Tiêu chuẩn IEC-61511 là một tiêu chuẩn khó và cần có kinh nghiệm để hiểu, vì chúng không được viết dưới dạng chỉ dẫn cụ thể như các tiêu chuẩn khác, mà chỉ cung cấp cách làm, các khung cơ bản để có thể triển khai hệ thống phù hợp với yêu cầu của tiêu chuẩn. Vì thề, tôi viết thêm bài viết này để chia sẻ một vài ý và khái niệm quan trọng để các bạn kỹ sư có thể tiếp cận và đọc tiêu chuẩn dễ dàng hơn.

Trong sự cố tai nạn hàng không liên quan đến Boeing 737 Max, nguyên nhân được xác định là do cảm biến góc tấn và hệ thống MCAS. Mặc dù hàng không không cần tuân thủ IEC61511, do IEC61511 được áp dụng cho ngành công nghiệp quy trình công nghệ (Process Industry), tuy nhiên có một số điều đáng suy nghĩ dưới góc nhìn của IEC-61511. Đó là việc phân tích rủi ro chưa đầy đủ, thiếu dự phòng cho hỏng hóc thiết bị khi chỉ sử dụng đầu vào của 1 cảm biến góc tấn kích hoạt hệ thống MCAS, và thiếu sự hướng dẫn và đào tạo về hệ thống MCAS.

Khi học các lớp liên quan đến an toàn công nghệ (Process Safety), một ví dụ thường được nhắc đến là vụ nổ tại Nhà máy Lọc dầu BP Texas City vào năm 2005. Vụ việc này đã khiến 15 công nhân thiệt mạng và hơn 170 người khác bị thương. Cuộc điều tra của Ủy ban An toàn Hóa chất Hoa Kỳ (CSB) đã chỉ ra nhiều nguyên nhân từ thiết kế, vận hành, bảo trì và văn hóa an toàn.

Thiết kế hệ thống an toàn tại nhà máy không được thực hiện đầy đủ, dẫn đến nhiều vấn đề nghiêm trọng. Hệ thống báo động và kiểm soát mức chất lỏng hoạt động không hiệu quả, không thể cảnh báo kịp thời khi có sự cố. Van xả áp suất được thiết kế không đủ khả năng xử lý lượng lớn hơi nước, khiến áp suất dễ dàng vượt quá giới hạn an toàn. Bên cạnh đó, cách bố trí nhà máy không đảm bảo khoảng cách an toàn giữa các thiết bị, làm tăng nguy cơ lan rộng sự cố khi có tai nạn xảy ra.

Về mặt vận hành, các lỗi nghiêm trọng cũng góp phần gây ra hậu quả. Việc khởi động lại thiết bị không tuân theo quy trình đúng, dẫn đến tình trạng quá nhiệt và áp suất tăng đột biến. Trong quá trình vận hành, sự giám sát và kiểm soát không được thực hiện chặt chẽ, để lại nhiều lỗ hổng. Đặc biệt, quyết định sai lầm khi xả chất lỏng dễ cháy vào thiết bị thổi khí đã tạo điều kiện cho nguy cơ cháy nổ bùng phát.

Công tác bảo trì cũng bộc lộ nhiều thiếu sót. Hệ thống an toàn không được bảo trì định kỳ hay kiểm tra kỹ lưỡng, khiến hiệu suất của chúng suy giảm nghiêm trọng theo thời gian. Đồng thời, nhân viên không được đào tạo đầy đủ về quy trình an toàn cũng như cách ứng phó trong tình huống khẩn cấp, làm giảm khả năng xử lý sự cố một cách hiệu quả.

Nguyên nhân sâu xa còn nằm ở văn hóa an toàn yếu kém tại nhà máy. Áp lực sản xuất cao đã khiến các quy trình an toàn bị xem nhẹ hoặc bỏ qua để ưu tiên tiến độ. Ban lãnh đạo không dành đủ sự quan tâm đến các vấn đề an toàn, dẫn đến việc các rủi ro không được đánh giá và xử lý kịp thời. Hơn nữa, sự thiếu giao tiếp hiệu quả giữa các bộ phận trong nhà máy càng làm trầm trọng thêm tình trạng mất kiểm soát, tạo ra một môi trường làm việc tiềm ẩn nhiều nguy cơ.

Vì thế, quản lý các thiết bị an toàn hoặc hệ thống liên quan đến an toàn cần đề cập tới một chu kỳ quản lý an toàn (safety lifecycle), được đề cập rất rõ trong mô tả số 7, điều 6 (figure 7, clause 6: safety life cycle requirements) từ giai đoạn thiết kế cơ sở như phân tích rủi ro, xây dựng các yêu cầu an toàn cụ thể về SIS, lắp đặt chạy thử, vận hành bảo trì, thay đổi nâng cấp đến việc tháo dỡ.

Sơ đồ này cần phải hiểu thật rõ khi quyết định thi chứng chỉ của TUV hay Exida.

Phân biệt giữa an toàn (safety) và sự toàn vẹn an toàn (safety integrity)

An toàn là khái niệm rộng, bao trùm mọi khía cạnh bảo vệ con người, môi trường và tài sản, với định nghĩa rủi ro chấp nhận được thay đổi tùy theo từng ngành hoặc tổ chức. Trong ngữ cảnh của tiêu chuẩn IEC-61511, An toàn (Safety) là trạng thái không có rủi ro không thể chấp nhận được (freedom from risk which is not tolerable), sự không chấp nhận được có tính đến nhiều yếu tố của tổ chức và được đề cập đến khái niệm ALARP. Các rủi ro không thể chuyển từ mức cao thành mức không còn rủi ro, mà chúng chỉ được chuyển xuống rủi ro ở mức chấp nhận được trên cơ sở hài hòa giữa an toàn và chi phí. Vì thế, nguyên tắc ALARP, viết tắt của "As Low As Reasonably Practicable" và được hiểu là "Thấp Nhất Có Thể Thực Hiện Được Một Cách Hợp Lý", là một trụ cột trong quản lý rủi ro, đặc biệt quan trọng trong các ngành công nghiệp mà nguy cơ tiềm ẩn cao như dầu khí, hóa chất và năng lượng hạt nhân. Nguyên tắc này không nhằm mục đích loại bỏ hoàn toàn rủi ro, một điều thường không khả thi hoặc quá tốn kém, mà tập trung vào việc giảm thiểu rủi ro đến mức thấp nhất có thể, miễn là chi phí và nỗ lực bỏ ra tương xứng với lợi ích đạt được. Để làm rõ hơn về ALARP, cần hiểu rằng ALARP không phải là việc đạt được sự an toàn tuyệt đối, mà thay vào đó, nguyên tắc này yêu cầu các tổ chức chứng minh rằng họ đã thực hiện mọi biện pháp hợp lý để giảm thiểu rủi ro, và "hợp lý" ở đây được đánh giá dựa trên sự cân bằng giữa chi phí (thời gian, tiền bạc, nguồn lực) và lợi ích (giảm thiểu rủi ro). Khi áp dụng ALARP, cần xem xét các yếu tố như mức độ rủi ro (rủi ro càng cao, càng cần nhiều nỗ lực để giảm thiểu), chi phí giảm thiểu (bao gồm cả chi phí trực tiếp và gián tiếp), tính khả thi của công nghệ (các biện pháp giảm thiểu phải khả thi về mặt kỹ thuật) và thông lệ tốt nhất (cần tham khảo các tiêu chuẩn và thông lệ tốt nhất trong ngành) . Mục tiêu tối thượng của an toàn là đảm bảo rủi ro trong quy trình hoặc hoạt động nằm trong giới hạn cho phép, thông qua việc triển khai nhiều lớp bảo vệ để giảm thiểu nguy cơ.

Tính toàn vẹn an toàn (Safety Integrity) là khả năng hệ thống an toàn (SIS) thực hiện chức năng an toàn được (SIF) theo yêu cầu, đo lường mức độ tin cậy của các chức năng bảo vệ. Đây là thước đo hiệu suất và độ tin cậy của các chức năng bảo vệ, đặc biệt là SIF trong SIS. Tính toàn vẹn an toàn bao gồm cả khía cạnh định lượng (liên quan đến lỗi phần cứng ngẫu nhiên) và khía cạnh hệ thống (liên quan đến lỗi hệ thống, không định lượng được). Mức độ toàn vẹn an toàn (SIL) được phân bổ cho SIF, với SIL cao hơn tương ứng với rủi ro thấp hơn. Việc xác định SIL dựa trên đánh giá rủi ro và nguy cơ.