统一危害评估
——一种PHA数据重组和优化方法

徐志杰，李邦，宋占兵，高华宙

(1． Kenexis 咨询公司, 天津 300270；2. 中沙(天津)石化有限公司，天津 300271；3. 中国安全生产科学研究院，北京 100029；4. 山西潞安煤基清洁能源有限责任公司，山西 长治 046200)

众所周知，化工生产装置在过程危害分析(PHA)方面投入了大量资源。自PHA应用以来，某些具备一定实力的运营公司不仅致力于PHA过程，而且还拓展了PHA信息的使用，即利用这些信息来推动由其他利益相关方执行的工程和管理任务。在过去50年里，流程工业在实施基于风险和基于绩效的决策实现高水平安全管理方面取得了长足进步，同时还将开展该类风险研究期间确定的安全措施所需成本和工作量最小化。

PHA信息早期拓展之一便是保护层分析(LOPA)。尽管PHA在美国职业健康与安全管理局(OSHA)颁布过程安全管理(PSM)条例[1]后被广泛采用，但除了简单地跟踪PHA分析期间产生的建议之外，并未做过多的信息处理工作。LOPA之所以能够成为选定性能目标的流行方法，主要因为其始于PHA信息，诸如： 原因、后果和针对危险场景的安全措施，同时还能够将这些信息以半定量的方式进行拓展，然后分配每个安全仪表功能(SIF)提供的总体风险降低的部分进行，继而确保实现可容忍的风险水平[2]。

除LOPA之外，化工生产装置的管理者们还对汇总PHA信息以列出重大危害产生了兴趣。这些管理者会定期查阅危害清单，并确保所有影响该类场景风险的安全措施能够正确设计、实施和保持。重大危害清单和与之相关的信息通常被称作危害登记表。虽然危害登记表已成为风险管控的有力工具，但由于信息具有的技术特性以及大量使用术语和缩略语，使得了解危害并在整个运营公司乃至外部利益相关方之间进行告知变得非常困难。为了帮助了解危险场景，便开发了领结图可视化技术。在将危险场景可视化为领结图时，还开发出了场景发展图形表示法。领结图可从左往右读取，如图1所示。

图1 典型领结图示意

领结图左侧给出了一系列危险事件的原因，然后从每个原因画一条直线至领结的“结”处。领结中的“结”表示危险事件变为现实。在流程工业中，“结”通常指化学品泄漏。从原因到“结”的每一步均设有“屏障”。屏障指事件、系统或状况，其能够阻止原因导致发生泄漏。原因和泄漏之间的屏障称作“预防性”屏障，这是因为其成功运行能够阻止泄漏发生。“结”的右侧是对泄漏后发生事件的描述，包括一系列泄漏引发的后果以及从“结”至后果所画的线段。就原因而言，无论何种后果都要设置屏障，只要这些屏障功能正常就能预防或者减缓(例如，降低量级)后果。采用领结图表示风险场景的突出优点在于： 视觉提示和文本信息的组合能够使危险场景信息的表达更为丰富，因此可视化能够加速并促进人员对危险场景的理解。

以上的讨论表明，PHA期间获取的信息具有非常高的利用价值。似乎只要按下一个按钮，便可从PHA数据切换到LOPA，然后是危害登记表，最后是领结图。此外，还能够对领结图进行编辑，然后将其与LOPA分析逆向“级联”。这样一来，在查看领结图的同时，便能够查阅LOPA的定量内容。但是，目前的情况并非如此。

当前，不同用途的PHA数据会采用不同的应用软件，每一种软件均采用不同的数据结构来表示数据。此外，不同应用软件使用的数据结构彼此之间全然不同，从而使应用之间的数据无法共享。为了应对和解决该类情况并最大限度利用过程行业赋予的数据，需要变更PHA执行和记录的方式。首先，要改变PHA组长记录分析的思维模式。即PHA组长必须根据危害在何处显现而不是危险事件起因的位置来记录分析。但最重要的是，过程行业需要侧重于公用、一致和标准化的PHA数据结构。

1 现有PHA文档存在的问题

PHA数据难以演变成可用于其他目的数据表示法的根本原因在于 “原因局部—后果全局”规则，采用该规则，PHA组长可以引导讨论，对于给定的偏离或者其他讨论提示，如未采用HAZOP，危险场景的讨论可以从识别该偏离的原因开始。该分析方式会限制分析范围，由此，便只会考虑节点内的原因，而节点外的原因要在其他地方进行评估和记录。一旦原因被确定，该规则便会要求分析团队去追踪偏离的后果，无论其在哪里显现。

采用“原因局部—后果全局”规则会导致产生一种数据结构，从数据科学性的角度讲，称之为“原因索引”。其意味着原因为关键数据项，通过这些数据项，可以分类和关联其他分析信息。但是，当PHA数据用于其他目的时，搜索信息的起始点却从来不是原因。对于LOPA而言，特别是用于为SIF选择SIL性能目标的LOPA，必须将能够形成SIF，旨在被保护的给定结果场景的所有原因组合起来。LOPA分析时，按照结果而不是原因来索引PHA数据是最有利的。事实上，原因索引在LOPA分析期间会产生各种各样的问题且还需要额外的分析时间，这是因为原因(或初始事件)杂乱分布于PHA分析当中，而非包含在单一位置。例如： 某一LOPA场景专注于工艺设备溢流，如： 压缩机气液分离罐，溢流的原因不仅会在含有该设备PHA节点的多个偏离中出现，而且还会被记录在包含该设备的上游和下游节点。理想的情况是，所有高液位的原因都应记录在包含该设备的液位高这一偏离当中。然而，鉴于当今普遍采用简化和文档技术，现实当中却并非如此。

危险事件的原因很少被记录，而PHA组长处理偏离的顺序又进一步加剧了该问题。大多数PHA组长会从与“流量”参数有关的偏离开始，然后再将分析转移至“可怜人(poor man)FMEA”，由于该方法不可避免地会导致PHA组长和/或PHA团队寻找回路中的各阀门、机泵和压缩机，再关注其开启/关闭或者启动/停止。如此会造成大量危害被记录为流量问题，而实际危害却与一个完全不同的参数相关。上文的案例中，压缩机气液分离罐液位高的原因通常不会被记录在包含该设备节点的液位高这一偏离当中。一般情况下，该罐液位高的最重要原因之一往往会在气液分离罐物料目的地节点低流量偏离中被找到。

妨碍PHA数据被广泛使用的另一问题是数据结构不统一。许多设施已开展了十几年的PHA分析，并经历了数轮的再验证。但事实上，很多PHA分析采用不同的软件工具来完成，更有甚者居然采用单一软件工具来开展。由于不同的PHA组长通常会根据个人工作习惯定制不同的工作表来显示不同类型的数据，因此数据结构各不相同。虽然开始的时候，尽管采用PHA工具来定制数据结构使分析满足特定设施要求的益处很多，但分析之间的不一致性却阻碍了信息在单一地点的“累积”，更不用说具有多个现场的企业了。

2 结构化数据基础

本章内容主要针对关系数据库的开发，但仍适用于数据存储和检索的其他方法。本文提出的PHA数据重组和优化方法远优于采用传统关系数据库进行危害分析研究的方法。关系数据库存储数据的主要手段是表格、记录、字段、关系和标识符。

表格是一种可用于描述给定项目结构化的数据一览表，例如： PHA分析时通常会有一份描述所有分析节点的表格。表格包含许多行信息和列信息，每一列信息都是一段特定信息，例如节点号或节点描述。数据库一般包括许多不同的表格，这些表格描述了系统的不同方面。例如，PHA数据库可能包含节点表格、偏离表格和/或原因表格。之所以需要不同表格的原因是，一种类型的多个实例往往都会与其他项目的单一实例相关。例如，对于PHA分析，单一节点一般会有多个与之相关的不同偏离，而单个偏离又可能会有多个原因。为了解决该问题，需要创建多个信息表格，然后使用关系来组织表格之间的链接。

科学数据库中有三种类型的关系：“一对多”“多对一”和“多对多”。“一对多”关系指对于主表中的单一项目，副表中的许多项目可能与之相关联。即主表是关系中的“父表”，其在副表中可以有多个“子表”。在典型PHA当中，单个节点可能会有诸多偏离，而每个偏离又会有诸多原因。查看PHA报告时，单个偏离可能会包括多个偏离原因。虽然对阅览器而言其看起来更像单一表格，但事实上，软件正在将两个不同的表格组合成可视化状态。实际上，偏离表根本不包含关于原因的任何信息！相反，每个原因都包含与之相关的偏离标识符，该活动称之为“原因索引”。PHA软件为了显示多数人均熟悉的视图，首先会显示与偏离表存有的偏差，然后再搜索原因表格，查找与给定偏离相关的所有原因。可以通过将每个原因记录中的“偏离标识符”字段与当前显示的偏离标识符进行比较来实现。“多对一”关系是“一对多”关系的对立面，其工作原理非常近似。表格之间的“多对多”关系比较复杂，其中主表中的一条记录可能在副表中有多个相关记录，但副表中的单一项目也可能与主表中的多条记录存在关系。PHA中好的示例就是建议，每个PHA原因场景可以有多条与之相关的建议，而每条建议又可以和多个原因相关。在这种情况下，需要创建一个完全独立的表格来存储主、副表之间的关系。结构化数据基础示例如图2所示。

图2 结构化数据基础示例示意

综上所述，每个表格中可能会包含多条记录，每条记录包含表格中特定条目的不同属性，由多个不同的字段组成，每个字段都是给定数据类型的特定数据项。将所有这些结构组合在一起便构成整个数据库结构。

3 PHA分析期间保持关系数据的更好选择

关系数据库通常用于存储PHA数据，但在诸如PHA分析等应用过程中使用关系数据库正在变得过时。互联网技术的引领者已经开发出存储和处理数据的更好办法。

为了能够在计算机屏幕上显示PHA工作表，需要从多个表格多个记录中的多个字段获取数据。此外，由于应用程序需要根据副表中的记录与主表中给定记录的关联数量来更改视图，因此屏幕上信息绘制会变得非常复杂。这就需要在客户端和服务器之间发生大量单独的数据库事务，以获取单一屏幕视图信息。在编程过程中使用第三方“控件”通常会使问题进一步恶化。许多软件供应商不具备直接访问数据库的能力，而是依赖于自己配置的第三方控件来访问想要获取的数据。然而，这些控件虽然灵活但并不快速。

较先进的方法是避开传统的关系数据库技术，采用云计算中诞生的灵活数据对象模型。具体来讲，使用可拓展标记语言(XML)和更加简便的Java脚本对象表示法(JSON)[3]轻松解决了数据事务处理速度问题。采用该模式，当网页想要从数据库服务器获取数据时，每次并不会要求单一字段，而是要求将大量数据序列化为JSON对象，最终，单一对象再通过单一事务的形式从服务器传输给客户端。因此，一流的基于云技术的PHA应用程序按工作表仅与服务器通信两次， 一次从服务器加载数据，另一次将编辑后的数据返给服务器。在此期间，网页会将整个数据对象保存在客户端内存当中。当用户与数据交互时，便可与客户端上的数据快速交互，而非与服务器上的数据进行交互。

XML和JSON等新型数据结构具有关系数据库的所有优点，可以轻松存储多个表格，每个表格均具有多个记录和多个字段。以JSON对象进行存储的PHA数据示例如下：

{“原因ID： ” “1”,

“原因描述”：“机泵故障”,

“安全措施”： [

{“ID”： “1”, “位号”：“LFL-01”,

“PFD”： “0.1”},

{“ID”： “2”, “位号”：“FZC-02”,

“PFD”： “0.01”}, ]

}

有些应用程序采用关系数据库服务器进行搭建，以便将数据存入服务器来构建网页，然后在网页编辑后存储最终结果。越来越多的情况是，根本不使用关系数据库，而只是简单地将JSON对象作为最终结果存储在服务器上。关系数据库与Java脚本目标表示法/可拓展标示语言之间的转换可以通过将各SQL数据库存表格中的任意部分随机组合形成JSON对象，这种灵活的转换模式也是在服务器上存储Java脚本目标表示，完全抛弃了关系数据库。

4 统一危害评估的数据结构

PHA分析的格式多种多样，通常是为了加快分析速度而非优化生成数据的可用性，需要借助单一结构来大量使用PHA过程中开发的数据。第一步也是关键的一步，即在最终用户之间就PHA中跟踪哪些数据以及如何组织这些数据达成共识。标准化数据格式的最佳方法是创建和发布JSON模式，化工过程安全中心(CCPS)便是该数据结构的监管机构。其他组织也开始着手创建标准化数据结构，特别是美国普渡大学的过程安全与保障中心(P2SAC)已经开始研究并出版了与标准化数据结构开发相关的刊物。

使用关系数据语言时，应就需要何种表格、表格需要何种字段表示，以及所有表格的记录如何相互关联达成一致。一旦达成共识，便可将标准化结构作为模板发布。这似乎很容易，但要就PHA具体结构达成共识几乎是不可能的。例如，有些组织仅在考虑和列出安全措施之后才会计算和提供风险等级；而其他组织则喜欢在应用安全措施之前和之后，计算并提出单独的风险等级。这似乎形成了僵局，但仍有变通的办法，那就是使用“超集”[4]。

“超集”指给定记录所需的完整字段集。在风险分级前后，可使用超集方法将两种情况包含在表格当中。使用该数据结构的应用程序可以配置成只显示特定用户感兴趣的“超集”部分。因此，尽管两个不同的用户创建了不同的分析视图，但底层数据结构却是相同的。工业界必须努力弄清该套“超集”字段是什么，这也是美国普渡大学P2SAC正在研究的工业和学术课题。统一危害评估数据结构如图3所示。

单一数据结构不能同时作为原因索引(HAZOP最常用方法)和结果索引(LOPA最常用方法)。此外，这两种数据结构均不适用于危害登记表或领结图。对于该两种类型的分析，数据要么采用“危害”索引，要么采用“危险场景”索引。

统一危害评估基于采用“危险情景”索引的数据结构。在领结图中，有许多原因，每个原因都会导致单一危险场景。采用CCPS编制的《化学过程定量风险分析指南》[5]中的术语，这是初始事件和中间事件之后的“事件”，随后是多种不同的事件结果，每个事件结果都有不同的后果。

图3 统一危害评估数据结构示意

由图3可以看出，后果不是原因的产物，而原因也不是后果的产物。事实上，它们是危险场景的“孪生体”。该危险场景也是危害登记表的关键起点，因为危害登记表本身就是由危险场景索引所得的。因此，统一危害评估数据结构有可能和表格中包含的核心数据一起排列，即： 危险情景、原因、后果和安全措施。危险场景和原因之间存在“一对多”的关系，而危险场景和后果之间也存在“一对多”关系。原因和安全措施之间，以及后果和安全措施之间存在“多对多”的关系。安全措施数据结构的“超集”字段需要确保该类型的记录可以作为“预防性的”，即防止某一原因发展为泄漏，或者“减缓性的”，如减缓了后果量级。

5 统一危害评估的实践与收获

统一危害评估数据结构提供了一个将单一数据集用于多种用途的平台。建议对工作流程进行变更，即最后讨论流量偏离，而不是首先讨论，这会使危险场景更加自然地与引发讨论的PHA偏离相吻合。

关于数据结构，HAZOP工作表需要为每个偏离显示一个或多个危险场景，每个危险场景允许显示多个原因和多个后果。此外，PHA工作表虽然本质上看起来是一样的，但却提供了对“超集”字段的过滤，该字段仅限于适合HAZOP的字段，并且允许用户自定义视图。

一旦HAZOP分析采用统一危害评估方法记录，LOPA分析就会大幅简化。每个危险场景记录的数据结构会包含一个能够指示危险场景是否需要LOPA的布尔变量。这样一来，当用户查看HAZOP分析时，可以点击单个选项卡或按钮，让软件自动为LOPA重新绘制用户界面。创建此视图的第一步是筛选HAZOP场景，以便仅显示为LOPA选择的场景。此外，每个表格显示的字段子集也会变为适合于LOPA分析。例如，显示HAZOP安全措施的字段有可能仅包含描述，但在LOPA当中，表格有可能还需要包括位号、SIL等级，和要求时的失效概率。某一种复杂情况是用作后果减缓的安全措施可能会在泄漏发生后动作，因此需要与预防性保护层区别对待。在LOPA分析中，预防性保护层通常称作结果修正因子。

另外，在HAZOP完成之后的任意时间，甚至是在LOPA完成之后，便可以采用领结图的形式查看数据。以HAZOP和LOPA工作表传统形式创建的HAZOP数据或LOPA数据便可以生成领结图。目前，大多数领结图只是简单地采用可视化方式表示危险场景，但在统一危害评估数据结构的支撑下，领结图可以包含所有的定量内容，诸如： 初始事件频率、安全措施要求时的失效概率、总体场景频率和风险等级。因此，采用领结图的图形格式开展HAZOP或LOPA分析，这将有助于加深PHA参与者对分析的理解。

最后，需要处理的信息表示格式为危害登记表，这是统一危害评估数据结构开发后最容易解决的问题之一。同时，希望将显示的数据限制在少于HAZOP工作表中显示的数据。开发危害登记表需要额外考虑的因素是为每个危险场景设置另外一个能够表示该场景足够显著的布尔变量，并作为其后果类别的结果，这样才值得在危害登记表上显示。包含定量LOPA数据的领结图如图4所示。

图4 包含定量LOPA数据的领结图示意

6 结束语

当今使用的PHA文件记录方法仍然是PHA分析彻底性和速度优化后的遗留产物，这在PHA实施的早期“符合性”阶段是必要的。自从PHA应用符合性阶段以来，许多过程行业的管理团队均认识到了PHA期间开发数据的价值，包括但不限于： 总体危害管理、以可靠性为中心的安全措施维护，以及危险场景的可视化等。由于HAZOP文件记录及绩效分析的传统方法导致数据无法用于其他目的，因此为了能够使PHA(HAZOP)数据用于其他目的，不但需要改变分析的执行方式，而且还需要改变数据结构。统一危害评估是一种能够重组和优化PHA数据的方法，其既可以用于其他目的，又超出了过程安全管理符合性。标准化的统一危害评估数据结构和用于记录PHA数据的方法，可以使单一数据集和单一软件工具能够通过无缝方式，以PHA (HAZOP)、LOPA、危害登记表和领结图的形式呈现数据。