李伟,胡甚平,陈伟炯,陶潇颖,田力
(1.上海海事大学 商船学院,上海 201306;2.江苏航运职业技术学院 航海系,江苏 南通 226010;3.上海海事大学 海洋科学与工程学院,上海 201306)
液化天然气(liquefied natural gas,LNG) 是一种绿色、高效、环保的能源,具有广阔的应用前景[1],与常规石油燃料相比,LNG燃料具有易泄露、易燃、易爆的危险性;这些特殊的理化属性使得LNG动力船的发展和应用安全问题备受业界关注,LNG 动力船一旦出现燃料泄漏可能会导致船舶发生火灾、爆炸、船舶失速、失控等衍生性事故,对船舶、从业人员及港口环境的安全都会带来严重影响。因此,针对LNG动力船航行过程风险演变研究有助于科学认知该类型船舶作业模式和机理。
船舶及燃料供应设备的可靠性是LNG动力船安全营运的关键,《国际气体与低闪点燃料动力船舶指引》[2]的颁布对LNG动力船船舶机械、设备和系统布置与安装提出强制要求,从规则层面为船舶及燃料供应设备可靠性提供保障。在此基础上,Wan[3]运用安全评估方法研究LNG动力船发动机的可靠性,Kwak[4]对 LNG 燃料船的制冷过程进行工艺设计和优化,以提高闪蒸汽(boiled off gas,BOG)再液化能效;针对事故概率较高燃料加注环节,Jeong[5]辨识出 LNG燃料加注的潜在风险,Fu[6]运用仿真技术研究加注过程泄漏事故风险;对LNG燃料泄漏后果研究方面,Li[7]得出 LNG 泄漏时发生火灾的危险程度,并对发生蒸汽爆炸等风险进行分析,Davies[8]运用解析模型研究 LNG 安全防护距离。LNG动力船是涉及人、机、燃料、管理多要素的复杂系统,系统要素之间存在高度的关联和耦合关系,致使船舶系统风险不断涌现。上述研究成果对LNG动力船营运和发展起到良好的促进作用,但未能对LNG动力船营运过程中燃料的存储、使用与船舶航行作业的耦合风险进行研究,尤其对LNG动力船在受限水域航行过程风险耦合机理研究尚未涉及。
目前,面对复杂系统耦合性和涌现性的特征,学者开始用系统思维来考虑系统安全性问题,提出了基于系统思维的安全性分析与控制方法(systems-theoretic process analysis,STPA)分析方法[9],要求按照通过系统危险、安全控制结构、不安全行为、不安全行为形成原因等分析步骤完成危险分析过程。系统理论事故建模与过程模型(systems-theoretic accident modeling and processes,STAMP)是研究复杂系统涌现的典型模型[10]。近年来,STAMP已被广泛应用在医疗健康[11]、交通[12-13]、航空航天[14]等领域。STAMP 将系统安全性看作是控制问题而不是组件失效问题,认为事故的发生源于组件失效、外部环境干扰和组件交互没有有效控制,进而超出系统安全约束。作为传统综合安全评估方法的拓展[15],随机过程下的船舶航行风险也取得一定进展。胡甚平等[16-18]提出基于人工智能云模型的蒙特卡洛方法、马尔可夫链研究过程风险,通过转移矩阵来分析风险性态,在量化复杂系统运行风险进行了积极尝试。
本文以STPA方法为范式,对LNG动力船航行的控制过程进行安全性分析,在识别系统组件和外部干扰因素的基础上,提出LNG动力船航行过程风险的STAMP模型,采用马尔可夫链(markov chain)和云模型(cloud model)并构的方法进行过程安全动态仿真,研究LNG动力船航行过程风险演变。
过程风险是系统运行过程中,任一时刻系统风险性态的动态表征,是风险因素作用下的不确定(随机)事件相互耦合的结果[15]。船舶航行过程风险是在时序状态下,受船舶设备(硬件/软件)、外部环境、船员等多种因素的影响,船舶系统风险在安全状态和危险状态之间不断发展、演化的过程。
假设Rt为某一具体时刻船舶风险的性态,S={r}为安全与完全失效范围内的空间,若对于任一个时间参数t∈T,X(r,t)为S上随机的风险性态,且对任意一个g(l)∈S,X(r,t)为t的函数,那么称{X(r,t),t∈T,l∈S}为船舶航行过程风险。
LNG动力船航行过程风险是在时序状态下,以外部环境为背景,船舶系统和LNG燃料系统不断耦合交互,系统风险性态连续变化的过程:
(1)
其中,耦合风险为:
(2)
(3)
风险的性态宏观上表示某一时刻(阶段)风险的状态,微观上是风险机理的变化性质及表征,性态用于风险研究,更能体现风险在时间上的过程性和空间上的传播性[16]。本文引入可靠性理论中的“失效”概念,用失效程度来描述风险性态的程度,将风险的性态划分为安全R1∈[0,1.5)、个别失效R2∈[1.5,2.5)、部分失效R3∈[2.5,3.5)、全部失效R4∈[3.5,5] 4个区间,当系统的失效程度达到一定标准,即为危险。
由于船舶燃料LNG理化性质的特殊性,船舶对船员安全操作和应急能力提出了更高的要求,船员的管理水平、作业经验、决策能力、安全意识、应急能力、操作规范程度等都是影响船舶安全状态的决定因素。LNG动力船燃料系统的泄露风险存在于燃料充装、储存和使用3个阶段,集中于船舶的气罐处所、机器处所、充装处所与管线(含附件和阀件)等“三所一线”中。就作业过程而言,船舶航行过程中燃料的使用过程一般分为3阶段:前期准备、燃烧使用和关停前的吹扫等,前一步骤的安全状态对下一步的工作有直接的影响[17]。
事故的发生是一种涌现现象,根源在于复杂的部件交互导致系统结构的突变,而涌现是层次结构的跃迁,因此事故致因为动态的网状结构[15],借助网络模型可逻辑描述该安全控制结构[10]。根据LNG动力船作业流程和组件交互状况,分别以船舶和LNG燃料为中心构建安全上下控制结构,上部控制回路为船舶子系统,下部控制回路为LNG 燃料子系统,为船舶提供动力保障。
分层控制回路分析是使用STPA进行事故致因分析和建模的主要途径,一般是将复杂系统分成若干层次结构,各层级间通过控制回路来实现通信和控制,保持动态平衡。
通过构建由控制器、控制过程、传感器和执行器构成的反馈控制回路,重点关注时序变化和外部扰动影响下,系统组件间的耦合、交互作用,分析不安全控制行为的性能和逻辑表征,辨识不安全控制作用和场景。LNG动力船系统风险来自船舶内在风险、LNG燃料附加风险以及时序变化下两者与外部环境扰动的耦合和演化风险。两回路各自循环运行并在外部环境的干扰下进行耦合,在时序变化下不断输出自身的状态信息。两回路中关键组件与LNG动力船系统组分的对应关系如表1所示。
表1 LNG动力船控制系统组分Table 1 Division of LNGFV system components
2.2.1 船舶系统STAMP 模型
LNG动力船船舶系统风险控制过程如下:在某时刻,传感器(导助航仪器)采集到被控对象(船舶)在外界环境(自然、交通环境等)影响下的状态信息(位置、性能等)。通过人机交互将信息传递给控制器(船舶决策系统),控制器经信息处理、分析和判断给出具体控制策略,并以指令的形式通知执行器(现场作业人员),执行器将具体操作施加于被控对象,形成船舶新的状态,从而进入下一时刻。若所采取控制措施及时、准确、有效,则系统处于安全状态。目前LNG动力船控制器以人工为主,自动控制器(自动舵、ECDIS等)辅助决策,基于安全控制结构描述了复杂系统的控制过程,该模式为船舶系统STAMP模型。
2.2.2 燃料系统STAMP 模型
与传统动力船舶不同的是LNG动力船舶将LNG作为燃料,LNG使用过程影响船舶安全。燃料使用过程风险是LNG动力船的叠加风险。燃料LNG系统依然由LNG、传感器、控制器和执行器组成。一般地,储罐及管系、阀件定义为控制对象,温度、压力及储量检测设备定义为传感器,轮机部管理船员定义为控制器,现场作业人员,定义为执行器,LNG系统的STAMP模型如图1所示。
图1 燃料安全控制结构STAMP 模型Fig.1 STAMP model on LNG fuel work process
船舶航行时燃料供应过程如下:在某时刻,确定的燃料状态通过系统中各组件的交互实现通信和控制,从而形成LNG新的状态,从而进入下一时刻。LNG动力船航行时燃料的使用过程可分为3个阶段:准备阶段、使用阶段和关停前的吹扫阶段,这3个阶段按顺序执行,前一阶段对下一阶段的安全状态有直接的影响。燃料系统 STAMP 模型的构建印证了3层防护机制的有效性,即监控系统(传感器)为第1层防漏层,轮机部管理级船员(控制器)的自动化控制为第2层止漏层,现场作业人员(执行器)应急操作和处理为第3层治漏层。
LNG动力船除面临着发生碰撞、搁浅等一般性船舶风险,其还面临着因LNG泄露导致火灾、爆炸、船体低温损伤、船舶失速等特有风险。根据 STPA 分析方法,造成系统事故发生或危险出现的原因包括系统组件失效、外部干扰以及系统组件间的不良交互作用,以上原因均可能使系统控制回路中出现不恰当的控制行为或错误反馈信息,从而导致危险的发生。因此,可从组件失效、外部干扰以及组件交互等3个维度来构建LNG动力船系统风险成因体系(不安全行为成因),如图2所示。
图2 LNG动力船系统风险成因体系Fig.2 Risk elements of LNGFV system
2.3.1 组件失效
组件失效是指系统中1个或多个组件出现故障或不安全的状态,在缺乏有效控制的情况下发生级联效应,从而引发系统事故的情形。STAMP模型中组件失效可以分为控制器、执行器、被控对象和传感器失效,对LNG动力船而言,船舶系统及LNG燃料系统两控制回路的组件失效可参照图2中选取风险因素指标。
2.3.2 组件交互
组件交互是系统组件间通过能量、信息传递以达到通信和控制的过程,LNG动力船STAMP模型中涉及人与人、人与机、机与机间多次交互,交互过程中会将船舶及LNG燃料状态信息,传感器的监测信息以及控制器的操作指令信息等进行传递,通过控制回路逐层控制,反馈信息的准确性、完整性、及时性,操作信息和动作的有效性都决定着系统的安全状态。其中包括船舶系统和LNG 燃料系统组件因素各8个,计C1j、C2k,j,k=1,2,…,8。
组件交互的过程实际上是系统风险性态转移的马尔可夫过程,可以用转移矩阵(变量)Ti来表示,具体含义见表2。组件的交互会导致系统风险的性态在遵循马尔可夫过程进行传递演化,进而导致系统风险涌现,甚至导致危险程度加深造成事故。
表2 系统组件交互的对应关系Table 2 The correspondence of system component interaction
2.3.3 外部环境干扰
扰动往往导致安全约束在传递过程中丢失、延误或错误,进而引发系统事故或危险发生。在 LNG 动力船舶航行中燃料使用过程会受到外部环境的干扰,这些因素包括风、潮汐、能见度等自然环境,航道水深、航道宽度、航道弯曲度等航道条件,以及船舶密度、交通复杂程度、交通服务等交通环境,上述因素的干扰,会使得船舶在航行过程中风险形成机理更加复杂,且在受到多因素多组件交互后风险演化路径会变得更加复杂,亦可能呈现突变的可能。在时间序列上,每一次内部控制系统交互的初始或终了时期会遭遇环境因素干扰,由此形成扰动随机现象。
鉴于前述内容,这里假定控制系统是一组具有马尔可夫性质的离散随机变量的集合,用以量化研究船舶航行过程中的风险变化趋势。由此,本文引入云模型和马尔可夫链同构的方法对LNG动力船航行过程风险进行动态仿真,目的是解决多风险因素合成问题和获取转移变量的统计数据。
1)数据采集。
根据LNG动力船航行场景信息,收集船舶系统、LNG燃料系统各组件及外部环境指标的主观数据和客观数据。由于观测变量具有随机性和模糊性,采用人工智能云模型来实现定性定量化。求取相应的云参数特征值:(Ex,En,He)i,i=1,2,3,…,25确立不同采样点下风险因子的表征。
2)因子合成。
由于多因素引发风险结果,需对多因素测量结果进行合成处理,本文采用常规的权重合成方法,选用层次分析法法求取各风险指标的权重值ωi,分别计算船舶、LNG和环境子系统的数值。
3)风险性态。
通过对风险因子的数据运用云变换求得船舶系统或子系统在t时刻风险性态的状态云模型 (Ex,En,He)t:
(4)
4)初始条件的设定。
5)转移矩阵的确定。
目前离散时间马尔可夫链转移矩阵的求取主要有3大类方法,即通过数学统计法获得、通过求解线性方程组获得、通过二次规划法获得。根据数据获取特点和所使用的计算工具,本文选用数学统计法求取转移矩阵。根据求得各个采样点的风险性态的状态云参数,由其通过云发生器产生云滴,对云滴所属4个风险性态进行统计,确定各个采样点的状态分布,进而求得初始状态与不同采样点之间的状态转移矩阵。
6)仿真及风险的量化。
根据LNG动力船航行过程风险测度模型,进行C-MC仿真,在得到船舶航行过程中4个风险性态之后,进一步对其进行量化处理,船舶航行过程中具体风险值R为:
(5)
以LNG 动力船“B轮”从长江口锚地起锚航行至外高桥港区二期码头靠泊为例,通过对船舶航行风险的动态仿真来验证STAMP模型的适用性。
“B轮”选择在潮汐预报站“中浚”高潮前5 h起锚进港,由上海港北槽深水航道进入,途经圆圆沙警戒区、外高桥航道和外高桥沿岸航道,航程约92 km,用时约5 h。以船舶航行0.5 h 为1个时间单位对LNG动力船状态进行数据采集,由此确立11个时间序列样本。
根据LNG动力船航行过程风险STAMP模型,参照系统组件、外部环境、组件交互等3个维度确立25个风险影响因子,这些因素的判别数据源分为定性判断和定量数据,如船舶通讯、导助航仪器状态,船员的适任能力等采用定性描述,LNG仪表监测和环境条件等采用定量数据描述。根据设定的情景条件,邀请具有该水域航行经验的船舶驾驶人员和相关引航员15名专家进行调查,采用李斯特1-5标度法针对采集数据信息进行风险状态值评判,并对确定的评价指标的数值进行云参数计算,由此得到整个航段航行期间不同时刻的外部环境因素风险云图(部分数据如图3所示,主要表示航道地理因素、自然气象因素和交通通航因素等)。
3.2.1 初始状态变量
根据初始阶段状态数据,运用还原云滴获取离散风险状态,统计得出R1、R2、R3、R4风险性态分布,然后结合AHP算法得出的各指标权重值,将具有随机性和不稳定性的初始值进一步运用式(4)进行云变换,分别计算出船舶系统及LNG燃料系统风险性态的初始分布:
(6)
图3 “B轮”航行不同时刻外部环境扰动风险云图Fig.3 Cloud distribution map of risk state of external environmental factors at different times
另外,各样本点下环境因素的状态矩阵依据式(4)进行计算,获取(Ex,En,He)t,从而确定SEi。经升云运算确定新的状态矩阵。
3.2.2 转移矩阵
在LNG动力船STAMP模型中,1个反馈回路中涉及人与机之间4次交互,交互的过程是组件间能量和信息的传递过程,亦是系统风险性态的转移过程,转移变量(矩阵)具有较强的波动性和随机性。若假定LNG动力船各组件交互过程中风险性态Ri→Rj(i,j=1,2,3,4)的转移次数Pij(t)服从高斯分布,且组件交互过程不发生风险性态的突变,即风险的性态仅在Ri→Rj(|i-j|≤1之间转移[16],那么对原始数据进行多次仿真统计后,可确定任意随机转移矩阵变量值,考虑到转移矩阵中需要下一个状态转移概率和为1,故需对变量进行行向量归一化计算[18]。因篇幅问题,这里采用随机变量来描述时间样本值,分别表达各子系统间的转移矩阵,见式(7)、(8)是某一个归一化以后的变量样本。
(7)
(8)
3.2.3 液化天然气燃料使用过程风险性态耦合仿真
为辨析LNG 燃料使用期间船舶系统风险性态的耦合过程,以式(6)船舶系统和LNG燃料系统的初始状态作为输入,选取风险值较小的T2时刻外部环境变量作为环境输入,经1 000次仿真之后,得到LNG动力船在前期准备阶段和燃烧使用阶段的过程风险仿真结果,如图4所示。仿真结果表明:
1)在外部环境风险较低的情况下,LNG动力船燃料使用过程风险维持在较低的水平;
2)船舶系统和LNG燃料系统风险性态的变化过程基本一致,在系统运行的初始阶段,风险略有上升,运行一段时间后,风险的性态维持在较为稳定的状态;风险的变化体现了系统组件交互的过程,风险趋于稳定是系统组件间信息交互及时和人的控制行为有效的结果;
3)船舶系统的风险略高,说明在LNG燃料系统运行正常的情况下,LNG动力船系统风险主要来自船舶航行风险。
图4 单一环境下LNG动力船风险仿真Fig.4 Process risk simulation of LNG-fueled vessels with single environment
3.2.4 过程风险性态灵敏性分析
为更好地描述LNG动力船航行过程风险的演化过程,同时对仿真模型的灵敏性进一步检验,对“B轮”从长江口锚地起锚航行至外高桥港区二期码头靠泊整个过程进行模拟仿真,对应LNG燃料系统的使用过程依次经过前期准备、燃烧使用和关停前吹扫3个阶段。根据以上情景模式的设定,以式(6)作为船舶系统和LNG燃料系统的初始状态,在时序的状态下,依次输入t0~t10时刻的环境变量,经1 000次仿真之后,得到LNG动力船航行过程风险仿真,如图5所示。
图5 真实环境下LNG动力船航行过程风险多次仿真Fig.5 Process risk simulation of LNG-fueled vessels during its voyage with real environment
对比图4和图5综合分析,可以得到以下结论:
1)LNG动力船航行风险在燃料使用初始与结束阶段风险值较高,在正常供应阶段风险值呈现平稳态势。初始阶段,船舶系统和LNG燃料系统均呈现风险上升的趋势,且船舶系统波动性略大;一方面,由于船舶处于启动阶段,设备运行状态尚不稳定,组件间交互和控制需要一个过程,另一方面,LNG燃料系统在初始使用阶段风险值较高,易发生燃料泄漏风险,甚至会出现燃料泄漏导致船舶失速。结束阶段,LNG燃料系统同样易发生燃料泄漏;
2)组件间的交互过程是LNG动力船航行风险控制的重要环节,信息反馈准确、及时和控制行为及时、有效是保障系统平稳运行的必要条件,为此对LNG动力船营运安全管理需重点关注:一是充分利用当前物联网和人工智能技术,船舶上加装更多的智能辅助设备及传感器,以实时监控船舶系统和LNG燃料系统的实时状态,一旦发现异常及时处理;二是加强对船员安全教育和业务培训,尤其针对LNG特殊理化属性的专业培训,以提升其安全操作意识,规范其安全操作程序,以及处置LNG泄漏、火灾等突发事件的应急能力;
3)在目前船舶工程技术和LNG燃料应用技术日趋成熟的背景下,LNG 系统和船舶系统本身均具有较高可靠性,LNG动力船航行风险主要表征为外部环境影响下的船舶航行系统风险,其次为由外部环境引发的LNG燃料耦合风险,如LNG泄漏导致火灾、船舶失速等,因此传统的交通风险依然是LNG动力船需要重点防范的风险;
4)LNG动力船营运过程风险实质上是船舶内在风险、LNG燃料附加风险以及时序变化下两者与外部环境扰动的耦合和演化风险,燃料使用始末阶段LNG的泄漏以及由此引发的火灾、船舶失速风险需重点防范。
1)本文以复杂系统为对象,引入STPA方法,通过系统危险、安全控制结构、不安全行为、不安全行为形成原因等分析步骤完成过程风险分析。实现经典事故致因理论的集成与发展,能达到复杂网络下基于控制模式的风险分析目标。
2)构造LNG动力船航行和燃料使用的过程风险仿真模型,对设定场景条件下LNG动力船进港到靠泊全过程进行风险演化仿真。风险演化曲线符合“浴盆曲线”的规律,LNG动力船舶航行安全受外部环境干扰影响明显。
下一步研究是建立外部环境干扰、组件失效、组件交互更为详细的风险分析树,通过定量方法对风险级别进行标识。