GB/T 21109.3-2007
基本信息
标准号: GB/T 21109.3-2007
中文名称:过程工业领域安全仪表系统的功能安全 第3部分:确定要求的安全完整性等级的指南
标准类别:国家标准(GB)
标准状态:现行
发布日期:2007-12-18
实施日期:2007-12-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:7093300
相关标签: 过程 工业 领域 安全 仪表 系统 功能 完整性 等级 指南
标准分类号
标准ICS号:机械制造>>25.040工业自动化系统
中标分类号:仪器、仪表>>工业自动化仪表与控制装置>>N10工业自动化与控制装置综合
关联标准
采标情况:IDT IEC 61511-3:2003
出版信息
出版社:机械工业出版社
页数:41页
标准价格:30.0 元
计划单号:20051585-T-604
出版日期:2007-11-01
相关单位信息
首发日期:2007-10-11
起草人:王春喜、梅格、包伟华、刘丹、陈小枫等
起草单位:机械工业仪器仪表综合技术经济研究所、上海自动化仪表股份有限公司技术中心等
归口单位:全国工业过程测量和控制标准化技术委员会
提出单位:中国机械工业联合会
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:中国机械工业联合会
标准简介
GB/T 21109的本部分规定了风险的基础概念、风险与安全完整性的关系、允许风险的确定、确定仪表安全功能的安全完整性等级的各种不同方法等内容。 GB/T 21109.3-2007 过程工业领域安全仪表系统的功能安全 第3部分:确定要求的安全完整性等级的指南 GB/T21109.3-2007 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS25.040
TTTKAONrKACa
qE-ei-ac-eC-a-Ceraac-CEC-Nca-ITTKANrKAcaG
中华人民共和国国家标准
GB/T21109.3—2007/IEC61511-3:2003过程工业领域安全仪表系统的功能安全第3部分:确定要求的安全完整性等级的指南
Functional safety-Safety instrumented systems for the process industry sector-Part 3:Guidance for the determination of the required safety integrity levels(IEC61511-32003,IDT)
2007-10-11发布
中华人民共和国国家质量监督检验检疫总局伪
中国国家标准化管理委员会
2007-12-01实施
术语、定义和缩略语
风险和安全完整性
必要的风险降低
安全仪表系统的作用
安全完整性
风险和安全完整性
安全要求的分配
安全完整性等级
-般指南
3.8选择确定要求的安全完整性等级的方法附录A(资料性附录)ALARP和允许风险的概念附录B(资料性附录)
附录C(资料性附录)
附录D资料性附录)
附录E(资料性附录)
附录F(资料性附录)
半定量方法
安全层矩阵法
确定要求的安全完整性等级
确定要求的安全完整性等级
保护层分析(LOPA)
图1GB/T21109的整体框架
HTTKAONhIKAca
GB/T92116993-2067711695T15200315
半定性方法:校正的风险图
定性方法:风险图
图2过程工厂中常见的典型风险降低方法(例如保护层模型)风险降低:一般概念
风险和安全完整性的概念
图5安全仪表系统、非安全仪表系统预防/减轻保护层和其他保护层安全要求的分配图A1
允许风险和ALARP
具有现有安全系统的压力容器
容器超压的故障树
具有现有安全系统时的危险事件其有元余保护层的危险事件
具有SIL2的SIS安全功能的危险事件保护层
安全层矩阵示例
风险图.通用型式.
风险图:环境破坏
DINV19250风险图
人员保护(见表E.1)
GB/T21109.DINV19250和VDI/VDE2180之间的关系保护层分析(LOPA)报告
GB/T21109.3-—2007/IEC61511-3:2003表A.1
事故风险等级的示例
风险等级的解释
HAZOP研究结果
危险事件可能性的频率(不考虑PL)评定危险事件影响严重性等级的准则过程工业风险图参数的描述
通用风险图校正示例
一般环境后果
与风险图有关的数据(见图E.1)从HAZOP导出的用于LOPA的数据
影响事件严重性等级
引发可能性
保护层(预防和减轻)典型的PFDHTTKAoNTKAca=
qCE-ei-ac-ec-ae-Caiaag-CEc-Nega-iikAoNKAca8
GB/T2110982981E1511:2803
GB/T21109《过程工业领域安全仪表系统的功能安全》分为一个部分:一第1部分:框架、定义、系统、硬件和软件要求:-第2部分:GB/T21109.1的应用指南;一第3部分:确定要求的安全完整性等级的指南本部分为GB/T21109的第3部分,等同采用IEC61511-3:2003《过程工业领域安全仪表系统的功能安全第3部分:确定要求的安全完整性等级的指南》(英文版)。为便于使用,对1EC61511-3:2003做了下列缩辑性修改:
删除国际标准的前言,按GB/T1.1一2000重新编写了本部分的前言:一凡是出现“IEC61511”之处均改为GB/T21109”,“IEC61511-1”均改为“GB/T21109.1”,“IEC61511-2”均改为\GB/T21109.2”,“IEC61511-3”均改为GB/T21109.3”一凡是出现“本国际标准”之处均改为“GB/T21109”;用小数点“,”代替作小数点的逗号“,”;根据GB/T1.1一2000进行编辑性修改本部分的附录A、附录B、附录C、附录D、附录E、附录F为资料性附录。本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会归口。本部分主要起草单位:机械工业仪器仪表综合技术经济研究所、上海自动化仪表股份有限公司技术中心、北京华控技术有限责任公司、中科院沈阳自动化研究所、浙江中控技术有限公司、上海工业自动化仪表研究所、国营759厂。
本部分主要起草人:王春喜、梅恪、包伟华、士麟琨、刘丹、陈小枫、魏剑鬼、史学玲、谭平、李佳嘉、欧阳劲松、蔡廷安、马光武。
本部分为首次制定。
GB/T21109.3—2007/IEC61511-3:2003引言
TTKAONKAa
qE-ei-acec-de-Craac-cEcNcanrkANrKca在过程工业(processindustrysector)中,用来执行仪表安全功能的安全仪表系统已使用了多年。如要使仪表能有效地用于仪表安全功能,最重要的是该仪表应达到某些最低标准和性能水平GB/T21109阐述了过程工业安全仪表系统的应用。GB/T21109还要求执行一次过程危险和风险评估使之能导出安全仪表系统的规范。当考虑安全仪表系统的性能要求时,才考患其他安全系统,从而把其他安全系统的贡献计算在内。安全仪表系统包括从传感器到最终元件之内的所有部件和子系统,它们都是执行仪表安全功能所必要的。GB/T21109包含了价为用基础的两个概念:安全生命周期和安全完整性等级。电气(E)/电子(E)/可编程电子(PE)技术实全仪装系统。在逻辑解算GB/T21109针对基手
器使用其他技术的情况下,官使用GB/T21109的基本原则。GB/T21109述论述大安全仪表系统的传感器和最终元件而不们所使用的技术。GB/T21109在GB/T20438-2006的框架范围内专用于过程工业(见GB/T1-2007附录A)GB/T21109提出了达到这些最低标准的安全生命周期活动的方案。为了使用一个合理和一致的技术策略,此方案日保纳。
在大多数情况有inherently)安全过程设计就能很好地达到安全性。必要时还可结合一个或一些保护系统,以使处理任何已发现的残条风险。保护系统可依靠不同的技术(化学的、机械的、液压的、气动的、电气的(的、可编程电子的),任何安全策略都需要将每个单独的安全仅表系统放在其他保护系统环境下进行考虑。为促成该方案,GB/T21109要求:一执行一次危险和风险评估以便确定整体安全要求;给安全仪表分配安全要求,
一应在一个适用于所有用仪表实现功能安全的方法的框架内进行工作;一详述了适用
现功能安全的所有方法的某些活动(如安全管理)的便用。关于过程工业的安全校表系统的GB/T21109涉及从初始概念设认实现、运行和维护直到停用的所有安全生命周期价段;一能使现有的或新品国家用的过程工业标准同本标准协调一致。GB/T21109致力于在过程工领域内导致高度一致(如基本原则、术谨、信息等)。这将带来安全和经济两方面的好处。
在权限方面,在管理当局(如国家的,省的、自治区的等)已建立过程安全设计、过程安全管理或其他要求的情况下,这些要求应比本标准中定义的要求优先考虑。本部分涉及到了危险和风险分析(H&RA)中确定要求的SIL范围的指南。这当中的信息用来提供一个用于实现IH&RA的各种各样的全局方法的广泛概览。但提供的信息并末详细到足以实现这些方案中的任何一种。
在继续之前应回顾一下GB/T21109.1中提供的安全完整性等级(SIL)的概念和确定方法。本部分的附录描述了以下内容:
附录A提供允许风险和ALARP的概念的概述。附录B提供一种用来确定要求的SIL的半定量方法的概述。附录C提供一种用来确定要求的SIL的安全矩阵方法的概述。附录D提供一种使用半定性风险图方法来确定要求的SIL的方法的概述。附录E提供一种使用定性风险图方法来确定要求的SIL的方法的概述。IN
YI KNKAa=
qtE-ei-aC-eC-ae-Ceraae-CEC-NEga-YYKbNIKaaGB/T21109.3—2007/IEC61511-3:2003附录F提供一种使用保护层分析(LOPA方法来选择要求的SIL的方法的概述。GB/T21109的整体框架见图1
支持部分
技术要求
第1部分
拟制整体安全要求(稳念、
范围定义、危险和风险评估)
第8章
第1部分
给仪表安全功能分配安全要求
和拟制安全要求规范
第9章和第10章
第1部分
安全仪表系统
设计阶段
第11章
第1部分
安全仪表系统软
件设计阶段
第12章
安全仪表系统的工厂验收测试、安装、调试运行和安全确认
第13章第15竞
第1部分
安全仪表系统的运行和维护、修改和改型、停用或处理
第16章~第18章
GB/T21109的整体框架
规范性引用文件
第2章
第1部分
定义和缩略语
第3章
第1部分
符合性
第4章
第1部分
功能安全管理
第5章
第1部分
安全生命周期要求
第6章
第1部分
第7章
第1部分
信息要求
第19章
第1部分
附录“A”
第1部分
应用第1部分
的指南
第2部分
确定要求的安全完整性
水平的指南
第3部分
YI KNn KAa=
quE-ei-aC-eC-ae-CoYaac-CEc-Nega-YYKoKApaGB/T21109.3—2007/1EC61511-3.2003附录F提供一种使用保护层分析(LOPA)方法米选择要求的SIL的方法的概述,GB/T21109的整体框架见图1。
支持部分
技术要求
第1部分此内容来自标准下载网
拟制整体安全要求(概会、
范围定义,危险和风险评估)
第8章
第1部分
给仪表安全功能分配安全要求
和拟制安全要求规范
第9章和第10章
第1部分
安全仪表系统
设计阶段
第11章
第1部分
安全仪表系统软
件设计阶段
第12章
安全仪表系统的工厂验收测试
安装、调试运行和安全确认
第13章~第15章
第1部分
安全仪表系统的运行和维护、修改和改型、停用或处理
第16章~第18章
GB/T21109的整体框架
规范性引用文件
第2章
第1部分
定义和缩略语
第3章
第1部分
符合性
第4章
第1部分
功能安全管理
第5章
第1部分
安全生命用期要求
第6章
第1部分
第7章
第1部分
信息要求
第19章
第1部分
附录“A”
第1部分
应用第1部分
的指南
第2部分
确定要未的安全完整性
水平的指南
第3部分
1范围
GB/T21109.3—20@6EG-61511-3:2003q-ci-a-eQ-ae-CraacCEc-Neca-YrKANrKAa过程工业领域安全仪表系统的功能安全第3部分:确定要求的安全完整性等级的指南
本部分提供了与以下有关的信息:一风险的基础概念、风险与安全完整性的关系,见第3章;一充许风险的确定,见附录A;
一确定仪表安全功能的安全完整性等级的各种不同方法,见附录B、附录C、附录D、附录E和附录F
特别是:
a)为了保护人员、公共设施或环境,使用一个或多个仪表安全功能来达到功能安全时可使用本部分;
b)在比如资产保护这类非安全应用中也可使用本部分;C)本部分说明了定义安全功能要求和每个仪表安全功能的安全完整性等级需要执行的典型危险和风险评估的方法;
d)本部分说明了可用来确定要求的安全完整性等级的技术/措施:)本部分为确立安全完整性等级提供了一个框架,但并不规定特殊成用要求的安全完整性等级本部分不给出确定其他风险降低方法的要求的例子。附录B、附录C、附录D、附录E和附录F说明了各种定量和定性方法,并且为了说明基础原理已对这此方法作了简化。本部分包含了这些附录以便说明这些方法的一般原理但并不提供一个权威的计算。
注:如打算使用这些附录中指出的距方法,应查阅每个附录中引用的原始资料。图1表示GB/T21109的整体框架,并指出本部分在实现安全仪表系统的功能安全中所起的作用。图2给出了风险降低方法的总览。GB/T21109.32007/IEC61511-3:2003社会应急响应
紧急广播
工厂应急响应
撤离规程
机械减轻系统
仪表安全控制系统
仪表安全减轻系统
操作员监督
机械保护系统
操作员校正动作时的过程报警
仪表安全控制系统
仪表安全预防系统
控制系统和监视
基本过程控制系统
监视系统(过程报警)
操作员监督
TTKANKAca=
qUE-ei-ac-eC-ae=Ceraag-CEC-Neca-iiiKAoNiKAca图2过程工厂中常见的典型风险降低方法(例如保护层模型)2术语、定义和缩略语
本部分使用的术语、定义和缩略语见GB/T21109.1一2007的第3章。3风险和安全完整性
3.1概述
般指南
本章提供了有关风险和风险与安全完整性关系的基础概念的信息。此信息可为本部分中所示的多种危险和风险分析(H&RA)方法所共用3.2必要的风险降低
必要的风险降低(既可以定性地,也可以定量地被说明)是为满足特定情况的允许风险(过程安全目标水平)而一定要达到的风险的降低,在编写仪表安全功能(SIF)的安全要求规范(尤其是安全要求规范的安全完整性要求)时,必要的风险降低的概念十分重要。确定一个特定危险事件的允许风险(过程安全目标水平)的目的是要说明对于危险事件的频率和它的特定后果,哪些风险被认为是合理的保护层(见图3)被设计用来降低危险事件的频率和/或危险事件的后果。评估允许风险的重要因素包括对暴露在危险事件中的风险的理解和看法。在获得某个特定应用的允许风险的构成时可考虑许多输人,它们包括:相关管理当局提供的指南:
应用相关各方的讨论和协定;
工业标准和指南;
1)在确定必要的风险降低时,应确定必要的允许风险。GB/T20438.5一2005的附录D和附录E描述了一些定性方法,不过在必要的风险降低的示例中只是隐含了那些方法,而并未明显地作述。2)
例如,导致某个特定后果的危险事件典型地可表示为每年的最大发生频率。2
一工业、专家和科学建议:
TiKANKAca
q-ci-ac-eCHae-Ceraag-Cc-Neca-irKANKAcaGB/T21109.32007/IEC61511-3:2003一法津和法规要求:一般的和直接与特定应用有关的要求。3.3安全仪表系统的作用
安全仪表系统实现仪表安全功能,以达到或保持过程安全状态,即它将对必要的风险降低发挥作用来满足允许风险。例如,安全功能要求规范可说明当温度达到X值时,阀Y开启使水流入容器。一个安全仪表系统(SIS)或多个SIS的组合或者其他保护层都可实现必要的风险降低。人员也可以是一个安全功能的组成部分。例如,人员可接收过程状态信息,并根据该信息执行一个安全动作。当人员是一个安全功能的组成部分时,应考患所有的人为因素。仪表安全功能可在要求操作模式下或者在连续操作模式下运行。3.4安全完整性
安全完整性被认为由以下两个部分组成&)硬件安全完整性,即在危险失效模式下与硬件随机失效有关的安全完整性部分。估算规定的硬件安全完整性等级的实现所达到的一个合理的准确度水平,因此,使用已建立的用于概率组合和考虑共同原因失效的规则,可在了系统当中分配安全要求。也许需要使用余结构来达到要求的硬件安全完整性。
b)系统安全完整性,即在危险失效模式下与系统失效有关的安全完整性部分。虽然也许能估算某些系统失效产生的影响,但从设计缺陷和共同原因失效得到的失效数据意味着这些失效的分布难以预测。在某种特定情况,这增加了失效概率(如一个SIS的失效概率)计算的不确定性。因此,为了减小不确定性,必须对最佳技术的选择做出判断。注意,为降低硬件随机失效概率所采取的措施不一定能降低系统失效概率。比如同型硬件的允余信道这样的技术对控制硬件随机失效十分有效,但很少用来减少系统失效。仪表安全功能和其他任何保护层所提供的总风险降低必须保证:安全功能的失效频率足够低,使之能防止危险事件频率超过满足允许风险所要求的值,和/或一安全功能把失效的后果减轻到满足允许风险所要求的程度。图3说明了风险降低的一般概念。通用模型假设:一一有一个过程及其相关的一个基本过程控制系统(BPCS);一存在相关的人为因素;
安全保护层特征包括:
1)机械保护系统:
2)安全仪表系统;
3)机械减轻系统。
注:图3表示用来说明一般原理的广义风险模型。应考虑安全仪表系统和/或其他保护层实际上实现必要的风险降低所使用的特定方式,来开发特定的应用风险模型,因此得出的风险模型可能与图3所示不同,图3和图4中所示的各种风险如下过程风险:由于过程、基本过程控制系统和相关的人员因素问题而存在的特定的危险事件的风险。在确定此风险时未考虑指定的安全保护特征。充许风险(过程安全自标水平):根据当今社会的水准,在给定的环境内能够接受的风险:残余风险:在本部分的上下文中,残余风险是在增加保护层之后发生危险事件的风险。过程风险是与过程本身相关的风险函数,但它考虑了过程控制系统带来的风险降低。为了防止对基本过程控制系统的安全完整性的不合理声明,本部分对可做出的此类声明作了一些限制。必要的风险降低只是为满足允许风险必须要达到的最低风险降低水平。可以用一种或多种风险降低技术的组合来实现它。图3表示从一个过程风险的起点达到规定的充许风险所必要的风险降低。3
GB/T21109.3—2007/1EC61511-3.2003残余风险
充许风险
其他非SIS预防/减
轻保护层爱盖的部
分风险
必要的风险降低
实际的风险降低
SIS覆盖的部分风险
所有的保护层能达到的风险降低-TTT KANr KAca-
qtEei-ac-ec-aeCeraac-CEoNecatrrKANrKa过程风险
风险增加
其他保护层爱盖的
部分风险
图3风险降低:一般概念
3.5风险和安全完整性
充分理解风险和安全完整性之间的差别是重要的。风险是某个规定的危险事件发生的频率及其后果的一个度量。可对各种情况的风险(过程风险、允许风险、残余风险,见图3)进行评估。允许风险涉及到社会和政治因素的考。安全完整性是SIF和其他保护层达到规定安全功能的可能性的一个度量。一日设定了允许风险并估算了必要的风险降低,就能分配SIS的安全完整性要求。注:为了优化设计以便满足各种要求,可能需要反复进行分配,图3和图4说明了安全功能在达到必要的风险降低中所起的作用。危险事件
过程风险
危险事件
过程和基本过程控制系统
3.6安全要求的分配
非SIS预防/
减轻保护层
必要的风险降低
与必要的风险降低相适应的非
SIS预防/减轻保护层、其他
保护层和SIS的安全完整性
图4风险和安全完整性的概念
其他保护层
充许风险
图5表示了安全仪表系统和其他保护层安全要求(安全功能和安全完整性要求)的分配。GB/T21109.1—2007第9章给出了对安全要求分配阶段的要求。给安全仪表系统、其他技术安全相关系统和外部风险降低设施分配安全完整性要求所使用的方法主要取决于必要的风险降低是以一种数值方式还是以一种定性方式被清晰地规定。这些方式分别称为半定量、半定性或定性方法(见附录B、附录C、附录D、附录E和附录F)。3.7安全完整性等级
本部分规定了4种安全完整性等级,安全完整性等级4是最高等级,安全完整性等级1是最低4
等级。
HTIKAONTKAca
qE-ei-aC-eC-ae-Criaag-CEC-Nega-rrKAoNrKApaGB/T21109.3-—2007/1EC61511-3:2003GB/T21109.1一2007的表3和表4规定了4种安全完整性等级的安全完整性等级目标失效量规定了两个参数,一个用于工作在要求操作模式下的SIS,另一个用于工作在连续操作模式下的SIS。注:对于在要求操作模式下工作的SIS来说,关心的安全完整性度量是在要求时执行SIS设计的功能的平均失效概率。而对在连续操作模式下工作的SIS来说,关心的安全完整性度量是每小时的危险失效频率,见GB/T21109.1—2007的3.2.43
规定安全要求
的方法
相关的国家标
准和国际标准
a)对所有SIF
的必要风险
b)对特定Sr
的必要风险
安全完整性
非SiS预防/减
轻保护层
每个安全功能及其相关的
安全完整性要求的分配
其他保护层
对SIS的设计要求,见GB/T21109.1注:在分配之前,安全完整性要求与各个安全功能相关联(见GB/T21109,1一2007第9章)图5安全仪表系统、非安全仪表系统预防/减轻保护层和其他保护层安全要求的分配3.8
选择确定要求的安全完整性等级的方法建立一个特殊应用所要求的安全完整性等级的方法有很多。附录B附录F提供了许多有关所使用方法的信息。为特殊应用所选择的方法取决于许多因索,其中包括:应用的复杂程度;
一来白管理当局的指南:
一风险特性和要求的风险降低;可承担工作人员的经验和技能。一关于风险的参数的可用信息。在一些应用中,可以使用不只一种方法。首先,使用定性方法确定所有SIF要求的SIL。然后对于那些用该方法分配了SIL3或SIL4的SIF,应考虑再使用定量方法进一步细化,以便更精确地理解所要求的安全完整性。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
TTTKAONrKACa
qE-ei-ac-eC-a-Ceraac-CEC-Nca-ITTKANrKAcaG
中华人民共和国国家标准
GB/T21109.3—2007/IEC61511-3:2003过程工业领域安全仪表系统的功能安全第3部分:确定要求的安全完整性等级的指南
Functional safety-Safety instrumented systems for the process industry sector-Part 3:Guidance for the determination of the required safety integrity levels(IEC61511-32003,IDT)
2007-10-11发布
中华人民共和国国家质量监督检验检疫总局伪
中国国家标准化管理委员会
2007-12-01实施
术语、定义和缩略语
风险和安全完整性
必要的风险降低
安全仪表系统的作用
安全完整性
风险和安全完整性
安全要求的分配
安全完整性等级
-般指南
3.8选择确定要求的安全完整性等级的方法附录A(资料性附录)ALARP和允许风险的概念附录B(资料性附录)
附录C(资料性附录)
附录D资料性附录)
附录E(资料性附录)
附录F(资料性附录)
半定量方法
安全层矩阵法
确定要求的安全完整性等级
确定要求的安全完整性等级
保护层分析(LOPA)
图1GB/T21109的整体框架
HTTKAONhIKAca
GB/T92116993-2067711695T15200315
半定性方法:校正的风险图
定性方法:风险图
图2过程工厂中常见的典型风险降低方法(例如保护层模型)风险降低:一般概念
风险和安全完整性的概念
图5安全仪表系统、非安全仪表系统预防/减轻保护层和其他保护层安全要求的分配图A1
允许风险和ALARP
具有现有安全系统的压力容器
容器超压的故障树
具有现有安全系统时的危险事件其有元余保护层的危险事件
具有SIL2的SIS安全功能的危险事件保护层
安全层矩阵示例
风险图.通用型式.
风险图:环境破坏
DINV19250风险图
人员保护(见表E.1)
GB/T21109.DINV19250和VDI/VDE2180之间的关系保护层分析(LOPA)报告
GB/T21109.3-—2007/IEC61511-3:2003表A.1
事故风险等级的示例
风险等级的解释
HAZOP研究结果
危险事件可能性的频率(不考虑PL)评定危险事件影响严重性等级的准则过程工业风险图参数的描述
通用风险图校正示例
一般环境后果
与风险图有关的数据(见图E.1)从HAZOP导出的用于LOPA的数据
影响事件严重性等级
引发可能性
保护层(预防和减轻)典型的PFDHTTKAoNTKAca=
qCE-ei-ac-ec-ae-Caiaag-CEc-Nega-iikAoNKAca8
GB/T2110982981E1511:2803
GB/T21109《过程工业领域安全仪表系统的功能安全》分为一个部分:一第1部分:框架、定义、系统、硬件和软件要求:-第2部分:GB/T21109.1的应用指南;一第3部分:确定要求的安全完整性等级的指南本部分为GB/T21109的第3部分,等同采用IEC61511-3:2003《过程工业领域安全仪表系统的功能安全第3部分:确定要求的安全完整性等级的指南》(英文版)。为便于使用,对1EC61511-3:2003做了下列缩辑性修改:
删除国际标准的前言,按GB/T1.1一2000重新编写了本部分的前言:一凡是出现“IEC61511”之处均改为GB/T21109”,“IEC61511-1”均改为“GB/T21109.1”,“IEC61511-2”均改为\GB/T21109.2”,“IEC61511-3”均改为GB/T21109.3”一凡是出现“本国际标准”之处均改为“GB/T21109”;用小数点“,”代替作小数点的逗号“,”;根据GB/T1.1一2000进行编辑性修改本部分的附录A、附录B、附录C、附录D、附录E、附录F为资料性附录。本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会归口。本部分主要起草单位:机械工业仪器仪表综合技术经济研究所、上海自动化仪表股份有限公司技术中心、北京华控技术有限责任公司、中科院沈阳自动化研究所、浙江中控技术有限公司、上海工业自动化仪表研究所、国营759厂。
本部分主要起草人:王春喜、梅恪、包伟华、士麟琨、刘丹、陈小枫、魏剑鬼、史学玲、谭平、李佳嘉、欧阳劲松、蔡廷安、马光武。
本部分为首次制定。
GB/T21109.3—2007/IEC61511-3:2003引言
TTKAONKAa
qE-ei-acec-de-Craac-cEcNcanrkANrKca在过程工业(processindustrysector)中,用来执行仪表安全功能的安全仪表系统已使用了多年。如要使仪表能有效地用于仪表安全功能,最重要的是该仪表应达到某些最低标准和性能水平GB/T21109阐述了过程工业安全仪表系统的应用。GB/T21109还要求执行一次过程危险和风险评估使之能导出安全仪表系统的规范。当考虑安全仪表系统的性能要求时,才考患其他安全系统,从而把其他安全系统的贡献计算在内。安全仪表系统包括从传感器到最终元件之内的所有部件和子系统,它们都是执行仪表安全功能所必要的。GB/T21109包含了价为用基础的两个概念:安全生命周期和安全完整性等级。电气(E)/电子(E)/可编程电子(PE)技术实全仪装系统。在逻辑解算GB/T21109针对基手
器使用其他技术的情况下,官使用GB/T21109的基本原则。GB/T21109述论述大安全仪表系统的传感器和最终元件而不们所使用的技术。GB/T21109在GB/T20438-2006的框架范围内专用于过程工业(见GB/T1-2007附录A)GB/T21109提出了达到这些最低标准的安全生命周期活动的方案。为了使用一个合理和一致的技术策略,此方案日保纳。
在大多数情况有inherently)安全过程设计就能很好地达到安全性。必要时还可结合一个或一些保护系统,以使处理任何已发现的残条风险。保护系统可依靠不同的技术(化学的、机械的、液压的、气动的、电气的(的、可编程电子的),任何安全策略都需要将每个单独的安全仅表系统放在其他保护系统环境下进行考虑。为促成该方案,GB/T21109要求:一执行一次危险和风险评估以便确定整体安全要求;给安全仪表分配安全要求,
一应在一个适用于所有用仪表实现功能安全的方法的框架内进行工作;一详述了适用
现功能安全的所有方法的某些活动(如安全管理)的便用。关于过程工业的安全校表系统的GB/T21109涉及从初始概念设认实现、运行和维护直到停用的所有安全生命周期价段;一能使现有的或新品国家用的过程工业标准同本标准协调一致。GB/T21109致力于在过程工领域内导致高度一致(如基本原则、术谨、信息等)。这将带来安全和经济两方面的好处。
在权限方面,在管理当局(如国家的,省的、自治区的等)已建立过程安全设计、过程安全管理或其他要求的情况下,这些要求应比本标准中定义的要求优先考虑。本部分涉及到了危险和风险分析(H&RA)中确定要求的SIL范围的指南。这当中的信息用来提供一个用于实现IH&RA的各种各样的全局方法的广泛概览。但提供的信息并末详细到足以实现这些方案中的任何一种。
在继续之前应回顾一下GB/T21109.1中提供的安全完整性等级(SIL)的概念和确定方法。本部分的附录描述了以下内容:
附录A提供允许风险和ALARP的概念的概述。附录B提供一种用来确定要求的SIL的半定量方法的概述。附录C提供一种用来确定要求的SIL的安全矩阵方法的概述。附录D提供一种使用半定性风险图方法来确定要求的SIL的方法的概述。附录E提供一种使用定性风险图方法来确定要求的SIL的方法的概述。IN
YI KNKAa=
qtE-ei-aC-eC-ae-Ceraae-CEC-NEga-YYKbNIKaaGB/T21109.3—2007/IEC61511-3:2003附录F提供一种使用保护层分析(LOPA方法来选择要求的SIL的方法的概述。GB/T21109的整体框架见图1
支持部分
技术要求
第1部分
拟制整体安全要求(稳念、
范围定义、危险和风险评估)
第8章
第1部分
给仪表安全功能分配安全要求
和拟制安全要求规范
第9章和第10章
第1部分
安全仪表系统
设计阶段
第11章
第1部分
安全仪表系统软
件设计阶段
第12章
安全仪表系统的工厂验收测试、安装、调试运行和安全确认
第13章第15竞
第1部分
安全仪表系统的运行和维护、修改和改型、停用或处理
第16章~第18章
GB/T21109的整体框架
规范性引用文件
第2章
第1部分
定义和缩略语
第3章
第1部分
符合性
第4章
第1部分
功能安全管理
第5章
第1部分
安全生命周期要求
第6章
第1部分
第7章
第1部分
信息要求
第19章
第1部分
附录“A”
第1部分
应用第1部分
的指南
第2部分
确定要求的安全完整性
水平的指南
第3部分
YI KNn KAa=
quE-ei-aC-eC-ae-CoYaac-CEc-Nega-YYKoKApaGB/T21109.3—2007/1EC61511-3.2003附录F提供一种使用保护层分析(LOPA)方法米选择要求的SIL的方法的概述,GB/T21109的整体框架见图1。
支持部分
技术要求
第1部分此内容来自标准下载网
拟制整体安全要求(概会、
范围定义,危险和风险评估)
第8章
第1部分
给仪表安全功能分配安全要求
和拟制安全要求规范
第9章和第10章
第1部分
安全仪表系统
设计阶段
第11章
第1部分
安全仪表系统软
件设计阶段
第12章
安全仪表系统的工厂验收测试
安装、调试运行和安全确认
第13章~第15章
第1部分
安全仪表系统的运行和维护、修改和改型、停用或处理
第16章~第18章
GB/T21109的整体框架
规范性引用文件
第2章
第1部分
定义和缩略语
第3章
第1部分
符合性
第4章
第1部分
功能安全管理
第5章
第1部分
安全生命用期要求
第6章
第1部分
第7章
第1部分
信息要求
第19章
第1部分
附录“A”
第1部分
应用第1部分
的指南
第2部分
确定要未的安全完整性
水平的指南
第3部分
1范围
GB/T21109.3—20@6EG-61511-3:2003q-ci-a-eQ-ae-CraacCEc-Neca-YrKANrKAa过程工业领域安全仪表系统的功能安全第3部分:确定要求的安全完整性等级的指南
本部分提供了与以下有关的信息:一风险的基础概念、风险与安全完整性的关系,见第3章;一充许风险的确定,见附录A;
一确定仪表安全功能的安全完整性等级的各种不同方法,见附录B、附录C、附录D、附录E和附录F
特别是:
a)为了保护人员、公共设施或环境,使用一个或多个仪表安全功能来达到功能安全时可使用本部分;
b)在比如资产保护这类非安全应用中也可使用本部分;C)本部分说明了定义安全功能要求和每个仪表安全功能的安全完整性等级需要执行的典型危险和风险评估的方法;
d)本部分说明了可用来确定要求的安全完整性等级的技术/措施:)本部分为确立安全完整性等级提供了一个框架,但并不规定特殊成用要求的安全完整性等级本部分不给出确定其他风险降低方法的要求的例子。附录B、附录C、附录D、附录E和附录F说明了各种定量和定性方法,并且为了说明基础原理已对这此方法作了简化。本部分包含了这些附录以便说明这些方法的一般原理但并不提供一个权威的计算。
注:如打算使用这些附录中指出的距方法,应查阅每个附录中引用的原始资料。图1表示GB/T21109的整体框架,并指出本部分在实现安全仪表系统的功能安全中所起的作用。图2给出了风险降低方法的总览。GB/T21109.32007/IEC61511-3:2003社会应急响应
紧急广播
工厂应急响应
撤离规程
机械减轻系统
仪表安全控制系统
仪表安全减轻系统
操作员监督
机械保护系统
操作员校正动作时的过程报警
仪表安全控制系统
仪表安全预防系统
控制系统和监视
基本过程控制系统
监视系统(过程报警)
操作员监督
TTKANKAca=
qUE-ei-ac-eC-ae=Ceraag-CEC-Neca-iiiKAoNiKAca图2过程工厂中常见的典型风险降低方法(例如保护层模型)2术语、定义和缩略语
本部分使用的术语、定义和缩略语见GB/T21109.1一2007的第3章。3风险和安全完整性
3.1概述
般指南
本章提供了有关风险和风险与安全完整性关系的基础概念的信息。此信息可为本部分中所示的多种危险和风险分析(H&RA)方法所共用3.2必要的风险降低
必要的风险降低(既可以定性地,也可以定量地被说明)是为满足特定情况的允许风险(过程安全目标水平)而一定要达到的风险的降低,在编写仪表安全功能(SIF)的安全要求规范(尤其是安全要求规范的安全完整性要求)时,必要的风险降低的概念十分重要。确定一个特定危险事件的允许风险(过程安全目标水平)的目的是要说明对于危险事件的频率和它的特定后果,哪些风险被认为是合理的保护层(见图3)被设计用来降低危险事件的频率和/或危险事件的后果。评估允许风险的重要因素包括对暴露在危险事件中的风险的理解和看法。在获得某个特定应用的允许风险的构成时可考虑许多输人,它们包括:相关管理当局提供的指南:
应用相关各方的讨论和协定;
工业标准和指南;
1)在确定必要的风险降低时,应确定必要的允许风险。GB/T20438.5一2005的附录D和附录E描述了一些定性方法,不过在必要的风险降低的示例中只是隐含了那些方法,而并未明显地作述。2)
例如,导致某个特定后果的危险事件典型地可表示为每年的最大发生频率。2
一工业、专家和科学建议:
TiKANKAca
q-ci-ac-eCHae-Ceraag-Cc-Neca-irKANKAcaGB/T21109.32007/IEC61511-3:2003一法津和法规要求:一般的和直接与特定应用有关的要求。3.3安全仪表系统的作用
安全仪表系统实现仪表安全功能,以达到或保持过程安全状态,即它将对必要的风险降低发挥作用来满足允许风险。例如,安全功能要求规范可说明当温度达到X值时,阀Y开启使水流入容器。一个安全仪表系统(SIS)或多个SIS的组合或者其他保护层都可实现必要的风险降低。人员也可以是一个安全功能的组成部分。例如,人员可接收过程状态信息,并根据该信息执行一个安全动作。当人员是一个安全功能的组成部分时,应考患所有的人为因素。仪表安全功能可在要求操作模式下或者在连续操作模式下运行。3.4安全完整性
安全完整性被认为由以下两个部分组成&)硬件安全完整性,即在危险失效模式下与硬件随机失效有关的安全完整性部分。估算规定的硬件安全完整性等级的实现所达到的一个合理的准确度水平,因此,使用已建立的用于概率组合和考虑共同原因失效的规则,可在了系统当中分配安全要求。也许需要使用余结构来达到要求的硬件安全完整性。
b)系统安全完整性,即在危险失效模式下与系统失效有关的安全完整性部分。虽然也许能估算某些系统失效产生的影响,但从设计缺陷和共同原因失效得到的失效数据意味着这些失效的分布难以预测。在某种特定情况,这增加了失效概率(如一个SIS的失效概率)计算的不确定性。因此,为了减小不确定性,必须对最佳技术的选择做出判断。注意,为降低硬件随机失效概率所采取的措施不一定能降低系统失效概率。比如同型硬件的允余信道这样的技术对控制硬件随机失效十分有效,但很少用来减少系统失效。仪表安全功能和其他任何保护层所提供的总风险降低必须保证:安全功能的失效频率足够低,使之能防止危险事件频率超过满足允许风险所要求的值,和/或一安全功能把失效的后果减轻到满足允许风险所要求的程度。图3说明了风险降低的一般概念。通用模型假设:一一有一个过程及其相关的一个基本过程控制系统(BPCS);一存在相关的人为因素;
安全保护层特征包括:
1)机械保护系统:
2)安全仪表系统;
3)机械减轻系统。
注:图3表示用来说明一般原理的广义风险模型。应考虑安全仪表系统和/或其他保护层实际上实现必要的风险降低所使用的特定方式,来开发特定的应用风险模型,因此得出的风险模型可能与图3所示不同,图3和图4中所示的各种风险如下过程风险:由于过程、基本过程控制系统和相关的人员因素问题而存在的特定的危险事件的风险。在确定此风险时未考虑指定的安全保护特征。充许风险(过程安全自标水平):根据当今社会的水准,在给定的环境内能够接受的风险:残余风险:在本部分的上下文中,残余风险是在增加保护层之后发生危险事件的风险。过程风险是与过程本身相关的风险函数,但它考虑了过程控制系统带来的风险降低。为了防止对基本过程控制系统的安全完整性的不合理声明,本部分对可做出的此类声明作了一些限制。必要的风险降低只是为满足允许风险必须要达到的最低风险降低水平。可以用一种或多种风险降低技术的组合来实现它。图3表示从一个过程风险的起点达到规定的充许风险所必要的风险降低。3
GB/T21109.3—2007/1EC61511-3.2003残余风险
充许风险
其他非SIS预防/减
轻保护层爱盖的部
分风险
必要的风险降低
实际的风险降低
SIS覆盖的部分风险
所有的保护层能达到的风险降低-TTT KANr KAca-
qtEei-ac-ec-aeCeraac-CEoNecatrrKANrKa过程风险
风险增加
其他保护层爱盖的
部分风险
图3风险降低:一般概念
3.5风险和安全完整性
充分理解风险和安全完整性之间的差别是重要的。风险是某个规定的危险事件发生的频率及其后果的一个度量。可对各种情况的风险(过程风险、允许风险、残余风险,见图3)进行评估。允许风险涉及到社会和政治因素的考。安全完整性是SIF和其他保护层达到规定安全功能的可能性的一个度量。一日设定了允许风险并估算了必要的风险降低,就能分配SIS的安全完整性要求。注:为了优化设计以便满足各种要求,可能需要反复进行分配,图3和图4说明了安全功能在达到必要的风险降低中所起的作用。危险事件
过程风险
危险事件
过程和基本过程控制系统
3.6安全要求的分配
非SIS预防/
减轻保护层
必要的风险降低
与必要的风险降低相适应的非
SIS预防/减轻保护层、其他
保护层和SIS的安全完整性
图4风险和安全完整性的概念
其他保护层
充许风险
图5表示了安全仪表系统和其他保护层安全要求(安全功能和安全完整性要求)的分配。GB/T21109.1—2007第9章给出了对安全要求分配阶段的要求。给安全仪表系统、其他技术安全相关系统和外部风险降低设施分配安全完整性要求所使用的方法主要取决于必要的风险降低是以一种数值方式还是以一种定性方式被清晰地规定。这些方式分别称为半定量、半定性或定性方法(见附录B、附录C、附录D、附录E和附录F)。3.7安全完整性等级
本部分规定了4种安全完整性等级,安全完整性等级4是最高等级,安全完整性等级1是最低4
等级。
HTIKAONTKAca
qE-ei-aC-eC-ae-Criaag-CEC-Nega-rrKAoNrKApaGB/T21109.3-—2007/1EC61511-3:2003GB/T21109.1一2007的表3和表4规定了4种安全完整性等级的安全完整性等级目标失效量规定了两个参数,一个用于工作在要求操作模式下的SIS,另一个用于工作在连续操作模式下的SIS。注:对于在要求操作模式下工作的SIS来说,关心的安全完整性度量是在要求时执行SIS设计的功能的平均失效概率。而对在连续操作模式下工作的SIS来说,关心的安全完整性度量是每小时的危险失效频率,见GB/T21109.1—2007的3.2.43
规定安全要求
的方法
相关的国家标
准和国际标准
a)对所有SIF
的必要风险
b)对特定Sr
的必要风险
安全完整性
非SiS预防/减
轻保护层
每个安全功能及其相关的
安全完整性要求的分配
其他保护层
对SIS的设计要求,见GB/T21109.1注:在分配之前,安全完整性要求与各个安全功能相关联(见GB/T21109,1一2007第9章)图5安全仪表系统、非安全仪表系统预防/减轻保护层和其他保护层安全要求的分配3.8
选择确定要求的安全完整性等级的方法建立一个特殊应用所要求的安全完整性等级的方法有很多。附录B附录F提供了许多有关所使用方法的信息。为特殊应用所选择的方法取决于许多因索,其中包括:应用的复杂程度;
一来白管理当局的指南:
一风险特性和要求的风险降低;可承担工作人员的经验和技能。一关于风险的参数的可用信息。在一些应用中,可以使用不只一种方法。首先,使用定性方法确定所有SIF要求的SIL。然后对于那些用该方法分配了SIL3或SIL4的SIF,应考虑再使用定量方法进一步细化,以便更精确地理解所要求的安全完整性。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。