禹治宇

〔中国石化云南石油分公司 云南昆明 650011〕

安全始终是油品销售企业经营管理的重要课题。在成品油的储存和运输过程中，安全隐患几乎存在于每个环节。这些隐患，如果不能得到及时的识别、正确的处置和有效地管控，随时可能给国家和人民造成重大的生命、财产损失，甚至造成大范围的对国民经济的正常运行秩序和百姓生活的严重冲击和破坏。为此，在成品油储运过程中对各种事故灾害进行及时防范和对各种潜在的危害进行有效管控，是确保成品油经营得以长期持续稳定运行和健康发展的一项永远在路上的基本需要。

纵观石化领域国内外已经发生过的各种各样的事故灾害由酝酿、发生和发展的全过程，尽管从表面上看，这些事故常常只是由某个部件或某个人为因素偶发造成的，但是人们不能把事故的成因单一化，表面化，把事故背后的危害要素的管控工作简单化。对待一起已经发生了的事故，更不能只是指出事故所涉及到的设备部件或个人，对设备进行修复或将人替换即告完事，而是要从头到尾对整个事故链进行全面、透彻的分析，最终找出与该事故的发生和发展密切相关的体系性原因。也就是说，要应用系统思维的方式和系统分析的理论来看待事故的起因。

1 系统理论模型和流程的提出

在综合分析、识别事故成因的理论和方法模型方面，近年出现了一种叫做系统理论事故模型和流程的方法，称STAMP模型，英文全称为Systems Theoretic AccidentModel and Processes。这是一个可以应用于油气生产企业和油库类企业的安全管理和事故分析方面的新理念，新工具。

2 用STAMP模型从社会－技术系统的视角多层次深化分析事故成因

为解决航空航天领域复杂系统研发过程和运行过程的安全控制问题，2004年，美国麻省理工学院航空航天软件工程研究实验室的Leveson教授着眼于社会－技术系统，从多层次多角度深化分析安全事故成因，首次提出了这个不同于传统的安全分析技术思路的STAMP模型。该模型强调，越是复杂的系统，其安全事故的最终发生越不是单一因素导致的结果，而是多种成因集中在一起交互作用或者说多种错误集中涌现的结果。因此，要想避免和管控一个复杂系统的安全事故，必须从一个包含了人、规则规程、技术软件、控制逻辑、执行机构、执行设备、过程监控、执行效果反馈和对错误或无效的修复矫正机制及措施等多个层面的影响因素的所谓的社会－技术系统的角度综合全面地识别事故成因，并有效地控制系统中的各种可能导致危险状态得以转化或启动的因素。这些因素可能是人为偶发的，也可能是纯技术的，持续存在的，也可能是在偶发因素诱导下产生的超出了技术适应或纠正能力的某个环节或因素。

传统上，对待大型复杂工业生产系统的事故成因，常用的安全分析技术主要有故障树分析法（FTA法）、失效模式及影响分析法（FMEA法）与在此基础上改进而来的面向大型复杂工业系统的软件失效模式和影响分析法（SFMEA法），以及包含了动态建模技术的动态故障树分析法（DFTA法）等。

这些传统的安全分析方法，在识别大型工业生产系统的事故成因和改进安全管理方面的确发挥了很大的作用，有其合理之处和利用价值。但也不得不承认，这些传统方法的本质仍然都是基于组件失效与事故发生之间存在着简单线性关系的这样一种假设，而面对已经高度复杂化了的、软硬件紧密结合的、包含有多工种多工序的大型工业生产系统的研发、设计和运行过程的安全管理问题，这些基于上述线性关系假设的分析方法，在实际使用中已经显得越来越力不从心了。

现代化的油气工业，不论是上游、中游还是下游，随着多年的持续滚动发展，其各个生产环节的过程控制系统已经实现了基于DCS或PLC的自动化监控，而且越来越多地加入了基于互联网和物联网技术的信息化和智能化系统。这样的生产系统所使用的硬件和软件的复杂程度比以前都有了大幅度的提高。

与航空航天或核电产业有些类似，如今在大型石油、石化、大宗散装液体物料的生产、加工和储运过程中，对于各个环节的安全管控，其难度已经变得很大，单纯使用基于事故与组件失效之间存在线性对应关系的传统理论的分析方法已经变得越来越不适应当今工业系统的实际需要，而需要引入一种基于社会－技术系统思维的面向大型复杂工业生产系统的安全分析法，即STAMP模型分析法。该模型将引导人们从一开始就同时把人的正常与不正常、软件功能的到位不到位、控制逻辑是否有瑕疵、硬件组件的功能是否可靠和到位、生产过程中的信息流传递是否正常、执行结果的监测和反馈是否及时有效、对异常情况反馈的修复和管控是否有效等等多方面影响因素，统统纳入到需要识别分析的视野范围内。

3 STAMP法与传统安全分析法的比较

在对待安全事故成因的基本理念上，相对于前述的几种传统的安全分析方法，STAMP模型有着很大的不同。传统方法的基本理念是一次事故是一个或一组功能组件的失效导致的，提高各个组件的可靠度是特别重要的事。而STAMP模型法则把一个工业企业或系统的安全生产的管理定义为整个系统的全面控制和协调的问题，事故的最终实际发生是系统中多种错误交互作用、集中涌现，而且没有得到有效管控和修复的结果，不是某个部件或某个人的可靠性问题。

STAMP模型分析法与传统的安全分析方法之间的理念差别，参见表1。

由此可见，对待事故成因，一定要站在一个系统的视角和高度上，从社会性的因素，如人的、规程制度的和监测、监督及反馈报告与审批流程的、偶发的和持续性的、交互作用的，技术性的因素，如软件逻辑的，偶发的或持续性的、执行效果的检测、报告反馈信息渠道的可靠性、对反馈信息的处置的有效性和纠正方法的有效性和及时性，以及社会的和技术的因素的联动交互作用过程对决策和应对过程的影响等多个方面，进行客观、系统的分析和识别。

STAMP模型分析法认为，导致事故的原因可能是人为因素、机械故障、物理化学因素、社会和环境因素，也可能是整个事故链中各部分之间的不协调，相互控制或反馈机制不健全、反应不及时而引起了事故链中的某个部分的功能失常或失衡，并且未能得到及时、有效的纠正和管控而造成的。

在现实的对工业生产过程的监控工作链中，不同层次的部门都有着各自既定的作用和职责，用于保证整个系统持续顺利的运行，同时各个部分又有各自的控制作用和反馈作用。

4 实例分析

一座成品油库，从策划、立项到建设方案的制定、工程设计、设备采购、系统实施再到工程验收、试运行、运营、再到运维保障支持，一般要涉及到政府政策法规、产业政策、国家和行业技术规范标准、行业的安全、环境、计量、能耗、资源等监管部门、总公司级的计划、咨询、前期研究、项目决策、工程设计、设计审查、采购和实施、工程监理、供货商和集成商、油库运营团队、参与运营过程的上下游企业、参与油库运维保障支持的各个专业服务商等20余类大小不等的功能组织实体。

在所有这些与油库的形成和运行相关联的功能组织实体中，其中任何一个不正确的决定或做法，在未能得以及时有效的管控和应对的情况下，都有可能通过一定程度的交互作用和集中涌现而直接或间接地引发一场严重事故。问题的关键就是其中的潜在危害因素和交互作用能否在实施和运行过程中得到系统的识别和有效的应对和控制。

STAMP模型所涉及的分析要素对象和分布关系如图1。

图1 STAMP模型所设及的分析要素对象和分布关系

当前，参与油品销售周转调运过程的骨干油库，基本上都实现了操作过程的自动化控制，部分油库的发油作业过程实现了全自助化的无人值守运营模式，越来越多的油库配备了油库综合管理信息集成平台，这种平台一般会把库区范围内已有的罐区自动计量监控系统、汽车收发油自动监控系统、库区泵阀监控系统、铁路水路收发油监控系统、可燃气浓度监测报警系统、温感烟感监测报警系统、火灾报警系统、智能连锁控制和联动控制系统、紧急停车系统、自动消防系统、油气回收系统、污水处理和事故池监测系统、视频监控系统、库区安防监控系统、生产计划调度系统、油品质量化验系统、关键设备运行监测系统、报警处置跟踪管理系统、业务流程在线审批管理系统、专项信息发布推送管理系统等集成到一个一体化的综合监管平台上。个别油库企业现在已开始建设基于物联网技术、人工智能技术和大数据分析模型的智能化油库运行监测分析预警系统。

可见，现在主流油库已变成一个由多层人机交互控制界面、多种变量智能连锁控制逻辑、DCS或PLC／SCADA监控软件、服务器、基层控制器和执行仪表、现场工业总线数据传输网络、网关、库区局域网、库区至上级监管机关的专线通讯网、各种硬件设备及相关公用工程系统组合而成的复杂而上下左右相互关联的大型综合体。

这样的大型综合体，既包括了供配电、给排水、油气回收、装卸车船所需设备和油罐、油泵、电机、阀门、过滤器、计量仪表和工艺设备，也包含了大量的基于现场检测和远控连锁联动逻辑设计的监控软件、数据库、通讯网络器材、执行机构、检测探头和各种控制器等控制组件。

就系统的安全性而言，其中的设备选型、控制功能、控制逻辑设计、硬件可靠性、控制精确度、执行效果的检测反馈的准确度和及时性、各个监控软件的可靠性和对报警信息的正确处置能力及其与监控人员的互动安全控制设计、容错能力和防入侵能力，都将对一座油库的持续安全稳定运营带来直接的或间接的影响。这些因素的好与坏，都直接跟油库的工艺流程设计、操作流程的优化设计、控制系统的容错设计、设备选型、安装调试、操作培训、重大作业审批流程设计和实际执行过程管控、系统的控制逻辑设计的合理性和实现程度、机房环境保障度、运行过程中的系统运维保障服务的实际到位程度等，有着密切的关系。

由此可见，要做到一座油库的长期稳定安全的运行，必须做到：

（1）在建设前期，政府和行业监管部门必须制定出科学合理的产业政策、地区发展规划、技术标准规范和项目审批流程，杜绝不具备资质的企业野蛮发展和不规范运营油库设施。

（2）建设期，在设计环节必须严格遵守执行国家和行业的技术标准规范，确保流程设计和控制逻辑设计以及安全保障设计的正确、合理，其中还包括信息安全设计；在实施环节，必须严把设备选型和采购进货这一关，选用行业内技术实力强、工程经验丰富、口碑好的施工承包商、供货商、集成商、工程监理和专业服务商，确保整个系统的各个环节都严格按照设计高质量实施到位并完成系统综合联合调试和正规的工程验收。

（3）在运营期，要持续做好上岗人员的操作技能培训和关键岗位的资质考核认证，选择有技术实力、服务意识强的运维支持服务商，必要时与本工程原集成商签订长期的有偿维保支持服务合同，固化运维服务渠道和商务模式；利用物联网和大数据技术及时建立起针对油库生产系统和关键设备的实时运行状态监测预警平台；利用人工智能、数据库和三维建模等技术做好各种安全预案和智能化应急处置指挥工作，组织员工结合预案做好事故演练和应急培训。

（4）在运行一段时间后，要对油库系统进行一次安全性后评价，总结经验，完善操作规程和调度管理审批流程，优化岗位设置，强化培训，及时查堵系统安全漏洞。其中，油库的工艺流程设计、设备选型、控制逻辑设计（含连锁联动）、通讯网络安全设计、工程实施和系统集成、技术培训和运维保障服务，都是与系统安全密切相关的关键性环节，对此切不可有任何松懈或疏忽。

总之，应该严格按照STAMP模型的要求，站在系统的高度，从政策、法规、技术标准规范、设计、施工、培训、运营管理、操作、安全管理、信息安全和运维保障及内部的管控审批制度等多个方面深入、细致地跟踪、分析系统中存在的不完善、不协调和在一定条件下有可能形成决策监管开环断链甚至因累计交互作用而引发事故转化的地方，通过日常的安全监管和制度性的安全审计或系统安全后评价，及时消除或减弱系统安全风险，达到通过严细系统的安全分析、预警和防控使事故累积转化的过程得以及时中断的目的。

对于油库系统的STAMP模型应用分析可能需要考虑的影响要素，包括项目前期规划、实施、运营和安全审计与安全后评价各阶段中各方面的影响因素、危害表现与对策措施等。

5 结束语

油库是支持和保障国家经济平稳安全运行的重要基础设施，确保其持久稳定安全运行，是每一个油库企业管理团队的终极目标所在。

[1]阳小华，刘杰等.STAMP模型及其在核电厂DCS安全分析中的应用展望[J].核安全，2013.12（3）：42－48.

[2]Leveson N.A New Accident Model for Engineering Safer Systems[J].Safety Science，2004，42（4）：237－270.

[3]KAZARAS K，KIRYTOPOULOS K，RENTIZELAS A.Introducing the STAMP Method in Road Tunnel Safety Assessment[J].Safety Science，2012，50（9）：1806－1817.