LOPA及其IPLs的确定

1/31LOPA及其独立保护层安全仪表系统（SIS）2/31主要内容安全仪表系统（SIS）4如何确定交叉保护层的“贡献”3KeywordsforIndependenceandFunctionality1LOPA简介2独立保护层（IPLs）3/31安全仪表系统（SIS）20世纪80年代末：美国化学品制造商协会出版了《责任关怀——过程安全管理实施准则》，书中建议将“足够的保护层”作为有效的过程安全管理系统的一个组成部分。1993年：美国CCPS《化工过程安全自动化指南》，书中建议将LOPA作为确定安全仪表功能完整性水平的方法之一。2001年：CCPS发布了《保护层分析——简化的过程风险评估》，书中详细地讨论了LOPA的基本规则和应用。2003年：国际电工委员会（IEC）发布了IEC61511：过程工业领域安全仪表系统的功能安全，将LOPA技术作为确定安全仪表系统完整性水平的推荐方法之一。发展历程1什么是LOPA4/31安全仪表系统（SIS）1什么是LOPA5/31安全仪表系统（SIS）1什么是LOPA□保护层分析（LOPA）是在定性危害分析的基础上，进一步评估保护层的有效性，并进行风险决策的系统方法。□其主要目的是确定是否有足够的保护层使风险满足企业的风险标准。□基于事故场景的一种半定量分析方法。□LOPA是一种简化的过程风险评估工具。6/31安全仪表系统（SIS）2LOPA的步骤a)识别事故场景的后果b)选择待分析的事故场景c)识别事故场景的初始事件（IE）及其频率d)识别独立保护层（IPL）并确定其PFD值e)确定事故场景的剩余风险f)根据计算结果进行事故场景的风险评价7/31主要内容安全仪表系统（SIS）4如何确定交叉保护层的“贡献”3KeywordsforIndependenceandFunctionality1LOPA简介2独立保护层（IPLs）8/31安全仪表系统（SIS）1什么是IPLs□独立保护层是一个设备、系统或者一种行动，可用于防止事故场景发展成为我们不期望后果，并且与该场景的初始事件和其他独立保护层均保持独立性。独立保护层的有效性和独立性必须是可审核的。□一个事故场景有很多安全防护措施，LOPA要对这些防护措施进行分析来确定其是否是独立保护层进而确定其PFD,确定独立保护层这首先得了解独立保护层的性质然后根据性质确定是不是独立保护层。9/31安全仪表系统（SIS）2IPLs的性质独立性（Independence）有效性（Functionality）完整性（Integrity）可靠性（Reliability）可审核性（Auditability）通道安全（Accesssecurity）变更管理（Managementofchange）2001年：CCPS发布了《保护层分析——简化的过程风险评估》，书中详细地介绍了IPLs的七种性质。10/31安全仪表系统（SIS）独立性（Independence）□保护层的独立性要求保护层不会受危险的初始事件和其他保护层失效的影响。□化工企业保护层作为IPL时，应满足以下基本要求：独立性：——应独立于初始事件；——应独立于同一场景中的其它独立保护层。11/31安全仪表系统（SIS）2IPLs的性质独立性（Independence）有效性（Functionality）完整性（Integrity）可靠性（Reliability）可审核性（Auditability）通道防护（Accesssecurity）变更管理（Managementofchange）12/31安全仪表系统（SIS）有效性（Functionality）□化工企业保护层作为IPL时，应满足以下基本要求：有效性——应能检测到响应的条件；——在有效的时间内，应能及时响应；——在可用的时间内，应有足够的能力采取所要求的行动。——应满足所选择的PFD的要求。13/31安全仪表系统（SIS）2IPLs的性质独立性（Independence）有效性（Functionality）完整性（Integrity）可靠性（Reliability）可审核性（Auditability）通道安全（Accesssecurity）变更管理（Managementofchange）14/31安全仪表系统（SIS）□化工企业保护层作为IPL时，应满足以下基本要求：——完整性：考虑到保护层的设计和管理，相关的风险降低可以被合理预期——可靠性：在规定的条件下和规定的周期内按预期运作的可能性15/31安全仪表系统（SIS）2IPLs的性质独立性（Independence）有效性（Functionality）完整性（Integrity）可靠性（Reliability）可审核性（Auditability）通道安全（Accesssecurity）变更管理（Managementofchange）16/31安全仪表系统（SIS）□化工企业保护层作为IPL时，应满足以下基本要求：——可审查性：应有相应的信息资料，以说明保护层的设计、检查、维护、测试和运行活动能够使保护层达到IPL的要求——通道安全：应使用管理控制或技术手段减少非故意的或未授权的变动——变更管理：设备、操作程序、过程条件等任何改动应执行变更管理程序，以满足变更后保护层的IPL要求17/31主要内容安全仪表系统（SIS）4如何确定交叉保护层的“贡献”3KeywordsforIndependenceandFunctionality1LOPA简介2独立保护层（IPLs）18/31安全仪表系统（SIS）KeywordsforIndependenceandFunctionality□文章作者给出了用关键词的方法来检验独立保护层的独立性及有效性。其关键词如下表所示：3Ds4EnoughsTheBig“I”—IndependentDetectDecideDeflectBigenoughFastenoughStrongenoughSmartenoughOfinitiatingcauseOfOtherIPLs19/31安全仪表系统（SIS）案例应用20/31安全仪表系统（SIS）□上图是假设的向储罐中注入有毒化学液体的的简单工艺流程图。罐车每月的第一天把有毒化学品运送来然后注入储罐中，工作人员在一边观察罐上的液位计（LG），当液位达到一定程度后工作人员关闭输送泵；当工作人员因某种原因未观察到液位计变化或看到后未做出相应的措施导致液位继续上升，那么来自液位计的高液位信号会被送到逻辑解算器（logicsolver），逻辑解算器处理后会发出信号关闭管线上的阀。□事故场景：有毒液体溢出储罐□初始事件：每月向罐中填充有毒液体□保护层：1.工人操作保护2.液位控制回路21/31安全仪表系统（SIS）液位控制回路有效性检查的问题：3Ds:□液位计LG能正确读出并有效的显示出液位变化吗？（Detect）□逻辑解算器（logicsolver）能决定关断阀的关闭吗？（Decide）□关断阀能阻止液体的溢流吗？（Deflect）22/31安全仪表系统（SIS）4Enoughs□液位计能及时检测到液位变化并将信号传给逻辑解算器吗？逻辑解算器能及时处理信号并传给关断阀吗？关断阀能及时关断吗？（Fastenough）□液位计、逻辑解算器及关断阀质量达标吗？（Strongenough）□这个系统相对来说比较简单，对于复杂的系统，比如安全仪表系统，我们必须问一问系统中各个部件反应都灵敏吗？（Smartenough）23/31安全仪表系统（SIS）液位控制回路独立性检查的问题：□工人操作保护层与每月向储罐中填充有毒液体之间独立吗？□液位控制回路与每月向储罐中填充有毒液体之间独立吗？□工人操作保护层与液位控制回路之间相互独立吗？24/31主要内容安全仪表系统（SIS）4如何确定交叉保护层的“贡献”3KeywordsforIndependenceandFunctionality1LOPA简介2独立保护层（IPLs）25/31安全仪表系统（SIS）1交叉保护层□实际中工艺过程中有很多保护措施之间“相互依赖”，比如它们之间共享组件，我们把这种共享组件的保护措施称作交叉保护层。比如上面我们已经确定出来，工人操作保护层和液位控制回路保护层之间因为共享液位计而“相互依赖”。□对于这种交叉保护层如果我们按照LOPA的独立保护层计算，无疑会夸大保护层的“贡献”而低估的系统的风险水平；但如果我们只考虑其中一个保护层，就高估了系统的风险水平而产生不必要的安全成本。那么我们该如何确定交叉保护层的“贡献”呢？26/31安全仪表系统（SIS）故障树27/31安全仪表系统（SIS）案例应用28/31安全仪表系统（SIS）□顶事件：顶上事件为有毒液体溢出。□中间事件有两个：工人操作保护层失效；液位控制保护层失效，而且这两个事件都发生时顶上事件才发生。□对于工人操作失效事件，其原因事件为液位计失效，人的不可靠性。□对于液位控制措施失效事件，其原因事件有液位计（LG）失效或逻辑解算器失效或关断阀失效。29/31故障树示意图安全仪表系统（SIS）30/31安全仪表系统（SIS）31/31安全仪表系统（SIS）