殷卫兵 左 信 杜殿林 张惠良 曲德伟

(1.中国石油大学(北京)，北京 102249；2.北京安稳优科技有限公司，北京 102200)

保护层分析(Layer of Protection Analysis，LOPA)是一种可重复评估选定事故场景风险的方法[1]。一个典型的化工过程包括各种保护层，如工艺设计(本质安全概念)、基本过程控制系统(Basic Process Control System，BPCS)、安全仪表系统(Safety Instruments System，SIS)、被动减缓或隔离防护设施(如堤坝)、主动防护设施(如安全阀)及人工干预等，这一系列保护层都有效地降低了事故发生的频率。而保护层分析作为一种半定量的风险分析和评估方法，能够使用合理、客观、基于风险的方法，对保护层的有效性进行分析，并将所有保护层共同作用下的事故风险与风险可容忍标准进行比较[2,3]。

对于特定场景，LOPA基于一致的事故场景分析，能够判断该事故风险是否拥有足够的独立保护层以防止事故风险发生。LOPA适用于那些对于定性分析来说过于复杂、后果严重的场景，也能为进一步需要定量分析的场景做出预先筛选[4,5]。

1 独立保护层的定义①

独立保护层(Independent Protection Layer，IPL)和一般保护措施是指能够中断初始事件发生后事件链中的任何一种设备、系统或行动；但由于有效性、确定性和独立性不同，独立保护层和一般保护措施有着本质的差别，独立保护层及其构成元素必须具备有效性、独立性和可审查性[1]，具体如下：

a. 有效性。按照设计功能发挥作用，一定能够有效防止后续事件发生。

b. 独立性。必须独立于初始事件或同一场景中其他独立保护层的构成元素。

c. 可审查性。对于阻止后续事件发生的有效性和要求时失效概率(Probability of Failure on Demand，PFD)必须能够通过某种方式验证，验证方式可以是审查及测试等。

独立保护层能够防止特定场景分析中的事件发生，或将事件发生后的不良影响降至最低。根据保护作用和行动方式，独立保护层可以划分为：主动作用或被动作用；事件前阻止发生或事件发生后减缓。

2 独立保护层的识别

设备、系统或行动只有满足有效性、独立性和可审查性，才能作为独立保护层。

2.1 有效性

作为独立保护层，必须能够有效防止所在场景中的事故风险的发生，有效性包括：

a. 独立保护层必须能够有效检测所要采取行动的条件，该条件可以是过程变量或报警等。如果不能检测到行动条件，那么就不可能产生进一步的行动，则保护自然不可能实现。

b. 行动条件的检测和保护行动的及时性，也就是必须有时效性。这里包括行动条件检测及时、决策及时和行动及时，这样才能共同作用产生及时的保护行动，任何一个环节上的时间迟缓都可能造成保护行动的失效。

c. 保护行动一旦作用，就必须具备有效强度，足以遏制事故风险的发生。

2.2 独立性

独立保护层的独立性，用以保证初始事件或其他独立保护层不会对该独立保护层产生影响，来确保该独立保护层的保护能力。独立性包括两个方面：

a. 构成独立保护层的任一元素必须独立于初始事件及其后果。因为如果独立保护层的构成元素与初始事件或后果时间有重叠，这将造成独立保护层的这一元素无法发挥作用，从而造成保护失效。

b. 构成独立保护层的任一元素必须独立于同一场景其他独立保护层构成元素。这是因为具有相同组成元素的保护层，如果其中一个失效，那么另一个也可能无法作用。

2.3 可审查性

组成独立保护层的元素、系统或行动都必须经过审查，证明其满足阻止或减缓事故风险的要求。此外，独立保护层的设计、安装、功能测试和后期维护也必须具有可审查性。

3 保护层分析

3.1 典型的独立保护层

典型的独立保护层大致包括七类[1]。

本质安全的工艺设备设计。工艺设计或设备设计的本质安全能够从根本上杜绝初因事件的发生。例如设计高压容器时，设计使用远远高于工艺运行负荷的高压标准。远远高于工艺运行负荷的高压容器作为保护层，同时满足有效性、独立性及可审查性等几个方面的要求，因此是独立保护层。

基本过程控制系统。基于DCS的自动控制回路或手动控制回路通常均可作为独立保护层。但要注意，控制回路的测量仪表部分不能与初因事件或同一场景中的其他独立保护层的测量仪表相同，否则独立性不具备。同样，控制回路中的执行元件(阀门及变频器等)也不能与初因事件或同一场景中的其他独立保护层的执行元件相同。当同一场景中确实出现了多个基本过程控制系统类型的独立保护层时，由于均使用DCS逻辑控制作为决策元件，此时独立保护层的失效概率(PFD)应适当调增。

系统报警与人工干涉。系统报警作为检测、人工决策、再配合人员行动也构成了保护层，但能否作为独立保护层，就要严格考核人工决策与人员行动的有效性、独立性和可审查性。人工决策和人员行动必须简单、快捷、有效，否则就不能被认定为独立保护层。例如操作室内系统报警后，人工决策要快速关闭阀门，但目标阀门为位于室外装置区远处的手动阀，由于关阀时间不能得到保证，则这一保护一般不能作为独立保护层。

安全仪表功能。安全仪表功能由安全仪表系统的专用传感器、逻辑运算模块和执行器组成，一般能够满足有效性、独立性和可审查性的要求，可作为独立保护层。但也有例外情况，如传感器或执行器可能采用与其他安全仪表功能或控制回路中的传感器或执行器共用，则此时独立性条件不满足，不能视作独立保护层。

物理保护设施。设计、性能、维护适合的主动保护设备中，满足有效性、独立性和可审查性的设施可作为独立保护层。例如某些高压容器配置的安全阀，当初因事件引发的压力升高至设定值，安全阀自动打开、泄压。

减缓设施。事故风险发生后，能够减缓事故后果的设施中，符合有效性、独立性和可审查性的设施也可视作独立保护层。例如消防蒸汽、自动喷淋可在明火发生后遏制火势蔓延，甚至灭火。

其他如现场应急响应、消防、撤离及隔离等措施，往往由于有效性不能保证，也不具有独立性，因此不能作为独立保护层。

3.2 独立保护层分析示例

3.2.1滤后原料油罐液位低

滤后原料油罐是某柴油加氢装置中的工艺环节，经过滤后的柴油进入缓存储罐，罐底流出的柴油与氢气混合后依次进入一系列换热器，再经加热炉升温后，进入反应器进行柴油加氢反应，其流程如图1所示。原料油罐液位低会造成罐出口管线流量低或断流，可能导致原料油泵损坏，加热炉炉管高温结焦。

图1 滤后原料油罐部分流程

对于由于储罐底部流量控制回路FIC702失效初因引发的事故场景，可用的独立保护层分析如下:

a. BPCS保护层。液位控制回路LIC601，其中传感器LT601、DCS逻辑控制、调节阀LY601均满足独立性、有效性和可审查性的要求，因此构成独立保护层。

b. 系统报警加人员干涉。液位低报警LI602、LI603加人工判定并开启储罐进料管线副线手动截止阀，虽然LI602、LI603与前面的LT601都是同一储罐的液位测量，而安装、元件组成均相互独立，因此这里的液位报警满足要求。人工判定、副线手动截止阀的可操作性与有效性经现场认定，符合要求，因此也构成独立保护层。

c. 安全仪表功能。安全仪表功能UC601由传感器LT601、LT602、LT603、SIS逻辑控制和数个安全截止阀构成，能够实现柴油加氢装置局部停车，避免事故发生。虽然SIS逻辑控制与安全截止阀满足要求，但三取二(2oo3)的传感器与上述两个独立保护层的传感器部分有重复，当这两个独立保护层由于传感器故障不能起作用时，安全仪表功能UC601必然不能作用，因此不满足独立保护层独立性的要求，不能作为独立保护层。若重新设计安装，使用独立的液位传感器或液位开关，则UC601可以作为独立保护层。

综上所述，由于储罐D2102泄漏初因引发的事故场景中BPCS保护层和系统报警加人员干涉为独立保护层。

3.2.2反应加热炉炉出口温度高

反应加热炉及其相关工艺过程是某柴油加氢装置中的工艺环节(图2)，经过一系列换热器初步升温的混氢油在加热炉中被加热，进一步升温后进入加氢反应器进行加氢反应，反应流出物经冷却进入高压分离罐进行三相分离。反应加热炉的出口混氢油温度高可能造成反应器超温、超压，严重时可能引起爆炸或起火等严重后果。

对于因燃气分液罐压力控制PIC201失效引起燃气压力高、流量大造成的被加热混氢油温度高引发的事故场景，可用的独立保护层分析如下：

a. BPCS保护层。加热炉出口混氢油温度串级控制TIC903能够有效控制进入加热炉燃烧火嘴的燃气流量；此外，反应器中段温度控制TIC001和TIC002的急冷氢注入能有效控制反应器温度。经过对有效性、独立性和可审查性的考查，这些保护层可视作独立保护层，但由于同属BPCS的独立保护层，在计算PFD时应适当调增。

b. 系统报警加人员干涉。加热炉出口温度报警TIC903，反应器温度报警TIC001、TIC002，与上面的BPCS独立保护层测量部分重叠，由于不满足独立性要求，无法参与构成独立保护层。

图2 加氢反应加热炉相关工艺环节流程

c. 安全仪表功能。加热炉支路出口温度TI901/2/3(A-B)构成的安全仪表功能UC901，能够在支路出口温度高于联锁值时，实现加热炉局部停车，避免事故发生，经过对有效性、独立性和可审查性的考查，该保护层可视作独立保护层。

d. 物理保护设施。由于加氢反应器与高压分离器为通路，因此位于高压分离器顶部的0.7MPa和1.4MPa手动泄压阀可以作为保护层，但在某些极端情况下，例如加氢反应器与高压分离器之间的换热器因除盐水注入流量过低时，铵盐结晶可能堵截该通路，此时这两个位于高压分离器顶部的泄压阀将无法对反应器泄压，因此该保护层不满足有效性和独立性要求，不能作为独立保护层。

综上所述，由于燃气分液罐压力控制PIC201失效初因引发的事故场景中的BPCS保护层和安全仪表功能为独立保护层。

4 结束语

LOPA不仅能够评估过程危险场景的风险等级，评判系统保护层配置是否安全，还能用于装置布局的风险评价及安全仪表功能的安全完整性等级确定等。而在LOPA执行过程中，独立保护层的识别与确认是关键步骤，对LOPA的准确性有着至关重要的作用。识别独立保护层的标准是有效性、独立性和可审查性，但对于具体风险事故场景，这些标准的应用却可能充满复杂性，评审者必须精心分析、仔细甄别，才能做到准确识别独立保护层，做好LOPA实施工作。

[1] CCPS．Layer of Protection Analysis-Simplified Process Risk Assessment[M]．New York:Wiley,2001．

[2] 白永忠,万古军,张广文.保护层分析中独立保护层的识别研究[J].中国安全科学学报,2011,21(7):74～78.

[3] Wei C Y, Rogers W J,Mannan M S.Layer of Protection Analysis for Reactive Chemical Risk Assessment[J].Journal of Hazardous Materials,2008,159(1):19～24.

[4] Markowski A S,Mannan M S.ExSys-LOPA for the Chemical Process Industry[J].Journal of Loss Prevention in the Process Industries,2010，(23):688～696.

[5] 吴重光,张贝克,马昕.过程工业安全设计的防护层分析(LOPA)[J].石油化工自动化,2007,43(4):1～3，28.