基于LOPA分析法的SIL评估

苏晓妹

【摘要】本文介绍了SIS的组成、SIL评估依据、作用，并论述了一种在工程设计中最常用的安全分析方法-防护层分析（LOPA），该方法是危险与可操作性分析（HAZOP）的继续，本文介绍了其在SIL评估中的具体实施应用。

1、引言

随着石油、化工装置的经济规模日趋大型化，生产装置的密集程度越来越高，对操作、控制及安全的要求也越来越严格。石化装置的产品一般都属于易燃、易爆或有毒介质，生产过程稍有闪失就会酿成灾难性的事故，造成生产、设备、人员等方面的重大损失。作为过程工业安全的重要保障，确保过程工业安全仪表系统本身的可靠性对于过程工业的安全具有重要意义。虽然大多数石油化工装置均安装了SIS，但由于SIS设置的合理性、针对性、有效性等方面存在问题，以至于当灾难性事故发生时SIS却失去了作用。在石油化工领域开展安全仪表系统安全完整性等级（safety integrity level，SIL）评估，合理、有效的设置SIS，实现SIS的安全功能，保障石油化工装置的安全，已经成为目前亟需解决的问题。

2、安全仪表系统及安全完整性等级

安全仪表系统 （Safety instrumented systems，SIS）是一种自动安全保护系统，它是保证正常生产和人身、设备安全的必不可少的措施，它已发展成为工业自动化的重要组成部分。根据IEC61511中的定义，安全仪表系统是由传感器、逻辑控制器、执行器组成的，能够执行一项或多项安全仪表功能（Safety instrumented function，SIF）的系统，如紧急切断系统、火灾报警系统、安全联锁等。所谓的SIF就是能感知危险状态，并能自动的采取有效动作，将过程转变至安全状态。每一个安全仪表功能针对特定的风险对生产过程进行保护。SIS执行SIF功能，是通过（a）一个或多个传感器（如：温度、压力、液位、有毒或可燃气体浓度）；（b）一个或多个电子逻辑运算器（通常情况是，一个安全的可编程逻辑控制器，即PLC），（c）一个或多个过程控制最终元件（如切断阀、电子开关等）SIS系统的设计分2个步骤：首先确定SIS系统将要做什么，也就是它需要实现哪些SIF功能；然后，确定对于每个SIF功能。为了确定SIS系统的SIL等级，首先需要知道企业对风险的可接受程度，及HAZOP分析报告表。然后基于LOPA分析方法，分析相关工艺安全措施的有效性，以确定工艺过程的安全保护措施是否足够及有效，以确定过程的实际风险是否在可接受水平。如何确定一个SIF功能是否满足工作要求，IEC61511划分了4个安全完整性等级（SIL），等级划分完全取决于SIF功能的失效概率（PFD），PFD的倒数又称为风险降低因子（RRF）。表1列出了每个SIL等级的失效概率范围及RRF范围。

IEC61511构建了SIS系统完整生命周期的必要条件，该“安全生命周期（SLC）”包括SIS系统从构建到停用全过程的说明书、设计、安装、操作、维护、变更等。但是SIS系统最重要是SLC阶段是，a）判断是否需要SIS系统，b）确定每个SIF功能的SIL等级（如果需要SIS系统）。

3、基于LOPA分析的SIL的评估

保护层分析方法是一种半定量的评估方法，也是目前最常用的方法。LOPA从危险和可操作性分析的数据着手，通过起始事件和预防或减轻危险的保护层计算每个危险，确定风险降低的总量以及是否需要进一步降低风险。

3.1 LOPA原则

LOPA是一种非常系统、详尽的分析程序，它涉及到工艺过程的每一个细节，但在具体分析时有许多不正常状态是不会引致事故的，因此，为了保证分析工作做到切实有效、重点突出，只对能产生下列后果的事故进行风险分析：①人员（职工、公众）伤害②环境破坏③财产损失对不产生上述后果的非正常状态只进行一般的HAZOP危害分析。首先应该确定后果严重等级和初始事件频率，查风险矩阵表，确定是否需要风险降低，然后进行独立保护层识别，确定风险降低的频率等级，反查矩阵表，在不需要SIS的情况下，是否达到了可接受的风险水平，需要SIS降低的风险等级即是目标SIL等级。

3.2 风险矩阵确定

进行保护层分析，首先应该确定事故后果的严重等级，事故后果的等级随着不同的国家、不同的公司对风险可接受的标准不同，我们可以根据实际情况进行调整，如下表为某公司事故后果严重度分级。

其次，确定潜在事故频率等级，潜在事故后果的发生频率，由初始原因事件频率、促使原因事件发展为后果事件的条件事故发生的概率共同决定。最后，确定后果事故频率等级，其分类如表3所示。

经过以上几步，确定了后果的严重程度和事故发生的频率，根据表4风险等级矩阵，就能查出相应的风险等级。

由于我们只能降低风险发生的频率，而不能减小风险降低的后果，因此风险矩阵中纵坐标是一定的，横坐标向左移动一个单元格，说明降低了一个SIL等级，由此就能够确定出SIF回路的目标SIL等级。

3.3 独立保护层（IPL）识别

LOPA 的主要目的是确定对于特定的事故情形，所采用的保护层是否足够。根据过程的复杂程度和潜在危险性大小来确定需要一个或是多个保护层次。但是，对于某一给定的情形，必须至少有一个保护层成功的发挥作用，这样才能防止事故的发生。没有任何保护层是完全有效的，因此，要想降低风险就必须添加足够多的保护层，而添加保护层的多少也需考虑经济承受能力。

由于每个保护层的功能不同，作用也有强弱之分，每个独立保护层的PFD分别在10-5～10-1之间变化。我国对失效概率数据信息的收集整理和分析工作的还没有系统展开，还没建立可供使用的工业失效数据库，在失效概率数据的获取、计算与分析等方面的技术方法也缺乏，在实际分析过程中，失效概率数据主要借鉴国外数据，如挪威DNV发布的OREDA数据库；美国可靠性分析中心发布的《失效模式/机制分布》（FMD-97）和《非電子部分可靠性数据》（NPRD-95）数据手册；美国化工过程安全中心发布的《过程设备可靠性数据指南》（附带数据表）等等，但是这些数据在使用时要根据我国国情进行校正。

对某一系统或IPL的作用进行分类需遵循三个准则：1）只有当IPL以其设计时的功效发生作用时，其在防止后果时才是有效的。2）IPL独立地对初始事件及其他所有的被用于相同情形的IPL的组件发挥作用。3）IPL是可以审查的，即IPL的PFD必须能够确认，包括检查、测试和文档资料。表7为保护层分析的一个典型表格。

例如某事故发生的起始失效事件有3个，各起始事件引发可能性，及各保护层设计情况如表7所示，事故发生的可能性为7.3E-4，如果我们设定可接受风险目标为1E-5，则安全功能平均要求时失效概率PFDavg=Ft/Fnp=1E-5/7.3E-4=1.37E-2，因此要求我们的SIF回路在整体上应该达到SIL1，也即是目标SIL值为SIL1。

4、小结

安全完整性等级评估可分为定性的和定量的方法，定性的方法使用个人经验和工程判断做出选择，它不是根据精确的数值分类，而是将一些关键风险的描述性参数进行分类，此方法比较主观，有时会導致严重的错误；定量的方法要求安全功能要求的后果和动作频率通过定量的方式给出，同时允许风险也是定量的，将系统风险定量地计算出来，然后同定量的允许风险相比较得到风险降低量，再计算出PFD，从而可得到SIL。定性方法的优点是省时、简单、所需资源少，而缺点就是太过于依赖人的经验和主观判断。定量的方法具有更加准确的确定SIL，不足之处是所需资源大，对于特定过程的可靠性数据缺乏，安全完整性的选择相对比较耗时。而LOPA分析介于定性的和定量的方法之间，属于半定量的风险分析方法，相对于定量风险分析，LOPA花费的时间少，同时适用对于定性风险评估来说过于复杂的场景，而且LOPA提供了更具可靠性的风险判断，基于以上优点，采用LOPA分析方法来确定安全仪表功能的完全完整性等级有广阔的应用前景。

参考文献

[1]IEC 61511，Functional Safety： Safety Instrumented Systems for the Process Industry Sector [S].International ElectrotechNIcalCommission， Geneva， Switzerland.

[2]黄安清.实施HAZOP、LOPA、SIL分析的关键问题[J].广东化工，2013，40（21）：104-106.

[3]吴重光.危险与操作性分析（HAZOP）应用指南[M].中国石化出版社，2012.

[4]GB/T 21109-2007.过程工业领域安全仪表系统的功能安全[S].北京：中国标准出版社，2008.

[5]李娜，孙文勇，宁信道.HAZOP、LOPA和SIL方法的应用分析[J].中国安全生产科学技术，2012，8（5）：101～105.

[6]吴重光，张贝壳，马昕.过程工业安全设计的防护层分析（LOPA）[J].石油化工自动化，2007，4：1～3.

[7]袁树海，宋彬，李范书，夏太武.安全完整性等级SIL应用研究与实践[J].石油与天然气化工，2012，41（1）：107～109.