2.4 保护层分析_控制系统的功能安全评估-QQ阅读男生轻小说网

书名：控制系统的功能安全评估
作者名：丁辉靳江红汪彤
本章字数：12285字
更新时间：2020-08-27 09:58:07

2.4　保护层分析

2.4.1　保护层分析概述

（1）简介

保护层分析（LOPA）是一种半定量的风险分析和评估方法，是一种简化的风险评估方法，是事件树的一种变体。LOPA通常使用初始事件频率、后果严重程度和独立保护层（Idependent Proteciton Levels，IPLs）失效频率的数量级大小来近似表示场景的风险。就像大多数的事件树一样，初始事件位于事件链的开始，并且导致不期望发生的后果。然而，在LOPA中，初始事件总是以频率的形式来描述。不同的保护层也可以像事件树中的不同分支一样来进行考虑。当一个保护层分支是有效的，那么该分支的分析结果为成功的无事故输出。根据逻辑关系，只有两种可能的输出：危险事故或者正常。对于这两种结果，只计算有害的事故的频率，因为人们只关注危险事故的频率。

图2.6是一张典型的保护层分析描述图。像事件树图一样，LOPA图也是从左往右观看，并且由初始事件开始。在图示情形中，初始事件后继有三个保护层，每个保护层都是一套完备事件：不是保护层失效，就是保护层有效。如果保护层有效，那么就没有什么影响，而且有效分支的分析也就结束了。如果保护层失效，失效分支的分析继续下去，到达下一个保护层或者相关的事故发生。

图2.6　典型的保护层分析描述图

（2）应用时机

LOPA一般是在定性危险分析（如PHA）后进行的，并采用定性危险分析小组确定的场景。当然LOPA也可用于分析其他来源的场景，如设计方案分析和事故调查。LOPA也可作为一种筛选方法，在进行更严格的定量风险分析（Chemical Process Quan-titative Risk Assessment，CPQRA）之前使用。图2.7描述了风险评估方法的谱图：从完全的定性方法到严格的定量方法。最左边是定性方法，通常用于识别场景，并定性判断风险是否可以容忍；中间为半定量方法，包括LOPA，可用于评估风险的数量级；最右边为定量方法，可以分析更为复杂的场景，并能用于风险比较和风险决策。图2.7所示的百分比仅作为示意。总之，LOPA适用于评估对于定性分析方法来说过于复杂或后果严重的场景，同时也可筛选出需要进一步进行定量分析的场景。

图2.7　风险评估方法谱图

（3）分析步骤

①基于后果筛选场景。LOPA通常针对先前定性危险分析（如HAZOP）过程中识别的场景来进行评估。

②选择事故场景。LOPA只能选择一个单一的“原因/后果对”场景来进行评估。

③识别场景初始事件，并确定初始事件频率（次/年）。

④识别独立保护层，评估每个独立保护层要求时的失效概率（PFD）。

⑤将后果、初始事件和独立保护层相关数据进行计算，评估场景风险。

⑥评估风险，做出决策。

（4）优点和局限性

LOPA在企业安全管理和风险分析方面有许多优点，如下所示：

①与定量风险分析相比，LOPA花费的时间较少；与定性方法相比，LOPA提供了更具可靠性的风险判断。

②LOPA有助于更精确地确定原因/后果对，因此可以改善场景识别。

③LOPA对每个独立保护层提出了更清楚的功能要求。

④完全一致的LOPA分析方法可用于单元之间或工厂之间的风险对比；并可以帮助企业安全管理者决定操作、维护以及相关培训的重点目标。

虽然LOPA分析方法能够给出有意义且相对保守的风险评估结果，但其结果与定量分析结果相对简单得多。LOPA具有以下局限性：

①只有采用相同的LOPA方法（即相同的选择失效数据的方法），场景风险的对比才有意义，并且对比均是基于同样的风险容忍标准。

②LOPA是一种简化的风险评估方法，并不适用于所有场景。

③在风险决策过程中，LOPA比定性方法耗时，LOPA只适用于中等复杂的场景。

2.4.2　独立保护层

独立保护层是能够阻止场景向不良后果继续发展的一种设备、系统或行动，并且独立于初始事件或场景中其他保护层的行动。

一般定义下的工程上降低风险的独立保护层必须满足以下原则。

①特异性　一个独立的保护层必须是在一定考虑下专门设计的，有能力防止事故的发生。

②独立性　某个保护层的操作必须独立于其他保护层，与其他保护层之间不存在公用的设备。

③可靠性　装置必须能可靠地防止事故发生。在装置的设计中应考虑到它的系统性失效及随机失效。

④可审查性　装置应该可进行检验测试和维修。这些对于操作的审查是必要的，可以确定是否达到了特定的风险降低水平。

虽然不同过程工业企业的实际情况不同，但是对过程工业进行保护层分析时，通常考虑以下几种独立保护层。

2.4.2.1　基本过程控制系统

基本过程控制系统（BPCS）在一定的环境中可以作为一个保护层。BPCS经常配置成具有安全保护作用，并且在SIS之前做出反应，是一种主动的、阻止性的保护层。通过以下3条标准来判断一个BPCS是否可以看作是一个保护层：

①BPCS与SIS在物理上是分开的装置，都包括传感器、逻辑控制器和最终执行器。

②BPCS失效不是造成不期望事件的原因。

③BPCS有可用的、合适的传感器与执行器来执行与SIS相似的功能。

当一个BPCS被作为保护层时，它的性能用要求时失效概率（PFD）来衡量。BPCS的PFD通过可靠性分析来确定。

把BPCS的动作和操作员干预的作用区别开来也是十分重要的。BPCS保护层通常是自动反应的，而不需要操作员的任何直接干预。如果是通过报警或其他形式提示操作员采取反应以保护系统，那么最好把这种情况考虑为操作员干涉保护层。不重复考虑任意一个保护层，这在分析中是最重要的。

无论在何种情况之下，BPCS的安全保护作用效果都被限制在SILl的PFD上界。也就是说，在进行保护层分析时，BPCS的PFD应该比0.1大（0.1是SIL1水平的PFD上界）。如果实际应用时要求一个BPCS的PFD必须小于0.1，那么应该像对待SIS那样，依照IEC61508和IEC61511来设计、安装、测试和维护BPCS。这就使BPCS变成为了SIS。所以，BPCS最多只能够将过程风险降低为原始的1/10，否则就应该采用SIS。

2.4.2.2　E/E/PE安全相关系统

E/E/PE安全相关系统通常作为独立保护层，这里以安全仪表系统为例进行说明。安全仪表系统是由传感器、逻辑控制器和执行器组成，能够行使一项或多项安全仪表功能的仪表系统，并具有一定安全完整性等级，详见表1.1、表1.2。安全仪表功能通过检测异常状态控制过程进入安全状态。安全仪表功能为状态控制功能，有时也称为安全联锁和安全关键报警。一系列安全仪表功能组成了安全仪表系统。安全仪表系统在设计上还具有以下特点：

①安全仪表功能在功能上独立于BPCS。用于安全仪表功能的测量装置、逻辑控制器和执行元件独立于BPCS中的类似装置。只有在不降低安全仪表功能PFD的前提下，信号才可共用。

②安全仪表系统的逻辑控制器可处理几个或多个安全仪表功能。

③广泛使用冗余的元件和信号路径。常见的是为实现同一安全功能而安装多个传感器或多个执行器（如阀门）。

④使用表决方案和容错逻辑，能够容忍一些元件的失效，而不会影响安全仪表系统的有效性，不会引起误停车。

⑤自诊断功能，检测和通知传感器、逻辑控制器以及执行器的失效。该诊断功能可使安全仪表功能失效的平均修复时间减少至几个小时。

⑥紧急停车安全仪表功能的PFD较低。

⑦系统元件定期检验测试的周期。

2.4.2.3　物理释放装置

物理释放装置是一种非仪表的机械设备，当正常运行中温度或压力超出了正常范围时，它执行动作从而降低压力。物理释放装置包括压力释放阀、热释放阀、安全隔膜、破裂栓和高温易熔塞等，它属于2010年版IEC61508中其他风险降低措施，是一种主动的、减缓性的独立保护层。

当过程的压力超限时，释放阀打开，过程物质排放到相关联的无危害的次级装置或者进入大气。释放阀有多种款式和技术，绝大多数释放阀是直接动作的或是液控的。直接动作的释放阀由于过程中的气体压迫阀门的弹簧而打开。一旦压力回到释放点之下，阀门恢复到关闭的状态。液控释放阀的动作和直接动作阀很相像，但是它们借助过程流动性，通过液控机构来打开或者关闭阀门。

安全隔膜安装在整个容器的故障点上。当压力高于设计要求的压力时，安全隔膜会破裂，起到保护的作用。这可以使容器中物质进入大气或者次级装置。如果选择和安装合理，安全隔膜具有很低的危险失效率，但是常常会误动作造成长时间的停车，所以使用上受到了限制。

破裂栓安装在整个容器的故障点上，并且越来越被人们所接受。过程产生的压力使得可变形的栓弯曲，从而过程液体的流出出口或者通往次级装置的通路打开。因为其原理与安全隔膜是相似的，它也拥有较低的危险失效率。此外，虽然依赖于特定安装形式，但是破裂栓的误动作和造成过程的停车不像安全隔膜那么严重。

高温易熔塞的运行也和安全隔膜十分相似，只不过它是响应于高温的。高温易熔塞常被用于运输容器，这种应用唯一的过压模式就是外部着火，比如氯气瓶。高温易熔塞是一种过程连接器，它包含一个经过选择的熔点的固体塞，当温度高于熔点时，固体塞熔化，从而使容器内的物质在着火最终导致爆炸性的过压事件之前得到释放。

物理释放装置的失效概率根据不同的装置种类而不同。各种设计样式的物理释放装置的失效率可以在大量的数据库和手册中查询得到。安全隔膜的失效概率主要是通往隔膜的通路阻塞的可能性和背压的函数。在安装安全隔膜过程中人的因素也会影响其失效概率，影响取决于使用的安全隔膜类型。高温易熔塞的失效率也很低，与安全隔膜相似。应该通过咨询制造商来确定高温易熔塞的失效率。

对所有物理释放装置，应关注其释放设备和下游流通路径是否足够大，以释放危险能量。即应当关注这些设备以及它们的下游管道系统的设计，确保可以充分释放可能累积的最高温度或压力。另外，系统中的压力在释放阀打开的情况下也可能连续增长，这将导致假定的保护层失效。再者，如果释放出的易燃或有毒物质所造成的风险不可接受，那就要考虑是否需要额外的独立保护层。

2.4.2.4　外部风险降低设施

外部风险降低设施（External Risk Reduction Facililties，ERRF）属于2010年版IEC61508中的其他风险降低措施。它分为主动和被动系统。主动外部风险降低设施是在化学物质已经进入大气后能主动发挥作用的保护层。主动系统必须依赖产生某种形式的能量使其动作并能够完全阻止事故后果的发生，如消防水幕、水喷雾、泡沫灭火系统等。这类系统的工业经验表明，如果火灾或爆炸可能导致其失效，则它们对火灾爆炸、释放等的正常响应过程应视为防护措施而不是独立保护层；被动外部风险降低设施与主动系统相对，比如防火堤、防爆墙、阻火器以及核反应堆的安全壳都是被动的外部风险降低设施，这些装置的目的都是防止严重的事故后果发生。

ERRF的失效概率是通过分析其组成部分来确定的。在某些应用中需要采用故障传递模型，比如故障树来分析。例如，如果某消防水炮系统为ERRF，那么它的失效概率可能是一系列阀门和泵的失效概率的函数。

2.4.2.5　人员响应

人员响应是指操作人员或其他工作人员对报警的响应，或在系统常规检查后采取的防止不良后果的行动。与工程控制相比，通常认为人员响应的可靠性较低，必须谨慎考虑人员响应作为独立保护层的有效性。人员响应必须具有以下特点才能视为独立保护层。

①要求操作人员采取行动的指示信号必须是可检测到的，且必须始终有效、清晰、简单明了。

②必须有充分的时间采取行动。采取行动所用的时间越长，人员响应独立保护层的PFD越低。

③操作员的工作量应设置合理，不妨碍其采取行动的速度。工作量不合理，不但会降低操作员监控问题发生的可能性，而且会为其做出合理决定来防止事故发生带来更大的困难。

④操作任务的复杂性应合理，应使操作人员能采取相应的有效行动。例如，要求操作人员爬上平台打开阀门，如果火灾（初始事件）阻止了这种行动，则不能将该人员响应作为独立保护层。

⑤定期对要求的行动进行培训并记录。这包括根据书面操作程序进行训练并定期审查，以证明单元的所有操作人员都能完成特定报警所触发的要求任务。

⑥指示和行动通常应独立于其他任何已经作为独立保护层或初始事件的报警、安全仪表系统或其他系统。

另外，操作人员的身体条件，包括年龄、休息量、工作情绪以及工作场所对身体的影响，都会对人员响应的可靠性有较大的影响。

“人员响应PFD”表示操作人员无法正确响应的概率。表2.16所示的估算操作人员响应的简化方法是在过程工业经常使用的，该简化方法将操作员的作用分成三类，可以被粗略地描述为：①一般操作员响应；②针对预定报警条件训练过的响应；③操作员不起作用。

表2.16　估算操作人员响应的简化方法

一般的操作员响应的失效概率是0.1，相当于安全仪表功能达到SIL1。为了使这种作用有效，必须满足下列条件：①操作员得到足够的提示，确定某一情形需要停车，这类提示往往是以报警的形式出现；②对于特定的情形，操作员训练有素，可以做出合理的反应；③操作员有足够的时间评估现场情况并且进行停车的操作，一般需要20min以上；④操作员总是在监控整个过程。最后一条要求意味着换班时需要有人接班，这样才能允许操作员休息。如果满足以上所有的条件，那么可以认为操作员的响应是典型的，并且PFD值为0.1。

训练过的操作员响应的失效概率是0.01，相当于安全仪表功能达到SIL2，这是由于高度的训练和几乎自动化的操作员的本能反应。要到达这种水平，首先应当满足一般响应的条件。此外，响应必须包含在书面的操作规程中，并且由训练有素、积极性高的操作员来执行。这是很严格的条件，所以在大多数过程工厂中都没有实现。这类响应只能在少许关键回路中达到，因为操作员不可能对工厂中的所有回路都具有这类要求严格的响应。

若上述两类响应条件都不满足，那么认为操作员在安全临界条件下不能完成手动停车，操作员干预的PFD因此被认为是1.0。

需要指出的是，工厂应急响应、社区应急响应、安全标志、测试和检测、通信通常都不作为独立保护层；管理实践、程序文件和培训可以协助建立人员响应的PFD，但不应作为独立保护层。

2.4.3　减缓因子

这里所说的减缓因子是指能降低风险但不是专门设计的偶然事件，例如点火率、爆炸率等。是否考虑减缓事件取决于实际情况。需要注意的是，在LOPA中，每个保护层和减缓事件都只能考虑一次，而且对减缓事件的处理同独立保护层是一样的。常用的减缓事件因子如下所述。

2.4.3.1　使用因子

使用因子定义了过程处于危险性的运行状态或者现有系统中存在危险的时间段。当估算事故发生频率时，使用因子是一个重要的因子，表示危险只发生在运行的过程中，甚至是只存在于一定的运行模式下。例如，考察一台每年运行6个月的锅炉。它的危险是常年连续运行的同样的锅炉的一半。即由使用而引起的风险，运行半年的锅炉是持续运行1年的锅炉的一半。

使用因子通过将过程处于危险运行模式下的时间除以总的时间来确定。对于按季节运行的过程，1年（8760h）通常是时间基数。对于间歇运行过程，如从装入反应物到产出成品，需要12h完成。对于这样的过程，如果批次一个接着一个，则将12h作为时间基数。但是，如果运行不是连续的，则两个批次之间的平均间隔时间应考虑为时间基数。

例如，某蒸汽锅炉为精炼厂的办公室供暖。办公室位于气候温和的地区，所以每年供暖平均只需要14周。因为锅炉运行过程是季节性的，所以时间基数为1年。而锅炉每年平均运行14周，即14周是存在风险的。所以该锅炉的使用因子=风险存在时间/周期=14周/52周=0.27。

2.4.3.2　设备的完整性

人们一般不注意设备的完整性，但它却是很有效的保护层，能避免超压、超温事件的发生。在过程危险分析（PHA）中，工程师往往在过程设备已经能够抵挡风险的设计的情况下，仍然设计其他安全功能来避免风险。有人可能会认为既然在设备的设计中已经考虑了这些危险，那么超压、超温的情形就不必再担心了。这是一个正确的观点，但是许多组织采取了更加保守的态度。因为即使将过程设计成可以承受一定的压力或温度，但是压力或温度的突然剧增，甚至是在设计极限之下的剧增，也有可能发生失效或者破坏设备。例如，某一初始事件可能是精馏塔中的蒸气再沸器管道发生破裂。在这种情况下，虽然精馏塔被设计成为能够经受充满蒸气情况下的压力，但是高压蒸气将会对系统产生冲击。

如果认为设备是由于条件的骤变而破裂的，那么就应该将其作为事故来加以考虑，需要当作保护层来考虑设备设计，使其经受得起骤变的可能性。由于缺乏量化的数据，设备完整性保护层的失效概率通常很难估算。一种量化设备完整性保护层的失效概率的方法是将全年的正常失效率视作某个单一危险事件下的失效概率。在只考虑单一事故的情况下，设备失效概率与设备在一年内的正常运行中失效的概率是相同的。

示例1：上面提及的蒸气再沸器管道破裂的初始事件，精馏塔设计时已考虑提高压力承受能力。有数据表明压力容器在“危险-重大泄漏”的失效模式下的失效率是0.35×10-6h-1。估算精馏塔不能经受住这种骤变的可能性。

解：根据设备骤变失效概率与1年中正常运行的失效概率相同，可以估算精馏塔骤变导致的失效概率。运行时间为1年，失效率0.35×10-6h-1。根据失效概率的计算公式，精馏塔的骤变失效概率为：

2.4.3.3　引燃率

许多情况下，当可燃物质泄漏并与空气混合，结果并没有导致爆炸或者火灾，这是因为泄漏的物质没有被引燃。泄漏物被引燃的概率称为引燃率，它取决于许多因素，包括化学反应、挥发性、自燃温度和物理状态，以及存在的潜在引燃源。

可燃物质与氧化剂的混合物因受热或自热导致内能上升到一定值而被引燃，燃烧反应产生的热能大于燃烧损失的热能，使得燃烧能够保持并自行传播。内能的临界值被称为自燃温度。然而，其他形式的能量，如电火花或者电弧也可能成为引火源。更易发生反应的化学物质（如环氧乙烷）比低活性的化学物质（如丙烷）更容易引燃。燃烧通常是气相的反应，因此，可燃气体比可燃液体更容易引燃。要使液体点火并且燃烧，液体必须是可挥发的，而且高挥发性的易燃液体（如戊烷）比燃料油或者柴油这样低挥发性的液体更容易引燃。当某种物质在高于其自燃温度时泄漏，它遇到氧气就会迅速被引燃。

如果未达到自燃温度，就需要额外的能量源来引燃。引燃源越多，引燃率就越高。在某个过程生产环境中，引燃源包括明火、加热设备、电火花、静电和其他可能产生的火花以及设备的高温表面。虽然可以采取措施降低存在引燃的概率，但是不可能完全消除，因此将引燃源作为减缓因子考虑。

2.4.3.4　占用率

占用率是对危险事故发生范围内会影响一个或者更多人员的可能性的一种衡量，表征在事故影响区域内持续受到影响的概率。确定这个概率通常根据具体的人员素质和受过的培训。许多定量的后果分析已经包含了危险区域的被占用率。这时，在利用定量后果分析进行选择SIL时，应该把占用率定为1.0，以避免重复考虑占用率。

将占用效果作为后果分析的一部分，更优于在LOPA中使用占用率。另外，占用率的局限性在于，它只考虑到了人员的伤亡。如果事故将导致多种的后果，那么占用率方法会产生错误的结果。

示例2：某一间歇过程要求操作员手动向反应器添加反应物，该操作过程在一个封闭场所内进行，并且该场所可能会泄漏有毒的副产品。设计了一个SIF用来保护操作员，在有毒物质泄漏前停止反应。虽然有毒物质泄漏的可能性一直存在，但是操作员在其8h的工作时间里一般只在封闭场所内工作30min。在这种情况下进行保护层分析，应该怎样选择占用率？

解：占用率是操作员在危险区域持续受到毒物泄漏影响的概率。危险区域就是整个封闭结构。操作员对于封闭场所的占用率是8h工作时间中的30min，即

注意，该占用率的假设条件是：无论操作员是否在封闭场所里，有毒气体的泄漏概率是相等的。如果在操作员处于封闭场所内时，有毒气体更容易发生泄漏，那么需要对占用率进行校正。

2.4.4　LOPA的量化

进行LOPA时应考虑以下原则，以避免给出偏低的整体事故发生频率，从而导致危险的安全系统设计。

①确保每个保护层和减缓因子被且仅被考虑一次。例如，当考虑设备的完整性时，必须在释放装置未防止事故发生的情形下进行，即仅考虑设备在低于释放阀阈值时因为振动而失效的概率，或设备由于释放阀在高压情况下没有合理作用而失效的概率。否则，设备完整性的PFD将会很低并且会对整体的事故发生频率做出偏低的危险估计。

②在LOPA中每个保护层是排序的，必须确保排在某一保护层前面的保护层失效的情况下也能对其进行评估。

③可以使用与事件树分析一样的过程来量化保护层分析的结果。只对不期望事件的输出感兴趣，而并不关心可能发生却被保护层阻止了的事件的频率，通常也不计算它。

④不期望事故的频率同初始事件和保护层在逻辑上是“与”的关系。事故发生频率就是初始事件发生而且所有保护层都失效的频率。由于是逻辑“与”的关系，将频率与各概率相乘，来计算输出的频率。也就是说，输出等于初始事件的频率乘以所有保护层的要求时失效的概率。如果也考虑减缓事件，则每个减缓事件的无法防止事故发生的概率也应考虑，并同保护层失效概率一样，将概率相乘。

以下首先介绍确定初始事件频率的方法，然后再根据初始事件的发生频率高低分为低要求模式和高要求模式分别讲述如何用LOPA定量由初始事件造成的事故场景的发生频率。

2.4.4.1　初始事件频率计算

LOPA的每一场景都有单一的初始事件。初始事件频率通常以次/年来表示，也可使用次/106h表示。初始事件频率可参考可靠性数据库，如OREDA数据库，还可参考公司统计分析数据以及供应商的数据。但供应商的数据通常较为乐观，不利于安全。

在化工行业，已有将离散初始事件频率整合为一系列有代表性的初始事件等级，这大大提高了风险评估的一致性。LOPA分析人员经常使用的典型初始事件频率见表2.17。

表2.17　典型初始事件频率举例

某些数据库提供的初始事件频率尚需结合场景实际情况进行修正。例如，执行某操作的人的失误率是1×10-1/次，起重机载荷掉落概率是1×10-4/起吊，这两种情况均需要考虑人和起重机执行任务的次数，即要用使用因子对某些查得的初始事件频率进行修正。当然根据实际场景，还要考虑是否采用其他减缓因子对初始事件频率进行修正。

2.4.4.2　低要求模式

初始事件频率小于两倍测试频率的场景称为“低要求模式”，场景的后果频率可采用公式（2.10）计算。这里的初始事件频率已考虑了IPL的PFDs。

式中　——初始事件i造成后果C的频率；

——初始事件i的发生频率（已考虑修正因子）；

PFDij——初始事件i中第j个阻止后果C的独立保护层要求时的失效概率。

示例3：某项过程危险分析（Process Harzard Analysis，PHA）发现某个精馏塔可能破裂，导致可燃物料的泄漏和火灾。PHA发现精馏塔破裂的初始事件是冷却水的缺失，其发生的频率是0.5次/年。有若干保护层可以防止冷却水的缺失导致精馏塔破裂，而且有如下值：

过程设计的PFD=0.01

人员响应的PFD=0.2

泄压阀的PFD=0.07

引燃率=0.3

用LOPA对精馏塔的破裂进行分析。

解：初始事件，也就是冷却水的缺失，位于分析图的左端。然后在初始事件之后列举保护层，故障分支事件不是通向另一个保护层就是通向最后的输出。成功分支事件通往“无事故”输出。不期望事件的输出，或者说精馏塔破裂、着火，这是LOPA分析图所关心的输出，它位于分析图的右上。

在LOPA分析图中包含了初始事件发生频率、保护层失效概率及减缓因子，如图2.8所示。因为并不关心“无事故”输出，所以不计算它的频率。而破裂与着火是所关心的输出。使用如下的相乘方法来计算输出频率：

图2.8　精馏塔破裂着火的LOPA图

精馏塔破裂频率=0.5×0.01×0.2×0.07×0.3=2.1×10-5（次/年）

2.4.4.3　高要求模式

对独立保护层（IPL）的要求大于两倍的IPL测试频率的场景称为“高要求模式”场景，如IPL每年测试一次，而每年对IPL的需求大于两次。公式（2.10）不适用于高要求模式，因为对IPL的高要求很可能IPL在检验测试前已经发生失效。

对高要求模式，需要采用不同的公式：对于只有一个IPL的场景，使用公式（2.11）计算场景后果频率；如果存在多个IPL，使用公式（2.12）计算后果频率。

式中　——初始事件i导致后果C的频率；

——该保护层在阻止初始事件i导致后果C的场景时的失效频率。

在多个IPL的情况下，应该将第一个IPL的失效频率与第二个IPL的检验测试频率进行比较，如果对于第二个IPL是低要求模式，那么将代替初始事件频率代入公式（2.10），即可得到多个IPL下的后果发生频率计算公式：

式中　——初始事件i导致后果C的频率；

——第一个独立保护层在阻止初始事件i导致后果C的场景时的失效频率；

PFDij——初始事件i中第j个阻止后果C的独立保护层要求时的失效概率。

如果对第二个IPL提高要求模式，则应采用式（2.11）。

然而，第一个IPL的失效频率不同于其失效概率PFD，而且获得第一个IPL失效频率的资料非常有限，而IPL的PFD相对较易获得，因此可以采用一种简化近似的方法来代替初始事件发生频率：2倍的IPL检验测试频率。

对于只有一个IPL的场景，且能够获得该IPL的PFD，则后果发生频率的计算公式如下所示：

2×（IPL检验测试频率/年）×（IPL的PFD）　　（2.13）

综上所述，计算具有多个IPL的高要求模式的场景频率时，应逐层进行分析。例如有两个IPLs，应将第一个IPL的失效频率与第二个IPL的测试频率进行比较，如果对第二个IPL的要求低于其2倍测试频率，则为低要求模式，采用公式（2.12），否则应采用式（2.11）或式（2.13），依此类推。

示例4：一个小型储罐，从相连的大型储罐中充装1400次/年。装置设有一套液位传感器、逻辑控制器以及自动阀的安全仪表系统（SIS），从而构成了一个IPL。SIS每年检测一次，其PFDSIS为1×10-2。此外，操作员仍然通过现场的液位计监测液位高度且液位超高时手动关闭阀门，而且操作员在储罐充装过程中还要执行其他任务，操作员的失误概率PFDp为0.001。求储罐发生溢流的频率。

解：根据题意，为防止储罐溢流设有2个独立保护层：操作员监控和安全仪表系统。储罐充装过程中，操作员可能还要执行其他任务，而仅依靠SIS来停止进料，即SIS处于高要求模式，要求频率为1400次/年。如采用低要求模式的公式（2.10），并代入初始事件频率，溢流后果发生频率为：

1400次/年×PFDSIS=1400次/年×1×10-2=14次/年

可见，计算结果偏高，不符合实际，应采用适合高要求模式的公式（2.11），则有：

另外，根据公式（2.13），则溢流后果发生频率为：

2×1次/年×1×10-2=2×10-2次/年。

综上所述，式（2.10）不适用于高要求模式的场景；根据公式（2.12）计算的结果比由公式（2.13）的计算结果更精确。

2.4.5　多重初始事件导致的场景后果频率

前面描述的LOPA分析程序基于“只有一个初始事件导致事故场景”的前提。然而，初始事件往往有多重的内在联系，并导致某一不期望事故场景的发生。例如，一台天然气加热炉，如果火焰没有和燃料气隔离，那么很有可能导致蒸气云的爆炸或者爆燃。能够导致该爆炸场景的初始事件包括：瞬时的燃气压力下降；瞬时的高压；天然气管道内的惰性气体熄灭了火焰；加热炉中空气和天然气的比例太低或太高等。可见，许多其他初始事件都可能导致发生爆炸事故场景。

另外，不但初始事件可能是多重的，而且保护层也不能对所有的初始事件都发挥作用。一个典型的加热炉安全仪表功能可以使用一个低压开关和火焰检测器作为输入信号以关闭燃料气体的供应。火焰检测器保护层可以检测上面所提到的四种初始事件。然而，低压开关保护层只对瞬时的压力下降，以及空气与燃料压力比值达到高限这两种情况有作用。因此，不能将导致同样场景后果的几个初始事件合并在一起计算，应该对每个初始事件-场景后果分别进行分析。

不管多么复杂，LOPA都可以在多重初始事件存在的情况下有效地使用。在分析某个独立的危险事故场景时，可以把导致危险场景的初始事件分成几个部分，然后分别应用公式（2.10）～公式（2.13）对各初始事件的后果频率进行计算。每完成一个分析，就会得到1个基于此独立初始事件的事故发生频率。然后将各独立的初始事件得到的事故发生频率相加，得到整体的事故场景发生频率，如公式（2.14）所示。

式中，为初始事件i导致后果C的频率。

需要指出的是，有时并不对产生同样后果的场景频率求和，而是选择产生这种后果的最高的场景频率。

示例5：一个SIS用于防止由于压力超限导致的精馏塔破裂。压力超限可能由于两个初始事件导致：（1）再沸器中的蒸气管破裂导致蒸气泄漏，直接进入过程；（2）使冷却水进入塔内冷凝器的水泵发生失效。对这两种情况分别进行LOPA分析。

解：两个初始事件会产生的事故率分别为：

蒸气管影响精馏塔的事故发生频率：1.5×10-3次/年；

冷却水泵故障影响精馏塔的事故发生频率：9.6×10-3次/年。

在这种情况下，所有初始事件导致的精馏塔破裂的整体可能频率为：1.5×10-3+9.6×10-3=1.11×10-2次/年。

美国化工过程安全中心（CCPS）指出，有时并不对产生同样后果的场景频率求和，而是选择产生这种后果的最高的场景频率。此方法称为最大值法。

以下将深入探讨两种方法使用的条件和局限性。

公式（2.15）是任意n个事件A的一般概率加法公式。

当A1，A2，…，An相互独立时，有：

由公式（2.14）进行推导，得：

即）的大小在）和maxP（A1），P（A2）{，…，P（An）}之间。由于频率值一定程度上表征这概率值的大小，相应地fC应该位于求和法值与最大值法值之间，即：

根据公式（2.18）可知，如果fC值更接近，则选择求和法比较合适；如果fC值更接近，则选择最大值法更为准确。

从概率论的角度看，求和法使用的理想条件是单一初始事件引发的各简单后果场景相互独立，而最大值法则适用于各简单场景相互关联的情形。

遵循上述原则，选取求和法或最大值法时，主要依据以下三个因素：

①各简单事故场景引发的事故频率值　如果某个初始事件引发的场景频率比其他初始事件引发的场景频率都要大得多，且占场景频率的50％以上，则适合用最大值法。

②各初始事件之间相关性大小　各初始事件之间相关性越小，则同时发生的概率就越小，则适合用加总法。反之适合用最大值法。

③各简单场景是否共用保护层　各简单场景共用保护层的数目越多，则表明简单事故场景之间相关性越大，越不可能互斥，适合用最大值法。

尽管初始事件相关性越大，各简单事故场景共用保护层数目越多，最大值法越有效，但相关性大小并没有量化指标，满足最大值法的共用保护层数目也没有绝对标准，相比较而言，对简单事故场景的频率值相对大小进行判断，则更加直观、可靠；另外，共用保护层数目较初始事件相关性容易确定。因此判断选取求和法或最大值法时，首先依据场景频率值相对大小，其次是判断各简单事故场景共用保护层的数目，最后是判断初始事件相关性。

示例6：以“精馏塔因高压发生灾难性毁坏”事故场景为例进行说明。

解：如果认为该场景存在两个导致高压的初始事件：冷凝器的冷却水失效（发生频率为0.2次/年）和蒸汽控制环路失效（发生频率为0.1次/年），两个简单事故场景均不存在独立保护层。由于各初始事件频率相差不大，没有共用保护层，“冷凝器的冷却水失效”和“蒸汽控制环路失效”等两个初始事件之间没有什么联系，选择加总法为佳，即复杂事故场景的频率为0.3次/年。

如果认为该场景存在三个导致高压的初始事件：精馏塔电力系统失效（发生频率为1次/年）、冷凝器的冷却水失效（发生频率为0.2次/年）和蒸汽控制环路失效（发生频率为0.1次/年），三个简单事故场景均使用失效概率为0.01的人工干预独立保护层。由于各简单事故场景发生频率除了精馏塔电力系统失效值较大外，其他均较小，使用了同样的独立保护层，且初始事件之间的相关性很大（精馏塔电力系统失效很可能就是冷却水失效以及蒸汽控制环路失效的原因），适合使用最大值法，即复杂事故场景的频率为1×0.01=0.01次/年。

2.4.6　多个场景的后果频率

如果同一区域或人员会受到多个场景后果的影响，如图2.9所示。首先，应对每个场景分别计算个体暴露的风险。由于个体可能暴露于三种释放源造成的后果影响范围内，所以应将所有的场景后果频率及风险求和，场景后果频率仍可应用公式（2.14）。

图2.9　同一区域或个体受到的多个场景后果影响