Въвеждане на операторска намеса във функционалната безопасност: Балансиране на човешката дейност и цялостта на системата

В съвременните производствени съоръжения взаимодействието между човешките оператори и автоматизираните системи за управление определя безопасността. Докато цифровите системи като PLC и DCS технологии изпълняват рутинни задачи, човешките оператори осигуряват гъвкавостта, необходима за вземане на сложни решения. Въпреки това, интегрирането на човешкото действие във функционалната безопасност изисква стриктно разбиране кога операторът е рисков фактор и кога е защитна бариера.

Определяне ролята на операторите в управлението на риска

Професионалистите в индустрията често използват термините „действие“ и „интервенция“ взаимозаменяемо, но те представляват различни понятия в анализа на безопасността. Действието на оператора обикновено е проактивна стъпка в рамките на процедура. Обратно, интервенцията на оператора е реактивна мярка, предприета за смекчаване на развиваща се опасност.

Разграничаването на тези роли е от съществено значение за анализа на слоевете на защита (LOPA) и определянето на необходимото ниво на безопасност (SIL) за защитна функция (SIF). Неправилното класифициране на тези роли води до неточни изчисления на коефициента за намаляване на риска (RRF), което може да остави съоръжението недостатъчно защитено.

Когато човешката грешка действа като инициатор на събитие

Според IEC 61511, инициатор на събитие (IE) е всяка неизправност, която тласка процеса към опасно състояние. Когато оператор допусне грешка, например отвори грешен ръчен вентил или не следва последователността за стартиране, той става източник на изискването.

В количествените оценки на риска на тези грешки се приписва честота на инициатор на събитие (IEF). Според данни от индустрията на CCPS и Exida, типичната честота за значителна човешка грешка е 0,1 на година. Това означава, че инженерите по безопасност очакват човешко предизвикано изискване към системата за безопасност веднъж на десетилетие. Тъй като това действие причинява опасността, то не може да се счита за защитен слой в същия сценарий.

Критерии за ръчни независими защитни слоеве

Операторите могат да бъдат признати като независим защитен слой (IPL), ако успешно прекъснат последователност на опасност. Въпреки това, трябва да се спазват строги критерии, за да се присъди този кредит. Интервенцията трябва да е независима, което означава, че лицето, което реагира, не може да е същото, което е причинило грешката.

Освен това операторът трябва да разполага с достатъчно време за безопасност на процеса (PST). Ако реакторът достига критично състояние за 30 секунди, а операторът се нуждае от пет минути, за да достигне ръчен вентил, човешкият фактор не осигурява никакво намаляване на риска. Стандартите обикновено препоръчват интервенцията на оператора да се счита за валиден IPL само ако наличното време за безопасност е поне 15 до 20 минути, което позволява разпознаване на алармата и физическо придвижване.

Интегриране на ръчните действия в цикъла на SIF

В някои архитектури на индустриална автоматизация защитната функция (SIF) включва ръчен компонент за задействане, като превключвател „Ръчно-Автоматично“ или бутон за аварийно спиране (ESD). Според IEC 61511-2, ако за задействане на SIF е необходимо ръчно действие, операторът става част от самия цикъл на безопасност.

В този контекст бутонът, окабеляването, логическият контролер и обучението на оператора трябва да бъдат валидирани заедно. Надеждността на SIF зависи от анализа на човешката надеждност (HRA). Ако операторът не натисне бутона, цялата SIF се проваля. Поради това ръчните SIF рядко получават оценка по-висока от SIL 1 заради присъщата променливост на човешкото изпълнение под стрес.

Изчисляване на целевото SIL с данни за оператора

В изчисленията на LOPA определяме целевата вероятност за отказ при изискване (PFD) за SIF, като оценяваме IEF и съществуващите IPL. Представете си сценарий, при който преливане на резервоар води до токсично изтичане. Ако IEF за човешка грешка е 0,1/година, а допустимата честота на събития (TEF) е 0,001/година, системата изисква общ коефициент за намаляване на риска 100.

Ако аларма с високо ниво осигурява един IPL с PFD 0,1, останалата защита трябва да се осигури от автоматизирана SIF. Изчислението ($10^{-3} / (0.1 \times 0.1) = 0.1$) показва, че е необходима SIF с ниво SIL 1, за да се запълни пропастта в безопасността. Този математически подход гарантира, че човешките ограничения се отчитат обективно при проектирането на съоръжението.

Подобряване на човешката надеждност чрез по-добър дизайн на интерфейса

За да се максимизира ефективността на интервенцията на оператора, ергономиката на контролната зала трябва да бъде приоритет. Висококачественият дизайн на човешко-машинния интерфейс (HMI) намалява когнитивното натоварване и предотвратява „умора от аларми“. Когато DCS показва твърде много нископриоритетни аларми, операторите могат да пропуснат критичния сигнал, необходим за предотвратяване на катастрофа.

Авторски поглед: По мое мнение, най-здравите системи за безопасност не се стремят да заменят оператора, а да го подкрепят. Докато автоматизацията превъзхожда по скорост и постоянство, тя няма „ситуационна осведоменост“ като опитния оператор. Затова целта на функционалната безопасност трябва да бъде автоматизиране на бързите реакции, като същевременно се предоставят на операторите ясни и приложими данни за по-бавно развиващи се тенденции.