基于STPA的城市埋地燃氣管道第三方破壞風(fēng)險因素分析*

王文和 羅靜 易俊 易圖云 李鳳

(1.重慶科技學(xué)院安全工程學(xué)院 重慶 401331； 2.中國石油西南油氣田分公司重慶氣礦江北天然氣運銷部 重慶 400021； 3.重慶大學(xué) 重慶 401331)

0 引言

伴隨著“西氣東輸”、“煤改氣”等政策的實施，天然氣在我國得到了更加廣泛的應(yīng)用，隨之產(chǎn)生的燃氣管道失效問題也極大地威脅著人們的正常生活和人身財產(chǎn)安全。造成燃氣管道失效的原因有很多，例如腐蝕、老化、第三方破壞、地質(zhì)沉降等，國內(nèi)外的專業(yè)機構(gòu)對這些事故和原因進行了統(tǒng)計分析。

歐洲燃氣管道事故數(shù)據(jù)組織(Europe Gas pipeline Incident data Group，EGIG)對法國等17個國家1970—2016年發(fā)生的燃氣管道事故進行了統(tǒng)計(如表1所示)[1]，在所有管道失效原因中外部干擾以28.36%的比例位居第一，其次是腐蝕和施工與材料缺陷；英國陸上管道運營商協(xié)會(United Kingdom Onshore Pipeline Operators′ Association，UKOPA)對1962—2016年發(fā)生的燃氣管道事故進行了統(tǒng)計(如表2所示)[2]，外部干擾也排在第一；我國尚未建立統(tǒng)一的燃氣管道失效數(shù)據(jù)庫，但已有很多專家學(xué)者進行了這方面的統(tǒng)計。中國石油大學(xué)于紅紅[3]對我國2012—2016年的燃氣管道失效事故進行了統(tǒng)計，在所有原因中第三方破壞占47%；首都經(jīng)濟貿(mào)易大學(xué)王倩[4]對北京市2000—2005年和2007—2009年燃氣事故進行統(tǒng)計，第三方破壞以36.52%的占比位列第一。從統(tǒng)計結(jié)果中可以看出，第三方破壞在所有管道失效事故中占據(jù)主要地位。為此，本文將對城市埋地第三方破壞風(fēng)險因素進行分析，以期為第三方破壞風(fēng)險管理提供參考。

表1 燃氣管道失效原因及比例(EGIG，1970—2016年)

表2 燃氣管道失效原因及比例(UKOPA，1962—2016 年)

城鎮(zhèn)埋地管道第三方破壞風(fēng)險分析過程中，需要綜合考慮燃氣管道本身的質(zhì)量、設(shè)計、施工、外部環(huán)境、管理等多方面的因素。這些因素之間相互耦合、相互作用和影響，形成了一個復(fù)雜系統(tǒng)，因此在對復(fù)雜系統(tǒng)風(fēng)險分析方法的選擇上要求更高。目前常用的風(fēng)險分析方法有專家咨詢與調(diào)研法、檢查表法、事故樹分析法等，其中專家咨詢與調(diào)研法主觀性強；檢查表法對制表者的專業(yè)水平要求較高[5]；事故樹分析法得到的是與事故線性相關(guān)的因素而忽略了非線性因素。因此本文將引入一種基于系統(tǒng)理論的分析方法——系統(tǒng)理論過程分析法(System Theoretic Process Analysis,STPA)，對城市埋地燃氣管道第三方破壞風(fēng)險因素進行分析。

1 STAMP基本理論

STAMP是基于系統(tǒng)論的危險性分析方法，該方法從系統(tǒng)論的角度，將系統(tǒng)視為一個整體，把安全看作控制問題，認(rèn)為事故是由不充分的控制和相關(guān)約束的缺失所造成的。在此模型中最基本概念不是事件，而是約束。事故的根源被認(rèn)為是系統(tǒng)在設(shè)計、開發(fā)和運行中與安全有關(guān)的約束缺乏控制或充分執(zhí)行，從而導(dǎo)致組件異常交互。在系統(tǒng)中實施分層控制，上層約束下層，下層將信息反饋給上層，上層再針對反饋的信息調(diào)整對下層的約束，實現(xiàn)動態(tài)平衡。在此基礎(chǔ)上，一旦發(fā)生組建失效、外部干擾、以及系統(tǒng)內(nèi)部組件交互問題不能妥善解決等情況時，事故就會發(fā)生。

2 STPA分析方法

STPA是一種基于STAMP致因模型的風(fēng)險分析方法，能識別設(shè)計(包括軟件設(shè)計)、部件交互事故、認(rèn)知復(fù)雜決策的失誤、促使事故發(fā)生的社會、組織和管理因素，適用于系統(tǒng)全生命周期[6]。STPA在運用過程中涉及功能框圖、需求、系統(tǒng)危險安全約束以及部件安全需求[7]。具體分析步驟如下：

(1)定義系統(tǒng)安全風(fēng)險和關(guān)聯(lián)的安全約束。事故是意外的、不期望的損失事件，這些損失可能涉及人員傷亡，或其他重大的損失，包括任務(wù)、設(shè)備、經(jīng)濟及信息損失[8]。這樣的安全問題被看作控制問題，可以通過在設(shè)計、施工、運營中實施恰當(dāng)?shù)陌踩s束來避免事故的發(fā)生。

(2)定義安全控制結(jié)構(gòu)。在系統(tǒng)理論中，系統(tǒng)就是一種分層結(jié)構(gòu)，上一層給下一層實施控制，下層向上層進行反饋。當(dāng)實施的控制存在缺陷時，事故就可能發(fā)生。控制層之間的通信通道如圖1所示。

圖1 控制層間通信通道

(3)識別潛在不充分控制。風(fēng)險是由不恰當(dāng)?shù)目刂扑鶎?dǎo)致，風(fēng)險辨識需要找出不充分的控制。不充分控制的發(fā)生有如下原因：①未提供或者沒有遵守安全所要求的控制；②提供一個不安全的控制；③過早或過晚提供可能安全的控制，即錯誤的時機或時序；④安全的控制結(jié)束的太快或作用事件太長[8]。

(4)分析潛在的不安全控制行為原因。對于每一個不安全的控制，要檢查控制回路的各個部分以確定是否會導(dǎo)致這些控制發(fā)生，并且需要考慮隨著事件的推移這些控制會如何退化并建立防護[8]。南希·萊文森將事故致因分為3類：控制器操作；執(zhí)行器和被控過程的行為；控制器和決策者之間的溝通和協(xié)作，如圖2所示。

3 燃氣管道第三方破壞風(fēng)險因素分析

3.1 燃氣管道第三方破壞系統(tǒng)危險和安全約束

STPA方法實施的第一步為確定系統(tǒng)存在的危險、系統(tǒng)級的安全約束，以及在實現(xiàn)這些安全約束過程中需要采取的控制。在此系統(tǒng)中存在的危險為運行的燃氣管道受到來自第三方的破壞致使燃氣管道泄漏，第三方破壞主要形式有占壓、交通荷載、機械挖掘等幾種形式。為保障系統(tǒng)安全運行，降低事故發(fā)生概率，此系統(tǒng)應(yīng)具備如表3所示安全約束。

圖2 導(dǎo)致危險的控制缺陷分類

表3 埋地燃氣管道第三方破壞的設(shè)計約束

3.2 定義安全控制結(jié)構(gòu)

準(zhǔn)確地繪制安全控制結(jié)構(gòu)圖是應(yīng)用STPA的基礎(chǔ)。研究者對我國某大型燃氣企業(yè)深入地調(diào)研并結(jié)合相關(guān)資料，繪制了燃氣管道第三方破壞系統(tǒng)安全控制結(jié)構(gòu)圖，如圖3所示。該圖主要分為2個部分——系統(tǒng)開發(fā)和系統(tǒng)運營，開發(fā)和運營過程中都涉及到了系統(tǒng)的安全，任何一個部分都不可能獨立地進行，在運營過程中的安全性有一部分來源于設(shè)計和開發(fā)過程，并受到運營過程中實施的控制的影響，因此2個部分存在信息的流通并相互影響。

得到上述安全控制結(jié)構(gòu)后下一步是進行缺陷分析，即將安全需求和約束映射到結(jié)構(gòu)中每一個組件，分析目前設(shè)計是否存在漏洞，并對安全控制結(jié)構(gòu)進行評估以確定需求和約束是否有效實施。為此對于安全控制結(jié)構(gòu)中的每一個組件都需要確定其整體作用、責(zé)任、控制、過程模型需求、協(xié)調(diào)和溝通需求、背景(環(huán)境和行為塑造)因素等信息，這些信息極大地影響著約束的執(zhí)行和信息的反饋[8]。

3.3 識別潛在不充分控制行為

STPA理論將危險控制分為4種類型：未提供或不遵守安全所要求的控制；提供不安全的控制從而導(dǎo)致危險；所提供的潛在安全控制太晚、過早或無序；控制結(jié)束太快或應(yīng)用時間過長(對連續(xù)或非離散的控制而言)。結(jié)合圖2對燃氣管道第三方破壞系統(tǒng)中每一個組件以及每個組件的責(zé)任進行分析，辨識出每一個可能導(dǎo)致危險的危險控制，如表4所示。

3.4 風(fēng)險因素分析

通過對安全控制結(jié)構(gòu)中組件的控制進行危險分析，辨識出了可能導(dǎo)致系統(tǒng)危險的控制行為，下一步就是要對識別出來的危險控制的控制回路的各個部分進行辨識，分析出違反部件安全約束導(dǎo)致危險控制的場景即辨識危險是如何發(fā)生的。要生成致因場景，就需要將危險控制代入部件的過程模型中，如圖2所示。為了全面地辨識導(dǎo)致系統(tǒng)危險的致因因素，需要對每一個危險控制進行辨識。

以第三方作業(yè)前未與燃氣單位技術(shù)交底為例，圖4運用過程模型對其進行了致因分析。此過程模型以燃氣單位HSE辦公室作為控制器，對技術(shù)交底過程進行控制。控制器實現(xiàn)的方式是對第三方進行安全宣傳，使第三方了解作業(yè)前應(yīng)該進行的流程，使其具備一定的安全意識。具體操作需要第三方來執(zhí)行，整個過程巡檢人員需要進行監(jiān)督，當(dāng)巡檢人員發(fā)現(xiàn)未技術(shù)交底的作業(yè)時，應(yīng)向HSE辦公室進行反饋，控制器再針對反饋結(jié)果對控制進行調(diào)整以實現(xiàn)動態(tài)的控制過程，在此過程中存在的風(fēng)險因素如表5所示。

圖3 燃氣管道系統(tǒng)安全控制結(jié)構(gòu)

表4 辨識危險系統(tǒng)的行為

圖4 未技術(shù)交底的致因分析

表5 未技術(shù)交底的風(fēng)險因素

依次對所有的危險控制進行致因分析，可以得到如表6所示24個埋地燃氣管道第三方破壞風(fēng)險因素。

表6 第三方破壞風(fēng)險因素

3.5 風(fēng)險管理建議措施

從分析結(jié)果來看，埋地燃氣管道第三方破壞的風(fēng)險控制，不應(yīng)該局限于對第三方的控制，更多的應(yīng)該從根源入手。

(1)加強對燃氣管道設(shè)計的管理。設(shè)計不僅需要滿足相關(guān)的標(biāo)準(zhǔn)，更應(yīng)該與現(xiàn)場實際相結(jié)合，當(dāng)現(xiàn)場埋深不能滿足設(shè)計要求時，要設(shè)計合理的保護措施。在施工過程中，嚴(yán)格按照流程進行設(shè)計變更，確保管道埋深走向等情況能正確記錄備案。

(2)加強對管道建設(shè)單位的選擇、監(jiān)督和管理。建設(shè)單位人員的安全意識和專業(yè)技能，直接關(guān)系到埋地燃氣管道的質(zhì)量和安全性，而未達到要求的燃氣管道，更容易受到來自第三方的破壞。因此在合作單位的選擇上應(yīng)該更嚴(yán)謹(jǐn)慎重，加強過程的監(jiān)督和管理。

(3)建立健全燃氣管道巡查、維護等制度。經(jīng)過長時間的使用、地理環(huán)境變化等，燃氣管道的埋深、質(zhì)量都將不再符合安全需求，及時的維護和整改是非常必要的。同時，巡查還能直接發(fā)現(xiàn)來自第三方的破壞，及時地溝通和技術(shù)交底以避免第三方的破壞。

4 結(jié)語

采用基于系統(tǒng)思維的安全分析方法，通過建立系統(tǒng)安全控制結(jié)構(gòu)，找出危險控制并進一步分析控制缺陷的致因，得到城市埋地燃氣管道第三方破壞的風(fēng)險因素。該方法貼合工程實際，且條理清晰，過程嚴(yán)謹(jǐn)，得到的結(jié)果真實可信，為系統(tǒng)優(yōu)化、風(fēng)險控制提供了理論依據(jù)。