实施HAZOP、LOPA、SIL分析的关键问题！

现代石油化工工艺越来越复杂，火灾、爆炸、中毒事故影响越来越显著，工艺安全管理特别重要。在风险管理实践中，可采用多种定性或定量的方法和技术，这些方法和技术各有自己的优缺点。近年来，HAZOP、LOPA、SIL技术发展越来越成熟，三者的结合应用越来广泛，成为化工工艺风险管理的有效方法。

任何涉及到危险化学品的活动过程，包括生产、储存、使用、处置、搬运，或者与这些活动有关的活动，称为工艺。工艺过程中，危险化学品(能量)的意外泄漏(释放)，造成人员伤害、财产损失或环境破坏的事件，称为工艺安全事故。由于设备故障(缺陷)、人员失误、管理缺陷等方面原因引起工艺偏离，可造成危险化学品意外释放和泄漏，酿成事故。工艺风险管理包括风险分析、风险评估、风险控制三方面内容，典型的工艺过程及风险控制措施(又称保护层)的关系可用下图表示。

HAZOP、LOPA、SIL用于工艺风险分析、评估、控制的不同方面，既相互区别，又相互补充。

HAZOP是一种系统、结构性的分析方法，分析者将工艺装置分解成若干节点，遍历全部偏离，采用因果推理方法，反向推理找出潜在危险的原因，正向推理查出危险可能导致的后果，分析已有安全措施的作用，提出补充安全措施建议。HAZOP能较为全面地发现工艺中的风险，缺点是对于后果严重的事故剧情，缺乏足够的决策依据，需采用半定量或定量方法作进一步评估。

LOPA是在定性分析的基础上，确定已发现事故剧情的危险程度，定量计算危害发生的概率，分析已有保护层的保护能力及失效概率，推算出需要补充的保护层的等级，一定程度上可以弥补HAZOP分析不足。

从功能安全技术的角度，保护层分为三类，E/E/PE(电子/电气/可编程电子)安全相关系统、其它技术的安全相关系统、外部风险降低措施。SIS系统属于E/E/PE安全相关系统，包括紧急停车系统、安全停车系统、安全连锁系统、保护性仪表系统、火灾与气体探测等，是化工工艺中典型的保护层。SIL分析，用于确定SIS的功能安全要求，及安全完整性要求。

工艺生命周期各阶段的应用

工艺生命周期分为工艺(装置)研发、设计、建设、使用与报废等主要阶段，各阶段中风险管理的重点和方式均有不同，HAZOP、LOPA、SIL技术的应用也有所不同。

风险控制遵循适度、可行、求低的ALARP原则。

在运用HAZOP、LOPA、SIL分析进行风险决策时，同样遵循ALARP原则。ALARP原则将风险划分为三类：广泛可接受风险、容许的风险和不可接受风险，对于容许的风险，必须采取措施进一步降低。一般来说，企业的风险可接受标准位于容许的风险区间内。

保护层类型、数量和SIL等级均建立在风险决策的基础上。精确地确定风险的可接受程度是不现实的，通常采用风险矩阵的方法进行风险决策。将每个风险事件发生的可能性L和后果严重程度S构建一个m*n阶矩阵，行列交叉点数为所确定的风险等级。应用风险矩阵时，必须确定事故后果严重程度分级规则、发生可能性分级规则以及风险等级规则等三项分析规则。由于三项分析均是基于分析人员经验、甚至是主观臆断完成的，不同的人员对某个特定的风险可能出现不同的、甚至相反的判断结果。由于不能克服人直观认识的固有局限性和随意性，可能导致风险控制措施的不严谨，出现控制措施过度或控制措施不足的情况。其它风险决策的方法(如风险图)也存在类似缺陷。

因此，应做到如下几点，以提高风险决策的可信度：

①合理确定企业风险目标，可接受风险标准不应低于当地社会风险管理目标。

以人员伤亡风险为例，某年某省石油化工行业死亡4人，从业人数约40万人，因此，1人死亡事故概率为10的-5次方；当年全国工矿商贸就业人员10万人死亡率为1.64人，1人死亡概率为1.64×10的-5次方。因此，该地区企业可接受风险应不低于这一标准，即可造成1人死亡后果的事故发生概率低于10的-5次方。

②科学制订事故后果严重程度分级规则、发生可能性分级规则以及风险等级规则，作为企业工艺安全管理制度的重要组成部分。

事故后果严重程度分级规则应包括人员伤亡、财产损失、社会影响、企业信誉等多方面的判断规则。企业风险标准分级规则应清晰、明确，使用不容易产生岐义的文字，尽可能做到容易理解和操作，

③由分析团队集体进行风险决策，减少个人决策时产生的偏差，团队人员应有丰富经验，并应受到有效的风险决策培训。

④对于争议较大的风险，不要中庸或妥协处理，应进行事故后果模拟或咨询专业技术机构。

LOPA是利用场景计算风险与风险标准进行对比以做出决策。常用的场景后果频率计算公式为：

式中PFD为保护层的要求时失效的概率。对于SIS，决定于系统中各元件的PFD和系统结构，可利用可靠性框图、故障树分析、马尔可夫模型等方法确定；非E/E/PE类的保护层，其失效概率往往来源于统计数据。很明显，失效数据是LOPA、SIL分析的基础。目前，我国对失效数据信息的收集整理和分析工作的还没有系统展开，还没建立可供使用的工业失效数据库，在失效率数据的获取、计算与分析等方面的技术方法也缺乏。

因此，解决失效数据来源问题至关重要，一般来说，失效数据来源于：

一是现有文献和工业失效数据库，如挪威DNV发布的OREDA数据库；EXIDA的安全设备可靠性手册；美国可靠性分析中心发布的《失效模式／机制分布》(FMD-97)和《非电子部分可靠性数据》(NPRD-95)数据手册；化工过程安全中心发布的《过程设备可靠性数据指南》(附带数据表)；国际石油和天然气生产商联合会公开发布的《OGP风险评估数据目录》；美国石油学会发布的API RPM81《基于风险的检测技术》等等。这些数据库收集的是外国安全产品的信息，使用时应考虑我国安全产品由于制造工艺、水平、标准与外国产品不完全相同，按照设计和运行条件进行修正。

二是设备供应商提供的数据、产品测试报告或第三方认证机构的认证证书。测试、实验是在规定条件下进行的，不能完全反映产品在实际环境下的失效率，要想获得高质量的失效数据，需有FMEDA数据、工业数据库以及产品现场应用数据和经验等进行组合分析。

三是现场失效数据获取，行业、公司或个人经验等。这一方法成功与否取决定于样本的数量、记录的完整程度、分析人员的水平等。尤其当前国内尚未有权威机构统计和发布能被业界广泛认可的设备失效频率数据库。

保护层的多样性及选择

区分独立保护层和其它保护层是非常重要的。从初始事件到产生损失，须经过一系列非计划事件，任何能够中断、减缓初始事件发生后的非计划事件链的设备、系统或行动，都是保护层。独立保护层是特殊的防护措施，按照期望运行，则可以阻止事故剧情的发展，具有有效性；独立保护层不会与初始事件或其它的独立保护层产生相互影响，具有独立性；对于阻止或减缓的有效性和PFD能够以某种方式进行验证，具有可审查性。

在进行保护层选择时，要重视独立保护层，也不轻易舍弃其它保护层，更不应把LOPA作为摘除防护措施的工具。以下几类保护措施应予以重视：

一是强制性标准规范要求的措施，如电气防爆措施、防静电接地、防雷等措施，能有效地减少现场点火源。虽然不一定能完全阻止事故剧情的发展(因为现场可能存在摩擦发热或其它点火源)，但可以减少事故剧情发展的概率。

二是成熟经验。HAZOP是一种基于经验的分析方法，成熟的经验可能是非常有效的安全措施。常见的防护措施见下表。

需要特别说明的是，同一种措施，在不同的事故剧情中，可能是独立保护层，也可能不是。上表列出的是通常情况，仅供参考，不作为独立保护层的判定依据。

HAZOP、LOPA二者局限于节点，没有考虑到一个节点发生事故对另一个节点的影响。

实际上，一个复杂化工工艺，存在着数十甚至数百个节点，一个节点发生事故可能会传导到相近节点，逐步传层到较远的节点，随着事故范围的扩大，形成事故发展的多米诺骨牌效应。同一工厂的不同工艺装置之间，甚至相邻工厂之间，也会出现类似现象。

事故在节点间传导是复杂的，涉及到冲击波、热载荷、碎片等，差异性很大。对于毒物泄漏，一般不会引起二次节点事故。对于爆炸，能瞬间引起爆炸范围内的二次节点事故和三次节点事故。对于火灾，与泄漏物的挥发性、温度、装置与厂房空间结构等因素有关。

一种简单的处理方式是将全部节点事故风险值迭加，确定是否需要继续增加保护层。对于爆炸事故，风险值迭加的方法比较客观；对于火灾，要具体分析，气体火灾能迅速传播到周边的节点，而挥发性低的液体火灾，其传播性相对较低，因此，理论上这种处理方式可能会夸大风险。另一种方式是找出最大风险值的节点，与安全目标对比，这种方式可能会缩小风险。