保護(hù)層分析課件

事件樹(shù)和保護(hù)層分析于樹(shù)偉財(cái)團(tuán)法人安全衛(wèi)生技術(shù)中心1事件樹(shù)和保護(hù)層分析于樹(shù)偉12預(yù)防事故發(fā)生的保護(hù)層1.製程設(shè)計(jì)2.基本程序控制、警報(bào)、操作人員監(jiān)控3.關(guān)鍵警報(bào)、操作人員監(jiān)控、手動(dòng)方式介入/操作4.安全儀控系統(tǒng)5.物理性防護(hù)(排放系統(tǒng))6.物理性防護(hù)(防溢堤)

7.廠內(nèi)緊急應(yīng)變8.社區(qū)緊急應(yīng)變22預(yù)防事故發(fā)生的保護(hù)層1.製程設(shè)計(jì)2.基本程序控制、警報(bào)保護(hù)層基本概念緊急應(yīng)變防護(hù)層

被動(dòng)式防護(hù)層主動(dòng)式防護(hù)層設(shè)備安全防護(hù)層緊急停俥異常狀態(tài)程序控制層製程停俥正常狀態(tài)程序控制層製程變數(shù)停俥條件警報(bào)條件廠區(qū)和社區(qū)緊急應(yīng)變

防溢堤排放閥、破裂盤(pán)

安全儀控系統(tǒng)人員介入基本程序控制系統(tǒng)消減系統(tǒng)預(yù)防系統(tǒng)正常操作範(fàn)圍硬體承受上限操作承受上限3保護(hù)層基本概念事件樹(shù)分析

事件樹(shù)分析(EventTreeAnalysis,ETA)是根據(jù)二元邏輯的方式，將事件的發(fā)生分為「可能」或「不可能」二類(lèi)，或者是將設(shè)備運(yùn)作的功能以「失效」或「成功」表示，藉由圖形的方式描述由起始事件到可能的後果，起始事件為特定設(shè)備失效或人為失誤。ETA以起始事件做為開(kāi)始，例如設(shè)備零件的失效、溫度或壓力的增加或是危害物質(zhì)洩漏，經(jīng)由一系列可能的途徑演變至可能的後果，對(duì)每條途徑分配可能發(fā)生的機(jī)率，則可計(jì)算單一危害可能導(dǎo)致不同事件結(jié)果的發(fā)生頻率。4事件樹(shù)分析事件樹(shù)分析(EventTreeAnal事件樹(shù)分析

成功成功成功失敗失敗失敗安全結(jié)果(情境1)不期望但可容忍的結(jié)果(情境2)不期望但可容忍的結(jié)果(情境3)後果超出標(biāo)準(zhǔn)(情境4)起始事件保護(hù)層1保護(hù)層2保護(hù)層3

結(jié)果5事件樹(shù)分析失敗失敗失敗保護(hù)層1保護(hù)層2保護(hù)層3結(jié)ETA執(zhí)行步驟辨識(shí)起始事件；辨識(shí)防護(hù)層或危害影響因子；建構(gòu)事件樹(shù)；將結(jié)果分類(lèi)；估計(jì)事件樹(shù)中每一分枝的機(jī)率；量化結(jié)果；審查結(jié)果。6ETA執(zhí)行步驟辨識(shí)起始事件；6事件樹(shù)的優(yōu)點(diǎn)

圖解的方式呈現(xiàn)啟始事件到事件結(jié)果間的事件鏈，容易瞭解事件順序之間的邏輯關(guān)係；分析過(guò)程直接顯示防護(hù)層的成功或失效對(duì)於事件結(jié)果情境發(fā)展的影響；對(duì)於評(píng)估新的或已改善的製程和安全功能，提供良好的評(píng)估基礎(chǔ)；可適用於分析複雜的製程，或具有重大事故危害的評(píng)估；為一兼具定性與定量的評(píng)估技術(shù)；可考量硬體、軟體失效及人為失誤相關(guān)問(wèn)題。7事件樹(shù)的優(yōu)點(diǎn)圖解的方式呈現(xiàn)啟始事件到事件結(jié)果間的事7事件樹(shù)的缺點(diǎn)

圖形的陳述方式?jīng)]有相關(guān)的標(biāo)準(zhǔn)或規(guī)範(fàn)；每一次的分析只能針對(duì)一件起始事件；容易忽略共同原因失效的影響，造成過(guò)度樂(lè)觀的估計(jì)風(fēng)險(xiǎn)；防護(hù)層或影響因子排列數(shù)目會(huì)影響樹(shù)的分枝發(fā)展，容易過(guò)大而複雜化。8事件樹(shù)的缺點(diǎn)圖形的陳述方式?jīng)]有相關(guān)的標(biāo)準(zhǔn)或規(guī)範(fàn)；8保護(hù)層分析概論

LOPA(LayerofProtectionAnalysisLOPA)的主要目的是確定是否有足夠的保護(hù)層以防止意外事故發(fā)生或判定風(fēng)險(xiǎn)是否能夠容忍。事故情境可能有各種不同類(lèi)型的保護(hù)層，一個(gè)情境可能需要一種或多重保護(hù)層，這取決於製程的複雜程度和潛在後果的嚴(yán)重性。值得注意的是，對(duì)於特定的情境，只需一種保護(hù)層成功運(yùn)作就可避免事故後果的發(fā)生。然而，因?yàn)闆](méi)有任何一種保護(hù)層是完全有效的，所以必須提供充份的保護(hù)層以降低事故風(fēng)險(xiǎn)，並滿足風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)。9保護(hù)層分析概論LOPA(LayerofProt保護(hù)層分析概論(續(xù))對(duì)於特定的情境，LOPA提供了一致的基礎(chǔ)，可用於判斷是否有足夠的獨(dú)立保護(hù)層控制事故風(fēng)險(xiǎn)。如果情境的風(fēng)險(xiǎn)為不可接受，則需要增加額外的獨(dú)立保護(hù)層。一旦選定進(jìn)行分析的原因－後果組合，分析人員就能夠使用LOPA確定哪些製程和管理控制措施(通常稱(chēng)為防護(hù)措施)滿足獨(dú)立保護(hù)層的定義，並評(píng)估情境的風(fēng)險(xiǎn)狀況。然後可進(jìn)一步根據(jù)評(píng)估的結(jié)果進(jìn)行風(fēng)險(xiǎn)分析，協(xié)助分析人員決定達(dá)到可容忍等級(jí)需要多少額外的風(fēng)險(xiǎn)消減措施。針對(duì)某一情境執(zhí)行LOPA分析時(shí)，也可能發(fā)現(xiàn)其他情境或問(wèn)題。10保護(hù)層分析概論(續(xù))對(duì)於特定的情境，LOPA提供了一致的基獨(dú)立保護(hù)層和後果發(fā)生頻率關(guān)聯(lián)性

IPL1IPL2IPL3箭頭的粗細(xì)代表了後果發(fā)生的頻率

11獨(dú)立保護(hù)層和後果發(fā)生頻率關(guān)聯(lián)性IPL1保護(hù)層分析步驟

評(píng)估進(jìn)一步的風(fēng)險(xiǎn)消減建議估計(jì)後果和嚴(yán)重性進(jìn)行風(fēng)險(xiǎn)決策確定情境頻率發(fā)展情境確定起始事件辨別相關(guān)的獨(dú)立保護(hù)層步驟1步驟2步驟4步驟5步驟6步驟312保護(hù)層分析步驟評(píng)估進(jìn)一步的風(fēng)險(xiǎn)消減建議估計(jì)後果和嚴(yán)重性進(jìn)保護(hù)層分析步驟1篩選情境：因?yàn)長(zhǎng)OPA通常評(píng)估危害分析已辨識(shí)的情境，因此LOPA分析人員的第一個(gè)步驟是篩選可能的情境，最常見(jiàn)的篩選方法是基於後果的嚴(yán)重度。後果通常在定性危害分析(如HazOp研究)過(guò)程中已予以辨識(shí)，接下來(lái)分析人員將對(duì)後果進(jìn)行分析(包括後果影響)，有些公司的後果分析只評(píng)估洩漏物質(zhì)和能量的大小，這種評(píng)估結(jié)果潛在地表示了事故情境，但是沒(méi)有明確表明對(duì)人員、環(huán)境和生產(chǎn)製程產(chǎn)生的危害。還有一些公司會(huì)對(duì)洩漏過(guò)程進(jìn)行模擬，以得到具體情境下的傷害可能性，進(jìn)而更加精確地評(píng)估對(duì)人員、環(huán)境和生產(chǎn)製程造成的風(fēng)險(xiǎn)，例如確定某洩漏情境下操作人員受傷的機(jī)率。13保護(hù)層分析步驟1篩選情境：因?yàn)長(zhǎng)OPA通常評(píng)估危害分析已綜合損失類(lèi)型

低度後果人員輕微傷害或沒(méi)有受傷；不會(huì)損失工作時(shí)間社區(qū)輕微傷害或沒(méi)有受傷；不會(huì)引起公眾厭惡環(huán)境釋放未導(dǎo)致公司通報(bào)主管機(jī)關(guān)或違反規(guī)定設(shè)施輕微的設(shè)備破壞，損失小於$100,000，沒(méi)有生產(chǎn)損失中度後果人員個(gè)人受傷，不嚴(yán)重；可能會(huì)損失工作時(shí)間社區(qū)氣味或噪音引起公眾抱怨環(huán)境釋放導(dǎo)致公司須通報(bào)主管機(jī)關(guān)或違反規(guī)定設(shè)施一些設(shè)備破壞，損失大於$100,000，輕微生產(chǎn)損失高度後果人員一位或多位人員嚴(yán)重傷害社區(qū)一位或多位人員嚴(yán)重傷害環(huán)境大量的釋放，對(duì)廠外造成嚴(yán)重的影響設(shè)施對(duì)製程區(qū)造成嚴(yán)重破壞，損失大於$1,000,000，高度生產(chǎn)損失非常嚴(yán)重後果人員致死或永久性傷殘社區(qū)一位或多位人員嚴(yán)重傷害環(huán)境大量的釋放，對(duì)廠外造成嚴(yán)重的影響，並且造成急性或慢性健康影響設(shè)施對(duì)製程區(qū)造成嚴(yán)重破壞，損失大於$10,000,000，嚴(yán)重生產(chǎn)損失14綜合損失類(lèi)型低度後果人員輕微傷害或沒(méi)有受傷；不會(huì)損失工保護(hù)層分析步驟2選擇某一事故情境：LOPA一次只能選擇一種情境，這個(gè)情境可來(lái)自其他分析(如定性分析)，但是這種情境描述的應(yīng)是單一的原因－後果配對(duì)。15保護(hù)層分析步驟2選擇某一事故情境：LOPA一次只能選擇一保護(hù)層分析步驟3辨識(shí)情境起始事件，並確定起始事件頻率(次數(shù)/年)：在所有防護(hù)措施失效時(shí)，起始事件必然會(huì)導(dǎo)致後果的發(fā)生。起始事件頻率必須考慮情境的背景情況，如可引發(fā)情境的操作模式的頻率。大多數(shù)公司提供了評(píng)估事件頻率的指南，以確保LOPA後果的一致性。16保護(hù)層分析步驟3辨識(shí)情境起始事件，並確定起始事件頻率(次保護(hù)層分析步驟4辨識(shí)獨(dú)立保護(hù)層，並評(píng)估每個(gè)獨(dú)立保護(hù)層要求失效機(jī)率(ProbabilityofFailureonDemand,PFD)：因?yàn)長(zhǎng)OPA是”保護(hù)層分析”的簡(jiǎn)稱(chēng)，有些事故情境只需要一個(gè)獨(dú)立保護(hù)層，而另外一些事故情境，可能需要多種獨(dú)立保護(hù)層，或失效機(jī)率非常低的獨(dú)立保護(hù)層，以確認(rèn)事故情境的風(fēng)險(xiǎn)滿足容忍標(biāo)準(zhǔn)。對(duì)於特定情境，辨識(shí)現(xiàn)有的安全保護(hù)措施是否滿足獨(dú)立保護(hù)層IPLs的要求是LOPA的核心觀念。17保護(hù)層分析步驟4辨識(shí)獨(dú)立保護(hù)層，並評(píng)估每個(gè)獨(dú)立保護(hù)層要求保護(hù)層分析步驟5利用後果、起始事件和獨(dú)立保護(hù)層相關(guān)數(shù)據(jù)，評(píng)估情境風(fēng)險(xiǎn)：計(jì)算過(guò)程能包含其他因素，這取決於後果的定義(事件的影響)，計(jì)算方法包含公式法和圖表法，無(wú)論使用什麼方法，計(jì)算的結(jié)果必須予以記錄。18保護(hù)層分析步驟5利用後果、起始事件和獨(dú)立保護(hù)層相關(guān)數(shù)據(jù)，保護(hù)層分析步驟6針對(duì)所分析的情境評(píng)估風(fēng)險(xiǎn)並作出決策：將情境風(fēng)險(xiǎn)與公司容忍風(fēng)險(xiǎn)標(biāo)準(zhǔn)和(或)相關(guān)的目標(biāo)相比較。19保護(hù)層分析步驟6針對(duì)所分析的情境評(píng)估風(fēng)險(xiǎn)並作出決策：將情保護(hù)層分析限制條件只有使用相同的LOPA方法(即使用相同的方法選擇失效數(shù)據(jù))，情境風(fēng)險(xiǎn)的比較才有效，並且比較都是基於同樣的風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)或者與LOPA確定的其他情境風(fēng)險(xiǎn)相比較。LOPA計(jì)算結(jié)果並不是情境風(fēng)險(xiǎn)的標(biāo)準(zhǔn)值，這也是LOPA在定量風(fēng)險(xiǎn)分析方面的限制。LOPA是一種簡(jiǎn)化的方法，並不適合用於所有的情境，對(duì)一些風(fēng)險(xiǎn)決策過(guò)程，執(zhí)行LOPA可能過(guò)於複雜，而對(duì)另一些決策LOPA可能又顯得過(guò)於簡(jiǎn)化。20保護(hù)層分析限制條件只有使用相同的LOPA方法(即使用相同的方保護(hù)層分析限制條件(續(xù))在風(fēng)險(xiǎn)決策過(guò)程中，與定性的方法如HazOp和What-if相比，LOPA顯得較耗時(shí)。在中度複雜的情境中，由於LOPA改善了風(fēng)險(xiǎn)決策過(guò)程而彌補(bǔ)了LOPA的耗時(shí)。對(duì)於簡(jiǎn)單的決策，LOPA的使用價(jià)值不明顯。而對(duì)於很複雜的情境和決策，LOPA比定性方法更節(jié)省時(shí)間，因?yàn)長(zhǎng)OPA將重點(diǎn)集中於風(fēng)險(xiǎn)決策。LOPA本身並不是一個(gè)危害辨識(shí)工具，LOPA依賴(lài)辨別起始危險(xiǎn)事件的方法以及確定事件原因的防護(hù)措施所採(cǎi)用的方法(包括定性危害審查方法)，LOPA執(zhí)行過(guò)程的嚴(yán)謹(jǐn)性使得它更常運(yùn)用於澄清定性危害審查中不明確的情境。不同公司在風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)和LOPA執(zhí)行程序的差異性，顯示分析結(jié)果通常不能在各公司之間直接比較。21保護(hù)層分析限制條件(續(xù))在風(fēng)險(xiǎn)決策過(guò)程中，與定性的方法如Ha保護(hù)層分析的優(yōu)點(diǎn)

與定量風(fēng)險(xiǎn)分析相比，LOPA花費(fèi)的時(shí)間較少，因此適用於定性風(fēng)險(xiǎn)評(píng)估等法應(yīng)用的複雜情境。LOPA可幫助解決決策時(shí)分歧的意見(jiàn)，它提供了一致的、簡(jiǎn)化的架構(gòu)評(píng)估情境風(fēng)險(xiǎn)並為討論風(fēng)險(xiǎn)提供了一致的術(shù)語(yǔ)，與基於”風(fēng)險(xiǎn)對(duì)我而言可以接受”的主觀或主觀上的判斷相比，LOPA提供了一個(gè)更好的風(fēng)險(xiǎn)決策基礎(chǔ)，這對(duì)於那些正在由定性到更多定量風(fēng)險(xiǎn)分析轉(zhuǎn)變的公司尤其有幫助。LOPA可以提高危害評(píng)估會(huì)議的效率，因?yàn)樗梢詭椭焖俚剡_(dá)成風(fēng)險(xiǎn)判斷共識(shí)。22保護(hù)層分析的優(yōu)點(diǎn)與定量風(fēng)險(xiǎn)分析相比，LOPA花費(fèi)的時(shí)間較少保護(hù)層分析的優(yōu)點(diǎn)(續(xù)1)LOPA有助於更精確地確定原因－後果組合，因此可以改善情境辨識(shí)。如果整個(gè)公司使用同樣的方法，LOPA可用於單元之間或工廠之間的風(fēng)險(xiǎn)比較。與定性方法相比，LOPA提供了更具可靠性的風(fēng)險(xiǎn)判斷，因?yàn)長(zhǎng)OPA要求非常嚴(yán)謹(jǐn)?shù)挠涗洠瑏K且可以提供情境頻率和後果的具體數(shù)據(jù)。LOPA可以用於協(xié)助一個(gè)公司決定風(fēng)險(xiǎn)是否符合合理可行的降低(AsLowAsReasonablyPracticable,ALARP)原則，這也有助於滿足特定的法令要求。23保護(hù)層分析的優(yōu)點(diǎn)(續(xù)1)LOPA有助於更精確地確定原因－後保護(hù)層分析的優(yōu)點(diǎn)(續(xù)2)

LOPA可以幫助辨識(shí)被認(rèn)為有充份防護(hù)措施的操作和實(shí)務(wù)，但經(jīng)過(guò)更詳細(xì)的分析後，其措施並不能將風(fēng)險(xiǎn)降低到可容忍的水準(zhǔn)。LOPA為每個(gè)獨(dú)立保護(hù)層提供了更明確的功能要求。LOPA的資料可以幫助公司決定操作、維護(hù)以及相關(guān)訓(xùn)練的重點(diǎn)應(yīng)專(zhuān)注於那些防護(hù)措施，例如，許多公司決定將檢查、測(cè)試和預(yù)防性維修作業(yè)的重點(diǎn)放在LOPA辨別出的防護(hù)層，因此LOPA是執(zhí)行製程安全管理設(shè)備完整性或基於風(fēng)險(xiǎn)的維修系統(tǒng)的有效工具，它有助於確定”安全關(guān)鍵設(shè)備”的屬性及功能。24保護(hù)層分析的優(yōu)點(diǎn)(續(xù)2)LOPA可以幫助辨識(shí)被認(rèn)為有充份發(fā)展情境

情境是導(dǎo)致不良後果的意外事件或一系列事件，每個(gè)情境至少包括兩項(xiàng)要素：引起一連串事件的起始事件(例如冷卻失效)；後果，指如果事件鏈繼續(xù)發(fā)展沒(méi)有中斷，所導(dǎo)致的後果

(如可能造成的系統(tǒng)超壓、有毒或易燃物質(zhì)洩漏到大氣中、

死亡等)。

起始事件

後果構(gòu)成一個(gè)情境的最基本要求

25發(fā)展情境情境是導(dǎo)致不良後果的意外事件或一系列事件，每個(gè)發(fā)展情境(續(xù))

每個(gè)情境都必須有唯一的起始事件及其對(duì)應(yīng)的後果，如果同一起始事件能導(dǎo)致不同後果，那麼應(yīng)該發(fā)展多種情境。在某些情況下，許多情境可能開(kāi)始於同一起始事件(如公用系統(tǒng)失效)，則應(yīng)該為每個(gè)單元制定單獨(dú)的情境。如果利用人員死亡、營(yíng)運(yùn)或環(huán)境損害作為後果，則在情境中還可能包括下列部分或全部因素或結(jié)果修正因子：可燃物質(zhì)的點(diǎn)火機(jī)率；人員出現(xiàn)在事件影響區(qū)域的機(jī)率；火災(zāi)、爆炸或有毒物質(zhì)釋放的暴露致死機(jī)率(包括撤離或

保護(hù)行動(dòng))；導(dǎo)致設(shè)備(設(shè)施)一定經(jīng)濟(jì)損失的機(jī)率。26發(fā)展情境(續(xù))每個(gè)情境都必須有唯一的起始事件及其對(duì)應(yīng)的HazOp與LOPA關(guān)聯(lián)性

偏差造成偏差原因後果其它造成低風(fēng)險(xiǎn)原因不滿足公司標(biāo)準(zhǔn)的後果現(xiàn)有安全措施不滿足IPL定義的安全措施起始事件(選擇一件以代表情境)情境背景與描述後果(每次選一種)獨(dú)立保護(hù)層(IPLs)HazOp未辨識(shí)的IPLs觸發(fā)事件和條件額外風(fēng)險(xiǎn)減緩措施使風(fēng)險(xiǎn)可容忍建議事項(xiàng)不必要的措施(不需要的建議)起始事件頻率10-x/a嚴(yán)重程度或經(jīng)濟(jì)損失分類(lèi)IPLs要求失效機(jī)率IPLs要求失效機(jī)率事件或條件機(jī)率繼續(xù)下一個(gè)原因－後果配對(duì)選擇：綜合程序的風(fēng)險(xiǎn)與程序風(fēng)險(xiǎn)標(biāo)準(zhǔn)比較風(fēng)險(xiǎn)是否可容忍?否

是

HazOp資料LOPA不需要的資料LOPA採(cǎi)用的資料LOPA採(cǎi)用的數(shù)據(jù)其它造成低風(fēng)險(xiǎn)原因27HazOp與LOPA關(guān)聯(lián)性偏差造成偏差原因後果其它造成低起始事件

LOPA的每一情境都有單一的起始事件，起始事件頻率通常以每年發(fā)生的次數(shù)表示，一些資料也使用其他的單位來(lái)表示，如106每小時(shí)發(fā)生的次數(shù)。起始事件一般分為三類(lèi)型:外部事件、設(shè)備故障、人為失誤(也稱(chēng)為不恰當(dāng)?shù)男袨?。根本原因被定義為”事故發(fā)生的潛在系統(tǒng)原因”，起始事件是各種根本原因的結(jié)果，包括外部事件、設(shè)備故障或人為失誤。起始事件的根本原因都不相同，在確定起始事件時(shí)不應(yīng)太深究其根本原因。不過(guò)根本原因有助於確認(rèn)起始事件發(fā)生的頻率。因此當(dāng)評(píng)估起始事件頻率時(shí)，需要考慮一些根本原因。28起始事件LOPA的每一情境都有單一的起始事件，起始事起始事件(續(xù)1)與設(shè)備有關(guān)的起始事件可以被進(jìn)一步分為控制系統(tǒng)失效和機(jī)械故障?？刂葡到y(tǒng)失效包括(但不限於):基本程序控制系統(tǒng)(BasicProcessControlSystem,BPCS)原件失效；軟體失效或故障；控制支援系統(tǒng)失效(例如電力系統(tǒng)、儀控空氣系統(tǒng))。29起始事件(續(xù)1)與設(shè)備有關(guān)的起始事件可以被進(jìn)一步分為控起始事件(續(xù)2)機(jī)械故障包括(但不限於)：磨損、疲勞或腐蝕造成的容器或管線失效設(shè)計(jì)、技術(shù)規(guī)格或製造/製備缺陷造成的管線失效；超壓造成的容器或管線失效(例如熱膨脹、清管/吹除)或低壓(真空導(dǎo)致崩塌)；震動(dòng)導(dǎo)致的失效(例如轉(zhuǎn)動(dòng)設(shè)備)；維護(hù)/維修不完善(包括使用不合格的替代材料)所造成的失效；30起始事件(續(xù)2)機(jī)械故障包括(但不限於)：30起始事件(續(xù)3)高溫(如火災(zāi)暴露、冷卻失效)或低溫，及脆性斷裂(如自動(dòng)冷凍、低環(huán)境氣溫)引起的失效；湍流或水擊引起的失效；內(nèi)部爆炸、分解或其他失控反應(yīng)造成的失效。與人為失效相關(guān)的原因或者是疏忽或者是錯(cuò)誤，其中包括(但不限於):未能按正確順序執(zhí)行任務(wù)步驟，或遺漏一些步驟(有些行動(dòng)沒(méi)有執(zhí)行)；未能正確觀察或因應(yīng)製程或系統(tǒng)顯示的條件或其他提示(有些行動(dòng)執(zhí)行錯(cuò)誤)。31起始事件(續(xù)3)高溫(如火災(zāi)暴露、冷卻失效)或低溫，及脆性起始事件典型頻率

起始事件來(lái)自文獻(xiàn)的頻率範(fàn)圍(每年)某公司進(jìn)行LOPA時(shí)的選擇值(每年)壓力容器疲勞失效10-5~10-71×10-6管線疲勞失效-100m-全部斷裂10-5~10-61×10-5管線洩漏(10％截面積)-100m10-3~10-41×10-3常壓儲(chǔ)槽失效10-3~10-51×10-3墊片/填料爆裂10-2~10-61×10-2渦輪/柴油發(fā)動(dòng)機(jī)超速，外套破裂10-3~10-41×10-4第三方破裂(怪手、車(chē)輛等外部影響)10-2~10-41×10-2起重機(jī)載荷掉落10-3~10-4/起吊1×10-4/起吊雷擊10-3~10-41×10-3安全閥誤開(kāi)啟10-2~10-41×10-232起始事件典型頻率起始事件來(lái)自文獻(xiàn)的頻率範(fàn)圍某公司進(jìn)行L起始事件典型頻率(續(xù))

冷卻水失誤1~10-21×10-1泵密封失效10-1~10-21×10-1卸載/裝載軟管失效1~10-21×10-1BPCS儀表控制迴路失效注：IEC61511的限制大於1×10-5/h或8.76×10-2/a(IEC,2001)1~10-21×10-1調(diào)節(jié)器失效1~10-11×10-1小的外部火災(zāi)(多因素)10-1~10-21×10-1大的外部火災(zāi)(多因素)10-2~10-31×10-2LOTO(鎖定、標(biāo)定)程序失效(多個(gè)元件的總失效)10-3~10-4/次1×10-3/次操作人員失效(執(zhí)行一般程序，假設(shè)得到較好的訓(xùn)練、不緊張、不疲勞)10-1~10-3/次1×10-2/次33起始事件典型頻率(續(xù))冷卻水失誤1~10-21×10-獨(dú)立保護(hù)層定義和功能

獨(dú)立保護(hù)層是能夠阻止情境朝向不良後果繼續(xù)發(fā)展的設(shè)備、系統(tǒng)或行動(dòng)，並且獨(dú)立於啟始事件或情境中其他保護(hù)層的行動(dòng)。獨(dú)立保護(hù)層的有效性和獨(dú)立性必須具有可審查性。如下圖的事件鏈中，A點(diǎn)安裝的獨(dú)立保護(hù)層IPL必要時(shí)應(yīng)採(cǎi)取行動(dòng)，如果A點(diǎn)的獨(dú)立保護(hù)層如期作動(dòng)，則可以阻止不良後果發(fā)生。如果情境中所有的獨(dú)立保護(hù)層都無(wú)法如期作動(dòng)，那麼不良後果將隨著啟始事件發(fā)生。起始事件IPL如期作動(dòng)A安全後果後果發(fā)生(儘管存在IPL)獨(dú)立保護(hù)層IPL未如期作動(dòng)34獨(dú)立保護(hù)層定義和功能獨(dú)立保護(hù)層是能夠阻止情境朝向不良後獨(dú)立保護(hù)層定義和功能(續(xù))

區(qū)分獨(dú)立保護(hù)層和防護(hù)措施非常重要，防護(hù)措施可以是中斷起始事件發(fā)生後的事件鏈的任何設(shè)備、系統(tǒng)或行動(dòng)。但是，由於一些防護(hù)措施的有效性、獨(dú)立性或其他因素缺乏數(shù)據(jù)，具有不確定性，因此這些防護(hù)措施的有效性難以確定。獨(dú)立保護(hù)層的有效性根據(jù)要求失效機(jī)率(PFD)進(jìn)行確認(rèn)，PFD定義為系統(tǒng)要求時(shí)IPL失效不能發(fā)揮具體功能的機(jī)率。PFD為0和1之間的無(wú)因次數(shù)字，PFD值越小，該保護(hù)層對(duì)某一啟始事件後果頻率降低的越多，獨(dú)立保護(hù)層的“降低頻率”有時(shí)被稱(chēng)為“風(fēng)險(xiǎn)降低因子。35獨(dú)立保護(hù)層定義和功能(續(xù))區(qū)分獨(dú)立保護(hù)層和防護(hù)措施非常見(jiàn)保護(hù)層的特性程序設(shè)計(jì)許多公司假設(shè)若製程符合本質(zhì)更安全設(shè)計(jì)，一些情境不可能發(fā)生。例如設(shè)備可能被設(shè)計(jì)用於承受特定情境的最大壓力、限制批次反應(yīng)器的容量、存量更低或化學(xué)物質(zhì)替代等，本質(zhì)更安全設(shè)計(jì)可以消除一些情境。有些公司認(rèn)為本質(zhì)更安全製程設(shè)計(jì)功能有一個(gè)非零的PFD，也就是說(shuō)，在實(shí)際製程中，已經(jīng)證實(shí)它們具有一定的失效模式。這些公司將本質(zhì)更安全的製程設(shè)計(jì)功能作為一種獨(dú)立保護(hù)層IPL，這類(lèi)獨(dú)立保護(hù)層的設(shè)計(jì)是為了防止後果的發(fā)生。36常見(jiàn)保護(hù)層的特性程序設(shè)計(jì)36常見(jiàn)保護(hù)層的特性(續(xù)1)

基本製程控制系統(tǒng)基本製程控制系統(tǒng)(BasicProcessControlSystem,BPCS)包括正常的手動(dòng)控制，是製程正常運(yùn)用期間的第一層保護(hù)，BPCS的設(shè)計(jì)是為了使製程處在安全操作範(fàn)圍。如果BPCS控制環(huán)路的正常操作符合適當(dāng)?shù)臉?biāo)準(zhǔn)，則可作為獨(dú)立保護(hù)層。BPCS失效可以被視為起始事件，當(dāng)考慮使用BPCS作為獨(dú)立保護(hù)層時(shí)，分析人員必須評(píng)估BPCS使用和管理系統(tǒng)(AccessControlandSecuritySystem)的有效性，因?yàn)槿藛T疏失會(huì)破壞BPCS的功能。37常見(jiàn)保護(hù)層的特性(續(xù)1)基本製程控制系統(tǒng)37常見(jiàn)保護(hù)層的特性(續(xù)2)關(guān)鍵警報(bào)和人員干預(yù)這類(lèi)系統(tǒng)是製程正常運(yùn)作期間的第二層保護(hù)，並且這些系統(tǒng)應(yīng)該被BPCS啟動(dòng)，當(dāng)報(bào)警或觀察引發(fā)的操作人員行為符合各種標(biāo)準(zhǔn)，確保行動(dòng)的有效性時(shí)(例如獨(dú)立性)，則操作人員行動(dòng)可作為獨(dú)立保護(hù)層。公司的程序和訓(xùn)練可以改善操作人員的執(zhí)行能力，但警報(bào)因應(yīng)步驟本身並不是獨(dú)立保護(hù)層。38常見(jiàn)保護(hù)層的特性(續(xù)2)關(guān)鍵警報(bào)和人員干預(yù)38常見(jiàn)保護(hù)層的特性(續(xù)3)安全儀控功能(SafetyInstrumentedFunction，SIF)安全儀控功能是由量測(cè)器、邏輯運(yùn)算器和最終控制元件組成，具有一定的安全完整性要求，安全儀控功能偵測(cè)超過(guò)安全恕限(異常)條件，控制程序進(jìn)入功能性安全狀態(tài)。安全儀控功能SIF在功能上獨(dú)立於BPCS，安全儀控功能通常為一種獨(dú)立保護(hù)層。安全儀控功能系統(tǒng)的設(shè)計(jì)、系統(tǒng)備份程度、測(cè)試頻率和類(lèi)型將決定LOPA中SIF的PFD。39常見(jiàn)保護(hù)層的特性(續(xù)3)安全儀控功能(SafetyInst常見(jiàn)保護(hù)層的特性(續(xù)4)物理保護(hù)(安全閥、破裂盤(pán)等)如果這類(lèi)設(shè)備設(shè)計(jì)、維護(hù)和尺寸合適，則可以提供較高程度的超壓保護(hù)。但是，如果切斷閥安裝在洩壓閥下方或者檢查和維護(hù)工作品質(zhì)較差，則這類(lèi)設(shè)備的有效性可能受到污垢或腐蝕的影響。如果物質(zhì)從安全閥排放到大氣，則可能會(huì)造成其他後果，這需要進(jìn)一步的評(píng)估，這會(huì)涉及燃燒塔、驟冷槽、洗滌塔等設(shè)備有效性的檢查。40常見(jiàn)保護(hù)層的特性(續(xù)4)物理保護(hù)(安全閥、破裂盤(pán)等)40常見(jiàn)保護(hù)層的特性(續(xù)5)釋放後保護(hù)(防液堤、防爆牆等)這些獨(dú)立保護(hù)層是被動(dòng)的保護(hù)設(shè)備，如果設(shè)計(jì)和維護(hù)正確，這類(lèi)獨(dú)立保護(hù)層可提供較有效的保護(hù)。雖然它們的失效率低，但是在情境中也應(yīng)考慮PFD。此外，如果自動(dòng)灑水系統(tǒng)、泡沫系統(tǒng)或氣體偵測(cè)系統(tǒng)等滿足獨(dú)立保護(hù)層的要求，在一些特殊情境中，也可以將它們作為獨(dú)立保護(hù)層。41常見(jiàn)保護(hù)層的特性(續(xù)5)釋放後保護(hù)(防液堤、防爆牆等)41常見(jiàn)保護(hù)層的特性(續(xù)6)工廠緊急應(yīng)變這些措施如消防隊(duì)、人工防洪系統(tǒng)、工廠緊急疏散等通常不視為獨(dú)立保護(hù)層，因?yàn)樗鼈兪窃诔跏坚尫胖岜粏?dòng)，並且有太多因素(如時(shí)間延遲)影響了它們?cè)谙麥p情境的整體有效性。42常見(jiàn)保護(hù)層的特性(續(xù)6)工廠緊急應(yīng)變42常見(jiàn)保護(hù)層的特性(續(xù)7)社區(qū)緊急應(yīng)變這些措施，如社區(qū)撤離和避難所，通常不被視為獨(dú)立保護(hù)層，因?yàn)樗鼈兪窃诔跏坚尫胖岜粏?dòng)，並且有太多因素影響了它們?cè)谙麥p情境的整體有效性，它們對(duì)工廠的工人沒(méi)有提供任何保護(hù)。43常見(jiàn)保護(hù)層的特性(續(xù)7)社區(qū)緊急應(yīng)變43獨(dú)立保護(hù)層基本原則設(shè)備、系統(tǒng)或行動(dòng)作為獨(dú)立保護(hù)層時(shí)，必須滿足的條件是：有效性：按照設(shè)計(jì)的功能發(fā)揮作用，必須能有效地防止後果發(fā)生；獨(dú)立性：獨(dú)立於起始事件和任何其他已經(jīng)被認(rèn)為是同一情境的獨(dú)立保護(hù)層的構(gòu)成元件；可審查性：對(duì)於阻止後果的有效性和PFD必須能夠以某種方式(通過(guò)記錄、審查、測(cè)試等)進(jìn)行驗(yàn)證。44獨(dú)立保護(hù)層基本原則設(shè)備、系統(tǒng)或行動(dòng)作為獨(dú)立保護(hù)層時(shí)，必須獨(dú)立保護(hù)層基本原則(續(xù)1)如果某設(shè)備、系統(tǒng)或行動(dòng)確認(rèn)為獨(dú)立保護(hù)層，那麼它必須有效地防止該情境不期望的後果。為了確定防護(hù)措施是否是獨(dú)立保護(hù)層，可利用下列問(wèn)題協(xié)助小組或分析人員作出適當(dāng)?shù)呐袛?。防護(hù)措施能否偵測(cè)到需要採(cǎi)取行動(dòng)的狀況，這可能是一個(gè)製程改變或警報(bào)等，如果防護(hù)措施不能偵測(cè)到這些狀況，並且不能產(chǎn)生具體的行動(dòng)，那麼就不是獨(dú)立保護(hù)層。防護(hù)措施能否及時(shí)偵測(cè)到狀況，以採(cǎi)取正確的行動(dòng)防止不良後果的發(fā)生，所需的時(shí)間必須包括：偵測(cè)到狀況的時(shí)間；處理信號(hào)和作出決策的時(shí)間；採(cǎi)取必要行動(dòng)的時(shí)間；行動(dòng)生效的時(shí)間。45獨(dú)立保護(hù)層基本原則(續(xù)1)如果某設(shè)備、系統(tǒng)或行動(dòng)確認(rèn)為獨(dú)獨(dú)立保護(hù)層基本原則(續(xù)2)在允許的時(shí)間內(nèi)，獨(dú)立保護(hù)層是否有足夠能力採(cǎi)取所要求的行動(dòng)，如果需要一項(xiàng)具體的規(guī)格要求(例如安全閥洩放面積、防液堤容積等)，那麼安裝的防護(hù)措施是否能夠符合這些要求?對(duì)於所要求的行動(dòng)，獨(dú)立保護(hù)層的強(qiáng)度是否充足?獨(dú)立保護(hù)層的強(qiáng)度包括：物理強(qiáng)度(例如防爆牆或防液堤)；某特定情境條件下閥門(mén)的關(guān)閉能力(例如閥門(mén)彈簧、驅(qū)動(dòng)器或元件的強(qiáng)度)；人員強(qiáng)度(例如所要求的任務(wù)是否在操作人員能力範(fàn)圍內(nèi))。如果防護(hù)措施不能滿足這些要求，則它不是獨(dú)立保護(hù)層。46獨(dú)立保護(hù)層基本原則(續(xù)2)在允許的時(shí)間內(nèi)，獨(dú)立保護(hù)層是否有足獨(dú)立保護(hù)層基本原則(續(xù)3)LOPA獨(dú)立保護(hù)層降低後果頻率的有效性可使用PFD予以量化，確定獨(dú)立保護(hù)層合適的PFD數(shù)值是LOPA程序中重要的一環(huán)。獨(dú)立保護(hù)層應(yīng)如期運(yùn)作，但是一些保護(hù)層系統(tǒng)可能發(fā)生失效。獨(dú)立保護(hù)層PFD越低，其正確運(yùn)作和中斷事件鏈的可能性就越高。因?yàn)長(zhǎng)OPA是一種簡(jiǎn)化的方法，PFD通常使用最接近的數(shù)量級(jí)。PFD範(fàn)圍從最弱的獨(dú)立保護(hù)層(1×10-1)到最強(qiáng)的獨(dú)立保護(hù)層(1×10-4~1×10-5)，LOPA小組或分析人員必須確定防護(hù)措施頻率較高情境的獨(dú)立保護(hù)層PFD值，例如情境起始事件頻率大於或接近獨(dú)立保護(hù)層功能有效測(cè)試頻率時(shí)，必須謹(jǐn)慎。47獨(dú)立保護(hù)層基本原則(續(xù)3)LOPA獨(dú)立保護(hù)層降低後果頻被動(dòng)式IPLs範(fàn)例IPL類(lèi)型說(shuō)明(假設(shè)具有完善的設(shè)計(jì)基礎(chǔ)、充份的檢測(cè)和維護(hù)程序)PFD(來(lái)自文獻(xiàn)和工業(yè)數(shù)據(jù))CCPS建議PFD防液堤降低儲(chǔ)槽溢流、破裂、洩漏等嚴(yán)重後果(大面積擴(kuò)散)的頻率1×10-2~1×10-31×10-2地下排水系統(tǒng)降低儲(chǔ)槽溢流、破裂、洩漏等嚴(yán)重後果(大面積擴(kuò)散)的頻率1×10-2~1×10-31×10-2開(kāi)放式排放閥防止超壓1×10-2~1×10-31×10-2耐火設(shè)計(jì)減少熱輸入率，提供降壓/消防等額外的變應(yīng)時(shí)間1×10-2~1×10-31×10-2防爆牆/掩體通過(guò)限制衝擊波，保護(hù)設(shè)備/建築物等，降低爆炸重大後果的頻率1×10-2~1×10-31×10-3“本質(zhì)更安全”設(shè)計(jì)如果正確執(zhí)行，將大幅降低相關(guān)情境後果的頻率。備注：一些公司的LOPA規(guī)定，允許本質(zhì)更安全設(shè)計(jì)功能消除某些情境(如容器設(shè)計(jì)壓力超過(guò)所有可能的高壓要求)1×10-1~1×10-61×10-2阻焰器或防爆器如果設(shè)計(jì)、安裝和維護(hù)合適，這些設(shè)備能夠消除通過(guò)管線系統(tǒng)進(jìn)入容器或儲(chǔ)罐內(nèi)的潛在回火1×10-1~1×10-31×10-248被動(dòng)式IPLs範(fàn)例IPL類(lèi)型說(shuō)明(假設(shè)具有完善的設(shè)計(jì)基礎(chǔ)、主動(dòng)式IPLs範(fàn)例IPL說(shuō)明（假設(shè)具有完善的設(shè)備基礎(chǔ)、充足的檢測(cè)和維護(hù)程序）PFD(來(lái)自文獻(xiàn)和工業(yè)數(shù)據(jù))CCPS建議PFD安全閥防止系統(tǒng)超壓，其有效性對(duì)使用狀況比較敏感1×10-1~1×10-51×10-2破裂盤(pán)防止系統(tǒng)超壓。其有效性對(duì)使用狀況比較敏感1×10-1~1×10-51×10-2基本製程控制系統(tǒng)如果與起始事件無(wú)關(guān)，BPCS可被視為一種IPL1×10-1~1×10-2(IEC規(guī)定＞1×10-1)1×10-1安全儀控功能(聯(lián)鎖)見(jiàn)IEC61508和IEC61511生命周期和其他要求。49主動(dòng)式IPLs範(fàn)例IPL說(shuō)明（假設(shè)具有完善的設(shè)備基礎(chǔ)、充足主動(dòng)式IPLs範(fàn)例(續(xù)3)

SIL1典型組成：?jiǎn)我桓袦y(cè)器(容錯(cuò)備份)單一邏輯控制器(容錯(cuò)備份)單一最終元件(容錯(cuò)備份)≧1×10-1~＜1×10-2SIL2典型組成：多個(gè)感測(cè)器(容錯(cuò))多個(gè)邏輯控制器(容錯(cuò))多個(gè)最終元件(容錯(cuò))≧1×10-2~＜1×10-3SIL3典型組成：多個(gè)傳感器多個(gè)邏輯控制器多個(gè)執(zhí)行元件≧1×10-3~＜1×10-4CCPS不建議具體的SIL水準(zhǔn)。

50主動(dòng)式IPLs範(fàn)例(續(xù)3)SIL1典型組成：≧1×10-安全儀控系統(tǒng)特性分析儀錶系統(tǒng)由感測(cè)器、邏輯運(yùn)算器、程序控制器和最終元件組成，這些元件整合運(yùn)作，自動(dòng)調(diào)整製程運(yùn)作或防止製程特定事件的發(fā)生。在基本LOPA分析中考慮了兩種類(lèi)型的儀錶系統(tǒng)，每種儀錶類(lèi)型有各自的用途和功能。第一種為連續(xù)控制器(如按照操作人員提供的設(shè)定值調(diào)節(jié)流量、溫度或壓力的程序控制器)，它通常提供操作人員連續(xù)回饋(雖然會(huì)出現(xiàn)意外故障)，顯示運(yùn)作正常。第二種為狀態(tài)控制器(對(duì)警報(bào)指示器或程序閥門(mén)採(cǎi)取措施，執(zhí)行開(kāi)、關(guān)動(dòng)作的邏輯運(yùn)算器)，狀態(tài)控制器監(jiān)測(cè)製程條件，只有當(dāng)製程條件達(dá)到預(yù)先設(shè)定值時(shí)才採(cǎi)取控制行動(dòng)。狀態(tài)控制行動(dòng)可以稱(chēng)為製程聯(lián)鎖和警報(bào)，如反應(yīng)器高溫監(jiān)測(cè)與蒸汽閥開(kāi)關(guān)聯(lián)鎖。狀態(tài)控制器(邏輯運(yùn)算器和相關(guān)的現(xiàn)場(chǎng)設(shè)備)的失效不易檢測(cè)，需要到下一次安全功能失效的人工功能性測(cè)試時(shí)才發(fā)現(xiàn)。BPCS和安全儀錶系統(tǒng)都有連續(xù)控制器和狀態(tài)控制器，但是兩者執(zhí)行風(fēng)險(xiǎn)消減層次有很大差異。51安全儀控系統(tǒng)特性分析儀錶系統(tǒng)由感測(cè)器、邏輯運(yùn)算器、程序控安全儀控系統(tǒng)特性分析(續(xù)1)BPCS是執(zhí)行連續(xù)監(jiān)測(cè)和控制生產(chǎn)製程的控制系統(tǒng)，BPCS可以提供三種不同類(lèi)型的安全功能作為獨(dú)立保護(hù)層：連續(xù)控制行動(dòng)：保持製程在設(shè)定的正常範(fàn)圍內(nèi)，並可防止起始事件導(dǎo)致的異常情境惡化；狀態(tài)控制器(邏輯運(yùn)算器或警報(bào)停俥單元)：辨識(shí)超出正常範(fàn)圍的製程偏差，並提供操作人員訊息(通常為警報(bào)訊息)，促使操作人員採(cǎi)取具體的矯正行動(dòng)(控制製程或停俥)；狀態(tài)控制器(邏輯運(yùn)算器或控制繼電器)：採(cǎi)取自動(dòng)行動(dòng)迫使製程停俥，而不是試圖使製程回到正常操作範(fàn)圍。這種行動(dòng)將導(dǎo)致停俥，使製程處?kù)栋踩珷顟B(tài)。

52安全儀控系統(tǒng)特性分析(續(xù)1)BPCS是執(zhí)行連續(xù)監(jiān)測(cè)和控制安全儀控系統(tǒng)特性分析(續(xù)2)BPCS是一個(gè)相對(duì)較弱的獨(dú)立保護(hù)層，因?yàn)锽PCS通常：幾乎沒(méi)有元件備份；自我測(cè)試能力有限；防止未經(jīng)授權(quán)變更控制邏輯的安全性有限。53安全儀控系統(tǒng)特性分析(續(xù)2)BPCS是一個(gè)相對(duì)較弱的獨(dú)立保護(hù)安全儀控系統(tǒng)特性分析(續(xù)3)安全儀控系統(tǒng)是由感測(cè)器、邏輯運(yùn)算器和最終元件組成的，能夠行使一項(xiàng)或多項(xiàng)安全儀控功能（SIF）的儀控系統(tǒng)，SIF為狀態(tài)控制系統(tǒng)，有時(shí)也稱(chēng)為安全聯(lián)鎖和安全關(guān)鍵警報(bào)。一系列安全儀控功能組成了安全儀控系統(tǒng)（也稱(chēng)為緊急停俥系統(tǒng)）。ISAS84.01、IEC61508、IEC61511和化工製程安全自動(dòng)化指南（CCPS,1993）詳細(xì)討論安全儀控系統(tǒng)和安全儀控功能的設(shè)計(jì)要求，並且規(guī)定了取得所期望的PFD的全生命週期要求（規(guī)格、設(shè)計(jì)、調(diào)試、檢驗(yàn)、維護(hù)和測(cè)試），重要的設(shè)計(jì)細(xì)節(jié)包括以下內(nèi)容：54安全儀控系統(tǒng)特性分析(續(xù)3)安全儀控系統(tǒng)是由感測(cè)器、邏輯安全儀控系統(tǒng)特性分析(續(xù)4)安全儀控功能在功能上獨(dú)立於BPCS，用於安全儀控功能的量測(cè)裝置、邏輯控制器和最終元件獨(dú)立於BPCS中的類(lèi)似裝置。除非在不犧牲安全儀控功能的PFD的情況下，訊號(hào)才可以共用。安全儀控系統(tǒng)的邏輯運(yùn)算器（通常包括多項(xiàng)備份處理器、備份電源供應(yīng)和一個(gè)人機(jī)介面）可處理幾項(xiàng)（或多項(xiàng)）安全儀控功能。廣泛使用備份的元件和訊號(hào)路徑，可以在幾個(gè)方面建置備份，最明顯的是為同一功能安裝多個(gè)感測(cè)器或多個(gè)執(zhí)行元件如閥門(mén)，不同的技術(shù)將減少備份元件的共同失效。55安全儀控系統(tǒng)特性分析(續(xù)4)安全儀控功能在功能上獨(dú)立於BPC安全儀控系統(tǒng)特性分析(續(xù)5)使用表決方案和容錯(cuò)邏輯，能夠容忍一些元件的失效，而不會(huì)影響安全儀控系統(tǒng)的有效性，不會(huì)引起製程的誤跳俥。利用自我診斷功能檢測(cè)和通報(bào)感測(cè)器、邏輯運(yùn)算器以及最終元件的故障，這種診斷作用可以使安全儀控功能失效的平均修復(fù)時(shí)間減到只有幾個(gè)小時(shí)。跳俥切斷功能要求較低的PFD。56安全儀控系統(tǒng)特性分析(續(xù)5)使用表決方案和容錯(cuò)邏輯，能夠容忍安全儀控系統(tǒng)特性分析(續(xù)6)安全儀控功能的風(fēng)險(xiǎn)降低性能由PFD所定，國(guó)際標(biāo)準(zhǔn)已經(jīng)把安全儀控功能在化工製程中的應(yīng)用劃分為四種安全完整性分類(lèi)，相關(guān)定義為：SIL1：1×10-2≦PFD＜1×10-1，這些安全儀控功能通常由單一的感測(cè)器、單一的邏輯運(yùn)算器和單一的最終控制元件完成。SIL2：1×10-3≦PFD＜1×10-2，這些安全儀控功能以感測(cè)器、邏輯運(yùn)算器到最終控制元件通常都是備份的。57安全儀控系統(tǒng)特性分析(續(xù)6)安全儀控功能的風(fēng)險(xiǎn)降低性能由安全儀控系統(tǒng)特性分析(續(xù)7)SIL3：1×10-4≦PFD＜1×10-3，這些安全儀控功能以感測(cè)器、邏輯運(yùn)算器到最終控制元件通常都是備份的，要求進(jìn)行仔細(xì)設(shè)計(jì)和頻繁功能測(cè)試，以取得較低的PFD。由於SIL3的安全儀控功能成本高昂，因此許多公司歸類(lèi)為SIL3的SIF數(shù)量有限。SIL4：1×10-5≦PFD＜1×10-4，這些安全儀控功能列入了IEC61508和61511標(biāo)準(zhǔn)，但這些安全儀控功能難以設(shè)計(jì)和維護(hù)，LOPA分析不會(huì)使用SIL4等級(jí)的安全儀控系統(tǒng)。58安全儀控系統(tǒng)特性分析(續(xù)7)SIL3：1×10-4≦確定情境發(fā)生頻率

下述為特定後果終點(diǎn)釋放物質(zhì)常用的頻率計(jì)算公式，一般而言是起始事件頻率