T/CCSAS 054-2025 安全仪表系统(SIS)安全要求规格书(SRS）

ICS13.200
CCS C68
团 体 标 准
T/CCSAS054—2025
安全仪表系统(SIS)安全要求规格书(SRS)
编写指南
Guidancefordraftingsafetyrequirementsspecification (SRS)ofsafety
instrumentedsystem (SIS)
2025-03-03发布2025-03-03实施
中国化学品安全协会发布

目 次
前言………………………………………………………………………………………………………… Ⅲ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 缩略语…………………………………………………………………………………………………… 4
5 总体要求………………………………………………………………………………………………… 5
6 SRS编写节点和流程…………………………………………………………………………………… 6
7 SRS编写输入资料……………………………………………………………………………………… 7
8 SRS内容………………………………………………………………………………………………… 8
9 SRS文件结构………………………………………………………………………………………… 11
附录A (资料性) SIF清单和SRS数据表示例………………………………………………………… 12
附录B(资料性) 因果表示例…………………………………………………………………………… 18
附录C(资料性) SRS编写输入资料示例……………………………………………………………… 19
附录D(资料性) SRS编写示例………………………………………………………………………… 28
参考文献…………………………………………………………………………………………………… 56
Ⅰ
T/CCSAS054—2025

前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请 注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国化学品安全协会提出并归口。
本文件起草单位:中科合成油工程有限公司、北京安必达科技有限公司、中国化学品安全协会、中国
石化工程建设有限公司、中国安全生产科学研究院、惠生工程(中国)有限公司、山东济炼石化工程有限
公司、中国成达工程有限公司、中石油华东设计院有限公司、中国化学赛鼎宁波工程有限公司、中国寰球
工程有限公司、中石化宁波工程有限公司、万华化学集团股份有限公司、上海歌略软件科技有限公司、
中海壳牌石油化工有限公司、巴斯夫(中国)有限公司、中石化广州工程有限公司、南京聚高工程技术有
限公司、中化学赛鼎焦化(山西)工程科技有限公司、珠海安彦企业管理咨询有限公司、浙江石油化工有
限公司、新疆天域海安安全技术服务有限公司。
本文件主要起草人:范咏峰、唐彬、王楠、林融、关磊、程泱、王云、张红东、刘友玲、冯建柱、曾裕玲、
林洪俊、张志、王雪梅、杨晨、王琳、王成舫、孙金晓、李才华、王娇龙、代轶民、戴益、皮宇、樊清、朱东利、
胡兰青、孙彦东、陆兴旺、奚春洪、白艳宏、翟庆伟、付丽君、甘露、荣彦栋、唐孟、陈洪沛、王渤、于淼。
Ⅲ
T/CCSAS054—2025

安全仪表系统(SIS)安全要求规格书(SRS)
编写指南
1 范围
本文件提供了安全仪表系统(SIS)安全要求规格书(SRS)编写的总体要求、节点和流程、输入资料、
内容、文件结构等方面的指导,并给出了SRS编写示例。
本文件适用于化工企业安全仪表系统(SIS)安全要求规格书(SRS)的编写。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T20438(所有部分) 电气/电子/可编程电子安全相关系统的功能安全
GB/T21109(所有部分) 过程工业领域安全仪表系统的功能安全
GB/T50770 石油化工安全仪表系统设计规范
3 术语和定义
GB/T21109.1界定的以及下列术语和定义适用于本文件。
3.1
安全仪表系统 safetyinstrumentedsystem;SIS
用于实现一个或多个SIF的仪表系统。
注1:SIS由测量仪表、逻辑控制器、最终执行机构,以及软件、通信和附属设备组合而成。
注2:附属设备包括:安全栅、电涌防护器、继电器、隔离器、电缆、引压管、电源、伴热等。
[来源:GB/T21109.1—2022,3.2.67,有修改]
3.2
安全完整性等级 safetyintegritylevel;SIL
为规定SIF应达到的安全完整性要求而分配给SIF的离散等级(4个等级中的一个)。
注1:SIL有且仅有4个等级,由低到高分别为SIL1、SIL2、SIL3、SIL4。
注2:SIL等级越高,期望的PFDavg越低(低要求模式),或者导致危险事件的PFH 越低(连续模式和高要求模式)。
注3:目标失效量和SIL间的关系见GB/T50770的相关规定。
注4:SIL由SIL定级确定。
[来源:GB/T21109.1—2022,3.2.69,有修改]
3.3
安全仪表功能 safetyinstrumentedfunction;SIF
为了防止、减少危险事件发生或保持过程安全状态,由SIS实现具有特定SIL的安全功能。
注1:特定SIL 由SIL 定级确定,为SIL1、SIL2、SIL3、SIL4等级中的一个。没有SIL 等级要求的安全功能不属
于SIF。
注2:非安全关键测量仪表和非安全关键最终执行机构不属于SIF。
1
T/CCSAS054—2025
注3:SIF测量仪表和最终执行机构属于安全关键。
注4:安全关键不一定属于SIF,安全关键也可能属于BPCS联锁。
[来源:GB/T50770—2013,2.1.9,有修改]
3.4
安全要求规格书 safetyrequirementsspecification;SRS
包含SIS的总体和通用要求、所有SIF要求和与之相关SIL要求的工程说明性和规范性文件。
[来源:GB/T21109.1—2022,3.2.72,有修改]
3.5
SIS安全生命周期 SISsafetylife-cycle
从SIS和SIF工程方案设计开始到所有SIF停止使用期间,SIS实现SIF的所有必要活动。
[来源:GB/T21109.1—2022,3.2.70,有修改]
3.6
(SIF的)运行模式 modeofoperation (ofaSIF)
SIF的运行方式,包括:低要求模式、高要求模式、连续模式,含义如下:
a) 低要求模式:在这种运行模式下,SIF只有在要求时才动作,以将过程导入一个特定的安全状
态,并且要求的频率不大于一年一次;
b) 高要求模式:在这种运行模式下,SIF只有在要求时才动作,以将过程导入一个特定的安全状
态,并且要求的频率大于一年一次;
c) 连续模式:在这种运行模式下,SIF作为正常运行的一部分保持过程处于一种安全状态。
[来源:GB/T21109.1—2022,3.2.39,有修改]
3.7
测量仪表 sensor
BPCS或SIS的一部分,测量过程变量的设备。
[来源:GB/T50770—2013,2.1.16,有修改]
3.8
逻辑控制器 logicsolver
BPCS或SIS的一部分,执行逻辑功能的设备。
[来源:GB/T50770—2013,2.1.17,有修改]
3.9
最终执行机构 finalelement
BPCS或SIS的一部分,执行逻辑控制器指令或设定的动作,使过程达到安全状态的设备。
注:也称执行单元。
[来源:GB/T50770—2013,2.1.18,有修改]
3.10
基本过程控制系统 basicprocesscontrolsystem;BPCS
响应过程测量变量以及其他相关设备、仪表、控制系统或操作员的输入信号,按过程控制规律,产生
输出信号实现过程控制及其相关设备运行的系统。
[来源:GB/T50770—2013,2.1.19,有修改]
3.11
过程安全时间 processsafetytime
如果SIF未执行,从过程失效或BPCS失效(有可能引发危险事件)到危险事件发生之间的时间段。
注:用于确定SIF响应时间要求的过程安全时间指的是,当SIF未执行时,在预期的不利条件下,由过程固有特性
决定的,从过程达到SIF联锁设定值开始到发生特定不可逆的危险状态的时间间隔。
2
T/CCSAS054—2025
[来源:GB/T21109.1—2022,3.2.52.1,有修改]
3.12
联锁 interlock
根据对过程参数越限、设备等状态异常以及操作员手动等输入信号的逻辑判断,执行预先设定的
动作。
[来源:HG/T20511—2014,2.1.8,有修改]
3.13
安全关键 safetycriticalrelated
包括安全关键测量变量(测量仪表)和安全关键动作(最终执行机构)。
安全关键测量变量(测量仪表)指的是该变量(测量仪表)是发现工艺不安全状态必不可少的变量
(测量仪表),只有该变量的检测才能确定发现工艺不安全状态。
安全关键动作(最终执行机构)指的是该动作(最终执行机构)是将工艺过程转入安全状态必不可少
的动作(最终执行机构),只有该动作的执行才能将工艺过程转入安全状态。
3.14
非安全关键 non-safetycriticalrelated
包括非安全关键测量变量(测量仪表)和非安全关键动作(最终执行机构)。
非安全关键测量变量(测量仪表)指的是该变量(测量仪表)不是发现工艺不安全状态必不可少的变
量(测量仪表),该变量没有被检测并不影响安全关键测量变量(测量仪表)可独立确定发现工艺不安全
状态。
非 安全关键动作(最终执行机构)指的是该动作(最终执行机构)不是将工艺过程转入安全状态必不
可少的动作(最终执行机构),该动作没有被执行并不影响安全关键动作(最终执行机构)可独立将工艺
过程转入安全状态。
3.15
操作模式 operatingmode
过程操作的所有计划状态,包括的模式有:检修或紧急停车后的开车、正常操作、正常停车、临时操
作、紧急操作、紧急停车、牌号切换等。
注:也称为过程操作模式(processoperatingmode)。
[来源:GB/T21109.1—2022,3.2.45,有修改]
3.16
应用程序 applicationprogram
专用于用户应用的程序。通常,它包含为达到SIS功能要求而必要的控制输入、输出、计算和决策
的逻辑顺序、许可、限制和表达式。
[来源:GB/T21109.1—2022,3.2.76.1]
3.17
平均恢复时间 meantimetorestoration;MTTR
预期的完全恢复的时间。
注:MTTR包含:
———检测失效的时间(a);
———开始维修前的时间(b);
———实际的维修时间(c);
———组件恢复运行前的时间(d)。
(b)的开始时间是(a)的结束点;(c)的开始时间是(b)的结束点;(d)的开始时间是(c)的结束点。
[来源:GB/T21109.1—2022,3.2.37.2]
3
T/CCSAS054—2025
3.18
平均维修时间 meanrepairtime;MRT
预期的整体维修时间。
注:MRT包含MTTR时间中的时间段(b)、(c)和(d)(见3.17)。
[来源:GB/T21109.1—2022,3.2.37.1]
3.19
最大允许维修时间 maximumpermittedrepairtime;MPRT
检测到失效后允许的最长维修时间。
注1:MRT可用作MPRT,但是定义MPRT时可以不考虑MRT。
———可选择小于MRT的MPRT来降低危险事件的可能性。
———如果可以放宽对危险事件可能性的约束,则可选择大于MRT的MPRT。
注2:如果定义了MPRT,在计算随机硬件失效概率时可使用MPRT取代MRT。
[来源:GB/T21109.1—2022,3.2.37.3]
3.20
安全手册 safetymanual
定义如何安全应用SIS设备、子系统或系统的信息。
注1:安全手册可能包括来自制造商和用户的信息。
注2:对于遵循GB/T20438(所有部分)的设备,来自制造商的信息就是安全手册。
注3:这可能是一份独立文档,也可能是一份文档集。
[来源:GB/T21109.1—2022,3.2.71,有修改]
3.21
安全失效分数 safefailurefraction;SFF
安全相关组件的属性,定义为平均安全失效率加上检测出的平均危险失效率,与平均安全失效率加
上平均危险失效率之比。
注1:SFF=(ΣλSDavg+ΣλSUavg+ΣλDDavg)/(ΣλSDavg+ΣλSUavg+ΣλDDavg+ΣλDUavg)。
其中,λSD为检测到的安全失效率;λSU为未检测到的安全失效率;λDD为检测到的危险失效率;λDU 为未检测到的危险
失效率,avg代表平均失效率。
注2:如失效率是常数失效率,SFF=(ΣλSD+ΣλSU+ΣλDD)/(ΣλSD+ΣλSU+ΣλDD+ΣλDU)。
[来源:GB/T20438.4—2017,3.6.15,有修改]
3.22
确认 validation
通过检查和提供客观证据,证明用于规定用途的特定要求已经得到满足。
注:本文件中是指SIS安装完成后,在投入使用前开展的检查和提供客观证据的活动,用来证明SIS在各方面均满
足SRS和SIS其他相关安全技术要求。
[来源:GB/T21109.1—2022,3.2.86,有修改]
4 缩略语
下列缩略语适用于本文件。
ALARP:最低合理可行原则(AsLowAsReasonablyPracticable)
BPCS:基本过程控制系统(BasicProcessControlSystem)
DC:诊断覆盖率(DiagnosticCoverage)
FIT:菲特(FailureInTime)
注:本文件中,1FIT=1failure/109hours。
4
T/CCSAS054—2025
HAZOP:危险与可操作性分析(HazardandOperabilityStudies)
HFT:硬件故障裕度(HardwareFaultTolerance)
注:也称硬件容错。
IE:初始事件(InitiatingEvent)
IPL:独立保护层(IndependentProtectionLayer)
LOPA:保护层分析(LayerOfProtectionAnalysis)
MPRT:最大允许维修时间(MaximumPermittedRepairTime)
MRT:平均维修时间(MeanRepairTime)
MT:任务时间(MissionTime)
MTTR:平均恢复时间(MeanTimeToRestoration)
PFDavg:要求时危险失效平均概率(averageProbabilityofdangerousFailureonDemand)
PFH:每小时危险失效平均频率(averageFrequencyofadangerousFailureperHour)
PHA:过程危险分析(ProcessHazardAnalysis)
PST:部分行程测试(PartialStrokeTesting)
PTC:检验测试覆盖率(ProofTestCoverage)
P&ID:工艺管道及仪表流程图(Piping&InstrumentDiagram)
RRF:风险降低因子(RiskReductionFactor)
SC:系统性能力(SystematicCapability)
SFF:安全失效分数(SafeFailureFraction)
SIF:安全仪表功能(SafetyInstrumentedFunction)
SIL:安全完整性等级(SafetyIntegrityLevel)
SIS:安全仪表系统(SafetyInstrumentedSystem)
SRS:安全要求规格书(SafetyRequirementsSpecification)
STR:误停车率(SpuriousTripRate)
TI:检验测试间隔(ProofTestInterval)
UID:公用系统管道及仪表流程图(UtilityPiping&InstrumentDiagram)
5 总体要求
5.1 编写SRS的目的是为了通过规定SIS的要求,以保证SIF实现所需的功能安全。
5.2 SRS应包含SIS的总体和通用要求、所有SIF的安全功能要求和与之相关SIL的安全完整性要
求,包括SIS架构和应用程序。SRS是SIS设计和工程实施的输入条件。
5.3 SRS应根据SIL定级得出的风险降低要求和风险评估中确定的相关要求进行编写。SIL定级和
风险评估应根据企业风险可接受标准确定。企业风险可接受标准不应低于适用的国家标准强制性条款
和监管部门的相关要求,不宜低于国家标准推荐性条款的要求。
5.4 SRS和SIS应符合GB/T20438(所有部分)、GB/T21109(所有部分)、GB/T50770的相关规定。
5.5 SRS应是SIS的设计依据,是SIS的设计应遵循的指导文件,并且应包括目的和应用方法的描述。
5.6 SRS应清晰、准确、明确、可验证、可测试、可维护、可操作,可用于指导使用者在SIS全生命周期遵
照执行。
5.7 SRS、设计文件、验证文件、现场工况,SIF测量仪表、逻辑控制器和最终执行机构的安全手册,相互
之间应是协调的。
5
T/CCSAS054—2025
6 SRS编写节点和流程
6.1 SRS编写和更新节点
6.1.1 SRS编写、更新(完善和维护)包括以下节点:
a) 在“SIS的SRS”节点,应编写SRS的初版;
b) “SIS设计和工程(包括SIL验证)”节点后,应更新SRS;
c) “SIS安装、调试和确认”节点后,SIS安装、调试、确认和开车过程中如果有涉及SRS的修
改,应更新SRS;
d) 工程投运后发生对SRS有影响的变更时,应更新SRS。
6.1.2 各版本可采用版次设计的方式编写。
6.1.3 对SRS有影响的变更包括:联锁逻辑、SIL定级、运行模式、联锁设定值、仪表选型、表决结构、失
效数据、SIL验证等方面的变化。
6.1.4 SIS安全生命周期、SRS编写和更新节点示意见图1。
图1 SIS安全生命周期、SRS编写和更新节点示意
6.2 编写流程
SRS编写流程示意见图2。SIS设计有变更时,应更新SRS。
6
T/CCSAS054—2025
图2 SRS编写流程示意
7 SRS编写输入资料
SRS编写输入资料宜包括但不限于以下资料:
a) P&ID、UID;
b) 装置说明与操作模式;
c) 联锁逻辑要求,以逻辑说明、逻辑图、因果表等形式表达;
d) 复位要求;
e) 过程安全时间;
f) 工程设计仪表规格书(包括最终执行机构安全状态要求);
g) 操作范围及联锁设定值;
7
T/CCSAS054—2025
h) 逻辑控制器规格书;
i) HAZOP报告;
j) SIL定级报告(明确SIF和非SIF),包括SIF回路组成一览表及SIL等级;
k) 操作和维修要求;
l) 装置运行检维修周期,设计寿命,可用性的要求。
8 SRS内容
8.1 通则
8.1.1 SRS应明确SIS、SIF和SIL的通用要求与具体要求,应包括实现功能安全的硬件、软件、工程、
管理、运维等方面的要求。通用要求是对SIS、SIF和SIL的目的、原则、总框架、准则、共性的要求,具体
要求是对于SIF的具体要求。SIF清单和SRS数据表属于具体要求。
8.1.2 SRS宜通过文字说明、表格、逻辑图、因果表等形式相结合的方式进行表述。表格包括:SIF清
单、SRS数据表等。每个SIF应单独在SIF清单中列出并单独定义SRS数据表。
8.2 主要内容
8.2.1 SRS应包括SIF要求和SIL要求。
8.2.2 SRS宜包括应用程序安全要求。应用程序安全要求见8.3。
8.2.3 SRS宜包括下列内容。
a) 列出所有SIF的功能说明和联锁逻辑要求,联锁逻辑要求可采用逻辑说明、逻辑图、因果表等
形式表达。
b) 列出每个SIF的测量仪表和最终执行机构的位号。
c) 识别和考虑共因失效,需要时,给出消除或减缓措施。
d) 定义每个SIF的过程安全状态,例如,防止储罐溢罐的SIF,过程安全状态为关闭储罐入口切
断阀,此状态可避免或充分减轻特定的危险事件(此处指的是储罐溢罐)。
e) 当多个SIF同时动作可能导致额外风险情况时,应进行风险分析并确定安全保护措施和方案。
f) 列出每个SIF的假定要求来源和要求发生的频率。
g) 确定每个SIF的测量仪表、逻辑控制器和最终执行机构的TI。
h) 确定每个SIF 对测量仪表、逻辑控制器和最终执行机构实施检验测试的要求;设置阀门
PST时,应确定相关要求。
i) 确定每个SIF的响应时间的要求,SIF的响应时间=测量仪表响应时间+逻辑控制器响应时
间(包括输入、逻辑运算和输出等环节)+最终执行机构响应时间+各个环节的滞后时间。
j) 列出每个SIF的SIL等级和运行模式(低要求模式、高要求模式、连续模式)。
k) 列出每个SIF的测量仪表的过程测量变量、测量范围、精确度等级和联锁设定值等。
l) 列出每个SIF的最终执行机构的动作和相关要求,例如要求关闭控制阀、动作时间要求小于
10s。
m) 说明每个SIF的输入和输出之间的功能关系,包括逻辑关系、数学函数关系及允许触发条件
等,例如防止储罐溢罐SIF,输入为高高液位联锁,逻辑表决关系为三取二,输出为关闭储罐进
口切断阀,逻辑表决关系为一取一。
n) 说明每个SIF的手动停车要求,例如可在控制室辅助操作台和现场具备手动关闭切断阀的
8
T/CCSAS054—2025
功能。
o) 说明每个SIF的联锁方式,得电联锁或者失电联锁的要求,例如SIF-101中的XV-101电磁阀
为失电(非励磁)联锁。
p) 说明每个SIF在联锁动作后的复位要求,例如防止储罐溢罐SIF,高高液位联锁关闭储罐入口
切断阀后,切断阀应保持关闭状态,直到储罐液位恢复正常并且启动复位为止。
q) 有可用性要求的SIF,说明其最高允许的STR。
r) 说明每个SIF的失效模式和要求的SIS响应(例如报警、自动停车)。
s) 说明开停工过程启动和重新启动SIS的具体要求。
t) 说明SIS和其他系统(包括BPCS和操作员)之间的所有接口要求,包括过程接口、通信接口、
人机接口等。
u) 说明装置各种操作模式及每种模式下SIF的相关要求。
v) 说明8.3中列出的应用程序安全要求。
w) 说明每个SIF的旁路要求和旁路期间的管理要求,旁路包括维护旁路和操作旁路。
x) 说明每个SIF在检测到故障事件时,为达到和保持某个安全状态应采取的必要措施,宜考虑所
有相关人员因素。例如检测到SIF测量仪表故障时执行联锁,或者一定期限内暂时不执行联
锁而是采取必要的安全补偿措施,到期无法解除故障时执行联锁。
y) 确定每个SIF合理的MTTR,综合考虑备品备件数量、存储、地理位置、路程时间、备件安装、
服务合同、环境限制等。
z) 识别需要避免的SIS输出状态的关联危险。
aa) 识别在运输、存储、安装及运行中可能遇到的极端环境条件。
bb) 识别正常和异常过程操作模式,说明是否需要额外增加SIF。
cc) 需要时,确定SIF应满足的特殊要求。例如,如果SIF控制阀需要在火灾场景下的一定时间
内有效动作,应确定此SIF控制阀的防火要求,包括控制阀内件、控制阀执行机构、电缆等的
防火要求。
dd) SIS的总体和通用要求。
8.3 应用程序安全要求
8.3.1 通则
8.3.1.1 应用程序安全要求可作为SRS中的一部分,也作为一个独立文档,例如应用程序要求规格书。
8.3.1.2 应用程序安全要求应从SRS和SIS的架构(布局和内部结构)中推导。每个SIS子系统的应
用程序安全要求输入信息应包括:
a) 每个SIF的安全要求,包括测量仪表表决等;
b) SIS架构和安全手册提出的要求,例如硬件和嵌入式软件的限制和约束;
c) 来自GB/T21109.1相关的安全计划的要求。
8.3.1.3 应为每个可编程控制器规定应用程序安全要求。
8.3.1.4 应用程序的设计、编程、组态、测试、集成、确认、运行维护及变更等应符合SRS和工程设计文
件的要求。
8.3.1.5 应规定应用程序进行离线和在线测试的方式。应用程序应在确认其功能满足特定的目标和要
求后,再投入运行。
8.3.1.6 应用程序应同时进行本地备份和异地备份。数据应采用专用光盘或磁介质进行复制和备
9
T/CCSAS054—2025
份,专用光盘或磁介质不应在安全仪表系统以外的电脑和电子产品上使用,电子版文件的复制应防止
病毒。
8.3.1.7 逻辑设计应具有可读性,复杂功能逻辑图应有相应的逻辑功能说明。
8.3.1.8 应用程序组态编程应与SRS、逻辑说明、逻辑图、因果表一致。程序执行顺序及时间应符合过
程安全的要求。
8.3.1.9 应用程序设计和组态宜使用标准功能块。标准功能块应为经功能测试正确的逻辑功能块。
8.3.2 主要内容
应用程序安全要求应符合相关的功能安全(包括SIF和SIL)的要求。应用程序安全要求应足够详
细,以使设计和实施达到要求的功能安全,并应能开展功能安全评估。宜确定以下方面对应的功能安全
相关的应用程序安全要求:
a) 需要实现的SIF及其SIL;
b) 实时性能参数,例如CPU 负荷、通信负荷、有故障时可接受的实时性能以及特定时间内接收到
的所有联锁信号;
c) 程序次序和延时;
d) 设备和操作员接口及其可操作性;
e) SRS中规定的所有相关的过程操作模式;
f) 针对异常测量结果,例如测量仪表值超量程、欠量程、变化幅度过大、测量值冻结、检测线路开
路/短路,采取的措施;
g) 由应用程序执行的对测量仪表和最终执行机构进行检验测试和自动诊断测试的功能;
h) 应用程序的自监测,例如应用程序驱动的程序监视器和数据有效性确认;
i) 对测量仪表和最终执行机构的监测;
j) 过程运行时,SIF的定期测试;
k) 相关资料,例如SIF清单、SIF数据表、SIS配置和架构、SIS硬件安全完整性要求;
l) 通信接口,包括限制其使用的措施,以及接收和发送的数据或指令的有效性检查;
m) 识别和避免由应用程序产生的过程危险状态,例如同时关闭两个气体隔离阀可能导致压力波
动,从而导致危险状态;
n) 每个SIF的过程变量验证标准的定义;
o) 网络安全、防火墙等;
p) 其他方面,例如联锁设定值的修改保护措施、应用程序的响应时间、功能验收测试、变更管
理等。
8.3.3 编写要求
应用程序安全要求的编写应符合以下要求:
a) 应包括描述支持应用程序安全要求的意图和方法;
b) 在SIS全生命周期内,对使用该文档的人员来说应是清晰的、不会有歧义的并且易于理解
的,人员包括设计人员、验证人员、工厂操作人员、维护人员和应用编程人员等;
c) 应可验证、可测试和可修改;
d) 通过相关文件应可追溯,包括详细设计文档、SRS以及识别所需的SIF和SIL的PHA。
10
T/CCSAS054—2025
9 SRS文件结构
9.1 SRS文件结构宜包括:总则、概述、工厂及项目装置概况、相关资料、总体要求、SRS编写节点和
SRS主要内容、应用程序安全要求、SIS总体和通用要求、SIF通用要求、SIF清单、SRS数据表、逻辑要
求、具体要求、版次说明等部分。
9.2 SRS文件宜为一个文件或几个文件的集合。
9.3 SIF清单和SRS数据表示例见附录A。
9.4 因果表示例见附录B。
9.5 SRS输入资料示例见附录C。
9.6 SRS编写示例见附录D。
9.7 本文件附录中的示例是具体项目可能的选择,不属于本文件正文要求。在满足标准规范和监管文
件要求的前提下,不同工程公司和企业可具有不同的选择。
11
T/CCSAS054—2025
附 录 A
(资料性)
SIF清单和SRS数据表示例
A.1 概述
模板表格为示例,企业可根据具体情况确定适合的项目模板。确定项目模板后,具体填写可包含以
下情况。
a) 不适合项目的,填写“不适合”。
b) 有些项可统一说明,填写“见统一说明”。例如仪表的使用期限、检测到故障时的响应。
c) 有些项内容可能较多,表格中可能填写不下,可另页填写或者采用其他方式表达,例如表A.3
中的“与其他测量仪表组成群组”项,有时可能较为复杂,可通过专门文件说明、逻辑图、等方式
进行表达。
d) 有些内容可分阶段逐步填写的。
e) 其他可能的情况。
A.2 SIF清单示例
SIF清单格式和填写示例见表A.1。
表A.1 SIF清单格式和填写示例
序号SIF编号SIF功能说明
SIL等级/
验证达到的
SIL等级
目标失效量/
验证达到的目标失效量
(PFDavg/RRF/PFH)
备注
1 SIF-101
液位(LT-10101、LT-10102和
LT-10103,三取二)高高联锁关闭
储罐(T-101)进口切断阀(XV-10101)
SIL2/SIL2
RRF=200/RRF=236
(低要求运行模式填写PFDavg或
RRF,高要求或者连续
运行模式填写PFH)
略
略略略略略略
A.3 SRS数据表示例
A.3.1 概述
SRS数据表包括SIF数据表、测量仪表数据表、逻辑控制器数据表和最终执行机构数据表。
A.3.2 SIF数据表示例
SIF数据表格式和填写示例见表A.2。SIL定级假设采用LOPA 分析。
12
T/CCSAS054—2025
表A.2 SIF数据表格式和填写示例
SIF编号SIF-101
SIF描述储罐(T-101)液位高高联锁
HAZOP报告略(填写HAZOP报告文件名、编号、日期、版次)
LOPA报告略(填写LOPA报告文件名、编号、日期、版次)
危险事件说明溢罐,着火爆炸,造成人员伤亡、财产损失和环境影响
安全状态储罐(T-101)进口切断阀(XV-10101)关闭
SIF功能说明
液位(LT-10101、LT-10102和LT-10103,三取二)高高联锁关闭储罐(T-101)进口切断阀
(XV-10101)
逻辑图号IS-10101
因果表号YGB-101
运行模式低要求运行模式
SIL等级/验证达到的SIL
等级SIL2/SIL2
目标失效量/验证达到的
目标失效量
(PFDavg/RRF/PFH)
RRF=200/RRF=236
(低要求运行模式填写PFDavg或RRF,高要求或者连续运行模式填写PFH)
过程安全时间180s
SIF响应时间要求≤90s(以要求“≤1/2过程安全时间”举例)
最高允许的STR/验证达
到的STR 略(需要考虑可用性时,根据要求填写)
输入位号
LT-10101
LT-10102
LT-10103
输出位号
XV-10101
逻辑要求
液位(LT-10101、LT-10102和LT-10103,三取二)高高联锁关闭储罐(T-101)进口切断阀
(XV-10101)
手动停车
设置手动停车,防火堤外现场按钮(HS-10101A)和辅操台按钮(HS-10101B),任一触发时
停车
复位设置复位,RS-101
使用期限≥20年
操作模式
略
(说明装置各种操作模式及每种模式下SIF的相关要求。没有需要说明的,则不填写。
装置操作模式通常包括检修或紧急停车后的开车、正常操作、正常停车、临时操作、紧急操
作、紧急停车、牌号切换等)
环境条件略
多SIF同时动作产生新风
险(如果存在分析并说明) 未发现(根据设计文件填写)
其他要求1 略(填写SIS输出状态危险组合、正常和异常操作模式、SIF在意外事故中的要求等内容)
其他要求2 略
13
T/CCSAS054—2025
A.3.3 测量仪表数据表示例
测量仪表数据表格式和填写示例见表A.3。
表A.3 测量仪表数据表格式和填写示例
位号LT-10101
P&ID号PID-101
安装位置和用途描述储罐(T-101)液位测量
设备类型雷达液位计
制造商和型号略
所属SIF的SIF编号SIF-101
逻辑图号IS-10101
因果表号YGB-101
与其他测量仪表组成群组与LT-10102和LT-10103组成三取二逻辑表决
信号类型4mA~20mA
测量范围0~100%
联锁设定值80%
响应时间要求≤2s(根据过程安全时间、产品情况等,综合确定)
TI/a 2
MRT/h 24
MTTR/h 24
MPRT/h 24
PTC 95%
MT/a 10
失效率数据来源SIL证书
检测到的安全失效率(λSD) 0FIT
未检测到的安全失效率(λSU) 260FIT
检测到的危险失效率(λDD) 736FIT
未检测到的危险失效率(λDU) 79FIT
SFF 92.7%
具备的SC等级SC3
检测到故障时的响应故障导向联锁状态
维护旁路设置
14
T/CCSAS054—2025
表A.3 测量仪表数据表格式和填写示例(续)
操作旁路不设置
安全手册填写安全手册文件名和编号,或者填写随仪表设备提供
共因失效因子(β) 5%
与BPCS的独立性与BPCS独立
其他要求1
例如冗余配置仪表有多样性要求时,填写相关要求(还可填写SIS输出
状态危险组合、正常和异常操作模式、SIF在意外事故中的要求等内
容)
其他要求2 例如冗余配置有进不同I/O 的要求时,填写相关要求
A.3.4 逻辑控制器数据表示例
逻辑控制器数据表格式和填写示例见表A.4。
表A.4 逻辑控制器数据表格式和填写示例
位号SIS-10101
设备类型逻辑控制器
制造商和型号略
所属SIF的SIF编号SIF-101
逻辑图号IS-10101
因果表号YGB-101
响应时间要求≤500ms(根据过程安全时间、产品情况等,综合确定)
TI/a 2
MRT/h 24
MTTR/h 24
MPRT/h 24
PTC 95%
MT/a 10
失效率数据来源SIL证书
检测到的安全失效率(λSD) 略
未检测到的安全失效率(λSU) 略
检测到的危险失效率(λDD) 略
未检测到的危险失效率(λDU) 略
SFF 略
具备的SC等级SC3
15
T/CCSAS054—2025
表A.4 逻辑控制器数据表格式和填写示例(续)
检测到故障时的响应故障导向联锁状态
接口要求和BPCS间设置通信接口
安全手册填写安全手册文件名和编号,或者填写随仪表设备提供
其他要求1 略
其他要求2 略
A.3.5 最终执行机构数据表示例
最终执行机构数据表格式和填写示例见表A.5。
表A.5 最终执行机构数据表格式和填写示例
位号XV-10101
P&ID号PID-101
安装位置和用途描述储罐(T-101)进口切断阀
设备类型气动切断阀
制造商和型号略
所属SIF的SIF编号SIF-101
逻辑图号IS-10101
因果表号YGB-101
与其他最终执行机构组成群组无
响应时间要求≤60s(根据过程安全时间、产品情况等,综合确定)
TI/a 2
MRT/h 24
MTTR/h 24
MPRT/h 24
PTC 95%
MT/a 10
失效率数据来源SIL证书
检测到的安全失效率(λSD) 略(注)
未检测到的安全失效率(λSU) 略(注)
检测到的危险失效率(λDD) 略(注)
未检测到的危险失效率(λDU) 略(注)
SFF 略
具备的SC等级SC3
得电/失电联锁电磁阀失电(非励磁)联锁
16
T/CCSAS054—2025
表A.5 最终执行机构数据表格式和填写示例(续)
联锁安全状态失电联锁关闭XV-10101
信号/动力中断时的动作失电联锁关闭XV-10101、气源故障关闭XV-10101(FC)
现场手动复位无现场手动复位
手动要求设置手动关闭XV-10101的现场手动操作柱
阀门PST 带
安全手册填写安全手册文件名和编号,或者填写随仪表设备提供
共因失效因子(β) 3%
与BPCS的独立性与BPCS独立
其他要求1 根据需要填写,例如阀门泄漏等级等(还可填写SIS输出状态危险组
合、正常和异常操作模式、SIF在意外事故中的要求等内容)
其他要求2 根据需要填写,例如气动执行机构供风独立性要求等
注:最终执行机构由若干部分组成时,例如控制阀主要由电磁阀、执行机构和阀体组成,可给出整体的失效率数
据,或者分别给出各个组成部分的失效率数据。
17
T/CCSAS054—2025
附 录 B
(资料性)
因果表示例
因果表格式和填写示例见表B.1。
表B.1 因果表格式和填写示例
18
T/CCSAS054—2025
附 录 C
(资料性)
SRS编写输入资料示例
C.1 概述
SRS编写输入资料要求见第7章。
为了使得附录D中的SRS编写示例更具有针对性,本附录给出了LOPA 分析表示例,内容来源于
AQ/T3054—2015中G.1给出的案例。
C.2 LOPA 分析表示例
LOPA 分析表示例见表C.1,内容同AQ/T3054—2015中的表G.2,格式有修改。示例中数据的是
否合理不在本文件范围。
表C.1 LOPA 记录表
主题描述概率频率/(次/a)
分析节点正己烷缓冲罐
场景正己烷缓冲罐溢流,溢流物未被防火堤包容
后果描述/等级
由于储罐溢流和防火堤失效,导致释放的正己烷流出防
火堤,发生火灾和人员伤亡
后果等级5
初始事件BPCSLIC-90控制回路失效1×10-1
使能必要事件/条件无
条件修正
点火概率1
人员暴露概率0.5
致死概率0.5
IPL
防火堤(释放后保护设施) 1×10-2
其他保护措施人员响应行动1
后果发生频率2.5×10-4
现有风险等级高风险
需求的SIL 等级或建议
的IPL
增加一个独立的SIF,用于检测和阻止溢流1×10-2
(SIL1)注3
19
T/CCSAS054—2025
表C.1 LOPA 记录表(续)
主题描述概率频率/(次/a)
减缓后的后果发生频率2.5×10-6
减缓后的风险等级中风险
备注
1.人员行动不作为IPL,原因如下:
———操作人员不总是在现场;
———BPCS液位控制回路失效(IE)导致系统不能产生报警,从而不能提醒操作人员采取
行动以阻止缓冲罐进料。
2.企业可采用成本效益分析,决定是否需采用额外的措施进一步降低风险。
3.此数据来源于AQ/T3054—2015中的表G.2,实际工程中有多种方式获得,例如可根
据GB/T21109.3—2007中的F.11获得,即如果需要一个新的SIF,则可由该事件的严重
性等级的公司准则除以中间事件可能性来计算所需的完整性等级。低于此数的SIF的一
个PFDavg被选作SIS的最大值。举例,以表C.1中的数据为例,假设所示例场景的风险可
接受标准为后果发生频率F≤1×10-5,而示例的中不考虑SIF的后果发生频率为2.5×
10-4,前者除以后者可得到存在的风险缺口为PFDavg=0.04,相当于RRF=25,也就是宜
设置PFDavg=0.04(RRF=25)的SIF
C.3 SRS编写输入资料的准备
C.3.1 SIF相关信息的梳理
为编写SRS,需要对LOPA 报告进行梳理,包括对LOPA 分析表的梳理。梳理示意见表C.2和
表C.3。
表C.2 SIF清单梳理示例
序号SIF编号SIF功能说明
SIL等级/
验证达到的
SIL等级
目标失效量/验证
达到的目标失效量
(PFDavg/RRF/PFH)
备注
1 SIF-101
(假设的编号)
检测和阻止正己烷缓冲
罐溢流SIL1/ PFDavg=1×10-2/
RRF=100
略
表C.3 SIF数据表梳理示例
SIF编号SIF-101(假设的编号)
SIF描述检测和阻止正己烷缓冲罐溢流(依据表C.1)
HAZOP报告略(根据项目文件填写)
LOPA报告略(根据项目文件填写)
危险事件说明
由于储罐溢流和防火堤失效,导致释放的正己烷流出防火堤,发生火灾和人员伤亡。
后果等级5(依据表C.1)
20
T/CCSAS054—2025
表C.3 SIF数据表梳理示例(续)
安全状态远程控制阀RBV关闭(依据AQ/T3054—2015中的G.1.6)
SIF功能说明LT-95高液位联锁关闭远程控制阀RBV
(依据AQ/T3054—2015中的G.1.6)
逻辑图号IS-101(假设的编号,根据设计文件填写)
因果表号YGB-101(假设的编号,根据设计文件填写)
运行模式低要求运行模式(依据初始事件发生频率为1×10-1/a)
SIL等级/验证达到的SIL
等级SIL1(依据表C.1)
目标失效量/验证达到的目
标失效量(PFDavg/RRF/
PFH)
PFDavg=1×10-2(依据表C.1)
过程安全时间略(根据设计文件填写)
SIF响应时间要求略(根据设计文件填写)
最高允许的STR/验证达到
的STR
略(通常由设计和企业协商确定)
输入位号LT-95 输出位号RBV
逻辑要求LT95高液位联锁关闭远程控制阀RBV
手动停车略(根据设计文件填写)
复位设置复位,RS-101(假设的编号,根据设计文件填写)
使用期限略(根据设计文件填写)
操作模式略(根据设计文件填写)
环境条件略(根据设计文件填写)
多SIF 同时动作产生新风
险(如果存在分析并说明) 未发现(根据设计文件填写)
注:根据AQ/T3054—2015中的G.1.6,新增的独立的SIF(即表C.3中的SIF-101),用于检测和阻止溢流,采用
独立的液位传感器、逻辑控制器和独立的截断阀。当检测到高液位时,该SIF联锁关流量控制阀LV-90和远
程截断阀RBV。假设工程设计按照高液位联锁关闭LV-90为非安全关键动作考虑,LV-90不属于SIF-
101,LT-95高液位关闭LV-90是为了之后的重新开车前LV-90处于关闭状态;RBV为安全关键。
C.3.2 可靠性数据和基本信息的收集
C.3.2.1 概述
C.3.2给出了SIF-101的测量仪表、逻辑控制器、最终执行机构的可靠性数据、基本信息与要求,数
据和要求均为假设。SIF的SIL验证计算采用的仪表设备可靠性数据宜来自以往使用数据、SIL认证
21
T/CCSAS054—2025
报告、公开发行的工业数据库或手册等。基本信息和要求可来自HAZOP报告、LOPA 报告、设计文
件、企业管理要求、项目统一规定等。
SRS需要建立全生命周期的管理,根据不同阶段和版次的SRS,选择适用的仪表设备可靠性数据
来源,例如初版的SRS在SIS设计之前,此时的数据可以来源于公开发行的工业数据库或手册。
C.3.2.2 测量仪表
测量仪表可靠性数据、基本信息与要求收集示例见表C.4。
表C.4 测量仪表可靠性数据、基本信息与要求收集示例
位号LT-95
P&ID号AQ/T3054—2015中图G.2
安装位置和用途描述正己烷缓冲罐液位测量
设备类型雷达液位计(根据设计文件填写)
制造商和型号略(根据设计文件填写)
所属SIF的SIF编号SIF-101(根据设计文件填写)
逻辑图号IS-101(根据设计文件填写)
因果表号YGB-101(根据设计文件填写)
与其他测量仪表组成群组无(根据设计文件填写)
信号类型4mA~20mA(根据设计文件填写)
测量范围0~100%(根据设计文件填写)
联锁设定值80%(根据设计文件填写)
响应时间要求≤2s(根据设计文件填写)
TI/a 2(由设计单位和企业协商确定)
MRT/h 24(根据企业管理要求填写)
MTTR/h 24(根据企业管理要求填写)
MPRT/h 24(根据企业管理要求填写)
PTC 95%(根据安全手册或其他文件填写)
MT/a 10(根据安全手册或其他文件填写)
失效率数据来源SIL证书(假设)
检测到的安全失效率(λSD) 0FIT(根据失效率数据来源填写)
未检测到的安全失效率(λSU) 260FIT(根据失效率数据来源填写)
检测到的危险失效率(λDD) 736FIT(根据失效率数据来源填写)
未检测到的危险失效率(λDU) 79FIT(根据失效率数据来源填写)
SFF 92.7%
具备的SC等级SC3(根据失效率数据来源填写)
检测到故障时的响应故障导向联锁状态(根据设计文件填写)
维护旁路设置(根据设计文件填写)
22
T/CCSAS054—2025
表C.4 测量仪表可靠性数据、基本信息与要求收集示例(续)
操作旁路不设置(根据设计文件填写)
安全手册略(通常由SIL认证机构提供或者制造商提供)
共因失效因子(β) 5%(假设)
与BPCS的独立性与BPCS独立(依据AQ/T3054—2015中图G.2)
其他要求1 略(根据设计文件填写)
其他要求2 略(根据设计文件填写)
C.3.2.3 逻辑控制器
逻辑控制器可靠性数据、基本信息与要求收集示例见表C.5。
表C.5 逻辑控制器可靠性数据、基本信息与要求收集示例
位号SIS-101(根据设计文件填写)
设备类型逻辑控制器
制造商和型号略(根据设计文件填写)
所属SIF的SIF编号SIF-101(根据设计文件填写)
逻辑图号IS-101(根据设计文件填写)
因果表号YGB-101(根据设计文件填写)
响应时间要求≤500ms(根据设计文件填写)
TI/a 2(由设计单位和企业协商确定)
MRT/h 24(根据企业管理要求填写)
MTTR/h 24(根据企业管理要求填写)
MPRT/h 24(根据企业管理要求填写)
PTC 95%(根据安全手册或其他文件填写)
MT/a 10(根据安全手册或其他文件填写)
失效率数据来源SIL证书(假设)
检测到的安全失效率(λSD) 略(根据失效率数据来源填写)
未检测到的安全失效率(λSU) 略(根据失效率数据来源填写)
检测到的危险失效率(λDD) 略(根据失效率数据来源填写)
未检测到的危险失效率(λDU) 略(根据失效率数据来源填写)
SFF 略
具备的SC等级SC3(根据失效率数据来源填写)
23
T/CCSAS054—2025
表C.5 逻辑控制器可靠性数据、基本信息与要求收集示例(续)
检测到故障时的响应故障导向联锁状态(根据设计文件填写)
接口要求和BPCS间设置通信接口(根据设计文件填写)
安全手册填写安全手册文件名和编号,或者填写随仪表设备提供。
其他要求1 略(根据设计文件填写)
其他要求2 略(根据设计文件填写)
C.3.2.4 最终执行机构
SIF-101的最终执行机构RBV 由电磁阀、气动执行机构、阀体三部分组成,可靠性数据、基本信息
与要求收集示例分别见表C.6、表C.7、表C.8。
如果可获取最终执行机构整体的可靠性数据,宜给出整体数据,如果无法获取整体可靠性数据,则
需要分别给出各个组成部分的可靠性数据。
表C.6 RBV 电磁阀可靠性数据、基本信息与要求收集示例
位号RBV电磁阀(根据设计文件填写)
P&ID号AQ/T3054—2015中图G.2
安装位置和用途描述D101出口切断阀配套的电磁阀(根据设计文件填写)
设备类型两位三通电磁阀(根据设计文件填写)
制造商和型号略(根据设计文件填写)
所属SIF的SIF编号SIF-101(根据设计文件填写)
逻辑图号IS-101(根据设计文件填写)
因果表号YGB-101(根据设计文件填写)
与其他最终执行机构组成群组无(根据设计文件填写)
响应时间要求略(填写RBV整体响应时间要求)
TI/a 2(由设计单位和企业协商确定)
MRT/h 24(根据企业管理要求填写)
MTTR/h 24(根据企业管理要求填写)
MPRT/h 24(根据企业管理要求填写)
PTC 95%(根据安全手册或其他文件填写)
MT/a 10(根据安全手册或其他文件填写)
失效率数据来源SIL证书(假设)
检测到的安全失效率(λSD) 略(根据失效率数据来源填写)
未检测到的安全失效率(λSU) 略(根据失效率数据来源填写)
24
T/CCSAS054—2025
表C.6 RBV 电磁阀可靠性数据、基本信息与要求收集示例(续)
检测到的危险失效率(λDD) 略(根据失效率数据来源填写)
未检测到的危险失效率(λDU) 略(根据失效率数据来源填写)
SFF 略
具备的SC等级SC3(根据失效率数据来源填写)
得电/失电联锁失电联锁(根据设计文件填写)
联锁安全状态失电联锁关闭RBV(根据设计文件填写)
信号/动力中断时的动作失电联锁关闭RBV、气源故障关闭RBV(FC)
现场手动复位无现场手动复位(根据设计文件填写)
手动要求无(根据设计文件填写)
阀门PST 带(根据设计文件填写)
安全手册填写安全手册文件名和编号,或者填写随仪表设备提供
共因失效因子(β) 略(根据实际情况填写)
与BPCS的独立性与BPCS独立(依据AQ/T3054—2015中图G.2)
其他要求1 略(根据设计文件填写)
其他要求2 略(根据设计文件填写)
表C.7 RBV 气动执行机构可靠性数据、基本信息与要求收集示例
位号RBV执行机构(根据设计文件填写)
P&ID号AQ/T3054—2015中图G.2
安装位置和用途描述D101出口切断阀
设备类型气动执行机构(根据设计文件填写)
制造商和型号略(根据设计文件填写)
所属SIF的SIF编号SIF-101(根据设计文件填写)
逻辑图号IS-101(根据设计文件填写)
因果表号YGB-101(根据设计文件填写)
与其他最终执行机构组成群组无(根据设计文件填写)
响应时间要求略(填写RBV整体响应时间要求)
TI/a 2(由设计单位和企业协商确定)
MRT/h 24(根据企业管理要求填写)
MTTR/h 24(根据企业管理要求填写)
MPRT/h 24(根据企业管理要求填写)
25
T/CCSAS054—2025
表C.7 RBV 气动执行机构可靠性数据、基本信息与要求收集示例(续)
PTC 95%(根据安全手册或其他文件填写)
MT/a 10(根据安全手册或其他文件填写)
失效率数据来源SIL证书(假设)
检测到的安全失效率(λSD) 略(根据失效率数据来源填写)
未检测到的安全失效率(λSU) 略(根据失效率数据来源填写)
检测到的危险失效率(λDD) 略(根据失效率数据来源填写)
未检测到的危险失效率(λDU) 略(根据失效率数据来源填写)
SFF 略
具备的SC等级SC3(根据失效率数据来源填写)
得电/失电联锁失电联锁(根据设计文件填写)
联锁安全状态失电联锁关闭RBV(根据设计文件填写)
信号/动力中断时的动作失电联锁关闭RBV、气源故障关闭RBV(FC)
现场手动复位无现场手动复位(根据设计文件填写)
手动要求无(根据设计文件填写)
阀门PST 带(根据设计文件填写)
安全手册填写安全手册文件名和编号,或者填写随仪表设备提供
共因失效因子(β) 略(根据实际情况填写)
与BPCS的独立性与BPCS独立(依据AQ/T3054—2015中图G.2)
其他要求1 气动执行机构要求供风独立(根据设计文件填写)
其他要求2 略(根据设计文件填写)
表C.8 RBV 阀体可靠性数据、基本信息与要求收集示例
位号RBV阀体(根据设计文件填写)
P&ID号AQ/T3054—2015中图G.2
安装位置和用途描述RBV阀体(根据设计文件填写)
设备类型切断阀(根据设计文件填写)
制造商和型号略(根据设计文件填写)
所属SIF的SIF编号SIF-101(根据设计文件填写)
逻辑图号IS-101(根据设计文件填写)
因果表号YGB-101(根据设计文件填写)
与其他最终执行机构组成群组无(根据设计文件填写)
26
T/CCSAS054—2025
表C.8 RBV 阀体可靠性数据、基本信息与要求收集示例(续)
响应时间要求略(填写RBV整体响应时间要求)
TI/a 2(由设计单位和企业协商确定)
MRT/h 24(根据企业管理要求填写)
MTTR/h 24(根据企业管理要求填写)
MPRT/h 24(根据企业管理要求填写)
PTC 95%(根据安全手册或其他文件填写)
MT/a 10(根据安全手册或其他文件填写)
失效率数据来源SIL证书(假设)
检测到的安全失效率(λSD) 略(根据失效率数据来源填写)
未检测到的安全失效率(λSU) 略(根据失效率数据来源填写)
检测到的危险失效率(λDD) 略(根据失效率数据来源填写)
未检测到的危险失效率(λDU) 略(根据失效率数据来源填写)
SFF 略
具备的SC等级SC3(根据失效率数据来源填写)
得电/失电联锁失电联锁(根据设计文件填写)
联锁安全状态失电联锁关闭RBV(根据设计文件填写)
信号/动力中断时的动作失电联锁关闭RBV、气源故障关闭RBV(FC)
现场手动复位无现场手动复位(根据设计文件填写)
手动要求无(根据设计文件填写)
阀门PST 带(根据设计文件填写)
安全手册填写安全手册文件名和编号,或者填写随仪表设备提供
共因失效因子(β) 略(根据实际情况填写)
与BPCS的独立性与BPCS独立(依据AQ/T3054—2015中图G.2)
其他要求1 泄漏等级符合API598的规定(根据设计文件填写)
其他要求2 气动执行机构要求供风独立(根据设计文件填写)
27
T/CCSAS054—2025
附 录 D
(资料性)
SRS编写示例
SRS编写示例如下,供参考。
注1:《SRS编写示例》不同于T/CCSAS054《安全仪表系统(SIS)安全要求规格书(SRS)编写指南》正文,SRS编写
示例具备项目属性,可包括SRS以外的一些要求,例如SIL定级要求和SIL验证要求等,而这些要求是必要
的,是有利于项目执行的。《SRS编写示例》对于SRS本身的内容也是在标准要求的基础上对于针对项目的
具体体现。
注2:《SRS编写示例》的内容仅为示例,不作为标准要求。在满足标准规范和监管文件要求的前提下,不同工程公
司和企业可能具有不同的选择。
××××××公司
××××××项目
××××××装置
安全仪表系统(SIS)安全要求规格书(SRS)
D.1 总则
D.1.1 适用范围
本安全要求规格书(以下简称“本SRS”)是为××××××公司××××××项目××××××
装置(以下简称“本项目装置”)编写的,本SRS从SIS总体和通用要求、SIF通用要求、具体的SIF及其
对应的SIL的要求等方面,规定了SIS的要求,包括工程设计、验证、选型、制造、安装、硬件系统集成、软
件组态编程、系统测试验收、运行、维护、安全管理策略等方面的相关要求。
本SRS适用于本项目装置,包括建设、投运期间相关的变更。
本SRS应在SIS安全生命周期的各个阶段执行,安全仪表系统(SIS)和安全仪表功能(SIF)的设
计、验证、安装、运维和管理应符合本SRS的规定。
D.1.2 缩略语
下列缩略语适用于本SRS。
ALARP:最低合理可行原则(AsLowAsReasonablyPracticable)
BPCS:基本过程控制系统(BasicProcessControlSystem)
DC:诊断覆盖率(DiagnosticCoverage)
FIT:菲特(FailureInTime)
注:本SRS中,1FIT=1failure/109hours。
HAZOP:危险与可操作性分析(HazardandOperabilityStudies)
HFT:硬件故障裕度(HardwareFaultTolerance)
注:也称硬件容错。
IE:初始事件(InitiatingEvent)
IPL:独立保护层(IndependentProtectionLayer)
LOPA:保护层分析(LayerOfProtectionAnalysis)
MPRT:最大允许维修时间(MaximumPermittedRepairTime)
28
T/CCSAS054—2025
MRT:平均维修时间(MeanRepairTime)
MT:任务时间(MissionTime)
MTTR:平均恢复时间(MeanTimeToRestoration)
PFDavg:要求时危险失效平均概率(averageProbabilityofdangerousFailureonDemand)
PFH:每小时危险失效平均频率(averageFrequencyofadangerousFailureperHour)
PHA:过程危险分析(ProcessHazardAnalysis)
PST:部分行程测试(PartialStrokeTesting)
PTC:检验测试覆盖率(ProofTestCoverage)
P&ID:工艺管道及仪表流程图(Piping&InstrumentDiagram)
RRF:风险降低因子(RiskReductionFactor)
SC:系统性能力(SystematicCapability)
SFF:安全失效分数(SafeFailureFraction)
SIF:安全仪表功能(SafetyInstrumentedFunction)
SIL:安全完整性等级(SafetyIntegrityLevel)
SIS:安全仪表系统(SafetyInstrumentedSystem)
SRS:安全要求规格书(SafetyRequirementsSpecification)
STR:误停车率(SpuriousTripRate)
TI:检验测试间隔(ProofTestInterval)
UID:公用系统管道及仪表流程图(UtilityPiping&InstrumentDiagram)
D.1.3 本SRS程度用词说明
D.1.3.1 为便于在执行本SRS条文时区别对待,对要求严格程度不同的用词说明如下:
a) 表示很严格,非这样做不可的:
正面词采用“必须”,反面词采用“严禁”;
b) 表示严格,在正常情况下均应这样做的:
正面词采用“应”,反面词采用“不应”;
c) 表示允许稍有选择,在条件许可时首先应这样做的:
正面词采用“宜”,反面词采用“不宜”;
d) 表示有选择,在一定条件下可以这样做的,采用“可”。
D.1.3.2 本SRS中指明应按其他有关标准执行的写法为:“应符合……的规定”或“应按……执行”。
D.2 概述
D.2.1 目的
本SRS的目的是为了保证实现所需的功能安全,规定SIS、SIF及其对应的SIL的要求。
D.2.2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T20438(所有部分) 电气/电子/可编程电子安全相关系统的功能安全
29
T/CCSAS054—2025
GB/T21109(所有部分) 过程工业领域安全仪表系统的功能安全
GB/T32857 保护层分析(LOPA)应用指南
GB/T50770 石油化工安全仪表系统设计规范
SH/T3082 石油化工仪表供电设计规范
T/CCSAS045—2023 安全仪表功能(SIF)安全完整性等级(SIL)验证导则
T/CCSAS054—2024 安全仪表系统(SIS)安全要求规格书(SRS)编写指南
ISATR84.00.03AutomationAssetIntegrityofSafetyInstrumentedSystems(SIS)
ISATR96.05.01PartialStrokeTestingofAutomatedValves
D.3 工厂及项目装置概况
本项目装置为××××××公司××××××项目××××××装置,建设单位为××××公
司,建设地点位于××××。
本项目装置设置了一套BPCS和一套SIS。BPCS采用×××公司的×××系统,SIS×××公司
的×××系统。(如果BPCS和SIS尚未确定厂家,则不注明厂家。)
……
建设地点环境条件见表D.1。
表D.1 建设地点环境条件
大气压
温度
平均
极限高温
极限低温
雷暴日
湿度
降水
沿海
净化风质量和供气压力见表D.2。
表D.2 净化风质量和供气压力
最低供气压力
最高供气压力
露点
含尘颗粒直径
含尘量
油分含量
……
30
T/CCSAS054—2025
D.4 相关资料
本SRS编写输入资料包括以下资料:
a) P&ID、UID;
b) 装置说明与操作模式;
c) 逻辑要求,以逻辑说明、逻辑图、因果表等形式表达;
d) 复位要求;
e) 过程安全时间;
f) 工程设计仪表规格书(包括最终执行机构安全状态要求);
g) 操作范围及联锁设定值;
h) 逻辑控制器规格书;
i) HAZOP报告;
j) SIL定级报告(明确SIF和非SIF),包括SIF回路组成一览表及SIL等级;
k) 操作和维修要求;
l) 装置运行检维修周期,设计寿命,可用性的要求;
m) ××××××会议纪要;
n) 当前阶段已有的仪表设备可靠性数据。
D.5 总体原则和要求
D.5.1 本SRS应与本文件在D.2.2列出的规范性引用文件结合使用。
D.5.2 SRS编写的总体要求、节点和流程、输入资料、内容、文件结构应符合T/CCSAS054—2024的相
关规定。
D.5.3 本SRS和SIS应符合GB/T20438(所有部分)、GB/T21109(所有部分)、GB/T50770的相关
规定。
D.5.4 SRS应包含SIS的总体和通用要求、所有SIF的安全功能要求和与之相关SIL的安全完整性要
求。SRS是SIS