基于風險的報警優先級量化設定方法研究*

路　帥，付軍良

(中國石油大學(華東) 安全環保與節能技術中心，山東 青島 266580)

0　引言

報警系統是幾乎所有現代化工業廠房中不可或缺的一個重要系統，包括發電廠、煉油廠、化工廠等。它被用來監視裝置的運行狀況，使操作員關注于需要進行評估或采取動作的變更，幫助操作員保障裝置處在一個安全的作業范圍內、識別并避免危險狀況、判定從預期的操作條件中產生的物質、更好地理解復雜的工藝條件等。報警優先級的設定直接關系到報警系統的實用性，關系到報警系統能否發揮其應有的作用。報警優先級區分出了不同報警的重要性，使操作人員能夠去優先關注于相對重要的報警。報警優先級的有效使用能夠提高操作員管理報警的能力。ISA-18.2指出，較高的優先級應當被較少的使用。流程工業中一般都會將報警劃分為多個等級，并會謹慎設置高優先級的報警。如EEMUA中推薦，在報警配置階段，“低”優先級報警所占比例為總數的80%，“中”優先級報警所占比例為總數的15%，而高優先級報警僅占總數的5%，并且設置了約20個“關鍵”優先級區段的報警。

報警優先級同時還體現了報警對人員、經濟、環境等造成后果的嚴重程度，通過對每個報警進行分析、比較，對流程工業中產生的幾十甚至上百個報警做出一合理的劃分，使得裝置運行過程中能夠實時去關注相對重要的報警，使得能準確高效的處理裝置運行中產生的問題。

目前，國際上在報警優先級方面也有相應的標準做出有關規定，如標準EEMUA-191[1]中給出的基于后果嚴重度和響應時間的設定方法，并給出了報警優先級的分布指導，也給出了一些具體的報警優先級的評定方法，如后果求和法、最大后果法等。標準ISA-18.2[2]也對優先級的劃分規則做了相關規定，該標準指出，有效的優先級的劃分應是高優先級比低優先級的發生頻率低，且大多數報警應被賦予最低優先級，最高的報警優先級報警數量最少。優先級的劃分應當考慮后果和響應時間，最低的優先級應當有最小的嚴重后果和最長的響應時間，最高的優先級報警有最嚴重的后果和最短的響應時間。這2個標準在報警優先級的設定方面有明顯的不足：都只考慮了后果嚴重度和可用時間2個方面，忽略了事故發生的概率和安全屏障作用。實際中會存在高事故后果和低發生率的事故場景，并且安全屏障也會對事故發生產生影響，標準中給出的方法操作性也比較差，只是簡單地介紹了相關方法。在進行裝置報警優先級優化過程中，如果僅僅考慮后果和響應時間，仍然不能夠有效區分不同類型的報警，因為在裝置設計時各類型的報警就是基于上述2因素來設計的。裝置實際運行過程中，靜態的報警分布已不能很好的符合實際運行狀況。

國內學者中，張玉濤等[3]在矩陣的基礎上，引入平均響應時間因子，對后果嚴重度做了細致的評分規定，實現報警優先級量化；趙虹[4]應用響應時間和后果等級矩陣對優先級做了劃分；這2種方法僅在后果嚴重度和時間上做了考慮，思維仍是局限在2個影響因子上；王佳等[5-6]建立了基于風險的報警優先級評估體系，考慮了發生不同級別報警的概率和嚴重程度，通過對報警風險狀態轉移過程中的狀態和時間2個方面進行分析，建立報警等級評價指標和Markov報警風險狀態轉移過程，為操作人員提供報警變量風險狀態轉移的“動態特性”；該方法在概率角度主要考慮的是報警狀態轉換的概率，需要大量實時狀態數據，并需要可信的轉換矩陣，在實踐中這往往很難保證，也很難執行，且優先級不會在較短時間內進行變動，該方法提出的實時性的意義也就大打折扣；常亮[7]研究了流程工業報警管理系統，設計了高優先級報警排序算法，該方法只針對最頻繁和最持久報警的歷史報警數據進行分析處理，受限于歷史數據的充分性和準確性；陳韜婕等[8]提出的優化方法是將安全屏障因素考慮進去，得到報警量化值和報警優先級別，但其在安全屏障各子因素的考慮上權重分配不太合理；高慧慧[9]將李克特量表應用到優先級的劃分上，該方法利用真實的歷史數據決定每個屬性的得分，并且通過計算一系列相應的指數來對報警變量進行優先級排序，但實際中往往會受限于歷史數據的充分性和真實性。

國外學者也開展了相關研究，CIOCARLIE等[10]將蜂窩網絡概念應用在優先級的篩選上，構建了概率圖模型，將先驗數據經計算的計算值應用在報警子圖中，形象的計算、比較優先級和可能性，從而找出報警原因。該方法有一定的借鑒意義，但它是基于每個報警時間相互獨立的假設，所以有一定的局限性。

應用當前主流報警優先級設定方法很難使靜態優先級報警比例控制在EEMUA所建議的指標內，甚至會嚴重偏離基準，這會帶來動態指標的偏離，根源在于設計者只是基于后果和響應時間而做的推論，雖簡單易行，但后期需不斷優化。現階段研究通過考慮不同的變量來篩選優先級，有一定的借鑒意義。

本文將標定的風險圖法應用到報警優先級的設定中，在該方法中，充分考慮了危險事件的后果嚴重度、響應時間、出現危險狀況的頻率、避免危險事件的后果的可能性，并借鑒了國際標準中的量化方法，應用該方法能清晰、簡單、快速地劃分報警等級。將該方法應用到某柴油加氫裝置報警系統的優化，結果接近于EEMUA中推薦的比例，比原設定結果有了較大改進。

1　改進的報警優先級設定步驟

風險圖法廣泛應用于工程及災害防治領域。多位學者對其在SIL定級上的應用進行了研究[11-14]，且該方法在安全儀表系統SIL定級上也有較好的應用[15]。標定的風險圖是半定性方法，是在風險圖的基礎上，對風險參數進行量化。標定是為了使對所有風險參數的確定更客觀，以及使參數的選擇過程能夠被驗證。

1.1　設定初始事件，定義風險參數

假設不存在報警系統，有以下5個風險參數：危險事件的后果嚴重度(C)、出現危險情況的頻率(f)、響應時間(t)、避免危險事件的后果的可能性(P)、在所考慮的報警不存在時每年發生事故的次數(W)。

1.2　根據風險準則對參數進行標定

1.2.1危險事件的后果嚴重度的標定

參考EEMUA-191標準中的最大后果法，后果值取安全、環境、經濟后果的最大值，即P=max(S，E，F)，安全、環境、經濟的具體標定采用EEMUA-191標準中的啟發性規則[1]，如表1所示。

表1　用于分配安全優先級、環境優先級、經濟優先級的啟發性規則

采用類似方法，后果嚴重度標定情況如表2所示。

表2　危險后果嚴重度標定值

1.2.2出現危險情況的頻率與響應時間的標定

ISA-18.2標準中給出的平均報警率如表3所示。

表3　平均報警率[2]

該表中，每種運行狀況下的平均通告報警率是以1個月內數據得出，并且基于操作員的能力和辨別報警的可用時間。平均報警率可作為危險情況出現頻率的參考，每次報警至少說明裝置運行過程中出現了某種狀況，可能需要操作員進行干涉。該表給出了很可能被接受的平均報警率(約平均每10 min 1個報警)和可管理的最大平均報警率(約平均每5 min 1個報警)。

EEMUA-191標準中給出了評估平均報警率的基準值，如表4所示。

表4　評估平均報警率的基準值[1]

EEMUA-191標準中認為，每5 min 1個的平均報警率是易管理的，而多于每分鐘1個的平均報警率是很可能不被接受。發生報警時，往往其中夾雜著誤報警、重復報警等情況，所以平均可監測到的危險狀況出現的頻率理論上不大于平均報警率，結合表3和表4，給出以下危險狀況出現頻率的標定值(見表5)。

表5　危險狀況出現頻率的標定值

實際運行中，由于報警持續時間不同，會有新產生的報警不斷地出現，從而掩蓋掉原有的報警，這需要操作員及時執行某個動作來響應報警，且操作員還要執行其他裝置監督任務，報警系統不應當占據他們所有的注意力，所以對可用時間要有一定的要求。合理的可用時間會兼顧人體工程學和報警要求。既不會占用較短的時間，使操作員很忙碌，也不會占用過多的時間，使操作員無心去關注其他的任務。EEMUA-191標準中的基準值(見表5)來自對大量工廠運行經驗的分析，結合該基準值，并考慮使用者的經驗(即建議1 min作為允許每個報警動作的最小平均時間)，給出如下對可用時間的標定(見表6)。

表6　可用時間標定值

1.2.3避免危險事故后果的可能性標定(P)

通過LOPA分析結果，從給出的安全監控措施中辨識出非報警的其他保護層措施，如BPCS、附加減輕措施(如圍堰、噴淋系統、逃生管理規程等)、安全閥、安全儀表功能等保護層。根據企業允許的失效率，計算出非報警的其他保護層的失效率值，得出目標風險降低值。給出如表7所述的標定結果。

表7　避免危險事故后果的可能性標定值

1.3　構建風險圖

1.3.1確定F值

用F代表出現危險情況的頻率與可用時間的乘積，即F=f·t。將表5和表6中標定值帶入到如下矩陣中，可得到F的標定情況，如圖1所示。

圖1　危險情況的頻率與可用時間矩陣Fig.1　The matrix of the frequency of hazardous situations and the available time

圖1中，定義F1區域為f1t1，f1t2，f1t3;定義F2區域為f2t1，f2t2，f2t3，f1t4;定義F3區域為f3t1，f3t2，f3t3，f2t4;定義F4區域為f4t1，f4t2，f4t3，f4t4，f3t4，級別依次為F1

1.3.2構建風險圖

應用上述標定的風險參數，即危險事件的后果嚴重度(C)、出現危險情況的頻率與響應時間的乘積(F)、避免危險事件的后果的可能性(P)。構建風險圖，如圖2所示。

圖2　標定的風險圖——報警的優先級判定Fig.2　Calibrated risk graph—Alarm priority determination

圖2中，“1”區域的報警優先級為“低”，“2”區域的報警優先級為“中”，“3”區域的報警優先級為“高”，“3”區域下方“關鍵”區域報警優先級為“關鍵”，“1”區域上方“記錄”區域不需要報警，進行事件記錄。并依據“在所考慮的報警不存在時事故發生的次數”這一因素，將該風險圖暫劃分為3個檔次，在所考慮的報警不存在時，事故發生次數較低的裝置，選用W1類；在所考慮的報警不存在時，事故發生次數一般的裝置，選用W2類；在所考慮的報警不存在時，事故發生次數較高的裝置，選用W3類。

當后果等級為“C1”時，僅產生微不足道的安全和環境風險，經濟損失也很小，所以該部分的報警優先級均設為“記錄”級別，即不作為一真正的報警；當后果等級為“C2”時，造成安全、環境、經濟損失后果輕微，在非常容易管理時(F1)，將其也都劃歸到“記錄”級別，在可以管理層面上，又依據避免事故后果的可能性將其劃分為“記錄”和“低”2個級別；當后果等級為“C3”時，造成的安全、環境、經濟后果較為嚴重，在非常容易管理時(F1)，將其劃分為“低”，在可以管理時(F2)，依據避免事故后果的可能性將其劃分為“低”和“中”2個級別；當很難管理時(F3)，依據避免事故后果的可能性將其劃分為“中”和“高”2個級別；當后果等級為“C4”時，造成安全、環境、經濟后果非常嚴重，在可以管理(F2)時，將其劃分為“高”和“關鍵”2個級別。

在“關鍵”級別報警的判別上，需要謹慎設置，一般關鍵級別的優先級報警會設置約20個，優先級的分布依賴于裝置的類型和所需的響應速度。在有快速動態響應的裝置中，可能高優先級報警的比例會有所提高，所以在進行完優先級劃分時，還要結合企業自身實際情況和運行情況，進行進一步的優化。

2　實例應用

某柴油加氫裝置共88類工藝監控指標，共設置報警316處，優先級別為工藝卡片級>紅色報警>黃色報警。應用基于風險的報警優先級設定方法優化報警設置，已知該裝置共設置88類工藝監控指標，于2017年6月1日至2017年6月30日對該裝置進行觀測，并收集了該時間段內的報警日志，對其進行優化，示例如下。

1)危險后果的標定(C)

對工藝監控指標“進料緩沖罐D114液位”分析，已知該工藝指標設置了工藝卡片級報警、紅色報警和黃色報警，由該裝置的報警彩虹圖(報警彩虹圖是關于各優先級報警設置參數的詳細說明，且報警彩虹圖中給出了未響應報警的后果和應對措施)查出該工藝指標的優化控制區為40～70，高、高高、高高高報限值為68，70，90，低、低低、低低低報限值為42，40，35。假定該指標的黃色報警不存在，后果為D114液位低，在紅色報警和工藝卡片級報警失效的情況下可能會導致P101抽空損壞，D114液位高，在紅色報警和工藝卡片級報警失效的情況下可能會導致滿罐，液相超壓，油竄至火炬。預期安全后果屬于S2，濾后原料罐超壓，有很小可能將人置于傷害的危險場景；預期環境后果屬于E2，油竄至火炬中，有很小可能超出環境限定值，預期經濟后果屬于F1，雖沒有造成裝置損壞的可能性，但可能性正在增加。造成生產力和效率的較小損失。綜合預期的安全、環境、經濟后果，通過最大后果法，所以對危險后果的標定為C2。

2)對危險狀況出現的頻率(f)與可用時間(t)的標定

在進行監控的30 d時間里，其中有6 d時間該工藝操作指標的黃色報警出現警報，出現警報數分別為224,256,231,217,289和262，平均每10 min出現的報警數分別為1.56,1.78,1.60,1.50,2.00和1.82。均處于平均每10 min有1到2個報警的范圍內，故頻率等級標定為f2，實際觀測每個報警的處理時間為3 min左右，故時間等級標定為t2，所以F標定為F2。

3)對避免危險事故后果的可能性標定(P)

由該裝置的SIL評估報告中可以看出,場景一P101抽空損壞和,場景二滿罐，液相超壓，油竄至火炬的風險降低值均屬于P3等級。

4)應用風險圖

依次經由C2，F2，P3，在黃色報警不存在時，設置了紅色報警和工藝卡片級報警，每年發生的事故次數處于很低的水平，應用W1類，最后標定為“記錄”級別。

綜上所述，建議取消黃色報警。

于2017年6月1日至2017年6月30日，應用該設定方法對柴油加氫裝置重新進行優化設定，共取消黃色報警6個，設定關鍵報警20個，工藝卡片級報警30個，紅色報警50個，黃色報警210個。較原始分布有了較大提高，比較接近于EEMUA建議水平。結果如表8所示。

表8　柴油加氫裝置報警級別劃分

3　結論

1) 從風險角度考慮報警優先級的設定，將標定的風險圖法應用于報警優先級設定，假定某報警不存在，對出現危險情況的頻率、后果嚴重度、可用時間、避免事故后果的可能性等進行標定，并對危險狀況出現頻率與可用時間進行矩陣分析，并將結果運用于風險圖中，得到新的報警優先級設定方法——基于風險的報警優先級量化設定方法。

2)實例應用表明，基于風險的報警優先級量化設定方法能夠有效應用于優化裝置報警優先級，各級報警比例分布更接近EEMUA的推薦值。

3)對于“在所考慮的報警不存在時每年發生事故的次數”這一因素，暫給出3個不同的檔次供企業選擇。實踐中，企業應結合自身可接受標準作進一步完善。

[1]Engineering Equipment and Materials Users Association. Alarm system-A guide to design， management and procurement： EEMUA 191-2007[S].London： Engineering Equipment and Materials Users Association，2007:7.

[2]International Society of Automation. Management of alarm system for the process industries: ANSI/ISA-18.2-2009[S].North Carolina：International Society of Automation(ISA), 2009:7.

[3]張玉濤,王海清,陳國明. 基于過程數據的關聯報警分組和抑制策略[J]. 石油與天然氣化工，2015，44(5): 100-104，110.

ZHANG Yutao, WANG Haiqing, CHEN Guoming. A grouping and suppression strategy for correlated alarm based on process data[J]. Chemical Engineering of Oil & Gas, 2015, 44(5): 100-104，110.

[4]趙虹. 過程報警合理化設置方法及其應用[J]. 化工自動化及儀表,2016,43(11):1208-1210.

ZHAO Hong.The set method and application of the process alarm[J]. Control and Instruments in Chemical Industry, 2016, 43(11): 1208-1210.

[5]王佳. 提升工業過程報警系統有效性的自適應管理策略[D]. 北京:北京化工大學,2016:35-48.

[6]李宏光. 一種面向實時風險預測的工業報警優先級評估方法[C]//中國自動化學會過程控制專業委員會.第26屆中國過程控制會議(CPCC 2015)論文集.北京:中國自動化學會過程控制專業委員會，2015:1.

[7]常亮. 流程工業報警管理系統的設計與開發[D].杭州：浙江大學，2017:33-48.

[8]陳韜婕，王海清，安躍紅，等. 油氣行業報警優先級多維量化設定方法研究[J]. 中國安全科學學報，2015，25(1):165-170.

CHEN Taojie，WANG Haiqing，AN Yuehong，et al. Study on multi-dimensional method for quantified setting alarm priority in petroleum industry[J]. China Safety Science Journal, 2015, 25(1): 165-170.

[9]高慧慧. 過程工業報警多維層次模型研究與應用[D].北京:北京化工大學,2017:65-69.

[10]CIOCARLIE G F, YEH E, CONNOLLY C, et al. Alarm Prioritization and Diagnosis for Cellular Networks[C]//International Conference on Mobile Networks and Management. Berlin: Springer, 2015: 28-42.

[11]廖柯熹，楊藝，白國紅，等. 輸氣站場ESD系統的SIL定級與驗證[J]. 中國安全生產科學技術，2015，11(1):161-165.

LIAO Kexi, YANG Yi, BAI Guohong，et al. Grading and validation of SIL in ESD system of gas station[J]. Journal of Safety Science and Technology, 2015，11(1): 161-165.

[12]李榮強，姜巍巍，曹德舜. 基于改進風險圖的安全完整性等級確定方法[J]. 計算機與應用化學，2014，31(3):382-384.

LI Rongqiang, JIANG Weiwei, CAO Deshun. The study of safety integrity level determination methods based on improved risk graph[J]. Computers and applied Chemistry, 2014, 31(3): 382-384.

[13]姜巍巍，李玉明，王春利，等. 石化行業安全儀表系統及其安全完整性等級確定方法[J]. 安全、健康和環境，2009，9(6):18-20，53.

JIANG Weiwei，LI Yuming，WANG Chunli，et al. Safety instrument system and method of its safety level integrity of petrochemical industry[J]. Safety Health & Environment, 2009, 9(6): 18-20,53.

[14]郭海濤,陽憲惠. 一種安全儀表系統SIL分配的定量方法[J]. 化工自動化及儀表,2006,33(6):65-67,70.

GUO Haitao, YANG Xianhui. Quantitative method for SIL assignmengt of safety instrumented system[J]. Control and instruments in chemical industry, 2006, 33(6): 65-67,70.

[15]牟洪祥. SIL定級技術要求及風險圖法在SIL定級中的應用[J]. 安全、健康和環境,2017,17(7):1-6.

MOU Hongxiang. Application of SIL classification technical requirement and risk graph method in SIL grading[J]. Safety Health & Environment, 2017, 17(7): 1-6.