蔣利強

(中國石化寧波工程有限公司，浙江寧波 315103)

1 事故簡述

2018年10月29日，一架搭載189名乘客和機組人員的印尼獅航波音737 MAX客機，剛起飛不久，飛機就持續(xù)出現(xiàn)“低頭”故障，盡管飛行員多次試圖操縱飛機恢復(fù)正常，仍無法控制飛機。13分鐘后失聯(lián)，隨后被確認(rèn)在西爪哇附近海域墜毀，機上人員全部遇難。

2019年3月10日，一架埃塞俄比亞航空公司的波音737MAX客機起飛后6分鐘墜毀，機上的149名乘客和8名機組人員無一生還。根據(jù)Flightradar24記錄的失事飛機最后的軌跡，飛機在起飛后，曾經(jīng)有過幾次突然下降的跡象隨后又有拉升，之后消失在追蹤畫面中。與失事的印尼獅航波音737MAX客機的飛行軌跡頗為相似。

相距僅133天，2架機齡不到1年的737MAX客機，都在飛機起飛后不久，出現(xiàn)頗為相似的故障，先后發(fā)生空難，346名乘客和機組人員無一生還，世人為之震驚，對波音737MAX客機是否安全可靠產(chǎn)生嚴(yán)重疑慮，該機型隨即在全球范圍內(nèi)遭到停飛或禁飛。隨后，波音公司CEO承認(rèn)737MAX的飛行控制系統(tǒng)存在缺陷。接著，美國聯(lián)邦航空管理局(FAA)開展對737MAX的可靠性評估。

2 原因分析

經(jīng)初步調(diào)查發(fā)現(xiàn)，兩起空難皆因客機先天不足，突破極限，強行升級改造，RAM分析失當(dāng)，留下致命缺陷——機身整體失衡，飛機總是“上翹”，存在嚴(yán)重的安全隱患。不得已，采取打補丁彌補，增設(shè)了操控特性增益系統(tǒng)(簡稱MCAS)。但因與原有的飛控系統(tǒng)整合有誤，響應(yīng)混亂，導(dǎo)致飛行員無法正常判斷。而且，波音隱瞞新增MCAS這一重大變更，沒有為飛行員、維修人員提供明確告警提示和維修操作指引，對MCAS的維護檢測存在盲區(qū)，留下隱患。一旦MCAS系統(tǒng)被錯誤激活，飛行員就沒法及時解除MCAS系統(tǒng)，無法進行手動干預(yù)緊急處置。波音公司雖經(jīng)百年磨礪，成為行業(yè)王者。終因其最新迭代的737MAX客機RAM分析失當(dāng)，存在嚴(yán)重缺陷，連續(xù)發(fā)生兩起空難，而陷入困境。

3 事故教訓(xùn)與啟示

3.1 可靠性分析不能有絲毫疏忽

鑒于商用飛機對耐用可靠的苛刻要求，從需求分析到試飛驗證取得適航證的整個生命周期內(nèi)，要經(jīng)過一系列嚴(yán)格、繁復(fù)的可靠性分析和評估，并經(jīng)長周期細(xì)致的測試、聯(lián)調(diào)、試飛，以驗證其可靠性，不能有絲毫疏忽。但從兩起空難初步分析來看，很明顯，對改進的737MAX機型，波音對新舊飛控系統(tǒng)兼容融合沒有足夠重視，飛控系統(tǒng)缺少錯誤檢測、告警提示、自動糾錯、緊急中止和人工干預(yù)等措施，失去了及時防止和糾正錯誤飛行模式的機會。很顯然，可靠性分析研究不夠充分，沒有執(zhí)行到位?？煽啃则炞C不夠嚴(yán)格，以致失效。冗余設(shè)計存在盲區(qū)，容錯機制不能發(fā)揮作用。系統(tǒng)集成整合存在漏洞，容錯能力進一步惡化。測試聯(lián)調(diào)不夠到位，錯失了最后的改進機會。

反思石化行業(yè)，付出的代價也十分慘痛。騰龍芳烴業(yè)主因隨意將核準(zhǔn)的80×104t/a對二甲苯裝置規(guī)模進行放大，而按160×104t/a對二甲苯的規(guī)模進行設(shè)計、建設(shè)和試生產(chǎn)，而且拒不接受設(shè)計和監(jiān)管部門的意見及警告，不遵守工藝聯(lián)鎖、報警制度和要求，隨意解除加熱爐等的工藝聯(lián)鎖系統(tǒng)，導(dǎo)致安全保護措施完全失效，可靠性得不到保障從而引發(fā)4·6漳州PX項目安全生產(chǎn)責(zé)任爆炸事故。在印度博帕爾工廠，美國聯(lián)碳則更為冒險激進，隨意停用原設(shè)計的一套冷凍系統(tǒng)，擅自調(diào)高報警溫度近10 ℃，致使因超溫發(fā)生劇烈的放熱反應(yīng)。而此時，儀表指示失靈，報警系統(tǒng)處于關(guān)閉狀態(tài)，火炬系統(tǒng)又處于維修中，放空系統(tǒng)泄放能力嚴(yán)重不足，導(dǎo)致大量劇毒MIC蒸氣云溢出并持續(xù)擴散，造成工業(yè)史上最嚴(yán)重的安全事故。

3.2 可操作性分析不能有任何失誤

波音公司在機械飛控的軀干上，強加數(shù)字電傳飛控，以縮小與空客數(shù)字電傳飛控系統(tǒng)的差距，出現(xiàn)問題時則層層打補丁，最終演變成為不倫不類的“混合式控制”。很明顯，采取混合式控制方式后，相關(guān)人員針對飛機主控系統(tǒng)開展的失效模式與影響分析(FMEA)不夠認(rèn)真，存在失誤。

類似的遺憾在石化行業(yè)也一再發(fā)生。某石化環(huán)氧乙烷裝置，因壓力連鎖、壓力控制變送器和現(xiàn)場壓力表共用一個引壓管，一旦精制單元中醛類發(fā)生自聚，極易引起引壓管堵塞，就地儀表和控制儀表全部失真，導(dǎo)致操作人員判斷失誤，不能及時緊急處置。2015年4月21日就因上述原因致使精餾塔超溫、超壓，進而引發(fā)泄漏、著火、爆炸，場面慘烈。

3.3 可維護性分析不能有半點缺失

波音為了搶占市場，故意隱瞞737 MAX機型飛機新增了自動防失速軟件MCAS系統(tǒng)這一重要信息。沒有向維護人員提供完整的故障檢測方法和檢測設(shè)備，也沒有為飛行員、維修人員提供明確告警提示和維修操作指引。以為這樣做，可以降低737舊機型飛行員進行737 MAX機型換飛培訓(xùn)的成本，減少航空公司負(fù)擔(dān)。同時，又可以減少操作手冊、飛行手冊等方面的更新成本，還可以節(jié)省對維修人員進行額外專門培訓(xùn)的成本，以鞏固現(xiàn)有執(zhí)飛737的客戶。結(jié)果，缺少詳細(xì)操作指引的維護人員很難檢測出飛機控制系統(tǒng)存在的故障，導(dǎo)致MCAS系統(tǒng)處于帶病運行狀態(tài)。

顯然，項目團隊開展的可維護性分析不到位，存在缺失。按照關(guān)鍵系統(tǒng)必須有冗余、子系統(tǒng)要多樣化的慣例，憑借積累的傳感器故障頻率歷史數(shù)據(jù)，對于如此關(guān)鍵的迎角傳感器肯定會設(shè)置2-3個，互為對照，并加強維護，以確保準(zhǔn)確無誤。同時，按照以可靠性為中心的維修(RCM)的原則，應(yīng)及時更新維修操作指引。

石化行業(yè)也有切膚之痛。1984年11月19日，墨西哥國家石油公司LPG儲運站因疏于維護，帶病運行，一條連接管線發(fā)生龜裂，大量LPG泄漏形成蒸氣云積聚并向外擴散，遇火導(dǎo)致蒸氣云劇烈爆炸，造成約650人死亡，6 000多人受傷，近31 000人無家可歸。河北盛華化工公司嚴(yán)重違反《氣柜維護檢修規(guī)程》，聚氯乙烯車間的1#氯乙烯氣柜長年失修，發(fā)生卡頓、傾斜，氯乙烯外泄。又因擅自關(guān)掉可燃、有毒氣體報警設(shè)施，操作人員沒能及時發(fā)現(xiàn)氣柜異常，仍然按照常規(guī)操作方式調(diào)大壓縮機回流，致使進入氣柜的氣量加大，加之調(diào)大過猛，氯乙烯沖破環(huán)形水封泄漏，大量向廠區(qū)外擴散，遇火發(fā)生劇烈爆燃。

顯然，為避免以上的慘痛事故，確保本質(zhì)安全，實用可靠，認(rèn)真開展可靠性、可操作性、可維護性(RAM)分析十分必要。

4 開展RAM分析面臨的困難及挑戰(zhàn)

目前，石化行業(yè)陸續(xù)開展的有事故樹分析(FTA)、危險與可操作性分析(HAZOP)、故障模式和影響分析(FMEA)、保護層分析(LOPA)、安全完整性等級(SIL)、基于風(fēng)險的檢測(RBI)、以可靠性為中心的維修分析(RCM)以及壽命周期費用分析(LCCA)等。定量風(fēng)險評估(QRA)尚處在摸索階段，只是零星開展。定量風(fēng)險評估在石油化工領(lǐng)域的應(yīng)用還不是很充分[1]，在數(shù)據(jù)采集、危險設(shè)別、單元選擇、事故模式和風(fēng)險度量等多方面都不規(guī)范[2]?？煽啃?、可操作性和可維護性(RAM)分析更是鮮有開展，僅在個別企業(yè)的部分項目進行了初步嘗試，已落后軌道交通行業(yè)，與國際同行的差距甚遠(yuǎn)。

要實現(xiàn)RAM分析技術(shù)潛在的強大功能，預(yù)測裝置全生命周期的性能，需要有雄厚的基礎(chǔ)數(shù)據(jù)積累，扎實的風(fēng)險評估和可靠性分析功底，經(jīng)驗豐富的專業(yè)團隊。尚有不少差距，很有挑戰(zhàn)。

5 石化企業(yè)開展RAM分析的建議

5.1 注重數(shù)據(jù)的積累

可靠性分析評估嚴(yán)重依賴數(shù)據(jù)，數(shù)據(jù)是基礎(chǔ)、是核心。若可靠性數(shù)據(jù)匱乏，將造成可靠性分析評估始終在一個十分膚淺的水平上徘徊。長期以來，由于現(xiàn)場設(shè)備缺少用于可靠性分析的準(zhǔn)確壽命數(shù)據(jù)，導(dǎo)致國內(nèi)石化行業(yè)進行可靠性分析研究的困難較大[3]，造成評估結(jié)果的不準(zhǔn)，不能及時發(fā)現(xiàn)存在的隱患及缺陷。如騰龍芳烴(漳州)有限公司對二甲苯裝置的工程設(shè)計完全符合GB50160—2008《石油化工企業(yè)設(shè)計規(guī)范》的相關(guān)要求，但因沒開展定量風(fēng)險評估(QRA)，不能給出定量準(zhǔn)確的爆炸云圖，造成合法合規(guī)但不實用可靠的被動局面。被“4·6”事故調(diào)查組認(rèn)定為“存在整體設(shè)防標(biāo)準(zhǔn)低、一些消防安全內(nèi)容缺項、只考慮防火未考慮防爆等突出問題，不能滿足大型石油化工企業(yè)可靠性要求”。

開展RAM分析更需要大量翔實、準(zhǔn)確的裝置各單元、各回路、各組件的可靠性方面的基礎(chǔ)數(shù)據(jù)，包括可靠性數(shù)據(jù)、可操作性數(shù)據(jù)和可維護性數(shù)據(jù)。目前國內(nèi)RAM分析主要還是依托國外專業(yè)機構(gòu)相關(guān)數(shù)據(jù)庫，主流的有OREDA、PDS、EGIG、SERH、FARADIP和IEEE，這些數(shù)據(jù)庫或數(shù)據(jù)手冊積累了長達幾十年的全球不同地區(qū)、不同裝置(單元)、不同設(shè)備種類和不同運行工況下的設(shè)備實際運行統(tǒng)計數(shù)據(jù)(故障及維修數(shù)據(jù))，如OREDA收集了來自北歐、墨西哥灣、安哥拉、亞得里亞海及里海等地區(qū)的可靠性數(shù)據(jù)。短期來看，可以為我所用，但費用不菲，且受人制約，絕非長遠(yuǎn)之計。必須以搶占戰(zhàn)略資源、生產(chǎn)要素的高度，下大力氣認(rèn)真梳理目前數(shù)據(jù)收集和整理方面存在的困難和問題，特別要關(guān)注那些年代久遠(yuǎn)的老舊裝置，盡快補上短板，加快數(shù)據(jù)積累，提高應(yīng)用水平。

5.2 加強數(shù)據(jù)的集成

RAM分析既涉及PID、PFD、靜設(shè)備、動設(shè)備、安全儀表系統(tǒng)等專業(yè)，又與工程公司、設(shè)備制造廠家、生產(chǎn)企業(yè)和運維單位相關(guān)。如何改變目前設(shè)計、制造、生產(chǎn)、運維數(shù)據(jù)相互割裂、碎片化的局面，使可靠性數(shù)據(jù)、可操作性數(shù)據(jù)和可維護性數(shù)據(jù)能夠集成優(yōu)化，精準(zhǔn)匹配，有效利用。需要盡快解決數(shù)據(jù)標(biāo)準(zhǔn)化、結(jié)構(gòu)化瓶頸問題。另外，還要盡快建立協(xié)同平臺，完善協(xié)調(diào)機制，實現(xiàn)數(shù)據(jù)共享，最大限度發(fā)揮集成效應(yīng)。

5.3 加快專業(yè)團隊的培養(yǎng)

經(jīng)過眾多項目的鍛煉和實踐，培養(yǎng)了一大批風(fēng)險評估和可靠性分析的專業(yè)人員，但要熟練運用Monte Carlo這一類模擬分析方法開展RAM分析涉及的故障分析、損失計算、敏感性分析以及資產(chǎn)評估和優(yōu)化等的分析評估，尚需時日，還不完全適應(yīng)，需要加快培養(yǎng)。

5.4 加強經(jīng)驗的共享

因RAM分析鮮有開展，體會不深，經(jīng)驗不足，難度不小。需要加大學(xué)習(xí)交流力度，建立經(jīng)驗共享機制，以期少走彎路，避免低水平徘徊。要充分借鑒福建聯(lián)合石化等已取得的成果，學(xué)習(xí)成功的經(jīng)驗，了解遇到的困難，盡快扭轉(zhuǎn)目前起步不高、參差不齊的局面，達到共同促進共同提高。同時，緊盯國際前沿，加強國際合作，提高專業(yè)水平。

5.5 深化RAM分析

鑒于RAM分析理念先進，功能強大，效果明顯，深為Exxon Mobil、Saudi Aramco等各大主要石化企業(yè)所推崇。必須瞄準(zhǔn)前沿、統(tǒng)籌策劃、因地制宜，下大力氣推進可靠性、可操作性和可維護性(RAM)分析，幫助找出石化裝置各系統(tǒng)流程中各條可靠性鏈條上的薄弱環(huán)節(jié)，優(yōu)化系統(tǒng)配置，實現(xiàn)設(shè)備利用最優(yōu)，避免設(shè)備事故發(fā)生，促進裝置安全長周期運行[4]。同時，進一步深化RAM的應(yīng)用，用來預(yù)測裝置全生命周期內(nèi)的性能表現(xiàn)，提升競爭能力。

5.6 加大軟件的開發(fā)

目前，國產(chǎn)可靠性分析軟件與國際上相比，無論是軟件的開發(fā)技術(shù)、軟件的工程化程度，還是軟件的工程適應(yīng)性和軟件的開發(fā)應(yīng)用范圍都存在較大的差距。幾經(jīng)努力，仍未改變可用國產(chǎn)可靠性軟件奇缺，功能單一，通用性差，集成度低的被動局面，不可與國際主流的軟件同日而語。例如，挪威DNV GL旗下用于RAM分析的DNV Taro和DNV Maros軟件，因其功能強大、集成度高、適應(yīng)性強，為業(yè)界高度認(rèn)可、廣泛應(yīng)用，成為行業(yè)標(biāo)桿。需要抓緊組織由設(shè)計、制造、生產(chǎn)、運維方面專家組成的團隊，與著名院校、軟件開發(fā)商組建開發(fā)組，進行聯(lián)合攻關(guān)，以突破瓶頸，盡快改變目前受人制約的被動局面。

6 結(jié)語

認(rèn)真開展RAM分析，對于保障石化企業(yè)安全生產(chǎn)有著重要意義。石化企業(yè)應(yīng)認(rèn)真梳理自身在RAM分析方面存在的不足和差距，直面困難和挑戰(zhàn)，下大力氣補齊可靠性數(shù)據(jù)收集、整理、加工、集成以及專業(yè)隊伍建設(shè)等方面的短板，進一步挖掘RAM的強大功能，拓展并深化RAM的應(yīng)用，提高可靠性、可操作性和可維護性，確保石化生產(chǎn)企業(yè)本質(zhì)安全。