第8 卷 第5 期2012 年5 月中国安全生产科学技术Journal of Safety Science and TechnologyVol．8 No．5May 2012文章编号 1673 －193X2012 －05 －0101 －06HAZOP、LOPA和SIL方法的应用分析李 娜1，孙文勇1，宁信道21．中国石油安全环保技术研究院，北京 1000832．中国石油乌鲁木齐石化公司质量安全环保处，乌鲁木齐 830019摘 要通过概括介绍危险与可操作性分析 HAZOP、保护层分析 LOPA和安全完整性等级分析 SIL三种方法的特点，总结三种分析方法之间的关系。LOPA分析是HAZOP分析的继续，可以解决HAZOP分析中残余风险不能定量化的不足，是对HAZOP分析结果的丰富和补充;SIL分析则在LOPA分析的基础上，进一步对需要增加的安全仪表系统 SIS进行设计，并对 LOPA分析结果进行验证，即HAZOP、LOPA分析是SIL分析的前期准备工作。因此，在详细介绍SIS的组成、安全生命周期阶段、SIL的选择确定方法以及SIL分析流程之前，也简要介绍了 HAZOP、LOPA分析方法，梳理了两种方法的分析流程。最后通过引入示例来展示三种分析方法之间的关系。关键词危险与可操作 HAZOP;独立保护层 LOPA;安全完整性等级 SIL;安全仪表系统;安全生命周期中图分类号X913．4 文献标识码AThe application of HAZOP，LOPA and SIL analytical LI Na1，SUN Wen-yong1，NING Xin-dao21． Safety and Environment Technology Institute of CNPC; 8 Zhixin West Road，Beijing 100083，China2． Quality，Safety ＆ Environment Department of CNPC Urumqi Petrochemical Company，Urumqi 830019，ChinaAbstract The relationship of three s was summarized through overview on the characteristic of Hazard andOperability Analysis HAZOP，Layers of Protection Analysis LOPA and Safety Integrity Level Analysis SIL ．Based on the results of HAZOP analysis，the LOPA can solve the deficiency of HAZOP that the residual risk can’t be quantified，it is the enrichment and supplement to the HAZOP analysis results． The SIL analysis can designthe Safety Instrumented System SIS of needed in detail and proof the LOPA analysis results． It means that theHAZOP and LOPA analysis s are the preparation for the SIL analysis． So，first of all，the characteristics ofHAZOP and LOPA s were introduced briefly，the analysis procedure was specified． Then，the compositionof Safety Instrumented System，the stage of Safety Life Cycle，the determination s of SIL and the procedureof SIL analysis were introduced in detail． In the end，the relationship of HAZOP，LOPA and SIL was demonstratedthrough an example．Key words the hazard and operability analysis HAZOP; layers of protection analysis LOPA; safety integritylevel SIL; safety instrumented system; safety life cycle收稿日期 2011 －08 －29作者简介 李娜，女，硕士，工程师。0 引言目前，石油、化工是我国的重要支柱产业之一，关系到国民经济能源、材料等许多方面，也是危险性极高的行业。石油化工行业装置流程复杂，工艺条件苛刻，介质大都具有易燃、易爆、有毒、腐蚀等特性，属于高危险行业。系统设计、实施和操作过程中任何一个小的失误都有可能带来严重的甚至是灾难性的后果。近年来，危险与可操作性分析 HAZOP，Hazardand Operability Analysis 作为生产装置及工艺流程安全系统评价方法，被国内外众多石油石化公司、化工生产企业和设计施工单位普遍接受，并应用于装置、设备生命周期始终。中国石油下属多家油田、炼化企业相继开展了装置的 HAZOP 分析工作。通过HAZOP分析可以系统地识别工艺装置或设施中的各种潜在危险和危害，并通过提出合理可行的措施减轻事故发生的可能性及后果。而在 HAZOP 分析的基础上，引入保护层分析 LOPA，Layers of Protec-tion Analysis技术，可以解决HAZOP分析中存在的安全保护措施起到的风险降低和残余风险不能定量化等不足。因此，LOPA 分析是 HAZOP 分析的继续，是对HAZOP分析结果的丰富和补充［1］。当HAZOP分析的后果存在重大风险时，且有些风险的现有保护措施含有安全仪表系统 SIS，Safety Instrumented System，或者现有 SIS 系统的维护成本与带来的收益相比过于昂贵的，都可以进行LOPA分析。而进行LOPA分析的目的，主要就是为了确认对于事故后果非常严重的风险现有保护是否足够，是否有必要增加额外的SIS 保护，以及确定增加的SIS系统的风险降低目标是多少。虽然 LOPA分析可以确定附加的 SIS 系统的风险降低目标，而SIS系统是否达到要求的安全完整性等级 SIL，SafetyIntegrity Level，是否实现了这一风险降低目标，则需要通过SIL分析进行验证，这也是SIL分析的主要内容。所以，SIL 分析是对 LOPA 分析结果的验证，HAZOP、LOPA分析是SIL分析的前期准备工作。1 方法简介1．1 HAZOP分析方法HAZOP方法是英国帝国化学工业公司 ICI为解决除草剂制造过程中的危害，于1960 年代发展起来的一套以引导词为主体的危害分析方法，1974年，该方法正式对外发表。HAZOP对工艺系统进行危害辨识和分析，是有效预防各种事故发生的重要方法和手段，它可以系统地识别工艺装置或设施中的各种潜在危险和危害，并通过提出合理可行的措施达到减轻事故发生可能性及后果的目的，从而有利于保障石油、化工企业安全生产的顺利进行［2］。HAZOP是基于这样一个基本概念，即各个专业具有不同知识背景的人员所组成的分析组一起工作比他们独自工作更具有创造性和系统性，能识别更多的问题。HAZOP 方法通过分析生产运行过程中工艺状态参数的变动，操作控制中可能出现的偏差，以及这些变动与偏差对系统的影响，找出出现变动或偏差的原因，分析可能导致的后果，明确现有的保护措施，并针对超出可接受水平的变动与偏差的后果提出建议措施［3］。HAZOP分析具体步骤①划分节点。对连续工艺过程，HAZOP分析的第一步即是将生产过程根据工艺流程划分为合理的分析节点，这样有利于分析工作的深入、完善。②选择工艺参数，确定偏差。选择适用于所选分析节点的工艺参数，如流量、温度、压力、液位、界位、腐蚀侵蚀、破裂泄漏、维修、采样、污染等。③确定风险矩阵，分析偏差的原因和后果。根据各个公司事故统计情况和风险接受程度，制定本公司适用的风险矩阵。针对节点内某一设备工艺参数的偏差，结合现有资料和小组成员的经验，分析导致这一偏差发生的原因，以及参数发生偏离后可能导致的后果，并根据风险矩阵，确定风险等级。④提出建议措施。通过分析，审查现有安全措施是否足够，若事故风险等级高、后果严重且影响恶劣，小组成员就有必要提出合理可行的建议措施。1．2 LOPA分析方法LOPA分析是一种简化的风险评估方法，通过对现有保护措施的可靠性进行量化的评估，确定其消除或降低风险的能力［4］。LOPA 的应用一般是在定性危害评估如 HAZOP、PHA之后，用定性危害审核小组识别的情形进行。它首先分析未采取安全保护措施之前的风险水平，然后分析各种安全保护措施将风险水平降低的程度。保护层分析的思想，可以用一个“洋葱”来形象201 中国安全生产科学技术 第8 卷地描述其模型，每一层洋葱皮就相当于一个保护层，由于所有的洋葱皮对内核都起到独立保护作用，从而洋葱内核遭受外侵的风险就大大降低，如图2 所示。在对某个事故场景进行保护层分析时，确定哪些保护层措施能够起到预防事故的目的尤为重要［1］。LOPA分析具体步骤如下1识别后果，选择分析所需的情景。LOPA分析中所需的情景其实就是事故场景。事故场景是发生事故的事件链，包括起始事件、一系列中间事件和后果事件。一般情况下以后果严重的事件作为事故场景进行分析。2对所选定的事故情景进行具体描述。LO-PA分析中要对事故发生的原因、事故导致的后果、后果的严重程度、风险不可接受值和风险容许值进行量化，量化的标准要根据公司实际情况采用本公司的风险矩阵。3确定情景的初始事件、中间事件和后果事件，并确定相应的频率。初始事件，即引发原因，在LOPA分析中成为始发事件;中间事件，即诱发事件，在LOPA分析中成为条件事件;后果事件，即导致的严重后果。而相应的频率，需要根据各公司的实际情况选定。4预计情景的风险。预计情景，即未减轻事件，是指初始事件发生而且所有的保护层都失效的情况下，后果事件发生。未减轻事件发生频率等于始发事件、中间事件和后果事件发生频率的乘积［1］。5确定独立保护层 IPL及其需求故障概率 PFD。保护层分为事件阻止层和后果减弱层，事件阻止层也叫主动保护层，通过在原因和事件之间增加屏障，来预防事故发生;后果减弱层也叫被动保护层，通过在事件和结果之间增加屏障，来减少事故后果的损失。不同的保护层其PFD是不同的。6考虑独立保护层时，确定减轻事件的剩余风险及其等级。减轻事件的发生频率等于未减轻事件的发生频率与独立保护层各安全保护措施失效概率 PFD的乘积［1］。确定了减轻事件的频率后，根据公司的风险矩阵确定频率等级和剩余风险等级。7确定附加保护层达到可容忍风险还需降的级别。若独立保护层起到了安全保护措施的作用后，减轻事件的剩余风险达到公司可接受的水平，则不需进一步采取安全措施和建议措施。否则，要提出切实可行的附加保护层，直至将剩余风险降低到可承受的风险水平为止［1］。1．3 SIL分析方法1．3．1 安全仪表系统介绍按照IEC61511 中的定义，安全仪表系统是由传感器、逻辑控制器和执行器组成的、能够行使一项或多项安全仪表功能的仪表系统。安全仪表系统是一种自动安全保护系统，它已发展成为工业自动化的重要组成部分。很多人容易把基本过程控制系统 BPCS，BasicProcess Control System和安全仪表系统混淆。BPCS是执行常规正常生产功能的控制系统，它是主动的、动态的，是用来满足生产需要的，因此，它必须根据系统的设定要求和生产过程的扰动状态不断地动态运行，才能保持生产过程的连续稳定运行。一旦其运行终止，则整个生产过程也就随之失去控制。而SIS系统则监视生产过程的状态，判断是否出现危险条件，防止风险的发生或者减轻风险发生后造成的后果。它是被动的、休眠的，在 BPCS 正常运行时，SIS一般是处于静态的，它在很长一段时间里都会处于“休眠”状态［5］。1．3．2 安全生命周期在IEC61508 和IEC61511 中都提出了安全生命周期 SLC，Safety Life Cycle的概念。安全生命周期的定义为在安全仪表功能 SIF，Safety Instrumen-ted Function实施中，从项目的概念设计阶段到所有安全仪表功能停止使用之间的整个时间段［6］。安全仪表系统整体的安全生命周期从其概念开始，经历若干中间阶段一直到安全系统停用，包括了为达到必需的安全完整性水平而进行的一切活动。换句话说，安全生命周期包括了安全仪表系统在概念、设计、运行、测试、维修及停用各阶段的所有活动，以达到高水平的功能安全［5］。在一定时间、一定条件下，安全相关系统执行其所规定的安全功能的可能性，被称为安全完整性等级 SIL，Safety Integrity Level，其数值代表着安全仪表系统使过程风险降低的数量级。安全完整性等级贯穿于安全系统生命周期的始终。安全系统的安全完整性等级不仅是安全系统安全性能的度量标301第5 期 中国安全生产科学技术准，而且是安全系统生命周期中的主线，将安全系统整体生命周期的各个阶段联系起来［5］。1．3．3 SIL选择方法安全仪表系统必须满足系统风险分析后所要求的SIL，SIL不仅是安全仪表系统安全性能的衡量标准，而且是整体安全生命周期中的主线，其选择应该恰到好处，过高会造成成本的浪费，过低会使风险不可接受［5］。IEC61508 中，SIL 4 是最高的，SIL 1 是最低的。SIL选择的方法主要有两类，定性的和定量的。定性方法通过大致的风险后果和可能性分类来描述风险，主要有风险矩阵和风险图法。计算 SIL 的半定量方法也被广泛应用，如LOPA分析方法。1风险矩阵。同后果法一样，风险矩阵是基于分类的方法，这种分类可以是根据定性的描述，也可以根据量化的指标。用户必须创建一个矩阵，它为风险的后果和可能性制定了大范围的分类。后果和可能性分别构成矩阵二维坐标行x、列y中的一个，同时每一个矩阵元素为一个SIL［6-8］。2风险图。风险图最初是为德国工业标准开发的，在欧盟中得到了广泛应用。该种方法与风险矩阵中只考虑后果和可能性不同，风险图考虑了四个参数来确定SIL等级危险事件的后果 C、处于危险区域的频度 F、避开风险状况的概率 P 和不期望事件的概率 W。SIL 的确定是从左面的起点到右面的方格绘制一条路径，按照 C、F、P 的分类，决定这三者的哪一行被选中，具体被选中的行中哪一个方格被选中则取决于W的分类［6］。 a一个3 级的安全仪表功能并不能给该风险等级提供足够的风险降低。为了降低风险，需要附加额外的修改措施见c。 b一个3 级的安全仪表功能并不能给该风险等级提供足够的风险降低，需要另外复审见c。 c此方法不适合SIL4 的情况。1．3．4 SIL分析程序SIL分析小组在进行SIL评估工作时，假定已经完成了安全生命周期中的概念过程设计阶段、工艺危害分析及风险评估阶段 HAZOP、保护层分析阶段 LOPA等，且分析结果是真实的、可靠的。经分析后，若独立保护层起到了安全保护措施的作用后，减轻事件的剩余风险仍超出了公司可接受的水平，则要提出切实可行的附加保护层 SIS。在确定了SIS系统所要实现的SIF功能的SIL等级后，接下来的工作就是要如何设计SIS来实现SIF了。在目标SIL确定后，就要制定安全要求规范，其中包括两个主要部分功能要求规范和完整性要求规范。功能要求规范定义了每一个安全仪表功能应该做什么;完整性规范定义了每一个安全仪表功能能够多好地被执行［5］。在SIS系统设计完成且各个 SIF 的子系统结构确定后，需要检验所设计的 SIS 系统在一定的检修周期和检修覆盖率等条件下的可靠性，就是需要进行SIL验证工作。SIL 验证可选用的方法常见的有可靠性框图法、故障树法和基于马尔科夫模型的计算法等。安全功能分配好之后，就由工程公司或设计院进行安全仪表系统的详细设计。当承包商选定之后，由承包商最终完成安全仪表系统的集成、安装、调试。当承包商完成与业主的交接后，业主依据承包商提供的操作及维护手册对安全仪表系统进行使用、维护和定期测试［9］。2 应用举例某柴油加氢精制装置中的热高压分离器，反应产物从分离器顶部进入，经过气液分离，热高分油从底部被抽出至热低压分离器，热高分气从顶部经换热器与氢气换热后，再经空冷器冷却，进入冷高压分离器。流程见图1，分析结果见表1 －表3。图1 工艺流程在现有工艺流程上增加SIS系统，所增加的SIS401 中国安全生产科学技术 第8 卷表1 HAZOP分析结果设备 参数 偏差 原因 后果 安全措施热高压分离器液位液位偏低反应产物来量少热高压分离器液位下降，系统操作波动，严重时热高分气进入热低压分离器，导致其超压爆炸液位报警和人员响应;联锁表2 基于HAZOP分析后的LOPA分析结果事故场景描述后果描述严重程度风险可接受不可接受值容许值始发事件描述及频率条件事件描述及频率后果修饰描述及频率未减轻事件频率频率等级风险等级独立保护层描述 PFD减轻事件频率频率等级风险等级建议措施热高压分离器液位下降，严重时导致热低压分离器超压爆炸液位下降，导致容器超压爆炸51．0 10－41．0 10－5反应产物来量少1．0液位下降1．0热高分气进入1．0 10－1容器超压爆炸2．0 10－12．0 10－24 Ⅳ液位报警联锁2．010－11．010－24．010－51 Ⅱ建 议增 加SIL1的SIF表3 失效率数据设备名称失效率 h－1λ安全失效分数SFF失效率 10－9h－1SD SU DD DU压力变送器 7．22 10－765 0 469 0 253隔离式安全栅 1．00 10－665 0 650 0 350报警设定器 4．83 10－774．95 362 0 0 121电磁阀 6．00 10－660 0 3600 0 5400切断阀 1．6 10－663．1 0 1010 0 585系统的传感、逻辑和执行这三个部分是串联关系，每个部分均为1∞1 逻辑，任何一个环节出现故障都会导致该安全仪表功能失效。接下来我们要做的就是验证该安全仪表系统的SIF能否满足SIL1 的要求。在此直接给出逻辑控制器的平均要求时失效概率为 4．36 10－5。利用简化公式 PFDavg1∞1 λDDRT λDUTI/2 来计算传感器和执行器的平均要求时失效概率。其中RT为平均维修时间，假设仪表故障的在线修复时间为8h;TI 为测试周期，设为3 年［5］。代入公式得PFDavg1∞1变送器3． 32 10－3; PFDavg1∞1安全栅 4．6 10－3;PFDavg1∞1设定器1． 59 10－3; PFDavg1∞1电磁阀3．15 10－2;PFDavg1∞1切断阀7．69 10－3;则 PFDavg1∞1传感器 3． 32 10－3 4． 6 10－31．59 10－39．51 10－3;PFDavg1∞1执行器3． 15 10－2 7． 69 10－3 3．92 10－2;PFDavgSIF PFDavg1∞1传感器 PFDavg1∞1控制器PFDavg1∞1执行器9． 51 10－3 4． 36 10－5 3． 92 501第5 期 中国安全生产科学技术10－24．88 10－2。在低要求操作模式下，SIL1 的平均要求时失效概率为10－1－10－2，而4．88 10－2正好介于该值之间，所以增加的安全仪表系统的安全仪表功能能满足SIL1 的要求［5，10］。4 总结1 HAZOP 分析方法因不能对偏差产生的事故风险、现有安全措施的风险降低水平和剩余风险水平进行定量化，所以将 LOPA 引入 HAZOP 分析中，是解决这一问题的有效途径。2进行LOPA分析的目的主要就是为了确认对于事故后果非常严重的风险现有保护是否足够、是否有必要增加额外的 SIS 保护，以及确定增加的SIS系统的风险降低目标是多少。而增加的 SIS 系统是否能实现要求的SIF，则需要通过SIL分析进行验证。3通过开展SIL分析，对附加的SIS系统进行设计、评估、验证，使安全仪表系统项目的设计和执行达到最优化，以最低的项目成本实现装置的安全需求。参考文献［1］ 周荣义，李石林，刘何清． HAZOP分析中LOPA的应用研究［J］．中国安全科学学报，2010，20776-81ZHOU Rong-yi，LI Shi-lin，LIU He-qing． Study on ap-plication of LOPA in HAZOP［J］． China Safety ScienceJournal，2010，20 7 76-81［2］ 廖学品．化工过程危险性分析［M］．北京化学工业出版社，2000［3］ 王秀军，陶辉． HAZOP分析方法在石油化工生产装置中的应用［J］．安全、健康和环境，2005526-9WANG Xiu-jun，TAO Hui． Application of HAZOP analy-sis in petrochemical production equipments［J］． SafetyHealth and Environment，2005526-9［4］ 管杰，廖海燕．保护层分析 LOPA在炼化生产中的应用［J］．安全、健康和环境，2010，10136-38GUAN Jie，LIAO Hai-yan． Application of layer of prote-cion analysis in the refinery production［J］． Safety Healthand Environment，2010，10136-38［5］ 阳宪惠，郭海涛． 安全仪表系统的功能安全［M］． 北京清华大学出版社，2007［6］ GB/T 21109-2007． 过程工业领域安全仪表系统的功能安全［S］． 北京中国标准出版社，2008［7］ 钱钧，魏利军，李少鹏． 安全仪表系统等级划分与HAZOP分析的结合应用［J］． 中国安全生产科学技术，2009，55148-151QIAN Jun，WEI Li-jun，LI Shao-peng． Combined appli-cation of safety instrumented system classification andHAZOP analysis［J］． Journal of Safety Science andTechnology 2009，55148-151［8］ 郭海涛，阳宪惠． 安全系统的安全完整性水平及其选择［J］．化工自动化及仪表，2006，33271-75GUO Hai-tao，YANG Xian-hui． Safety integrity level ofsafety related system and its selection［J］． Control andInstruments in Chemical Industry，2006，33271-75［9］ 郭亮，娄开丽．安全仪表系统的安全生命周期［J］． 化工自动化及仪表，2009，3648-13GUO Liang，LOU Kai-li． The safety life cycle for safetyinstrumented system［J］． Control and Instruments inChemical Industry，2009，364 8-13［10］ 刘培林，陈好，霍有利． 海上油气生产装置设计中的安全完整性等级评定［J］． 石油化工自动化，20092，18-20LIU Pei-lin，CHEN Hao，HUO You-li． The safety in-tegrity level determination in the design of offshore oiland gas installation［J］． Automation in Petrochemical In-dustry 20092，18-20601 中国安全生产科学技术 第8 卷