樊東東

(中化道達(dá)爾燃油有限公司，北京 100089)

0 引言

2009 年10 月23 日0 點23 分，美國加勒比石油公司（以下簡稱CAPECO）一座油庫發(fā)生火災(zāi)爆炸事故（以下簡稱“CAPECO 事故”）。當(dāng)時，一艘油輪正在向該油庫卸汽油，其中一座容量為500 萬gal( 美)（1 gal=3.7854118 L）的地上儲罐發(fā)生溢流，泄漏出的汽油流入圍堰后，形成大量蒸氣云。在汽油擴(kuò)散至污水處理區(qū)時，遇到點火源發(fā)生火災(zāi)，7 s 后發(fā)生爆炸。大火持續(xù)燃燒了約60 h，10 月25 日11 點30 分，大火被撲滅，CAPECO 公司17 個儲罐被燒毀。

本文以CAPECO 事故為例，運用屏障思維進(jìn)行事故分析，找出導(dǎo)致這起事故發(fā)生的關(guān)鍵，即失效（或缺失）的屏障和導(dǎo)致屏障失效的隱患，并為從根源上預(yù)防同類事故發(fā)生，提出風(fēng)險管理改進(jìn)建議。

1 屏障思維介紹

屏障思維是系統(tǒng)管控風(fēng)險的一種思維方式[1]。屏障思維的基本原理是通過設(shè)置屏障、維護(hù)屏障，將風(fēng)險控制 在ALARP（As Low As Reasonably Practicable，最低合理可行）狀態(tài)，是風(fēng)險管理的通用工具和方法。屏障思維模型如圖1 所示。

1.1 術(shù)語

屏障思維模型中有以下術(shù)語：

危險源：可能引起人員傷亡、財產(chǎn)損失、環(huán)境污染的能量和危險有害物質(zhì)。如汽油、硫化氫。

頂上事件：危險源釋放導(dǎo)致的失控、泄漏或暴露。如硫化氫泄漏。

圖1 屏障思維模型

后果：危險源釋放引起頂上事件，造成的人員傷亡，環(huán)境污染，資產(chǎn)損失，公司聲譽影響的結(jié)果。

控制屏障：阻擋危險源釋放的措施，位于危險源和頂上事件之間。如輸油管線、遵守操作規(guī)程。

補救屏障：將頂上事件造成的后果降到最低程度，位于頂上事件和后果之間。如圍堰、啟動應(yīng)急預(yù)案。

維護(hù)屏障：安全關(guān)鍵崗位根據(jù)安全關(guān)鍵程序開展安全關(guān)鍵活動，確保所有屏障處于完整的工作狀態(tài)。如對輸油管線進(jìn)行檢測、對應(yīng)急預(yù)案開展培訓(xùn)演練。

ALARP 證明：無法再設(shè)置屏障或所需成本與降低的風(fēng)險不成正比，得不償失，即風(fēng)險已降低至可以接受的狀態(tài)。

1.2 屏障思維

在屏障思維中，事故發(fā)生的源頭是危險源，控制屏障失效，造成危險源釋放，產(chǎn)生頂上事件。頂上事件發(fā)生后，可能產(chǎn)生嚴(yán)重后果，也可能不會產(chǎn)生嚴(yán)重后果，這要看補救屏障是否在起作用。如果補救屏障也相繼失效，就會造成嚴(yán)重事故后果。要預(yù)防事故，關(guān)鍵是確保危險源不釋放；要確保危險源不釋放，關(guān)鍵是確保屏障有效；要確保屏障有效，關(guān)鍵是做好屏障維護(hù)工作，從而將風(fēng)險控制在ALARP 狀態(tài)。

在屏障思維中，屏障是指為防止泄漏或降低后果而設(shè)立的防護(hù)措施或控制措施的組合。屏障又分為控制屏障和補救屏障。為了確保屏障一直處于有效工作狀態(tài)，需要對屏障進(jìn)行維護(hù)，維護(hù)屏障就是安全關(guān)鍵崗位按照安全關(guān)鍵程序開展安全關(guān)鍵活動。

但屏障有可能出現(xiàn)漏洞而失效，即失效的控制屏障，失效的補救屏障，屏障沒有按照要求進(jìn)行維護(hù)、關(guān)鍵崗位能力不足或缺失安全關(guān)鍵程序，這就是隱患。隱患使各個屏障失效，失去對危險源的管控，導(dǎo)致危險源釋放，從而發(fā)生事故，產(chǎn)生嚴(yán)重后果。

1.3 基于屏障思維的事故分析

CAPECO 事故的源頭是汽油，控制屏障是預(yù)防汽油從儲罐泄漏的屏障，補救屏障是汽油泄漏后減輕后果的屏障。由于缺少屏障維護(hù)，出現(xiàn)事故隱患，一連串的控制屏障失效或缺失，導(dǎo)致汽油從儲罐通氣孔泄漏（發(fā)生溢流），進(jìn)入圍堰，繼而又因一連串的補救屏障失效或缺失，使得事故發(fā)生，并造成嚴(yán)重后果。

利用屏障思維對本事故進(jìn)行分析，危險源就是汽油，管控汽油不發(fā)生泄漏或泄漏后減輕后果的關(guān)鍵就是屏障。通過識別和分析，找出本來可以預(yù)防事故發(fā)生的屏障。進(jìn)而通過事故調(diào)查找出各個屏障上存在的隱患。

2 屏障分析

CAPECO 事故的大致經(jīng)過是：在碼頭向罐區(qū)卸油過程中，CAPECO 儲罐上電子變送器發(fā)生故障，不能將液位信號遠(yuǎn)傳到控制室，現(xiàn)場操作工依靠人工觀察液位計，并計算卸油結(jié)束時間。由于液位計失靈，人工計算卸油結(jié)束時間與實際發(fā)生偏差，汽油在卸油過程中發(fā)生溢流，從儲罐通氣孔泄漏，進(jìn)入圍堰。圍堰閥門沒有關(guān)閉，汽油從圍堰閥門流向污水處理區(qū)。員工巡檢時發(fā)現(xiàn)溢流，此時已經(jīng)溢流26 min。污水處理區(qū)的非防爆電氣設(shè)備引燃了汽油蒸氣云，繼而回火發(fā)生爆炸[2]。

按照這起事故發(fā)生過程中的順序，至少有9 道屏障應(yīng)在事發(fā)前后發(fā)揮作用，分別是：遵守卸油操作規(guī)程、液位控制和監(jiān)測系統(tǒng)、高液位報警及人員反應(yīng)、自動防溢流系統(tǒng)、圍堰、可燃?xì)怏w報警及人員反應(yīng)、控制點火源、啟動應(yīng)急預(yù)案（CAPECO）、啟動應(yīng)急預(yù)案（社區(qū)）。其中前4道屏障用來管控儲罐中的汽油，防止泄漏（溢流），為控制屏障，后5 道屏障在泄漏后用來降低后果，為補救屏障。

2.1 遵守卸油操作規(guī)程

嚴(yán)格按照操作規(guī)程進(jìn)行操作，就可以將汽油控制在儲罐中不發(fā)生泄漏，所以遵守卸油操作規(guī)程是一道控制屏障[3]。

2.2 液位控制和監(jiān)測系統(tǒng)

液位控制和監(jiān)測系統(tǒng)可以實時監(jiān)控儲罐液位，并對汽油輸送進(jìn)行控制，把液位控制在安全限值內(nèi)。在工業(yè)實踐中，一般使用DCS（集散控制系統(tǒng)）實現(xiàn)液位控制和監(jiān)測，是一道防止溢流的控制屏障。

2.3 高液位報警及人員反應(yīng)

高液位報警裝置在液位達(dá)到預(yù)先設(shè)置的安全限值時發(fā)出報警，操作工及時關(guān)斷儲罐閥門，停止汽油輸送，防止產(chǎn)生溢流，因此高液位報警及人員反應(yīng)是一道控制屏障[4]。

2.4 自動防溢流系統(tǒng)

當(dāng)儲罐液位超過高液位報警裝置限值后繼續(xù)升高，達(dá)到更高液位限值后，自動防溢流系統(tǒng)啟動，通過連鎖自動將儲罐進(jìn)料閥門關(guān)閉或?qū)尬锪戏至鞯狡渌麅蕖Ｋ宰詣臃酪缌飨到y(tǒng)是一道防止液位過高而發(fā)生泄漏的控制屏障。

2.5 圍堰

儲罐中汽油一旦發(fā)生泄漏，將被容納在圍堰中，否則將直接擴(kuò)散到罐區(qū)四周，產(chǎn)生更嚴(yán)重后果。圍堰是一道補救屏障，在汽油泄漏后用于減輕因泄漏產(chǎn)生的后果。

2.6 可燃?xì)怏w報警及人員反應(yīng)

儲罐周圍安裝可燃?xì)怏w報警裝置，一旦油氣泄漏，就會發(fā)出報警，操作人員及時啟動應(yīng)急預(yù)案，停止卸油。因此，可燃?xì)怏w報警及人員反應(yīng)是一道補救屏障。

2.7 控制點火源

汽油泄漏后，如果沒有點火源，就不會引燃汽油，就不會發(fā)生火災(zāi)或爆炸，事故后果將大大降低?！翱刂泣c火源”是汽油泄漏后降低事故后果的一道補救屏障[5]。

2.8 啟動應(yīng)急預(yù)案（CAPECO）

事故發(fā)生后，及時啟動應(yīng)急預(yù)案，正確應(yīng)對，可以降低事故后果。所以CAPECO 公司啟動應(yīng)急預(yù)案是一道補救屏障。

2.9 啟動應(yīng)急預(yù)案（社區(qū)）

如同2.8 中所述屏障一樣，當(dāng)CAPECO 公司啟動應(yīng)急預(yù)案后，社區(qū)等外部組織及時支援并正確應(yīng)急處理，事故后果也會降低，所以“社區(qū)啟動應(yīng)急預(yù)案”也是一道補救屏障。

CAPECO 作業(yè)現(xiàn)場至少需要設(shè)置上述9 道屏障，并在日常工作中通過開展安全關(guān)鍵活動及時維護(hù)屏障，確保屏障一直處于良好工作狀態(tài)，從而預(yù)防事故。

3 隱患分析

在屏障思維中，各屏障上出現(xiàn)的漏洞就是隱患，危險源通過隱患穿過層層屏障，最終導(dǎo)致事故發(fā)生[6]。

CAPECO 事故中，屏障連續(xù)失效，最終造成嚴(yán)重事故后果的過程，如圖2 所示。

以CAPECO 事故為例。如果9 道屏障中任何一道屏障有效，就可以避免CAPECO 事故或降低事故后果。但事實表明，CAPECO 公司沒有設(shè)置這些屏障或屏障已失效，具體分析見表。

這些隱患沒有在日常工作中被及時發(fā)現(xiàn)并整改，導(dǎo)致屏障出現(xiàn)漏洞而失效，使控制屏障不能有效防止汽油泄漏，使補救屏障不能將汽油泄漏后所產(chǎn)生的后果降到最低，最終產(chǎn)生嚴(yán)重事故后果。

4 結(jié)論

風(fēng)險管理的重點是設(shè)置多個屏障，并系統(tǒng)維護(hù)屏障，使其一直處于良好工作狀態(tài)，從而預(yù)防事故。屏障思維幫助企業(yè)分析儲罐運營過程中的風(fēng)險，通過設(shè)置屏障，維護(hù)屏障，系統(tǒng)管控風(fēng)險，將風(fēng)險控制在ALARP 狀態(tài)。

利用屏障思維對本儲罐溢流爆炸事故進(jìn)行分析，通過識別和分析預(yù)防汽油泄漏的控制屏障和泄漏后降低事故后果的補救屏障，找出屏障失效的原因，即由于缺乏屏障維護(hù)而使各屏障所出現(xiàn)的隱患。企業(yè)根據(jù)事故原因分析結(jié)果，在自己企業(yè)利用屏障思維進(jìn)行風(fēng)險管理，為危險源設(shè)置屏障，維護(hù)屏障，排查并及時治理隱患，從而預(yù)防此類事故再次發(fā)生。

圖2 CAPECO事故屏障思維模型