Az üzemeltető beavatkozása a funkcionális biztonságban: az emberi cselekvőképesség és a rendszer épségének egyensúlya

Functional Safety, Industrial Automation, SIL Determination
január 23, 2026

Operator Intervention in Functional Safety: Balancing Human Agency and System Integrity

A mai korszerű üzemekben az emberi kezelők és az automatizált vezérlőrendszerek közötti együttműködés határozza meg a biztonság helyzetét. Míg a digitális rendszerek, mint a PLC és DCS technológiák a rutinfeladatokat végzik, az emberi kezelők biztosítják a rugalmasságot a bonyolult döntéshozatalhoz. Azonban az emberi beavatkozás beillesztése a funkcionális biztonságba alapos megértést igényel arról, mikor tekinthető a kezelő kockázati tényezőnek vagy védelmi akadálynak.

A kezelők szerepének meghatározása a kockázatkezelésben

Az ipari szakemberek gyakran használják felcserélve az „intézkedés” és „beavatkozás” kifejezéseket, pedig ezek eltérő fogalmak a biztonsági elemzésben. A kezelői intézkedés általában egy előrelátó lépés egy eljáráson belül. Ezzel szemben a kezelői beavatkozás egy reaktív intézkedés, amely a kialakuló veszély csökkentésére irányul.

E szerepek megkülönböztetése elengedhetetlen a Védelmi Réteg Elemzéshez (LOPA) és a Biztonsági Integritási Szint (SIL) meghatározásához egy Biztonsági Működési Funkció (SIF) esetén. E szerepek téves besorolása pontatlan kockázatcsökkentési tényező (RRF) számításokhoz vezet, ami alulvédelemhez vezethet az üzem területén.

Amikor az emberi hiba kezdeti eseményként lép fel

Az IEC 61511 szerint a Kezdeti Esemény (IE) bármely olyan meghibásodás, amely a folyamatot veszélyes állapot felé tolja. Ha a kezelő hibázik, például rossz kézi szelepet nyit meg vagy nem követi az indítási sorrendet, ő válik a követelmény forrásává.

A mennyiségi kockázatértékelések során ezekhez a hibákhoz Kezdeti Esemény Gyakoriságot (IEF) rendelünk. A CCPS és Exida ipari adatai alapján egy jelentős emberi hiba tipikus gyakorisága évente 0,1. Ez azt jelenti, hogy a biztonsági mérnökök egy emberi eredetű követelményt várnak a biztonsági rendszeren nagyjából tízévente egyszer. Mivel ez az intézkedés okozza a veszélyt, ugyanabban a helyzetben nem számítható védelmi rétegnek.

Kézi független védelmi rétegek kritériumai

A kezelők független védelmi rétegként (IPL) elismerhetők, ha sikeresen megszakítanak egy veszélyes eseménysorozatot. Azonban szigorú feltételeknek kell megfelelniük ehhez a jogosultsághoz. A beavatkozásnak függetlennek kell lennie, vagyis a beavatkozó személy nem lehet ugyanaz, aki a hibát okozta.

Továbbá a kezelőnek elegendő Folyamatbiztonsági Idővel (PST) kell rendelkeznie. Ha egy reaktor kritikus állapotba kerül 30 másodperc alatt, de a kezelőnek öt perc kell, hogy elérjen egy kézi szelepet, az emberi tényező nem nyújt kockázatcsökkentést. Az előírások általában azt javasolják, hogy a kezelői beavatkozás csak akkor számítson érvényes IPL-nek, ha a rendelkezésre álló PST legalább 15-20 perc, ami lehetővé teszi a riasztás felismerését és a fizikai mozgást.

Kézi intézkedések beillesztése a SIF körfolyamatba

Néhány ipari automatizálási rendszerben a Biztonsági Működési Funkció (SIF) tartalmazhat kézi indító elemet, például „Kézi-Auto-Átadás” kapcsolót vagy vészleállító (ESD) nyomógombot. Az IEC 61511-2 szerint, ha a SIF elindításához kézi beavatkozás szükséges, a kezelő maga is a biztonsági kör részévé válik.

Ebben az összefüggésben a nyomógombot, a vezetékezést, a logikai vezérlőt és a kezelő képzését együttesen kell érvényesíteni. A SIF megbízhatósága így az Emberi Megbízhatósági Elemzéstől (HRA) függ. Ha a kezelő nem nyomja meg a gombot, az egész SIF meghibásodik. Emiatt a kézi SIF-ek ritkán kapnak SIL 1-nél magasabb besorolást az emberi teljesítmény stressz alatti változékonysága miatt.

Célzott SIL kiszámítása kezelői adatok alapján

LOPA számítások során a SIF célzott PFD-jét (Kérésre Bekövetkező Meghibásodás Valószínűsége) az IEF és a meglévő IPL-ek alapján határozzuk meg. Vegyünk egy olyan esetet, amikor egy tartály túlfolyása mérgező szivárgáshoz vezet. Ha a kezelői hiba IEF-je 0,1/év, és a megengedett eseménygyakoriság (TEF) 0,001/év, akkor a rendszernek összesen 100-as kockázatcsökkentési tényezőre van szüksége.

Ha egy magas szintű riasztás egy IPL-t biztosít 0,1-es PFD-vel, a fennmaradó védelmet egy automatizált SIF-nek kell ellátnia. A számítás ( $10^{-3} / (0.1 \times 0.1) = 0.1$ ) azt mutatja, hogy egy SIL 1-es SIF szükséges a biztonsági rés áthidalásához. Ez a matematikai megközelítés biztosítja, hogy az emberi korlátokat objektíven vegyék figyelembe az üzem tervezésekor.

Az emberi megbízhatóság növelése jobb kezelőfelület-tervezéssel

Az operátori beavatkozás hatékonyságának maximalizálásához a kezelőterem ergonómiáját kell előtérbe helyezni. A magas színvonalú ember-gép felület (HMI) tervezés csökkenti a szellemi terhelést és megelőzi a „riasztási fáradtságot”. Ha egy DCS túl sok alacsony prioritású riasztást jelenít meg, a kezelők elmulaszthatják a kritikus jelet, amely a katasztrófa megelőzéséhez szükséges.

Szerzői meglátás: Tapasztalatom szerint a legerősebb biztonsági rendszerek nem a kezelő helyettesítésére törekszenek, hanem annak támogatására. Míg az automatizálás gyorsaságban és következetességben jeleskedik, hiányzik belőle a tapasztalt kezelő „helyzetfelismerő képessége”. Ezért a funkcionális biztonság célja az legyen, hogy a gyors reagálásokat automatizálja, miközben a kezelők számára világos, cselekvésre ösztönző adatokat biztosít a lassabban kialakuló folyamatokhoz.