從波音737MAX事故教訓看石化企業(yè)開展RAM分析的重要性

蔣利強

(中國石化寧波工程有限公司，浙江寧波 315103)

1 事故簡述

2018年10月29日，一架搭載189名乘客和機組人員的印尼獅航波音737 MAX客機，剛起飛不久，飛機就持續(xù)出現“低頭”故障，盡管飛行員多次試圖操縱飛機恢復正常，仍無法控制飛機。13分鐘后失聯，隨后被確認在西爪哇附近海域墜毀，機上人員全部遇難。

2019年3月10日，一架埃塞俄比亞航空公司的波音737MAX客機起飛后6分鐘墜毀，機上的149名乘客和8名機組人員無一生還。根據Flightradar24記錄的失事飛機最后的軌跡，飛機在起飛后，曾經有過幾次突然下降的跡象隨后又有拉升，之后消失在追蹤畫面中。與失事的印尼獅航波音737MAX客機的飛行軌跡頗為相似。

相距僅133天，2架機齡不到1年的737MAX客機，都在飛機起飛后不久，出現頗為相似的故障，先后發(fā)生空難，346名乘客和機組人員無一生還，世人為之震驚，對波音737MAX客機是否安全可靠產生嚴重疑慮，該機型隨即在全球范圍內遭到停飛或禁飛。隨后，波音公司CEO承認737MAX的飛行控制系統(tǒng)存在缺陷。接著，美國聯邦航空管理局(FAA)開展對737MAX的可靠性評估。

2 原因分析

經初步調查發(fā)現，兩起空難皆因客機先天不足，突破極限，強行升級改造，RAM分析失當，留下致命缺陷——機身整體失衡，飛機總是“上翹”，存在嚴重的安全隱患。不得已，采取打補丁彌補，增設了操控特性增益系統(tǒng)(簡稱MCAS)。但因與原有的飛控系統(tǒng)整合有誤，響應混亂，導致飛行員無法正常判斷。而且，波音隱瞞新增MCAS這一重大變更，沒有為飛行員、維修人員提供明確告警提示和維修操作指引，對MCAS的維護檢測存在盲區(qū)，留下隱患。一旦MCAS系統(tǒng)被錯誤激活，飛行員就沒法及時解除MCAS系統(tǒng)，無法進行手動干預緊急處置。波音公司雖經百年磨礪，成為行業(yè)王者。終因其最新迭代的737MAX客機RAM分析失當，存在嚴重缺陷，連續(xù)發(fā)生兩起空難，而陷入困境。

3 事故教訓與啟示

3.1 可靠性分析不能有絲毫疏忽

鑒于商用飛機對耐用可靠的苛刻要求，從需求分析到試飛驗證取得適航證的整個生命周期內，要經過一系列嚴格、繁復的可靠性分析和評估，并經長周期細致的測試、聯調、試飛，以驗證其可靠性，不能有絲毫疏忽。但從兩起空難初步分析來看，很明顯，對改進的737MAX機型，波音對新舊飛控系統(tǒng)兼容融合沒有足夠重視，飛控系統(tǒng)缺少錯誤檢測、告警提示、自動糾錯、緊急中止和人工干預等措施，失去了及時防止和糾正錯誤飛行模式的機會。很顯然，可靠性分析研究不夠充分，沒有執(zhí)行到位?？煽啃则炞C不夠嚴格，以致失效。冗余設計存在盲區(qū)，容錯機制不能發(fā)揮作用。系統(tǒng)集成整合存在漏洞，容錯能力進一步惡化。測試聯調不夠到位，錯失了最后的改進機會。

反思石化行業(yè)，付出的代價也十分慘痛。騰龍芳烴業(yè)主因隨意將核準的80×104t/a對二甲苯裝置規(guī)模進行放大，而按160×104t/a對二甲苯的規(guī)模進行設計、建設和試生產，而且拒不接受設計和監(jiān)管部門的意見及警告，不遵守工藝聯鎖、報警制度和要求，隨意解除加熱爐等的工藝聯鎖系統(tǒng)，導致安全保護措施完全失效，可靠性得不到保障從而引發(fā)4·6漳州PX項目安全生產責任爆炸事故。在印度博帕爾工廠，美國聯碳則更為冒險激進，隨意停用原設計的一套冷凍系統(tǒng)，擅自調高報警溫度近10 ℃，致使因超溫發(fā)生劇烈的放熱反應。而此時，儀表指示失靈，報警系統(tǒng)處于關閉狀態(tài)，火炬系統(tǒng)又處于維修中，放空系統(tǒng)泄放能力嚴重不足，導致大量劇毒MIC蒸氣云溢出并持續(xù)擴散，造成工業(yè)史上最嚴重的安全事故。

3.2 可操作性分析不能有任何失誤

波音公司在機械飛控的軀干上，強加數字電傳飛控，以縮小與空客數字電傳飛控系統(tǒng)的差距，出現問題時則層層打補丁，最終演變成為不倫不類的“混合式控制”。很明顯，采取混合式控制方式后，相關人員針對飛機主控系統(tǒng)開展的失效模式與影響分析(FMEA)不夠認真，存在失誤。

類似的遺憾在石化行業(yè)也一再發(fā)生。某石化環(huán)氧乙烷裝置，因壓力連鎖、壓力控制變送器和現場壓力表共用一個引壓管，一旦精制單元中醛類發(fā)生自聚，極易引起引壓管堵塞，就地儀表和控制儀表全部失真，導致操作人員判斷失誤，不能及時緊急處置。2015年4月21日就因上述原因致使精餾塔超溫、超壓，進而引發(fā)泄漏、著火、爆炸，場面慘烈。

3.3 可維護性分析不能有半點缺失

波音為了搶占市場，故意隱瞞737 MAX機型飛機新增了自動防失速軟件MCAS系統(tǒng)這一重要信息。沒有向維護人員提供完整的故障檢測方法和檢測設備，也沒有為飛行員、維修人員提供明確告警提示和維修操作指引。以為這樣做，可以降低737舊機型飛行員進行737 MAX機型換飛培訓的成本，減少航空公司負擔。同時，又可以減少操作手冊、飛行手冊等方面的更新成本，還可以節(jié)省對維修人員進行額外專門培訓的成本，以鞏固現有執(zhí)飛737的客戶。結果，缺少詳細操作指引的維護人員很難檢測出飛機控制系統(tǒng)存在的故障，導致MCAS系統(tǒng)處于帶病運行狀態(tài)。

顯然，項目團隊開展的可維護性分析不到位，存在缺失。按照關鍵系統(tǒng)必須有冗余、子系統(tǒng)要多樣化的慣例，憑借積累的傳感器故障頻率歷史數據，對于如此關鍵的迎角傳感器肯定會設置2-3個，互為對照，并加強維護，以確保準確無誤。同時，按照以可靠性為中心的維修(RCM)的原則，應及時更新維修操作指引。

石化行業(yè)也有切膚之痛。1984年11月19日，墨西哥國家石油公司LPG儲運站因疏于維護，帶病運行，一條連接管線發(fā)生龜裂，大量LPG泄漏形成蒸氣云積聚并向外擴散，遇火導致蒸氣云劇烈爆炸，造成約650人死亡，6 000多人受傷，近31 000人無家可歸。河北盛華化工公司嚴重違反《氣柜維護檢修規(guī)程》，聚氯乙烯車間的1#氯乙烯氣柜長年失修，發(fā)生卡頓、傾斜，氯乙烯外泄。又因擅自關掉可燃、有毒氣體報警設施，操作人員沒能及時發(fā)現氣柜異常，仍然按照常規(guī)操作方式調大壓縮機回流，致使進入氣柜的氣量加大，加之調大過猛，氯乙烯沖破環(huán)形水封泄漏，大量向廠區(qū)外擴散，遇火發(fā)生劇烈爆燃。

顯然，為避免以上的慘痛事故，確保本質安全，實用可靠，認真開展可靠性、可操作性、可維護性(RAM)分析十分必要。

4 開展RAM分析面臨的困難及挑戰(zhàn)

目前，石化行業(yè)陸續(xù)開展的有事故樹分析(FTA)、危險與可操作性分析(HAZOP)、故障模式和影響分析(FMEA)、保護層分析(LOPA)、安全完整性等級(SIL)、基于風險的檢測(RBI)、以可靠性為中心的維修分析(RCM)以及壽命周期費用分析(LCCA)等。定量風險評估(QRA)尚處在摸索階段，只是零星開展。定量風險評估在石油化工領域的應用還不是很充分[1]，在數據采集、危險設別、單元選擇、事故模式和風險度量等多方面都不規(guī)范[2]?？煽啃浴⒖刹僮餍院涂删S護性(RAM)分析更是鮮有開展，僅在個別企業(yè)的部分項目進行了初步嘗試，已落后軌道交通行業(yè)，與國際同行的差距甚遠。

要實現RAM分析技術潛在的強大功能，預測裝置全生命周期的性能，需要有雄厚的基礎數據積累，扎實的風險評估和可靠性分析功底，經驗豐富的專業(yè)團隊。尚有不少差距，很有挑戰(zhàn)。

5 石化企業(yè)開展RAM分析的建議

5.1 注重數據的積累

可靠性分析評估嚴重依賴數據，數據是基礎、是核心。若可靠性數據匱乏，將造成可靠性分析評估始終在一個十分膚淺的水平上徘徊。長期以來，由于現場設備缺少用于可靠性分析的準確壽命數據，導致國內石化行業(yè)進行可靠性分析研究的困難較大[3]，造成評估結果的不準，不能及時發(fā)現存在的隱患及缺陷。如騰龍芳烴(漳州)有限公司對二甲苯裝置的工程設計完全符合GB50160—2008《石油化工企業(yè)設計規(guī)范》的相關要求，但因沒開展定量風險評估(QRA)，不能給出定量準確的爆炸云圖，造成合法合規(guī)但不實用可靠的被動局面。被“4·6”事故調查組認定為“存在整體設防標準低、一些消防安全內容缺項、只考慮防火未考慮防爆等突出問題，不能滿足大型石油化工企業(yè)可靠性要求”。

開展RAM分析更需要大量翔實、準確的裝置各單元、各回路、各組件的可靠性方面的基礎數據，包括可靠性數據、可操作性數據和可維護性數據。目前國內RAM分析主要還是依托國外專業(yè)機構相關數據庫，主流的有OREDA、PDS、EGIG、SERH、FARADIP和IEEE，這些數據庫或數據手冊積累了長達幾十年的全球不同地區(qū)、不同裝置(單元)、不同設備種類和不同運行工況下的設備實際運行統(tǒng)計數據(故障及維修數據)，如OREDA收集了來自北歐、墨西哥灣、安哥拉、亞得里亞海及里海等地區(qū)的可靠性數據。短期來看，可以為我所用，但費用不菲，且受人制約，絕非長遠之計。必須以搶占戰(zhàn)略資源、生產要素的高度，下大力氣認真梳理目前數據收集和整理方面存在的困難和問題，特別要關注那些年代久遠的老舊裝置，盡快補上短板，加快數據積累，提高應用水平。

5.2 加強數據的集成

RAM分析既涉及PID、PFD、靜設備、動設備、安全儀表系統(tǒng)等專業(yè)，又與工程公司、設備制造廠家、生產企業(yè)和運維單位相關。如何改變目前設計、制造、生產、運維數據相互割裂、碎片化的局面，使可靠性數據、可操作性數據和可維護性數據能夠集成優(yōu)化，精準匹配，有效利用。需要盡快解決數據標準化、結構化瓶頸問題。另外，還要盡快建立協(xié)同平臺，完善協(xié)調機制，實現數據共享，最大限度發(fā)揮集成效應。

5.3 加快專業(yè)團隊的培養(yǎng)

經過眾多項目的鍛煉和實踐，培養(yǎng)了一大批風險評估和可靠性分析的專業(yè)人員，但要熟練運用Monte Carlo這一類模擬分析方法開展RAM分析涉及的故障分析、損失計算、敏感性分析以及資產評估和優(yōu)化等的分析評估，尚需時日，還不完全適應，需要加快培養(yǎng)。

5.4 加強經驗的共享

因RAM分析鮮有開展，體會不深，經驗不足，難度不小。需要加大學習交流力度，建立經驗共享機制，以期少走彎路，避免低水平徘徊。要充分借鑒福建聯合石化等已取得的成果，學習成功的經驗，了解遇到的困難，盡快扭轉目前起步不高、參差不齊的局面，達到共同促進共同提高。同時，緊盯國際前沿，加強國際合作，提高專業(yè)水平。

5.5 深化RAM分析

鑒于RAM分析理念先進，功能強大，效果明顯，深為Exxon Mobil、Saudi Aramco等各大主要石化企業(yè)所推崇。必須瞄準前沿、統(tǒng)籌策劃、因地制宜，下大力氣推進可靠性、可操作性和可維護性(RAM)分析，幫助找出石化裝置各系統(tǒng)流程中各條可靠性鏈條上的薄弱環(huán)節(jié)，優(yōu)化系統(tǒng)配置，實現設備利用最優(yōu)，避免設備事故發(fā)生，促進裝置安全長周期運行[4]。同時，進一步深化RAM的應用，用來預測裝置全生命周期內的性能表現，提升競爭能力。

5.6 加大軟件的開發(fā)

目前，國產可靠性分析軟件與國際上相比，無論是軟件的開發(fā)技術、軟件的工程化程度，還是軟件的工程適應性和軟件的開發(fā)應用范圍都存在較大的差距。幾經努力，仍未改變可用國產可靠性軟件奇缺，功能單一，通用性差，集成度低的被動局面，不可與國際主流的軟件同日而語。例如，挪威DNV GL旗下用于RAM分析的DNV Taro和DNV Maros軟件，因其功能強大、集成度高、適應性強，為業(yè)界高度認可、廣泛應用，成為行業(yè)標桿。需要抓緊組織由設計、制造、生產、運維方面專家組成的團隊，與著名院校、軟件開發(fā)商組建開發(fā)組，進行聯合攻關，以突破瓶頸，盡快改變目前受人制約的被動局面。

6 結語

認真開展RAM分析，對于保障石化企業(yè)安全生產有著重要意義。石化企業(yè)應認真梳理自身在RAM分析方面存在的不足和差距，直面困難和挑戰(zhàn)，下大力氣補齊可靠性數據收集、整理、加工、集成以及專業(yè)隊伍建設等方面的短板，進一步挖掘RAM的強大功能，拓展并深化RAM的應用，提高可靠性、可操作性和可維護性，確保石化生產企業(yè)本質安全。