保护层分析（LOPA）

Transcript 保护层分析（LOPA）

保护层分析（LOPA）
方法简介
万古军
中国石化安全工程研究院
高级工程师
主要内容
1
什么是LOPA
2
LOPA步骤
3
LOPA其他要求
4
LOPA实例
2
1 什么是LOPA
3
1 什么是LOPA
IPL1
IPL2
IPL3
注：
箭头宽度代表
PFD3
PFD2
fi
成功
PFD1
I
成功
初始事件频率
成功
fi
C
后果频率大小，
频频
频频频
后果频率
长度代表后果严重性
安全结果
IPL—独立保护层
安全结果
安全结果
PFD—要求时失效概率
J

f i C  f i I   PFDij  f i I  PFDi1  PFDi 2   PFDij
j 1
4
1 什么是LOPA
□保护层分析（LOPA）是在定性危害分
析的基础上，进一步评估保护层的有效
性，并进行风险决策的系统方法
□其主要目的是确定是否有足够的保护
层使风险满足企业的风险标准
□基于事故场景的一种半定量分析方法
5
1 什么是LOPA
发展历程
20世纪80年代末：美国化学品制造商协会出版了《责任关怀
——过程安全管理实施准则》，书中建议将“足够的保护层
”作为有效的过程安全管理系统的一个组成部分。
1993年：美国CCPS《化工过程安全自动化指南》，书中建
议将LOPA作为确定安全仪表功能完整性水平的方法之一。
2001年：CCPS发布了《保护层分析——简化的过程风险评
估》，书中详细地讨论了LOPA的基本规则和应用。
2003年：国际电工委员会（IEC）发布了IEC61511：过程工
业领域安全仪表系统的功能安全，将LOPA技术作为确定安
全仪表系统完整性水平的推荐方法之一。
6
主要内容
1
什么是LOPA
2
LOPA步骤
3
LOPA其他要求
4
LOPA实例
7
2 LOPA步骤
• a）场景识别与筛选
• b）初始事件（IE）确认
• c）独立保护层（IPL）评估
• d）场景频率计算HAZOP分
事故分
析
• e）风险评估与决策
析
变更分
• f）后续跟踪与审查
析
8
2 LOPA步骤
9
2 LOPA步骤
后果严重性
10
2 LOPA步骤
后果严重性等级评估——泄漏量
泄漏量
泄漏物质
1～5kg 5～50kg
50～
500kg
500kg～
5t
5～50t
>50t
剧毒，温度>B.P
3
4
5
5
5
5
剧毒，温度<B.P
或高毒性，温度
>B.P
2
3
4
5
5
5
高毒性，温度
<B.P或易燃，温
度>B.P
2
2
3
4
5
5
易燃，温度<B.P
1
2
3
3
4
5
可燃液体
1
1
1
2
2
3
11
2 LOPA步骤
后果严重性等级评估——财产损失
后果造成的直接经济损失（元）
后果
等级
50万元以 100万元以 500万元以
1000万元
不足50万元上、100万上、500万上、1000
以上
元以下
元以下
万元以下
1
2
3
4
5
12
2 LOPA步骤
后果严重性等级评估——人员伤害
人员伤害
后果
等级
1~2人死亡 3人以上
急救处理；医
3人以上轻伤
工作受限
疗处理，但不
或丧失劳死亡；10
；1~2人轻，1~2人重伤
需住院；短时
动能力；人以上重
伤
；
3~9人重伤
间身体不适。
伤
等级1
等级2
等级3
等级4
等级5
13
2 LOPA步骤
后果严重性等级评估——定量计算
后果等级
严重威胁人的生
命
威胁人的生命
不可逆伤害
热辐射
8kW/m2
5kW/m2
3kW/m2
爆炸
20kPa
14kPa
5kPa
毒性
LC 5%
LC 1%
不可逆
间接影响
2kPa
14
2 LOPA步骤
序
偏差
号
原因
后果
保护措施
1、反应器温度高报警
和人员响应；
冷却水泵故
2、反应器温度高联锁
障停
；
冷却
反应器超温
3、启动备用泵
1 水无
超压，可能
流量
发生爆炸 1 、反应器温度高报警
和人员响应；
冷却水阀故
2、反应器温度高联锁
障关
；
3、冷却水阀旁路调节
后果严重性
5
15
2 LOPA步骤
类别
外部事件
设备故障
人员失误
1）控制系统故障
1）地震、海啸、龙 a）软件失效
卷风、飓风、洪水 b）元件失效
、泥石流、滑坡和 c）控制支持系统失效
1）操作失误
雷击等自然灾害
2）机械系统故障
16
2 LOPA步骤
独立保护层能够
有效阻止后果的
发生。化工企业
保护层作为IPL时
，应满足：
17
2 LOPA步骤
化工企业保护层作为IPL时，应满足以下基本要求：
a）独立性
——应独立于初始事件；
——应独立于同一场景中的其它独立保护层。
18
2 LOPA步骤
IPL
IPL
19
2 LOPA步骤
化工企业保护层作为IPL时，应满足以下基本要求：
b）有效性
——应能检测到响应的条件；
——在有效的时间内，应能及时响应；
——在可用的时间内，应有足够的能力采取所要求的行动。
——应满足所选择的PFD的要求。
20
2 LOPA步骤
化工企业保护层作为IPL时，应满足以下基本要求：
c）安全性。应使用管理控制或技术手段减少非故意的或
未授权的变动。
d）变更管理。设备、操作程序、过程条件等任何改动应
执行变更管理程序，以满足变更后保护层的IPL要求。
e）可审查性。应有相应的信息资料，以说明保护层的设
计、检查、维护、测试和运行活动能够使保护层达到IPL
的要求。
21
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
a）本质安全设计
——当本质安全设计可消除某些场景时，不应作为IPL；
——当考虑本质安全设计在运行和维护过程中的失效时，
在某些场景中，可将其作为一种IPL。
22
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
b） BPCS
是执行持续监测和控制日常生产过程的控制系统，通过
响应过程或操作人员的输入信号，产生输出信息，使过程
以期望的方式运行。由传感器、逻辑控制器和最终执行元
件组成。
23
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
b） BPCS
BPCS作为IPL应满足以下要求：
——BPCS应与安全仪表系统（SIS）在物理上分离，包括
传感器、逻辑控制器和最终执行元件；
——BPCS故障不是造成初始事件的原因；
——在同一个场景中，当满足IPL的要求时，具有多个回
路的BPCS宜作为一个IPL。
24
2 LOPA步骤
传感器 1
最终执行元件 1
BPCS逻
辑控制器
（共享）
传感器 2
最终执行元件 2
25
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
c）报警和人员响应
——操作人员应能够得到采取行动的指示或报警；
——操作人员应训练有素，能够完成特定报警所要求的
操作任务；
——任务应具有单一性和可操作性，不宜要求操作人员
执行IPL要求的行动时同时执行其它任务；
——操作人员应有足够的响应时间等。
26
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
d）安全仪表功能（SIF）
通过检测超限（异常）条件，控制过程进入功能安全状
态。一个安全仪表功能由传感器、逻辑控制器和最终执行
元件组成，具有一定的SIL。
27
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
d）安全仪表功能（SIF）
——SIF在功能上独立于BPCS；
——SIF的规格、设计、调试、检验、维护和测试应按
GB/T 21109的有关规定执行。
28
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
e）物理保护（安全阀、爆破片等）
——独立于场景中的其他保护层；
——在确定安全阀、爆破片等设备的PFD时，应考虑其实
际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护
等因素对PFD进行修正；
——当物理保护作为IPL时，应考虑物理保护起作用后可
能造成的其他危害，并重新假设LOPA场景进行评估。
29
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
f）释放后保护设施（安全阀、爆破片等）
——独立于场景中的其他保护层；
——在确定阻火器、隔爆器等设备的PFD时，应考虑其实
际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护
等因素对PFD进行修正；
30
2 LOPA步骤
化工企业典型的保护层及作为IPL的要求
g）工厂和社区应急响应
——其有效性受多种因素影响，一般不作为IPL
31
2 LOPA步骤
通常不作为IPL的防护措施
32
2 LOPA步骤
f iC  f i I 
J

PFDij  f i I  PFDi1  PFDi 2      PFDij
j 1
式中：
fiC——初始事件i的后果C的发生频率，单位为 /a；
fiI——初始事件i的发生频率，单位为 /a；
PFDij——初始事件i中第j个阻止后果C发生的IPL的PFD。
33
2 LOPA步骤
在计算场景频率时，可根据需要对场景频率进行修正：
采用点火概率、人员暴露和具体伤害的概率对不同后
果场景频率进行修正。
34
2 LOPA步骤
初始事件发生频率和独立保护层失效概率
其数据可采用：
a) 行业统计数据；
b) 企业历史统计数据；
c) 基于失效模式、影响和诊断分析（FMEDA）和故障树
分析（FTA）等的数据；
d）供应商提供的数据。
35
2 LOPA步骤
选择失效数据时，应满足以下要求：
a）具有行业代表性；
b）使用企业历史统计数据时，只有该历史数据充足并
具有统计意义时才能使用；
c）使用普通的行业数据时，可根据企业的具体条件对
数据进行修正。
36
2 LOPA步骤
a）可根据场景频率计算结果和后果等级，使用定量
数值风险标准、风险矩阵等形式进行风险评估与决策，
将风险降低到企业可接受的水平。
37
2 LOPA步骤
后
果
等
级
5
低
中
中
高
高
很高
很高
4
低
低
中
中
高
高
很高
3
低
低
低
中
中
中
高
2
低
低
低
低
中
中
中
1
低
低
低
低
低
中
中
10-6~10-7
10-5~10-6
10-4~10-5 10-3~10-4 10-2~10-3
频率等级（每年）
10-1~10-2 1~10-1
38
2 LOPA步骤
b）风险决策宜采取ALARP原则：
风
险
逐
渐
降
低
39
2 LOPA步骤
a）应对LOPA分析结果的执行情况进行后续跟踪，对
LOPA提出的降低风险行动的实施情况进行落实。
b） LOPA的程序和分析结果可接受相关的审查。
40
主要内容
1
什么是LOPA
2
LOPA步骤
3
LOPA其他要求
4
LOPA实例
41
3 LOPA其他要求
1)在使用LOPA前，企业应确定：
a）后果度量形式及后果分级方法；
b）初始事件频率的确定方法；
c）独立保护层要求时失效概率（PFD）的确定方法；
d）风险度量形式和风险可接受标准；
e）分析结果与建议的审查及后续跟踪管理机制。
42
3 LOPA其他要求
2)LOPA应用时机
在过程危害分析中出现以下情形时，可使用LOPA：
a）事故场景后果严重，需要确定后果的发生频率；
b）确定事故场景的风险等级以及事故场景中各种保护层降
低的风险水平；
c）确定安全仪表功能（SIF）的安全完整性等级（SIL）；
d）确定过程中的安全关键设备或安全关键活动等。
43
3 LOPA其他要求
3)LOPA小组组成
LOPA小组成员可包括但不限于以下人员：
a）组长；
e）工艺人员；
b）记录员；
f）设备工程师
c）设计人员；
g）仪表工程师；
d）操作人员；
h）安全工程师。
44
3 LOPA其他要求
3)LOPA小组组成
根据需要，可要求以下人员参加LOPA：
a）工艺包供应商；
b）成套工艺设备供应商；
c）公用工程工程师；
d）电气工程师；
e）其他专业工程师。
45
3 LOPA其他要求
4)LOPA的局限性
a）LOPA不是识别危险场景的工具，LOPA的正确执行取决于
定性危险评价方法所得出的危险场景，包括初始原因和相关
的安全措施是否完全和正确；
b）LOPA的意图不是取代详细的定量分析（QRA），QRA可以
用于更复杂的少数危险场景分析；
46
3 LOPA其他要求
4)LOPA的局限性
定性分析
半定量分析
定量分析
所有场景都需 10~20%场景 1%场景需要
要定性分析需要进行半定进行QRA
量分析
技术
HAZOP
What-If/Checklist
FMEA
FEI、CEI
LOPA
粗略的事件树分析
ETA、FTA、HRA
简单问题
√
√
√
×
×
复杂问题
×
×
×
√
√
47
3 LOPA其他要求
4)LOPA的局限性
c）当使用LOPA时，场景风险的可比性仅仅在如下条件满足
时才有可能：
——选择失效数据的方法相同；
——采用相同的风险标准为基础的比较。
d）不同的公司由于采用的风险标准和实施LOPA的方法不同
，则LOPA的结果无法比较；
48
主要内容
1
什么是LOPA
2
LOPA步骤
3
LOPA其他要求
4
LOPA实例
49
4 LOPA实例
正己烷缓冲罐溢流
放空，排放物
进入围堤
BPCS
LAH
90
正己烷缓冲罐
T-401
V-5
LIC
LT
I-1
90
PI
LV-90
RO
下游工艺
上游工艺
E-1
正己烷泵4-41
50
4 LOPA实例
1) 场景识别与筛选
序号
偏差
原因
后果
现有防护措施
1）液位监测和
报警；
正己烷缓冲罐
流量控制阀
2）防火堤；
1.1 流量高
T-401高液位，
误打开
3）安全阀；
超压泄漏。
4）单元操作程
序。
1）正己烷缓冲
流量低
罐T-401低液位
1.2 或无流
；
阀门误关闭 2）泵密封失效
量
。
1.3 倒流上游泵失效损坏泵
止回阀
建议
建议安装
一个SIS，
在T-401高
液位时切
断进料。
管线堵塞
51
4 LOPA实例
泄漏量
泄漏物质
1～5kg 5～50kg
50～
500kg
500kg～
5t
5～50t
>50t
剧毒，温度>B.P
3
4
5
5
5
5
剧毒，温度<B.P
或高毒性，温度
>B.P
2
3
4
5
5
5
高毒性，温度
<B.P或易燃，温
度>B.P
2
2
3
4
5
5
易燃，温度<B.P
1
2
3
3
4
5
可燃液体
1
1
1
2
2
3
52
4 LOPA实例
1）场景识别与筛选
液位控制回路失效导致缓冲罐溢流，并且由于防火堤
失效而导致溢出物流出防火堤
2）初始事件确认
初始事件为液位控制回路失效，初始事件频率为：
f I= 1 × 10-1/a
53
4 LOPA实例
3）独立保护层评估
BPCS报警和人员响应： BPCS液位控制回路失效（初始事件
）导致系统不能产生报警，从而不能提醒操作人员采取行动
以阻止缓冲罐进料。因此，BPCS产生的任何报警不能完全独
立于BPCS系统，不能作为独立保护层
安全阀：缓冲罐上的安全阀无法防止缓冲罐发生溢流，因
此，对于本场景，安全阀不是独立保护层
防火堤：可作为IPL：
如果按照设计运行，防火堤可有效地包容储罐的溢流；
防火堤独立于任何其他独立保护层和初始事件。
54
4 LOPA实例
4）场景频率计算
fiC=fiI×PFDd
=1×10-1/a×0.01
=1×10-3/a
55
4 LOPA实例
5）风险评估与决策
后
果
等
级
5
低
中
中
高
高
很高
很高
4
低
低
中
中
高
高
很高
3
低
低
低
中
中
中
高
2
低
低
低
低
中
中
中
1
低
低
低
低
低
中
中
10-6~10-7
10-5~10-6
10-4~10-5 10-3~10-4 10-2~10-3
频率等级（每年）
10-1~10-2 1~10-1
56
4 LOPA实例
5）风险评估与决策
分析小组决定安装一个独立的SIF，其PFD为1×10-2 ，用
于检测和阻止溢流。对于场景，SIF将释放事件的频率从
1×10－3/a降低到1×10－5/a。在风险矩阵中，对于后果等级4
，频率为1×10－5/a的事件“不需要采取进一步行动”。
6）后续跟踪与审查
确定建议措施的负责人和完成时间，并跟踪落实。
57
LOPA的魅力所在
• 魅力之一：更好的风险决策方法
• 魅力之二：方便快捷的半定量方法
• 魅力之三：实用的风险管理工具
• ……
58
魅力之一：更好的风险决策方法
• 与基于“风险对我而言可以接受”的主观或情感上
的判断相比，LOPA提供了更好的风险决策基础。
• 与定性的方法相比，LOPA提供了更可靠地风险判断
，并给定了场景频率和后果的具体数值。
59
魅力之二：方便快捷的半定量方法
• 与定量风险分析相比，LOPA花费的时间较少。
• LOPA可以提高危害评估会议的效率。
• 以关注于场景的研究方法，可以发现那些已进行
过多次危害分析的成熟工艺中存在的未被发现的
安全问题。
60
魅力之三：实用的风险管理工具
• LOPA的信息可以帮助工厂决定操作、维护以及相关
培训的重点放在哪些防护措施上。
例如：许多公司决定将检验、测试和预防性
维护活动的重点放在LOPA识别出的独立保
护层（IPL）上
• LOPA可用于识别操作人员的关键安全行为和关键安
全响应。这将有助于在企业过程生命周期内开展更
有针对性的培训和测试，并使得操作手册能反映最
重要的过程变量、报警和行动
61
谢！谢
62