BPCS傳輸給SIS時(shí)，應(yīng)使用系統(tǒng)、設(shè)備或規(guī)程來證實(shí)傳輸了正確的信息，并且不會(huì)損害SIS的安全完整性。.SIS操作員接口在數(shù)據(jù)顯示、報(bào)警等方面是否進(jìn)行了定義?！S護(hù)工程接口設(shè)置是否考慮了以下方面：.應(yīng)確保SIS維護(hù)/工程接口任何失效都不會(huì)對(duì)SIS執(zhí)行SIF的能力產(chǎn)生不利影響?？煽紤]在SIS正常運(yùn)行時(shí)斷開維護(hù)/工程接口，如編程面板。.維護(hù)/工程接口應(yīng)為下列功能提供訪問安全防護(hù)：SIS運(yùn)行模式、程序、數(shù)據(jù)、屏蔽報(bào)警通信的方法、測(cè)試、旁路、維護(hù)；SIS診斷、表決和故障處理服務(wù)；增加、刪除或修改應(yīng)用程序；排除SIS故障所需的數(shù)據(jù)；在需要旁路時(shí)，應(yīng)使得報(bào)警和手動(dòng)停車設(shè)施不會(huì)失效。.維護(hù)/工程接口不應(yīng)用作操作員接口。.啟用和禁止讀-寫訪問功能應(yīng)僅能通過配置管理流程來實(shí)現(xiàn)，使用具有適當(dāng)文檔和安防措施（如身份驗(yàn)證和用戶安保通道）的維護(hù)/工程接口?！ㄐ沤涌谠O(shè)置是否考慮了以下方面：.應(yīng)確保SIS通信接口任何失效不會(huì)對(duì)SIS使過程達(dá)到或保持安全狀態(tài)的能力產(chǎn)生不利影響。.當(dāng)SIS能夠與BPCS和外部設(shè)備進(jìn)行通信時(shí)，通信接口、BPCS或外部設(shè)備不應(yīng)對(duì)SIS中的任何SIF產(chǎn)生不利影響。.通信接口應(yīng)足夠健壯以便能承受包括電源浪涌在內(nèi)的電磁干擾而不會(huì)引起SIS的危險(xiǎn)失.通信接口應(yīng)適宜不同參考地電位的設(shè)備間的通信，可以選擇不同的媒介（如光纖）。7.3.14其他相關(guān)內(nèi)容的評(píng)估GB/T32202—XXXX7.3.14.1應(yīng)審查SIS是否能把過程置于某個(gè)安全狀態(tài)，并可以保持在安全狀態(tài)直到啟動(dòng)一次復(fù)位為止；若SRS有特殊規(guī)定的情況，則依照SRS進(jìn)行評(píng)估。7.3.14.2應(yīng)評(píng)估是否有與邏輯解算器無關(guān)的手動(dòng)機(jī)制（如應(yīng)急停機(jī)按鈕用于直接啟動(dòng)SIS最終元件。若SRS有特殊規(guī)定的情況，則依照SRS進(jìn)行評(píng)估。7.3.14.3對(duì)動(dòng)力源（如電源、空氣、液動(dòng)源或氣動(dòng)源）中斷而不進(jìn)入安全狀態(tài)的所有SIS設(shè)備，應(yīng)能對(duì)共用動(dòng)力源丟失和SIS電路完整性進(jìn)行檢測(cè)和報(bào)警（如線路終端監(jiān)視、供壓測(cè)量、液壓或氣壓檢測(cè)）并根據(jù)GB/T21109.1中8.3.10采取行動(dòng)。7.4文檔要求7.4.1SIS設(shè)計(jì)階段評(píng)估報(bào)告應(yīng)為功能安全評(píng)估報(bào)告的一部分。7.4.2SIS設(shè)計(jì)階段評(píng)估報(bào)告應(yīng)結(jié)構(gòu)清晰、表述準(zhǔn)確、無歧義，并可追溯。7.4.3項(xiàng)目背景應(yīng)包括立項(xiàng)意義、任務(wù)由來、項(xiàng)目概況等相關(guān)內(nèi)容。7.4.4評(píng)估依據(jù)應(yīng)列出評(píng)估項(xiàng)目所引用的法律法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)、基礎(chǔ)技術(shù)資料名稱等相關(guān)信息。7.4.5評(píng)估目的應(yīng)明確描述評(píng)估目的。7.4.6評(píng)估范圍和內(nèi)容應(yīng)明確描述評(píng)估的范圍和內(nèi)容。7.4.7評(píng)估方法根據(jù)項(xiàng)目的特點(diǎn)，應(yīng)明確表達(dá)采用的評(píng)估方法。7.4.8評(píng)估過程應(yīng)明確描述評(píng)估工作過程，包括評(píng)估程序、工作進(jìn)度、參加人員等，可用圖、表、文字描述等方式表述。7.4.9評(píng)估結(jié)論與建議應(yīng)根據(jù)7.3中所述內(nèi)容的評(píng)判結(jié)果，給出對(duì)SIS安全設(shè)計(jì)和實(shí)現(xiàn)的完整性結(jié)論，包括系統(tǒng)性完整性、軟件完整性和硬件完整性；指出存在的問題，并以簡(jiǎn)潔、概括的語言給出有針對(duì)性的建議。7.4.10附件7.4.10.1評(píng)估工作表應(yīng)給出評(píng)估工作過程中生成的調(diào)研表、分析記錄表等。樣表見附錄B。7.4.10.2評(píng)估軟件工具的采用GB/T32202—XXXX應(yīng)明確評(píng)估過程中所用軟件、測(cè)試等輔助工具的名稱、型號(hào)、軟件版本號(hào)、出品公司、功能說明以及在本項(xiàng)目中的使用情況。7.4.10.3其他資料應(yīng)給出評(píng)估工作所依據(jù)的必要資料，如分析圖紙、評(píng)估準(zhǔn)則來源、分析評(píng)估假設(shè)及來源等。8運(yùn)維階段評(píng)估8.1一般要求應(yīng)定期對(duì)SIS的運(yùn)行和維護(hù)狀況進(jìn)行全面和系統(tǒng)性的評(píng)審，確保SIS的功能安全水平持續(xù)符合設(shè)計(jì)要a)SIS修改或停用實(shí)施前，應(yīng)開展復(fù)審；b)可能對(duì)SIS產(chǎn)生影響的工藝、設(shè)備等的修改實(shí)施前，應(yīng)開展復(fù)審；c)同類生產(chǎn)設(shè)施或本生產(chǎn)設(shè)施如果出現(xiàn)與功能安全管理體系有關(guān)的嚴(yán)重安全事故或發(fā)現(xiàn)明顯的SIS設(shè)計(jì)缺陷，可即時(shí)安排復(fù)審活動(dòng)；d)國家或行業(yè)有新的規(guī)定或標(biāo)準(zhǔn)規(guī)范發(fā)布，并有審查要求時(shí)，應(yīng)開展復(fù)審；e)工藝/安全儀表系統(tǒng)每運(yùn)行3~5年應(yīng)進(jìn)行周期性復(fù)審。8.2評(píng)估依據(jù)應(yīng)提供但不限于以下所列材料：——SIS運(yùn)行維護(hù)及測(cè)試記錄；——失效數(shù)據(jù)統(tǒng)計(jì)；——SIS變更文件或變更資料；——工藝、設(shè)備變更文件或變更資料；——事故調(diào)查報(bào)告；——以往的功能安全評(píng)估報(bào)告、復(fù)審報(bào)告等。8.3評(píng)估內(nèi)容8.3.1應(yīng)對(duì)下面的項(xiàng)目進(jìn)行審查評(píng)判：a)SIS的設(shè)計(jì)，以及運(yùn)行和維護(hù)狀況是否符合國家和企業(yè)的最新標(biāo)準(zhǔn)和規(guī)范要求。b)SIS的操作規(guī)程、維護(hù)規(guī)程、備品備件管理，以及文檔管理等規(guī)定是否遵循和執(zhí)行。c)SIS的安全功能回路設(shè)計(jì)、儀表選型等是否滿足必要的風(fēng)險(xiǎn)降低要求。d)基于實(shí)際的SIS運(yùn)行和維護(hù)狀況，對(duì)SIF的SIL評(píng)估計(jì)算所依據(jù)的要求率、失效率，以及TI等評(píng)估基礎(chǔ)進(jìn)行必要的更新和修訂。e)SIS的操作和維護(hù)人員，是否具備相應(yīng)的專業(yè)能力。f)SIS的修改變更是否遵循了相關(guān)的變更管理規(guī)定，是否針對(duì)影響的范圍和深度進(jìn)行了評(píng)估，以及采取了必要的應(yīng)對(duì)措施。g)對(duì)以往功能安全評(píng)估內(nèi)容進(jìn)行復(fù)核。8.3.2復(fù)審可采取現(xiàn)場(chǎng)調(diào)研、走訪、審查以及討論等形式，必要時(shí)應(yīng)進(jìn)行實(shí)際的功能測(cè)試。8.4文檔要求8.4.1功能安全復(fù)審報(bào)告應(yīng)為功能安全評(píng)估報(bào)告的一部分。GB/T32202—XXXX8.4.2功能安全復(fù)審報(bào)告應(yīng)結(jié)構(gòu)清晰、表述準(zhǔn)確、無歧義，并可追溯。8.4.3項(xiàng)目背景應(yīng)包括立項(xiàng)意義、任務(wù)由來、項(xiàng)目概況等相關(guān)內(nèi)容。8.4.4評(píng)估依據(jù)應(yīng)列出評(píng)估項(xiàng)目所引用的法律法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)、基礎(chǔ)技術(shù)資料名稱等相關(guān)信息。8.4.5評(píng)估目的應(yīng)明確描述評(píng)估目的。8.4.6評(píng)估范圍和內(nèi)容應(yīng)明確描述評(píng)估的范圍和內(nèi)容。8.4.7評(píng)估方法應(yīng)明確表達(dá)根據(jù)項(xiàng)目的特點(diǎn)采用的評(píng)估方法。8.4.8評(píng)估過程應(yīng)明確描述評(píng)估工作過程，包括評(píng)估程序、工作進(jìn)度、參加人員等，可用圖、表、文字描述等方式表述。8.4.9評(píng)估結(jié)論與建議應(yīng)根據(jù)8.3中所述內(nèi)容的評(píng)判結(jié)果，給出對(duì)SIS的設(shè)計(jì)、運(yùn)行、維護(hù)、修改與變更等的完整性結(jié)論等；指出存在的問題，并以簡(jiǎn)潔、概括的語言給出有針對(duì)性的建議。8.4.10附件8.4.10.1評(píng)估工作表應(yīng)給出評(píng)估工作過程中生成的調(diào)研表、分析記錄表等。樣表見附錄C。8.4.10.2評(píng)估軟件工具的采用應(yīng)明確評(píng)估過程中所用軟件、測(cè)試等輔助工具的名稱、型號(hào)、軟件版本號(hào)、出品公司、功能說明以及在本項(xiàng)目中的使用情況。8.4.10.3其他資料應(yīng)給出評(píng)估工作所依據(jù)的必要資料，如分圖紙、評(píng)估準(zhǔn)則來源、分析評(píng)估假設(shè)及來源等。GB/T32202—XXXXSIS安全要求評(píng)估工作表樣表SIS安全要求評(píng)估的工作表樣表見表A.1。表A.1SIS安全要求評(píng)估工作表樣表所評(píng)估的系統(tǒng)/區(qū)域的說明參