黃步余，范宗海，馬蕾

（中國石化工程建設(shè)有限公司，北京100101）

GB／T 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》由中國石化股份有限公司工程建設(shè)部組織編寫，中國石化工程建設(shè)有限公司主編，中國寰球工程公司、中石化寧波工程有限公司、北京康吉森自動化設(shè)備技術(shù)有限責(zé)任公司、中石化－霍尼韋爾（天津）有限公司等參編單位共同編制完成。該規(guī)范共分15章。主要內(nèi)容包括總則、術(shù)語和縮略語、安全生命周期、安全完整性等級、設(shè)計基本原則、測量儀表、最終元件、邏輯控制器、通信接口、人機接口、應(yīng)用軟件、工程設(shè)計、組態(tài)、集成與調(diào)試、驗收測試、操作維護、變更管理、文檔管理等。

1 編制宗旨及適用范圍

1）編制宗旨。安全生命周期原則，安全性、可靠性，實用性、可操作性，前瞻性、先進性。

2）編制目的。為了防止和降低石油化工工廠或裝置過程風(fēng)險，保證人身和財產(chǎn)安全，保護環(huán)境。

3）適用范圍。該規(guī)范適用于石油化工工廠或裝置新建、擴建及改建項目的安全儀表系統(tǒng)的工程設(shè)計，不適用于石油化工工廠或裝置的火災(zāi)氣體報警系統(tǒng)、壓縮機控制系統(tǒng)、鍋爐控制保護系統(tǒng)。

2 主要術(shù)語

1）安全儀表系統(tǒng)SIS（Safety Instrumented System）。實現(xiàn)一個或多個安全儀表功能的儀表系統(tǒng)。安全儀表系統(tǒng)包括測量儀表、邏輯控制器、最終元件、關(guān)聯(lián)軟件及部件等。

2）安全生命周期SLC（Safety Life Cycle）。從工程方案設(shè)計開始到所有安全儀表功能停止使用的全部時間。對于石油化工工廠和裝置安全生命周期通常為15～20a。

3）安全儀表功能SIF（Safety Instrumented Function）。為了防止、減少危險事件發(fā)生或保持過程安全狀態(tài)，用一個或多個測量儀表、邏輯控制器、最終元件及相關(guān)軟件等實現(xiàn)的安全保護功能或安全控制功能。

4）安全完整性等級SIL（Safety Integrity Level）。安全完整性等級由低到高為SIL1～SIL4。對于石油化工工廠或裝置，安全完整性等級為SIL1～SIL3。

5）基本過程控制系統(tǒng)BPCS（Basic Process Control System）。響應(yīng)過程測量以及其他相關(guān)設(shè)備、其他儀表、控制系統(tǒng)或操作員的輸入信號，按過程控制規(guī)律、算法等產(chǎn)生輸出信號，實現(xiàn)過程控制、操作，保證平穩(wěn)運行?；具^程控制系統(tǒng)不應(yīng)執(zhí)行SIL1～SIL3安全儀表功能。

3 安全生命周期

該規(guī)范第3章主要闡述石油化工工廠或裝置安全生命周期的理念、安全生命周期各階段活動的具體要求。安全生命周期工作流程如圖1所示。

圖1 安全生命周期工作流程示意

該規(guī)范第3章對石油化工工廠或裝置安全生命周期各階段活動內(nèi)容，特別是大型石油化工工廠的安全儀表系統(tǒng)在工程設(shè)計，集成、調(diào)試與驗收測試，操作維護三個階段的工作進行了定義與規(guī)范。安全生命周期是安全工程和安全功能的存在全過程，引用安全生命周期時間和階段的目的是為了確定實現(xiàn)功能安全目標(biāo)所必要的管理活動，并進行策劃與組織安排，以便在各階段內(nèi)有效實施，確保安全儀表系統(tǒng)的設(shè)計、安裝、調(diào)試以及運行等滿足總體功能安全的要求。

工程方案設(shè)計是指在工程前期開展的設(shè)計工作，包括可行性研究、工藝包設(shè)計等。工程方案設(shè)計應(yīng)根據(jù)工藝技術(shù)的特點和生產(chǎn)運行經(jīng)驗，對工藝過程中可能發(fā)生的危險和風(fēng)險進行初步分析，提出采取的主要安全措施和保護系統(tǒng)。

過程危險是因異常事件引起過程條件變化產(chǎn)生的危險，包括工藝生產(chǎn)過程、基本過程控制系統(tǒng)和相關(guān)人員因素等引發(fā)的特定危險事件。風(fēng)險評估是分析特定危險事件可能發(fā)生的頻率和后果的嚴重程度，確定工程的可承受風(fēng)險。過程危險分析和風(fēng)險評估宜采用危險和可操作性研究方法或預(yù)危險分析方法，也可采用安全檢查表、故障模式和影響分析、因果分析方法等。過程危險分析和風(fēng)險評估的內(nèi)容及方法不屬于該規(guī)范的內(nèi)容。

安全功能是針對特定的危險事件，為達到或保持過程的安全狀態(tài)，由安全儀表系統(tǒng)、其他安全相關(guān)系統(tǒng)或外部風(fēng)險降低設(shè)施實現(xiàn)的功能。一個安全功能應(yīng)能防止一個特定的危險事件。安全功能可采用安全儀表系統(tǒng)和其他的保護層來實現(xiàn)。在石油化工工廠或裝置中通常采用多個保護層，當(dāng)某一個保護層失效時不會導(dǎo)致或產(chǎn)生嚴重后果。分配安全功能是給相關(guān)的各保護層進行安全功能分配，不只包括安全儀表系統(tǒng)。

安全完整性等級應(yīng)根據(jù)過程危險分析和保護層功能分配的結(jié)果評估并確定。

安全儀表系統(tǒng)技術(shù)要求包括安全儀表功能及安全完整性等級、過程安全狀態(tài)、操作模式、檢驗測試間隔時間等。

安全儀表系統(tǒng)的基礎(chǔ)工程設(shè)計應(yīng)包括安全儀表系統(tǒng)設(shè)計說明、安全儀表系統(tǒng)規(guī)格書、安全聯(lián)鎖因果表或功能說明等。

安全儀表系統(tǒng)的詳細工程設(shè)計應(yīng)包括安全儀表系統(tǒng)設(shè)計說明、安全儀表系統(tǒng)規(guī)格書、功能邏輯圖、組態(tài)編程等。

安全儀表系統(tǒng)集成、調(diào)試及驗收測試應(yīng)符合規(guī)格書及功能邏輯圖的技術(shù)要求；調(diào)試結(jié)果應(yīng)符合安全儀表系統(tǒng)技術(shù)要求；安全儀表系統(tǒng)驗收測試應(yīng)包括工廠驗收和現(xiàn)場驗收。安全儀表系統(tǒng)硬件、系統(tǒng)軟件和應(yīng)用軟件等應(yīng)符合安全儀表系統(tǒng)技術(shù)要求。

操作維護應(yīng)遵循作業(yè)程序，操作維護過程應(yīng)符合安全儀表系統(tǒng)技術(shù)要求的功能安全。安全儀表系統(tǒng)的硬件和應(yīng)用軟件的修改或變更應(yīng)符合變更修改程序，應(yīng)保留變更記錄，并應(yīng)按審批程序獲得授權(quán)批準(zhǔn)，不應(yīng)改變設(shè)計的安全完整性等級。

操作維護人員應(yīng)定期培訓(xùn)，培訓(xùn)內(nèi)容包括安全儀表系統(tǒng)的功能、可預(yù)防的過程危險、測量儀表和最終元件、安全儀表系統(tǒng)的邏輯動作、安全儀表系統(tǒng)及過程變量的報警、安全儀表系統(tǒng)動作后的處理等。功能測試間隔應(yīng)按工藝生產(chǎn)過程運行周期和安全儀表系統(tǒng)的技術(shù)要求確定，并按測試程序進行功能測試。

安全儀表系統(tǒng)的停用應(yīng)進行審查并得到批準(zhǔn)。安全儀表系統(tǒng)更新應(yīng)制訂更新程序，更新后的安全儀表系統(tǒng)應(yīng)實現(xiàn)規(guī)定的安全儀表功能。

該規(guī)范第3章條文說明中還對石油化工工廠和裝置的典型多保護層的結(jié)構(gòu)進行了描述，如圖2所示。

圖2 石油化工工廠或裝置典型多保護層結(jié)構(gòu)

在工程設(shè)計中，應(yīng)保證保護層的獨立性、功能性、完整性、可靠性、安全性、可用性。

“過程”設(shè)計應(yīng)是本質(zhì)安全設(shè)計，通過工藝技術(shù)、工藝流程、設(shè)備選型、控制策略、操作規(guī)程等，消除或降低風(fēng)險，避免危險事件發(fā)生。

“基本過程控制系統(tǒng)”將石油化工過程參數(shù)控制在正常的操作設(shè)定值，確保生產(chǎn)過程穩(wěn)定運行。

“報警及操作員干預(yù)和安全儀表系統(tǒng)”降低危險事件發(fā)生的頻率，保持或達到生產(chǎn)過程的安全狀態(tài)。

“減災(zāi)及緩解設(shè)施和物理防護”減輕和抑制危險事件的后果，如火災(zāi)和氣體檢測系統(tǒng)（FGS）、安全閥、爆破膜、抗爆墻、防護圍堰等。

“應(yīng)急響應(yīng)”包括全廠和社區(qū)層，緊急廣播、火災(zāi)消防、人員緊急撤離、醫(yī)療救助、工廠周邊社區(qū)人員撤離、社會救助等。

4 安全完整性等級

安全完整性等級分為SIL1，SIL2，SIL3，SIL4。安全完整性等級越高，安全儀表系統(tǒng)實現(xiàn)安全儀表功能的能力越強。石油化工工廠或裝置的安全完整性等級最高為SIL3級。

在低要求操作模式時，安全儀表功能的安全完整性等級應(yīng)采用平均失效概率衡量，見表1所列。

表1 安全完整性等級（低要求操作模式）

低要求操作模式是指安全儀表功能被執(zhí)行次數(shù)不大于每年1次。通常石油化工工廠和裝置的安全儀表系統(tǒng)工作于低要求操作模式。

在高要求操作模式時，安全儀表功能的安全完整性等級應(yīng)采用每小時危險失效概率衡量，見表2所列。

表2 安全完整性等級（高要求操作模式）

高要求操作模式是指安全儀表功能的動作頻率大于每年1次。對于帶有連續(xù)操作或動作頻繁的安全儀表功能，屬于高要求操作模式。

該章還介紹了安全完整性等級評估的內(nèi)容及方法。評估的內(nèi)容包括：確定每個安全儀表功能的安全完整性等級；為達到安全完整性等級，對診斷、維護和測試要求等。

根據(jù)工藝過程復(fù)雜程度、國家或行業(yè)標(biāo)準(zhǔn)、風(fēng)險特性和降低風(fēng)險的方法、人員經(jīng)驗等確定安全完整性等級評估方法。主要方法有保護層分析法、風(fēng)險矩陣法、校正的風(fēng)險圖法、經(jīng)驗法及其他方法。

安全完整性等級評估宜采用審查會方式。審查的主要文件包括工藝管道與儀表流程圖、工藝說明書、裝置及設(shè)備布置圖、危險區(qū)域劃分圖、安全聯(lián)鎖因果表及有關(guān)文件。參加評估的主要人員包括工藝、控制（儀表）、安全、設(shè)備、操作及管理等專業(yè)的人員。安全完整性等級評估審查會應(yīng)對工藝管道及儀表流程圖和安全聯(lián)鎖因果表等主要設(shè)計文件進行分析研究，結(jié)合過程危險分析和保護層功能分配的結(jié)果，評估、確定各安全儀表功能的安全完整性等級。審查結(jié)果應(yīng)作為安全儀表系統(tǒng)的工程設(shè)計依據(jù)。

5 安全儀表系統(tǒng)設(shè)計基本原則

該規(guī)范中將安全儀表系統(tǒng)定義為實現(xiàn)一個或多個安全儀表功能的儀表系統(tǒng)。安全儀表系統(tǒng)包括測量儀表（Sensor）、邏輯運算器（Logic solver）和最終元件（Final element）、關(guān)聯(lián)軟件及部件。目前，石油化工工廠或裝置實際應(yīng)用中，儀表保護系統(tǒng)IPS（Instrument Protection System）、安全聯(lián)鎖系統(tǒng)SIS（Safety Interlocking System）、緊急停車系統(tǒng)ESD（Emergency Shut－Down System）等都屬于安全儀表系統(tǒng)的范疇。

安全儀表系統(tǒng)在生產(chǎn)裝置的開車、停車、運行以及維護期間，對人員健康、裝置設(shè)備及環(huán)境提供安全保護。無論是生產(chǎn)裝置本身出現(xiàn)的故障危險，還是人為因素導(dǎo)致的危險以及一些不可抗拒因素引發(fā)的危險，安全儀表系統(tǒng)都應(yīng)立即作出正確反應(yīng)并給出相應(yīng)的邏輯信號，使生產(chǎn)裝置安全聯(lián)鎖或停車，阻止危險的發(fā)生和事故的擴散，使危害減少到最小。

安全儀表系統(tǒng)應(yīng)具備高的可靠性、可用性和可維護性。當(dāng)安全儀表系統(tǒng)本身出現(xiàn)故障時仍能提供安全保護功能。

5.1 安全儀表系統(tǒng)與基本過程控制系統(tǒng)（如DCS）的主要區(qū)別

1）DCS用于生產(chǎn)過程的連續(xù)測量、常規(guī)控制（連續(xù)、順序、間歇等）、操作控制管理，保證生產(chǎn)裝置的平穩(wěn)運行；SIS用于監(jiān)視生產(chǎn)裝置的運行狀況，對出現(xiàn)異常工況迅速處理，使危害降到最低，使人員和生產(chǎn)裝置處于安全狀態(tài)。

2）DCS是“動態(tài)”系統(tǒng)，始終對過程變量連續(xù)進行檢測、運算和控制，對生產(chǎn)過程進行動態(tài)控制，確保產(chǎn)品的質(zhì)量和產(chǎn)量；SIS是“靜態(tài)”系統(tǒng)，正常工況時，始終監(jiān)視生產(chǎn)裝置的運行，系統(tǒng)輸出不變，對生產(chǎn)過程不產(chǎn)生影響；非正常工況時，按照預(yù)先的設(shè)計進行邏輯運算，使生產(chǎn)裝置安全聯(lián)鎖或停車。

3）SIS比DCS安全性、可靠性、可用性要求更嚴格，IEC 61508，IEC 61511，ISA S84.01，SH／T 3018強烈推薦SIS與DCS硬件獨立設(shè)置。

4）DCS不應(yīng)執(zhí)行SIL1，SIL2，SIL3的安全儀表功能。

5.2 安全儀表系統(tǒng)基本設(shè)計原則

1）安全儀表系統(tǒng)的工程設(shè)計應(yīng)滿足石油化工工廠或裝置的安全儀表功能、安全完整性等級要求。

2）安全儀表系統(tǒng)的工程設(shè)計應(yīng)兼顧可靠性、可用性、可維護性、可追溯性和經(jīng)濟性。應(yīng)防止設(shè)計不足或過度設(shè)計。

3）石油化工工廠或裝置的安全完整性等級不應(yīng)高于SIL3級。

4）安全儀表系統(tǒng)的功能應(yīng)根據(jù)過程危險級可操作性分析（HAZOP）、安全完整性等級要求確定。

5）安全儀表系統(tǒng)實現(xiàn)多個單元安全保護功能時，系統(tǒng)內(nèi)的共用部分應(yīng)符合最高安全完整性等級要求。

6）安全儀表系統(tǒng)宜獨立于基本過程控制系統(tǒng)，獨立完成安全保護功能。

7）安全儀表系統(tǒng)應(yīng)設(shè)計成故障安全型。當(dāng)安全儀表系統(tǒng)內(nèi)部產(chǎn)生故障時，按設(shè)計預(yù)定方式將過程轉(zhuǎn)入安全狀態(tài)。

8）安全儀表系統(tǒng)的硬件、操作系統(tǒng)及編程軟件應(yīng)采用正式發(fā)布版本。

9）安全儀表系統(tǒng)的邏輯控制器應(yīng)具有硬件和軟件自診斷功能。

10）安全儀表系統(tǒng)的中間環(huán)節(jié)應(yīng)盡可能少。例如：在爆炸危險場所，安全儀表系統(tǒng)的現(xiàn)場測量儀表和最終元件宜優(yōu)先選用隔爆型，減少中間環(huán)節(jié)。

11）安全儀表系統(tǒng)的邏輯控制器的中央處理單元、輸入輸出單元、通信單元及電源單元等應(yīng)冗余設(shè)置。

12）安全儀表系統(tǒng)的邏輯控制器應(yīng)獲得國家權(quán)威機構(gòu)功能安全認證，應(yīng)取得IEC 61508認證，如德國TUV認證。

“經(jīng)驗使用”（Prior Use）（IEC 61511）或者“驗證使用”（Proven in Use）（IEC 61508）均基于以往類似操作工況和應(yīng)用經(jīng)驗，表明該設(shè)備有足夠低的危險失效率，適用于安全儀表系統(tǒng)。

功能安全認證與經(jīng)驗使用的關(guān)系：在安全儀表系統(tǒng)工程設(shè)計中涉及邏輯控制器、測量儀表（變送器）、電磁閥、切斷閥以及繼電器、信號分配器、電源等。目前石油化工安全儀表系統(tǒng)的邏輯控制器采用功能安全認證的選型原則，安全儀表系統(tǒng)的現(xiàn)場測量儀表和最終元件采用“經(jīng)驗使用”的選型原則。

安全儀表系統(tǒng)的邏輯控制器、工程師站、操作站等設(shè)備，可采用邏輯控制器的時鐘作為時鐘源，使安全儀表系統(tǒng)內(nèi)設(shè)備的時鐘一致。大型石油化工工廠的安全儀表系統(tǒng)應(yīng)與基本控制系統(tǒng)的時鐘同步。可采用時鐘同步系統(tǒng)作為時鐘源。

安全儀表系統(tǒng)現(xiàn)場取壓口和變送器應(yīng)獨立設(shè)置。安全儀表系統(tǒng)與基本過程控制系統(tǒng)的調(diào)節(jié)閥、切斷閥宜分開設(shè)置。安全儀表系統(tǒng)與基本過程控制系統(tǒng)共用的變送器、信號分配器、安全柵等，安全儀表系統(tǒng)用變送器、電磁閥等供電均應(yīng)由安全儀表系統(tǒng)提供。

安全儀表系統(tǒng)優(yōu)先采用雙UPS電源供電。

6 測量儀表

測量儀表應(yīng)包括模擬量和開關(guān)量測量儀表。安全儀表系統(tǒng)應(yīng)優(yōu)先采用模擬量測量儀表，如壓力、差壓、差壓流量、差壓液位、溫度變送器，不應(yīng)采用開關(guān)儀表。測量儀表應(yīng)由安全儀表系統(tǒng)供電。

測量儀表宜采用4～20mA疊加HART傳輸信號的智能變送器。測量儀表不應(yīng)采用現(xiàn)場總線或其他通信方式作為安全儀表系統(tǒng)的輸入信號。

1）測量儀表的獨立設(shè)置原則。SIL 1級安全儀表功能，測量儀表可與基本過程控制系統(tǒng)共用；SIL 2級安全儀表功能，測量儀表宜與基本過程控制系統(tǒng)分開；SIL 3級安全儀表功能，測量儀表應(yīng)與基本過程控制系統(tǒng)分開。

2）測量儀表的冗余設(shè)置原則。SIL 1級安全儀表功能，可采用單一測量儀表；SIL 2級安全儀表功能，宜采用冗余測量儀表；SIL 3級安全儀表功能，應(yīng)采用冗余測量儀表。

3）測量儀表的冗余選擇原則。當(dāng)要求高安全性時，應(yīng)采用“或”邏輯結(jié)構(gòu)；當(dāng)要求高可用性時，應(yīng)采用“與”邏輯結(jié)構(gòu)；當(dāng)安全性和可用性均需保障時，應(yīng)宜采用“三取二”邏輯結(jié)構(gòu)。

測量儀表的冗余設(shè)置，并不表示冗余設(shè)置就對應(yīng)安全完整性等級。

7 最終元件

安全儀表系統(tǒng)的最終元件包括控制閥（調(diào)節(jié)閥、切斷閥）、電磁閥、電機等。

1）最終元件的獨立設(shè)置原則。SIL 1級安全儀表功能，控制閥可與基本過程控制系統(tǒng)共用，應(yīng)確保安全儀表系統(tǒng)的動作優(yōu)先；SIL 2級安全儀表功能，控制閥宜與基本過程控制系統(tǒng)分開；SIL 3級安全儀表功能，控制閥應(yīng)與基本過程控制系統(tǒng)分開。

2）最終元件的冗余設(shè)置原則。SIL 1級安全儀表功能，可采用單一控制閥；SIL 2級安全儀表功能，宜采用冗余控制閥；SIL 3級安全儀表功能，應(yīng)采用冗余控制閥。

控制閥冗余方式可采用1臺調(diào)節(jié)閥和1臺切斷閥，也可采用2臺切斷閥。

控制閥的冗余設(shè)置并不表示冗余設(shè)置就對應(yīng)安全完整性等級。不能冗余配置控制閥的場合，采用單一控制閥，但配套的電磁閥宜冗余配置。

安全儀表系統(tǒng)的電磁閥應(yīng)優(yōu)先選用耐高溫（H級）絕緣線圈，長期帶電型，隔爆型。在工藝過程正常運行時，電磁閥應(yīng)勵磁（帶電）；在工藝過程非正常運行時，電磁閥非勵磁（失電）。

調(diào)節(jié)閥帶電磁閥配置如圖3所示。切斷閥帶電磁閥配置如圖4所示。

圖3 調(diào)節(jié)閥帶電磁閥配置示意

圖4 切斷閥帶電磁閥配置方式示意

圖3，圖4中，SOV為電磁閥，電磁閥勵磁，A—B通，控制閥開；電磁閥非勵磁，B—C通，控制閥關(guān)。

當(dāng)要求高安全性時，可選用圖5，圖6所示的配置方式。

圖5 調(diào)節(jié)閥帶冗余電磁閥配置示意

圖6 切斷閥帶冗余電磁閥配置示意

圖5，圖6中，當(dāng)電磁閥1勵磁，A—B通，電磁閥2勵磁，A—B通，控制閥開；當(dāng)電磁閥1勵磁，A—B通，電磁閥2非勵磁，B—C通，控制閥關(guān)；當(dāng)電磁閥1非勵磁，B—C通，電磁閥2勵磁，A—B通，控制閥關(guān)；當(dāng)電磁閥1非勵磁，B—C通，電磁閥2非勵磁，B—C通，控制閥關(guān)。

當(dāng)要求高可用性時，可選用圖7，圖8所示配置方式。

圖7 調(diào)節(jié)閥帶冗余電磁閥配置示意

圖8 切斷閥帶冗余電磁閥配置示意

圖7，圖8中，當(dāng)電磁閥1勵磁，A—B通，電磁閥2勵磁，A—B通，控制閥開；當(dāng)電磁閥1勵磁，A—B通，電磁閥2非勵磁，B—C通，控制閥開；當(dāng)電磁閥1非勵磁，B—C通，電磁閥2勵磁，A—B通，控制閥開；當(dāng)電磁閥1非勵磁，B—C通，電磁閥2非勵磁，B—C通，控制閥關(guān)。

8 邏輯控制器

安全儀表系統(tǒng)的邏輯控制器應(yīng)采用可編程電子系統(tǒng)。對于輸入輸出點數(shù)較少、邏輯功能簡單的場合，邏輯控制器可采用繼電器系統(tǒng)。邏輯控制器也可采用可編程電子系統(tǒng)和繼電器系統(tǒng)混合構(gòu)成。安全儀表系統(tǒng)的邏輯控制器應(yīng)取得國家權(quán)威機構(gòu)的功能安全認證。

1）邏輯控制器的獨立設(shè)置原則。SIL 1級安全儀表功能，邏輯控制器宜與基本過程控制系統(tǒng)分開；SIL 2級安全儀表功能，邏輯控制器應(yīng)與基本過程控制系統(tǒng)分開；SIL 3級安全儀表功能，邏輯控制器必須與基本過程控制系統(tǒng)分開。

2）邏輯控制器的冗余設(shè)置原則。SIL 1級安全儀表功能，宜采用冗余邏輯控制器；SIL 2級安全儀表功能，應(yīng)采用冗余邏輯控制器；SIL 3級安全儀表功能，必須采用冗余邏輯控制器。

3）邏輯控制器的響應(yīng)時間包括通信時間、輸入處理時間、輸入掃描時間、CPU掃描時間、應(yīng)用程序執(zhí)行時間、輸出掃描時間、輸出處理時間、通信時間。

4）安全儀表系統(tǒng)響應(yīng)時間包括變送器響應(yīng)時間（0.1～5s），輸入關(guān)聯(lián)設(shè)備（0.1s），邏輯控制器響應(yīng)時間（0.1～1s），輸出關(guān)聯(lián)設(shè)備（0.1～1s），最終元件動作時間（0.2～30s）。

邏輯控制器的響應(yīng)時間為100～300ms。

邏輯控制器的中央處理單元負荷不應(yīng)超過50%，內(nèi)部通信負荷不應(yīng)超過50%，采用以太網(wǎng)的通信負荷不應(yīng)超過20%。

目前石油化工常用的邏輯控制器結(jié)構(gòu)見表3所列。

表3 邏輯控制器結(jié)構(gòu)選擇表

安全儀表系統(tǒng)的邏輯控制器應(yīng)有以下特點：用于安全防護或安全控制功能；應(yīng)經(jīng)國家權(quán)威機構(gòu)（如TUV）認證；應(yīng)有安全手冊；應(yīng)遵循IEC61508－2和IEC61508－3規(guī)定；應(yīng)帶自診斷功能；硬件故障裕度（HFT）和診斷覆蓋率（DC）應(yīng)滿足SIL3要求；軟件設(shè)計應(yīng)采用輸入測試、程序流控制診斷、數(shù)據(jù)確認等技術(shù)；與第三方通信接口具有讀寫保護，不允許外部直接訪問I／O卡；SOE，HMI對系統(tǒng)不同層次訪問私密性，對應(yīng)用程序更改的跟蹤等。

9 通信接口和人機接口

9.1 通信接口

安全儀表系統(tǒng)與基本過程控制系統(tǒng)通信應(yīng)優(yōu)先采用RS－485串行通信接口和Modbus RTU通信協(xié)議，也可采用TCP／IP通信協(xié)議。

安全儀表系統(tǒng)與基本過程控制系統(tǒng)通信接口應(yīng)冗余配置，冗余通信接口應(yīng)有診斷功能。

安全儀表系統(tǒng)與基本過程控制系統(tǒng)通信不應(yīng)通過工廠管理網(wǎng)絡(luò)傳輸。

除旁路信號和復(fù)位信號外，基本過程控制系統(tǒng)不應(yīng)采用通信方式向安全儀表系統(tǒng)發(fā)送指令。

除基本過程控制系統(tǒng)外，安全儀表系統(tǒng)與其他系統(tǒng)之間不應(yīng)設(shè)置通信接口。

通信接口的故障不應(yīng)影響安全儀表系統(tǒng)的安全功能，在操作站或工程師站顯示報警。

網(wǎng)絡(luò)通信接口負荷不應(yīng)超過50%。

9.2 人機接口

安全儀表系統(tǒng)的人機接口包括操作員站、工程師站、事件順序記錄站、輔助操作臺等。

1）安全儀表系統(tǒng)宜設(shè)操作員站。操作員站可采用安全儀表系統(tǒng)的操作員站，也可采用基本過程控制系統(tǒng)的操作員站。在操作員站失效時，安全儀表系統(tǒng)邏輯處理功能不應(yīng)受影響。操作員站不應(yīng)修改安全儀表系統(tǒng)的應(yīng)用軟件。操作員站設(shè)置的軟旁路開關(guān)應(yīng)加鍵鎖或口令保護，并應(yīng)設(shè)置旁路狀態(tài)報警并記錄。操作員站應(yīng)提供程序運行、聯(lián)鎖動作、輸入輸出狀態(tài)、診斷等顯示、報警及記錄。

2）安全儀表系統(tǒng)應(yīng)設(shè)工程師站。工程師站用于安全儀表系統(tǒng)組態(tài)編程、系統(tǒng)診斷、狀態(tài)監(jiān)測、編輯、修改及系統(tǒng)維護。工程師站應(yīng)設(shè)不同級別的權(quán)限密碼保護。工程師站應(yīng)顯示安全儀表系統(tǒng)動作和診斷狀態(tài)。

3）安全儀表系統(tǒng)應(yīng)設(shè)事件順序記錄站。事件順序記錄站可單獨設(shè)置，也可與安全儀表系統(tǒng)的工程師站共用。事件順序記錄站記錄每個事件的時間、日期、標(biāo)識、狀態(tài)等。

4）安全儀表系統(tǒng)應(yīng)設(shè)輔助操作臺。輔助操作臺安裝緊急停車按鈕、開關(guān)、信號報警器及信號燈等。

一般信號報警在操作員站顯示，關(guān)鍵信號報警應(yīng)在輔助操作臺上聲光顯示。緊急停車按鈕、開關(guān)、信號報警器等與安全儀表系統(tǒng)連接應(yīng)采用硬接線方式。

安全儀表系統(tǒng)的維護旁路開關(guān)、操作旁路開關(guān)、復(fù)位按鈕可采用下列方式設(shè)置：在安全儀表系統(tǒng)的操作員站設(shè)置軟開關(guān)按鈕；在基本過程控制系統(tǒng)的操作站設(shè)置軟開關(guān)按鈕；在輔助操作臺設(shè)置硬開關(guān)按鈕。安全儀表系統(tǒng)的緊急停車按鈕應(yīng)設(shè)置在輔助操作臺上。

安全儀表系統(tǒng)的維護旁路開關(guān)、操作旁路開關(guān)、復(fù)位按鈕、緊急停車按鈕的操作應(yīng)按規(guī)定程序進行，并應(yīng)有報警、記錄、備份。

維護旁路開關(guān) MOS（Maintenance Override Switch）用于現(xiàn)場儀表和線路維護時暫時旁路信號輸入，使安全儀表系統(tǒng)邏輯控制器的輸入不受維護線路和現(xiàn)場儀表信號的影響。應(yīng)嚴格限制維護旁路開關(guān)的使用。維護旁路開關(guān)在非維護時間應(yīng)置于非旁路狀態(tài)。維護旁路開關(guān)不應(yīng)屏蔽報警功能。采用軟開關(guān)的方式時，每個安全聯(lián)鎖單元宜設(shè)“允許”硬旁路開關(guān)。

當(dāng)工藝過程變量從初始值變化到工藝條件正常值，信號狀態(tài)發(fā)生改變時，應(yīng)設(shè)置操作旁路開關(guān)OOS（Operational Override Switch）。通常在工藝過程開車時，輸入信號還未到正常值之前，將輸入信號暫時旁路，使安全儀表系統(tǒng)邏輯控制器不受輸入信號的影響。工藝過程正常后，操作旁路開關(guān)必須置于非旁路狀態(tài)，保持安全儀表系統(tǒng)邏輯控制器正常運行。應(yīng)當(dāng)嚴格限制操作旁路開關(guān)的使用。

維護旁路開關(guān)、操作旁路開關(guān)均應(yīng)設(shè)置在輸入信號通道上，維護旁路開關(guān)、操作旁路開關(guān)的動作應(yīng)有報警、記錄和顯示。

緊急停車按鈕應(yīng)采用硬接線方式與安全儀表系統(tǒng)連接。緊急停車按鈕不應(yīng)設(shè)維護及操作旁路開關(guān)。

旁路操作時應(yīng)始終保持對工藝過程狀態(tài)的檢測和指示。旁路操作應(yīng)有操作規(guī)程，應(yīng)僅限于正常工藝過程操作范圍之內(nèi)，不能代替或用作安全保護層功能。

MOS是儀表維護人員使用，OOS是工藝操作人員使用；MOS是對變送器的旁路，OOS是對安全儀表功能的旁路；MOS用于變送器檢修或更換，OOS用于因工藝原因要解除安全儀表功能。

10 應(yīng)用軟件

1）應(yīng)用軟件的組態(tài)宜采用功能邏輯圖或布爾邏輯表達式。應(yīng)用軟件的組態(tài)應(yīng)使用制造廠的標(biāo)準(zhǔn)組態(tài)工具軟件。

2）應(yīng)用軟件的安全控制應(yīng)包括應(yīng)用軟件設(shè)計、組態(tài)、編程、硬件軟件集成、運行、維護、管理等。

3）應(yīng)用軟件組態(tài)編程應(yīng)進行離線測試后方可下載投入運行。

4）應(yīng)用軟件宜采用光盤進行數(shù)據(jù)復(fù)制。磁介質(zhì)文件的復(fù)制應(yīng)防止病毒。

5）應(yīng)用軟件應(yīng)做本地備份和異地備份。

6）應(yīng)用軟件組態(tài)編程應(yīng)與功能邏輯圖、因果表或邏輯說明一致。

11 工程設(shè)計

11.1 基礎(chǔ)工程設(shè)計

安全儀表系統(tǒng)基礎(chǔ)工程設(shè)計的主要文件之一是安全儀表控制系統(tǒng)（即邏輯控制器系統(tǒng)）的技術(shù)規(guī)格書，由于多年來的習(xí)慣，仍稱為“安全儀表系統(tǒng)技術(shù)規(guī)格書”。該規(guī)范沿用該習(xí)慣，實際工程中，凡提及“安全儀表系統(tǒng)技術(shù)規(guī)格書”的均指安全儀表控制系統(tǒng)（即邏輯控制器系統(tǒng)）的技術(shù)規(guī)格書。

安全儀表控制系統(tǒng)技術(shù)規(guī)格書應(yīng)包括基本要求、選型原則、邏輯控制器、操作員站、工程師站和事件順序記錄站、輔助操作臺、應(yīng)用軟件組態(tài)、系統(tǒng)通信、系統(tǒng)負荷、維護和安全、供電及接地、驗收測試、環(huán)境條件、工程服務(wù)、質(zhì)量保證及文檔資料等。

根據(jù)工藝安全聯(lián)鎖說明、管道及儀表流程圖等編制功能邏輯圖、因果表及復(fù)雜邏輯說明。

安全儀表系統(tǒng)的測量儀表和最終元件的技術(shù)規(guī)格書包括技術(shù)規(guī)格、技術(shù)說明、工況條件、環(huán)境條件等技術(shù)規(guī)定，儀表數(shù)據(jù)表等。

11.2 詳細工程設(shè)計

根據(jù)安全儀表系統(tǒng)基礎(chǔ)工程設(shè)計文件及詳細工程設(shè)計階段的要求，編制安全儀表系統(tǒng)詳細工程設(shè)計文件應(yīng)包括下列內(nèi)容：安全儀表控制系統(tǒng)技術(shù)規(guī)格書；硬件配置圖；功能邏輯圖、因果表及復(fù)雜邏輯功能說明；輸入輸出點清單；聯(lián)鎖及報警設(shè)定值；應(yīng)用軟件組態(tài)編程需要的技術(shù)資料；安全儀表系統(tǒng)合同及技術(shù)附件；安全儀表系統(tǒng)工程文件及圖紙，包括系統(tǒng)配置圖、機柜、I／O卡、端子圖、回路接線圖、供電及接地系統(tǒng)圖、電纜連接表等。

12 組態(tài)、集成與調(diào)試、驗收測試

12.1 組態(tài)、集成與調(diào)試

根據(jù)安全儀表系統(tǒng)詳細工程設(shè)計的規(guī)定完成工程師站、操作員站、事件順序記錄站、輔助操作臺、系統(tǒng)柜、端子柜、繼電器柜、電源柜、網(wǎng)絡(luò)柜等硬件集成。根據(jù)因果表或功能邏輯圖完成軟件組態(tài)和編譯。

系統(tǒng)硬件、系統(tǒng)軟件及應(yīng)用軟件集成。

完成系統(tǒng)硬件和軟件檢查、應(yīng)用軟件下裝及調(diào)試。

12.2 驗收測試

驗收測試包括工廠驗收測試（FAT）、工廠聯(lián)合測試（IFAT）和現(xiàn)場驗收測試（SAT）。

1）工廠驗收測試應(yīng)包括制造廠提供驗收測試程序、內(nèi)容及步驟，驗收測試標(biāo)準(zhǔn)儀器，驗收文件，硬件測試，冗余和容錯功能檢驗，系統(tǒng)在線可維護性測試（更換卡件、修改及下裝軟件等），邏輯功能測試，驗收測試報告簽字等。

2）工廠聯(lián)合測試應(yīng)包括與基本過程控制系統(tǒng)的聯(lián)合通信測試宜在DCS制造廠進行，并完成DCS與SIS之間的通信、軟件、畫面測試。

3）現(xiàn)場驗收測試應(yīng)包括制造商提供現(xiàn)場驗收測試程序、內(nèi)容及步驟，驗收工程設(shè)計文件，系統(tǒng)安裝、連接、通電條件檢查，檢查冗余和容錯功能及在線更換卡件功能，操作站、工程師站顯示畫面測試，輔助操作臺緊急停車及報警功能檢查，系統(tǒng)網(wǎng)絡(luò)及診斷功能檢查，驗收測試報告簽字等。

4）安全儀表系統(tǒng)工程文件包括硬件規(guī)格書、軟件規(guī)格書、系統(tǒng)配置圖、機柜布置及接線圖、系統(tǒng)供電、接地圖、負荷計算表、輸入／輸出卡點分配表、組態(tài)編程文件、操作維護及安全手冊等。

13 操作維護、變更管理、文檔管理

13.1 操作維護

操作維護主要包括以下內(nèi)容：操作維護規(guī)程；維護人員職責(zé)與管理規(guī)程；定期診斷測試計劃及報告；停車期間的系統(tǒng)檢查管理；維護旁路開關(guān)、操作旁路開關(guān)的使用管理。

13.2 變更管理

變更管理主要包括以下內(nèi)容：變更原因及方案，包括系統(tǒng)的版本升級、增減或修改安全聯(lián)鎖邏輯等；審核評估變更方案，確認變更的安全儀表功能；變更方案的詳細設(shè)計與實施方案；變更軟件功能的離線測試與檢查要求；變更報告及操作維護規(guī)程更新。

13.3 文檔管理

文檔管理主要包括以下內(nèi)容：安全生命周期各階段的文檔管理；編制文檔管理及控制規(guī)程；制定文件命名規(guī)則、文件格式、文件傳遞方式；編制文件審核流程及文件版本管理規(guī)定。

14 結(jié)束語

GB／T 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》的發(fā)布實施，是中國石化行業(yè)石油化工自動化專家，設(shè)計、制造、應(yīng)用方面專家智慧的結(jié)晶，是各方團結(jié)協(xié)作努力的結(jié)果。該規(guī)范闡述和細化了石油化工安全儀表系統(tǒng)設(shè)計工作，是中國石油化工行業(yè)安全儀表系統(tǒng)多年工程設(shè)計應(yīng)用的寶貴經(jīng)驗積累，具有較強的實用性、可操作性和前瞻性。

致 謝

該規(guī)范編制組借此機會感謝中華人民共和國住房和城鄉(xiāng)建設(shè)部、中國石化股份有限公司工程部領(lǐng)導(dǎo)，感謝曾為規(guī)范編制工作提出寶貴意見和建議的全部自動化專家，感謝主編單位、參編單位、參加單位的領(lǐng)導(dǎo)和專家給予的人力、物力方面的支持和幫助，謝謝編制組全體人員五年來的辛勤勞動！

［1］機械工業(yè)儀器儀表綜合技術(shù)研究所.GB／T 20438.1—2006／IEC 61508—1電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2007.

［2］機械工業(yè)儀器儀表綜合技術(shù)研究所.GB／T 20438.2—2006／IEC 61508—2電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全 第2部分：電氣／電子／可編程電子安全相關(guān)系統(tǒng)的要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2007.

［3］機械工業(yè)儀器儀表綜合技術(shù)研究所.GB／T 20438.3—2006／IEC 61508—3電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分：軟件要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2007.

［4］機械工業(yè)儀器儀表綜合技術(shù)研究所.GB／T 20438.4—2006／IEC 61508—4電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分：定義和縮略語［S］.北京：中國標(biāo)準(zhǔn)出版社，2007.

［5］機械工業(yè)儀器儀表綜合技術(shù)研究所.GB／T 20438.5—2006／IEC 61508—5電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等級的方法示例［S］.北京：中國標(biāo)準(zhǔn)出版社，2007.

［6］機械工業(yè)儀器儀表綜合技術(shù)研究所.GB／T 20438.6—2006／IEC 61508—6電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全 第6部分：GB／T 20438.2和GB／T 20438.3的應(yīng)用指南［S］.北京：中國標(biāo)準(zhǔn)出版社，2007.

［7］機械工業(yè)儀器儀表綜合技術(shù)研究所.GB／T 20438.7—2006／IEC 61508—7電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全 第7部分：技術(shù)和措施概述［S］.北京：中國標(biāo)準(zhǔn)出版社，2007.

［8］機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，上海自動化儀表股份 有 限 公 司 技 術(shù) 中 心.GB／T 21109.1—2007／IEC 61511—1過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第1部分：框架、定義、系統(tǒng)、硬件和軟件要求［S］.北京：中國標(biāo)準(zhǔn)出版社，2008.

［9］機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所.GB／T 21109.2—2007／IEC 61511—2過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第2部分：GB／T21109.1的應(yīng)用指南［S］.北京：中國標(biāo)準(zhǔn)出版社，2008.

［10］機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，上海自動化儀表股份 有 限 公 司 技 術(shù) 中 心.GB／T 21109.3—2007／IEC 61511—3過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第3部分：確定要求的安全完整性等級的指南［S］.北京：中國標(biāo)準(zhǔn)出版社，2008.

［11］Instrument Society of America.ANSI／ISA －84.01 Application of Safety Instrumented Systems for the Process Industries［S］.America，ISA，1996.

［12］中國石化工程建設(shè)公司.SH／T 3018石油化工安全儀表系統(tǒng)設(shè)計規(guī)范［S］.北京：中國石化出版社，2004.