表-1：装置汽包D-112/E-112的局部HAZOP分析

　　正如保护层的定义所描述，在其分析方法中重点是确定每个保护措施的有效性，并且通常是在装置危害识别的基础上进行，因此对于保护层分析步骤中前三步就不需重复进行分析，直接运用危险识别过程中原因、后果的内容，并对其原因即保护层分析所确定为的引发事件赋予一定数值即可。本分析中的引发事件则指PIC150控制回路故障开，假设引发频次为f1＝0.1。

　　下面则是对表中每一项预防措施进行确认，看其是否为独立保护层。

　　2.2.1.基础工艺控制：液位控制回路LIC-115

　　根据保护层图-2中所示，第一层即为基础工艺控制系统。

　　本单元则指液位控制回路LIC-115，该保护措施独立于各保护措施，具有独立性；并且是专门针对控制液位而设计，同时进行着定期的审核与检验，所以满足保护层分析方法的要求，是独立保护层。假设平均需求故障率为PFD1＝0.1。

　　2.2.2.报警及人员干预

　　因为报警响后所采取的措施必须依赖于人来完成，因此表中虽然有三个报警可以响应，但人只要对其中一个采取了行动即可，因此对于满足保护层分析（LOPA）中标准要求来说此处仅将三个报警作为一个独立保护层。假设平均需求故障率为PFD2＝0.1。

　　2.2.3. 联锁LALL116

　　一般来说联锁与其它保护层是相互独立，且具有可审核性，并能有效执行的，是保护层分析中一个重要的独立保护层。原有联锁LALL116的设计就满足这些要求，是一个独立保护层。不过因为装置对此处设计进行了变更，需要重新审核新的设计与旧的设计之间的差异，以判断是否具有独立保护层特性。先假设其平均需求故障率为PFD3＝0.1。

　　a)装置原始设计是：独立的DCS液位控制LIC-115用于调节汽包D-112内水位以防止低或无液位情况，独立的低低液位停汽包进料联锁LSLL116防止锅炉无液位发生干锅导致爆炸的事故，设计类型为1选1（即只有一个液位传感器）；而低液位联锁LSLL116又会导致装置自动停车。因此只要此处联锁误触发就会导致装置停车，造成不希望的生产损失，而且装置也确实多次发生LSLL116误触发导致的停车事故。为了保证正常生产，装置对此联锁进行了技术改造。

　　b)装置变更后设计：将液位DCS控制系统LIC-115的液位传感器加入到联锁LSLL116的传感器选择系统，并将检测类型选择逻辑设计为2选2，即只有LSLL116和LIC-115的液位传感器同时发出低液位信号时，联锁LSLL116才会触发停车。这种变更装置只需要在控制程序上修改就完成，不需要增加新的硬件设施，而且装置认为这是个好办法。那么实际会产生什么样的状况？

　　通过LOPA分析，我们可以发现，当液位控制回路LIC-115的传感检测发生故障，显示正常或虚高时，而汽包内实际液位已经下降，这时因为联锁LIC-116需要LIC-115与LSLL-116的传感检测都发出低液位信号时才可以发生联锁触动停车，而LIC-115此时根本不可能发出低液位信号，因而LSLL-116就根本不可能采取正确处理措施，则干锅就会发生，随之而来的爆炸事故就可能发生。这种变更实际是提高了锅炉干锅爆炸的风险。也就是说当DCS液位控制系统由于液位传感器系统出现故障时，这个貌似保护的低低液位连锁系统也将失去作用。这种变更使得联锁LSLL-116与基础工艺控制系统LIC-115存在关联，不独立，因而不能当作独立保护层对待。