中國石化風(fēng)險矩陣根據(jù)傷害后果事件發(fā)生頻率的大小，將可能性分為8個級別。頻率量化可采用定性與定量的方法，定性方法多基于經(jīng)驗，采用專家判斷法進行確定。當(dāng)后果非常嚴(yán)重或發(fā)生頻率較高時，需要對事故后果的發(fā)生頻率進行量化，采用半定量、定量技術(shù)確定事故的發(fā)生頻率。頻率量化方法可采用保護層分析、故障樹、事件樹、可靠性框圖、馬爾可夫模型等。對一般的生產(chǎn)裝置和設(shè)施，可采用保護層頻率量化方法（簡稱HALOPA方法）對頻率進行量化。

1 HALOPA方法模型

保護層頻率量化方法（HALOPA）為一種半定量方法，基本原理為HAZOP模型、保護層洋蔥模型和事件樹模型。

上圖中具體的原因為引發(fā)過程發(fā)生偏差的直接原因，也稱為初始事件或觸發(fā)事件（Initiating event）。 當(dāng)過程發(fā)生偏差后，該偏差進一步發(fā)展，按時間先后順序挑戰(zhàn)各種保護層，當(dāng)偏差穿過各保護層的漏洞并遇到合適的條件（如點火、外部阻塞環(huán)境、低溫等）時，安全事故就會發(fā)生。該模型假設(shè)每一個保護層相互之間獨立，在面臨挑戰(zhàn)時都存在失效的可能。每經(jīng)過一個保護層，事故發(fā)生頻率因保護層的風(fēng)險降低作用而降低。在整個事故鏈中事故后果是考慮所有保護措施均失效下的最壞后果。當(dāng)某一個保護措施不存在失效的可能，則假設(shè)的事故場景不會發(fā)生。

當(dāng)初始事件（觸發(fā)原因）發(fā)生頻率不超過1次/年或小于第一道保護層測試頻率兩倍時，采用以下公式進行計算：

以上公式：fI為初始事件I的發(fā)生頻率，次/年；Penable為使能條件（Enabling conditions）的概率值；PFDIj第j個獨立保護層的在需求時的失效概率值（獨立保護層是針對初始事件引發(fā)的事件鏈）。Pcondition為導(dǎo)致事故最終后果的各種條件概率值。

當(dāng)初始事件的頻率超過1次/年或超過第一道保護層測試頻率兩倍時，應(yīng)采用第一道保護層失效作為導(dǎo)致事故發(fā)生的原因事件，采用下列公式進行計算：

上式中，fIPL_first為第一道保護層的失效率，次/年；

2 初始事件頻率

初始事件是指導(dǎo)致過程發(fā)生偏差（偏差為廣義的偏差，指偏離了正常的條件，如液位高、壓力高、泄漏等）的具體原因。初始事件通?？煞譃橐韵聨最悾?/p>

控制系統(tǒng)故障：如基本過程控制回路故障，包括傳感器、邏輯控制器和執(zhí)行器故障等；

設(shè)備故障：機械故障（如泵密封失效、泵或壓縮機停機）、腐蝕/侵蝕/磨蝕、機械碰撞或振動、閥門故障等；

安全設(shè)施故障：處于高要求模式的安全設(shè)施故障；

公用工程故障：停儀表風(fēng)、停氣、停電等；

人員誤操作：操作失誤、關(guān)鍵響應(yīng)錯誤、作業(yè)程序錯誤、其他行為失誤等；

外部事件：自然災(zāi)害（地震、海嘯、龍卷風(fēng)、颶風(fēng)、洪水、泥石流、滑坡和雷擊等）、空難、臨近工廠的重大事故、破壞或恐怖活動、鄰近區(qū)域火災(zāi)或爆炸和其他外部世界；

泄漏事件。

控制系統(tǒng)、設(shè)備和安全設(shè)施故障率通常服從浴盆曲線，其發(fā)生頻率主要指工藝設(shè)備或元件的危險故障發(fā)生率，在工程上它通常上反映一批樣本（設(shè)備）在單位時間內(nèi)的失效數(shù)，即失效率，次/年。

對于工作在相似環(huán)境的同一類設(shè)備/元件樣本，其失效率計算采用下式進行計算：

失效率λ(t)=失效數(shù)/（樣本總的運行時間）

對于每一種設(shè)備具有多個樣本，每一個樣本具有不同的失效次數(shù)、設(shè)備數(shù)、運行時間或運行環(huán)境。則需要采取多樣本計算方法計算平均失效率。

初始事件頻率通常可來自行業(yè)統(tǒng)計數(shù)據(jù)（通用數(shù)據(jù)），并結(jié)合企業(yè)自身的經(jīng)驗和數(shù)據(jù)對普通的工業(yè)失效率數(shù)據(jù)進行修正，如下式：

初始事件頻率=通用頻率×修正因子

選擇的失效率數(shù)據(jù)應(yīng)具有行業(yè)代表性或能代表操作條件；選擇的失效率數(shù)據(jù)必須符合其內(nèi)在的假設(shè)條件。這些通常包括設(shè)計規(guī)范、操作條件，基本測試和檢查頻率、員工和維護培訓(xùn)程序以及設(shè)備設(shè)計質(zhì)量等。因此，確保過程中使用的失效率數(shù)據(jù)與數(shù)據(jù)內(nèi)在的基本假設(shè)相一致非常重要。

中國石化風(fēng)險評估管理平臺（PHAMS）對國內(nèi)外的可靠性數(shù)據(jù)庫進行收集整理，建立了一套標(biāo)準(zhǔn)的初始事件頻率數(shù)據(jù)和泄漏頻率計算模型。下表給出了部分原因頻率數(shù)據(jù)。

3 使能條件

使能條件是指能夠?qū)е率鹿蕡鼍鞍l(fā)生的必要條件；使能條件既不是一種失效事件，也不是一種保護層。它是由不直接導(dǎo)致事故場景的操作或條件構(gòu)成，但是對于事故場景的繼續(xù)發(fā)展，這些事件或條件必須存在或活動。使能條件使用概率值進行表達(dá)。使能條件概率與初始事件頻率的乘積表示了導(dǎo)致不期望后果的異常條件每年發(fā)生的次數(shù)。注意：大部分HALOPA場景不考慮使能條件。

3.1 時間風(fēng)險使能條件

時間風(fēng)險是指事故場景只在一個特定的時間段內(nèi)發(fā)生，在該時間段內(nèi)具有導(dǎo)致異常條件發(fā)展為事故的必要條件。常見的時間風(fēng)險使能事件是異常低的環(huán)境溫度，在該環(huán)境溫度下，如果設(shè)計的防凍措施失效，那么工藝管線或公用工程管線或儀表管線將凍凝。使能事件也可能包括其他的季節(jié)性風(fēng)險，如影響冷卻能力的異常高溫或?qū)е蚂o電聚居的低濕度條件等。下表給出了涉及時間風(fēng)險的一個分析場景。

另一種時間風(fēng)險使能條件是間歇過程中的時間風(fēng)險，如一個批處理化學(xué)品反應(yīng)可能發(fā)生反應(yīng)失控，但是反應(yīng)失控只能發(fā)生在批處理反應(yīng)的第一個階段（此時大部分轉(zhuǎn)化反應(yīng)發(fā)生），并且只有在冷卻中斷的情況下才能發(fā)生。如果冷卻中斷發(fā)生在其他階段，將不會導(dǎo)致失控反應(yīng)發(fā)生。這時，反應(yīng)所處第一階段的時間比例將作為冷卻水中斷導(dǎo)致反應(yīng)失控的使能條件。

時間風(fēng)險不作為使能條件的情況:

1）連續(xù)操作，危險在整個時間上保持不變；

2）操作頻率少且操作時間非常短，但是具有高后果的操作或活動。在這種情況下如果使用時間風(fēng)險使能條件可能形成一個結(jié)論：事故場景的平均風(fēng)險滿足工廠的風(fēng)險標(biāo)準(zhǔn)；然而該危險對人造成的峰值風(fēng)險可能異常的高。例如：儲罐在開車或停車時，沒有氮氣吹掃，將導(dǎo)致儲罐內(nèi)易燃液體蒸汽空間的氣體處于燃燒范圍。即使儲罐內(nèi)氣體濃度處于燃燒范圍內(nèi)的時間非常短（如，1小時/年），但是在冷啟動或停車時人員可能在附近，在那個時間上人員的峰值風(fēng)險將非常高；

3）在執(zhí)行逐步操作程序時，涉及到的人員操作失誤。在這種場景中，初始事件頻率通常為進行該項操作的頻率與人員在完成該步驟時的失效概率的乘積。因為涉及到失效概率，這不滿足使能條件的定義，即使能條件不是一種失效。

4）在事故場景中，如果時間風(fēng)險應(yīng)用到后果類型及嚴(yán)重性上，而不是初始事件發(fā)生的可能性，此時，概率因子應(yīng)作為條件修正因子。

3.2 生產(chǎn)模式使能條件

生產(chǎn)模式使能條件與時間風(fēng)險使能條件相似。生產(chǎn)模式使能條件與工藝過程的原料（化學(xué)品、濃度、速率、量）、催化劑、最終產(chǎn)品、操作條件和過程狀態(tài)（如循環(huán)或非循環(huán)操作模式）等過程參數(shù)相關(guān)。這些參數(shù)的變化將導(dǎo)致在不同的生產(chǎn)模式時產(chǎn)生不一樣的風(fēng)險。通過運用使能條件可表述這種不一致的風(fēng)險，下表給出了生產(chǎn)模式使能條件的范例。

3.3使能條件運用規(guī)則

使能條件運用規(guī)則如下表所示。

4 獨立保護層的PFD

保護措施要作為獨立保護層（IPL），應(yīng)滿足以下基本要求：

a）獨立性：

應(yīng)獨立于初始事件的發(fā)生及其后果；

應(yīng)獨立于同一事故場景中的其它對立保護層。

b）有效性：

應(yīng)能檢測到響應(yīng)的條件；

在有效的時間內(nèi)，應(yīng)能及時響應(yīng)；

在可用的時間內(nèi)，應(yīng)有足夠的能力采取所要求的行動；

應(yīng)滿足所選擇的PFD的要求。

c）安全性。應(yīng)使用管理控制或技術(shù)手段減少非故意的或未授權(quán)的變動。

d）變更管理。設(shè)備、操作程序、原料、過程條件等任何改動應(yīng)執(zhí)行變更管理程序，以滿足變更后獨立保護層的要求。

e）可審查性。應(yīng)有可用的信息、文檔和程序可查，以說明保護層的設(shè)計、檢查、維護、測試和運行活動能夠使保護層達(dá)到獨立保護層的要求。

石油化工過程中典型的保護層包括：

基本過程控制系統(tǒng)

安全報警與人員響應(yīng)

安全儀表系統(tǒng)的SIF

超壓物理保護

泄漏火災(zāi)爆炸減緩措施

其它獨立保護層

保護層的PFD來源：

各類數(shù)據(jù)庫

PHAMS平臺

故障樹計算

PHAMS數(shù)據(jù)基本要求：

獨立保護等安全保護措施等要符合現(xiàn)行的設(shè)計、安裝和運行標(biāo)準(zhǔn)

要有合適的檢測、測試和維護程序

發(fā)現(xiàn)或診斷出失效后應(yīng)及時進行修復(fù)

應(yīng)有嚴(yán)格的變更管理程序。

下表給出了部分獨立保護層的PFD取值及其要求。

5 條件概率

條件概率包括：

出現(xiàn)危險氣體環(huán)境的概率

點火概率

爆炸概率

人員暴露概率

人員受傷或致死概率

設(shè)備損壞或其他財產(chǎn)損失的概率

條件概率也是一種風(fēng)險消減因子，在風(fēng)險計算中以概率值表征了對風(fēng)險的消減作用。條件概率反映了工廠在事故發(fā)展鏈條中處于某一特殊點或特殊時間內(nèi)的時間比例。條件概率與工廠的管理和維護水平密切相關(guān)。如電氣設(shè)備的維護不當(dāng)將增加可燃?xì)怏w延遲點火的概率。因此在使用條件概率時要確保條件概率是一個真實的值，并在全部時間內(nèi)有效。

在使用條件概率時，應(yīng)滿足以下兩個條件：

1）獨立于后果嚴(yán)重性估計。

條件概率是一種概率值，它應(yīng)與風(fēng)險計算中的其它因素?zé)o關(guān)，即保持獨立性。如以下范例。

案例：某工廠在工藝裝置廠房外設(shè)置了粉塵收集器。粉塵收集器靠近承包商停車場和大門之間的一條步行道。如果發(fā)生粉塵爆炸，則將導(dǎo)致收集器密封罩和連接管網(wǎng)破壞，將導(dǎo)致廠房內(nèi)的員工受傷，更嚴(yán)重的后果可能導(dǎo)致步行道的行人致死。步行道大約每天有45min（0.75h））時間內(nèi)有行人。

正確的修正因子： 對于嚴(yán)重的人員致死后果，人員必須在爆炸時出現(xiàn)在步行道上。因此人員出現(xiàn)的概率為0.75/24=0.03。

錯誤的修正因子：使用了0.03修正因子，同時在考慮后果時考慮輕微的人員受傷。這將重復(fù)考慮了大部分時間內(nèi)行人不會受到影響的因素。

2）獨立于事故場景中的其它因子。

通常，當(dāng)檢測到一個設(shè)備失效時，操作人員可能去現(xiàn)場處理問題。因此如果可檢測的設(shè)備失效為初始事件時，通常可假設(shè)人員暴露的概率為100%（除非設(shè)備失效立即發(fā)生事故）。一小事件如小泄漏和小火災(zāi)都可能增加人員出現(xiàn)在現(xiàn)場的概率。

5.1出現(xiàn)危險氣體環(huán)境的概率

危險氣體環(huán)境是指人員可能暴露在毒性、缺氧、富氧的環(huán)境或形成一個爆炸性氣體或爆炸性粉塵環(huán)境。

案例：某物料泄漏后形成液池，只有當(dāng)環(huán)境溫度高于其閃點時才能在液池表面形成可燃蒸氣，從而遇到點火源才能發(fā)生池火災(zāi)。環(huán)境溫度溫度高于閃點的時間比例可作為出現(xiàn)危險氣體環(huán)境的概率來修正該事故場景的風(fēng)險。注：時間風(fēng)險用于后果時是一種條件概率，當(dāng)作為降低初始事件頻率時是一種使能條件。

5.2 點火和爆炸概率

5.2.1 工藝設(shè)備內(nèi)部點火概率

當(dāng)評估工藝設(shè)備內(nèi)部點火概率時，應(yīng)考慮以下因素：

歷史經(jīng)驗

工藝設(shè)備內(nèi)的爆炸分區(qū)

內(nèi)部設(shè)備或元件因不正確安裝導(dǎo)致的失效概率

物料產(chǎn)生靜電的可能性

靜電的聚集或不良的接地等

正?；虍惓l件下出現(xiàn)的火花

氣相線連接到其它點火源

吸收熱（如活性炭床層）

內(nèi)外部溫度

低自然點的物料

低點火能的物料

自氧化的物料

內(nèi)部正常或異常的化學(xué)反應(yīng)

熱工作業(yè)，包括臨近的設(shè)備

動設(shè)備

絕熱壓縮

以下情況不考慮內(nèi)部點火概率：

設(shè)備內(nèi)部正常為爆炸性氣體，只要出現(xiàn)足夠能量的點火源則會發(fā)生內(nèi)部爆燃。此時點火源的出現(xiàn)（如接地系統(tǒng)失效）應(yīng)作為一個初始事件。

當(dāng)爆炸性氣體和點火源都是短時異常事件時，需要考慮兩種低概率事件同時出現(xiàn)的可能性。

初始事件發(fā)生就能夠?qū)е鲁霈F(xiàn)點火源時，則點火概率假設(shè)為100%。

5.2.1 工藝設(shè)備外點火概率

工藝設(shè)備外點火概率的計算主要考慮立即點火（靜電、自燃點火）和外部點火源引發(fā)的延遲點火。PHAMS平臺中點火概率計算模型從簡單到復(fù)雜包括三個層級，其中：

1）Level 1 適用于一般的危險分析、保護層分析等；

2）Level 2 適用于HALOPA、快速定量風(fēng)險評估等；

3）Level 3 適用于全定量風(fēng)險評估（QRA）、成本效益分析等。

點火概率計算方法采用了事件樹原理進行最終結(jié)果的計算。

最終的爆炸概率=（1-立即點火概率）×延遲點火概率×爆炸概率。

最終的火災(zāi)概率=立即點火概率+（1-立即點火概率）×延遲點火概率×（1-爆炸概率）。

詳細(xì)的計算模型和計算程序見中國石化安全風(fēng)險評估平臺（PHAMS）中點火概率計算工具。

5.3 人員暴露概率

人員暴露概率是指泄漏火災(zāi)爆炸等事故發(fā)生時，人員出現(xiàn)在影響區(qū)域內(nèi)的時間比例。在使用人員暴露概率時需要考慮以下關(guān)鍵因素：

人員暴露概率應(yīng)解釋所有出現(xiàn)在影響區(qū)域內(nèi)的人員，包括常規(guī)操作者、臨時人員或開停車、維護等短時大量人員。如果事故影響區(qū)域足夠大，需要考慮臨近單元的人員。

人員暴露概率必須獨立于評估的事故場景。如果該事故場景中涉及到關(guān)鍵報警與人員響應(yīng)，則可能導(dǎo)致部分操作者去現(xiàn)場檢查情況（這取決于事故演變的過程）。此時則不應(yīng)考慮人員暴露概率。

當(dāng)初始事件是現(xiàn)場人員誤操作導(dǎo)致時，人員將出現(xiàn)在事故現(xiàn)場，則不考慮人員暴露概率或取值為1。

當(dāng)在事故嚴(yán)重性考慮人員暴露概率時，則不應(yīng)在風(fēng)險計算中再考慮人員暴露因子。

當(dāng)把人員限制進入的措施作為獨立保護層時，應(yīng)確保不再重復(fù)使用人員暴露因子。

在確定人員暴露概率時通常需要考慮事故影響區(qū)域，可能包括毒性氣體擴散影響區(qū)域、火災(zāi)爆炸影響區(qū)域等。

人員暴露概率計算方法：

1.確定影響區(qū)域的范圍。

2.計算影響區(qū)域內(nèi)人員每周或每天總的（人.小時）

3.利用下表確定合適的人員暴露概率。

備注：

1）要考慮影響區(qū)域內(nèi)所有可能出現(xiàn)的人員，包括所有的操作者、維護者、承包商、保衛(wèi)、工程師等；

2）為保守評估風(fēng)險，建議人員暴露概率不低于0.01.當(dāng)取0.01是需要進行詳細(xì)的分析和文檔依據(jù)。