胡瑾秋，董紹華，王融涵，張曦月

中國(guó)石油大學(xué)(北京)安全與海洋工程學(xué)院，北京 102249

0 引言

隨著我國(guó)對(duì)天然氣的需求的持續(xù)增長(zhǎng)，為規(guī)避天然氣供應(yīng)不足或中斷的風(fēng)險(xiǎn)，國(guó)家大力發(fā)展液化天然氣儲(chǔ)備庫(kù)建設(shè)，并以大型液化天然氣儲(chǔ)罐儲(chǔ)存各種類型的液化天然氣產(chǎn)品。LNG具有易泄漏、易揮發(fā)擴(kuò)散和易燃易爆等危險(xiǎn)特性，LNG儲(chǔ)備庫(kù)存儲(chǔ)了大量的液化天然氣，是液化天然氣儲(chǔ)罐事故的集中發(fā)生地，它的安全問(wèn)題早已成為業(yè)界最為關(guān)注的重要問(wèn)題之一[1]。LNG的固有性質(zhì)決定了其具有分層翻滾、火災(zāi)爆炸等危害特性。LNG分層翻滾事故是在LNG儲(chǔ)存時(shí)由于分層而發(fā)生的一種劇烈蒸發(fā)過(guò)程，短時(shí)間內(nèi)儲(chǔ)罐壓力由正常操作壓力上升到壓力安全閥設(shè)定壓力，安全閥跳起向外排放天然氣，大量BOG氣體將以不可控制的速度迅速排至周圍地區(qū)，若不能及時(shí)得以控制，將形成爆炸性混合云團(tuán)，對(duì)LNG存儲(chǔ)安全構(gòu)成重大威脅[2]。自LNG進(jìn)入工業(yè)應(yīng)用以來(lái)，已經(jīng)發(fā)生過(guò)多次翻滾事故，在1970—1982年之間，在22個(gè)工廠發(fā)生過(guò)41次翻滾事故，7次作了正式報(bào)道[3]。LNG火災(zāi)事故也是LNG事故相關(guān)研究[4-7]關(guān)注的重點(diǎn)，因LNG揮發(fā)性強(qiáng)，能夠迅速蔓延，遇到明火極易發(fā)生火災(zāi)；且容易引起多米諾事故的發(fā)生，造成爆炸、傷亡等更為嚴(yán)重的后果?；谝陨蟽?nèi)容，本文選擇這2種事故作為L(zhǎng)NG儲(chǔ)備庫(kù)典型事故進(jìn)行系統(tǒng)性地安全性分析與事故正向演化研究，這對(duì)于LNG儲(chǔ)備庫(kù)的安全管理具有重要意義。

盛勇等[8]針對(duì)突發(fā)事件，從系統(tǒng)的復(fù)雜性、開(kāi)放式預(yù)想及序貫性3個(gè)原則研究事件的情景演化機(jī)理，構(gòu)建其演化系統(tǒng)模型；王海東等[9]用實(shí)際數(shù)據(jù)和情景構(gòu)建方法進(jìn)行建模，分析發(fā)生的可能性、發(fā)生發(fā)展方式和過(guò)程、可能產(chǎn)生的后果。針對(duì)傳統(tǒng)的安全性分析方法存在的問(wèn)題，N.G.Leveson等[10-11]提出了STAMP方法，并將其成功地應(yīng)用在航空[12]、交通運(yùn)輸[13]等領(lǐng)域的安全問(wèn)題上；國(guó)內(nèi)王啟全等[14]根據(jù)STAMP原理針對(duì)地鐵突發(fā)事件引起人群恐慌而導(dǎo)致?lián)頂D踩踏事故設(shè)計(jì)了應(yīng)急聯(lián)動(dòng)系統(tǒng)，對(duì)地鐵人群密度進(jìn)行監(jiān)控，以便在危險(xiǎn)產(chǎn)生之前對(duì)人群進(jìn)行應(yīng)急疏散，從而減小了災(zāi)難發(fā)生的可能性。

通過(guò)上述研究發(fā)現(xiàn)，大多事故正演模型構(gòu)建的研究仍較為傳統(tǒng)，僅從事故發(fā)生條件和對(duì)事故機(jī)理進(jìn)行微觀描述，忽視組件交互及宏觀控制；且STAMP模型在LNG典型事故正演方面的研究較少。鑒于此，筆者擬從系統(tǒng)控制的角度出發(fā)，結(jié)合STAMP—STPA模型對(duì)液化天然氣事故過(guò)程進(jìn)行安全性分析，以期系統(tǒng)性地構(gòu)建LNG儲(chǔ)備庫(kù)分層翻滾及火災(zāi)事故正演模型。最后，在LNG儲(chǔ)備庫(kù)分層翻滾事故場(chǎng)景下，將建立的正演模型與常用的貝葉斯網(wǎng)絡(luò)方法作對(duì)比，驗(yàn)證該模型在LNG儲(chǔ)備庫(kù)事故數(shù)據(jù)稀少的情況下，對(duì)于復(fù)雜系統(tǒng)在事故過(guò)程分析方面的優(yōu)勢(shì)。

1 STAMP—STPA基本原理概述

1.1 STAMP模型基本原理

STAMP模型于2004年由Leveson[10]提出，是基于系統(tǒng)理論和控制理論，將安全性視為系統(tǒng)組元、人為因素、環(huán)境因素和組織管理因素在非線性相互作用下的一種整體涌現(xiàn)性[15]。目前已在航空航天[16]、核電[17]和鐵路[18]等行業(yè)的安全分析領(lǐng)域得到廣泛應(yīng)用。復(fù)雜系統(tǒng)作為一種開(kāi)放的非線性系統(tǒng)，子系統(tǒng)之間以及系統(tǒng)與外界之間有物質(zhì)、信息和能量的交互，安全評(píng)估的要點(diǎn)是要明確系統(tǒng)內(nèi)部各種功能組件及其邏輯控制關(guān)系，分析組件可能遭遇的外部干擾和環(huán)境因素，從而明確系統(tǒng)正常運(yùn)行所需的控制要求。

STAMP模型的3個(gè)基本概念是安全約束、分級(jí)安全控制結(jié)構(gòu)和過(guò)程模型[19]。STAMP模型認(rèn)為安全是一個(gè)控制問(wèn)題[20]，并認(rèn)為可能發(fā)生事故時(shí)，部件故障，外部干擾，以及異常交互作用的部件沒(méi)有得到適當(dāng)?shù)目刂啤?/p>

1.2 STPA基本原理

STPA是依賴于因果模型STAMP的系統(tǒng)性危害識(shí)別方法。STPA的目標(biāo)是識(shí)別可能導(dǎo)致事故的不足的控制方案，從中可以將安全約束從系統(tǒng)概念推廣到操作。STPA通過(guò)構(gòu)建由控制器、執(zhí)行器、控制過(guò)程和傳感器構(gòu)成的反饋控制回路[21]，如圖1所示，分析控制行為在性能、時(shí)間或邏輯上的不合理情形，辨識(shí)不安全控制作用和場(chǎng)景。

圖1 安全控制回路Fig.1 Safety control loop

STPA的執(zhí)行包含以下步驟：1)辨識(shí)導(dǎo)致事故的系統(tǒng)狀態(tài)或條件，定義系統(tǒng)風(fēng)險(xiǎn)；2)開(kāi)發(fā)安全控制結(jié)構(gòu)，識(shí)別系統(tǒng)元件之間的關(guān)聯(lián)關(guān)系，分析安全需求和限制；3)識(shí)別不安全控制行為導(dǎo)致的約束失效(STPA定義了4種不安全控制行為：未提供控制行為、提供錯(cuò)誤或不安全供控制行為、未及時(shí)提供控制行為、控制行為結(jié)束過(guò)早)；4)不安全控制行為關(guān)鍵原因分析。

與傳統(tǒng)的安全分析方法對(duì)比(見(jiàn)表1)，具體如表1所示，STAMP—STPA方法具有3個(gè)明顯的優(yōu)點(diǎn)：1)使安全研究人員能夠考慮系統(tǒng)反饋的作用，以及根據(jù)反饋而采取的行動(dòng)；2)結(jié)合了組織約束、技術(shù)約束和人員約束，并在同一級(jí)別內(nèi)進(jìn)行分析；3)能夠通過(guò)框圖理清事故在系統(tǒng)中的發(fā)展脈絡(luò)，幫助安全管理者提高整個(gè)系統(tǒng)的安全性。

表1 STAMP—STPA與不同安全評(píng)價(jià)方法優(yōu)缺點(diǎn)對(duì)比Table 1 Comparison of advantages and disadvantages between STAMP—STPA and different security evaluation methods

2 LNG儲(chǔ)備庫(kù)典型事故正演模型構(gòu)建

與其他安全分析方法相似，STAMP—STPA方法主要識(shí)別系統(tǒng)存在的風(fēng)險(xiǎn)，但不同之處在于該方法是能夠考慮到不同設(shè)備間的交互，并通過(guò)分析系統(tǒng)的安全需求與安全性約束、辨識(shí)在事故演化過(guò)程中的不安全的控制行為，來(lái)識(shí)別系統(tǒng)控制回路中的不安全狀態(tài)，從系統(tǒng)控制和約束的角度進(jìn)行安全性分析。用STAMP—STPA方法進(jìn)行事故正演模型構(gòu)建，能夠直觀闡明事故發(fā)生過(guò)程，并保證事故正演模型的系統(tǒng)完整性。

2.1 LNG儲(chǔ)備庫(kù)分層翻滾事故正演模型構(gòu)建

基于STAMP—STPA的LNG儲(chǔ)備庫(kù)分層翻滾事故正演模型構(gòu)建流程如下所示。

步驟1：明確液化天然氣儲(chǔ)備庫(kù)工藝流程

通過(guò)調(diào)查研究，明確研究對(duì)象主體、理清液化天然氣儲(chǔ)備庫(kù)的工藝流程，并確定整體工藝流程中各部分設(shè)備設(shè)施的功能及相互間的關(guān)聯(lián)關(guān)系。

步驟2：分析LNG儲(chǔ)備庫(kù)分層翻滾事故的安全性

液化天然氣分層翻滾事故發(fā)生在LNG儲(chǔ)罐中，涉及到的設(shè)施包括儲(chǔ)罐以及與儲(chǔ)罐相關(guān)的管道、閥門、泵和BOG壓縮機(jī)等。事故發(fā)生的主要原因有：罐內(nèi)液體存儲(chǔ)時(shí)間過(guò)長(zhǎng)，罐壁或罐頂漏熱，導(dǎo)致了不同位置的LNG溫度不同，使溫度大的液體向上流動(dòng)，溫度小的液體向下流動(dòng)，罐內(nèi)液體產(chǎn)生分層；在充注進(jìn)料時(shí)，需充注的液化天然氣和儲(chǔ)罐內(nèi)原有的液體密度和溫度不同，不同密度的天然氣在罐內(nèi)產(chǎn)生分層。

步驟3：分析安全需求和安全性約束

將罐內(nèi)壓力和LTD測(cè)點(diǎn)參數(shù)作為液化天然氣分層翻滾的約束條件，通過(guò)相應(yīng)的約束屏障對(duì)壓力和LTD測(cè)點(diǎn)參數(shù)進(jìn)行控制。如果液體在罐內(nèi)分層后，能夠及時(shí)通過(guò)溫度、壓力、密度測(cè)量?jī)x器的反饋發(fā)覺(jué)，LNG低壓輸送泵就可用于使罐內(nèi)LNG液體循環(huán)，阻止液體分層向翻滾事故的演化；同時(shí)罐體周圍設(shè)置的壓力控制閥和安全放散閥可以在罐內(nèi)壓力過(guò)高或過(guò)低時(shí)，對(duì)罐內(nèi)壓力進(jìn)行平衡，防止事故的進(jìn)一步演化。

步驟4：建立LNG儲(chǔ)備庫(kù)事故正演模型

對(duì)于液化天然氣分層翻滾事故的控制和預(yù)防中，罐內(nèi)液體的溫度和罐內(nèi)壓力的控制是重點(diǎn)，因此對(duì)罐內(nèi)液體的液位、溫度、密度的監(jiān)測(cè)尤為重要。采用LTD連續(xù)測(cè)量設(shè)施對(duì)罐內(nèi)這3個(gè)參數(shù)進(jìn)行監(jiān)測(cè)，控制壓力以防止罐內(nèi)超壓對(duì)儲(chǔ)罐造成的結(jié)構(gòu)損傷。根據(jù)圖1的反饋控制回路，LNG儲(chǔ)備庫(kù)作為復(fù)雜的人機(jī)系統(tǒng)，站內(nèi)的操作人員和人工控制系統(tǒng)共同構(gòu)成控制器，進(jìn)液閥、BOG壓縮機(jī)、壓力控制閥、安全閥和最小流量控制閥等組件的控制構(gòu)成執(zhí)行器，罐內(nèi)壓力和溫度為控制過(guò)程，壓力檢測(cè)裝置和LTD連續(xù)測(cè)量設(shè)施的反饋則為傳感器。

結(jié)合STAMP模型，根據(jù)分層翻滾事故相關(guān)設(shè)備建立LNG儲(chǔ)備庫(kù)分層翻滾事故的正演模型，如圖2所示。整個(gè)庫(kù)區(qū)都在操作人員的監(jiān)控指令下運(yùn)行，下行箭頭均為控制行為，上行箭頭均為反饋過(guò)程。在接收到操作人員的充料指令后，執(zhí)行器會(huì)依照指令執(zhí)行，打開(kāi)適合的進(jìn)液閥門進(jìn)液，LNG儲(chǔ)罐中的液位、溫度、密度等信息會(huì)通過(guò)LTD儀表顯示，并反饋給操作人員。如果產(chǎn)生分層，會(huì)對(duì)最小流量控制閥下達(dá)指令，使罐內(nèi)泵執(zhí)行循環(huán)操作，防止翻滾產(chǎn)生。當(dāng)壓力在正常范圍內(nèi)時(shí)，BOG壓縮機(jī)可從BOG通用管中提取氣體，控制罐內(nèi)的壓力，并根據(jù)不同的大氣壓力調(diào)節(jié)罐的絕對(duì)壓力。當(dāng)罐內(nèi)壓力超過(guò)壓縮機(jī)的調(diào)節(jié)范圍之后，火炬系統(tǒng)發(fā)揮作用，氣體通過(guò)壓力控制閥閥門釋放至火炬進(jìn)行燃燒，這是第一級(jí)超壓保護(hù)；當(dāng)壓力上升至更高水平時(shí)，安裝在每個(gè)儲(chǔ)罐中的多個(gè)泄壓閥被打開(kāi)，這是第二級(jí)超壓保護(hù)。儲(chǔ)罐狀態(tài)信息繼續(xù)傳遞，傳回操作人員控制器，以此循環(huán)。

圖2 LNG儲(chǔ)罐分層翻滾事故正演模型Fig.2 The stratification and rollover accident forward model of LNG tank

步驟5：識(shí)別不安全控制行為

依據(jù)LNG儲(chǔ)備庫(kù)分層翻滾事故正演模型，從4類不安全控制行為角度，分析進(jìn)料過(guò)程中儲(chǔ)存系統(tǒng)中控制指令錯(cuò)誤或不足導(dǎo)致的系統(tǒng)性風(fēng)險(xiǎn)，表2所示的不安全控制行為可轉(zhuǎn)化為作用于罐內(nèi)壓力和液位的安全約束。為了防止分層翻滾事故的發(fā)生，在此過(guò)程中應(yīng)保證系統(tǒng)控制行為符合安全約束。

表2 不安全控制行為Table 2 Unsafe control identification

步驟6：關(guān)鍵原因分析

根據(jù)控制反饋模型以及STAMP—STPA提出的基本控制缺陷，總結(jié)不安全控制行為導(dǎo)致LNG儲(chǔ)罐分層翻滾事故的關(guān)鍵原因：控制行為執(zhí)行不充分、反饋信息錯(cuò)誤或不足。其中，控制行為執(zhí)行不充分包括：

(1)操作人員由于身體或心理原因執(zhí)行控制指令不充分，導(dǎo)致操作失誤。

(2)在罐內(nèi)液體產(chǎn)生分層并下達(dá)循環(huán)操作指令后，罐內(nèi)泵循環(huán)操作不徹底；定期檢修制度不完善。

(3)罐內(nèi)產(chǎn)生蒸發(fā)氣體后，蒸發(fā)氣的流量比壓縮機(jī)的處理能力高時(shí)，壓力控制閥未打開(kāi)將超出部分蒸發(fā)氣排到火炬，造成罐內(nèi)超壓，罐體破裂。

反饋信息錯(cuò)誤或不足包括：

(1)反饋信息產(chǎn)生階段：測(cè)量進(jìn)料LNG密度、組分和罐內(nèi)LNG密度的方式存在缺陷；系統(tǒng)各閥門狀態(tài)信息的獲取不充分或存在缺陷；其他與儲(chǔ)罐進(jìn)料時(shí)相關(guān)的重要信息沒(méi)有及時(shí)獲取或獲取方法錯(cuò)誤。

(2)反饋信息傳輸階段：有關(guān)進(jìn)料過(guò)程中罐內(nèi)壓力和罐內(nèi)液體的液位溫度密度差的反饋信息不正確；各級(jí)控制人員的反饋信息不正確、延時(shí)或丟失。

(3)外部因素影響：外部指揮信息不正確；站區(qū)環(huán)境溫度、地形的獲取不充分、不正確或丟失。

為驗(yàn)證此模型在復(fù)雜系統(tǒng)事故過(guò)程分析與事故正演模型建立方面的優(yōu)勢(shì)，將常用的事故概率模型貝葉斯網(wǎng)絡(luò)用于該案例。該LNG儲(chǔ)罐分層翻滾事故場(chǎng)景的貝葉斯網(wǎng)絡(luò)如圖3所示。

圖3 LNG儲(chǔ)罐分層翻滾事故貝葉斯網(wǎng)絡(luò)Fig.3 The stratification and rollover accident Bayesian network of LNG tank

可以看出，在LNG儲(chǔ)備庫(kù)分層翻滾事故歷史數(shù)據(jù)與資料稀少的情況下，事故中各節(jié)點(diǎn)的先驗(yàn)概率難以確認(rèn)，此時(shí)定量的事故演化分析模型并不適用；且基于LNG儲(chǔ)備庫(kù)分層翻滾事故貝葉斯網(wǎng)絡(luò)對(duì)該復(fù)雜系統(tǒng)進(jìn)行事故過(guò)程分析，難以從系統(tǒng)的角度去看待問(wèn)題，并且不能體現(xiàn)出系統(tǒng)各組件間的交互關(guān)聯(lián)以及反饋信息，使得系統(tǒng)事故信息不完善。

2.2 LNG儲(chǔ)備庫(kù)火災(zāi)事故正演模型構(gòu)建

基于STAMP—STPA的LNG儲(chǔ)備庫(kù)火災(zāi)事故情景構(gòu)建流程如下。

步驟1：明確液化天然氣儲(chǔ)備庫(kù)工藝流程

站內(nèi)的操作人員和人工控制系統(tǒng)共同構(gòu)成控制器，進(jìn)液閥、BOG壓縮機(jī)、壓力控制閥、安全閥和最小流量控制閥構(gòu)成執(zhí)行器，罐內(nèi)壓力和罐區(qū)天然氣氣體濃度為控制過(guò)程，壓力檢測(cè)裝置、罐體測(cè)溫點(diǎn)和氣體濃度監(jiān)測(cè)系統(tǒng)則構(gòu)成傳感器。

步驟2：分析LNG儲(chǔ)備庫(kù)火災(zāi)事故的安全性

罐區(qū)內(nèi)的各種儲(chǔ)存設(shè)施都是金屬耐壓罐，由于易受腐蝕或儲(chǔ)罐存在先天性缺陷，加之安全管理措施不落實(shí)、維修保養(yǎng)不到位，極易造成儲(chǔ)罐或零部件損傷，涉及到的設(shè)施包括管道、閥門、法蘭盤接頭、壓縮機(jī)等，在發(fā)生意外時(shí)都有可能成為泄漏點(diǎn)，引起火災(zāi)爆炸事故；若儲(chǔ)罐保溫設(shè)施受到破壞，會(huì)造成低溫保冷儲(chǔ)存的LNG因受熱而氣化，儲(chǔ)罐內(nèi)的蒸汽壓力劇增。正常情況下，安全放散閥自動(dòng)開(kāi)啟，通過(guò)集中放散管釋放壓力，但若安全放散閥出現(xiàn)故障，儲(chǔ)罐發(fā)生爆炸、火災(zāi)的可能性會(huì)大大增加。

步驟3：分析安全需求和安全性約束

液化天然氣火災(zāi)的約束條件是溫度、壓力和罐區(qū)氣體濃度參數(shù)，通過(guò)相應(yīng)的約束屏障對(duì)壓力和溫度進(jìn)行控制。LNG儲(chǔ)罐發(fā)生泄漏后，能夠通過(guò)溫度、氣體濃度、壓力測(cè)量?jī)x器及時(shí)向總控制中心反饋異常溫度、氣體濃度變化、罐內(nèi)壓力波動(dòng)等信息，防止事故向火災(zāi)演變。其中，通過(guò)氣體濃度監(jiān)測(cè)設(shè)備是最直接、快速地向人工控制系統(tǒng)反饋LNG儲(chǔ)罐的泄漏的方式；罐體上的安全閥，壓力檢測(cè)閥門，可以及時(shí)調(diào)節(jié)罐內(nèi)壓力，預(yù)防罐內(nèi)超壓或破裂從而引起火災(zāi)爆炸事故。

步驟4：建立LNG儲(chǔ)備庫(kù)事故正演模型

結(jié)合STAMP模型，得到LNG儲(chǔ)備庫(kù)火災(zāi)事故的正演模型，如圖4所示。罐體測(cè)溫點(diǎn)檢測(cè)到溫度異常時(shí)，反饋到人工控制系統(tǒng)；罐區(qū)內(nèi)的氣體監(jiān)測(cè)系統(tǒng)隨時(shí)監(jiān)測(cè)罐區(qū)氣體濃度狀態(tài)，當(dāng)氣體濃度超過(guò)危險(xiǎn)閾值時(shí)，報(bào)警反饋給人工控制系統(tǒng)。操作人員接收到反饋后，下達(dá)相應(yīng)的指令找出氣體濃度升高的原因，并及時(shí)做出響應(yīng)。

圖4 LNG儲(chǔ)罐火災(zāi)事故正演模型Fig.4 The fire accident forward model of LNG tank

步驟5：識(shí)別不安全控制行為

依據(jù)LNG儲(chǔ)備庫(kù)火災(zāi)事故正演模型，從四類不安全控制行為角度，識(shí)別出的不安全控制行為如表3所示。為了防止事故的發(fā)生，在此過(guò)程中應(yīng)保證系統(tǒng)控制行為符合安全約束。

表3 識(shí)別不安全控制行為Table 3 Unsafe control identification

步驟6：關(guān)鍵原因分析

控制行為執(zhí)行不充分包括：

(1)操作人員由于身體或心理原因執(zhí)行控制指令不充分，導(dǎo)致操作失誤。

(2)在罐內(nèi)液體產(chǎn)生分層并下達(dá)循環(huán)操作指令后，罐內(nèi)泵循環(huán)操作不徹底；定期檢修制度不完善。

(3)罐內(nèi)產(chǎn)生蒸發(fā)氣體后，蒸發(fā)氣的流量比壓縮機(jī)的處理能力高時(shí)，壓力控制閥未打開(kāi)將超出部分蒸發(fā)氣排到火炬，造成罐內(nèi)超壓，罐體破裂。

反饋信息錯(cuò)誤或不足包括：

(1)反饋信息產(chǎn)生階段：溫度檢測(cè)點(diǎn)反饋不及時(shí)；系統(tǒng)各閥門狀態(tài)信息的獲取不充分或存在缺陷；其他與儲(chǔ)罐進(jìn)料時(shí)相關(guān)的重要信息沒(méi)有及時(shí)獲取或獲取方法錯(cuò)誤。

(2)反饋信息傳輸階段：有關(guān)進(jìn)料過(guò)程中罐內(nèi)壓力和罐內(nèi)液體的液位溫度密度差的反饋信息不正確；各級(jí)控制人員的反饋信息不正確、延時(shí)或丟失。

(3)外部因素影響：外部指揮信息不正確；站區(qū)環(huán)境溫度、地形的獲取不充分、不正確或丟失，設(shè)計(jì)缺陷；自然災(zāi)害。

3 案例分析

本部分先通過(guò)國(guó)外BG公司Partington LNG調(diào)峰站發(fā)生分層翻滾事故驗(yàn)證LNG儲(chǔ)備庫(kù)典型事故正演模型的可行性、有效性與準(zhǔn)確性；再通過(guò)仿真的國(guó)內(nèi)LNG接收站儲(chǔ)罐火災(zāi)事故驗(yàn)證此模型的普適性。

3.1 LNG儲(chǔ)罐分層翻滾事故案例分析

案例場(chǎng)景描述：1993年10月，BG公司Partington LNG調(diào)峰站發(fā)生分層翻滾事故，該調(diào)峰站包含2套天然氣液化設(shè)施，4座5×104m3的LNG儲(chǔ)罐。在一次卸料充注的過(guò)程中充注的LNG密度為433 kg/m3，比儲(chǔ)罐原有的液體密度高13 kg/m3，LNG加液量為1900 t。進(jìn)料完成后，經(jīng)過(guò)68 d儲(chǔ)存，罐內(nèi)液體突然翻滾，導(dǎo)致儲(chǔ)罐上的安全釋放閥和緊急排放閥全部打開(kāi)。整個(gè)事故過(guò)程中，氣體翻滾排放持續(xù)了2 h，儲(chǔ)罐設(shè)置排放天然氣的總能力是123.4 t/h，高于此次事故排放平均質(zhì)量流量75 t/h，所以沒(méi)有造成儲(chǔ)罐罐體損傷。此次排放量是正常排放量0.25 t/h的300倍，造成了大量的物料損耗。

結(jié)合圖2所示模型，建立本事故場(chǎng)景的LNG儲(chǔ)罐分層翻滾事故正演模型，如圖5所示，結(jié)合該模型對(duì)此案例進(jìn)行分析，可以發(fā)現(xiàn)此系統(tǒng)中存在的問(wèn)題及原因有：

圖5 本案例場(chǎng)景的事故正演模型Fig.5 The accident forward model of the case scenario

(1)操作人員未掌握物料信息

操作人員進(jìn)行充注操作前未掌握需要充注的LNG的物料信息和罐內(nèi)已有LNG液體的物料信息?？赡艿脑蚴牵孩倨髽I(yè)操作規(guī)程不完善；②操作人員由于自身原因出現(xiàn)疏漏；③企業(yè)安全文化教育不全面。

(2)操作人員未意識(shí)到存在此密度差時(shí)進(jìn)行充注操作存在的安全隱患

操作人員在此情況下對(duì)控制系統(tǒng)下達(dá)了進(jìn)料指令，且選擇了打開(kāi)上進(jìn)液閥進(jìn)液?？赡艿脑蛴校孩倨髽I(yè)安全文化教育不全面；②操作人員自身知識(shí)學(xué)習(xí)不到位；③企業(yè)操作規(guī)程不完善。

(3)操作人員未及時(shí)發(fā)現(xiàn)分層現(xiàn)象

操作人員未從儲(chǔ)罐狀態(tài)信息反饋設(shè)施中發(fā)現(xiàn)分層現(xiàn)象的發(fā)生。發(fā)生此情況的原因?yàn)椋孩俨僮魅藛T由于自身原因出現(xiàn)疏漏；②儲(chǔ)罐狀態(tài)信息反饋不明顯；③企業(yè)安全文化教育不全面。

將正演模型分析結(jié)果與事故調(diào)查得到的原因進(jìn)行對(duì)比，具體如表4所示，可以發(fā)現(xiàn)：通過(guò)LNG儲(chǔ)備庫(kù)典型事故正演模型分析得到的結(jié)果更加注重整個(gè)事故中涉及到的關(guān)鍵要素間的聯(lián)系與相互作用造成的事故后果，例如，“操作人員沒(méi)有對(duì)分層反饋及時(shí)采取有效操作”這一原因中涉及“操作人員”、“儲(chǔ)罐狀態(tài)設(shè)施反饋(分層反饋)”和“循環(huán)操作(有效操作)”3個(gè)關(guān)鍵要素，而不僅僅是單一原因。因此，通過(guò)正演模型分析得到的事故原因不僅更加具體、全面、有針對(duì)性，且能夠保證分析結(jié)果的準(zhǔn)確性。

表4 案例事故調(diào)查和模型分析得到的事故原因?qū)Ρ萒able 4 The comparison of accident causes from accident investigation and model analysis

最后，為直觀的體現(xiàn)此模型在火災(zāi)事故案例安全性分析方面的全面性與系統(tǒng)性，以知識(shí)圖譜的方式，將案例中各原因之間的邏輯層次與內(nèi)部因果關(guān)聯(lián)進(jìn)行可視化，如圖6所示。其中，橙色的節(jié)點(diǎn)對(duì)應(yīng)上文中所寫的此系統(tǒng)中存在3個(gè)方面的問(wèn)題；藍(lán)色的節(jié)點(diǎn)代表導(dǎo)致問(wèn)題發(fā)生的原因；連線表示各節(jié)點(diǎn)間的關(guān)聯(lián)關(guān)系。

圖6 LNG分層翻滾事故案例原因的關(guān)聯(lián)知識(shí)圖譜Fig.6 Correlation knowledge graph of LNG stratification and rollover accident causes

3.2 LNG儲(chǔ)罐火災(zāi)事故案例分析

案例場(chǎng)景描述：某LNG接收站LNG儲(chǔ)罐底由于設(shè)計(jì)缺陷和檢修不合格等外部因素發(fā)生泄漏后，氣體檢測(cè)裝置沒(méi)有產(chǎn)生報(bào)警信息，泄漏氣體在局部達(dá)到一定濃度后遇火源，發(fā)生火災(zāi)。結(jié)合圖4所示模型，建立本事故場(chǎng)景的LNG儲(chǔ)罐火災(zāi)事故正演模型，如圖7所示。

圖7 本案例場(chǎng)景的事故正演模型Fig.7 The accident forward model of the case scenario

不同于人員操作失誤等原因造成罐內(nèi)壓力不穩(wěn)定而間接導(dǎo)致的泄漏，此事故案例是由于設(shè)計(jì)缺陷和日常檢修不合格等外部因素導(dǎo)致罐底發(fā)生泄漏，因此，此場(chǎng)景下系統(tǒng)無(wú)法通過(guò)罐內(nèi)壓力監(jiān)測(cè)設(shè)備對(duì)泄漏的發(fā)生進(jìn)行預(yù)警。結(jié)合建立的火災(zāi)事故正演模型對(duì)案例進(jìn)行分析，可以發(fā)現(xiàn)此系統(tǒng)中存在的問(wèn)題及原因有：

(1)氣體濃度監(jiān)測(cè)系統(tǒng)未產(chǎn)生報(bào)警信息

該安全問(wèn)題有兩方面的原因：①檢測(cè)裝置自身失效，喪失基本功能；②檢測(cè)裝置的設(shè)計(jì)存在缺陷，即泄漏點(diǎn)屬于氣體濃度檢測(cè)系統(tǒng)的盲點(diǎn)。

(2)罐底的測(cè)溫點(diǎn)的傳感器出現(xiàn)異常

該安全問(wèn)題有兩方面的原因：①傳感器自身失效，無(wú)法檢測(cè)到泄漏點(diǎn)的溫度；②檢測(cè)裝置的設(shè)計(jì)存在缺陷，即無(wú)法檢測(cè)到泄漏點(diǎn)的異常溫度。

(3)罐內(nèi)壓力監(jiān)測(cè)設(shè)備反饋不及時(shí)

若在泄漏初期能及時(shí)反饋罐內(nèi)壓力波動(dòng)情況，可以在發(fā)生火災(zāi)事故前對(duì)泄漏進(jìn)行控制。發(fā)生此安全問(wèn)題的原因可能有：①儲(chǔ)罐泄漏前期壓力波動(dòng)不明顯，罐內(nèi)壓力監(jiān)測(cè)設(shè)備無(wú)法及時(shí)進(jìn)行反饋；②壓力監(jiān)測(cè)設(shè)備本身靈敏度不足，無(wú)法檢測(cè)泄漏量較少的壓力波動(dòng)；③總控制系統(tǒng)存在缺陷，未能準(zhǔn)確區(qū)分泄漏與正常壓力波動(dòng)，無(wú)法產(chǎn)生報(bào)警信息。

對(duì)以上3點(diǎn)系統(tǒng)設(shè)備原因進(jìn)行進(jìn)一步分析，可以得到以下安全管理方面的問(wèn)題及原因：

(4)維檢修人員出現(xiàn)工作漏洞

出現(xiàn)此類安全問(wèn)題的原因可能是：①人員日常維檢修制度不完善；②工作人員本身當(dāng)天的生理或者心理狀態(tài)不佳；③罐區(qū)安全管理制度規(guī)程不完善。

(5)罐區(qū)存在外部火源

由于外部點(diǎn)火源LNG泄漏事故產(chǎn)生后，導(dǎo)致演變成火災(zāi)事故，出現(xiàn)此類安全問(wèn)題的原因有：①罐區(qū)對(duì)火源的控制存在漏洞；②罐區(qū)防靜電措施不足；③人員安全教育不到位。

可以看出，本文提出的基于STAMP—STPA的LNG儲(chǔ)備庫(kù)典型事故正演模型適用于LNG儲(chǔ)備庫(kù)的所有事故類型，具備普適性，可以廣泛使用。

將案例中各原因之間的邏輯層次與內(nèi)部因果關(guān)聯(lián)進(jìn)行以知識(shí)圖譜的形式可視化，結(jié)果如圖8所示。從圖中可以看出，在此系統(tǒng)中，“氣體濃度監(jiān)測(cè)系統(tǒng)未產(chǎn)生報(bào)警信息”、“罐底的測(cè)溫點(diǎn)的傳感器出現(xiàn)異?！?、“維檢修人員出現(xiàn)工作漏洞”和“罐區(qū)存在外部火源”有明顯的內(nèi)部因果關(guān)聯(lián)；最終的LNG儲(chǔ)罐火災(zāi)事故原因聚焦在罐區(qū)的安全管理及制度規(guī)范方面，為L(zhǎng)NG儲(chǔ)備庫(kù)后續(xù)的安全管理工作提供了清晰的整治方向。

圖8 LNG火災(zāi)事故案例原因的關(guān)聯(lián)知識(shí)圖譜Fig.8 Correlation knowledge graph of LNG fire accident causes

4 結(jié)論

(1) 本文提出的基于STAMP—STPA的LNG儲(chǔ)備庫(kù)典型事故正演模型，針對(duì)LNG儲(chǔ)備庫(kù)具體工藝流程特點(diǎn)，通過(guò)安全控制結(jié)構(gòu)的定義以及系統(tǒng)風(fēng)險(xiǎn)和約束的辨識(shí)，實(shí)現(xiàn)了不安全控制行為的有效識(shí)別及其關(guān)鍵原因的深度挖掘。

(2)基于STAMP—STPA的LNG儲(chǔ)備庫(kù)典型事故正演模型克服了傳統(tǒng)安全性分析方法無(wú)法考慮復(fù)雜系統(tǒng)內(nèi)部關(guān)聯(lián)性、忽視組件交互及宏觀控制等問(wèn)題，使得系統(tǒng)隱患分析、事故原因溯源更加全面完善。

(3) 基于STAMP—STPA模型，從系統(tǒng)控制的角度出發(fā)分析LNG儲(chǔ)備庫(kù)分層翻滾、火災(zāi)事故安全性及演化過(guò)程，使得分層翻滾與火災(zāi)事故場(chǎng)景更加直觀、原因及內(nèi)部因果層次關(guān)系梳理更加清晰，同時(shí)也為后續(xù)的事故反演研究打下基礎(chǔ)。