一種主動功能約束視域下的復雜系統事故預防模型

李威君

（1.山東科技大學 礦業與安全工程學院，山東 青島 266590；2.山東科技大學 礦山災害預防控制-省部共建國家重點實驗室培育基地，山東 青島 266590）

0 引言

事故預防是安全管理的主要目的，也是保障安全生產的重要途徑。有效的事故預防對策應當建立在正確的事故致因理論和模型的基礎上。目前較為有效的方法是利用因果關聯的思想從事故中總結規律和機理，挖掘事故的根本原因[1]。然而，因果關聯事故致因理論是以已經發生的事故因果分析為基礎的，對于減少或預防同類或者類似事故的發生較為有效，但不適用于未發生過的新的事故模式。尤其對于復雜系統，事故發生模式具有多樣性、不確定性的特點，極少出現兩次完全相同或者相似的事故。因此，傳統的被動式、以失效因果分析為導向的事故致因模型并不適用于事故模式多樣的復雜系統的事故預防。實際上，導致該問題的根源在于傳統基于因果關聯的事故致因分析是以事故為導向的，即研究事故為何發生（系統為何失效），而忽視了使系統成功運行所需的條件。若要更加系統、全面地降低復雜系統的事故風險，事故預防需從事故導向型轉向側重于安全正向出發型[2]。為此，本文提出一種功能分解與共振分析模型（ACAT/FRAM），旨在從更加主動的、前瞻性的視角分析如何使系統保持正常的功能，從而可為制定面向多種事故模式的事故預防對策提供理論依據。

1 復雜系統事故預防基本理論

1.1 事故致因模型

早期的事故預防理論是在事故致因理論的基礎上發展起來的，即對已經發生的事故進行原因分析和歸納，挖掘事故發生的潛在機理，得到預防同類事故再次發生的對策。經過多年的探索，國內外專家學者通過總結事故經驗提出了一系列的事故致因理論和模型，其中國內應用較為廣泛的有危險源理論[3]、2-4模型[4]等等，國外應用較為普遍的有事故因果連鎖理論[5]、瑞士奶酪模型[6]等等。

傳統的事故致因理論和模型均對事故的發生機理進行了闡述，由于不同理論和模型分析事故的角度不同，相應的事故預防對策也必然存在差異，但總的來說多數理論和模型以挖掘事故原因為主，強調事故發生的因果關聯性。這種思想對于因果邏輯關系清晰的簡單系統較為有效，但復雜系統的事故原因具有隱蔽性、非直接關聯性、多樣性的特點[7]，往往存在“多因多果”的交叉關系網絡。此外，由于事故的發生具有一定的隨機性和偶然性，并非所有的功能異常都會導致事故，傳統的以事故因果分析為主的事故預防極有可能忽視關鍵的系統功能異常。因此，以歷史事故為導向的事故致因分析不能涵蓋所有的事故發生模式，從而無法制定全面的事故預防措施。

1.2 系統分析模型

基于因果關聯的事故致因理論和模型是以事故為出發點，研究事故為何發生（系統為何失效），對于減少或預防同類或者類似事故的發生較為有效，但不適用于未發生過的新的事故模式。對于復雜系統，事故發生模式多樣，極少出現兩次完全相同或者相似的事故。因此，被動式、以失效因果分析為導向的事故致因模型并不適用于事故模式多樣的復雜系統的事故預防。

若要更加系統、全面地降低復雜系統的事故風險，事故預防需從事故導向型轉向安全導向型。麻省理工學院Leveson教授認為，安全問題實際上是一個控制問題，失效的發生是由系統控制功能失效造成的[8]。因此，安全正向出發型事故預防的關鍵在于保持系統的正常功能。南丹麥大學的Hollnagel教授將這種安全正向出發型的事故預防思想總結為Safety Ⅱ，進一步提出了一種描述系統功能的圖形化建模方法——功能共振分析（Functional Resonance Analysis Method，FRAM），并指出系統的目標是在很多功能相互耦合作用下完成的[9]。反之，事故的發生實際上可以看作系統未完成其目標，造成這一結果的原因可能是任何一個或者幾個功能發生異常。

可見，從系統的角度預防事故的關鍵在于辨識系統的控制功能以及功能間的耦合關系。本文介紹一種基于描述系統功能分解的事故原因分析與分類模型（Accident Causation Analysis and Taxonomy，ACAT）和 FRAM的事故預防模型，為復雜系統提供主動式的事故預防對策。

2 ACAT/FRAM主動事故預防模型

2.1 系統功能共振分析

FRAM是一種圖形化的建模方法，主要通過抽象復雜系統輔助分析系統行為。在事故預防領域，FRAM既可以對已經發生的事故進行還原、識別導致事故的功能共振模式，也可以用于對現有系統進行風險分析、得到潛在的功能共振關系[10]。運用FRAM對復雜系統進行主動事故預防，實質上是基于系統風險分析的思想，對正常的系統進行功能描述。

將系統運行過程（比如某個操作過程）劃分成多個節點，每個節點代表一種功能的實現。不同的功能之間通過6個參數（輸入、輸出、時間、控制、前提、資源）中的一個或者幾個進行關聯。其中，輸入（I）指的是功能的開始，輸出（O）指功能的結果，時間（T）指影響功能的時序約束，控制（C）表示功能所受的限制或者監控，前提（P）表示功能運行的先決條件，資源（R）表示功能運行所需的各類資源。為了更加直觀地進行圖形化表達，通過繪制六角形表示功能本體，6個角分別表示上述的參數，由此構成一個基本的功能共振單元，如圖1。

圖1 功能共振單元Fig.1 Functional resonance unit

每個功能的結果（即輸出）都取決于輸入、時間、控制、前提、資源的狀態，并對后續的功能產生影響。不同的功能通過參數間的關聯進行作用，實現系統的正常運行。例如，輸氣站場開氣作業過程中，在開啟進出站閥門前需要將排污閥設置在關閉狀態。針對這一過程構建FRAM模型時，開啟進出站閥門這一功能的前提條件是排污閥關閉，因此功能“排污閥關閉”的輸出（O）與功能“開啟進出站閥門”的前提（P）之間添加連線，代表兩個功能間的耦合關聯。當上游功能“排污閥關閉”的輸出發生變化時，下游功能“開啟進出站閥門”正常運行的前提條件隨之變化，引起“開啟進出站閥門”功能輸出的變化，從而產生共振。需要指出的是，不同的情景下功能變化的方式不同，Hollnagel總結了常見的功能輸出變化模式[11]，見下表。

表 功能輸出變化模式Tab. Variation modes of function output

運用傳統的FRAM方法可以較為全面地進行系統功能描述和功能間的耦合分析，但在進行功能描述時需要依賴主觀判斷，即對功能是否需要進一步細分缺乏一致性指導。功能描述得準確與否直接影響事故預防對策的有效性，因此，有必要通過一種結構化的方法輔助FRAM進行功能描述。為此，本文引入ACAT模型，雖然ACAT在被提出時主要用于對事故原因進行分析和分類，但其結構化的思想也可以用于對復雜系統進行功能分解和描述。

2.2 系統功能分解

ACAT模型從控制工程的角度描述系統功能，即系統功能是通過閉環控制實現，由執行器、感測器、控制器以及它們之間的通信構成[12]。由此，可對FRAM中的功能進行深度分解，即每個功能的實現均是通過“執行—感測—控制”的閉環回路實現的。下面以“開啟管道閥門”這一功能為例進行說明。

根據ACAT模型中對功能的細分，“開啟管道閥門”這一主功能是由執行、感測、控制這3個子功能以及它們之間的信息溝通構成的。具體來說，執行功能是指操作者進行開啟閥門的動作或者行為，同時這一行為需要符合操作規程和評審標準（即控制功能），并且在現場監管人員或者監控室人員的監測下完成（即感測功能），3個子功能之間通過一定的通信方式實現關聯[13]。只有各個子功能之間構成一個完整的閉環，“開啟管道閥門”這一主功能才能順利完成?？梢?，利用ACAT模型對FRAM方法進行完善，可以實現功能的深度分解和結構化界定。為了直觀地表示上述功能描述的過程，構建基于ACAT/FRAM的功能共振嵌套模型，如圖2。

圖2 基于ACAT/FRAM的功能共振嵌套模型Fig.2 Nested functional resonance model based on ACAT/FRAM

外層六角形表示“開啟管道閥門”主功能，由于本例中未涉及這一功能與系統中其他功能的關聯，因此用灰色線表示。內部嵌套的3個子功能實際上是主功能的分解，因此3個功能的輸入（I）和輸出（O）與外部主功能一致，用箭頭連接。內部子功能間的功能關聯需通過分析執行、感測、控制之間的約束關系建立。例如，若規定必須有監管人員在現場時操作者才可以開啟閥門，則監管人員（感測）便可視為開啟閥門（執行）的前提條件，即感測功能的輸出（O）與執行功能的前提（P）相連。

2.3 基于ACAT/FRAM的事故預防策略

由ACAT/FRAM的分析過程可知，該綜合模型并非針對某一特定的事故，而是從系統化、結構化的視角挖掘某一系統或者過程正常運行所必須的功能及功能約束條件。當功能輸出發生變化或者功能約束失效時，系統功能發生異常共振，導致事故的發生。這種共振不是簡單的因果關系，而是與系統功能密切相關的約束關系。相應地，事故的預防也不是簡單地追溯并消除某些事故的原因，而是采取措施使系統在變化的環境中保持正常的功能和功能約束。

因此，基于ACAT/FRAM的事故預防不是從事故中學習教訓，而是從成功中學習經驗，是一種主動的事故預防，根據功能變化的形式，可從以下兩個方面制定復雜系統的事故預防策略：

（1）提高功能本體的自約束性。整個系統的安全性取決于系統中每個功能的輸出。由模型的定義可知，每個功能的輸出與該功能的輸入、時間、控制、前提、資源等5個參數有關。因此，可以構建功能輸出與功能參數的函數關系，通過調整、優化功能參數約束功能的輸出。例如，對于具有嚴格時間要求的操作（如調度），可利用時間這一參數進行功能設計（如設計一定時間后才允許功能輸出）實現自約束。

（2）加強或增加功能間的正向功能約束。系統可以分解為多個功能，功能之間存在約束關聯。功能輸出的變化通過功能間的關聯進行傳導，通過分析微小變化對其他功能的影響，辨識引起異常功能共振的條件。進一步通過添加或者增強能夠減少共振的功能，如控制功能、感測功能等，抑制異常功能變化的傳導，減少不期望的事件的產生。

3 案例應用

以“進入受限空間作業”為例對模型的應用進行簡要說明。該作業過程可以大致分為3個階段：受限空間作業前30min內對受限空間進行氣體分析，符合安全要求后方可進入；作業過程中，定時監測空間內的有害氣體，如氣體濃度變化過大立即停止作業；完成作業。每個階段可看作一個功能，作業過程的完成取決于每個功能的實現。按照ACAT/FRAM主動事故預防模型的構建原則，繪制該過程的功能共振嵌套圖形，如圖3。

圖3 “進入受限空間作業”的ACAT/FRAM的模型Fig.3 The ACAT/FRAM model for confined space entry

通過觀察外圍結構，對照上表的功能輸出變化模式可知，進入受限空間作業過程對“順序”、“持續”、“時間”3個參數的變化較為敏感，通過模型可分析引起整個系統輸出異常的功能參數變化。以功能①的“時間”參數為例，該功能要求作業前的氣體分析需在30min以內，時間過早可能導致氣體分析結果與實際作業環境存在較大偏差，功能輸出異常。該功能異?？芍苯佑绊懝δ堍诘妮斎耄瑢е逻M行作業時環境條件（P）不符合要求。進一步分析每個外圍結構內部嵌套的功能，可確定使外部功能正常運行的內部約束條件。以功能①的內部嵌套結構為例，該功能需要操作者（執行）在監管人員（控制）的監控下按照操作規程（感測）完成，任何一個功能約束失效都可能造成作業失敗，造成中毒事故。

可見，通過ACAT/FRAM模型可以全面地分析系統正常運行所需的條件，基于該模型的事故預防也不局限于針對某幾種特定的事故模式，而是從一種更加主動的視角分析如何使系統保持正常的功能。在該案例中，針對內部嵌套結構，可通過加強操作規程的培訓、監管者管理和操作者的教育使三者之間功能約束更加可靠；針對外圍結構，可在功能①和功能②之間增加控制功能，即在完成氣體分析后和進行作業前，增加監測管理，減弱功能①的異常輸出和功能②之間產生的共振，減少事故發生。

4 結論

（1）復雜系統結構功能復雜，失效模式眾多。傳統以事故為導向的事故預防只能針對其中一種或者幾種失效模式，無法預防未發生過的新的事故模式。若要制定全面的事故預防對策，事故風險分析需從事故導向型轉向功能導向型。

（2）從系統的角度出發提出一種基于ACAT/FRAM的主動事故預防模型。該模型以系統的正常功能為對象進行功能分解和共振分析，辨識系統正常運行所需的功能和約束條件，在此基礎上探索系統化的事故預防策略。

（3）在ACAT/FRAM模型的基礎上，可分別從功能本體和功能間約束兩個方面制定事故預防對策：通過提高功能本體的自約束性，增強功能本體的抗干擾性，從而降低功能的異常輸出；通過加強或增加功能間的正向功能約束，抑制異常變化的傳導，從而減少不期望事件的發生。