基于LOPA的安全仪表功能SIL定级方法研究

doi:10.12677/mse.2025.146122

期刊菜单

基于LOPA的安全仪表功能SIL定级方法研究
Study on the Method for SIL Rating of Safety Instrumented Functions Based on LOPA

DOI: 10.12677/mse.2025.146122, PDF, HTML, XML,
作者: 于郝欣：中国消防救援学院消防指挥系，北京
关键词: 保护层分析法；安全仪表功能；安全完整性等级；独立保护层；Layer of Protection Analysis； Safety Instrument Function； Safety Integrity Level； Independent Protection Layer

摘要: 研究了应用保护层分析法(LOPA)评定过程行业中安全仪表功能(SIF)安全完整性等级(SIL)的方法。以某液氨制冷企业冷凝器盘管泄漏风险点为例，说明了此方法的全流程应用过程。研究了LOPA场景识别与筛选、风险后果及严重性评估、初始事件描述及频率确认、独立保护层识别及要求时失效概率(PFD)的确认、场景导致预期后果的频率计算、SIF的SIL等级评定等关键步骤并表格化显示。通过此方法可评估SIF的可靠性，为过程行业企业进行风险评估及风险管理提供依据。

Abstract: This study explores the methodology for assessing the Safety Integrity Level (SIL) of Safety Instrumented Functions (SIF) in the process industry using Layer of Protection Analysis (LOPA). Taking the leakage risk point of condenser coils in a liquid ammonia refrigeration enterprise as an example, the full-process application of this methodology is demonstrated. Key steps, including LOPA scenario identification and screening, risk consequence and severity assessment, initial event description and frequency verification, independent protection layer identification and Probability of Failure on Demand (PFD) confirmation, frequency calculation of scenario-induced expected consequences, and SIL assessment for SIF, are investigated and presented in a tabular format. This methodology enables the assessment of SIF reliability, providing a basis for process industry enterprises to conduct risk assessment and risk management.

文章引用：于郝欣. 基于LOPA的安全仪表功能SIL定级方法研究[J]. 管理科学与工程, 2025, 14(6): 1033-1039. https://doi.org/10.12677/mse.2025.146122

1. 引言

安全仪表功能(Safety Instrument Function, SIF)是指为了防止、减少危险事件发生或保持过程安全状态，通过使用测量仪表、逻辑控制器、最终执行元件及相关软件等实现的安全保护功能或安全控制功能。在过程行业中，SIF对企业的生产安全起着重要作用。稳定可靠的SIF能有效减少伤害事故的发生。用来判断SIF的可靠性的指标为安全完整性等级(Safety Integrity Level, SIL)。针对不同应用场景下的SIF，应该达到恰当的SIL等级，以使风险降到企业可接受的水平。马子睿[1]应用保护层分析法(Layer of Protection Analysis, LOPA)对石油化工行业储罐区安全风险进行了分析。张景钢[2]等通过蝴蝶结筛选LOPA分析场景，再通过LOPA方法评估煤矿场景中SIF的SIL等级。蓝维波[3]等应用HAZOP分析与LOPA方法结合对天然气站场进行了风险评估。本文重点为详细研究应用LOPA对SIF进行SIL定级的全流程方法及关键步骤，并表格化显示该过程。以液氨制冷企业中冷凝器盘管泄漏风险点为例，进行了实例演示。

2. LOPA方法介绍

LOPA分析方法是一种半定量的风险评价方法，通过评价保护层的要求时危险失效概率(Probability of Failure on Demand, PFD)来判断现有保护层是否可以将特定场景下的风险降低到风险标准所要求的水平。LOPA分析是安全完整性等级(SIL)的重要评估工具，通常采用表格的形式记录评估的过程，与图表法相比较，记录过程符合通常的思维习惯，文件易读易用，可以提供更加准确的结果；与定性分析相比较，LOPA分析可以提供相对量化的风险决策依据，避免主观因素对风险控制决策的影响。通过LOPA分析，可以了解不同独立保护层在降低风险过程中的贡献，在此基础上，可以选择更加经济合理的保护措施来降低风险。在定量分析工作之前，应用LOPA分析方法对风险相对较高的场景进行筛选，从而提高整个风险分析工作的效率，节约分析工作的成本。

在LOPA分析中，基础过程控制系统(BPCS)与SIF常被混淆，但二者在功能定位、设计目标及风险管控角色上存在本质差异。BPCS指用于常规工艺参数控制的系统，核心功能是“维持工艺过程稳定运行”，通过实时监测温度、压力、液位等操作参数，自动调节阀门、泵等执行机构，使工艺处于设定的正常运行区间。SIF指专门用于“应对特定危险场景、降低风险至可接受水平”的仪表保护功能，仅在工艺参数超出“安全临界值”时触发动作，且需满足预设的SIL要求。其设计目标是“阻断危险场景升级”，直接关联安全后果。在进行LOPA分析时，须有效辨析BPCS与SIF的区别，避免将BPCS误判为独立保护层(IPL)导致的风险低估，确保LOPA中IPL的有效性与独立性。

在决策LOPA分析的多重后果时，一般情况下需遵循三大准则，即最严重后果优先准则、风险叠加计算准则及后果权重分配准则。当单一初始事件引发多重后果时，以“后果严重度最高的类型”作为LOPA定级依据，忽略其他次要后果；当多重后果存在“依赖关系”(如某一后果会加剧另一后果)时，需通过“后果严重度 × 发生概率”计算各后果的风险值，再叠加得到总风险值，以总风险值对应LOPA等级；当需同时满足人员安全、财产保护、环境合规等多目标要求时，按预设权重对各后果的严重度加权计算，以加权后的值作为LOPA定级依据。

通过对多重后果依照准则进行决策，可统一液氨制冷场景中“多后果冲突”的定级逻辑，提升LOPA结果的一致性与可信度。

3. 基于LOPA方法进行SIL定级

保护层分析的过程包括：场景识别与筛选、后果及严重性评估、初始事件描述及频率确认、独立保护层识别及PFD的确认、场景导致预期后果的频率计算、风险评估与建议。过程流程图见图1。

Figure 1. LOPA flow chart

图1. 保护层分析基本流程图

3.1. 场景识别与筛选

进行LOPA分析时，对场景选择有所要求。通常选择含有联锁回路的场景、初始风险为高、较高的场景或考虑风险降低措施后仍然不能达到可接受风险的场景。

3.2. 后果及严重性的评估

应用LOPA分析法，其影响后果一般考虑人身伤害、财产损失以及环境和社会影响三个方面。若其中某一方面的后果明显严重于其他方面，则在分析过程中按照最严重的后果确定SIL等级。所有后果等级来自对事件的定性分析结果，如HAZOP分析、检查表等。

3.3. 初始事件发生频率

初始事件一般包括外部事件、设备故障和人的失效。在确定初始事件发生频率时需考虑场景的背景情况，一些常见的初始事件的发生频率可以通过查阅文献和资料获得。

3.4. 独立保护层的识别及PFD的确认

独立保护层(Independent Protection Layer, IPL)是指具有独立性、有效性和可审查性的保护层。IPL能够阻止场景向不期望后果发展，并且独立于场景的初始事件或其他保护层。过程行业的典型独立保护层有本质安全设计、基本过程控制系统、安全仪表联锁回路等。对应的PFD值见表1。

Table 1. PFD values of typical protection layers in the process industry

表1. 过程行业典型保护层的PFD值

独立保护层	说明	响应失效率(PFD)
本质安全设计	采用本质上更加安全的设计	1 × 10⁻²
基本过程控制	是指DCS或PLC整个回路的综合失效率	1 × 10⁻¹
SIL-1联锁	SIL-1的安全仪表联锁回路	1 × 10⁻¹
SIL-2联锁	SIL-2的安全仪表联锁回路	1 × 10⁻²
SIL-3联锁	SIL-3的安全仪表联锁回路	1 × 10⁻³
SIL-4联锁	SIL-4的安全仪表联锁回路	1 × 10⁻⁴

3.5. 场景导致预期后果的频率计算

根据AQ/T3054-2015 [4]，场景发生频率计算如式(1)所示：

$f_{i}^{c} = f_{i}^{I} \times \prod_{j = 1}^{J} P F D_{i j} = f_{i}^{I} \times P F D_{i 1} \times P F D_{i 2} \times \dots \times P F D_{i j}$ (1)

式中：

$f_{i}^{c}$ ——初始事件i的后果C的发生频率，单位为/a；

$f_{i}^{I}$ ——初始事件i的发生频率，单位为/a；

$P F D_{i j}$ ——初始事件i中第j个阻止后果c发生的IPL的PFD。

在计算场景频率时，还应适当考虑修正因子。当存在使能事件或条件时，计算公式如式(2)所示：

$f_{i}^{c} = f_{i}^{I} \times f_{i}^{E} \times \prod_{j = 1}^{J} P F D_{i j}$ (2)

式中， $f_{i}^{E}$ ——使能事件或条件发生概率。

还可以采用点火概率、人员暴露频率和人员受伤和死亡的概率对不同后果场景频率进行修正。

针对火灾场景，火灾引起人员受伤频率的计算公式如式(3)所示：

$f_{i}^{fire} = f_{i}^{I} \times (\prod_{j = 1}^{J} P F D_{i j}) \times P_{i g} \times P_{e r} \times P_{d}$ (3)

式中：

$P_{i g}$ ——点火概率；

$P_{e r}$ ——人员暴露频率；

$P_{d}$ ——人员受伤或死亡的概率。

针对中毒场景，中毒引起人员伤害的频率计算公式如式(4)所示：

$f_{i}^{toxic} = f_{i}^{I} \times (\prod_{j = 1}^{J} P F D_{i j}) \times P_{e r} \times P_{d}$ (4)

3.6. 风险评估与建议

在计算出伤害事件的发生频率后，结合企业自身可接受的事件发生频率，便可计算出使该风险点危险事件发生频率降到企业可接受频率所需的数值，该数值即为该风险点SIF需要达到的PFD值，再根据不同PFD值对应的SIL等级[5]见表2，便可计算出该SIF所需要达到的SIL等级。

Table 2. Required SIL corresponding to PFD value

表2. 不同PFD值所需SIL等级

安全完整性等级(SIL)	PFD
4	≥10⁻⁵~<10⁻⁴
3	≥10⁻⁴~<10⁻³
2	≥10⁻³~<10⁻²
1	≥10⁻²~<10⁻¹

4. 应用实例

以某液氨制冷企业的冷凝器盘管泄漏风险点为例。应用LOPA分析对该风险点进行风险分析，并对设置的SIF确定SIL等级。

对于该风险点，该企业的可接受风险发生频率为人员1 × 10⁻⁶，经济为1 × 10⁻³，声誉为1 × 10⁻³。针对该风险点的防护措施以及使能条件修正等均已通过HAZOP分析得到。修正因子的取值情况如下所示：

1) 点火概率

点火概率的确定依据AQ/T3046-2013《化工企业定量风险导则》[6]中的固定装置可燃物质泄漏后立即点火概率确定方法，确定氨为类别0 (低活性)物质，连续释放速率小于10 kg/s，瞬时释放量小于1000 kg，故点火概率取0.02。

2) 人员暴露频率

根据该企业现状，制冷机房与值班室相邻，两室之间以防火墙相隔，且值班室24小时常有人值班，故考虑火灾爆炸后果时人员暴露频率设定为1。

该企业制冷机房与值班室之间密封严密，氨泄漏一般不会影响到值班室，故氨泄漏中毒的人员暴露频率按巡检情况设定，一天巡检4人次，每次5分钟，故制冷机房氨泄漏中毒时人在影响区内的概率为0.014。

3) 致死概率

由于液氨同时具有毒性和可燃性，因此可能发生人员中毒和火灾爆炸事故。经LOPA分析小组讨论并与企业确认，将氨泄漏中毒的致死概率定为0.3，氨泄漏火灾爆炸的致死概率定为0.5。

4) 独立保护层

针对该风险点，该企业设有安全联锁回路即氨泄漏报警系统。在氨气浓度超标时报警并联锁启动事故风机，可在短时间内将氨气浓度降至安全阈值以下，并具备符合要求的设计文档、校验记录和维护日志，满足IPL独立性，有效性及可审查性要求，可作为独立保护层。无其他独立保护层。

具体LOPA分析记录表如表3所示。

Table 3. LOPA recording table

表3. LOPA分析记录表

风险点：冷凝器盘管泄漏风险点描述：冷凝器长期运行腐蚀或设备缺陷导致盘管泄漏，造成人员中毒，同时存在引燃发生火灾爆炸的风险。
		描述	概率/频率		频率
风险容忍标准 (等级或频率)		容忍		人员	1 × 10⁻⁶
			经济	1 × 10⁻³
			声誉	1 × 10⁻³
初始事件及其发生频率		冷凝器长期运行腐蚀或设备缺陷导致盘管泄漏	0.1	0.01
初始事件使能条件/条件修正		投入运行前，均会进行打压试验、抽真空试验、气密性试验以及无损检测	0.1
条件修正	火灾爆炸后果	点火概率(火灾爆炸)	0.02	0.02
		人在影响区内的概率(火灾爆炸)	1
		致死概率(火灾爆炸)	1
	中毒后果	人在影响区内的概率(氨泄漏中毒)	0.014	0.007
		致死概率(氨泄漏中毒)	0.5
减缓前的后果频率(火灾爆炸)			人员：2 × 10⁻⁴ 经济：2 × 10⁻⁴ 声誉：2 × 10⁻⁴
减缓前的后果频率(氨泄漏中毒)			人员：7 × 10⁻⁵ 经济：7 × 10⁻⁵ 声誉：7 × 10⁻⁵
独立保护层		制冷机房设有氨气泄漏探测器， 50 ppm时报警并联锁启动事故风机(独立的氨泄漏报警系统)

通过表3可知，对于该企业该风险点液氨泄漏导致发生火灾爆炸的风险要高于中毒的风险，只有氨泄漏报警系统1个独立保护层，该SIL等级待确定，对于火灾爆炸及氨泄漏中毒风险无其他保护层。故采取措施后，风险结果如表4所示：

Table 4. Consequence frequency record table

表4. 后果频率记录表

风险点	后果频率	风险容忍标准(等级或频率)	是否满足	所需PFD值
火灾爆炸	人员：2 × 10⁻⁴	人员：1 × 10⁻⁶	否	0.005
	经济：2 × 10⁻⁴	经济：1 × 10⁻³	是	/
	声誉：2 × 10⁻⁴	声誉：1 × 10⁻³	是	/
氨泄漏中毒	人员：7 × 10⁻⁵	人员：1 × 10⁻⁶	否	0.0143
	经济：7 × 10⁻⁵	经济：1 × 10⁻³	是	/
	声誉：7 × 10⁻⁵	声誉：1 × 10⁻³	是	/

由表4可知，对于火灾爆炸和氨泄漏中毒两种风险点，在已有减缓措施下，经济和声誉风险均已达到可接受标准。对于火灾爆炸，达到可接受标准所需PFD值为0.005，根据表2可知，对应SIL等级为SIL2；对于氨泄漏中毒，达到可接受标准所需PFD值为0.0143，对应SIL等级为SIL1。综上，若想使该企业氨泄漏风险点达到可接受标准，该风险点独立保护层及氨泄漏报警系统的SIL等级应达到SIL2。

5. 结论

LOPA分析方法可以基于事件频率和风险后果，分析评估现有的保护层，采取量化计算获得风险发生的实际频率，评定出SIF需要达到的SIL等级。并且针对不同的SIF，此方法可以结合其具体的应用场景，评定出最适合该场景的SIL等级。本文通过表格化表示此方法，直观易懂，便于各过程行业企业应用。

6. 讨论

为清晰展示LOPA方法计算SIF的SIL要求的过程，本篇研究以只有1个SIF作为独立保护层的风险点为例。在为存在多个独立保护层的风险点进行SIL要求计算时，要充分考虑独立保护层对后果频率的影响。同时LOPA方法应用过程中面临一些潜在挑战，如初始事件频率数据及IPL有效性数据等方面公开事故数据库数据不足、初始事件识别不全和概念混淆、IPL有效性的量化不确定性以及受制于数据、模型、参数影响的LOPA分析的结果不确定性等问题。以上挑战有待更多学者进一步深入研究，为LOPA方法对过程行业进行风险管控提供更可靠的技术支撑。

参考文献

[1]	马子睿. LOPA-MATLAB分析法在储罐区风险防控中的应用[J]. 化工安全与环境, 2025, 38(4): 8-13.
[2]	张景钢, 胡蕴睿, 尹波. 基于Bow-Tie-LOPA的煤矿安全风险评估方法应用研究[J]. 山东煤炭科技, 2024, 42(11): 176-181.
[3]	蓝维波, 魏伟, 温俊阳, 等. 基于HAZOP/LOPA/SIL分析的天然气站场风险评价技术研究[J]. 石油化工自动化, 2024, 60(2): 66-70+77.
[4]	中国安全生产协会. AQ/T 3054-2015保护层分析(LOPA)方法应用导则[S]. 北京: 中国标准出版社, 2015.
[5]	全国工业过程测量控制和自动化标准化技术委员会. GB/T 20438-2017电气/电子/可编程电子安全相关系统的功能安全[S]. 北京: 中国标准出版社, 2017.
[6]	国家安全生产监督管理总局. AQ/T 3046-2013化工企业定量风险评价导则[S]. 北京: 中国标准出版社, 2013.

为你推荐

友情链接