伍星光，侯磊，劉芳媛，吳守志，伍壯

中國石油大學(北京)油氣管道輸送安全國家工程實驗室/石油工程教育部重點實驗室，北京 102249

0 引言

安全是人們免于受傷害的現(xiàn)實需求和心理需求。為了掌控系統(tǒng)安全性變化趨勢以及預防不期望事件發(fā)生，人們通常基于大量真實事故分析及行業(yè)經(jīng)驗，建立能夠表征原因和后果關(guān)系的事故模型。事故模型提供了理解事故的發(fā)生發(fā)展方式的參考框架，能為系統(tǒng)開發(fā)過程風險評估以及事后事故分析提供技術(shù)性指導。

事故模型從最早的多米諾骨牌模型發(fā)展至今已有數(shù)十種之多，每種模型都有各自的特點和適用范圍。覃容和彭冬芝[1]將事故致因理論分為單因素事故理論、事故因果連鎖論、流行病學理論和系統(tǒng)理論四種，分別討論了各理論的主要觀點以及相應事故模型的特點。羅春紅和謝賢平[2]對比分析了2000 年前的一些事故致因理論和事故模型，并運用不同的事故致因理論定性分析具體事故案例。陳寶智和吳敏[3]闡述了從事故頻發(fā)傾向論到系統(tǒng)理論事故模型不同時間段的安全背景和安全理念。這些研究更多是對事故致因理論的回顧，并未深入討論事故模型的功能特點和研究現(xiàn)狀。傅貴等人[4]對比分析了10 種主流的事故模型，從事故影響對象、模型架構(gòu)和事故發(fā)生路徑3 個維度闡述了各模型的優(yōu)劣以及適用范圍。該研究關(guān)注事故模型的組成結(jié)構(gòu)和選用依據(jù)，并未結(jié)合時代背景深入探討事故模型的理論內(nèi)涵和安全思維。不同的事故模型是基于不同的安全需求產(chǎn)生的，每個事故模型又都蘊含著思考安全的方式，只有綜合理解模型功能和安全思維才能幫助分析者做出正確有效的選擇，推動事故模型向更完善的方向發(fā)展。Qureshi[5]對2007 年以前的主流事故模型進行了詳細的分類和描述，并展望了事故模型面臨的挑戰(zhàn)和發(fā)展趨勢。然而，該研究由于是2007 年發(fā)表，并未涉及最新的事故預測模型。本文對安全理念和思維的發(fā)展歷程進行全面回顧，基于不同的安全思維對事故模型進行分類，通過綜合分析不同事故模型的特點和局限性，展望事故模型的發(fā)展趨勢。由于本文更關(guān)注社會技術(shù)系統(tǒng)的整體模型，所涉及的模型范圍沒有涵蓋人的因素模型。

1 安全理念和思維的發(fā)展歷程

在科技落后的時代，人們往往認為天災人禍是“命中注定”且無法控制的。直到第二次工業(yè)革命之后，風險和安全的概念和影響才真正意義上受到世人關(guān)注。安全科學發(fā)展至今，大致經(jīng)歷了5 個階段[6-8]，分別是技術(shù)時代、人的因素時代、管理體系時代、整合性時代和適應性時代。

(1)技術(shù)時代(19 世紀30 年代到20 世紀50 年代)：在工業(yè)革命之后，技術(shù)的不可靠性為人類生活引入了新的風險，事故主要歸因于機械故障和結(jié)構(gòu)失效，事故預防的重點是通過消除、替代或隔離潛在危害從源頭控制風險。在此階段，人們對于事故過程的理解和事故原因的分析主要基于海因里希的多米諾骨牌理論，概率風險評估(Probabilistic Risk Assessment)逐漸興起并成為系統(tǒng)安全性評估和可靠性分析的主要方法。

(2)人的因素時代(20 世紀50 年代到20 世紀80 年代)：在技術(shù)時代，人的行為由于過于不精確而難以預測的特性被視為技術(shù)生產(chǎn)的限制性因素。因此，人們致力于發(fā)展自動化技術(shù)以弱化人的角色。在第二次世界大戰(zhàn)之后，尤其是在1979 年美國三哩島核電站事故發(fā)生后，組織管理者開始意識到通過技術(shù)發(fā)展并不能排除所有風險，將注意力逐漸轉(zhuǎn)向人機交互的設計和研究。

(3)管理體系時代(20 世紀80 年代到2000 年)：1986 年發(fā)生的“挑戰(zhàn)者號”航天飛機事故和切爾諾貝利核電站事故后，線性因果范式和簡單的人機交互理念受到了質(zhì)疑。一系列沉痛的教訓清楚地表明，人的表現(xiàn)源于社會技術(shù)系統(tǒng)中各因素復雜的相互作用，很多時候并不是事故或錯誤的唯一原因。在風險評價和安全管理中，開始將具體的組織因素納入分析范圍。

(4)整合性時代(2000 年至今)：隨著科學技術(shù)的不斷發(fā)展，工業(yè)系統(tǒng)中的要素變得越來越復雜精細和緊密耦合，人們逐漸意識到不良的組織文化因素在許多事故中起著至關(guān)重要的作用。在此階段，研究者們指出更完善合理的事故模型的建立不應輕易擯棄每個發(fā)展時期的思維模式，也不應偏重技術(shù)因素、人的因素和組織因素中的任一因素，需要基于兼容并包的思想對各個時期的安全分析理念和方法進行整合。

(5)適應性時代(2010 年至今)：適應性時代強調(diào)安全和事故是互補關(guān)系，不僅要關(guān)注系統(tǒng)為什么出錯，也要關(guān)注怎樣使系統(tǒng)成功運轉(zhuǎn)。有效的安全管理策略不僅要能在事后提供改進的意見，更要在事前對系統(tǒng)可能的安全狀態(tài)做出預測。這就要求高級管理者不要依賴于自身所想象的來完成工作，而是要經(jīng)常與一線工人進行坦誠溝通，了解他們的工作現(xiàn)狀和系統(tǒng)的變化情況。

這5 個時代所包含的關(guān)于事故原因的探索和安全機制的思考本質(zhì)上體現(xiàn)了兩種思維模式的變化，即丹麥Hollnagel教授所提出的安全I和安全II的概念[9]。安全I對應的安全性定義是不良后果數(shù)量盡可能少的條件水平。從安全I的角度來看，安全管理的目的是確保事故或異常事件數(shù)量在合理可行的范圍內(nèi)盡可能少。這意味著安全管理必須從缺乏安全性開始，通過事后分析確定系統(tǒng)出錯的地方并加以控制和改進。安全I所基于的最重要的假設是所有不良結(jié)果都有對應的原因，且總能通過推理找到結(jié)果對應的前一階段的原因。這種事故因果關(guān)系的信條由于簡單易行以及便于法律上的追責而被人們廣泛遵循[10-11]。由于事故分析目的是從最終結(jié)果倒推以找到失效的組件，基于事件的因果鏈式模型在這種環(huán)境下應運而生，其中以多米諾骨牌模型(Domino Model)[12]和瑞士奶酪模型(Swiss Cheese Model)[13]最為著名。在漫長的時間里，這種以事故結(jié)果為驅(qū)動辨識系統(tǒng)脆弱性的被動式安全管理理念根深蒂固。然而，不斷增加的交互復雜性和耦合性使設計人員和操作人員難以考慮所有潛在的系統(tǒng)狀態(tài)[14]，且在某一個系統(tǒng)中完全安全的組件在另一個系統(tǒng)中可能并不安全[15]。如果發(fā)生了無法預知和無法想象的“黑天鵝事件”，即使擁有一套現(xiàn)成的緊急響應措施也將無濟于事[16-17]。因此，需要啟發(fā)式方法和更綜合性的模型來應對不斷變化的實際情況[15,18]。這種主動式管理的需求推動了安全II的產(chǎn)生。

安全II是對安全I的補充，將安全的定義從“避免出現(xiàn)問題”更改為“確保一切都正確”，即彈性恢復力工程(Resilience Engineering)中定義的不同條件下取得成功的能力[19-20]。從安全II的角度看，安全管理的目的是確保事情日常工作盡可能正確，而不僅僅是關(guān)注錯誤的事情。兩種安全思維的區(qū)別在于安全I將事故視為結(jié)果性(Resultant)的現(xiàn)象，是一系列事件相繼發(fā)生的結(jié)果；安全II認為事故是突發(fā)性(Emergence)的現(xiàn)象，是系統(tǒng)各組件負效應綜合作用的瞬時結(jié)果，不能將其追溯到特定原因或功能[9,15,19,21]。因此，主動性的安全管理需要更多發(fā)揮人的主觀能動性，通過不斷學習克服設計缺陷和功能故障，監(jiān)控每日自身和系統(tǒng)的變異性并及時做出調(diào)整?；谙到y(tǒng)理論的事故模型就是安全II時代的產(chǎn)物，其中具有代表性的模型有社會技術(shù)系統(tǒng)風險管理框架(Socio-Technical Risk Management Framework)[22]、基于系統(tǒng)理論的事故模型與過程(STAMP,Systems-Theoretic Accident Model and Processes)[23]和功能共振分析方法(FRAM，F(xiàn)unctional Resonance Analysis Method)[24]。針對現(xiàn)有系統(tǒng)事故模型缺乏定量過程的局限性，相關(guān)學者又開發(fā)了基于安全屏障的事故預測模型，主要有過程事故模型(Process Accident Model)[25]、系統(tǒng)危害識別、預測和預防模型(SHIPP,System Hazard Identification,Prediction and Prevention)[26]和基于安全屏障的非序列模型(Non-Sequential Barrier-Based Process Accident Model)[27]。圖1展示了安全思維和安全模型的發(fā)展進程和相互關(guān)系。

圖1 安全思維和事故模型發(fā)展歷程Fig. 1 The development of safety thinking and accident models

2 基于事件的因果鏈式模型

2.1 簡單線性模型

事故模型反映人們思考安全的方式，并極大地影響識別和控制危害以及預防事故的能力。早期工業(yè)事故預防的重點是不安全條件，例如打開的刀片和未受保護的傳送帶。隨著最明顯的危害被消除，不安全條件減少的程度開始放緩，安全防護的重點又轉(zhuǎn)移到了不安全行為。1919 年提出的事故頻發(fā)傾向論是最早的解釋工業(yè)事故的理論之一，該理論將工廠中具有某些性格特征的少數(shù)工人視為事故頻發(fā)的主要原因[28,29]。該理論雖然指出人類潛在的不可靠性，但并沒有明確描述事故的發(fā)生方式，并不是一個正式的模型。第一次明確指出人為差錯的事故模型是海因里希的多米諾骨牌模型[12]。如圖2 所示，與事故有關(guān)的因素被表示成遺傳和社會環(huán)境、人的過錯、不安全行為和條件、事故和傷害這5 個多米諾骨牌，第一個骨牌倒塌會相繼擊倒后面的骨牌直到傷害發(fā)生，同樣地，如果移去其中一個骨牌，事故過程就被中止。海因里希將事故解釋為一系列按特定時間順序離散事件相繼發(fā)生的結(jié)果，即傷害是事故的結(jié)果，事故僅由人的不安全行為或物的不安全條件直接造成，而不安全行為和條件的產(chǎn)生是由人的過失導致的，人的過失是由環(huán)境造成的或由遺傳繼承而來。

由于多米諾骨牌模型過分簡化了事故中人類行為控制的過程，Bird[30-31]Adams[32-33]和Weaver[33-34]等人又在此基礎上擴展了基本的多米諾模型，將管理決策納入事故因素。盡管如此，這一類簡單線性事故模型被普遍認為過于簡單，在日益發(fā)展的復雜社會技術(shù)系統(tǒng)中已經(jīng)不再適用。

圖2 多米諾骨牌模型Fig. 2 The Domino model of accident causation

圖3 瑞士奶酪模型Fig. 3 Swiss cheese model of accident causation

2.2 復雜線性模型

由于對更合理的事故理解方法和更強有力的事故模型的需求，簡單線性模型在20 世紀80 年代被流行病學模型所替代。流行病學模型將導致事故的事件類比為疾病的傳播，認為事故是偶然同時存在于空間和時間中的多種因素作用的結(jié)果[5]。最著名的流行病學模型是Reason提出的瑞士奶酪模型[13,35]。如圖3 所示，Reason認為在不安全條件和最終損失之間存在多層防御系統(tǒng)，即由箭頭尖端的“不安全行為”切片和影響不安全行為的一系列潛在條件組合而成。每個切片上的“洞”代表了各層防御系統(tǒng)的脆弱性，當不安全條件依次突破所有防御層的“洞”，則事故發(fā)生。瑞士奶酪模型對于事故分析和調(diào)查非常有用，它迫使調(diào)查人員關(guān)注不安全行為以外的潛在失效原因，便于發(fā)掘系統(tǒng)所存在的更深層次和更關(guān)鍵的脆弱模式。然而，該模型并沒有關(guān)于奶酪上“洞”的確切定義，其抽象性阻礙了模型的實際應用[36]。為了便于事故的調(diào)查和分析，Wiegmann和Shappell在瑞士奶酪模型的基礎上建立了人的因素分析與分類系統(tǒng)(HFACS，Human Factors Analysis and Classification System)，對奶酪上的“洞”進行了明確定義[36-39]。由于該分類系統(tǒng)的因素是基于數(shù)百例飛行事故總結(jié)提煉出的，HFACS框架被各領域?qū)W者廣泛采用。但HFACS框架主要涉及人的因素的分類，沒有強調(diào)與設備設計等有關(guān)的技術(shù)性因素，且過分簡化了發(fā)現(xiàn)系統(tǒng)“漏洞”到修復“漏洞”的過程，這在一定程度上限制了它的應用范圍。

盡管流行病學模型相對簡單線性模型對事故的發(fā)生方式進行了更復雜的設計，但它仍然遵循線性因果模型的原理[40]，即人的失效和隱性條件的組合引發(fā)不利結(jié)果。此外，各防御層順序失效的模式簡化了各系統(tǒng)組件間復雜的交互關(guān)系[41]，且對瑞士奶酪模型過分規(guī)范性的應用可能導致將事故完全歸因于高級管理人員而忽略一線人員的貢獻[42]。

基于事件的因果鏈式模型對于工程設計安全性以及安全分析人員調(diào)查事故都具有重要意義，因為如果事故是由一系列事件引發(fā)，那么最明顯的預防措施就是在損失發(fā)生之前將其中斷。雖然事故的結(jié)果是由一系列原因造成的，但并不意味著通過結(jié)果能夠推論出相同的原因[9]。正如Leveson教授[43]所說，事故成因和結(jié)果的關(guān)系就好比吸煙和肺癌的關(guān)系，許多吸煙者沒有患上肺癌，而有些患有肺癌的人也不是吸煙者。過去和未來并不總是對稱的，未來的事故并不總能重復與過去相同的事故模式。因此，無論是簡單線性模型還是復雜線性模型都不足以對現(xiàn)代社會技術(shù)系統(tǒng)中多因素存在方式和因果演變模式作出全面的解釋。

3 基于系統(tǒng)理論的事故模型

系統(tǒng)理論可以追溯到20 世紀30 年代，它是對傳統(tǒng)分析技術(shù)局限性的回應，以應對當時開始建立的日益復雜的系統(tǒng)[44]。Wiener將這種思維應用于控制和通信工程[45]。Bertalanffy也提出了通用系統(tǒng)理論，認為各領域中的復雜系統(tǒng)都能基于通用系統(tǒng)理論表示成多層次模型系統(tǒng)[46]。傳統(tǒng)分析方法基于分治法，將系統(tǒng)的物理部分和人類行為分別分解為單獨的物理組件和離散事件，并假設每個組件或子系統(tǒng)都是獨立運行的。系統(tǒng)方法則側(cè)重于整個系統(tǒng)而不是單獨的組件，充分考慮社會和技術(shù)層面的所有組成并研究各子系統(tǒng)間的相互作用[47]。具有代表性的基于系統(tǒng)理論的事故模型有Rasmussen的風險管理框架、STAMP模型和FRAM模型。

圖4 社會技術(shù)系統(tǒng)層次模型Fig. 4 Hierarchical model of social-technical system

3.1 社會技術(shù)系統(tǒng)風險管理框架

工業(yè)系統(tǒng)是技術(shù)、社會和組織管理要素相互作用的社會技術(shù)系統(tǒng)。技術(shù)的日趨復雜和社會的快速發(fā)展使得工業(yè)系統(tǒng)不僅受內(nèi)部系統(tǒng)波動的影響，同時也受市場競爭、經(jīng)濟和政治壓力等動態(tài)環(huán)境條件的影響。動態(tài)環(huán)境中的風險管理不應再簡單地基于對過去事故的響應，必須基于對實際的安全狀態(tài)的觀察或測量開發(fā)自適應的閉環(huán)反饋控制策略[48]。因此，Rasmussen[22,49]采用基于控制理論概念的面向系統(tǒng)的方法提出了社會技術(shù)系統(tǒng)風險管理框架，主要包括結(jié)構(gòu)和動態(tài)兩部分。

如圖4 所示，風險管理框架將復雜的社會技術(shù)系統(tǒng)描述為一個從立法者、組織和運營管理到系統(tǒng)操作的層次結(jié)構(gòu)。系統(tǒng)各層級之間的相互依賴關(guān)系由動態(tài)工作流表示。成功的系統(tǒng)運轉(zhuǎn)應該是有關(guān)高層控制的信息向下過濾到較低層，較低層的工作表現(xiàn)向上反饋到較高層。這種垂直的信息流形成了一個閉環(huán)反饋系統(tǒng)，并在整個社會技術(shù)系統(tǒng)的安全中起著至關(guān)重要的作用，它意味著事故是由各級決策者的決策和行動引起的，而不僅僅是過程控制級的工人引起的。

如圖4 的右側(cè)所示，復雜的社會技術(shù)系統(tǒng)的各層級的行為受外部破壞力的影響，這些破壞力具有不可預測且快速變化的特點。系統(tǒng)的每個層級都在不同的時間承受不同的壓力，為確保系統(tǒng)安全運行，重要的是確定安全操作的邊界以及可能導致社會技術(shù)系統(tǒng)朝著或跨越這些邊界遷移的動力。Rasmussen將動態(tài)工作環(huán)境中行為變化機制與熱力學模型中邊界條件和場梯度進行了類比。圖5 展示了可以影響復雜社會技術(shù)系統(tǒng)行為的動力，主要有個人無法接受的工作量、經(jīng)濟約束以及安全法規(guī)和程序。經(jīng)濟壓力會產(chǎn)生成本效益梯度，從而影響個人采取更具經(jīng)濟效益的工作策略；工作量壓力導致工作量梯度上升，從而促使個人改變工作方式以減少認知或體力勞動。這些適應性行為會在一段時間內(nèi)導致人們越過安全工作法規(guī)的邊界，并導致系統(tǒng)向可接受行為的邊界遷移，如果越過邊界則會導致事故發(fā)生。因此，改善風險管理最有前途的方法是明確安全操作的邊界，并努力使參與者了解這些邊界，并為他們提供學習應對邊界的機會。

結(jié)合風險管理框架，Rasmussen開發(fā)了事故地圖(Accimap,Accident Map)方法，以圖示方式描述框架中考慮的6 個系統(tǒng)層級的故障、決策、行動以及它們之間的相互作用。Rasmussen的風險管理框架及其描述性方法已在公共衛(wèi)生[50-51]、石油化工[52]、太空旅行[53]和戶外活動[54]等領域進行應用，這些案例研究驗證了該框架對于事故解釋的有效性。盡管如此，該框架模型缺乏對于安全邊界的明確定義以及可用的原因分類體系，需要進一步研究以擴展該框架對于事故定量分析和預測的適用性。

圖5 社會技術(shù)系統(tǒng)安全梯度和安全邊界Fig. 5 Safety gradients and boundaries of social-technical system

3.2 STAMP模型

Leveson[23]遵循Rasmussen主動安全管理的思路，開發(fā)了STAMP模型從而使系統(tǒng)方法更加明確。根據(jù)Leveson的觀點，安全性是系統(tǒng)的技術(shù)、物理、人和組織的組成部分相互作用時系統(tǒng)的涌現(xiàn)屬性，當組件故障、外部環(huán)境干擾或系統(tǒng)組件之間不合適交互不受控制時就會發(fā)生事故[55]。因此，STAMP是基于約束的模型，重點關(guān)注系統(tǒng)組件和整個工作系統(tǒng)中所使用的控制機制之間的相互作用。

與Rasmussen的風險管理框架類似，STAMP模型中最核心的概念是層次結(jié)構(gòu)，但STAMP模型所涉及的系統(tǒng)更加完整，因為它使系統(tǒng)開發(fā)和系統(tǒng)設計處于系統(tǒng)運行的前列[56]。如圖6 所示，STAMP將系統(tǒng)視為基于控制和約束的層次結(jié)構(gòu)，結(jié)構(gòu)中的每個層級都在下面較低層級上施加約束，而較低層級上有關(guān)控制和約束的適合性和條件的信息向上面的較高層級傳遞。STAMP強調(diào)復雜系統(tǒng)是基于物理、社會和經(jīng)濟壓力動態(tài)地向事故遷移，而不是突然失去控制能力。發(fā)生系統(tǒng)事故的原因不是組件失效，而是因為未能成功實施約束，使系統(tǒng)更接近安全性能的邊緣并降低安全運行的余地。約束限制了系統(tǒng)行為，確保其在安全范圍內(nèi)運行。約束既可以是現(xiàn)有的，例如環(huán)境或財政約束，也可以是引入的約束，例如規(guī)則，程序或設備或技術(shù)設計，它們代表對系統(tǒng)行為的控制，以限制組件之間的自由度[57]。由于已有的技術(shù)在適應更復雜社會技術(shù)系統(tǒng)的應用方面存在嚴重局限性，Leveson基于STAMP框架開發(fā)了基于系統(tǒng)理論的過程分析技術(shù)(STPA,System-Theoretic Process Analysis)和基于STAMP的因果分析技術(shù)(CAST,Causal Analysis based on STAMP)分別用于事故過程危害分析和事故因果關(guān)系分析[23,43,58]。

STAMP模型提出后獲得了廣泛關(guān)注，已成功應用于航天系統(tǒng)[59-60]、海運系統(tǒng)[61]、鐵路系統(tǒng)[62-64]和石油化工[65-66]等領域。相比Accimap分析，STAMP能生成更可靠的事故分析結(jié)果并提供更全面的建議[67]，但STAMP更適合于對技術(shù)控制故障進行識別和分類，而不適合復雜的人為決策和組織失效[68-69]。因此，STAMP通常與HFACS等提供詳細人因分類指南的方法結(jié)合使用。此外，STAMP無法提供事故過程的明確圖示，其內(nèi)在的復雜性和難以操作使其難以被廣大從業(yè)人員接受。

圖6 社會技術(shù)系統(tǒng)通用控制結(jié)構(gòu)Fig. 6 General control structure of social-technical system

3.3 FRAM模型

與Rasmussen和Leveson一樣，Hollnagel對基于線性因果理念解決安全問題的方法不滿。他認為當前所有事故調(diào)查和風險評估都是在相對不了解系統(tǒng)完整行為的狀態(tài)下進行的，且所有已建立的風險評估方法都要求有詳細描述系統(tǒng)的方案，但所有的社會技術(shù)系統(tǒng)都是動態(tài)變化的，即使知道它們是什么，也無法完全定義或描述系統(tǒng)中的時空參數(shù)。因此，Hollnagel基于安全II[9]和彈性復原力[20]概念提出了功能共振分析方法。從具體實施角度出發(fā)，F(xiàn)RAM并不是表征系統(tǒng)行為的模型，而是一種方法。它可以識別和定義系統(tǒng)功能和可變性，并確定可變性如何以導致不良后果的方式在系統(tǒng)內(nèi)相互作用。與Rasmussen的風險管理框架和Leveson的STAMP模型相比，F(xiàn)RAM并不以分層或抽象的方式解釋系統(tǒng)，而是以相對于整個系統(tǒng)的相互耦合或依賴功能來解釋系統(tǒng)，重點是系統(tǒng)做什么而不是系統(tǒng)是什么[70]。通過了解系統(tǒng)執(zhí)行的功能，可以在系統(tǒng)與其環(huán)境之間進行區(qū)分，從而確定系統(tǒng)邊界。

在進行FRAM評估時，首先將系統(tǒng)分為直接或間接影響活動結(jié)果的關(guān)鍵功能。如圖7 所示，通過輸入、輸出、時間、控制、前提條件和資源6 個基本參數(shù)表征系統(tǒng)的基本功能。然后在功能及其來源中定義潛在的可變性，即考慮正常和最壞情況下的差異。最后，通過觀察到的功能之間的依存和耦合關(guān)系以及觀察到的變異性來識別和描述功能共振，從而確定變異性的控制機制并指定所需的性能監(jiān)控。

FRAM是揭示系統(tǒng)不同功能之間耦合和依賴關(guān)系的有效工具，已成功應用于航天系統(tǒng)[71-72]、海事系統(tǒng)[73-74]、核能系統(tǒng)[75]、石油化工[76]等領域。FRAM提供了一個事故分析框架，使復雜的人與技術(shù)交互關(guān)系更容易識別，并可以提供適當?shù)谋O(jiān)控策略和彈性設計方案以提高系統(tǒng)安全性[77]。但由于應用和分析過程不詳細以及缺乏一致或明確的停止規(guī)則，F(xiàn)RAM中的功能識別和交互分析受到限制[78-79]。因此，需要進一步評估FRAM對于事故調(diào)查早期階段中收集和組織數(shù)據(jù)的適用性，以及研究有關(guān)功能識別和屏障建立的更結(jié)構(gòu)化的方法。

圖7 FRAM模型功能參數(shù)圖Fig. 7 Function parameters of FRAM model

圖8 海上石油天然氣過程事故模型Fig. 8 Offshore oil and gas process accident model

除了上述3 種模型，基于系統(tǒng)理論的事故模型還有Perrow[14,80]的正常事故理論(Normal Accident Theory)和Dekker[81]的漂移失效模型(Drift into Failure Model)。但這兩種模型沒有提供具體的方法論和操作步驟，實際應用中一般只是借鑒它們的內(nèi)在理論?？傮w來說，基于系統(tǒng)理論的事故模型充分考慮了復雜系統(tǒng)內(nèi)組件的非線性交互作用，并且以主動監(jiān)控變異性代替被動事后分析，比基于事件的因果鏈式模型更先進合理。然而，這些模型大多不能直接應用于描述過程設施事故，并且建模方法通常應用于職業(yè)性傷害而非石油化工過程事故。此外，這些模型主要提供事故過程的定性描述，缺乏定量預測和評估。因此，更簡潔便利、具有預測功能的基于安全屏障的事故預測模型出現(xiàn)在人們的視野中。

4 基于安全屏障的事故預測模型

安全屏障概念起源于能量轉(zhuǎn)移觀點。20 世紀60年代和20 世紀70 年代，Gibson和Haddon分別提出了兩種開創(chuàng)性的安全理論以研究過剩能量從釋放源到脆弱目標的過渡。1961 年，Gibson基于“能量轉(zhuǎn)移超過身體傷害閾值會導致人身傷害”這一事實建立了能量模型[82]。1970 年，Haddon在該模型基礎上將已知的事故預防原則系統(tǒng)化為十種策略[83]。1987 年，Kjellén將Haddon提出的事故預防策略定義為屏障[84]。之后，Reason于1997 年基于縱深防御概念建立了如圖3 所示的瑞士奶酪模型。該模型提供了安全屏障概念性建模方法，后續(xù)的許多安全屏障模型都以此為基礎。

4.1 過程事故模型

結(jié)合Reason的瑞士奶酪模型和Bird的因果鏈式模型的特征，Kujath等人[25]于2010 年開發(fā)了針對海上石油天然氣的過程事故模型。該模型假設海上油氣設施中的事故由碳氫化合物釋放引發(fā)，繼而通過物質(zhì)擴散和能量傳遞引發(fā)更嚴重的事故，而各級事故的中斷和控制通過設置安全屏障實現(xiàn)。如圖8 所示，模型在事故傳播路徑上設置了5 個防護屏障以預防或減輕物質(zhì)或能量釋放的影響，最壞的情況是所有屏障均失效導致重大或災難性事故。對于模型所描述的事故過程，Kujath等人進一步采用故障樹和事件樹相結(jié)合的方法分析具體事故。通過分析歷史事故資料，挖掘并整理各安全屏障失效的影響因素，生成綜合性的故障樹模型；定義每個安全屏障失效后引發(fā)的事故類型，基于事件樹方法分析不同嚴重程度事故的發(fā)生概率。該模型被成功應用于1988 年派珀·阿爾法(Piper Alpha)事故和2005 年德克薩斯州煉油廠事故中，但它僅將技術(shù)故障視為事故起因，并未考慮人的因素和組織錯誤等原因。

4.2 SHIPP模型

為克服Kujath的過程事故模型的缺點，Rathnayaka等人[26]建立了SHIPP模型，將適用范圍從海上石油天然氣擴展到了整個過程工業(yè)。如圖9 所示，在SHIPP框架內(nèi)，與技術(shù)、人員、管理和組織方面有關(guān)的所有事故原因均被包括在內(nèi)，并被歸納為7 個預防屏障。其中釋放預防屏障(RPB，Release Prevention Barrier)、點火預防屏障(IPB，Ignition Prevention Barrier)和升級預防屏障(EPB，Escalation Prevention Barrier)與Kujath的過程事故模型相同，擴散預防屏障(DPB，Dispersion Prevention Barrier)、人的因素預防屏障(HFB，Human Factor Barrier)以及管理和組織預防屏障(M&OB，Management and Organizational Barrier)是SHIPP模型獨有的，損害控制和應急管理屏障(DC& EMB，Damage Control and Emergency Management Barrier)綜合了Kujath的過程事故模型中的損失和損害預防屏障。Rathnayaka將事故后果定義為安全偏離、未遂事故、輕微事故、一般性事故、重大事故和災難性事故6 個等級，通過SHIPP模型分析不同場景所對應的不同等級事故發(fā)生的可能性。SHIPP模型保留了海上石油天然氣過程事故模型中故障樹和事件樹相結(jié)合的系統(tǒng)分析方式，但是增加了貝葉斯更新機制分析企業(yè)實時安全數(shù)據(jù)以更新事故過程安全屏障的失效概率，從而最大程度地降低經(jīng)驗數(shù)據(jù)的不確定性。此外，SHIPP還采用隨機預測模型來計算下一個時間間隔內(nèi)異常事件的數(shù)量。這些預測和故障更新功能可為企業(yè)的維護和變更管理提供決策支持，并有助于安全計劃的優(yōu)先級排序。

目前，SHIPP模型已成功應用于液化天然氣設施和鉆井平臺[85-87]，但該模型存在一定的局限[88]。一方面該模型未考慮外部因素和職業(yè)性傷害，且事故路徑中的某些屏障不合邏輯；另一方面，事故數(shù)量預測技術(shù)對于嘈雜數(shù)據(jù)的靈敏性較差。盡管如此，SHIPP仍然是一個非常受歡迎、功能強大的事故分析和預測工具。已有相關(guān)文獻對SHIPP模型進行改進以更適應特定工作場所的分析[89-91]。

圖9 SHIPP模型架構(gòu)Fig. 9 The architecture of SHIPP model

4.3 基于安全屏障的非序列模型

在Rathnayaka研究基礎上，Adedigba等人[27]進一步開發(fā)了基于安全屏障的非序列模型。該模型著眼于不同種類屏障的防護效應，并綜合考慮了設計、設備、人員、管理和外部環(huán)境等因素之間的相互依賴性。如圖10 所示，設計錯誤可能導致操作和設備失效，操作失效可能會導致設備失效。3 種因素都可能直接引發(fā)事故，而它們又潛在地受人的因素、組織失效和外部因素的影響。與SHIPP模型類似，該模型仍然基于故障樹和事件樹來研究因果關(guān)系，但故障樹被轉(zhuǎn)換成貝葉斯網(wǎng)絡從而能夠考慮原因因素之間的非線性相互作用。該模型被應用于里士滿煉油廠事故，通過在貝葉斯網(wǎng)絡中使用OR、Noisy-OR和Leaky Noisy-OR這3種不同的邏輯門確定每個安全屏障失效概率的上下邊界，從而得到事故發(fā)生概率的區(qū)間估計。該模型提供了一種基于影響因素的相互依賴性和非線性相互作用預測過程事故的機制，利用過程監(jiān)控數(shù)據(jù)，該模型可以定量估計動態(tài)風險概況。但該模型缺乏各事故成因的具體分類指南，事故后果嚴重程度基于各影響因素屏障失效的數(shù)量判定，這種演變模式缺乏明確的證據(jù)。

總的來說，基于安全屏障的事故預測模型不僅能提供事故的定性描述和定量預測，而且通過事故過程與安全屏障的耦合能提供需監(jiān)控的指標和預防性策略。事故預測模型兼具因果鏈式模型的簡潔性思維和系統(tǒng)模型的系統(tǒng)性思維，建模方式更符合現(xiàn)場管理的實際需求。但由于過程事故發(fā)生和演變的復雜性，當前可用的事故預測模型無法提供所有事故類型的分析指南。此外，需要引入高靈敏度的預測方法來跟蹤實時數(shù)據(jù)變化從而改進預測性能。

圖10 基于安全屏障的非序列模型Fig. 10 Non-sequential barrier-based process accident model

5 討論與展望

從技術(shù)時代到適應性時代，安全管理經(jīng)歷了從基于事后響應的被動性思維向基于實時監(jiān)控的主動性思維的過渡。在安全理論發(fā)展的過程中，研究者們致力于開發(fā)事故模型用于表征系統(tǒng)安全性的演變規(guī)律。事故模型依據(jù)不同的安全思維主要分為基于事件的因果鏈式模型、基于系統(tǒng)理論的事故模型以及基于安全屏障的事故預測模型。事故模型演變和發(fā)展過程中的相關(guān)安全理論的描述見本文附錄。

5.1 三類事故模型的對比

基于事件的因果鏈式模型遵循線性思維，將事故視為一系列不期望事件相繼失效的結(jié)果。以多米諾骨牌為代表的簡單線性模型將事故視為單一原因的結(jié)果，識別并消除該單一原因則事故將不會重復發(fā)生。然而，現(xiàn)實情況是事故總是由多因素共同作用導致的，事件也不會如預期一樣按特定順序發(fā)生。因此，簡單線性模型在當前日益復雜的社會技術(shù)系統(tǒng)中已經(jīng)基本淘汰。流行病學模型以更復雜的方式描述事故，將事故成因細化為顯性失效和隱性失效，顯性失效直接引發(fā)不良的后果，而隱性失效又為顯性失效創(chuàng)造了時空條件。流行病學模型本質(zhì)上仍然遵循線性思維模式，顯性因素和潛在因素的組合引發(fā)最終結(jié)果。盡管如此，流行病學模型提供了事故預測和預防一體化的思想，為后面更完善的安全屏障模型奠定了基礎。

基于系統(tǒng)理論的事故模型在主動性安全管理的需求中應運而生，不再關(guān)注系統(tǒng)為什么失效，更關(guān)注系統(tǒng)怎樣失效。通過建立系統(tǒng)各層次之間的控制和反饋關(guān)系監(jiān)控系統(tǒng)的變異性，使理想的安全性和實際的安全性趨于一致。風險管理框架提供了社會技術(shù)系統(tǒng)的層級劃分，各層級通過控制和反饋形成垂直的信息流閉環(huán)系統(tǒng)，阻止系統(tǒng)在外部動態(tài)破壞力的作用下向安全邊界遷移。在風險管理框架下，Accimap技術(shù)被開發(fā)用于將事故的影響因素映射到復雜社會技術(shù)系統(tǒng)各層次中，分析各影響因素間的交互關(guān)系和安全性的變化過程。STAMP模型對社會技術(shù)系統(tǒng)的分層進行了細化和完善，描述了系統(tǒng)開發(fā)和設計如何與系統(tǒng)操作和運轉(zhuǎn)相互作用和促進。STAMP模型非常有助于分析人員探究可能導致性能下降和不期望事件的系統(tǒng)組件之間的復雜交互，是基于系統(tǒng)理論的事故模型中應用最廣泛的模型。但該模型由于分析過程復雜且缺乏簡單明晰的圖表輸出，因此并不適合一般從業(yè)人員使用。FRAM模型認為事故是正常性能變異的意外組合導致的，風險管理的目標是確定并減少變異性，以阻止系統(tǒng)狀態(tài)共振情況的發(fā)生。該模型提供了識別系統(tǒng)變異性以及確定變異性在系統(tǒng)內(nèi)相互作用模式的方法，但對于如何調(diào)查事故和確定功能共振并未給出詳細的指南。基于系統(tǒng)理論的事故模型從系統(tǒng)復雜性出發(fā)，表征系統(tǒng)不同層次的動態(tài)非線性交互過程，其所蘊含的安全變異過程和方式更接近實際情況。但這一類模型更多關(guān)注安全性如何變化，缺乏適用于現(xiàn)場分析人員的可用性指南和合適的風險量化技術(shù)。后續(xù)的發(fā)展應結(jié)合事故先兆指標，提供對于事故因果關(guān)系的定量分析和綜合性預測方法。

基于安全屏障的事故預測模型綜合了線性模型和系統(tǒng)模型的優(yōu)點，既綜合考慮了系統(tǒng)組件間復雜的耦合關(guān)系，又保留了更符合現(xiàn)場人員思維模式的事件驅(qū)動理念。此類模型基于能量釋放和控制的觀點，充分考慮事故發(fā)生和演變特征，將安全屏障的預防和減緩效應融入事故過程，能夠?qū)崿F(xiàn)對于事故的預測和預防，因此非常適合過程工業(yè)的安全分析。目前，SHIPP模型是此類模型中最受歡迎和最有前途的模型，它闡述了事故從初始釋放到逐漸惡化再到災難性后果的演化過程，并提供了如何利用實時安全數(shù)據(jù)進行安全狀態(tài)預測的詳細方法。但該模型仍然是不完善的，因為它并未包括過程工業(yè)所有類型事故，也未綜合考慮外部因素和其他類型因素，而且并未提供對于有關(guān)技術(shù)、人員和組織等因素的具體分類指南。基于安全屏障的非序列模型雖綜合考慮了更多因素以及因素間的相互作用，但并未提供交互關(guān)系的依據(jù)以及圖示化描述相關(guān)交互如何導致不同后果惡化的過程。后續(xù)有關(guān)事故預測模型研究的趨勢是以SHIPP模型為基礎，但需進一步明確定義和總結(jié)不同類型的安全屏障，建立綜合考慮所有事故類型的過程模型，并引入更高靈敏度的預測方法提高預測的準確性和魯棒性。

5.2 事故模型研究展望

現(xiàn)有的事故模型都有其自身的功能和局限性，它們都有各自的應用范圍和適合領域。線性模型雖然已經(jīng)不適用于復雜系統(tǒng)，但事件驅(qū)動的思想仍然值得借鑒，這符合分析人員的簡化假設和因果邏輯思維，并且它所催生的諸如故障樹和事件樹等實用的事故分析方法一直沿用至今。系統(tǒng)事故模型由于更真實地反映了系統(tǒng)組件的動態(tài)交互，幾乎適用于所有領域，但用于不同領域時需要根據(jù)領域特點進行相應改進和引入相關(guān)分類框架和定量手段?；诎踩琳系氖鹿暑A測模型由于充分考慮了能量和屏障的關(guān)系，具有再現(xiàn)事故發(fā)生和演變過程的功能，因此更適用于過程事故的分析。分析人員在分析具體問題時需要結(jié)合所研究問題的特點進行事故的篩選和改進。未來事故模型的發(fā)展趨勢可能是不同模型之間的結(jié)合，也可能是全新的模型，但無論通過哪種方式構(gòu)建模型，模型中的元素交互關(guān)系都應遵循動態(tài)非線性的特征。

6 結(jié)論

(1)基于事件的因果鏈式模型本質(zhì)上遵循線性思維，即事故由單因素導致或由顯性因素和隱性因素的組合導致，且通過逆向因果推斷能夠完全還原事故過程。由于過分簡化事故因果關(guān)系，此類模型基本已經(jīng)不適用于復雜社會技術(shù)系統(tǒng)。

(2)基于系統(tǒng)理論的事故模型采用控制論思想描述復雜系統(tǒng)組件間的非線性交互，重點關(guān)注系統(tǒng)組件表現(xiàn)和控制機制之間的相互作用，識別系統(tǒng)可能出現(xiàn)的變異性并阻止系統(tǒng)向安全邊界遷移。需要進一步研究故障因素分類指南和引入量化方法增加該模型的實用性。

(3)基于安全屏障的事故預測模型以能量轉(zhuǎn)移論為基礎，綜合了線性模型的事件驅(qū)動觀點和系統(tǒng)模型的非線性交互觀點，并提供了安全狀態(tài)的動態(tài)預測方法，更適用于過程工業(yè)事故。需要進一步構(gòu)建全面概述事故發(fā)生方式的圖示模型并引入更可靠的預測方法以提供更明確有效的事故預測和預防指南。

(4)安全科學發(fā)展至今已步入適應性時代，安全管理思維也已從基于事后響應的被動式管理變?yōu)榛趯崟r監(jiān)控的主動式管理。未來事故模型的發(fā)展趨勢是建立表征系統(tǒng)組件間動態(tài)非線性交互，并能基于安全指標和實時數(shù)據(jù)提供動態(tài)安全性預測的實用性模型。