基于STPA的城市埋地燃气管道第三方破坏风险因素分析*

王文和 罗静 易俊 易图云 李凤

(1.重庆科技学院安全工程学院 重庆 401331； 2.中国石油西南油气田分公司重庆气矿江北天然气运销部 重庆 400021； 3.重庆大学 重庆 401331)

0 引言

伴随着“西气东输”、“煤改气”等政策的实施，天然气在我国得到了更加广泛的应用，随之产生的燃气管道失效问题也极大地威胁着人们的正常生活和人身财产安全。造成燃气管道失效的原因有很多，例如腐蚀、老化、第三方破坏、地质沉降等，国内外的专业机构对这些事故和原因进行了统计分析。

欧洲燃气管道事故数据组织(Europe Gas pipeline Incident data Group，EGIG)对法国等17个国家1970—2016年发生的燃气管道事故进行了统计(如表1所示)[1]，在所有管道失效原因中外部干扰以28.36%的比例位居第一，其次是腐蚀和施工与材料缺陷；英国陆上管道运营商协会(United Kingdom Onshore Pipeline Operators′ Association，UKOPA)对1962—2016年发生的燃气管道事故进行了统计(如表2所示)[2]，外部干扰也排在第一；我国尚未建立统一的燃气管道失效数据库，但已有很多专家学者进行了这方面的统计。中国石油大学于红红[3]对我国2012—2016年的燃气管道失效事故进行了统计，在所有原因中第三方破坏占47%；首都经济贸易大学王倩[4]对北京市2000—2005年和2007—2009年燃气事故进行统计，第三方破坏以36.52%的占比位列第一。从统计结果中可以看出，第三方破坏在所有管道失效事故中占据主要地位。为此，本文将对城市埋地第三方破坏风险因素进行分析，以期为第三方破坏风险管理提供参考。

表1 燃气管道失效原因及比例(EGIG，1970—2016年)

表2 燃气管道失效原因及比例(UKOPA，1962—2016 年)

城镇埋地管道第三方破坏风险分析过程中，需要综合考虑燃气管道本身的质量、设计、施工、外部环境、管理等多方面的因素。这些因素之间相互耦合、相互作用和影响，形成了一个复杂系统，因此在对复杂系统风险分析方法的选择上要求更高。目前常用的风险分析方法有专家咨询与调研法、检查表法、事故树分析法等，其中专家咨询与调研法主观性强；检查表法对制表者的专业水平要求较高[5]；事故树分析法得到的是与事故线性相关的因素而忽略了非线性因素。因此本文将引入一种基于系统理论的分析方法——系统理论过程分析法(System Theoretic Process Analysis,STPA)，对城市埋地燃气管道第三方破坏风险因素进行分析。

1 STAMP基本理论

STAMP是基于系统论的危险性分析方法，该方法从系统论的角度，将系统视为一个整体，把安全看作控制问题，认为事故是由不充分的控制和相关约束的缺失所造成的。在此模型中最基本概念不是事件，而是约束。事故的根源被认为是系统在设计、开发和运行中与安全有关的约束缺乏控制或充分执行，从而导致组件异常交互。在系统中实施分层控制，上层约束下层，下层将信息反馈给上层，上层再针对反馈的信息调整对下层的约束，实现动态平衡。在此基础上，一旦发生组建失效、外部干扰、以及系统内部组件交互问题不能妥善解决等情况时，事故就会发生。

2 STPA分析方法

STPA是一种基于STAMP致因模型的风险分析方法，能识别设计(包括软件设计)、部件交互事故、认知复杂决策的失误、促使事故发生的社会、组织和管理因素，适用于系统全生命周期[6]。STPA在运用过程中涉及功能框图、需求、系统危险安全约束以及部件安全需求[7]。具体分析步骤如下：

(1)定义系统安全风险和关联的安全约束。事故是意外的、不期望的损失事件，这些损失可能涉及人员伤亡，或其他重大的损失，包括任务、设备、经济及信息损失[8]。这样的安全问题被看作控制问题，可以通过在设计、施工、运营中实施恰当的安全约束来避免事故的发生。

(2)定义安全控制结构。在系统理论中，系统就是一种分层结构，上一层给下一层实施控制，下层向上层进行反馈。当实施的控制存在缺陷时，事故就可能发生。控制层之间的通信通道如图1所示。

图1 控制层间通信通道

(3)识别潜在不充分控制。风险是由不恰当的控制所导致，风险辨识需要找出不充分的控制。不充分控制的发生有如下原因：①未提供或者没有遵守安全所要求的控制；②提供一个不安全的控制；③过早或过晚提供可能安全的控制，即错误的时机或时序；④安全的控制结束的太快或作用事件太长[8]。

(4)分析潜在的不安全控制行为原因。对于每一个不安全的控制，要检查控制回路的各个部分以确定是否会导致这些控制发生，并且需要考虑随着事件的推移这些控制会如何退化并建立防护[8]。南希·莱文森将事故致因分为3类：控制器操作；执行器和被控过程的行为；控制器和决策者之间的沟通和协作，如图2所示。

3 燃气管道第三方破坏风险因素分析

3.1 燃气管道第三方破坏系统危险和安全约束

STPA方法实施的第一步为确定系统存在的危险、系统级的安全约束，以及在实现这些安全约束过程中需要采取的控制。在此系统中存在的危险为运行的燃气管道受到来自第三方的破坏致使燃气管道泄漏，第三方破坏主要形式有占压、交通荷载、机械挖掘等几种形式。为保障系统安全运行，降低事故发生概率，此系统应具备如表3所示安全约束。

图2 导致危险的控制缺陷分类

表3 埋地燃气管道第三方破坏的设计约束

3.2 定义安全控制结构

准确地绘制安全控制结构图是应用STPA的基础。研究者对我国某大型燃气企业深入地调研并结合相关资料，绘制了燃气管道第三方破坏系统安全控制结构图，如图3所示。该图主要分为2个部分——系统开发和系统运营，开发和运营过程中都涉及到了系统的安全，任何一个部分都不可能独立地进行，在运营过程中的安全性有一部分来源于设计和开发过程，并受到运营过程中实施的控制的影响，因此2个部分存在信息的流通并相互影响。

得到上述安全控制结构后下一步是进行缺陷分析，即将安全需求和约束映射到结构中每一个组件，分析目前设计是否存在漏洞，并对安全控制结构进行评估以确定需求和约束是否有效实施。为此对于安全控制结构中的每一个组件都需要确定其整体作用、责任、控制、过程模型需求、协调和沟通需求、背景(环境和行为塑造)因素等信息，这些信息极大地影响着约束的执行和信息的反馈[8]。

3.3 识别潜在不充分控制行为

STPA理论将危险控制分为4种类型：未提供或不遵守安全所要求的控制；提供不安全的控制从而导致危险；所提供的潜在安全控制太晚、过早或无序；控制结束太快或应用时间过长(对连续或非离散的控制而言)。结合图2对燃气管道第三方破坏系统中每一个组件以及每个组件的责任进行分析，辨识出每一个可能导致危险的危险控制，如表4所示。

3.4 风险因素分析

通过对安全控制结构中组件的控制进行危险分析，辨识出了可能导致系统危险的控制行为，下一步就是要对识别出来的危险控制的控制回路的各个部分进行辨识，分析出违反部件安全约束导致危险控制的场景即辨识危险是如何发生的。要生成致因场景，就需要将危险控制代入部件的过程模型中，如图2所示。为了全面地辨识导致系统危险的致因因素，需要对每一个危险控制进行辨识。

以第三方作业前未与燃气单位技术交底为例，图4运用过程模型对其进行了致因分析。此过程模型以燃气单位HSE办公室作为控制器，对技术交底过程进行控制。控制器实现的方式是对第三方进行安全宣传，使第三方了解作业前应该进行的流程，使其具备一定的安全意识。具体操作需要第三方来执行，整个过程巡检人员需要进行监督，当巡检人员发现未技术交底的作业时，应向HSE办公室进行反馈，控制器再针对反馈结果对控制进行调整以实现动态的控制过程，在此过程中存在的风险因素如表5所示。

图3 燃气管道系统安全控制结构

表4 辨识危险系统的行为

图4 未技术交底的致因分析

表5 未技术交底的风险因素

依次对所有的危险控制进行致因分析，可以得到如表6所示24个埋地燃气管道第三方破坏风险因素。

表6 第三方破坏风险因素

3.5 风险管理建议措施

从分析结果来看，埋地燃气管道第三方破坏的风险控制，不应该局限于对第三方的控制，更多的应该从根源入手。

(1)加强对燃气管道设计的管理。设计不仅需要满足相关的标准，更应该与现场实际相结合，当现场埋深不能满足设计要求时，要设计合理的保护措施。在施工过程中，严格按照流程进行设计变更，确保管道埋深走向等情况能正确记录备案。

(2)加强对管道建设单位的选择、监督和管理。建设单位人员的安全意识和专业技能，直接关系到埋地燃气管道的质量和安全性，而未达到要求的燃气管道，更容易受到来自第三方的破坏。因此在合作单位的选择上应该更严谨慎重，加强过程的监督和管理。

(3)建立健全燃气管道巡查、维护等制度。经过长时间的使用、地理环境变化等，燃气管道的埋深、质量都将不再符合安全需求，及时的维护和整改是非常必要的。同时，巡查还能直接发现来自第三方的破坏，及时地沟通和技术交底以避免第三方的破坏。

4 结语

采用基于系统思维的安全分析方法，通过建立系统安全控制结构，找出危险控制并进一步分析控制缺陷的致因，得到城市埋地燃气管道第三方破坏的风险因素。该方法贴合工程实际，且条理清晰，过程严谨，得到的结果真实可信，为系统优化、风险控制提供了理论依据。