style="width:8.29375in;height:9.42708in" /> 本文是学习GB-T 32857-2016 保护层分析 LOPA 应用指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
本标准规定了LOPA 分析的相关策略和细则,包括 LOPA
分析方法的技术性说明及开展 LOPA
分析时的组织工作的要求,如准备工作、分析会议、分析报告及建议项跟踪等环节的要求,并给出在过程
工业中不同应用的示例。
本标准适用于过程工业开展的保护层分析,其他行业也可参照使用。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20002.4—2015 标准中特定内容的起草 第4部分:标准中涉及安全的内容
GB/T 21109.1—2007 过程工业领域安全仪表系统的功能安全
第1部分:框架、定义、系统、硬
件和软件要求
IEC 61508-4:2010 电气/电子/可编程电子安全相关系统的功能安全
第4部分:定义和缩略语 (Functional safety of
electrical/electronic/programmable electronic safety-realted
systems—Part 4:
Definitions and abbreviations)
GB/T 20002.4、GB/T 21109.1 和 IEC61508-4
界定的以及下列术语和定义适用于本文件。
3.1.1
保护层分析 layer of protection analysis;LOPA
对降低不期望事件频率或后果严重性的独立保护层的有效性进行评估的一种过程方法或系统。
3.1.2
基本过程控制系统 basic process control system;BPCS
对来自过程的、系统相关设备的、其他可编程系统的和/或某个操作员的输入信号进行响应,并产生
使过程和系统相关设备按要求方式运行的系统,但它并不执行任何具有被声明的
SIL≥1 的仪表安全
功能。
注:对于过程领域而言,基本过程控制系统是一个全局性的术语。
3.1.3
保护层 layer of protect
用来防止不期望事件的发生或降低不期望事件后果严重性从而降低过程风险的设备、设施或方案。
3.1.4
事件 event
过程中发生的、可能由于设备能力或人员行动或影响风险控制系统的外部因素引起的过程事件。
GB/T 32857—2016
3.1.5
初始事件 initial event
产生导致不期望后果场景的事件。
3.1.6
频率 frequency
一个事件单位时间内发生的次数。
3.1.7
独立保护层 Independent protection layer;IPL
一种设备、系统或行动,有效地防止场景向不期望的后果发展,它与场景的初始事件或其他保护层
的行动无关。独立性表示保护层的执行能力不会受到初始事件或其他保护层失效的影响。独立保护层
的有效性和独立性可以被审查。
3.1.8
后果 consequence
某一特定事件的结果。通常包括人员伤亡、财产损失、环境污染、声誉影响等。
3.1.9
场景 scenario
可能导致不期望后果的一种事件或事件序列。
3.1.10
要求时危险失效概率 probability of dangerous
failure on demand;PFD
当受保护设备或受保护设备控制系统发出要求时,执行规定安全功能的独立保护层的安全不可
用性。
3.1.11
安全完整性等级 safety integrity level;SIL
一种离散的等级(四个可能等级之一),对应安全完整性量值的范围。安全完整性等级4是最高的,
安全完整性等级1是最低的。
[IEC 61508-4:2010,定义3.5.8]
3.1.12
使能事件或使能条件 enable event/enable condition
导致场景发生的必要条件或事件,但不会直接导致场景发生。
3.1.13
安全仪表系统 safety instrumented system;SIS
用来实现一个或几个仪表安全功能的仪表系统。 SIS
可以由传感器、逻辑解算器和最终元件的任
何组合组成。
[GB/T 21109.1—2007,定义3.2.72]
3.1.14
共因失效 common cause failure;CCF
在多通道系统中由一个或多个事件导致的引起两个或多个分离通道同时失效,从而导致系统失效
的一种失效。
3.1.15
低要求模式 low demand mode
将受保护设备或受保护设备控制系统导入规定安全状态的安全功能仅当要求时才执行,并且要求
的频率不大于每年一次。
GB/T 32857—2016
3.1.16
高要求模式 high demand mode
将受保护设备或受保护设备控制系统导入规定安全状态的安全功能仅当要求时才执行,并且要求
的频率大于每年一次。
3.1.17
连 续 模 式 continuous mode
安全功能将受保护设备或受保护设备控制系统保持在安全状态是正常运行的一部分。
3.1.18
可容许风险 tolerable risk
按当今社会价值取向在一定范围内可以接受的风险。
[GB/T 20002.4—2015,定义3.15]
下列缩略语适用于本文件(见表1)。
表 1 本标准使用的缩略语
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
保护层分析(LOPA)
的目的是在定性危险分析的基础上,进一步对具体的场景的风险进行相对量
化(准确到数量级)的研究,包括对场景的准确表述及识别已有的独立保护层,从而判定该场景发生时系
统所处的风险水平是否达到可容许风险标准的要求,并根据需要增加适当的保护层,以将风险降低至可
容许风险标准所要求的水平。
LOPA 的一个基本假设就是不存在不失效的保护层。
GB/T 32857—2016
具体示例参见附录 A。
保护层分析的过程包括:场景识别与筛选、后果及严重性评估、初始事件描述及频率确认、独立保护
层识别及PFD
的确认、场景导致预期后果的频率计算、风险评估与建议。以上过程流程图见图1。
style="width:8.29375in;height:9.42708in" />
注:图中虚框所含内容不在本标准范围之内。
图 1 保护层分析流程图
LOPA 一般用于:
a) 场景过于复杂,不能采用完全定性的方法作出合理的风险判断;
b) 场景后果过于严重而不能只依靠定性方法进行风险判断。 LOPA
也用于以下几种场景:
a) 确定安全仪表功能的安全完整性等级;
b) 识别过程中安全关键设备;
c) 识别操作人员关键安全行为和关键安全响应;
d) 确定场景的风险等级以及场景中各种保护层降低的风险水平;
GB/T 32857—2016
e) 其他适用LOPA 的场景等(如设计方案分析和事故调查)。 LOPA
的应用示例参见附录 B 和附录 C。
场景应满足以下基本要求:
a) 每个场景应至少包括两个要素:
1) 引起一连串事件的初始事件;
2) 该事件继续发展所导致的后果。
b) 每个场景应有唯一的初始事件及其对应后果;
c) 除了初始事件和后果外, 一个场景还可能包括:
1) 使能事件或使能条件;
2) 防护措施失效。
d)
如果使用人员死亡、商业或环境损害作为后果,则场景还可能包括下列部分或全部因素,或条
件修正因子:
1) 可燃物质被引燃的可能性;
2) 人员出现在事件影响区域的概率;
3) 火灾、爆炸或有毒物质释放的暴露致死率(在场人员逃离的可能性);
4) 其他可能的修正因子。
场景识别信息通常来源于对新、改、扩建或在役工艺系统完成的危害评估,如
HAZOP 分析所识别
的存在较大风险的场景。
HAZOP 中可导出的用于 LOPA 分析的数据见表 A.1。
值得一提的是,HAZOP
分析过程中所提出的现有安全措施可能是不完整的,在开展 LOPA 分析
时,需要重新仔细检查是否遗漏了现有的措施,被遗漏的这些安全措施可能是独立保护层。
用于LOPA 场景识别的信息来源还包括:
a) 生产运行问题,包括意外行为或正常范围之外的操作条件等;
b) 变更;
c) 事故事件;
d) 安全仪表功能审查。
对场景进行详细分析与记录,记录表格示例见表 A.2。
对在记录过程中发现的,或独立保护层和初始事件频率评估中发现的新的场景,可能需要筛选开发
新的场景,作为另一起 LOPA 分析的对象。
在 LOPA 分析开始前,应确定场景后果的严重程度:
a) 宜采用定性或定量的方法对场景后果的严重性进行评估;
GB/T 32857—2016
b) 典型的后果种类包括:人员伤亡、财产损失、环境污染、声誉影响等;
c)
后果严重性评估方法包括:释放规模/特征评估、简化的伤害/致死评估、需要进行频率校正的
简化伤害/致死评估、详细的伤害/致死评估等;
d) 后果严重性评估分级应与可容许风险分级相一致。
后果等级、严重性分类等详细信息示例见表 A.3。
初始事件一般包括外部事件、设备故障和人的失效,分类见表2。
表 2 初始事件类型
|
|
|
|
|---|---|---|---|
|
|
|
|
GB/T 32857—2016
在确定初始事件时,应遵循以下原则:
a) 审查场景中所有的原因,以确定该初始事件为有效初始事件;
b) 应确认已辨识出所有的潜在初始事件,并确保无遗漏;
c)
应将每个原因细分为独立的初始事件(如"冷却失效"可细分为冷却剂泵故障、电力故障或控制
回路失效),以便于识别独立保护层;
d)
在识别潜在初始事件时,应确保已经识别和审查所有的操作模式(如正常运行、开车、停车、设
备停电)和设备状态(如待机、维护)下的初始事件;
e)
当人的失效作为初始事件时,应制定人员失误概率评估的统一规则并在分析时严格执行;
f) 以下事件不宜作为初始事件:
1) 操作人员培训不完善;
2) 测试或检查不完善;
3) 保护装置不可用;
4) 其他类似事件。
一个典型的化工过程包含各种独立的或非独立的保护层,典型的保护层示例见表
A.6。
并不是所有的保护层都可作为独立保护层。设备、系统或行动需满足以下条件才能作为独立保
护层:
a) 有效性:按照设计的功能发挥作用,应有效地防止后果发生:
1) 应能检测到响应的条件;
2) 在有效的时间内,应能及时响应;
3) 在可用的时间内,应有足够的能力采取所要求的行动。
b)
独立性:独立于初始事件和任何其他已经被认为是同一场景的独立保护层的构成元件:
1) 应独立于初始事件的发生及其后果;
2) 应独立于同一场景中的其他独立保护层;
3) 应考虑共因失效或共模失效的影响。
c) 可审查性:对于阻止后果的有效性和PFD
应以某种方式(通过记录、审查、测试等)进行验证。
审查程序应确认如果独立保护层按照设计发生作用,它将有效地阻止后果:
1)审查应确认独立保护层的设计、安装、功能测试和维护系统的合适性,以取得独立保护层
特定的 PFD;
2)
功能测试应确认独立保护层所有的构成元件(传感器、逻辑解算器、最终元件等)运行良
好,满足 LOPA 的使用要求;
3)
审查过程应记录发现的独立保护层条件、上次审查以来的任何修改以及跟踪所要求的任
何改进措施的执行情况。
应依据6.4.2来确定防护措施是否是独立保护层。过程工业典型独立保护层的确定示例见表
A.7。
GB/T 32857—2016
以下防护措施不宜作为独立保护层:
a) 培训和取证:在确定操作人员行动的 PFD
时,需要考虑这些因素,但是它们本身不是独立保 护层。
b) 程序:在确定操作人员行动的PFD
时,需要考虑这些因素,但是它们本身不是独立保护层。
c) 正常的测试和检测:正常的测试和检测将影响某些独立保护层的 PFD,
延长测试和检测周期 可能增加独立保护层的PFD。
d) 维护:维护活动将影响某些独立保护层的PFD。
e)
通信:作为一种基础假设,假设工厂内具有良好的通信。差的通信将影响某些独立保护层
的 PFD。
f)
标识:标识自身不是独立保护层。标识可能不清晰、模糊、容易被忽略等。标识可能影响某些
独立保护层的PFD。
独立保护层PFD 的确认原则有:
a) 独立保护层的PFD
为系统要求独立保护层起作用时该独立保护层不能完成所要求的任务的 概率;
b)
如果安装的独立保护层处于"恶劣"环境与条件(如易污染或易腐蚀环境中),则应考虑使用更
高的 PFD 值 ;
c) 表 A.8 提供了过程工业典型独立保护层的PFD 值,实际 LOPA
应用过程中,PFD 值的确定应
参照企业标准或行业标准,经分析小组共同确认或进行适当的计算以确认 PFD
值取值的合适 性,并将其作为 LOPA 分析中的统一规则严格执行。
场景频率的计算内容有:
a)
本节仅规定单一场景的频率计算,同样后果的多个场景频率求和不在本节的规定范围内。
b) 本节仅针对低要求模式进行分析计算。
c)
单一场景后果的频率为初始事件发生频率乘以所有独立保护层要求时危险失效概率,场景后
果的频率可能需要使用下面的两种系数进行修正:
1)
假如场景的发生需要使能事件或使能条件时,需要乘以使能事件或使能条件的发生概率;
2)
假如需要计算危险物质释放后的后续后果发生频率时,需要乘以条件修正因子,常见的条
件修正因子如下:
● 可燃物质点火概率;
● 人员出现在事件影响区域的概率;
● 火灾、爆炸或有毒物质释放的暴露致死率;
● 其他。
d) 场景频率计算分为低要求模式后果频率计算和高要求模式后果频率计算。
e) 低要求模式的后果发生频率按式(1)计算:
style="width:3.7867in;height:0.79332in" /> …………………… (1)
式中:
f,C — 初始事件i 造成后果 C 的频率,单位为次每年;
f¹ — 初始事件i 的发生频率,单位为次每年;
PE — 使能事件或使能条件发生的概率,假如没有使能事件或使能条件,则 PE
取 1 ;
GB/T 32857—2016
P,C — 条件修正因子,假如没有任何条件修正,则 PC 取 1 ;
PFD,— 初始事件i 中第j 个阻止后果C
的独立保护层要求时危险失效概率(PFD)。
f) 高要求模式下后果发生频率的计算参见附录 D。
风险的评估与建议内容有:
a)
本节只研究单一场景的风险评估,多个场景的累计风险计算不在本节规定范围内。
b)
各公司应制定适合自己企业的单一场景风险可容许标准。常见的风险评估分析方法有矩阵
法、数值风险法(每个场景最大容许风险),独立保护层(IPL)
信用值法。矩阵法示例见表A.9, 数值风险法示例见表 A.10~ 表 A.12。
c)
通过6.2的后果及严重性评估与6.5的场景频率计算,得出选定场景的后果等级以及后果发
生概率,可以与风险矩阵进行比较,或者与数值风险法中的相关事件可接受频率比较。
d) 根据风险比较结果:
1) 计算风险小于场景可容许风险,继续下一场景的 LOPA 分析;
2) 计算风险大于场景可容许风险,LOPA
分析小组应建议满足可容许风险标准所需采取的
措施,并确定拟采取措施的PFD, 以将风险降低到可容许风险之下。
e) 一个简单的示例参见附录 E。
LOPA
分析应完整、准确地记录场景评估过程中获得的信息。记录文件应包括不期望场景后果的
事件链,以便其他分析小组或分析师审查 LOPA
过程中做出的假设,以及当场景不能满足企业可容许
风险时,应用其他保护层是否可以防止事件发生或降低事故风险。 LOPA
文档记录可采用多种形式。
记录表格应包含如下信息,样表见表A.2:
a) 后果
后果描述应给出风险评估(矩阵法或数值风险法)中的事故类别,以便进行风险评估。
b) 可容许风险
记录表格中选取的可容许风险应和事故后果类别一致,可容许的频率值符合公司可容许标准值。
c) 初始事件
记录表格中应清晰记录场景初始事件,同时应给出初始事件频率。
d) 使能事件或使能条件
应对初始事件的使能事件或使能条件进行描述,并给出使能事件发生的概率。
e) 条件修正
如果选取的场景后果为物料泄漏以后的后果,计算场景频率时,在评估人员具有相关经验及数据支
持下可使用条件修正。条件修正因子可能包括:
1) 可燃物质点火概率;
2) 人员出现在事件影响区域的概率;
3) 火灾、爆炸或有毒物质释放的暴露致死率;
4) 其他。
应表明这些假定值的参考依据,且对标准值的任何修改必须说明理由并记录在案。
f) 减缓前的后果频率
减缓前的后果频率是初始事件频率和所有使能事件或使能条件发生概率以及条件修正因子的
乘积。
GB/T 32857—2016
g) 独立保护层
应写出所有现有的及建议的独立保护层,包括每个独立保护层失效概率。如果独立保护层的失效
概率不同于企业内采用的标准值,则应阐明调整理由。
h) 防护措施(非独立保护层)
如果现有的防护措施不能作为独立保护层,应当说明理由,以便让人更容易理解分析的依据。
示例:
系统安装有安全阀,但安全阀的泄放量小于计算的场景物料的泄放量,则这个安全阀不能作为这个场景的
独立保护层。
i) 减缓后的后果频率
减缓后的后果频率为减缓前的后果频率乘以所有独立保护层的失效频率后的值。
j) 能否满足可容许风险
使用减缓后的后果频率与采用的可容许风险进行比较,假如减缓后的后果频率小于采用的可容许
风险中的事故频率,则场景满足可容许风险,否则为不满足。
k) 满足可容许风险需要采取的行动
假如场景的计算风险大于企业可容许风险,则写出需要采取进一步的措施,采取的行动中需要给
出负责人,以及预计行动完成日期。
假如场景的计算风险大于企业可容许风险,但企业目前又不得不接受这样的风险,这种特殊情况可
能需要高级管理人员的签字,并附在分析文档中。
1) 备注
应包括所有背景资料,或记录与场景或采取行动相关的此类信息。
m) 参考资料
任何有关的工艺流程图、P&ID、SIF
描述或联锁逻辑图、仪表清单、设备清单、操作规程和测试程序
等参考资料,从而完整地记录分析的依据,以便协助审查或执行分析的结果。
n) LOPA 分析人员
LOPA 分析人员姓名、职责。
GB/T 32857—2016
(资料性附录)
LOPA 分析各阶段数据(示例)
A.1 从 HAZOP
从 HAZOP
导出的可用于 LOPA 分析的数据
导出的可用于 LOPA 分析的数据见表 A.1。
表 A.1 从 HAZOP 导出可用于 LOPA 的数据
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
A.2 LOPA 分析记录表
LOPA 分析记录表(示例)见表 A.2。
表 A.2 LOPA 分析记录表(示例)
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
||||
|
|
|||
|
||||
|
||||
|
||||
|
|
|||
|
||||
|
||||
|
||||
|
||||
GB/T 32857—2016
表 A.2 (续)
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
填表注意事项:
a) 识别从初始事件发展到后果的所有重要环节;
b) 记录所有可能会影响后果出现的频率、后果大小或类型计算的因素;
c) 识别包括:维护特定初始事件、特定后果以及特定独立保护层之间的关联;
d)
对于已确定某一场景,分析人员识别初始事件,并确定事件导致预期的后果是否需要任何使
能事件或使能条件;
e) 列出场景所有的防护措施;
f) 小组对列出的多种防护措施进行分析,确定真正的独立保护层;
g)
场景开发应该随着对工艺或系统理解的加深或者新的可用信息的加入而不断修改和完善;有
些情况下,可能需要筛选开发出新的场景。
A.3 后果及严重性等信息
A.3.1 后果分类及严重性等级等的信息来源
后果分类及严重性等级等的信息来源包括:
GB/T 32857—2016
a) 国际惯例或通用数据源;
b) 国家标准或行业规范;
c) 公司根据自身风险可接受水平制定的准则或规范;
d) 长期的行业经验或实践积累。
A.3.2 后果的分类
考虑后果分析的详细程度,可按照影响对象分为:
a) 人员伤亡;
b) 财产损失;
c) 环境污染;
d) 声誉影响等。
按照量化程度,后果评估的不同方法包括:
a) 释放规模/特征评估;
b) 简化的伤害/致死评估;
c) 需要进行频率校正的简化伤害/致死评估;
d) 详细的伤害/致死评估。
A.3.3 严重性分级
表 A.3 给出了简化的化学物质释放后果分级方法的示例,表A.4 和表 A.5
分别给出了简化的伤害
致死后果分级示例,以及简化的经济损失后果分级示例。
注:表 A.3~ 表 A.5
中的后果分级示例仅用于理解后续案例,不可供实际工程直接使用。
表 A.3 简化的物质释放后果分级表(示例)
|
|
|||||
|---|---|---|---|---|---|---|
| 0.5 kg~5 kg | 5 kg~50 kg | 50 kg~500 kg | 500 kg~5000 kg | 5000 kg~50000 kg |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
表 A.4 简化的伤害致死后果分级(示例)
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
GB/T 32857—2016
表 A.5 简化的经济损失后果分级(示例)
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
A.4 典型的保护层
6.4. 1介绍了典型的保护层,
一个典型的化工过程包含各种独立的或非独立的保护层,表 A.6 为 典
型的保护层的描述及相关说明,表 A.7
为介绍独立保护层的确定,包括独立保护层的描述及作为独立
保护层的要求,表 A.8 给出了典型独立保护层 PFD 值 。
表 A.6 典型的保护层
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
GB/T 32857—2016
表 A.6 ( 续 )
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
表 A.7 独立保护层的确定
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
GB/T 32857—2016
表 A.7 ( 续 )
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表 A.8 典型独立保护层 PFD 值
|
|
|
|---|---|---|
|
|
|
|
|
|
GB/T 32857—2016
表 A.8 ( 续 )
|
|
|
|
|---|---|---|---|
|
|
|
|
40 min的响应时间 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
A.5 BPCS 多个回路作为 IPL 的评估方法
style="width:0.56671in;height:0.56012in" />
A.5.1 同 一 BPCS 多个功能回路作为 IPL
的评估方法
有两种方法可用于评估涉及 BPCS 回路或功能的IPLs
的独立性,以确定某特定场景中存在多少独 立保护层。使用方法
A,规则明确且保守。如果分析人员经验丰富,并且关于BPCS 逻辑解算器设计及
实际性能的数据充足可用时,可使用方法 B。
a) 方 法 A
方法 A 假设一个单独 BPCS 回路失效,则其他所有共享相同逻辑解算器的 BPCS
回路都失效。对
GB/T 32857—2016
单一 的BPCS, 只允许有一个 IPL, 且应独立于 IE 或任何使能事件。
b) 方法 B
方法 B 假设一个BPCS 回路失效,最有可能是传感器或最终元件失效,而 BPCS
逻辑解算器仍能正 常运行。 BPCS 逻辑解算器的PFD 比 BPCS 回路其他部件的
PFD 至少低两个数量级。方法 B 允许同
一 BPCS 有一个以上的 IPL。
如图 A.1 所示,两个 BPCS
回路使用相同的逻辑解算器。假设这两个回路满足作为同一场景下 IPL
的其他要求,方法 A 只允许其中一个回路作为 IPL, 方 法 B
允许两个回路都作为同 一场景下 的IPL。
style="width:6.90677in;height:2.16678in" />最终元件1
BPCS 逻
辑解算器
(共享)
最终元件2
图 A.1 同一场景下多个回路的典型 BPCS 逻辑计算器
A.5.2 同一场景下,同一 BPCS 多个功能回路同时作为
IPL 的要求
同一场景下,同一BPCS 的多个功能回路同时作为 IPL 时,应满足:
a) BPCS 具有完善的安全访问程序,应确保将 BPCS
编程、变更或操作上潜在的人为失误降低到 可接受水平;
b) BPCS 回路中的传感器与最终元件在 BPCS
回路的所有部件中具有最高的失效概率值。
如果传感器或最终元件是场景中其他 IPL
的公共组件或是初始事件的一部分,则多个回路不应作 为多个 IPL。 如图 A.2
所示,BPCS 回路1和回路2均使用同一传感器,在这个场景下,则这两个 BPCS
回路只能作为一个 IPL。
同样,如果最终元件(或相同报警和操作人员响应)被共享在两个 BPCS 回路,
那么这两个BPCS 回路也只能作为一个 IPL。
style="width:7.25999in;height:2.11992in" />最终元件1
BPCS 逻
传感器共享于回路1和
回路2
最终元件2
图 A.2 同一场景下共享传感器的 BPCS 回路
共享逻辑解算器输入卡或输出卡的额外 BPCS 回路不宜同时作为 IPL。 如图 A.3
所示,假设满足 IPL 的所有其他要求,则回路(传感器 A→ 输入卡1 → 逻辑解算器
→ 输出卡1 → 最终元件1)可确定为 IPL。 如果第二个控制回路的路径为(传感器
D→ 输入卡2 → 逻辑解算器 → 输出卡2 → 最终元件4),那 么此回路也可确定为
IPL。 但是,如果第二个回路的路径为(传感器 D→ 输入卡2 → 逻辑解算器 → 输出
卡1 → 最终元件2),那么此回路不能作为 IPL,
因为输出卡1共享在两个回路中。相似的,如果第二个 回路的路径为(传感器D→
输入卡2 →逻辑解算器 →输出卡1 → 最终元件2),那么此回路也因为输出卡
1共用在两个回路中而不能作为独立保护层。
GB/T 32857—2016
 传感器 A |
最终元件] | ||
|---|---|---|---|
|
|
||
| 传感器 B |
|
最终元件2 | |
| 传感器C |
|
最终元件3 | |
|
|
||
| 传感器 D | 最终元件4 |
图 A.3 同一场景下共享输入/输出卡的 BPCS 回路
如果初始事件不涉及BPCS 逻辑解算器失效,每一个回路都满足 IPL
的所有要求,在同一场景下, 作为 IPL 的 BPCS 回路不应超过2个。如图 A.4
所示,如果所有4个回路各自满足相同场景下 IPL 的 要求,在使用方法B
时,通常仅有两个回路被作为 IPL。 在使用方法 A
时,只有一个回路被作为独立保
护层。
style="width:6.95347in;height:2.79375in" />
图 A.4 同一场景下 BPCS 功能回路作为 IPL
的最大数量
A.5.3 同一场景下,同一 BPCS 多个功能回路同时作为
IPL 的 数 据 和 人 员 要 求
A.5.3.1 对数据与数据分析的要求
方法 B 假设 BPCS 逻辑解算器的 PFD 比 BPCS 回路其他部件的 PFD
至少低两个数量级,应具有
支持这个假设的数据,并对数据进行分析。这些数据包括:
a) BPCS
逻辑解算器、输入/输出卡、传感器、最终元件、人员响应等历史性能数据;
b) 系统制造商提供的数据;
c) 检查、维护和功能性测试数据;
d) 仪表图、管道和仪表流程图(P&ID)、 回路图、标准规范等资料;
e) 访问 BPCS, 进行程序更改、旁路报警等安全访问BPCS 的信息。
对这些数据的分析应包括:
a) 计算设备或系统 BPCS 回路组件的有效失效率;
b) 各种组件,特别是BPCS 逻辑解算器 PFD 数据的比较;
c) 逻辑输入/输出卡及相关回路的独立性评估;
d) 安全访问控制充分性评估;
e) 使用多重 BPCS 回路作为同一场景下的多个 IPL 的合适性评估。
A.5.3.2 对分析人员的要求
分析人员应能够:
a) 判断是否有足够和完整的数据,这些数据是否能满足足够精度的计算;
GB/T 32857—2016
b) 了解仪表的设计和 BPCS 系统是否满足独立性要求;
c) 理解建议的 IPL 对工艺或系统的影响。
分析小组或人员应具有相关专业知识,如:
a) 对 BPCS 逻辑解算器具有足够低的PFD 的独立第三方认证;
b) 对历史性能数据和维修记录的分析,建立设计标准使多个BPCS 回路满足
IPL 的要求;
c) 设计并执行多个BPCS 回路系统使之满足独立性与可靠性要求等。
如果分析小组或人员不能满足以上要求,那么在判断BPCS 回路作为 IPL
时,宜使用方法 A 进行
分析。
A.6 风险评估与建议矩阵法示例
表 A.9 给出具有不同行动要求的风险矩阵(示例)。表 A.10~表 A.12
给出了数值分析法相关事件
的可容许风险(示例)。
表 A.9 具有不同行动要求的风险矩阵(示例)
|
|
||||
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表 A.10 数值分析法 — —
安全与健康相关事件的可容许风险(示例)
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
GB/T 32857—2016
表 A.11 数值分析法——环境相关事件的可容许风险(示例)
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表 A.12 数值风险法——财产相关事件的可容许风险(示例)
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
style="width:0.30003in;height:0.34672in" />
style="width:0.14003in;height:0.2134in" />
style="width:0.31341in;height:0.31328in" />
style="width:0.3068in;height:0.3333in" />
style="width:0.1534in;height:0.24662in" />class="anchor">GB/T 32857—2016
(资料性附录)
反应器系统 LOPA 应用
B.1 简介
本附录用摘选自《化工工艺安全自动化(CCPS,1993b)
指南》中的案例来演示LOPA 的应用。
B.2 问题描述
本附录以图 B.1 中的P&ID 图为基础进行LOPA
分析。该工艺为由氯乙烯单体(VCM) 转化为聚 氯乙烯(PVC)
的间歇聚合操作。通过同一喷嘴将水、液态 VCM、
引发剂和添加剂加入到带搅拌的夹套
反应器中。加料喷嘴还与紧急排气阀和卸压阀(PSV)
相连。中止液可通过同一喷嘴加入。
style="width:12.02672in;height:9.6734in" />B
抑制剂
印
水
style="width:0.23332in;height:0.35332in" />
style="width:0.34676in;height:0.36674in" />
N₂
style="width:0.29327in;height:0.36674in" />
14
--
V-41
-
style="width:0.30664in;height:0.31328in" />
走
style="width:0.37319in;height:0.29326in" />
密封压力
四
VCM
|
|
|---|
搅拌
器油 -16
style="width:0.36013in;height:0.28006in" /> 启关闭
印-
V- 10
V-2
V
V- 19
冷却水口水
除气
预先抽真空
预先抽真空
添加剂
V-5
添加剂
冲洗剂
V- 11
引发剂
V-20
田
冷却水上水
四
π
蒸气
style="width:0.35337in;height:0.30668in" />
pvc
原
图例
SIF输入
BPCS 输入
注: 一些 SIFs(如火灾、气体和手动跳车)没有绘制出。
图 B.1 简化流程 — — 聚氯乙烯(PVC)
的间歇聚合操作流程图
在 表 B.1 中 列 出 了 所 要 分 析 的 8 个 场 景 。 表 B.2~ 表 B.9
包括了针对这些场景的 LOPA
GB/T 32857—2016
表 B.1 安全自动化场景案例
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
B.3 问题讨论
使用风险矩阵后果等级和可容许风险,根据场景的顺序进行 LOPA 分析。
a) 可容许风险
评估改造措施时,风险矩阵更加灵活。对于表A.9
等级5的后果,事件频率大于1×10-4年-即无
法接受,应采取行动对其进行改正。事件频率等于或小于1×10-6年
为可接受,无需采取行动。而介
于此二者之间的场景则依成本、可行性等允许有一定的灵活性。通用原则为,风险矩阵法要求一个新装
置要达到最严格的可容许风险,而对处于灰色安全地带的现役装置,则须进行成本效益分析。
b) 使能事件或使能条件
对于间歇反应器如果其(1)在使用中,(2)初始事件发生,而导致了飞温超压的后果。
LOPA 方法
假定上述两个条件同时存在的可能性为0.5。
同样地,加倍注入催化剂量的频率等于每年投料批次乘以催化剂加错的几率。
若我们假定在该过程中出现错误的可能性为0.01,则加倍注入催化剂量的频率为:
365天/年×1批/3天×0.01= 1.21/年
此处假定每批料仅加一次催化剂,且每批料运转三天。
注:若使用催化剂装填和人为错误的设定值,则此事件的场景确定了泄压系统(SIF)的
PFD。
c) 条件修正因子
在某些使用火灾或死亡频率作为可容许风险的方法中,用条件修正因子对初始事件进行修正从而
获得其频率。
d) 独立保护层 IPL
独立保护层应具有:有效性、独立性和可审查性。下面对这几个特性逐步介绍。
1) 有效性
对于多数场景,均建议增加由安全仪表系统(SIS) 控制的减压系统(SIF)。
反应器顶部管线既用于 减压阀和安全阀 PSV
的排放管线,又为反应器添加引发剂、水和添加剂及更重要的中止液的入口管线。
这就产生了一个问题,当排气阀或安全阀 PSV
打开时,上述任何一种物料是否能通过该管线同时流入
容器,对于许多情景,认为加入中止液为独立保护层 IPL, 其中减压系统和 PSV
也是独立保护层 IPL。
这样,也许需要置疑是否能假定加入中止液与通过相同喷嘴进行系统排放将不会同时发生。
因此,使用LOPA 方法的分析师将会置疑如图B.1 中配置的放空系统PSV
和中止液添加系统的有
GB/T 32857—2016
效性,在建议的管道设计中它们是否都应被视为独立保护层 IPL。
可能会提到的其他问题为:反应器卸压时(采用安全阀 PSV
或排气阀),在管道和阀门是否会出现
两相流。
若此情况有可能发生,则应采用DIERS
或类似技术就尺寸、机械强度及处理问题等进行计算。
在场景4,操作员有两个操作步骤(打开蒸汽动力冷却水泵及加入中止液)。在本标准中展示的
LOPA
方法中,若操作员在应对报警时效率低下,则其不可能正确执行第二项任务。所以在
LOPA 中 ,
这些行动中仅有一项会被认为是有效的独立保护层 IPL。
在场景8中, 一个现场通风系统的工艺设计可以认定为一个独立保护层 IPL,
因为其可防范因搅拌 器轴封故障而导致的 VCM
泄漏。轴封的设计据称可限制可能泄漏的 VCM 最大量,所以通风系统无
虞。该排放系统的设计基础是否恰当取决于对轴封执行的分析等级及通风系统风扇等的合理历史故障
率。为取得表 B.9 中所示的 LOPA 分析结果,假定独立保护层 IPL 的 PFD
为1×10-1,尽管该表的一
个注释还要求对该IPL 进行进一步分析。
下面对在场景8中反应器区域的低使用率是否应被考虑为独立保护层 IPL
做探讨。
例如,若一个密封面临问题,有可能有人员在附近观察和讨论该密封,或其实际上正在密封上工作。
若当时出现破裂,实际上在该区域中可能会比正常情况下有更多的人(注意:至少有一个导致了多人死
亡的事故是由于有多人在爆炸源附近正在调查设备故障)。所以将低使用率称为独立保护层
IPL 可能
并不恰当。
在表B.9 所示的 LOPA
分析中,因为上述原因的关系,其不能被视为有效或独立于初始事件之外,
因此低使用率并未被视为独立保护层 IPL; 此外,对其PFD 进行量化也比较困难。
在评估操作人员的行为是否是独立保护层 IPL
时也可考虑其行为的有效性。在某些场景下,当搅
拌器不运转时,操作员添加中止液,然后采用手动让反应器"冒泡"的方式来混合介质,在
LOPA 分析
中,该行动并未被视为独立保护层 IPL。
有效性还包括被称为独立保护层 IPL 的失效概率 PFD。
该类的一个例子为对比安全阀 PSV 的分 值(PFD=1×10-²) 与排气阀
SIF(PFD=1×10-3) 的分值。对于此类设备,可能是由于聚合物沉积或
排气过程中带有聚合材料而产生的阀门或管道阻塞/冻结的原因,安全阀的 PFD
相对较高。而如果设 计正确,SIF 以1×10-³的失效概率PFD,
检测操作条件、传送信号并打开排气阀,看起来阀门和管道不
大可能比安全阀受阻塞影响的程度低。
若此说法正确,则图B.1 中所示的设计中安全阀和排气阀的 PFD
均应假定为1×10-²是可能的。
因为除通用喷嘴外,两个安全阀共享一个共同的入口管线、两个排气阀也共享一个共同的入口管线时,
此种假设尤为正确。
2) 独立性
下面讨论独立保护层 IPL 的独立性。
一旦认同了使用共同的喷嘴和管道,中止液添加系统、排气
系统SIF 及 PSV
的独立性就要受到挑战。这将导致它们是否均应被视为独立保护层的讨论。
考虑独立性时的另一问题是初始事件与潜在独立保护层之间或相同场景下已确定的独立保护层与
另一潜在的独立保护层之间是否有关联。此处的案例为:
场景4中单一冷却水低流量报警后,操作员的两个操作步骤(启动蒸汽驱动冷却水泵及加入中止
液)来应对报警,在 LOPA 中不能认为是为独立保护层。因为:
若单一低流量报警故障,则两个行动都可能无效,因为操作员可能并不知道冷却水故障。这是通过
一个共同传感器而缺乏独立性的一个例证。
若操作员没能圆满完成各项任务中的一项,则不大可能正确执行第二项行动。这是经由最后控制
单元(操作员行动)而缺乏独立性的一个例证。
在 LOPA 的基础方法中,若工艺控制系统 BPCS
出现故障,会导致失去执行两个独立保护层行动
的能力。在一定场景下,在对工艺控制系统设计和性能有特殊要求时,可在评估该问题时降低保守
GB/T 32857—2016
程度。
场景6中工艺控制系统的液位控制回路故障导致反应器满溢而成为初始事件。在
LOPA 分析中, 液位和重量单元报警不能视为独立保护层 IPL,
因为若控制系统故障是初始事件,就不允许假定BPCS
还将保持探测、处理和采取行动(启动警报)以让操作员采取行动的能力。
场景7工艺控制系统中的温度控制回路故障成为初始事件。在 LOPA
分析中,不能假定工艺控制
系统仍旧能够探测到该情况并警示操作员采取行动,因为工艺控制系统的一部分(初始事件)故障并不
能被假定为其可让相同工艺控制系统的另一部分处于可采取有效行动探测、处理和发送信息的状态。
这样,初始事件和纠正行为并非是独立的,该行动不能被视为独立保护层。
3) 可审查性
保护系统的详细设计未在 CCPS(1993b) 或 表 B.2~ 表 B.9
中直接描述。而确认和审查可能会
包括:
● 显示设计基础、管道尺寸选择方法(即 DIERS)
、水力和机械计算(或其参考)(CCPS 1998b)的 PSV 汇总表;
●
工艺设计依据,能证明针对该场景而选择的设计方案的原因,并提供所需的模型、VLE、反
应动力学等以支持该结论;
● 工艺控制系统和安全仪表的设计细节;
● SIF 设计细节以证明所称PFD 值是恰当的;
● 所要求的检查、测试和维护程序细节;
● 检查、测试和维护频率和结果的记录文件。
B.4 供考虑的设计改进
本章对图 B.1 所示的设计提出了改进意见,这些改变包括对IPL 的数量及其
PFD 造成的影响。这
些均基于表B.2~ 表 B.9 所示的 LOPA 分析。
a) PSV 系统的改进
此处建议改进管道系统以使每个 PSV
均通过其自己的喷嘴和管道系统与反应器相连。这将确保 PSV
和中止液注入系统的独立性,消除在正常操作或排放动作过程中单个喷嘴被聚合物阻塞而使
PSV
失效的可能性。
还应考虑在 PSV
增加氮气吹扫以将管道中或阀门入口处的聚合物沉积/冻结的可能性降至最低。
若还未曾考虑,应采用DIERS
技术确定在排放过程中管道和阀门中是否会出现两相流。如果可行,应
参照《卸压和排放液处理系统指南》设计管道和阀门。这些改变将使 PSV
和中止液系统被视为 IPL。
通过建议的管道改进和氮气吹扫的加入—-若恰当且实用,PSV 系统的 PFD
很可能会显著改善。
b) 排气阀 SIF 系统的改进
对 PSV 系统设计的相同改进也适用于排气阀SIF
系统。这样,就要求在反应器顶部还需有两个新
喷嘴。也需考虑在两相流、聚合等方面的相同设计问题。
这些改进都会使排气阀SIF 系统和中止液添加系统被视为 IPL。 假定的 PSV 的
PFD 及可容许风 险决定了SIF 系统的 PFD。
系统的最终设计(传感器数量、最终控制元素、处理系统类型、测试频率和
类型等)将由该 IPL 所要求的 PFD 决定。
举个例子,若在每批料之间测试完整的排气阀 IPL
(从信号探测到排气阀打开),则对于所给出的设
计,测试时间会很短,且与每年才测试一次的相同设计相比,会有改善。既要考虑频繁测试的实用性、成
本和人力,也应考虑简易系统的低成本。
c) 人为独立保护层
除非分析证明传感器、报警器和操作员是独立的,对于每一种场景来说,人为行动仅可被用作一道
GB/T 32857—2016
IPL。 应有足够的培训、测试和程序,才能将人作为IPL。
表 B.2 场景1分析案例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
GB/T 32857—2016
表 B.3 场 景 2 分 析 案 例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
GB/T 32857—2016
表 B.4 场景3分析案例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
GB/T 32857—2016
表 B.5 场 景 4 分 析 案 例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
GB/T 32857—2016
表 B.6 场 景 5 分 析 案 例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
GB/T 32857—2016
表 B.7 场 景 6 分 析 案 例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
GB/T 32857—2016
表 B.8 场 景 7 分 析 案 例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
GB/T 32857—2016
表 B.9 场 景 8 分 析 案 例
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
||||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
|
|||
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
||||
|
||||
GB/T 32857—2016
(资料性附录)
LOPA 方法在SIL 定级中的应用
C.1 LOPA 示 例 一
LOPA 示例一见表C.1。
表 C.1 LOPA
示例一
|
|
||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
||||||||||||
|
|
|
|
|
|||||||||||
|
|
||||||||||||||
|
|||||||||||||||
style="width:0.21318in;height:0.21334in" />
C.2 LOPA 示例二
LOPA 示例二见表 C.2。
表 C.2 LOPA 示例二
|
|
|
|
|
|
|
|
|
|
||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
||||||||||||||
style="width:0.21318in;height:0.21334in" />
表 C.2 (续)
|
|
|
|
|
|
|
|
|
|
||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|||||||||||||
|
|
||||||||||||||||
style="width:0.20658in;height:0.20658in" />
表 C.2 (续)
|
|
|
|
|
|
|
|
|
|
||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|||||||||||||||
|
|||||||||||||||||
GB/T 32857—2016
(资料性附录)
高要求模式后果发生频率计算示例
D.1 概述
式(1)仅适用于低要求模式,对于高要求模式如果采用此公式将导致不精确的后果发生频率值,
一
般情况下会计算出一个远大于实际后果发生频率的数值。本附录采用一种近似的方法计算高要求模式
下的后果发生频率。
D.2 单个 IPL 下的后果发生频率计算
D.2.1 单个 IPL 的失效频率可以获得时
在高要求模式下,对于只有一个 IPL, 假如有这一个 IPL
的失效频率时,计算公式如式(D.1):
ff=fit×P …… … … … …(D. 1)
式中:
fí — 初始事件 i 造成后果 C 的频率,单位为次每年;
f,Pl— 对于初始事件i, 单 个 IPL 对后果C 防护的失效频率,单位为次每年;
PC — 条件修正因子,假如没有任何条件修正,则 PC 取 1 。
D.2.2 单个 IPL 的失效频率未能获得时
高要求模式下,对于只有一个IPL, 且没有这一个 IPL 的失效频率时,由于 IPL
的 PFD 通常方便查
找,则可以用简化公式式(D.2) 替代:
f⁰=2×IPL 检验测试频率(次/年)×IPL 的 PFD×PG……………… (D.2)
D.3 多个 IPL 下的后果发生频率计算
对于有多个 IPL 的高要求模式,且第1个 IPL
的失效频率可以获得,则使用第一个 IPL 的失效频
率作为经过使能事件或条件修正过的初始事件的发生频率,即带入式(1),即替代
f;¹×P, 进行计算, 此时需要忽略第一个IPL 的 PFD。 假如第1个IPL
的失效频率无法获得,则可以用2×(第一个IPL 检 验测试频率,次/年)×(第一个
IPL 的 PFD) 替代经过使能事件或条件修正过的初始事件的发生频率,
即带入式(1)替代f¹×PF 进行计算,此时需要忽略第一个 IPL 的 PFD。
GB/T 32857—2016
(资料性附录)
LOPA 分析表(示例)
本标准的6.6介绍了两种方法进行风险评估与建议,包括矩阵法和数值风险法。表
E.1 为风险矩
阵法风险分析示例,表 E.2 为数值风险法风险分析示例。
表 E.1 风险矩阵法风险分析(示例)
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
||
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
|
|
|
|
||
|
|
||
|
|
||
|
|||
|
|||
|
|
|
|
|
|
||
|
|||
|
|
||
|
|
||
GB/T 32857—2016
表 E.1 (续)
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|||
|
|||
|
|||
表 E.2 数值风险法风险分析(示例)
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
|
|
|
|
||
|
|
||
|
|
||
|
|||
|
|||
|
|
|
|
GB/T 32857—2016
表 E.2 (续)
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
||
|
|||
|
|
||
|
|
||
|
|||
|
|||
|
|||
GB/T 32857—2016
更多内容 可以 GB-T 32857-2016 保护层分析 LOPA 应用指南. 进一步学习
