ICS _25.040 N 10
中华人民共和国国家标准
GB/T 32857-2016
保护层分析（LOPA）应用指南
Application guide for layer of protection analysis(LOPA)
2017-03-01实施
2016-08-29 发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 GB/T 32857—2016
目 次
2
前言引言
V
范围 2 规范性引用文件 3 术语和定义、缩略语 3.1术语和定义 3.2缩略语保护层分析(LOPA)原理 4.1 目的 4.2 基本假设 5保护层分析基本程序和应用时机 5.1 基本程序 5.2 应用时机 6分析过程 6.1 场景识别与筛选 .
4
..
.
......... ...
6.1.1　场景应满足的基本要求 6.1.2场景信息来源 6.1.3场景筛选与开发
.
6.2后果及严重性评估 6.3初始事件确认 6.3.1初始事件类型 6.3.2 初始事件确定原则 6.4独立保护层评估 ..... 6.4.1 典型的保护层 6.4.2 独立保护层的确定原则 6.4.3独立保护层的确定 6.4.4 独立保护层PFD 的确定 6.5场景频率的计算 6.6 风险的评估与建议 LOPＡ 文档附录A（资料性附录）LOPA分析各阶段数据（示例） A.1从HAZOP导出的可用于LOPA分析的数据 A.2　LOPA分析记录表 A.3后果及严重性等信息 A.4 典型的保护层 A.5 BPCS多个回路作为 IPL的评估方法· A.6风险评估与建议矩阵法示例
营量
...e..eee...ee. ..
.
11
11
12
12
17 20
1 GB/T 32857—2016
22 22 22 23 25 34 34 36 39 39 39 39 40 43
附录B（资料性附录） 反应器系统 LOPA应用 B.1简介. B.2 问题描述 B.3问题讨论 B.4供考虑的设计改进· 附录 C（资料性附录）LOPA方法在 SIL定级中的应用· C.1　 LOPA 示例- C.2　LOPA 示例二附录D（资料性附录）高要求模式后果发生频率计算示例 D.1 概述· D.2单个 IPL 下的后果发生频率计算 D.3多个 IPL下的后果发生频率计算附录E（资料性附录）LOPA分析表（示例）参考文献
.
图1保护层分析流程图图 A.1同一场景下多个回路的典型BPCS逻辑计算器图A.2　同一场景下共享传感器的BPCS回路图 A.3　同一场景下共享输人/输出卡的 BPCS 回路图 A.4同一场景下BPCS功能回路作为IPL的最大数量图 B.1简化流程——聚氯乙烯(PVC)的间歇聚合操作流程图
4
18 18 19 19
....22
表1本标准使用的缩略语表 2初始事件类型· 表 A.1 从HAZOP导出可用于LOPA的数据· 表 A.2 LOPA分析记录表(示例) 表A.3简化的物质释放后果分级表（示例）表 A.4 简化的伤害致死后果分级(示例) 表 A.5 简化的经济损失后果分级(示例) 表A.6　典型的保护层表 A.7 独立保护层的确定表 A.8 典型独立保护层PFD值· 表 A.9 具有不同行动要求的风险矩阵(示例) 表 A.10 数值分析法一一安全与健康相关事件的可容许风险(示例) 表 A.11 数值分析法一环境相关事件的可容许风险（示例）· 表 A.12 数值风险法- 一财产相关事件的可容许风险（示例）· 表 B.1 安全自动化场景案例表 B.2 场景1分析案例 1
h
11
.3
13
14
14
15
16 20 :20
.·
21
21 23 26 GB/T 32857—2016
表 B.3 场景2分析案例表 B.4 场景3分析案例表 B.5 场景 4分析案例表 B.6 场景 5分析案例表 B.7 场景 6 分析案例表 B.8 场景 7分析案例表 B.9 场景8分析案例表 C.1 LOPA 示例一表 C.2 LOPA示例二表 E.1 风险矩阵法风险分析(示例) 表E.2 数值风险法风险分析（示例）)
27 28 29 30 31 32 33 35 36 40 41
川 GB/T 32857-2016
前言
本标准按照GB/T1.1-2009给出的规则起草。 本标准由中国机械工业联合会提出。 本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。 本标准起草单位：机械工业仪器仪表综合技术经济研究所、北京联合普肯工程技术有限公司、中国
安全生产科学研究院、风控(北京)工程技术有限公司、中国石油天然气管道工程有限公司、中国石油天然气股份有限公司管道分公司、天津市居安企业管理咨询有限公司、中海油安全技术服务有限公司、上海果商务咨询有限公司。
本标准主要起草人：孟邹清、肖松青、俞文光、赵劲松、唐彬、袁小军、方来华、帅冰、聂中文、刘瑞、 左信、张宝利、赵建民、刘瑶、程德发、游泽彬、许琛琛、史威、李秋娟、顾睁、周有铮、孙舒、靳江红。
V GB/T 32857-2016
引言
本标准的目的是描述保护层分析(LOPA)的原理和分析过程，为应用LOPA分析方法开展风险分析提供适当的指南和参考。保护层分析方法是一种半定量的风险评价方法，它通过评价保护层的要求时危险失效概率来判断现有保护层是否可以将特定场景下的风险降低到风险标准所要求的水平，它的优点是：
·与定性分析相比较,LOPA分析可以提供相对量化的风险决策依据。避免主观因素对风险控
制决策的影响。 ·虽然没有定量风险分析那么精确，但其过程简便。在定量分析工作之前，可以应用 LOPA分析
方法对风险相对较高的场景进行筛选，从而提高整个风险分析的工作的效率，节约分析工作的成本。 LOPA分析是安全完整性等级（SIL)的重要评估工具，与图表法相比较,LOPA分析可以提供
·
更加准确的结果。 ·通过LOPA分析，可以了解不同独立保护层在降低风险过程中的贡献，在此基础上，可以选择
更加经济合理的保护措施来降低风险。 ·LOPA分析通常采用表格的形式记录评估的过程，记录过程符合通常的思维习惯，文件易读
易用。 通过保护层分析，可以发现可行方案，如增设其他保护层、改变工艺等，从而选择最经济有效的降低
危险性的措施。
LOPA分析方法，作为一种简化的半定量的风险评价方法，使得对场景的分析和评价比其他定量风险评价方法更省时间和精力，更重要的是，它提供了识别场景风险的方法，并且将其与可容许风险比较，以确定现有的安全措施是否合适，是否需要增加新的安全措施。LOPA分析通过展开分析场景的全过程，能很好地识别中间事件、安全措施和事故后果，帮助分析人员全面了解、认识特定的场景。
LOPA分析也存在其不足之处。与定性分析方法相比较，它每次只是针对一起特定的场景进行分析，不能反映各种场景之间相互影响。此外，初始事件的发生频率及独立保护层的要求时危险失效概率等数据对LOPA分析的结果有很大的影响，需要付出很多努力和积累才能获取这些数据。
这种半定量的风险评价方法可以减少定性评价方法的主观性，且较完全的定量评价方法容易实行，在风险评估中被越来越广泛地应用。
VI GB/T 32857--2016
保护层分析（LOPA）应用指南
1 范围
本标准规定了LOPA分析的相关策略和细则，包括 LOPA分析方法的技术性说明及开展 LOPA 分析时的组织工作的要求，如准备工作、分析会议、分析报告及建议项跟踪等环节的要求，并给出在过程工业中不同应用的示例。
本标准适用于过程工业开展的保护层分析，其他行业也可参照使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20002.42015　标准中特定内容的起草　第 4部分：标准中涉及安全的内容 GB/T 21109.12007过程工业领域安全仪表系统的功能安全第1部分：框架、定义、系统、硬
件和软件要求
IEC61508-4:2010电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语 (Functional safety of electrical/electronic/programmable electronic safety-realted systems--Part 4: Definitions and abbreviations)
3术语和定义、缩略语
3.1术语和定义
GB/T20002.4、GB/T 21109.1和IEC61508-4界定的以及下列术语和定义适用于本文件。 3.1.1
保护层分析layer of protection analysis;LOPA 对降低不期望事件频率或后果严重性的独立保护层的有效性进行评估的一种过程方法或系统。
3.1.2
基本过程控制系统 basic process control system;BPCS 对来自过程的、系统相关设备的、其他可编程系统的和/或某个操作员的输人信号进行响应，并产生
使过程和系统相关设备按要求方式运行的系统，但它并不执行任何具有被声明的SIL≥1的仪表安全功能。
注：对于过程领域而言,基本过程控制系统是一个全局性的术语。 3.1.3
保护层layer of protect 用来防止不期望事件的发生或降低不期望事件后果严重性从而降低过程风险的设备、设施或方案。
3.1.4
事件　event 过程中发生的、可能由于设备能力或人员行动或影响风险控制系统的外部因素引起的过程事件。
1 GB/T 32857-2016
3.1.5
初始事件　initial event 产生导致不期望后果场景的事件。
3.1.6
频率　frequency 一个事件单位时间内发生的次数。
3.1.7
独立保护层Independent protection layer;IPL -种设备、系统或行动，有效地防止场景向不期望的后果发展，它与场景的初始事件或其他保护层
的行动无关。独立性表示保护层的执行能力不会受到初始事件或其他保护层失效的影响。独立保护层的有效性和独立性可以被审查。 3.1.8
后果 consequence 某一特定事件的结果。通常包括人员伤亡、财产损失、环境污染、声誉影响等。
3.1.9
场景 scenario 可能导致不期望后果的一种事件或事件序列。
3.1.10
要求时危险失效概率probability of dangerous failure on demand;PFD 当受保护设备或受保护设备控制系统发出要求时，执行规定安全功能的独立保护层的安全不可
用性。 3.1.11
安全完整性等级 safety integrity level;SIL -种离散的等级（四个可能等级之一）,对应安全完整性量值的范围。安全完整性等级 4是最高的，
安全完整性等级1 是最低的。
［IEC 61508-4:2010,定义 3.5.8] 3.1.12
使能事件或使能条件 enable event/enable condition 导致场景发生的必要条件或事件，但不会直接导致场景发生。
3.1.13
安全仪表系统 safety instrumented system;SIS 用来实现一个或几个仪表安全功能的仪表系统。SIS可以由传感器、逻辑解算器和最终元件的任
何组合组成。
[GB/T 21109.1—2007,定义 3.2.72] 3.1.14
共因失效 common cause failure;CCF 在多通道系统中由一个或多个事件导致的引起两个或多个分离通道同时失效，从而导致系统失效
的一种失效。 3.1.15
低要求模式 low demand mode 将受保护设备或受保护设备控制系统导人规定安全状态的安全功能仅当要求时才执行，并且要求
的频率不大于每年一次。
2