樊東東

(中化道達(dá)爾燃油有限公司，北京 100089)

0 引言

2009 年10 月23 日0 點(diǎn)23 分，美國(guó)加勒比石油公司（以下簡(jiǎn)稱CAPECO）一座油庫(kù)發(fā)生火災(zāi)爆炸事故（以下簡(jiǎn)稱“CAPECO 事故”）。當(dāng)時(shí)，一艘油輪正在向該油庫(kù)卸汽油，其中一座容量為500 萬(wàn)gal( 美)（1 gal=3.7854118 L）的地上儲(chǔ)罐發(fā)生溢流，泄漏出的汽油流入圍堰后，形成大量蒸氣云。在汽油擴(kuò)散至污水處理區(qū)時(shí)，遇到點(diǎn)火源發(fā)生火災(zāi)，7 s 后發(fā)生爆炸。大火持續(xù)燃燒了約60 h，10 月25 日11 點(diǎn)30 分，大火被撲滅，CAPECO 公司17 個(gè)儲(chǔ)罐被燒毀。

本文以CAPECO 事故為例，運(yùn)用屏障思維進(jìn)行事故分析，找出導(dǎo)致這起事故發(fā)生的關(guān)鍵，即失效（或缺失）的屏障和導(dǎo)致屏障失效的隱患，并為從根源上預(yù)防同類事故發(fā)生，提出風(fēng)險(xiǎn)管理改進(jìn)建議。

1 屏障思維介紹

屏障思維是系統(tǒng)管控風(fēng)險(xiǎn)的一種思維方式[1]。屏障思維的基本原理是通過(guò)設(shè)置屏障、維護(hù)屏障，將風(fēng)險(xiǎn)控制 在ALARP（As Low As Reasonably Practicable，最低合理可行）狀態(tài)，是風(fēng)險(xiǎn)管理的通用工具和方法。屏障思維模型如圖1 所示。

1.1 術(shù)語(yǔ)

屏障思維模型中有以下術(shù)語(yǔ)：

危險(xiǎn)源：可能引起人員傷亡、財(cái)產(chǎn)損失、環(huán)境污染的能量和危險(xiǎn)有害物質(zhì)。如汽油、硫化氫。

頂上事件：危險(xiǎn)源釋放導(dǎo)致的失控、泄漏或暴露。如硫化氫泄漏。

圖1 屏障思維模型

后果：危險(xiǎn)源釋放引起頂上事件，造成的人員傷亡，環(huán)境污染，資產(chǎn)損失，公司聲譽(yù)影響的結(jié)果。

控制屏障：阻擋危險(xiǎn)源釋放的措施，位于危險(xiǎn)源和頂上事件之間。如輸油管線、遵守操作規(guī)程。

補(bǔ)救屏障：將頂上事件造成的后果降到最低程度，位于頂上事件和后果之間。如圍堰、啟動(dòng)應(yīng)急預(yù)案。

維護(hù)屏障：安全關(guān)鍵崗位根據(jù)安全關(guān)鍵程序開(kāi)展安全關(guān)鍵活動(dòng)，確保所有屏障處于完整的工作狀態(tài)。如對(duì)輸油管線進(jìn)行檢測(cè)、對(duì)應(yīng)急預(yù)案開(kāi)展培訓(xùn)演練。

ALARP 證明：無(wú)法再設(shè)置屏障或所需成本與降低的風(fēng)險(xiǎn)不成正比，得不償失，即風(fēng)險(xiǎn)已降低至可以接受的狀態(tài)。

1.2 屏障思維

在屏障思維中，事故發(fā)生的源頭是危險(xiǎn)源，控制屏障失效，造成危險(xiǎn)源釋放，產(chǎn)生頂上事件。頂上事件發(fā)生后，可能產(chǎn)生嚴(yán)重后果，也可能不會(huì)產(chǎn)生嚴(yán)重后果，這要看補(bǔ)救屏障是否在起作用。如果補(bǔ)救屏障也相繼失效，就會(huì)造成嚴(yán)重事故后果。要預(yù)防事故，關(guān)鍵是確保危險(xiǎn)源不釋放；要確保危險(xiǎn)源不釋放，關(guān)鍵是確保屏障有效；要確保屏障有效，關(guān)鍵是做好屏障維護(hù)工作，從而將風(fēng)險(xiǎn)控制在ALARP 狀態(tài)。

在屏障思維中，屏障是指為防止泄漏或降低后果而設(shè)立的防護(hù)措施或控制措施的組合。屏障又分為控制屏障和補(bǔ)救屏障。為了確保屏障一直處于有效工作狀態(tài)，需要對(duì)屏障進(jìn)行維護(hù)，維護(hù)屏障就是安全關(guān)鍵崗位按照安全關(guān)鍵程序開(kāi)展安全關(guān)鍵活動(dòng)。

但屏障有可能出現(xiàn)漏洞而失效，即失效的控制屏障，失效的補(bǔ)救屏障，屏障沒(méi)有按照要求進(jìn)行維護(hù)、關(guān)鍵崗位能力不足或缺失安全關(guān)鍵程序，這就是隱患。隱患使各個(gè)屏障失效，失去對(duì)危險(xiǎn)源的管控，導(dǎo)致危險(xiǎn)源釋放，從而發(fā)生事故，產(chǎn)生嚴(yán)重后果。

1.3 基于屏障思維的事故分析

CAPECO 事故的源頭是汽油，控制屏障是預(yù)防汽油從儲(chǔ)罐泄漏的屏障，補(bǔ)救屏障是汽油泄漏后減輕后果的屏障。由于缺少屏障維護(hù)，出現(xiàn)事故隱患，一連串的控制屏障失效或缺失，導(dǎo)致汽油從儲(chǔ)罐通氣孔泄漏（發(fā)生溢流），進(jìn)入圍堰，繼而又因一連串的補(bǔ)救屏障失效或缺失，使得事故發(fā)生，并造成嚴(yán)重后果。

利用屏障思維對(duì)本事故進(jìn)行分析，危險(xiǎn)源就是汽油，管控汽油不發(fā)生泄漏或泄漏后減輕后果的關(guān)鍵就是屏障。通過(guò)識(shí)別和分析，找出本來(lái)可以預(yù)防事故發(fā)生的屏障。進(jìn)而通過(guò)事故調(diào)查找出各個(gè)屏障上存在的隱患。

2 屏障分析

CAPECO 事故的大致經(jīng)過(guò)是：在碼頭向罐區(qū)卸油過(guò)程中，CAPECO 儲(chǔ)罐上電子變送器發(fā)生故障，不能將液位信號(hào)遠(yuǎn)傳到控制室，現(xiàn)場(chǎng)操作工依靠人工觀察液位計(jì)，并計(jì)算卸油結(jié)束時(shí)間。由于液位計(jì)失靈，人工計(jì)算卸油結(jié)束時(shí)間與實(shí)際發(fā)生偏差，汽油在卸油過(guò)程中發(fā)生溢流，從儲(chǔ)罐通氣孔泄漏，進(jìn)入圍堰。圍堰閥門沒(méi)有關(guān)閉，汽油從圍堰閥門流向污水處理區(qū)。員工巡檢時(shí)發(fā)現(xiàn)溢流，此時(shí)已經(jīng)溢流26 min。污水處理區(qū)的非防爆電氣設(shè)備引燃了汽油蒸氣云，繼而回火發(fā)生爆炸[2]。

按照這起事故發(fā)生過(guò)程中的順序，至少有9 道屏障應(yīng)在事發(fā)前后發(fā)揮作用，分別是：遵守卸油操作規(guī)程、液位控制和監(jiān)測(cè)系統(tǒng)、高液位報(bào)警及人員反應(yīng)、自動(dòng)防溢流系統(tǒng)、圍堰、可燃?xì)怏w報(bào)警及人員反應(yīng)、控制點(diǎn)火源、啟動(dòng)應(yīng)急預(yù)案（CAPECO）、啟動(dòng)應(yīng)急預(yù)案（社區(qū)）。其中前4道屏障用來(lái)管控儲(chǔ)罐中的汽油，防止泄漏（溢流），為控制屏障，后5 道屏障在泄漏后用來(lái)降低后果，為補(bǔ)救屏障。

2.1 遵守卸油操作規(guī)程

嚴(yán)格按照操作規(guī)程進(jìn)行操作，就可以將汽油控制在儲(chǔ)罐中不發(fā)生泄漏，所以遵守卸油操作規(guī)程是一道控制屏障[3]。

2.2 液位控制和監(jiān)測(cè)系統(tǒng)

液位控制和監(jiān)測(cè)系統(tǒng)可以實(shí)時(shí)監(jiān)控儲(chǔ)罐液位，并對(duì)汽油輸送進(jìn)行控制，把液位控制在安全限值內(nèi)。在工業(yè)實(shí)踐中，一般使用DCS（集散控制系統(tǒng)）實(shí)現(xiàn)液位控制和監(jiān)測(cè)，是一道防止溢流的控制屏障。

2.3 高液位報(bào)警及人員反應(yīng)

高液位報(bào)警裝置在液位達(dá)到預(yù)先設(shè)置的安全限值時(shí)發(fā)出報(bào)警，操作工及時(shí)關(guān)斷儲(chǔ)罐閥門，停止汽油輸送，防止產(chǎn)生溢流，因此高液位報(bào)警及人員反應(yīng)是一道控制屏障[4]。

2.4 自動(dòng)防溢流系統(tǒng)

當(dāng)儲(chǔ)罐液位超過(guò)高液位報(bào)警裝置限值后繼續(xù)升高，達(dá)到更高液位限值后，自動(dòng)防溢流系統(tǒng)啟動(dòng)，通過(guò)連鎖自動(dòng)將儲(chǔ)罐進(jìn)料閥門關(guān)閉或?qū)?chǔ)罐物料分流到其他儲(chǔ)罐。所以自動(dòng)防溢流系統(tǒng)是一道防止液位過(guò)高而發(fā)生泄漏的控制屏障。

2.5 圍堰

儲(chǔ)罐中汽油一旦發(fā)生泄漏，將被容納在圍堰中，否則將直接擴(kuò)散到罐區(qū)四周，產(chǎn)生更嚴(yán)重后果。圍堰是一道補(bǔ)救屏障，在汽油泄漏后用于減輕因泄漏產(chǎn)生的后果。

2.6 可燃?xì)怏w報(bào)警及人員反應(yīng)

儲(chǔ)罐周圍安裝可燃?xì)怏w報(bào)警裝置，一旦油氣泄漏，就會(huì)發(fā)出報(bào)警，操作人員及時(shí)啟動(dòng)應(yīng)急預(yù)案，停止卸油。因此，可燃?xì)怏w報(bào)警及人員反應(yīng)是一道補(bǔ)救屏障。

2.7 控制點(diǎn)火源

汽油泄漏后，如果沒(méi)有點(diǎn)火源，就不會(huì)引燃汽油，就不會(huì)發(fā)生火災(zāi)或爆炸，事故后果將大大降低?！翱刂泣c(diǎn)火源”是汽油泄漏后降低事故后果的一道補(bǔ)救屏障[5]。

2.8 啟動(dòng)應(yīng)急預(yù)案（CAPECO）

事故發(fā)生后，及時(shí)啟動(dòng)應(yīng)急預(yù)案，正確應(yīng)對(duì)，可以降低事故后果。所以CAPECO 公司啟動(dòng)應(yīng)急預(yù)案是一道補(bǔ)救屏障。

2.9 啟動(dòng)應(yīng)急預(yù)案（社區(qū)）

如同2.8 中所述屏障一樣，當(dāng)CAPECO 公司啟動(dòng)應(yīng)急預(yù)案后，社區(qū)等外部組織及時(shí)支援并正確應(yīng)急處理，事故后果也會(huì)降低，所以“社區(qū)啟動(dòng)應(yīng)急預(yù)案”也是一道補(bǔ)救屏障。

CAPECO 作業(yè)現(xiàn)場(chǎng)至少需要設(shè)置上述9 道屏障，并在日常工作中通過(guò)開(kāi)展安全關(guān)鍵活動(dòng)及時(shí)維護(hù)屏障，確保屏障一直處于良好工作狀態(tài)，從而預(yù)防事故。

3 隱患分析

在屏障思維中，各屏障上出現(xiàn)的漏洞就是隱患，危險(xiǎn)源通過(guò)隱患穿過(guò)層層屏障，最終導(dǎo)致事故發(fā)生[6]。

CAPECO 事故中，屏障連續(xù)失效，最終造成嚴(yán)重事故后果的過(guò)程，如圖2 所示。

以CAPECO 事故為例。如果9 道屏障中任何一道屏障有效，就可以避免CAPECO 事故或降低事故后果。但事實(shí)表明，CAPECO 公司沒(méi)有設(shè)置這些屏障或屏障已失效，具體分析見(jiàn)表。

這些隱患沒(méi)有在日常工作中被及時(shí)發(fā)現(xiàn)并整改，導(dǎo)致屏障出現(xiàn)漏洞而失效，使控制屏障不能有效防止汽油泄漏，使補(bǔ)救屏障不能將汽油泄漏后所產(chǎn)生的后果降到最低，最終產(chǎn)生嚴(yán)重事故后果。

4 結(jié)論

風(fēng)險(xiǎn)管理的重點(diǎn)是設(shè)置多個(gè)屏障，并系統(tǒng)維護(hù)屏障，使其一直處于良好工作狀態(tài)，從而預(yù)防事故。屏障思維幫助企業(yè)分析儲(chǔ)罐運(yùn)營(yíng)過(guò)程中的風(fēng)險(xiǎn)，通過(guò)設(shè)置屏障，維護(hù)屏障，系統(tǒng)管控風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在ALARP 狀態(tài)。

利用屏障思維對(duì)本儲(chǔ)罐溢流爆炸事故進(jìn)行分析，通過(guò)識(shí)別和分析預(yù)防汽油泄漏的控制屏障和泄漏后降低事故后果的補(bǔ)救屏障，找出屏障失效的原因，即由于缺乏屏障維護(hù)而使各屏障所出現(xiàn)的隱患。企業(yè)根據(jù)事故原因分析結(jié)果，在自己企業(yè)利用屏障思維進(jìn)行風(fēng)險(xiǎn)管理，為危險(xiǎn)源設(shè)置屏障，維護(hù)屏障，排查并及時(shí)治理隱患，從而預(yù)防此類事故再次發(fā)生。

圖2 CAPECO事故屏障思維模型