Sự can thiệp của người vận hành trong An toàn chức năng: Cân bằng giữa năng lực con người và tính toàn vẹn của hệ thống

Functional Safety, Industrial Automation, SIL Determination
Tháng 1 23, 2026

Operator Intervention in Functional Safety: Balancing Human Agency and System Integrity

Trong các nhà máy quy trình hiện đại, sự tương tác giữa người vận hành và hệ thống điều khiển tự động định hình bức tranh an toàn. Trong khi các hệ thống kỹ thuật số như PLC và DCS xử lý các công việc thường nhật, người vận hành cung cấp sự linh hoạt cần thiết cho việc ra quyết định phức tạp. Tuy nhiên, việc tích hợp hành động của con người vào an toàn chức năng đòi hỏi phải hiểu rõ khi nào người vận hành là yếu tố rủi ro hoặc là hàng rào bảo vệ.

Xác định Vai trò của Người Vận hành trong Quản lý Rủi ro

Các chuyên gia trong ngành thường dùng các thuật ngữ "hành động" và "can thiệp" thay thế cho nhau, nhưng chúng đại diện cho những khái niệm khác biệt trong phân tích an toàn. Hành động của người vận hành thường là bước chủ động trong một quy trình. Ngược lại, can thiệp của người vận hành là biện pháp phản ứng nhằm giảm thiểu nguy cơ đang phát triển.

Phân biệt rõ vai trò này rất quan trọng cho Phân tích Lớp Bảo vệ (LOPA) và xác định Mức Độ Toàn vẹn An toàn (SIL) cần thiết cho Chức năng Dụng cụ An toàn (SIF). Việc phân loại sai vai trò này dẫn đến tính toán sai hệ số giảm rủi ro (RRF), có thể khiến cơ sở không được bảo vệ đầy đủ.

Khi Sai sót của Con người Làm Khởi phát Sự cố

Theo IEC 61511, Sự kiện Khởi phát (IE) là bất kỳ lỗi nào đẩy quy trình vào trạng thái nguy hiểm. Khi người vận hành mắc lỗi, như mở nhầm van tay hoặc không tuân theo trình tự khởi động, họ trở thành nguồn phát sinh yêu cầu.

Trong đánh giá rủi ro định lượng, chúng ta gán Tần suất Sự kiện Khởi phát (IEF) cho các lỗi này. Dựa trên dữ liệu ngành từ CCPS và Exida, tần suất điển hình cho một lỗi nghiêm trọng do con người là 0,1 lần mỗi năm. Điều này có nghĩa kỹ sư an toàn dự kiến một yêu cầu do con người gây ra trên hệ thống an toàn mỗi thập kỷ. Vì hành động này gây ra nguy cơ, nó không thể được tính là lớp bảo vệ trong cùng một tình huống.

Tiêu chí cho Lớp Bảo vệ Độc lập Thủ công

Người vận hành có thể được công nhận là Lớp Bảo vệ Độc lập (IPL) nếu họ thành công trong việc ngắt chuỗi nguy cơ. Tuy nhiên, phải đáp ứng các tiêu chí nghiêm ngặt để được công nhận. Can thiệp phải độc lập, nghĩa là người phản ứng không được là người gây ra lỗi.

Hơn nữa, người vận hành phải có đủ Thời gian An toàn Quy trình (PST). Nếu một bình phản ứng đạt trạng thái nguy hiểm trong 30 giây, nhưng người vận hành cần 5 phút để đến van tay, yếu tố con người không giảm được rủi ro. Các tiêu chuẩn thường đề xuất can thiệp của người vận hành chỉ được tính là IPL hợp lệ nếu PST ít nhất từ 15 đến 20 phút, cho phép nhận biết cảnh báo và di chuyển thực tế.

Tích hợp Hành động Thủ công vào Chu trình SIF

Trong một số kiến trúc tự động hóa công nghiệp, Chức năng Dụng cụ An toàn (SIF) bao gồm thành phần khởi động thủ công, như công tắc "Tay - Tự động" hoặc nút nhấn Dừng Khẩn cấp (ESD). Theo IEC 61511-2, nếu cần hành động thủ công để kích hoạt SIF, người vận hành trở thành một phần của chu trình an toàn.

Trong bối cảnh này, nút nhấn, hệ thống dây điện, bộ xử lý logic và đào tạo người vận hành phải được xác nhận đồng thời. Độ tin cậy của SIF phụ thuộc vào Phân tích Độ tin cậy Con người (HRA). Nếu người vận hành không nhấn nút, toàn bộ SIF sẽ thất bại. Do đó, các SIF thủ công hiếm khi được xếp hạng cao hơn SIL 1 do sự biến đổi vốn có của hiệu suất con người dưới áp lực.

Tính Toán Mức SIL Mục tiêu Dựa trên Dữ liệu Người Vận hành

Trong các phép tính LOPA, chúng ta xác định PFD mục tiêu (Xác suất Thất bại khi Yêu cầu) cho SIF bằng cách đánh giá IEF và các IPL hiện có. Xem xét tình huống một bồn chứa bị tràn dẫn đến rò rỉ chất độc. Nếu IEF do lỗi người vận hành là 0,1/năm và tần suất sự kiện chấp nhận được (TEF) là 0,001/năm, hệ thống cần tổng Hệ số Giảm Rủi ro là 100.

Nếu cảnh báo mức cao cung cấp một IPL với PFD là 0,1, phần bảo vệ còn lại phải do SIF tự động đảm nhận. Phép tính ( $10^{-3} / (0.1 \times 0.1) = 0.1$ ) cho thấy cần một SIF SIL 1 để lấp đầy khoảng trống an toàn. Cách tiếp cận toán học này đảm bảo giới hạn của con người được tính đến một cách khách quan trong thiết kế nhà máy.

Nâng cao Độ tin cậy Con người Qua Thiết kế Giao diện Tốt hơn

Để tối đa hóa hiệu quả can thiệp của người vận hành, cần ưu tiên thiết kế công thái học phòng điều khiển. Thiết kế Giao diện Người-Máy (HMI) hiệu suất cao giảm tải nhận thức và ngăn ngừa "mệt mỏi cảnh báo". Khi DCS hiển thị quá nhiều cảnh báo ưu tiên thấp, người vận hành có thể bỏ lỡ tín hiệu quan trọng để ngăn thảm họa.

Nhận định của tác giả: Theo kinh nghiệm của tôi, hệ thống an toàn vững chắc nhất không tìm cách thay thế người vận hành mà là hỗ trợ họ. Trong khi tự động hóa vượt trội về tốc độ và sự nhất quán, nó thiếu "nhận thức tình huống" của người vận hành dày dạn kinh nghiệm. Do đó, mục tiêu của an toàn chức năng là tự động hóa các phản ứng nhanh trong khi cung cấp cho người vận hành dữ liệu rõ ràng, có thể hành động cho các xu hướng phát triển chậm hơn.