GB/T 32202-2015 油气管道安全仪表系统的功能安全评估规范

ICS25.040

N10

毒草3

共

和国国家标准

中华人民

GB/T32202-2015

油气管道安全仪表系统的功能安全

评估规范

Functionalsafetyofsafetyinstrumentedsysteminoilandgaspipelines

-Assessmentcode

2016-07-01实施

2015-12-10发布

中华人民共和国国家质量监督检验检菇总局

发布

中国国家标准化管理委员会

GB/T32202--2015

目次

缩规范引言前言

囚

987654321般本略范围mUUMUUMηηnuumuummmm666621111HW

…………估……………刺………制义…耐件…

报复复告评审目安报审估的报全评告评告估一目运报估般的报行评告评告目估设报报估的计评评目告告估安估要的目要全求标·的和语的术求缩U准U语语性机寻用略J.VB文…义

求容据点…审容求容据求"评容求容据…估容求容据…口口一与求……白…符定L-..μ柑k

要内依节…复内要内依要…前内要内依"评内要内依"要

MMMMMUgMMSMMUgSuuuuuSg

川功能汩汩汩汩

MMMMmmm

GB/T32202--2015

9.6报告内容……..……..…....…..….22

9.7执行和追踪..………....……..…..23

附录A(资料性附录)SIS安全要求评估工作表样表…….••••••••••••••••••••••••24

附录B(资料性附录)SIS设计评估工作表样表"..…..…..28

附录C(资料性附录)SIS运行前评估工作表样表…………..……….32

附录D(资料性附录)功能安全复审工作表样表….•••••••••••••••••••••35

参考文献..…..……………..…..……37

图l油气管道安全仪表系统功能安全评估节点图….•

表1缩略语…..

表2PE逻辑控制器的最低硬件故障裕度...•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••14

表3传感器、执行器和非PE逻辑控制器的最低硬件故障裕度………...••••••••••••••••••••••••••••••'..14

表4在低要求模式下，安全仪表功能的目标失效量………...

表5在高要求或连续模式下，安全仪表功能的目标失效量………·

表A.1SIS安全要求评估工作表样表…..…………....…..….•••••••••24

表B.1SIS设计评估工作表样表……..…….••••••28

表C.1SIS运行前评估工作表样表"……·………..•••…..••••••••••••••••••••••••32

表队1功能安全复审工作表样表...•••..….•••••••••

E

GB/T32202--2015

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由中国机械工业联合会提出。

本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。

本标准主要起草单位:机械工业仪器仪表综合技术经济研究所、中国石油天然气股份有限公司管道

分公司、中国石油天然气管道工程有限公司、上海黑马安全自动化系统有限公司、北京市劳动保护科学

研究所、深圳市华测检测技术股份有限公司、杭州和利时自动化有限公司、横河电机(中国)有限公司、

ABB(中国)有限公司、中国石油北京油气调控中心、中国石油化工集团公司安全环保局、中国石油化工

集团公司管道局、中国石油北京天然气管道有限公司。

本标准主要起草人:孟邹清、史学玲、程德发、李秋娟、刘瑶、史戚、安蛊、王怀义、聂中文、顾睁、冯禄、

李官政、朱平、张建国、靳江红、黄劲松、冯晓升、王海青、帅冰、徐皑冬、祁国戚、寇建朝、高安东、李国海、

相桂生、董秀娟、钱大涛、王毅、姚志强、杨全博、马欣欣、季俊、熊文泽、王春喜、王德吉。

E

GB/T32202--2015

引

安全仪表系统在20世纪80~90年代发展起来，以其高可靠性、安全性和灵活性在油气管道领域内

得到了广泛应用，是保障油气管道生产安全的重要措施。安全仪表系统用于执行安全仪表功能，以保证

运行过程在出现危险情况时进入安全状态，避免或减少对人员、环境、设备造成的危害。因此对安全仪

表系统实现的功能安全和安全完整性进行评估十分重要。

目前国际上已发布了相关的功能安全基础标准IEC61508及针对过程工业的功能安全应用标准

IEC61511，我国已将其转化成GB/T20438((电气/电子/可编程电子安全相关系统的功能安全》和

GB/T21109((过程工业领域安全仪表系统的功能安全》。

《油气管道安全仪表系统的功能安全》系列标准是GB/T20438和GB/T21109在油气管道领域的

应用规范。其目的在于规范油气管道领域内安全仪表系统评估、验收等活动的技术要求、管理要求和应

用原则，促进安全仪表系统在油气管道领域内应用和管理的规范化，确保油气管道系统安全可靠运行。

本标准的目的在于指导和规范油气管道领域安全仪表系统的功能安全评估活动。

N

GB/T32202--2015

油气管道安全仪表系统的功能安全

评估规范

范围

本标准规定了油气管道安全仪表系统的功能安全评估人员和组织资质要求、评估活动的管理和职

责、执行功能安全评估活动的周期和阶段、各阶段评估活动的范围、流程、依据以及文档要求。

本标准适用于新建及改扩建的陆上石油天然气长输管道输送、储存系统中安全仪表系统的功能安

全评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

二GB/T20438(所有部分)电气/电子/可编程电子安全相关系统的功能安全

GB/T21109(所有部分)过程工业领域安全仪表系统的功能安全

3缩畸语、术语和定义

3.1缩暗语

下列缩略语适用于本文件(见表1)。

表1缩略i吾

缩略语全称

解释

BPCSbasicprocesscontrolsystem基本过程控制系统

DCdiagnosticcoverage诊断覆盖率

EUCequipmentundercontrol受控设备

E/E/PEelectrical/electronic/programmableelectronic电气/电子/可编程电子

FATfactoryacceptancetesting工厂验收测试

HAZOPhazardandoperabilitystudies危险与可操作性分析

HFThardwarefaulttolerance

硬件故障裕度

如lTTR口leant1metorestoratlOn

平均恢复时间

MOCmanagementofchange变更管理

PEprogrammableelectronic可编程电子

PFDprobabilityofdangerousfailureondemand要求时的失效概率

PFHprobabilityofadangerousfailureperhour每小时危险失效概率

P&.IDpipeandinstrumentdiagram管道及仪表流程图

SATslteacceptancetest现场验收测试

SFFsafefailurefaction安全失效分数

1

GB/T32202--2015

表1(续)

全称

缩略语解释

SIFsafetyinstrumentedfunction安全仪表功能

SILsafetyintegritylevel安全完整性等级

SISsafetyinstrumentedsystem安全仪表系统

SRSsafetyrequirementspecification安全要求规格书

TItestinterval

检验测试时间间隔

3.2术语和定义

下列术语和定义适用于本文件。

3.2.1

危险失效dangerousfailure

对执行安全功能有影响的组件和/或子系统和/或系统的失效，其:

a)在要求时阻止安全功能的执行(要求模式)，或导致安全功能失效(连续模式)以致EUC进入

危险或潜在危险的状态。

b)降低在要求时安全功能正确执行的概率。

[IEC61508-4:2010，定义3.6.7J

3.2.2

安全失效safefailure

对于执行安全功能有影响的组件和/或子系统和/或系统的失效，其z

a)导致安全功能的误动作从而使EUC(或其一部分)进入或保持安全状态;或

b)增加安全功能的误动作从而使EUC(或其一部分)进人或保持安全状态的概率。

[IEC61508-4:2010，定义3.6.8J

3.2.3

诊断覆盖率diagnosticcoverage;DC

通过自动在线诊断测试检测到的危险失效分数。危险失效分数是由检测到的危险失效率除以总危

险失效率计算出的。

注1，危险失效诊断覆盖率按下式计算2

DC=2ÀDD!.~À阳ota1

式中:

DC一一诊断覆盖率;

ÀDD→一-检测到的危险失效率z

ÀDto时总的危险失效率。

注2，该定义仅在单个元件失效率为常数时适用。

[IEC61508-4:2010，定义3.8.6J

3.2.4

故障榕度faulttolerance

在出现故障或误差的情况下，功能单元继续执行要求功能的能力。

[GB/T21109.1--2007，定义3.2.23J

3.2.5

硬件故障格度hardwarefaulttolerance

一个部件或子系统在有一个或几个硬件危险故障的情况下，仍能继续承担所要求的安全仪表功能

2

GB/T32202--2015

的能力。

注:如硬件故障裕度为1，意味着有两台设备，且其结构会使得两个部件或子系统的任何一个的危险失效都不能阻

止安全动作发生。

3.2.6

功能安全functionalsafety

与过程和BPCS有关的整体安全的组成部分，它取决于SIS和其他保护层的正确功能执行。

[GB/T21109.1-2007，定义3.2.25J

3.2.7

功能安全评估functionalsafetyassessment

基于证据的调查，以判定由一个或多个保护层所实现的功能安全。

[GB/T21109.1-2007，定义3.2.26J

3.2.8

硬件安全完整性hardwaresafetyintegrity

安全相关系统安全完整性中，与危险失效模式下的随机硬件失效有关的部分。

注z本术语涉及在危险模式下的失效，即，将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个

参数是危险失效平均频率和在要求时动作失效的概率。当为保持安全而必须保持连续控制时，使用前一可靠

性参数，在安全相关保护系统场合中使用后一可靠性参数。

[IEC61508-4:2010，定义3.5.7J

3.2.9

检验测试prooftest

周期性测试，用以检测安全相关系统中危险的隐性失效，在必要时通过维修，把系统复原到"新的"

状态或实际上接近这种状态。

注1:在本标准中使用"检验测试"，但要注意到同义的术语"周期性测试"。

注2:检验测试的有效性取决于失效覆盖和维修的有效性。在实践中除了低复杂E/E/PE安全相关系统外，100%

的隐性失效的检测很难达到。这应该是目标。至少，所有要执行的安全功能应按E/E/PE安全相关系统安全

要求规格书进行检查。如果使用分离通道，则对每个通道分别进行检验测试。对于复杂的组件，进行分析，以

证明在E/E/PE安全相关系统整体生命周期期间，未被检验测试检测出的隐性危险失效概率可忽略不计。

注3:检验测试需要一定时间完成。在此时间内E/E/PE安全相关系统可能被部分或全部限制。在测试过程中，仅

当EUC已停机或E/E/PE安全相关系统仍能保持在要求时的动作能力，检验测试持续时间可忽略不计。

注4:在检验测试期间，E/E/PE安全相关系统可能部分或全部不能响应动作要求。仅在维修时EUC己停机或使

用其他等效的风险措施来代替时，MTTR对于SIL的计算可以忽略。

[IEC61508-4:2010，定义3.8.5J

3.2.10

保护层protectionlayer

借助控制、预防或减轻以降低风险的任何独立机制。

注:它可能是装危险化学物品的压力容器的容量这样的一个过程工程机制，也可能是一个安全阀这样的机械工程

机制，或者一个安全仪表系统，或者是应对紧急危险的一个应急计划这样的管理规程。可以自动启动或手动启

动这些响应机制。

[GB/T21109.1-2007，定义3.2.59J

3.2.11

以往使用prioruse

部件和子系统之前在类似应用和实际环境中的使用(见GB/T21109.1-2007的11.5中的"以往使

用勺。

3

GB/T32202--2015

3.2.12

经使用验证的proven-in-use

评估文档记录有适当证据表明:基于部件以往使用的情况，该部件适用于安全仪表系统时(见

GB/T21109.1-2007的11.5中的"以往使用勺。

3.2.13

随机硬件失效randomhardwarefailure

在硬件中，由一种或几种可能的退化机理而产生的，在随机时间出现的失效。

注1:在各种元件中，存在以不同速率发生的许多退化机理，在这些元件工作不同的时间之后，这些机理可使制造公

差引起元件发生故障，从而使包含许多元件的设备将以可预见的速率，但在不可预见的时间(即随机时间)发

生失效。

注2:随机硬件失效和系统性失效(见IEC61508-4:2010的3.6.们的主要区别是由随机硬件失效导致的系统失效率

(或其他合适的度量)可以用合理的精度来量化，但系统性失效无法精确预计，因此系统性失效引起的系统失

效率则不能精确地用统计法量化。也就是说，由随机硬件失效引起的系统失效率可以用合理的精度来量化，

但是由系统性失效引起的系统失效率不能精确地用统计法量化，因为导致系统性失效的这些事件元法简单

预测。

[IEC61508-4:2010，定义3.6.5J

3.2.14

冗余redundancy

对于执行一个要求的功能或对于表示信息而言，存在多于一种的方法。

[基于IEC62059-11J

示ØlJ:功能元件加倍和增加奇偶校验位都是冗余的例子。

注1:冗余主要用于提高可靠性(在给定时间范围内功能正确的概率)或可用性(在特定时间点具有功能的概率)。

也可通过像2003这样的架构来使误动作最小化。

注2:此定义在IEV191-15【01中不完整。

注3:冗余可能是"活动的(hotoractive)气所有冗余项同时运行)、"待机的(coldorstand-by)"(在同一时间只有一

个冗余项运行〉、"混合的Cmixed)"(在同一时间一个或几个项运行和一个或几个项待机)。

[IEC61508-4:2010，定义3.4.6J

3.2.15

凤险risk

出现伤害的概率及该伤害严重性的组合。

[GB/T21109.1→2007，定义3.2.64J

3.2.16

安全失效分数safefailurefraction1SFF

导致安全失效或者可检测出的危险失效的装置总硬件随机失效率分数。

2

、h

+-hD-z

s-2

D-4

QU

FF

一一"、A三τ+一十一

、….(1)

A

DU

式中:

λs一一安全失效率;

λDD一一可以被诊断测试检测到的危险失效率;

).DU一一不能被诊断测试检测到的危险失效率。

3.2.17

安全状态safestate

达到安全时的过程状态。

[GB/T21109.1-2007，定义3.2.66J

4

GB/T32202--2015

3.2.18

安全功能safetyfunction

针对特定的危险事件，为达到或保持过程的安全状态，由SIS、其他技术安全相关系统或外部风险

降低设施实现的功能。

[GB/T21109.1-2007，定义3.2.68J

3.2.19

安全仪表功能safetyinstrumentedfunction;SIF

具有某个特定SIL的，用以达到功能安全的安全功能，它既可以是一个安全仪表保护功能，也可以

是一个安全仪表控制功能。

注z该术语与GB/T21109-2007不同，以体现行业应用习惯。

3.2.20

安全仪表系统safetyinstrumentedsystem;SIS

用来实现一个或几个安全仪表功能的仪表系统。SIS可以由传感器、逻辑控制器和执行器的任何

组合组成。

[GB/T21109.1-2007，定义3.2.72J

3.2.21

子系统subsystem

安全相关系统顶层架构设计的实体，子系统的危险失效导致安全功能的危险失效。此处的危险失

效见3.2.1a)。

3.2.22

系统system

根据设计相互联系的一组元素;系统的一个元素可以是称为子系统的另一系统，该子系统可以是一

个主控系统，也可以是一个受控系统，它可能包含硬件、软件和人的交互作用。

注1:人可以是系统的一部分。

注2:系统包括传感器、逻辑控制器、最终元件、通信和附属于SIS的辅助设备(如z电缆、管道系统和电源)。

[GB/T21109.1-2007，定义3.2.84J

3.2.23

低要求模式lowdemandmode

仅当要求时才执行将EUC导人规定安全状态的安全功能，并且要求的频率不大于每年一次。

注:E/E/PE安全相关系统只在要求时才对EUC或EUC控制系统产生影响。如果E/E/PE安全相关系统不能执

行安全功能，则可能使EUC进入安全状态。

3.2.24

高要求模式highdemandmode

将EUC导入规定安全状态的安全功能仅当要求时才执行，并且要求的频率大于每年一次。

3.2.25

连罐模式continuousmode

安全功能将EUC保持在安全状态是正常运行的一部分。

3.2.26

安全完整性safetyintegrity

安全仪表系统在规定时段内、在所有规定条件下满足执行要求的安全仪表功能的平均概率。

[GB/T21109.1-2007，定义3.2.73J

3.2.27

安全完整性等级safetyintegritylevel;SIL

用来规定分配给安全仪表系统的安全仪表功能的安全完整性要求的离散等级(4个等级中的一

5

GBjT32202--2015

个)，SIL4是安全完整性的最高等级，SIL1为最低等级。

[GB/T21109.1-2007，定义3.2.74J

3.2.28

安全生命周期safetyIifecycle

从项目概念阶段开始到所有的安全仪表功能不再适用时为止所发生的、包含在安全仪表功能实现

中的必要活动。

[GB/T21109.1-2007，定义3.2.76J

3.2.29

安全要求规格书safetyrequirementsspecification

包含安全仪表系统应执行的安全仪表功能的所有要求的规格书。

注2该术语与GB/T21109.1-2007不同，以体现行业应用习惯。

4与本标准的符合性

为了声明符合本标准各评估节点要求，应满足第5章~第9章中列出的相应要求，从而达到了各章

的目的。

5一般要求

5.1目的

确定开展功能安全评估的阶段以及一般要求。

5.2要求

5.2.1开展功能安全评估的阶段

5.2.1.1功能安全评估应贯穿于整个安全生命周期。根据GB/T21109，以及油气管道安全仪表系统安

全生命周期活动(见图口，应在以下节点执行功能安全评估活动z

一一节点1:SIS安全要求评估。应在已执行危险和风险评估、己确定要求的保护层和已制定安全

要求规格书之后，即油气管道安全仪表系统安全生命周期活动1~4完成之后进行，见第6章;

一一节点2:S1S设计评估。应在安全仪表系统设计完成之后，即油气管道安全仪表系统安全生命

周期活动5完成之后进行，见第7章;

节点3:S1S投产前评估。应在完成安全仪表系统集成、现场施工、人员培训、工厂验收测试

(FAT)、安装、调试、现场验收测试(SAT)，以及制定好操作和维护规程之后，即油气管道安全

仪表系统安全生命周期活动6~11完成之后进行，见第8章P

节点4:功能安全复审。应在取得操作和维护经验之后，或者在对安全仪表系统进行修改之后

和退役之前，即油气管道安全仪表系统安全生命周期活动14~15完成之后或活动17之前进

行，见第9章。

6

GB/T32202--2015

项目

评估验收生命周期

生命周期活动

阶段

活动活动活动输出

1概念设计文件

估评求要全安2初步设计文件

3危险分析与风险评估

报告

段阶计设查审计设m4安全要求规格书

5.1SIS功能设计规

格书

5.2检测元件技术规

格书

厂一一一一「「一一一一「

|功能设计执行元件选型|5.3执行元件技术规

m

(FDS)|及配置|

格书

估评计设

L一一一一」」一一一一」

5详细设计

一一「一一其他一一一一「

「一一一一「

1

L|||检测元件选型|

及配置|

」

L一一一一」

6现场施工记录及测试

收验厂工

报告

段阶工施m

7系统集成文件

估评前产投8.1人员培训记录

8.2操作和维护手册

9工厂验收测试文件

圄1

油气管道安全仪表系统功能安全评估节点圈

7