15SIS安全确认

15.1目的

15.1.1本章的目的是通过审查和测试来确认安装和调试好的安全仪表系统及相关的仪表安全功能达到了安全要求规范中所声明的那些要求。

注:有时也把这称为一种现场验收测试(SAT)。

15.2要求

15.2.1编制SIS确认计划应定义确认所需的所有活动。活动项目应包括:

——在安全要求规范方面对安全仪表系统进行确认在内的确认活动,这包括由此产生的建议的实现和决定。

一一过程及其相关设备的所有有关的操作模式的确认,包括:

为使用所作的准备工作，包括设置和调整；

启动、自动、手动、半自动、稳定运行状态;

重置、停机、维护;

合理可预见的异常工况,例如通过风险分析阶段识别出的那些异常工况。

——确认所使用的规程、措施和技术。

——何时进行这些活动。

——负责这些活动的人员、部门和组织,以及确认活动的独立性水平。

——执行确认活动所依据的引用信息(如因果图)。

注:确认活动的例子包括回路测试、校准规程和应用软件仿真。

15.2.2编制安全应用软件附加确认计划应包括:

a)在开始调试运行之前需在每种过程操作模式下进行确认的安全软件的标识。

b)有关确认的技术策略的信息,包括:

——手动和自动技术;

——静态和动态技术;

——分析和统计技术。

c)根据b),为证实每个仪表安全功能符合规定的软件仪表安全功能(见12.2)要求和规定的软件安全完整性要求(见12.2),应使用的措施(技术)和规程。

d)进行确认活动所要求的环境(例如,为了测试,要求包括校正工具和设备)。

e)为完成软件确认所需的通过/失败准则,包括:

——要求的过程和操作员输人信号以及它们的顺序和值;

——预期的输出信号以及它们的顺序和值;

——其他验收准则,如存储器用法,定时和值的容差。

f)评价确认结果(特别是失败)的策略和规程。

注:这些要求基于12.2的一般要求。

15.2.3在要求把测量精度作为确认的一部分时,应对照一个可追溯到某个标准的规范，把用于此功能的仪表校准到适合该应用的某个不确定度范围内。如果这种校准不可行,则应使用一种替代方法并文档化。

15.2.4应根据安全仪表系统确认计划编制对安全仪表系统及其相关的仪表安全功能进行确认。确认活动应包括(但不限于);

——如安全要求规范中标明的那样,在正常和异常操作模式(如启动和停机)下安全仪表系统都能履行其职能;

——证实基本过程控制系统和连接的其他系统的相互作用,不会对安全仪表系统的正确运行产生不利的影响;.

——安全仪表系统能同基本过程控制系统或任何其他系统或网络正确地通信;

——传感器、逻辑解算器和最终元件,包括所有冗余通道,按安全要求规范运行;

注:如果已按第13章对逻辑解算器进行过工厂验收测试(FAT)，也可以把FAT认作是对逻辑解算器的确认。

——安全仪表系统文档应与被安装的系统相符;

——证实能按照规定对无效过程变量值(如超出范围)执行仪表安全功能;

——建立正确的停机顺序;

——安全仪表系统提供正确的通告和运行显示；

——安全仪表系统中包含的计算是准确的;

——按安全要求规范中定义的那样执行安全仪表系统的复位功能；

——旁路功能正确运转;

——启动超驰正确操作;

——手动停机系统正确运转;

——在维护规程中已编人检验测试间隔;

——按要求的那样执行诊断报警功能；

——证实在中断共用设施供应(如电、空气和液压)时,能按要求的那样运转安全仪表系统,并证实当恢复供应时,安全仪表系统可返回到所期望的状态;

——证实已达到安全要求规范中所规定的EMC抗扰性。

15.2.5软件确认应显示出所有规定的软件安全要求(见12.2)都能被正确执行,并且在SIS的故障工况下及降级操作模式下,或者在执行规范中未定义的软件功能性期间,软件都不会危害安全要求。应提供确认活动的信息。

15.2.6应产生SIS确认结果的相应信息,它们包括:

——所使用的SIS确认计划编制的版本;

——被测试(或分析)的仪表安全功能,及其在SIS确认计划编制过程中被标识要求的特定引用;

——使用的工具和设备，及其校准数据;

——每次测试的结果;

——使用的测试规范的版本;

——集成测试的验收准则;

——被测试SIS硬件和软件的版本:

——预期的和实际的结果之间的任何差异;

——在出现差异的情况下,对差异所作的分析,以及对是否继续进行测试或是发布一个变更请求而作出的决定。

15.2.7当预期的和实际的结果之间出现差异时,应把所作的分析和对是否继续进行测试或是发布一个变更请求并返回到开发生命周期的较早部分所作的决定当作安全确认的部分结果提供出来。

15.2.8在安全仪表系统确认之后以及所存在的风险被识别出来之前,应进行下列活动:

——应返回所有旁路功能(如:对PE逻辑解算器和PE传感器的强制、禁止报警)的正常位置；

——应按过程起动要求和规程设置所有的过程隔离阀;

——应移除所有的测试材料(如流体);

——应移除所有的强制,如适用还应消除所有强制使能。