目    次

引言 2

1  范圍 2

2  規(guī)范性引用文件  2

3  術(shù)語、定義和縮略語 2

4  LOPA基本程序 2

5  場景識別與篩選 2

6  初始事件確認(rèn) 2

7  獨立保護(hù)層評估 2

8  場景頻率計算 2

9  風(fēng)險評估與決策 2

10  LOPA報告 2

11  LOPA后續(xù)跟蹤及審查 2

附錄A（規(guī)范性附錄）LOPA基本程序 2

附錄B（資料性附錄）LOPA應(yīng)用時機(jī) 2

附錄C（資料性附錄）HAZOP信息與LOPA信息的關(guān)系 2

附錄D（資料性附錄）BPCS多個回路作為IPL的評估方法 2

附錄E（資料性附錄）失效數(shù)據(jù) 2

附錄F（資料性附錄）風(fēng)險標(biāo)準(zhǔn)和ALARP原則 2

附錄G（資料性附錄）LOPA示例 2

前    言

本標(biāo)準(zhǔn)編制依據(jù)GB/T 1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由國家安全生產(chǎn)監(jiān)督管理總局提出。

本標(biāo)準(zhǔn)由全國安全生產(chǎn)標(biāo)準(zhǔn)化技術(shù)委員會化學(xué)品安全分技術(shù)委員會（TC288/SC3）歸口。

本標(biāo)準(zhǔn)主要起草單位：中國石油化工股份有限公司青島安全工程研究院、國家石化項目風(fēng)險評估技術(shù)中心、中國石化洛陽工程有限公司。

本標(biāo)準(zhǔn)主要起草人：白永忠、韓中樞、黨文義、萬古軍、文科武、張廣文、于安峰、王全國、武志峰、沈郁、趙文芳。

引    言

一個典型的化工過程包含各種保護(hù)層，如本質(zhì)安全設(shè)計、基本過程控制系統(tǒng)（BPCS）、報警與人員干預(yù)、安全儀表功能（SIF）、物理保護(hù)（安全閥等）、釋放后保護(hù)設(shè)施、工廠應(yīng)急響應(yīng)和社區(qū)應(yīng)急響應(yīng)等。這些保護(hù)層降低了事故發(fā)生的頻率。在開展化工過程工藝危害分析時，保護(hù)層是否足夠，能否有效防止事故的發(fā)生是分析人員最為關(guān)注的一個問題。保護(hù)層分析（Layer of protection analysis，簡稱LOPA）是在定性危害分析的基礎(chǔ)上，進(jìn)一步評估保護(hù)層的有效性，并進(jìn)行風(fēng)險決策的系統(tǒng)方法，其主要目的是確定是否有足夠的保護(hù)層使過程風(fēng)險滿足企業(yè)的風(fēng)險可接受標(biāo)準(zhǔn)。LOPA是一種半定量的風(fēng)險評估技術(shù)，通常使用初始事件頻率、后果嚴(yán)重程度和獨立保護(hù)層（IPL）失效頻率的數(shù)量級大小來近似表征場景的風(fēng)險。

本標(biāo)準(zhǔn)主要對LOPA基本程序進(jìn)行了明確的規(guī)范和詳細(xì)的描述，重點規(guī)定了LOPA場景與篩選、初始事件確認(rèn)、獨立保護(hù)層（IPL）、場景頻率計算、風(fēng)險評估與決策等方面的技術(shù)要求。本標(biāo)準(zhǔn)的制定，可為國內(nèi)化工企業(yè)開展LOPA提供技術(shù)指導(dǎo)，同時為LOPA的規(guī)范化和標(biāo)準(zhǔn)化奠定基礎(chǔ)。

保護(hù)層分析（LOPA）方法應(yīng)用導(dǎo)則

1  范圍

本標(biāo)準(zhǔn)規(guī)定了化工企業(yè)采用LOPA方法的技術(shù)要求，包括LOPA基本程序、場景識別與篩選、初始事件確認(rèn)、獨立保護(hù)層評估、場景頻率技術(shù)、風(fēng)險評估與決策、LOPA報告和LOPA后續(xù)跟蹤及審查。

本標(biāo)準(zhǔn)適用于化工企業(yè)新建、改建、擴(kuò)建和在役裝置（設(shè)施）的保護(hù)層分析。

2  規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 21109.1  過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全  第1部分：框架、定義、系統(tǒng)、硬件和軟件要求

AQ/T 3034  化工企業(yè)工藝安全管理實施導(dǎo)則

3  術(shù)語、定義和縮略語

下列術(shù)語、定義和縮略語適用于本文件。

3.1 術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1.1  

場景  scenario

可能導(dǎo)致不期望后果的一種事件或事件序列。每個場景至少包含兩個要素：初始事件及其后果。

3.1.2  

初始事件 initiating event

事故場景的初始原因。

3.1.3

后果  consequence

事件潛在影響的度量，一種事件可能有一種或多種后果。

3.1.4

保護(hù)層 protection layer

能夠阻止場景向不期望后果發(fā)展的設(shè)備、系統(tǒng)或行動。

3.1.5

獨立保護(hù)層  independent protection layer

能夠阻止場景向不期望后果發(fā)展，并且獨立于場景的初始事件或其它保護(hù)層的設(shè)備、系統(tǒng)或行動。

3.1.6

保護(hù)層分析 layer of protection analysis

通過分析事故場景初始事件、后果和獨立保護(hù)層，對事故場景風(fēng)險進(jìn)行半定量評估的一種系統(tǒng)方法。

3.1.7

要求時的失效概率 probability of failure on demand

系統(tǒng)要求獨立保護(hù)層起作用時，獨立保護(hù)層發(fā)生失效，不能完成一個具體功能的概率。

3.1.8

風(fēng)險評估 risk assessment

將風(fēng)險分析的結(jié)果和風(fēng)險可接受標(biāo)準(zhǔn)進(jìn)行對比，進(jìn)行風(fēng)險決策的過程。

3.1.9

安全儀表功能 safety instrumented function

為了達(dá)到功能安全所必需的具有特定安全完整性水平的安全功能。

3.1.10

安全關(guān)鍵設(shè)備 safety critical equipment

可提供獨立保護(hù)層降低場景風(fēng)險等級，或?qū)鼍暗娘L(fēng)險由“不可接受風(fēng)險”轉(zhuǎn)變?yōu)?amp;ldquo;可接受風(fēng)險”的工程控制設(shè)備。

3.1.11

使能必要事件或條件 enabling event or condition

不直接導(dǎo)致場景的事件或條件，但是對于場景的繼續(xù)發(fā)展，這些事件或條件應(yīng)存在。

3.1.12

根原因 root cause

事故發(fā)生的根本原因。根原因通常是管理上存在的某種缺陷。

3.1.13

安全儀表系統(tǒng) safety instrumented system

用來實現(xiàn)一個或幾個儀表安全功能的儀表系統(tǒng)，可由傳感器、邏輯控制器和最終元件的任何組合組成。

3.1.14

防護(hù)措施 safeguard

可能中斷初始事件后的事件鏈或減輕后果的任何設(shè)備、系統(tǒng)或行動。

3.1.15

“盡可能合理降低”原則 as low as reasonably practicable

在當(dāng)前的技術(shù)條件和合理的費用下，對風(fēng)險的控制要做到在合理可行的原則下“盡可能的低”。

3.2  縮略語

本標(biāo)準(zhǔn)使用的縮略語見表1。

表1  本標(biāo)準(zhǔn)使用的縮略語

4  LOPA基本程序

4.1  基本程序

4.1.1  保護(hù)層分析（LOPA）是在定性危害分析的基礎(chǔ)上，進(jìn)一步評估保護(hù)層的有效性，并進(jìn)行風(fēng)險決策的系統(tǒng)方法。其主要目的是確定是否有足夠的保護(hù)層使風(fēng)險滿足企業(yè)的風(fēng)險標(biāo)準(zhǔn)。

4.1.2  LOPA基本流程圖見附錄A，主要過程包括：

a）場景識別與篩選；

b）初始事件（IE）確認(rèn)；

c）獨立保護(hù)層（IPL）評估；

d）場景頻率計算；

e）風(fēng)險評估與決策；

f）后續(xù)跟蹤與審查。

4.1.3  在使用LOPA前，應(yīng)確定以下分析標(biāo)準(zhǔn)：

a）后果度量形式及后果分級方法；

b）后果頻率的計算方法；

c）IE頻率的確定方法；

d）IPL要求時的失效概率（PFD）的確定方法；

e）風(fēng)險度量形式和風(fēng)險可接受標(biāo)準(zhǔn)；

f）分析結(jié)果與建議的審查及后續(xù)跟蹤。

4.2  應(yīng)用時機(jī)

4.2.1  在過程危害分析中出現(xiàn)以下情形時，可使用LOPA：

a）事故場景后果嚴(yán)重，需要確定后果的發(fā)生頻率；l

b）確定事故場景的風(fēng)險等級以及事故場景中各種保護(hù)層降低的風(fēng)險水平；

c）確定安全儀表功能（SIF）的安全完整性等級（SIL）；

d）確定過程中的安全關(guān)鍵設(shè)備或安全關(guān)鍵活動；

e）其他適用LOPA的情形等。

4.2.2  LOPA應(yīng)用時機(jī)參見附錄B。當(dāng)無法確定事故場景的風(fēng)險時，可采用定量方法進(jìn)行定量風(fēng)險評價。 

4.2.3  LOPA的應(yīng)用有以下局限性：

a）LOPA不是識別危險場景的工具，LOPA的正確執(zhí)行取決于定性危險評價方法所得出的危險場景的準(zhǔn)確性，包括初始事件和相關(guān)的安全措施是否正確和全面；

b）當(dāng)使用LOPA時，只有如下條件滿足時才能進(jìn)行場景風(fēng)險的對比：

1）選擇失效數(shù)據(jù)的方法相同；

2）采用相同的風(fēng)險標(biāo)準(zhǔn)；

c）LOPA是一種簡化的方法，其計算結(jié)果并不是場景風(fēng)險的精確值。

4.3  小組組成

4.3.1  LOPA由一個小組完成。LOPA小組成員可包括但不限于以下人員：

a）組長；

b）記錄員；

c）設(shè)計人員；

d）操作人員；

e）工藝人員；

f）設(shè)備工程師

g）儀表工程師；

h）安全工程師。

4.3.2  根據(jù)需要，可要求以下人員參加LOPA：

a）工藝包供應(yīng)商；

b）成套工藝設(shè)備供應(yīng)商；

c）公用工程工程師；

d）電氣工程師；

e）其他專業(yè)工程師。

4.3.3  如果LOPA是基于HAZOP分析的結(jié)果，LOPA小組人員組成宜包括HAZOP分析小組成員。

5  場景識別與篩選

5.1  場景應(yīng)滿足以下基本要求：

a）每個場景應(yīng)有唯一的IE及其對應(yīng)的單一后果；

b）當(dāng)同一IE導(dǎo)致不同的后果時，或多種IE導(dǎo)致同一后果時，應(yīng)假設(shè)多個場景；

c）當(dāng)場景中存在使能必要事件或條件，應(yīng)將其包含在場景中。

5.2  場景識別與信息來源

5.2.1  場景信息來源于危險分析的結(jié)果，包括：

a）采用HAZOP分析方法進(jìn)行危害分析的結(jié)果；

b）采用AQ/T 3034中的工藝危害分析方法進(jìn)行危害分析的結(jié)果；

c）事故分析結(jié)果；

d）工藝變更分析；

e）安全儀表功能審查結(jié)果；

f）其他危害分析結(jié)果等。

5.2.2  當(dāng)利用HAZOP分析結(jié)果進(jìn)行LOPA時，兩者之間的信息對應(yīng)關(guān)系參見附錄C。

5.2.3  當(dāng)利用已有的定性危害分析結(jié)果進(jìn)行LOPA時，宜對定性危害分析的結(jié)果進(jìn)行審查，確保識別出所有的危害后果及導(dǎo)致后果的所有原因。

5.3  場景篩選

5.3.1  宜采用定性或定量的方法對場景后果的嚴(yán)重性進(jìn)行評估，并根據(jù)后果嚴(yán)重性評估結(jié)果對場景進(jìn)行篩選。 

5.3.2  典型的后果種類包括：人員傷害、財產(chǎn)損失、環(huán)境和聲譽(yù)影響等。

6  初始事件確認(rèn)

6.1  IE一般包括外部事件、設(shè)備故障和人員失誤，具體分類見表2。

表2  IE類型

6.2  在確定IE時，應(yīng)遵循以下原則：

a）宜對后果的原因進(jìn)行審查，確保該原因為后果的有效IE；

b）應(yīng)將每個原因細(xì)分為具體的失效事件，如“冷卻失效”可細(xì)分為冷卻劑泵故障、電力故障或控制回路失效；

c）人員失誤的根原因（如培訓(xùn)不完善）、設(shè)備的不完善測試和維護(hù)等不宜作為IE。

7  獨立保護(hù)層評估

7.1  IPL確定原則

化工企業(yè)保護(hù)層作為IPL時，應(yīng)滿足以下基本要求： 

a）獨立性：

1）獨立于IE的發(fā)生及其后果；

2）獨立于同一場景中的其它IPL。

b）有效性：

1）能檢測到響應(yīng)的條件；

2）在有效的時間內(nèi)，能及時響應(yīng)；

3）在可用的時間內(nèi)，有足夠的能力采取所要求的行動；

4）滿足所選擇的PFD的要求。

c）安全性。應(yīng)使用管理控制或技術(shù)手段減少非故意的或未授權(quán)的變動。

d）變更管理。設(shè)備、操作程序、原料、過程條件等任何改動應(yīng)執(zhí)行變更管理程序，以滿足變更后保護(hù)層的IPL要求。

e）可審查性。應(yīng)有可用的信息、文檔和程序可查，以說明保護(hù)層的設(shè)計、檢查、維護(hù)、測試和運行活動能夠使保護(hù)層達(dá)到IPL的要求。

7.2  化工企業(yè)典型保護(hù)層及作為IPL的要求

化工企業(yè)典型的保護(hù)層及作為IPL的要求見表3。

表3  化工企業(yè)典型的保護(hù)層及作為IPL的要求

7.3  不作為IPL的防護(hù)措施

通常不作為IPL的防護(hù)措施見表4。

表4  通常不作為IPL的防護(hù)措施

8  場景頻率計算

8.1  風(fēng)險和頻率的定量計算

8.1.1  場景的發(fā)生頻率計算見式（1）：

                 （1）

式中：

f_i^C——初始事件i的后果C的發(fā)生頻率，單位為 /a；

f_i^I——初始事件i的發(fā)生頻率，單位為 /a；

PFD_ij——初始事件i中第j個阻止后果C發(fā)生的IPL的PFD。

8.1.2  在計算場景頻率時，可根據(jù)需要對場景頻率進(jìn)行修正，見式（2）~式（6）：

a）存在使能事件或條件時：

                            （2）

式中：

f_i^E——使能事件或條件發(fā)生概率；

b）采用點火概率、人員暴露和具體傷害的概率對不同后果場景頻率進(jìn)行修正：

1）火災(zāi)發(fā)生的頻率：

                          （3）

式中：

P_ig——點火概率；

2）人員暴露于火災(zāi)中的頻率：

                          （4）

式中：

P_ex——人員暴露概率；

3）火災(zāi)引起人員受傷的頻率：

                     （5）

式中：

P_d——人員受傷或死亡概率；

4）對于毒性影響，人員傷害的頻率方程與火災(zāi)傷害方程相似，毒性影響不需要點火概率，公式（5）變?yōu)椋?/p>

                              （6）

8.2  初始事件發(fā)生頻率和IPL的PFD

8.2.1  初始事件發(fā)生頻率和IPL的PFD數(shù)據(jù)可采用：

a) 行業(yè)統(tǒng)計數(shù)據(jù)；

b) 企業(yè)歷史統(tǒng)計數(shù)據(jù)；

c) 基于失效模式、影響和診斷分析（FMEDA）和故障樹分析（FTA）等的數(shù)據(jù)；

d）其他可用數(shù)據(jù)等。

8.2.2 選擇失效數(shù)據(jù)時，應(yīng)滿足以下要求：

a）在整個分析過程中，使用的所有失效數(shù)據(jù)的選用原則應(yīng)一致；

b）選擇的失效率數(shù)據(jù)應(yīng)具有行業(yè)代表性或能代表操作條件；

c）使用企業(yè)歷史統(tǒng)計數(shù)據(jù)時，只有該歷史數(shù)據(jù)充足并具有統(tǒng)計意義時才能使用；

d）使用普通的行業(yè)數(shù)據(jù)時，可根據(jù)企業(yè)的具體條件對數(shù)據(jù)進(jìn)行修正；

e）可對失效頻率數(shù)據(jù)取整至最近的整數(shù)數(shù)量級。 

8.2.3  在確定IE發(fā)生頻率和典型IPL的PFD時，應(yīng)考慮實際的運行環(huán)境對發(fā)生頻率或PFD的影響：

a）當(dāng)系統(tǒng)或操作不連續(xù)（裝載/卸載、間歇工藝等）時，應(yīng)根據(jù)其實際的運行時間對失效頻率數(shù)據(jù)進(jìn)行修正；

b）在確定安全閥、阻火器或隔爆器等設(shè)備的PFD時，應(yīng)考慮其實際運行環(huán)境中可能出現(xiàn)的污染、堵塞、腐蝕、不恰當(dāng)維護(hù)等因素對PFD進(jìn)行修正；

c）典型IE發(fā)生頻率和典型IPL的PFD參見附錄E。

9  風(fēng)險評估與決策

9.1  對事故場景風(fēng)險，可根據(jù)場景頻率計算結(jié)果和后果等級，使用定量數(shù)值風(fēng)險標(biāo)準(zhǔn)、風(fēng)險矩陣等形式進(jìn)行風(fēng)險等級評估，定量數(shù)值風(fēng)險標(biāo)準(zhǔn)和風(fēng)險矩陣示例參見附錄F。

9.2  根據(jù)事故場景風(fēng)險等級進(jìn)行風(fēng)險決策，風(fēng)險決策宜采取ALARP原則，將事故場景風(fēng)險降低到可接受風(fēng)險水平，ALARP和可接受風(fēng)險水平概念參見附錄F。

10  LOPA報告

10.1  LOPA分析結(jié)束時，應(yīng)生成LOPA記錄表和報告。LOPA分析案例和記錄表形式可參見附錄G。10.2  LOPA報告應(yīng)包括以下內(nèi)容：

a）場景的信息來源說明；

b）企業(yè)的風(fēng)險標(biāo)準(zhǔn)；

c）IE發(fā)生頻率和IPL的PFD；

d）場景中IPL和非IPL的評估結(jié)果；

e）場景的風(fēng)險評估結(jié)果；

f）滿足風(fēng)險標(biāo)準(zhǔn)要求采取的行動及后續(xù)跟蹤；

g）如果有必要，對需要采取不同技術(shù)進(jìn)行深入研究的問題提出建議；

h）對分析期間所發(fā)現(xiàn)的不確定情況及不確定數(shù)據(jù)的處理；

i）分析小組使用的所有圖紙、說明書、數(shù)據(jù)表和危險分析報告等的清單（包括引用的版本號）； 

j）參加分析的小組成員名單。

10.3  LOPA報告應(yīng)經(jīng)小組成員簽字確認(rèn)。若LOPA小組不能達(dá)成一致意見，應(yīng)記錄原因。

11  LOPA后續(xù)跟蹤及審查

11.1  宜對LOPA分析結(jié)果的執(zhí)行情況進(jìn)行后續(xù)跟蹤，對LOPA提出的降低風(fēng)險行動的實施情況進(jìn)行落實。

11.2  LOPA的程序和分析結(jié)果可接受相關(guān)的審查。

附錄A

（規(guī)范性附錄）

LOPA基本程序

LOPA基本程序如圖A.1所示，包括：

a）場景識別與篩選。LOPA通常評估先前危害分析研究中識別的場景。分析人員可采用定性或定量的方法對這些場景后果的嚴(yán)重性進(jìn)行評估，并根據(jù)后果嚴(yán)重性評估結(jié)果對場景進(jìn)行篩選；

b）初始事件確認(rèn)。首先，選擇一個事故場景，LOPA一次只能選擇一個場景；然后確定場景IE。IE包括外部事件、設(shè)備故障和人員行為失效；

c）IPL評估。評估現(xiàn)有的防護(hù)措施是否滿足IPL的要求是LOPA的核心內(nèi)容；

d）場景頻率計算。將后果、IE頻率和IPL的PFD等相關(guān)數(shù)據(jù)進(jìn)行計算，確定場景風(fēng)險；

e）評估風(fēng)險，作出決策。根據(jù)風(fēng)險評估結(jié)果，確定是否采取相應(yīng)措施降低風(fēng)險。然后，重復(fù)步驟b）～e）直到所有的場景分析完畢；

f）后續(xù)跟蹤和審查。LOPA分析完成后，對提出降低風(fēng)險措施的落實情況應(yīng)進(jìn)行跟蹤。應(yīng)對LOPA的程序和分析結(jié)果進(jìn)行審查。

圖A.1  保護(hù)層分析的基本程序

附錄B

（資料性附錄）

LOPA應(yīng)用時機(jī)

圖B.1  LOPA的應(yīng)用時機(jī)

事故后果是否嚴(yán)重可根據(jù)企業(yè)的風(fēng)險標(biāo)準(zhǔn)確定，以表F.3為例，通?？烧J(rèn)為4級及以上的后果為嚴(yán)重后果。

附錄C

（資料性附錄）

HAZOP信息與LOPA信息的關(guān)系

圖C.1  HAZOP信息與LOPA信息的關(guān)系

附錄D

（資料性附錄）

BPCS多個回路作為IPL的評估方法

D.1  同一BPCS多個功能回路作為IPL的評估方法

D.1.1  在同一場景中，當(dāng)同一BPCS具有多個功能回路時，其IPL的評估可使用方法A或方法B。

D.1.2  方法A假設(shè)一個單獨BPCS回路失效，則其它所有共享相同邏輯控制器的BPCS回路都失效。對單一的BPCS，只允許有一個IPL，且應(yīng)獨立于IE或任何使能事件。

D.1.3  方法B假設(shè)一個BPCS回路失效，最有可能是傳感器或最終控制元件失效，而BPCS邏輯控制器仍能正常運行。BPCS邏輯控制器的PFD比BPCS回路其它部件的PFD至少低兩個數(shù)量級。方法B允許同一BPCS有一個以上的IPL。如圖D.1所示，兩個BPCS回路使用相同的邏輯控制器。假設(shè)這兩個回路滿足作為同一場景下IPL的其它要求，方法A只允許其中一個回路作為IPL，方法B允許兩個回路都作為同一場景下的IPL。

圖D.1  同一場景下共享同一BPCS邏輯控制器的多條回路

D.2  同一場景下，同一BPCS多個功能回路同時作為IPL的要求

D.2.1  同一場景下，同一BPCS的多個功能回路同時作為IPL時，應(yīng)滿足：

a）BPCS具有完善的安全訪問程序，應(yīng)確保將BPCS編程、變更或操作上潛在的人為失誤降低到可接受水平；

b）BPCS回路中的傳感器與最終執(zhí)行元件在BPCS回路的所有部件中具有最高的失效概率值。

D.2.2  如果傳感器或最終執(zhí)行元件是場景中其它IPL的公共組件或是IE的一部分，則多個回路不應(yīng)作為多個IPL。如圖D.2所示，BPCS回路1和回路2均使用同一傳感器，在這個場景下，則這兩個BPCS回路只能作為一個IPL。同樣，如果最終執(zhí)行元件（或相同報警和操作人員響應(yīng)）被共享在兩個BPCS回路，那么這兩個BPCS回路也只能作為一個IPL。

圖D.2  同一場景下共享傳感器的BPCS回路

D.2.3  共享邏輯控制器輸入卡或輸出卡的額外BPCS回路不宜同時作為IPL。如圖D.3所示，假設(shè)滿足IPL的所有其它要求，則回路（傳感器A→輸入卡1→邏輯控制器→輸出卡1→最終執(zhí)行元件1）可確定為IPL。如果第二個控制回路的路徑為（傳感器D→輸入卡2→邏輯控制器→輸出卡2→最終執(zhí)行元件4），那么此回路也可確定為IPL。但是，如果第二個回路的路徑為（傳感器D→輸入卡2→邏輯控制器→輸出卡1→最終執(zhí)行元件2），那么此回路不能作為IPL，因為輸出卡1共享在兩個回路中。

注：1、2、3、4是最終執(zhí)行元件

圖D.3  相同場景下共享輸入/輸出卡的影響

D.2.4  如果IE不涉及BPCS邏輯控制器失效，每一個回路都滿足IPL的所有要求，在同一場景下，作為IPL的BPCS回路不應(yīng)超過2個。如圖D.4所示，如果所有4個回路各自滿足相同場景下IPL的要求，在使用方法B時，最多只有兩個回路被作為IPL。

圖D.4  相同場景下BPCS功能回路作為IPL的最大數(shù)量

D.2.5  所有BPCS回路IPL總的PFD，不宜低于1×10^-2。

D.2.6  最終執(zhí)行元件可以是機(jī)械動作（例如：關(guān)閉閥門、啟動泵）或一種是機(jī)械動作，另一種是要求人員采取行動的報警。在同一場景中，不宜將兩個人員響應(yīng)同時作為IPL，除非證明它們完全獨立并且滿足人員行動作為IPL的所有要求。

D.2.7  IE或使能事件涉及BPCS回路失效時，在同一場景中，宜只將1個BPCS回路作為IPL。如果人員失效是IE，不宜將啟動人員行動的BPCS報警視為IPL。

D.3  同一場景下，同一BPCS多個功能回路同時作為IPL的數(shù)據(jù)和人員要求

D.3.1  對數(shù)據(jù)與數(shù)據(jù)分析的要求如下：

a）方法B假設(shè)BPCS邏輯控制器的PFD比BPCS回路其它部件的PFD至少低兩個數(shù)量級，應(yīng)具有支持這個假設(shè)的數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分析。這些數(shù)據(jù)包括：

1）BPCS邏輯控制器、輸入/輸出卡、傳感器、最終執(zhí)行元件、人員響應(yīng)等歷史性能數(shù)據(jù)；

2）系統(tǒng)制造商提供的數(shù)據(jù)；

3）檢查、維護(hù)和功能性測試數(shù)據(jù)；

4）儀表圖、管道和儀表流程圖（P&ID）、回路圖、標(biāo)準(zhǔn)規(guī)范等資料；

5）訪問BPCS，進(jìn)行程序更改、旁路報警等安全訪問BPCS的信息。

b）對這些數(shù)據(jù)的分析應(yīng)包括：

1）計算設(shè)備或系統(tǒng)BPCS回路組件的有效失效率；

2）各種組件，特別是BPCS邏輯控制器PFD數(shù)據(jù)的比較；

3）邏輯輸入/輸出卡及相關(guān)回路的獨立性評估；

4）安全訪問控制充分性評估；

5）使用多重BPCS回路作為同一場景下的多個IPL的合適性評估。

D.3.2  對分析人員的要求如下：

a）分析人員應(yīng)能夠：

1）判斷是否有足夠和完整的數(shù)據(jù)，這些數(shù)據(jù)是否能滿足足夠精度的計算；

2）了解儀表的設(shè)計和BPCS系統(tǒng)是否滿足獨立性要求；

3）理解建議的IPL對工藝或系統(tǒng)的影響。

b）分析小組或人員應(yīng)具有相關(guān)專業(yè)知識，如：

1）對BPCS邏輯控制器具有足夠低的PFD的獨立第三方認(rèn)證；

2）對歷史性能數(shù)據(jù)和維修記錄的分析，建立設(shè)計標(biāo)準(zhǔn)使多個BPCS回路滿足IPL的要求；

3）設(shè)計并執(zhí)行多個BPCS回路系統(tǒng)使之滿足獨立性與可靠性要求等。

c）如果分析小組或人員不能滿足以上要求，那么在判斷BPCS回路作為IPL時，宜使用方法A進(jìn)行分析。

附錄E 

（資料性附錄）

失效數(shù)據(jù)

表E.1  IE典型頻率值

表E.2  某公司采用的IE典型頻率值

表E.3  化工行業(yè)典型IPL的PFD

附錄F 

（資料性附錄）

風(fēng)險標(biāo)準(zhǔn)和ALARP原則

F.1 風(fēng)險標(biāo)準(zhǔn)

表F.1 數(shù)值風(fēng)險標(biāo)準(zhǔn)（廠外個體風(fēng)險）

表F.2  風(fēng)險評估矩陣

表F.3  后果定性分級方法

F.2 ALARP原則

F.2.1 ALARP原則

ALARP原則指在當(dāng)前的技術(shù)條件和合理的費用下，對風(fēng)險的控制要做到在合理可行的原則下“盡可能的低”。按照ALARP原則，風(fēng)險區(qū)域可分為：

a）不可接受的風(fēng)險區(qū)域。在本標(biāo)準(zhǔn)F.2中指高風(fēng)險和很高風(fēng)險區(qū)域。在這個區(qū)域，除非特殊情況，風(fēng)險是不可接受的 ；

b）允許的風(fēng)險區(qū)域。在本標(biāo)準(zhǔn)F.2指中風(fēng)險區(qū)域。在這個區(qū)域內(nèi)必須滿足以下條件之一時，風(fēng)險才是可允許的：

1）在當(dāng)前的技術(shù)條件下，進(jìn)一步降低風(fēng)險不可行

2）降低風(fēng)險所需的成本遠(yuǎn)遠(yuǎn)大于降低風(fēng)險所獲得的收益

c）廣泛可接受的風(fēng)險區(qū)域。在本標(biāo)準(zhǔn)F.2中指低風(fēng)險區(qū)域。在這個區(qū)域，剩余風(fēng)險水平是可忽略的，一般不要求進(jìn)一步采取措施降低風(fēng)險。

圖F.1  ALARP原則

ALARP原則推薦在合理可行的情況下，把風(fēng)險降低到“盡可能低”。如果一個風(fēng)險位于兩種極端情況（高風(fēng)險及以上不可接受區(qū)域和廣泛可接受的風(fēng)險區(qū)域）之間，如果使用了ALARP原則，則所得到的風(fēng)險可認(rèn)為是可允許的風(fēng)險。

如果風(fēng)險處于高風(fēng)險及以上區(qū)域，則該風(fēng)險是不可接受的，應(yīng)把它降低到可接受風(fēng)險水平。

在廣泛可接受的低風(fēng)險區(qū)域，不需要進(jìn)一步降低風(fēng)險，但有必要保持警惕以確保風(fēng)險維持在這一水平。

F.2.2 可接受風(fēng)險水平

根據(jù)ALARP原則，可接受風(fēng)險水平指允許的風(fēng)險區(qū)域或廣泛可接受的風(fēng)險區(qū)域。

附錄G

（資料性附錄）

LOPA示例

附錄G包含的示例旨在舉例說明本標(biāo)準(zhǔn)中描述的LOPA分析流程。示例中的工藝設(shè)計已進(jìn)行了簡化，僅用于演示。采用附錄F的風(fēng)險矩陣進(jìn)行LOPA場景篩選和風(fēng)險決策。

G.1  正己烷緩沖罐溢流

G.1.1  工藝描述

簡化P&ID見圖G.1。示例的詳細(xì)描述可參見《Layer of Protection Analysis—Simplified Process Risk Assessment》。來自上游工藝單元的正己烷進(jìn)入正己烷緩沖罐T-401。正己烷供料管道總是帶壓。正己烷緩沖罐液位受液位控制回路（LIC-90）控制，LIC-90檢測儲罐液位，通過調(diào)節(jié)液位閥（LV-90）控制液位。正己烷輸往下游工藝使用。LIC回路包括提醒操作人員的高液位報警（LAH-90）。儲罐總?cè)萘繛?0 t，通常盛裝一半的容量。儲罐位于防火堤內(nèi)，該防火堤能夠容納45 t正己烷。

圖G.1  正己烷緩沖罐溢流

G.1.2  場景識別與篩選

采用前期進(jìn)行的HAZOP分析作為場景信息來源。正己烷緩沖罐T-401的HAZOP分析結(jié)果見表G.1。根據(jù)后果分級表F.3，篩選進(jìn)行LOPA分析的場景。本例選擇分析的場景為正己烷緩沖罐溢流，防火堤發(fā)生失效，導(dǎo)致大面積火災(zāi)，造成人員的傷亡，后果等級為5。

表G.1  正己烷緩沖罐T-401 HAZOP分析

G.1.3  IE確認(rèn)

本例選定IE為BPCS液位控制回路失效，根據(jù)表E.1，其失效頻率為1×10^-1 /a。

G.1.4  IPL評估

a）防火堤

一旦發(fā)生罐體溢流，合適的防火堤可以包容這些溢流物。如果防火堤失效，將發(fā)生大面積擴(kuò)散，從而發(fā)生潛在的火災(zāi)、損害和死亡。防火堤滿足IPL所有的要求，包括：

1）如果按照設(shè)計運行，防火堤可有效地包容儲罐的溢流；

2）防火堤獨立于任何其他獨立保護(hù)層和IE；

3）可以審查防火堤的設(shè)計、建造和目前的狀況。

對于本例，根據(jù)表E.3，防火堤的PFD取1 × 10^-2。

b）BPCS報警和人員響應(yīng)行動

在本例中，人員行動不作為獨立保護(hù)層，原因如下：

1）由于操作人員不總是在現(xiàn)場，在防火堤失效導(dǎo)致重大釋放前，不能假設(shè)獨立于任何報警的操作人員行動能有效地檢測和阻止釋放。

2）BPCS液位控制回路失效（IE）導(dǎo)致系統(tǒng)不能產(chǎn)生報警，從而不能提醒操作人員采取行動以阻止緩沖罐進(jìn)料。因此，BPCS產(chǎn)生的任何報警不能完全獨立于BPCS系統(tǒng)，不能作為獨立保護(hù)層。

c）安全閥

緩沖罐上的安全閥無法防止緩沖罐發(fā)生溢流，因此，對于本場景，安全閥不是IPL。

G.1.5  場景頻率計算

取點火概率為1，人員暴露概率為0.5，人員傷亡概率為0.5，則后果發(fā)生頻率為：

f_i^C= f_i^I×PFD_dike×P_ig×P_ex×P_d

=（1×10^-1/a）×（1×10^-2）×1×0.5×0.5

=2.5×10^-4/a

=2×10^-4/a（取整）

式中：

f_i^C——初始事件i的后果C的發(fā)生頻率，單位為 /a；

f_i^I ——初始事件i的發(fā)生頻率，單位為 /a；

PFD_dike——防火堤的PFD；

P_ig ——點火概率；

P_ex ——人員暴露概率；

P_d ——人員傷亡概率。

G.1.6  風(fēng)險評估與決策

緩沖罐LIC失效，溢流物未被防火堤包容，溢出物被點燃，造成人員傷亡，后果等級為5級。事件發(fā)生的頻率為2×10^-4 /a。根據(jù)后果等級5和頻率2×10^-4 /a，查詢表F.2，其風(fēng)險等級為高風(fēng)險，要求：選擇合適的時機(jī)采取行動。

分析小組決定安裝一個獨立的SIF，用于檢測和阻止溢流。本SIF采用獨立的液位傳感器，邏輯控制器和獨立的截斷閥，見圖G.2中粗線部分。當(dāng)檢測到高液位時，該SIF聯(lián)鎖關(guān)流量控制閥LV-90和遠(yuǎn)程截斷閥。可根據(jù)企業(yè)具體的風(fēng)險控制要求，確定該SIF的SIL。在本例中，確定該SIF的FPD為1×10^-2（SIL1）。對于場景，SIF將釋放事件的頻率從2×10^-4 /a降低到2×10^-6 /a。在風(fēng)險矩陣中，對于后果等級5，頻率為2×10^-6 /a的事件，其風(fēng)險等級為中風(fēng)險，要求：可選擇性的采取行動。此時，企業(yè)可采用成本效益分析，決定是否需采用額外的措施進(jìn)一步降低風(fēng)險。

圖G.2  正己烷緩沖罐溢流（增加IPL后）

G.1.7  LOPA記錄表

本案例LOPA記錄表見表G.2。

表G.2  LOPA記錄表

G.2  PVC反應(yīng)器

G.2.1  工藝描述

圖G.3為氯乙烯單體（VCM）生產(chǎn)聚氯乙烯（PVC）工藝的簡化P&ID圖。示例的詳細(xì)描述可參見《Layer of Protection Analysis—Simplified Process Risk Assessment》。此過程為間歇聚合反應(yīng)。水、液態(tài)VCM、引發(fā)劑和添加劑通過同一噴管注入攪動的夾套反應(yīng)器內(nèi)。注入噴管與安全閥（PSV）相連接，抑制劑也可通過同一噴管添加。

圖G.3  PVC工藝簡化P&ID圖

G.2.2  場景識別與篩選

根據(jù)前期進(jìn)行的危害分析，通過后果分級表F.3，篩選進(jìn)行LOPA的場景。表G.3為篩選出的LOPA場景。本例以場景1為例進(jìn)行分析。場景1為冷卻水失效，導(dǎo)致反應(yīng)失控，反應(yīng)器潛在的超壓、泄漏、斷裂，造成人員受傷和死亡，后果等級為5級。

表G.3 篩選出的LOPA場景

G.2.3  初始事件確認(rèn)

本例選定IE為冷卻水失效，根據(jù)表E.1，其失效頻率為1 × 10^-1。冷卻水損失引起反應(yīng)失控的反應(yīng)器條件概率為0.5。

G.2.4  IPL評估

a）BPCS報警和人員響應(yīng)行動

冷卻水失效時，BPCS將會產(chǎn)生低流量報警，人員添加抑制劑。BPCS報警和人員響應(yīng)可滿足IPL的要求，包括：

1）BPCS報警和人員響應(yīng)獨立于IE和其他獨立保護(hù)層；

2）僅要求操作人員執(zhí)行添加抑制劑的行動，任務(wù)具有單一性和可操作性；

3）操作人員有足夠的響應(yīng)時間； 

4）如果操作人員訓(xùn)練有素，身體條件合適，則能夠完成報警所觸發(fā)的操作任務(wù)。

對于本例，根據(jù)表E.3，該IPL的PFD取1 × 10^-1。

b）安全閥

安全閥可防止反應(yīng)器發(fā)生超壓泄漏，但是由于安全閥放空與抑制劑的添加共用同一管道，無法保證安全閥放空與抑制劑的添加可以同時進(jìn)行，因此需修改安全閥設(shè)計，安全閥安裝獨立的放空管線。此外，考慮在安全閥下增加氮氣吹掃，以最小化管線或閥門進(jìn)口聚合物沉積或凍結(jié)。變更后，如果安全閥安裝和維護(hù)符合IPL的要求，可作為IPL。

對于本例，根據(jù)表E.3，變更后該IPL的PFD取1 × 10^-2。

c）緊急冷卻系統(tǒng)（蒸氣渦輪機(jī)）

在本例中，緊急冷卻系統(tǒng)不能作為IPL，因為其不獨立于IE，與冷卻水系統(tǒng)有多個公共元件（管線、閥門等）。這些公共元件在引起冷卻水失效時，也會導(dǎo)致緊急冷卻系統(tǒng)失效。

G.2.5 場景頻率計算

后果發(fā)生頻率為：

f_i^C= f_i^I×P_c×PFD_BPCS×PFD_PSV

=（1×10^-1/a）×0.5×（1×10^-2）×1×10^-1

=5×10^-5/a

式中：

f_i^C——IEi的后果C的發(fā)生頻率，單位為 /a；

f_i^I ——IEi的發(fā)生頻率，單位為 /a；

P_C ——條件概率；

PFD_BPCS ——BPCS報警和人員響應(yīng)行動的PFD；

PFD_PSV ——安全閥的PFD。

G.2.6  風(fēng)險評估與決策

冷卻水失效，導(dǎo)致反應(yīng)失控，反應(yīng)器潛在的超壓、泄漏、斷裂，潛在的受傷和死亡，后果等級為5級。后果發(fā)生的頻率為5×10^-5 /a。根據(jù)后果等級5和頻率5×10^-5 /a，查詢表F.2，風(fēng)險等級為中風(fēng)險，要求：可選擇性的采取行動。

分析小組決定安裝一個獨立的SIF，當(dāng)檢測到超壓時，聯(lián)鎖打開放空閥。放空閥具有獨立的放空管線，同樣在放空閥下考慮增加氮氣吹掃。該SIF的設(shè)置見圖G.4粗線部分。可根據(jù)企業(yè)具體的風(fēng)險控制要求，確定該SIF的SIL。在本例中，確定該SIF的FFD為1×10^-2 （SIL1）。對于場景，SIF將釋放事件的頻率從5×10^-5 /a降低到5×10^-7 /a。根據(jù)表F.2，對于后果等級5，頻率為5×10^-7 /a的事件，風(fēng)險等級為低風(fēng)險，不需采取行動。

圖G.4  PVC工藝簡化P&ID圖（增加IPL后）

G.2.7  LOPA記錄表

本案例LOPA記錄表如表G.4所示。

表G.4  LOPA記錄表

G.3  循環(huán)氫加熱爐

G.3.1  工藝描述

加氫裂化裝置循環(huán)氫加熱爐簡化P&ID圖見圖G.5。該循環(huán)氫加熱爐為立管立式爐，介質(zhì)流量為6000Nm^3/h，爐管的設(shè)計壓力為20MPa，對流段設(shè)計熱負(fù)荷為1139kW，輻射段設(shè)計熱負(fù)荷為3877kW，用于加熱循環(huán)氫。該爐子位于加氫裂化反應(yīng)器入口，氫氣經(jīng)過爐子加熱后與精制油、循環(huán)油、熱高分來的常規(guī)液態(tài)烴混合進(jìn)入加氫裂化反應(yīng)器。

圖G.5  加氫裂化裝置循環(huán)氫加熱爐簡化P&ID圖

G.3.2  場景識別與篩選

采用HAZOP分析辨識工藝中存在的主要危險，通過后果分級表F.3，篩選進(jìn)行LOPA的場景。表G.5為篩選出的LOPA場景。本例以場景2為例進(jìn)行分析。場景2為燃料氣總管壓力低造成加熱爐熄火，爐內(nèi)燃料氣積聚導(dǎo)致遇明火爆炸。后果等級為4級。

表G.7 篩選出的LOPA場景

G.2.3  初始事件確認(rèn)

本例選定IE為燃料氣總管壓力傳感器故障，人員未及時響應(yīng)，根據(jù)表E.1，其失效頻率為1 × 10^-2。

G.2.4  IPL評估

燃料氣總管壓力設(shè)有SIF。當(dāng)PT3108檢測到燃料氣壓力過低時，SIF邏輯控制器輸出信號關(guān)閉XCV31404A和XCV3104B，同時切斷去主火嘴的燃料氣和去長明燈的燃料氣，熄滅火嘴和長明燈，防止加熱爐內(nèi)因熄火出現(xiàn)燃料氣積聚而導(dǎo)致遇明火爆炸。但是，由于該SIF與人員響應(yīng)得到的報警共用一個傳感器，不獨立于初始事件的發(fā)生，所以，該SIF不能作為IPL。

G.2.5 場景頻率計算

后果發(fā)生頻率為：

f_i^C= f_i^I=1×10^-2/a

式中：

f_i^C——IEi的后果C的發(fā)生頻率，單位為 /a；

f_i^I ——IEi的發(fā)生頻率，單位為 /a；

G.2.6  風(fēng)險評估與決策

燃料氣總管壓力低造成加熱爐熄火，爐內(nèi)燃料氣積聚導(dǎo)致遇明火爆炸，后果等級為4級。后果發(fā)生的頻率為1×10^-2 /a。根據(jù)后果等級4和頻率1×10^-2 /a，查詢表F.2，風(fēng)險等級為高風(fēng)險，要求：選擇合適的時機(jī)采取行動。

分析小組將燃料氣總管壓力低報警和人員響應(yīng)系統(tǒng)與燃料氣總管壓力SIF在硬件上獨立。此時，燃料氣總管壓力SIF可作為IPL。可根據(jù)企業(yè)具體的風(fēng)險控制要求，確定該SIF的SIL。在本例中，確定該SIF的FFD為1×10^-2 （SIL1）。對于場景，SIF將釋放事件的頻率從1×10^-2 /a降低到1×10^-4 /a。根據(jù)表F.2，對于后果等級4，頻率為1×10^-4 /a的事件，風(fēng)險等級為中風(fēng)險，企業(yè)可采用成本效益分析，決定是否需采用額外的措施進(jìn)一步降低風(fēng)險。

G.2.7  LOPA記錄表

本案例LOPA記錄表如表G.6所示。

表G.6  LOPA記錄表