梁 清
(中铁宝桥集团有限公司,陕西 宝鸡 721006)
双重预防机制是安全工作的核心,也是一切安全工作的基础[1]。双重预防机制对于遏制生产安全事故具有重要作用。据统计,自构建双重预防机制工作以来,我国近5年生产安全事故起数与死亡人数实现双下降[2],见表1。国家高度重视双重预防机制构建工作,2016年印发的《中共中央 国务院关于推进安全生产领域改革发展的意见》明确提出,要强化安全风险源头管控,实施安全风险分级管控和隐患排查治理双重预防机制。新《安全生产法》中更是4次提到要构建双重预防机制[3]。在国家重视的大背景下,地方、行业也出台了相应的规章、标准和指导意见,对构建方法、构建程序提出了可借鉴的思路与方法[1]。根据行业、属地有关标准规范,生产经营单位扮演着构建双重预防机制的主体角色[1]。因此,深入理解双重预防机制构建的基础理论,并掌握科学的构建方法,对于实施构建双重预防机制,提升安全管理水平具有重要作用。
表1 我国近5年事故起数与死亡人数下降率统计Tab.1 Statistics on the decline rate of accidents and deaths in China in the past five years
双重预防机制起源于危险源辨识与管控,国内外专家学者关于危险源辨识与管控开展了卓有成效的研究工作,形成相对成熟的系统理论。1990年,Reason[4]将事故发生过程视为物质和能量的不正常传递过程,将危险的能量和物质定义为危险源;陈宝智[5]提出2类危险源理论,认为第一类危险源为危险物质或能量载体,第二类危险源为使能量或危险物质的约束、限制措施失效或破坏的各种不安全因素;在此基础上,田水承等[6]提出3类危险源,认为组织失误是第二类危险源发生的深层原因;罗云等[7]提出RBS/M(risk based supervision/management)理论,认为管理的方法和措施同管理对象的风险分级相匹配;傅贵等[8]对危险源与事故原因关系及危险源分类进行研究。双重预防机制研究主要集中在危险源控制的延伸与应用,田水承等[9]提出险兆事件视域下事故预防的3道“防火墙”理论和闭环管理模式,建立起事故预防的3道防火墙;雷长群[10]在明确基本概念的基础上,重新定义危险源,完善双重预防机制;李爽等[11]提出固有风险和剩余风险的概念,设计了智能安全管控平台。专家学者的研究大都集中在双重预防机制的应用层面,如矿山、化工、城轨铁路、建筑施工等领域。
上述研究为生产经营单位开展双重预防机制工作提供了理论支撑与技术方法,但其中涉及的要素基本概念及其逻辑关系还存在分歧与模糊,未形成一整套科学有效的构建方法和程序,不利于具体的实施工作。为此,在前人研究的基础上,本文进一步梳理双重预防机制有关要素的基本概念,以及要素间的逻辑关系,明确构建双重预防机制的思路与方法。在此基础上,提出一整套科学合理且操作性强的构建程序,对生产经营单位构建双重预防机制、提升安全管理水平具有非常重要的指导意义。
通过对风险点(风险单元)、危险源、风险、事故隐患等要素的基本概念进行辨析,明晰安全生产的基本术语,能够科学指导生产经营单位的双重预防机制构建与运行工作。
风险点是风险管控的基础,指风险伴随的设施、部位、场所和区域,以及在特定设施、部位、场所和区域实施的伴随风险的作业过程,或以上两者的组合[12]。根据风险点的定义可以明确,生产经营单位的区域可以划分为若干个风险点,这些风险点可分为设备设施、作业活动以及其组合,其组合既涵盖设备设施,又具备基于设备设施的作业活动,被称为部位场所。基于此,将风险点定义为:危险源附着的设备设施、作业活动和部位场所。
危险源是构建双重预防机制的关键与核心概念,辨析清楚其概念十分重要。最早有学者从能量的角度进行概念界定,将能产生和释放能量的物质定义为危险源[13-14]。2022年颁布的T/COSHA004—2020《危险源辨识、风险评价和控制措施策划指南》中对危险源(hazard)的定义是:可能导致伤害和健康损害、财产损失或其他损失的来源[15],说明危险源是一种根源,是固有属性,这种根源能导致伤害。GB/T 45001—2020《职业健康安全管理体系 要求及使用指南》中将危险源定义为可能导致伤害和健康损害的来源,或可能因暴露而导致伤害和健康损害的环境。这种伤害和健康损害对人的生理、心理和认知状况产生不利影响,包括疾病、不健康和死亡[16]。此定义与2022年颁布的GB/T 13861—2022《生产过程危险和有害因素分类与代码》[17]中对“危险和有害因素”的定义和2023年颁布的GB/T 43500—2023《安全管理体系 要求》[18]中对“危险源”的定义基本一致。
雷长群[10]认为固有危险有害因素是危险源的本质属性。在构建双重预防机制的背景下,如果导致伤害和健康损害的来源是一种固有危险有害因素,那么这种固有危险有害因素就是伤害或健康损害的根源,也就是第一类危险源,是危险物质与能量的载体。从第一类危险源着手,很难针对辨识出的危险源制定切实有效的控制对策。例如,将一台具有能量的设备作为具体的危险源,涉及的措施繁多,没有办法针对设备的某个状态制定切实可行的控制措施。笔者基于多年从事安全工作的理论研究与实践经验,发现上述危险源涉及多个潜在的状态,如疾行汽车这个危险源会出现侧翻、抛锚等多个潜在状态。因此,为便于构建双重预防机制,按照危险源是固有还是潜在的状态,划分为根源危险源与状态危险源。根源危险源是指现有条件下客观存在可能导致人身伤害或健康损害的危险物质或能量载体。例如,道路上疾行的汽车,疾行状态是其现有条件的客观存在,汽车本身具有能量,可能导致人身伤害,就是根源危险源。根源危险源有3个典型特征:一是不可变性,根源危险源不可通过技术、行为等措施进行改变;二是现实性,根源危险源是现有条件下的客观存在,不以人的意志为转移;三是单一性,在现有条件下,根源危险源是唯一存在。状态危险源是指根源危险源在一定条件下的潜在虚拟演变,形成可直接导致事故发生的一种潜在危险状态,其本质是虚拟的“致害物+伤害方式”。例如,疾行的汽车存在潜在的爆胎侧翻,就是一种超速的虚拟演变,致害物是汽车,爆胎侧翻是伤害方式,潜在虚拟的汽车爆胎侧翻可直接导致事故后果与伤害。与根源危险源相比较,状态危险源有3个典型特征:一是可变性,状态危险源可通过技术、行为等措施进行改变;二是虚拟性,状态危险源是根源危险源潜在的虚拟产物,本身并不存在;三是多样性,同一根源危险源可派生多个状态危险源。疾行汽车根源与状态危险源示意,如图1。
图1 疾行汽车根源与状态危险源示意Fig.1 Schematic of the root hazards and state hazards of fast-moving vehicles
关于风险的概念基本形成共识,2013年修订颁布的GB/T 23694—2013/ISO Guide73:2009《风险管理 术语》中对风险(risk)的定义是:不确定性对目标的影响。通常用事件后果(包括情形的变化)和事件发生可能性的组合来表示风险[19];在2016年颁布的GB/T 33000—2016《企业安全生产标准化基本规范》中对安全风险的定义是:发生危险事件或有害暴露的可能性,与随之引发的人身伤害、健康损害或财产损失的严重性的组合[20];GB/T 45001—2020《职业健康安全管理体系 要求及使用指南》中将风险定义为:危险事件或暴露发生的可能性与由危险事件或暴露而导致的伤害和健康损害[16]。因此,结合以上定义,将风险定义为:因危险源作用而存在的发生事故的可能性与其造成后果严重程度的组合。风险包括固有风险和剩余风险[1]。固有风险是指危险源在不考虑现有管控措施的情况下,一旦失控可导致事故后果的严重程度。固有风险具有客观性,与生产工艺、设备、物料、产品的属性密切相关,决定风险管控层级。剩余风险是指危险源在考虑现有管控措施的情况下,一旦失控可导致事故可能的影响程度。剩余风险具有主观性,与人的行为、物的状态、管理水平密切相关,决定措施是否需要持续改进。
现有事故隐患的概念,基于2008年颁布的《安全生产事故隐患排查治理暂行规定》(安监总局令第16号)中对安全生产事故隐患(简称事故隐患)的定义:生产经营单位违反安全生产法律、法规、规章、标准、规程和安全生产管理制度的规定,或者因其他因素在生产经营活动中存在可能导致事故发生的物的危险状态、人的不安全行为和管理上的缺陷[21]。隐患的定义在国家部门规章中已明确,且符合双重预防机制构建要求,此处不再重新定义。由前文分析可知,事故隐患由根源危险源衍生而来,根源危险源因管控措施失效,出现事故隐患,事故隐患是根源危险源的衍生性结果,事故隐患可诱导状态危险源的产生,事故隐患经累积、突变可产生潜在的状态危险源,是状态危险源的诱导性原因。由此可知,事故隐患介于根源危险源与状态危险源之间,其本质是风险管控措施的失效,具有可消除性、主观性与临时性等特征。
明确了安全生产领域基本术语的概念,就要分析这些术语之间的内在作用机理与逻辑关系。根据构建工作需要,主要对风险点与危险源、危险源与事故隐患、危险源与险兆事件的逻辑关系予以重点论述。
风险点的表现形式主要有作业活动、设备设施、部位场所3个方面。风险点作为危险源的载体,两者之间的逻辑关系主要是明确危险源以何种方式附着于风险点。根源危险源作为一种客观现实的存在,能附着于风险点,在一个风险点中可以附着一个或多个根源危险源[22]。例如,对于起重机械这个风险点,吊物作为其中的一个构件,具有重力势能,为能量载体,是根源危险源;电气部分作为另一个构件,具有电能,也是能量载体,同样是根源危险源。因此,风险点与根源危险源是包含与被包含的关系,只要进行正常的生产经营活动,就会客观存在风险点,附着危险源。
事故隐患与根源危险源、状态危险源都存在一定的内在逻辑关系。对于根源危险源来说,其本身是一种现实存在,从事故隐患的角度分析,其风险控制措施主要体现为技术措施、行为措施、管理措施。一旦措施失效,就会进行衍生,导致事故隐患出现。例如,对于疾行的汽车,刹车系统失效,是技术措施失效,会呈现为物的不安全状态,是事故隐患;驾驶员不系安全带,是行为措施失效,会呈现为人的不安全行为,也是事故隐患;客运公司未定期维护保养,是管理措施失效,会呈现为管理上的缺陷。对于状态危险源来说,其本身是事故隐患引发的虚拟潜在结果,事故隐患是其诱发因素,事故隐患与状态危险源存在直接的因果关系。例如,对于疾行的汽车,可能出现汽车侧翻、撞人或爆胎,都是一种虚拟潜在的状态,这些状态由刹车系统失效、人员瞌睡或路况有问题等事故隐患诱发,与事故隐患有直接的因果关系。
险兆事件是因保险或屏障破坏,产生的具有事故征兆特点,因接触能量不足或缺少机会因素导致的微小损失事件。险兆事件是事故隐患诱发的结果,与事故后果有直接的因果关系。当其发生后,接触的能量达到事故临界值,或有事故发生的机会因素存在,就会导致事故后果出现[23]。险兆事件与危险源有着密切的关系,状态危险源是一种潜在虚拟的存在,会直接导致出现事故后果,本质是虚拟潜在的“致害物+伤害方式”。险兆事件是一种虚拟演变形成现实的危险状态,与事故后果有直接的因果关系,本质是发生的“致害物+伤害方式”。因此,从这个角度来说,潜在虚拟的状态危险源通过事故隐患演化为现实存在的险兆事件。
根据上述分析,从根源危险源到事故隐患,再到险兆事件(状态危险源的现实状态),最后到事故后果,存在着一定的内在逻辑关系。应当分别从风险分级管控、隐患排查治理、险兆事件管理3个层面进行事故预防,如图2。
图2 双重预防机制内在逻辑关系模型Fig.2 Internal logic relational model of dual prevention mechanism
采用网格化的划分方式进行风险点划分,应遵循“功能独立、易于管理、大小适中、责任明确”的原则。功能独立指的是应当以具备独立完整功能为单元;易于管理指的是以实际情况为准,灵活运用,方便管理;大小适中是应考虑风险分布范围;责任明确指的是应考虑职责边界,实现责任无缝对接[22]。对于不同的行业,应当按照优先级进行划分;对于一般的行业,由于装置联系性不强,先将生产经营区域划分为生产车间、公辅设施、储存区域等,再按照工艺流程,采用先作业活动、再设备设施、最后部位场所的优先顺序进行确定;对于工艺装置联系紧密,自动化程度高的行业,先将生产经营区域划分为生产装置、储存罐区、装置区域等,再按照工艺流程,采用先设备设施、再作业活动、最后部位场所的优先顺序进行确定。
划分好风险点后,需要进行作业步骤或设备模块的分解。作业活动需要划分作业步骤,把一项作业分成几个关键步骤,着重风险较大的步骤,采用“动作+作业内容”的方式进行作业步骤描述,每个步骤简要描述作业内容,不展开论述具体该怎么做。设备设施需要拆分为各个关键模块,着重风险较大的模块。部位场所根据靠近原则,归类为作业活动或设备设施,进行划分或拆分。
危险源辨识分为对根源危险源与状态危险源的辨识。首先是根源危险源的辨识,划分好步骤或拆分好模块后,对于关键步骤或模块的危险物质或能量载体进行根源危险源辨识。涉及的设备或装置比较简单时,可直接将其整体划分为一个根源危险源。如疾行的汽车,其本身可以划分为一个根源危险源。根源危险源辨识需要考虑人因和物因2个方面,物因主要考虑物理性、化学性、生物性等方面,人因主要考虑心理性与生理性等方面[17]。物理性因素主要包括电气危害、机械危害、辐射危害等。化学性危害主要包括理化危害、健康危害等。物理性与化学性危害是进行根源危险源辨识的主要方面。除此之外,还要考虑到生物性与人因中的心理性和生理性因素。其次是状态危险源辨识,由于状态危险源与险兆事件存在虚拟与现实的关系,从险兆事件的层面,可快速、有效地进行状态危险源辨识。类比于事故,险兆事件可分为2类,第一类险兆事件是未达到伤害阈值的能量施加于人体,第二类险兆事件是人体能量交换影响未达到伤害阈值。从人的角度来说,作业活动中人员的动作或状态就是第一类险兆事件,如人员行走中踩空、滑倒、甩出等。从物的角度来说,设备设施中致害物的运动或状态也是第一类险兆事件,如车辆滑出、车辆侧翻、气体积聚等。第二类险兆事件主要是人接触致害物和吸收有害物质,如人员接触高温、吸入粉尘等。具体危险源的类型,见表2。
表2 根源危险源与状态危险源类型Tab.2 Root hazard and state hazard types
明确了危险源的具体表现形式,就要采用合适的辨识方法进行危险源辨识。可选择的辨识方法非常多,其中,观察和讨论法、参考资料法、专家法3种方法简明扼要,较为实用。观察和讨论法主要是通过观察,应用头脑风暴的方法分析关键步骤或模块中出现的状态危险源,可能造成什么样的后果;参考资料法主要是参考既有资料,如以往辨识记录、事故案例、法规标准等;专家法主要是咨询行业和领域专家学者。辨识过程中应当考虑过去、现在、将来3种时态和正常、异常、紧急3种状态。
风险是因危险源作用而存在的发生事故的可能性与其造成后果严重程度的组合,是危险源的一种客观属性。在双重预防机制构建过程中,首先需对固有风险进行评价,明确根源危险源的危险性,决定需要配置的管控层级。对固有风险进行评价时,可直接根据可能引发的事故后果,进行直接判定。其次需要对剩余风险进行评价,明确状态危险源的危险性,决定是否需要继续改进。对剩余风险进行评价时,既要考虑其引发的后果,又要考虑其导致事故发生的可能性。常见的剩余风险评价方法有风险矩阵法、作业条件危险性分析法、风险程度分析法等。
险兆事件与事故后果存在直接的因果关系,是潜在状态危险源的现实表现,也是事故隐患的诱发结果。因此,针对状态危险源,从事故隐患的角度着手,制定切合实际的管控措施。事故隐患主要有物的不安全状态、人的不安全行为、管理上的缺陷[20]。不安全状态由技术措施整改,不安全行为由行为措施整改,管理上的缺陷由管理措施整改。因此,分别从技术措施、行为措施、管理措施3个方面制定控制措施。基于事故发生的直接原因考虑,首先应当制定技术措施与行为措施,然后将技术与行为措施转换升级为管理措施,管理措施反过来保障技术与行为措施,如图3。
图3 事故隐患与控制措施的关系Fig.3 Relationship between accident hazards and control measures
由前文分析可知,事故隐患的本质就是风险管控措施的失效。因此,隐患排查治理的对象就是风险管控措施,目的是确保风险管控措施持续有效。隐患排查主要是排查技术措施和行为措施,如技术措施和行为措施出现失效,就要进阶升级,排查管理措施是否失效。隐患治理主要从技术措施、行为措施、管理措施进行。技术措施针对物的状态,主要改变物的状态,直接、迅速、见效快。行为措施针对人的行为,主要提升人的意识,反复、持久、见效慢。管理措施针对管理上的缺陷,以管理促行为、促技术,过程短,见效快,容易反弹抬头。
基于霍尔三维结构模型理论进行双重预防机制构建。从时间维来说,分为准备与策划、危险源辨识评估、策划管理措施、隐患排查治理、持续改进等阶段;从逻辑维来说,分为风险点划分、危险源辨识、风险评价、风险管控、隐患排查治理、安全智能平台等方面;从知识维来说,运用到安全学原理、安全技术、安全行为学、安全管理学、安全评价、安全信息化等知识,如图4。
图4 基于霍尔三维结构模型Fig.4 Hall's three-dimensional structure-based model
构建双重预防机制,主要分为准备与策划,根源和状态危险源辨识、风险评价及直接措施制定,管理措施制定,隐患排查治理,信息化智能平台构建等5个阶段,每个阶段又需要开展具体的工作。具体工作内容,见表3。
(1)合理分工,明确责任。主要负责人进行资源配置,分管负责人进行统筹,各单位负责人进行组织,生产、技术、设备、班组等人员参与,各职能部门进行业务支持,专职安全管理人员进行全程业务指导。
(2)分段推进,统一标准。工作组织不急于求成,分阶段推进,关键节点上进行单位层面的调整,形成统一的标准,减少同类问题辨识评估不一致,造成大范围返工。
(3)写做一致,适时更新。日常运行过程中需及时动态评估与变更,按照运行机制完善运行记录,并制定实施考核标准,将构建输出成果进行管理层面的应用,实现风险源头管控。
表3 双重预防机制构建程序Tab.3 Procedure for constructing a dual prevention mechanism
(4)简约管理,融合统一。将双重预防机制与职业健康安全管理体系、安全标准化有效融合,用一套管理标准进行管理,避免一个体系做一套管理资料,造成冗余。
(1)对构建双重预防机制的关键概念进行辨析,明确风险点、危险源、风险、事故隐患等术语的基本概念,且危险源分为根源危险源与状态危险源,明确险兆事件是潜在状态危险源的现实表现;对关键概念的逻辑关系进行分析;基于此,构建了双重预防机制逻辑关系模型。
(2)对构建思路与方法进行分析,将根源与状态危险源分别细分为2种类型与5种表现形式,并明确事故隐患与控制措施的一一对应关系。
(3)基于霍尔三维结构模型,形成双重预防机制构建程序,共计5大构建阶段,16项工作内容,13项输出成果。