引言
英国安全状态报告(Safety Case)法规规定,工厂设计阶段即必须讨论制定安全关键设备(SCE)的性能标准及管理活动。其管理活动又分为业主方执行的保障活动(Assurance Activities)以及第二或第三方执行的验证活动(Verification Activities)。SCE的性能完好,首先必须建立性能标准(Performance Standard),且有性能标准的FARSI(功能要求Functionality、可用性Availability、可靠性Reliability、存活性Survivability、依赖性Interaction)内容要求。其次,则是如何依照性能标准要求,执行相应的性能保障,不论是新SCE的设计阶段或是既有SCE的操作阶段,皆应有相应的保障活动要求。再次,才是由第二或第三方开展的验证活动,来监督验证业主的保障活动执行效果。本期内容将介绍这些管理活动的主要内容,期望能够协助工厂管理人员审查自身的管理活动。安全关键设备性能完好的目的
安全关键设备的性能完好主要目的在于:避免重大危害(MAH)发生;或是削减重大危害的严重度。这一重要观念是资产完整性管理的主要内容之一。这一重要观念有别于传统的风险管理思维——仅是在于提供一份重大危害(MAH)清单。尤有甚者,有些工厂甚至无清晰完整的重大危害(MAH)的定义,则分析、汇整重大危害清单也只是流于空谈的形式主义。安全关键设备保障活动(Assurance Activities)
以设计阶段、操作阶段常用的保障活动,分别列举如下。1.设计阶段:
MAHs——如何分析重大事故危害(MAH)情境并建立MAH清单;SCE辨识——安全关键设备的识别方法、适当的分类说明并建立SCE清单及数量;
性能标准的制定——适当地依FARSI原则制定并选择应用的标准,同时于性能标准内容建立设计阶段及操作阶段的保障活动及验证活动内容;
SCE的性能及条件——制定检查、测试及预防维护(ITPM)的计划内容并执行ITPM任务及质量确认,确保与性能标准的符合性。
同时能控制SCE性能偏离的管理办法。
2. 操作阶段:
ITPM执行——例如:
检查、测试及预防维护任务,故障修复的执行;
SCE的性能状态监控——随时管控SCE的性能状态,并能分析故障原因实时反映并恢复SCE性能;
“威胁”管理——例如SCE相关的变更、临时的设备、备品备件的管理、功能的衰减、旁路或抑制(inhibit)的管理方法。
安全关键设备的验证活动(Verification Activity)同样地,验证活动也分为设计阶段、操作阶段,常见的验证活动分别列举如下。
MAHs——确认所有MAHs情境为可信情境且无遗漏;
SCE辨识——审查其SCE辨识方法论、审查SCE清单及数量、确认其SCE分类原则及说明;
性能标准的制定——审查其性能标准FARSI的选定是否适当,并查核性能标准的变更是否纳入变更管理;
SCE的性能及条件——审查其IPTM计划如何制定以及各项质量确认、偏差管理办法的设计。
ITPM执行——审查现场实际检查、测试及预防维护执行内容是否落实,并现场见证关键的功能测试;
SCE的性能状态监控——鉴证状态监控的执行情形、审查可靠度/可用度的记录、维修保养记录、追踪上次验证的建议措施落实情形;
“威胁”管理——审查SCE相关变更、临时设备、备品备件管理、功能的衰减、旁路或抑制(inhibit)管理。
实践做法
虽然目前国内没有类似安全状态报告(Safety Case)强制法令的做法要求安全关键设备(SCE)的管理,但是企业对于追求资产完整性管理的最佳实践,仍然殷殷期盼。而以风险为基础的管理要求仍是安全管理的主轴,贯穿了一系列的风险评估方法(诸如SIS、RBI、RCM、IOW等),而目前能涵盖以上论述的最佳实践做法,即是以安全屏障理论为基础的领结图(Bow Tie)方法,最易被接受及普及,这一需求并不仅限于石油化工行业,更可见于制造业、绿色能源、轨道交通及海上平台等。目前国外在Safety Case法案要求的国家,SCE的验证工作大多是委托第三方机构执行。而国内目前SCE的验证管理要求尚存不足,但是部分企业经过我们的团队辅导,已经建立了自身验证的能力,并能自行执行第二方的验证活动。例如:以公司集团总管理处的角色对旗下子公司(或各事业部),进行定期的SCE管理验证及状态监控。对于公司集团而言,验证活动的范围——安全关键设备(SCE )通常是种类多且数目庞大,因此验证的频次势必按照优先级分类有所取舍。这就产生了安全关键设备的关键度分级(Critical ranking)的需求,但强调SCE的关键度分级目的并不是在区分ITPM的任务活动周期,SCE的关键度分级仅适用于讨论验证活动的验证样本数量大小以及验证活动本身的验证频次差异,千万不要与ITPM的活动混为一谈。