ابتدا مقاله فصل ۱۲. ایمنی فرایند و پایش موانع ایمنی:بخش اول را مطالعه نمایید.سپس این مقاله را مطالعه کنید.
7. نقش عوامل انسانی، سازمانی و فرهنگی در عملکرد موانع
7.1. انسان بهعنوان مانع و منبع سازگاری
در برخی تحلیلهای سنتی، انسان بیشتر بهعنوان منبع خطا دیده میشود. اما در ایمنی فرایند، این نگاه کافی نیست. انسانها نهتنها ممکن است خطا کنند، بلکه اغلب آخرین مانع در برابر حادثهاند. اپراتوری که یک الگوی غیرعادی را تشخیص میدهد، تکنسینی که نشانه خوردگی را جدی میگیرد، یا سرپرستی که راهاندازی را تا رفع ابهام متوقف میکند، همگی نمونههایی از عملکرد انسانی بهعنوان مانع ایمنیاند.
Hollnagel (2014) در رویکرد Safety-II تأکید میکند که ایمنی فقط نبود شکست نیست، بلکه توانایی سیستم برای موفق شدن در شرایط متغیر است. این دیدگاه برای پایش موانع اهمیت دارد؛ زیرا همه موانع را نمیتوان صرفاً بهصورت تجهیز یا رویه دید. بخشی از ظرفیت ایمنی سازمان در قضاوت، تجربه، ارتباطات و سازگاری انسانها نهفته است.
7.2. خطای انسانی در بستر سیستم
البته نقش مثبت انسان نباید باعث شود خطاهای انسانی نادیده گرفته شوند. مسئله این است که خطا باید در بستر سیستم تحلیل شود. اگر اپراتور آلارم را نادیده گرفته، باید پرسید آلارمها چه تعداد بودهاند، اولویتبندی چگونه بوده، آموزش چه کیفیتی داشته، رابط انسان-ماشین چگونه طراحی شده، خستگی چه نقشی داشته و فشار تولید چه انتظاری ایجاد کرده است. Dekker (2014) استدلال میکند که خطای انسانی اغلب نشانهای از مشکل عمیقتر در طراحی کار و سازمان است، نه توضیح نهایی حادثه.
در پایش موانع انسانی، شاخصهای ساده مانند «تعداد آموزشهای برگزارشده» کافی نیست. باید کیفیت صلاحیت، تمرین عملی، یادگیری از رخدادها، قابلیت تشخیص وضعیت غیرعادی، و کیفیت handover سنجیده شود. بهویژه در عملیاتهای پیچیده، ناتوانی در فهم وضعیت یا loss of situational awareness میتواند چند مانع فنی را بیاثر کند.
7.3. فرهنگ ایمنی فرایند
فرهنگ ایمنی فرایند با فرهنگ عمومی ایمنی همپوشانی دارد، اما تمرکز آن بر حساسیت سازمان نسبت به خطرات بزرگ و کمتکرار است. سازمانی که فرهنگ ایمنی فرایند قوی دارد، به نشانههای ضعیف توجه میکند، انحرافات را عادی نمیسازد، به متخصصان فنی گوش میدهد، توقف ایمن را ارزشمند میداند و میان فشار تولید و محدودیتهای ایمنی تعادل برقرار میکند.
Guldenmund (2000) و Hopkins (2006) نشان دادهاند که فرهنگ ایمنی، اگرچه مفهومی پیچیده و گاه دشوار برای اندازهگیری است، اما در تصمیمهای روزمره سازمانی خود را نشان میدهد. در ایمنی فرایند، یکی از نشانههای فرهنگ ضعیف آن است که موانع حیاتی فقط در زمان ممیزی جدی گرفته شوند، نه در تصمیمهای واقعی تولید، نگهداشت و تغییر.
7.4. مالکیت مانع و پاسخگویی مدیریتی
هر مانع حیاتی باید مالک داشته باشد. مالکیت مانع به معنای آن نیست که یک فرد بهتنهایی مسئول همه چیز است؛ بلکه یعنی مسئولیت اطمینان از عملکرد مانع روشن است. بدون مالکیت، عیوب موانع میان واحدها سرگردان میشود: عملیات منتظر نگهداشت میماند، نگهداشت منتظر بودجه، HSE منتظر تصمیم مدیریت، و مدیریت تصور میکند کنترلها برقرارند.
پایش موانع باید گزارشپذیری مدیریتی داشته باشد. وضعیت موانع حیاتی باید به زبان مناسب در سطوح مختلف سازمان گزارش شود: جزئیات فنی برای مهندسان و متخصصان، وضعیت ریسک و تصمیمهای لازم برای مدیران عملیاتی، و تصویر تجمیعی از exposure به ریسکهای اصلی برای مدیریت ارشد. اگر گزارشها فقط فنی باشند، مدیریت ارشد پیام را دریافت نمیکند؛ و اگر بیش از حد کلی باشند، متخصصان نمیتوانند اقدام مؤثر طراحی کنند.
.
8. پایش موانع در صنایع پرخطر و سامانههای پیچیده
8.1. صنعت نفت، گاز و پتروشیمی
در صنایع نفت، گاز و پتروشیمی، موانع ایمنی با سناریوهایی مانند نشت هیدروکربن، آتشسوزی، انفجار، فوران، overpressure، runaway reaction، شکست containment و آلودگی زیستمحیطی مرتبطاند. این صنایع معمولاً نظامهای نسبتاً پیشرفتهای برای مدیریت ایمنی فرایند دارند، اما همچنان چالش اصلی در اجرای پایدار و یادگیری از نشانههای ضعیف است.
گزارشهای مربوط به Deepwater Horizon نشان دادند که مسئله فقط یک نقص فنی در blowout preventer نبود، بلکه ترکیبی از تصمیمهای عملیاتی، فشار زمانی، ارزیابی ناقص ریسک، ارتباطات ناکافی، و ضعف در تفسیر دادهها نقش داشتند (National Commission, 2011). این حادثه یادآوری میکند که موانع فنی در خلأ عمل نمیکنند؛ آنها در شبکهای از تصمیمهای انسانی و سازمانی قرار دارند.
8.2. صنایع شیمیایی و واکنشهای خطرناک
در صنایع شیمیایی، کنترل واکنش، سازگاری مواد، دما، فشار، تهویه، containment و طراحی ذاتاً ایمن اهمیت ویژه دارد. رخدادهایی مانند runaway reaction میتوانند بسیار سریع و شدید باشند. در چنین محیطهایی، پایش موانع باید هم به تجهیزات کنترل فرایند و هم به کیفیت دانش شیمیایی، کنترل recipe، مدیریت تغییر و صلاحیت فنی توجه کند.
Mannan (2012) در راهنمای جامع ایمنی فرایند تأکید میکند که فهم ماهیت مواد و واکنشها، پایه مدیریت ریسک شیمیایی است. بنابراین، مانع ایمنی در اینجا فقط سیستم اضطراری نیست؛ دانش صحیح درباره واکنش، محدودیتهای عملیاتی، آزمایشهای مقیاسپذیری، و کنترل دقیق شرایط فرایندی نیز بخشی از دفاع سازماناند.
8.3. معادن، انرژی و زیرساختهای حیاتی
در معادن، نیروگاهها، خطوط لوله، تأسیسات ذخیرهسازی و زیرساختهای حیاتی نیز منطق موانع کاربرد دارد، هرچند شکل موانع متفاوت است. برای مثال، در خطوط لوله، پایش خوردگی، leak detection، کنترل فشار، سیستمهای قطع اضطراری، حفاظت کاتدی و مدیریت third-party damage از موانع مهماند. در معادن، تهویه، پایش گاز، کنترل انفجار، پایداری زمین، مدیریت انرژی و واکنش اضطراری نقش حیاتی دارند.
اصل مشترک در همه این حوزهها آن است که موانع باید بر اساس سناریوهای اصلی خطر تعریف شوند. انتقال مکانیکی یک چکلیست از صنعتی به صنعت دیگر معمولاً کافی نیست. هر صنعت باید بر مبنای hazard profile خود، موانع حیاتی و شاخصهای مرتبط را انتخاب کند.
8.4. دیجیتالیسازی و پایش هوشمند موانع
در سالهای اخیر، دیجیتالیسازی، حسگرهای پیشرفته، تحلیل داده، یادگیری ماشین و سامانههای مدیریت یکپارچه دارایی، فرصتهای جدیدی برای پایش موانع ایجاد کردهاند. پایش برخط خوردگی، تشخیص نشت، تحلیل روند آلارمها، پیشبینی خرابی تجهیزات، و داشبوردهای barrier health نمونههایی از این فرصتها هستند.
با این حال، فناوری بهتنهایی ایمنی ایجاد نمیکند. دادههای بیشتر اگر بدون مدل ریسک، کیفیت داده، مسئولیت تصمیم و فهم عملیاتی باشند، حتی میتوانند بار شناختی سازمان را افزایش دهند. Pasman و Rogers (2014) تأکید میکنند که پیشرفت در مدیریت ریسک فرایندی نیازمند ترکیب ابزارهای فنی با قضاوت مهندسی، یادگیری سازمانی و حکمرانی مناسب است. بنابراین، پایش هوشمند موانع باید نه جایگزین تخصص انسانی، بلکه تقویتکننده آن باشد.
9. چالشهای پیادهسازی پایش موانع ایمنی
9.1. انتخاب موانع حیاتی
یکی از نخستین چالشها این است که سازمان تشخیص دهد کدام موانع واقعاً حیاتیاند. اگر همه کنترلها «حیاتی» نامیده شوند، عملاً هیچکدام حیاتی نخواهند بود. انتخاب موانع حیاتی باید بر اساس سناریوهای اصلی خطر، شدت پیامد، احتمال تقاضا از مانع، میزان وابستگی سایر کنترلها به آن، و نقش مانع در جلوگیری از رخدادهای فاجعهبار انجام شود. در ادبیات ایمنی فرایند، این موضوع با مفهوم safety-critical elements یا barriers with major accident hazard relevance پیوند دارد؛ یعنی عناصری که شکست آنها میتواند مسیر رخدادهای بزرگ را باز کند (Energy Institute, 2016; HSE, 2006).
در عمل، من معمولاً توصیه میکنم سازمانها از یک پرسش ساده اما جدی آغاز کنند: اگر این مانع در زمان نیاز عمل نکند، آیا سناریوی حادثه بهطور معناداری به سمت پیامد شدید حرکت میکند؟ اگر پاسخ مثبت است، آن مانع احتمالاً باید در فهرست موانع حیاتی قرار گیرد. اما اگر نقش آن بیشتر حمایتی، اداری یا کماثر است، بهتر است در سطحی پایینتر مدیریت شود. این تمایز برای جلوگیری از تورم شاخصها، اتلاف منابع و خستگی سازمانی اهمیت دارد.
انتخاب موانع حیاتی نباید فقط توسط واحد HSE انجام شود. این کار نیازمند مشارکت عملیات، مهندسی فرایند، نگهداشت، ابزار دقیق، بازرسی فنی، بهرهبرداران خط مقدم و در صورت لزوم متخصصان بیرونی است. دلیل آن روشن است: هر گروه بخشی از واقعیت مانع را میبیند. مهندس طراحی ممکن است کارکرد نظری مانع را بشناسد، اما اپراتور میداند آن مانع در شرایط راهاندازی، توقف اضطراری، تغییر خوراک یا کمبود نیروی انسانی چگونه رفتار میکند. این ترکیب دانش رسمی و دانش عملیاتی، کیفیت انتخاب موانع حیاتی را بهطور محسوسی افزایش میدهد.
9.2. خطر تبدیل پایش موانع به فعالیتی کاغذی
یکی از آسیبهای رایج در نظامهای مدیریت ایمنی فرایند آن است که پایش موانع به مجموعهای از فرمها، چکلیستها و داشبوردهای اداری تبدیل میشود. در چنین وضعی، سازمان ظاهراً نظام پایش دارد، اما این نظام به تصمیمهای واقعی وصل نیست. آزمونها ثبت میشوند، وضعیتها رنگبندی میشوند، گزارشها در جلسات مرور میشوند، اما اگر مانعی ضعیف باشد، تصمیم سخت درباره توقف کار، کاهش ظرفیت، تخصیص بودجه یا تغییر برنامه تولید گرفته نمیشود.
این خطر بهویژه در سازمانهایی جدی است که مدیریت عملکرد را با تولید شاخصهای فراوان اشتباه میگیرند. یک داشبورد شلوغ لزوماً نشانه بلوغ نیست. گاهی برعکس، فراوانی شاخصها باعث میشود مدیران نتوانند تشخیص دهند کدام مسئله واقعاً نیازمند مداخله فوری است. CCPS (2011) تأکید میکند که شاخصهای ایمنی فرایند باید actionable باشند؛ یعنی بتوانند اقدام مدیریتی مشخصی را فعال کنند. اگر شاخصی هیچ تصمیمی را تغییر نمیدهد، باید درباره ضرورت آن تردید کرد.
برای جلوگیری از کاغذی شدن پایش موانع، هر شاخص باید به سه چیز متصل باشد: یک سناریوی خطر، یک مالک تصمیم، و یک آستانه اقدام. برای مثال، اگر تعداد bypassهای فعال در سامانه قطع اضطراری از حد مشخصی فراتر رفت، چه کسی باید تصمیم بگیرد؟ آیا ادامه تولید مجاز است؟ یا آیا موانع جایگزین تعریف شدهاند؟
آیا مدیریت ارشد باید در جریان قرار گیرد؟ بدون چنین قواعدی، پایش موانع بیشتر شبیه مشاهده منفعلانه خواهد بود تا مدیریت فعال ریسک.
9.3. کیفیت داده و مسئله اعتماد به اطلاعات
پایش موانع به داده نیاز دارد، اما هر دادهای قابل اعتماد نیست. دادههای مربوط به آزمون، بازرسی، خرابی، نگهداشت، bypass، آلارم، trip، نشت، و انحراف از محدوده عملیاتی باید از نظر دقت، کامل بودن، زمانمندی و سازگاری مفهومی بررسی شوند. در بسیاری از سازمانها، دادهها در سامانههای جداگانه نگهداری میشوند: بخشی در سیستم نگهداشت، بخشی در گزارشهای HSE، بخشی در DCS یا historian، بخشی در گزارشهای شیفت، و بخشی در فایلهای محلی واحدها. اگر این دادهها به هم متصل نباشند، تصویر سلامت موانع ناقص خواهد بود.
یکی از خطاهای رایج آن است که سازمان، داده ثبتشده را معادل واقعیت فرض میکند. اما دادههای HSE و ایمنی فرایند همواره محصول رفتار سازمانیاند. اگر کارکنان از پیامدهای گزارشدهی بترسند، رخدادهای کوچک ثبت نمیشود. حالا اگر سیستم گزارشدهی پیچیده باشد، دادهها ناقص میماند. اگر شاخصها برای ارزیابی عملکرد فردی بهصورت نادرست استفاده شوند، احتمال دستکاری یا کمگزارشی افزایش مییابد. این موضوع در ادبیات فرهنگ ایمنی و یادگیری سازمانی بارها مورد توجه قرار گرفته است (Dekker, 2014; Reason, 1997).
از منظر مدیریتی، کیفیت داده فقط مسئله واحد فناوری اطلاعات نیست. کیفیت داده به اعتماد، آموزش، استانداردهای طبقهبندی، سادهسازی فرایند گزارشدهی، ممیزی داده، و مهمتر از همه، استفاده منصفانه از اطلاعات بستگی دارد. اگر داده برای سرزنش استفاده شود، سازمان داده واقعی دریافت نخواهد کرد. اگر داده برای یادگیری و اصلاح سیستم استفاده شود، احتمال مشارکت صادقانه کارکنان افزایش مییابد.
9.4. وابستگی بیش از حد به فناوری
دیجیتالیسازی فرصتهای مهمی برای پایش موانع ایجاد کرده است. امروز میتوان وضعیت بسیاری از تجهیزات، آلارمها، حسگرها، شیرها، سامانههای قطع اضطراری، خوردگی، ارتعاش، فشار و دما را بهصورت برخط یا نزدیک به برخط پایش کرد. این تحول، بهویژه در تأسیسات بزرگ و پراکنده، ارزش عملی فراوان دارد. اما باید مراقب باشیم که فناوری را با ایمنی اشتباه نگیریم.
یک سامانه پیشرفته پایش، اگر بر اساس مدل درست ریسک طراحی نشده باشد، فقط داده بیشتری تولید میکند. داده بیشتر الزاماً به فهم بهتر منجر نمیشود. حتی ممکن است موجب overload شناختی شود و مدیران را در میان هشدارها، رنگها و نمودارها سردرگم کند. Pasman و Rogers (2014) یادآوری میکنند که بهبود ایمنی فرایند نیازمند ترکیب فناوری، قضاوت مهندسی، مدیریت سازمانی و یادگیری از رخدادهاست. هیچکدام از این عناصر بهتنهایی کافی نیستند.
همچنین باید به خطر «اعتماد بیش از حد به مدل» توجه کرد. الگوریتمهای پیشبینی خرابی، داشبوردهای هوشمند و تحلیلهای پیشرفته میتوانند کمککننده باشند، اما معمولاً بر دادههای گذشته و مفروضات مشخص تکیه دارند. در شرایط غیرعادی، تغییر طراحی، تغییر خوراک، عملیات راهاندازی یا وضعیت اضطراری، ممکن است الگوهای گذشته دیگر معتبر نباشند. بنابراین، پایش دیجیتال باید با بازدید میدانی، گفتوگو با اپراتورها، ممیزی فنی و تحلیل مهندسی تکمیل شود.
9.5. تعارض میان تولید، هزینه و سلامت موانع
یکی از واقعیتهای مدیریت ایمنی فرایند آن است که موانع ایمنی در خلأ اقتصادی عمل نمیکنند. سازمانها همواره با فشار تولید، محدودیت بودجه، برنامههای توقف، اهداف مالی، تعهدات قراردادی و رقابت بازار روبهرو هستند. مسئله این نیست که این فشارها وجود نداشته باشند؛ مسئله این است که چگونه مدیریت میشوند. Rasmussen (1997) بهدرستی نشان داد که سیستمهای اجتماعی-فنی بهتدریج تحت فشارهای اقتصادی و کاری به سمت مرزهای عملکرد ایمن رانده میشوند، مگر آنکه سازوکارهای کنترلی نیرومند وجود داشته باشد.
در پایش موانع، این پدیده خود را به شکلهای مختلف نشان میدهد: تأخیر در تعمیر تجهیزات بحرانی، تمدید مکرر bypassها، تعویق proof testها، پذیرش موقت وضعیتهای خارج از استاندارد، کاهش نفرات شیفت، استفاده از پیمانکاران کمتجربه، یا فشار برای راهاندازی سریع پس از تعمیرات. هر یک از این موارد ممکن است در کوتاهمدت قابل مدیریت به نظر برسد، اما تجمع آنها میتواند دفاعهای سیستم را فرسوده کند.
در چنین شرایطی، پایش موانع باید بتواند «بدهی ایمنی» را قابل مشاهده کند. همانگونه که در مدیریت دارایی از backlog و deferred maintenance سخن میگوییم، در ایمنی فرایند نیز باید فهمید که هر تعویق، هر bypass و هر انحراف پذیرفتهشده چه مقدار ریسک انباشته ایجاد میکند. سازمان بالغ سازمانی نیست که هرگز تحت فشار قرار نمیگیرد؛ بلکه سازمانی است که وقتی فشار افزایش مییابد، نشانههای فرسایش موانع را میبیند و تصمیمهای سخت را بهموقع میگیرد.
9.6. ضعف در یادگیری از رخدادهای کوچک
حوادث بزرگ معمولاً پیش از وقوع، نشانههایی از خود نشان میدهند. این نشانهها ممکن است در قالب نشتهای کوچک، آلارمهای تکراری، tripهای مکرر، انحراف از محدوده عملیاتی، یافتههای بازرسی، خطاهای نگهداشت، یا نگرانیهای کارکنان ظاهر شوند. مشکل آن است که سازمانها گاه این نشانهها را بهعنوان «اختلالات معمول» میبینند، نه بهعنوان اطلاعاتی درباره سلامت موانع.
Vaughan (1996) این پدیده را در قالب normalization of deviance توضیح میدهد؛ یعنی انحرافاتی که ابتدا غیرعادی تلقی میشوند، بهتدریج عادی میگردند، زیرا فوراً به حادثه منجر نشدهاند. در ایمنی فرایند، این امر بسیار خطرناک است. یک آلارم بحرانی که بارها بدون پیامد جدی فعال شده، ممکن است از نظر روانی اهمیت خود را از دست بدهد؛ اما در واقع، هر بار فعال شدن آن میتواند نشانه نزدیک شدن سیستم به مرز خطر باشد.
یادگیری از رخدادهای کوچک نیازمند روش تحلیل مناسب است. نباید فقط پرسید «چه شد؟» بلکه باید پرسید «کدام مانع باید عمل میکرد؟ کدام مانع عمل نکرد؟ چرا تقاضا از مانع ایجاد شد؟ آیا این رخداد در سناریوهای Bow-Tie ما دیده شده بود؟ یا آیا performance standard مانع کافی بود؟ آیا یافتههای مشابه قبلاً گزارش شده بود؟» این پرسشها رخداد کوچک را به منبع یادگیری ساختاری تبدیل میکنند.
9.7. دشواری سنجش موانع انسانی و سازمانی
موانع فنی معمولاً قابل اندازهگیریترند. میتوان آزمون شیر اطمینان، عملکرد interlock، ضخامت لوله، وضعیت آشکارساز گاز یا نرخ خرابی تجهیز را اندازهگیری کرد. اما موانع انسانی و سازمانی پیچیدهترند. چگونه باید کیفیت تصمیم سرپرست، فهم اپراتور از وضعیت غیرعادی، کیفیت handover، اعتبار مدیریت تغییر، یا ظرفیت تیم برای توقف کار ناایمن را سنجید؟
پاسخ سادهای وجود ندارد. اما دشواری سنجش نباید به حذف این موانع از نظام پایش منجر شود. بسیاری از حوادث بزرگ نشان دادهاند که ضعف در ارتباطات، صلاحیت، تصمیمگیری، مدیریت پیمانکار، برنامهریزی، فرهنگ گزارشدهی و یادگیری سازمانی نقش جدی داشته است (Hopkins, 2008; Leveson, 2011; National Commission, 2011). بنابراین، پایش موانع انسانی و سازمانی باید با ترکیبی از روشها انجام شود: ممیزی کیفی، مشاهده میدانی، مصاحبه، تحلیل رخداد، ارزیابی صلاحیت، بررسی کیفیت مجوز کار، و تحلیل روندهای رفتاری و عملیاتی.
نکته مهم آن است که شاخصهای انسانی نباید به شمارش ساده آموزشها یا تعداد toolbox meetingها تقلیل یابند. این شاخصها ممکن است مفید باشند، اما معمولاً خروجی واقعی صلاحیت یا آمادگی را نشان نمیدهند. بهتر است سازمان بپرسد: آیا افراد در نقشهای بحرانی میتوانند سناریوی خطر را توضیح دهند؟ آیا میدانند کدام موانع حیاتیاند؟ یا آیا در شرایط غیرعادی اختیار و حمایت لازم برای توقف کار را دارند؟ آیا پیامهای هشداردهنده آنان شنیده میشود؟
9.8. مسئله پیمانکاران و زنجیره تأمین
در بسیاری از صنایع پرخطر، بخش قابل توجهی از کارهای نگهداشت، ساخت، بازرسی، راهاندازی، تعمیرات اساسی، حملونقل، خدمات تخصصی و حتی عملیات روزمره توسط پیمانکاران انجام میشود. بنابراین، موانع ایمنی فقط در درون مرز رسمی سازمان قرار ندارند. پیمانکاران میتوانند موانع را تقویت کنند یا ناخواسته آنها را تضعیف نمایند.
برای مثال، کیفیت کار یک پیمانکار در کالیبراسیون ابزار دقیق، تست شیر اطمینان، جوشکاری، scaffold، isolation، یا اجرای blind میتواند مستقیماً بر ایمنی فرایند اثر بگذارد. اگر نظام انتخاب، ارزیابی، آموزش، نظارت و ارتباط با پیمانکاران ضعیف باشد، بخشی از زنجیره کنترل از دید سازمان خارج میشود. در اینجا پایش موانع باید به مرزهای قراردادی محدود نماند. هر فعالیت پیمانکاری که بر مانع حیاتی اثر میگذارد، باید در نظام مدیریت موانع دیده شود.
این موضوع درباره زنجیره تأمین نیز صادق است. کیفیت قطعات یدکی، اصالت تجهیزات، تأخیر در تأمین، تغییر vendor، و جایگزینی مواد یا تجهیزات میتواند بر موانع اثر بگذارد. بنابراین، مدیریت موانع با procurement، کنترل کیفیت، مهندسی و مدیریت پیمانکار پیوند مستقیم دارد.
.
10. الزامات طراحی یک نظام مؤثر پایش موانع ایمنی
10.1. اتصال پایش موانع به سناریوهای خطر عمده
نخستین الزام یک نظام مؤثر آن است که پایش موانع از سناریوهای خطر آغاز شود، نه از فهرست تجهیزات. اگر سازمان نداند سناریوهای اصلی خطر چیست، نمیتواند تشخیص دهد کدام موانع مهمترند. بنابراین، روشهایی مانند HAZOP، Bow-Tie، LOPA، QRA، تحلیل رخدادهای گذشته و ارزیابی ریسک عملیاتی باید مبنای طراحی نظام پایش باشند (CCPS, 2001, 2008; Mannan, 2012).
در این چارچوب، برای هر سناریوی مهم باید مشخص شود: رویدادهای آغازگر کداماند، رویداد مرکزی چیست، پیامدها چه هستند، موانع پیشگیرانه و کاهنده کداماند، کدام موانع حیاتیاند، معیار عملکرد هر مانع چیست، دادههای پایش از کجا میآید، و چه کسی مالک تصمیم است. این ساختار کمک میکند پایش موانع از حالت عمومی و پراکنده خارج شود و به مدیریت واقعی ریسکهای بزرگ خدمت کند.
10.2. تعریف استاندارد عملکرد برای موانع حیاتی
هر مانع حیاتی باید دارای استاندارد عملکرد روشن باشد. استاندارد عملکرد باید حداقل به چند پرسش پاسخ دهد: مانع چه کارکردی دارد؟ در چه شرایطی باید عمل کند؟ چه سطحی از قابلیت اطمینان لازم است؟ زمان پاسخ چقدر باید باشد؟ ظرفیت مانع چیست؟ چگونه و با چه تناوبی آزمون میشود؟ معیار قبولی یا رد آزمون چیست؟ اگر مانع از سرویس خارج شد، چه اقدام جبرانی لازم است؟
این استانداردها نباید صرفاً در اسناد مهندسی باقی بمانند. اپراتورها، تکنسینهای نگهداشت، سرپرستان و مدیران عملیاتی باید بدانند کدام موانع حیاتیاند و افت عملکرد آنها چه معنایی برای ادامه عملیات دارد. تجربه نشان میدهد که وقتی کارکنان خط مقدم معنای مانع را در سناریوی حادثه میفهمند، پایش و گزارشدهی آنان کیفیت بهتری پیدا میکند.
10.3. ایجاد داشبورد سلامت موانع
داشبورد سلامت موانع میتواند ابزار مفیدی برای تصمیمگیری باشد، به شرط آنکه درست طراحی شود. چنین داشبوردی باید وضعیت موانع حیاتی را بهصورت روشن، قابل فهم و متصل به ریسک نشان دهد. رنگبندی ساده سبز، زرد و قرمز میتواند مفید باشد، اما فقط زمانی که منطق پشت آن شفاف باشد. برای مثال، رنگ قرمز باید به معنای اقدام فوری باشد، نه صرفاً «وضعیت نامطلوب».
یک داشبورد خوب بهتر است چند سطح داشته باشد. سطح فنی برای متخصصان جزئیات آزمون، خرابی، bypass، backlog و یافتههای بازرسی را نشان میدهد. سطح مدیریتی وضعیت ریسک، تصمیمهای لازم، موانع بحرانی ضعیفشده و روندهای اصلی را نمایش میدهد. در سطح راهبردی برای مدیریت ارشد تصویری از exposure سازمان به خطرات عمده، وضعیت موانع کلیدی، و تعارضهای حلنشده میان تولید و ایمنی ارائه میکند.
10.4. تعیین آستانههای اقدام و قواعد توقف
یکی از ضعفهای رایج آن است که سازمان وضعیت موانع را پایش میکند، اما نمیداند در چه نقطهای باید اقدام کند. به همین دلیل، لازم است برای موانع حیاتی آستانههای اقدام تعریف شود. این آستانهها میتوانند شامل حداکثر مدت مجاز bypass، حداکثر تعداد عیوب باز در تجهیزات بحرانی، حداکثر backlog مجاز، حداقل سطح availability سامانه حفاظتی، یا قواعد مشخص برای کاهش ظرفیت و توقف ایمن باشند.
قواعد توقف باید پیش از بحران تعریف شوند. در لحظه فشار عملیاتی، تصمیمگیری بسیار دشوارتر است. اگر سازمان از قبل مشخص کرده باشد که مثلاً با از سرویس خارج شدن همزمان دو مانع خاص، ادامه عملیات مجاز نیست، تصمیم در زمان واقعی شفافتر و منصفانهتر خواهد بود. این کار علاوه بر کاهش ریسک، از کارکنان خط مقدم نیز حمایت میکند؛ زیرا آنان میدانند تصمیم توقف پشتوانه رسمی دارد.
10.5. بازنگری دورهای و یادگیری سازمانی
نظام پایش موانع نباید ثابت بماند. سناریوهای خطر، تجهیزات، کارکنان، پیمانکاران، فناوری، مواد، شرایط بازار و الزامات قانونی تغییر میکنند. بنابراین، Bow-Tieها، LOPAها، فهرست موانع حیاتی، استانداردهای عملکرد و شاخصهای پایش باید بهصورت دورهای بازنگری شوند. همچنین هر رخداد مهم، تغییر عمده یا یافته ممیزی باید محرکی برای بازنگری باشد.
یادگیری سازمانی در اینجا فقط به اصلاح یک تجهیز محدود نیست. باید پرسید
- آیا مدل خطر ما درست بود؟
- آیا مانع مورد انتظار عمل کرد؟ آیا شاخصها هشدار قبلی داده بودند؟
- آیا تصمیمگیرندگان پیام را دریافت کردند؟
- آیا اقدام اصلاحی به ریشه مسئله پرداخت یا فقط علامت را برطرف کرد؟
این پرسشها نظام پایش موانع را به یک فرایند زنده و یادگیرنده تبدیل میکند.
.
11. جمعبندی تحلیلی فصل
11.1. از نبود حادثه تا اطمینان از کنترل
پیام اصلی این فصل آن است که در ایمنی فرایند، نبود حادثه بهتنهایی نشانه ایمنی نیست. رخدادهای بزرگ ممکن است سالها رخ ندهند، اما در همان زمان موانع حیاتی بهتدریج فرسوده شوند. بنابراین، پایش عملکرد HSE اگر بخواهد در برابر حوادث کمتکرار اما پرپیامد مؤثر باشد، باید از شمارش پیامدهای گذشته فراتر رود و سلامت موانع ایمنی را بهصورت نظاممند بسنجد.
موانع ایمنی فقط تجهیزات فنی نیستند. آنها ترکیبی از طراحی، کنترل فرایند، سامانههای حفاظتی، نگهداشت، بازرسی، رویهها، صلاحیت انسانی، تصمیمهای مدیریتی، فرهنگ گزارشدهی و یادگیری سازمانیاند. اگر یکی از این ابعاد نادیده گرفته شود، تصویر سازمان از ریسک ناقص خواهد بود. از همین رو، پایش موانع باید ماهیتی میانرشتهای داشته باشد و میان HSE، عملیات، نگهداشت، مهندسی، مدیریت دارایی و مدیریت ارشد پیوند برقرار کند.
11.2. مانع بهمثابه تعهد مدیریتی
در نگاه سطحی، مانع ممکن است یک شیء یا یک رویه به نظر برسد؛ اما در نگاه عمیقتر، هر مانع نوعی تعهد مدیریتی است. وقتی سازمان میگوید یک سامانه قطع اضطراری، یک شیر اطمینان، یک رویه مدیریت تغییر یا یک مجوز کار مانع ایمنی است، در واقع تعهد میکند که آن مانع طراحی شود، نگهداری شود، آزمون شود، مالک داشته باشد، داده عملکردی آن پایش شود، و در صورت افت عملکرد، تصمیم مناسب گرفته شود.
بنابراین، ارزش پایش موانع در تولید گزارش نیست؛ ارزش آن در ایجاد مسئولیتپذیری و تصمیمپذیری است. اگر پایش نشان دهد مانعی حیاتی ضعیف شده، سازمان باید توان تصمیمگیری داشته باشد: تعمیر، توقف، کاهش ظرفیت، ایجاد مانع جایگزین، بازنگری طراحی یا تغییر روش کار. بدون این پیوند میان داده و تصمیم، حتی پیشرفتهترین نظام پایش نیز اثربخشی محدودی خواهد داشت.
11.3. افق آینده: پایش هوشمند، اما با قضاوت انسانی
آینده پایش موانع بهطور طبیعی به سمت دیجیتالیسازی، تحلیل داده، پایش برخط، داشبوردهای هوشمند و مدلهای پیشبینانه حرکت میکند. این مسیر ارزشمند است و میتواند توان سازمان را برای دیدن نشانههای ضعیف افزایش دهد. اما نباید فراموش کرد که ایمنی فرایند فقط مسئله داده نیست؛ مسئله فهم، قضاوت، مسئولیت و فرهنگ نیز هست.
به باور من، سازمانهای موفق در سالهای آینده آنهایی خواهند بود که میان فناوری و بلوغ مدیریتی تعادل برقرار کنند. آنها موانع خود را نه فقط در نقشهها و سیستمها، بلکه در رفتار روزمره سازمان زنده نگه میدارند. چنین سازمانهایی میدانند که پرسش اصلی در ایمنی فرایند این نیست که «آیا حادثهای رخ داده است؟» بلکه این است که «آیا هنوز کنترلهای حیاتی ما سالم، معتبر و قابل اتکا هستند؟»
منابع
American Petroleum Institute. (2021). API Recommended Practice 754: Process safety performance indicators for the refining and petrochemical industries (3rd ed.). API.
Baker, J. A., Bowman, F. L., Erwin, G., Gorton, S., Hendershot, D., Leveson, N., Priest, S., Rosenthal, I., Tebo, P. V., Wiegmann, D. A., & Wilson, L. D. (2007). The report of the BP U.S. refineries independent safety review panel. BP U.S. Refineries Independent Safety Review Panel.
Center for Chemical Process Safety. (2001). Layer of protection analysis: Simplified process risk assessment. American Institute of Chemical Engineers
Center for Chemical Process Safety. (2007). Guidelines for risk based process safety. John Wiley & Sons.
Center for Chemical Process Safety. (2008). Guidelines for hazard evaluation procedures (3rd ed.). John Wiley & Sons
Center for Chemical Process Safety. (2011). Process safety leading and lagging metrics: You don’t improve what you don’t measure. American Institute of Chemical Engineers.
.
Center for Chemical Process Safety. (2018). Bow ties in risk management: A concept book for process safety. John Wiley & Sons
Dekker, S. (2014). The field guide to understanding human error (3rd ed.). CRC Press
Energy Institute. (2016). Guidance on barrier management. Energy Institute
Guldenmund, F. W. (2000). The nature of safety culture: A review of theory and research. Safety Science, 34(1–3), 215–257. https://doi.org/10.1016/S0925-7535(00)00014-X
Health and Safety Executive. (2006). Developing process safety indicators: A step-by-step guide for chemical and major hazard industries (HSG254). HSE Books.
Hollnagel, E. (2014). Safety-I and Safety-II: The past and future of safety management. Ashgate
Hopkins, A. (2000). Lessons from Longford: The Esso gas plant explosion. CCH Australia.
Hopkins, A. (2006). Studying organisational cultures and their effects on safety. Safety Science, 44(10), 875–889. https://doi.org/10.1016/j.ssci.2006.05.005
Hopkins, A. (2008). Failure to learn: The BP Texas City refinery disaster. CCH Australia
Hopkins, A. (2012). Disastrous decisions: The human and organisational causes of the Gulf of Mexico blowout. CCH Australia.
.
International Electrotechnical Commission. (2010). IEC 61508: Functional safety of electrical/electronic/programmable electronic safety-related systems. IEC
International Electrotechnical Commission. (2016). IEC 61511: Functional safety—Safety instrumented systems for the process industry sector. IEC
Jardine, A. K. S., Lin, D., & Banjevic, D. (2006). A review on machinery diagnostics and prognostics implementing condition-based maintenance. Mechanical Systems and Signal Processing, 20(7), 1483–1510. https://doi.org/10.1016/j.ymssp.2005.09.012
Kletz, T. (1998). Process plants: A handbook for inherently safer design. Taylor & Francis
Kletz, T. (2001). Learning from accidents (3rd ed.). Gulf Professional Publishing
Kletz, T. (2009). What went wrong? Case histories of process plant disasters and how they could have been avoided (5th ed.). Butterworth-Heinemann
Leveson, N. G. (2011). Engineering a safer world: Systems thinking applied to safety. MIT Press
Mannan, S. (Ed.). (2012). Lees’ loss prevention in the process industries: Hazard identification, assessment and control (4th ed.). Butterworth-Heinemann
National Commission on the BP Deepwater Horizon Oil Spill and Offshore Drilling. (2011). Deep water: The Gulf oil disaster and the future of offshore drilling. U.S. Government Printing Office
.
OECD. (2008). Guidance on developing safety performance indicators related to chemical accident prevention, preparedness and response (2nd ed.). OECD Environment, Health and Safety Publications.
Pasman, H. J., & Rogers, W. J. (2014). How can we use the information provided by process safety performance indicators? Possibilities and limitations. Journal of Loss Prevention in the Process Industries, 30, 197–204. https://doi.org/10.1016/j.jlp.2013.06.001
Rasmussen, J. (1997). Risk management in a dynamic society: A modelling problem. Safety Science, 27(2–3), 183–213. https://doi.org/10.1016/S0925-7535(97)00052-0
Rausand, M., & Høyland, A. (2004). System reliability theory: Models, statistical methods, and applications (2nd ed.). John Wiley & Sons
Reason, J. (1997). Managing the risks of organizational accidents. Ashgate
Sklet, S. (2006). Safety barriers: Definition, classification, and performance. Journal of Loss Prevention in the Process Industries, 19(5), 494–506. https://doi.org/10.1016/j.jlp.2005.12.004
Vaughan, D. (1996). The Challenger launch decision: Risky technology, culture, and deviance at NASA. University of Chicago Press
