樊运晓教授 韩丹丹 牛 毅 李元龙
(1.中国地质大学(北京) 工程技术学院,北京 100083;2.应急管理部国际交流合作中心,北京 100713)
在生产安全领域,危险一词来源于国外Hazard,自20世纪80年代引入我国,早期被译为危险、危险源、隐患、危害、危险及有害因素等,目前国内依据系列标准中关于其术语的定义多译为危险源。鉴于Hazard一词字面本身并无“源”的含义,本文仍用“危险”或“Hazard”表达。隐患、事故隐患最初作为共识用语出现在我国生产安全领域,主要表征导致事故发生的前提或征兆,但随着2007年《安全生产事故隐患排查治理暂行规定》的出台与推进,事故隐患在我国安全生产领域已成为一个安全术语,成为政府监管机构对企业执法检查的主要对象以及企业事故预防的根本出发点。事故隐患排查制度引发了学者和企业界对危险源和隐患的定义、内涵及外延的广泛争论,至今仍未形成一致结论。基于此,本文拟以溯源的视角梳理Hazard和隐患产生的背景及二者之间的关系。
早期的事故致因研究中,无论是20年代的事故倾向理论还是30年代的多米诺骨牌理论,亦或是40年代基于个人认知的人因失误分析,Hazard一直以来仅作为一个工作实践中形成的共识用语出现在事故预防文献中,如Heinrich在其第一版《工业事故预防》一书中,多次出现“物理的、机械的或材料的危险”表述,但从未给出“Hazard”的定义,后在事故致因分类中仅罗列“Hazard”为(设备等)无防护、防护存在缺陷以及(工作环境)光线不充足。英文中当时对“Hazard”认知如同我国安全生产中早期所指的“隐患”,虽未给出明确定义,但读者根据生活或生产经验可理解为会导致事故而尚未发生事故的状态或条件。
20世纪50年代末,随着系统安全学科的产生,一些与安全相关的工具和技术,包括对他们的表述得以固化和规范化,形成相关术语和概念,学者们在该领域及其他领域讨论安全时有了规范化的语言,Hazard便是其中最为重要的概念。系统安全不仅率先定义危险、事故风险等安全科学的相关术语,其更为重要的贡献在于它为人们提供事故预防的新理念。系统安全之前,事故预防是基于事故后(After-the-fact)、零敲碎打地获取未来事故预防的手段,在航空领域形象地用“Fly-Fix-Fly”3F方式表达,如图1。系统安全的理念出现后则不同,它是基于事故之前(Before-the-fact)的,通过有计划和系统组织而采取“辨识—分析—控制(Identify-analyze-control)”的方法以实现安全,即事故预防的关口前移;而“辨识—分析—控制”的对象就是“Hazard”,系统安全建立了危险与事故的联系,注重通过危险辨识以实现危险控制,从而达到事故预防的目的,如图2。
图1 基于事故后预防的3F方法
图2 系统安全流程
系统安全思想最早在军用航空领域产生,美国国防部(Department of Defense, DoD)颁布的军标MIL-STD-882被称为系统安全的“圣经”,该标准第一版历经7次修改后于1969年出版,标准中定义了14个术语,其中Hazard被定义为“任何导致人员伤亡或设备、社会财富损失的真实或潜在条件”,该定义是目前文献中有关Hazard最早的定义。882标准分别于1977、1984、1993、2000和2012年进行修订,标准号也依次升级为“882A”至“882E”。尽管后续882的标准中有关危险的定义有所变化,但定义的确定是基于目标威胁后果的特性却始终未变。下表中给出882B到882E各版本中有关事故与危险的定义,可以看出危险的定义是基于工作系统中人员、设备或社会财富以及环境的威胁(Threat)而描述的,危险是事故的前提条件,而事故是危险的真实结果。
20世纪60年代末,美国原子能委员会(Atomic Energy Commission, AEC)意识到美国国防部和美国宇航局在系统安全方面的努力与成效,决定在原子能领域建立适用于该领域的系统安全方法,由此形成了著名的管理疏忽风险树(Management Oversight and Risk Tree, MORT)手册,成为系统安全的第二个主要分支。这份手册在Haddon能量理论(屏障理论)基础上,基于“危险是如何产生的”考虑,与军标882从威胁目标描述事故不同,而是从如何预防事故的视角定义事故,并由此形成新的危险定义(见下表最后一行),危险的辨识涉及生产系统中不希望的能量传递以及正常操作中产生的变更。该方法当时在荷兰皇家壳牌(Royal Dutch Shell)公司得以全面(Full-scale)应用。
表 系统安全中关于危险与事故的定义
系统安全思想在80年代引进到设施领域和化工行业,发展形成多种危险分析方法,后续推进了对基于风险工艺系统安全(Risk-based Process System Safety)和本质安全(Intrinsic Safety)的追求。
系统安全关于危险的定义,采用基于危险的事故预防策略与传统的基于事故的事故预防相比较具有“关口前移”的先进性,然而由于事故致因的复杂性,危险与事故的定义并不精确,且似乎并不存在更为精确的定义,因而当随着系统安全学科的发展及其在生产实践和政府监管中的应用,人们对危险的探索转向其分类。美国职业安全与健康管理局(Occupational Safety and Health Administration, OSHA)在其成立早期从能量、设施等多个方面建立危险检查表;英国安全与健康执行局(Health and Safety Executive, HSE)成立伊始,也曾对1972年罗本斯报告之前英国的危险控制策略进行检验,并于1979年完成《工业危险和安全手册》,对作业场所的危险进行细致分类并逐渐形成各类危险操作规范(Code of Practice)与指南(Guidelines);我国于1992年形成国标《生产过程危险和有害因素分类与代码》(GB/T 13861-1992),并于2009年更新。
1981年原国家劳动总局科技人员了解到国外关于“系统安全”思想时,出于专业敏感性,立即对其产生极其浓厚的兴趣,于是着手翻译一册较权威著作《系统安全工程导论》;系统安全关于“Hazard”的思想以及随之而来的事故致因理论研究推进我国安全原理与事故预测的研究,逐渐形成中国危险源(Hazard)概念。隋鹏程、陈宝智认为生产作业活动中“生产区域”可能由于自然因素、技术因素和管理因素等导致作业中发生伤亡或中毒事件,因而称“单元作业”为危害源,其触发因素涉及作业过程中的自然环境、加工环境、检测技术和控制技术条件以及社会环境、政治经济和管理条件。之后,因“Hazard”按英文辞典的解释为“Hazard — a source of danger”将其译为“危险源”,文献有时也将其译为“危害”,或根据其导致的结果为即刻死伤(危险)或长久的职业病(有害)又译为“危险有害因素”,定义为“可能导致人员伤害或财务损失事故的、潜在的不安全因素”,后随着20世纪90年代职业健康安全管理体系的发展及有关标准的等同引进,“Hazard”在中国逐渐被固定译为“危险源”。
危险源因其导致事故发生、造成伤亡后果的不同而需要人们采取不同方法进行控制,陈宝智根据危险源在事故发生、发展中的作用而将其划分为2大类,即第一类危险源和第二类危险源:第一类危险源指生产现场中产生能量的能量源或拥有能量的能量载体,如带电的导体、奔驰的车辆等;导致约束、限制能量的措施(屏蔽)失控、失效或破坏的各种不安全因素作为第二类危险源,通常包括人失误(后多称为“人的不安全行为”)、物的故障和环境因素(如图3灰色部分)。第一类危险源与第二类危险源的划分与文献关于Hazard的定义相一致。文献将2类危险源理论进一步扩展到隐患,认为我国在长期事故预防中经常使用的事故隐患一词,是实践中人们形成的共识用语,主要指在控制方面存在明显缺陷的第一类危险源。依据此定义,隐患是指第一类危险源存在情况下发生在第一类危险源控制、屏蔽(第二类危险源)上的缺陷,文献[24]基于管理体系审核的考虑在我国特种设备隐患分类研究中,将隐患中的控制因素补充了管理缺陷及审核的不符合。由此看来,中文隐患与英文“Hazard”的内涵并无本质区别,隐患的排查是涉及2类危险源的辨识。
图3 系统安全的事故因果连锁
军标882标准对Hazard的系列定义是从危险所涉及的威胁目标描述的;Johnson基于Haddon能量理论对Hazard的定义以及陈宝智等对2类危险源的划分均从组分或属性来表征Hazard。随着系统安全科学新进展,国际系统安全学会前主席Ericson在军标882D关于Hazard定义以及与事故的关系的基础上提出危险理论,该理论认为Hazard由3个必要且耦合的组分组成,即危险因素(Hazardous Element, HE)、触发机理(Initiating Mechanism, IM)和威胁目标(Target and Threat, T/T),后修正为危险源(Hazard Source, HS)、触发机理和目标威胁结果(Target-Threat Outcome, TTO)。Hazard的定义为:由危险源、触发机理和目标威胁结果组成的一系列非活动的条件,当触发事件被激活时则会演变为事故。其中:危险源指基本的危险来源(Source of Danger),如能量或危险化学品等,内涵同第一类危险源;触发机理指触发由危险的不活动状态向事故发生的转化的事件,内涵同第二类危险源;目标威胁结果指事故发生后所伤及的目标。图4展示了危险的组分及危险与事故间的关系。Hazard理论较为深入地揭示了危险与事故间的关系,这一关系为人们准确刻画危险场景提供依据,合理实用的危险辨识是基于危险三要素的准确描述,也恰恰是对三要素的客观描述才能为危险控制提供量体裁衣式的消除或预防措施。然而危险三要素理论是基于系统安全学科形成的,其研究对象着落于系统及其生命周期的范畴,当事故致因理论的发展突破个体及系统,事故致因由个体因素转向组织因素,也激发人们对触发机理内涵的思考,基于Reason的瑞士奶酪模型,樊运晓等认为如将现代事故致因理论中的危险按其要素分离,致因理论所呈现的事故致因因素则是触发“屏蔽”失效,使得“HS”作用于“TTO”的触发机理,因而定义触发机理为触发HS屏蔽/屏障失效,导致HS作用于TTO的因素(文献[26]中危险要素采用旧版本,系HE、IM和T/T,如图5),而这些因素随着事故致因理论的发展由个体转向组织,直至转向安全监管系统,包括企业、第三方,也包括政府监管机构等。需要说明的是:无论早期的事故倾向理论或多米诺骨牌理论,还是后期基于瑞士奶酪模型而发展起来HFACS模型、STAMP模型或Accimap模型,事故致因都是基于统计的研究方法而确定的,因而对某一个特定危险的辨识应在辨识HS的基础上,结合具体工作场所现场环境及监管环境,针对性确定触发HS屏蔽失效的触发机理,忽略现场情境而仅依据事故致因理论确定的触发机理或事故隐患是不具有针对性或可靠性的,因而难以形成合理有效的控制措施。这正是文献[6]所说的难以给出更为准确的Hazard定义的原因,也恰恰是目前生产实践中危险源辨识或隐患排查中被忽略的地方。
图4 危险的组分及危险与事故关系
图5 修正的危险与事故关系图
本文采用文献溯源方法对英文Hazard定义的产生与发展进行综述,并比较Hazard与中文事故隐患的关系,得出如下结论:
(1)Hazard是在安全科学领域由人们的共识用语发展成为系统安全学科的术语,该术语的确定促使事故预防策略“关口前移”。
(2)Hazard的内涵由危险源、触发机理和目标威胁结果三要素共同耦合组成,只有基于Hazard三要素的辨识才能准确描述危险场景或情景,继而提出实用可靠的危险控制措施。
(3)Hazard的触发机理因素随着事故致因理论的发展而发展,已由早期的系统因素、个体人因因素扩展到组织因素与安全监管系统因素。
(4)英文Hazard与中文隐患的定义与内涵并无根本区别,实践中比定义更为重要的是如何通过辨识Hazard/隐患场景从而确定合理可靠的控制措施。