开发和使用风险评估模型
评估和量化风险的一致性始于文档化定义。
U在生产设施的高级管理人员正式访问并记录可接受的安全、健康、环境和责任风险之前,整个公司将面临混乱的公共关系,并可能受到公众、工人、地方和国家监管机构以及保险提供商的法律诉讼。
风险评估模型的开发需要处理关键领域的事件严重性并量化事件的可能性。
例如,经常包含的关键域有:
公共安全和卫生;
工地安全与卫生;
环境影响;
责任成本;
生产中断和质量问题;和
设备损坏和修理费用。
对每个领域进行评估,记录从轻微到严重和/或危及生命的事件的事件定义和指导方针。
样本-领域影响风险评估矩阵
| 从较轻到高度严重 | 公共安全和健康 | 工地安全及健康 | 环境影响 | 责任成本 | 业务中断和质量问题 | 设备损坏和修理费用 | |
| 10 | 死亡或永久生命效果 | 多个死亡 | 广泛的场外和长期或永久的损害 | > 1亿美元 | > 1000万美元 | > 1000万美元 | |
| 9 | 死亡或永久生命效果 | ||||||
| 8 | 一处或多处重伤 | 局部异地长期损伤 | > 100万美元 | ||||
| 7 | 一处或多处重伤 | > 1000万美元 | > 100万美元 | ||||
| 6 | 受伤或住院 | 重大放行违规或短期损坏 | > 25万美元 | ||||
| 5 | 受伤或住院 | > 100万美元 | > 25万美元 | ||||
| 4 | 暴露量超标 | 重大发布违规 | > 1万美元 | ||||
| 3. | 暴露量超标 | > 1万美元 | > 1万美元 | ||||
| 2 | 曝光 | 小版本 | |||||
| 来源:Control Engineering | |||||||
事件发生时,可能非常严重,但它们发生的可能性可能很少。
除了事件严重性之外,还必须制定事件可能性的定义。
样本-事件可能性风险评估矩阵
| 不大可能到极有可能 | 事件发生的可能性或频率 (f =危险事件发生频率,每年发生的事件) |
|
| 10 | 在设施的预期使用寿命内可以合理预期发生的故障。 例如:过程泄漏;单个仪表或阀门故障;或者可能导致材料泄漏的人为错误。 每年10-2英镑 |
|
| 9 | ||
| 8 | ||
| 7 | 在设备的预期使用寿命内发生概率很低的一种或一系列故障。 例:双仪表或阀门故障;仪器故障和操作人员失误的组合;或小型工艺线或配件的单个故障。 每年10-4& f & 10-2 |
|
| 6 | ||
| 5 | ||
| 4 | 在设备的预期使用寿命内发生概率极低的一种或一系列故障。 示例:三个或更多同时发生的仪器、阀门或人为故障;或单个储罐或工艺容器的自发故障。 每年10-4美元 |
|
| 3. | ||
| 2 | ||
| 来源:控制工程,数据来自Arthur D. Little公司。 | ||
一旦对每个事件的严重性和可能性进行了量化,就可以使用定量信息来确定与已识别的危险事件相关的总体风险。
许多人认为进行风险评估是为正式的会议保留的,在这些会议中,整个过程被剖析、分析,风险被记录。进行正式的危害分析和可操作性(HAZOP)研究很重要,并且可能是法律所要求的,但大多数过程都经历了定期的变化。除了少数例外,生产流程的变更需要某种形式的批准和签字。批准和签署程序的一部分应包括正在提出和批准的变更的迷你hazop。迷你hazop审核可能就像几个知识渊博的人坐下来检查提议的变更如何影响关键领域以及由于提议的变更而发生意外事件的可能性一样简单。
把它们放在一起
控制工程开发了一个由三个矩阵组成的样本风险评估模型,以说明如何对已确定的事件进行评估和排序。
假设一个关键的产品质量参数(即颜色)仅使用实验室设备成功测量,但过程工程已经确定可以使用神经网络技术开发虚拟传感器,并且可以部署基于模型的控制器来减少产品颜色变化。
现有的控制系统无法承载神经网络计算或基于模型的控制器。提出了一种基于个人电脑(PC)的“软控制器”,专门运行知名供应商的神经网络和基于模型的软件。
为提议的变更确定的意外风险包括:
失去控制会产生不合规格的产品;
使用标准的个人电脑和操作系统软件;和
首次部署(由客户)神经网络和基于模型的控制。
利用构成风险评估模型的三个矩阵,对每个风险进行评估和排序。以下是几个(但不是全部)评价结果的代表性样本。
| 识别风险 | 域研究 | 调查结果及估价 |
| 失去控制会产生不合规格的产品。 | 公共安全和健康 | 没有发现风险。零严重性值被分配。 |
| 工地安全及健康 | 该设施的非规格存储容量有限。大量不合规格的材料需要工人将材料转移到便携式散装包装中。设置空的散装包装和转移产品是一项手工工作,在过去两年中只需要一次。散装包装的存在增加了工厂地板的拥堵。这两种情况都增加了严重伤害工人的可能性。严重性值为6。 | |
| 环境影响 | 没有发现风险。零严重性值被分配。 | |
| 责任成本 | 工人在执行非正常工作时经常受伤。工伤可能会增加责任,但公司提供非常好的保险,没有人记得受伤的工人起诉公司。严重性风险等级为2。请注意:在考虑客户对损失生产的影响后,严重性风险值改为5。 | |
| 业务中断和质量问题。 | 产品已售罄,因此任何计划外的中断都会影响满足客户交付承诺。由于合同客户交付承诺,责任问题可能高达100万美元。严重性值为5。请注意基于这次谈话,我们决定重新审视责任成本领域。 | |
| 设备损坏和修理费用。 | 除了个人电脑的成本之外,没有确定任何风险。严重性值为3。 | |
| 请注意此列表旨在作为一个代表性的例子,而不是对所有已识别风险的完整审查。 | ||
在检查并记录每个领域的每个剩余风险(即,使用标准PC和操作系统软件,以及(由客户)首次部署神经网络和基于模型的控制)之后,对每个风险进行重新评估,以确定事件和领域风险实际发生的可能性。
| 域研究 | 调查结果及估价 | 可能性和估值 |
| 公共安全和健康 | 没有发现风险。零严重性值被分配。 | 没有发现风险。赋零似然值。 |
| 工地安全及健康 | 该设施的非规格存储容量有限。大量不合规格的材料需要工人将材料转移到便携式散装包装中。设置空的散装包装和转移产品是一项手工工作,在过去两年中只需要一次。散装包装的存在增加了工厂地板的拥堵。这两种情况都增加了严重伤害工人的可能性。严重性值为6。 | 在新的控制器得到验证并且操作人员能够舒适地使用它之前,创建不符合规格的产品的可能性相当高。赋似然值为7。 |
| 环境 | 没有发现风险。零严重性值被分配。 | 没有发现风险。赋零似然值。 |
| 责任 | 工人在执行非正常工作时经常受伤。工伤可能会增加责任,但公司提供非常好的保险,没有人记得受伤的工人起诉公司。严重性风险等级为2。请注意:在考虑客户对损失生产的影响后,严重性风险值改为5。 | 员工或客户起诉的可能性不大。赋似然值为2。 |
| 业务中断和质量问题。 | 产品已售罄,因此任何计划外的中断都会影响满足客户交付承诺。由于合同客户交付承诺,责任问题可能高达100万美元。严重性值为5。请注意基于这次谈话,我们决定重新审视责任成本领域。 | 赋似然值为6。 |
| 设备损坏和修理费用。 | 除了个人电脑的成本之外,没有确定任何风险。严重性值为3。 | 赋似然值为2。 |
| 注意:此列表旨在作为一个代表性的例子,而不是对所有已识别风险的完整审查。 | ||
不同的风险评估方法使用的定量值不同。出于这个简短示例的目的,使用风险排序矩阵完成每个域的风险排序。结果是:
| 域研究 | 分配严重性等级 | 可能性排序 | 风险等级 |
| 公共安全和健康 | 0 | 0 | 低风险 |
| 工地安全及健康 | 6 | 7 | 适度的风险 |
| 环境影响 | 0 | 0 | 低风险 |
| 责任成本 | 2 | 2 | 低风险 |
| 业务中断和质量问题 | 5 | 6 | 适度的风险 |
| 设备损坏和修理费用 | 3. | 2 | 低风险 |
排名是主观的,对数值的分歧并不罕见。重要的是尽可能彻底地完成分析,并在必要时协商数值,总是在高的一边出错。
对于我们的例子,最坏情况的风险出现在工人受伤和业务中断的领域。两者都将生产损失风险列为中等类别。
这里没有提到,但进行任何风险评估总是有一个无形的好处,那就是分享发生的想法和关注,这对做出更明智的决策很有用。
对于那些对使用基于PC的控制器来虚拟测量和控制产品颜色的建议感到好奇的人,请继续关注。我们的示例项目仍在管理建议中,但预计将在2月份的控制工程.
与此同时,开始考虑将形式化的风险评估模型纳入您的制造过程。这些好处可能会让你大吃一惊。
| 评论? 电子邮件dharrold@cahners.com |
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
