考虑人因可靠性的安全仪表功能SIL验证方法研究

贾俊范

摘 要：目前，我国的经济在快速发展，社会在不断进步，油气站场一般设置有紧急停车系统（ESD）等存在操作员介入的非常规安全仪表功能（SIF），为解决已有的安全完整性等级（SIL）评估方法不能针对此类SIF进行功能安全评价的情况。对存在操作员介入的非常规SIF进行研究，将其中的人为因素细分为观察、决策和执行3个阶段;根据各类人因可靠性分析方法优缺点，筛选CREAM和HCR方法分别分析紧急情景环境和应急响应时间对非常规SIF人因失效概率的影响，建立考虑人因可靠性的SIL验证模型;基于此模型选取某输油站典型SIF开展SIL评估，分析人因失效对SIF整体可靠性的影响水平，并提出改善措施。结果表明：将操作员应急响应过程中的人因失效概率引入传统的SIL验证模型中，可实现对非常规SIF的功能安全评价;人因失效对非常规SIF具有显著影响，筛选的人因可靠性模型可准确计算人因失效概率。

关键词：非常规安全仪表功能;安全完整性等级;验证模型;操作员介入;人因失效概率

安全仪表系统（SIS）已经广泛应用于石油化工、医药化工及储运设施等行业。通过过程危害分析（PHA），将SIS作为一种保护措施用于降低生产过程中潜在风险发生事故的概率。在石油化工领域，一个项目的安全仪表功能（SIF）需求通常来自三个方面，即工艺包提供的因果表（cause & effect）或联锁逻辑图;法律法规、标准规范或企业标准里的特定要求;基于过程危害分析后，为了预防潜在风险所需的SIF。但是工艺包给出的因果表或联锁逻辑图，一般不仅是基于安全需求的联锁，还包括了基于工艺自身需求的联锁及基于设备保护的联锁等;且联锁执行动作亦不明确哪些是主要动作，哪些是次要动作。PHA最常用的方法是HAZOP，虽然HAZOP是识别过程危害的一种非常有效的方法，但它只是一种定性的识别，并没有涉及后续相关活动（例如SIL评估），也存在SIF被遗漏或定义不明确的可能。所以SIF的识别是非常必要也是重要的，SIF的识别及确定也是SIS全生命周期中重要的一环，若SIF设置不合适，则不但无法实现风险削减的目的，还可能会对生产过程的安全运行造成潜在威胁或发生不期望的安全事故。

1 按实际安全需求依据规范建立安全仪表功能

在化工装置的工艺生产过程中，危险化学品、能量的意外释放会造成人员伤亡、财产损失或环境污染事件。炼化装置正常生产环境，基础过程控制系统承担了超过99%概率的上述事件安全控制需求，但是，风险一旦突破BPCS系统，造成的风险很可能会导致生产成本、社会成本巨幅提高。因此，仪表安全控制系统依靠其高可靠性，成为有效控制风险的主要手段之一。如何使用科学方法建立安全仪表功能是安全仪表系统合理运行的首要条件。我国已经广泛推行的危险与可操作性分析是非常好的分析方法，LOPA作为HAZOP的延伸，能很好的进行半定量分析，合理、完整的LOPA分析能夠作为建立安全仪表功能的基准。如果能实现HAZOP半定量分析，也可将其定为建立安全仪表功能的基准。另外，IEC61508标准提供了其他定性建立安全仪表功能（SIF）安全完整性等级（SIL）的分析方法。设计阶段是炼化企业基层车间建立SIF功能的关键环节，了解熟悉投产的相近设计装置运行情况，在此基础上进行完整有效的HAZOP评估，对于所担心的风险进行LOPA分析，根据半定量分析结果确定需要补充的半定量等级，建立所需的SIF功能作为保护措施，确保风险降低到所需的失效概率内。这个需要补充的半定量等级就是该安全仪表回路的SIL等级。此外，生产投产进入稳定状态后（通常是1年），在HAZOP分析、实际运行问题基础上，进行LOPA评估，获得需求的安全仪表功能，也是完善SIS或ESD（紧急停车系统）的关键环节。

2 考虑人因可靠性的安全仪表功能SIL验证方法研究

2.1 安全完整性（SIL）定级要求

在SIL定级前首先应编制企业的风险可接受标准，风险可接受标准应符合企业的实际要求，并综合考虑国家安监总局40号令的要求。SIL定级采用保护层分析方法（LOPA），需要定级的SIF回路根据HAZOP识别出来的严重后果场景，结合工艺包内SIL等级要求分析识别。为保证分析过程的完整性、一致性，同一装置的HAZOP及SIL定级工作，应遵循IEC61508/IEC61511标准要求的风险矩阵，且卖方应派同一组人员执行。通过对装置进行SIL等级评估工作，确定需要进入SIS系统SIF回路数量以及其SIL等级的实际需求，满足安全仪表系统配置的同时，避免设计过度保护配置和保护不足。具体的SIL定级回路数量需根据HAZOP评估结果确定，卖方需在投标时提供单回路评估单价以供参考。LOPA分析选用的数据库应为国际上权威的数据库，必须持有拥有核发使用权的安全等级评估软件和失效数据库，并出示相关证明材料。对于特殊类回路，例如紧急停车按钮、成套报设备以及FGS系统等，应提出相关的技术要求。SIL定级时要结合专利商的要求，同时对联锁回路动作后的影响进行分析。在SIL定级的过程中，依据IEC61508以及IEC61511的要求，对SIF回路提出SRS功能安全规格书的要求。

2.2 观察失效概率

CREAM强调人的绩效输出不是孤立的随机行为，而是依赖于人完成任务时所处的情景环境，适用于分析应急响应过程中操作员在观察阶段的失效概率P1。CREAM将任务环境归为9类不同的因素，统称为共同绩效条件（Common Performance Conditions，CPCs）。每类CPC又分为多个水平，如工作条件分为优越、匹配、不匹配等，其分别对人因可靠性产生不同的影响。通过引入性能影响因子（Performance InfluenceIndex，PII），确定各类CPC的不同水平对应的权重因子，可定量计算CPCs对人因可靠性的影响。非常规SIF中操作员观察阶段的失效模式与CREAM认知功能中的观察部分类似，可利用其计算方法获得非常规SIF中操作员观察阶段的人因失效概率。

2.3 按标准、规范规定的程序设计SIS的工作内容

标准、规范对SIS安全生命周期各阶段工作提出了具体要求。可以看出，石油化工项目筹划阶段的方案设计，SIS设计工作就开始了，只不过自控专业在收到安全仪表技术要求之前的过程中仅仅是参与者，之后才为主导者：项目设计者首先要通过工艺技术、工艺流程、设备选型、控制策略及操作规程等确保工艺过程本质安全，在保护层安全功能分配和安全完整性等级评估与审查的基础上，提出对SIS的技术要求，自控专业才开始进行相关的设计工作。

3 结语

通过各类HRA方法优缺点的对比以及分析油气站场非常规SIF的特殊性，筛选CREAM和HCR方法分别分析紧急情景环境和应急响应时间对非常规SIF人因失效概率的影响，建立考虑人因可靠性的安全仪表功能SIL验证模型。模型可结合不同站场的具体情况，通过合理确定CPCs权重因子等对人因失效概率进行计算，实现对非常规SIF功能的安全评价，弥补目前评价非常规SIF的不足。

输油站的非常规安全仪表功能SIL验证结果表明，人因失效对此类SIF整体可靠性具有显著影响，占总失效概率比重达到32.85%。可通过实施有针对性的人因管理改善措施，降低人因失效概率，进而提高非常规安全仪表系统的整体可靠性。

目前国内油气行业安全仪表系统相关的操作员观察、决策、执行基本失效数据积累不够充分，急需收集整理相关数据，建立安全仪表功能人因失效数据库，为非常规安全仪表功能的SIL评估提供基础。

参考文献：

[1]池亚娟，付建民，李宏浩等.基于人因可靠性的间歇装置SIL分析与改进[J].中国安全生产科学技术，2018，14（3）： 136-143.

[2]刘俊芳.石化行业人因可靠性分析及其在LOPA中的应用研究[D].青岛：中国石油大学（华东），2015.

[3]孙彦招，包士毅，高增梁.功能安全完整性评估中的人因可靠性评价及应用[J].石油化工自动化，2012，48（5）：11-14.