加氫站風(fēng)險評估方法1范圍1.1本文件規(guī)定了加氫站風(fēng)險評估的總體要求及常用方法的評估流程、評估步驟與基本要求、評估模型算法等，常用方法包括定量風(fēng)險評估（QRA）、工藝危害與可操作分析（HAZOP）、保護層分析（LOPA）、儲氫設(shè)備RBD、儲氫設(shè)備RBI、氫氣壓縮機FMECA、安全防護系統(tǒng)SIL評估、管路閥門系統(tǒng)風(fēng)險評估，對部分方法給出了評估示例。1.2本文件適用于按GB50516建造的高壓儲氫加氫站及按GB50156新建、改建和擴建的高壓儲氫加油加氫合建站、加氣加氫合建站、加油加氣加氫合建站的風(fēng)險評估。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T1.1標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則GB/T4732.1壓力容器分析設(shè)計第1部分：通用要求GB/T7826系統(tǒng)可靠性分析技術(shù)失效模式和影響分析（FMEA）程序GB/T20438（所有部分）電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全GB/T21109（所有部分）過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全GB/T26610（所有部分）承壓設(shè)備系統(tǒng)基于風(fēng)險的檢驗實施導(dǎo)則GB/T32857保護層分析(LOPA）應(yīng)用指南GB/T35320危險與可操作性分析（HAZOP分析）GB36894危險化學(xué)品生產(chǎn)裝置和儲存設(shè)施風(fēng)險基準GB/T37243危險化學(xué)品生產(chǎn)裝置和儲存設(shè)施外部安全防護距離確定方法GB/T44457加氫站用儲氫壓力容器GB/T45111保護層分析(LOPA）、安全完整性等級(SIL）定級和驗證質(zhì)量控制導(dǎo)則GB50516加氫站技術(shù)規(guī)范GB50156汽車加油加氣加氫站技術(shù)標準AQ/T3046化工企業(yè)定量風(fēng)險評價導(dǎo)則AQ/T3054保護層分析（LOPA）方法應(yīng)用導(dǎo)則T/CPI64001石油化工設(shè)備以可靠性為中心的維修（RCM）應(yīng)用指南T/CPI65001煉化企業(yè)安全儀表系統(tǒng)安全完整性等級（SIL）評估技術(shù)規(guī)范TSG21固定式壓力容器安全技術(shù)規(guī)程ISO14224石油、石化產(chǎn)品和天然氣工業(yè).設(shè)備可靠性和維修數(shù)據(jù)的采集與交換3術(shù)語和定義及縮略語3.1術(shù)語和定義下列術(shù)語和定義適用于本文件3.1.1加氫站hydrogenfuellingstation為氫燃料電池汽車或氫氣內(nèi)燃機汽車或氫氣天然氣混合燃料汽車等的儲氫瓶充裝氫燃料的專門場所。注：目前加氫站的類別主要包括加油加氫合建站、加氣加氫合建站、加油加氣加氫合建站等類別。3.1.2風(fēng)險risk特定危害事件發(fā)生的概率和后果的乘積。3.1.3風(fēng)險等級riskgrade基于可能性和后果的計算結(jié)果根據(jù)一定的規(guī)則確定的風(fēng)險的等級。3.1.4可接受風(fēng)險acceptablerisk在法律法規(guī)框架下，責(zé)任主體可以接受的風(fēng)險值。注：風(fēng)險接受度取決于風(fēng)險標準，可接受風(fēng)險是指風(fēng)險水平已足夠低，風(fēng)險值符合法律法規(guī)的要求，無需進一步采取措施，可直接接受。3.1.5可容忍風(fēng)險tolerablerisk根據(jù)當(dāng)前社會發(fā)展水平、法律法規(guī)及責(zé)任主體自身承受能力，在給定的范圍內(nèi)能夠接受的風(fēng)險。注：可容忍風(fēng)險的風(fēng)險水平暫時被允許存在，但需持續(xù)監(jiān)控并盡可能降低；風(fēng)險超出理想范圍，但受技術(shù)、成本或時間限制無法立即解決。3.1.6不可接受風(fēng)險unacceptablerisk風(fēng)險等級的最高允許限值。注：不可接受風(fēng)險的風(fēng)險等級超過法律法規(guī)、行業(yè)標準或組織內(nèi)部規(guī)定的最高允許限值（可容忍風(fēng)險），可能導(dǎo)致人員傷亡、財產(chǎn)損失、環(huán)境破壞或社會動蕩，現(xiàn)有技術(shù)或管理手段無法將風(fēng)險降低至可接受或可容忍水平，必須徹底消除風(fēng)險源或停止相關(guān)活動。3.1.7風(fēng)險準則riskcriteria評價風(fēng)險是否可接受以及風(fēng)險等級的依據(jù)。3.1.8殘余風(fēng)險residualrisk采取降險措施后仍然存在的風(fēng)險。3.1.9損傷damage設(shè)備的局部或整體發(fā)生的物理、化學(xué)結(jié)構(gòu)的破壞。注：損傷是材料發(fā)生的不可逆的物理或化學(xué)變化，損傷一般都是不可逆的，維修后設(shè)備不能恢復(fù)至原有的形貌、狀態(tài)，承壓設(shè)備的損傷模式主要包括腐蝕減薄、環(huán)境開裂、機械損傷、材質(zhì)劣化等類別。3.1.10故障fault設(shè)備或其組件、子系統(tǒng)發(fā)生的執(zhí)行要求功能的能力降低或喪失的現(xiàn)象。注：故障可分為可修故障、不可修故障，可修故障一般可以維修后排除，排除后設(shè)備可以恢復(fù)至原有的狀態(tài)。3.1.11失效failure設(shè)備發(fā)生的執(zhí)行某一要求功能的能力喪失的現(xiàn)象。3.1.12事故accident事故是指在進行生產(chǎn)、生活活動過程中突然發(fā)生的、違背人們意志的意外事件，注：通常會導(dǎo)致人員傷害、死亡、職業(yè)病或停工停產(chǎn)、設(shè)備設(shè)施破壞、環(huán)境破壞等?。這些事件具有突發(fā)性和不可預(yù)測性，往往由多種因素引起，包括人為錯誤和偶然因素。?3.1.13缺陷defect設(shè)備存在的不滿足規(guī)定要求的情況。注：規(guī)定要求通常指法規(guī)標準、設(shè)計、管理體系等方面的要求，損傷，故障、失效、事故可視為是不同類別、不同程度的缺陷。3.1.14異常abnormity設(shè)備管理過程中發(fā)生的不正常情況。注：異常主要是指違反法律、法規(guī)、標準、企業(yè)管理制度、操作規(guī)程等相關(guān)的規(guī)定，或者會對設(shè)備運行、人員安全造成重大影響的各種突發(fā)事件和危機情況，如人為因素、操作不當(dāng)、管理不善。3.1.15變更change設(shè)備相關(guān)的情況發(fā)生了變化、從而與原來狀態(tài)有差異的情況。注：變更包括工藝、設(shè)備、儀表、電氣、公用工程、備件、材料、介質(zhì)、環(huán)境條件、生產(chǎn)組織方式和人員、組織機構(gòu)等方面進行的改變。3.1.16危險源hazardsource危害的根源。注：危害發(fā)生的根源、來源，主要包括危險的物質(zhì)、能量。3.1.17危險hazard危害可能發(fā)生的潛在狀態(tài)。注：危險是種潛在的狀態(tài)，危險出現(xiàn)時，危害尚未發(fā)生，但危害發(fā)生的概率及其嚴重程度的乘積已經(jīng)超出了可接受水平。3.1.18危險狀況hazardoussituation人、財產(chǎn)或環(huán)境暴露于一個或多個危險源環(huán)境的情況。3.1.19危險事件hazardousevent人、財產(chǎn)或環(huán)境處于危險中，可能導(dǎo)致危害的事件。3.1.20危害harm因受損害導(dǎo)致破壞，包括人員傷亡、財產(chǎn)損失、環(huán)境破壞或負面社會影響。注：廣義上的危害也可指各類不期望事件的發(fā)生。3.1.21危害事件harmfulevent發(fā)生了人員傷亡、財產(chǎn)損失、壞境破壞或負面社會影響的事件。3.1.22危害因素harmfulfactors可能造成人員傷亡、財產(chǎn)損失、環(huán)境破壞或負面社會影響的因素。注：包括人的因素、物的因素、管理因素、環(huán)境因素。3.1.23風(fēng)險評估riskassessment對潛在危害及其可能性（概率）與后果進行識別、分析、評價、控制的全過程。注：對工程、系統(tǒng)中存在的危害因素進行識別與分析，分析判斷發(fā)生危害的可能性與嚴重程度與是否可容忍，提出相應(yīng)的對策措施與建議。風(fēng)險評估既可針對一個特定的對象，如某臺設(shè)備或其零部件，也可針對某一特定的區(qū)域范圍，如整個加氫站或加氫站內(nèi)的某個子區(qū)域，還可以針對某一活動過程。3.1.24風(fēng)險識別riskidentification對潛在危害發(fā)現(xiàn)、確認、定義、描述的過程。3.1.25風(fēng)險分析riskanalysis分析風(fēng)險發(fā)生的可能性（概率）和后果嚴重性的過程。3.1.26風(fēng)險評價riskevaluation將風(fēng)險分析結(jié)果與預(yù)設(shè)風(fēng)險標準（如可接受風(fēng)險等級）對比并確定采取何種防控措施的過程。3.1.27風(fēng)險控制riskcontrol根據(jù)風(fēng)險評價的結(jié)果及加氫站生產(chǎn)運營的實際情況等，采取工程、技術(shù)、管理等方面措施，將風(fēng)險控制在可以接受范圍之內(nèi)的活動。3.1.28要求時危險失效概率probabilityofdangerousfailureondemand（PFD）當(dāng)受保護設(shè)備或受保護設(shè)備控制系統(tǒng)發(fā)出要求時,執(zhí)行規(guī)定安全功能的獨立保護層的安全不可用性。3.1.29初始事件initialevent使事故序列開始擴展所需的失效或錯誤的最小組合。注：一般由一個單獨的初始原因、多個原因或有使能條件的初始原因組成。有些情況下初始事件也可能是由同一時間發(fā)生的兩種不同初始原因構(gòu)成的。3.1.30獨立保護層independentprotectionlayer（IPL）能有效地防止場景向不期望的后果發(fā)展且與場景的初始事件或其他保護層的行動無關(guān)的一種設(shè)備、系統(tǒng)或行動。注:獨立保護層的有效性和獨立性可以被審查。獨立性表示保護層的執(zhí)行能力不會受到初始事件或其他保護層失效的影響。3.1.31風(fēng)險減少因子RiskReductionFactor（RRF）獨立保護層將特定場景原始風(fēng)險降低的倍數(shù)，即原始風(fēng)險與該保護層單獨作用時殘余風(fēng)險之比。3.1.32盡可能合理降低原則aslowasreasonablypractice（ALARP）在當(dāng)前的技術(shù)條件與合理的費用下，對風(fēng)險的控制要做到在合理可行的原則下“盡可能的低”。3.2縮略語下列縮略語適用于本文件。ALARP：最低合理可行（AsLowAsReasonablyPracticable）BPCS：基本過程控制系統(tǒng)(BasicProcessControlSystem）DC：診斷覆蓋率（diagnosticcoverage）FFS：合于使用評價（FitnessforService）FMECA：故障模式、影響和危害性分析（FailureMode,EffectsandCriticalityAnalysis）ETA：事件樹分析法（EventTreeAnalysis）FTA：故障樹分析（FaultTreeAnalysis）FAT：工廠驗收測試（factoryacceptancetesting）HFT：硬件故障裕度（hardwarefaulttolerance）HAZOP：危險和可操作性分析（HazardandOperabilityAnalysis）IOWs：完整性操作窗口（IntegrityOperateWindows）LOPA：保護層分析（LayerofProtectionAnalysis）MOC：變更管理（managementofchange）MTTR：平均恢復(fù)時間（meantimetorestoration）PFD：要求時的失效概率（probabilityofdangerousfailureondemand）PFH：每小時危險失效概率（probabilityofadangerousfailureperhour）PHA：工藝危害分析（ProcessHazardAnalysis）QRA：定量風(fēng)險評價（QuantitativeRiskAnalysis）RBD：基于風(fēng)險的設(shè)計（Risk-basedDesign）RBI：基于風(fēng)險的檢驗（Risk-basedInspection）RCA：根本原因分析（RootCauseAnalysis）RCM：以可靠性為中心的維修（Reliability-centeredMaintenance）SAT：現(xiàn)場驗收測試（siteacceptancetest）SFF：安全失效分數(shù)（safefailurefaction）SIF：安全儀表功能（SafetyInstrumentFunction）SIL：安全完整性等級評估（SafetyIntegrityLevel）4總體要求4.1加氫站風(fēng)險評估貫穿其全生命周期，在加氫站的立項、建造、運營及設(shè)備的設(shè)計、制造、安裝、修理、改造等各階段、各環(huán)節(jié)，應(yīng)根據(jù)實際需要開展風(fēng)險評估。4.2加氫站風(fēng)險評估應(yīng)符合國家相關(guān)法律、法規(guī)、安全技術(shù)規(guī)范、強制性標準的規(guī)定。4.3加氫站風(fēng)險評估應(yīng)該根據(jù)評估環(huán)節(jié)、評估對象、評估目的等選用適用的方法，以下是不同時機開展風(fēng)險評估的基本要求：a）在加氫站立項選址階段，需要針對加氫站整體進行風(fēng)險評估，通過風(fēng)險評估確定外部安全距離等，一般采用QRA方法；b）在加氫站工藝設(shè)計階段宜開展風(fēng)險評估，識別評估工藝流程、設(shè)備參數(shù)、操作條件中的危險，提出優(yōu)化改進措施，確保風(fēng)險被降低至可接受水平，可采用HAZOP、LOPA相結(jié)合的方法；c）針對儲氫設(shè)備，在設(shè)計階段應(yīng)開展RBD分析，識別設(shè)備失效模式，并提出相應(yīng)的防范措施；在使用階段宜定期開展RBI分析，優(yōu)化檢維修策略；在設(shè)計階段亦可開展RBI分析，提出檢維修策略，為編制使用說明書提供依據(jù)；d）針對壓縮機，在設(shè)計階段宜開展風(fēng)險評估，可采用FMECA方法，識別潛在的故障模式，評估其影響及危害性，并提出優(yōu)化改進措施，可采用HAZOP方法，識別工藝與操作中的危害，優(yōu)化安全防護系統(tǒng)設(shè)計；在使用階段，宜定期開展FMECA分析，優(yōu)化預(yù)防性維修策略；e）針對安全防護系統(tǒng)，宜開展功能安全評估，確保其具有足夠的安全功能和安全完整性等級，保證加氫站系統(tǒng)或設(shè)備在發(fā)生故障、失效等事件時仍能維持安全狀態(tài)。可采用HAZOP、LOPA相結(jié)合的方法，確定安全防護系統(tǒng)的各級防護層所需的降險等級。在設(shè)計制造階段，可采用SIL評估方法，對儀表聯(lián)鎖保護系統(tǒng)進行SIL定級、驗證，在使用階段，定期對儀表聯(lián)鎖保護系統(tǒng)進行SIL再評估，確保儀表聯(lián)鎖保護系統(tǒng)在全生命周期中滿足要求。f）對管路系統(tǒng)，宜通過風(fēng)險評估對不同閥門、不同管段進行風(fēng)險等級劃分，然后根據(jù)風(fēng)險等級采取相應(yīng)的工程、技術(shù)、管理措施；4.4加氫站使用過程中宜至少每三年開展一次全面的風(fēng)險評估，評估內(nèi)容包括：a）加氫站整體的HAZOP和LOPA分析；b）儲氫設(shè)備的RBI分析；c）氫氣壓縮機的FMECA分析；d）安全防護系統(tǒng)的功能安全評估；e）對管路系統(tǒng)風(fēng)險分級。4.5在運行過程中發(fā)生以下變更情況，導(dǎo)致加氫站的風(fēng)險特征發(fā)生改變時，應(yīng)按要求對加氫站重新開展風(fēng)險評估；a）對加氫站進行改建或擴建時，宜按照第4.2小節(jié)的要求開展一次全面的風(fēng)險評估；b）工藝或設(shè)備變更時。如更換儲氫設(shè)備、壓縮機、閥門等關(guān)鍵設(shè)備，或調(diào)整加注壓力、流量等工藝參數(shù)，應(yīng)重新開展風(fēng)險評估，重點評估新設(shè)備兼容性，操作參數(shù)變化是否引發(fā)泄漏或爆炸等風(fēng)險；e）加氫站發(fā)生事故或設(shè)備發(fā)生故障后。如發(fā)生氫氣泄漏、火災(zāi)、爆炸或設(shè)備故障，應(yīng)重新評估風(fēng)險，分析事故原因，改進應(yīng)急預(yù)案和防護措施；f）法律法規(guī)或標準更新。新發(fā)布的法規(guī)標準可能要求加氫站調(diào)整現(xiàn)有設(shè)施或操作流程，需重新評估合規(guī)性；g）周邊環(huán)境變化。如加氫站附近新建學(xué)校、居民區(qū)、商場等人員密集場所，應(yīng)重新開展風(fēng)險評估，重點評估安全距離、應(yīng)急疏散方案等；h）極端天氣或自然災(zāi)害。如發(fā)生地震、洪水、臺風(fēng)等，可能破壞設(shè)備或管道，應(yīng)評估抗災(zāi)能力，制定加固和應(yīng)急響應(yīng)措施；i）安全檢查中發(fā)現(xiàn)重大隱患。如發(fā)現(xiàn)儲氫罐焊縫開裂、安全閥失效、氣體探測器故障等，應(yīng)重新開展風(fēng)險評估，重點評估風(fēng)險等級并制定整改方案；j）應(yīng)急演練后發(fā)現(xiàn)問題。如演練中暴露預(yù)案漏洞，需通過風(fēng)險評估優(yōu)化應(yīng)急流程；k）新技術(shù)或新材料應(yīng)用。如引入采用新的加注技術(shù)，新的數(shù)字化監(jiān)控系統(tǒng)，應(yīng)重新評估其潛在風(fēng)險及與傳統(tǒng)系統(tǒng)的兼容性。4.6風(fēng)險評估的要素包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險控制。a）風(fēng)險識別。風(fēng)險識別是通過系統(tǒng)性方法，揭示潛在風(fēng)險的本質(zhì)來源、觸發(fā)條件及其與目標的關(guān)聯(lián)性，具體操作時，一般是將加氫站拆解為多個子系統(tǒng)，然后逐層識別出危害、危險、危險源、危害因素。加氫站的風(fēng)險識別應(yīng)聚焦于氫氣的易燃、易爆、高壓的特性，面向卸載、壓縮、儲存、加注作業(yè)、設(shè)備維護等關(guān)鍵工藝環(huán)節(jié)，主要方法有ETA，F(xiàn)TA、RCA等。b）風(fēng)險分析。風(fēng)險分析是對風(fēng)險發(fā)生的可能性（概率）和后果嚴重性進行分析計算的過程，分為定性分析、定量分析、半定量分析，定性分析是通過主觀判斷和非數(shù)值化分析風(fēng)險的方法，是基于專家經(jīng)驗、歷史數(shù)據(jù)和邏輯推理分析風(fēng)險的概率和后果。定量風(fēng)險分析是通過數(shù)學(xué)模型、統(tǒng)計方法和數(shù)據(jù)工具對風(fēng)險的發(fā)生概率及潛在影響進行量化評估的方法。半定量方法是介于定性方法和定量方法之間的方法。c）風(fēng)險評價。風(fēng)險評價是在風(fēng)險識別與分析的基礎(chǔ)上，對風(fēng)險進行分類、分級，并判定風(fēng)險的可接受性、可容忍性與優(yōu)先級，目標是確定哪些風(fēng)險需要處理、哪些可以接受，為制定應(yīng)對策略提供依據(jù)，并指導(dǎo)資源分配。風(fēng)險評價的基本原理是將風(fēng)險分析的結(jié)果與風(fēng)險準則進行對比。d）風(fēng)險控制。風(fēng)險控制是在風(fēng)險識別、分析和評價的基礎(chǔ)上，采取針對性措施降低風(fēng)險發(fā)生概率或減輕其負面影響的過程。其目標是確保風(fēng)險處于組織可接受范圍內(nèi)，保障目標順利實現(xiàn)。風(fēng)險控制的具體措施包括工程技術(shù)措施、本質(zhì)安全設(shè)計、失效防控措施（如泄漏防控措施、爆炸防控措施等）、管理措施、操作規(guī)范、人員培訓(xùn)、應(yīng)急準備。4.7風(fēng)險評估應(yīng)符合以下準則：4.7.1加氫站在進行量化風(fēng)險評估前，應(yīng)確定風(fēng)險可接受標準值。確定風(fēng)險可接受標準時應(yīng)遵循如下原則：a）風(fēng)險可接受標準應(yīng)具有一定的社會認同基礎(chǔ)，能夠被政府和公眾所接受；b）重大危害對員工個人或公眾成員造成的風(fēng)險不應(yīng)顯著增加人們?nèi)粘Ｉ钪幸呀?jīng)存在的風(fēng)險；c）風(fēng)險可接受標準應(yīng)和社會經(jīng)濟發(fā)展水平相適應(yīng)，并適時更新；d）應(yīng)考慮企業(yè)內(nèi)部和企業(yè)外部個體風(fēng)險的差異。4.7.2風(fēng)險可接受標準值加氫站屬于?；穬Υ嬖O(shè)施，其風(fēng)險可接受標準應(yīng)滿足GB36894的要求，風(fēng)險應(yīng)考慮個人風(fēng)險和社會風(fēng)險。a）個人風(fēng)險是假設(shè)人員長期處于某一場所且無保護,由于發(fā)生危險化學(xué)品事故而導(dǎo)致的死亡頻率,單位為次每年。個人風(fēng)險應(yīng)在標準比例尺地理圖上以等值線的形式給出，可接受的風(fēng)險標準值如表4.1所示。表4.1我國個人可接受風(fēng)險標準值防護目標個人可接受風(fēng)險標準（概率值）新建裝置（每年）≤在役裝置（每年）≤低密度人員場所(人數(shù)<30人):單個或少量暴露人員。1×10-53×10-5居住類高密度場所(30人≤人數(shù)<100人):居民區(qū)、賓館、變假村等。公眾聚集類高密度場所(30人s人數(shù)<100人):辦公場所、商場、飯店、娛樂場所等。3×10-61×10-5高敏感場所:學(xué)校、醫(yī)院、幼兒園、養(yǎng)老院、監(jiān)獄等。重要目標:軍事禁區(qū)、軍事管理區(qū)、文物保護單位等。特殊高密度場所(人數(shù)≥00人):大型體育場、交通樞紐、露天市場、居住區(qū)、賓館、度假村、辦公場所、商場、飯店、娛樂場所。3×10-73×10-6注：引自GB36894b）社會風(fēng)險是群體(包括周邊企業(yè)員工和公眾)在危險區(qū)域承受某種程度傷害的頻發(fā)程度,通常表示為大于或等于N人死亡的事故累計頻率(F),以累計頻率和死亡人數(shù)之間關(guān)系的曲線圖(F-N曲線)來表示。社會風(fēng)險應(yīng)繪制F-N曲線，可接受的風(fēng)險標準值如圖4.1所示。注：引自GB36894圖4.1社會風(fēng)險可接受標準值5加氫站QRA分析5.1通則5.1.1定量風(fēng)險評價（QRA）是采用定量化的概率風(fēng)險值（如個人風(fēng)險和社會風(fēng)險）對系統(tǒng)的危險性進行描述的風(fēng)險評價方法。在加氫站設(shè)計、運營階段，可用QRA方法分析和確定氫氣泄漏引起的火災(zāi)、爆炸等安全問題。5.1.2定量風(fēng)險評價的目標是判斷系統(tǒng)當(dāng)前的安全狀態(tài)，確定加氫站與周邊防護目標之間的最小安全間距，然后再通過采取降低風(fēng)險的措施，將風(fēng)險控制到可接受水平，確保個人風(fēng)險和社會風(fēng)險符合國家標準（GB36894）的可接受基準。5.1.3加氫站QRA分析的內(nèi)容一般包括：a）個人風(fēng)險。一般考慮以下三方面：加氫站內(nèi)部員工面臨的風(fēng)險，也稱為職業(yè)風(fēng)險；加氫的顧客如司機和乘客等面臨的風(fēng)險；加氫站周邊道路行人或居民等面臨的風(fēng)險，也稱為站外風(fēng)險。b）社會風(fēng)險。社會風(fēng)險是對個人風(fēng)險的補充，指在個人風(fēng)險確定的基礎(chǔ)上，考慮到危險源周邊區(qū)域的人口密度，以免發(fā)生群死群傷事故的概率超過社會公眾的可接受范圍。通常用F-N曲線表示。5.1.4加氫站QRA分析應(yīng)符合GB/T37243、AQ/T3046標準的基本要求。5.2分析步驟加氫站QRA分析應(yīng)按圖5-1所示的步驟。圖5-1加氫站定量風(fēng)險評價（QRA）流程圖5.3主要步驟及基本要求5.3.1資料數(shù)據(jù)收集a）基礎(chǔ)數(shù)據(jù)收集。應(yīng)根據(jù)評價的目標和深度確定所搜集的資料數(shù)據(jù)，包括但不限于：危害信息；設(shè)計和運行數(shù)據(jù)；減緩控制系統(tǒng)；管理系統(tǒng)；自然條件；歷史數(shù)據(jù)；人口數(shù)據(jù)等。b）人口數(shù)據(jù)統(tǒng)計。人口數(shù)據(jù)的收集應(yīng)根據(jù)加氫站事故狀態(tài)下可能影響的最大范圍，確定人口統(tǒng)計的地域邊界。c）點火源數(shù)據(jù)統(tǒng)計。應(yīng)對加氫站的工藝條件、裝置設(shè)施，平面布置等進行分析，并結(jié)合現(xiàn)場調(diào)研，根據(jù)事故狀態(tài)下可能影響的最大范圍辨識潛在點火源，統(tǒng)計點火源的名稱、種類、方位、數(shù)目以及出現(xiàn)的概率等要素。5.3.2危險識別和泄漏場景識別a）按照GB/T37243第6.4小節(jié)的規(guī)定對加氫站進行系統(tǒng)的危險源辨識，識別可能對人造成急性傷亡或?qū)ξ镌斐赏话l(fā)性損壞的危險，確定其存在的部位、方式及發(fā)生作用的途徑和變化規(guī)律。危險源辨識可采用HAZOP、LOPA、FTA、ETA等系統(tǒng)化方法。b）對泄漏場景的設(shè)定應(yīng)同時滿足以下兩個條件：泄漏發(fā)生概率≥10-8次/年；至少導(dǎo)致1%的致死概率。c）泄漏場景根據(jù)泄漏孔徑大小可分為完全破裂、孔泄漏兩大類，各泄漏孔徑的取值范圍和代表值可按照附錄A.1選取。5.3.3事故概率分析a）泄漏頻率可按照附錄A中表A-3~A-7的規(guī)定選取，同時應(yīng)考慮以下事項：使用工業(yè)失效數(shù)據(jù)庫時，應(yīng)確保泄漏場景與失效數(shù)據(jù)場景的基本假設(shè)相一致；使用加氫站歷史數(shù)據(jù)時，應(yīng)保證該歷史數(shù)據(jù)充足并具有統(tǒng)計意義；應(yīng)謹慎使用供應(yīng)商提供的數(shù)據(jù)。b）點火概率按以下原則選取：立即點火概率：數(shù)據(jù)選取可以參照附錄A中表A-8確定。延遲點火概率：結(jié)合點火源類型及存在概率確定，可根據(jù)式(5.2)計算：Pt=Ppresent(1?e?ωt式中：P(t)—0~t時間內(nèi)發(fā)生點火的概率；Ppresent—點火源存在的概率；ω—點火源的點火概率，與點火源的特性有關(guān)，s-1。ω可根據(jù)點火源在某一時間內(nèi)的點火概率計算得出，對加氫站常見點火源在1min內(nèi)的點火概率見附錄A中表A-9；t—時間，sc）事故鏈概率，可以通過事件樹分析（ETA）、故障樹分析（FTA）、動態(tài)貝葉斯網(wǎng)絡(luò)(Bow-tie)等評估事故發(fā)展的可能性。5.3.4事故后果分析氫氣泄漏氫氣泄漏計算在選擇源項和氣云擴散模型時，應(yīng)考慮泄漏氫的物態(tài)、溫度、壓力等特性。氫氣泄漏的具體計算方法參見附錄A.2.1和A.2.2節(jié)。氫氣擴散計算氫氣的擴散，應(yīng)至少考慮射流和大氣擴散兩種情況。建筑物內(nèi)或撬裝設(shè)備殼體內(nèi)的容器、換熱器、壓縮機和管道等設(shè)備泄漏，應(yīng)考慮建筑物、撬裝外殼對擴散的影響。計算擴散時，天氣條件宜考慮不同的大氣穩(wěn)定度和風(fēng)速。當(dāng)使用Pasquill-Gifford擴散模型時時，大氣狀況可以根據(jù)六種不同的穩(wěn)定度等級進行分類，其中對于白天或夜晚多云的情況以及日落前或日出后數(shù)小時的任何天氣狀況，無論風(fēng)速多大，都應(yīng)使用中性穩(wěn)定等級D。氫氣擴散的具體計算方法見附錄A.2.3節(jié)?；馂?zāi)和爆炸對于氫泄漏（釋放）應(yīng)考慮發(fā)生火球、噴射火、蒸氣云爆炸及閃火等火災(zāi)、爆炸場景。具體場景與氫的特性、儲存參數(shù)、泄漏類型、點火類型等有關(guān)，可采用事件樹方法確定氫釋放后，各種事件發(fā)生的類型及概率。氫釋放后的事件樹參見GB/T37243附錄F中的圖F.1~圖F.4。氫泄漏后立即點火的概率參見附錄表A-8；延遲點火的點火概率按照附錄表A-9規(guī)定計算；噴射火的計算方法參見附錄A.2.4；氫氣云爆炸產(chǎn)生的沖擊波超壓，計算方法參見附錄C.2.5。暴露影響暴露在氫氣泄漏造成的熱輻射和超壓的事故場景下，死亡概率的計算按照GB/T37243中6.6.7節(jié)規(guī)定執(zhí)行。5.3.5定量風(fēng)險計算定量風(fēng)險計算包括個人風(fēng)險和社會風(fēng)險兩方面。個人風(fēng)險可用繪制在標準比例尺地理圖上的個人風(fēng)險等值線表示，個人風(fēng)險等值線對應(yīng)的死亡概率不宜小于10-8次/年。社會風(fēng)險可用F-N曲線(frequency-numbercurve)（圖4.1）表示。個人風(fēng)險和社會風(fēng)險的計算方法按照附錄A.2.7節(jié)規(guī)定執(zhí)行。5.4加氫站QRA分析示例加氫站QRA分析示例見附錄A.3。6加氫站HAZOP分析6.1通則6.1.1采用HAZOP方法，可以分析發(fā)現(xiàn)加氫站系統(tǒng)中的漏洞，找出可能引起危險（包括泄漏、爆炸、火災(zāi)等）和操作異常（設(shè)備故障、失效等）的潛在問題，提出改進措施，為改進工藝流程、設(shè)備設(shè)計或控制系統(tǒng)與完善安全防護系統(tǒng)的安全功能提供指導(dǎo)和依據(jù)。6.1.2HAZOP分析的原理是：先將工藝系統(tǒng)按一定的規(guī)則劃分為若干子系統(tǒng)（節(jié)點），然后由分析團隊通過召開會議進行“頭腦風(fēng)暴”式討論，借助引導(dǎo)詞+相關(guān)參數(shù)，對每一節(jié)點進行“遍歷”，找出偏離設(shè)計意圖的事故劇情。6.1.3在新建加氫站完成第1版的P&ID圖紙時，宜開展HAZOP分析,通過HAZOP分析優(yōu)化工藝流程和安全防護系統(tǒng)的設(shè)計。在加氫站投入運行后，在初期階段6-12個月內(nèi)，由于可能發(fā)生較多的變更，宜開展1次HAZOP分析，后面當(dāng)工藝系統(tǒng)發(fā)生變更后，宜對變更的部分進行HAZOP分析。6.1.4加氫站HAZOP分析應(yīng)滿足GB/T35320、AQ/T3049的基本要求。6.2分析流程HAZOP分析可按如圖6-1所示的流程實施。圖6-1HAZOP分析流程6.3主要步驟及基本要求6.3.1組建分析團隊HAZOP應(yīng)組建分析團隊（分析小組），分析團隊（分析小組）的知識、經(jīng)驗和協(xié)作是HAZOP的關(guān)鍵所在，團隊的專業(yè)性、協(xié)作性和系統(tǒng)性直接影響分析結(jié)果的全面性和可靠性。HAZOP分析團隊應(yīng)由業(yè)主與服務(wù)商（包括建造、運營、設(shè)計等方面）的人員組成，一般應(yīng)包括以下成員：a）分析組長；b）記錄員；c）設(shè)計工程師；d）工藝工程師；e）設(shè)備工程師，包括動、靜、電、儀方面的專家；f）設(shè)備操作維護專家/代表；g）用戶（建設(shè)單位或運營單位的人員）；h）其它（根據(jù)需要參與）。6.3.2分析前準備HAZOP分析應(yīng)做好準備工作，準備工作的內(nèi)容主要包括：a）制定分析計劃和進度。具體內(nèi)容包括：分析目標和范圍；分析成員名單；詳細的技術(shù)資料與參考資料的清單；會務(wù)安排（含會議日期、次數(shù)和地點等）；要求的記錄格式；分析中可能適用的模板。b）收集分析需要的技術(shù)資料，包括但不限于：加氫站建設(shè)地自然條件；氫氣的危險化學(xué)品安全技術(shù)說明書數(shù)據(jù)；工藝設(shè)計資料。主要包括：——工藝流程圖(PFD）；——管道及儀表流程圖(P&ID）；——工藝流程說明；——操作規(guī)程；——界區(qū)條件表；——平面布置圖；——爆炸危險區(qū)域劃分圖；——控制系統(tǒng)聯(lián)鎖邏輯圖及說明文件；——消防系統(tǒng)的設(shè)計依據(jù)及說明；——公用工程系統(tǒng)的設(shè)計依據(jù)及說明；——工藝參數(shù)的安全操作范圍；——對設(shè)計所依據(jù)的各項標準或引用資料的說明；——加氫站事故案例；——其他相關(guān)的工藝技術(shù)信息資料。設(shè)備設(shè)計資料。包括：——設(shè)備和管道數(shù)據(jù)表；——安全閥等安全附件的規(guī)格書和相關(guān)文件；——自控系統(tǒng)的聯(lián)鎖配置資料或相關(guān)的說明文件；——安全設(shè)施設(shè)計資料；——其他相關(guān)資料；操作運行及檢驗檢測資料。包括：——相關(guān)分析評價的報告；——相關(guān)的技改、技措等變更記錄和檢維修記錄；——加氫站事故記錄及事故調(diào)查報告；——加氫站現(xiàn)行操作規(guī)程和規(guī)章制度；——其他的資料。6.3.3開展分析HAZOP按以下步驟進行分析：a）確定引導(dǎo)詞和偏離對引導(dǎo)詞應(yīng)建立清單，引導(dǎo)詞應(yīng)完整、適宜，不能太具體，也不能太籠統(tǒng)，太具體和專業(yè)可能限制思路和討論，但過于籠統(tǒng)則可能無法精確聚焦分析要點。HAZOP分享你常用的引導(dǎo)詞和偏離見表6-1。表6-1 HAZOP分析常用引導(dǎo)詞和偏離偏離類型否定數(shù)量改變性質(zhì)改變替代時間順序或步序引導(dǎo)詞負無多少伴隨部分反向異常早晚前后b）劃分節(jié)點通過節(jié)點劃分，對復(fù)雜或高危險的系統(tǒng)劃分成較小的節(jié)點，對簡單或低危險的系統(tǒng)分成較大的節(jié)點，可以提高分析效率，減少分析漏洞。節(jié)點劃分的范圍要適度，不能太大，也不能太小。對于連續(xù)的工藝操作過程，可按工藝單元進行節(jié)點劃分；對于間歇性的操作過程，可按操作步驟進行節(jié)點劃分。加氫站可按以下兩種方式進行節(jié)點劃分：可以按照管線和設(shè)備進行劃分，即把每一根管線作為節(jié)點，把每一個設(shè)備也作為節(jié)點，這樣劃分的優(yōu)點是得出的HAZOP分析結(jié)果非常詳細，缺點是可能導(dǎo)致節(jié)點較多，從而使得HAZOP報告的可讀性較差，原因、后果、措施、建議等問題的討論經(jīng)常在節(jié)點外。可按照裝置的工藝功能進行劃分，即以潛在危險源的類別為主劃分節(jié)點，將具有共同危險性及有害因素的裝置劃分為同一個單元節(jié)點。根據(jù)加氫站的構(gòu)成及流程，一般可以將其劃分為氫氣卸車系統(tǒng)、氫氣增壓系統(tǒng)、氫氣儲存系統(tǒng)、氫氣加注系統(tǒng)。c）設(shè)計意圖描述對分析的系統(tǒng)和節(jié)點的設(shè)計意圖進行準確、全面、完整、充分的描述，是開展HAZOP分析的先決條件，設(shè)計意圖可以通過要素和參數(shù)來描述，要素體現(xiàn)節(jié)點的基本特性，包括處理的介質(zhì)、開展的活動、所使用的設(shè)備等，參數(shù)是要素定量或定性的性質(zhì)。加氫站主要子系統(tǒng)的設(shè)計意圖描述示例如下：氫氣卸車系統(tǒng)。設(shè)計意圖是：將氫氣運輸車輛卸載的氫氣輸送到氫氣壓縮系統(tǒng)，輸送的流量、出口壓力不得超過壓縮機的允許值，氫氣不得反向流動；氫氣增壓系統(tǒng)。設(shè)計意圖是：將卸氣柱輸送來的氫氣進行壓縮，進出口壓力、溫度、流量不得超過允許值；氫氣儲存系統(tǒng)。設(shè)計意圖是：將壓縮機增壓后的氫氣儲存起來，儲存壓力不得超過允許值，需要時輸送至加注系統(tǒng)；氫氣加注系統(tǒng)。設(shè)計意圖是：將氫氣儲存系統(tǒng)的氫氣向氫燃料電池汽車加注，加注的壓力、溫度、流量不得超出允許值。d）偏離分析針對劃分的節(jié)點，將其要素/參數(shù)與引導(dǎo)詞組合起來，形成矩陣，綜合分析各種可能的事故劇情。參數(shù)和要素應(yīng)覆蓋設(shè)計意圖所有相關(guān)方面，引導(dǎo)詞應(yīng)能引導(dǎo)出所有的偏離，以便系統(tǒng)、全面的識別出各種異常工況。e）后果識別分析確定了所有的偏離后，下一步是對每一偏離造成的后果進行分析，可能的后果包括爆炸、火災(zāi)、設(shè)備損壞、停車、負面社會影響等。后果分析應(yīng)忽略現(xiàn)有的安全措施，即假設(shè)任何已有的安全防護措施以及管理措施都失效，從而保證能分析出的是偏離所導(dǎo)致的最終不利后果，而非中間后果，例如不宜將“安全閥動作”、“壓縮機停機”作為后果。后果應(yīng)是對人員傷亡、財產(chǎn)損失、環(huán)境影響等影響的詳細描述。f）原因分析對偏離產(chǎn)生的原因進行分析，可根據(jù)實際情況及實際需要分析直接原因、根原因、起作用的原因、初始原因。g）現(xiàn)有安全措施分析針對某一事故劇情，分析其設(shè)計已經(jīng)確定采用或已經(jīng)實際投用或執(zhí)行的措施。h）風(fēng)險等級評估評估風(fēng)險等級是HAZOP分析的重要內(nèi)容，HAZOP分析需要判斷一個危險劇情的現(xiàn)有安全措施是否將風(fēng)險降低到可接受水平，如果風(fēng)險處于可接受的范圍，則HAZOP對該危險劇情的分析終止，如果風(fēng)險超出可接受范圍，需要提出新的建議措施。HAZOP的風(fēng)險評估一般是定性的判斷，量化的判斷通常需要后續(xù)的LOPA分析得出。i）提出建議措施對于某一危險劇情的風(fēng)險不可接受的，分析團隊應(yīng)提出建議措施，建議措施可以是改進設(shè)計、操作規(guī)程、增加或減少安全防護措施，或進一步進行分析研究，建議措施應(yīng)是有效的、可度量的、可以接受的。6.3.4分析記錄和報告HAZOP過程應(yīng)文檔化和過程可追溯，HAZOP分析組長負責(zé)確保為每一個會議生成合適的記錄，記錄員宜具備在被分析領(lǐng)域的技術(shù)知識和語言能力，以準確領(lǐng)會被關(guān)注的要點細節(jié)，對分析結(jié)果應(yīng)形成報告。a）記錄記錄員負責(zé)對每一次會議進行記錄，對分析討論過程提煉出恰當(dāng)?shù)慕Y(jié)果，記錄所有重要信息。記錄通常采用表格形式，表格格式應(yīng)在會前由分析組長提出。b）報告HAZOP分析報告一般包括以下部分：封面。包括編制人、編制日期、版次等；目錄；正文。至少包括以下內(nèi)容：——工藝描述；——項目概述；——HAZOP分析程序；——HAZOP分析團隊人員信息；——分析范圍；——分析目標和節(jié)點劃分；——風(fēng)險可接受標準；——總體性建議；——建議措施說明。附件。至少包括：帶有節(jié)點劃分的P&ID、建議措施匯總表、技術(shù)資料清單、分析記錄表。6.4分析結(jié)果示例附錄B給出了某加氫站HAZOP分析結(jié)果示例。7加氫站LOPA分析7.1通則7.1.1LOPA分析是在定性危害分析的基礎(chǔ)上，進一步評估保護層的有效性，并進行風(fēng)險決策，LOPA一般都和HAZOP配合使用，是在HAZOP分析之后進行補充分析。7.1.2LOPA分析的目標是對危險場景（事故劇情）做進一步的準確表述，識別出獨立保護層，確定危險場景的頻率和后果嚴重度，評估現(xiàn)有的保護層是否足夠?qū)L(fēng)險降低到可接受的水平，如果不能，確定需要增加的的保護層及保護層的SIL等級（針對安全儀表系統(tǒng)），評估增加新的保護層后風(fēng)險可以降低到什么水平，從而最終達到優(yōu)化安全措施，提升系統(tǒng)安全性、可靠性水平的目的。LOPA分析還可以識別過程中安全關(guān)鍵設(shè)備及操作人員關(guān)鍵安全行為和關(guān)鍵安全響應(yīng)，為分級分類管理提供依據(jù)。7.1.3LOPA分析可以利用HAZOP分析結(jié)果以及采用AQ/T3034中的工藝危害分析方法進行危害分析的結(jié)果、事故分析結(jié)果、工藝變更分析、其他危害分析結(jié)果等，這種情況下開展LOPA分析，應(yīng)首先對定性危害分析的結(jié)果進行審核。7.1.4加氫站LOPA分析應(yīng)符合GB/T32857、GB/T45111、AQ/T3054等標準的基本要求。7.2分析流程LOPA分析可按如圖7.1所示的流程實施。注：圖中虛線框所含內(nèi)容不在本節(jié)文件范圍內(nèi)圖7.1LOPA工分析流程7.3主要步驟及基本要求7.3.1組建分析團隊LOPA分析團隊（分析小組）可與HAZOP分析共用一個團隊。也可重新組建團隊開展LOPA分析，分析團隊由分析組長、分析秘書和分析成員組成，小組成員宜為6人~9人，其中運行單位和設(shè)計單位宜4人~6人，分析單位宜2人~3人，對人員的專業(yè)、從業(yè)經(jīng)驗、資質(zhì)要求參照GB/T45111的規(guī)定。7.3.2分析前準備LOPA分析主要是通過會議討論的方式開展工作，需要做好的準備工作主要包括做好會議計劃、收集相關(guān)資料、制定風(fēng)險評價準則等。a）資料收集需要收集的資料主要包括：危險與風(fēng)險分析報告(如HAZOP報告）；工藝流程圖(PFD）、P&.ID；設(shè)計/工藝說明；安全聯(lián)鎖功能列表或功能說明；安全聯(lián)鎖邏輯因果圖；管道及材料數(shù)據(jù)表（壓力等級等相關(guān)參數(shù)）；設(shè)備數(shù)據(jù)表（儲氫容器、壓縮機、加氫機、安全閥等的基礎(chǔ)數(shù)據(jù)，包括設(shè)計參數(shù)）；設(shè)備結(jié)構(gòu)圖；設(shè)備布置圖；操作規(guī)程；檢維修規(guī)程；加氫站事故分析報告；工藝變更評估報告；其它需要的資料。b）制定風(fēng)險評價準則LOPA分析需要評估確定危險場景的頻率和后果嚴重度，并評價其是否可接受（或容忍），需要制定相應(yīng)的評價準則，可接受風(fēng)險評價準則由企業(yè)根據(jù)其實際需要和情況制定，但應(yīng)保證不低于國家相關(guān)法規(guī)文件或標準，個人風(fēng)險和社會風(fēng)險基準執(zhí)行GB36894。加氫站LOPA分析可參照附錄C.1進行嚴重度等級和確定可接受頻率。7.3.3開展分析a）風(fēng)險點識別確認風(fēng)險點是指在系統(tǒng)、工藝、設(shè)備或操作過程中可能引發(fā)風(fēng)險（即潛在危害或不良后果）的具體位置、環(huán)節(jié)、活動或因素，是危險劇情中的關(guān)鍵因素，例如，儲氫容器的氫脆、疲勞失效，隔膜壓縮機的隔膜破裂，連接接頭的泄漏等是加氫站的風(fēng)險點。可根據(jù)HAZOP分析結(jié)果，并結(jié)合P&.ID、工藝說明及設(shè)計人員經(jīng)驗，識別需要關(guān)注的高風(fēng)險點和重要控制點，高風(fēng)險點和重要控制點是HAZOP分析中引起偏離的原因中的可能引起高風(fēng)險的原因。風(fēng)險點的分析是LOPA下一步進行危險場景識別和篩選的基礎(chǔ)。b）危險場景識別和篩選危險場景與風(fēng)險點相對應(yīng)，是由初始事件觸發(fā)，經(jīng)過中間事件，最終導(dǎo)致后果的某一特定事件，場景具有獨立性、完整性、可追溯性,危險場景識別和篩選可以參考GB/T45111中節(jié)，危險場景描述的的要素包括導(dǎo)致場景發(fā)生的初始事件、該事件繼續(xù)發(fā)展過程中的中間事件、該場景所導(dǎo)致的最終后果、使能事件或使能條件、防護措施失效及其它可能的修正因子。加氫站初始事件的主要類別參見附錄C.2表C-5，中間事件的類別參見附錄C.2表C-6，使能條件的主要類別參見附錄C.2表C-7。c）保護層識別確認針對每一危險場景，為了將其風(fēng)險降低到可接受范圍內(nèi)，其所需要的安全措施通常都是多層次的。安全保護層由一組設(shè)備和/或管理措施組成，每個保護層都有一定的降險能力，其中的一層失效，其余層仍可防止事故發(fā)生和降低事故影響。保護層分為獨立保護層、非獨立保護層。LOPA分析的根本目的在于判斷系統(tǒng)的保護層是否足夠，是否需要增加保護層。保護層的識別確認可以參考GB/T45111中節(jié)-1節(jié)，典型的保護層的描述及相關(guān)說明見附錄C表C-8。d）風(fēng)險評估風(fēng)險評估可以參考GB/T45111中2和3節(jié)，內(nèi)容包括危害場景后果及嚴重度評估、危害場景發(fā)生頻率計算，場景發(fā)生頻率在確定了初始時間的發(fā)生頻率、保護層PFD（要求時的失效概率）及條件修正因子基礎(chǔ)上按計算得到。加氫站風(fēng)險評估可參照附錄C表C-9確定典型獨立保護層的PFD（要求時的失效概率）值（引自T/CPI65001）。e）評估結(jié)果及處理措施對計算得到的選定場景的頻率，與企業(yè)制定的風(fēng)險評價準則中的相關(guān)事件的可接受頻率進行比較，或采用式（7-2）計算計算風(fēng)險減少因子（RiskReductionFactor，RRF）。 (7-1）式中：f—后果發(fā)生頻率；f—可容忍風(fēng)險頻率。若RRF<1，對該場景的LOPA分析結(jié)束，繼續(xù)下一場景的LOPA分析。若RRF≥1，應(yīng)提出滿足可容許風(fēng)險標準所需采取的措施，并確定擬采取措施的PFD，以將風(fēng)險隆低到可容許風(fēng)險之下f）記錄和報告LOPA應(yīng)文檔化，完整、準確地記錄場景評估過程中獲得的信息并形成報告。記錄和報告可以參考GB/T45111中6.2.4節(jié)。7.4分析結(jié)果示例附錄C.3給出了加氫站LOPA分析示例。8儲氫容器RBD評估8.1通則8.1.1儲氫容器設(shè)計時，設(shè)計單位應(yīng)進行風(fēng)險評估，出具風(fēng)險評估報告，并作為設(shè)計文件的必要組成部分向設(shè)計委托方提供。8.1.2設(shè)計階段開展RBD的目標是識別設(shè)備在全生命周期各種工況條件下可能產(chǎn)生的失效模式，在材料選擇、結(jié)構(gòu)設(shè)計、制造檢驗、使用管理等方面提出安全措施，預(yù)防可能發(fā)生的失效，并提供給制造單位和使用單位，作為制定風(fēng)險防控措施及事故應(yīng)急預(yù)案的依據(jù)。8.1.3儲氫容器RBD應(yīng)滿足TSG21、GB/T4732.1、相應(yīng)產(chǎn)品標準（如GB/T44457）及用戶或設(shè)計委托方提供的設(shè)計條件的要求。8.2評估流程RBD按以下程序?qū)嵤篴）根據(jù)用戶設(shè)計條件和其他設(shè)計輸入信息，確定設(shè)備的各種使用工況；b）根據(jù)各使用工況的介質(zhì)、操作條件、環(huán)境因素進行危害識別，確定設(shè)備的失效模式及可能發(fā)生的危害與后果；c）針對所有的失效模式及其相應(yīng)的危害，提出應(yīng)采取的安全保障措施和依據(jù)；d）對于可能發(fā)生的失效模式，給出制定事故應(yīng)急預(yù)案所需要的信息；e）形成完整的風(fēng)險評估報告。8.3失效模式識別8.3.1儲氫容器RBD考慮的失效模式應(yīng)全面，除了應(yīng)覆蓋GB/T44457等標準規(guī)定的失效模式外，還應(yīng)考慮設(shè)備在運行過程中可能出現(xiàn)的其他失效模式。8.3.2失效模式識別的內(nèi)容一般包括對失效現(xiàn)象、失效機理、失效原因、失效后果（影響）等基本要素的識別，必要時還應(yīng)包括對失效概率、失效檢測方法等的識別,。8.3.3儲氫容器的失效模式包括但不限于塑性垮塌、脆性斷裂、局部過度應(yīng)變、疲勞斷裂、接頭泄漏、腐蝕失效、環(huán)境致裂,各類模式的現(xiàn)象、機理、原因、后果參見附錄D。8.4風(fēng)險控制措施識別出失效模式后，對可能的失效模式，應(yīng)從設(shè)計、制造、使用管理、檢驗檢測、維護保養(yǎng)等多角度考慮，提出相應(yīng)的風(fēng)險防控措施。塑性垮塌、脆性斷裂、疲勞斷裂、接頭泄漏、腐蝕失效、環(huán)境致裂失效模式的常用風(fēng)險防控措施參見附錄D。8.5評估報告風(fēng)險評估報告應(yīng)至少包括:a）儲氫容器的基本設(shè)計參數(shù)：壓力、溫度、材料、介質(zhì)性質(zhì)和外載荷等;b）操作工況條件的描述；c）所有操作、設(shè)計條件下可能發(fā)生的危害，如爆炸、泄漏、破損、變形等；d）對于標準已經(jīng)有規(guī)定的失效模式，說明采用標準的條款；e）對于標準沒有規(guī)定的失效模式，說明設(shè)計中載荷、安全系數(shù)和相應(yīng)計算方法的選取依據(jù)；f）對介質(zhì)少量泄漏、大量涌出和爆炸狀況下如何處置的措施；g）根據(jù)周圍人員的可能傷及情況，規(guī)定合適的人員防護設(shè)備和措施；h）風(fēng)險評估報告應(yīng)具有與設(shè)計圖紙一致的簽署。9儲氫容器RBI評估9.1通則9.1.1RBI的原理是通過對設(shè)備進行失效可能性和后果計算，然后根據(jù)失效可能性和失效后果的乘積情況劃分設(shè)備風(fēng)險等級。在加氫站建設(shè)、運營階段宜開展RBI評估，不同階段的目標如下：a）建設(shè)階段：識別設(shè)備損傷機理，指導(dǎo)設(shè)備選材；優(yōu)化工藝及安全狀態(tài)監(jiān)測位置、內(nèi)容等。b）運營階段：分析損傷機理，識別設(shè)備風(fēng)險，明確重點關(guān)注部位、部件；優(yōu)化設(shè)備檢驗策略，包括檢驗項目、檢驗方法、檢驗周期等；確定與優(yōu)化維護保養(yǎng)策略。9.1.2本文件是在參照GB/T26610基礎(chǔ)上，考慮了加氫站儲氫容器的具體特點建立的RBI評估方法，例如考慮了儲氫容器的常溫高壓氫脆及瓶式儲氫容器的鼓包、凹陷等損傷對失效可能性的影響。9.1.3加氫站儲氫容器風(fēng)險以相對風(fēng)險確定等級，風(fēng)險可以用式（9.1）的數(shù)學(xué)形式表達：Rrisk=F×C（9.1）式中:Rrisk——風(fēng)險；F——失效可能性；C——失效后果，采用面積后果或經(jīng)濟后果進行表征。9.1.4運行階段，RBI評估的時間間隔根據(jù)設(shè)備完整性管理的實際需要確定，RBI應(yīng)是動態(tài)的，既可對目前的風(fēng)險進行評估，也可對未來的風(fēng)險進行評估。風(fēng)險評估應(yīng)采用最新的檢驗檢測數(shù)據(jù)、工藝與維護信息來進行持續(xù)更新、動態(tài)管理。9.1.5本章只針對儲氫容器本體的風(fēng)險評估，管路及安全附件的風(fēng)險評估方法見本文件第11章。9.2評估流程RBI評估按圖9-1所示的流程實施。圖9-1RBI評估流程9.3前期準備9.3.1RBI評估前，應(yīng)制定評估方案，評估方案應(yīng)至少應(yīng)包括以下內(nèi)容：a）評估目的；b）評估流程；c）評估需要的知識與技能；d）評估小組的組成；

e）小組成員的分工與職責(zé)；f）評估對象定義；g）評估使用的數(shù)據(jù)及其收集方法；h）評估擬使用的工具軟件；i）評估結(jié)果的應(yīng)用。9.3.2加氫站使用單位應(yīng)制定風(fēng)險可接受準則，風(fēng)險可接受水平根據(jù)企業(yè)自身情況確定，同時應(yīng)滿足國家相關(guān)法律法規(guī)的規(guī)定，風(fēng)險可接受水平可以隨著使用單位管理水平的變化進行適當(dāng)調(diào)整。9.3.3評估小組與加氫站管理者應(yīng)就風(fēng)險評估的目的與目標進行協(xié)商并達成共識，一般應(yīng)包括如下內(nèi)容：a）風(fēng)險可接受準則；b）風(fēng)險管理方法；c）對設(shè)備有必要通過風(fēng)險優(yōu)化和風(fēng)險管理，保證其在安全生產(chǎn)條件下盡可能長周期運行，降低運行成本；d）為符合安全與環(huán)境管理要求，建立并實施的有效檢測程序；e）選擇的除檢驗以外的其他降低風(fēng)險的措施；f）建立設(shè)備完整性管理的風(fēng)險基礎(chǔ)數(shù)據(jù)庫并實施風(fēng)險管理常態(tài)化。9.4數(shù)據(jù)收集9.4.1RBI評估需要的數(shù)據(jù)應(yīng)包括但不限于：a）設(shè)備類型；b）材料；c）檢測、修理、改造記錄；d）介質(zhì)總量及成分；e）運行歷史；f）安全防護系統(tǒng)；g）監(jiān)測系統(tǒng)；h）發(fā)生損傷的模式、速率和嚴重程度；i）氣候環(huán)境。9.4.2數(shù)據(jù)可從以下來源收集：a）設(shè)計、制造、安裝記錄與竣工圖；b）質(zhì)量控制記錄、監(jiān)督檢驗記錄；c）檢測、監(jiān)測記錄；d）運行、操作記錄；e）異常與缺陷（故障、失效、事故等）記錄；f）氣候、環(huán)境、人口、地理位置等。9.4.3應(yīng)確保評估所用數(shù)據(jù)真實可靠。9.5缺陷識別加氫站儲氫容器常用類別為鋼質(zhì)無縫瓶式儲氫容器、鋼帶錯繞式儲氫容器兩類，兩類設(shè)備的潛在的缺陷形式、機理、原因及處置措施參見附錄E。9.6失效可能性計算9.6.1失效可能性計算應(yīng)考慮的因素主要包括：a）材料機械性能退化：b）地震及極端氣候條件；c）誤操作；d）設(shè)計缺陷：e）制造缺陷；f）使用維護不當(dāng)；g）管理缺陷；h）人為破壞。9.6.2失效可能性計算是在同類設(shè)備失效頻率FG（也稱通用失效頻率）基礎(chǔ)上，考慮設(shè)備服役現(xiàn)狀和企業(yè)管理水平的影響進行修正，即采用式（9.2）進行計算。F=FG×FE×FM（9.2）式中：F——設(shè)備失效可能性；FG——同類設(shè)備失效頻率FG，可按附錄F.1.1計算；FE——設(shè)備修正系數(shù)，可按附錄F.1.2取值；FM——管理系數(shù)，可按附錄F.1.3取值；9.7失效后果計算加氫站儲氫容器失效后果采用面積后果來表征，失效后果可按附錄F.2進行計算。9.8風(fēng)險分級9.8.1失效可能性分級設(shè)備失效可能性根據(jù)實際評價目標不同，可從失效可能性系數(shù)或設(shè)備修正系數(shù)，選擇不同的分級依據(jù)，可分五個等級，依次為1—低，2—中等，3—中高，4—高，5—超高，表9-1是標準的分級結(jié)果。在實際評估過程中，評估人員可與與加氫站企業(yè)共同商定，并確定并調(diào)整分級策略。表9-1失效可能性等級劃分失效可能性系數(shù)設(shè)備修正系數(shù)失效可能性等級0.0～0.00001<110.00001～0.00011～1020.0001～0.00110～10030.001～0.01100～100040.01～1.0>100059.8.2失效后果分級根據(jù)失效后果嚴重程度從輕到重劃分五個等級，依次為A—低后果等級，B—中等后果等級，C—中高后果等級，D—高等后果等級，E—超高后果等級，如表9-2所示：表9-2失效后果等級劃定失效后果數(shù)值后果等級<5000A5000~20000B20000~35000C35000~50000D>50000E9.8.3風(fēng)險分級將失效可能性和失效后果的5個級別組合即可得到5行5列的風(fēng)險矩陣，見圖F-3。在風(fēng)險矩陣中，風(fēng)險水平沿左下方到右上方對角線逐漸升高，分4個等級依次為：低風(fēng)險、中風(fēng)險、中高風(fēng)險和高風(fēng)險。圖9-2中紅色為高風(fēng)險，橙色為中高風(fēng)險，黃色為中風(fēng)險，綠色為低風(fēng)險。圖9-2加氫站承壓設(shè)備風(fēng)險評估風(fēng)險矩陣圖風(fēng)險由泄漏失效可能性和泄漏失效后果兩部分組成，按風(fēng)險可接受準則，對加氫站承壓設(shè)備劃分出不同等級的風(fēng)險。9.9風(fēng)險管控措施風(fēng)險評估結(jié)果為風(fēng)險不可接受的，應(yīng)進行風(fēng)險因素分析，查找出原因，采取風(fēng)險減緩措施，并進行檢驗檢測，然后進行風(fēng)險再評估。具體的風(fēng)險處置措施參見附錄E。9.10記錄和報告應(yīng)記錄風(fēng)險評估的全部數(shù)據(jù)，至少應(yīng)包括以下內(nèi)容：a）評估對象；b）實施評估的人員；c）評估的進度安排；d）基礎(chǔ)數(shù)據(jù)的來源；e）評估過程中做出的假設(shè)；f）風(fēng)險評估的結(jié)果（包括失效可能性、失效后果及其分級結(jié)果）。10氫氣壓縮機FMECA分析10.1通則10.1.1?在氫氣壓縮機設(shè)計階段宜開展FMECA分析，主要目的是在產(chǎn)品設(shè)計的早期階段識別潛在的失效模式及其影響，從而采取相應(yīng)的措施來提高產(chǎn)品的可靠性和安全性??。設(shè)計階段的FMECA一般由壓縮機制造單位的設(shè)計部門完成，使用單位在采購壓縮機時，宜在訂貨技術(shù)條件中明確FMECA的要求，F(xiàn)MECA報告應(yīng)作為壓縮機出廠資料的一部分。

10.1.2在氫氣壓縮機使用階段開展FMECA分析，目的是識別壓縮機所有潛在的故障模式及其影響，按每個故障模式產(chǎn)生影響的危害程度進行分類和排序，為設(shè)備維護維修策略的制定和優(yōu)化提供依據(jù)。使用階段的風(fēng)險評估一般由使用單位的專業(yè)技術(shù)人員或委托第三方技術(shù)機構(gòu)實施。10.1.3氫氣壓縮機FMECA分析應(yīng)滿足GB/T7826及中國石油和石油化工設(shè)備工業(yè)協(xié)會團體標準T/CPI64001的基本要求。10.2分析流程氫氣壓縮機FMECA分析按以下流程實施：a）確定分析范圍和對象；b）故障模式識別與機理分析；c）數(shù)據(jù)收集及統(tǒng)計分析；d）評價準則制定；e）關(guān)鍵性分析；f）故障影響和危害分析；g）分析結(jié)果匯總；h）出具評估報告。10.3分析步驟與基本要求10.3.1確定分析范圍和對象對氫氣壓縮機進行邊界劃分，明確分析范圍，并對其依次進行子系統(tǒng)、組件、零部件的逐層拆解，直至拆分至最小可維修或最小可更換部件為止，將拆分得到的所有可維修部件作為FMECA的分析對象。拆解的層級應(yīng)考慮設(shè)備使用管理的實際需要及維修的實際情況。結(jié)構(gòu)拆解的主要依據(jù)是設(shè)備的技術(shù)文件，同時應(yīng)結(jié)合專家意見。附錄G.1給出了兩類壓縮機的結(jié)構(gòu)拆解示例。10.3.2故障模式識別與機理分析故障模式識別和機理分析的目的是對拆分得到的可維修部件逐一進行故障模式的識別，列出可維修部件的所有可能的潛在故障，故障模式、機理的分類可參照ISO14224、T/CPI64001，附錄G.2給出了氫氣壓縮機故障模式、故障機理的主要類別。10.3.3數(shù)據(jù)收集和統(tǒng)計分析對設(shè)備可靠性相關(guān)的數(shù)據(jù)進行收集，并根據(jù)收集的數(shù)據(jù)，統(tǒng)計分析故障部件、故障模式、故障原因及故障頻次等，應(yīng)盡可能收集齊全以下數(shù)據(jù)：a）基礎(chǔ)信息。包括壓縮機型號、制造商、生產(chǎn)日期、序列號、安裝位置、用途、使用年限、累計運行時間（小時/年）、設(shè)計參數(shù)（壓力、溫度、流量、功率等）；b）組成清單及關(guān)鍵組件或零部件數(shù)據(jù)。如氣閥的泄漏率測試數(shù)據(jù)、閥片/彈簧更換記錄，活塞/氣缸的磨損量測量數(shù)據(jù)、密封件老化情況，軸承的振動監(jiān)測數(shù)據(jù)、潤滑狀態(tài)、磨損痕跡報告，電機的絕緣等級、電流/電壓波動記錄、過熱報警次數(shù)，冷卻系統(tǒng)的冷卻效率、換熱器結(jié)垢/堵塞記錄，控制系統(tǒng)的傳感器/PLC故障記錄、誤動作事件；c）運行數(shù)據(jù)。包括運行模式（連續(xù)/間歇運行）、平均負載率（%）、啟停次數(shù)與頻率、運行環(huán)境數(shù)據(jù)（溫度、濕度、粉塵、腐蝕性氣體等）、歷史運行日志（異常工況記錄、超負荷運行事件）；d）維護和維修數(shù)據(jù)。包括預(yù)防性維護計劃（潤滑、清潔、部件更換周期）、歷史維修記錄（維修日期、更換部件、故障描述）、維修耗時（MTTR，平均修復(fù)時間）、備件更換清單（品牌、型號、更換頻率）、潤滑劑類型及更換周期；e）故障數(shù)據(jù)。包括故障模式、故障發(fā)生時間、頻率（MTBF，平均故障間隔時間）、故障影響（停機時間、生產(chǎn)損失、安全風(fēng)險）、故障根本原因分析（如磨損、腐蝕、設(shè)計缺陷、誤操作）、故障部件定位；f）監(jiān)檢側(cè)與評價數(shù)據(jù)。設(shè)備運行過程中通過檢查、測試、檢測、評價分析產(chǎn)生的數(shù)據(jù)等，包括振動分析報告（頻譜、趨勢數(shù)據(jù)）、溫度監(jiān)測數(shù)據(jù)（軸承溫度、排氣溫度）、壓力/流量監(jiān)測數(shù)據(jù)（異常波動記錄）、潤滑油分析報告（金屬顆粒含量、粘度變化）、無損檢測結(jié)果（如超聲波探傷、裂紋檢測）；g）設(shè)計與可靠性參考數(shù)據(jù)。包括制造商提供的可靠性指標（如設(shè)計壽命、故障率）、同類壓縮機行業(yè)平均故障率、歷史FMEA/FMECA報告（如有）、安全標準與合規(guī)性文件；h）管理數(shù)據(jù)。包括操作人員培訓(xùn)記錄與技能水平、操作規(guī)范符合性（如是否超負荷運行）、供應(yīng)鏈數(shù)據(jù)（備件供應(yīng)商可靠性、交付周期）等；i）經(jīng)濟數(shù)據(jù)。設(shè)備全生命周期發(fā)生的費用數(shù)據(jù)，包括采購費用、維護費用、故障修理費用、大修理費用、備品備件采購費用等。對數(shù)據(jù)收集工作應(yīng)進行質(zhì)量管控，確保數(shù)據(jù)完整性和準確性，缺失數(shù)據(jù)需標注并補充采集計劃，按部件、故障模式、時間維度建立結(jié)構(gòu)化數(shù)據(jù)庫，建立持續(xù)數(shù)據(jù)收集機制，對數(shù)據(jù)進行動態(tài)更新。10.3.4評價準則制定FMECA分析需要制定相應(yīng)的評價準則，作為風(fēng)險評估分級的依據(jù)，評價準則包括故障頻率評價準則、故障后果評價準則以及風(fēng)險等級劃分準則（風(fēng)險矩陣），故障后果應(yīng)考慮安全影響后果、環(huán)境影響后果、生產(chǎn)損失影響后果、維修成本后果等方面。加氫站故障評價準則的確定，應(yīng)根據(jù)加氫站建設(shè)所執(zhí)行的安全、環(huán)境相關(guān)的法規(guī)標準，并綜合考慮使用單位的實際情況以及加氫站設(shè)備運行情況、管理現(xiàn)狀等方面因素。加氫站的故障評價準則可參考附錄G.3確定。10.3.5關(guān)鍵性分析關(guān)鍵性分析是對壓縮機的可維修部件進行篩選分類，識別出其中的高關(guān)鍵性部件、中關(guān)鍵性部件、非關(guān)鍵性部件，然后對關(guān)鍵性部件做主要故障模式的分析。對于識別出的中關(guān)鍵性和高關(guān)鍵性組件，在使用管理上應(yīng)采取糾正措施，制定新的維修措施，以降低故障概率或減輕故障后果。關(guān)鍵性分析的主要依據(jù)是設(shè)備主要功能、設(shè)備常見故障、設(shè)備已發(fā)生故障、同類型設(shè)備故障情況，具體可按照圖10-4的規(guī)則實施。對識別出的關(guān)鍵性組件，應(yīng)進行主要故障模式的識別分析，重點分析已出現(xiàn)過的故障模式、相同或相似設(shè)備部件上已出現(xiàn)過的故障模式、尚未發(fā)生過但認為確有可能發(fā)生的故障模式、可能性很小但后果非常嚴重的故障模式、其他明確需要分析的故障模式。高可能性：≧可接受故障頻率中等關(guān)鍵性優(yōu)化維修策略，重點是減輕后果高關(guān)鍵性優(yōu)化維護維修策略，以降低失效概率、減輕后果低可能性（可忽略）：<可接受故障頻率非關(guān)鍵無需采取糾正措施，保持現(xiàn)有維護維修策略中等關(guān)鍵性優(yōu)化維護維修策略，重點是減輕后果故障可能性故障后果低故障后果（可忽略）高故障后果（不可接受）圖10-4關(guān)鍵性分析篩選矩陣10.3.6故障影響和危害分析故障影響和危害分析的主要內(nèi)容和步驟如下：a）故障頻率及等級分析。對收集得到的數(shù)據(jù)進行數(shù)理統(tǒng)計分析，估計故障模式發(fā)生概率，然后根據(jù)表附錄G表G-5確定嚴重程度等級。主要參考數(shù)據(jù)包括：通過壽命試驗獲得的數(shù)據(jù)；從可用的失效率數(shù)據(jù)庫獲取的數(shù)據(jù)，如AQ/T3054-2015中給出了常用設(shè)備或部件、系統(tǒng)的失效頻率，國際知名數(shù)據(jù)庫OREDA給出了壓縮機的失效模式與概率分布?，F(xiàn)場使用獲取的失效數(shù)據(jù)，例如通過收集某一時間內(nèi)發(fā)生的故障的部件、次數(shù)、時間間隔等信息，即可分析得到故障頻率；相似產(chǎn)品或元器件的失效數(shù)據(jù)，部分通用設(shè)備元器件的失效率數(shù)據(jù)可從相關(guān)手冊、資料中獲取。附錄G.4給出了常用設(shè)備或部件、系統(tǒng)的失效頻率，可供加氫站氫氣壓縮機FMECA分析參考。b）故障后果及等級分析。分析故障發(fā)生后產(chǎn)生的影響，然后根據(jù)附錄G表G-6分析確定后果的等級，分析的內(nèi)容主要包括人身或財產(chǎn)安全問題、對生產(chǎn)和操作環(huán)境的影響、由該設(shè)備完成的生產(chǎn)任務(wù)停止、維修或修復(fù)故障設(shè)備的成本。其中安全性和環(huán)境性后果會引起人員傷亡或?qū)е逻`反行業(yè)、地方和國家的法規(guī)、規(guī)章、標準，此類故障后果，是應(yīng)該避免或應(yīng)盡一切努力將其風(fēng)險降到可接受的水平。c）風(fēng)險等級劃分。危害性通過風(fēng)險來定量表征，風(fēng)險采用式“風(fēng)險=故障頻率×故障后果”計算，根據(jù)計算得到的故障頻率與等級、故障后果與等級，再結(jié)合附錄G圖G-3中的風(fēng)險矩陣即可進行某類失效模式的安全影響、環(huán)境影響、生產(chǎn)損失、維修成本風(fēng)險等級的劃分，四種風(fēng)險類型中最高風(fēng)險為該失效模式的風(fēng)險等級，根據(jù)各失效模式風(fēng)險大小可以進行風(fēng)險的排序并確定主要失效模式，某組件各失效模式中的最高風(fēng)險為該組件的風(fēng)險等級。10.3.7分析結(jié)果匯總對FMECA分析過程和結(jié)果，可采用表的格式進行記錄，附錄G.5給出了加氫站氫壓縮機FMECA分析結(jié)果匯總表格的示例。10.4評估報告FMECA分析應(yīng)出具報告，報告的主要內(nèi)容包括：a）分析目標；b）分析對象；c）分析方法概述；d）系統(tǒng)層級拆解；e）故障模式分析；f）影響與危害性評估；g）改進措施；h）驗證與跟蹤；i）結(jié)論與建議；j）分析數(shù)據(jù)表；k）危害性矩陣圖、壓縮機結(jié)構(gòu)示意圖等。11安全儀表系統(tǒng)SIL評估11.1通則11.1.1對加氫站采用的安全儀表系統(tǒng)應(yīng)進行功能安全管理，執(zhí)行GB/T20438（所有部分）的規(guī)定。11.1.2安全儀表系統(tǒng)功能安全管理的內(nèi)容包括對每一個安全儀表功能的安全完整性等級進行評估，包括SIL定級和SIL驗證。a）SIL定級是指通過風(fēng)險分析確定獨立保護層的SIL等級，定級結(jié)果是安全儀表系統(tǒng)工程設(shè)計的依據(jù)，SIL等級分為SIL1、SIL2、SIL3、SIL4四個等級，定級準則見表11-1。b）SIL驗證是確認安全儀表系統(tǒng)是否滿足SIL定級（目標安全完整性等級）要求的過程。它通過定量與定性分析，評估系統(tǒng)在硬件、軟件及全生命周期管理中的可靠性，確保其能夠在規(guī)定條件下正確執(zhí)行安全功能，并將風(fēng)險降低至可接受水平。SIL驗證是功能安全生命周期的關(guān)鍵環(huán)節(jié)，貫穿系統(tǒng)設(shè)計、開發(fā)、測試和維護的各階段。表11-1安全完整性等級定級準則安全完整性等級低要求操作模式高要求操作模式連續(xù)運行模式在要求時執(zhí)行其設(shè)計功能要求的平均失效概率（PFDavg）安全有效性（Safetyavaibility）目標風(fēng)險降低（RRF）危險失效平均頻率（PFH，h-1）危險失效平均頻率（PFH，h-1）SIL4[10-5,10-4）99.99-99.99910000-100000[10-9,10-8）[10-9,10-8）SIL3[10-4,10-3）99.9-99.991000-10000[10-8,10-7）[10-8,10-7）SIL2[10-3,10-2）99-99.9100-1000[10-7,10-6）[10-7,10-6）SIL1[10-2,10-1）90-9910-100[10-6,10-5）[10-6,10-5）注：①安全相關(guān)系統(tǒng)的操作模式分為三類：——低要求模式：僅在需求時執(zhí)行SIF的操作模式，以便將過程轉(zhuǎn)換到指定的安全狀態(tài)，并且每年的要求頻率不超過1次；——高要求模式：SIF只在需求時執(zhí)行，以便將過程轉(zhuǎn)換到指定的安全狀態(tài)，以及要求頻率大于每年一次的操作模式；——連續(xù)模式：SIF將操作模式作為正常操作的一部分保持在安全狀態(tài)；②安全相關(guān)系統(tǒng)在一個給定的時間周期內(nèi)執(zhí)行規(guī)定安全功能時的危險失效平均頻率。11.1.3新建、改建和擴建的加氫站均應(yīng)開展安全儀表系統(tǒng)評估，確定所需要的SIF及其安全完整性等級。安全儀表系統(tǒng)設(shè)備選型確定后，應(yīng)對每一個安全儀表功能進行SIL驗證，不能滿足要求的安全儀表功能應(yīng)進行整改。11.1.4SIL評估應(yīng)組成評估小組，評估小組應(yīng)包含工藝、儀表、設(shè)備、安全、電氣等專業(yè)人員，SIL評估主持人應(yīng)具有流程工藝、儀控、安全相關(guān)的設(shè)計、咨詢或運行經(jīng)驗，具有功能安全工程師或相關(guān)專業(yè)工程師資格證書11.1.5加氫站安全儀表系統(tǒng)SIL定級和驗證具體可參照GB/T20438、GB/T21109、GB/T45111、T/CPI65001等標準。11.2SIL定級11.2.1SIL定級步驟SIL定級宜采用LOPA方法，定級過程包含以下步驟：a）組建SIL定級評估小組；b）確定風(fēng)險可接受準則；c）場景識別與篩選；d）初始事件確認；e）獨立保護層辨識；f）場景頻率計算；g）評估SIL等級。上述a）-e）步驟參見本文件第7章。11.2.2SIL等級確定根據(jù)式（11.1）計算危險場景所需安全儀表功能的PFD。（11.1）式中：PFDSIF—安全儀表功能要求時的失效概率；F—風(fēng)險可接受頻率，具體根據(jù)本文件第7.3.3小節(jié)規(guī)定的場景后果嚴重性評估結(jié)果查閱風(fēng)險可接受準則進行確定；fiCQUOTE??????—根據(jù)PFDSIF計算結(jié)果查閱表11-1，確定單一場景安全儀表功能需要達到的SIL等級。同一初始事件導(dǎo)致多個事故場景的，逐個場景進行分析，該安全儀表功能SIL等級取場景需要達到SIL等級的最高值；多個初始事件導(dǎo)致同一事故后果的，場景頻率計算時宜考慮進行疊加。安全儀表功能定級結(jié)果達到SIL3以上時，應(yīng)增加獨立保護層或修改工程設(shè)計方案，降低對該安全儀表功能的SIL等級要求。11.2.3SIL定級報告安全儀表系統(tǒng)SIL定級應(yīng)出具報告，報告內(nèi)容應(yīng)包括：a）封皮、簽字頁、目錄；b）正文。包括項目概述、工作范圍、定級方法概述、風(fēng)險可接受標準、條件修正假設(shè)、工藝描述、SIL定級小組組成、SIL定級進程、SIL定級結(jié)果（含定級結(jié)果匯總表、統(tǒng)計分析表）、改進建議（含改進建議措施匯總表）等；c）附件。包括SIL分析定量數(shù)據(jù)、SIL定級分析會議簽到表、SIL定級記錄表。11.3SIL驗證11.3.1一般要求對所有等級為SIL1以上的安全儀表功能，都需要進行SIL驗證,對未達到定級要求的安全儀表功能需要進行整改。SIL驗證包括硬件安全完整性驗證、系統(tǒng)性安全完整性驗證。硬件安全完整性驗證可通過分析和定量計算的方式,系統(tǒng)性安全完整性驗證可通過定性分析的方式。注①：硬件安全完整性是安全相關(guān)系統(tǒng)安全完整性中與危險失效模式下的隨機硬件失效有關(guān)的部分；注②：系統(tǒng)性安全完整性是安全相關(guān)系統(tǒng)安全完整性中,與危險失效模式下的系統(tǒng)性失效有關(guān)的部分。系統(tǒng)性安全完整性通常不能量化(與通?？闪炕挠布踩暾悦黠@不同)。注③：危險失效是對執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效,其在要求時阻止安全功能的執(zhí)行(要求模式),或?qū)е掳踩δ苁?連續(xù)模式)以致受控設(shè)備進入危險或潛在危險的狀態(tài)，或降低在要求時安全功能正確執(zhí)行的概率。注④：安全失效是對執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效,其導(dǎo)致安全功能的誤動作從而使EUC(或其一部分)進入或保持安全狀態(tài);或增加安全功能的誤動作從而使EUC(或其一部分)進入或保持安全狀態(tài)的概率。注⑤：系統(tǒng)性失效是原因確定的失效,只有對設(shè)計或制造過程、操作規(guī)程、文檔或其他相關(guān)因素進行修改后,才有可能消除的失效。SIL驗證可采用可靠性框圖法、馬爾可夫模型、故障樹法等方法。SIL驗證按以下步驟：a）組成驗證小組；b）信息收集；c）SIF回路分析；d）硬件安全完整性分析；e）系統(tǒng)性安全完整性分析；f）驗證結(jié)果；g）SIL驗證報告。11.3.2信息收集可通過資料收集和現(xiàn)場調(diào)研等方式，全面收集安全儀表系統(tǒng)的相關(guān)信息，主要包括：a）SIL定級報告(需明確SIL等級和PFD/RRF值）；b）運行模式說明；c）P&ID圖；c）SRS報告；d）安全聯(lián)鎖功能列表、功能描述、設(shè)定點、回路結(jié)構(gòu)；e）安全聯(lián)鎖邏輯圖或因果表；f）SIF組成儀表設(shè)備的廠家、型號、儀表類型/原理、投用時間、量程、運行條件、表決機制、診斷設(shè)置共用性情況等數(shù)據(jù)等信息，包括傳感器、邏輯運算器、執(zhí)行器、安全柵、繼電器等；h）經(jīng)過認證的儀表設(shè)備需提供合規(guī)的SIL證書、評估報告及安全手冊等認證材料；i）檢維修規(guī)程；j）功能性測試報告;k）以前的設(shè)備故障記錄(提供審閱后收回）;其他所需資料。11.3.3回路分析對安全儀表系統(tǒng)的回路進行分析，明確參與SIF的儀表設(shè)備、安全關(guān)鍵動作及其邏輯/冗余關(guān)系，包括回路執(zhí)行到哪一步即可進入安全狀態(tài)，安全狀態(tài)的定義只針對當(dāng)前SIF所保護場景的降險需求，出于維護或裝置再啟動等相關(guān)安全或便捷考慮的執(zhí)行動作不宜納入SIL驗證計算。11.3.4硬件安全完整性分析硬件的安全完整性分析內(nèi)容包括架構(gòu)約束SIL等級要求的判定、隨機失效SIL等級要求的計算。架構(gòu)約束SIL等級要求的判定安全儀表系統(tǒng)的硬件架構(gòu)需滿足特定的條件，主要涉及硬件故障裕度（HFT）和子系統(tǒng)類型（A型/B型）的劃分。a）架構(gòu)約束SIL等級的基本要求架構(gòu)約束SIL等級應(yīng)滿足以下要求：應(yīng)滿足表11-2對應(yīng)最小硬件故障裕度（HFT）要求；全可變或有限可變語言可編程設(shè)備的診斷覆蓋率應(yīng)不小于60%；失效量計算中使用的可靠性數(shù)據(jù)應(yīng)由不小于70%的統(tǒng)計置信區(qū)間上限確定。?A型子系統(tǒng)的所有部件失效模式可完全定義，故障行為可確定，且有充分現(xiàn)場數(shù)據(jù)支撐。B型子系統(tǒng)?至少1個部件失效模式不可定義，或故障行為不確定，或缺乏可信失效數(shù)據(jù)。?注①：故障裕度（HFT）指安全儀表系統(tǒng)在不發(fā)生整體故障的情況下可承受的硬件失效數(shù)量。例如HFT=1表示允許一個組件失效仍能維持安全功能，HFT=2表示允許2個組件失效仍能維持安全功能。故障裕度表征在出現(xiàn)故障或錯誤的情況下,功能單元繼續(xù)執(zhí)行一個要求功能的能力。注②：診斷覆蓋率（DC，也稱危險失效分數(shù)）是通過自動在線診斷測試檢測到的危險失效分數(shù)，是由檢測到的危險失效率除以總危險失效率計算得出。注③：全可變語言是計算機編程者易于理解,并能提供實現(xiàn)各種各樣功能和應(yīng)用的能力的一種語言。有限可變語言是用于商業(yè)或工業(yè)可編程電子控制器的編程語言,其能力僅限于在相關(guān)安全手冊中定義的應(yīng)用，這種語言的記法可能是文本或圖形或二者皆有。b）架構(gòu)約束SIL等級判定對安全儀表功能中包含的測量儀表、邏輯控制器、最終執(zhí)行元件等元器件，根據(jù)其相關(guān)的規(guī)格型號、冗余結(jié)構(gòu)等信息，分別確定HFT，然后根據(jù)表11-2要求確定安全儀表子系統(tǒng)的架構(gòu)約束SIL等級，安全儀表功能架構(gòu)約束SIL等級取決于各子系統(tǒng)架構(gòu)約束SIL等級的最小值。表11-2不同SIL對應(yīng)的最小HFT要求SIL等級要求的最小HFT1（任何模式）02（低要求模式）02（高要求/連續(xù)模式）13（任何模式）14（任何模式）2注：未使用全可變或有限可變語言可編程設(shè)備的SIS或SIS子系統(tǒng)，若采用本表規(guī)定的最小HFT將導(dǎo)致額外故障并導(dǎo)致整體過程安全降級，其HFT要求參照GB/T21109.1標準要求確定。隨機失效SIL等級的計算隨機失效SIL按以下步驟計算：a）對安全儀表功能中包含的測量儀表、邏輯控制器、最終執(zhí)行元件等元器件，根據(jù)其相關(guān)的規(guī)格型號、冗余結(jié)構(gòu)、檢驗測試計劃及規(guī)程等信息，結(jié)合可信數(shù)據(jù)庫，分別確定各元器件可檢測到的危險失效率（λDD）、未檢測到的危險失效率（λDU）、可檢測到的安全失效率（λSD）、未檢測到的安全失效率（λSU），以及共因失效因子β(β的選取可根據(jù)工程經(jīng)驗或參考表11-3確定）、平均恢復(fù)時間、檢驗測試間隔、檢驗測試覆蓋率等參數(shù)，所采用的儀表設(shè)備可靠性數(shù)據(jù)宜采用以往使用數(shù)據(jù)、SIL認證報告、公開發(fā)行的工業(yè)數(shù)據(jù)庫或安全手冊中的失效數(shù)據(jù)等。表11-3典型儀表設(shè)備β參考值所屬單元元