اقدامات و مداخلات اپراتور در سیستمهای ایمنی عملکردی
تصمیمات اپراتور همچنان عامل مهمی در عملکرد ایمنی عملکردی باقی میمانند. این مقاله بررسی میکند که چگونه استاندارد IEC 61511 و روشهای LOPA اقدامات اپراتور را به عنوان رویدادهای آغازین، لایههای حفا...
عنصر انسانی همچنان شکلدهنده ایمنی فرایند است
سیستمهای اتوماسیون در پالایشگاهها، نیروگاهها، واحدهای شیمیایی و تأسیسات فراساحلی همچنان در حال پیشرفت هستند. با این حال، اپراتورهای باتجربه یکی از تأثیرگذارترین عوامل در ایمنی کارخانه باقی میمانند. تصمیمات آنها میتواند قبل از واکنش اتوماسیون از تشدید جلوگیری کند یا به طور ناخواسته شرایط خطرناک فرایند را ایجاد نماید.
مهندسی ایمنی عملکردی مدرن دیگر تعامل انسانی را به عنوان یک ملاحظه ثانویه نمیداند. استانداردهای بینالمللی اکنون اقدامات اپراتور را به عنوان عوامل قابل اندازهگیری در تأیید SIL، محاسبات LOPA و مدیریت چرخه عمر ایمنی تعریف میکنند.
شکل ۱. روابط زمانی ایمنی تعیین میکند که آیا واکنش اپراتور میتواند به طور مؤثر از تشدید جلوگیری کند یا خیر.
چرا اقدامات اپراتور در ارزیابیهای SIL اهمیت دارند
مطالعات ایمنی عملکردی بین اقدامات اپراتور که شرایط خطرناک ایجاد میکنند و مداخلاتی که از تشدید جلوگیری میکنند تمایز قائل میشوند. این تمایز مستقیماً بر محاسبات کاهش ریسک و اهداف SIL مورد نیاز تأثیر میگذارد.
از نظر عملی، یک اپراتور اتاق کنترل ممکن است با ترتیب نادرست شیرها، فعالسازی بایپس یا پاسخ تأخیری باعث انحراف شود. در مقابل، همان اپراتور میتواند به عنوان یک سد حفاظتی با پاسخ به هشدارها یا شروع دستی فرایندهای خاموشی عمل کند.
این سناریوها از نظر عملیاتی مشابه به نظر میرسند، اما در داخل استاندارد IEC 61511 و روشهای CCPS LOPA به طور بسیار متفاوتی برخورد میشوند.
عمل اپراتور در مقابل مداخله اپراتور
عمل اپراتور معمولاً عمدی و رویهای است. ممکن است شامل راهاندازی تجهیزات، تأیید مجوزها یا فعالسازی فرمان خاموشی اضطراری باشد. مداخله معمولاً پس از بروز شرایط غیرعادی رخ میدهد.
برای مثال، فشار دادن دکمه اضطراری ESD سیمکشی شده بخشی از عملکرد ایمنی خود دستگاه میشود. پاسخ به هشدار دمای بالا قبل از ایجاد شرایط فرار ممکن است به عنوان یک لایه حفاظتی مستقل محسوب شود.
چالش مهندسی در تعیین این است که آیا زمان، استقلال و قابلیت اطمینان کافی برای واکنش انسان وجود دارد یا خیر.
وقتی خطای انسانی به رویداد آغازین تبدیل میشود
استاندارد IEC 61511 رویداد شروعکننده را انحرافی تعریف میکند که فرآیند را به سمت شرایط خطرناک سوق میدهد. خطای انسانی اغلب این تعریف را برآورده میکند.
باز شدن نادرست شیر بایپس، لغو نادرست نگهداری یا عدم بازیابی قفلها پس از آزمایش میتواند همه باعث ایجاد تقاضاهای فرآیندی بر سیستمهای حفاظتی شود.
در مطالعات LOPA، این اقدامات فرکانس رویداد شروعکننده (IEF) دریافت میکنند. فرکانس اختصاص داده شده نشان میدهد که یک خطای انسانی خاص چقدر واقعبینانه ممکن است در طول عملیات کارخانه رخ دهد.
قابلیت اطمینان انسانی هرگز ثابت نیست
عملکرد اپراتور تحت استرس، خستگی، مدیریت ضعیف هشدارها یا شرایط بار کاری بالا تغییر میکند. به دلیل این تغییرپذیری، مطالعات ایمنی فرضیات محافظهکارانهای درباره قابلیت اطمینان انسانی اعمال میکنند.
دستورالعملهای ساده و تمرینشده ممکن است فرکانس شروع پایینی داشته باشند. مداخلات پیچیده در شرایط عملیاتی غیرعادی مقادیر بسیار بالاتری دریافت میکنند.
شکل ۲. اقدامات انسانی هم رویدادهای شروعکننده و هم پاسخهای حفاظتی را در مطالعات ایمنی تحت تأثیر قرار میدهد.
کارخانههایی که از سیستمهای کنترل توزیعشده قدیمی استفاده میکنند، اغلب با ریسکهای اضافی عوامل انسانی به دلیل سیل هشدارها و چیدمان نامنظم رابط کاربری مواجهاند. بسیاری از تأسیسات که سیستمهای قدیمی را بهروزرسانی میکنند، اکنون سیستمهای کنترل DCS مدرن را ادغام میکنند تا اولویتبندی هشدارها و دید اپراتور را بهبود بخشند.
آیا میتوان به اپراتورها به عنوان لایههای حفاظتی مستقل اعتبار داد؟
مداخله دستی تنها تحت شرایط سختگیرانه میتواند به عنوان یک IPL محسوب شود. پاسخ باید مستقل از علت شروعکننده باشد، در زمان ایمنی فرآیند موجود رخ دهد و مطابق با دستورالعملهای عملیاتی تأیید شده باشد.
استانداردهایی مانند ISA TR84 و راهنماییهای CCPS معمولاً اعتبار لایههای حفاظتی مستقل دستی (IPL) را محدود میکنند زیرا عملکرد انسانی ذاتاً ناپایدار است. در بسیاری از تأسیسات، حداکثر ضریب کاهش ریسک پذیرفته شده برای پاسخ اپراتور همچنان ۱۰ باقی میماند.
زمان ایمنی فرآیند قابلیتپذیری را تعریف میکند
زمان ایمنی فرآیند موجود تعیین میکند که آیا مداخله اپراتور واقعبینانه است یا خیر. اگر اپراتورها چند دقیقه فرصت داشته باشند تا به انحراف فرآیند واکنش نشان دهند، پاسخ دستی ممکن است قابل قبول باقی بماند.
اگر فرآیند در عرض چند ثانیه به شرایط ناایمن برسد، اتوماسیون اجباری میشود. هیچ برنامه آموزشی واقعبینانهای نمیتواند به طور مداوم تضمین کند که مداخله دستی در پنجرههای پاسخ بسیار کوتاه موفق باشد.
این تمایز توضیح میدهد که چرا سیستمهای توربین با سرعت بالا، برنامههای مدیریت مشعل و حفاظت کمپرسور به طور فزایندهای به پلتفرمهای ایمنی اختصاصی وابستهاند تا صرفاً مداخله رویهای.
اقدامات خاموشکردن دستی در داخل محدوده عملکرد ایمنی
بسیاری از مهندسان به اشتباه اقدامات خاموشکردن دستی را به عنوان رویدادهای شروعکننده طبقهبندی میکنند. در واقع، فعالسازی عمدی خاموشکردن اضطراری اغلب بخشی از خود عملکرد ایمنی است.
استاندارد IEC 61511 به وضوح بیان میکند که وقتی اقدام دستی عملکرد ایمنی را آغاز میکند، هر عنصر پشتیبانیکننده باید در محدوده عملکرد ایمنی قرار گیرد. این شامل دکمههای فشاری، سیمکشی، حلکنندههای منطقی، روشهای اپراتور و نیازهای آموزشی است.
افزایش فشار راکتور را در نظر بگیرید که قبل از رسیدن به آستانه قطع خودکار تشخیص داده میشود. اپراتور ممکن است نشت غیرعادی را شناسایی کرده و قبل از تشدید، خاموشکردن دستی را فعال کند.
در این وضعیت، اپراتور خطر را ایجاد نمیکند. این اقدام به طور فعال ریسک را کاهش میدهد و بنابراین بخشی از طراحی عملکرد ایمنی است.
شکل ۳. قابلیت خاموشکردن دستی اغلب به عنوان بخشی از عملکرد کلی ابزار ایمنی عمل میکند.
تأسیساتی که از کنترلکنندههای ایمنی یکپارچه مانند سیستمهای ایمنی Triconex استفاده میکنند، اغلب مسیرهای خاموشکردن سختافزاری اختصاصی را برای کاهش وابستگی به لایههای کنترل فرآیند استاندارد پیادهسازی میکنند.
ارتباط اقدامات انسانی با محاسبات LOPA
تحلیل LOPA سناریوهای عملیاتی را به روابط عددی ریسک تبدیل میکند. فرکانس خطاهای انسانی، عملکرد IPL و فرکانسهای هدف رویداد به طور جمعی یکپارچگی مورد نیاز عملکرد ایمنی را تعیین میکنند.
در پروژههای عملی، اشتباهات اپراتور اغلب تعیین میکند که تقاضای حفاظتی چقدر مکرر رخ میدهد. سپس سیستمهای ایمنی کاهش ریسک لازم را برای رسیدن به فرکانسهای قابل تحمل رویداد فراهم میکنند.
شکل ۴. اقدامات انسانی بر نرخهای شروع تقاضا و سطوح یکپارچگی مورد نیاز عملکرد ایمنی تأثیر میگذارد.
واقعیت مهندسی در داخل کارخانههای عملیاتی
مطالعات ایمنی دنیای واقعی به ندرت فقط به دلیل ریاضیات شکست میخورند. آنها زمانی شکست میخورند که فرضیات درباره عملکرد اپراتور غیرواقعی شود.
مهندسان گاهی کیفیت پاسخ به هشدار را بدون در نظر گرفتن بار کاری، رویدادهای همزمان یا تأخیرهای ارتباطی در شرایط بحرانی بیش از حد برآورد میکنند. یک IPL از نظر نظری معتبر ممکن است در عمل زمانی که محیط اتاق کنترل بیش از حد بارگذاری شود، شکست بخورد.
این مسئله زمانی بیشتر دیده شده است که کارخانهها به دنبال نرخ تولید بالاتر با مدلهای نیروی کار کمتر هستند.
ایمنی عملکردی روزافزون انسانمحور میشود
فاز بعدی توسعه ایمنی عملکردی بیشتر بر تعامل انسان و ماشین تمرکز خواهد داشت تا فقط سختافزار. منطقیسازی هشدارها، طراحی ارگونومیک HMI و پشتیبانی تصمیمگیری اپراتور اکنون به اندازه حسگرها و حلکنندههای منطقی بر عملکرد ایمنی تأثیر میگذارند.
معماریهای مدرن SIS هماکنون تشخیص پیشبینی، کنترل تعلیق هشدار و سیستمهای راهنمایی اپراتور را یکپارچه کردهاند. با این حال، اپراتورهای باتجربه هنوز قضاوتی ارائه میدهند که اتوماسیون نمیتواند به طور کامل در شرایط نامطمئن فرایند جایگزین کند.
روند صنعت واضح است: اتوماسیون سرعت و ثبات را مدیریت میکند، در حالی که اپراتورها در رویدادهای غیرعادی استدلال تطبیقی ارائه میدهند.
نظر نویسنده
بسیاری از مطالعات SIL هنوز پیچیدگی رفتار انسانی در شرایط عملیاتی غیرعادی را دستکم میگیرند. فرضیات خوشبینانه درباره پاسخ اپراتور ممکن است در ابتدا هزینه پروژه را کاهش دهد، اما ریسک عملیاتی پنهانی ایجاد میکند.
تأسیساتی که به دنبال قابلیت اطمینان بالاتر هستند باید مداخله دستی را برای سناریوهای پاسخ طولانی و عملیات با تقاضای کم محفوظ نگه دارند. فرایندهای با پیامدهای بالا نیازمند اقدام حفاظتی خودکار هستند که توسط رویههای منضبط اپراتور پشتیبانی میشود و نباید به آنها وابسته باشد.
قویترین استراتژیهای ایمنی ترکیبی از اتوماسیون، فلسفه عملیاتی واضح، مدیریت واقعی هشدارها و توسعه مداوم مهارتهای اپراتور است.
اولیور گرانت | تحلیلگر ارشد ایمنی عملکردی
اولیور گرانت بیش از ۱۴ سال تجربه در مهندسی ایمنی فرایند، تأیید SIL و یکپارچهسازی سیستمهای توقف دارد. سابقه او شامل پروژههای چرخه عمر ایمنی با استفاده از پلتفرمهای Honeywell، Yokogawa، Emerson DeltaV، HIMA و Rockwell Automation در پالایشگاهها، LNG و تأسیسات تولید برق است.