企业生产系统危险源的结构、特征及其辨识

　　【摘要】 根据社会一技术系统理论，企业的生产系统可看作是一个多层递阶控制系统，该系统可能呈现不同的安全状态；应用系统科学理论分析表明，企业生产系统的安全功能缺陷是危险源可能的存在形式，而企业生产系统的集成缺陷是其安全功能缺陷的重要原因，危险源具有层次化的结构和对象化的特征；对比分析表明，要全面认识企业生产系统的危险源，需在对工作场所危险生成和事故发生原因进行基本的要素分析的基础上，结合企业生产系统状态和功能进行分析。总之，综合应用多种危险源分析和辨识方法，从系统要素、系统状态和系统功能的角度可更好地认识危险源。

　　【关键词】 生产系统；危险源；危险分析；安全分析；危险源辨识

　　0 引言

　　海因里希(H.W.HEINRICH)的《工业事故预防(INDUSTRIAL ACCIDENT PREVENTION)》1931年问世以来，人们对事故发生机理进行了不断探索，出现了较多的事故致因理论。其中的危险源理论[1-2]对当今企业安全管理实践的影响较大，其理论基础是能量意外释放论。同时，危险源也是系统安全理论方法的基础与核心概念。人们认识到，危险源是企业发生生产安全事故的必要条件，是企业安全生产的根本威胁和企业生产安全管理的基点[3]。

　　理论研究通常采用两分法对危险源进行分类，如第一类和第二类危险源[1,4]、固有型和触发型危险源[5]、固有和变动危险(源)[6]、基本型和控制型危险源[7]等，它们之间的区别主要在于如何看待能量和危险物质之外的危险源类型。三类危险源理论[8]突出强调了传统第二类危险源中人的因素，认为人的因素包括个体人和组织，并将不符合安全的组织因素单列为第三类危险源，包括组织人的不安全行为、失误等。而传统第二类危险源将组织因素和社会因素作为软环境因素来考虑[1]，这方面的深入研究主要涉及社会一技术系统的安全控制[9]、安全文化和组织安全氛围(SAFETY CLIMATE)[10]。

　　人们在实际工作中往往基于事故致因中的轨迹交叉论(一种事故因果连锁论)[1-2]对危险源进行分类，如按照《企业职工伤亡事故分类》(GB 6441—1986)将能量和危险物质失控的原因归结为人的不安全行为、物的不安全状态和管理缺陷等3个方面，每个方面有一些具体的表现形式；《生产过程危险和有害因素分类与代码》(GB/T 13861—1992)将危险和有害因素(危险源)分为物理性、化学性、生物性、心理/生理性、行为性等6个类别。目前，安全生产实践中的“重大危险源(MAJOR HAZARD INSTALLATIONS)”主要指危险物质等于或超过临界量的单元，从概念上属于第一类危险源的范畴。

　　实际工作中，单独使用上述任何一种危险源分类方法都存在一定的缺陷或不足[3]，因此，需要结合企业生产系统建模，综合各种典型危险源分类方法，全面深入探讨企业生产系统危险源的结构、特征和辨识方法。

　　1 企业生产系统及其安全状态

　　1.1 企业生产系统模型

　　企业生产系统包含了各种各样的能量或危险物质(如石油化工企业的生产介质)。为了正常运转并实现预定生产目的，人们需要对其能量或危险物质施加有效约束，这种约束通常以某种控制机制或控制系统(也可以称作控制系统的功能)的形式来实现。控制和控制系统往往是分层次的，控制系统的基本单元是一阶反馈回路[11]。因此，企业生产系统可以被看作是一个基于过程并以能量或危险物质为基本控制对象的多层递阶控制系统(MULTI-LAYER HIERARCHICAL CONTROL SYSTEM)，如图1所示。

 

　　图1中的控制系统是实际生产系统的一种抽象表现形式。另外，任何一个组织要做好安全工作，必须建立起社会要素的安全管理(控制)系统和技术要素的安全管理(控制)系统，社会要素的安全管理系统的核心是明确人与人之间、部门与部门之间、上下级之间的安全职责与关系，其目的是“在这些集体成员自觉的基础上”，使“大家都朝着已知的目标，以高度的理性实现他们的行为”，即确保安全。要解决安全问题，只有社会要素的管理系统是不够的，还必须要有技术要素的管理系统，只有两个系统协调运转，才能确保一个组织有效的运转[12]。

　　另外，按照复杂适应系统(CAS)理论，个体根据每次交互作用的结果(成功或失败)，调整自己的行为方式乃至组织结构[13]。因此，企业生产系统是一个典型的自适应社会一技术系统。

　　上述企业生产系统模型中还包含了除能量和危险物质之外的新的危险源类型。系统组分失效(包括物的故障和人的错失等)、系统组分间作用紊乱以及环境(包括物理环境、组织环境和社会环境)不良扰动，都对系统的正常运行构成威胁，并可能出现在系统生命周期的分析、设计、开发、运行等不同阶段，影响控制系统对控制对象施加约束[3,7,11]。

　　1.2 企业生产系统的安全状态

　　任何生产系统都有一定的风险(或危险度)，是由生产系统中能量或危险物质的客观存在所决定的，关键看该风险是否在人们的可接受范围之内。假定企业的风险接受范围是完全理性的，企业希望其生产系统处于一个低风险的状态。在企业安全文化的作用下，其运作单元(社会一技术子系统)的安全状态或安全功能还表现为特定的安全氛围。

　　另外，在某些因素的作用下，企业的运作单元会有一些异常表现，如不安全行为和不安全状态。根据复杂适应系统(CAS)理论，如不对各种异常表现加以有效控制，生产系统的风险将进一步增大，出现更多的危险征兆(能量或危险物质发生不同程度的异常转移或释放)。随着企业生产系统风险的进一步增大，将可能出现一些没有后果或后果较轻的险兆事件(NEAR-MISS)，或发生具有不同后果的生产安全事故。

　　企业生产系统通常包含众多运作单元，由于运作单元安全功能表现的不同，各单元分别处于不同的安全状态(或危险状态)，从而呈现如图2所示的安全状态频谱图，企业生产系统的整体安全状态是该频谱图中特征状态的组合。

 

　　从风险角度来说，特征状态可以用企业运作单元风险水平的高低及动态变化趋势(增大或减小)来表达；从危险征兆角度来说，特征状态可以用不安全行为、不安全状态、险兆事件和生产安全事故出现的频次和类型来表达；从安全氛围的角度来说，特征状态可以用安全氛围不同维度的状况来表达。因此，人们认识或感知一个生产系统或工作系统的危险性可以遵循如下逻辑：

　　1)系统中客观存在着某种能量或危险物质；

　　2)能量或危险物质存在某种程度失控的可能性(服从某种概率分布)；

　　3)系统处于不同的安全/危险状态(系统危险性的不同等级和不同特征状态)；

　　4)在特定工作场所的人－机－环境系统中，从静态和动态两个方面综合考虑具体危险源(SPECIFICHAZARD)的约束或限制措施，即静态方面是否满足安全运行条件，动态方面是否有削弱或加强的趋势。

　　2 企业生产系统危险源的结构和特征

　　2.1 企业生产系统中的危险源

　　能量或危险物质作为企业生产系统的有机组成部分，需要按照人们的生产意图发挥其正面和积极作用。因此，它们必须在生产系统中做受控运动，而企业生产系统必须承担施控者的角色。企业生产系统之所以能够约束或控制能量或危险物质，是因为系统内含某种控制机制。上述控制机制可能面对自身的组分失效、自身组分间作用紊乱以及(自身)环境的不良扰动，这些负面问题都将在某种程度上影响到“控制机制”正常功能的实现。生产系统的设计和开发需要考虑如何应对上述3方面问题。

　　如果生产系统内嵌或外部的控制机制不能对上述问题作出积极响应，整个生产系统的状态就难以维持在一定的安全水平，需要进一步研究和探讨哪些原因导致了上述现象的发生，因此，把这些原因称之为控制型危险源。基于控制型危险源的简化事故模型如图3所示。

 

　　控制型危险源将能量和危险物质之外的企业生产系统的危险源，归结为“控制[11]问题，包括组织管理和工程技术两大类别和层次。其涉及生产系统的控制机制或控制功能的缺陷(包括设计缺陷和运行缺陷)或不稳定问题，即控制型危险源可能来自策划、执行和反馈等环节。从整体上来说，控制型危险源是从现实世界的实体或对象中分离或抽象出来的，是实际生产系统的子系统，具有特定的结构、功能和行为特征。

　　对比控制型危险源和第二类危险源的定义发现，环境不良扰动属于第二类危险源，但通常不属于控制型危险源，因为只有当生产系统无法应对环境不良扰动时，才可以说系统中存在控制型危险源。控制型危险源包含并超越了第二类危险源、触发型危险源和变动危险(源)的内容。正因为控制型危险源的存在，第二类危险源、触发型危险源和变动危险(源)才可能触发事故。

　　2.2 控制型危险源的三维模型

　　能量或危险物质一方面是企业生产系统中的客观存在，另一方面也反映了企业各类生产安全事故的物理本质；控制型危险源决定了企业生产系统的缺陷或薄弱环节，是造成能量或危险物质不同失控状态的根本原因。企业生产安全管理的根本目的在于建立并维护一个稳定、可靠、有效、适宜的生产系统，强化基本型危险源(能量或危险物质)和控制型危险源失控风险的管理，使危险源处于全面受控状态。企业生产系统控制型危险源的三维模型可以用图4概略表示，实际工作中的控制型危险源远比图4复杂得多，但其基本原理如下：

 

　　1)作为多层递阶控制系统和自适应社会－技术系统的企业生产系统，纵向集成了相应的物理过程及不同层次的管理过程，横向集成了不同的管理要素。

　　2)横向和纵向集成缺陷是控制型危险源的重要来源。集成缺陷可能来自个体或组织的胜任力，还可能来自管理控制的逻辑缺陷。

　　安全意识、安全技能、安全规则的有效性及遵循情况、安全知识的掌握及应用情况等因素，影响个体和组织应对企业各类生产安全问题的胜任力。从企业系统或其生产系统综合集成的层面来讲，企业的安全理念和价值观(与安全文化和组织安全氛围有密切关联)、企业安全部门的作用以及企业安全绩效评价方法[14]是造成企业生产系统集成缺陷，使控制型危险源作用于基本型危险源，从而影响企业安全业绩的重要原因。

　　2.3 危险源的层次化结构和对象化特征

　　根据面向对象方法学的观点，危险源的层次化结构和对象化特征可以用图5表示。从“能量源”或“能量载体”的角度来看，绝大多数基本型危险源和周围环境有明确的边界，其潜在危险性、存在条件和触发因素也很清晰；从人－机－环境系统的角度来看，同一基本型危险源类所对应的危险源对象(OBJECT)会由于生产系统中人、机和环境子系统的差异而呈现不同的危险状态，从而决定了整个系统的安全(或危险)状态。人们在某些情况下认识或辨识的是危险源类(CLASS)或类属危险源(GENERIC HAZARD)，而真正需要落实控制措施的却是具体的危

　　险源对象。危险源的层次性不言而喻来自企业生产系统的层次性。

 

　　3 企业生产系统危险源的全面辨识

　　分析企业生产系统危险源的结构和特征，是为了更好地辨识它们，进而实施有效控制。3种典型危险源分类的对比分析如下表所示，它们分别从系统要素、系统状态和系统功能等不同视角来刻画“能量和危险物质”之外的危险源类型。典型危险源分类的对比分析表

　　以一起高处坠落伤害为例，调查发现：伤者在高处作业期间没系安全带，失足坠落后受伤。另外，伤者所在班组普遍存在高处作业不系安全带的现象。高处坠落伤害事故的物理本质是人体在高处存在较大的势能，其意外释放可能产生伤害。势能是高处作业固有的危险源，称之为第一类危险源、固有危险源或基本型危险源。“高处作业不系安全带”是一种不安全行为，它破坏了事先准备的坠落伤害事故的屏障，属于第二类危险源；上述不安全行为导致

　　工作现场防坠落硬件保障体系产生人为故障，或者说工作现场的防坠落硬件保障体系处于故障状态；伤者所在班组普遍存在高处作业不系安全带的现象，说明班组安全管理作为工作现场的防坠落软件保障体系也处于故障状态，导致该类不安全行为普遍存在。这里的软件和硬件保障体系故障破坏了人体势能的安全存在条件，称之为触发型危险源。

　　上述不安全行为、保障体系故障和故障状态，首先来自于现场安全控制功能(班组安全管理)的缺陷、漏洞和不足，也来自于上级单位安全控制功能(安全监管措施、安全管理体系和安全文化等)的缺陷、漏洞或不足。

　　综上所述，全面深入地分析和辨识企业生产系统的危险源，需要遵循以下程序：

　　1)划分企业生产子系统(或称为企业运作单元)。

　　2)从系统要素的角度出发，从人、物、环境3方面，辨识企业生产系统危险源。

　　3)从系统状态的角度出发，从软件和硬件保障体系的可能故障(状态)，辨识企业生产系统危险源。

　　4)从系统功能的角度出发，从生产子系统或其更高层次的安全功能方面，辨识企业生产系统的危险源，这也是确认生产系统剩余风险(RESIDUAL RISK)所必需的过程。

　　5)综合以上3种辨识方法，实现企业生产系统危险源辨识的全面性。

　　4 结论

　　企业生产安全管理的根本目的是要实现各类危险源的受控，即其剩余风险可以被理性接受。笔者提出的危险源分析和辨识思路，可以从下3方面看待能量和危险物质之外的危险源类型：

　　1)它们具有层次化的结构和对象化的特征。对象化特征是指实际工作中的危险源分析和辨识需要结合危险源的情景因素，完成从抽象到具象的过程。

　　2)它们需要从系统设计到系统终结的整个生命周期进行分析和动态辨识。

　　3)它们中的控制型危险源往往被忽略，它们表现为安全控制(或者是危险源控制)功能的缺陷、漏洞或不足，同时还需兼顾软硬件保障体系的故障状态以及威胁人－机－环境实现良性互动的因素。