《安全仪表功能(SIF)安全完整性等级(SIL)验证导则》2023年11月27日发布,本文件确立了安全仪表功能(SIF)的安全完整性等级(SIL)验证的原则,提供了验证方法、公式、示例、数据等内容,给出了失效率、结构约束、系统性能力等验证的程序、内容等说明。文件适用于石油化工和化工装置的SIL验证。
SIL验证包括设计阶段的初步SIL验证、采购后的SIL验证、现役装置的SIL验证等。
SIL验证的输入对象(图1中实线箭头)应包括如下,对应的文件见附录B:a)SIL定级:包括每个SIF的说明和SIL要求等;b)可用性要求:包括STR等参数;c)维护情况:包括TI等参数;可靠性参数:包括λ等参数;d)工程设计:包括P&ID、因果表、逻辑图等文件,用于方便理解验证对象。e)工程设计:包括P&.ID、因果表、逻辑图等文件,用于方便理解验证对象。
SIF的SIL验证计算采用的仪表设备可靠性数据宜来自以往使用数据、SIL认证报告、公开发行的工业数据库或手册等。以往使用的术语和定义见GB/T21109.1一2022中的3.2.51。根据“以往使用”选择设备的要求见GB/T21109.1一2022中的11.5.3。
用于逻辑解算器的可编程电子系统应取得功能安全认证。
SIS或安全子系统的TI的确定宜综合考虑SIL验证的符合性和企业检维修与停车的整体规划。SIS或安全子系统的TI宜与企业计划停车检修时间间隔相同。
为满足SIL验证的符合性,SIS或安全子系统的TI与企业计划停车检修时间间隔相同具有困难时,可采用不同的时间间隔。同一SIF的传感器、最终元件和逻辑解算器可采用不同的TI。
当SIF的误动作可能造成的损失大于可容忍程度时,可规定可用性要求,并验证SIF满足可用性要求,如验证SIF的STR满足企业可用性要求。
SIF可用性冗余配置应满足法律、法规、规章、标准规范要求和企业可容忍风险标准的要求。在SIF的误停车不涉及法律、法规、规章、标准规范要求时,企业可决定误停车可容忍要求,并据此确定SIF的可用性配置。
同一个传感器、逻辑解算器、最终元件可用于不同的SIF,共用部分应满足所有相关SIF的安全技术要求,包括SIF要求和SIL要求,并应进行验证。
安全仪表系统应独立于基本过程控制系统,并应独立完成安全仪表功能。SIS可执行非功能安全的仪表功能。SIS应具有优先权,非功能安全的仪表功能的失效或指令不应影响SIS的功能安全,包括不应降低SIF的SIL。
除非SIS紧急停车按钮和相关环节(包括操作人员和获取信息的措施)满足功能安全标准的要求并获得置信,SIS紧急停车按钮不应参与SIL验算,不应降低SIF可达到的危险失效量。
SIL验证计算的输入条件应包括危险失效率(λ)、检验测试间隔(TI)、表决形式(MooN)、诊断覆盖率(DC)、平均恢复时间(MTTR)、共因因子(β)等。
