基于STAMP/STPA的LNG船對船過駁系統(tǒng)安全性分析*

朱明昌 黃立文，2 謝 澄▲ 石 峰 陶可健

（1.武漢理工大學航運學院 武漢 430063；

2.武漢理工大學內(nèi)河航運技術湖北省重點實驗室 武漢 430063；3.中海油能源發(fā)展股份有限公司采油服務分公司 天津 300452）

0 引 言

近年來，隨著全球各國及國際組織加強對環(huán)境保護的重視程度，LNG因其是1種安全、廉價、高效的清潔能源，在可持續(xù)發(fā)展的能源領域內(nèi)得到了極為廣泛的應用。LNG海上運輸有著調(diào)配方便、操作靈活、供應充足等優(yōu)勢，國際LNG船隊規(guī)模及貿(mào)易密集度不斷擴大，LNG船對船過駁作業(yè)需求量也在不斷增加。LNG船對船過駁是將貨物LNG從母船轉(zhuǎn)運至子船的作業(yè)方式，從事海上運輸業(yè)務的LNG船由于尺寸、吃水等原因無法進江，發(fā)生緊急事故或有運輸業(yè)務需求時需要進行過駁作業(yè)，一般過駁的地點選擇在港口、錨地，計劃進行過駁的2船到達指定地點錨泊和系泊，連接LNG過駁管線，檢查液貨艙系統(tǒng)和相關設備，連接過駁軟管，打開人工和自動閥門，最后啟動泵。在過駁作業(yè)完成后，關閉泵，吹掃管路，然后斷開軟管。LNG船對船過駁作業(yè)十分復雜，整個作業(yè)過程嚴格按照LNG過駁規(guī)定的操作順序執(zhí)行，作業(yè)安全涉及2船的設備及人為操作等因素，且作業(yè)空間有限，一旦發(fā)生事故后果不堪設想[1-3]。

隨著LNG船對船過駁新技術和自動控制設備的引進，作業(yè)過程中面臨著新的安全挑戰(zhàn)，LNG船對船過駁系統(tǒng)主要由設備硬件、軟件、泵、軟管、管線、ESD、ERS，以及眾多的傳感器和控制閥等組成[4]，在特定情況下還需人工干預控制。在系統(tǒng)中，硬件故障、軟件故障、組件與控制器之間的交互問題和數(shù)據(jù)輸入錯誤或延遲進入計算機都是造成事故發(fā)生的原因。目前對LNG過駁作業(yè)領域內(nèi)的安全性研究分析較少，且影響過駁系統(tǒng)安全的因素眾多、各因素之間的關聯(lián)性較強，對LNG船對船過駁的安全性分析及事故模型構(gòu)建提出了難題。

目前，國內(nèi)外對LNG船對船過駁作業(yè)的研究較少，在LNG船舶作業(yè)安全研究方面，國內(nèi)外學者多采用故障樹（FTA）、事故樹分析（ETA）、故障模式影響及危害度分析（FMECA）等傳統(tǒng)方法[5]。Erik Vanem等[6]用事故樹的方法對全球遠洋液化天然氣運輸船的碰撞、擱淺、火災和爆炸，以及在終端裝卸LNG時發(fā)生的事故進行風險評估，得出發(fā)生碰撞風險最高。陳星星[7]基于故障樹理論，建立以LNG船裝卸作業(yè)泄漏事故為頂事件的故障樹模型，并對其進行定性和定量分析，求得各自的最小割集和結(jié)構(gòu)重要度系數(shù)并排序。張帆等[8]將綜合安全評估（FSA）引入到LNG燃料動力船安全性研究中，結(jié)合LNG儲罐部件基礎泄漏概率和事故后果模擬結(jié)果，對LNG燃料動力船壩間航行、過閘、錨泊及燃料加注等典型情景進行風險分析。然而，傳統(tǒng)安全性分析方法都是從線性角度針對失效關鍵部件進行獨立分析，未能考慮各部件之間的耦合性和協(xié)調(diào)性，尤其是對設備缺陷、軟件出錯、人為因素和非線性等問題缺乏準確的描述與分析，致使在復雜過駁過程和復雜系統(tǒng)的安全性分析中具有很大的局限性。

基于系統(tǒng)理論的安全性分析方法STPA在航空航天、交通運輸?shù)劝踩I域已經(jīng)逐步開展研究應用，鄭磊等[9]針對飛機在降落過程中的機輪剎車系統(tǒng)的安全性問題，構(gòu)建了STAMP控制關聯(lián)模型，運用STPA方法有效地分析了系統(tǒng)中不安全控制的關鍵原因，并對其不安全控制行為進行仿真研究，驗證了方法的有效性；孟祥坤等[10]針對深水井控的復雜性和動態(tài)性特點，將井控系統(tǒng)在鉆井過程中的安全性問題作為系統(tǒng)控制和反饋問題，運用STPA系統(tǒng)性安全評估方法分析了深水井控不安全的控制行為及關鍵因素，解決了復雜系統(tǒng)部件之間交互作用的評價問題；Chen等[11]將STPA應 用于1個子尺 度 無 人機(UAV)系統(tǒng)起飛危險性分析，論證了STPA應用于復雜無人機系統(tǒng)的潛在可行性。識別了飛機起飛過程中的不安全控制行為及其相應的控制缺陷，規(guī)定了不同層次的安全約束條件。基于STAMP/STPA的安全性分析方法是將安全問題轉(zhuǎn)化為控制問題，通過施加安全約束、建立分層控制結(jié)構(gòu)和分析過程模型以識別系統(tǒng)各階段存在的不安全控制行為，分析事故原因[12]。然而，基于STAMP/STPA在船舶交通領域的工業(yè)作業(yè)過程的安全性分析研究幾乎沒有，本文對于該方法在LNG船對船過駁復雜系統(tǒng)的安全性問題研究提出應用，STPA方法側(cè)重于分析系統(tǒng)的動態(tài)行為，能夠加強人、環(huán)境、軟件、設備在過駁作業(yè)過程中之間的關聯(lián)、有效識別更多非線性問題，同時考慮到系統(tǒng)中未發(fā)生故障組件之間的不安全交互相關問題，準確地識別出在船舶過駁作業(yè)過程中的潛在安全性問題。

針對以上現(xiàn)實背景以及LNG船對船過駁作業(yè)安全所面臨的挑戰(zhàn)，本文以LNG船對船過駁作業(yè)為研究對象，提出基于STPA方法對LNG船對船過駁系統(tǒng)進行安全性分析，構(gòu)建過駁系統(tǒng)的STAMP控制關聯(lián)模型，識別系統(tǒng)級事故和危險，從控制反饋的角度轉(zhuǎn)化成3類主要缺陷的過駁系統(tǒng)潛在不安全控制行為，根據(jù)改進的STPA致因場景分析模型，分析了產(chǎn)生系統(tǒng)級危險的關鍵致因，并根據(jù)控制原理提出相應的建議措施。

1 STAMP/STAP工作原理

美國N.Leveson教授[13]提出了STAMP模型，STAMP模型是基于系統(tǒng)理論和控制理論，把復雜系統(tǒng)的安全性分析當作1個控制問題來解決。STAMP將復雜系統(tǒng)視為1個多層分層結(jié)構(gòu)，通過控制結(jié)構(gòu)關系來構(gòu)建模型，表示上層對下層的控制要求，通過高層向低層施加控制要求和低層向高層反饋信息的方式來保證多層次系統(tǒng)的安全運行需要。同時，STAMP認為事故的產(chǎn)生是由于復雜動態(tài)過程并發(fā)運行和相互作用所創(chuàng)造的不安全情形所致，強調(diào)多個組件相互作用，通過對復雜動態(tài)過程的控制進行分析來查找安全威脅，評估安全問題。結(jié)合以上基本概念，從控制反饋的角度將事故大致分為3類：①控制器發(fā)出不足或不恰當?shù)目刂菩袨?，包括對故障或擾動的物理過程處置不當；②控制行為的不充分執(zhí)行；③反饋信息的不準確或丟失。

系統(tǒng)理論過程分析（STPA）是1種基于STAMP模型的安全分析方法，它通過系統(tǒng)化的過程來識別系統(tǒng)的不安全控制行為，并針對不安全控制行為進行致因場景分析。該方法首先從全局的角度確定系統(tǒng)級事故和危險，根據(jù)分層控制結(jié)構(gòu)分析控制行為在性能、時間及邏輯上的不合理情形，辨識不安全控制行為和場景[14]。然后構(gòu)建由控制器、執(zhí)行器、控制過程和傳感器構(gòu)成見圖1的反饋控制回路，進一步分析控制反饋回路來識別事故致因。最后針對事故致因?qū)ο到y(tǒng)提出安全約束及要求。目前，STAMP理論和STPA方法已經(jīng)成功地應用于航天航空、國防、能源、化工、運輸系統(tǒng)等領域，特別適用于現(xiàn)代復雜系統(tǒng)和具有人工控制系統(tǒng)的安全性分析與控制[15]。

圖1 安全控制回路Fig.1 Safety control circuit

2 LNG船對船過駁系統(tǒng)的STAMP模型構(gòu)建

LNG船對船過駁系統(tǒng)中主要的組成部分有控制器設備、潛液泵、ESD、ESR、控制閥、泄壓閥、軟管、管線、各參數(shù)傳感器等。潛液泵可以控制管路內(nèi)LNG的流速，控制閥門可以控制LNG的流動。泄壓閥安裝在管路上，可以控制液體的溫度和壓力。在應急情況發(fā)生時，應急釋放閥和應急釋放連接器可以斷開管路的連接，ESD系統(tǒng)可以停止LNG的轉(zhuǎn)運，各傳感器將作業(yè)過程中的各項指標參數(shù)反饋給控制器設備及操作員，這些部件都可以手動地或自動地進行操控。

在STAMP模型中，LNG船對船過駁系統(tǒng)的基本結(jié)構(gòu)主要由3個控制器、執(zhí)行器和外界干擾構(gòu)成。3個控制器分別是邏輯控制器、操作室控制器、現(xiàn)場控制器，根據(jù)過駁作業(yè)要求及各傳感器反饋回的參數(shù)等，發(fā)出合適的指令給執(zhí)行器，控制管路內(nèi)LNG的流動狀態(tài)，保證系統(tǒng)的正常運行。邏輯控制器可以通過程序進行控制，如通過計算機來控制泵的流速、自動打開/關閉控制閥等設備。操作室控制器可以控制調(diào)節(jié)系統(tǒng)的設備狀態(tài)，如通過安裝在過駁系統(tǒng)中的傳感器的反饋信息調(diào)整閥門的開關及液體流速。在過駁系統(tǒng)作業(yè)過程中，現(xiàn)場控制器發(fā)揮著的重要作用，現(xiàn)場控制器監(jiān)測系統(tǒng)中的情況并采取適當?shù)拇胧?，在邏輯控制器無法執(zhí)行操作和操作室控制器無法解決問題的時候，需要通過現(xiàn)場控制器手動采取操作。執(zhí)行器由泵、泄壓閥、ERC和ESD系統(tǒng)等構(gòu)成。對于自動邏輯控制而言，執(zhí)行器從邏輯設備獲得命令，決定“打開”或“關閉”的狀態(tài)，邏輯設備也通過來自傳感器的反饋來決定控制命令。在系統(tǒng)中，每個組件不僅作為系統(tǒng)的組件，還作為可以控制操作的系統(tǒng)執(zhí)行器。

可見，LNG船對船過駁系統(tǒng)各組成相互之間存在著邏輯、時間、功能上的控制與反饋關系。在分析過駁作業(yè)過程和系統(tǒng)的工作原理的基礎上，通過梳理各個組成的輸入、輸出信號和相互關系，得到LNG船對船過駁系統(tǒng)的STAMP模型，見圖2。

圖2 LNG船對船過駁系統(tǒng)的STAMP模型Fig.2 STAMP model of the LNG ship-to-ship transfer system

3 LNG船對船過駁系統(tǒng)的STPA分析

基于STPA方法分析LNG船對船過駁系統(tǒng)是1個在作業(yè)過程中，將邏輯控制器與各執(zhí)行器系統(tǒng)之間存在的風險充分解決的迭代過程，識別出復雜系統(tǒng)存在的風險。在分析目的上，STPA方法與傳統(tǒng)的方法有所不同，其為了通過對系統(tǒng)風險的識別與分析，找到事故致因因素，排除系統(tǒng)中存在的風險，并制定相應措施，提高安全保障，同時為后面的工作和系統(tǒng)的改進提供依據(jù)。

3.1 系統(tǒng)級事故的確定

根據(jù)STPA方法的研究過程，識別過駁作業(yè)中過駁作業(yè)過程中存在的系統(tǒng)級事故，主要包括人員受傷或死亡、船體受損、傳輸系統(tǒng)受損，具體見表1。人員受傷或死亡（A-1）包括船員、過駁工作人員；船體受損（A-2）包括船體的各個部分受損；傳輸系統(tǒng)受損（A-3）包括整個過駁系統(tǒng)的設備、設施。

表1 LNG船對船過駁作業(yè)過程的系統(tǒng)級事故Tab.1 System-level accidents during LNG ship-to-ship transfer operation

3.2 系統(tǒng)級危險的確定

LNG船對船過駁作業(yè)過程存在的系統(tǒng)級危險主要包括管內(nèi)壓力過高（H-1）、管內(nèi)流速過高（H-2）、液貨艙液位超過液貨艙最高限制液位（H-3）、系統(tǒng)內(nèi)高溫（H-4）、LNG泄漏（H-5），系統(tǒng)級危險可能導致的系統(tǒng)級事故見表2。

表2 LNG船對船過駁系統(tǒng)的系統(tǒng)級危險Tab.2 System-level hazards of the LNG ship-to-ship transfer system

3.3 不安全控制行為的識別

STAMP觀點認為系統(tǒng)級危險是系統(tǒng)行為缺乏有效控制的結(jié)果，通過對整個船對船過駁系統(tǒng)控制回路的各層級進行分析，分析識別出可能導致風險的潛在不安全控制行為見表3?；赟TPA方法，主要從4類不安全控制行為角度，分析LNG船對船過駁系統(tǒng)中控制錯誤或控制不足的系統(tǒng)性風險，主要包括：①沒有提供控制導致危險；②提供了不充分控制導致危險；③過早或過晚提供控制導致危險；④控制過早停止或控制時間過長導致風險。

3.4 不安全控制行為的致因分析

在識別了不安全控制行為導致的危險之后，根據(jù)STPA分析方法的控制反饋模型，從2個方面逐一分析LNG船對船過駁不安全控制行為的致因因素和場景：①從控制路徑進行分析，在控制器從傳感器獲取了正確的反饋數(shù)據(jù)，但是命令沒有被執(zhí)行器按要求執(zhí)行，從而導致最終的不安全行為；②從反饋路徑分析，傳感器從被動對象獲取數(shù)據(jù)有誤，或者傳感器獲得了正確的數(shù)據(jù)，但是在反饋給控制器的過程中出現(xiàn)偏差、延時等，從而導致控制器向執(zhí)行器輸出了不安全的控制命令[16]。

1986年6月，對后世影響深遠的《生物技術監(jiān)管協(xié)調(diào)框架》這一重要法律在美國頒布出來，該法除了正式確立實質(zhì)等同原則以外，還將轉(zhuǎn)基因這一問題納入了當時既有的法律體系之內(nèi)進行調(diào)整，規(guī)定聯(lián)邦政府的各部門根據(jù)各自職能分工合作，他們既分工負責，同時又相互協(xié)調(diào)合作，最終高效地管理著美國的轉(zhuǎn)基因食品的安全。[3]因此，在我國也建立此種政府各部門分工合作的管理模式并通過立法確立起來，是我們應當努力的一個方向。在法律體系上，美國由于已經(jīng)形成了相對完善的體系，因此監(jiān)管十分到位。所以，我國在進行轉(zhuǎn)基因立法中，也應采取此種體系式立法的方式，方便未來對新型轉(zhuǎn)基因食品安全立法的完善。

傳統(tǒng)的STPA致因場景分析模型非常抽象，將邏輯控制器和人工控制器組合在一起，未進行區(qū)分，忽略了人工和自動化機器之間的重要差異，分析模型見圖3。在現(xiàn)代復雜的系統(tǒng)中，控制算法和自動化模型有時可以直接從外部改變而無需通過人工控制器，例如，通過互聯(lián)網(wǎng)自動進行軟件更新等，這些變化顯然存在潛在風險，特別是安全性問題，而這些問題在傳統(tǒng)的分析模型中都沒有體現(xiàn)，可能導致分析不完整。考慮到過駁系統(tǒng)中人員操作與軟件高度交互的特點，對傳統(tǒng)的STPA致因場景分析模型進行改進，形成更完整的分析模型，便于進行分析[17]，見圖4。

圖3 傳統(tǒng)的致因場景分析模型Fig.3 Traditional causal-scenario-analysis model

圖4 改進的STPA致因場景分析模型Fig.4 Improved STPAcausal-scene analysis model

在LNG船對船過駁作業(yè)中，管道內(nèi)高壓具有很高的風險，可以通過調(diào)節(jié)泄壓閥來減小壓力。安裝在管道上的壓力傳感器能反饋壓力信息給邏輯控制器，現(xiàn)場操作人員也可以觀察到傳感器的參數(shù)，得到反饋信息后邏輯控制器、操作室控制器、現(xiàn)場控制器可以發(fā)出控制指令。

為了全面地辨識導致系統(tǒng)危險的致因因素和場景，以管內(nèi)高壓控制為例，建立過程模型的控制結(jié)構(gòu)圖，見圖5，并結(jié)合改進的致因場景分析模型，對其進行致因分析。當管道內(nèi)有高壓危險時，邏輯控制器可以向泄壓閥發(fā)出命令以釋放壓力，操作室人員可以了解操作狀態(tài)并可以向邏輯控制器發(fā)出命令以采取行動，在邏輯控制器無法執(zhí)行操作時，也可以通知現(xiàn)場操作員采取手動措施，以防止管道內(nèi)出現(xiàn)高壓風險。在此過程中存在的致因因素和場景分析結(jié)果見表4。

表4 管內(nèi)高壓致因因素和場景Tab.4 Causes and scenarios of high pressures in the pipe

圖5 LNG船對船過駁系統(tǒng)壓力控制過程模型的控制結(jié)構(gòu)圖Fig.5 Control structure of the pressure control process model of the LNG ship-to-ship transfer system

依次對系統(tǒng)中所有的危險控制進行致因分析，可得到22個致因因素，見表5。

表5 致因因素分析結(jié)果Tab.5 Cause analysis results

4 安全性控制建議措施

根據(jù)分析結(jié)果，LNG船對船過駁系統(tǒng)的安全性控制措施可以從系統(tǒng)的多個角度展開，下面針對5個系統(tǒng)級危險，分別從LNG過駁系統(tǒng)的控制器、傳感器、執(zhí)行器和控制過程等場景致因因素角度提出安全性控制建議措施。

1）管內(nèi)壓力過高（H-1）。在作業(yè)開始操作之前，采取維護程序以檢查壓力傳感器的功能及可聽性/可見性，確保對各控制器能夠進行準確的信息反饋。使用一定年限后，傳感器要進行維修、測試，達到使用年限要更換。對維修檢查的范圍應進行及時更新，使檢查手冊完善。檢查傳感器的設計是否有缺陷，壓力傳感器通過上下2電極正對面積的變化或介質(zhì)層間距的變化導致電容變化進行壓力感應，若忽略電容極板的場邊效應，電容計算見式（1）。

式中：A為電極正對面積，cm2；d為介質(zhì)層間距，mm；ε0為電容空間的絕對介電常數(shù)；εr為相對介電常數(shù)。當相對間距為Δd時，相對的電容變化計算見式（2）。

式中：C0為電容值，pF；d0為介質(zhì)層間距，mm。

2）管內(nèi)流速過高（H-2）確保管內(nèi)的流速傳感器的正常工作，在流速過高的情況下能夠及時反饋至控制器進行閥門開關大小自動控制及泵的流速控制。管道內(nèi)液化天然氣流經(jīng)閥門所造成的壓降，計算見式（3）～（4）。

式中：-Δp為閥門所產(chǎn)生的壓降，Pa；ΔPL為全部流體為液相時閥門產(chǎn)生的壓降，Pa；?L為摩擦因子；ρL為液相流體平均密度，kg/m3；ρG為氣相流體平均密度，kg/m3；x為干度。對球閥，Bl取值為2.3，其他閥可取2[18]。

邏輯控制器在收到流速傳感器的反饋后，及時通過向閥門發(fā)出信號，調(diào)整其造成的阻力、控制閥門對LNG產(chǎn)生的壓降，從而控制流速。

操作員也應加強對每1個控制閥的工作模式、邏輯控制器確切的控制執(zhí)行動作的學習和熟練程度。保證在操作室控制器和現(xiàn)場控制器之間良好的溝通交流，當遇到緊急情況時，能夠快速響應，避免事故的發(fā)生。同時合理安排操作員的工作時間，避免疲勞工作和工作壓力過大的情況。對于現(xiàn)場控制器，操作人員更應該與現(xiàn)場實際相結(jié)合，接受每個組件和閥門手動操作的培訓，保證工作無差錯。

3）液貨艙液位超過液貨艙最高限制液位（H-3）。對液貨艙的溫度、壓力、液面進行及時的監(jiān)控，確保邏輯控制器系統(tǒng)的工作穩(wěn)定性，避免在軟件、硬件交互過程中的系統(tǒng)控制故障。液貨艙液位高度是監(jiān)控測量裝置的主要監(jiān)控內(nèi)容，液貨艙液位高度模型見式（5）～（6）。

式中：Vi為第i號液貨艙現(xiàn)有貨物體積容量，m3；Vi0為第i號液貨艙上一次計算結(jié)束時貨物體積容量，m3；Qi為第i號液貨艙裝卸貨體積流量，m3/h；t為時間間隔，s；Hi為第i號液貨艙液位高度，m；f為液貨體積和高度的關系函數(shù)。

當達到警戒值時，邏輯控制器應立即控制停止作業(yè)，及時做出壓力及溫度的控制調(diào)整，對BOG氣體進行再液化，同時采取對液貨艙進行噴淋等相應的措施。

4）系統(tǒng)內(nèi)高溫（H-4）。系統(tǒng)內(nèi)高溫會造成LNG的大量氣化，導致管道內(nèi)、液貨艙內(nèi)壓力驟增，同時還有引發(fā)火災的危險。在輸送系統(tǒng)內(nèi)，由于LNG是-162℃的低溫液體，可采用鉑電阻類型的低溫管壁溫度測量傳感器，低溫傳輸管道傳熱過程屬于一維（徑向）非穩(wěn)態(tài)傳熱，對于裸裝貼壁式溫度傳感器，可將其看成是圓柱體的一部分，其傳熱數(shù)學模型見式（7）～（8）。

式中：T為溫度，K；t為時間，s；ρ為材料密度，kg/m3；CP為材料熱容系數(shù)，λ為材料導熱系數(shù)；r為管道內(nèi)壁與中心軸的距離，mm；?i為內(nèi)熱源項。

當鉑電阻溫度傳感器報警，反饋至人工控制器和邏輯控制器，應立即控制過駁作業(yè)停止，同時檢修故障，查明故障造成高溫的原因。所以在作業(yè)開始之前，檢修傳感器的工作狀態(tài)十分有必要，確保系統(tǒng)內(nèi)各溫度傳感器的正常工作，防止因機械故障導致的局部高溫，引發(fā)火災。

5）LNG泄漏（H-5）。要建立健全的系統(tǒng)管道巡查、維護等制度，按照規(guī)定，定期檢查安全閥、泄壓閥、ERS等閥門執(zhí)行器，也檢查系統(tǒng)管道的腐蝕和老化，防止有泄漏的危險。

可使用超聲導波檢測技術來檢查管路的腐蝕、老化、泄漏等問題。其原理是：在管路的一段添加換能器將其他形式的能量轉(zhuǎn)化為高頻振動超聲導波并沿管道向前傳播。當聲波經(jīng)過泄露位置、法蘭處、管道端面時會產(chǎn)生回波，根據(jù)缺陷回波和端面回波的時間差異可計算出缺陷位置，根據(jù)缺陷波和原始激勵波回波幅度可估算出泄漏點大小，泄漏點的位置計算見式（9）。

式中：X為泄漏點到信號接收點距離，m；c為導波在管道中的傳播速度，m/s；Δt為接受到原始激勵信號和缺陷回波信號的時間差值，s。通過檢測，可以在作業(yè)之前提早查明管道泄漏位置，采取防范措施，防止危險的發(fā)生[19]。當泄漏發(fā)生時，可及時采取集液盤收集、圍護等應急防護措施，控制泄漏的范圍，減小傷亡與損失，同時控制明火，防止因甲烷氣體濃度達到LFL和UFL中間值而發(fā)生燃燒，造成更大的事故。

5 結(jié)束語

本文通過對LNG船對船過駁作業(yè)過程進行研究分析，發(fā)現(xiàn)其包含大量人、軟件、環(huán)境、設備組件的交互與控制過程，存在潛在安全性問題，將LNG船對船過駁作業(yè)的安全性問題當作是1個系統(tǒng)性安全問題，提出采用基于STAMP/STPA方法進行安全性分析，并對傳統(tǒng)的STPA致因場景分析模型進行改進，構(gòu)建了考慮人工控制器的過駁系統(tǒng)STAP致因分析模型，識別了更多的潛在不安全的控制行為，并從控制缺陷、反饋缺陷和協(xié)調(diào)缺陷3個方面提出了22個關鍵致因因素；最后，結(jié)合各部件、傳感器等控制原理，針對5個系統(tǒng)級危險提出相應的安全性控制建議措施。

LNG船對船過駁是1種新興的作業(yè)形式，作業(yè)時間長、難度大，對其安全性研究尚且不足，本文提出的方法在過駁作業(yè)安全性分析上，克服了傳統(tǒng)安全性分析方法中對過駁作業(yè)控制器、傳感器及各部件的相關性和耦合性及人為操作控制安全因素考慮不充分等問題，主要針對控制過程中潛在的不安全因素進行分析，辨識其致因因素和場景。通過正確的控制行為來提高系統(tǒng)的安全性，彌補了傳統(tǒng)安全性分析方法存在的缺陷。