目    次

引言 2

1  范圍 2

2  規范性引用文件  2

3  術(shù)語(yǔ)、定義和縮略語(yǔ) 2

4  LOPA基本程序 2

5  場(chǎng)景識別與篩選 2

6  初始事件確認 2

7  獨立保護層評估 2

8  場(chǎng)景頻率計算 2

9  風(fēng)險評估與決策 2

10  LOPA報告 2

11  LOPA后續跟蹤及審查 2

附錄A（規范性附錄）LOPA基本程序 2

附錄B（資料性附錄）LOPA應用時(shí)機 2

附錄C（資料性附錄）HAZOP信息與LOPA信息的關(guān)系 2

附錄D（資料性附錄）BPCS多個(gè)回路作為IPL的評估方法 2

附錄E（資料性附錄）失效數據 2

附錄F（資料性附錄）風(fēng)險標準和ALARP原則 2

附錄G（資料性附錄）LOPA示例 2

前    言

本標準編制依據GB/T 1.1-2009給出的規則起草。

本標準由國家安全生產(chǎn)監督管理總局提出。

本標準由全國安全生產(chǎn)標準化技術(shù)委員會(huì )化學(xué)品安全分技術(shù)委員會(huì )（TC288/SC3）歸口。

本標準主要起草單位：中國石油化工股份有限公司青島安全工程研究院、國家石化項目風(fēng)險評估技術(shù)中心、中國石化洛陽(yáng)工程有限公司。

本標準主要起草人：白永忠、韓中樞、黨文義、萬(wàn)古軍、文科武、張廣文、于安峰、王全國、武志峰、沈郁、趙文芳。

引    言

一個(gè)典型的化工過(guò)程包含各種保護層，如本質(zhì)安全設計、基本過(guò)程控制系統（BPCS）、報警與人員干預、安全儀表功能（SIF）、物理保護（安全閥等）、釋放后保護設施、工廠(chǎng)應急響應和社區應急響應等。這些保護層降低了事故發(fā)生的頻率。在開(kāi)展化工過(guò)程工藝危害分析時(shí)，保護層是否足夠，能否有效防止事故的發(fā)生是分析人員最為關(guān)注的一個(gè)問(wèn)題。保護層分析（Layer of protection analysis，簡(jiǎn)稱(chēng)LOPA）是在定性危害分析的基礎上，進(jìn)一步評估保護層的有效性，并進(jìn)行風(fēng)險決策的系統方法，其主要目的是確定是否有足夠的保護層使過(guò)程風(fēng)險滿(mǎn)足企業(yè)的風(fēng)險可接受標準。LOPA是一種半定量的風(fēng)險評估技術(shù)，通常使用初始事件頻率、后果嚴重程度和獨立保護層（IPL）失效頻率的數量級大小來(lái)近似表征場(chǎng)景的風(fēng)險。

本標準主要對LOPA基本程序進(jìn)行了明確的規范和詳細的描述，重點(diǎn)規定了LOPA場(chǎng)景與篩選、初始事件確認、獨立保護層（IPL）、場(chǎng)景頻率計算、風(fēng)險評估與決策等方面的技術(shù)要求。本標準的制定，可為國內化工企業(yè)開(kāi)展LOPA提供技術(shù)指導，同時(shí)為L(cháng)OPA的規范化和標準化奠定基礎。

保護層分析（LOPA）方法應用導則

1  范圍

本標準規定了化工企業(yè)采用LOPA方法的技術(shù)要求，包括LOPA基本程序、場(chǎng)景識別與篩選、初始事件確認、獨立保護層評估、場(chǎng)景頻率技術(shù)、風(fēng)險評估與決策、LOPA報告和LOPA后續跟蹤及審查。

本標準適用于化工企業(yè)新建、改建、擴建和在役裝置（設施）的保護層分析。

2  規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 21109.1  過(guò)程工業(yè)領(lǐng)域安全儀表系統的功能安全  第1部分：框架、定義、系統、硬件和軟件要求

AQ/T 3034  化工企業(yè)工藝安全管理實(shí)施導則

3  術(shù)語(yǔ)、定義和縮略語(yǔ)

下列術(shù)語(yǔ)、定義和縮略語(yǔ)適用于本文件。

3.1 術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1  

場(chǎng)景  scenario

可能導致不期望后果的一種事件或事件序列。每個(gè)場(chǎng)景至少包含兩個(gè)要素：初始事件及其后果。

3.1.2  

初始事件 initiating event

事故場(chǎng)景的初始原因。

3.1.3

后果  consequence

事件潛在影響的度量，一種事件可能有一種或多種后果。

3.1.4

保護層 protection layer

能夠阻止場(chǎng)景向不期望后果發(fā)展的設備、系統或行動(dòng)。

3.1.5

獨立保護層  independent protection layer

能夠阻止場(chǎng)景向不期望后果發(fā)展，并且獨立于場(chǎng)景的初始事件或其它保護層的設備、系統或行動(dòng)。

3.1.6

保護層分析 layer of protection analysis

通過(guò)分析事故場(chǎng)景初始事件、后果和獨立保護層，對事故場(chǎng)景風(fēng)險進(jìn)行半定量評估的一種系統方法。

3.1.7

要求時(shí)的失效概率 probability of failure on demand

系統要求獨立保護層起作用時(shí)，獨立保護層發(fā)生失效，不能完成一個(gè)具體功能的概率。

3.1.8

風(fēng)險評估 risk assessment

將風(fēng)險分析的結果和風(fēng)險可接受標準進(jìn)行對比，進(jìn)行風(fēng)險決策的過(guò)程。

3.1.9

安全儀表功能 safety instrumented function

為了達到功能安全所必需的具有特定安全完整性水平的安全功能。

3.1.10

安全關(guān)鍵設備 safety critical equipment

可提供獨立保護層降低場(chǎng)景風(fēng)險等級，或將場(chǎng)景的風(fēng)險由“不可接受風(fēng)險”轉變?yōu)?amp;ldquo;可接受風(fēng)險”的工程控制設備。

3.1.11

使能必要事件或條件 enabling event or condition

不直接導致場(chǎng)景的事件或條件，但是對于場(chǎng)景的繼續發(fā)展，這些事件或條件應存在。

3.1.12

根原因 root cause

事故發(fā)生的根本原因。根原因通常是管理上存在的某種缺陷。

3.1.13

安全儀表系統 safety instrumented system

用來(lái)實(shí)現一個(gè)或幾個(gè)儀表安全功能的儀表系統，可由傳感器、邏輯控制器和最終元件的任何組合組成。

3.1.14

防護措施 safeguard

可能中斷初始事件后的事件鏈或減輕后果的任何設備、系統或行動(dòng)。

3.1.15

“盡可能合理降低”原則 as low as reasonably practicable

在當前的技術(shù)條件和合理的費用下，對風(fēng)險的控制要做到在合理可行的原則下“盡可能的低”。

3.2  縮略語(yǔ)

本標準使用的縮略語(yǔ)見(jiàn)表1。

表1  本標準使用的縮略語(yǔ)

4  LOPA基本程序

4.1  基本程序

4.1.1  保護層分析（LOPA）是在定性危害分析的基礎上，進(jìn)一步評估保護層的有效性，并進(jìn)行風(fēng)險決策的系統方法。其主要目的是確定是否有足夠的保護層使風(fēng)險滿(mǎn)足企業(yè)的風(fēng)險標準。

4.1.2  LOPA基本流程圖見(jiàn)附錄A，主要過(guò)程包括：

a）場(chǎng)景識別與篩選；

b）初始事件（IE）確認；

c）獨立保護層（IPL）評估；

d）場(chǎng)景頻率計算；

e）風(fēng)險評估與決策；

f）后續跟蹤與審查。

4.1.3  在使用LOPA前，應確定以下分析標準：

a）后果度量形式及后果分級方法；

b）后果頻率的計算方法；

c）IE頻率的確定方法；

d）IPL要求時(shí)的失效概率（PFD）的確定方法；

e）風(fēng)險度量形式和風(fēng)險可接受標準；

f）分析結果與建議的審查及后續跟蹤。

4.2  應用時(shí)機

4.2.1  在過(guò)程危害分析中出現以下情形時(shí)，可使用LOPA：

a）事故場(chǎng)景后果嚴重，需要確定后果的發(fā)生頻率；l

b）確定事故場(chǎng)景的風(fēng)險等級以及事故場(chǎng)景中各種保護層降低的風(fēng)險水平；

c）確定安全儀表功能（SIF）的安全完整性等級（SIL）；

d）確定過(guò)程中的安全關(guān)鍵設備或安全關(guān)鍵活動(dòng)；

e）其他適用LOPA的情形等。

4.2.2  LOPA應用時(shí)機參見(jiàn)附錄B。當無(wú)法確定事故場(chǎng)景的風(fēng)險時(shí)，可采用定量方法進(jìn)行定量風(fēng)險評價(jià)。 

4.2.3  LOPA的應用有以下局限性：

a）LOPA不是識別危險場(chǎng)景的工具，LOPA的正確執行取決于定性危險評價(jià)方法所得出的危險場(chǎng)景的準確性，包括初始事件和相關(guān)的安全措施是否正確和全面；

b）當使用LOPA時(shí)，只有如下條件滿(mǎn)足時(shí)才能進(jìn)行場(chǎng)景風(fēng)險的對比：

1）選擇失效數據的方法相同；

2）采用相同的風(fēng)險標準；

c）LOPA是一種簡(jiǎn)化的方法，其計算結果并不是場(chǎng)景風(fēng)險的精確值。

4.3  小組組成

4.3.1  LOPA由一個(gè)小組完成。LOPA小組成員可包括但不限于以下人員：

a）組長(cháng)；

b）記錄員；

c）設計人員；

d）操作人員；

e）工藝人員；

f）設備工程師

g）儀表工程師；

h）安全工程師。

4.3.2  根據需要，可要求以下人員參加LOPA：

a）工藝包供應商；

b）成套工藝設備供應商；

c）公用工程工程師；

d）電氣工程師；

e）其他專(zhuān)業(yè)工程師。

4.3.3  如果LOPA是基于HAZOP分析的結果，LOPA小組人員組成宜包括HAZOP分析小組成員。

5  場(chǎng)景識別與篩選

5.1  場(chǎng)景應滿(mǎn)足以下基本要求：

a）每個(gè)場(chǎng)景應有唯一的IE及其對應的單一后果；

b）當同一IE導致不同的后果時(shí)，或多種IE導致同一后果時(shí)，應假設多個(gè)場(chǎng)景；

c）當場(chǎng)景中存在使能必要事件或條件，應將其包含在場(chǎng)景中。

5.2  場(chǎng)景識別與信息來(lái)源

5.2.1  場(chǎng)景信息來(lái)源于危險分析的結果，包括：

a）采用HAZOP分析方法進(jìn)行危害分析的結果；

b）采用AQ/T 3034中的工藝危害分析方法進(jìn)行危害分析的結果；

c）事故分析結果；

d）工藝變更分析；

e）安全儀表功能審查結果；

f）其他危害分析結果等。

5.2.2  當利用HAZOP分析結果進(jìn)行LOPA時(shí)，兩者之間的信息對應關(guān)系參見(jiàn)附錄C。

5.2.3  當利用已有的定性危害分析結果進(jìn)行LOPA時(shí)，宜對定性危害分析的結果進(jìn)行審查，確保識別出所有的危害后果及導致后果的所有原因。

5.3  場(chǎng)景篩選

5.3.1  宜采用定性或定量的方法對場(chǎng)景后果的嚴重性進(jìn)行評估，并根據后果嚴重性評估結果對場(chǎng)景進(jìn)行篩選。 

5.3.2  典型的后果種類(lèi)包括：人員傷害、財產(chǎn)損失、環(huán)境和聲譽(yù)影響等。

6  初始事件確認

6.1  IE一般包括外部事件、設備故障和人員失誤，具體分類(lèi)見(jiàn)表2。

表2  IE類(lèi)型

6.2  在確定IE時(shí)，應遵循以下原則：

a）宜對后果的原因進(jìn)行審查，確保該原因為后果的有效IE；

b）應將每個(gè)原因細分為具體的失效事件，如“冷卻失效”可細分為冷卻劑泵故障、電力故障或控制回路失效；

c）人員失誤的根原因（如培訓不完善）、設備的不完善測試和維護等不宜作為IE。

7  獨立保護層評估

7.1  IPL確定原則

化工企業(yè)保護層作為IPL時(shí)，應滿(mǎn)足以下基本要求： 

a）獨立性：

1）獨立于IE的發(fā)生及其后果；

2）獨立于同一場(chǎng)景中的其它IPL。

b）有效性：

1）能檢測到響應的條件；

2）在有效的時(shí)間內，能及時(shí)響應；

3）在可用的時(shí)間內，有足夠的能力采取所要求的行動(dòng)；

4）滿(mǎn)足所選擇的PFD的要求。

c）安全性。應使用管理控制或技術(shù)手段減少非故意的或未授權的變動(dòng)。

d）變更管理。設備、操作程序、原料、過(guò)程條件等任何改動(dòng)應執行變更管理程序，以滿(mǎn)足變更后保護層的IPL要求。

e）可審查性。應有可用的信息、文檔和程序可查，以說(shuō)明保護層的設計、檢查、維護、測試和運行活動(dòng)能夠使保護層達到IPL的要求。

7.2  化工企業(yè)典型保護層及作為IPL的要求

化工企業(yè)典型的保護層及作為IPL的要求見(jiàn)表3。

表3  化工企業(yè)典型的保護層及作為IPL的要求

7.3  不作為IPL的防護措施

通常不作為IPL的防護措施見(jiàn)表4。

表4  通常不作為IPL的防護措施

8  場(chǎng)景頻率計算

8.1  風(fēng)險和頻率的定量計算

8.1.1  場(chǎng)景的發(fā)生頻率計算見(jiàn)式（1）：

                 （1）

式中：

f_i^C——初始事件i的后果C的發(fā)生頻率，單位為 /a；

f_i^I——初始事件i的發(fā)生頻率，單位為 /a；

PFD_ij——初始事件i中第j個(gè)阻止后果C發(fā)生的IPL的PFD。

8.1.2  在計算場(chǎng)景頻率時(shí)，可根據需要對場(chǎng)景頻率進(jìn)行修正，見(jiàn)式（2）~式（6）：

a）存在使能事件或條件時(shí)：

                            （2）

式中：

f_i^E——使能事件或條件發(fā)生概率；

b）采用點(diǎn)火概率、人員暴露和具體傷害的概率對不同后果場(chǎng)景頻率進(jìn)行修正：

1）火災發(fā)生的頻率：

                          （3）

式中：

P_ig——點(diǎn)火概率；

2）人員暴露于火災中的頻率：

                          （4）

式中：

P_ex——人員暴露概率；

3）火災引起人員受傷的頻率：

                     （5）

式中：

P_d——人員受傷或死亡概率；

4）對于毒性影響，人員傷害的頻率方程與火災傷害方程相似，毒性影響不需要點(diǎn)火概率，公式（5）變?yōu)椋?/p>

                              （6）

8.2  初始事件發(fā)生頻率和IPL的PFD

8.2.1  初始事件發(fā)生頻率和IPL的PFD數據可采用：

a) 行業(yè)統計數據；

b) 企業(yè)歷史統計數據；

c) 基于失效模式、影響和診斷分析（FMEDA）和故障樹(shù)分析（FTA）等的數據；

d）其他可用數據等。

8.2.2 選擇失效數據時(shí)，應滿(mǎn)足以下要求：

a）在整個(gè)分析過(guò)程中，使用的所有失效數據的選用原則應一致；

b）選擇的失效率數據應具有行業(yè)代表性或能代表操作條件；

c）使用企業(yè)歷史統計數據時(shí)，只有該歷史數據充足并具有統計意義時(shí)才能使用；

d）使用普通的行業(yè)數據時(shí)，可根據企業(yè)的具體條件對數據進(jìn)行修正；

e）可對失效頻率數據取整至最近的整數數量級。 

8.2.3  在確定IE發(fā)生頻率和典型IPL的PFD時(shí)，應考慮實(shí)際的運行環(huán)境對發(fā)生頻率或PFD的影響：

a）當系統或操作不連續（裝載/卸載、間歇工藝等）時(shí)，應根據其實(shí)際的運行時(shí)間對失效頻率數據進(jìn)行修正；

b）在確定安全閥、阻火器或隔爆器等設備的PFD時(shí)，應考慮其實(shí)際運行環(huán)境中可能出現的污染、堵塞、腐蝕、不恰當維護等因素對PFD進(jìn)行修正；

c）典型IE發(fā)生頻率和典型IPL的PFD參見(jiàn)附錄E。

9  風(fēng)險評估與決策

9.1  對事故場(chǎng)景風(fēng)險，可根據場(chǎng)景頻率計算結果和后果等級，使用定量數值風(fēng)險標準、風(fēng)險矩陣等形式進(jìn)行風(fēng)險等級評估，定量數值風(fēng)險標準和風(fēng)險矩陣示例參見(jiàn)附錄F。

9.2  根據事故場(chǎng)景風(fēng)險等級進(jìn)行風(fēng)險決策，風(fēng)險決策宜采取ALARP原則，將事故場(chǎng)景風(fēng)險降低到可接受風(fēng)險水平，ALARP和可接受風(fēng)險水平概念參見(jiàn)附錄F。

10  LOPA報告

10.1  LOPA分析結束時(shí)，應生成LOPA記錄表和報告。LOPA分析案例和記錄表形式可參見(jiàn)附錄G。10.2  LOPA報告應包括以下內容：

a）場(chǎng)景的信息來(lái)源說(shuō)明；

b）企業(yè)的風(fēng)險標準；

c）IE發(fā)生頻率和IPL的PFD；

d）場(chǎng)景中IPL和非IPL的評估結果；

e）場(chǎng)景的風(fēng)險評估結果；

f）滿(mǎn)足風(fēng)險標準要求采取的行動(dòng)及后續跟蹤；

g）如果有必要，對需要采取不同技術(shù)進(jìn)行深入研究的問(wèn)題提出建議；

h）對分析期間所發(fā)現的不確定情況及不確定數據的處理；

i）分析小組使用的所有圖紙、說(shuō)明書(shū)、數據表和危險分析報告等的清單（包括引用的版本號）； 

j）參加分析的小組成員名單。

10.3  LOPA報告應經(jīng)小組成員簽字確認。若LOPA小組不能達成一致意見(jiàn)，應記錄原因。

11  LOPA后續跟蹤及審查

11.1  宜對LOPA分析結果的執行情況進(jìn)行后續跟蹤，對LOPA提出的降低風(fēng)險行動(dòng)的實(shí)施情況進(jìn)行落實(shí)。

11.2  LOPA的程序和分析結果可接受相關(guān)的審查。

附錄A

（規范性附錄）

LOPA基本程序

LOPA基本程序如圖A.1所示，包括：

a）場(chǎng)景識別與篩選。LOPA通常評估先前危害分析研究中識別的場(chǎng)景。分析人員可采用定性或定量的方法對這些場(chǎng)景后果的嚴重性進(jìn)行評估，并根據后果嚴重性評估結果對場(chǎng)景進(jìn)行篩選；

b）初始事件確認。首先，選擇一個(gè)事故場(chǎng)景，LOPA一次只能選擇一個(gè)場(chǎng)景；然后確定場(chǎng)景IE。IE包括外部事件、設備故障和人員行為失效；

c）IPL評估。評估現有的防護措施是否滿(mǎn)足IPL的要求是LOPA的核心內容；

d）場(chǎng)景頻率計算。將后果、IE頻率和IPL的PFD等相關(guān)數據進(jìn)行計算，確定場(chǎng)景風(fēng)險；

e）評估風(fēng)險，作出決策。根據風(fēng)險評估結果，確定是否采取相應措施降低風(fēng)險。然后，重復步驟b）～e）直到所有的場(chǎng)景分析完畢；

f）后續跟蹤和審查。LOPA分析完成后，對提出降低風(fēng)險措施的落實(shí)情況應進(jìn)行跟蹤。應對LOPA的程序和分析結果進(jìn)行審查。

圖A.1  保護層分析的基本程序

附錄B

（資料性附錄）

LOPA應用時(shí)機

圖B.1  LOPA的應用時(shí)機

事故后果是否嚴重可根據企業(yè)的風(fēng)險標準確定，以表F.3為例，通?？烧J為4級及以上的后果為嚴重后果。

附錄C

（資料性附錄）

HAZOP信息與LOPA信息的關(guān)系

圖C.1  HAZOP信息與LOPA信息的關(guān)系

附錄D

（資料性附錄）

BPCS多個(gè)回路作為IPL的評估方法

D.1  同一BPCS多個(gè)功能回路作為IPL的評估方法

D.1.1  在同一場(chǎng)景中，當同一BPCS具有多個(gè)功能回路時(shí)，其IPL的評估可使用方法A或方法B。

D.1.2  方法A假設一個(gè)單獨BPCS回路失效，則其它所有共享相同邏輯控制器的BPCS回路都失效。對單一的BPCS，只允許有一個(gè)IPL，且應獨立于IE或任何使能事件。

D.1.3  方法B假設一個(gè)BPCS回路失效，最有可能是傳感器或最終控制元件失效，而B(niǎo)PCS邏輯控制器仍能正常運行。BPCS邏輯控制器的PFD比BPCS回路其它部件的PFD至少低兩個(gè)數量級。方法B允許同一BPCS有一個(gè)以上的IPL。如圖D.1所示，兩個(gè)BPCS回路使用相同的邏輯控制器。假設這兩個(gè)回路滿(mǎn)足作為同一場(chǎng)景下IPL的其它要求，方法A只允許其中一個(gè)回路作為IPL，方法B允許兩個(gè)回路都作為同一場(chǎng)景下的IPL。

圖D.1  同一場(chǎng)景下共享同一BPCS邏輯控制器的多條回路

D.2  同一場(chǎng)景下，同一BPCS多個(gè)功能回路同時(shí)作為IPL的要求

D.2.1  同一場(chǎng)景下，同一BPCS的多個(gè)功能回路同時(shí)作為IPL時(shí)，應滿(mǎn)足：

a）BPCS具有完善的安全訪(fǎng)問(wèn)程序，應確保將BPCS編程、變更或操作上潛在的人為失誤降低到可接受水平；

b）BPCS回路中的傳感器與最終執行元件在BPCS回路的所有部件中具有最高的失效概率值。

D.2.2  如果傳感器或最終執行元件是場(chǎng)景中其它IPL的公共組件或是IE的一部分，則多個(gè)回路不應作為多個(gè)IPL。如圖D.2所示，BPCS回路1和回路2均使用同一傳感器，在這個(gè)場(chǎng)景下，則這兩個(gè)BPCS回路只能作為一個(gè)IPL。同樣，如果最終執行元件（或相同報警和操作人員響應）被共享在兩個(gè)BPCS回路，那么這兩個(gè)BPCS回路也只能作為一個(gè)IPL。

圖D.2  同一場(chǎng)景下共享傳感器的BPCS回路

D.2.3  共享邏輯控制器輸入卡或輸出卡的額外BPCS回路不宜同時(shí)作為IPL。如圖D.3所示，假設滿(mǎn)足IPL的所有其它要求，則回路（傳感器A→輸入卡1→邏輯控制器→輸出卡1→最終執行元件1）可確定為IPL。如果第二個(gè)控制回路的路徑為（傳感器D→輸入卡2→邏輯控制器→輸出卡2→最終執行元件4），那么此回路也可確定為IPL。但是，如果第二個(gè)回路的路徑為（傳感器D→輸入卡2→邏輯控制器→輸出卡1→最終執行元件2），那么此回路不能作為IPL，因為輸出卡1共享在兩個(gè)回路中。

注：1、2、3、4是最終執行元件

圖D.3  相同場(chǎng)景下共享輸入/輸出卡的影響

D.2.4  如果IE不涉及BPCS邏輯控制器失效，每一個(gè)回路都滿(mǎn)足IPL的所有要求，在同一場(chǎng)景下，作為IPL的BPCS回路不應超過(guò)2個(gè)。如圖D.4所示，如果所有4個(gè)回路各自滿(mǎn)足相同場(chǎng)景下IPL的要求，在使用方法B時(shí)，最多只有兩個(gè)回路被作為IPL。

圖D.4  相同場(chǎng)景下BPCS功能回路作為IPL的最大數量

D.2.5  所有BPCS回路IPL總的PFD，不宜低于1×10^-2。

D.2.6  最終執行元件可以是機械動(dòng)作（例如：關(guān)閉閥門(mén)、啟動(dòng)泵）或一種是機械動(dòng)作，另一種是要求人員采取行動(dòng)的報警。在同一場(chǎng)景中，不宜將兩個(gè)人員響應同時(shí)作為IPL，除非證明它們完全獨立并且滿(mǎn)足人員行動(dòng)作為IPL的所有要求。

D.2.7  IE或使能事件涉及BPCS回路失效時(shí)，在同一場(chǎng)景中，宜只將1個(gè)BPCS回路作為IPL。如果人員失效是IE，不宜將啟動(dòng)人員行動(dòng)的BPCS報警視為IPL。

D.3  同一場(chǎng)景下，同一BPCS多個(gè)功能回路同時(shí)作為IPL的數據和人員要求

D.3.1  對數據與數據分析的要求如下：

a）方法B假設BPCS邏輯控制器的PFD比BPCS回路其它部件的PFD至少低兩個(gè)數量級，應具有支持這個(gè)假設的數據，并對數據進(jìn)行分析。這些數據包括：

1）BPCS邏輯控制器、輸入/輸出卡、傳感器、最終執行元件、人員響應等歷史性能數據；

2）系統制造商提供的數據；

3）檢查、維護和功能性測試數據；

4）儀表圖、管道和儀表流程圖（P&ID）、回路圖、標準規范等資料；

5）訪(fǎng)問(wèn)BPCS，進(jìn)行程序更改、旁路報警等安全訪(fǎng)問(wèn)BPCS的信息。

b）對這些數據的分析應包括：

1）計算設備或系統BPCS回路組件的有效失效率；

2）各種組件，特別是BPCS邏輯控制器PFD數據的比較；

3）邏輯輸入/輸出卡及相關(guān)回路的獨立性評估；

4）安全訪(fǎng)問(wèn)控制充分性評估；

5）使用多重BPCS回路作為同一場(chǎng)景下的多個(gè)IPL的合適性評估。

D.3.2  對分析人員的要求如下：

a）分析人員應能夠：

1）判斷是否有足夠和完整的數據，這些數據是否能滿(mǎn)足足夠精度的計算；

2）了解儀表的設計和BPCS系統是否滿(mǎn)足獨立性要求；

3）理解建議的IPL對工藝或系統的影響。

b）分析小組或人員應具有相關(guān)專(zhuān)業(yè)知識，如：

1）對BPCS邏輯控制器具有足夠低的PFD的獨立第三方認證；

2）對歷史性能數據和維修記錄的分析，建立設計標準使多個(gè)BPCS回路滿(mǎn)足IPL的要求；

3）設計并執行多個(gè)BPCS回路系統使之滿(mǎn)足獨立性與可靠性要求等。

c）如果分析小組或人員不能滿(mǎn)足以上要求，那么在判斷BPCS回路作為IPL時(shí)，宜使用方法A進(jìn)行分析。

附錄E 

（資料性附錄）

失效數據

表E.1  IE典型頻率值

表E.2  某公司采用的IE典型頻率值

表E.3  化工行業(yè)典型IPL的PFD

附錄F 

（資料性附錄）

風(fēng)險標準和ALARP原則

F.1 風(fēng)險標準

表F.1 數值風(fēng)險標準（廠(chǎng)外個(gè)體風(fēng)險）

表F.2  風(fēng)險評估矩陣

表F.3  后果定性分級方法

F.2 ALARP原則

F.2.1 ALARP原則

ALARP原則指在當前的技術(shù)條件和合理的費用下，對風(fēng)險的控制要做到在合理可行的原則下“盡可能的低”。按照ALARP原則，風(fēng)險區域可分為：

a）不可接受的風(fēng)險區域。在本標準F.2中指高風(fēng)險和很高風(fēng)險區域。在這個(gè)區域，除非特殊情況，風(fēng)險是不可接受的 ；

b）允許的風(fēng)險區域。在本標準F.2指中風(fēng)險區域。在這個(gè)區域內必須滿(mǎn)足以下條件之一時(shí)，風(fēng)險才是可允許的：

1）在當前的技術(shù)條件下，進(jìn)一步降低風(fēng)險不可行

2）降低風(fēng)險所需的成本遠遠大于降低風(fēng)險所獲得的收益

c）廣泛可接受的風(fēng)險區域。在本標準F.2中指低風(fēng)險區域。在這個(gè)區域，剩余風(fēng)險水平是可忽略的，一般不要求進(jìn)一步采取措施降低風(fēng)險。

圖F.1  ALARP原則

ALARP原則推薦在合理可行的情況下，把風(fēng)險降低到“盡可能低”。如果一個(gè)風(fēng)險位于兩種極端情況（高風(fēng)險及以上不可接受區域和廣泛可接受的風(fēng)險區域）之間，如果使用了ALARP原則，則所得到的風(fēng)險可認為是可允許的風(fēng)險。

如果風(fēng)險處于高風(fēng)險及以上區域，則該風(fēng)險是不可接受的，應把它降低到可接受風(fēng)險水平。

在廣泛可接受的低風(fēng)險區域，不需要進(jìn)一步降低風(fēng)險，但有必要保持警惕以確保風(fēng)險維持在這一水平。

F.2.2 可接受風(fēng)險水平

根據ALARP原則，可接受風(fēng)險水平指允許的風(fēng)險區域或廣泛可接受的風(fēng)險區域。

附錄G

（資料性附錄）

LOPA示例

附錄G包含的示例旨在舉例說(shuō)明本標準中描述的LOPA分析流程。示例中的工藝設計已進(jìn)行了簡(jiǎn)化，僅用于演示。采用附錄F的風(fēng)險矩陣進(jìn)行LOPA場(chǎng)景篩選和風(fēng)險決策。

G.1  正己烷緩沖罐溢流

G.1.1  工藝描述

簡(jiǎn)化P&ID見(jiàn)圖G.1。示例的詳細描述可參見(jiàn)《Layer of Protection Analysis—Simplified Process Risk Assessment》。來(lái)自上游工藝單元的正己烷進(jìn)入正己烷緩沖罐T-401。正己烷供料管道總是帶壓。正己烷緩沖罐液位受液位控制回路（LIC-90）控制，LIC-90檢測儲罐液位，通過(guò)調節液位閥（LV-90）控制液位。正己烷輸往下游工藝使用。LIC回路包括提醒操作人員的高液位報警（LAH-90）。儲罐總容量為30 t，通常盛裝一半的容量。儲罐位于防火堤內，該防火堤能夠容納45 t正己烷。

圖G.1  正己烷緩沖罐溢流

G.1.2  場(chǎng)景識別與篩選

采用前期進(jìn)行的HAZOP分析作為場(chǎng)景信息來(lái)源。正己烷緩沖罐T-401的HAZOP分析結果見(jiàn)表G.1。根據后果分級表F.3，篩選進(jìn)行LOPA分析的場(chǎng)景。本例選擇分析的場(chǎng)景為正己烷緩沖罐溢流，防火堤發(fā)生失效，導致大面積火災，造成人員的傷亡，后果等級為5。

表G.1  正己烷緩沖罐T-401 HAZOP分析

G.1.3  IE確認

本例選定IE為BPCS液位控制回路失效，根據表E.1，其失效頻率為1×10^-1 /a。

G.1.4  IPL評估

a）防火堤

一旦發(fā)生罐體溢流，合適的防火堤可以包容這些溢流物。如果防火堤失效，將發(fā)生大面積擴散，從而發(fā)生潛在的火災、損害和死亡。防火堤滿(mǎn)足IPL所有的要求，包括：

1）如果按照設計運行，防火堤可有效地包容儲罐的溢流；

2）防火堤獨立于任何其他獨立保護層和IE；

3）可以審查防火堤的設計、建造和目前的狀況。

對于本例，根據表E.3，防火堤的PFD取1 × 10^-2。

b）BPCS報警和人員響應行動(dòng)

在本例中，人員行動(dòng)不作為獨立保護層，原因如下：

1）由于操作人員不總是在現場(chǎng)，在防火堤失效導致重大釋放前，不能假設獨立于任何報警的操作人員行動(dòng)能有效地檢測和阻止釋放。

2）BPCS液位控制回路失效（IE）導致系統不能產(chǎn)生報警，從而不能提醒操作人員采取行動(dòng)以阻止緩沖罐進(jìn)料。因此，BPCS產(chǎn)生的任何報警不能完全獨立于BPCS系統，不能作為獨立保護層。

c）安全閥

緩沖罐上的安全閥無(wú)法防止緩沖罐發(fā)生溢流，因此，對于本場(chǎng)景，安全閥不是IPL。

G.1.5  場(chǎng)景頻率計算

取點(diǎn)火概率為1，人員暴露概率為0.5，人員傷亡概率為0.5，則后果發(fā)生頻率為：

f_i^C= f_i^I×PFD_dike×P_ig×P_ex×P_d

=（1×10^-1/a）×（1×10^-2）×1×0.5×0.5

=2.5×10^-4/a

=2×10^-4/a（取整）

式中：

f_i^C——初始事件i的后果C的發(fā)生頻率，單位為 /a；

f_i^I ——初始事件i的發(fā)生頻率，單位為 /a；

PFD_dike——防火堤的PFD；

P_ig ——點(diǎn)火概率；

P_ex ——人員暴露概率；

P_d ——人員傷亡概率。

G.1.6  風(fēng)險評估與決策

緩沖罐LIC失效，溢流物未被防火堤包容，溢出物被點(diǎn)燃，造成人員傷亡，后果等級為5級。事件發(fā)生的頻率為2×10^-4 /a。根據后果等級5和頻率2×10^-4 /a，查詢(xún)表F.2，其風(fēng)險等級為高風(fēng)險，要求：選擇合適的時(shí)機采取行動(dòng)。

分析小組決定安裝一個(gè)獨立的SIF，用于檢測和阻止溢流。本SIF采用獨立的液位傳感器，邏輯控制器和獨立的截斷閥，見(jiàn)圖G.2中粗線(xiàn)部分。當檢測到高液位時(shí)，該SIF聯(lián)鎖關(guān)流量控制閥LV-90和遠程截斷閥?？筛鶕髽I(yè)具體的風(fēng)險控制要求，確定該SIF的SIL。在本例中，確定該SIF的FPD為1×10^-2（SIL1）。對于場(chǎng)景，SIF將釋放事件的頻率從2×10^-4 /a降低到2×10^-6 /a。在風(fēng)險矩陣中，對于后果等級5，頻率為2×10^-6 /a的事件，其風(fēng)險等級為中風(fēng)險，要求：可選擇性的采取行動(dòng)。此時(shí)，企業(yè)可采用成本效益分析，決定是否需采用額外的措施進(jìn)一步降低風(fēng)險。

圖G.2  正己烷緩沖罐溢流（增加IPL后）

G.1.7  LOPA記錄表

本案例LOPA記錄表見(jiàn)表G.2。

表G.2  LOPA記錄表

G.2  PVC反應器

G.2.1  工藝描述

圖G.3為氯乙烯單體（VCM）生產(chǎn)聚氯乙烯（PVC）工藝的簡(jiǎn)化P&ID圖。示例的詳細描述可參見(jiàn)《Layer of Protection Analysis—Simplified Process Risk Assessment》。此過(guò)程為間歇聚合反應。水、液態(tài)VCM、引發(fā)劑和添加劑通過(guò)同一噴管注入攪動(dòng)的夾套反應器內。注入噴管與安全閥（PSV）相連接，抑制劑也可通過(guò)同一噴管添加。

圖G.3  PVC工藝簡(jiǎn)化P&ID圖

G.2.2  場(chǎng)景識別與篩選

根據前期進(jìn)行的危害分析，通過(guò)后果分級表F.3，篩選進(jìn)行LOPA的場(chǎng)景。表G.3為篩選出的LOPA場(chǎng)景。本例以場(chǎng)景1為例進(jìn)行分析。場(chǎng)景1為冷卻水失效，導致反應失控，反應器潛在的超壓、泄漏、斷裂，造成人員受傷和死亡，后果等級為5級。

表G.3 篩選出的LOPA場(chǎng)景

G.2.3  初始事件確認

本例選定IE為冷卻水失效，根據表E.1，其失效頻率為1 × 10^-1。冷卻水損失引起反應失控的反應器條件概率為0.5。

G.2.4  IPL評估

a）BPCS報警和人員響應行動(dòng)

冷卻水失效時(shí)，BPCS將會(huì )產(chǎn)生低流量報警，人員添加抑制劑。BPCS報警和人員響應可滿(mǎn)足IPL的要求，包括：

1）BPCS報警和人員響應獨立于IE和其他獨立保護層；

2）僅要求操作人員執行添加抑制劑的行動(dòng)，任務(wù)具有單一性和可操作性；

3）操作人員有足夠的響應時(shí)間； 

4）如果操作人員訓練有素，身體條件合適，則能夠完成報警所觸發(fā)的操作任務(wù)。

對于本例，根據表E.3，該IPL的PFD取1 × 10^-1。

b）安全閥

安全閥可防止反應器發(fā)生超壓泄漏，但是由于安全閥放空與抑制劑的添加共用同一管道，無(wú)法保證安全閥放空與抑制劑的添加可以同時(shí)進(jìn)行，因此需修改安全閥設計，安全閥安裝獨立的放空管線(xiàn)。此外，考慮在安全閥下增加氮氣吹掃，以最小化管線(xiàn)或閥門(mén)進(jìn)口聚合物沉積或凍結。變更后，如果安全閥安裝和維護符合IPL的要求，可作為IPL。

對于本例，根據表E.3，變更后該IPL的PFD取1 × 10^-2。

c）緊急冷卻系統（蒸氣渦輪機）

在本例中，緊急冷卻系統不能作為IPL，因為其不獨立于IE，與冷卻水系統有多個(gè)公共元件（管線(xiàn)、閥門(mén)等）。這些公共元件在引起冷卻水失效時(shí)，也會(huì )導致緊急冷卻系統失效。

G.2.5 場(chǎng)景頻率計算

后果發(fā)生頻率為：

f_i^C= f_i^I×P_c×PFD_BPCS×PFD_PSV

=（1×10^-1/a）×0.5×（1×10^-2）×1×10^-1

=5×10^-5/a

式中：

f_i^C——IEi的后果C的發(fā)生頻率，單位為 /a；

f_i^I ——IEi的發(fā)生頻率，單位為 /a；

P_C ——條件概率；

PFD_BPCS ——BPCS報警和人員響應行動(dòng)的PFD；

PFD_PSV ——安全閥的PFD。

G.2.6  風(fēng)險評估與決策

冷卻水失效，導致反應失控，反應器潛在的超壓、泄漏、斷裂，潛在的受傷和死亡，后果等級為5級。后果發(fā)生的頻率為5×10^-5 /a。根據后果等級5和頻率5×10^-5 /a，查詢(xún)表F.2，風(fēng)險等級為中風(fēng)險，要求：可選擇性的采取行動(dòng)。

分析小組決定安裝一個(gè)獨立的SIF，當檢測到超壓時(shí)，聯(lián)鎖打開(kāi)放空閥。放空閥具有獨立的放空管線(xiàn)，同樣在放空閥下考慮增加氮氣吹掃。該SIF的設置見(jiàn)圖G.4粗線(xiàn)部分?？筛鶕髽I(yè)具體的風(fēng)險控制要求，確定該SIF的SIL。在本例中，確定該SIF的FFD為1×10^-2 （SIL1）。對于場(chǎng)景，SIF將釋放事件的頻率從5×10^-5 /a降低到5×10^-7 /a。根據表F.2，對于后果等級5，頻率為5×10^-7 /a的事件，風(fēng)險等級為低風(fēng)險，不需采取行動(dòng)。

圖G.4  PVC工藝簡(jiǎn)化P&ID圖（增加IPL后）

G.2.7  LOPA記錄表

本案例LOPA記錄表如表G.4所示。

表G.4  LOPA記錄表

G.3  循環(huán)氫加熱爐

G.3.1  工藝描述

加氫裂化裝置循環(huán)氫加熱爐簡(jiǎn)化P&ID圖見(jiàn)圖G.5。該循環(huán)氫加熱爐為立管立式爐，介質(zhì)流量為6000Nm^3/h，爐管的設計壓力為20MPa，對流段設計熱負荷為1139kW，輻射段設計熱負荷為3877kW，用于加熱循環(huán)氫。該爐子位于加氫裂化反應器入口，氫氣經(jīng)過(guò)爐子加熱后與精制油、循環(huán)油、熱高分來(lái)的常規液態(tài)烴混合進(jìn)入加氫裂化反應器。

圖G.5  加氫裂化裝置循環(huán)氫加熱爐簡(jiǎn)化P&ID圖

G.3.2  場(chǎng)景識別與篩選

采用HAZOP分析辨識工藝中存在的主要危險，通過(guò)后果分級表F.3，篩選進(jìn)行LOPA的場(chǎng)景。表G.5為篩選出的LOPA場(chǎng)景。本例以場(chǎng)景2為例進(jìn)行分析。場(chǎng)景2為燃料氣總管壓力低造成加熱爐熄火，爐內燃料氣積聚導致遇明火爆炸。后果等級為4級。

表G.7 篩選出的LOPA場(chǎng)景

G.2.3  初始事件確認

本例選定IE為燃料氣總管壓力傳感器故障，人員未及時(shí)響應，根據表E.1，其失效頻率為1 × 10^-2。

G.2.4  IPL評估

燃料氣總管壓力設有SIF。當PT3108檢測到燃料氣壓力過(guò)低時(shí)，SIF邏輯控制器輸出信號關(guān)閉XCV31404A和XCV3104B，同時(shí)切斷去主火嘴的燃料氣和去長(cháng)明燈的燃料氣，熄滅火嘴和長(cháng)明燈，防止加熱爐內因熄火出現燃料氣積聚而導致遇明火爆炸。但是，由于該SIF與人員響應得到的報警共用一個(gè)傳感器，不獨立于初始事件的發(fā)生，所以，該SIF不能作為IPL。

G.2.5 場(chǎng)景頻率計算

后果發(fā)生頻率為：

f_i^C= f_i^I=1×10^-2/a

式中：

f_i^C——IEi的后果C的發(fā)生頻率，單位為 /a；

f_i^I ——IEi的發(fā)生頻率，單位為 /a；

G.2.6  風(fēng)險評估與決策

燃料氣總管壓力低造成加熱爐熄火，爐內燃料氣積聚導致遇明火爆炸，后果等級為4級。后果發(fā)生的頻率為1×10^-2 /a。根據后果等級4和頻率1×10^-2 /a，查詢(xún)表F.2，風(fēng)險等級為高風(fēng)險，要求：選擇合適的時(shí)機采取行動(dòng)。

分析小組將燃料氣總管壓力低報警和人員響應系統與燃料氣總管壓力SIF在硬件上獨立。此時(shí)，燃料氣總管壓力SIF可作為IPL?？筛鶕髽I(yè)具體的風(fēng)險控制要求，確定該SIF的SIL。在本例中，確定該SIF的FFD為1×10^-2 （SIL1）。對于場(chǎng)景，SIF將釋放事件的頻率從1×10^-2 /a降低到1×10^-4 /a。根據表F.2，對于后果等級4，頻率為1×10^-4 /a的事件，風(fēng)險等級為中風(fēng)險，企業(yè)可采用成本效益分析，決定是否需采用額外的措施進(jìn)一步降低風(fēng)險。

G.2.7  LOPA記錄表

本案例LOPA記錄表如表G.6所示。

表G.6  LOPA記錄表