1、安全仪表系统（SIS）功能安全评估山东XXX安全评价有限公司二二年六月目 录1前言11.1项目背景11.2评估范围11.3评估依据21.4报告结构21.5缩略语、术语和定义32生产装置情况概述62.1工艺流程简述62.2原辅材料及产品情况82.3重大危险源情况92.4安全仪表系统设置要求93 安全仪表系统（SIS）设计情况103.1 安全仪表系统（SIS）设计方案103.2 安全功能要求113.3 安全完整性要求234 安全仪表系统（SIS）施工及使用情况254.1 安全仪表系统（SIS）施工情况254.2 安全仪表系统（SIS）的操作指导及培训304.3 安全仪表系统（SIS）的运行及使用情2、况305 功能安全评估结果325.1 功能安全评估形式325.2 功能安全评估结论325.3 建议32附录 本项目功能安全评估工作表34附件 安全仪表系统（SIS）功能安全评估1 前言1.1 项目背景安全仪表系统用于执行安全仪表功能，以保证运行过程在出现危险情况时进入安全状态，避免或减少对人员、环境、设备造成的危害，其在20世纪80-90年代发展起来，以其高可靠性、安全性和灵活性在过程工业领域内得到了广泛应用，是保证生产安全的重要措施。安全仪表系统独立于过程控制系统（例如分散控制系统等），生产正常时处于休眠或静止状态，一旦生产装置或设施出现可能导致安全事故的情况时，能够瞬间准确动作，使生产过程3、安全停止运行或自动导入预定的安全状态，必须有很高的可靠性（即功能安全）和规范的维护管理，如果安全仪表系统失效，往往会导致严重的安全事故，近年来发达国家发生的重大化工（危险化学品）事故大都与安全仪表失效或设置不当有关。因此，对安全仪表系统实现的功能安全和安全完整性进行评估十分重要。受*的委托，山东永妥安全评价有限公司对其*进行SIS安全仪表系统的功能安全评估，对其关键设备和工艺系统进行了详细审查、技术讨论和分析，查阅相关文件、制度、记录等，分别从安全仪表系统的设计、安装和调试、操作和维护、仪表系统人员的配备和培训等方面进行评估。本报告：“*安全仪表系统功能安全评估”详细描述了上述评估工作的成果。4、1.2 评估范围本次功能安全评估的对象为*生产及储存设施的安全仪表系统（SIS）。1.3 评估依据（1）重点监管危险化工工艺目录（2013年完整版）（2）重点监管的危险化学品名录（2013年完整版）（3）国家安全监管总局办公厅关于印发首批重点监管的危险化学品安全措施和应急处置原则的通知（安监总厅管三2011142号）（4）危险化学品重大危险源监督管理暂行规定（国家安全生产监督管理总局令2011第40号，根据国家安全监管总局关于废止和修改危险化学品等领域七部规章的决定修订）（5）国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三2014116号）（6）关于加强危险化学品企业涉爆区5、域（车间）安全管控的通知（潍应急字20197号）（7）电气电子可编程电子安全相关系统的功能安全（GBT20438.120438.7-2017）（8）过程工业领域安全仪表系统的功能安全（GB/T21109.121109.3-2007）（9）石油化工安全仪表系统设计规范（GB/T50770-2013）1.4 报告结构本报告的结构如下： 第1章简要描述了本次功能安全评估的背景、评估范围、评估依据、术语及定义等； 第2章简要描述了本项目工艺流程及相关安全控制要求； 第3章描述了本项目安全仪表系统的设计情况； 第4章描述了本项目安全仪表系统的施工、调试、操作及维护情况； 第5章对本次功能安全评估进行了总6、结； 附录 是本项目功能安全评估工作表； 附件中列出了本次评估所用到的相关资料文件、图纸。1.5 缩略语、术语和定义一、缩略语BPCS：基本过程控制系统（basic process control system）EUC：受控设备（equipment under control）E/E/PE：电气/电子/可编程电子（electrical/electronic/programmable electronic）HAZOP：危险与可操作性分析（hazard and operability analysis）P&ID：管道及仪表流程图（pipe and instrument diagram）SIF：安全7、仪表功能（safety instrument function）SIL：安全完整性等级（safety integrity level）SIS：安全仪表系统（safety instrument system）SRS：安全要求规格书（safety requirement specification）二、术语和定义1、危险失效：对执行安全功能有影响的组件和/或子系统和/或系统的失效，其：a）在要求时阻止安全功能的执行（要求模式），或导致安全功能失效（连续模式）以致EUC进入危险或潜在危险的状态。b）降低在要求时安全功能正确执行的概率。2、安全失效：对执行安全功能有影响的组件和/或子系统和/或系统的失8、效，其：a）导致安全功能的误动作从而使EUC（或其一部分）进入或保持安全状态；或b）增加安全功能的误动作从而使EUC（或其一部分）进入或保持安全状态的概率。3、故障裕度：在出现故障或误差的情况下，功能单元继续执行要求功能的能力。4、硬件故障裕度（HFT）：一个部件或子系统在有一个或几个硬件危险故障的情况下，仍能继续承担所要求的安全仪表功能的能力。5、功能安全：与过程和BPCS有关的整体安全的组成部分，它取决于SIS和其它保护层的正确功能执行。6、功能安全评估：基于证据的调查，以判定由一个或多个保护层所实现的功能安全。7、硬件安全完整性：安全相关系统安全完整性中，与危险失效模式下的随机硬件失效有9、关的部分。8、保护层：借助控制、预防或减轻以降低风险的任何独立机制。9、以往使用：部件和子系统之前在类似应用和实际环境中的使用。10、经使用验证的：评估文档记录有适当证据表明：基于部件以往使用的情况，该部件适用于安全仪表系统时。11、随机硬件失效：在硬件中，由一种或几种可能的退化机理而产生的，在随机时间出现的失效。12、冗余：对于执行一个要求的功能或对于表示信息而言，存在多于一种的方法。13、风险：出现伤害的概率及该伤害严重性的组合。14、安全状态：达到安全时的过程状态。15、安全功能：针对特定的危险事件，为达到或保持过程的安全状态，由SIS、其它技术安全相关系统或外部风险降低设施实现的功能。10、16、安全仪表功能（SIF）：具有某个特定SIL的，用以达到功能安全的安全功能，它既可以是一个安全仪表保护功能，也可以是一个安全仪表控制功能。17、安全仪表系统（SIS）：用来实现一个或几个安全仪表功能的仪表系统。SIS可以由传感器、逻辑控制器和执行器的任何组合组成。18、安全完整性：安全仪表系统在规定时段内、在所有规定条件下满足执行要求的安全仪表功能的平均概率。19、安全完整性等级（SIL）：用来规定分配给安全仪表系统的安全仪表功能的安全完整性要求的离散等级（4个等级中的一个）。SIL4是安全完整性的最高等级，SIL1为最低等级。20、安全要求规格书（SRS）：包含安全仪表系统应执行的安全仪11、表功能的所有要求的规格书。2 生产装置情况概述*成立于2011年09月05日，注册地址为昌邑市龙池镇瓦城北，法定代表人杨英庆，为个人独资企业。公司主要从事溴素的生产和销售。该公司厂区现有*。2.1 工艺流程简述1）生产工艺溴素生产主要由液氯气化、二氧化硫制取、卤水酸化、卤水氧化、溴素吹出、吸收、氧化及蒸馏等七道主要工序组成。（1）液氯气化开启液氯钢瓶，使液氯在压力差的作用下进入液氯气化器，液氯在此气化，气化器水温控制在水温夏季50以下，冬季70以下。通过调节液氯流量和水温的方式使氯气缓冲罐内的压力稳定，供出氯气。气化的氯气进入氯气缓冲罐。（2）二氧化硫制取固体颗粒硫磺进入硫磺燃烧炉中，在50012、600温度下进行燃烧，得到含二氧化硫、少量三氧化硫和硫磺颗粒以及空气的气体，经过二氧化硫洗涤塔进行喷淋水洗除去三氧化硫及硫磺颗粒，得到40左右含二氧化硫和空气的气体。（3）卤水酸化贮存于卤水库中的卤水经卤水泵送入管道，卤水流经出口阀后，加入盐酸及含酸废水调配后进行酸化，使PH值达到要求的范围，然后通入氯气。（4）卤水氧化酸化后的卤水由泵输送至吹出塔中，在输送管道上向酸化后的卤水中通入定量的氯气，进行氧化还原反应（置换反应），卤水中的溴离子被氯气氧化，产生的溴气而被置换出来，以游离态存在于卤水中。（5）吹出工序氧化后的卤水（含有游离溴的卤水）输送至吹出塔，吹出塔与吸收塔通过气道相连，构成了闭路循13、环系统，向吹出塔底部通入空气，与从上向下的卤水逆流接触，溶解在卤水中的游离溴气与空气充分接触并被空气吹出，得到含溴空气。含溴空气沿风道进入吸收塔。在风道内通入二氧化硫气体，使之与含溴空气充分混合进入吸收塔，脱溴卤水送往周边盐田晒盐。（6）吸收工序从塔顶向吸收塔内喷入清水，含溴空气的溴在水存在的情况下被二氧化硫还原，产生氢溴酸和硫酸水滴，水滴进入捕沫塔，使氢溴酸得到富集形成吸收完成液，进入母液池中，然后经泵送往蒸馏塔。空气用风机从捕沫塔顶抽出送入吹出塔密闭循环使用，吹出溴后的卤水排出装置，送入周边盐场晒盐。（7）氧化及蒸馏用泵将完成液从蒸馏塔顶部加入，水蒸气、氯气从蒸馏塔底部加入。完成液与水蒸气14、氯气在塔内逆流接触，溴化氢被氯氧化，生成单质溴和氯化氢（控制蒸馏温度6575，塔内压力0.04MPa左右），单质溴与部分水蒸气从蒸馏塔顶部排出，经换热器、冷却器冷凝降温，进溴水分离瓶，分离瓶得到的粗溴和溴水混合物，粗溴经处理除去多余的氯得到成品溴，送往液溴储罐；溴水混合物与完成液混合后被送回蒸馏塔进行下一个蒸馏过程。蒸馏塔底部含酸废液循环使用，送往卤水泵出口管酸化卤水。2）反应原理该装置采用空气吹出法生产工艺。将盐酸及氯气通入卤水中，使离子溴转化成游离溴，然后用空气将溴从卤水中吹出，再用二氧化硫吸收，得到完成液，将完成液中的溴送入蒸馏塔蒸馏，经冷却分离得到成品溴。3）反应方程式2NaBr +15、 Cl2 = 2NaCl + Br2 （溴化物以NaBr为代表）S + O2 = SO2Br2 + SO2 + 2H2O = H2SO4 +2HBr2HBr+ Cl2 = 2HCl + Br24）工艺流程简图图 2.1-1 工艺流程简图2.2 原辅材料及产品情况该公司*生产过程中涉及的原辅材料、中间产物、产品有氯、硫磺、盐酸、卤水、二氧化硫烟气、母液（含氢溴酸）、酸性水（含有硫酸、盐酸、水等）、溴素；另外，该装置事故氯吸收装置还用到氢氧化钠。根据重点监管的危险化学品名录（2013年完整版）规定，*涉及的原料氯属于重点监管的危险化学品。2.3 重大危险源情况根据*提供的重大危险源评估报告内容可知16、，该公司储存的危险化学品的实际量已超过危险化学品重大危险源辨识（GB18218-2018）规定的重大危险源临界量，构成危险化学品重大危险源。根据危险化学品重大危险源辨识（GB18218-2018），该公司液氯钢瓶库单元构成三级危险化学品重大危险源，溴素储罐区单元构成四级危险化学品重大危险源。2.4 安全仪表系统设置要求该企业涉及重点监管的危险化学品氯，且液氯钢瓶库单元构成三级危险化学品重大危险源，溴素储罐区单元构成四级危险化学品重大危险源。根据国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三2014116号）的规定要求，涉及“两重点一重大”的化工装置和危险化学品储存设施要设计17、符合要求的安全仪表系统。3 安全仪表系统（SIS）设计情况企业委托山东永妥安全评价有限公司出具了*安全完整性等级（SIL）定级报告，委托山东中天科技工程有限公司出具了溴素装置SIS系统改造工程SIS设计报告。3.1 安全仪表系统（SIS）设计方案1）液氯钢瓶称重衡器（W1001A）设置重量指示报警联锁仪表（WIAS1001A），重量低限报警，低低限联锁关闭液氯钢瓶出料切断阀（XV1001A）。2）液氯钢瓶称重衡器（W1001B）设置重量指示报警联锁仪表（WIAS1001B），重量低限报警，低低限联锁关闭液氯钢瓶出料切断阀（XV1001A）。3）液氯钢瓶称重衡器（W1001C）设置重量指示报警联18、锁仪表（WIAS1001C），重量低限报警，低低限联锁关闭液氯钢瓶出料切断阀（XV1001B）。4）液氯钢瓶称重衡器（W1001D）设置重量指示报警联锁仪表（WIAS1001D），重量低限报警，低低限联锁关闭液氯钢瓶出料切断阀（XV1001B）。5）氯气缓冲罐（V1002A）设置压力指示报警联锁仪表（PIAS1003A），压力高限报警，高高限联锁关闭液氯钢瓶出料切断阀（XV1001A），同时停热水泵（P1001）。6）氯气缓冲罐（V1002B）设置压力指示报警联锁仪表（PIAS1003B），压力高限报警，高高限联锁关闭液氯钢瓶出料切断阀（XV1001B），同时停热水泵（P1001）。7）蒸馏塔19、（T1003）氯气进料管线设置流量指示报警联锁仪表（FIAS1003），流量高限报警，高高限联锁关闭蒸馏塔氯气进料管线切断阀（XV1003）。8）吹出塔（T1004）氯气进料管线设置流量指示报警联锁仪表（FIAS1004），流量高限报警，高高限联锁关闭吹出塔氯气进料管线切断阀（XV1004）。9）液氯气化区设置氯气检测报警器与液氯钢瓶出料切断阀（XV1001A/B）联锁，氯气检测器报警联锁关闭液氯钢瓶出料切断阀（XV1001A/B）10）蒸馏塔、吹出塔设置氯气检测报警器，蒸馏塔（T1003）氯气检测器报警联锁关闭氯气进料管线切断阀（XV1003）；吹出塔（T1004）氯气检测器报警联锁关闭氯气20、进料管线切断阀（XV1004）。11）溴素储罐（V1007A）设置液位指示报警联锁仪表（LIAS1007A），液位低限、高限报警，高高限联锁关闭溴素进料切断阀（XV1007A）。12）溴素储罐（V1007B）设置液位指示报警联锁仪表（LIAS1007B），液位低限、高限报警，高高限联锁关闭溴素进料切断阀（XV1007B）。13）溴素储罐（V1007C）设置液位指示报警联锁仪表（LIAS1007C），液位低限、高限报警，高高限联锁关闭溴素进料切断阀（XV1007C）。3.2 安全功能要求3.2.1 总体要求1、必须采用有TUV认证的，安全级别为SIL2（IEC61508）和 AK4（TUV）的S21、IS系统。安全仪表系统可按照安全度等级的要求分为 1，2，3，4级。安全等级越高，安全仪表系统的安全功能越强。如果危险分析表明需要采用这种高危险等级，则过程设计应当进行相应修改，保证本身的安全性更高，或增加保护层。连续模式下的安全仪表功能所需的SIL应根据IEC61511，第9.2.4节，表4的规定确定。2、安全仪表系统独立于过程控制系统，独立完成安全保护功能。3、安全仪表系统包括传感器，逻辑单元和最终执行元件;当过程达到预定条件时，安全仪表系统动作，将过程带入安全状态。4、必须采用以微处理机为基础的冗余容错技术,并能够满足SIL2的要求。5、应能实现时序控制、计算、脉冲调幅、积算、数据键入、22、操作、通信等功能。6、应能诊断和显示系统的全部部件故障，以及通过中心控制室(CCR)的控制台(操作员或工程师工作站)的显示单元(VDU)实现完整的SIS交互和系统管理,并通过串行通信接口在DCS的操作站上显示。7、应先进可靠，组态方便、灵活，具有开放式的结构。8、必须设计成故障安全型，应为非励磁停车。9、必须采用冗余和容错的通信方式。SIS的设计应当是容错而不是纠错。因此，SIS应当具有识别和甄别故障、发现故障来源、将故障包容和隔离在系统的一个或多个模块中，同时在出现故障时具有恢复或维持操作状态的能力。10、SIS与DCS通信接口模件应是冗余配置，带自诊断功能，在DCS的操作站上能显示运行状态23、。SIS冗余通讯连接结构应当允许容错冗余模拟和数字数据的双向通讯。应当运用两类通讯连接区分这两种通讯连接；SIS和DCS之间为冗余通讯连接。SIS与DCS的通讯接口应当为冗余配置，具有自诊断功能，并能够在DCS屏幕上显示系统状态。11、SIS系统应提供带包括紧急停车、开车、复位按钮开关，信号报警器等部件的辅助操作台。12、在中心控制室和现场机柜室设有工程师站和SER工作站。工程师站用于SIS系统的组态、下装、调试和日常维护；SER工作站用于顺序时间事件的记录。工程师站和SER工作站互为备用。13、SIS的电气设计和安装应当符合使用的IEC标准、地方法规和SIS设备制造商的要求。14、机柜应当符24、合项目规定的要求。15、在工厂调试完成后，SIS系统机柜中，必须预留15%的卡件物理空间用于将来安装扩展的I/O卡件；各类控制、检测点的备用量为15%（其中每个I/O卡应预留不低于15%的空余通道作为备用），接线端子备用量为20%。16、在工厂调试完成后，SIS系统控制器的负载必须低于50%；数据通讯网络的负载最高达到50%；电源单元的负载最多达到其能力的60%；应用软件和通讯系统有30%的扩展能力；SIS系统各局域网上的节点，应预留30%的扩展空间。17、SIS系统可根据各装置的需要，在现场设置远程I/O模块，并应满足相应区域的防爆要求和环境设计条件。中心控制室内的SIS辅助操作台上的开关、25、按 钮及外报警灯屏等，应以硬线方式连接到综合机柜室的SIS远程I/O机柜上。SIS远程I/O应以冗余的通讯光缆与现场机柜室内的SIS控制器连接。各装置在中心控制室的综合机柜室内，应设置独立的远程I/O机柜。SIS的远程I/O卡件亦应获得相应 SIL等级认证。18、如果输入/输出卡件远程安装，必须采用冗余通讯，并通过不同路径敷设。如果发生一条通讯线路信号丢失应当产生报警。如果出现通讯信号全部丢失，所有受到影响的输出应当恢复到预定的故障安全状态，即失电状态。 19、系统中模块出现故障应当能够通过报警触点、诊断状态字符、LED 状态指示器自动检测、识别和发出报警，但不会干扰正常的处理功能。应具备在线26、插拔任何模块而不需重新组态系统软件、更改系统接线、系统或模块断电、重新启动系统或威胁安全功能。20、安全仪表系统应具有硬件和软件诊断和测试功能。组态中应当包括全自动的自测试和系统诊断功能，但不需要增加逻辑。所有测试和诊断功能是标准系统配置，并在安装后对用户完全透明。诊断和测试应当定期进行（最好为每个扫描周期），诊断范围因尽可能最大，并至少应当包括如下内容：1)串行和并行通讯中的错误检测。 2)内部看门狗计时器，检测中断或循环的处理器。 3)每次功能周期发出一系列指令以启动各系统单元，包括处理器。 4)定期内存检查。5)每次向输入或输出单元执行“读”或“写”操作前检查每条并行总线信号。6)检测所27、有逻辑设备、通讯模块、处理器、I/O 模块或电源模块的插拔。 7)检查逻辑运算能力，能够对现运行的系统单元（包口处理器）进行测试。本测试应当在每个逻辑周期前进行。8)上电启动和通讯检查。21、柜间接线应采用 ELCO方式,不需在现场接线。22、安全仪表系统应能通过数据通信连接以只读方式与其他系统（如 DCS系统等）实现通信，禁止其他系统（如DCS系统等）通过该通信连接向SIS写信息。在现场试车（FEED）完工阶段，可以考虑从DCS向SIS写数据的手段。使用两种通讯连接区分这两种方式的通讯。3.2.2 控制器和过程接口机柜SIS控制器的处理器应当从机械和电气上进行隔离。每个处理器能具备过载和电源28、尖峰电压保护。控制器单元应当使用配备电池的永久性存储器或随机存储器（RAM），保证停电后七天内不丢失数据。正常运行过程中应当能够检测到后备电池出现的故障并产生报警。每块处理器上的输入/输出点负载不得超过系统负载的50%。 应配置分辨率为10毫秒的实时时钟，用于时间标记、速度计算及其他对时间有要求的功能。 每一台控制器应当具备在至少250毫秒内扫描、更新I/O并执行用户定义逻辑的能力。1、卖方提供：过程接口I/O卡机柜、柜间电线、电缆、开关、熔断器、端子等。2、卖方应提供全部供货范围内系统电缆，连接件等。3、每个机柜带温度高报警，配备风扇。4、系统通讯应是双重冗余，采用标准协议。5、每个机柜均带29、照明灯及开关，机柜门关时灯灭。6、每个机柜均带220V.AC维护插座。不使用UPS电源。7、外部电缆和系统电缆从机柜下部引入，经柜内电缆槽板敷设。8、每个机柜I/O 模块端子板留有20%的富裕量、扩展空间。9、每个机柜应提供M10接地端子。3.2.3 I/O模件1、I/O模件带电磁隔离或光电隔离。I/O模件的每个通道应相互隔离，并符合IEC61000标准规定。2、制造厂应提供I/O模件的性能特征：1)共模电压，共模抑制比；2)电路隔离形式；3)输入阻抗；4)驱动输出负载能力。3、I/O模件配置原则： AI模件 通道数不超过32 TC，RTD模件 通道数不超过32 AO模件 通道数不超过16 D30、I模件 通道数不超过32 DO模件 通道数不超过323.2.4 I/O 模件汇总表1、I/O点清单，买方在询价时应当确定数量。2、I/O模件类型 高电平HART模拟量输入模件（AI）420mA DC,15V DC 24V，由SIS系统供电； 高电平HART模拟量输入模件（AI）420mA DC，外部供电； TC输入模件 K，R，T； RTD输入模件 Pt 100 模拟量输出模件（AO）420 A DC 负载电阻大于 750；数字量输入模件（DI），（每点光电隔离，通道上电气隔离）系统向外部输入触点(一般为继电器）供电。如果外部使用固态继电器，买方应当负责向卖方提供制造商名称/固态继电器型号。卖31、方应当确定外部固态继电器与 SIS 输入回路的兼 容性。系统供电既可以是来自卖方的24 VDC SIS 电源，也可以是买方的220 VAC 50 Hz 单项，中线接地的电源。数字量输出模件（DO）采用继电器输出。买方应当规定是由系统供电还是干接点（无源）外部供电。系统供电既可以是来自卖方的24VDCSIS电源，也可以是买方分配与SIS机柜内的220VAC50Hz单项中性线接地电源，如果被驱的设备为固态继电器，买方应当负责向卖方提供制造商名称/固态继电器型号。卖方应当确认外部固态继电器与SIS输出的兼容性。应当提供如下各种等级的输出接点：24VDC 继电器型，触电容量3安培 220VAC 继电器32、型，触电容量2安培，每点可承受20毫秒，11安培的电涌。3.2.5 过渡柜/盘1、过渡柜/盘包括端子，熔断丝和隔离器、信号处理电路等；所有的模拟输入（除热电偶和RTD信号）、SIS供电的离散输入和SIS供电的输出，应配备熔断型保险丝，并带保险熔断指示，可单独更换（非软焊型）。或配电流限制电路。除非询价书中另有说明，对外供电的干接点的保护应当有其他系统提供。熔断型保险丝可安装于I/O模块、端子排或过渡柜端子上。2、已安装且已组态进DCS的备用I/O点应当根据需要短路或开路，以免出现不必要的故障。3.2.6 通讯接口1、SIS与DCS通讯接口应是双冗余配置。2、制造厂应保证通讯接口的硬件和软件能和33、DCS通讯。3、SIS与DCS通讯协议为工业以太网。4、通讯负荷不超过50%。5、各SIS之间的输入/输出信号可以用通讯连接（点对点通讯），条件是：1)通讯连接的硬件和信号通道为冗余配置；2)通讯系统取得TV认证，可以像逻辑运算器一样用于SIL级别大小等于SIL2，工艺安全应用中。否则，信号应使用硬接线。3.2.7 事件顺序记录（SOE）1、应配备事件顺序（SOE）记录系统，以监控SIS系统内离散量的状态变化（1到0、0到1的转变）。该系统可以是SIS系统、DCS的一部分，或独立的系统。2、SOE数据点包括下列内容： 停车信号 旁路信号 向最终执行元件的输出命令 状态反馈的状态变化（如：阀位、34、电机运行状态） 处理器、通讯、电源和输入/输出模块故障 24 VDC 电源故障3、系统应当记录每个事件的时间、日期、标识（标记）和状态（即关或关）。所有事件应当存贮在先进/先出缓冲存贮器内或记录在最小容量为 10000个事件的文档内。SIS系统中离散变量状态变化（或事件）与系统检测之间的时间应当小于等于100毫秒。事件时间标记的分辨率应当为10毫秒。4、如果事件时间和日期标记功能在DCS系统之外（如：在 SIS内部），应当自动实现与 DCS主时钟的时间同步，至少每天一次。5、事件顺序（SOE）记录系统的操作/维护接口为DCS、SIS工作站或专用的独立PC。应当允许用户实现下列功能或相关功能： 35、数据检索、分析、打印和存档监控系统状态SOE数据库组态 下载 SOE 组态文件 启动/停止 SOE数据收集 清除 SOE 缓冲存贮器6、接口应当有密码保护功能以防止未经许可的登录或执行其他功能。7、用于SOE记录系统的硬件故障不得危害SIS的运行或影响工艺进入安全状态。3.2.8 电源和接地1、电源1）卖方提供的供电系统应可以接受买方提供的双回路UPS AC电源。系统应当在一路电源断电后仍能继续提供规定的负载。非冗余状态下所有连接设备均通电时的最高供电负载不得超过满负荷的60%。建议使用50%负载作为基础。卖方应但规定整个系统的负载和需要的供电功率。另外，在技术报价中电源能力应当考虑到所有插入36、模块及其相连的I/O卡的扩充使系统达到满负荷。例如：如果某一子系统拥有八块控制卡的安装容量，但是只安装了四块，电源规格应当包括全部八块卡及其相关的I/O卡。2）电源单元或电源模块能在线不中断维护。3）所有电源单元输出带LED显示，带报警触点输出到SIS系统DI模件，引至信号报警器或通过串行接口引入DCS报警。4）UPS电源电压应为220V.AC5%，50Hz0.5Hz。5）所有2线制现场变送器及电磁阀的供电由SIS系统机柜提供。6）外部电源引入应带短路电流保护，电源输出应有短路电流，低电流和过电压保护，每个电源故障用LED显示。7）机柜内的所有AC和DC配电接线应当由卖方完成。一般情况下，配电37、接线 应当包括在单独装运的设备中。如有例外应提交买方批准。8）每台单独装运的设备应当包含双AC电源配电盘，以方便与两套独立的来自UPS的AC供电系统相连。冗余的DC供电应当来自独立的AC配电盘。一路AC电源故障不应当引起另一路AC电源超负荷。9）非UPS电源可以用于机柜照明、机柜风扇及其他非安全相关设备。非UPS负载不需要冗余配置。2、系统接地1）每个机柜应提供漏电显示器；2）制造厂应提供接地安全布置图；3）电源输入端子必须有安全接地；4）每个机柜应有10mm安全接地螺栓；5）DC电源负极应接地；6）所有I/O信号线的屏蔽应接至安全接地母线上。3、直流电源1）直流电源及SIS机柜内的AC电压U38、PS配电系统应当由卖方提供（UPS 由买方提供）。直流电源输出电压的可变范围是7%。2）每个直流电源应当在进线侧配有内部保险/电路短路器保护措施。输出保护应当通过多种方案实现（即：二级管隔离、电流限制电路和超电压保护）。3）保险丝或电路断路器应当可以从电源的前面板上更换或复位，而不需要拆除模块或任何接线。直流电源应当配备超温保护和状态LED，显示电源故障。另外，每个电源应当配备一个无源报警触点，该触点打开时发出报警，用于远程故障指示。单独装运的每台设备内的所有触点应当连接到供买方使用的一对端子上。4）系统直流和现场I/O的直流电源应当为互相分离的系统。所有的直流电源应当为双冗余配置，配置二级管39、连接的输出，该电源应当具备为系统内部用户（I/O 模块、CPU）和现场设备（电磁阀、继电器和传感器等）提供电源的能力。任意一路电源在冗余电源出现故障时均应当能够支持全部负载，保证在线更换故障电源时不会对工艺产生影响。在正常操作条件下，所有的直流电源应当为在线式。5）非冗余状态下所有连接设备均通电时的最高供电负载不得超过满负荷的60%。设计中建议使用50%。3.2.9 系统安全性和可靠性制造厂应提供所有的设备、部件及系统可靠性数据，并附有最小的平均无故障时间（MTBF）和平均故障修复时间(MTTR)说明计算的依据。SIS系统应采用冗余，容错技术。SIS系统应设计成故障安全型操作，SIS系统故障时40、应是非励磁故障安全状态。SIS系统用口令密码方式限定访问操作，编成及维护级别。SIS系统还应提供带锁开关，用于程师级访问、修改、编程维护。每次访问操作的开始和结束时间、操作动作等均记录存档。制造厂应提供系统可利用率计算数据。SIS系统全部模件应有自诊断，每个故障应在诊断汇总画面显示，并故障报表打印。SIS系统诊断测试项目： 输入、输出短路或开路； 输出无负载或过负载； 模件，冗余模件的拆装； 熔断器熔断指示； 选择 I/O 硬件和软件的兼容性； 软件故障； 通讯故障； 电源故障； 系统软件和备份。3.2.10 通讯要求SIS系统与编程站通讯规程标准化，使用以太网进行通讯。SIS系统应支持标准通41、工业以太网讯协议，SIS系统能与DCS系统进行通讯。制造厂应规定网络上系统与其它节点的最大距离，能支持SIS系统的最大数量。制造厂应说明系统通讯的网络结构（星型、环形、直链）通讯速度，通讯协议，安全检查，网络访问方法（查询、广播、令牌传递）。系统负荷： I/O 能力和其它硬件等，负荷应小于50%； CPU，存储器，通讯，网络和相关转接口等负荷应小于50%； 系统响应时间； 从SIS系统输入到输出之间，事件响应时间一般不超过200ms； 从操作员开始动作到操作站CRT结果显示，信号器报警，响应时间不超过2s。3.2.11 环境要求除非另有规定，SIS设备将安装在DCS控制室内无分类电器区域，该区42、域配备了空调和空气净化设备。SIS/PLC 应当适用于下列条件：操作温度（工程师/操作员站）：1040 操作温度（处理器机柜、I/O 机柜和过渡柜）：050储存温度：-3070相对湿度（工程师工作站）2080%（无冷凝）相对湿度（处理器机柜、I/O机柜和过渡柜）：595%（无冷凝）所有控制器、I/O卡件必须达到ANSI/ISAS71.04求标准所定义的G3环境的防腐要求。所有的输入和输出点应当配备顺时电涌保护以应对现场出现的暂时干扰，例如尖峰电压、电涌等。通道间最小隔离电压为500VAC/DC、对地隔离电压500VAC/DC，对处理器隔离电压1KV。隔离应当通过光电耦合或其他手段实现。处理器、43、高速数据网。和网络也应抗尖峰/电涌保护隔离。卖方应当说明各种功率和频率水平下无线电频率干扰（RFI）对系统的影响。标准的UHF和VHF手持使个人收发器和用于工厂内部通讯的双向5W27-1000MHz波段的FM无线电发射器在一米范围进行操作时应当对卖方供应的电子设备不造成影响。电磁干扰（EMI）保护应当符合：IEC 60801-2 3级静电放电 IEC 60801-3 3级辐射电磁场要求IEC 60801-4 3级电气快速/脉冲要求IEC 60801-5 3级电涌承受能力 所有设备，部件，电缆应能抗霉菌，化学品的侵蚀。卖方应说明设备对这类污染的承受程度。卖方应说明各设备的热负荷，是否需要强制冷风44、冷却，以及在上述环境条件下的最大连续工作时间和各设备连续运行的最大安全温度。卖方应详细说明系统的电气负载和设备热负载（电气负载包括来自加电 I/O 的现场负载和机柜负载，热负载仅包括机柜负载）。卖方推荐操作室和机柜室的照明条件（单位用Lux）。SIS对接地电阻的要求小于4。除非卖方另有要求，现场设备应当获得适用于室外Zone1 IICT6分类的Exd认证。安装了SIS设备的各建筑物之间的电缆应当与现场设备一样适用于相同的危险区域。如果买方提供的现场设备为Exia或Exib认证，卖方应当提供本安型I/O卡，技术报价书中应当提供卡件的本安证书。如果卖方不能提供本安型 I/O卡，卖方应当提供适用的安45、全栅。3.3 安全完整性要求根据*安全完整性等级（SIL）定级报告，已设计SIF功能的安全完整性等级（SIL）为：序号SIF功能描述SIL1氯气缓冲罐（V1002A）设置压力指示报警联锁仪表（PIAS1003A），压力高限报警，高高限联锁关闭液氯钢瓶出料切断阀（XV1001A），同时停热水输送泵（P1001）SIL22氯气缓冲罐（V1002B）设置压力指示报警联锁仪表（PIAS1003B），压力高限报警，高高限联锁关闭液氯钢瓶出料切断阀（XV1001B），同时停热水输送泵（P1001）SIL23液氯气化区设置氯气检测报警器与液氯钢瓶出料切断阀（XV1001A/B）联锁，氯气检测器报警联锁关闭液46、氯钢瓶出料切断阀（XV1001A/B）SIL14吹出塔设置氯气检测报警器，与氯气进料管线切断阀（XV1004）联锁，氯气检测器报警联锁关闭吹出塔氯气进料管线切断阀（XV1004）。SIL15蒸馏塔设置氯气检测报警器，与蒸馏塔氯气进料管线切断阀（XV1003）联锁，氯气检测器报警联锁关闭氯气进料管线切断阀（XV1003）。SIL16溴素储罐（V1007A）设置液位指示报警联锁仪表（LIAS1007A），液位高限报警，高高限联锁关闭溴素进料切断阀（XV1007A）SIL17溴素储罐（V1007B）设置液位指示报警联锁仪表（LIAS1007B），液位高限报警，高高限联锁关闭溴素进料切断阀（XV10047、7B）SIL18溴素储罐（V1007C）设置液位指示报警联锁仪表（LIAS1007C），液位高限报警，高高限联锁关闭溴素进料切断阀（XV1007C）SIL14 安全仪表系统（SIS）施工及使用情况4.1 安全仪表系统（SIS）施工情况潍坊永妥化工科技有限公司负责该公司*的安全仪表系统（SIS）的施工与调试，并出具了*溴素生产装置安全仪表系统（SIS）竣工报告。1、SIS系统设备清单如下：序号名称型号数量制造商一SIMATIC系统硬件1.1DI模块ET200SP,8F-DI 安全型2个SIEMENS1.2DO模块ET200SP，4F-DQ安全型2个SIEMENS1.3AI模块AI 812/4线制48、BA1个SIEMENS1.4CPU主机模块CPU 1510SPF-1PN安全型1个SIEMENS1.5存储卡4M1个SIEMENS1.6IO模块端子座BU AO型，16个单独馈电端子4个SIEMENS1.7直流电源SIMATIC PM207 24V/10A2个SIEMENS1.8直流电源冗余模块SITOP PSE202U1个SIEMENS二系统附件2.01UPS电源3KVA，12V/38AH电池8节1套华为三安全栅和浪涌保护器3.1安全栅（1入1出，AI）KCD2-STC-Ex13块PEPPERL+FUCHS3.2安全栅（1入2出，AI）KCD2-STC-Ex1.2O2块PEPPERL+FUC49、HS3.3浪涌保护器（385V 20KA）NU6-II 40/3851块CHINT四计算机及打印机，通讯设备4.1上位机台式机/3980MT-1106(G5400/8G/500G/无驱/集显/win10) ）1台戴尔4.2显示器24寸1台戴尔五继电器5.1和泉继电器RJ2S-CL-D244个和泉5.2和泉继电器RJ1S-CL-D246个和泉5.3和泉继电器RJ2S-CL-A2201个和泉六机柜及辅料6.1系统机柜CN011-SIS-M1个上海悦德6.2空气开关（CHINT）NXBE-63-2P-C/16A1个正泰6.3空气开关（CHINT）NXBE-63-2P-C/10A2个正泰6.4空气开关50、（CHINT）NXBE-63-1P-C/6A4个正泰6.5交流温控器KTS 0111个康双6.6双层端子UKK516个6.7保险端子座UK5-HESI23个6.8端子ST2.540个6.9导轨35mm5个七操作台、辅助操作台及元件7.1急停控制盒1套根据设备厂家提供的认证证书及资质证件，本系统的安全完整性等级为SIL3，认证证书编号为：Z10 067803 0020。（认证证书及部分资质证件见报告附件）2、SIS系统安装I/O一览表如下：仪表位号INSTRUMENT NO.仪表名称INSTRUMENT TYPE输入/输出I/O信号类型SIGNAL TYPE电源电压POWER VOLTAGE安全51、栅SAFETYBARRIER安装位置LOCATION备注REMARKSPI1001A压力变送器AI420mA氯气缓冲罐（V1002A）PI1001B压力变送器AI420mA氯气缓冲罐（V1002B）LI1001液位变送器AI420mA溴素储罐（V1007A）LI1002液位变送器AI420mA溴素储罐（V1007B）XV1001AF.C电动阀DO常开接点氯气缓冲罐（V1002A）氯气进料管线XV1001BF.C电动阀DO常开接点氯气缓冲罐（V1002B）氯气进料管线XV1002AF.C电动阀DO常开接点溴素储罐进料总管线Sound light急停控制盒DO声光报警H_temp超温报警继电器DI52、24V机柜超温报警PB01急停控制盒DI24V一键停车PRB01急停控制盒DI24V停车复位根据企业提供的统计表及认证证书，本系统I/O仪表、阀门的安全完整性等级均不低于SIL2。（认证证书及部分资质证件见报告附件）3、SIS系统界面及调试画面示例：4.2 安全仪表系统（SIS）的操作指导及培训潍坊永妥化工科技有限公司完成该项目安全仪表系统（SIS）的施工安装及系统调试后，结合实际运行情况，编制了该系统的SIS系统操作手册和维护指导手册，并进行了操作人员培训。培训内容包括：控制系统的系统构架及注意事项、计算机基本操作、监控软件的使用（监控载入、用户登录、画面操作、记录查询）、外围设备的使用（急53、停按钮控制盒）、操作（回路、联锁）、异常现象处理（故障画面、供电故障）。4.3 安全仪表系统（SIS）的运行及使用情况该项目安全仪表系统（SIS）安装并调试完成后即投入运行，企业已制定了相关操作规程、维护保养制度等。4.3.1 SIS系统管理制度、操作规程及台账*结合本公司实际情况，建立了SIS系统配置台账、装置SIS联锁系统管理制度、SIS系统操作手册SIS系统运行、检修规程等，对SIS系统的操作、日常管理、维护保养、检修、变更、档案管理等方面做出了规定。4.3.2 SIS系统访问权限。企业在SIS系统管理制度中规定了访问权限：1)观察：只能观察数据，不能作任何修改和操作。2)操作员：本权限54、适用于合格的SIS操作人员，可以进行报警确认、复位按钮开关等相关操作。3)工程师：可以修改控制系统的联锁设定值和其它一些数据；可以下载系统文件；可以退出监控系统；可以增减操作员及修改密码。本权限适用于系统运行维护人员。4)特权：可以对系统进行维护，增加减少操作人员、工程师；改变操作人员、工程师权限和修改其口令；以及其它一些系统特殊功能。本权限适用于SIS系统维护人员。4.3.3 SIS系统的使用及维护保养企业根据SIS系统管理制度对SIS系统进行使用和检查，编制了日常巡检记录表、维护保养记录表，定期进行检查、维护保养和记录；编制了异常报警处置记录表，对SIS系统的报警情况进行记录和分析。5 功55、能安全评估结果5.1 功能安全评估形式本次安全仪表系统（SIS）功能安全评估采用检查表的方式进行，根据企业提供资料内容及现场情况，将要检查的内容系统、完整、明确的列出，对SIS系统设备设施、操作程序、培训、等方面的相关内容是否完整、充分，是否具备安全投运条件，进行逐项检查，对分析评估的结果进行了记录和整理。在现场和会议中所有讨论的问题和注意事项进行了现场记录，并经与企业相关专业人员讨论并总结形成一致意见。SIS安全评估工作表见报告附录A。5.2 功能安全评估结论本报告对*配备的安全仪表系统（SIS）全面、系统地进行了调研、分析，从工艺过程特性、设备性能、操作和维护规程等方面进行了深入评估，本报56、告认为：*根据工艺安全要求，涉及“两重点一重大”的装置安装了安全仪表系统（SIS），配备了仪表系统人员并进行了培训。企业应制定SIS系统各类仪表台账、操作规程和管理制度，并加强对安全仪表系统（SIS）的维护保养，确保安全仪表系统（SIS）的正常投用。5.3 建议1、培训教育企业应定期对仪表系统的操作人员、维护人员进行培训教育，使相关人员掌握有关安全仪表系统的相应信息，保证SIS的操作和维护人员具备相应的专业能力，避免因人员变动、误操作等因素对SIS安全运行造成不利影响。2、加强管理企业应建立SIS系统管理制度、操作规程和仪表台账，并加强日常管理，做好系统的维护和保养，以确保管理制度和规程充分贯57、穿整个SIS的使用过程，消除因设备老化、维护缺失等原因造成的安全隐患，对运行过程中发生的报警如实记录、分析原因和处置。3、复审企业应制定复审管理规则，针对下列活动发生时，评估SIS是否仍然持续地满足功能安全的设计要求：1）安全仪表系统修改或退役实施前，应开展复审；2）可能对安全仪表系统产生影响的工艺、设备等的修改实施前，应开展复审；3）如果出现与功能安全管理体系有关的严重安全事故或发现明显的SIS设计缺陷，应即时安排复审活动；4）国家或行业有新的规定或标准规范发布，并有审查要求时，应开展复审；5）因复审而形成的改进意见或建议措施应有专人负责实施和状态追踪。41附录 本项目功能安全评估工作表附录58、A SIS安全要求评估工作表表A.1 SIS安全要求评估工作表所评估的系统/区域的说明日期*SIS系统2020.6.27参与人员名单梁金涛、侯永生、王玉美、薛宝众序号评估基础依据有/无情况描述1危险分析与风险评估报告有2安全要求规格书有3其他必要资料有安全评价报告SIS安全要求规格书选择需要修改项目整改原因和要求是否必该项待该项1. 建立了SIS安全要求规格书R2. SIS安全要求规格书包含了达到要求的功能所必须的所有安全仪表功能R3. 每个安全仪表功能都有功能描述R4. 每个安全仪表功能都定义了过程安全状态R5. 明确了SIS的所有过程输入R6. 明确了每个安全仪表功能的动作设定点R7. 明59、确了所有工艺变量的正常操作范围和操作R8. 明确了SIS的所有过程输出及其作用R9. 明确了过程输入输出的功能关系:包括逻辑、数学功能及所需的许可R10. 每个安全仪表功能都明确了其为励磁触发或非励磁触发R11. 是否包含了手动关断的考虑R12. 每个安全仪表功能都明确了失电将采取的动作R13. 每个安全仪表功能中,对于可诊断的危险故障都明确了响应动作R14. 包含了人机界面要求R15. 设置了复位功能R16. 每个安全仪表功能明确了所要达到的SILR17. 每个安全仪表功能明确了达到所需的SIL的诊断要求R18. 每个安全仪表功能明确了达到所需的SIL要求的维修和检验测试要求R19. 误动作60、风险是否可接受R20. 如果误动作风险不可接受,明确了对误动作率的要求R21. 是否开展过危险分析与风险评估R22. 在开展危险分析与风险评估前是否制定了计划R23. 是否按照计划实施了危险分析与风险评估R24. 危险分析与风险评估中各项活动是否形成文档,并由相关责任人签署R25. 危险分析与风险评估过程中是否对工艺、设备、设施、人员等方面所有可预见情况进行了评估?包括故障状况、误用、人员误操作、异常的EUC运行模式等R26. 是否明确了导致危险和危险事件发生的事件顺序R27. 是否评估了已确定的危险事件的发生频率(或频率等级)R28. 频率或频率等级的定义和选择是否符合国家、行业或企业相关标61、准、规范要求R29. 定义的频率或频率等级是否具有可信的来源R30. 是否评估了已确定的危险事件后果的严重性程度R31. 后果及其严重性等级的定义和选择是否符合国家、行业或企业相关标准、规范要求R32. 后果及其严重性等级的定义是否具有可信的来源R33. 是否评估了与已确定的危险和危险事件相关的事故风险R34. 风险分级准则是否符合国家、行业或企业相关标准、规范要求R35. 是否是依据明确的风险可接受准则开展分析评估R36. 风险可接受准则是否符合国家、行业或企业相关标准、规范要求R37. 对提出的降低或消除危险和风险的措施,是否有明确的实施和追踪的负责人R38. 提出的降低或消除危险和风险措62、施是否都已实现?如果未实现是否给出了说明R39. 危险分析和风险评估过程中的各项活动所分析和引用的资料的名称及版本号是否有详细记录R40. 是否明确定义了用于预防、控制或减轻来自过程及其相关装置危险的保护层及其安全功能,包括由安全仪表系统执行的安全仪表功能(SIF)R41. 是否评估并识别了各保护层之间的相关性和独立性,如SIS与BPCS之间、SIS与其他保护层之间存在的潜在的共因失效R42. 是否评估并识别了各保护层与触发事件或原因之间的相关性和独立性,如SIS与触发事件或原因之间存在的潜在的共因失效R43. 是否评估并记录了已确定的独立保护层的风险降低能力R44. 各保护层风险降低能力的定63、义和选择是否符合国家、行业或企业相关标准、规范要求R45. 各保护层风险降低能力的定义和选择是否具有可信来源R46. 是否分析并规范记录了被定义SIF的安全功能要求和安全完整性要求的信息R47. 是否分析并识别了各SIF运行可能需要的其他辅助设备或设施,如气动阀供气系统。是否审查其失效对安全运行的影响R附录B SIS设计要求评估工作表表B.1 SIS设计要求评估工作表所评估的系统/区域的说明日期*SIS系统2020.6.27参与人员名单梁金涛、侯永生、王玉美、薛宝众序号评估基础依据有/无情况描述1安全要求规格书有2设计说明书有3操作原理有4设备汇总表有5供应商可提供的 设备 SIL 认证资料或64、长期 使用 说明材料有6设计过程中做的 SIL 评估报告有7其他必要资料有HAZOP分析报告，国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三2014116号）SIS设计评估选择需要修改项目整改原因和要求是否必该项待该项1. SIS执行安全仪表功能外,同时还执行非安全仪表功能吗?若同时执行非安全仪表功能,设计中是否充分考虑了正常或故障状态下对安全仪表功能的影响并应符合SIF要求的最高SIL要求R2. SIS与BPCS间是否存在共用?是否保持了充分的独立性?若未能保持充分独立性,SIS的设计是否对共用设备设置了超驰,操作和维护规程中对共用设备是否根据安全仪表功能的SIL要求进行65、规定R3. SIS的可操作性是否符合功能安全要求规格书R4. SIS的可维修性是否符合功能安全要求规格书要求R5. SIS的可测试性是否符合功能安全要求规格书要求R6. SIS的设计是否考虑了人的能力和限制R7. SIS的设计是否适合于分派给操作员和维护人员的任务R8. 人-机接口设计是否遵循了良好的人员操作惯例?是否适合操作员可接受的培训或认知水平R9. 对于硬件故障裕度大于0的子系统:13.1当检测到危险故障时(利用诊断测试、检验测试或任何其他办法),是否可导致用以达到或保持某种安全状态的一个规定动作R13.2当检测到危险故障时,是否可在修复故障的同时继续过程的安全运行?如果故障的修复不能66、在计算硬件随机失效概率中假设的MTTR内完成,是否会产生一个规定的动作达到或保持某安全状态R10. 对于高要求或连续运行模式下,硬件故障裕度为0的子系统:当检测到危险故障时(利用诊断测试、检验测试或任何其他办法)是否可导致一个规定动作,以达到或保持某种安全状态R11. 是否选用了符合相应SIL等级要求的部件或子系统?(仅对于SIL13而言)R12. 根据以往使用原则选择的部件和子系统,是否有以下几方面的证明:a)制造商对质量、管理和配置管理的考虑;b)标准/规范符合性;c)在类似操作行规和实际环境中部件或子系统的性能;d)大量的操作经验。R13. SIS设计选用的部件或子系统是否符合SIS安全67、要求规格书R14. SIS设计是否允许以点-点或分几部分对SIS进行测试R20.4 SIS任何部分的旁路是否都考虑了通过报警和/或操作规程对操作员发出警告R15. 对于在低要求运行模式下运行的安全仪表功能,各个SIF的PFD是否小于或等于安全要求规格书中所规定的目标失效量R16. SIS设计当前涉及的下列资料和数据计算后的SIF硬件失效概率是否符合SRS中的要求:a)SIS的结构;b)各部分的表决结构;c)各部件或子系统的失效率数据分析;d)检验测试时间间隔TI;e)平均恢复时间MTTR;f)共因失效因子。R17. IS当前的设计是否能把过程置于某个安全状态,并可以保持在安全状态直到启动一次复68、位为止?是否符合安全要求规格书的有关规定R18. SIS设计是否有与逻辑控制器无关的手动机制(如应急停机按钮),用于直接启动SIS最终元件R19. 对于失去驱动源(如电源、空气、液压或气压源)而不进入安全状态的SIS设备,驱动源和SIS线路完整性的丧失是否能检测和报警(如线路终端监视、驱动源供给压力测量、液压或气压压力监测)并按照GB/T21109.12007中11.3采取动作R附录C SIS运行前评估工作表表C.1 SIS运行前评估工作表所评估的系统/区域的说明日期*SIS系统2020.6.27参与人员名单梁金涛、侯永生、王玉美、薛宝众序号评估基础依据有/无情况描述详细审查1设计文件有2厂家69、设备相关技术文件有3变更文件（若有）无系统无变更4操作维护文件有5其他必要资料有SIS施工竣工报告简单审查1.变更工作单无系统无变更2.变更说明无系统无变更3.变更影响分析报告无系统无变更4.相应的程序控制文件无系统无变更5.其他必要资料无系统无变更SIS运行前评估选择需要修改项目整改原因和要求是否必该项待该项1. 是否已解决由先前的功能安全评估提出的建议R2. 是否根据设计构造和安装安全仪表系统,并已确认和解决任何差异R3. 与安全仪表系统有关的安全、操作、维护和紧急规程是否都已到位R4. 安全仪表系统确认计划编制是否合适?确认活动是否已完成R5. 人员培训是否已完成?有关安全仪表系统的相应70、信息是否已提供给维护和操作人员R6. 实现SIS运行前评估的计划或策略是否已经就位R7. 硬件是否有满足SRS要求的安全完整性等级的证明文件R8. 硬件运行条件是否满足SIS物理运行环境的要求(包括:温度范围、湿度范围、振动和冲击、污染气体、粉尘)R9. 是否采取了保护SIS环境抗电磁干扰的预防措施?(SIS的内在设计、实际安装、保护所有的输入和输出避免输入电缆感应所产生的电压峰值的损害、EMC测试规程)是否将电源和信号电缆分离R10. 是否定义了关于设备之间的通讯协议R11. SIS界面在数据显示、报警等方面是否进行了定义R12. SIS界面是否独立于BPCS界面?如果不独立,当BPCS有变71、更时,是否有措施可以避免不期望的SIS逻辑变更R13. 是否有关于材料、工作质量、检验和测试的说明和规程R14. 是否有监督以确保安装期间能够按照说明和规程正确执行R15. 是否有预期的安装条件?当安装环境不满足预期条件时,是否有足够的防护措施R16. 安装活动是否与其他工程活动有交叉,如果有是否有足够的防护措施来保证安装的质量R17. 是否保存了必要的检验记录R18. 安装和检验规程在细节上是否足够清楚,以便使安装人员不用自己作出重要决策和解释R19. 是否遵守了设计的保护、隔离和其他特殊要求R20. 对于设计的变更是否有相关规程和说明R21. 是否有关于每个SIF确认的相关说明或规程R2272、. 在安全功能确认的测试期间,是否有监督以确保说明和规程的实施R23. 是否针对防止越权访问系统制定了合适的规程R24. 操作说明和规程是否有文档记录R25. 是否有合格的用户/操作手册R26. 用户/操作手册中是否描述了可能失效相关的风险以及针对失效的必要措施R27. 执行操作任务的人员和所涉及的相关人员是否接受了相关的培训R28. 是否有管理规程,以确保操作规程充分贯穿整个SIS使用过程R29. 对于设计中给出的假设条件,在操作和维护规程中是否有说明R30. SIS的设计是否符合国家和行业的最新标准和规范要求R31. SIS的运行和维护状况是否符合国家和行业的最新标准和规范要求R32. SIS的操作规程、维护规程是否很好地遵循和执行R33. SIS的备品备件管理规定是否很好地遵循和执行RR建议企业对SIS系统进行备件34. SIS的文档管理规定是否很好地遵循和执行R35. SIS的安全功能回路设计是否满足必要的风险降低要求R36. SIS的仪表选型是否满足必要的风险降低要求R37. SIS的操作和维护人员,是否具备相应的专业能力R