LOPA方法在安全儀表系統SIL分析中的應用

朱春麗，陳 迪，何驍勇

（中海油研究總院，北京 100027）

在進行安全儀表系統設計前，首先需要對受控設備進行風險分析，確定其可能存在什么樣的風險，存在多少保護層，每一個存在的保護層能降低多少風險，是否需要安全儀表系統的保護，如需要再確定執行該安全功能的安全儀表系統的安全完整性等級。

1 LOPA方法介紹

1.1 概述

保護層分析法LOPA，是一種簡化的風險評估。通常使用初始事件頻率、后果嚴重程度和獨立保護層（IPL）失效頻率的數量級大小來近似表征場景的風險。LOPA是建立在定性危害評估信息 （例如HAZOP）上的一個分析工具，可幫助設計人員設計足夠可靠的工藝控制系統以及具有適當的SIL等級的安全儀表系統[1]。

1.2 LOPA分析步驟

采用LOPA方法進行SIL等級分配評估主要包含以下步驟[2]：

（1）系統劃分及確定受控設備EUC；

（2）識別每個EUC包含的安全儀表功能SIF；

（3）分析需求SIF動作的觸發原因及原因的失效頻率；

（4）評價可能的安全、環境和經濟后果及其嚴重等級（不考慮任何保護措施）；

（5）判斷初始風險是否滿足風險可接受準則（如果風險可接受，則該場景沒有SIL等級要求，該場景分析結束）；如果不滿足風險可接受準則，則進入下一步分析；

（6）識別該場景的獨立保護層及其PFD值；

（7）判斷殘余風險是否滿足風險可接受準則（如果風險可接受，則該場景沒有SIL等級要求，該場景分析結束）；如果不滿足風險可接受準則，則進入下一步分析；

（8）根據殘余風險和可接受風險的差距，分配SIF的SIL等級；

（9）重復以上步驟，直至所有系統和EUC中的SIF分析完畢。

2 LOPA在SIL分析中的應用

2.1 系統及EUC劃分

系統劃分主要是對整個裝置按照其功能或用途劃分為不同的工藝系統，在不同的工藝系統中又可根據各系統的設備和儀表等組成以及功能特性再細分為分系統。在對裝置進行系統劃分后，確定系統中安全儀表系統所保護的設備，即EUC。相互的關系如圖1所示。

圖1 系統劃分Fig.1 System division

2.2 SIF確定

在確定EUC后，對每一個EUC，分析其安全儀表系統的設置，在確定安全儀表系統的設置后，對每一個安全儀表系統應分析并描述其安全儀表功能SIF。一個SIF包括傳感器、邏輯控制器和最終執行元件。

2.3 觸發原因

造成需求安全儀表功能動作的原因稱為觸發原因，為了規范其失效可能性的評價，表1給出了觸發原因的分類和頻率[3]。

表1 觸發原因及頻率Tab.1 Triggering causes and frequency

2.4 獨立保護層IPL

一個場景可能需要一個或多個保護層來降低風險，這取決于過程的復雜性和潛在的后果嚴重程度。IPL（獨立保護層）方法提供了一個評估給定場景風險的保護措施是否足夠的一致性的基礎，圖2為保護層的示意圖[4]。

圖2 典型的事故場景保護層Fig.2 Protection layer of typical accident

不是所有的IPL都是保護層，但是不是所有的保護措施都是IPL，IPL需滿足以下要求：

（1）有效性，一個保護層能夠單獨預防一個潛在危害的發生或緩解該危害產生后果（比如：反應失控、有毒介質泄漏、容器超壓破裂、火災等）。該保護層至少能夠降低相應的風險10倍。

（2）獨立性，一個保護層需獨立于同一危害評估所涉及到的其它保護層，不受其它保護層失效的影響。尤其重要的是，保護層需與觸發原因相獨立。

（3）可審核性，能夠提供相應的文件證書證明該保護層的可靠性，同時該保護層需設計成能夠定期進行測試和維護，以驗證和維持其功能。

表2為一些常見的典型的獨立保護層及其失效概率[5]。

表2 IPL及其PFDTab.2 IPL and PFD

圖3 PVC簡化的工藝流程Fig.3 Simplified flow diagram of the PVC process

2.5 SIL等級的確定

根據所有原因發生的頻率，造成的安全、環境及經濟后果以及針對該場景所設置的IPL，確定出不同后果所需的不同SIL等級，最后選取最高的SIL等級來作為安全儀表功能最終的SIL等級。

3 分析示例介紹

圖3所示的反應過程中，存在許多可能發生的危險場景，采用LOPA的方法逐一地分析每一個場景，可以找到每個場景中欠缺的獨立保護層，從而改進設計保證生產過程的安全。下面將以其中一個可能存在的危險場景進行分析舉例，其中的風險容忍標準來自企業內部的風險容忍標準要求，如表3所示。

3.1 工藝流程介紹

圖3為聚乙烯單體（VCM）生產聚氯乙烯（PVC）的間歇聚合反應。水、液態VCM、引發劑和添加劑同時通過同一噴管注入攪動的、帶夾套的反應器內。注入噴管與緊急排放閥和安全閥（PSV）相連接，抑制劑也通過同一噴管添加[1]。

3.2 LOPA分析過程介紹

表3 LOPA分析記錄表Tab.3 LOPA analysis record table

通過以上分析可以看出，為了滿足風險可接受準則的要求，需要設置一個不大于1×10-3PFD即滿足SIL3的SIF，在溫度高時打開放空閥。

4 結語

在安全儀表系統SIL分析中，LOPA可以有效地用于過程或設施的任何階段，它可用于檢查其他工藝危害方法（例如HAZOP）發現的場景，可以作為安全儀表功能設計的一部分，也可對系統的設計進行研究，對各種工藝備選方案進行分類并選出最佳方案，可以用來改進現有工藝、控制系統或安全系統。合理理解并掌握LOPA方法，對今后在設計工作中做HAZOP分析、SIL分析、QRA分析等都會有很好的參考價值。

[1] Center for Chemical Process Safety.Layer of Protection Analysis-Simplified Process Risk Assessment[M].New York：American Institute of Chemical Engineers，2001.

[2] IEC61508-2002，Functional safety of electrical/electronic/programmable electronic safety-related systems[S]，2002.

[3] The Norwegian OIL Industry Association.Application of IEC 61508 and IEC 61511 in the norwegian petroleum industry[S].Norwegian，2004.

[4] IEC61511-2003，Functional safety—safety instrumented systems for the process industry sector[S]，2003．

[5] 中國國家標準化管理委員會.GB/T 20438.6-2006電氣/電子/可編程電子安全相關系統的功能安全[S].北京：中國標準出版社，2007.