标准编号:	GB/T 41394-2022
中文名称:	爆炸危险化学品储罐防溢系统功能安全要求
英文名称:	Functional safety requirements of overfill prevention systems on explosive dangerous chemical
行业分类:	GB    国家标准
ICS分类:	25.040 25.040    工业自动化系统 25.040
发布机构:	国家市场监督管理总局 国家标准化管理委员会
发布日期:	2022-4-15
实施日期:	2022-11-1
标准状态:	valid
翻译语言:	英文
文件格式:	PDF
中文字符数:	29000 字
翻译价格(元):	2030.0
交付时间:	付款后 1 个工作日

Functional safety requirements of overfill prevention systems on explosive dangerous chemical 1 Scope This document specifies the functional safety requirements of overfill prevention systems installed on dangerous chemical tanks. This document is applicable to atmospheric tanks for petroleum and other dangerous chemical liquids fixed above the ground with a volume of more than 5 m3. It may be implemented as reference for fixed atmospheric tanks for liquid with a volume of 5 m3 or less. This document does not apply to LPG/LNG tanks, dedicated buffer tanks, engine fuel tanks, heating tanks, and oil tanks that collect oil only from wheeled tankers (such as oil tank trucks or rail tank cars). 2 Normative references The following documents contain provisions which, through reference in this text, constitute provisions of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. GB/T 20438.2-2017 Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems GB/T 20438.3-2017 Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 3: Software requirements GB/T 21109.1-2007 Functional safety — Safety instrumented systems for the process industry sector — Part 1: Framework definitions system hardware and software requirements GB/T 29639 Guidelines for enterprises to develop emergency response plan for work place accidents GB 50093 Code for construction and quality acceptance of automation instrumentation engineering   3 Terms and definitions For the purpose of this document, the following terms and definitions apply. 3.1 alarm audible and/or visual indication to an operator in case of equipment faults, process deviations, or other anomalies requiring a timely response 3.2 alert audible and/or visual prompt to an operator in case the operating condition defined by the operator reaches a certain value Note: Alert is set to remind the user/operator of investigating or performing other corresponding actions. 3.3 atmospheric tank tank with a designed pressure of less than 0.1 MPa, built on the ground, storing non-manually refrigerated, non-toxic petroleum, chemicals and other liquid media 3.4 level of concern; LOC appropriate alert level, alarm level and automatic overfill prevention trigger level set by the owner or operator by calculating the medium level of the tank 3.5 maximum working level; MW maximum level allowed for tank feeding during normal operation 3.6 critical high level; CH maximum level that can be reached during the tank feeding without harmful influence, beyond which medium overfill or tank damage will occur Note: In terms of engineering design, the critical high level is also called "tank design level". 3.7 high-high tank level; HH level sufficiently below the CH to be able to terminate the feed or medium transfer before reaching the CH 3.8 high-high tank level alarm; LAHH alarm triggered at high-high tank level 3.9 high tank level; H level of concern set between the maximum working level and the high-high tank level to provide alert or alarm to operators 3.10 high tank level alarm; LAH alarm triggered at high tank level 3.11 response time; RT duration required from the start of the alarm trigger to the completion of the set action (which may be performed manually or by an automatic system) 3.12 final element valve, pump or other device that can stop inflow and prevent tanks from being overfilled 3.13 overfill prevention system; OPS protection system for preventing tank medium from overfilling Note: OPS may be a technical measure, a management measure, or both. 3.14 manual overfill prevention system; MOPS overfill prevention system operated by operators 3.15 automatic overfill prevention system; AOPS overfill prevention system unnecessarily operated by operators 3.16 dangerous failure failure of components and/or subsystems and/or systems with effects on the performance of safety functions, which may: a) prevent a safety function from being performed if required (request mode), or lead to the failure of safety function (continuous mode), thus causing the EUC to enter a dangerous or potentially dangerous state; b) reduce the probability that a safety function is performed correctly if required [Source: GB/T 20438.4-2017, 3.6.7]  

Foreword i Introduction ii 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviations 5 General requirements of OPS 5.1 General requirements 5.2 Classification of tank monitoring modes and instrumentation configurations of OPS 5.3 Functional safety requirements of OPS in the full life cycle 6 Safety management requirements for overfill prevention 6.1 General requirements 6.2 Requirements for management of level of concern and periodic review 6.3 Functional safety assessment requirements of OPS 6.4 Requirements of safety management system on overfill prevention 6.5 Safety procedure requirements of overfill prevention operation 6.6 Requirements of emergency response plan for tank overfilling accidents 7 Risk assessment on tank overfilling 7.1 General requirements 7.2 Requirements for implementation of risk assessment 8 Safety requirement allocation for OPS 8.1 General requirements 8.2 Requirements for implementation of safety requirement allocation 9 Design requirements for OPS 9.1 General requirements 9.2 Design of level of concern 9.3 Classification and composition of OPSs 9.4 Functional safety design of AOPS 9.5 Safety protection design of OPS 10 Installation requirements for OPS 11 Safety validation requirements for OPS 11.1 Installation validation requirements 11.2 Hardware validation requirements 11.3 Function validation requirements 11.4 Application validation requirements 11.5 Operation validation requirements 12 Acceptance requirements for OPS 13 Proof test and maintenance requirements for OPS 13.1 General requirements 13.2 Technical requirements 14 MOC requirements for OPS 14.1 General requirements 14.2 MOC requirements 14.3 Requirements for changed documents 15 Decommissioning requirements for OPS Annex A (Informative) Installation requirements for level detection instruments Bibliography Figure 1 General technical model of OPS Figure 2 Tank level of concern Table 1 Classification of tank monitoring modes and instrumentation configurations of OPS Table 2 Correspondence table of tank monitoring modes and level of concern setting Table A.1 Installation requirements for level detection instruments

爆炸危险化学品储罐防溢系统 功能安全要求 1 范围 本文件规定了对危险化学品储罐设置储罐防溢系统的功能安全要求。 本文件适用于5m3以上的地上固定式石油及其他危险化学品液体常压储罐。5m3及以下固定式液体常压储罐可参照执行。 本文件不适用于LPG／LNG罐、专用的缓冲罐、发动机燃料油罐、供暖油罐、收油仅来自于轮式的槽车(比如油罐车或铁路油罐车)的油罐。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB／T 20438.2—2017 电气／电子／可编程电子安全相关系统的功能安全 第2部分：电气／电子／可编程电子安全相关系统的要求 GB／T 20438.3—2017 电气／电子／可编程电子安全相关系统的功能安全 第3部分：软件要求GB／T 21109.1—2007过程工业领域安全仪表系统的功能安全 第1部分：框架、定义、系统、硬件和软件要求 GB／T 29639 生产经营单位生产安全事故应急预案编制导则 GB 50093 自动化仪表工程施工及质量验收规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 报警 alarm 通过声音和／或可视的方式向操作员指示需要及时响应的设备故障、过程偏差或其他异常情况。 3.2 警示 alert 当操作员预定义的操作条件已经达到某个值时，采用声和／或光提示操作员的方法。 注：警示的目的是提醒用户／操作员需要进行调查或者执行其他对应的动作。 3.3 常压储罐 atmospheric tank 设计压力小于0.1MPa、建造在地面上、储存非人工制冷、非剧毒性的石油、化工等液体介质的储罐。 3.4 关注液位 level of concern；LOC 业主或操作员通过计算储罐的介质液位设置的合适的警示液位、报警液位和储罐自动防溢功能触发液位。 3.5 最高工作液位 maximum working level；MW 正常操作时储罐进料允许达到的最高液位。 3.6 极限液位 critical high level；CH 储罐进料能够达到的、无有害影响的最高液位，超过此液位即发生介质溢出或储罐损坏等情况。 注：在工程设计中，极限液位也称“储罐设计液位”。 3.7 高高液位 high-high tank level；HH 在达到极限液位(CH)之前能够终止进料或介质转运，足够低于极限液位(CH)的液位。 3.8 高高液位报警 high-high tank level alarm；LAHH 在达到高高液位时触发的报警。 3.9 高液位 high tank level；H 在最高工作液位与高高液位之间设置的，向操作人员提供警示或报警的关注液位。 3.10 高液位报警 high tank level alarm；LAH 当罐液位达到高液位时触发的报警。 3.11 响应时间 response time；RT 从报警触发开始到执行设定动作(可以是人为操作也可以是自动系统)完成所需的时间。 3.12 最终元件 final element 阀门、泵或其他可以终止流入、防止储罐溢出的设备。 3.13 储罐防溢系统 overfill prevention system；OPS 防止储罐介质溢出的保护系统。 注：OPS可以是技术措施也可以是管理措施，也可以两者皆有。 3.14 手动储罐防溢系统 manual overfill prevention system；MOPS 需要操作人员操作的储罐防溢系统。 3.15 自动储罐防溢系统 automatic overfill prevention system；AOPS 无需操作人员操作的储罐防溢系统。 3.16 危险失效 dangerous failure 对执行安全功能有影响的组件和／或子系统和／或系统的失效，其： a) 在要求时阻止安全功能的执行(要求模式)，或导致安全功能失效(连续模式)以致EUC进入危险或潜在危险的状态。 b) 降低在要求时安全功能正确执行的概率。 [来源：GB／T 20438.4—2017，3.6.7] 3.17 安全失效 safe failure 对于执行安全功能有影响的组件和／或子系统和／或系统的失效，其： a) 导致安全功能的误动作从而使EUC(或其一部分)进入或保持安全状态；或 b) 增加安全功能的误动作从而使EUC(或其一部分)进入或保持安全状态的概率。 [来源：GB／T 20438.4—2017，3.6.8] 3.18 功能安全 functional safety 与过程和BPCS有关的整体安全的组成部分，它取决于SIS和其他保护层的正确功能执行。 [来源：GB／T 21109.1—2007，3.2.25] 3.19 功能安全评估 functional safety assessment 基于证据的调查，以判定由一个或多个保护层所实现的功能安全。 [来源：GB／T 21109.1—2007，3.2.26] 3.20 随机硬件失效 random hardware failure 在硬件中，由一种或几种可能的退化机理而产生的，在随机时间出现的失效。 注1：在各种元件中，存在以下不同速率发生的许多退化机理，在这些元件工作不同的时间之后，这些机理可制造公差引起元件发生故障，从而使包含许多元件的设备将以可预见的速率，但在不可预见的时间(即随机时间)发生失效。 注2：随机硬件失效和系统性失效的主要区别是由随机硬件失效导致的系统失效率(或其他合适的度量)可以用合理的精度来量化，但系统性失效无法精确预计，因此，系统性失效引起的系统失效率则不能精确地用统计法量化。也就是说，由随机硬件失效引起的系统失效率以用合理的精度来量化，但是由系统性失效引起的系统失效率不能精确地用统计法量化，因为导致系统性失效的这些事件无法简单预测。 [来源：GB／T 20438.4—2017，3.6.5] 3.21 安全仪表系统 safety instrumented system；SIS 用来实现一个或几个安全仪表功能的仪表系统。SIS可以由传感器、逻辑控制器和执行器的任何组合组成。 [来源：GB／T 21109.1—2007，3.2.72] 3.22 安全完整性 safety integrity 在安全仪表系统在规定时段内.在所有规定条件下满足执行要求的安全仪表功能的平均概率。 [来源：GB／T 21109.1—2007，3.2.73] 3.23 安全仪表功能 safety instrumented function；SIF 具有某个特定SIL的，用以达到功能安全的安全功能，它既可以是一个安全仪表保护功能，也可以是一个安全仪表控制功能。 注：该术语与GB／T 21109.1—2007不同，以体现行业应用习惯。 3.24 安全完整性等级 safety integrity level；SIL 用来规定分配给安全仪表系统的安全仪表功能的安全完整性要求的离散等级(4个等级中的一个)。SIL4是安全完整性的最高等级，SIL1为最低等级。. [来源：GB／T 21109.1—2007，3.2.74] 3.25 安全要求规格书 safety requirements specification；SRS 包含安全仪表系统应执行的安全仪表功能的所有要求的规格书。 注：该术语与GB／T 21109.1—2007不同，以体现行业应用习惯。 3.26 检验测试 proof test 为揭露安全仪表系统中未检测到的故障而执行的测试，以便在必要时把系统修复到所设计的功能。 [来源：GB／T 21109.1—2007，3.2.58] 3.27 安全状态 safe state 达到安全时的过程状态。 注1：本文件中的安全状态主要指将不会造成储罐溢流的进料过程状态。 注2：该术语的定义同GB／T 21109.1—2007中的定义有差别，以体现行业应用习惯。 4 缩略语 下列缩略语适用于本文件。 AOPS：自动储罐防溢系统(Automated Overfill Prevention System) ATG：自动液位计(Automatic Tank Gauge) BPCS：基本过程控制系统(Basic Process Control System) EMC：电磁兼容(Electro Magnetic Compatibility) EUC：受控设备(Equipment Under Control) FMEA：失效模式及后果分析(Failure Mode and Effects Analysis) FPL：固定程序语言(Fixed Program Language) FVL：全可变语言(Full Variabilty Language) HAZOP：危险与可操作性分析(Hazard and Operability Study) HFT：硬件故障裕度(Hardware Fault Tolerance) LVL：有限可变语言(Limited Variability Language) MOC：变更管理(Management of Change) MOPS：手动储罐防溢系统(Manual Overfill Prevention System) MTTR：平均恢复时间(Mean Time to Restoration) OPS：储罐防溢系统(Overfill Prevention System) PE：可编程电子(Programmable electronic) PFD：要求时危险失效概率(Probability of Dangerous Failure on Demand) PFH：每小时危险失效平均概率(Average Frequency of a Dangerous Failure Per Hour) SIF：安全仪表功能(Safety Instrumented Function) SIL：安全完整性等级(Safety Integrity Level) SIS：安全仪表系统(Safety Instumented System) SRS：安全要求规格书(Safety Requirements Specification) UPS：不间断电源(Uninterruptible Power Supply) 5 储罐防溢系统通用要求 5.1 一般要求 5.1.1 储罐防溢系统应包括技术措施和管理措施。 5.1.2 储罐防溢系统技术措施可包括高液位报警、液位超高联锁等。典型的技术措施设置见图1。