Layer of Protection Analysis – kiedy zabezpieczenia w instalacji nie wystarczają i jak to wykryć

Layer of Protection Analysis – kiedy zabezpieczenia w instalacji nie wystarczają i jak to wykryć

W wielu instalacjach przemysłowych zabezpieczenia „są” – zawory, czujniki, systemy automatyki. Problem polega na tym, że rzadko ktoś sprawdza, czy one faktycznie redukują ryzyko do akceptowalnego poziomu. Właśnie do tego służy LOPA (Layer of Protection Analysis). To metoda, która przekłada ogólne założenia bezpieczeństwa na konkretne liczby – i bardzo szybko pokazuje, gdzie system jest niewystarczający.

Czym jest LOPA i dlaczego nie jest tylko „kolejną analizą”?

LOPA (Layer of Protection Analysis) to półilościowa metoda oceny ryzyka, która pozwala określić, czy istniejące zabezpieczenia w instalacji są wystarczające.

W odróżnieniu od klasycznego HAZOP, który identyfikuje scenariusze zagrożeń, LOPA idzie krok dalej. Odpowiada na bardzo konkretne pytanie: czy obecne warstwy ochrony rzeczywiście redukują ryzyko do poziomu akceptowalnego?

I robi to w sposób liczbowy. Nie na zasadzie „wydaje się bezpieczne”, tylko:

Zabezpiecz pracowników i mienie!

Zapewnij swojej firmie ocenę zagrożeń, która realnie podnosi poziom bezpieczeństwa.

Umów konsultację
  • ile razy w roku może wystąpić zdarzenie inicjujące,
  • jakie jest prawdopodobieństwo zadziałania zabezpieczenia,
  • ile ryzyka pozostaje po ich uwzględnieniu.

W praktyce LOPA bardzo szybko ujawnia coś, co w audytach pojawia się regularnie: zabezpieczenia istnieją, ale ich łączna skuteczność jest przeceniana.

Jak działa LOPA – czyli czym są warstwy ochrony w instalacji?

LOPA polega na analizie tzw. warstw ochrony (IPLs – Independent Protection Layers), które mają zatrzymać rozwój zdarzenia niebezpiecznego.

Każda warstwa ochrony to element, który:

  • działa niezależnie od innych,
  • ma określoną skuteczność,
  • jest w stanie przerwać scenariusz awarii.

W praktyce przemysłowej mogą to być:

  • systemy automatyki (np. SIF – funkcje bezpieczeństwa SIL),
  • zawory bezpieczeństwa,
  • systemy detekcji gazu,
  • procedury operacyjne,
  • fizyczne bariery (np. obudowy, separacja).

Kluczowe słowo to niezależność. Jeśli dwa zabezpieczenia:

  • korzystają z tego samego czujnika,
  • mają wspólne zasilanie,
  • są sterowane przez ten sam system,

to w LOPA nie są traktowane jako dwie warstwy ochrony, tylko jako jedna. To jest jeden z momentów, w którym wiele analiz „na papierze” zaczyna się rozjeżdżać z rzeczywistością.

Jak LOPA łączy się z SIL – czyli skąd bierze się wymagany poziom bezpieczeństwa?

LOPA jest jedną z najczęściej stosowanych metod do określenia wymaganego poziomu SIL dla funkcji bezpieczeństwa.

Proces wygląda następująco: najpierw identyfikujemy scenariusz (np. przepełnienie zbiornika), następnie określamy jego częstość, potem uwzględniamy istniejące warstwy ochrony.

Na końcu zostaje jedno pytanie:ile ryzyka nadal pozostaje? Jeśli jest zbyt wysokie, trzeba je zredukować. I właśnie tutaj pojawia się funkcja bezpieczeństwa – SIF. LOPA pozwala określić, jaka redukcja ryzyka jest potrzebna, czyli:

  • czy wystarczy SIL 1,
  • czy potrzebny jest SIL 2,
  • czy konieczny jest SIL 3.

To bardzo ważne, bo w praktyce przemysłowej często spotyka się dwa błędy:

  • niedoszacowanie SIL – system nie jest wystarczająco bezpieczny,
  • przeszacowanie SIL – system jest zbyt skomplikowany i trudny w utrzymaniu.

LOPA pozwala znaleźć realny poziom – wynikający z ryzyka, a nie z założeń projektowych.

Jak wygląda LOPA w praktyce – przykład z instalacji przemysłowej

LOPA zawsze opiera się na konkretnym scenariuszu awarii i liczbach, które można przypisać do każdego etapu zdarzenia.

Przykład:

  • zbiornik magazynowy cieczy palnej,
  • możliwość przepełnienia,
  • ryzyko emisji par i powstania atmosfery wybuchowej.

Założenia:

  • częstość zdarzenia inicjującego: 1 raz na 10 lat (10⁻¹/rok),
  • zabezpieczenie 1: system alarmowy z reakcją operatora,
  • zabezpieczenie 2: zawór odcinający,
  • zabezpieczenie 3: funkcja bezpieczeństwa SIF.

Każda z tych warstw ma swoją skuteczność, np.:

  • operator: 10⁻¹,
  • zawór: 10⁻¹,
  • SIF: zależne od SIL.

LOPA polega na przemnożeniu tych wartości.

Efekt? Może się okazać, że:

  • bez SIF ryzyko jest nieakceptowalne,
  • z SIF na poziomie SIL 2 spada do poziomu tolerowalnego.

To właśnie moment, w którym analiza przestaje być teoretyczna. Zaczyna bezpośrednio wpływać na projekt instalacji.

jak przebiega LOPA (Layer of Protection Analysis)

Kiedy LOPA pokazuje, że instalacja nie jest tak bezpieczna, jak zakładano?

LOPA bardzo często obnaża rozbieżność między „odczuwanym” a rzeczywistym poziomem bezpieczeństwa instalacji.

Na etapie projektu wszystko wygląda dobrze. Są czujniki, są alarmy, są procedury. Problem zaczyna się w momencie, gdy każdej z tych warstw przypiszemy realną skuteczność, a nie założoną „na oko”.

I nagle okazuje się, że:

  • operator nie zawsze reaguje na czas,
  • zawór nie domyka się w każdych warunkach,
  • system automatyki nie jest testowany tak często, jak zakładano.

W LOPA każda taka niepewność ma swoją wartość liczbową. I to właśnie te liczby powodują, że końcowy wynik bywa zaskakujący. W praktyce audytowej zdarzają się sytuacje, w których: instalacja posiada kilka zabezpieczeń, ale ich łączna skuteczność nie osiąga nawet poziomu SIL 1.

To moment, w którym pojawia się realne ryzyko:

  • niedoszacowania zagrożenia,
  • pracy instalacji poza poziomem akceptowalnym,
  • powstania scenariusza prowadzącego do zdarzenia typu near miss.

LOPA nie „psuje projektu”. LOPA pokazuje, gdzie projekt był zbyt optymistyczny.

Jakie dane wejściowe decydują o wyniku LOPA?

Dokładność LOPA zależy bezpośrednio od jakości danych wejściowych – to one decydują, czy wynik jest wiarygodny.

Najczęstszy błąd to traktowanie analizy jako ćwiczenia formalnego. Tymczasem każdy parametr w LOPA ma znaczenie.

Szczególnie krytyczne są:

  • częstość zdarzenia inicjującego,
  • skuteczność warstw ochrony (IPLs),
  • założenia dotyczące niezależności,
  • realne warunki pracy instalacji.

Weźmy prosty przykład. Zawór odcinający ma deklarowaną skuteczność 10⁻¹. W dokumentacji wszystko się zgadza. Ale w praktyce:

  • pracuje w środowisku korozyjnym,
  • nie jest regularnie testowany,
  • jego czas zamknięcia wydłużył się o kilkadziesiąt procent.

Czy nadal można przyjąć tę samą wartość?

Nie. I właśnie w tym miejscu wiele analiz LOPA traci swoją wiarygodność.

Podobnie wygląda sytuacja z czynnikiem ludzkim. Reakcja operatora często przyjmowana jest jako warstwa ochrony, ale:

  • wymaga czasu,
  • zależy od obciążenia pracą,
  • bywa pomijana w sytuacjach nietypowych.

Dlatego w dobrze wykonanej analizie LOPA dane nie są „książkowe”.

Są dopasowane do konkretnej instalacji i jej realnego funkcjonowania.

LOPA a dokumentacja ATEX – gdzie pojawia się w praktyce zakładu

LOPA bardzo często stanowi brakujące ogniwo między analizą HAZOP a wymaganiami wynikającymi z dokumentacji ATEX.

W wielu zakładach funkcjonują:

  • oceny zagrożenia wybuchem,
  • Dokument Zabezpieczenia Przed Wybuchem (DZPW),
  • klasyfikacja stref Ex.

Ale brakuje odpowiedzi na jedno pytanie: czy zastosowane środki techniczne faktycznie redukują ryzyko do poziomu dopuszczalnego? I właśnie tutaj pojawia się rola LOPA. Analiza pozwala:

  • powiązać scenariusze zagrożeń z konkretnymi zabezpieczeniami,
  • określić, czy źródła zapłonu są skutecznie eliminowane,
  • wskazać, gdzie potrzebne są dodatkowe warstwy ochrony.

W praktyce oznacza to, że LOPA: uzupełnia dokumentację ATEX o aspekt ilościowy – czyli rzeczywisty poziom redukcji ryzyka.

Dlatego coraz częściej analiza LOPA pojawia się jako element:

  • modernizacji instalacji,
  • audytów bezpieczeństwa,
  • aktualizacji DZPW.

Szczególnie tam, gdzie występują atmosfery wybuchowe i złożone procesy technologiczne.

Jeśli nie masz pewności, czy zabezpieczenia w Twojej instalacji rzeczywiście redukują ryzyko do poziomu akceptowalnego, warto to zweryfikować na liczbach, nie założeniach. ATEX Doradztwo pomaga przełożyć analizę LOPA na konkretne decyzje techniczne i realne bezpieczeństwo instalacji – zachęcamy do kontaktu.

Najczęściej zadawane pytania o Layer of Protection Analysis

Czym jest LOPA w prostych słowach?

LOPA to metoda, która sprawdza, czy zabezpieczenia w instalacji wystarczają do ograniczenia ryzyka do akceptowalnego poziomu.

Czym różni się LOPA od HAZOP?

HAZOP identyfikuje zagrożenia, a LOPA ocenia, czy zastosowane zabezpieczenia są wystarczające.

Czy LOPA jest obowiązkowa w ATEX?

Nie zawsze formalnie wymagana, ale w praktyce często niezbędna, aby wykazać, że ryzyko zostało odpowiednio zredukowane.

Jak LOPA wpływa na dobór SIL?

LOPA pozwala określić, jaki poziom SIL jest wymagany dla funkcji bezpieczeństwa, aby osiągnąć dopuszczalny poziom ryzyka.

Czy można wykonać LOPA bez danych liczbowych?

Nie w pełni. Bez wiarygodnych danych analiza traci sens, ponieważ opiera się na obliczeniu redukcji ryzyka.

Autor artykułu

Andrzej Bobula

Ekspert ds. bezpieczeństwa w obszarze ATEX i bezpieczeństwa maszyn, specjalizujący się w ocenie ryzyka wybuchu oraz analizie maszyn używanych do produkcji materiałów wybuchowych. Uprawniony do wykonywania prac związanych z dostępem do materiałów wybuchowych (Wojskowy Instytut Techniki Uzbrojenia). Posiada bogate doświadczenie w zakresie certyfikacji maszyn zgodnych ze standardami ATEX oraz oceny zgodności maszyn z Dyrektywą Maszynową 2006/42/WE (CE).

Podobne wpisy