目 次
 
 
U 言    ........................................
弓 言    ........................................
II
ill  
范圍 1
規(guī)范性弓用文件 1
術(shù)語、定義和縮略語 1
LOPA 基本程序
場景識別與篩選
.................................. 3
.................................. 4
初始事件確認 5
獨立保護層評估 5
場景頻率計算 9
風險評估與決策  10
LOPA 報告  10
LOPA 后續(xù)跟蹤及審查  11
附錄 A (規(guī)范性附錄）  LOPA 基本程序  12
附錄B (資料性附錄）  LOPA 應用時機  13
附錄C (資料性附錄）  HAZOP 信息與 LOPA 信息的關(guān)系  14
附錄D (資料性附錄）  BPCS多個回路作為IPL 的評估方法  15
附錄E (資料性附錄）   失效數(shù)據(jù)  18
附錄F (資料性附錄）   風險標準和 ALARP 原則  21
附錄G (資料性附錄）  LOPA 示例  24
參考文獻  36
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
I
AQ/1 3054—2015
 
 
 
前 言
 
本標準編制依據(jù) GB/Tl.l 2009給出的規(guī)則起草。
本標準由國家安全生產(chǎn)監(jiān)督管理總局提出。
本標準由全國安全生產(chǎn)標準化技術(shù)委員會化學品安全分技術(shù)委員會(SAC/TC288/SC3)歸口。
本標準主要起草單位：中國石油化工股份有限公司青島安全工程研究院、國家石化項目風險評估技 術(shù)中心、中國石化洛陽工程有限公司。
本標準主要起草人：白永忠、韓中樞、黨文義、萬古軍、文科武、張廣文、千安峰、王全國、武志峰、
沈郁、趙文芳。
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
II
AQ/1 3054—2015
 
 
 
1 言
 
一個典型的化工過程包含各種保護層，如本質(zhì)安全設計、基本過程控制系統(tǒng)(BPCS)、報警與人員干預、安全儀表功能(SIF)、物理保護(安全閥等)、釋放后保護設施、工廠應急響應和社區(qū)應急響應等。這些保護層降低了事故發(fā)生的頻率。在開展化工過程工藝危害分析時，保護層是否足夠，能否有效防止事故的發(fā)生是分析人員最為關(guān)注的一個問題。保護層分析(1ayerofProtectionana1ysis，LOPA)是在定性危害分析的基礎上，進一步評估保護層的有效性，并進行風險決策的系統(tǒng)方法，其主要目的是確定是否 有足夠的保護層使過程風險滿足企業(yè)的風險可接受標準。LOPA 是一種半定量的風險評估技術(shù)，通常使用初始事件頻率、后果嚴重程度和獨立保護層(IPL)失效頻率的數(shù)量級大小來近似表征場景的風險。
本標準主要對 LOPA 基本程序進行了明確的規(guī)范和詳細的描述，重點規(guī)定了 LOPA 場景與篩選、初始事件確認、獨立保護層(IPL)、場景頻率計算、風險評估與決策等方面的技術(shù)要求。本標準的制定，可為國內(nèi)化工企業(yè)開展 LOPA 提供技術(shù)指導，同時可為 LOPA 的規(guī)范化和標準化奠定基礎。
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
m
AQ/1 3054—2015
 
 
保護層分析（LOPA）方法應用導則
 
 
范圍
 
本標準規(guī)定了化工企業(yè)采用LOPA 方法的技術(shù)要求，包括LOPA 基本程序、場景識別與篩選、初始事件確認、獨立保護層評估、場景頻率技術(shù)、風險評估與決策、LOPA 報告和 LOPA 后續(xù)跟蹤及審查。
本標準適用于化工企業(yè)新建、改建、擴建和在役裝置（設施）的保護層分析。
 
規(guī)范性引用文件
 
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。
GB/T2ll09.l   過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第l部分：框架、定義、系統(tǒng)、硬件和軟
件要求
AQ/T3034   化工企業(yè)工藝安全管理實施導則
 
術(shù)語、定義和縮略語
 
下列術(shù)語、定義和縮略語適用于本文件。
 
術(shù)語和定義
 
3.1.1
場景   scenario
可能導致不期望后果的一種事件或事件序列。每個場景至少包含兩個要素：初始事件及其后果。
3.1.2
初始事件   initiatingevent
事故場景的初始原因。
3.1.3
后果   consequence
事件潛在影響的度量，一種事件可能有一種或多種后果。
3.1.4
保護層    protectionIayer
能夠阻止場景向不期望后果發(fā)展的設備、系統(tǒng)或行動。
3.1.5
獨立保護層   independentprotectionIayer
能夠阻止場景向不期望后果發(fā)展，并且獨立于場景的初始事件或其他保護層的設備、系統(tǒng)或行動。
3.1.6
保護層分析   IayerofprotectionanaIysis
通過分析事故場景初始事件、后果和獨立保護層，對事故場景風險進行半定量評估的一種系統(tǒng)方法。
l
AQ/1 3054—2015
 
3.1.7
要求時的失效概率    probabiIityoffaiIureondemand
系統(tǒng)要求獨立保護層起作用時，獨立保護層發(fā)生失效，不能完成一個具體功能的概率。
3.1.8
風險評估   riskassessment
將風險分析的結(jié)果和風險可接受標準進行對比，進行風險決策的過程。
3.1.9
安全儀表功能   safetyinstrumentedfunction
為了達到功能安全所必需的具有特定安全完整性水平的安全功能。
3.1.10
安全關(guān)鍵設備   safetycriticaIequipment
可提供獨立保護層降低場景風險等級，或?qū)鼍暗娘L險由“不可接受風險“轉(zhuǎn)變?yōu)?ldquo;可接受風險“的 工程控制設備。
3.1.11
使能必要事件或條件   enabIingeventorcondition
不直接導致場景的事件或條件，但是對千場景的繼續(xù)發(fā)展，這些事件或條件應存在。
3.1.12
根原因   rootcause
事故發(fā)生的根本原因。根原因通常是管理上存在的某種缺陷。
3.1.13
安全儀表系統(tǒng)   safetyinstrumentedsystem
用來實現(xiàn)一個或幾個儀表安全功能的儀表系統(tǒng)，可由傳感器、邏輯控制器和最終元件的任何組合組成。
3.1.14
防護措施   safeguard
可能中斷初始事件后的事件鏈或減輕后果的任何設備、系統(tǒng)或行動。
3.1.15
“盡可能合理降低“原則    asIowasreasonabIypracticabIe
在當前的技術(shù)條件和合理的費用下，對風險的控制要做到在合理可行的原則下“盡可能的低“。
 
縮略語
 
本標準使用的縮略語見表l。
 
表1 本標準使用的縮略語
 
 

縮略語	解釋	全稱
ALARP	“盡可能合理降低“原則	as1owasreasonab1yPracticab1e
BPCS	基本過程控制系統(tǒng)	basicProcesscontro1system
HAZOP	危險與可操作性分析	hazardandoPerabi1itystudy
IE	初始事件	initiatingevent
IPL	獨立保護層	indePendentProtection1ayer
LOPA	保護層分析	1ayerofProtectionana1ysis

2
AQ/1 3054—2015
 
表1 本標準使用的縮略語 （續(xù))
 
 

縮略語	解釋	全稱
P-ID	管道和儀表流程圖	PiPingandinstrumentationdiagram
PFD	要求時的失效概率	Probabi1ityoffai1ureondemand
SIF	安全儀表功能	safetyinstrumentedfunction
SIL	安全完整性等級	safetyintegrity1eve1
SIS	安全儀表系統(tǒng)	safetyinstrumentedsystem

 
 
LOPA 基本程序
 
基本程序
 
保護層分析（LOPA)是在定性危害分析的基礎上，進一步評估保護層的有效性，并進行風險決策的系統(tǒng)方法。其主要目的是確定是否有足夠的保護層使風險滿足企業(yè)的風險標準。
LOPA 基本流程圖見附錄 A，主要過程包括：
場景識別與篩選；
初始事件（IE)確認；
獨立保護層（IPL)評估；
場景頻率計算；
風險評估與決策；
后續(xù)跟蹤與審查。
在使用 LOPA 前，應確定以下分析標準：
后果度量形式及后果分級方法；
后果頻率的計算方法；

IE 頻率的確定方法；
IPL 要求時的失效概率（PFD)的確定方法；
風險度量形式和風險可接受標準；
分析結(jié)果與建議的審查及后續(xù)跟蹤。
 
應用時機
 
在過程危害分析中出現(xiàn)以下情形時，可使用 LOPA：
事故場景后果嚴重，需要確定后果的發(fā)生頻率；
確定事故場景的風險等級及事故場景中各種保護層降低的風險水平；
確定安全儀表功能（SIF)的安全完整性等級（SIL)；
確定過程中的安全關(guān)鍵設備或安全關(guān)鍵活動；
其他適用 LOPA 的情形等。
LOPA 應用時機參見附錄 B。當尤法確定事故場景的風險時，可采用定量方法進行定量風險評價。
LOPA 的應用有以下局限性：
LOPA 不是識別危險場景的工具，LOPA 的正確執(zhí)行取決于定性危險評價方法所得出的危險場景的準確性，包括初始事件和相關(guān)的安全措施是否正確和全面。
3
AQ/1 3054—2015
 
當使用 LOPA 時，只有滿足如下條件才能進行場景風險的對比：
l) 選擇失效數(shù)據(jù)的方法相同；
2) 采用相同的風險標準。
LOPA 是一種簡化的方法，其計算結(jié)果并不是場景風險的精確值。
 
小組組成
 
LOPA 由一個小組完成。LOPA 小組成員可包括但不限千以下人員：
組長；
記錄員；
設計人員；
操作人員；
工藝人員；
設備工程師；
儀表工程師；
安全工程師。
根據(jù)需要，可要求以下人員參加 LOPA：
工藝包供應商；
成套工藝設備供應商；
公用工程工程師；
電氣工程師；
其他專業(yè)工程師。
如果 LOPA 是基千 HAZOP 分析的結(jié)果，LOPA 小組人員組成宜包括 HAZOP 分析小組成員。
 
場景識別與篩選
 
場景基本要求
 
場景應滿足以下基本要求：
每個場景應有唯一的IE 及其對應的單一后果；
當同一IE 導致不同的后果時，或多種IE 導致同一后果時，應假設多個場景；
當場景中存在使能必要事件或條件，應將其包含在場景中。
 
場景識別與信息來源
 
場景信息來源千危險分析的結(jié)果，包括：
采用 HAZOP 分析方法進行危害分析的結(jié)果；
采用 AQIT3034中的工藝危害分析方法進行危害分析的結(jié)果；
事故分析結(jié)果；
工藝變更分析；
安全儀表功能審查結(jié)果；
其他危害分析結(jié)果等。
當利用 HAZOP 分析結(jié)果進行 LOPA 時，兩者之間的信息對應關(guān)系參見附錄 C。
當利用已有的定性危害分析結(jié)果進行 LOPA 時，宜對定性危害分析的結(jié)果進行審查，確保識別
出所有的危害后果及導致后果的所有原因。
4
AQ/1 3054—2015
 
場景篩選
 
宜采用定性或定量的方法對場景后果的嚴重性進行評估，并根據(jù)后果嚴重性評估結(jié)果對場景進行篩選。
典型的后果種類包括人員傷害、財產(chǎn)損失、環(huán)境和聲譽影響等。
 
初始事件確認
 
IE 一般包括外部事件、設備故障和人員失誤，具體分類見表2。
 
表2  IE 類型
 
 

類別	外部事件	設備故障	人員失誤
分類	8 地 震、海 嘯、龍 卷風、隨 風、洪水、泥 石流、滑 坡和雷擊等自然災害 9 空難 10 臨近工廠的重大事故 11 破壞或恐怖活動 12 鄰近區(qū)域火災或爆炸 13 其他外部事件	3) 控制系統(tǒng)故障（如硬件或軟件失效、控制輔助 系統(tǒng)失效) 4) 設備故障： l)機械故障（如泵密封失效、泵或壓縮機停機) 2) 腐蝕／侵蝕／磨蝕 3) 機械碰撞或振動 4) 閥門故障 5) 管道、容器和儲罐失效 6) 泄漏等 2) 公用工程故障（如停水、停電、停氣、停風等) 3) 其他故障	2) 操作失誤 3) 維護失誤 4) 關(guān)鍵響應錯誤 5) 作業(yè)程序錯誤 6) 其他行為失誤

 
在確定IE 時，應遵循以下原則：
宜對后果的原因進行審查，確保該原因為后果的有效IE；
應將每個原因細分為具體的失效事件，如“冷卻失效”可細分為冷卻劑泵故障、電力故障或控制回路失效；
人員失誤的根原因（如培訓不完善)、設備的不完善測試和維護等不宜作為IE。
 
獨立保護層評估
 
IPL 確定原則
化工企業(yè)保護層作為IPL 時，應滿足以下基本要求：
獨立性：
獨立于IE 的發(fā)生及其后果；
2)   獨立于同一場景中的其他IPL。
有效性：
能檢測到響應的條件；
在有效的時間內(nèi)，能及時響應；
在可用的時間內(nèi)，有足夠的能力采取所要求的行動；
滿足所選擇的PFD 的要求。
安全性。應使用管理控制或技術(shù)手段減少非故意的或未授權(quán)的變動。
5
AQ/1 3054—2015
 
變更管理。設備、操作程序、原料、過程條件等任何改動應執(zhí)行變更管理程序，以滿足變更后保護層的IPL 要求。
可審查性。應有可用的信息、文檔和程序可查，以說明保護層的設計、檢查、維護、測試和運行
活動能夠使保護層達到IPL 的要求。
 
化工企業(yè)典型保護層及作為IPL 的要求
 
化工企業(yè)典型保護層及作為IPL 的要求見表3。
 
表3   化工企業(yè)典型保護層及作為IPL 的要求
 
 

保護層	描述	說明	示例	作為IPL 的要求
				具體要求	通用要求
本質(zhì)安全設計	從根本上消除或減少工藝系統(tǒng)存在的危害	企業(yè)可根據(jù)具體場景需要，確定是否將其作為IPL	容器或管道設計可承受事故后果產(chǎn)生的高溫、高壓等		對 千 所 有 的保護層，作 為IPL 應滿足以下要求： l)應 有 控 制手 段 防 止 非故 意 的 或 未授權(quán)的變動 2) 應 執(zhí) 行 嚴格 的 變 更 管理程序，以 滿足 變 更 后 保護  層  的  IPL要求 3) 應 有 可 用的信息、文 檔和程序可查， 以 說 明 保 護層的設計、檢查、維 護、測試 和 運 行 活動 能 夠 使 保護層達到IPL的要求
				l)當 本質(zhì)安全設計用來消除某些場景時，不應作為IPL 2)當 考慮本質(zhì)安全設計在運行和維護過程中的失效時，在某些場景中，可將其作為一種IPL
基本過程控制系統(tǒng) （BPCS)	BPCS是執(zhí)行持續(xù)監(jiān)測和控制B 常生產(chǎn)過程的控制系統(tǒng)，通過響應過程或操作人員的輸入信號產(chǎn)生輸出信息，使過程以期望的方式運行。由傳感器、邏輯控制器和最終執(zhí)行元件組成	BPCS可以提供三種不同類型的安全功能作為IPL： l)連續(xù)控制行動：保持過程參數(shù)維持在規(guī)定的正常范圍以內(nèi)，防止IE 發(fā)生 2) 報警行動：識別超出正常范圍的過程偏差，并向操作人員提供報警信息，促使操作人員采取行動 （控制過程或停車) 3) 邏輯行動：行動將導致停車或采取動作使過程處千安全狀態(tài)	精熘塔、加熱爐等基本過程控制系統(tǒng)	l)BPCS 作為IPL 應滿足以下要求：    BPCS 應與安全儀表系統(tǒng)（SIS)在物理上分離，包括傳感器、邏輯控制器和最終執(zhí)行元件    BPCS 故障不是 造成IE 的原因 2) 在同一個場景中，當滿足 IPL 的要求時，具有多個回路的 BPCS 宜 作 為 一個 IPL。BPCS 多 個 回路作為 IPL 的具體評估方法可參見附錄D 3) 當BPCS通過報警或其他形式提醒操作人員采取行動時， 宜將這種保護考慮為報警和人員響應 保護層

6
AQ/1 3054—2015
 
表3   化工企業(yè)典型保護層及作為IPL 的要求  （續(xù))
 
 

保護層	描述	說明	示例	作為IPL 的要求
				具體要求	通用要求
報警和人員響應	報警和人員響應是操作人員或其他工作人員對報警響應， 或在系統(tǒng)常規(guī)檢查后，采取的防止不良后果的行動	通常認為人員響應的可靠性較低，應慎重考慮人員行動作為獨立保護層的有效性	反應器溫度高報警和人員響應	l)操 作人員應能夠得到采取行動的指示或報警 2) 操 作人員應訓練有素，能夠完成特定報警所要求的操作任務 3) 任 務應具有單一性和可操作性，不宜要求操作人員執(zhí)行 IPL 要求的行動時同時執(zhí)行其他任務 4) 操 作人員應有足夠的響應時間 5) 操 作人員身體條 件合適等	對 千 所 有 的保護層，作 為IPL 應滿足以下要求： l)應 有 控 制手 段 防 止 非故 意 的 或 未授權(quán)的變動 2) 應 執(zhí) 行 嚴格 的 變 更 管理程序，以 滿足 變 更 后 保護  層  的  IPL要求 3) 應 有 可 用的信息、文 檔和程序可查， 以 說 明 保 護層的設計、檢查、維 護、測試 和 運 行 活動 能 夠 使 保護層達到IPL的要求
安全儀表功能 （SIF)	安全儀表功能通過檢測超限 （異 常)條件，控制過程進入功能安 全 狀 態(tài)。 一 個安全儀表功能由傳感器、邏輯控制器和最終執(zhí)行元件組成， 具有一定的SIL	安全 儀 表 功 能  SIF在 功 能 上 獨 立 千BPCS。SIL 分 級 可見 GB/T2ll09	l) 安 全 儀 表 功能SILl 2) 安 全 儀 表 功能SIL2 3) 安 全 儀 表 功能SIL3	l)SIF 在功能上獨立千 BPCS 2)SIF 的規(guī)格、設計、調(diào)試、檢 驗、維 護 和測  試   應   按    GB/T 2ll09 的 有 關(guān) 規(guī) 定執(zhí)行
物理保護	提供超壓保護，防止 容器的災難性破裂	包括安全閥、爆破片等，其有效性受服役條件的影響較大	l)安全閥 a) 爆破片 b) 安 全閥和爆破片串聯(lián) c) 放空閥	l)獨 立千場景中的其他保護層 c) 在確定安全閥、爆破片等設備的 PFD 時，應考慮其實際運行環(huán)境中可能出現(xiàn)的污染、堵塞、腐蝕、不恰當維護等因素對 PFD 進行修正 d) 當 物理保護作為 IPL 時，應 考慮物理保護起作用后可能造成的其他危害，并重新假設LOPA 場景進行評估

7
AQ/1 3054—2015
 
表3   化工企業(yè)典型保護層及作為IPL 的要求  （續(xù))
 
 

保護層	描述	說明	示例	作為IPL 的要求
				具體要求	通用要求
釋放后保護設施	危險物質(zhì)釋放后，用來降低事故后果的保護設施（如防止大面積泄淜擴散、降低受保護設備和建筑物的沖擊波破壞、防止容器或管道火災暴露失效、防止火焰或爆轟波穿過管道系統(tǒng)等)	— 般需要對事故后果進行定量評估，根據(jù)評估結(jié)果選擇針對性釋放后保護設施或確定保護設施的設計參數(shù)	l)火氣系統(tǒng)：可燃氣體和有毒氣體檢測報警系統(tǒng)、泄淜或火災后緊急切斷系統(tǒng)、 火災報警系統(tǒng)等	l)獨 立千場景中的其他保護層 2)在確定阻火器、隔爆器等設備的 PFD 時，應考慮其實際運行環(huán)境中可能出現(xiàn)的污染、堵塞、腐蝕、不恰當維護等因素對 PFD 進行修正	對 千 所 有 的保護層，作 為IPL 應滿足以下要求： l)應 有 控 制手 段 防 止 非故 意 的 或 未授權(quán)的變動 2) 應 執(zhí) 行 嚴格 的 變 更 管理程序，以 滿足 變 更 后 保護  層  的  IPL要求 3) 應 有 可 用的信息、文 檔和程序可查， 以 說 明 保 護層的設計、檢查、維 護、測試 和 運 行 活動 能 夠 使 保護層達到IPL的要求
			2)攔蓄或收集設施： 防火堤、集液池及收集系統(tǒng)等
			a) 釋 放后安全處理系統(tǒng)：洗 滌設施、有毒氣體捕集及處理系統(tǒng)等 b) 減 少蒸發(fā)擴散的設施：如 用 千LNG的高倍數(shù)泡沫系統(tǒng) c) 防火設施：耐火涂層、防火門、阻火器、消防系統(tǒng) （水 幕、自動滅火系統(tǒng)等) d) 防爆設施：防爆墻或防爆艙、隔 爆 器、泄壓板、水 霧系 統(tǒng)、減爆劑、惰化系統(tǒng)等 e) 防中毒設施：正壓防護 系 統(tǒng)、中 和系統(tǒng)等 f) 其他：與消防聯(lián)動 的電視監(jiān)視系統(tǒng)
工廠和社區(qū)應急響應	在初始釋放之后被激活，其整體有效性受多種因素影響		主要包括消防隊、工廠撤離、社 區(qū)撤 離、避 難 所 和 應  急  預案等	應確認其有效性

 
不作為IPL 的防護措施
 
通常不作為IPL 的防護措施見表4。
表4   通常不作為IPL 的防護措施
 
 

防護措施	說明
培訓和取證	在確定操作人員行動的 PFD 時，需要考慮這些因素，但是它們本身不是IPL
程序	在確定操作人員行動的 PFD 時，需要考慮這些因素，但是它們本身不是IPL

8
AQ/1 3054—2015
 
表4   通常不作為IPL 的防護措施  (續(xù))
 
 

防護措施	說明
正常的測試和檢測	正常的測試和檢測將影響某些IPL 的 PFD，延長測試和檢測周期可能增加IPL 的 PFD
維護	維護活動將影響某些IPL 的 PFD
通信	差的通信將影響某些IPL 的 PFD
標識	標識自身不是IPL，標識可能不清晰、模糊、容易被忽略等。標識可能影響某些IPL 的 PFD
火災保護	火災保護的可用性和有效性受到所包圍的火災／爆炸的影響。如果在特定的場景中，企業(yè)能夠證明它滿足IPL 的要求，則可將其作為IPL

 
場景頻率計算
 
風險和頻率的定量計算
 
場景的發(fā)生頻率計算如下：
J
fC  =fI X IlPFDi
i i J
J=l
=fI XPFDil XPFDi2 X . XPFDi
..........(l )
i J
式中：
i
f C    初始事件i的后果C的發(fā)生頻率，單位為／a;

i
fI    初始事件i的發(fā)生頻率，單位為／a;

PFDiJ     初始事件i中第J 個阻止后果C發(fā)生的IPL 的PFD。
在計算場景頻率時，可根據(jù)需要對場景頻率進行修正。
存在使能事件或條件時：
J
fC  =fI XfE X IlPFDi
..........(2 )
 
式中：
i i i
J
J=l
i
f E 使能事件或條件發(fā)生概率。

采用點火概率、人員暴露和具體傷害的概率對不同后果場景頻率進行修正。
l) 火災發(fā)生的頻率：
J
ffire  =fI X (Il PFDi  )XPi
..........(3 )
 
式中：
Pig    點火概率。
i i J g J = l
人員暴露千火災中的頻率：
J
ffire—exP  =fI X (Il PFDi  )XPi   XPex  (4 )
i
 
式中：
Pex    人員暴露概率。
i J g
J=l
火災引起人員受傷的頻率：
J
ffire—injury  =fI X (Il PFDi  )XPi   XPex  XPd
i i J g J = l
 
..........(5 )
9
AQ/1 3054—2015
 
式中：
Pd 人員受傷或死亡概率。
對千毒性影響，人員傷害的頻率方程與火災傷害方程相似，毒性影響不需要點火概率，式(5)變?yōu)椋?br />J
ftoxic  = fI X (IlPFDi  )XPex  XPd  (6 )
i i
 
 
初始事件發(fā)生頻率和IPL 的PFD
J
J = l
初始事件發(fā)生頻率和IPL 的PFD 數(shù)據(jù)可采用：
行業(yè)統(tǒng)計數(shù)據(jù)；
企業(yè)歷史統(tǒng)計數(shù)據(jù)；
基千失效模式、影響和診斷分析(FMEDA)及故障樹分析(FTA)等的數(shù)據(jù)；
其他可用數(shù)據(jù)等。
選擇失效數(shù)據(jù)時，應滿足以下要求：
在整個分析過程中，使用的所有失效數(shù)據(jù)的選用原則應一致；
選擇的失效率數(shù)據(jù)應具有行業(yè)代表性或能代表操作條件；
使用企業(yè)歷史統(tǒng)計數(shù)據(jù)時，只有該歷史數(shù)據(jù)充足并具有統(tǒng)計意義時才能使用；
使用普通的行業(yè)數(shù)據(jù)時，可根據(jù)企業(yè)的具體條件對數(shù)據(jù)進行修正；
可對失效頻率數(shù)據(jù)取整至最近的整數(shù)數(shù)量級。
在確定IE 發(fā)生頻率和典型IPL 的PFD 時，應考慮實際的運行環(huán)境對發(fā)生頻率或PFD 的影響：
 
當系統(tǒng)或操作不連續(xù)(裝載／卸載、間歇工藝等)時，應根據(jù)其實際的運行時間對失效頻率數(shù)據(jù)進行修正；

在確定安全閥、阻火器或隔爆器等設備的PFD 時，應考慮其實際運行環(huán)境中可能出現(xiàn)的污染、

堵塞、腐蝕、不恰當維護等因素對PFD 進行修正；

典型IE 發(fā)生頻率和典型IPL 的PFD 參見附錄 E。
 
風險評估與決策
 
對事故場景風險，可根據(jù)場景頻率計算結(jié)果和后果等級，使用定量數(shù)值風險標準、風險矩陣等形式
進行風險等級評估，定量數(shù)值風險標準和風險矩陣示例參見附錄F。
根據(jù)事故場景風險等級進行風險決策，風險決策宜采取 ALARP 原則，將事故場景風險降低到可接受風險水平，ALARP 和可接受風險水平概念參見附錄F。
 
LOPA 報告
 
LOPA 分析結(jié)束時，應生成 LOPA 記錄表和報告。LOPA 分析案例和記錄表形式可參見附錄G。
LOPA 報告應包括以下內(nèi)容：
場景的信息來源說明；
企業(yè)的風險標準；
IE 發(fā)生頻率和IPL 的PFD；
場景中IPL 和非IPL 的評估結(jié)果；
場景的風險評估結(jié)果；
l0
AQ/1 3054—2015
 
滿足風險標準要求采取的行動及后續(xù)跟蹤；
如果有必要，對需要采取不同技術(shù)進行深入研究的問題提出建議；
對分析期間所發(fā)現(xiàn)的不確定情況及不確定數(shù)據(jù)的處理；
分析小組使用的所有圖紙、說明書、數(shù)據(jù)表和危險分析報告等的清單（包括引用的版本號)；
參加分析的小組成員名單。
LOPA 報告應經(jīng)小組成員簽字確認。若 LOPA 小組不能達成一致意見，應記錄原因。
 
LOPA 后續(xù)跟蹤及審查
 
宜對LOPA 分析結(jié)果的執(zhí)行情況進行后續(xù)跟蹤，對LOPA 提出的降低風險行動的實施情況進行
落實。
LOPA 的程序和分析結(jié)果可接受相關(guān)的審查。
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ll
AQ/1 3054—2015
 
 
 
附 錄   A
（規(guī)范性附錄)
LOPA 基本程序
 
LOPA 基本程序如圖 A.l所示，包括：
場景識別與篩選。LOPA 通常評估先前危害分析研究中識別的場景。分析人員可采用定性或定量的方法對這些場景后果的嚴重性進行評估，并根據(jù)后果嚴重性評估結(jié)果對場景進行篩選。
初始事件（IE)確認。首先，選擇一個事故場景，LOPA 一次只能選擇一個場景；然后確定場景
IE。IE 包括外部事件、設備故障和人員行為失效。
獨立保護層（IPL)評估。評估現(xiàn)有的防護措施是否滿足IPL 的要求是 LOPA 的核心內(nèi)容。
場景頻率計算。將后果、IE 頻率和IPL 的PFD 等相關(guān)數(shù)據(jù)進行計算，確定場景風險。
風險評估與決策。根據(jù)風險評估結(jié)果，確定是否采取相應措施降低風險。然后，重復步驟b)
至步驟e)直到所有的場景分析完畢。
后續(xù)跟蹤與審查。LOPA 分析完成后，對提出降低風險措施的落實情況應進行跟蹤。應對
LOPA 的程序和分析結(jié)果進行審查。

 
圖 A.1   LOPA 基本程序
 
 
l2
AQ/1 3054—2015
 
 
 
附 錄   B
（資料性附錄）
LOPA 應用時機

注：事故后果是否嚴重可根據(jù)企業(yè)的風險標準確定，以表 F.3為例，通?？烧J為4級及以上的后果為嚴重后果。
 
圖 B.1   LOPA 的應用時機
 
 
 
 
 
 
 
 
l3
AQ/1 3054—2015
 
 
 
附 錄   C
（資料性附錄）
HAZOP 信息與 LOPA 信息的關(guān)系

 
圖 C.1   HAZOP 信息與 LOPA 信息的關(guān)系
 
 
 
 
 
 
 
 
 
 
 
l4
AQ/1 3054—2015
 
 
 
附 錄   D
（資料性附錄）
BPCS多個回路作為IPL 的評估方法
 
 
同一BPCS多個功能回路作為IPL 的評估方法
 
在同一場景中，當同一BPCS具有多個功能回路時，其IPL 的評估可使用方法 A 或方法B。
方法 A 假設一個單獨BPCS回路失效，則其他所有共享相同邏輯控制器的 BPCS回路都失效。
 
對單一的BPCS，只允許有一個IPL，且應獨立于IE 或任何使能事件。

方法B假設一個 BPCS回路失效，最有可能是傳感器或最終控制元件失效，而 BPCS邏輯控制
器仍能正常運行。BPCS邏輯控制器的PFD 比 BPCS 回路其他部件的 PFD 至少低兩個數(shù)量級。方法
B允許同一BPCS有一個以上的IPL。如圖 D.l 所示，兩個 BPCS 回路使用相同的邏輯控制器。假設這兩個回路滿足作為同一場景下IPL 的其他要求，方法 A 只允許其中一個回路作為IPL，方法 B 允許兩個回路都作為同一場景下的IPL。
 
圖 D.1   同一場景下共享同一BPCS邏輯控制器的多條回路
 
 
同一場景下，同一BPCS多個功能回路同時作為IPL 的要求
 
同一場景下，同一BPCS多個功能回路同時作為IPL 時，應滿足：
BPCS具有完善的安全訪問程序，應確保將 BPCS編程、變更或操作上潛在的人為失誤降低到
可接受水平；
BPCS回路中的傳感器與最終執(zhí)行元件在BPCS回路的所有部件中具有最高的失效概率值。
如果傳感器或最終執(zhí)行元件是場景中其他IPL 的公共組件或是IE 的一部分，則多個回路不應作為多個IPL。如圖 D.2 所示，BPCS 回路l 和回路2 均使用同一傳感器，在這個場景下，則這兩個 BPCS回路只能作為一個IPL。同樣，如果最終執(zhí)行元件（或相同報警和操作人員響應）被共享在兩個 BPCS回路，那么這兩個BPCS回路也只能作為一個IPL。
 
圖 D.2   同一場景下共享傳感器的BPCS回路
l5
D.2.3   共享邏輯控制器輸入卡或輸出卡的額外 BPCS 回路不宜同時作為IPL。如圖 D.3 所示，假設滿足IPL 的所有其他要求，則回路傳感器 A}輸入卡l}邏輯控制器}輸出卡l}最終執(zhí)行元件l可確定為IPL。如果第二個控制回路的路徑為傳感器 D} 輸入卡2} 邏輯控制器} 輸出卡2} 最終執(zhí)行元件4，那么此回路也可確定為IPL。但是，如果第二個回路的路徑為傳感器 D} 輸入卡2} 邏輯控制器}輸出卡l}最終執(zhí)行元件2，那么此回路不能作為IPL，因為輸出卡l共享在兩個回路中。
AQ/1 3054—2015

 

注：l?4是最終執(zhí)行元件。
 
圖 D.3   相同場景下共享輸入/輸出卡的影響
 
 
 
如果IE 不涉及BPCS邏輯控制器失效，每一個回路均滿足IPL 的所有要求，在同一場景下，作為IPL 的BPCS回路不應超過2個。如圖 D.4所示，如果所有4個回路各自滿足相同場景下IPL 的要求，在使用方法B 時，最多只有兩個回路被作為IPL。

 
圖 D.4   相同場景下BPCS功能回路作為IPL 的最大數(shù)量
 
 
所有BPCS回路IPL 總的PFD，不宜低千lXl0—2。

最終執(zhí)行元件可以是機械動作（如關(guān)閉閥門、啟動泵)或一種是機械動作，另一種是要求人員采取行動的報警。在同一場景中，不宜將兩個人員響應同時作為IPL，除非證明它們完全獨立并且滿足人員行動作為IPL 的所有要求。
 
IE 或使能事件涉及 BPCS回路失效時，在同一場景中，宜只將l個 BPCS回路作為IPL。如果人員失效是IE，不宜將啟動人員行動的BPCS報警視為IPL。


 
同一場景下，同一BPCS多個功能回路同時作為IPL 的數(shù)據(jù)和人員要求
 
對數(shù)據(jù)與數(shù)據(jù)分析的要求如下：
方法B假設 BPCS 邏輯控制器的 PFD 比 BPCS 回路其他部件的 PFD 至少低兩個數(shù)量級，應
具有支持這個假設的數(shù)據(jù)，并對數(shù)據(jù)進行分析。這些數(shù)據(jù)包括：
l)  BPCS邏輯控制器、輸入／輸出卡、傳感器、最終執(zhí)行元件、人員響應等歷史性能數(shù)據(jù)；
系統(tǒng)制造商提供的數(shù)據(jù)；
檢查、維護和功能性測試數(shù)據(jù)；
l6 儀表圖、管道和儀表流程圖（P&ID)、回路圖、標準規(guī)范等資料；
訪問BPCS，進行程序更改、旁路報警等安全訪問BPCS的信息。
對這些數(shù)據(jù)的分析應包括：
計算設備或系統(tǒng)BPCS回路組件的有效失效率；
各種組件，特別是BPCS邏輯控制器PFD 數(shù)據(jù)的比較；
邏輯輸入／輸出卡及相關(guān)回路的獨立性評估；
安全訪問控制充分性評估；
使用多重BPCS回路作為同一場景下的多個IPL 的合適性評估。
對分析人員的要求如下：
分析人員應能夠：
判斷是否有足夠和完整的數(shù)據(jù)，這些數(shù)據(jù)是否能滿足足夠精度的計算；
了解儀表的設計和BPCS系統(tǒng)是否滿足獨立性要求；
理解建議的IPL 對工藝或系統(tǒng)的影響。
分析小組或人員應具有相關(guān)專業(yè)知識，例如：
對BPCS邏輯控制器具有足夠低的PFD 的獨立第三方認證；
對歷史性能數(shù)據(jù)和維修記錄的分析，建立設計標準使多個BPCS回路滿足IPL 的要求；
設計并執(zhí)行多個BPCS回路系統(tǒng)使之滿足獨立性與可靠性要求等。
C)  如果分析小組或人員不能滿足以上要求，那么在判斷 BPCS 回路作為IPL 時，宜使用方法 A
進行分析。
 
 
附 錄   E
（資料性附錄)
失效數(shù)據(jù)
 
表 E.1  IE 典型頻率值
 
單位為每年
 
 

IE	頻率范圍
壓力容器疲勞失效	10—5 ?10—7
管道疲勞失效—100m— 全部斷裂	10—5 ?10—6
管線泄漏（10%截面積)—100m	10—3 ?10—4
常壓儲罐失效	10—3 ?10—5
墊片／填料爆裂	10—2 ?10—6
渦輪／柴油發(fā)動機超速，外套破裂	10—3 ?10—4
第三方破壞（挖掘機、車輛等外部影響)	10—2 ?10—4
起重機載荷掉落	（10—3 ?10—4)／起吊
雷擊	10—3 ?10—4
安全閥誤開啟	10—2 ?10—4
冷卻水失效	1?10—2
泵密封失效	10—1 ?10—2
卸載／裝載軟管失效	1?10—2
BPCS儀表控制回路失效	1?10—2
調(diào)節(jié)器失效	1?10—1
小的外部火災（多因素)	10—1 ?10—2
大的外部火災（多因素)	10—2 ?10—3
LOTO（鎖定、標定)程序失效（多個元件的總失效)	（10—3 ?10—4)／次
操作員失效（執(zhí)行常規(guī)程序，假設得到較好的培訓、不緊張、不疲勞)	（10—1 ?10—3)／次

 
表 E.2   某公司采用的IE 典型頻率值
 
單位為每年
 
 

分類	IE	頻率
閥 門	1)單向閥完全失效	1
	2)單向閥卡澀	1X10—2
	3)單向閥內(nèi)漏（嚴重)	1X10—5
	4)墊圈或填料泄漏	1X10—2
	5)安全閥誤開或嚴重泄漏	1X10—2
	6)調(diào)節(jié)器失效	1X10—1
	7)電動或氣動閥門誤動作	1X10—1

 
表 E.2   某公司采用的IE 典型頻率值  （續(xù))
 
單位為每年
 
 

分類	IE	頻率
容器和儲罐	1)壓力容器災難性失效	1X10—6
	2)常壓儲罐失效	1X10—3
	3)過程容器沸騰液體擴展蒸氣云爆炸（BLEVE)	1X10—6
	4)球罐沸騰液體擴展蒸氣云爆炸（BLEVE)	1X10—4
	5)容器小孔（冬50mm)泄漏	1X10—3
公用工程	1)冷卻水失效	1X10—1
	2)斷電	1
	3)儀表風失效	1X10—1
	4)氮氣（惰性氣體)系統(tǒng)失效	1X10—1
管道和軟管	1)泄漏（法蘭或泵密封泄漏)	1
	2)彎曲軟管微小泄漏（小口徑)	1
	3)彎曲軟管大量泄漏（小口徑)	1X10—1
	4)加載或卸載軟管失效（大口徑)	1X10—1
	5)中口徑（冬150mm)管道大量泄漏	1X10—5
	6)大口徑（>150mm)管道大量泄漏	1X10—6
	7)管道小泄漏	1X10—3
	8)管道破裂或大泄漏	1X10—5
施工與 維修	1)外部交通工具的沖擊（假定有看守員)	1X10—2
	2)吊車載重掉落（起吊次數(shù)/a)	1X10—3
	3)操作維修加鎖加標記（LOTO)規(guī)定沒有遵守	1X10—3
操作 失誤	1)尤壓力下的操作失誤（常規(guī)操作)	1X10—1
	2)有壓力下的操作失誤（開停車、報警)	1
機械故障	1)泵體壞（材質(zhì)變化)	1X10—3
	2)泵密封失效	1X10—1
	3)有備用系統(tǒng)的泵和其他轉(zhuǎn)動設備失去流量	1X10—1
	4)透平驅(qū)動的壓縮機停轉(zhuǎn)	1
	5)冷卻風扇或扇葉停轉(zhuǎn)	1X10—1
	6)電機驅(qū)動的泵或壓縮機停轉(zhuǎn)	1X10—1
	7)透平或壓縮機超載或外殼開裂	1X10—3
儀表	BPCS（基本過程控制系統(tǒng))回路失效	1X10—1
外部事件	1)雷電擊中	1X10—3
	2)外部大火災	1X10—2
	3)外部小火災	1X10—1
	4)易燃蒸氣云爆炸	1X10—3

 
表 E.3   化工行業(yè)典型IPL 的PFD
 
 

IPL		說明 （假設具有完善的設計基礎、充足的檢測和 維護程序、良好的培訓）	PFD
本質(zhì)安全設計		如果正確執(zhí)行，將大大地降低相關(guān)場景后果的頻率	1X10—1 ?1X10—6
BPCS		如果與IE 尤關(guān)，BPCS可作為一種IPL	1X10—1 ?1X10—2
關(guān)鍵報警和人員響應	人員行動，有 10 min 的響應時間	行動應具有單一性和可操作性	1.0?1X10—1
	人員對BPCS指示或報警的響應，有40min的響應時間		1X10—1
	人員行動，有 40 min 的響應時間		1X10—1 ?1X10—2
安全儀表功能	安全儀表功能SIL1	見 GB／T21109	?:1X10—2 ?<1X10—1
	安全儀表功能SIL2		?:1X10—3 ?<1X10—2
	安全儀表功能SIL3		?:1X10—4 ?<1X10—3
物理保護	安全閥	此類系統(tǒng)有效性對服役的條件比較敏感	1X10—1 ?1X10—5
	爆破片		1X10—1 ?1X10—5
釋放后保護 措施	防火堤	降低由千儲罐溢流、斷裂、泄漏等造成嚴重后果的頻率	1X10—2 ?1X10—3
	地下排污系統(tǒng)	降低由千儲罐溢流、斷裂、泄漏等造成嚴重后果的頻率	1X10—2 ?1X10—3
	開式通風口	防止超壓	1X10—2 ?1X10—3
	耐火涂層	減少熱輸入率，為降壓、消防等提供額外的響應時間	1X10—2 ?1X10—3
	防爆墻／艙	限制沖擊波，保護設備／建筑物等，降低爆炸 重大后果的頻率	1X10—2 ?1X10—3
	阻火器或防爆器	如果、安裝和維護合適，這些設備能夠防止通過管道系統(tǒng)或進入容器或儲罐內(nèi)的潛在 回火	1X10—1 ?1X10—3
	遙控式緊急切斷閥	切斷物料，防止事故發(fā)生或事故后果擴大	1X10—1 ?1X10—2

 
 
附 錄   F
（資料性附錄）
風險標準和 ALARP 原則
 
 
風險標準
 
表 F.1   數(shù)值風險標準（廠外個體風險）
 
單位為每年
 
 

部 門	可容許風險	可忽略風險
荷蘭環(huán)境保護和城市規(guī)劃部 VROM（現(xiàn)存裝置）	1X10—5	1X10—8
荷蘭環(huán)境保護和城市規(guī)劃部 VROM（新建設施）	1X10—6	1X10—8
英國健康和安全局 HSE（現(xiàn)有設施）	1X10—4	1X10—6
英國健康和安全局 HSE（新建居民區(qū)）	3X10—6	3X10—7
英國（新建核電站）	1X10—5	1X10—6
英國（新建危險品運輸）	1X10—4	1X10—6
香港（新建和已建裝置）	1X10—5
新加坡（新建和已建裝置）	5X10—5	1X10—6
馬來西亞（新建和已建裝置）	1X10—5	1X10—6
澳大利亞（新建和已建裝置）	5X10—5	5X10—7
加拿大	1X10—4	1X10—6
巴西（新建和已建裝置）	1X10—5	1X10—6

 
表 F.2   風險評估矩陣
 
 

后果等級	5	低	中	中	高	高		很高	很高
	4	低	低	中	中	高		高	很高
	3	低	低	低	中	中		中	高
	2	低	低	低	低	中		中	中
	1	低	低	低	低	低		中	中
		10—6 ?10—7	10—5 ?10—6	10—4 ?10—5	10—3 ?10—4		10—2 ?10—3	10—1 ?10—2	1?10—1
					頻率等級/a
風險等級說明： 低：不需采取行動。 中：可選擇性的采取行動。 高：選擇合適的時機采取行動。 很高：立即采取行動。

 
表 F.3   后果定性分級方法
 
 

等級	嚴重程度	分類
		人員	財產(chǎn)	環(huán)境	戶呂
1	低后果	醫(yī)療 處 理，不 需 住 院；短時間身體不適	損失極小	事件影響未超過界區(qū)	企業(yè)內(nèi)部關(guān)注，形象沒 有受損
2	較低后果	工作受限，輕傷	損失較小	事件不會受到管理部門 的通報或違反允許條件	社區(qū)、鄰 居、合 作伙伴 影響
3	中后果	嚴重傷害，職業(yè)相關(guān) 疾病	損失較大	事件受到管理部門的通報或違反允許條件	本地區(qū)內(nèi)影響；政府管制，公眾關(guān)注負面后果
4	高后果	1?2 人死亡或喪失勞動 能 力，3?9 人重傷	損失很大	重大泄淜，給工作場所外 帶來嚴重影響	國內(nèi)影響；政 府 管 制， 媒體和公眾關(guān)注負面后果
5	很高后果	3人以上死亡，10 人 以上重傷	損失極大	重大泄淜，給工作場所外帶來嚴重的環(huán)境影響，且會導致直接或潛在的健康危害	國際影響

 
 
ALARP 原則
 
ALARP 原則
 
ALARP 原則（圖 F.1)指在當前的技術(shù)條件和合理的費用下，對風險的控制要做到在合理可行的
原則下“盡可能的低＂。按照 ALARP 原則，風險區(qū)域可分為：
不可接受的風險區(qū)域。在本標準 F.2中指高風險和很高風險區(qū)域。在這個區(qū)域，除非特殊情
況，風險是不可接受的。
允許的風險區(qū)域。在本標準 F.2中指中風險區(qū)域。在這個區(qū)域內(nèi)必須滿足以下條件之一時，
風險才是可允許的：
在當前的技術(shù)條件下，進一步降低風險不可行；
降低風險所需的成本遠遠大于降低風險所獲得的收益。
C)  廣泛可接受的風險區(qū)域。在本標準 F.2中指低風險區(qū)域。在這個區(qū)域，剩余風險水平是可忽
略的，一般不要求進一步采取措施降低風險。
 

 
圖 F.1   ALARP 原則
 
ALARP 原則推薦在合理可行的情況下，把風險降低到“盡可能的低＂。如果一個風險位于兩種極端情況（高風險及以上不可接受區(qū)域和廣泛可接受的風險區(qū)域）之間，如果使用了 ALARP 原則，則所得到的風險可認為是可允許的風險。
如果風險處于高風險及以上區(qū)域，則該風險是不可接受的，應把它降低到可接受風險水平。
在廣泛可接受的低風險區(qū)域，不需要進一步降低風險，但有必要保持警惕以確保風險維持在這一
水平。
 
可接受風險水平
 
根據(jù) ALARP 原則，可接受風險水平指允許的風險區(qū)域或廣泛可接受的風險區(qū)域。
 
 
附 錄   G
（資料性附錄)
LOPA 示例
 
 
正已皖緩沖罐溢流
 
工藝描述
 
簡化 P&ID 示例見圖 G.1。示例的詳細描述可參見Layerof ProtectionAnaLysis SimJLified ProcessRiskAssessment。來自上游工藝單元的正已皖進入正已皖緩沖罐 T-401。正已皖供料管道總是帶壓。正已皖緩沖罐液位受液位控制回路（LIC-90)控制，LIC-90 檢測儲罐液位，通過調(diào)節(jié)液位閥
（LV-90)控制液位。正已皖輸往下游工藝使用。LIC 回路包括提醒操作人員的高液位報警（LAH-90)。
儲罐總?cè)萘繛?0t，通常盛裝一半的容量。儲罐位千防火堤內(nèi)，該防火堤能夠容納45t正已皖。

 
圖 G.1   正已皖緩沖罐溢流
 
場景識別與篩選
 
采用前期進行的 HAZOP 分析作為場景信息來源。正已皖緩沖罐 T-401 的 HAZOP 分析結(jié)果見表 G.1。根據(jù)表F.3篩選進行 LOPA 分析的場景。本例選擇分析的場景為正已皖緩沖罐溢流，防火堤發(fā)生失效，導致大面積火災，造成人員的傷亡，后果等級為5級。
 
表 G.1   正己皖緩沖罐1-401HAZOP 分析
 
 

序號	偏差	原因	后果	現(xiàn)有防護措施	建議
1	液位高	流量控制閥 LV-90 誤開大（如液位控制 LIC失效，操 作 人 員 失 誤等)導致至正已皖緩沖罐 T-401管線流量大	高壓（見5)	1) 液位監(jiān)測，高液位報警 2) 單元操作程序	建 議 安 裝 一 個 SIS，在  T-401 高 液位時切斷進料
2	液位低	上游工藝至正已皖緩沖罐  T-401 管線流量小或尤流量	尤后果：在下游倒空供料罐前，如果 不填充，將 引起潛在的過程中斷
3	溫度高		尤關(guān)心的后果
4	溫度低	低的環(huán)境溫度，而緩沖罐內(nèi)有水（見7)	緩沖罐底部或緩沖罐排水線或儀表線積累的水凍結(jié)， 導致排水線斷裂和泄漏
5	壓力高	高液位（見1)	1) 正 已皖通過釋放閥泄放到防火堤內(nèi)；如果防火堤不能包容釋放物，可能造成大面積火災 2) 泄漏（如果超壓值超過緩 沖罐額定壓力)（見8)
6	壓力低	在蒸氣吹掃后，冷卻前 緩沖罐發(fā)生堵塞	真空下緩沖罐塌陷導致設 備破壞	標準程序和容器蒸氣吹掃檢查
7	污染物 濃度高	在蒸氣吹掃和沖洗后， 水沒有完全排出	在低的環(huán)境溫度期間，緩沖罐內(nèi)積累的水可能凍結(jié)（見4)
8	包容物 損失	1) 腐蝕／侵蝕 2) 外部影響（如火災) 3) 液位高（見1) 4) 墊 片、填 料 或 密 封 失效 5) 不適當?shù)木S護 6) 儀表或儀表線失效 7) 材質(zhì)缺陷 8) 采樣閥泄漏 9) 通 風 口 和 排 水 閥 泄漏 10) 低溫（見4)	正已皖泄漏，如果防火堤不能包容釋放物，可能造成大面積火災，造成人員傷亡	G 操作和維護程序，需要時隔離 H 能手動隔離緩沖罐 I 按 照規(guī)范和標準進行預防性檢測 J 安全閥，釋放到緩沖罐 防火堤內(nèi) K 防 火堤容積能容納正已皖 45t（1.5 倍緩沖罐能力) L 緊急響應程序

 
 
IE 確認
 
本例選定IE 為BPCS液位控制回路失效，根據(jù)表 E.1，其失效頻率為1X10—1／a。
 
IPL 評估
 
對場景的防護措施開展IPL 評估，包括：
防火堤。一旦發(fā)生罐體溢流，合適的防火堤可以包容這些溢流物。如果防火堤失效，將發(fā)生大面積擴散，從而發(fā)生潛在的火災、損害和死亡。防火堤滿足IPL 所有的要求，包括：
如果按照設計運行，防火堤可有效地包容儲罐的溢流；
防火堤獨立千任何其他獨立保護層和IE；
可以審查防火堤的設計、建造和目前的狀況。
對千本例，根據(jù)表 E.3，防火堤的PFD 取1 X 10—2。
BPCS報警和人員響應行動。在本例中，人員行動不作為IPL，原因如下：
由千操作人員不總是在現(xiàn)場，在防火堤失效導致重大釋放前，不能假設獨立千任何報警的操作人員行動能有效地檢測和阻止釋放。
BPCS液位控制回路失效(IE)導致系統(tǒng)不能產(chǎn)生報警，從而不能提醒操作人員采取行動以阻止緩沖罐進料。因此，BPCS產(chǎn)生的任何報警不能完全獨立千 BPCS 系統(tǒng)，不能作為獨立保護層。
 
C)  安全閥。緩沖罐上的安全閥無法防止緩沖罐發(fā)生溢流，因此，對千本場景，安全閥不是IPL。

場景頻率計算
 
取點火概率為1，人員暴露概率為0.5，人員傷亡概率為0.5，則后果發(fā)生頻率為：
f C  =fIXPFDdikeXPi  XPeX XPd
i i g
 
 
 
 
式中：
=(1X10—1/a)X(1X10—2)X1X0.5X0.5
=2.5X10—4/a
=2X10—4/a(取整)
i
f C    初始事件i的后果C的發(fā)生頻率，單位為/a；

i
fI    初始事件i的發(fā)生頻率，單位為/a；

PFDdike    防火堤的PFD；
Pig    點火概率；
PeX    人員暴露概率；
Pd 人員傷亡概率。
G.1.6   風險評估與決策


緩沖罐 LIC 失效，溢流物未被防火堤包容，溢出物被點燃，造成人員傷亡，后果等級為5 級。事件發(fā)生的頻率為2X10—4/a。根據(jù)后果等級為5 級和頻率為2X10—4/a，查詢表 F.2，其風險等級為高風險，要求：選擇合適的時機采取行動。
分析小組決定安裝一個獨立的SIF，用千檢測和阻止溢流。本SIF 采用獨立的液位傳感器、邏輯控制器和獨立的截斷閥，見圖 G.2中粗線部分。當檢測到高液位時，該SIF 聯(lián)鎖關(guān)流量控制閥 LV-90 和遠程截斷閥?？筛鶕?jù)企業(yè)具體的風險控制要求，確定該SIF 的SIL。在本例中，確定該 SIF 的 FPD 為 1X10—2(SIL1)。對千場景，SIF 將釋放事件的頻率從2X10—4/a降低到2X10—6/a。在風險矩陣中，對千后果等級為5 級、頻率為2X10—6/a的事件，其風險等級為中風險，要求：可選擇性地采取行動。此時，企業(yè)可采用成本效益分析，決定是否需采用額外的措施進一步降低風險。
G.1.7   LOPA 記錄表
 
本案例 LOPA 記錄表見表 G.2。
 

 
圖 G.2   正已皖緩沖罐溢流（增加IPL 后）

 

公司名稱

裝置名稱

時間

工藝單元

分析組成員

圖紙?zhí)?/td>

分析節(jié)點

正己皖緩沖罐

序 號

場景

后 果

初始事件

使能必要事件／條件

條件修正

IPL

其他保護措施

后果發(fā)生頻率

現(xiàn)有風險等級

需求的SIL等級 或建議的IPL

減緩后的后果發(fā)生頻率

減緩后的風險等級

備

注

描述

等級

描述

頻率／ a

描述

概率

點火概 率

人員暴露概率

致死概 率

描述

IPL 類別

PFD

描述

IPL 類別

PFD

由于儲

BPC LIC 控制 回路 失效

防火堤

釋放后保護設施

人員響應行動

回風險

增加一個獨立的 SIF 用于檢測和阻止溢流

中風險

F 人員行動 不 作 為IPL，原 因如下：    操 作人 員 不 總是在現(xiàn)場    BPCS 液 位 控 制回 路 失 效(IE)導 致系 統(tǒng) 不 能 產(chǎn)生報警 從 而 不 能提 醒 操 作人 員 采 取行 動 以 阻止 緩 沖 罐進料 G 企業(yè)可采 用 成 本效益分析決 定 是 否需 采 用 額外 的 措 施進 一 步 降低風險

罐溢流

正己

和防火

皖緩

堤失

1

沖罐溢流， 溢流物未 被防

效，導致釋放的正己皖流出 防火

5

S   1X 10—1

1

0.5

0.5

1X 10—2

2.5 X 10—4

， SIF

1X 10—2 (SIL 1)

2.5 X 10—6

火堤

堤，發(fā)

包容

生火災

和人員

傷亡

 

表 G.2   LOPA 記錄表
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，
 
 
 
 
 
 
 
 
 
 
，
 
PVC 反應器
 
工藝描述
 
圖 G.3為氯乙烯單體（VCM）生產(chǎn)聚氯乙烯（PVC）工藝的簡化 P&ID 圖。示例的詳細描述可參見 LayerofProtectionAnaLysis SimJLifiedProcessRiskAssessment。此過程為間歇聚合反應。水、液態(tài) VCM、引發(fā)劑和添加劑通過同一噴管注入攪動的夾套反應器內(nèi)。注入噴管與安全閥（PSV）相連接，抑制劑也可通過同一噴管添加。

注：一些SIFs（如火災、氣體和手動跳車）沒有繪制出。
 
圖 G.3   PVC 工藝的簡化P&ID 圖
 
場景識別與篩選
 
根據(jù)前期進行的危害分析，通過后果分級表 F.3，篩選進行 LOPA 的場景。表 G.3 為篩選出的 LOPA        場景。本例以場景1為例進行分析。場景1為冷卻水失效，導致反應失控，反應器潛在的超壓、泄漏、斷裂，造成人員受傷和死亡，后果等級為5級。
 
表 G.3   篩選出的 LOPA 場景
 
 

場景1	冷卻水失效，導致反應失控，反應器潛在的超 壓、泄漏、斷裂，潛在的受傷和死亡	場景5	人員錯誤 注入2 倍催化劑的量，導致潛在的反應失控，超壓、泄漏、斷裂，受傷和死亡
場景2	攪拌機電動機轉(zhuǎn)動失效，導 致潛在的反應失控，超壓、泄漏、斷裂，受傷和死亡	場景6	BPCS液位控制失效，導致反應器溢流，潛在的 反應器超壓、泄漏、斷裂，受傷和死亡
場景3	停電（大面積)，導致潛在的反應失控，超壓、泄漏、斷裂，受傷和死亡	場景7	在升溫期間，BPCS溫度控制失效，潛在的反應 器超壓、泄漏、斷裂，受傷和死亡
場景4	冷卻泵失效（停電)，導致潛在的反應失控，超 壓、泄漏、斷裂，受傷和死亡	場景8	攪拌器密封失效，導致潛在的 VCM 泄漏，潛在的火災、爆炸、受傷和死亡

 
初始事件確認
 
本例選定IE 為冷卻水失效，根據(jù)表 E.1，其失效頻率為1 X 10—1。冷卻水損失引起反應失控的反
應器條件概率為0.5。
 
IPL 評估
 
對場景的防護措施開展IPL 評估，包括：
BPCS報警和人員響應行動。冷卻水失效時，BPCS 將會產(chǎn)生低流量報警，人員添加抑制劑。
BPCS報警和人員響應可滿足IPL 的要求，包括：
BPCS報警和人員響應獨立于IE 和其他獨立保護層；
僅要求操作人員執(zhí)行添加抑制劑的行動，任務具有單一性和可操作性；
操作人員有足夠的響應時間；
如果操作人員訓練有素，身體條件合適，則能夠完成報警所觸發(fā)的操作任務。
對于本例，根據(jù)表 E.3，該IPL 的PFD 取1 X 10—1。
安全閥。安全閥可防止反應器發(fā)生超壓泄漏，但是由于安全閥放空與抑制劑的添加共用同一管道，尤法保證安全閥放空與抑制劑的添加可以同時進行，因此需修改安全閥設計，安全閥安裝獨立的放空管線。此外，考慮在安全閥下增加氮氣吹掃，以最小化管線或閥門進口聚合物沉積或凍結(jié)。變更后，如果安全閥安裝和維護符合IPL 的要求，可作為IPL。
對于本例，根據(jù)表 E.3，變更后該IPL 的PFD 取1 X 10—2。
C)  緊急冷卻系統(tǒng)（蒸氣渦輪機)。在本例中，緊急冷卻系統(tǒng)不能作為IPL，因為其不獨立于IE，與冷卻水系統(tǒng)有多個公共元件（管線、閥門等)。這些公共元件在引起冷卻水失效時，也會導致   緊急冷卻系統(tǒng)失效。
場景頻率計算
 
后果發(fā)生頻率為：
f C  =fIXPcXPFDBPCSXPFDPSV
 
 
 
式中：
i i
=（1X10—1/a)X0.5X（1X10—2)X1X10—1
=5X10—5/a
i
f C    IEi的后果 C的發(fā)生頻率，單位為/a；

i
fI    IEi的發(fā)生頻率，單位為/a；

Pc    條件概率；
PFDBPCS     BPCS報警和人員響應行動的PFD;
PFDPSV        安全閥的PFD。
風險評估與決策
 
冷卻水失效，導致反應失控，反應器潛在的超壓、泄漏、斷裂，潛在的受傷和死亡，后果等級為5 級。后果發(fā)生的頻率為5X10—5/a。根據(jù)后果等級為5級和頻率為5X10—5/a，查詢表F.2，風險等級為中風險，要求：可選擇性的采取行動。
分析小組決定安裝一個獨立的SIF，當檢測到超壓時，聯(lián)鎖打開放空閥。放空閥具有獨立的放空管線，同樣在放空閥下考慮增加氮氣吹掃。該SIF 的設置見圖 G.4粗線部分。可根據(jù)企業(yè)具體的風險控制要求，確定該SIF 的SIL。在本例中，確定該 SIF 的 FFD 為1X10—2 (SIL1）。對千場景，SIF 將釋放事件的頻率從5X10—5/a降低到5X10—7/a。根據(jù)表 F.2，對千后果等級為5 級、頻率為5X10—7/a的事件，風險等級為低風險，不需采取行動。
注：一些SIFs(如火災、氣體和手動跳車）沒有繪制出。
 
圖 G.4   PVC 工藝的簡化P&ID 圖(增加IPL 后）
 
LOPA 記錄表
 
本案例 LOPA 記錄表如表 G.4所示。
 
表 G.4   LOPA 記錄表
 
公司名稱 裝置名稱 時間
工藝單元 分析組成員 圖紙?zhí)?br />分析節(jié)點 PVC 反應器
 
后 果 初始事件
 
序
場景
號 等 描 頻 率 ／
 
使能必要事件／條件
 
條件修正
 
 
人 員 致
點火 死
 
IPL
 
 
 
描  IPL
 
 
其 后 現(xiàn)他 果 有保 發(fā) 風護 生 險措 頻 等
需求的SIL等級  減緩
或建議的IPL   后的   減緩
后的
后果 備注
率  級 等級
IPL 發(fā)生   風險

描述
級 述 a
描 述 概率 暴露
概率 概
述 類 別
FD 施
描述 PFD
類別
P
概率  率 頻率
 
 
 
 
 
 
 
 
 
 
 
 
 
冷卻
水失
反應
效， 冷卻
失控，
反應 水損
潛在
 
 
 
 
 
 
 
 
 
 
1.
緊
BP-
急
CS
報 冷
回路 反應
警 卻
反應 器增
和 系
器高 1X 加一
人 統(tǒng)
安 全
閥 作 為IPL 應滿足 以 下要求：
   對千每一個安全閥安裝獨立的放空管線
   在所有 放 空閥 ／ 安 全閥下考慮N2吹掃
其 他
的操作人
失控，
的反
潛在
應器
的反
失引
冷
起反
卻
1X 應 失
溫報  10—1
員 （蒸
警，
響 氣 高
添加 5X
個
SIF：
安裝
 
1X
10—2     5X
員行動不
獨立千已
低    經(jīng)確認的
1 超壓、5 水
應器
 
10—1
0.5                  應
控的 抑制
渦 風
01—5
SIF
一個
風
（SI 10—7
保護層的
泄漏、 損
超壓、 反應
斷裂、 失
泄漏、 器條
受傷
斷裂、 件概
和死
受傷 率
亡
和死
亡
輪 險
劑 在高
機）
壓時
2.
打開
操
的放
作
空閥
人
員行動
 
 
 
物
安
理 1X
全
保   10—2
閥
護
 
L1）
險 同一操作
人員
緊 急冷卻系統(tǒng)不能作為IPL，因為其不獨立千 IE，與冷卻水系統(tǒng)有多個公共元件
（管線、閥
門 等 ）。這些公共元件在引起冷卻水失 效 時 ， 也會導致緊急冷卻系統(tǒng)失效
 
循環(huán)氫加熱爐
 
工藝描述
 
加氫裂化裝置循環(huán)氫加熱爐簡化P&ID 圖見圖 G.5。該循環(huán)氫加熱爐為立管立式爐，介質(zhì)流量為
6000Nm3/h，爐 管的設計壓力為 20 MPa，對 流段設計熱負荷為 1139kW，輻 射段設計熱負荷為
3877kW，用千加熱循環(huán)氫。該爐子位千加氫裂化反應器入口，氫氣經(jīng)過爐子加熱后與精制油、循環(huán)油、
熱高分來的常規(guī)液態(tài)輕混合進入加氫裂化反應器。

 
圖 G.5   加氫裂化裝置循環(huán)氫加熱爐簡化P&ID 圖
 
場景識別與篩選
 
采用 HAZOP 分析辨識工藝中存在的主要危險，通過后果分級表 F.3，篩選進行 LOPA 的場景。表 G.5為篩選出的 LOPA 場景。本例以場景2為例進行分析。場景2 為燃料氣總管壓力低造成加熱爐熄火，爐內(nèi)燃料氣積聚導致遇明火爆炸。后果等級為4級。
表 G.5   篩選出的 LOPA 場景
 
 

場景1	加熱爐出口氫氣溫度高造成加氫裂化反應器入口溫度過高，引起反應失控，損壞反應器
場景2	燃料氣總管壓力低造成加熱爐熄火，爐內(nèi)燃料氣積聚導致遇明火爆炸
場景3	加熱爐進料流量低造成加熱爐爐管干燒而損壞

 
初始事件確認
 
本例選定IE 為燃料氣總管壓力傳感器故障，人員未及時響應，根據(jù)表E.1，其失效頻率為1X10—2。
 
IPL 評估
 
燃料氣總管壓力設有SIF。當 PT3108 檢測到燃料氣壓力過低時，SIF 邏輯控制器輸出信號關(guān)閉 XCV31404A 和 XCV3104B，同時切斷去主火嘴的燃料氣和去長明燈的燃料氣，熄滅火嘴和長明燈，防止加熱爐內(nèi)因熄火出現(xiàn)燃料氣積聚而導致遇明火爆炸。但是，由千該SIF 與人員響應得到的報警共用一個傳感器，不獨立千初始事件的發(fā)生，所以，該SIF 不能作為IPL。
場景頻率計算
 
后果發(fā)生頻率為：
 
f C=fI=1X10—2/a
i i
式中：
i
f C   IEi的后果 C的發(fā)生頻率，單位為/a;

i
fI    IEi的發(fā)生頻率，單位為/a。

風險評估與決策
 
燃料氣總管壓力低造成加熱爐熄火，爐內(nèi)燃料氣積聚導致遇明火爆炸，后果等級為4級。后果發(fā)生的頻率為1X10—2/a。根據(jù)后果等級為4和頻率為1X10—2/a，查詢表F.2，風險等級為高風險，要求：選擇合適的時機采取行動。
分析小組將燃料氣總管壓力低報警和人員響應系統(tǒng)與燃料氣總管壓力SIF 在硬件上獨立。此時，燃料氣總管壓力SIF 可作為IPL?？筛鶕?jù)企業(yè)具體的風險控制要求，確定該SIF 的SIL。在本例中，確定該SIF的FFD 為1X10—2(SIL1）。對千場景，SIF 將釋放事件的頻率從1X10—2/a降低到1X10—4/a。根據(jù)表F.2，對千后果等級為4級、頻率為1X10—4/a的事件，風險等級為中風險，企業(yè)可采用成本效益分析，決定是否需采用額外的措施進一步降低風險。
LOPA 記錄表
 
本案例 LOPA 記錄表如表 G.6所示。
 
表 G.6   LOPA 記錄表
 
 

公司名稱

裝置名稱

時間

工藝單元

分析組成員

圖紙?zhí)?/td>

分析節(jié)點

循環(huán)氫加熱爐

序 號

場景

后果

初始事件

使能必要事件／條件

條件修正

IPL

其他保護措施

后果發(fā)生頻率

現(xiàn)有風險等級

需求的SIL等級 或建議的IPL

減緩后的后果發(fā)生頻率

減緩后的風險等級

備 注

描述

等級

描述

頻率／ a

描述

概率

點火概率

人員暴露概率

致死概率

描述

IPL 類別

PFD

描述

IPL 類別

PFD

燃料氣總管壓力低造成加熱爐熄火， 爐內(nèi)燃料氣積聚導致遇明火爆炸

燃 料 氣 總 管壓力低 造 成 加 熱爐 熄火， 爐內(nèi)燃 料 氣 積 聚 導 致 遇 明 火 爆炸， 設 備 損壞

燃料氣總管壓力傳感器故 障， 人員未及時響應

燃料氣總管壓力 SI

高風險

將燃料氣總管壓力低報警和人員響應與燃料氣總管壓力 SIF 在硬件上獨立此時該 SIF 可作 為 IPL

中風險

將燃料氣

總管壓力

1X

低報警和

1

4

1X 10—2

1X 01—2

SIF

10—2 （SIL 1)

1X 10—4

人員響應與燃料氣 總管壓力

SIF  在  硬

F

件上獨立

，

 
 
參 考 文 獻
 
 
DowellM.A LayerofproteCtionanalysisfordeterminingsafetyintegritylevel.ISA Trans- aCtions,1998,37(3).155  165

CCPS. LayerofProteCtionAnalysis SimplifiedProCessRiskAssessment. New York.A- meriCanInstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2001
CCPS. GuidelinesforSafeAutomationofChemiCalProCesses. New York.AmeriCanInsti- tuteofChemiCalEngineers,CenterforChemiCalProCessSafety,1998
CCPS. GuidelinesforSafeandReliableInstrumentedProteCtiveSystems. New York.A- meriCanInstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2007
CCPS. GuidelinesforhazardevaluationproCedures (thirdedition). New York.AmeriCan InstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2008
IEC. FunCtionalsafety SafetyinstrumentedsystemsfortheproCessindustryseCtor.In- ternationalEleCtroteChniCalCommission,2003
BridgesB.W,ClarkT.KeyissueswithimplementingLOPA (layerofproteCtionananlys- is) perspeCtivefromoneoftheoriginatorsofLOPA.5th GlobalCongressonproCesssafety,2009
DowellM.A.IsitreallyanindependentproteCtionlayer.6th  GlobalCongressonproCess safety,2010
MurphyF.W,BridgesW.InitiatingeventsandindependentproteCtionlayersforLOPA,a new CCPSguidelinebook. AIChESpringNationalMeeting.2009
YoungG.G,CroweS.G. ModifyingLOPAforimprovedperformanCe. ASSEprofessional
developmentConferenCeandexposition,2006
 
 
 

轉(zhuǎn)載：感謝您對網(wǎng)站平臺的認可，以及對我們原創(chuàng)作品和采編文章的青睞，非常歡迎各位朋友分享到朋友圈或社交平臺，但轉(zhuǎn)載請說明文章出處“南京和利仁安全技術(shù)有限公司”。