炼油与化工装置安全仪表系统安全完整性等级（SIL）评估技术规范（征求意见稿）.docx

T/CPIXXXX-2023

1

炼化企业安全仪表系统安全完整性等级（SIL）评估技术规范

1范围

本文件规定了炼化企业安全仪表系统安全完整性等级评估的基本要求、定级方法、验证方法及跟踪管理要求。

本文件适用于炼化企业安全仪表系统安全完整性等级评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20438电气/电子/可编程电子安全相关系统的功能安全

GB/T21109过程工业领域安全仪表系统的功能安全

GB/T32857保护层分析（LOPA）应用指南

AQ/T3033化工建设项目安全设计管理导则

AQ/T3054保护层分析（LOPA）方法应用导则

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

安全仪表系统safetyinstrumentedsystem

用于实现一个或几个安全仪表功能的仪表系统，可以由测量仪表、逻辑控制器和最终执行元件构成。

3.1.2

安全仪表功能safetyinstrumentedfunction

为达到功能安全所必需的具有特定安全完整性等级的安全功能。

3.1.3

安全完整性等级safetyintegritylevel

用于规定分配给安全仪表系统的安全仪表功能的安全完整性要求的离散等级。SIL4是安全完整性的最高等级，SIL1为最低等级。炼化企业使用的最高等级为SIL3。

3.1.4

场景scenario

可能导致不期望后果的一种事件或事件序列。

T/CPIXXXX-2023

2

3.1.5

初始事件initiatingevent

事件/事故场景的初始原因。

3.1.6

后果consequence

某一事件/事故导致的影响。通常包括人员伤亡、财产损失、环境污染、非财务性影响与社会影响。

3.1.7

保护层protectionlayer

能够阻止场景向不期望后果发展的设备、系统或行动。

3.1.8

独立保护层independentprotectionlayer

独立的一种设备、系统或行动，能阻止场景向不期望后果发展。其独立性表示保护层的执行能力不受初始事件或其他保护层失效的影响。

3.1.9

保护层分析layerofprotectionanalysis

对降低事件/事故发生频率或后果严重性的独立保护层的有效性进行评估的一种方法。3.1.10

要求时的失效概率probabilityoffailureondemand

当受保护设备或受保护设备控制系统发生要求时，设备或系统不能响应的概率。3.1.11

要求时的平均失效概率averageprobabilityoffailureondemand

当受保护设备或受保护设备控制系统发生要求时，设备或系统不能响应的平均概率。3.1.12

危险失效平均频率probabilityoffailureperhour

一个E/E/PE安全相关系统在一个给定的时间周期内执行规定安全功能时的危险失效平均频率。

3.1.13

硬件故障裕度hardwarefaulttolerance

一个部件或子系统在有一个或几个硬件危险故障的情况下，仍能继续承担所要求的安全仪表功能的能力。

3.1.14

安全失效分数safetyfailurefraction

安全相关组件的属性，定义为平均安全失效率加上检测出的平均危险失效率，与平均安全失效率加上平均危险失效率之比。

3.1.15

SIF运行模式operatingmodeofSIF

SIF的运行方式分为低要求模式、高要求模式或连续模式。

a)低要求模式：在这种运行模式下，SIF只有在要求时才动作，以将过程导入一个特定的安全状态，并且要求的频率不大于一年一次。

b)高要求模式：在这种运行模式下,SIF只有在要求时才动作，以将过程导入一个特定的

T/CPIXXXX-2023

3

安全状态，并且要求的频率大于一年一次。

c)连续模式：在这种运行模式下，SIF作为正常运行的一部分保持过程处于一种安全状态。

3.1.16

有限可变语言limitedvariabilitylanguage

用于商业或工业可编程电子控制器的编程语言，其能力仅限于在相关安全手册中定义的应用。这种语言的记法可能是文本或图形或二者皆有。

3.1.17

全可变语言fullvariabilitylanguage

计算机编程者易于理