1.0.1为指导和规范油气田地面工程中安全仪表系统的设计， 做到技术先进、经济合理、安全适用、保护环境，特制定本 规范。 1.0.2本规范适用于新建、扩建和改建的陆上油气田及海洋油 气田陆上级端工程的安全仪美统设计

1.0.3油气田工程安全仪表系统的设计除执行本规范外，尚

2.1.1监控和数据采集系统

水电站标准规范范本upervisory control and data

一种以多个远程终端监控单元通过有线或无线网络连接起 来，具有远程监测控制功能的分布式计算机控制系统。

2.1.2基本过程控制系统

不执行任何SIL≥1以上的安全仪表功能，响应过程测量 以及其他相关设备、其他仪表、控制系统或操作员的输入信号 按过程控制规律、算法、方式，产生输出信号实现过程控制及 其相关设备运行的系统。

2.1.3 安全仪表系统

用于监控火灾和可燃气、有毒气泄漏并具备报警和消防 保护功能的安全控制系统。

2.1.5危险与可操作性分析

通过使用“引导词”，由一个团队对设计文件中存在的潜在 危险和偏差进行识别，对可能产生的原因和后果进行评估，并 提出推荐改进措施的一种过程危害分析方法。

safety integrity

在规定的条件和时间内，安全仪表系统完成安全仪表功能 的平均概率。

2.1.7安全完整性等级

性要求的离散等级（4个等级中的1个）。SIL4是安全完整性的 最高等级，SIL1为最低等级。

functional safety

与工艺过程和BPCS有关的整体安全的组成部分，它取决 于SIS和其他保护层功能的正确执行。

安全仪表系统发生故障时，将被控制过程转入预定的安全 状态。

2.1.10 安全功能

safety function

safety function

为达到或保持过程的安全状态，由安全仪表系统、其他安 全相关系统或外部风险降低措施实现的功能

为了防止、减少危险事件发生或保持过程安全状态，用测 量仪表、逻辑控制器、最终元件及相关软件等实现的安全保护 功能或安全控制功能。

2.1.12安全失效分数

safety failure fraction

安全失效和可检测到危险失效与硬件总随机失效的比率

可能导致功能单元执行要求功能的能力降低或丧失的异常 状况。

出现伤害的概率及该伤害严重性白

redundancy

采用两个或多个部件或系统执行同一个功能

fault tolerant

在出现故障或错误时，功能单元仍继续执行规定功能的能力。

riskassessment

riskassessment

天小以及确定风险容许程度的全过

protection layer

protectionlayer

借助控制、预防或减轻以降低风险的任何独立机制。

借助控制、预防或减轻以降低风险的任何独立机制。

maintenance override

在设备或线路维护期间，以预设值代替实际输入值，使安 全仪表系统或火气系统连续工作的一种功能。 2.1.21操作超驰 operational override

工艺过程启动期间，在预定的启动时间内以预设值代替实 际输入值，用以满足启动条件的一种功能

PSD：过程停车（processshutdown） PST：部分行程测试（partialstroketest） P&ID：管道仪表流程图（pipingandinstrumentationdiagram） SAT：现场验收测试（site acceptance testing) SCADA：监控和数据采集（supervisory control and data acquisition) SDV：紧急切断阀（shutdownvalve） SFF：安全失效分数（safetyfailurefraction） SIF：安全仪表功能（safetyinstrumented function） SIL：安全完整性等级（safetyintegritylevel） SIS：安全仪表系统（safetyinstrumented system） SOA：安全系统目标分析（safety system objectives analysis） SOE：事件顺序记录系统（sequence of event） SRS：安全技术要求（safety requirement specification） USD：单元停车（unit shutdown)

PSD：过程停车（processshutdown） PST：部分行程测试（partialstroketest） P&ID：管道仪表流程图（pipingandinstrumentationdiagram） SAT：现场验收测试（site acceptance testing) SCADA：监控和数据采集（supervisory control and data acquisition) SDV：紧急切断阀（shutdownvalve） SFF：安全失效分数（safetyfailurefraction） SIF：安全仪表功能（safetyinstrumentedfunction） SIL：安全完整性等级（safetyintegritylevel） SIS：安全仪表系统（safetyinstrumented system） SOA：安全系统目标分析（safety system objectives analysis) SOE：事件顺序记录系统（sequence of event） SRS：安全技术要求（safety requirement specification） USD：单元停车（unit shutdown)

3.1.1安全仪表系统应根据已确定的安全技术要求进行设计。

1安全仪表系统宜与基本过程控制系统分开设置。 2SIL1级安全仪表系统可与基本过程控制系统合用，但安 全仪表回路的I/O模板及机架应独立设置， 3安全仪表系统与基本过程控制系统合用时，共用部分应 与安全完整性等级相适应。

3.1.3安全仪表系统的设计应遵循故障安全原则。

1安全仪表系统的动作应优先于基本过程控制系统。 2执行元件应无条件地接受和执行安全仪表系统命令。 3.1.5安全仪表系统的设计应遵循最简原则，并应符合下列 要求： 1应减少安全仪表系统的中间环节。 2 逻辑控制单元与检测元件、执行元件间应采用硬线方式 连接。

1应减少安全仪表系统的中间环节。 2 逻辑控制单元与检测元件、执行元件间应采用硬线方式 连接。

表系统的设计应遵循安全完整性原则，并应符合下列要求： 1系统中的各个组成部分应满足安全仪表系统的安全完整

性要求。 2安全完整性可通过设备选型、完余、增加测试频率、故 障自诊断等手段予以改善。 3.2.2SIL等级由低到高可分为SIL1，SIL2，SIL3和SIL4 四级，油气田工程中SIL等级不应高于SIL3。 3.2.3安全仪表功能应满足失效概率要求、硬件结构约束要求 系统失效避免及控制要求、软件要求。 3.2.4油气田工程应采用低要求操作模式，低要求操作模式下 的平均失效概率要求应根据表3.2.4确定

表3.2.4安全完整性等级：低要求操作模式的失效概率

3.2.6安全仪表系统应选择经过SIL等级认证的或经过现场实 践认证的设备，设备宜具有SIL等级证书，如不能提供，则应 至少提交下列文件证明： 1ISO 9000质量证书。 2其他资质、认可和设备可靠性测试文件。 3在运系统／元件清单，详细记录了购买方、数量、用户、 使用日期等信息。 3.2.7用于安全仪表系统的编程软件应具有符合的SIL等级 认证。

的结果评估并确定，宜按照本规范附录A进行评估和验证，油 气田地面工程典型站场安全仪表功能宜按照本规范附录B设置。

4.1.1安全仪表系统应根据确定的安全完整性等级进行 配置。 4.1.2当多个安全仪表功能在同一个安全仪表系统内实现 时，系统内的共用部分应符合各回路中最高安全完整性等级的 要求。

4.1.3安全仪表系统不宜使用异地远程停车。

1.5超驰期间应符合下列操作防

超驰不应屏蔽信号的报警功能 2 超驰状态应重复报警。 3 超驰时间应限定。 4 传感器被超驰期间，应有备用手段或措施触发最终执行 元件。 5应设置“超驰允许”硬开关，转到“正常”状态可解除 所有超驰。

4.1.6可编程逻辑控制系统应具有系统硬件和软件的诊断、测

4.1.6可编程逻辑控制系统应具有系统硬件和软件的诊断、测 试功能。

4.2.1安全仪表系统应包括检测元件、逻辑控制单元、执行元 件及附属元件。 4.2.2安全仪表系统的结构应符合图4.2.2 的要求

4.2.1安全仪表系统应包括检测元件、逻辑控制单元、执行元

注：双划线内的部分为安全仪表系统的组成部分，

图4.2.2安全仪表系统的结构图

4.3紧急停车（ESD）功能

4.3紧急停车（ESD）功能

4.3.1ESD应是安全仪表系统的主要功能。 4.3.2ESD停车级别应根据故障的性质、工艺要求和火气系统 设置确定，高级别应自动触发低级别停车。 4.3.3ESD不应采用串级停车逻辑。 4.3.4关断执行后，相关联的非SIS设备宜联锁动作到安全 位置。 4.3.5具有ESD功能的安全仪表回路宜为励磁设计，如采用非 励磁设计，应对风险进行严格评估，并应满足以下要求： 1回路应为SIL 2及以下。 2非励磁回路电缆连接应穴余且宜采用不同路由敷设；逻 辑处理单元应亢余，应采用并联结构的余I/O模板；检测元 件宜余，完余时应采用1002结构；执行元件的电磁阀、继电 器等宜元余，允余时应采用1002结构。 3非励磁回路及相关的供电回路应进行回路诊断

4非励磁回路应采用UPS供电，应监视UPS主机及电池 状态。 4.3.6紧急停车按钮和输出信号不应设置维护超驰。 4.3.7 影响工艺过程启动的输入信号应设置操作超驰开关，应 根据工艺要求设置操作超驰延时时间，工艺过程正常或延时结 束后，应自动解除操作超驰。

4非励磁回路应采用UPS供电，应监视UPS主机及电池 状态。

4.3.6紧急停车按钮和输出信号不应设置维护超驰

4../影响工艺过程后动的 应设直操作超驰升天，应 根据工艺要求设置操作超驰延时时间，工艺过程正常或延时结 束后，应自动解除操作超驰

4.3.8逻辑重启前应先复位。

5.1.1SIL1回路的检测元件可与基本过程控制回路共用。

5.1.1SIL1回路的检测元件可与基本过程控制回路共用。 5.1.2 SIL2回路的检测元件宜与基本过程控制回路分开设置 5.1.3 SIL3回路的检测元件应与基本过程控制回路分开设置

5.2.1检测元件的亢余应根据本规范第3.2.5条要求的硬件 约束进行设计。

5.2.2当缺少失效数据时，

1 SIL1回路的检测元件，可采用单一的检测元件。 SIL2回路的检测元件，宜采用穴余的检测元件。 3 SIL3回路的检测元件，应采用余的检测元件。 .2.3 既兼顾可靠性又要兼顾可用性的场合，宜采用2003 吉构。

5.3.1检测元件宜选用模拟量仪表。 5.3.2模拟量仪表宜选用4mA～20mA带HART协议的智能 仪表。 一松一

5.3.1 检测元件宜选用模拟量仪表， 5.3.2模拟量仪表宜选用4mA～20mA带HART协议的智能 仪表。 5.3.3检测元件取源点宜独立设置。

5.3.3检测元件取源点宜独立设

6.1控制阀的独立设置

6.1.1SIL1回路的阀门可与BPCS共用，但应确保安全 仪表功能回路的动作优先于过程控制回路且操控元件应 分开。

6.1.2SIL2回路的阀门宜与BPCS分开。

6.2控制阀的穴余设置

6.2.1控制阀的穴余应根据本规范第3.2.5条要求的硬件结构约 束进行设计。 6.2.2 当缺少失效数据时，应满足下列要求： 1 SIL1回路可采用单一阀门。 SIL2回路宜采用穴余阀门。 3 SIL3回路应采用穴余阀门。

6.2.1控制阀的允余应根据本规范第3.2.5条要求的硬件结构约 束进行设计。

6.3.1 执行元件宜在失去动力后可自动返回安全位置。 6.3.2执行元件应设置行程反馈，反馈信号宜接入BPCS，应设 置行程报警。 6.3.3阀门不宜设置手轮或操作手柄等手动操作装置，如有应 锁定。

6.3.6当采用1台阀门时，SIL2回路切断阀宜配置部

试切能；SL 3回路切断阀应配直部分行程测试功能。 6.3.7控制阀的电磁阀应安装在阀门定位器与执行机构之间的 气动管路上。

7.1.1逻辑控制单元应选用与SIL要求相适应的PE单元和/或 其他逻辑器件，在安全仪表系统少于10点时，可采用继电器利 按钮构成安全仪表系统。 7.1.2在选择PE组成逻辑控制单元时，应选择有SIL认让 的PE单元，并应从认证清单中选择PE组件，按安全说明 （safetymanual）或认证报告推荐的架构组成。PE组成的逻辑找 国石化 制单元应包括以下组件： 1 机架。 2 中央处理器/内存模板。 3 通信模板。 I/O模板。 5 端子或接线组件。 6 供电模块。 7 系统软件/固件。 8 编程软件库/模块。 9 编程工具软件。 10通信协议。 7.1.3逻辑控制器的响应时间应包括输入、输出扫描处理时 与中央处理器单元运算时间，不宜大于500mS。 7.1.4逻辑控制器的中央处理器单元负荷及内存占有率不应 过50%

7.2.2SIL2逻辑控制单元宜与基本过程控制单元分开，在过程 控制单元满足以下条件时，也可由SIS逻辑控制器完成限定的 过程控制功能： 1 BPCS和SIS规模都较小。 2 BPCS功能简单，没有复杂的调节回路。 3 BPCS操作和逻辑不影响SIS逻辑的执行。 除与上位系统软件通信外，BPCS宜无其他通信口。 7.2.3 SIL3逻辑控制单元应与基本过程控制单元分开

7.3.1SIL1回路PE单元的中央处理单元、电源模块、通信网 络与接口等宜穴余配置。 7.3.2SIL2及以上回路PE单元的中央处理单元、电源模块 通信网络与接口等应穴余配置

7.4.1安全仪表系统与其他系统之间的通信不应影响安全仪表 系统的功能，设计应符合下列要求： 1安全仪表系统与其他系统之间可采用硬接线、工业以太 网或串行通信的连接方式。 2安全仪表系统与其他系统之间通信不应通过信息网 连接。 3通信接口故障应在操作站或事件顺序记录中显示 报警。 7.4.2安全仪表系统与基本过程控制系统间通信接口和网络应 几余。 7.4.3除复位信号、超驰信号、校时和必要的通信状态外，其 他系统不应通过通信接口向安全仪表系统发送信号或指今

7.4.4多套安全仪表系统之间需要互相通信时，通信网络应欠

7.4.4多套安全仪表系统之间需要互相通信时，通信网终应

余，通信协议应有SIL认证。 7.4.5多套安全仪表系统之间有安全功能连接时，宜采用硬接 线进行信号传递。 7.4.6通信负荷不应超过50%。

7.4.6通信负荷不应超过50%

8.1.1安全仪表系统的操作员工作站及外设宜与基本过程控制 系统共用。 8.1.2服务器宜与基本过程控制系统共用，应符合现行国家 标准《油气田及管道工程计算机控制系统设计规范》GB/T 50823—2013中第4.2节的有关规定。

8.2.1操作员工作站及接口的失效不应影响操作员采用适当的 备用措施将过程带入安全状态，且安全仪表系统的自动功能不 会受到影响。操作员接口的设计应符合下列要求： 1安全仪表系统的应用软件不应通过操作员接口进行修改。 2事件顺序记录（SOE、报警记录及报告等功能可使用 基本过程控制系统的外部设备完成。 8.2.2最终执行元件应由安全逻辑控制，不应在操作员工作站 上进行除部分行程测试外的手动操作。 8.2.3操作员工作站设置的软件超驰开关应加键锁或口令保护， 并应设置超驰状态报警和记录。 3.2.4操作员工作站还应符合现行国家标准《油气田及管道工 程计算机控制系统设计规范》GB/T508232013中第4.3节的 有关规定。

是师工作站的设计应符合下列要求

1工程师工作站及接口宜单独设置。 2工程师工作站失效时不应影响安全仪表系统的功能。

1工程师工作站及接口宜单独设置。

烟草标准程计算机控制系统设计规范》GB/T508232013中第4.4节的 有关规定。

8.4.3硬手操盘宜配置如

8.5.1安全仪表系统宜设置报警打印机，宜与基本过程控制系 统合用。 8.5.2外围设备的设置还应符合现行国家标准《油气田及管道 工程计算机控制系统设计规范》GB/T508232013中第4.8节 的有关规定。

8.5.1安全仪表系统宜设置报警打印机，宜与基本过程控制系

8.6.1 安全仪表系统应采用UPS供电。 8.6.2 供电线路、开关和24VDC电源模块应穴余。 8.6.3 安全仪表系统应采用独立回路光伏发电标准规范范本，由电气配电盘直供。 8.6.4 安全仪表系统宜采用双电源供电。 8.6.5 安全仪表系统中非励磁回路的执行元件，应采用UPS 供电。

8.6.1 安全仪表系统应采用UPS供电。 8.6.2 供电线路、开关和24VDC电源模块应穴余。 8.6.3 安全仪表系统应采用独立回路，由电气配电盘直供。 8.6.4 安全仪表系统宜采用双电源供电。 8.6.5 安全仪表系统中非励磁回路的执行元件，应采用UPS 供电。