張曉維 謝揚 姜良升 劉洋 韓明心 宋憬濤

中國石油青海油田采油三廠

隨著經(jīng)濟發(fā)展，輸氣管道的建設(shè)迎來了快速增長期。輸氣站場作為連接上游氣源和下游用戶的樞紐，肩負著天然氣除塵、分離、干燥、凈化、液化和清管等功能[1-2]。特別是目前過程工業(yè)裝置走向大型化、過程化和復雜化，站場內(nèi)設(shè)備的密集程度相對較大，化學能量相對集中，對控制和安全的要求也越來越高，一旦稍有不甚，將造成設(shè)備失效、人員傷亡及環(huán)境污染。為提高輸氣站場的本質(zhì)安全，通常在一些較為重要的物流或工藝加裝安全儀表系統(tǒng)（SIS）。SIS 作為保護層的一道屏障，可以降低事故發(fā)生可能性或減緩事故后果嚴重性，以達到控制風險的目的[3]。IEC 61508 和IEC 61511 等標準均針對SIS系統(tǒng)的安全儀表功能（SIF）提出了具體要求，指出要對SIF進行安全完整性等級（SIL）的評估。傳統(tǒng)SIL驗證的方法有故障樹、可靠性框圖和馬爾可夫模型[4]，但這些模型只關(guān)注儀表回路自身單元構(gòu)成的可靠性，未考慮需人為干預下實現(xiàn)的SIF。如緊急放空系統(tǒng)或帶噴淋裝置的火氣系統(tǒng)，這些系統(tǒng)在自動觸發(fā)失效的前提下，需手動觸發(fā)，操作人員需觀察系統(tǒng)異常現(xiàn)象，短時間內(nèi)進行綜合判斷，并實施決策，即整個操作過程中對人因可靠性的依賴性較強，應(yīng)將其納入SIL驗證中。

人因可靠性分析（HRA）模型起源于1950 年左右，迄今為止已發(fā)展為兩代方法，不同模型的適用條件和情景模式有所不同[5-7]。基于此，針對有人因影響的SIF回路，對比分析不同HRA模型的優(yōu)缺點，篩選適合不同階段的HRA 模型進行SIL 驗證，并提出SIS的改進措施，以滿足SIL驗證要求。

1 人因SIL驗證模型

1.1 危險失效概率計算方法

對于事故發(fā)生后啟動、以減緩事故發(fā)展態(tài)勢、降低事故后果為目的的減緩型安全儀表系統(tǒng)，需操作人員干預才能觸發(fā)SIS 功能，因此人為應(yīng)急響應(yīng)與原SIF回路共同構(gòu)成一個串聯(lián)系統(tǒng)。修正后的要求時危險失效概率PFD為：

式中：PFD為系統(tǒng)總的要求時危險失效概率；PFDs、PFDp、PFDf分別為傳感器、邏輯控制器和執(zhí)行機構(gòu)的要求時危險失效概率；PFDhf為人因失效概率。

1.2 人因可靠性分析

通過分析操作人員的響應(yīng)過程，將人因影響過程分為觀察階段、判斷階段和決策階段，觀察階段考察系統(tǒng)發(fā)生異常時，在監(jiān)控中心或現(xiàn)場有緊急報警，人員準確觀察到異常現(xiàn)象的概率；判斷階段考察人員對報警信息進行綜合分析的能力，與人員經(jīng)驗、身體素質(zhì)及心理承受能力等有關(guān)；決策階段考察操作人員在緊急狀態(tài)下，承受巨大壓力向執(zhí)行機構(gòu)發(fā)出正確指令或動作的概率。對人因失效進行事故樹分析（圖1），得到其失效概率的計算方法：

圖1 人因失效事故樹分析Fig.1 Fault tree analysis of human failure

式中：P1、P2、P3分別為觀察階段、判斷階段和決策階段的人因失效概率。

對于觀察階段，人員受到現(xiàn)場情景的影響較大，這與認知可靠性和失誤分析方法（CREAM）的思想相似[8]。CREAM將任務(wù)環(huán)境歸納為9種通用性能因子，對人因可靠性的影響程度分為改進、不顯著、降低、匹配、充分等水平，對應(yīng)的打分標準見表1。數(shù)值“1”表示該項通用性能因子對應(yīng)的水平可提高人因可靠性，發(fā)揮積極作用；數(shù)值“-1”表示該項通用性能因子對應(yīng)的水平可降低人因可靠性，發(fā)揮消極作用；數(shù)值“0”表示該項通用性能因子對人因可靠性的影響較低。

最終，觀察階段的人因失效概率為：

式中：Ci、分別為認知功能失效概率和認知功能基本失效概率；G為數(shù)值為“1”的分值和；J為數(shù)值為“-1”的分值和；w為9個通用性能因子的權(quán)重，滿足歸一化的原則。

對于判斷階段，人員是否可以做出正確有效的決策與響應(yīng)時間相關(guān)，響應(yīng)時間越短、事故越嚴重，人因失效的概率越大。由于CREAM 只針對任務(wù)環(huán)境和應(yīng)急場景的變化，對于時間序列的敏感性不強，故在此采用人員認知可靠性模型（HCR）衡量人員對系統(tǒng)允許時間和事件響應(yīng)時間的可靠性[9]。HCR 將人的行為類型分為知識型、規(guī)則型、技能型，知識型只依賴人員的實際水平和以往完成這項工作的經(jīng)驗，是人體對應(yīng)急響應(yīng)的一種條件性下意識的反應(yīng)；規(guī)則型中人的行為受規(guī)章制度、管理體系和作業(yè)文件的控制和支配；知識型中沒有以往現(xiàn)場可用的規(guī)程和經(jīng)驗，需人員依靠自身經(jīng)驗和知識進行分析診斷及處理。所有的行為類型均遵循三參數(shù)的威布爾分布。最終，判斷階段的人因失效概率為：

式中：α、β和γ分別為尺度參數(shù)、形狀參數(shù)和位置參數(shù)；t為操作人員完成任務(wù)的綜合時間窗口，min；T0.5為操作人員的中值響應(yīng)時間，min。

根據(jù)歷史事故數(shù)據(jù)、模擬機實驗、操作手冊及人員訪談情況對T0.5進行修正，得到：

式中：T0.5,nominal為一般狀態(tài)下操作人員的響應(yīng)時間，min；K1、K2、K3分別表示操作人員經(jīng)驗、應(yīng)激能力水平和控制室人機界面的績效形成因子，取值見表2。

表2 績效形成因子取值Tab.2 Value of performance formation factors

對于決策階段，要求的反應(yīng)時間較短，主要為操作人員進行按鈕或軟件操作時的失誤行為，故采用人的失誤率預測技術(shù)（THERP）[10]。公式如下：

式中：PBHEP_i為決策階段人員的第i種失效模式下的基本失效概率；PN_i為第i種失效模式下的恢復因子。

2 實例分析

以某典型輸氣站場內(nèi)的分液罐為例進行分析，烴類氣體進入分液罐，分離出的氣相進入壓縮機，分離出的液相由底部泵送至輕烴回收裝置，當氣相出口壓力高于壓縮機額定負荷時，將導致分液罐內(nèi)超壓，烴類氣體得到泄放，引發(fā)火災、爆炸及人員傷亡。因此，設(shè)置了一個SIF，動作如下：當檢測到超壓時，壓力傳感器觸發(fā)現(xiàn)場及中控室報警，操作人員根據(jù)上游來氣流量、分液罐出口壓力等參數(shù)判斷現(xiàn)場事故的真實情況，隨后觸發(fā)關(guān)閉閥門B，停止向分液罐中打料，關(guān)閉閥門A、打開閥門C，對氣相進行緊急放空，放空管道連接火炬系統(tǒng)。管道儀表流程見圖2。

圖2 管道儀表流程Fig.2 Process of pipeline instrument

2.1 SIL定級分析

對站內(nèi)的分液工藝進行危險與可操作性分析（HAZOP）和保護層分析（LOPA），分析過程如下：①事故場景描述：分液罐超壓，導致烴類氣體泄漏；②初始事件描述：氣相出口壓力高于壓縮機額定負荷，發(fā)生頻率0.1；③事故后果描述：引發(fā)火災、爆炸及人員傷亡，風險等級為高風險；④獨立保護層識別及PFD 確認：共有2 個獨立保護層，分別為安全閥、關(guān)鍵報警及人員響應(yīng)，失效概率分別為0.1、0.1；⑤考慮非SIS 保護層的事故后果：將初始事件與獨立保護層的失效概率相乘得到事故后果發(fā)生頻率為10-3；⑥建立風險可容許標準：根據(jù)“以人為本”的原則，確定事故發(fā)生后可能造成巡檢人員1～2人死亡，由此確定風險可容許標準為10-4；⑦完成SIL 定級：對照事故后果發(fā)生頻率和風險可容許標準，殘余風險為10-1，即該回路還需SIL1 等級的SIS 系統(tǒng)作為補充，才能滿足風險減緩的要求。

2.2 SIL驗證分析

通過資料收集和問卷調(diào)查，了解到該站在組織架構(gòu)、規(guī)章制度上的制定比較完善，操作人員的專業(yè)技能、工作經(jīng)驗和應(yīng)急響應(yīng)也較好，但該站的DCS系統(tǒng)涉及多個軟件廠家，需3個操作界面分別完成緊急停車、負荷分配和數(shù)據(jù)傳輸功能，對操作人員的友好性不夠。

當超壓發(fā)生時，觀察階段常見的人因失效模式有未觀察到報警信號、報警信號觀察錯誤現(xiàn)場介入核查錯誤和后果嚴重程度判斷失誤等，根據(jù)應(yīng)急演練的結(jié)果，統(tǒng)計其基本失效概率分別為0.05、0.05、0.001、0.06。根據(jù)CREAM 原理，結(jié)合站內(nèi)實際情況和專家經(jīng)驗，可確定該事故場景的通用性能因子[11]（表3）。由此確定，G=2；J=2，代入公式（3），計算P1=0.035 3。

表3 該事故場景的通用性能因子取值Tab.3 Value of common performance factors for this accident scenario

該站的操作人員均經(jīng)過崗前培訓，基本掌握各類應(yīng)急處置措施，同時該站定期開展安全檢查和應(yīng)急演練工作，故綜合確定判斷階段人的行為類型為規(guī)則型，參照其他學者的研究，定義α=0.88、β=1.63、γ=0.30。根據(jù)該站的操作規(guī)程可知，t=15 min、T0.5=5 min。參照表2 績效形成因子K1、K2、K3的取值分別為0、0.28、0.44。由此，將上述參數(shù)代入公式（4）、（5），計算P2=0.028 3。

決策階段操作人員需根據(jù)判斷階段的成果，觸發(fā)緊急放空按鈕，引發(fā)關(guān)停進出口閥門，可能發(fā)生未按按鈕或按錯按鈕等人因失效模式。通過查閱NURGE-CR 的相關(guān)標準，確定兩種人因失效模式的基本失效概率分別為0.05、0.005；報警信息顯示在中控室屏幕上，屬于一類報警器，故恢復因子統(tǒng)一取0.1。由此，將上述參數(shù)代入公式（6），計算P3=0.005 5。

觀察階段和判斷階段的人因失效概率較決策階段大了1個數(shù)量級，這是由于前兩個階段與任務(wù)場景和響應(yīng)時間關(guān)系較大，這些因素的波動性較強。將三個階段的人因失效概率代入公式（2），得到總的人因失效概率PFDhf=0.064 9。參照挪威科技工業(yè)研究院（SINTEF）公布的SIS可靠性數(shù)據(jù)和美國化工過程安全中心（CCPS）公布的設(shè)備可靠性數(shù)據(jù)，在設(shè)備供應(yīng)商提供的SIL文件的基礎(chǔ)上，截取不同元件的失效數(shù)據(jù)，采用簡便公式法計算該SIF中的PFDs=1.13×10-2、PFDp=4.89×10-5、PFDf=5.78×10-2，代入公式（1）得到總的系統(tǒng)PFD=0.134 1。其中，人因部分的失效概率占比為48.41%，與執(zhí)行機構(gòu)部分的失效概率占比接近，說明人因可靠性可直接影響SIF回路的正常運行。

由上述分析可知，當前驗證的SIL 結(jié)果未達到SIL1 的要求，與需求不符合，現(xiàn)有SIS 無法滿足本質(zhì)安全的要求。

2.3 SIS優(yōu)化

2.3.1 系統(tǒng)優(yōu)化

當SIS 出現(xiàn)錯誤時，系統(tǒng)可利用冗余元件代替當前元件完成安全儀表功能，且需定期進行功能測試。因此，從系統(tǒng)冗余性和測試周期兩個方面對執(zhí)行機構(gòu)進行優(yōu)化，敏感性分析見圖3。隨著系統(tǒng)冗余性的增加，測試周期的縮小，執(zhí)行機構(gòu)的PFDf呈線性減小趨勢；如不改變原有冗余結(jié)構(gòu)，即使將測試周期縮短至0.3 a，也無法達到SIL1 要求；改變?nèi)哂嘟Y(jié)構(gòu)為1oo2 型，測試周期變?yōu)?.5 a，總的系統(tǒng)PFD=0.095 1，可以滿足SIL1的要求；為確保系統(tǒng)的可靠性，可進一步將冗余結(jié)構(gòu)調(diào)整為2oo3型，測試周期變?yōu)?.3 a，總的系統(tǒng)PFD=0.008 5，可以滿足SIL2的要求。

圖3 優(yōu)化措施敏感性分析Fig.3 Sensitivity analysis of optimization measures

2.3.2 人因可靠性優(yōu)化

考慮到人因失效概率的占比較大，故從以下幾個方面進行優(yōu)化：①定期舉辦崗位技能培訓、應(yīng)急安全演練，并對個人進行能力評估，確保其掌握操作技能和安全知識；②改善工作場所的軟硬件條件，改善人機界面的友好性和可操作性，提高班組成員的合作性；③依據(jù)歷史維搶修記錄和專家分析，針對潛在發(fā)生的事故進行識別，加強操作人員觀察階段和判斷階段的行為規(guī)范，提升面對緊急和突發(fā)事件的經(jīng)驗、心理抗壓能力等。

3 結(jié)論

（1）針對輸氣站場部分安全儀表系統(tǒng)需手動操作控制的問題，從觀察階段、判斷階段和決策階段衡量了人因因素對SIL驗證結(jié)果的影響，并進行了案例分析。

（2）人因部分的失效概率占比與執(zhí)行機構(gòu)的占比接近，說明人因可靠性可直接影響SIF回路的正常運行。

（3）根據(jù)風險分析結(jié)果，從系統(tǒng)硬件、功能測試和人因管理等方面提出了降低SIS 風險的優(yōu)化建議，從而確保SIS功能的安全可靠。