Fonksiyonel Güvenlik Sistemlerinde Operatör Eylemleri ve Müdahaleleri

İnsan Unsuru Hâlâ Proses Güvenliğini Şekillendiriyor

Otomasyon sistemleri rafineriler, enerji santralleri, kimyasal birimler ve açık deniz tesislerinde gelişmeye devam ediyor. Ancak deneyimli operatörler, tesis güvenliğinde en etkili değişkenlerden biri olmaya devam ediyor. Kararları, otomasyon tepki vermeden önce tırmanmayı durdurabilir veya istemeden tehlikeli proses koşullarını tetikleyebilir.

Modern fonksiyonel güvenlik mühendisliği, insan etkileşimini artık ikincil bir husus olarak görmemektedir. Uluslararası standartlar, operatör eylemlerini SIL doğrulaması, LOPA hesaplamaları ve güvenlik yaşam döngüsü yönetimi içinde ölçülebilir katkılar olarak tanımlar.

Şekil 1. Güvenlik zamanlama ilişkileri, operatör tepkisinin tırmanmayı etkili şekilde önleyip önleyemeyeceğini belirler.

Neden Operatör Eylemleri SIL Değerlendirmelerinde Önemlidir

Fonksiyonel güvenlik çalışmaları, tehlikeli koşullar yaratan operatör eylemleri ile tırmanmayı önleyen müdahaleler arasında ayrım yapar. Bu ayrım, risk azaltma hesaplamalarını ve gereken SIL hedeflerini doğrudan etkiler.

Pratikte, bir kontrol odası operatörü yanlış vana sıralaması, baypas aktivasyonu veya gecikmeli tepki ile bir sapma başlatabilir. Öte yandan, aynı operatör alarmlara yanıt vererek veya manuel kapatma prosedürlerini başlatarak koruyucu bir bariyer görevi görebilir.

Bu senaryolar operasyonel olarak benzer görünür, ancak IEC 61511 ve CCPS LOPA metodolojileri içinde çok farklı şekilde ele alınır.

Operatör Eylemi ve Operatör Müdahalesi

Bir operatör eylemi genellikle kasıtlı ve prosedüre bağlıdır. Ekipmanı başlatmak, izinleri onaylamak veya acil kapatma komutunu etkinleştirmek gibi işlemleri içerebilir. Müdahale genellikle anormal bir durum geliştikten sonra gerçekleşir.

Örneğin, kablolu bir ESD butonuna basmak güvenlik fonksiyonunun bir parçası haline gelir. Kaçış koşulları gelişmeden önce yüksek sıcaklık alarmına yanıt vermek bağımsız bir koruma katmanı olarak değerlendirilebilir.

Mühendislik zorluğu, insan tepkisi için yeterli zaman, bağımsızlık ve güvenilirliğin olup olmadığını belirlemektir.

İnsan Hatası Başlatıcı Olay Olduğunda

IEC 61511, başlatıcı olayı, bir prosesi tehlikeli bir duruma doğru hareket ettiren sapma olarak tanımlar. İnsan hatası sıklıkla bu tanıma uyar.

Yanlış açılmış bir baypas valfi, uygunsuz bakım geçersiz kılma veya test sonrası kilitlemelerin geri yüklenmemesi, koruyucu sistemler üzerinde proses talepleri oluşturabilir.

LOPA çalışmalarında, bu eylemlere başlatıcı olay sıklığı (IEF) atanır. Atanan sıklık, belirli bir insan hatasının tesis işletimi sırasında ne sıklıkla gerçekçi olarak meydana gelebileceğini yansıtır.

İnsan Güvenilirliği Asla Sabit Değildir

Operatör performansı stres, yorgunluk, kötü alarm yönetimi veya yüksek iş yükü koşullarında değişir. Bu değişkenlik nedeniyle, güvenlik çalışmaları insan güvenilirliğine temkinli varsayımlar uygular.

Basit ve iyi uygulanan prosedürler düşük başlatıcı sıklıklara sahip olabilir. Anormal işletme koşullarında karmaşık müdahaleler ise çok daha yüksek değerlere sahiptir.

Şekil 2. İnsan eylemleri, güvenlik çalışmalarında hem başlatıcı olayları hem de koruyucu tepkileri etkiler.

Eski dağıtılmış kontrol sistemleri kullanan tesisler, alarm seli ve tutarsız HMI düzenleri nedeniyle ek insan faktörü riskleriyle karşılaşır. Birçok tesis, eski platformları yükseltirken alarm önceliklendirmesini ve operatör görünürlüğünü artırmak için modern DCS kontrol sistemleri entegre etmektedir.

Operatörler Bağımsız Koruma Katmanı Olarak Kredilendirilebilir mi?

Manuel müdahale yalnızca sıkı koşullar altında bir IPL olarak kabul edilebilir. Müdahale, başlatan nedenden bağımsız olmalı, mevcut proses güvenlik süresi içinde gerçekleşmeli ve doğrulanmış işletme prosedürlerine uygun olmalıdır.

ISA TR84 ve CCPS rehberliği gibi standartlar, insan performansının doğası gereği tutarsız olması nedeniyle genellikle manuel IPL kredilendirmesini sınırlar. Birçok tesiste, operatör müdahalesi için kabul edilen maksimum risk azaltma faktörü 10 olarak kalır.

Proses Güvenlik Süresi Uygulanabilirliği Belirler

Mevcut proses güvenlik süresi, operatör müdahalesinin gerçekçi olup olmadığını belirler. Operatörlerin bir proses sapmasına tepki vermek için birkaç dakikası varsa, manuel müdahale kabul edilebilir olabilir.

Proses saniyeler içinde güvensiz koşullara ulaşırsa, otomasyon zorunlu hale gelir. Hiçbir gerçekçi eğitim programı, çok kısa müdahale sürelerinde başarılı manuel müdahaleyi sürekli garanti edemez.

Bu ayrım, yüksek hızlı türbin sistemleri, brülör yönetimi uygulamaları ve kompresör korumasının giderek sadece prosedürel müdahaleye değil, özel güvenlik platformlarına dayandığını açıklar.

SIF Sınırları İçindeki Manuel Kapatma Eylemleri

Birçok mühendis manuel kapatma eylemlerini başlatıcı olaylar olarak yanlış sınıflandırır. Gerçekte, kasıtlı acil kapatma aktivasyonu genellikle SIF’in kendisinin bir parçasıdır.

IEC 61511, manuel eylem bir güvenlik fonksiyonunu başlattığında, her destekleyici unsurun SIF sınırları içinde olması gerektiğini açıkça belirtir. Bu, butonlar, kablolama, mantık çözücüler, operatör prosedürleri ve eğitim gereksinimlerini içerir.

Otomatik trip eşiğine ulaşılmadan önce bir reaktör basıncı artışı tespit edildiğini düşünün. Operatör anormal sızıntıyı fark edip tırmanmadan önce manuel olarak kapatmayı etkinleştirebilir.

Bu durumda, operatör tehlikeyi yaratmaz. Eylem aktif olarak riski azaltır ve bu nedenle güvenlik fonksiyonu tasarımının içinde yer alır.

Şekil 3. Manuel kapatma yeteneği genellikle genel güvenlik enstrümantasyon fonksiyonunun bir parçası olarak çalışır.

Triconex güvenlik sistemleri gibi entegre güvenlik kontrolörleri kullanan tesisler, standart proses kontrol katmanlarına olan bağımlılığı azaltmak için genellikle özel kablolu kapatma yolları uygular.

İnsan Eylemlerini LOPA Hesaplamalarına Bağlamak

LOPA analizi, operasyonel senaryoları sayısal risk ilişkilerine dönüştürür. İnsan hata sıklıkları, IPL performansı ve hedef olay sıklıkları birlikte SIF için gereken bütünlüğü belirler.

Pratik projelerde, operatör hataları genellikle koruyucu talebin ne sıklıkta gerçekleşeceğini belirler. Güvenlik sistemleri, kabul edilebilir tolere edilebilir olay sıklıklarına ulaşmak için gerekli risk azaltmasını sağlar.

Şekil 4. İnsan eylemleri, başlatıcı talep oranlarını ve gereken SIF bütünlük seviyelerini etkiler.

Tesislerde Mühendislik Gerçekliği

Gerçek dünya güvenlik çalışmaları nadiren sadece matematik nedeniyle başarısız olur. Başarısızlık, operatör performansı hakkındaki varsayımlar gerçekçi olmadığında ortaya çıkar.

Mühendisler bazen alarm yanıt kalitesini, iş yükü, eşzamanlı olaylar veya iletişim gecikmelerini dikkate almadan fazla tahmin ederler. Teorik olarak geçerli bir IPL, kontrol odası ortamı aşırı yüklendiğinde operasyonel olarak çökecektir.

Bu konu, tesisler daha az personelle daha yüksek üretim oranları hedefledikçe daha görünür hale gelmiştir.

Fonksiyonel Güvenlik Giderek İnsan Merkezli Oluyor

Fonksiyonel güvenliğin bir sonraki gelişim aşaması, yalnızca donanım değil, insan-makine etkileşimine yoğunlaşacaktır. Alarm rasyonalizasyonu, ergonomik HMI tasarımı ve operatör karar destek sistemleri artık sensörler ve mantık çözücüler kadar güvenlik performansını etkiler.

Modern SIS mimarileri zaten öngörücü tanılama, alarm erteleme kontrolü ve operatör rehberlik sistemlerini entegre etmektedir. Ancak deneyimli operatörler, belirsiz proses koşullarında otomasyonun tam olarak kopyalayamadığı yargıyı sağlar.

Endüstri eğilimi açıktır: otomasyon hız ve tutarlılığı sağlar, operatörler ise anormal olaylarda uyarlanabilir muhakeme sunar.

Yazar Görüşü

Birçok SIL çalışması, anormal işletme koşullarında insan davranışının karmaşıklığını hala hafife almaktadır. İyimser operatör tepki varsayımları atamak başlangıçta proje maliyetini düşürebilir, ancak gizli operasyonel riskler yaratır.

Daha yüksek güvenilirlik hedefleyen tesisler, manuel müdahaleyi uzun tepki süreli senaryolar ve düşük talep gerektiren işlemler için ayırmalıdır. Yüksek sonuçlu süreçler, disiplinli operatör prosedürleriyle desteklenen otomatik koruyucu eylem gerektirir; operatörlere bağımlı olmamalıdır.

En güçlü güvenlik stratejileri otomasyon, net işletme felsefesi, gerçekçi alarm yönetimi ve sürekli operatör yetkinliği geliştirmeyi birleştirir.

Oliver Grant | Kıdemli Fonksiyonel Güvenlik Analisti

Oliver Grant, proses güvenliği mühendisliği, SIL doğrulaması ve kapatma sistemi entegrasyonunda 14 yıldan fazla deneyime sahiptir. Geçmişi, rafineri, LNG ve enerji üretim tesislerinde Honeywell, Yokogawa, Emerson DeltaV, HIMA ve Rockwell Automation platformlarını içeren güvenlik yaşam döngüsü projelerini kapsamaktadır.