化工园区安全管理探讨:欧美国家的安全监管方式
过程安全管理在美国始于1984年的印度博帕尔事故。虽然事故不发生在美国,但联碳公司毕竟是美国公司。而且,作为当时世界上规模仅次于巴斯夫的化工帝国也因此轰然崩塌,令人嘘唏。事故发生后,美国很快通过了《清洁空气法案》。别被这个名字误导,这个法案基本上澄清了以下三件事: 1. 美国OSHA负责管理好企业,防止发生重大事故; 2. 环保署负责管理好事故,不要影响到工厂外部; 3. 成立一个独立调查组CSB(Chemical Safety and Hazard Investigation Board化工安全与危害调查委员会)负责监督OSHA和环保署更好地运行。 这三条是美国标准的国会法案模板,管理要求加审核员模式。 博帕尔事故后,OSHA于1990年通过了29 CFR 1910 119(高危化工企业过程安全管理规定),简称PSM。现在为人熟知的过程安全14个模块由此产生。环保署(EPA)紧随其后,通过了40 CFR 68(环境风险管理计划),简称RMP,同样引用了14个管理模块的要求,解决了监管部门的分工问题,即OSHA主厂内,EPA主厂外,应用同一个体系。
OSHA的过程安全14个模块,很好地描述了工厂控制过程风险的各个方面,也尽可能地列出了相对详细的管理要求。
但是,仔细研究OSHA的规定,会有以下三大不足:
1、执行难
具体体现在对PSM的执行和考核没有要求,同时14个模块相对独立,没有描述模块之间的关联性,不能形成完整的管理系统。
这里不得不讲一下OSHA的背景,OSHA(美国职业安全与健康管理局)隶属美国劳工部,是为了工人争取利益的部门,一直以来制定的法规都是以执法容易为主,比如它会详细规定“爬梯每一步间距”这样的细节。OSHA以往的条例主要以这种规定明确、执法方便、对与错一目了然的条例为主。而PSM并不是这样一个条例,说到底PSM需要涵盖整个化工系统,适应不同工艺,就没有那么容易做到一目了然了。
现实结果也是如此,OSHA的14个模块从工厂管理的各个环节入手,确实描述了如何管好化工生产管理的各个环节。在建立初期,14个模块对美国的过程安全发展提供了清晰的方向和指导,但实际推行却比较缓慢,企业推行都是分模块进行的,并没有把过程安全形成管理体系。
管理体系的推行需要一个类似管理指南的文件来指导企业,可偏偏OSHA习惯了写执法条例,把指南写成执法条例,留给企业的是,不知道如何做才能满足要求。
2、执法检查难
即便OSHA已经尽量把14个模块写得容易执法,但是毕竟PSM不是“爬梯间距”那么简单。全美的OSHA检查员中间可以审查PSM的不到百分之一,培训班开了一期又一期,PSM的审核人员依旧急缺。究其原因,与PSM理应是一个管理体系有直接的关系。原来的OSHA执法人员习惯了非此即彼、黑白分明的判断,如今让他们来审核一个体系,尤其拿到的不是清晰的判例,判断起来当然困难。
3、弹性不足
OSHA在PSM适用性上有一个化学品量的阈值,超过该阈值需要执行OSHA,否则就不用。问题出在,一旦超过该阈值,不论大小,严重程度都需要严格按照OSHA执行,不需要增加,也不能减少,使其在实际执行中缺少了弹性。
在接连发生了2005年德州BP爆炸案、2010年墨西哥湾漏油、2013年德州硝酸铵爆炸等事故后,美国过程安全管理的执行发生了转向。尤其是2005年的德州BP爆炸案后,算是美国PSM管理的一次转折。事故调查的结果显示了领导力不足、文化缺陷的问题,也显示出模块间联系的问题。 这次事故之后,美国OSHA提出了对与PSM相关企业执行情况的NEP(National Emphasis Program),即国家专项检查计划。从2007年开始针对炼油企业,之后2010年开始针对化工企业。NEP计划其实是一个以审核推行PSM管理的计划。几个特点如下: 1、NEP审核的是管理体系和最佳实践,并非设计要求检查。 2、NEP的审核员与OSHA审核员并不相同,一般是一个由资深专家(level 1 auditor)带队的小组,且这些审核员清晰地了解PSM管理要求。 3、最终的发现项(罚单)主要与管理体系有关。 下图是一个发现项和PSM模块相关分类:
近10年来,OSHA推广过程安全的主要手段其实是:利用PSM专业体系审核推动PSM执行。
同时,2005年BP德州炼油厂爆炸促成了美国企业开始自发地思考如何把这些分割的模块连接起来。CCPS的基于风险的过程安全体系应运而生。CCPS通过企业合作,发布了数以百计的详细的管理和技术指南,完整描述了各个模块应该是什么样的管理,现存的最佳实践是什么。这些指南使得PSM的执行变得有了指导,而不仅仅是停留在法规层面;同时,CCPS推出了基于风险大小确定管理(RBPS)的理念,也使得PSM体系可以适应于所有工艺。
值得一提的是,CCPS是行业组织,从行业角度提出的CCPS PSM指南,正在逐步被OSHA所吸收,变成NEP审核中被检查的条目。
以上就是美国PSM管理的基本现状。可以看到,OSHA的14个模块解决了那些要管的问题,但是在早期本身执行起来推动力不足;现阶段美国OSHA主要依靠NEP PSM体系审核来推动。同时,CCPS作为一个行业组织,提供了大量的细节和可操作的指南,这给了企业拉一把的力量。这一推一拉之间正在稳步推动企业PSM的发展。
中国的《化工企业工艺安全管理实施导则》(AQ/T3034-2010)基本上就是依照OSHA 14模块翻译过来的,后被《国家安全监管总局关于加强化工过程安全管理的指导意见》(安监总管三[2013]88号)引用,变成了强制执行。但是,导则去掉了两个管理模块,更重要的是删除了“适用范围”。在OSHA PSM中规定了对于不同化学品,当使用量超过一定量以后,这个工艺才适用于PSM法规。以及在RMP中,基于事故后果模拟将企业分为三级进行管理,这样的分级管理考虑都在引入过程中被删除了。而这些删除恰恰导致了第一篇文章中提到的管理边界问题。
总结
美国现在采用的是以管理体系审核为推动力、以CCPS行业协会提供管理指南的方式推进过程安全管理,这种推动方法多少是OSHA以检查为主要执行手段的延续,至今美国还在为没有足够的体系审核人员而头疼。
接下来,我们来看看欧洲为了防止化工事故做了哪些努力。 欧洲的过程安全管理 欧洲的过程安全管理起源很早,始于英国的Flixborough爆炸。该事故到现在依旧是变更管理(MOC)方面的典型案例。 在那次爆炸之后,由ICI公司工程部门在上世纪70年代提出的HAZOP(危险与可操作性分析)方法逐步成为化工行业进行风险识别的主流方法,通过对整个工厂的因果分析来确定新的或已有的工程方案、设备操作和功能实现过程中的危险。 历经几十年的实践应用和发展完善,HAZOP方法以其系统、科学的突出优势,在工艺危险识别领域独占鳌头,在工业发达国家得以广泛应用。 欧洲政府真正开始关注化工安全,除了来自博帕尔事故的冲击,更深的感受来自一个意大利的小镇——塞维索。这里在1976年发生了严重的二噁英泄漏,导致了大面积的厂区外影响。虽然事故没有人员伤亡,企业在这起事故中也没有受到太大的直接财产损失,但是由于早期应急不当,造成的外部环境影响极其严重,至今受影响区域的致癌率依旧高于周边。 由此次事故促成的欧盟立法逻辑简单直接:防止重大事故(塞维索指令 I, II, III)。这套指令简单明了,那就是“找出可能造成重大事故的危险源” “确定可以有效控制该危险源的管理措施”,以及“为这一危险源单独制定有效的应急预案” 这样明确的三步。这套指令在欧盟通过,并逐步在各国形成了满足欧盟标准的国家法律。这里就有中国熟悉的”COMAH“(Control of Major Accident Hazards)(重大事故防止法案)。 以上三步说来容易,但是具体执行起来,其逻辑就和美国OSHA的方法有很大的不同了。具体体现在两个方面:“主体责任”和“基于风险”。 首先,塞维索强调的基本逻辑是:如果有一个危险源存在,那么危险源所在的企业应该比别的任何人都更了解如何管理它;如果不了解,那就去找外部的专家把它搞清楚。对于危险源的危险程度、管理责任、管理方法、管理措施都完全归于企业,这是权利和责任一体的“主体责任”。 其次,基于风险,欧洲的风险评估讲究的是:找出重大危险源失效的可能危害情形,并且基于该情形进行定量风险评估(QRA)。对于危害情形的强调,存在于欧洲过程安全管控的方方面面。塞维索指令在开始之初就给出了关注的化学品种类和数量阈值,集中关注于有毒、可燃的危险化学品,关注有一定存量的设施和装置,基于种类和量将危险源分为“重大” (Upper Tier)和“一般”(Lower Tier);对于高低两级不同的危险源有不同的管理要求。 对于“重大”危险源,要求提供从后果模拟、技术设计、防护措施(硬件&软件)、管理措施、应急措施和审核措施全方位的详细描述,以证明该危险源的风险可控。 而对于“一般”危险源,要求则要简单很多。塞维索指令经历了两次升级,总体来看,管辖的范围在扩大,划分也变得更为科学,对于“重大”危险源管理措施中需要涵盖的范围也更加具体。 抓手就是审批和检查。 对于所有的“重大”危险源,企业需要证明自己对于危险源是完整了解、设计充分且控制良好的。如何证明?请提供完整的风险评估报告给政府审批,在这份报告中需要列举该危险源所有可能的事故模式;对列举的事故进行后果模拟确认影响范围,列举所有可能事故的防护措施,以确认该重大危险源得到了良好的设计;证明所有的风险在接受范围(基于风险计算);并为可能发生的事故,基于后果模拟的结果制定单独的应急处置预案。这份专门针对“重大”危险源的报告叫“Safe Case”, 从内容上看应该翻译为:危险源安全情形评估报告。 企业需要在开车调试之前的一定时期向政府提供每个“重大”危险源的“Safe Case”,通过审核之后才可以正式开车。这份报告的应用不仅仅是用于工厂建设调试期间,在工厂运营阶段,企业每一年或者两年会面临政府的检查,所有的政府检查都基于核查该报告中设计的防护措施是否落实。 举例来说:如果报告中记录了这个危险源有一个联锁,那么就需要去检查联锁的硬件、软件、测试和有效性。 如果报告中记录了这里有一个报警,那就查报警的硬件、软件、记录、响应人员、演习,甚至对人员进行面试。 企业如何管理危险源是企业决定的,但是承诺的管理事项是否到位,是需要政府来检查和监管的。当然违反承诺的成本也非常高昂。对于“Safe Case”的违反可能导致企业直接被关停。 如果需要对该“重大”危险源的管理进行变更,“Safe Case”同样需要变更,需要重新进行一次完整的审批。 有人会问:这不就是中国的安评么?是的,如果仅看两个报告的目录,这份报告的目录和安评几乎完全一样。但是这份报告只针对“重大”危险源,只审批一次,被反复用于检查,而这份报告中所有的内容都是为这一特定危险源单独建立的,其详细程度和可执行程度对比中国通用模板写成的安评是远为详细的。 再来回顾一下管理的边界。欧盟的做法给出了一个很好的示例:清晰的责任边界、清晰的管理重点,以及在重点管辖上极为详尽和具体。 首先,各国政府制定了重大事故危险源认定办法。中国的重大危险源认定办法也是基本基于英国“重大”(Upper Tier)危险源的标准制定的。 接下来,如何证明设计是考虑充分并且风险可控?欧洲各国有大量的技术指导标准。这些标准大部分是非强制的,但是这些标准仅仅是底线。基于统一的风险计算方法(QRA),企业需要证明设计中已经执行了ALARP(As Low As Reasonable Possible)(尽可能合理的低)原则。 然后,在日常运营中,政府会有专门的检查人员到逐个工厂对已经重大危险源的防护措施进行检查,这种检查涵盖了功能、检测、检验甚至人员面试,只要是列出风险评估的防护措施都需要确定其有效性。如果发现危险源的防护措施失效,将是重大违规,可能会罚款甚至直接导致工厂关闭。 最后,为该危险源制定的专门的应急措施需要到政府部门备案。该备案的目的是为了市政应急和工厂应急预案的对接,各个工业区、港区、工业区的应急预案需要考虑与各个危险源的应急预案有效衔接,即当事故真的发生,影响已经扩散到厂外以后,政府需要知道如何应对。 本人曾经审核过一个欧洲的化工厂的液氨储罐泄漏预案,应急预案细致到了当事故发生时,政府如何确定隔离范围、疏散距离,进入救援应该走那条路,到了现场的每辆车的职责。要知道这些预案都是写给社区消防人员的,当事故真的发生了,消防人员到达现场是立刻可以投入应急的,完全避免了前期的情形侦查的时间,可以有效的防止事故的扩大。 欧洲的做法与美国形成了很鲜明的对比,一个推行体系,一个关注重点。 美国这一策略的好处在于,如果所有的公司都良好执行这一体系,那么应该可以很好地降低所有过程安全事故发生的可能。但是受制于推行方法和审核人员不足,在这一体系的推行上还不尽如人意,因为近些年美国还是在化工行业发生了不少事故。 欧洲策略其实更多是看重点:先防止重大事故的发生,然后逐渐扩大同一方法应用的范围(塞维索I,II,III),在重大事故防止上更有成效。 (来源:苏德亮,如有侵权请联系删除)那么,政府如何监督企业是否执行“基于风险”和“主体责任”呢?
关于执行