徐厚友 周琪 王彪 刘见 向幸 郝玉泽

(中钢武汉安环院绿世纪安全管理顾问有限公司 武汉 430081)

0 引言

2020年冶金行业发生15起重大安全生产事故，造成18人死亡，23人受伤。2020年冶金行业各安全生产事故类别占比如图1所示。

图1 2020年冶金行业各安全生产事故类别占比

目前冶金行业的安全形势仍然比较严峻，仍需钢铁企业提高安全意识，完善安全管理措施，以减少事故的发生。

近年来，随着“工业4.0”、“中国制造2025”的提出，以及智能化、大数据、云计算等新技术的快速发展，钢铁行业作为传统行业面临着千载难逢的升级发展机遇[1-2]。宝武集团提出实施智慧制造要坚持目标引领，通过“少人化”、“集控化”、“一键化”，打造极致高效、安全的智慧钢厂，并对现场管理提出“四个一律”的目标，即：制造环节做到操作室一律集中、操作岗位一律机器人、运维一律远程、服务环节一律上线。当前，为全面推进智慧制造，使生产更智能、操控更集约、管理更高效[3-4]，韶钢、鄂钢、武钢等国内各大钢厂相继建设了各工序的集中操控中心，将生产现场分散的操作室集中到一个远程操控中心。

钢铁企业集中操控系统的推广给钢铁企业的发展带来了新机遇，也给安全管理带来了新挑战[5-8]，本文将分析新系统下可能导致安全事故的原因，并针对其提出对策防护措施，为钢铁企业在新系统下的安全生产提供相应参考。

1 操控集中化之后对安全带来的新挑战

不同于传统的生产现场操作室看得见、摸得着的操控方式，集中操控中心主要通过传感器、摄像头等方式远程操控，存在的最大风险主要是操控系统失效，对生产现场设备不能有序控制，引发炼铁、炼钢等工序发生火灾、爆炸等安全生产事故。分析操控系统失效的主要可能原因，可以从人、物2个方面着手分析：

1.1 人的因素

(1)操作室远离现场虽然能让操作室人员所处环境的风险降低很多，但由于缺少直观的对所操作设备的状况、周围环境的观察，以及与现场人员直接的联系，也可能带来新的风险。如在操作高炉、焦炉时，可能因对现场运行状况、所操作的炉子状况、对现场危险区域的人员监视不足等，操作室人员不能采取针对性的操作或根据现场的异常及时调整操作，引发事故。

(2)操作室人员集中操作几台同类设备，可能由于兼顾不足、混淆所操作的设备、同岗位的人员配合不当等原因，造成操作不及时、误操作、混乱操作、发出错误指令等，造成事故。项目实施后，操作规程不适用，操作、维护人员对操控系统设备、软件不熟悉，造成错误操作，引发事故。

(3)操作室远离现场也会减少现场区域人员，可能因现场人员不足，造成对现场检查不足，不能及时发现事故隐患。也可能因联保互保不足，现场人员缺少监护，人员易违章或受伤害时不能及时被发现和营救。当发生漏铁、煤气泄漏等事故时，可能因现场应急处置、救援人员不足，事故处理不及时，造成事故扩大。

(4)操控系统集中以后，人员操作方式发生较大变化，不能再依靠现场人员的双眼观察了解现场情况，更多的是需要通过仪表数据、监控视频来监测现场，进而作出操作判断指令。倘若监控视频发生故障或不够清晰，对仪表数据异常信息未能准确捕捉，操作室人员就不能准确判定现场的异常情况，进而无法及时准确地作出正确的操作指令，可能造成生产事故。

(5)人员操作方式变化后，未重新修订岗位操作规程和应急预案，操作人员未进行技术培训和安全培训，处理异常情况的操作水平不足，可能引发事故，造成生产停顿。

1.2 物的因素

(1)一方面，通信线路距离远且存在线缆敷设路由复杂，导致网络线路发生故障概率(外部干扰、因外力而损坏等)大大增加，故障排查难度增大，一旦发生故障，短时间内难以恢复，引发操控系统失控。另一方面，因通信线路冗余设计不足，敷设不当、防护不足，受干扰或破坏而使信号传输延迟、中断、错误，引发事故。钢铁企业普遍存在车间温度高、粉尘大，作业环境较差的问题，部分通信线路不可避免的需敷设在易受机械损伤、高温高热、有腐蚀性物质排放、潮湿以及有强磁场和强静电场干扰的位置，如果通信网络布线防护措施不足，未采取相应的防损、防热、防腐蚀、防潮、防干扰、防火等防护措施，可能使通信网络延迟甚至瘫痪，造成控制系统失效。

(2)对于网络通信设备，由于网络管理的漏洞、网络故障、受网络攻击等，造成网络通信设备不能正常工作而发出错误指令，影响操控安全。远距离传输的信号时效性、可靠性、稳定性不足，造成信号延迟、信号错误，从而引发事故。

(3)系统设备在设计和选购时存在缺陷，如可靠性、可维护性、安全性设计不足，冗余设计和容错设备不足，对信号传输的抗干扰措施不足，缺少自检和保护功能，对安装环境不适应等，造成操控故障、中断、错误，引发事故。操作系统软件可靠性、稳定性、兼容性不足，造成死机、故障、错误指令，引发事故。

(4)操控HMI系统，当I/O服务器、画面服务器故障或服务器版软件故障，会存在导致整套操控HMI系统失去控制的风险。

(5)操控中心相关安全操作采用安全PLC系统进行远程信号传递，由于PLC系统缺少保护电路，外部电源故障、PLC系统异常、误操作以及误输出等可能造成重大安全生产事故。

(6)因操控系统设备、网络受外界电磁波、静电干扰，影响传输数据的准确性和通讯的实时性，影响操控；因防雷、防电涌保护措施不足，被雷电、供电波动破坏、信号失稳，使控制中断或错误，引发事故。

(7)因操控中心电源、电路故障，缺少备用电源，计算机系统未设UPS电源，厂区大停电等，造成整个控制系统断电失效瘫痪，引发事故。

(8)倘若电讯设施故障、对讲系统可靠性不足(如语音不清晰、信号不及时、中断、混乱、错误等)、视频监控显示不清等，不能传达可靠的通信信号，使岗位间沟通不畅、相关安全信息传递不畅，造成对现场状况的错误判断，导致不及时或错误操作，引发安全事故。

2 操控集中化建议采取的安全对策措施

2.1 从人的因素着手，加强人员安全管理

(1)制定操控系统相关的安全操作规程。根据新配置的操控系统及操作方式更新操作规程。在规程中明确关键组件在运行中断时的保护措施。为操作、运行人员提供正确使用操控系统设备的初始培训并在之后进行定期培训。在操控中心展开调试平稳过渡期，加强对操作人员的行为观察，判断其是否能顺应操作模式转变操作思路，辨识并总结生产中的异常信息，是否能就产生的异常信息做出判断，作出及时准确的操作指令。

(2)制定与操控系统相关的维护管理、检查规程。对管理、维护、检查人员进行风险管理、安全目标和工业运维方面的培训。结合控制系统与设备的重要性分类、在线运行质量和实际可操作性，制定控制系统的定期检查、运行维护维修制度并管理实施。加强系统基础控制及过程控制的检查、维护，包括但不限于以下几个方面：

1)查看现场摄像头、电线网线是否完好，检测设施仪器是否损坏，仪表指示、记录是否正常，现场一次仪表(变送器)指示和控制室显示仪表、调节仪表指示值是否一致，调节器输出指示和调节阀阀位是否一致。

2)定期测试控制系统备用网络、备用电源是否完好、适用，设备大修或生产停顿时可对操作系统进行冗余测试。

3)检查控制站机及操作柜散热风扇运行情况，检查各卡件指示灯有无异常。

4)检查设备及线路有无破损，有无腐蚀性气体腐蚀情况与过多的粉尘堆积现象并及时清理。

5)经常查看DCS系统“故障诊断”画面，检查有无故障或异常现象；如有则及时查明原因并处理。

6)加强DCS系统网络的维护管理，网络部件需严格按照网络标识与网络连接图进行连接，对网络部件及网络连接状态进行定期检查，注意观察交换机、网卡、主控卡、I/O卡件以及数据转发卡的通信指示灯是否正常。

7)DCS系统使用一定年限后，由于生产现场环境恶劣、灰尘多、有腐蚀性气体等，容易造成元件的老化、损坏等情况，可能导致控制系统通信不畅、信号偏移等故障。因此，必须定期对系统进行全面维护和检修，清除系统中可能存在的隐患，保证DCS系统长期稳定运行。

8)现场维护及检修时必须由2人以上作业，对可能导致工艺参数波动的作业，必须事先取得工艺人员的认可，并采取相应的安全措施。检修供电系统故障时，原则上应先断电后作业，断电后UPS电池仍然会产生高电压，应注意防护；拆除及安装卡件时，必须佩戴防静电腕带，防止静电损坏卡件；拆除接线时，必须做好标识，并注意线头绝缘防护；检修完成后，与工艺人员联系进行联动试验并恢复联锁。

(3)建立工业控制系统信息安全管理制度。可参照GB/T 36323—2018《信息安全技术工业控制系统安全管理基本要求》，对控制系统的外部连接安全、内部系统的连接、安全授权、人员安全、持续监控、渗透测试、风险评估、漏洞扫描、应急等进行规定。

(4)定期检查、试验、校对系统，保证仪表、安全联锁保护装置、事故停车装置完好有效。定期对防雷、防静电、接地等设施进行检测、检验。

(5)生产现场人员减少情况下，应依据现场人员实际配备情况，重新修订安全生产事故应急预案及现场异常情况下的处置方案。

2.2 从物的因素着手，提高设备设施本质安全水平

(1)为了提高网络的安全性，建议通信网络线缆采用双路由，沿2条不同的路由进行敷设。线路线缆不应敷设在易受机械损伤、有腐蚀性物质排放、潮湿以及有强磁场和强静电场干扰的位置，当无法避免时，应采取防护或屏蔽措施；当线路周围环境温度超过65 ℃时，应采取隔热措施；当线路附近有火源时，应采取防火措施；线路不宜敷设在高温设备和管道的上方，也不宜敷设在具有腐蚀性液体的设备和管道的下方；线路与绝热的设备和管道绝热层之间的距离应大于200 mm；仪表管道引入安装有爆炸和火灾危险、有毒有腐蚀性物质环境的仪表盘、柜、箱时，其引入孔处应密封。

(2)工业控制计算机系统应考虑系统的保密性、安全性、可靠性、可维护性；应保证相关应用功能所要求的实时性，如实时输入、实时处理、实时传输、实时输出和实时操作等；应考虑电磁兼容，满足对电磁发射限值的要求并具有抗扰度能力；硬件应注重可靠性、可维护性、安全性设计，还应采用冗余设计和容错设计；硬件应对各种传输信号有抑制干扰的措施，如输入/输出通道模板模块的设计应充分考虑抗共模和串模干扰的影响；进行逻辑设计时，对各种时序关系应留有适当的时间余量；应考虑自检功能和保护功能；应满足不同应用级别环境的要求，如热设计、振动与冲击隔离设计、电磁兼容性设计、腐蚀与防护设计等；软件应安全可靠、满足实时性要求。

(3)计算机网络信号传输应保证系统内信号传输的有效性和可靠性。信号线路的路由应满足传输信号防电磁干扰和防泄漏的要求；敷设管道应安全可靠，并满足物理安全和抗电磁干扰的要求；信号传输线路除满足信号传输质量要求外，还应满足系统兼容性、安全性和稳定性的要求。

(4)建议设置2台服务器互为备用，操作终端采用高性能的工控机。在操控中心设置至少1台单机版的HMI备用，在发生故障情况下可进行应急操作。

(5)选用安全PLC构建安全控制系统，包括安全紧急操作及安全操控。操控中心关键设备和重点区域的可编程序控制器(PLC)控制系统，其内部电源、控制站以及网络和网络服务器宜冗余配置；操作站宜互为备用。

(6)操控中心应由双重电源供电，并采用设备用电源。备用电源宜采用独立于正常电源的柴油发电机组，也可采用供电网络中独立于正常电源的专用馈电线路。当正常电源发生故障时，备用电源应能承担操控中心正常运行所需的用电负荷。

(7)用于重要生产设备设施及附属设施控制的计算机，不宜由移动存储设备拷出文件，不应使用来历不明的移动存储设备。

(8)控制系统安全应采取下列措施：采用身份认证；与管理网络间的接口应采取安全措施；无线数据传输宜加密；通过公网传输的内容宜加密；系统未使用的输入输出端口应禁止或封闭；操作员应定义不同的级别和权限，登录宜有“空闲自动退出”机制，操作宜增加确认环节，操作应有记录。

(9)操控系统的网络安全、信息安全还应符合JB/T 11960—2014《工业过程测量和控制安全网络和系统安全》、GB/T 36323—2018《信息安全技术工业控制系统安全管理基本要求》等要求。网络布线应符合GB 50311—2016《综合布线系统工程设计规范》的有关规定。生产管理系统应采用数据备份、网络防病毒和防火墙等措施保证数据安全。自动化集成系统数据存储应设置专用数据存储冗余服务器，服务器硬盘工作模式应配置相匹配或更高可靠性工作模式。

(10)对于因操作室远离现场影响操作室人员判断和对现场监视不足的情况，应在现场相应位置增设监控摄像头。设置在环境温度高于80 ℃高温区的摄像机，应设置工作温度上限时的超温报警装置，并对摄像机采取相应的防护措施。爆炸危险环境应采用相适应的防爆产品。监视目标的环境照度不能满足摄像机正常工作照度要求时，应配置辅助照明设施。

3 结语

(1)基于事故致因理论，从人和物的角度构建了安全事故原因分类方法，有利于对新系统下易导致安全事故的原因进行处理与控制。

(2)结合安全事故原因分析，参考国家相关标准与规范，由人的因素和物的因素2个方面细分，提出具有针对性的对策防护措施，防止事故的发生。

(3)事故致因的研究重点在人和物的方面，对于整个行业在新系统下的安全生产仅进行了初步探讨，在未来需要进行深入研究。