表-1：裝置汽包D-112/E-112的局部HAZOP分析

　　正如保護層的定義所描述，在其分析方法中重點是確定每個保護措施的有效性，并且通常是在裝置危害識別的基礎(chǔ)上進行，因此對于保護層分析步驟中前三步就不需重復進行分析，直接運用危險識別過程中原因、后果的內(nèi)容，并對其原因即保護層分析所確定為的引發(fā)事件賦予一定數(shù)值即可。本分析中的引發(fā)事件則指PIC150控制回路故障開，假設(shè)引發(fā)頻次為f1＝0.1。

　　下面則是對表中每一項預防措施進行確認，看其是否為獨立保護層。

　　2.2.1.基礎(chǔ)工藝控制：液位控制回路LIC-115

　　根據(jù)保護層圖-2中所示，第一層即為基礎(chǔ)工藝控制系統(tǒng)。

　　本單元則指液位控制回路LIC-115，該保護措施獨立于各保護措施，具有獨立性；并且是專門針對控制液位而設(shè)計，同時進行著定期的審核與檢驗，所以滿足保護層分析方法的要求，是獨立保護層。假設(shè)平均需求故障率為PFD1＝0.1。

　　2.2.2.報警及人員干預

　　因為報警響后所采取的措施必須依賴于人來完成，因此表中雖然有三個報警可以響應(yīng)，但人只要對其中一個采取了行動即可，因此對于滿足保護層分析（LOPA）中標準要求來說此處僅將三個報警作為一個獨立保護層。假設(shè)平均需求故障率為PFD2＝0.1。

　　2.2.3. 聯(lián)鎖LALL116

　　一般來說聯(lián)鎖與其它保護層是相互獨立，且具有可審核性，并能有效執(zhí)行的，是保護層分析中一個重要的獨立保護層。原有聯(lián)鎖LALL116的設(shè)計就滿足這些要求，是一個獨立保護層。不過因為裝置對此處設(shè)計進行了變更，需要重新審核新的設(shè)計與舊的設(shè)計之間的差異，以判斷是否具有獨立保護層特性。先假設(shè)其平均需求故障率為PFD3＝0.1。

　　a)裝置原始設(shè)計是：獨立的DCS液位控制LIC-115用于調(diào)節(jié)汽包D-112內(nèi)水位以防止低或無液位情況，獨立的低低液位停汽包進料聯(lián)鎖LSLL116防止鍋爐無液位發(fā)生干鍋導致爆炸的事故，設(shè)計類型為1選1（即只有一個液位傳感器）；而低液位聯(lián)鎖LSLL116又會導致裝置自動停車。因此只要此處聯(lián)鎖誤觸發(fā)就會導致裝置停車，造成不希望的生產(chǎn)損失，而且裝置也確實多次發(fā)生LSLL116誤觸發(fā)導致的停車事故。為了保證正常生產(chǎn)，裝置對此聯(lián)鎖進行了技術(shù)改造。

　　b)裝置變更后設(shè)計：將液位DCS控制系統(tǒng)LIC-115的液位傳感器加入到聯(lián)鎖LSLL116的傳感器選擇系統(tǒng)，并將檢測類型選擇邏輯設(shè)計為2選2，即只有LSLL116和LIC-115的液位傳感器同時發(fā)出低液位信號時，聯(lián)鎖LSLL116才會觸發(fā)停車。這種變更裝置只需要在控制程序上修改就完成，不需要增加新的硬件設(shè)施，而且裝置認為這是個好辦法。那么實際會產(chǎn)生什么樣的狀況？

　　通過LOPA分析，我們可以發(fā)現(xiàn)，當液位控制回路LIC-115的傳感檢測發(fā)生故障，顯示正?；蛱摳邥r，而汽包內(nèi)實際液位已經(jīng)下降，這時因為聯(lián)鎖LIC-116需要LIC-115與LSLL-116的傳感檢測都發(fā)出低液位信號時才可以發(fā)生聯(lián)鎖觸動停車，而LIC-115此時根本不可能發(fā)出低液位信號，因而LSLL-116就根本不可能采取正確處理措施，則干鍋就會發(fā)生，隨之而來的爆炸事故就可能發(fā)生。這種變更實際是提高了鍋爐干鍋爆炸的風險。也就是說當DCS液位控制系統(tǒng)由于液位傳感器系統(tǒng)出現(xiàn)故障時，這個貌似保護的低低液位連鎖系統(tǒng)也將失去作用。這種變更使得聯(lián)鎖LSLL-116與基礎(chǔ)工藝控制系統(tǒng)LIC-115存在關(guān)聯(lián)，不獨立，因而不能當作獨立保護層對待。