保護層分析(LOPA)過程中典型問題分析及建議

李 雁

(中國五環工程有限公司，湖北 武漢 430223)

近年來，國內危險化學品生產裝置及儲存設施規模越來越大，生產過程自動化水平也有了顯著提高，對加強和規范安全儀表系統的設置和管理的需求也越來越迫切。根據《關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)的要求，危險化學品生產裝置及儲存設施安全儀表系統的設計需要符合具體時間節點的要求，自2020年1月1日起，凡是新建涉及“兩重點一重大”的化工裝置和危險化學品儲存設施，均要執行功能安全相關標準，設計符合要求的安全儀表系統。

當前，安全儀表系統(SIS)的設計執行的功能安全標準主要有GB/T20438《電氣電子可編程電子安全相關系統的功能》和GB/T21109《過程工業領域安全儀表系統的功能安全》，而安全儀表系統(SIS)的設計首先需要確定各安全儀表功能(SIF)的安全完整性等級(SIL)。當前，確定安全儀表系統所要求的安全完整性等級的方法很多，有定性、半定性、半定量等，采用哪種SIL定級方法取決于許多因素，其中主要包括：①工藝過程的復雜程度；②國家及管理部門的現行標準；③風險特性和降低風險的方法；④操作人員的經驗和技能；⑤相關風險參數的可用信息等。在一些工藝過程分析應用中，也可以使用不止一種方法。

1 保護層分析(LOPA)法

保護層分析(Layer of Protection Analysis，簡稱LOPA)法是建立在過程危險源定性分析(例如HAZOP分析)基礎上的SIL定級中常用方法。它是通過對初始事件頻率、后果嚴重程度和獨立保護層(IPLs)失效頻率來近似表征特定場景的風險，并進行風險決策的一種系統方法，其主要目的是確定當前的保護層是否可滿足企業可容許風險基準。LOPA以數量級作為衡量尺度，是一種簡化的半定量的風險評估方法。

LOPA分析可以用一個“洋蔥頭”來描述其模型，通過所有的“洋蔥外皮”對中心核起到獨立保護作用，使得“洋蔥中心核”遭受的外侵風險大幅降低。因此，在對每個特定事故場景進行保護層分析時，確定哪些保護層能夠真正起到防止不期望時間的發生，或降低不期望事件后果嚴重性的目的尤為重要。

圖1 “洋蔥頭”保護層模型示意

保護層分析(LOPA)法是近年來廣泛應用的一種安全設計與管理技術。對于特定的場景，基于LOPA提供的一致性基礎，判斷是否有足夠的獨立保護層來控制事故風險。雖然LOPA是一個半定量風險評估方法，但它是一種適合評估事故場景保護層價值的簡化方法。當前，絕大多數咨詢公司、工程公司均選擇LOPA分析法進行SIF回路的SIL定級，在不斷地小組實戰分析實踐中，對遇到的問題進行多角度地分析討論、評估，并確定原則和對策，再通過業主方在運行階段進行驗證與回歸，反饋并指導優化設計，形成閉環管理升級。LOPA分析法行之有效，不但適用于新建項目，對在役裝置也具有很好的適用性，通過定期LOPA分析得出的結果，對已投用的SIS系統進行核實和改進，將有助于不斷提高裝置自動化水平、規范人員行為，提高對風險辨識、評估和控制管理能力。

LOPA分析主要過程包括：①場景辨識；②初始事件(IE)識別及頻率確認；③后果及嚴重性評估；④獨立保護層(IPL)識別及要求時的失效概率(PFD)的確認；⑤場景導致預期后果的頻率計算；⑥風險評估與建議；⑦后續跟蹤與審查。

2 獨立保護層(IPL)的辨識

獨立保護層(IPL)是獨立于場景的初始事件或其他保護層的設備、系統或行動，能夠阻止場景向不期望后果發展的保護措施。AQ/T3054-2015《保護層分析(LOPA)方法應用導則》規定，化工企業保護層作為IPL時，應滿足以下五大特性。

(1)獨立性。①與初始事件的發生及其后果獨立；②與同一場景中的其它獨立保護層獨立；③應考慮共因失效或共模失效的影響。

(2)有效性。①響應的時間能夠檢測到；②能在有效的時間內及時響應；③能在可用的時間內有足夠的能力采取所要求的行動；④能滿足所選擇的PFD的要求。

(3)安全性。通過管理控制或技術手段有效減少非故意的或未授權的變動。

(4)變更管理。應對過程的任何改動進行復查、建檔及核準，以滿足變更后保護層的有效性要求。

(5)可審查性。以某種方式(記錄、審查、測試等)，對于保護層阻止后果的有效性和PFD進行驗證，說明保護層的設計、檢查、維護、測試和運行活動能夠使保護層達到有效性的要求。①審查確認獨立保護層各項指標的合適性，以滿足IPL的使用要求；②審查程序應確認，如果IPL按照設計發生作用，將有效地阻止后果。

3 工程項目LOPA分析典型問題分析

作為工程公司，在進行過程危險源分析工作中，經歷了“起步摸索-基本掌握-回看自檢”的過程，遇到過困難和問題，也積累了些許經驗，以下摘取3個典型問題進行分享。

(1)問題1：同一傳感器不同設定值涉及多個SIF回路，前一個場景是否作為下一個場景的獨立保護層？

常見危險化學品液體儲罐通常有此類設計，如常壓液氨儲罐壓力控制系統的設置。通常情況下，常壓液氨儲罐操作壓力為3～8kPa(g)，設計壓力為-0.5/15kPa(g)，呼吸閥/安全閥(PSV)的整定壓力為-0.4/14 kPa(g)，壓力控制示意見圖2，壓力聯鎖控制設定值-聯鎖動作見表1。

從圖2、表1可知，壓力傳感器為2套，均為3取2冗余配置，2套傳感器按設定值不同，完成所有聯鎖動作。

圖2 常壓液氨儲罐壓力控制示意

表1 常壓液氨儲罐壓力控制設定值-聯鎖動作

按照SIS的獨立性要求，LOPA分析應基于保護層的獨立性，IEC61511-1中關于基本過程控制系統(BPCS)作為獨立保護層的規定如下：當觸發因素為BPCS本身時，應確保BPCS觸發因素與BPCS保護層之間的隔離和獨立(見圖3)。

圖3 BPCS保護層與BPCS中觸發源之間的獨立性要求

同理，獨立保護層的傳感器與要定級的SIF回路的傳感器也需要保持獨立分開，才能保證保護層的獨立性。根據這一原則，以常壓氨罐壓力高聯鎖回路的LOPA分析過程為例，分析過程見表2，考慮場景間相互不視為獨立保護層。

表2 常壓液氨儲罐壓力高聯鎖分析

考慮到國外專利商通常堅持按“3取中調節+3取2聯鎖”進行安全設計，所以建議的做法為：傳感器為3取2，定級結果較高時，可酌情考慮削減；當傳感器只有1個時，應絕對禁止。

(2)問題2：可燃/有毒氣體檢測報警系統是否作為獨立保護層？

AQ/T 3054—2015《保護層分析(LOPA)方法應用導則》第7.2條，化工企業典型保護層及作為IPL的要求，在表3中已明確作為保護層的“釋放后保護措施”中包含有“火氣系統：可燃氣體和有毒氣體檢測報警系統……”，同時也說明了作為獨立保護層IPL的要求為：①獨立于場景中的其他保護層；②在確定設備的PFD 時，應考慮其實際運行環境中可能出現的污染、堵塞、腐蝕、不恰當維護等因素對PFD進行修正。T/CCSAS 001—2018《危險與可操作性分析質量控制與審查導則》附錄G安全措施消減因子數據表中，將可燃/有毒性氣體報警儀作為 “其他安全措施”，其失效概率為1×10-1，并且強調“超溫超壓引起的泄漏且壓力和溫度設置有報警時不考慮消減”。

具體工程項目中，可燃/有毒氣體探測器的檢測點需根據工藝要求和設備管道布置，結合氣體的理化性質、釋放源特征以及環境氣候條件、探測器特點、檢測報警可靠性要求、操作巡檢路線等因素，按照GB/T 50493-2019《石油化工可燃氣體和有毒氣體檢測報警設計標準》，選擇可燃/有毒氣體容易積聚、便于采樣檢測和儀表維護處進行布點。但是，受現場風向、氣壓等多種因素影響，可燃/有毒氣體的存在及分布具有很大的不確定性，氣體檢測器的覆蓋率也將影響檢測率，使得氣體檢測也存在不確定性。檢測器報警一定有可燃/有毒氣體存在，但可燃/有毒氣體存在，檢測器不一定會報警?；谶@一考慮的做法是，專門為某個偏離或某個特定位置(如地下槽)設置報警器，檢測報警帶聯鎖動作需要人員響應的可以算做獨立保護層，其他情況下設置的可燃/有毒氣體檢測報警系統均不算。同時需要強調的是，作為獨立保護層的可燃/有毒氣體報警，需列入跟蹤檢查表進行跟蹤檢查，以確保獨立保護層的獨立性和可審查性。

(3)問題3：一個SIF回路，涉及多個最終元件時，該如何處理？

SIF回路通常由傳感器、邏輯解算器和最終元件組成。一個SIF回路涉及多個最終元件的情況常見于某個工序大聯鎖。若氣化爐或轉化爐溫度高，通常要求關閉多個(3個以上)閥門。此類安全聯鎖往往由于后果嚴重且保護層相互關聯，可用的獨立保護層較少而導致回路SIL等級較高；而同時由于涉及多個最終元件，使得SIF回路龐雜，給后期執行驗證帶來較大挑戰。采取的做法如下：因最終元件的數量對SIF回路的定級結果無影響，故所有最終元件仍在此SIF回路中按定級結果進行設計和采購；增加確定關鍵最終元件的環節，分析小組主席與工藝、儀表、業主相關人員、專利商代表及分析小組其他成員共同確定不多于3個關鍵最終元件，確定的原則為能夠直接消除初始事件或減緩后果；驗證時，只選取關鍵最終元件的PFD值參與計算。這種做法在一些海外項目及國內項目都使用過，也是獨立咨詢公司的通常做法。

4 結語

識別和確定場景中的IPL，并確定合適的PFD，是LOPA分析的核心內容；確定SIF回路的安全完整性等級(SIL)，是LOPA分析的最終目標及SIS系統的設計依據；而篩選SIF回路中的關鍵元件是下一步確認現有配置是否達到所需的SIL等級要求的關鍵輸入。在實際運用中，進行了一些必要的歸納和總結，謹慎識別各類IPL，并盡力確保后期驗證的合理可行，歸根到底，都是為了更全面、系統地識別流程中的風險，以便更好地把控和規避風險。