马军鹏，赵方琪，杜宇，高满仓，陈学敏，梁昌晶

(1. 中国石油华北油田分公司 消防支队，河北 任丘 062552；2. 中国石油集团渤海石油装备制造有限公司 石油机械厂，河北 任丘 062552；3. 中油龙慧科技有限公司， 河北 廊坊 065000；4. 中国石油集团渤海钻探工程有限公司 井下作业分公司，河北 任丘 062552；5. 中国石油华北油田分公司 工程技术研究院，河北 任丘 062552)

随着油气管道的不断发展，油气站场(包括： 压气站、联合站、接转站和分输站等)因处理介质大多为易燃易爆危险品，且工艺流程复杂，风险源较多，故其安全问题显得尤为重要。定期对油气站场的安全仪表系统(SIS)进行完整性等级(SIL)验证，是保证其工艺流程安全运行的重要手段[1]。通常情况下，SIS是指能执行一项或多项安全功能的仪表系统，分为主动型和减缓型两类，其中主动型在事故发生前启动，可降低事故发生频率；减缓型是在事故发生后启动，可降低事故发生后果的严重程度。对于主动型SIS，通常无需人员参与；但减缓型SIS，如高等级的紧急停车系统(ESD)或火灾及气体监测报警系统(FIGS)等，在实际应用中，往往不会自动触发。故在工作逻辑中，人为因素对应急响应过程影响较大，具有决策时间短、操作人员心理易受影响等特殊性，一旦出现失误将导致严重的后果[2]。目前，人因可靠性(HRA)分析主要应用在核电站、有色金属和高温冶炼等行业[3-4]，但在油气站场SIL等级验证上鲜有报道。基于此，通过梳理HRA分析的相关内容，将人的行为分为观察、诊断、操作三个过程，分别对三个过程应用HRA分析，计算人因失效概率，建立基于HRA分析的油气站场SIL等级验证模型，并通过实例评估，分析人为因素对SIL等级验证的影响。

1 基于HRA分析的SIL验证模型

在SIL等级验证的过程中，除要满足传感器、逻辑控制器和执行机构正常工作外，还应保证操作人员不存在失误，即要求操作人员注意力高度集中，在接到报警后，能迅速做出判断，并确定事故的严重程度和危险等级，最终正确地触发相关执行机构。因此，操作员与安全仪表近似构成一个串联型结构，基于人为因素的工作逻辑如图1所示。在常规SIL验证的基础上，引入人因失效概率，修正后的公式如式(1)所示：

PFD=PFDS+PFDL+PFDFE+PFDH

(1)

式中：PFD——SIS的要求时失效概率；PFDS——传感器的要求时失效概率；PFDL——逻辑控制器的要求时失效概率；PFDFE——执行机构的要求时失效概率；PFDH——人因失效概率。

图1 基于人为因素的工作逻辑示意

将人在应急响应中的过程分为观察、诊断和操作三个阶段，观察阶段操作人员主要负责观察报警信号，并核实现场目标以及辨识事故发生后果，对操作人员的心理素质要求较高；诊断阶段操作人员需根据应急事件作出综合判断，并迅速作出应急响应决策，对操作人员的专业知识和响应时间要求较高；操作阶段操作人员通过之前的判断前往执行机构进行手动操作，对操作人员的心理素质和执行能力要求较高。采用事件树模型可计算PFDH如式(2)所示：

PFDH=P1+(1-P1)P2+

(1-P1)(1-P2)P3

(2)

式中：P1，P2，P3——观察、诊断、操作阶段的人因失效概率。

2 人因失效概率计算

2.1 观察阶段

目前，HRA分析已发展了两代，其中认知可靠性和失误分析方法(CREAM)是由Eric Hollnagel首次提出，属于第二代HRA分析中的代表模型，该模型侧重人的绩效动态特性，认为环境或情景因素比任务特征更为重要，强调情景对人行为的影响，适用于计算观察阶段的人因失效概率[5-6]。该模型采用情景依赖控制模式作为认知模型的基础，根据任务环境分为9种不同的影响因素，称为通用效能条件(CPC)，每种CPC分为不同水平，对HRA的影响程度分为改进、不显著和降低3种情况[7]，根据实际情况，对影响程度进行赋值，并通过赋值结果确定控制模式，控制模式与失效概率区间见表1所列。

表1 控制模式与失效概率区间

采用传统CREAM模型可以粗略地确定失效概率，但具体是多少需采用其他方法进行验证，且认为9种CPC的权重均一致，无法反映不同工作环境下的工作内容。因此，需改进传统CREAM模型，为每个CPC赋予不同的权重，各失效类型下的认知功能失效概率(CFP)计算如式(3)～(6)所示：

CFPi=CFPi0×(10-2.35G+10-2.17J-1)

(3)

(4)

(5)

P1=∑CFPi

(6)

式中：CFPi——第i种失效类型下的认知失效概率；CFPi0——第i种失效类型下的基本失效概率；G——改进总分值；J——降低总分值；Sj——单个CPC的分值，将“改进”赋值为1，“降低”赋值为-1，“不显著”赋值为0；Wj——相应CPC的权重。

2.2 诊断阶段

CREAM模型无法体现应急响应时间对人因失效概率的影响，响应时间越长，操作人员在诊断阶段越不容易出现失误，失效概率越低。采用人员认知可靠性模型(HCR)计算诊断阶段的人因失效概率。HCR模型以认知心理学为基础，重点研究人的心理和响应时间对操作绩效的影响，可定量评价初始事件后的行为可靠性[8]。该模型根据执行任务的特点，将人员行为分为技能型、规则型和知识型3种，技能型表现为无意识行为，其行为过程与任务复杂程度无关，人员失误与疏忽大意相关；规则型表现为对已有操作手册、操作规程的任务进行操作，人员失误主要与误判或误读数据有关；知识型表现为对现有的任务进行不当或过度解读，人员失误主要与自身知识或技能的局限性有关。以上三种行为均遵循威布尔参数分布，如式(7)所示：

(7)

式中：γ，β，η——与行为类型相关的威布尔函数分布参数；T——初始事件发生后，允许操作人员完成任务的时间，s；T1——初始事件发生后，操作人员完成任务的时间中值，s。其中，T1的确定主要依赖于大量的模拟实验和专家判断，由于每个操作人员的认知情况不一致，故需要根据人员对任务认知的心理状态和事发时的外界条件综合判断，计算如式(8)所示：

T1=T1， nominal×(1+K1)×

(1+K2)×(1+K3)

(8)

式中：T1， nominal——人员执行操作所需的时间，可根据应急演练情况统计得到，s；K1，K2，K3——操作员运行经验、压力等级和人机系统的修正因子。

2.3 操作阶段

操作阶段中操作人员同样易受现场情景的影响，故与观察阶段类似，采用CREAM模型进行计算。

3 实例分析

以某输气站场为例，该站场建于2005年，目前ESD系统存在5个SIF回路，对其中的一个SIF回路的逻辑关系进行描述。该站场发生泄漏后，当站场内两个或两个以上的可燃气体探测器发出报警信号后，触发中心控制室报警，由现场操作人员确认报警信息，按下ESD按钮，手动触发一级停车装置，关断进出站的气液联动执行机构，打开紧急放空阀，延迟关断调压前后的安全切断阀，对所有压缩机进行泄压停机。

对该SIF回路进行危险与可操作性分析(HAZOP)和保护层分析(LOPA)[9]，该事故场景的初始事件为管道泄漏、分离器或其余设备发生泄漏等，分别从人员伤亡、直接经济损失、停工、环境影响、声誉影响5个方面确定企业可接受的最大可接受概率，并与经独立保护层减缓后的失效概率对比，确定该SIF回路应定级为SIL1级。

根据该站场的实际情况，采用层次分析法和熵权法组合赋权计算CPC的权重，并对分值进行量化处理，结果统计见表2所列。

表2 CPC权重及分值量化结果统计

通过与现场工程技术人员讨论，确定观察阶段的失效类型主要有未观察到报警信号和对现场目标核实错误两种，根据多次应急演练的结果，确定这两种失效类型的CFPi0分别为0.05和0.002；同理，确定操作阶段的失效类型主要有未按下手动ESD开关和错按手动ESD开关两种，并确定这两种失效类型的CFPi0分别为0.06和0.005。参照表2中CPC的权重及分值量化结果，根据公式(3)～(6)计算观察阶段和操作阶段的人因失效概率分别为0.053 1和0.066 3。

对于诊断阶段，根据应急演练的结果，确定T为60 s，T1， nominal为30 s。目前，该站内的操作人员可基本掌握常见的各类应急事件处置，确定其行为类型为规则型，参照核电站模拟机的试验统计数据，确定γ，β，η值分别为0.3，1.63，0.88。K1，K2，K3的取值根据现场实际情况由专家评议，修正因子取值见表3所列。根据式(7)计算诊断阶段的人因失效概率为0.165 2。最后，根据公式(2)计算总的PFDH=0.261 9。

表3 修正因子取值

通过查验该SIF回路中传感器、逻辑控制器和执行机构的安全功能认证证书，并参照挪威科技工业研究院(SINTEF)的相关失效数据，确定该SIF回路的冗余表决结构均为“1oo1”型，诊断覆盖率取90%，测试周期为1 a，其SIL等级的验证结果见表4所列。其中，人因造成的失效概率占76.17%，如图2所示。远高于其余硬件失效概率的总和，若不考虑HRA，则总的失效概率为8.192×10-2，其SIL等级可达到1级，满足该回路SIL验证的要求。可见，当SIF回路中有人员操作干预时，人为失误是导致SIF回路失效的主要因素，这与其他行业统计的人员违章作业、违法操作造成的失效事件约占总失事件总数的70%～80%是相符的。

表4 SIL等级验证结果

图2 系统各部分失效概率所占比例示意

综上所述，需要改进执行机构和传感器的冗余表决结构，缩短功能测试周期；加强员工的安全培训与应急演练，特别是在出现紧急事件的情况下，提高员工的抗压能力、心理素质和技战术水平，并定期开展应急能力响应评价；针对表2中对人因可靠性的影响程度为“不显著”或“降低”的，通过调整工作方案和外部条件，将影响程度提高为“改进”，以提高安全仪表系统的完整性等级。

4 结束语

通过在常规SIL验证的基础上，引入人因失效概率，将操作人员与安全仪表近似构成一个串联型结构，形成基于HRA分析的SIL等级验证模型。将人的行为分为观察、诊断、操作3个过程，其中观察和操作阶段采用了CREAM模型计算人因失效概率，诊断阶段采用HCR模型计算人因失效概率。经过实例验证，发现当SIF回路中有人员操作干预时，人因造成的失效概率占比较大，可直接影响SIL等级的验证结果。

仪器仪表