關(guān)于風(fēng)險降低因子與要求時平均失效概率關(guān)系的探討

徐志杰，宋占兵

(1. Kenexis咨詢公司,天津 300270；2. 中國安全生產(chǎn)科學(xué)研究院，北京 100029)

術(shù)語“風(fēng)險降低因子(RRF)”在與功能安全和安全儀表系統(tǒng)相關(guān)的討論中極為常見。大多數(shù)功能安全從業(yè)者認(rèn)為RRF=1/PFDavg，其中，PFDavg是安全儀表功能的要求時平均失效概率。換句話講，RRF是安全措施失效概率的倒數(shù)，盡管大多數(shù)人如此認(rèn)為，但并非完全準(zhǔn)確。事實上，上述公式僅在狹義且特定的情況下才成立。

1 RRF的具體內(nèi)涵

除了特定公式之外，RRF還通常被用作定義安全儀表功能的性能指標(biāo)，旨在表示安全儀表功能降低危險事件發(fā)生頻率的程度，因此，應(yīng)該考慮更為廣泛的針對RRF的解釋。從最為普通的意義上講，RRF是指某一種情形與其他情形相比較時風(fēng)險降低的次數(shù)，即一種情形是基準(zhǔn)風(fēng)險水平，另一種情形是對改變風(fēng)險狀況的某種修正，計算公式如式(1)所示：

RRF=風(fēng)險(基準(zhǔn))/風(fēng)險(修正)

(1)

在安全措施完全為預(yù)防性的情況下，這意味著如果安全措施被成功執(zhí)行，后果便不會發(fā)生，那么“修正后情形”的RRF(即，在增加安全措施之后)勢必等于安全措施PFDavg的倒數(shù)。該結(jié)果可以從風(fēng)險降低的一般定義當(dāng)中得出，這是因為修正后的風(fēng)險等于基準(zhǔn)風(fēng)險乘以安全措施的PFDavg。計算公式如式(2)所示：

風(fēng)險(修正)=風(fēng)險(基準(zhǔn))×
PFDavg(預(yù)防性安全措施)

(2)

如果將式(2)回代入式(1)，可以得出如式(3)的結(jié)果：

RRF=風(fēng)險(基準(zhǔn))/[風(fēng)險(基準(zhǔn))×
PFDavg(預(yù)防性安全措施)]

(3)

此時，如果將式(3)的分子和分母同時除以風(fēng)險(基準(zhǔn))，則可以得出RRF=1/PFDavg所針對的特定情形對應(yīng)的結(jié)果。

2 不同安全措施失效后對風(fēng)險狀況的影響

盡管公式RRF=1/PFDavg很常見，但事實上它只是RRF的一種特殊情形。在某些情況下，RRF實際上并不一定等于安全措施的PFDavg的倒數(shù)。例如，減緩性安全措施的情況便是如此，并且還有可能包括如下情形： 即安全措施的失效會以不同的方式影響風(fēng)險狀況，并非只是無法防止后果發(fā)生的可能性這么簡單。如果將安全措施的組成部分用作基本過程控制，其失效便會引發(fā)后果，如此一來，該組成部分就會對安全措施的PFDavg產(chǎn)生貢獻，但同時也會對基準(zhǔn)風(fēng)險產(chǎn)生影響。這種情況帶來的結(jié)果是，安全措施的PFDavg與基準(zhǔn)風(fēng)險無法相互分離，這就使得式(2)與式(3)所示的簡化變得毫無意義。

3 安全措施類別對RRF貢獻的應(yīng)用示例

為更好地理解上述理論和概念，通過以下案例作為參考： 如果機泵的出口閥門沒有關(guān)閉，則該機泵有可能會發(fā)生密封失效并引發(fā)火災(zāi)。

若機泵發(fā)生火災(zāi)會造成100萬元人民幣的財產(chǎn)損失，閥門失效的發(fā)生頻率為每10年1次(即，1/10=0.1)，且因機泵密封失效而泄漏物料的點火概率為0.3，則該風(fēng)險計算如式(4)所示：

風(fēng)險=后果×頻率

(4)

后果(基準(zhǔn))=1 000 000元(每起火災(zāi))

頻率(基準(zhǔn))=0.1×0.3=0.03(火災(zāi)次數(shù)/年)

風(fēng)險(基準(zhǔn))=1 000 000 ×0.03=30 000(元/年)

若通過增加預(yù)防性的安全措施來改變該種情形的風(fēng)險狀況，則只有當(dāng)該預(yù)防性的安全措施在機泵密封失效之前檢測出機泵出口流量中斷并關(guān)停機泵，才可以完全避免上述后果的發(fā)生，從而將風(fēng)險降低。RRF的計算方法是： 首先計算應(yīng)用安全措施之后的風(fēng)險，然后再計算安全措施應(yīng)用前后的風(fēng)險比率。假設(shè)安全措施的PFDavg為0.1，則計算過程如下：

后果(修正)=1 000 000元(每起火災(zāi))

(即，安全措施未能改變后果)

頻率(修正)=頻率(基準(zhǔn))×PFDavg(安全措施)

頻率(修正)=0.03(火災(zāi)次數(shù)/年)× 0.1=

0.003(火災(zāi)次數(shù)/年)

風(fēng)險(修正)=1 000 000 × 0.003=3 000(元/年)

因此，可以通過將風(fēng)險(基準(zhǔn))除以風(fēng)險(修正)來計算一般意義上的RRF：

RRF=風(fēng)險(基準(zhǔn))/風(fēng)險(修正)=

30 000/3 000=10

因此，通過應(yīng)用PFDavg為0.1的預(yù)防性且獨立的安全措施得出的RRF為10，結(jié)果與通過公式RRF=1/PFDavg計算的值相同。然而，這種計算方法并不一定始終正確。筆者以采用減緩性措施而非預(yù)防性停車措施的情形為例，如果不是關(guān)停機泵而是在現(xiàn)場選擇安裝火災(zāi)探測器和雨淋系統(tǒng)來撲滅任意檢測到的火災(zāi)，在這種情況下，若火災(zāi)探測器和雨淋系統(tǒng)無法正常動作(假定PFDavg為0.1)，且財產(chǎn)損失為100萬元人民幣的后果仍保持不變，即使火災(zāi)探測器和雨淋系統(tǒng)均能夠正常動作，在從火災(zāi)開始到其熄滅的這段時間里，火災(zāi)仍有可能導(dǎo)致較小的后果出現(xiàn)。

4 安全措施降低風(fēng)險的程度對RRF的影響

假設(shè)減緩后的后果為5萬元人民幣且主要用于清理和修復(fù)較小火災(zāi)造成的輕微損壞，對于上述第二種情形，風(fēng)險(基準(zhǔn))將保持不變，即3萬元/年人民幣。修正后的風(fēng)險計算起來有些復(fù)雜，這是因為無論安全措施有效與否，均會導(dǎo)致后果發(fā)生。若要計算風(fēng)險，則需要將安全措施失效時的風(fēng)險與安全措施成功時的風(fēng)險相加。具體計算過程如下所示：

風(fēng)險(修正后安全措施失效)=后果(未減

緩)×頻率(安全措施失效)

風(fēng)險(修正后安全措施成功)=后果(減緩

后)×頻率(安全措施成功)

將上文示例中的風(fēng)險數(shù)值代入之后得到：

風(fēng)險(修正后安全措施失效)=1 000 000×

(0.1×0.3×0.1)=3 000(元/年)

風(fēng)險(修正后安全措施成功)=50 000×

(0.1×0.3×0.9)=1 350(元/年)

此時，導(dǎo)致的總體風(fēng)險計算如下：

風(fēng)險(修正后)=3 000 +1 350=4 350(元/年)

此時計算RRF，結(jié)果為 30 000/4 350=6.9。由此可見，實際得到的RRF=6.9并不是應(yīng)用了安全措施的PFDavg=10的倒數(shù)，這是因為安全措施并不能降低所有風(fēng)險，而只是降低了部分風(fēng)險所致。

5 安全措施與發(fā)生頻率對RRF的影響

上例的計算結(jié)果表明，實際的RRF并非PFDavg的倒數(shù)。筆者以另一個RRF的推導(dǎo)公式(也作為一般形式的特例)為例，可以將其應(yīng)用于如下情形： 即基準(zhǔn)事件和修正后的事件可以有所不同，但后果卻保持不變，這種特殊情況下的公式只適用于完全預(yù)防性的安全措施。從式(1)RRF的一般形式開始可以對式(4)所示的風(fēng)險進行擴展，具體過程如下：

RRF=后果(基準(zhǔn))×頻率(基準(zhǔn))/[后果(修正)×頻率(修正)]

對于預(yù)防性的安全措施而言，事件的后果并非由安全措施修正，而僅由發(fā)生頻率進行修正，這就意味著基準(zhǔn)后果與修正后的后果是相同的。由于它們相同，因此可以將分子和分母同時除以后果，最終得出新的定義RRF的公式(5)如下：

RRF=頻率(基準(zhǔn))/頻率(修正)

(5)

如果使用式(5)來計算第一個示例中的RRF，其中使用預(yù)防性的安全儀表功能來防止機泵密封失效和火災(zāi)，則RRF的計算過程如下：

頻率(基準(zhǔn))=0.1×0.3=0.03(火災(zāi)次數(shù)/年)

頻率(修正)=0.03×0.1=0.003(火災(zāi)次數(shù)/年)

RRF=0.03/0.003=10

正如預(yù)期的那樣，在該種情況下，式(5)與其他公式完全一致，它能夠準(zhǔn)確地計算RRF。式(5)之所以可用，原因是當(dāng)無法通過對安全措施的PFDavg取倒數(shù)計算RRF的時候，其仍可以有效地計算風(fēng)險降低。綜上所述，只有當(dāng)安全措施完全獨立于發(fā)生頻率其他方面的時候，對安全措施的PFDavg取倒數(shù)才是適宜的。

6 初始原因獨立性對RRF的影響

再次以機泵出口堵塞的工況為例，如果機泵的出口閥門是流量控制回路的一部分，則該流量控制回路失效將會導(dǎo)致危險情況的發(fā)生。如果選擇使用該控制回路的流量變送器作為安全儀表功能的傳感器，且該安全儀表功能可以停止機泵的運轉(zhuǎn)，則會形成一種與危險事件初始原因相關(guān)的安全措施。由于變送器并不獨立，因此不能將初始事件的頻率乘以安全措施的PFDavg來計算事件頻率。只有當(dāng)邏輯控制器或閥門子系統(tǒng)成為控制回路失效(作為初始原因)的原因時，安全措施的PFDavg才是正確的。如果傳感器失效作為初始事件的原因，則安全儀表功能便不能提供保護。如此一來，這種配置所提供的風(fēng)險降低就不是安全儀表功能PFDavg的倒數(shù)，在該種情況下，只能采用能夠說明該傳感器既是初始原因又是安全措施這一既定事實的故障樹來計算頻率。只有獲取了實施安全措施之前和之后的頻率，才可以利用式(5)來確定實際提供的風(fēng)險降低量。

7 結(jié)束語

對于PFDavg與RRF之間的關(guān)系，當(dāng)前多數(shù)人的主流觀點認(rèn)為二者只是簡單的數(shù)學(xué)倒數(shù)關(guān)系。事實上，盡管這種關(guān)系較為常見，但這只是二者關(guān)系的一種特殊形式而已。在計算RRF的過程中，應(yīng)該秉承具體情況具體分析的原則，依據(jù)所實施的安全措施為預(yù)防性安全措施或減緩性安全措施來識別并確定修正后的風(fēng)險頻率及后果，然后再基于基準(zhǔn)的頻率與后果計算得出實際的RRF。按該實踐做法計算出的RRF更加貼近實際且結(jié)果更加準(zhǔn)確，在現(xiàn)實當(dāng)中更具實用意義。