GBT 32202-2015 油氣管道安全儀表系統(tǒng)的功能安全評(píng)估規(guī)范

2015-12-10發(fā)布2中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局I Ⅲ V 1 1 13.1縮略語(yǔ) 1 2 6 6 65.2要求 6 6.2評(píng)估依據(jù) 6.4報(bào)告要求 7.3評(píng)估內(nèi)容 7.4報(bào)告要求 7.5報(bào)告內(nèi)容 8.3評(píng)估依據(jù) 8.4評(píng)估內(nèi)容 9功能安全復(fù)審 21 219.2評(píng)估節(jié)點(diǎn) 219.3復(fù)審依據(jù) 9.4復(fù)審內(nèi)容 229.5報(bào)告要求 Ⅱ9.6報(bào)告內(nèi)容 9.7執(zhí)行和追蹤 附錄A(資料性附錄)SIS安全要求評(píng)估工作表樣表 28 附錄D(資料性附錄)功能安全復(fù)審工作表樣表 圖1油氣管道安全儀表系統(tǒng)功能安全評(píng)估 7 1表2PE邏輯控制器的最低硬件故障裕度 表4在低要求模式下，安全儀表功能的目標(biāo)失效量 表A.1SIS安全要求評(píng)估工作表樣表 24 表D.1功能安全復(fù)審工作表樣表 Ⅲ本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。MIEC61511,我國(guó)已將其轉(zhuǎn)化成GB/T20438《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》和electrical/electronic/programmabl2表1(續(xù))3[GB/T21109.1—2007,定義3.2.26]檢驗(yàn)測(cè)試prooftest保護(hù)層protectionlayer部件和子系統(tǒng)之前在類(lèi)似應(yīng)用和實(shí)際環(huán)境中的使用(見(jiàn)GB/T21109.1—2007的11.5中的“以往使4評(píng)估文檔記錄有適當(dāng)證據(jù)表明：基于部件以往使用的情況，該部件適用于安全儀表系統(tǒng)時(shí)(見(jiàn)[基于IEC62059-11]安全失效分?jǐn)?shù)safefailurefraction;Sλs——安全失效率5安全功能將EUC保持在安全狀態(tài)是正常運(yùn)行的一部分。安全完整性safetyintegrity安全完整性等級(jí)safetyintegrityl用來(lái)規(guī)定分配給安全儀表系統(tǒng)的安全儀表功能的安全完整性要求的離散等級(jí)(4個(gè)等級(jí)中的一6 7階段活動(dòng)生命周期活動(dòng)活動(dòng)生命周期活動(dòng)輸出設(shè)計(jì)階段安全要求評(píng)估1概含設(shè)計(jì)3危險(xiǎn)分析與設(shè)計(jì)審查1概念設(shè)計(jì)文件5.1SIS功能設(shè)計(jì)規(guī)5.2檢測(cè)元件技術(shù)規(guī)5.3執(zhí)行元件技術(shù)規(guī)設(shè)計(jì)評(píng)估功能設(shè)計(jì)執(zhí)行元件選型檢測(cè)元件選型及配置施工階段投產(chǎn)前評(píng)估測(cè)試(FAT)工廠驗(yàn)收接下頁(yè)8人員培訓(xùn)8階段活動(dòng)生命周期活動(dòng)活動(dòng)活動(dòng)輸出投產(chǎn)前評(píng)估接上頁(yè)10安裝和調(diào)試11現(xiàn)場(chǎng)驗(yàn)收測(cè)試(SAT)現(xiàn)場(chǎng)驗(yàn)收10安裝和調(diào)試記錄11現(xiàn)場(chǎng)驗(yàn)收測(cè)試文件12SIS投產(chǎn)前評(píng)估報(bào)告啟動(dòng)前安全審查運(yùn)行階段功能安全復(fù)審13竣工驗(yàn)收竣工驗(yàn)收13竣工驗(yàn)收?qǐng)?bào)告15.1變更影響分析15.2變更的批準(zhǔn)16功能安全復(fù)審報(bào)告17.1停用影響分析17.2停用的批準(zhǔn)14操作/維護(hù)/15變更16功能安全復(fù)審17停用圖1(續(xù))9 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估報(bào)告； SIS安全要求規(guī)格書(shū)。 危險(xiǎn)事件分類(lèi)及統(tǒng)計(jì)； 保護(hù)層分類(lèi)及降險(xiǎn)統(tǒng)計(jì) 人員能力分級(jí) ——人機(jī)界面要求最低硬件故障裕度110022103321注：本規(guī)范不考慮SIL4的情況。1021327.3.8.3當(dāng)使用的設(shè)備符合所有下列各項(xiàng)時(shí)，表3中規(guī)定的除PE邏輯控制器外所有子系統(tǒng)(如傳感b)在修復(fù)故障的同時(shí)繼續(xù)過(guò)程的安全運(yùn)行。如果故障的修復(fù)不能在計(jì)算硬件隨機(jī)失效概率中假設(shè)的平均恢復(fù)時(shí)間(MTTR)內(nèi)完成，則應(yīng)產(chǎn)生一個(gè)規(guī)定的動(dòng)作以達(dá)到或保持某個(gè)安全b)在計(jì)算硬件隨機(jī)失效概率中假定的平均恢復(fù)時(shí)間(MTTR)時(shí)段內(nèi)修復(fù)故障子系統(tǒng)。在這段任何故障時(shí)的儀表安全系統(tǒng)所提供的風(fēng)險(xiǎn)降低。在SIS操作和維護(hù)程序中應(yīng)規(guī)定這些附加措全狀態(tài)。 7.3.10.2應(yīng)評(píng)估是否選用了符合SIS安全要求規(guī)格書(shū)的部件或子系統(tǒng)。安全完整性等級(jí)低要求運(yùn)行模式(在要求時(shí)就執(zhí)行其設(shè)計(jì)功能要求的平均失效概率)4≥10-?至<10-3≥10-?至<10-32≥10-3至<10-21≥10-2至<10-安全完整性等級(jí)連續(xù)運(yùn)行模式(每小時(shí)危險(xiǎn)失效頻率)4≥10-至<10-3≥10-*至<10-2≥10-?至<10-?1≥10~至<10-5 ·濕度范圍；·振動(dòng)和沖擊；·污染氣體； 是否定義了關(guān)于設(shè)備之間的通訊協(xié)議 8.6.2評(píng)估依據(jù)SIS安全要求評(píng)估的工作表樣表見(jiàn)表A.1。表A.1SIS安全要求評(píng)估工作表樣表所評(píng)估的系統(tǒng)/區(qū)域的說(shuō)明日期時(shí)間傳閱意見(jiàn)1危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估報(bào)告2安全要求分配報(bào)告3安全要求規(guī)格書(shū)4□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)1建立了SIS安全要求規(guī)格書(shū)□□□□□□□□□□□□□□□□6明確了每個(gè)安全儀表功能的動(dòng)作設(shè)定點(diǎn)□□□7明確了所有工藝變量的正常操作范圍和操作界限口□8明確了SIS的所有過(guò)程輸出及其作用口□□□9明確了過(guò)程輸入輸出的功能關(guān)系：包括邏輯、□□表A.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)10每個(gè)安全儀表功能都明確了其為勵(lì)磁觸發(fā)□口□□11是否包含了手動(dòng)關(guān)斷的考慮□□□□12每個(gè)安全儀表功能都明確了失電將采取的□□□□13每個(gè)安全儀表功能中，對(duì)于可診斷的危險(xiǎn)故障都明確了響應(yīng)動(dòng)作□口□□14包含了人機(jī)界面要求□□□□15設(shè)置了復(fù)位功能□□□□16每個(gè)安全儀表功能明確了所要達(dá)到的SIL口□口□17每個(gè)安全儀表功能明確了達(dá)到所需的SIL的診斷要求□□□□18每個(gè)安全儀表功能明確了達(dá)到所需的SIL□□口□19誤動(dòng)作風(fēng)險(xiǎn)是否可接受□□□□20如果誤動(dòng)作風(fēng)險(xiǎn)不可接受，明確了對(duì)誤動(dòng)作□□□□□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)□□□□22在開(kāi)展危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估前是否制定了計(jì)劃□□□口口□□□□□□□□□□□估?包括故障狀況、誤用、人員誤操作、異常的□□□□口□□□表A.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)待改項(xiàng)□□□□(或頻率等級(jí))口□□□30頻率或頻率等級(jí)的定義和選擇是否符合國(guó)□□□□31定義的頻率或頻率等級(jí)是否具有可信的□□□□32是否評(píng)估了已確定的危險(xiǎn)事件后果的嚴(yán)重性程度口□□□□□□□34后果及其嚴(yán)重性等級(jí)的定義是否具有可信的來(lái)源□□□□35是否評(píng)估了與已確定的危險(xiǎn)和危險(xiǎn)事件相□口□□36風(fēng)險(xiǎn)分級(jí)準(zhǔn)則是否符合國(guó)家、行業(yè)或企業(yè)相□□口口□□□□□□□□39對(duì)提出的降低或消除危險(xiǎn)和風(fēng)險(xiǎn)的措施，是否有明確的實(shí)施和追蹤的負(fù)責(zé)人□□□□已實(shí)現(xiàn)?如果未實(shí)現(xiàn)是否給出了說(shuō)明口口□□分析和引用的資料的名稱(chēng)及版本號(hào)是否有詳細(xì)記錄口□口□□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)待改項(xiàng)□□□□43安全要求分配是否是在危險(xiǎn)與風(fēng)險(xiǎn)分析后口□□□口□口□表A.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)□□□□□□□□□□□□48安全要求分配中各項(xiàng)活動(dòng)是否均形成文并由相關(guān)責(zé)任人簽署□口□□49是否明確定義了用于預(yù)防、控制或減輕來(lái)自包括由安全儀表系統(tǒng)執(zhí)行的安全儀表功能(SIF)□□口□和獨(dú)立性，如SIS與BPCS之間、SIS與其他保護(hù)□□口□□□□□52是否評(píng)估并記錄了已確定的獨(dú)立保護(hù)層的風(fēng)險(xiǎn)降低能力□□□□53各保護(hù)層風(fēng)險(xiǎn)降低能力的定義和選擇是否□□□口54各保護(hù)層風(fēng)險(xiǎn)降低能力的定義和選擇是否□□□□功能要求和安全完整性要求的信息□□□□56誤動(dòng)作可接受嗎?如果否，是否分析并規(guī)定了各SIF最大可接受誤動(dòng)作率要求口□□□的危害(如：集中釋放至火炬系統(tǒng))□□口□□□□行的影響□□□□60是否分析并識(shí)別了各SIF運(yùn)行可能需要的其他輔助設(shè)備或設(shè)施，如氣動(dòng)閥供氣系統(tǒng)。是否審查其失效對(duì)安全運(yùn)行的影響□口□□□□□□(資料性附錄)SIS設(shè)計(jì)評(píng)估工作表樣表SIS設(shè)計(jì)評(píng)估的工作表樣表見(jiàn)表B.1。所評(píng)估的系統(tǒng)/區(qū)城的說(shuō)明日期時(shí)間傳閱：意見(jiàn)1安全要求規(guī)格書(shū)2SIS安全要求評(píng)估報(bào)告及整改報(bào)告3設(shè)計(jì)說(shuō)明書(shū)456明材料7設(shè)計(jì)過(guò)程中做的SIL評(píng)估報(bào)告8□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)1SIS執(zhí)行安全儀表功能外，同時(shí)還執(zhí)行非安全中是否充分考慮了正常或故障狀態(tài)下對(duì)安全儀□□□□表B.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)待改項(xiàng)2SIS與BPCS間是否存在共用?是否保持了充分的獨(dú)立性?若未能保持充分獨(dú)立性，SIS的要求進(jìn)行規(guī)定□□□□3SIS的可操作性是否符合功能安全要求規(guī)□□□□書(shū)要求口□□□書(shū)要求口□□□□□□□7SIS的設(shè)計(jì)是否考慮了人的能力和限制□□□□口□口□□□□□10SIS設(shè)計(jì)中各個(gè)安全儀表功能回路的傳感器□□□□11SIS設(shè)計(jì)中各個(gè)安全儀表功能回路的PE邏7.3.8.2)□口□□12SIS設(shè)計(jì)中各個(gè)安全儀表功能回路的執(zhí)行器是否符合本標(biāo)準(zhǔn)表3中的最低故障裕度要求□口口□13對(duì)于硬件故障裕度大于0的子系統(tǒng)：13.1當(dāng)檢測(cè)到危險(xiǎn)故障時(shí)(利用診斷測(cè)試、檢驗(yàn)保持某種安全狀態(tài)的一個(gè)規(guī)定動(dòng)作□口□□13.2當(dāng)檢測(cè)到危險(xiǎn)故障時(shí)，是否可在修復(fù)故障的同時(shí)繼續(xù)過(guò)程的安全運(yùn)行?如果故障的修復(fù)□□□□14對(duì)于低要求運(yùn)行模式下硬件故障裕度為0表B.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)14.1當(dāng)檢測(cè)到危險(xiǎn)故障時(shí)(利用診斷測(cè)試、檢驗(yàn)測(cè)試或任何其他辦法),是否可導(dǎo)致用以達(dá)到或□□□□14,2當(dāng)檢測(cè)到危險(xiǎn)故障時(shí)(利用診斷測(cè)試、檢驗(yàn)□□□□14.3在修復(fù)過(guò)程中，是否設(shè)置了附加的措施和□□□□14.4如果設(shè)置了，這些措施和約束提供的風(fēng)險(xiǎn)降低，是否等于無(wú)任何故障時(shí)的儀表安全系統(tǒng)所□□□□14.5在SIS操作和維護(hù)程序中是否規(guī)定了這些附加措施和約束□□口□MTTR內(nèi)完成修復(fù)，則應(yīng)執(zhí)行一個(gè)規(guī)定動(dòng)到或保持某個(gè)安全狀態(tài)□□□□15對(duì)于高要求或連續(xù)運(yùn)行模式下，硬件故障裕度為0的子系統(tǒng)：當(dāng)檢測(cè)到危險(xiǎn)故障時(shí)(利用診斷測(cè)試、檢驗(yàn)測(cè)試或任何其他辦法)是否可導(dǎo)致一個(gè)規(guī)定動(dòng)作，以達(dá)到或保持某種安全狀態(tài)□□口□16是否選用了符合相應(yīng)SIL等級(jí)要求的部件或子系統(tǒng)?(僅對(duì)于SIL1～3而言)□□□□17根據(jù)以往使用原則選擇的部件和子系統(tǒng)，是a)制造商對(duì)質(zhì)量、管理和配置管理的考慮；b)標(biāo)準(zhǔn)/規(guī)范符合性；c)在類(lèi)似操作行規(guī)和實(shí)際環(huán)境中部件或子系統(tǒng)的性能；□□□□18SIS設(shè)計(jì)選用的部件或子系統(tǒng)是否符合SIS安全要求規(guī)格書(shū)□□□□19SIS設(shè)計(jì)是否允許以點(diǎn)-點(diǎn)或分幾部分對(duì)SIS□□□□20是否需要在線(xiàn)測(cè)試(見(jiàn)7.3.11)□□□□□□□□表B.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)20.2在線(xiàn)測(cè)試設(shè)施是否可用來(lái)測(cè)試未檢測(cè)到的口□□□□口□警和/或操作規(guī)程對(duì)操作員發(fā)出警告□□□□功能，各個(gè)SIF的PFD是否小于或等于安全要求□□口□□□□□23SIS設(shè)計(jì)當(dāng)前涉及的下列資料和數(shù)據(jù)計(jì)算后的SIF硬件失效概率是否符合SRS中的要求a)sIS的結(jié)構(gòu)：b)各部分的表決結(jié)構(gòu)；c)各部件或子系統(tǒng)的失效率數(shù)據(jù)分析；d)檢驗(yàn)測(cè)試時(shí)間間隔TI;e)平均恢復(fù)時(shí)間MTTR;0共因失效因子β.□口口口狀態(tài)，并可以保持在安全狀態(tài)直到啟動(dòng)一次復(fù)位為止?是否符合安全要求規(guī)格書(shū)的有關(guān)規(guī)定□□□□□□□□源)而不進(jìn)入安全狀態(tài)的SIS設(shè)備，驅(qū)動(dòng)源和SIS線(xiàn)路完整性的喪失是否能檢測(cè)和報(bào)警(如線(xiàn)路終端監(jiān)視、驅(qū)動(dòng)源供給壓力測(cè)量、液壓或氣壓壓力監(jiān)測(cè))并按照GB/T21109.1—2007中1□□□(資料性附錄)表C.1SIS運(yùn)行前評(píng)估工作表樣表所評(píng)估的系統(tǒng)/區(qū)域的說(shuō)明日期時(shí)間意見(jiàn)123變更文件(若有)45612變更說(shuō)明345口整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)1是否執(zhí)行過(guò)一次SIS安全要求評(píng)估□□□□口□□口□□□□表C.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)4是否已解決由先前的功能安全評(píng)估提出的口□口□已確認(rèn)和解決任何差異□□□□□口□□7安全儀表系統(tǒng)確認(rèn)計(jì)劃編制是否合適?確認(rèn)□□口□8人員培訓(xùn)是否已完成?有關(guān)安全儀表系統(tǒng)的相應(yīng)信息是否已提供給維護(hù)和操作人員□□□□□口口□10硬件是否有滿(mǎn)足SRS要求的安全完整性等□□口□11硬件運(yùn)行條件是否滿(mǎn)足SIS物理運(yùn)行環(huán)境污染氣體、粉塵)□□□□12是否采取了保護(hù)SIS環(huán)境抗電磁干擾的預(yù)防措施?(SIS的內(nèi)在設(shè)計(jì)、實(shí)際安裝、保護(hù)所有的輸入和輸出避免輸入電纜感應(yīng)所產(chǎn)生的電壓峰值的損害、EMC測(cè)試規(guī)程)是否將電源和信號(hào)電纜分離口□□口13是否定義了關(guān)于設(shè)備之間的通訊協(xié)議□□□□14SIS界面在數(shù)據(jù)顯示、報(bào)警等方面是否進(jìn)行了定義□口□□15SIS界面是否獨(dú)立于BPCS界面?如果不獨(dú)□□□16是否有關(guān)于材料、工作質(zhì)量、檢驗(yàn)和測(cè)試的□□□□17是否有監(jiān)督以確保安裝期間能夠按照說(shuō)明口□□口18是否有預(yù)期的安裝條件?當(dāng)安裝環(huán)境不滿(mǎn)□口□□19安裝活動(dòng)是否與其他工程活動(dòng)有交叉，如果□□□□□□□□表C.1(續(xù))□整項(xiàng)不適用需要修改項(xiàng)目是否必改項(xiàng)待改項(xiàng)□□□□22安裝和檢驗(yàn)規(guī)程在細(xì)節(jié)上是否足夠清楚，以□□□□□□□□24對(duì)于設(shè)計(jì)