基于风险的报警优先级量化设定方法研究*

路　帅，付军良

(中国石油大学(华东) 安全环保与节能技术中心，山东 青岛 266580)

0　引言

报警系统是几乎所有现代化工业厂房中不可或缺的一个重要系统，包括发电厂、炼油厂、化工厂等。它被用来监视装置的运行状况，使操作员关注于需要进行评估或采取动作的变更，帮助操作员保障装置处在一个安全的作业范围内、识别并避免危险状况、判定从预期的操作条件中产生的物质、更好地理解复杂的工艺条件等。报警优先级的设定直接关系到报警系统的实用性，关系到报警系统能否发挥其应有的作用。报警优先级区分出了不同报警的重要性，使操作人员能够去优先关注于相对重要的报警。报警优先级的有效使用能够提高操作员管理报警的能力。ISA-18.2指出，较高的优先级应当被较少的使用。流程工业中一般都会将报警划分为多个等级，并会谨慎设置高优先级的报警。如EEMUA中推荐，在报警配置阶段，“低”优先级报警所占比例为总数的80%，“中”优先级报警所占比例为总数的15%，而高优先级报警仅占总数的5%，并且设置了约20个“关键”优先级区段的报警。

报警优先级同时还体现了报警对人员、经济、环境等造成后果的严重程度，通过对每个报警进行分析、比较，对流程工业中产生的几十甚至上百个报警做出一合理的划分，使得装置运行过程中能够实时去关注相对重要的报警，使得能准确高效的处理装置运行中产生的问题。

目前，国际上在报警优先级方面也有相应的标准做出有关规定，如标准EEMUA-191[1]中给出的基于后果严重度和响应时间的设定方法，并给出了报警优先级的分布指导，也给出了一些具体的报警优先级的评定方法，如后果求和法、最大后果法等。标准ISA-18.2[2]也对优先级的划分规则做了相关规定，该标准指出，有效的优先级的划分应是高优先级比低优先级的发生频率低，且大多数报警应被赋予最低优先级，最高的报警优先级报警数量最少。优先级的划分应当考虑后果和响应时间，最低的优先级应当有最小的严重后果和最长的响应时间，最高的优先级报警有最严重的后果和最短的响应时间。这2个标准在报警优先级的设定方面有明显的不足：都只考虑了后果严重度和可用时间2个方面，忽略了事故发生的概率和安全屏障作用。实际中会存在高事故后果和低发生率的事故场景，并且安全屏障也会对事故发生产生影响，标准中给出的方法操作性也比较差，只是简单地介绍了相关方法。在进行装置报警优先级优化过程中，如果仅仅考虑后果和响应时间，仍然不能够有效区分不同类型的报警，因为在装置设计时各类型的报警就是基于上述2因素来设计的。装置实际运行过程中，静态的报警分布已不能很好的符合实际运行状况。

国内学者中，张玉涛等[3]在矩阵的基础上，引入平均响应时间因子，对后果严重度做了细致的评分规定，实现报警优先级量化；赵虹[4]应用响应时间和后果等级矩阵对优先级做了划分；这2种方法仅在后果严重度和时间上做了考虑，思维仍是局限在2个影响因子上；王佳等[5-6]建立了基于风险的报警优先级评估体系，考虑了发生不同级别报警的概率和严重程度，通过对报警风险状态转移过程中的状态和时间2个方面进行分析，建立报警等级评价指标和Markov报警风险状态转移过程，为操作人员提供报警变量风险状态转移的“动态特性”；该方法在概率角度主要考虑的是报警状态转换的概率，需要大量实时状态数据，并需要可信的转换矩阵，在实践中这往往很难保证，也很难执行，且优先级不会在较短时间内进行变动，该方法提出的实时性的意义也就大打折扣；常亮[7]研究了流程工业报警管理系统，设计了高优先级报警排序算法，该方法只针对最频繁和最持久报警的历史报警数据进行分析处理，受限于历史数据的充分性和准确性；陈韬婕等[8]提出的优化方法是将安全屏障因素考虑进去，得到报警量化值和报警优先级别，但其在安全屏障各子因素的考虑上权重分配不太合理；高慧慧[9]将李克特量表应用到优先级的划分上，该方法利用真实的历史数据决定每个属性的得分，并且通过计算一系列相应的指数来对报警变量进行优先级排序，但实际中往往会受限于历史数据的充分性和真实性。

国外学者也开展了相关研究，CIOCARLIE等[10]将蜂窝网络概念应用在优先级的筛选上，构建了概率图模型，将先验数据经计算的计算值应用在报警子图中，形象的计算、比较优先级和可能性，从而找出报警原因。该方法有一定的借鉴意义，但它是基于每个报警时间相互独立的假设，所以有一定的局限性。

应用当前主流报警优先级设定方法很难使静态优先级报警比例控制在EEMUA所建议的指标内，甚至会严重偏离基准，这会带来动态指标的偏离，根源在于设计者只是基于后果和响应时间而做的推论，虽简单易行，但后期需不断优化。现阶段研究通过考虑不同的变量来筛选优先级，有一定的借鉴意义。

本文将标定的风险图法应用到报警优先级的设定中，在该方法中，充分考虑了危险事件的后果严重度、响应时间、出现危险状况的频率、避免危险事件的后果的可能性，并借鉴了国际标准中的量化方法，应用该方法能清晰、简单、快速地划分报警等级。将该方法应用到某柴油加氢装置报警系统的优化，结果接近于EEMUA中推荐的比例，比原设定结果有了较大改进。

1　改进的报警优先级设定步骤

风险图法广泛应用于工程及灾害防治领域。多位学者对其在SIL定级上的应用进行了研究[11-14]，且该方法在安全仪表系统SIL定级上也有较好的应用[15]。标定的风险图是半定性方法，是在风险图的基础上，对风险参数进行量化。标定是为了使对所有风险参数的确定更客观，以及使参数的选择过程能够被验证。

1.1　设定初始事件，定义风险参数

假设不存在报警系统，有以下5个风险参数：危险事件的后果严重度(C)、出现危险情况的频率(f)、响应时间(t)、避免危险事件的后果的可能性(P)、在所考虑的报警不存在时每年发生事故的次数(W)。

1.2　根据风险准则对参数进行标定

1.2.1危险事件的后果严重度的标定

参考EEMUA-191标准中的最大后果法，后果值取安全、环境、经济后果的最大值，即P=max(S，E，F)，安全、环境、经济的具体标定采用EEMUA-191标准中的启发性规则[1]，如表1所示。

表1　用于分配安全优先级、环境优先级、经济优先级的启发性规则

采用类似方法，后果严重度标定情况如表2所示。

表2　危险后果严重度标定值

1.2.2出现危险情况的频率与响应时间的标定

ISA-18.2标准中给出的平均报警率如表3所示。

表3　平均报警率[2]

该表中，每种运行状况下的平均通告报警率是以1个月内数据得出，并且基于操作员的能力和辨别报警的可用时间。平均报警率可作为危险情况出现频率的参考，每次报警至少说明装置运行过程中出现了某种状况，可能需要操作员进行干涉。该表给出了很可能被接受的平均报警率(约平均每10 min 1个报警)和可管理的最大平均报警率(约平均每5 min 1个报警)。

EEMUA-191标准中给出了评估平均报警率的基准值，如表4所示。

表4　评估平均报警率的基准值[1]

EEMUA-191标准中认为，每5 min 1个的平均报警率是易管理的，而多于每分钟1个的平均报警率是很可能不被接受。发生报警时，往往其中夹杂着误报警、重复报警等情况，所以平均可监测到的危险状况出现的频率理论上不大于平均报警率，结合表3和表4，给出以下危险状况出现频率的标定值(见表5)。

表5　危险状况出现频率的标定值

实际运行中，由于报警持续时间不同，会有新产生的报警不断地出现，从而掩盖掉原有的报警，这需要操作员及时执行某个动作来响应报警，且操作员还要执行其他装置监督任务，报警系统不应当占据他们所有的注意力，所以对可用时间要有一定的要求。合理的可用时间会兼顾人体工程学和报警要求。既不会占用较短的时间，使操作员很忙碌，也不会占用过多的时间，使操作员无心去关注其他的任务。EEMUA-191标准中的基准值(见表5)来自对大量工厂运行经验的分析，结合该基准值，并考虑使用者的经验(即建议1 min作为允许每个报警动作的最小平均时间)，给出如下对可用时间的标定(见表6)。

表6　可用时间标定值

1.2.3避免危险事故后果的可能性标定(P)

通过LOPA分析结果，从给出的安全监控措施中辨识出非报警的其他保护层措施，如BPCS、附加减轻措施(如围堰、喷淋系统、逃生管理规程等)、安全阀、安全仪表功能等保护层。根据企业允许的失效率，计算出非报警的其他保护层的失效率值，得出目标风险降低值。给出如表7所述的标定结果。

表7　避免危险事故后果的可能性标定值

1.3　构建风险图

1.3.1确定F值

用F代表出现危险情况的频率与可用时间的乘积，即F=f·t。将表5和表6中标定值带入到如下矩阵中，可得到F的标定情况，如图1所示。

图1　危险情况的频率与可用时间矩阵Fig.1　The matrix of the frequency of hazardous situations and the available time

图1中，定义F1区域为f1t1，f1t2，f1t3;定义F2区域为f2t1，f2t2，f2t3，f1t4;定义F3区域为f3t1，f3t2，f3t3，f2t4;定义F4区域为f4t1，f4t2，f4t3，f4t4，f3t4，级别依次为F1

1.3.2构建风险图

应用上述标定的风险参数，即危险事件的后果严重度(C)、出现危险情况的频率与响应时间的乘积(F)、避免危险事件的后果的可能性(P)。构建风险图，如图2所示。

图2　标定的风险图——报警的优先级判定Fig.2　Calibrated risk graph—Alarm priority determination

图2中，“1”区域的报警优先级为“低”，“2”区域的报警优先级为“中”，“3”区域的报警优先级为“高”，“3”区域下方“关键”区域报警优先级为“关键”，“1”区域上方“记录”区域不需要报警，进行事件记录。并依据“在所考虑的报警不存在时事故发生的次数”这一因素，将该风险图暂划分为3个档次，在所考虑的报警不存在时，事故发生次数较低的装置，选用W1类；在所考虑的报警不存在时，事故发生次数一般的装置，选用W2类；在所考虑的报警不存在时，事故发生次数较高的装置，选用W3类。

当后果等级为“C1”时，仅产生微不足道的安全和环境风险，经济损失也很小，所以该部分的报警优先级均设为“记录”级别，即不作为一真正的报警；当后果等级为“C2”时，造成安全、环境、经济损失后果轻微，在非常容易管理时(F1)，将其也都划归到“记录”级别，在可以管理层面上，又依据避免事故后果的可能性将其划分为“记录”和“低”2个级别；当后果等级为“C3”时，造成的安全、环境、经济后果较为严重，在非常容易管理时(F1)，将其划分为“低”，在可以管理时(F2)，依据避免事故后果的可能性将其划分为“低”和“中”2个级别；当很难管理时(F3)，依据避免事故后果的可能性将其划分为“中”和“高”2个级别；当后果等级为“C4”时，造成安全、环境、经济后果非常严重，在可以管理(F2)时，将其划分为“高”和“关键”2个级别。

在“关键”级别报警的判别上，需要谨慎设置，一般关键级别的优先级报警会设置约20个，优先级的分布依赖于装置的类型和所需的响应速度。在有快速动态响应的装置中，可能高优先级报警的比例会有所提高，所以在进行完优先级划分时，还要结合企业自身实际情况和运行情况，进行进一步的优化。

2　实例应用

某柴油加氢装置共88类工艺监控指标，共设置报警316处，优先级别为工艺卡片级>红色报警>黄色报警。应用基于风险的报警优先级设定方法优化报警设置，已知该装置共设置88类工艺监控指标，于2017年6月1日至2017年6月30日对该装置进行观测，并收集了该时间段内的报警日志，对其进行优化，示例如下。

1)危险后果的标定(C)

对工艺监控指标“进料缓冲罐D114液位”分析，已知该工艺指标设置了工艺卡片级报警、红色报警和黄色报警，由该装置的报警彩虹图(报警彩虹图是关于各优先级报警设置参数的详细说明，且报警彩虹图中给出了未响应报警的后果和应对措施)查出该工艺指标的优化控制区为40～70，高、高高、高高高报限值为68，70，90，低、低低、低低低报限值为42，40，35。假定该指标的黄色报警不存在，后果为D114液位低，在红色报警和工艺卡片级报警失效的情况下可能会导致P101抽空损坏，D114液位高，在红色报警和工艺卡片级报警失效的情况下可能会导致满罐，液相超压，油窜至火炬。预期安全后果属于S2，滤后原料罐超压，有很小可能将人置于伤害的危险场景；预期环境后果属于E2，油窜至火炬中，有很小可能超出环境限定值，预期经济后果属于F1，虽没有造成装置损坏的可能性，但可能性正在增加。造成生产力和效率的较小损失。综合预期的安全、环境、经济后果，通过最大后果法，所以对危险后果的标定为C2。

2)对危险状况出现的频率(f)与可用时间(t)的标定

在进行监控的30 d时间里，其中有6 d时间该工艺操作指标的黄色报警出现警报，出现警报数分别为224,256,231,217,289和262，平均每10 min出现的报警数分别为1.56,1.78,1.60,1.50,2.00和1.82。均处于平均每10 min有1到2个报警的范围内，故频率等级标定为f2，实际观测每个报警的处理时间为3 min左右，故时间等级标定为t2，所以F标定为F2。

3)对避免危险事故后果的可能性标定(P)

由该装置的SIL评估报告中可以看出,场景一P101抽空损坏和,场景二满罐，液相超压，油窜至火炬的风险降低值均属于P3等级。

4)应用风险图

依次经由C2，F2，P3，在黄色报警不存在时，设置了红色报警和工艺卡片级报警，每年发生的事故次数处于很低的水平，应用W1类，最后标定为“记录”级别。

综上所述，建议取消黄色报警。

于2017年6月1日至2017年6月30日，应用该设定方法对柴油加氢装置重新进行优化设定，共取消黄色报警6个，设定关键报警20个，工艺卡片级报警30个，红色报警50个，黄色报警210个。较原始分布有了较大提高，比较接近于EEMUA建议水平。结果如表8所示。

表8　柴油加氢装置报警级别划分

3　结论

1) 从风险角度考虑报警优先级的设定，将标定的风险图法应用于报警优先级设定，假定某报警不存在，对出现危险情况的频率、后果严重度、可用时间、避免事故后果的可能性等进行标定，并对危险状况出现频率与可用时间进行矩阵分析，并将结果运用于风险图中，得到新的报警优先级设定方法——基于风险的报警优先级量化设定方法。

2)实例应用表明，基于风险的报警优先级量化设定方法能够有效应用于优化装置报警优先级，各级报警比例分布更接近EEMUA的推荐值。

3)对于“在所考虑的报警不存在时每年发生事故的次数”这一因素，暂给出3个不同的档次供企业选择。实践中，企业应结合自身可接受标准作进一步完善。

[1]Engineering Equipment and Materials Users Association. Alarm system-A guide to design， management and procurement： EEMUA 191-2007[S].London： Engineering Equipment and Materials Users Association，2007:7.

[2]International Society of Automation. Management of alarm system for the process industries: ANSI/ISA-18.2-2009[S].North Carolina：International Society of Automation(ISA), 2009:7.

[3]张玉涛,王海清,陈国明. 基于过程数据的关联报警分组和抑制策略[J]. 石油与天然气化工，2015，44(5): 100-104，110.

ZHANG Yutao, WANG Haiqing, CHEN Guoming. A grouping and suppression strategy for correlated alarm based on process data[J]. Chemical Engineering of Oil & Gas, 2015, 44(5): 100-104，110.

[4]赵虹. 过程报警合理化设置方法及其应用[J]. 化工自动化及仪表,2016,43(11):1208-1210.

ZHAO Hong.The set method and application of the process alarm[J]. Control and Instruments in Chemical Industry, 2016, 43(11): 1208-1210.

[5]王佳. 提升工业过程报警系统有效性的自适应管理策略[D]. 北京:北京化工大学,2016:35-48.

[6]李宏光. 一种面向实时风险预测的工业报警优先级评估方法[C]//中国自动化学会过程控制专业委员会.第26届中国过程控制会议(CPCC 2015)论文集.北京:中国自动化学会过程控制专业委员会，2015:1.

[7]常亮. 流程工业报警管理系统的设计与开发[D].杭州：浙江大学，2017:33-48.

[8]陈韬婕，王海清，安跃红，等. 油气行业报警优先级多维量化设定方法研究[J]. 中国安全科学学报，2015，25(1):165-170.

CHEN Taojie，WANG Haiqing，AN Yuehong，et al. Study on multi-dimensional method for quantified setting alarm priority in petroleum industry[J]. China Safety Science Journal, 2015, 25(1): 165-170.

[9]高慧慧. 过程工业报警多维层次模型研究与应用[D].北京:北京化工大学,2017:65-69.

[10]CIOCARLIE G F, YEH E, CONNOLLY C, et al. Alarm Prioritization and Diagnosis for Cellular Networks[C]//International Conference on Mobile Networks and Management. Berlin: Springer, 2015: 28-42.

[11]廖柯熹，杨艺，白国红，等. 输气站场ESD系统的SIL定级与验证[J]. 中国安全生产科学技术，2015，11(1):161-165.

LIAO Kexi, YANG Yi, BAI Guohong，et al. Grading and validation of SIL in ESD system of gas station[J]. Journal of Safety Science and Technology, 2015，11(1): 161-165.

[12]李荣强，姜巍巍，曹德舜. 基于改进风险图的安全完整性等级确定方法[J]. 计算机与应用化学，2014，31(3):382-384.

LI Rongqiang, JIANG Weiwei, CAO Deshun. The study of safety integrity level determination methods based on improved risk graph[J]. Computers and applied Chemistry, 2014, 31(3): 382-384.

[13]姜巍巍，李玉明，王春利，等. 石化行业安全仪表系统及其安全完整性等级确定方法[J]. 安全、健康和环境，2009，9(6):18-20，53.

JIANG Weiwei，LI Yuming，WANG Chunli，et al. Safety instrument system and method of its safety level integrity of petrochemical industry[J]. Safety Health & Environment, 2009, 9(6): 18-20,53.

[14]郭海涛,阳宪惠. 一种安全仪表系统SIL分配的定量方法[J]. 化工自动化及仪表,2006,33(6):65-67,70.

GUO Haitao, YANG Xianhui. Quantitative method for SIL assignmengt of safety instrumented system[J]. Control and instruments in chemical industry, 2006, 33(6): 65-67,70.

[15]牟洪祥. SIL定级技术要求及风险图法在SIL定级中的应用[J]. 安全、健康和环境,2017,17(7):1-6.

MOU Hongxiang. Application of SIL classification technical requirement and risk graph method in SIL grading[J]. Safety Health & Environment, 2017, 17(7): 1-6.