保护层分析(LOPA)方法简介

保护层分析(LOPA)方法简介

吴晓娜

新疆蓝山屯河新材料有限公司 新疆奎屯市 833200

摘要：保护层（layer of protection analysis, LOPA）分析是在定性分析的基础上，进一步评估保护层的有效性，并进行风险决策的系统方法，其主要目的是确定是否有足够的保护层使过程风险满足企业的风险可接受标准。LOPA是一种半定量的风险评估方法，通常使用初始事件频率、后果严重程度和独立保护层（IPL）失效频率的数量级大小来近似表征场景的风险。

关键词：工艺设计、关键报警和人员干预、安全仪表、物理保护（释放设施）、释放后物理保护、厂区应急响应、周围区域应急响应

一、前言：

1993年：美国CCPS《化工过程安全自动化指南》，书中建议将LOPA作为确定安全仪表功能完整性水平的方法之一。

2001年：CCPS发布了《保护层分析——简化的过程风险评估》，书中详细地讨论了LOPA的基本规则和应用。

2003年：国际电工委员会（IEC）发布了IEC61511：过程工业领域安全仪表系统的功能安全，将LOPA技术作为确定安全仪表系统完整性水平的推荐方法之一。

二、LOPA分析步骤：

通过事故分析、HAZOP分析、变更分析获取场景信息。第一、对场景进行识别与筛选；第二、初始事件（IE）确认；第三、独立保护层（IPL）评估；第四、场景频率计算；第五、风险评估与决策；第六、后续跟踪与审查。

1、独立保护层能够有效阻止后果的发生。

（1）化工企业保护层作为IPL时，应满足的基本条件：

a）独立性：应独立于初始事件；应独立于同一场景中的其它独立保护层。

b）有效性：应能检测到响应的条件；在有效的时间内，应能及时响应；在可用的时间内，应有足够的能力采取所要求的行动。应满足所选择的PFD的要求。

c）安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。

d）变更管理。设备、操作程序、过程条件等任何改动应执行变更管理程序，以满足变更后保护层的IPL要求。

e）可审查性。应有相应的信息资料，以说明保护层的设计、检查、维护、测试和运行活动能够使保护层达到IPL的要求。

（2）化工企业典型的保护层及作为IPL的要求

结合事故洋葱图模型分析化工企业典型的保护层及作为IPL的要求。

a）本质安全设计：当本质安全设计可消除某些场景时，不应作为IPL；当考虑本质安全设计在运行和维护过程中的失效时，在某些场景中，可将其作为一种IPL。

b） BPCS：是执行持续监测和控制日常生产过程的控制系统，通过响应过程或操作人员的输入信号，产生输出信息，使过程以期望的方式运行。由传感器、逻辑控制器和最终执行元件组成。BPCS作为IPL应满足以下要求：

BPCS应与安全仪表系统（SIS）在物理上分离，包括传感器、逻辑控制器和最终执行元件；BPCS故障不是造成初始事件的原因；在同一个场景中，当满足IPL的要求时，具有多个回路的BPCS宜作为一个IPL。

c） 报警和人员响应：操作人员应能够得到采取行动的指示或报警；操作人员应训练有素，能够完成特定报警所要求的操作任务；任务应具有单一性和可操作性，不宜要求操作人员执行IPL要求的行动时同时执行其它任务；操作人员应有足够的响应时间等。

d） 安全仪表功能（SIF）

通过检测超限（异常）条件，控制过程进入功能安全状态。一个安全仪表功能由传感器、逻辑控制器和最终执行元件组成，具有一定的SIL。SIF在功能上独立于BPCS；SIF的规格、设计、调试、检验、维护和测试应按GB/T 21109的有关规定执行。

e） 物理保护（安全阀、爆破片等）：独立于场景中的其他保护层；在确定安全阀、爆破片等设备的PFD时，应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对PFD进行修正；当物理保护作为IPL时，应考虑物理保护起作用后可能造成的其他危害，并重新假设LOPA场景进行评估。

f） 释放后保护设施（安全阀、爆破片等）：独立于场景中的其他保护层；在确定阻火器、隔爆器等设备的PFD时，应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对PFD进行修正；

g） 工厂和社区应急响应：其有效性受多种因素影响，一般不作为IPL。

式中：fiC——初始事件i的后果C的发生频率，单位为/a；

fiI——初始事件i的发生频率，单位为/a；

PFDij——初始事件i中第j个阻止后果C发生的IPL的PFD。

在计算场景频率时，可根据需要对场景频率进行修正：采用点火概率、人员暴露和具体伤害的概率对不同后果场景频率进行修正。

①初始事件发生频率和独立保护层失效概率

其数据可采用：行业统计数据、企业历史统计数据、基于失效模式、影响和诊断分析（FMEDA）和故障树分析（FTA）等的数据、供应商提供的数据。

②选择失效数据时，应满足以下要求：

具有行业代表性；使用企业历史统计数据时，只有该历史数据充足并具有统计意义时才能使用；使用普通的行业数据时，可根据企业的具体条件对数据进行修正。

可根据场景频率计算结果和后果等级，使用定量数值风险标准、风险矩阵等形式进行风险评估与决策，将风险降低到企业可接受的水平。

应对LOPA分析结果的执行情况进行后续跟踪，对LOPA提出的降低风险行动的实施情况进行落实。

三、LOPA的其他要求

1)在使用LOPA前，企业应确定：后果度量形式及后果分级方法；初始事件频率的确定方法；独立保护层要求时失效概率（PFD）的确定方法；风险度量形式和风险可接受标准；分析结果与建议的审查及后续跟踪管理机制。

2)LOPA应用时机

在过程危害分析中出现以下情形时，可使用LOPA：事故场景后果严重，需要确定后果的发生频率；确定事故场景的风险等级以及事故场景中各种保护层降低的风险水平；确定安全仪表功能（SIF）的安全完整性等级（SIL）；确定过程中的安全关键设备或安全关键活动等。

3)LOPA小组组组成：

组长、记录员、设计人员、操作人员、工艺人员、设备工程师、仪表工程师、安全工程师。根据需要，可要求工艺包供应商、成套工艺设备供应商；公用工程工程师；电气工程师；其他专业工程师参加LOPA：

4)LOPA的局限性

a）LOPA不是识别危险场景的工具，LOPA的正确执行取决于定性危险评价方法所得出的危险场景，包括初始原因和相关的安全措施是否完全和正确；

b）LOPA的意图不是取代详细的定量分析（QRA），QRA可以用于更复杂的少数危险场景分析；

c） 当使用LOPA时，场景风险的可比性仅仅在如下条件满足时才有可能：

——选择失效数据的方法相同；

——采用相同的风险标准为基础的比较。

d）不同的公司由于采用的风险标准和实施LOPA的方法不同，则LOPA的结果无法比较；

四、结论

1、LOPA基于更好的风险决策方法

与基于“风险对我而言可以接受”的主观或情感上的判断相比，LOPA提供了更好的风险决策基础。与定性的方法相比，LOPA提供了更可靠地风险判断，并给定了场景频率和后果的具体数值。

2、方便快捷的半定量方法：

与定量风险分析相比，LOPA花费的时间较少。LOPA可以提高危害评估会议的效率。以关注于场景的研究方法，可以发现那些已进行过多次危害分析的成熟工艺中存在的未被发现的安全问题。

3、实用的风险管理工具：

LOPA的信息可以帮助工厂决定操作、维护以及相关培训的重点放在哪些防护措施上。LOPA可用于识别操作人员的关键安全行为和关键安全响应。这将有助于在企业过程生命周期内开展更有针对性的培训和测试，并使得操作手册能反映最重要的过程变量、报警和行动。

参考文献

[1] 白永忠、韩中枢、党文义、万古军等.保护层分析（LOPA）方法应用导则，AQ/T3054-2015 行业标准信息服务平台.

[2] 施昊彤、李慧娜、郭辉等.保护层识别改进在油气站场工艺流程SIL定级中的应用,《石油化工自动化》CSTPCD(2012)  62-1132/TE

[3] 白媛媛1靳勇2闻伟3丁进善3王学林3梁昌晶3.基于保护层效应的油气站场罐区多米诺事故概率计算方法,《石油工程建设》2023年2期.DOI:10.3969/j.issn.1001-2206.2023.02.005