前言

　　在過程安全評價時，來自不同專業(yè)的人員采用頭腦風暴方式進行危害識別的過程中，就安全措施是否足以將風險降到可容忍風險標準之下往往會進行激烈的辯論，因為來自不同背景專業(yè)的人員各自的經歷不同，對同樣的降低風險的措施，其認知也會有很大的差別。這主要是他們根據各自的經驗得出的結論。舉例來說，一個經歷過事故或處理過安全設施故障的人和沒有這方面經歷的人對安全措施的有效性可能會有兩種極端的看法，一種認為措施還不足以防止事故的發(fā)生，并且會以自己的經歷為例說明。另一種看法則相反，他會認為安全措施足夠了，他也會以自己的工作經歷來佐證自己的說法。這種看法的分歧導致產生的爭論會極大的延長分析時間，最后達成結論時可能往往會以一方的妥協(xié)或放棄發(fā)表意見來形成一致意見。但實際的結果可能是存在過保護或保護不足。過保護會造成資源的浪費，保護不足則風險降低的不夠，這都是我們不愿看到的。據Source公司一份統(tǒng)計，在進行LOPA分析后，針對煉油廠制氫裝置，有49%的安全儀表安全保護系統(tǒng)是過保護的，有4%是不足的。（這是以Source公司的風險可承受標準作為風險衡量的依據，對Source公司來說，他們對各種保護措施的PFDavg（平均需求故障概率）取值和IEC-61511標準的取值會有不同，具體的PFDavg取值需要每個公司依據自己的管理維護水平在IEC-61511的標準數值上進行適當的調整。（過保護與保護不足的判斷必須依據公司自己的風險可接受標準或公司統(tǒng)一采用的國家相關標準，我國現(xiàn)在還沒有類似的強制標準。）

　　1.保護層分析（LOPA）介紹

　　1.1.風險的概念和理解

　　風險是事故發(fā)生的頻率和后果的合成。

　　對事故來說，他的后果通常是確定的，比如爆炸或人員傷害等，但發(fā)生的頻率是可以變化的，每年發(fā)生一次爆炸和每十年或每百年發(fā)生一次爆炸給人們產生的影響是不同的，不同的人們對此產生的承受能力也是不同的。保護層的運用就是從降低事故的發(fā)生頻率來考慮削減事故的風險等級。

　　1.2.保護層分析（LOPA）的概念

　　保護層分析是英譯引用，具體名為： Layer of Protection Analysis（LOPA）。通過名稱即可看出該方法主要是對每一假定事故情形的每一個保護措施進行分析，具體來講就是分析防止事故情形發(fā)生的保護措施是否有效，每種保護措施的有效程度為多少，各種保護措施綜合運用后對于風險的削減作用為多大，是否還需要增加保護措施，所增加的保護措施對風險的削減等級為多大。而所有這些分析最終都是通過具體的數學綜合運算來計算得出，包括初始事件頻率與獨立保護層(IPL) 故障可能性的數量級（即有效程度）、后果嚴重度以及可容忍風險標準。

　　因此保護層分析方法也是一種半定量的方法，通過對一些通用的保護措施的故障可能性的數量級PFDavg進行賦值，不同專業(yè)背景的人員可以容易地在此基礎上達成對風險削減程度的共識，從而很容易的計算出已有的安全措施可以將風險降低到什么程度，是否符合公司的風險標準，提出的安全措施應該將風險削減到什么程度，從而避免過保護或保護不足的情況。在IEC-61511標準中，對LOPA保護層的應用舉了一個例子來說明如何運用保護層分析的方法計算消減的風險，并以此來確定需要的安全儀表系統(tǒng)的等級。具體的過程如圖1所示。

　　 IPL1          IPL2            IPL3

　　圖-1

　　1.3.獨立保護層

　　保護層，就是保護措施，可以是一個設備，系統(tǒng)或對應的行動，對不希望的后果起到預防或減輕作用。

　　這些保護層有些是共同作用后對風險起到削減作用，單獨分開時則作用減弱，甚至不起作用，而有些則可以獨立的完成其保護功能，因此安全分析專家們將這種可以獨立起到保護作用的保護層稱為獨立保護層。對于保護層分析（LOPA）方法而言，為了能充分而適當的對風險做出評估，所要求的保護層就要求必須能真正起到作用，在該方法中稱其為獨立保護層，且給了更為嚴格的要求標準，在IEC-61511標準中，要求獨立保護層的確認必須滿足四方面的要求：

　　專一性，獨立保護層是針對特定的后果或危險事件而設計。

　　獨立性，獨立保護層的效果不依賴于其他保護層或受其他保護層的限制，在結構上完全獨立。同時還獨立于初始事件或獨立于與情形有關的其它保護層的對應行動。

　　可靠性，獨立保護層必須能有效的依照設計的功能運行并防止危害事件的發(fā)生，其PFDavg值應該低于1×10-1。

　　可審核性。獨立保護層必須能夠定期進行審核和確認。他需要定期的維護和校驗以確保其可靠性維持在設計的水平。

　　在IEC-61508及IEC-61511均對保護層分析類型進行了圖示描述，如圖-2

　　圖中每一保護層的可靠性數值如下：

　　基礎工藝控制系統(tǒng) （BPCS ）其PFDavg=1×10-1～1×10-2

　　安全閥或泄壓閥 PFDavg=1×10-1～1×10-3

　　儀表連鎖系統(tǒng)    根據其安全完整等級的不同其取值PFDavg=1×10-1～1×10-3

　　圍堰    PFDavg=1×10-2～1×10-3

　　可燃氣檢測或火焰檢測加上相應的人員響應  PFDavg=1×10-1～1×10-2

　　工藝報警和在規(guī)程上規(guī)定的人員響應 PFDavg=1×10-1～1×10-2

　　上述數值來源于一些公開發(fā)表的文獻資料。

　　圖-2 保護層圖

　　從圖中還可以看出，對于各公司的管理規(guī)定等措施，如罐區(qū)或裝置區(qū)域的防火防爆禁令，人員的定時巡檢簽到制度等等沒有列入，主要是因為這些措施只能屬于保護措施，可以將風險減低，但沒有滿足獨立保護層規(guī)定的四個特性因而不能稱之為獨立保護層。而且作為管理措施，他對風險的消減值是很難量化的，而且其有效性也無法達到獨立保護層的要求：即PFDavg大于10-1。

　　1.4. 保護層分析（LOPA）基本步驟

　　2.保護層分析（LOPA）在生產中的運用效果

　　保護層分析（LOPA）本身不是一種風險識別的方法，只是風險識別過程中用來分析已有安全措施有效性的一種工具。在具體運用中，他可以在很多方面起到幫助分析人員做出判斷或幫助決策人員做出決策的作用。

　　保護層分析（LOPA）可以識別原來定性風險分析過程中被忽略的危險。我們知道定性分析只是識別危害，但對危害發(fā)生的可能性，包括其保護措施發(fā)生作用后危害發(fā)生的可能性均不做詳細討論，在具體的運用過程中是依靠分析人員的經驗來確認風險等級，很可能這種粗略的判斷會掩蓋一些問題，使得實際風險升高。

　　我們通過具體的實例進行說明。

　　下面是某石化公司裝置某一局部流程的保護層分析（LOPA），在分析過程中就發(fā)現(xiàn)裝置工藝、設備技術員以及操作人員把存在共模故障的保護層當作了兩個保護層，從而導致在辨識過程中認為危害發(fā)生的可能性很低，而實際情況并非如此。

　　2.1. 裝置局部流程描述

　　圖-4是我們分析具體流程圖

　　圖中所描述的具體工藝操作為：高溫氣體通過E-112換熱器降溫后，其回收的熱量被用來產生蒸汽。E-112的出口溫度TIC-119由D-112的蒸汽壓力PIC-150來控制（串級控制）。同時設計DCS液位控制回路LIC-115，以及防止鍋爐無液位發(fā)生干鍋導致爆炸事故的低低液位聯(lián)鎖LSLL116。后裝置對此處液位聯(lián)鎖進行了變更，將液位控制回路LIC-115的傳感檢測引入到聯(lián)鎖傳感系統(tǒng)中。

　　2.2. 汽包發(fā)生干鍋爆炸的保護層分析（LOPA）

　　通常保護層分析是在裝置危害識別的基礎上進行，如裝置HAZOP分析基礎上進行，因此選取該處HAZOP分析表格記錄如下表-1：

表-1：裝置汽包D-112/E-112的局部HAZOP分析

偏差	原因	后果	預防措施	風險			建議	備注
				嚴重度	可能性	風險等級
低溫	PIC150控制回路故障開	壓力突然下降，造成D112內大量蒸汽突然損失，導致D112內液位下降，直至發(fā)生干鍋，若再次補充鍋爐給水時會發(fā)生爆炸	1. 有液位控制回路LIC-115；	4	2	III
			2. 自產蒸汽出口線上有流量顯示及報警FI154；
			3. 有低液位報警及聯(lián)鎖LALL116；
			4. 有低液位報警LAL115；
			5. E112出口有溫度低報警TI161；
			6. PV150有手輪
			7. 有操作規(guī)程

　　正如保護層的定義所描述，在其分析方法中重點是確定每個保護措施的有效性，并且通常是在裝置危害識別的基礎上進行，因此對于保護層分析步驟中前三步就不需重復進行分析，直接運用危險識別過程中原因、后果的內容，并對其原因即保護層分析所確定為的引發(fā)事件賦予一定數值即可。本分析中的引發(fā)事件則指PIC150控制回路故障開，假設引發(fā)頻次為f1＝0.1。

　　下面則是對表中每一項預防措施進行確認，看其是否為獨立保護層。

　　2.2.1.基礎工藝控制：液位控制回路LIC-115

　　根據保護層圖-2中所示，第一層即為基礎工藝控制系統(tǒng)。

　　本單元則指液位控制回路LIC-115，該保護措施獨立于各保護措施，具有獨立性；并且是專門針對控制液位而設計，同時進行著定期的審核與檢驗，所以滿足保護層分析方法的要求，是獨立保護層。假設平均需求故障率為PFD1＝0.1。

　　2.2.2.報警及人員干預

　　因為報警響后所采取的措施必須依賴于人來完成，因此表中雖然有三個報警可以響應，但人只要對其中一個采取了行動即可，因此對于滿足保護層分析（LOPA）中標準要求來說此處僅將三個報警作為一個獨立保護層。假設平均需求故障率為PFD2＝0.1。

　　2.2.3. 聯(lián)鎖LALL116

　　一般來說聯(lián)鎖與其它保護層是相互獨立，且具有可審核性，并能有效執(zhí)行的，是保護層分析中一個重要的獨立保護層。原有聯(lián)鎖LALL116的設計就滿足這些要求，是一個獨立保護層。不過因為裝置對此處設計進行了變更，需要重新審核新的設計與舊的設計之間的差異，以判斷是否具有獨立保護層特性。先假設其平均需求故障率為PFD3＝0.1。

　　a)裝置原始設計是：獨立的DCS液位控制LIC-115用于調節(jié)汽包D-112內水位以防止低或無液位情況，獨立的低低液位停汽包進料聯(lián)鎖LSLL116防止鍋爐無液位發(fā)生干鍋導致爆炸的事故，設計類型為1選1（即只有一個液位傳感器）；而低液位聯(lián)鎖LSLL116又會導致裝置自動停車。因此只要此處聯(lián)鎖誤觸發(fā)就會導致裝置停車，造成不希望的生產損失，而且裝置也確實多次發(fā)生LSLL116誤觸發(fā)導致的停車事故。為了保證正常生產，裝置對此聯(lián)鎖進行了技術改造。

　　b)裝置變更后設計：將液位DCS控制系統(tǒng)LIC-115的液位傳感器加入到聯(lián)鎖LSLL116的傳感器選擇系統(tǒng)，并將檢測類型選擇邏輯設計為2選2，即只有LSLL116和LIC-115的液位傳感器同時發(fā)出低液位信號時，聯(lián)鎖LSLL116才會觸發(fā)停車。這種變更裝置只需要在控制程序上修改就完成，不需要增加新的硬件設施，而且裝置認為這是個好辦法。那么實際會產生什么樣的狀況？

　　通過LOPA分析，我們可以發(fā)現(xiàn)，當液位控制回路LIC-115的傳感檢測發(fā)生故障，顯示正常或虛高時，而汽包內實際液位已經下降，這時因為聯(lián)鎖LIC-116需要LIC-115與LSLL-116的傳感檢測都發(fā)出低液位信號時才可以發(fā)生聯(lián)鎖觸動停車，而LIC-115此時根本不可能發(fā)出低液位信號，因而LSLL-116就根本不可能采取正確處理措施，則干鍋就會發(fā)生，隨之而來的爆炸事故就可能發(fā)生。這種變更實際是提高了鍋爐干鍋爆炸的風險。也就是說當DCS液位控制系統(tǒng)由于液位傳感器系統(tǒng)出現(xiàn)故障時，這個貌似保護的低低液位連鎖系統(tǒng)也將失去作用。這種變更使得聯(lián)鎖LSLL-116與基礎工藝控制系統(tǒng)LIC-115存在關聯(lián)，不獨立，因而不能當作獨立保護層對待。

　　2.2.4.操作規(guī)程

　　正如LOPA對于獨立保護層的定義，操作規(guī)程不具有可量化性，不是獨立保護層。

　　2.2.5.風險比較

　　通過對該單元保護層分析，將原有設計與變更后設計的風險進行比較：

　　原有設計的風險R1＝f1×PFD1×PFD2×PFD3＝0.1×0.1×0.1×0.1＝10-4

　　變更后的風險R2＝f1×PFD1×PFD2＝0.1×0.1×0.1＝10-3

　　可以看出風險提高十倍，與之前所述一致。

　　經LOPA分析后該工藝點的風險結果見表-2。

表-2：LOPA分析結果表

偏差	原因	后果	預防措施	風險			建議	備注
				嚴重度	可能性	風險等級
低溫	PIC150控制回路故障開	壓力突然下降，造成D112內大量蒸汽突然損失，導致D112內液位下降，直至發(fā)生干鍋，若再次補充鍋爐給水時會發(fā)生爆炸	1. 液位控制回路LIC-115	4	3	II
			2.自產蒸汽出口線上有流量顯示及報警FI154；或低液位報警及聯(lián)鎖LALL116；或E112出口有溫度低報警TI161；；同時有人員響應

　　但這個改動確實可以有效的減少偽跳閘的次數。從表-3中我們可以看出1選1系統(tǒng)與2選2系統(tǒng)的差異。（其中T為連鎖系統(tǒng)的測試時間間隔，λs代表安全故障率，λd代表危險故障率）

表-3：1001(1選1)與2002（2選2）類型對比表

　　保護層分析就在于幫助裝置判斷出所面臨的風險的真實大小，并最后將其與公司的風險標準進行比較。但由于安全與生產總存在一個平衡的關系，這時候裝置需要考慮是甘愿冒更大的風險來維持生產還是維持原樣（有較高的偽跳閘率，影響生產但卻是安全的，會造成經濟損失）？或者有其他更好的辦法嗎？通過LOPA分析，可以使參與人員很清晰的明白每個保護措施的有效性，從而更多的避免人為的干擾對分析后果的評判。

　　3.保護層分析（LOPA）的優(yōu)勢

　　3.1.確定保證安全的關鍵設備，提供更精確的維護和維修信息。

　　舉例來說：安全閥或儀表聯(lián)鎖系統(tǒng)可以使壓力容器發(fā)生超壓的頻率降低一至三個數量級，由于在生產過程中許多情況都可能造成容器超壓，而這些誘發(fā)超壓的因素無法避免，為了防止超壓這種現(xiàn)象的出現(xiàn)，安全閥和聯(lián)鎖系統(tǒng)的安全完整性對保證容器的安全運行起到了關鍵的作用，同時對安全閥的維護檢驗和對連鎖系統(tǒng)的維護管理工作就非常重要。但并非所有的壓力容器超壓都會造成不可承受的后果，我們需要尋找那些對企業(yè)的安全指標有著顯著影響的后果，為防止這些特定后果所設置的安全防護措施或設備才是企業(yè)管理的優(yōu)先考慮對象。在有些操作中，是需要依靠操作員的正確操作來保證生產的安全的，對職工的教育培訓而言，這些具有非常高的風險的操作步驟就是職工培訓的重點。

　　運用LOPA方法，我們可以識別在為防止事故發(fā)生而制定的各種保護措施中每種措施的安全貢獻值，這有助于企業(yè)識別對安全至關重要的保護措施（或貢獻值最大的安全措施）并將有限的資源投入到需要關鍵關注的地方起到了優(yōu)化管理節(jié)約資源的作用。并建立好這些關鍵設備的信息檔案，做好日常的預防性維護與維修管理。

　　3.2.明確管理措施對于保護層分析（LOPA）所起作用

　　在保護層分析（LOPA）中，管理措施，如安全閥定檢，安全聯(lián)鎖日常的預防性維護與維修管理，各種人員培訓體制等制度是不作為有效獨立保護層列入分析中的，但這些措施都對設備的有效性，措施的順利執(zhí)行起到關鍵作用，可使獨立保護層有效性得到提高，起到降低風險的作用。故而在保護層分析（LOPA）分析中雖然沒有將管理措施列入，但卻可以分析在過程中識別出的每一項管理措施的重要性，為裝置運行管理提供更好的管理依據。

　　3.3.為有效分配資源提供依據

　　在生產過程中，絕對的安全是不存在的，通常只需把風險降低到一定程度即可滿足要求。通過LOPA的運用，可隨時確定風險是否可以忍受，從而幫助相關設計或項目管理人員從成本和效益的比較方面對安全保護措施的選擇做出綜合判斷，我們都希望用最小的投資取得更大的效益，對各種安全措施的應用也一樣，什么樣的安全措施可以用最小的成本投入取得最大的風險降低，這也是風險分析和評價人員的價值所在。

　　4.保護層分析（LOPA）存在的問題

　　保護層分析（LOPA）是一種半定量分析方法，因此就需要有數據的支持。而數據的來源均是依靠各相關企業(yè)之間相互聯(lián)系與總結得來。如控制閥的平均需求故障率，首先要有設備制造廠家的大量實驗與制造結果所得出的數據，其次要有使用廠家提供正常運行狀況下所出現(xiàn)的故障頻次數據，由這些數據的共同總結與分析而得出適合于公司的控制閥的平均需求故障率數據。因此要獲取圖-1中各保護層的數據就是一項非常困難的工作。國外也是通過了幾十年的收集、積累與分析才逐步完善其數據庫的，對于我們正處于發(fā)展階段的中國而言，對于數據收集方面目前來說是不健全的，需要各企業(yè)之間達成共識，不斷建立好相關數據才能更好發(fā)揮保護層分析（LOPA）的作用。故而目前對于各企業(yè)來說保護層分析（LOPA）還不具備良好的展開條件。如果確實想進行這項分析，那么只有先通過運用已有數據、國外相關資料提供的數據以及企業(yè)對于自身管理能力的判斷來對其風險進行判斷，至少可以為公司提供大致的風險順序。即使被視作保護層的設備故障率數據與現(xiàn)實相差較大，但在評價的過程中只要采用了統(tǒng)一的標準，對風險的排序并不影響，仍然可以為風險管理提供可靠的依據。

　　其次，也因為其是半定量分析方法，必然存在費時費力的問題。那么對于前期公司所進行危險識別要求就非常重要：如果前期風險識別不好，第一會影響保護層分析（LOPA）質量，可能造成特定危害的實際風險概率數據不準確；第二，對于保護層分析（LOPA）團隊人員來說，對于風險識別不好的過程會重新進行分析，則相當于重新進行了一次危險識別，自然就造成時間上的浪費。

　　5. 結論

　　保護層分析（LOPA）能在危險辨識基礎（如HAZOP）上更加正確地分析出有效的獨立保護層，定量地比較相關的風險削減措施，從而更好判斷出高危險部位所存在的風險程度，避免對風險判斷過低或過高，為裝置或公司在風險與經濟利益之間平衡提供一定的判斷依據。保護層分析在西方國家目前已經是一種成熟工藝風險分析方法，而其中最為關鍵的數據庫建立在各公司的相互配合下也日臻完善。對于我國而言，這種方法還處于起步階段。數據庫建立還是一紙空白，這就要求各企業(yè)能更主動認真的提供已有或開始建立相關數據，為今后我們此項工作順利開展并起到作用打好基礎。

　　參考文獻

　　1  Edward M.Marzal，Dr.Eric W.Scharpf，Safety Integrity Level Selection，2002，141－147

　　2   Layer of Protection Analysis

　　3  廖學品，化工過程危險性分析，2000，