保护层分析课件

事件樹和保護層分析于樹偉財團法人安全衛生技術中心1事件樹和保護層分析于樹偉12預防事故發生的保護層1.製程設計2.基本程序控制、警報、操作人員監控3.關鍵警報、操作人員監控、手動方式介入/操作4.安全儀控系統5.物理性防護(排放系統)6.物理性防護(防溢堤)

7.廠內緊急應變8.社區緊急應變22預防事故發生的保護層1.製程設計2.基本程序控制、警報保護層基本概念緊急應變防護層

被動式防護層主動式防護層設備安全防護層緊急停俥異常狀態程序控制層製程停俥正常狀態程序控制層製程變數停俥條件警報條件廠區和社區緊急應變

防溢堤排放閥、破裂盤

安全儀控系統人員介入基本程序控制系統消减系統預防系統正常操作範圍硬體承受上限操作承受上限3保護層基本概念事件樹分析

事件樹分析(EventTreeAnalysis,ETA)是根據二元邏輯的方式，將事件的發生分為「可能」或「不可能」二類，或者是將設備運作的功能以「失效」或「成功」表示，藉由圖形的方式描述由起始事件到可能的後果，起始事件為特定設備失效或人為失誤。ETA以起始事件做為開始，例如設備零件的失效、溫度或壓力的增加或是危害物質洩漏，經由一系列可能的途徑演變至可能的後果，對每條途徑分配可能發生的機率，則可計算單一危害可能導致不同事件結果的發生頻率。4事件樹分析事件樹分析(EventTreeAnal事件樹分析

成功成功成功失敗失敗失敗安全結果(情境1)不期望但可容忍的結果(情境2)不期望但可容忍的結果(情境3)後果超出標準(情境4)起始事件保護層1保護層2保護層3

結果5事件樹分析失敗失敗失敗保護層1保護層2保護層3結ETA執行步驟辨識起始事件；辨識防護層或危害影響因子；建構事件樹；將結果分類；估計事件樹中每一分枝的機率；量化結果；審查結果。6ETA執行步驟辨識起始事件；6事件樹的優點

圖解的方式呈現啟始事件到事件結果間的事件鏈，容易瞭解事件順序之間的邏輯關係；分析過程直接顯示防護層的成功或失效對於事件結果情境發展的影響；對於評估新的或已改善的製程和安全功能，提供良好的評估基礎；可適用於分析複雜的製程，或具有重大事故危害的評估；為一兼具定性與定量的評估技術；可考量硬體、軟體失效及人為失誤相關問題。7事件樹的優點圖解的方式呈現啟始事件到事件結果間的事7事件樹的缺點

圖形的陳述方式沒有相關的標準或規範；每一次的分析只能針對一件起始事件；容易忽略共同原因失效的影響，造成過度樂觀的估計風險；防護層或影響因子排列數目會影響樹的分枝發展，容易過大而複雜化。8事件樹的缺點圖形的陳述方式沒有相關的標準或規範；8保護層分析概論

LOPA(LayerofProtectionAnalysisLOPA)的主要目的是確定是否有足夠的保護層以防止意外事故發生或判定風險是否能夠容忍。事故情境可能有各種不同類型的保護層，一個情境可能需要一種或多重保護層，這取決於製程的複雜程度和潛在後果的嚴重性。值得注意的是，對於特定的情境，只需一種保護層成功運作就可避免事故後果的發生。然而，因為沒有任何一種保護層是完全有效的，所以必須提供充份的保護層以降低事故風險，並滿足風險容忍標準。9保護層分析概論LOPA(LayerofProt保護層分析概論(續)對於特定的情境，LOPA提供了一致的基礎，可用於判斷是否有足夠的獨立保護層控制事故風險。如果情境的風險為不可接受，則需要增加額外的獨立保護層。一旦選定進行分析的原因－後果組合，分析人員就能夠使用LOPA確定哪些製程和管理控制措施(通常稱為防護措施)滿足獨立保護層的定義，並評估情境的風險狀況。然後可進一步根據評估的結果進行風險分析，協助分析人員決定達到可容忍等級需要多少額外的風險消減措施。針對某一情境執行LOPA分析時，也可能發現其他情境或問題。10保護層分析概論(續)對於特定的情境，LOPA提供了一致的基獨立保護層和後果發生頻率關聯性

IPL1IPL2IPL3箭頭的粗細代表了後果發生的頻率

11獨立保護層和後果發生頻率關聯性IPL1保護層分析步驟

評估進一步的風險消減建議估計後果和嚴重性進行風險決策確定情境頻率發展情境確定起始事件辨別相關的獨立保護層步驟1步驟2步驟4步驟5步驟6步驟312保護層分析步驟評估進一步的風險消減建議估計後果和嚴重性進保護層分析步驟1篩選情境：因為LOPA通常評估危害分析已辨識的情境，因此LOPA分析人員的第一個步驟是篩選可能的情境，最常見的篩選方法是基於後果的嚴重度。後果通常在定性危害分析(如HazOp研究)過程中已予以辨識，接下來分析人員將對後果進行分析(包括後果影響)，有些公司的後果分析只評估洩漏物質和能量的大小，這種評估結果潛在地表示了事故情境，但是沒有明確表明對人員、環境和生產製程產生的危害。還有一些公司會對洩漏過程進行模擬，以得到具體情境下的傷害可能性，進而更加精確地評估對人員、環境和生產製程造成的風險，例如確定某洩漏情境下操作人員受傷的機率。13保護層分析步驟1篩選情境：因為LOPA通常評估危害分析已綜合損失類型

低度後果人員輕微傷害或沒有受傷；不會損失工作時間社區輕微傷害或沒有受傷；不會引起公眾厭惡環境釋放未導致公司通報主管機關或違反規定設施輕微的設備破壞，損失小於$100,000，沒有生產損失中度後果人員個人受傷，不嚴重；可能會損失工作時間社區氣味或噪音引起公眾抱怨環境釋放導致公司須通報主管機關或違反規定設施一些設備破壞，損失大於$100,000，輕微生產損失高度後果人員一位或多位人員嚴重傷害社區一位或多位人員嚴重傷害環境大量的釋放，對廠外造成嚴重的影響設施對製程區造成嚴重破壞，損失大於$1,000,000，高度生產損失非常嚴重後果人員致死或永久性傷殘社區一位或多位人員嚴重傷害環境大量的釋放，對廠外造成嚴重的影響，並且造成急性或慢性健康影響設施對製程區造成嚴重破壞，損失大於$10,000,000，嚴重生產損失14綜合損失類型低度後果人員輕微傷害或沒有受傷；不會損失工保護層分析步驟2選擇某一事故情境：LOPA一次只能選擇一種情境，這個情境可來自其他分析(如定性分析)，但是這種情境描述的應是單一的原因－後果配對。15保護層分析步驟2選擇某一事故情境：LOPA一次只能選擇一保護層分析步驟3辨識情境起始事件，並確定起始事件頻率(次數/年)：在所有防護措施失效時，起始事件必然會導致後果的發生。起始事件頻率必須考慮情境的背景情況，如可引發情境的操作模式的頻率。大多數公司提供了評估事件頻率的指南，以確保LOPA後果的一致性。16保護層分析步驟3辨識情境起始事件，並確定起始事件頻率(次保護層分析步驟4辨識獨立保護層，並評估每個獨立保護層要求失效機率(ProbabilityofFailureonDemand,PFD)：因為LOPA是”保護層分析”的簡稱，有些事故情境只需要一個獨立保護層，而另外一些事故情境，可能需要多種獨立保護層，或失效機率非常低的獨立保護層，以確認事故情境的風險滿足容忍標準。對於特定情境，辨識現有的安全保護措施是否滿足獨立保護層IPLs的要求是LOPA的核心觀念。17保護層分析步驟4辨識獨立保護層，並評估每個獨立保護層要求保護層分析步驟5利用後果、起始事件和獨立保護層相關數據，評估情境風險：計算過程能包含其他因素，這取決於後果的定義(事件的影響)，計算方法包含公式法和圖表法，無論使用什麼方法，計算的結果必須予以記錄。18保護層分析步驟5利用後果、起始事件和獨立保護層相關數據，保護層分析步驟6針對所分析的情境評估風險並作出決策：將情境風險與公司容忍風險標準和(或)相關的目標相比較。19保護層分析步驟6針對所分析的情境評估風險並作出決策：將情保護層分析限制條件只有使用相同的LOPA方法(即使用相同的方法選擇失效數據)，情境風險的比較才有效，並且比較都是基於同樣的風險容忍標準或者與LOPA確定的其他情境風險相比較。LOPA計算結果並不是情境風險的標準值，這也是LOPA在定量風險分析方面的限制。LOPA是一種簡化的方法，並不適合用於所有的情境，對一些風險決策過程，執行LOPA可能過於複雜，而對另一些決策LOPA可能又顯得過於簡化。20保護層分析限制條件只有使用相同的LOPA方法(即使用相同的方保護層分析限制條件(續)在風險決策過程中，與定性的方法如HazOp和What-if相比，LOPA顯得較耗時。在中度複雜的情境中，由於LOPA改善了風險決策過程而彌補了LOPA的耗時。對於簡單的決策，LOPA的使用價值不明顯。而對於很複雜的情境和決策，LOPA比定性方法更節省時間，因為LOPA將重點集中於風險決策。LOPA本身並不是一個危害辨識工具，LOPA依賴辨別起始危險事件的方法以及確定事件原因的防護措施所採用的方法(包括定性危害審查方法)，LOPA執行過程的嚴謹性使得它更常運用於澄清定性危害審查中不明確的情境。不同公司在風險容忍標準和LOPA執行程序的差異性，顯示分析結果通常不能在各公司之間直接比較。21保護層分析限制條件(續)在風險決策過程中，與定性的方法如Ha保護層分析的優點

與定量風險分析相比，LOPA花費的時間較少，因此適用於定性風險評估等法應用的複雜情境。LOPA可幫助解決決策時分歧的意見，它提供了一致的、簡化的架構評估情境風險並為討論風險提供了一致的術語，與基於”風險對我而言可以接受”的主觀或主觀上的判斷相比，LOPA提供了一個更好的風險決策基礎，這對於那些正在由定性到更多定量風險分析轉變的公司尤其有幫助。LOPA可以提高危害評估會議的效率，因為它可以幫助更快速地達成風險判斷共識。22保護層分析的優點與定量風險分析相比，LOPA花費的時間較少保護層分析的優點(續1)LOPA有助於更精確地確定原因－後果組合，因此可以改善情境辨識。如果整個公司使用同樣的方法，LOPA可用於單元之間或工廠之間的風險比較。與定性方法相比，LOPA提供了更具可靠性的風險判斷，因為LOPA要求非常嚴謹的記錄，並且可以提供情境頻率和後果的具體數據。LOPA可以用於協助一個公司決定風險是否符合合理可行的降低(AsLowAsReasonablyPracticable,ALARP)原則，這也有助於滿足特定的法令要求。23保護層分析的優點(續1)LOPA有助於更精確地確定原因－後保護層分析的優點(續2)

LOPA可以幫助辨識被認為有充份防護措施的操作和實務，但經過更詳細的分析後，其措施並不能將風險降低到可容忍的水準。LOPA為每個獨立保護層提供了更明確的功能要求。LOPA的資料可以幫助公司決定操作、維護以及相關訓練的重點應專注於那些防護措施，例如，許多公司決定將檢查、測試和預防性維修作業的重點放在LOPA辨別出的防護層，因此LOPA是執行製程安全管理設備完整性或基於風險的維修系統的有效工具，它有助於確定”安全關鍵設備”的屬性及功能。24保護層分析的優點(續2)LOPA可以幫助辨識被認為有充份發展情境

情境是導致不良後果的意外事件或一系列事件，每個情境至少包括兩項要素：引起一連串事件的起始事件(例如冷卻失效)；後果，指如果事件鏈繼續發展沒有中斷，所導致的後果

(如可能造成的系統超壓、有毒或易燃物質洩漏到大氣中、

死亡等)。

起始事件

後果構成一個情境的最基本要求

25發展情境情境是導致不良後果的意外事件或一系列事件，每個發展情境(續)

每個情境都必須有唯一的起始事件及其對應的後果，如果同一起始事件能導致不同後果，那麼應該發展多種情境。在某些情況下，許多情境可能開始於同一起始事件(如公用系統失效)，則應該為每個單元制定單獨的情境。如果利用人員死亡、營運或環境損害作為後果，則在情境中還可能包括下列部分或全部因素或結果修正因子：可燃物質的點火機率；人員出現在事件影響區域的機率；火災、爆炸或有毒物質釋放的暴露致死機率(包括撤離或

保護行動)；導致設備(設施)一定經濟損失的機率。26發展情境(續)每個情境都必須有唯一的起始事件及其對應的HazOp與LOPA關聯性

偏差造成偏差原因後果其它造成低風險原因不滿足公司標準的後果現有安全措施不滿足IPL定義的安全措施起始事件(選擇一件以代表情境)情境背景與描述後果(每次選一種)獨立保護層(IPLs)HazOp未辨識的IPLs觸發事件和條件額外風險減緩措施使風險可容忍建議事項不必要的措施(不需要的建議)起始事件頻率10-x/a嚴重程度或經濟損失分類IPLs要求失效機率IPLs要求失效機率事件或條件機率繼續下一個原因－後果配對選擇：綜合程序的風險與程序風險標準比較風險是否可容忍?否

是

HazOp資料LOPA不需要的資料LOPA採用的資料LOPA採用的數據其它造成低風險原因27HazOp與LOPA關聯性偏差造成偏差原因後果其它造成低起始事件

LOPA的每一情境都有單一的起始事件，起始事件頻率通常以每年發生的次數表示，一些資料也使用其他的單位來表示，如106每小時發生的次數。起始事件一般分為三類型:外部事件、設備故障、人為失誤(也稱為不恰當的行為)。根本原因被定義為”事故發生的潛在系統原因”，起始事件是各種根本原因的結果，包括外部事件、設備故障或人為失誤。起始事件的根本原因都不相同，在確定起始事件時不應太深究其根本原因。不過根本原因有助於確認起始事件發生的頻率。因此當評估起始事件頻率時，需要考慮一些根本原因。28起始事件LOPA的每一情境都有單一的起始事件，起始事起始事件(續1)與設備有關的起始事件可以被進一步分為控制系統失效和機械故障。控制系統失效包括(但不限於):基本程序控制系統(BasicProcessControlSystem,BPCS)原件失效；軟體失效或故障；控制支援系統失效(例如電力系統、儀控空氣系統)。29起始事件(續1)與設備有關的起始事件可以被進一步分為控起始事件(續2)機械故障包括(但不限於)：磨損、疲勞或腐蝕造成的容器或管線失效設計、技術規格或製造/製備缺陷造成的管線失效；超壓造成的容器或管線失效(例如熱膨脹、清管/吹除)或低壓(真空導致崩塌)；震動導致的失效(例如轉動設備)；維護/維修不完善(包括使用不合格的替代材料)所造成的失效；30起始事件(續2)機械故障包括(但不限於)：30起始事件(續3)高溫(如火災暴露、冷卻失效)或低溫，及脆性斷裂(如自動冷凍、低環境氣溫)引起的失效；湍流或水擊引起的失效；內部爆炸、分解或其他失控反應造成的失效。與人為失效相關的原因或者是疏忽或者是錯誤，其中包括(但不限於):未能按正確順序執行任務步驟，或遺漏一些步驟(有些行動沒有執行)；未能正確觀察或因應製程或系統顯示的條件或其他提示(有些行動執行錯誤)。31起始事件(續3)高溫(如火災暴露、冷卻失效)或低溫，及脆性起始事件典型頻率

起始事件來自文獻的頻率範圍(每年)某公司進行LOPA時的選擇值(每年)壓力容器疲勞失效10-5~10-71×10-6管線疲勞失效-100m-全部斷裂10-5~10-61×10-5管線洩漏(10％截面積)-100m10-3~10-41×10-3常壓儲槽失效10-3~10-51×10-3墊片/填料爆裂10-2~10-61×10-2渦輪/柴油發動機超速，外套破裂10-3~10-41×10-4第三方破裂(怪手、車輛等外部影響)10-2~10-41×10-2起重機載荷掉落10-3~10-4/起吊1×10-4/起吊雷擊10-3~10-41×10-3安全閥誤開啟10-2~10-41×10-232起始事件典型頻率起始事件來自文獻的頻率範圍某公司進行L起始事件典型頻率(續)

冷卻水失誤1~10-21×10-1泵密封失效10-1~10-21×10-1卸載/裝載軟管失效1~10-21×10-1BPCS儀表控制迴路失效注：IEC61511的限制大於1×10-5/h或8.76×10-2/a(IEC,2001)1~10-21×10-1調節器失效1~10-11×10-1小的外部火災(多因素)10-1~10-21×10-1大的外部火災(多因素)10-2~10-31×10-2LOTO(鎖定、標定)程序失效(多個元件的總失效)10-3~10-4/次1×10-3/次操作人員失效(執行一般程序，假設得到較好的訓練、不緊張、不疲勞)10-1~10-3/次1×10-2/次33起始事件典型頻率(續)冷卻水失誤1~10-21×10-獨立保護層定義和功能

獨立保護層是能夠阻止情境朝向不良後果繼續發展的設備、系統或行動，並且獨立於啟始事件或情境中其他保護層的行動。獨立保護層的有效性和獨立性必須具有可審查性。如下圖的事件鏈中，A點安裝的獨立保護層IPL必要時應採取行動，如果A點的獨立保護層如期作動，則可以阻止不良後果發生。如果情境中所有的獨立保護層都無法如期作動，那麼不良後果將隨著啟始事件發生。起始事件IPL如期作動A安全後果後果發生(儘管存在IPL)獨立保護層IPL未如期作動34獨立保護層定義和功能獨立保護層是能夠阻止情境朝向不良後獨立保護層定義和功能(續)

區分獨立保護層和防護措施非常重要，防護措施可以是中斷起始事件發生後的事件鏈的任何設備、系統或行動。但是，由於一些防護措施的有效性、獨立性或其他因素缺乏數據，具有不確定性，因此這些防護措施的有效性難以確定。獨立保護層的有效性根據要求失效機率(PFD)進行確認，PFD定義為系統要求時IPL失效不能發揮具體功能的機率。PFD為0和1之間的無因次數字，PFD值越小，該保護層對某一啟始事件後果頻率降低的越多，獨立保護層的“降低頻率”有時被稱為“風險降低因子。35獨立保護層定義和功能(續)區分獨立保護層和防護措施非常見保護層的特性程序設計許多公司假設若製程符合本質更安全設計，一些情境不可能發生。例如設備可能被設計用於承受特定情境的最大壓力、限制批次反應器的容量、存量更低或化學物質替代等，本質更安全設計可以消除一些情境。有些公司認為本質更安全製程設計功能有一個非零的PFD，也就是說，在實際製程中，已經證實它們具有一定的失效模式。這些公司將本質更安全的製程設計功能作為一種獨立保護層IPL，這類獨立保護層的設計是為了防止後果的發生。36常見保護層的特性程序設計36常見保護層的特性(續1)

基本製程控制系統基本製程控制系統(BasicProcessControlSystem,BPCS)包括正常的手動控制，是製程正常運用期間的第一層保護，BPCS的設計是為了使製程處在安全操作範圍。如果BPCS控制環路的正常操作符合適當的標準，則可作為獨立保護層。BPCS失效可以被視為起始事件，當考慮使用BPCS作為獨立保護層時，分析人員必須評估BPCS使用和管理系統(AccessControlandSecuritySystem)的有效性，因為人員疏失會破壞BPCS的功能。37常見保護層的特性(續1)基本製程控制系統37常見保護層的特性(續2)關鍵警報和人員干預這類系統是製程正常運作期間的第二層保護，並且這些系統應該被BPCS啟動，當報警或觀察引發的操作人員行為符合各種標準，確保行動的有效性時(例如獨立性)，則操作人員行動可作為獨立保護層。公司的程序和訓練可以改善操作人員的執行能力，但警報因應步驟本身並不是獨立保護層。38常見保護層的特性(續2)關鍵警報和人員干預38常見保護層的特性(續3)安全儀控功能(SafetyInstrumentedFunction，SIF)安全儀控功能是由量測器、邏輯運算器和最終控制元件組成，具有一定的安全完整性要求，安全儀控功能偵測超過安全恕限(異常)條件，控制程序進入功能性安全狀態。安全儀控功能SIF在功能上獨立於BPCS，安全儀控功能通常為一種獨立保護層。安全儀控功能系統的設計、系統備份程度、測試頻率和類型將決定LOPA中SIF的PFD。39常見保護層的特性(續3)安全儀控功能(SafetyInst常見保護層的特性(續4)物理保護(安全閥、破裂盤等)如果這類設備設計、維護和尺寸合適，則可以提供較高程度的超壓保護。但是，如果切斷閥安裝在洩壓閥下方或者檢查和維護工作品質較差，則這類設備的有效性可能受到污垢或腐蝕的影響。如果物質從安全閥排放到大氣，則可能會造成其他後果，這需要進一步的評估，這會涉及燃燒塔、驟冷槽、洗滌塔等設備有效性的檢查。40常見保護層的特性(續4)物理保護(安全閥、破裂盤等)40常見保護層的特性(續5)釋放後保護(防液堤、防爆牆等)這些獨立保護層是被動的保護設備，如果設計和維護正確，這類獨立保護層可提供較有效的保護。雖然它們的失效率低，但是在情境中也應考慮PFD。此外，如果自動灑水系統、泡沫系統或氣體偵測系統等滿足獨立保護層的要求，在一些特殊情境中，也可以將它們作為獨立保護層。41常見保護層的特性(續5)釋放後保護(防液堤、防爆牆等)41常見保護層的特性(續6)工廠緊急應變這些措施如消防隊、人工防洪系統、工廠緊急疏散等通常不視為獨立保護層，因為它們是在初始釋放之後被啟動，並且有太多因素(如時間延遲)影響了它們在消減情境的整體有效性。42常見保護層的特性(續6)工廠緊急應變42常見保護層的特性(續7)社區緊急應變這些措施，如社區撤離和避難所，通常不被視為獨立保護層，因為它們是在初始釋放之後被啟動，並且有太多因素影響了它們在消減情境的整體有效性，它們對工廠的工人沒有提供任何保護。43常見保護層的特性(續7)社區緊急應變43獨立保護層基本原則設備、系統或行動作為獨立保護層時，必須滿足的條件是：有效性：按照設計的功能發揮作用，必須能有效地防止後果發生；獨立性：獨立於起始事件和任何其他已經被認為是同一情境的獨立保護層的構成元件；可審查性：對於阻止後果的有效性和PFD必須能夠以某種方式(通過記錄、審查、測試等)進行驗證。44獨立保護層基本原則設備、系統或行動作為獨立保護層時，必須獨立保護層基本原則(續1)如果某設備、系統或行動確認為獨立保護層，那麼它必須有效地防止該情境不期望的後果。為了確定防護措施是否是獨立保護層，可利用下列問題協助小組或分析人員作出適當的判斷。防護措施能否偵測到需要採取行動的狀況，這可能是一個製程改變或警報等，如果防護措施不能偵測到這些狀況，並且不能產生具體的行動，那麼就不是獨立保護層。防護措施能否及時偵測到狀況，以採取正確的行動防止不良後果的發生，所需的時間必須包括：偵測到狀況的時間；處理信號和作出決策的時間；採取必要行動的時間；行動生效的時間。45獨立保護層基本原則(續1)如果某設備、系統或行動確認為獨獨立保護層基本原則(續2)在允許的時間內，獨立保護層是否有足夠能力採取所要求的行動，如果需要一項具體的規格要求(例如安全閥洩放面積、防液堤容積等)，那麼安裝的防護措施是否能夠符合這些要求?對於所要求的行動，獨立保護層的強度是否充足?獨立保護層的強度包括：物理強度(例如防爆牆或防液堤)；某特定情境條件下閥門的關閉能力(例如閥門彈簧、驅動器或元件的強度)；人員強度(例如所要求的任務是否在操作人員能力範圍內)。如果防護措施不能滿足這些要求，則它不是獨立保護層。46獨立保護層基本原則(續2)在允許的時間內，獨立保護層是否有足獨立保護層基本原則(續3)LOPA獨立保護層降低後果頻率的有效性可使用PFD予以量化，確定獨立保護層合適的PFD數值是LOPA程序中重要的一環。獨立保護層應如期運作，但是一些保護層系統可能發生失效。獨立保護層PFD越低，其正確運作和中斷事件鏈的可能性就越高。因為LOPA是一種簡化的方法，PFD通常使用最接近的數量級。PFD範圍從最弱的獨立保護層(1×10-1)到最強的獨立保護層(1×10-4~1×10-5)，LOPA小組或分析人員必須確定防護措施頻率較高情境的獨立保護層PFD值，例如情境起始事件頻率大於或接近獨立保護層功能有效測試頻率時，必須謹慎。47獨立保護層基本原則(續3)LOPA獨立保護層降低後果頻被動式IPLs範例IPL類型說明(假設具有完善的設計基礎、充份的檢測和維護程序)PFD(來自文獻和工業數據)CCPS建議PFD防液堤降低儲槽溢流、破裂、洩漏等嚴重後果(大面積擴散)的頻率1×10-2~1×10-31×10-2地下排水系統降低儲槽溢流、破裂、洩漏等嚴重後果(大面積擴散)的頻率1×10-2~1×10-31×10-2開放式排放閥防止超壓1×10-2~1×10-31×10-2耐火設計減少熱輸入率，提供降壓/消防等額外的變應時間1×10-2~1×10-31×10-2防爆牆/掩體通過限制衝擊波，保護設備/建築物等，降低爆炸重大後果的頻率1×10-2~1×10-31×10-3“本質更安全”設計如果正確執行，將大幅降低相關情境後果的頻率。備注：一些公司的LOPA規定，允許本質更安全設計功能消除某些情境(如容器設計壓力超過所有可能的高壓要求)1×10-1~1×10-61×10-2阻焰器或防爆器如果設計、安裝和維護合適，這些設備能夠消除通過管線系統進入容器或儲罐內的潛在回火1×10-1~1×10-31×10-248被動式IPLs範例IPL類型說明(假設具有完善的設計基礎、主動式IPLs範例IPL說明（假設具有完善的設備基礎、充足的檢測和維護程序）PFD(來自文獻和工業數據)CCPS建議PFD安全閥防止系統超壓，其有效性對使用狀況比較敏感1×10-1~1×10-51×10-2破裂盤防止系統超壓。其有效性對使用狀況比較敏感1×10-1~1×10-51×10-2基本製程控制系統如果與起始事件無關，BPCS可被視為一種IPL1×10-1~1×10-2(IEC規定＞1×10-1)1×10-1安全儀控功能(聯鎖)見IEC61508和IEC61511生命周期和其他要求。49主動式IPLs範例IPL說明（假設具有完善的設備基礎、充足主動式IPLs範例(續3)

SIL1典型組成：單一感測器(容錯備份)單一邏輯控制器(容錯備份)單一最終元件(容錯備份)≧1×10-1~＜1×10-2SIL2典型組成：多個感測器(容錯)多個邏輯控制器(容錯)多個最終元件(容錯)≧1×10-2~＜1×10-3SIL3典型組成：多個傳感器多個邏輯控制器多個執行元件≧1×10-3~＜1×10-4CCPS不建議具體的SIL水準。

50主動式IPLs範例(續3)SIL1典型組成：≧1×10-安全儀控系統特性分析儀錶系統由感測器、邏輯運算器、程序控制器和最終元件組成，這些元件整合運作，自動調整製程運作或防止製程特定事件的發生。在基本LOPA分析中考慮了兩種類型的儀錶系統，每種儀錶類型有各自的用途和功能。第一種為連續控制器(如按照操作人員提供的設定值調節流量、溫度或壓力的程序控制器)，它通常提供操作人員連續回饋(雖然會出現意外故障)，顯示運作正常。第二種為狀態控制器(對警報指示器或程序閥門採取措施，執行開、關動作的邏輯運算器)，狀態控制器監測製程條件，只有當製程條件達到預先設定值時才採取控制行動。狀態控制行動可以稱為製程聯鎖和警報，如反應器高溫監測與蒸汽閥開關聯鎖。狀態控制器(邏輯運算器和相關的現場設備)的失效不易檢測，需要到下一次安全功能失效的人工功能性測試時才發現。BPCS和安全儀錶系統都有連續控制器和狀態控制器，但是兩者執行風險消減層次有很大差異。51安全儀控系統特性分析儀錶系統由感測器、邏輯運算器、程序控安全儀控系統特性分析(續1)BPCS是執行連續監測和控制生產製程的控制系統，BPCS可以提供三種不同類型的安全功能作為獨立保護層：連續控制行動：保持製程在設定的正常範圍內，並可防止起始事件導致的異常情境惡化；狀態控制器(邏輯運算器或警報停俥單元)：辨識超出正常範圍的製程偏差，並提供操作人員訊息(通常為警報訊息)，促使操作人員採取具體的矯正行動(控制製程或停俥)；狀態控制器(邏輯運算器或控制繼電器)：採取自動行動迫使製程停俥，而不是試圖使製程回到正常操作範圍。這種行動將導致停俥，使製程處於安全狀態。

52安全儀控系統特性分析(續1)BPCS是執行連續監測和控制安全儀控系統特性分析(續2)BPCS是一個相對較弱的獨立保護層，因為BPCS通常：幾乎沒有元件備份；自我測試能力有限；防止未經授權變更控制邏輯的安全性有限。53安全儀控系統特性分析(續2)BPCS是一個相對較弱的獨立保護安全儀控系統特性分析(續3)安全儀控系統是由感測器、邏輯運算器和最終元件組成的，能夠行使一項或多項安全儀控功能（SIF）的儀控系統，SIF為狀態控制系統，有時也稱為安全聯鎖和安全關鍵警報。一系列安全儀控功能組成了安全儀控系統（也稱為緊急停俥系統）。ISAS84.01、IEC61508、IEC61511和化工製程安全自動化指南（CCPS,1993）詳細討論安全儀控系統和安全儀控功能的設計要求，並且規定了取得所期望的PFD的全生命週期要求（規格、設計、調試、檢驗、維護和測試），重要的設計細節包括以下內容：54安全儀控系統特性分析(續3)安全儀控系統是由感測器、邏輯安全儀控系統特性分析(續4)安全儀控功能在功能上獨立於BPCS，用於安全儀控功能的量測裝置、邏輯控制器和最終元件獨立於BPCS中的類似裝置。除非在不犧牲安全儀控功能的PFD的情況下，訊號才可以共用。安全儀控系統的邏輯運算器（通常包括多項備份處理器、備份電源供應和一個人機介面）可處理幾項（或多項）安全儀控功能。廣泛使用備份的元件和訊號路徑，可以在幾個方面建置備份，最明顯的是為同一功能安裝多個感測器或多個執行元件如閥門，不同的技術將減少備份元件的共同失效。55安全儀控系統特性分析(續4)安全儀控功能在功能上獨立於BPC安全儀控系統特性分析(續5)使用表決方案和容錯邏輯，能夠容忍一些元件的失效，而不會影響安全儀控系統的有效性，不會引起製程的誤跳俥。利用自我診斷功能檢測和通報感測器、邏輯運算器以及最終元件的故障，這種診斷作用可以使安全儀控功能失效的平均修復時間減到只有幾個小時。跳俥切斷功能要求較低的PFD。56安全儀控系統特性分析(續5)使用表決方案和容錯邏輯，能夠容忍安全儀控系統特性分析(續6)安全儀控功能的風險降低性能由PFD所定，國際標準已經把安全儀控功能在化工製程中的應用劃分為四種安全完整性分類，相關定義為：SIL1：1×10-2≦PFD＜1×10-1，這些安全儀控功能通常由單一的感測器、單一的邏輯運算器和單一的最終控制元件完成。SIL2：1×10-3≦PFD＜1×10-2，這些安全儀控功能以感測器、邏輯運算器到最終控制元件通常都是備份的。57安全儀控系統特性分析(續6)安全儀控功能的風險降低性能由安全儀控系統特性分析(續7)SIL3：1×10-4≦PFD＜1×10-3，這些安全儀控功能以感測器、邏輯運算器到最終控制元件通常都是備份的，要求進行仔細設計和頻繁功能測試，以取得較低的PFD。由於SIL3的安全儀控功能成本高昂，因此許多公司歸類為SIL3的SIF數量有限。SIL4：1×10-5≦PFD＜1×10-4，這些安全儀控功能列入了IEC61508和61511標準，但這些安全儀控功能難以設計和維護，LOPA分析不會使用SIL4等級的安全儀控系統。58安全儀控系統特性分析(續7)SIL3：1×10-4≦確定情境發生頻率

下述為特定後果終點釋放物質常用的頻率計算公式，一般而言是起始事件頻率乘以IPL的PFDs。

fiC=fiIxPFDi1xPFDi2x…….PFDij式中fiC=起始事件i造成C後果的頻率

fiI=起始事件i發生頻率

PFDij=起始事件i中第j個阻止後果C的獨立保護層要求時的失效概率

59確定情境發生頻率下述為特定後果終點釋放物質常用的頻率計算公確定情境發生頻率(續)其他結果頻率計算公式可能有：fifire=fiIxPFDi1xPFDi2x…….PFDijxPignition

Pignition代表點火機遇率而人員暴露於火災的頻率則為：fifire

exposure=fiI

xPFDi1xPFDi2x…….PFDijxPignitionxPperson

present而Pperson

present代表事故現場人員機遇率火災引起人員受傷的頻率為：fifire

injury=fiIxPFDi1xPFDi2x…….PFDijxPignitionxPperson

presentxPinjury而Pinjury代表人員受傷機遇率60確定情境發生頻率(續)其他結果頻率計算公式可能有：60計算風險如果需要計算風險指標，則風險指標為所探討情境結果的頻率fk乘以後果嚴重度Ck：

Rkc

=fkc

xCk

Rkc代表事故第K項結果的風險，單位為後果嚴重度/時間單位，可能為年度死亡風險、每年死亡人數、每季經濟損失等。fkc為事故第K項結果發生的頻率，單位為時間的倒數。Ck為事故第K項結果的嚴重度，結果嚴重度可能是個人死亡機率、死亡人數、經濟損失額度、污染物排放量、暴露於有害空氣污染物人數等，Ck也可以等級的方式表示。必要時風險評估人員可將不同起始事件第C種後果的頻率，加總成為一項fc。

fc=f1c+f2c+……..fIc

61計算風險如果需要計算風險指標，則風險指標為所探討情境結果的頻風險評估和應採取行動範例

(續)

等級1等級2等級3等級4等級5可選擇(評估替代方案)可選擇(評估替代方案)有機會時採取行動立即採取行動立即採取行動可選擇(評估替代方案)可選擇(評估替代方案)可選擇(評估替代方案)有機會時採取行動立即採取行動不需要採取行動可選擇(評估方案)可選擇(評估替代方案)有機會時採取行動有機會時採取行動不需要採取行動不需要採取行動可選擇(評估替代方案)可選擇(評估替代方案)有機會時採取行動不需要採取行動不需要採取行動不需要採取行動可選擇(評估替代方案)可選擇(評估替代方案)不需要採取行動不需要採取行動不需要採取行動不需要採取行動可選擇(評估替代方案)不需要採取行動不需要採取行動不需要採取行動不需要採取行動不需要採取行動後果頻率(每年)後果等級10-210-010-110-310-410-510-610-762風險評估和應採取行動範例(續)可選擇可選擇有機會事件樹和保護層分析于樹偉財團法人安全衛生技術中心63事件樹和保護層分析于樹偉164預防事故發生的保護層1.製程設計2.基本程序控制、警報、操作人員監控3.關鍵警報、操作人員監控、手動方式介入/操作4.安全儀控系統5.物理性防護(排放系統)6.物理性防護(防溢堤)

7.廠內緊急應變8.社區緊急應變642預防事故發生的保護層1.製程設計2.基本程序控制、警報保護層基本概念緊急應變防護層

被動式防護層主動式防護層設備安全防護層緊急停俥異常狀態程序控制層製程停俥正常狀態程序控制層製程變數停俥條件警報條件廠區和社區緊急應變

防溢堤排放閥、破裂盤

安全儀控系統人員介入基本程序控制系統消减系統預防系統正常操作範圍硬體承受上限操作承受上限65保護層基本概念事件樹分析

事件樹分析(EventTreeAnalysis,ETA)是根據二元邏輯的方式，將事件的發生分為「可能」或「不可能」二類，或者是將設備運作的功能以「失效」或「成功」表示，藉由圖形的方式描述由起始事件到可能的後果，起始事件為特定設備失效或人為失誤。ETA以起始事件做為開始，例如設備零件的失效、溫度或壓力的增加或是危害物質洩漏，經由一系列可能的途徑演變至可能的後果，對每條途徑分配可能發生的機率，則可計算單一危害可能導致不同事件結果的發生頻率。66事件樹分析事件樹分析(EventTreeAnal事件樹分析

成功成功成功失敗失敗失敗安全結果(情境1)不期望但可容忍的結果(情境2)不期望但可容忍的結果(情境3)後果超出標準(情境4)起始事件保護層1保護層2保護層3

結果67事件樹分析失敗失敗失敗保護層1保護層2保護層3結ETA執行步驟辨識起始事件；辨識防護層或危害影響因子；建構事件樹；將結果分類；估計事件樹中每一分枝的機率；量化結果；審查結果。68ETA執行步驟辨識起始事件；6事件樹的優點

圖解的方式呈現啟始事件到事件結果間的事件鏈，容易瞭解事件順序之間的邏輯關係；分析過程直接顯示防護層的成功或失效對於事件結果情境發展的影響；對於評估新的或已改善的製程和安全功能，提供良好的評估基礎；可適用於分析複雜的製程，或具有重大事故危害的評估；為一兼具定性與定量的評估技術；可考量硬體、軟體失效及人為失誤相關問題。69事件樹的優點圖解的方式呈現啟始事件到事件結果間的事7事件樹的缺點

圖形的陳述方式沒有相關的標準或規範；每一次的分析只能針對一件起始事件；容易忽略共同原因失效的影響，造成過度樂觀的估計風險；防護層或影響因子排列數目會影響樹的分枝發展，容易過大而複雜化。70事件樹的缺點圖形的陳述方式沒有相關的標準或規範；8保護層分析概論

LOPA(LayerofProtectionAnalysisLOPA)的主要目的是確定是否有足夠的保護層以防止意外事故發生或判定風險是否能夠容忍。事故情境可能有各種不同類型的保護層，一個情境可能需要一種或多重保護層，這取決於製程的複雜程度和潛在後果的嚴重性。值得注意的是，對於特定的情境，只需一種保護層成功運作就可避免事故後果的發生。然而，因為沒有任何一種保護層是完全有效的，所以必須提供充份的保護層以降低事故風險，並滿足風險容忍標準。71保護層分析概論LOPA(LayerofProt保護層分析概論(續)對於特定的情境，LOPA提供了一致的基礎，可用於判斷是否有足夠的獨立保護層控制事故風險。如果情境的風險為不可接受，則需要增加額外的獨立保護層。一旦選定進行分析的原因－後果組合，分析人員就能夠使用LOPA確定哪些製程和管理控制措施(通常稱為防護措施)滿足獨立保護層的定義，並評估情境的風險狀況。然後可進一步根據評估的結果進行風險分析，協助分析人員決定達到可容忍等級需要多少額外的風險消減措施。針對某一情境執行LOPA分析時，也可能發現其他情境或問題。72保護層分析概論(續)對於特定的情境，LOPA提供了一致的基獨立保護層和後果發生頻率關聯性

IPL1IPL2IPL3箭頭的粗細代表了後果發生的頻率

73獨立保護層和後果發生頻率關聯性IPL1保護層分析步驟

評估進一步的風險消減建議估計後果和嚴重性進行風險決策確定情境頻率發展情境確定起始事件辨別相關的獨立保護層步驟1步驟2步驟4步驟5步驟6步驟374保護層分析步驟評估進一步的風險消減建議估計後果和嚴重性進保護層分析步驟1篩選情境：因為LOPA通常評估危害分析已辨識的情境，因此LOPA分析人員的第一個步驟是篩選可能的情境，最常見的篩選方法是基於後果的嚴重度。後果通常在定性危害分析(如HazOp研究)過程中已予以辨識，接下來分析人員將對後果進行分析(包括後果影響)，有些公司的後果分析只評估洩漏物質和能量的大小，這種評估結果潛在地表示了事故情境，但是沒有明確表明對人員、環境和生產製程產生的危害。還有一些公司會對洩漏過程進行模擬，以得到具體情境下的傷害可能性，進而更加精確地評估對人員、環境和生產製程造成的風險，例如確定某洩漏情境下操作人員受傷的機率。75保護層分析步驟1篩選情境：因為LOPA通常評估危害分析已綜合損失類型

低度後果人員輕微傷害或沒有受傷；不會損失工作時間社區輕微傷害或沒有受傷；不會引起公眾厭惡環境釋放未導致公司通報主管機關或違反規定設施輕微的設備破壞，損失小於$100,000，沒有生產損失中度後果人員個人受傷，不嚴重；可能會損失工作時間社區氣味或噪音引起公眾抱怨環境釋放導致公司須通報主管機關或違反規定設施一些設備破壞，損失大於$100,000，輕微生產損失高度後果人員一位或多位人員嚴重傷害社區一位或多位人員嚴重傷害環境大量的釋放，對廠外造成嚴重的影響設施對製程區造成嚴重破壞，損失大於$1,000,000，高度生產損失非常嚴重後果人員致死或永久性傷殘社區一位或多位人員嚴重傷害環境大量的釋放，對廠外造成嚴重的影響，並且造成急性或慢性健康影響設施對製程區造成嚴重破壞，損失大於$10,000,000，嚴重生產損失76綜合損失類型低度後果人員輕微傷害或沒有受傷；不會損失工保護層分析步驟2選擇某一事故情境：LOPA一次只能選擇一種情境，這個情境可來自其他分析(如定性分析)，但是這種情境描述的應是單一的原因－後果配對。77保護層分析步驟2選擇某一事故情境：LOPA一次只能選擇一保護層分析步驟3辨識情境起始事件，並確定起始事件頻率(次數/年)：在所有防護措施失效時，起始事件必然會導致後果的發生。起始事件頻率必須考慮情境的背景情況，如可引發情境的操作模式的頻率。大多數公司提供了評估事件頻率的指南，以確保LOPA後果的一致性。78保護層分析步驟3辨識情境起始事件，並確定起始事件頻率(次保護層分析步驟4辨識獨立保護層，並評估每個獨立保護層要求失效機率(ProbabilityofFailureonDemand,PFD)：因為LOPA是”保護層分析”的簡稱，有些事故情境只需要一個獨立保護層，而另外一些事故情境，可能需要多種獨立保護層，或失效機率非常低的獨立保護層，以確認事故情境的風險滿足容忍標準。對於特定情境，辨識現有的安全保護措施是否滿足獨立保護層IPLs的要求是LOPA的核心觀念。79保護層分析步驟4辨識獨立保護層，並評估每個獨立保護層要求保護層分析步驟5利用後果、起始事件和獨立保護層相關數據，評估情境風險：計算過程能包含其他因素，這取決於後果的定義(事件的影響)，計算方法包含公式法和圖表法，無論使用什麼方法，計算的結果必須予以記錄。80保護層分析步驟5利用後果、起始事件和獨立保護層相關數據，保護層分析步驟6針對所分析的情境評估風險並作出決策：將情境風險與公司容忍風險標準和(或)相關的目標相比較。81保護層分析步驟6針對所分析的情境評估風險並作出決策：將情保護層分析限制條件只有使用相同的LOPA方法(即使用相同的方法選擇失效數據)，情境風險的比較才有效，並且比較都是基於同樣的風險容忍標準或者與LOPA確定的其他情境風險相比較。LOPA計算結果並不是情境風險的標準值，這也是LOPA在定量風險分析方面的限制。LOPA是一種簡化的方法，並不適合用於所有的情境，對一些風險決策過程，執行LOPA可能過於複雜，而對另一些決策LOPA可能又顯得過於簡化。82保護層分析限制條件只有使用相同的LOPA方法(即使用相同的方保護層分析限制條件(續)在風險決策過程中，與定性的方法如HazOp和What-if相比，LOPA顯得較耗時。在中度複雜的情境中，由於LOPA改善了風險決策過程而彌補了LOPA的耗時。對於簡單的決策，LOPA的使用價值不明顯。而對於很複雜的情境和決策，LOPA比定性方法更節省時間，因為LOPA將重點集中於風險決策。LOPA本身並不是一個危害辨識工具，LOPA依賴辨別起始危險事件的方法以及確定事件原因的防護措施所採用的方法(包括定性危害審查方法)，LOPA執行過程的嚴謹性使得它更常運用於澄清定性危害審查中不明確的情境。不同公司在風險容忍標準和LOPA執行程序的差異性，顯示分析結果通常不能在各公司之間直接比較。83保護層分析限制條件(續)在風險決策過程中，與定性的方法如Ha保護層分析的優點

與定量風險分析相比，LOPA花費的時間較少，因此適用於定性風險評估等法應用的複雜情境。LOPA可幫助解決決策時分歧的意見，它提供了一致的、簡化的架構評估情境風險並為討論風險提供了一致的術語，與基於”風險對我而言可以接受”的主觀或主觀上的判斷相比，LOPA提供了一個更好的風險決策基礎，這對於那些正在由定性到更多定量風險分析轉變的公司尤其有幫助。LOPA可以提高危害評估會議的效率，因為它可以幫助更快速地達成風險判斷共識。84保護層分析的優點與定量風險分析相比，LOPA花費的時間較少保護層分析的優點(續1)LOPA有助於更精確地確定原因－後果組合，因此可以改善情境辨識。如果整個公司使用同樣的方法，LOPA可用於單元之間或工廠之間的風險比較。與定性方法相比，LOPA提供了更具可靠性的風險判斷，因為LOPA要求非常嚴謹的記錄，並且可以提供情境頻率和後果的具體數據。LOPA可以用於協助一個公司決定風險是否符合合理可行的降低(AsLowAsReasonablyPracticable,ALARP)原則，這也有助於滿足特定的法令要求。85保護層分析的優點(續1)LOPA有助於更精確地確定原因－後保護層分析的優點(續2)

LOPA可以幫助辨識被認為有充份防護措施的操作和實務，但經過更詳細的分析後，其措施並不能將風險降低到可容忍的水準。LOPA為每個獨立保護層提供了更明確的功能要求。LOPA的資料可以幫助公司決定操作、維護以及相關訓練的重點應專注於那些防護措施，例如，許多公司決定將檢查、測試和預防性維修作業的重點放在LOPA辨別出的防護層，因此LOPA是執行製程安全管理設備完整性或基於風險的維修系統的有效工具，它有助於確定”安全關鍵設備”的屬性及功能。86保護層分析的優點(續2)LOPA可以幫助辨識被認為有充份發展情境

情境是導致不良後果的意外事件或一系列事件，每個情境至少包括兩項要素：引起一連串事件的起始事件(例如冷卻失效)；後果，指如果事件鏈繼續發展沒有中斷，所導致的後果

(如可能造成的系統超壓、有毒或易燃物質洩漏到大氣中、

死亡等)。

起始事件

後果構成一個情境的最基本要求

87發展情境情境是導致不良後果的意外事件或一系列事件，每個發展情境(續)

每個情境都必須有唯一的起始事件及其對應的後果，如果同一起始事件能導致不同後果，那麼應該發展多種情境。在某些情況下，許多情境可能開始於同一起始事件(如公用系統失效)，則應該為每個單元制定單獨的情境。如果利用人員死亡、營運或環境損害作為後果，則在情境中還可能包括下列部分或全部因素或結果修正因子：可燃物質的點火機率；人員出現在事件影響區域的機率；火災、爆炸或有毒物質釋放的暴露致死機率(包括撤離或

保護行動)；導致設備(設施)一定經濟損失的機率。88發展情境(續)每個情境都必須有唯一的起始事件及其對應的HazOp與LOPA關聯性

偏差造成偏差原因後果其它造成低風險原因不滿足公司標準的後果現有安全措施不滿足IPL定義的安全措施起始事件(選擇一件以代表情境)情境背景與描述後果(每次選一種)獨立保護層(IPLs)HazOp未辨識的IPLs觸發事件和條件額外風險減緩措施使風險可容忍建議事項不必要的措施(不需要的建議)起始事件頻率10-x/a嚴重程度或經濟損失分類IPLs要求失效機率IPLs要求失效機率事件或條件機率繼續下一個原因－後果配對選擇：綜合程序的風險與程序風險標準比較風險是否可容忍?否

是

HazOp資料LOPA不需要的資料LOPA採用的資料LOPA採用的數據其它造成低風險原因89HazOp與LOPA關聯性偏差造成偏差原因後果其它造成低起始事件

LOPA的每一情境都有單一的起始事件，起始事件頻率通常以每年發生的次數表示，一些資料也使用其他的單位來表示，如106每小時發生的次數。起始事件一般分為三類型:外部事件、設備故障、人為失誤(也稱為不恰當的行為)。根本原因被定義為”事故發生的潛在系統原因”，起始事件是各種根本原因的結果，包括外部事件、設備故障或人為失誤。起始事件的根本原因都不相同，在確定起始事件時不應太深究其根本原因。不過根本原因有助於確認起始事件發生的頻率。因此當評估起始事件頻率時，需要考慮一些根本原因。90起始事件LOPA的每一情境都有單一的起始事件，起始事起始事件(續1)與設備有關的起始事件可以被進一步分為控制系統失效和機械故障。控制系統失效包括(但不限於):基本程序控制系統(BasicProcessControlSystem,BPCS)原件失效；軟體失效或故障；控制支援系統失效(例如電力系統、儀控空氣系統)。91起始事件(續1)與設備有關的起始事件可以被進一步分為控起始事件(續2)機械故障包括(但不限於)：磨損、疲勞或腐蝕造成的容器或管線失效設計、技術規格或製造/製備缺陷造成的管線失效；超壓造成的容器或管線失效(例如熱膨脹、清管/吹除)或低壓(真空導致崩塌)；震動導致的失效(例如轉動設備)；維護/維修不完善(包括使用不合格的替代材料)所造成的失效；92起始事件(續2)機械故障包括(但不限於)：30起始事件(續3)高溫(如火災暴露、冷卻失效)或低溫，及脆性斷裂(如自動冷凍、低環境氣溫)引起的失效；湍流或水擊引起的失效；內部爆炸、分解或其他失控反應造成的失效。與人為失效相關的原因或者是疏忽或者是錯誤，其中包括(但不限於):未能按正確順序執行任務步驟，或遺漏一些步驟(有些行動沒有執行)；未能正確觀察或因應製程或系統顯示的條件或其他提示(有些行動執行錯誤)。93起始事件(續3)高溫(如火災暴露、冷卻失效)或低溫，及脆性起始事件典型頻率

起始事件來自文獻的頻率範圍(每年)某公司進行LOPA時的選擇值(每年)壓力容器疲勞失效10-5~10-71×10-6管線疲勞失效-100m-全部斷裂10-5~10-61×10-5管線洩漏(10％截面積)-100m10-3~10-41×10-3常壓儲槽失效10-3~10-51×10-3墊片/填料爆裂10-2~10-61×10-2渦輪/柴油發動機超速，外套破裂10-3~10-41×10-4第三方破裂(怪手、車輛等外部影響)10-2~10-41×10-2起重機載荷掉落10-3~10-4/起吊1×10-4/起吊雷擊10-3~10-41×10-3安全閥誤開啟10-2~10-41×10-294起始事件典型頻率起始事件來自文獻的頻率範圍某公司進行L起始事件典型頻率(續)

冷卻水失誤1~10-21×10-1泵密封失效10-1~10-21×10-1卸載/裝載軟管失效1~10-21×10-1BPCS儀表控制迴路失效注：IEC61511的限制大於1×10-5/h或8.76×10-2/a(IEC,2001)1~10-21×10-1調節器失效1~10-11×10-1小的外部火災(多因素)10-1~10-21×10-1大的外部火災(多因素)10-2~10-31×10-2LOTO(鎖定、標定)程序失效(多個元件的總失效)10-3~10-4/次1×10-3/次操作人員失效(執行一般程序，假設得到較好的訓練、不緊張、不疲勞)10-1~10-3/次1×10-2/次95起始事件典型頻率(續)冷卻水失誤1~10-21×10-獨立保護層定義和功能

獨立保護層是能夠阻止情境朝向不良後果繼續發展的設備、系統或行動，並且獨立於啟始事件或情境中其他保護層的行動。獨立保護層的有效性和獨立性必須具有可審查性。如下圖的事件鏈中，A點安裝的獨立保護層IPL必要時應採取行動，如果A點的獨立保護層如期作動，則可以阻止不良後果發生。如果情境中所有的獨立保護層都無法如期作動，那麼不良後果將隨著啟始事件發生。起始事件IPL如期作動A安全後果後果發生(儘管存在IPL)獨立保護層IPL未如期作動96獨立保護層定義和功能獨立保護層是能夠阻止情境朝向不良後獨立保護層定義和功能(續)

區分獨立保護層和防護措施非常重要，防護措施可以是中斷起始事件發生後的事件鏈的任何設備、系統或行動。但是，由於一些防護措施的有效性、獨立性或其他因素缺乏數據，具有不確定性，因此這些防護措施的有效性難以確定。獨立保護層的有效性根據要求失效機率(PFD)進行確認，PFD定義為系統要求時IPL失效不能發揮具體功能的機率。PFD為0和1之間的無因次數字，PFD值越小，該保護層對某一啟始事件後果頻率降低的越多，獨立保護層的“降低頻率”有時被稱為“風險降低因子。97獨立保護層定義和功能(續)區分獨立保護層和防護措施非常見保護層的特性程序設計許多公司假設若製程符合本質更安全設計，一些情境不可能發生。例如設備可能被設計用於承受特定情境的最大壓力、限制批次反應器的容量、存量更低或化學物質替代等，本質更安全設計可以消除一些情境。有些公司認為本質更安全製程設計功能有一個非零的PFD，也就是說，在實際製程中，已經證實它們具有一定的失效模式。這些公司將本質更安全的製程設計功能作為一種獨立保護層IPL，這類獨立保護層的設計是為了防止後果的發生。98常見保護層的特性程序設計36常見保護層的特性(續1)

基本製程控制系統基本製程控制系統(BasicProcessControlSystem,BPCS)包括正常的手動控制，是製程正常運用期間的第一層保護，BPCS的設計是為了使製程處在安全操作範圍。如果BPCS控制環路的正常操作符合適當的標準，則可作為獨立保護層。BPCS失效可以被視為起始事件，當考慮使用BPCS作為獨立保護層時，分析人員必須評估BPCS使用和管理系統(AccessControlandSecuritySystem)的有效性，因為人員疏失會破壞BPCS的功能。99常見保護層的特性(續1)基本製程控制系統37常見保護層的特性(續2)關鍵警報和人員干預這類系統是製程正常運作期間的第二層保護，並且這些系統應該被BPCS啟動，當報警或觀察引發的操作人員行為符合各種標準，確保行動的有效性時(例如獨立性)，則操作人員行動可作為獨立保護層。公司的程序和訓練可以改善操作人員的執行能力，但警報因應步驟本身並不是獨立保護層。100常見保護層的特性(續2)關鍵警報和人員干預38常見保護層的特性(續3)安全儀控功能(SafetyInstrumentedFunction，SIF)安全儀控功能是由量測器、邏輯運算器和最終控制元件組成，具有一定的安全完整性要求，安全儀控功能偵測超過安全恕限(異常)條件，控制程序進入功能性安全狀態。安全儀控功能SIF在功能上獨立於BPCS，安全儀控功能通常為一種獨立保護層。安全儀控功能系統的設計、系統備份程度、測試頻率和類型將決定LOPA中SIF的PFD。101常見保護層的特性(續3)安全儀控功能(SafetyInst常見保護層的特性(續4)物理保護(安全閥、破裂盤等)如果這類設備設計、維護和尺寸合適，則可以提供較高程度的超壓保護。但是，如果切斷閥安裝在洩壓閥下方或者檢查和維護工作品質較差，則這類設備的有效性可能受到污垢或腐蝕的影響。如果物質從安全閥排放到大氣，則可能會造成其他後果，這需要進一步的評估，這會涉及燃燒塔、驟冷槽、洗滌塔等設備有效性的檢查。102常見保護層的特性(續4)物理保護(安全閥、破裂盤等)40常見保護層的特性(續5)釋放後保護(防液堤、防爆牆等)這些獨立保護層是被動的保護設備，如果設計和維護正確，這類獨立保護層可提供較有效的保護。雖然它們的失效率低，但是在情境中也應考慮PFD。此外，如果自動灑水系統、泡沫系統或氣體偵測系統等滿足獨立保護層的要求，在一些特殊情境中，也可以將它們作為獨立保護層。103常見保護層的特性(續5)釋放後保護(防液堤、防爆牆等)41常見保護層的特性(續6)工廠緊急應變這些措施如消防隊、人工防洪系統、工廠緊急疏散等通常不視為獨立保護層，因為它們是在初始釋放之後被啟動，並且有太多因素(如時間延遲)影響了它們在消減情境的整體有效性。104常見保護層的特性(續6)工廠緊急應變42常見保護層的特性(續7)社區緊急應變這些措施，如社區撤離和避難所，通常不被視為獨立保護層，因為它們是在初始釋放之後被啟動，並且有太多因素影響了它們在消減情境的整體有效性，它們對工廠的工人沒有提供任何保護。105常見保護層的特性(續7)社區緊急應變43獨立保護層基本原則設備、系統或行動作為獨立保護層時，必須滿足的條件是：有效性：按照設計的功能發揮作用，必須能有效地防止後果發生；獨立性：獨立於起始事件和任何其他已經被認為是同一情境的獨立保護層的構成元件；可審查性：對於阻止後果的有效性和PFD必須能夠以某種方式(通過記錄、審查、測試等)進行驗證。106獨立保護層基本原則設備、系統或行動作為獨立保護層時，必須獨立保護層基本原則(續1)如果某設備、系統或行動確認為獨立保護層，那麼它必須有效地防止該情境不期望的後果。為了確定防護措施是否是獨立保護層，可利用下列問題協助小組或分析人員作出適當的判斷。防護措施能否偵測到需要採取行動的狀況，這可能是一個製程改變或警報等，如果防護措施不能偵測到這些狀況，並且不能產生具體的行動，那麼就不是獨立保護層。防護措施能否及時偵測到狀況，以採取正確的行動防止不良後果的發生，所需的時間必須包括：偵測到狀況的時間；處理信號和作出決策的時間；採取必要行動的時間；行動生效的時間。107獨立保護層基本原則(續1)如果某設備、系統或行動確認為獨獨立保護層基本原則(續2)在允許的時間內，獨立保護層是否有足夠能力採取所要求的行動，如果需要一項具體的規格要求(例如安全閥洩放面積、防液堤容積等)，那麼安裝的防護措施是否能夠符合這些要求?對於所要求的行動，獨立保護層的強度是否充足?獨立保護層的強度包括：物理強度(例如防爆牆或防液堤)；某特定情境條件下閥門的關閉能力(例如閥門彈簧、驅動器或元件的強度)；人員強度(例如所要求的任務是否在操作人員能力範圍內)。如果防護措施不能滿足這些要求，則它不是獨立保護層。108獨立保護層基本原則(續2)在允許的時間內，獨立保護層是否有足獨立保護層基本原則(續3)LOPA獨立