AQT 3054-2015 保护层分析（LOPA）方法应用导则（报批稿）.pdf

AQ AQ ICS 13.200 C 67 备案号 AQ/T 3054-2015 保护层分析（LOPA）方法应用导则 Guidelines for layer of protection analysisLOPA （报批稿） 2015-03-06 发布 2015-09-01 实施 发布发布 国家安全生产监督管理总局国家安全生产监督管理总局 中 华 人 民 共 和 国 安 全 生 产 行 业 标 准 AQ/T30542015 I 目 次 引言 ..................................................................................... 12 1 范围 .................................................................................. 12 2 规范性引用文件 ........................................................................ 12 3 术语、定义和缩略语 ..................................................................... 12 4 LOPA 基本程序 ........................................................................... 2 5 场景识别与筛选 ......................................................................... 32 6 初始事件确认........................................................................... 42 7 独立保护层评估 ......................................................................... 42 8 场景频率计算........................................................................... 82 9 风险评估与决策 ......................................................................... 92 10 LOPA 报告 ............................................................................. 92 11 LOPA 后续跟踪及审查 .................................................................. 102 附录 A（规范性附录）LOPA 基本程序 ......................................................... 112 附录 B（资料性附录）LOPA 应用时机 ......................................................... 122 附录 C（资料性附录）HAZOP 信息与 LOPA 信息的关系 ........................................... 132 附录 D（资料性附录）BPCS 多个回路作为 IPL 的评估方法 ....................................... 142 附录 E（资料性附录）失效数据 ............................................................. 172 附录 F（资料性附录）风险标准和 ALARP 原则 ................................................. 202 附录 G（资料性附录）LOPA 示例 ............................................................. 232 AQ/T30542015 II 前前 言言 本标准编制依据GB/T 1.1-2009给出的规则起草。 本标准由国家安全生产监督管理总局提出。 本标准由全国安全生产标准化技术委员会化学品安全分技术委员会（TC288/SC3）归口。 本标准主要起草单位 中国石油化工股份有限公司青岛安全工程研究院、 国家石化项目风险评估技 术中心、中国石化洛阳工程有限公司。 本标准主要起草人白永忠、韩中枢、党文义、万古军、文科武、张广文、于安峰、王全国、武志 峰、沈郁、赵文芳。 AQ/T30542015 1 引 言 一个典型的化工过程包含各种保护层，如本质安全设计、基本过程控制系统（BPCS） 、报警与人员 干预、安全仪表功能（SIF） 、物理保护（安全阀等） 、释放后保护设施、工厂应急响应和社区应急响应 等。这些保护层降低了事故发生的频率。在开展化工过程工艺危害分析时，保护层是否足够，能否有效 防止事故的发生是分析人员最为关注的一个问题。 保护层分析 （Layer of protection analysis， 简称 LOPA） 是在定性危害分析的基础上，进一步评估保护层的有效性，并进行风险决策的系统方法，其主要目的是 确定是否有足够的保护层使过程风险满足企业的风险可接受标准。LOPA 是一种半定量的风险评估技 术，通常使用初始事件频率、后果严重程度和独立保护层（IPL）失效频率的数量级大小来近似表征场 景的风险。 本标准主要对 LOPA 基本程序进行了明确的规范和详细的描述， 重点规定了 LOPA 场景与筛选、 初 始事件确认、独立保护层（IPL） 、场景频率计算、风险评估与决策等方面的技术要求。本标准的制定， 可为国内化工企业开展 LOPA 提供技术指导，同时为 LOPA 的规范化和标准化奠定基础。 AQ/T30542015 1 保护层分析（LOPA）方法应用导则 1 范围 本标准规定了化工企业采用 LOPA 方法的技术要求，包括 LOPA 基本程序、场景识别与筛选、初 始事件确认、独立保护层评估、场景频率技术、风险评估与决策、LOPA 报告和 LOPA 后续跟踪及审查。 本标准适用于化工企业新建、改建、扩建和在役装置（设施）的保护层分析。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 21109.1 过程工业领域安全仪表系统的功能安全 第 1 部分框架、定义、系统、硬件和软 件要求 AQ/T 3034 化工企业工艺安全管理实施导则 3 术语、定义和缩略语 下列术语、定义和缩略语适用于本文件。 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 场景 scenario 可能导致不期望后果的一种事件或事件序列。每个场景至少包含两个要素初始事件及其后果。 3.1.2 初始事件 initiating event 事故场景的初始原因。 3.1.3 后果 consequence 事件潜在影响的度量，一种事件可能有一种或多种后果。 3.1.4 保护层 protection layer 能够阻止场景向不期望后果发展的设备、系统或行动。 3.1.5 独立保护层 independent protection layer 能够阻止场景向不期望后果发展，并且独立于场景的初始事件或其它保护层的设备、系统或行动。 3.1.6 保护层分析 layer of protection analysis 通过分析事故场景初始事件、 后果和独立保护层， 对事故场景风险进行半定量评估的一种系统方法。 3.1.7 要求时的失效概率 probability of failure on demand 系统要求独立保护层起作用时，独立保护层发生失效，不能完成一个具体功能的概率。 3.1.8 风险评估 risk assessment 将风险分析的结果和风险可接受标准进行对比，进行风险决策的过程。 3.1.9 安全仪表功能 safety instrumented function 为了达到功能安全所必需的具有特定安全完整性水平的安全功能。 AQ/T30542015 2 3.1.10 安全关键设备 safety critical equipment 可提供独立保护层降低场景风险等级，或将场景的风险由“不可接受风险”转变为“可接受风险” 的工程控制设备。 3.1.11 使能必要事件或条件 enabling event or condition 不直接导致场景的事件或条件，但是对于场景的继续发展，这些事件或条件应存在。 3.1.12 根原因 root cause 事故发生的根本原因。根原因通常是管理上存在的某种缺陷。 3.1.13 安全仪表系统 safety instrumented system 用来实现一个或几个仪表安全功能的仪表系统， 可由传感器、 逻辑控制器和最终元件的任何组合组 成。 3.1.14 防护措施 safeguard 可能中断初始事件后的事件链或减轻后果的任何设备、系统或行动。 3.1.15 “尽可能合理降低”原则 as low as reasonably practicable 在当前的技术条件和合理的费用下，对风险的控制要做到在合理可行的原则下“尽可能的低” 。 3.2 缩略语 本标准使用的缩略语见表 1。 表 1 本标准使用的缩略语 缩略语 解释 全称 ALARP “尽可能合理降低”原则 As low as reasonably practicable BPCS 基本过程控制系统 Basic process control system HAZOP 危险与可操作性分析 Hazard and operability study IE 初始事件 Initiating event IPL 独立保护层 Independent protection layer LOPA 保护层分析 Layer of protection analysis PID 管道和仪表流程图 Piping and instrumentation diagram PFD 要求时的失效概率 Probability of failure on demand SIF 安全仪表功能 Safety instrumented function SIL 安全完整性等级 Safety integrity level SIS 安全仪表系统 Safety instrumented system 4 LOPA 基本程序 4.1 基本程序 4.1.1 保护层分析（LOPA）是在定性危害分析的基础上，进一步评估保护层的有效性，并进行风险决 策的系统方法。其主要目的是确定是否有足够的保护层使风险满足企业的风险标准。 4.1.2 LOPA 基本流程图见附录 A，主要过程包括 a）场景识别与筛选； b）初始事件（IE）确认； c）独立保护层（IPL）评估； d）场景频率计算； e）风险评估与决策； f）后续跟踪与审查。 4.1.3 在使用 LOPA 前，应确定以下分析标准 AQ/T30542015 3 a）后果度量形式及后果分级方法； b）后果频率的计算方法； c）IE 频率的确定方法； d）IPL 要求时的失效概率（PFD）的确定方法； e）风险度量形式和风险可接受标准； f）分析结果与建议的审查及后续跟踪。 4.2 应用时机 4.2.1 在过程危害分析中出现以下情形时，可使用 LOPA a）事故场景后果严重，需要确定后果的发生频率； b）确定事故场景的风险等级以及事故场景中各种保护层降低的风险水平； c）确定安全仪表功能（SIF）的安全完整性等级（SIL） ； d）确定过程中的安全关键设备或安全关键活动； e）其他适用 LOPA 的情形等。 4.2.2 LOPA 应用时机参见附录 B。当无法确定事故场景的风险时，可采用定量方法进行定量风险评 价。 4.2.3 LOPA 的应用有以下局限性 a） LOPA 不是识别危险场景的工具， LOPA 的正确执行取决于定性危险评价方法所得出的危险场景 的准确性，包括初始事件和相关的安全措施是否正确和全面； b）当使用 LOPA 时，只有如下条件满足时才能进行场景风险的对比 1）选择失效数据的方法相同； 2）采用相同的风险标准； c）LOPA 是一种简化的方法，其计算结果并不是场景风险的精确值。 4.3 小组组成 4.3.1 LOPA 由一个小组完成。LOPA 小组成员可包括但不限于以下人员 a）组长； b）记录员； c）设计人员； d）操作人员； e）工艺人员； f）设备工程师 g）仪表工程师； h）安全工程师。 4.3.2 根据需要，可要求以下人员参加 LOPA a）工艺包供应商； b）成套工艺设备供应商； c）公用工程工程师； d）电气工程师； e）其他专业工程师。 4.3.3 如果 LOPA 是基于 HAZOP 分析的结果，LOPA 小组人员组成宜包括 HAZOP 分析小组成员。 5 场景识别与筛选 5.1 场景应满足以下基本要求 a）每个场景应有唯一的 IE 及其对应的单一后果； b）当同一 IE 导致不同的后果时，或多种 IE 导致同一后果时，应假设多个场景； c）当场景中存在使能必要事件或条件，应将其包含在场景中。 5.2 场景识别与信息来源 5.2.1 场景信息来源于危险分析的结果，包括 AQ/T30542015 4 a）采用 HAZOP 分析方法进行危害分析的结果； b）采用 AQ/T 3034 中的工艺危害分析方法进行危害分析的结果； c）事故分析结果； d）工艺变更分析； e）安全仪表功能审查结果； f）其他危害分析结果等。 5.2.2 当利用 HAZOP 分析结果进行 LOPA 时，两者之间的信息对应关系参见附录 C。 5.2.3 当利用已有的定性危害分析结果进行 LOPA 时，宜对定性危害分析的结果进行审查，确保识别 出所有的危害后果及导致后果的所有原因。 5.3 场景筛选 5.3.1 宜采用定性或定量的方法对场景后果的严重性进行评估，并根据后果严重性评估结果对场景进 行筛选。 5.3.2 典型的后果种类包括人员伤害、财产损失、环境和声誉影响等。 6 初始事件确认 6.1 IE 一般包括外部事件、设备故障和人员失误，具体分类见表 2。 表 2 IE 类型 类别 外部事件 设备故障 人员失误 分类 a）地震、海啸、龙卷风、飓风、 洪水、泥石流、滑坡和雷击等自 然灾害 b）空难 c）临近工厂的重大事故 d）破坏或恐怖活动 e）邻近区域火灾或爆炸 f）其他外部事件 a）控制系统故障（如硬件或软件 失效、控制辅助系统失效） b）设备故障  1 ）机械故障（如泵密封失效、 泵或压缩机停机） ； 2）腐蚀/侵蚀/磨蚀； 3）机械碰撞或振动； 4）阀门故障； 5）管道、容器和储罐失效； 6）泄漏等 c）公用工程故障（如停水、停电、 停气、停风等） d）其他故障 a）操作失误 b）维护失误 c）关键响应错误 d）作业程序错误 e）其他行为失误 6.2 在确定 IE 时，应遵循以下原则 a）宜对后果的原因进行审查，确保该原因为后果的有效 IE； b）应将每个原因细分为具体的失效事件，如“冷却失效”可细分为冷却剂泵故障、电力故障或控 制回路失效； c）人员失误的根原因（如培训不完善） 、设备的不完善测试和维护等不宜作为 IE。 7 独立保护层评估 7.1 IPL 确定原则 化工企业保护层作为 IPL 时，应满足以下基本要求 a）独立性 1）独立于 IE 的发生及其后果； 2）独立于同一场景中的其它 IPL。 b）有效性 1）能检测到响应的条件； 2）在有效的时间内，能及时响应； 3）在可用的时间内，有足够的能力采取所要求的行动； 4）满足所选择的 PFD 的要求。 c）安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。 d）变更管理。设备、操作程序、原料、过程条件等任何改动应执行变更管理程序，以满足变更后 AQ/T30542015 5 保护层的 IPL 要求。 e）可审查性。应有可用的信息、文档和程序可查，以说明保护层的设计、检查、维护、测试和运 行活动能够使保护层达到 IPL 的要求。 7.2 化工企业典型保护层及作为 IPL 的要求 化工企业典型的保护层及作为 IPL 的要求见表 3。 AQ/T30542015 6 表 3 化工企业典型的保护层及作为 IPL 的要求 保护层 描述 说明 示例 作为 IPL 的要求 具体要求 通用要求 本质安全设计 从根本上消除或减少工艺系统 存在的危害。 企业可根据具体场景需 要，确定是否将其作为 IPL。 容器或管道设计可承受事故后 果产生的高温、高压等。 1）当本质安全设计用来消除某些场景时，不 应作为 IPL； 2） 当考虑本质安全设计在运行和维护过程中 的失效时，在某些场景中，可将其作为一种 IPL。 对于所有的保护层，作 为IPL应满足以下要求 1） 应有控制手段防止非 故意的或未授权的变 动； 2） 应执行严格的变更管 理程序，以满足变更后 保护层的 IPL 要求； 3）应有可用的信息、文 档和程序可查，以说明 保护层的设计、检查、 维护、测试和运行活动 能够使保护层达到 IPL 的要求。 基本过程控制 系统（BPCS） BPCS 是执行持续监测和控制 日常生产过程的控制系统，通 过响应过程或操作人员的输入 信号，产生输出信息，使过程 以期望的方式运行。由传感器、 逻辑控制器和最终执行元件组 成。 BPCS可以提供三种不同 类型的安全功能作为 IPL 1）连续控制行动保持 过程参数维持在规定的 正常范围以内，防止 IE 发生； 2）报警行动识别超出 正常范围的过程偏差， 并 向操作人员提供报警信 息， 促使操作人员采取行 动（控制过程或停车）； 3）逻辑行动行动将导 致停车或采取动作使过 程处于安全状态。 精馏塔、 加热炉等基本过程控制 系统 1）BPCS 作为 IPL 应满足以下要求 BPCS 应与安全仪表系统（SIS）在物理 上分离，包括传感器、逻辑控制器和最终执 行元件； BPCS 故障不是造成 IE 的原因； 2）在同一个场景中，当满足 IPL 的要求时， 具有多个回路的BPCS宜作为一个IPL。 BPCS 多个回路作为 IPL 的具体评估方法可参见附 录 D； 3）当 BPCS 通过报警或其他形式提醒操作人 员采取行动时，宜将这种保护考虑为报警和 人员响应保护层。 报警和人员响 应 报警和人员响应是操作人员或 其它工作人员对报警响应，或 在系统常规检查后，采取的防 止不良后果的行动。 通常认为人员响应的可 靠性较低， 应慎重考虑人 员行动作为独立保护层 的有效性。 反应器温度高报警和人员响应 1） 操作人员应能够得到采取行动的指示或报 警； 2）操作人员应训练有素，能够完成特定报警 所要求的操作任务； 3）任务应具有单一性和可操作性，不宜要求 操作人员执行 IPL 要求的行动时同时执行其 它任务； 4）操作人员应有足够的响应时间； 5）操作人员身体条件合适等。 安全仪表功能 （SIF） 安全仪表功能通过检测超限 （异常）条件，控制过程进入 功能安全状态。一个安全仪表 功能由传感器、逻辑控制器和 最终执行元件组成，具有一定 的 SIL。 安全仪表功能 SIF 在功 能上独立于 BPCS。SIL 分级可见 GB/T 21109。 1）安全仪表功能 SIL1； 2）安全仪表功能 SIL2； 3）安全仪表功能 SIL3。 1）SIF 在功能上独立于 BPCS； 2）SIF 的规格、设计、调试、检验、维护和 测试应按 GB/T 21109 的有关规定执行。 AQ/T30542015 7 物理保护 提供超压保护，防止容器的灾 难性破裂。 包括安全阀、爆破片等， 其有效性受服役条件的 影响较大。 1）安全阀； 2）爆破片； 3）安全阀和爆破片串联； 4）放空阀 1）独立于场景中的其他保护层； 2）在确定安全阀、爆破片等设备的 PFD 时， 应考虑其实际运行环境中可能出现的污染、 堵塞、腐蚀、不恰当维护等因素对 PFD 进行 修正； 3）当物理保护作为 IPL 时，应考虑物理保护 起作用后可能造成的其他危害，并重新假设 LOPA 场景进行评估。 释放后保护设 施 危险物质释放后，用来降低事 故后果的保护设施（如防止大 面积泄漏扩散、降低受保护设 备和建筑物的冲击波破坏、防 止容器或管道火灾暴露失效、 防止火焰或爆轰波穿过管道系 统等）。 一般需要对事故后果进 行定量评估， 根据评估结 果选择针对性释放后保 护设施或确定保护设施 的设计参数。 1）火气系统可燃气体和有毒 气体检测报警系统、 泄漏或火灾 后紧急切断系统、 火灾报警系统 等； 2）拦蓄或收集设施防火堤、 集液池及收集系统等； 3）释放后安全处理系统洗涤 设施、 有毒气体捕集及处理系统 等； 4）减少蒸发扩散的设施如用 于 LNG 的高倍数泡沫系统； 5）防火设施，如耐火涂层、防 火门、 阻火器、 消防系统 （水幕、 自动灭火系统等）； 6）防爆设施防爆墙或防爆舱、 隔爆器、泄压板、水雾系统、减 爆剂、惰化系统等； 7）防中毒设施正压防护系统， 中和系统等 8）其他，如与消防联动的电视 监视系统 1）独立于场景中的其他保护层 2）在确定阻火器、隔爆器等设备的 PFD 时， 应考虑其实际运行环境中可能出现的污染、 堵塞、腐蚀、不恰当维护等因素对 PFD 进行 修正。 工厂和社区应 急响应 在初始释放之后被激活，其整 体有效性受多种因素影响。 主要包括消防队、工厂撤离、社 区撤离、避难所和应急预案等。 应确认其有效性。 AQ/T30542015 8 7.3 不作为 IPL 的防护措施 通常不作为 IPL 的防护措施见表 4。 表 4 通常不作为 IPL 的防护措施 防护措施 说明 培训和取证 在确定操作人员行动的 PFD 时，需要考虑这些因素，但是它们本身不是 IPL。 程序 在确定操作人员行动的 PFD 时，需要考虑这些因素，但是它们本身不是 IPL。 正常的测试和检测 正常的测试和检测将影响某些 IPL 的 PFD，延长测试和检测周期可能增加 IPL 的 PFD。 维护 维护活动将影响某些 IPL 的 PFD。 通信 差的通信将影响某些 IPL 的 PFD。 标识 标识自身不是 IPL，标识可能不清晰、模糊、容易被忽略等。标识可能影响某些 IPL 的 PFD。 火灾保护 火灾保护的可用性和有效性受到所包围的火灾/爆炸的影响。如果在特定的场景中，企 业能够证明它满足 IPL 的要求，则可将其作为 IPL。 8 场景频率计算 8.1 风险和频率的定量计算 8.1.1 场景的发生频率计算见式（1） ijii I i J j ij I i C i PFDPFDPFDfPFDff    21 1 （1） 式中 fiC初始事件 i 的后果 C 的发生频率，单位为 /a； fiI初始事件 i 的发生频率，单位为 /a； PFDij初始事件 i 中第 j 个阻止后果 C 发生的 IPL 的 PFD。 8.1.2 在计算场景频率时，可根据需要对场景频率进行修正，见式（2）式（6） a）存在使能事件或条件时    J j ij E i I i C i PFDfff 1 （2） 式中 fiE使能事件或条件发生概率； b）采用点火概率、人员暴露和具体伤害的概率对不同后果场景频率进行修正 1）火灾发生的频率 ig J j ij I i fire i PPFDff   1 （3） 式中 Pig点火概率； 2）人员暴露于火灾中的频率 exig J j ij I i fire i PPPFDff    1 exp （4） 式中 Pex人员暴露概率； 3）火灾引起人员受伤的频率 dexig J j ij I i injuryfire i PPPPFDff    1 （5） 式中 Pd人员受伤或死亡概率； AQ/T30542015 9 4） 对于毒性影响，人员伤害的频率方程与火灾伤害方程相似， 毒性影响不需要点火概率，公式（5） 变为 dex J j ij I i toxic i PPPFDff   1 （6） 8.2 初始事件发生频率和 IPL 的 PFD 8.2.1 初始事件发生频率和 IPL 的 PFD 数据可采用 a 行业统计数据； b 企业历史统计数据； c 基于失效模式、影响和诊断分析（FMEDA）和故障树分析（FTA）等的数据； d）其他可用数据等。 8.2.2 选择失效数据时，应满足以下要求 a）在整个分析过程中，使用的所有失效数据的选用原则应一致； b）选择的失效率数据应具有行业代表性或能代表操作条件； c）使用企业历史统计数据时，只有该历史数据充足并具有统计意义时才能使用； d）使用普通的行业数据时，可根据企业的具体条件对数据进行修正； e）可对失效频率数据取整至最近的整数数量级。 8.2.3 在确定 IE 发生频率和典型 IPL 的 PFD 时，应考虑实际的运行环境对发生频率或 PFD 的影响 a）当系统或操作不连续（装载/卸载、间歇工艺等）时，应根据其实际的运行时间对失效频率数据 进行修正； b）在确定安全阀、阻火器或隔爆器等设备的 PFD 时，应考虑其实际运行环境中可能出现的污染、 堵塞、腐蚀、不恰当维护等因素对 PFD 进行修正； c）典型 IE 发生频率和典型 IPL 的 PFD 参见附录 E。 9 风险评估与决策 9.1 对事故场景风险，可根据场景频率计算结果和后果等级，使用定量数值风险标准、风险矩阵等形 式进行风险等级评估，定量数值风险标准和风险矩阵示例参见附录 F。 9.2 根据事故场景风险等级进行风险决策，风险决策宜采取 ALARP 原则，将事故场景风险降低到可 接受风险水平，ALARP 和可接受风险水平概念参见附录 F。 10 LOPA 报告 10.1 LOPA 分析结束时，应生成 LOPA 记录表和报告。LOPA 分析案例和记录表形式可参见附录 G。 10.2 LOPA 报告应包括以下内容 a）场景的信息来源说明； b）企业的风险标准； c）IE 发生频率和 IPL 的 PFD； d）场景中 IPL 和非 IPL 的评估结果； e）场景的风险评估结果； f）满足风险标准要求采取的行动及后续跟踪； g）如果有必要，对需要采取不同技术进行深入研究的问题提出建议； h）对分析期间所发现的不确定情况及不确定数据的处理； i）分析小组使用的所有图纸、说明书、数据表和危险分析报告等的清单（包括引用的版本号） ； j）参加分析的小组成员名单。 10.3 LOPA 报告应经小组成员签字确认。若 LOPA 小组不能达成一致意见，应记录原因。 AQ/T30542015 10 11 LOPA 后续跟踪及审查 11.1 宜对 LOPA 分析结果的执行情况进行后续跟踪， 对 LOPA 提出的降低风险行动的实施情况进行落 实。 11.2 LOPA 的程序和分析结果可接受相关的审查。 AQ/T30542015 11 附录 A （规范性附录） LOPA 基本程序 LOPA 基本程序如图 A.1 所示，包括 a）场景识别与筛选。LOPA 通常评估先前危害分析研究中识别的场景。分析人员可采用定性或定 量的方法对这些场景后果的严重性进行评估，并根据后果严重性评估结果对场景进行筛选； b）初始事件确认。首先，选择一个事故场景，LOPA 一次只能选择一个场景；然后确定场景 IE。 IE 包括外部事件、设备故障和人员行为失效； c）IPL 评估。评估现有的防护措施是否满足 IPL 的要求是 LOPA 的核心内容； d）场景频率计算。将后果、IE 频率和 IPL 的 PFD 等相关数据进行计算，确定场景风险； e）评估风险，作出决策。根据风险评估结果，确定是否采取相应措施降低风险。然后，重复步骤 b）～e）直到所有的场景分析完毕； f）后续跟踪和审查。LOPA 分析完成后，对提出降低风险措施的落实情况应进行跟踪。应对 LOPA 的程序和分析结果进行审查。 场景识别与筛选 选择事故场景 IE确认 IPL评估 场景频率计算 风险评估与决策 风险可接受 考虑风险降低措施 更多场景 下一个场景 后续跟踪和审查 否 是 否 是 图 A.1 保护层分析的基本程序 AQ/T30542015 12 附录 B （资料性附录） LOPA 应用时机 定性分析 事故后果严重 需要确定事故场景 的风险等级以及各种保护 层降低的风险水平 需要确定SIF的SIL 完成研究 （基于定性分析） LOPA分析 确定初始事件及IPL 风险处于高风险区域 风险在处于中风险区域 完成研究 （基于LOPA分析） 初始事件频率已确认 IPL和PFD已确认 风险仍处于 高风险区域 系统全部或部分采用定量 风险评价 完成研究 （基于定量风险评价） 管理审核 成本/效益分析 管理审核 管理审核 是 是 是 否 否 否 否 否否 是 是 是 是 是 需要确定安全关键设备 或安全关键活动 是 否 否 否 图 B.1 LOPA 的应用时机 事故后果是否严重可根据企业的风险标准确定，以表 F.3 为例，通常可认为 4 级及以上的后果为严重后 果。 AQ/T30542015 13 附录 C （资料性附录） HAZOP 信息与 LOPA 信息的关系 偏差 风险可接受 更多场景 下一个场景 结束 否 是 否 原因 不利后果 现有安全措施 建议安全措施 场景背景与描述 初始事件 不利后果 IPL HAZOP未识别出的IPL 使能事件和条件 增加风险减缓措施 使风险可容忍 初始事件频率 严重程度 IPL的PFD 使能事件或条件 频率 是 其他低风险原因 不满足公司标准的 后果 不满足IPL定义的安 全措施 不必要的措施 HAZOP信息 LOPA分析LOPA分析采用的数据 图 C.1 HAZOP 信息与 LOPA 信息的关系 AQ/T30542015 14 附录 D （资料性附录） BPCS 多个回路作为 IPL 的评估方法 D.1 同一 BPCS 多个功能回路作为 IPL 的评估方法 D.1.1 在同一场景中，当同一 BPCS 具有多个功能回路时，其 IPL 的评估可使用方法 A 或方法 B。 D.1.2 方法 A 假设一个单独 BPCS 回路失效，则其它所有共享相同逻辑控制器的 BPCS 回路都失效。 对单一的 BPCS，只允许有一个 IPL，且应独立于 IE 或任何使能事件。 D.1.3 方法 B 假设一个 BPCS 回路失效，最有可能是传感器或最终控制元件失效，而 BPCS 逻辑控制 器仍能正常运行。BPCS 逻辑控制器的 PFD 比 BPCS 回路其它部件的 PFD 至少低两个数量级。方法 B 允许同一 BPCS 有一个以上的 IPL。如图 D.1 所示，两个 BPCS 回路使用相同的逻辑控制器。假设这两 个回路满足作为同一场景下 IPL 的其它要求，方法 A 只允许其中一个回路作为 IPL，方法 B 允许两个 回路都作为同一场景下的 IPL。 传感器 1 传感器 2 BPCS逻 辑控制器 （共享） 最终执行元件 1 最终执行元件 2 图 D.1 同一场景下共享同一 BPCS 逻辑控制器的多条回路 D.2 同一场景下，同一 BPCS 多个功能回路同时作为 IPL 的要求 D.2.1 同一场景下，同一 BPCS 的多个功能回路同时作为 IPL 时，应满足 a）BPCS 具有完善的安全访问程序，应确保将 BPCS 编程、变更或操作上潜在的人为失误降低到 可接受水平； b）BPCS 回路中的传感器与最终执行元件在 BPCS 回路的所有部件中具有最高的失效概率值。 D.2.2 如果传感器或最终执行元件是场景中其它 IPL 的公共组件或是 IE 的一部分， 则多个回路不应作 为多个 IPL。如图 D.2 所示，BPCS 回路 1 和回路 2 均使用同一传感器，在这个场景下，则这两个 BPCS 回路只能作为一个 IPL。同样，如果最终执行元件（或相同报警和操作人员响应）被共享在两个 BPCS 回路，那么这两个 BPCS 回路也只能作为一个 IPL。 传感器共享于回路1和 回路2 BPCS逻 辑控制器 （共享） 最终执行元件 1 最终执行元件 2 图 D.2 同一场景下共享传感器的 BPCS 回路 D.2.3 共享逻辑控制器输入卡或输出卡的额外 BPCS 回路不宜同时作为 IPL。如图 D.3 所示，假设满 足 IPL 的所有其它要求，则回路（传感器 A→输入卡 1→逻辑控制器→输出卡 1→最终执行元件 1）可 确定为 IPL。如果第二个控制回路的路径为（传感器 D→输入卡 2→逻辑控制器→输出卡 2→最终执行 元件 4），那么此回路也可确定为 IPL。但是，如果第二个回路的路径为（传感器 D→输入卡 2→逻辑 控制器→输出卡 1→最终执行元件 2），那么此回路不能作为 IPL，因为输出卡 1 共享在两个回路中。 AQ/T30542015 15 传感器 A 传感器 B BPCS逻辑控 制器（共享） 1 2 传感器 C 传感器 D 输入卡 1 输入卡 2 输出卡 1 输出卡 2 3 4 注1、2、3、4 是最终执行元件 图 D.3 相同场景下共享输入/输出卡的影响 D.2.4 如果 IE 不涉及 BPCS 逻辑控制器失效，每一个回路都满足 IPL 的所有要求，在同一场景下，作 为 IPL 的 BPCS 回路不应超过 2 个。 如图 D.4 所示， 如果所有 4 个回路各自满足相同场景下 IPL 的要求， 在使用方法 B 时，最多只有两个回路被作为 IPL。 传感器 1 传感器 2 BPCS逻辑控 制器（共享） 最终执行元件 1 传感器 3 传感器 4 最终执行元件 4 最终执行元件 3 最终执行元件 2 图 D.4 相同场景下 BPCS 功能回路作为 IPL 的最大数量 D.2.5 所有 BPCS 回路 IPL 总的 PFD，不宜低于 1 10-2。 D.2.6 最终执行元件可以是机械动作（例如关闭阀门、启动泵）或一种是机械动作，另一种是要求 人员采取行动的报警。在同一场景中，不宜将两个人员响应同时作为 IPL，除非证明它们完全独立并且 满足人员行动作为 IPL 的所有要求。 D.2.7 IE 或