ICS 25.040 N 10
GB
中华人民共和国国家标准
GB/T 32202—2015
油气管道安全仪表系统的功能安全
评估规范
Functional safety of safety instrumented system in oil and gas pipelines
-Assessment code
2016-07-01实施
2015-12-10 发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 GB/T32202—2015
目 次
前言引言 1
IV
范围规范性引用文件
2
3缩略语、术语和定义·
3.1缩略语 ..... 3.2术语和定义与本标准的符合性
4
.
一般要求 5.1 目的 5.2 要求 SIS安全要求评估
5
.
10
6
10 10 10 12 12 13 13 13
6.1 目的 6.2 评估依据· 6.3 评估内容 6.4 报告要求 6.5 报告内容… SIS设计评估 7.1 目的 7.2 评估依据 7.3 评估内容 7.4 报告要求 7.5 报告内容 SIS运行前评估
7
3
18 18
8
8.1 目的 8.2 一般要求 8.3 评估依据… 8.4 评估内容 8.5 报告要求 8.6 报告内容功能安全复审…
8
20 20 21 21 21 22 22 22
9
9.1 目的 9.2 评估节点… 9.3 复审依据 9.4 复审内容 9.5 报告要求 GB/T32202—2015
9.6报告内容· 9.7执行和追踪附录A（资料性附录） SIS安全要求评估工作表样表附录B（资料性附录） SIS设计评估工作表样表附录C（资料性附录）S SIS运行前评估工作表样表附录D（资料性附录）功能安全复审工作表样表· 参考文献
22 23 24 28 32 35 37
.
图1油气管道安全仪表系统功能安全评估节点图·
表1缩略语表2PE逻辑控制器的最低硬件故障裕度表3传感器、执行器和非PE逻辑控制器的最低硬件故障裕度.. 表4在低要求模式下，安全仪表功能的目标失效量表5在高要求或连续模式下，安全仪表功能的目标失效量表A.1SIS安全要求评估工作表样表表B.1 SIS设计评估工作表样表.. 表C.1 SIS运行前评估工作表样表表D.1 功能安全复审工作表样表
14
14
16
16
24 28
32 35
I GB/T 32202—2015
前言
本标准按照GB/T1.1一2009给出的规则起草。 本标准由中国机械工业联合会提出。 本标准由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)归口。 本标准主要起草单位：机械工业仪器仪表综合技术经济研究所、中国石油天然气股份有限公司管道
分公司、中国石油天然气管道工程有限公司、上海黑马安全自动化系统有限公司、北京市劳动保护科学研究所、深圳市华测检测技术股份有限公司、杭州和利时自动化有限公司、横河电机（中国）有限公司、 ABB(中国)有限公司、中国石油北京油气调控中心、中国石油化工集团公司安全环保局、中国石油化工集团公司管道局、中国石油北京天然气管道有限公司。
本标准主要起草人：孟邹清、史学玲、程德发、李秋娟、刘瑶、史威、安圭、王怀义、聂中文、顾、冯禄、 李官政、朱平、张建国、靳江红、黄劲松、冯晓升、王海青、帅冰、徐瞪冬、祁国成、寇建朝、高安东、李国海、 相桂生、董秀娟、钱大涛、王毅、姚志强、杨全博、马欣欣、季俊、熊文泽、王春喜、王德吉。
II GB/T 32202—2015
引言
安全仪表系统在20世纪80～90年代发展起来，以其高可靠性、安全性和灵活性在油气管道领域内得到了广泛应用，是保障油气管道生产安全的重要措施。安全仪表系统用于执行安全仪表功能，以保证运行过程在出现危险情况时进入安全状态，避免或减少对人员、环境、设备造成的危害。因此对安全仪表系统实现的功能安全和安全完整性进行评估十分重要。
目前国际上已发布了相关的功能安全基础标准IEC61508及针对过程工业的功能安全应用标准 IEC61511，我国已将其转化成GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》和 GB/T21109《过程工业领域安全仪表系统的功能安全》。
《油气管道安全仪表系统的功能安全》系列标准是GB/T20438和GB/T21109在油气管道领域的应用规范。其目的在于规范油气管道领域内安全仪表系统评估、验收等活动的技术要求、管理要求和应用原则，促进安全仪表系统在油气管道领域内应用和管理的规范化，确保油气管道系统安全可靠运行。
本标准的目的在于指导和规范油气管道领域安全仪表系统的功能安全评估活动。
IV GB/T32202—2015
油气管道安全仪表系统的功能安全
评估规范
1范围
本标准规定了油气管道安全仪表系统的功能安全评估人员和组织资质要求、评估活动的管理和职责、执行功能安全评估活动的周期和阶段、各阶段评估活动的范围、流程、依据以及文档要求
本标准适用于新建及改扩建的陆上石油天然气长输管道输送、储存系统中安全仪表系统的功能安全评估。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
.GB/T20438（所有部分）电气/电子/可编程电子安全相关系统的功能安全 GB/T21109（所有部分） 过程工业领域安全仪表系统的功能安全
缩略语、术语和定义
3
3.1缩略语
下列缩略语适用于本文件（见表1)。
表1缩略语
解释
全称
缩略语 BPCS basic process control system DC diagnostic coverage EUC equipment under control E/E/PE electrical/electronic/programmable electronic FAT factory acceptance testing HAZOP hazard and operability studies HFT hardware fault tolerance MTTR mean time to restoration MOC management of change PE programmable electronic PFD probability of dangerous failure on demand PFH probability of a dangerous failure per hour P&ID pipe and instrument diagram SAT site acceptance test SFF safe failure faction
基本过程控制系统诊断覆盖率受控设备电气/电子/可编程电子工厂验收测试危险与可操作性分析硬件故障裕度平均恢复时间变更管理可编程电子要求时的失效概率每小时危险失效概率管道及仪表流程图现场验收测试安全失效分数
1 GB/T32202—2015
表1 (续)
缩略语 SIF safety instrumented function SIL safety integrity level SIS safety instrumented system SRS safety requirement specification TI test interval
全称
解释
安全仪表功能安全完整性等级安全仪表系统安全要求规格书检验测试时间间隔
3.2 术语和定义
下列术语和定义适用于本文件。 3.2.1
危险失效dangerousfailure 对执行安全功能有影响的组件和/或子系统和/或系统的失效，其：
在要求时阻止安全功能的执行（要求模式），或导致安全功能失效（连续模式）以致EUC进入
a)
危险或潜在危险的状态。 b) 降低在要求时安全功能正确执行的概率。 [IEC61508-4:2010，定义3.6.7]
3.2.2
安全失效 safefailure 对于执行安全功能有影响的组件和/或子系统和/或系统的失效，其： a）导致安全功能的误动作从而使EUC(或其一部分)进人或保持安全状态；或 b）增加安全功能的误动作从而使EUC(或其一部分)进人或保持安全状态的概率。 [IEC61508-4：2010，定义3.6.8]
3.2.3
诊断覆盖率 diagnostic coverage;DC 通过自动在线诊断测试检测到的危险失效分数。危险失效分数是由检测到的危险失效率除以总危
险失效率计算出的。
注1：危险失效诊断覆盖率按下式计算：
DC = 以pp/ZX Drotal
式中： DC - 诊断覆盖率；
检测到的危险失效率；总的危险失效率。
入DD A Dtotal 注2：该定义仅在单个元件失效率为常数时适用。 [IEC61508-4:2010，定义3.8.6]
3.2.4
故障裕度faulttolerance 在出现故障或误差的情况下，功能单元继续执行要求功能的能力。 ［GB/T21109.1—2007,定义3.2.23]
3.2.5
硬件故障裕度 hardware fault tolerance 一个部件或子系统在有一个或几个硬件危险故障的情况下，仍能继续承担所要求的安全仪表功能
2 GB/T32202—2015
的能力。
注：如硬件故障裕度为1，意味着有两台设备，且其结构会使得两个部件或子系统的任何一个的危险失效都不能阻
止安全动作发生。
3.2.6
功能安全functionalsafety 与过程和BPCS有关的整体安全的组成部分，它取决于SIS和其他保护层的正确功能执行。 [GB/T21109.1—2007,定义3.2.25]
3.2.7
功能安全评估functionalsafetyassessment 基于证据的调查，以判定由一个或多个保护层所实现的功能安全。 [GB/T21109.1—2007,定义3.2.26]
3.2.8
硬件安全完整性hardwaresafetyintegrity 安全相关系统安全完整性中，与危险失效模式下的随机硬件失效有关的部分。 注：本术语涉及在危险模式下的失效，即，将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个
参数是危险失效平均额率和在要求时动作失效的概率。当为保持安全而必须保持连续控制时，使用前一可靠性参数，在安全相关保护系统场合中使用后一可靠性参数，
IEC61508-4：2010，定义3.5.7
3.2.9
检验测试 prooftest 周期性测试，用以检测安全相关系统中危险的隐性失效，在必要时通过维修，把系统复原到“新的”
状态或实际上接近这种状态。
注1：在本标准中使用“检验测试”，但要注意到同义的术语“周期性测试”。 注2：检验测试的有效性取决于失效覆盖和维修的有效性。在实践中除了低复杂E/E/PE安全相关系统外，100%
的隐性失效的检测很难达到。这应该是目标。至少，所有要执行的安全功能应按E/E/PE安全相关系统安全要求规格书进行检查。如果使用分离通道，则对每个通道分别进行检验测试。对于复杂的组件，进行分析，以证明在E/E/PE安全相关系统整体生命周期期间，未被检验测试检测出的隐性危险失效概率可忽略不计。
注3：检验测试需要一定时间完成。在此时间内E/E/PE安全相关系统可能被部分或全部限制。在测试过程中，仅
当EUC已停机或E/E/PE安全相关系统仍能保持在要求时的动作能力，检验测试持续时间可忽略不计，
注4：在检验测试期间，E/E/PE安全相关系统可能部分或全部不能响应动作要求。仅在维修时EUC已停机或使
用其他等效的风险措施来代替时，MTTR对于SIL的计算可以忽略。 LIEC61508-4：2010，定义3.8.5
3.2.10
保护层protectionlayer 借助控制、预防或减轻以降低风险的任何独立机制。 注；它可能是装危险化学物品的压力容器的容量这样的一个过程工程机制，也可能是一个安全阀这样的机械工程
机制，或者一个安全仪表系统，或者是应对紧急危险的一个应急计划这样的管理规程。可以自动启动或手动启动这些响应机制。
[GB/T21109.1—2007,定义3.2.59] 3.2.11
以往使用 prior use 部件和子系统之前在类似应用和实际环境中的使用（见GB/T21109.1一2007的11.5中的“以往使
用”)。
3 ICS 25.040 N 10
GB
中华人民共和国国家标准
GB/T 32202—2015
油气管道安全仪表系统的功能安全
评估规范
Functional safety of safety instrumented system in oil and gas pipelines
-Assessment code
2016-07-01实施
2015-12-10 发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 GB/T32202—2015
目 次
前言引言 1
IV
范围规范性引用文件
2
3缩略语、术语和定义·
3.1缩略语 ..... 3.2术语和定义与本标准的符合性
4
.
一般要求 5.1 目的 5.2 要求 SIS安全要求评估
5
.
10
6
10 10 10 12 12 13 13 13
6.1 目的 6.2 评估依据· 6.3 评估内容 6.4 报告要求 6.5 报告内容… SIS设计评估 7.1 目的 7.2 评估依据 7.3 评估内容 7.4 报告要求 7.5 报告内容 SIS运行前评估
7
3
18 18
8
8.1 目的 8.2 一般要求 8.3 评估依据… 8.4 评估内容 8.5 报告要求 8.6 报告内容功能安全复审…
8
20 20 21 21 21 22 22 22
9
9.1 目的 9.2 评估节点… 9.3 复审依据 9.4 复审内容 9.5 报告要求 GB/T32202—2015
9.6报告内容· 9.7执行和追踪附录A（资料性附录） SIS安全要求评估工作表样表附录B（资料性附录） SIS设计评估工作表样表附录C（资料性附录）S SIS运行前评估工作表样表附录D（资料性附录）功能安全复审工作表样表· 参考文献
22 23 24 28 32 35 37
.
图1油气管道安全仪表系统功能安全评估节点图·
表1缩略语表2PE逻辑控制器的最低硬件故障裕度表3传感器、执行器和非PE逻辑控制器的最低硬件故障裕度.. 表4在低要求模式下，安全仪表功能的目标失效量表5在高要求或连续模式下，安全仪表功能的目标失效量表A.1SIS安全要求评估工作表样表表B.1 SIS设计评估工作表样表.. 表C.1 SIS运行前评估工作表样表表D.1 功能安全复审工作表样表
14
14
16
16
24 28
32 35
I GB/T 32202—2015
前言
本标准按照GB/T1.1一2009给出的规则起草。 本标准由中国机械工业联合会提出。 本标准由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)归口。 本标准主要起草单位：机械工业仪器仪表综合技术经济研究所、中国石油天然气股份有限公司管道
分公司、中国石油天然气管道工程有限公司、上海黑马安全自动化系统有限公司、北京市劳动保护科学研究所、深圳市华测检测技术股份有限公司、杭州和利时自动化有限公司、横河电机（中国）有限公司、 ABB(中国)有限公司、中国石油北京油气调控中心、中国石油化工集团公司安全环保局、中国石油化工集团公司管道局、中国石油北京天然气管道有限公司。
本标准主要起草人：孟邹清、史学玲、程德发、李秋娟、刘瑶、史威、安圭、王怀义、聂中文、顾、冯禄、 李官政、朱平、张建国、靳江红、黄劲松、冯晓升、王海青、帅冰、徐瞪冬、祁国成、寇建朝、高安东、李国海、 相桂生、董秀娟、钱大涛、王毅、姚志强、杨全博、马欣欣、季俊、熊文泽、王春喜、王德吉。
II GB/T 32202—2015
引言
安全仪表系统在20世纪80～90年代发展起来，以其高可靠性、安全性和灵活性在油气管道领域内得到了广泛应用，是保障油气管道生产安全的重要措施。安全仪表系统用于执行安全仪表功能，以保证运行过程在出现危险情况时进入安全状态，避免或减少对人员、环境、设备造成的危害。因此对安全仪表系统实现的功能安全和安全完整性进行评估十分重要。
目前国际上已发布了相关的功能安全基础标准IEC61508及针对过程工业的功能安全应用标准 IEC61511，我国已将其转化成GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》和 GB/T21109《过程工业领域安全仪表系统的功能安全》。
《油气管道安全仪表系统的功能安全》系列标准是GB/T20438和GB/T21109在油气管道领域的应用规范。其目的在于规范油气管道领域内安全仪表系统评估、验收等活动的技术要求、管理要求和应用原则，促进安全仪表系统在油气管道领域内应用和管理的规范化，确保油气管道系统安全可靠运行。
本标准的目的在于指导和规范油气管道领域安全仪表系统的功能安全评估活动。
IV GB/T32202—2015
油气管道安全仪表系统的功能安全
评估规范
1范围
本标准规定了油气管道安全仪表系统的功能安全评估人员和组织资质要求、评估活动的管理和职责、执行功能安全评估活动的周期和阶段、各阶段评估活动的范围、流程、依据以及文档要求
本标准适用于新建及改扩建的陆上石油天然气长输管道输送、储存系统中安全仪表系统的功能安全评估。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
.GB/T20438（所有部分）电气/电子/可编程电子安全相关系统的功能安全 GB/T21109（所有部分） 过程工业领域安全仪表系统的功能安全
缩略语、术语和定义
3
3.1缩略语
下列缩略语适用于本文件（见表1)。
表1缩略语
解释
全称
缩略语 BPCS basic process control system DC diagnostic coverage EUC equipment under control E/E/PE electrical/electronic/programmable electronic FAT factory acceptance testing HAZOP hazard and operability studies HFT hardware fault tolerance MTTR mean time to restoration MOC management of change PE programmable electronic PFD probability of dangerous failure on demand PFH probability of a dangerous failure per hour P&ID pipe and instrument diagram SAT site acceptance test SFF safe failure faction
基本过程控制系统诊断覆盖率受控设备电气/电子/可编程电子工厂验收测试危险与可操作性分析硬件故障裕度平均恢复时间变更管理可编程电子要求时的失效概率每小时危险失效概率管道及仪表流程图现场验收测试安全失效分数
1 GB/T32202—2015
表1 (续)
缩略语 SIF safety instrumented function SIL safety integrity level SIS safety instrumented system SRS safety requirement specification TI test interval
全称
解释
安全仪表功能安全完整性等级安全仪表系统安全要求规格书检验测试时间间隔
3.2 术语和定义
下列术语和定义适用于本文件。 3.2.1
危险失效dangerousfailure 对执行安全功能有影响的组件和/或子系统和/或系统的失效，其：
在要求时阻止安全功能的执行（要求模式），或导致安全功能失效（连续模式）以致EUC进入
a)
危险或潜在危险的状态。 b) 降低在要求时安全功能正确执行的概率。 [IEC61508-4:2010，定义3.6.7]
3.2.2
安全失效 safefailure 对于执行安全功能有影响的组件和/或子系统和/或系统的失效，其： a）导致安全功能的误动作从而使EUC(或其一部分)进人或保持安全状态；或 b）增加安全功能的误动作从而使EUC(或其一部分)进人或保持安全状态的概率。 [IEC61508-4：2010，定义3.6.8]
3.2.3
诊断覆盖率 diagnostic coverage;DC 通过自动在线诊断测试检测到的危险失效分数。危险失效分数是由检测到的危险失效率除以总危
险失效率计算出的。
注1：危险失效诊断覆盖率按下式计算：
DC = 以pp/ZX Drotal
式中： DC - 诊断覆盖率；
检测到的危险失效率；总的危险失效率。
入DD A Dtotal 注2：该定义仅在单个元件失效率为常数时适用。 [IEC61508-4:2010，定义3.8.6]
3.2.4
故障裕度faulttolerance 在出现故障或误差的情况下，功能单元继续执行要求功能的能力。 ［GB/T21109.1—2007,定义3.2.23]
3.2.5
硬件故障裕度 hardware fault tolerance 一个部件或子系统在有一个或几个硬件危险故障的情况下，仍能继续承担所要求的安全仪表功能
2 GB/T32202—2015
的能力。
注：如硬件故障裕度为1，意味着有两台设备，且其结构会使得两个部件或子系统的任何一个的危险失效都不能阻
止安全动作发生。
3.2.6
功能安全functionalsafety 与过程和BPCS有关的整体安全的组成部分，它取决于SIS和其他保护层的正确功能执行。 [GB/T21109.1—2007,定义3.2.25]
3.2.7
功能安全评估functionalsafetyassessment 基于证据的调查，以判定由一个或多个保护层所实现的功能安全。 [GB/T21109.1—2007,定义3.2.26]
3.2.8
硬件安全完整性hardwaresafetyintegrity 安全相关系统安全完整性中，与危险失效模式下的随机硬件失效有关的部分。 注：本术语涉及在危险模式下的失效，即，将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个
参数是危险失效平均额率和在要求时动作失效的概率。当为保持安全而必须保持连续控制时，使用前一可靠性参数，在安全相关保护系统场合中使用后一可靠性参数，
IEC61508-4：2010，定义3.5.7
3.2.9
检验测试 prooftest 周期性测试，用以检测安全相关系统中危险的隐性失效，在必要时通过维修，把系统复原到“新的”
状态或实际上接近这种状态。
注1：在本标准中使用“检验测试”，但要注意到同义的术语“周期性测试”。 注2：检验测试的有效性取决于失效覆盖和维修的有效性。在实践中除了低复杂E/E/PE安全相关系统外，100%
的隐性失效的检测很难达到。这应该是目标。至少，所有要执行的安全功能应按E/E/PE安全相关系统安全要求规格书进行检查。如果使用分离通道，则对每个通道分别进行检验测试。对于复杂的组件，进行分析，以证明在E/E/PE安全相关系统整体生命周期期间，未被检验测试检测出的隐性危险失效概率可忽略不计。
注3：检验测试需要一定时间完成。在此时间内E/E/PE安全相关系统可能被部分或全部限制。在测试过程中，仅
当EUC已停机或E/E/PE安全相关系统仍能保持在要求时的动作能力，检验测试持续时间可忽略不计，
注4：在检验测试期间，E/E/PE安全相关系统可能部分或全部不能响应动作要求。仅在维修时EUC已停机或使
用其他等效的风险措施来代替时，MTTR对于SIL的计算可以忽略。 LIEC61508-4：2010，定义3.8.5
3.2.10
保护层protectionlayer 借助控制、预防或减轻以降低风险的任何独立机制。 注；它可能是装危险化学物品的压力容器的容量这样的一个过程工程机制，也可能是一个安全阀这样的机械工程
机制，或者一个安全仪表系统，或者是应对紧急危险的一个应急计划这样的管理规程。可以自动启动或手动启动这些响应机制。
[GB/T21109.1—2007,定义3.2.59] 3.2.11
以往使用 prior use 部件和子系统之前在类似应用和实际环境中的使用（见GB/T21109.1一2007的11.5中的“以往使
用”)。
3