液化天然氣動力船航行過程風險動態仿真

李偉，胡甚平，陳偉炯，陶瀟穎，田力

(1．上海海事大學 商船學院，上海 201306；2.江蘇航運職業技術學院 航海系，江蘇 南通 226010；3.上海海事大學 海洋科學與工程學院，上海 201306)

液化天然氣(liquefied natural gas，LNG) 是一種綠色、高效、環保的能源，具有廣闊的應用前景[1]，與常規石油燃料相比，LNG燃料具有易泄露、易燃、易爆的危險性；這些特殊的理化屬性使得LNG動力船的發展和應用安全問題備受業界關注，LNG 動力船一旦出現燃料泄漏可能會導致船舶發生火災、爆炸、船舶失速、失控等衍生性事故，對船舶、從業人員及港口環境的安全都會帶來嚴重影響。因此，針對LNG動力船航行過程風險演變研究有助于科學認知該類型船舶作業模式和機理。

船舶及燃料供應設備的可靠性是LNG動力船安全營運的關鍵，《國際氣體與低閃點燃料動力船舶指引》[2]的頒布對LNG動力船船舶機械、設備和系統布置與安裝提出強制要求，從規則層面為船舶及燃料供應設備可靠性提供保障。在此基礎上，Wan[3]運用安全評估方法研究LNG動力船發動機的可靠性，Kwak[4]對 LNG 燃料船的制冷過程進行工藝設計和優化，以提高閃蒸汽(boiled off gas,BOG)再液化能效；針對事故概率較高燃料加注環節，Jeong[5]辨識出 LNG燃料加注的潛在風險，Fu[6]運用仿真技術研究加注過程泄漏事故風險；對LNG燃料泄漏后果研究方面，Li[7]得出 LNG 泄漏時發生火災的危險程度，并對發生蒸汽爆炸等風險進行分析，Davies[8]運用解析模型研究 LNG 安全防護距離。LNG動力船是涉及人、機、燃料、管理多要素的復雜系統，系統要素之間存在高度的關聯和耦合關系，致使船舶系統風險不斷涌現。上述研究成果對LNG動力船營運和發展起到良好的促進作用，但未能對LNG動力船營運過程中燃料的存儲、使用與船舶航行作業的耦合風險進行研究，尤其對LNG動力船在受限水域航行過程風險耦合機理研究尚未涉及。

目前，面對復雜系統耦合性和涌現性的特征，學者開始用系統思維來考慮系統安全性問題，提出了基于系統思維的安全性分析與控制方法(systems-theoretic process analysis，STPA)分析方法[9]，要求按照通過系統危險、安全控制結構、不安全行為、不安全行為形成原因等分析步驟完成危險分析過程。系統理論事故建模與過程模型(systems-theoretic accident modeling and processes，STAMP)是研究復雜系統涌現的典型模型[10]。近年來，STAMP已被廣泛應用在醫療健康[11]、交通[12-13]、航空航天[14]等領域。STAMP 將系統安全性看作是控制問題而不是組件失效問題，認為事故的發生源于組件失效、外部環境干擾和組件交互沒有有效控制，進而超出系統安全約束。作為傳統綜合安全評估方法的拓展[15]，隨機過程下的船舶航行風險也取得一定進展。胡甚平等[16-18]提出基于人工智能云模型的蒙特卡洛方法、馬爾可夫鏈研究過程風險，通過轉移矩陣來分析風險性態，在量化復雜系統運行風險進行了積極嘗試。

本文以STPA方法為范式，對LNG動力船航行的控制過程進行安全性分析，在識別系統組件和外部干擾因素的基礎上，提出LNG動力船航行過程風險的STAMP模型，采用馬爾可夫鏈(markov chain)和云模型(cloud model)并構的方法進行過程安全動態仿真，研究LNG動力船航行過程風險演變。

1 過程風險的隨機過程問題

1.1 船舶航行過程風險

過程風險是系統運行過程中，任一時刻系統風險性態的動態表征，是風險因素作用下的不確定(隨機)事件相互耦合的結果[15]。船舶航行過程風險是在時序狀態下，受船舶設備(硬件/軟件)、外部環境、船員等多種因素的影響，船舶系統風險在安全狀態和危險狀態之間不斷發展、演化的過程。

假設Rt為某一具體時刻船舶風險的性態，S={r}為安全與完全失效范圍內的空間，若對于任一個時間參數t∈T，X(r,t)為S上隨機的風險性態，且對任意一個g(l)∈S，X(r,t)為t的函數，那么稱{X(r,t),t∈T,l∈S}為船舶航行過程風險。

1.2 隨機過程下的LNG動力船航行過程風險測度

LNG動力船航行過程風險是在時序狀態下，以外部環境為背景，船舶系統和LNG燃料系統不斷耦合交互，系統風險性態連續變化的過程:

(1)

其中，耦合風險為：

(2)

(3)

1.3 風險的性態

風險的性態宏觀上表示某一時刻(階段)風險的狀態，微觀上是風險機理的變化性質及表征，性態用于風險研究，更能體現風險在時間上的過程性和空間上的傳播性[16]。本文引入可靠性理論中的“失效”概念，用失效程度來描述風險性態的程度，將風險的性態劃分為安全R1∈[0,1.5)、個別失效R2∈[1.5,2.5)、部分失效R3∈[2.5,3.5)、全部失效R4∈[3.5,5] 4個區間，當系統的失效程度達到一定標準，即為危險。

1.4 液化天然氣動力船航行過程風險形成模式

由于船舶燃料LNG理化性質的特殊性，船舶對船員安全操作和應急能力提出了更高的要求，船員的管理水平、作業經驗、決策能力、安全意識、應急能力、操作規范程度等都是影響船舶安全狀態的決定因素。LNG動力船燃料系統的泄露風險存在于燃料充裝、儲存和使用3個階段，集中于船舶的氣罐處所、機器處所、充裝處所與管線(含附件和閥件)等“三所一線”中。就作業過程而言，船舶航行過程中燃料的使用過程一般分為3階段：前期準備、燃燒使用和關停前的吹掃等，前一步驟的安全狀態對下一步的工作有直接的影響[17]。

2 液化天然氣動力船航行過程風險仿真模型

2.1 液化天然氣動力船安全控制結構

事故的發生是一種涌現現象，根源在于復雜的部件交互導致系統結構的突變，而涌現是層次結構的躍遷，因此事故致因為動態的網狀結構[15],借助網絡模型可邏輯描述該安全控制結構[10]。根據LNG動力船作業流程和組件交互狀況，分別以船舶和LNG燃料為中心構建安全上下控制結構，上部控制回路為船舶子系統，下部控制回路為LNG 燃料子系統，為船舶提供動力保障。

分層控制回路分析是使用STPA進行事故致因分析和建模的主要途徑，一般是將復雜系統分成若干層次結構，各層級間通過控制回路來實現通信和控制，保持動態平衡。

通過構建由控制器、控制過程、傳感器和執行器構成的反饋控制回路，重點關注時序變化和外部擾動影響下，系統組件間的耦合、交互作用，分析不安全控制行為的性能和邏輯表征，辨識不安全控制作用和場景。LNG動力船系統風險來自船舶內在風險、LNG燃料附加風險以及時序變化下兩者與外部環境擾動的耦合和演化風險。兩回路各自循環運行并在外部環境的干擾下進行耦合，在時序變化下不斷輸出自身的狀態信息。兩回路中關鍵組件與LNG動力船系統組分的對應關系如表1所示。

表1 LNG動力船控制系統組分Table 1 Division of LNGFV system components

2.2 液化天然氣動力船控制過程風險模型

2.2.1 船舶系統STAMP 模型

LNG動力船船舶系統風險控制過程如下：在某時刻，傳感器(導助航儀器)采集到被控對象(船舶)在外界環境(自然、交通環境等)影響下的狀態信息(位置、性能等)。通過人機交互將信息傳遞給控制器(船舶決策系統)，控制器經信息處理、分析和判斷給出具體控制策略，并以指令的形式通知執行器(現場作業人員)，執行器將具體操作施加于被控對象，形成船舶新的狀態，從而進入下一時刻。若所采取控制措施及時、準確、有效，則系統處于安全狀態。目前LNG動力船控制器以人工為主，自動控制器(自動舵、ECDIS等)輔助決策，基于安全控制結構描述了復雜系統的控制過程，該模式為船舶系統STAMP模型。

2.2.2 燃料系統STAMP 模型

與傳統動力船舶不同的是LNG動力船舶將LNG作為燃料，LNG使用過程影響船舶安全。燃料使用過程風險是LNG動力船的疊加風險。燃料LNG系統依然由LNG、傳感器、控制器和執行器組成。一般地，儲罐及管系、閥件定義為控制對象，溫度、壓力及儲量檢測設備定義為傳感器，輪機部管理船員定義為控制器，現場作業人員，定義為執行器，LNG系統的STAMP模型如圖1所示。

圖1 燃料安全控制結構STAMP 模型Fig.1 STAMP model on LNG fuel work process

船舶航行時燃料供應過程如下：在某時刻，確定的燃料狀態通過系統中各組件的交互實現通信和控制，從而形成LNG新的狀態，從而進入下一時刻。LNG動力船航行時燃料的使用過程可分為3個階段：準備階段、使用階段和關停前的吹掃階段，這3個階段按順序執行，前一階段對下一階段的安全狀態有直接的影響。燃料系統 STAMP 模型的構建印證了3層防護機制的有效性，即監控系統(傳感器)為第1層防漏層，輪機部管理級船員(控制器)的自動化控制為第2層止漏層，現場作業人員(執行器)應急操作和處理為第3層治漏層。

2.3 液化天然氣動力船安全控制結構的風險成因體系

LNG動力船除面臨著發生碰撞、擱淺等一般性船舶風險，其還面臨著因LNG泄露導致火災、爆炸、船體低溫損傷、船舶失速等特有風險。根據 STPA 分析方法，造成系統事故發生或危險出現的原因包括系統組件失效、外部干擾以及系統組件間的不良交互作用，以上原因均可能使系統控制回路中出現不恰當的控制行為或錯誤反饋信息，從而導致危險的發生。因此，可從組件失效、外部干擾以及組件交互等3個維度來構建LNG動力船系統風險成因體系(不安全行為成因)，如圖2所示。

圖2 LNG動力船系統風險成因體系Fig.2 Risk elements of LNGFV system

2.3.1 組件失效

組件失效是指系統中1個或多個組件出現故障或不安全的狀態，在缺乏有效控制的情況下發生級聯效應，從而引發系統事故的情形。STAMP模型中組件失效可以分為控制器、執行器、被控對象和傳感器失效，對LNG動力船而言，船舶系統及LNG燃料系統兩控制回路的組件失效可參照圖2中選取風險因素指標。

2.3.2 組件交互

組件交互是系統組件間通過能量、信息傳遞以達到通信和控制的過程，LNG動力船STAMP模型中涉及人與人、人與機、機與機間多次交互，交互過程中會將船舶及LNG燃料狀態信息，傳感器的監測信息以及控制器的操作指令信息等進行傳遞，通過控制回路逐層控制，反饋信息的準確性、完整性、及時性，操作信息和動作的有效性都決定著系統的安全狀態。其中包括船舶系統和LNG 燃料系統組件因素各8個，計C1j、C2k，j,k=1,2,…，8。

組件交互的過程實際上是系統風險性態轉移的馬爾可夫過程，可以用轉移矩陣(變量)Ti來表示，具體含義見表2。組件的交互會導致系統風險的性態在遵循馬爾可夫過程進行傳遞演化，進而導致系統風險涌現，甚至導致危險程度加深造成事故。

表2 系統組件交互的對應關系Table 2 The correspondence of system component interaction

2.3.3 外部環境干擾

擾動往往導致安全約束在傳遞過程中丟失、延誤或錯誤，進而引發系統事故或危險發生。在 LNG 動力船舶航行中燃料使用過程會受到外部環境的干擾，這些因素包括風、潮汐、能見度等自然環境，航道水深、航道寬度、航道彎曲度等航道條件，以及船舶密度、交通復雜程度、交通服務等交通環境，上述因素的干擾，會使得船舶在航行過程中風險形成機理更加復雜，且在受到多因素多組件交互后風險演化路徑會變得更加復雜，亦可能呈現突變的可能。在時間序列上，每一次內部控制系統交互的初始或終了時期會遭遇環境因素干擾，由此形成擾動隨機現象。

2.4 液化天然氣動力船控制過程風險動態仿真流程

鑒于前述內容，這里假定控制系統是一組具有馬爾可夫性質的離散隨機變量的集合，用以量化研究船舶航行過程中的風險變化趨勢。由此，本文引入云模型和馬爾可夫鏈同構的方法對LNG動力船航行過程風險進行動態仿真，目的是解決多風險因素合成問題和獲取轉移變量的統計數據。

1)數據采集。

根據LNG動力船航行場景信息，收集船舶系統、LNG燃料系統各組件及外部環境指標的主觀數據和客觀數據。由于觀測變量具有隨機性和模糊性，采用人工智能云模型來實現定性定量化。求取相應的云參數特征值：(Ex,En,He)i，i=1,2,3，…，25確立不同采樣點下風險因子的表征。

2)因子合成。

由于多因素引發風險結果，需對多因素測量結果進行合成處理，本文采用常規的權重合成方法，選用層次分析法法求取各風險指標的權重值ωi，分別計算船舶、LNG和環境子系統的數值。

3)風險性態。

通過對風險因子的數據運用云變換求得船舶系統或子系統在t時刻風險性態的狀態云模型 (Ex,En,He)t：

(4)

4)初始條件的設定。

5)轉移矩陣的確定。

目前離散時間馬爾可夫鏈轉移矩陣的求取主要有3大類方法，即通過數學統計法獲得、通過求解線性方程組獲得、通過二次規劃法獲得。根據數據獲取特點和所使用的計算工具，本文選用數學統計法求取轉移矩陣。根據求得各個采樣點的風險性態的狀態云參數，由其通過云發生器產生云滴，對云滴所屬4個風險性態進行統計，確定各個采樣點的狀態分布，進而求得初始狀態與不同采樣點之間的狀態轉移矩陣。

6)仿真及風險的量化。

根據LNG動力船航行過程風險測度模型，進行C-MC仿真，在得到船舶航行過程中4個風險性態之后，進一步對其進行量化處理，船舶航行過程中具體風險值R為：

(5)

3 液化天然氣動力船航行過程風險動態仿真

以LNG 動力船“B輪”從長江口錨地起錨航行至外高橋港區二期碼頭靠泊為例，通過對船舶航行風險的動態仿真來驗證STAMP模型的適用性。

“B輪”選擇在潮汐預報站“中浚”高潮前5 h起錨進港，由上海港北槽深水航道進入，途經圓圓沙警戒區、外高橋航道和外高橋沿岸航道，航程約92 km，用時約5 h。以船舶航行0.5 h 為1個時間單位對LNG動力船狀態進行數據采集，由此確立11個時間序列樣本。

3.1 數據采集和狀態云參數

根據LNG動力船航行過程風險STAMP模型，參照系統組件、外部環境、組件交互等3個維度確立25個風險影響因子，這些因素的判別數據源分為定性判斷和定量數據，如船舶通訊、導助航儀器狀態，船員的適任能力等采用定性描述，LNG儀表監測和環境條件等采用定量數據描述。根據設定的情景條件，邀請具有該水域航行經驗的船舶駕駛人員和相關引航員15名專家進行調查，采用李斯特1-5標度法針對采集數據信息進行風險狀態值評判，并對確定的評價指標的數值進行云參數計算，由此得到整個航段航行期間不同時刻的外部環境因素風險云圖(部分數據如圖3所示，主要表示航道地理因素、自然氣象因素和交通通航因素等)。

3.2 航行過程風險仿真

3.2.1 初始狀態變量

根據初始階段狀態數據，運用還原云滴獲取離散風險狀態，統計得出R1、R2、R3、R4風險性態分布，然后結合AHP算法得出的各指標權重值，將具有隨機性和不穩定性的初始值進一步運用式(4)進行云變換，分別計算出船舶系統及LNG燃料系統風險性態的初始分布：

(6)

圖3 “B輪”航行不同時刻外部環境擾動風險云圖Fig.3 Cloud distribution map of risk state of external environmental factors at different times

另外，各樣本點下環境因素的狀態矩陣依據式(4)進行計算，獲取(Ex,En,He)t，從而確定SEi。經升云運算確定新的狀態矩陣。

3.2.2 轉移矩陣

在LNG動力船STAMP模型中，1個反饋回路中涉及人與機之間4次交互，交互的過程是組件間能量和信息的傳遞過程，亦是系統風險性態的轉移過程，轉移變量(矩陣)具有較強的波動性和隨機性。若假定LNG動力船各組件交互過程中風險性態Ri→Rj(i,j=1,2,3,4)的轉移次數Pij(t)服從高斯分布，且組件交互過程不發生風險性態的突變，即風險的性態僅在Ri→Rj(|i-j|≤1之間轉移[16]，那么對原始數據進行多次仿真統計后，可確定任意隨機轉移矩陣變量值，考慮到轉移矩陣中需要下一個狀態轉移概率和為1，故需對變量進行行向量歸一化計算[18]。因篇幅問題，這里采用隨機變量來描述時間樣本值，分別表達各子系統間的轉移矩陣，見式(7)、(8)是某一個歸一化以后的變量樣本。

(7)

(8)

3.2.3 液化天然氣燃料使用過程風險性態耦合仿真

為辨析LNG 燃料使用期間船舶系統風險性態的耦合過程，以式(6)船舶系統和LNG燃料系統的初始狀態作為輸入，選取風險值較小的T2時刻外部環境變量作為環境輸入，經1 000次仿真之后,得到LNG動力船在前期準備階段和燃燒使用階段的過程風險仿真結果，如圖4所示。仿真結果表明：

1)在外部環境風險較低的情況下，LNG動力船燃料使用過程風險維持在較低的水平；

2)船舶系統和LNG燃料系統風險性態的變化過程基本一致，在系統運行的初始階段，風險略有上升，運行一段時間后，風險的性態維持在較為穩定的狀態；風險的變化體現了系統組件交互的過程，風險趨于穩定是系統組件間信息交互及時和人的控制行為有效的結果；

3)船舶系統的風險略高，說明在LNG燃料系統運行正常的情況下，LNG動力船系統風險主要來自船舶航行風險。

圖4 單一環境下LNG動力船風險仿真Fig.4 Process risk simulation of LNG-fueled vessels with single environment

3.2.4 過程風險性態靈敏性分析

為更好地描述LNG動力船航行過程風險的演化過程，同時對仿真模型的靈敏性進一步檢驗，對“B輪”從長江口錨地起錨航行至外高橋港區二期碼頭靠泊整個過程進行模擬仿真，對應LNG燃料系統的使用過程依次經過前期準備、燃燒使用和關停前吹掃3個階段。根據以上情景模式的設定，以式(6)作為船舶系統和LNG燃料系統的初始狀態，在時序的狀態下，依次輸入t0～t10時刻的環境變量，經1 000次仿真之后,得到LNG動力船航行過程風險仿真，如圖5所示。

圖5 真實環境下LNG動力船航行過程風險多次仿真Fig.5 Process risk simulation of LNG-fueled vessels during its voyage with real environment

3.3 液化天然氣動力船航行過程風險性態分析

對比圖4和圖5綜合分析，可以得到以下結論：

1)LNG動力船航行風險在燃料使用初始與結束階段風險值較高，在正常供應階段風險值呈現平穩態勢。初始階段，船舶系統和LNG燃料系統均呈現風險上升的趨勢，且船舶系統波動性略大；一方面，由于船舶處于啟動階段，設備運行狀態尚不穩定，組件間交互和控制需要一個過程，另一方面，LNG燃料系統在初始使用階段風險值較高，易發生燃料泄漏風險，甚至會出現燃料泄漏導致船舶失速。結束階段，LNG燃料系統同樣易發生燃料泄漏；

2)組件間的交互過程是LNG動力船航行風險控制的重要環節，信息反饋準確、及時和控制行為及時、有效是保障系統平穩運行的必要條件，為此對LNG動力船營運安全管理需重點關注：一是充分利用當前物聯網和人工智能技術，船舶上加裝更多的智能輔助設備及傳感器，以實時監控船舶系統和LNG燃料系統的實時狀態，一旦發現異常及時處理；二是加強對船員安全教育和業務培訓，尤其針對LNG特殊理化屬性的專業培訓，以提升其安全操作意識，規范其安全操作程序，以及處置LNG泄漏、火災等突發事件的應急能力；

3)在目前船舶工程技術和LNG燃料應用技術日趨成熟的背景下，LNG 系統和船舶系統本身均具有較高可靠性，LNG動力船航行風險主要表征為外部環境影響下的船舶航行系統風險，其次為由外部環境引發的LNG燃料耦合風險，如LNG泄漏導致火災、船舶失速等，因此傳統的交通風險依然是LNG動力船需要重點防范的風險；

4)LNG動力船營運過程風險實質上是船舶內在風險、LNG燃料附加風險以及時序變化下兩者與外部環境擾動的耦合和演化風險，燃料使用始末階段LNG的泄漏以及由此引發的火災、船舶失速風險需重點防范。

4 結論

1)本文以復雜系統為對象，引入STPA方法，通過系統危險、安全控制結構、不安全行為、不安全行為形成原因等分析步驟完成過程風險分析。實現經典事故致因理論的集成與發展，能達到復雜網絡下基于控制模式的風險分析目標。

2)構造LNG動力船航行和燃料使用的過程風險仿真模型，對設定場景條件下LNG動力船進港到靠泊全過程進行風險演化仿真。風險演化曲線符合“浴盆曲線”的規律，LNG動力船舶航行安全受外部環境干擾影響明顯。

下一步研究是建立外部環境干擾、組件失效、組件交互更為詳細的風險分析樹，通過定量方法對風險級別進行標識。