1.1　保护层分析概述

这一节主要取自美国化学工程师学会化工过程安全中心（以下简称CCPS）的《危害评估程序导则》第3版（CCPS2008） ，为CCPS 2001年发布的《保护层分析——简化的过程风险评估》中介绍的保护层分析方法提供了一个简要的总结及少量的更新。经验丰富的LOPA从业者和使用者可以直接前往1.2节查阅LOPA变种形式的相关信息。

保护层分析是定量风险分析的一种简化形式，它使用初始事件频率、后果严重性和独立保护层（IPLs）的失效概率的数量级类别来对一个或多个事故场景的风险进行分析和评估。LOPA分析可在包括流程开发、流程设计、操作、维护、变更和退役的全生命周期的不同阶段中应用。

LOPA分析的目的

LOPA分析可帮助我们回答以下疑问：

•为了满足我们的风险目标我们的装置需要什么样的保护层？

•每一个保护层可减少或需要减少多少风险？

尽管实际上为了回答这些问题往往需要通过定量风险分析（QRA）来实现，但是LOPA分析也可以以相对QRA分析更短的时间及更少的资源下帮助我们回答这些问题。

LOPA是一种数量级层面上的定量分析方法（有时也被称作半定量分析），它通常建立在定性风险评估（例如HAZOP分析）的基础上。通过具体分析指定的危害场景，LOPA分析可以判断每一个待分析场景的风险是否已经被降低到指定的风险可接受标准内。然而，如果分析者或分析团队可以只通过定性分析方法来做出一个合理的风险决策，那么LOPA分析也许就没有必要了。定性风险评估方法（如HAZOP分析）通常是为了识别一系列潜在的事故场景，并对这些场景中保护措施的充分性进行定性分析。LOPA分析通常被用于对这些潜在事故场景中的部分指定场景进行分析。

有时，简单的数量级级别的LOPA分析可以通过更严格的定义及执行扩展到更加完整的全定量风险分析领域QRA中。使能条件与修正因子的使用也包括在这个领域之中。

描述

一般来说，LOPA的执行往往建立在定性风险评估中的基础之上，但是也可以应用于从其他来源获悉的场景，例如系统审核或事故调查。LOPA可以被用于全面定量风险分析前的事故场景筛选工具。如果需要，LOPA也可以与定性的基于场景的危害评估方法结合起来使用，例如HAZOP分析（见4.2节）。

在定义了分析范围之后，LOPA可以概括为以下七个步骤。LOPA的结果可以用于帮助进行风险相关决策。

步骤1：确定场景筛选标准。自从LOPA被用于评估筛选危害场景的典型方法后，LOPA分析者或分析团队的第一步就是筛选这些场景。最常见的筛选方法是以场景后果作为依据的。其他筛选标准也有可能被使用，例如，基于“未削减风险”（场景后果严重性与初始事件发生频率估算相结合）或者基于风险评估小组对场景仔细分析后做出的决断。

LOPA后果严重性估算和后果筛选阈值可能有很多种方法，每一种都有各自的优缺点，并且在风险分析中的保守程度上各有不同。通常来说，越简单的方法也就越保守。

•方法1：分类的方法没有直接提及对人类的危害。后果的分类是根据泄漏物质类型和量级或其他后果特征来划分的，而不是明确规定了可能由一个指定泄漏场景所造成的最终伤亡人数和受伤严重性程度。

•方法2：对人员伤害的定性评估。对人员的影响通过与组织的风险可接受标准直接比较，但通常是定性评估后果影响的量级。这种方法一般不会明确应用修正因子，例如人员暴露概率。

•方法3：定性或数量级级别的定量评估人员伤害，并通过修正因子来修正泄漏发生后的概率。这种方法是方法2中定性判断的拓展，更加定量（数量级）地评估人员伤害的后果严重性。

•方法4：定量评估人员伤害后果。这种方法与方法3相似，但是在确定泄漏对人员和设备造成的影响时使用了更详细的分析方法。分析过程中可能会使用符合完整化工工艺定量风险分析（CPQRAs）要求的相关软件工具，包括扩散及爆炸模拟等。使用这些软件工具增加了分析的复杂性和时间需求以及对专业知识的需要和其他资源。这类后果分析的复杂性等级远远超过使用LOPA进行的数量级风险估算方法。

步骤2：选择一个事故场景。LOPA一次只应用于一个场景。场景可以来自于其他分析，例如定性风险评估和/或变更管理审核，但是每个场景必须包括单独的初始事件-损失事件对（“原因-后果对”）。也有一些特殊场景可能涉及两个并发初始事件（对于这种场景，可能需要使用定量风险分析来进行评估，详见附件A）。

当从定性危险评估（例如HAZOP分析）中筛选出待分析的场景后，这些待分析场景可能被再次分离成若干个场景进行评估。例如，一个包含了紧急泄压系统的场景，在LOPA分析中有可能被分离为紧急泄压系统失效（后果严重性相对较高但发生的可能性较低）和紧急泄压系统功能正常（后果严重性相对较低但发生的可能性较高）这两种场景。

步骤3：确认场景初始事件并且确定它的发生频率。在假设所有预防性保护措施失效的情况下，初始事件必然会导致损失事件发生。（与HAZOP分析类似，初始事件可能包括一个或多个初始原因，只有当初始原因会导致同样的损失事件并且受同样的独立保护层保护时才可将其进行合并。）很多企业都设有相关导则用于初始事件发生频率以保证LOPA后果的一致性，CCPS2001年发布的LOPA导则也提供了相关频率数据。分析团队应根据待分析装置的历史运行数据以及类似装置同类初始事件的发生频率来合理地确定初始事件发生频率。其他因素也可能影响初始事件发生频率，如非常规设计/维护或用于降低操作人员误操作频率的密保系统等。

一般来说背景条件并不是初始事件而是使能条件，例如工艺系统仅在某种特定操作模式下才可能失效的概率。在LOPA分析中，将采用这类使能条件发生概率对初始事件发生频率进行修正。关于这部分的具体内容请参见第2章。

步骤4：识别独立保护层并且预估每个独立保护层的PFD。LOPA方法的核心是识别出给定场景满足独立保护层（IPLs）需求的现有预防性保护措施。（所有独立保护层均为保护措施，但并不是每一个保护措施都满足成为独立保护层的需求。）

独立保护层可以是防止场景演变成不期望的失效事件的装置、系统或动作，并且独立于初始事件或场景。一个满足独立保护层需求的预防性保护措施通常是以下面七点为核心来进行设计的。

•独立性——保护层的性能不会被初始事件或其他保护层的动作所影响。

•功能性——能够在指定的异常场景下做出响应并成功实现其指定功能。

•完整性——通过保护层的设计和管理可以显著降低场景风险。

•可靠性——确保保护层在指定条件的指定时间段内的可操作性。

•验证、维护和审核——通过对信息、文档、程序的执行、维护和验证，确认保护层的设计、检验、维护、测试和操作实践是否被充分设计且满足其需实现的核心功能。

•访问安全——通过权限控制与其他物理方法来减少意外或未经授权的变更。

•变更管理——在执行变更前，用于审核、记录和批准变更而不是替换的正式流程。

独立保护层可被视为保护潜在事故场景的“防御体系”。IPL独立于初始事件和其他独立保护层的特性是非常重要的。保护层分析小组应在独立保护层设计和管理的基础上，评估每个独立保护层的独立性，并预测其失效频率。装置内所有独立保护层都应被包含于装置的机械完整性程序中，并通过适当的检验及验证式测试以确保其维持目标需求时失效概率。依赖于操作人员的独立保护层应有清晰描述其主要步骤的书面程序，相关操作人员接受了足够的培训及测试以确保其可在指定时间内完成响应。任何涉及独立保护层的行为应受控，涉及独立保护层的相关变更应在实施前进行变更管理审查。

安全仪表系统（SIS）是独立保护层的类型之一。CCPS发表过覆盖安全仪表系统和其他仪表保护系统的全生命周期的导则（CCPS 2007）。

独立保护层的完整性可通过需求时失效概率来进行定量，该概率为0和1之间的无量纲数字。独立保护层的需求时失效概率是指当某事故场景需要独立保护层实施其指定功能时，该独立保护层失效的概率。大多数公司会提供一系列预设的需求时失效概率值用于保护层分析，因此分析小组进行分析时，能够挑选最适于待分析场景的独立保护层，以及最适于设备结构和装置完整性管理计划的需求时失效概率值。

步骤5：计算场景发生频率。事故场景的综合发生频率预测是通过计算初始事件发生频率和独立保护层需求时失效概率来实现的。这些方法包括使用公式和图表法等。不管使用何种方法，大多数公司都会提供一种标准程序来记录保护层分析的中间结果和最终结果。以下数学方法适用于低要求情况（需求频率低于第一个独立保护层测试频率的两倍，详见CCPS2001附件F）。

其中，是初始事件i结果C的场景频率；是初始事件i结果C的初始事件频率；PFDij是保护初始事件i结果C的独立保护层j的需求时失效概率（危险失效模式）。

例如，如果初始事件（i=1）概率为每隔十年一次（=10-1/年），针对这一初始事件的两个独立保护层的需求时失效概率均为0.01（PFD11=10-2，PFD12=10-2），这两个独立保护层成功响应时均可阻止初始事件1至出现C后果的事故序列，那么初始事件1（）结果C的场景计算频率为10-1/年×10-2×10-2=10-5/年。

如果公司选择在LOPA分析中应用使能条件，事故场景频率计算时应考虑与场景相关的使能条件因子（详见第2章）。使能条件概率的计算与上述需求时失效概率的频率计算公式类似。

如果公司选择在LOPA分析中应用条件修正因子，依据采用后果严重性评估的方法（如本节中步骤1所述方法3或方法4），修正因子（如第3章所述）可在场景频率计算时考虑。例如，当公司评估直接人员伤害频率时，场景频率计算时应包含额外的修正概率，例如着火概率或事故发生时操作人员到场概率。这些概率作为额外因素，包含于频率计算公式中，即：

为考虑着火频率的风险计算公式，以及为进一步考虑着火时操作人员在火灾影响区域内概率的风险计算公式：

步骤6：评估危害场景相关的风险以帮助做出决策。通过将场景后果严重性与场景发生频率相结合来获取场景风险：

这里，为待分析事故k的风险等级，一般通过单位时间内后果等级来表示，例如年死亡人数；为相反单位时间内的利益为待分析事故k的频率，单位为时间的倒数；Ck为利益为待分析事故k的后果严重性（影响）的一种指定计量数据（例如：死亡人数，严重伤亡人数，公众影响，环境影响，经济损失）。

计算出事故场景的风险或频率通常会与指定的风险可接受准则进行对比，或通过将其转化为风险矩阵中的不同位置来表示。

步骤7：通过保护层分析进行风险决策。当已经通过LOPA分析评估出了事故场景的风险等级，则可在此基础上进行风险决策。这一决策过程一般是通过将事故场景风险等级与公司风险可接受标准进行对比来实施的（可参见CCPS2009中相关内容）。如果计算出的场景风险超过企业风险可接受标准，则超出的部分风险即为需要采取措施进行削减的部分。风险削减可通过多种手段来实现，包括通过进行本质安全设计消除潜在风险，降低初始事件发生频率，提高独立保护层的完整性，增设安全保护设施或削减事故后果等。LOPA分析结果也适用于其他用途，包括调整机械完整性管理程序来重点监测特定的设备部件等。

LOPA分析预期成果

通过LOPA分析评估可获取一系列事故场景的数量级级别的风险等级。保护层分析也包括对每个事故场景现有独立保护层的充分性进行评估，通过对比场景风险与风险可接受标准来进行风险决策，在必要的情况下建议增设额外的独立保护层以使场景风险满足企业风险管理要求。

表1.1为保护层分析工作表的一个案例，展示了单一场景的分析结果。可结合阅读CCPS（2001）以完整理解这个案例的具体内容。本案例包含一个使能条件（反应器冷却失效时发生失控的概率），以及两个修正因子（操作人员出现在后果影响区域的概率；致死概率），虽然在本案例中两个修正因子都没有实际对风险进行削减（即每个修正因子概率=1）。