李荣强，姜巍巍，曹德舜

(中国石化安全工程研究院，山东青岛 266071)

保护层分析在确定安全完整性等级中的应用

李荣强，姜巍巍，曹德舜

(中国石化安全工程研究院，山东青岛266071)

探讨保护层(LOPA)分析步骤、初始事件频率、事故后果、独立保护层识别等，依据风险矩阵合理地确定目标安全完整性等级(SIL)，提高了石化装置危险性分析过程的合理性、准确性和科学性，进而提高安全仪表系统(SIS)的可靠性和可用性。

安全仪表系统 安全仪表功能 安全完整性等级 保护层分析

随着科技的进步，石化装置越来越大型化，工艺过程越来越复杂，对环境保护和人身安全的要求也越来越高，安全性变得尤为重要。因此，为了防止事故的发生，减少由此带来的损失，保证企业的安全稳定运转，一套能够检测装置的异常，并对可能发生的潜在危害作出相应动作的系统是必不可少的。安全仪表系统正是基于该目的被提出来的。

安全仪表系统要具有正确的功能和良好的可靠性。正确的安全功能可以通过充分的危险与风险分析来辨识和定义；可靠性的指标是安全完整性等级，代表了过程风险降低的数量级。石油化工行业最常用保护层分析方法确定安全仪表系统安全仪表功能的目标SIL。

1 安全完整性等级(SIL)

国际功能安全标准IEC61508/61511给出了安全完整性等级的定义[1-2]，指在规定的条件下、规定的时间内，安全相关系统成功完成所要求的安全功能的概率，是一个离散的等级。SIL是安全仪表功能可靠性的表征。对于低操作模式，SIL也就是在要求安全系统动作时其功能失效概率的倒数，SIL等级划分见表1。IEC81511推荐使用风险图、风险矩阵和保护层分析(LOPA)方法确定石化装置安全仪表系统(SIS)安全仪表功能(SIF)的安全完整性等级(SIL)。

2 保护层分析(LOPA)

LOPA是一种半定量的风险分析方法，通常使用初始事件频率、后果严重程度和独立保护层(IPLs)失效频率的数量级大小来近似表征场景的风险。LOPA的主要目的是确定是否有足够的保护层以防止意外事故的发生。LOPA作为半定量的风险分析方法相比于定量风险分析花费的时间较少，与定性方法相比具有更可靠的风险判断。

表1 安全完整性等级划分

注：风险降低因子(RRF)[3]——将装置或设施现有风险降低到可容忍风险所需的风险降低水平，也称为风险降低因子，RRF=1/PFDavg。

2.1 独立保护层

如图1所示，一个场景可能需要一个或多个类型的保护层，这取决于过程的复杂性和潜在的后果严重性。对于特定的场景，LOPA提供了一致的基础，判断是否有足够的独立保护层来控制事故的风险。

图1 事故场景中的保护层

一般定义下的工程上降低风险的保护层应该满足特异性、独立性、可靠性和可审查性的标准[4]。

2.2 LOPA分析步骤

LOPA一般是在过程危险分析(PHA)/危险与可操作性分析(HAZOP)之后进行，保护层分析步骤如图2所示。

2.3 记录表格

LOPA评估事故场景发生的频率和后果严重程度，计算现有独立保护层的失效概率，确定中间事件发生的可能性，与企业可接受风险标准相比，确定由SIFs提供的额外风险降低。

图2 保护层分析步骤

3 LOPA实施步骤

3.1 确定初始事件频率

LOPA的每一场景都有单一的初始事件，初始事件频率通常以每年发生的次数表示。初始事件一般分为3个类型：外部事件、设备故障、人的失效。

为确定一致的初始事件频率，有许多的失效数据来源，主要包括[5]：①行业数据，如《化工过程定量风险分析指南，第二版》(CCPS，2000)等；②公司的经验，公司具有充足的历史数据可用来进行有意义的统计分析；③供应商的数据。

3.2 确定事故后果和目标风险

通常从PHA/HAZOP分析结果中导出事故后果，主要包括人员伤害风险、环境影响风险和财产损失风险3个方面。在LOPA中，对于后果，将评估其严重性的数量级大小。LOPA分析过程中，分析团队应该确定每个事故场景在安全、环境和财产方面减缓事件的可能性。依据企业风险矩阵，确定风险降低目标(TMEL)。表2给出了中国石化HSE风险矩阵中的人员伤害风险对应的TMEL[6]。

3.3 场景频率计算

使用初始事件频率、IPLs的PFD值，计算减缓后的场景频率。以下为特定后果终点释放场景频率计算的常用方法，见公式(1)。

表2 风险降低目标(安全)

(1)

PFDij——初始事件i中第j个阻止后果C的独立保护层要求时的失效概率(PFD)。

进行场景频率计算，还应考虑使能事件(点火概率、人员暴露概率等)对后果频率的影响，将释放场景的频率乘以关注结果的概率，对方程1进行修正。以人员伤害后果为例，将得出的后果发生的频率与风险降低目标进行对比，便可得出SIFs的PFD值，进而确定SIFs的目标SIL。

(2)

式中：Pig——点火概率；

Pex——人员出现在影响区的概率；

Ps——伤害发生的概率。

3.4 典型SIF分析

以某加热炉燃料气总管压力低低联锁为例，当压力变送器PT检测到压力低于联锁设定值时，切断燃料气进料并熄灭长明灯，防止因炉子熄火而出现加热炉内燃料气积聚而导致的遇明火爆炸。LOPA分析见表3。

表3 LOPA分析

表3中：

b)后果：燃料气中断后重新供应，在炉膛内积聚，遇明火发生爆炸，可能造成1-2人死亡，根据表2可以确定后果等级为D；

c)目标风险：由表2可以得出TMEL=10-6；

d)促成后果的条件：Pig=1；Pex=0.1；

e)独立保护层：设置有压力低报警，PFD1=0.1,除此之外无其他独立保护层；

h)目标等级：由表1得出，PFDSIF对应SIL2等级。

按照上述程序，可以确定出环境影响风险对应的EIL等级及财产损失对应的AIL等级。对比SIL、EIL和AIL，选取等级最高的作为SIF回路的最终SIL等级。

4 结论

采用LOPA的半定量特性，不但可以评估现有保护措施是否足够、剩余风险是否可以接受及是否需要增加新的保护措施，还给定了场景频率和后果的具体数值，为企业提供了更可靠的风险判断。LOPA可以帮助企业决定操作、维护以及相关培训的重点应该放在哪些防护措施上。

相对于风险图和风险矩阵法，采用LOPA分析方法确定SIFs的目标SIL，提高了分析过程的客观性、准确性和科学性。确定SIFs的目标SIL是安全仪表系统安全生命周期的重要环节，能够指导企业合理设计、操作和维护安全仪表系统，提高装置安全稳定运行水平。

[1] IEC61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related System [S].

[2] IEC61511 Functional Safety: Safety Instrumented System for the Process Industry Sector [S].

[3] Alejandro C, Torres-Echeverria. On the use of LOPA and risk graphs for SIL determination[J]. Journal of Loss Prevention in the Process Industries, 2015:1-11.

[4] 阳宪惠，郭海涛.安全仪表系统的功能安全[M].北京：清华大学出版社，2007：20-2.

[5] 白永忠，党文义，于安峰.保护层分析——简化的过程风险评估[M].北京：中国石化出版社，2010:52-55.

[6] Q/SH 0560 HSE风险矩阵标准[S].

ApplicationofLOPAinDeterminationofSafetyIntegrityLevel

Li Rongqiang, Jiang Weiwei, Cao Deshun

(SINOPEC Research Institute of Safety Engineering, Shandong, Qingdao 266071)

In this paper, the steps of analysis of protective layer (LOPA), initial event frequency, accident consequence and independent protection layer identification are discussed. The safety integrity level (SIL) of the target is reasonably determined according to the risk matrix, and the rationality, accuracy and scientificity of the risk analysis process is improved, and thus the safety instrumentation system (SIS) reliability and availability are also enhanced in the same time.

safety instrumented system; safety instrumented function；safety integrity level；layer of protection analysis

2016-08-05

李荣强，工程师，2011年毕业于中国石油大学(华东)化工过程机械专业，现在中国石化安全工程研究院从事功能安全技术方面的工作。