保护层分析(LOPA)

LOPA分析的整个程序包括： 场景识别与筛选 后果及严重性评估 初始事件描述及频率确认 独立保护层识别及PFD的确认 场景导致预期后果的频率计算 对比风险容许度并判断是否增加SIF系统并确定SIF
的SIL等级 风险评估及建议
风险评估矩阵
5
低
中
中
高
高
很高 很高
4
低
一种离散的等级（四个
可能等级之一），对应安全完整性量值的范围。安
全完整性等级4是最高的，安全完整性等级1是最底
的。（IEC61508-4）
◆
用来实现一个或几个仪表
安全功能的仪表系统。SIS可以由传感器、逻辑解算
器和最终元件的任何组合而成。（GB/T21109.1-
2007）
：导致场景发生的必要
条件或事件，但不会直接导致场景发生。
爆炸ຫໍສະໝຸດ Baidu
c）公用工程故障（如停水、停电、
f）其他外部事件
停气、停风等）
d）其他故障
IE类型频率值表
分类
阀 门
容器和 储罐
公用 工程
管道和 软管
IE 单向阀完全失效 单向阀卡涩 单向阀内漏（严重） 垫圈或填料泄露 安全阀误开获严重泄露 调节阀失效 电动或气动阀门误操作 压力容器灾难性失效 常压储罐失效 过程容器沸腾液体扩展蒸气云爆炸（BLEVE） 球罐沸腾液体扩展蒸气云爆炸（BLEVE） 容器小孔（≤50mm）泄露 冷却水失效 断电 仪表风失效 氮气（惰性气体）系统失效 泄露（法兰或泵密封泄露） 弯曲软管微小泄露（小口径） 弯曲软管大量泄露（小口径） 加载或卸载软管失效（大口径） 中口径（≤150mm）管道大量泄露 大口径（＞150mm）管道大量泄露 管道小泄露 管道破裂或大泄露
◆ HAZOP+LOPA+风险矩阵 ◆采用洋葱模型识别和量化事故场景 中真正的IPL（独立保
护层） ◆减少共因的风险 ◆量化事故场景的风险等级（减少 争论） ◆确定保护措施的数量和可靠性 等级（如SIL等级） ◆ 一个典型的化工过程包含各种 保护层，如本质安全设计、
基本过程控制系统、报警与人工干预、安全仪表功能、物 理保护、释放后 保护措施、应急响应等。
频率（/a） 1
1×10-2 1×10-5 1×10-2 1×10-2 1×10-1 1×10-1 1×10-6 1×10-2 1×10-6 1×10-4 1×10-3 1×10-1
1 1×10-1 1×10-1
1 1 1×10-1 1×10-1 1×10-5 1×10-6 1×10-3 1×10-5
化工企业典型保护层表
保护层 本质安全 设计
基本过程 控制系统 （BPCS）
报警和人 员响应
安全仪表
功
能
（SIF）
描述
说明
示例
从根本上消除或减少 工艺系统存在的危害
BPCS 是执行持续检测 和控制日常生产过程 的控制系统，通过响应 过程或操作人员的输 入信号产生输出信号， 使过程以期望的方式 运行。由传感器、逻辑 控制器和最终执行元 件组成
低
中
中
高
高
很高
后3
低
低
低
中
中
中
高
果2
低
低
低
低
中
中
中
等1
低
低
低
低
低
中
中
级
10-6 ～ 10-5 ～ 10-4 ～ 10-3 ～ 10-2 ～ 10-1 ～ 1 ～
10-7
10-6
10-5
10-4
10-3
10-2
10-1
频率等级/a
风险等级说明：
低（忽略区）：不需采取行动。
中（可接受区）：可选择性的采取行动。
◆
一种设备、系统或行动，有效 地防止场景向不期望的后果发展，它与场景的初始 事件或其他保护层的行动无关。独立性表示保护层 的执行能力不会受到初始事件或其他保护层失效的 影响。独立保护层的有效性和独立性可以被审查。
当受保护设备或受 保护控制系统发出要求时，执行规定安全功能的独 立保护层的安全不可靠性。
2、LOPA可以确定工艺过程是否有足够的保护层， 风险是否可以满足企业的风险标准。-更好的风险 决策方法
3、LOPA可以确定安全仪表系统的SIL等级


风险：不确定性对目标的影响（《风险
管理 术语》GB/T23694-2013） 注1：影响是指偏离预期，可以是正面的/或负面
的。 注2：目标可以是不同方面（如财务、健康与安
概率，以及对SIF的要求频率一样要考虑
风险图法的修正因子的解释
依据GB/T21109.3-2007（IEC61511.3）
人员出现在风险区的修正因子F，有2个选择，经 常或不经常，FA代表不经常，FB代表经常（以 10%的工作时间计算）
物料泄露以后的后果修正因子P，有2个选择，可 能避免或不太可能避免，FA代表可能避免，FB代 表不太可能避免
1、事故场景后果严重，需要确定后果的发 生频率
2、确定事故场景的风险等级以及事故场景 中各种保护层降低风险的水平
3、确定安全仪表功能（SIF）的安全完整 性等级（SIL）
4、确定过程中的安全关键设备或安全关键 活动

1、LOPA是基于事故场景的一种半定量分析方法， 分析更具针对性。-方便快捷的半定量方法
企业风险可接受标准：又叫可容许风险， 按当今社会价值取向在一定范围内可接受 的风险（主要参照《危险化学品生产装置和储存
设施风险基准》 GB/T36894-2018）
企业风险可接受标准是企业风 险管理的依据。 风险管理的目标是：企业所有 生产安全风险（剩余风险）都 处于风险可接受范围内。
初始事件的发生频率也可采用行业统计数据、企业 历史统计数据、国外数据库数据及基于失效模式、 影响和诊断分析（FMEDA）及故障树分析（FTA） 等的数据。
IE类型表
类别
外部事件
设备故障
人员失误
a）地震、海啸、龙 a）控制系统故障（如硬件或软件失 a）操作失误
卷风、飓风、洪 效、控制辅助系统失效）
4、一个数量级的PFD，把可能性会降低一级（注 意：这个可能性各家公司的风险矩阵要求不一致）
5、在考虑保护层以后，假如风险不在绿色区域内， 则需要一定的SIL等级的SIF来降低，每一个SIL等级， 只能降低一级事故频率一格，假如已经在绿区，原 则上这个SIF没有SIL等级要求
有保护层的矩阵法的弊端
1、有保护层的矩阵法-定性
2、风险图法-定性

校正的风险图法-半定性
3、保护层分析法-半定量
----GB/T21109.3-2007
等效采用 （IEC61511.3-
2003）
1、确定SIF，以及保护的场景（包括原因、保护 层、后果）
2、确定风险矩阵 3、风险矩阵，明确可接受风险等级 4、确定初始风险 5、确定具有保护层后的风险 6、确定SIL等级
瑞士奶酪模型
20年前，里森等人提出“瑞士奶酪模型（Swiss cheese model）”。瑞士奶酪内部存在许多空洞。一个环环相扣精密 运行的安全系统好比一摞瑞士奶酪，每一片奶酪代表一道防线， 而奶酪上的孔洞就是潜在的系统漏洞。大部分威胁会被某一片 奶酪拦下，但如果一摞奶酪的孔碰巧连成了一条可以直穿而过 的通道——设备失常、人员违规、再加上未曾修补的内部系统 问题——威胁便可能一层层突破卫戍，最终演变成一场重大事 故。
对于SIF的要求频率，在考虑其他保护层的 情况下，用W来修正，W因子的用途是估计 没有增加SIS时发生危险的频率。W1，要求 率小于每年0.1D；W2要求率在每年 0.1D ～1D，要求率在每年1D ～10D之间； W3要求率高于每年10D时，则需要更高的 安全完整性
1 2
3 LOPA步骤 4 LOPA重点、难点 5 LOPA其它要求 6 LOPA实例
全、环境等）和层面（如战略、组织、项目和产 品、过程等）的目标。
注3：通常用潜在事件、后果或者两者的组合来 区分风险。
注4：通常用事件后果（包括情形的变化）和事 件发生的可能性的组合来表示风险。
注5：不确定性是指对事件及其后果或者可能性 的信息缺失或了解片面的状态。
风险准则：评价风险重要性的依据
b）维护失误
水、泥石流、滑 b）设备故障
c）关 键 响 应
坡和雷击等自然 ①机械故障（如泵密封失效、泵或 错误
灾害
压缩机停机）
d）作 业 程 序
分类 b）空难
②腐蚀/浸蚀/磨蚀
错误
c）临近工厂的重大 ③机械碰撞或振动
e）其 他 行 为
事故
④阀门故障
失误
d）破坏或恐怖活动 ⑤管道、容器和储罐失效
e）临近区域火灾或 ⑥泄露等
高（ALARP 区）：选择合适的时机采取行动。 很高（不接受区）：立即采取行动。
后果定性分级表
每个场景应有唯一性，当场景中存在其他条件，应 将其包含在场景中。
场景信息可以来自HAZOP分析、事故分析、变更、 生产运行问题等多个来源。
宜采用定性或定量的方法对场景后果的严重性进行 评估，并根据后果严重性评估结果对场景进行筛选。 定性方法可使用HAZOP分析法，定量方法可使用 QRA模拟计算方法。
注1：风险准则的确定需要基于组织的目标、外部环 境和内部环境。
注2：风险准则可以源自标准、法律、政策和其他要 求。
风险=事故（事件）发生频度

×后果严重度
初始风险：又叫原始风险、固有风险，在实施 降低风险措施前存在的安全风险。
剩余风险：又叫动态风险、残余风险，在实施降 低风险措施后仍然存在的安全风险。
◆
：按当今社会价值取向在一定范
围内可以接受的风险。（GB/T20002.4-
2015）
●
LOPA的一个基本假设就是不存
在不失效的保护层。
具有某个特定SIL的， 用以达到功能安全的安全功能，它既可以是一 个仪表安全保护功能，也可以是一个仪表安全 控制功能。
是针对特定的危险事件，为达到和 保持过程的安全状态，由SIS、其他技术安全 相关系统或外部风险降低设施实现的功能
化工企业保护层作为IPL时，应满足独立性、有效性、 安全性、变更管理及可审查性的要求。
化工企业典型保护层见保护层表。 化工行业典型IPL的PFD见PFD表，表中数据来源于
AQ/T3054-2015。 IPL的PFD也可采用行业统计数据、企业历史统计数据、
国外数据库数据及基于失效模式、影响和诊断分析 （FMEDA）及故障树分析（FTA）等的数据。
IE一般包括外部事件、设备故障和人员失误三大类， 具体分类见下表。
在确定IE时，首先要确保原因是后果的有效IE；应 将每个原因细分为具体的失效事件；注意，人员失 效的根原因（如培训不完善）、设备的不完善测试 和维护不宜作为IE。
IE频率值见频率表,可参照标准AQ/T3054-2015。
级（CA、CB、CC、CD） 3、假如有人员伤害，确定人员出现在危险
区域的概率FA、FB，以及考虑危险物料后， 后果出现的概率PA、PB，在考虑初始事件
时，不考虑SIF，但考虑其他保护层存在的 情况下，确定事故场景对SIF要求频率W1、 W2、W3
4、对于财产损失、环境污染的场景，除了 人员出现在危险区域的频率，其他的后果

F-4
失效可能性
Ⅳ
Ⅱ
Ⅰ
Ⅰ
F-3
Ⅳ
Ⅲ
Ⅱ
Ⅰ
F-2
Ⅳ
Ⅳ
Ⅲ
Ⅱ
F-1
Ⅳ
Ⅳ
Ⅳ
Ⅲ
可能性升高
C-1
后果严重性升高
C-2
C-3
C-4
风险评估矩阵
失效后果
确定SIL等级
1、确定连锁，筛选出SIF以及保护的场景 2、在不考虑任何保护措施时，确定风险等级 3、确定现有的保护层，确定保护层的个数以及每
个保护层的要求失效时概率（PFD）
1、在考虑人员伤害时，没有考虑到当物料泄露时， 人员是否出现在现场的概率
2、也没有考虑到，物料泄露后，后果是否被纠正 的可能性（例如各种探头、消防、人员防护等）
3、为了纠正矩阵法的弊端，引入了物料泄露后的 后果纠正的方法，就叫做风险图法
1、确定连锁，筛选出SIF以及保护场景 2、确定保护场景的后果类型，以及后果等
报警和人员响应是操 作人员或其他工作人 员对报警响应，或在系 统常规检查后，采取的 防止不良后果的行动 安全仪表功能通过检 测超限（异常）条件， 控制过程进入功能安 全状态。一个安全仪表 功能由传感器、逻辑控 制器和最终执行元件 组成，具有一定的 SIL
◊
○
● ◆
LOPA发展历程：
LOPA发展历程：
保护层分析常用术语：
对来自过程的、系
统相关设备的、其他可编程系统的和/或某个操作员
的输入信号进行响应，并产生使过程和系统相关设
备按要求方式运行的系统，但它并不执行任何具有
被声明的SIL≥1的仪表安全功能。
◆
产生导致不期望后果场景的事件。