是减少和降低已发生事故的后果。保护层各层的组成（见图5）及作用如下：

图5 保护层的组成

（1）工艺设计层。它是指在系统设计初期就采取较安全的生产工艺和方法，即实现系统的本质安全。

（2）基本工艺控制系统（BPCS）层。它是指保证系统正常运行的工艺控制系统，包括各种工艺操作、程序控制（如温度控制系统）等措施，它将保证系统处于正常工作状态。

（3）工艺监控与人为干预层。它是指各类工艺监控报警系统（如高压报警传感器）及报警后操作者采取措施，人为干预排除异常状态。这里说的人为干预是指当某个或多个工艺参数超限报警时，操作人员介入，通过操纵工艺过程控制系统进行抑制，以防止危险状态进一步扩大。

（4）安全仪表控制系统（SIS）层。由传感器、逻辑模块和执行部分组成。紧急关闭系统就是最常见的安全仪表控制系统之一。安全仪表控制系统不仅可以预防危险事件的发生，也可以降低事故后果。

（5）机械防护层。它是指安全阀、泄压阀、放散阀、爆破片等防护机械，在前期的几个防护层失效的情况下，机械防护层可以起到预防事故发生的作用。

（6）结构防护层。它是指各种防护堤、防护沟、防爆墙等各类结构性防护

20

措施，通过切断对水源、土壤、地下水、大气的污染，起到降低事故后果的作用。

上述机械防护层和结构防护层都属于物理防护层，前者是在危险物质释放前就发挥作用的防护措施，属于积极类的防护措施；而后者是在危险物质释放后才发挥作用的防护措施，相对来说比较被动。因此，两者也被称为主动物理防护层和被动物理防护层。

（7）应急响应系统层。它是指事故发生后的各种应急救援行动，包括企业内的应急和企业外的应急。企业外应急是指企业之外的社会应急。

可见，工艺设计层（本质安全）、基本工艺控制系统层、工艺监控与人为干预层、安全仪表控制系统（安全警报系统等）层、机械防护层、结构防护层、应急响应系统层共同构成了过程工业防护层。各个防护层之间是并联的关系，即只有所有防护层失效才会导致事故发生。 3.5.3 LOPA分析步骤

21

熟悉系统 确认事故场景 确定事故场景的后果 辨识初始事件和频率 辨识IPLs和相应PFD 估计风险 评估风险 是 风险可接受？ 下一个场景 否 考虑风险降低措施

图6 保护层分析的步骤

保护层分析的步骤如图6所示，其具体步骤如下：

a)熟悉所分析的工艺过程并收集资料，包括定性分析（如HAZOP分析）所需资料、设计资料、运行记录、泄压阀设计和检测报告等。

b)利用定性分析（如HAZOP等）的分析结果将可能发生的严重事故作为事

22

故场景。

c)确定事故场景的后果。根据确定的后果严重程度划分标准，确定当前事故场景的后果等级。后果分析不仅包括短期或现场影响，而日还包括事故对人员、环境和设备的长期影响。

d)辨识事故场景的起始事件、中间事件和后果事件，根据每个事件的发生频率，计算潜在事故的发生频率并确定等级。在分析事故场景时，工作组应考虑发生事故场景的所有事件。根据后果的严重程度以及发生频率，确定潜在事故的风险等级。

e)列举所有的独立保护层措施，确定其失效概率。根据独立保护层失效概率，确定剩余风险等级。需要特别指出的是，如果某个独立保护层失效作为起始事件，那么该独立保护层不应作为安全保护措施。例如工艺控制回路失效为事故的起始事件，那么由工艺控制产生的报警不应作为降低风险的独立保护层措施。

f）估计风险，评估风险是否可接受。若不可接受，根据剩余风险等级，提出切实可行的安全对策措施，直至达到可承受的风险。评价小组应尽可能地提出多种安全对策措施，为找出最佳方案提供帮助。 3.5.4 LOPA分析的优缺点 优点：

1）LOPA分析和定量分析方法相比需要更少的时间，因此特别适用于事故场景比较复杂，只用纯定性分析并不能满足要求的危险事件。

2）基于风险接受标准的LOPA分析和主观的带有感情色彩的分析相比提供了一个比较好的风险判断基础，它提供了一种一致的、简单的构架来评估情景的风险水平，从而在讨论时提供了共同的语言。

3）LOPA分析有利于更精确的原因-后果的确定，因此提高了场景识别。 如果公司用同样的LOPA分析方法和一致的风险标准，LOPA分析也提供了一个在装置与装置之间或者是工厂与工厂之间进行比较的手段。

4）LOPA因为有更加严格的文件和明确的频率和后果数据，因此相比定性分析提供了更可靠保险的风险判断。

5）LOPA能够帮组公司决定风险是不是低于可接受水平，从而帮组公司作出特别的调整计划。

23