汪 鲁，刘 军，张 凯，吴赫君，金 侃，黄冬梅，徐晓萌

(1.国网浙江省电力有限公司经济技术研究院，浙江 杭州 310016；2.中国计量大学 质量与安全工程学院，浙江 杭州 310018；3.浙江大学 能源工程学院，浙江 杭州 310027)

电网作为国家重要的基础设施，其安全稳定运行对于保障社会经济发展具有决定性作用[1]。近年来，在国外多起大停电事故的教训和启示下，党和国家日益重视电力安全问题并将其纳入总体国家安全观。习近平总书记也对防控大电网安全风险做出重要指示，要求将其上升到保障国家安全的战略高度看待。

鉴于电力安全关乎国计民生，作为我国经营输电、供电业务的特大型中央企业，国家电网有限公司长期以来一直将安全作为最根本、最基础、最重要的工作，坚持将安全生产作为企业的“生命线”。然而，随着我国电力事业的迅猛发展，电网规模不断增大(2012年已跃居世界第一)，作为全球最复杂、最危险的基础设施之一，任何微小的疏忽都可能导致电网出现严重的事故并影响成千上万人的正常工作和生活，甚至产生严重的伤亡后果。近年来，随着数字化、智能化、互联网等发展趋势愈发明显，各种新业务、新业态伴随着国家电网业务规模的扩展不断涌现，给电网安全管理带来了新的挑战[2]。与此同时，新能源的大规模并网使得电网安全生产和管理工作所面临的形势更趋复杂[3]。

目前，为保障大型基础设施或企业日常运行过程的安全稳定，最有效的措施是构建并实施一整套科学适用的安全管理体系(safety management system)作为评估和提升安全运行绩效的手段[4-5]。为此，学者们开展了相关研究，并试图提出构建安全管理体系需要遵循的基本结构，例如VALDEZ[6]指出所有安全管理体系均应包含风险控制系统和学习系统；THOMAS[7]和MAURINO[8]则认为对于任何安全管理体系，其基本组成部分应当包括：识别安全隐患、通过补救行动的方式维持安全表现、持续的安全监测并定期评估安全绩效、对体系的整体运行效果做持续改进等；FERNNDEZ[9]提出安全管理体系的关键维度应该由以下部分组成：安全政策、员工参与的激励、员工能力的培训和发展、关于风险和风险控制的沟通与信息传递、应对事故预防和应急响应的相关计划，以及控制和评审。

由上述研究可知，大量学者认为建立安全管理体系的核心在于确定合理的危害/风险识别和控制措施，即寻找导致事故发生的“根本原因”。然而，实践表明即便找出了导致事故发生的所谓“根本原因”，如果缺乏有效的安全控制手段，依然会有其他原因继续引发新的事故。为了从根本上解决传统危害/风险控制理论和事故分析理论存在的固有缺陷，LEVESON[10]提出了系统理论事故模型与过程(STAMP)理论，将实现系统安全的关键由“预防故障产生”转变为“加强行为安全约束”。该理论认为，不存在导致事故发生的“根本原因”；事故的起因不是安全问题而是控制问题，是由于施加在系统组件之上的安全约束不完整或不充分而造成的组件之间发生了不安全交互。利用STAMP理论便可以有效识别出保证系统安全运行所需的各类约束条件并加以合理控制，通过保证安全约束的有效性最终达到实现系统安全的目的。由于该理论实现了系统安全问题与控制问题的互相转化，因此对于复杂性和耦合度较高的风险控制领域具有更好的适用性。鉴于STAMP理论的上述优点，目前该理论已被成功应用于众多领域的安全分析工作，如航空航天、轨道交通、工程安全和建筑安全等，此外STAMP也在许多复杂业务系统的安全管理流程中发挥了重要作用，例如海上导航业务、邮轮和渡轮公司以及制造业等。在电力安全领域，同样有学者尝试将STAMP理论与现有的安全管理机制进行融合，例如武红烨等人[11]提出了基于STAMP的电网企业事故风险控制模型，但该模型作为电网企业安全管理体系的一个子模块仅能用于事故预防和风险控制工作，无法对企业安全管理的全局提供指导；SOUSA[12]和ISHIMATSU[13]等人虽然也在其论文中提到了STAMP用于电力或电网系统安全管理的可行性，但均止步于理论，没有开展进一步的实践应用研究。

为探索STAMP理论在电网企业安全管理过程中的适用性，笔者以国网浙江省电力有限公司(以下简称：省公司)为研究对象率先在国内提出构建基于STAMP的电网企业现代安全管理体系的构想，通过构建基于STAMP的电网企业现代安全管理体系并对该体系的控制措施和实际运行效果展开分析，获得了该体系在保障电网企业安全运行中的有效性。

1 建设背景

省公司作为国家电网有限公司的全资子公司，是浙江省能源领域的核心企业，拥有直属单位19家，地市供电公司11家，以及68家县级供电公司，供电服务人口超5 800万。近年来，省公司通过推进本质安全建设、健全全员安全责任体系、强化风险隐患防控机制、完善应急管理工作体系等措施和手段，有效维护了浙江电网的安全稳定运行。然而，由于近年来公司业务规模的不断拓展，加之新业务、新业态对传统业务体系所形成的冲击，使得安全工作面临的挑战日益严峻。通过对省公司安全生产抽查、巡查结果的系统梳理发现，虽然省公司在实践中形成了许多行之有效的安全管理和安全监督工作经验，但是也暴露出了许多问题，包括：①安全责任体系建设仍有不足，表现为：目标责任导向不突出，安全责任清单管理不规范，履责意识有欠缺，安全投入保障仍有不合规问题；②安全基础管理仍存在薄弱环节，表现为：安全教育实效性及人员履职能力不足，安全规章制度管理不规范，安全例行工作规范性不足，应急管理落实有偏差，电网使用相关方管理存在弱化；③作业安全管控手段仍有改进空间，表现为：承载力分析不足导致部分作业计划安排不合理，现场安全监管、外包安全管理、省管产业单位施工和管理能力普遍存在不足；④设备运行安全留有不少问题，表现为：老旧设备数量积累较多，部分新设备质量差且老化快，输电线路跨铁路/高速公路隐患治理问题多，设备技术监督、可靠性管理、状态评估管理、运行维护及检修试验基础管理、设备验收管理等生产设备设施基础的安全管理工作仍需加强；⑤电网本质安全建设仍待加强，表现为：外来电比例超40%，强直弱交、调峰能力不足等矛盾较为突出，尤其是随着新能源的大规模并网给电网安全稳定运行带来了新的不利影响；⑥网络信息安全面临较大压力，表现为：大量新业务通过无线方式接入，伴随各类移动终端的陆续上线，网络安全边界风险日益模糊。互联网业务的不断拓展导致数据的安全保护任务异常艰巨。

因此，为应对新业务、新业态出现可能导致的安全风险管控不到位、安全责任不落实等问题，笔者提出了构建适应省公司自身特点的现代安全管理体系的设想，用以指导企业的安全管理工作，加强风险辨识与预控，完善安全责任体系，在确保传统业务、业态安全形势不动摇的基础之上，对新业务、新业态承接的安全风险做到可防、可控、在控。

2 构建流程

通过对安全科学理论以及安全管理体系的大量调研与分析发现，以STAMP理论为依据所构建的安全管理体系不仅与风险识别过程之间联系紧密，而且还具有在体系运行过程中自我优化调整等优点[14]，因此省公司最终决定在国内率先构建基于STAMP理论的电网企业现代安全管理体系并开展相关应用研究。

基于STAMP理论构建的电网企业现代安全管理体系必须具备STAMP的3个基本结构，如图1所示，即安全约束、分层安全管控结构和过程模型。省公司通过建立适用于电网企业的分层安全控制结构和过程模型，识别控制结构内各层安全约束和不恰当控制行为，确定可能的控制缺陷，识别生产活动的安全风险，从而构建起相应的现代安全管理体系。省公司现代安全管理体系的构建流程可进一步细分为六个部分，如图2所示：

图1 基于STAMP的系统动力学模型

图2 基于STAMP的省公司现代安全管理体系构建流程

Level 1：通过相关人员共同讨论的方法明确现代安全管理体系中重要的指引方向，并在此基础上确定系统目标和约束。

Level 2：介绍安全管理的现状，确定安全管理具体目标和实施路径之间的联系，利用危害分析技术修正Level 1中的指引方向。

Level 3：以图形化方式构建安全管理体系框架，包括安全组织体系、安全工作体系、规章制度体系等，明确各体系之间的关系及其包括的内容。

Level 4和Level 5：进一步细化体系框架，提出体系表征技术，分解三个体系所对应的指标。

Level 6：定义体系运行效果评价指标及评价方法，提出体系运行及治理能力现代化的评价指标体系及相应的评价方法。

3 管理体系基本结构

3.1 安全约束

与传统的事故致因理论相比，STAMP理论不再将事故与系统看作事件链或由事件链分解而成的各个结构组件，避免了人为选择事件或事件链过程中引入的主观性，因此可以更加全面地分析与风险或事故相关的课题。同时，该理论为了替代传统事故致因理论中对于失效事件的控制措施，强调必须对系统运行的全过程施加强制执行的必要安全约束条件(如安全目标、安全方针、安全文化等)。结合电网企业的特点并综合分析省公司的安全工作特征，提出了适用于省公司自身情况的安全约束条件如下：①安全方针，即安全第一、预防为主、综合治理、全员履责；②安全目标，即九杜绝、六防范、一减少，指的是杜绝人身重伤及以上事故，杜绝一般及以上电网、设备事故，杜绝恶性误操作事件，杜绝责任性五级电网事件，杜绝责任性五级设备事件，杜绝责任性网络安全事件，杜绝较大火灾事故，杜绝本单位负同等及以上责任的重大交通事故，杜绝因防恐、平安建设和社会治安综合治理工作责任不落实、工作措施不到位或者其他突发事件处置不当造成严重影响公司和社会平安稳定的案(事)件，防范人身轻伤事件，防范一般误操作(误调度)事件，防范责任性六级电网事件，防范责任性六级设备事件，防范一般火灾事故，防范本单位负同等及以上责任的一般交通事故，实现电网和设备事件同比减少；③安全文化，争当安全守护者，做一名有高度责任心的浙电人。

3.2 分层安全管控结构

由于STAMP理论采用基于自适应反馈机制的控制层次描述系统和事故，因此当基于该理论构建安全管理体系时需要以系统理论为基础，采用自顶向下的系统工程模式，并在该过程中将安全性充分融入设计中。根据STAMP理论的上述思想，基于该理论所形成的任何安全管理体系都必须具有1个分层安全管控结构，以达到层层向下施加约束的目的，控制低层的行为。管控结构根据系统的差异可以采取不同的形式，对于省公司基于电网企业特点所构建的现代安全管理体系而言，其结构如图3所示。

图3 分层安全管控结构模型

3.3 过程模型

STAMP理论认为，事故的发生通常由于“控制不足”引起，即控制回路产生了不正常的交互或者控制回路无法处理系统运行过程中产生的不正常交互作用。鉴于电网系统组件故障、外部干扰和异常交互功能障碍都会破坏电力系统的安全约束，最终导致事故的发生，因此将上述电网实际运行过程中有可能破坏安全约束的事件映射到分层安全管控结构之中，便可以获得导致控制回路(控制器)发生事故的原因包括：控制器可能作出不适当的控制动作，控制行动可能没有完全实施，来自被控制对象的反馈可能缺失或不充分等。

为确保每个控制器均能受到有效的全流程安全约束，需要有图4所示的基于STAMP的过程模型对控制器接收上行信息(通常由传感器测量被控过程获得)和发出下行命令(即执行器实施控制动作)的整个过程进行处理，以确保过程受控。

图4 安全管理过程模型

3.4 安全管理体系框架

根据省公司安全管理现状的系统分析结果，构建省公司现代安全管理体系的体系框架如图5所示，包含“四个指引”和“三个体系”。

图5 省公司现代安全管理体系框架

由图5可知，“四个指引”对应STAMP中的安全约束，体现了省公司为保证电网安全稳定运行而强制自身执行的必要安全约束条件。“三个体系”中的安全组织体系作为分层安全管控条件的主要组成部分，以其下辖的安全责任体系为基础，以双重预防机制为抓手，对安全工作做到全面统筹、全员参与、全过程控制和全方位管理，通过充分发挥安全监督、保证和保障体系三者的高度融合作用，为建设新型电力系统筑牢安全基础。“三个体系”中的安全工作体系作为过程模型的主要构成部分，对系统内所有上行信息和下行命令进行监控和处理，确保体系运行的每个环节处处受控。“三个体系”的职责边界和具体任务安排详述如下：

(1)安全组织体系以安全生产委员会作为省公司安全生产的最高决策机构统领全局，安全保证体系履行安全主体责任、安全监督体系履行监督协调责任、安全保障体系履行支撑保障责任。公司各级在安委会的统一领导下，安全监督体系健全完善，安全保证和保障体系各司其职、运转有序，安全职责清晰，安全责任全面落实，各类安全问题有效闭环整改。参与省公司安全生产的各岗位、各专业人员得到全方位的安全教育培训，人员的安全意识和安全技能水平得到切实提升，风险管控能力和水平得到有效加强，组织的安全承载力得到有效提高。

(2)安全工作体系遵循“事前预防、事中控制、事后处理”的工作主线，不断促进安全管理工作高效运转，通过强化对外协同和合作，确保安全工作有序开展。实现系统核心业务和支撑体系一体化，加强网络信息的安全管理，强化规划设计、电网建设、运行维护等专业安全管控。扎实开展事前安全风险预防、事中管控和应急处置、事后事故调查处理等工作，做到事事能落实、管理能闭环、总结能提高、科学有效并持续改进。

(3)规章制度体系以“上下贯穿、左右协同”为特征，遵循国际标准，以本质安全建设为抓手，实现安全规章制度标准编制、发布、修订、废止全过程管理管控。清理老旧滞后、交叉重复、不适应现代安全生产管理机制变化的规章制度与技术标准，动态修订、补充现场运行规程。通过废改立释工作，确保省公司规章制度、技术标准、现场规程符合国家、行业、政府和国网公司的各项安全规定和要求，符合电网发展的实际安全需求。

4 体系运行绩效分析

以省公司2016—2020年的安全大检查情况为基础如表1所示，对现代安全管理体系的运行绩效以及体系投入运行前后的企业安全管理特点进行说明。上述安全大检查的检查范围涵盖省公司所属的5个生产性直属单位和11个地市供电公司，因此能够非常全面、综合地反映整个省公司及其下属单位的安全运行总体状况。

表1 省公司2016～2020年安全大检查情况汇总

汇总历年安全大检查中辨识出的安全风险问题总数情况如图6所示。由图6可知，现代安全管理体系投入运行之前(2018年以来)，在多次省公司组织的安全大检查中发现的各类安全问题数量基本稳定在300～400项/年。然而，当现代安全管理体系被投入实际运行之后，安全大检查发现问题的数量呈现先显著增加(2018—2019年，2019年出现高峰，达706项)，而后快速下降的趋势，2020年发现问题的数量下降到了300项以下，低于2017年之前的平均水平。究其原因，在最近的几次省公司安全大检查中，借助于现代安全管理体系的构建与应用，一些传统安全管理体系长期未能发现的深层次安全问题和隐患被发掘了出来，因此才出现了2018—2019年被发现安全问题数量的异常上升。而后，经过2018—2019两年的运行，省公司的安全运行状况进一步得到了提升，因此2020年安全大检查发现的问题数量相比于2017年之前有了较为明显的降低。

图6 省公司历年安全大检查发现的问题总数情况(数据源自表1)

此外，对2016—2020年间安全大检查发现问题的所属类型做进一步的梳理，结果如图7所示：历年辨识出的各类安全问题总计为2 352项，其中辨识出的管理类风险问题总计1 499项(占比63.7%)，装置类风险问题总计703项(占比29.9%)，行为类风险问题总计150项(占比6.38%)，大部分辨识出的安全问题均属于管理类问题。此外，由图中不同类型安全问题数量随时间的变化趋势可知，通过现代安全管理体系的构建和运行被新发掘出来的安全问题主要集中于管理类问题，进一步说明基于STAMP的现代安全管理体系有助于发掘深层次安全问题和隐患。随着这些深层次管理类安全问题和隐患的消除，有助于进一步提升电网企业的安全管理层次。

图7 省公司历年安全大检查发现问题的所属类型分布(数据源自表1)

5 结论

(1)以国网浙江省电力有限公司为研究对象，在国内率先构建了基于STAMP的电网企业现代安全管理新体系。该体系由安全约束、分层安全管控结构和过程模型3个基本结构构成，包含“四个指引”(安全方针、安全目标、安全文化、安全理论)和“三个体系”(安全组织体系、安全工作体系和规章制度体系)等构成要件。

(2)安全组织体系以其下辖的安全责任体系为基础，以双重预防机制为抓手，实施对安全生产工作的全面统筹、全员参与、全过程控制和全方位管理，通过充分发挥安全监督、保证和保障体系3者的高度融合作用，为建设新型电力系统筑牢安全基础。安全工作体系通过对系统内所有上行信息和下行命令进行监控和处理，确保体系运行过程的每一个环节均处于安全受控状态。

(3)以2016年至2020年省公司的安全大检查结果为数据基础，对所构建的现代安全管理体系的运行绩效进行分析。分析结果表明，现代安全管理体系能够很好地满足新形势下电网企业安全管理的需要，借助于现代安全管理体系，一些传统安全管理体系长期未发现的深层次安全问题和隐患(尤其是管理类风险问题)被发掘并消除，有助于进一步提升以省公司为代表的电网企业安全管理层次。