保护层分析课件.ppt

1、 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心1事件樹和保護層分析事件樹和保護層分析于樹偉于樹偉財團法人安全衛生技術中心財團法人安全衛生技術中心 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心2 2預防事故發生的保護層預防事故發生的保護層 1. 製程製程設計設計2. 基本程序控制、警報、基本程序控制、警報、 操作人員監控操作人員監控3. 關鍵警報、操作人員監控關鍵警報、操作人員監控 、手動方式介入、手動方式介入/操作操作4.安全儀控系統安全儀控系統5. 物理性防護物理性防護(排放系統排放系統)6. 物理性防護物理性防護( (防溢堤防溢堤) ) 7. 廠內緊

2、急應變廠內緊急應變8.社區社區緊急應變緊急應變 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心3保護層基本概念保護層基本概念 緊急應變防護層緊急應變防護層 被被動式防護層動式防護層 主動式防護層主動式防護層設備設備安全防護層安全防護層緊急緊急停俥停俥異常狀態異常狀態程序控制層程序控制層製程停俥製程停俥正常狀態正常狀態程序控制層程序控制層製程變數製程變數停俥條件停俥條件警報條件警報條件廠區和社區廠區和社區緊急應變緊急應變 防溢堤防溢堤排放閥、排放閥、破裂盤破裂盤 安全儀控安全儀控系統系統人員介入人員介入基本程序基本程序控制系統控制系統消减系統消减系統預防系統預防系統正常操作範圍

3、正常操作範圍硬體承硬體承受上限受上限操作操作承承受上限受上限 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心4事件樹分析事件樹分析 事件樹分析事件樹分析(Event Tree Analysis, ETA)是根據二元邏輯是根據二元邏輯的方式，將事件的發生分為可能或不可能二類，的方式，將事件的發生分為可能或不可能二類，或者是將設備運作的功能以失效或成功表示，或者是將設備運作的功能以失效或成功表示，藉由圖形的方式描述由起始事件到可能的後果，起始事藉由圖形的方式描述由起始事件到可能的後果，起始事件為特定設備失效或人為失誤。件為特定設備失效或人為失誤。ETA以起始事件做為開以起始事件做

4、為開始，例如設備零件的失效、溫度或壓力的增加或是危害始，例如設備零件的失效、溫度或壓力的增加或是危害物質洩漏，經由一系列可能的途徑演變至可能的後果，物質洩漏，經由一系列可能的途徑演變至可能的後果，對每條途徑分配可能發生的機率，則可計算單一危害可對每條途徑分配可能發生的機率，則可計算單一危害可能導致不同事件結果的發生頻率。能導致不同事件結果的發生頻率。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心5事件樹分析事件樹分析 成功成功成功成功成功成功失敗失敗失敗失敗失敗失敗安全結果安全結果(情境情境1)不期望但可容忍的不期望但可容忍的結果結果(情境情境2)不期望但可容忍的不期望但可

5、容忍的結果結果(情境情境3)後果超出標準後果超出標準(情境情境4)起始事起始事件件保護層保護層1保護層保護層2保護層保護層3 結果結果 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心6ETA執行步驟執行步驟l辨起始事件；辨起始事件； l辨防護層或危害影響因子；辨防護層或危害影響因子； l建構事件樹；建構事件樹； l將結果分類；將結果分類； l估計事件樹中每一分枝的機率；估計事件樹中每一分枝的機率；l量化結果；量化結果； l審查結果。審查結果。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心7事件樹的優點事件樹的優點 l圖解的方式呈現啟始事件到事件結果間的事圖

6、解的方式呈現啟始事件到事件結果間的事 件鏈，容易瞭解事件順序之間的邏輯關係；件鏈，容易瞭解事件順序之間的邏輯關係；l分析過程直接顯示防護層的成功或失效對於分析過程直接顯示防護層的成功或失效對於 事件結果情境發展的影響；事件結果情境發展的影響； l對於評估新的或已改善的製程和安全功能，對於評估新的或已改善的製程和安全功能， 提供良好的評估基礎；提供良好的評估基礎； l可適用於分析複雜的製程，或具有重大事故可適用於分析複雜的製程，或具有重大事故 危害的評估；危害的評估； l為一兼具定性與定量的評估技術；為一兼具定性與定量的評估技術； l可考量硬體、軟體失效及人為失誤相關問題。可考量硬體、軟體失效及

7、人為失誤相關問題。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心8事件樹的缺點事件樹的缺點 l圖形的陳述方式沒有相關的標準或規範；圖形的陳述方式沒有相關的標準或規範； l每一次的分析只能針對一件起始事件；每一次的分析只能針對一件起始事件； l容易忽略共同原因失效的影響，造成過度樂容易忽略共同原因失效的影響，造成過度樂觀的估計風險；觀的估計風險； l防護層或影響因子排列數目會影響樹的分枝防護層或影響因子排列數目會影響樹的分枝發展，容易過大而複雜化。發展，容易過大而複雜化。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心9保護層分析概論保護層分析概論 LOPA

8、 (Layer of Protection Analysis LOPA)的主要目的的主要目的是確定是否有足夠的保護層以防止意外事故發生或判定是確定是否有足夠的保護層以防止意外事故發生或判定風險是否能夠容忍。事故情境可能有各種不同類型的保風險是否能夠容忍。事故情境可能有各種不同類型的保護層，一個情境可能需要一種或多重保護層，這取決於護層，一個情境可能需要一種或多重保護層，這取決於製程的複雜程度和潛在後果的嚴重性。值得注意的是，製程的複雜程度和潛在後果的嚴重性。值得注意的是，對於特定的情境，只需一種保護層成功運作就可避免事對於特定的情境，只需一種保護層成功運作就可避免事故後果的發生。然而，因為沒有

9、任何一種保護層是完全故後果的發生。然而，因為沒有任何一種保護層是完全有效的，所以必須提供充份的保護層以降低事故風險，有效的，所以必須提供充份的保護層以降低事故風險，並滿足風險容忍標準。並滿足風險容忍標準。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心10保護層分析概論保護層分析概論 (續續)l對於特定的情境，對於特定的情境，LOPA提供了一致的基礎，可用於判提供了一致的基礎，可用於判斷是否有足夠的獨立保護層控制事故風險。如果情境的斷是否有足夠的獨立保護層控制事故風險。如果情境的風險為不可接受，則需要增加額外的獨立保護層。風險為不可接受，則需要增加額外的獨立保護層。l一旦選定

10、進行分析的原因後果組合，分析人員就能夠一旦選定進行分析的原因後果組合，分析人員就能夠使用使用LOPA確定哪些製程和管理控制措施確定哪些製程和管理控制措施(通常稱為防護通常稱為防護措施措施)滿足獨立保護層的定義，並評估情境的風險狀況。滿足獨立保護層的定義，並評估情境的風險狀況。然後可進一步根據評估的結果進行風險分析，協助分析然後可進一步根據評估的結果進行風險分析，協助分析人員決定達到可容忍等級需要多少額外的風險消減措施。人員決定達到可容忍等級需要多少額外的風險消減措施。針對某一情境執行針對某一情境執行LOPA分析時，也可能發現其他情境分析時，也可能發現其他情境或問題。或問題。 SAHTECH 財

11、團法人財團法人安全衛生技術中心安全衛生技術中心11獨立保護層和後果發生頻率關聯性獨立保護層和後果發生頻率關聯性 IPL1 IPL2 IPL3箭頭的粗細代表了後果發生的頻率箭頭的粗細代表了後果發生的頻率 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心12保護層分析步驟保護層分析步驟 評估進一步評估進一步的風險消減的風險消減建議建議估計後果估計後果和嚴重性和嚴重性進行風險進行風險決策決策確定情境確定情境頻率頻率發展情境發展情境確定起始確定起始事件事件辨別相關辨別相關的獨立保的獨立保護層護層步驟步驟 1 步驟步驟 2步驟步驟 4步驟步驟 5步驟步驟 6步驟步驟 3 SAHTECH

12、財團法人財團法人安全衛生技術中心安全衛生技術中心13保護層分析步驟保護層分析步驟1 篩選情境：因為篩選情境：因為LOPA通常評估危害分析已辨的情境，通常評估危害分析已辨的情境，因此因此LOPA分析人員的第一個步驟是篩選可能的情境，分析人員的第一個步驟是篩選可能的情境，最常見的篩選方法是基於後果的嚴重度。後果通常在定最常見的篩選方法是基於後果的嚴重度。後果通常在定性危害分析性危害分析(如如HazOp研究研究)過程中已予以辨，接下來過程中已予以辨，接下來分析人員將對後果進行分析分析人員將對後果進行分析(包括後果影響包括後果影響)，有些公司，有些公司的後果分析只評估洩漏物質和能量的大小，這種評估結的

13、後果分析只評估洩漏物質和能量的大小，這種評估結果潛在地表示了事故情境，但是沒有明確表明對人員、果潛在地表示了事故情境，但是沒有明確表明對人員、環境和生產製程產生的危害。還有一些公司會對洩漏過環境和生產製程產生的危害。還有一些公司會對洩漏過程進行模擬，以得到具體情境下的傷害可能性，進而更程進行模擬，以得到具體情境下的傷害可能性，進而更加精確地評估對人員、環境和生產製程造成的風險，例加精確地評估對人員、環境和生產製程造成的風險，例如確定某洩漏情境下操作人員受傷的機率。如確定某洩漏情境下操作人員受傷的機率。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心14綜合損失類型綜合損失類型

14、 低度後果低度後果人員人員輕微傷害或沒有受傷；不會損失工作時間輕微傷害或沒有受傷；不會損失工作時間社區社區輕微傷害或沒有受傷；不會引起公眾厭惡輕微傷害或沒有受傷；不會引起公眾厭惡環境環境釋放未導致公司通報主管機關或違反規定釋放未導致公司通報主管機關或違反規定設施設施輕微的設備破壞，損失小於輕微的設備破壞，損失小於$100,000，沒有生產損失，沒有生產損失中度後果中度後果人員人員個人受傷，不嚴重；可能會損失工作時間個人受傷，不嚴重；可能會損失工作時間社區社區氣味或噪音引起公眾抱怨氣味或噪音引起公眾抱怨環境環境釋放導致公司須通報主管機關或違反規定釋放導致公司須通報主管機關或違反規定設施設施一些設

15、備破壞，損失大於一些設備破壞，損失大於$100,000，輕微生產損失，輕微生產損失高度後果高度後果人員人員一位或多位人員嚴重傷害一位或多位人員嚴重傷害社區社區一位或多位人員嚴重傷害一位或多位人員嚴重傷害環境環境大量的釋放，對廠外造成嚴重的影響大量的釋放，對廠外造成嚴重的影響設施設施對製程區造成嚴重破壞，損失大於對製程區造成嚴重破壞，損失大於$1,000,000，高度生產損失，高度生產損失非常嚴重後果非常嚴重後果人員人員致死或永久性傷殘致死或永久性傷殘社區社區一位或多位人員嚴重傷害一位或多位人員嚴重傷害環境環境大量的釋放，對廠外造成嚴重的影響，並且造成急性或慢性健康影響大量的釋放，對廠外造成嚴重

16、的影響，並且造成急性或慢性健康影響設施設施對製程區造成嚴重破壞，損失大於對製程區造成嚴重破壞，損失大於$10,000,000，嚴重生產損失，嚴重生產損失 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心15保護層分析步驟保護層分析步驟2 選擇某一事故情境：選擇某一事故情境：LOPA一次只能選擇一種情一次只能選擇一種情境，這個情境可來自其他分析境，這個情境可來自其他分析(如定性分析如定性分析)，但，但是這種情境描述的應是單一的原因後果配對。是這種情境描述的應是單一的原因後果配對。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心16保護層分析步驟保護層分析步驟3

17、辨情境起始事件，並確定起始事件頻率辨情境起始事件，並確定起始事件頻率(次數次數/年年)：在所有防護措施失效時，起始事件必然會導：在所有防護措施失效時，起始事件必然會導致後果的發生。起始事件頻率必須考慮情境的背致後果的發生。起始事件頻率必須考慮情境的背景情況，如可引發情境的操作模式的頻率。大多景情況，如可引發情境的操作模式的頻率。大多數公司提供了評估事件頻率的指南，以確保數公司提供了評估事件頻率的指南，以確保LOPA後果的一致性。後果的一致性。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心17保護層分析步驟保護層分析步驟4 辨獨立保護層，並評估每個獨立保護層要求失辨獨立保護層

18、，並評估每個獨立保護層要求失效機率效機率(Probability of Failure on Demand, PFD)：因為因為LOPA是是”保護層分析保護層分析”的簡稱，有些事故的簡稱，有些事故情境只需要一個獨立保護層，而另外一些事故情情境只需要一個獨立保護層，而另外一些事故情境，可能需要多種獨立保護層，或失效機率非常境，可能需要多種獨立保護層，或失效機率非常低的獨立保護層，以確認事故情境的風險滿足容低的獨立保護層，以確認事故情境的風險滿足容忍標準。對於特定情境，辨現有的安全保護措忍標準。對於特定情境，辨現有的安全保護措施是否滿足獨立保護層施是否滿足獨立保護層IPLs的要求是的要求是LOPA

19、的核的核心觀念。心觀念。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心18保護層分析步驟保護層分析步驟5 利用後果、起始事件和獨立保護層相關數據，評利用後果、起始事件和獨立保護層相關數據，評估情境風險：計算過程能包含其他因素，這取決估情境風險：計算過程能包含其他因素，這取決於後果的定義於後果的定義(事件的影響事件的影響)，計算方法包含公式，計算方法包含公式法和圖表法，無論使用什麼方法，計算的結果必法和圖表法，無論使用什麼方法，計算的結果必須予以記錄。須予以記錄。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心19保護層分析步驟保護層分析步驟6 針對所分析的

20、情境評估風險並作出決策：將情境針對所分析的情境評估風險並作出決策：將情境風險與公司容忍風險標準和風險與公司容忍風險標準和(或或)相關的目標相比相關的目標相比較。較。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心20保護層分析限制條件保護層分析限制條件l只有使用相同的只有使用相同的LOPA方法方法(即使用相同的方法即使用相同的方法選擇失效數據選擇失效數據)，情境風險的比較才有效，並，情境風險的比較才有效，並且比較都是基於同樣的風險容忍標準或者與且比較都是基於同樣的風險容忍標準或者與LOPA確定的其他情境風險相比較。確定的其他情境風險相比較。LOPA計計算結果並不是情境風險的標

21、準值，這也是算結果並不是情境風險的標準值，這也是 LOPA在定量風險分析方面的限制。在定量風險分析方面的限制。lLOPA是一種簡化的方法，並不適合用於所有是一種簡化的方法，並不適合用於所有的情境，對一些風險決策過程，執行的情境，對一些風險決策過程，執行LOPA可可能過於複雜，而對另能過於複雜，而對另 一些決策一些決策LOPA可能又顯可能又顯得過於簡化。得過於簡化。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心21保護層分析限制條件保護層分析限制條件(續續)l在風險決策過程中，與定性的方法如在風險決策過程中，與定性的方法如HazOp和和What-if相比，相比，LOPA顯得較

22、耗時。在中度複雜的情境中，由於顯得較耗時。在中度複雜的情境中，由於LOPA改善改善了風險決策過程而彌補了了風險決策過程而彌補了LOPA的耗時。對於簡單的決策，的耗時。對於簡單的決策，LOPA的使用價值不明顯。而對於很複雜的情境和決策，的使用價值不明顯。而對於很複雜的情境和決策，LOPA比定性方法更節省時間，因為比定性方法更節省時間，因為LOPA將重點集中於風將重點集中於風險決策。險決策。lLOPA本身並不是一個危害辨工具，本身並不是一個危害辨工具，LOPA依賴辨別起依賴辨別起 始危險事件的方法以及確定事件原因的防護措施所採用始危險事件的方法以及確定事件原因的防護措施所採用 的方法的方法(包括定

23、性危害審查方法包括定性危害審查方法)，LOPA執行過程的嚴謹執行過程的嚴謹 性使得它更常運用於澄清定性危害審查中不明確的情性使得它更常運用於澄清定性危害審查中不明確的情 境。境。l不同公司在風險容忍標準和不同公司在風險容忍標準和LOPA執行程序的差異性，顯執行程序的差異性，顯 示分析結果通常不能在各公司之間直接比較。示分析結果通常不能在各公司之間直接比較。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心22保護層分析的優點保護層分析的優點 l與定量風險分析相比，與定量風險分析相比，LOPA花費的時間較少，因此適花費的時間較少，因此適 用於定性風險評估等法應用的複雜情境。用於定

24、性風險評估等法應用的複雜情境。lLOPA可幫助解決決策時分歧的意見，它提供了一致可幫助解決決策時分歧的意見，它提供了一致 的、簡化的架構評估情境風險並為討論風險提供了一致的、簡化的架構評估情境風險並為討論風險提供了一致 的術語，與基於的術語，與基於”風險對我而言可以接受風險對我而言可以接受”的主觀或主的主觀或主觀觀 上的判斷相比，上的判斷相比，LOPA提供了一個更好的風險決策基礎，提供了一個更好的風險決策基礎，這對於那些正在由定性到更多定量風險分析轉變的公司這對於那些正在由定性到更多定量風險分析轉變的公司尤其有幫助。尤其有幫助。l LOPA可以提高危害評估會議的效率，因為它可以幫助可以提高危害

25、評估會議的效率，因為它可以幫助 更快速地達成風險判斷共。更快速地達成風險判斷共。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心23保護層分析的優點保護層分析的優點 (續續1)lLOPA有助於更精確地確定原因後果組合，因此可以有助於更精確地確定原因後果組合，因此可以 改善情境辨。改善情境辨。l如果整個公司使用同樣的方法，如果整個公司使用同樣的方法，LOPA可用於單元之間可用於單元之間 或工廠之間的風險比較。或工廠之間的風險比較。l與定性方法相比，與定性方法相比，LOPA提供了更具可靠性的風險判提供了更具可靠性的風險判 斷，因為斷，因為LOPA要求非常嚴謹的記錄，並且可以提供情

26、要求非常嚴謹的記錄，並且可以提供情 境頻率和後果的具體數據。境頻率和後果的具體數據。lLOPA可以用於協助一個公司決定風險是否符合合理可可以用於協助一個公司決定風險是否符合合理可 行的降低行的降低(As Low As Reasonably Practicable, ALARP)原原 則，這也有助於滿足特定的法令要求。則，這也有助於滿足特定的法令要求。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心24保護層分析的優點保護層分析的優點 (續續2)l LOPA可以幫助辨被認為有充份防護措施的操作和實可以幫助辨被認為有充份防護措施的操作和實 務，但經過更詳細的分析後，其措施並不能將

27、風險降低務，但經過更詳細的分析後，其措施並不能將風險降低 到可容忍的水準。到可容忍的水準。lLOPA為每個獨立保護層提供了更明確的功能要求。為每個獨立保護層提供了更明確的功能要求。lLOPA的資料可以幫助公司決定操作、維護以及相關訓的資料可以幫助公司決定操作、維護以及相關訓 練的重點應專注於那些防護措施，例如，許多公司決定練的重點應專注於那些防護措施，例如，許多公司決定 將檢查、測試和預防性維修作業的重點放在將檢查、測試和預防性維修作業的重點放在LOPA辨別辨別 出的防護層，因此出的防護層，因此LOPA是執行製程安全管理設備完整是執行製程安全管理設備完整 性或基於風險的維修系統的有效工具，它有

28、助於確定性或基於風險的維修系統的有效工具，它有助於確定”安安 全關鍵設備全關鍵設備”的屬性及功能。的屬性及功能。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心25發展情境發展情境 情境是導致不良後果的意外事件或一系列事件，每個情情境是導致不良後果的意外事件或一系列事件，每個情境至少包括兩項要素：境至少包括兩項要素：l引起一連串事件的起始事件引起一連串事件的起始事件(例如冷卻失效例如冷卻失效)；l後果，指如果事件鏈繼續發展沒有中斷，所導致的後果後果，指如果事件鏈繼續發展沒有中斷，所導致的後果 (如可能造成的系統超壓、有毒或易燃物質洩漏到大氣中、如可能造成的系統超壓、有毒或易燃

29、物質洩漏到大氣中、 死亡等死亡等)。 起起始事始事件件 後果後果構成一個情境的最基本要求構成一個情境的最基本要求 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心26發展情境發展情境 (續續) 每個情境都必須有唯一的起始事件及其對應的後果，如每個情境都必須有唯一的起始事件及其對應的後果，如果同一起始事件能導致不同後果，那麼應該發展多種情果同一起始事件能導致不同後果，那麼應該發展多種情境。在某些情況下，許多情境可能開始於同一起始事件境。在某些情況下，許多情境可能開始於同一起始事件(如公用系統失效如公用系統失效)，則應該為每個單元制定單獨的情境。，則應該為每個單元制定單獨的情境。如

30、果利用人員死亡、營運或環境損害作為後果，則在情如果利用人員死亡、營運或環境損害作為後果，則在情境中還可能包括下列部分或全部因素或結果修正因子：境中還可能包括下列部分或全部因素或結果修正因子：l可燃物質的點火機率；可燃物質的點火機率；l人員出現在事件影響區域的機率；人員出現在事件影響區域的機率；l火災、爆炸或有毒物質釋放的暴露致死機率火災、爆炸或有毒物質釋放的暴露致死機率(包括撤離或包括撤離或 保護行動保護行動)；l導致設備導致設備(設施設施)一定經濟損失的機率。一定經濟損失的機率。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心27HazOp與與LOPA關聯性關聯性 偏差偏差

31、造成偏差原因造成偏差原因後果後果其它造成低風險原因不滿足公司標準的不滿足公司標準的後果後果現有安全措施現有安全措施不滿足不滿足IPL定義的安定義的安全措施全措施起始事件起始事件(選擇一件選擇一件以代表情境以代表情境)情境背景與描述情境背景與描述後果後果(每次選一種每次選一種)獨立保護層獨立保護層(IPLs)HazOp未辨的未辨的IPLs觸發事件和條件觸發事件和條件額外風險減緩措施使額外風險減緩措施使風險可容忍風險可容忍建議事項建議事項不必要的措施不必要的措施(不需要的建議不需要的建議)起起始事件頻率始事件頻率10-x/a嚴重程度或經濟嚴重程度或經濟損失分類損失分類IPLs要求失效機要求失效機率

32、率IPLs要求失效機要求失效機率率事件或條件機率事件或條件機率繼續下一個原因繼續下一個原因後果配對後果配對選擇：綜合程序的風選擇：綜合程序的風險與程序風險標準比險與程序風險標準比較較風險是否風險是否可容忍可容忍? ?否否 是是 HazOp資料資料LOPA不需要的資料不需要的資料LOPA採用的資料採用的資料LOPA採用的數據採用的數據其它造成低風險原因其它造成低風險原因 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心28起始事件起始事件 LOPA的每一情境都有單一的起始事件，起始事件頻率的每一情境都有單一的起始事件，起始事件頻率通常以每年發生的次數表示，一些資料也使用其他的單通

33、常以每年發生的次數表示，一些資料也使用其他的單位來表示，如位來表示，如106每小時發生的次數。每小時發生的次數。 起始事件一般分為三類型起始事件一般分為三類型: 外部事件、設備故障、人為外部事件、設備故障、人為失誤失誤(也稱為不恰當的行為也稱為不恰當的行為)。根本原因被定義為。根本原因被定義為”事故事故發生的潛在系統原因發生的潛在系統原因”， 起始事件是各種根本原因的結起始事件是各種根本原因的結果，包括外部事件、設備故障或人為失誤。起始事件的果，包括外部事件、設備故障或人為失誤。起始事件的根本原因都不相同，在確定起始事件時不應太深究其根根本原因都不相同，在確定起始事件時不應太深究其根本原因。不

34、過根本原因有助於確認起始事件發生的頻率。本原因。不過根本原因有助於確認起始事件發生的頻率。因此當評估起始事件頻率時，需要考慮一些根本原因。因此當評估起始事件頻率時，需要考慮一些根本原因。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心29起始事件起始事件 (續續1) 與設備有關的起始事件可以被進一步分為控制系統失效與設備有關的起始事件可以被進一步分為控制系統失效和機械故障。控制系統失效包括和機械故障。控制系統失效包括(但不限於但不限於):l基本程序控制系統基本程序控制系統(Basic Process Control System, BPCS) 原件失效；原件失效；l軟體失效或

35、故障；軟體失效或故障；l控制支援系統失效控制支援系統失效(例如電力系統、儀控空氣系統例如電力系統、儀控空氣系統)。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心30起始事件起始事件 (續續2)機械故障包括機械故障包括(但不限於但不限於)：l磨損、疲勞或腐蝕造成的容器或管線失效磨損、疲勞或腐蝕造成的容器或管線失效l設計、技術規格或製造設計、技術規格或製造/製備缺陷造成的管線失製備缺陷造成的管線失 效；效；l超壓造成的容器或管線失效超壓造成的容器或管線失效(例如熱膨脹、清管例如熱膨脹、清管/吹吹 除除)或低壓或低壓(真空導致崩塌真空導致崩塌)；l震動導致的失效震動導致的失效(例

36、如轉動設備例如轉動設備)；l維護維護/維修不完善維修不完善(包括使用不合格的替代材料包括使用不合格的替代材料)所造成所造成 的失效；的失效； SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心31起始事件起始事件 (續續3)l高溫高溫(如火災暴露、冷卻失效如火災暴露、冷卻失效)或低溫，及脆性斷裂或低溫，及脆性斷裂(如自如自 動冷凍、低環境氣溫動冷凍、低環境氣溫)引起的失效；引起的失效；l湍流或水擊引起的失效；湍流或水擊引起的失效；l內部爆炸、分解或其他失控反應造成的失效。內部爆炸、分解或其他失控反應造成的失效。 與人為失效相關的原因或者是疏忽或者是錯誤，其中包與人為失效相關的原因

37、或者是疏忽或者是錯誤，其中包 括括(但不限於但不限於):l未能按正確順序執行任務步驟，或遺漏一些步驟未能按正確順序執行任務步驟，或遺漏一些步驟(有些行有些行 動沒有執行動沒有執行)；l未能正確觀察或因應製程或系統顯示的條件或其他提示未能正確觀察或因應製程或系統顯示的條件或其他提示 (有些行動執行錯誤有些行動執行錯誤)。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心32起始事件典型頻率起始事件典型頻率 起始事件起始事件來自文獻的頻率範圍來自文獻的頻率範圍(每年每年)某公司進行某公司進行LOPA時的選擇時的選擇值值(每年每年)壓力容器疲勞失效壓力容器疲勞失效10-510-71

38、10-6管線疲勞失效管線疲勞失效-100m-全部斷裂全部斷裂10-510-61 10-5管線洩漏管線洩漏(10截面積截面積)-100m10-310-41 10-3常壓儲槽失效常壓儲槽失效10-310-51 10-3墊片墊片/填料爆裂填料爆裂10-210-61 10-2渦輪渦輪/柴油發動機超速，外套破裂柴油發動機超速，外套破裂10-310-41 10-4第三方破裂第三方破裂(怪手、車輛等外部影響怪手、車輛等外部影響)10-210-41 10-2起重機載荷掉落起重機載荷掉落10-310-4/起吊起吊1 10-4/起吊起吊雷擊雷擊10-310-41 10-3安全閥誤開啟安全閥誤開啟10-210-41

39、 10-2 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心33起始事件典型頻率起始事件典型頻率(續續) 冷卻水失誤冷卻水失誤110-21 10-1泵密封失效泵密封失效10-110-21 10-1卸載卸載/裝載軟管失效裝載軟管失效110-21 10-1BPCS儀表控制迴路失效儀表控制迴路失效注：注：IEC61511的限制大於的限制大於1 10-5/h或或8.76 10-2/a(IEC, 2001)110-21 10-1調節器失效調節器失效110-11 10-1小的外部火災小的外部火災(多因素多因素)10-110-21 10-1大的外部火災大的外部火災(多因素多因素)10-210

40、-31 10-2LOTO(鎖定、標定鎖定、標定)程序失效程序失效(多個元件的總失多個元件的總失效效)10-310-4/次次1 10-3/次次操作人員失效操作人員失效(執行一般程序，假設得到較好執行一般程序，假設得到較好的訓練、不緊張、不疲勞的訓練、不緊張、不疲勞)10-110-3/次次1 10-2/次次 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心34獨立保護層定義和功能獨立保護層定義和功能 獨立保護層是能夠阻止情境朝向不良後果繼續發展的設獨立保護層是能夠阻止情境朝向不良後果繼續發展的設備、系統或行動，並且獨立於啟始事件或情境中其他保備、系統或行動，並且獨立於啟始事件或情境

41、中其他保護層的行動。獨立保護層的有效性和獨立性必須具有可護層的行動。獨立保護層的有效性和獨立性必須具有可審查性。如審查性。如下下圖的事件鏈中，圖的事件鏈中，A點安裝的獨立保護層點安裝的獨立保護層IPL必要時應採取行動，如果必要時應採取行動，如果A點的獨立保護層如期作動，點的獨立保護層如期作動，則可以阻止不良後果發生。如果情境中所有的獨立保護則可以阻止不良後果發生。如果情境中所有的獨立保護層都無法如期作動，那麼不良後果將隨著啟始事件發生。層都無法如期作動，那麼不良後果將隨著啟始事件發生。 起始事件起始事件IPL如期作動如期作動A安全後果安全後果後果發生後果發生(儘管存在儘管存在IPL)獨立保護層

42、獨立保護層IPL未如期作動未如期作動 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心35獨立保護層定義和功能獨立保護層定義和功能(續續) 區分獨立保護層和防護措施非常重要，防護措施可以是區分獨立保護層和防護措施非常重要，防護措施可以是中斷起始事件發生後的事件鏈的任何設備、系統或行動。中斷起始事件發生後的事件鏈的任何設備、系統或行動。但是，由於一些防護措施的有效性、獨立性或其他因素但是，由於一些防護措施的有效性、獨立性或其他因素缺乏數據，具有不確定性，因此這些防護措施的有效性缺乏數據，具有不確定性，因此這些防護措施的有效性難以確定。難以確定。 獨立保護層的有效性根據要求失效機率

43、獨立保護層的有效性根據要求失效機率(PFD)進行確認，進行確認，PFD定義為系統要求時定義為系統要求時IPL失效不能發揮具體功能的機失效不能發揮具體功能的機率。率。PFD為為0和和1之間的無因次數字，之間的無因次數字，PFD值越小，該保值越小，該保護層對某一啟始事件後果頻率降低的越多，獨立保護層護層對某一啟始事件後果頻率降低的越多，獨立保護層的的“降低頻率降低頻率”有時被稱為有時被稱為“風險降低因子。風險降低因子。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心36常見保護層的特性常見保護層的特性程序設計程序設計許多公司假設若製程符合本質更安全設計，一些情境不可許多公司假設若

44、製程符合本質更安全設計，一些情境不可能發生。例如設備可能被設計用於承受特定情境的最大壓能發生。例如設備可能被設計用於承受特定情境的最大壓力、限制批次反應器的容量、存量更低或化學物質替代等，力、限制批次反應器的容量、存量更低或化學物質替代等，本質更安全設計可以消除一些情境。有些公司認為本質更本質更安全設計可以消除一些情境。有些公司認為本質更安全製程設計功能有一個非零的安全製程設計功能有一個非零的PFD，也就是說，在實際，也就是說，在實際製程中，已經證實它們具有一定的失效模式。這些公司將製程中，已經證實它們具有一定的失效模式。這些公司將本質更安全的製程設計功能作為一種獨立保護層本質更安全的製程設計

45、功能作為一種獨立保護層IPL，這，這類獨立保護層的設計是為了防止後果的發生。類獨立保護層的設計是為了防止後果的發生。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心37常見保護層的特性常見保護層的特性(續續1) 基本製程控制系統基本製程控制系統基本製程控制系統基本製程控制系統(Basic Process Control System, BPCS)包括正常的手動控制，是製程正常運用期間的第一層保護，包括正常的手動控制，是製程正常運用期間的第一層保護，BPCS的設計是為了使製程處在安全操作範圍。如果的設計是為了使製程處在安全操作範圍。如果BPCS控制環路的正常操作符合適當的標準，

46、則可作為獨控制環路的正常操作符合適當的標準，則可作為獨立保護層。立保護層。BPCS失效可以被視為起始事件，當考慮使用失效可以被視為起始事件，當考慮使用BPCS作為獨立保護層時，分析人員必須評估作為獨立保護層時，分析人員必須評估BPCS使用使用和管理系統和管理系統(Access Control and Security System)的有效性，的有效性，因為人員疏失會破壞因為人員疏失會破壞BPCS的功能。的功能。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心38常見保護層的特性常見保護層的特性(續續2)關鍵警報和人員干預關鍵警報和人員干預這類系統是製程正常運作期間的第二層保護

47、，並且這些系這類系統是製程正常運作期間的第二層保護，並且這些系統應該被統應該被BPCS啟動，當報警或觀察引發的操作人員行為啟動，當報警或觀察引發的操作人員行為符合各種標準，確保行動的有效性時符合各種標準，確保行動的有效性時(例如獨立性例如獨立性) ，則操，則操作人員行動可作為獨立保護層。公司的程序和訓練可以改作人員行動可作為獨立保護層。公司的程序和訓練可以改善操作人員的執行能力，但警報因應步驟本身並不是獨立善操作人員的執行能力，但警報因應步驟本身並不是獨立保護層。保護層。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心39常見保護層的特性常見保護層的特性(續續3)安全儀控功能

48、安全儀控功能(Safety Instrumented Function，SIF)安全儀控功能是由量測器、邏輯運算器和最終控制元件組安全儀控功能是由量測器、邏輯運算器和最終控制元件組成，具有一定的安全完整性要求，安全儀控功能偵測超過成，具有一定的安全完整性要求，安全儀控功能偵測超過安全恕限安全恕限(異常異常)條件，控制程序進入功能性安全狀態。安條件，控制程序進入功能性安全狀態。安全儀控功能全儀控功能SIF在功能上獨立於在功能上獨立於BPCS，安全儀控功能通，安全儀控功能通常為一種獨立保護層。安全儀控功能系統的設計、系統備常為一種獨立保護層。安全儀控功能系統的設計、系統備份程度、測試頻率和類型將決

49、定份程度、測試頻率和類型將決定LOPA中中SIF的的PFD。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心40常見保護層的特性常見保護層的特性(續續4)物理保護物理保護(安全閥、破裂盤等安全閥、破裂盤等)如果這類設備設計、維護和尺寸合適，則可以提供較高程如果這類設備設計、維護和尺寸合適，則可以提供較高程度的超壓保護。但是，如果切斷閥安裝在洩壓閥下方或者度的超壓保護。但是，如果切斷閥安裝在洩壓閥下方或者檢查和維護工作品質較差，則這類設備的有效性可能受到檢查和維護工作品質較差，則這類設備的有效性可能受到污垢或腐蝕的影響。如果物質從安全閥排放到大氣，則可污垢或腐蝕的影響。如果物質

50、從安全閥排放到大氣，則可能會造成其他後果，這需要進一步的評估，這會涉及燃燒能會造成其他後果，這需要進一步的評估，這會涉及燃燒塔、驟冷槽、洗滌塔等設備有效性的檢查。塔、驟冷槽、洗滌塔等設備有效性的檢查。 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心41常見保護層的特性常見保護層的特性(續續5)釋放後保護釋放後保護(防液堤、防爆牆等防液堤、防爆牆等)這些獨立保護層是被動的保護設備，如果設計和維護正確，這些獨立保護層是被動的保護設備，如果設計和維護正確，這類獨立保護層可提供較有效的保護。雖然它們的失效率這類獨立保護層可提供較有效的保護。雖然它們的失效率低，但是在情境中也應考慮低，