Intervencija operatera u funkcionalnoj sigurnosti: uravnoteženje ljudske djelatnosti i cjelovitosti sustava

Functional Safety, Industrial Automation, SIL Determination
siječanj 23, 2026

Operator Intervention in Functional Safety: Balancing Human Agency and System Integrity

U suvremenim postrojenjima, interakcija između ljudskih operatera i automatiziranih sustava upravljanja određuje sigurnosni okvir. Dok digitalni sustavi poput PLC i DCS tehnologija obavljaju rutinske zadatke, ljudski operateri pružaju fleksibilnost potrebnu za složeno donošenje odluka. Međutim, integracija ljudske radnje u funkcionalnu sigurnost zahtijeva temeljito razumijevanje kada operater predstavlja čimbenik rizika, a kada zaštitnu barijeru.

Definiranje uloge operatera u upravljanju rizikom

Stručnjaci u industriji često koriste pojmove "radnja" i "intervencija" naizmjenično, no oni predstavljaju različite pojmove u analizi sigurnosti. Radnja operatera obično je proaktivan korak unutar postupka. Nasuprot tome, intervencija operatera je reaktivna mjera poduzeta za ublažavanje nastajuće opasnosti.

Razlikovanje ovih uloga ključno je za Analizu slojeva zaštite (LOPA) i određivanje potrebne razine sigurnosne cjelovitosti (SIL) za sigurnosnu instrumentiranu funkciju (SIF). Pogrešno klasificiranje ovih uloga dovodi do netočnih izračuna faktora smanjenja rizika (RRF), što može ostaviti postrojenje nedovoljno zaštićenim.

Kada ljudska pogreška djeluje kao inicirajući događaj

Prema IEC 61511, inicirajući događaj (IE) je bilo koji kvar koji gura proces prema opasnom stanju. Kada operater pogriješi, primjerice otvori pogrešan ručni ventil ili ne slijedi postupak pokretanja, on postaje izvor zahtjeva.

U kvantitativnim procjenama rizika dodjeljujemo frekvenciju inicirajućeg događaja (IEF) tim pogreškama. Na temelju industrijskih podataka CCPS-a i Exide, tipična frekvencija značajne ljudske pogreške je 0,1 godišnje. To znači da sigurnosni inženjeri očekuju zahtjev izazvan ljudskim faktorom na sigurnosni sustav jednom u deset godina. Budući da ta radnja uzrokuje opasnost, ne može se u istoj situaciji priznati kao sloj zaštite.

Kriteriji za ručne neovisne slojeve zaštite

Operateri se mogu priznati kao neovisni sloj zaštite (IPL) ako uspješno prekidaju slijed opasnosti. Međutim, moraju biti ispunjeni strogi uvjeti da bi se to priznalo. Intervencija mora biti neovisna, što znači da osoba koja reagira ne može biti ista osoba koja je uzrokovala pogrešku.

Osim toga, operater mora imati dovoljno vremena za sigurnost procesa (PST). Ako reaktor dosegne kritično stanje za 30 sekundi, a operateru treba pet minuta da dođe do ručnog ventila, ljudski čimbenik ne pruža nikakvo smanjenje rizika. Standardi općenito sugeriraju da se intervencija operatera smatra valjanim IPL-om samo ako je dostupno vrijeme za sigurnost procesa najmanje 15 do 20 minuta, što omogućuje prepoznavanje alarma i fizičko kretanje.

Integracija ručnih radnji u SIF krug

U nekim arhitekturama industrijske automatizacije, sigurnosna instrumentirana funkcija (SIF) uključuje ručni element pokretanja, poput prekidača "Ručni-Auto" ili tipke za hitno zaustavljanje (ESD). Prema IEC 61511-2, ako je za aktivaciju SIF-a potrebna ručna radnja, operater postaje dio sigurnosnog kruga.

U tom kontekstu, tipka, ožičenje, logički upravljač i obuka operatera moraju se svi zajedno potvrditi. Pouzdanost SIF-a tada ovisi o analizi pouzdanosti čovjeka (HRA). Ako operater ne pritisne tipku, cijeli SIF ne uspijeva. Stoga se ručnim SIF-ovima rijetko dodjeljuje ocjena viša od SIL 1 zbog inherentne promjenjivosti ljudske izvedbe pod stresom.

Izračun ciljanog SIL-a pomoću podataka o operateru

U LOPA izračunima određujemo ciljanu vjerojatnost kvara na zahtjev (PFD) za SIF procjenom IEF-a i postojećih IPL-ova. Razmotrimo scenarij u kojem prepun spremnika dovodi do otrovnog curenja. Ako je IEF za pogrešku operatera 0,1/god i prihvatljiva frekvencija događaja (TEF) 0,001/god, sustav zahtijeva ukupni faktor smanjenja rizika od 100.

Ako visoki alarm pruža jedan IPL s PFD-om od 0,1, preostalu zaštitu mora osigurati automatizirani SIF. Izračun ( $10^{-3} / (0.1 \times 0.1) = 0.1$ ) pokazuje da je potreban SIL 1 SIF za premošćivanje sigurnosnog jaza. Ovaj matematički pristup osigurava da se ljudska ograničenja objektivno uzimaju u obzir u dizajnu postrojenja.

Poboljšanje pouzdanosti čovjeka boljim dizajnom sučelja

Da bi se maksimizirala učinkovitost intervencije operatera, ergonomija upravljačke sobe mora biti prioritet. Dizajn visokoučinkovitog HMI-ja (sučelje čovjek-stroj) smanjuje kognitivno opterećenje i sprječava "zamor od alarma". Kada DCS prikazuje previše alarma niskog prioriteta, operateri mogu propustiti kritični signal potreban za sprječavanje katastrofe.

Autorov uvid: Iz vlastitog iskustva, najsnažniji sigurnosni sustavi ne nastoje zamijeniti operatera, već ga podržati. Dok automatizacija briljira u brzini i dosljednosti, nedostaje joj "svijest o situaciji" iskusnog operatera. Stoga bi cilj funkcionalne sigurnosti trebao biti automatizirati brze reakcije, dok se operaterima pružaju jasni, djelotvorni podaci za sporije razvijajuće se trendove.