樊东东
(中化道达尔燃油有限公司,北京 100089)
2009 年10 月23 日0 点23 分,美国加勒比石油公司(以下简称CAPECO)一座油库发生火灾爆炸事故(以下简称“CAPECO 事故”)。当时,一艘油轮正在向该油库卸汽油,其中一座容量为500 万gal( 美)(1 gal=3.7854118 L)的地上储罐发生溢流,泄漏出的汽油流入围堰后,形成大量蒸气云。在汽油扩散至污水处理区时,遇到点火源发生火灾,7 s 后发生爆炸。大火持续燃烧了约60 h,10 月25 日11 点30 分,大火被扑灭,CAPECO 公司17 个储罐被烧毁。
本文以CAPECO 事故为例,运用屏障思维进行事故分析,找出导致这起事故发生的关键,即失效(或缺失)的屏障和导致屏障失效的隐患,并为从根源上预防同类事故发生,提出风险管理改进建议。
屏障思维是系统管控风险的一种思维方式[1]。屏障思维的基本原理是通过设置屏障、维护屏障,将风险控制 在ALARP(As Low As Reasonably Practicable,最低合理可行)状态,是风险管理的通用工具和方法。屏障思维模型如图1 所示。
屏障思维模型中有以下术语:
危险源:可能引起人员伤亡、财产损失、环境污染的能量和危险有害物质。如汽油、硫化氢。
顶上事件:危险源释放导致的失控、泄漏或暴露。如硫化氢泄漏。
图1 屏障思维模型
后果:危险源释放引起顶上事件,造成的人员伤亡,环境污染,资产损失,公司声誉影响的结果。
控制屏障:阻挡危险源释放的措施,位于危险源和顶上事件之间。如输油管线、遵守操作规程。
补救屏障:将顶上事件造成的后果降到最低程度,位于顶上事件和后果之间。如围堰、启动应急预案。
维护屏障:安全关键岗位根据安全关键程序开展安全关键活动,确保所有屏障处于完整的工作状态。如对输油管线进行检测、对应急预案开展培训演练。
ALARP 证明:无法再设置屏障或所需成本与降低的风险不成正比,得不偿失,即风险已降低至可以接受的状态。
在屏障思维中,事故发生的源头是危险源,控制屏障失效,造成危险源释放,产生顶上事件。顶上事件发生后,可能产生严重后果,也可能不会产生严重后果,这要看补救屏障是否在起作用。如果补救屏障也相继失效,就会造成严重事故后果。要预防事故,关键是确保危险源不释放;要确保危险源不释放,关键是确保屏障有效;要确保屏障有效,关键是做好屏障维护工作,从而将风险控制在ALARP 状态。
在屏障思维中,屏障是指为防止泄漏或降低后果而设立的防护措施或控制措施的组合。屏障又分为控制屏障和补救屏障。为了确保屏障一直处于有效工作状态,需要对屏障进行维护,维护屏障就是安全关键岗位按照安全关键程序开展安全关键活动。
但屏障有可能出现漏洞而失效,即失效的控制屏障,失效的补救屏障,屏障没有按照要求进行维护、关键岗位能力不足或缺失安全关键程序,这就是隐患。隐患使各个屏障失效,失去对危险源的管控,导致危险源释放,从而发生事故,产生严重后果。
CAPECO 事故的源头是汽油,控制屏障是预防汽油从储罐泄漏的屏障,补救屏障是汽油泄漏后减轻后果的屏障。由于缺少屏障维护,出现事故隐患,一连串的控制屏障失效或缺失,导致汽油从储罐通气孔泄漏(发生溢流),进入围堰,继而又因一连串的补救屏障失效或缺失,使得事故发生,并造成严重后果。
利用屏障思维对本事故进行分析,危险源就是汽油,管控汽油不发生泄漏或泄漏后减轻后果的关键就是屏障。通过识别和分析,找出本来可以预防事故发生的屏障。进而通过事故调查找出各个屏障上存在的隐患。
CAPECO 事故的大致经过是:在码头向罐区卸油过程中,CAPECO 储罐上电子变送器发生故障,不能将液位信号远传到控制室,现场操作工依靠人工观察液位计,并计算卸油结束时间。由于液位计失灵,人工计算卸油结束时间与实际发生偏差,汽油在卸油过程中发生溢流,从储罐通气孔泄漏,进入围堰。围堰阀门没有关闭,汽油从围堰阀门流向污水处理区。员工巡检时发现溢流,此时已经溢流26 min。污水处理区的非防爆电气设备引燃了汽油蒸气云,继而回火发生爆炸[2]。
按照这起事故发生过程中的顺序,至少有9 道屏障应在事发前后发挥作用,分别是:遵守卸油操作规程、液位控制和监测系统、高液位报警及人员反应、自动防溢流系统、围堰、可燃气体报警及人员反应、控制点火源、启动应急预案(CAPECO)、启动应急预案(社区)。其中前4道屏障用来管控储罐中的汽油,防止泄漏(溢流),为控制屏障,后5 道屏障在泄漏后用来降低后果,为补救屏障。
严格按照操作规程进行操作,就可以将汽油控制在储罐中不发生泄漏,所以遵守卸油操作规程是一道控制屏障[3]。
液位控制和监测系统可以实时监控储罐液位,并对汽油输送进行控制,把液位控制在安全限值内。在工业实践中,一般使用DCS(集散控制系统)实现液位控制和监测,是一道防止溢流的控制屏障。
高液位报警装置在液位达到预先设置的安全限值时发出报警,操作工及时关断储罐阀门,停止汽油输送,防止产生溢流,因此高液位报警及人员反应是一道控制屏障[4]。
当储罐液位超过高液位报警装置限值后继续升高,达到更高液位限值后,自动防溢流系统启动,通过连锁自动将储罐进料阀门关闭或将储罐物料分流到其他储罐。所以自动防溢流系统是一道防止液位过高而发生泄漏的控制屏障。
储罐中汽油一旦发生泄漏,将被容纳在围堰中,否则将直接扩散到罐区四周,产生更严重后果。围堰是一道补救屏障,在汽油泄漏后用于减轻因泄漏产生的后果。
储罐周围安装可燃气体报警装置,一旦油气泄漏,就会发出报警,操作人员及时启动应急预案,停止卸油。因此,可燃气体报警及人员反应是一道补救屏障。
汽油泄漏后,如果没有点火源,就不会引燃汽油,就不会发生火灾或爆炸,事故后果将大大降低。“控制点火源”是汽油泄漏后降低事故后果的一道补救屏障[5]。
事故发生后,及时启动应急预案,正确应对,可以降低事故后果。所以CAPECO 公司启动应急预案是一道补救屏障。
如同2.8 中所述屏障一样,当CAPECO 公司启动应急预案后,社区等外部组织及时支援并正确应急处理,事故后果也会降低,所以“社区启动应急预案”也是一道补救屏障。
CAPECO 作业现场至少需要设置上述9 道屏障,并在日常工作中通过开展安全关键活动及时维护屏障,确保屏障一直处于良好工作状态,从而预防事故。
在屏障思维中,各屏障上出现的漏洞就是隐患,危险源通过隐患穿过层层屏障,最终导致事故发生[6]。
CAPECO 事故中,屏障连续失效,最终造成严重事故后果的过程,如图2 所示。
以CAPECO 事故为例。如果9 道屏障中任何一道屏障有效,就可以避免CAPECO 事故或降低事故后果。但事实表明,CAPECO 公司没有设置这些屏障或屏障已失效,具体分析见表。
这些隐患没有在日常工作中被及时发现并整改,导致屏障出现漏洞而失效,使控制屏障不能有效防止汽油泄漏,使补救屏障不能将汽油泄漏后所产生的后果降到最低,最终产生严重事故后果。
风险管理的重点是设置多个屏障,并系统维护屏障,使其一直处于良好工作状态,从而预防事故。屏障思维帮助企业分析储罐运营过程中的风险,通过设置屏障,维护屏障,系统管控风险,将风险控制在ALARP 状态。
利用屏障思维对本储罐溢流爆炸事故进行分析,通过识别和分析预防汽油泄漏的控制屏障和泄漏后降低事故后果的补救屏障,找出屏障失效的原因,即由于缺乏屏障维护而使各屏障所出现的隐患。企业根据事故原因分析结果,在自己企业利用屏障思维进行风险管理,为危险源设置屏障,维护屏障,排查并及时治理隐患,从而预防此类事故再次发生。
图2 CAPECO事故屏障思维模型