基于STAMP/STPA的LNG船對船過駁系統安全性分析*

朱明昌 黃立文，2 謝 澄▲ 石 峰 陶可健

（1.武漢理工大學航運學院 武漢 430063；

2.武漢理工大學內河航運技術湖北省重點實驗室 武漢 430063；3.中海油能源發展股份有限公司采油服務分公司 天津 300452）

0 引 言

近年來，隨著全球各國及國際組織加強對環境保護的重視程度，LNG因其是1種安全、廉價、高效的清潔能源，在可持續發展的能源領域內得到了極為廣泛的應用。LNG海上運輸有著調配方便、操作靈活、供應充足等優勢，國際LNG船隊規模及貿易密集度不斷擴大，LNG船對船過駁作業需求量也在不斷增加。LNG船對船過駁是將貨物LNG從母船轉運至子船的作業方式，從事海上運輸業務的LNG船由于尺寸、吃水等原因無法進江，發生緊急事故或有運輸業務需求時需要進行過駁作業，一般過駁的地點選擇在港口、錨地，計劃進行過駁的2船到達指定地點錨泊和系泊，連接LNG過駁管線，檢查液貨艙系統和相關設備，連接過駁軟管，打開人工和自動閥門，最后啟動泵。在過駁作業完成后，關閉泵，吹掃管路，然后斷開軟管。LNG船對船過駁作業十分復雜，整個作業過程嚴格按照LNG過駁規定的操作順序執行，作業安全涉及2船的設備及人為操作等因素，且作業空間有限，一旦發生事故后果不堪設想[1-3]。

隨著LNG船對船過駁新技術和自動控制設備的引進，作業過程中面臨著新的安全挑戰，LNG船對船過駁系統主要由設備硬件、軟件、泵、軟管、管線、ESD、ERS，以及眾多的傳感器和控制閥等組成[4]，在特定情況下還需人工干預控制。在系統中，硬件故障、軟件故障、組件與控制器之間的交互問題和數據輸入錯誤或延遲進入計算機都是造成事故發生的原因。目前對LNG過駁作業領域內的安全性研究分析較少，且影響過駁系統安全的因素眾多、各因素之間的關聯性較強，對LNG船對船過駁的安全性分析及事故模型構建提出了難題。

目前，國內外對LNG船對船過駁作業的研究較少，在LNG船舶作業安全研究方面，國內外學者多采用故障樹（FTA）、事故樹分析（ETA）、故障模式影響及危害度分析（FMECA）等傳統方法[5]。Erik Vanem等[6]用事故樹的方法對全球遠洋液化天然氣運輸船的碰撞、擱淺、火災和爆炸，以及在終端裝卸LNG時發生的事故進行風險評估，得出發生碰撞風險最高。陳星星[7]基于故障樹理論，建立以LNG船裝卸作業泄漏事故為頂事件的故障樹模型，并對其進行定性和定量分析，求得各自的最小割集和結構重要度系數并排序。張帆等[8]將綜合安全評估（FSA）引入到LNG燃料動力船安全性研究中，結合LNG儲罐部件基礎泄漏概率和事故后果模擬結果，對LNG燃料動力船壩間航行、過閘、錨泊及燃料加注等典型情景進行風險分析。然而，傳統安全性分析方法都是從線性角度針對失效關鍵部件進行獨立分析，未能考慮各部件之間的耦合性和協調性，尤其是對設備缺陷、軟件出錯、人為因素和非線性等問題缺乏準確的描述與分析，致使在復雜過駁過程和復雜系統的安全性分析中具有很大的局限性。

基于系統理論的安全性分析方法STPA在航空航天、交通運輸等安全領域已經逐步開展研究應用，鄭磊等[9]針對飛機在降落過程中的機輪剎車系統的安全性問題，構建了STAMP控制關聯模型，運用STPA方法有效地分析了系統中不安全控制的關鍵原因，并對其不安全控制行為進行仿真研究，驗證了方法的有效性；孟祥坤等[10]針對深水井控的復雜性和動態性特點，將井控系統在鉆井過程中的安全性問題作為系統控制和反饋問題，運用STPA系統性安全評估方法分析了深水井控不安全的控制行為及關鍵因素，解決了復雜系統部件之間交互作用的評價問題；Chen等[11]將STPA應 用于1個子尺 度 無 人機(UAV)系統起飛危險性分析，論證了STPA應用于復雜無人機系統的潛在可行性。識別了飛機起飛過程中的不安全控制行為及其相應的控制缺陷，規定了不同層次的安全約束條件?；赟TAMP/STPA的安全性分析方法是將安全問題轉化為控制問題，通過施加安全約束、建立分層控制結構和分析過程模型以識別系統各階段存在的不安全控制行為，分析事故原因[12]。然而，基于STAMP/STPA在船舶交通領域的工業作業過程的安全性分析研究幾乎沒有，本文對于該方法在LNG船對船過駁復雜系統的安全性問題研究提出應用，STPA方法側重于分析系統的動態行為，能夠加強人、環境、軟件、設備在過駁作業過程中之間的關聯、有效識別更多非線性問題，同時考慮到系統中未發生故障組件之間的不安全交互相關問題，準確地識別出在船舶過駁作業過程中的潛在安全性問題。

針對以上現實背景以及LNG船對船過駁作業安全所面臨的挑戰，本文以LNG船對船過駁作業為研究對象，提出基于STPA方法對LNG船對船過駁系統進行安全性分析，構建過駁系統的STAMP控制關聯模型，識別系統級事故和危險，從控制反饋的角度轉化成3類主要缺陷的過駁系統潛在不安全控制行為，根據改進的STPA致因場景分析模型，分析了產生系統級危險的關鍵致因，并根據控制原理提出相應的建議措施。

1 STAMP/STAP工作原理

美國N.Leveson教授[13]提出了STAMP模型，STAMP模型是基于系統理論和控制理論，把復雜系統的安全性分析當作1個控制問題來解決。STAMP將復雜系統視為1個多層分層結構，通過控制結構關系來構建模型，表示上層對下層的控制要求，通過高層向低層施加控制要求和低層向高層反饋信息的方式來保證多層次系統的安全運行需要。同時，STAMP認為事故的產生是由于復雜動態過程并發運行和相互作用所創造的不安全情形所致，強調多個組件相互作用，通過對復雜動態過程的控制進行分析來查找安全威脅，評估安全問題。結合以上基本概念，從控制反饋的角度將事故大致分為3類：①控制器發出不足或不恰當的控制行為，包括對故障或擾動的物理過程處置不當；②控制行為的不充分執行；③反饋信息的不準確或丟失。

系統理論過程分析（STPA）是1種基于STAMP模型的安全分析方法，它通過系統化的過程來識別系統的不安全控制行為，并針對不安全控制行為進行致因場景分析。該方法首先從全局的角度確定系統級事故和危險，根據分層控制結構分析控制行為在性能、時間及邏輯上的不合理情形，辨識不安全控制行為和場景[14]。然后構建由控制器、執行器、控制過程和傳感器構成見圖1的反饋控制回路，進一步分析控制反饋回路來識別事故致因。最后針對事故致因對系統提出安全約束及要求。目前，STAMP理論和STPA方法已經成功地應用于航天航空、國防、能源、化工、運輸系統等領域，特別適用于現代復雜系統和具有人工控制系統的安全性分析與控制[15]。

圖1 安全控制回路Fig.1 Safety control circuit

2 LNG船對船過駁系統的STAMP模型構建

LNG船對船過駁系統中主要的組成部分有控制器設備、潛液泵、ESD、ESR、控制閥、泄壓閥、軟管、管線、各參數傳感器等。潛液泵可以控制管路內LNG的流速，控制閥門可以控制LNG的流動。泄壓閥安裝在管路上，可以控制液體的溫度和壓力。在應急情況發生時，應急釋放閥和應急釋放連接器可以斷開管路的連接，ESD系統可以停止LNG的轉運，各傳感器將作業過程中的各項指標參數反饋給控制器設備及操作員，這些部件都可以手動地或自動地進行操控。

在STAMP模型中，LNG船對船過駁系統的基本結構主要由3個控制器、執行器和外界干擾構成。3個控制器分別是邏輯控制器、操作室控制器、現場控制器，根據過駁作業要求及各傳感器反饋回的參數等，發出合適的指令給執行器，控制管路內LNG的流動狀態，保證系統的正常運行。邏輯控制器可以通過程序進行控制，如通過計算機來控制泵的流速、自動打開/關閉控制閥等設備。操作室控制器可以控制調節系統的設備狀態，如通過安裝在過駁系統中的傳感器的反饋信息調整閥門的開關及液體流速。在過駁系統作業過程中，現場控制器發揮著的重要作用，現場控制器監測系統中的情況并采取適當的措施，在邏輯控制器無法執行操作和操作室控制器無法解決問題的時候，需要通過現場控制器手動采取操作。執行器由泵、泄壓閥、ERC和ESD系統等構成。對于自動邏輯控制而言，執行器從邏輯設備獲得命令，決定“打開”或“關閉”的狀態，邏輯設備也通過來自傳感器的反饋來決定控制命令。在系統中，每個組件不僅作為系統的組件，還作為可以控制操作的系統執行器。

可見，LNG船對船過駁系統各組成相互之間存在著邏輯、時間、功能上的控制與反饋關系。在分析過駁作業過程和系統的工作原理的基礎上，通過梳理各個組成的輸入、輸出信號和相互關系，得到LNG船對船過駁系統的STAMP模型，見圖2。

圖2 LNG船對船過駁系統的STAMP模型Fig.2 STAMP model of the LNG ship-to-ship transfer system

3 LNG船對船過駁系統的STPA分析

基于STPA方法分析LNG船對船過駁系統是1個在作業過程中，將邏輯控制器與各執行器系統之間存在的風險充分解決的迭代過程，識別出復雜系統存在的風險。在分析目的上，STPA方法與傳統的方法有所不同，其為了通過對系統風險的識別與分析，找到事故致因因素，排除系統中存在的風險，并制定相應措施，提高安全保障，同時為后面的工作和系統的改進提供依據。

3.1 系統級事故的確定

根據STPA方法的研究過程，識別過駁作業中過駁作業過程中存在的系統級事故，主要包括人員受傷或死亡、船體受損、傳輸系統受損，具體見表1。人員受傷或死亡（A-1）包括船員、過駁工作人員；船體受損（A-2）包括船體的各個部分受損；傳輸系統受損（A-3）包括整個過駁系統的設備、設施。

表1 LNG船對船過駁作業過程的系統級事故Tab.1 System-level accidents during LNG ship-to-ship transfer operation

3.2 系統級危險的確定

LNG船對船過駁作業過程存在的系統級危險主要包括管內壓力過高（H-1）、管內流速過高（H-2）、液貨艙液位超過液貨艙最高限制液位（H-3）、系統內高溫（H-4）、LNG泄漏（H-5），系統級危險可能導致的系統級事故見表2。

表2 LNG船對船過駁系統的系統級危險Tab.2 System-level hazards of the LNG ship-to-ship transfer system

3.3 不安全控制行為的識別

STAMP觀點認為系統級危險是系統行為缺乏有效控制的結果，通過對整個船對船過駁系統控制回路的各層級進行分析，分析識別出可能導致風險的潛在不安全控制行為見表3?；赟TPA方法，主要從4類不安全控制行為角度，分析LNG船對船過駁系統中控制錯誤或控制不足的系統性風險，主要包括：①沒有提供控制導致危險；②提供了不充分控制導致危險；③過早或過晚提供控制導致危險；④控制過早停止或控制時間過長導致風險。

3.4 不安全控制行為的致因分析

在識別了不安全控制行為導致的危險之后，根據STPA分析方法的控制反饋模型，從2個方面逐一分析LNG船對船過駁不安全控制行為的致因因素和場景：①從控制路徑進行分析，在控制器從傳感器獲取了正確的反饋數據，但是命令沒有被執行器按要求執行，從而導致最終的不安全行為；②從反饋路徑分析，傳感器從被動對象獲取數據有誤，或者傳感器獲得了正確的數據，但是在反饋給控制器的過程中出現偏差、延時等，從而導致控制器向執行器輸出了不安全的控制命令[16]。

1986年6月，對后世影響深遠的《生物技術監管協調框架》這一重要法律在美國頒布出來，該法除了正式確立實質等同原則以外，還將轉基因這一問題納入了當時既有的法律體系之內進行調整，規定聯邦政府的各部門根據各自職能分工合作，他們既分工負責，同時又相互協調合作，最終高效地管理著美國的轉基因食品的安全。[3]因此，在我國也建立此種政府各部門分工合作的管理模式并通過立法確立起來，是我們應當努力的一個方向。在法律體系上，美國由于已經形成了相對完善的體系，因此監管十分到位。所以，我國在進行轉基因立法中，也應采取此種體系式立法的方式，方便未來對新型轉基因食品安全立法的完善。

傳統的STPA致因場景分析模型非常抽象，將邏輯控制器和人工控制器組合在一起，未進行區分，忽略了人工和自動化機器之間的重要差異，分析模型見圖3。在現代復雜的系統中，控制算法和自動化模型有時可以直接從外部改變而無需通過人工控制器，例如，通過互聯網自動進行軟件更新等，這些變化顯然存在潛在風險，特別是安全性問題，而這些問題在傳統的分析模型中都沒有體現，可能導致分析不完整?？紤]到過駁系統中人員操作與軟件高度交互的特點，對傳統的STPA致因場景分析模型進行改進，形成更完整的分析模型，便于進行分析[17]，見圖4。

圖3 傳統的致因場景分析模型Fig.3 Traditional causal-scenario-analysis model

圖4 改進的STPA致因場景分析模型Fig.4 Improved STPAcausal-scene analysis model

在LNG船對船過駁作業中，管道內高壓具有很高的風險，可以通過調節泄壓閥來減小壓力。安裝在管道上的壓力傳感器能反饋壓力信息給邏輯控制器，現場操作人員也可以觀察到傳感器的參數，得到反饋信息后邏輯控制器、操作室控制器、現場控制器可以發出控制指令。

為了全面地辨識導致系統危險的致因因素和場景，以管內高壓控制為例，建立過程模型的控制結構圖，見圖5，并結合改進的致因場景分析模型，對其進行致因分析。當管道內有高壓危險時，邏輯控制器可以向泄壓閥發出命令以釋放壓力，操作室人員可以了解操作狀態并可以向邏輯控制器發出命令以采取行動，在邏輯控制器無法執行操作時，也可以通知現場操作員采取手動措施，以防止管道內出現高壓風險。在此過程中存在的致因因素和場景分析結果見表4。

表4 管內高壓致因因素和場景Tab.4 Causes and scenarios of high pressures in the pipe

圖5 LNG船對船過駁系統壓力控制過程模型的控制結構圖Fig.5 Control structure of the pressure control process model of the LNG ship-to-ship transfer system

依次對系統中所有的危險控制進行致因分析，可得到22個致因因素，見表5。

表5 致因因素分析結果Tab.5 Cause analysis results

4 安全性控制建議措施

根據分析結果，LNG船對船過駁系統的安全性控制措施可以從系統的多個角度展開，下面針對5個系統級危險，分別從LNG過駁系統的控制器、傳感器、執行器和控制過程等場景致因因素角度提出安全性控制建議措施。

1）管內壓力過高（H-1）。在作業開始操作之前，采取維護程序以檢查壓力傳感器的功能及可聽性/可見性，確保對各控制器能夠進行準確的信息反饋。使用一定年限后，傳感器要進行維修、測試，達到使用年限要更換。對維修檢查的范圍應進行及時更新，使檢查手冊完善。檢查傳感器的設計是否有缺陷，壓力傳感器通過上下2電極正對面積的變化或介質層間距的變化導致電容變化進行壓力感應，若忽略電容極板的場邊效應，電容計算見式（1）。

式中：A為電極正對面積，cm2；d為介質層間距，mm；ε0為電容空間的絕對介電常數；εr為相對介電常數。當相對間距為Δd時，相對的電容變化計算見式（2）。

式中：C0為電容值，pF；d0為介質層間距，mm。

2）管內流速過高（H-2）確保管內的流速傳感器的正常工作，在流速過高的情況下能夠及時反饋至控制器進行閥門開關大小自動控制及泵的流速控制。管道內液化天然氣流經閥門所造成的壓降，計算見式（3）～（4）。

式中：-Δp為閥門所產生的壓降，Pa；ΔPL為全部流體為液相時閥門產生的壓降，Pa；?L為摩擦因子；ρL為液相流體平均密度，kg/m3；ρG為氣相流體平均密度，kg/m3；x為干度。對球閥，Bl取值為2.3，其他閥可取2[18]。

邏輯控制器在收到流速傳感器的反饋后，及時通過向閥門發出信號，調整其造成的阻力、控制閥門對LNG產生的壓降，從而控制流速。

操作員也應加強對每1個控制閥的工作模式、邏輯控制器確切的控制執行動作的學習和熟練程度。保證在操作室控制器和現場控制器之間良好的溝通交流，當遇到緊急情況時，能夠快速響應，避免事故的發生。同時合理安排操作員的工作時間，避免疲勞工作和工作壓力過大的情況。對于現場控制器，操作人員更應該與現場實際相結合，接受每個組件和閥門手動操作的培訓，保證工作無差錯。

3）液貨艙液位超過液貨艙最高限制液位（H-3）。對液貨艙的溫度、壓力、液面進行及時的監控，確保邏輯控制器系統的工作穩定性，避免在軟件、硬件交互過程中的系統控制故障。液貨艙液位高度是監控測量裝置的主要監控內容，液貨艙液位高度模型見式（5）～（6）。

式中：Vi為第i號液貨艙現有貨物體積容量，m3；Vi0為第i號液貨艙上一次計算結束時貨物體積容量，m3；Qi為第i號液貨艙裝卸貨體積流量，m3/h；t為時間間隔，s；Hi為第i號液貨艙液位高度，m；f為液貨體積和高度的關系函數。

當達到警戒值時，邏輯控制器應立即控制停止作業，及時做出壓力及溫度的控制調整，對BOG氣體進行再液化，同時采取對液貨艙進行噴淋等相應的措施。

4）系統內高溫（H-4）。系統內高溫會造成LNG的大量氣化，導致管道內、液貨艙內壓力驟增，同時還有引發火災的危險。在輸送系統內，由于LNG是-162℃的低溫液體，可采用鉑電阻類型的低溫管壁溫度測量傳感器，低溫傳輸管道傳熱過程屬于一維（徑向）非穩態傳熱，對于裸裝貼壁式溫度傳感器，可將其看成是圓柱體的一部分，其傳熱數學模型見式（7）～（8）。

式中：T為溫度，K；t為時間，s；ρ為材料密度，kg/m3；CP為材料熱容系數，λ為材料導熱系數；r為管道內壁與中心軸的距離，mm；?i為內熱源項。

當鉑電阻溫度傳感器報警，反饋至人工控制器和邏輯控制器，應立即控制過駁作業停止，同時檢修故障，查明故障造成高溫的原因。所以在作業開始之前，檢修傳感器的工作狀態十分有必要，確保系統內各溫度傳感器的正常工作，防止因機械故障導致的局部高溫，引發火災。

5）LNG泄漏（H-5）。要建立健全的系統管道巡查、維護等制度，按照規定，定期檢查安全閥、泄壓閥、ERS等閥門執行器，也檢查系統管道的腐蝕和老化，防止有泄漏的危險。

可使用超聲導波檢測技術來檢查管路的腐蝕、老化、泄漏等問題。其原理是：在管路的一段添加換能器將其他形式的能量轉化為高頻振動超聲導波并沿管道向前傳播。當聲波經過泄露位置、法蘭處、管道端面時會產生回波，根據缺陷回波和端面回波的時間差異可計算出缺陷位置，根據缺陷波和原始激勵波回波幅度可估算出泄漏點大小，泄漏點的位置計算見式（9）。

式中：X為泄漏點到信號接收點距離，m；c為導波在管道中的傳播速度，m/s；Δt為接受到原始激勵信號和缺陷回波信號的時間差值，s。通過檢測，可以在作業之前提早查明管道泄漏位置，采取防范措施，防止危險的發生[19]。當泄漏發生時，可及時采取集液盤收集、圍護等應急防護措施，控制泄漏的范圍，減小傷亡與損失，同時控制明火，防止因甲烷氣體濃度達到LFL和UFL中間值而發生燃燒，造成更大的事故。

5 結束語

本文通過對LNG船對船過駁作業過程進行研究分析，發現其包含大量人、軟件、環境、設備組件的交互與控制過程，存在潛在安全性問題，將LNG船對船過駁作業的安全性問題當作是1個系統性安全問題，提出采用基于STAMP/STPA方法進行安全性分析，并對傳統的STPA致因場景分析模型進行改進，構建了考慮人工控制器的過駁系統STAP致因分析模型，識別了更多的潛在不安全的控制行為，并從控制缺陷、反饋缺陷和協調缺陷3個方面提出了22個關鍵致因因素；最后，結合各部件、傳感器等控制原理，針對5個系統級危險提出相應的安全性控制建議措施。

LNG船對船過駁是1種新興的作業形式，作業時間長、難度大，對其安全性研究尚且不足，本文提出的方法在過駁作業安全性分析上，克服了傳統安全性分析方法中對過駁作業控制器、傳感器及各部件的相關性和耦合性及人為操作控制安全因素考慮不充分等問題，主要針對控制過程中潛在的不安全因素進行分析，辨識其致因因素和場景。通過正確的控制行為來提高系統的安全性，彌補了傳統安全性分析方法存在的缺陷。