ANSI∕ISA-84.01-1

美国国家学会/美国仪学会标准 各产业中安全仪表系统的应用 ANSI／ISA-84.01 ANSI/ISA-84.01-1996 此前为ANSI/ISA-S84.01-1996 各产业中安全仪表系统的应用 1997年3月15日审定 目 录 1．适用范围 71 1.1 安全仪表系统(SIS)的界限 71 1.2 例外 71 2．适应本标准 72 2.1 适应准则 72 2.2 现有系统 72 3．术语定义和缩写 73 3.1 定义 73 3.2 缩写 77 4．安全生存期 77 4.1 适用范围 77 4.2 安全生存期的步骤 79 5．制订安全技术要求 80 5.1 任务 80 5.2 输入要求 80 5.3 安全性功能要求 80 5.4 安全完善性要求 81 6．SIS初步设计 81 6.1 任务 81 6.2 初步设计的要求 81 7．SIS详细设计 82 7.1 任务 82 7.2 一般要求 82 7.3 SIS逻辑解析器 82 7.4 现场设备 83 7.5 接口 84 7.6 电源 85 7.7 系统环境条件 85 7.8 应用逻辑的要求 85 7.9 维护或测试设计的要求 86 8．安装，调试和预起动验收试验 86 8.1 任务 86 8.2 安装 87 8.3 调试 87 8.4 预起动验收试验(PSAT) 87 9．SIS运行和维护 88 9.1 任务 88 9.2 培训 88 9.3 文档 88 9.4 SIS运行步骤 88 9.5 维护大纲 88 9.6 测试、检验和维护 88 9.7 功能测试 88 9.8 功能测试的文档 90 10．SIS的修改管理(MOC) 90 10.1 任务 90 10.2 MOC步骤 90 10.3 MOC文档 91 11．停止使用 91 11.1 任务 91 11.2 概述 91 12．差别 91 12.1 名词术语 92 12.2 编排差别 92 12.3 技术差别 94 附录A (指导性的) 为安全仪表系统(SIS)确定安全完善性(SIL)等级所用方法 的信息及举例 95 A.1 引言 95 A.2 安全完善性等级(SIL)的考虑及其过程举例 96 A.3 选择SIL用的方法举例 96 附录B (指导性的) SIS 设计考虑 101 B.1 分立—相同或不同的 101 B.2 冗余—相同或不相同的 103 B.3 软件设计考虑 104 B.4 技术选择 105 B.5 故障率和故障形式 108 B.6 结构 112 B.7 动力源 112 B.8 公共原因的故障 115 B.9 诊断 115 B.10 现场设备 117 B.11 用户接口 120 B.12 安全性 121 B.13 接线实施惯例 122 B.14 文件编集 123 B.15 功能测试间隔时间 123 附录C (指导性的) 信息参考文献 124 附录D (指导性的) 举例 124 D.1 本例中问题简介 124 D.2 安全生存期(图4.1) 124 D.3 安全技术要求 124 D.4 安全完善性要求(5.4) 127 D.5 初步设计(6.0) 127 D.6 详细设计(7.0) 129 附录E (指导性的) 索引(略) 引言 目的 本标准论述各产业中安全仪表系统(SIS)的应用。论及的SIS包括电气(E)/、电子(E)/和可编程电子(PE)的技术。本标准是在国际电工协会(IEC)议定刊物15.8(参考文献C.8和C.9)范围内各产业专用。本标准尊重稍后提出的安全生存期(参见图4.1)。 本文件计划用于下列领域涉及SIS的这些人员： ·SIS产品的设计、制造、选择和应用。 ·安装、调试和预起动验收试验。 ·操作、维护、文件编集和测试。 任务 其任务是确定安全仪表系统的要求。 编制 本标准编制成三个主要部分。标准的主体(条款1-11)提出指令性专门要求，条款12提出了ISA-S84.01和草拟刊物1508之间的主要差别。附录A-E的有用信息提供了SIS应用中有用的非指令性(指导性)的技术信息。 草议的技术84.02(ISA-dTR84.02)是以独立的封皮发行，提供安全完善性等级分析中的非指令性(指导性)技术指南。 1．适用范围 注意：本条款是标准的一部分，并含有指令性要求。 本标准论述各产业中自动化安全仪表系统(SIS)所用电气/电子/可编程电子系统(E/E/ PES)、相关传感器、最终文件和接口(参考文献C.6)。E/E/PES技术的举例如下： a) 机电继电器； b) 固体逻辑； c) PES； d) 电动机驱动的定时器； e) 固体继电器和定时器； f) 硬接线逻辑； g) 上述各项的组合。 1.1 安全仪表系统(SIS)的界限 1.1.1 图1.1规定了SIS的界限，并标出了可以包括在系统中的设备。本标准中所述的SIS是双划框所包围的图区。 1.1.2 SIS包括传感器至最终文件的所有元件、有输入、输出、电源和逻辑解析器。SIS用户接口可以在SIS以内。 1.1.3 至SIS的其他接口如果有可能影响其安全功能时可算作SIS的一部分。 7.5 SIS用户接口 基本过程 控制系统 传感器 逻辑解析器 最终元件 逻辑 图1.1 安全仪表系统(SIS)的定义 1.2 例外 1.2.1 本标准标明安全生存期(见图4.1)的所有步骤，但不规定某些步骤中可能用的方法。 1.2.2 本标准不论述非SIS部分设计的管理或起动过程的管理。 1.2.3 在管理局(联邦、州、省、县、城市等)权限中已建立了过程安全设计、过程或其他要求，这些法规将在所有情况下对本标准规定的这些要求采取措施。这些因素一定要综合入相应步骤的安全生存期中。 1.2.4 本标准不论述只适用核工业的规程、法规和其他要求。 1.2.5 利用过程危险分析方法区分过程危险的活动不属于本标准的一部分。 1.2.6 确定是否需要安全仪表系统不包括在本标准中。 1.2.7 本标准不打算用作单独系统购买的技术规范，并不取消对健全评估的需要，也不管理任一特定技术的使用。 1.2.8 本标准不打算用于基本过程控制系统(BPCS)。 1.2.9 本标准不打算用于气动和液压逻辑的解析器。 1.2.10 本标准不考虑使用目前还未用在安全仪表系统中的技术。当新技术出现，并已可使用(例如ISA SP50 Fielbus)时，这将在本标准计划的(5年)修订版中论述。在其中，如果新的系统性能满足使用，在安全运用中该新技术将由用户审定。在这些情况下，新技术的实施或许对某些S84.01标准的要求必须除外。这些除外应该编成文件，以证实这些新的方法已满足安全要求。 1.2.11 人们对人—机接口信息起作用的能力分析是过程危险分析的一部分，这不属于本标准的范围内。 1.2.12 可能会慢性影响健康、用于监视而安全的仪表不包括在本标准内。 1.2.13 本标准不包括主要用于财产保护而安装的仪表装置。 1.2.14 操作员进行操作才使过程恢复至安全状态是唯一方法的系统不包括在本标准中。(例如报警系统，火警和煤气监视系统等)。 2．适应本标准 注意：本条款是标准的一部分，并含有指令性要求。 为了符合本标准的要求，应该遵守下列内容： 2.1 适应准测 2.1.1 为了符合本标准，必须表明每个要求已经满足，因此要完成各条款的任务。 2.1.2 需要参照信息附录审定某个要求的场合，要指明该技术和办法可使用的范围，以满足在信息附录中未列入技术和办法的要求。 2.1.3 在正规条款1-11中包含的技术和办法已有设计和支持安全仪表系统中具有良好的工程实践。 2.2 现有系统 2.2.1对于发布本标准之前已按照规程，标准或实施惯例设计和构成的现有SIS，业主/操作员应该确立该设备以一种安全方法进行设计、维护、检验、测试和操作。 3．术语的定义和缩写 注意：本条款是标准的一部分，并含有指令性要求。 3.1 定义 本标准采用下列定义： 3.1.1 application program (应用程序)：参见软件(3.1.58.1)。 3.1.2 application software (应用软件)：参见软件(3.1.58.1)。 3.1.3 architecture (结构)：构成SIS的硬件或模块的布置和互连。 3.1.4 availability (利用率)：参见安全利用率(3.1.51)。 3.1.5 Basic Process Control System (SPCS，基本过程控制系统)：该系统响应由控制下设备和/或操作员发来的输入信号，并产生引起控制下设备以所希望方法进行工作。一些例子包括发热反应的控制、压缩机抗浪涌的控制、以及燃烧炉燃料/空气的控制。这也称作过程控制系统。 3.1.6 bypassing (旁路)：临时使SIS中某个安全功能失效。 3.1.7 common cause (普通原因) 3.1.7.1 common cause fault (普通原因的故障)：在系统的多个元件中引起故障的单一原因。该原因可以是系统内部或外部。 3.1.7.2 common cause failure (普通原因的事故)：普通原因故障造成的结果。 3.1.8 communication (通信) 3.1.8.1 interual communication:(外部通信)：在SIS和各种系统或SIS外部各种设备之间的数据交换。这些包括共用操作接口、维护/工程接口、数据采集系统、主计算机等。 3.1.8.2 external communication (内部通信)：给定SIS内各种器件之间的数据交换。这些包括总线底板连接、本地或远程I/O总线等。 3.1.9 coverage (有效范围)：参见诊断的有效范围(3.1.14)。 3.1.10 covert fault (隐蔽的故障)：故障可以分成隐蔽、消失、未检测到、不显露、潜伏等各类。 3.1.11 decommissioning (停止使用)：从现役中永久性撤消一个完整的SIS。 3.1.12 de-energize to trip (停止供能至跳闸)：在正常工作下SIS电路中输出和各设备处于供给能量。动力源(例如电力、空气压力)的撤消引起跳闸动作。 3.1.13 demand (请求)：要求SIS采取相应措施的条件或事件，以防止危险事件的发生或减轻危险事件的后果。 3.1.14 diagnostic coverage (诊断有效范围)：对于具有有效故障检测能力的SIS而言，可检测的故障和故障总数的比值。 3.1.15 diverse (不同的)：使用不同的技术、设备或设计来执行一个普通功能，目的是尽量减少普通原因的故障(见3.1.45，3.1.55和B.2)。 3.1.16 Electrical (E)/Electronic (E)/Programmable Electronic Systems (PES)(E/E/ PES) (电气/电子/可编程电子系统)：这种情况下使用的电气称作电磁机械技术执行的逻辑功能(例如电磁机械继电器、电动机驱动的定时器等)，电子称作电子技术执行的逻辑功能(例如固态逻辑、固态继电器等)，而可编程电子系统称作可编程或配置设备执行的逻辑(例如可编程序逻辑控制器(PLC)、单回路数字控制器(SLDC)等)。现场设备不包括在E/E/PES中。 3.1.17 electronic (/E，电子)：参见E/E/PES(3.1.16)。 3.1.18 embedded software (嵌入式软件)：参见软件(3.1.58.2)。 3.1.19 energize to trip (供能至跳闸)：在正常工作下SIS电路中输出和各设备处于停止供给能量。施加动力(例如电力、空气压力)引起跳闸动作。 3.1.20 fail-safe (故障保险)：当特定故障时进入预定安全状态的能力。 3.1.21 fault tolerance (故障容限)：当出现有限量硬件和软件故障时，系统能提供继续正确执行其指定功能的内部能力。 3.1.22 field devices (现场设备)：连接至SIS I/O现场测端子的设备。这种设备包括硬接线至SIS I/O端子的现场连线、传感器、最终控制元件及其操作接口设备。 3.1.23 firmware (固件)：专用存贮器单元，装有使可编程序电子设备运转所需的嵌入保护存贮器的软件。 3.1.24 forcing (强制)：是PES工程师站的功能，提供超越应用程序和修改输入/输出状态的能力。 3.1.25 functional testing (功能测试)：按照安全技术要求的测试，定期检验SIS工作状况的行为。 3.1.26 hardware configuration (硬件配置)：参见结构(3.1.3)。 3.1.27 hard-wired (硬接线)：不用软件或固件实现的电气连接。 3.1.28 hazard (危险)：可能引起人身伤害的化学或物理状况，或者环境条件(参考文献C.12)。 3.1.29 input/output modules (输入/输出模块) 3.1.29.1 input module (输入模块)：E/E/PES或子系统用作和外部设备的一个接口，并使输入信号转换成E/E/PES可以利用的信号。 3.1.29.2 output module (输出模块)：E/E/PES或子系统用作和外部设备的一个接口，并使输出信号转换成可以驱动外部设备的信号。 3.1.30 interface (接口)：通过它传输信息的共用界面。 3.1.31 integration (综合)：把多个部件或子系统组装成一个系统的过程。 3.1.32 logic solver (逻辑解析器)：执行应用逻辑的E/E/PES部件或子系统。电子和可编程序电子设备包括输入/输出模块。 3.1.33 off-line (离线)：连接SIS的过程被关停。 3.1.34 on-line (在线)：连接SIS的过程正在工作。 3.1.35 overt faults (公开的故障)：故障可以分成能告示、检测、显示等各类。 3.1.36 permissive (许可)：逻辑程序内的条件必须在该顺序进入下一步之前得到满足。 3.1.37 Pre-Startup Acceptance Test(PSAT) (预起动验收试验)：证实整个SIS性能的过程，以保证符合安全技术要求及其设计。 3.1.38 preventive maintenance (预防性维护)：根据维护实施方法，基于固定的日程、按照制造厂建议或工作经验累计数据对设备进行维护。 3.1.39 Probability of Failure on Demand(PFD) (对请求的故障概率)：指出系统不响应是一请求的概率数值。系统在指定时间间隔内不响应某一请求的平均。概率称作为PFD(平均)。PED等于1分钟安全有效性［见安全有效性(3.1.51)］。 3.1.40 process industry sector (产业园区)：这些产业包括下列内容，但并不限于这些：油、气、木材、金属、食品、塑料、石油化工、化学制品、蒸汽、电力、药品和废料的加工、生产、制造和/或处理。 3.1.41 Programmable Electronic System(PES) (可编程序电子系统)：参见E/E/PES (3.1.16)。 3.1.42 protection layer (保护层)：工程安全特性或保护系统，该层一般包括专门的过程设计、过程设备、管理步骤、基本过程控制系统)BPCS)和/或对紧急危险进行保护的预定响应。这些响应既可自动进行，也可人工起动(见附录A中指南)。 3.1.43 qualitative methods (定性方法)：通过经验和/或使用良好的工程审查制定设计和评估的方法。 3.1.44 quantitative methods (定量方法)：基于数字数据和数学分析进行设计和评估的方法。 3.1.45 redundancy (冗余)：使用多个元件或系统执行同一功能。冗余可以由相同的元件来实现(相同的冗余)，如可由不同的元件来实现(不同的冗余)。 3.1.46 reliability (可靠性)：在给定时间周期内系统可以在规定条件下执行某一指定功能的可能性。 3.1.47 replacement in kind (同样要求的更换)：满足设计规范的更换。 3.1.48 reset (复位)：使控制下设备恢复至预定正常许可或工作状态的操作。 3.1.49 risk assessment (风险评估)：进行风险评估的过程，并使用其结果作出判断。 3.1.50 safe state (安全状态)：按照过程危险分析(PHA)的定义，该控制下的设备或过程应该达到的状态。 3.1.51 safety availability (安全有效性)：安全系统在过程运转中能执行其指定安全服务的时间百分率。在本标准中，对请求的平均故障率(PFD平均)是最优先的条款。(PFD等于1分钟安全有效性；见3.1.39)。 3.1.52 Safety Integrity Level(SIL) (安全完善性等级)：安全仪表系统可以有三个独立的完善性等级(SIL 1，SIL 2，SIL 3)。SIL是以依据对请求故障率(PFD)确定的(见表3.1)。 表3.1 安全完善性等级(SIL) 完全完善性等级(SIL) 对请求的平均故障率(PFD平均) 1 10-1~10-2 2 10-2~10-3 3 10-3~10-4 3.1.53 Safety Instrumented Systems (SIS)(安全仪表系统)：由传感器、逻辑解析器和最终控制元件组成的系统，其目的是为了使过程在违反预定条件时达到安全状态(见图1.1)。其他通常使用的术语是紧急关停系统(ESD，ESS)，安全关停系统(SSD)和安全连锁系统。 3.1.54 Safety Life Cycle (安全生存期)：包含安全仪表系统从构思至停止使用所执行各种活动的顺序(见图4.1)。 3.1.55 separation (分立)：使用多重设备或系统按安全功能分开控制。分立可以由相同元件实现(相同分立)，也可由不同元件实现(不同分立)。 3.1.56 shall (必须)：指示一个必须遵守的要求。 3.1.57 SIS components (SIS部件)：SIS的组成部分。SIS部件的例子有现场设备，输入模块、输出模块和逻辑解析器。 3.1.58 software (软件) 3.1.58.1 application software (应用软件)：用户应用的专门软件，其包括了PES中编程的SIS功能描述，以满足全部安全技术要求(见条款5)。一般来讲，其包含了逻辑顺序、通行准许、限制、表达式等，并控制为了满足安全技术功能要求所必要的相应输入、输出、计算和判断。 3.1.58.2 embedded software (嵌入式软件)：该软件是系统的一部分，由销售商供应，最终用户不能访问进行修改。嵌入式软件也称作固件或系统软件。 3.1.58.3 utility software (实用程序)：用于应用程序创建、维护和文件编辑的软件工具。这些软件工具对于SIS运行是不需要的。 3.1.59 spurious trip (假跳闸)：不是由于已有SIS保护的过程产生故障而关停(例如由硬件故障、软件故障、电力故障、瞬变故障、接地干扰等引起的跳闸)。其他使用的术语包括噪扰跳闸和伪关停。 3.1.60 systematic failures (系统性故障)：由于安全生存期活动中错误(包括过错和漏失)引起的故障，这会在某些输入的特定组合下或特定的环境条件下引起SIS失败。系统性故障可以在安全生存期的任一步中出现。 3.1.61 Test Interval (TI) (测试间隔时间)：功能测试之间的间隔时间。 3.1.62 user approved (用户审定)：硬件、软件、各步骤等要经过用户根据应用进行评估和确定是否接受。 3.1.63 verification (检测)：确认安全生存期的某些步骤是否满足任务的过程。 3.1.64 voting system (表决系统)：冗余系统(例如“n”选“m”，2选1［1002］跳闸，3选2［2003］等)至少需要“n”个通道中有“m”个一致后才能SIS进行动作。 3.2 缩写 BPCS: Basic Process Control System (基本过程控制系统) CFR: Code of Federal Regulations (联邦法规) E/E/PES: Electrical/Electronic/Programmable Electronic System (电气/电子/可编程序电子系统) I/O： Input/Output (输入/输出) MOC： Management of Change (修改管理) MTBF： Mean Time Between Failures (平均故障间隔时间) MTTF： Mean Time To Failure (平均故障时间) MTTR： Mean Time To Repair (平均修理时间) OSHA： Occupational Safety and Health Administration (专用的安全和环保管理) PES： Programmable Electronic System (可编程序电子系统) PFD： Probability of Failure on Demand (对请求的故障概率) PHA： Process Hazards Analysis (过程危险分析) PSAT： Pre-Startup Acceptance Test (预起动验收试验) PSSR： Pre-Startup Safety Review (预起动安全复查) SIL： Safety Integrity Level (安全完善性等级) SIS： Safety Instrumented Systems (安全仪表系统) WDT： Watchdog Timer (监视定时器) 4．安全生存期 注意：本条款是标准的一部分，包含指令性要求。 4.1 适用范围 本标准中的条款是根据安全生存期(见图4.1)进行编排。安全生存期包括安全仪表系统(SIS)从最初构思至停止使用的各种活动。请注意，本标准不论述执行起始安全生存期活动的方法，例如： a) 执行过程初步设计 b) 执行过程危险分析和风险评估 c) 确定非SIS保护层 d) 确定对SIS的必要性 e) 确定所需的安全完善性等级 这些活动不在本标准范围内。 18 起动 过程初步设计 (4.2.1) 执行过程危险分 析和风险评估 (4.2.2) 采用非SIS保护 层来预防同样的 危险或减少风险 (4.2.3) 需要SIS吗？ (4.2.4) 确定目标SIL (4.2.5) 制定安全技术要求 (4.2.6) 执行SIS初步设 计和检查其是否 满足SRS (4.2.7) 执行SIS详细设计 (4.2.8) SIS安装、调试和 预起动验收试验 (4.2.9或4.2.10) 建立运行和维护 步骤 (4.2.11) 预起动的安全 复查(评估) (4.2.12) SIS起动、运行、维 护、定期功能测试 (4.2.13) 修改或停止 使用SIS吗？ (4.2.14) SIS停止使用 (4.2.15) 修改 否 停止使用 是 图符 ISA-dS84.01 包括的安全生 存期步骤 ISA-dS84.01 不包括的安全 生存期步骤 图4.1 安全生存期 在SIS安全生存期中或许有必须重复的点。在出现的安全生存期中指出了其中少许，但并不认为仅仅是那些必须重复的点。 4.2 安全生存期的步骤 4.2.1 安全生存期中第一步是涉及过程初步设计，完成这一步的方法不属本标准范围内。 4.2.2 第二步涉及识别一个过程的危险和危险事件，并评估其内含的风险程度。本标准不论述执行该分析和评估的方法，但是在认定该步进行后才采取本文件的原则。完成这一步的方法不属本标准范围内。 4.2.3 一旦识别出危险的风险，要采取合适的技术(包括过程和设备的修改)来消除该危险、减轻其后果或减少事件的可能性。第三步包括对过程采用非SIS保护层。完成这一步的方法不属本标准范围内。 4.2.4 接着作一个估算判断，确定是否提供了足够数量的非SIS保护层。 希望能提供适当数量的非SIS保护层，这样就不需要SIS保护层了。所以，在考虑增加SIS保护层之前，要想法对利用各种非SIS保护技术的过程和/或其设备进行修改。完成这一步的方法不属本标准范围内。 4.2.5 如果使用SIS合适，下一步是通过确定目标的安全完善性等级(SIL)来建立SIS的要求(见附录A中指南)。SIL规定了达到用户的过程安全目标所必要的性能等级。SIL定为1，2和3。超过SIL 3的SIS不在本标准中论述。SIL越高，SIS的安全功能越有效。其性能可通过增加冗余度、更经常的测试、使用故障诊断检测和使用不同传感器和最终控制元件得到改善。其性能也可通过更好地掌握设计、运行和维护步骤得到改善。 和SIL相关的是对请求的平均故障率(见表4.1)。 表4.1 安全完善性等级的性能要求 安全完善性等级 1 2 3 SIS性能要求 安全有效性的范围 0.9~0.99 0.99~0.999 0.999~0.9999 PFD平均范围 10-1~10-2 10-2~10-3 10-3~10-4 在安全生存期的一些步骤中利用SIL的概念。参见附录A中有关SIL确定的指南。完成这一步的方法不属本标准范围内。 4.2.6 下一步是制定安全技术要求。安全技术要求汇编了SIS功能和完善性的要求(参见条款5)。 4.2.7 下一步进行满足安全技术要求的SIS初步设计。附录B提供了选择结构的指南，以满足SIL要求(见条款6)。 4.2.8 一旦完成了SIS初步设计，就可进行详细设计(参见条款7)。 4.2.9 安装SIS(参见条款8)。 4.2.10 安装完成后，进行SIS的调试和预起动验收试验(PSAT)(见条款8)。 4.2.11 在安全生存期任一步都可进行SIS运行和维护，并在完成后进行起动(参见条款9)。 4.1.12 起动SIS之前应该进行预起动安全复查 (PSSR)。PSSR将包括下列SIS的活动： a) 检查SIS是否按照安全技术要求进行构成、安装和试验。 b) 要符合和满足适合于SIS的安全、操作、维护、修改管理(MOC)和急停步骤。 c) 要坚信或实现适用于SIS的PHA建议。 d) 完成工作人员的培训并给与相关SIS的适当资料。 该活动的规划和执行不属于本标准范围内。 4.2.13 PSSR后，SIS就可投入运行。这一步包括起动、正常运行、维护和定期功能测试(参见条款9)。 4.2.14 如果提议修改，将按照修改管理(MOC)的步骤执行。应该重复安全生存期中的相应步骤，以找出修改对安全的影响(参见条款10)。 4.2.15 某些时候，需要停止SIS。例如，设备关停、过程撤消或修改可能引起停止。这时应考虑SIS停止使用，并采取相应步骤，保证实施的办法不会危及安全(参见条款11)。 5．制订安全技术要求 注意：本条款是标准一部分，并包含指令性要求。 5.1 任务 任务是为安全仪表系统(SIS)的设计制订技术要求。这些安全技术要求由安全功能要求和安全完善性要求二者组成。安全技术要求可以编集成文件或资料。 5.2 输入要求 过程危险分析(PHA)或过程设计组制定安全技术要求所需要的信息包括下列内容： 5.2.1 所需安全功能和每一安全功能SIL的一览表。 5.2.2 每一需要SIS的潜在危险事件的过程信息(事故原因，动态特性，最终元件等)。 5.2.3 过程普通原因的考虑，例如锈蚀、堵室、覆盖等)。 5.2.4 影响SIS的立法要求。 5.3 安全功能要求 安全功能要求包括下列内容： 5.3.1 对每个标识事件下过程安全状态的定义。 5.3.2 至SIS的过程输入及其跳闸点。 5.3.3 过程变量的正常工作范围及其工作限值。 5.3.4 来自SIS的过程输出及其动作。 5.3.5 过程输入和输出之间的功能关系，其中包括逻辑、数学运算功能和任一必要的判断许可。 5.3.6 选择停止供给能量至跳闸，还是供给能量至跳闸。 5.3.7 手动关停的考虑。 5.3.8 SIS失掉能源时采取的措施。 5.3.9 SIS使过程进入安全状态所需的响应时间。 5.3.10 对任一分开故障的响应动作。 5.3.11 人机接口的要求。 5.3.12 复位功能。 5.4 安全完善性要求 安全完善性要求应封开以下各项： 5.4.1 每个安全功能所需的SIL。 5.4.2 达到所需SIL对诊断的要求(参见B.9中指南)。 5.4.3 达到所需SIL对维护和测试的要求。 5.4.4 对假跳闸或许有危险的可靠性要求。 6．SIS初步设计 注意：本条款是标准的一部分，并包含指令性要求。 6.1 任务 为了满足安全技术要求，确定制订和检验SIS初步设计所需的这些要求。 6.2 初步设计的要求 6.2.1 应该为每个安全功能选择安全仪表系统(SIS)的结构，以满足所需的安全完善性等级(SIL)。(例如所选的结构可以是1选1［1001］,2选1［1002］，3选2［2003］等)。 6.2.2 一个SIS可以有共用逻辑解析器和/或输入/输出设备的单一安全功能或多个安全功能。当多个安全功能共用部件时，该共用部件应该满足共用安全功能的最高级SIL。不是共用的系统部件必须满足所述安全功能的SIL要求。当多个SIS组合入一个共用逻辑或部件的系统时，可能会增加公共原因的故障。编程、操作方法、维护、电源及安全性是典型要考虑的公共原因。 6.2.3 通过下列设计理念的组合来满足所需的SIL： a) 分立—相同或不同的(参见B.1中导则)。 b) 冗余—相同或不同的(参见B.2中导则)。 c) 软件设计考虑，(参见B.3中导则)。 d) 技术选择(参见B.4中导则)。 e) 故障率和故障形式(参见B.5中导则)。 f) 结构(参见B.6中导则)。 g) 动力源(参见B.7中导则)。 h) 公共原因故障(参见B.8中导则)。 i) 诊断(参见B.9中导则)。 j) 现场设备(参见B.10中导则)。 k) 用户接口(参见B.11中导则)。 l) 安全性(参见B.12中导则)。 m) 接线实施办法(参见B.13中导则)。 n) 文件编集(参见B.14中导则)。 o) 功能测试间隔时间(参见B.15中导则)。 7．SIS详细设计 注意：本条款是标准的一部分，并包含指令性要求。 7.1 任务 为安全仪表系统(SIS)的设计提供详细的要求，以满足安全技术要求和初步设计的要求。 7.2 一般要求 7.2.1 SIS设计应该能够达到安全完善性等级(SIL)。 7.2.2 SIS可以包括顺控功能，使该过程进入或保持其安全状态。 7.2.3 SIS可以具有一个或多个连锁或安全功能。 7.2.4 SIS设计文件是情况良好的正式修订车，并有版本调整大纲。 7.2.5 SIS工作中所用设备的制造厂应该保持设备的正式修订本和版本调整大纲，其中包括应用软件。可以采用直观的标志或用户接口来标识该信息(例如部件号，序列号，批号等)。 7.2.6 设计应该保证应用项目中所用的硬件和软件合适的。 7.2.7 如果实现了SIS，任何非安全功能的动作不会中断或危及任一SIS安全功能。 7.2.8 应该为安全功能规定所需每个SIS部件的安全状态。 7.2.9 SIS应该设计得：一旦过程处于安全状态，应该使安全状态一直保持到产生恢复为止。手动或自动复位的要求应该按照安全技术要求中的规定。 7.2.10 应该提供和逻辑解析器无关的手动方式，以便驱动SIS最终文件，除非安全技术要求中另有指定。 7.2.11 检测到会引起SIS故障的任何单一故障都会导致自动预定的故障安全动作，和/或采取相应的响应动作后引入一个过程安全状态。 7.2.12 设计应该采用环境条件和危险区分类的规程和标准(例如NFPA 70，国家电工规程，章程500)(参见C.5中导则)。 7.2.13 SIS输入/输出电源电路应该和任何其他用途的电路分离，除非传感器或最终控制元件是按照7.4.2.2和7.4.3.1中许可而共用的。 7.3 SIS逻辑解析器 7.3.1 逻辑解析器供货者应该提供一个综合设计，应该包括适用场合，输入模块，输出模块，维护接口设备，通信和实用程序。该综合设计应该编集成文件。 7.3.2 逻辑解析器供货者应该提供平均故障时间(MTTF)的数据，隐蔽故障形式的列表和出现可识别公开故障的频度。应该提供上述的方法和数据来源。 7.3.3 PES逻辑解析器应该具有对公开故障保护的方法(内部和/或外部)(例如逻辑解析器行为对过程动作的比较，测试逻辑解析器行为的嵌入式或应用软件。 7.3.4 逻辑解析器应该和基本过程控制系统(BPCS)隔离(参见B.1中导则)，除非某些应用项目具有以一个“逻辑解析器”组合成的BPCS和SIS功能(例如燃气轮机)。在这种情况下，BPCS/SIS逻辑解析器应该满足其SIL(参见C.1中附加导则)。 7.3.5 逻辑解析器应该能确保电源恢复时过程不会自动重新起动，除非过程危险分析指明这是合适的。 7.4 现场设备 7.4.1 一般要求 7.4.1.1 供给能量至跳闸的开关量输入/输出电路应该采用一种方法来保证电路的完善性(例如线路终监视器，以试验电流连续监视，保证电路的连贯性，试验电路应该不是以影响正常I/O工作)。 7.4.1.2 当使用远程输入/输出时，应该连同逻辑解析器一般评估(参见B.6中导则)。 7.4.1.3 每个单独的现场设备应该有其自己专用的至系统输入/输出的接线，除非有下列情况： a) 多个分立的传感器是串联连接一个输入，这些传感器是监视同一的过程状况(例如电动机过负载)。 b) 多个最终控制元件(FCE)连接至一个输出，这每一个FCE是使用同样的过程条件。 c) 用户审定的系统，例如火警和煤气检测系统。 d) 参见1.2.10中ISA SP50 Fieldbus。 7.4.1.4 现场设备要经选择和安装，尽量减少可能涉及不正确信息的故障，这是由于过程和环境条件出现状况而产生的。应该考虑的状况有腐蚀，管子内材料的冰冻，悬浮固体、聚合、结焦、温度和压力过高或过低。 7.4.2 传感器要求 7.4.2.1 智能传感器应该有写保护，了防止由远程疏忽修改，除非相应的安全复查允许使用读/写。 7.4.2.2 SIS用的传感器应该和基本过程控制系统(BPCS)用的传感器分开。允许有二个例外，前提是传感器的故障不会建立要由SIS进行保护的状况： a) 如果使用冗余的传感器，可以同时连接至BPCS和SIS，前提是BPCS中的任何故障不会影响传感器的正确工作或SIS正确读取传感器的能力。 b) 如果PHA确定了一个或多个保护层，而不用BPCS和SIS来提供保护的冗余，而由该传感器提供冗余。 7.4.2.3 传感器的诊断是由销售商或用户提供，应该按照满足SIL的要求进行提供(见B.9中导则)。 7.4.3 最终控制元件的要求 7.4.3.1 来自BPCS的控制阀不是用作SIL 3唯一的最终元件。安全复查需要使用单个BPCS控制阀作为SIL 1和2唯一的最终元件，更多信息见B.1.6。 7.4.3.2 电动机起动器 电动机起动器一般是共用于BPCS和SIS，除非过程危险分析另有规定(参见B.10.4.3中导则)。 7.5 接口 本节论述至SIS的所有人/机和通信接口。这些包括，但并不限于下列接口： a) 操作员接口； b) 维护/工程师接口； c) 通信接口。 7.5.1 操作接口的要求 操作接口称作用于操作员和SIS之间通信的中间媒体(例如CRT、指示灯、按钮、电笛、报警等)。 7.5.1.1 操作接口的系统设计要考虑到SIS操作接口的失去和相应安全复查所规定的综合要求。该设计应该保证SIS操作接口故障时，要提供足够的替换方法，便于操作员使过程进入一个安全状态，而且不危及SIS的自动功能。 7.5.1.2 SIS状态信息对维持SIL至关重要，可以用作操作接口的一部分，这些信息可以包括： a) 过程处于顺控状态； b) 指出SIS保护动作已经产生； c) 指出保护功能被旁路； d) 指出已产生自动化动作，例如表决的降级和/或故障的处理； e) 传感器和最终控制元件的状态； f) 失去能源，该能源失去会影响安全； g) 比较诊断的结果； h) 支持SIS必要的环境调节设备故障。 7.5.1.3 不允许由SIS操作接口修改SIS应用软件。当SIS维护/工程师接口用作至SIS的操作接口时，就可用这个接口修改应用软件，但需要相应的安全复查和访问的安全性。需要有一些和安全有关的信息从BPCS传送至SIS。例如，在批处理系统中，SIS可以根据所用的处方有不同的给定值或逻辑功能。如果这样的话，操作接口可以用于选择SIS中适当的逻辑功能，也可以用于选择处方专用表。对于这种类型的应用而言，只有使用SIS系统才能选择性地写入BPCS可以访问的SIS变量(参见B.1.8中附加导则)，并有确认步骤，以保证正确的选择在SIS中发送和接收。 允许和不许读/写访问只能由配置或编程过程中使用具有合适文件编辑和安全手段的维护/工程师接口来决策。操作员接口不允许执行这种功能。 7.5.2 维护/工程师接口的要求 维护/工程师接口是能提供SIS正确维护的媒体。其包括在软件中可以找到的指令和诊断程序，编程终端，诊断工具，指示器，旁路器件、测试器件和校准器件。 7.5.2.1 SIS维护/工程师接口的设计要保证该接口的任一故障不会有害影响SIS使过程进入安全状态的能力。这可能需要断开维护/工程师接口的连接，例如在SIS正常运行时断连编程盘。 7.5.2.2 维护/工程师接口应该提供下列功能： a) 访问对SIS工作模式的安全性保护，程序，数据，禁止报警通信的手段，测试，旁路、维护等。 b) 访问SIS的诊断，表决和故障处理的服务程序。 c) 访问增加，删除或修改应用软件。 d) 访问查找SIS故障所必要的数据。 7.5.3 通信接口的要求 通信接口称作为SIS和其他设备之间的硬件和软件通信，其他设备如操作员接口、维护/工程师接口、BPCS、网络或外设。 7.5.3.1 SIS通信接口的设计要保证通信接口的任一故障不会有害影响SIS使过程进入安全状态的能力。 7.5.3.2 通信信号和其他能源是通过使用良好的工程实践惯例进行隔离，例如使用屏蔽电缆，然而保持具有单独专用电缆的单独接地面。或者使用光纤电缆。 7.6 电源 该设计应该保证每个电源按照安全技术要求的规定满足SIS的要求(参见B.7中导则)。 7.7 系统环境条件 必须涉及系统环境条件；以保证SIS正确工作。这需要考虑下列内容：温度、湿度、污染、接地、电磁干扰/射频干扰(EMI/RFI)、冲击/振动、静电放电、电气区域的分类、洪水等。 7.7.1 SIS会暴露在所有环境条件下，在系统设计中应该考虑SIS所有部件的工作环境技术要求。 7.7.2 系统设计应该采取专门步骤以某种方法解决环境条件和设备技术规范之间的所有差别，使SIS能按照安全技术要求示执行，例如安装加热器、空调和/或空气过滤器。 7.8 应用逻辑的要求 7.8.1 电气系统的应用逻辑 7.8.1.1 用于SIS时，只能提供和考虑应用逻辑是情况良好的正规修订本和版本调整大纲。 7.8.1.2 应该提供应用逻辑是正规修订本和版本调整大纲，并由用户保持。 7.8.1.3 用户应该保证应用逻辑以清晰、正确和完整的方法编集成文件(参见B.14中导则)。 7.8.2 电子系统的应用逻辑 7.8.2.1 用于SIS时，只能提供和考虑应用逻辑是情况良好的正规修订本和版本调整大纲。 7.8.2.2 应该提供应用逻辑是正规修订本和版本调整大纲，并由用户保持。 7.8.2.3 用户应该保证应用逻辑以清晰、正确和完整的方法编集成文件(参见B.14中导则)。 7.8.3 PES的应用逻辑 本子条款中讨论的软件涉及SIS的应用。讨论嵌入式和实用软件对应用软件的影响。 7.8.3.1 用于SIS 时，只能提供和考虑软件是情况良好的正规修订本和版本调整大纲。 7.8.3.2 应该提供嵌入式软件和实用软件的正规修订本和版本调整大纲，并由SIS制造厂保持。制造厂也应该提供和保持一份会导致对请求不动作的所有故障列表和建议措施。 7.8.3.3 用户不得修改SIS嵌入式或实用软件。 7.8.3.4 用户应该保证应用软件以清晰、正确和完整的方法编集成文件(参见B.3和B.14中导则)。 7.8.3.5 用户应该保持应用软件正规修订本和版本调整大纲。 7.9 维护或测试的设计要求 7.9.1 该设计应该能测试整个系统。应该能够测试最终元件对传感器动作的反应性动作。由于过程计划停机的间隔时间大于功能测试间隔时间，所以需要在线测试工具。 7.9.2 当需要在线功能测试时，测试工具应该是SIS设计的整体部分，以便测试公开故障。 7.9.3 当测试和/或旁路工具包括在SIS中时，这些工具应该符合下列： a) SIS应该按照安全技术要求中规定的维护和测试要求进行设计。 b) 通过报警和/或操作步骤旁路任何SIS部分时要告诫操作员。 c) 旁路任一SIS部分不会导致不能检测和/或告知正监测的状况。 7.9.4 强制输入和输出不应该用作下列的一部分： a) 应用软件； b) 操作步骤； c) 维护，除非另有注明。 不使SIS中止工作而强制输入和输出是不允许的，除非增补章程和访问安全性。任何这样的强制都应该适当的告示或报警。 8．安装、调试和预起动验收试验 注意：本条款是标准一部分，并包含指令性要求。 8.1 任务 8.1.1 本条款的任务是保证安全仪表系统(SIS)按照详细设计进行安装，并按照安全技术要求执行。 8.1.2 安装、调试或预起动验收试验(PSAT)期间对SIS专用设备和任何变更或修改必须返回至安全存期的相应阶段(修改首先影响的那一个)。 8.2 安装 8.2.1 所有设备应该按照设计进行安装。 8.3 调试 8.3.1 调试是保证SIS按照详细设计进行安装，并且作为预起动验收试验的准备。 8.3.2 SIS调试工作包括下述内容，但并不限于这些，保证以下事项是按照详细设计文件安装的，并是按照安全技术要求执行的： a) 设备和接线已正确安装， b) 能源运行正常， c) 所有仪表已正确校准， d) 现场设备动作正常， e) 逻辑解析器和输入/输出动作正常。 8.4 预起动验收试验(PSAT) 8.4.1 PSAT提供SIS的全面功能测试，展示其符合安全技术要求。PSAT