专业/巴西石油公司平台 36 的损失

巴西石油公司 36 平台是海上浮动半潜式石油平台，2001 年是世界上最大的平台。该平台由巴西石油公司建造，巴西石油公司是一家半国有石油和天然气公司。该平台位于巴西海岸外 80 英里的罗纳多尔油田。2001 年 3 月 15 日，该平台发生灾难性故障，导致两次爆炸，11 人死亡，平台完全损失。

导致巴西石油公司平台 36 损失的第一个主要促成因素是紧急排水管 (EDT) 的位置问题。EDT 未正确对齐，因此被引导至生产集管而不是生产沉箱^{[检查拼写]}。这就是碳氢化合物进入右舷 EDT 的原因。^[1]

第二个主要促成因素是激活左舷 EDT 排水所需的时间。这导致了释放碳氢化合物的等待。随之而来的是通风阻尼器故障，这使得更多水进入，淹没右舷立柱和使用的浮动装置。^[2]

平台的第一个主要机械故障来自 EDT 的位置不良。EDT 的位置靠近一根主要支撑立柱上的一根海水管。由于这两个组件彼此靠近，因此会产生一个共同的故障点，从而增加更多问题的风险。一旦 EDT 发生故障，海水管破裂加剧了问题。由于管道破裂，它无法帮助支持灭火工作。这种设计缺陷被认为是主要的，并在事故发生后导致了对危险分析报告的搜索，当发现没有报告时，人们担心从未生成过任何报告。^[3]

第二个主要机械缺陷是关键组件故障的备份不当。连接到右舷后 EDT 的进水阀，应该隔离它，没有泄漏冗余。由于该 EDT 的排水泵已拆下维修，它们共同导致了该 EDT 的超压，并导致该 EDT 的第一次爆炸。后来，海水泵由于水淹而短路，导致右舷后立柱和浮筒水淹。通往大海的阀门也发生故障并锁在打开位置。^[4]

第三个主要机械故障是报警系统。该平台在 17 分钟内触发了 1,723 个警报。由此产生的问题是警报没有优先级系统。这意味着如果没有对警报的精确了解，以及应该首先检查哪些警报，就没有办法找到最大的问题。这导致混乱，并阻止了有效纠正问题的方法。^[1]

巴西石油公司在 2000 年代初期重组为新的组织模式，强调业务部门和实现目标。这导致管理层做出许多有疑问的决定，间接导致了此次事件。

事故发生时平台尚未完工，由于生产目标的截止日期缩短，设备的组装与生产活动同时进行。该公司还在许多安全实践中偷工减料。他们推迟了许多维修工作，并在规范性工程、检查和质量要求方面削减了成本。平台上的管理人员在事故发生前几天报告了管道中的几个问题，并建议暂时关闭以更换设备，但被总部无视。^[2]

以利润为导向的计划还导致他们使用更多训练不足的承包商工人，依赖安全机制来弥补缺乏培训造成的知识差距，但承包商经常会误用设备。按照设计，排水储存罐只应在紧急排水时使用，但它们经常像在此事件中一样为了方便而使用。当他们应该直接将水排放到海中时，通过生产集管排水水也是不推荐的，这也是污染水流入右舷后油箱的主要原因之一。右舷后立柱和稳定箱的人孔由于前一天的裂缝修复检查而敞开。这导致立柱水淹，由于体积大，决定性地使平台沉没。^[5]

在 1990 年代初期，随着复杂技术系统的发展，它们的可靠性停滞甚至下降。^[6] 在正常情况下，系统是自动管理的，但在紧急情况下，尽管操作员已经失去了专业知识和关于这种紧急情况的上下文信息，因为系统一直处于自动管理状态，但操作员会被召集。采用这种立场的公司将人为因素视为复杂系统中的“薄弱环节”，是不可靠的主要来源，并旨在取代所有的人为干预。很明显，巴西石油公司在设计其石油平台时采取了这种立场，而船上操作员与系统之间被自动计算机隔离开来。

第一次爆炸后，操作员没有关于事故现场的信息。平台上的操作员报告说，“很难确定发生了什么”，因此他们不得不派出一支小队进行调查。^[7] 他们派出消防队的命令非常冒险，第二次爆炸中遇难的11人全部来自消防队。他们没有传感器来支持他们在右舷后柱的操作，而且与钻井平台指挥部的“通信有故障”。数千个警报进一步加剧了操作员的混乱。在正常情况下，即使没有多少训练，也可以通过按顺序遵循适当的程序来处理这些警报。然而，这种缺乏培训导致承包商不知道应该优先处理哪些警报以及在发生这种规模的灾难性故障时应该遵循哪些安全程序。

外部监管（通过政府机构）与自我监管（在行业或公司内部）之间的平衡是行业与政府之间常见的冲突。技术复杂性和工业项目范围的增加也增加了审查这些项目的监管机构的工作量。工业自我监管（ISR）通常用于降低这种工作量，假设公司对其自身产品更了解，因此能够最好地判断其是否安全。ISR的支持者认为，企业从声誉质量中获益，因此已经有动力努力追求安全。通过ISR，监管机构允许行业自我监管，同时他们自愿地以公众利益为重，如果他们造成公众损害，就会受到监管的威胁。^[8] 在实践中，自我监管会导致关键领域的成本削减，为企业带来更多利润，而即使存在这些违规行为，也没有发生严重事故。在没有监管的指导和激励的情况下，事故的结果是唯一的负面激励，导致安全和质量管理体系是反应式的而不是预防性的。当事故暴露了ISR政策中的缺陷时，机构会通过外部监管，引入审查程序，并提供批准指南。^[9]

在此事故之前，巴西的石油行业在风险评估和检验方面完全是自我监管的，没有正式的计划。此后，巴西的国家石油局（ANP）与其他国家的机构一起进行了基准研究，并最终制定了第43/2007号决议。该法律建立了一个运营安全管理体系（SGSO），该体系包含17项管理实践（MP），分为领导力、安装和运营实践类别。^[10] 每个实践旨在防止在值得注意的事故中出现的因素再次发生。MP 15，即规范操作程序，是P-36沉没的直接结果。^[11]

专业负责的自动化应该增强人力，而不应该取代、覆盖或忽视人类的专业知识及其发展过程。如果过分依赖自动化，它会限制发展超越系统约束的专业知识的能力，从而造成对系统的依赖。这使得削减成本的企业可以雇用技术系统主管而不是专家。如果所有系统都保持正常运行，这可以节省资金，但它存在着在自动化系统中创建一个单一的故障点的风险。^[12] 使用自动化来协助专业知识可以消除繁琐的工作，将专业知识重新分配到更重要的任务中。然而，用自动化取代专业知识将依赖从工作现场的专业知识（即时、第一手专业知识来源）转移到远程程序员的专业知识上，而这些程序员可能不会直接执行工作（即遥远、二手专业知识来源）。^[13]

在36号平台上，安全工程师的专业知识被搁置一边，转而采用安全机制的自动化。Petrobras 并没有雇用更多工程师，而是雇用了承包商，而且并没有对他们进行彻底的培训，而是依赖于安全机制来弥补缺乏培训造成的知识差距。爆炸后，超过1000个旨在提醒工人问题的警报接连触发。在正常情况下，即使没有多少训练，也可以通过按顺序遵循适当的程序来处理这些警报。然而，这种缺乏培训导致承包商不知道应该优先处理哪些警报以及在发生这种规模的灾难性故障时应该遵循哪些安全程序。^[1]

由于获取主要来源的途径有限，部分原因是操作员被数字系统取代，我们无法提供有关公司管理人员错误的更多细节。如果可以获取更多资源，未来的工作可以更详细地介绍这些错误是如何导致这次事故的。另一个扩展方向可以集中在类似的事故上，在这些事故中，由于机器干预，人类操作员未能对紧急情况做出反应。