中國石化風險矩陣根據傷害后果事件發生頻率的大小，將可能性分為8個級別。頻率量化可采用定性與定量的方法，定性方法多基于經驗，采用專家判斷法進行確定。當后果非常嚴重或發生頻率較高時，需要對事故后果的發生頻率進行量化，采用半定量、定量技術確定事故的發生頻率。頻率量化方法可采用保護層分析、故障樹、事件樹、可靠性框圖、馬爾可夫模型等。對一般的生產裝置和設施，可采用保護層頻率量化方法（簡稱HALOPA方法）對頻率進行量化。

1 HALOPA方法模型

保護層頻率量化方法（HALOPA）為一種半定量方法，基本原理為HAZOP模型、保護層洋蔥模型和事件樹模型。

上圖中具體的原因為引發過程發生偏差的直接原因，也稱為初始事件或觸發事件（Initiating event）。 當過程發生偏差后，該偏差進一步發展，按時間先后順序挑戰各種保護層，當偏差穿過各保護層的漏洞并遇到合適的條件（如點火、外部阻塞環境、低溫等）時，安全事故就會發生。該模型假設每一個保護層相互之間獨立，在面臨挑戰時都存在失效的可能。每經過一個保護層，事故發生頻率因保護層的風險降低作用而降低。在整個事故鏈中事故后果是考慮所有保護措施均失效下的最壞后果。當某一個保護措施不存在失效的可能，則假設的事故場景不會發生。

當初始事件（觸發原因）發生頻率不超過1次/年或小于第一道保護層測試頻率兩倍時，采用以下公式進行計算：

以上公式：fI為初始事件I的發生頻率，次/年；Penable為使能條件（Enabling conditions）的概率值；PFDIj第j個獨立保護層的在需求時的失效概率值（獨立保護層是針對初始事件引發的事件鏈）。Pcondition為導致事故最終后果的各種條件概率值。

當初始事件的頻率超過1次/年或超過第一道保護層測試頻率兩倍時，應采用第一道保護層失效作為導致事故發生的原因事件，采用下列公式進行計算：

上式中，fIPL_first為第一道保護層的失效率，次/年；

2 初始事件頻率

初始事件是指導致過程發生偏差（偏差為廣義的偏差，指偏離了正常的條件，如液位高、壓力高、泄漏等）的具體原因。初始事件通常可分為以下幾類：

控制系統故障：如基本過程控制回路故障，包括傳感器、邏輯控制器和執行器故障等；

設備故障：機械故障（如泵密封失效、泵或壓縮機停機）、腐蝕/侵蝕/磨蝕、機械碰撞或振動、閥門故障等；

安全設施故障：處于高要求模式的安全設施故障；

公用工程故障：停儀表風、停氣、停電等；

人員誤操作：操作失誤、關鍵響應錯誤、作業程序錯誤、其他行為失誤等；

外部事件：自然災害（地震、海嘯、龍卷風、颶風、洪水、泥石流、滑坡和雷擊等）、空難、臨近工廠的重大事故、破壞或恐怖活動、鄰近區域火災或爆炸和其他外部世界；

泄漏事件。

控制系統、設備和安全設施故障率通常服從浴盆曲線，其發生頻率主要指工藝設備或元件的危險故障發生率，在工程上它通常上反映一批樣本（設備）在單位時間內的失效數，即失效率，次/年。

對于工作在相似環境的同一類設備/元件樣本，其失效率計算采用下式進行計算：

失效率λ(t)=失效數/（樣本總的運行時間）

對于每一種設備具有多個樣本，每一個樣本具有不同的失效次數、設備數、運行時間或運行環境。則需要采取多樣本計算方法計算平均失效率。

初始事件頻率通常可來自行業統計數據（通用數據），并結合企業自身的經驗和數據對普通的工業失效率數據進行修正，如下式：

初始事件頻率=通用頻率×修正因子

選擇的失效率數據應具有行業代表性或能代表操作條件；選擇的失效率數據必須符合其內在的假設條件。這些通常包括設計規范、操作條件，基本測試和檢查頻率、員工和維護培訓程序以及設備設計質量等。因此，確保過程中使用的失效率數據與數據內在的基本假設相一致非常重要。

中國石化風險評估管理平臺（PHAMS）對國內外的可靠性數據庫進行收集整理，建立了一套標準的初始事件頻率數據和泄漏頻率計算模型。下表給出了部分原因頻率數據。

3 使能條件

使能條件是指能夠導致事故場景發生的必要條件；使能條件既不是一種失效事件，也不是一種保護層。它是由不直接導致事故場景的操作或條件構成，但是對于事故場景的繼續發展，這些事件或條件必須存在或活動。使能條件使用概率值進行表達。使能條件概率與初始事件頻率的乘積表示了導致不期望后果的異常條件每年發生的次數。注意：大部分HALOPA場景不考慮使能條件。

3.1 時間風險使能條件

時間風險是指事故場景只在一個特定的時間段內發生，在該時間段內具有導致異常條件發展為事故的必要條件。常見的時間風險使能事件是異常低的環境溫度，在該環境溫度下，如果設計的防凍措施失效，那么工藝管線或公用工程管線或儀表管線將凍凝。使能事件也可能包括其他的季節性風險，如影響冷卻能力的異常高溫或導致靜電聚居的低濕度條件等。下表給出了涉及時間風險的一個分析場景。

另一種時間風險使能條件是間歇過程中的時間風險，如一個批處理化學品反應可能發生反應失控，但是反應失控只能發生在批處理反應的第一個階段（此時大部分轉化反應發生），并且只有在冷卻中斷的情況下才能發生。如果冷卻中斷發生在其他階段，將不會導致失控反應發生。這時，反應所處第一階段的時間比例將作為冷卻水中斷導致反應失控的使能條件。

時間風險不作為使能條件的情況:

1）連續操作，危險在整個時間上保持不變；

2）操作頻率少且操作時間非常短，但是具有高后果的操作或活動。在這種情況下如果使用時間風險使能條件可能形成一個結論：事故場景的平均風險滿足工廠的風險標準；然而該危險對人造成的峰值風險可能異常的高。例如：儲罐在開車或停車時，沒有氮氣吹掃，將導致儲罐內易燃液體蒸汽空間的氣體處于燃燒范圍。即使儲罐內氣體濃度處于燃燒范圍內的時間非常短（如，1小時/年），但是在冷啟動或停車時人員可能在附近，在那個時間上人員的峰值風險將非常高；

3）在執行逐步操作程序時，涉及到的人員操作失誤。在這種場景中，初始事件頻率通常為進行該項操作的頻率與人員在完成該步驟時的失效概率的乘積。因為涉及到失效概率，這不滿足使能條件的定義，即使能條件不是一種失效。

4）在事故場景中，如果時間風險應用到后果類型及嚴重性上，而不是初始事件發生的可能性，此時，概率因子應作為條件修正因子。

3.2 生產模式使能條件

生產模式使能條件與時間風險使能條件相似。生產模式使能條件與工藝過程的原料（化學品、濃度、速率、量）、催化劑、最終產品、操作條件和過程狀態（如循環或非循環操作模式）等過程參數相關。這些參數的變化將導致在不同的生產模式時產生不一樣的風險。通過運用使能條件可表述這種不一致的風險，下表給出了生產模式使能條件的范例。

3.3使能條件運用規則

使能條件運用規則如下表所示。

4 獨立保護層的PFD

保護措施要作為獨立保護層（IPL），應滿足以下基本要求：

a）獨立性：

應獨立于初始事件的發生及其后果；

應獨立于同一事故場景中的其它對立保護層。

b）有效性：

應能檢測到響應的條件；

在有效的時間內，應能及時響應；

在可用的時間內，應有足夠的能力采取所要求的行動；

應滿足所選擇的PFD的要求。

c）安全性。應使用管理控制或技術手段減少非故意的或未授權的變動。

d）變更管理。設備、操作程序、原料、過程條件等任何改動應執行變更管理程序，以滿足變更后獨立保護層的要求。

e）可審查性。應有可用的信息、文檔和程序可查，以說明保護層的設計、檢查、維護、測試和運行活動能夠使保護層達到獨立保護層的要求。

石油化工過程中典型的保護層包括：

基本過程控制系統

安全報警與人員響應

安全儀表系統的SIF

超壓物理保護

泄漏火災爆炸減緩措施

其它獨立保護層

保護層的PFD來源：

各類數據庫

PHAMS平臺

故障樹計算

PHAMS數據基本要求：

獨立保護等安全保護措施等要符合現行的設計、安裝和運行標準

要有合適的檢測、測試和維護程序

發現或診斷出失效后應及時進行修復

應有嚴格的變更管理程序。

下表給出了部分獨立保護層的PFD取值及其要求。

5 條件概率

條件概率包括：

出現危險氣體環境的概率

點火概率

爆炸概率

人員暴露概率

人員受傷或致死概率

設備損壞或其他財產損失的概率

條件概率也是一種風險消減因子，在風險計算中以概率值表征了對風險的消減作用。條件概率反映了工廠在事故發展鏈條中處于某一特殊點或特殊時間內的時間比例。條件概率與工廠的管理和維護水平密切相關。如電氣設備的維護不當將增加可燃氣體延遲點火的概率。因此在使用條件概率時要確保條件概率是一個真實的值，并在全部時間內有效。

在使用條件概率時，應滿足以下兩個條件：

1）獨立于后果嚴重性估計。

條件概率是一種概率值，它應與風險計算中的其它因素無關，即保持獨立性。如以下范例。

案例：某工廠在工藝裝置廠房外設置了粉塵收集器。粉塵收集器靠近承包商停車場和大門之間的一條步行道。如果發生粉塵爆炸，則將導致收集器密封罩和連接管網破壞，將導致廠房內的員工受傷，更嚴重的后果可能導致步行道的行人致死。步行道大約每天有45min（0.75h））時間內有行人。

正確的修正因子： 對于嚴重的人員致死后果，人員必須在爆炸時出現在步行道上。因此人員出現的概率為0.75/24=0.03。

錯誤的修正因子：使用了0.03修正因子，同時在考慮后果時考慮輕微的人員受傷。這將重復考慮了大部分時間內行人不會受到影響的因素。

2）獨立于事故場景中的其它因子。

通常，當檢測到一個設備失效時，操作人員可能去現場處理問題。因此如果可檢測的設備失效為初始事件時，通常可假設人員暴露的概率為100%（除非設備失效立即發生事故）。一小事件如小泄漏和小火災都可能增加人員出現在現場的概率。

5.1出現危險氣體環境的概率

危險氣體環境是指人員可能暴露在毒性、缺氧、富氧的環境或形成一個爆炸性氣體或爆炸性粉塵環境。

案例：某物料泄漏后形成液池，只有當環境溫度高于其閃點時才能在液池表面形成可燃蒸氣，從而遇到點火源才能發生池火災。環境溫度溫度高于閃點的時間比例可作為出現危險氣體環境的概率來修正該事故場景的風險。注：時間風險用于后果時是一種條件概率，當作為降低初始事件頻率時是一種使能條件。

5.2 點火和爆炸概率

5.2.1 工藝設備內部點火概率

當評估工藝設備內部點火概率時，應考慮以下因素：

歷史經驗

工藝設備內的爆炸分區

內部設備或元件因不正確安裝導致的失效概率

物料產生靜電的可能性

靜電的聚集或不良的接地等

正常或異常條件下出現的火花

氣相線連接到其它點火源

吸收熱（如活性炭床層）

內外部溫度

低自然點的物料

低點火能的物料

自氧化的物料

內部正常或異常的化學反應

熱工作業，包括臨近的設備

動設備

絕熱壓縮

以下情況不考慮內部點火概率：

設備內部正常為爆炸性氣體，只要出現足夠能量的點火源則會發生內部爆燃。此時點火源的出現（如接地系統失效）應作為一個初始事件。

當爆炸性氣體和點火源都是短時異常事件時，需要考慮兩種低概率事件同時出現的可能性。

初始事件發生就能夠導致出現點火源時，則點火概率假設為100%。

5.2.1 工藝設備外點火概率

工藝設備外點火概率的計算主要考慮立即點火（靜電、自燃點火）和外部點火源引發的延遲點火。PHAMS平臺中點火概率計算模型從簡單到復雜包括三個層級，其中：

1）Level 1 適用于一般的危險分析、保護層分析等；

2）Level 2 適用于HALOPA、快速定量風險評估等；

3）Level 3 適用于全定量風險評估（QRA）、成本效益分析等。

點火概率計算方法采用了事件樹原理進行最終結果的計算。

最終的爆炸概率=（1-立即點火概率）×延遲點火概率×爆炸概率。

最終的火災概率=立即點火概率+（1-立即點火概率）×延遲點火概率×（1-爆炸概率）。

詳細的計算模型和計算程序見中國石化安全風險評估平臺（PHAMS）中點火概率計算工具。

5.3 人員暴露概率

人員暴露概率是指泄漏火災爆炸等事故發生時，人員出現在影響區域內的時間比例。在使用人員暴露概率時需要考慮以下關鍵因素：

人員暴露概率應解釋所有出現在影響區域內的人員，包括常規操作者、臨時人員或開停車、維護等短時大量人員。如果事故影響區域足夠大，需要考慮臨近單元的人員。

人員暴露概率必須獨立于評估的事故場景。如果該事故場景中涉及到關鍵報警與人員響應，則可能導致部分操作者去現場檢查情況（這取決于事故演變的過程）。此時則不應考慮人員暴露概率。

當初始事件是現場人員誤操作導致時，人員將出現在事故現場，則不考慮人員暴露概率或取值為1。

當在事故嚴重性考慮人員暴露概率時，則不應在風險計算中再考慮人員暴露因子。

當把人員限制進入的措施作為獨立保護層時，應確保不再重復使用人員暴露因子。

在確定人員暴露概率時通常需要考慮事故影響區域，可能包括毒性氣體擴散影響區域、火災爆炸影響區域等。

人員暴露概率計算方法：

1.確定影響區域的范圍。

2.計算影響區域內人員每周或每天總的（人.小時）

3.利用下表確定合適的人員暴露概率。

備注：

1）要考慮影響區域內所有可能出現的人員，包括所有的操作者、維護者、承包商、保衛、工程師等；

2）為保守評估風險，建議人員暴露概率不低于0.01.當取0.01是需要進行詳細的分析和文檔依據。