徐康凱,胡瑾秋,董紹華,陳怡玥,馮凌銨

(中國石油大學(xué)(北京) 安全與海洋工程學(xué)院，北京 102249)

0 引言

港口LNG卸料系統(tǒng)在介質(zhì)轉(zhuǎn)運和儲存過程中起重要作用。自20世紀(jì)60年代起，液化天然氣工業(yè)開始發(fā)展海上運輸產(chǎn)業(yè)，根據(jù)2000—2014年LNG行業(yè)事故統(tǒng)計[1]，國內(nèi)外陸地LNG工業(yè)共發(fā)生160余起事故，其中32起發(fā)生在卸料過程中。我國液化天然氣產(chǎn)業(yè)處于新興階段，目前還沒有關(guān)于卸料系統(tǒng)嚴(yán)重事故的數(shù)據(jù)記載，但據(jù)某接收站2018—2021 年的維修記錄發(fā)現(xiàn)[2]，卸料系統(tǒng)作為港口基礎(chǔ)設(shè)施，除自身主結(jié)構(gòu)出現(xiàn)故障外，裝置的工藝系統(tǒng)、液壓系統(tǒng)和控制系統(tǒng)均出現(xiàn)過不同程度的故障，并且故障存在級聯(lián)效應(yīng)。

針對系統(tǒng)的故障識別和傳播，國內(nèi)外通常使用危險與可操作分析(Hazard and Operability Studies，HAZOP)和故障模式影響和危害性分析(Failure Mode Effects and Criticality Analysis，F(xiàn)MECA)定性分析卸料系統(tǒng)工藝風(fēng)險以及可能產(chǎn)生的事故路徑。為定量研究卸料終端的風(fēng)險和故障傳播，人員采用以概率為基礎(chǔ)的網(wǎng)絡(luò)故障模型，Yun等[3]、Kammouh等[4]結(jié)合貝葉斯網(wǎng)絡(luò)(Bayesian Network，BN)、動態(tài)貝葉斯網(wǎng)絡(luò)(Dynamic Bayesian Networks，DBN)給出基礎(chǔ)設(shè)施工藝的危險路徑；Zhao等[5]在供水網(wǎng)絡(luò)中提出隱馬爾科夫模型(Hidden Markov Models，HMM)，實時追蹤用水情況和預(yù)測出用水高峰期，避免設(shè)施故障帶來的用水隱患。然而故障傳播模型難以確定變量之間的條件概率和時間片的關(guān)系。因此，國外學(xué)者從圖論角度進行研究，Smith等[6]、Mogle等[7]分別運用FRAM、STAMP方法建立航空交通安全管理網(wǎng)絡(luò)模型，明確異常故障發(fā)生情景，但2種方法均難以處理大規(guī)模的計算；國內(nèi)學(xué)者在飛機系統(tǒng)故障風(fēng)險評估、中心組件故障傳播、數(shù)控車床故障傳播機理等領(lǐng)域分別建立有向圖模型[8-11]，模型描述了系統(tǒng)內(nèi)部深層因果關(guān)系及故障風(fēng)險因素信息，解決傳統(tǒng)故障風(fēng)險評估方法應(yīng)用中風(fēng)險辨識與評估缺乏系統(tǒng)性和一致性的問題；馬曦等[12]基于IRML建立油氣加工系統(tǒng)多層次故障傳播模型，使單層網(wǎng)絡(luò)的級聯(lián)故障的時間效應(yīng)得以表征；Hu等[13]建立海上LNG卸料系統(tǒng)彈性基礎(chǔ)設(shè)施模型，揭示由于惡劣天氣因素，單層物理設(shè)備網(wǎng)絡(luò)故障產(chǎn)生的機理。隨工業(yè)系統(tǒng)的逐漸復(fù)雜，通常1個網(wǎng)絡(luò)中的特定節(jié)點與另1個網(wǎng)絡(luò)中的特定節(jié)點交互。基于此，引入相互依賴網(wǎng)絡(luò)的概念和分析理論來描述LNG接收站物理設(shè)備網(wǎng)絡(luò)(P-Net)、基于信息和通信的網(wǎng)絡(luò)(C-Net)和基于人類行為的社會網(wǎng)絡(luò)(H-Net)之間的相互作用，側(cè)重于評估網(wǎng)絡(luò)的靜態(tài)指標(biāo)[14]。本文重點以時間為函數(shù)，研究港口LNG卸料系統(tǒng)H-Net和C-Net的故障在P-Net中的傳播規(guī)律。

1 LNG卸料系統(tǒng)網(wǎng)絡(luò)建模及靜態(tài)風(fēng)險分析

1.1 單層網(wǎng)絡(luò)的IRML模型

IRML將基礎(chǔ)設(shè)施表示不同系統(tǒng)的聚合，作為一種圖形化語言構(gòu)建域、資源、服務(wù)的互聯(lián)元素并通過它們之間的關(guān)系進行操作。LNG卸料系統(tǒng)物理設(shè)備層、信息層、人員操作層及IRML模型示意如圖1所示。其中，物理設(shè)備層以服務(wù)層面建模，包括場站供電、船泵輸送、卸料臂運輸、緊急釋放系統(tǒng)(Emergency Release System，ERS)、BOG回船平衡壓力、人機交互實時監(jiān)控以及LNG儲存[15]。每個服務(wù)均由各自系統(tǒng)和域產(chǎn)生，控制關(guān)系起著重要作用。以卸料臂運輸為例，在卸料過程中，中控室的數(shù)據(jù)庫作為系統(tǒng)資源顯示卸料臂的壓力、溫度和流量，控制器實時控制快速連接裝置接頭(Quick Connection Device Connector，QCDC)，一旦工藝參數(shù)異常發(fā)生泄漏或船體漂移，QCDC自動斷開雙球閥關(guān)閉，卸料臂運輸過程中控制和被控制的關(guān)系由箭頭指向體現(xiàn)出來。物理設(shè)備層和信息層的服務(wù)也可依照此思路建立，明確裝置的域和其中的控制關(guān)系。

圖1 LNG卸料系統(tǒng)物理設(shè)備層、信息層、人員操作層及IRML模型示意

工業(yè)中大量事故是由于人的不規(guī)范行為造成的。在卸料過程和設(shè)備維修期間，中控室人員需要觀察設(shè)備，對比操作和維護要求，以此做出決策并下達命令，現(xiàn)場人員接收命令后采取措施執(zhí)行。同時，指揮員對實施程序進行監(jiān)督，并對可能發(fā)生的結(jié)果進行判斷。人員日常操作包括巡檢、人工輸入數(shù)據(jù)和記錄、人員評估、手動報警和裝置調(diào)整。由于人員身體狀況、精神影響以及操作培訓(xùn)不到位，人員誤操作在卸料過程中時常發(fā)生，具有一定風(fēng)險性，在設(shè)備故障傳播中有推動事故發(fā)展的危害作用。

1.2 卸料物理設(shè)備網(wǎng)絡(luò)的靜態(tài)風(fēng)險分析

在IRML靜態(tài)風(fēng)險分析模塊中，系統(tǒng)結(jié)構(gòu)作為模型主要研究對象。LNG卸料系統(tǒng)物理設(shè)備GDS結(jié)構(gòu)如圖2所示。物理設(shè)備層節(jié)點描述見表1。Filippin等[15]認(rèn)為IRML模型中的依賴結(jié)構(gòu)可進一步將模型轉(zhuǎn)化成目標(biāo)依賴結(jié)構(gòu)(Goal Dependency Structure，GDS)，卸料系統(tǒng)基礎(chǔ)設(shè)施物理設(shè)備層及節(jié)點含義依賴關(guān)系可以得到表示。GDS方法規(guī)定：1)若目標(biāo)節(jié)點指向某一節(jié)點，則該節(jié)點屬于目標(biāo)節(jié)點的關(guān)鍵集。2)若某節(jié)點指向目標(biāo)節(jié)點，則該節(jié)點屬于目標(biāo)節(jié)點的脆弱性集。對于每個關(guān)鍵集和脆弱性集都有1個耦合系數(shù)，其量化了目標(biāo)節(jié)點到2集合的距離大小。由此可知，故障傳播過程中，關(guān)鍵集體現(xiàn)故障傳播的深度，而脆弱性集表示故障來源的廣度。耦合系數(shù)的計算方法為目標(biāo)節(jié)點到關(guān)鍵集(脆弱性集)中各節(jié)點平均距離的倒數(shù)。依照IRML靜態(tài)風(fēng)險分析過程，以GDS結(jié)構(gòu)為對象，分別得到卸料系統(tǒng)物理設(shè)備層的關(guān)鍵、脆弱性集的節(jié)點，見表2。進一步計算網(wǎng)絡(luò)節(jié)點的耦合系數(shù)，如圖3所示。

圖3 LNG卸料系統(tǒng)結(jié)構(gòu)靜態(tài)風(fēng)險分析及耦合系數(shù)

表1 物理設(shè)備層節(jié)點描述

表2 物理設(shè)備層節(jié)點靜態(tài)風(fēng)險分析

圖2 LNG卸料系統(tǒng)物理設(shè)備GDS結(jié)構(gòu)

通過卸料設(shè)備物理層節(jié)點靜態(tài)風(fēng)險分析，G3具有最大的關(guān)鍵耦合系數(shù)和脆弱性系數(shù)；說明卸料臂節(jié)點受到擾動時，故障傳播速度最快，同時嚴(yán)重程度最高；與之相關(guān)的G8，G7，G6節(jié)點具有較大的關(guān)鍵耦合系數(shù)，在卸料過程中，LNG的低溫性會產(chǎn)生大量的BOG，若BOG系統(tǒng)受到干擾，設(shè)備承壓升高，甚至?xí)霈F(xiàn)超壓現(xiàn)象導(dǎo)致結(jié)構(gòu)破壞，介質(zhì)泄漏而爆炸；ERS安全聯(lián)鎖在卸料臂出現(xiàn)位置超限，介質(zhì)泄漏時會啟動，RTU一旦受到干擾，卸料臂無法及時斷開，影響船臂安全；人員在中控室進行狀態(tài)參數(shù)的監(jiān)測，人員和信息傳輸需要得到保障，否則物理設(shè)備的實時數(shù)據(jù)不能及時有效回傳，影響卸料進程和應(yīng)急決策。學(xué)者在案例分析中體現(xiàn)了G5故障傳播的動態(tài)性和嚴(yán)重性，G5具有較大的脆弱性系數(shù)，靜態(tài)分析結(jié)果與其一致。在后續(xù)動態(tài)分析中，將進一步關(guān)注人員誤操作和信息層的干擾對物理設(shè)備層故障的傳播和影響。

1.3 多層依賴網(wǎng)絡(luò)故障傳播建模

故障的產(chǎn)生和傳播具有多因素交叉和耦合特點，各層間節(jié)點故障依賴性的表征需要多層依賴網(wǎng)絡(luò)建模。

本文基于卸料系統(tǒng)的多層網(wǎng)絡(luò)結(jié)構(gòu)展示物理-信息-人員的依賴關(guān)系，以此為基礎(chǔ)研究卸料系統(tǒng)故障傳播特點。靜態(tài)的故障因素和動態(tài)的故障傳播是風(fēng)險控制的一體兩面，故障因素和路徑是風(fēng)險影響的一個維度。在動態(tài)建模中，表征故障情景需要時間維度進行刻畫，節(jié)點受擾動時間Td，節(jié)點緩沖時間Tf，節(jié)點恢復(fù)時間Tr見表3。隨故障傳播，每個節(jié)點賦予狀態(tài)變量x，如果目標(biāo)失效，則x=0，如果目標(biāo)可用，則x=1。節(jié)點狀態(tài)如式(1)所示：

表3 動態(tài)建模3類時間含義

r(x)=x1+x2+…+xn

(1)

式中：n為節(jié)點數(shù)量。

r(x)從擾動施加的瞬間開始分析，直到網(wǎng)絡(luò)恢復(fù)至初始條件，或其結(jié)構(gòu)崩潰。建模參數(shù)由故障模式?jīng)Q定，在LNG場站設(shè)備設(shè)施的維修臺賬和健康、安全和環(huán)境(Health、Safety and Environment，HSE)審核報告中，每件事件及其原因、故障報警時間、維修開始時間和持續(xù)時間等都有記錄。本文根據(jù)前期調(diào)研情況，對人員誤操作和信息層的故障事件進行整理。當(dāng)人員操作和信息交互通訊出現(xiàn)異常時，船靠泊問題、探測時間、液壓系統(tǒng)故障模式、安全聯(lián)鎖、監(jiān)測儀器數(shù)據(jù)傳輸、維修效率方面均會受影響，見表4。

表4 人員誤操作-信息層故障因素描述和影響

2 案例分析

2.1 人員誤操作故障因素的傳播

在卸料時，LNG介質(zhì)的壓力、流量、溫度參數(shù)在中控室進行監(jiān)測，可燃氣體泄漏一方面依靠固定裝置監(jiān)測，另一方面是人員在卸料平臺上觀測到“白煙”并及時和中控室聯(lián)系。由于卸料時間在10 h左右，人員很難做到注意力始終集中，在交接班時也會有監(jiān)測的間隔,而錯過最佳上報時間。場景中由于介質(zhì)泄漏，人員沒有及時上報，G6節(jié)點受到干擾，將此作為故障發(fā)生的起點，人員工作方式是在卸料過程中輪崗，設(shè)置Td以2 h為間隔的干擾模式,分別為2，4，6，8，10 h，LNG泄漏到最終引發(fā)火災(zāi)和爆炸需要時間積累，考慮到露天環(huán)境、海邊天氣及季節(jié)風(fēng)的情況，緩沖時間Tf估計值一般為3.5～8.0 h，恢復(fù)時間Tr估計值一般為1.5～3.5 h。

初始狀態(tài)如式(2)所示：

r(x)=x1+x2+x3+x4+x5+x6+x7+x8

(2)

每個節(jié)點沒有故障干擾，初始值為1，r=8；在故障傳播過程中，當(dāng)0

圖4 LNG卸料系統(tǒng)設(shè)備人員觀測不同擾動時間下的故障傳播(Tf =3.5 h，Tr =3.5 h)

對于G6的擾動情況，當(dāng)Td=2 h，由于系統(tǒng)緩沖，系統(tǒng)的狀態(tài)不會隨時間變化而波動，r=8。當(dāng)Td=4 h，系統(tǒng)狀態(tài)有波動的情況。在經(jīng)過緩沖時間后，系統(tǒng)的狀態(tài)值r=7，說明G6失效，再經(jīng)過1 h，系統(tǒng)狀態(tài)值降為4，說明G6的故障在G2，G3中傳播，人員不及時上報影響卸料臂運行，該時段是泄漏事故易發(fā)區(qū)；人員察覺故障，采取更具經(jīng)驗的人員交接，系統(tǒng)逐漸開始恢復(fù)直到各個節(jié)點正常，整個仿真時間r>4，系統(tǒng)沒有達到失效狀態(tài)。當(dāng)Td=6 h，G6故障在G2，G3傳播后，繼續(xù)傳播至G8，G5，由于沒察覺泄漏事故，狀態(tài)監(jiān)測的失誤最終傳至儲罐，影響B(tài)OG的處理，給卸料系統(tǒng)帶來介質(zhì)翻滾、火災(zāi)的風(fēng)險；在T=5.5 h，r=3，系統(tǒng)進入失效狀態(tài)，采取恢復(fù)手段后，直至?xí)r間T=9.5 h，整個系統(tǒng)趨于正常。當(dāng)Td=8 h，傳播時間T=6.5 h，r=1，故障傳至G4，G7節(jié)點，卸料管線壓力、溫度、流量異常，同時人員信息不及時導(dǎo)致ERS聯(lián)鎖命令無法下達，系統(tǒng)狀態(tài)進一步惡化，采取措施后，G6節(jié)點不能完全恢復(fù)，系統(tǒng)狀態(tài)r=7，處于降級狀態(tài)。當(dāng)Td=10 h，在系統(tǒng)狀態(tài)r=1后，由于節(jié)點擾動時間過長，系統(tǒng)不能恢復(fù)，完全失效。

通過仿真可以看出人員監(jiān)測失誤在卸料系統(tǒng)物理設(shè)備的傳播情況。隨人員誤操作時間Td延長，故障傳播深度變大，首先影響的是卸料臂和船泵裝置，緊接著故障傳至儲罐和BOG處理設(shè)備，最終導(dǎo)致ERS和卸料管線異常。不同節(jié)點干擾時間，給系統(tǒng)帶來不同程度的故障，當(dāng)Td=2～8 h，故障程度可以恢復(fù)，當(dāng)Td=10 h，系統(tǒng)崩潰失效。

2.2 SCADA系統(tǒng)故障因素的傳播

SCADA系統(tǒng)故障一般出現(xiàn)在信息傳輸單元，RTU和IDE模塊受局域網(wǎng)信號源干擾的影響，會有不穩(wěn)定波動現(xiàn)象，嚴(yán)重會導(dǎo)致信號中斷和通訊受阻，G7安全聯(lián)鎖和LNG流量調(diào)節(jié)命令不能及時發(fā)出，影響正常卸料從而引發(fā)危險事故。信息層的故障干擾時間小于人員誤操作故障干擾時間，傳輸模塊自身程序會有一定抵抗能力，然而僅靠自身防御不足以抵抗干擾。對于G7，設(shè)置Td=1 h，Tf=0.2，0.4，0.6，0.8 h，Tr=1 h。G7節(jié)點在不同緩沖時間下，仿真得到系統(tǒng)的故障傳播情況如圖5所示。

圖5 SCADA故障不同緩沖時間下的故障傳播(Td=1.0 h，Tr=1.0 h)

對于G7由于信號波動的故障傳播路徑，在不同緩沖時間下，系統(tǒng)故障最終傳播至G3。4種場景最終都能恢復(fù)至初始狀態(tài)，說明非蓄意的網(wǎng)絡(luò)信息故障經(jīng)過合理的恢復(fù)手段能減少其帶來的風(fēng)險，系統(tǒng)癱瘓可能性低。隨緩沖時間增大，故障從G7傳至G3的時間延長；同等恢復(fù)時間條件下，信息層防御性能越好，模塊恢復(fù)更快，從仿真結(jié)果可知，Tf=0.8 h的恢復(fù)時間較Tf=0.2 h節(jié)省了4倍。

隨信息技術(shù)的發(fā)展，SCADA信息網(wǎng)絡(luò)的魯棒性和可靠性增強，在抵御信號干擾、通訊受阻等非蓄意網(wǎng)絡(luò)攻擊方面展現(xiàn)了適應(yīng)性和優(yōu)越性。對于人為蓄意的網(wǎng)絡(luò)攻擊，其故障特點是干擾時間長，同時由于攻擊目標(biāo)針對網(wǎng)絡(luò)的防御系統(tǒng)，導(dǎo)致故障緩沖時間大大降低，從非蓄意網(wǎng)絡(luò)攻擊規(guī)律可以合理推斷，人為攻擊故障傳播更快，系統(tǒng)不可恢復(fù)的可能性極高，后果會遠遠超過預(yù)期。

3 結(jié)論

1)分別建立物理設(shè)備層(P-NET)、人員操作層(H-NET)及信息層(C-NET)的IRML模型，從節(jié)點關(guān)鍵集、脆弱性集及耦合系數(shù)的角度，靜態(tài)分析各節(jié)點故障來源廣度和影響深度，得到LNG卸料系統(tǒng)物理設(shè)備層的故障脆弱節(jié)點G3(卸料臂)、G5(儲罐)、G6(狀態(tài)監(jiān)測系統(tǒng))、G7(ERS安全聯(lián)鎖)。

2)在靜態(tài)分析基礎(chǔ)上引入時間維度，從故障干擾時間、緩沖時間及恢復(fù)時間動態(tài)表征人員監(jiān)測失誤和SCADA非蓄意攻擊的物理設(shè)備故障傳播情況，對復(fù)雜的卸料系統(tǒng)的故障依賴行為的揭示具有重要意義。

3)基于依賴網(wǎng)絡(luò)的研究，未來工作將繼續(xù)對人員不安全行為的故障傳播機理和人員蓄意攻擊網(wǎng)絡(luò)的故障模式進行深入探究，為設(shè)備維修決策和故障智能預(yù)警提供規(guī)律和數(shù)據(jù)支持。