1、保护层分析(LOPA)方法简介,万古军,中国石化安全工程研究院 高级工程师,2,主要内容,什么是LOPA,1,LOPA步骤,2,LOPA其他要求,3,LOPA实例,4,3,1 什么是LOPA,4,注:箭头宽度代表后果频率大小,长度代表后果严重性IPL独立保护层PFD要求时失效概率,1 什么是LOPA,5,1 什么是LOPA,6,发展历程,20世纪80年代末:美国化学品制造商协会出版了责任关怀过程安全管理实施准则,书中建议将“足够的保护层”作为有效的过程安全管理系统的一个组成部分。1993年:美国CCPS化工过程安全自动化指南,书中建议将LOPA作为确定安全仪表功能完整性水平的方法之一。2001
2、年:CCPS发布了保护层分析简化的过程风险评估,书中详细地讨论了LOPA的基本规则和应用。2003年:国际电工委员会(IEC)发布了IEC61511:过程工业领域安全仪表系统的功能安全,将LOPA技术作为确定安全仪表系统完整性水平的推荐方法之一。,1 什么是LOPA,7,主要内容,什么是LOPA,1,LOPA步骤,2,LOPA其他要求,3,LOPA实例,4,8,2 LOPA步骤,9,2 LOPA步骤,10,2 LOPA步骤,11,2 LOPA步骤,后果严重性等级评估泄漏量,12,2 LOPA步骤,后果严重性等级评估财产损失,13,2 LOPA步骤,后果严重性等级评估人员伤害,14,2 LOPA
3、步骤,后果严重性等级评估定量计算,15,2 LOPA步骤,16,2 LOPA步骤,17,2 LOPA步骤,独立保护层能够有效阻止后果的发生。化工企业保护层作为IPL时,应满足:,18,2 LOPA步骤,化工企业保护层作为IPL时,应满足以下基本要求: a)独立性应独立于初始事件;应独立于同一场景中的其它独立保护层。,19,2 LOPA步骤,IPL,IPL,20,化工企业保护层作为IPL时,应满足以下基本要求: b)有效性应能检测到响应的条件;在有效的时间内,应能及时响应;在可用的时间内,应有足够的能力采取所要求的行动。应满足所选择的PFD的要求。,2 LOPA步骤,21,化工企业保护层作为IP
4、L时,应满足以下基本要求: c)安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。d)变更管理。设备、操作程序、过程条件等任何改动应执行变更管理程序,以满足变更后保护层的IPL要求。e)可审查性。应有相应的信息资料,以说明保护层的设计、检查、维护、测试和运行活动能够使保护层达到IPL的要求。,2 LOPA步骤,22,化工企业典型的保护层及作为IPL的要求a)本质安全设计当本质安全设计可消除某些场景时,不应作为IPL;当考虑本质安全设计在运行和维护过程中的失效时,在某些场景中,可将其作为一种IPL。,2 LOPA步骤,23,化工企业典型的保护层及作为IPL的要求b) BPCS是执行持续
5、监测和控制日常生产过程的控制系统,通过响应过程或操作人员的输入信号,产生输出信息,使过程以期望的方式运行。由传感器、逻辑控制器和最终执行元件组成。,2 LOPA步骤,24,化工企业典型的保护层及作为IPL的要求b) BPCSBPCS作为IPL应满足以下要求:BPCS应与安全仪表系统(SIS)在物理上分离,包括传感器、逻辑控制器和最终执行元件;BPCS故障不是造成初始事件的原因;在同一个场景中,当满足IPL的要求时,具有多个回路的BPCS宜作为一个IPL。,2 LOPA步骤,25,2 LOPA步骤,26,2 LOPA步骤,化工企业典型的保护层及作为IPL的要求c) 报警和人员响应操作人员应能够得
6、到采取行动的指示或报警;操作人员应训练有素,能够完成特定报警所要求的操作任务;任务应具有单一性和可操作性,不宜要求操作人员执行IPL要求的行动时同时执行其它任务;操作人员应有足够的响应时间等。,27,化工企业典型的保护层及作为IPL的要求d) 安全仪表功能(SIF)通过检测超限(异常)条件,控制过程进入功能安全状态。一个安全仪表功能由传感器、逻辑控制器和最终执行元件组成,具有一定的SIL。,2 LOPA步骤,28,化工企业典型的保护层及作为IPL的要求d) 安全仪表功能(SIF)SIF在功能上独立于BPCS;SIF的规格、设计、调试、检验、维护和测试应按GB/T 21109的有关规定执行。,2
7、 LOPA步骤,29,化工企业典型的保护层及作为IPL的要求e) 物理保护(安全阀、爆破片等)独立于场景中的其他保护层;在确定安全阀、爆破片等设备的PFD时,应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对PFD进行修正;当物理保护作为IPL时,应考虑物理保护起作用后可能造成的其他危害,并重新假设LOPA场景进行评估。,2 LOPA步骤,30,化工企业典型的保护层及作为IPL的要求f) 释放后保护设施(安全阀、爆破片等)独立于场景中的其他保护层;在确定阻火器、隔爆器等设备的PFD时,应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对PFD进行修正;,2 L
8、OPA步骤,31,化工企业典型的保护层及作为IPL的要求g) 工厂和社区应急响应其有效性受多种因素影响,一般不作为IPL,2 LOPA步骤,32,通常不作为IPL的防护措施,2 LOPA步骤,33,2 LOPA步骤,式中:fiC初始事件i的后果C的发生频率,单位为 /a;fiI初始事件i的发生频率,单位为 /a;PFDij初始事件i中第j个阻止后果C发生的IPL的PFD。,34,在计算场景频率时,可根据需要对场景频率进行修正:采用点火概率、人员暴露和具体伤害的概率对不同后果场景频率进行修正。,2 LOPA步骤,35,初始事件发生频率和独立保护层失效概率其数据可采用:a) 行业统计数据;b) 企
9、业历史统计数据;c) 基于失效模式、影响和诊断分析(FMEDA)和故障树分析(FTA)等的数据;d)供应商提供的数据。,2 LOPA步骤,36,选择失效数据时,应满足以下要求:a)具有行业代表性;b)使用企业历史统计数据时,只有该历史数据充足并具有统计意义时才能使用;c)使用普通的行业数据时,可根据企业的具体条件对数据进行修正。,2 LOPA步骤,37,a)可根据场景频率计算结果和后果等级,使用定量数值风险标准、风险矩阵等形式进行风险评估与决策,将风险降低到企业可接受的水平。,2 LOPA步骤,38,2 LOPA步骤,39,b)风险决策宜采取ALARP原则:,2 LOPA步骤,风 险 逐 渐
10、降 低,40,2 LOPA步骤,a) 应对LOPA分析结果的执行情况进行后续跟踪,对LOPA提出的降低风险行动的实施情况进行落实。b) LOPA的程序和分析结果可接受相关的审查。,41,主要内容,什么是LOPA,1,LOPA步骤,2,LOPA其他要求,3,LOPA实例,4,42,3 LOPA其他要求,1)在使用LOPA前,企业应确定:a)后果度量形式及后果分级方法;b)初始事件频率的确定方法;c)独立保护层要求时失效概率(PFD)的确定方法;d)风险度量形式和风险可接受标准;e)分析结果与建议的审查及后续跟踪管理机制。,43,3 LOPA其他要求,2)LOPA应用时机在过程危害分析中出现以下情
11、形时,可使用LOPA:a)事故场景后果严重,需要确定后果的发生频率;b)确定事故场景的风险等级以及事故场景中各种保护层降低的风险水平;c)确定安全仪表功能(SIF)的安全完整性等级(SIL);d)确定过程中的安全关键设备或安全关键活动等。,44,3 LOPA其他要求,3)LOPA小组组成LOPA小组成员可包括但不限于以下人员:a)组长;b)记录员;c)设计人员;d)操作人员;,e)工艺人员;f)设备工程师g)仪表工程师;h)安全工程师。,45,3 LOPA其他要求,3)LOPA小组组成根据需要,可要求以下人员参加LOPA:a)工艺包供应商;b)成套工艺设备供应商;c)公用工程工程师;d)电气工
12、程师;e)其他专业工程师。,46,3 LOPA其他要求,4)LOPA的局限性a)LOPA不是识别危险场景的工具,LOPA的正确执行取决于定性危险评价方法所得出的危险场景,包括初始原因和相关的安全措施是否完全和正确;b)LOPA的意图不是取代详细的定量分析(QRA),QRA可以用于更复杂的少数危险场景分析;,47,3 LOPA其他要求,4)LOPA的局限性,48,3 LOPA其他要求,4)LOPA的局限性c) 当使用LOPA时,场景风险的可比性仅仅在如下条件满足时才有可能:选择失效数据的方法相同;采用相同的风险标准为基础的比较。d)不同的公司由于采用的风险标准和实施LOPA的方法不同,则LOPA
13、的结果无法比较;,49,主要内容,什么是LOPA,1,LOPA步骤,2,LOPA其他要求,3,LOPA实例,4,50,4 LOPA实例,正己烷缓冲罐溢流,51,4 LOPA实例,1) 场景识别与筛选,52,4 LOPA实例,53,4 LOPA实例,1)场景识别与筛选,液位控制回路失效导致缓冲罐溢流,并且由于防火堤失效而导致溢出物流出防火堤,2)初始事件确认 初始事件为液位控制回路失效,初始事件频率为:f I= 1 10-1/a,54,4 LOPA实例,3)独立保护层评估BPCS报警和人员响应: BPCS液位控制回路失效(初始事件)导致系统不能产生报警,从而不能提醒操作人员采取行动以阻止缓冲罐进
14、料。因此,BPCS产生的任何报警不能完全独立于BPCS系统,不能作为独立保护层安全阀:缓冲罐上的安全阀无法防止缓冲罐发生溢流,因此,对于本场景,安全阀不是独立保护层防火堤:可作为IPL:如果按照设计运行,防火堤可有效地包容储罐的溢流;防火堤独立于任何其他独立保护层和初始事件。,55,4 LOPA实例,4)场景频率计算,fiC=fiIPFDd =110-1/a0.01 =110-3/a,56,4 LOPA实例,5)风险评估与决策,57,4 LOPA实例,5)风险评估与决策分析小组决定安装一个独立的SIF,其PFD为110-2,用于检测和阻止溢流。对于场景,SIF将释放事件的频率从1103/a降低
15、到1105/a。在风险矩阵中,对于后果等级4,频率为1105/a的事件“不需要采取进一步行动”。6)后续跟踪与审查确定建议措施的负责人和完成时间,并跟踪落实。,58,LOPA的魅力所在,魅力之一:更好的风险决策方法魅力之二:方便快捷的半定量方法魅力之三:实用的风险管理工具,59,魅力之一:更好的风险决策方法,与基于“风险对我而言可以接受”的主观或情感上的判断相比,LOPA提供了更好的风险决策基础。与定性的方法相比,LOPA提供了更可靠地风险判断,并给定了场景频率和后果的具体数值 。,60,魅力之二:方便快捷的半定量方法,与定量风险分析相比,LOPA花费的时间较少。LOPA可以提高危害评估会议的效率。以关注于场景的研究方法,可以发现那些已进行过多次危害分析的成熟工艺中存在的未被发现的安全问题。,61,魅力之三:实用的风险管理工具,LOPA的信息可以帮助工厂决定操作、维护以及相关培训的重点放在哪些防护措施上。LOPA可用于识别操作人员的关键安全行为和关键安全响应。这将有助于在企业过程生命周期内开展更有针对性的培训和测试,并使得操作手册能反映最重要的过程变量、报警和行动,例如:许多公司决定将检验、测试和预防性维护活动的重点放在LOPA识别出的独立保护层(IPL)上,62,谢 谢!,
