安全风险管理过程原理与相关概念解析

2021-08-09 01:17全教授成少璞

安全 2021年7期

陈全教授成少璞

(天津理工大学，天津 300384)

0 引言

企业安全管理以风险管理原理为基础。《职业健康安全管理体系要求及使用指南》(ISO 45001:2018 idt GB/T 45001-2020)以及在我国推行的安全生产标准化、安全风险分级管控和隐患排查治理双重预防机制，都是以这个原理为基础。但在实际中，由于对风险管理过程原理和相关概念理解不准确、不到位，使其难以在实践中得到应用。因此，本文分析我国在应用安全风险管理过程原理的过程中普遍存在的问题，综合分析并明确了国内外安全风险管理过程原理和相关概念，通过实例论述在实际工作中如何正确地运用它们，以期提升我国企业的安全管理水平。

1 安全风险管理过程原理

风险(Risk)是指不确定性的影响。不确定性是指事件发生的随机性和对事件发生可能性及后果严重度的模糊认识。人类在生产生活中面临诸多不确定性，在与不确定性作斗争的过程中，逐步形成一套解决不确定性的理论和方法，即风险管理科学。企业安全管理的目标是实现事故控制。事故是企业生产过程中发生的随机事件，具有不确定性。因此，企业安全管理属于风险管理科学范畴，应基于风险管理科学原理和方法，开展企业安全管理。

依据风险管理科学原理，企业要实现事故控制的目标，首先需要通过危险源辨识(Hazard Identification)过程，识别安全风险(可能发生的事故)及可能导致安全风险(事故)的危险源(Hazard)；通过风险评价(Risk Assessment)过程，评估风险程度，确定风险是否可接受，确定现有控制措施的有效性；基于危险源辨识、风险评价结果，确定对危险源采取可将风险控制在可接受程度的控制措施，实现事故或安全风险的控制。企业安全工作的基础目标和内容与企业安全风险管理过程的对应关系，如图1。

图1 企业安全工作的基础目标和内容与企业安全风险管理过程的对应关系

这里要特别强调的是，风险评价过程输出的风险程度评估结果要输入到具体的风险控制措施中。但风险评价过程输出结果必须包含确定风险程度是否可接受和确定对识别出的安全风险或危险源现有控制措施的有效性。ISO 45001:2018 idt GB/T 45001-2020标准要求“Assess OH&S risks from the identified hazards， while taking into account the effectiveness of existing controls(评价来自于已辨识的危险源的职业健康安全风险，同时必须考虑现有控制措施的有效性)”。

目前我国企业开展的危险源辨识、风险评价工作普遍偏离或违背上述原理要求。表1是某企业危险源辨识、风险评价信息表的部分结果摘录。从表1可以看出，企业没有通过风险评价过程，确定对识别出的安全风险和危险源现有控制措施的有效性，危险源辨识、风险评价工作偏离了“确定现有控制措施有效性的原理要求”，开展的工作无目的性。

表1 某企业危险源辨识、风险评价信息表

表2是以某地方标准形式颁布的推动双重预防机制的危险源辨识、风险评价模板的部分信息。表2中现有的“工程技术”“管理措施”“培训教育”“应急处置”的现有控制措施都不具体，也没有足够依据支撑风险评价的结论，危险源辨识、风险评价工作流于形式。

表2 以某地方标准形式颁布的危险源辨识、风险评价模板

2 相关基础概念

2.1 职业健康安全风险、安全生产风险

职业健康安全风险(Occupational Health and Safety Risk)：工作相关的危险事件或有害暴露发生的可能性与能够被事件或暴露造成伤害和健康损害严重度的组合。职业健康安全风险可以从2方面理解：一是职业健康安全风险针对的是组织工作场所可能发生的伤害和健康损害的不期待事件或事故；二是职业健康安全风险程度取决于伤害和健康损害发生的可能性和后果严重度的组合。

在我国有“安全生产”的概念。基于《中华人民共和国安全生产法》，安全生产针对的是生产经营单位在生产经营过程中可能发生的伤害和健康损害、财产损失的问题。那么安全生产风险在概念上包含职业健康安全风险，但还涉及财产损失方面的不期待事件或“生产安全事故”。

这里要说明的是，从国际上的实践看，财产损失方面的问题也可划归企业的资产管理范畴。一般在实际工作中，我们把“职业健康安全风险”和“安全生产风险”统称为“安全风险”。

2.2 事件、事故

风险管理科学针对的是事件。安全风险管理与事件有关的概念有3个：事件(Event)，特定状况的发生或改变；不期待事件(Incident)，工作导致的或工作过程中出现的、可能导致或导致了伤害和健康损害的事件；事故(Accident)，发生伤害和健康损害的不期待事件。

事件(Event)涉及所有发生的期待或不期待的随机事件。不期待事件(Incident)是指不希望发生的事件。事故(Accident)是指产生伤害和健康损害结果的不期待事件。显然三者在范围上是逐步包含关系。

图2是高压气体储罐爆炸事故发生的事故因果连锁事件。

图2 高压气体储罐爆炸事故发生的事故因果连锁事件

从图2中可以看出，在整个事故因果连锁链条上，包含着事件(Event)、不期待事件(Incident)和事故(Accident)的因果连锁关系。

某个事故可能是由一个或多个因果连锁事件导致的。图3为某化工企业人员在地下污水泵房硫化氢中毒故障树分析(Fault Tree Analysis，FTA)图。

注：A1—硫化氢集聚；A2—人员进入地下泵房；A3—硫化氢泄漏；A4—无硫化氢泄漏报警；A5—泵体泄漏；A6—污水外溢；A7—管线法兰泄漏；A8—污水送不出；X1—密封不严；X2—垫片老化；X3—法兰腐蚀；X4—下雨水量太大；X5—污水车间故障；X6—污水泵故障；X7—出入口阀门掉跎；X8—未装报警仪；X9—报警仪故障；X10—巡检；X11—检修污水泵；X12—开停泵

求解故障树最小割集合：[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

];[

，

]。故障树有42个最小割集合，系统可以形成42个导致事故发生的因果连锁事件途径。

2.3 危险源

国内外基于不同角度，对“危险源(Hazard)”做出分析和表述。例如：

(1)Hazard(危险源): Source with a potential to cause injury and ill health(可能导致伤害和健康损害的源)。

Note 1 to entry: Hazards can include sources with the potential to cause harm or hazardous situations， or circumstances with the potential for exposure leading to injury and ill health(注1：危险源可以包括可能导致伤害的源，或可能由于有害暴露导致伤害和健康损害的状态或环境)。

(2)Hazard(危险源): Source of potential harm(可能伤害的源)。

Note：Hazard can be a risk source(注：危险源可以是风险源)。

(3)Risk Source(风险源): Element which alone or in combination has the potential to give rise to risk(单独和组合的方式可能产生风险的因素)。

(4)Event(事件): Occurrence or change of a particular set of circumstances(特定系列状况的发生或变化)。

Note 3 to entry : An event can be a risk source(注3：事件可以是风险源)。

(5)Hazard(危险源): Condition with the potential of causing injury to personnel(可能对人员造成伤害的条件)。

(6)Hazard(危险源): Something (e.g. an object， a property of a substance， phenomenon or an activity) that can cause adverse effects(能够造成有害影响的事物，例如物体、物质的性质、现象或活动)。(摘自英国劳氏船级社内部职业健康安全管理文件)。

(7)Hazard(危险源): An agent with the potential to cause harm to people， damage to Assets， or an Impact on the environment or community(可能对人员造成伤害、对资产造成损害或对环境或社区造成影响的动因)。(摘自壳牌公司内部健康安全环境管理文件)。

(8)危险化学品重大危险源(Major hazard installations for hazardous chemicals)：长期或临时地生产、储存、使用和经营危险化学品，且危险化学品的数量等于或超过临界量的单元。

概括起来，国内外把危险源(Hazard)分析和表述为：“Source(源)”“Condition(条件、状况)”“Something(事、物)”“Situation(情况、状况)”“Circumstances(条件、环境、状况)”“Event(事件)”“Element(因素、要素)”“Installation(装置、设施)”“单元”等。

理论上，可以用所有可能导致伤害和健康损害的具体事物来分析和表述危险源(Hazard)，但在具体工作中，要根据危险源辨识、风险评价工作的具体目的和范围，分析和表述需要识别的危险源(Hazard)。

事故致因理论有助于对危险源(Hazard)概念的理解，如能量意外释放论，任何伤害和健康损害都是能量意外释放造成的；事故因果连锁论，事故是由相关因果连锁事件导致的。

根据能量意外释放论，危险源(Hazard)涉及如下方面：工作场所存在的可能意外释放的能量源或其承载体；工作场所存在和可能出现的诱发能量源意外释放从而导致事故发生的物和(或)人2方面因素；工作场所可能受伤害和健康损害的人员。

根据事故因果连锁论，危险源(Hazard)会在事故因果连锁链上以事件的形式出现。

在具体的危险源辨识、风险评价工作中，要根据其目的和范围，确定需要识别的能量源或其承载体、物和人的因素，或者以相关事件来表述物和人的因素。危险源辨识过程的输出信息，会出现如“某某化工厂”“某某加油站”“某生产装置”“某物的不安全状态”“某人的不安全行为”“某可能受到伤害的人员”“某事件”“某状态”“某环境”等信息。但具体危险源信息的分析和表述取决于具体危险源辨识、风险评价工作的目的和范围。

例如，基于危险源辨识、风险评价工作的目的和范围，做出相应的危险源信息输出：为确定企业岗位安全培训、操作规程的有效性，识别企业生产运行过程中可能导致伤害和健康损害的具体物和人的“因素”；为进行事故发生概率的定量分析评价，通过运用故障树分析(FTA)或事件树分析(Event Tree Analysis，ETA)的方法，识别可能导致伤害和健康损害的相关“事件”；为确定加油站选址的安全性，识别出像加油站这样的有潜在危险的“装置或设施”；为确定企业应急准备的有效性，识别企业存在的“潜在紧急情况或状况”；为确定重大危险源控制的安全性，基于《危险化学品重大危险源辨识》(GB 18218-2018)，识别生产现场危险化学品重大危险源的“单元”。

2.4 危险有害因素、危险因素、危害因素、隐患、紧急情况

在我国安全生产领域，有“危险有害因素”“危险因素”“危害因素”“隐患”等术语，而且这些术语被应用到我国安全生产实践活动中。

这些术语都与危险源(Hazard)和事件(Event)、不期待事件(Incident)相关联。在我国安全生产领域，除危险源外，还有危险有害因素、危险因素、危害因素等术语，都是指可能导致伤害和健康损害的事物。应该说，危险有害因素、危险因素、危害因素基本与危险源具有相同含义。

在我国隐患指的是生产经营单位在生产经营活动中存在的可能导致生产安全事故发生的物的危险状态、人的不安全行为和管理上的缺陷。

从危险源(Hazard)和不期待事件(Incident)的角度，隐患是可以通过检查、发现、治理的工作场所出现的可能导致事故的物的危险状态、人的不安全行为；在事故因果连锁事件中，是可以检查、发现、治理的相关不期待事件(Incident)，包括初始事件和中间事件。图4是可以帮助理解的示例。

图4 “隐患”“紧急情况”示例

在国际职业健康安全专业领域，没有直接对应“隐患”的术语。但相关术语“危险源(Hazard)”“不期待事件(Incident)、潜在事故(Potential Accident)”和“不符合(Nonconformity)”都与其相关联。

工作场所涉及的物和人2方面的隐患与不期待事件(Incident)的关联关系为：隐患是指在事故因果连锁不期待事件(Incident)中，可以检查、发现、治理的相关初始事件和中间事件。但管理缺陷隐患一般是指管理方面的不符合(Nonconformity)。

从安全工程角度，紧急情况(Emergency Situation)是指需要采取应急措施应对，进而避免或减少损失的不期待事件(Incident)。在事故因果连锁链上，是指接近于发生或已发生伤害和健康损害的不期待事件(Incident)。

从上述分析也可以看出，企业开展“隐患排查治理”和“应急准备和响应”工作，需要基于安全风险管理过程原理，通过危险源辨识、风险评价过程，识别潜在的(Potential)或可能发生的“隐患事件”和“紧急情况”。

2.5 可接受风险

在风险评价工作中，要确定危险源在某种控制状态条件下，风险是否可接受。也就是需要确定可接受风险准则。

可接受风险(Acceptable Risk)是人们对免受伤害和健康损害的风险程度的一种预期。也是人们对安全与危险的一种相对状态的判断。

人们所能接受的风险一般和其期待的利益有关，一般人们进行某项活动可能获得的利益越多，所能承受的风险越高，如图5。

图5 风险与利益的关系

被社会公众所接受的风险称为“社会允许风险”。在系统风险评价中，把社会允许风险作为可接受风险的基准。确定社会允许风险的方法有统计法和风险与收益比较法。研究结果表明，死亡率为10死亡/(人·年)，通常不能被接受，要立刻采取措施降低风险；死亡率为10死亡/(人·年)，人们能够接受，但会考虑投入资源降低风险；死亡率为10死亡/(人·年)，数量级与游泳溺死的死亡率相当，是人们积极关注的；死亡率为10死亡/(人·年)，与天灾死亡率相同，人们感到有风险但不一定发生在自己身上，人们要工作，要生活，冒这个风险与其收益相比还是值得的，人们可能对此程度以下的风险会加以忽略。

英国健康安全委员会(Health and Safety Executive，HSE)提出使用最低合理可行原则(As Low As Reasonable Practicable，ALARP)进行风险管理和决策。在ALARP区域要借助成本有效性分析(Cost Effectiveness Analysis，CEA)进行成本效益分析(Cost Benefit Analysis，CBA)，如图6。

图6 最低合理可行原则

风险的可接受性也是人们对安全(Safety)和危险(Danger)的相对体验。由于人们对风险的接受程度受可能获得利益的影响，所以这也影响人们对安全与危险的认知(如图7)，A和B二人受可能获得利益的影响，对风险的接受程度不同。

图7 安全与危险的认知

在实际的风险评价过程中，风险程度的可接受性可以直接运用确定的社会允许风险概率数值来评定。但在很多情况下，人们往往借助于与这种概率数值相关的实践经验和折算成的技术标准，形成可接受风险准则。例如，运用法律法规、标准、其他要求，形成可接受风险准则；运用工程学方法形成技术标准，作为可接受风险准则。这样使得风险评价工作操作起来更为容易和方便。在安全风险控制过程中，要基于ALARP原则，尽可能考虑风险程度的降低。

3 准确运用安全风险管理过程原理与相关概念

在实际的安全风险管控工作中，需要准确运用上述安全风险管理过程原理与相关概念。

开展具体的危险源辨识、风险评价工作，首先要明确其目的和范围。在此基础上，确定危险源辨识过程和风险评价过程需要输出的结果，以及为实现输出结果，所要采用的思路和方法。

3.1 分析实例1

危险源辨识、风险评价的目的和范围是确定某一加油站选址的安全性。危险源辨识过程和风险评价过程输出结果及所采用的思路方法如下：

(1)危险源辨识过程。危险源为一个一级汽车加油站；安全风险是加油站内的油品可能会被引燃，发生火灾爆炸造成人员伤害。

(2)风险评价过程。评价依据(可接受风险准则)：《汽车加油加气站设计与施工规范》(GB 50156-2012)；评价结果：企业的一级加油站设在城市中心区，风险不可接受。

3.2 分析实例2

危险源辨识、风险评价的目的和范围是确定某一化工工艺的安全性。危险源辨识过程和风险评价过程输出结果及所采用的思路方法如下：

(1)危险源辨识过程。危险源为可能失控的化工工艺；安全风险是化工工艺失控产生泄漏、火灾爆炸导致伤害。

(2)风险评价过程。以最大反应速率到达时间TM作为风险发生的可能性，失控体系绝热温升Δ

作为风险导致的严重程度，通过组合不同的严重度和可能性等级，对化工反应失控风险进行评估。风险评估矩阵，如图8。

图8 风险评估矩阵图

失控反应安全风险的危险程度由风险发生的可能性和风险带来后果的严重度2个方面决定，风险分级原则如下：Ⅰ级风险为可接受风险；II级风险为有条件接受风险；Ⅲ级风险为不可接受风险。

TM和Δ

通过实验获得。某企业化工反应过程，最大反应速率到达时间TM为20h；失控体系绝热温升Δ

为350K；Ⅲ级风险，不可接受风险。需要重新对企业的化工反应工艺进行设计。

3.3 分析实例3

危险源辨识、风险评价的目的和范围是确定某一作业活动安全操作规程的有效性。危险源辨识过程和风险评价过程输出结果及所采用的思路方法如下：

(1)危险源辨识过程。采用工作危害分析(Job Hazard Analysis，JHA)和危险与可操作性分析(Hazard and Operability Studies，HAZOP)方法(简称“JHA-HAZOP方法”)开展危险源辨识。表3为某一作业活动危险源辨识结果示例。

表3 某一作业活动危险源辨识结果信息(节选)

(2)风险评价过程。基于表3的危险源辨识结果，评审对应的作业活动安全操作规程的有效性。评价结果为原有安全操作规程中缺失较多需要控制的安全风险信息，如“冲渣沟放炮伤人”等。

4 结论

(1)安全风险管理过程原理为：通过危险源辨识(Hazard Identification)过程，识别安全风险(可能发生的事故)及可能导致安全风险(事故)的危险源(Hazard)；通过风险评价(Risk Assessment)过程，评估风险程度，确定风险是否可接受，确定现有控制措施的有效性；基于危险源辨识、风险评价结果，确定对危险源采取可将风险控制在可接受程度的控制措施，实现事故或安全风险的控制。危险源辨识、风险评价过程的输出结果必须包含“确定对识别出的安全风险或危险源所采取的现有控制措施的有效性”。目前我国开展的危险源辨识、风险评价工作普遍偏离或违背上述原理要求，要切实加以改进。

(2)应基于风险管理科学原理和安全工程学原理，准确理解下述概念：

①职业健康安全风险针对的是组织工作场所可能发生的伤害和健康损害的不期待事件或事故；职业健康安全风险程度取决于伤害和健康损害发生的可能性和后果严重度的组合。

②安全生产风险在概念上包含职业健康安全风险，但还涉及财产损失方面的不期待事件或“生产安全事故”。

③事件(Event)涉及所有发生的期待或不期待的随机事件。不期待事件(Incident)是指不希望发生的事件。事故(Accident)是指不期待事件(Incident)中产生伤害和健康损害结果的不期待事件。

④所有可能导致伤害和健康损害的事物，都可构成危险源(Hazard)。但在具体的安全风险控制工作中，要根据危险源辨识、风险评价工作的具体目的和范围，分析和表述需要识别的危险源(Hazard)。

⑤危险有害因素、危险因素、危害因素基本与危险源具有相同的含义。

⑥我国安全生产法规中关于“隐患”的概念，指的是生产经营单位在生产经营活动中存在的可能导致生产安全事故发生的物的危险状态、人的不安全行为和管理上的缺陷。从危险源(Hazard)和不期待事件(Incident)的角度，隐患可以是通过检查、发现、治理的工作场所出现的可能导致事故的物的危险状态、人的不安全行为；在事故因果连锁事件中，是可以检查、发现、治理的相关不期待事件(Incident)，包括初始事件和中间事件。

⑦从安全工程的角度，紧急情况(Emergency Situation)是指需要采取应急措施应对的，进而避免或减少损失的不期待事件(Incident)。在事故因果连锁链条上，是指接近于发生或已发生伤害和健康损害的不期待事件(Incident)。

⑧可接受风险(Acceptable Risk)是人们对免受伤害和健康损害的风险程度的一种预期。也是人们对安全与危险的一种相对状态的判断。在实际的风险评价过程中，评定风险程度的可接受性所运用的准则，可以直接运用确定的社会允许风险概率数值。但在很多情况下，人们往往借助于与这种概率数值相关的实践经验和折算成的技术标准，形成可接受风险准则。

(3)在实际安全风险管控工作中，需要准确运用上述安全风险管理过程原理与相关概念。开展具体的危险源辨识、风险评价工作，首先要明确其目的和范围。在此基础上，确定危险源辨识过程和风险评价过程需要输出结果，以及为实现输出结果，所要采用的思路和方法。