朱明昌 黄立文，2 谢 澄▲ 石 峰 陶可健

（1.武汉理工大学航运学院 武汉 430063；

2.武汉理工大学内河航运技术湖北省重点实验室 武汉 430063；3.中海油能源发展股份有限公司采油服务分公司 天津 300452）

0 引 言

近年来，随着全球各国及国际组织加强对环境保护的重视程度，LNG因其是1种安全、廉价、高效的清洁能源，在可持续发展的能源领域内得到了极为广泛的应用。LNG海上运输有着调配方便、操作灵活、供应充足等优势，国际LNG船队规模及贸易密集度不断扩大，LNG船对船过驳作业需求量也在不断增加。LNG船对船过驳是将货物LNG从母船转运至子船的作业方式，从事海上运输业务的LNG船由于尺寸、吃水等原因无法进江，发生紧急事故或有运输业务需求时需要进行过驳作业，一般过驳的地点选择在港口、锚地，计划进行过驳的2船到达指定地点锚泊和系泊，连接LNG过驳管线，检查液货舱系统和相关设备，连接过驳软管，打开人工和自动阀门，最后启动泵。在过驳作业完成后，关闭泵，吹扫管路，然后断开软管。LNG船对船过驳作业十分复杂，整个作业过程严格按照LNG过驳规定的操作顺序执行，作业安全涉及2船的设备及人为操作等因素，且作业空间有限，一旦发生事故后果不堪设想[1-3]。

随着LNG船对船过驳新技术和自动控制设备的引进，作业过程中面临着新的安全挑战，LNG船对船过驳系统主要由设备硬件、软件、泵、软管、管线、ESD、ERS，以及众多的传感器和控制阀等组成[4]，在特定情况下还需人工干预控制。在系统中，硬件故障、软件故障、组件与控制器之间的交互问题和数据输入错误或延迟进入计算机都是造成事故发生的原因。目前对LNG过驳作业领域内的安全性研究分析较少，且影响过驳系统安全的因素众多、各因素之间的关联性较强，对LNG船对船过驳的安全性分析及事故模型构建提出了难题。

目前，国内外对LNG船对船过驳作业的研究较少，在LNG船舶作业安全研究方面，国内外学者多采用故障树（FTA）、事故树分析（ETA）、故障模式影响及危害度分析（FMECA）等传统方法[5]。Erik Vanem等[6]用事故树的方法对全球远洋液化天然气运输船的碰撞、搁浅、火灾和爆炸，以及在终端装卸LNG时发生的事故进行风险评估，得出发生碰撞风险最高。陈星星[7]基于故障树理论，建立以LNG船装卸作业泄漏事故为顶事件的故障树模型，并对其进行定性和定量分析，求得各自的最小割集和结构重要度系数并排序。张帆等[8]将综合安全评估（FSA）引入到LNG燃料动力船安全性研究中，结合LNG储罐部件基础泄漏概率和事故后果模拟结果，对LNG燃料动力船坝间航行、过闸、锚泊及燃料加注等典型情景进行风险分析。然而，传统安全性分析方法都是从线性角度针对失效关键部件进行独立分析，未能考虑各部件之间的耦合性和协调性，尤其是对设备缺陷、软件出错、人为因素和非线性等问题缺乏准确的描述与分析，致使在复杂过驳过程和复杂系统的安全性分析中具有很大的局限性。

基于系统理论的安全性分析方法STPA在航空航天、交通运输等安全领域已经逐步开展研究应用，郑磊等[9]针对飞机在降落过程中的机轮刹车系统的安全性问题，构建了STAMP控制关联模型，运用STPA方法有效地分析了系统中不安全控制的关键原因，并对其不安全控制行为进行仿真研究，验证了方法的有效性；孟祥坤等[10]针对深水井控的复杂性和动态性特点，将井控系统在钻井过程中的安全性问题作为系统控制和反馈问题，运用STPA系统性安全评估方法分析了深水井控不安全的控制行为及关键因素，解决了复杂系统部件之间交互作用的评价问题；Chen等[11]将STPA应 用于1个子尺 度 无 人机(UAV)系统起飞危险性分析，论证了STPA应用于复杂无人机系统的潜在可行性。识别了飞机起飞过程中的不安全控制行为及其相应的控制缺陷，规定了不同层次的安全约束条件。基于STAMP/STPA的安全性分析方法是将安全问题转化为控制问题，通过施加安全约束、建立分层控制结构和分析过程模型以识别系统各阶段存在的不安全控制行为，分析事故原因[12]。然而，基于STAMP/STPA在船舶交通领域的工业作业过程的安全性分析研究几乎没有，本文对于该方法在LNG船对船过驳复杂系统的安全性问题研究提出应用，STPA方法侧重于分析系统的动态行为，能够加强人、环境、软件、设备在过驳作业过程中之间的关联、有效识别更多非线性问题，同时考虑到系统中未发生故障组件之间的不安全交互相关问题，准确地识别出在船舶过驳作业过程中的潜在安全性问题。

针对以上现实背景以及LNG船对船过驳作业安全所面临的挑战，本文以LNG船对船过驳作业为研究对象，提出基于STPA方法对LNG船对船过驳系统进行安全性分析，构建过驳系统的STAMP控制关联模型，识别系统级事故和危险，从控制反馈的角度转化成3类主要缺陷的过驳系统潜在不安全控制行为，根据改进的STPA致因场景分析模型，分析了产生系统级危险的关键致因，并根据控制原理提出相应的建议措施。

1 STAMP/STAP工作原理

美国N.Leveson教授[13]提出了STAMP模型，STAMP模型是基于系统理论和控制理论，把复杂系统的安全性分析当作1个控制问题来解决。STAMP将复杂系统视为1个多层分层结构，通过控制结构关系来构建模型，表示上层对下层的控制要求，通过高层向低层施加控制要求和低层向高层反馈信息的方式来保证多层次系统的安全运行需要。同时，STAMP认为事故的产生是由于复杂动态过程并发运行和相互作用所创造的不安全情形所致，强调多个组件相互作用，通过对复杂动态过程的控制进行分析来查找安全威胁，评估安全问题。结合以上基本概念，从控制反馈的角度将事故大致分为3类：①控制器发出不足或不恰当的控制行为，包括对故障或扰动的物理过程处置不当；②控制行为的不充分执行；③反馈信息的不准确或丢失。

系统理论过程分析（STPA）是1种基于STAMP模型的安全分析方法，它通过系统化的过程来识别系统的不安全控制行为，并针对不安全控制行为进行致因场景分析。该方法首先从全局的角度确定系统级事故和危险，根据分层控制结构分析控制行为在性能、时间及逻辑上的不合理情形，辨识不安全控制行为和场景[14]。然后构建由控制器、执行器、控制过程和传感器构成见图1的反馈控制回路，进一步分析控制反馈回路来识别事故致因。最后针对事故致因对系统提出安全约束及要求。目前，STAMP理论和STPA方法已经成功地应用于航天航空、国防、能源、化工、运输系统等领域，特别适用于现代复杂系统和具有人工控制系统的安全性分析与控制[15]。

图1 安全控制回路Fig.1 Safety control circuit

2 LNG船对船过驳系统的STAMP模型构建

LNG船对船过驳系统中主要的组成部分有控制器设备、潜液泵、ESD、ESR、控制阀、泄压阀、软管、管线、各参数传感器等。潜液泵可以控制管路内LNG的流速，控制阀门可以控制LNG的流动。泄压阀安装在管路上，可以控制液体的温度和压力。在应急情况发生时，应急释放阀和应急释放连接器可以断开管路的连接，ESD系统可以停止LNG的转运，各传感器将作业过程中的各项指标参数反馈给控制器设备及操作员，这些部件都可以手动地或自动地进行操控。

在STAMP模型中，LNG船对船过驳系统的基本结构主要由3个控制器、执行器和外界干扰构成。3个控制器分别是逻辑控制器、操作室控制器、现场控制器，根据过驳作业要求及各传感器反馈回的参数等，发出合适的指令给执行器，控制管路内LNG的流动状态，保证系统的正常运行。逻辑控制器可以通过程序进行控制，如通过计算机来控制泵的流速、自动打开/关闭控制阀等设备。操作室控制器可以控制调节系统的设备状态，如通过安装在过驳系统中的传感器的反馈信息调整阀门的开关及液体流速。在过驳系统作业过程中，现场控制器发挥着的重要作用，现场控制器监测系统中的情况并采取适当的措施，在逻辑控制器无法执行操作和操作室控制器无法解决问题的时候，需要通过现场控制器手动采取操作。执行器由泵、泄压阀、ERC和ESD系统等构成。对于自动逻辑控制而言，执行器从逻辑设备获得命令，决定“打开”或“关闭”的状态，逻辑设备也通过来自传感器的反馈来决定控制命令。在系统中，每个组件不仅作为系统的组件，还作为可以控制操作的系统执行器。

可见，LNG船对船过驳系统各组成相互之间存在着逻辑、时间、功能上的控制与反馈关系。在分析过驳作业过程和系统的工作原理的基础上，通过梳理各个组成的输入、输出信号和相互关系，得到LNG船对船过驳系统的STAMP模型，见图2。

图2 LNG船对船过驳系统的STAMP模型Fig.2 STAMP model of the LNG ship-to-ship transfer system

3 LNG船对船过驳系统的STPA分析

基于STPA方法分析LNG船对船过驳系统是1个在作业过程中，将逻辑控制器与各执行器系统之间存在的风险充分解决的迭代过程，识别出复杂系统存在的风险。在分析目的上，STPA方法与传统的方法有所不同，其为了通过对系统风险的识别与分析，找到事故致因因素，排除系统中存在的风险，并制定相应措施，提高安全保障，同时为后面的工作和系统的改进提供依据。

3.1 系统级事故的确定

根据STPA方法的研究过程，识别过驳作业中过驳作业过程中存在的系统级事故，主要包括人员受伤或死亡、船体受损、传输系统受损，具体见表1。人员受伤或死亡（A-1）包括船员、过驳工作人员；船体受损（A-2）包括船体的各个部分受损；传输系统受损（A-3）包括整个过驳系统的设备、设施。

表1 LNG船对船过驳作业过程的系统级事故Tab.1 System-level accidents during LNG ship-to-ship transfer operation

3.2 系统级危险的确定

LNG船对船过驳作业过程存在的系统级危险主要包括管内压力过高（H-1）、管内流速过高（H-2）、液货舱液位超过液货舱最高限制液位（H-3）、系统内高温（H-4）、LNG泄漏（H-5），系统级危险可能导致的系统级事故见表2。

表2 LNG船对船过驳系统的系统级危险Tab.2 System-level hazards of the LNG ship-to-ship transfer system

3.3 不安全控制行为的识别

STAMP观点认为系统级危险是系统行为缺乏有效控制的结果，通过对整个船对船过驳系统控制回路的各层级进行分析，分析识别出可能导致风险的潜在不安全控制行为见表3。基于STPA方法，主要从4类不安全控制行为角度，分析LNG船对船过驳系统中控制错误或控制不足的系统性风险，主要包括：①没有提供控制导致危险；②提供了不充分控制导致危险；③过早或过晚提供控制导致危险；④控制过早停止或控制时间过长导致风险。

3.4 不安全控制行为的致因分析

在识别了不安全控制行为导致的危险之后，根据STPA分析方法的控制反馈模型，从2个方面逐一分析LNG船对船过驳不安全控制行为的致因因素和场景：①从控制路径进行分析，在控制器从传感器获取了正确的反馈数据，但是命令没有被执行器按要求执行，从而导致最终的不安全行为；②从反馈路径分析，传感器从被动对象获取数据有误，或者传感器获得了正确的数据，但是在反馈给控制器的过程中出现偏差、延时等，从而导致控制器向执行器输出了不安全的控制命令[16]。

1986年6月，对后世影响深远的《生物技术监管协调框架》这一重要法律在美国颁布出来，该法除了正式确立实质等同原则以外，还将转基因这一问题纳入了当时既有的法律体系之内进行调整，规定联邦政府的各部门根据各自职能分工合作，他们既分工负责，同时又相互协调合作，最终高效地管理着美国的转基因食品的安全。[3]因此，在我国也建立此种政府各部门分工合作的管理模式并通过立法确立起来，是我们应当努力的一个方向。在法律体系上，美国由于已经形成了相对完善的体系，因此监管十分到位。所以，我国在进行转基因立法中，也应采取此种体系式立法的方式，方便未来对新型转基因食品安全立法的完善。

传统的STPA致因场景分析模型非常抽象，将逻辑控制器和人工控制器组合在一起，未进行区分，忽略了人工和自动化机器之间的重要差异，分析模型见图3。在现代复杂的系统中，控制算法和自动化模型有时可以直接从外部改变而无需通过人工控制器，例如，通过互联网自动进行软件更新等，这些变化显然存在潜在风险，特别是安全性问题，而这些问题在传统的分析模型中都没有体现，可能导致分析不完整。考虑到过驳系统中人员操作与软件高度交互的特点，对传统的STPA致因场景分析模型进行改进，形成更完整的分析模型，便于进行分析[17]，见图4。

图3 传统的致因场景分析模型Fig.3 Traditional causal-scenario-analysis model

图4 改进的STPA致因场景分析模型Fig.4 Improved STPAcausal-scene analysis model

在LNG船对船过驳作业中，管道内高压具有很高的风险，可以通过调节泄压阀来减小压力。安装在管道上的压力传感器能反馈压力信息给逻辑控制器，现场操作人员也可以观察到传感器的参数，得到反馈信息后逻辑控制器、操作室控制器、现场控制器可以发出控制指令。

为了全面地辨识导致系统危险的致因因素和场景，以管内高压控制为例，建立过程模型的控制结构图，见图5，并结合改进的致因场景分析模型，对其进行致因分析。当管道内有高压危险时，逻辑控制器可以向泄压阀发出命令以释放压力，操作室人员可以了解操作状态并可以向逻辑控制器发出命令以采取行动，在逻辑控制器无法执行操作时，也可以通知现场操作员采取手动措施，以防止管道内出现高压风险。在此过程中存在的致因因素和场景分析结果见表4。

表4 管内高压致因因素和场景Tab.4 Causes and scenarios of high pressures in the pipe

图5 LNG船对船过驳系统压力控制过程模型的控制结构图Fig.5 Control structure of the pressure control process model of the LNG ship-to-ship transfer system

依次对系统中所有的危险控制进行致因分析，可得到22个致因因素，见表5。

表5 致因因素分析结果Tab.5 Cause analysis results

4 安全性控制建议措施

根据分析结果，LNG船对船过驳系统的安全性控制措施可以从系统的多个角度展开，下面针对5个系统级危险，分别从LNG过驳系统的控制器、传感器、执行器和控制过程等场景致因因素角度提出安全性控制建议措施。

1）管内压力过高（H-1）。在作业开始操作之前，采取维护程序以检查压力传感器的功能及可听性/可见性，确保对各控制器能够进行准确的信息反馈。使用一定年限后，传感器要进行维修、测试，达到使用年限要更换。对维修检查的范围应进行及时更新，使检查手册完善。检查传感器的设计是否有缺陷，压力传感器通过上下2电极正对面积的变化或介质层间距的变化导致电容变化进行压力感应，若忽略电容极板的场边效应，电容计算见式（1）。

式中：A为电极正对面积，cm2；d为介质层间距，mm；ε0为电容空间的绝对介电常数；εr为相对介电常数。当相对间距为Δd时，相对的电容变化计算见式（2）。

式中：C0为电容值，pF；d0为介质层间距，mm。

2）管内流速过高（H-2）确保管内的流速传感器的正常工作，在流速过高的情况下能够及时反馈至控制器进行阀门开关大小自动控制及泵的流速控制。管道内液化天然气流经阀门所造成的压降，计算见式（3）～（4）。

式中：-Δp为阀门所产生的压降，Pa；ΔPL为全部流体为液相时阀门产生的压降，Pa；ϕL为摩擦因子；ρL为液相流体平均密度，kg/m3；ρG为气相流体平均密度，kg/m3；x为干度。对球阀，Bl取值为2.3，其他阀可取2[18]。

逻辑控制器在收到流速传感器的反馈后，及时通过向阀门发出信号，调整其造成的阻力、控制阀门对LNG产生的压降，从而控制流速。

操作员也应加强对每1个控制阀的工作模式、逻辑控制器确切的控制执行动作的学习和熟练程度。保证在操作室控制器和现场控制器之间良好的沟通交流，当遇到紧急情况时，能够快速响应，避免事故的发生。同时合理安排操作员的工作时间，避免疲劳工作和工作压力过大的情况。对于现场控制器，操作人员更应该与现场实际相结合，接受每个组件和阀门手动操作的培训，保证工作无差错。

3）液货舱液位超过液货舱最高限制液位（H-3）。对液货舱的温度、压力、液面进行及时的监控，确保逻辑控制器系统的工作稳定性，避免在软件、硬件交互过程中的系统控制故障。液货舱液位高度是监控测量装置的主要监控内容，液货舱液位高度模型见式（5）～（6）。

式中：Vi为第i号液货舱现有货物体积容量，m3；Vi0为第i号液货舱上一次计算结束时货物体积容量，m3；Qi为第i号液货舱装卸货体积流量，m3/h；t为时间间隔，s；Hi为第i号液货舱液位高度，m；f为液货体积和高度的关系函数。

当达到警戒值时，逻辑控制器应立即控制停止作业，及时做出压力及温度的控制调整，对BOG气体进行再液化，同时采取对液货舱进行喷淋等相应的措施。

4）系统内高温（H-4）。系统内高温会造成LNG的大量气化，导致管道内、液货舱内压力骤增，同时还有引发火灾的危险。在输送系统内，由于LNG是-162℃的低温液体，可采用铂电阻类型的低温管壁温度测量传感器，低温传输管道传热过程属于一维（径向）非稳态传热，对于裸装贴壁式温度传感器，可将其看成是圆柱体的一部分，其传热数学模型见式（7）～（8）。

式中：T为温度，K；t为时间，s；ρ为材料密度，kg/m3；CP为材料热容系数，λ为材料导热系数；r为管道内壁与中心轴的距离，mm；ϕi为内热源项。

当铂电阻温度传感器报警，反馈至人工控制器和逻辑控制器，应立即控制过驳作业停止，同时检修故障，查明故障造成高温的原因。所以在作业开始之前，检修传感器的工作状态十分有必要，确保系统内各温度传感器的正常工作，防止因机械故障导致的局部高温，引发火灾。

5）LNG泄漏（H-5）。要建立健全的系统管道巡查、维护等制度，按照规定，定期检查安全阀、泄压阀、ERS等阀门执行器，也检查系统管道的腐蚀和老化，防止有泄漏的危险。

可使用超声导波检测技术来检查管路的腐蚀、老化、泄漏等问题。其原理是：在管路的一段添加换能器将其他形式的能量转化为高频振动超声导波并沿管道向前传播。当声波经过泄露位置、法兰处、管道端面时会产生回波，根据缺陷回波和端面回波的时间差异可计算出缺陷位置，根据缺陷波和原始激励波回波幅度可估算出泄漏点大小，泄漏点的位置计算见式（9）。

式中：X为泄漏点到信号接收点距离，m；c为导波在管道中的传播速度，m/s；Δt为接受到原始激励信号和缺陷回波信号的时间差值，s。通过检测，可以在作业之前提早查明管道泄漏位置，采取防范措施，防止危险的发生[19]。当泄漏发生时，可及时采取集液盘收集、围护等应急防护措施，控制泄漏的范围，减小伤亡与损失，同时控制明火，防止因甲烷气体浓度达到LFL和UFL中间值而发生燃烧，造成更大的事故。

5 结束语

本文通过对LNG船对船过驳作业过程进行研究分析，发现其包含大量人、软件、环境、设备组件的交互与控制过程，存在潜在安全性问题，将LNG船对船过驳作业的安全性问题当作是1个系统性安全问题，提出采用基于STAMP/STPA方法进行安全性分析，并对传统的STPA致因场景分析模型进行改进，构建了考虑人工控制器的过驳系统STAP致因分析模型，识别了更多的潜在不安全的控制行为，并从控制缺陷、反馈缺陷和协调缺陷3个方面提出了22个关键致因因素；最后，结合各部件、传感器等控制原理，针对5个系统级危险提出相应的安全性控制建议措施。

LNG船对船过驳是1种新兴的作业形式，作业时间长、难度大，对其安全性研究尚且不足，本文提出的方法在过驳作业安全性分析上，克服了传统安全性分析方法中对过驳作业控制器、传感器及各部件的相关性和耦合性及人为操作控制安全因素考虑不充分等问题，主要针对控制过程中潜在的不安全因素进行分析，辨识其致因因素和场景。通过正确的控制行为来提高系统的安全性，弥补了传统安全性分析方法存在的缺陷。