摘要 工程发展有一个积累的过程,《风险工程学》就是这种积累取得进步的产物。工程历史赋予人们丰富的经验,既有成功的,也有失败的。《风险工程学》可以帮助人们了解工程系统失效转化为成功的机遇。《风险工程学》作为一门学科,它的主要目的是使工程取得成功。本文给出的“风险分析技术:概念、原理、方法和工程应用”是《风险工程学》的重要组成部分。
关键词:风险分析技术;风险模糊分析法;风险可接受度
1 概述 在工业领域,风险工程学是将危险转化成为安全的学科,是将危险带来的挑战作为提高安全性机遇的学科。它的最终目标是力争化险为夷,使工程达到尽可能的成功。 危险的定义是可能产生潜在损失的征兆。它是风险的前提,没有危险就无所谓风险。风险由两部分组成:一是危险事件出现的概率;二是一旦危险出现,其后果严重程度和损失的大小。如果将这两部分的量化指标综合,就是风险的表征,或称风险系数。 危险是客观存在,是无法改变的,而风险却在很大程度上随着人们的意志而改变,亦即按照人们的意志可以改变危险出现或事故发生的概率和一旦出现危险,由于改进防范措施从而改变损失的程度。 风险工程学包括风险设计、风险评价、风险预测和风险管理。后者主要指控制危险及对危险采取相应措施的决策。 风险工程学是一门新兴学科,具有跨学科的特点,已列入21世界闪光技术之中[1],并已出版专著[2]。它包括的内容很广泛,举凡可靠性工程学、失效分析、失效预测和预防、结构完整性评价和工业经济预测与决策等尽在其中。不仅如此,由于工业领域危险源各式各样,危险事故发生机理千差万别,防范措施也因不同对象而异,经济投资和决策方式也不尽一致,风险工程学的研究内容和方法也随不同工业类别或工艺过程、装置的不同而迥异。但是,作为一门学科,除了有针对性研究各个工业领域风险的个性问题外,在共性问题或方法上,近年来成为研究的热点,本文内容--风险分析技术是《风险工程学》的重要组成部分,涉及4个方面问题,风险分析的原理与方法,典型装置的风险分析与风险评价,风险模糊分析方法和风险可接受准则。 2 风险分析的原理和方法
危险源、暴露和后果是风险的3个要素:(1)危险一般由于能量或毒物释放失去控制而引起。在进行风险分析时,首先要确定危险源种类,如毒物释放、爆炸、火灾等,其次要确定系统中哪一部分是危险的来源,如压力容器、压力管道、储罐、动力装置等;(2)环境、人员或其它生态系统、建筑物或构筑物暴露于危险区域的程度;(3)危险一旦发生,对暴露目标的有害作用或可能造成的损失。这3个要素称为风险链,在进行风险分析时,要对链中的每个环节作具体分析和评价。风险分析方法很多,本文拟择近年来受到普遍重视的数种作扼要介绍。 2.1 失效模式、后果与严重度分析 失效模式和后果分析(Failure Modes and Effects Analysis ,FMEA)在风险分析中占重要位置,是一种非常有用的方法,主要用于预防失效。但在试验、测试和使用中又是一种有效的诊断工具。欧洲联合体ISO 9004质量标准中,将它作为保证产品设计和制造质量的有效工具[2]。它如果与失效后果严重程度分析联合起来(Failure Modes, Effects and Criticality Analysis, FMECA),应用范围更广泛。 FMEA是一种归纳法。对于一个系统内部每个部件的每一种可能的失效模式或不正常运行模式都要进行详细分析,并推断它对于整个系统的影响、可能产生的后果以及如何才能避免或减少损失。 进行FMEA工作所涉及的主要问题是: (1)失效 针对系统的具体情况,以设计文件或相关标准、规范为依据,从功能、工况条件、工作时间、结构等确定本系统失效的定义,并确定表征失效的主要参数。Henley和Kumamoto[3,4]对于过程装置如塔器、压力容器、压力管道和储器等,提出构造FMEA需要考察、校核的项目: 变量:流量、温度、压力、浓度、pH值、饱和度等; 功能:加热、冷却、供电、供水、供空气、供N2、控制等; 状态:维修、开车、停车、更换催化剂等; 异常:很不正常、略有一些不正常、无不正常、位移、振荡、未混合、沉淀、着火、腐蚀、断裂、泄漏、爆炸、磨损、液体溢出、超压等。 仪表:灵敏度、安放位置、响应时间等。 (2)失效模式 考虑系统中各部件可能存在的隐患,依据具体内容确定失效模式。如: a. 功能不符合技术条件要求; b. 应力分析中发现的可能失效模式; c. 动力学分析、结构分析或机构分析中发现可能失效的模式; d. 试验中发生的失效,检验中发现的偏差; e. 完整性评价、安全性分析确定的失效模式。 (3)失效机理 根据所确定的失效模式,进行失效机理分析,并确定失效或危险发生的主要控制因素。 (4)失效后果 在进行失效后果分析时,应考虑任务目标,维修要求以及人员和设备的安全性等。要考虑原始失效(一次失效)可能造成的从属失效(二次失效);要考虑局部失效可能造成的整体失效,要考虑对全系统工作、功能、状态产生的总后果。 在进行失效模式和后果分析时,应按照上述内容编制FMEA表格[5],逐项填写。有些场合,也需要进行半定量分析。设定:失效发生频率程度、失效后果严重程度、失效原因被检出程度3个指标,根据经验或与所考察对象相似系统的失效记录,用1到10数字标定。各指标标定值的乘积称为风险乘数(Risk Product Number)。风险乘数的大小表示不同失效模式的相对重要度[2]。 表1为文献[2]给出的FMEA半定量分析各项指标参考值。例1为该文献提供的计算示例。该书附录还列出FMEA、FMECA计算机程序目录。
表1 FMEA半定量分析各项指标参考值
|
失效发生 频率程度 |
失效后果 严重程度 |
失效原因 被检出程度 | |
|
-- |
-- |
10 |
1 |
1 |
8~9 |
2~3 |
2~3 |
6~7 |
4~6 |
4~6 |
4~5 |
7~9 |
7~9 |
2~3 |
10 |
10 |
1 | | [例1]铝制盛装压缩液体的储罐,顶盖与筒体采用铆接联接,顶盖上安设一短管及小封盖,作为灌装液体和卸液口。 根据此储罐同类相似装置的失效记录,试判断哪一种失效模式影响最大。 [解]:按照同类储罐失效记录,在表1所示各项指标参考值中选定相关等级的数据进行计算,计算结果列于表2。从表2风险乘数(RPN)计算值可知储罐搬运卸落或振动时受高压力作用,顶盖与筒体铆接联接处撕开是主要的失效模式,其次为液体压力增高底盖突然凸出造成液体泄漏是居二位的失效模式。
部位 |
失效 模式 |
失效机理 |
后果 |
失效发生 频率程度 “O” |
失效后果 严重程度 “S” |
失效原因 被检出程度 “D” |
风险乘数 PRN O·S·D |
筒体 |
开裂 |
压缩液体压力使筒壁开裂 |
液体泄漏 |
4 |
7 |
4 |
112 |
瘪皱 |
筒壁刚度不足 |
储罐损伤,液体可能泄漏 |
4 |
5 |
3 |
60 |
顶盖 |
盖子被压入筒内 |
外界冲压力 |
液体泄漏 |
3 |
6 |
6 |
108 |
拱起 |
压缩液体压力升高将顶盖凸出 |
液体泄漏 |
3 |
5 |
3 |
45 |
底盖 |
突然凸出 |
液体压力增高 |
液体泄漏 |
5 |
6 |
5 |
150 |
裂开 |
液体压力使底盖裂开 |
液体泄漏 |
3 |
7 |
4 |
84 |
顶盖与筒体铆接处 |
|
当搬运、卸落或振动时高压力作用 |
液体泄漏 |
5 |
8 |
4 |
160 |
2.2失效树分析 失效树分析(Fault Tree Analysis, FTA)又称因果树分析,是一种复杂系统进行风险预测的方法。在产品设计阶段,失效树分析可帮助判明潜在危险的模式和灾难性危险因素,发现系统或装置的薄弱环节,以便改进设计。在生产、使用阶段可帮助进行失效诊断,改进技术管理和维修方案。失效树分析也可以作为事故发生后的调查手段。 在失效树分析中,首先把需要分析的系统或装置发生失效事件的名称绘在失效树分析图的上部称为顶事件。该图是一棵倒树,树根就是顶事件,枝叶向下蔓延。顶事件下边排列出引起顶事件发生的直接原因,称为失效二次事件或中间事件。在顶事件和紧接的二次事件之间,按照它们之间的逻辑关系,标出逻辑门(如逻辑或门――输入事件中只要有一个或多于一个发生就能使输出事件发生;逻辑与门――全部输入事件都发生才能使输出事件发生),用以将顶事件和二次事件联结起来。接着再把造成上述失效二次事件或中间事件的直接原因列出,它们之间同样用逻辑门联结起来。如此继续下去,直至延伸到不能再分解或不必再分解的基本事件为止。 失效树分析中的计算是根据逻辑代数原理进行的。可以求出基本事件在失效树结构中所造成的影响(称为重要度),还可以求出顶事件发生的概率。这些计算一般都是在计算机上完成的,文献[2]、 [6]推荐了数十种按照不同要求的FTA计算机程序目录。 下面给出计算顶事件发生概率的原理和方法。 对于逻辑或门(OR GATE)(输入事件中只要有一个或多于一个事件发生,就能使输出事件发生)
式中:Bi--失效树的基本事件,i=1,2……,n "∪", "∩"--分别代表"和"及"交"; --输出事件的发生概率; P(Bi)--输入事件Bi的发生概率 上式等号右端总数为(2n-1)项。 对于逻辑与门(AND GATE)(输入事件中全部发生才能使输出事件发生)
式中 --输出事件的发生概率 计算时,从树的底端按次序一步步向树的顶端进行,每一步骤的输出事件发生概率作为其下一步更高一级的输入事件发生概率。 另外一种计算顶事件发生概率的方法是结构函数法。假设每一个基本事件都有一个二值指示变量Yi
顶事件的二值指示变量为
式中 -顶事件的结构函数 Y =(Y1,Y2,……Yn) 计算顶事件发生概率时需要用布尔(Boolean)代数运算。表3示出布尔代数与代数之间的相关关系。
事件 |
布尔事件 |
代数 |
[代数] |
Bi |
Yi =1 |
Yi =1 |
事件Bi 存在 |
Bi |
Yi =0 |
Yi =0 |
事件Bi 不存在 |
B1∩…∩Bn |
Y1∧…∧Yn=1 |
Y1x…xYn =1 |
P(B1∩…∩Bn)=E (Y1∧…∧Yn) |
B1∪…∪Bn |
Y1∨…∨Yn=1 |
1-[1-Y1]x…x[1-Yn]=1 |
P(B1∪…∪Bn)=E(Y1∨…∨Yn) | [注] 表中符号∧,∨分别表示取小值、取大值;P表示概率;E表示期望值。 [例2] 计算图1所示失效树顶事件的失效概率 假设: P(B1)=P(B2)=P(B3)=0.001; P(B4)=P(B5)=0.0001
图1 例2失效树图 [解]: 1、按照从失效树底一步步顺序计算方法求顶事件的失效概率。 逻辑或门(式(1)): P(G-4)=P(G-5)=P(G-6)=2×10-3-10-6=0.001999 逻辑与门(式(2)): P(G-2)=(0.001999)3=7.988×10-9 P(G-3)=10-8 顶事件失效概率: P(T)=7.988×10-9+10-8-7.988×10-17 =1.7988×10-8 2、按照结构函数法求顶事件失效概率 根据图1和表3
按表3期望值,求得顶事件概率为:
2.3事件树分析 事件树分析(Event Tree Analysis, ETA)又称决策树分析,也是风险分析的一种重要方法。它是在给定系统起始事件的情况下,分析此事件可能导致的各种事件的一系列结果,从而定性与定量的评价系统的特性,并可帮助人们做出处理或防范的决策[7]。 事件树可以描述系统中可能发生的失效事件,特别在风险分析中,在寻找系统可能导致的严重事故时,是一种有效的方法。 进行事件树分析可以获定量结果,即计算每项事件序列发生的概率。计算时必须有大量统计数据。可惜目前只有一些核电站概率风险评价中涉及的有关数据,其它领域这方面报导较少,只能参照相关资料进行估计。文献[2]中列出了压水堆核电站供水系统,事件树计算示例。该书附录中列举了事件树分析定量化计算机程序目录。 [例3] 图2是备用供水系统简图。为了简化,系统中的管道、阀门、控制系统等均删略未绘,只包括3个储水罐,一个蒸汽透平泵两个电动泵,电源由柴油发电机提供。 试对该系统进行事件树分析。 [解] 当工艺主供水系统失水事件发生后,这套备用供水系统启用,工作步骤如下: 1、初因事件(initiating event, IE),即主供水系统发生失水事件,随后水从储水罐输入泵系统(E1)。 2、两个电动泵中至少一个开始工作(E2),将水输出。 3、蒸汽透平泵运行供水(E3)。 这套备用供水系统启动不成功的可能状态是: 1、初因事件发生,即主供水系统发生失水事件; 2、3个储水罐均无水供应; 3、两个电动泵均不工作,包括供电故障; 4、蒸汽透平泵故障不能运行。
图2 备用供水系统简图 图3 主供水系统失水事件后的事件树(图中P为概率)主供水系统失水事件发生后启用备用供水系统,失效概率可由下式计算: P = P ( I E ) P ( E 2 ) P ( E 3 ) + P ( I E ) P ( E 1 )
2.4基于可信性的风险分析 可信性(Dependability)是一个非定量的集合性术语。根据1994年ISO-9000的定义,可信性是可靠性、维修性、保障性和测试性内容的综合。 可靠性是系统或装置在规定条件下和规定时间内完成规定功能的能力。 维修性是在规定条件下和规定时间内,按照规定程序和方法对系统或装置进行维修时,保持或恢复系统或装置达到规定状态的能力。 保障性是系统或装置的设计特性和计划的保障资源能满足使用要求的能务。或者:系统或装置的安装、运行及维修,需要一定的保障,如资金、技术、维修方针、程序、工具、仪器设备、相关规范、文件、技巧熟练的技术人员等。这些都是支持保障性不可或缺的条件。 测试性是系统或装置能及时并准确地确定其状态(运行正常、故障或性能下降)的特性。利用监控、检测等手段可以确定系统或装置内部的危险源以及性能蜕化的影响,要求具备测试功能和测试精度。 基于可信性的危险可能有两类: (1)系统或装置研制生产过程,预计进度计划受到干扰,预计的资金被突破或没有到位,可信性达不到预期水平。 (2)系统或装置运行时发生失效,其后果可能导致人身伤亡,建筑物破坏,环境污染,造成经济损失。 基于可信性的风险分析就是按照这两类危险,按照可能发生的概率大小和发生后造成的后果来度量。 风险度(r)取决于危险发生的概率Pf及危险发生后果严重程度Cf ,它们之间的关系按事件和表示[8]:
r=Pf +Cf -PfCf (1) 现代系统、装置中,除了硬件本身外,一般都使用了大量软件,许多功能由软件执行,进行风险分析时,对软件可能的风险也必须计及。
数值 |
成熟因素 |
复杂因素 |
依赖因素PD |
硬件Php |
软件Psp |
硬件Phc |
软件Psc |
0.1 |
有可借鉴的硬件 |
有可借鉴的软件 |
简单设计 |
简单设计 |
性能不依赖于现有系统、设施或施工单位 |
0.3 |
少量的重新设计 |
少量的重新设计 |
复杂程度略有增加 |
复杂程度略有增加 |
对现有系统、设施或施工单位依赖性有所增加 |
0.5 |
可行性有重大更改 |
可行性有重大更改 |
复杂程度适度地增加 |
复杂程度适度地增加 |
性能依赖于现有系统、设施或施工单位 |
0.7 |
有可利用的、复杂的设计 |
有与现有软件类似的新软件 |
复杂程度大大增加 |
模块复杂性大为增加 |
性能依赖于新系统的进展、设施或施工单位 |
0.9 |
需再进行某些试验研究工作 |
未编制过这样的软件 |
极端复杂 |
极端复杂 |
性能依赖于新系统本身的条件、设施或施工单位 |
数值 |
技术因素(Ct) |
经费因素(Cc) |
工程进度因素Cp |
0.1 (低) |
对技术没有影响 |
不超过预算经费 |
没有影响 |
0.3 (小) |
技术性能略有降低 |
费用超过预算1%~5% |
工程进度稍有推迟(少于1个月) |
0.5 (适当的) |
技术性能有所降低 |
费用超过预算5%~20% |
工程进度有所推迟 |
0.7 (重大的)
|
技术性能明显降低 |
费用超过预算20%~50% |
工程进程推迟超过3个月 |
0.9 (高的) |
不能达到技术目标 |
费用超过预算50%以上 |
工程进度大大推迟,影响巨大 | 系统、装置完善程序不同、结构和操作复杂程度不同,引起失效和可能性也不相同。前者(硬件完善程度)的失效概率用Php表示;后者(硬件复杂程度)的失效概率用Phc表示。软件执行功能的完善程度不同、复杂程度不同,引起失效的可能性也不相同。前者(软件完善程度)的概率用Psp表示;后者(复杂程度)失效概率用Psc表示。故有:
Pf=aPhp+bPsp+cPhc+dPsc (2) 式中,a、b、c、d是加权系数,它们的和为1。 在设计、研制过程中,由于技术水平或其它技术因素,使系统、装置技术性能降低,因而可能对失效后果严重程度造成不同影响(用Ct表示);由于资金超过预算而使系统、装置研制计划调整,因而可能对失效后果严重程度造成不同影响(用Cc表示);工程进度与原计划不符,为了调整进度可能影响整个工作程序、甚至工程质量,因而造成对失效后果严重程度的不同影响(用Cp表示)。故有
Cf=eCt+fCc+gCp (3) 式中,e、f、g是加权系数,它们的总和为1。 文献[8](P.133)给出美国国防系统管理学院《系统工程管理》的Php,Psp,Phc,Psc,Ct,Cc和Cp的取值(对我国的产品,这些取值仅供参考)和计算示例。 [例4] 拟新建一个工程系统。根据资料找到相关方案可资借鉴。硬件只需对所借鉴方案进行少许修改,做简单设计;软件由于略微复杂,需要重新做少量设计。新系统建成后的性能取决于施工单位建造水平和质量保证。 由于硬件、软件本身的复杂程度和所借鉴资料成熟程度与提供信息的有效性、包括设计者的经验以及施工过程质量控制情况等综合原因,新系统建造过程中会产生这样或那样预计不到的问题,因而会使系统建成后技术性能较原来设计略有降低,经费较原计划约超过15%,完工工期也拖后3个月左右。 试对这个系统建造过程可信性潜在危险进行分析[8]。 [解]: 1、由于新建系统复杂程度和所借鉴资料有效性以及施工过程质量控制等综合原因产生问题(故障)的概率 按表4数据: Php = 0.1 Phc = 0.1 Psp = 0.3 Psc = 0.3 PD = 0.9 假设加权系数[8]: a=0.15, b=0.25, c=0.20, d=0.25, e=0.15 按公式(6)求得: Pf = 0.32 2、由于上述综合原因产生后果的概率 按表4数据:Ct = 0.3 Cc= 0.5 Cp = 0.7 假设加权系数[8]: f = 0.5, g=0.4, h=0.1 按公式(7)求得: Cf = 0.42 公式(5),风险度为: r = 0.32 + 0.42 - 0.32×0.42 = 0.606 对照表4数据,可知这属于中等风险。
2.5 基于可拓方法的风险分析[9] 可拓学的研究对象是客观世界中的矛盾问题。研究内容是探讨处理矛盾问题的规律和方法。它的理论基础是物元理论和可拓集合理论。 物元理论--事物变化的可能性,称为物元的可拓性。物元的定义是:事物、特征及事物的特征值三者组成的三元组。记作:
R=(事物,特征,量值)=(N,c,V) 或者R=(N,c,c(N))。如果将特征c及量值V构成二组,则称为特征元。记作:M=(c,V)。 事物在物元理论中指的是事物名称,记作I(N)。特征指的是性质、功能、状态等的事物特点。量值表示特征的量化值或量度。量值的取值范围称为量域。记为V(c),或者V=(a,b),其中a,b为取值范围。
多维物元的表示方法: 其中Ri=(N,ci,Vi),i=1,2,…n。称为R的分物元。 物元理论包括物元模型,发散树,分合链,相关网等[9]。 可拓集合理论--可拓集合主要内容是定量化描述事物的可变性。通过建立关联函数进行运算。定义:距--点与区间的距离。设x为实域(-∞,+∞)上的任一点,X=(a,b)为实域上的区间,
称x与区间X的距。如果x与两个区间X0=(a,b)和X=(c,d)的距离,则称之为位值,有如下关系:
设X0=(a,b)和X=(c,d)X0X。它们之间的关联函数是:
为了说明K(x)的物理意义,举如下例子。一座管式反应器,规定工作温度为350~450℃,低于300℃,反应不完全,产品合格率低,经济损失严重;温度高于600℃,过烧,危险性极大。试求关联函数。 解:X0=(a,b)=(350,450);X=(c,d)=(300,600),根据公式(4)、(5)和(6)进行计算。计算结果列于表1。
从表1数据可以看出:温度在规定范围(350~450℃)内,K(x)值表征了反应器操作运行状况,数值越大越接近期望运行状况,例如在期望运行温度(400℃)时,值呈现最大值;温度低于350℃和高于450℃,意味着远离规定温度范围,无论经济损失或者反应器过烧、濒临破坏的危险性增加,值也随着增加。值相对表征了系统或装置可能产生的风险程度。 综上所述,基于可拓方法的风险分析步骤如下: (1)确定事故N的失效特征元素 设N为可能产生的失效集为I=(I1,I2,…,In)。若其中Ii发生失效,Ii(N),它的特征元集{Mi}={Mij},i=1,2,…,n;j=1,2,…,其中Mij=(Cij,Vij)为特征元。(Vij)=(aij,bij)为Ii(N)发生时规定的量域。Vij=(Cij,dij) 为Ii(N)发生时的极限量域。 (2)建立事物N可能发生失效的物元
(3)建立描述事物N现状的物元
(4)计算关联函数
(5)计算各失效程度
式中,aij为加权系数,表示各物元的相对重要度,一般根据所分析对象的具体情况而定。 (6)确定发生何种失效
可以判断I0(N)。 [例5] 烷烃反应加热炉有关参数设计值为 炉管内压力,MPa(p) 0.4±1 炉管内温度,℃(t) 400±50 介质流量,Kg/h(Q) 60000±2000 热负荷,×107 KJ/h(H) 2.68±0.5 根据生产记录,下列4种不同工况(见表6),反应效果各不相同,其中一类收益最好,二类次之,三类更次,四类最差,属于失效工况。
表6 不同工况类别
主要参数 |
一类 |
二类 |
三类 |
四类 |
炉管内压力,MPa |
0.4~0.46 |
0.45~0.49 |
0.32~0.38 |
0.3~0.34 |
炉管内温度,℃ |
400~420 |
400~430 |
370~410 |
360~375 |
介质流量,Kg/h |
58000~60000 |
58000~60000 |
58800~59100 |
58000~60000 |
热负荷,x107KJ/h |
2.5~2.8 |
2.7~3.0 |
2.2~2.6 |
2.7~3.1 |
试判断下列工况条件下,反应是否正常? 炉管内压力,MPa 0.35 炉管内温度,℃ 330 介质流量,Kg/h 63000 热负荷,×107 KJ/h 3.1 [解]: 1、可能失效的物元(公式(13))
2、特征物元
3、现状物元(公式(14))
4、计算关联函数(公式(15)) 以一类为例: P:X=(0.3,0.5), X0=(0.4,0.46), x=0.38 仿此,得
K1(t) = -1.4 |
K2(p) = -0.467 |
K3(p) = 0 |
K4(p) = -0.333 |
K1(Q) = -1.5 |
K2(t) = -1.4 |
K3(t) = -2.0 |
K4(t) = -3.0 |
K1(H) = -0.789 |
K2(Q) = -1.5 |
K3(Q) = -1.279 |
K4(Q) = -1.5 |
|
K2(H) = -0.556 |
K3(H) = -0.862 |
K4(H) =0 | 5、判断工况类别 根据反应加热炉的特点,设加权系数 a=0.2, b=0.3, c=0.2, d=0.3 按公式(16)
λ(I1) = 0.2×(-0.20)+0.3×(-1.4)+0.2×(-1.5)+0.3×(-0.789) = -0.997 λ(I2) = -0.980 λ(I3) = -1.115 λ(I4) = -1.267 根据公式(17),参阅表5下的说明,
因此,本题指定判断的工况属于第四类,即属于失效工况。 3 风险评价[10]
风险分析的任务一般是失效原因分析、失效的探索和寻求主要影响因素可者对失效后果进行估计。而风险评价则是针对具体危险源发生的概率和可能造成后果的严重程度、性质等进行定量的评价。风险分析重点在于探讨风险问题中的共性问题;而风险评价则是研究风险问题中的个性问题。 作为例子,本文拟对下列风险评价问题进行简要阐述。
3.1长输管道的风险评价 长输管道大体上分为两类:输油管道和输油气管道。一旦出现事故,在同样条件下,输油气管道造成的后果将比输油管道严重,即油气管道的风险性要比输油管道为大。 长输管道风险评价,Muhlbauer提出了风险评分方法[11],它是近年兴起且受到广泛重视的一种方法,是目前最为完善、系统的方法。它按四大类逐一评分。 Ⅰ 管道事故原因分类 (1)第三方破坏--第三方破坏与最小深埋,人在管道附近的活动状况,管道地上设备状况,管道附近有无埋地设施,管道附近居民素质,管道沿线标志是否清楚,沿线巡视频率等有关。第三方破坏在整条管道的风险评价上占有重要位置。根据美国运输管理部统计,美国诸多管道事故中,第三方破坏占40%左右。 (2)腐蚀--腐蚀分管内腐蚀和管外腐蚀。管内腐蚀与介质性质,管内保护层和清管排除杂物有关。管外腐蚀与阴极保护状况,外涂层质量,土壤腐蚀,应力腐蚀,管道附近有无埋设金属物,管道附近磁场、电场情况等有关。 (3)设计方面因素--设计方面因素与钢管选材、安全系数,疲劳因素,水击可能性,水压试验状况,土壤移动状况(滑坡,上凸,下陷,土壤结冰,土壤膨胀)等有关。 (4)操作因素--操作因素分施工误操作、运行误操作和维修误操作等。 Ⅱ 介质危险性评定 介质危险性分为急剧发生的危险和缓慢发生的危险两类。前者如爆炸、火灾、剧毒泄漏等,应根据可燃性、毒性等进行评分。后者如水源污染,潜在致癌物的扩散等。美国环保部门根据介质性质的不同,推荐评分标准见表7[11]。
表7 介质危险性评分
介质名称 |
沸点,℃ |
急剧发生的危险,分 |
缓慢发生的危险,分 |
毒 性 |
可燃性 |
活化性 |
苯 |
80.00 |
2 |
3 |
0 |
8 |
丁二烯 |
-4.40 |
2 |
4 |
2 |
10 |
丁烷 |
-0.56 |
1 |
4 |
0 |
2 |
一氧化碳 |
-192.00 |
2 |
4 |
0 |
2 |
氯 |
|
3 |
0 |
0 |
8 |
乙烷 |
-88.88 |
1 |
4 |
0 |
2 |
乙醇 |
78.30 |
0 |
3 |
0 |
4 |
乙基苯 |
134.00 |
2 |
3 |
0 |
4 |
乙烯 |
-104.00 |
1 |
4 |
2 |
2 |
乙二醇 |
197.00 |
1 |
1 |
0 |
6 |
1#-6#柴油 |
151-301 |
0 |
2 |
0 |
6 |
氢 |
-252.00 |
0 |
4 |
0 |
0 |
硫化氢 |
-60.00 |
3 |
4 |
0 |
6 |
异丁烯 |
-11.60 |
1 |
4 |
0 |
2 |
异戊烷 |
28.00 |
1 |
4 |
0 |
6 |
喷气机燃料B |
|
1 |
4 |
0 |
6 |
喷气机燃料A及A1 |
|
0 |
2 |
0 |
6 |
煤油 |
151-301 |
0 |
2 |
0 |
6 |
甲烷 |
-162.00 |
1 |
4 |
0 |
2 |
矿物油 |
360.00 |
0 |
1 |
0 |
6 |
萘 |
218.00 |
2 |
2 |
0 |
6 |
氮 |
|
0 |
0 |
0 |
0 |
原油 |
|
1 |
3 |
0 |
6 |
丙烷 |
-42.00 |
1 |
4 |
0 |
2 |
丙烯 |
-47.00 |
1 |
4 |
1 |
2 |
甲苯 |
111.00 |
2 |
3 |
0 |
4 |
氯乙烯 |
-14.00 |
2 |
4 |
1 |
10 |
水 |
100.00 |
0 |
0 |
0 |
0 | Ⅲ 泄漏指数计算 泄漏指数由介质的危险性和影响面的大小综合评定。介质危险性按"Ⅱ"求得。影响面的大小视介质为气体、液体、地区、人口分布状况等的不同而不同。表8为气体或强挥发性液体泄漏评分数据。表9为土壤渗透率评分数据。 影响系数=泄漏得分/人中状况得分 泄漏指数=介质危险得分/影响系数 根据美国资料,泄漏指数在0.20~88之间变化[11]。如果发生事故的概率相同,由于后果相差很大,其相对风险性可有88/0.20=440倍差别。
表8 气体或强挥发性液体泄漏评分数据
分子量 |
每10分钟泄漏量公斤数 |
0~2300 |
2300~23700 |
23700~226800 |
>226800 |
大于等于 5028~49 小于等于27 |
4* 5 6 |
3 4 5 |
2 3 4 |
1 2 3 | [*]数字代表评分
表9 土壤渗透率评分数据
土 壤 类 型 |
渗透率,cm·s-1 |
评 分 |
不渗透 粘土、夯实土、无断裂岩石 淤泥、黄土、沙粘土、沙岩 细沙、淤沙、中等断裂岩石 砾石、沙、高断裂岩石 |
0 <10-7 10-5~10-7 10-3~10-5 >10-3 |
5 4 3 2 1 | Ⅳ 相对风险系数的计算 相对风险系=事故原因分数总和/泄漏指数其中事故原因分数总和=第三方破坏分数+腐蚀原因分数+设计原因分析+操作原因分数。 事故原因分数包括四类原因,每类最坏情况分数为零,最好情况为100。 文献[11]所给出的统计数据示如表2。
对管道风险评价结果,一般在[0,2000]范围内,数值越接近2000,表明风险越低。
3.2 化工、石化过程装置的风险评价 对化工、石化工艺过程装置进行风险评价的方法很多,但大多数都是以化学物质对火灾、爆炸、毒物泄漏的敏感性为基准,适当考虑装置的操作方式、工况条件和化学反应的危险性。根据火灾、爆炸的可能性,以及推断的事故发生可能造成的损害程度,确定对付风险的对策[12,13]。 日本高压气体保安协会提出的设备重要度分类法[14],有别于上述方法。它将装置进行分类,按照危险度的不同,给出重要度系数。不仅做到对装置风险的评价,而且据此确定适宜的检查周期,使装置维修管理科学化,加强了计划性。 这种方法将危险性很高的装置与危险性很低的装置,用重要度系数加以区分。将危险度分为四级,按危险性从高到低给以重要度系数为5、3、2、0.5。 在判定装置危险度时,除了考虑介质性质、工况条件(温度、压力)等外,还要考虑装置操作的历史记录和使用环境。由于装置在生产过程中发挥的作用不一,有的是关键装置,有的是辅助装置。为了区分,对它们给以1、2、3、4的乘数。其中乘数数值最大的是对生产过程影响最大的装置。 将重要度系数与乘数相乘,它们的乘积就是风险系数,用以确定装置等级。根据装置等级制订检查、维修方案和防范事故的措施。装置等级列于表3。
[例6] 一台加氢反应器,简体材料为 Cr-1Mo钢,简体内壁衬奥氏体不锈钢衬里层。它的操作参数示如表12。按照文献[14]的准则列出它的重要度系数,乘数和风险系数,并判断重要度级别。 [解]:
表12 加氢反应器重要度分类(材料: Cr -1Mo+奥氏体钢衬里)
项 目 |
内 容 |
重要度系数 |
乘数 |
风险系数 |
介质 |
烃类+H2 |
3 |
1 |
3 |
温度 |
370°~395℃ |
3 |
1 |
3 |
压力 |
8~9MPa |
2 |
1 |
2 |
腐蚀率 |
0.2mm/y |
0.5 |
3 |
1.5 |
回火脆化 |
|
3 |
4 |
12 |
蠕变 |
|
2 |
3 |
6 |
氢脆 |
|
2 |
3 |
6 |
疲劳、热疲劳 |
|
0.5 |
3 |
1.5 |
异钢种焊接脆化 |
筒体衬里异钢种焊接 |
2 |
2 |
4 |
对生产影响 |
|
3 |
4 |
12 |
风险系数累积 |
|
51 |
重要度级别 |
Ⅰ级 |
3.3模糊评价法 在进行风险评价时,如上所述,尽管将有关内容、条款分得很细,做了大最调查研究或试验验证,或者参考了国内外相关资料和历史记载,但具体确定分数时,最终还是人为制定,难免主观性;再者,风险一般都受多因素影响,实际情况较为复杂,用风险系数单一数值表征,很难将其本质全部概括。加之,风险本身是一个模糊语言,也不容易用确定性数据描述清楚。Karwowski[6]和Mital[15]提出用模糊评价法,将风险评价中的模糊语言变量用隶属度函数量化,应用于工程实际取得了成功。 风险评价涉及三方面因素:
暴露 X={xi} 危险可能发生 Y={yi} 后果 Z={zi} 风险 S={si} i=1,2,…,7 各因素的模糊语言变量如果用隶属度函数量化,则有:
暴露 E=VE={μE(xi)} 危险可能发生 L=VL={μL(yi)} 后果 C=VC{μc(zi)} 风险 S=VS{μs (si)} 式中,V代表模糊语言变量;代表隶属度函数。Karwowski和Mital推荐的模糊语言隶属度函数列于表4。
按模糊关系: 式中"O"的意义:如果A,B是X与Y的两个模糊子集,则"AOB"有如下关系 μR(x,y)=min{μA(x),μB(y)} 如果公式(7)因素关系改变,风险也将改变。它们的表达式是: 暴露 E=VE→E'=V'E 危险可能发生 L=VL→L'=V'L 后果 C=VC→C'=V'C 风险 S=(E'ORE)∩(L'ORL)∩(C'ORC) 式中"∩"模糊"交" (8) [例7] 以例6(表12)加氢反应器作为示例。 该加氢反应器制造时未很好地考虑回火脆化问题,运行过程中发现存在回火脆化,并发现由于操作不稳定引起的热疲劳现象,而且十分可能导致氢致开裂。长期在高温下工作,蠕变抗力有所降低。这台设备如果失效将是灾难性的。 倘若使操作保持稳定并将温度严格控制在高限温度以下,试预测这些措施实施后对风险程度的影响。 [解]:根据该反应器已知条件,可以设定: 暴露 E="高"= { 0, 0, 0.1, 0.3, 0.7, 0.9, 1 } 危险可能发生 L="可能"= { 0, 0.1, 0.5, 0.7, 0.9, 1, 1 } 后果 C="很严重"= { 0, 0, 0, 0.1, 0.5, 0.8, 1 } 风险 S="严重"= { 0, 0, 0.1, 0.3, 0.7, 0.9, 1 } 根据模糊关系(公式(21)),暴露与风险、危险可能发生与风险,后果与风险之间的运算,由公式(22)求得
上面这些关系,由于采取措施,均会发生变化。设定 暴露 E="高" "低"= 危险可能发生 L="可能" "不大可能"= 后果 C="很严重" ="小"= 根据公式(23) 风险
对照表13可以看出,经采取措施后,风险值介于"低、小"和"或多或少,有些严重"之间,换言之风险度由原来的"严重"大为降低。
4 风险接受准则 对于风险分析和风险评价的结果,人们往往认为风险越小越好。实际上这是一个错误的概念。减少风险是要付出代价的。无论减少危险发生的概率还是采取防范措施使发生造成的损失降到最小,都要投入资金、技术和劳务。通常的做法是将风险限定在一个合理的、可接受的水平上,根据影响风险的因素,经过优化,寻求最佳的投资方案。"风险与利益间要取得平衡"、"不要接受不必须的风险"、"接受合理的风险"――这些都是风险接受的原则。 制订可接受风险准则,除了考虑人员伤亡、建筑物损坏和财产损失外,环境污染和对人健康潜在危险的影响也是一个重要因素。如美国国家环保局和国际陌生组织颁布的致癌风险评价准则,健康手册,环境评价手册,环境保护的优先排序和策略,空气清洁法的风险管理等[17],都是风险可接受准则制订的依据。 风险可接受准则的表述形式有许多种。系统、装置的安全系数是传统表示方法。除此以外,近年以安全指标(Safety Index ,SI)和失效概率(Pf)进行表述最为普遍。 美国钢结构研究所(AISC)、美国土木工程师学会(ASCE)及美国高速公路和运输公务员协会(AASHTO)规定使用SI值作为风险接受准则。SI是基于应力-强度干涉模型定义的可靠度指标,它与失效概率Pf之间有如下换算关系: Pf=Ф(-SI) 式中,Ф为标准正态累积分布函数。 对于机械结构SI推荐值列于表5。
表中失效类型说明: 第一类失效:塑性失效; 第二类失效:韧性撕裂失效; 第三类失效:脆性断裂失稳。 表中失效后果说明: 不严重:对人员伤害、对环境污染均很小,经济损失也小; 严重:对人员可能伤害、甚至死亡,对环境可能污染,有明显的经济损失; 很严重:很大可能性导致一些人员伤害名死亡,明显的环境污染和巨大经济损失。 至于使用失效概率作为风险接受准则的示例,如: ·国际民用诱空组织(ICAO)规定航空器灾难性失效概率准则为10-5。 ·法国航空工业(FAI): 10-9/hr――灾难性事故。机毁人亡; 10-7/hr――危险事故。由于超载或超应力使安全系数骤降,机组人员无法履行任务而造成严重损坏; 10-5/hr――重大事故。飞机性能明显蜕化、增加机组人员工作负荷,安全系数明显降低。 ·美国联邦航空管理局(FAA)规定10-9作为灾难性事故失效概率准则。 ·加拿大标准协会(CSA)对加拿大水域海上石油规定: 10-5/年――巨大生命损失和高的潜在环境污染; 10-3/年――小的生命风险和低的潜在环境污染。 风险可接受程度对于不同行业,根据系统、装置的具体条件,有着不同的准则。由于风险工程学具有跨学科的特点,学科间新技术相互渗透还存在不少问题。在基础研究、方法和模型的建立,可信度和特殊化学物质数据库的建立等都是目前各国竟相开发的领域。特别值得提及的是风险规范、标准的制订[7],这是大势所趋,无疑地应该引起重视。(全文完)
|