HAZOP陷阱之一：遗漏

  作为HAZOP支持人或参与人应该都有这样的问题：我们做的分析到底完全吗？怎么判断没有遗漏？虽然HAZOP是一个业内一致认可的识别工艺危害的好方法，它值得称赞的两个特点1）分析的系统性如具体到P&ID图上的每根管道和每个设备，采用引导词结合工艺参数讨论所有偏离；2）集众智慧的脑筋激荡包括了各个领域的专家SME，我们在普遍过于乐观的感觉中还是留下了一些心结。我们就来探讨一下这个遗漏的问题。

遗漏是个问题吗？如果工艺危害没有被识别出来，那这个分析的结果就和我们的HAZOP根本目的背道而驰，那当然是个问题，而且伴随未识别危害的风险大小体现了分析质量缺陷的大小。如果说遗漏的危害属于“可操作性”(Operability) 危害，或者是一般职业危害，也许企业是可以容忍的（参见企业的风险矩阵图），毕竟HAZOP主要是识别工艺安全危害。

既然HAZOP的特点就是要避免分析的遗漏，那这个缺陷是怎样发生的？以下我来和大家探讨其中的4大系统原因，不涉及范围交界面，节点划分，引发事件描述，偏离和保护措施等的技术原因。

1）工艺安全信息不完整或难以消化理解

我们常说“你没有意识到你的不懂(You don’t know what you don’t know)“ 表达了类似的情形。我们危害分析所依赖的工艺反应机理，反应热力学数据缺失，可能导致失控危害未被识别，从而必要的保护措施设计未实现。物料相容性数据缺失，可能导致材质选用危害未识别或物料意外混合，交叉污染带来的安全问题未被识别。物料的安全数据单（MSDS）信息不全，无数据并不代表无危害。如不同来源的MSDS或研究数据提出某个固体粉料的爆炸性质不一致，我们是否倾向于采用乐观的数据？一些关键信息隐藏在庞大的数据库中不被注意。另外成套设备（Vendor Package）的规格信息在HAZOP分析时尚未确定也会导致该P&ID虚线框内范围无法完整分析。

2）分析会议的时间不足

企业的任何商业活动都带有时间和资源成本，HAZOP会议涉及团队时间，因此资源的计划不可避免。然而HAZOP会议时间的预算能准确吗？这里的不确定性因素包括工艺的复杂程度，P&ID图纸量和密集程度，团队的经验和对分析方法的熟悉程度，团队成员的参与重视，支持人的经验，使用的语言等等。过于乐观的预算（不足）可能导致团队和主持人出现时间压力，这样往往会在分析问题提出后没有给团队足够的时间思考和讨论。

3）分析会议讨论模式单调

HAZOP是个系统性的方法，它的力争完整的优点同时也存在着不可避免的障碍。连续2周以上的脑筋激荡，翻来覆去的问题，除了主持人以外，其他团队成员不感到乏味几乎不可能。当团队疲劳时积极的思维下降，一些引发危害的原因可能被忽略，或者危害的严重后果被低估，从而导致重要的工艺危害未被识别。

4）分析团队的“乐观”主义

安全分析的基本原则是不乐观估计危害，无论是发生的可能性还是严重度。HAZOP是个定性方法，危害的定级依赖团队的判断，人们往往被过去的亲身经验主导而判断，更甚于逻辑思维，典型的例子是“几十年没遇到即不可能”（亚里斯多德的黑天鹅观点）。如果团队的每个人或是某个比较强势的成员坚持过于“乐观”的判断，如果加上主持人不善于引导和坚持原则，一些重大危害可能被低估。

造成遗漏的其他因素，涉及范围交界面不清，节点划分不合理，引发事件描述不清，后果轻判，同类参照不当，偏离类型不全，保护措施有效性误判，设备故障类型不明等的技术原因将另文综述。

企业如何避免HAZOP分析的遗漏？

总体来说，提高相关人员的重视和理解分析方法是关键。重视是对安全事业的支持，理解和掌握方法是对资源的充分运用。相关人员不仅仅是HAZOP分析团队，也包括项目经理，工厂经理和相关资源的管理者。

首先，针对工艺安全信息不完整的原因。企业在工艺开发的阶段应充分重视安全信息的搜集，存在缺失和不一致的地方要进一步研究，必要时进行安全测试，如反应绝热测试，RC1, DSC，ARC等；物料的相容性测试（MixingCalorimetry），粉尘爆炸测试，等等。工艺开发人员和工艺安全人员要能对结果解读并存档，传递到HAZOP会议供讨论相关的引发原因和结果。如果信息过于庞大复杂，可以专门与HAZOP成员开会沟通理解。当我们进行选址布局分析和人为因素分析时，项目可能还未达到详细的布局和管道设计阶段，可以建议在设计信息初步形成时再补充这个部分。同理适用于成套设备部分。

分析时间的预算要充分考虑各种影响因素，如工艺的复杂或行业、企业创新性，P&ID图纸的复杂程度，团队成员专家的资源；甚至是多国团队的语言问题，是否需要翻译等等。保持15%的弹性有利于预算的编制。这里要特别指出在有限的会议时间里，要非常充分的讨论是难于做到的；有时人在独自思考时更有深度和细致。值得推荐的是团队成员可以充分利用准备时间和会议的间隔。主持人对分析工艺要事先准备节点划分，确定工艺安全信息尽可能充足，提醒项目经理或业主不充足的信息带来的弊端。企业也应鼓励团队成员事先准备可能的问题，并有相关专家的后台支持。主持人可以提醒团队在每个节点讨论结束时简要总结，留一两分钟让所有成员补充；提醒在会议的间歇时间，特别是夜晚休息时间有机会思考白天的讨论，看看有无遗漏，也可以在第二天早上补充。作者注：事实上，主持人在分析会议期间每天的工作时间要远超过8小时。

团队的参与热情，敬业无疑是克服HAZOP单调的重要保证。系统特性带来的缺陷难于避免，我们能如何最大程度降低它的负面影响？企业和分析主持人要充分考虑过长的会议时间带来的负面影响，通常分析会议每天不超过8小时，一次连续HAZOP安排不超过2周。当中间隔1到2周对团队成员的休整，其他事物处理和开展阶段性建议项行动准备是必要的。另外，主持人也要考虑讨论的重点原则，小危害小讨论，大危害大讨论以合理分配资源。一些无法达成一致意见的，可以把问题暂时放在“停车库”(Parking Lot)，让大家会后思考或咨询内部专家，再在合适的间隙讨论达成一致意见。避免小危害大讨论或过多地讨论设计修改是主持人要做到的引导手段。

“乐观”主义往往表现在会议中对所有的危害都不认同，或是认为不可能出错，或是不可能会有严重后果，或是对某个保护措施的有效性加以过度的可信度。这类人可能对HAZOP的方法不理解或抱有成见或是其他个人原因，并不是因为与工艺设计有直接的负责关系，一个支持HAZOP的工艺设计师是有责任感和自信的。这类人如果成为讨论的主导者将是对HAZOP结果的严重损害。项目经理或企业要有足够的重视，在HAZOP会议之前确保每个成员已经得到相应的培训，能够理解其必要性和认同方法，不宜安排有抵触情绪的成员参与会议。主持人在会议中频繁发现此类状况提醒无效后可以向项目经理或企业汇报，及时避免有害情绪对分析会议的影响。这个原则因该在HAZOP会议前和项目经理或企业能达成一致意见。所谓“保守”主义，并不会对项目或企业带来伤害，团队不确定的重大危害可以通过进一步的量化分析来确定，上面提到的暂时搁置于“停车库”也是对保守意见的保留，每个成员包括主持人的保守意见必需得到后续的讨论。企业也可以建立HAZOP标准，制定判定危害的规则，减少争议。例如某公司的HAZOP技术指南要求主持人只提问发生失误频率而不是问是否可能发生。另外对于新技术，企业可以考虑聘请熟悉该技术的工艺或安全专家提供指导，搜集行业内类似工艺的事故案例，以摒弃“没遇到即认为不可能”的悖论。

过于保守的情况不多见，通常这种观念可以用可靠的工艺安全信息，描述清晰的风险矩阵图，权威的HAZOP指南(如危害判断标准，引发事件和保护层失效频率概率标准)和必要的量化分析来克服。

总之，HAZOP方法容易给人带来过于自信分析彻底的假象。如上所述，遗漏是存在的客观现实，把遗漏导致的事故统统归罪于HAZOP主持人或团队的失职也是不公平的。但是要理解HAZOP不是唯一的工艺安全风险识别手段，它也不是一次性的完美的行动。它的报告是不断完善的文档，小危害的遗漏是可以容忍的，这些小漏洞可以通过其他方法弥补。这也是基于风险的工艺安全管理的理念。举例来说，对于可操作性的危害导致工艺危害，在HAZOP后续行动试车前安全检查（PSSR）阶段，可以通过3D模型和现场的检查识别关键设备和阀门的操作问题；一些与本质安全相关的危害可以在HAZOP之前的HAZID识别，和安全距离相关的危害可在量化的后果分析（CA），量化的选址布局分析（FacilitySiting）及QRA进一步识别；在定期HAZOP回顾（Revalidation）中改善补充。当然，根据事故后的根本原因分析（RCA）对HAZOP报告的补充也是必要的。HAZOP也是迄今为止全世界的流程工业认可的过程危害识别最好的方法之一。