فصل ۱۲. ایمنی فرایند و پایش موانع ایمنی:بخش اول

1. مقدمه: چرا ایمنی فرایند در پایش HSE جایگاهی مستقل دارد؟

1.1. ایمنی فرایند؛ موضوعی فراتر از کاهش حوادث فردی

در بسیاری از سازمان‌ها، وقتی از عملکرد HSE سخن گفته می‌شود، ذهن‌ها به‌سرعت به سوی شاخص‌هایی مانند نرخ حوادث ثبت‌شده، روزهای از دست‌رفته، آسیب‌های شغلی، یا تعداد شبه‌حوادث می‌رود. این شاخص‌ها مهم‌اند و نباید ارزش آن‌ها را نادیده گرفت؛ اما تجربه تاریخی صنایع پرخطر نشان داده است که سازمان ممکن است سال‌ها در شاخص‌های ایمنی شغلی عملکردی قابل قبول داشته باشد، ولی هم‌زمان در معرض یک رخداد فرایندی فاجعه‌بار قرار گیرد. این همان نقطه‌ای است که مفهوم «ایمنی فرایند» اهمیت مستقلی پیدا می‌کند.

ایمنی فرایند به مدیریت خطرات ناشی از رهاسازی ناخواسته انرژی، مواد خطرناک، فشار، دما، واکنش‌های شیمیایی، اشتعال، انفجار، نشت، فروریزش کنترل فرایندی، و شکست تجهیزات بحرانی مربوط است. در اینجا مسئله صرفاً این نیست که فردی دچار آسیب شده یا نشده است؛ بلکه پرسش اصلی آن است که آیا سیستم توانسته است شرایط فرایندی خطرناک را در محدوده‌های قابل قبول نگه دارد یا خیر. به همین دلیل، ایمنی فرایند مستقیماً با طراحی، بهره‌برداری، نگهداشت، کنترل تغییر، صلاحیت فنی، سامانه‌های حفاظتی و کیفیت تصمیم‌های مدیریتی پیوند دارد.

حوادث بزرگ صنعتی مانند Flixborough در 1974، Bhopal در 1984، Piper Alpha در 1988، Texas City در 2005، Buncefield در 2005، Deepwater Horizon در 2010 و برخی رخدادهای اخیر در صنایع شیمیایی و نفت و گاز، نشان داده‌اند که فاجعه‌های فرایندی معمولاً حاصل یک خطای منفرد نیستند. آن‌ها پیامد فرسایش تدریجی موانع، عادی‌شدن انحرافات، ضعف در یادگیری سازمانی، و ناکارآمدی نظام کنترل هستند (Hopkins, 2000, 2008; Leveson, 2011; Reason, 1997). از این رو، اگر پایش HSE بخواهد واقعاً پیش‌نگر باشد، باید بتواند سلامت موانع ایمنی را پیش از حادثه بسنجد.

1.2. هدف فصل و جایگاه آن در کتاب

در فصل‌های پیشین، پایش عملکرد HSE از منظر شاخص‌ها، داده‌ها، سیستم‌ها، فرهنگ ایمنی، تصمیم‌گیری و مدل‌های دینامیکی بررسی شد. در این فصل، تمرکز من بر یکی از مهم‌ترین قلمروهای تخصصی HSE است: ایمنی فرایند و پایش موانع ایمنی. هدف این فصل آن است که نشان دهد چگونه می‌توان از سطح گزارش رخدادها فراتر رفت و به ارزیابی منظم موانعی پرداخت که قرار است از وقوع حوادث بزرگ جلوگیری کنند یا پیامدهای آن‌ها را کاهش دهند.

در این فصل، ابتدا تفاوت ایمنی فرایند با ایمنی شغلی توضیح داده می‌شود. سپس مفهوم مانع ایمنی، انواع موانع، مدل‌های تحلیلی، شاخص‌های پیشرو و پسرو، مدیریت یکپارچگی موانع، و نقش عوامل انسانی و سازمانی بررسی خواهد شد. تأکید اصلی فصل بر این نکته است که «مانع» فقط یک تجهیز فنی نیست؛ بلکه یک کارکرد کنترلی است که برای مؤثر بودن، به طراحی مناسب، عملکرد قابل اعتماد، نگهداشت، آزمون، صلاحیت انسانی و حمایت مدیریتی نیاز دارد.

.

2. مبانی ایمنی فرایند و تمایز آن از ایمنی شغلی

2.1. تعریف ایمنی فرایند

Center for Chemical Process Safety ایمنی فرایند را چارچوبی برای پیشگیری از حوادث مرتبط با مواد خطرناک، انرژی‌های کنترل‌نشده و فرایندهای صنعتی تعریف می‌کند که می‌توانند به آتش‌سوزی، انفجار، رهاسازی سمی، آسیب گسترده به افراد، خسارت زیست‌محیطی و اختلال جدی در کسب‌وکار منجر شوند (CCPS, 2007, 2011). این تعریف نشان می‌دهد که ایمنی فرایند، بیشتر با رویدادهای کم‌تکرار اما پرپیامد سروکار دارد.

در مقابل، ایمنی شغلی معمولاً بر پیشگیری از آسیب‌های فردی ناشی از سقوط، بریدگی، برخورد، لغزش، برق‌گرفتگی، ارگونومی نامناسب یا رفتارهای ناایمن تمرکز دارد. البته این دو حوزه از هم جدا نیستند؛ بسیاری از فعالیت‌های عملیاتی هم‌زمان واجد ریسک شغلی و ریسک فرایندی‌اند. اما خطای رایج آن است که سازمان، موفقیت در کاهش آسیب‌های شغلی را نشانه کنترل کافی ایمنی فرایند تلقی کند. این برداشت، خطرناک و از نظر تحلیلی ناکافی است.

Baker Panel که پس از حادثه پالایشگاه Texas City تشکیل شد، به‌روشنی تأکید کرد که اتکای بیش از حد به شاخص‌های ایمنی فردی می‌تواند مدیران را نسبت به ریسک‌های فرایندی کور کند (Baker et al., 2007). همین نکته در تحلیل‌های Hopkins (2008) نیز دیده می‌شود: سازمان‌هایی که خود را «ایمن» می‌دانستند، گاه دقیقاً به دلیل اتکا به شاخص‌های نامناسب، نشانه‌های ضعف در ایمنی فرایند را ندیده بودند.

2.2. ویژگی‌های ریسک فرایندی

ریسک‌های فرایندی چند ویژگی دارند که پایش آن‌ها را دشوارتر از بسیاری از ریسک‌های شغلی می‌کند. نخست آنکه رخدادهای فرایندی بزرگ معمولاً کم‌تکرارند؛ بنابراین نمی‌توان صرفاً با اتکا به داده‌های حادثه، وضعیت واقعی ریسک را فهمید. دوم آنکه پیامدهای آن‌ها می‌تواند بسیار گسترده باشد و فراتر از مرزهای سازمان، جامعه، محیط زیست و اعتبار شرکت را تحت تأثیر قرار دهد. سوم آنکه شکل‌گیری این رخدادها اغلب تدریجی است؛ یعنی پیش از حادثه، مجموعه‌ای از انحرافات کوچک، نقص‌های نگهداری، هشدارهای نادیده‌گرفته‌شده و تصمیم‌های مدیریتی به‌ظاهر عادی رخ داده‌اند.

Kletz (2001, 2009) در آثار کلاسیک خود بارها نشان داد که بسیاری از حوادث بزرگ، نه به دلیل ناشناخته بودن خطر، بلکه به علت فراموشی سازمانی، ساده‌سازی بیش از حد، و تکرار خطاهای شناخته‌شده رخ داده‌اند. این مشاهده برای پایش HSE اهمیت فراوان دارد. اگر خطرات اصلی شناخته شده‌اند، پرسش کلیدی این است: آیا موانعی که برای کنترل آن‌ها طراحی شده‌اند هنوز وجود دارند، کار می‌کنند، آزمون می‌شوند و در تصمیم‌های مدیریتی جدی گرفته می‌شوند؟

2.3. از مدیریت حادثه به مدیریت کنترل

در ایمنی فرایند، تمرکز اصلی نباید فقط بر «حادثه رخ‌داده» باشد، بلکه باید بر «کنترل‌های حیاتی پیش از حادثه» قرار گیرد. این تغییر نگاه، از نظر مدیریتی بسیار مهم است. سازمانی که فقط پس از حادثه یاد می‌گیرد، همواره یک گام عقب‌تر از خطر حرکت می‌کند. اما سازمانی که موانع خود را پایش می‌کند، می‌تواند پیش از تبدیل ضعف‌ها به فاجعه، مداخله کند.

در اینجا پایش موانع ایمنی به‌عنوان پلی میان مدیریت ریسک و مدیریت عملیات عمل می‌کند. ارزیابی ریسک، خطرات اصلی و سناریوهای بحرانی را مشخص می‌کند؛ اما پایش موانع نشان می‌دهد که کنترل‌های تعریف‌شده در عمل تا چه اندازه مؤثرند. به بیان دیگر، ریسک روی کاغذ با ریسک در میدان تفاوت دارد، و این تفاوت دقیقاً همان جایی است که پایش موانع باید آن را آشکار کند.

.

3. منطق موانع ایمنی: از پیشگیری تا کاهش پیامد

3.1. مانع ایمنی چیست؟

مانع ایمنی را می‌توان هر سازوکار فنی، انسانی، سازمانی یا رویه‌ای دانست که از وقوع یک رویداد ناخواسته جلوگیری می‌کند، احتمال آن را کاهش می‌دهد، یا پیامدهای آن را محدود می‌سازد. در این تعریف، مانع فقط یک تجهیز فیزیکی مانند شیر اطمینان، سیستم قطع اضطراری یا دیواره ضدحریق نیست؛ بلکه می‌تواند یک رویه کاری، مجوز کار، کنترل تغییر، آموزش، صلاحیت اپراتور، بازرسی فنی، آلارم، طراحی ذاتاً ایمن، یا حتی تصمیم مدیریتی درباره توقف تولید در شرایط نامطمئن باشد.

Sklet (2006) در مرور مهم خود درباره موانع ایمنی، نشان می‌دهد که طبقه‌بندی موانع بسته به سنت‌های تحلیلی متفاوت است، اما در همه طبقه‌بندی‌ها یک اصل مشترک وجود دارد: مانع باید کارکردی مشخص در کنترل سناریوی حادثه داشته باشد. بنابراین، صرف وجود یک تجهیز یا رویه به‌خودی‌خود کافی نیست. باید معلوم باشد آن مانع در برابر کدام خطر، در چه مرحله‌ای، با چه معیار عملکردی و با چه سطح قابلیت اطمینانی به کار می‌آید.

3.2. موانع پیشگیرانه و کاهنده پیامد

از منظر سناریوی حادثه، موانع را می‌توان به دو گروه کلی تقسیم کرد: موانع پیشگیرانه و موانع کاهنده پیامد. موانع پیشگیرانه قبل از رخداد اصلی عمل می‌کنند و هدفشان جلوگیری از وقوع رویداد آغازگر یا جلوگیری از تشدید آن است. برای مثال، کنترل سطح مخزن، سیستم interlock، کنترل کیفیت ماده ورودی، پایش خوردگی، مدیریت تغییر، و محدودیت‌های عملیاتی نمونه‌هایی از موانع پیشگیرانه‌اند.

در مقابل، موانع کاهنده پیامد پس از شروع رخداد وارد عمل می‌شوند و هدفشان محدود کردن دامنه آسیب است. سیستم اطفای حریق، flare، vent، bund، دیواره انفجاری، برنامه واکنش اضطراری، سیستم اعلام حریق و تخلیه اضطراری نمونه‌هایی از این موانع‌اند. در صنایع پرخطر، هر دو نوع مانع ضروری‌اند؛ اما از نظر فلسفه ایمنی، پیشگیری معمولاً بر واکنش ترجیح دارد. این اصل با مفهوم طراحی ذاتاً ایمن نیز همسوست که توسط Kletz (1998) برجسته شد: بهترین مانع آن است که خطر را از اساس حذف یا کمینه کند، نه آنکه صرفاً پس از رها شدن خطر با آن مقابله کند.

3.3. موانع مستقل، وابسته و مشترک‌علت

یکی از ظرافت‌های مهم در مدیریت موانع، فهم استقلال یا وابستگی آن‌هاست. در تحلیل‌های ساده، گاه فرض می‌شود که اگر چند مانع در یک سناریو وجود دارد، سیستم به همان نسبت ایمن‌تر شده است. اما در عمل، موانع ممکن است تحت تأثیر علت‌های مشترک شکست قرار گیرند. برای مثال، یک خطای طراحی، ضعف در نگهداشت، قطع برق، فشار تولید، یا صلاحیت ناکافی کارکنان می‌تواند هم‌زمان چند مانع را تضعیف کند.

این موضوع در تحلیل قابلیت اطمینان سامانه‌های حفاظتی بسیار مهم است. Rausand و Høyland (2004) نشان می‌دهند که محاسبه قابلیت اطمینان بدون توجه به شکست‌های وابسته و مشترک‌علت می‌تواند تصویری بیش از حد خوش‌بینانه از ایمنی ارائه دهد. به همین دلیل، پایش موانع نباید فقط تعداد موانع را بشمارد، بلکه باید کیفیت، استقلال، آزمون‌پذیری و آسیب‌پذیری مشترک آن‌ها را نیز ارزیابی کند.

3.4. عملکرد مانع؛ سه پرسش کلیدی

برای هر مانع ایمنی باید بتوان به سه پرسش پاسخ داد. نخست، مانع قرار است چه کاری انجام دهد؟ این پرسش به کارکرد ایمنی مربوط است. دوم، مانع تا چه اندازه باید خوب عمل کند؟ این پرسش به معیار عملکردی، قابلیت اطمینان، سرعت پاسخ، ظرفیت، دوام و پوشش مانع مربوط می‌شود. سوم، چگونه می‌دانیم مانع هنوز کار می‌کند؟ این پرسش به پایش، آزمون، بازرسی، نگهداشت و اعتبارسنجی مربوط است.

بسیاری از ضعف‌های ایمنی فرایند زمانی پدید می‌آیند که سازمان فقط به پرسش اول پاسخ داده است. یعنی می‌داند یک مانع برای چه طراحی شده، اما نمی‌داند سطح عملکرد لازم چیست یا چگونه باید زوال آن را تشخیص دهد. در چنین حالتی، مانع در اسناد وجود دارد، اما در واقعیت عملیاتی ممکن است ضعیف، دورزده، ناکارآمد یا نامطمئن باشد.

.

4. مدل‌های تحلیلی در مدیریت موانع ایمنی

4.1. مدل پنیر سوئیسی و محدودیت‌های آن

مدل پنیر سوئیسی Reason (1997) یکی از شناخته‌شده‌ترین مدل‌ها برای توضیح دفاع‌های چندلایه در برابر حادثه است. در این مدل، هر لایه دفاعی دارای شکاف‌هایی است و حادثه زمانی رخ می‌دهد که شکاف‌های چند لایه به‌گونه‌ای هم‌راستا شوند که مسیر خطر تا پیامد نهایی باز شود. ارزش آموزشی این مدل بسیار بالاست، زیرا به‌خوبی نشان می‌دهد که حادثه معمولاً حاصل شکست هم‌زمان چند دفاع است.

با این حال، اگر این مدل بیش از حد ساده تفسیر شود، ممکن است سازمان را به این تصور برساند که کافی است لایه‌های بیشتری اضافه شود. در حالی که مسئله اصلی، کیفیت، استقلال، قابلیت اطمینان و مدیریت زوال لایه‌هاست. افزون بر این، مدل پنیر سوئیسی ممکن است پویایی‌های سازمانی، بازخوردها، فشارهای اقتصادی و تغییرات تدریجی را به‌اندازه کافی آشکار نکند. از همین رو، در پایش پیشرفته موانع، این مدل باید با رویکردهای مکمل مانند Bow-Tie، LOPA، تحلیل سیستم‌های ایمنی، و مدل‌های اجتماعی-فنی ترکیب شود.

4.2. Bow-Tie؛ زبان مشترک برای سناریو و مانع

مدل Bow-Tie یکی از کاربردی‌ترین ابزارها برای نمایش سناریوهای حادثه و موانع مرتبط با آن‌هاست. در این مدل، رویداد مرکزی یا Top Event در مرکز قرار می‌گیرد؛ سمت چپ مدل تهدیدها و موانع پیشگیرانه را نشان می‌دهد و سمت راست آن پیامدها و موانع کاهنده پیامد را نمایش می‌دهد. این ساختار ساده، برای گفت‌وگوی میان مدیران، متخصصان HSE، عملیات، نگهداشت و پیمانکاران بسیار مفید است.

مزیت مهم Bow-Tie آن است که ریسک را از حالت عددی و انتزاعی خارج می‌کند و به صورت یک داستان فنی-عملیاتی قابل فهم درمی‌آورد. برای مثال، در سناریوی سرریز یک مخزن حاوی ماده قابل اشتعال، تهدیدها می‌توانند خطای اندازه‌گیری سطح، خرابی کنترلر، ورود بیش از ظرفیت، یا ضعف در عملیات تخلیه باشند. موانع پیشگیرانه شامل آلارم سطح بالا، interlock، رویه عملیاتی، آموزش اپراتور و محدودیت نرخ انتقال می‌شود. در سمت پیامد نیز موانعی مانند containment، سیستم اطفا، آشکارساز گاز، فاصله‌گذاری ایمن و برنامه واکنش اضطراری مطرح‌اند.

با وجود این مزایا، Bow-Tie نیز زمانی ارزشمند است که به یک سند زنده تبدیل شود، نه یک نمودار زیبا برای گزارش. CCPS (2018) تأکید می‌کند که Bow-Tie باید با داده‌های واقعی آزمون، بازرسی، ممیزی و رخدادهای عملیاتی تغذیه شود. اگر این ارتباط برقرار نشود، نمودار Bow-Tie به‌تدریج از واقعیت فاصله می‌گیرد.

4.3. LOPA و ارزیابی کفایت لایه‌های حفاظتی

Layer of Protection Analysis یا LOPA روشی نیمه‌کمی برای ارزیابی کفایت لایه‌های حفاظتی مستقل است. در این روش، فراوانی رویداد آغازگر، احتمال شکست لایه‌های حفاظتی مستقل و پیامدهای نهایی بررسی می‌شود تا مشخص شود آیا ریسک با معیارهای سازمانی قابل قبول است یا خیر (CCPS, 2001). LOPA به‌ویژه در تصمیم‌گیری درباره نیاز به سامانه‌های instrumented safety و تعیین سطح یکپارچگی ایمنی یا SIL کاربرد دارد.

نکته مهم در LOPA مفهوم Independent Protection Layer است. لایه حفاظتی مستقل باید قادر باشد سناریو را به‌طور مؤثر قطع کند، از سایر لایه‌ها مستقل باشد، قابل آزمون باشد، و قابلیت اطمینان آن قابل اثبات باشد. در عمل، بسیاری از کنترل‌هایی که در ابتدا «لایه حفاظتی» نامیده می‌شوند، پس از بررسی دقیق واجد شرایط استقلال یا قابلیت اطمینان کافی نیستند. اینجاست که LOPA به سازمان کمک می‌کند میان کنترل‌های ادعایی و کنترل‌های معتبر تمایز بگذارد.

4.4. سامانه‌های instrumented safety و استانداردهای عملکردی

در صنایع فرایندی، سامانه‌های instrumented safety مانند Safety Instrumented Systems نقش حیاتی در جلوگیری از رخدادهای شدید دارند. استانداردهای IEC 61508 و IEC 61511 چارچوب مهمی برای طراحی، پیاده‌سازی، بهره‌برداری، نگهداشت و مدیریت چرخه عمر این سامانه‌ها ارائه می‌کنند (International Electrotechnical Commission, 2010, 2016). این استانداردها بر مفهوم چرخه عمر ایمنی تأکید دارند؛ یعنی ایمنی یک سامانه حفاظتی تنها به طراحی اولیه وابسته نیست، بلکه در طول بهره‌برداری، آزمون، تغییر، نگهداشت و بازنگری نیز باید حفظ شود.

در پایش موانع، این استانداردها اهمیت عملی دارند، زیرا نشان می‌دهند که برای یک مانع instrumented باید معیارهایی مانند احتمال شکست در هنگام تقاضا، دوره آزمون، پوشش آزمون، نرخ خرابی، bypass، proof test، مدیریت تغییر و صلاحیت کارکنان پایش شود. به بیان ساده، اگر یک سیستم قطع اضطراری هرگز به‌درستی آزمون نشود، یا bypassهای آن کنترل نشوند، وجود آن روی نقشه‌های فرایندی تضمین‌کننده ایمنی نیست.

.

5. شاخص‌های ایمنی فرایند و پایش عملکرد موانع

5.1. چرا شاخص‌های سنتی کافی نیستند؟

شاخص‌های سنتی HSE معمولاً بر رخدادهای ثبت‌شده تمرکز دارند. این شاخص‌ها برای تحلیل گذشته مفیدند، اما در ایمنی فرایند با محدودیت جدی روبه‌رو هستند. رخدادهای فرایندی بزرگ کم‌تکرارند؛ بنابراین ممکن است سال‌ها هیچ حادثه مهمی رخ ندهد، در حالی که موانع حیاتی به‌تدریج تضعیف شده باشند. به همین دلیل، نبود حادثه الزاماً به معنای وجود ایمنی نیست.

OECD (2008) و CCPS (2011) هر دو بر اهمیت شاخص‌های پیشرو و پسرو در ایمنی فرایند تأکید کرده‌اند. شاخص‌های پسرو رخدادهایی را نشان می‌دهند که قبلاً اتفاق افتاده‌اند؛ مانند نشت مواد خطرناک، فعال شدن سیستم‌های اضطراری، آتش‌سوزی، انفجار، یا شکست containment. شاخص‌های پیشرو، در مقابل، وضعیت کنترل‌های حیاتی را پیش از حادثه می‌سنجند؛ مانند درصد آزمون‌های انجام‌شده در موعد مقرر، تعداد bypassهای باز، وضعیت تجهیزات بحرانی، کیفیت مدیریت تغییر، یا میزان انطباق با محدودیت‌های عملیاتی.

5.2. چارچوب‌های شاخص‌گذاری ایمنی فرایند

پس از حوادث بزرگ دهه‌های اخیر، چارچوب‌های متعددی برای شاخص‌های ایمنی فرایند توسعه یافت. API Recommended Practice 754 یکی از مهم‌ترین چارچوب‌هاست که رخدادهای ایمنی فرایند را در چند سطح طبقه‌بندی می‌کند؛ از رخدادهای شدید و قابل گزارش تا شاخص‌های مرتبط با انضباط عملیاتی و عملکرد سامانه‌های مدیریتی (American Petroleum Institute, 2021). این رویکرد کمک می‌کند سازمان فقط به رخدادهای بزرگ توجه نکند، بلکه نشانه‌های ضعیف‌تر و پیش‌درآمدهای خطر را نیز ثبت کند.

CCPS نیز در راهنمای شاخص‌های پیشرو و پسرو، بر ضرورت پیوند دادن شاخص‌ها با ریسک‌های اصلی سازمان تأکید می‌کند (CCPS, 2011). به نظر من، این نکته بسیار مهم است. شاخص خوب، شاخصی نیست که صرفاً قابل اندازه‌گیری باشد؛ بلکه باید به یک خطر عمده، یک مانع حیاتی یا یک تصمیم مدیریتی مرتبط باشد. اگر شاخص‌ها زیاد باشند ولی به تصمیم منتهی نشوند، سیستم پایش به تولید گزارش تبدیل می‌شود، نه مدیریت ریسک.

5.3. شاخص‌های پیشرو برای موانع ایمنی

شاخص‌های پیشرو در پایش موانع باید وضعیت سلامت، آمادگی و قابلیت اتکای موانع را نشان دهند. برای نمونه، در مورد سیستم‌های ایمنی instrumented، شاخص‌هایی مانند درصد proof testهای انجام‌شده، تعداد آزمون‌های ناموفق، مدت‌زمان bypass، تعداد overrideهای تأییدنشده، نرخ خرابی آشکار و پنهان، و زمان اصلاح عیوب اهمیت دارند. در مورد موانع مکانیکی، شاخص‌هایی مانند وضعیت خوردگی، نتایج بازرسی ضخامت، تأخیر در نگهداشت تجهیزات بحرانی، وضعیت شیرهای اطمینان و سلامت سیستم containment مهم‌اند.

برای موانع انسانی و سازمانی، شاخص‌ها ظریف‌ترند. نمونه‌هایی از این شاخص‌ها عبارت‌اند از کیفیت permit to work، درصد تکمیل اقدامات مدیریت تغییر، نتایج ممیزی انضباط عملیاتی، میزان انحراف از operating envelope، کیفیت shift handover، صلاحیت افراد در نقش‌های بحرانی، و وضعیت اقدامات اصلاحی ناشی از درس‌آموخته‌ها. این شاخص‌ها به‌ظاهر نرم‌ترند، اما در بسیاری از حوادث بزرگ، ضعف در همین موانع نقش تعیین‌کننده داشته است (Hopkins, 2012; Vaughan, 1996).

5.4. شاخص‌های پسرو و رخدادهای هشداردهنده

شاخص‌های پسرو در ایمنی فرایند نباید فقط به حوادث بزرگ محدود شوند. نشت‌های کوچک، فعال شدن ناخواسته سیستم‌های حفاظتی، overpressureهای کنترل‌شده، خروج از محدوده عملیاتی، tripهای فرایندی، آلارم‌های بحرانی، fire and gas detection، و شکست containment همگی می‌توانند نشانه‌هایی از ضعف در کنترل باشند. اگر سازمان این رخدادها را صرفاً «اختلال عملیاتی» بداند، فرصت یادگیری را از دست می‌دهد.

در این زمینه، مفهوم near miss در ایمنی فرایند اهمیت خاصی دارد. یک شبه‌حادثه فرایندی، رخدادی است که می‌توانست در صورت شکست یک مانع دیگر به پیامد جدی منجر شود. بنابراین، ارزش آن در این است که ساختار دفاعی سیستم را آشکار می‌کند. تحلیل چنین رخدادهایی باید بر این متمرکز باشد که کدام موانع عمل کردند، کدام موانع شکست خوردند، کدام موانع اصلاً وجود نداشتند، و چرا سیستم به نقطه تقاضا از مانع رسیده بود.

5.5. دشواری تفسیر شاخص‌ها

شاخص‌های ایمنی فرایند نیازمند تفسیر حرفه‌ای‌اند. افزایش تعداد نشت‌های کوچک ممکن است نشانه بدتر شدن وضعیت تجهیزات باشد؛ اما ممکن است ناشی از بهبود فرهنگ گزارش‌دهی نیز باشد. کاهش tripها ممکن است نشان‌دهنده پایداری بهتر فرایند باشد؛ اما ممکن است ناشی از bypass شدن سیستم‌ها یا تغییر آستانه‌های هشدار باشد. بنابراین، هیچ شاخصی به‌تنهایی نباید مبنای قضاوت قطعی قرار گیرد.

در اینجا نقش تحلیل چندشاخصی مهم می‌شود. مدیران باید روندها، همبستگی‌ها، زمینه عملیاتی، تغییرات اخیر، و کیفیت داده‌ها را هم‌زمان ببینند. پایش موانع، اگر درست طراحی شود، به جای ارائه یک عدد ساده، نوعی «تصویر تشخیصی» از سلامت ایمنی فرایند فراهم می‌کند.

.

6. مدیریت یکپارچگی موانع: طراحی، اجرا، نگهداشت و آزمون

6.1. چرخه عمر مانع

هر مانع ایمنی یک چرخه عمر دارد: شناسایی نیاز، طراحی، نصب یا استقرار، راه‌اندازی، بهره‌برداری، آزمون، نگهداشت، اصلاح، و در نهایت بازنگری یا حذف. ضعف در هر مرحله می‌تواند کارکرد مانع را تضعیف کند. برای مثال، یک شیر اطمینان ممکن است از نظر طراحی مناسب باشد، اما اگر برنامه آزمون آن رعایت نشود یا پس از تعمیر به‌درستی نصب نشود، در زمان نیاز عمل نخواهد کرد.

مدیریت یکپارچگی موانع یعنی سازمان مطمئن شود که موانع حیاتی در کل چرخه عمر خود قابل اعتماد باقی می‌مانند. این مفهوم با رویکرد asset integrity و process safety management پیوند نزدیکی دارد. Energy Institute (2016) در راهنماهای خود بر این نکته تأکید می‌کند که مدیریت موانع باید در سیستم‌های عملیاتی، نگهداشت، صلاحیت، مدیریت تغییر و تضمین عملکرد ادغام شود.

6.2. تعیین عملکرد مورد انتظار مانع

برای هر مانع حیاتی باید performance standard تعریف شود. این استاندارد معمولاً شامل کارکرد، معیارهای عملکرد، محدوده کاربرد، قابلیت اطمینان، زمان پاسخ، ظرفیت، الزامات آزمون، مسئولیت مالکیت، و معیارهای پذیرش است. برای مثال، اگر مانع مورد نظر «سیستم آشکارساز گاز» باشد، باید مشخص شود چه گازی را در چه غلظتی، در چه زمانی، با چه سطح پوششی، در چه ناحیه‌ای و با چه اقدام خودکاری تشخیص می‌دهد.

بدون استاندارد عملکرد، آزمون و پایش مانع مبهم می‌شود. سازمان ممکن است اعلام کند که مانع موجود است، اما نتواند بگوید آیا آن مانع در سطح لازم کار می‌کند یا خیر. این ضعف در بسیاری از ممیزی‌های ایمنی فرایند مشاهده می‌شود: فهرستی از کنترل‌ها وجود دارد، اما معیار سنجش کارآمدی آن‌ها روشن نیست.

6.3. آزمون، بازرسی و نگهداشت موانع

آزمون و نگهداشت موانع باید ریسک‌محور باشد. همه موانع اهمیت یکسان ندارند و همه تجهیزات نیز نیازمند دوره‌های آزمون مشابه نیستند. موانعی که در سناریوهای با پیامد بالا نقش حیاتی دارند، باید با دقت بیشتری پایش شوند. در حوزه نگهداشت، رویکردهای reliability-centered maintenance و risk-based inspection به سازمان کمک می‌کنند منابع محدود را بر تجهیزات و موانع بحرانی متمرکز کند (Jardine et al., 2006; Rausand & Høyland, 2004).

اما نکته‌ای که در عمل نباید فراموش شود این است که عقب‌افتادگی نگهداشت، فقط یک مسئله فنی نیست؛ یک شاخص مدیریتی است. وقتی backlog تجهیزات بحرانی افزایش می‌یابد، معنایش این است که ظرفیت دفاعی سیستم در حال فرسایش است. در چنین وضعی، سازمان نباید صرفاً از واحد نگهداشت بخواهد سریع‌تر کار کند، بلکه باید درباره منابع، اولویت تولید، برنامه‌ریزی توقف، تأمین قطعه و معیارهای پذیرش ریسک تصمیم بگیرد.

6.4. مدیریت bypass و override

یکی از حساس‌ترین موضوعات در پایش موانع، مدیریت bypass و override است. در عملیات واقعی، گاه لازم است یک سیستم حفاظتی موقتاً از سرویس خارج شود؛ مثلاً برای آزمون، تعمیر یا راه‌اندازی. اما اگر این وضعیت به‌درستی کنترل نشود، سازمان عملاً یک لایه دفاعی را از دست داده است، بدون آنکه تصمیم‌گیرندگان تصویر روشنی از ریسک باقی‌مانده داشته باشند.

برای مدیریت bypass باید حداقل چند الزام وجود داشته باشد: مجوز رسمی، ارزیابی ریسک موقت، تعریف موانع جایگزین، محدودیت زمانی، اطلاع‌رسانی به شیفت‌ها، ثبت در سیستم، بازنگری روزانه و تأیید بازگشت به وضعیت عادی. شاخص‌هایی مانند تعداد bypassهای فعال، مدت‌زمان بازماندن، درصد bypassهای تمدیدشده، و تعداد bypassهای بدون ارزیابی ریسک می‌توانند وضعیت واقعی انضباط عملیاتی را نشان دهند.

6.5. مدیریت تغییر و اثر آن بر موانع

Management of Change یا MOC یکی از ستون‌های ایمنی فرایند است. هر تغییر در طراحی، مواد، شرایط عملیاتی، نرم‌افزار کنترل، رویه‌ها، سازمان، پیمانکاران یا نیروی انسانی می‌تواند بر موانع ایمنی اثر بگذارد. بسیاری از حوادث بزرگ نشان داده‌اند که تغییرات کوچک و پراکنده، وقتی بدون ارزیابی سیستمی انجام شوند، می‌توانند مسیرهای خطر جدیدی ایجاد کنند (Kletz, 2001; Leveson, 2011).

پایش موانع باید با MOC پیوند مستقیم داشته باشد. هر تغییر باید بپرسد:

• کدام موانع تحت تأثیر قرار می‌گیرند؟
• آیا performance standard تغییر می‌کند؟ آیا آزمون‌ها باید بازنگری شوند؟
• آیا صلاحیت کارکنان کافی است؟
• آیا سند Bow-Tie یا LOPA نیاز به اصلاح دارد؟

اگر این پرسش‌ها در فرایند تغییر دیده نشوند، مدل‌های ریسک سازمان به‌تدریج از واقعیت فاصله می‌گیرند.

برای مطالعه ادامه این متن به مقاله فصل ۱۲. ایمنی فرایند و پایش موانع ایمنی:بخش دوم مراجعه نمایید.