基于人因可靠性分析的油氣站場SIL等級驗(yàn)證

馬軍鵬，趙方琪，杜宇，高滿倉，陳學(xué)敏，梁昌晶

(1. 中國石油華北油田分公司 消防支隊(duì)，河北 任丘 062552；2. 中國石油集團(tuán)渤海石油裝備制造有限公司 石油機(jī)械廠，河北 任丘 062552；3. 中油龍慧科技有限公司， 河北 廊坊 065000；4. 中國石油集團(tuán)渤海鉆探工程有限公司 井下作業(yè)分公司，河北 任丘 062552；5. 中國石油華北油田分公司 工程技術(shù)研究院，河北 任丘 062552)

隨著油氣管道的不斷發(fā)展，油氣站場(包括： 壓氣站、聯(lián)合站、接轉(zhuǎn)站和分輸站等)因處理介質(zhì)大多為易燃易爆危險(xiǎn)品，且工藝流程復(fù)雜，風(fēng)險(xiǎn)源較多，故其安全問題顯得尤為重要。定期對油氣站場的安全儀表系統(tǒng)(SIS)進(jìn)行完整性等級(SIL)驗(yàn)證，是保證其工藝流程安全運(yùn)行的重要手段[1]。通常情況下，SIS是指能執(zhí)行一項(xiàng)或多項(xiàng)安全功能的儀表系統(tǒng)，分為主動型和減緩型兩類，其中主動型在事故發(fā)生前啟動，可降低事故發(fā)生頻率；減緩型是在事故發(fā)生后啟動，可降低事故發(fā)生后果的嚴(yán)重程度。對于主動型SIS，通常無需人員參與；但減緩型SIS，如高等級的緊急停車系統(tǒng)(ESD)或火災(zāi)及氣體監(jiān)測報(bào)警系統(tǒng)(FIGS)等，在實(shí)際應(yīng)用中，往往不會自動觸發(fā)。故在工作邏輯中，人為因素對應(yīng)急響應(yīng)過程影響較大，具有決策時間短、操作人員心理易受影響等特殊性，一旦出現(xiàn)失誤將導(dǎo)致嚴(yán)重的后果[2]。目前，人因可靠性(HRA)分析主要應(yīng)用在核電站、有色金屬和高溫冶煉等行業(yè)[3-4]，但在油氣站場SIL等級驗(yàn)證上鮮有報(bào)道?；诖?，通過梳理HRA分析的相關(guān)內(nèi)容，將人的行為分為觀察、診斷、操作三個過程，分別對三個過程應(yīng)用HRA分析，計(jì)算人因失效概率，建立基于HRA分析的油氣站場SIL等級驗(yàn)證模型，并通過實(shí)例評估，分析人為因素對SIL等級驗(yàn)證的影響。

1 基于HRA分析的SIL驗(yàn)證模型

在SIL等級驗(yàn)證的過程中，除要滿足傳感器、邏輯控制器和執(zhí)行機(jī)構(gòu)正常工作外，還應(yīng)保證操作人員不存在失誤，即要求操作人員注意力高度集中，在接到報(bào)警后，能迅速做出判斷，并確定事故的嚴(yán)重程度和危險(xiǎn)等級，最終正確地觸發(fā)相關(guān)執(zhí)行機(jī)構(gòu)。因此，操作員與安全儀表近似構(gòu)成一個串聯(lián)型結(jié)構(gòu)，基于人為因素的工作邏輯如圖1所示。在常規(guī)SIL驗(yàn)證的基礎(chǔ)上，引入人因失效概率，修正后的公式如式(1)所示：

PFD=PFDS+PFDL+PFDFE+PFDH

(1)

式中：PFD——SIS的要求時失效概率；PFDS——傳感器的要求時失效概率；PFDL——邏輯控制器的要求時失效概率；PFDFE——執(zhí)行機(jī)構(gòu)的要求時失效概率；PFDH——人因失效概率。

圖1 基于人為因素的工作邏輯示意

將人在應(yīng)急響應(yīng)中的過程分為觀察、診斷和操作三個階段，觀察階段操作人員主要負(fù)責(zé)觀察報(bào)警信號，并核實(shí)現(xiàn)場目標(biāo)以及辨識事故發(fā)生后果，對操作人員的心理素質(zhì)要求較高；診斷階段操作人員需根據(jù)應(yīng)急事件作出綜合判斷，并迅速作出應(yīng)急響應(yīng)決策，對操作人員的專業(yè)知識和響應(yīng)時間要求較高；操作階段操作人員通過之前的判斷前往執(zhí)行機(jī)構(gòu)進(jìn)行手動操作，對操作人員的心理素質(zhì)和執(zhí)行能力要求較高。采用事件樹模型可計(jì)算PFDH如式(2)所示：

PFDH=P1+(1-P1)P2+

(1-P1)(1-P2)P3

(2)

式中：P1，P2，P3——觀察、診斷、操作階段的人因失效概率。

2 人因失效概率計(jì)算

2.1 觀察階段

目前，HRA分析已發(fā)展了兩代，其中認(rèn)知可靠性和失誤分析方法(CREAM)是由Eric Hollnagel首次提出，屬于第二代HRA分析中的代表模型，該模型側(cè)重人的績效動態(tài)特性，認(rèn)為環(huán)境或情景因素比任務(wù)特征更為重要，強(qiáng)調(diào)情景對人行為的影響，適用于計(jì)算觀察階段的人因失效概率[5-6]。該模型采用情景依賴控制模式作為認(rèn)知模型的基礎(chǔ)，根據(jù)任務(wù)環(huán)境分為9種不同的影響因素，稱為通用效能條件(CPC)，每種CPC分為不同水平，對HRA的影響程度分為改進(jìn)、不顯著和降低3種情況[7]，根據(jù)實(shí)際情況，對影響程度進(jìn)行賦值，并通過賦值結(jié)果確定控制模式，控制模式與失效概率區(qū)間見表1所列。

表1 控制模式與失效概率區(qū)間

采用傳統(tǒng)CREAM模型可以粗略地確定失效概率，但具體是多少需采用其他方法進(jìn)行驗(yàn)證，且認(rèn)為9種CPC的權(quán)重均一致，無法反映不同工作環(huán)境下的工作內(nèi)容。因此，需改進(jìn)傳統(tǒng)CREAM模型，為每個CPC賦予不同的權(quán)重，各失效類型下的認(rèn)知功能失效概率(CFP)計(jì)算如式(3)～(6)所示：

CFPi=CFPi0×(10-2.35G+10-2.17J-1)

(3)

(4)

(5)

P1=∑CFPi

(6)

式中：CFPi——第i種失效類型下的認(rèn)知失效概率；CFPi0——第i種失效類型下的基本失效概率；G——改進(jìn)總分值；J——降低總分值；Sj——單個CPC的分值，將“改進(jìn)”賦值為1，“降低”賦值為-1，“不顯著”賦值為0；Wj——相應(yīng)CPC的權(quán)重。

2.2 診斷階段

CREAM模型無法體現(xiàn)應(yīng)急響應(yīng)時間對人因失效概率的影響，響應(yīng)時間越長，操作人員在診斷階段越不容易出現(xiàn)失誤，失效概率越低。采用人員認(rèn)知可靠性模型(HCR)計(jì)算診斷階段的人因失效概率。HCR模型以認(rèn)知心理學(xué)為基礎(chǔ)，重點(diǎn)研究人的心理和響應(yīng)時間對操作績效的影響，可定量評價初始事件后的行為可靠性[8]。該模型根據(jù)執(zhí)行任務(wù)的特點(diǎn)，將人員行為分為技能型、規(guī)則型和知識型3種，技能型表現(xiàn)為無意識行為，其行為過程與任務(wù)復(fù)雜程度無關(guān)，人員失誤與疏忽大意相關(guān)；規(guī)則型表現(xiàn)為對已有操作手冊、操作規(guī)程的任務(wù)進(jìn)行操作，人員失誤主要與誤判或誤讀數(shù)據(jù)有關(guān)；知識型表現(xiàn)為對現(xiàn)有的任務(wù)進(jìn)行不當(dāng)或過度解讀，人員失誤主要與自身知識或技能的局限性有關(guān)。以上三種行為均遵循威布爾參數(shù)分布，如式(7)所示：

(7)

式中：γ，β，η——與行為類型相關(guān)的威布爾函數(shù)分布參數(shù)；T——初始事件發(fā)生后，允許操作人員完成任務(wù)的時間，s；T1——初始事件發(fā)生后，操作人員完成任務(wù)的時間中值，s。其中，T1的確定主要依賴于大量的模擬實(shí)驗(yàn)和專家判斷，由于每個操作人員的認(rèn)知情況不一致，故需要根據(jù)人員對任務(wù)認(rèn)知的心理狀態(tài)和事發(fā)時的外界條件綜合判斷，計(jì)算如式(8)所示：

T1=T1， nominal×(1+K1)×

(1+K2)×(1+K3)

(8)

式中：T1， nominal——人員執(zhí)行操作所需的時間，可根據(jù)應(yīng)急演練情況統(tǒng)計(jì)得到，s；K1，K2，K3——操作員運(yùn)行經(jīng)驗(yàn)、壓力等級和人機(jī)系統(tǒng)的修正因子。

2.3 操作階段

操作階段中操作人員同樣易受現(xiàn)場情景的影響，故與觀察階段類似，采用CREAM模型進(jìn)行計(jì)算。

3 實(shí)例分析

以某輸氣站場為例，該站場建于2005年，目前ESD系統(tǒng)存在5個SIF回路，對其中的一個SIF回路的邏輯關(guān)系進(jìn)行描述。該站場發(fā)生泄漏后，當(dāng)站場內(nèi)兩個或兩個以上的可燃?xì)怏w探測器發(fā)出報(bào)警信號后，觸發(fā)中心控制室報(bào)警，由現(xiàn)場操作人員確認(rèn)報(bào)警信息，按下ESD按鈕，手動觸發(fā)一級停車裝置，關(guān)斷進(jìn)出站的氣液聯(lián)動執(zhí)行機(jī)構(gòu)，打開緊急放空閥，延遲關(guān)斷調(diào)壓前后的安全切斷閥，對所有壓縮機(jī)進(jìn)行泄壓停機(jī)。

對該SIF回路進(jìn)行危險(xiǎn)與可操作性分析(HAZOP)和保護(hù)層分析(LOPA)[9]，該事故場景的初始事件為管道泄漏、分離器或其余設(shè)備發(fā)生泄漏等，分別從人員傷亡、直接經(jīng)濟(jì)損失、停工、環(huán)境影響、聲譽(yù)影響5個方面確定企業(yè)可接受的最大可接受概率，并與經(jīng)獨(dú)立保護(hù)層減緩后的失效概率對比，確定該SIF回路應(yīng)定級為SIL1級。

根據(jù)該站場的實(shí)際情況，采用層次分析法和熵權(quán)法組合賦權(quán)計(jì)算CPC的權(quán)重，并對分值進(jìn)行量化處理，結(jié)果統(tǒng)計(jì)見表2所列。

表2 CPC權(quán)重及分值量化結(jié)果統(tǒng)計(jì)

通過與現(xiàn)場工程技術(shù)人員討論，確定觀察階段的失效類型主要有未觀察到報(bào)警信號和對現(xiàn)場目標(biāo)核實(shí)錯誤兩種，根據(jù)多次應(yīng)急演練的結(jié)果，確定這兩種失效類型的CFPi0分別為0.05和0.002；同理，確定操作階段的失效類型主要有未按下手動ESD開關(guān)和錯按手動ESD開關(guān)兩種，并確定這兩種失效類型的CFPi0分別為0.06和0.005。參照表2中CPC的權(quán)重及分值量化結(jié)果，根據(jù)公式(3)～(6)計(jì)算觀察階段和操作階段的人因失效概率分別為0.053 1和0.066 3。

對于診斷階段，根據(jù)應(yīng)急演練的結(jié)果，確定T為60 s，T1， nominal為30 s。目前，該站內(nèi)的操作人員可基本掌握常見的各類應(yīng)急事件處置，確定其行為類型為規(guī)則型，參照核電站模擬機(jī)的試驗(yàn)統(tǒng)計(jì)數(shù)據(jù)，確定γ，β，η值分別為0.3，1.63，0.88。K1，K2，K3的取值根據(jù)現(xiàn)場實(shí)際情況由專家評議，修正因子取值見表3所列。根據(jù)式(7)計(jì)算診斷階段的人因失效概率為0.165 2。最后，根據(jù)公式(2)計(jì)算總的PFDH=0.261 9。

表3 修正因子取值

通過查驗(yàn)該SIF回路中傳感器、邏輯控制器和執(zhí)行機(jī)構(gòu)的安全功能認(rèn)證證書，并參照挪威科技工業(yè)研究院(SINTEF)的相關(guān)失效數(shù)據(jù)，確定該SIF回路的冗余表決結(jié)構(gòu)均為“1oo1”型，診斷覆蓋率取90%，測試周期為1 a，其SIL等級的驗(yàn)證結(jié)果見表4所列。其中，人因造成的失效概率占76.17%，如圖2所示。遠(yuǎn)高于其余硬件失效概率的總和，若不考慮HRA，則總的失效概率為8.192×10-2，其SIL等級可達(dá)到1級，滿足該回路SIL驗(yàn)證的要求。可見，當(dāng)SIF回路中有人員操作干預(yù)時，人為失誤是導(dǎo)致SIF回路失效的主要因素，這與其他行業(yè)統(tǒng)計(jì)的人員違章作業(yè)、違法操作造成的失效事件約占總失事件總數(shù)的70%～80%是相符的。

表4 SIL等級驗(yàn)證結(jié)果

圖2 系統(tǒng)各部分失效概率所占比例示意

綜上所述，需要改進(jìn)執(zhí)行機(jī)構(gòu)和傳感器的冗余表決結(jié)構(gòu)，縮短功能測試周期；加強(qiáng)員工的安全培訓(xùn)與應(yīng)急演練，特別是在出現(xiàn)緊急事件的情況下，提高員工的抗壓能力、心理素質(zhì)和技戰(zhàn)術(shù)水平，并定期開展應(yīng)急能力響應(yīng)評價；針對表2中對人因可靠性的影響程度為“不顯著”或“降低”的，通過調(diào)整工作方案和外部條件，將影響程度提高為“改進(jìn)”，以提高安全儀表系統(tǒng)的完整性等級。

4 結(jié)束語

通過在常規(guī)SIL驗(yàn)證的基礎(chǔ)上，引入人因失效概率，將操作人員與安全儀表近似構(gòu)成一個串聯(lián)型結(jié)構(gòu)，形成基于HRA分析的SIL等級驗(yàn)證模型。將人的行為分為觀察、診斷、操作3個過程，其中觀察和操作階段采用了CREAM模型計(jì)算人因失效概率，診斷階段采用HCR模型計(jì)算人因失效概率。經(jīng)過實(shí)例驗(yàn)證，發(fā)現(xiàn)當(dāng)SIF回路中有人員操作干預(yù)時，人因造成的失效概率占比較大，可直接影響SIL等級的驗(yàn)證結(jié)果。

儀器儀表