HAZOP和LOPA分析和应用

HAZOP和LOPA分析和应用二○二一年四月培

训纪律严禁吸烟请关闭手机或将手机置于振动位置服从培训组织者的统一安排和管理有任何问题我们讨论HAZOP和LOPA分析过程和注意事项了解PHA

和HAZOPHAZOP和LOPA的基本方法HAZOP和LOPA的应用培训目标本课程结束后，学员可以了解：培训内容一、PHA简单介绍及应用二、HAZOP介绍三、HAZOP分析过程和注意事项四、LOPA介绍五、LOPA分析和应用一、PHA简单介绍及应用变更管理事故管理承包商机械完整性培训开车前安全审查工艺安全信息操作程序工艺危害分析符合性审计商业机密应急预案与反应动火作业管理员工参与工艺安全管理OSHA

PSM受限空间进入管理能量隔离工艺危害分析（PHA）目的：7是使用一些列方法，进行系统地工艺过程危害识别，评估和潜在可能导致人员伤害，影响环境、财产和业务的火灾、爆炸、有毒物质泄露释放风险

，制定合适的保护措施控制风险，是工艺本质安全管理的关键要素；在开展PHA的同时，也是对工艺安全管理体系中不同要素的执行以及执行情况的审核和检查，例如PSI,MOC,PSSR,操作程序，事故管理、培训以及设备完整性等要素：因为在开展PHA时，必须要有装置最新的PSI；对在役装置做PHA复核时必须要有之前MOC、事故，操作程序等资料和信息在开展PHA过程中，所有IPL安全设施是考虑完好起作用的情况下。项目阶段：识别与工艺过程相关联的潜在危险性和可操作性问题；风险等级的评估来分析设计的保护措施是否足够

；提出建议，最大科学限度地降低风险

（ALARP）运营阶段：确保PSM体系在运营阶段有效地管理风险；提出风险管理的优先级；工艺设施、设备的变更危害识别和风险评估；工艺系统出现故障或异常情况需要进行风险评估；工厂设施拆除或迁移8为何要在设计阶段进行PHA分析？--洋葱模型安全管理是从本质安全管理开始9课题名称为何要在设计阶段进行PHA分析？工艺装置的建设阶段：（预可研）可研

工艺包设计

（总体设计）

基础工程设计

详细工程设计

施工

试车（单机、联动）

投料试生产

正常运行在设计阶段考虑本质安全设施比在运行阶段即省事也省钱系统识别在役装置风险,为隐患治理工作提供了依据风险分级与管理为操作规程的修改完善提供依据加深对工艺过程的认识，积累经验为操作人员的培训提供教材是深度的培训教材完善工艺安全信息在役装置为什么要开展PHA分析工艺危害分析（PHA）方法：定性方法：假设分析

（What

If）

：针对工艺和设备、人为故障检查表（

Checklist）：针对工艺和设备、人为故障故障类型与影响（FMEA）：主要针对设备、仪表故障分析危险与可操作性研究（HAZOP）：针对工艺流程故障树/事件树

（FTA/ETA）：针对工艺和设备、人为故障和事故调查程序PHA：针对高反应性工艺开停车操作程序半定量：保护层分析（LOPA）：在定性危害分析的基础上，进一步评估保护层的有效性。主要确定是否有足够的保护层满足企业风险可接受标准。二、HAZOP介绍

国务院安全生产委员会《国务院委员会办公室关于进一步加强危险化学品安全生产指导工作的指导意见》（安委办〔2008〕26号）：组织有条件的中央企业应用危险与可操作性分析技术（HAZOP），提高化工生产装置潜在风险辨识能力

2010年11月4日，国家安全监管总局与工业和信息化部发布了“关于危险化学品企业贯彻落实《国务院关于进一步加强企业安全生产工作的通知》的实施意见”

：企业要积极利用危险与可操作性分析（HAZOP）等先进科学的风险评估方法，全面排查本单位的事故隐患，提高安全生产水平；大型和采用危险化工工艺的装置在初步设计完成后要进行HAZOP分析。

安监总危化〔2007〕255号

《GB/T35320-2017》HAZOP分析应用指南HAZard

and

OPerabilityStudy危险（害）与可操作性研究

HAZard

andOPerabilityAnalysis

危险（害）与可操作性分析它是英国帝国化学工业公司(ICI)于1974年针对化工装置开发的一种危险性评价方法。它的基本过程是以关键词为引导，找出系统中工艺过程或状态的变化，即偏差，然后再继续分析造成偏差的原因、后果及可以采取的对策。我是一种基于风险的安全分析方法！我能提供过程系统安全性的证明文件！我是一种团队活动，需要集体智慧！我的方法简单、比较耗时、但很省钱！我能解决一些重要的安全问题，但不能包打天下！哪里会出错？如何出的错？有何保护措施？我是谁？有关HAZOP的几个关键词课题名称HAZOP是怎么来的？诞生在英国，由化学工程师T.克莱兹在41岁时发明；1963年，首次在帝国蒙德化学公司（ICI）新建苯酚工厂应用，在公司内部摸索和应用了10年之后才在英国普及推广；开始不叫“HAZOP”，其应用在ICI公司经历了三个阶段：早期：

“关键审查”，寻找“工艺偏差”和“替代措施”（Critical

Examination）；中期：

“可操作性研究”

（OperabilityAnalysis）；后期：

“危险性分析” （Hazard

Analysis）。课题名称1974年，英国化学工程师协会（IChemE）举办过多次“可操作性研究和危险分析”技术的培训和推广1977年，英国化学工业协会（CIA）首次发布“可操作性研究和危险分析实施技术指南”1983年，T.

克莱兹在英国化学工程师协会（IChemE）培训课上首次命名为“HAZOP”（危险与可操作性分析）

1983年之后，HAZOP是英国化学工程专业学位的必修课之一HAZOP是怎么来的？课题名称克莱兹教授写的

世界第一部HAZOP

著作-

19832008200820051999HAZOP是怎么来的？19HAZOP的魅力所在魅力之一：集体智慧魅力之二：引导词激发创新魅力之三：系统化审查……20课题名称魅力之一：集体智慧实施关键：通过审查会议的方法实现集体智慧；依据和基础：相关的多种专业具有不同知识背景的人员所组成的分析组一起工作比他们独自一人单独工作更具有创造性与系统性，能识别更多的问题。头脑风暴（Brain

Storming）HAZOP的魅力所在21课题名称 2常见参数：流量、液位、压力、温度、组成、时间、速度、转速、频率 ……化工HAZOP偏离句法（组合法得到合理偏离）:例如：增加（MORE）

＋

压力（PRESSURE）

＝伴随（ASWELLAS）＋

相（

PHASE）

＝早（EARLY） ＋

操作（OPERATION

）＝无（NO） ＋ 流量

（FLOW） ＝ 无流量压力高两相操作超前魅力之二：引导词激发创新常用引导词：无、增加、减少、早、晚、先、

后、伴随、部分、逆向、异常 ……引导词

＋参数

＝

偏离HAZOP的魅力所在23课题名称 2引导词是打开创新思维的：引导词 偏离 双向分析魅力之二：引导词激发创新（续）找到危险原因；找到危险不利后果；揭示安全措施作用；找到事故变化路径；找到妨碍有效操作的原因；找到妨碍有效操作的后果；找到影响产品产量和质量原因；适合于连续过程；适合于间歇过程；适合于设计阶段和在役过程；适合于机械系统；适合于电子信息系统；……偏离是故障传播的推动力查找事故的完整传播路径HAZOP的魅力所在HAZOP偏离及其相关引导词的示例24课题名称HAZOP偏离及其相关引导词的示例25课题名称课题名称 26魅力之三：系统化审查系统化审查实施要点：遍历过程所有部分（部件），用尽所有可行的引导词。“HAZOP是一种技术，它提供给人们机会，使他们的想象力能自由地发挥，以便考虑所有的危险或可操作问题。由于已经通过系统化的方法对每一个管线以及每一个危险源都依次考虑过了，从而减少了某事物出错的机

会。”—

T.克莱兹（1999）HAZOP的魅力所在27HAZOP

分析从生产系统中的工艺参数出发来研究系统中的偏差，运用启发性引导词来研究因温度、压力、流量等状态参数的变动可能引起的各种故障的原因、存在的危险以及采取的对策。HAZOP分析所研究的状态参数正是操作人员控制的指标，针对性强，利于提高安全操作能力。HAZOP分析结果既可用于设计的评价，又可用于操作评价；即

可用来编制、完善安全规程，又可作为可操作的安全教育材料。HAZOP分析方法易于掌握，使用引导词进行分析，既可扩大思路，又可避免漫无边际地提出问题。

HAZOP的理论依据。事故发生过程图危害初始事件工艺偏离危险事件后果OR什么是假定事故情景 (Scenario)?一个事件或一系列意外事件，它们导致不希望的结果。包含的两个基本要素:初始事件:

事件的开始后果：如容器超压破裂,

人员中毒初始事件，Pi后果，Pc=Pi每一起初始事件对应一种假定事故情景HAZOP分析案例异丁烯槽罐车卸车到储槽HAZOP分析（部分示例）HAZOP

分析记录表引导词偏差原因后果SLR安全措施S2L2R2建议项没4.没有流4.1槽车中4.1.1.

泵会损52144.1.1.1.

泵P10152144.1.1.1.

在大修有量：从异没有物料坏；密封处可与液位音叉期间，检查泵丁烯槽车（卸空了）能损坏，异丁XSL1010A联锁P101入口管道上经过泵备注：工厂烯泄漏到大气检测到泵入口管的液位音叉P101

至储罐V100有地磅，不考虑空车进中，可能被引燃，引起着火道内液位过低自动停泵。但是目XSL1010A的安装位置是否合适；没有流量入工厂的情甚至爆炸，导前可能是因为安如果不合适需要形。致1-2人伤亡。装位置不恰当，调整，确保该泵容易出现频繁报入口管道内缺液警的情况（必须体时联锁停泵切换到手动状态（防止泵损坏）。才能确保正常生音叉宜安装在泵产）。入口过滤器和泵入口之间认识几个HAZOP分析常用名词节点

节点是在流程图中所对应实际过程的一个位置，在该位置上

可以通过施加偏离进行安全分析。

或者解释为，节点是一个点，在该点上的过程参数能够识别HAZOP评价意图。节点一般由组长在HAZOP团队会议之前选定。节点的例子有：从一个过程向另一个过程输送物料的管道；一个储罐或反应器参数参数是有关过程的，用来描述它的物理、化学状态或按照什么规律正在发生的事件。参数分为具体参数和概念参数两类：具体参数：例如，压力、温度、液位、流量、组成、转速、时间、含氧量等；概念参数：例如，反应、混合、汽化、结晶、精馏、吸收、萃取等。理论依据：工艺流程的状态参数（如温度、压力、流量等）一旦与设计规定的基准状态发生偏离，就会非常可能发生问题或出现危险。33课题名称HAZOP分析术语意图意图解释为系统在该节点上期望如何操作。它提供了一个参考点以便施加偏离。引导词引导词是一个简单的词或词组，用来限定或量化意图，并且联合参数以便得到偏离。常见的引导词有：无、增加、减少、部分、异常、伴随、逆向、早、晚、超前、迟后等。偏离偏离是对评价意图或设计意图的偏离，它们是通过系统地使用引导词对每一个节点的每一个参数加以组合得到有实际意义的偏离。例如：

温度过高/底；流量过小/大；流速过低/高；反应异常；含氧量过低/多高HAZOP分析术语（续）原因原因是偏离发生的缘由。原因可以是：设备失效、人为失误或外部事件。

不是所有可能的偏离都有实际意义。后果后果是偏离所导致的结果。例如：储罐压力超高导致有毒物料的释放。安全措施

在所评价位置的防止措施或减缓措施以及管理系统，该措施减少了偏离发生的概率或减缓了后果的严重度。常见的安全措施有：安全阀；报警系统；联锁。建议安全措施的行动用来防止或减缓一个偏离的后果，或特殊的偏离评估所需要的进一步的信息。三、HAZOP分析步骤和过程HAZOP分析的三大步骤搜集资料开讨论会编写报告37课题名称定义准备分析文档和跟踪确定分析范围和目标；确定职责；选择分析小组（5-7人）；组长记录员组员HAZOP分析步骤建立HAZOP分析小组主持人/记录员：应具备工业安全背景、具有HAZOP分析经验的资深工程师担任；设计工程师：熟悉基本设计；工艺工程师：熟悉生产线、工艺控制流程图、基本设计规范；操作人员： 熟悉标准操作步骤及标准；仪表工程师：具备设备及控制系统选择经验及知识；设备工程师:

熟悉设备原理、设备安全管理。HSE工程师：

了解安全标准、法规、安全管理等；其他人员……HAZOP会议组长近期5次以上组长经历；有综合专业特长和实际工作经历；善于启发集体智慧；善于把握分析深度和进度；善于启发和把握评价的客观性和真实性。从他人的立场看问题；奉献真诚的感激和赞扬；给予巨大的热情和动力；尊重他人；批评决不能过分；给人们以好的声誉；保持乐观和公平的意识。课题名称定义准备分析文档和跟踪HAZOP分析步骤制定分析计划；收集分析资料；培训分析人员；安排时间进度表；会议室准备进度表技术资料管道和仪表控制流程图（P&ID）；工艺原则流程图(PFD)；物料数据表或物料平衡图；装置及设备平面布置图；工艺说明及操作规程、控制及停车原理说明；管道数据表、设备数据表；危险化学品安全技术说明书；联锁因果关系图、安全泄压系统方案；准备HAZOP分析资料在役装置额外资料还需要如下：装置历次安全评价报告（包括HAZOP分析报告）；相关的MOC记录

；历次事故（事件）记录及事故调查报告；装置的操作规程和相关规章制度等资料；设备检定报告；其它相关资料。准备HAZOP分析资料-

-在役小组人员讨论前的培训在HAZOP正式会议开始前，由小组的主持人负责对小组成员进行HAZOP方法的培训，培训内容：HAZOP分析方法介绍；一起热身来理解HAZOP分析方法；HAZOP工具软件的使用；讨论过程中注意事项等。定义准备分析文档和跟踪将系统分解为若干部分（划分节点）；选择某一部分并定义分析目的；使用选定的引导词与参数构成偏离；从偏离双向识别原因和后果；确定其中是否存在重大问题；识别其中保护、检测和指示装置；确定可能的补救/减缓措施；对建议措施达成一致意见；实施“遍历”和“用尽”双重循环审查。跟踪记录会议讨论HAZOP分析步骤选择节点或操作步骤解释工艺指标或操作步骤选择某工艺参数或任务使用引导词与工艺参数建立有意义的偏差分析偏差的可能原因分析偏差结果(假设所有防护失效)识别已有避免偏差的可能原因根据后果、原因及保护估计风险提出建议措施下一个引导词下一个工艺参数下一个节点或操作步骤HAZOP分析步骤HAZOP分析--常见工艺节点类型表序号节点类型序号节点类型1管线10热交换器2泵11软管3分批反应器12步骤（八关键词法）4连续反应器13步骤（三关键词法）5塔/槽/容器14作业详细分析6塔15公用工程和服务设施7压缩机16其他8鼓风机17以上基本节点的合理组合9课题名称熔炉，炉子1846HAZOP分析--节点选定原则节点范围不能过粗节点范围不能过细管线节点：定义为物料流动通过且不发生组分和相态变化

的、具有共同设计意图的一件或多件工艺设备（如过滤器、泵等）容器节点：定义为储存反应或处理物料的容器，在其中材料可发生或不发生物理/化学变化HAZOP分析--关于顺控流程控制工艺危害分析时，还需要对顺控步骤的先后顺序发生偏差进行分析，例如有的物料或催化剂加料顺序HAZOP分析--节点分析确认节点的设计意图列出重要参数和引导词确定偏差并记录分析偏差的原因确定偏差的后果 和风险列出现有保护措施若现有保护措施不充分，制定改进措施建议HAZOP分析--风险矩阵（例子）事件可能性Event

Likelihood

↓ 事件严重性Event

Severity

→1.

Low低2.

Minor较低3.

Moderate中等4.

Severe严重5.

Major重大1.

非常低可预见的事件是可信的非常不可能发生，需多项失效例外情况，可能性<1%1Level

1广泛可接受的按需要行动2Level

1广泛可接受的按需要行动3Level

1广泛可接受的按需要行动4Level

1广泛可接受的按需要行动5Level

1广泛可接受的按需要行动2.

Low

低事件曾在行业内发生，但在工厂生命周期内不太可能发生，需二个系统失效不太可能发生，可能性<30%2Level

1

广泛可接受的按需要行动4Level

1

广泛可接受的按需要行动6Level

1

广泛可接受的按需要行动8Level

1

广泛可接受的按需要行动14Level

3

较大的90天内行动3.Medium中等类似事件可能发生，并且在工厂曾经发生可能发生可能性30%<x<60%3Level

1

广泛可接受的按需要行动6Level

1

广泛可接受的按需要行动9Level

1

广泛可接受的按需要行动12Level

2按最低合理可行原则允许的180天内行动15Level

3

较大的90天内行动4.High高在工厂生命周期内曾发生过的需记录的事件或未遂事件很可能发生，可能性60%<x<90%4Level

1广泛可接受的按需要行动8Level

1广泛可接受的按需要行动12Level

2

按最低合理可行原

则允许的180天内行动16Level

3

较大的90天内行动s20Level4

重大的立即行动5.Very

High

非常高经常性发生的事件，肯定会发生预期会发生，可能性>90%Level

1等5 级1Broadly

Acceptable广泛可接受的Action

asrequired

按需要行动10Level

2按最低合理可行原则允许的180天内行动15Level

3

较大的90天内行动20Level4

重大的立即行动25Level4

重大的立即行动51根据AQT3049-2013:

HAZOP分析中也可以记录严重程度、风险等级HAZOP分析--加热炉HAZOP报告案例52课题名称定义准备分析文档和跟踪记录分析情况；签署分析文档；完成分析报告；跟踪措施的执行情况；需要时重新分析系统某些部分；完成最终输出报告。HAZOP报告HAZOP分析步骤HAZOP的跟踪和关闭在HAZOP审查完成后，由项目经理等负责完成如下关闭任务：向建议的负责人追踪每一条建议的落实情况、关闭状态。

召开HAZOP建议的关闭会议，一般由全体成员参加，对HAZOP报告逐条进行验证。全部建议关闭后，签署终版的HAZOP报告，经业主书面认可，该项工作正式结束。保留记录。要根据项目要求对HAZOP报告和审查用的P&ID等资料进行归档保存。HAZOP分析注意事项

初始事件

（原因）、危害或工艺偏离和危险事件需要考虑具体；现有措施需要描述清楚明确；建议项需要考虑清楚目的；建议项涉及行动项不在HAZOP中讨论；HAZOP分析中如果发现现有的SOP、报警设定等有偏差，即便是低风险也可以提出；HAZOP偏差原因考虑中一般不考虑两种失效同时发生导致的后果。四、LOPA介绍常见防止性安全措施防止措施在初始事件发生后，过程处于非正常工况或失控状态时介入，它的作用是当非正常过程条件消除时，恢复控制或取得安全状态，于是中断了事故的传播，并且避免了事故发生。防止措施举例：BPCS（基本过程控制系统）操作工恢复工况的作用操作工响应报警的作用仪表的防护作用火源控制系统紧急排放系统熄火、冷却系统常见减缓性安全措施减缓措施的作用是减小一个事故后果的严重度，是紧跟在失事点后面的那些安全措施。减缓措施的目标是检测和对紧急状态作出响应，其对失事影响的减缓是与没有安全措施的影响相比较而定。减缓措施举例：释放用安全阀喷水冷却系统爆炸容纳结构/阻挡墙火灾/释放/泄漏检测、报警仪溢出/气泡/蒸汽减缓系统阻火器、防火结构钢人员防护设施（防火服、防火头盔、过滤式呼吸器等）紧急响应（人员逃生设施）冲击阻力结构围堰、沙袋社会的应急反应工厂应急反应泄漏后的处置措施物理保护措施安全仪表系统

关键报警与人员响应BPCS：DCS及PLC等操作程序预防措施缓和措施安全管理是从本质安全管理预防工作开始59原因

Cause后果

Consequence负面事件

IncidentBPCS控制操作程序关键报警及响应安全仪表系统SIS泄压装置吸收系统个人防护预防事故的措施Preventative

Control

Measures减缓后果的措施Mitigated

Control

Measures预防措施和减缓措施危害识别与风险评估可能出现什么问题？出现问题时导致的影响？出现此情形的可能性？FTAHAZOP，What-if 等HAZOP, 后果分析等LOPA什么是LOPA？LOPA

=

Layer

Of

Protection

Analysis半定量的分析方法，简化的风险评估方法，只精确到数量级一种风险决策的工具通常在HAZOP等分析之后应用LOPA，也可以独立使用。LOPA只能分析单一的事故情景：即针对某个单一原因所导致的一种后果的情景。什么是LOPA：在定性危害分析的基础上，进一步评估保护层的有效性。主要确定是否有足够的保护层满足企业风险可接受标准。在工艺危害分析过程中出现一下情形，可以使用：事故场景后果严重，需要确定导致后果发生频率；确定事故场景的风险等级及事故场景中各种保护层降低的风险水平确定安全仪表功能（SIF）安全完整性等级；针对事故场景后果，确定过程中的安全关键设备或安全关键活动；63原因2原因Causes后果Consequences负面事件Incident预防事故的措施Preventative

ControlMeasures减缓后果的措施Mitigated

Control

Measures原因1原因3后果-2后果-1后果-3领结图分析五、LOPA分析和应用LOPA步骤图评估后果及严重性65确定事故情景确定初始事件的频率识别独立保护层IPL计算

事故情景的频率风险决策（评估）评估进一步的措施危害识别如HAZOPLOPA步骤图66HAZOP分析--

案例讨论真空系统

（部分示例）HAZOP

分析记录表引导词偏差原因后果SLR安全措施S2L2R2建议项额外122.

额外

组份：空气进入真空系122.1.

大修清洗反应釜后，对反应釜抽真122.1.1.

将空气抽入真空系统，真空系统内有甲苯蒸气5214122.1.1.1.

目前的做法：

先对反应釜氮气置换，然5214122.1.1.1.1在SOP中明确，当反应釜R0100经历维修和清洗，其中存在空气统。空，此时，反应釜内可能在真空系统内形成爆炸后才抽真空。的情况下，不能直接抽真空，必须先经存在空气。性混合物甚至发生内部爆炸过氮气置换氧含量小于5%（防止空气导致1人伤亡。进入真空系统）。122.1.1.1.2.安装含氧检测仪引导词偏差原因后果SLR安全措施S2L2R2建议项额外255.

异常流量：

循环水从E0500或冷冻水从E0520进入反应釜R0500.255.1.

冷凝器E0500或E0520内漏。255.1.1.

在减压蒸馏阶段，大量泄漏的情形：水进入D0520，罐D0520满罐，水可能从D0520溢流进入反应釜R0500，此时反应釜R0200的温度最高可达200degC,

水可能快速闪蒸5214255.1.1.1.

罐D0520有液位指示，高液位会报警。5214255.1.1.1.

在罐D0520顶部设置一个液位开关，并且将冷凝器E0500的进水管道和回水管道上的手阀都改成XV阀门，上述新增的液位开关触发时关闭此两个XV水阀，以切断冷却水;

在冷凝器的壳程管道上设置热释放阀，防止壳程的进出口阀门关闭导致壳程超压。需要在冷导致反应釜发生爆炸，可能导致多人伤亡。凝器E0520也落实此建议项。255.1.1.2.

增加联锁：当罐D0520液位福（LI0520A）时，自动关闭反应器R0500气相管道上的阀PV0500B。反应釜R0500（部分示例）LOPA分析--所需要的主要资料68工艺危害分析报告（如HAZOP Worksheets）P&IDs设计基础文件（如工厂平面布置图、安全阀计算书、设备规格文件等等）现有安全仪表系统的资料，包括：因果关系图 Cause & Effect Charts安全规格要求 Safety Requirement Specifications(SRS)LOPA分析--小组成员69组长（Facilitator）：对PHA包括LOPA方法有很好的掌握小组成员：工艺生产维护维修电仪及自控安全（工艺安全）70风险分析通常关注的后果包括：安全健康环境破坏财产损失企业声誉LOPA分析主要关心前三项后果LOPA分析

--后果71安全保护层也可能失效潜在的风险保护层较低的实际风险潜在的风险保护层失效失效较高的实际风险ALARP 原则 （as

lowasreasonablypracticable）10-7/yr

可以忽略的风险10-3/yr(workers)不可接受区域10-4/yr(public)ALARP区域普遍接受的区域10-6/yr(workers)10-6/yr(public)LOPA分析--风险矩阵可以容忍风险Tolerable

Risk内在风险Inherent

Risk风险保护层

Layers

of

Protection不考虑保护层时的后果及事故频率参照相关的标准（本公司的标准）保护层降低风险是否需要更多安全方面的投入？74LOPA分析--假定初始事件的确定与描述识别和记录从初始事件至最终后果的各个步骤

内在的逻辑联系：单元初始事件

…

IPLs …

对应的后果后果的描述与风险标准中的描述相一致75后果外部事件外力损坏极端气候条件外部影响设备故障控制系统故障机械故障人为因素操作错误LOPA

分析--导致事故的初始事件76LOPA

分析--确定初始事件的频率对于LOPA，每个事故情景都对应一个单一的初始事件相关数据来源行业协会的数据，如CCPS公司内部数据（操作和维修积累的数据）制造商的数据（通常较乐观的数据）初始事件说明故障频率(次/年)BPCS 基本控制仪表回路故障1x10-1Regulator 调节器故障1x10-1静设备故障（如换热器列管穿孔）1x10-2泵和其它转动设备故障LOPA

分析--1x10-1冷却水供应中断（如有多台水泵或不同驱动源的情形）1x10-1停电（如有多回路供电的情形）1x10-1安全阀意外开启1x10-2泵密封失效1x10-1装卸软管故障（泄漏）1x10-1LOPA

分析--初始事件的频率举例LOPA分析--时间因子78（Time

at

RiskFactor)间歇的操作假设卸料软管在其使用时的失效频率为1×10-1/yr, 卸料过程为2小时，每年卸料40次, 估算其失效频率?F=1×10-1/yr×40/yr×2hr/8000hr/yr=1×10-3/yrLOPA分析--暴露因子79（Occupancy

Factor)对于人员安全健康影响的分析，需要考虑暴露因素。例如，反应器泄漏有毒物质，如果操作人员处于一定距离的范围之外，并不会受到安全或健康的影响。假如反应器连续工作，操作人员每班（8小时）巡检在该区域的时间是1小时，则暴露因子是

1小时/8小时

=0.125.

需要乘以此因子对发生伤害的可能性进行修正。LOPA分析--引燃因子80Ignition

SourceFactor对于易燃物的泄漏，在考虑着火爆炸的后果时，需要根据被引燃的可能性进行修正。泄漏发生在远离工艺装置的区域（如罐区）：10%泄漏发生在一般工艺生产区域：10%，50%，100% 【参考实际情况】大量泄漏，靠近明火设备或因撞击发生泄漏：100%步骤-3：找出独立保护层及其响应失效率LOPALOPA

分析--什么是独立保护层（IPL）？82IPL = Independent Protection Layer。是一个设备、系统或行动，它能独立防止一种事故情景发展成不利的后果。只有当所有的独立保护层都失效，才会导致事故预期的后果。留意独立保护层与安全措施（safeguard）的区别。LOPA分析--独立保护层（IPL）初始事件，

Pi促成条件，Pe83IPL按预期起作用IPL不能预期运行由于IPL的存在,后果没有发生1-Pi*Pe*Pf后果，

Pi*Pe*Pf独立保护层IPL，

Pf同时满足以下条件的设备、系统或行动：有效性 - 能独立有效防止不利后果的发生。独立性 - 独立于初始事件，独立于已经作用于本事故情景的任何其他独立保护层或其组成部分。能验证 - 可以核查检验，即对于预防不利后果的功能和FPD所希望的效果，必须能够用某种方法加以检验。84LOPA分析--成为IPL的必要条件独立保护层的有效性85PFD = Probability of Failure on Demand （响应失效率）PFD = 0 ~ 1 之间的无量纲数据PFD数值越小，表明该独立保护层的可能性越高IPL的独立性独立性的要求：独立于初始事件与已经采纳的其它IPL没有关联对于同一个安全措施，在一种事故情景下是IPL，在另一种事故情景下可能不是IPL。常见的IPL类别本质安全的设计

（Inherent

SafetyDesign）

基本工艺控制（BPCS，BasicProcess

ControlSystems）操作人员根据关键报警采取的人为干预措施安全仪表

SafetyInstrumentedFunction（SIF）物理保护（安全阀和爆破片等）泄漏后保护系统（围堰、防爆墙等）操作规程（仅检查表确认的SOP才算有效）87通常不属于IPL的安全措施88培训（包括持证的培训）

操作程序和维修程序

（检查表格式的操作程序除外）日常的检验和测试维护和维修沟通与交流标志和标识消防和应急反应系统序号IPL独立保护层说明PFD Data

需要响应时的故障频率A围堰可以降低储罐满罐、破裂或泄漏时发生严重后果（大范围流散）的频率1 × 10–2B地下排放系统可以降低储罐满罐、破裂或泄漏时发生严重后果（大范围流散）的频率1 × 10–2C放空管（没有阀门）避免超压1 × 10–289IPL序号IPL独立保护层说明PFD

Data需要响应时的故障频率D防火层减少热的传导并为泄压及消防灭火提供更多的时间1×10–2E防爆墙或掩体可以限制爆炸能量和保护设备或建筑物等，以降低爆炸发生导致严重后果的频率1×10–3如果适当地采用，可以明显地降低相关假想事故情形的F本质安全的设计频率（注：有些公司通过本质安全设计来消除某些假想的事故情形，例如容器的设1×10–2计压力高于可能出现的最高压力）90IPL本质安全设计91例如：泵往储罐进料，储罐的设计压力高于泵出口能够达到的最大压力。本质上安全的作为IPL，PFD取

10-2 ~

10-4

公司的标准应该保持一致性！序号IPL独立保护层说明PFD

Data

需要响应时的故障频率G阻火器或隔爆器如果设计得当，并正确安装和维护，它们可以防止

从管道回火至容器或储罐。1×10–2H压力释放阀防止系统超压。它们的有效性与所使用的介质及经验密切相关。1×10–2I爆破片防止系统超压。它们的有效性与所使用的介质及经验密切相关。1×10–292IPL序号IPL独立保护层说明PFD

Data

需要响应时的故障频率J基本的工艺控制系统

（BPCS）如果与初始事件没有关联，可以视为独立保护层

(>1

×10–1

，IEC)。1

×

10–1K完全相同的冗余设备冗余的设备，能自动启动或者操作人员可以在要求的时间内启动。1

×

10–193IPL将BPCS（基本控制）作为IPL的探讨94BPCS作为IPL的条件95在同一事故情形中，IEC标准只允许BPCS最多担当一个IPL。另一种观点（做法）：如果初始事件及条件事件与BPCS无关，最多允许不超过两个IPLs（分别是独立的回路）。如果初始事件与BPCS关联（如BPCS故障），则只能再考虑一个由BPCS贡献的IPL。停车高限恢复正常安全仪表系统操作人员行动工艺参数低限时间事故正常范围DCS96关键报警SIS反应器TT3PowerSupplyCPUInputModuleOutput

ModulePT3PT2TT2TT1PT1PowerSupply97CPUInputModuleOutput

Module安全仪表系统SIS的应用高性能控制98低成本控制安全仪表系统LOPA分析--安全仪表功能安全仪表系统（SIS）包含多个安全仪表功能（SIF）每个SIF都其特定的风险控制意图，并且用SIL（Safety IntegrityLevel ）的等级表示其可靠性。同一个SIF可以在不同的事故情形中都发挥作用。SIF的主要目的是安全性，

不是对工艺系统的过程的控制。传感器Sensor执行器（终端）Final

Element逻辑处理器Logic

Solver99S-1S-2S-3S-467一个传感器或一个执行器可能隶属于多个SIF（安全仪表回路）。回路-3：SIL=1，回路