基于Bowtie方法的船舶失电事故分析

徐成， 刘崇

(1.中国船舶及海洋工程设计研究院，上海 200011；2.上海船舶研究设计院，上海 201203)

0 引 言

随着民用航运业的不断发展，货运量的不断上升以及运输船舶的越来越大型化，再加上大型船舶上配置的各类电力设施趋于复杂化，这些因素间接导致了船舶失电事故变得越来越频繁，后果也越发严重化。另外，随着大型客、货船尺寸和人员不断增加，国际海事组织更加关注航行的安全。基于对仅30年来因火灾和进水事故导致的动力失效、弃船或沉船事故的分析发现，若能将意外有效控制，防止船舶失电，对于保证航运输送的安全运营和保障运营方财产的安全具有重大的意义[1]。同时，进行船舶失电风险分析，可为船舶安全航行提供科学、有效和经济的防治技术，为防治方案研究奠定基础。

1 船舶失电事件

1.1 船舶失电造成的危害

危害按其发生时间顺序可分为原生危害和次生危害。危害链中最早发生的起作用的危害称为原生危害，例如在船舶失电事故中发电机解列和电气设备损坏等。而由原生危害所诱导出来的危害则成为次生危害，例如船舶发生碰撞、火灾和人身安全等。

一般来说，当船舶航行过程中发生故障时，例如设备过载或短路，并联运行的发电机解列，进而使得整个电力系统失电，产生的直接危害(原生危害)，包括：推进系统及操纵系统功能瘫痪、导航通信能力受损或失去、重要船舶航行或任务设备损坏。因原生危害而引伸出的次生危害包括：进出港时船舶失去控制，撞向码头或码头周边设施；狭水道航行时，容易搁浅或撞击岛礁；繁忙航行水道，容易发生撞船事故。

1.2 典型失电事故案例分析

案例1：2012年一条液化天然气运输船，在日本川崎市靠港航行，准备在液化天然气泊位码头卸货，安装在燃气管路上的气体泄漏探测器发生误报警导致锅炉在燃气模式下熄火，为保持推进装置安全运行，轮机长手动将锅炉燃烧模式改为燃油模式，并采用启动备用柴油发电机的方式，替换一台锅炉驱动的蒸汽涡轮发电机。然而备用柴油发电机在与另一台涡轮发电机并网运行5 min后，出现了不稳定运行，最终柴油发电机和涡轮发电机的主断路器跳闸，全船失去供电。

案例2：2019年一条散货船在航行过程中突然出现主机滑油压力低报警，该报警触发了主机降速运行信号，而主机降速后，为其服务的辅助鼓风机和液压泵自动启动。自动启动触发了电站的优先脱扣动作，而后发电机主断路器脱扣，主电源失电。应急发电机启动后供电。后船员试图启动脱扣的发电机和其另外的备用发电机，但均失败，最终应急发电机也失效，造成全船失电。

案例1中的液化天然气运输船的动力模式为主锅炉蒸汽推进方式，安装在天燃气动力主管路上的气体泄漏传感器与燃气供气单元联锁。当发生严重燃气泄漏后，供气单元自动切断供气，保证机舱安全。然而该传感器的误报警，使得在并未发生燃气泄漏时，供气单元就切断了向动力装置提供燃气，导致主锅炉熄火，为减少蒸汽消耗，轮机长贸然用一台额定功率较小的柴油备用发电机代替在网运行的蒸汽动力发电机，导致发电机并网后，负荷冲击电网造成发电机保护装置脱扣，全船失电。案例2主机降速报警信号使得主机降速运行，主机在低转速情况下，为了维持空气与燃料的燃烧比，系统自动起动了主机辅助鼓风机和相关的电气设备，然而这些电气设备的同时启动超过了一台发电机的额定负荷率，导致发电机过载失电。

2 Bowtie方法简介及其构建方法

2.1 Bowtie模型简介

Bowtie分析法(也称为“蝴蝶结分析法”)是基于“三角模型”以蝴蝶结的方式最初进行风险分析。Bowtie方法主要用于风险评估、风险管理及事故调查分析等，可以更好地说明特定风险的状况，以帮助人们了解风险系统及防控措施系统。由于其图形与蝴蝶结相似，故也叫蝴蝶结分析法，这种分析方法又称作关联图分析法。

2.2 构建Bowtie模型的方法

构建Bowtie图的方法如下：

(1) 通过认识并判别需要具体分析的事故事件或危险事件，将其定义为该模型内的顶级事件。

(2) 分析发生顶级事件的起因(危险源头)，并将其在蝴蝶结图的左侧的各个源头因素与顶事件之间进行线性关联。

(3) 分析发生顶级事件与危险源头之间的内在关联性，提出相应的预防性方案或控制措施(主动性)。识别可能造成主动预防控制解决措施无效的升级因素及控制这类风险提升因素的措施，并纳入模型图中。

(4) 在整个模型图的右侧，识别顶级事故事件可能导致的各类潜在后果，并用直线连接。分析顶级事件与各类后果间的内在关联性，制订相应的减缓或控制措施(被动性)，列入连接顶级事件与潜在后果之间。

Bowtie模型拓扑图如图1所示。

图1 Bowtie模型拓朴图

3 应用Bowtie方法对船舶失电事故进行分析

对于整个失电事故的发生所经过的必要条件是船舶和电力系统或电力设施，其中船舶是人类发展全球贸易所必需的交通工具，为避免失电事故的产生而限制船舶的使用是不可取的，因此剩下的研究目标主要就是电力系统，即如何减少电力系统或电力设施发生故障。

第一步，将失电事故确定为进行着重分析的风险事件。

第二步，分析失电事故的起因。

(1) 机械及管路故障导致船舶失电。随着船舶越来越大型化，船上机械及管路设备也越发复杂化和多样化，单系统管路阀件故障，导致该管路中原存储介质发生泄漏或产生化学反应，从而牵连触发各种原本系统设计的报警，出现系统保护误动作，最终发电机停止运行。该现象的存在对船舶航行构成了威胁。

(2) 电气电子设备故障导致船舶失电。因船舶长期工作在海上恶劣的环境下，受到潮湿、盐雾、腐蚀和振动等不同因素的影响，这些电气电子设备在使用过程中必然会出现不同程度的元器件老化及损坏，或是出现功能性故障，从而成为失电事件的原因之一。

(3) 人员操作不当导致船舶失电。对于大多数普通船员来说，在本就恶劣的环境下生活，长期、繁重的操船工作，且在不断操作各种不同形式的船舶装置，势必会增加操作不当的发生率，这个因素也是失电事件起因中不容忽视的因素。

(4) 设计存在隐患导致船舶失电。设计过程中出现专业设计仅考虑本专业各项设计指标，对跨专业系统间、设备间的关联性忽视。同时，船舶自动化控制设备繁多，安全保护控制逻辑取决于设计输入，设计输入存在一定的缺陷，都将为失电事件埋下了安全隐患。

第三步，找出相应有效的预防性控制措施。

(1) 针对发电机燃油滑油系统中重要的设备进行定期检查与维护，当设备超过使用周期后，及时对其进行更换。

(2) 在设备投入使用过程中，确保电气设备不出现设计功能性故障。对于频繁投切的电气设备需要增加实时状态监测功能，并定期维护，如超过使用周期，应及时更换。

(3) 加强船员对电气设备、轮机设备管理知识的学习，定期对船员进行设备使用考核。平时可多加操练突发情况的临场应急方法，提高船员应变能力。

(4) 应要求在满足规范要求的基础上，尽量采用拓扑结构简单的设计方法，减少中间环节，进而减少可能发生的故障节点。

第四步，对工作人员操作不当提出控制措施，如部分船员学习能力有限，并不能较快地熟悉并掌握设备的使用。尤其在突发设备故障情况下，针对这一升级风险，采取相应措施，在操作重要涉及航行安全的设备时，如主副机、电站等，需配置以老带新且人员A/B角色互为备份。对于重要电气设备提高产品的交互性和友好性控制措施，很可能因生产厂家对设备功能理解的不同而达不到预期效果，针对这一升级因素，要倡议总体设计单位对设备提出必要的研制要求。

第五步，船舶失电事件可能会对船体结构、动力、电力系统设备和人员等造成不同的不良后果。针对不同后果，可找出相应的减缓(恢复)措施，再考虑升级因素及相应的控制措施。

(1) 系统自动启动备用发电机或应急发电机，严格限制备用发电机组向负载供电时间，不超过35 s。当备用发电机组启动失败，应急发电机应在不超过40 s向应急负载供电。因此，满足该要求的自动电站能够在主发电机突然失效的情况下，保证船舶失电时间不超过60 s。当备用电源恢复向电网供电后，所有电气设备均能快速投入工作，降低或消除短时失电带来的影响。

(2) 人工快速应急处理程序。当自动启动备用发电机或应急发电机功能失效后，船员需要按照船舶公司管理部门事先制订的应急处理程序对船舶操纵和船舶消防程序进行快速反应操作，尽量将次生灾害造成的损失降至最低。

(3) 对于船舶航行中使用两台或两台以上并联运行的发电机，必需设置自动卸载功能，自动卸载又称为优先脱扣，是属发电机过载保护的一种形式。当发电机过载时，在其长延时脱扣器的延时时间内，优先切除次要负载，使发电机不持续过载，从容保证重要负载的连续供电[4]。各级脱扣利用延时的时间差来实现，如长延时脱扣器的延时为20 s，若分为3级脱扣时，延时整点时间定为第1级5 s，第2级10 s，第3级15 s。

按照上述步骤构建的基于Bowtie方法的船舶失电事故风险分析如图2所示。

图2 Bowtie船舶失电事故分析图

4 结束语

本文以典型船舶失电事故案例作为对象建立了事故“蝴蝶结”图，通过采用蝴蝶结分析法的特点，制订出可靠的预防性管控措施，结合Bowtie方法的运用，对失电事件的起因和后果有了更清晰的了解。按照分析得出的“蝴蝶结”图对失电事件进行防范于未然，并可以简单明了地知悉在哪些形成危害事件的途径上已采取了必要的预防措施，哪些途径没有采取任何行动或者仍旧存在一定的安全风险，在实际应用中具备一定的实用价值。另外，通过分析影响失电事故的风险管理，可为船舶管理人员进行用电管理提供理论依据，为今后更深入地进行事故分析研究提供客观可行的思路。