汪 魯，劉 軍，張 凱，吳赫君，金 侃，黃冬梅，徐曉萌

(1.國網(wǎng)浙江省電力有限公司經(jīng)濟技術(shù)研究院，浙江 杭州 310016；2.中國計量大學 質(zhì)量與安全工程學院，浙江 杭州 310018；3.浙江大學 能源工程學院，浙江 杭州 310027)

電網(wǎng)作為國家重要的基礎設施，其安全穩(wěn)定運行對于保障社會經(jīng)濟發(fā)展具有決定性作用[1]。近年來，在國外多起大停電事故的教訓和啟示下，黨和國家日益重視電力安全問題并將其納入總體國家安全觀。習近平總書記也對防控大電網(wǎng)安全風險做出重要指示，要求將其上升到保障國家安全的戰(zhàn)略高度看待。

鑒于電力安全關(guān)乎國計民生，作為我國經(jīng)營輸電、供電業(yè)務的特大型中央企業(yè)，國家電網(wǎng)有限公司長期以來一直將安全作為最根本、最基礎、最重要的工作，堅持將安全生產(chǎn)作為企業(yè)的“生命線”。然而，隨著我國電力事業(yè)的迅猛發(fā)展，電網(wǎng)規(guī)模不斷增大(2012年已躍居世界第一)，作為全球最復雜、最危險的基礎設施之一，任何微小的疏忽都可能導致電網(wǎng)出現(xiàn)嚴重的事故并影響成千上萬人的正常工作和生活，甚至產(chǎn)生嚴重的傷亡后果。近年來，隨著數(shù)字化、智能化、互聯(lián)網(wǎng)等發(fā)展趨勢愈發(fā)明顯，各種新業(yè)務、新業(yè)態(tài)伴隨著國家電網(wǎng)業(yè)務規(guī)模的擴展不斷涌現(xiàn)，給電網(wǎng)安全管理帶來了新的挑戰(zhàn)[2]。與此同時，新能源的大規(guī)模并網(wǎng)使得電網(wǎng)安全生產(chǎn)和管理工作所面臨的形勢更趨復雜[3]。

目前，為保障大型基礎設施或企業(yè)日常運行過程的安全穩(wěn)定，最有效的措施是構(gòu)建并實施一整套科學適用的安全管理體系(safety management system)作為評估和提升安全運行績效的手段[4-5]。為此，學者們開展了相關(guān)研究，并試圖提出構(gòu)建安全管理體系需要遵循的基本結(jié)構(gòu)，例如VALDEZ[6]指出所有安全管理體系均應包含風險控制系統(tǒng)和學習系統(tǒng)；THOMAS[7]和MAURINO[8]則認為對于任何安全管理體系，其基本組成部分應當包括：識別安全隱患、通過補救行動的方式維持安全表現(xiàn)、持續(xù)的安全監(jiān)測并定期評估安全績效、對體系的整體運行效果做持續(xù)改進等；FERNNDEZ[9]提出安全管理體系的關(guān)鍵維度應該由以下部分組成：安全政策、員工參與的激勵、員工能力的培訓和發(fā)展、關(guān)于風險和風險控制的溝通與信息傳遞、應對事故預防和應急響應的相關(guān)計劃，以及控制和評審。

由上述研究可知，大量學者認為建立安全管理體系的核心在于確定合理的危害/風險識別和控制措施，即尋找導致事故發(fā)生的“根本原因”。然而，實踐表明即便找出了導致事故發(fā)生的所謂“根本原因”，如果缺乏有效的安全控制手段，依然會有其他原因繼續(xù)引發(fā)新的事故。為了從根本上解決傳統(tǒng)危害/風險控制理論和事故分析理論存在的固有缺陷，LEVESON[10]提出了系統(tǒng)理論事故模型與過程(STAMP)理論，將實現(xiàn)系統(tǒng)安全的關(guān)鍵由“預防故障產(chǎn)生”轉(zhuǎn)變?yōu)椤凹訌娦袨榘踩s束”。該理論認為，不存在導致事故發(fā)生的“根本原因”；事故的起因不是安全問題而是控制問題，是由于施加在系統(tǒng)組件之上的安全約束不完整或不充分而造成的組件之間發(fā)生了不安全交互。利用STAMP理論便可以有效識別出保證系統(tǒng)安全運行所需的各類約束條件并加以合理控制，通過保證安全約束的有效性最終達到實現(xiàn)系統(tǒng)安全的目的。由于該理論實現(xiàn)了系統(tǒng)安全問題與控制問題的互相轉(zhuǎn)化，因此對于復雜性和耦合度較高的風險控制領(lǐng)域具有更好的適用性。鑒于STAMP理論的上述優(yōu)點，目前該理論已被成功應用于眾多領(lǐng)域的安全分析工作，如航空航天、軌道交通、工程安全和建筑安全等，此外STAMP也在許多復雜業(yè)務系統(tǒng)的安全管理流程中發(fā)揮了重要作用，例如海上導航業(yè)務、郵輪和渡輪公司以及制造業(yè)等。在電力安全領(lǐng)域，同樣有學者嘗試將STAMP理論與現(xiàn)有的安全管理機制進行融合，例如武紅燁等人[11]提出了基于STAMP的電網(wǎng)企業(yè)事故風險控制模型，但該模型作為電網(wǎng)企業(yè)安全管理體系的一個子模塊僅能用于事故預防和風險控制工作，無法對企業(yè)安全管理的全局提供指導；SOUSA[12]和ISHIMATSU[13]等人雖然也在其論文中提到了STAMP用于電力或電網(wǎng)系統(tǒng)安全管理的可行性，但均止步于理論，沒有開展進一步的實踐應用研究。

為探索STAMP理論在電網(wǎng)企業(yè)安全管理過程中的適用性，筆者以國網(wǎng)浙江省電力有限公司(以下簡稱：省公司)為研究對象率先在國內(nèi)提出構(gòu)建基于STAMP的電網(wǎng)企業(yè)現(xiàn)代安全管理體系的構(gòu)想，通過構(gòu)建基于STAMP的電網(wǎng)企業(yè)現(xiàn)代安全管理體系并對該體系的控制措施和實際運行效果展開分析，獲得了該體系在保障電網(wǎng)企業(yè)安全運行中的有效性。

1 建設背景

省公司作為國家電網(wǎng)有限公司的全資子公司，是浙江省能源領(lǐng)域的核心企業(yè)，擁有直屬單位19家，地市供電公司11家，以及68家縣級供電公司，供電服務人口超5 800萬。近年來，省公司通過推進本質(zhì)安全建設、健全全員安全責任體系、強化風險隱患防控機制、完善應急管理工作體系等措施和手段，有效維護了浙江電網(wǎng)的安全穩(wěn)定運行。然而，由于近年來公司業(yè)務規(guī)模的不斷拓展，加之新業(yè)務、新業(yè)態(tài)對傳統(tǒng)業(yè)務體系所形成的沖擊，使得安全工作面臨的挑戰(zhàn)日益嚴峻。通過對省公司安全生產(chǎn)抽查、巡查結(jié)果的系統(tǒng)梳理發(fā)現(xiàn)，雖然省公司在實踐中形成了許多行之有效的安全管理和安全監(jiān)督工作經(jīng)驗，但是也暴露出了許多問題，包括：①安全責任體系建設仍有不足，表現(xiàn)為：目標責任導向不突出，安全責任清單管理不規(guī)范，履責意識有欠缺，安全投入保障仍有不合規(guī)問題；②安全基礎管理仍存在薄弱環(huán)節(jié)，表現(xiàn)為：安全教育實效性及人員履職能力不足，安全規(guī)章制度管理不規(guī)范，安全例行工作規(guī)范性不足，應急管理落實有偏差，電網(wǎng)使用相關(guān)方管理存在弱化；③作業(yè)安全管控手段仍有改進空間，表現(xiàn)為：承載力分析不足導致部分作業(yè)計劃安排不合理，現(xiàn)場安全監(jiān)管、外包安全管理、省管產(chǎn)業(yè)單位施工和管理能力普遍存在不足；④設備運行安全留有不少問題，表現(xiàn)為：老舊設備數(shù)量積累較多，部分新設備質(zhì)量差且老化快，輸電線路跨鐵路/高速公路隱患治理問題多，設備技術(shù)監(jiān)督、可靠性管理、狀態(tài)評估管理、運行維護及檢修試驗基礎管理、設備驗收管理等生產(chǎn)設備設施基礎的安全管理工作仍需加強；⑤電網(wǎng)本質(zhì)安全建設仍待加強，表現(xiàn)為：外來電比例超40%，強直弱交、調(diào)峰能力不足等矛盾較為突出，尤其是隨著新能源的大規(guī)模并網(wǎng)給電網(wǎng)安全穩(wěn)定運行帶來了新的不利影響；⑥網(wǎng)絡信息安全面臨較大壓力，表現(xiàn)為：大量新業(yè)務通過無線方式接入，伴隨各類移動終端的陸續(xù)上線，網(wǎng)絡安全邊界風險日益模糊。互聯(lián)網(wǎng)業(yè)務的不斷拓展導致數(shù)據(jù)的安全保護任務異常艱巨。

因此，為應對新業(yè)務、新業(yè)態(tài)出現(xiàn)可能導致的安全風險管控不到位、安全責任不落實等問題，筆者提出了構(gòu)建適應省公司自身特點的現(xiàn)代安全管理體系的設想，用以指導企業(yè)的安全管理工作，加強風險辨識與預控，完善安全責任體系，在確保傳統(tǒng)業(yè)務、業(yè)態(tài)安全形勢不動搖的基礎之上，對新業(yè)務、新業(yè)態(tài)承接的安全風險做到可防、可控、在控。

2 構(gòu)建流程

通過對安全科學理論以及安全管理體系的大量調(diào)研與分析發(fā)現(xiàn)，以STAMP理論為依據(jù)所構(gòu)建的安全管理體系不僅與風險識別過程之間聯(lián)系緊密，而且還具有在體系運行過程中自我優(yōu)化調(diào)整等優(yōu)點[14]，因此省公司最終決定在國內(nèi)率先構(gòu)建基于STAMP理論的電網(wǎng)企業(yè)現(xiàn)代安全管理體系并開展相關(guān)應用研究。

基于STAMP理論構(gòu)建的電網(wǎng)企業(yè)現(xiàn)代安全管理體系必須具備STAMP的3個基本結(jié)構(gòu)，如圖1所示，即安全約束、分層安全管控結(jié)構(gòu)和過程模型。省公司通過建立適用于電網(wǎng)企業(yè)的分層安全控制結(jié)構(gòu)和過程模型，識別控制結(jié)構(gòu)內(nèi)各層安全約束和不恰當控制行為，確定可能的控制缺陷，識別生產(chǎn)活動的安全風險，從而構(gòu)建起相應的現(xiàn)代安全管理體系。省公司現(xiàn)代安全管理體系的構(gòu)建流程可進一步細分為六個部分，如圖2所示：

圖1 基于STAMP的系統(tǒng)動力學模型

圖2 基于STAMP的省公司現(xiàn)代安全管理體系構(gòu)建流程

Level 1：通過相關(guān)人員共同討論的方法明確現(xiàn)代安全管理體系中重要的指引方向，并在此基礎上確定系統(tǒng)目標和約束。

Level 2：介紹安全管理的現(xiàn)狀，確定安全管理具體目標和實施路徑之間的聯(lián)系，利用危害分析技術(shù)修正Level 1中的指引方向。

Level 3：以圖形化方式構(gòu)建安全管理體系框架，包括安全組織體系、安全工作體系、規(guī)章制度體系等，明確各體系之間的關(guān)系及其包括的內(nèi)容。

Level 4和Level 5：進一步細化體系框架，提出體系表征技術(shù)，分解三個體系所對應的指標。

Level 6：定義體系運行效果評價指標及評價方法，提出體系運行及治理能力現(xiàn)代化的評價指標體系及相應的評價方法。

3 管理體系基本結(jié)構(gòu)

3.1 安全約束

與傳統(tǒng)的事故致因理論相比，STAMP理論不再將事故與系統(tǒng)看作事件鏈或由事件鏈分解而成的各個結(jié)構(gòu)組件，避免了人為選擇事件或事件鏈過程中引入的主觀性，因此可以更加全面地分析與風險或事故相關(guān)的課題。同時，該理論為了替代傳統(tǒng)事故致因理論中對于失效事件的控制措施，強調(diào)必須對系統(tǒng)運行的全過程施加強制執(zhí)行的必要安全約束條件(如安全目標、安全方針、安全文化等)。結(jié)合電網(wǎng)企業(yè)的特點并綜合分析省公司的安全工作特征，提出了適用于省公司自身情況的安全約束條件如下：①安全方針，即安全第一、預防為主、綜合治理、全員履責；②安全目標，即九杜絕、六防范、一減少，指的是杜絕人身重傷及以上事故，杜絕一般及以上電網(wǎng)、設備事故，杜絕惡性誤操作事件，杜絕責任性五級電網(wǎng)事件，杜絕責任性五級設備事件，杜絕責任性網(wǎng)絡安全事件，杜絕較大火災事故，杜絕本單位負同等及以上責任的重大交通事故，杜絕因防恐、平安建設和社會治安綜合治理工作責任不落實、工作措施不到位或者其他突發(fā)事件處置不當造成嚴重影響公司和社會平安穩(wěn)定的案(事)件，防范人身輕傷事件，防范一般誤操作(誤調(diào)度)事件，防范責任性六級電網(wǎng)事件，防范責任性六級設備事件，防范一般火災事故，防范本單位負同等及以上責任的一般交通事故，實現(xiàn)電網(wǎng)和設備事件同比減少；③安全文化，爭當安全守護者，做一名有高度責任心的浙電人。

3.2 分層安全管控結(jié)構(gòu)

由于STAMP理論采用基于自適應反饋機制的控制層次描述系統(tǒng)和事故，因此當基于該理論構(gòu)建安全管理體系時需要以系統(tǒng)理論為基礎，采用自頂向下的系統(tǒng)工程模式，并在該過程中將安全性充分融入設計中。根據(jù)STAMP理論的上述思想，基于該理論所形成的任何安全管理體系都必須具有1個分層安全管控結(jié)構(gòu)，以達到層層向下施加約束的目的，控制低層的行為。管控結(jié)構(gòu)根據(jù)系統(tǒng)的差異可以采取不同的形式，對于省公司基于電網(wǎng)企業(yè)特點所構(gòu)建的現(xiàn)代安全管理體系而言，其結(jié)構(gòu)如圖3所示。

圖3 分層安全管控結(jié)構(gòu)模型

3.3 過程模型

STAMP理論認為，事故的發(fā)生通常由于“控制不足”引起，即控制回路產(chǎn)生了不正常的交互或者控制回路無法處理系統(tǒng)運行過程中產(chǎn)生的不正常交互作用。鑒于電網(wǎng)系統(tǒng)組件故障、外部干擾和異常交互功能障礙都會破壞電力系統(tǒng)的安全約束，最終導致事故的發(fā)生，因此將上述電網(wǎng)實際運行過程中有可能破壞安全約束的事件映射到分層安全管控結(jié)構(gòu)之中，便可以獲得導致控制回路(控制器)發(fā)生事故的原因包括：控制器可能作出不適當?shù)目刂苿幼?，控制行動可能沒有完全實施，來自被控制對象的反饋可能缺失或不充分等。

為確保每個控制器均能受到有效的全流程安全約束，需要有圖4所示的基于STAMP的過程模型對控制器接收上行信息(通常由傳感器測量被控過程獲得)和發(fā)出下行命令(即執(zhí)行器實施控制動作)的整個過程進行處理，以確保過程受控。

圖4 安全管理過程模型

3.4 安全管理體系框架

根據(jù)省公司安全管理現(xiàn)狀的系統(tǒng)分析結(jié)果，構(gòu)建省公司現(xiàn)代安全管理體系的體系框架如圖5所示，包含“四個指引”和“三個體系”。

圖5 省公司現(xiàn)代安全管理體系框架

由圖5可知，“四個指引”對應STAMP中的安全約束，體現(xiàn)了省公司為保證電網(wǎng)安全穩(wěn)定運行而強制自身執(zhí)行的必要安全約束條件?！叭齻€體系”中的安全組織體系作為分層安全管控條件的主要組成部分，以其下轄的安全責任體系為基礎，以雙重預防機制為抓手，對安全工作做到全面統(tǒng)籌、全員參與、全過程控制和全方位管理，通過充分發(fā)揮安全監(jiān)督、保證和保障體系三者的高度融合作用，為建設新型電力系統(tǒng)筑牢安全基礎?！叭齻€體系”中的安全工作體系作為過程模型的主要構(gòu)成部分，對系統(tǒng)內(nèi)所有上行信息和下行命令進行監(jiān)控和處理，確保體系運行的每個環(huán)節(jié)處處受控?！叭齻€體系”的職責邊界和具體任務安排詳述如下：

(1)安全組織體系以安全生產(chǎn)委員會作為省公司安全生產(chǎn)的最高決策機構(gòu)統(tǒng)領(lǐng)全局，安全保證體系履行安全主體責任、安全監(jiān)督體系履行監(jiān)督協(xié)調(diào)責任、安全保障體系履行支撐保障責任。公司各級在安委會的統(tǒng)一領(lǐng)導下，安全監(jiān)督體系健全完善，安全保證和保障體系各司其職、運轉(zhuǎn)有序，安全職責清晰，安全責任全面落實，各類安全問題有效閉環(huán)整改。參與省公司安全生產(chǎn)的各崗位、各專業(yè)人員得到全方位的安全教育培訓，人員的安全意識和安全技能水平得到切實提升，風險管控能力和水平得到有效加強，組織的安全承載力得到有效提高。

(2)安全工作體系遵循“事前預防、事中控制、事后處理”的工作主線，不斷促進安全管理工作高效運轉(zhuǎn)，通過強化對外協(xié)同和合作，確保安全工作有序開展。實現(xiàn)系統(tǒng)核心業(yè)務和支撐體系一體化，加強網(wǎng)絡信息的安全管理，強化規(guī)劃設計、電網(wǎng)建設、運行維護等專業(yè)安全管控。扎實開展事前安全風險預防、事中管控和應急處置、事后事故調(diào)查處理等工作，做到事事能落實、管理能閉環(huán)、總結(jié)能提高、科學有效并持續(xù)改進。

(3)規(guī)章制度體系以“上下貫穿、左右協(xié)同”為特征，遵循國際標準，以本質(zhì)安全建設為抓手，實現(xiàn)安全規(guī)章制度標準編制、發(fā)布、修訂、廢止全過程管理管控。清理老舊滯后、交叉重復、不適應現(xiàn)代安全生產(chǎn)管理機制變化的規(guī)章制度與技術(shù)標準，動態(tài)修訂、補充現(xiàn)場運行規(guī)程。通過廢改立釋工作，確保省公司規(guī)章制度、技術(shù)標準、現(xiàn)場規(guī)程符合國家、行業(yè)、政府和國網(wǎng)公司的各項安全規(guī)定和要求，符合電網(wǎng)發(fā)展的實際安全需求。

4 體系運行績效分析

以省公司2016—2020年的安全大檢查情況為基礎如表1所示，對現(xiàn)代安全管理體系的運行績效以及體系投入運行前后的企業(yè)安全管理特點進行說明。上述安全大檢查的檢查范圍涵蓋省公司所屬的5個生產(chǎn)性直屬單位和11個地市供電公司，因此能夠非常全面、綜合地反映整個省公司及其下屬單位的安全運行總體狀況。

表1 省公司2016～2020年安全大檢查情況匯總

匯總歷年安全大檢查中辨識出的安全風險問題總數(shù)情況如圖6所示。由圖6可知，現(xiàn)代安全管理體系投入運行之前(2018年以來)，在多次省公司組織的安全大檢查中發(fā)現(xiàn)的各類安全問題數(shù)量基本穩(wěn)定在300～400項/年。然而，當現(xiàn)代安全管理體系被投入實際運行之后，安全大檢查發(fā)現(xiàn)問題的數(shù)量呈現(xiàn)先顯著增加(2018—2019年，2019年出現(xiàn)高峰，達706項)，而后快速下降的趨勢，2020年發(fā)現(xiàn)問題的數(shù)量下降到了300項以下，低于2017年之前的平均水平。究其原因，在最近的幾次省公司安全大檢查中，借助于現(xiàn)代安全管理體系的構(gòu)建與應用，一些傳統(tǒng)安全管理體系長期未能發(fā)現(xiàn)的深層次安全問題和隱患被發(fā)掘了出來，因此才出現(xiàn)了2018—2019年被發(fā)現(xiàn)安全問題數(shù)量的異常上升。而后，經(jīng)過2018—2019兩年的運行，省公司的安全運行狀況進一步得到了提升，因此2020年安全大檢查發(fā)現(xiàn)的問題數(shù)量相比于2017年之前有了較為明顯的降低。

圖6 省公司歷年安全大檢查發(fā)現(xiàn)的問題總數(shù)情況(數(shù)據(jù)源自表1)

此外，對2016—2020年間安全大檢查發(fā)現(xiàn)問題的所屬類型做進一步的梳理，結(jié)果如圖7所示：歷年辨識出的各類安全問題總計為2 352項，其中辨識出的管理類風險問題總計1 499項(占比63.7%)，裝置類風險問題總計703項(占比29.9%)，行為類風險問題總計150項(占比6.38%)，大部分辨識出的安全問題均屬于管理類問題。此外，由圖中不同類型安全問題數(shù)量隨時間的變化趨勢可知，通過現(xiàn)代安全管理體系的構(gòu)建和運行被新發(fā)掘出來的安全問題主要集中于管理類問題，進一步說明基于STAMP的現(xiàn)代安全管理體系有助于發(fā)掘深層次安全問題和隱患。隨著這些深層次管理類安全問題和隱患的消除，有助于進一步提升電網(wǎng)企業(yè)的安全管理層次。

圖7 省公司歷年安全大檢查發(fā)現(xiàn)問題的所屬類型分布(數(shù)據(jù)源自表1)

5 結(jié)論

(1)以國網(wǎng)浙江省電力有限公司為研究對象，在國內(nèi)率先構(gòu)建了基于STAMP的電網(wǎng)企業(yè)現(xiàn)代安全管理新體系。該體系由安全約束、分層安全管控結(jié)構(gòu)和過程模型3個基本結(jié)構(gòu)構(gòu)成，包含“四個指引”(安全方針、安全目標、安全文化、安全理論)和“三個體系”(安全組織體系、安全工作體系和規(guī)章制度體系)等構(gòu)成要件。

(2)安全組織體系以其下轄的安全責任體系為基礎，以雙重預防機制為抓手，實施對安全生產(chǎn)工作的全面統(tǒng)籌、全員參與、全過程控制和全方位管理，通過充分發(fā)揮安全監(jiān)督、保證和保障體系3者的高度融合作用，為建設新型電力系統(tǒng)筑牢安全基礎。安全工作體系通過對系統(tǒng)內(nèi)所有上行信息和下行命令進行監(jiān)控和處理，確保體系運行過程的每一個環(huán)節(jié)均處于安全受控狀態(tài)。

(3)以2016年至2020年省公司的安全大檢查結(jié)果為數(shù)據(jù)基礎，對所構(gòu)建的現(xiàn)代安全管理體系的運行績效進行分析。分析結(jié)果表明，現(xiàn)代安全管理體系能夠很好地滿足新形勢下電網(wǎng)企業(yè)安全管理的需要，借助于現(xiàn)代安全管理體系，一些傳統(tǒng)安全管理體系長期未發(fā)現(xiàn)的深層次安全問題和隱患(尤其是管理類風險問題)被發(fā)掘并消除，有助于進一步提升以省公司為代表的電網(wǎng)企業(yè)安全管理層次。