Các công trình sản xuất, tồn trữ và chế biến hóa chất, hóa dầu hoặc dầu khí là những nơi đặc biệt nguy hiểm do sự hiện diện tiềm ẩn của rất nhiều loại mối nguy với rủi ro đi kèm như cháy, nổ hóa chất, tràn bồn bể chứa, rò rỉ khí độc hoặc khí dễ cháy và nguy cơ phơi nhiễm hóa chất độc hại ra ngoài môi trường cộng đồng. Cách duy nhất để loại bỏ rủi ro do các mối nguy này gây ra là không xây dựng và vận hành các công trình này, tuy nhiên điều đó không thực tế bởi vì những công trình này vốn dĩ sản xuất ra tất cả những sản phẩm hữu ích, cần thiết và quan trọng cho cuộc sống hằng ngày của chúng ta.
Về cơ bản để vận hành sản xuất một cách an toàn và giảm thiểu rủi ro, tất cả các công trình này đều được thiết kế và trang bị những hệ thống điều khiển công nghệ (Basic Process Control System), những hệ thống này thường đi kèm với hệ thống cảnh báo an toàn và được vận hành bởi những người được đào tạo chuyên môn và có kinh nghiệm. Tuy nhiên, sự hoạt động của các hệ thống trên (điều khiển + cảnh báo + con người) thường không thể làm giảm rủi ro công nghệ đến một mức chấp nhận được.
Từ khía cạnh an toàn công nghệ và việc phân tích các lớp bảo vệ (LOPA) cho một thiết bị công nghệ hay cho cả hệ thống, người ta thường thiết kế 3 lớp bảo vệ cơ bản là: hệ số thiết kế an toàn, hệ thống điều khiển cơ bản, hệ thống cảnh báo an toàn và sự can thiệp của người vận hành. Khi thiết kế hệ thống công nghệ, người thiết kế sẽ cẩn thận xem xét tất cả các khía cạnh để thiết kế thông số hệ thống, quy cách và vật liệu chế tạo thiết bị, van và các thiết bị phụ trợ phù hợp. Hệ thống điều khiển cơ bản (BPCS) bao gồm các thiết bị đo, các bộ điều khiển chứa các thuật toán giám sát và các phần tử điều khiển, cho phép hệ thống được vận hành hành an toàn trong một giới hạn nhất định của các thông số nhiệt độ, áp suất, lưu lượng và mức, tuy nhiên tốc độ đáp ứng của hệ thống này thường chậm để phù hợp với mục đích điều khiển ổn định quá trình. Hệ thống cảnh báo an toàn được xây dựng nhằm mục đích báo động cho người vận hành biết về sự bất thường của bất cứ thông số nào của hệ thống và có hành động xử lý chính xác trước khi sự bất thường đó trở thành sự cố nhưng hệ thống này có thể bị bypass hoặc dễ bị bỏ qua bởi người vận hành. Nhưng ngay cả khi tất cả những lớp bảo vệ này đã được thiết lập, rủi ro do các mối nguy công nghệ vẫn rất lớn để ngăn ngừa chúng xảy ra. Hệ thống BPCS thường phản ứng chậm để phù hợp với chức năng điều khiển ổn định quá trình, ví dụ điển hình là các vòng điều khiển kín hay cascade thường phản ứng có độ trễ để đóng van, do đó sẽ không kịp thời cô lập được thiết bị hay hệ thống. Một số thiết kế BPCS thì lại tích hợp tính năng an toàn như các khóa an toàn (interlock) hoặc dừng an toàn (trip) để thực hiện chức năng an toàn khẩn cấp, tuy nhiên các chức năng này thường rất dễ bị bypass, quên kích hoạt hoặc hoạt động sai. Hệ thống cảnh báo an toàn thường gồm rất nhiều loại cảnh báo đi kèm với chuông và đèn, và cảnh báo có thể bị người vận hành bỏ qua một cách vô tình hay cố ý mà không có hành động ứng phó kịp thời nào.
Một vài ví dụ sau đây minh họa tại sao việc thiết lập và sử dụng các lớp bảo vệ trên là chưa đủ để ngăn ngừa thảm họa xảy ra. Năm 1974, một nhà máy xản xuất Nylon ở Flixborough, UK phát nổ, giết chết 28 người và làm bị thương hơn 100 người; năm 1984 một sự cố rò rỉ khí độc tại một nhà máy sản xuất phân bón tại Bhopal, Ấn Độ làm hơn 3000 chết và làm tổn thương 200,000 người; gần đây hơn vào năm 2005, nhà máy lọc dầu Texas City, US một vụ nổ xảy ra làm 15 người thiệt mạng và bị thương hơn 150 người. Tất cả 3 nhà máy trên đều được trang bị hệ thống điều khiển tự động, hệ thống cảnh báo và được vận hành bởi những người có chuyên môn và kinh nghiệm, nhưng chúng lại không làm giảm rủi ro công nghệ đến một mức chấp nhận được. Các mối nguy liên quan đến hoạt động sản xuất tại Flixborough không được nhận diện và các biện pháp kiểm soát phù hợp đã không được áp dụng. Tại Bhopal, nhà máy đã được thiết kế để ngăn ngừa việc rò rỉ khí độc nhưng lại không tính đến kịch bản xảy ra sự cố. Trong vụ nổ ở Texas City, các biện pháp an toàn kỹ thuật và vận hành đã bị bỏ qua.
Để giảm thiểu rủi ro xảy ra những sự cố nêu trên, OSHA (Cơ quan quản lý an toàn và sức khoẻ nghề nghiệp Hoa Kỳ) và một số công ty trong ngành công nghiệp hóa chất, ISA và một số tổ chức đã đề xuất chức năng an toàn được áp dụng trong một hệ thống phải được thiết kế và thiết lập một cách độc lập với hệ thống điều khiển cơ bản, và được gọi là Hệ thống an toàn tự động (Safety Instrumented System) hay SIS.
Hệ thống SIS là một lớp bảo vệ bổ sung cho 3 lớp bảo vệ đầu tiên như đã được đề cập ở phần đầu của bài viết. Đặc điểm của lớp bảo vệ này là nó phải có khả năng làm giảm rủi ro của một mối nguy công nghệ đi ít nhất 10 lần và mức độ giảm thiểu này được gọi là hệ số giảm thiểu rủi ro.
Cũng giống như cấu trúc của các hệ thống BPCS, hệ thống SIS sẽ bao gồm các thiết bị đo, bộ logic (thường là các bộ PLC- controller) và các phần tử thực thi (thường là van) nhằm thực hiện một nhiệm vụ duy nhất là đưa hệ thống về trạng thái an toàn (ví dụ: được cô lập hoàn toàn) khi bất kỳ một thông số nào vượt quá khoảng giá trị an toàn (ví dụ áp suất cao, nhiệt độ quá cao). Ngoài ra, SIS là một hệ thống gồm các thiết bị độc lập và không có bất kỳ liên kết chéo (dùng chung thiết bị đo hay van) với BPCS. Điều này đảm bảo sự toàn vẹn và khả năng thực hiện thành công chức năng của một hệ thống SIS. Một hệ thống SIS sẽ được thiết kế để thực hiện một chức năng an toàn riêng hay SIF (Safety Instrumented Functions), ví dụ như trong hình bên dưới, nếu áp suất trong bình phản ứng vượt quá giá trị đặt, SIS sẽ đóng hai van đầu vào của dòng nạp liệu nhằm cô lập bình phản ứng, trong trường hợp này hoạt động đóng hai van đầu vào là một chức năng an toàn – SIS.
Khi thiết kế các hệ thống SIS, đội ngũ thiết kế phải thực hiện phân tích rủi ro chi tiết nhằm xác định tất cả các mối nguy tiềm ẩn và rủi ro đi kèm, quyết định mức độ rủi ro nào cần phải áp dụng SIF. Việc phân tích rủi ro này thường được thực hiện bằng các phương pháp định tính như HAZID/ HAZOP hoặc phương pháp định lượng như QRA thông qua việc nhận diện, xếp loại rủi ro bằng cách sử dụng ma trận đánh giá rủi ro hoặc tính toán chi tiết.
Có một vấn đề cần chú ý rằng, bất kỳ một hệ thống SIS nào cũng có khả năng lỗi (không hoạt động đúng như mục tiêu thiết kế). Điều gì sẽ xảy ra khi bất kỳ bộ phận nào của một hệ thống SIS không hoạt động/ hoặc hoạt động sai khi hệ thống được kích hoạt?
Khi một bộ phận bất kỳ trong trong 1 hệ thống SIS hoạt động sai (đầu vào, đầu ra hay bộ logic) sẽ làm vô hiệu hóa chức năng an toàn của SIF, xác xuất một hệ thống SIS hoạt động lỗi khi được kích hoạt gọi là xác xuất lỗi khi cần đáp ứng (Probability of Failure on Demand) hay PFD. Khi thiết kế một hệ thống SIS cho một chức năng an toàn SIF, cần phải xác định giá trị PFD phù hợp với mực độ rủi ro cần giảm thiểu. Nếu chúng ta xác định PFD phải nhỏ hơn 0,01 hay 1,00E-02 thì SIF cần phải được thiết kế với Mức độ an toàn thiết bị (Safety Integrity Level – SIL) là 2 hay SIL 2, với các mức độ PFD khác sẽ có các mức SIL như bảng bên dưới.
Dựa vào bảng trên có thể thấy, SIL càng lớn thì độ tin cậy của SIF càng cao hay mức độ giảm thiểu rủi ro càng lớn. SIL 4 là mức cao nhất có thể đạt được, tuy nhiên trong thực tế việc đạt tới SIL 4 thường không thực tế và khả thi về mặt kinh tế.
Việc xây dựng và quản lý hệ thống SIS thường áp dụng các tiêu chuẩn IEC-61511/ IEC-61508 trong đó có một số nguyên tắc thiết kế và áp dụng phải được tuân thủ như sau:
- Không cho phép thay đổi bộ logic của SIS khi khi hệ thống đang hoạt động;
- Yêu cầu kiểm định và kiểm tra các chức năng an toàn SIF;
- Quy trình Quản lý sự thay đổi, áp dụng cho bất kỳ những thay đổi nào của hệ thống SIS một khi thiết kế chuẩn đã được phê duyệt.
Tóm tại, mục đích cuối cùng của một hệ thống SIS là giảm thiểu rủi ro xảy ra các sự cố gây tổn thương cho con người, thiệt hại tài sản, ảnh hưởng xấu đến môi trường và cũng chỉ là một trong nhiều lớp bảo vệ mà các công trình áp dụng nhằm bảo vệ hệ thống, thiết bị, con người của mình và cộng đồng. Nhưng nếu được thiết lập và sử dụng một cách hợp lý, SIS sẽ giảm thiểu rủi ro rất lớn và đảm bảo cho sự an toàn của hệ thống công nghệ.