GB/T 32857-2016 保护层分析(LOPA)应用指南

ICS25.040

N10OB

中华人民共和国国彖标准

GB/T32857—2016

保护层分析(LOPA)应用指南

Applicationguideforlayerofprotectionanalysis(LOPA)

2016-08-29发布2017-03-01实施

GB/T32857—2016

目次

前言V

引言\1

1范1

2规范性引用文件1

3术语和定义、缩略语1

3.1术语和定义1

3.2缩略语3

4保护层分析（LOPA）原理3

4.1目的3

4.2基本假设3

5保护层分析基本程序和应用时机4

5.1基本程序4

5.2应用时机4

6分析过程5

6.1场景识别与筛选5

5.1.1场景应满足的基本要求5

5.1.2场景信息来源5

5.1.3场景筛选与开发5

6.2后果及严重性评估5

6.3初始事件确认6

5.3.1初始事件类型6

5.3.2初始事件确定原则7

6.4独立保护层评估7

5.4.1典型的保护层7

5.4.2独立保护层的确定原则7

5.4.3独立保护层的确定7

5.4.4独立保护层PFD的确定8

6.5场景频率的计算8

6.6风险的评估与建议9

7LOPA文档9

附录A（资料性附录）LOPA分析各阶段数据（示例）11

A.1从HAZOP导出的可用于LOPA分析的数据11

A.2LOPA分析记录表11

A.3后果及严重性等信息12

A.4典型的保护层14

A.5BPCS多个回路作为IPL的评估方法17

A.6风险评估与建议矩阵法示例20

T

GB/T32857—2016

附录B（资料性附录）反应器系统LOPA应用22

B.1简介22

B.2问题描述22

B.3问题讨论23

B.4供考虑的设计改进25

附录C（资料性附录）LOPA方法在SIL定级中的应用34

C.lLOPA示例一34

C.2LOPA示例二36

附录D（资料性附录）高要求模式后果发生频率计算示例39

D.1概述39

D.2单个IPL下的后果发生频率计算39

D.3多个IPL下的后果发生频率计算39

附录E（资料性附录）LOPA分析表（示例）40

参考文献43

图1保护层分析流程图4

图A.1同一场景下多个回路的典型BPCS逻辑计算器18

图A.2同一场景下共享传感器的BPCS回路18

图A.3同一场景下共享输入/输出卡的BPCS回路19

图A.4同一场景下BPCS功能回路作为IPL的最大数量19

图B.1简化流程——聚氯乙烯（PVC）的间歇聚合操作流程图22

表1本标准使用的缩略语3

表2初始事件类型6

表A.1从HAZOP导岀可用于LOPA的数据11

表A.2LOPA分析记录表（示例）11

表A.3简化的物质释放后果分级表（示例）13

表A.4简化的伤害致死后果分级（示例）13

表A.5简化的经济损失后果分级（示例）14

表A.6典型的保护层14

表A.7独立保护层的确定15

表A.8典型独立保护层PFD值16

表A.具有不同行动要求的风险矩阵（示例）20

表A.10数值分析法——安全与健康相关事件的可容许风险（示例）20

表A.11数值分析法一一环境相关事件的可容许风险（示例）21

表A.12数值风险法一一财产相关事件的可容许风险（示例）21

表B.1安全自动化场景案例23

表B.2场景1分析案例26

n

GB/T32857—2016

表B.3场景2分析案例27

表B.4场景3分析案例28

表B.5场景4分析案例29

表B.6场景5分析案例30

表B.7场景6分析案例31

表B.8场景7分析案例32

表B.场景8分析案例33

表C.lLOPA示例一35

表C.2LOPA示例二36

表E.1风险矩阵法风险分析（示例）40

表E.2数值风险法风险分析（示例）41

m

GB/T32857—2016

■ir■■i

刖吕

本标准按照GB/T1.1—200给出的规则起草。

本标准由中国机械工业联合会提出。

本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。

本标准起草单位：机械工业仪器仪表综合技术经济研究所、北京联合普肯T程技术有限公司、中国

安全生产科学研究院、风控(北京)工程技术有限公司、中国石油天然气管道工程有限公司、中国石油天

然气股份有限公司管道分公司、天津市居安企业管理咨询有限公司、中海油安全技术服务有限公司、上

海撷果商务咨询有限公司.

本标准主要起草人:孟邹清、肖松青、俞文光、赵劲松、唐彬、袁小军、方来华、帅冰、聂中文、刘瑞、

左信、张宝利、赵建民、刘瑶、程德发、游泽彬、许琛琛、史威、李秋娟、顾峥、周有铮、孙舒、靳江红。

GB/T32857—2016

引言

本标准的目的是描述保护层分析(LOPA)的原理和分析过程，为应用LOPA分析方法开展风险分

析提供适当的指南和参考。保护层分析方法是一种半定量的风险评价方法，它通过评价保护层的要求

时危险失效概率来判断现有保护层是否可以将特定场景下的风险降低到风险标准所要求的水平，它的

优点是：

•与定性分析相比较丄()PA分析可以提供相对量化的风险决策依据。避免主观因素对风险控

制决策的影响。

•虽然没有定量风险分析那么精确，但其过程简便。在定量分析T作之前，可以应用LOPA分析

方法对风险相对较高的场景进行筛选，从而提高整个风险分析的工作的效率，节约分析T作的

成本。

•LOPA分析是安全完整性等级(SIL)的重要评估T具，与图表法相比较，LOPA分析可以提供

更加准确的结果。

•通过LOPA分析，可以了解不同独立保护层在降低风险过程中的贡献，在此基础上，可以选择

更加经济合理的保护措施来降低风险。

•LOPA分析通常采用表格的形式记录评估的过程，记录过程符合通常的思维习惯，文件易读

易用。

通过保护层分析，可以发现可行方案，如增设其他保护层、改变T艺等,从而选择最经济有效的降低

危险性的措施。

LOPA分析方法，作为一种简化的半定量的风险评价方法，使得对场景的分析和评价比其他定量

风险评价方法更省时间和精力，更重要的是，它提供了识别场景风险的方法，并且将其与可容许风险比

较，以确定现有的安全措施是否合适，是否需要增加新的安全措施。LOPA分析通过展开分析场景的

全过程，能很好地识别中间事件、安全措施和事故后果，帮助分析人员全面了解、认识特定的场景。

LOPA分析也存在其不足之处。与定性分析方法相比较，它每次只是针对一起特定的场景进行分

析,不能反映各种场景之间相互影响。此外，初始事件的发生频率及独立保护层的要求时危险失效概率

等数据对LOPA分析的结果有很大的影响，需要付出很多努力和积累才能获取这些数据。

这种半定量的风险评价方法可以减少定性评价方法的主观性，且较完全的定量评价方法容易实行，

在风险评估中被越来越广泛地应用。

VI

GB/T32857—2016

保护层分析(LOPA)应用指南

1范

本标准规定了LOPA分析的相关策略和细则，包括LOPA分析方法的技术性说明及开展LOPA

分析时的组织工作的要求，如准备工作、分析会议、分析报告及建议项跟踪等环节的要求,并给出在过程

T业中不同应用的示例。

本标准适用于过程工业开展的保护层分析，其他行业也可参照使用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T20002.4—2015标准中特定内容的起草第4部分:标准中涉及安全的内容

GB/T21109.1—2007过程工业领域安全仪表系统的功能安全第1部分：框架、定义、系统、硬

件和软件要求

IEC61508-4=2010电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语

(Functionalsafetyofelectrical/electronic/programmableelectronicsafety-realtedsystems—Part4:

Definitionsandabbreviations)

3术语和定义、缩略语

3.1术语和定义

GB/T20002.4,GB/T21109.1和IEC61508-4界定的以及下列术语和定义适用于本文件。

3.1.1

保护层分析layerofprotectionanalysis；LOPA

对降低不期望事件频率或后果严重性的独立保护层的有效性进行评估的一种过程方法或系统。

3.1.2

基本过程控制系统basicprocesscontrolsystem；BPCS

对来自过程的、系统相关设备的、其他可编程系统的和/或某个操作员的输入信号进行响应，并产生

使过程和系统相关设备按要求方式运行的系统，但它并不执行任何具有被声明的SIL^l的仪表安全

功能。

注：对于过程领域而言，基本过程控制系统是一个全局性的术语。

3.1.3

保护层layerofprotect

用来防止不期望事件的发生或降低不期望事件后果严重性从而降低过程风险的设备、设施或方案。

3.1.4

事件event

过程中发生的、可能由于设备能力或人员行动或影响风险控制系统的外部因素引起的过程事件。

1

GB/T32857—2016

3.1.5

初始事件initialevent

产生导致不期望后果场景的事件。

3.1.6

频率frequency

一个事件单位时间内发生的次数。

3.1.7

独立保护层Independentprotectionlayer；IPL

一种设备、系统或行动，有效地防止场景向不期望的后果发展，它与场景的初始事件或其他保护层

的行动无关。独立性表示保护层的执行能力不会受到初始事件或其他保护层失效的影响。独立保护层

的有效性和独立性可以被审查。

3.1.8

后果consequence

某一特定事件的结果。通常包括人员伤亡、财产损失、环境污染、声誉影响等。

3.1.

场景scenario

可能导致不期望后果的一种事件或事件序列。

3.1.10

要求时危险失效概率probabilityofdangerousfailureondemand；PFD

当受保护设备或受保护设备控制系统发出要求时，执行规定安全功能的独立保护层的安全不可

用性。

3.1.11

安全完整性等级safetyintegritylevel；SIL

一种离散的等级（四个可能等级之一），对应安全完整性量值的范。安全完整性等级4是最高的，

安全完整性等级1是最低的。

：IEC61508-4：2010,定义3.5.8]

3.1.12

使能事件或使能条件enableevent/enablecondition

导致场景发生的必要条件或事件,但不会直接导致场景发生。

3.1.13

安全仪表系统safetyinstrumentedsystem；SIS

用来实现一个或几个仪表安全功能的仪表系统。SIS可以由传感器、逻辑解算器和最终元件的任

何组合组成。

[GB/T21109.1—2007,定义3.2.72]

3.1.14

共因失效commoncausefailure；CCF

在多通道系统中由一个或多个事件导致的引起两个或多个分离通道同时失效，从而导致系统失效

的一种失效。

3.1.15

低要求模式lowdemandmode

将受保护设备或受保护设备控制系统导入规定安全状态的安全功能仅当要求时才执行，并且要求

的频率不大于每年一次。

2

GB/T32857—2016

3.1.16

高要求模式highdemandmode

将受保护设备或受保护设备控制系统导入规定安全状态的安全功能仅当要求时才执行，并且要求

的频率大于每年一次。

3.1.17

连续模式continuousmode

安全功能将受保护设备或受保护设备控制系统保持在安全状态是正常运行的一部分。

3.1.18

可容许风险tolerablerisk

按当今社会价值取向在一定范围内可以接受的风险。

[GB/T20002.4—2015,定义3.15]

3.2缩略语

下列缩略语适用于本文件(见表l)o

表1本标准使用的缩略语

缩略语全称解释

ALARPAsLowAsReasonablyPracticable最低合理可行原则

BPCSBasicProcessControlSystem基本过程控制系统

CCFCommonCauseFailure共因失效

HAZOPHazardAndOperability危险与可操作性

IPLIndependentProtectionLayer独立保护层

LOPALayerOfProtectionAnalysis保护层分析

PFDProbabilityOfDangerousFailureOnDemand要求时危险失效概率

PHAProcessHazardAnalysis过程危险分析

P&II)PipeAndInstrumentDiagram管道和仪表流程图

SIFSafetyInstrumentFunction安全仪表功能

SILSafetyIntegrityLevel安全完整性等级

SISSafetyInstrumentedSystem安全仪表系统

4保护层分析(LOPA)原理

4.1目的

保护层分析(LOPA)的目的是在定性危除分析的基础上，进一步对具体的场景的风险进行相对量

化(准确到数量级)的研究，包括对场景的准确表述及识别已有的独立保护层，从而判定该场景发生时系

统所处的风险水平是否达到可容许风险标准的要求，并根据需要增加适当的保护层，以将风险降低至可

容许风险标准所要求的水平。

4.2基本假设

LOPA的一个基本假设就是不存在不失效的保护层。

3

GB/T32857—2016

具体示例参见附录A。

5保护层分析基本程序和应用时机

5.1基本程序

保护层分析的过程包括：场景识別与筛选、后果及严重性评估、初始事件描述及频率确认、独立保护

层识别及PFD的确认、场景导致预期后果的频率计算、风险评估与建议。以上过程流程图见图1。

•JWHA/<iHh析】

-

♦MR

的汁和

I*-—

i

注：图中虚框所含内容不在本标准范围之内。

图1保护层分析流程图

5.2应用时机

LOPA-般用于：

a）场景过于复杂，不能采用完全定性的方法作岀合理的风险判断;

b）场景后果过于严重而不能只依靠定性方法进行风险判断。

LOPA也用于以下几种场景：

a）确定安全仪表功能的安全完整性等级；

b）识别过程中安全关键设备；

c）识别操作人员关键安全行为和关键安全响应；

d）确定场景的风险等级以及场景中各种保护层降低的风险水平；

4

GB/T32857—2016

e）其他适用LOPA的场景等（如设计方案分析和事故调查）o

LOPA的应用示例参见附录B和附录Co

6分析过程

6.1场景识别与筛选

6.1.1场景应满足的基本要求

场景应满足以下基本要求：

a）每个场景应至少包括两个要素：

1）引起一连串事件的初始事件；

2）该事件继续发展所导致的后果，

b）每个场景应有唯一的初始事件及其对应后果；

c）除了初始事件和后果外，一个场景还可能包括：

1）使能事件或使能条件；

2）防护措施失效。

d）如果使用人员死亡、商业或环境损害作为后果，则场景还可能包括下列部分或全部因素，或条

件修正因子：

1）可燃物质被引燃的可能性；

2）人员出现在事件影响区域的概率；

3）火灾、爆炸或有毒物质释放的暴露致死率（在场人员逃离的可能性）；

4）其他可能的修正因子。

6.1.2场景信息来源

场景识別信息通常来源于对新、改、扩建或在役T艺系统完成的危害评估，如HAZOP分析所识别

的存在较大风险的场景。

HAZOP中可导出的用于LOPA分析的数据见表A.lo

值得一提的是,HAZOP分析过程中所提出的现有安全措施可能是不完整的，在开展LOPA分析

时，需要重新仔细检查是否遗漏了现有的措施，被遗漏的这些安全措施可能是独立保护层。

用于LOPA场景识别的信息来源还包括：

a）生产运行问题，包括意外行为或正常范围之外的操作条件等；

b）变更；

c）事故事件；

d）安全仪表功能审查。

6.1.3场景筛选与开发

对场景进行详细分析与记录，记录表格示例见表A.2。

对在记录过程中发现的，或独立保护层和初始事件频率评估中发现的新的场景，可能需要筛选开发

新的场景，作为另一起LOPA分析的对象。

6.2后果及严重性评估

在LOPA分析开始前,应确定场景后果的严重程度：

a）宜采用定性或定量的方法对场景后果的严重性进行评估；

5

GB/T32857—2016

b）典型的后果种类包括：人员伤亡、财产损失、环境污染、声誉影响等；

c）后果严重性评估方法包括：释放规模/特征评估、简化的伤害/致死评估、需要进行频率校正的

简化伤害/致死评估、详细的伤害/致死评估等；

d）后果严重性评估分级应与可容许风险分级相一致。

后果等级、严重性分类等详细信息示例见表A.3。

6.3初始事件确认

6.3.1初始事件类型

初始事件一般包括外部事件、设备故障和人的失效，分类见表2。

表2初始事件类型

类别外部事件设备故障人的失效

a）控制系统失效

1）元件失效

2）软件失效

3）控制支持系统失效（如

电力系统、仪表空气系

统）

b）机械系统故障

1）磨损、疲劳或腐蚀造成

的容器或管道失效

2）设计、技术规程或制

造/制作缺陷造成的容

a）地震、海啸、龙卷风、飓风、器或管道失效a）对给出的条件或其他提示未

洪水、泥石流和滑坡等自然3）超压造成的容器或管能止确观察或响应

灾害道失效（如热膨胀、清b）未能按正确的顺序执行任

b）空难管/吹扫）或低压失效务步骤

分类

c）临近T.厂的重大事故（如真空）c）未能按操作规程进行操作

d）破坏或恐怖活动4）振动导致的失效（如转（如误开/误关）

e）雷击和外部火灾动设备）d）维护失误

f）其他外部事件5）维护/维修不完善（包e）其他行为失效

括使用不合适的替代

材料）造成的失效

6）髙温或低温，以及脆性

断裂引起的失效

7）湍流或水击引起的

失效

8）内部爆炸、分解或其他

失效反应造成的失效

9）其他机械系统故障

C）公用工程故障

d）其他故障

6

GB/T32857—2016

6.3.2初始事件确定原则

在确定初始事件时，应遵循以下原则：

a）审查场景中所有的原因，以确定该初始事件为有效初始事件；

b）应确认已辨识出所有的潜在初始事件，并确保无遗漏；

c）应将每个原因细分为独立的初始事件（如“冷却失效”可细分为冷却剂泵故障、电力故障或控制

回路失效），以便于识别独立保护层；

d）在识别潜在初始事件时，应确保已经识别和审查所有的操作模式（如正常运行、开车、停车、设

备停电）和设备状态（如待机、维护）下的初始事件；

e）当人的失效作为初始事件时，应制定人员失误概率评估的统一规则并在分析时严格执行；

f）以下事件不宜作为初始事件：

1）操作人员培训不完善；

2）测试或检查不完善；

3）保护装置不可用；

4）其他类似事件。

6.4独立保护层评估

6.4.1典型的保护层

一个典型的化T过程包含各种独立的或非独立的保护层，典型的保护层示例见表A.6。

6.4.2独立保护层的确定原则

并不是所有的保护层都可作为独立保护层。设备、系统或行动需满足以下条件才能作为独立保

护层：

a）有效性:按照设计的功能发挥作用，应有效地防止后果发生：

1）应能检测到响应的条件；

2）在有效的时间内，应能及时响应；

3）在可用的时间内，应有足够的能力采取所要求的行动。

b）独立性:独立于初始事件和任何其他已经被认为是同一场景的独立保护层的构成元件：

1）应独立于初始事件的发生及其后果；

2）应独立于同一场景中的其他独立保护层；

3）应考虑共因失效或共模失效的影响。

c）可审查性:对于阻止后果的有效性和PFD应以某种方式（通过记录、审查、测试等）进行验证。

审查程序应确认如果独立保护层按照设计发生作用，它将有效地阻止后果：

1）审查应确认独立保护层的设计、安装、功能测试和维护系统的合适性，以取得独立保护层

特定的PFD；

2）功能测试应确认独立保护层所有的构成元件（传感器、逻辑解算器、最终元件等）运行良

好，满足LOPA的使用要求；

3）审查过程应记录发现的独立保护层条件、上次审查以来的任何修改以及跟踪所要求的任

何改进措施的执行情况。

6.4.3独立保护层的确定

应依据6.4.2来确定防护措施是否是独立保护层。过程丁业典型独立保护层的确定示例见表A.7。

7

GB/T32857—2016

以下防护措施不宜作为独立保护层：

a）培训和取证:在确定操作人员行动的PFD时，需要考虑这些因素，但是它们本身不是独立保

护层。

b）程序：在确定操作人员行动的PFD时，需要考虑这些因素，但是它们本身不是独立保护层。

c）正常的测试和检测：正常的测试和检测将影响某些独立保护层的PFD,延长测试和检测周期

可能增加独立保护层的PFDO

d）维护：维护活动将影响某些独立保护层的PFD。

e）通信:作为一种基础假设，假设工厂内具有良好的通信。差的通信将影响某些独立保护层

的PFD。

f）标识:标识自身不是独立保护层。标识可能不清晰、模糊、容易被忽略等。标识可能影响某些

独立保护层的PFDO

6.4.4独立保护层PF的确定

独立保护层PFD的确认原则有：

a）独立保护层的PFD为系统要求独立保护层起作用时该独立保护层不能完成所要求的任务的

概率；

b）如果安装的独立保护层处于“恶劣”环境与条件（如易污染或易腐蚀环境中），则应考虑使用更

高的PFD值；

c）表A.8提供了过程丁业典型独立保护层的PFD值，实际LOPA应用过程中,PFD值的确定应

参照企业标准或行业标准，经分析小组共同确认或进行适当的计算以确认PFD值取值的合适

性，并将其作为LOPA分析中的统一规则严格执行。

6.5场景频率的计算

场景频率的计算内容有：

a）本节仅规定单一场景的频率计算，同样后果的多个场景频率求和不在本节的规定范围内。

b）本节仅针对低要求模式进行分析计算。

c）单一场景后果的频率为初始事件发生频率乘以所有独立保护层要求时危险失效概率，场景后

果的频率可能需要使用下面的两种系数进行修正：

1）假如场景的发生需要使能事件或使能条件时，需要乘以使能事件或使能条件的发生概率；

2）假如需要计算危险物质释放后的后续后果发生频率时，需要乘以条件修正因子，常见的条

件修正因子如下：

•可燃物质点火概率；

•人员出现在事件影响区域的概率；

•火灾、爆炸或有毒物质释放的暴露致死率；

•其他。

d）场景频率计算分为低要求模式后果频率计算和高要求模式后果频率计算。

e）低要求模式的后果发生频率按式（1）计算：

J

ff-fjxrrxpfXnPFD”（1）

式中：

f,c——初始事件"造成后果c的频率，单位为次每年；

/:——初始事件"的发生频率，单位为次每年；

P,-E——使能事件或使能条件发生的概率，假如没有使能事件或使能条件，则PE取1;

8

GB/T32857—2016

P,c——条件修正因子，假如没有任何条件修正，则Pc取1;

PFD,——初始事件i中第j个阻止后果C的独立保护层要求时危险失效概率（PFD）。

f）高要求模式下后果发生频率的计算参见附录D。

6.6风险的评估与建议

风险的评估与建议内容有：

a）本节只研究单一场景的风险评估，多个场景的累计风险计算不在本节规定范围内。

b）各公司应制定适合自己企业的单一场景风险可容许标准。常见的风险评估分析方法有矩阵

法、数值风险法（每个场景最大容许风险），独立保护层（IPL）信用值法。矩阵法示例见表A.9,

数值风险法示例见表A.1O〜表A.12。

c）通过6.2的后果及严重性评估与6.5的场景频率计算，得出选定场景的后果等级以及后果发

生概率，可以与风险矩阵进行比较，或者与数值风险法中的相关事件可接受频率比较。

d）根据风险比较结果：

1）计算风险小于场景可容许风险，继续下一场景的LOPA分析；

2）计算风险大于场景可容许风险,LOPA分析小组应建议满足可容许风险标准所需采取的

措施,并确定拟采取措施的PFD，以将风险降低到可容许风险之下。

e）一个简单的示例参见附录E。

7LOPA文档

LOPA分析应完整、准确地记录场景评估过程中获得的信息。记录文件应包括不期望场景后果的

事件链，以便其他分析小组或分析师审查LOPA过程中做出的假设，以及当场景不能满足企业可容许

风险时，应用其他保护层是否可以防止事件发牛或降低事故风睑.LOPA文档记录可采用多种形式.

记录表格应包含如下信息，样表见表A.2；

a）后果

后果描述应给出风险评估（矩阵法或数值风险法）中的事故类别，以便进行风险评估。

b）可容许风险

记录表格中选取的可容许风险应和事故后果类别一致,可容许的频率值符合公司可容许标准值。

c）初始事件

记录表格中应清晰记录场景初始事件，同时应给岀初始事件频率。

d）使能事件或使能条件

应对初始事件的使能事件或使能条件进行描述，并给出使能事件发生的概率。

e）条件修正

如果选取的场景后果为物料泄漏以后的后果，计算场景频率时，在评估人员具有相关经验及数据支

持下可使用条件修正。条件修正因子可能包括：

1）可燃物质点火概率；

2）人员出现在事件影响区域的概率；

3）火灾、爆炸或有毒物质释放的暴露致死率；

4）其他。

应表明这些假定值的参考依据，且对标准值的任何修改必须说明理由并记录在案。

f）减缓前的后果频率

减缓前的后果频率是初始事件频率和所有使能事件或使能条件发生概率以及条件修正因子的

乘积。

9

GB/T32857—2016

g）独立保护层

应写出所有现有的及建议的独立保护层，包括每个独立保护层失效概率。如果独立保护层的失效

概率不同于企业内采用的标准值,则应阐明调整理由。

h）防护措施（非独立保护层）

如果现有的防护措施不能作为独立保护层，应当说明理由，以便让人更容易理解分析的依据。

示例：系统安装有安全阀，但安全阀的泄放量小于计算的场景物料的泄放量，则这个安全阀不能作为这个场景的

独立保护层。

i）减缓后的丿万果频率

减缓后的后果频率为减缓前的后果频率乘以所有独立保护层的失效频率后的值。

j）能否满足可容许风险

使用减缓后的后果频率与采用的可容许风险进行比较，假如减缓后的后果频率小于采用的可容许

风险中的事故频率，则场景满足可容许风险，否则为不满足。

k）满足可容许风险需要采取的行动

假如场景的计算风险大于企业可容许风险，则写出需要采取进一步的措施，采収的行动中需要给

出负责人，以及预计行动完成日期。

假如场景的计算风险大于企业可容许风险，但企业目前又不得不接受这样的风险，这种特殊情况可

能需要高级管理人员的签字，并附在分析文档中。

D备注

应包括所有背景资料，或记录与场景或采取行动相关的此类信息。

m）参考资料

任何有关的工艺流程图、P&ID.SIF描述或联锁逻辑图、仪表清单、设备清单、操作规程和测试程序

等参考资料，从而完整地记录分析的依据，以便协助审查或执行分析的结果。

n）LOPA分析人员

LOPA分析人员姓名、职责。

10

GB/T32857—2016

附录A

（资料性附录）

LOPA分析各阶段数据（示例）

A.1从HAZOP导出的可用于LOPA分析的数据

从HAZOP导出的可用于LOPA分析的数据见表A.lo

表A.1从HAZOP导出可用于LOPA的数据

IQPA要求的信息IIAZOP所导出的信息

场景背景与描述備差

初始事件引起偏差的原因

后果描述偏差导致的后果

独立保护层现有的安全措施

注1：HAZOP所导出的信息在应用于I.OPA分析时应再次判断。例如：HAZOP分析中的现有安全措施并不都

是独立保护层。

注2：来自HAZOP分析的建议安全措施是否可作为独立保护层，也可在IQPA分析时再次判断。

A.2LOPA分析记录表

LOPA分析记录表（示例）见表A.2。

表A.2LOPA分析记录表（示例）

场景编号：设备编号：场景名称：

频率

日期：场景背景与描述：概率

年T

后果描述/分类

不可接受（大于）

可容许风险（分类/频率）

可以接受（小于或等于）

初始事件

（一般给出频率）

使能事件或使能条件

点火概率

条件修正影响区域内人员存在概率

（如果适用）致死概率

其他

减缓前的后果频率

11

GB/T32857—2016

表A.2（续）

场景编号：设备编号：场景名称：

频率

日期：场景背景与描述：概率

年T

独立保护层

基本过程控制系统

人为缓解

安全仪表功能

压力缓解设备

其他保护层

（应判别）

其他保护措施

（非独立保护层）

所有独立保护层总PFD

减缓后的后果频率

是否满足可容许风睑？（是/否）：

满足可容许风险需要采取的行动：

备注：

参考资料（PHA报告、P&ID等）：

LOPA分析人员：

填表注意事项：

a）识別从初始事件发展到后果的所有重要环节；

b）记录所有可能会影响后果出现的频率、后果大小或类型计算的因素；

c）识别包括:维护特定初始事件、特定后果以及特定独立保护层之间的关联；

d）对于已确定某一场景，分析人员识别初始事件，并确定事件导致预期的后果是否需要任何使

能事件或使能条件；

e）列出场景所有的防护措施；

D小组对列出的多种防护措施进行分析，确定真正的独立保护层；

g）场景开发应该随着对T艺或系统理解的加深或者新的可用信息的加入而不断修改和完善；有

些情况下，可能需要筛选开发出新的场景。

A.3后果及严重性等信息

A.3.1后果分类及严重性等级等的信息来源

后果分类及严重性等级等的信息来源包括：

12

GB/T32857—2016

a)国际惯例或通用数据源；

b)国家标准或行业规范；

c)公司根据自身风险可接受