《安全儀表功能（SIF）安全完整性等級（SIL）驗證導(dǎo)則》

ICS

C

團(tuán)體標(biāo)準(zhǔn)

T/CCSAS0XX—202X

安全儀表功能（SIF）安全完整性等級（SIL）

驗證導(dǎo)則

Guidelinesforsafetyintegritylevel(SIL)verificationofsafetyinstrumented

functions(SIF)

（征求意見稿）

202X-XX-XX發(fā)布202X-XX-XX實(shí)施

中國化學(xué)品安全協(xié)會發(fā)布

T/CCSAS0XX—202X

安全儀表功能（SIF）安全完整性等級（SIL）驗證導(dǎo)則

1范圍

本文件確立了安全儀表功能（SIF）的安全完整性等級（SIL）驗證的原則，提供了驗證原理、公式、

示例、數(shù)據(jù)等內(nèi)容；給出了失效率驗證、結(jié)構(gòu)約束驗證、系統(tǒng)性安全完整性驗證、驗證程序、驗證報告、

驗證審查等說明。

本文件適用于流程工業(yè)的SIL驗證。

注：流程工業(yè)的含義見：GB/T21109.1—2022第1章列項e。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件。不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20438.1—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求(IEC

61508-1:2010,IDT)

GB/T20438.2—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程

電子安全相關(guān)系統(tǒng)的要求(IEC61508-22:2010,IDT)

GB/T20438.3—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求(IEC

61508-3:2010,IDT)

GB/T20438.4—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(IEC

61508-4:2010,IDT)

GB/T20438.5—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等

級的方法示例(IEC61508-5:2010,IDT)

GB/T20438.6—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB/T20438.2和

GB/T20438.3的應(yīng)用指南(IEC61508-6:2010,IDT)

GB/T20438.7—2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述

(IEC61508-7:2010,IDT)

注1：GB/T20438與IEC61508最新版次相同，不再重復(fù)羅列。

GB/T21109.1—2022過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分：框架、定義、系統(tǒng)、硬件

和應(yīng)用編程要求(IEC61511-1:2016,IDT)

GB/T21109.2—2007過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第2部分：GB-T21109.1的應(yīng)用指南

(IEC61511-2:2003,IDT)

GB/T21109.3—2007過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第3部分：確定要求的安全完整性等

級的指南(IEC61511-3:2003,IDT)

注2：GB/T21109與IEC61511最新版次不同，再次羅列IEC61511的最新版次。

GB/T50770—2013石油化工安全儀表系統(tǒng)設(shè)計規(guī)范

IEC61511-1—2016(AMD2017)Functionalsafety–Safetyinstrumentedsystemsforthe

processindustrysector–Part1:Framework,definitions,system,hardwareandapplication

programmingrequirements

1

T/CCSAS0XX—202X

IEC61511-2—2016Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustry

sector–Part2:GuidelinesfortheapplicationofIEC61511-1

IEC61511-3—2016Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustry

sector–Part3:GuidanceforthedeterminationoftherequiredSIL

IEC61511-4—2016Functionalsafety–Safetyinstrumentedsystemsfortheprocessindustry

sector–Part4:ExplanationandrationaleforchangesinIEC61511-1fromEdition1toEdition

2

ISATR84.00.02—2022安全儀表功能的安全完整性等級（SIL）驗證(Safetyintegritylevel

(SIL)verificationofsafetyinstrumentedfunctions)

ISATR84.00.04—2020第1部分：ANSI/ISA-61511-1:2018的實(shí)現(xiàn)導(dǎo)則(Part1Guidelinesfor

theimplementationofANSI/ISA-61511-1:2018)

ISOTR12489—2013,石油、石化、天然氣行業(yè)–安全系統(tǒng)的可靠性建模和計算(Petroleum,

petrochemicalandnaturalgasindustries--Reliabilitymodelingandcalculationofsafety

systems)

3術(shù)語和定義

GB/T21109、GB/T20438、IEC61511、IEC61508、ISATR84.00.02中界定的以及下列術(shù)語和定義

適用于本文件。

3.1

安全儀表功能safetyinstrumentedfunction(SIF)

由安全儀表系統(tǒng)SIS實(shí)現(xiàn)的安全功能。

注1：每個SIF實(shí)現(xiàn)要求的SIL，SIL定級與參與同一危險降低的其他保護(hù)層有關(guān)。

注2：來源：GB/T21109.1—2022,3.2.66，有修改。

3.2

安全完整性等級safetyintegritylevel(SIL)

分配給SIF的分級（4級)，明確安全儀表系統(tǒng)SIS實(shí)現(xiàn)的安全完整性要求。

注1：SIL等級越高，導(dǎo)致危險事故的PFDavg和PFH越低。

注2：目標(biāo)失效范圍與SIL等級之間的對應(yīng)關(guān)系詳見GB/T21109.1—2022中的表4和表5。

注3：SIL4為最高級，SIL1為最低級。

注4：本定義與IEC61508-4—2010不同，反映了過程行業(yè)的不同。

注5：來源：GB/T21109.1—2022,3.2.69，有修改。

3.3

驗證verification

通過檢查和提供客觀證據(jù)，確認(rèn)要求已滿足。

注1：SIL驗證是SIS驗證的一個環(huán)節(jié)，本文件的范圍是SIL驗證。

注2：來源：GB/T21109.1—2022,3.2.87，有修改。

3.4

硬件故障裕度hardwarefaulttolerance(HFT)

出現(xiàn)（硬件組件）故障或錯誤時，（硬件）功能單元繼續(xù)執(zhí)行要求功能的能力。

2

T/CCSAS0XX—202X

注1：HFT=1表示：當(dāng)多個組件中的1個故障時，單元可以工作。

注2：2oo3配置的危險故障的HFT是1；1oo3的是2。

注3：來源：GB/T21109.1—2022,3.2.21，有修改。

3.5

系統(tǒng)性能力systematiccapability(SC)

當(dāng)一個組件按組件符合項安全手冊的規(guī)定應(yīng)用時,針對規(guī)定的組件安全功能,組件的系統(tǒng)性安全

完整性滿足規(guī)定的SIL要求的置信度的度量（表示為SC1~SC4）。

注1：系統(tǒng)性能力由用于避免和控制系統(tǒng)性故障的要求來確定（見GB/T20438.2和GB/T20438.3）。

注2：相關(guān)的系統(tǒng)性失效機(jī)理取決于組件的特性。比如一個組件單獨(dú)由軟件構(gòu)成,則只需考慮軟件失效機(jī)理。如組

件由硬件和軟件構(gòu)成則需要考慮硬件和軟件的失效機(jī)理。

注3：當(dāng)一個組件按組件符合項安全手冊的規(guī)定應(yīng)用時，針對規(guī)定的組件安全功能，組件具有SCN的系統(tǒng)性能力意

味著SILN的系統(tǒng)性安全完整性已被滿足。

注4：來源：GB/T20438.4—2017,3.5.9；GB/T21109.1—2022,3.2.81。

3.6

要求時的平均失效概率averageprobabilityoffailureondemand(PFDavg)

在規(guī)定時間段內(nèi)，當(dāng)要求時，設(shè)備（系統(tǒng)）不能響應(yīng)的平均概率。

注1：本文件中，PFDavg也可簡寫為PFD。PFD是時間的函數(shù)PFD(t)，通常使用時間段內(nèi)的平均值。

注2：對于SIS，需求時，不能響應(yīng)，即為危險故障。

注3：來源：ISATR84.00.02—2022，附錄B，有修改。

3.7

每小時的失效概率probabilityoffailureperhour(PFH)

每小時設(shè)備（系統(tǒng)）故障的平均次數(shù)。

注1：此處故障指危險故障。

注2：來源：ISATR84.00.02—2022,7，有修改。

3.8

誤停車率spurioustriprate(STR)

在單位時間內(nèi)，設(shè)備誤動作引起的，工藝停車或混亂的預(yù)期次數(shù)。

注1：STR=1/MTTFSP

注2：來源：ISATR84.00.02—2022，附錄B，有修改。

3.9

檢驗測試間隔testinterval(TI)

2次成功的檢驗測試之間的時間間隔。也稱為檢測周期。

注1：本文件中，PTIprooftestinterval和TI含義相同。

注2：來源：ISATR84.00.02—2022,7，有修改。

3.10

失效率failurerate(λ)

時間點(diǎn)t之后的時間段dt內(nèi)發(fā)生失效的設(shè)備總量，與t時間點(diǎn)完好設(shè)備的總量的比值，在dt趨向0時

的極限值。

3

T/CCSAS0XX—202X

注1：本術(shù)語主要應(yīng)用于隨機(jī)失效。本文件假定設(shè)備中失效的數(shù)量相對于完好的數(shù)量，按固定比例出現(xiàn)。

注2：單位通常是FIT(10-9次/小時)。

注3：本術(shù)語應(yīng)用于系統(tǒng)失效時，表示非設(shè)備自身原因?qū)е碌氖А?/p>

注4：來源：ISATR84.00.02—2022，附錄B，有修改。

4符號和縮略語

下列符號和縮略語適用于本文件。

4.1符號

M──N取M（MooN）表決配置中的M。

N──N取M（MooN）表決配置中的N。

R──N取M（MooN）表決配置中，R=N-M+1。例如：3取2時，M=2，N=3，R=2。

β──共因因子。

λ──失效率。

μ──維修率。

4.2縮略語

AC：結(jié)構(gòu)約束（Architectureconstraint）。

CCF：共因失效（Commoncausedfailure）。

DC：診斷覆蓋率（Diagnosticcoverage）。

DI：診斷周期（Diagnosticinterval）。

DR：需求率（Demandrate）。

DTT：非勵磁停車（De-energizetotrip）。

ETT：勵磁停車（Energizetotrip）。

FIT：菲特（Failureintime）。

FMEA：失效模式和影響分析（Failuremodeandeffectsanalysis）。

FTA：故障樹分析（Faulttreeanalysis）。

HFT：硬件故障裕度（Hardwarefaulttolerance）。

IF：獨(dú)立失效（Independentfailure）。

IPL：獨(dú)立保護(hù)層（Independentprotectionlayer）。

LOPA：保護(hù)層分析（Layerofprotectionanalysis）。

MT：使用期限（Missiontime）。

MTBF：平均失效間隔時間（Meantimebetweenfailure）。

MTTF：平均故障前時間（Meantimetofailure）。

注1：也稱為：平均無故障時間。

MTTR：平均恢復(fù)時間（Meantimetorestore）。

PFDavg：要求時的平均失效概率（Averageprobabilityoffailureondemand）。

注2：也稱為：要求時的平均危險失效概率（Averageprobabilityofdangerousfailureondemand）。

PFH：每小時的失效概率（ProbabilityoffailureperHour）。

4

T/CCSAS0XX—202X

注3：也稱為：每小時的失效概率（危險失效平均頻率），Probability(averagefrequencyofdangerousfailures)

offailureperhour。

PHA：工藝危害分析（Processhazardanalysis）。

PTC：檢驗測試覆蓋率（Prooftestcoverage）。

PVST：部分閥門行程測試（Partialvalvestoketest）。

RRF：危險降低因子（Riskreductionfactor）。

SFF：安全失效分?jǐn)?shù)（Safefailurefraction）。

SIF：安全儀表功能（Safetyinstrumentedfunction）。

SIL：安全完整性等級（Safetyintegritylevel）。

SIS：安全儀表系統(tǒng)（Safetyinstrumentedsystem）。

SRS：安全需求規(guī)范（Safetyrequirementsspecifications）。

SC：系統(tǒng)性能力（Systematiccapability）。

STR：誤停車率（Spurioustriprate）。

TI：檢驗測試間隔（Testinterval）。

4.3標(biāo)志符號

在代碼或縮略語上加標(biāo)志，可構(gòu)成新的含義。例如：λDU表示“危險、未檢測到的失效率”。使用

標(biāo)志時，可用作下標(biāo)、上標(biāo)、尾綴，需保證可辨識、無歧義、統(tǒng)一。

應(yīng)用于PFD、PFH、STR的標(biāo)志如下：

cal──計算值（Calculated）；

FE──最終元件部分（Finalelement）；

LS──邏輯解算器部分（Logicsolver）；

S──傳感器部分（Sensor）；

SS──支持系統(tǒng)部分（Supportingsystem）；

tar──目標(biāo)值（Target）。

應(yīng)用于λ、MTTF的標(biāo)志如下：

D──危險、檢測到的（Dangerous）；

DD──危險（Dangerousdetected）；

DU──危險、未檢測到的（Dangerousundetected）；

F──系統(tǒng)（Systematic）；

S──Safe（安全）；

SD──安全、檢測到的（Safedetected）；

SP──誤停車（Spurioustrip）；

SU──安全、未檢測到的（SafeUndetected）。

5概述

5.1SIL驗證的外部工作關(guān)系見圖1。

5

T/CCSAS0XX—202X

圖1SIL驗證的外部關(guān)系

5.2SIL驗證可用于設(shè)計階段的初步SIL驗證、采購后的SIL驗證、現(xiàn)有裝置的SIL驗證等。

5.3SIL驗證的輸入（圖1中實(shí)線箭頭）為：

a)SIL定級：包括每個SIF的說明和SIL要求等；

b)可用性要求：包括STR等參數(shù)；

c)維護(hù)情況：包括TI等參數(shù)；

d)產(chǎn)品參數(shù)：包括λ等參數(shù)；

e)工程設(shè)計：包括P&ID、因果圖等文件，用于方便理解驗證對象。

5.4產(chǎn)品參數(shù)的來源包括：企業(yè)和行業(yè)的通用數(shù)據(jù)、產(chǎn)品的證書數(shù)據(jù)。在初步驗證階段，未采購產(chǎn)品，

無產(chǎn)品數(shù)據(jù)，可采用通用數(shù)據(jù)。

5.5SIL驗證的內(nèi)部工作（圖1中橢圓）包括：

a)4項檢查：冗余度（HFT）、系統(tǒng)性能力（SC）、可靠性（PFD/PFH）、誤停車（STR）；

b)3項計算：PFD、PFH、STR。合稱SIF計算。

注：STR為可選。

5.6SIL驗證的檢查表見表1。

表1SIL檢查表

SILPFDavgPFHSCHFT（結(jié)構(gòu)約束AC檢查，危險HFT）冗余設(shè)置

注1、2注1、2GB/T21109GB/T20438TypeAGB/T20438TypeBGB/T50770

1<10?1<10?510可單一

≥10?2≥10?6

2<10?2<10?620/1宜冗余

≥10?3≥10?7注3

3<10?3<10?731應(yīng)冗余

≥10?4≥10?8

4<10?4<10?842不適用

≥10?5≥10?9

6

T/CCSAS0XX—202X

SILPFDavgPFHSCHFT（結(jié)構(gòu)約束AC檢查，危險HFT）冗余設(shè)置

注1、2注1、2GB/T21109GB/T20438TypeAGB/T20438TypeBGB/T50770

注1：當(dāng)SIL定級報告中有具體的PFD或PFH數(shù)值要求時，以其為準(zhǔn)。

注2：選擇檢查PFD或PFH，取決于SIF的操作模式。操作模式的需求率決定了PFD或PFH更客觀。

注3：低需求模式時，為0；高需求模式、連續(xù)模式時，為1。

注4：下圖的含義是：0≤SFF＜60%時，為2；60%≤SFF＜90%時，為1；90%≤SFF≤100%時，為0。其他類似。

SFF的定義見圖6。

注5：本表依據(jù)如下：

GB/T21109.1—2022：條目9.2.3、9.2.4、11.4、表4、表6。（PFDavg、PFH、HFT依據(jù)）

GB/T21109.1—2022：條目3.2.80。（SC依據(jù)）

GB/T20438.2—2017,IEC61508-2—2010：條目、、表2、表3。（HFT依據(jù)）

GB/T50770—2013：條目6.3、7.3、8.3。（參考的冗余依據(jù)）

注6：STR的檢查依據(jù)為用戶和項目要求。

5.7組成SIF的組件設(shè)備的分類（TypeA/B，表1中IEC61508的分類）見表2。

表2設(shè)備分類表

分類條件

TypeA滿足以下所有條件：

組成元件的失效模式可以清晰定義；

失效條件下設(shè)備的行為可完全確定；

有充足的數(shù)據(jù)說明可檢測和不可檢測危險失效率。

TypeB不滿足以上條件之一。

5.8驗證報告的內(nèi)容包括：輸入整理、計算框圖和過程、檢查和結(jié)果、修改建議、相關(guān)產(chǎn)品證書等。

示例見附錄A。

5.9當(dāng)計算檢查不合格時（圖1中虛線箭頭），需調(diào)整并重新計算檢查直至合格。調(diào)整方法見附錄C。

5.10SIL驗證結(jié)束后，結(jié)果可反饋至各上游工作中，形成閉環(huán)。

6總體要求

6.1SIF的SIL驗證計算采用的儀表設(shè)備可靠性數(shù)據(jù)宜來自以往使用數(shù)據(jù)、SIL認(rèn)證報告、公開發(fā)行的工

業(yè)數(shù)據(jù)庫或手冊等。

6.2用于邏輯控制器的可編程電子系統(tǒng)應(yīng)取得國家授權(quán)認(rèn)證機(jī)構(gòu)的功能安全認(rèn)證。

6.3SIS或安全子系統(tǒng)的TI的確定應(yīng)綜合考慮SIL驗證的符合性和企業(yè)檢維修與停車的整體規(guī)劃。SIS

或安全子系統(tǒng)的TI宜與企業(yè)計劃停車檢修時間間隔相同。

6.4為滿足SIL驗證的符合性，SIS或安全子系統(tǒng)的TI與企業(yè)計劃停車檢修時間間隔相同具有困難時，

可采用不同的時間間隔。同一SIF的測量儀表、最終元件和邏輯控制器可采用不同的TI。

7

T/CCSAS0XX—202X

6.5當(dāng)安全儀表功能的誤動作可能造成的損失大于可容忍程度時，可以規(guī)定可用性要求，并驗證安全

儀表功能滿足可用性要求，如驗證安全儀表功能的STR滿足企業(yè)可用性要求。

6.6SIF可用性冗余配置應(yīng)滿足法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)范要求和企業(yè)可容忍風(fēng)險標(biāo)準(zhǔn)的要求。在SIF

的誤停車不涉及法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)范要求時，企業(yè)可決定誤停車可容忍要求，并據(jù)此確定SIF

的可用性配置。

6.7同一個測量儀表、邏輯控制器、最終元件可以用于不同的安全儀表功能，共用部分應(yīng)滿足所有相

關(guān)安全儀表功能的安全技術(shù)要求，包括儀表安全功能要求和安全完整性等級要求，并應(yīng)進(jìn)行驗證。

6.8SIS可執(zhí)行非功能安全的儀表功能。SIS應(yīng)具有優(yōu)先權(quán)，非功能安全的儀表功能的失效或指令不應(yīng)

影響SIS的功能安全，包括不應(yīng)降低SIF的安全完整性等級。

6.9除非SIS緊急停車按鈕和相關(guān)環(huán)節(jié)（包括操作人員和獲取信息的措施）滿足功能安全標(biāo)準(zhǔn)的要求并

獲得置信，SIS緊急停車按鈕不應(yīng)參與SIL驗算，不應(yīng)降低SIF可以達(dá)到的危險失效量。

6.10SIL驗證計算宜包括危險失效率（λ）、檢驗測試間隔（TI）、表決形式（MooN）、診斷覆蓋率

（DC）、平均恢復(fù)時間（MTTR）和共因失效因子（β）。

6.11應(yīng)確定SIF關(guān)鍵設(shè)備，SIF關(guān)鍵設(shè)備應(yīng)參與SIL驗證。非SIF關(guān)鍵設(shè)備不參與SIL驗證。

6.12SIF中的控制閥屬于安全關(guān)鍵設(shè)備時，用于實(shí)現(xiàn)安全關(guān)鍵動作的控制閥的執(zhí)行機(jī)構(gòu)、電磁閥、閥

體均應(yīng)參與SIL驗算。

6.13石油化工工廠或裝置SIF的SIL等級不應(yīng)高于SIL3級。如果在確定SIL等級時，有可能達(dá)到SIL4，

應(yīng)重新分配保護(hù)層的安全功能，或采用多個獨(dú)立的安全儀表功能，使SIL等級不高于SIL3。

6.14應(yīng)確定檢測到故障時的系統(tǒng)行為，應(yīng)確定對SIL驗證的影響，檢測到故障時的系統(tǒng)行為應(yīng)符合GB/T

20438.2—2017的7.4.8的要求。

6.15SIF有變動時，應(yīng)重新開展SIL評估，含SIL定級、SIL驗證。

6.16SIL驗證可建立全生命周期的動態(tài)機(jī)制，比如可根據(jù)儀表設(shè)備現(xiàn)場的實(shí)際運(yùn)行情況，定期評估用

于SIL驗證的儀表設(shè)備的可靠性數(shù)據(jù)的合理性，如果發(fā)現(xiàn)用于SIL驗證的儀表設(shè)備的可靠性數(shù)據(jù)不同于現(xiàn)

場實(shí)際情況，可根據(jù)現(xiàn)場實(shí)際情況適當(dāng)調(diào)整可靠性數(shù)據(jù)，賦值合適的失效率以符合現(xiàn)場實(shí)際情況，并開

展SIL驗證。

6.17用于SIL驗證的計算公式應(yīng)符合現(xiàn)行的國家標(biāo)準(zhǔn)（GB/T21109、GB/T20438等）、國際標(biāo)準(zhǔn)（IEC

61511、IEC61508、ISATR84.00.02等）的要求。

7過程和執(zhí)行

7.1驗證程序

7.1.1SIL驗證節(jié)點(diǎn)

SIL驗證在多個節(jié)點(diǎn)開展，其中重要節(jié)點(diǎn)在SIS安全生命周期的SIS工程設(shè)計階段開展，如圖2所

示。

8

T/CCSAS0XX—202X

圖2SIS安全生命周期框圖

7.1.2SIL驗證程序

典型的SIL驗證流程如圖3所示。

圖3SIL驗證流程示意圖

9

T/CCSAS0XX—202X

7.2驗證輸入

7.2.1SIL驗證輸入資料宜包括但不局限于以下資料：

a)工程設(shè)計資料，包括P&ID、邏輯圖等；

b)SIF清單、SIF組成和SIF安全關(guān)鍵設(shè)備清單；

c)SIF的SIL級別要求；

d)SIF的操作模式；

e)SIF的目標(biāo)失效量要求；

f)檢驗測試間隔（TI）；

g)儀表設(shè)備的可靠性數(shù)據(jù)；

h)配置方案，包括表決形式（MooN）；

i)儀表設(shè)備安全手冊。

7.2.2可以檢查表的形式檢查SIL驗證輸入資料是否齊全，見附錄B。

7.3驗證符合性

7.3.1SIL驗證應(yīng)包括實(shí)施SIF硬件安全完整性驗證；SIL驗證可包括系統(tǒng)性安全完整性驗證。

7.3.2硬件安全完整性驗證應(yīng)包括失效量驗證（見7.4）和結(jié)構(gòu)約束驗證（見7.5）。在低要求操作模

式時，失效量驗證應(yīng)采用PFDavg驗證；在連續(xù)操作模式或高要求操作模式時，失效量驗證應(yīng)采用PFH驗

證。

7.3.3SC可用于系統(tǒng)安全完整性的驗證，見7.6。

7.4失效量驗證

7.4.1SIF應(yīng)確定SIL等級要求。SIF宜確定明確的目標(biāo)失效量。沒有給出具體的目標(biāo)失效量時，失效量

應(yīng)參考表3或表4，可采用要求達(dá)到的SIL等級對應(yīng)的最小的平均失效率概率或失效頻率。（參考GB/T

20438.1—2017條目注1。）

7.4.2SIF的計算失效量應(yīng)不大于目標(biāo)失效量。

7.4.3在低要求操作模式時，SIF的SIL等級應(yīng)采用PFDavg或RRF衡量，應(yīng)根據(jù)表3確定。

表3安全完整性等級（低要求操作模式）

SILPFDavgRRF

4≥10-5到<10-4>10000到≤100000

3≥10-4到<10-3>1000到≤10000

2≥10-4到<10-2>100到≤1000

1≥10-2到<10-1>10到≤100

7.4.4在連續(xù)操作模式或高要求操作模式時，安全儀表功能的安全完整性等級應(yīng)采用PFH衡量，宜根據(jù)

表4確定。

10

T/CCSAS0XX—202X

表4安全完整性等級（連續(xù)操作模式或高要求操作模式）

SILPFH

4≥10-9到<10-8

3≥10-8到<10-7

2≥10-7到<10-6

1≥10-6到<10-5

7.5結(jié)構(gòu)約束驗證

7.5.1每個SIF均應(yīng)滿足結(jié)構(gòu)約束的要求，結(jié)構(gòu)約束要求可通過HFT的要求表達(dá)。

7.5.2當(dāng)SIS可被分解成獨(dú)立的SIS子系統(tǒng)時（如測量儀表、邏輯控制器及執(zhí)行元件），則HFT可在SIS

子系統(tǒng)層級指定。

7.5.3SIS或SIS子系統(tǒng)的HFT和相關(guān)要求應(yīng)按照以下三種路線之一確定：

a)符合表5的要求，并且全可變語言（FVL）和有限可變語言（LVL）可編程設(shè)備的診斷覆蓋率應(yīng)

不小于60%；

注1：此路線同GB/T21109.1-2022中11.4.5～11.4.9建立的路線。GB/T21109.1-2022中建立的路線源自GB/T

20438.2-2017中的路線2H。

b)符合表6的要求和GB/T20438.2-2017中（路線1H）的要求；

注2：GB/T20438.2-2017中的路線1H基于硬件故障裕度和安全失效分?jǐn)?shù)的概念。

c)符合表5的要求和GB/T20438.2-2017中（路線2H）的要求。

注3：GB/T20438.2-2017中的路線2H基于由最終用戶反饋的元器件可靠性數(shù)據(jù)、對指定的安全完整性等級增強(qiáng)的置

信度和硬件故障裕度。

表5不同SIL對應(yīng)的最小HFT要求

SIL操作模式要求的最小HFT

1任何模式0

2低要求模式0

2高要求/連續(xù)模式1

3任何模式1

4任何模式2

表6安全相關(guān)組件或子系統(tǒng)執(zhí)行安全功能時的最大允許安全完整性等級

HFT

組件的SFFA類安全相關(guān)組件或子系統(tǒng)B類安全相關(guān)組件或子系統(tǒng)

012012

＜60%SIL1SIL2SIL3不允許SIL1SIL2

60%～＜90%SIL2SIL3SIL4SIL1SIL2SIL3

90%～＜99%SIL3SIL4SIL4SIL2SIL3SIL4

11

T/CCSAS0XX—202X

HFT

組件的SFFA類安全相關(guān)組件或子系統(tǒng)B類安全相關(guān)組件或子系統(tǒng)

012012

≥99%SIL3SIL4SIL4SIL3SIL4SIL4

7.6系統(tǒng)性安全完整性驗證

7.6.1設(shè)備的系統(tǒng)性能力SCN應(yīng)滿足SIF要求的SIL等級要求。設(shè)備SCN的系統(tǒng)性能力是指SILN的系統(tǒng)

性安全完整性已被滿足。

7.6.2系統(tǒng)性安全完整性（系統(tǒng)性能力）要求，可通過實(shí)現(xiàn)以下合規(guī)路線之一來滿足：

a)路線1s：符合避免系統(tǒng)性工作要求（見GB/T20438.2-2017的7.4.6和GB/T20438.3）和控制系

統(tǒng)性故障要求（見GB/T20438.2-2017的7.4.7和GB/T20438.3）；

b)路線2s：符合設(shè)備以往使用證明的要求（見GB/T20438.2-2017的7.4.10）；

c)路線3s（僅針對已有軟件組件）：符合GB/T20438.3-2017的2的要求。

7.6.3對于某具有系統(tǒng)性能力SCN（N=1，2，3）的組件，若該組件的系統(tǒng)性故障并不會使指定安全功

能失效，而僅在另一個具有系統(tǒng)性能力SCN的組件同時發(fā)生系統(tǒng)故障時才會使指定功能失效，則在兩個

組件之間足夠獨(dú)立的前提下其組合的系統(tǒng)性能力可視為SC（N+1）。足夠獨(dú)立性的判斷可參考GB/T

20438.2-2017的。

7.6.4多個系統(tǒng)性能力為SCN的組件組合后可聲明的最高系統(tǒng)性能力為SC（N+1）。每個SCN組件在這

種方式下僅能使用一次，不允許繼續(xù)增加SCN組件達(dá)到或超過SC（N+2）。

7.7不合格調(diào)整

7.7.1SIL驗證不滿足要求時，可采取的措施包括：

a)選擇高可靠性設(shè)備；

b)提高冗余配置；

c)縮短TI；

d)重新進(jìn)行安全評估，考慮是否可以通過增加保護(hù)層來降低SIL等級要求。

7.7.2調(diào)整配置對驗證的影響示例見附錄C。

7.8驗證報告

SIL驗證報告宜包括，但不局限于以下內(nèi)容：

a)SIL驗證輸入資料清單；

b)說明硬件安全完整性驗證的符合性；

c)說明系統(tǒng)性安全完整性驗證的符合性；

d)說明SIL驗證采用的公式，并說明標(biāo)準(zhǔn)符合性；

e)SIL驗證結(jié)果清單和建議清單。

12

T/CCSAS0XX—202X

7.9驗證審查

7.9.1SIS開車前，應(yīng)進(jìn)行SIL驗證審查。

7.9.2SIL驗證審查宜包括，但不局限于以下內(nèi)容：

a)審查SIL驗證輸入資料的有效性及是否齊全；

b)審查SIL驗證計算采用的公式是否符合功能安全標(biāo)準(zhǔn)的要求；

c)審查TI的合理性；

d)審查用于SIL驗算的可靠性數(shù)據(jù)的來源；

e)審查確定的儀表配置是否滿足了SIL等級的要求。

7.10驗證示例

SIL驗證的實(shí)例見附錄A。附錄A以實(shí)際的SIF為例，采用計算軟件，詳細(xì)具體的執(zhí)行了SIL計算和驗

證。

a)確認(rèn)SIF功能回路的結(jié)構(gòu)以及表決關(guān)系。根據(jù)最新版SIL定級報告中的SIF功能回路描述，確

定回路中各個子系統(tǒng)涉及的各部件，如傳感器子系統(tǒng)（輸入）各部件、邏輯子系統(tǒng)各部件、最

終執(zhí)行元件子系統(tǒng)（輸出）以及部件之間的邏輯表決結(jié)構(gòu)。

b)確認(rèn)SIF功能回路各部件的失效數(shù)據(jù)。通過可信數(shù)據(jù)資料（現(xiàn)場使用積累數(shù)據(jù)，SIL證書或可

信數(shù)據(jù)庫）等，確認(rèn)該SIF功能回路內(nèi)各部件硬件安全失效SD/SU，危險失效DD/DU數(shù)據(jù)等。

c)對于每一個子系統(tǒng)中的表決組，通過現(xiàn)場維護(hù)狀態(tài)或可信數(shù)據(jù)資料，分析確認(rèn)以下主要參數(shù)：

選取的判斷標(biāo)準(zhǔn)（本例中，使用IEC61511）；

失效后果及響應(yīng)模式（低，高或者連續(xù)）；

預(yù)計部件的使用年限（MT）；

檢驗測試間隔（TI）；

檢測覆蓋率（PTC）；

現(xiàn)場維護(hù)能力指數(shù)；

共因失效因子等數(shù)據(jù)。

d)計算SIF功能回路的要求時的平均失效概率PFDavg。使用相應(yīng)計算軟件計算PFDavg以及預(yù)

期誤動作率STR(MTTFSP)。

e)得到整個SIF功能回路的PFDavg/HFT/系統(tǒng)性能力（SC），預(yù)期誤動作率STR(MTTFSP)后，參

照標(biāo)準(zhǔn)確認(rèn)PFDavg對應(yīng)的SIL等級，其中HFT/系統(tǒng)性能力（SC）（如適用）均滿足要求，與

定級時得到的PFDavg（如適用）/SIL比較，可判定該SIF回路是否實(shí)現(xiàn)SIL定級要求；如對

誤動作率STR(MTTFSP)也有要求，同理可做比較判定。

8方法和計算

8.1概述

8.1.1本文件中失效率通用數(shù)據(jù)和公式來自ISATR84.00.02—2022。本文件主要羅列使用公式，次要

說明使用公式的推導(dǎo)過程、假設(shè)前提、近似處理情況。

13

T/CCSAS0XX—202X

8.1.2SIF計算的本質(zhì)是通過現(xiàn)有的儀表可靠性，以概率數(shù)學(xué)的方式，在不同的維修方式下，預(yù)測SIF

失效的概率、可靠性。其中的計算涉及儀表的可靠性數(shù)據(jù)管理、目標(biāo)管理，以及有效的儀表供電、布線

等安全設(shè)計。

8.1.3SIF計算的內(nèi)部過程見圖4。依據(jù)設(shè)備的各類失效的概率，考慮邏輯結(jié)構(gòu)、維護(hù)情況，計算系統(tǒng)

的各類失效的概率。本圖僅表示了主要部分，詳細(xì)見后續(xù)章節(jié)。其中：計算輸入見8.2；計算過程見

8.3~8.7。

圖4SIF計算

8.1.4PFD的整體計算過程如下。PFH、STR的過程相同。

1個SIF包括3個部分：

a)傳感器部分：含傳感器至解算器輸入之間所有環(huán)節(jié)，通常包括變送器、安全柵等。通常需考慮

N取M的結(jié)構(gòu)、1個SIF中涉及多個參數(shù)測量等因素。

b)邏輯解算器部分：通常包括輸入、控制器、輸出、電源等。

c)最終元件部分：含解算器輸出至最終元件之間所有環(huán)節(jié)。通常包括閥體、執(zhí)行機(jī)構(gòu)、電磁閥、

繼電器等。通常需考慮多個閥門的關(guān)系、多個電磁閥的關(guān)系、部分行程測試等。

對于每一部分，從單體設(shè)備失效率，計算這部分子系統(tǒng)的PFD。合并3部分求和,即SIF的PFD。

8.2失效的基本特征

8.2.1本章節(jié)說明設(shè)備組件的失效。設(shè)備、組件等指組成系統(tǒng)、SIF的儀表、閥門、控制設(shè)備等。失效

有時也稱為故障。

注：關(guān)于失效和故障的定義和互換使用，參考GB/T7826—2012系統(tǒng)可靠性分析技術(shù)失效模式和影響分析(FMEA)

程序，條目3.3，注2。

8.2.2失效的分級見表7。

表7失效分級

失效分級說明舉例

危險失效因為設(shè)備故障不能完成設(shè)定的安全功能。電磁閥卡頓：停車觸發(fā)，電磁閥失電，但是電磁閥和閥門

不動作。

安全失效設(shè)備的誤操作不會引起危險，或喪失保護(hù)電磁閥電纜斷了，電磁閥失電，閥門誤動作至停車觸發(fā)的

功能。位置。

8.2.3失效的模式見表8。

表8失效模式

14

T/CCSAS0XX—202X

失效模式說明舉例

完全失效設(shè)備失去完成設(shè)定功能的能力。需要時，切斷閥不能全關(guān)。

工藝參數(shù)變化時，變送器信號無變化。

控制系統(tǒng)不能接受輸入。

降級條件設(shè)備的可靠性降低，仍能完成預(yù)設(shè)的功能，不滿足預(yù)設(shè)的規(guī)格。控制輸出高。

（部分失如果降級條件一直存在，會惡化為完全失效。工藝參數(shù)指示高。

效）降級條件可以通過巡檢、周期維護(hù)、預(yù)測性維護(hù)、診斷等發(fā)現(xiàn)，邏輯表決通道失效。

以防惡化。

早期條件不影響設(shè)備的功能。接頭松動。

如果不矯正，可能惡化為降級條件或完全失效。端子腐蝕。

隔離被損壞。

8.2.4失效的機(jī)理見表9。

表9失效機(jī)理

失效機(jī)理說明舉例

隨機(jī)失效本質(zhì)原因是內(nèi)部的。變送器電路板故障。

隨著時間而發(fā)生，可以預(yù)測。

系統(tǒng)失效本質(zhì)原因是外部的。非常規(guī)的復(fù)雜的設(shè)計。復(fù)雜的診斷維護(hù)。不好的維護(hù)和操

發(fā)生與時間無關(guān)，無法預(yù)測。依據(jù)經(jīng)驗整作。管理中的變更。

體估算，通過系統(tǒng)性的改善工作使之減少。SIS錯誤、接線錯誤、導(dǎo)壓管錯誤、供氣供電不足、安裝

錯誤、軟件錯誤、人機(jī)接口錯誤、硬件設(shè)計錯誤、變更錯

誤。

8.2.5FMEA列表分析失效的模式、分級、原因、機(jī)理。例子詳見附錄I。

8.2.6有些失效的根本原因是相同的，稱為共因失效。非共因失效即獨(dú)立失效。二者對于整個系統(tǒng)失

效的影響是不同的。共因失效的占比是共用因子。

8.2.7失效的詳細(xì)分級見圖5。

15

T/CCSAS0XX—202X

圖5失效詳細(xì)分級

8.2.8設(shè)備失效率的相關(guān)公式和示意見圖6。

圖6設(shè)備失效率

其中：λSP是否包含λDD取決于系統(tǒng)設(shè)計，檢測到的危險失效是否可以安全停車。通常認(rèn)為失電停車

DTT系統(tǒng)的λSP包含λDD；反之ETT不包含。

8.2.9設(shè)備的失效率服從浴盆效應(yīng)，見圖7。早期，失效率高，主要是磨合失效；使用期，失效率穩(wěn)定

且低，主要是隨機(jī)失效；末期，失效率高，主要是老化失效。SIL驗證假設(shè)在使用期SIF的功能要求可靠

運(yùn)行，僅估算穩(wěn)定期的隨機(jī)失效率。

圖7浴盆效應(yīng)

8.2.10失效率數(shù)據(jù)的來源包括：企業(yè)的可靠性數(shù)據(jù)積累；行業(yè)數(shù)據(jù)手冊和共享；制造廠SIL證書、安

全手冊等。SIL證書的數(shù)據(jù)需基于分析，可以查證。附錄D羅列了一部分?jǐn)?shù)據(jù)和來源。

16

T/CCSAS0XX—202X

8.3操作模式

8.3.1SIF的操作模式見表10。

表10操作模式

操作模式說明舉例

低需求需求時，SIF才動作。汽包液位低低：

模式DR≤1次/年。作為保護(hù)措施，預(yù)期的DR為0.1次/年。

高需求需求時，SIF才動作。批量反應(yīng)器進(jìn)料超限：

模式DR＞1次/年。每批次：16小時運(yùn)行，4小時切換。每年：50批次。DR=600次/年。

連續(xù)模式SIF是正常運(yùn)行的一部分，使工反應(yīng)器溫度：

藝處于安全狀態(tài)。溫度控制必須維持正常；當(dāng)超溫時，其他手段（超溫保護(hù)、超壓保護(hù)

SIF的失效會導(dǎo)致危險的事故。等）因為具體原因（時間不足、措施不足等）不能保證反應(yīng)器的安全。

DR=需求次數(shù)/總操作時間。

8.3.2SIL驗證的輸入文件應(yīng)明確每個SIF的操作模式，并明確驗證值選擇PFDavg或PFH。

8.3.3PFDavg是1個時間段失效概率的平均值，PFH是瞬時值。選擇依據(jù)是操作模式和DR（需求的頻繁

程度）。選擇目的是更客觀的反映實(shí)際情況。

8.3.4STR的驗證僅考慮瞬時情況，不考慮操作模式和DR。

8.4PFH計算

8.4.1PFH的一般公式見（8-1）。

(8-1)

8.4.2公式（8-1）的說明如下：

a)本公式適用于DR較高的情況，包括：連續(xù)模式、需求模式（DR較高時，通常是高需求模式）；

b)DR較高時，診斷出的故障依然會導(dǎo)致失效，診斷對可靠性無貢獻(xiàn)。因為：診斷出的危險失效沒

有時間將系統(tǒng)移至安全停車狀態(tài)；

c)PFH的計算基于D型失效，包括DU、DD型；DC不參與計算。

8.4.3PFH具體公式和推導(dǎo)見附錄E。

8.5PFD計算

8.5.1本條目詳細(xì)說明PFD計算的原理和過程。PFH、STR的計算原理與PFD相同且簡化，可不考慮時間

積累等因素，因此PFH、STR計算各條目不再詳述，參考PFD計算章節(jié)。

8.5.2可靠性方塊圖是PFD計算的基本方法，它表示了組件和系統(tǒng)的失效傳遞關(guān)系。在圖中有通路表示

系統(tǒng)無失效，無通路表示系統(tǒng)有失效。

17

T/CCSAS0XX—202X

可靠性方塊圖（單表結(jié)構(gòu)）見圖8，3個部分的1個部分失效，無通路，整個系統(tǒng)失效，所以系統(tǒng)PFD

等于組件PFD的匯總。

可靠性方塊圖（冗余結(jié)構(gòu)）見圖9，2個輸入（S1/S2）組件中1個失效，有通路，這個環(huán)節(jié)沒有失效。

這個環(huán)節(jié)PFD不是2個組件的匯總，是基于排列組合的概率計算。

圖8可靠性方塊圖（單表結(jié)構(gòu)）

圖9可靠性方塊圖（冗余結(jié)構(gòu)）

8.5.3完整的維修時間應(yīng)包括檢測時間、準(zhǔn)備時間、維修時間、等待延長時間，各部分見圖10。實(shí)際

應(yīng)用中可忽略較小或未知的時間，并應(yīng)明確MTTR。

圖10MTTR

8.5.4表決（N取M配置）邏輯影響了（單個儀表和組合之間的）失效傳遞關(guān)系，見表11。同一配置，

對于危險失效、安全失效（誤停車），這一傳遞關(guān)系是不同的。失效傳遞關(guān)系是建立模型的基礎(chǔ)。

表11表決

表決危險HFT安全HFT邏輯圖（危險失效的可靠性框圖）

1取100

2取110

2取201

3取211

4取221

18

T/CCSAS0XX—202X

8.5.5共因抵消了冗余的作用。對于共因失效CCF部分，冗余配置無作用，相當(dāng)于1取1（例：單表、單

閥等）；對于獨(dú)立失效IF部分，冗余降低了失效。示意見圖11。

圖11共因

8.5.6PFD基本公式的推導(dǎo)見附錄E。故障樹方法和馬爾可夫方法的介紹，及PFD具體公式見附錄F、G。

8.6STR計算

8.6.1STR的一般公式見（8-2）。

(8-2)

其中：

a)假設(shè)共因失效少，可忽略。

b)假設(shè)設(shè)備無連續(xù)自動診斷功能，檢測時間為檢修時間TI的一半。當(dāng)設(shè)備為自動診斷功能時，去

掉公式中的“TI/2”。

c)公式推導(dǎo)為：冗余配置中，1個設(shè)備失效期間，另一個設(shè)備也失效的概率，并依次類推。

8.6.2STR的具體公式見附錄E。

8.7SIF計算

8.7.1基于以下假設(shè)，可以把實(shí)際裝置分析為理想化的模型，進(jìn)而可開展SIF計算。

a)設(shè)備的失效率和維修率在計算目標(biāo)周期內(nèi)是固定的；

b)設(shè)備失效之后，修好之前，不會再次失效；

c)TI遠(yuǎn)遠(yuǎn)小于MTTF；

d)測試和維修是完善的；

e)所有設(shè)備選擇正確。例如：閥門根據(jù)應(yīng)用，在失效時都是安全位置；

f)電源失效是非勵磁狀態(tài)；

g)可檢測的危險失效（DD）發(fā)生時，將發(fā)生安全停車；

h)人員經(jīng)過培訓(xùn)，按照制度工作。

8.7.2SIF計算僅針對隨機(jī)失效。系統(tǒng)失效部分無法定量計算，需整體處理。其代號為λF。

19

T/CCSAS0XX—202X

8.7.3不同方法的SIF計算示例見