GB/T 45111-2024 保护层分析（LOPA）、安全完整性等级（SIL）定级和验证质量控制导则

ICS25.040
CCS N 10
中华人民共和国国家标准
GB/T45111—2024
保护层分析(LOPA)、安全完整性
等级(SIL)定级和验证质量控制导则
Qualitycontrolguidelinesforlayerofprotectionanalysis(LOPA),
safetyintegritylevels(SIL)determinationandverification
2024-12-31发布2025-07-01实施
国家市场监督管理总局
国家标准化管理委员会发布

目 次
前言………………………………………………………………………………………………………… Ⅴ
引言………………………………………………………………………………………………………… Ⅵ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 缩略语…………………………………………………………………………………………………… 6
5 质量控制节点…………………………………………………………………………………………… 6
5.1 总体原则…………………………………………………………………………………………… 6
5.2 质量控制节点划分………………………………………………………………………………… 7
5.2.1 LOPA工作质量控制节点…………………………………………………………………… 7
5.2.2 SIL定级质量控制节点………………………………………………………………………… 8
5.2.3 SIL验证质量控制节点………………………………………………………………………… 8
6 LOPA工作的质量控制………………………………………………………………………………… 9
6.1 控制要素…………………………………………………………………………………………… 9
6.1.1 人员…………………………………………………………………………………………… 9
6.1.2 资料…………………………………………………………………………………………… 9
6.1.3 流程和内容…………………………………………………………………………………… 9
6.1.4 文档…………………………………………………………………………………………… 9
6.2 控制要求…………………………………………………………………………………………… 9
6.2.1 人员控制要求………………………………………………………………………………… 9
6.2.2 资料控制要求………………………………………………………………………………… 10
6.2.3 流程和内容控制要求………………………………………………………………………… 11
6.2.4 文档控制要求………………………………………………………………………………… 21
6.3 审查要求…………………………………………………………………………………………… 22
7 SIL定级的质量控制…………………………………………………………………………………… 22
7.1 控制要素…………………………………………………………………………………………… 22
7.1.1 人员…………………………………………………………………………………………… 22
7.1.2 资料…………………………………………………………………………………………… 23
7.1.3 流程和内容…………………………………………………………………………………… 23
7.1.4 文档…………………………………………………………………………………………… 23
7.2 控制要求…………………………………………………………………………………………… 23
7.2.1 人员控制要求………………………………………………………………………………… 23
7.2.2 资料控制要求………………………………………………………………………………… 23
Ⅰ
GB/T45111—2024
7.2.3 流程和内容控制要求………………………………………………………………………… 23
7.2.4 文档控制要求………………………………………………………………………………… 24
7.3 审查要求…………………………………………………………………………………………… 25
8 SIL验证的质量控制…………………………………………………………………………………… 25
8.1 控制要素…………………………………………………………………………………………… 25
8.1.1 人员…………………………………………………………………………………………… 25
8.1.2 资料…………………………………………………………………………………………… 25
8.1.3 流程和内容…………………………………………………………………………………… 25
8.1.4 文档…………………………………………………………………………………………… 25
8.2 控制要求…………………………………………………………………………………………… 26
8.2.1 人员控制要求………………………………………………………………………………… 26
8.2.2 资料控制要求………………………………………………………………………………… 26
8.2.3 流程和内容控制要求………………………………………………………………………… 27
8.2.4 文档控制要求………………………………………………………………………………… 34
8.3 审查要求…………………………………………………………………………………………… 34
附录A(资料性) LOPA 记录表与报告示例…………………………………………………………… 35
附录B(资料性) LOPA 工作质量控制审查样表……………………………………………………… 37
附录C(资料性) SIL定级分析记录表与报告示例…………………………………………………… 46
附录D(资料性) SIL定级质量控制审查样表………………………………………………………… 48
附录E(资料性) SIL验证工作表与报告示例………………………………………………………… 50
附录F(资料性) SIL验证质量控制审查样表………………………………………………………… 52
参考文献…………………………………………………………………………………………………… 58
图1 LOPA工作、SIL定级和SIL验证的关系………………………………………………………… 7
图2 LOPA工作流程图………………………………………………………………………………… 12
图3 保护层模型………………………………………………………………………………………… 17
图4 SIL验证基本工作流程…………………………………………………………………………… 28
图A.1 LOPA工作报告示例…………………………………………………………………………… 36
图C.1 SIL定级报告示例……………………………………………………………………………… 47
图E.1 SIL验证报告示例……………………………………………………………………………… 51
表1 初始事件分类……………………………………………………………………………………… 15
表2 初始事件典型频率值……………………………………………………………………………… 15
表3 典型的保护层……………………………………………………………………………………… 17
表4 独立保护层的确定………………………………………………………………………………… 19
表5 低要求运行模式下的SIL要求(GB/T21109.1—2022中表4) ………………………………… 23
表6 连续运行模式或高要求运行模式下的SIL要求(GB/T21109.1—2022中表5) ……………… 24
Ⅱ
GB/T45111—2024
表7 不同SIL对应的最小HFT要求………………………………………………………………… 30
表8 A 类安全相关组件或子系统执行安全功能时的最大允许SIL ………………………………… 30
表9 B类安全相关组件或子系统执行安全功能时的最大允许SIL ………………………………… 31
表10 验证计算使用参数及其范围……………………………………………………………………… 32
表A.1 LOPA 记录表示例……………………………………………………………………………… 35
表B.1 LOPA 工作质量控制审查样表………………………………………………………………… 37
表C.1 SIL定级分析记录表示例……………………………………………………………………… 46
表D.1 SIL定级质量控制审查样表…………………………………………………………………… 48
表E.1 SIL验证工作表示例…………………………………………………………………………… 50
表F.1 SIL验证质量控制审查样表……………………………………………………………………… 52
Ⅲ
GB/T45111—2024

前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请 注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国机械工业联合会提出。
本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本文件起草单位:机械工业仪器仪表综合技术经济研究所、中国石油集团安全环保技术研究院有限
公司、国能(连江)港电有限公司、上海燃气工程设计研究有限公司、中国电力工程顾问集团华北电力设
计院有限公司、梅思安(中国)安全设备有限公司、中控技术股份有限公司、辽宁美卓伦检测技术有限公
司、上海歌略软件科技有限公司。
本文件主要起草人:刘瑶、帅冰、徐德腾、史学玲、黄步余、董秀娟、朱明露、魏振强、唐彬、吕峰、
陈小华、范咏峰、施隋靖、俞文光、朱旭营、李秋娟、李旺、王巨洪、孙勇、孙永康、严晓生、孙舒、周卫、
张作本、谢亚莲、于世恒、马铁量、李玉明、马云鹂、钱福群、杨敏文、张雪、王晓鹏、曹欣宜、周力、聂中文、
马欣欣、赵焱、孙文勇、史威、刁宇、姜志成、吕智嘉、熊文泽、雷柏伟、朱杰、赵俊丹、杜康、魏娟、相桂生、
靳江红、姜念琛、孙炜、孟邹清、杨柳、朱弘毅、陈祖志、闫炳均、任军民、陈军松、张益南、刘东、李志勇、
杨绍军。
Ⅴ
GB/T45111—2024
引 言
随着GB/T20438(所有部分)和GB/T21109(所有部分)的广泛应用,功能安全概念得到有效普
及。在石油、天然气、化工、电力等行业,功能安全研究的是如何确保包括安全仪表系统(SIS)在内的保
护层实现足够的风险管控能力。SIS执行安全仪表功能(SIF)的可信性用安全完整性表示,其安全完整
性能力用安全完整性等级(SIL)表征。
本文件中提到的危险与风险分析,其目的是全面识别系统中潜在的危险及操作性问题,一般为定性
分析,在基本工艺流程设计完成后即可开展。常见的分析方法有:危险与可操作性分析(HAZOP)、故
障树分析(FTA)、检查表、失效模式和影响分析(FMEA)。
在工程实践中,对于危险与风险分析中识别出的高风险点和重要控制点一般需开展进一步的半定
量分析,以确认设置有足够的保护层,保护层分析(LOPA)即为常用的半定量风险分析方法,在LOPA
工作过程中,将针对风险场景识别已设置或应设置的保护层分配降险能力,若涉及SIF,则需为SIF确
定相应的SIL要求,此过程即为SIL定级。
SIL验证的目的是通过定量计算及必要时的定性分析,从硬件安全完整性和系统性安全完整性两
方面确认SIF配置满足SIL定级提出的SIL要求,常见的SIL验证方法有:可靠性框图法、故障树法、
马尔可夫法等。一般在完成SIS设计后开展SIL验证,以确保SIS配置满足安全要求。
在操作和维护阶段需要通过定期的功能安全评估(包括危险与风险分析、SIL定级、SIL验证等)确
认SIS执行的SIF可维持相应的SIL能力。
通过本文件的制定,为各行业开展LOPA 工作、SIL定级和验证工作提供审查依据,指导企业对
LOPA 工作、SIL定级和验证过程实现质量控制,提升运行风险管控水平。
Ⅵ
GB/T45111—2024
保护层分析(LOPA)、安全完整性
等级(SIL)定级和验证质量控制导则
1 范围
本文件明确了保护层分析(LOPA)与安全完整性等级(SIL)定级、SIL 验证间的关系,规定了
LOPA 工作、SIL定级和SIL验证的质量控制要素、质量控制要求和质量控制审查要求。
注:本文件中SIL定级特指使用LOPA方法开展的SIL定级工作。
本文件适用于LOPA、SIL定级和验证的质量控制。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T20438(所有部分) 电气/电子/可编程电子安全相关系统的功能安全
GB/T20438.1—2017 电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求
GB/T20438.2—2017 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电
子/可编程电子安全相关系统的要求
GB/T21109(所有部分) 过程工业领域安全仪表系统的功能安全
GB/T21109.1—2022 过程工业领域安全仪表系统的功能安全 第1部分:框架、定义、系统、硬
件和应用编程要求
GB/T32857—2016 保护层分析(LOPA)应用指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
场景 scenario
可能导致不期望后果的一种事件或事件序列。
[来源:GB/T32857—2016,3.1.9]
3.2
初始事件 initialevent
使事故序列开始扩展所需的失效或错误的最小组合。
注:一般由一个单独的初始原因、多个原因或有使能条件的初始原因组成。有些情况下初始事件也可能是由同一
时间发生的两种不同初始原因构成的。
3.3
中间事件 intermediateevent
初始事件发展成后果之前的关键事件。
注:通常是一个能被检测到的事件,如某压力容器压力高、某储罐液位高。需要指出的是,特殊场景可能由初始事
件直接发展成为不良后果,不存在中间事件。
1
GB/T45111—2024
3.4
后果 consequence
事件潜在影响的度量。
注:一个事件可能有一个或多个后果。
3.5
保护层 protectionlayer
用来防止不期望事件的发生或降低不期望事件后果严重性从而降低过程风险的设备、设施或方案。
[来源:GB/T32857—2016,3.1.3]
3.6
独立保护层 independentprotectionlayer;IPL
一种设备、系统或行动,有效地防止场景向不期望的后果发展,它与场景的初始事件或其他保护层
的行动无关。独立性表示保护层的执行能力不会受到初始事件或其他保护层失效的影响。
注:独立保护层的有效性和独立性可以被审查。
[来源:GB/T32857—2016,3.1.7,有修改]
3.7
保护层分析 layerofprotectionanalysis;LOPA
对降低不期望事件频率或后果严重性的独立保护层的有效性进行评估的一种过程方法或系统。
[来源:GB/T32857—2016,3.1.1]
3.8
要求时危险失效概率 probabilityofdangerousfailureondemand;PFD
当受保护设备或受保护设备控制系统发出要求时,执行规定安全功能的独立保护层的安全不可
用性。
[来源:GB/T32857—2016,3.1.10]
3.9
风险评估 riskassessment
对不期望事件发生的可能性及其后果进行定性或定量分析,将分析结果与可容忍风险标准进行对
比,并进行风险管理决策的过程。
3.10
安全仪表功能 safetyinstrumentedfunction;SIF
由安全仪表系统(SIS)实现的安全功能。
注:SIF设计用来达到一个要求的SIL,SIL由其他参与降低相同风险的保护层决定。
[来源:GB/T21109.1—2022,3.2.66]
3.11
使能事件或使能条件 enablingeventorcondition
不直接导致场景后果发生的事件或条件,但是对于场景的后果发生,这些事件或条件是必不可
少的。
3.12
安全仪表系统 safetyinstrumentedsystem;SIS
用来实现一个或多个SIF的仪表系统。
注1:SIS由任意组合的传感器、逻辑解算器及最终元件组成。它也包括通信和辅助设备(如电缆、管道、电源、取压
管、伴热)。
注2:SIS可以包括软件。
注3:SIS可以包括人为动作作为SIF的一部分。
[来源:GB/T21109.1—2022,3.2.67]
2
GB/T45111—2024
3.13
防护措施 safeguard
可能中断初始事件后的事件链或减轻后果的任何设备、系统或行动。
3.14
原始风险 initialrisk
不考虑任何安全措施作用下的事故剧情的风险。
3.15
残余风险 residualrisk
采取防护措施以后仍存在的风险。
[来源:GB/T20438.4—2017,3.1.8]
3.16
可容忍风险 tolerablerisk
根据当前社会发展水平,在给定的范围内能够接受的风险。
[来源:GB/T20438.4—2017,3.1.7]
3.17
共因失效 commoncausefailure;CCF
在多通道系统中由一个或多个事件导致的引起两个或多个独立通道同时失效,从而导致系统失效
的一种失效。
[来源:GB/T32857—2016,3.1.14]
3.18
安全完整性 safetyintegrity
在规定的时间段内和规定的条件下,安全相关系统成功执行规定的安全功能的概率。
[来源:GB/T20438.4—2017,3.5.4]
3.19
安全完整性等级 safetyintegritylevel;SIL
一种离散的等级(四个可能等级之一),对应安全完整性量值的范围。
注:安全完整性等级4是最高的,安全完整性等级1是最低的。
[来源:GB/T20438.4—2017,3.5.8,有修改]
3.20
(SIF的)运行模式 modeofoperation(ofaSIF)
SIF的运行方式,低要求模式、高要求模式或连续模式。
a) 低要求模式:在这种运行模式下,SIF只有在要求时才动作,以将过程导入一个特定的安全状
态,并且要求的频率不大于一年一次。
b) 高要求模式:在这种运行模式下,SIF只有在要求时才动作,以将过程导入一个特定的安全状
态,并且要求的频率大于一年一次。
c) 连续模式:在这种运行模式下,SIF作为正常运行的一部分保持过程处于一种安全状态。
[来源:GB/T21109.1—2022,3.2.39]
3.21
条件修正因子 conditionalmodifiers
在场景风险计算时使用的可能性概率之一,通常在表现为影响后果(例如:人员伤亡、点火概率、致
3
GB/T45111—2024
死率)而不是主要损失事件后果(例如:泄漏、容器破裂)时使用。
3.22
系统性安全完整性 systematicsafetyintegrity
安全相关系统安全完整性中,与危险失效模式下的系统性失效有关的部分。
注:系统性安全完整性通常不能量化(与通常可量化的硬件安全完整性明显不同)。
[来源:GB/T20438.4—2017,3.5.6]
3.23
硬件安全完整性 hardwaresafetyintegrity
安全相关系统安全完整性中,与危险失效模式下的随机硬件失效有关的部分。
注:本术语涉及在危险模式下的失效,即,将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个
参数是危险失效平均频率和在要求时动作失效的概率。当为保持安全而必须保持连续控制时,使用前一可靠
性参数;在安全相关保护系统场合中使用后一可靠性参数。
[来源:GB/T20438.4—2017,3.5.7]
3.24
故障裕度 faulttolerance
在出现故障或错误的情况下,功能单元继续执行一个要求功能的能力。
[来源:GB/T20438.4—2017,3.6.3]
3.25
随机硬件失效 randomhardwarefailure
在硬件中,由一种或几种可能的退化机理而产生的,在随机时间出现的失效。
注1:在各种元件中,存在以不同速率发生的许多退化机理,在这些元件工作不同的时间之后,这些机理可使制造公
差引起元件发生故障,从而使包含许多元件的设备将以可预见的速率,但在不可预见的时间(即随机时间)发
生失效。
注2:随机硬件失效和系统性失效的主要区别是由随机硬件失效导致的系统失效率(或其他合适的度量)可以用合
理的精度来量化,但系统性失效无法精确预计,因此系统性失效引起的系统失效率则不能精确地用统计法量
化。也就是说,由随机硬件失效引起的系统失效率可以用合理的精度来量化,但是由系统性失效引起的系统
失效率不能精确地用统计法量化,因为导致系统性失效的这些事件无法简单预测。
[来源:GB/T20438.4—2017,3.6.5]
3.26
系统性失效 systematicfailure
原因确定的失效,只有对设计或制造过程、操作规程、文档或其他相关因素进行修改后,才有可能消
除这种失效。
注1:仅修正性维护而不加修改,通常无法消除失效原因。
注2:通过模拟失效原因可以引出系统失效。
注3:系统性失效的原因可包括以下情况中的人为错误:
———安全要求规格书(SRS):
———硬件的设计、制造、安装、运行;
———软件的设计和实现等。
注4:在本文件中,安全相关系统的失效被分为随机硬件失效和系统性失效。
[来源:GB/T20438.4—2017,3.6.6]
3.27
安全失效分数 safefailurefraction;SFF
安全相关组件的属性,定义为平均安全失效率加上检测出的平均危险失效率,与平均安全失效率加
上平均危险失效率之比。公式如下:
4
GB/T45111—2024
SFF=(ΣλSavg+ΣλDDavg)/(ΣλSavg+ΣλDDavg+ΣλDUavg)
如失效率是基于一个常数失效率,则公式简化为:
SFF=(ΣλS+ΣλDD)/(ΣλS+ΣλDD+ΣλDU)
[来源:GB/T20438.4—2017,3.6.15]
3.28
平均恢复时间 meantimetorestoration;MTTR
达到恢复的预期时间。
注:MTTR包括:
———检测失效的时间(a);和
———开始维修前已过去的时间(b);和
———维修的有效时间(c);和
———元件恢复运行前的时间(d)。
(b)的开始时间是(a)的结束时间,(c)的开始时间是(b)的结束时间,(d)的开始时间是(c)的结束时间。
[来源:GB/T20438.4—2017,3.6.21]
3.29
诊断覆盖率 diagnosticcoverage;DC
通过自动在线诊断测试检测到的危险失效分数。危险失效分数是由检测到的危险失效率除以总危
险失效率计算出的。
注1:危险失效诊断覆盖率是由下式计算的,式中DC表示诊断覆盖率,λDD表示检测到的危险失效率,λDtotal表示总
的危险失效率。
DC= ΣλDD/ΣλDtotal
注2:该定义仅在单个元件失效率为常数时适用。
[来源:GB/T20438.4—2017,3.8.6]
3.30
复合场景 multiscenario
可能导致同一不期望后果的多个事件或事件序列,此多个事件为互相独立不相关事件。
3.31
风险点 riskpoint
伴随风险的设备、设施或位置以及在特定设备、设施或位置出现的危险场景的集合。
注:如反应釜压力高为典型的风险点名称。
3.32
安全关键动作 safetycriticalactions
SIF中将过程导入安全状态的直接动作,不包括出于维护或装置再启动等相关安全或便捷考虑的
执行动作。
3.33
误停车率 spurioustriprate;STR
未检测到的误停车失效率之和。一种用来衡量安全功能导致误停车的性能参数。
3.34
全可变语言 fullvariabilitylanguage;FVL
计算机编程者易于理解,并能提供实现各种各样功能和应用的能力的一种语言。
注1:使用FVL的系统的典型例子是通用型计算机。
注2:在过程领域,嵌入式软件可能使用FVL,而应用程序编程则很少使用FVL。
注3:FVL的例子包括:Ada、C、Pascal、指令表、汇编程序语言、C++、Java和数据库语言(SQL)。
5
GB/T45111—2024
3.35
有限可变语言 limitedvariabilitylanguage;LVL
用于商业或工业可编程电子控制器的编程语言,其能力仅限于在相关安全手册中定义的应用。这
种语言的记法可能是文本或图形或二者皆有。
注1:这种语言用户容易理解,并能提供组合预定义的、应用专用的库函数的能力以实现SRS。LVL能提供一种与
应用所要求的功能几乎一致的功能。
注2:GB/T21109(所有部分)认为实现安全属性必要的约束需综合以下情况:安全手册,应用编程人员定义过程控
制算法所需要的功能与语言的契合度,逻辑解算器提供的嵌入到逻辑解算系统程序和逻辑解算器开发环境中
的编译和运行时检查,在认证报告和安全手册定义的这些约束需确保满足GB/T20438.3—2017中的相关
要求。
注3:GB/T21109(所有部分)里提到应用程序时,LVL是最普遍使用的语言。
4 缩略语
下列缩略语适用于本文件。
BPCS:基本过程控制系统(BasicProcessControlSystem)
DC:诊断覆盖率(DiagnosticCoverage)
EUC:受控设备(EquipmentUnderControl)
FMEA:失效模式和影响分析(FailureModesandEffectsAnalysis)
HAZOP:危险与可操作性分析(HazardandOperabilityStudy)
HFT:硬件故障裕度(HardwareFaultTolerance)
I/O:输入/输出(Input/Output)
IPL:独立保护层(IndependentProtectionLayer)
LOPA:保护层分析(LayerofProtectionAnalysis)
MTTR:平均恢复时间(MeanTimeToRestoration)
MRT:平均维修时间(MeanRepairTime)
P&ID:管道和仪表流程图(PipingandInstrumentationDiagram)
PFD:要求时危险失效概率(ProbabilityofDangerousFailureonDemand)
PFDavg:要求时危险失效平均概率(AverageProbabilityofDangerousFailureonDemand)
PFH:每小时危险失效平均频率(Averagefrequencyofadangerousfailureperhour)
PTC:检验测试覆盖率(ProofTestCoverage)
RRF:风险降低因子(RiskReductionFactor)
SIF:安全仪表功能(SafetyInstrumentedFunction)
SIL:安全完整性等级(SafetyIntegrityLevel)
SIS:安全仪表系统(SafetyInstrumentedSystem)
SRS:安全要求规格书(SafetyRequirementSpecification)
STR:误停车率(SpuriousTripRate)
TI:检验测试间隔(TestInterval)
5 质量控制节点
5.1 总体原则
在生命周期各阶段开展的LOPA 工作、SIL定级和SIL验证如图1所示,即根据危险与风险分析
6
GB/T45111—2024
(如HAZOP)报告识别出需关注的高风险点,同时依据工艺要求、设计说明及相关人员经验识别重要控
制点。
注:图中虚框所含内容不在本文件范围之内。
图1 LOPA 工作、SIL定级和SIL验证的关系
5.2 质量控制节点划分
5.2.1 LOPA 工作质量控制节点
5.2.1.1 控制节点划分
LOPA 工作的质量控制贯穿于整个安全生命周期,在以下阶段执行LOPA 工作应开展质量控制:
———阶段1:初步设计(方案设计)阶段;
———阶段2:详细设计(施工图)阶段,保护层设计之前;
———阶段3:运行阶段;
———阶段4:停用和退役阶段。
7
GB/T45111—2024
5.2.1.2 初步设计(方案设计)阶段
在已执行危险与风险分析(如HAZOP)之后,制定SRS之前,应针对原始风险为高风险的场景,通
过LOPA 工作确定保护层设置和各SIF的安全要求。
5.2.1.3 详细设计(施工图)阶段
在完成详细设计(施工图)后应开展复审,确认已按照LOPA 结果设计各保护层,其中对于SIF应
制定SRS,并按照SRS设计完成SIS,确认风险已在可接受范围内。
5.2.1.4 运行阶段
5.2.1.4.1 在取得运行经验后,在已执行周期性危险与风险分析(如HAZOP)之后,应开展LOPA 工作
复审。
5.2.1.4.2 当LOPA 输入信息发生变更后,应重新开展LOPA 工作。
注:LOPA输入信息发生变更的情况包括但不限于:设计变更、现场改造、装置操作和维护模式发生变化、装置所处
周边环境发生可能影响危险事件后果的变化。
5.2.1.5 停用和退役阶段
当设备设施停用和退役可能对在役系统带来风险,应对在役系统进行LOPA 工作。
5.2.2 SIL定级质量控制节点
SIL定级质量控制节点划分参照5.2.1执行。
5.2.3 SIL验证质量控制节点
5.2.3.1 控制节点划分
在以下阶段应执行SIL验证的质量控制:
———阶段1:设计阶段完成SIF设备选型后;
———阶段2:运行阶段SIF设备变更设计选型后;
———阶段3:运行阶段SIF相关维检修策略发生变化后;
———阶段4:运行阶段获得现场失效数据后。
5.2.3.2 设计阶段完成SIF设备选型后
5.2.3.2.1 在工艺装置设计阶段完成设备选型后应开展SIL验证,并根据SIL验证结果调整选型,确保
SIF配置满足SRS的要求。
注:此阶段SRS已发布,SIF所使用的设备已完成选型,开展SIL验证便于SIL验证建议的有效落实。
5.2.3.2.2 施工安装时应确认SIF的结构配置与SRS保持一致,投运后的维检修策略应按照SIL验证
采纳的相关参数方案开展,满足相关假设,否则本阶段的SIL验证结果将不适用。
5.2.3.3 运行阶段SIF设备变更设计选型后
SIF设备一旦发生变更,例如:配置/表决变化、设备更换型号,在选型后应开展SIL验证,确认选型
的设备满足SRS。
5.2.3.4 运行阶段SIF相关维检修策略发生变化后
一旦维检修策略发生变化,如检修时间间隔变化、检修方案或MTTR 变化,SIF 将与SRS不一
8
GB/T45111—2024
致,前阶段的SIL验证结果不再适用,应根据新的维检修策略重新开展SIL验证。
5.2.3.5 运行阶段获得现场失效数据后
运行阶段针对SIF设备应建立失效数据收集体系,定期对选型配置时SIL验证计算使用的失效率
进行校正,并重新开展SIL验证。
6 LOPA 工作的质量控制
6.1 控制要素
6.1.1 人员
LOPA 工作应采取讨论会的形式,对识别出的风险点和场景展开讨论,确定保护层有效性。控制
要素包括:LOPA 工作小组人员构成、对分析主席的要求、对分析成员的要求,按照6.2.1进行质量
控制。
6.1.2 资料
LOPA工作应基于输入资料,包括P&ID、工艺说明、设计说明、操作手册、法规、标准等,按照6.2.2
进行质量控制。
6.1.3 流程和内容
LOPA 工作流程和内容按照6.2.3进行质量控制。
6.1.4 文档
LOPA 文档包括分析报告、分析记录表等,按照6.2.4进行质量控制。
6.2 控制要求
6.2.1 人员控制要求
6.2.1.1 人员构成
LOPA 小组宜由分析主席、分析秘书和分析成员组成。分析主席和秘书应来自分析单位,分析成
员宜来自运行单位、分析单位、设计方,必要时还包括承包商。小组成员宜为6人~9人,其中运行单位
和设计方宜4人~6人,分析单位宜2人~3人。
注1:LOPA分析主席的主要职责包括:
———确认输入资料是否齐全、准确;
———确定工作范围、识别风险点、确定可容忍风险标准,并与小组成员达成一致;
———编制LOPA工作计划,组织主持LOPA会议,激发小组成员展开讨论,控制讨论内容和进程,保证会议顺
利召开;
———总结讨论中心议题,概括分析结果,确保分析结果达成一致,检查记录表确保讨论内容得到准确记录,并
确定已落实审查意见的责任方;
———审核并提交LOPA报告。
注2:LOPA分析成员的主要职责是在LOPA分析主席的引导下积极开展分析和讨论,利用自己的知识和经验响
应每个步骤的分析内容和要求。
LOPA 分析成员应满足以下要求:
———设计方根据分析需求派出工艺、仪表专业人员,必要时还需派出电气、消防、总图等专业人
9
GB/T45111—2024
员,专业经验不少于3年;
———承包商应派出与项目有关的专业人员;
———运行单位根据分析需求派出工艺、仪表、设备、安全、运行/操作专业人员,必要时还需派出电
气、通信、管理等专业人员,专业经验不少于3年。
6.2.1.2 独立等级
LOPA 分析主席应是独立的,独立等级应按照GB/T20438.1—2017中8.2执行。项目设计的人员
或项目组其他相关人员配合评估组参与评估活动。
注:分析对象的危险事件后果可能致人员伤亡的需由独立部门执行,后果可能致多人伤亡的需由独立第三方执行。
6.2.1.3 人员能力
6.2.1.3.1 LOPA 分析主席能力
LOPA 分析主席能力应满足下列要求:
———LOPA 分析主席具有LOPA 工作主持经验,掌握LOPA 工作方法,熟悉工艺流程,了解操作
规程,对GB/T20438(所有部分)、GB/T21109(所有部分)、GB/T32857—2016有较为深入的
研究,接受过行业权威机构LOPA 工作/SIL定级培训,取得培训合格证书;
———LOPA 分析主席具有行业认可的功能安全资质,且具有不少于10项LOPA 工作项目经验。
注:行业认可的功能安全资质,如国际/国内权威机构。
6.2.1.3.2 LOPA 分析成员能力
LOPA 分析成员能力应满足下列要求:
———LOPA 分析成员了解GB/T20438(所有部分)、GB/T21109(所有部分)、GB/T32857—
2016,并经过培训;
———LOPA 分析成员具备所分析对象相同或相似领域的经验及相关法律法规知识,以确保评估结
果合理可信;
———LOPA 分析单位参与项目的高级资质人员不少于2名。
注:高级资质人员指具备功能安全技术能力的高级职称人员;或取得行业权威机构功能安全资质证书的人员,且其
所在分析单位具备相关资质的专职分析人员不少于5位,并具有质量体系认证。
6.2.2 资料控制要求
LOPA 工作输入资料宜包括:
———危险与风险分析报告(如HAZOP报告);
———工艺流程图(PFD)、P&ID;
———设计/工艺说明;
———安全联锁功能列表或功能说明;
———安全联锁逻辑因果图;
———管道及材料数据表(承压等级等相关参数);
———设备数据表(压缩机、冷凝器、蒸发器、贮液器、低压循环桶、安全阀等,包括设计参数)。
注:LOPA工作可能需要的其他输入资料还包括:
———设备标高数据;
———主要容器、塔及反应器的设备结构图;
———设备布置图;
———操作规程;
10
GB/T45111—2024
———维检修规程;
———排空放净系统设计原则;
———爆炸危险区域划分图;
———装置区所处区域的气象水文材料;
———设备价值台账;
———周边居民区(人口密度)/水源地分布;
———以前的事故清单、设备故障记录(提供审阅后收回);
———边界条件表;
———设备、仪器仪表台帐(厂家、型号、投用时间、测量范围,若经过认证,则需提供认证证书和功能安全评
估报告);
———装置变更记录;
———界区外原料储罐设计和操作压力、温度,安全阀定压值和储罐的尺寸,以及输送原料设备的设计数据,如果
是离心泵提供泵的特性曲线,如果是压缩机提供压缩机出口安全阀定压值,产品出装置后储罐的设计和操
作压力、温度以及安全阀定压值;
———项目前的危险分析或安全评阅结果(如果有)。
6.2.3 流程和内容控制要求
6.2.3.1 LOPA 工作流程
LOPA 工作流程见图2,主要包括:
a) 风险点识别;
b) 场景识别与筛选;
c) 后果及严重性评估;
d) 初始事件描述及频率确认、使能条件确认;
e) 条件修正因子确认;
f) 独立保护层识别及PFD的确认;
g) 场景导致预期后果的频率计算;
h) 风险评估与建议。
11
GB/T45111—2024
注:图中虚框所含内容不在本文件范围之内。
图2 LOPA 工作流程图
6.2.3.2 分析范围和工作目的
分析范围的描述应保证:
———分析对象的边界已被明确定义;
———分析团队任务明确,分析内容界定在与目标有关的范畴。
分析范围可由以下因素决定:
———危险与风险分析报告(如HAZOP报告);
———当前分析对象已设置的安全联锁功能;
———可获得的设计说明书及图纸的详细程度;
———其他适用于当前分析对象的标准、法规要求。
6.2.3.3 可容忍风险标准确定
分析使用的可容忍风险标准应不低于国家相关法规文件或标准。企业应制定适用的可容忍风险标
准。对于个人风险的可容忍标准可参照GB36894制定。
注:可容忍风险一般是指能够被监管部门所接受,且与本地区、本行业社会经济发展水平相适应,并被企业所接受
的风险。可容忍风险根据后果种类分别定义,典型的后果种类包括:人员伤亡、财产损失、环境污染、声誉影
响等。
12
GB/T45111—2024
6.2.3.4 风险点识别
对于复杂工艺装置开展LOPA,宜在场景识别前增加风险点及重要控制点识别,即根据危险与风险
分析(如HAZOP)报告识别出需关注的高风险点,同时依据P&ID、工艺说明及设计人员经验识别重要
控制点。
6.2.3.5 后果及严重性评估
6.2.3.5.1 后果的分析应符合以下要求:
a) 后果分析覆盖可容忍风险标准中的所有后果分类;
b) 分析至最终后果,并描述所有后果分类(如人员伤亡、经济损失、环境影响等)的严重性情况;
注1:例如,若后果仅描述为“安全阀动作”或“压缩机停机”等,均不是最终后果,不符合本文件要求。
c) 后果分析为假设任何已有的安全措施都失效时导致的最终不利的可信后果。
注2:可信后果指基于现场实际情况和科学的推导方法确定的最终不利后果。
6.2.3.5.2 后果的记录要求如下:
a) 后果的记录应包括对所有后果分类(如人员伤亡、经济损失、环境影响等)影响的详细描述;
b) 不宜将中间事件当后果,记录最终后果。
6.2.3.5.3 后果严重度评估可采用以下安全分析作为依据:
a) 安评报告;
b) 以往事故借鉴;
c) 同类事故借鉴;
d) 定量风险评价(QRA)、后果模拟等定量方法分析;
e) 工艺实际情况(如:是否属于“两重点一重大”范围);
f) 地区水文环境等。
6.2.3.5.4 对于精细化工反应热相关的LOPA 工作,后果严重度评估时,应结合精细化工反应热风险评
估结论和现场工况给出评估说明。
6.2.3.6 当前风险点后果发生的可接受频率确定
应基于企业的可容忍风险标准,根据各后果分类的严重性描述确定当前风险点各后果分类的可接
受频率。
6.2.3.7 场景识别和筛选
6.2.3.7.1 场景识别应满足以下基本要求。
a) 每个场景至少包括:
• 导致场景发生的初始事件;
• 该事件继续发展过程中的中间事件;
• 该场景所导致的最终后果。
b) 每个场景有唯一的初始事件及其对应后果。
c) 除了初始事件和后果外,一个场景还可能包括:
• 使能事件或使能条件;
• 防护措施失效。
d) 如果使用人员死亡、商业或环境损害作为后果,则场景还可能包括下列部分或全部因素,或条
件修正因子:
• 可燃物质被引燃的可能性;
13
GB/T45111—2024
• 人员出现在事件影响区域的概率;
• 火灾、爆炸或有毒物质释放的暴露致死率(在场人员逃离的可能性);
• 其他可能的修正因子。
6.2.3.7.2 场景识别信息主要来源于工艺装置危险与风险分析(如HAZOP)所识别的原因与后果组成
的场景。场景识别信息还可能来源于:
a) 生产运行问题,包括意外行为或正常范围之外的操作条件等;
b) 变更;
c) 事故事件;
d) SIF审查。
6.2.3.7.3 场景筛选方法至少包括以下步骤:
a) 确认待分析风险点;
b) 从危险与风险分析(如HAZOP)记录中识别当前分析风险点对应的偏差、偏差原因、偏差后
果,组成待分析场景;
c) 在LOPA 工作会议中确认所有已筛选的场景是否适用,并补充未覆盖的场景;
d) 在SIL 定级时宜使用复合场景计算法开展LOPA,在场景筛选过程中应确保场景识别完
全,且不同场景为独立不相关事件。
6.2.3.8 初始事件及其防护措施确认
6.2.3.8.1 在确定初始事件时,应按照以下要求。
a) 审查场景中所有的原因,以确定该初始事件为有效初始事件。
b) 确认已辨识出所有的潜在初始事件,并确保无遗漏。
c) 将每个原因细分为独立的初始事件,以便于识别保护层。
d) 在识别潜在初始事件时,确保已经识别和审查所有的操作模式(如正常运行、启动、停机、低负
荷运行等)和设备状态(如待机、维护)下的初始事件。
e) 当人因失效作为初始事件时,制定人员失误频率评估的统一规则并在分析时严格执行。
f) 初始事件主要包括但不限于以下几个方面:
• 设备设施、仪表等故障;
• 操作失误;
• 外部影响;
• 公用工程失效;
• 运行条件变更。
g) 以下事件不宜作为初始事件:
• 操作人员培训不完善;
• 测试或检查不完善;
• 保护装置不可用;
• 其他类似事件。
6.2.3.8.2 初始事件可参考表1的类型进行分类。初始事件典型频率值见表2。
14
GB/T45111—2024
表1 初始事件分类
类别外部事件设备故障人因失效
分类
a) 地震、海啸、龙卷风、飓风、洪水、泥
石流和滑坡等自然灾害;
b) 空难;
c) 临近工厂的重大事故;
d) 破坏或恐怖活动;
e) 雷击和外部火灾;
f) 其他外部事件
a) 控制系统失效:
1) 硬件失效,
2) 软件失效;
b) 仪表设备故障;
c) 通讯设备故障;
d) 电气设备故障;
e) 机械设备故障;
f) 辅助系统故障;
g) 其他故障
a) 对给出的条件或其他提示未能
正确观察或响应;
b) 未能按操作规程进行操作;
c) 未能按维护规程进行操作;
d) 未按管理规定作业;
e) 其他行为失误
表2 初始事件典型频率值
初始事件频率范围(次/年)
压力容器疲劳失效10-5~10-7
管道疲劳失效-100m-全部断裂10-5~10-6
管线泄漏(10%截面积)-100m 10-3~10-4
常压储罐失效10-3~10-5
垫片/填料爆裂10-2~10-6
涡轮/柴油发动机超速,外套破裂10-3~10-4
第三方破坏(挖掘机、车辆等外部影响) 10-2~10-4
起重机载荷掉落10-3~10-4
雷击10-3~10-4
安全阀误开启10-2~10-4
冷却水失效1~10-2
泵密封失效10-1~10-2
卸载/装载软管失效1~10-2
BPCS仪表控制回路失效1~10-2
调节器失效1~10-1
小的外部火灾(多因素) 10-1~10-2
大的外部火灾(多因素) 10-2~10-3
锁定、标定(LOTO)程序失效(多个元件的总失效) 10-3~10-4
操作员失效(执行常规程序,假设得到较好的培训、不紧张、不疲劳) 10-1~10-3
6.2.3.8.3 按照6.2.3.8.1的要求,根据危险与风险分析(如HAZOP)报告及现场人员经验确定各风险
点的场景以及对应的初始事件,应结合行业经验及现场实际确定初始事件发生频率,频率确定方式
包括:
a) 对于现场或企业内发生过的初始事件,应结合实际情况确定发生频率;
b) 对于建立有事件发生频率数据库的企业,可结合数据库数据和现场实际确定发生频率;
15
GB/T45111—2024
c) 已被行业认可的第三方数据库。
注:在分析记录表或报告中需标明初始事件发生频率的确定依据。
6.2.3.8.4 应根据危险与风险分析(如HAZOP)报告识别出的已有保护措施及现场实际情况确认每项
初始事件对应的防护措施,各防护措施应与初始事件相互独立。
注:如某仪表失效,其承担的报警功能不能作为有风险降低能力的防护措施。
6.2.3.9 使能条件确认
使能条件包括以下情况:
———事件序列只有当装置处在某个特定操作场景下时才会发生,以独立于其他事故序列为前提对
此事故剧情进行分析是必要且有意义的;
———这种后果只有当装置在使用某种特殊原料、催化剂或加工某个特定的配方时才会发生,以独立
于其他事故序列为前提对此事故剧情进行分析是必要且有意义的;
———事件序列能够发生的前提是,初始事件在某个特定的工况(例如环境温度较低或较高)下发生。
注:使能条件会影响LOPA工作的结果,如无足够的文件支撑,不建议使用使能条件。
6.2.3.10 条件修正因子确定
6.2.3.10.1 计算后果频率时,在评估人员具有相关经验及数据支持下可使用条件修正。条件修正因子
一般包括:
a) 可燃物质点火概率;
b) 人员出现在事件影响区域的概率;
c) 人员致死率(如人员暴露在火灾、爆炸或有毒物质释放影响区内的致死率);
d) 其他可能的条件修正因子。
6.2.3.10.2 分析对象存在可燃介质时,点火概率取值宜考虑:
a) 介质的组成成分及其燃烧性;
b) 介质泄漏后的最终状态,如液态、气态;
c) 介质泄漏所处环境温度与自燃点的关系;
d) 泄漏形式,是连续还是瞬时释放;
e) 介质所处装置:固定/移动、生产/储存/装卸;
f) 装置区周边点火源情况;
g) 泄漏速率;
h) 现场的安全条件,包括防爆、接地、液体防流散措施、防火安全措施等;
i) 事故历史经验。
6.2.3.10.3 人员出现在事件影响区域的概率取值宜考虑:
a) 人员岗位(包括现场操作、巡检、维检修等);
b) 人员数量;
c) 在后果影响区内的停留时间。
6.2.3.10.4 人员致死率取值宜考虑:
a) 装置发生事故时的伤亡半径;
b) 燃烧事故的热辐射强度;
c) 爆炸事故的冲击波强度。
6.2.3.11 保护层识别
6.2.3.11.1 保护层由一组设备和/或管理措施组成,具有控制或减轻风险的能力。图3为过程工业典
16
GB/T45111—2024
型的保护层模型,揭示了工艺装置运行过程中发生危险事件情况下不同措施实现的保护层的一般启动
顺序,它不表示实际的保护层及其独立性分布。
图3 保护层模型
6.2.3.11.2 在识别保护层时,应对以下内容进行确认。
a) 有效性:按照设计的功能发挥作用,有效地防止后果发生:
1) 能检测到响应的条件;
2) 在有效的时间内,能及时响应;
3) 在可用的时间内,有足够的能力采取所要求的行动。
b) 独立性:独立于初始事件和任何其他已经被认为是同一场景的保护层。
1) 独立于初始事件的发生及其后果;
2) 独立于同一场景中的其他保护层;
3) 考虑共因失效或共模失效的影响。
c) 可审查性:对于阻止后果的有效性和PFD以某种方式(通过记录、审查、测试等)进行验证。通
过审查程序确认如果保护层按照设计发生作用,它将有效地阻止后果。
1) 审查确认保护层的设计、安装、功能测试和维护系统的合适性,以取得保护层特定
的PFD;
2) 通过功能测试确认保护层所有的构成元件(传感器、逻辑解算器、最终元件等)运行良
好,满足LOPA 的使用要求;
3) 审查过程中记录了发现的保护层条件、上次审查以来的任何修改以及跟踪所要求的任何
改进措施的执行情况。
典型的保护层的描述及相关说明见表3。
表3 典型的保护层
保护层描述说明
采用本质安全设计从根本上消除或减少工艺系统存在的危害
企业可根据具体场景需要,确定是否将其
作为IPL
17
GB/T45111—2024
表3 典型的保护层(续)
保护层描述说明
BPCS
基本过程控制系统BPCS是执行持续监测和
控制日常生产过程的控制系统。BPCS中的
控制回路通过响应过程或操作人员的输入
信号,产生输出信息,使过程以期望的方式
运行,该控制回路正常运行时能避免特定危
险事件的发生,该控制回路的故障不会作为
起因引起特定危险事件的发生。一个
BPCS控制回路由传感器、控制器和最终元
件组成
BPCS控制回路作为IPL,可能包括以下两
种形式。
a) 连续控制行动:保持过程参数维持在
规定的正常范围以内,防止初始事件
发生。
b) 逻辑行动:状态控制器(逻辑解算器
或控制继电器)采取自动行动来跟踪
过程,而不是试图使过程返回到正常
操作范围内。行动将导致停车,使过
程处于安全状态
关键报警和人员响应
关键报警和人员响应是操作人员或其他工
作人员对报警响应,或在系统常规检查
后,采取的防止不良后果的行动
通常认为人员响应的可靠性较低,宜慎重
考虑人员行动作为独立保护层的有效性。
关键报警应有充分的人员响应时间
SIS
SIF针对特定危险事件通过检测超限等异常
条件,控制过程进入功能安全状态。一个
SIF 由传感器、逻辑解算器和最终元件组
成,具有一定的SIL
SIF在功能上独立于BPCS
物理保护(释放措施) 提供超压保护,防止容器的灾难性破裂
包括安全阀、爆破片等,其有效性受服役
条件的影响较大
释放后物理保护
(防火堤、抗爆墙)
释放后保护设施是指危险物质释放后,用来
降低事故后果(如大面积泄漏扩散、受保护
设备和建筑物的冲击波破坏、容器或管道火
灾暴露失效、火焰或爆轰波穿过管道系统
等)的保护设施
厂区的应急响应(消防队、人工喷水系统、
工厂撤离等措施)通常不作为独立保护
层,因为它们是在初始释放后被激活,并
且有太多因素影响了它们在减缓场景方
面的整体有效性。当考虑它作为独立保
护层时,应提供足够证据证明其有效性
工厂和周围社区
的应急响应
在初始释放之后被激活,其整体有效性受多
种因素影响
周围社区的应急响应(社区撤离和避难所
等)通常不作为独立保护层,因为它们是
在初始释放之后被激活,并且有太多因素
影响了它们在减缓场景方面的整体有效
性。当考虑它作为独立保护层时,应提供
足够证据证明其有效性
保护层满足表4条件才能作为独立保护层。
18
GB/T45111—2024
表4 独立保护层的确定
保护层描述作为独立保护层的要求
BPCS
BPCS是执行持续监测和控制日常生产
过程的控制系统。BPCS中的控制回路
通过响应过程或操作人员的输入信
号,产生输出信息,使过程以期望的方
式运行,该控制回路正常运行时能避免
特定危险事件的发生,该控制回路的故
障不会作为起因引起特定危险事件的
发生。一个BPCS控制回路由传感器、
逻辑解算器和最终元件组成
如果BPCS控制回路的正常操作满足以下要
求,则可作为独立保护层:
a) BPCS控制回路应与SIS 功能安全回路
SIF在物理上分离,包括传感器、逻辑解算
器和最终元件;
b) 该控制回路正常运行时能避免特定危险
事件的发生;
c) 该控制回路的故障不会作为起因引起特定
危险事件的发生。
BPCS控制回路是一个相对较弱的独立保护
层,内在测试能力有限,防止未授权变更内部
程序逻辑的安全性有限。如果要考虑多个独
立保护层的话,应有更全面的信息来支撑,具
体评估方法按GB/T32857—2016中的A.5
SIS
SIF针对特定危险事件通过检测超限等
异常条件,控制过程进入功能安全状
态。一个SIF由传感器、逻辑解算器和
最终元件组成,具有一定的SIL
SIF在功能上独立于BPCS,是一种独立保护层
SIF的规格、设计、调试、检验、维护和测试都应
按GB/T21109(所有部分)的有关规定执行。
SIF的风险削减性能由其PFD 所确定,每个
SIF的PFD基于传感器、逻辑解算器和最终元
件的数量和类型;以及系统元件定期功能测试
的时间间隔
物理保护
(释放措施) 提供超压保护,防止容器的灾难性破裂
如果这类设备(安全阀、爆破片等)的设计、维
护和尺寸合适,则可作为独立保护层,它们能
够提供较高程度的超压保护。
但是,如果这类设备的设计或者检查和维护工
作质量较差,则这类设备的有效性可能受到服
役时污垢或腐蚀的影响
释放后物理保护
(防火堤、防爆墙)
释放后保护设施是指危险物质释放
后,用来降低事故后果(如大面积泄漏
扩散、受保护设备和建筑物的冲击波破
坏、容器或管道火灾暴露失效、火焰或
爆轰波穿过管道系统等)的保护设施
为独立保护层,这些独立保护层是被动的保护
设备,如果设计和维护正确,这些独立保护层
可提供较高等级的保护
6.2.3.11.3 以下防护措施不宜作为保护层。
a) 培训和取证:在确定操作人员行动的PFD时需要考虑的因素,但不单独作为保护层考虑。
b) 规程:在确定操作人员行动的PFD时需要考虑的因素,但不单独作为保护层考虑。
c) 检测:正常的检测将影响某些保护层的PFD,延长检测周期可能增加保护层的PFD。
d) 维护:维护活动将影响某些保护层的PFD。
e) 通信:作为一种基础假设,假设工厂内具有良好的通信。差的通信将影响某些保护层的PFD。
19
GB/T45111—2024
f) 标识:标识自身不是保护层。标识可能不清晰、模糊、容易被忽略等。标识可能影响某些保护
层的PFD。
6.2.3.12 场景频率计算
6.2.3.12.1 单一场景计算
单一场景后果的频率为初始事件发生频率乘以所有保护层要求时危险失效概率,场景后果的频率
可能需要使用下面两种系数进行修正。
a) 假如场景的发生需要使能事件或使能条件,需要乘以使能事件或使能条件的发生概率。
b) 假如需要计算危险物质释放后的后续后果发生频率,需要乘以条件修正因子,常见的条件修
正因子如下:
• 可燃物质点火概率;
• 人员出现在事件影响区域的概率;
• 火灾、爆炸或有毒物质释放的暴露致死率;
• 其他。
计算见公式(1):
fCn
=fIn
×PEn
×PCn
× ΠJ
j=1PFDnj …………………………(1)
式中:
fCn
———初始事件n 造成后果C的频率,单位为次每年(次/年);
fIn
———初始事件n 的发生频率,单位为次每年(次/年);
PEn
———使能事件或使能条件发生的概率,假如没有使能事件或使能条件,则取1;
PCn
———条件修正因子,假如没有任何条件修正,则取1;
注:存在多个适用的条件修正因子时,PCn
为各条件修正因子的乘积。
PFDnj———初始事件n 中第j 个阻止后果C的独立保护层要求时危险失效概率(PFD);
J ———本场景中使用到的独立保护层数量。
6.2.3.12.2 多个/复合场景计算
低要求模式下复合场景分析法后果频率可通过公式(2)计算:
fC =ΣN
n=1
fIn
×PEn×PCn
× ΠJ
j=1 ( PFDnj ) …………………………(2)
式中:
fC ———当前分析风险点产生后果C的频率,单位为次每年(次/年);
N ———当前分析风险点所含场景的个数;
fIn
———场景n 的初始事件发生频率,单位为次每年(次/年);
PEn
———场景n 的使能事件或使能条件发生的概率,假如没有使能事件或使能条件,则取1;
PCn
———场景n 的初始事件的条件修正因子,假如没有任何条件修正,则取1;
注:存在多个适用的条件修正因子时PCn
为各条件修正因子的乘积。
PFDnj———引发场景n 的初始事件中第j 个独立保护层要求时危险失效概率(PFD);
J ———本场景中使用到的独立保护层数量。
也可对各场景均用到的独立保护层和条件修正因子合并同类项,计算见公式(3):
fC = ΣN
n=1
fIn
×PEn
× ΠJ
j=1PFDnj ( ) [ ]×PCn
× ΠK
k=1PFDk ……………………(3)
式中:
fC ———当前分析风险点产生后果C的频率,单位为次每年(次/年);
20
GB/T45111—2024
fIn
———场景n 的初始事件发生频率,单位为次每年(次/年);
PEn
———场景n 的使能事件或使能条件发生的概率,假如没有使能事件或使能条件,则取1;
PCn
———条件修正因子,假如没有任何条件修正,则取1;
注:存在多个适用的条件修正因子时,PCn
为各条件修正因子的乘积。
PFDnj———引发场景n 的初始事件中第j 个独立保护层要求时危险失效概率(PFD);
J ———场景n 中使用到的与其他场景不同的独立保护层数量;
PFDk ———该风险点各场景均用到的第k 个独立保护层(IPL)或非IPL要求时危险失效概率(PFD);
K ———各场景均用到的独立保护层数量。
6.2.3.13 风险决策
6.2.3.13.1 通过后果严重性评估确定后果等级,得出对应的可容忍风险频率;通过场景频率计算,得出
后果发生频率。
a) 对于单一场景分析法,选择同一风险点不同场景中“采用其他风险降低措施后的后果频率”的
最高值与可容忍风险频率比较,若“采用其他风险降低措施后的后果频率”大于可容忍风险频
率,则需要增加风险降低措施(如SIF、安全阀等),并计算RRF。其计算见公式(4):
RRF=fCn
ft …………………………(4)
式中:
ft ———可容忍风险频率;
fCn
———后果发生频率。
b) 对于复合场景分析法,直接使用计算得出的“采用其他风险降低措施后的后果频率”与可容忍
风险频率比较,若“采用其他风险降低措施后的后果频率”大于可容忍风险频率,则需要增加
风险降低措施(如SIF、安全阀等),并计算RRF。其计算见公式(5):
RRF=fC
ft …………………………(5)
式中:
ft ———可容忍风险频率;
fC ———后果发生频率。
6.2.3.13.2 若建议增加的风险降低措施为SIF,则按照第7章的要求开展SIL定级工作。
6.2.4 文档控制要求
6.2.4.1 LOPA 记录表
LOPA 记录表宜包括以下内容。
a) 后果描述:包括风险矩阵中的后果分类,以便确定可容忍风险频率。
b) 可容忍风险标准:记录表中选取的可容忍风险标准应和后果分类一致,可容忍风险标准的频率
值应符合公司可容忍风险标准值。
c) 初始事件:记录表中清晰记录场景初始事件,同时给出初始事件频率。
d) 防护措施:记录表中记录针对初始事件的防护措施描述及其失效概率。
e) 使能事件或使能条件:对初始事件的使能事件或使能条件进行描述,并给出使能事件发生的概率。
f) 条件修正:描述条件修正因子取值说明。
注:一般需标明这些假定值的参考依据,且对标准值的任何修改需说明理由并记录在案。
21
GB/T45111—2024
g) 中间事件频率:初始事件频率和所有使能事件或使能条件发生概率以及条件修正因子的乘积。
h) 独立保护层:写出所有现有的及建议的独立保护层,包括每个独立保护层失效概率。如果独立
保护层的失效概率不同于企业内采用的标准值,则需阐明调整理由。
i) 后果频率:考虑已有防护措施和IPL后的后果频率。
j) 是否满足可容忍风险标准:使用考虑已有防护措施和IPL后的后果频率与采用的可容忍风险
标准进行比较,假如后果频率小于对应后果分类的可容忍风险标准,则当前风险在可容忍范
围内,否则为不满足。
k) 仍需完成的降险能力PFD:假如存在后果频率大于可容忍风险标准的情况,需计算各后果分
类仍需完成的降险能力PFD。
l) 满足可容忍风险标准所要求采取的行动:
• 描述未将风险降低至可容忍标准内还需采取的行动内容;
• 假如后果频率大于可容忍风险标准,但企业目前无法采取其他行动,因此不得不接受这样
的风险,这种特殊情况可能需要高级管理人员的签字,并附在分析文档中。
m) 备注:包括所有背景资料,或记录与场景或采取行动相关的此类信息。
n) 参考资料:任何有关的工艺流程图、P&ID、SIF描述或联锁逻辑图、仪表清单、设备清单、操作
规程、测试程序等参考资料,从而完整地记录分析的依据,以协助审查或执行分析的结果。
6.2.4.2 LOPA 报告
在LOPA 工作会议后,LOPA 分析主席和秘书应将会议记录进行整理、汇总,形成LOPA 报告文
件,报告模版见附录A。报告宜包括以下内容:
———项目基本概况;
———LOPA 工作方法及流程:包括分析目的、LOPA 工作程序、详细步骤等;
———LOPA 工作实施:包括日程安排、参与人员、参考资料等;
———工作成果汇总:包括分析结果和所提建议;
———LOPA 记录表;
———分析依据的可容忍风险标准;
———LOPA 工作参与人员签到表。
6.3 审查要求
应对LOPA 工作的人员、资料、流程和文档4个方面进行审查,质量控制审查样表见附录B。
———否决项:LOPA 工作报告质量控制的关键要素,若未满足相关审查要求,则本次审查不予
通过。
———非否决项:LOPA 工作报告质量控制的一般要素,若发现不符合项,后续需进行整改或优化。
审查人员可根据实际情况综合研判,得出审查结论。
注:对于非否决项,若不符合项超过5项,推荐为审查不通过。
7 SIL定级的质量控制
7.1 控制要素
7.1.1 人员
SIL定级人员按照7.2.1进行质量控制。
22
GB/T45111—2024
7.1.2 资料
SIL定级资料按照7.2.2进行质量控制。
7.1.3 流程和内容
SIL定级工作流程和内容按照7.2.3进行质量控制。
7.1.4 文档
SIL定级文档按照7.2.4进行质量控制。
7.2 控制要求
7.2.1 人员控制要求
人员控制要求按照6.2.1执行。
7.2.2 资料控制要求
资料控制要求按照6.2.2执行。
7.2.3 流程和内容控制要求
7.2.3.1 SIL定级工作流程
SIL定级的主要工作流程包括:
a) LOPA(其具体工作流程见图2);
b) SIF分配;
c) 确定SIF的SIL。
7.2.3.2 开展LOPA
按照6.2.3要求执行。
7.2.3.3 SIF分配
开展LOPA 后,考虑已设置和建议设置的待SIL定级的SIF以外的其他风险降低措施后,对于仍
存在的残余风险合理分配需要设置的SIF。
7.2.3.4 确定SIF的SIL
7.2.3.4.1 按照6.2.3.13计算SIF的RRF,与表5中的RRF进行比对,确定SIF的SIL要求。对于连
续运行模式或高要求运行模式,应按照表6确定SIF的SIL要求。
表5 低要求运行模式下的SIL要求(GB/T21109.1—2022中表4)
要求运行模式
SIL PFDavg 要求的风险降低
4 10-5~<10-4 >10000~100000
3 10-4~<10-3 >1000~10000
23
GB/T45111—2024
表5 低要求运行模式下的SIL要求(GB/T21109.1—2022中表4)(续)
要求运行模式
SIL PFDavg 要求的风险降低
2 10-3~<10-2 >100~1000
1 10-2~<10-1 >10~100
表6 连续运行模式或高要求运行模式下的SIL要求(GB/T21109.1—2022中表5)
连续运行模式或高要求运行模式
SIL 危险失效平均频率(每小时失效)
4 10-9~<10-8
3 10-8~<10-7
2 10-7~<10-6
1 10-6~<10-5
7.2.3.4.2 当分析过程中涉及多个SIF预防同一危险事件时,对共享或共用硬件、嵌入式软件或应用程
序实现的SIL能力应提出高于当前分析SIF的SIL能力要求。
示例:以某储罐高高液位联锁保护为例,其SIL要求为SIL2,在高液位还设置了具有SIL1要求的其他联锁保护,若
两者共用SIS控制器和最终执行元件,高液位联锁保护执行单元失效将导致高高液位联锁保护同时失效,则共用的
SIS控制器和最终执行元件及相关软件或应用程序需实现高于SIL2的能力。
7.2.4 文档控制要求
7.2.4.1 SIL定级记录表
SIL定级记录表宜包括以下内容。
a) 后果描述:包括风险矩阵中的后果分类,以便确定可容忍风险频率。
b) 可容忍风险标准:记录表中选取的可容忍风险标准应和后果分类一致,可容忍风险标准的频
率值应符合公司可容忍风险标准值。