在LOPA分析时对BPCS作为独立保护层进行讨论，一种观点是BPCS的控制回路最多可选二个，前提是传感器和最终执行元件独立，这样至少可以消减100倍风险，很容易达到风险控制目标。另一种观点是BPCS作为独立保护层最多不超过1个，即BPCS最多只能消减10倍风险因子，这样保护层选择受到限制。不同的选择，LOPA分析结论很可能完全不同，后者分析结果可能需更多的SIF回路，而前者没有规范和标准的支持，如缺少实际有效保护层引起事故而无法辩驳，LOPA分析有效性存在疑问。本文主要对BPCS在一个事故场景中可以消减多少风险因子进行了探讨，以期望给LOPA分析的工程师提供参考。

BPCS（基本过程控制系统），是在生产过程中执行常规正常生产功能（如PID控制，积分控制等）的控制系统。基本过程控制系统与执行过程优化等复杂“高级”过程控制系统相对应。据统计，工业中95%以上的控制系统都是基本过程控制系统。由此可看出，基本过程控制系统执行基本生产控制功能，以达到生产过程的正常操作要求。所以在一定条件下BPCS控制回路可以作为一个安全保护措施，

CCPS CPQRA（2000a），LOPA分析被作为了种简化的定量风险分析方法（半定量）。这种简化包括场景要素数值的假设（初始事件频率、触发事件（使能因子），独立保护层数量和失效频率数值）和简化的计算方法。但是这些简化采用了保守的方式（即保护层数量和保护层失效频率选择要保守），因此，如果完全采用定量风险分析（事件树，故障树），其事故场景的风险分析结果将低于LOPA的结果。

IEC61511标准中，《流程工业安全仪表系统》-第一部分描述“BPCS作为保护层，其风险削减因子【BPCS】应低于10”，这意味着，BPCS所有消减功能的失效概率应大于1E-1.通俗的讲，就是BPCS在一个事故场景中只能作为一个独立保护层消减风险。

本文将从标准规范（IEC61511流程工业安全仪表系统 和LOPA应用导则AQT3054-2015）和实例BPCS控制回路各组件可能的PFD（危险失效概率）几个方面进行讨论，希望以此视角引发大家的思考，避免LOPA分析方法使用错误，或缺少分析依据，导致分析结果不准确。引用标准规范时，清楚标准规范的前提条件，不盲目高估计保护层作用。

一、IEC61511-1(2016)

以下是IEC61511-1 2016关于BPCS作为保护层的相关描述：

9.3.2 The risk reduction claimed for a BPCS protection layer shall be <=10

NOTE Consideration can be given to the fact that a BPCS may also be an initiating source for the demand on the protection layer.

9.3.2 BPCS保护层要求的风险降低因子应小于10。（BPCS保护层只能降低10倍风险）

注意：可以考虑另一个情况，BPCS也可能保护层需求的初件事件。（即BPCS失效，可能引起事故场景）

9.3.3 If the risk reduction claimed for a BPCS protection layer is>10, then the BPCS shall be designed and managed to the requirements within the EC 61511 series

9.3.3如果要求BPCS保护层的消减风险因子大于10，则BPCS的设计和管理应符合EC 61511系列的要求。

9.3.4 if it is not intended that the BPCS conform to the IEC 61511 series. Then

no more than one BPCS protection layer shall be claimed for the same sequence of event leading to the hazardous event when the BPCS is the initiating source for the demand onthe protection layer; or

no more than two BPCS protection layers shall be claimed for the same sequence of event leading to the hazardous event when the BPCS is not the initiating source of the demand

如果不打算BPCS符合IEC 61511系列。然后

当BPCS是事故场景保护层需求的初始事件时，对于导致危险事件的同一事件场景，不得要求超过一个BPCS保护层；或

当BPCS不是保护层需求的初始事件时，对于导致危险事件的同一事件场景，不应要求两个以上的BPCS保护层。（不是BPCS故障引发的事故场景，则可以使用二个BPCS保护层）。

（当9.3.4适用时，每个BPCS保护层应独立于初始事件并相互分离，请注意查看9.3.5）

NOTE The identified BPCS protection layer can consist of one BPCS as the initiating source for the demand(see8.2.2) and a second independent BPCS protection layer(see 9.3.2 and 9.3.3) or up to two independent BPCSprotection layers when the initiating source is not related to BPCS failure

注：确定的BPCS保护层可以由一个BPCS作为事故场景的初始事件（见8.2.2）和第二个独立的BPCS保护层（见9.3.2和9.3.3）组成，或者当初始事件与BPCS故障无关时，最多由两个独立的BPCS保护层组成

8.2.2 The average frequency of dangerous failures of a BPCS as an initiating source shall not be assumed to be 1E-5 per hour

8.2.2作为初始事件的BPCS的平均危险故障频率不应小于1E-5(即PFD>1E-1)。

9.3.5 When 9.3.4 applies, each BPCS protection layer shall be independent and separaterom the initiating source and from each other to the extent that the claimed risk reduction of each BPCS protection layer is not compromised

NOTE 1 The assessment of separation and independence can consider what is necessary to achieve the riskreduction, e.g., the central processing units(CPU), input/output modules, relays, field devices, applicationprogramming, networks, program database, engineering tools, human machine interface, by-pass tools and otherdevices

NOTE 2 A hot backup controller is not considered to be independent of the primary controller because it is subject to common cause failure(for example, hot backup controllers have components that are common to both theprimary and the backup controller, such as the backplane, firmware, diagnostics, transfer mechanisms andundetected dangerous failures)

9.3.5当9.3.4适用时，每个BPCS保护层应独立于初始事件并相互分离，以确保每个BPCS保护层所要求的风险降低不受损害。

注1：分离和独立性评估可考虑实现风险降低所需的内容，如中央处理器（CPU）、输入/输出模块、继电器、现场设备、应用程序编程、网络、程序数据库、工程工具、人机界面旁路工具和其他设备）

注2：热备份控制器不被视为独立于主控制器，因为它会出现常见故障（例如，热备份控制器具有主控制器和备份控制器共用的组件，如背板、固件、诊断程序，传输机制和未检测到的危险故障）

IEC61511中关于BPCS可以作为二个独立保护层时，要求每个BPCS保护层应独立于初始事件并相互分离，以确保每个BPCS保护层所要求的风险降低不受损害。即处理器CPU，执行元件，传感器等BPCS控制回路的组件都是独立分散的,没有共用的部分。

二、LOPA应用导则(AQT3054-2015)

保护层分析(LOPA)方法应用导则(AQT3054-2015) 关于BPCS作为独立保护层的描述如下：

同一BPCS 多个功能回路作为 IPL 的评估方法

1 在同一场景中，当同一 BPCS 具有多个功能回路时，其 IPL 的评估可使用方法 A 或方法 B。

1.1 方法 A 假设一个单独 BPCS 回路失效，则其它所有共享相同逻辑控制器的 BPCS 回路都失效。对单一的 BPCS，只允许有一个 IPL，且应独立于 IE（初始事件） 或任何使能事件。

1.2 方法 B 假设一个 BPCS 回路失效，最有可能是传感器或最终控制元件失效，而 BPCS 逻辑控制器仍能正常运行。BPCS 逻辑控制器的 PFD 比 BPCS 回路其它部件的 PFD 至少低两个数量级。方法 B允许同一BPCS 有一个以上的 IPL。如图所示，两个 BPCS 回路使用相同的逻辑控制器。假设这两个回路满足作为同一场景下 IPL 的其它要求，方法 A 只允许其中一个回路作为 IPL，方法 B 允许两个回路都作为同一场景下的 IPL。在LOPA分析时对BPCS作为独立保护层进行讨论，一种观点是BPCS的控制回路最多可选二个，前提是传感器和最终执行元件独立，这样至少可以消减100倍风险，很容易达到风险控制目标。另一种观点是BPCS作为独立保护层最多不超过1个，即BPCS最多只能消减10倍风险因子，这样保护层选择受到限制。不同的选择，LOPA分析结论很可能完全不同，后者分析结果可能需更多的SIF回路，而前者没有规范和标准的支持，如缺少实际有效保护层引起事故而无法辩驳，LOPA分析有效性存在疑问。本文主要对BPCS在一个事故场景中可以消减多少风险因子进行了探讨，以期望给LOPA分析的工程师提供参考。

BPCS（基本过程控制系统），是在生产过程中执行常规正常生产功能（如PID控制，积分控制等）的控制系统。基本过程控制系统与执行过程优化等复杂“高级”过程控制系统相对应。据统计，工业中95%以上的控制系统都是基本过程控制系统。由此可看出，基本过程控制系统执行基本生产控制功能，以达到生产过程的正常操作要求。所以在一定条件下BPCS控制回路可以作为一个安全保护措施，

CCPS CPQRA（2000a），LOPA分析被作为了种简化的定量风险分析方法（半定量）。这种简化包括场景要素数值的假设（初始事件频率、触发事件（使能因子），独立保护层数量和失效频率数值）和简化的计算方法。但是这些简化采用了保守的方式（即保护层数量和保护层失效频率选择要保守），因此，如果完全采用定量风险分析（事件树，故障树），其事故场景的风险分析结果将低于LOPA的结果。

IEC61511标准中，《流程工业安全仪表系统》-第一部分描述“BPCS作为保护层，其风险削减因子【BPCS】应低于10”，这意味着，BPCS所有消减功能的失效概率应大于1E-1.通俗的讲，就是BPCS在一个事故场景中只能作为一个独立保护层消减风险。

本文将从标准规范（IEC61511流程工业安全仪表系统 和LOPA应用导则AQT3054-2015）和实例BPCS控制回路各组件可能的PFD（危险失效概率）几个方面进行讨论，希望以此视角引发大家的思考，避免LOPA分析方法使用错误，或缺少分析依据，导致分析结果不准确。引用标准规范时，清楚标准规范的前提条件，不盲目高估计保护层作用。

一、IEC61511-1(2016)

以下是IEC61511-1 2016关于BPCS作为保护层的相关描述：

9.3.2 The risk reduction claimed for a BPCS protection layer shall be <=10

NOTE Consideration can be given to the fact that a BPCS may also be an initiating source for the demand on the protection layer.

9.3.2 BPCS保护层要求的风险降低因子应小于10。（BPCS保护层只能降低10倍风险）

注意：可以考虑另一个情况，BPCS也可能保护层需求的初件事件。（即BPCS失效，可能引起事故场景）

9.3.3 If the risk reduction claimed for a BPCS protection layer is>10, then the BPCS shall be designed and managed to the requirements within the EC 61511 series

9.3.3如果要求BPCS保护层的消减风险因子大于10，则BPCS的设计和管理应符合EC 61511系列的要求。

9.3.4 if it is not intended that the BPCS conform to the IEC 61511 series. Then

no more than one BPCS protection layer shall be claimed for the same sequence of event leading to the hazardous event when the BPCS is the initiating source for the demand onthe protection layer; or

no more than two BPCS protection layers shall be claimed for the same sequence of event leading to the hazardous event when the BPCS is not the initiating source of the demand

如果不打算BPCS符合IEC 61511系列。然后

当BPCS是事故场景保护层需求的初始事件时，对于导致危险事件的同一事件场景，不得要求超过一个BPCS保护层；或

当BPCS不是保护层需求的初始事件时，对于导致危险事件的同一事件场景，不应要求两个以上的BPCS保护层。（不是BPCS故障引发的事故场景，则可以使用二个BPCS保护层）。

（当9.3.4适用时，每个BPCS保护层应独立于初始事件并相互分离，请注意查看9.3.5）

NOTE The identified BPCS protection layer can consist of one BPCS as the initiating source for the demand(see8.2.2) and a second independent BPCS protection layer(see 9.3.2 and 9.3.3) or up to two independent BPCSprotection layers when the initiating source is not related to BPCS failure

注：确定的BPCS保护层可以由一个BPCS作为事故场景的初始事件（见8.2.2）和第二个独立的BPCS保护层（见9.3.2和9.3.3）组成，或者当初始事件与BPCS故障无关时，最多由两个独立的BPCS保护层组成

8.2.2 The average frequency of dangerous failures of a BPCS as an initiating source shall not be assumed to be 1E-5 per hour

8.2.2作为初始事件的BPCS的平均危险故障频率不应小于1E-5(即PFD>1E-1)。

9.3.5 When 9.3.4 applies, each BPCS protection layer shall be independent and separaterom the initiating source and from each other to the extent that the claimed risk reduction of each BPCS protection layer is not compromised

NOTE 1 The assessment of separation and independence can consider what is necessary to achieve the riskreduction, e.g., the central processing units(CPU), input/output modules, relays, field devices, applicationprogramming, networks, program database, engineering tools, human machine interface, by-pass tools and otherdevices

NOTE 2 A hot backup controller is not considered to be independent of the primary controller because it is subject to common cause failure(for example, hot backup controllers have components that are common to both theprimary and the backup controller, such as the backplane, firmware, diagnostics, transfer mechanisms andundetected dangerous failures)

9.3.5当9.3.4适用时，每个BPCS保护层应独立于初始事件并相互分离，以确保每个BPCS保护层所要求的风险降低不受损害。

注1：分离和独立性评估可考虑实现风险降低所需的内容，如中央处理器（CPU）、输入/输出模块、继电器、现场设备、应用程序编程、网络、程序数据库、工程工具、人机界面旁路工具和其他设备）

注2：热备份控制器不被视为独立于主控制器，因为它会出现常见故障（例如，热备份控制器具有主控制器和备份控制器共用的组件，如背板、固件、诊断程序，传输机制和未检测到的危险故障）

IEC61511中关于BPCS可以作为二个独立保护层时，要求每个BPCS保护层应独立于初始事件并相互分离，以确保每个BPCS保护层所要求的风险降低不受损害。即处理器CPU，执行元件，传感器等BPCS控制回路的组件都是独立分散的,没有共用的部分。

二、LOPA应用导则(AQT3054-2015)

保护层分析(LOPA)方法应用导则(AQT3054-2015) 关于BPCS作为独立保护层的描述如下：

同一BPCS 多个功能回路作为 IPL 的评估方法

1 在同一场景中，当同一 BPCS 具有多个功能回路时，其 IPL 的评估可使用方法 A 或方法 B。

1.1 方法 A 假设一个单独 BPCS 回路失效，则其它所有共享相同逻辑控制器的 BPCS 回路都失效。对单一的 BPCS，只允许有一个 IPL，且应独立于 IE（初始事件） 或任何使能事件。

常运行。BPCS 逻辑控制器的 PFD 比 BPCS 回路其它部件的 PFD 至少低两个数量级。方法 B允许同一BPCS 有一个以上的 IPL。如图所示，两个 BPCS 回路使用相同的逻辑控制器。假设这两个回路满足作为同一场景下 IPL 的其它要求，方法 A 只允许其中一个回路作为 IPL，方法 B 允许两个回路都作为同一场景下的 IPL。1.2 方法 B 假设一个 BPCS 回路失效，最有可能是传感器或最终控制元件失效，而 BPCS 逻辑控制器仍能正常运行。BPCS 逻辑控制器的 PFD 比 BPCS 回路其它部件的 PFD 至少低两个数量级。方法 B允许同一BPCS 有一个以上的 IPL。如图所示，两个 BPCS 回路使用相同的逻辑控制器。假设这两个回路满足作为同一场景下 IPL 的其它要求，方法 A 只允许其中一个回路作为 IPL，方法 B 允许两个回路都作为同一场景下的 IPL。

同一场景下，同一 BPCS 多个功能回路同时作为 IPL 的数据和人员要求

3.1 对数据与数据分析的要求如下：

a）方法 B 假设 BPCS 逻辑控制器的 PFD 比 BPCS 回路其它部件的 PFD 至少低两个数量级，应具有支持这个假设的数据，并对数据进行分析。这些数据包括：

1）BPCS 逻辑控制器、输入/输出卡、传感器、最终执行元件、人员响应等历史性能数据；

2）系统制造商提供的数据；

3）检查、维护和功能性测试数据；

4）仪表图、管道和仪表流程图（P&ID） 、回路图、标准规范等资料；

5）访问 BPCS，进行程序更改、旁路报警等安全访问 BPCS 的信息。

b）对这些数据的分析应包括：

1）计算设备或系统 BPCS 回路组件的有效失效率；

2）各种组件，特别是 BPCS 逻辑控制器 PFD 数据的比较；

3）逻辑输入/输出卡及相关回路的独立性评估；

4）安全访问控制充分性评估；

5）使用多重 BPCS 回路作为同一场景下的多个 IPL 的合适性评估。

D.3.2 对分析人员的要求如下：

a）分析人员应能够：

1）判断是否有足够和完整的数据，这些数据是否能满足足够精度的计算；

2）了解仪表的设计和 BPCS 系统是否满足独立性要求；

3）理解建议的 IPL 对工艺或系统的影响。

b）分析小组或人员应具有相关专业知识，如：

1）对 BPCS 逻辑控制器具有足够低的 PFD 的独立第三方认证；

2）对历史性能数据和维修记录的分析，建立设计标准使多个 BPCS 回路满足 IPL 的要求；

3）设计并执行多个 BPCS 回路系统使之满足独立性与可靠性要求等。

c）如果分析小组或人员不能满足以上要求，那么在判断 BPCS 回路作为 IPL 时，宜使用方法 A 进行分析。

三、BPCS各组件PFD计算实例

LOPA应用导则中关于逻辑运算器PFD比 BPCS 回路其它部件的 PFD 至少低两个数量级组，则可使用方法 B， 允许两个回路都作为同一场景下的 IPL。同时要求分析人员应能具备相关的专业知识，如SIL验证能力等；本文将采用PDS手册的通用数据验算BPCS控制回路的各个部件PFD值，分析逻辑运算器和其它部件的PFD值，是否达到LOPA应用导则的要求？

PDS手册(安全仪表系统可靠性数据)提供了与最新可用数据源一致的数据以及一些新设备的数据。是作为“安全仪表系统完整性管理” 研究项目的一部分进行的。备注：PDS手册由用户发起的研究项目，挪威研究理事会和 PDS论坛参与者赞助。

验证软件采用杭州豪鹏科技自主研发的SIL验证软件，该验证软件经过测试，与权威第三方认证公司（如tuv、exida、BV等）的证书数据计算结果完全一致，是国内领先的SIL验证软件，并且是tuv特灵顿培训的示例软件。国内有非常多的第三方公司使用该软件开展SIL验证工作。

1、PDS手册通用数据

以下数据来自于PDS手册：

第一部分传感器数据,PDS认为70%为可信数据。

2、假设控制回路其它参一场景下，同一回路都作为同一场景下的 IPL计算传感器、逻辑运算器、最数

操作模式：低要求操作模式；

运行时间（Lt）：10年；

系统启动时间（Tsd）：24小时；

系统恢复时间（MTTR）:24小时

功能测试周期(TI):12个月

功能测试覆盖率（CTI）:95%

系统重启时间24小时

因BPCS控制回路很少用到冗余，本实例采用1oo1表决结构，暂不考虑共因失效。

3、计算传感器、逻辑运算器、最终执行元件PFD值

3.1传感器选择“液位变送器”，du(危险不可检测)的 70%可信值为1200fit，计算PFD平均值为7.6E-3 ，豪鹏科技SIL验证软件计算结果如下图所示：

说明：MTTFS为平均误动作率，因本例中没有安全失效(SUSD)的数据，无法计算出相应数据。 SIL（结构约束）因没有SFF失效分数，无法计算。

3.2逻辑运算器工业PLC系统的PFD平均值为 3.07E-2

说明：因本例只是通过危险失效率（DU）简单计算PFD，故采用SIL验证软件的“简单模式”的计算。

3.2.1 逻辑运算器可编程安全系统PFD平均值为5.72E-3

3.2.2逻辑运算器硬接线安全系统的PFD为6.38E-04

硬接线安全系统PFD值已经达到SIL3,理论上可以满足LOPA应用导则的要求。

3.3最终执行元件选择“控制阀（不包括先导阀） （仅限关闭服务）”，du(危险不可检测)的 70%可信值为5500fit，计算PFD平均值为3.42E-2（SIL-1）

4、 验算结果统计分析

1、控制回路如采用工业PLC系统：

可以发现工业用PLC系统的PFD值很大，与最终执行元件的PFD值相近，如采用工业PLC系统则无法满足LOPA应用导则中的逻辑运算器PFD小于其它部件2个数量级的要求。

2、采用可编程安全系统

可编程安全系统的PFD值明显小于工业PLC系统，但是仍没有达到LOPA应用导则所要求的低于其它部件PFD二个数量级。

3、硬接线安全系统

如果采用硬连线安全系统，那么逻辑运算器的PFD可以低于其它组件的二个数量级。对照LOPA应用导则的第一个要求已经满足，但是LOPA应用导则又对方法B进行了解释，低于二个数量级后，应具有支持这个假设的数据，并对数据进行分析，逻辑运算器还需要有第三方的认证。

四、小结：

BPCS在同一场景中使用二个回路消减风险，IEC61511中的要求是传感器、逻辑运算器、最终执行元件完全独立，并且初始事件不是BPCS控制回路故障。LOPA应用导则方法B，逻辑运算器的PFD（危险失效平均值）低于其它组件二个数量级，并且数据经第三方认证，分析人员达到相关专业知识的情况下则可以使用二次。

本文通过PDS手册的通用失效数据库实例计算了BPCS各部件的PFD值，从计算结果分析，可以发现逻辑运算器的PFD（危险失效平均值）低于其它组件二个数量级的要求较难满足。所以笔者建议在LOPA分析时，一般情况下应保守的方式把BPCS作为了一个独立保护层消减风险，如BPCS失效作为初始事件时，则BPCS不能再作为独立保护层。

另外：当需要BPCS作为二个保护层消减风险，建议逻辑运算器采用第三方认证（如tuv、exida、BV等）的设备，要求PFD达到SIL3并且实行SIS系统的运维管理，即符合LOPA应用导则关于方法B的前置要求。

感谢：

本文的思路来源于LHJ先生一次在【化工过程安全管理02】微信群的发言。