美国·Patrick J.Regan

（Federal Energy Regulatory Commission-Division of Dam Safety and Inspections）

0 前言

“黑天鹅”一词意为之前从未遭遇过的稀有事件，因此也无法预见到。“完美风暴”一词意为由其他极端事件的组合而引发的极端事件。这两个词已由相关书籍介绍给了大众。总的来说，它们描述的是与认知不确定性相关的“黑天鹅”稀有事件和与偶然不确定性相关的“完美风暴”事件。在某些案例中，这两个名词被作为解释失事的借口，声称失事模式是不可知晓的。事实上，更多时候，这只是工程技术欠佳和缺乏想象力的挡箭牌，这在《911调查报告》中得到了再一次证实。与黑天鹅事件形成对比，《911调查报告》中的结论说到：“我们相信911恐怖袭击事件反映了四种失败：想象力、政策、能力和管理”。

对于人们为什么经常不考虑各种系统失事模式，伊丽莎白·佩特-康奈尔教授持有不同的看法：“也可能存在毁灭性的‘不完美风暴’，它并非是涉及其中的所有因素的最坏情况的组合，但同样也具有毁灭性。这里的关键是，这些因素没被预见到，因为它们的结合看上去真的太稀有，从而不足以引起重视”。

要应对“黑天鹅”事件和“完美风暴”事件（或“不完美风暴”事件），有两种选择：被动和主动。被动方法是指之前什么都不做，直到有重大的统计数据证实有必要（或监管者要求）采取行动。主动方法则是识别系统弱点、评估失事的概率和根据优先顺序采取主动措施。职业道德会引导人们采用主动的方法。

1 目前的实践现状

1.1 基于标准的决策

以标准为依据的大坝安全方案通常是提出某些特定的荷载工况和必要的安全因子，通过将这些工况和因子进行对比，来衡量分析结果。标准经过了多年发展，已包含了有利性状并剔除了不利性状。典型的以标准为依据的决策在许多州和联邦的大坝安全导则中都有充分体现，例如许多章节是关于确定可能最大洪水（Probable Maximum Flood,PMF）、选择入流设计洪水（Inflow Design Flood,IDF）、分析混凝土重力坝、土石坝和拱坝在三种荷载工况（正常工况、洪水工况和地震工况）下与规定安全因子的对比等。在基于标准的方案之外加上潜在溃坝模式分析（Potential Failure Modes Analy⁃sis,PFMA），就能开发可导致失事的事件的线性链。在许多案例中，潜在溃坝模式分析并不会涉及已有标准包含事件范围之外的事件，如果它们涉及到处理“非标准中”的失事模式，通常会留给参与人员，让其训练他们自己关于失事模式临界点的判断。

1.2 风险确定的决策

通过估算某一组成部分失事的概率并结合该组成部分失事事件中的潜在后果信息，以风险信息为依据所做的决策延展了基于标准的方法。风险确定过程同样也改变了衡量大坝安全的尺度。相比于简单地将某一分析结果与规定的标准相比较，风险确定的过程则尝试评估计算所得风险和社会风险容忍度的对比。社会风险容忍度中包含的概念是：正在积极地对风险进行管理并将风险降低到了合理可行的最低标准。但是，大坝安全团体通常所用的风险确定方法是线性的，没有考虑系统失事模式。

1.3 讨论

凯伦·马雷等人称：“要确定一座电站是否达到了可接受的安全程度，不可能仅靠检查电站中一个单一的阀门来实现。”这或许听上去是显而易见的，但当前的许多大坝安全决策制定过程并没有明显的不一样。基于标准的决策制定过程对某些特定的组成部分进行分析，比如分析作为一个整体的坝体，来确定其在各种荷载工况下是否满足应用标准，比如对溢洪道进行分析，来确定它是否能安全排出设定的入库设计洪水。风险确定过程除了其过程中会评估失事发生的概率，而不是简单地将某一分析结果与某一特定洪水标准进行对比外，其做的是本质上相同的事情。风险确定过程还包括在评估设计洪水造成的风险是否在可容忍范围内时进行后果评估。这两种情况中，本质上都是在试图通过检查大坝的某些组成部分来确定大坝的安全，一次检查一个组成部分，各组成部分分开进行。

2 作为系统的大坝

大坝不是仅包含其本身的单一实体，而是一个包含了自然和人造部分、单元和子系统的大系统。“部分”可被认为是一个单一的部件，比如闸门启闭机。“单元”是由许多功能相关的部分组成的组合，比如闸门提升机构，包括了电动机、齿轮箱和起重链条。“子系统”则是单元的组合，比如溢洪道，包括了闸门和其完整的提升和控制系统、溢洪道陡槽和消力池。大坝系统不仅包括人们通常与某座大坝联系起来的所有子系统，还包括坝基、坝肩、水库、水库边缘和运行机构，同样还可以包括发电厂房以及所有与发电厂房相关的子系统。更大规模上来讲，大坝可以是更大的系统中的一个子系统，这个更大的系统可以是一个建有多个工程项目的流域，这些工程项目归一个实体单位或多个实体单位所有，也可以是整个地区的电力网。

大坝失事和事故很少是由某种单一的、很容易识别的原因引起，在之前讨论的案例历史中，失事通常是多种作用的结果，这些作用以未预见到的方式结合在一起，最终形成了不可控制地泄放水流的必要条件。要有效地管理大坝安全风险，必须意识到以下两点：（1）大坝是系统，而不是各个组成部分的简单集合；（2）单个组成部分和子系统之间的相互作用如何对大坝的风险造成巨大影响。

2.1 大坝的系统失事

对几个关键大坝的失事和安全相关事故进行深入的研究，结果表明，大部分失事和事故都不是由某种单一的、容易分析的、某组成部分的失事而引起，而是各个组成部分和子系统间相互作用的结果。南福克（South Fork）、汤溯（Taum Sauk）、诺皮科斯基（Noppikoski）大坝的失事以及萨扬-舒申斯克（Sayano-Shushenskya）和克尔克霍夫（Kerckhoff）水电站发生的事故都是失事之前未意识到的系统因素和非线性相互作用的结果。由于失事之前未意识到引起事故的这些因素，并且通常未使用基于标准的分析或风险确定方法，因此，可以将这些因素当成“黑天鹅”，并声称没办法提前知道或找到其他方法来评估大坝的安全、帮助识别系统失事模式。

对美国汤溯大坝、瑞典诺皮科斯基大坝发生的失事和对美国克尔克霍夫大坝、俄罗斯萨扬-舒申斯克水电站的发电厂房发生的事故进行检查，检查结果都强调了将大坝作为系统进行检查的必要。分析显示，复杂的相互作用、依赖关系和性态状况会以不可预知的方式互相作用，最终酿成事故，甚至引起失事。下面着重讨论诺皮科斯基大坝发生的事故。

诺皮科斯基大坝是一分区土石坝，坝高约20 m，位于瑞典中部的Öreälven河上。泄水建筑物包括连接到发电厂房引水隧洞的导流隧洞。在两条隧洞的交叉口有一铰接钢闸门，用以封锁引水隧洞。需要开启该闸门来利用引水隧洞时，两条隧洞都要求排空。该泄水建筑物的泄流能力约60 m3/s。

诺皮科斯基大坝溢洪道有两个出口，在最高水位时，每个出口的泄流量为70 m3/s。溢洪道出口由4扇叠梁钢闸门关闭，其中三扇高为0.8 m，另外一扇高1.3 m。叠梁钢闸门采用传统的起重机启闭，其电动机和机架位于一个台车上，该台车被移动到叠梁钢闸门需要上下升降的出口处。

诺皮科斯基水电站以及上游一个水电站都由下游的富路达水电站（Furudal Plant）远程操作，富路达水电站位于下游约50 km处。诺皮科斯基水电站内、电站周围以及上游电站都没有日常运行人员，每周的某几天或在需要的时候，才会有运行人员造访这些电站。

上游电站的溢洪道闸门，其泄流能力为95 m3/s。1985年9月初，该电站溢洪道闸门历史上第一次完全打开，并且，诺皮科斯基大坝两条溢洪道的所有叠梁门也都被移开。9月5日，星期四，由于来水量逐渐减少，溢洪道的叠梁门被重新放回了左边的溢洪道，在右边的溢洪道放回了较矮的叠梁门。星期五早上，水库水位降到了最高水位下30 cm。电站人员意识到未来将有更多降雨量，所以他们没有将所有叠梁门都放回右边坝段的溢洪道中。

星期五下午，一名运行人员造访了各个电站，增加了上游电站的泄流量，并决定不再另外开启诺皮科斯基水电站的溢洪道，但电站右侧溢洪道的叠梁门应随时做好开启的准备。此时，左侧溢洪道仍然由叠梁门封闭着。

本格特·斯科格先生是业主单位的一名工程师。当天晚上，他前往位于诺皮科斯基水电站东部的夏季别墅。大约晚上8点，他遭遇了“最坏情况的倾盆大雨”，他立即用无线电警示了电站管理人员。电站管理人员告诉他，一名运行人员已经在前往诺皮科斯基水电站的路途中。斯科格先生之后一直与该名运行人员保持着无线电通讯。该名运行人员一到达富路达，就发现溪流切断了通往诺皮科斯基水电站的常规道路。由于需要从其他线路绕行，正常50 km的路程现在增加到了90 km。

在开车前往诺皮科斯基大坝的途中，该名运行人员被告知诺皮科斯基大坝的水位已达到了最高水位。若水位再上升5 cm，右侧叠梁门则会自动提升。当运行人员到达诺皮科斯基大坝时，联接好的叠梁门正在往上提升，但之后不久就被卡停在了导轨上。之前也曾发生过类似情况，但大家认为已经“解决”好了。该运行人员无法将叠梁门提起，于是给一名操作工程师打电话，确定该操作工程师必须亲自驾车前往诺皮科斯基大坝给予帮助。另外，维护部门的另外两名工作人员也被要求随时准备给予协助，如果需要的话。该名运行人员在诺皮科斯基大坝处等待协助的空挡，他驾车前往上游电站，打开了溢洪道闸门，将泄流量从35 m3/s增加到了55 m3/s。

晚上11点左右，仍认为可以提升起叠梁门。他们联系了一家设备租赁公司，让其提供一台移动吊车来替代起重机开启被卡住的叠梁门，但设备租赁公司找不到吊车操作人员，因为那时已经是周五晚间。

晚上11∶45，操作工程师到达诺皮科斯基大坝。第二天凌晨1∶30，上游大坝的闸门被开启到最大，泄流量为93 m3/s。虽然上游电站达到最大泄洪量会加剧达诺皮科斯基大坝的险情，但大家认为这是必要的，以避免上游大坝受损。由于附近的一条溪流漫水出来，在一段50 m长的公路路段，水深达到了30 cm，因此，不可能由此前往上游电站。

凌晨3∶23，打电话给县应急响应工作人员，通知其险情。由于溢洪道自身的泄流能力不足，因此要求采用一架直升飞机将工作人员运送到上游水电站去开启引水隧洞的闸门。但是，天亮之前，直升飞机无法起飞，且要开启闸门，需将隧洞排空。溢洪道泄流导致大量回水流进了引水隧洞中。工作人员调集了卡车和装载车，要在引水隧洞入口前修建一个围堰，同时，还需要卡车和装载车将被洪水切断的道路维修好。

凌晨3∶30，诺皮科斯基大坝处的电话已不能正常工作，无线电系统成了唯一的通讯方式，并且还需要通过一名在家的操作人员转接。这时候本应下达要求，工作人员应驾车前往上游大坝，查看水位上涨了多少，但由于道路被水流切断了，工作人员无法到达上游大坝。

凌晨4∶00，工作人员努力保持诺皮科斯基电站尽可能处于运行状态。这时水流开始从距大坝右侧100 m处自然低坝段向外漫流。漫顶水流流向50 kV的配电房和电站。凌晨4∶15，电站已被水包围，水开始流进发电厂房。电站停止了运行，导致泄流量减小了18 m3/s。

凌晨4∶25，斯科格先生接到通知，移动吊车停在了距大坝几百米外，因为道路已完全被一条溪流切断。大坝处的工作人员当时仅有一些手动工具来处理和启动起重机。同时，水位已上涨很高，现场的工作人员意识到大坝保不住了。下游的应急响应工作人员接到通知，大坝不久后就会溃决，受影响的道路都必须关闭，并且被告之了预计的洪水量。

约凌晨5∶10，工作人员试着利用厚板和其他材料来抬高靠近溢洪道处的岸坡，以引导漫过混凝土溢洪道的洪水。凌晨5∶25，水位超过了坝顶，溢洪道旁边开始发生冲蚀破坏，接着大坝下游面的顶部边缘也开始发生冲蚀破坏。起初，这是一个缓慢的过程，但几分钟后，水流已经冲出了一条伸向下游面的冲沟。水流还冲蚀了坝顶上的公路，不久后，坝顶上的公路就被切断，冲蚀加快。冲蚀纵向速度很快，在边上的速度稍缓。45 min之后，即早上6∶10，几乎所有库水（约10万m3）都已从水库流出。

大坝溃决之后，斯科格先生列出了导致这一失事的许多因素，包括：

（1）极端降雨和地下水位高；

（2）起重机设备和机械故障；

（3）道路使用上遇到了巨大的困难，因为该区域的一些普通溪流切断了所有的道路，这使增援人员以及提升设备和工具不可能到场；

（4）电话停止工作；

（5）输电电杆倒塌，导致了大停电；

（6）所有情况都发生在夜间，周围漆黑一片且还在下雨；

（7）要在周五夜间获得一台移动吊车和操作人员，这是一个难题；

（8）直升飞机在夜间不能飞行；

（9）直升飞机的无线电只能和空军基地联系，但在周六也失效了，因为空军基地都关闭了；

（10）要上游电站提供大流量的抽水泵很困难；

（11）工作人员都筋疲力尽了；

（12）没预见到下游水位高，这阻碍了引水隧洞闸门的正常开启；

（13）当试图排空隧洞时，情况很复杂，因为上涨的上游水位淹没了进水闸门，水进入到隧洞中；

（14）工作人员的问题：周末期间很难找到额外有资质的工作人员来进行24 h轮班。

总的来说，斯科格先生提出了以下想法：“在大坝安全方面，现在的形势是，我们要认识到以前科学地分析过哪些事情——降雨将导致怎样的、未考虑到的入库流量。我认为，目前很重要的一个问题是，在不增强泄流能力并考虑之前提及的各种复杂性的情况下，该怎样调整电站来适应实际运行，而这一重要问题之前从未同样程度地认真给予考虑或正规文件记录。”

换句话说，斯科格先生是在提倡大坝安全的系统观念，其中包括了上述所列的所有因素。

图1 诺皮科斯基大坝溃坝后的情景Fig.1 Noppikoski dam-post failure

2.2 大坝系统

每座大坝都在其特定的系统内运行。对水力发电的大坝来说，其顶层的系统可能是区域性电网。大坝，特别是那些发电的大坝，会对电网产生影响，同时，电网的运行也会影响大坝的安全和可靠运行。俄罗斯萨扬-舒申斯克水电站发生的事故说明了一座水电站的失事将怎样影响电网以及电网将怎样影响一座远处的水力发电设施。

电网系统包括发电源、输电线路、配电线路和负荷源。同样，在电网系统中还包括发电源、负荷源、输电线路、配电系统的业主和运行人员、区域电网的运行人员以及如美国电力安全委员会（（Na⁃tional Electric Reliability Council，NERC）或国家公共设施委员会等监管者。同时，电网还会受外部因素的影响，比如自然环境、其所在国家或州的经济、政治影响、社会影响、人为事故或恐怖活动等。来源于自然环境的影响包括洪水和地震，通常这两者会在确定性大坝分析中仅作为荷载工况加以考虑，此外，自然环境影响可能还包括雪灾、滑坡、雷电、火灾以及极寒或极热的极端天气。

电网也可能同样会对某些外部影响因素（如政治和社会影响、经济和人为事故）产生反馈影响。电网可靠性降低会引发亟需改进的政治和社会需求，这确实发生过。在2003年美国东北部和加拿大东部的大停电后，确实引发了这样的需求。大停电之后，美国国会要求美国联邦能源监管委员会（Federal Energy Regulatory Commission，FERC）强制实施电网可靠性标准，这一责任使美国电力安全委员会的可靠性标准从行业最佳实践进化到了法规要求。类似地，电网系统内的业主、运行人员和监管者也会通过其各种行动来对电网产生影响，并且依次被政治因素或社会因素直接或间接影响。

电网系统中的每一个组成部分都可以被看作是一个子系统，其将对下层或属于它之下的子系统造成影响，例如，负荷源会影响发电源，发电源也会影响负荷源。每一个子系统（输电线路、配电线路、发电源和负荷源）本身都由若干层次的其他子系统组成。为完全理解可能对某一特定大坝造成的所有影响，就必须理解所有层次的子系统将会受到怎样的影响以及怎样反馈给在整个电网系统中的其他子系统。比如，必须了解对输电线路、配电线路、负荷源组织的所有影响以及对电网的所有外部影响，以充分了解它们可能会如何影响发电源，包括水电。类似地，也必须了解所有对发电源的潜在影响，这样就能深入到感兴趣的某一座特定大坝，确定对这个大坝的直接和非直接影响。

图2是一个大坝系统的例子。图中仅表示出了与大坝相关的子系统，虽然全面的描述会要求把所有分支都表示出来。图中，实线表示一定程度的直接影响，虚线表示间接影响。只有一个箭头的线段表示影响仅沿箭头方向发生，两端都有箭头的线段表示连接起来的事项会以某种形式的反馈回路互相影响。

图2中，利益相关大坝表格中的每一项也都同样需要分解，以获得全面的大坝系统的可视图。

显然，完整的系统分析实际上是不可能的，因为需要将整个电网中的每一个发电源、负荷源、输电线路和配电线路都充分分解。因此，必须设定一些简化的假设条件。笔者的建议是，将给定的某一流域中的大坝尽可能分解到如下程度：对许多外部影响因素来说，与它们相对紧密地联系，并且为了获得最大化发电量和最少溢流，通常将其作为一个单一的子系统来操作。对于特大型的发电源，如大古力水电站（Grand Coulee）、米卡水电站（Mica）、尼亚加拉水电站（Niagara）、核电站及某些火力发电厂，应分解成更少的层次，因为如果跳闸的话，它们会快速地破坏电网的稳定，从而影响到利益相关大坝。如果一座水电站大坝的运行直接与一座大型热电厂、核电厂或火电厂的运行相联，则该耦合电厂应尽可能分解到的程度为：若一座电站出现跳闸、事故或运行问题，则在非常短的时间内会对另一电厂造成直接影响。其他的子系统应分解到的程度为：必须能了解它们可能对电网造成的影响，然后传递到大坝上的影响，以及怎样使用反馈来落实控制系统，以将不利影响最小化。

图2 大坝系统Fig.2 The dam system

使用系统方法可以增进对大坝失事后果的理解。若认为大坝事故会对电网大部分造成影响时，潜在的经济损失会非常巨大。

3 系统工程的研究

在美国，已有几所大学正在开展对系统分析和评估技术的研究。斯坦福大学的伊丽莎白·佩特-康奈尔教授和麻省理工学院的南希·莱韦森教授已就系统工程概念在复杂建筑物安全评价中的使用发表了许多文章。此外，南希·莱韦森教授还就此专题出版了一本著作，即《营造一个更安全的世界》（Engineering a Safer World）。马里兰大学的乔治·比彻教授在探索与大坝相关的系统工程概念方面表现很积极。以上几位教授和其他人员所完成的工作为未来技术发展拓展了空间。未来将以更全面的方式来评价大坝系统，这种方法可以发现和评价现在认为不可知的未知事项。

4 结语

美国陶氏化学公司的CEO安德鲁·利韦里斯在他的书《美国福地:重塑经济的案例》（Make it in America:The Case for Re-Inventing the Economy）中写道：“我想我们应该对自己诚实，不仅是关于将要付出什么样的代价来升级我们的基础设施，还有关于如果我们没能成功升级，将会付出什么样的代价。”

向使用综合系统方法来评价大坝安全的方向努力不是件容易或快速的事情，它需要不同的思维模式、不同的技术手段和不同的思考方式。它要求想象力和对大坝已经或可能怎样溃决具有更综合的理解。

对所发生的失事，如果只埋怨“黑天鹅”事件或“完美风暴”是不能接受的。职业道德要求使用现有的最好的技术来保证大坝安全在控制之中。毫不夸张地说，这是为那些可能受失事影响的人们应该做的。