LOPA在石油化工裝置中的應用

范詠峰，唐彬

(1. 中科合成油工程有限公司，北京 100028；2. 天津市居安企業管理咨詢有限公司，天津 300200)

保護層分析(LOPA)是對事故場景風險進行半定量評估的一種系統方法，一次分析一個事故場景，使用初始事件頻率、獨立保護層(IPL)失效概率和后果嚴重性的預定義值，將場景風險估計與風險標準進行比較，確定是否需要額外風險降低或更詳細的分析。如需額外的風險降低并且是以安全儀表功能(SIF)的形式提供這種降低，LOPA分析可以確定合適的SIF的安全完整性等級(SIL)。

事故場景在其他地方確定時，通常使用基于場景的危害評估方法，如危險與可操作性分析(HAZOP)、What-if、失效模式與效應分析(FMEA)等。

1 保護層分析原理

LOPA分析是在定性危險分析的基礎上，進一步對具體場景的風險進行相對量化(準確到數量級)的研究，包括對場景的準確表述及識別已有的IPL，從而判定該場景發生時系統所處的風險水平是否達到可容許風險標準的要求，并根據需要增加適當的保護層，以將風險降低至可容許風險標準所要求的水平。LOPA分析原理如圖1所示，圖1中箭頭寬度代表后果頻率大小，箭頭長度代表后果嚴重性，PFD為要求時失效概率。

圖1 LOPA分析原理示意

2 保護層分析程序

LOPA分析流程如圖2所示，其中，Ft為后果可容忍頻率，Fnp為不考慮SIS保護的后果發生頻率，當(Ft/Fnp)<1時需要進一步降低風險。

圖2 LOPA分析流程示意

3 保護層場景分析

LOPA分析一般是在如HAZOP分析等定性危害分析后進行，并采用定性危害分析小組確定的場景。LOPA分析也可用于分析其他來源的場景，如設計方案分析和事故調查。當危害分析小組遇到以下情況時，可以使用LOPA分析： 對于小組人員而言，場景過于復雜而不能使用完全定性的方法做出合理的風險判斷；后果過于嚴重而不能只依靠定性方法進行風險判斷。

以下為實際工程可以參考的場景選擇示例：

1)無風險降低措施時，HAZOP分析得出的后果嚴重程度高的，如后果為人員傷亡為1～2人的場景和后果更為嚴重的場景。

2)HAZOP分析得出的風險等級(不考慮SIS)比較高的。

3)HAZOP分析得出的風險等級(不考慮SIS)為一般等級的，由評估單位和業主共同協商確定是否進行LOPA分析和定級，應對風險等級為一般等級中的重點關注場景進行LOPA分析和定級。

4)可能性等級較高，如果發生頻率大于10-1次/a。

5)場景中含有聯鎖回路，需要對聯鎖回路進行SIL定級。

6)“兩重點一重大”中重點監管化學品工藝中定義的聯鎖和緊急停車系統相關的聯鎖。

7)業主關注的重要場景。

4 后果分析和可容忍風險標準

后果風險是傷害發生的頻率與該傷害嚴重程度的組合。風險由兩個部分組成： 可能性/頻率——可能性越高，危險越大；后果嚴重程度——嚴重程度越高，危險越大。

按照影響對象后果可以分為： 人員傷亡、財產損失、環境污染、聲譽影響等。沒有絕對的零風險，只有可容忍風險，可容忍風險指的是根據當前社會發展水平，在給定的范圍內能夠接受的風險?？扇萑田L險細分為可容許風險和可忽略風險，兩者之間的區域為風險可接受準則(ALARP)風險區域，不同國家、不同行業、不同企業風險標準有所不同。某企業人員傷害的可容忍風險發生頻率舉例見表1所列。

表1 某企業人員傷害可容忍風險發生頻率 次·a-1

LOPA分析應確定采用的可容忍風險標準，確定場景未有保護措施時的后果嚴重程度和發生的可能性，確定場景后果對應的可容忍發生頻率。

5 初始事件

事件序列中的第一個事件，如應力腐蝕造成連接氨罐的管道泄漏/破裂，事件序列開始傳播所必需的故障或錯誤，它可以由單個原因或多個原因組成。

初始事件用于表示起始原因，或在適當情況下表示有相同直接影響的初始原因的集合，例如“基本過程控制系統(BPCS)液位控制失效導致設備液位高高”報警。初始事件舉例如圖3所示。

圖3 初始事件舉例示意

6 不考慮SIS情況下的IPL分配

在不考慮SIS情況下進行IPL分配，如果通過這些IPL的保護，風險已經降低到了可接受范圍，那么就不需要設置SIS。IPL是一種設備、系統或行動，可以有效地防止特定場景向不期望的后果發展，它與需要保護的特定場景的初始事件或其他保護層的行動無關。IPL必須滿足有效性、獨立性和可審查性。

風險降低措施通常通過IPL實現，一些常見的獨立保護層有： BPCS，報警及響應，SIF，安全閥，防火堤等。IPL分配如圖1所示。

7 使能條件和修正因子

7.1 使能條件

初始事件發生后，導致事故場景發展所需要的必要條件或事件，但不會直接導致場景發生。

針對所有涉及使能條件的場景，應分析和確認是否可以采用使能條件。比如初始事件為BPCS失效，使能條件為間歇操作，如果每次操作前無法判斷BPCS中檢測元件、邏輯控制器、執行元件是否處于失效狀態，則不能采用該使能條件。

7.2 修正因子

如果選取的場景后果為物料泄漏以后的后果，計算場景頻率時，評估人員在具有相關經驗及數據支持下可使用條件修正。條件修正因子包括： 可燃物質點火概率，人員出現在事件影響區域的概率，火災、爆炸或有毒物質釋放時的人員暴露致死率等。應表明修正因子取值的參考依據，并記錄在案。確定修正因子時應全面考慮，比如確定人員暴露率時，除了應考慮現場定期的巡檢，還應考慮出現報警或者異常情況時現場維護人員可能去現場檢查的情況。

8 后果發生頻率

低要求模式的Fnp按式(1)計算：

(1)

9 分析風險是否可接受

比較后果可容忍頻率和未考慮SIS保護層的后果發生頻率，如果風險降低尚未達到可容忍風險標準，則需要進一步降低風險，比如設置SIS。分析風險是否可接受的流程如圖4所示。

圖4 分析風險是否可接受的流程示意

10 是否需要SIF及SIL定級

比較剩余風險與可容忍風險標準，確定是否需要額外風險降低，如需額外風險降低并且以SIF的形式提供，那么需要設置SIF，LOPA分析可以確定合適的SIF的SIL等級。

SIL1～3需要滿足GB 50770—2013《石油化工安全儀表系統設計規范》[1]和GB/T 21109—2007《過程工業領域安全儀表系統的功能安全》[4]等標準，應特別注意安全生命周期的要求。SILa可以在BPCS或者SIS中實現，不需要滿足文獻[1]和文獻[4]的要求，但需要滿足其他相關標準的要求，比如BPCS、報警管理等標準的要求。

11 工程中應注意的問題

實際工程中應注意以下問題：

1)場景后果應按照人員傷亡、財產損失、環境污染和聲譽影響等方面分別分析。

2)對于同一個事故場景，BPCS不能提供保護2次以上，BPCS最多只允許參與2個IPL，并且要求獨立于初始事件，如果BPCS參與了初始事件，BPCS只允許參與1個IPL。

3)對于同一個事故場景，如果BPCS已經參與2個獨立保護層或者參與了1個獨立保護層加初始事件，SILa不允許再由BPCS實現，SILa應由SIS實現，或者經ALARP分析可以忽略這部分風險。

4)采用使能條件和修正因子應特別注意前提條件，應全面考慮，并避免重復削減。

12 結束語

風險辨識和風險降低措施的分析和評估是為了將初始風險降低到可接受風險。

確定SIL等級的方法有多種，包括安全矩陣法、風險圖法、保護層分析(LOPA)法等。石油化工通常采用LOPA分析法。

LOPA分析應按照標準給出的方法論，按照一定的程序，對需要分析的場景進行合理和客觀的分析，比較后果可容忍頻率和未考慮SIS保護層的后果發生頻率，確定是否需要SIF進行進一步的風險降低，需要SIF時可以確定SIF的SIL等級。