胡月亭高级工程师 邱少林高级工程师 刘景凯教授级高级工程师 曾明荣教授级高级工程师 杜 民高级工程师
(1.中国石油天然气集团公司,北京 100035;2.中国安全生产科学研究院,北京 100012)
目前,我国有关生产安全风险管理方面的术语与概念比较庞杂、混乱,如与Hazard相关的名词术语就有20多个,其中,在国家标准中对Hazard就有5种不同的翻译方式。这些基础名词术语的多样化、不统一,不仅妨碍学术的沟通交流,也直接影响日常风险管理工作。因此,亟需对这些风险管理基础名词进行梳理分析,给出明晰定义和统一称谓,并厘清它们之间的逻辑关系以及这些基础名词术语在事故致因和防控中的作用和地位等。本文基于屏障模型辨析安全生产风险管理基础名词术语及它们之间的相互关系,从而更好地理解和应用风险管理,做好事故防控。
瑞士奶酪模型认为,防范能量或有害物质意外释放的屏障(即风险控制措施),像有孔洞的瑞士奶酪片一样,层层遮挡在危害因素(Hazard)之前,这些孔洞的尺寸、位置随时间在不断变动,当某一时刻所有屏障上的孔洞都位于一条直线上时,就形成通路,从而导致事故发生。
瑞士奶酪模型对于事故致因的解释,虽然直观、形象、生动,但也存在很多问题。单从屏障理论的角度,该模型把屏障比作自始至终都带有漏洞的“瑞士奶酪”,给人们造成“没有无缺陷的屏障”的错觉,由此会误导人们对屏障本质的认识,降低对屏障质量的重视程度。另外,瑞士奶酪模型把所有对防控能量或有害物质起作用的事物都视作屏障,且放在同一层面上,与客观实际不符,致使实际应用过程中遇到许多难以解释的问题。
笔者尝试对瑞士奶酪模型进行改进,构建在结构形式上类似于瑞士奶酪模型的屏障模型,如图1。屏障模型具有3个部分:一是导致事故的源头、根源——能量或有害物质;二是失控的能量或有害物质对可能波及的对象(称之为“受体”)造成的事故损失;三是分隔在能量或有害物质与“受体”之间,防止能量或有害物质失控的手段——防控屏障,只要其中任一屏障有效发挥作用,就能够防控事故发生,否则,事故就可能发生。
图1 屏障模型示意图
屏障模型除把瑞士奶酪模型中的事故致因物由“危害因素(Hazard)”改变为“能量或有害物质”之外,二者最大的区别体现在防控屏障上。
首先,在屏障质量方面,与瑞士奶酪模型不同,屏障模型中的防控屏障为不能有漏洞的真实屏障。这里的“不能有漏洞”并非意味着屏障的尽善尽美,没有任何缺陷,而是屏障必须发挥其应有作用或功能,如果屏障出现漏洞,就意味着屏障失去防控作用。因此,必须高度关注屏障的质量,确保屏障不出现漏洞。
其次,在屏障数量方面,屏障模型根据屏障性质,对屏障进行分级、分类。屏障分级是把屏障划分为直接用于能量或有害物质防控的直接屏障、通过直接屏障而起防控作用的间接屏障。在直接屏障中,只有人员类屏障(一线岗位员工操作)与硬件类屏障(现场设备设施情况)2种基本类型。间接屏障作为直接屏障的支撑,由于其作用已通过直接屏障得以反映,不能再出现在屏障模型中,因此,在屏障模型中,屏障的数量就是人员、硬件类直接屏障的数量。这样不仅厘清不同层面屏障间逻辑关系,而且屏障的数量可数,为量化风险防控奠定科学基础。屏障模型可以弥补瑞士奶酪模型没有对屏障类型进行划分,解决不同层级的屏障都混放在对能量或有害物质防控的同一个层面上,导致屏障功能重叠、数量重复的问题,能真实地反映客观实际。
目前,在我国与Hazard对应的词语很多,如危险因素、有害因素、不安全因素、危险、危险源、危险(源)、危害、危害源、危害(源)、风险源、风险点、风险因素、危害因素、隐患等,因此,应把这些词语进行整合。如前所述, Hazard单在国家标准中就有5种不同的中文翻译,其中,在安全生产领域将其译成 “危险源”最为常见。《职业健康安全管理体系》把Hazard定义为:可能导致人身伤害和(或)健康损害的根源、状态或行为,或其组合。两类危险源(Hazard)理论也认为,危险源(Hazard)分2类,一类是系统中存在的、可能意外释放而引发事故的物质,它就是屏障模型中需要防控的能量或有害物质,即“根源”类Hazard;另一类则是导致限制、约束能量或有害物质措施(屏障)失效的各种不安全因素,它就是屏障模型中人员、硬件屏障上的漏洞,即“行为或状态”类Hazard。由此可见,Hazard包括导致事故发生的“根源”类Hazard与“行为、状态或其组合”类Hazard 2种类型。鉴于汉语语境中“危险源”一词的“源”表示“根源、源头”十分合适,但不适于表示“行为或状态”,因此,一直以来把Hazard译作“危险源”存在很大争议,同时它也与“重大危险源”的定义不一致。相反,“危害因素”一词为中性词语,既可表示源头、根源类物质,也能表示行为、状态类情形,而且“危害因素”还可以理解为危险因素、有害因素、危险有害因素以及危险、有害因素的简称,因此,把Hazard译作“危害因素”十分合适。目前,在对2018版《职业健康安全管理体系》翻译时,已将Hazard由“危险源”改译为“危害因素”。同时,在企业风险管理活动中,人们也更习惯使用“危害因素”这个术语。总之,把Hazard译作“危害因素”既可以解决“危险源”无法涵盖“行为、状态”类Hazard的问题,也能够整合与Hazard相关的众多名词,同时还与Hazard形成一一对应的关系。
另外,在两类危害因素中,鉴于能量或有害物质是导致事故发生的根源或源头性的东西,即危害因素定义中的“根源、源头”,因此,把这类危害因素称为“源头类危害因素”更为合适,“源头类危害因素”可称为“危险源”,如“重大危险源”中的“危险源”正是此意;另一类则是在防控源头类危害因素过程中,伴随防控屏障(措施)而出现的、可能导致防控屏障(措施)失效的不安全因素,即危害因素定义中不安全的“状态或行为”,与源头类危害因素相对应,它们是导致事故发生的外部原因。由于它们是在防控源头类危害因素过程中,伴随防控屏障(措施)出现的衍生品,因此,此类危害因素可形象地称为衍生类(派生类)危害因素。
根据风险管理原理,要防控事故的发生,首要任务是找出可能导致事故发生的致因因素——危害因素,如图2。为此,应首先辨识出导致事故发生的源头类危害因素,只有这样才能有的放矢地设置针对性屏障(措施)进行防控,同时还要辨识出导致屏障(措施)失效的“行为、状态”类危害因素——衍生类危害因素,只有这样才能确保屏障(措施)持续有效发挥作用,从而达到防控事故发生的目的。由屏障模型理论可知,限制、约束能量或有害物质的直接屏障(措施)分为2大基本类型:人员屏障与硬件屏障。鉴于任何类型的屏障都可能会因其自身本质特征缺陷而失效,如人员屏障可能会出现人的不安全行为;硬件屏障可能会出现物的不安全状态。这种由于屏障(措施)自身本质特征缺陷可能出现但尚未出现的衍生类危害因素就是“潜在型危害因素”(The Potential Hazard),如螺栓固定的组件可能但还未出现螺母松动脱落,人员可能但还未出现违章行为等。对潜在型衍生类危害因素预防失效而转变为“现实型危害因素”(The Actual Hazard),现实型危害因素就是所谓的“隐患”。“隐患”的出现就会使屏障(措施)失去作用,至少影响其作用的发挥,从而可能导致源头类危害因素失控,造成事故发生。
图2 危害因素与危险源、隐患关系示意图
由此可见,要防止事故发生,首先要设置屏障防控源头类危害因素,即危险源;防控屏障(措施)上的漏洞就是由潜在性危害因素失控形成的现实型危害因素,即隐患,人员类屏障上的隐患即人的不安全行为;硬件类屏障上的隐患即物的不安全状态,它们正是导致事故发生的直接原因,表现为直接屏障上的漏洞,间接屏障上的漏洞也是“隐患(管理缺陷)”,间接屏障上的漏洞(管理缺陷)是导致直接屏障漏洞产生的原因,也就是事故的管理(间接)原因,它们是事故直接原因产生的原因,如图3。
图3 与危害因素(Hazard)相关的名词术语关系图
需要指出的是,理论与现实会有所出入,隐患管理亦如此,例如,按照国家隐患排查治理要求,因安全标准升级也会产生新的隐患界定;在隐患排查治理上,企业往往只是针对物态隐患进行立项整治,对于人的行为型隐患大多并不在隐患排查治理的范畴,等等。
危害因素是指可能导致人身伤害和(或)健康损害的根源、状态或行为,或其组合,其实质是将来可能引发事故的原因,是一种需要辨识出来并加以防控的客观存在。鉴于并非所有危害因素都需要防控,因此应通过风险评估,根据危害因素的风险程度,决定是否防控以及如何防控(即风险分级管控)。风险是评判辨识出来的危害因素是否需要防控、如何防控的一种评价指标、衡量参数。所谓风险是指(危害因素导致)事故发生的可能性与事故后果严重程度的组合。源头类危害因素决定着事故后果的严重程度,衍生类危害因素决定着事故发生的可能性。总之,事故发生可能性及其后果严重程度主要是由危害因素所决定,危害因素决定风险程度的大小、高低,当然同时还受其他因素的影响。
由此可见,危害因素与风险的关系类似于“皮”与“毛”的关系,危害因素是主体,风险是附着在危害因素之上的客体,是反映危害因素危险程度的一种特征指标,有危害因素必然有与之相对应的风险。在风险管理活动中,辨识客观存在的危害因素,评估辨识出来的危害因素的风险,所谓“风险辨识”实质上是“风险(源)”辨识,“风险(源)”即安全生产领域的“危害因素”。如上所述,虽然风险是对危害因素的一种评价指标,但因危害因素是客观存在,因而依附于危害因素的属性——风险,在一定程度上讲,也是一种客观存在,即所谓“风险无处不在”,正是因为危害因素的普遍存在。
事故究竟如何发生?能量意外释放论解释事故发生的内因,屏障模型解释事故发生的外因,二者结合在一起,则能够科学合理地解释事故的致因机理。
能量意外释放论认为,事故之所以发生,究其实质,就在于客观存在的能量或有害物质失去控制而意外释放,波及到“受体”(人员、财物、环境等),当对“受体”的冲击超过其承受程度(门限值)时,就会受到伤害、破坏或污染等,这就意味着事故的发生,否则,就是未遂事故。因此,只要有能量或有害物质存在,就有事故发生的可能。
屏障模型理论认为,能量或有害物质之所以失去控制,就是因为防控能量或有害物质的直接屏障——人员屏障与硬件屏障,都因其自身本质特征缺陷而存在潜在危害因素,其失控就会转变为现实型危害因素——隐患,隐患会导致屏障失去作用,造成能量或有害物质失控,进而造成事故发生。当然,鉴于对能量或有害物质的防控一般都具有多重屏障(人员类屏障、硬件类屏障),既使个别或部分屏障存在隐患,只要其中任何一个屏障能够发挥防控作用,就能够防控事故发生,这就是多重屏障设计能够提升安全系数的道理,更何况,屏障即使存在隐患,也不一定立即、完全丧失作用,这就是事故是小概率事件的道理。
源头类危害因素即能量、有害物质,它们是导致事故发生的根源、源头,只要有源头类危害因素存在,就有事故发生的可能。虽然“消除”源头类危害因素,可做到一劳永逸,但可被 “消除”的源头类危害因素并不多,即便采用“替代”或“减少”措施,也未必能够使其风险程度削减到“合理、实际且尽可能低”的水平,因此,绝大多数源头类危害因素防控,都将通过工程控制和管理控制2类措施分别与屏障模型中的硬件类屏障和人员类屏障相对应。
鉴于约束、限制源头类危害因素(能量或有害物质)的防控屏障(措施)都具有可能致使屏障产生漏洞的潜在型危害因素,如果其失控转化为现实型危害因素(隐患),屏障就会失去作用,因此,要有效防控事故发生,必须确保防控屏障上潜在型危害因素始终处于“潜在”状态。如前所述,衍生类危害因素按照存在状态,可分为潜在型危害因素与现实型危害因素,若按照其表现形式,又可分为直接屏障漏洞与间接屏障漏洞,间接屏障漏洞(不良安全文化、组织监管问题等)导致直接屏障漏洞的产生。因此,应通过培育企业良好安全文化或强化组织监管等手段,也就是通过发挥间接屏障的作用,确保直接屏障完好无漏洞,从而确保源头类危害因素(能量或有害物质)受控,事故就不会发生。
综上所述,要做好事故防控工作,首先要通过本质安全措施,或从根本上消除源头类危害因素,或通过替代/减少手段消减源头类危害因素,做到本质安全,避免事故发生。否则,就需要建立安全屏障(风险控制措施),做好对源头类危害因素的防控。对安全屏障进行控制时,应通过间接屏障做好对直接屏障的维护工作,提升直接屏障质量,使衍生类危害因素始终处于潜在状态,从而使防控屏障发挥其应有作用,在此基础上,还应该考虑通过增加安全屏障数量来提升安全系数。当然,应对潜在型衍生类危害因素防控失当而出现的现实型衍生类危害因素(隐患),应通过隐患排查治理,立即消除隐患,使屏障重新发挥防控作用。
(1)众多与Hazard相关的名词可梳理整合为“危害因素”一词,危害因素按其致因机理,可分为源头类危害因素(危险源)与衍生类危害因素2大类型。衍生类危害因素按其存在状态,可分为潜在型危害因素与现实型危害因素,其中,现实型危害因素就是隐患。风险管理实质上就是围绕上述3类危害因素进行管理。
(2)危害因素是一种客观存在,风险是反映危害因素危险程度的一种特征指标、衡量参数。在危害因素与风险的关系中,危害因素是主体,风险是附着在危害因素之上的属性、客体。衍生类危害因素决定着发生事故的可能性;源头类危害因素决定着事故后果严重程度;同时还受其他相关因素的影响。因此,有危害因素必然有与之相对应的风险,反之亦然。
(3)屏障模型既可用于对风险管理基本术语的解释,还可用于事故致因分析,也可用于事故防控,同时,也是屏障类工具、方法的基本组成单元,因此,屏障模型可作为屏障理论的基本模型。