风险管理方法之LOPA
风险管理方法之LOPA
LOPA(保护层分析)是一种半定量的风险分析方法,主要用于评估事故场景的发生频率和保护措施的有效性。本文将详细介绍LOPA的基本概念、工作流程及其在风险管理中的应用。
基本概念
LOPA是Layer of Protection Analysis的简称,即保护层分析。它是一种半定量的风险分析方法,通过计算初始事件的发生概率、保护措施的失效概率以及事故演变过程中的其他因素,来确定事故场景的发生频率,并评估保护措施的力度。如果发现保护力度不足,LOPA还能进一步提出相关保护措施要求。
结合《事故的定义及其防范路径》和奶酪模型,可以更好地理解保护措施的作用:
从危险源的初始事件开始,到最终的事故发生,中间有一个演变过程,在这个过程中,有很多保护措施(即图中带孔的“奶酪片”,奶酪模型名字就是如此得来)能够阻挡事故链条的演变进程。但这些保护措施并不是完美无缺的(即存在“孔”,也即缺陷),当这道保护措施被击穿(也即发生了失效),则事故链条的进程就向前进了一步。
那LOPA到底是做什么的呢?就是来计算从初始事件开始一直到事故发生,整个事故链条发生的频率,并对过程中的保护措施和效力进行评估。
主要参考:GB/T 32857-2016《保护层分析(LOPA)应用指南》和AQ/T 3054-2015《保护层分析(LOPA)方法应用导则》,借助下图介绍一下LOPA相关概念。
事故场景 :从初始事件开始到顶上事件,最终到事故后果,这个事故演变链路叫做事故场景。(该定义和《风险管理方法论之HAZOP》中事故场景的定义相同)
初始事件 :是事故场景最开端的事件,也是事故发生的诱因。通常,初始事件表现为人员操作失误、设备故障等最基本的事件,这些事件的发生频率是相对恒定的,因此初始事件又叫做基本事件。
顶上事件 :由初始事件引起的在风险评估对象/系统上体现出来的异常状态。
事故后果 :是事故场景最终的体现,通常表现为人员伤亡、财产损失、环境污染等人们不情愿发生的事情。
保护层 :能够阻挡事故链条演变进程的的措施,包括硬件、软件、管理,以及它们的组合,保护层又叫保护措施;
独立保护层 :能够阻断事故链条演变进程的的措施,并且这些措施不受其他措施的影响(所以叫独立保护层);
从保护效力的角度来看,有些保护措施是预防性的,有些保护措施是缓解性的,因此可以进一步划分为预防性保护措施和缓解性保护措施。
使能条件 :在部分情况下,初始事件需要在一定的前提条件存在的情况下才能促成顶上事件,这个前提条件叫做使能事件。
条件修正 :初始事件发生后,其走向并不一定会指向事故,在向事故演变的过程中需要具备一定的条件耦合或者约束,这些耦合因素和约束叫做条件修正。
可容许风险 :风险是客观存在的,受于技术条件及经济成本约束,人们并不追求风险最低化,而是将风险控制在可接受的水平范围,即可容许风险。针对某一具体的事故场景而言,可容许风险表现为事故的发生频率控制在低于某个数值。
ALARP原则 :as low as reasonably practicable,尽可能合理降低,在技术和经济条件允许的情况下,要尽可能地降低风险。
工作流程
AQ/T3054-2015《保护层分析(LOPA)方法应用导则》中,对LOPA的工作流程描述如下:
以冬季供暖天然气管道泄漏爆炸伤人这一事故为例,来说明LOPA的工作流程:
首先,在这个事故中,天然气泄漏可以作为顶上事件,那么造成泄漏的原因有很多,也即有多个初始事件;后果是爆炸造成了人员伤亡。
至于中间演变过程,则存在很多变量。以阀门冻坏作为初始事件为例,这里面隐藏着一个前提条件,冬季,也就是使能事件;阀门冻坏了导致天然气泄漏,但漏了不一定会起火,需要有点火源(点火概率)存在;起火不一定会炸,需要浓度处于爆炸极限范围;炸了不一定会伤及人员,需要爆炸影响范围内有人员存在(暴露频率);炸到人了不一定会导致死亡,和人员的体质有关系(受伤和致死率)。这些因素都会影响到最终的事故后果。
以初始事件为起点,中间包括使能事件、条件修正和独立保护层失效,一直到终点事故,终点事故的发生频率是前述起点和过程中各要素频率连乘的乘积。拿这个事故频率和可容许风险做比较,如果 事故频率≤可容许风险,则代表事故风险处于可接受范围,反之则说明事故风险处于不可接受范围,需要进一步采取风险控制措施。
这些框框里面的每一条,都是独立保护层,从里到外一层一层的像洋葱一样,所以叫洋葱模型。
1、越靠内层的保护层,更接近本质安全,也即从源头控制;
2、从内向外,各保护层在事故演变进程中起作用的时间也不同,由主动预防逐渐过渡到被动缓解防护。
3、由于技术、经济及客观物理条件限制,即使缓解类保护措施的作用时机更靠后,但仍是必要存在的,也即风险控制需要由预防性保护措施和缓解性保护措施协同完成。
那么,如果计算发现事故频率超出可容许风险水平,从而需要进一步采取风险控制措施时,怎么做?
对照洋葱模型,考察现有的保护措施都属于什么类型,在什么位置。由内向外,进一步挖掘每一类保护层上可以采用的具体的保护措施。根据ALARP原则,制定可以进一步实施的保护措施,最终保障事故发生频率处于可接受水平范围。
应用特点
由LOPA的功能可知,LOPA是对具体的风险场景进行半定量分析,也即LOPA需要以风险辨识的成果为工作基础。在流程工业的工程实践中,LOPA通常以HAZOP为基础。(当然,LOPA也可以独立进行,但不适合系统性的风险分析)
LOPA属于半定量风险分析,在实践中,初始事件发生频率、使能事件、条件修正以及独立保护层失效概率,这些要素的取值是在一个范围,不同分析人员的取值倾向不同。因此会出现,针对同一个事故场景,不同分析人员得出的分析结论差别很大的情况。
在流程工业的实践当中,经典LOPA并没有考虑到信息网络安全方面的影响。信息网络安全因素,在事故演变链条中至少可涉及到初始事件和独立保护层。随着智能制造和工业互联网的发展,信息网络安全对传统生产安全的影响越来越明显,并且业内已经发生过诸多信息网络安全影响安全生产的事故。
如果说HAZOP是构建了一种风险思维逻辑框架体系,LOPA则是构建了一套风险控制策略体系。
总结
- LOPA是一种半定量的风险分析方法,主要用于评估事故场景的发生频率和保护措施的有效性;
- 不同的保护措施在防护效力和作用时机上是不同的,具体的选用策略可以依照ALARP原则;
- 每一个保护措施都存在失效的可能性,因此需要构建一套风险管控体系,由各类保护措施协同控制风险,也即风险控制的系统性是非常有必要的。所以,毕其功于一役或者鸡蛋放在同一个篮子这种想法是不可取的。