GBT 32202-2015 油氣管道安全儀表系統(tǒng)的功能安全評估規(guī)范

2015-12-10發(fā)布2中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局I Ⅲ V 1 1 13.1縮略語 1 2 6 6 65.2要求 6 6.2評估依據(jù) 6.4報告要求 7.3評估內(nèi)容 7.4報告要求 7.5報告內(nèi)容 8.3評估依據(jù) 8.4評估內(nèi)容 9功能安全復(fù)審 21 219.2評估節(jié)點 219.3復(fù)審依據(jù) 9.4復(fù)審內(nèi)容 229.5報告要求 Ⅱ9.6報告內(nèi)容 9.7執(zhí)行和追蹤 附錄A(資料性附錄)SIS安全要求評估工作表樣表 28 附錄D(資料性附錄)功能安全復(fù)審工作表樣表 圖1油氣管道安全儀表系統(tǒng)功能安全評估 7 1表2PE邏輯控制器的最低硬件故障裕度 表4在低要求模式下，安全儀表功能的目標(biāo)失效量 表A.1SIS安全要求評估工作表樣表 24 表D.1功能安全復(fù)審工作表樣表 Ⅲ本標(biāo)準按照GB/T1.1—2009給出的規(guī)則起草。MIEC61511,我國已將其轉(zhuǎn)化成GB/T20438《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》和electrical/electronic/programmabl2表1(續(xù))3[GB/T21109.1—2007,定義3.2.26]檢驗測試prooftest保護層protectionlayer部件和子系統(tǒng)之前在類似應(yīng)用和實際環(huán)境中的使用(見GB/T21109.1—2007的11.5中的“以往使4評估文檔記錄有適當(dāng)證據(jù)表明：基于部件以往使用的情況，該部件適用于安全儀表系統(tǒng)時(見[基于IEC62059-11]安全失效分數(shù)safefailurefraction;Sλs——安全失效率5安全功能將EUC保持在安全狀態(tài)是正常運行的一部分。安全完整性safetyintegrity安全完整性等級safetyintegrityl用來規(guī)定分配給安全儀表系統(tǒng)的安全儀表功能的安全完整性要求的離散等級(4個等級中的一6 7階段活動生命周期活動活動生命周期活動輸出設(shè)計階段安全要求評估1概含設(shè)計3危險分析與設(shè)計審查1概念設(shè)計文件5.1SIS功能設(shè)計規(guī)5.2檢測元件技術(shù)規(guī)5.3執(zhí)行元件技術(shù)規(guī)設(shè)計評估功能設(shè)計執(zhí)行元件選型檢測元件選型及配置施工階段投產(chǎn)前評估測試(FAT)工廠驗收接下頁8人員培訓(xùn)8階段活動生命周期活動活動活動輸出投產(chǎn)前評估接上頁10安裝和調(diào)試11現(xiàn)場驗收測試(SAT)現(xiàn)場驗收10安裝和調(diào)試記錄11現(xiàn)場驗收測試文件12SIS投產(chǎn)前評估報告啟動前安全審查運行階段功能安全復(fù)審13竣工驗收竣工驗收13竣工驗收報告15.1變更影響分析15.2變更的批準16功能安全復(fù)審報告17.1停用影響分析17.2停用的批準14操作/維護/15變更16功能安全復(fù)審17停用圖1(續(xù))9 危險分析和風(fēng)險評估報告； SIS安全要求規(guī)格書。 危險事件分類及統(tǒng)計； 保護層分類及降險統(tǒng)計 人員能力分級 ——人機界面要求最低硬件故障裕度110022103321注：本規(guī)范不考慮SIL4的情況。1021327.3.8.3當(dāng)使用的設(shè)備符合所有下列各項時，表3中規(guī)定的除PE邏輯控制器外所有子系統(tǒng)(如傳感b)在修復(fù)故障的同時繼續(xù)過程的安全運行。如果故障的修復(fù)不能在計算硬件隨機失效概率中假設(shè)的平均恢復(fù)時間(MTTR)內(nèi)完成，則應(yīng)產(chǎn)生一個規(guī)定的動作以達到或保持某個安全b)在計算硬件隨機失效概率中假定的平均恢復(fù)時間(MTTR)時段內(nèi)修復(fù)故障子系統(tǒng)。在這段任何故障時的儀表安全系統(tǒng)所提供的風(fēng)險降低。在SIS操作和維護程序中應(yīng)規(guī)定這些附加措全狀態(tài)。 7.3.10.2應(yīng)評估是否選用了符合SIS安全要求規(guī)格書的部件或子系統(tǒng)。安全完整性等級低要求運行模式(在要求時就執(zhí)行其設(shè)計功能要求的平均失效概率)4≥10-?至<10-3≥10-?至<10-32≥10-3至<10-21≥10-2至<10-安全完整性等級連續(xù)運行模式(每小時危險失效頻率)4≥10-至<10-3≥10-*至<10-2≥10-?至<10-?1≥10~至<10-5 ·濕度范圍；·振動和沖擊；·污染氣體； 是否定義了關(guān)于設(shè)備之間的通訊協(xié)議 8.6.2評估依據(jù)SIS安全要求評估的工作表樣表見表A.1。表A.1SIS安全要求評估工作表樣表所評估的系統(tǒng)/區(qū)域的說明日期時間傳閱意見1危險分析與風(fēng)險評估報告2安全要求分配報告3安全要求規(guī)格書4□整項不適用需要修改項目是否必改項1建立了SIS安全要求規(guī)格書□□□□□□□□□□□□□□□□6明確了每個安全儀表功能的動作設(shè)定點□□□7明確了所有工藝變量的正常操作范圍和操作界限口□8明確了SIS的所有過程輸出及其作用口□□□9明確了過程輸入輸出的功能關(guān)系：包括邏輯、□□表A.1(續(xù))□整項不適用需要修改項目是否必改項10每個安全儀表功能都明確了其為勵磁觸發(fā)□口□□11是否包含了手動關(guān)斷的考慮□□□□12每個安全儀表功能都明確了失電將采取的□□□□13每個安全儀表功能中，對于可診斷的危險故障都明確了響應(yīng)動作□口□□14包含了人機界面要求□□□□15設(shè)置了復(fù)位功能□□□□16每個安全儀表功能明確了所要達到的SIL口□口□17每個安全儀表功能明確了達到所需的SIL的診斷要求□□□□18每個安全儀表功能明確了達到所需的SIL□□口□19誤動作風(fēng)險是否可接受□□□□20如果誤動作風(fēng)險不可接受，明確了對誤動作□□□□□整項不適用需要修改項目是否必改項□□□□22在開展危險分析與風(fēng)險評估前是否制定了計劃□□□口口□□□□□□□□□□□估?包括故障狀況、誤用、人員誤操作、異常的□□□□口□□□表A.1(續(xù))□整項不適用需要修改項目是否必改項待改項□□□□(或頻率等級)口□□□30頻率或頻率等級的定義和選擇是否符合國□□□□31定義的頻率或頻率等級是否具有可信的□□□□32是否評估了已確定的危險事件后果的嚴重性程度口□□□□□□□34后果及其嚴重性等級的定義是否具有可信的來源□□□□35是否評估了與已確定的危險和危險事件相□口□□36風(fēng)險分級準則是否符合國家、行業(yè)或企業(yè)相□□口口□□□□□□□□39對提出的降低或消除危險和風(fēng)險的措施，是否有明確的實施和追蹤的負責(zé)人□□□□已實現(xiàn)?如果未實現(xiàn)是否給出了說明口口□□分析和引用的資料的名稱及版本號是否有詳細記錄口□口□□整項不適用需要修改項目是否必改項待改項□□□□43安全要求分配是否是在危險與風(fēng)險分析后口□□□口□口□表A.1(續(xù))□整項不適用需要修改項目是否必改項□□□□□□□□□□□□48安全要求分配中各項活動是否均形成文并由相關(guān)責(zé)任人簽署□口□□49是否明確定義了用于預(yù)防、控制或減輕來自包括由安全儀表系統(tǒng)執(zhí)行的安全儀表功能(SIF)□□口□和獨立性，如SIS與BPCS之間、SIS與其他保護□□口□□□□□52是否評估并記錄了已確定的獨立保護層的風(fēng)險降低能力□□□□53各保護層風(fēng)險降低能力的定義和選擇是否□□□口54各保護層風(fēng)險降低能力的定義和選擇是否□□□□功能要求和安全完整性要求的信息□□□□56誤動作可接受嗎?如果否，是否分析并規(guī)定了各SIF最大可接受誤動作率要求口□□□的危害(如：集中釋放至火炬系統(tǒng))□□口□□□□行的影響□□□□60是否分析并識別了各SIF運行可能需要的其他輔助設(shè)備或設(shè)施，如氣動閥供氣系統(tǒng)。是否審查其失效對安全運行的影響□口□□□□□□(資料性附錄)SIS設(shè)計評估工作表樣表SIS設(shè)計評估的工作表樣表見表B.1。所評估的系統(tǒng)/區(qū)城的說明日期時間傳閱：意見1安全要求規(guī)格書2SIS安全要求評估報告及整改報告3設(shè)計說明書456明材料7設(shè)計過程中做的SIL評估報告8□整項不適用需要修改項目是否必改項1SIS執(zhí)行安全儀表功能外，同時還執(zhí)行非安全中是否充分考慮了正?；蚬收蠣顟B(tài)下對安全儀□□□□表B.1(續(xù))□整項不適用需要修改項目是否必改項待改項2SIS與BPCS間是否存在共用?是否保持了充分的獨立性?若未能保持充分獨立性，SIS的要求進行規(guī)定□□□□3SIS的可操作性是否符合功能安全要求規(guī)□□□□書要求口□□□書要求口□□□□□□□7SIS的設(shè)計是否考慮了人的能力和限制□□□□口□口□□□□□10SIS設(shè)計中各個安全儀表功能回路的傳感器□□□□11SIS設(shè)計中各個安全儀表功能回路的PE邏7.3.8.2)□口□□12SIS設(shè)計中各個安全儀表功能回路的執(zhí)行器是否符合本標(biāo)準表3中的最低故障裕度要求□口口□13對于硬件故障裕度大于0的子系統(tǒng)：13.1當(dāng)檢測到危險故障時(利用診斷測試、檢驗保持某種安全狀態(tài)的一個規(guī)定動作□口□□13.2當(dāng)檢測到危險故障時，是否可在修復(fù)故障的同時繼續(xù)過程的安全運行?如果故障的修復(fù)□□□□14對于低要求運行模式下硬件故障裕度為0表B.1(續(xù))□整項不適用需要修改項目是否必改項14.1當(dāng)檢測到危險故障時(利用診斷測試、檢驗測試或任何其他辦法),是否可導(dǎo)致用以達到或□□□□14,2當(dāng)檢測到危險故障時(利用診斷測試、檢驗□□□□14.3在修復(fù)過程中，是否設(shè)置了附加的措施和□□□□14.4如果設(shè)置了，這些措施和約束提供的風(fēng)險降低，是否等于無任何故障時的儀表安全系統(tǒng)所□□□□14.5在SIS操作和維護程序中是否規(guī)定了這些附加措施和約束□□口□MTTR內(nèi)完成修復(fù)，則應(yīng)執(zhí)行一個規(guī)定動到或保持某個安全狀態(tài)□□□□15對于高要求或連續(xù)運行模式下，硬件故障裕度為0的子系統(tǒng)：當(dāng)檢測到危險故障時(利用診斷測試、檢驗測試或任何其他辦法)是否可導(dǎo)致一個規(guī)定動作，以達到或保持某種安全狀態(tài)□□口□16是否選用了符合相應(yīng)SIL等級要求的部件或子系統(tǒng)?(僅對于SIL1～3而言)□□□□17根據(jù)以往使用原則選擇的部件和子系統(tǒng)，是a)制造商對質(zhì)量、管理和配置管理的考慮；b)標(biāo)準/規(guī)范符合性；c)在類似操作行規(guī)和實際環(huán)境中部件或子系統(tǒng)的性能；□□□□18SIS設(shè)計選用的部件或子系統(tǒng)是否符合SIS安全要求規(guī)格書□□□□19SIS設(shè)計是否允許以點-點或分幾部分對SIS□□□□20是否需要在線測試(見7.3.11)□□□□□□□□表B.1(續(xù))□整項不適用需要修改項目是否必改項20.2在線測試設(shè)施是否可用來測試未檢測到的口□□□□口□警和/或操作規(guī)程對操作員發(fā)出警告□□□□功能，各個SIF的PFD是否小于或等于安全要求□□口□□□□□23SIS設(shè)計當(dāng)前涉及的下列資料和數(shù)據(jù)計算后的SIF硬件失效概率是否符合SRS中的要求a)sIS的結(jié)構(gòu)：b)各部分的表決結(jié)構(gòu)；c)各部件或子系統(tǒng)的失效率數(shù)據(jù)分析；d)檢驗測試時間間隔TI;e)平均恢復(fù)時間MTTR;0共因失效因子β.□口口口狀態(tài)，并可以保持在安全狀態(tài)直到啟動一次復(fù)位為止?是否符合安全要求規(guī)格書的有關(guān)規(guī)定□□□□□□□□源)而不進入安全狀態(tài)的SIS設(shè)備，驅(qū)動源和SIS線路完整性的喪失是否能檢測和報警(如線路終端監(jiān)視、驅(qū)動源供給壓力測量、液壓或氣壓壓力監(jiān)測)并按照GB/T21109.1—2007中1□□□(資料性附錄)表C.1SIS運行前評估工作表樣表所評估的系統(tǒng)/區(qū)域的說明日期時間意見123變更文件(若有)45612變更說明345口整項不適用需要修改項目是否必改項1是否執(zhí)行過一次SIS安全要求評估□□□□口□□口□□□□表C.1(續(xù))□整項不適用需要修改項目是否必改項4是否已解決由先前的功能安全評估提出的口□口□已確認和解決任何差異□□□□□口□□7安全儀表系統(tǒng)確認計劃編制是否合適?確認□□口□8人員培訓(xùn)是否已完成?有關(guān)安全儀表系統(tǒng)的相應(yīng)信息是否已提供給維護和操作人員□□□□□口口□10硬件是否有滿足SRS要求的安全完整性等□□口□11硬件運行條件是否滿足SIS物理運行環(huán)境污染氣體、粉塵)□□□□12是否采取了保護SIS環(huán)境抗電磁干擾的預(yù)防措施?(SIS的內(nèi)在設(shè)計、實際安裝、保護所有的輸入和輸出避免輸入電纜感應(yīng)所產(chǎn)生的電壓峰值的損害、EMC測試規(guī)程)是否將電源和信號電纜分離口□□口13是否定義了關(guān)于設(shè)備之間的通訊協(xié)議□□□□14SIS界面在數(shù)據(jù)顯示、報警等方面是否進行了定義□口□□15SIS界面是否獨立于BPCS界面?如果不獨□□□16是否有關(guān)于材料、工作質(zhì)量、檢驗和測試的□□□□17是否有監(jiān)督以確保安裝期間能夠按照說明口□□口18是否有預(yù)期的安裝條件?當(dāng)安裝環(huán)境不滿□口□□19安裝活動是否與其他工程活動有交叉，如果□□□□□□□□表C.1(續(xù))□整項不適用需要修改項目是否必改項待改項□□□□22安裝和檢驗規(guī)程在細節(jié)上是否足夠清楚，以□□□□□□□□24對于設(shè)計