对于任何在过程工业中工作的人来说,以下是一段熟知的情节:2005年3月23日,在美国德克萨斯城的炼油厂,可燃液态烃喷涌与排放烟囱释放出来的蒸汽引燃并引起一场大火。其结果是:15人死亡,180人受伤。所有的遇难者当时都处在排污罐周围的一组办公室拖车里面或附近。当时,德克萨斯城是由英国石油公司(BP)在运营,并且是其公司最大、全美国第三大炼油厂。
经过10年的事后总结,我们学到了什么?这个影响深远的过程安全事故不是发生在具有严格遵守安全规程并具有悠久安全文化历史的工厂里的一次一时糊涂。正相反,这个炼油厂在之前的30年里发生的事故一共造成了23人死亡,其中仅仅2004年就有3人死亡。对于那个发生事故的设备来说控制工程网版权所有,这甚至也不是第一次发生违反安全规程的事故了。在2005年之前,发生在那个烟囱的严重的可燃物质泄漏事故已经多达8次了,可是却一直没有人调查其原因。
在事故发生后,美国职业安全和健康署(OSHA)调查组曾对BP公司处以2100万美元的罚款,因为有301项故意违规行为,这也成为该公司历史上最大的一笔罚单。讽刺的是,OSHA并没有对现场的其他29个流程单元进行全面的检查。而且,在数月之内该工厂又接连发生了两起主要事故,导致超过3000万美元的损失(尽管没有人员死亡)。
关于事故原因的调查,一开始人们将矛头指向了人力资源以及硬件的问题。随后的调查报告指出更多的问题,包括几十个设备老化的现象、过程控制系统和安全系统不完善、以及人员的培训不合格、经验不足等。那些报告还指出,该公司在1999年和2005年两次大幅削减生产方面的预算,员工也被减少了一些。
美国化学安全与危害调查委员会在“3.23事故”发生两年以后发表了对这个特别事故的调查报告。该报告引述了在哥伦比亚号航天飞机失事之后由哥伦比亚事故调查委员会发表的一个非常有见解的意见。它指出,“许多事故调查在定义事故原因的时候犯了同样的错误。他们的思路是先先找到损坏或工作异常的部件,然后找出与该技术故障联系最紧密的人员:如,分析时计算错误的工程师、错过信号或者拉错开关的操作员、没有仔细聆听的负责人、又或者做出错误决定的管理人员。如果原因链条仅限于技术缺陷和个人的失误,接下来发生的以及防止未来再次发生类似事件的对策也会同样地有限。他们的目标是修复技术问题并替换或者再培训负责的人员。这样的更正行为会引起误导,并有可能引发产生灾难性后果的信念,即潜在的问题已经得到了解决。”
针对这个事故,如果将其定义为残液分离塔内的液位仪表和安全仪表系统(SIS)故障,并导致没有经验的操作员继续将可燃原料泵进分离塔内,甚至他们都不能解释那么大的体积的原料都去了哪里,这样的报告就简单了。将原料泵进分离塔是与正常启动相违背的步骤。然而,没有报警提醒控制室当时正在发生什么,而且没有SIS关停泵。
企业需要集中资源努力创造低风险的工厂运行。图片来源:ABB
错误的安全衡量方法
如果一个企业的文化会忽视安全,你如何想象每天的工作?
从2005年德克萨斯城的大火中可以得到的收获是长达10年的反省,以及针对当时工厂里的做法开展的大量讨论。很难想象在那里工作的每个人会具有任何个人安全意识,对于那些大部分醒着的时间都是被包围在大量的可燃和易爆产品的人员来说,对于一直存在的危险一定变的麻木了。我们希望,理性的人员可以找到一种方式利用他们对于危险的了解来指导他们的行动并激励他们安全地工作。也许对于现场的1800名员工和800家承包商中的很多人来说,行为安全的意识可能就足以让他们保住性命。
事实上,根据那场事故之后的调查提供的众多证据显示,在BP公司高层方面有安全文化方面的失误,还有它在一般的炼油厂特别是德克萨斯城的炼油厂里出现的安全管理的失误。以下引述美国化学安全与危险调查委员会的报告原文:
1.6.2:董事会没有为BP公司的安全文化和主要事故预防计划做出努力。董事会没有负责人对于BP公司的重大事故危险预防计划进行评估和核实。
1.6.3:相信作为安全方面的指标,在德克萨斯城的人员低伤害率反映的并不是工艺安全绩效和安全文化健康状况的真实情况。
1.6.7:安全活动、目标和奖励集中在提高人员安全衡量方法和工人行为方式上,而不是在过程安全和管理安全系统上。由于在炼油厂所有的层面上都没有严格执行许多安全规定和做法,德克萨斯城的管理者们没有吸取安全方面案例的经验教训。
这并不是说在该工厂里就没有关于安全的讨论,只不过侧重点是在职业和行为方面的元素,例如带上你的防护眼镜,不要留下危险因素等等。在这方面,该工厂做的相对较好,管理者鼓励每一个级别的参与者。早在2001年启动的一项名为“德克萨斯城炼油厂安全挑战”的计划中,BP公司就让就员工们意识到不安全的行为导致了现场90%的人身伤害。总的来说,参与这项计划的员工们在2004年提交了48000份安全观察报告。不幸的是,正如上文1.6.3中讲到的www.cechina.cn,该计划实际上忽略了过程安全系统以及与过程安全相关的行为。
那么这会置员工于什么境地?一方面,他们被要求汇报个人的不安全行为,可是他们忽视了一个事实:残液分离塔内底部的观察孔太脏了,而且好几年没人读取过了。
对于在其职业生涯中第一次进行机组启动的操作员,并且在控制室里没有其他有经验的人,会发生什么状况?几年之前www.cechina.cn,Amoco公司已经计算出在启动的时候安全事故发生的几率要高出平常10倍。类似的,安全风险管理的基本概念也很清楚地要求在残液分离塔经过一段时间停机以后再次启动的时候,最优秀的、经验最丰富的操作员应该在场。如果向塔内注入物料的泵已经工作3个小时,操作员应该向上级主管汇报,“我真的不知道这些液体都去了哪里。我不能从任何仪表的读数上解释这种现象。有些地方出了错误。我们一定是把塔注满了。”这样可能就会带来不同的结果。除此以外,向塔内泵入原料与启动步骤是相违背的。
如果一个工厂处于不良状态,就像这个工厂当时的状态,唯一的补救办法是请一些非常聪明的人来,他们可以对工作异常或缺失的设备创建他们自己的工作流程。对于更加有经验的操作员来说,如果他不能核实泵出的物料量相匹配时,绝不会继续向塔内泵入物料。经验丰富、了解工艺的操作员可以查看仪表并说,“那是不对的。”当然,这种方式也仅能走到这一步。最终,即使是天赋最好的人也不能为这样的差异做些什么。何况是正在努力学习阶段的操作员,面对这种情况根本就没有办法。
故障和误区
残液分离塔没有工作正常的液位传感器——其危险的结果是溢流。不过是什么特殊的事件引发了灾难?
在2005年3月23日,残液分离流程在停机之后再次启动。该设备单元已经在1月21日停机了,因此塔内可能被排空、清洗并通过蒸汽清洁去除残留物。很显然,对于塔内安装的液位传感器的检查工作什么都没有做控制工程网版权所有,而且因为太脏很多年没有使用的安装在底部的观察孔也没有被检查。操作员在准备再次启动的时候曾经报告回流罐的泄压阀无法从控制室里操控,可是这也同样没有得到解决。根据BP公司的规程,仅仅那一个阀门的故障就应该可以防止再启动操作,除非它被解决好了。
建立好的安全管理程序也要求在启动前进行彻底的安全检查(PSSR),但是这个要求与其他关于在启动期间合适的人员配备的要求一起都被跳过了。一个PSSR会检查并验证所有的安全仪表及其他相关设备,不过那几乎一定会延迟设备单元的再次启动运行。而该工艺在开启运作之前并没有获得所需要的签署。基本的过程安全和环境保护规程都被忽视了。
在日常运行中,残液分离塔会有7到9英尺深的液体,溢流会从液体上方的托盘流下来。尽管液位指示器不能正常工作,夜班的操作员还是会把分离塔注入到正常的深度。夜班的负责操作员会在分布式控制系统(DCS)显示液位到了8.95英尺(99%)时停止向塔内注入,而实际液位是13.3英尺。白班没有经验的操作员启动流程并向塔内泵入原料,尽管没有显示有任何原料送到下游。直到上午11:50,塔内的液位已经达到了98英尺控制工程网版权所有,而DCS的显示仍为8.4英尺(88%)。在不到1小时的时间内,液位升到140英尺,在下午1:14,原料开始从溢流管道流出到排污罐。到下午1:20,液体从烟囱里释放出来,形成蒸汽云、被点燃、然后发生爆炸。
在这次事故中,4个液位传感器没有工作,所以无法了解即时系统中的所有液位传感器的状态。由于该塔是一个蒸馏塔,它不应该像存储罐那样进行注入。
正常运行情况下的最高液位是不超过10英尺。正常的过程控制液位传感器会向DCS传送读数,可是最终却给出了极其不准确的读数。对这个传感器进行验证检查的通常方式是通过观察孔查看,可是观察孔太脏了,很多年都没人使用。高液位报警传感器损坏,导致机械装置锁定而无法做出响应。
塔内没有其他的液位传感器。即使它们都工作正常,一旦液体已经超过高液位报警传感器,操作员就无法判断其深度是12英尺、50英尺还是150英尺。
4个不工作的液位传感器位于排污罐。它还有一个损坏的浮球,无法警告排污罐即将溢流。虽然这个浮球不会避免事故的发生,但是它最起码可以启动报警来让人们撤离该区域。
任凭设备的状况恶化到没有一个液位传感器正常工作的地步,加上在没有进行充分的安全检查的情况下就决定重启该单元,发生事故只是早晚的事。这也反映了当时该工厂的企业文化,即对产品的关注被置于安全之上。
要彻底解决德克萨斯城炼油厂的安全问题会要求相当长的一段时期内关停该设施来进行大的升级改造,可是没人能够强制执行这样的改造。作为当时全美第三大炼油厂,停产带来的每天1000万加仑汽油的损失,将导致美国能源供应链吃紧,而且股东们也无法接受这样的损失。这就是现实。(作者:Luis Durán)