新规范

图1储罐防溢系统通用技术模型

5.2储罐监控方式及防溢系统仪器仪表配置分类

本使用情况可将储罐监控方式和防溢系统仪器仪

硬度标准储罐监控方式和防溢系统仪器仪表配置分类表

5.3储罐防溢系统全生命周期功能安全要求

应对储罐防溢系统实现全生命周期功能安全管理。全生命周期功能安全要求应包 储罐防溢安全管理要求（见第6章）； 储罐溢流风险评估要求（见第7章）； 储罐防溢系统安全要求分配的要求（见第8章）； 储罐防溢系统设计要求（见第9章）； 储罐防溢系统安装要求（见第10章）； 储罐防溢系统运行前安全确认要求（见第11章）； 储罐防溢系统的验收要求（见第12章）； 储罐防溢系统检验测试和维护要求（见第13章）； 储罐防溢系统变更管理要求（见第14章）； 储罐防溢系统停用要求（见第15章）。

6储罐防溢安全管理要求

储罐管理制度中应包括储罐防溢安全管理要求，内容包括： 操作规程，包括针对正常和异常操作条件的措施和规程； 应急响应程序及现场处置预案； 操作和维护人员的能力培养和维持； 由合格的人员对功能性设备系统进行测试和维护； 储罐防溢系统仪表和设备的定期检查和维护计划： 人员和硬件变更的管理（MOC)； 有关未遂事故和事故的判断、调查、沟通； 处理未遂事故或减轻事故影响的后续跟进； 良好操作实践和事故教训分享；

一异市和正市东件下，业土/运 业主/运行方之间的沟通保厚体系。 注：承运方是指按照合同要求将介质运输至指定地点的相关方。 业主是指储罐的资产所有者。运行方是指按照合 同要求运行和管理储罐的相关方。有时承运方和业主、运行方可能是一方

注1：常见的物理变更包括：内/外浮顶更换，罐壁外扩，罐底板更换，增加辅助设备，计量设备变化，侧通风口的变 化，罐密封件尺寸的变化等。 注2：常见的操作变化包括：介质变更，输人/输出管线变更，最大流量变更，储罐完整性发生变化后仍继续运行（如 罐壁腾蚀后，降低液位继续运行），操作方式变更（如并联、旁接、连续掺混等），员工、权限、操作或设备变更引 起的响应时间变更等。 注3：储罐防溢系统变化包括：报警响应发生变化，AOPS联锁功能变更等

6.3储罐防溢系统的功能安全评估要求

储罐防溢系统的功能安全评估活动可参考GB/T32202执行

6.4储罐防溢安全管理体系要求

4.1储罐防溢安全管理体系文件要求应至少包括工艺安全信息、工艺危害分析、功能安全评估、 理、操作规程、机械完整性、设备变更、作业许可证、事故调研、员工参与。 4.2应对储罐防溢安全管理体系文件进行定期复审

6.5储罐防溢操作安全规程要求

6.5.1制定进料计划的规程

6.5.1.1应制定进料计划，内容应包括储罐进料的正常操作和填充储罐到最高工作液位的规程，还应包 括一些复杂操作，如： 在同一进料作业中切换接收罐； 多个储罐同时进料； 多个来源同时向某一储罐进料； 一其他非正常工况。 6.5.1.2计划中应明确进料量，与接收罐的可用容积比较，确保储罐有足够的可用容积。 注：接收罐的可用容积使用MW来计算 6.5.1.3应在进料前做好充分计划，在液位达到MW前及时切罐或停止进料。 6.5.1.4计划中应明确进料完成时储罐预期液位，未经授权预期液位不应超过MW。在任何情况下，储 罐进料后的液位均不应达到或超过HH或AOPS液位。 注：AOPS液位指需要由AOPS执行动作的液位值 6.5.1.5计划中应明确进料过程中各岗位人员职责分配

6.5.2进料前的活动规程

御科重（如油罐车御油裸作）进行比 计划的进料量超过储罐的可用容积，应调整计划 5.2.2进料前，应至少明确以下信息并形成文档记录：

计划进料开始时间和预计结束时间： 预计流量，包括任何可能的工况变化 6.5.2.3进料前，应核对罐区所有阀门状态，以确保介质被输送到指定储罐中。连接不同储罐的同一进 料管道只应打开待进料储罐的人口阀门，其他所有储罐人口阀门应关闭。 6.5.2.4对于1类、2类、3类储罐，在进料前应确认收料操作人员与上游操作人员间通信畅通，确保进 料过程中必要时有足够的响应时间停止进料。 对于1类储罐，参与人员可在进料开始时至少通信一次，在进料过程中定期通信，并在进料结 束之前至少通信一次。 对于2类和3类储罐，参与人员应至少在进料过程的开始和结束时进行通信。 6.5.2.5在进料前应确认监控系统处于正常工作状态。 6.5.2.6在进料期间.储罐所在区域防火堤的排水阀应保持关闭

6.5.3进料期间的活动规程

5.5.3.1应在进料期间对储罐液位定期进行监测，并记录。

参与进料的储罐； 进料或卸料速率； 未完成的进料量； 剩余的罐可用容积； 预计进料完成的时间。 6.5.3.3应监测连接同一进料管道的其他储罐，确保没有非正常的液位变动。 6.5.3.4 在进料过程中，应确保换班的操作人员之间保持通信和控制的连续性 6.5.3.5 进料开始后，应立即验证介质是否只流入正确的储罐中，且储罐防溢系统相关措施有效 6.5.3.6在进料期间，应定期巡检，确保管道、储罐、泵、防火堤等设施的完整性，并确保现场未发生可能 影响进料的未经授权的活动。

求不适用于无人值守的4类

6.5.4进料后的活动规程

料结束后，应确保阀门及动力设备（如泵）顺序关

6.5.5进料过程的文档

5.5.1在进料结束时，应记录以下内容并注明时

进料涉及的储罐； 实际进料量； 进料后的储罐液位。 6.5.5.2所有与进料相关的记录应保存一段时间，时间长短应符合相关法律法规及业主/运营 理制度。

6.5.6异常情况的活动规程

6.5.6.2储罐针对以下异常情况应建立活动规程

报警触发（例如，高液位报警后，现场人员如何响应实现进料停止）； 溢流后的响应： 液位监控或报警通信中断，或与储罐防溢系统相关的公用设施故障； 操作、设备、环境、天气等出现异常情况； 计划进料流量和检测到的实际进料流量之间偏差超出5%时

6.5.6.3针对储罐液位监测 ，应设置恢复时间要求，启动预先建立的异常 操作程序。程序应规定在储罐进料作业前现场须设置有足够的风险降低补偿措施。在液位监测系统故 障解除前，进料作业的所有操作都应经过审核

6.6储罐溢流事故应急预案要求

6.6.1储罐区应设置应急预案，并定期进行演练。

6.1储罐区应设置应急预案，并定期进行演练， 6.2应急预案的设置应符合国家、行业或企业相关标准规范要求。 6.3现场处置方案应符合现场实际并具有可操作性。方案编制应符合GB/T29639。

7.1.1应在新建储罐进行防溢系统设计前或在役储罐变更设计前开展一次储罐溢流风险评估 注：风险评估包括定量或半定量方法，目前常用的方法为HAZOP、FMEA等。 7.1.2开展风险评估的组织及人员资质、组织管理、实施流程、文档化和发布签署等应符合国家相关文 件要求和国家、行业、企业相关标准及规范要求

7.2风险评估实施要求

7.2.1应制定明确的风险可接受准则，该准则应符合国家、行业或企业相关标准规范要求。 7.2.2应针对罐区工艺、设备、设施、人员等方面评估会导致储罐溢流事件发生的所有合理可预见情 况，包括仪表或阀阅门故障状况、误用、人员误操作、异常的进料运行模式等。 7.2.3应针对所有已辨识出的潜在危险事件，确定合理可预见的储罐溢流后果。 7.2.4应评估会导致储罐溢流的危险事件的发生频率（或频率等级），频率或频率等级的定义和选择应 符合国家、行业或企业相关标准规范要求，并具有可信的来源。 7.2.5应评估危险事件会导致的储罐溢流后果严重性程度，后果及其严重性等级的定义和选择应符合 国家、行业或企业相关标准规范要求，并具有可信的来源。 7.2.6应评估储罐溢流的风险等级，风险分级准则应符合国家、行业或企业相关标准规范要求。 7.2.7 对提出的风险降低措施（如液位报警、联锁），应有明确的实施和道踪的负责人。 7.2.8 应详细记录7.2.1～7.2.7各项活动所分析及引用的资料的名称及版本号。 7.2.9应详细记录7.2.1～7.2.7各项活动内容，形成文档，并由相关责任人签署。 7.2.10风险评估文档应包括：

7.2.3应针对所有已辨识出的潜在危险事件，确定合理可预见的储罐溢流后果。 7.2.4应评估会导致储罐溢流的危险事件的发生频率（或频率等级），频率或频率等级的定义和选择应 符合国家、行业或企业相关标准规范要求，并具有可信的来源。 7.2.5应评估危险事件会导致的储罐溢流后果严重性程度，后果及其严重性等级的定义和选择应符合 国家、行业或企业相关标准规范要求，并具有可信的来源， 7.2.6应评估储罐溢流的风险等级，风险分级准则应符合国家、行业或企业相关标准规范要求。 7.2.7 对提出的风险降低措施（如液位报警、联锁），应有明确的实施和追踪的负责人。 7.2.8 应详细记录7.2.1～7.2.7各项活动所分析及引用的资料的名称及版本号。 7.2.9 应详细记录7.2.1～7.2.7客项活动内容，形成文档，并由相关责任人签署。 7.2.10 风险评估文档应包括： 风险评估方法 风险的确定，风险的减轻和风险的可接受性； 团队成员及其专业知识； 概率、后果因素及风险评级； 一评估的基础，包括假设、数据来源和数据分析； 如何将风险降低到可接受的水平，以满足业主/运营方的标准。 7.2.11当罐体、罐区及周围区域发生变化增加溢流风险时，应重新开展风险评估。 7.2.12业主/运行方应按照国家相关文件要求和标准规范定期开展风险评估。重点监管危险化学品 和危险化学品重大危险源的生产储存装置不得超过3年，其他生产装置不宜超过5年

风险评估方法； 风险的确定，风险的减轻和风险的可接受性； 团队成员及其专业知识； 概率、后果因素及风险评级： 一评估的基础，包括假设、数据来源和数据分析； 如何将风险降低到可接受的水平，以满足业主/运营方的标准。 7.2.11 当罐体、罐区及周围区域发生变化增加溢流风险时，应重新开展风险评估。 7.2.12业主/运行方应按照国家相关文件要求和标准规范定期开展风险评估。重点监管危险化学品 和危险化学品重大危险源的生产储存装置不得超过3年，其他生产装置不宜超过5年

8储罐防溢系统安全要求分配

安全要求分配应在开展过一次风险评估后展开

注：目前常用的安 风险阵、风险图等 2安全要求分配应包括储罐防溢安全功能要求确定和安全完整性要求分配。 3开展安全要求分配的组织及人员资质、组织管理、实施流程、文档化和发布签署等应符合国家 件要求和国家、行业或企业相关标准规范要求

8.2安全要求分配实施要求

8.2.1应明确定义用于预防、控制或减轻储罐溢流风险的保护层及其安全功能，包括由安全仪表系统 执行的安全仪表功能（SIF）。 8.2.2应评估并识别AOPS联锁功能与液位监测及报警功能之间存在的潜在的共因失效。 8.2.3应评估并识别储罐防溢系统与储罐溢流触发事件或原因之间的相关性和独立性。 8.2.4应评估储罐防溢系统中各保护功能的风险降低能力。各保护功能风险降低能力的定义和选择 应符合国家、行业或企业相关标准规范要求，并具有可信的来源 8.2.5如果评估确定需要设置SIF（如独立的AOPS联锁功能），应分析SIF的安全功能要求和安全完 整性等级要求 8.2.6应确定SIF最大可接受误动作率要求（如需要）。 8.2.7应确定单个或多个SIF动作可能带来的附加危害。 8.2.8对动力源（如电源、液动源或气动源）中断而不进人安全状态的SIF，应根据9.4.3.11采取行动。 B.2.9SIL要求应结合罐区实际情况合理分配。在设置了合理的报警功能、BPCS、AOPS后，若储罐溢 流风险仍未降至可接受范围，宜设置独立于SIS、BPCS的声光报警系统， 8.2.10应详细记录8.2.1~8.2.9各项活动中所分析及引用的资料的名称及版本号。 8.2.11应详细记录8.2.1~8.2.9各项活动内容，形成文档，并由相关责任人签署。 8.2.12安全要求分配文档应包括：

风险可容忍标准的确定； 团队成员及其专业知识； 初始事件频率、场景后果及残余风险确定； 评估的基础，包括假设、数据来源和数据分析； 为满足风险可容忍标准需采取的行动（即安全要求分配结果）

9储罐防溢系统设计要求

9.1.1储罐系统设计应符合国家相关法律法规及设计规范要求，储罐防溢系统应根据储罐溢流的风险 评估（第7章）及安全要求分配（第8章）的结果进行设计。 9.1.2业主和运行方应按照每个储罐的具体参数，使用条件等方面合理设计储罐防溢系统。设计要考 患的因素包括：储罐的类型（操作模式、管理方式）、各液位参数、报警和控制系统、报警信号、UPS、联锁 功能及安全防护等因素

9.2.1.1在进行储罐防溢系统设

.2.1.1在进行储罐防溢系统设计前 文循罐的关天注液位，全少包含以下三不液位 极限液位（CH)； 高液位（H)； 最高工作液位（MW）

极限液位（CH)； 高液位（H）； 最高工作液位（MW）

注：此处7.7cm是根据行业良好工程实践得出

有效罐壁高度； 罐壁最高点至泡沫喷嘴底部； 有效浮顶高度； 罐壁最高点到纵梁的深度； 自液面到附件的高度； 自液面到浮顶支撑高度； 浮顶支撑固定销之间的距离； 附件到罐壁的距离； 罐壁到浮顶支撑的距离； 浮顶的坡度

验证所有系统部件都已正确响应的时间，以及若系统未正确响应时采取适当补救动作的 时间； 转移罐内介质的速率

9.3储罐防溢系统的分类及组成

9.3.2手动防溢系统（MOPS)

注：以下情况都属于MOPS的响应动作：操作人员去现场进行开关阀门或其他设备的操作，或在控制室触碰按钮 来实现阀门或其他设备的远程开关。 9.3.2.2 MOPS设备组成包括但不限于： 传感器（例如，液位计、液位开关）； 数据传输设备； 报警信号系统； 逻辑控制器（例如，继电器、PLC、SIS）； 手动阀门，

9.3.3自动储罐防溢系统（AOPS）

.3.1AOPS响应过程无需人员干预或参与，应通过储罐液位传感器、逻辑控制器和最终执行元 约自动控制回路实现自动终止进料。 3.2AOPS设备组成包括但不限于： 一传感器（例如，液位计、液位开关）； 逻辑控制器（例如，继电器、PLC、SIS）： 远控阀门（例如，气动、电动、液动），

9.3.3.1AOPS响应过程无需人员干预或参与，应通过储罐液位传感器、逻辑控制器和最终执行元件组

成的自动控制回路实现自动终止进料。 9.3.3.2AOPS设备组成包括但不限于：

9.4AOPS的功能安全设计

应基于安全要求分配（第8章）确定AOPS是否应由SIS实现。对于由SIS实现的AOPS应确定 其安全完整性要求，编制安全要求规格书（SRS），依据SRS完成AOPS设计。 注：9.4中AOPS特指需要由SIS实现的储罐防溢安全仪表功能。

9.4.2SRS 要求

9.4.2.1SRS应包括以下内容：

由SIS实现的AOPS的描述： 与AOPS相关的现场输人和输出设备清单（如位号、厂家、型号等）： 识别和考虑AOPS与液位监测、报警等措施共因失效的要求； AOPS的过程安全状态定义，例如，关阀以停止进料，不会造成储罐溢流的状态； 注1：对于兼具泄压功能的AOPS.其安全状态定义要结合泄放需求综合评判

9.4.3设计和实施要求

9.4.3.1AOPS设计和实施应以安全要求规格书为依据，并满足本条所有要求。 9.4.3.2对于同时实现安全仪表功能和非安全仪表功能的SIS，所有在正常和故障状况下会对AOPS 有负面影响的部分（包括但不限于硬件、嵌人式软件和应用程序）都应当成SIS的组成部分，并应符合最 高SIL要求。

9.4.3.1AOPS设计和实施应以安全要求规格书为依据，并满足本条所有要求。

注2：充分的独立性意味着任何非安全仪表功能或编程实现的非安全嵌入式软件或应用程序功能都不会引起安 仪表功能失效

9.4.3.3SIS承担的其他SIF与某

9.4.4硬件故障裕度（H

被分配给组成AOPS的子系统（如传感、控制、执

9.4.4.2AOPS或者AOPS的子系统HFT应符合：

GB/T 21109.1—2007中11.4; GB/T20438.2—2017中7.4.4.2（路线1H) GB/T20438.2—2017中7.4.4.3（路线2H)

9.4.5AOPS设备的选型要求

5.1下列行为应符合GB/T20438.2—2017和GB/T20438.3—2017以及9.4.6的要求： 选择AOPS的组成设备； 把设备集成到SIS架构中； 根据SRS制定设备的验收准则。 5.2应根据SRS要求、PFD计算过程中假设的可靠性参数以及运行环境要求选择AOPS组成设备。 注：设备厂商需提供不同运行环境和不同运行模式下的失效率，如频繁使用情况和长期不用情况下的失效率数据 不同，洁净环境下和恶劣环境下的失效率数据可能也不同 5.3根据以往使用的情况选择AOPS组成设备应符合下列要求。 应开展以往使用评估以证明设备适用于当前AOPS 注1：经以往使用评估得出的数据可以补充到用于计算随机失效的数据库。 以往使用评估应收集证据证明：与要求的安全完整性相比，系统性危险故障已被降低至充分低 的水平。证据的详细程度取决于所评估设备的复杂程度 以往使用评估应收集：设备在相似运行环境中的性能信息，以往使用中已安装设备的功能性和 完整性，包括过程接口、设备边界、通信和公共设施， 以往使用评估应对以下内容进行评估： ·制造商的质量体系、管理体系和配置管理体系； ·设备充分的标识和规范 ·在类似运行环境中设备性能的证明； 注2：在现场设备（例如，传感器和最终元件）满足某一给定规范的情况下，该设备在安全应用和非安全应用中的行 为通常是一样的。因此，类似设备在非安全应用中的性能证明也能用于满足此需求。 · 大量的运行经验。 注3：一般通过用户设备清单记录现场设备与操作经验有关的信息，该清单的形成是基于设备在安全和非安全应 用中成功运行的大量历史记录，不包括未能成功执行功能的设备。倘若下列条件均满足，现场设备清单能用 于支持运行经验的声明： a）定期更新和监视清单； b）只有在获得足够的运行经验时，现场设备才能加入该清单； c）当现场设备的运行历史记录显示出它们不能完美地执行功能时，从该清单中删除它们： d）清单中要包含相关的运行环境， 注4：设备性能受到运行环境的影响较高，通常推荐基于大量安装并运行足够长时间而获得的充分的设备性能表 现来进行选择。获得的运行经验需允许足够时间来揭露早期失效，例如和规格书、储存、安装及试运行相关 的早期失效。 注5：用于获得可信的具有统计意义的可靠性数据而需要的运行经验通常远多于用于证明“以往使用"需要的运行 经验。 所有基于“以往使用”选用的设备应通过特定的版本号进行识别，并受控于变更管理程序。当对 这些设备做出变更时，应对“以往使用”的证据是否继续有效进行论证（通过评估变更的影响）。 5.4对于SIL1、SIL2、SIL3的AOPS，基于“以往使用”选择FPL设备（如智能液位变送器）应满足 5.1~9.4.5.3及以下要求， 一应识别并考所有可能影响AOPS安全的设备组态选项。对于没有定义特定设置的，应确认 设备的默认设置是否合适。设备未被使用的特性应在适用性证据中加以识别，并确定这些特 性不太可能危害到AOPS。 对于设备的特定组态和运行环境，适用性证据应包括：

输人和输出信号的特点； ·使用的模式； ·使用的功能和组态； ·以往在类似操作环境中的使用情况。 对于SIL3应用，应对FPL设备进行评估，评估内容参见GB/T21109.1一2007中11.5.4.4。 9.4.5.5对于SIL1或SIL2要求的AOPS中使用的PE设备，基于“以往使用”选择LVL设备时应满足 GB/T21109.12007中11.5.5.6要求。 9.4.5.6当PE逻辑控制器便用的是FVL对应用程序进行编程时，PE逻辑控制器应符合GB/T20438.2 2017和GB/T20438.32017的要求。 9.4.5.7AOPS现场设备在选型时应充分考虑工艺操作条件和环境条件，确保因操作环境影响而导致 的失效降至最低水平。考虑的条件应包括：腐蚀、物料在管道中冻结、悬浮物、温度和压力极限、环境相 对湿度极限、干式取压管中的冷凝、湿式取压管中的不充分冷凝等。 9.4.5.8“得电触发”的离散输人/输出电路应采取措施确保电路和电源的完整性。 注1：此方法的例子是使用一个线路终端监视器，在这种情况能连续监视一个辅助电流从而确保电路的连续性，而 辅助电流的幅度不会影响1/O的正常工作。 注2：“失电触发”的附加要求参见9.4.3.11 9.4.5.9智能传感器应进行写人保护以防止远程意外修改，除非经安全审查允许使用读写功能。 注：复审要考虑人员因素，例如，未遵守规程

9.4.6接口设计要求

9.4.6.1一般要求

AOPS的接口包括但不限于： 操作员接口； 维护/工程接口； 通信接口

9.4.6.2操作员接口要求

9.4.6.2.2应对旁路开关或其他旁路手段设置保护，以防止未授权的使用（例如，通过钥匙锁或密码与 管理控制相结合）。 注：需考虑对旁路操作实施强制时间限制，并限制每次激活的旁路数量 9.4.6.2.3对于维护AOPS至关重要的SIS状态信息应在操作员界面显示。这些信息包括： 目前处于AOPS动作序列中的哪个环节； 已发生AOPS保护动作的指示； 一某个保护功能被旁路的指示； 已发生某个自动动作（如表决降级和/或故障处理）的指示； 传感器和最终元件的状态； 影响安全的动力源丧失（如UPS故障）； 诊断结果； 支持SIS所需的环境改善设备的失效。 9.4.6.2.4SIS操作员接口的设计应能防止改变SIS应用程序。 9.4.6.2.5在需要将信息从BPCS传输给SIS时，应使用系统、设备或程序来确认传输了正确的信息， 并且不会损害SIS的安全完整性

9.4.6.2.6对于SIS操作员接口与BPC 共用的情况，应保证从BPCS到SIS的不正确信息 或数据不会损害安全性

9.4.6.3维护/工程接口要求

9.4.6.4通信接口要求

9.4.6.4.1SIS通信接口的设计应确保通信接口的任何失效不会对AOPS使过程达到或保持某个安全 伏态的能力产生不利影响。 9.4.6.4.2当SIS能够与BPCS和外部设备进行通信时，通信接口、BPCS或外部设备不应对AOPS产 生不利影响。 9.4.6.4.3通信接口应足够健壮以确保能承受电源电涌在内的电磁干扰而不会引起AOPS的危险失效 9.4.6.4.4通信接口应适用于不同零电位设备间的通信。 注可能需要梦代媒介（如光纤）

9.4.7AOPS随机硬件失效的定量

9.4.7.1AOPS的失效量应等于或小于安全要求规格书中所规定的SIL对应目标失效量。这应由计算

9.4.7.1AOPS的失效量应等于或小于安全要求规格书中所规定的SIL对应目标失效量。这应由计算 决定。 9.4.7.2计算AOPS随机硬件的失效量应符合GB/T21109.1一2007中11.9的要求。 .4. 7.3量化随机硬件失效的影响时使用的可靠性数据应可信可追溯有资料支持目经过证实

9.5储罐防溢系统的安全防护设计

应开展安全防护风险评估以确认自动储罐防溢系统的安全防护漏洞，评估内容应包括： 本次风险评估所覆盖的设备的描述（如SIS、BPCS或任何其他与SIS连接的装置）； 识别出的威胁描述，这些危险可能利用漏洞并造成安全防护事件（包括对硬件、应用程序和相 关软件的蓄意攻击，以及人为误差导致的非蓄意事件）； 安全防护事件导致的潜在后果以及这些事件发生的可能性的描述； 设计、安装、调试、运行和维护等各阶段对于安全防护的考虑； 额外风险降低要求的确定： 减少或消除威胁所采取的措施相关信息的描述或引用。 注1：安全防护风险评估所需的边界条件信息和控制通常与设施的业主/运营公司有关，与供应商无关。这种情况 下，设置的业主/运营公司有责任遵守本条。 注2：SIS安全防护评估可能被包括于整体过程自动化安全防护风险评估中。 注3：SIS安全防护评估对象范 可以从单个的SIF到公司内的所有SIS

10储罐防溢系统安装要求

11储罐防溢系统运行前安全确认要求

安全、操作、维护和紧急规程都已编制完成； 确认计划编制是合适的并已完成确认活动； 人员培训已完成，相应信息已提供给维护和操作人员； 实现储罐防溢系统运行前评估的计划或策略已经就位 针对安装，还应确认： 是否有关于材料、工作质量、检验和测试的说明和规程； 是否有监督以确保安装期间能够按照说明和规程正确执行： 是否有预期的安装条件，当安装环境不满足预期条件时，是否有足够的防护措施； 安装活动是否与其他工程活动有交叉，如果有是否有足够的防护措施来保证安装的质量； 安装人员与监督人员是否有充分的独立性； 是否保存了必要的检验记录； 安装和检验规程在细节上是否足够清楚，以便使安装人员不用自已做出重要决策和解释； 是否遵守了设计的保护、隔离和其他特殊要求； 对于设计的变更是否有相关规程和说明

针对硬件，应确认： 硬件是否具有满足设计规格书和SRS要求的证明文件； 硬件运行条件是否满足储罐防溢系统物理运行环境的要求： ·温度范围； ·湿度范围； ·振动和冲击； ·污染气体； · 粉尘； 是否采取了保护储罐防溢系统环境抗电磁干扰的预防措施，应包括以下方面： 储罐防溢系统的内在设计； · 实际安装（例如，把电源和信号电缆分离）； 保护所有的输人和输出，避免输入电缆感应所产生的电压峰值的损害； ·EMC测试规程； 是否定义了关于设备之间的通信协议； 储罐防溢系统界面在数据显示、报警等方面是否进行了定义； 储罐防溢系统界面是否独立于BPCS界面。如果不独立，当BPCS有变更时，是否有措施可以 避免不期望的储罐防溢系统逻辑变更

针对功能应确认： 是否有关于储罐防溢系统全部功能的相关说明或规程； 在功能确认的测试期间，是否有监督以确保说明和规程的实施； 测试规程在细节上是否足够清楚，以便参与功能测试的相关人员不用自已作出重要方面的决 策或解释； 测试记录是否保存； 如果开展在线功能测试，规程是否能确保该测试的安全实施； 测试实施和相关参与人员是否进行了适合于他们的培训， 对于有SIL要求的AOPS，除上述要求外，还应确认： 是否有相关规程可用于对SRS中所定义的SIF进行功能测试； 测试是否涵盖了SRS中所定义的SIF

屋面标准规范范本11.4应用程序确认要求

针对应用程序应确认： 是否有关于应用程序测试的相关标准和规程； 是否有监督以确保标准和规程的实施； 关于说明、设计方面存在的缺陷或在应用程序期间发现的缺陷，是否有制定或修正规程； 对设计规格书和SRS的偏差，是否有备案文件证明； 关于设计规格书和SRS的更改是否经过变更管理审核； 应用程序的测试是否由负责说明、设计和开发的相关人员参与和审核； 是否对最终测试文档进行审核，以确保所有的设计规格书和SRS要求都已经过测试且符合设计

11.5操作运行确认要求

针对操作运行应确认： 是否针对防止越权访问系统制定了合适的规程； 操作说明和规程是否有文档记录； 是否有合格的用户/操作手册： 用户/操作手册中是否描述了可能的失效相关的风险以及针对失效的必要措施； 执行操作任务的人员和所涉及的相关人员是否接受了相关的培训； 是否有管理规程，以确保操作规程充分贯穿整个储罐防溢系统使用过程； 对于设计中给出的假设条件，在操作和维护规程中是否有说明

12储罐防溢系统的验收要求

螺旋钢管标准系统的功能安全验收活动可参考GB/T32203执

13储罐防溢系统检验测试和维护要求

13.1.1应制定书面规程，对储罐防溢系统硬件及程序进行测试、检查和维护，规程内容和活动频率应 符合安全要求规格书或产品规格书要求，并考虑制造商建议。 3.1.2储罐防溢系统的测试、检查和维护记录应至少保存三年 3.1.3应定期对储罐防溢系统组成部件进行目视检查，以确保没有未经授权的修改和肉眼可见的缺 员（例如，螺栓或仪表罩缺失、支架生锈、线材开路、导管破损、伴热损坏和绝缘缺失）。 3.1.4当现场工况（包括但不限于储罐操作、储存介质）、储罐及附件、仪表、系统发生变化时，应开展 变更管理，对测试、检查和维护规程进行审查修改