欧洲的过程安全管理起源很早,始于英国的Flixborough爆炸,该事故到现在依旧是变更管理(MOC)方面的典型案例。
在那次爆炸之后,由ICI公司工程部门在上世纪70年代提出的HAZOP(危险与可操作性分析)方法逐步成为化工行业进行风险识别的主流方法,通过对整个工厂的因果分析来确定新的或已有的工程方案、设备操作和功能实现过程中的危险。
历经几十年的实践应用和发展完善,HAZOP方法以其系统、科学的突出优势,在工艺危险识别领域独占鳌头,在工业发达国家得以广泛应用。
欧洲政府真正开始关注化工安全,除了来自博帕尔事故的冲击,更深的感受来自一个意大利的小镇——塞维索。这里在1976年发生了严重的二噁英泄漏,导致了大面积的厂区外影响。虽然事故没有人员伤亡,企业在这起事故中也没有受到太大的直接财产损失,但是由于早期应急不当,造成的外部环境影响极其严重,至今受影响区域的致癌率依旧高于周边。
由此次事故促成的欧盟立法逻辑简单直接:防止重大事故(塞维索指令I, II, III)。这套指令简单明了,那就是“找出可能造成重大事故的危险源” “确定可以有效控制该危险源的管理措施”,以及“为这一危险源单独制定有效的应急预案” 这样明确的三步。这套指令在欧盟通过,并逐步在各国形成了满足欧盟标准的国家法律。这里就有中国熟悉的”COMAH“(Control of Major Accident Hazards)(重大事故防止法案)。
以上三步说来容易,但是具体执行起来,其逻辑就和美国OSHA的方法有很大的不同了。具体体现在两个方面:“主体责任”和“基于风险”。
首先,塞维索强调的基本逻辑是:如果有一个危险源存在,那么危险源所在的企业应该比别的任何人都更了解如何管理它;如果不了解,那就去找外部的专家把它搞清楚。对于危险源的危险程度、管理责任、管理方法、管理措施都完全归于企业,这是权利和责任一体的“主体责任”。
其次,基于风险,欧洲的风险评估讲究的是:找出重大危险源失效的可能危害情形,并且基于该情形进行定量风险评估(QRA)。对于危害情形的强调,存在于欧洲过程安全管控的方方面面。塞维索指令在开始之初就给出了关注的化学品种类和数量阈值,集中关注于有毒、可燃的危险化学品,关注有一定存量的设施和装置,基于种类和量将危险源分为“重大” (Upper Tier)和“一般”(Lower Tier);对于高低两级不同的危险源有不同的管理要求。
对于“重大”危险源,要求提供从后果模拟、技术设计、防护措施(硬件&软件)、管理措施、应急措施和审核措施全方位的详细描述,以证明该危险源的风险可控。
而对于“一般”危险源,要求则要简单很多。塞维索指令经历了两次升级,总体来看,管辖的范围在扩大,划分也变得更为科学,对于“重大”危险源管理措施中需要涵盖的范围也更加具体。
那么,政府如何监督企业是否执行“基于风险”和“主体责任”呢?
抓手就是审批和检查。
对于所有的“重大”危险源,企业需要证明自己对于危险源是完整了解、设计充分且控制良好的。如何证明?请提供完整的风险评估报告给政府审批,在这份报告中需要列举该危险源所有可能的事故模式;对列举的事故进行后果模拟确认影响范围,列举所有可能事故的防护措施,以确认该重大危险源得到了良好的设计;证明所有的风险在接受范围(基于风险计算);并为可能发生的事故,基于后果模拟的结果制定单独的应急处置预案。这份专门针对“重大”危险源的报告叫“Safe Case”,从内容上看应该翻译为:危险源安全情形评估报告。
企业需要在开车调试之前的一定时期向政府提供每个“重大”危险源的“Safe Case”,通过审核之后才可以正式开车。这份报告的应用不仅仅是用于工厂建设调试期间,在工厂运营阶段,企业每一年或者两年会面临政府的检查,所有的政府检查都基于核查该报告中设计的防护措施是否落实。
举例来说:如果报告中记录了这个危险源有一个联锁,那么就需要去检查联锁的硬件、软件、测试和有效性。
如果报告中记录了这里有一个报警,那就查报警的硬件、软件、记录、响应人员、演习,甚至对人员进行面试。
企业如何管理危险源是企业决定的,但是承诺的管理事项是否到位,是需要政府来检查和监管的。当然违反承诺的成本也非常高昂。对于“Safe Case”的违反可能导致企业直接被关停。
如果需要对该“重大”危险源的管理进行变更,“Safe Case”同样需要变更,需要重新进行一次完整的审批。
有人会问:这不就是中国的安评么?是的,如果仅看两个报告的目录,这份报告的目录和安评几乎完全一样。但是这份报告只针对“重大”危险源,只审批一次,被反复用于检查,而这份报告中所有的内容都是为这一特定危险源单独建立的,其详细程度和可执行程度对比中国通用模板写成的安评是远为详细的。
关于执行
首先,各国政府制定了重大事故危险源认定办法。中国的重大危险源认定办法也是基本基于英国“重大”(Upper Tier)危险源的标准制定的。
接下来,如何证明设计是考虑充分并且风险可控?欧洲各国有大量的技术指导标准。这些标准大部分是非强制的,但是这些标准仅仅是底线。基于统一的风险计算方法(QRA),企业需要证明设计中已经执行了ALARP(As Low As Reasonable Possible)(尽可能合理的低)原则。
然后,在日常运营中,政府会有专门的检查人员到逐个工厂对已经重大危险源的防护措施进行检查,这种检查涵盖了功能、检测、检验甚至人员面试,只要是列出风险评估的防护措施都需要确定其有效性。如果发现危险源的防护措施失效,将是重大违规,可能会罚款甚至直接导致工厂关闭。
最后,为该危险源制定的专门的应急措施需要到政府部门备案。该备案的目的是为了市政应急和工厂应急预案的对接,各个工业区、港区、工业区的应急预案需要考虑与各个危险源的应急预案有效衔接,即当事故真的发生,影响已经扩散到厂外以后,政府需要知道如何应对。
本人曾经审核过一个欧洲的化工厂的液氨储罐泄漏预案,应急预案细致到了当事故发生时,政府如何确定隔离范围、疏散距离,进入救援应该走那条路,到了现场的每辆车的职责。要知道这些预案都是写给社区消防人员的,当事故真的发生了,消防人员到达现场是立刻可以投入应急的,完全避免了前期的情形侦查的时间,可以有效的防止事故的扩大。
欧洲的做法与美国形成了很鲜明的对比,一个推行体系,一个关注重点。
美国这一策略的好处在于,如果所有的公司都良好执行这一体系,那么应该可以很好地降低所有过程安全事故发生的可能。但是受制于推行方法和审核人员不足,在这一体系的推行上还不尽如人意,因为近些年美国还是在化工行业发生了不少事故。
欧洲策略其实更多是看重点:先防止重大事故的发生,然后逐渐扩大同一方法应用的范围(塞维索I,II,III),在重大事故防止上更有成效。