SY／T 7351-2016标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

SY／T 7351-2016 油气田工程安全仪表系统设计规范

safety integrit

在规定的条件和时间内，安全仪表系统完成安全仪表功能 的平均概率，

2.1.7安全完整性等级

用来规定分配给安全仪表系统的安全仪表功能的安全完整

性要求的离散等级（4个等级中的1个）。SIL4是安全完整性的 最高等级GB/T 36737-2018 休闲绿道服务规范，SIL1为最低等级

与工艺过程和BPCS有关的整体安全的组成部分，它取决 于SIS和其他保护层功能的正确执行

安全仪表系统发生故障时，将被控制过程转入预定的安全 状态。

safety function

为达到或保持过程的安全状态，由安全仪表系统、其他安 全相关系统或外部风险降低措施实现的功能

safety failure fraction

可能导致功能单元执行要求功能的能力降低或丧失的 状况。

现伤害的概率及该伤害严重性

redundancy

fault tolerant

在出现故障或错误时，功能单元仍继续执行规定功能的能力

2.1.18 风险评估

估计风险大小以及确定风险容许程度的全过程。

risk assessment

protection layer

protection layer

在设备或线路维护期间，以预设值代替实际输入值，使安 全仪表系统或火气系统连续工作的一种功能。 2.1.21操作超驰 operational override 工艺过程启动期间在预定的启动时间内以预设值代麸实

工艺过程启动期间，在预定的启动时间内以预设值代替实 际输入值，用以满足启动条件的一种功能。

3.1.1安全仪表系统应根据已确定的安全技术要求进行设计。

1安全仪表系统宜与基本过程控制系统分开设置 2SIL1级安全仪表系统可与基本过程控制系统合用，但安 全仪表回路的O模板及机架应独立设置。 3安全仪表系统与基本过程控制系统合用时，共用部分应 与安全完整性等级相适应

3.1.3安全仪表系统的设计应遵循故障安全原则。

1安全仪表系统的动作应优先子基本过程控制系统。 2执行元件应无条件地接受和执行安全仪表系统命令 3.1.5安全仪表系统的设计应遵循最简原则，并应符合 要求：

应减少安全仪表系统的中间环节。 2 逻辑控制单元与检测元件、执行元件间应采用硬线 连接。

3.2.1安全完整性是以SIF回路为基础的整体性要求，安全仪

的设计应遵循安全完整性原则，并应符合下列要求： 系统中的各个组成部分应满足安全仪表系统的安全完整

表系统的设计应遵循安全完整性原则，并应符合下列要

1系统中的各个组成部分应满足安全仪表系统的安全完整

性要求。 2安全完整性可通过设备选型、穴余、增加测试频率、故 障自诊断等手段予以改善。 3.2.2SIL等级由低到高可分为SIL1，SIL2，SIL3和SIL4 四级，油气由工程中SIL等级不应高于SIL3。 3.2.3安全仪表功能应满足失效概率要求、硬件结构约束要求 系统失效避免及控制要求、软件要求。 3.2.4油气田工程应采用低要求操作模式，低要求操作模式下 的平均失效概率要求应根据表3.2.4确定。

安全完整性等级：低要求操作模式的

3.2.6安全仪表系统应选择经过SIL等级认证的或经过现场实 践认证的设备，设备宜具有SL等级证书，如不能提供，则应 至少提交下列文件证明： 1ISO9000质量证书。 2其他资质、认可和设备可靠性测试文件。 3在运系统/元件清单，详细记录了购买方、数量、用户 使用日期等信息。 3.2.7用于安全仪表系统的编程软件应具有符合的SIL等级 认证，

3.2.8安全完整性等级宜根

的结果评估并确定，宜按照本规范附录A进行评估和验证 气田地面工程典型站场安全仪表功能宜按照本规范附录B设

4系统组成与紧急停车功能

4.1.1安全仪表系统应根据确定的安全完整性等级进行 配置。 4.1.2当多个安全仪表功能在同一个安全仪表系统内实现 时，系统内的共用部分应符合各回路中最高安全完整性等级的 要求。

超驰不应屏蔽信号的报警功能。 超驰状态应重复报警。 超驰时间应限定。 传感器被超驰期间，应有备用手段或措施触发最终执行 元件。 5应设置“超驰允许”硬开关，转到“正常”状态可解除 所有超驰。 4.1.6可编程逻辑控制系统应具有系统硬件和软件的诊断、测 试功能。

4.2.1安全仪表系统应包括检测元件、逻辑控制单元、执行元 件及附属元件。

4.2.2安全仪表系统的结构应符合图4.2.2的要求。

注：双划线内的部分为安全仪表系统的组成部分。

图4.2.2安全仪表系统的结构图

4.3紧急停车(ESD）功能

4.3紧急停车（ESD）功能

4.3.1ESD应是安全仪表系统的主要功能。 4.3.2ESD停车级别应根据故障的性质、工艺要求和火气系统 设置确定，高级别应自动触发低级别停车。 4.3.3ESD不应采用串级停车逻辑。 4.3.4关断执行后，相关联的非SIS设备宜联锁动作到安全 位置。 4.3.5具有ESD功能的安全仪表回路宜为励磁设计，如采用非 励磁设计，应对风险进行严格评估，并应满足以下要求： 1回路应为SIL2及以下。 2非励磁回路电缆连接应余且宜采用不同路由敷设：逻 辑处理单元应余，应采用并联结构的穴余I/O模板；检测元 件宜穴余，余时应采用1002结构；执行元件的电磁阀、继电 器等宜余，穴余时应采用1002结构。 3非励磁回路及相关的供电回路应进行回路诊断

4.3.1ESD应是安全仪表系统的主要功能。 4.3.2ESD停车级别应根据故障的性质、工艺要求和火气系统 设置确定，高级别应自动触发低级别停车。 4.3.3ESD不应采用串级停车逻辑。 4.3.4关断执行后，相关联的非SIS设备宜联锁动作到安全 位置。 4.3.5具有ESD功能的安全仪表回路宜为励磁设计，如采用非 励磁设计，应对风险进行严格评估，并应满足以下要求： 1回路应为SIL2及以下。 2非励磁回路电缆连接应穴余且宜采用不同路由敷设；逻 辑处理单元应穴余，应采用并联结构的余I/O模板；检测元 件宜穴余，穴余时应采用1002结构；执行元件的电磁阀、继电 器等宜余，穴余时应采用1002结构。

2非励磁回路电缆连接应穴余且宜采用不同路由敷设：逻 辑处理单元应余，应采用并联结构的穴余I/O模板；检测元 件宜余，余时应采用1002结构；执行元件的电磁阀、继电 器等宜余，穴余时应采用1002结构。 3非励磁回路及相关的供电回路应进行回路诊断

4非励磁回路应采用UPS供电，应监视UPS主机及电池 状态，

根据工艺要求设置操作超驰延时时间，工艺过程正常

4.3.8逻辑重启前应先复位

5.1.1 SIL1回路的检测元件可与基本过程控制回路共用 5.1.2SIL2回路的检测元件宜与基本过程控制回路分开设置。 5.1.3SIL3回路的检测元件应与基本过程控制回路分开设置。

5.2.1检测元件的余应根据本规范第3.2.5条要求的硬件结构

5.2.2 当缺少失效数据时，应满足下列要求： 1 SIL1回路的检测元件，可采用单一的检测元件。 2 SIL2回路的检测元件，宜采用穴余的检测元件。 3 SIL3回路的检测元件，应采用穴余的检测元件。 5.2.3 既兼顾可靠性文要兼顾可用性的场合，宜采用2003 结构。

1 SIL1回路的检测元件，可采用单一的检测元件。 2 SIL2回路的检测元件，宜采用穴余的检测元件。 3 SIL3回路的检测元件，应采用穴余的检测元件。 5.2.3 既兼顾可靠性又要兼顾可用性的场合，宜采用2003 结构。

5.3.1 检测元件宜选用模拟量仪表。 5.3.2 模拟量仪表宜选用4mA~20mA带HART协议的智能 仪表。 5.3.3 检测元件取源点宜独立设置。

5.3.3检测元件取源点宜独立

6.1.1SIL1回路的阀门可与BPCS共用，但应确保安全 仪表功能回路的动作优先手过程控制回路且操控元件应 分开。

6.1.2SIL2回路的阀门宜与BPCS分开。

6.2控制阀的穴余设置

6.2.1控制阀的余应根据本规范第3.2.5条要求的硬件结构约 束进行设计。 6.2.2 当缺少失效数据时，应满足下列要求： 1 SIL1回路可采用单一阀门。 2 SIL2回路宜采用余阀门。 SIL3回路应采用余阀门。

6.2.1控制阀的余应根据本规范第3.2.5条要求的硬件结 束进行设计。

6.3.1 执行元件宜在失去动力后可自动返回安全位置。 6.3.2 执行元件应设置行程反馈，反馈信号宜接入BPCS，应设 置行程报警。 6.3.3 阀门不宜设置手轮或操作手柄等手动操作装置，如有应 锁定

试功能：SIL3回路切断阀应配置部分行程测试功能。

功能；SIL3回路切断阀应配置部分行程测试功能。 .7控制阀的电磁阀应安装在阀门定位器与执行机构之间的 动管路上。

.1.1逻辑控制单元应选用与SIL要求相适应的PE单元和7或 其他逻辑器件，在安全仪表系统少于10点时，可采用继电器和 安钮构成安全仪表系统。 7.1.2在选择PE组成逻辑控制单元时，应选择有SIL认证 的PE单元，并应从认证清单中选择PE组件，按安全说明书 safetymanual）或认证报告推荐的架构组成。PE组成的逻辑控 制单元应包括以下组件： 1 机架。 2 中央处理器/内存模板。 3 通信模板。 I/O模板。 5 端子或接线组件。 6 供电模块。 7 系统软件/固件。 8 编程软件库/模块。 编程工具软件。 10通信协议。 7.1.3逻辑控制器的响应时间应包括输入、输出扫描处理时间 与中央处理器单元运算时间，不宜天于500ms 7.1.4逻辑控制器的中央处理器单元负荷及内存占有率不应超 过50%。

SIL1逻辑控制单元可与基本过程控制单元合用

7.2.2SIL2逻辑控制单元宜与基本过程控制单元分开，在过程 控制单元满足以下条件时，也可由SIS逻辑控制器完成限定的 过程控制功能： 1 BPCS和SIS规模都较小。 2 BPCS功能简单，没有复杂的调节回路。 3 BPCS操作和逻辑不影响SIS逻辑的执行。 4 除与上位系统软件通信外，BPCS宜无其他通信口。 7.2.3S SIL3逻辑控制单元应与基本过程控制单元分开

7.2.3SIL3逻辑控制单元应与基本过程控制单元分开

7.3.1SIL1回路PE单元的中央处理单元、电源模块、通信网 络与接口等宜穴余配置。 7.3.2SIL2及以上回路PE单元的中央处理单元、电源模块 通信网络与接口等应穴余配置。

，通信协议应有SIL认证。 4.5多套安全仪表系统之间有安全功能连接时，宜采用硬接 进行信号传递。 4.6通信负荷不应超过50%

8.1.1安全仪表系统的操作员工作站及外设宜与基本过程控制 系统共用。 8.1.2服务器宜与基本过程控制系统共用，应符合现行国家 标准《油气由及管道工程计算机控制系统设计规范》GB/T 50823一2013中第4.2节的有关规定

3.1工程师工作站的设计应符合下列要求

8.4.2硬手操盘和模拟显示盘（屏）宜与BPCS辅助操作台 （盘）合并设置。 8.4.3硬手操盘宜配置如下： 1 应按停车级别或区域设置ESD按钮，宜设置状态指 示灯。 2 宜按停车级别设置复位按钮。 3 应按停车级别设置ESD公共报警指示灯。 宜设置系统正常指示灯。 5 应设置维护超驰充许钥匙开关和状态指示灯。 应设置操作超驰充许钥匙开关和状态指示灯。 7 应设置指示灯测试按钮 8.4.4超驰开关设置应符合下列要求： 1 当超驰开关较少时，宜在硬手操盘上一对一设置。 2当超驰开关较多时，宜在硬手操盘上设置超驰充许钥 匙开关，单个回路的超驰软开关可在操作员工作站上选择并 设置。 3当超驰充许钥匙开关处手“充许超驰”状态时，可操作 单回路超驰软开关。 8.4.5辅助操作设备还应符合现行国家标准《油气田及管道工 积汁简机控制系达 2013市签56带的

8.4.4超驰开关设置应符合下死

1当超驰开关较少时，宜在硬手操盘上一对一设置。 2当超驰开关较多时，宜在硬手操盘上设置超驰充许钥 匙开关，单个回路的超驰软开关可在操作员工作站上选择并 设置。 3当超驰充许钥匙开关处手“充许超驰”状态时，可操作 单回路超驰软开关。 8.4.5辅助操作设备还应符合现行国家标准《油气田及管道工 程计算机控制系统设计 508232013中第5.6节的

8.5.1安全仪表系统宜设置报警打印机，宜与基本过程控制系

8.5.1安全仪表系统宜设置报警打印机，宜与基本过程控制系 统合用。 8.5.2外围设备的设置还应符合现行国家标准《油气田及管道 工程计算机控制系统设计规范》GB/T508232013中第4.8节 的右羊抓定

8.6.1 安全仪表系统应采用UPS供电。 8.6.2 供电线路、开关和24VDC电源模块应穴余。 8.6.3 安全仪表系统应采用独立回路，由电气配电盘直供。 8.6.4 安全仪表系统宜采用双电源供电。 8.6.5 安全仪表系统中非励磁回路的执行元件，应采用UP 供电。

9.1.1编程、组态软件应具有以下功能： 1 编程及组态管理。 2提供标准功能模块。 3编程及组态检查。 4仿真及测试。 5通信管理。 9.1.2安全仪表系统ESD功能编程应采用负逻辑， 9.1.3安全仪表系统用户程序应分为安全区和非安全区，安全 区应采用具有SIL认证的编程软件/模块/语言包编程。 9.1.4安全区不应使用结构化文本语言编程。 9.1.5在安全区程序中不应使用跳转指令

9.1.2安全仪表系统ESD功能编程应采用负逻辑

9.2.1SIS应设独立操作画面，宜与BPCS合并设置维护画

9.2.1SIS应设独立操作画面，宜与BPCS合并设置维护画面。 9.2.2操作画面宜包括以下内容： 1停车层次图：可显示各级别停车的关系和停车因果联 系，显示所有停车原因与结果的对应状态。 2SIS流程图：根据P&ID开发，仅显示SIS参数的动态 流程图画面。 3SIS维护超驰画面：以列表及图标方式显示每个停车的 因果关系，每一停车原因可单独设置维护超驰/正常状态。 4SIS操作超驰画面：以列表及图标方式显示每个需超驰 回路的输入、输出关系，对每个回路可单独设置操作超驰开关

延时时间、剩余时间和剩余时间报警。 5SIS数据总貌画面：列表显示所有SIS相关参数值。 9.2.3工程师或操作员应能通过维护画面对整个系统进行诊断 和维护DB52T 1077-2016 地理标志产品 六盘水苦荞米，能准确显示系统故障位置和原因，这些画面宜包括： 1系统诊断画面应显示系统设备、供电、通信及网络的运 行状态及故障设备的位置。 2系统维护画面应根据自诊断结果，显示维护提示指导进 行维修维护。 3系统资源使用情况画面应显示整个系统资源的使用情况 及各设备负荷。 4设备状态画面应显示故障设备位置及相关故障信息。 9.2.4在同一监测点设置多台变送器时，应设多值比较画面， 出现偏差时应报警。

9.3.1安全仪表系统数据应定期进行离线备份，离线备份应至 少在站内及站外两处存放

9.3.1安全仪表系统数据应定期进行离线备份，离线备份应至 少在站内及站外两处存放。 9.3.2数据管理还应符合现行国家标准《油气田及管道工程计 201出饰#

少在站内及站外两处存放。

DL/T 1218-2013 固定式直流融冰装置通用技术条件9.3.2数据管理还应符合现行国家标准《油气田及管道

9.3.2数据管理还应符合现行国家标准《油气田及管道工程计 算机控制系统设计规范》GB/T50823—2013中第6.3节的有关 规定。

9.4.1安全仪表系统应设置SOE，SOE分辨率不应大于100ms。