GB/T32857-2016
保护层分析(LOPA)应用指南
Applicationguideforlayerofprotectionanalysis(LOPA)
- 中国标准分类号(CCS)N10
- 国际标准分类号(ICS)25.040
- 实施日期2017-03-01
- 文件格式PDF
- 文本页数49页
- 文件大小1.28M
以图片形式预览保护层分析(LOPA)应用指南
保护层分析(LOPA)应用指南
国家标准 GB/T32857一2016 保护层分析(LOPA应用指南 Applicationguideforlayerofproteetionanalysis(LoPA) 2016-08-29发布 2017-03-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T32857一2016 22 附录B资料性附录反应器系统LOPA应用 B.1简介 22 22 B.2问题描述 23 B.3问题讨论 25 B4供考虑的设计改进 附录c资料性附录LOPA方法在SL定级中的应用 34 C.1LOPA示例 34 36 C.2LOPA示例二 附录D(资料性附录高要求模式后果发生频率计算示例 39 D.1概述 39 D.2单个IPL下的后果发生频率计算 39 39 D.3多个IPL下的后果发生频率计算 附录E资料性附录LOPA分析表(示例 4C 参考文献 图1保护层分析流程图 图A.1同一场景下多个回路的典型BPCS逻辑计算器 图A.2同一场景下共享传感器的BPCs回路 18 图A.3同一场景下共享输人/输出卡的BPCS回路 图A.4同一场景下BPCs功能回路作为IPL的最大数量 19 图B.1简化流程 -聚氯乙烯(PvC)的间歇聚合操作流程图 22 表1本标准使用的缩略语 表2初始事件类型 表A.1从HAzOP导出可用于L.OPA的数据 表A.2L.OPA分析记录表(示例 表A.3简化的物质释放后果分级表(示例 表A.4简化的伤害致死后果分级(示例 3 表A.5简化的经济损失后果分级(示例 表A.G典型的保护层 表A.7独立保护层的确定 表A.8典型独立保护层PFD值 20 表A.9具有不同行动要求的风险矩阵(示例 表A.I0数值分析法安全与健康相关事件的可容许风险(示例 表A.l1数值分析法--环境相关事件的可容许风险(示例) 表A.12数值风险法 -财产相关事件的可容许风险(示例) 表B.1安全自动化场景案例 26 表B.2场景1分析案例
GB/T32857一2016 2r 表B.3场景2分析案例 28 表B.4场景3分析案例 2: 表B.5场景4分析案例 36 表B.6场景5分析案例 表B.7场景6分析案例 表B.8场景7分析案例 32 表B9场景8分析案例 33 35 LOPA示例 表C.1 L(OPA示例二 36 表C.2 风险矩阵法风险分析(示例 表E.1 数值风险法风险分析(示例 表E.2 m
GB/T32857一2016 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由机械工业联合会提出
本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口
本标准起草单位:机械工业仪器仪表综合技术经济研究所、北京联合普肯工程技术有限公司、 安全生产科学研究院,风控(北京)工程技术有限公司、石油天然气管道工程有限公司石油天 然气股份有限公司管道分公司,天津市居安企业管理咨询有限公司、中海油安全技术服务有限公司、 、上 海撇果商务咨询有限公司
本标准主要起草人孟邹清,肖松青、俞文光、赵劲松、唐彬、袁小军,方来华、帅冰,聂中文、刘瑞、 左信,张宝利.赵建民.刘摇、程德发.游泽彬、许踩踩、史威、李秧蝌、顾蜂周有静、孙舒.新江红.
GB/T32857一2016 引 言 本标准的目的是描述保护层分析(LOPA)的原理和分析过程,为应用lOPA分析方法开展风险分 析提供适当的指南和参考
保护层分析方法是一种半定量的风险评价方法,它通过评价保护层的要求 时危险失效概率来判断现有保护层是否可以将特定场景下的风险降低到风险标准所要求的水平,它的 优点是 与定性分析相比较,LOPA分析可以提供相对量化的风险决策依据
避免主观因素对风险控 制决策的影响
虽然没有定量风险分析那么精确,但其过程简便
在定量分析工作之前,可以应用LOPA分析 方法对风险相对较高的场景进行筛选,从而提高整个风险分析的工作的效率,节约分析工作的 成本
LLoPA分析是安全完整性等级(sL)的重要评估工具,与图表法相比较,LOPA分析可以提供 更加准确的结果
通过LoPA分析,可以了解不同独立保护层在降低风险过程中的贡献,在此基础上,可以选择 更加经济合理的保护措施来降低风险
LoPA分析通常采用表格的形式记录评估的过程,记录过程符合通常的思维习惯,文件易读 易用 通过保护层分析,可以发现可行方案,如增设其他保护层,改变工艺等,从而选择最经济有效的降低 危险性的措施
LOPA分析方法,作为一种简化的半定量的风险评价方法,使得对场景的分析和评价比其他定量 风险评价方法更省时间和精力,更重要的是,它提供了识别场景风险的方法,并且将其与可容许风险比 较,以确定现有的安全措施是否合适,是否需要增加新的安全措施
LOPA分析通过展开分析场景的 全过程,能很好地识别中间事件、安全措施和事故后果,帮助分析人员全面了解、认识特定的场景
LOPA分析也存在其不足之处
与定性分析方法相比较,它每次只是针对一起特定的场景进行分 析,不能反映各种场景之间相互影响
此外,初始事件的发生频率及独立保护层的要求时危险失效概率 等数据对LOPA分析的结果有很大的影响,需要付出很多努力和积累才能获取这些数据
这种半定量的风险评价方法可以减少定性评价方法的主观性,且较完全的定量评价方法容易实行. 在风险评估中被越来越广泛地应用
GB/T32857一2016 保护层分析(LOPA)应用指南 范围 本标准规定了LOPA分析的相关策略和细则,包括LOPA分析方法的技术性说明及开展LOPA 分析时的组织工作的要求,如准备工作、分析会议,分析报告及建议项跟踪等环节的要求,并给出在过程 工业中不同应用的示例
本标准适用于过程工业开展的保护层分析,其他行业也可参照使用
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20002.4一2015标准中特定内容的起草第4部分;标准中涉及安全的内容 GB/T21109.1一2007过程工业领域安全仪表系统的功能安全第1部分:框架,定义、系统,硬 件和软件要求 IEC61508-4:2010电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语 nableelectronicsafet alted Part Functionalsafetyofelectrieal/electronic/programmt ety-rea systems Definitionsandabbreviations) 术语和定义、缩略语 3.1术语和定义 GB/T20002.4、GB/T21l09.l和IEC61508-4界定的以及下列术语和定义适用于本文件
3.1.1 保护层分析layrfprutetnamalssLoP 对降低不期望事件频率或后果严重性的独立保护层的有效性进行评估的一种过程方法或系统
3.1.2 基本过程控制系统basic controlsystem;BPCS process 对来自过程的、系统相关设备的、其他可编程系统的和/或某个操作员的输人信号进行响应,并产生 使过程和系统相关设备按要求方式运行的系统,但它并不执行任何具有被声明的SIL>1的仪表安全 功能
注,对于过程领域而言,基本过程控制系统是一个全局性的术语
3.1.3 rl" 保护层layer protect 用来防止不期望事件的发生或降低不期望事件后果严重性从而降低过程风险的设备,设施或方案
3.1.4 事件 event 过程中发生的、可能由于设备能力或人员行动或影响风险控制系统的外部因素引起的过程事件
GB/T32857一2016 3.1.5 初始事件initialevent 产生导致不期望后果场景的事件
3.1.6 频率freuenesy -个事件单位时间内发生的次数 3.1.7 tetnlye er;lPL 独立保护层Independentprot 一种设备、系统或行动,有效地防止场景向不期望的后果发展,它与场景的初始事件或其他保护层 的行动无关
独立性表示保护层的执行能力不会受到初始事件或其他保护层失效的影响
独立保护层 的有效性和独立性可以被审查
3.1.8 后果 c0nseguence 某一特定事件的结果
通常包括人员伤亡,财产损失、环境污染、声誉影响等
3.1.9 场景 seenario 可能导致不期望后果的一种事件或事件序列
3.1.10 要求时危险失效概率probabilityofdangeroustailureondemand;PrD 当受保护设备或受保护设备控制系统发出要求时,执行规定安全功能的独立保护层的安全不可 用性
3.1.11 安全完整性等级 safetyintegritylevel;SIL -种离散的等级(四个可能等级之一),对应安全完整性量值的范围
安全完整性等级4是最高的, 安全完整性等级1是最低的
[IEC61508-4;2010,定义3.5.8 3.1.12 使能事件或使能条件 enableevent/enablecondition 导致场景发生的必要条件或事件,但不会直接导致场景发生
3.1.13 安全仪表系统safetyinstrumentedlsystem;SsIs 用来实现一个或几个仪表安全功能的仪表系统
SIs可以由传感器、,逻辑解算器和最终元件的任 何组合组成
[GB/T21109.1一2007,定义3.2.72] 3.1.14 共因失效 ommoncausefailure;cCF 在多通道系统中由一个或多个事件导致的引起两个或多个分离通道同时失效,从而导致系统失效 的一种失效
3.1.15 低要求模式 lowdemandm0de 将受保护设备或受保护设备控制系统导人规定安全状态的安全功能仅当要求时才执行,并且要求 的频率不大于每年一次
GB/T32857一2016 3.1.16 高要求模式highdemandmode 将受保护设备或受保护设备控制系统导人规定安全状态的安全功能仅当要求时才执行,并且要求 的频率大于每年一次
3.1.17 连续模式 continuousmode 安全功能将受保护设备或受保护设备控制系统保持在安全状态是正常运行的一部分 3.1.18 可容许风险tolerablerisk 按当今社会价值取向在一定范围内可以接受的风险 [GB/T20002.4一2015,定义3.15 3.2缩略语 下列缩略语适用于本文件(见表1)
表1本标准使用的缩略语 缩略语 全称 解释 AL.ARP 最低合理可行原则 AsL.owAsReasonablvPracticable BPCs 基本过程控制系统 BasicProcessControlSvstem CCF 共因失效 CommonCaseFailure HAZOP HazardAndOperability 危险与可操作性 IPL lndependentProteetionLayer 独立保护层 L(OPA OProteetionAnalysis 保护层分析 layer 要求时危险失效概率 PFD ProbabilityOfDangerousFailureOnDemand PHA 过程危险分析 ProcessHazardAnalysis P8.ID 管道和仪表流程图 PipeAndlInstrumentDiagramm SIE 安全仪表功能 SafetyInstrumentFunction SIL SafetyIntegrityl.evel 安全完整性等级 SIS SafetyInstrumentedSystem 安全仪表系统 保护层分析(LoPA)原理 目的 4.1 保护层分析(LOPA)的目的是在定性危险分析的基础上,进一步对具体的场景的风险进行相对量 化准确到数量级)的研究,包括对场景的准确表述及识别已有的独立保护层,从而判定该场景发生时系 统所处的风险水平是否达到可容许风险标准的要求,并根据需要增加适当的保护层,以将风险降低至可 容许风险标准所要求的水平
4.2基本假设 LOPA的一个基本假设就是不存在不失效的保护层
GB/T32857一2016 具体示例参见附录A
保护层分析基本程序和应用时机 基本程序 保护层分析的过程包括;场景识别与筛选、后果及严重性评估,初始事件描述及频率确认,独立保护 层识别及PFD的确认、场景导致预期后果的频率计算、风险评估与建议
以上过程流程图见图1
定性危险分析 如AzoP分析 场景识别与师选 后果及严重性评估 初始事件捕述及匆 率确认 独立保护层识别及 PF的确认 场景导致预期后果 的频率计算 风险评估与建议 后续跟踪与审查 注:图中虚框所含内容不在本标准范围之内 图1保护层分析流程图 5.2应用时机 LOPA一般用于 场景过于复杂不能采用完全定性的方法作出合理的风险判断 a 场景后果过于严重而不能只依靠定性方法进行风险判断
b LoPA也用于以下几种场景 确定安全仪表功能的安全完整性等级, a b)识别过程中安全关键设备; 识别操作人员关键安全行为和关键安全响应 c) 确定场景的风险等级以及场景中各种保护层降低的风险水平; d
GB/T32857一2016 其他适用L(OPA的场景等(如设计方案分析和事故调查)
e LOPA的应用示例参见附录B和附录C 6 分析过程 6.1场景识别与筛选 6.1.1场景应满足的基本要求 场景应满足以下基本要求 每个场景应至少包括两个要素 a 引起一连串事件的初始事件; 该事件继续发展所导致的后果
2) b)每个场景应有唯一的初始事件及其对应后果; 除了初始事件和后果外,一个场景还可能包括: 1使能事件或使能条件 2)防护措施失效
如果使用人员死亡、商业或环境损害作为后果,则场景还可能包括下列部分或全部因素,或条 件修正因子 1 可燃物质被引燃的可能性; 21 人员出现在事件影响区域的概率; 3)火灾、爆炸或有毒物质释放的暴露致死率(在场人员逃离的可能性); 4! 其他可能的修正因子
6.1.2场景信息来源 场景识别信息通常来源于对新,改、扩建或在役工艺系统完成的危害评估,如HAZOP分析所识别 的存在较大风险的场景
HAZOP中可导出的用于lOPA分析的数据见表A.1
值得一提的是,HAZOP分析过程中所提出的现有安全措施可能是不完整的,在开展lOPA分析 时,需要重新仔细检查是否遗漏了现有的措施,被遗漏的这些安全措施可能是独立保护层
用于lOPA场景识别的信息来源还包括: 生产运行问题,包括意外行为或正常范围之外的操作条件等; a) b)变更; c)事故事件; d 安全仪表功能审查 6.1.3场景筛选与开发 对场景进行详细分析与记录,记录表格示例见表A.2
对在记录过程中发现的,或独立保护层和初始事件频率评估中发现的新的场景,可能需要筛选开发 新的场景,作为另一起1.OPA分析的对象
6.2后果及严重性评估 在LOPA分析开始前,应确定场景后果的严重程度 宜采用定性或定量的方法对场景后果的严重性进行评估; a
GB/T32857一2016 b典型的后果种类包括:人员伤亡、财产损失、环境污染、声誉影响等; 后果严重性评估方法包括;释放规模/特征评估、简化的伤害/致死评估、需要进行频率校正的 简化伤害/致死评估、详细的伤害/致死评估等; d 后果严重性评估分级应与可容许风险分级相一致 后果等级、严重性分类等详细信息示例见表A.3.
6.3初始事件确认 6.3.1初始事件类型 初始事件 -股包括外部事件,.设备故障和人的失效,分类见表2 表2初始事件类型 类别 外部事件 设备故障 人的失效 控制系统失效 元件失效 1 22 软件失效 3 控制支持系统失效(如 电力系统、仪表空气系 统 机械系统故障 损、疲劳或腐蚀造成 的容器或管道失效 设计、技术规程或制 2 造/制作缺陷造成的容 地震,海啸,龙卷风,飓风 器或管道失效 对给出的条件或其他提示未 a a 洪水、泥石流和滑坡等自然 超压造成的容器或管 能正确观察或响应 灾害 道失效如热膨胀,清 未能按正确的顺序执行任 b 管/吹扫)或低压失效 b)空难 务步骤 分类 如真空y 临近工厂的重大事故 未能按操作规程进行操作 c 振动导致的失效(如转 4 d)破坏或恐怖活动 如误开/误关 雷击和外部火灾 动设备 d 维护失误 e 其他外部事件 维护/维修不完善( 其他行为失效 5 e 括使用不合适的替代 材料)造成的失效 高温或低温,以及脆性 断裂引起的失效 湍流或水击引起的 失效 内部爆炸,分解或其他 失效反应造成的失效 其他机械系统故障 9 公用工程故障 其他故障
GB/T32857一2016 6.3.2初始事件确定原则 在确定初始事件时,应遵循以下原则 a审查场景中所有的原因,以确定该初始事件为有效初始事件; 应确认已辨识出所有的潜在初始事件,并确保无遗漏 b 应将每个原因细分为独立的初始事件(如“冷却失效”可细分为冷却剂泵故障、电力故障或控制 回路失效),以便于识别独立保护层; 在识别潜在初始事件时,应确保已经识别和审查所有的操作模式(如正常运行、开车、停车、设 备停电)和设备状态(如待机、维护)下的初始事件; 当人的失效作为初始事件时,应制定人员失误概率评估的统一规则并在分析时严格执行; 以下事件不宜作为初始事件 1操作人员培训不完善; 测试或检查不完善; 2 3)保护装置不可用 4)其他类似事件
6.4独立保护层评估 6.4.1典型的保护层 个典型的化工过程包含各种独立的或非独立的保护层,典型的保护层示例见表A.6
6.4.2独立保护层的确定原则 并不是所有的保护层都可作为独立保护层
设备、系统或行动需满足以下条件才能作为独立保 护层 a 有效性;按照设计的功能发挥作用,应有效地防止后果发生: 1应能检测到响应的条件; 2) 在有效的时间内,应能及时响应; 在可用的时间内,应有足够的能力采取所要求的行动
3 独立性;独立于初始事件和任何其他已经被认为是同一场景的独立保护层的构成元件 b 应独立于初始事件的发生及其后果; 应独立于同一场景中的其他独立保护层; 2 应考虑共因失效或共模失效的影响
3 可审查性;对于阻止后果的有效性和PFD应以某种方式(通过记录,审查、测试等)进行验证
审查程序应确认如果独立保护层按照设计发生作用,它将有效地阻止后果 审查应确认独立保护层的设计、安装、功能测试和维护系统的合适性,以取得独立保护层 1 特定的PFD; 功能测试应确认独立保护层所有的构成元件(传感器、逻辑解算器、最终元件等)运行良 好,满足L.OPA的使用要求; 3审查过程应记录发现的独立保护层条件、上次审查以来的任何修改以及跟踪所要求的任 何改进措施的执行情况
6.4.3独立保护层的确定 应依据6.4.2来确定防护措施是否是独立保护层
过程工业典型独立保护层的确定示例见表A.7
GB/T32857一2016 以下防护措施不宜作为独立保护层: 培训和取证:在确定操作人员行动的PFD时,需要考虑这些因素,但是它们本身不是独立保 a 护层
b)程序:在确定操作人员行动的PFD时,需要考虑这些因素,但是它们本身不是独立保护层
正常的测试和检测:正常的测试和检测将影响某些独立保护层的PFD,延长测试和检测周期 可能增加独立保护层的PFD. d)维护;维护活动将影响某些独立保护层的PFD. 通信:作为一种基础假设,假设工厂内具有良好的通信
差的通信将影响某些独立保护层 的PFD. f 标识;标识自身不是独立保护层
标识可能不清晰、模糊,容易被忽略等
标识可能影响某些 独立保护层的PFD. 6.4.4独立保护层PFD的确定 独立保护层PFD的确认原则有 独立保护层的PFD为系统要求独立保护层起作用时该独立保护层不能完成所要求的任务的 a 概率; 如果安装的独立保护层处于"“恶劣"环境与条件(如易污染或易腐蚀环境中),则应考虑使用更 b 高的PFD值; 表A.8提供了过程工业典型独立保护层的PFD值,实际LoPA应用过程中,PFD值的确定应 参照企业标准或行业标准,经分析小组共同确认或进行适当的计算以确认PFD值取值的合适 性,并将其作为LoPA分析中的统一规则严格执行
6.5场景频率的计算 场景频率的计算内容有 a)本节仅规定单一场景的频率计算,同样后果的多个场景频率求和不在本节的规定范围内
本节仅针对低要求模式进行分析计算
b 单一场景后果的频率为初始事件发生频率乘以所有独立保护层要求时危险失效概率,场景后 果的频率可能需要使用下面的两种系数进行修正 假如场景的发生需要使能事件或使能条件时,需要乘以使能事件或使能条件的发生概率; 1D 2)假如需要计算危险物质释放后的后续后果发生频率时,需要乘以条件修正因子,常见的条 件修正因子如下 可燃物质点火概率; 人员出现在事件影响区域的概率 火灾、,爆炸或有毒物质释放的暴露致死率; 其他
d)场景频率计算分为低要求模式后果频率计算和高要求模式后果频率计算
e)低要求模式的后果发生频率按式(1)计算 f广=月!×P=×P×IPFD) 式中 初始事件造成后果C的频率,单位为次每年; f" 初始事件的发生频率,单位为次每年 f 使能事件或使能条件发生的概率,假如没有使能事件或使能条件,则PE取1: P
GB/T32857一2016 P -条件修正因子,假如没有任何条件修正,则Pp取l; PFD -初始事件i中第个阻止后果C的独立保护层要求时危险失效概率(PFD)
高要求模式下后果发生频率的计算参见附录D. 6.6风险的评估与建议 风险的评估与建议内容有: a)本节只研究单一场景的风险评估,多个场景的累计风险计算不在本节规定范围内
b)各公司应制定适合自己企业的单一场景风险可容许标准
常见的风险评估分析方法有矩阵 法、数值风险法(每个场景最大容许风险),独立保护层(IPI)信用值法
矩阵法示例见表A.9. 数值风险法示例见表A.10一表A.l2. 通过6.2的后果及严重性评估与6.5的场景频率计算,得出选定场景的后果等级以及后果发 生概率,可以与风险矩阵进行比较,或者与数值风险法中的相关事件可接受频率比较, 根据风险比较结果 计算风险小于场景可容许风险,继续下一场景的LoP八分析 1 2)计算风险大于场景可容许风险,LoOPA分析小组应建议满足可容许风险标准所需采取的 措施,并确定拟采取措施的PFD,以将风险降低到可容许风险之下
-个简单的示例参见附录E
LoPA文档 LOPA分析应完整、准确地记录场景评估过程中获得的信息
记录文件应包括不期望场景后果的 事件链,以便其他分析小组或分析师审查L.oPA过程中做出的假设,以及当场景不能满足企业可容许 风险时,应用其他保护层是否可以防止事件发生或降低事故风险
IOPA文档记录可采用多种形式
记录表格应包含如下信息,样表见表A.2 a)后果 后果描述应给出风险评估矩阵法或数值风险法)中的事故类别,以便进行风险评估
b) 可容许风险 记录表格中选取的可容许风险应和事故后果类别一致,可容许的频率值符合公司可容许标准值
e)初始事件 记录表格中应清晰记录场景初始事件,同时应给出初始事件频率, d)使能事件或使能条件 应对初始事件的使能事件或使能条件进行描述,并给出使能事件发生的概率
e)条件修正 如果选取的场景后果为物料泄漏以后的后果,计算场景频率时,在评估人员具有相关经验及数据支 持下可使用条件修正
条件修正因子可能包括 1) 可燃物质点火概率; 2 人员出现在事件影响区域的概率 火灾、爆炸或有毒物质释放的暴露致死率; 3) 4其他
应表明这些假定值的参考依据,且对标准值的任何修改必须说明理由并记录在案
f减缓前的后果频率 减缓前的后果频率是初始事件频率和所有使能事件或使能条件发生概率以及条件修正因子的 乘积
GB/T32857一2016 独立保护层 g 应写出所有现有的及建议的独立保护层,包括每个独立保护层失效概率
如果独立保护层的失效 概率不同于企业内采用的标准值,则应闸明调整理由
h)防护措施(非独立保护层 如果现有的防护措施不能作为独立保护层,应当说明理由,以便让人更容易理解分析的依据
示例:系统安装有安全阀,但安全阀的泄放量小于计算的场景物料的泄放量,则这个安全阀不能作为这个场景的 独立保护层 减缓后的后果频率 i 减缓后的后果频率为减缓前的后果频率乘以所有独立保护层的失效频率后的值
能否满足可容许风险 i 使用减缓后的后果频率与采用的可容许风险进行比较,假如减缓后的后果频率小于采用的可容许 风险中的事故频率,则场景满足可容许风险,否则为不满足
k)满足可容许风险需要采取的行动 假如场景的计算风险大于企业可容许风险,则写出需要采取进一步的措施,采取的行动中需要给 出负责人,以及预计行动完成日期
假如场景的计算风险大于企业可容许风险,但企业目前又不得不接受这样的风险,这种特殊情况可 能需要高级管理人员的签字,并附在分析文档中
D备注 应包括所有背景资料,或记录与场景或采取行动相关的此类信息
m)参考资料 任何有关的工艺流程图、P8.ID、sIF描述或联锁逻辑图、仪表清单、设备清单、操作规程和测试程序 等参考资料,从而完整地记录分析的依据,以便协助审查或执行分析的结果
n)LOPA分析人员 LOPA分析人员姓名、职责
10o
GB/T32857一2016 附录A 资料性附录 LoPA分析各阶段数据(示例 A.1从HAzoP导出的可用于IoPA分析的数据 从HAZOP导出的可用于LOPA分析的数据见表A.1
表A.1从HAZOP导出可用于LOPA的数据 LOPA要求的信息 HAZOP所导出的信息 场景背景与措述 偏差 初始事件 引起偏差的原因 后果措述 偏差导致的后果 独立保护层 现有的安全措施 注1:HAZOP所导出的信息在应用于L(OPA分析时应再次判断
例如:HAZ(OP分析中的现有安全措施并不都 是独立保护层
注2:来自HAzoP分析的建议安全措施是否可作为独立保护层,也可在L.oPA分析时再次判断
A.2LoPA分析记录表 LOPA分析记录表(示例)见表A.2
表A.2LOPA分析记录表(示例 场景编号 设备编号: 场景名称 频率 日期 场景背景与描述: 概率 年- 后果描述/分类 不可接受(大于 可容许风险(分类/频率) 可以接受(小于或等于) 初始事件 般给出频率) 使能事件或使能条件 点火概率 影响区域内人员存在概率 条件修正 如果适用 致死概率 其他 减缓前的后果频率
GB/T32857一2016 表A.2(续 场景编号 设备编号: 场景名称 频率 场景背景与描述 概率 日期: 年 独立保护层 基本过程控制系统 人为缓解 安全仪表功能 压力缓解设备 其他保护层 应判别) 其他保护措施 非独立保护层 所有独立保护层总PFD 减缓后的后果烦率 是否满足可容许风险?(是/否) 满足可容许风险需要采取的行动 备注 参考资料(PHHA报告、P8.ID等) LOPA分析人员 填表注意事项: a)识别从初始事件发展到后果的所有重要环节; 记录所有可能会影响后果出现的频率、后果大小或类型计算的因素, b 识别包括;维护特定初始事件、特定后果以及特定独立保护层之间的关联; 对于已确定某一场景,分析人员识别初始事件,并确定事件导致预期的后果是否需要任何使 能事件或使能条件; 列出场景所有的防护措施; 小组对列出的多种防护措施进行分析,确定真正的独立保护层; 场景开发应该随着对工艺或系统理解的加深或者新的可用信息的加人而不断修改和完善;有 g 些情况下,可能需要筛选开发出新的场景
后果及严重性等信息 A.3.1后果分类及严重性等级等的信息来源 后果分类及严重性等级等的信息来源包括. 12
GB/T32857一2016 国际惯例或通用数据源; a b 国家标准或行业规范; e)公司根据自身风险可接受水平制定的准则或规范; d)长期的行业经验或实践积累
A.3.2后果的分类 考虑后果分析的详细程度,可按照影响对象分为 人员伤亡; a b 财产损失 e)环境污染; d)声誉影响等
按照量化程度,后果评估的不同方法包括 a)释放规模/特征评估; 简化的伤害/致死评估; b 需要进行频率校正的简化伤害/致死评估 c 详细的伤害/致死评估
d A.3.3严重性分级 表A.3给出了简化的化学物质释放后果分级方法的示例,表A.4和表A.5分别给出了简化的伤害 致死后果分级示例,以及简化的经济损失后果分级示例
注:表A.3一表A.5中的后果分级示例仅用于理解后续案例,不可供实际工程直接使用
表A.3简化的物质释放后果分级表(示例 释放规模 释放物 特性 0.5kg5kg5kg一50kg50kg一500kg500kg5000kg5000kg一50000kg>50000kg 等级3 等级4 等级5 等级5 等级 5 等级5 刷毒,温度>BP 刷毒,温度
GB/T32857一2016 表A.6(续 保护层 说明 描述 物理保护 包括安全阀,爆破片等,其有效性受服役条件 提供超压保护,防止容器的灾难性破裂 释放措施 的影响较大 释放后保护设施是指危险物质释放后,用来 降低事故后果(如大面积泄漏扩散、受保护 释放后物理保护 设备和建筑物的冲击波破坏、容器或管道火 防火堤,隔堤) 灾暴露失效、火焰或爆轰波穿过管道系统 等)的保护设施 工厂和周围社区 在初始释放之后被激活,其整体有效性受多 的应急响应 种因素影响 表A.7独立保护层的确定 保护层 描述 作为独立保护层的要求 当本质安全设计用来消除某些场景时,不 应作为IPL 工艺设计 从根本上消除或减少工艺系统存在的危害 当考虑本质安全设计在运行和维护过程中的 失效时,在某些场景中,可将其作为一种P 如果BPCS控制回路的正常操作满足以下要 求,则可作为独立保护层 BP(CS控制回路应与安全仪表系统(SIS) 功能安全回路sIF在物理上分离,包括传 基本过程控制系统BPCS是执行持续监测和 控制日常生产过程的控制系统
BPCS中的 感器,控制器和最终元件; 控制回路通过响应过程或操作人员的输 该控制回路正常运行时能避免特定危险 基本过程控制 信号,产生输出信息,使过程以期望的方式 事件的发生; 系统(BPCS) 运行,该控制回路正常运行时能避免特定危 该控制回路的故障不会作为起因引起特定 危险事件的发生 险事件的发生,该控制回路的故障不会作为 起因引起特定危险事件的发生
个BPCSBPCS控制回路是一个相对较弱的独立保护 控制同路由传感器,控制器和最终元件组成 层,内在测试能力有限,防止未授权变更内部 程序逻辑的安全性有限
如果要考虑多个独 具 立保护层的话,应有更全而的信息来支撑
体评估方法见A.5 当报警或观测触发的操作人员行动满足以下要 求,确保行动的有效性时,则可作为独立保护层: 操作人员应能够得到采取行动的指示或报 警,这种指示或报警应始终对操作人员可用 关键报警和人员响应是操作人员或其他工b 操作人员应训练有素,能够完成特定报警 关键报警和人员干预作人员对报警响应,或在系统常规检查后 所触发的操作任务; 采取的防止不良后果的行动 任务应具有单一性和可操作性,不宜要求 操作人员执行IP要求的行动时同时执 行其他任务; dD 操作人员应有足够的响应时间 操作人员的工作量及其身体条件合适等 15
GB/T32857一2016 表A.7(续 保护层 作为独立保护层的要求 描述 安全仪表功能SIF在功能上独立于BPCS -种独立保护层; 是 安全仪表功能SIF的规格、设计、调试、检 安全仪表功能SIF针对特定危险事件通过 ,维护和测试都应按GB/T21109的有 验、 检测超限等异常条件,控制过程进人功能安 关规定执行; 安全仪表系统(sIs)全状态
一个安全仪表功能SIF由传感器、 安全仪表功能sIF的风险削减性能由其 逻辑解算器和最终元件组成,具有一定 个安全仪表功能sIF的 PFD所确定 的sIL PFD基于传感器、逻辑解算器和最终元件 以及系统元件定期功能渊 试的时间间隔 这类设备(安全阀,爆破片等)的设计 如果 维护和尺寸合适,则可作为独立保护层,它 物理保护 们能够提供较高程度的超压保护; 提供超压保护,防止容器的灾难性破裂 释放措施 但是,如果这类设备的设计或者检查和维 护工作质量较差,则这类设备的有效性可 能受到服役时污垢或腐蚀的影响 释放后保护设施是指危险物质释放后,用来 释放后物理保护 降低事故后果(如大面积泄漏扩散、受保护为独立保护层,这些独立保护层是被动的保护 防火堤、隔堤 设备和建物的冲击波破坏、容器或管道火设备,如果设计和维护正确,这些独立保护层 灾暴露失效,火焰或爆轰波穿过管道系统可提供较高等级的保护 等)的保护设施 厂区的应急响应(消防队.人工喷水系统、工 撒离等措施)通常不作为独立保护层,因为它 在初始释放之后被激活,其整体有效性受多们是在初始释放后被激活,并且有太多因素影 厂区的应急响应 种因素影响 响了它们在减缓场景方面的整体有效性
考虑它作为独立保护层时,应提供足够证据证 明其有效性 周围社区的应急响应社区撤离和避难所等 通常不作为独立保护层,因为它们是在初始释 在初始释放之后被激活,其整体有效性受多 周围社区的应急响应 放之后被激活,并且有太多因素影响了它们在 种因素影响 减缓场景方面的整体有效性
当考虑它作为 独 立保护层时,应提供足够证据证明其有效性 表A.8典型独立保护层PFD值 PFD 独立保护层的PFD范围独立保护层 说明 来自文献和工业数据 如果正确地执行,将大大地降低相关场景后 “本质安全”设计 1×10-着1×10" 果的频率 如果与初始事件无关,BPCS中的控制回路 1×10-2~1×10" 基本过程控制系统(BPCS) 可确认为一种独立保护层 (Il规定1XI10-1~1X10" 16
GB/T32857一2016 表A.8(续 PED 说明 独立保护层的PFD范围独立保护层 来自文献和工业数据 人员行动,有10min简单的,记录良好的行动,行动要求具有清 1×10-11×10-" 的响应时间 晰可靠的指示 人员对BPcS指示或 关键报警 简单的、记录良好的行动,行动要求具有清 报警的响应, 有 1×10-" 相人员干预 晰可靠的指示 40min的响应时间 人员行动,有40min简单的,记录良好的行动,行动要求具有清 1×10-?1x×10-" 的响应时间 晰可靠的指示 典型组成 SIL.1 单个传感器单个逻辑解算器十单个最终 1×10-21×10" 元件 典型组成: 安全仪表 SIL.2 多个传感器十多个通道逻辑解算器十多个 1×10-~1×10- 系统(SIS 最终元件 典型组成 SIL3 1×10-~1×10-" 多个传感器十多通道逻辑解算器十多个最 终元件 防止系统超压
其有效性对服役条件比较 安全阀 1×10-81×10" 物理保护 敏感 释放措施 防止系统超压
其有效性对服役条件比较 爆破片 1×10-百1×10" 敏感 降低储罐溢流、破裂、泄漏等严重后果(大面 防火堤 1×10-了1×10 积扩散)的频率 降低储罐溢流、破裂、泄漏等严重后果(大面 地下排污系统 1×10-了1×10-" 积扩散)的频率 防止超压 1×10-》~1×10-" 释放后物理保护开式通风口 减少热输人率,为降压/消防等提供额外的 耐火材料 1×10-了1×10" 响应时间 通过限制冲击波,保护设备/建筑物等,降低 防爆墙/舱 1×10-了~1×10 爆炸重大后果的频率 A.5BCS多个回路作为IPL的评估方法 A.5.1 同一BCS多个功能回路作为IPL的评估方法 有两种方法可用于评估涉及BPCs回路或功能的PLs的独立性,以确定某特定场景中存在多少独 立保护层
使用方法A,规则明确且保守
如果分析人员经验丰富,并且关于BPCS逻辑解算器设计及 实际性能的数据充足可用时,可使用方法B 方法A 方法A假设一个单独BPCs回路失效,则其他所有共享相同逻辑解算器的BPCS回路都失效
对 17
GB/T32857一2016 单一的BPCS,只允许有一个IPL,且应独立于IE或任何使能事件
b)方法B 方法B假设一个BPCS回路失效,最有可能是传感器或最终元件失效,而BPCS逻辑解算器仍能正 常运行
BPCS逻辑解算器的PFD比BPCS回路其他部件的PFD至少低两个数量级
方法B允许同 BPCS有一个以上的PL
如图A.1所示,两个BPCS回路使用相同的逻辑解算器
假设这两个回路满足作为同一场景下 PL的其他要求,方法A只允许其中一个回路作为IPL方法B允许两个回路都作为同一场景下 的IPL
传感器1 最终元件1 BPCS逻 辑解算器 共享 最终元件" 传感器2 图A.1同一场景下多个回路的典型BPCS逻辑计算器 A.5.2同一场景下,同一BPCS多个功能回路同时作为IPL的要求 同一场景下,同一BPCS的多个功能回路同时作为IPL时,应满足: BPCS具有完善的安全访问程序,应确保将BPCS编程、变更或操作上潜在的人为失误降低到 a 可接受水平; bBPCS回路中的传感器与最终元件在BPCS回路的所有部件中具有最高的失效概率值
如果传感器或最终元件是场景中其他IPL的公共组件或是初始事件的一部分,则多个回路不应作 为多个IPL
如图A.2所示,BPCs回路1和回路2均使用同一传感器,在这个场景下,则这两个BPCS 回路只能作为一个IPL
同样,如果最终元件(或相同报警和操作人员响应)被共享在两个BPCs回路, 那么这两个BPCS回路也只能作为一个IPL 最终元件1 BPCs逻 传感器共享于回路1和 辑解算器 回路2 共享 最终元件2 图A.2同一场景下共享传感器的BPCs回路 共享逻辑解算器输人卡或输出卡的额外BPCs回路不宜同时作为IPL
如图A.3所示,假设满足 PL.的所有其他要求,则回路(传感器A-输人卡1-逻辑解算器-输出卡1最终元件1)可确定为 IPL
如果第二个控制回路的路径为(传感器D-输人卡2-逻辑解算器-输出卡2-最终元件4),那 么此回路也可确定为IPL
但是,如果第二个回路的路径为(传感器D-输人卡2-逻辑解算器-输出 卡1最终元件2),那么此回路不能作为IPL,因为输出卡1共享在两个回路中
相似的,如果第二个 回路的路径为(传感器D-输人卡2-逻辑解算器-输出卡1最终元件2),那么此回路也因为输出卡 1共用在两个回路中而不能作为独立保护层
18
GB/T32857一2016 最终元件1 传感器A 输出卡1 输入卡1 最终元件2 传感器B BPcS逻辑解 算器 传感器c 共享 最终元件3 输出卡2 输入卡2 最终元件4 传感器D 图A.3 同一场景下共享输入/输出卡的BPCs回路 如果初始事件不涉及Brcs逻辑解算器失效,每一个回路都满足IPL的所有要求,在同一场景下 作为IPL的BPCS回路不应超过2个
如图A.4所示,如果所有4个回路各自满足相同场景下IP的 要求,在使用方法B时,通常仅有两个回路被作为IPL
在使用方法A时,只有一个回路被作为独立保 护层
传感器1 最终元件 传感器2 最终元件2 BPCS逻辑解 算器共享 传感器3 最终元件3 最终元件4 传感器4 图A.4同一场景下BCS功能回路作为IPL的最大数量 A.5.3同一场景下,同一BPCS多个功能回路同时作为IPL的数据和人员要求 A.5.3.1对数据与数据分析的要求 方法B假设BPCS逻辑解算器的PFD比BPCS回路其他部件的PFD至少低两个数量级,应具有 支持这个假设的数据,并对数据进行分析
这些数据包括: a)BPCS逻辑解算器、输人/输出卡、传感器、最终元件、人员响应等历史性能数据 b) 系统制造商提供的数据; e)检查、维护和功能性测试数据; d 仪表图、管道和仪表流程图(P8.ID),回路图、标准规范等资料 e)访问BPCS,进行程序更改,旁路报警等安全访问BPCS的信息
对这些数据的分析应包括 计算设备或系统BPCS回路组件的有效失效率; ? b 各种组件,特别是BPCS逻辑解算器PFD数据的比较 逻辑输人/输出卡及相关回路的独立性评估; d)安全访问控制充分性评估; 使用多重BPCS回路作为同一场景下的多个IPL的合适性评估
A.5.3.2对分析人员的要求 分析人员应能够 判断是否有足够和完整的数据,这些数据是否能满足足够精度的计算; a 19
GB/T32857一2016 b了解仪表的设计和BPCS系统是否满足独立性要求; 理解建议的IPL对工艺或系统的影响 c 分析小组或人员应具有相关专业知识,如 a)对BPCS逻辑解算器具有足够低的PFD的独立第三方认证; b对历史性能数据和维修记录的分析,建立设计标准使多个BPCS回路满足IPL的要求; 设计并执行多个BPCS回路系统使之满足独立性与可靠性要求等
如果分析小组或人员不能满足以上要求,那么在判断BPcCS回路作为IPL时,宜使用方法A进行 分析 A.6风险评估与建议矩阵法示例 表A.9给出具有不同行动要求的风险矩阵(示例)
表A.10表A.12给出了数值分析法相关事件 的可容许风险(示例 表A.9具有不同行动要求的风险矩阵(示例 后果等级 后果频率 等级" 等级5 等级2 等级3 等级4 可选择 可选择 采取行动 立即采取行动 立即采取行动 10"10" 评估方案 评估方案) 通知公司 通知公司) 通知公司 采取行动 立即采取行动 可选择 可选择 可选择 10-110 评估方案 评估方案) 评估方案) 通知公司 通知公司 可选择 可选择 采取行动 采取行动 l0 -210 不需要采取行动 评估方案) 评估方案) 通知公司) 通知公司) 可选择 可选择 采取行动 l0 一》~10 不需要采取行动 不需要采取行动 评估方案) 评估方案) 通知公司) 可选择 可选择 10-1~10 不需要采取行动 不需要采取行动 不需要采取行动 评估方案) 评估方案) 可选择 10》10 不需要采取行动 不需要采取行动 不需要采取行动 不需要采取行动 评估方案) 10-有~10" 不需要采取行动 不需要采取行动 不需要采取行动不需要采取行动不需要采取行动 表A.10数值分析法 -安全与健康相关事件的可容许风险(示例 可接受频率 严重程度 安全与健康相关的后果 年 大范围的人员死亡,重大区域影响 5级,灾难性的 1×10 级,严重的 人员死亡,大范围的人员受伤和严重健康影响,大的社区影响 1×l0一6 严重受伤和中等健康损害,永久伤残,大范围的人员轻微伤,小范围 3级,较大的 1×10- 的社区影响啊 2级,较小的 轻微受伤或轻微的健康影响,药物治疗,超标暴露 !级,微小的 1×10-" 没有人员受伤或健康影响,包括简单的药物处理 20
GB/T32857一2016 表A.11数值分析法- -环境相关事件的可容许风险(示例 可接受频率 严重程度 环境相关的后果 年 5级,灾难性的 超过10m溢油的环境污染,不可复原的环境影响 1×10 级,重大的 在1m'一10m'之间的溢油,灾难性的环境影响 1X10- 3级,较大的 1×10- 在0.1 m》1m 之间的溢油,严重的环境影响,大范围的损害 2级,较小的 在0,01m'0,1m'之间的溢油,较小的环境影响,暂时的和短暂的 1×10- 1级,微小的 小于0.01m溢油 1×10- 表A.12数值风险法 -财产相关事件的可容许风险(示例 可接受频率 严重程度 财产相关的后果 年 5级,灾难性的 1×10-" 超过1000万元直接财产损失,长时间生产中断 4级,重大的 在100万元1000万元之间的直接财产损失,生产中断 1×10- 3级,较大的 在10万元100万元之间的直接财产损失 1×10-? 2级,较小的 在1万元10万元之间的直接财产损失 1×10 小于1万元的直接财产损失 1级,微小的 21
GB/T32857一2016 s 附 录 资料性附录 反应器系统LoPA应用 B.1简介 本附录用摘选自《化工工艺安全自动化(CCPS,1993b)指南》中的案例来演示LOPA的应用
B.2问题描述 本附录以图B.1中的P&.ID图为基础进行LOPA分析
该工艺为由氯乙烯单体(VCM)转化为聚 氯乙烯(PVC)的间歇聚合操作
通过同一喷嘴将水,液态VCM、引发剂和添加剂加人到带搅拌的夹套 反应器中
加料喷嘴还与紧急排气阀和卸压阀(PSV)相连
中止液可通过同一喷嘴加人
抑制剂 除气 品 预先推真空 囚 预先拍真空 品 制 搅拌 器泊 添加制 孔口开 谢压力 冲洗剂 启关闭 可发开 冷水水 造却水冰 图例 SIF输入 BPCS输入 注一些sIFs(如火灾,气体和手动跳车)没有绘制出
图B.1简化流程聚氯乙烯(vC)的间歇聚合操作流程图 在表B.1中列出了所要分析的8个场景
表B.2表B.9包括了针对这些场景的LOPA总结表
22
GB/T32857一2016 表B.1安全自动化场景案例 场景 场景描述 场景1 冷却水故障,反应失控,可能导致反应器超压,泄,破裂及人员伤亡 场景2 搅拌器电机驱动器故障,反应失控,可能导致反应器超压,泄漏,破裂及人员伤亡 场景3 大范围停电,反应失控,可能导致反应器超压、泄漏、破裂及人员伤亡 场景4 冷却水系故障(停电),反应失控,可能导致反应器超压、泄、破裂及人员伤亡 场景5 人为误操作,催化剂量加倍,反应失控,可能导致反应器超压、泄漏,破裂及人员伤亡 场景6 BPCS液位控制功能失效导致反应器满罐,可能导致反应器超压、泄漏、破裂及人员伤亡 在点火步骤中BPcs温度控制发生故障导致反应器超温,反应失控,可能导致反应器超压,泄漏、破裂及 场景7" 人员伤亡 场景8 搅拌器密封失效使vCM泄漏并诱发着火,爆炸,伤害和死亡的可能性 B.3问题讨论 使用风险矩阵后果等级和可容许风险,根据场景的顺序进行LOPA分析
a)可容许风险 评估改造措施时,风险矩阵更加灵活
对于表A.9等级5的后果,事件频率大于1×10-4年-'即无 法接受,应采取行动对其进行改正
事件频率等于或小于1×10-"年-为可接受,无需采取行动
而介 于此二者之间的场景则依成本、可行性等允许有一定的灵活性
通用原则为,风险矩阵法要求一个新装 置要达到最严格的可容许风险,而对处于灰色安全地带的现役装置,则须进行成本效益分析
b 使能事件或使能条件 对于间歇反应器如果其(1)在使用中,(2)初始事件发生,而导致了飞温超压的后果
LOPA方法 假定上述两个条件同时存在的可能性为0.5
同样地,加倍注人催化剂量的频率等于每年投料批次乘以催化剂加错的几率
若我们假定在该过程中出现错误的可能性为0.01,则加倍注人催化剂量的频率为: 365天/年X1批/3天×0.01=1.21/年 此处假定每批料仅加一次催化剂,且每批料运转三天
注:若使用催化剂装填和人为错误的设定值,则此事件的场景确定了泄压系统(SIF)的PFD. e)条件修正因子 在某些使用火灾或死亡频率作为可容许风险的方法中,用条件修正因子对初始事件进行修正从而 获得其频率
d)独立保护层IPL 独立保护层应具有:有效性、独立性和可审查性
下面对这几个特性逐步介绍
1有效性 对于多数场景,均建议增加由安全仪表系统(SIS)控制的减压系统(SIF)
反应器顶部管线既用于 减压阀和安全阀PSV的排放管线,又为反应器添加引发剂、水和添加剂及更重要的中止液的人口管线
这就产生了一个问题,当排气阀或安全阀PsV打开时,上述任何一种物料是否能通过该管线同时流人 容器,对于许多情景,认为加人中止液为独立保护层IPL,其中减压系统和PsV也是独立保护层IPL
这样,也许需要置疑是否能假定加人中止液与通过相同喷嘴进行系统排放将不会同时发生
因此,使用LOPA方法的分析师将会置疑如图B.1中配置的放空系统PSV和中止液添加系统的有 23
GB/T32857一2016 效性,在建议的管道设计中它们是否都应被视为独立保护层IPL
可能会提到的其他问题为;反应器卸压时(采用安全阀PsV或排气阀),在管道和阀门是否会出现 两相流
若此情况有可能发生,则应采用DIERS或类似技术就尺寸,机械强度及处理问题等进行计算 在场景4,操作员有两个操作步骤(打开蒸汽动力冷却水泵及加人中止液)
在本标准中展示的 LOPA方法中,若操作员在应对报警时效率低下,则其不可能正确执行第二项任务
所以在LOPA中 这些行动中仅有一项会被认为是有效的独立保护层IPL 在场景8中,一个现场通风系统的工艺设计可以认定为一个独立保护层IPL,因为其可防范因搅拌 器轴封故障而导致的VCM泄漏
轴封的设计据称可限制可能泄漏的VCM最大量,所以通风系统无 虞
该排放系统的设计基础是否恰当取决于对轴封执行的分析等级及通风系统风扇等的合理历史故障 率
为取得表B.9中所示的LOPA分析结果,假定独立保护层IPL的PFD为1×10-1,尽管该表的 个注释还要求对该IPL进行进一步分析
下面对在场景8中反应器区域的低使用率是否应被考虑为独立保护层IPL做探讨
例如,着一个密封面临同题,有可能有人员在附近观察和讨论该密封,或其实际上正在密封上工作 若当时出现破裂,实际上在该区域中可能会比正常情况下有更多的人(注意;至少有一个导致了多人死 亡的事故是由于有多人在爆炸源附近正在调查设备故障)
所以将低使用率称为独立保护层IPL可能 并不恰当
在表B9所示的L.oOPA分析中,因为上述原因的关系,其不能被视为有效或独立于初始事件之外 因此低使用率并未被视为独立保护层IPL;此外,对其PFD进行量化也比较困难
在评估操作人员的行为是否是独立保护层IPL时也可考虑其行为的有效性
在某些场景下,当搅 拌器不运转时,操作员添加中止液,然后采用手动让反应器“冒泡”的方式来混合介质,在LoPA分析 中,该行动并未被视为独立保护层IPI 有效性还包括被称为独立保护层IPL的失效概率PFD
该类的一个例子为对比安全阀Psv的分 值(PFD=1X10-')与排气阀sIF(PFD=1X10-1)的分值
对于此类设备,可能是由于聚合物沉积或 排气过程中带有聚合材料而产生的阀门或管道阻塞/冻结的原因,安全阀的PFD相对较高
而如果设 计正确,sIF以1×10-的失效概率PFD,检测操作条件、传送信号并打开排气阀,看起来阀门和管道不 大可能比安全阀受阻塞影响的程度低
若此说法正确,则图B.1中所示的设计中安全阀和排气阀的PFD均应假定为1×10是可能的
因为除通用喷嘴外.,两个安全阀共享一个共同的人口管线、两个排气阀也共享一个共同的人口管线时 此种假设尤为正确
2)独立性 下面讨论独立保护层IPL的独立性
一旦认同了使用共同的喷嘴和管道,中止液添加系统,排气 系统sIF及PSV的独立性就要受到挑战
这将导致它们是否均应被视为独立保护层的讨论
考虑独立性时的另一问题是初始事件与潜在独立保护层之间或相同场景下已确定的独立保护层与 另一潜在的独立保护层之间是否有关联
此处的案例为 场景4中单一冷却水低流量报警后,操作员的两个操作步骤(启动蒸汽驱动冷却水泵及加人中止 液)来应对报警,在LOPA中不能认为是为独立保护层
因为: 若单一低流量报警故障,则两个行动都可能无效,因为操作员可能并不知道冷却水故障
这是通过 个共同传感器而缺乏独立性的一个例证
若操作员没能圆满完成各项任务中的一项,则不大可能正确执行第二项行动
这是经由最后控制 单元(操作员行动)而缺乏独立性的一个例证
在lOPA的基础方法中,若工艺控制系统BPCS出现故障,会导致失去执行两个独立保护层行动 的能力
在一定场景下,在对工艺控制系统设计和性能有特殊要求时,可在评估该问题时降低保守 24
保护层分析(LOPA)应用指南GB/T32857-2016
引言
随着化学、石化等危险行业的不断发展,工业安全越来越受到重视。保护层分析(LOPA)是一种在工业安全领域中广泛使用的风险评估方法。GB/T32857-2016《保护层分析(LOPA)应用指南》是中国国家标准化委员会制定的关于LOPA的标准,该标准对于加强中国工业企业的安全管理具有重要意义。
标准简介
GB/T32857-2016《保护层分析(LOPA)应用指南》是中国国家标准化委员会制定的标准,主要包括以下内容:
- 术语和定义
- LOPA过程及步骤
- 事件频率的估算方法
- 保护层的选择及需求分析
- LOPA过程中需考虑的特殊情况
应用与意义
GB/T32857-2016标准提供了一套规范的保护层分析(LOPA)方法,使企业能够更加科学地评估和管理工业安全风险。该标准应用于化学、石化等危险行业,并可在其他行业中进行适当调整和应用。
在实际应用中,通过LOPA方法可以明确危险事件的发生概率及其对人员、财产和环境造成的损失,进而确定有效的保护措施。该方法可以帮助企业评估风险和制定有效的安全管理措施,避免事故的发生,保障员工安全和企业稳健发展。
结论
本文介绍了GB/T32857-2016《保护层分析(LOPA)应用指南》标准的内容以及其在工业安全领域中的应用和意义。该标准提供了规范的LOPA方法,可以帮助企业更加科学地进行风险评估和管理,保障员工安全和企业稳健发展。
