考慮人因可靠性的安全儀表功能SIL驗證方法研究

賈俊范

摘 要：目前，我國的經濟在快速發展，社會在不斷進步，油氣站場一般設置有緊急停車系統（ESD）等存在操作員介入的非常規安全儀表功能（SIF），為解決已有的安全完整性等級（SIL）評估方法不能針對此類SIF進行功能安全評價的情況。對存在操作員介入的非常規SIF進行研究，將其中的人為因素細分為觀察、決策和執行3個階段;根據各類人因可靠性分析方法優缺點，篩選CREAM和HCR方法分別分析緊急情景環境和應急響應時間對非常規SIF人因失效概率的影響，建立考慮人因可靠性的SIL驗證模型;基于此模型選取某輸油站典型SIF開展SIL評估，分析人因失效對SIF整體可靠性的影響水平，并提出改善措施。結果表明：將操作員應急響應過程中的人因失效概率引入傳統的SIL驗證模型中，可實現對非常規SIF的功能安全評價;人因失效對非常規SIF具有顯著影響，篩選的人因可靠性模型可準確計算人因失效概率。

關鍵詞：非常規安全儀表功能;安全完整性等級;驗證模型;操作員介入;人因失效概率

安全儀表系統（SIS）已經廣泛應用于石油化工、醫藥化工及儲運設施等行業。通過過程危害分析（PHA），將SIS作為一種保護措施用于降低生產過程中潛在風險發生事故的概率。在石油化工領域，一個項目的安全儀表功能（SIF）需求通常來自三個方面，即工藝包提供的因果表（cause & effect）或聯鎖邏輯圖;法律法規、標準規范或企業標準里的特定要求;基于過程危害分析后，為了預防潛在風險所需的SIF。但是工藝包給出的因果表或聯鎖邏輯圖，一般不僅是基于安全需求的聯鎖，還包括了基于工藝自身需求的聯鎖及基于設備保護的聯鎖等;且聯鎖執行動作亦不明確哪些是主要動作，哪些是次要動作。PHA最常用的方法是HAZOP，雖然HAZOP是識別過程危害的一種非常有效的方法，但它只是一種定性的識別，并沒有涉及后續相關活動（例如SIL評估），也存在SIF被遺漏或定義不明確的可能。所以SIF的識別是非常必要也是重要的，SIF的識別及確定也是SIS全生命周期中重要的一環，若SIF設置不合適，則不但無法實現風險削減的目的，還可能會對生產過程的安全運行造成潛在威脅或發生不期望的安全事故。

1 按實際安全需求依據規范建立安全儀表功能

在化工裝置的工藝生產過程中，危險化學品、能量的意外釋放會造成人員傷亡、財產損失或環境污染事件。煉化裝置正常生產環境，基礎過程控制系統承擔了超過99%概率的上述事件安全控制需求，但是，風險一旦突破BPCS系統，造成的風險很可能會導致生產成本、社會成本巨幅提高。因此，儀表安全控制系統依靠其高可靠性，成為有效控制風險的主要手段之一。如何使用科學方法建立安全儀表功能是安全儀表系統合理運行的首要條件。我國已經廣泛推行的危險與可操作性分析是非常好的分析方法，LOPA作為HAZOP的延伸，能很好的進行半定量分析，合理、完整的LOPA分析能夠作為建立安全儀表功能的基準。如果能實現HAZOP半定量分析，也可將其定為建立安全儀表功能的基準。另外，IEC61508標準提供了其他定性建立安全儀表功能（SIF）安全完整性等級（SIL）的分析方法。設計階段是煉化企業基層車間建立SIF功能的關鍵環節，了解熟悉投產的相近設計裝置運行情況，在此基礎上進行完整有效的HAZOP評估，對于所擔心的風險進行LOPA分析，根據半定量分析結果確定需要補充的半定量等級，建立所需的SIF功能作為保護措施，確保風險降低到所需的失效概率內。這個需要補充的半定量等級就是該安全儀表回路的SIL等級。此外，生產投產進入穩定狀態后（通常是1年），在HAZOP分析、實際運行問題基礎上，進行LOPA評估，獲得需求的安全儀表功能，也是完善SIS或ESD（緊急停車系統）的關鍵環節。

2 考慮人因可靠性的安全儀表功能SIL驗證方法研究

2.1 安全完整性（SIL）定級要求

在SIL定級前首先應編制企業的風險可接受標準，風險可接受標準應符合企業的實際要求，并綜合考慮國家安監總局40號令的要求。SIL定級采用保護層分析方法（LOPA），需要定級的SIF回路根據HAZOP識別出來的嚴重后果場景，結合工藝包內SIL等級要求分析識別。為保證分析過程的完整性、一致性，同一裝置的HAZOP及SIL定級工作，應遵循IEC61508/IEC61511標準要求的風險矩陣，且賣方應派同一組人員執行。通過對裝置進行SIL等級評估工作，確定需要進入SIS系統SIF回路數量以及其SIL等級的實際需求，滿足安全儀表系統配置的同時，避免設計過度保護配置和保護不足。具體的SIL定級回路數量需根據HAZOP評估結果確定，賣方需在投標時提供單回路評估單價以供參考。LOPA分析選用的數據庫應為國際上權威的數據庫，必須持有擁有核發使用權的安全等級評估軟件和失效數據庫，并出示相關證明材料。對于特殊類回路，例如緊急停車按鈕、成套報設備以及FGS系統等，應提出相關的技術要求。SIL定級時要結合專利商的要求，同時對聯鎖回路動作后的影響進行分析。在SIL定級的過程中，依據IEC61508以及IEC61511的要求，對SIF回路提出SRS功能安全規格書的要求。

2.2 觀察失效概率

CREAM強調人的績效輸出不是孤立的隨機行為，而是依賴于人完成任務時所處的情景環境，適用于分析應急響應過程中操作員在觀察階段的失效概率P1。CREAM將任務環境歸為9類不同的因素，統稱為共同績效條件（Common Performance Conditions，CPCs）。每類CPC又分為多個水平，如工作條件分為優越、匹配、不匹配等，其分別對人因可靠性產生不同的影響。通過引入性能影響因子（Performance InfluenceIndex，PII），確定各類CPC的不同水平對應的權重因子，可定量計算CPCs對人因可靠性的影響。非常規SIF中操作員觀察階段的失效模式與CREAM認知功能中的觀察部分類似，可利用其計算方法獲得非常規SIF中操作員觀察階段的人因失效概率。

2.3 按標準、規范規定的程序設計SIS的工作內容

標準、規范對SIS安全生命周期各階段工作提出了具體要求。可以看出，石油化工項目籌劃階段的方案設計，SIS設計工作就開始了，只不過自控專業在收到安全儀表技術要求之前的過程中僅僅是參與者，之后才為主導者：項目設計者首先要通過工藝技術、工藝流程、設備選型、控制策略及操作規程等確保工藝過程本質安全，在保護層安全功能分配和安全完整性等級評估與審查的基礎上，提出對SIS的技術要求，自控專業才開始進行相關的設計工作。

3 結語

通過各類HRA方法優缺點的對比以及分析油氣站場非常規SIF的特殊性，篩選CREAM和HCR方法分別分析緊急情景環境和應急響應時間對非常規SIF人因失效概率的影響，建立考慮人因可靠性的安全儀表功能SIL驗證模型。模型可結合不同站場的具體情況，通過合理確定CPCs權重因子等對人因失效概率進行計算，實現對非常規SIF功能的安全評價，彌補目前評價非常規SIF的不足。

輸油站的非常規安全儀表功能SIL驗證結果表明，人因失效對此類SIF整體可靠性具有顯著影響，占總失效概率比重達到32.85%。可通過實施有針對性的人因管理改善措施，降低人因失效概率，進而提高非常規安全儀表系統的整體可靠性。

目前國內油氣行業安全儀表系統相關的操作員觀察、決策、執行基本失效數據積累不夠充分，急需收集整理相關數據，建立安全儀表功能人因失效數據庫，為非常規安全儀表功能的SIL評估提供基礎。

參考文獻：

[1]池亞娟，付建民，李宏浩等.基于人因可靠性的間歇裝置SIL分析與改進[J].中國安全生產科學技術，2018，14（3）： 136-143.

[2]劉俊芳.石化行業人因可靠性分析及其在LOPA中的應用研究[D].青島：中國石油大學（華東），2015.

[3]孫彥招，包士毅，高增梁.功能安全完整性評估中的人因可靠性評價及應用[J].石油化工自動化，2012，48（5）：11-14.