胡瑾秋，董紹華，王融涵，張曦月

中國石油大學(北京)安全與海洋工程學院，北京 102249

0 引言

隨著我國對天然氣的需求的持續(xù)增長，為規(guī)避天然氣供應不足或中斷的風險，國家大力發(fā)展液化天然氣儲備庫建設，并以大型液化天然氣儲罐儲存各種類型的液化天然氣產品。LNG具有易泄漏、易揮發(fā)擴散和易燃易爆等危險特性，LNG儲備庫存儲了大量的液化天然氣，是液化天然氣儲罐事故的集中發(fā)生地，它的安全問題早已成為業(yè)界最為關注的重要問題之一[1]。LNG的固有性質決定了其具有分層翻滾、火災爆炸等危害特性。LNG分層翻滾事故是在LNG儲存時由于分層而發(fā)生的一種劇烈蒸發(fā)過程，短時間內儲罐壓力由正常操作壓力上升到壓力安全閥設定壓力，安全閥跳起向外排放天然氣，大量BOG氣體將以不可控制的速度迅速排至周圍地區(qū)，若不能及時得以控制，將形成爆炸性混合云團，對LNG存儲安全構成重大威脅[2]。自LNG進入工業(yè)應用以來，已經發(fā)生過多次翻滾事故，在1970—1982年之間，在22個工廠發(fā)生過41次翻滾事故，7次作了正式報道[3]。LNG火災事故也是LNG事故相關研究[4-7]關注的重點，因LNG揮發(fā)性強，能夠迅速蔓延，遇到明火極易發(fā)生火災；且容易引起多米諾事故的發(fā)生，造成爆炸、傷亡等更為嚴重的后果?；谝陨蟽热?，本文選擇這2種事故作為LNG儲備庫典型事故進行系統性地安全性分析與事故正向演化研究，這對于LNG儲備庫的安全管理具有重要意義。

盛勇等[8]針對突發(fā)事件，從系統的復雜性、開放式預想及序貫性3個原則研究事件的情景演化機理，構建其演化系統模型；王海東等[9]用實際數據和情景構建方法進行建模，分析發(fā)生的可能性、發(fā)生發(fā)展方式和過程、可能產生的后果。針對傳統的安全性分析方法存在的問題，N.G.Leveson等[10-11]提出了STAMP方法，并將其成功地應用在航空[12]、交通運輸[13]等領域的安全問題上；國內王啟全等[14]根據STAMP原理針對地鐵突發(fā)事件引起人群恐慌而導致擁擠踩踏事故設計了應急聯動系統，對地鐵人群密度進行監(jiān)控，以便在危險產生之前對人群進行應急疏散，從而減小了災難發(fā)生的可能性。

通過上述研究發(fā)現，大多事故正演模型構建的研究仍較為傳統，僅從事故發(fā)生條件和對事故機理進行微觀描述，忽視組件交互及宏觀控制；且STAMP模型在LNG典型事故正演方面的研究較少。鑒于此，筆者擬從系統控制的角度出發(fā)，結合STAMP—STPA模型對液化天然氣事故過程進行安全性分析，以期系統性地構建LNG儲備庫分層翻滾及火災事故正演模型。最后，在LNG儲備庫分層翻滾事故場景下，將建立的正演模型與常用的貝葉斯網絡方法作對比，驗證該模型在LNG儲備庫事故數據稀少的情況下，對于復雜系統在事故過程分析方面的優(yōu)勢。

1 STAMP—STPA基本原理概述

1.1 STAMP模型基本原理

STAMP模型于2004年由Leveson[10]提出，是基于系統理論和控制理論，將安全性視為系統組元、人為因素、環(huán)境因素和組織管理因素在非線性相互作用下的一種整體涌現性[15]。目前已在航空航天[16]、核電[17]和鐵路[18]等行業(yè)的安全分析領域得到廣泛應用。復雜系統作為一種開放的非線性系統，子系統之間以及系統與外界之間有物質、信息和能量的交互，安全評估的要點是要明確系統內部各種功能組件及其邏輯控制關系，分析組件可能遭遇的外部干擾和環(huán)境因素，從而明確系統正常運行所需的控制要求。

STAMP模型的3個基本概念是安全約束、分級安全控制結構和過程模型[19]。STAMP模型認為安全是一個控制問題[20]，并認為可能發(fā)生事故時，部件故障，外部干擾，以及異常交互作用的部件沒有得到適當的控制。

1.2 STPA基本原理

STPA是依賴于因果模型STAMP的系統性危害識別方法。STPA的目標是識別可能導致事故的不足的控制方案，從中可以將安全約束從系統概念推廣到操作。STPA通過構建由控制器、執(zhí)行器、控制過程和傳感器構成的反饋控制回路[21]，如圖1所示，分析控制行為在性能、時間或邏輯上的不合理情形，辨識不安全控制作用和場景。

圖1 安全控制回路Fig.1 Safety control loop

STPA的執(zhí)行包含以下步驟：1)辨識導致事故的系統狀態(tài)或條件，定義系統風險；2)開發(fā)安全控制結構，識別系統元件之間的關聯關系，分析安全需求和限制；3)識別不安全控制行為導致的約束失效(STPA定義了4種不安全控制行為：未提供控制行為、提供錯誤或不安全供控制行為、未及時提供控制行為、控制行為結束過早)；4)不安全控制行為關鍵原因分析。

與傳統的安全分析方法對比(見表1)，具體如表1所示，STAMP—STPA方法具有3個明顯的優(yōu)點：1)使安全研究人員能夠考慮系統反饋的作用，以及根據反饋而采取的行動；2)結合了組織約束、技術約束和人員約束，并在同一級別內進行分析；3)能夠通過框圖理清事故在系統中的發(fā)展脈絡，幫助安全管理者提高整個系統的安全性。

表1 STAMP—STPA與不同安全評價方法優(yōu)缺點對比Table 1 Comparison of advantages and disadvantages between STAMP—STPA and different security evaluation methods

2 LNG儲備庫典型事故正演模型構建

與其他安全分析方法相似，STAMP—STPA方法主要識別系統存在的風險，但不同之處在于該方法是能夠考慮到不同設備間的交互，并通過分析系統的安全需求與安全性約束、辨識在事故演化過程中的不安全的控制行為，來識別系統控制回路中的不安全狀態(tài)，從系統控制和約束的角度進行安全性分析。用STAMP—STPA方法進行事故正演模型構建，能夠直觀闡明事故發(fā)生過程，并保證事故正演模型的系統完整性。

2.1 LNG儲備庫分層翻滾事故正演模型構建

基于STAMP—STPA的LNG儲備庫分層翻滾事故正演模型構建流程如下所示。

步驟1：明確液化天然氣儲備庫工藝流程

通過調查研究，明確研究對象主體、理清液化天然氣儲備庫的工藝流程，并確定整體工藝流程中各部分設備設施的功能及相互間的關聯關系。

步驟2：分析LNG儲備庫分層翻滾事故的安全性

液化天然氣分層翻滾事故發(fā)生在LNG儲罐中，涉及到的設施包括儲罐以及與儲罐相關的管道、閥門、泵和BOG壓縮機等。事故發(fā)生的主要原因有：罐內液體存儲時間過長，罐壁或罐頂漏熱，導致了不同位置的LNG溫度不同，使溫度大的液體向上流動，溫度小的液體向下流動，罐內液體產生分層；在充注進料時，需充注的液化天然氣和儲罐內原有的液體密度和溫度不同，不同密度的天然氣在罐內產生分層。

步驟3：分析安全需求和安全性約束

將罐內壓力和LTD測點參數作為液化天然氣分層翻滾的約束條件，通過相應的約束屏障對壓力和LTD測點參數進行控制。如果液體在罐內分層后，能夠及時通過溫度、壓力、密度測量儀器的反饋發(fā)覺，LNG低壓輸送泵就可用于使罐內LNG液體循環(huán)，阻止液體分層向翻滾事故的演化；同時罐體周圍設置的壓力控制閥和安全放散閥可以在罐內壓力過高或過低時，對罐內壓力進行平衡，防止事故的進一步演化。

步驟4：建立LNG儲備庫事故正演模型

對于液化天然氣分層翻滾事故的控制和預防中，罐內液體的溫度和罐內壓力的控制是重點，因此對罐內液體的液位、溫度、密度的監(jiān)測尤為重要。采用LTD連續(xù)測量設施對罐內這3個參數進行監(jiān)測，控制壓力以防止罐內超壓對儲罐造成的結構損傷。根據圖1的反饋控制回路，LNG儲備庫作為復雜的人機系統，站內的操作人員和人工控制系統共同構成控制器，進液閥、BOG壓縮機、壓力控制閥、安全閥和最小流量控制閥等組件的控制構成執(zhí)行器，罐內壓力和溫度為控制過程，壓力檢測裝置和LTD連續(xù)測量設施的反饋則為傳感器。

結合STAMP模型，根據分層翻滾事故相關設備建立LNG儲備庫分層翻滾事故的正演模型，如圖2所示。整個庫區(qū)都在操作人員的監(jiān)控指令下運行，下行箭頭均為控制行為，上行箭頭均為反饋過程。在接收到操作人員的充料指令后，執(zhí)行器會依照指令執(zhí)行，打開適合的進液閥門進液，LNG儲罐中的液位、溫度、密度等信息會通過LTD儀表顯示，并反饋給操作人員。如果產生分層，會對最小流量控制閥下達指令，使罐內泵執(zhí)行循環(huán)操作，防止翻滾產生。當壓力在正常范圍內時，BOG壓縮機可從BOG通用管中提取氣體，控制罐內的壓力，并根據不同的大氣壓力調節(jié)罐的絕對壓力。當罐內壓力超過壓縮機的調節(jié)范圍之后，火炬系統發(fā)揮作用，氣體通過壓力控制閥閥門釋放至火炬進行燃燒，這是第一級超壓保護；當壓力上升至更高水平時，安裝在每個儲罐中的多個泄壓閥被打開，這是第二級超壓保護。儲罐狀態(tài)信息繼續(xù)傳遞，傳回操作人員控制器，以此循環(huán)。

圖2 LNG儲罐分層翻滾事故正演模型Fig.2 The stratification and rollover accident forward model of LNG tank

步驟5：識別不安全控制行為

依據LNG儲備庫分層翻滾事故正演模型，從4類不安全控制行為角度，分析進料過程中儲存系統中控制指令錯誤或不足導致的系統性風險，表2所示的不安全控制行為可轉化為作用于罐內壓力和液位的安全約束。為了防止分層翻滾事故的發(fā)生，在此過程中應保證系統控制行為符合安全約束。

表2 不安全控制行為Table 2 Unsafe control identification

步驟6：關鍵原因分析

根據控制反饋模型以及STAMP—STPA提出的基本控制缺陷，總結不安全控制行為導致LNG儲罐分層翻滾事故的關鍵原因：控制行為執(zhí)行不充分、反饋信息錯誤或不足。其中，控制行為執(zhí)行不充分包括：

(1)操作人員由于身體或心理原因執(zhí)行控制指令不充分，導致操作失誤。

(2)在罐內液體產生分層并下達循環(huán)操作指令后，罐內泵循環(huán)操作不徹底；定期檢修制度不完善。

(3)罐內產生蒸發(fā)氣體后，蒸發(fā)氣的流量比壓縮機的處理能力高時，壓力控制閥未打開將超出部分蒸發(fā)氣排到火炬，造成罐內超壓，罐體破裂。

反饋信息錯誤或不足包括：

(1)反饋信息產生階段：測量進料LNG密度、組分和罐內LNG密度的方式存在缺陷；系統各閥門狀態(tài)信息的獲取不充分或存在缺陷；其他與儲罐進料時相關的重要信息沒有及時獲取或獲取方法錯誤。

(2)反饋信息傳輸階段：有關進料過程中罐內壓力和罐內液體的液位溫度密度差的反饋信息不正確；各級控制人員的反饋信息不正確、延時或丟失。

(3)外部因素影響：外部指揮信息不正確；站區(qū)環(huán)境溫度、地形的獲取不充分、不正確或丟失。

為驗證此模型在復雜系統事故過程分析與事故正演模型建立方面的優(yōu)勢，將常用的事故概率模型貝葉斯網絡用于該案例。該LNG儲罐分層翻滾事故場景的貝葉斯網絡如圖3所示。

圖3 LNG儲罐分層翻滾事故貝葉斯網絡Fig.3 The stratification and rollover accident Bayesian network of LNG tank

可以看出，在LNG儲備庫分層翻滾事故歷史數據與資料稀少的情況下，事故中各節(jié)點的先驗概率難以確認，此時定量的事故演化分析模型并不適用；且基于LNG儲備庫分層翻滾事故貝葉斯網絡對該復雜系統進行事故過程分析，難以從系統的角度去看待問題，并且不能體現出系統各組件間的交互關聯以及反饋信息，使得系統事故信息不完善。

2.2 LNG儲備庫火災事故正演模型構建

基于STAMP—STPA的LNG儲備庫火災事故情景構建流程如下。

步驟1：明確液化天然氣儲備庫工藝流程

站內的操作人員和人工控制系統共同構成控制器，進液閥、BOG壓縮機、壓力控制閥、安全閥和最小流量控制閥構成執(zhí)行器，罐內壓力和罐區(qū)天然氣氣體濃度為控制過程，壓力檢測裝置、罐體測溫點和氣體濃度監(jiān)測系統則構成傳感器。

步驟2：分析LNG儲備庫火災事故的安全性

罐區(qū)內的各種儲存設施都是金屬耐壓罐，由于易受腐蝕或儲罐存在先天性缺陷，加之安全管理措施不落實、維修保養(yǎng)不到位，極易造成儲罐或零部件損傷，涉及到的設施包括管道、閥門、法蘭盤接頭、壓縮機等，在發(fā)生意外時都有可能成為泄漏點，引起火災爆炸事故；若儲罐保溫設施受到破壞，會造成低溫保冷儲存的LNG因受熱而氣化，儲罐內的蒸汽壓力劇增。正常情況下，安全放散閥自動開啟，通過集中放散管釋放壓力，但若安全放散閥出現故障，儲罐發(fā)生爆炸、火災的可能性會大大增加。

步驟3：分析安全需求和安全性約束

液化天然氣火災的約束條件是溫度、壓力和罐區(qū)氣體濃度參數，通過相應的約束屏障對壓力和溫度進行控制。LNG儲罐發(fā)生泄漏后，能夠通過溫度、氣體濃度、壓力測量儀器及時向總控制中心反饋異常溫度、氣體濃度變化、罐內壓力波動等信息，防止事故向火災演變。其中，通過氣體濃度監(jiān)測設備是最直接、快速地向人工控制系統反饋LNG儲罐的泄漏的方式；罐體上的安全閥，壓力檢測閥門，可以及時調節(jié)罐內壓力，預防罐內超壓或破裂從而引起火災爆炸事故。

步驟4：建立LNG儲備庫事故正演模型

結合STAMP模型，得到LNG儲備庫火災事故的正演模型，如圖4所示。罐體測溫點檢測到溫度異常時，反饋到人工控制系統；罐區(qū)內的氣體監(jiān)測系統隨時監(jiān)測罐區(qū)氣體濃度狀態(tài)，當氣體濃度超過危險閾值時，報警反饋給人工控制系統。操作人員接收到反饋后，下達相應的指令找出氣體濃度升高的原因，并及時做出響應。

圖4 LNG儲罐火災事故正演模型Fig.4 The fire accident forward model of LNG tank

步驟5：識別不安全控制行為

依據LNG儲備庫火災事故正演模型，從四類不安全控制行為角度，識別出的不安全控制行為如表3所示。為了防止事故的發(fā)生，在此過程中應保證系統控制行為符合安全約束。

表3 識別不安全控制行為Table 3 Unsafe control identification

步驟6：關鍵原因分析

控制行為執(zhí)行不充分包括：

(1)操作人員由于身體或心理原因執(zhí)行控制指令不充分，導致操作失誤。

(2)在罐內液體產生分層并下達循環(huán)操作指令后，罐內泵循環(huán)操作不徹底；定期檢修制度不完善。

(3)罐內產生蒸發(fā)氣體后，蒸發(fā)氣的流量比壓縮機的處理能力高時，壓力控制閥未打開將超出部分蒸發(fā)氣排到火炬，造成罐內超壓，罐體破裂。

反饋信息錯誤或不足包括：

(1)反饋信息產生階段：溫度檢測點反饋不及時；系統各閥門狀態(tài)信息的獲取不充分或存在缺陷；其他與儲罐進料時相關的重要信息沒有及時獲取或獲取方法錯誤。

(2)反饋信息傳輸階段：有關進料過程中罐內壓力和罐內液體的液位溫度密度差的反饋信息不正確；各級控制人員的反饋信息不正確、延時或丟失。

(3)外部因素影響：外部指揮信息不正確；站區(qū)環(huán)境溫度、地形的獲取不充分、不正確或丟失，設計缺陷；自然災害。

3 案例分析

本部分先通過國外BG公司Partington LNG調峰站發(fā)生分層翻滾事故驗證LNG儲備庫典型事故正演模型的可行性、有效性與準確性；再通過仿真的國內LNG接收站儲罐火災事故驗證此模型的普適性。

3.1 LNG儲罐分層翻滾事故案例分析

案例場景描述：1993年10月，BG公司Partington LNG調峰站發(fā)生分層翻滾事故，該調峰站包含2套天然氣液化設施，4座5×104m3的LNG儲罐。在一次卸料充注的過程中充注的LNG密度為433 kg/m3，比儲罐原有的液體密度高13 kg/m3，LNG加液量為1900 t。進料完成后，經過68 d儲存，罐內液體突然翻滾，導致儲罐上的安全釋放閥和緊急排放閥全部打開。整個事故過程中，氣體翻滾排放持續(xù)了2 h，儲罐設置排放天然氣的總能力是123.4 t/h，高于此次事故排放平均質量流量75 t/h，所以沒有造成儲罐罐體損傷。此次排放量是正常排放量0.25 t/h的300倍，造成了大量的物料損耗。

結合圖2所示模型，建立本事故場景的LNG儲罐分層翻滾事故正演模型，如圖5所示，結合該模型對此案例進行分析，可以發(fā)現此系統中存在的問題及原因有：

圖5 本案例場景的事故正演模型Fig.5 The accident forward model of the case scenario

(1)操作人員未掌握物料信息

操作人員進行充注操作前未掌握需要充注的LNG的物料信息和罐內已有LNG液體的物料信息?？赡艿脑蚴牵孩倨髽I(yè)操作規(guī)程不完善；②操作人員由于自身原因出現疏漏；③企業(yè)安全文化教育不全面。

(2)操作人員未意識到存在此密度差時進行充注操作存在的安全隱患

操作人員在此情況下對控制系統下達了進料指令，且選擇了打開上進液閥進液?？赡艿脑蛴校孩倨髽I(yè)安全文化教育不全面；②操作人員自身知識學習不到位；③企業(yè)操作規(guī)程不完善。

(3)操作人員未及時發(fā)現分層現象

操作人員未從儲罐狀態(tài)信息反饋設施中發(fā)現分層現象的發(fā)生。發(fā)生此情況的原因為：①操作人員由于自身原因出現疏漏；②儲罐狀態(tài)信息反饋不明顯；③企業(yè)安全文化教育不全面。

將正演模型分析結果與事故調查得到的原因進行對比，具體如表4所示，可以發(fā)現：通過LNG儲備庫典型事故正演模型分析得到的結果更加注重整個事故中涉及到的關鍵要素間的聯系與相互作用造成的事故后果，例如，“操作人員沒有對分層反饋及時采取有效操作”這一原因中涉及“操作人員”、“儲罐狀態(tài)設施反饋(分層反饋)”和“循環(huán)操作(有效操作)”3個關鍵要素，而不僅僅是單一原因。因此，通過正演模型分析得到的事故原因不僅更加具體、全面、有針對性，且能夠保證分析結果的準確性。

表4 案例事故調查和模型分析得到的事故原因對比Table 4 The comparison of accident causes from accident investigation and model analysis

最后，為直觀的體現此模型在火災事故案例安全性分析方面的全面性與系統性，以知識圖譜的方式，將案例中各原因之間的邏輯層次與內部因果關聯進行可視化，如圖6所示。其中，橙色的節(jié)點對應上文中所寫的此系統中存在3個方面的問題；藍色的節(jié)點代表導致問題發(fā)生的原因；連線表示各節(jié)點間的關聯關系。

圖6 LNG分層翻滾事故案例原因的關聯知識圖譜Fig.6 Correlation knowledge graph of LNG stratification and rollover accident causes

3.2 LNG儲罐火災事故案例分析

案例場景描述：某LNG接收站LNG儲罐底由于設計缺陷和檢修不合格等外部因素發(fā)生泄漏后，氣體檢測裝置沒有產生報警信息，泄漏氣體在局部達到一定濃度后遇火源，發(fā)生火災。結合圖4所示模型，建立本事故場景的LNG儲罐火災事故正演模型，如圖7所示。

圖7 本案例場景的事故正演模型Fig.7 The accident forward model of the case scenario

不同于人員操作失誤等原因造成罐內壓力不穩(wěn)定而間接導致的泄漏，此事故案例是由于設計缺陷和日常檢修不合格等外部因素導致罐底發(fā)生泄漏，因此，此場景下系統無法通過罐內壓力監(jiān)測設備對泄漏的發(fā)生進行預警。結合建立的火災事故正演模型對案例進行分析，可以發(fā)現此系統中存在的問題及原因有：

(1)氣體濃度監(jiān)測系統未產生報警信息

該安全問題有兩方面的原因：①檢測裝置自身失效，喪失基本功能；②檢測裝置的設計存在缺陷，即泄漏點屬于氣體濃度檢測系統的盲點。

(2)罐底的測溫點的傳感器出現異常

該安全問題有兩方面的原因：①傳感器自身失效，無法檢測到泄漏點的溫度；②檢測裝置的設計存在缺陷，即無法檢測到泄漏點的異常溫度。

(3)罐內壓力監(jiān)測設備反饋不及時

若在泄漏初期能及時反饋罐內壓力波動情況，可以在發(fā)生火災事故前對泄漏進行控制。發(fā)生此安全問題的原因可能有：①儲罐泄漏前期壓力波動不明顯，罐內壓力監(jiān)測設備無法及時進行反饋；②壓力監(jiān)測設備本身靈敏度不足，無法檢測泄漏量較少的壓力波動；③總控制系統存在缺陷，未能準確區(qū)分泄漏與正常壓力波動，無法產生報警信息。

對以上3點系統設備原因進行進一步分析，可以得到以下安全管理方面的問題及原因：

(4)維檢修人員出現工作漏洞

出現此類安全問題的原因可能是：①人員日常維檢修制度不完善；②工作人員本身當天的生理或者心理狀態(tài)不佳；③罐區(qū)安全管理制度規(guī)程不完善。

(5)罐區(qū)存在外部火源

由于外部點火源LNG泄漏事故產生后，導致演變成火災事故，出現此類安全問題的原因有：①罐區(qū)對火源的控制存在漏洞；②罐區(qū)防靜電措施不足；③人員安全教育不到位。

可以看出，本文提出的基于STAMP—STPA的LNG儲備庫典型事故正演模型適用于LNG儲備庫的所有事故類型，具備普適性，可以廣泛使用。

將案例中各原因之間的邏輯層次與內部因果關聯進行以知識圖譜的形式可視化，結果如圖8所示。從圖中可以看出，在此系統中，“氣體濃度監(jiān)測系統未產生報警信息”、“罐底的測溫點的傳感器出現異?！?、“維檢修人員出現工作漏洞”和“罐區(qū)存在外部火源”有明顯的內部因果關聯；最終的LNG儲罐火災事故原因聚焦在罐區(qū)的安全管理及制度規(guī)范方面，為LNG儲備庫后續(xù)的安全管理工作提供了清晰的整治方向。

圖8 LNG火災事故案例原因的關聯知識圖譜Fig.8 Correlation knowledge graph of LNG fire accident causes

4 結論

(1) 本文提出的基于STAMP—STPA的LNG儲備庫典型事故正演模型，針對LNG儲備庫具體工藝流程特點，通過安全控制結構的定義以及系統風險和約束的辨識，實現了不安全控制行為的有效識別及其關鍵原因的深度挖掘。

(2)基于STAMP—STPA的LNG儲備庫典型事故正演模型克服了傳統安全性分析方法無法考慮復雜系統內部關聯性、忽視組件交互及宏觀控制等問題，使得系統隱患分析、事故原因溯源更加全面完善。

(3) 基于STAMP—STPA模型，從系統控制的角度出發(fā)分析LNG儲備庫分層翻滾、火災事故安全性及演化過程，使得分層翻滾與火災事故場景更加直觀、原因及內部因果層次關系梳理更加清晰，同時也為后續(xù)的事故反演研究打下基礎。