基于STAMP模型的電網(wǎng)企業(yè)事故風(fēng)險控制模型*

武紅燁 閆振宏 韓樹楠 郭曉雙 許開立 徐曉虎 孫恩吉

(1. 東北大學(xué)資源與土木工程學(xué)院 沈陽 110819； 2. 國網(wǎng)遼寧省電力有限公司 沈陽 110006； 3. 中國安全生產(chǎn)科學(xué)研究院 北京 100012)

0 引言

電網(wǎng)企業(yè)的生產(chǎn)運(yùn)營環(huán)節(jié)眾多，設(shè)備種類繁雜，自動化程度較高。生產(chǎn)運(yùn)營過程中涉及大量的輸電、變電、配電設(shè)備，而且建設(shè)、改造項(xiàng)目眾多，檢維修作業(yè)頻繁，存在觸電、高處墜落、火災(zāi)、爆炸、電網(wǎng)大面積停電、信息網(wǎng)絡(luò)癱瘓等安全風(fēng)險。安全生產(chǎn)工作面臨問題復(fù)雜，安全管理工作難度大。多年來，電網(wǎng)企業(yè)高度重視安全生產(chǎn)工作，安全管理逐漸規(guī)范化、全面化，事故預(yù)防工作成績顯著。在電網(wǎng)企業(yè)智能化、信息化、自動化發(fā)展的背景下，由于缺少用于指導(dǎo)事故預(yù)防與風(fēng)險防控的理論模型，使得電網(wǎng)企業(yè)事故預(yù)防和風(fēng)險防控工作缺少系統(tǒng)而全面的方向性指導(dǎo)，其安全生產(chǎn)水平進(jìn)一步提升受到了很大制約。

SHAABAN M[1]針對智能電網(wǎng)提出了一種量化風(fēng)險度量的安全評估框架，關(guān)志濤等[2]提出了智能電網(wǎng)信息安全技術(shù)體系建設(shè)設(shè)想，以保障智能電網(wǎng)核心業(yè)務(wù)系統(tǒng)安全、穩(wěn)定運(yùn)行。STAMP(Systems-Theoretic Accident Model and Processes)模型是由美國麻省理工學(xué)院LEVESON N教授[3]于2004年提出的一種新的事故預(yù)防與風(fēng)險控制模型，該模型將事故發(fā)生的根本原因從安全問題轉(zhuǎn)換為控制問題，即認(rèn)為事故的發(fā)生不存在某個根本原因，事故的原因是系統(tǒng)中的安全約束未執(zhí)行或執(zhí)行不充分導(dǎo)致的系統(tǒng)內(nèi)各組件之間產(chǎn)生不安全交互，并最終產(chǎn)生危險導(dǎo)致事故。

STAMP模型可為電網(wǎng)企業(yè)事故預(yù)防與風(fēng)險控制模型構(gòu)建提供指導(dǎo)和借鑒，但STAMP模型主要用于航空等其他領(lǐng)域的事故預(yù)防，未考慮電網(wǎng)企業(yè)特點(diǎn)，不能完全適用于電網(wǎng)企業(yè)。本文基于系統(tǒng)安全和風(fēng)險控制理論與STAMP模型理念，結(jié)合電網(wǎng)企業(yè)本質(zhì)安全管理實(shí)踐，展開對電網(wǎng)企業(yè)安全管理體系與事故風(fēng)險控制模型的研究，開發(fā)了基于STAMP模型的電網(wǎng)企業(yè)事故風(fēng)險控制模型，用于指導(dǎo)電網(wǎng)企業(yè)事故預(yù)防及風(fēng)險控制工作。

1 STAMP模型特點(diǎn)

事故預(yù)防與風(fēng)險控制模型是調(diào)查和分析事故、預(yù)防事故以及確定系統(tǒng)是否適合使用(風(fēng)險評估)的基礎(chǔ)。事故調(diào)查及風(fēng)險分析往往采用模型進(jìn)行指導(dǎo)，適用的模型也是進(jìn)行危害分析和風(fēng)險評估技術(shù)的基礎(chǔ)。因?yàn)槟Ｐ鸵话銜o出事故預(yù)防與風(fēng)險控制的有關(guān)因素及流程，可以避免僅考慮某些事件和條件，使得事故預(yù)防與風(fēng)險分析工作考慮更為全面。

STAMP模型(系統(tǒng)理論事故模型與流程)系統(tǒng)理論是分析事故，特別是系統(tǒng)事故的一種有效方法[1]。STAMP模型認(rèn)為，事故是由于對開發(fā)、設(shè)計的相關(guān)安全約束的不充分控制或執(zhí)行而導(dǎo)致的。其次，系統(tǒng)的運(yùn)行可以被視為控制問題，安全性由嵌入在自適應(yīng)社會技術(shù)系統(tǒng)中的控制結(jié)構(gòu)來管理。控制結(jié)構(gòu)的目標(biāo)是對系統(tǒng)開發(fā)(包括開發(fā)過程本身和最終的系統(tǒng)設(shè)計)以及系統(tǒng)運(yùn)營強(qiáng)制執(zhí)行約束。在STAMP模型框架中，了解事故發(fā)生的原因需要確定控制結(jié)構(gòu)無效的原因，預(yù)防事故需要設(shè)計一個能夠強(qiáng)制執(zhí)行必要約束的控制結(jié)構(gòu)。構(gòu)成STAMP的三種基本結(jié)構(gòu)包括安全約束、分層安全控制結(jié)構(gòu)和過程模型。

與傳統(tǒng)方法比較[4-5]，STAMP模型是根據(jù)基于自適應(yīng)反饋機(jī)制的控制層次來描述系統(tǒng)和事故，而不是基于事件將系統(tǒng)和事故分解為結(jié)構(gòu)組件和事件流的模型方法。STAMP模型不是一個像其他傳統(tǒng)模型采用自底向上的可靠性方法，而是根據(jù)基于系統(tǒng)理論為基礎(chǔ)的、自頂向下的系統(tǒng)工程模型，模型在構(gòu)建設(shè)計時就充分考慮安全性并融入設(shè)計中，避免了開發(fā)設(shè)計后期更改的損失，因此該模型方法相比其他自底向上的可靠性方法更加經(jīng)濟(jì)高效。該模型的優(yōu)點(diǎn)在于更加適用于復(fù)雜性和耦合度較高的事故與風(fēng)險控制，與傳統(tǒng)模型比較，不再將事故與系統(tǒng)看作事件鏈或分解為各個結(jié)構(gòu)組件，避免了選擇事件及事件鏈的主觀性，分析事故時考慮更加全面，如無法包含在事件鏈內(nèi)的系統(tǒng)因素。

2 基于STAMP模型的電網(wǎng)企業(yè)事故風(fēng)險控制模型構(gòu)建

電網(wǎng)企業(yè)的特殊性與特點(diǎn)對事故預(yù)防與風(fēng)險控制模型以及基于它們的事故預(yù)防和風(fēng)險評估技術(shù)都提出了挑戰(zhàn)，因此需要建立應(yīng)對上述電網(wǎng)企業(yè)特點(diǎn)的系統(tǒng)事故預(yù)防與風(fēng)險控制模型，用于指導(dǎo)智能化、信息化、自動化系統(tǒng)事故預(yù)防和風(fēng)險控制工作。

基于系統(tǒng)安全和風(fēng)險控制理論，結(jié)合電網(wǎng)企業(yè)本質(zhì)安全實(shí)際，在STAMP模型理念的基礎(chǔ)上開發(fā)了基于本質(zhì)安全及系統(tǒng)安全理念的事故風(fēng)險控制模型，用于指導(dǎo)電網(wǎng)企業(yè)事故預(yù)防及風(fēng)險控制工作。基于STAMP模型的電網(wǎng)企業(yè)事故風(fēng)險控制模型框架結(jié)構(gòu)如圖1所示。

該模型基于電網(wǎng)企業(yè)事故預(yù)防及風(fēng)險防控實(shí)際，不僅考慮了電網(wǎng)系統(tǒng)運(yùn)營事故預(yù)防及風(fēng)險防控的影響，同時考慮了電網(wǎng)企業(yè)相關(guān)方對事故預(yù)防及風(fēng)險防控的影響，該影響包括了電網(wǎng)系統(tǒng)開發(fā)設(shè)計方、施工安裝單位等都要具備系統(tǒng)安全、本質(zhì)安全的理念。此外，該模型也強(qiáng)調(diào)系統(tǒng)運(yùn)營過程中物的本質(zhì)安全需要不斷提升，更強(qiáng)調(diào)不斷提升人的本質(zhì)安全。

如圖1所示的該模型有3個基本的層次控制結(jié)構(gòu)，第1個層次控制結(jié)構(gòu)用于系統(tǒng)開發(fā)、設(shè)計(左側(cè))，第2個層次控制結(jié)構(gòu)用于系統(tǒng)運(yùn)營(中間)，第3個層次控制結(jié)構(gòu)用于系統(tǒng)建設(shè)(右側(cè))，它們之間具有交互作用。如圖2所示，系統(tǒng)開發(fā)時必須開發(fā)設(shè)計安全的系統(tǒng)或產(chǎn)品，系統(tǒng)運(yùn)營過程中的安全性在一定程度上取決于原始設(shè)計與施工安裝情況，還取決于對運(yùn)營系統(tǒng)操作的有效控制。系統(tǒng)開發(fā)、設(shè)計單位與施工安裝單位必須向運(yùn)營單位傳達(dá)有關(guān)安全條件信息、變更報告、檢舉舉報、事故與事件報告等信息。而運(yùn)營單位反過來又需要對系統(tǒng)開發(fā)、設(shè)計單位與施工安裝單位進(jìn)行安全約束，如資質(zhì)資格審查、設(shè)備/人員安全保障措施審查以及相關(guān)安全檢查等。而系統(tǒng)開發(fā)、設(shè)計單位需要給系統(tǒng)施工安裝單位提供相應(yīng)的安全技術(shù)指導(dǎo)，施工安裝單位反過來需要向設(shè)計單位提供產(chǎn)品施工安裝設(shè)計安全問題的反饋。

圖1 基于STAMP模型的電網(wǎng)企業(yè)事故風(fēng)險控制模型

圖2 1～3控制級別

在系統(tǒng)設(shè)計開發(fā)、系統(tǒng)運(yùn)營和系統(tǒng)建設(shè)的最高控制級別等級是立法機(jī)構(gòu)。立法機(jī)構(gòu)通過制定法律來保障系統(tǒng)安全，對于法律中規(guī)定的管制措施是否有效可從多渠道進(jìn)行反饋，如通過政府監(jiān)管監(jiān)察部門、行業(yè)協(xié)會、工會以及政府報告進(jìn)行反饋，當(dāng)然系統(tǒng)事故也是一種反饋。

第2控制級別包括政府監(jiān)管監(jiān)察部門、行業(yè)協(xié)會和工會。在這一層級產(chǎn)生并對企業(yè)實(shí)施的約束措施通常以法規(guī)、規(guī)章、標(biāo)準(zhǔn)和資格審查的形式傳遞。而企業(yè)需要通過提供安全條件信息、變更報告、檢舉舉報、事故和事件報告等形式進(jìn)行反饋。例如，在電網(wǎng)系統(tǒng)運(yùn)營過程中，如果重要用戶用電受到影響時，電網(wǎng)企業(yè)需要向相關(guān)供電、保電監(jiān)管部門進(jìn)行事件報告。此外，在系統(tǒng)運(yùn)營過程中，通常還需要定期向監(jiān)管部門提交運(yùn)營報告。

3 事故風(fēng)險控制模型層次控制結(jié)構(gòu)要素分析

3.1 系統(tǒng)開發(fā)設(shè)計控制結(jié)構(gòu)

在系統(tǒng)開發(fā)設(shè)計控制結(jié)構(gòu)中(如圖3所示)，政府監(jiān)管監(jiān)察部門、行業(yè)協(xié)會等部門對系統(tǒng)開發(fā)設(shè)計的約束也是通過要求開發(fā)設(shè)計單位嚴(yán)格按照法規(guī)、規(guī)章、標(biāo)準(zhǔn)進(jìn)行開發(fā)設(shè)計并對開發(fā)設(shè)計單位進(jìn)行資格審查來實(shí)現(xiàn)的。開發(fā)設(shè)計單位通常通過制定安全方針原則、安全標(biāo)準(zhǔn)和安全制度對開發(fā)設(shè)計項(xiàng)目進(jìn)行約束，并為開發(fā)設(shè)計項(xiàng)目進(jìn)行安全投入，而開發(fā)設(shè)計項(xiàng)目管理者需通過問題反饋、事件報告、風(fēng)險評估報告的形式向開發(fā)設(shè)計單位反饋開發(fā)設(shè)計項(xiàng)目有關(guān)情況。

圖3 系統(tǒng)開發(fā)設(shè)計控制結(jié)構(gòu)

項(xiàng)目開發(fā)設(shè)計管理者需要求開發(fā)設(shè)計項(xiàng)目人員嚴(yán)格按照安全標(biāo)準(zhǔn)來開發(fā)設(shè)計項(xiàng)目有關(guān)文檔，開發(fā)設(shè)計項(xiàng)目文檔有關(guān)人員通過產(chǎn)品、工藝危險分析報告與設(shè)計文檔進(jìn)展報告的方式向項(xiàng)目開發(fā)設(shè)計管理者反饋設(shè)計文檔有關(guān)情況。設(shè)計文檔中提出開發(fā)設(shè)計產(chǎn)品安全要求、有關(guān)標(biāo)準(zhǔn)與驗(yàn)收測試要求，并由產(chǎn)品生產(chǎn)方技術(shù)人員進(jìn)行實(shí)施與確認(rèn)，根據(jù)實(shí)施確認(rèn)過程與結(jié)果向開發(fā)設(shè)計文檔有關(guān)人員反饋驗(yàn)收測試報告、危險分析報告與審核結(jié)果報告。實(shí)施確認(rèn)無異議后，產(chǎn)品生產(chǎn)方通過制定產(chǎn)品、工藝安全標(biāo)準(zhǔn)與驗(yàn)收要求約束生產(chǎn)管理部門，生產(chǎn)管理部門提交確認(rèn)報告后進(jìn)行產(chǎn)品制造。

生產(chǎn)管理部門通過制定生產(chǎn)流程文件約束產(chǎn)品制造部門的產(chǎn)品制造，產(chǎn)品制造部門向生產(chǎn)管理部門提供生產(chǎn)過程中的安全報告、性能檢測報告、安全檢查報告的反饋，如有相關(guān)變更，需反饋?zhàn)兏鼒蟾妗．a(chǎn)品制造后，產(chǎn)品制造部門需要根據(jù)產(chǎn)品危險分析結(jié)果、各方反饋記錄、產(chǎn)品設(shè)計原理進(jìn)行維修與改進(jìn)，并為用戶反饋維修與改進(jìn)報告。

3.2 系統(tǒng)建設(shè)控制結(jié)構(gòu)

在系統(tǒng)建設(shè)控制結(jié)構(gòu)中(如圖4所示)，政府監(jiān)管監(jiān)察部門、行業(yè)協(xié)會等部門對系統(tǒng)施工安裝的約束也是通過要求施工安裝單位嚴(yán)格按照法規(guī)、規(guī)章、標(biāo)準(zhǔn)進(jìn)行施工安裝并對施工安裝單位進(jìn)行資格審查來實(shí)現(xiàn)的。同時，施工安裝單位需要依據(jù)系統(tǒng)設(shè)計開發(fā)單位提供的設(shè)計文檔中的安全標(biāo)準(zhǔn)與驗(yàn)收要求開展項(xiàng)目，并且施工安裝單位需要向設(shè)計開發(fā)單位負(fù)責(zé)項(xiàng)目文檔設(shè)計人員反饋設(shè)計文檔問題報告、審核結(jié)果報告與變更報告。

圖4 系統(tǒng)建設(shè)控制結(jié)構(gòu)

施工安裝單位通常通過制定安全方針政策、安全標(biāo)準(zhǔn)和安全制度對施工安裝項(xiàng)目進(jìn)行約束，并為施工安裝項(xiàng)目進(jìn)行安全投入，而施工安裝項(xiàng)目管理者需通過問題(事件)報告、風(fēng)險評估報告、變更報告的形式向施工安裝單位反饋施工安裝項(xiàng)目有關(guān)情況，當(dāng)然，知情者也可向施工安裝單位檢舉施工安裝項(xiàng)目有關(guān)情況。

施工安裝項(xiàng)目管理者需要組織項(xiàng)目有關(guān)人員對施工安裝設(shè)計文檔中有關(guān)標(biāo)準(zhǔn)、圖紙、危險分析、審核情況進(jìn)行實(shí)施前確認(rèn)，根據(jù)實(shí)施確認(rèn)結(jié)果向項(xiàng)目管理者反饋?zhàn)兏鼒蟾妗栴}報告與審核結(jié)果報告。實(shí)施確認(rèn)無異議后，施工安裝項(xiàng)目管理者依照安全標(biāo)準(zhǔn)與驗(yàn)收要求約束施工安裝項(xiàng)目有關(guān)管理人員及施工隊(duì)，施工安裝項(xiàng)目有關(guān)管理人員及施工隊(duì)向施工安裝項(xiàng)目管理者提交確認(rèn)報告。施工安裝項(xiàng)目通過施工組織設(shè)計、安全技術(shù)交底等約束施工安裝過程，同時通過建設(shè)方、監(jiān)理方、施工方對施工安裝過程進(jìn)行監(jiān)控，施工隊(duì)組、項(xiàng)目有關(guān)管理人員需要向施工安裝項(xiàng)目管理者、建設(shè)方、監(jiān)理方反饋施工安裝項(xiàng)目整體及階段驗(yàn)收測試報告、監(jiān)督檢查記錄與事件報告，直至項(xiàng)目竣工。竣工后，項(xiàng)目管理者向系統(tǒng)運(yùn)營管理者提供危險分析報告、運(yùn)行調(diào)試報告、問題(事件)報告并提出驗(yàn)收申請。當(dāng)然，系統(tǒng)運(yùn)營管理方作為項(xiàng)目建設(shè)方通過整改要求、變更通知、審核驗(yàn)收對施工安裝項(xiàng)目進(jìn)行約束。

3.3 系統(tǒng)運(yùn)營控制結(jié)構(gòu)

在系統(tǒng)運(yùn)營控制結(jié)構(gòu)中(如圖5所示)，政府和其他部門對系統(tǒng)運(yùn)營的約束必須反映在系統(tǒng)運(yùn)營公司安全制度、標(biāo)準(zhǔn)和安全投入中。系統(tǒng)運(yùn)營公司通常通過制定安全制度、標(biāo)準(zhǔn)對運(yùn)營管理部門進(jìn)行約束，并為其進(jìn)行安全投入，而運(yùn)營管理部門通過運(yùn)營報告的形式對系統(tǒng)運(yùn)營公司進(jìn)行反饋。

在運(yùn)營管理中，涉及到物的本質(zhì)安全與人的本質(zhì)安全。物的本質(zhì)安全是指運(yùn)營系統(tǒng)、運(yùn)營組件以及控制回路的本質(zhì)安全。圖5中物的本質(zhì)安全是一個典型的控制回路，其中自動控制器由人工控制器監(jiān)督。虛線表示主管人員可以直接訪問系統(tǒng)狀態(tài)信息(不是由計算機(jī)提供)，并且按照規(guī)程來操作受控進(jìn)程，而不是通過計算機(jī)命令。運(yùn)營管理部門向此回路提供工作指令(作業(yè)指導(dǎo)書、操作規(guī)程、檢維修規(guī)程)，控制回路通過問題(事件)報告、狀態(tài)評估報告以及變更記錄的形式向運(yùn)營管理部門進(jìn)行反饋。人的本質(zhì)安全指在設(shè)備設(shè)施運(yùn)行過程中人員應(yīng)具有相應(yīng)的組織管理能力、安全操作能力以及應(yīng)急處置能力，運(yùn)營管理部門通過選人、用人標(biāo)準(zhǔn)進(jìn)行約束，并對人員進(jìn)行教育培訓(xùn)，人員管理部門通過變更報告與問題報告的形式向運(yùn)營管理部門進(jìn)行反饋。同時，設(shè)備及控制系統(tǒng)回路通過告警等形式向有關(guān)人員進(jìn)行提示，人員通過巡檢對設(shè)備系統(tǒng)運(yùn)行狀態(tài)進(jìn)行確認(rèn)。另外作業(yè)人員依據(jù)操控流程對設(shè)備系統(tǒng)進(jìn)行操控。

圖5 系統(tǒng)運(yùn)營控制結(jié)構(gòu)

在系統(tǒng)運(yùn)營過程中，如設(shè)備設(shè)施發(fā)生故障或異常、出現(xiàn)事件、需要變更、通過性能檢測發(fā)現(xiàn)不符合要求，運(yùn)營管理部門需要向設(shè)計開發(fā)單位負(fù)責(zé)維修與改進(jìn)的部門進(jìn)行告知，設(shè)計開發(fā)單位維修與改進(jìn)的部門需要通過軟件修改、硬件更換、操作流程修訂等方式向系統(tǒng)運(yùn)營部門及設(shè)備設(shè)施操控人員進(jìn)行反饋。如系統(tǒng)運(yùn)營過程中存在施工安裝安全質(zhì)量問題或因此影響設(shè)備系統(tǒng)正常運(yùn)行，系統(tǒng)運(yùn)營管理部門可向系統(tǒng)施工安裝項(xiàng)目管理者提出整改要求，如需變更，提出變更通知，并重新對項(xiàng)目進(jìn)行審核驗(yàn)收。

4 結(jié)論

基于STAMP模型的電網(wǎng)企業(yè)事故風(fēng)險控制模型全面考慮了電網(wǎng)企業(yè)智能化、信息化、自動化運(yùn)營的特點(diǎn)，結(jié)合電網(wǎng)企業(yè)安全生產(chǎn)實(shí)際，融合系統(tǒng)安全和本質(zhì)安全理念，從系統(tǒng)開發(fā)設(shè)計、運(yùn)營和建設(shè)3個環(huán)節(jié)出發(fā)，通過各環(huán)節(jié)層次控制結(jié)構(gòu)要素間約束與反饋分析，從而實(shí)現(xiàn)電網(wǎng)企業(yè)事故預(yù)防和風(fēng)險控制要素及過程的全面管控。