馬軍鵬，趙方琪，杜宇，高滿倉，陳學敏，梁昌晶

(1. 中國石油華北油田分公司 消防支隊，河北 任丘 062552；2. 中國石油集團渤海石油裝備制造有限公司 石油機械廠，河北 任丘 062552；3. 中油龍慧科技有限公司， 河北 廊坊 065000；4. 中國石油集團渤海鉆探工程有限公司 井下作業(yè)分公司，河北 任丘 062552；5. 中國石油華北油田分公司 工程技術研究院，河北 任丘 062552)

隨著油氣管道的不斷發(fā)展，油氣站場(包括： 壓氣站、聯(lián)合站、接轉站和分輸站等)因處理介質大多為易燃易爆危險品，且工藝流程復雜，風險源較多，故其安全問題顯得尤為重要。定期對油氣站場的安全儀表系統(tǒng)(SIS)進行完整性等級(SIL)驗證，是保證其工藝流程安全運行的重要手段[1]。通常情況下，SIS是指能執(zhí)行一項或多項安全功能的儀表系統(tǒng)，分為主動型和減緩型兩類，其中主動型在事故發(fā)生前啟動，可降低事故發(fā)生頻率；減緩型是在事故發(fā)生后啟動，可降低事故發(fā)生后果的嚴重程度。對于主動型SIS，通常無需人員參與；但減緩型SIS，如高等級的緊急停車系統(tǒng)(ESD)或火災及氣體監(jiān)測報警系統(tǒng)(FIGS)等，在實際應用中，往往不會自動觸發(fā)。故在工作邏輯中，人為因素對應急響應過程影響較大，具有決策時間短、操作人員心理易受影響等特殊性，一旦出現(xiàn)失誤將導致嚴重的后果[2]。目前，人因可靠性(HRA)分析主要應用在核電站、有色金屬和高溫冶煉等行業(yè)[3-4]，但在油氣站場SIL等級驗證上鮮有報道?；诖耍ㄟ^梳理HRA分析的相關內容，將人的行為分為觀察、診斷、操作三個過程，分別對三個過程應用HRA分析，計算人因失效概率，建立基于HRA分析的油氣站場SIL等級驗證模型，并通過實例評估，分析人為因素對SIL等級驗證的影響。

1 基于HRA分析的SIL驗證模型

在SIL等級驗證的過程中，除要滿足傳感器、邏輯控制器和執(zhí)行機構正常工作外，還應保證操作人員不存在失誤，即要求操作人員注意力高度集中，在接到報警后，能迅速做出判斷，并確定事故的嚴重程度和危險等級，最終正確地觸發(fā)相關執(zhí)行機構。因此，操作員與安全儀表近似構成一個串聯(lián)型結構，基于人為因素的工作邏輯如圖1所示。在常規(guī)SIL驗證的基礎上，引入人因失效概率，修正后的公式如式(1)所示：

PFD=PFDS+PFDL+PFDFE+PFDH

(1)

式中：PFD——SIS的要求時失效概率；PFDS——傳感器的要求時失效概率；PFDL——邏輯控制器的要求時失效概率；PFDFE——執(zhí)行機構的要求時失效概率；PFDH——人因失效概率。

圖1 基于人為因素的工作邏輯示意

將人在應急響應中的過程分為觀察、診斷和操作三個階段，觀察階段操作人員主要負責觀察報警信號，并核實現(xiàn)場目標以及辨識事故發(fā)生后果，對操作人員的心理素質要求較高；診斷階段操作人員需根據(jù)應急事件作出綜合判斷，并迅速作出應急響應決策，對操作人員的專業(yè)知識和響應時間要求較高；操作階段操作人員通過之前的判斷前往執(zhí)行機構進行手動操作，對操作人員的心理素質和執(zhí)行能力要求較高。采用事件樹模型可計算PFDH如式(2)所示：

PFDH=P1+(1-P1)P2+

(1-P1)(1-P2)P3

(2)

式中：P1，P2，P3——觀察、診斷、操作階段的人因失效概率。

2 人因失效概率計算

2.1 觀察階段

目前，HRA分析已發(fā)展了兩代，其中認知可靠性和失誤分析方法(CREAM)是由Eric Hollnagel首次提出，屬于第二代HRA分析中的代表模型，該模型側重人的績效動態(tài)特性，認為環(huán)境或情景因素比任務特征更為重要，強調情景對人行為的影響，適用于計算觀察階段的人因失效概率[5-6]。該模型采用情景依賴控制模式作為認知模型的基礎，根據(jù)任務環(huán)境分為9種不同的影響因素，稱為通用效能條件(CPC)，每種CPC分為不同水平，對HRA的影響程度分為改進、不顯著和降低3種情況[7]，根據(jù)實際情況，對影響程度進行賦值，并通過賦值結果確定控制模式，控制模式與失效概率區(qū)間見表1所列。

表1 控制模式與失效概率區(qū)間

采用傳統(tǒng)CREAM模型可以粗略地確定失效概率，但具體是多少需采用其他方法進行驗證，且認為9種CPC的權重均一致，無法反映不同工作環(huán)境下的工作內容。因此，需改進傳統(tǒng)CREAM模型，為每個CPC賦予不同的權重，各失效類型下的認知功能失效概率(CFP)計算如式(3)～(6)所示：

CFPi=CFPi0×(10-2.35G+10-2.17J-1)

(3)

(4)

(5)

P1=∑CFPi

(6)

式中：CFPi——第i種失效類型下的認知失效概率；CFPi0——第i種失效類型下的基本失效概率；G——改進總分值；J——降低總分值；Sj——單個CPC的分值，將“改進”賦值為1，“降低”賦值為-1，“不顯著”賦值為0；Wj——相應CPC的權重。

2.2 診斷階段

CREAM模型無法體現(xiàn)應急響應時間對人因失效概率的影響，響應時間越長，操作人員在診斷階段越不容易出現(xiàn)失誤，失效概率越低。采用人員認知可靠性模型(HCR)計算診斷階段的人因失效概率。HCR模型以認知心理學為基礎，重點研究人的心理和響應時間對操作績效的影響，可定量評價初始事件后的行為可靠性[8]。該模型根據(jù)執(zhí)行任務的特點，將人員行為分為技能型、規(guī)則型和知識型3種，技能型表現(xiàn)為無意識行為，其行為過程與任務復雜程度無關，人員失誤與疏忽大意相關；規(guī)則型表現(xiàn)為對已有操作手冊、操作規(guī)程的任務進行操作，人員失誤主要與誤判或誤讀數(shù)據(jù)有關；知識型表現(xiàn)為對現(xiàn)有的任務進行不當或過度解讀，人員失誤主要與自身知識或技能的局限性有關。以上三種行為均遵循威布爾參數(shù)分布，如式(7)所示：

(7)

式中：γ，β，η——與行為類型相關的威布爾函數(shù)分布參數(shù)；T——初始事件發(fā)生后，允許操作人員完成任務的時間，s；T1——初始事件發(fā)生后，操作人員完成任務的時間中值，s。其中，T1的確定主要依賴于大量的模擬實驗和專家判斷，由于每個操作人員的認知情況不一致，故需要根據(jù)人員對任務認知的心理狀態(tài)和事發(fā)時的外界條件綜合判斷，計算如式(8)所示：

T1=T1， nominal×(1+K1)×

(1+K2)×(1+K3)

(8)

式中：T1， nominal——人員執(zhí)行操作所需的時間，可根據(jù)應急演練情況統(tǒng)計得到，s；K1，K2，K3——操作員運行經(jīng)驗、壓力等級和人機系統(tǒng)的修正因子。

2.3 操作階段

操作階段中操作人員同樣易受現(xiàn)場情景的影響，故與觀察階段類似，采用CREAM模型進行計算。

3 實例分析

以某輸氣站場為例，該站場建于2005年，目前ESD系統(tǒng)存在5個SIF回路，對其中的一個SIF回路的邏輯關系進行描述。該站場發(fā)生泄漏后，當站場內兩個或兩個以上的可燃氣體探測器發(fā)出報警信號后，觸發(fā)中心控制室報警，由現(xiàn)場操作人員確認報警信息，按下ESD按鈕，手動觸發(fā)一級停車裝置，關斷進出站的氣液聯(lián)動執(zhí)行機構，打開緊急放空閥，延遲關斷調壓前后的安全切斷閥，對所有壓縮機進行泄壓停機。

對該SIF回路進行危險與可操作性分析(HAZOP)和保護層分析(LOPA)[9]，該事故場景的初始事件為管道泄漏、分離器或其余設備發(fā)生泄漏等，分別從人員傷亡、直接經(jīng)濟損失、停工、環(huán)境影響、聲譽影響5個方面確定企業(yè)可接受的最大可接受概率，并與經(jīng)獨立保護層減緩后的失效概率對比，確定該SIF回路應定級為SIL1級。

根據(jù)該站場的實際情況，采用層次分析法和熵權法組合賦權計算CPC的權重，并對分值進行量化處理，結果統(tǒng)計見表2所列。

表2 CPC權重及分值量化結果統(tǒng)計

通過與現(xiàn)場工程技術人員討論，確定觀察階段的失效類型主要有未觀察到報警信號和對現(xiàn)場目標核實錯誤兩種，根據(jù)多次應急演練的結果，確定這兩種失效類型的CFPi0分別為0.05和0.002；同理，確定操作階段的失效類型主要有未按下手動ESD開關和錯按手動ESD開關兩種，并確定這兩種失效類型的CFPi0分別為0.06和0.005。參照表2中CPC的權重及分值量化結果，根據(jù)公式(3)～(6)計算觀察階段和操作階段的人因失效概率分別為0.053 1和0.066 3。

對于診斷階段，根據(jù)應急演練的結果，確定T為60 s，T1， nominal為30 s。目前，該站內的操作人員可基本掌握常見的各類應急事件處置，確定其行為類型為規(guī)則型，參照核電站模擬機的試驗統(tǒng)計數(shù)據(jù)，確定γ，β，η值分別為0.3，1.63，0.88。K1，K2，K3的取值根據(jù)現(xiàn)場實際情況由專家評議，修正因子取值見表3所列。根據(jù)式(7)計算診斷階段的人因失效概率為0.165 2。最后，根據(jù)公式(2)計算總的PFDH=0.261 9。

表3 修正因子取值

通過查驗該SIF回路中傳感器、邏輯控制器和執(zhí)行機構的安全功能認證證書，并參照挪威科技工業(yè)研究院(SINTEF)的相關失效數(shù)據(jù)，確定該SIF回路的冗余表決結構均為“1oo1”型，診斷覆蓋率取90%，測試周期為1 a，其SIL等級的驗證結果見表4所列。其中，人因造成的失效概率占76.17%，如圖2所示。遠高于其余硬件失效概率的總和，若不考慮HRA，則總的失效概率為8.192×10-2，其SIL等級可達到1級，滿足該回路SIL驗證的要求?？梢?，當SIF回路中有人員操作干預時，人為失誤是導致SIF回路失效的主要因素，這與其他行業(yè)統(tǒng)計的人員違章作業(yè)、違法操作造成的失效事件約占總失事件總數(shù)的70%～80%是相符的。

表4 SIL等級驗證結果

圖2 系統(tǒng)各部分失效概率所占比例示意

綜上所述，需要改進執(zhí)行機構和傳感器的冗余表決結構，縮短功能測試周期；加強員工的安全培訓與應急演練，特別是在出現(xiàn)緊急事件的情況下，提高員工的抗壓能力、心理素質和技戰(zhàn)術水平，并定期開展應急能力響應評價；針對表2中對人因可靠性的影響程度為“不顯著”或“降低”的，通過調整工作方案和外部條件，將影響程度提高為“改進”，以提高安全儀表系統(tǒng)的完整性等級。

4 結束語

通過在常規(guī)SIL驗證的基礎上，引入人因失效概率，將操作人員與安全儀表近似構成一個串聯(lián)型結構，形成基于HRA分析的SIL等級驗證模型。將人的行為分為觀察、診斷、操作3個過程，其中觀察和操作階段采用了CREAM模型計算人因失效概率，診斷階段采用HCR模型計算人因失效概率。經(jīng)過實例驗證，發(fā)現(xiàn)當SIF回路中有人員操作干預時，人因造成的失效概率占比較大，可直接影響SIL等級的驗證結果。

儀器儀表