朱春丽，陈 迪，何骁勇

（中海油研究总院，北京 100027）

在进行安全仪表系统设计前，首先需要对受控设备进行风险分析，确定其可能存在什么样的风险，存在多少保护层，每一个存在的保护层能降低多少风险，是否需要安全仪表系统的保护，如需要再确定执行该安全功能的安全仪表系统的安全完整性等级。

1 LOPA方法介绍

1.1 概述

保护层分析法LOPA，是一种简化的风险评估。通常使用初始事件频率、后果严重程度和独立保护层（IPL）失效频率的数量级大小来近似表征场景的风险。LOPA是建立在定性危害评估信息 （例如HAZOP）上的一个分析工具，可帮助设计人员设计足够可靠的工艺控制系统以及具有适当的SIL等级的安全仪表系统[1]。

1.2 LOPA分析步骤

采用LOPA方法进行SIL等级分配评估主要包含以下步骤[2]：

（1）系统划分及确定受控设备EUC；

（2）识别每个EUC包含的安全仪表功能SIF；

（3）分析需求SIF动作的触发原因及原因的失效频率；

（4）评价可能的安全、环境和经济后果及其严重等级（不考虑任何保护措施）；

（5）判断初始风险是否满足风险可接受准则（如果风险可接受，则该场景没有SIL等级要求，该场景分析结束）；如果不满足风险可接受准则，则进入下一步分析；

（6）识别该场景的独立保护层及其PFD值；

（7）判断残余风险是否满足风险可接受准则（如果风险可接受，则该场景没有SIL等级要求，该场景分析结束）；如果不满足风险可接受准则，则进入下一步分析；

（8）根据残余风险和可接受风险的差距，分配SIF的SIL等级；

（9）重复以上步骤，直至所有系统和EUC中的SIF分析完毕。

2 LOPA在SIL分析中的应用

2.1 系统及EUC划分

系统划分主要是对整个装置按照其功能或用途划分为不同的工艺系统，在不同的工艺系统中又可根据各系统的设备和仪表等组成以及功能特性再细分为分系统。在对装置进行系统划分后，确定系统中安全仪表系统所保护的设备，即EUC。相互的关系如图1所示。

图1 系统划分Fig.1 System division

2.2 SIF确定

在确定EUC后，对每一个EUC，分析其安全仪表系统的设置，在确定安全仪表系统的设置后，对每一个安全仪表系统应分析并描述其安全仪表功能SIF。一个SIF包括传感器、逻辑控制器和最终执行元件。

2.3 触发原因

造成需求安全仪表功能动作的原因称为触发原因，为了规范其失效可能性的评价，表1给出了触发原因的分类和频率[3]。

表1 触发原因及频率Tab.1 Triggering causes and frequency

2.4 独立保护层IPL

一个场景可能需要一个或多个保护层来降低风险，这取决于过程的复杂性和潜在的后果严重程度。IPL（独立保护层）方法提供了一个评估给定场景风险的保护措施是否足够的一致性的基础，图2为保护层的示意图[4]。

图2 典型的事故场景保护层Fig.2 Protection layer of typical accident

不是所有的IPL都是保护层，但是不是所有的保护措施都是IPL，IPL需满足以下要求：

（1）有效性，一个保护层能够单独预防一个潜在危害的发生或缓解该危害产生后果（比如：反应失控、有毒介质泄漏、容器超压破裂、火灾等）。该保护层至少能够降低相应的风险10倍。

（2）独立性，一个保护层需独立于同一危害评估所涉及到的其它保护层，不受其它保护层失效的影响。尤其重要的是，保护层需与触发原因相独立。

（3）可审核性，能够提供相应的文件证书证明该保护层的可靠性，同时该保护层需设计成能够定期进行测试和维护，以验证和维持其功能。

表2为一些常见的典型的独立保护层及其失效概率[5]。

表2 IPL及其PFDTab.2 IPL and PFD

图3 PVC简化的工艺流程Fig.3 Simplified flow diagram of the PVC process

2.5 SIL等级的确定

根据所有原因发生的频率，造成的安全、环境及经济后果以及针对该场景所设置的IPL，确定出不同后果所需的不同SIL等级，最后选取最高的SIL等级来作为安全仪表功能最终的SIL等级。

3 分析示例介绍

图3所示的反应过程中，存在许多可能发生的危险场景，采用LOPA的方法逐一地分析每一个场景，可以找到每个场景中欠缺的独立保护层，从而改进设计保证生产过程的安全。下面将以其中一个可能存在的危险场景进行分析举例，其中的风险容忍标准来自企业内部的风险容忍标准要求，如表3所示。

3.1 工艺流程介绍

图3为聚乙烯单体（VCM）生产聚氯乙烯（PVC）的间歇聚合反应。水、液态VCM、引发剂和添加剂同时通过同一喷管注入搅动的、带夹套的反应器内。注入喷管与紧急排放阀和安全阀（PSV）相连接，抑制剂也通过同一喷管添加[1]。

3.2 LOPA分析过程介绍

表3 LOPA分析记录表Tab.3 LOPA analysis record table

通过以上分析可以看出，为了满足风险可接受准则的要求，需要设置一个不大于1×10-3PFD即满足SIL3的SIF，在温度高时打开放空阀。

4 结语

在安全仪表系统SIL分析中，LOPA可以有效地用于过程或设施的任何阶段，它可用于检查其他工艺危害方法（例如HAZOP）发现的场景，可以作为安全仪表功能设计的一部分，也可对系统的设计进行研究，对各种工艺备选方案进行分类并选出最佳方案，可以用来改进现有工艺、控制系统或安全系统。合理理解并掌握LOPA方法，对今后在设计工作中做HAZOP分析、SIL分析、QRA分析等都会有很好的参考价值。

[1] Center for Chemical Process Safety.Layer of Protection Analysis-Simplified Process Risk Assessment[M].New York：American Institute of Chemical Engineers，2001.

[2] IEC61508-2002，Functional safety of electrical/electronic/programmable electronic safety-related systems[S]，2002.

[3] The Norwegian OIL Industry Association.Application of IEC 61508 and IEC 61511 in the norwegian petroleum industry[S].Norwegian，2004.

[4] IEC61511-2003，Functional safety—safety instrumented systems for the process industry sector[S]，2003．

[5] 中国国家标准化管理委员会.GB/T 20438.6-2006电气/电子/可编程电子安全相关系统的功能安全[S].北京：中国标准出版社，2007.