• صفحه اصلی
  • اخبار
  • مداخله اپراتور در ایمنی عملکردی: تعادل بین نقش انسان و یکپارچگی سامانه

مداخله اپراتور در ایمنی عملکردی: تعادل بین نقش انسان و یکپارچگی سامانه

Operator Intervention in Functional Safety: Balancing Human Agency and System Integrity

در کارخانه‌های فرآیندی مدرن، تعامل بین اپراتورهای انسانی و سامانه‌های کنترل خودکار، چارچوب ایمنی را شکل می‌دهد. در حالی که سامانه‌های دیجیتال مانند فناوری‌های PLC و DCS وظایف روزمره را انجام می‌دهند، اپراتورهای انسانی انعطاف‌پذیری لازم برای تصمیم‌گیری‌های پیچیده را فراهم می‌کنند. با این حال، ادغام عملکرد انسانی در ایمنی عملکردی نیازمند درک دقیق از زمانی است که اپراتور به عنوان عامل خطر یا سد حفاظتی عمل می‌کند.

تعریف نقش اپراتورها در مدیریت ریسک

متخصصان صنعت اغلب از واژه‌های «عمل» و «مداخله» به جای یکدیگر استفاده می‌کنند، اما این دو مفهوم در تحلیل ایمنی متفاوت هستند. عمل اپراتور معمولاً گامی پیشگیرانه در چارچوب یک روند است. در مقابل، مداخله اپراتور اقدامی واکنشی است که برای کاهش خطر در حال شکل‌گیری انجام می‌شود.

تمایز این نقش‌ها برای تحلیل لایه‌های حفاظتی (LOPA) و تعیین سطح یکپارچگی ایمنی (SIL) مورد نیاز برای عملکرد ابزار ایمنی (SIF) ضروری است. اشتباه در طبقه‌بندی این نقش‌ها منجر به محاسبات نادرست ضریب کاهش ریسک (RRF) می‌شود که ممکن است یک واحد را کم‌حفاظت باقی بگذارد.

زمانی که خطای انسانی به عنوان رویداد آغازگر عمل می‌کند

بر اساس استاندارد IEC 61511، رویداد آغازگر (IE) هر نقصی است که فرآیند را به سمت وضعیت خطرناک سوق می‌دهد. وقتی اپراتور اشتباهی مانند باز کردن شیر دستی اشتباه یا عدم پیروی از توالی راه‌اندازی انجام می‌دهد، او منبع درخواست ایمنی می‌شود.

در ارزیابی‌های کمی ریسک، به این خطاها فرکانس رویداد آغازگر (IEF) اختصاص داده می‌شود. بر اساس داده‌های صنعتی از CCPS و Exida، فرکانس معمول برای یک خطای انسانی مهم ۰.۱ در سال است. این بدان معناست که مهندسان ایمنی انتظار دارند هر ده سال یک بار تقاضای ناشی از خطای انسانی بر سامانه ایمنی وارد شود. از آنجا که این عمل باعث ایجاد خطر می‌شود، نمی‌توان آن را به عنوان لایه حفاظتی در همان سناریو در نظر گرفت.

معیارهای لایه‌های حفاظتی مستقل دستی

اپراتورها می‌توانند به عنوان لایه حفاظتی مستقل (IPL) شناخته شوند اگر بتوانند موفقانه یک توالی خطر را قطع کنند. اما برای دریافت این اعتبار، معیارهای سختگیرانه‌ای باید رعایت شود. مداخله باید مستقل باشد، یعنی فرد پاسخ‌دهنده نباید همان کسی باشد که خطا را ایجاد کرده است.

علاوه بر این، اپراتور باید زمان ایمنی فرآیند (PST) کافی داشته باشد. اگر یک راکتور در ۳۰ ثانیه به وضعیت بحرانی برسد، اما اپراتور برای رسیدن به شیر دستی پنج دقیقه نیاز داشته باشد، عنصر انسانی هیچ کاهش خطری ایجاد نمی‌کند. استانداردها معمولاً پیشنهاد می‌کنند که مداخله اپراتور تنها زمانی به عنوان IPL معتبر محسوب شود که زمان ایمنی فرآیند حداقل ۱۵ تا ۲۰ دقیقه باشد تا امکان شناسایی هشدار و حرکت فیزیکی فراهم شود.

ادغام اقدامات دستی در حلقه عملکرد ابزار ایمنی

در برخی ساختارهای اتوماسیون صنعتی، عملکرد ابزار ایمنی (SIF) شامل یک بخش شروع دستی است، مانند کلید «دستی-خودکار» یا دکمه توقف اضطراری (ESD). بر اساس IEC 61511-2، اگر برای فعال‌سازی SIF نیاز به اقدام دستی باشد، اپراتور بخشی از حلقه ایمنی محسوب می‌شود.

در این زمینه، دکمه فشاری، سیم‌کشی، حل‌کننده منطق و آموزش اپراتور باید همگی به صورت یکپارچه اعتبارسنجی شوند. قابلیت اطمینان SIF سپس به تحلیل قابلیت اطمینان انسانی (HRA) وابسته است. اگر اپراتور دکمه را فشار ندهد، کل SIF شکست می‌خورد. بنابراین، SIFهای دستی به ندرت رتبه‌ای بالاتر از SIL 1 دریافت می‌کنند به دلیل تغییرپذیری ذاتی عملکرد انسانی تحت فشار.

محاسبه سطح یکپارچگی ایمنی هدف با استفاده از داده‌های اپراتور

در محاسبات LOPA، سطح احتمال شکست در تقاضا (PFD) هدف برای یک SIF با ارزیابی IEF و IPLهای موجود تعیین می‌شود. سناریویی را در نظر بگیرید که پر شدن بیش از حد مخزن منجر به نشت سمی می‌شود. اگر IEF برای خطای اپراتور ۰.۱ در سال و فرکانس رویداد قابل تحمل (TEF) ۰.۰۰۱ در سال باشد، سیستم به ضریب کاهش ریسک کلی ۱۰۰ نیاز دارد.

اگر یک هشدار سطح بالا یک IPL با PFD برابر ۰.۱ فراهم کند، حفاظت باقی‌مانده باید توسط یک SIF خودکار انجام شود. محاسبه ($10^{-3} / (0.1 \times 0.1) = 0.1$) نشان می‌دهد که یک SIF با SIL 1 برای پر کردن شکاف ایمنی لازم است. این رویکرد ریاضی اطمینان می‌دهد که محدودیت‌های انسانی به صورت عینی در طراحی کارخانه لحاظ شده‌اند.

افزایش قابلیت اطمینان انسانی از طریق طراحی بهتر رابط کاربری

برای به حداکثر رساندن اثربخشی مداخله اپراتور، ارگونومی اتاق کنترل باید در اولویت قرار گیرد. طراحی رابط انسان-ماشین (HMI) با عملکرد بالا بار شناختی را کاهش داده و از «خستگی هشدار» جلوگیری می‌کند. وقتی DCS هشدارهای کم‌اهمیت زیادی ارائه می‌دهد، اپراتورها ممکن است سیگنال حیاتی برای جلوگیری از فاجعه را از دست بدهند.

دیدگاه نویسنده: بر اساس تجربه من، قوی‌ترین سامانه‌های ایمنی به دنبال جایگزینی اپراتور نیستند بلکه به حمایت از او می‌پردازند. در حالی که اتوماسیون در سرعت و یکنواختی برتری دارد، از «آگاهی موقعیتی» یک اپراتور باتجربه برخوردار نیست. بنابراین، هدف ایمنی عملکردی باید خودکارسازی واکنش‌های سریع باشد و در عین حال داده‌های واضح و قابل اقدام را برای روندهای کندتر در اختیار اپراتورها قرار دهد.

بازگشت به وبلاگ
نمایش همه
پست های وبلاگ
نمایش همه
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

چرا حسگرهای RTD باید در پایین‌دست صفحات اوریفیس نصب شوند

نصب یک RTD در بالادست صفحه اوریفیس باعث اختلال در خوانش فشار تفاضلی به دلیل ایجاد گردابه‌های ترموول می‌شود. این مقاله فیزیک خیابان گردابه فون کارمان، الزامات نصب در پایین‌دست طبق استانداردهای ISO 5167 و ASME MFC-3M، قانون حداقل فاصله ۵D، تطابق فرکانس بیدار شدن ترموول و یک روش نصب ۷ مرحله‌ای برای مجموعه‌های ترکیبی صفحه اوریفیس و RTD را توضیح می‌دهد.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

فلومتر ورتکس: اصول کار، معیارهای انتخاب و راه‌اندازی میدانی

یک فلومتر گردابی بر اساس اصل ریزش گرداب فون کارمان عمل می‌کند و دقت بلندمدت عالی در خدمات بخار، گاز و مایعات با ویسکوزیته پایین بدون قطعات متحرک ارائه می‌دهد. این راهنما شامل فیزیک عدد استروهال، محدودیت‌های عدد رینولدز، اندازه‌گیری فلومتر، نیازهای مسیر مستقیم برای ABB VortexMaster FSV430 و مراحل راه‌اندازی میدانی برای یکپارچه‌سازی فرمان‌دهنده توربین Woodward است.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

سیم‌کشی ترموکوپل، استانداردها و عیب‌یابی: راهنمای عملی میدانی

اندازه‌گیری دقیق ترموکوپل نیازمند انتخاب نوع صحیح، سیم توسعه هماهنگ و جبران اتصال سرد قابل اعتماد است. این راهنما شامل کدهای نوع IEC 60584 و دامنه‌های کاربردی، انتخاب سیم توسعه و کابل جبران‌کننده، ترمینال‌های Phoenix Contact WTOP CJC، پیکربندی Yokogawa YTA110 CJC و تشخیص سیستماتیک خطا برای مدار باز، اتصال کوتاه و انحراف کالیبراسیون می‌باشد.
لیست محصولات پیشنهادی
کارت شارم ایزوله امرسون KL3105X1-LS1 12P6551X032
کارت شارم ایزوله امرسون KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
ماژول ورودی آنالوگ هارت امبرسون DeltaV KL3021X1-LS1، جریان 4–20 میلی‌آمپر
ماژول ورودی آنالوگ هارت امبرسون DeltaV KL3021X1-LS1، جریان 4–20 میلی‌آمپر

Emerson
امرسون DeltaV KL3003X1-BA1 ماژول CHARM ورودی دیجیتال 24 ولت DC تماس خشک
امرسون DeltaV KL3003X1-BA1 ماژول CHARM ورودی دیجیتال 24 ولت DC تماس خشک

Emerson
ماژول ورودی دیجیتال ایزوله امرسون DeltaV KL3005X1-LS1
ماژول ورودی دیجیتال ایزوله امرسون DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | امرسون دلتاوی | ترمینال آدرس I.S. CHARM
KL4510X1-EA1 | امرسون دلتاوی | ترمینال آدرس I.S. CHARM

Emerson
ترمینال بلاک ایمنی امرسون دلتاوی مدل CHARM شماره قطعه: KL4510X1-DA1
ترمینال بلاک ایمنی امرسون دلتاوی مدل CHARM شماره قطعه: KL4510X1-DA1

Emerson
ماژول توان CSLS امرسون DeltaV KL1501X1-BA1
ماژول توان CSLS امرسون DeltaV KL1501X1-BA1

Emerson
KL3003X1-LS1 | امرسون دلتاوی | LS DI 24 ولت جریان مستقیم تماس خشک CHARM
KL3003X1-LS1 | امرسون دلتاوی | LS DI 24 ولت جریان مستقیم تماس خشک CHARM

Emerson
ماژول CHARM ورودی RTD/مقاومت امرسون KL3031X1-BA1
ماژول CHARM ورودی RTD/مقاومت امرسون KL3031X1-BA1

Emerson
ماژول PLC میکرو سری 90 مدل GE Fanuc IC693UAA003
ماژول PLC میکرو سری 90 مدل GE Fanuc IC693UAA003

GE
ماژول خروجی منطق مثبت GE Fanuc RX3i IC694MDL730 12/24VDC
ماژول خروجی منطق مثبت GE Fanuc RX3i IC694MDL730 12/24VDC

GE