王文和 羅靜 易俊 易圖云 李鳳

(1.重慶科技學(xué)院安全工程學(xué)院 重慶 401331； 2.中國(guó)石油西南油氣田分公司重慶氣礦江北天然氣運(yùn)銷(xiāo)部 重慶 400021； 3.重慶大學(xué) 重慶 401331)

0 引言

伴隨著“西氣東輸”、“煤改氣”等政策的實(shí)施，天然氣在我國(guó)得到了更加廣泛的應(yīng)用，隨之產(chǎn)生的燃?xì)夤艿朗?wèn)題也極大地威脅著人們的正常生活和人身財(cái)產(chǎn)安全。造成燃?xì)夤艿朗У脑蛴泻芏?，例如腐蝕、老化、第三方破壞、地質(zhì)沉降等，國(guó)內(nèi)外的專(zhuān)業(yè)機(jī)構(gòu)對(duì)這些事故和原因進(jìn)行了統(tǒng)計(jì)分析。

歐洲燃?xì)夤艿朗鹿蕯?shù)據(jù)組織(Europe Gas pipeline Incident data Group，EGIG)對(duì)法國(guó)等17個(gè)國(guó)家1970—2016年發(fā)生的燃?xì)夤艿朗鹿蔬M(jìn)行了統(tǒng)計(jì)(如表1所示)[1]，在所有管道失效原因中外部干擾以28.36%的比例位居第一，其次是腐蝕和施工與材料缺陷；英國(guó)陸上管道運(yùn)營(yíng)商協(xié)會(huì)(United Kingdom Onshore Pipeline Operators′ Association，UKOPA)對(duì)1962—2016年發(fā)生的燃?xì)夤艿朗鹿蔬M(jìn)行了統(tǒng)計(jì)(如表2所示)[2]，外部干擾也排在第一；我國(guó)尚未建立統(tǒng)一的燃?xì)夤艿朗?shù)據(jù)庫(kù)，但已有很多專(zhuān)家學(xué)者進(jìn)行了這方面的統(tǒng)計(jì)。中國(guó)石油大學(xué)于紅紅[3]對(duì)我國(guó)2012—2016年的燃?xì)夤艿朗鹿蔬M(jìn)行了統(tǒng)計(jì)，在所有原因中第三方破壞占47%；首都經(jīng)濟(jì)貿(mào)易大學(xué)王倩[4]對(duì)北京市2000—2005年和2007—2009年燃?xì)馐鹿蔬M(jìn)行統(tǒng)計(jì)，第三方破壞以36.52%的占比位列第一。從統(tǒng)計(jì)結(jié)果中可以看出，第三方破壞在所有管道失效事故中占據(jù)主要地位。為此，本文將對(duì)城市埋地第三方破壞風(fēng)險(xiǎn)因素進(jìn)行分析，以期為第三方破壞風(fēng)險(xiǎn)管理提供參考。

表1 燃?xì)夤艿朗г蚣氨壤?EGIG，1970—2016年)

表2 燃?xì)夤艿朗г蚣氨壤?UKOPA，1962—2016 年)

城鎮(zhèn)埋地管道第三方破壞風(fēng)險(xiǎn)分析過(guò)程中，需要綜合考慮燃?xì)夤艿辣旧淼馁|(zhì)量、設(shè)計(jì)、施工、外部環(huán)境、管理等多方面的因素。這些因素之間相互耦合、相互作用和影響，形成了一個(gè)復(fù)雜系統(tǒng)，因此在對(duì)復(fù)雜系統(tǒng)風(fēng)險(xiǎn)分析方法的選擇上要求更高。目前常用的風(fēng)險(xiǎn)分析方法有專(zhuān)家咨詢與調(diào)研法、檢查表法、事故樹(shù)分析法等，其中專(zhuān)家咨詢與調(diào)研法主觀性強(qiáng)；檢查表法對(duì)制表者的專(zhuān)業(yè)水平要求較高[5]；事故樹(shù)分析法得到的是與事故線性相關(guān)的因素而忽略了非線性因素。因此本文將引入一種基于系統(tǒng)理論的分析方法——系統(tǒng)理論過(guò)程分析法(System Theoretic Process Analysis,STPA)，對(duì)城市埋地燃?xì)夤艿赖谌狡茐娘L(fēng)險(xiǎn)因素進(jìn)行分析。

1 STAMP基本理論

STAMP是基于系統(tǒng)論的危險(xiǎn)性分析方法，該方法從系統(tǒng)論的角度，將系統(tǒng)視為一個(gè)整體，把安全看作控制問(wèn)題，認(rèn)為事故是由不充分的控制和相關(guān)約束的缺失所造成的。在此模型中最基本概念不是事件，而是約束。事故的根源被認(rèn)為是系統(tǒng)在設(shè)計(jì)、開(kāi)發(fā)和運(yùn)行中與安全有關(guān)的約束缺乏控制或充分執(zhí)行，從而導(dǎo)致組件異常交互。在系統(tǒng)中實(shí)施分層控制，上層約束下層，下層將信息反饋給上層，上層再針對(duì)反饋的信息調(diào)整對(duì)下層的約束，實(shí)現(xiàn)動(dòng)態(tài)平衡。在此基礎(chǔ)上，一旦發(fā)生組建失效、外部干擾、以及系統(tǒng)內(nèi)部組件交互問(wèn)題不能妥善解決等情況時(shí)，事故就會(huì)發(fā)生。

2 STPA分析方法

STPA是一種基于STAMP致因模型的風(fēng)險(xiǎn)分析方法，能識(shí)別設(shè)計(jì)(包括軟件設(shè)計(jì))、部件交互事故、認(rèn)知復(fù)雜決策的失誤、促使事故發(fā)生的社會(huì)、組織和管理因素，適用于系統(tǒng)全生命周期[6]。STPA在運(yùn)用過(guò)程中涉及功能框圖、需求、系統(tǒng)危險(xiǎn)安全約束以及部件安全需求[7]。具體分析步驟如下：

(1)定義系統(tǒng)安全風(fēng)險(xiǎn)和關(guān)聯(lián)的安全約束。事故是意外的、不期望的損失事件，這些損失可能涉及人員傷亡，或其他重大的損失，包括任務(wù)、設(shè)備、經(jīng)濟(jì)及信息損失[8]。這樣的安全問(wèn)題被看作控制問(wèn)題，可以通過(guò)在設(shè)計(jì)、施工、運(yùn)營(yíng)中實(shí)施恰當(dāng)?shù)陌踩s束來(lái)避免事故的發(fā)生。

(2)定義安全控制結(jié)構(gòu)。在系統(tǒng)理論中，系統(tǒng)就是一種分層結(jié)構(gòu)，上一層給下一層實(shí)施控制，下層向上層進(jìn)行反饋。當(dāng)實(shí)施的控制存在缺陷時(shí)，事故就可能發(fā)生?？刂茖又g的通信通道如圖1所示。

圖1 控制層間通信通道

(3)識(shí)別潛在不充分控制。風(fēng)險(xiǎn)是由不恰當(dāng)?shù)目刂扑鶎?dǎo)致，風(fēng)險(xiǎn)辨識(shí)需要找出不充分的控制。不充分控制的發(fā)生有如下原因：①未提供或者沒(méi)有遵守安全所要求的控制；②提供一個(gè)不安全的控制；③過(guò)早或過(guò)晚提供可能安全的控制，即錯(cuò)誤的時(shí)機(jī)或時(shí)序；④安全的控制結(jié)束的太快或作用事件太長(zhǎng)[8]。

(4)分析潛在的不安全控制行為原因。對(duì)于每一個(gè)不安全的控制，要檢查控制回路的各個(gè)部分以確定是否會(huì)導(dǎo)致這些控制發(fā)生，并且需要考慮隨著事件的推移這些控制會(huì)如何退化并建立防護(hù)[8]。南?！とR文森將事故致因分為3類(lèi)：控制器操作；執(zhí)行器和被控過(guò)程的行為；控制器和決策者之間的溝通和協(xié)作，如圖2所示。

3 燃?xì)夤艿赖谌狡茐娘L(fēng)險(xiǎn)因素分析

3.1 燃?xì)夤艿赖谌狡茐南到y(tǒng)危險(xiǎn)和安全約束

STPA方法實(shí)施的第一步為確定系統(tǒng)存在的危險(xiǎn)、系統(tǒng)級(jí)的安全約束，以及在實(shí)現(xiàn)這些安全約束過(guò)程中需要采取的控制。在此系統(tǒng)中存在的危險(xiǎn)為運(yùn)行的燃?xì)夤艿朗艿絹?lái)自第三方的破壞致使燃?xì)夤艿佬孤?，第三方破壞主要形式有占?jí)?、交通荷載、機(jī)械挖掘等幾種形式。為保障系統(tǒng)安全運(yùn)行，降低事故發(fā)生概率，此系統(tǒng)應(yīng)具備如表3所示安全約束。

圖2 導(dǎo)致危險(xiǎn)的控制缺陷分類(lèi)

表3 埋地燃?xì)夤艿赖谌狡茐牡脑O(shè)計(jì)約束

3.2 定義安全控制結(jié)構(gòu)

準(zhǔn)確地繪制安全控制結(jié)構(gòu)圖是應(yīng)用STPA的基礎(chǔ)。研究者對(duì)我國(guó)某大型燃?xì)馄髽I(yè)深入地調(diào)研并結(jié)合相關(guān)資料，繪制了燃?xì)夤艿赖谌狡茐南到y(tǒng)安全控制結(jié)構(gòu)圖，如圖3所示。該圖主要分為2個(gè)部分——系統(tǒng)開(kāi)發(fā)和系統(tǒng)運(yùn)營(yíng)，開(kāi)發(fā)和運(yùn)營(yíng)過(guò)程中都涉及到了系統(tǒng)的安全，任何一個(gè)部分都不可能獨(dú)立地進(jìn)行，在運(yùn)營(yíng)過(guò)程中的安全性有一部分來(lái)源于設(shè)計(jì)和開(kāi)發(fā)過(guò)程，并受到運(yùn)營(yíng)過(guò)程中實(shí)施的控制的影響，因此2個(gè)部分存在信息的流通并相互影響。

得到上述安全控制結(jié)構(gòu)后下一步是進(jìn)行缺陷分析，即將安全需求和約束映射到結(jié)構(gòu)中每一個(gè)組件，分析目前設(shè)計(jì)是否存在漏洞，并對(duì)安全控制結(jié)構(gòu)進(jìn)行評(píng)估以確定需求和約束是否有效實(shí)施。為此對(duì)于安全控制結(jié)構(gòu)中的每一個(gè)組件都需要確定其整體作用、責(zé)任、控制、過(guò)程模型需求、協(xié)調(diào)和溝通需求、背景(環(huán)境和行為塑造)因素等信息，這些信息極大地影響著約束的執(zhí)行和信息的反饋[8]。

3.3 識(shí)別潛在不充分控制行為

STPA理論將危險(xiǎn)控制分為4種類(lèi)型：未提供或不遵守安全所要求的控制；提供不安全的控制從而導(dǎo)致危險(xiǎn)；所提供的潛在安全控制太晚、過(guò)早或無(wú)序；控制結(jié)束太快或應(yīng)用時(shí)間過(guò)長(zhǎng)(對(duì)連續(xù)或非離散的控制而言)。結(jié)合圖2對(duì)燃?xì)夤艿赖谌狡茐南到y(tǒng)中每一個(gè)組件以及每個(gè)組件的責(zé)任進(jìn)行分析，辨識(shí)出每一個(gè)可能導(dǎo)致危險(xiǎn)的危險(xiǎn)控制，如表4所示。

3.4 風(fēng)險(xiǎn)因素分析

通過(guò)對(duì)安全控制結(jié)構(gòu)中組件的控制進(jìn)行危險(xiǎn)分析，辨識(shí)出了可能導(dǎo)致系統(tǒng)危險(xiǎn)的控制行為，下一步就是要對(duì)識(shí)別出來(lái)的危險(xiǎn)控制的控制回路的各個(gè)部分進(jìn)行辨識(shí)，分析出違反部件安全約束導(dǎo)致危險(xiǎn)控制的場(chǎng)景即辨識(shí)危險(xiǎn)是如何發(fā)生的。要生成致因場(chǎng)景，就需要將危險(xiǎn)控制代入部件的過(guò)程模型中，如圖2所示。為了全面地辨識(shí)導(dǎo)致系統(tǒng)危險(xiǎn)的致因因素，需要對(duì)每一個(gè)危險(xiǎn)控制進(jìn)行辨識(shí)。

以第三方作業(yè)前未與燃?xì)鈫挝患夹g(shù)交底為例，圖4運(yùn)用過(guò)程模型對(duì)其進(jìn)行了致因分析。此過(guò)程模型以燃?xì)鈫挝籋SE辦公室作為控制器，對(duì)技術(shù)交底過(guò)程進(jìn)行控制?？刂破鲗?shí)現(xiàn)的方式是對(duì)第三方進(jìn)行安全宣傳，使第三方了解作業(yè)前應(yīng)該進(jìn)行的流程，使其具備一定的安全意識(shí)。具體操作需要第三方來(lái)執(zhí)行，整個(gè)過(guò)程巡檢人員需要進(jìn)行監(jiān)督，當(dāng)巡檢人員發(fā)現(xiàn)未技術(shù)交底的作業(yè)時(shí)，應(yīng)向HSE辦公室進(jìn)行反饋，控制器再針對(duì)反饋結(jié)果對(duì)控制進(jìn)行調(diào)整以實(shí)現(xiàn)動(dòng)態(tài)的控制過(guò)程，在此過(guò)程中存在的風(fēng)險(xiǎn)因素如表5所示。

圖3 燃?xì)夤艿老到y(tǒng)安全控制結(jié)構(gòu)

表4 辨識(shí)危險(xiǎn)系統(tǒng)的行為

圖4 未技術(shù)交底的致因分析

表5 未技術(shù)交底的風(fēng)險(xiǎn)因素

依次對(duì)所有的危險(xiǎn)控制進(jìn)行致因分析，可以得到如表6所示24個(gè)埋地燃?xì)夤艿赖谌狡茐娘L(fēng)險(xiǎn)因素。

表6 第三方破壞風(fēng)險(xiǎn)因素

3.5 風(fēng)險(xiǎn)管理建議措施

從分析結(jié)果來(lái)看，埋地燃?xì)夤艿赖谌狡茐牡娘L(fēng)險(xiǎn)控制，不應(yīng)該局限于對(duì)第三方的控制，更多的應(yīng)該從根源入手。

(1)加強(qiáng)對(duì)燃?xì)夤艿涝O(shè)計(jì)的管理。設(shè)計(jì)不僅需要滿足相關(guān)的標(biāo)準(zhǔn)，更應(yīng)該與現(xiàn)場(chǎng)實(shí)際相結(jié)合，當(dāng)現(xiàn)場(chǎng)埋深不能滿足設(shè)計(jì)要求時(shí)，要設(shè)計(jì)合理的保護(hù)措施。在施工過(guò)程中，嚴(yán)格按照流程進(jìn)行設(shè)計(jì)變更，確保管道埋深走向等情況能正確記錄備案。

(2)加強(qiáng)對(duì)管道建設(shè)單位的選擇、監(jiān)督和管理。建設(shè)單位人員的安全意識(shí)和專(zhuān)業(yè)技能，直接關(guān)系到埋地燃?xì)夤艿赖馁|(zhì)量和安全性，而未達(dá)到要求的燃?xì)夤艿溃菀资艿絹?lái)自第三方的破壞。因此在合作單位的選擇上應(yīng)該更嚴(yán)謹(jǐn)慎重，加強(qiáng)過(guò)程的監(jiān)督和管理。

(3)建立健全燃?xì)夤艿姥膊?、維護(hù)等制度。經(jīng)過(guò)長(zhǎng)時(shí)間的使用、地理環(huán)境變化等，燃?xì)夤艿赖穆裆?、質(zhì)量都將不再符合安全需求，及時(shí)的維護(hù)和整改是非常必要的。同時(shí)，巡查還能直接發(fā)現(xiàn)來(lái)自第三方的破壞，及時(shí)地溝通和技術(shù)交底以避免第三方的破壞。

4 結(jié)語(yǔ)

采用基于系統(tǒng)思維的安全分析方法，通過(guò)建立系統(tǒng)安全控制結(jié)構(gòu)，找出危險(xiǎn)控制并進(jìn)一步分析控制缺陷的致因，得到城市埋地燃?xì)夤艿赖谌狡茐牡娘L(fēng)險(xiǎn)因素。該方法貼合工程實(shí)際，且條理清晰，過(guò)程嚴(yán)謹(jǐn)，得到的結(jié)果真實(shí)可信，為系統(tǒng)優(yōu)化、風(fēng)險(xiǎn)控制提供了理論依據(jù)。