1.1　保護層分析概述

這一節主要取自美國化學工程師學會化工過程安全中心（以下簡稱CCPS）的《危害評估程序導則》第3版（CCPS2008） ，為CCPS 2001年發布的《保護層分析——簡化的過程風險評估》中介紹的保護層分析方法提供了一個簡要的總結及少量的更新。經驗豐富的LOPA從業者和使用者可以直接前往1.2節查閱LOPA變種形式的相關信息。

保護層分析是定量風險分析的一種簡化形式，它使用初始事件頻率、后果嚴重性和獨立保護層（IPLs）的失效概率的數量級類別來對一個或多個事故場景的風險進行分析和評估。LOPA分析可在包括流程開發、流程設計、操作、維護、變更和退役的全生命周期的不同階段中應用。

LOPA分析的目的

LOPA分析可幫助我們回答以下疑問：

?為了滿足我們的風險目標我們的裝置需要什么樣的保護層？

?每一個保護層可減少或需要減少多少風險？

盡管實際上為了回答這些問題往往需要通過定量風險分析（QRA）來實現，但是LOPA分析也可以以相對QRA分析更短的時間及更少的資源下幫助我們回答這些問題。

LOPA是一種數量級層面上的定量分析方法（有時也被稱作半定量分析），它通常建立在定性風險評估（例如HAZOP分析）的基礎上。通過具體分析指定的危害場景，LOPA分析可以判斷每一個待分析場景的風險是否已經被降低到指定的風險可接受標準內。然而，如果分析者或分析團隊可以只通過定性分析方法來做出一個合理的風險決策，那么LOPA分析也許就沒有必要了。定性風險評估方法（如HAZOP分析）通常是為了識別一系列潛在的事故場景，并對這些場景中保護措施的充分性進行定性分析。LOPA分析通常被用于對這些潛在事故場景中的部分指定場景進行分析。

有時，簡單的數量級級別的LOPA分析可以通過更嚴格的定義及執行擴展到更加完整的全定量風險分析領域QRA中。使能條件與修正因子的使用也包括在這個領域之中。

描述

一般來說，LOPA的執行往往建立在定性風險評估中的基礎之上，但是也可以應用于從其他來源獲悉的場景，例如系統審核或事故調查。LOPA可以被用于全面定量風險分析前的事故場景篩選工具。如果需要，LOPA也可以與定性的基于場景的危害評估方法結合起來使用，例如HAZOP分析（見4.2節）。

在定義了分析范圍之后，LOPA可以概括為以下七個步驟。LOPA的結果可以用于幫助進行風險相關決策。

步驟1：確定場景篩選標準。自從LOPA被用于評估篩選危害場景的典型方法后，LOPA分析者或分析團隊的第一步就是篩選這些場景。最常見的篩選方法是以場景后果作為依據的。其他篩選標準也有可能被使用，例如，基于“未削減風險”（場景后果嚴重性與初始事件發生頻率估算相結合）或者基于風險評估小組對場景仔細分析后做出的決斷。

LOPA后果嚴重性估算和后果篩選閾值可能有很多種方法，每一種都有各自的優缺點，并且在風險分析中的保守程度上各有不同。通常來說，越簡單的方法也就越保守。

?方法1：分類的方法沒有直接提及對人類的危害。后果的分類是根據泄漏物質類型和量級或其他后果特征來劃分的，而不是明確規定了可能由一個指定泄漏場景所造成的最終傷亡人數和受傷嚴重性程度。

?方法2：對人員傷害的定性評估。對人員的影響通過與組織的風險可接受標準直接比較，但通常是定性評估后果影響的量級。這種方法一般不會明確應用修正因子，例如人員暴露概率。

?方法3：定性或數量級級別的定量評估人員傷害，并通過修正因子來修正泄漏發生后的概率。這種方法是方法2中定性判斷的拓展，更加定量（數量級）地評估人員傷害的后果嚴重性。

?方法4：定量評估人員傷害后果。這種方法與方法3相似，但是在確定泄漏對人員和設備造成的影響時使用了更詳細的分析方法。分析過程中可能會使用符合完整化工工藝定量風險分析（CPQRAs）要求的相關軟件工具，包括擴散及爆炸模擬等。使用這些軟件工具增加了分析的復雜性和時間需求以及對專業知識的需要和其他資源。這類后果分析的復雜性等級遠遠超過使用LOPA進行的數量級風險估算方法。

步驟2：選擇一個事故場景。LOPA一次只應用于一個場景。場景可以來自于其他分析，例如定性風險評估和/或變更管理審核，但是每個場景必須包括單獨的初始事件-損失事件對（“原因-后果對”）。也有一些特殊場景可能涉及兩個并發初始事件（對于這種場景，可能需要使用定量風險分析來進行評估，詳見附件A）。

當從定性危險評估（例如HAZOP分析）中篩選出待分析的場景后，這些待分析場景可能被再次分離成若干個場景進行評估。例如，一個包含了緊急泄壓系統的場景，在LOPA分析中有可能被分離為緊急泄壓系統失效（后果嚴重性相對較高但發生的可能性較低）和緊急泄壓系統功能正常（后果嚴重性相對較低但發生的可能性較高）這兩種場景。

步驟3：確認場景初始事件并且確定它的發生頻率。在假設所有預防性保護措施失效的情況下，初始事件必然會導致損失事件發生。（與HAZOP分析類似，初始事件可能包括一個或多個初始原因，只有當初始原因會導致同樣的損失事件并且受同樣的獨立保護層保護時才可將其進行合并。）很多企業都設有相關導則用于初始事件發生頻率以保證LOPA后果的一致性，CCPS2001年發布的LOPA導則也提供了相關頻率數據。分析團隊應根據待分析裝置的歷史運行數據以及類似裝置同類初始事件的發生頻率來合理地確定初始事件發生頻率。其他因素也可能影響初始事件發生頻率，如非常規設計/維護或用于降低操作人員誤操作頻率的密保系統等。

一般來說背景條件并不是初始事件而是使能條件，例如工藝系統僅在某種特定操作模式下才可能失效的概率。在LOPA分析中，將采用這類使能條件發生概率對初始事件發生頻率進行修正。關于這部分的具體內容請參見第2章。

步驟4：識別獨立保護層并且預估每個獨立保護層的PFD。LOPA方法的核心是識別出給定場景滿足獨立保護層（IPLs）需求的現有預防性保護措施。（所有獨立保護層均為保護措施，但并不是每一個保護措施都滿足成為獨立保護層的需求。）

獨立保護層可以是防止場景演變成不期望的失效事件的裝置、系統或動作，并且獨立于初始事件或場景。一個滿足獨立保護層需求的預防性保護措施通常是以下面七點為核心來進行設計的。

?獨立性——保護層的性能不會被初始事件或其他保護層的動作所影響。

?功能性——能夠在指定的異常場景下做出響應并成功實現其指定功能。

?完整性——通過保護層的設計和管理可以顯著降低場景風險。

?可靠性——確保保護層在指定條件的指定時間段內的可操作性。

?驗證、維護和審核——通過對信息、文檔、程序的執行、維護和驗證，確認保護層的設計、檢驗、維護、測試和操作實踐是否被充分設計且滿足其需實現的核心功能。

?訪問安全——通過權限控制與其他物理方法來減少意外或未經授權的變更。

?變更管理——在執行變更前，用于審核、記錄和批準變更而不是替換的正式流程。

獨立保護層可被視為保護潛在事故場景的“防御體系”。IPL獨立于初始事件和其他獨立保護層的特性是非常重要的。保護層分析小組應在獨立保護層設計和管理的基礎上，評估每個獨立保護層的獨立性，并預測其失效頻率。裝置內所有獨立保護層都應被包含于裝置的機械完整性程序中，并通過適當的檢驗及驗證式測試以確保其維持目標需求時失效概率。依賴于操作人員的獨立保護層應有清晰描述其主要步驟的書面程序，相關操作人員接受了足夠的培訓及測試以確保其可在指定時間內完成響應。任何涉及獨立保護層的行為應受控，涉及獨立保護層的相關變更應在實施前進行變更管理審查。

安全儀表系統（SIS）是獨立保護層的類型之一。CCPS發表過覆蓋安全儀表系統和其他儀表保護系統的全生命周期的導則（CCPS 2007）。

獨立保護層的完整性可通過需求時失效概率來進行定量，該概率為0和1之間的無量綱數字。獨立保護層的需求時失效概率是指當某事故場景需要獨立保護層實施其指定功能時，該獨立保護層失效的概率。大多數公司會提供一系列預設的需求時失效概率值用于保護層分析，因此分析小組進行分析時，能夠挑選最適于待分析場景的獨立保護層，以及最適于設備結構和裝置完整性管理計劃的需求時失效概率值。

步驟5：計算場景發生頻率。事故場景的綜合發生頻率預測是通過計算初始事件發生頻率和獨立保護層需求時失效概率來實現的。這些方法包括使用公式和圖表法等。不管使用何種方法，大多數公司都會提供一種標準程序來記錄保護層分析的中間結果和最終結果。以下數學方法適用于低要求情況（需求頻率低于第一個獨立保護層測試頻率的兩倍，詳見CCPS2001附件F）。

其中，是初始事件i結果C的場景頻率；是初始事件i結果C的初始事件頻率；PFDij是保護初始事件i結果C的獨立保護層j的需求時失效概率（危險失效模式）。

例如，如果初始事件（i=1）概率為每隔十年一次（=10-1/年），針對這一初始事件的兩個獨立保護層的需求時失效概率均為0.01（PFD11=10-2，PFD12=10-2），這兩個獨立保護層成功響應時均可阻止初始事件1至出現C后果的事故序列，那么初始事件1（）結果C的場景計算頻率為10-1/年×10-2×10-2=10-5/年。

如果公司選擇在LOPA分析中應用使能條件，事故場景頻率計算時應考慮與場景相關的使能條件因子（詳見第2章）。使能條件概率的計算與上述需求時失效概率的頻率計算公式類似。

如果公司選擇在LOPA分析中應用條件修正因子，依據采用后果嚴重性評估的方法（如本節中步驟1所述方法3或方法4），修正因子（如第3章所述）可在場景頻率計算時考慮。例如，當公司評估直接人員傷害頻率時，場景頻率計算時應包含額外的修正概率，例如著火概率或事故發生時操作人員到場概率。這些概率作為額外因素，包含于頻率計算公式中，即：

為考慮著火頻率的風險計算公式，以及為進一步考慮著火時操作人員在火災影響區域內概率的風險計算公式：

步驟6：評估危害場景相關的風險以幫助做出決策。通過將場景后果嚴重性與場景發生頻率相結合來獲取場景風險：

這里，為待分析事故k的風險等級，一般通過單位時間內后果等級來表示，例如年死亡人數；為相反單位時間內的利益為待分析事故k的頻率，單位為時間的倒數；Ck為利益為待分析事故k的后果嚴重性（影響）的一種指定計量數據（例如：死亡人數，嚴重傷亡人數，公眾影響，環境影響，經濟損失）。

計算出事故場景的風險或頻率通常會與指定的風險可接受準則進行對比，或通過將其轉化為風險矩陣中的不同位置來表示。

步驟7：通過保護層分析進行風險決策。當已經通過LOPA分析評估出了事故場景的風險等級，則可在此基礎上進行風險決策。這一決策過程一般是通過將事故場景風險等級與公司風險可接受標準進行對比來實施的（可參見CCPS2009中相關內容）。如果計算出的場景風險超過企業風險可接受標準，則超出的部分風險即為需要采取措施進行削減的部分。風險削減可通過多種手段來實現，包括通過進行本質安全設計消除潛在風險，降低初始事件發生頻率，提高獨立保護層的完整性，增設安全保護設施或削減事故后果等。LOPA分析結果也適用于其他用途，包括調整機械完整性管理程序來重點監測特定的設備部件等。

LOPA分析預期成果

通過LOPA分析評估可獲取一系列事故場景的數量級級別的風險等級。保護層分析也包括對每個事故場景現有獨立保護層的充分性進行評估，通過對比場景風險與風險可接受標準來進行風險決策，在必要的情況下建議增設額外的獨立保護層以使場景風險滿足企業風險管理要求。

表1.1為保護層分析工作表的一個案例，展示了單一場景的分析結果。可結合閱讀CCPS（2001）以完整理解這個案例的具體內容。本案例包含一個使能條件（反應器冷卻失效時發生失控的概率），以及兩個修正因子（操作人員出現在后果影響區域的概率；致死概率），雖然在本案例中兩個修正因子都沒有實際對風險進行削減（即每個修正因子概率=1）。