安全思維和事故模型研究分析與展望

伍星光，侯磊，劉芳媛，吳守志，伍壯

中國石油大學(北京)油氣管道輸送安全國家工程實驗室/石油工程教育部重點實驗室，北京 102249

0 引言

安全是人們免于受傷害的現實需求和心理需求。為了掌控系統安全性變化趨勢以及預防不期望事件發生，人們通常基于大量真實事故分析及行業經驗，建立能夠表征原因和后果關系的事故模型。事故模型提供了理解事故的發生發展方式的參考框架，能為系統開發過程風險評估以及事后事故分析提供技術性指導。

事故模型從最早的多米諾骨牌模型發展至今已有數十種之多，每種模型都有各自的特點和適用范圍。覃容和彭冬芝[1]將事故致因理論分為單因素事故理論、事故因果連鎖論、流行病學理論和系統理論四種，分別討論了各理論的主要觀點以及相應事故模型的特點。羅春紅和謝賢平[2]對比分析了2000 年前的一些事故致因理論和事故模型，并運用不同的事故致因理論定性分析具體事故案例。陳寶智和吳敏[3]闡述了從事故頻發傾向論到系統理論事故模型不同時間段的安全背景和安全理念。這些研究更多是對事故致因理論的回顧，并未深入討論事故模型的功能特點和研究現狀。傅貴等人[4]對比分析了10 種主流的事故模型，從事故影響對象、模型架構和事故發生路徑3 個維度闡述了各模型的優劣以及適用范圍。該研究關注事故模型的組成結構和選用依據，并未結合時代背景深入探討事故模型的理論內涵和安全思維。不同的事故模型是基于不同的安全需求產生的，每個事故模型又都蘊含著思考安全的方式，只有綜合理解模型功能和安全思維才能幫助分析者做出正確有效的選擇，推動事故模型向更完善的方向發展。Qureshi[5]對2007 年以前的主流事故模型進行了詳細的分類和描述，并展望了事故模型面臨的挑戰和發展趨勢。然而，該研究由于是2007 年發表，并未涉及最新的事故預測模型。本文對安全理念和思維的發展歷程進行全面回顧，基于不同的安全思維對事故模型進行分類，通過綜合分析不同事故模型的特點和局限性，展望事故模型的發展趨勢。由于本文更關注社會技術系統的整體模型，所涉及的模型范圍沒有涵蓋人的因素模型。

1 安全理念和思維的發展歷程

在科技落后的時代，人們往往認為天災人禍是“命中注定”且無法控制的。直到第二次工業革命之后，風險和安全的概念和影響才真正意義上受到世人關注。安全科學發展至今，大致經歷了5 個階段[6-8]，分別是技術時代、人的因素時代、管理體系時代、整合性時代和適應性時代。

(1)技術時代(19 世紀30 年代到20 世紀50 年代)：在工業革命之后，技術的不可靠性為人類生活引入了新的風險，事故主要歸因于機械故障和結構失效，事故預防的重點是通過消除、替代或隔離潛在危害從源頭控制風險。在此階段，人們對于事故過程的理解和事故原因的分析主要基于海因里希的多米諾骨牌理論，概率風險評估(Probabilistic Risk Assessment)逐漸興起并成為系統安全性評估和可靠性分析的主要方法。

(2)人的因素時代(20 世紀50 年代到20 世紀80 年代)：在技術時代，人的行為由于過于不精確而難以預測的特性被視為技術生產的限制性因素。因此，人們致力于發展自動化技術以弱化人的角色。在第二次世界大戰之后，尤其是在1979 年美國三哩島核電站事故發生后，組織管理者開始意識到通過技術發展并不能排除所有風險，將注意力逐漸轉向人機交互的設計和研究。

(3)管理體系時代(20 世紀80 年代到2000 年)：1986 年發生的“挑戰者號”航天飛機事故和切爾諾貝利核電站事故后，線性因果范式和簡單的人機交互理念受到了質疑。一系列沉痛的教訓清楚地表明，人的表現源于社會技術系統中各因素復雜的相互作用，很多時候并不是事故或錯誤的唯一原因。在風險評價和安全管理中，開始將具體的組織因素納入分析范圍。

(4)整合性時代(2000 年至今)：隨著科學技術的不斷發展，工業系統中的要素變得越來越復雜精細和緊密耦合，人們逐漸意識到不良的組織文化因素在許多事故中起著至關重要的作用。在此階段，研究者們指出更完善合理的事故模型的建立不應輕易擯棄每個發展時期的思維模式，也不應偏重技術因素、人的因素和組織因素中的任一因素，需要基于兼容并包的思想對各個時期的安全分析理念和方法進行整合。

(5)適應性時代(2010 年至今)：適應性時代強調安全和事故是互補關系，不僅要關注系統為什么出錯，也要關注怎樣使系統成功運轉。有效的安全管理策略不僅要能在事后提供改進的意見，更要在事前對系統可能的安全狀態做出預測。這就要求高級管理者不要依賴于自身所想象的來完成工作，而是要經常與一線工人進行坦誠溝通，了解他們的工作現狀和系統的變化情況。

這5 個時代所包含的關于事故原因的探索和安全機制的思考本質上體現了兩種思維模式的變化，即丹麥Hollnagel教授所提出的安全I和安全II的概念[9]。安全I對應的安全性定義是不良后果數量盡可能少的條件水平。從安全I的角度來看，安全管理的目的是確保事故或異常事件數量在合理可行的范圍內盡可能少。這意味著安全管理必須從缺乏安全性開始，通過事后分析確定系統出錯的地方并加以控制和改進。安全I所基于的最重要的假設是所有不良結果都有對應的原因，且總能通過推理找到結果對應的前一階段的原因。這種事故因果關系的信條由于簡單易行以及便于法律上的追責而被人們廣泛遵循[10-11]。由于事故分析目的是從最終結果倒推以找到失效的組件，基于事件的因果鏈式模型在這種環境下應運而生，其中以多米諾骨牌模型(Domino Model)[12]和瑞士奶酪模型(Swiss Cheese Model)[13]最為著名。在漫長的時間里，這種以事故結果為驅動辨識系統脆弱性的被動式安全管理理念根深蒂固。然而，不斷增加的交互復雜性和耦合性使設計人員和操作人員難以考慮所有潛在的系統狀態[14]，且在某一個系統中完全安全的組件在另一個系統中可能并不安全[15]。如果發生了無法預知和無法想象的“黑天鵝事件”，即使擁有一套現成的緊急響應措施也將無濟于事[16-17]。因此，需要啟發式方法和更綜合性的模型來應對不斷變化的實際情況[15,18]。這種主動式管理的需求推動了安全II的產生。

安全II是對安全I的補充，將安全的定義從“避免出現問題”更改為“確保一切都正確”，即彈性恢復力工程(Resilience Engineering)中定義的不同條件下取得成功的能力[19-20]。從安全II的角度看，安全管理的目的是確保事情日常工作盡可能正確，而不僅僅是關注錯誤的事情。兩種安全思維的區別在于安全I將事故視為結果性(Resultant)的現象，是一系列事件相繼發生的結果；安全II認為事故是突發性(Emergence)的現象，是系統各組件負效應綜合作用的瞬時結果，不能將其追溯到特定原因或功能[9,15,19,21]。因此，主動性的安全管理需要更多發揮人的主觀能動性，通過不斷學習克服設計缺陷和功能故障，監控每日自身和系統的變異性并及時做出調整。基于系統理論的事故模型就是安全II時代的產物，其中具有代表性的模型有社會技術系統風險管理框架(Socio-Technical Risk Management Framework)[22]、基于系統理論的事故模型與過程(STAMP,Systems-Theoretic Accident Model and Processes)[23]和功能共振分析方法(FRAM，Functional Resonance Analysis Method)[24]。針對現有系統事故模型缺乏定量過程的局限性，相關學者又開發了基于安全屏障的事故預測模型，主要有過程事故模型(Process Accident Model)[25]、系統危害識別、預測和預防模型(SHIPP,System Hazard Identification,Prediction and Prevention)[26]和基于安全屏障的非序列模型(Non-Sequential Barrier-Based Process Accident Model)[27]。圖1展示了安全思維和安全模型的發展進程和相互關系。

圖1 安全思維和事故模型發展歷程Fig. 1 The development of safety thinking and accident models

2 基于事件的因果鏈式模型

2.1 簡單線性模型

事故模型反映人們思考安全的方式，并極大地影響識別和控制危害以及預防事故的能力。早期工業事故預防的重點是不安全條件，例如打開的刀片和未受保護的傳送帶。隨著最明顯的危害被消除，不安全條件減少的程度開始放緩，安全防護的重點又轉移到了不安全行為。1919 年提出的事故頻發傾向論是最早的解釋工業事故的理論之一，該理論將工廠中具有某些性格特征的少數工人視為事故頻發的主要原因[28,29]。該理論雖然指出人類潛在的不可靠性，但并沒有明確描述事故的發生方式，并不是一個正式的模型。第一次明確指出人為差錯的事故模型是海因里希的多米諾骨牌模型[12]。如圖2 所示，與事故有關的因素被表示成遺傳和社會環境、人的過錯、不安全行為和條件、事故和傷害這5 個多米諾骨牌，第一個骨牌倒塌會相繼擊倒后面的骨牌直到傷害發生，同樣地，如果移去其中一個骨牌，事故過程就被中止。海因里希將事故解釋為一系列按特定時間順序離散事件相繼發生的結果，即傷害是事故的結果，事故僅由人的不安全行為或物的不安全條件直接造成，而不安全行為和條件的產生是由人的過失導致的，人的過失是由環境造成的或由遺傳繼承而來。

由于多米諾骨牌模型過分簡化了事故中人類行為控制的過程，Bird[30-31]Adams[32-33]和Weaver[33-34]等人又在此基礎上擴展了基本的多米諾模型，將管理決策納入事故因素。盡管如此，這一類簡單線性事故模型被普遍認為過于簡單，在日益發展的復雜社會技術系統中已經不再適用。

圖2 多米諾骨牌模型Fig. 2 The Domino model of accident causation

圖3 瑞士奶酪模型Fig. 3 Swiss cheese model of accident causation

2.2 復雜線性模型

由于對更合理的事故理解方法和更強有力的事故模型的需求，簡單線性模型在20 世紀80 年代被流行病學模型所替代。流行病學模型將導致事故的事件類比為疾病的傳播，認為事故是偶然同時存在于空間和時間中的多種因素作用的結果[5]。最著名的流行病學模型是Reason提出的瑞士奶酪模型[13,35]。如圖3 所示，Reason認為在不安全條件和最終損失之間存在多層防御系統，即由箭頭尖端的“不安全行為”切片和影響不安全行為的一系列潛在條件組合而成。每個切片上的“洞”代表了各層防御系統的脆弱性，當不安全條件依次突破所有防御層的“洞”，則事故發生。瑞士奶酪模型對于事故分析和調查非常有用，它迫使調查人員關注不安全行為以外的潛在失效原因，便于發掘系統所存在的更深層次和更關鍵的脆弱模式。然而，該模型并沒有關于奶酪上“洞”的確切定義，其抽象性阻礙了模型的實際應用[36]。為了便于事故的調查和分析，Wiegmann和Shappell在瑞士奶酪模型的基礎上建立了人的因素分析與分類系統(HFACS，Human Factors Analysis and Classification System)，對奶酪上的“洞”進行了明確定義[36-39]。由于該分類系統的因素是基于數百例飛行事故總結提煉出的，HFACS框架被各領域學者廣泛采用。但HFACS框架主要涉及人的因素的分類，沒有強調與設備設計等有關的技術性因素，且過分簡化了發現系統“漏洞”到修復“漏洞”的過程，這在一定程度上限制了它的應用范圍。

盡管流行病學模型相對簡單線性模型對事故的發生方式進行了更復雜的設計，但它仍然遵循線性因果模型的原理[40]，即人的失效和隱性條件的組合引發不利結果。此外，各防御層順序失效的模式簡化了各系統組件間復雜的交互關系[41]，且對瑞士奶酪模型過分規范性的應用可能導致將事故完全歸因于高級管理人員而忽略一線人員的貢獻[42]。

基于事件的因果鏈式模型對于工程設計安全性以及安全分析人員調查事故都具有重要意義，因為如果事故是由一系列事件引發，那么最明顯的預防措施就是在損失發生之前將其中斷。雖然事故的結果是由一系列原因造成的，但并不意味著通過結果能夠推論出相同的原因[9]。正如Leveson教授[43]所說，事故成因和結果的關系就好比吸煙和肺癌的關系，許多吸煙者沒有患上肺癌，而有些患有肺癌的人也不是吸煙者。過去和未來并不總是對稱的，未來的事故并不總能重復與過去相同的事故模式。因此，無論是簡單線性模型還是復雜線性模型都不足以對現代社會技術系統中多因素存在方式和因果演變模式作出全面的解釋。

3 基于系統理論的事故模型

系統理論可以追溯到20 世紀30 年代，它是對傳統分析技術局限性的回應，以應對當時開始建立的日益復雜的系統[44]。Wiener將這種思維應用于控制和通信工程[45]。Bertalanffy也提出了通用系統理論，認為各領域中的復雜系統都能基于通用系統理論表示成多層次模型系統[46]。傳統分析方法基于分治法，將系統的物理部分和人類行為分別分解為單獨的物理組件和離散事件，并假設每個組件或子系統都是獨立運行的。系統方法則側重于整個系統而不是單獨的組件，充分考慮社會和技術層面的所有組成并研究各子系統間的相互作用[47]。具有代表性的基于系統理論的事故模型有Rasmussen的風險管理框架、STAMP模型和FRAM模型。

圖4 社會技術系統層次模型Fig. 4 Hierarchical model of social-technical system

3.1 社會技術系統風險管理框架

工業系統是技術、社會和組織管理要素相互作用的社會技術系統。技術的日趨復雜和社會的快速發展使得工業系統不僅受內部系統波動的影響，同時也受市場競爭、經濟和政治壓力等動態環境條件的影響。動態環境中的風險管理不應再簡單地基于對過去事故的響應，必須基于對實際的安全狀態的觀察或測量開發自適應的閉環反饋控制策略[48]。因此，Rasmussen[22,49]采用基于控制理論概念的面向系統的方法提出了社會技術系統風險管理框架，主要包括結構和動態兩部分。

如圖4 所示，風險管理框架將復雜的社會技術系統描述為一個從立法者、組織和運營管理到系統操作的層次結構。系統各層級之間的相互依賴關系由動態工作流表示。成功的系統運轉應該是有關高層控制的信息向下過濾到較低層，較低層的工作表現向上反饋到較高層。這種垂直的信息流形成了一個閉環反饋系統，并在整個社會技術系統的安全中起著至關重要的作用，它意味著事故是由各級決策者的決策和行動引起的，而不僅僅是過程控制級的工人引起的。

如圖4 的右側所示，復雜的社會技術系統的各層級的行為受外部破壞力的影響，這些破壞力具有不可預測且快速變化的特點。系統的每個層級都在不同的時間承受不同的壓力，為確保系統安全運行，重要的是確定安全操作的邊界以及可能導致社會技術系統朝著或跨越這些邊界遷移的動力。Rasmussen將動態工作環境中行為變化機制與熱力學模型中邊界條件和場梯度進行了類比。圖5 展示了可以影響復雜社會技術系統行為的動力，主要有個人無法接受的工作量、經濟約束以及安全法規和程序。經濟壓力會產生成本效益梯度，從而影響個人采取更具經濟效益的工作策略；工作量壓力導致工作量梯度上升，從而促使個人改變工作方式以減少認知或體力勞動。這些適應性行為會在一段時間內導致人們越過安全工作法規的邊界，并導致系統向可接受行為的邊界遷移，如果越過邊界則會導致事故發生。因此，改善風險管理最有前途的方法是明確安全操作的邊界，并努力使參與者了解這些邊界，并為他們提供學習應對邊界的機會。

結合風險管理框架，Rasmussen開發了事故地圖(Accimap,Accident Map)方法，以圖示方式描述框架中考慮的6 個系統層級的故障、決策、行動以及它們之間的相互作用。Rasmussen的風險管理框架及其描述性方法已在公共衛生[50-51]、石油化工[52]、太空旅行[53]和戶外活動[54]等領域進行應用，這些案例研究驗證了該框架對于事故解釋的有效性。盡管如此，該框架模型缺乏對于安全邊界的明確定義以及可用的原因分類體系，需要進一步研究以擴展該框架對于事故定量分析和預測的適用性。

圖5 社會技術系統安全梯度和安全邊界Fig. 5 Safety gradients and boundaries of social-technical system

3.2 STAMP模型

Leveson[23]遵循Rasmussen主動安全管理的思路，開發了STAMP模型從而使系統方法更加明確。根據Leveson的觀點，安全性是系統的技術、物理、人和組織的組成部分相互作用時系統的涌現屬性，當組件故障、外部環境干擾或系統組件之間不合適交互不受控制時就會發生事故[55]。因此，STAMP是基于約束的模型，重點關注系統組件和整個工作系統中所使用的控制機制之間的相互作用。

與Rasmussen的風險管理框架類似，STAMP模型中最核心的概念是層次結構，但STAMP模型所涉及的系統更加完整，因為它使系統開發和系統設計處于系統運行的前列[56]。如圖6 所示，STAMP將系統視為基于控制和約束的層次結構，結構中的每個層級都在下面較低層級上施加約束，而較低層級上有關控制和約束的適合性和條件的信息向上面的較高層級傳遞。STAMP強調復雜系統是基于物理、社會和經濟壓力動態地向事故遷移，而不是突然失去控制能力。發生系統事故的原因不是組件失效，而是因為未能成功實施約束，使系統更接近安全性能的邊緣并降低安全運行的余地。約束限制了系統行為，確保其在安全范圍內運行。約束既可以是現有的，例如環境或財政約束，也可以是引入的約束，例如規則，程序或設備或技術設計，它們代表對系統行為的控制，以限制組件之間的自由度[57]。由于已有的技術在適應更復雜社會技術系統的應用方面存在嚴重局限性，Leveson基于STAMP框架開發了基于系統理論的過程分析技術(STPA,System-Theoretic Process Analysis)和基于STAMP的因果分析技術(CAST,Causal Analysis based on STAMP)分別用于事故過程危害分析和事故因果關系分析[23,43,58]。

STAMP模型提出后獲得了廣泛關注，已成功應用于航天系統[59-60]、海運系統[61]、鐵路系統[62-64]和石油化工[65-66]等領域。相比Accimap分析，STAMP能生成更可靠的事故分析結果并提供更全面的建議[67]，但STAMP更適合于對技術控制故障進行識別和分類，而不適合復雜的人為決策和組織失效[68-69]。因此，STAMP通常與HFACS等提供詳細人因分類指南的方法結合使用。此外，STAMP無法提供事故過程的明確圖示，其內在的復雜性和難以操作使其難以被廣大從業人員接受。

圖6 社會技術系統通用控制結構Fig. 6 General control structure of social-technical system

3.3 FRAM模型

與Rasmussen和Leveson一樣，Hollnagel對基于線性因果理念解決安全問題的方法不滿。他認為當前所有事故調查和風險評估都是在相對不了解系統完整行為的狀態下進行的，且所有已建立的風險評估方法都要求有詳細描述系統的方案，但所有的社會技術系統都是動態變化的，即使知道它們是什么，也無法完全定義或描述系統中的時空參數。因此，Hollnagel基于安全II[9]和彈性復原力[20]概念提出了功能共振分析方法。從具體實施角度出發，FRAM并不是表征系統行為的模型，而是一種方法。它可以識別和定義系統功能和可變性，并確定可變性如何以導致不良后果的方式在系統內相互作用。與Rasmussen的風險管理框架和Leveson的STAMP模型相比，FRAM并不以分層或抽象的方式解釋系統，而是以相對于整個系統的相互耦合或依賴功能來解釋系統，重點是系統做什么而不是系統是什么[70]。通過了解系統執行的功能，可以在系統與其環境之間進行區分，從而確定系統邊界。

在進行FRAM評估時，首先將系統分為直接或間接影響活動結果的關鍵功能。如圖7 所示，通過輸入、輸出、時間、控制、前提條件和資源6 個基本參數表征系統的基本功能。然后在功能及其來源中定義潛在的可變性，即考慮正常和最壞情況下的差異。最后，通過觀察到的功能之間的依存和耦合關系以及觀察到的變異性來識別和描述功能共振，從而確定變異性的控制機制并指定所需的性能監控。

FRAM是揭示系統不同功能之間耦合和依賴關系的有效工具，已成功應用于航天系統[71-72]、海事系統[73-74]、核能系統[75]、石油化工[76]等領域。FRAM提供了一個事故分析框架，使復雜的人與技術交互關系更容易識別，并可以提供適當的監控策略和彈性設計方案以提高系統安全性[77]。但由于應用和分析過程不詳細以及缺乏一致或明確的停止規則，FRAM中的功能識別和交互分析受到限制[78-79]。因此，需要進一步評估FRAM對于事故調查早期階段中收集和組織數據的適用性，以及研究有關功能識別和屏障建立的更結構化的方法。

圖7 FRAM模型功能參數圖Fig. 7 Function parameters of FRAM model

圖8 海上石油天然氣過程事故模型Fig. 8 Offshore oil and gas process accident model

除了上述3 種模型，基于系統理論的事故模型還有Perrow[14,80]的正常事故理論(Normal Accident Theory)和Dekker[81]的漂移失效模型(Drift into Failure Model)。但這兩種模型沒有提供具體的方法論和操作步驟，實際應用中一般只是借鑒它們的內在理論。總體來說，基于系統理論的事故模型充分考慮了復雜系統內組件的非線性交互作用，并且以主動監控變異性代替被動事后分析，比基于事件的因果鏈式模型更先進合理。然而，這些模型大多不能直接應用于描述過程設施事故，并且建模方法通常應用于職業性傷害而非石油化工過程事故。此外，這些模型主要提供事故過程的定性描述，缺乏定量預測和評估。因此，更簡潔便利、具有預測功能的基于安全屏障的事故預測模型出現在人們的視野中。

4 基于安全屏障的事故預測模型

安全屏障概念起源于能量轉移觀點。20 世紀60年代和20 世紀70 年代，Gibson和Haddon分別提出了兩種開創性的安全理論以研究過剩能量從釋放源到脆弱目標的過渡。1961 年，Gibson基于“能量轉移超過身體傷害閾值會導致人身傷害”這一事實建立了能量模型[82]。1970 年，Haddon在該模型基礎上將已知的事故預防原則系統化為十種策略[83]。1987 年，Kjellén將Haddon提出的事故預防策略定義為屏障[84]。之后，Reason于1997 年基于縱深防御概念建立了如圖3 所示的瑞士奶酪模型。該模型提供了安全屏障概念性建模方法，后續的許多安全屏障模型都以此為基礎。

4.1 過程事故模型

結合Reason的瑞士奶酪模型和Bird的因果鏈式模型的特征，Kujath等人[25]于2010 年開發了針對海上石油天然氣的過程事故模型。該模型假設海上油氣設施中的事故由碳氫化合物釋放引發，繼而通過物質擴散和能量傳遞引發更嚴重的事故，而各級事故的中斷和控制通過設置安全屏障實現。如圖8 所示，模型在事故傳播路徑上設置了5 個防護屏障以預防或減輕物質或能量釋放的影響，最壞的情況是所有屏障均失效導致重大或災難性事故。對于模型所描述的事故過程，Kujath等人進一步采用故障樹和事件樹相結合的方法分析具體事故。通過分析歷史事故資料，挖掘并整理各安全屏障失效的影響因素，生成綜合性的故障樹模型；定義每個安全屏障失效后引發的事故類型，基于事件樹方法分析不同嚴重程度事故的發生概率。該模型被成功應用于1988 年派珀·阿爾法(Piper Alpha)事故和2005 年德克薩斯州煉油廠事故中，但它僅將技術故障視為事故起因，并未考慮人的因素和組織錯誤等原因。

4.2 SHIPP模型

為克服Kujath的過程事故模型的缺點，Rathnayaka等人[26]建立了SHIPP模型，將適用范圍從海上石油天然氣擴展到了整個過程工業。如圖9 所示，在SHIPP框架內，與技術、人員、管理和組織方面有關的所有事故原因均被包括在內，并被歸納為7 個預防屏障。其中釋放預防屏障(RPB，Release Prevention Barrier)、點火預防屏障(IPB，Ignition Prevention Barrier)和升級預防屏障(EPB，Escalation Prevention Barrier)與Kujath的過程事故模型相同，擴散預防屏障(DPB，Dispersion Prevention Barrier)、人的因素預防屏障(HFB，Human Factor Barrier)以及管理和組織預防屏障(M&OB，Management and Organizational Barrier)是SHIPP模型獨有的，損害控制和應急管理屏障(DC& EMB，Damage Control and Emergency Management Barrier)綜合了Kujath的過程事故模型中的損失和損害預防屏障。Rathnayaka將事故后果定義為安全偏離、未遂事故、輕微事故、一般性事故、重大事故和災難性事故6 個等級，通過SHIPP模型分析不同場景所對應的不同等級事故發生的可能性。SHIPP模型保留了海上石油天然氣過程事故模型中故障樹和事件樹相結合的系統分析方式，但是增加了貝葉斯更新機制分析企業實時安全數據以更新事故過程安全屏障的失效概率，從而最大程度地降低經驗數據的不確定性。此外，SHIPP還采用隨機預測模型來計算下一個時間間隔內異常事件的數量。這些預測和故障更新功能可為企業的維護和變更管理提供決策支持，并有助于安全計劃的優先級排序。

目前，SHIPP模型已成功應用于液化天然氣設施和鉆井平臺[85-87]，但該模型存在一定的局限[88]。一方面該模型未考慮外部因素和職業性傷害，且事故路徑中的某些屏障不合邏輯；另一方面，事故數量預測技術對于嘈雜數據的靈敏性較差。盡管如此，SHIPP仍然是一個非常受歡迎、功能強大的事故分析和預測工具。已有相關文獻對SHIPP模型進行改進以更適應特定工作場所的分析[89-91]。

圖9 SHIPP模型架構Fig. 9 The architecture of SHIPP model

4.3 基于安全屏障的非序列模型

在Rathnayaka研究基礎上，Adedigba等人[27]進一步開發了基于安全屏障的非序列模型。該模型著眼于不同種類屏障的防護效應，并綜合考慮了設計、設備、人員、管理和外部環境等因素之間的相互依賴性。如圖10 所示，設計錯誤可能導致操作和設備失效，操作失效可能會導致設備失效。3 種因素都可能直接引發事故，而它們又潛在地受人的因素、組織失效和外部因素的影響。與SHIPP模型類似，該模型仍然基于故障樹和事件樹來研究因果關系，但故障樹被轉換成貝葉斯網絡從而能夠考慮原因因素之間的非線性相互作用。該模型被應用于里士滿煉油廠事故，通過在貝葉斯網絡中使用OR、Noisy-OR和Leaky Noisy-OR這3種不同的邏輯門確定每個安全屏障失效概率的上下邊界，從而得到事故發生概率的區間估計。該模型提供了一種基于影響因素的相互依賴性和非線性相互作用預測過程事故的機制，利用過程監控數據，該模型可以定量估計動態風險概況。但該模型缺乏各事故成因的具體分類指南，事故后果嚴重程度基于各影響因素屏障失效的數量判定，這種演變模式缺乏明確的證據。

總的來說，基于安全屏障的事故預測模型不僅能提供事故的定性描述和定量預測，而且通過事故過程與安全屏障的耦合能提供需監控的指標和預防性策略。事故預測模型兼具因果鏈式模型的簡潔性思維和系統模型的系統性思維，建模方式更符合現場管理的實際需求。但由于過程事故發生和演變的復雜性，當前可用的事故預測模型無法提供所有事故類型的分析指南。此外，需要引入高靈敏度的預測方法來跟蹤實時數據變化從而改進預測性能。

圖10 基于安全屏障的非序列模型Fig. 10 Non-sequential barrier-based process accident model

5 討論與展望

從技術時代到適應性時代，安全管理經歷了從基于事后響應的被動性思維向基于實時監控的主動性思維的過渡。在安全理論發展的過程中，研究者們致力于開發事故模型用于表征系統安全性的演變規律。事故模型依據不同的安全思維主要分為基于事件的因果鏈式模型、基于系統理論的事故模型以及基于安全屏障的事故預測模型。事故模型演變和發展過程中的相關安全理論的描述見本文附錄。

5.1 三類事故模型的對比

基于事件的因果鏈式模型遵循線性思維，將事故視為一系列不期望事件相繼失效的結果。以多米諾骨牌為代表的簡單線性模型將事故視為單一原因的結果，識別并消除該單一原因則事故將不會重復發生。然而，現實情況是事故總是由多因素共同作用導致的，事件也不會如預期一樣按特定順序發生。因此，簡單線性模型在當前日益復雜的社會技術系統中已經基本淘汰。流行病學模型以更復雜的方式描述事故，將事故成因細化為顯性失效和隱性失效，顯性失效直接引發不良的后果，而隱性失效又為顯性失效創造了時空條件。流行病學模型本質上仍然遵循線性思維模式，顯性因素和潛在因素的組合引發最終結果。盡管如此，流行病學模型提供了事故預測和預防一體化的思想，為后面更完善的安全屏障模型奠定了基礎。

基于系統理論的事故模型在主動性安全管理的需求中應運而生，不再關注系統為什么失效，更關注系統怎樣失效。通過建立系統各層次之間的控制和反饋關系監控系統的變異性，使理想的安全性和實際的安全性趨于一致。風險管理框架提供了社會技術系統的層級劃分，各層級通過控制和反饋形成垂直的信息流閉環系統，阻止系統在外部動態破壞力的作用下向安全邊界遷移。在風險管理框架下，Accimap技術被開發用于將事故的影響因素映射到復雜社會技術系統各層次中，分析各影響因素間的交互關系和安全性的變化過程。STAMP模型對社會技術系統的分層進行了細化和完善，描述了系統開發和設計如何與系統操作和運轉相互作用和促進。STAMP模型非常有助于分析人員探究可能導致性能下降和不期望事件的系統組件之間的復雜交互，是基于系統理論的事故模型中應用最廣泛的模型。但該模型由于分析過程復雜且缺乏簡單明晰的圖表輸出，因此并不適合一般從業人員使用。FRAM模型認為事故是正常性能變異的意外組合導致的，風險管理的目標是確定并減少變異性，以阻止系統狀態共振情況的發生。該模型提供了識別系統變異性以及確定變異性在系統內相互作用模式的方法，但對于如何調查事故和確定功能共振并未給出詳細的指南。基于系統理論的事故模型從系統復雜性出發，表征系統不同層次的動態非線性交互過程，其所蘊含的安全變異過程和方式更接近實際情況。但這一類模型更多關注安全性如何變化，缺乏適用于現場分析人員的可用性指南和合適的風險量化技術。后續的發展應結合事故先兆指標，提供對于事故因果關系的定量分析和綜合性預測方法。

基于安全屏障的事故預測模型綜合了線性模型和系統模型的優點，既綜合考慮了系統組件間復雜的耦合關系，又保留了更符合現場人員思維模式的事件驅動理念。此類模型基于能量釋放和控制的觀點，充分考慮事故發生和演變特征，將安全屏障的預防和減緩效應融入事故過程，能夠實現對于事故的預測和預防，因此非常適合過程工業的安全分析。目前，SHIPP模型是此類模型中最受歡迎和最有前途的模型，它闡述了事故從初始釋放到逐漸惡化再到災難性后果的演化過程，并提供了如何利用實時安全數據進行安全狀態預測的詳細方法。但該模型仍然是不完善的，因為它并未包括過程工業所有類型事故，也未綜合考慮外部因素和其他類型因素，而且并未提供對于有關技術、人員和組織等因素的具體分類指南。基于安全屏障的非序列模型雖綜合考慮了更多因素以及因素間的相互作用，但并未提供交互關系的依據以及圖示化描述相關交互如何導致不同后果惡化的過程。后續有關事故預測模型研究的趨勢是以SHIPP模型為基礎，但需進一步明確定義和總結不同類型的安全屏障，建立綜合考慮所有事故類型的過程模型，并引入更高靈敏度的預測方法提高預測的準確性和魯棒性。

5.2 事故模型研究展望

現有的事故模型都有其自身的功能和局限性，它們都有各自的應用范圍和適合領域。線性模型雖然已經不適用于復雜系統，但事件驅動的思想仍然值得借鑒，這符合分析人員的簡化假設和因果邏輯思維，并且它所催生的諸如故障樹和事件樹等實用的事故分析方法一直沿用至今。系統事故模型由于更真實地反映了系統組件的動態交互，幾乎適用于所有領域，但用于不同領域時需要根據領域特點進行相應改進和引入相關分類框架和定量手段。基于安全屏障的事故預測模型由于充分考慮了能量和屏障的關系，具有再現事故發生和演變過程的功能，因此更適用于過程事故的分析。分析人員在分析具體問題時需要結合所研究問題的特點進行事故的篩選和改進。未來事故模型的發展趨勢可能是不同模型之間的結合，也可能是全新的模型，但無論通過哪種方式構建模型，模型中的元素交互關系都應遵循動態非線性的特征。

6 結論

(1)基于事件的因果鏈式模型本質上遵循線性思維，即事故由單因素導致或由顯性因素和隱性因素的組合導致，且通過逆向因果推斷能夠完全還原事故過程。由于過分簡化事故因果關系，此類模型基本已經不適用于復雜社會技術系統。

(2)基于系統理論的事故模型采用控制論思想描述復雜系統組件間的非線性交互，重點關注系統組件表現和控制機制之間的相互作用，識別系統可能出現的變異性并阻止系統向安全邊界遷移。需要進一步研究故障因素分類指南和引入量化方法增加該模型的實用性。

(3)基于安全屏障的事故預測模型以能量轉移論為基礎，綜合了線性模型的事件驅動觀點和系統模型的非線性交互觀點，并提供了安全狀態的動態預測方法，更適用于過程工業事故。需要進一步構建全面概述事故發生方式的圖示模型并引入更可靠的預測方法以提供更明確有效的事故預測和預防指南。

(4)安全科學發展至今已步入適應性時代，安全管理思維也已從基于事后響應的被動式管理變為基于實時監控的主動式管理。未來事故模型的發展趨勢是建立表征系統組件間動態非線性交互，并能基于安全指標和實時數據提供動態安全性預測的實用性模型。