采用保护层频率量化方法（简称HALOPA方法）对频率进行量化

中国石化风险矩阵根据伤害后果事件发生频率的大小，将可能性分为8个级别。频率量化可采用定性与定量的方法，定性方法多基于经验，采用专家判断法进行确定。当后果非常严重或发生频率较高时，需要对事故后果的发生频率进行量化，采用半定量、定量技术确定事故的发生频率。频率量化方法可采用保护层分析、故障树、事件树、可靠性框图、马尔可夫模型等。对一般的生产装置和设施，可采用保护层频率量化方法（简称HALOPA方法）对频率进行量化。

1 HALOPA方法模型

保护层频率量化方法（HALOPA）为一种半定量方法，基本原理为HAZOP模型、保护层洋葱模型和事件树模型。

上图中具体的原因为引发过程发生偏差的直接原因，也称为初始事件或触发事件（Initiating event）。 当过程发生偏差后，该偏差进一步发展，按时间先后顺序挑战各种保护层，当偏差穿过各保护层的漏洞并遇到合适的条件（如点火、外部阻塞环境、低温等）时，安全事故就会发生。该模型假设每一个保护层相互之间独立，在面临挑战时都存在失效的可能。每经过一个保护层，事故发生频率因保护层的风险降低作用而降低。在整个事故链中事故后果是考虑所有保护措施均失效下的最坏后果。当某一个保护措施不存在失效的可能，则假设的事故场景不会发生。

当初始事件（触发原因）发生频率不超过1次/年或小于第一道保护层测试频率两倍时，采用以下公式进行计算：

以上公式：fI为初始事件I的发生频率，次/年；Penable为使能条件（Enabling conditions）的概率值；PFDIj第j个独立保护层的在需求时的失效概率值（独立保护层是针对初始事件引发的事件链）。Pcondition为导致事故最终后果的各种条件概率值。

当初始事件的频率超过1次/年或超过第一道保护层测试频率两倍时，应采用第一道保护层失效作为导致事故发生的原因事件，采用下列公式进行计算：

上式中，fIPL_first为第一道保护层的失效率，次/年；

2 初始事件频率

初始事件是指导致过程发生偏差（偏差为广义的偏差，指偏离了正常的条件，如液位高、压力高、泄漏等）的具体原因。初始事件通常可分为以下几类：

控制系统故障：如基本过程控制回路故障，包括传感器、逻辑控制器和执行器故障等；

设备故障：机械故障（如泵密封失效、泵或压缩机停机）、腐蚀/侵蚀/磨蚀、机械碰撞或振动、阀门故障等；

安全设施故障：处于高要求模式的安全设施故障；

公用工程故障：停仪表风、停气、停电等；

人员误操作：操作失误、关键响应错误、作业程序错误、其他行为失误等；

外部事件：自然灾害（地震、海啸、龙卷风、飓风、洪水、泥石流、滑坡和雷击等）、空难、临近工厂的重大事故、破坏或恐怖活动、邻近区域火灾或爆炸和其他外部世界；

泄漏事件。

控制系统、设备和安全设施故障率通常服从浴盆曲线，其发生频率主要指工艺设备或元件的危险故障发生率，在工程上它通常上反映一批样本（设备）在单位时间内的失效数，即失效率，次/年。

对于工作在相似环境的同一类设备/元件样本，其失效率计算采用下式进行计算：

失效率λ(t)=失效数/（样本总的运行时间）

对于每一种设备具有多个样本，每一个样本具有不同的失效次数、设备数、运行时间或运行环境。则需要采取多样本计算方法计算平均失效率。

初始事件频率通常可来自行业统计数据（通用数据），并结合企业自身的经验和数据对普通的工业失效率数据进行修正，如下式：

初始事件频率=通用频率×修正因子

选择的失效率数据应具有行业代表性或能代表操作条件；选择的失效率数据必须符合其内在的假设条件。这些通常包括设计规范、操作条件，基本测试和检查频率、员工和维护培训程序以及设备设计质量等。因此，确保过程中使用的失效率数据与数据内在的基本假设相一致非常重要。

中国石化风险评估管理平台（PHAMS）对国内外的可靠性数据库进行收集整理，建立了一套标准的初始事件频率数据和泄漏频率计算模型。下表给出了部分原因频率数据。

3 使能条件

使能条件是指能够导致事故场景发生的必要条件；使能条件既不是一种失效事件，也不是一种保护层。它是由不直接导致事故场景的操作或条件构成，但是对于事故场景的继续发展，这些事件或条件必须存在或活动。使能条件使用概率值进行表达。使能条件概率与初始事件频率的乘积表示了导致不期望后果的异常条件每年发生的次数。注意：大部分HALOPA场景不考虑使能条件。

3.1 时间风险使能条件

时间风险是指事故场景只在一个特定的时间段内发生，在该时间段内具有导致异常条件发展为事故的必要条件。常见的时间风险使能事件是异常低的环境温度，在该环境温度下，如果设计的防冻措施失效，那么工艺管线或公用工程管线或仪表管线将冻凝。使能事件也可能包括其他的季节性风险，如影响冷却能力的异常高温或导致静电聚居的低湿度条件等。下表给出了涉及时间风险的一个分析场景。

另一种时间风险使能条件是间歇过程中的时间风险，如一个批处理化学品反应可能发生反应失控，但是反应失控只能发生在批处理反应的第一个阶段（此时大部分转化反应发生），并且只有在冷却中断的情况下才能发生。如果冷却中断发生在其他阶段，将不会导致失控反应发生。这时，反应所处第一阶段的时间比例将作为冷却水中断导致反应失控的使能条件。

时间风险不作为使能条件的情况:

1）连续操作，危险在整个时间上保持不变；

2）操作频率少且操作时间非常短，但是具有高后果的操作或活动。在这种情况下如果使用时间风险使能条件可能形成一个结论：事故场景的平均风险满足工厂的风险标准；然而该危险对人造成的峰值风险可能异常的高。例如：储罐在开车或停车时，没有氮气吹扫，将导致储罐内易燃液体蒸汽空间的气体处于燃烧范围。即使储罐内气体浓度处于燃烧范围内的时间非常短（如，1小时/年），但是在冷启动或停车时人员可能在附近，在那个时间上人员的峰值风险将非常高；

3）在执行逐步操作程序时，涉及到的人员操作失误。在这种场景中，初始事件频率通常为进行该项操作的频率与人员在完成该步骤时的失效概率的乘积。因为涉及到失效概率，这不满足使能条件的定义，即使能条件不是一种失效。

4）在事故场景中，如果时间风险应用到后果类型及严重性上，而不是初始事件发生的可能性，此时，概率因子应作为条件修正因子。

3.2 生产模式使能条件

生产模式使能条件与时间风险使能条件相似。生产模式使能条件与工艺过程的原料（化学品、浓度、速率、量）、催化剂、最终产品、操作条件和过程状态（如循环或非循环操作模式）等过程参数相关。这些参数的变化将导致在不同的生产模式时产生不一样的风险。通过运用使能条件可表述这种不一致的风险，下表给出了生产模式使能条件的范例。

3.3使能条件运用规则

使能条件运用规则如下表所示。

4 独立保护层的PFD

保护措施要作为独立保护层（IPL），应满足以下基本要求：

a）独立性：

应独立于初始事件的发生及其后果；

应独立于同一事故场景中的其它对立保护层。

b）有效性：

应能检测到响应的条件；

在有效的时间内，应能及时响应；

在可用的时间内，应有足够的能力采取所要求的行动；

应满足所选择的PFD的要求。

c）安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。

d）变更管理。设备、操作程序、原料、过程条件等任何改动应执行变更管理程序，以满足变更后独立保护层的要求。

e）可审查性。应有可用的信息、文档和程序可查，以说明保护层的设计、检查、维护、测试和运行活动能够使保护层达到独立保护层的要求。

石油化工过程中典型的保护层包括：

基本过程控制系统

安全报警与人员响应

安全仪表系统的SIF

超压物理保护

泄漏火灾爆炸减缓措施

其它独立保护层

保护层的PFD来源：

各类数据库

PHAMS平台

故障树计算

PHAMS数据基本要求：

独立保护等安全保护措施等要符合现行的设计、安装和运行标准

要有合适的检测、测试和维护程序

发现或诊断出失效后应及时进行修复

应有严格的变更管理程序。

下表给出了部分独立保护层的PFD取值及其要求。

5 条件概率

条件概率包括：

出现危险气体环境的概率

点火概率

爆炸概率

人员暴露概率

人员受伤或致死概率

设备损坏或其他财产损失的概率

条件概率也是一种风险消减因子，在风险计算中以概率值表征了对风险的消减作用。条件概率反映了工厂在事故发展链条中处于某一特殊点或特殊时间内的时间比例。条件概率与工厂的管理和维护水平密切相关。如电气设备的维护不当将增加可燃气体延迟点火的概率。因此在使用条件概率时要确保条件概率是一个真实的值，并在全部时间内有效。

在使用条件概率时，应满足以下两个条件：

1）独立于后果严重性估计。

条件概率是一种概率值，它应与风险计算中的其它因素无关，即保持独立性。如以下范例。

案例：某工厂在工艺装置厂房外设置了粉尘收集器。粉尘收集器靠近承包商停车场和大门之间的一条步行道。如果发生粉尘爆炸，则将导致收集器密封罩和连接管网破坏，将导致厂房内的员工受伤，更严重的后果可能导致步行道的行人致死。步行道大约每天有45min（0.75h））时间内有行人。

正确的修正因子： 对于严重的人员致死后果，人员必须在爆炸时出现在步行道上。因此人员出现的概率为0.75/24=0.03。

错误的修正因子：使用了0.03修正因子，同时在考虑后果时考虑轻微的人员受伤。这将重复考虑了大部分时间内行人不会受到影响的因素。

2）独立于事故场景中的其它因子。

通常，当检测到一个设备失效时，操作人员可能去现场处理问题。因此如果可检测的设备失效为初始事件时，通常可假设人员暴露的概率为100%（除非设备失效立即发生事故）。一小事件如小泄漏和小火灾都可能增加人员出现在现场的概率。

5.1出现危险气体环境的概率

危险气体环境是指人员可能暴露在毒性、缺氧、富氧的环境或形成一个爆炸性气体或爆炸性粉尘环境。

案例：某物料泄漏后形成液池，只有当环境温度高于其闪点时才能在液池表面形成可燃蒸气，从而遇到点火源才能发生池火灾。环境温度温度高于闪点的时间比例可作为出现危险气体环境的概率来修正该事故场景的风险。注：时间风险用于后果时是一种条件概率，当作为降低初始事件频率时是一种使能条件。

5.2 点火和爆炸概率

5.2.1 工艺设备内部点火概率

当评估工艺设备内部点火概率时，应考虑以下因素：

历史经验

工艺设备内的爆炸分区

内部设备或元件因不正确安装导致的失效概率

物料产生静电的可能性

静电的聚集或不良的接地等

正常或异常条件下出现的火花

气相线连接到其它点火源

吸收热（如活性炭床层）

内外部温度

低自然点的物料

低点火能的物料

自氧化的物料

内部正常或异常的化学反应

热工作业，包括临近的设备

动设备

绝热压缩

以下情况不考虑内部点火概率：

设备内部正常为爆炸性气体，只要出现足够能量的点火源则会发生内部爆燃。此时点火源的出现（如接地系统失效）应作为一个初始事件。

当爆炸性气体和点火源都是短时异常事件时，需要考虑两种低概率事件同时出现的可能性。

初始事件发生就能够导致出现点火源时，则点火概率假设为100%。

5.2.1 工艺设备外点火概率

工艺设备外点火概率的计算主要考虑立即点火（静电、自燃点火）和外部点火源引发的延迟点火。PHAMS平台中点火概率计算模型从简单到复杂包括三个层级，其中：

1）Level 1 适用于一般的危险分析、保护层分析等；

2）Level 2 适用于HALOPA、快速定量风险评估等；

3）Level 3 适用于全定量风险评估（QRA）、成本效益分析等。

点火概率计算方法采用了事件树原理进行最终结果的计算。

最终的爆炸概率=（1-立即点火概率）×延迟点火概率×爆炸概率。

最终的火灾概率=立即点火概率+（1-立即点火概率）×延迟点火概率×（1-爆炸概率）。

详细的计算模型和计算程序见中国石化安全风险评估平台（PHAMS）中点火概率计算工具。

5.3 人员暴露概率

人员暴露概率是指泄漏火灾爆炸等事故发生时，人员出现在影响区域内的时间比例。在使用人员暴露概率时需要考虑以下关键因素：

人员暴露概率应解释所有出现在影响区域内的人员，包括常规操作者、临时人员或开停车、维护等短时大量人员。如果事故影响区域足够大，需要考虑临近单元的人员。

人员暴露概率必须独立于评估的事故场景。如果该事故场景中涉及到关键报警与人员响应，则可能导致部分操作者去现场检查情况（这取决于事故演变的过程）。此时则不应考虑人员暴露概率。

当初始事件是现场人员误操作导致时，人员将出现在事故现场，则不考虑人员暴露概率或取值为1。

当在事故严重性考虑人员暴露概率时，则不应在风险计算中再考虑人员暴露因子。

当把人员限制进入的措施作为独立保护层时，应确保不再重复使用人员暴露因子。

在确定人员暴露概率时通常需要考虑事故影响区域，可能包括毒性气体扩散影响区域、火灾爆炸影响区域等。

人员暴露概率计算方法：

1.确定影响区域的范围。

2.计算影响区域内人员每周或每天总的（人.小时）

3.利用下表确定合适的人员暴露概率。

备注：

1）要考虑影响区域内所有可能出现的人员，包括所有的操作者、维护者、承包商、保卫、工程师等；

2）为保守评估风险，建议人员暴露概率不低于0.01.当取0.01是需要进行详细的分析和文档依据。