一種主動(dòng)功能約束視域下的復(fù)雜系統(tǒng)事故預(yù)防模型

李威君

（1.山東科技大學(xué) 礦業(yè)與安全工程學(xué)院，山東 青島 266590；2.山東科技大學(xué) 礦山災(zāi)害預(yù)防控制-省部共建國家重點(diǎn)實(shí)驗(yàn)室培育基地，山東 青島 266590）

0 引言

事故預(yù)防是安全管理的主要目的，也是保障安全生產(chǎn)的重要途徑。有效的事故預(yù)防對(duì)策應(yīng)當(dāng)建立在正確的事故致因理論和模型的基礎(chǔ)上。目前較為有效的方法是利用因果關(guān)聯(lián)的思想從事故中總結(jié)規(guī)律和機(jī)理，挖掘事故的根本原因[1]。然而，因果關(guān)聯(lián)事故致因理論是以已經(jīng)發(fā)生的事故因果分析為基礎(chǔ)的，對(duì)于減少或預(yù)防同類或者類似事故的發(fā)生較為有效，但不適用于未發(fā)生過的新的事故模式。尤其對(duì)于復(fù)雜系統(tǒng)，事故發(fā)生模式具有多樣性、不確定性的特點(diǎn)，極少出現(xiàn)兩次完全相同或者相似的事故。因此，傳統(tǒng)的被動(dòng)式、以失效因果分析為導(dǎo)向的事故致因模型并不適用于事故模式多樣的復(fù)雜系統(tǒng)的事故預(yù)防。實(shí)際上，導(dǎo)致該問題的根源在于傳統(tǒng)基于因果關(guān)聯(lián)的事故致因分析是以事故為導(dǎo)向的，即研究事故為何發(fā)生（系統(tǒng)為何失效），而忽視了使系統(tǒng)成功運(yùn)行所需的條件。若要更加系統(tǒng)、全面地降低復(fù)雜系統(tǒng)的事故風(fēng)險(xiǎn)，事故預(yù)防需從事故導(dǎo)向型轉(zhuǎn)向側(cè)重于安全正向出發(fā)型[2]。為此，本文提出一種功能分解與共振分析模型（ACAT/FRAM），旨在從更加主動(dòng)的、前瞻性的視角分析如何使系統(tǒng)保持正常的功能，從而可為制定面向多種事故模式的事故預(yù)防對(duì)策提供理論依據(jù)。

1 復(fù)雜系統(tǒng)事故預(yù)防基本理論

1.1 事故致因模型

早期的事故預(yù)防理論是在事故致因理論的基礎(chǔ)上發(fā)展起來的，即對(duì)已經(jīng)發(fā)生的事故進(jìn)行原因分析和歸納，挖掘事故發(fā)生的潛在機(jī)理，得到預(yù)防同類事故再次發(fā)生的對(duì)策。經(jīng)過多年的探索，國內(nèi)外專家學(xué)者通過總結(jié)事故經(jīng)驗(yàn)提出了一系列的事故致因理論和模型，其中國內(nèi)應(yīng)用較為廣泛的有危險(xiǎn)源理論[3]、2-4模型[4]等等，國外應(yīng)用較為普遍的有事故因果連鎖理論[5]、瑞士奶酪模型[6]等等。

傳統(tǒng)的事故致因理論和模型均對(duì)事故的發(fā)生機(jī)理進(jìn)行了闡述，由于不同理論和模型分析事故的角度不同，相應(yīng)的事故預(yù)防對(duì)策也必然存在差異，但總的來說多數(shù)理論和模型以挖掘事故原因?yàn)橹?，?qiáng)調(diào)事故發(fā)生的因果關(guān)聯(lián)性。這種思想對(duì)于因果邏輯關(guān)系清晰的簡單系統(tǒng)較為有效，但復(fù)雜系統(tǒng)的事故原因具有隱蔽性、非直接關(guān)聯(lián)性、多樣性的特點(diǎn)[7]，往往存在“多因多果”的交叉關(guān)系網(wǎng)絡(luò)。此外，由于事故的發(fā)生具有一定的隨機(jī)性和偶然性，并非所有的功能異常都會(huì)導(dǎo)致事故，傳統(tǒng)的以事故因果分析為主的事故預(yù)防極有可能忽視關(guān)鍵的系統(tǒng)功能異常。因此，以歷史事故為導(dǎo)向的事故致因分析不能涵蓋所有的事故發(fā)生模式，從而無法制定全面的事故預(yù)防措施。

1.2 系統(tǒng)分析模型

基于因果關(guān)聯(lián)的事故致因理論和模型是以事故為出發(fā)點(diǎn)，研究事故為何發(fā)生（系統(tǒng)為何失效），對(duì)于減少或預(yù)防同類或者類似事故的發(fā)生較為有效，但不適用于未發(fā)生過的新的事故模式。對(duì)于復(fù)雜系統(tǒng)，事故發(fā)生模式多樣，極少出現(xiàn)兩次完全相同或者相似的事故。因此，被動(dòng)式、以失效因果分析為導(dǎo)向的事故致因模型并不適用于事故模式多樣的復(fù)雜系統(tǒng)的事故預(yù)防。

若要更加系統(tǒng)、全面地降低復(fù)雜系統(tǒng)的事故風(fēng)險(xiǎn)，事故預(yù)防需從事故導(dǎo)向型轉(zhuǎn)向安全導(dǎo)向型。麻省理工學(xué)院Leveson教授認(rèn)為，安全問題實(shí)際上是一個(gè)控制問題，失效的發(fā)生是由系統(tǒng)控制功能失效造成的[8]。因此，安全正向出發(fā)型事故預(yù)防的關(guān)鍵在于保持系統(tǒng)的正常功能。南丹麥大學(xué)的Hollnagel教授將這種安全正向出發(fā)型的事故預(yù)防思想總結(jié)為Safety Ⅱ，進(jìn)一步提出了一種描述系統(tǒng)功能的圖形化建模方法——功能共振分析（Functional Resonance Analysis Method，F(xiàn)RAM），并指出系統(tǒng)的目標(biāo)是在很多功能相互耦合作用下完成的[9]。反之，事故的發(fā)生實(shí)際上可以看作系統(tǒng)未完成其目標(biāo)，造成這一結(jié)果的原因可能是任何一個(gè)或者幾個(gè)功能發(fā)生異常。

可見，從系統(tǒng)的角度預(yù)防事故的關(guān)鍵在于辨識(shí)系統(tǒng)的控制功能以及功能間的耦合關(guān)系。本文介紹一種基于描述系統(tǒng)功能分解的事故原因分析與分類模型（Accident Causation Analysis and Taxonomy，ACAT）和 FRAM的事故預(yù)防模型，為復(fù)雜系統(tǒng)提供主動(dòng)式的事故預(yù)防對(duì)策。

2 ACAT/FRAM主動(dòng)事故預(yù)防模型

2.1 系統(tǒng)功能共振分析

FRAM是一種圖形化的建模方法，主要通過抽象復(fù)雜系統(tǒng)輔助分析系統(tǒng)行為。在事故預(yù)防領(lǐng)域，F(xiàn)RAM既可以對(duì)已經(jīng)發(fā)生的事故進(jìn)行還原、識(shí)別導(dǎo)致事故的功能共振模式，也可以用于對(duì)現(xiàn)有系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析、得到潛在的功能共振關(guān)系[10]。運(yùn)用FRAM對(duì)復(fù)雜系統(tǒng)進(jìn)行主動(dòng)事故預(yù)防，實(shí)質(zhì)上是基于系統(tǒng)風(fēng)險(xiǎn)分析的思想，對(duì)正常的系統(tǒng)進(jìn)行功能描述。

將系統(tǒng)運(yùn)行過程（比如某個(gè)操作過程）劃分成多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)代表一種功能的實(shí)現(xiàn)。不同的功能之間通過6個(gè)參數(shù)（輸入、輸出、時(shí)間、控制、前提、資源）中的一個(gè)或者幾個(gè)進(jìn)行關(guān)聯(lián)。其中，輸入（I）指的是功能的開始，輸出（O）指功能的結(jié)果，時(shí)間（T）指影響功能的時(shí)序約束，控制（C）表示功能所受的限制或者監(jiān)控，前提（P）表示功能運(yùn)行的先決條件，資源（R）表示功能運(yùn)行所需的各類資源。為了更加直觀地進(jìn)行圖形化表達(dá)，通過繪制六角形表示功能本體，6個(gè)角分別表示上述的參數(shù)，由此構(gòu)成一個(gè)基本的功能共振單元，如圖1。

圖1 功能共振單元Fig.1 Functional resonance unit

每個(gè)功能的結(jié)果（即輸出）都取決于輸入、時(shí)間、控制、前提、資源的狀態(tài)，并對(duì)后續(xù)的功能產(chǎn)生影響。不同的功能通過參數(shù)間的關(guān)聯(lián)進(jìn)行作用，實(shí)現(xiàn)系統(tǒng)的正常運(yùn)行。例如，輸氣站場開氣作業(yè)過程中，在開啟進(jìn)出站閥門前需要將排污閥設(shè)置在關(guān)閉狀態(tài)。針對(duì)這一過程構(gòu)建FRAM模型時(shí)，開啟進(jìn)出站閥門這一功能的前提條件是排污閥關(guān)閉，因此功能“排污閥關(guān)閉”的輸出（O）與功能“開啟進(jìn)出站閥門”的前提（P）之間添加連線，代表兩個(gè)功能間的耦合關(guān)聯(lián)。當(dāng)上游功能“排污閥關(guān)閉”的輸出發(fā)生變化時(shí)，下游功能“開啟進(jìn)出站閥門”正常運(yùn)行的前提條件隨之變化，引起“開啟進(jìn)出站閥門”功能輸出的變化，從而產(chǎn)生共振。需要指出的是，不同的情景下功能變化的方式不同，Hollnagel總結(jié)了常見的功能輸出變化模式[11]，見下表。

表 功能輸出變化模式Tab. Variation modes of function output

運(yùn)用傳統(tǒng)的FRAM方法可以較為全面地進(jìn)行系統(tǒng)功能描述和功能間的耦合分析，但在進(jìn)行功能描述時(shí)需要依賴主觀判斷，即對(duì)功能是否需要進(jìn)一步細(xì)分缺乏一致性指導(dǎo)。功能描述得準(zhǔn)確與否直接影響事故預(yù)防對(duì)策的有效性，因此，有必要通過一種結(jié)構(gòu)化的方法輔助FRAM進(jìn)行功能描述。為此，本文引入ACAT模型，雖然ACAT在被提出時(shí)主要用于對(duì)事故原因進(jìn)行分析和分類，但其結(jié)構(gòu)化的思想也可以用于對(duì)復(fù)雜系統(tǒng)進(jìn)行功能分解和描述。

2.2 系統(tǒng)功能分解

ACAT模型從控制工程的角度描述系統(tǒng)功能，即系統(tǒng)功能是通過閉環(huán)控制實(shí)現(xiàn)，由執(zhí)行器、感測器、控制器以及它們之間的通信構(gòu)成[12]。由此，可對(duì)FRAM中的功能進(jìn)行深度分解，即每個(gè)功能的實(shí)現(xiàn)均是通過“執(zhí)行—感測—控制”的閉環(huán)回路實(shí)現(xiàn)的。下面以“開啟管道閥門”這一功能為例進(jìn)行說明。

根據(jù)ACAT模型中對(duì)功能的細(xì)分，“開啟管道閥門”這一主功能是由執(zhí)行、感測、控制這3個(gè)子功能以及它們之間的信息溝通構(gòu)成的。具體來說，執(zhí)行功能是指操作者進(jìn)行開啟閥門的動(dòng)作或者行為，同時(shí)這一行為需要符合操作規(guī)程和評(píng)審標(biāo)準(zhǔn)（即控制功能），并且在現(xiàn)場監(jiān)管人員或者監(jiān)控室人員的監(jiān)測下完成（即感測功能），3個(gè)子功能之間通過一定的通信方式實(shí)現(xiàn)關(guān)聯(lián)[13]。只有各個(gè)子功能之間構(gòu)成一個(gè)完整的閉環(huán)，“開啟管道閥門”這一主功能才能順利完成。可見，利用ACAT模型對(duì)FRAM方法進(jìn)行完善，可以實(shí)現(xiàn)功能的深度分解和結(jié)構(gòu)化界定。為了直觀地表示上述功能描述的過程，構(gòu)建基于ACAT/FRAM的功能共振嵌套模型，如圖2。

圖2 基于ACAT/FRAM的功能共振嵌套模型Fig.2 Nested functional resonance model based on ACAT/FRAM

外層六角形表示“開啟管道閥門”主功能，由于本例中未涉及這一功能與系統(tǒng)中其他功能的關(guān)聯(lián)，因此用灰色線表示。內(nèi)部嵌套的3個(gè)子功能實(shí)際上是主功能的分解，因此3個(gè)功能的輸入（I）和輸出（O）與外部主功能一致，用箭頭連接。內(nèi)部子功能間的功能關(guān)聯(lián)需通過分析執(zhí)行、感測、控制之間的約束關(guān)系建立。例如，若規(guī)定必須有監(jiān)管人員在現(xiàn)場時(shí)操作者才可以開啟閥門，則監(jiān)管人員（感測）便可視為開啟閥門（執(zhí)行）的前提條件，即感測功能的輸出（O）與執(zhí)行功能的前提（P）相連。

2.3 基于ACAT/FRAM的事故預(yù)防策略

由ACAT/FRAM的分析過程可知，該綜合模型并非針對(duì)某一特定的事故，而是從系統(tǒng)化、結(jié)構(gòu)化的視角挖掘某一系統(tǒng)或者過程正常運(yùn)行所必須的功能及功能約束條件。當(dāng)功能輸出發(fā)生變化或者功能約束失效時(shí)，系統(tǒng)功能發(fā)生異常共振，導(dǎo)致事故的發(fā)生。這種共振不是簡單的因果關(guān)系，而是與系統(tǒng)功能密切相關(guān)的約束關(guān)系。相應(yīng)地，事故的預(yù)防也不是簡單地追溯并消除某些事故的原因，而是采取措施使系統(tǒng)在變化的環(huán)境中保持正常的功能和功能約束。

因此，基于ACAT/FRAM的事故預(yù)防不是從事故中學(xué)習(xí)教訓(xùn)，而是從成功中學(xué)習(xí)經(jīng)驗(yàn)，是一種主動(dòng)的事故預(yù)防，根據(jù)功能變化的形式，可從以下兩個(gè)方面制定復(fù)雜系統(tǒng)的事故預(yù)防策略：

（1）提高功能本體的自約束性。整個(gè)系統(tǒng)的安全性取決于系統(tǒng)中每個(gè)功能的輸出。由模型的定義可知，每個(gè)功能的輸出與該功能的輸入、時(shí)間、控制、前提、資源等5個(gè)參數(shù)有關(guān)。因此，可以構(gòu)建功能輸出與功能參數(shù)的函數(shù)關(guān)系，通過調(diào)整、優(yōu)化功能參數(shù)約束功能的輸出。例如，對(duì)于具有嚴(yán)格時(shí)間要求的操作（如調(diào)度），可利用時(shí)間這一參數(shù)進(jìn)行功能設(shè)計(jì)（如設(shè)計(jì)一定時(shí)間后才允許功能輸出）實(shí)現(xiàn)自約束。

（2）加強(qiáng)或增加功能間的正向功能約束。系統(tǒng)可以分解為多個(gè)功能，功能之間存在約束關(guān)聯(lián)。功能輸出的變化通過功能間的關(guān)聯(lián)進(jìn)行傳導(dǎo)，通過分析微小變化對(duì)其他功能的影響，辨識(shí)引起異常功能共振的條件。進(jìn)一步通過添加或者增強(qiáng)能夠減少共振的功能，如控制功能、感測功能等，抑制異常功能變化的傳導(dǎo)，減少不期望的事件的產(chǎn)生。

3 案例應(yīng)用

以“進(jìn)入受限空間作業(yè)”為例對(duì)模型的應(yīng)用進(jìn)行簡要說明。該作業(yè)過程可以大致分為3個(gè)階段：受限空間作業(yè)前30min內(nèi)對(duì)受限空間進(jìn)行氣體分析，符合安全要求后方可進(jìn)入；作業(yè)過程中，定時(shí)監(jiān)測空間內(nèi)的有害氣體，如氣體濃度變化過大立即停止作業(yè)；完成作業(yè)。每個(gè)階段可看作一個(gè)功能，作業(yè)過程的完成取決于每個(gè)功能的實(shí)現(xiàn)。按照ACAT/FRAM主動(dòng)事故預(yù)防模型的構(gòu)建原則，繪制該過程的功能共振嵌套圖形，如圖3。

圖3 “進(jìn)入受限空間作業(yè)”的ACAT/FRAM的模型Fig.3 The ACAT/FRAM model for confined space entry

通過觀察外圍結(jié)構(gòu)，對(duì)照上表的功能輸出變化模式可知，進(jìn)入受限空間作業(yè)過程對(duì)“順序”、“持續(xù)”、“時(shí)間”3個(gè)參數(shù)的變化較為敏感，通過模型可分析引起整個(gè)系統(tǒng)輸出異常的功能參數(shù)變化。以功能①的“時(shí)間”參數(shù)為例，該功能要求作業(yè)前的氣體分析需在30min以內(nèi)，時(shí)間過早可能導(dǎo)致氣體分析結(jié)果與實(shí)際作業(yè)環(huán)境存在較大偏差，功能輸出異常。該功能異常可直接影響功能②的輸入，導(dǎo)致進(jìn)行作業(yè)時(shí)環(huán)境條件（P）不符合要求。進(jìn)一步分析每個(gè)外圍結(jié)構(gòu)內(nèi)部嵌套的功能，可確定使外部功能正常運(yùn)行的內(nèi)部約束條件。以功能①的內(nèi)部嵌套結(jié)構(gòu)為例，該功能需要操作者（執(zhí)行）在監(jiān)管人員（控制）的監(jiān)控下按照操作規(guī)程（感測）完成，任何一個(gè)功能約束失效都可能造成作業(yè)失敗，造成中毒事故。

可見，通過ACAT/FRAM模型可以全面地分析系統(tǒng)正常運(yùn)行所需的條件，基于該模型的事故預(yù)防也不局限于針對(duì)某幾種特定的事故模式，而是從一種更加主動(dòng)的視角分析如何使系統(tǒng)保持正常的功能。在該案例中，針對(duì)內(nèi)部嵌套結(jié)構(gòu)，可通過加強(qiáng)操作規(guī)程的培訓(xùn)、監(jiān)管者管理和操作者的教育使三者之間功能約束更加可靠；針對(duì)外圍結(jié)構(gòu)，可在功能①和功能②之間增加控制功能，即在完成氣體分析后和進(jìn)行作業(yè)前，增加監(jiān)測管理，減弱功能①的異常輸出和功能②之間產(chǎn)生的共振，減少事故發(fā)生。

4 結(jié)論

（1）復(fù)雜系統(tǒng)結(jié)構(gòu)功能復(fù)雜，失效模式眾多。傳統(tǒng)以事故為導(dǎo)向的事故預(yù)防只能針對(duì)其中一種或者幾種失效模式，無法預(yù)防未發(fā)生過的新的事故模式。若要制定全面的事故預(yù)防對(duì)策，事故風(fēng)險(xiǎn)分析需從事故導(dǎo)向型轉(zhuǎn)向功能導(dǎo)向型。

（2）從系統(tǒng)的角度出發(fā)提出一種基于ACAT/FRAM的主動(dòng)事故預(yù)防模型。該模型以系統(tǒng)的正常功能為對(duì)象進(jìn)行功能分解和共振分析，辨識(shí)系統(tǒng)正常運(yùn)行所需的功能和約束條件，在此基礎(chǔ)上探索系統(tǒng)化的事故預(yù)防策略。

（3）在ACAT/FRAM模型的基礎(chǔ)上，可分別從功能本體和功能間約束兩個(gè)方面制定事故預(yù)防對(duì)策：通過提高功能本體的自約束性，增強(qiáng)功能本體的抗干擾性，從而降低功能的異常輸出；通過加強(qiáng)或增加功能間的正向功能約束，抑制異常變化的傳導(dǎo)，從而減少不期望事件的發(fā)生。