禹治宇

〔中國石化云南石油分公司 云南昆明 650011〕

安全始終是油品銷售企業(yè)經(jīng)營管理的重要課題。在成品油的儲存和運輸過程中，安全隱患幾乎存在于每個環(huán)節(jié)。這些隱患，如果不能得到及時的識別、正確的處置和有效地管控，隨時可能給國家和人民造成重大的生命、財產(chǎn)損失，甚至造成大范圍的對國民經(jīng)濟的正常運行秩序和百姓生活的嚴重沖擊和破壞。為此，在成品油儲運過程中對各種事故災害進行及時防范和對各種潛在的危害進行有效管控，是確保成品油經(jīng)營得以長期持續(xù)穩(wěn)定運行和健康發(fā)展的一項永遠在路上的基本需要。

縱觀石化領域國內(nèi)外已經(jīng)發(fā)生過的各種各樣的事故災害由醞釀、發(fā)生和發(fā)展的全過程，盡管從表面上看，這些事故常常只是由某個部件或某個人為因素偶發(fā)造成的，但是人們不能把事故的成因單一化，表面化，把事故背后的危害要素的管控工作簡單化。對待一起已經(jīng)發(fā)生了的事故，更不能只是指出事故所涉及到的設備部件或個人，對設備進行修復或?qū)⑷颂鎿Q即告完事，而是要從頭到尾對整個事故鏈進行全面、透徹的分析，最終找出與該事故的發(fā)生和發(fā)展密切相關的體系性原因。也就是說，要應用系統(tǒng)思維的方式和系統(tǒng)分析的理論來看待事故的起因。

1 系統(tǒng)理論模型和流程的提出

在綜合分析、識別事故成因的理論和方法模型方面，近年出現(xiàn)了一種叫做系統(tǒng)理論事故模型和流程的方法，稱STAMP模型，英文全稱為Systems Theoretic AccidentModel and Processes。這是一個可以應用于油氣生產(chǎn)企業(yè)和油庫類企業(yè)的安全管理和事故分析方面的新理念，新工具。

2 用STAMP模型從社會－技術系統(tǒng)的視角多層次深化分析事故成因

為解決航空航天領域復雜系統(tǒng)研發(fā)過程和運行過程的安全控制問題，2004年，美國麻省理工學院航空航天軟件工程研究實驗室的Leveson教授著眼于社會－技術系統(tǒng)，從多層次多角度深化分析安全事故成因，首次提出了這個不同于傳統(tǒng)的安全分析技術思路的STAMP模型。該模型強調(diào)，越是復雜的系統(tǒng)，其安全事故的最終發(fā)生越不是單一因素導致的結(jié)果，而是多種成因集中在一起交互作用或者說多種錯誤集中涌現(xiàn)的結(jié)果。因此，要想避免和管控一個復雜系統(tǒng)的安全事故，必須從一個包含了人、規(guī)則規(guī)程、技術軟件、控制邏輯、執(zhí)行機構(gòu)、執(zhí)行設備、過程監(jiān)控、執(zhí)行效果反饋和對錯誤或無效的修復矯正機制及措施等多個層面的影響因素的所謂的社會－技術系統(tǒng)的角度綜合全面地識別事故成因，并有效地控制系統(tǒng)中的各種可能導致危險狀態(tài)得以轉(zhuǎn)化或啟動的因素。這些因素可能是人為偶發(fā)的，也可能是純技術的，持續(xù)存在的，也可能是在偶發(fā)因素誘導下產(chǎn)生的超出了技術適應或糾正能力的某個環(huán)節(jié)或因素。

傳統(tǒng)上，對待大型復雜工業(yè)生產(chǎn)系統(tǒng)的事故成因，常用的安全分析技術主要有故障樹分析法（FTA法）、失效模式及影響分析法（FMEA法）與在此基礎上改進而來的面向大型復雜工業(yè)系統(tǒng)的軟件失效模式和影響分析法（SFMEA法），以及包含了動態(tài)建模技術的動態(tài)故障樹分析法（DFTA法）等。

這些傳統(tǒng)的安全分析方法，在識別大型工業(yè)生產(chǎn)系統(tǒng)的事故成因和改進安全管理方面的確發(fā)揮了很大的作用，有其合理之處和利用價值。但也不得不承認，這些傳統(tǒng)方法的本質(zhì)仍然都是基于組件失效與事故發(fā)生之間存在著簡單線性關系的這樣一種假設，而面對已經(jīng)高度復雜化了的、軟硬件緊密結(jié)合的、包含有多工種多工序的大型工業(yè)生產(chǎn)系統(tǒng)的研發(fā)、設計和運行過程的安全管理問題，這些基于上述線性關系假設的分析方法，在實際使用中已經(jīng)顯得越來越力不從心了。

現(xiàn)代化的油氣工業(yè)，不論是上游、中游還是下游，隨著多年的持續(xù)滾動發(fā)展，其各個生產(chǎn)環(huán)節(jié)的過程控制系統(tǒng)已經(jīng)實現(xiàn)了基于DCS或PLC的自動化監(jiān)控，而且越來越多地加入了基于互聯(lián)網(wǎng)和物聯(lián)網(wǎng)技術的信息化和智能化系統(tǒng)。這樣的生產(chǎn)系統(tǒng)所使用的硬件和軟件的復雜程度比以前都有了大幅度的提高。

與航空航天或核電產(chǎn)業(yè)有些類似，如今在大型石油、石化、大宗散裝液體物料的生產(chǎn)、加工和儲運過程中，對于各個環(huán)節(jié)的安全管控，其難度已經(jīng)變得很大，單純使用基于事故與組件失效之間存在線性對應關系的傳統(tǒng)理論的分析方法已經(jīng)變得越來越不適應當今工業(yè)系統(tǒng)的實際需要，而需要引入一種基于社會－技術系統(tǒng)思維的面向大型復雜工業(yè)生產(chǎn)系統(tǒng)的安全分析法，即STAMP模型分析法。該模型將引導人們從一開始就同時把人的正常與不正常、軟件功能的到位不到位、控制邏輯是否有瑕疵、硬件組件的功能是否可靠和到位、生產(chǎn)過程中的信息流傳遞是否正常、執(zhí)行結(jié)果的監(jiān)測和反饋是否及時有效、對異常情況反饋的修復和管控是否有效等等多方面影響因素，統(tǒng)統(tǒng)納入到需要識別分析的視野范圍內(nèi)。

3 STAMP法與傳統(tǒng)安全分析法的比較

在對待安全事故成因的基本理念上，相對于前述的幾種傳統(tǒng)的安全分析方法，STAMP模型有著很大的不同。傳統(tǒng)方法的基本理念是一次事故是一個或一組功能組件的失效導致的，提高各個組件的可靠度是特別重要的事。而STAMP模型法則把一個工業(yè)企業(yè)或系統(tǒng)的安全生產(chǎn)的管理定義為整個系統(tǒng)的全面控制和協(xié)調(diào)的問題，事故的最終實際發(fā)生是系統(tǒng)中多種錯誤交互作用、集中涌現(xiàn)，而且沒有得到有效管控和修復的結(jié)果，不是某個部件或某個人的可靠性問題。

STAMP模型分析法與傳統(tǒng)的安全分析方法之間的理念差別，參見表1。

由此可見，對待事故成因，一定要站在一個系統(tǒng)的視角和高度上，從社會性的因素，如人的、規(guī)程制度的和監(jiān)測、監(jiān)督及反饋報告與審批流程的、偶發(fā)的和持續(xù)性的、交互作用的，技術性的因素，如軟件邏輯的，偶發(fā)的或持續(xù)性的、執(zhí)行效果的檢測、報告反饋信息渠道的可靠性、對反饋信息的處置的有效性和糾正方法的有效性和及時性，以及社會的和技術的因素的聯(lián)動交互作用過程對決策和應對過程的影響等多個方面，進行客觀、系統(tǒng)的分析和識別。

STAMP模型分析法認為，導致事故的原因可能是人為因素、機械故障、物理化學因素、社會和環(huán)境因素，也可能是整個事故鏈中各部分之間的不協(xié)調(diào)，相互控制或反饋機制不健全、反應不及時而引起了事故鏈中的某個部分的功能失?；蚴Ш?，并且未能得到及時、有效的糾正和管控而造成的。

在現(xiàn)實的對工業(yè)生產(chǎn)過程的監(jiān)控工作鏈中，不同層次的部門都有著各自既定的作用和職責，用于保證整個系統(tǒng)持續(xù)順利的運行，同時各個部分又有各自的控制作用和反饋作用。

4 實例分析

一座成品油庫，從策劃、立項到建設方案的制定、工程設計、設備采購、系統(tǒng)實施再到工程驗收、試運行、運營、再到運維保障支持，一般要涉及到政府政策法規(guī)、產(chǎn)業(yè)政策、國家和行業(yè)技術規(guī)范標準、行業(yè)的安全、環(huán)境、計量、能耗、資源等監(jiān)管部門、總公司級的計劃、咨詢、前期研究、項目決策、工程設計、設計審查、采購和實施、工程監(jiān)理、供貨商和集成商、油庫運營團隊、參與運營過程的上下游企業(yè)、參與油庫運維保障支持的各個專業(yè)服務商等20余類大小不等的功能組織實體。

在所有這些與油庫的形成和運行相關聯(lián)的功能組織實體中，其中任何一個不正確的決定或做法，在未能得以及時有效的管控和應對的情況下，都有可能通過一定程度的交互作用和集中涌現(xiàn)而直接或間接地引發(fā)一場嚴重事故。問題的關鍵就是其中的潛在危害因素和交互作用能否在實施和運行過程中得到系統(tǒng)的識別和有效的應對和控制。

STAMP模型所涉及的分析要素對象和分布關系如圖1。

圖1 STAMP模型所設及的分析要素對象和分布關系

當前，參與油品銷售周轉(zhuǎn)調(diào)運過程的骨干油庫，基本上都實現(xiàn)了操作過程的自動化控制，部分油庫的發(fā)油作業(yè)過程實現(xiàn)了全自助化的無人值守運營模式，越來越多的油庫配備了油庫綜合管理信息集成平臺，這種平臺一般會把庫區(qū)范圍內(nèi)已有的罐區(qū)自動計量監(jiān)控系統(tǒng)、汽車收發(fā)油自動監(jiān)控系統(tǒng)、庫區(qū)泵閥監(jiān)控系統(tǒng)、鐵路水路收發(fā)油監(jiān)控系統(tǒng)、可燃氣濃度監(jiān)測報警系統(tǒng)、溫感煙感監(jiān)測報警系統(tǒng)、火災報警系統(tǒng)、智能連鎖控制和聯(lián)動控制系統(tǒng)、緊急停車系統(tǒng)、自動消防系統(tǒng)、油氣回收系統(tǒng)、污水處理和事故池監(jiān)測系統(tǒng)、視頻監(jiān)控系統(tǒng)、庫區(qū)安防監(jiān)控系統(tǒng)、生產(chǎn)計劃調(diào)度系統(tǒng)、油品質(zhì)量化驗系統(tǒng)、關鍵設備運行監(jiān)測系統(tǒng)、報警處置跟蹤管理系統(tǒng)、業(yè)務流程在線審批管理系統(tǒng)、專項信息發(fā)布推送管理系統(tǒng)等集成到一個一體化的綜合監(jiān)管平臺上。個別油庫企業(yè)現(xiàn)在已開始建設基于物聯(lián)網(wǎng)技術、人工智能技術和大數(shù)據(jù)分析模型的智能化油庫運行監(jiān)測分析預警系統(tǒng)。

可見，現(xiàn)在主流油庫已變成一個由多層人機交互控制界面、多種變量智能連鎖控制邏輯、DCS或PLC／SCADA監(jiān)控軟件、服務器、基層控制器和執(zhí)行儀表、現(xiàn)場工業(yè)總線數(shù)據(jù)傳輸網(wǎng)絡、網(wǎng)關、庫區(qū)局域網(wǎng)、庫區(qū)至上級監(jiān)管機關的專線通訊網(wǎng)、各種硬件設備及相關公用工程系統(tǒng)組合而成的復雜而上下左右相互關聯(lián)的大型綜合體。

這樣的大型綜合體，既包括了供配電、給排水、油氣回收、裝卸車船所需設備和油罐、油泵、電機、閥門、過濾器、計量儀表和工藝設備，也包含了大量的基于現(xiàn)場檢測和遠控連鎖聯(lián)動邏輯設計的監(jiān)控軟件、數(shù)據(jù)庫、通訊網(wǎng)絡器材、執(zhí)行機構(gòu)、檢測探頭和各種控制器等控制組件。

就系統(tǒng)的安全性而言，其中的設備選型、控制功能、控制邏輯設計、硬件可靠性、控制精確度、執(zhí)行效果的檢測反饋的準確度和及時性、各個監(jiān)控軟件的可靠性和對報警信息的正確處置能力及其與監(jiān)控人員的互動安全控制設計、容錯能力和防入侵能力，都將對一座油庫的持續(xù)安全穩(wěn)定運營帶來直接的或間接的影響。這些因素的好與壞，都直接跟油庫的工藝流程設計、操作流程的優(yōu)化設計、控制系統(tǒng)的容錯設計、設備選型、安裝調(diào)試、操作培訓、重大作業(yè)審批流程設計和實際執(zhí)行過程管控、系統(tǒng)的控制邏輯設計的合理性和實現(xiàn)程度、機房環(huán)境保障度、運行過程中的系統(tǒng)運維保障服務的實際到位程度等，有著密切的關系。

由此可見，要做到一座油庫的長期穩(wěn)定安全的運行，必須做到：

（1）在建設前期，政府和行業(yè)監(jiān)管部門必須制定出科學合理的產(chǎn)業(yè)政策、地區(qū)發(fā)展規(guī)劃、技術標準規(guī)范和項目審批流程，杜絕不具備資質(zhì)的企業(yè)野蠻發(fā)展和不規(guī)范運營油庫設施。

（2）建設期，在設計環(huán)節(jié)必須嚴格遵守執(zhí)行國家和行業(yè)的技術標準規(guī)范，確保流程設計和控制邏輯設計以及安全保障設計的正確、合理，其中還包括信息安全設計；在實施環(huán)節(jié)，必須嚴把設備選型和采購進貨這一關，選用行業(yè)內(nèi)技術實力強、工程經(jīng)驗豐富、口碑好的施工承包商、供貨商、集成商、工程監(jiān)理和專業(yè)服務商，確保整個系統(tǒng)的各個環(huán)節(jié)都嚴格按照設計高質(zhì)量實施到位并完成系統(tǒng)綜合聯(lián)合調(diào)試和正規(guī)的工程驗收。

（3）在運營期，要持續(xù)做好上崗人員的操作技能培訓和關鍵崗位的資質(zhì)考核認證，選擇有技術實力、服務意識強的運維支持服務商，必要時與本工程原集成商簽訂長期的有償維保支持服務合同，固化運維服務渠道和商務模式；利用物聯(lián)網(wǎng)和大數(shù)據(jù)技術及時建立起針對油庫生產(chǎn)系統(tǒng)和關鍵設備的實時運行狀態(tài)監(jiān)測預警平臺；利用人工智能、數(shù)據(jù)庫和三維建模等技術做好各種安全預案和智能化應急處置指揮工作，組織員工結(jié)合預案做好事故演練和應急培訓。

（4）在運行一段時間后，要對油庫系統(tǒng)進行一次安全性后評價，總結(jié)經(jīng)驗，完善操作規(guī)程和調(diào)度管理審批流程，優(yōu)化崗位設置，強化培訓，及時查堵系統(tǒng)安全漏洞。其中，油庫的工藝流程設計、設備選型、控制邏輯設計（含連鎖聯(lián)動）、通訊網(wǎng)絡安全設計、工程實施和系統(tǒng)集成、技術培訓和運維保障服務，都是與系統(tǒng)安全密切相關的關鍵性環(huán)節(jié)，對此切不可有任何松懈或疏忽。

總之，應該嚴格按照STAMP模型的要求，站在系統(tǒng)的高度，從政策、法規(guī)、技術標準規(guī)范、設計、施工、培訓、運營管理、操作、安全管理、信息安全和運維保障及內(nèi)部的管控審批制度等多個方面深入、細致地跟蹤、分析系統(tǒng)中存在的不完善、不協(xié)調(diào)和在一定條件下有可能形成決策監(jiān)管開環(huán)斷鏈甚至因累計交互作用而引發(fā)事故轉(zhuǎn)化的地方，通過日常的安全監(jiān)管和制度性的安全審計或系統(tǒng)安全后評價，及時消除或減弱系統(tǒng)安全風險，達到通過嚴細系統(tǒng)的安全分析、預警和防控使事故累積轉(zhuǎn)化的過程得以及時中斷的目的。

對于油庫系統(tǒng)的STAMP模型應用分析可能需要考慮的影響要素，包括項目前期規(guī)劃、實施、運營和安全審計與安全后評價各階段中各方面的影響因素、危害表現(xiàn)與對策措施等。

5 結(jié)束語

油庫是支持和保障國家經(jīng)濟平穩(wěn)安全運行的重要基礎設施，確保其持久穩(wěn)定安全運行，是每一個油庫企業(yè)管理團隊的終極目標所在。

[1]陽小華，劉杰等.STAMP模型及其在核電廠DCS安全分析中的應用展望[J].核安全，2013.12（3）：42－48.

[2]Leveson N.A New Accident Model for Engineering Safer Systems[J].Safety Science，2004，42（4）：237－270.

[3]KAZARAS K，KIRYTOPOULOS K，RENTIZELAS A.Introducing the STAMP Method in Road Tunnel Safety Assessment[J].Safety Science，2012，50（9）：1806－1817.