Действия оператора и вмешательства в системах функциональной безопасности

Человеческий фактор по-прежнему формирует безопасность технологических процессов

Системы автоматизации продолжают развиваться на нефтеперерабатывающих заводах, электростанциях, химических установках и морских объектах. Тем не менее опытные операторы остаются одним из самых влиятельных факторов безопасности предприятия. Их решения могут остановить развитие аварийной ситуации до реакции автоматизации или непреднамеренно вызвать опасные технологические условия.

Современная инженерия функциональной безопасности больше не рассматривает взаимодействие человека как второстепенный фактор. Международные стандарты теперь определяют действия оператора как измеримые вкладчики в проверку SIL, расчёты LOPA и управление жизненным циклом безопасности.

Рисунок 1. Временные соотношения безопасности определяют, может ли реакция оператора эффективно предотвратить развитие ситуации.

Почему действия оператора важны при оценке SIL

Исследования функциональной безопасности различают действия оператора, создающие опасные условия, и вмешательства, предотвращающие их развитие. Это различие напрямую влияет на расчёты снижения риска и требуемые цели SIL.

На практике оператор диспетчерской может вызвать отклонение из-за неправильной последовательности работы клапанов, активации обхода или задержки реакции. С другой стороны, тот же оператор может служить защитным барьером, реагируя на сигналы тревоги или вручную инициируя процедуры остановки.

Эти сценарии кажутся похожими с операционной точки зрения, но внутри методологий IEC 61511 и CCPS LOPA они рассматриваются очень по-разному.

Действие оператора против вмешательства оператора

Действие оператора обычно является намеренным и процедурным. Оно может включать запуск оборудования, подтверждение разрешений или активацию команды аварийного отключения. Вмешательство обычно происходит после возникновения аномального состояния.

Например, нажатие на жёстко подключённую кнопку аварийного останова становится частью самой функции безопасности. Реагирование на сигнал тревоги о высокой температуре до развития неуправляемых условий может считаться независимым уровнем защиты.

Инженерная задача заключается в определении, существует ли достаточное время, независимость и надежность для реакции человека.

Когда человеческая ошибка становится инициирующим событием

IEC 61511 определяет инициирующее событие как отклонение, которое приводит процесс к опасному состоянию. Человеческая ошибка часто соответствует этому определению.

Неправильно открытый байпасный клапан, неправильное переопределение обслуживания или несоблюдение восстановления блокировок после тестирования могут все вызвать требования процесса к защитным системам.

В исследованиях LOPA эти действия получают частоту инициирующего события (IEF). Назначенная частота отражает, как часто конкретная человеческая ошибка может реально произойти во время работы объекта.

Надежность человека никогда не является постоянной

Производительность оператора меняется под воздействием стресса, усталости, плохого управления сигналами тревоги или высокой нагрузки. Из-за этой изменчивости в исследованиях безопасности применяются консервативные предположения о надежности человека.

Простые и хорошо отработанные процедуры могут иметь низкую частоту инициирования. Сложные вмешательства в условиях ненормальной эксплуатации получают значительно более высокие значения.

Рисунок 2. Действия человека влияют как на инициирующие события, так и на защитные реакции в рамках исследований безопасности.

Предприятия, использующие старые распределённые системы управления, часто сталкиваются с дополнительными рисками, связанными с человеческим фактором, из-за перегрузки сигналами тревоги и непоследовательных интерфейсов HMI. Многие объекты, обновляющие устаревшие платформы, теперь интегрируют современные DCS системы управления для улучшения приоритизации сигналов тревоги и видимости для оператора.

Могут ли операторы считаться независимыми слоями защиты?

Ручное вмешательство может квалифицироваться как IPL только при строгих условиях. Реакция должна оставаться независимой от инициирующей причины, происходить в пределах доступного времени безопасности процесса и следовать проверенным операционным процедурам.

Стандарты, такие как ISA TR84 и рекомендации CCPS, обычно ограничивают кредитование ручных IPL, поскольку человеческая производительность по своей природе непостоянна. Во многих объектах максимальный принятый коэффициент снижения риска для реакции оператора остается равным 10.

Время безопасности процесса определяет осуществимость

Доступное время безопасности процесса определяет, насколько реалистично вмешательство оператора. Если у операторов есть несколько минут для реакции на отклонение процесса, ручное вмешательство может оставаться приемлемым.

Если процесс достигает небезопасных условий за секунды, автоматизация становится обязательной. Ни одна реалистичная программа обучения не может гарантировать успешное ручное вмешательство в условиях крайне короткого времени реакции.

Это различие объясняет, почему высокоскоростные турбинные системы, приложения управления горелками и защита компрессоров все чаще зависят от выделенных платформ безопасности, а не только от процедурного вмешательства.

Действия ручного отключения внутри границ SIF

Многие инженеры ошибочно классифицируют действия ручного отключения как инициирующие события. На самом деле, преднамеренное аварийное отключение часто является частью самой SIF.

IEC 61511 четко указывает, что когда ручное действие инициирует функцию безопасности, все поддерживающие элементы входят в границы SIF. Это включает кнопки, проводку, логические решатели, процедуры оператора и требования к обучению.

Рассмотрим повышение давления в реакторе, обнаруженное до достижения порога автоматического отключения. Оператор может заметить аномальную утечку и вручную активировать отключение до эскалации.

В этой ситуации оператор не создает опасность. Его действие активно снижает риск и поэтому входит в проектирование функции безопасности.

Рисунок 3. Возможность ручного отключения часто работает как часть общей функции безопасности.

Объекты, использующие интегрированные контроллеры безопасности, такие как системы безопасности Triconex, часто внедряют выделенные проводные пути отключения для снижения зависимости от стандартных уровней управления процессом.

Связь действий человека с расчетами LOPA

Анализ LOPA преобразует операционные сценарии в числовые отношения риска. Частоты ошибок человека, производительность IPL и целевые частоты событий совместно определяют требуемую целостность SIF.

В практических проектах ошибки оператора часто определяют, как часто возникает защитный запрос. Системы безопасности затем обеспечивают необходимое снижение риска для достижения приемлемой частоты событий.

Рисунок 4. Действия человека влияют на частоту возникновения запросов и требуемые уровни целостности SIF.

Инженерная реальность внутри действующих предприятий

Реальные исследования безопасности редко терпят неудачу из-за математики. Они терпят неудачу, когда предположения о работе оператора становятся нереалистичными.

Инженеры иногда переоценивают качество реакции на сигналы тревоги, не учитывая нагрузку, одновременные события или задержки в коммуникации при аварийных условиях. Теоретически корректный IPL может не сработать на практике, если среда в диспетчерской перегружена.

Эта проблема стала более заметной по мере того, как предприятия стремятся к более высоким производственным показателям при сокращении численности персонала.

Функциональная безопасность становится всё более ориентированной на человека

Следующий этап развития функциональной безопасности будет сосредоточен на взаимодействии человека и машины, а не только на аппаратном обеспечении. Рационализация сигналов тревоги, эргономичный дизайн HMI и поддержка принятия решений оператором теперь влияют на безопасность так же сильно, как датчики и логические решатели.

Современные архитектуры SIS уже интегрируют предиктивную диагностику, управление отложенными сигналами тревоги и системы поддержки операторов. Однако опытные операторы по-прежнему принимают решения, которые автоматизация не может полностью воспроизвести в условиях неопределённости процесса.

Тенденция в отрасли ясна: автоматизация обеспечивает скорость и последовательность, а операторы — адаптивное мышление в нештатных ситуациях.

Мнение автора

Многие исследования SIL по-прежнему недооценивают сложность человеческого поведения в условиях аномальной работы. Оптимистичные предположения о реакции оператора могут снизить первоначальные затраты проекта, но вводят скрытый операционный риск.

Предприятия, стремящиеся к повышенной надёжности, должны оставлять ручное вмешательство для сценариев с длительным временем реакции и операций с низким уровнем требований. Процессы с высокими последствиями требуют автоматических защитных действий, поддерживаемых дисциплинированными процедурами операторов, а не зависящих от них.

Самые эффективные стратегии безопасности сочетают автоматизацию, чёткую операционную философию, реалистичное управление сигналами тревоги и постоянное развитие компетенций операторов.

Оливер Грант | Старший аналитик по функциональной безопасности

Оливер Грант имеет более 14 лет опыта в области инженерии безопасности процессов, верификации SIL и интеграции систем остановки. Его опыт включает проекты жизненного цикла безопасности с использованием платформ Honeywell, Yokogawa, Emerson DeltaV, HIMA и Rockwell Automation на предприятиях нефтепереработки, СПГ и энергетики.