Intervencija operatera u funkcionalnoj bezbednosti: Balansiranje ljudske volje i integriteta sistema

Functional Safety, Industrial Automation, SIL Determination
%Б %д, %И

Operator Intervention in Functional Safety: Balancing Human Agency and System Integrity

U savremenim postrojenjima, interakcija između ljudskih operatera i automatizovanih sistema upravljanja određuje bezbednosni okvir. Dok digitalni sistemi poput PLC i DCS tehnologija obavljaju rutinske zadatke, ljudski operateri pružaju fleksibilnost potrebnu za složeno donošenje odluka. Međutim, integrisanje ljudske akcije u funkcionalnu bezbednost zahteva temeljno razumevanje kada operater predstavlja faktor rizika, a kada zaštitnu barijeru.

Definisanje uloge operatera u upravljanju rizikom

Stručnjaci iz industrije često koriste termine „akcija“ i „intervencija“ naizmenično, ali oni predstavljaju različite pojmove u analizi bezbednosti. Akcija operatera je obično proaktivan korak unutar procedure. Nasuprot tome, intervencija operatera je reaktivna mera preduzeta da ublaži nastajući rizik.

Razlikovanje ovih uloga je ključno za Analizu slojeva zaštite (LOPA) i određivanje potrebnog nivoa integriteta bezbednosti (SIL) za funkciju bezbednosnog instrumenta (SIF). Pogrešno klasifikovanje ovih uloga dovodi do netačnih proračuna faktora smanjenja rizika (RRF), što može ostaviti postrojenje nedovoljno zaštićenim.

Kada ljudska greška deluje kao inicirajući događaj

Prema IEC 61511, inicirajući događaj (IE) je bilo koji kvar koji gura proces ka opasnom stanju. Kada operater napravi grešku, kao što je otvaranje pogrešnog ručnog ventila ili nepoštovanje sekvence pokretanja, on postaje izvor zahteva.

U kvantitativnim procenama rizika, ovim greškama dodeljujemo učestalost inicirajućeg događaja (IEF). Na osnovu podataka iz industrije od CCPS i Exida, tipična učestalost značajne ljudske greške je 0,1 godišnje. To znači da inženjeri bezbednosti očekuju zahtev izazvan ljudskim faktorom jednom u deset godina. Pošto ova akcija izaziva opasnost, ne može se smatrati zaštitnim slojem u istom scenariju.

Kriterijumi za ručne nezavisne zaštitne slojeve

Operateri mogu biti priznati kao nezavisni zaštitni sloj (IPL) ako uspešno prekinu lanac opasnosti. Međutim, moraju biti ispunjeni strogi uslovi da bi se dobio ovaj kredit. Intervencija mora biti nezavisna, što znači da osoba koja reaguje ne može biti ista koja je izazvala grešku.

Dalje, operater mora imati dovoljno vremena za bezbednosnu reakciju (PST). Ako reaktor dostigne kritično stanje za 30 sekundi, a operateru treba pet minuta da stigne do ručnog ventila, ljudski faktor ne pruža nikakvo smanjenje rizika. Standardi uglavnom sugerišu da se intervencija operatera računa kao važeći IPL samo ako je dostupno vreme za bezbednosnu reakciju najmanje 15 do 20 minuta, što omogućava prepoznavanje alarma i fizičko kretanje.

Integrisanje ručnih akcija u SIF krug

U nekim arhitekturama industrijske automatizacije, funkcija bezbednosnog instrumenta (SIF) uključuje ručni element pokretanja, kao što je prekidač „Ručni-Auto“ ili dugme za hitno zaustavljanje (ESD). Prema IEC 61511-2, ako je potrebna ručna akcija za pokretanje SIF-a, operater postaje deo samog bezbednosnog kruga.

U tom kontekstu, dugme, ožičenje, logički upravljač i obuka operatera moraju se svi zajedno potvrditi. Pouzdanost SIF-a tada zavisi od analize ljudske pouzdanosti (HRA). Ako operater ne pritisne dugme, ceo SIF ne uspeva. Zbog toga se ručni SIF retko ocenjuje višim od SIL 1 zbog inherentne promenljivosti ljudskog učinka pod stresom.

Izračunavanje ciljanog SIL-a korišćenjem podataka o operateru

U LOPA proračunima određujemo ciljnu verovatnoću kvara na zahtev (PFD) za SIF procenom IEF i postojećih IPL-ova. Razmotrite scenario u kojem preliv rezervoara dovodi do toksičnog curenja. Ako je IEF za grešku operatera 0,1/god i prihvatljiva učestalost događaja (TEF) 0,001/god, sistem zahteva ukupni faktor smanjenja rizika od 100.

Ako alarm visokog nivoa obezbeđuje jedan IPL sa PFD od 0,1, preostalu zaštitu mora obezbediti automatizovani SIF. Proračun ( $10^{-3} / (0.1 \times 0.1) = 0.1$ ) pokazuje da je potreban SIF sa SIL 1 da se premosti bezbednosni jaz. Ovaj matematički pristup osigurava da se ljudska ograničenja objektivno uzimaju u obzir u dizajnu postrojenja.

Poboljšanje ljudske pouzdanosti kroz bolji dizajn upravljačkog interfejsa

Da bi se maksimizirala efikasnost intervencije operatera, ergonomija kontrolne sobe mora biti prioritet. Dizajn visokokvalitetnog HMI (čovek-mašina interfejs) smanjuje kognitivno opterećenje i sprečava „zamor od alarma“. Kada DCS prikazuje previše alarma niskog prioriteta, operateri mogu propustiti kritični signal potreban za sprečavanje katastrofe.

Autorov uvid: Po mom iskustvu, najsnažniji sistemi bezbednosti ne nastoje da zamene operatera, već da ga podrže. Dok automatizacija briljira u brzini i doslednosti, nedostaje joj „svest o situaciji“ iskusnog operatera. Stoga cilj funkcionalne bezbednosti treba da bude automatizacija brzih reakcija uz pružanje operaterima jasnih, upotrebljivih podataka za sporije razvijajuće se trendove.