油气行业“高风险设备设施”管控策略分析

中国石化集团国际石油勘探开发有限公司 赵宏展 张静｜文、图

对于油气行业来说，设备设施相关的烃类物料或能量意外泄漏/释放引发的“首层工艺封闭失效 事 件”LOPC（Loss of Primary Containment）事件，可能进一步发展演变为重大事故（MA，Major Accident）。对此，在面对重大事故风险时，企业应有足够的系统性手段，防止重大事故发生，同时在发生重大事故时，企业应有足够的系统性手段，有效降低重大事故对人员、环境、资产和企业声誉的影响。

领结（Bow-tie）模型在辨识和呈现安全屏障方面具有强大的优势，这些屏障主要用于预防和探测LOPC事件、减轻其后果、提供应急响应和救援功能。目前，开发并应用领结模型指导重大事故防范工作，是国际油气行业实践中的常用方式之一。

高风险设备设施的准确识别是企业识别风险、消除隐患、杜绝事故过程中的重要一环。在务实推进“高风险设备设施”管控过程中，企业需要进一步将“屏障管理”的理论和方法引入“高风险设备设施”的管控过程，夯实“高风险设备设施”管控的理论基础，逐步建立根植于“屏障管理”的“高风险设备设施”管控方法，更加有效地防范和化解重大事故风险。

基于领结模型的“屏障管理”

领结模型

领结模型（如图1所示）可以呈现从危害（Hazard）到重大事故/事 件（Accident/Incident/Event）的所有潜在路径，帮助梳理重大事故/事件如何发生以及预防重大事故/事件需要部署的屏障及屏障退化控制措施。

图1 领结模型

领结模型包含8个要素：一是危险源，即可能造成危害的操作、活动或物质；二是顶上事件，即在对危险源失去控制时发生的事件；三是后果，即顶上事件可能造成的（1个或多个）不良结果；四是威胁，即能够引发顶上事件发生的可能原因；五是预防类屏障，即可以防止威胁发生，或阻止威胁升级为顶上事件的各类措施；六是缓解类屏障，即可以阻止顶上事件导致后果发生或减轻事故后果的各类措施；七是退化因素，即在可能附着在屏障上并导致屏障受损的（1个或多个）因素；八是退化控制措施，即旨在维持屏障效果，阻止或降低退化因素损害屏障可能性的措施。

在油气行业中，主要的危险源通常包括油气设施相关的烃类物料或能量，如高压的油气、可燃液体、有毒物质（如 H2S）等。顶上事件通常指工艺密闭失效的事件，如油气泄漏等。后果包括但不限于溢油、火灾、爆炸等。威胁包括但不限于腐蚀、超压、密封失效等。

屏障管理

领结模型中切断危害转化为各类后果的“屏障”分为预防类屏障和缓解类屏障。当不同屏障同时出现孔洞（Active or Latent Failures）时，潜在的事故路径（Threat Line）就可能贯通。实践中，潜在的事故路径通常有多条。

屏障功能可逐层分解为屏障子功能和具体的屏障要素（Barrier Element），如图2所示。屏障要素通常分为如下3类：一是技术类屏障要素，通常指安全关键 设 备（SCE, Safety Critical Equipment）；二是操作类屏障要素，通常指安全关键活动/任务（SCA, Safety Critical Action or Activity; SCT, Safety Critical Task）；三是组织类屏障要素，通常指安全关键角色/人员（Safety Critical Role or Person）。实践中，安全关键人员的能力素质是实现屏障功能不可缺失的环节。屏障要素间的互动关系如图3所示。

图2 重大事故和屏障要素的关联

图3 屏障要素间的互动关系

高风险设备设施识别模型的建立

油气资产的层级结构

对于油气行业来说，油气资产通常可分为9个层级（如图4）所示。处在油气资产层级结构第5—9层的设备设施及其单元、组件和元件/部件往往数量巨大，在安全生产工作实践中，很可能会存在这样或那样的问题。

图4 油气资产的层级结构

瑞士再保险公司曾统计了化学工业和石油工业的102起事故案例，分析了9类危险因素所起的作用。其中，“设备缺陷”在石油工业9类危险因素中占46%。

根据油气资产的层级结构，油气行业中的“高风险设备设施”，主要处在油气资产层级结构的第5、6、7层。

基于“屏障管理”的油气资产失效模型

不同类别（技术类、操作类、组织类）的屏障要素，需要通过相互作用才能实现屏障功能。而在油气资产中，从危害（Hazard）到产生后果的事故，通常需要“穿透”若干个屏障（简化模型如图5所示）。简单来说，企业应确保有足够的屏障来阻止危害转变为事故，或缓解造成的后果。

图5 油气资产屏障示例

当工艺危害的风险位于风险评估 矩 阵（RAM Risk Assessment Matrix）中的红色和黄色区域（即中高风险）时，按照最低合理可行 性 原 则ALARP（As Low As Reasonably Practicable），需要的安全屏障数量通常如表1所示。

表1 实现ALARP所需的安全屏障数量

高风险设备设施识别

企业在确定高风险设备设施时，需要辨识该设备设施是否处在重大事故的潜在路径上，需要分析该设备设施是否具有阻断重大事故的屏障或屏障要素）的属性和特点。反而言之，只有处在重大事故潜在路径且存在“问题”的设备设施才是需要特别关注的“高风险设备设施”，导致表1所推荐的安全屏障数量不足的设备设施即为高风险设备设施。

结论和展望

“高风险设备设施”管控并不是最终目的，真正目的是通过“高风险设备设施”的动态和精准管控防范重大事故。本文将“高风险设备设施”管控策略分析置于以防范重大事故为目的的“屏障管理”视角，提供了一种对管控策略进行系统性优化的思路。通过从“屏障功能”和“屏障有效性”等“屏障管理”的视角，观察和分析设备设施状态，可以从全局和系统性角度有效避免“高风险设备设施”识别过多或识别不全等问题。同时，通过技术类、操作类、组织类屏障要素的系统性维护，可以有效防范和化解重大事故的发生。

在开展基于“屏障管理”的“高风险设备设施”管控工作时，企业还可考虑通过数字化转型，借助领结模型软件平台整合HSE风险数据，实现对设备设施重大事故风险点、HSE审 计/检 查 发 现、HSE事故/事件、维修维护数据等关键信息的聚合管理和整合管理，提升企业“高风险设备设施”管控标准一致性和“多主体”联动风险管控效能，不断增强企业HSE风险预测、预警、预控能力，提高重大事故防范水平。安