五千年(敝帚自珍)

主题:【原创】现代工业安全生产管理点滴谈(上) -- 晨枫

共:💬15 🌺56
全看分页树展 · 主题 跟帖
家园 【原创】现代工业安全生产管理点滴谈(中)

对于比较小而简单的任务,前面有些步骤可能省略或合并,特别简单但只有中等重要程度的工作可能比更重要但非常复杂的工作先作,但有一件事是永远不能省略或合并的,那就是风险评估,这是MOC中最重要的一步。即使从法律角度来说,万一出了事故,追查责任的时候,也有证明表明已经尽到努力(due diligence),而没有玩忽职守。现在什么事都动不动打一场官司,这还是很重要的。即使现在没有近在眼前的危险,秋后算账的可能性肯定存在,寄希望于“法不责众”作为日后的麻烦的开脱是非常不可靠的。

风险评估有两方面,一是产品对用户的安全风险,包括环境保护要求。这主要包括各种行业和公司内部标准和产品测试。FAA的适航性规范、DOT的车辆安全标准、ISO/ASA/CAS/JSA/TUV/IEC/IEEE等各种标准组织的标准及认证方法,都是管这个的。这些标准的制订、修订和认证有一个严格得繁琐的过程,目的就是要确保产品对用户和环境的安全。以双发民航客机的ETOPS为例,ETOPS意为Extended-range Twin-engine Operational Performance Standards,意指在空中单发停车后,靠剩下的单发能够继续维持安全飞行和着陆的时间。ETOPS决定了双发客机的越洋航线,因为这些飞机必须在离备降机场不超过制订飞行时间内的走廊飞行。40年代时,FAA指定ETOPS60,所有双发飞机的航线不得远离备降机场60分钟以上。到了波音767年代,在足够的发动机可靠性数据金额双发飞机安全运营数据的支持下,标准放宽到ETOPS120。波音777的航程进一步超过波音767,只有进一步放宽ETOPS才能发挥其经济性。除了新的发动机可靠性数据外,FAA规定,只有在按ETOPS120运行一年以上没有问题后,才可以申请ETOPS180。认证过程过程包括飞机满载情况下,在海上实际关闭一台发动机,在规定时间内,飞机不光要安全稳定,也不能对飞行员有过分的补偿要求。除了对飞机本身认证外(称为type certification),对航空公司和机组乘员的训练、机修保障、技术支援也要认证,这称为operational certification。只有两个认证都齐全了,才能飞认证的ETOPS等级。这些标准不是绝对不可以违反的,但对于每一个这样的特例(exception),一定要有详细的试验和说明,证明这样的违反不会造成对安全或环境的损害,并且明确告知用户。必要的时候,需要由发布标准的当局对这样的特例开具“个案处理”认证。波音777就获得了FAA的特许,不需要先运行一年ETOPS120,而可以直接按ETOPS180认证。不过欧洲的EASA(过去陈JAA)还是不理这个茬,所有在欧洲飞行的波音777照样要一年ETOPS120后才能申请ETOPS180。

第二个就是对生产过程的安全和生产设施的环境的风险评估。公司内部都有安全标准,这是结合行业标准和公司实际制订的,对工程设计和施工作具体的规范。公司标准一般比行业标准更严格,至少不能低于行业标准。对标准的实施,主要靠各种风险评估方法。“危害和操作性分析”(Hazard and Operability Analysis,简称HAZOP)是一个常用的方法。HAZOP把整个生产装置细分到每一件设备、每一段管道,对这一段里按more、less、no、different来分析,more可以使压力更高,流量更大,温度更高,等等,less也是一样。No可以是less的一个特例,也可以不是,比如压力低和抽真空就不是一回事。Different指这一段管道或设备里进入不是本来设计所针对的物料,比如催化剂和原料单体跑窜了的情况。HAZOP对每一件设备、每一段管道的所有情况按部就班地分析,提出出现意外时的解决办法(risk mitigation),直到确认风险已经是可以接受的地步。一般情况下,“那就没有办法啦”是不可接受的。不过HAZOP只考虑“单一危险”情况,而不考虑“双重危险”(double jeopardy),也就是说,对于ETOPS的情况,只考虑一台发动机熄火的情况,而不是一台发动机熄火、而且液压系统失灵,或者两台发动机同时熄火。对于特别危险的过程,有时就必须考虑“双重危险”的情况,这样HAZOP的工作量剧增。

对于不太复杂的小任务,可以用简化的SQRA(Simplified Qualitative Risk Analysis),先问问题,“要是……”,然后分析后果,接着是出现的可能性,比如每年至少出现一次,或1000年才可能出现一次,等等,还有就是严重性,比如出次品,或者会出现人员伤亡,等等,最后提出解决办法,和实施解决办法后的剩余风险。如果风险足够小,就接着分析下一个情况;如果风险没有办法降到低的可以忽略不计的地步,就要上峰拍板,承担领导责任。

HAZOP太兴师动众,一般只有新设施或重大改造才用。日常的小改小动,用SQRA比较合适,这包括机械、管路、控制系统硬件、软件、SOP和SOC的修改等等。

控制系统对现代过程越来越重要,控制系统的可靠性不再能靠“毛估估”过关。Safety Integrity Level Analysis(SIL)就是专门用来设定控制系统所需要的可靠性的。SIL有三个等级,按发生的机率和严重性来界定。SIL 1是通常的等级,容许采用“普通”等级的系统,但控制回路和安全连锁贿赂仍然必须相互独立,不能公用传感器,以防止“一损俱损”。SIL 2属于关键系统,必须有专门的安全连锁系统,通常必须有全线冗余系统,甚至不光是双重冗余,还要三重冗余。所有设备必须和SIL 2的等级相符,系统结构和参数的修改需要通过严格的步骤。SIL 3就是核电站、民航客机的级别,已经超过一般工业安全等级了,没有涉及过,想来应该更严格,HAZOP也必须考虑双重甚至三重危险的情况 。核电站控制系统、民航飞机控制系统常用古董级的8088、80186、M68020等芯片(Eurofighter Typhon的飞行控制系统就是4片M68020),原因就在于这些可靠性要求特别严格的应用场合,系统地认证非常花时间和金钱,如果使用要求没有改变,一般不会因为元件过时而轻易升级,由特别的芯片试制工厂按实验室规模小批生产也比重新认证划得来。

新建设施除了HAZOP,还要对所有设备和管路作SIL分析,所有控制系统的仪表和软件都根据相应的SIL要求指定。改建、扩建时,SIL按需要重做。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河