除了风险矩阵和蝴蝶结图,人机交互在过程安全管理中的作用日益增强

安全关键设备(SCE)的风险管理评估,包括风险矩阵的使用,是控制运营风险的基础。但如果采用过时的数据,即使是经过验证的行业风险确定模板也不适用。

风 险管理评估, 包括风险矩阵的使用,对于控制与石油天然气行业中安全关键设备(SCE)相关的运营风险至关重要。然而,尽管使用经过验证的行业风险确定模板(如“蝴蝶结图”),但这些评估可能存在缺陷,原因与模板无关,而是与使用的基础有关:过时的数据。

不幸的是,在安全事件、甚至重大风险事件发生之前,过程安全管理系统可能都被认为是可接受的。

没有全面和综合的评估,就不会降低安全关键设备的风险。例如,包括石油和天然气业务在内的能源公司,往往假定每个安全关键设备风险识别和风险评估以及蝴蝶结图表,都基于最新的事故历史数据库,与其当前的过程安全管理系统保持一致。应持续验证这些假设,包括安全关键设备、控制室、报警管理和人机交互。

安全关键设备和风险预防工具

由美国石油协会在其推荐的海上设施防火和爆炸负载(2006)中,安全关键部件被定义为“结构、设备、工厂或系统的任何组成部分,其失效可能会导致重大事故”。

该定义适用于所有安全关键设备,但每个安全关键设备元素都是唯一的。几乎每个企业都依赖风险矩阵来识别安全关键设备并确定流程管理的优先级(参见图1)。

图1 :风险矩阵确定事件发生后的概率和严重程度。请注意“主要”和“灾难性”后果类别中的红色块。本文图片来源:NireshBehari

该风险矩阵有助于识别出大规模风险,其中可能包括涉及汽油、液化石油气和石蜡等危险材料设备。这些安全关键设备需要最高优先级的风险管理,所有与之相关的人都必须理解这一定义。

完成危险和可操作性(HAZOP)研究,确定并检查设备或操作设备的风险后,下一步是创建蝴蝶结分析和风险管理方案,重点关注与安全关键设备相关的风险。

蝴蝶结分析图的左侧代表了威胁和主动性反应。右侧则代表反应性控制。该观点是培训所有安全关键设备运营人员,让其了解是什么原因导致“事件”的发生,运营人员、设备甚至是公众,都可能暴露在这些事件之下。尽管为过程工程师和工厂运行人员定制,但蝴蝶结分析是强制风险预防工具,运行人员以及其它人员必须理解和遵循。

屏障保证是风险管理和风险预防的另一个组成部分。有些人认为屏障仅限于硬件,以便防止风险释放的危险或在过程安全壳丧失时限制负面结果。然而,第二个屏障——人类干预,与硬件同样重要。由阿曼液化石油气发布的硬件屏障保证模板包含8 个安全风险屏障,但人为因素是其基础。

保证模板中专门为安全关键设备运行人员和工作人员设置了一些问题,需要积极主动的响应。例如:“能做些什么来保持屏障的安全运行?”和“如何安全地管理受损屏障?”硬件屏障保证表格说明了这一切:“你是否拥有自己的蝴蝶结屏障?”如果没有主动措施来消除这些缺点,任何低于确定性反应的警告都表明存在过程安全漏洞。目标是始终制定适当的屏障来管理风险,以便尽可能地限制风险。

安全完整性等级水平与维护标准

为每个安全仪表功能设定目标安全完整性等级(SIL),可能会导致错误的安全感。每个级别都会针对指定时间内发生故障的概率来衡量性能。等级1,发生指定故障风险的时间为10 年;等级2 是100 年;等级3 是1000 年。

这些等级是石化行业的标准,用于保护关键控制系统,例如压力容器、柱式堆和储罐。然而,2 级和3 级安全关键设备并不是那么简单。挑战在于识别安全关键设备仪表功能,并不是一件容易的事,因为数千个安全完整性等级1(SIL1)的安全仪器和控制回路,安全关键设备分类可能会有错误。错误分类会影响关键仪表和控制回路的维护优先级。

最佳行业惯例,是利用已建立的安全关键设备管理流程进行安全保护,对所有SIL1 的仪表设备和安全流程进行过滤,把SIL2 和更高级别的安全防护控制回路作为主要风险安全关键设备。

SIL1 过滤过程应包括审查最近发生事件。当过去的安全管理系统与当今使用的安全管理系统没有相似之处时,现代安全管理系统不需要参考过时的事故数据。

这对人与安全关键设备互动意味着什么?利用相关和最新的过程安全事故数据,用于安全关键设备识别的强大而现代的SIL1 过滤流程,可减少维护和周转优先级并节省运营费用。尽管发生事件的可能性极小,但管理层必须建议安全关键设备工作人员,避免想当然的去使用很久以前的SIL1时间参数。

在石油和天然气行业,火灾、爆炸和释放严重性指数(FER-SI)是衡量和量化安全关键设备的另一个重要的风险预防和缓解工具。它是一种碳氢化合物泄漏量化和鉴定模型,用于评估可能导致泄漏的潜在设备缺陷。该指数可用作滞后指示,提供安全关键设备识别概念。对管理和安全关键设备运行人员来说,重要的是所涉及的概率和可能性,包括由泄漏产生的羽流类型、安全房间位置、在有毒物释放的情况下工人的安全距离,以及由于坠落物体所造成的风险后果。

图2 显示了设计与安全关键设备管理、报警控制和停机旁路相关的前导和滞后指标的现有做法。图3,4 和5 显示了与安全关键设备相关的过程安全故障的根本原因。图3所示的碳氢化合物泄漏可能与设备设计、变更管理问题、资产完整性或操作有关。对于缺乏强大的安全关键设备管理系统的工厂而言,后两种缺陷往往会更严重。

图2 :此模式描述了前导和滞后的安全关键设备问题指标。

图3 :该图显示了碳氢化合物泄漏的可能来源。

在图4 中,天然气处理厂的设备或机械故障,表明不按照维护计划进行维修,是泄漏或灾难性过程安全事件的重要原因。这通常与安全关键设备优先级和过程安全管理系统的缺陷有关。

图4 :该图按百分比显示了导致安全关键设备问题的各种原因。

一些潜在的人为因素与无效的安全关键设备管理相关(见图5)。这包括在评估以可靠性为中心的维护时不正确的风险管理原则,例如与现有过程安全管理系统不匹配,或者基于过时的数据等。

图5 :该图显示了由于人员和企业问题导致的安全关键设备问题的百分比。

运行人员或工人是否了解被定义为安全关键设备的每个项目所涉及的使用限制?对于几乎所有公司而言,发布的标准运行程序需要明确规定每个操作边界的文档。例如,在油砂工业中所实施的边界方法,包括将压力容器、热交换器、旋转设备和用于碳氢化合物服务的罐确定为安全关键设备。

人机交互评估

个人工作相关因素和企业因素,是过程安全文化和安全关键设备交互不可或缺的组成部分。为了便于理解,南非撒萨索尔天然气和化工运营公司的多学科过程安全专家和人因工程研究人员,在2009 年至2013 年期间进行了认知调查,以评估人机界面系统,然后进行风险评估访谈,以解决技术、机械、维护、工作问题和人员压力。这些问题涉及安全关键通信和远程操作等主题。企业方面,包括FER-SI,评估与泄漏相关的机械性能,以及过程安全管理系统的审核。

问题模板涉及控制室、报警处理和过程控制系统,以及安全相关员工对相关问题的看法。例如,一个模板设计失去容器和一般工厂设备可靠性的问题。评估结果令人惊讶,甚至令人不安。该调查发现,由于受访者称缺乏员工轮换,因此对工作的疏忽正成为一个主要问题,对与报警管理有关的其它问题产生了重要的影响。

从积极的方面来说,设施致力于解决问题。审查月度报警停机列表,包含人工智能组件的报警自动控制被视为有效的支持过程控制系统架构。另一方面,受访者描述了对趋势和模式的不充分审查。一家工厂提到了“误”报警的频率。

响应者给出了为什么建议将人员配置、工作量和维护的调查,作为风险评估模板的一部分。应将有关安全关键设备技术以及每个项目的人为因素清单视为强制性的。

风险矩阵不足或不充分,对人机交互的潜在负面影响,足以让高管和管理层要求对流程和程序进行持续审查,识别每个潜在行业风险。通过从安全关键设备所有前导和滞后收集最佳绩效指标,该模板可以揭示过程安全文化评估的神秘面纱。包括员工对其设备交互的感知调查。

这种方法可以扭转令人不安的行业趋势,在这种趋势中,公司从重大风险事件或完全公开的灾难中吸取教训,来降低安全关键设备风险。虽然从很久以前发生的灾难中可以吸取宝贵的经验教训,但今天的风险矩阵必须与当今的安全管理体系相关。任何疏忽,都会导致风险不可接受的增加。

- 完 -

本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2019年06月刊《聚焦过程自动化》栏目,原标题为:人机交互在风险管理中的作用日益增强

本期杂志

喜讯:《控制工程中文版》小程序上线,点击此杂志封面即可打开小程序阅读过往杂志。

(0)

相关推荐