从波音737MAX事故教训看石化企业开展RAM分析的重要性

蒋利强

(中国石化宁波工程有限公司，浙江宁波 315103)

1 事故简述

2018年10月29日，一架搭载189名乘客和机组人员的印尼狮航波音737 MAX客机，刚起飞不久，飞机就持续出现“低头”故障，尽管飞行员多次试图操纵飞机恢复正常，仍无法控制飞机。13分钟后失联，随后被确认在西爪哇附近海域坠毁，机上人员全部遇难。

2019年3月10日，一架埃塞俄比亚航空公司的波音737MAX客机起飞后6分钟坠毁，机上的149名乘客和8名机组人员无一生还。根据Flightradar24记录的失事飞机最后的轨迹，飞机在起飞后，曾经有过几次突然下降的迹象随后又有拉升，之后消失在追踪画面中。与失事的印尼狮航波音737MAX客机的飞行轨迹颇为相似。

相距仅133天，2架机龄不到1年的737MAX客机，都在飞机起飞后不久，出现颇为相似的故障，先后发生空难，346名乘客和机组人员无一生还，世人为之震惊，对波音737MAX客机是否安全可靠产生严重疑虑，该机型随即在全球范围内遭到停飞或禁飞。随后，波音公司CEO承认737MAX的飞行控制系统存在缺陷。接着，美国联邦航空管理局(FAA)开展对737MAX的可靠性评估。

2 原因分析

经初步调查发现，两起空难皆因客机先天不足，突破极限，强行升级改造，RAM分析失当，留下致命缺陷——机身整体失衡，飞机总是“上翘”，存在严重的安全隐患。不得已，采取打补丁弥补，增设了操控特性增益系统(简称MCAS)。但因与原有的飞控系统整合有误，响应混乱，导致飞行员无法正常判断。而且，波音隐瞒新增MCAS这一重大变更，没有为飞行员、维修人员提供明确告警提示和维修操作指引，对MCAS的维护检测存在盲区，留下隐患。一旦MCAS系统被错误激活，飞行员就没法及时解除MCAS系统，无法进行手动干预紧急处置。波音公司虽经百年磨砺，成为行业王者。终因其最新迭代的737MAX客机RAM分析失当，存在严重缺陷，连续发生两起空难，而陷入困境。

3 事故教训与启示

3.1 可靠性分析不能有丝毫疏忽

鉴于商用飞机对耐用可靠的苛刻要求，从需求分析到试飞验证取得适航证的整个生命周期内，要经过一系列严格、繁复的可靠性分析和评估，并经长周期细致的测试、联调、试飞，以验证其可靠性，不能有丝毫疏忽。但从两起空难初步分析来看，很明显，对改进的737MAX机型，波音对新旧飞控系统兼容融合没有足够重视，飞控系统缺少错误检测、告警提示、自动纠错、紧急中止和人工干预等措施，失去了及时防止和纠正错误飞行模式的机会。很显然，可靠性分析研究不够充分，没有执行到位。可靠性验证不够严格，以致失效。冗余设计存在盲区，容错机制不能发挥作用。系统集成整合存在漏洞，容错能力进一步恶化。测试联调不够到位，错失了最后的改进机会。

反思石化行业，付出的代价也十分惨痛。腾龙芳烃业主因随意将核准的80×104t/a对二甲苯装置规模进行放大，而按160×104t/a对二甲苯的规模进行设计、建设和试生产，而且拒不接受设计和监管部门的意见及警告，不遵守工艺联锁、报警制度和要求，随意解除加热炉等的工艺联锁系统，导致安全保护措施完全失效，可靠性得不到保障从而引发4·6漳州PX项目安全生产责任爆炸事故。在印度博帕尔工厂，美国联碳则更为冒险激进，随意停用原设计的一套冷冻系统，擅自调高报警温度近10 ℃，致使因超温发生剧烈的放热反应。而此时，仪表指示失灵，报警系统处于关闭状态，火炬系统又处于维修中，放空系统泄放能力严重不足，导致大量剧毒MIC蒸气云溢出并持续扩散，造成工业史上最严重的安全事故。

3.2 可操作性分析不能有任何失误

波音公司在机械飞控的躯干上，强加数字电传飞控，以缩小与空客数字电传飞控系统的差距，出现问题时则层层打补丁，最终演变成为不伦不类的“混合式控制”。很明显，采取混合式控制方式后，相关人员针对飞机主控系统开展的失效模式与影响分析(FMEA)不够认真，存在失误。

类似的遗憾在石化行业也一再发生。某石化环氧乙烷装置，因压力连锁、压力控制变送器和现场压力表共用一个引压管，一旦精制单元中醛类发生自聚，极易引起引压管堵塞，就地仪表和控制仪表全部失真，导致操作人员判断失误，不能及时紧急处置。2015年4月21日就因上述原因致使精馏塔超温、超压，进而引发泄漏、着火、爆炸，场面惨烈。

3.3 可维护性分析不能有半点缺失

波音为了抢占市场，故意隐瞒737 MAX机型飞机新增了自动防失速软件MCAS系统这一重要信息。没有向维护人员提供完整的故障检测方法和检测设备，也没有为飞行员、维修人员提供明确告警提示和维修操作指引。以为这样做，可以降低737旧机型飞行员进行737 MAX机型换飞培训的成本，减少航空公司负担。同时，又可以减少操作手册、飞行手册等方面的更新成本，还可以节省对维修人员进行额外专门培训的成本，以巩固现有执飞737的客户。结果，缺少详细操作指引的维护人员很难检测出飞机控制系统存在的故障，导致MCAS系统处于带病运行状态。

显然，项目团队开展的可维护性分析不到位，存在缺失。按照关键系统必须有冗余、子系统要多样化的惯例，凭借积累的传感器故障频率历史数据，对于如此关键的迎角传感器肯定会设置2-3个，互为对照，并加强维护，以确保准确无误。同时，按照以可靠性为中心的维修(RCM)的原则，应及时更新维修操作指引。

石化行业也有切肤之痛。1984年11月19日，墨西哥国家石油公司LPG储运站因疏于维护，带病运行，一条连接管线发生龟裂，大量LPG泄漏形成蒸气云积聚并向外扩散，遇火导致蒸气云剧烈爆炸，造成约650人死亡，6 000多人受伤，近31 000人无家可归。河北盛华化工公司严重违反《气柜维护检修规程》，聚氯乙烯车间的1#氯乙烯气柜长年失修，发生卡顿、倾斜，氯乙烯外泄。又因擅自关掉可燃、有毒气体报警设施，操作人员没能及时发现气柜异常，仍然按照常规操作方式调大压缩机回流，致使进入气柜的气量加大，加之调大过猛，氯乙烯冲破环形水封泄漏，大量向厂区外扩散，遇火发生剧烈爆燃。

显然，为避免以上的惨痛事故，确保本质安全，实用可靠，认真开展可靠性、可操作性、可维护性(RAM)分析十分必要。

4 开展RAM分析面临的困难及挑战

目前，石化行业陆续开展的有事故树分析(FTA)、危险与可操作性分析(HAZOP)、故障模式和影响分析(FMEA)、保护层分析(LOPA)、安全完整性等级(SIL)、基于风险的检测(RBI)、以可靠性为中心的维修分析(RCM)以及寿命周期费用分析(LCCA)等。定量风险评估(QRA)尚处在摸索阶段，只是零星开展。定量风险评估在石油化工领域的应用还不是很充分[1]，在数据采集、危险设别、单元选择、事故模式和风险度量等多方面都不规范[2]。可靠性、可操作性和可维护性(RAM)分析更是鲜有开展，仅在个别企业的部分项目进行了初步尝试，已落后轨道交通行业，与国际同行的差距甚远。

要实现RAM分析技术潜在的强大功能，预测装置全生命周期的性能，需要有雄厚的基础数据积累，扎实的风险评估和可靠性分析功底，经验丰富的专业团队。尚有不少差距，很有挑战。

5 石化企业开展RAM分析的建议

5.1 注重数据的积累

可靠性分析评估严重依赖数据，数据是基础、是核心。若可靠性数据匮乏，将造成可靠性分析评估始终在一个十分肤浅的水平上徘徊。长期以来，由于现场设备缺少用于可靠性分析的准确寿命数据，导致国内石化行业进行可靠性分析研究的困难较大[3]，造成评估结果的不准，不能及时发现存在的隐患及缺陷。如腾龙芳烃(漳州)有限公司对二甲苯装置的工程设计完全符合GB50160—2008《石油化工企业设计规范》的相关要求，但因没开展定量风险评估(QRA)，不能给出定量准确的爆炸云图，造成合法合规但不实用可靠的被动局面。被“4·6”事故调查组认定为“存在整体设防标准低、一些消防安全内容缺项、只考虑防火未考虑防爆等突出问题，不能满足大型石油化工企业可靠性要求”。

开展RAM分析更需要大量翔实、准确的装置各单元、各回路、各组件的可靠性方面的基础数据，包括可靠性数据、可操作性数据和可维护性数据。目前国内RAM分析主要还是依托国外专业机构相关数据库，主流的有OREDA、PDS、EGIG、SERH、FARADIP和IEEE，这些数据库或数据手册积累了长达几十年的全球不同地区、不同装置(单元)、不同设备种类和不同运行工况下的设备实际运行统计数据(故障及维修数据)，如OREDA收集了来自北欧、墨西哥湾、安哥拉、亚得里亚海及里海等地区的可靠性数据。短期来看，可以为我所用，但费用不菲，且受人制约，绝非长远之计。必须以抢占战略资源、生产要素的高度，下大力气认真梳理目前数据收集和整理方面存在的困难和问题，特别要关注那些年代久远的老旧装置，尽快补上短板，加快数据积累，提高应用水平。

5.2 加强数据的集成

RAM分析既涉及PID、PFD、静设备、动设备、安全仪表系统等专业，又与工程公司、设备制造厂家、生产企业和运维单位相关。如何改变目前设计、制造、生产、运维数据相互割裂、碎片化的局面，使可靠性数据、可操作性数据和可维护性数据能够集成优化，精准匹配，有效利用。需要尽快解决数据标准化、结构化瓶颈问题。另外，还要尽快建立协同平台，完善协调机制，实现数据共享，最大限度发挥集成效应。

5.3 加快专业团队的培养

经过众多项目的锻炼和实践，培养了一大批风险评估和可靠性分析的专业人员，但要熟练运用Monte Carlo这一类模拟分析方法开展RAM分析涉及的故障分析、损失计算、敏感性分析以及资产评估和优化等的分析评估，尚需时日，还不完全适应，需要加快培养。

5.4 加强经验的共享

因RAM分析鲜有开展，体会不深，经验不足，难度不小。需要加大学习交流力度，建立经验共享机制，以期少走弯路，避免低水平徘徊。要充分借鉴福建联合石化等已取得的成果，学习成功的经验，了解遇到的困难，尽快扭转目前起步不高、参差不齐的局面，达到共同促进共同提高。同时，紧盯国际前沿，加强国际合作，提高专业水平。

5.5 深化RAM分析

鉴于RAM分析理念先进，功能强大，效果明显，深为Exxon Mobil、Saudi Aramco等各大主要石化企业所推崇。必须瞄准前沿、统筹策划、因地制宜，下大力气推进可靠性、可操作性和可维护性(RAM)分析，帮助找出石化装置各系统流程中各条可靠性链条上的薄弱环节，优化系统配置，实现设备利用最优，避免设备事故发生，促进装置安全长周期运行[4]。同时，进一步深化RAM的应用，用来预测装置全生命周期内的性能表现，提升竞争能力。

5.6 加大软件的开发

目前，国产可靠性分析软件与国际上相比，无论是软件的开发技术、软件的工程化程度，还是软件的工程适应性和软件的开发应用范围都存在较大的差距。几经努力，仍未改变可用国产可靠性软件奇缺，功能单一，通用性差，集成度低的被动局面，不可与国际主流的软件同日而语。例如，挪威DNV GL旗下用于RAM分析的DNV Taro和DNV Maros软件，因其功能强大、集成度高、适应性强，为业界高度认可、广泛应用，成为行业标杆。需要抓紧组织由设计、制造、生产、运维方面专家组成的团队，与著名院校、软件开发商组建开发组，进行联合攻关，以突破瓶颈，尽快改变目前受人制约的被动局面。

6 结语

认真开展RAM分析，对于保障石化企业安全生产有着重要意义。石化企业应认真梳理自身在RAM分析方面存在的不足和差距，直面困难和挑战，下大力气补齐可靠性数据收集、整理、加工、集成以及专业队伍建设等方面的短板，进一步挖掘RAM的强大功能，拓展并深化RAM的应用，提高可靠性、可操作性和可维护性，确保石化生产企业本质安全。