保護(hù)層分析課件

事件樹和保護(hù)層分析于樹偉財團(tuán)法人安全衛(wèi)生技術(shù)中心1事件樹和保護(hù)層分析于樹偉12預(yù)防事故發(fā)生的保護(hù)層1.製程設(shè)計2.基本程序控制、警報、操作人員監(jiān)控3.關(guān)鍵警報、操作人員監(jiān)控、手動方式介入/操作4.安全儀控系統(tǒng)5.物理性防護(hù)(排放系統(tǒng))6.物理性防護(hù)(防溢堤)

7.廠內(nèi)緊急應(yīng)變8.社區(qū)緊急應(yīng)變22預(yù)防事故發(fā)生的保護(hù)層1.製程設(shè)計2.基本程序控制、警報保護(hù)層基本概念緊急應(yīng)變防護(hù)層

被動式防護(hù)層主動式防護(hù)層設(shè)備安全防護(hù)層緊急停俥異常狀態(tài)程序控制層製程停俥正常狀態(tài)程序控制層製程變數(shù)停俥條件警報條件廠區(qū)和社區(qū)緊急應(yīng)變

防溢堤排放閥、破裂盤

安全儀控系統(tǒng)人員介入基本程序控制系統(tǒng)消減系統(tǒng)預(yù)防系統(tǒng)正常操作範(fàn)圍硬體承受上限操作承受上限3保護(hù)層基本概念事件樹分析

事件樹分析(EventTreeAnalysis,ETA)是根據(jù)二元邏輯的方式，將事件的發(fā)生分為「可能」或「不可能」二類，或者是將設(shè)備運作的功能以「失效」或「成功」表示，藉由圖形的方式描述由起始事件到可能的後果，起始事件為特定設(shè)備失效或人為失誤。ETA以起始事件做為開始，例如設(shè)備零件的失效、溫度或壓力的增加或是危害物質(zhì)洩漏，經(jīng)由一系列可能的途徑演變至可能的後果，對每條途徑分配可能發(fā)生的機(jī)率，則可計算單一危害可能導(dǎo)致不同事件結(jié)果的發(fā)生頻率。4事件樹分析事件樹分析(EventTreeAnal事件樹分析

成功成功成功失敗失敗失敗安全結(jié)果(情境1)不期望但可容忍的結(jié)果(情境2)不期望但可容忍的結(jié)果(情境3)後果超出標(biāo)準(zhǔn)(情境4)起始事件保護(hù)層1保護(hù)層2保護(hù)層3

結(jié)果5事件樹分析失敗失敗失敗保護(hù)層1保護(hù)層2保護(hù)層3結(jié)ETA執(zhí)行步驟辨識起始事件；辨識防護(hù)層或危害影響因子；建構(gòu)事件樹；將結(jié)果分類；估計事件樹中每一分枝的機(jī)率；量化結(jié)果；審查結(jié)果。6ETA執(zhí)行步驟辨識起始事件；6事件樹的優(yōu)點

圖解的方式呈現(xiàn)啟始事件到事件結(jié)果間的事件鏈，容易瞭解事件順序之間的邏輯關(guān)係；分析過程直接顯示防護(hù)層的成功或失效對於事件結(jié)果情境發(fā)展的影響；對於評估新的或已改善的製程和安全功能，提供良好的評估基礎(chǔ)；可適用於分析複雜的製程，或具有重大事故危害的評估；為一兼具定性與定量的評估技術(shù)；可考量硬體、軟體失效及人為失誤相關(guān)問題。7事件樹的優(yōu)點圖解的方式呈現(xiàn)啟始事件到事件結(jié)果間的事7事件樹的缺點

圖形的陳述方式?jīng)]有相關(guān)的標(biāo)準(zhǔn)或規(guī)範(fàn)；每一次的分析只能針對一件起始事件；容易忽略共同原因失效的影響，造成過度樂觀的估計風(fēng)險；防護(hù)層或影響因子排列數(shù)目會影響樹的分枝發(fā)展，容易過大而複雜化。8事件樹的缺點圖形的陳述方式?jīng)]有相關(guān)的標(biāo)準(zhǔn)或規(guī)範(fàn)；8保護(hù)層分析概論

LOPA(LayerofProtectionAnalysisLOPA)的主要目的是確定是否有足夠的保護(hù)層以防止意外事故發(fā)生或判定風(fēng)險是否能夠容忍。事故情境可能有各種不同類型的保護(hù)層，一個情境可能需要一種或多重保護(hù)層，這取決於製程的複雜程度和潛在後果的嚴(yán)重性。值得注意的是，對於特定的情境，只需一種保護(hù)層成功運作就可避免事故後果的發(fā)生。然而，因為沒有任何一種保護(hù)層是完全有效的，所以必須提供充份的保護(hù)層以降低事故風(fēng)險，並滿足風(fēng)險容忍標(biāo)準(zhǔn)。9保護(hù)層分析概論LOPA(LayerofProt保護(hù)層分析概論(續(xù))對於特定的情境，LOPA提供了一致的基礎(chǔ)，可用於判斷是否有足夠的獨立保護(hù)層控制事故風(fēng)險。如果情境的風(fēng)險為不可接受，則需要增加額外的獨立保護(hù)層。一旦選定進(jìn)行分析的原因－後果組合，分析人員就能夠使用LOPA確定哪些製程和管理控制措施(通常稱為防護(hù)措施)滿足獨立保護(hù)層的定義，並評估情境的風(fēng)險狀況。然後可進(jìn)一步根據(jù)評估的結(jié)果進(jìn)行風(fēng)險分析，協(xié)助分析人員決定達(dá)到可容忍等級需要多少額外的風(fēng)險消減措施。針對某一情境執(zhí)行LOPA分析時，也可能發(fā)現(xiàn)其他情境或問題。10保護(hù)層分析概論(續(xù))對於特定的情境，LOPA提供了一致的基獨立保護(hù)層和後果發(fā)生頻率關(guān)聯(lián)性

IPL1IPL2IPL3箭頭的粗細(xì)代表了後果發(fā)生的頻率

11獨立保護(hù)層和後果發(fā)生頻率關(guān)聯(lián)性IPL1保護(hù)層分析步驟

評估進(jìn)一步的風(fēng)險消減建議估計後果和嚴(yán)重性進(jìn)行風(fēng)險決策確定情境頻率發(fā)展情境確定起始事件辨別相關(guān)的獨立保護(hù)層步驟1步驟2步驟4步驟5步驟6步驟312保護(hù)層分析步驟評估進(jìn)一步的風(fēng)險消減建議估計後果和嚴(yán)重性進(jìn)保護(hù)層分析步驟1篩選情境：因為LOPA通常評估危害分析已辨識的情境，因此LOPA分析人員的第一個步驟是篩選可能的情境，最常見的篩選方法是基於後果的嚴(yán)重度。後果通常在定性危害分析(如HazOp研究)過程中已予以辨識，接下來分析人員將對後果進(jìn)行分析(包括後果影響)，有些公司的後果分析只評估洩漏物質(zhì)和能量的大小，這種評估結(jié)果潛在地表示了事故情境，但是沒有明確表明對人員、環(huán)境和生產(chǎn)製程產(chǎn)生的危害。還有一些公司會對洩漏過程進(jìn)行模擬，以得到具體情境下的傷害可能性，進(jìn)而更加精確地評估對人員、環(huán)境和生產(chǎn)製程造成的風(fēng)險，例如確定某洩漏情境下操作人員受傷的機(jī)率。13保護(hù)層分析步驟1篩選情境：因為LOPA通常評估危害分析已綜合損失類型

低度後果人員輕微傷害或沒有受傷；不會損失工作時間社區(qū)輕微傷害或沒有受傷；不會引起公眾厭惡環(huán)境釋放未導(dǎo)致公司通報主管機(jī)關(guān)或違反規(guī)定設(shè)施輕微的設(shè)備破壞，損失小於$100,000，沒有生產(chǎn)損失中度後果人員個人受傷，不嚴(yán)重；可能會損失工作時間社區(qū)氣味或噪音引起公眾抱怨環(huán)境釋放導(dǎo)致公司須通報主管機(jī)關(guān)或違反規(guī)定設(shè)施一些設(shè)備破壞，損失大於$100,000，輕微生產(chǎn)損失高度後果人員一位或多位人員嚴(yán)重傷害社區(qū)一位或多位人員嚴(yán)重傷害環(huán)境大量的釋放，對廠外造成嚴(yán)重的影響設(shè)施對製程區(qū)造成嚴(yán)重破壞，損失大於$1,000,000，高度生產(chǎn)損失非常嚴(yán)重後果人員致死或永久性傷殘社區(qū)一位或多位人員嚴(yán)重傷害環(huán)境大量的釋放，對廠外造成嚴(yán)重的影響，並且造成急性或慢性健康影響設(shè)施對製程區(qū)造成嚴(yán)重破壞，損失大於$10,000,000，嚴(yán)重生產(chǎn)損失14綜合損失類型低度後果人員輕微傷害或沒有受傷；不會損失工保護(hù)層分析步驟2選擇某一事故情境：LOPA一次只能選擇一種情境，這個情境可來自其他分析(如定性分析)，但是這種情境描述的應(yīng)是單一的原因－後果配對。15保護(hù)層分析步驟2選擇某一事故情境：LOPA一次只能選擇一保護(hù)層分析步驟3辨識情境起始事件，並確定起始事件頻率(次數(shù)/年)：在所有防護(hù)措施失效時，起始事件必然會導(dǎo)致後果的發(fā)生。起始事件頻率必須考慮情境的背景情況，如可引發(fā)情境的操作模式的頻率。大多數(shù)公司提供了評估事件頻率的指南，以確保LOPA後果的一致性。16保護(hù)層分析步驟3辨識情境起始事件，並確定起始事件頻率(次保護(hù)層分析步驟4辨識獨立保護(hù)層，並評估每個獨立保護(hù)層要求失效機(jī)率(ProbabilityofFailureonDemand,PFD)：因為LOPA是”保護(hù)層分析”的簡稱，有些事故情境只需要一個獨立保護(hù)層，而另外一些事故情境，可能需要多種獨立保護(hù)層，或失效機(jī)率非常低的獨立保護(hù)層，以確認(rèn)事故情境的風(fēng)險滿足容忍標(biāo)準(zhǔn)。對於特定情境，辨識現(xiàn)有的安全保護(hù)措施是否滿足獨立保護(hù)層IPLs的要求是LOPA的核心觀念。17保護(hù)層分析步驟4辨識獨立保護(hù)層，並評估每個獨立保護(hù)層要求保護(hù)層分析步驟5利用後果、起始事件和獨立保護(hù)層相關(guān)數(shù)據(jù)，評估情境風(fēng)險：計算過程能包含其他因素，這取決於後果的定義(事件的影響)，計算方法包含公式法和圖表法，無論使用什麼方法，計算的結(jié)果必須予以記錄。18保護(hù)層分析步驟5利用後果、起始事件和獨立保護(hù)層相關(guān)數(shù)據(jù)，保護(hù)層分析步驟6針對所分析的情境評估風(fēng)險並作出決策：將情境風(fēng)險與公司容忍風(fēng)險標(biāo)準(zhǔn)和(或)相關(guān)的目標(biāo)相比較。19保護(hù)層分析步驟6針對所分析的情境評估風(fēng)險並作出決策：將情保護(hù)層分析限制條件只有使用相同的LOPA方法(即使用相同的方法選擇失效數(shù)據(jù))，情境風(fēng)險的比較才有效，並且比較都是基於同樣的風(fēng)險容忍標(biāo)準(zhǔn)或者與LOPA確定的其他情境風(fēng)險相比較。LOPA計算結(jié)果並不是情境風(fēng)險的標(biāo)準(zhǔn)值，這也是LOPA在定量風(fēng)險分析方面的限制。LOPA是一種簡化的方法，並不適合用於所有的情境，對一些風(fēng)險決策過程，執(zhí)行LOPA可能過於複雜，而對另一些決策LOPA可能又顯得過於簡化。20保護(hù)層分析限制條件只有使用相同的LOPA方法(即使用相同的方保護(hù)層分析限制條件(續(xù))在風(fēng)險決策過程中，與定性的方法如HazOp和What-if相比，LOPA顯得較耗時。在中度複雜的情境中，由於LOPA改善了風(fēng)險決策過程而彌補(bǔ)了LOPA的耗時。對於簡單的決策，LOPA的使用價值不明顯。而對於很複雜的情境和決策，LOPA比定性方法更節(jié)省時間，因為LOPA將重點集中於風(fēng)險決策。LOPA本身並不是一個危害辨識工具，LOPA依賴辨別起始危險事件的方法以及確定事件原因的防護(hù)措施所採用的方法(包括定性危害審查方法)，LOPA執(zhí)行過程的嚴(yán)謹(jǐn)性使得它更常運用於澄清定性危害審查中不明確的情境。不同公司在風(fēng)險容忍標(biāo)準(zhǔn)和LOPA執(zhí)行程序的差異性，顯示分析結(jié)果通常不能在各公司之間直接比較。21保護(hù)層分析限制條件(續(xù))在風(fēng)險決策過程中，與定性的方法如Ha保護(hù)層分析的優(yōu)點

與定量風(fēng)險分析相比，LOPA花費的時間較少，因此適用於定性風(fēng)險評估等法應(yīng)用的複雜情境。LOPA可幫助解決決策時分歧的意見，它提供了一致的、簡化的架構(gòu)評估情境風(fēng)險並為討論風(fēng)險提供了一致的術(shù)語，與基於”風(fēng)險對我而言可以接受”的主觀或主觀上的判斷相比，LOPA提供了一個更好的風(fēng)險決策基礎(chǔ)，這對於那些正在由定性到更多定量風(fēng)險分析轉(zhuǎn)變的公司尤其有幫助。LOPA可以提高危害評估會議的效率，因為它可以幫助更快速地達(dá)成風(fēng)險判斷共識。22保護(hù)層分析的優(yōu)點與定量風(fēng)險分析相比，LOPA花費的時間較少保護(hù)層分析的優(yōu)點(續(xù)1)LOPA有助於更精確地確定原因－後果組合，因此可以改善情境辨識。如果整個公司使用同樣的方法，LOPA可用於單元之間或工廠之間的風(fēng)險比較。與定性方法相比，LOPA提供了更具可靠性的風(fēng)險判斷，因為LOPA要求非常嚴(yán)謹(jǐn)?shù)挠涗?，並且可以提供情境頻率和後果的具體數(shù)據(jù)。LOPA可以用於協(xié)助一個公司決定風(fēng)險是否符合合理可行的降低(AsLowAsReasonablyPracticable,ALARP)原則，這也有助於滿足特定的法令要求。23保護(hù)層分析的優(yōu)點(續(xù)1)LOPA有助於更精確地確定原因－後保護(hù)層分析的優(yōu)點(續(xù)2)

LOPA可以幫助辨識被認(rèn)為有充份防護(hù)措施的操作和實務(wù)，但經(jīng)過更詳細(xì)的分析後，其措施並不能將風(fēng)險降低到可容忍的水準(zhǔn)。LOPA為每個獨立保護(hù)層提供了更明確的功能要求。LOPA的資料可以幫助公司決定操作、維護(hù)以及相關(guān)訓(xùn)練的重點應(yīng)專注於那些防護(hù)措施，例如，許多公司決定將檢查、測試和預(yù)防性維修作業(yè)的重點放在LOPA辨別出的防護(hù)層，因此LOPA是執(zhí)行製程安全管理設(shè)備完整性或基於風(fēng)險的維修系統(tǒng)的有效工具，它有助於確定”安全關(guān)鍵設(shè)備”的屬性及功能。24保護(hù)層分析的優(yōu)點(續(xù)2)LOPA可以幫助辨識被認(rèn)為有充份發(fā)展情境

情境是導(dǎo)致不良後果的意外事件或一系列事件，每個情境至少包括兩項要素：引起一連串事件的起始事件(例如冷卻失效)；後果，指如果事件鏈繼續(xù)發(fā)展沒有中斷，所導(dǎo)致的後果

(如可能造成的系統(tǒng)超壓、有毒或易燃物質(zhì)洩漏到大氣中、

死亡等)。

起始事件

後果構(gòu)成一個情境的最基本要求

25發(fā)展情境情境是導(dǎo)致不良後果的意外事件或一系列事件，每個發(fā)展情境(續(xù))

每個情境都必須有唯一的起始事件及其對應(yīng)的後果，如果同一起始事件能導(dǎo)致不同後果，那麼應(yīng)該發(fā)展多種情境。在某些情況下，許多情境可能開始於同一起始事件(如公用系統(tǒng)失效)，則應(yīng)該為每個單元制定單獨的情境。如果利用人員死亡、營運或環(huán)境損害作為後果，則在情境中還可能包括下列部分或全部因素或結(jié)果修正因子：可燃物質(zhì)的點火機(jī)率；人員出現(xiàn)在事件影響區(qū)域的機(jī)率；火災(zāi)、爆炸或有毒物質(zhì)釋放的暴露致死機(jī)率(包括撤離或

保護(hù)行動)；導(dǎo)致設(shè)備(設(shè)施)一定經(jīng)濟(jì)損失的機(jī)率。26發(fā)展情境(續(xù))每個情境都必須有唯一的起始事件及其對應(yīng)的HazOp與LOPA關(guān)聯(lián)性

偏差造成偏差原因後果其它造成低風(fēng)險原因不滿足公司標(biāo)準(zhǔn)的後果現(xiàn)有安全措施不滿足IPL定義的安全措施起始事件(選擇一件以代表情境)情境背景與描述後果(每次選一種)獨立保護(hù)層(IPLs)HazOp未辨識的IPLs觸發(fā)事件和條件額外風(fēng)險減緩措施使風(fēng)險可容忍建議事項不必要的措施(不需要的建議)起始事件頻率10-x/a嚴(yán)重程度或經(jīng)濟(jì)損失分類IPLs要求失效機(jī)率IPLs要求失效機(jī)率事件或條件機(jī)率繼續(xù)下一個原因－後果配對選擇：綜合程序的風(fēng)險與程序風(fēng)險標(biāo)準(zhǔn)比較風(fēng)險是否可容忍?否

是

HazOp資料LOPA不需要的資料LOPA採用的資料LOPA採用的數(shù)據(jù)其它造成低風(fēng)險原因27HazOp與LOPA關(guān)聯(lián)性偏差造成偏差原因後果其它造成低起始事件

LOPA的每一情境都有單一的起始事件，起始事件頻率通常以每年發(fā)生的次數(shù)表示，一些資料也使用其他的單位來表示，如106每小時發(fā)生的次數(shù)。起始事件一般分為三類型:外部事件、設(shè)備故障、人為失誤(也稱為不恰當(dāng)?shù)男袨?。根本原因被定義為”事故發(fā)生的潛在系統(tǒng)原因”，起始事件是各種根本原因的結(jié)果，包括外部事件、設(shè)備故障或人為失誤。起始事件的根本原因都不相同，在確定起始事件時不應(yīng)太深究其根本原因。不過根本原因有助於確認(rèn)起始事件發(fā)生的頻率。因此當(dāng)評估起始事件頻率時，需要考慮一些根本原因。28起始事件LOPA的每一情境都有單一的起始事件，起始事起始事件(續(xù)1)與設(shè)備有關(guān)的起始事件可以被進(jìn)一步分為控制系統(tǒng)失效和機(jī)械故障。控制系統(tǒng)失效包括(但不限於):基本程序控制系統(tǒng)(BasicProcessControlSystem,BPCS)原件失效；軟體失效或故障；控制支援系統(tǒng)失效(例如電力系統(tǒng)、儀控空氣系統(tǒng))。29起始事件(續(xù)1)與設(shè)備有關(guān)的起始事件可以被進(jìn)一步分為控起始事件(續(xù)2)機(jī)械故障包括(但不限於)：磨損、疲勞或腐蝕造成的容器或管線失效設(shè)計、技術(shù)規(guī)格或製造/製備缺陷造成的管線失效；超壓造成的容器或管線失效(例如熱膨脹、清管/吹除)或低壓(真空導(dǎo)致崩塌)；震動導(dǎo)致的失效(例如轉(zhuǎn)動設(shè)備)；維護(hù)/維修不完善(包括使用不合格的替代材料)所造成的失效；30起始事件(續(xù)2)機(jī)械故障包括(但不限於)：30起始事件(續(xù)3)高溫(如火災(zāi)暴露、冷卻失效)或低溫，及脆性斷裂(如自動冷凍、低環(huán)境氣溫)引起的失效；湍流或水擊引起的失效；內(nèi)部爆炸、分解或其他失控反應(yīng)造成的失效。與人為失效相關(guān)的原因或者是疏忽或者是錯誤，其中包括(但不限於):未能按正確順序執(zhí)行任務(wù)步驟，或遺漏一些步驟(有些行動沒有執(zhí)行)；未能正確觀察或因應(yīng)製程或系統(tǒng)顯示的條件或其他提示(有些行動執(zhí)行錯誤)。31起始事件(續(xù)3)高溫(如火災(zāi)暴露、冷卻失效)或低溫，及脆性起始事件典型頻率

起始事件來自文獻(xiàn)的頻率範(fàn)圍(每年)某公司進(jìn)行LOPA時的選擇值(每年)壓力容器疲勞失效10-5~10-71×10-6管線疲勞失效-100m-全部斷裂10-5~10-61×10-5管線洩漏(10％截面積)-100m10-3~10-41×10-3常壓儲槽失效10-3~10-51×10-3墊片/填料爆裂10-2~10-61×10-2渦輪/柴油發(fā)動機(jī)超速，外套破裂10-3~10-41×10-4第三方破裂(怪手、車輛等外部影響)10-2~10-41×10-2起重機(jī)載荷掉落10-3~10-4/起吊1×10-4/起吊雷擊10-3~10-41×10-3安全閥誤開啟10-2~10-41×10-232起始事件典型頻率起始事件來自文獻(xiàn)的頻率範(fàn)圍某公司進(jìn)行L起始事件典型頻率(續(xù))

冷卻水失誤1~10-21×10-1泵密封失效10-1~10-21×10-1卸載/裝載軟管失效1~10-21×10-1BPCS儀表控制迴路失效注：IEC61511的限制大於1×10-5/h或8.76×10-2/a(IEC,2001)1~10-21×10-1調(diào)節(jié)器失效1~10-11×10-1小的外部火災(zāi)(多因素)10-1~10-21×10-1大的外部火災(zāi)(多因素)10-2~10-31×10-2LOTO(鎖定、標(biāo)定)程序失效(多個元件的總失效)10-3~10-4/次1×10-3/次操作人員失效(執(zhí)行一般程序，假設(shè)得到較好的訓(xùn)練、不緊張、不疲勞)10-1~10-3/次1×10-2/次33起始事件典型頻率(續(xù))冷卻水失誤1~10-21×10-獨立保護(hù)層定義和功能

獨立保護(hù)層是能夠阻止情境朝向不良後果繼續(xù)發(fā)展的設(shè)備、系統(tǒng)或行動，並且獨立於啟始事件或情境中其他保護(hù)層的行動。獨立保護(hù)層的有效性和獨立性必須具有可審查性。如下圖的事件鏈中，A點安裝的獨立保護(hù)層IPL必要時應(yīng)採取行動，如果A點的獨立保護(hù)層如期作動，則可以阻止不良後果發(fā)生。如果情境中所有的獨立保護(hù)層都無法如期作動，那麼不良後果將隨著啟始事件發(fā)生。起始事件IPL如期作動A安全後果後果發(fā)生(儘管存在IPL)獨立保護(hù)層IPL未如期作動34獨立保護(hù)層定義和功能獨立保護(hù)層是能夠阻止情境朝向不良後獨立保護(hù)層定義和功能(續(xù))

區(qū)分獨立保護(hù)層和防護(hù)措施非常重要，防護(hù)措施可以是中斷起始事件發(fā)生後的事件鏈的任何設(shè)備、系統(tǒng)或行動。但是，由於一些防護(hù)措施的有效性、獨立性或其他因素缺乏數(shù)據(jù)，具有不確定性，因此這些防護(hù)措施的有效性難以確定。獨立保護(hù)層的有效性根據(jù)要求失效機(jī)率(PFD)進(jìn)行確認(rèn)，PFD定義為系統(tǒng)要求時IPL失效不能發(fā)揮具體功能的機(jī)率。PFD為0和1之間的無因次數(shù)字，PFD值越小，該保護(hù)層對某一啟始事件後果頻率降低的越多，獨立保護(hù)層的“降低頻率”有時被稱為“風(fēng)險降低因子。35獨立保護(hù)層定義和功能(續(xù))區(qū)分獨立保護(hù)層和防護(hù)措施非常見保護(hù)層的特性程序設(shè)計許多公司假設(shè)若製程符合本質(zhì)更安全設(shè)計，一些情境不可能發(fā)生。例如設(shè)備可能被設(shè)計用於承受特定情境的最大壓力、限制批次反應(yīng)器的容量、存量更低或化學(xué)物質(zhì)替代等，本質(zhì)更安全設(shè)計可以消除一些情境。有些公司認(rèn)為本質(zhì)更安全製程設(shè)計功能有一個非零的PFD，也就是說，在實際製程中，已經(jīng)證實它們具有一定的失效模式。這些公司將本質(zhì)更安全的製程設(shè)計功能作為一種獨立保護(hù)層IPL，這類獨立保護(hù)層的設(shè)計是為了防止後果的發(fā)生。36常見保護(hù)層的特性程序設(shè)計36常見保護(hù)層的特性(續(xù)1)

基本製程控制系統(tǒng)基本製程控制系統(tǒng)(BasicProcessControlSystem,BPCS)包括正常的手動控制，是製程正常運用期間的第一層保護(hù)，BPCS的設(shè)計是為了使製程處在安全操作範(fàn)圍。如果BPCS控制環(huán)路的正常操作符合適當(dāng)?shù)臉?biāo)準(zhǔn)，則可作為獨立保護(hù)層。BPCS失效可以被視為起始事件，當(dāng)考慮使用BPCS作為獨立保護(hù)層時，分析人員必須評估BPCS使用和管理系統(tǒng)(AccessControlandSecuritySystem)的有效性，因為人員疏失會破壞BPCS的功能。37常見保護(hù)層的特性(續(xù)1)基本製程控制系統(tǒng)37常見保護(hù)層的特性(續(xù)2)關(guān)鍵警報和人員干預(yù)這類系統(tǒng)是製程正常運作期間的第二層保護(hù)，並且這些系統(tǒng)應(yīng)該被BPCS啟動，當(dāng)報警或觀察引發(fā)的操作人員行為符合各種標(biāo)準(zhǔn)，確保行動的有效性時(例如獨立性)，則操作人員行動可作為獨立保護(hù)層。公司的程序和訓(xùn)練可以改善操作人員的執(zhí)行能力，但警報因應(yīng)步驟本身並不是獨立保護(hù)層。38常見保護(hù)層的特性(續(xù)2)關(guān)鍵警報和人員干預(yù)38常見保護(hù)層的特性(續(xù)3)安全儀控功能(SafetyInstrumentedFunction，SIF)安全儀控功能是由量測器、邏輯運算器和最終控制元件組成，具有一定的安全完整性要求，安全儀控功能偵測超過安全恕限(異常)條件，控制程序進(jìn)入功能性安全狀態(tài)。安全儀控功能SIF在功能上獨立於BPCS，安全儀控功能通常為一種獨立保護(hù)層。安全儀控功能系統(tǒng)的設(shè)計、系統(tǒng)備份程度、測試頻率和類型將決定LOPA中SIF的PFD。39常見保護(hù)層的特性(續(xù)3)安全儀控功能(SafetyInst常見保護(hù)層的特性(續(xù)4)物理保護(hù)(安全閥、破裂盤等)如果這類設(shè)備設(shè)計、維護(hù)和尺寸合適，則可以提供較高程度的超壓保護(hù)。但是，如果切斷閥安裝在洩壓閥下方或者檢查和維護(hù)工作品質(zhì)較差，則這類設(shè)備的有效性可能受到污垢或腐蝕的影響。如果物質(zhì)從安全閥排放到大氣，則可能會造成其他後果，這需要進(jìn)一步的評估，這會涉及燃燒塔、驟冷槽、洗滌塔等設(shè)備有效性的檢查。40常見保護(hù)層的特性(續(xù)4)物理保護(hù)(安全閥、破裂盤等)40常見保護(hù)層的特性(續(xù)5)釋放後保護(hù)(防液堤、防爆牆等)這些獨立保護(hù)層是被動的保護(hù)設(shè)備，如果設(shè)計和維護(hù)正確，這類獨立保護(hù)層可提供較有效的保護(hù)。雖然它們的失效率低，但是在情境中也應(yīng)考慮PFD。此外，如果自動灑水系統(tǒng)、泡沫系統(tǒng)或氣體偵測系統(tǒng)等滿足獨立保護(hù)層的要求，在一些特殊情境中，也可以將它們作為獨立保護(hù)層。41常見保護(hù)層的特性(續(xù)5)釋放後保護(hù)(防液堤、防爆牆等)41常見保護(hù)層的特性(續(xù)6)工廠緊急應(yīng)變這些措施如消防隊、人工防洪系統(tǒng)、工廠緊急疏散等通常不視為獨立保護(hù)層，因為它們是在初始釋放之後被啟動，並且有太多因素(如時間延遲)影響了它們在消減情境的整體有效性。42常見保護(hù)層的特性(續(xù)6)工廠緊急應(yīng)變42常見保護(hù)層的特性(續(xù)7)社區(qū)緊急應(yīng)變這些措施，如社區(qū)撤離和避難所，通常不被視為獨立保護(hù)層，因為它們是在初始釋放之後被啟動，並且有太多因素影響了它們在消減情境的整體有效性，它們對工廠的工人沒有提供任何保護(hù)。43常見保護(hù)層的特性(續(xù)7)社區(qū)緊急應(yīng)變43獨立保護(hù)層基本原則設(shè)備、系統(tǒng)或行動作為獨立保護(hù)層時，必須滿足的條件是：有效性：按照設(shè)計的功能發(fā)揮作用，必須能有效地防止後果發(fā)生；獨立性：獨立於起始事件和任何其他已經(jīng)被認(rèn)為是同一情境的獨立保護(hù)層的構(gòu)成元件；可審查性：對於阻止後果的有效性和PFD必須能夠以某種方式(通過記錄、審查、測試等)進(jìn)行驗證。44獨立保護(hù)層基本原則設(shè)備、系統(tǒng)或行動作為獨立保護(hù)層時，必須獨立保護(hù)層基本原則(續(xù)1)如果某設(shè)備、系統(tǒng)或行動確認(rèn)為獨立保護(hù)層，那麼它必須有效地防止該情境不期望的後果。為了確定防護(hù)措施是否是獨立保護(hù)層，可利用下列問題協(xié)助小組或分析人員作出適當(dāng)?shù)呐袛?。防護(hù)措施能否偵測到需要採取行動的狀況，這可能是一個製程改變或警報等，如果防護(hù)措施不能偵測到這些狀況，並且不能產(chǎn)生具體的行動，那麼就不是獨立保護(hù)層。防護(hù)措施能否及時偵測到狀況，以採取正確的行動防止不良後果的發(fā)生，所需的時間必須包括：偵測到狀況的時間；處理信號和作出決策的時間；採取必要行動的時間；行動生效的時間。45獨立保護(hù)層基本原則(續(xù)1)如果某設(shè)備、系統(tǒng)或行動確認(rèn)為獨獨立保護(hù)層基本原則(續(xù)2)在允許的時間內(nèi)，獨立保護(hù)層是否有足夠能力採取所要求的行動，如果需要一項具體的規(guī)格要求(例如安全閥洩放面積、防液堤容積等)，那麼安裝的防護(hù)措施是否能夠符合這些要求?對於所要求的行動，獨立保護(hù)層的強(qiáng)度是否充足?獨立保護(hù)層的強(qiáng)度包括：物理強(qiáng)度(例如防爆牆或防液堤)；某特定情境條件下閥門的關(guān)閉能力(例如閥門彈簧、驅(qū)動器或元件的強(qiáng)度)；人員強(qiáng)度(例如所要求的任務(wù)是否在操作人員能力範(fàn)圍內(nèi))。如果防護(hù)措施不能滿足這些要求，則它不是獨立保護(hù)層。46獨立保護(hù)層基本原則(續(xù)2)在允許的時間內(nèi)，獨立保護(hù)層是否有足獨立保護(hù)層基本原則(續(xù)3)LOPA獨立保護(hù)層降低後果頻率的有效性可使用PFD予以量化，確定獨立保護(hù)層合適的PFD數(shù)值是LOPA程序中重要的一環(huán)。獨立保護(hù)層應(yīng)如期運作，但是一些保護(hù)層系統(tǒng)可能發(fā)生失效。獨立保護(hù)層PFD越低，其正確運作和中斷事件鏈的可能性就越高。因為LOPA是一種簡化的方法，PFD通常使用最接近的數(shù)量級。PFD範(fàn)圍從最弱的獨立保護(hù)層(1×10-1)到最強(qiáng)的獨立保護(hù)層(1×10-4~1×10-5)，LOPA小組或分析人員必須確定防護(hù)措施頻率較高情境的獨立保護(hù)層PFD值，例如情境起始事件頻率大於或接近獨立保護(hù)層功能有效測試頻率時，必須謹(jǐn)慎。47獨立保護(hù)層基本原則(續(xù)3)LOPA獨立保護(hù)層降低後果頻被動式IPLs範(fàn)例IPL類型說明(假設(shè)具有完善的設(shè)計基礎(chǔ)、充份的檢測和維護(hù)程序)PFD(來自文獻(xiàn)和工業(yè)數(shù)據(jù))CCPS建議PFD防液堤降低儲槽溢流、破裂、洩漏等嚴(yán)重後果(大面積擴(kuò)散)的頻率1×10-2~1×10-31×10-2地下排水系統(tǒng)降低儲槽溢流、破裂、洩漏等嚴(yán)重後果(大面積擴(kuò)散)的頻率1×10-2~1×10-31×10-2開放式排放閥防止超壓1×10-2~1×10-31×10-2耐火設(shè)計減少熱輸入率，提供降壓/消防等額外的變應(yīng)時間1×10-2~1×10-31×10-2防爆牆/掩體通過限制衝擊波，保護(hù)設(shè)備/建築物等，降低爆炸重大後果的頻率1×10-2~1×10-31×10-3“本質(zhì)更安全”設(shè)計如果正確執(zhí)行，將大幅降低相關(guān)情境後果的頻率。備注：一些公司的LOPA規(guī)定，允許本質(zhì)更安全設(shè)計功能消除某些情境(如容器設(shè)計壓力超過所有可能的高壓要求)1×10-1~1×10-61×10-2阻焰器或防爆器如果設(shè)計、安裝和維護(hù)合適，這些設(shè)備能夠消除通過管線系統(tǒng)進(jìn)入容器或儲罐內(nèi)的潛在回火1×10-1~1×10-31×10-248被動式IPLs範(fàn)例IPL類型說明(假設(shè)具有完善的設(shè)計基礎(chǔ)、主動式IPLs範(fàn)例IPL說明（假設(shè)具有完善的設(shè)備基礎(chǔ)、充足的檢測和維護(hù)程序）PFD(來自文獻(xiàn)和工業(yè)數(shù)據(jù))CCPS建議PFD安全閥防止系統(tǒng)超壓，其有效性對使用狀況比較敏感1×10-1~1×10-51×10-2破裂盤防止系統(tǒng)超壓。其有效性對使用狀況比較敏感1×10-1~1×10-51×10-2基本製程控制系統(tǒng)如果與起始事件無關(guān)，BPCS可被視為一種IPL1×10-1~1×10-2(IEC規(guī)定＞1×10-1)1×10-1安全儀控功能(聯(lián)鎖)見IEC61508和IEC61511生命周期和其他要求。49主動式IPLs範(fàn)例IPL說明（假設(shè)具有完善的設(shè)備基礎(chǔ)、充足主動式IPLs範(fàn)例(續(xù)3)

SIL1典型組成：單一感測器(容錯備份)單一邏輯控制器(容錯備份)單一最終元件(容錯備份)≧1×10-1~＜1×10-2SIL2典型組成：多個感測器(容錯)多個邏輯控制器(容錯)多個最終元件(容錯)≧1×10-2~＜1×10-3SIL3典型組成：多個傳感器多個邏輯控制器多個執(zhí)行元件≧1×10-3~＜1×10-4CCPS不建議具體的SIL水準(zhǔn)。

50主動式IPLs範(fàn)例(續(xù)3)SIL1典型組成：≧1×10-安全儀控系統(tǒng)特性分析儀錶系統(tǒng)由感測器、邏輯運算器、程序控制器和最終元件組成，這些元件整合運作，自動調(diào)整製程運作或防止製程特定事件的發(fā)生。在基本LOPA分析中考慮了兩種類型的儀錶系統(tǒng)，每種儀錶類型有各自的用途和功能。第一種為連續(xù)控制器(如按照操作人員提供的設(shè)定值調(diào)節(jié)流量、溫度或壓力的程序控制器)，它通常提供操作人員連續(xù)回饋(雖然會出現(xiàn)意外故障)，顯示運作正常。第二種為狀態(tài)控制器(對警報指示器或程序閥門採取措施，執(zhí)行開、關(guān)動作的邏輯運算器)，狀態(tài)控制器監(jiān)測製程條件，只有當(dāng)製程條件達(dá)到預(yù)先設(shè)定值時才採取控制行動。狀態(tài)控制行動可以稱為製程聯(lián)鎖和警報，如反應(yīng)器高溫監(jiān)測與蒸汽閥開關(guān)聯(lián)鎖。狀態(tài)控制器(邏輯運算器和相關(guān)的現(xiàn)場設(shè)備)的失效不易檢測，需要到下一次安全功能失效的人工功能性測試時才發(fā)現(xiàn)。BPCS和安全儀錶系統(tǒng)都有連續(xù)控制器和狀態(tài)控制器，但是兩者執(zhí)行風(fēng)險消減層次有很大差異。51安全儀控系統(tǒng)特性分析儀錶系統(tǒng)由感測器、邏輯運算器、程序控安全儀控系統(tǒng)特性分析(續(xù)1)BPCS是執(zhí)行連續(xù)監(jiān)測和控制生產(chǎn)製程的控制系統(tǒng)，BPCS可以提供三種不同類型的安全功能作為獨立保護(hù)層：連續(xù)控制行動：保持製程在設(shè)定的正常範(fàn)圍內(nèi)，並可防止起始事件導(dǎo)致的異常情境惡化；狀態(tài)控制器(邏輯運算器或警報停俥單元)：辨識超出正常範(fàn)圍的製程偏差，並提供操作人員訊息(通常為警報訊息)，促使操作人員採取具體的矯正行動(控制製程或停俥)；狀態(tài)控制器(邏輯運算器或控制繼電器)：採取自動行動迫使製程停俥，而不是試圖使製程回到正常操作範(fàn)圍。這種行動將導(dǎo)致停俥，使製程處於安全狀態(tài)。

52安全儀控系統(tǒng)特性分析(續(xù)1)BPCS是執(zhí)行連續(xù)監(jiān)測和控制安全儀控系統(tǒng)特性分析(續(xù)2)BPCS是一個相對較弱的獨立保護(hù)層，因為BPCS通常：幾乎沒有元件備份；自我測試能力有限；防止未經(jīng)授權(quán)變更控制邏輯的安全性有限。53安全儀控系統(tǒng)特性分析(續(xù)2)BPCS是一個相對較弱的獨立保護(hù)安全儀控系統(tǒng)特性分析(續(xù)3)安全儀控系統(tǒng)是由感測器、邏輯運算器和最終元件組成的，能夠行使一項或多項安全儀控功能（SIF）的儀控系統(tǒng)，SIF為狀態(tài)控制系統(tǒng)，有時也稱為安全聯(lián)鎖和安全關(guān)鍵警報。一系列安全儀控功能組成了安全儀控系統(tǒng)（也稱為緊急停俥系統(tǒng)）。ISAS84.01、IEC61508、IEC61511和化工製程安全自動化指南（CCPS,1993）詳細(xì)討論安全儀控系統(tǒng)和安全儀控功能的設(shè)計要求，並且規(guī)定了取得所期望的PFD的全生命週期要求（規(guī)格、設(shè)計、調(diào)試、檢驗、維護(hù)和測試），重要的設(shè)計細(xì)節(jié)包括以下內(nèi)容：54安全儀控系統(tǒng)特性分析(續(xù)3)安全儀控系統(tǒng)是由感測器、邏輯安全儀控系統(tǒng)特性分析(續(xù)4)安全儀控功能在功能上獨立於BPCS，用於安全儀控功能的量測裝置、邏輯控制器和最終元件獨立於BPCS中的類似裝置。除非在不犧牲安全儀控功能的PFD的情況下，訊號才可以共用。安全儀控系統(tǒng)的邏輯運算器（通常包括多項備份處理器、備份電源供應(yīng)和一個人機(jī)介面）可處理幾項（或多項）安全儀控功能。廣泛使用備份的元件和訊號路徑，可以在幾個方面建置備份，最明顯的是為同一功能安裝多個感測器或多個執(zhí)行元件如閥門，不同的技術(shù)將減少備份元件的共同失效。55安全儀控系統(tǒng)特性分析(續(xù)4)安全儀控功能在功能上獨立於BPC安全儀控系統(tǒng)特性分析(續(xù)5)使用表決方案和容錯邏輯，能夠容忍一些元件的失效，而不會影響安全儀控系統(tǒng)的有效性，不會引起製程的誤跳俥。利用自我診斷功能檢測和通報感測器、邏輯運算器以及最終元件的故障，這種診斷作用可以使安全儀控功能失效的平均修復(fù)時間減到只有幾個小時。跳俥切斷功能要求較低的PFD。56安全儀控系統(tǒng)特性分析(續(xù)5)使用表決方案和容錯邏輯，能夠容忍安全儀控系統(tǒng)特性分析(續(xù)6)安全儀控功能的風(fēng)險降低性能由PFD所定，國際標(biāo)準(zhǔn)已經(jīng)把安全儀控功能在化工製程中的應(yīng)用劃分為四種安全完整性分類，相關(guān)定義為：SIL1：1×10-2≦PFD＜1×10-1，這些安全儀控功能通常由單一的感測器、單一的邏輯運算器和單一的最終控制元件完成。SIL2：1×10-3≦PFD＜1×10-2，這些安全儀控功能以感測器、邏輯運算器到最終控制元件通常都是備份的。57安全儀控系統(tǒng)特性分析(續(xù)6)安全儀控功能的風(fēng)險降低性能由安全儀控系統(tǒng)特性分析(續(xù)7)SIL3：1×10-4≦PFD＜1×10-3，這些安全儀控功能以感測器、邏輯運算器到最終控制元件通常都是備份的，要求進(jìn)行仔細(xì)設(shè)計和頻繁功能測試，以取得較低的PFD。由於SIL3的安全儀控功能成本高昂，因此許多公司歸類為SIL3的SIF數(shù)量有限。SIL4：1×10-5≦PFD＜1×10-4，這些安全儀控功能列入了IEC61508和61511標(biāo)準(zhǔn)，但這些安全儀控功能難以設(shè)計和維護(hù)，LOPA分析不會使用SIL4等級的安全儀控系統(tǒng)。58安全儀控系統(tǒng)特性分析(續(xù)7)SIL3：1×10-4≦確定情境發(fā)生頻率

下述為特定後果終點釋放物質(zhì)常用的頻率計算公式，一般而言是起始事件頻率乘以IPL的PFDs。

fiC=fiIxPFDi1xPFDi2x…….PFDij式中fiC=起始事件i造成C後果的頻率

fiI=起始事件i發(fā)生頻率

PFDij=起始事件i中第j個阻止後果C的獨立保護(hù)層要求時的失效概率

59確定情境發(fā)生頻率下述為特定後果終點釋放物質(zhì)常用的頻率計算公確定情境發(fā)生頻率(續(xù))其他結(jié)果頻率計算公式可能有：fifire=fiIxPFDi1xPFDi2x…….PFDijxPignition

Pignition代表點火機(jī)遇率而人員暴露於火災(zāi)的頻率則為：fifire

exposure=fiI

xPFDi1xPFDi2x…….PFDijxPignitionxPperson

present而Pperson

present代表事故現(xiàn)場人員機(jī)遇率火災(zāi)引起人員受傷的頻率為：fifire

injury=fiIxPFDi1xPFDi2x…….PFDijxPignitionxPperson

presentxPinjury而Pinjury代表人員受傷機(jī)遇率60確定情境發(fā)生頻率(續(xù))其他結(jié)果頻率計算公式可能有：60計算風(fēng)險如果需要計算風(fēng)險指標(biāo)，則風(fēng)險指標(biāo)為所探討情境結(jié)果的頻率fk乘以後果嚴(yán)重度Ck：

Rkc

=fkc

xCk

Rkc代表事故第K項結(jié)果的風(fēng)險，單位為後果嚴(yán)重度/時間單位，可能為年度死亡風(fēng)險、每年死亡人數(shù)、每季經(jīng)濟(jì)損失等。fkc為事故第K項結(jié)果發(fā)生的頻率，單位為時間的倒數(shù)。Ck為事故第K項結(jié)果的嚴(yán)重度，結(jié)果嚴(yán)重度可能是個人死亡機(jī)率、死亡人數(shù)、經(jīng)濟(jì)損失額度、污染物排放量、暴露於有害空氣污染物人數(shù)等，Ck也可以等級的方式表示。必要時風(fēng)險評估人員可將不同起始事件第C種後果的頻率，加總成為一項fc。

fc=f1c+f2c+……..fIc

61計算風(fēng)險如果需要計算風(fēng)險指標(biāo)，則風(fēng)險指標(biāo)為所探討情境結(jié)果的頻風(fēng)險評估和應(yīng)採取行動範(fàn)例

(續(xù))

等級1等級2等級3等級4等級5可選擇(評估替代方案)可選擇(評估替代方案)有機(jī)會時採取行動立即採取行動立即採取行動可選擇(評估替代方案)可選擇(評估替代方案)可選擇(評估替代方案)有機(jī)會時採取行動立即採取行動不需要採取行動可選擇(評估方案)可選擇(評估替代方案)有機(jī)會時採取行動有機(jī)會時採取行動不需要採取行動不需要採取行動可選擇(評估替代方案)可選擇(評估替代方案)有機(jī)會時採取行動不需要採取行動不需要採取行動不需要採取行動可選擇(評估替代方案)可選擇(評估替代方案)不需要採取行動不需要採取行動不需要採取行動不需要採取行動可選擇(評估替代方案)不需要採取行動不需要採取行動不需要採取行動不需要採取行動不需要採取行動後果頻率(每年)後果等級10-210-010-110-310-410-510-610-762風(fēng)險評估和應(yīng)採取行動範(fàn)例(續(xù))可選擇可選擇有機(jī)會事件樹和保護(hù)層分析于樹偉財團(tuán)法人安全衛(wèi)生技術(shù)中心63事件樹和保護(hù)層分析于樹偉164預(yù)防事故發(fā)生的保護(hù)層1.製程設(shè)計2.基本程序控制、警報、操作人員監(jiān)控3.關(guān)鍵警報、操作人員監(jiān)控、手動方式介入/操作4.安全儀控系統(tǒng)5.物理性防護(hù)(排放系統(tǒng))6.物理性防護(hù)(防溢堤)

7.廠內(nèi)緊急應(yīng)變8.社區(qū)緊急應(yīng)變642預(yù)防事故發(fā)生的保護(hù)層1.製程設(shè)計2.基本程序控制、警報保護(hù)層基本概念緊急應(yīng)變防護(hù)層

被動式防護(hù)層主動式防護(hù)層設(shè)備安全防護(hù)層緊急停俥異常狀態(tài)程序控制層製程停俥正常狀態(tài)程序控制層製程變數(shù)停俥條件警報條件廠區(qū)和社區(qū)緊急應(yīng)變

防溢堤排放閥、破裂盤

安全儀控系統(tǒng)人員介入基本程序控制系統(tǒng)消減系統(tǒng)預(yù)防系統(tǒng)正常操作範(fàn)圍硬體承受上限操作承受上限65保護(hù)層基本概念事件樹分析

事件樹分析(EventTreeAnalysis,ETA)是根據(jù)二元邏輯的方式，將事件的發(fā)生分為「可能」或「不可能」二類，或者是將設(shè)備運作的功能以「失效」或「成功」表示，藉由圖形的方式描述由起始事件到可能的後果，起始事件為特定設(shè)備失效或人為失誤。ETA以起始事件做為開始，例如設(shè)備零件的失效、溫度或壓力的增加或是危害物質(zhì)洩漏，經(jīng)由一系列可能的途徑演變至可能的後果，對每條途徑分配可能發(fā)生的機(jī)率，則可計算單一危害可能導(dǎo)致不同事件結(jié)果的發(fā)生頻率。66事件樹分析事件樹分析(EventTreeAnal事件樹分析

成功成功成功失敗失敗失敗安全結(jié)果(情境1)不期望但可容忍的結(jié)果(情境2)不期望但可容忍的結(jié)果(情境3)後果超出標(biāo)準(zhǔn)(情境4)起始事件保護(hù)層1保護(hù)層2保護(hù)層3

結(jié)果67事件樹分析失敗失敗失敗保護(hù)層1保護(hù)層2保護(hù)層3結(jié)ETA執(zhí)行步驟辨識起始事件；辨識防護(hù)層或危害影響因子；建構(gòu)事件樹；將結(jié)果分類；估計事件樹中每一分枝的機(jī)率；量化結(jié)果；審查結(jié)果。68ETA執(zhí)行步驟辨識起始事件；6事件樹的優(yōu)點

圖解的方式呈現(xiàn)啟始事件到事件結(jié)果間的事件鏈，容易瞭解事件順序之間的邏輯關(guān)係；分析過程直接顯示防護(hù)層的成功或失效對於事件結(jié)果情境發(fā)展的影響；對於評估新的或已改善的製程和安全功能，提供良好的評估基礎(chǔ)；可適用於分析複雜的製程，或具有重大事故危害的評估；為一兼具定性與定量的評估技術(shù)；可考量硬體、軟體失效及人為失誤相關(guān)問題。69事件樹的優(yōu)點圖解的方式呈現(xiàn)啟始事件到事件結(jié)果間的事7事件樹的缺點

圖形的陳述方式?jīng)]有相關(guān)的標(biāo)準(zhǔn)或規(guī)範(fàn)；每一次的分析只能針對一件起始事件；容易忽略共同原因失效的影響，造成過度樂觀的估計風(fēng)險；防護(hù)層或影響因子排列數(shù)目會影響樹的分枝發(fā)展，容易過大而複雜化。70事件樹的缺點圖形的陳述方式?jīng)]有相關(guān)的標(biāo)準(zhǔn)或規(guī)範(fàn)；8保護(hù)層分析概論

LOPA(LayerofProtectionAnalysisLOPA)的主要目的是確定是否有足夠的保護(hù)層以防止意外事故發(fā)生或判定風(fēng)險是否能夠容忍。事故情境可能有各種不同類型的保護(hù)層，一個情境可能需要一種或多重保護(hù)層，這取決於製程的複雜程度和潛在後果的嚴(yán)重性。值得注意的是，對於特定的情境，只需一種保護(hù)層成功運作就可避免事故後果的發(fā)生。然而，因為沒有任何一種保護(hù)層是完全有效的，所以必須提供充份的保護(hù)層以降低事故風(fēng)險，並滿足風(fēng)險容忍標(biāo)準(zhǔn)。71保護(hù)層分析概論LOPA(LayerofProt保護(hù)層分析概論(續(xù))對於特定的情境，LOPA提供了一致的基礎(chǔ)，可用於判斷是否有足夠的獨立保護(hù)層控制事故風(fēng)險。如果情境的風(fēng)險為不可接受，則需要增加額外的獨立保護(hù)層。一旦選定進(jìn)行分析的原因－後果組合，分析人員就能夠使用LOPA確定哪些製程和管理控制措施(通常稱為防護(hù)措施)滿足獨立保護(hù)層的定義，並評估情境的風(fēng)險狀況。然後可進(jìn)一步根據(jù)評估的結(jié)果進(jìn)行風(fēng)險分析，協(xié)助分析人員決定達(dá)到可容忍等級需要多少額外的風(fēng)險消減措施。針對某一情境執(zhí)行LOPA分析時，也可能發(fā)現(xiàn)其他情境或問題。72保護(hù)層分析概論(續(xù))對於特定的情境，LOPA提供了一致的基獨立保護(hù)層和後果發(fā)生頻率關(guān)聯(lián)性

IPL1IPL2IPL3箭頭的粗細(xì)代表了後果發(fā)生的頻率

73獨立保護(hù)層和後果發(fā)生頻率關(guān)聯(lián)性IPL1保護(hù)層分析步驟

評估進(jìn)一步的風(fēng)險消減建議估計後果和嚴(yán)重性進(jìn)行風(fēng)險決策確定情境頻率發(fā)展情境確定起始事件辨別相關(guān)的獨立保護(hù)層步驟1步驟2步驟4步驟5步驟6步驟374保護(hù)層分析步驟評估進(jìn)一步的風(fēng)險消減建議估計後果和嚴(yán)重性進(jìn)保護(hù)層分析步驟1篩選情境：因為LOPA通常評估危害分析已辨識的情境，因此LOPA分析人員的第一個步驟是篩選可能的情境，最常見的篩選方法是基於後果的嚴(yán)重度。後果通常在定性危害分析(如HazOp研究)過程中已予以辨識，接下來分析人員將對後果進(jìn)行分析(包括後果影響)，有些公司的後果分析只評估洩漏物質(zhì)和能量的大小，這種評估結(jié)果潛在地表示了事故情境，但是沒有明確表明對人員、環(huán)境和生產(chǎn)製程產(chǎn)生的危害。還有一些公司會對洩漏過程進(jìn)行模擬，以得到具體情境下的傷害可能性，進(jìn)而更加精確地評估對人員、環(huán)境和生產(chǎn)製程造成的風(fēng)險，例如確定某洩漏情境下操作人員受傷的機(jī)率。75保護(hù)層分析步驟1篩選情境：因為LOPA通常評估危害分析已綜合損失類型

低度後果人員輕微傷害或沒有受傷；不會損失工作時間社區(qū)輕微傷害或沒有受傷；不會引起公眾厭惡環(huán)境釋放未導(dǎo)致公司通報主管機(jī)關(guān)或違反規(guī)定設(shè)施輕微的設(shè)備破壞，損失小於$100,000，沒有生產(chǎn)損失中度後果人員個人受傷，不嚴(yán)重；可能會損失工作時間社區(qū)氣味或噪音引起公眾抱怨環(huán)境釋放導(dǎo)致公司須通報主管機(jī)關(guān)或違反規(guī)定設(shè)施一些設(shè)備破壞，損失大於$100,000，輕微生產(chǎn)損失高度後果人員一位或多位人員嚴(yán)重傷害社區(qū)一位或多位人員嚴(yán)重傷害環(huán)境大量的釋放，對廠外造成嚴(yán)重的影響設(shè)施對製程區(qū)造成嚴(yán)重破壞，損失大於$1,000,000，高度生產(chǎn)損失非常嚴(yán)重後果人員致死或永久性傷殘社區(qū)一位或多位人員嚴(yán)重傷害環(huán)境大量的釋放，對廠外造成嚴(yán)重的影響，並且造成急性或慢性健康影響設(shè)施對製程區(qū)造成嚴(yán)重破壞，損失大於$10,000,000，嚴(yán)重生產(chǎn)損失76綜合損失類型低度後果人員輕微傷害或沒有受傷；不會損失工保護(hù)層分析步驟2選擇某一事故情境：LOPA一次只能選擇一種情境，這個情境可來自其他分析(如定性分析)，但是這種情境描述的應(yīng)是單一的原因－後果配對。77保護(hù)層分析步驟2選擇某一事故情境：LOPA一次只能選擇一保護(hù)層分析步驟3辨識情境起始事件，並確定起始事件頻率(次數(shù)/年)：在所有防護(hù)措施失效時，起始事件必然會導(dǎo)致後果的發(fā)生。起始事件頻率必須考慮情境的背景情況，如可引發(fā)情境的操作模式的頻率。大多數(shù)公司提供了評估事件頻率的指南，以確保LOPA後果的一致性。78保護(hù)層分析步驟3辨識情境起始事件，並確定起始事件頻率(次保護(hù)層分析步驟4辨識獨立保護(hù)層，並評估每個獨立保護(hù)層要求失效機(jī)率(ProbabilityofFailureonDemand,PFD)：因為LOPA是”保護(hù)層分析”的簡稱，有些事故情境只需要一個獨立保護(hù)層，而另外一些事故情境，可能需要多種獨立保護(hù)層，或失效機(jī)率非常低的獨立保護(hù)層，以確認(rèn)事故情境的風(fēng)險滿足容忍標(biāo)準(zhǔn)。對於特定情境，辨識現(xiàn)有的安全保護(hù)措施是否滿足獨立保護(hù)層IPLs的要求是LOPA的核心觀念。79保護(hù)層分析步驟4辨識獨立保護(hù)層，並評估每個獨立保護(hù)層要求保護(hù)層分析步驟5利用後果、起始事件和獨立保護(hù)層相關(guān)數(shù)據(jù)，評估情境風(fēng)險：計算過程能包含其他因素，這取決於後果的定義(事件的影響)，計算方法包含公式法和圖表法，無論使用什麼方法，計算的結(jié)果必須予以記錄。80保護(hù)層分析步驟5利用後果、起始事件和獨立保護(hù)層相關(guān)數(shù)據(jù)，保護(hù)層分析步驟6針對所分析的情境評估風(fēng)險並作出決策：將情境風(fēng)險與公司容忍風(fēng)險標(biāo)準(zhǔn)和(或)相關(guān)的目標(biāo)相比較。81保護(hù)層分析步驟6針對所分析的情境評估風(fēng)險並作出決策：將情保護(hù)層分析限制條件只有使用相同的LOPA方法(即使用相同的方法選擇失效數(shù)據(jù))，情境風(fēng)險的比較才有效，並且比較都是基於同樣的風(fēng)險容忍標(biāo)準(zhǔn)或者與LOPA確定的其他情境風(fēng)險相比較。LOPA計算結(jié)果並不是情境風(fēng)險的標(biāo)準(zhǔn)值，這也是LOPA在定量風(fēng)險分析方面的限制。LOPA是一種簡化的方法，並不適合用於所有的情境，對一些風(fēng)險決策過程，執(zhí)行LOPA可能過於複雜，而對另一些決策LOPA可能又顯得過於簡化。82保護(hù)層分析限制條件只有使用相同的LOPA方法(即使用相同的方保護(hù)層分析限制條件(續(xù))在風(fēng)險決策過程中，與定性的方法如HazOp和What-if相比，LOPA顯得較耗時。在中度複雜的情境中，由於LOPA改善了風(fēng)險決策過程而彌補(bǔ)了LOPA的耗時。對於簡單的決策，LOPA的使用價值不明顯。而對於很複雜的情境和決策，LOPA比定性方法更節(jié)省時間，因為LOPA將重點集中於風(fēng)險決策。LOPA本身並不是一個危害辨識工具，LOPA依賴辨別起始危險事件的方法以及確定事件原因的防護(hù)措施所採用的方法(包括定性危害審查方法)，LOPA執(zhí)行過程的嚴(yán)謹(jǐn)性使得它更常運用於澄清定性危害審查中不明確的情境。不同公司在風(fēng)險容忍標(biāo)準(zhǔn)和LOPA執(zhí)行程序的差異性，顯示分析結(jié)果通常不能在各公司之間直接比較。83保護(hù)層分析限制條件(續(xù))在風(fēng)險決策過程中，與定性的方法如Ha保護(hù)層分析的優(yōu)點

與定量風(fēng)險分析相比，LOPA花費的時間較少，因此適用於定性風(fēng)險評估等法應(yīng)用的複雜情境。LOPA可幫助解決決策時分歧的意見，它提供了一致的、簡化的架構(gòu)評估情境風(fēng)險並為討論風(fēng)險提供了一致的術(shù)語，與基於”風(fēng)險對我而言可以接受”的主觀或主觀上的判斷相比，LOPA提供了一個更好的風(fēng)險決策基礎(chǔ)，這對於那些正在由定性到更多定量風(fēng)險分析轉(zhuǎn)變的公司尤其有幫助。LOPA可以提高危害評估會議的效率，因為它可以幫助更快速地達(dá)成風(fēng)險判斷共識。84保護(hù)層分析的優(yōu)點與定量風(fēng)險分析相比，LOPA花費的時間較少保護(hù)層分析的優(yōu)點(續(xù)1)LOPA有助於更精確地確定原因－後果組合，因此可以改善情境辨識。如果整個公司使用同樣的方法，LOPA可用於單元之間或工廠之間的風(fēng)險比較。與定性方法相比，LOPA提供了更具可靠性的風(fēng)險判斷，因為LOPA要求非常嚴(yán)謹(jǐn)?shù)挠涗?，並且可以提供情境頻率和後果的具體數(shù)據(jù)。LOPA可以用於協(xié)助一個公司決定風(fēng)險是否符合合理可行的降低(AsLowAsReasonablyPracticable,ALARP)原則，這也有助於滿足特定的法令要求。85保護(hù)層分析的優(yōu)點(續(xù)1)LOPA有助於更精確地確定原因－後保護(hù)層分析的優(yōu)點(續(xù)2)

LOPA可以幫助辨識被認(rèn)為有充份防護(hù)措施的操作和實務(wù)，但經(jīng)過更詳細(xì)的分析後，其措施並不能將風(fēng)險降低到可容忍的水準(zhǔn)。LOPA為每個獨立保護(hù)層提供了更明確的功能要求。LOPA的資料可以幫助公司決定操作、維護(hù)以及相關(guān)訓(xùn)練的重點應(yīng)專注於那些防護(hù)措施，例如，許多公司決定將檢查、測試和預(yù)防性維修作業(yè)的重點放在LOPA辨別出的防護(hù)層，因此LOPA是執(zhí)行製程安全管理設(shè)備完整性或基於風(fēng)險的維修系統(tǒng)的有效工具，它有助於確定”安全關(guān)鍵設(shè)備”的屬性及功能。86保護(hù)層分析的優(yōu)點(續(xù)2)LOPA可以幫助辨識被認(rèn)為有充份發(fā)展情境

情境是導(dǎo)致不良後果的意外事件或一系列事件，每個情境至少包括兩項要素：引起一連串事件的起始事件(例如冷卻失效)；後果，指如果事件鏈繼續(xù)發(fā)展沒有中斷，所導(dǎo)致的後果

(如可能造成的系統(tǒng)超壓、有毒或易燃物質(zhì)洩漏到大氣中、

死亡等)。

起始事件

後果構(gòu)成一個情境的最基本要求

87發(fā)展情境情境是導(dǎo)致不良後果的意外事件或一系列事件，每個發(fā)展情境(續(xù))

每個情境都必須有唯一的起始事件及其對應(yīng)的後果，如果同一起始事件能導(dǎo)致不同後果，那麼應(yīng)該發(fā)展多種情境。在某些情況下，許多情境可能開始於同一起始事件(如公用系統(tǒng)失效)，則應(yīng)該為每個單元制定單獨的情境。如果利用人員死亡、營運或環(huán)境損害作為後果，則在情境中還可能包括下列部分或全部因素或結(jié)果修正因子：可燃物質(zhì)的點火機(jī)率；人員出現(xiàn)在事件影響區(qū)域的機(jī)率；火災(zāi)、爆炸或有毒物質(zhì)釋放的暴露致死機(jī)率(包括撤離或

保護(hù)行動)；導(dǎo)致設(shè)備(設(shè)施)一定經(jīng)濟(jì)損失的機(jī)率。88發(fā)展情境(續(xù))每個情境都必須有唯一的起始事件及其對應(yīng)的HazOp與LOPA關(guān)聯(lián)性

偏差造成偏差原因後果其它造成低風(fēng)險原因不滿足公司標(biāo)準(zhǔn)的後果現(xiàn)有安全措施不滿足IPL定義的安全措施起始事件(選擇一件以代表情境)情境背景與描述後果(每次選一種)獨立保護(hù)層(IPLs)HazOp未辨識的IPLs觸發(fā)事件和條件額外風(fēng)險減緩措施使風(fēng)險可容忍建議事項不必要的措施(不需要的建議)起始事件頻率10-x/a嚴(yán)重程度或經(jīng)濟(jì)損失分類IPLs要求失效機(jī)率IPLs要求失效機(jī)率事件或條件機(jī)率繼續(xù)下一個原因－後果配對選擇：綜合程序的風(fēng)險與程序風(fēng)險標(biāo)準(zhǔn)比較風(fēng)險是否可容忍?否

是

HazOp資料LOPA不需要的資料LOPA採用的資料LOPA採用的數(shù)據(jù)其它造成低風(fēng)險原因89HazOp與LOPA關(guān)聯(lián)性偏差造成偏差原因後果其它造成低起始事件

LOPA的每一情境都有單一的起始事件，起始事件頻率通常以每年發(fā)生的次數(shù)表示，一些資料也使用其他的單位來表示，如106每小時發(fā)生的次數(shù)。起始事件一般分為三類型:外部事件、設(shè)備故障、人為失誤(也稱為不恰當(dāng)?shù)男袨?。根本原因被定義為”事故發(fā)生的潛在系統(tǒng)原因”，起始事件是各種根本原因的結(jié)果，包括外部事件、設(shè)備故障或人為失誤。起始事件的根本原因都不相同，在確定起始事件時不應(yīng)太深究其根本原因。不過根本原因有助於確認(rèn)起始事件發(fā)生的頻率。因此當(dāng)評估起始事件頻率時，需要考慮一些根本原因。90起始事件LOPA的每一情境都有單一的起始事件，起始事起始事件(續(xù)1)與設(shè)備有關(guān)的起始事件可以被進(jìn)一步分為控制系統(tǒng)失效和機(jī)械故障?？刂葡到y(tǒng)失效包括(但不限於):基本程序控制系統(tǒng)(BasicProcessControlSystem,BPCS)原件失效；軟體失效或故障；控制支援系統(tǒng)失效(例如電力系統(tǒng)、儀控空氣系統(tǒng))。91起始事件(續(xù)1)與設(shè)備有關(guān)的起始事件可以被進(jìn)一步分為控起始事件(續(xù)2)機(jī)械故障包括(但不限於)：磨損、疲勞或腐蝕造成的容器或管線失效設(shè)計、技術(shù)規(guī)格或製造/製備缺陷造成的管線失效；超壓造成的容器或管線失效(例如熱膨脹、清管/吹除)或低壓(真空導(dǎo)致崩塌)；震動導(dǎo)致的失效(例如轉(zhuǎn)動設(shè)備)；維護(hù)/維修不完善(包括使用不合格的替代材料)所造成的失效；92起始事件(續(xù)2)機(jī)械故障包括(但不限於)：30起始事件(續(xù)3)高溫(如火災(zāi)暴露、冷卻失效)或低溫，及脆性斷裂(如自動冷凍、低環(huán)境氣溫)引起的失效；湍流或水擊引起的失效；內(nèi)部爆炸、分解或其他失控反應(yīng)造成的失效。與人為失效相關(guān)的原因或者是疏忽或者是錯誤，其中包括(但不限於):未能按正確順序執(zhí)行任務(wù)步驟，或遺漏一些步驟(有些行動沒有執(zhí)行)；未能正確觀察或因應(yīng)製程或系統(tǒng)顯示的條件或其他提示(有些行動執(zhí)行錯誤)。93起始事件(續(xù)3)高溫(如火災(zāi)暴露、冷卻失效)或低溫，及脆性起始事件典型頻率

起始事件來自文獻(xiàn)的頻率範(fàn)圍(每年)某公司進(jìn)行LOPA時的選擇值(每年)壓力容器疲勞失效10-5~10-71×10-6管線疲勞失效-100m-全部斷裂10-5~10-61×10-5管線洩漏(10％截面積)-100m10-3~10-41×10-3常壓儲槽失效10-3~10-51×10-3墊片/填料爆裂10-2~10-61×10-2渦輪/柴油發(fā)動機(jī)超速，外套破裂10-3~10-41×10-4第三方破裂(怪手、車輛等外部影響)10-2~10-41×10-2起重機(jī)載荷掉落10-3~10-4/起吊1×10-4/起吊雷擊10-3~10-41×10-3安全閥誤開啟10-2~10-41×10-294起始事件典型頻率起始事件來自文獻(xiàn)的頻率範(fàn)圍某公司進(jìn)行L起始事件典型頻率(續(xù))

冷卻水失誤1~10-21×10-1泵密封失效10-1~10-21×10-1卸載/裝載軟管失效1~10-21×10-1BPCS儀表控制迴路失效注：IEC61511的限制大於1×10-5/h或8.76×10-2/a(IEC,2001)1~10-21×10-1調(diào)節(jié)器失效1~10-11×10-1小的外部火災(zāi)(多因素)10-1~10-21×10-1大的外部火災(zāi)(多因素)10-2~10-31×10-2LOTO(鎖定、標(biāo)定)程序失效(多個元件的總失效)10-3~10-4/次1×10-3/次操作人員失效(執(zhí)行一般程序，假設(shè)得到較好的訓(xùn)練、不緊張、不疲勞)10-1~10-3/次1×10-2/次95起始事件典型頻率(續(xù))冷卻水失誤1~10-21×10-獨立保護(hù)層定義和功能

獨立保護(hù)層是能夠阻止情境朝向不良後果繼續(xù)發(fā)展的設(shè)備、系統(tǒng)或行動，並且獨立於啟始事件或情境中其他保護(hù)層的行動。獨立保護(hù)層的有效性和獨立性必須具有可審查性。如下圖的事件鏈中，A點安裝的獨立保護(hù)層IPL必要時應(yīng)採取行動，如果A點的獨立保護(hù)層如期作動，則可以阻止不良後果發(fā)生。如果情境中所有的獨立保護(hù)層都無法如期作動，那麼不良後果將隨著啟始事件發(fā)生。起始事件IPL如期作動A安全後果後果發(fā)生(儘管存在IPL)獨立保護(hù)層IPL未如期作動96獨立保護(hù)層定義和功能獨立保護(hù)層是能夠阻止情境朝向不良後獨立保護(hù)層定義和功能(續(xù))

區(qū)分獨立保護(hù)層和防護(hù)措施非常重要，防護(hù)措施可以是中斷起始事件發(fā)生後的事件鏈的任何設(shè)備、系統(tǒng)或行動。但是，由於一些防護(hù)措施的有效性、獨立性或其他因素缺乏數(shù)據(jù)，具有不確定性，因此這些防護(hù)措施的有效性難以確定。獨立保護(hù)層的有效性根據(jù)要求失效機(jī)率(PFD)進(jìn)行確認(rèn)，PFD定義為系統(tǒng)要求時IPL失效不能發(fā)揮具體功能的機(jī)率。PFD為0和1之間的無因次數(shù)字，PFD值越小，該保護(hù)層對某一啟始事件後果頻率降低的越多，獨立保護(hù)層的“降低頻率”有時被稱為“風(fēng)險降低因子。97獨立保護(hù)層定義和功能(續(xù))區(qū)分獨立保護(hù)層和防護(hù)措施非常見保護(hù)層的特性程序設(shè)計許多公司假設(shè)若製程符合本質(zhì)更安全設(shè)計，一些情境不可能發(fā)生。例如設(shè)備可能被設(shè)計用於承受特定情境的最大壓力、限制批次反應(yīng)器的容量、存量更低或化學(xué)物質(zhì)替代等，本質(zhì)更安全設(shè)計可以消除一些情境。有些公司認(rèn)為本質(zhì)更安全製程設(shè)計功能有一個非零的PFD，也就是說，在實際製程中，已經(jīng)證實它們具有一定的失效模式。這些公司將本質(zhì)更安全的製程設(shè)計功能作為一種獨立保護(hù)層IPL，這類獨立保護(hù)層的設(shè)計是為了防止後果的發(fā)生。98常見保護(hù)層的特性程序設(shè)計36常見保護(hù)層的特性(續(xù)1)

基本製程控制系統(tǒng)基本製程控制系統(tǒng)(BasicProcessControlSystem,BPCS)包括正常的手動控制，是製程正常運用期間的第一層保護(hù)，BPCS的設(shè)計是為了使製程處在安全操作範(fàn)圍。如果BPCS控制環(huán)路的正常操作符合適當(dāng)?shù)臉?biāo)準(zhǔn)，則可作為獨立保護(hù)層。BPCS失效可以被視為起始事件，當(dāng)考慮使用BPCS作為獨立保護(hù)層時，分析人員必須評估BPCS使用和管理系統(tǒng)(AccessControlandSecuritySystem)的有效性，因為人員疏失會破壞BPCS的功能。99常見保護(hù)層的特性(續(xù)1)基本製程控制系統(tǒng)37常見保護(hù)層的特性(續(xù)2)關(guān)鍵警報和人員干預(yù)這類系統(tǒng)是製程正常運作期間的第二層保護(hù)，並且這些系統(tǒng)應(yīng)該被BPCS啟動，當(dāng)報警或觀察引發(fā)的操作人員行為符合各種標(biāo)準(zhǔn)，確保行動的有效性時(例如獨立性)，則操作人員行動可作為獨立保護(hù)層。公司的程序和訓(xùn)練可以改善操作人員的執(zhí)行能力，但警報因應(yīng)步驟本身並不是獨立保護(hù)層。100常見保護(hù)層的特性(續(xù)2)關(guān)鍵警報和人員干預(yù)38常見保護(hù)層的特性(續(xù)3)安全儀控功能(SafetyInstrumentedFunction，SIF)安全儀控功能是由量測器、邏輯運算器和最終控制元件組成，具有一定的安全完整性要求，安全儀控功能偵測超過安全恕限(異常)條件，控制程序進(jìn)入功能性安全狀態(tài)。安全儀控功能SIF在功能上獨立於BPCS，安全儀控功能通常為一種獨立保護(hù)層。安全儀控功能系統(tǒng)的設(shè)計、系統(tǒng)備份程度、測試頻率和類型將決定LOPA中SIF的PFD。101常見保護(hù)層的特性(續(xù)3)安全儀控功能(SafetyInst常見保護(hù)層的特性(續(xù)4)物理保護(hù)(安全閥、破裂盤等)如果這類設(shè)備設(shè)計、維護(hù)和尺寸合適，則可以提供較高程度的超壓保護(hù)。但是，如果切斷閥安裝在洩壓閥下方或者檢查和維護(hù)工作品質(zhì)較差，則這類設(shè)備的有效性可能受到污垢或腐蝕的影響。如果物質(zhì)從安全閥排放到大氣，則可能會造成其他後果，這需要進(jìn)一步的評估，這會涉及燃燒塔、驟冷槽、洗滌塔等設(shè)備有效性的檢查。102常見保護(hù)層的特性(續(xù)4)物理保護(hù)(安全閥、破裂盤等)40常見保護(hù)層的特性(續(xù)5)釋放後保護(hù)(防液堤、防爆牆等)這些獨立保護(hù)層是被動的保護(hù)設(shè)備，如果設(shè)計和維護(hù)正確，這類獨立保護(hù)層可提供較有效的保護(hù)。雖然它們的失效率低，但是在情境中也應(yīng)考慮PFD。此外，如果自動灑水系統(tǒng)、泡沫系統(tǒng)或氣體偵測系統(tǒng)等滿足獨立保護(hù)層的要求，在一些特殊情境中，也可以將它們作為獨立保護(hù)層。103常見保護(hù)層的特性(續(xù)5)釋放後保護(hù)(防液堤、防爆牆等)41常見保護(hù)層的特性(續(xù)6)工廠緊急應(yīng)變這些措施如消防隊、人工防洪系統(tǒng)、工廠緊急疏散等通常不視為獨立保護(hù)層，因為它們是在初始釋放之後被啟動，並且有太多因素(如時間延遲)影響了它們在消減情境的整體有效性。104常見保護(hù)層的特性(續(xù)6)工廠緊急應(yīng)變42常見保護(hù)層的特性(續(xù)7)社區(qū)緊急應(yīng)變這些措施，如社區(qū)撤離和避難所，通常不被視為獨立保護(hù)層，因為它們是在初始釋放之後被啟動，並且有太多因素影響了它們在消減情境的整體有效性，它們對工廠的工人沒有提供任何保護(hù)。105常見保護(hù)層的特性(續(xù)7)社區(qū)緊急應(yīng)變43獨立保護(hù)層基本原則設(shè)備、系統(tǒng)或行動作為獨立保護(hù)層時，必須滿足的條件是：有效性：按照設(shè)計的功能發(fā)揮作用，必須能有效地防止後果發(fā)生；獨立性：獨立於起始事件和任何其他已經(jīng)被認(rèn)為是同一情境的獨立保護(hù)層的構(gòu)成元件；可審查性：對於阻止後果的有效性和PFD必須能夠以某種方式(通過記錄、審查、測試等)進(jìn)行驗證。106獨立保護(hù)層基本原則設(shè)備、系統(tǒng)或行動作為獨立保護(hù)層時，必須獨立保護(hù)層基本原則(續(xù)1)如果某設(shè)備、系統(tǒng)或行動確認(rèn)為獨立保護(hù)層，那麼它必須有效地防止該情境不期望的後果。為了確定防護(hù)措施是否是獨立保護(hù)層，可利用下列問題協(xié)助小組或分析人員作出適當(dāng)?shù)呐袛?。防護(hù)措施能否偵測到需要採取行動的狀況，這可能是一個製程改變或警報等，如果防護(hù)措施不能偵測到這些狀況，並且不能產(chǎn)生具體的行動，那麼就不是獨立保護(hù)層。防護(hù)措施能否及時偵測到狀況，以採取正確的行動防止不良後果的發(fā)生，所需的時間必須包括：偵測到狀況的時間；處理信號和作出決策的時間；採取必要行動的時間；行動生效的時間。107獨立保護(hù)層基本原則(續(xù)1)如果某設(shè)備、系統(tǒng)或行動確認(rèn)為獨獨立保護(hù)層基本原則(續(xù)2)在允許的時間內(nèi)，獨立保護(hù)層是否有足夠能力採取所要求的行動，如果需要一項具體的規(guī)格要求(例如安全閥洩放面積、防液堤容積等)，那麼安裝的防護(hù)措施是否能夠符合這些要求?對於所要求的行動，獨立保護(hù)層的強(qiáng)度是否充足?獨立保護(hù)層的強(qiáng)度包括：物理強(qiáng)度(例如防爆牆或防液堤)；某特定情境條件下閥門的關(guān)閉能力(例如閥門彈簧、驅(qū)動器或元件的強(qiáng)度)；人員強(qiáng)度(例如所要求的任務(wù)是否在操作人員能力範(fàn)圍內(nèi))。如果防護(hù)措施不能滿足這些要求，則它不是獨立保護(hù)層。108獨立保護(hù)層基本原則(續(xù)2)在允許的時間內(nèi)，獨立保護(hù)層是否有足獨立保護(hù)層基本原則(續(xù)3)LOPA獨立