保护层分析(LOPA)过程中典型问题分析及建议

李 雁

(中国五环工程有限公司，湖北 武汉 430223)

近年来，国内危险化学品生产装置及储存设施规模越来越大，生产过程自动化水平也有了显著提高，对加强和规范安全仪表系统的设置和管理的需求也越来越迫切。根据《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)的要求，危险化学品生产装置及储存设施安全仪表系统的设计需要符合具体时间节点的要求，自2020年1月1日起，凡是新建涉及“两重点一重大”的化工装置和危险化学品储存设施，均要执行功能安全相关标准，设计符合要求的安全仪表系统。

当前，安全仪表系统(SIS)的设计执行的功能安全标准主要有GB/T20438《电气电子可编程电子安全相关系统的功能》和GB/T21109《过程工业领域安全仪表系统的功能安全》，而安全仪表系统(SIS)的设计首先需要确定各安全仪表功能(SIF)的安全完整性等级(SIL)。当前，确定安全仪表系统所要求的安全完整性等级的方法很多，有定性、半定性、半定量等，采用哪种SIL定级方法取决于许多因素，其中主要包括：①工艺过程的复杂程度；②国家及管理部门的现行标准；③风险特性和降低风险的方法；④操作人员的经验和技能；⑤相关风险参数的可用信息等。在一些工艺过程分析应用中，也可以使用不止一种方法。

1 保护层分析(LOPA)法

保护层分析(Layer of Protection Analysis，简称LOPA)法是建立在过程危险源定性分析(例如HAZOP分析)基础上的SIL定级中常用方法。它是通过对初始事件频率、后果严重程度和独立保护层(IPLs)失效频率来近似表征特定场景的风险，并进行风险决策的一种系统方法，其主要目的是确定当前的保护层是否可满足企业可容许风险基准。LOPA以数量级作为衡量尺度，是一种简化的半定量的风险评估方法。

LOPA分析可以用一个“洋葱头”来描述其模型，通过所有的“洋葱外皮”对中心核起到独立保护作用，使得“洋葱中心核”遭受的外侵风险大幅降低。因此，在对每个特定事故场景进行保护层分析时，确定哪些保护层能够真正起到防止不期望时间的发生，或降低不期望事件后果严重性的目的尤为重要。

图1 “洋葱头”保护层模型示意

保护层分析(LOPA)法是近年来广泛应用的一种安全设计与管理技术。对于特定的场景，基于LOPA提供的一致性基础，判断是否有足够的独立保护层来控制事故风险。虽然LOPA是一个半定量风险评估方法，但它是一种适合评估事故场景保护层价值的简化方法。当前，绝大多数咨询公司、工程公司均选择LOPA分析法进行SIF回路的SIL定级，在不断地小组实战分析实践中，对遇到的问题进行多角度地分析讨论、评估，并确定原则和对策，再通过业主方在运行阶段进行验证与回归，反馈并指导优化设计，形成闭环管理升级。LOPA分析法行之有效，不但适用于新建项目，对在役装置也具有很好的适用性，通过定期LOPA分析得出的结果，对已投用的SIS系统进行核实和改进，将有助于不断提高装置自动化水平、规范人员行为，提高对风险辨识、评估和控制管理能力。

LOPA分析主要过程包括：①场景辨识；②初始事件(IE)识别及频率确认；③后果及严重性评估；④独立保护层(IPL)识别及要求时的失效概率(PFD)的确认；⑤场景导致预期后果的频率计算；⑥风险评估与建议；⑦后续跟踪与审查。

2 独立保护层(IPL)的辨识

独立保护层(IPL)是独立于场景的初始事件或其他保护层的设备、系统或行动，能够阻止场景向不期望后果发展的保护措施。AQ/T3054-2015《保护层分析(LOPA)方法应用导则》规定，化工企业保护层作为IPL时，应满足以下五大特性。

(1)独立性。①与初始事件的发生及其后果独立；②与同一场景中的其它独立保护层独立；③应考虑共因失效或共模失效的影响。

(2)有效性。①响应的时间能够检测到；②能在有效的时间内及时响应；③能在可用的时间内有足够的能力采取所要求的行动；④能满足所选择的PFD的要求。

(3)安全性。通过管理控制或技术手段有效减少非故意的或未授权的变动。

(4)变更管理。应对过程的任何改动进行复查、建档及核准，以满足变更后保护层的有效性要求。

(5)可审查性。以某种方式(记录、审查、测试等)，对于保护层阻止后果的有效性和PFD进行验证，说明保护层的设计、检查、维护、测试和运行活动能够使保护层达到有效性的要求。①审查确认独立保护层各项指标的合适性，以满足IPL的使用要求；②审查程序应确认，如果IPL按照设计发生作用，将有效地阻止后果。

3 工程项目LOPA分析典型问题分析

作为工程公司，在进行过程危险源分析工作中，经历了“起步摸索-基本掌握-回看自检”的过程，遇到过困难和问题，也积累了些许经验，以下摘取3个典型问题进行分享。

(1)问题1：同一传感器不同设定值涉及多个SIF回路，前一个场景是否作为下一个场景的独立保护层？

常见危险化学品液体储罐通常有此类设计，如常压液氨储罐压力控制系统的设置。通常情况下，常压液氨储罐操作压力为3～8kPa(g)，设计压力为-0.5/15kPa(g)，呼吸阀/安全阀(PSV)的整定压力为-0.4/14 kPa(g)，压力控制示意见图2，压力联锁控制设定值-联锁动作见表1。

从图2、表1可知，压力传感器为2套，均为3取2冗余配置，2套传感器按设定值不同，完成所有联锁动作。

图2 常压液氨储罐压力控制示意

表1 常压液氨储罐压力控制设定值-联锁动作

按照SIS的独立性要求，LOPA分析应基于保护层的独立性，IEC61511-1中关于基本过程控制系统(BPCS)作为独立保护层的规定如下：当触发因素为BPCS本身时，应确保BPCS触发因素与BPCS保护层之间的隔离和独立(见图3)。

图3 BPCS保护层与BPCS中触发源之间的独立性要求

同理，独立保护层的传感器与要定级的SIF回路的传感器也需要保持独立分开，才能保证保护层的独立性。根据这一原则，以常压氨罐压力高联锁回路的LOPA分析过程为例，分析过程见表2，考虑场景间相互不视为独立保护层。

表2 常压液氨储罐压力高联锁分析

考虑到国外专利商通常坚持按“3取中调节+3取2联锁”进行安全设计，所以建议的做法为：传感器为3取2，定级结果较高时，可酌情考虑削减；当传感器只有1个时，应绝对禁止。

(2)问题2：可燃/有毒气体检测报警系统是否作为独立保护层？

AQ/T 3054—2015《保护层分析(LOPA)方法应用导则》第7.2条，化工企业典型保护层及作为IPL的要求，在表3中已明确作为保护层的“释放后保护措施”中包含有“火气系统：可燃气体和有毒气体检测报警系统……”，同时也说明了作为独立保护层IPL的要求为：①独立于场景中的其他保护层；②在确定设备的PFD 时，应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对PFD进行修正。T/CCSAS 001—2018《危险与可操作性分析质量控制与审查导则》附录G安全措施消减因子数据表中，将可燃/有毒性气体报警仪作为 “其他安全措施”，其失效概率为1×10-1，并且强调“超温超压引起的泄漏且压力和温度设置有报警时不考虑消减”。

具体工程项目中，可燃/有毒气体探测器的检测点需根据工艺要求和设备管道布置，结合气体的理化性质、释放源特征以及环境气候条件、探测器特点、检测报警可靠性要求、操作巡检路线等因素，按照GB/T 50493-2019《石油化工可燃气体和有毒气体检测报警设计标准》，选择可燃/有毒气体容易积聚、便于采样检测和仪表维护处进行布点。但是，受现场风向、气压等多种因素影响，可燃/有毒气体的存在及分布具有很大的不确定性，气体检测器的覆盖率也将影响检测率，使得气体检测也存在不确定性。检测器报警一定有可燃/有毒气体存在，但可燃/有毒气体存在，检测器不一定会报警。基于这一考虑的做法是，专门为某个偏离或某个特定位置(如地下槽)设置报警器，检测报警带联锁动作需要人员响应的可以算做独立保护层，其他情况下设置的可燃/有毒气体检测报警系统均不算。同时需要强调的是，作为独立保护层的可燃/有毒气体报警，需列入跟踪检查表进行跟踪检查，以确保独立保护层的独立性和可审查性。

(3)问题3：一个SIF回路，涉及多个最终元件时，该如何处理？

SIF回路通常由传感器、逻辑解算器和最终元件组成。一个SIF回路涉及多个最终元件的情况常见于某个工序大联锁。若气化炉或转化炉温度高，通常要求关闭多个(3个以上)阀门。此类安全联锁往往由于后果严重且保护层相互关联，可用的独立保护层较少而导致回路SIL等级较高；而同时由于涉及多个最终元件，使得SIF回路庞杂，给后期执行验证带来较大挑战。采取的做法如下：因最终元件的数量对SIF回路的定级结果无影响，故所有最终元件仍在此SIF回路中按定级结果进行设计和采购；增加确定关键最终元件的环节，分析小组主席与工艺、仪表、业主相关人员、专利商代表及分析小组其他成员共同确定不多于3个关键最终元件，确定的原则为能够直接消除初始事件或减缓后果；验证时，只选取关键最终元件的PFD值参与计算。这种做法在一些海外项目及国内项目都使用过，也是独立咨询公司的通常做法。

4 结语

识别和确定场景中的IPL，并确定合适的PFD，是LOPA分析的核心内容；确定SIF回路的安全完整性等级(SIL)，是LOPA分析的最终目标及SIS系统的设计依据；而筛选SIF回路中的关键元件是下一步确认现有配置是否达到所需的SIL等级要求的关键输入。在实际运用中，进行了一些必要的归纳和总结，谨慎识别各类IPL，并尽力确保后期验证的合理可行，归根到底，都是为了更全面、系统地识别流程中的风险，以便更好地把控和规避风险。