مداخله اپراتور در ایمنی عملکردی: تعادل بین نقش انسان و یکپارچگی سامانه

در کارخانه‌های فرآیندی مدرن، تعامل بین اپراتورهای انسانی و سامانه‌های کنترل خودکار، چارچوب ایمنی را شکل می‌دهد. در حالی که سامانه‌های دیجیتال مانند فناوری‌های PLC و DCS وظایف روزمره را انجام می‌دهند، اپراتورهای انسانی انعطاف‌پذیری لازم برای تصمیم‌گیری‌های پیچیده را فراهم می‌کنند. با این حال، ادغام عملکرد انسانی در ایمنی عملکردی نیازمند درک دقیق از زمانی است که اپراتور به عنوان عامل خطر یا سد حفاظتی عمل می‌کند.

تعریف نقش اپراتورها در مدیریت ریسک

متخصصان صنعت اغلب از واژه‌های «عمل» و «مداخله» به جای یکدیگر استفاده می‌کنند، اما این دو مفهوم در تحلیل ایمنی متفاوت هستند. عمل اپراتور معمولاً گامی پیشگیرانه در چارچوب یک روند است. در مقابل، مداخله اپراتور اقدامی واکنشی است که برای کاهش خطر در حال شکل‌گیری انجام می‌شود.

تمایز این نقش‌ها برای تحلیل لایه‌های حفاظتی (LOPA) و تعیین سطح یکپارچگی ایمنی (SIL) مورد نیاز برای عملکرد ابزار ایمنی (SIF) ضروری است. اشتباه در طبقه‌بندی این نقش‌ها منجر به محاسبات نادرست ضریب کاهش ریسک (RRF) می‌شود که ممکن است یک واحد را کم‌حفاظت باقی بگذارد.

زمانی که خطای انسانی به عنوان رویداد آغازگر عمل می‌کند

بر اساس استاندارد IEC 61511، رویداد آغازگر (IE) هر نقصی است که فرآیند را به سمت وضعیت خطرناک سوق می‌دهد. وقتی اپراتور اشتباهی مانند باز کردن شیر دستی اشتباه یا عدم پیروی از توالی راه‌اندازی انجام می‌دهد، او منبع درخواست ایمنی می‌شود.

در ارزیابی‌های کمی ریسک، به این خطاها فرکانس رویداد آغازگر (IEF) اختصاص داده می‌شود. بر اساس داده‌های صنعتی از CCPS و Exida، فرکانس معمول برای یک خطای انسانی مهم ۰.۱ در سال است. این بدان معناست که مهندسان ایمنی انتظار دارند هر ده سال یک بار تقاضای ناشی از خطای انسانی بر سامانه ایمنی وارد شود. از آنجا که این عمل باعث ایجاد خطر می‌شود، نمی‌توان آن را به عنوان لایه حفاظتی در همان سناریو در نظر گرفت.

معیارهای لایه‌های حفاظتی مستقل دستی

اپراتورها می‌توانند به عنوان لایه حفاظتی مستقل (IPL) شناخته شوند اگر بتوانند موفقانه یک توالی خطر را قطع کنند. اما برای دریافت این اعتبار، معیارهای سختگیرانه‌ای باید رعایت شود. مداخله باید مستقل باشد، یعنی فرد پاسخ‌دهنده نباید همان کسی باشد که خطا را ایجاد کرده است.

علاوه بر این، اپراتور باید زمان ایمنی فرآیند (PST) کافی داشته باشد. اگر یک راکتور در ۳۰ ثانیه به وضعیت بحرانی برسد، اما اپراتور برای رسیدن به شیر دستی پنج دقیقه نیاز داشته باشد، عنصر انسانی هیچ کاهش خطری ایجاد نمی‌کند. استانداردها معمولاً پیشنهاد می‌کنند که مداخله اپراتور تنها زمانی به عنوان IPL معتبر محسوب شود که زمان ایمنی فرآیند حداقل ۱۵ تا ۲۰ دقیقه باشد تا امکان شناسایی هشدار و حرکت فیزیکی فراهم شود.

ادغام اقدامات دستی در حلقه عملکرد ابزار ایمنی

در برخی ساختارهای اتوماسیون صنعتی، عملکرد ابزار ایمنی (SIF) شامل یک بخش شروع دستی است، مانند کلید «دستی-خودکار» یا دکمه توقف اضطراری (ESD). بر اساس IEC 61511-2، اگر برای فعال‌سازی SIF نیاز به اقدام دستی باشد، اپراتور بخشی از حلقه ایمنی محسوب می‌شود.

در این زمینه، دکمه فشاری، سیم‌کشی، حل‌کننده منطق و آموزش اپراتور باید همگی به صورت یکپارچه اعتبارسنجی شوند. قابلیت اطمینان SIF سپس به تحلیل قابلیت اطمینان انسانی (HRA) وابسته است. اگر اپراتور دکمه را فشار ندهد، کل SIF شکست می‌خورد. بنابراین، SIFهای دستی به ندرت رتبه‌ای بالاتر از SIL 1 دریافت می‌کنند به دلیل تغییرپذیری ذاتی عملکرد انسانی تحت فشار.

محاسبه سطح یکپارچگی ایمنی هدف با استفاده از داده‌های اپراتور

در محاسبات LOPA، سطح احتمال شکست در تقاضا (PFD) هدف برای یک SIF با ارزیابی IEF و IPLهای موجود تعیین می‌شود. سناریویی را در نظر بگیرید که پر شدن بیش از حد مخزن منجر به نشت سمی می‌شود. اگر IEF برای خطای اپراتور ۰.۱ در سال و فرکانس رویداد قابل تحمل (TEF) ۰.۰۰۱ در سال باشد، سیستم به ضریب کاهش ریسک کلی ۱۰۰ نیاز دارد.

اگر یک هشدار سطح بالا یک IPL با PFD برابر ۰.۱ فراهم کند، حفاظت باقی‌مانده باید توسط یک SIF خودکار انجام شود. محاسبه ($10^{-3} / (0.1 \times 0.1) = 0.1$) نشان می‌دهد که یک SIF با SIL 1 برای پر کردن شکاف ایمنی لازم است. این رویکرد ریاضی اطمینان می‌دهد که محدودیت‌های انسانی به صورت عینی در طراحی کارخانه لحاظ شده‌اند.

افزایش قابلیت اطمینان انسانی از طریق طراحی بهتر رابط کاربری

برای به حداکثر رساندن اثربخشی مداخله اپراتور، ارگونومی اتاق کنترل باید در اولویت قرار گیرد. طراحی رابط انسان-ماشین (HMI) با عملکرد بالا بار شناختی را کاهش داده و از «خستگی هشدار» جلوگیری می‌کند. وقتی DCS هشدارهای کم‌اهمیت زیادی ارائه می‌دهد، اپراتورها ممکن است سیگنال حیاتی برای جلوگیری از فاجعه را از دست بدهند.

دیدگاه نویسنده: بر اساس تجربه من، قوی‌ترین سامانه‌های ایمنی به دنبال جایگزینی اپراتور نیستند بلکه به حمایت از او می‌پردازند. در حالی که اتوماسیون در سرعت و یکنواختی برتری دارد، از «آگاهی موقعیتی» یک اپراتور باتجربه برخوردار نیست. بنابراین، هدف ایمنی عملکردی باید خودکارسازی واکنش‌های سریع باشد و در عین حال داده‌های واضح و قابل اقدام را برای روندهای کندتر در اختیار اپراتورها قرار دهد.