Tindakan dan Campur Tangan Operator dalam Sistem Keselamatan Fungsian

Elemen Manusia Masih Membentuk Keselamatan Proses

Sistem automasi terus berkembang di kilang penapisan, loji kuasa, unit kimia, dan kemudahan luar pesisir. Namun pengendali berpengalaman kekal sebagai salah satu pemboleh ubah paling berpengaruh dalam keselamatan loji. Keputusan mereka boleh menghentikan peningkatan sebelum automasi bertindak, atau secara tidak sengaja mencetuskan keadaan proses berbahaya.

Kejuruteraan keselamatan fungsi moden tidak lagi menganggap interaksi manusia sebagai pertimbangan sekunder. Piawaian antarabangsa kini mentakrifkan tindakan pengendali sebagai penyumbang yang boleh diukur dalam pengesahan SIL, pengiraan LOPA, dan pengurusan kitaran hayat keselamatan.

Rajah 1. Hubungan masa keselamatan menentukan sama ada tindak balas pengendali boleh mencegah peningkatan dengan berkesan.

Mengapa Tindakan Pengendali Penting dalam Penilaian SIL

Kajian keselamatan fungsi membezakan antara tindakan pengendali yang mencipta keadaan berbahaya dan campur tangan yang menghalang peningkatan. Perbezaan ini secara langsung mempengaruhi pengiraan pengurangan risiko dan sasaran SIL yang diperlukan.

Dalam istilah praktikal, pengendali bilik kawalan mungkin memulakan penyimpangan melalui urutan injap yang salah, pengaktifan pintasan, atau tindak balas yang lewat. Sebaliknya, pengendali yang sama juga boleh berfungsi sebagai halangan pelindung dengan bertindak balas kepada amaran atau memulakan prosedur penutupan secara manual.

Senario ini kelihatan serupa dari segi operasi, tetapi ia dilayan dengan sangat berbeza dalam metodologi IEC 61511 dan CCPS LOPA.

Tindakan Pengendali Berbanding Campur Tangan Pengendali

Tindakan pengendali biasanya disengajakan dan berprosedur. Ia mungkin melibatkan memulakan peralatan, mengesahkan kebenaran, atau mengaktifkan arahan penutupan kecemasan. Campur tangan biasanya berlaku selepas keadaan luar biasa berkembang.

Sebagai contoh, menekan butang tolak ESD yang berwayar keras menjadi sebahagian daripada fungsi keselamatan itu sendiri. Bertindak balas kepada amaran suhu tinggi sebelum keadaan tidak terkawal berkembang mungkin layak sebagai lapisan perlindungan bebas.

Cabaran kejuruteraan terletak pada menentukan sama ada terdapat masa, kebebasan, dan kebolehpercayaan yang mencukupi untuk tindak balas manusia.

Apabila Kesilapan Manusia Menjadi Peristiwa Permulaan

IEC 61511 mentakrifkan kejadian permulaan sebagai penyimpangan yang menggerakkan proses ke arah keadaan berbahaya. Kesilapan manusia sering memenuhi takrif ini.

Injap bypass yang dibuka dengan salah, penggantungan penyelenggaraan yang tidak betul, atau kegagalan memulihkan interlock selepas ujian boleh menghasilkan permintaan proses ke atas sistem perlindungan.

Dalam kajian LOPA, tindakan ini diberikan kekerapan kejadian permulaan (IEF). Kekerapan yang diberikan mencerminkan berapa kerap kesilapan manusia tertentu mungkin berlaku secara realistik semasa operasi loji.

Kebolehpercayaan Manusia Tidak Pernah Tetap

Prestasi pengendali berubah di bawah tekanan, keletihan, pengurusan amaran yang lemah, atau keadaan beban kerja tinggi. Oleh kerana ketidaktentuan ini, kajian keselamatan menggunakan andaian konservatif terhadap kebolehpercayaan manusia.

Prosedur mudah dan yang sering dilatih mungkin mempunyai kekerapan permulaan yang rendah. Campur tangan kompleks semasa keadaan operasi luar biasa menerima nilai yang jauh lebih tinggi.

Rajah 2. Tindakan manusia mempengaruhi kedua-dua kejadian permulaan dan tindak balas perlindungan dalam kajian keselamatan.

Loji yang mengendalikan sistem kawalan teragih lama sering menghadapi risiko faktor manusia tambahan disebabkan oleh banjir amaran dan susun atur HMI yang tidak konsisten. Banyak kemudahan yang menaik taraf platform lama kini mengintegrasikan sistem kawalan DCS moden untuk meningkatkan keutamaan amaran dan keterlihatan pengendali.

Bolehkah Pengendali Diberi Kredit sebagai Lapisan Perlindungan Bebas?

Campur tangan manual hanya boleh layak sebagai IPL di bawah syarat ketat. Tindak balas mesti kekal bebas daripada punca permulaan, berlaku dalam masa keselamatan proses yang tersedia, dan mengikuti prosedur operasi yang disahkan.

Standard seperti ISA TR84 dan panduan CCPS biasanya mengehadkan kredit IPL manual kerana prestasi manusia secara semula jadi tidak konsisten. Di banyak kemudahan, faktor pengurangan risiko maksimum yang diterima untuk tindak balas pengendali kekal 10.

Masa Keselamatan Proses Menentukan Kebolehlaksanaan

Masa keselamatan proses yang tersedia menentukan sama ada campur tangan pengendali adalah realistik. Jika pengendali mempunyai beberapa minit untuk bertindak balas terhadap penyimpangan proses, tindak balas manual mungkin masih boleh diterima.

Jika proses mencapai keadaan tidak selamat dalam beberapa saat, automasi menjadi wajib. Tiada program latihan realistik yang boleh menjamin campur tangan manual berjaya secara konsisten dalam tempoh tindak balas yang sangat singkat.

Perbezaan ini menerangkan mengapa sistem turbin berkelajuan tinggi, aplikasi pengurusan pembakar, dan perlindungan pemampat semakin bergantung pada platform keselamatan khusus dan bukan hanya campur tangan prosedur.

Tindakan Penutupan Manual Dalam Sempadan SIF

Ramai jurutera salah mengklasifikasikan tindakan penutupan manual sebagai kejadian permulaan. Sebenarnya, pengaktifan penutupan kecemasan secara sengaja sering menjadi sebahagian daripada SIF itu sendiri.

IEC 61511 dengan jelas menyatakan bahawa apabila tindakan manual memulakan fungsi keselamatan, setiap elemen sokongan termasuk dalam sempadan SIF. Ini termasuk butang tekan, pendawaian, penyelesai logik, prosedur operator, dan keperluan latihan.

Pertimbangkan peningkatan tekanan reaktor yang dikesan sebelum ambang trip automatik dicapai. Operator mungkin mengenal pasti kebocoran luar biasa dan mengaktifkan penutupan secara manual sebelum keadaan menjadi lebih buruk.

Dalam situasi ini, operator tidak mencipta bahaya. Tindakan tersebut secara aktif mengurangkan risiko dan oleh itu termasuk dalam reka bentuk fungsi keselamatan.

Rajah 3. Keupayaan penutupan manual sering beroperasi sebagai sebahagian daripada fungsi instrumen keselamatan keseluruhan.

Kemudahan yang menggunakan pengawal keselamatan bersepadu seperti sistem keselamatan Triconex sering melaksanakan laluan penutupan keras khusus untuk mengurangkan kebergantungan pada lapisan kawalan proses standard.

Menghubungkan Tindakan Manusia kepada Pengiraan LOPA

Analisis LOPA menukar senario operasi kepada hubungan risiko berangka. Kekerapan kesilapan manusia, prestasi IPL, dan kekerapan kejadian sasaran secara kolektif menentukan integriti yang diperlukan bagi SIF.

Dalam projek praktikal, kesilapan operator sering menentukan kekerapan permintaan perlindungan berlaku. Sistem keselamatan kemudian menyediakan pengurangan risiko yang diperlukan untuk mencapai kekerapan kejadian yang boleh diterima.

Rajah 4. Tindakan manusia mempengaruhi kadar permintaan permulaan dan tahap integriti SIF yang diperlukan.

Kejuruteraan Realiti Dalam Loji Operasi

Kajian keselamatan dunia sebenar jarang gagal hanya kerana matematik. Ia gagal apabila andaian tentang prestasi operator menjadi tidak realistik.

Jurutera kadang-kadang terlebih anggap kualiti tindak balas amaran tanpa mengambil kira beban kerja, kejadian serentak, atau kelewatan komunikasi semasa keadaan gangguan. IPL yang sah secara teori mungkin gagal secara operasi jika persekitaran bilik kawalan menjadi terlalu sesak.

Isu ini menjadi lebih ketara apabila loji berusaha untuk kadar pengeluaran lebih tinggi dengan model staf yang lebih cekap.

Keselamatan Fungsian Semakin Berpusatkan Manusia

Fasa seterusnya pembangunan keselamatan fungsian akan memberi tumpuan besar kepada interaksi manusia-mesin dan bukan hanya perkakasan. Rasionalisasi amaran, reka bentuk HMI ergonomik, dan sokongan keputusan operator kini mempengaruhi prestasi keselamatan sama seperti sensor dan penyelesai logik.

Seni bina SIS moden sudah mengintegrasikan diagnostik ramalan, kawalan penangguhan amaran, dan sistem panduan operator. Walau bagaimanapun, operator berpengalaman masih memberikan penilaian yang tidak dapat ditiru sepenuhnya oleh automasi semasa keadaan proses yang tidak pasti.

Trend industri jelas: automasi mengendalikan kelajuan dan konsistensi, manakala operator menyediakan penalaran adaptif semasa kejadian luar biasa.

Pendapat Pengarang

Banyak kajian SIL masih meremehkan kerumitan tingkah laku manusia semasa keadaan operasi luar biasa. Menetapkan andaian tindak balas operator yang optimistik mungkin mengurangkan kos projek pada awalnya, tetapi ia memperkenalkan risiko operasi tersembunyi.

Kemudahan yang mengejar kebolehpercayaan lebih tinggi harus menyimpan campur tangan manual untuk senario tindak balas panjang dan operasi permintaan rendah. Proses berkonsekuensi tinggi memerlukan tindakan perlindungan automatik yang disokong oleh prosedur operator yang berdisiplin, bukan bergantung kepada mereka.

Strategi keselamatan yang paling kukuh menggabungkan automasi, falsafah operasi yang jelas, pengurusan amaran yang realistik, dan pembangunan kompetensi operator secara berterusan.

Oliver Grant | Penganalisis Keselamatan Fungsian Kanan

Oliver Grant mempunyai lebih daripada 14 tahun pengalaman dalam kejuruteraan keselamatan proses, pengesahan SIL, dan integrasi sistem penutupan. Latar belakang beliau merangkumi projek kitar hayat keselamatan yang melibatkan platform Honeywell, Yokogawa, Emerson DeltaV, HIMA, dan Rockwell Automation di kemudahan penapisan, LNG, dan penjanaan kuasa.