基于人因可靠性的間歇裝置SIL分析與改進(jìn)*

池亞娟，付建民，李宏浩，甄　佳，商振東，袁　磊

(1.中國石油大學(xué)(華東) 海洋油氣裝備與安全技術(shù)研究中心，山東 青島 266580；2.東營石大勝華新能源有限公司，山東 東營 257000)

0　引言

風(fēng)險(xiǎn)辨識(shí)是降低風(fēng)險(xiǎn)水平的第一步?，F(xiàn)有基本過程控制系統(tǒng)(Basic Process Control Systems，BPCS)、報(bào)警系統(tǒng)等安全屏障已不能滿足石化企業(yè)的安全要求，安全儀表系統(tǒng)作為一種實(shí)現(xiàn)易燃、易爆、有毒、有害等流程工業(yè)安全運(yùn)行的重要措施，發(fā)揮著不可替代的作用[1]。國際電工委員會(huì)頒布的標(biāo)準(zhǔn)IEC 61508及IEC 61511均對(duì)安全儀表系統(tǒng)功能安全提出了要求，采用安全完整性水平術(shù)語表征其執(zhí)行的安全儀表功能(Safety Instrumented Function, SIF)等級(jí)，同時(shí)建立相應(yīng)的模型來評(píng)估SIS可靠性，運(yùn)用的方法主要有定性、半定量和定量3類[2]。定性方法雖簡單省時(shí)，但主要依賴于人的主觀判斷和經(jīng)驗(yàn)，可能會(huì)造成評(píng)估誤差，因此SIL確定分析一般采用HAZOP結(jié)合LOPA的半定量方法，SIL驗(yàn)證分析常用的定量分析方法，比如故障樹分析法、可靠性框圖和Markov建模方法等。對(duì)于人為干預(yù)的間歇生產(chǎn)裝置，部分SIS依賴于人員手動(dòng)觸發(fā)，由人為失誤導(dǎo)致SIS可靠性降低，進(jìn)而使其達(dá)不到需求SIL[3]，故需對(duì)人因可靠性進(jìn)行研究。目前，國內(nèi)外一些學(xué)者對(duì)受人因可靠性影響的系統(tǒng)SIL評(píng)估進(jìn)行了研究，但對(duì)考慮人因因素影響SIL評(píng)估的定量分析較少，比如Schonbeck等[4]研究了SIS在運(yùn)行過程中人員及組織因素的影響，提出了一套人員及組織因素對(duì)運(yùn)行中SIL的量化程序，并依據(jù)專家經(jīng)驗(yàn)開發(fā)安全審計(jì)問卷來評(píng)估安全管理對(duì)安全屏障可靠性影響；Bevilacqua等[5]將人為因素整合到煉油廠風(fēng)險(xiǎn)管理系統(tǒng)中，開發(fā)了稱為人因風(fēng)險(xiǎn)管理(HFRM)的新程序，并且專家人員基于歷史事故數(shù)據(jù)定義了與風(fēng)險(xiǎn)相關(guān)的行為形成因子。一些人因可靠性分析(HRA)方法已經(jīng)被開發(fā)用于各種行業(yè)，有超過50種不同類型的HRA方法，主要有THERP(Technique for Human Error Rate Prediction)，HCR(Human Cognitive Reliability)和CREAM(Cognitive Reliability and Error Analysis Method)等。一般而言，HRA對(duì)特定類型任務(wù)的人為失誤概率進(jìn)行量化[3]，其中THERP結(jié)合HCR是目前評(píng)估人因可靠性廣泛接受的方法，THERP模型主要針對(duì)一系列與時(shí)間關(guān)聯(lián)性較小的行為，而HCR模型側(cè)重于與時(shí)間緊密相關(guān)的認(rèn)知行為，兩者側(cè)重點(diǎn)不同，相互結(jié)合較好地克服了各自不足之處，更適合應(yīng)用于工程實(shí)際[6]。

本文基于某LiPF6間歇生產(chǎn)裝置現(xiàn)有風(fēng)險(xiǎn)，采用HAZOP結(jié)合LOPA方法對(duì)其進(jìn)行過程風(fēng)險(xiǎn)分析，并根據(jù)分析結(jié)果提出改進(jìn)建議。選取間歇裝置典型SIS，根據(jù)風(fēng)險(xiǎn)分析結(jié)果對(duì)其進(jìn)行SIL確定及驗(yàn)證，同時(shí)建立人因可靠性模型來分析人為失誤對(duì)SIL影響水平，并提出相應(yīng)優(yōu)化方案來提高系統(tǒng)SIL。

1　間歇裝置風(fēng)險(xiǎn)分析與SIS安全功能確認(rèn)

1.1　某LiPF6間歇裝置簡介

本文以某LiPF6間歇裝置為例，LiPF6作為含氟鋰鹽中的一種，與其他幾種用作鋰離子電池電解質(zhì)的鋰鹽相比，LiPF6具有穩(wěn)定性高、電導(dǎo)率高、離子間締合作用弱等優(yōu)點(diǎn)，被人們公認(rèn)為是目前最佳鋰離子電池電解質(zhì)材料[7-10]。現(xiàn)階段，LiPF6制備方法包括3種：氣固直接反應(yīng)法、HF溶劑法和離子交換法，其中研究最多、技術(shù)最為成熟、產(chǎn)業(yè)化應(yīng)用最廣泛的工藝是HF溶劑法[11-12]。制備LiPF6時(shí)，裝置安全生產(chǎn)難以控制，合成難度較高，整個(gè)生產(chǎn)過程涉及高低溫、無水無氧操作、高純精制、強(qiáng)腐蝕，對(duì)設(shè)備和操作人員要求比較苛刻、工藝難度極大，產(chǎn)品極易吸潮、分解，會(huì)產(chǎn)生雜質(zhì)，故LiPF6生產(chǎn)裝置風(fēng)險(xiǎn)較高[13-14]。

1.2　基于HAZOP和LOPA分析的風(fēng)險(xiǎn)分析和SIS安全功能確認(rèn)

研究采用危險(xiǎn)和可操作性分析(Hazard and Operability Study, HAZOP)及LOPA分析方法開展該間歇裝置風(fēng)險(xiǎn)分析和SIS安全功能分析。HAZOP是一種用于辨識(shí)設(shè)計(jì)缺陷、工藝過程危險(xiǎn)及操作性問題的結(jié)構(gòu)化分析方法，應(yīng)用廣泛。由于HAZOP分析識(shí)別的重大事故場景，分析人員難以準(zhǔn)確地對(duì)其進(jìn)行定量評(píng)價(jià)，故需進(jìn)一步采取半定量的LOPA分析方法，以確定HAZOP分析中現(xiàn)有風(fēng)險(xiǎn)是否可以接受及安全保護(hù)措施是否合適有效，是否需要增加新的安全保護(hù)措施，從而為分析系統(tǒng)的安全設(shè)計(jì)及完善提供依據(jù)。LOPA分析是基于事故場景進(jìn)行風(fēng)險(xiǎn)研究，故結(jié)合HAZOP與LOPA方法更有利于確保分析更準(zhǔn)確、全面。

某LiPF6間歇生產(chǎn)裝置大量操作涉及人工手閥及人員確認(rèn)，依賴人工完成，在運(yùn)行過程中操作人員有中毒、窒息的危險(xiǎn)，嚴(yán)重時(shí)會(huì)發(fā)生燃燒爆炸，按現(xiàn)行安全設(shè)計(jì)標(biāo)準(zhǔn)和風(fēng)險(xiǎn)管理經(jīng)驗(yàn)，部分風(fēng)險(xiǎn)控制所依賴保護(hù)層較弱，無法保證風(fēng)險(xiǎn)得到長期穩(wěn)定控制，因此需要對(duì)裝置進(jìn)行風(fēng)險(xiǎn)分析。應(yīng)用HAZOP分析對(duì)LiPF6間歇裝置進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)ALARP原則(當(dāng)前的技術(shù)條件和合理的費(fèi)用下，對(duì)風(fēng)險(xiǎn)的控制要做到在合理可行的原則下“盡可能的低”)，經(jīng)過對(duì)LiPF6間歇生產(chǎn)裝置進(jìn)行風(fēng)險(xiǎn)分析，其中包括“低風(fēng)險(xiǎn)”111項(xiàng)，“中風(fēng)險(xiǎn)”91項(xiàng)，“高風(fēng)險(xiǎn)”8項(xiàng)，各風(fēng)險(xiǎn)所占比例如圖1所示。

圖1　風(fēng)險(xiǎn)比例分布Fig.1　The distribution of risk ratio

針對(duì)“中風(fēng)險(xiǎn)”、“高風(fēng)險(xiǎn)”全部提出參考建議，分別有122項(xiàng)、17項(xiàng)。其中將參考建議大致分為設(shè)備完整性管理、操作程序不完善、本質(zhì)安全設(shè)計(jì)3類，各類建議所占比例如圖2所示。

圖2　各項(xiàng)建議分類比例分布Fig.2　The distribution of recommended classification

基于風(fēng)險(xiǎn)評(píng)估結(jié)果及當(dāng)今過程風(fēng)險(xiǎn)控制和安全管理要求，對(duì)比該公司的風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，針對(duì)某LiPF6間歇生產(chǎn)裝置提出一些宏觀建議和結(jié)論如下：

1)裝置工藝安全信息(Process Safety Information，PSI)工作需要加強(qiáng)

(1)加強(qiáng)P&ID圖、工藝操作規(guī)程等工藝過程基礎(chǔ)資料的信息化準(zhǔn)確性和完整性確認(rèn)工作；

(2)裝置絕大部分手閥和部分小型設(shè)備無位號(hào)，可能導(dǎo)致誤操作、維修或更換錯(cuò)誤，嚴(yán)重時(shí)導(dǎo)致事故(如1998年美國路易斯安娜州的一家天然氣分離工廠閥門誤操作導(dǎo)致的爆炸事故)，建議考慮在設(shè)備臺(tái)賬、P&ID圖等資料中增加該方面信息；另外，管線上常關(guān)或常開的閥門應(yīng)做出“常開”或“常關(guān)”的標(biāo)識(shí)；

(3)建議進(jìn)一步完善P&ID圖和管道單線圖、數(shù)據(jù)表中管線材質(zhì)、壓力等級(jí)等分界點(diǎn)信息，完善部分變更和新增的保溫和伴熱信息等。

2)裝置部分風(fēng)險(xiǎn)依賴人工發(fā)現(xiàn)，主要包括以下3種情況：

(1)存在部分風(fēng)險(xiǎn)主要依賴人工巡檢和人工數(shù)據(jù)記錄發(fā)現(xiàn)和控制；

(2)部分重要的參數(shù)監(jiān)測(cè)無報(bào)警提示；

(3)部分安全儀表依賴人工觸發(fā)才能發(fā)揮其安全功能。

3)裝置鎖定管理制度需要建立

生產(chǎn)裝置嚴(yán)重依賴人工操作，同時(shí)缺乏鎖定管理，建議增設(shè)閥門管線等鎖定管理，防止人員失誤。

4)安全儀表系統(tǒng)需要完善

SIS是過程工業(yè)受控設(shè)備的重要安全屏障。參考標(biāo)準(zhǔn)IEC 61508將SIS的可靠性要求規(guī)定為SIL[15]?，F(xiàn)有SIS設(shè)計(jì)邏輯及功能不完整，其SIL不明確；部分SIS依賴于操作人員觸發(fā)才能實(shí)施安全功能，未考慮人為失誤對(duì)SIL的顯著影響；同時(shí)安全技術(shù)規(guī)格說明書對(duì)于不同安全儀表回路無明確要求。建議在對(duì)現(xiàn)有SIS進(jìn)行完整性確認(rèn)及驗(yàn)證時(shí)，分析研究人因可靠性對(duì)SIL影響，作為提高安全儀表系統(tǒng)SIL依據(jù)。

2　考慮人因因素的間歇裝置系統(tǒng)SIL確定及驗(yàn)證

SIS在保證系統(tǒng)安全運(yùn)行的同時(shí)存在一些問題，主要包括：拒動(dòng)作、誤跳車、故障率過高及缺乏合理的維護(hù)手段[16]。拒動(dòng)作或誤跳車使得SIS失去其SIF，不能發(fā)揮恰當(dāng)?shù)陌踩δ芑驁?zhí)行不需要的安全功能，可能會(huì)造成重大經(jīng)濟(jì)損失[17]。為保證SIS正確發(fā)揮其安全功能，需要對(duì)其進(jìn)行SIL確認(rèn)及驗(yàn)證分析，并執(zhí)行合理的維護(hù)手段。其中安全完整性量化指標(biāo)為需求時(shí)失效概率(Probability of Failure on Demand,PFD)。

2.1　間歇裝置系統(tǒng)SIL確定分析方法

功能安全標(biāo)準(zhǔn)GB/T 20438要求為每個(gè)SIF選擇一個(gè)目標(biāo)SIL，并通過定量的分析驗(yàn)證SIS是否達(dá)到目標(biāo)SIL，即必須的風(fēng)險(xiǎn)降低量是系統(tǒng)現(xiàn)有的過程風(fēng)險(xiǎn)與可容忍的風(fēng)險(xiǎn)之差。相應(yīng)的SIL確認(rèn)和SIL驗(yàn)證流程如圖3所示。

圖3　SIL評(píng)估流程Fig.3　The SIL evaluation process

合理確認(rèn)SIL等級(jí)是SIF完整性研究的第一步，也是避免SIS拒動(dòng)作首要工作。目前國際上通用的SIL確認(rèn)方法有風(fēng)險(xiǎn)圖、風(fēng)險(xiǎn)矩陣等，但LOPA應(yīng)用越來越廣泛。LOPA是將現(xiàn)有風(fēng)險(xiǎn)與風(fēng)險(xiǎn)承受能力標(biāo)準(zhǔn)相比較，來確定SIS的SIL[18]。

2.2　間歇裝置系統(tǒng)SIL驗(yàn)證分析方法

合理驗(yàn)證SIL等級(jí)是SIF完整性研究的第二步，也是決定能否避免SIS拒動(dòng)作關(guān)鍵一步。SIL驗(yàn)證必須建立在合理確認(rèn)SIL等級(jí)的基礎(chǔ)上[19]。本次SIL驗(yàn)證計(jì)算采用故障樹模型。以1oo2冗余結(jié)構(gòu)的危險(xiǎn)失效為例，構(gòu)建故障樹模型見圖4。

圖4　1oo2結(jié)構(gòu)故障樹模型Fig.4　FTA model of 1oo2 voting architecture

t時(shí)刻危險(xiǎn)失效概率計(jì)算公式為：

PFD(t)=λDUC×t+λDDC×MTTR+

(λDDN×MTTR+λDUN×t)2

(1)

化簡后可得：

(2)

式中：λD為危險(xiǎn)失效率；λDUC為未檢測(cè)到的共因失效導(dǎo)致的危險(xiǎn)失效率；λDDC為檢測(cè)到的共因失效導(dǎo)致的危險(xiǎn)失效；λDDN為檢測(cè)到的普通失效導(dǎo)致的危險(xiǎn)失效率；λDUN為未檢測(cè)到的普通失效導(dǎo)致的危險(xiǎn)失效率；MTTR為平均修復(fù)時(shí)間，h；β為未檢測(cè)到的共因失效因子；TI為周期性功能測(cè)試時(shí)間間隔，h；PFDavg為平均危險(xiǎn)失效概率。

對(duì)于間歇裝置安全儀表系統(tǒng)，其成功執(zhí)行安全功能不僅取決于自身的結(jié)構(gòu)設(shè)計(jì)和硬件可靠性，更重要的是人員介入對(duì)其產(chǎn)生重要影響，可能會(huì)降低系統(tǒng)SIL。故在SIL驗(yàn)證時(shí)不僅需采用故障樹模型計(jì)算安全儀表系統(tǒng)元件PFD，還需重點(diǎn)考量人因因素對(duì)安全儀表系統(tǒng)SIL的影響。

2.3　間歇裝置人因PFD分析模型

對(duì)間歇裝置的重要影響因素開展人因可靠性分析(Human Reliability Analysis，HRA)，通過分析比較量化分析結(jié)論，找出系統(tǒng)可靠性影響最嚴(yán)重的或最容易改善的薄弱環(huán)節(jié)，并依據(jù)這些事件提出適當(dāng)?shù)母纳拼胧Ｄ壳皯?yīng)用最廣泛、最有效的分析方法為THERP結(jié)合HCR方法，THERP模型主要用來計(jì)算操縱人員進(jìn)行某項(xiàng)操作時(shí)發(fā)生失誤的概率，與時(shí)間序列無關(guān)；HCR模型著眼點(diǎn)在時(shí)間上，關(guān)注與時(shí)間密切相關(guān)的認(rèn)知行為上，兩種方法相互補(bǔ)充。人因可靠性分析基于圖5所示的人因事件樹，設(shè)P1，P2和P3分別為感知階段、診斷階段和操作階段的失敗概率，且P表示整個(gè)響應(yīng)行動(dòng)的失敗概率，則應(yīng)有：

P=P1+P2+P3=P1+P2(1-P1)+

P3(1-P1)(1-P2)

(3)

圖5　人因事件樹Fig.5　Human event tree

1)量化觀測(cè)信息失誤概率

一般情況下，系統(tǒng)發(fā)生異常事件時(shí)，在監(jiān)控室或者操作現(xiàn)場有緊急報(bào)警，故P1實(shí)際上可以認(rèn)為其失效概率非常低，一般取P1=1.0×10-4；

2)量化操作人員響應(yīng)失誤概率

操作人員察覺到系統(tǒng)失常信息后，系統(tǒng)允許操作人員有一定時(shí)間做出響應(yīng)，此時(shí)操作人員不響應(yīng)概率為[20]：

P2=P(Tr)=1-φ[ln(Tr/T0.5)/σ]

(4)

式中：Tr表示系統(tǒng)允許人員響應(yīng)時(shí)間，即異常狀態(tài)信號(hào)出現(xiàn)到人員執(zhí)行相應(yīng)的動(dòng)作時(shí)間T與觀測(cè)信息時(shí)間T0、人員操作處理時(shí)間Ta之差，min；P(Tr)表示不響應(yīng)概率；T0.5表示操作人員中值響應(yīng)時(shí)間，min；時(shí)間數(shù)據(jù)可結(jié)合實(shí)際情況依據(jù)歷史事故數(shù)據(jù)、模擬機(jī)實(shí)驗(yàn)、操作規(guī)程及人員訪談等方式確定；φ()表示標(biāo)準(zhǔn)正態(tài)函數(shù)。σ表示對(duì)數(shù)標(biāo)準(zhǔn)偏差，表示對(duì)應(yīng)對(duì)不同具體應(yīng)急事件時(shí)的差異，取決于任務(wù)難度及操作人員經(jīng)驗(yàn)等，其取值假設(shè)如下：

(1)若操作人員經(jīng)過定期培訓(xùn)且應(yīng)急操作程序?yàn)椴僮魅藛T熟練掌握，此時(shí)σ=0.4；

(2)若操作人員在發(fā)生緊急事件需要按照應(yīng)急規(guī)程操作，此時(shí)σ=0.6；

(3)若操作人員進(jìn)行培訓(xùn)但無相應(yīng)的應(yīng)急規(guī)程操作，此時(shí)σ=0.8；

(4)若操作人員未進(jìn)行培訓(xùn)且無相應(yīng)的應(yīng)急規(guī)程操作，僅憑工作經(jīng)驗(yàn)操作，此時(shí)σ=1.0。

3)量化操作處理失誤概率

計(jì)算P3時(shí)，通過查閱NURGE/CR標(biāo)準(zhǔn)采用THERP方法進(jìn)行計(jì)算，確定操作人員基本失誤概率及可能的恢復(fù)因子，確定最終人員操作處理失誤概率，即P3=PBHEP×PNRA，其中，PBHEP為人員基本失誤概率，PNRA為恢復(fù)因子。

2.4　LiPF6間歇裝置SIL分析實(shí)例研究

選取具有代表性的AHF中間罐液位聯(lián)鎖控制系統(tǒng)為例進(jìn)行SIL分析與改進(jìn)。AHF中間罐V104液位聯(lián)鎖功能：液位計(jì)LIT104監(jiān)測(cè)AHF原料罐V104液位，當(dāng)AHF中間罐V104液位超過設(shè)定值時(shí)(≥3 599.7 mm)，液位計(jì)將信號(hào)傳給DCS104系統(tǒng)，操作人員在監(jiān)控室觀察到液位計(jì)發(fā)出的信號(hào)，控制按鈕聯(lián)動(dòng)HV104-1切斷自罐區(qū)打料泵AHF來液，同時(shí)停AHF罐區(qū)打料泵PV104A/B(一備一用)，使其恢復(fù)到正常工作液位，起到保護(hù)作用。系統(tǒng)聯(lián)鎖回路見圖6。其中，V104液位系統(tǒng)SIS聯(lián)鎖觸發(fā)過程不會(huì)自動(dòng)執(zhí)行，需要操作人員協(xié)助動(dòng)作才能發(fā)揮其功能，SIS與操作員可近似構(gòu)成一串聯(lián)型的安全控制系統(tǒng)，如圖7所示。此時(shí)，由于操作人員誤動(dòng)作的存在，可能會(huì)降低SIS的整體可靠性。

圖6　V104液位系統(tǒng)聯(lián)鎖回路Fig.6　The V104 liquid level system interlocking circuit

圖7　人員參與下的SISFig.7　SIS with staff participation

2.4.1SIL確定分析

對(duì)整個(gè)工藝裝置進(jìn)行HAZOP分析，選取AHF罐區(qū)打料泵經(jīng)AHF中間罐V104至蒸發(fā)罐、母液罐、AHF罐以及合成槽為節(jié)點(diǎn)進(jìn)行LOPA分析，分析過程如下：

2)初始事件：AHF原料罐打料泵來液流量過大；

3)事故后果：AHF中間罐冒罐，嚴(yán)重時(shí)造成人員中毒，風(fēng)險(xiǎn)等級(jí)為高風(fēng)險(xiǎn)；

4)獨(dú)立保護(hù)層(IPLs)：關(guān)鍵報(bào)警及人員響應(yīng)(人員現(xiàn)場觀察液位計(jì))，頻率為0.1；

5)考慮IPLs后的事故后果：AHF中間罐冒罐，嚴(yán)重時(shí)造成人員中毒，頻率為0.01，風(fēng)險(xiǎn)等級(jí)為高風(fēng)險(xiǎn)；

6)需求的SIL：AHF中間罐V104液位高低聯(lián)鎖控制開關(guān)LIT104，頻率為0.01，即SIL2；

7)減緩后的后果：AHF中間罐冒罐，嚴(yán)重時(shí)造成人員中毒，頻率為1.0×10-5，風(fēng)險(xiǎn)等級(jí)為低風(fēng)險(xiǎn)。

LOPA分析結(jié)果表明，該場景為高風(fēng)險(xiǎn)場景，需完整性等級(jí)為SIL2的SIS來降低系統(tǒng)風(fēng)險(xiǎn)，即該SIS確定為SIL2。

2.4.2SIL驗(yàn)證分析

采用TBL、CBL、PBL融合教學(xué)法在病理實(shí)習(xí)課中能夠很好調(diào)動(dòng)八年制醫(yī)學(xué)生對(duì)病理實(shí)習(xí)課的熱情，克服病理形態(tài)學(xué)教學(xué)固有弊端，加強(qiáng)了學(xué)生對(duì)臨床病理知識(shí)的理解，提高了學(xué)生學(xué)習(xí)的主動(dòng)性，使課堂的氣氛變得活躍起來，激發(fā)對(duì)未知事物的探索心理，培養(yǎng)了學(xué)生的科研興趣[8]，這也是在傳統(tǒng)病理學(xué)基礎(chǔ)上的一種改革創(chuàng)新，對(duì)培養(yǎng)學(xué)生臨床思維能力和良好的職業(yè)素養(yǎng)，終身學(xué)習(xí)的綜合能力，提供了有力支撐，同時(shí)也為尋求病理學(xué)實(shí)習(xí)課及教師實(shí)施新的教學(xué)方法展現(xiàn)其教學(xué)的科學(xué)性和藝術(shù)性搭建了良好的平臺(tái)。

2.4.2.1SIL人因可靠性分析

依據(jù)上述，可得：

1)觀測(cè)信息失誤概率：P1=1.0×10-4。

2)操作人員響應(yīng)失誤概率：依據(jù)操作規(guī)程可知，T規(guī)定為78 min；T0為0，V104系統(tǒng)一旦異常，立即傳入DCS系統(tǒng)，不存在時(shí)間延遲；Ta為5 min；即Tr=T-T0-Ta=73 min；T0.5=15 min，該數(shù)據(jù)通過對(duì)操作人員訪談獲得；V104系統(tǒng)操作人員定期進(jìn)行應(yīng)急操作培訓(xùn)，此時(shí)σ=0.6；依據(jù)以上可以確定P2=4.1×10-3。

3)操作處理失誤概率

V104液位系統(tǒng)處于正常運(yùn)行時(shí)，氣動(dòng)閥HV104-1與泵PV104A/B處于“開”狀態(tài)，查閱NURGE/CR標(biāo)準(zhǔn)取PBHEP為0.03，且報(bào)警器為顯示在主控室屏幕上，低于一類報(bào)警器，取PNRA為0.1，故可得P3=0.003。

4)V104液位聯(lián)鎖系統(tǒng)人因失誤概率為

P=P1+P2+P3=P1+P2(1-P1)+

P3(1-P1)(1-P2)=0.0719

2.4.2.2SIL可靠性驗(yàn)證分析

依據(jù)現(xiàn)場SIS聯(lián)鎖結(jié)構(gòu)，相關(guān)失效數(shù)據(jù)參考國外通用OREDA和PDS數(shù)據(jù)庫，建立故障樹模型進(jìn)行SIL驗(yàn)證，并結(jié)合人因可靠性對(duì)SIL影響，計(jì)算系統(tǒng)安全性指標(biāo)PFD。SIL驗(yàn)證結(jié)果見表1，系統(tǒng)各部分PFD比重見圖8。

表1　V104液位控制系統(tǒng)SIL驗(yàn)證結(jié)果

其中，PFD表示不考慮人因可靠性影響時(shí)傳感器、控制器及執(zhí)行器失效概率之和；P表示人因失效概率；PFDsis表示考慮人因可靠性影響的整個(gè)SIS失效概率。

圖8　各部分PFD比例分布Fig.8　The PFD distribution of components

由以上分析可知，V104液位聯(lián)鎖系統(tǒng)SIL需求為SIL2，但現(xiàn)有SIS為SIL1，故不滿足SIL需求。其中，傳感器、執(zhí)行器、人因的PFD比重分別為26.19%，42.8%，30.17%，對(duì)系統(tǒng)影響較為顯著，故可從這3個(gè)角度來提高系統(tǒng)可靠性，以滿足系統(tǒng)需求。

2.4.3SIS改進(jìn)分析

1)容錯(cuò)性及測(cè)試策略優(yōu)化分析

系統(tǒng)冗余性是指系統(tǒng)出錯(cuò)時(shí)，在錯(cuò)誤影響到系統(tǒng)輸出之前，系統(tǒng)利用冗余部件代替故障部件工作，以確保系統(tǒng)仍能正常工作，給出正確輸出結(jié)果[23]，以此來提高系統(tǒng)安全性。由于SIS自診斷測(cè)試無法檢測(cè)并修復(fù)所有的危險(xiǎn)失效，即存在未檢測(cè)到的系統(tǒng)失效，因此，需定期對(duì)系統(tǒng)進(jìn)行功能測(cè)試，從而提高系統(tǒng)SIL。

對(duì)于V104液位聯(lián)鎖系統(tǒng)，可分別選用1oo2冗余結(jié)構(gòu)傳感器或氣動(dòng)閥進(jìn)行優(yōu)化研究，同時(shí)此裝置為間歇生產(chǎn)，結(jié)合改變系統(tǒng)功能測(cè)試周期(分別為0.083，0.25，0.5和1.0 a)來提高系統(tǒng)SIL，可靠性評(píng)估指標(biāo)為PFD，優(yōu)化分析敏感性趨勢(shì)見圖9。也可同時(shí)選用1oo2冗余結(jié)構(gòu)傳感器和執(zhí)行器，并結(jié)合改變系統(tǒng)功能測(cè)試周期(分別為0.083，0.25，0.5和1.0 a)來提高系統(tǒng)SIL，優(yōu)化分析敏感性趨勢(shì)見圖10。

圖9　優(yōu)化敏感性趨勢(shì)Fig.9　The sensitivity trend of optimization

圖10　傳感器及執(zhí)行器優(yōu)化敏感性趨勢(shì)Fig.10　The sensitivity trend of sensor and final element optimization

根據(jù)以上分析，可選擇1oo2冗余結(jié)構(gòu)傳感器或執(zhí)行器，同時(shí)改變功能測(cè)試周期為0.25 a來提高系統(tǒng)SIL至SIL2。但由于該系統(tǒng)SIL介于SIL1—SIL2之間，雖改變?cè)哂嘟Y(jié)構(gòu)與縮短功能測(cè)試周期都會(huì)產(chǎn)生較高經(jīng)濟(jì)成本，但為確保系統(tǒng)可靠性，可進(jìn)一步將功能測(cè)試周期改為0.083 a來提高系統(tǒng)SIL至SIL2；也可同時(shí)選用1oo2傳感器與執(zhí)行器，改變功能測(cè)試周期為0.5 a來提高系統(tǒng)SIL至SIL2。

2)人因可靠性優(yōu)化分析

進(jìn)行SIL驗(yàn)證時(shí)，人因失誤導(dǎo)致系統(tǒng)發(fā)生失效的概率比重較大，因此對(duì)提高人因可靠性提出以下建議：

(1)依據(jù)歷史事故以及專家風(fēng)險(xiǎn)分析，針對(duì)已經(jīng)發(fā)生的事故或者可能發(fā)生的潛在事故，明確書面操作程序，加強(qiáng)操作人員行為觀察，保證操作人員能夠嚴(yán)格按照操作程序進(jìn)行操作，進(jìn)入減少人為失誤，保證SIS能夠正常發(fā)揮其安全功能；

(2)企業(yè)員工進(jìn)行定期技能培訓(xùn)、應(yīng)急與安全培訓(xùn)，并進(jìn)行能力評(píng)估，確保其掌握操作技能與應(yīng)急規(guī)程；

(3)改善操作環(huán)境，保持操作環(huán)境處于最佳狀態(tài)，最適宜操作人員進(jìn)行操作；

(4)生產(chǎn)企業(yè)營造良好安全氛圍，增加操作人員安全意識(shí)，將安全放在第一位。

2.5　LiPF6間歇生產(chǎn)裝置SIL分析及改進(jìn)結(jié)論

按上述SIL評(píng)估技術(shù)方法對(duì)整個(gè)LiPF6裝置13個(gè)安全控制聯(lián)鎖系統(tǒng)進(jìn)行SIL評(píng)估及改進(jìn)研究，評(píng)估結(jié)果匯總見表2。

表2　SIL分析統(tǒng)計(jì)表

對(duì)于整個(gè)裝置13個(gè)SIS聯(lián)鎖系統(tǒng)回路，SIS聯(lián)鎖功能安全完整性等級(jí)需求SIL1為12個(gè)，需求SIL2為1個(gè)；SIS聯(lián)鎖功能安全完整性等級(jí)驗(yàn)證SIL1為12個(gè)，驗(yàn)證SIL2為0個(gè)；即SIS聯(lián)鎖功能的安全完整性等級(jí)達(dá)標(biāo)率為92.3%。

雖SIS聯(lián)鎖功能的SIL達(dá)標(biāo)率為92.3%，為其達(dá)到應(yīng)有的安全功能，防止意外危險(xiǎn)情況的發(fā)生，提出以下建議措施：

1)本裝置傳感器和執(zhí)行器可靠性較低，故可通過提高傳感器或執(zhí)行器可靠性提高整個(gè)系統(tǒng)可靠性；

2)增加DCS系統(tǒng)軟件與硬件測(cè)試，嚴(yán)格確保DCS系統(tǒng)運(yùn)行環(huán)境要求，避免DCS與執(zhí)行器之間兼容性差問題；嚴(yán)格執(zhí)行日常巡檢并及時(shí)報(bào)修、維修和更換失效元件，確?！氨粍?dòng)”元件在發(fā)生故障時(shí)正常動(dòng)作；增加執(zhí)行器(閥門)部分行程測(cè)試，發(fā)現(xiàn)未檢測(cè)出的危險(xiǎn)失效并及時(shí)維修，提高其可靠性；

3)對(duì)比容錯(cuò)性與測(cè)試策略研究分析，從成本、系統(tǒng)實(shí)際工程設(shè)計(jì)角度考慮，可通過將傳感器、執(zhí)行器1oo1冗余結(jié)構(gòu)改為1oo2冗余結(jié)構(gòu)以及改變功能測(cè)試周期來提高系統(tǒng)SIL；由于LiPF6裝置屬于間歇生產(chǎn)，與連續(xù)生產(chǎn)裝置相比，改變功能測(cè)試周期可在不影響系統(tǒng)正常生產(chǎn)的情況下提高系統(tǒng)可靠性，故可選擇改變功能測(cè)試周期來提高系統(tǒng)完整性等級(jí)。

4)由LiPF6間歇裝置人員操作依賴性較高，部分SIS需要人員觸發(fā)動(dòng)作(操作人員干預(yù)SIS動(dòng)作)，人因失效對(duì)SIS失效影響較大，故可結(jié)合提高人因可靠性來提高系統(tǒng)SIL，防止意外危險(xiǎn)事故發(fā)生。

3　結(jié)論

1)依據(jù)IEC 61508和IEC 61511功能安全標(biāo)準(zhǔn)，針對(duì)某LiPF6間歇生產(chǎn)裝置應(yīng)用HAZOP結(jié)合LOPA法進(jìn)行風(fēng)險(xiǎn)分析，辨識(shí)了LiPF6間歇生產(chǎn)裝置風(fēng)險(xiǎn)現(xiàn)狀與需降低風(fēng)險(xiǎn)量，并提出了相關(guān)建議來降低風(fēng)險(xiǎn)水平。

2)鑒于LiPF6間歇生產(chǎn)裝置部分SIS依賴于人工觸發(fā)其保護(hù)功能的特點(diǎn)，建立了人因可靠性模型，可對(duì)其進(jìn)行影響分析，并確定人因失效對(duì)安全儀表系統(tǒng)SIL影響水平。

3)根據(jù)風(fēng)險(xiǎn)分析結(jié)論，從系統(tǒng)硬件、設(shè)備管理及人因管理等方面提出了降低LiPF6間歇生產(chǎn)裝置風(fēng)險(xiǎn)的優(yōu)化建議，比如可從SIS冗余配置、測(cè)試策略以及改善人因管理等方面來提高SIL以滿足系統(tǒng)需求，從而確保SIS功能安全可靠。

[1]方來華, 吳宗之, 魏利軍, 等. 安全儀表系統(tǒng)的開發(fā)與要求[J]. 中國安全科學(xué)學(xué)報(bào), 2009, 19(4):159-168.

FANG Laihua, WU Zongzhi, WEI Lijun, et al. Development and Requirements of Safety Instrumented System [J]. China Safety Science Journal, 2009, 19(4):159-168.

[2]全國工業(yè)過程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì).電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全：GB/T 20438—2006[S].北京：中國標(biāo)準(zhǔn)出版社，2007.

[3]HAVLIKOVA M, JIRGL M, BRADAC Z. Human reliability in man-machine systems[J]. Procedia Engineering, 2015, 100(1): 1207-1214.

[4]SCHONBECK M, RAUSAND M, ROUVROYE J. Human and organisational factors in the operational phase of safety instrumented systems: A new approach[J]. Safety Science, 2010, 48(3): 310-318.

[5]BEVILACQUA M, CIARAPICA F E. Human factor risk management in the process industry: A case study[J]. Reliability Engineering & System Safety, 2018, 169(1): 149-159.

[6]YANG Dongwei, LIU Hongwei. Application of THERP HCR model for valve overhaul in nuclear power plant[C]//International Conference on Materials Science, 2017: 22-28.

[7]吳克安, 任建綱. 六氟磷酸鋰的發(fā)展現(xiàn)狀與市場前景[J]. 浙江化工, 2011, 42(6):1-5.

WU Ke’an, REN Jian’gang. The Current Status and Tendency of Lithium Hexafluorophosphate [J]. Zhejiang Chemical Industry Research Institute, 2011, 42(6):1-5.

[8]肖躍龍. 六氟磷酸鋰的新工藝制備與表征[C]//中國功能材料及其應(yīng)用學(xué)術(shù)會(huì)議. 2010:110-116.

[9]FABBRI G, MASCIOLI F M F, PASQUALI M, et al. Automotive application of lithium-ion batteries: A new generation of electrode materials[C]// IEEE International Symposium on Industrial Electronics. IEEE, 2013:1-6.

[10]付豪, 陳俊彩, 李宣麗, 等. 六氟磷酸鋰的純化[J]. 化工進(jìn)展, 2013,32(11): 2675-2678.

FU Hao, CHEN Juncai, LI Xuanli, et al. Purification of lithium hexafluorophosphate [J]. Chemical Industry and Engineering Process. 2013，32(11): 2675-2678.

[11]劉曉紅, 荀開昺, 田明明, 等. 鋰交換法制備六氟磷酸鋰及表征[J]. 南昌大學(xué)學(xué)報(bào)(工科版), 2014(3):213-216.

LIU Xiaohong, XUN Kaibing, TIAN Mingming, et al. Preparation of and characterization of lithium hexafluorophosphate by Li-ion exchange reaction [J]. Journal of Nanchang University (Engineering & Technology), 2014(3):213-216.

[12]張建剛, 王瑤. 電解質(zhì)六氟磷酸鋰制備進(jìn)展及難點(diǎn)分析[J]. 無機(jī)鹽工業(yè), 2012, 44(6):57-60.

ZHANG Jian’gang, WANG Yao. Progress in preparation of lithium hexafluorophosphate electrolyte and analysis on difficulties thereof [J]. Inorganic Chemicals Industry, 2012, 44(6):57-60.

[13]李冰心. 六氟磷酸鋰產(chǎn)業(yè)發(fā)展面臨的機(jī)遇與挑戰(zhàn)[J]. 新材料產(chǎn)業(yè), 2012(3):17-21.

LI Bingxin. Opportunities and challenges for the development of Six Fluorine Lithium Phosphate industry [J]. New material industry, 2012(3):17-21.

[14]楊曉宏, 張?jiān)谥? 李軍, 等. 六氟磷酸鋰技術(shù)及市場分析[J]. 當(dāng)代化工, 2012(9):972-973.

YANG Xiaohong, ZHANG Zaizhong, LI Jun, et al. Synthetic Technology and Market Analysis of LiPF6[J]. Contemporary ChemicalIndustry, 2012(9):972-973.

[15]RAHIMI M, RAUSAND M. Monitoring human and organizational factors influencing common-cause failures of safety-instrumented system during the operational phase[J]. Reliability Engineering & System Safety, 2013, 120(12): 10-17.

[16]WANG Feng, YANG Ou, ZHANG Rui-bo, et al. Method for assigning safety integrity level (SIL) during design of safety instrumented systems (SIS) from database[J]. Journal of Loss Prevention in the Process Industries, 2016, 44(1): 212-222.

[17]LUNDTEIGEN M A, RAUSAND M. Spurious activation of safety instrumented systems in the oil and gas industry:Basic concepts and formulas[J]. Reliability Engineering & System Safety, 2008, 93(8): 1208-1217.

[18]BAYBUTT P. Overcoming challenges in using layers of protection analysis (LOPA) to determine safety integrity levels (SILs)[J]. Journal of Loss Prevention in the Process Industries, 2017, 48(1): 32-40.

[19]張力. 概率安全評(píng)價(jià)中人因可靠性分析技術(shù)研究[D].長沙：湖南大學(xué), 2004.