保护层分析(LOPA)方法简介2主要内容什么是LOPA1LOPA步骤2LOPA其他要求3LOPA实例431什么是LOPA4ijiiIiJjijIiCiPFDPFDPFDfPFDff211频率严重性IPL1IPL2IPL3IifPFD1PFD2PFD3初始事件频率成功成功成功Cif后果频率安全结果安全结果安全结果注:箭头宽度代表后果频率大小,长度代表后果严重性IPL—独立保护层PFD—要求时失效概率1什么是LOPA51什么是LOPA□保护层分析(LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法□其主要目的是确定是否有足够的保护层使风险满足企业的风险标准□基于事故场景的一种半定量分析方法6发展历程20世纪80年代末:美国化学品制造商协会出版了《责任关怀——过程安全管理实施准则》,书中建议将“足够的保护层”作为有效的过程安全管理系统的一个组成部分。1993年:美国CCPS《化工过程安全自动化指南》,书中建议将LOPA作为确定安全仪表功能完整性水平的方法之一。2001年:CCPS发布了《保护层分析——简化的过程风险评估》,书中详细地讨论了LOPA的基本规则和应用。2003年:国际电工委员会(IEC)发布了IEC61511:过程工业领域安全仪表系统的功能安全,将LOPA技术作为确定安全仪表系统完整性水平的推荐方法之一。1什么是LOPA7主要内容什么是LOPA1LOPA步骤2LOPA其他要求3LOPA实例482LOPA步骤•a)场景识别与筛选•b)初始事件(IE)确认•c)独立保护层(IPL)评估•d)场景频率计算•e)风险评估与决策•f)后续跟踪与审查场景信息变更分析事故分析HAZOP分析92LOPA步骤102LOPA步骤后果严重性112LOPA步骤后果严重性等级评估——泄漏量泄漏物质泄漏量1~5kg5~50kg50~500kg500kg~5t5~50t50t剧毒,温度B.P345555剧毒,温度B.P或高毒性,温度B.P234555高毒性,温度B.P或易燃,温度B.P223455易燃,温度B.P123345可燃液体111223122LOPA步骤后果后果造成的直接经济损失(元)不足50万元50万元以上、100万元以下100万元以上、500万元以下500万元以上、1000万元以下1000万元以上等级12345后果严重性等级评估——财产损失13后果人员伤害急救处理;医疗处理,但不需住院;短时间身体不适。工作受限;1~2人轻伤3人以上轻伤,1~2人重伤;1~2人死亡或丧失劳动能力;3~9人重伤3人以上死亡;10人以上重伤等级等级1等级2等级3等级4等级52LOPA步骤后果严重性等级评估——人员伤害142LOPA步骤后果等级严重威胁人的生命威胁人的生命不可逆伤害间接影响热辐射8kW/m25kW/m23kW/m2爆炸20kPa14kPa5kPa2kPa毒性LC5%LC1%不可逆后果严重性等级评估——定量计算152LOPA步骤序号偏差原因后果保护措施后果严重性1冷却水无流量冷却水泵故障停反应器超温超压,可能发生爆炸1、反应器温度高报警和人员响应;2、反应器温度高联锁;3、启动备用泵5冷却水阀故障关1、反应器温度高报警和人员响应;2、反应器温度高联锁;3、冷却水阀旁路调节162LOPA步骤类别外部事件设备故障人员失误分类1)地震、海啸、龙卷风、飓风、洪水、泥石流、滑坡和雷击等自然灾害2)空难3)临近工厂的重大事故4)破坏或恐怖活动5)外部火灾6)其他外部事件1)控制系统故障a)软件失效b)元件失效c)控制支持系统失效2)机械系统故障a)磨损b)腐蚀c)振动d)缺陷e)超设计限制使用3)公用工程故障4)其他故障1)操作失误2)维护失误3)关键响应错误4)作业程序错误5)其他行为失误172LOPA步骤独立保护层能够有效阻止后果的发生。化工企业保护层作为IPL时,应满足:182LOPA步骤化工企业保护层作为IPL时,应满足以下基本要求:a)独立性——应独立于初始事件;——应独立于同一场景中的其它独立保护层。192LOPA步骤IPLIPL20化工企业保护层作为IPL时,应满足以下基本要求:b)有效性——应能检测到响应的条件;——在有效的时间内,应能及时响应;——在可用的时间内,应有足够的能力采取所要求的行动。——应满足所选择的PFD的要求。2LOPA步骤21化工企业保护层作为IPL时,应满足以下基本要求:c)安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。d)变更管理。设备、操作程序、过程条件等任何改动应执行变更管理程序,以满足变更后保护层的IPL要求。e)可审查性。应有相应的信息资料,以说明保护层的设计、检查、维护、测试和运行活动能够使保护层达到IPL的要求。2LOPA步骤22化工企业典型的保护层及作为IPL的要求a)本质安全设计——当本质安全设计可消除某些场景时,不应作为IPL;——当考虑本质安全设计在运行和维护过程中的失效时,在某些场景中,可将其作为一种IPL。2LOPA步骤23化工企业典型的保护层及作为IPL的要求b)BPCS是执行持续监测和控制日常生产过程的控制系统,通过响应过程或操作人员的输入信号,产生输出信息,使过程以期望的方式运行。由传感器、逻辑控制器和最终执行元件组成。2LOPA步骤24化工企业典型的保护层及作为IPL的要求b)BPCSBPCS作为IPL应满足以下要求:——BPCS应与安全仪表系统(SIS)在物理上分离,包括传感器、逻辑控制器和最终执行元件;——BPCS故障不是造成初始事件的原因;——在同一个场景中,当满足IPL的要求时,具有多个回路的BPCS宜作为一个IPL。2LOPA步骤252LOPA步骤传感器1传感器2BPCS逻辑控制器(共享)最终执行元件1最终执行元件2262LOPA步骤化工企业典型的保护层及作为IPL的要求c)报警和人员响应——操作人员应能够得到采取行动的指示或报警;——操作人员应训练有素,能够完成特定报警所要求的操作任务;——任务应具有单一性和可操作性,不宜要求操作人员执行IPL要求的行动时同时执行其它任务;——操作人员应有足够的响应时间等。27化工企业典型的保护层及作为IPL的要求d)安全仪表功能(SIF)通过检测超限(异常)条件,控制过程进入功能安全状态。一个安全仪表功能由传感器、逻辑控制器和最终执行元件组成,具有一定的SIL。2LOPA步骤28化工企业典型的保护层及作为IPL的要求d)安全仪表功能(SIF)——SIF在功能上独立于BPCS;——SIF的规格、设计、调试、检验、维护和测试应按GB/T21109的有关规定执行。2LOPA步骤29化工企业典型的保护层及作为IPL的要求e)物理保护(安全阀、爆破片等)——独立于场景中的其他保护层;——在确定安全阀、爆破片等设备的PFD时,应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对PFD进行修正;——当物理保护作为IPL时,应考虑物理保护起作用后可能造成的其他危害,并重新假设LOPA场景进行评估。2LOPA步骤30化工企业典型的保护层及作为IPL的要求f)释放后保护设施(安全阀、爆破片等)——独立于场景中的其他保护层;——在确定阻火器、隔爆器等设备的PFD时,应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对PFD进行修正;2LOPA步骤31化工企业典型的保护层及作为IPL的要求g)工厂和社区应急响应——其有效性受多种因素影响,一般不作为IPL2LOPA步骤32通常不作为IPL的防护措施2LOPA步骤332LOPA步骤ijiiIiJjijIiCiPFDPFDPFDfPFDff211式中:fiC——初始事件i的后果C的发生频率,单位为/a;fiI——初始事件i的发生频率,单位为/a;PFDij——初始事件i中第j个阻止后果C发生的IPL的PFD。34在计算场景频率时,可根据需要对场景频率进行修正:采用点火概率、人员暴露和具体伤害的概率对不同后果场景频率进行修正。2LOPA步骤35初始事件发生频率和独立保护层失效概率其数据可采用:a)行业统计数据;b)企业历史统计数据;c)基于失效模式、影响和诊断分析(FMEDA)和故障树分析(FTA)等的数据;d)供应商提供的数据。2LOPA步骤36选择失效数据时,应满足以下要求:a)具有行业代表性;b)使用企业历史统计数据时,只有该历史数据充足并具有统计意义时才能使用;c)使用普通的行业数据时,可根据企业的具体条件对数据进行修正。2LOPA步骤37a)可根据场景频率计算结果和后果等级,使用定量数值风险标准、风险矩阵等形式进行风险评估与决策,将风险降低到企业可接受的水平。2LOPA步骤38后果等级5低中中高高很高很高4低低中中高高很高3低低低中中中高2低低低低中中中1低低低低低中中10-6~10-710-5~10-610-4~10-510-3~10-410-2~10-310-1~10-21~10-1频率等级(每年)2LOPA步骤39b)风险决策宜采取ALARP原则:2LOPA步骤风险逐渐降低402LOPA步骤a)应对LOPA分析结果的执行情况进行后续跟踪,对LOPA提出的降低风险行动的实施情况进行落实。b)LOPA的程序和分析结果可接受相关的审查。41主要内容什么是LOPA1LOPA步骤2LOPA其他要求3LOPA实例4423LOPA其他要求1)在使用LOPA前,企业应确定:a)后果度量形式及后果分级方法;b)初始事件频率的确定方法;c)独立保护层要求时失效概率(PFD)的确定方法;d)风险度量形式和风险可接受标准;e)分析结果与建议的审查及后续跟踪管理机制。433LOPA其他要求2)LOPA应用时机在过程危害分析中出现以下情形时,可使用LOPA:a)事故场景后果严重,需要确定后果的发生频率;b)确定事故场景的风险等级以及事故场景中各种保护层降低的风险水平;c)确定安全仪表功能(SIF)的安全完整性等级(SIL);d)确定过程中的安全关键设备或安全关键活动等。443LOPA其他要求3)LOPA小组组成LOPA小组成员可包括但不限于以下人员:a)组长;b)记录员;c)设计人员;d)操作人员;e)工艺人员;f)设备工程师g)仪表工程师;h)安全工程师。453LOPA其他要求3)LOPA小组组成根据需要,可要求以下人员参加LOPA:a)工艺包供应商;b)成套工艺设备供应商;c)公用工程工程师;d)电气工程师;e)其他专业工程师。463LOPA其他要求4)LOPA的局限性a)LOPA不是识别危险场景的工具,LOPA的正确执行取决于定性危险评价方法所得出的危险场景,包括初始原因和相关的安全措施是否完全和正确;b)LOPA的意图不是取代详细的定量分析(QRA),QRA可以用于更复杂的少数危险场景分析;473LOPA其他要求4)LOPA的局限性所有场景都需要定性分析定性分析10~20%场景需要进行半定量分析半定量分析1%场景需要进行QRA定量分析技术HAZOPWhat-If/ChecklistFMEAFEI、CEILOPA粗略的事件树分析ETA、FTA、HRA简单问题√√√××复杂问题×××√√483LOPA其他要求4)LOPA的局限性c)当使用LOPA时,场景风险的可比性仅仅在如下条件满足时才有可能:——选择失效数据的方法相同;——采用相同的风险标准为基础的比较。d)不同的公司由于采用的风险标准和实施LOPA的方法不同,则LOPA的结果无法比较;49主要内容什么是LOPA1LOPA步骤2LOPA其他要求3LOPA实例4504LOPA实例正己烷缓冲罐溢流V-5正己烷缓冲罐T-401E-1下游工艺正己烷泵4-41BPCSLTPIRO放空,排放物进入围堤LAH90上游工艺LV-90LICI-190514LOPA实例1)场景识别与筛选序号偏差原因后果现有防护措施建议1.1流量高流量控制阀误打开正己烷缓冲罐T-401高液位,超压泄漏。1)液位监测和报警;2)防火堤;3)安全阀;4)单元操作