过程工业重大事故分析 | 过程安全:确保在危机中实现有效的决策支持
一个有效的基于标准的决策支持系统,有助于提高过程安全性,并在压力情况下给操作员提供关键的帮助。
系统异常运行期间的操作错误,已成为近期许多过程工业重大事故的原因之一。很多事故报告显示这些问题往往是由于程序瑕疵、培训不足、以及缺乏足够的资源等原因造成的。在一般情况下,具有合适的技能和工具、以及经验丰富的操作人员,有助于避免此类情况的发生。但是在应对危机事件时,运行人员往往负担过重。在面对压力的情况下,智能的系统可以为人类提供更多支持,使用基于标准的方法可以帮助企业降低问题升级的可能性。
将人员置于压力之下
经过多年的发展,过程控制系统几乎可以测量、并以任何颜色显示和报警任何异常情况。对同一测量,可以提供许多不同的报警,包括各种高、低值以及变化率报警。我们设计实施的操作员显示器看起来很好,但在紧急情况下会使运行人员感到困惑。如果正确配置,这些报警和显示应该可以帮助运行人员,而不是让他们感到迷惑。不幸的是,我们并没有很好的利用这种智能系统来帮助过程操作人员。
2005年3月23日,英国石油德克萨斯炼油厂的异构化装置发生爆炸,该厂是当时英国石油公司最大的炼油厂。爆炸造成15人死亡,170人受伤。事故由残液分离器引起。
由J. Mogford领导的BP公司事故调查组,发表了一份调查报告,发现了几个与程序相关的基本错误,例如某一个报警被确认,但是并没有采取行动;升温速率太快,运行人员试图手动启动装置,但程序规定需要自动启动。此外,操作人员在核实液体循环之前打开了燃烧器。
运行人员负担过重的另外一个案例是发生在1994年7月24日的化工厂爆炸事故。当日雷电击中了德士古米尔福德港炼油厂原油蒸馏装置,引发了火灾,最终导致催化裂化装置的爆炸。虽然媒体把责任归咎于雷击事故,但是报告指出,“虽然雷击事件是工厂事故的主要原因,但这并不是造成5个小时以后发生的爆炸以及泄露事故的原因。这些事故,都是因为事故后管理不善所造成的。”
幸运的是,虽然有人严重受伤,但没有人死亡。在诸多因素中,该报告重点提到糟糕的报警管理、糟糕的人机界面(HMI)设计、以及不遵循程序操作。例如,报告指出,“从事件中保存的与事件有关的有限数量警报信息中可以看出,在爆炸发生前10.7分钟,两位运行人员必须识别、确认275项报警,并采用适当的行动。有时整个早上,运营人员无法做其它事情,只能确认警报。”
随着事件的进展,操作员手动恢复控制的机会就变得越来越少,因为他们疲于应付一系列的“报警”。控制系统总计配置了2040个警报,其中87%具有较高的优先级。在事件发生时,运行人员每2到3秒就需要处理一个报警,这就意味着,很多报警被未经处理就被草率的取消了,而无法得到及时相应的处理。没有证据显示,在爆炸前25分钟装置发出的严重报警得到应有的识别与重视。
此外,报告显示催化裂化装置的人机界面设计,并没有将重点放在帮助运营人员控制工艺过程上。过程数据是有限的,但是色彩运用混乱,所以重要数据并没有被突出显示。显示的大部分数据都只描述了工厂设备的结构,而与运行无关。由于缺少实践和文档支持,关键程序实际上已经不能发挥应有的作用了。
决策支持程序的作用
这些事件表明,如何有效地使用决策程序,是在所有情况下保持安全和可靠运行的关键手段之一。事实上,如果配置正确,规划良好的报警,可以在许多异常工况下触发程序,而设计良好的HMI可以及时警示正在发展中的事件,引起运行人员的的注意。
例如,航空业是世界上最安全、自动化程度最高的行业之一。事实上,大多数现代飞机,在没有计算机导航的情况下都不能飞行,但在飞机操作中,程序仍然起着非常重要作用。在飞行前、飞行中和飞行后,飞行员都需要执行很多程序。
历史表明,1935年,B-17轰炸机在俄亥俄的Dayton坠毁后,测试飞行员引入了记录程序。B-17是当时最先进的轰炸机,但由于起飞时的阵风锁,几乎导致该计划被放弃。据说该飞机太复杂了,以至于无法飞行。
作为对上述问题的响应,试飞员制定了在起飞、飞行中、着陆前和着陆后使用的程序。最后,波音公司向美国空军交付了12000架以上的飞机,总计飞里程180万英里,没有发生严重的事故。B-17的示例程序如图1所示。现在,每种类型的飞机,从小型私人飞机到最大型号的喷气式飞机,在飞行过程中的各个方面都遵循了该流程,如果不遵守流程,可能会导致飞行员失去飞行许可,甚至更糟。
图1:波音B-17程序清单已成为许多航空器程序的原型。本文所有图片来源:横河电机公司
另一个使用程序的例子,就是现在非常有名的“哈德逊河上的奇迹”。2009年1月15日,机长Chesley Sullenberger 和他的机组成员拯救了美国航空公司第1549次航班。当时,飞机从纽约拉瓜迪亚机场起飞后,撞上一群大雁。他们把飞机安全地降落在哈德逊河上。后来发现,机组成员以前从没有在一起飞行过,但是由于所有航空公司机组成员都遵循相关的程序,他们可以通过记忆来完成所有必要的工作。
在过程工业中,通常我们在各种条件下都使用标准操作程序(SOP)运行工艺流程。一些更好的操作员,能够经常调整程序来对其进行改善。随着经验丰富运营人员的退休,将由经验不足的运营人员来取代他们。工厂要尝试抓住这些机会,进行调整以便开发出最佳实践程序(参见图2)。
图2:通过适当的变更管理程序,融合最佳实践程序,可以获得明显的改进。
这些程序可以半自动运行,控制系统按步骤运行到某个点,待运行人员确认安全后再继续运行,或者控制系统按照程序自动运行全部步骤。机器可以运行整个过程,但总需要人为的监督。
经验很重要
在正常情况下,人类操作的很好,但随着压力的增加,人们的反应方式也不同。有些人在战时的炮火下,被赋予领导职责,因而成为英雄,但在制造业中我们不期待英雄主义。
经验丰富和训练有素的运行人员在危机时刻可能更值得信赖。例如,几位技术娴熟的“运营人员”在2010年11月4日拯救了澳航第32次航班。事故发生时,执行任务的A380客机已经离开新加坡前往悉尼。在印度尼西亚上空,其中一个引擎爆炸解体,几乎整个机翼都无法控制和操作,只剩下一个引擎来驱动飞机。
飞行员们瞬间被信息淹没了:54个报警信息,提示系统故障或即将发生的故障,但只有10个报警能在屏幕上显示。飞行员们看着屏幕上满满的信息。幸运的是,船上有5名经验丰富的飞行员,其中有3名机长在“检查”航班。即使经验那么丰富,仍然花了50分钟的时间来甄别这些信息,并分出优先级。
事故报告的结论是,如果没有这些飞行员,这架飞机很可能不会成功降落。事实上,飞行员在“导航技术”的帮助下拯救了飞机。如果飞行员遵循飞行系统的所有建议,飞机可能会坠毁。最资深的飞行员告诉其他人,不但要读消息,还要“感受”飞机。他们最终设法只用一台工作发动机实现安全着陆。
很多时候,运行人员的快速思考和准确反应能力,可能会避免危机事件的发生,甚至是挽救很多生命。当然,这些成功并没有像飞机事故一样得到广泛的宣传。
基于标准的决策支持
如前所述,现代控制系统可以有多样性功能和智能系统来帮助操作员,但如果在没有指导的情况下,这些功能会使运行人员混淆,因此需要基于标准的方法(见图3)。
图3:基于标准的决策支持,应该帮助运行人员,而不是造成更多的混乱。
通过高效、清晰的HMI显示界面,操作员可以很容易地掌握进程处于什么状态,如果报警触发,运行人员可以及时发现并迅速采取行动。如果配置正确,过程报警也可用于触发自动操作。该动作可以通知运行人员采取纠正措施,甚至是在必要的情况下停止该过程。
国际自动化协会(ISA)是一个全球公认的标准开发组织,它目前提供了两个标准和一个正在制定的、用于解决操作员决策支持的标准:
ANSI/ISA-18.2-2009:过程工业报警系统管理
ANSI/ISA-101.01-2015:过程自动化系统人机界面
ISA106:连续工艺操作过程自动化
ANSI/ISA-18.2提供了报警生命周期管理的要求和建议。生命周期阶段包括原则、识别、合理化、细节设计、实现、运行、维护、监视和评估、变更管理和审计。使用这个标准,应该可以防止类似危机事件的发生。报警经过了合理化和优先级设定,高优先级的报警将自动触发一个动作,或确保获得操作员的即时响应。
ANSI/ISA101.01适用于那些负责设计、实施、使用、或在制造业应用中管理系统HMI的人员。标准本身有内部标准,旨在制定HMI的原则、图形样式指南和设计工具包——所有这一切,都会使HMI更好的帮助运行人员。
ISA106 委员会发布过一个技术报告,用来定义模型和术语,现在正在制定第二个报告,用来定义工作流程,然后将开始定制标准。该标准将有助于操作员确定在什么工况下,应该使用哪些自动化程序。
这3个标准结合起来就可以提供强大的工具,用来支持正常和异常操作期间的决策。
做正确的决策
图4:一个假设的BP得克萨斯城萃余液分配器控制室人机界面,它基于标准的决策支持。
回到先前讨论过的BP德克萨斯事件,图4显示了警报、HMI和过程管理的集成,是如何可能防止这一事故发生的。如果在事件发生之前,其中一个运行人员控制室的屏幕上,能够看到如下信息,将有助于危机防范和处理:
高液位报警被触发;
过程被暂停;
由于液体正在从罐体流失,材料平衡被打破;
罐体温度大大超出期望值。
所有这些信息都应该被运行人员或自动化系统使用来减轻异常工况,避免随后灾难的发生。
一个有效的基于标准的决策支持系统,有助于提高过程安全性,并在压力情况下给操作员提供关键的帮助。一个有效的决策支持系统应该具有如下特征:
从历史数据库中获取过去的运行数据,并以图形的方式显示出来;
集成数据和模型来分析和展现最优选择;
以半结构化或非结构化的的决策来协助运行人员;
支持、而不是代替运行人员的判断;
致力于提升决策的有效性而不是效率。
在过程工业中,这种性质的决策支持尚未广泛使用。但是随着价格越来越便宜、功能越来越强大的计算机的出现,增强的决策支持系统将获到更广泛的应用,预测即将发生的事件,使运营人员能够及时采取纠正行动。
麻省理工学院人类和自动化实验室前主任、海军F-18飞行员Mary L. Cummings,进行了一项“人类-自动化”路径规划优化和决策支持方面的研究。她认为,“人类目前已经做的很好,但是在算法的支持下,他们会做的更好。该研究显示了算法与人类应该如何合作,才能使整个系统性能更好。”所以,也许人类和机器之间有一个平衡,最终能使我们所有人更安全。让我们试着找到它。
本文由控制工程中文版原创,转载请注明出处!
作者:Maurice J. Wilkins