組織因素對在役裝置安全儀表系統(tǒng)SIL評估影響

楊志華，朱 超，付建民，甄 佳，孟曉璇

(1.國家管網(wǎng)集團東部原油儲運有限公司，江蘇徐州 221000 2.中國石油大學(xué)(華東)海洋油氣裝備與安全技術(shù)研究中心，山東青島 266580)

0 前言

我國石油、化工企業(yè)裝置向大型化、自動化和工藝復(fù)雜化發(fā)展，由人引發(fā)的如泄漏、火災(zāi)、爆炸等事故逐漸增多[1]。安全儀表系統(tǒng)(safety instrument system, SIS) 作為石化企業(yè)裝置最后一道防火墻在石油化工裝置中已經(jīng)得到了廣泛的應(yīng)用。國際電工委員會頒布的IEC61508《電氣/電子/可編程電子安全系統(tǒng)的功能安全》和IEC61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第2部分：GB/T 21109.1的應(yīng)用指南》創(chuàng)建了相應(yīng)的計算模型以評估SIS可靠性，包括定性、定量和半定量3類[2，3]。設(shè)備技術(shù)可靠性已提高，由組織錯誤導(dǎo)致的事故相對有所增加，SIS可靠性降低，從而達不到所需求的安全完整性等級(SIL)。因此，有必要深入研究組織因素對SIL評估影響。目前，國內(nèi)外學(xué)者研究受人因可靠性影響的系統(tǒng)SIL評估，英國心理學(xué)家Reason在《人誤》一書中最早提出了“組織錯誤”一詞，此外還介紹了貢獻因素、潛在失效理論及管理導(dǎo)致事故的概念[4]。?ien[5]基于對現(xiàn)有組織因素框架的回顧，開發(fā)出一個組織模型來分析海上設(shè)施的泄漏事件。此外，他提出了組織風(fēng)險指標(biāo)和量化組織對風(fēng)險影響的方法。Akbar，等[6]提出了結(jié)合FBN和HFACS的方法用于分析過程事故中的人和組織因素。謝彤彤[7]對人的可靠性進行了深入研究，基于THERP+HCR的數(shù)學(xué)模型，在HRA分析中考慮組織因素，為提高系統(tǒng)可靠性和安全性提供決策建議。劉俊芳[8]基于LOPA分析方法對石化行業(yè)定量化人因分析的流程進行研究并提出相應(yīng)模型，進行其他IPL的有效性計算。池亞娟，等[9]提出了間歇裝置受人因影響的SIL評估模型，并提供相關(guān)管理措施降低人因失誤，從而提高SIL。

目前國內(nèi)外對于安全儀表系統(tǒng)評估所提出的評估模型較為成熟，且對于人因可靠性分析，目前也有較完整的評估方法，此外雖然針對組織因素下的人因可靠性分析有較多研究，但是在石化企業(yè)組織因素對SIS評估的分析量化較少，需進一步研究?；谀骋喊眱扪b置的現(xiàn)有風(fēng)險，采取HAZOP結(jié)合LOPA的方法進行過程風(fēng)險分析，并通過分析結(jié)果進行SIL確定及驗證，構(gòu)建組織因素影響下的SIL驗證模型，評估組織因素對SIL影響水平，提出優(yōu)化方案從而提高系統(tǒng)SIL。

1 組織因素下的SIL評估

1.1 基于HAZOP和LOPA的風(fēng)險分析

HAZOP結(jié)合LOPA分析方法步驟：①對生產(chǎn)工藝過程進行節(jié)點劃分，并進行HAZOP分析；②根據(jù)HAZOP分析結(jié)果，將參數(shù)偏差原因作為初始事件，并確定初始事件發(fā)生頻率；③辨識每個偏差可能的初始原因(每個偏差可能不只一個初始原因)；④辨識除SIS外的獨立保護層(IPLs)，并判定其有效性；⑤根據(jù)初始事件發(fā)生頻率和IPLs失效頻率，計算危險事件剩余風(fēng)險，判斷是否需要SIS及其SIL等級。

1.2 組織因素影響下的SIL驗證模型

1.2.1 Markov模型

進行合理的SIL等級驗證是研究SIF完整性的第二步，但是安全儀表系統(tǒng)在運行階段易受各種因素影響，如包括系統(tǒng)設(shè)計、相關(guān)的測試和維護策略、社會技術(shù)系統(tǒng)的運行條件。本次SIL驗證計算采取Markov模型。 考慮以1oo2冗余結(jié)構(gòu)的危險失效風(fēng)險為例，構(gòu)建的Markov模型見圖1。1oo2的Markov有6種狀態(tài)：0-正常；1-降級檢測到的；2-降級未檢測到的；3-系統(tǒng)安全失效；4-系統(tǒng)危險失效；5-未檢測到系統(tǒng)危險失效。

圖1 1oo2結(jié)構(gòu)Markov模型

1oo2系統(tǒng)狀態(tài)轉(zhuǎn)移矩陣P如式(1)所示：

(1)

式中：λS——安全失效率，h-1；

λD——危險失效率，h-1；

λSU——檢測到的安全失效率，h-1；

λSD——未檢測到的安全失效率，h-1；

λDD——檢測到的危險失效率，h-1；

λDU——未檢測到的危險失效率，h-1；

λSDC——檢測到的共因安全失效率，h-1；

λSUC——未檢測到的共因安全失效率，h-1；

λSDN——檢測到的非共因安全失效率，h-1；

λSUN——未檢測到的非共因安全失效率，h-1；

λDDC——檢測到的共因危險失效率，h-1；

λDUC——未檢測到的共因危險失效率，h-1；

λDDN——檢測到的非共因危險失效率，h-1；

λDUN——未檢測到的非共因危險失效率，h-1；

μ0——在線維修率；

μSD——停車維修率。

t時刻需求失效概率：

PFD(t)=[1 0 0 0 0 0]Pt[0 0 0 0 1 1]T

(2)

式中：PFD(t)——t時刻的需求失效概率,h-1；

P——狀態(tài)轉(zhuǎn)移矩陣；

T——周期性檢查時間,h。

1.2.2 奶酪模型

石油化工行業(yè)在役裝置的安全儀表系統(tǒng)，其成功執(zhí)行安全功能不僅取決于系統(tǒng)本身結(jié)構(gòu)設(shè)計和硬件可靠性，更需要考慮組織因素對其產(chǎn)生的影響。瑞士奶酪模型是著名的組織事故模型，與安全儀表系統(tǒng)的運行階段高度相關(guān)，因此開發(fā)了改進的瑞士奶酪模型，如圖2所示，該模型考慮了組織因素對操作階段SIL驗證的影響。

圖2 改進的瑞士奶酪-組織事故模型

改進的瑞士奶酪模型顯示了防御的性能如何受到上游人為因素和組織因素的影響。上部分代表事故因果的主要要素即危害，防御(安全屏障)和損失，下半部分顯示了組織事故的發(fā)展：組織因素(由組織文化決定的戰(zhàn)略決策和一般組織過程)影響當(dāng)?shù)毓ぷ鲌鏊鶙l件(時間壓力，培訓(xùn)不足，程序不明確等)，再加上人類的自然傾向，產(chǎn)生不安全的行為。這些不安全行為可能會在防御中造成漏洞[10]。根據(jù)Reason的研究，工作場所和組織因素也可能直接導(dǎo)致防御失敗?？紤]石油及化工企業(yè)實際情況，探究以下8大組織因素，見表1。IEC61508提供了安全儀表系統(tǒng)定量和定性的分析方法，確定系統(tǒng)啟動時SIL等級滿足情況(設(shè)計SIL)，由于在系統(tǒng)運行階段受到人和組織的影響，SIL等級可能發(fā)生變化(操作SIL)，良好的安全管理對SIL等級提高可能不顯著，但是不良的安全管理將惡化系統(tǒng)安全性能，文中僅考慮運行階段人和組織因素影響，假設(shè)設(shè)計SIL已考慮相關(guān)的人和組織因素影響?？紤]組織因素的SIL驗證模型，詳細(xì)分析流程如圖3所示。

圖3 考慮組織因素SIL驗證方法流程

1.2.3 安全儀表系統(tǒng)設(shè)計SIL的確定

設(shè)計的SIL等級采用選定的SIL驗證Markov模型，在驗證過程中考慮到參數(shù)數(shù)據(jù)時，對于信息充分的設(shè)備，SIL驗證時可參考數(shù)據(jù)庫。針對廠區(qū)缺乏詳細(xì)數(shù)據(jù)的設(shè)備，為了解決數(shù)據(jù)的不確定性，引入了Monte Carlo(蒙特卡羅)模擬進行處理[11]。Monte Carlo是一種隨機模擬方法，使用隨機數(shù)進行隨機抽樣，利用隨機抽樣值進行計算，確定概率的近似解，文中采取MATLAB GUI進行Monte Carlo模擬，具體的步驟如下：①分析不確定性參數(shù)特征，依據(jù)歷史資料及專家意見，確定參數(shù)分布規(guī)律；②根據(jù)參數(shù)分布規(guī)律，生成隨機數(shù)；③建立失效概率(PFD)計算模型，并確定模擬次數(shù)n；④依據(jù)生成的隨機數(shù)，重復(fù)步驟①、②，計算出n個PFD輸出值；⑤根據(jù)仿真計算得到的n個PFD的值，利用函數(shù)得到均值、標(biāo)準(zhǔn)差、置信區(qū)間。

采用高斯誤差函數(shù)對數(shù)據(jù)進行處理，得到失效參數(shù)數(shù)據(jù)上下限。以傳感器為例將參數(shù)λD轉(zhuǎn)換為對數(shù)正態(tài)分布，其余參數(shù)設(shè)定為均勻分布，轉(zhuǎn)換步驟見式(3)～(6)：

(3)

(4)

μ=lnx0

(5)

(6)

式中：M——失效數(shù)據(jù)最大值，h-1；

m——失效數(shù)據(jù)最小值，h-1；

x0——等于T；

μ——PFD均值；

σ——PFD標(biāo)準(zhǔn)差；

P——置信區(qū)間，取值為0.95。

最終得到各參數(shù)分布為logN(μ，σ)[12]。

1.2.4 影響安全儀表系統(tǒng)操作SIL等級的組織因素

影響安全儀表系統(tǒng)操作SIL等級的組織因素有8項，具體見表1。

表1 影響安全儀表系統(tǒng)運行階段的組織因素

1.2.5 由組織因素引起的影響設(shè)計SIL的比例θ

組織因素引起的影響設(shè)計SIL的比例θ取決于系統(tǒng)設(shè)計和操作條件，可以使用專家判斷為特定系統(tǒng)估算此比例，如表2所示。

表2 組織因素引起的影響設(shè)計SIL的比例θ

1.2.6 計算歸一化的權(quán)重因子wi

權(quán)重wi可以作為安全審核的一部分來確定，使其特定于所考慮的系統(tǒng)，或者可以使用專家判斷為整個應(yīng)用領(lǐng)域(石油、化工、海上等)確定具體的權(quán)重。此外，可以從事故因果統(tǒng)計中獲得權(quán)重見式(7)、(8)。

(7)

(8)

wi——第i種組織因素的權(quán)重因子。

1.2.7 評估組織因素Ri

組織因素的等級Ri是通過審核獲得的，每個組織因素的等級從0到1，其中0為最佳等級(不需要改進)，1為最差等級(需要緊急關(guān)注)。這些評級基于針對每個組織因素的一組特定且可測量的指標(biāo)，最好采用可以用“是”或“否”回答的問題的形式。例如，“同一程序中有時存在多個版本？”，在這種情況下，如果對問題的回答為“是”，則指標(biāo)會在引起關(guān)注的方向上評分，引起關(guān)注的指標(biāo)數(shù)量除以用于該安全影響因子的指標(biāo)總數(shù)(假設(shè)指標(biāo)權(quán)重相等)，從而得出組織因素i的評級Ri。

1.2.8 操作SIL計算

操作SIL的計算見式(9)。

(9)

式中：θ——組織因素影響操作SIL的比例；

Ri——第i個組織因素的等級；

PFD設(shè)計——根據(jù)設(shè)計要求的平均失效概率。

2 組織因素分類與分析

傳統(tǒng)的層次分析法使用一個確切的值來表達決策者對備選方案的意見，無法處理不確定性和不精確性的數(shù)據(jù)，為了克服這些缺點，考慮使用模糊層次分析法(Fuzzy Analytical Hierarchy Process,FAHP)解決層次問題，簡化了人們判斷目標(biāo)相對重要性的復(fù)雜程度，分析更方便、快捷。采用FAHP對組織因素對安全儀表系統(tǒng)評估影響度進行計算評估，進而對影響SIL的子因素進行重要度排序。

a) 構(gòu)建分析結(jié)構(gòu)模型：找出各因素之間的隸屬關(guān)系。

b) 建立模糊判斷矩陣：某一層元素中包括的各子元素相對重要度。模糊判斷矩陣見公式(10)。

(10)

其中各元素之間的隸屬度關(guān)系用0.1～0.9標(biāo)度法表示，如表3所示，所構(gòu)造的模糊判斷矩陣為模糊互補矩陣。

表3 元素兩兩比較0.1～0.9標(biāo)度表示法

c) 一致性檢驗：一致性檢驗直接影響實際因素之間的客觀排序。

(11)

3 組織因素對SIL評估影響實例研究

以液氨儲罐液位高報警為例，分析組織因素對運行階段儀表系統(tǒng)SIL等級的影響。儲罐液位聯(lián)鎖LIAS501C功能：液位變送器LIT501C檢測儲罐V101液位，當(dāng)儲罐液位超過設(shè)定值(≥1 800 mm)時，液位變送器LIT501C將信號傳給中控室PLC系統(tǒng)，經(jīng)處理后將信號傳給進料閥LSV101聯(lián)鎖切斷。

3.1 組織因素影響度識別

運用模糊層次分析方法分析組織因素對安全儀表系統(tǒng)的影響程度，建立組織因素層次結(jié)構(gòu)模型。

邀請10位專家(人因可靠性分析專家、組織行為學(xué)專家、企業(yè)管理人員等)參與整個量化分析過程，結(jié)合安全儀表系統(tǒng)的特點對指標(biāo)的量值進行判斷，采用0.1～0.9表達重要程度，所得結(jié)果如表4所示。

表4 影響運行階段儀表系統(tǒng)SIL等級的模糊矩陣M

由表4可構(gòu)建模糊互補矩陣的可達矩陣T，如式(12)所示。

(12)

由可達矩陣T可知對角線上不存在為1的元素，由一致性檢驗標(biāo)準(zhǔn)可知，矩陣M滿足一致性檢驗，分析小組根據(jù)元素之間的重要程度，一致選取α=6作為判斷參數(shù)，則α=6，n=8，由公式(1)計算可知組織因素A1～A8的相對影響度為：

R1=(0.114 6，0.125 0，0.114 6，0.118 8，0.145 8，0.120 8，0.125 0，0.135 4)

3.2 SIL確定

對整個工藝裝置進行HAZOP分析，選取液態(tài)烯烴儲罐卸料“來量大”偏差進行LOPA分析，分析過程如下。

a) 場景描述：儲罐來量大，儲罐V101液位高，導(dǎo)致儲罐V101高液位冒罐溢流。

b) 事故后果：儲罐高液位冒灌溢流，造成人員中毒。

c) 初始事件：卸料來量大，偏差發(fā)生可能性0.1。

d) 條件修正：事故場景的發(fā)生需要觸發(fā)事件，需考慮修正因子。①點火概率：p1=1 (不考慮立即點火還是延遲點火)；②人員暴露概率：p2=0.1；③致死概率：p3=1。

e)IPLs確定：IPLs可以是設(shè)備、系統(tǒng)或一系列對應(yīng)的行動，用來預(yù)防或減輕不希望的后果，這些設(shè)備、系統(tǒng)或行動可不受干涉，獨立起到保護作用。此場景的IPLs及其PFD(需求時失效概率)如下：關(guān)鍵報警及人員響應(yīng)：液位超高時，人員不能及時作出有效響應(yīng)，故不作為IPL。

式(13)為后果發(fā)生頻率F確定:

(13)

式中：p0——初始事件發(fā)生概率；

pi——第i個修正因子發(fā)生頻率；

PFDj——第j個保護層的需求失效概率。

f) 現(xiàn)有風(fēng)險等級：事故后果嚴(yán)重程度為D，發(fā)生頻率為4×10-4，參考中國石化風(fēng)險評估矩陣確定現(xiàn)有風(fēng)險為中風(fēng)險。

g) 殘余風(fēng)險：由以上分析可知,風(fēng)險確定為“中”，建議降低風(fēng)險為“低”，故殘余風(fēng)險PFD=0.1～0.01。

h) 風(fēng)險決策(SIL需求)：液氨儲罐V101液位聯(lián)鎖控制SIL需求為SIL1。

3.3 SIL驗證

首先根據(jù)提出的分析模型確定設(shè)計的SIL等級，相關(guān)數(shù)據(jù)參考國外通用的OREDA和PDS數(shù)據(jù)庫，建立Markov模型計算設(shè)計SIL等級，基本的可靠性數(shù)據(jù)如表5所示，計算結(jié)果如表6所示。

然后對儲罐V101安全儀表系統(tǒng)可靠性數(shù)據(jù)進行Monte Carlo模擬，詳細(xì)的數(shù)據(jù)分布如表7所示，MC-Markov計算結(jié)果如表8所示。

由表8可知，采用Monte Carlo模擬系統(tǒng)95%置信區(qū)間PFDavg值為2.45×10-2，系統(tǒng)為SIL1。在實際工程中，直接采用數(shù)據(jù)庫的數(shù)據(jù)或采用上下限值進行計算可能存在較大誤差，使得計算結(jié)果過于樂觀，不能保證風(fēng)險合理降低，采用Monte Carlo模擬可彌補數(shù)據(jù)缺失的情況，同時給出95%置信區(qū)間PFDavg值，使得計算結(jié)果更科學(xué)。

表5 系統(tǒng)可靠性數(shù)據(jù)

表6 Markov SIL計算結(jié)果

表7 液氨儲罐V101安全儀表系統(tǒng)可靠性數(shù)據(jù)分布

表8 MC仿真計算Markov模型結(jié)果

由以上計算可知，設(shè)計PFDavg為2.45×10-2，SIL等級為SIL1，影響安全儀表系統(tǒng)運行階段SIL等級的組織因素，如表1所示。估計由人和組織因素引起的影響設(shè)計SIL的比例θ，如表2，假設(shè)人和組織因素對設(shè)計SIL影響較敏感，θ取值為0.7；影響安全儀表系統(tǒng)組織因素分配權(quán)重并計算歸一化的權(quán)重因子wi；在對影響安全儀表系統(tǒng)組織因素分配權(quán)重的問題上，分兩種情況討論：①以組織因素影響度識別為基礎(chǔ)，量化計算得到的權(quán)重進行計算；②假設(shè)組織因素的權(quán)重均為0.125，這些因素對安全儀表系統(tǒng)影響同等重要。

評估安全影響因素Ri：Ri是從審核中獲得的，其中包含針對每個組織因素的一組特定的、可測量的指標(biāo)。Ri的最低值、最高值和平均值評級如表9所示，該結(jié)果來自ARAMIS案例研究。

表9 評估安全影響因素Ri

經(jīng)計算可得，每個組織因素權(quán)重不相等時，SIL操作為1.29，每個組織因素權(quán)重相等時，SIL操作為1.31。

設(shè)計SIL與操作SIL計算結(jié)果見表10，案例不同θ值對操作SIL及RRF的影響見表11。

表10 設(shè)計SIL與操作SIL計算結(jié)果

表11 案例不同θ值對操作SIL及RRF的影響

對于確定權(quán)重值和Ri下，θ值對SIL等級無影響，但是當(dāng)人和組織因素對安全儀表系統(tǒng)逐漸敏感時，RRF值逐漸增大，可能達到臨界值，操作SIL改變，而使得設(shè)計SIL不滿足，導(dǎo)致需進行新的設(shè)計，見圖4。因此，應(yīng)重點考慮操作階段人和組織因素對安全儀表系統(tǒng)的影響。

圖4 案例研究中設(shè)計和操作SIL

圖5為組織因素的加權(quán)等級。由表11和圖5可知，盡管此時的操作SIL等于設(shè)計SIL，但是對應(yīng)的PFD值不同，即組織因素影響對操作SIL產(chǎn)生影響，此外，兩種組織因素權(quán)重值情況下，操作SIL不同，因此在操作SIL低于1之前，應(yīng)采取預(yù)防措施。從圖5可以看出，目標(biāo)兼容性(紅色)和培訓(xùn)(黃色)具有最高的權(quán)重評級，并且最需要改進。然后，將來自審核的信息用作深入分析這些安全影響因素的起點，以找出不良評級的原因。這樣，可以采取預(yù)防措施來改善相應(yīng)組織因素。例如，管理層可以對不兼容的工作組進行干預(yù)，并對操作人員使用警報系統(tǒng)進行培訓(xùn)。當(dāng)目標(biāo)兼容性和培訓(xùn)得到改善后，應(yīng)該重新評級并計算新的操作SIL。

圖5 組織因素的加權(quán)等級

提出的計算模型可以用作較大的SIL監(jiān)控策略的一部分，以便在安全儀表系統(tǒng)的操作階段將SIL保持在所需水平。需要進行進一步的研究，以探討在運營階段其他問題，包括系統(tǒng)修改的影響和設(shè)備的老化，并評估它們對運行SIL的影響。

4 結(jié)論

a) 依據(jù)IEC61508和IEC61511要求的功能安全標(biāo)準(zhǔn)，對液氨儲罐裝置使用HAZOP結(jié)合LOPA的方法進行風(fēng)險分析，確定了液氨儲罐所需降低風(fēng)險量。

b) 對影響安全儀表系統(tǒng)的組織因素進行了定義和分類，對組織因素進行了影響度識別，構(gòu)造因素相對影響度、總體影響度以及重要度3個指標(biāo)，計算出各個指標(biāo)的相對影響度，并對重要度進行了排序，經(jīng)過評估得出目標(biāo)兼容性、培訓(xùn)/經(jīng)驗對安全儀表系統(tǒng)影響較大。

c) 在進行SIL確定時，考慮組織因素影響，對LOPA保護層中“關(guān)鍵報警及人員響應(yīng)—人因保護層”進行分析確定，采用了層次任務(wù)分析法和奶酪模型方法確定“人因保護層”能否作為獨立的保護層，并最終對SIL進行確定，并將這一方法應(yīng)用至液氨儲罐高液位場景。結(jié)果表明，相對于傳統(tǒng)的SIL確定模型，提出的模型可以較好地對“人因保護層”進行分析，從而對SIL確定得到更準(zhǔn)確的分析結(jié)果，為實際提供指導(dǎo)。

d) 在進行SIL 驗證時，IEC61511提供了安全儀表系統(tǒng)設(shè)計和實施的一般框架，但對安全儀表系統(tǒng)操作受人和組織因素影響，沒有明確說明。通過對影響安全儀表系統(tǒng)運行階段SIL的組織因素進行分析探討，提出了一種解決安全儀表系統(tǒng)在運行階段考慮人和組織因素的新方法，可以很好地預(yù)測操作SIL，并對最需改進的人和組織因素提供預(yù)防與糾正措施指導(dǎo)。