เพื่อให้ได้ค่าการลดความเสี่ยงตามต้องการ ฟังก์ชันนิรภัยต้องมีการทดสอบการทำงานเป็นระยะ ๆ บทความนี้จะแสดงให้เห็นตัวอย่างการหาค่าเฉลี่ยความผิดพลาดอันตราย
ฟังก์ชันนิรภัยที่ทดสอบแบบไม่สมบูรณ์ (ตอนที่ 1)
(Safety Instrumented Function with Incomplete Testing)
ทวิช ชูเมือง
ฟังก์ชันนิรภัยในมาตรฐานความปลอดภัย ดังเช่น ฟังก์ชันที่ถูกจัดเตรียมในระบบ SIS (Safety Instrumented System) ที่ใช้ในการยับยั้งหรือป้องกันเหตุการณ์อันตรายตามหน้าที่ ๆ กำหนดไว้ สำหรับสมรรถนะของฟังก์ชันนิรภัยตามมาตรฐาน IEC 61508/61511 ต้องถูกแสดงเป็นเชิงจำนวนให้เห็นว่า ฟังก์ชันนิรภัยมีความเหมาะสมกับค่าการลดความเสี่ยง (Risk Reduction) ที่ต้องการ
เพื่อให้ได้ค่าการลดความเสี่ยงตามต้องการ ฟังก์ชันนิรภัยต้องมีการทดสอบการทำงานเป็นระยะ ๆ สำหรับบทความนี้จะแสดงให้เห็นตัวอย่างการหาค่าเฉลี่ยความผิดพลาดอันตรายหรือ PFDAVG (Probability of Failure on Demand) ซึ่งเป็นส่วนกลับของค่าการลดความเสี่ยงที่ต้องการ และสามารถถูกคำนวณได้ เมื่อส่วนต่าง ๆ ของฟังก์ชันนิรภัยมีสภาวะเป็นดังต่อไปนี้
• ไม่มีการทดสอบการทำงาน (Never Testing)
• มีการทดสอบการทำงานแบบสมบูรณ์ (Complete Testing)
• มีการทดสอบการทำงานแบบไม่สมบูรณ์ (Incomplete Testing)
นอกจากนั้นจะแสดงวิธีการหาค่าตัวแปรความผิดพลาดร่วม (Common Cause Failure Factor) เพื่อใช้ในการกำหนดค่าตัวแปรที่ต้องการ ซึ่งค่าตัวแปรความผิดพลาดร่วมหรือค่า ตามมาตรฐาน IEC 61508/61511 จะมีส่วนเกี่ยวข้องกับค่าการลดความเสี่ยงในฟังก์ชันนิรภัยเมื่อใช้อุปกรณ์มากกว่าหนึ่งตัว
การคำนวณค่าเฉลี่ยความผิดพลาดอันตราย (Calculate PFDAVG)
ก่อนจะเริ่มการคำนวณหาค่าเฉลี่ยความผิดพลาดอันตราย ควรต้องมีการทำความเข้าใจว่าค่าเฉลี่ยความผิดพลาดอันตรายหมายถึงอะไร จากคำจำกัดความของฟังก์ชันนิรภัย ซึ่งปกติเป็นฟังก์ชันที่ประกอบไปด้วย อุปกรณ์ส่งสัญญาณ (Sensor), ส่วนประมวลผล (Logic Solver) และอุปกรณ์สุดท้าย (Final Element) ในการตอบสนองต่อความต้องการจากกระบวนการ (Process Demand)
ซึ่งความต้องการจากกระบวนการผลิตเป็นตัวแปรจากกระบวนการที่มีค่าเข้าใกล้ค่าที่มีความเสี่ยงต่ออันตราย โดยทั่วไปจะแสดงเป็นค่าความเป็นไปได้ที่ฟังก์ชันนิรภัยจะไม่ทำงานตามที่ถูกกำหนดและเหตุการณ์อันตรายจะเกิดขึ้น ค่าเฉลี่ยความผิดพลาดอันตรายเป็นค่าเฉลี่ยความเป็นไปได้ที่ฟังก์ชันนิรภัยจะไม่ตอบสนองต่อความต้องการ
ความเป็นไปได้ของความผิดพลาดของระบบเมื่อมีความต้องการเกิดขึ้นจะเป็นความไม่พร้อมทำงาน (Unavailability) เพราะว่าเป็นความเป็นไปได้ของความผิดพลาดที่จุดกำหนดในช่วงเวลา ดังนั้นค่าเฉลี่ยความผิดพลาดอันตรายจึงเป็นค่าเฉลี่ยความไม่พร้อมทำงานของระบบหรือฟังก์ชันนิรภัย
ถ้าระบบมีการทดสอบการทำงานเป็นระยะ ๆ และทดสอบแบบสมบูรณ์ (Completely) และที่เวลาหลังจากจบการทดสอบการทำงานจะสันนิษฐานว่าระบบจะกลับไปสู่จุดเริ่มต้นการทำงานใหม่ ดังนั้นในการวิเคราะห์ความเชื่อมั่นในการทำงานจึงมีความเกี่ยวข้องกับการทดสอบการทำงาน และความสัมพันธ์นี้เป็นทฤษฎีการทำงานของระบบ
ความเชื่อมั่นและความพร้อมจากฟังก์ชันนิรภัย (Reliability/Availability from Safety Instrumented Function)
ความเชื่อมั่นของระบบสามารถถูกกำหนดได้จากความเป็นไปได้ว่าฟังก์ชันจะทำงานได้อย่างประสบความสำเร็จภายใต้สภาวะที่แสดงไว้สำหรับช่วงเวลาที่กำหนด ทำอย่างไรข้อกำหนดนี้จะนำไปใช้ในฟังก์ชันนิรภัยที่ว่าการถูกทดสอบเป็นระยะ ๆ และการกลับไปยังสภาวะเริ่มต้นถ้ามีการใช้ข้อกำหนดต่าง ๆ ดังนี้
• ความเป็นไปได้อ้างอิงถึงความเป็นไปได้ที่ฟังก์ชันจะทำงานได้อย่างเหมาะสม
• ทำงานได้อย่างประสบความสำเร็จภายใต้เหตุการณ์อันตรายที่กำลังป้องกันและยับยั้งเมื่อเกิดความต้องการ
• ช่วงเวลาเป็นภายในเวลาทดสอบการทำงาน (Test Interval)
ความพร้อมของระบบสามารถถูกกำหนดได้จากความเป็นไปได้ว่าฟังก์ชันจะทำงานได้เป็นอย่างดีภายใต้สภาวะที่แสดงไว้ที่ตำแหน่งแน่นอนในช่วงเวลา โดยสันนิษฐานว่าระบบมีการซ่อมบำรุงเป็นระยะ ๆ แต่ถ้ามีการสันนิษฐานว่าฟังก์ชันนิรภัยไม่ได้ถูกซ่อมในระหว่างเวลาทดสอบการทำงาน ดังนั้น
Reliability = Availability
และ Unreliability = Unavailability
Simplified Equations for Reliability and Unavailability
สำหรับระบบที่มีอัตราความผิดพลาดคงที่ (Constant Failure Rate) ซึ่งจะเป็นแบบฉบับของระบบอิเลคทรอนิคส์ในระบบ SIS ความเชื่อมั่นสามารถถูกคำนวณได้จากสมการนี้
จากความสัมพันธ์ของสมการข้างบนทำให้ได้ค่าความไม่พร้อมของ SIF เป็นดังนี้
Unavailability = t
เมื่อ t = Test Interval
= Failure Rate of Component
เป็นไปไม่ได้ที่ว่าฟังก์ชันนิรภัยจะเกิดความผิดพลาดขึ้นหลังจากสิ้นสุดเวลาการทดสอบเสมอ ดังเช่น ก่อนการทดสอบครั้งต่อไป ความผิดพลาดสามารถเกิดขึ้นหลังจากการทดสอบสมบูรณ์แล้วหรือที่เวลาใด ๆ ในช่วงระหว่างเวลาการทดสอบ ดังนั้นจึงทำให้มีความรู้สึกว่าเป็นไปได้สำหรับการสันนิษฐานว่าความผิดพลาดจะเกิดขึ้นที่เวลาตรงกลางของช่วงเวลาการทดสอบ ดังนั้นการคำนวณค่าเฉลี่ยความไม่พร้อมจึงใช้ค่าเวลาเป็น t/2 แทนการใช้ค่า t และค่าเฉลี่ยความไม่พร้อมจะเป็นค่าเฉลี่ยความผิดพลาดอันตราย
ค่าเฉลี่ยความผิดพลาดอันตรายของฟังก์ชันนิรภัย (PFDavg for the Complete Function)
จากรายละเอียดที่ได้แสดงไว้ในหัวข้อที่ผ่านมาว่า ฟังก์ชันนิรภัยประกอบไปด้วย อุปกรณ์ส่งสัญญาณ (Sensor), ส่วนประมวลผล (Logic Solver) และ อุปกรณ์สุดท้าย (Final Element) ถ้าสันนิษฐานว่าอัตราความผิดพลาดอันตราย (Dangerous Failure Rate) เป็นดังนี้
= อัตราความผิดพลาดอันตรายของอุปกรณ์ส่งสัญญาณ
= อัตราความผิดพลาดอันตรายของส่วนประมวลผล
= อัตราความผิดพลาดอันตรายของอุปกรณ์สุดท้าย
และเวลาทดสอบการทำงานเป็นดังนี้
TSE = เวลาทดสอบการทำงานของอุปกรณ์ส่งสัญญาณ
TLS = เวลาทดสอบการทำงานของส่วนประมวลผล
TFE = เวลาทดสอบการทำงานของอุปกรณ์สุดท้าย
ดังนั้นค่าเฉลี่ยความผิดพลาดอันตรายในแต่ละส่วนของฟังก์ชันนิรภัยจะเป็นดังนี้
ค่าเฉลี่ยความผิดพลาดอันตรายของอุปกรณ์ส่งสัญญาณ =
ค่าเฉลี่ยความผิดพลาดอันตรายของส่วนประมวลผล =
ค่าเฉลี่ยความผิดพลาดอันตรายของอุปกรณ์สุดท้าย =
ฟังก์ชันนิรภัยจะมีความผิดพลาดในการทำงานตามที่กำหนด ดังนั้นค่าเฉลี่ยความผิดพลาดอันตรายของฟังก์ชันนิรภัยจะเป็นดังแสดงในรูปที่ 1
รูปที่ 1 ค่าเฉลี่ยความผิดพลาดอันตรายของฟังก์ชันนิรภัย
จากรูปที่ 1 จะได้ค่าเฉลี่ยความผิดพลาดอันตรายของฟังก์ชันนิรภัยเป็นดังสมการนี้
ฟังก์ชันนิรภัยที่ไม่มีการทดสอบระบบ
ถ้าสันนิษฐานว่าไม่ได้มีการทดสอบการทำงานอุปกรณ์ส่งสัญญาณ แต่มีการทดสอบการทำงานส่วนประมวลผลและอุปกรณ์สุดท้ายเป็นระยะ ๆ ในกรณีนี้เวลาการทดสอบการทำงานสำหรับอุปกรณ์ส่งสัญญาณจะเป็นเวลาที่กระบวนการผลิตหยุดเพื่อซ่อมบำรุง ถ้ากำหนดให้มีระยะเวลาเป็นทุก ๆ 5 ปี และอุปกรณ์ส่งสัญญาณจะทดสอบการทำงานที่เวลานั้น
ดังนั้นเวลาทดสอบการทำงานของอุปกรณ์ส่งสัญญาณจะใช้เป็น 5 ปี เพื่อแสดงให้เห็นว่าการไม่ได้ทดสอบการทำงานอุปกรณ์ส่งสัญญาณเมื่อเปรียบเทียบกับการทดสอบการทำงานทุก ๆ ปีดังตัวอย่างต่อไปนี้ และใช้ตารางค่าระดับความปลอดภัยหรือ SIL (Safety Integrity Level) เป็นดังนี้
รูปที่ 2 ตารางค่าระดับความปลอดภัย
ตัวอย่างที่ 1 เมื่อกำหนดให้อุปกรณ์ส่งสัญญาณเป็นเครื่องมือวัดความดันที่มีอัตราความผิดพลาดอันตรายเท่ากับ 0.013 ครั้งต่อปีหรือ ( = 0.013 Failure/Year) ถ้ามีการทดสอบการทำงานทุก ๆ ปี ค่าเฉลี่ยความผิดพลาดอันตรายเป็นดังนี้
เมื่อค่าการลดความเสี่ยงหรือ RRF (Risk Reduction Factor) เป็นดังนี้
RRF = 1/PFDavg
= 1/0.0065
= 153.84
หรือมีค่าเท่ากับ SIL 2 (พิจารณาเฉพาะส่วนอุปกรณ์ส่งสัญญาณเท่านั้น)
ถ้ามีการทดสอบการทำงานที่เวลากระบวนการผลิตหยุดทุก 5 ปี ค่าเฉลี่ยความผิดพลาดอันตรายเป็นดังนี้
เมื่อค่าการลดความเสี่ยงหรือ RRF (Risk Reduction Factor) เป็นดังนี้
RRF = 1/ PFDavg
= 1/0.0325
= 30.76
หรือมีค่าเท่ากับ SIL 1 (พิจารณาเฉพาะส่วนอุปกรณ์ส่งสัญญาณเท่านั้น)
ในกรณีนี้จะทำให้ค่า SIL ของฟังก์ชันนิรภัยไม่สูงกว่า SIL 1 ด้วยข้อจำกัดของอุปกรณ์ส่งสัญญาณ
การทดสอบแบบไม่สมบูรณ์ (Incomplete Testing)
ถ้าให้ส่วนอุปกรณ์ส่งสัญญาณเป็นเครื่องมือวัดความดันและมี Impulse Line ต่อไปยังกระบวนการ ถ้าให้ส่วน Impulse line มีการทดสอบการทำงานในช่วงกระบวนการผลิตหยุดเพื่อซ่อมบำรุงทุก ๆ 10 ปี แต่เครื่องมือวัดความดันทดสอบการทำงานทุก ๆ ปี การคำนวณค่าเฉลี่ยความผิดพลาดอันตรายสำหรับระบบส่งสัญญาณนี้ควรจะมีการแยกพิจารณาออกเป็น 2 ส่วนดังนี้
• ส่วน Impulse Line
• ส่วนเครื่องมือวัดความดัน
ถ้ากำหนดให้
SS = อัตราความผิดพลาดของระบบส่งสัญญาณ
RT = อัตราความผิดพลาดของระบบส่งสัญญาณไม่รวม Impulse Line
LL = อัตราความผิดพลาดของ Impulse Line
ดังนั้นอัตราความผิดพลาดของระบบส่งสัญญาณจะเท่ากับ
ถ้ากำหนดให้ ET เป็นประสิทธิภาพในการทดสอบ เมื่อทำการทดสอบการทำงานเป็นประจำ ดังนั้น
ถ้ามีการทดสอบเฉพาะความผิดพลาดที่เกี่ยวข้องกับระบบส่งสัญญาณโดยไม่รวมความผิดพลาดของ Impulse Line ดังนั้น
และ
ถ้าเวลาการทดสอบเป็น T1 และเวลาที่กระบวนการผลิตหยุดทำงานเป็น T2 ดังนั้นค่าเฉลี่ยความผิดพลาดของระบบส่งสัญญาณเป็นดังนี้
สำหรับการทดสอบที่ไม่สมบูรณ์สามารถแบ่งความผิดพลาดออกได้เป็น 2 ส่วนแยกออกจากกันและในการคำนวณค่าเฉลี่ยความผิดพลาดสำหรับแต่ละส่วนตามเวลาการทดสอบโดยเฉพาะส่วน หลังจากนั้นรวมค่าทั้งสองส่วนเข้าด้วยกัน แสดงได้ดังรูปที่ 3
รูปที่ 3 ความผิดพลาดของการทดสอบที่ไม่สมบูรณ์
ประสิทธิภาพในการทดสอบจะอยู่บนพื้นฐานอัตราความผิดพลาดที่เกี่ยวข้องกับอุปกรณ์ ดังเช่น
ตัวอย่างที่ 2 จากตัวอย่างที่ 1
ถ้ามีการทดสอบการทำงานทุก ๆ ปี ค่าเฉลี่ยความผิดพลาดอันตรายเป็นดังนี้
ถ้ากำหนดให้ ET = 60% และกระบวนการผลิตหยุดทำงานเพื่อซ่อมบำรุงเป็นประจำทุก 10 ปี ดังนั้น
Partial Test of Valves
การทดสอบวาล์วเพียงบางส่วนเป็นตัวอย่างการทดสอบที่ไม่สมบูรณ์และสามารถพิจารณาทางคณิตศาสตร์เหมือนกับหัวข้อที่ผ่านมา การทดสอบวาล์วเพียงบางส่วนเป็นการทดสอบที่ไม่ต้องปิดวาล์ว (ปกติทำงานวาล์วจะเปิด) ให้เต็มระยะชัก บ่าวาล์ว, ลิ้นวาล์ว และอุปกรณ์อื่น ๆ จะไม่ได้ถูกทดสอบ ในการคำนวณค่าความผิดพลาดของการทดสอบแบบนี้ควรจะทำการวิเคราะห์แบบ FMEA (Failure Mode and Effect Analysis)
การทดสอบไม่สมบูรณ์ของระบบ Redundant
ถ้าพิจารณาการติดตั้งอุปกรณ์ Redundant ที่ประกอบด้วยวาล์วสองตัวในแบบอนุกรม ซึ่งจะมีการลงมติแบบ 1oo2 (One out of Two voting) และทดสอบที่ 100%
รูปที่ 4 วาล์วสองตัวในแบบอนุกรม
ในการทำงานปกติวาล์วทั้งสองตัวจะเปิด ในกรณีระบบ 1oo2 ดังแสดงในรูปที่ 4 ความผิดพลาดร่วม (Common Cause Failure: CCF) หรือ มีผลต่อการคำนวณค่าเฉลี่ยความผิดพลาด ความผิดพลาดร่วมสามารถแสดงได้สมการดังนี้
เป็นตัวแทนการแยกกันระหว่างกรณีความผิดพลาดร่วมกันและความผิดพลาดรวม
อัตราความผิดพลาดรวมเป็นการรวมกันระหว่างความผิดพลาดอิสระและความผิดพลาดร่วม
= independent + common cause
สามารถแสดง Fault Tree ของความผิดพลาดร่วมได้ดังรูปที่ 5
รูปที่ 5 Fault Tree ของความผิดพลาดร่วม
จากFault Tree ของความผิดพลาดร่วมจะได้ค่าเฉลี่ยความผิดพลาดเป็นดังนี้
เมื่อ I = อัตราความผิดพลาดอิสระของวาล์ว
T = เวลาทดสอบการทำงาน
เมื่อ แทนค่าเฉลี่ยความผิดพลาดของอุปกรณ์ในส่วน 1oo2
และ แทนค่าเฉลี่ยความผิดพลาดร่วมของอุปกรณ์
ตัวอย่างที่ 3 เมื่อกำหนดให้วาล์วมีอัตราความผิดพลาดอันตรายเท่ากับ 0.02 ครั้งต่อปีหรือ ( = 0.02 Failure/Year) มีค่าความผิดพลาดร่วมหรือ เท่ากับ 0.05 และเวลาทดสอบการทำงานเป็น 1 ปี ดังนั้น
ค่าเฉลี่ยความผิดพลาดอันตรายเท่ากับ
หรือ RRF = 1/0.00062 = 1612
จากคำตอบที่ได้จากการใช้อัตราความผิดพลาดอันตรายอิสระหรือ ID แต่ถ้าใช้ค่าอัตราความผิดพลาดอันตรายหรือ D ในการคำนวณจะได้ค่า RRF เท่ากับ 1587 ซึ่งจะเห็นว่ามีความแตกต่างกันเพียงเล็กน้อย ดังนั้นในการคำนวณจึงสามารถใช้ค่าอัตราความผิดพลาดอันตรายหรือ D แทนได้เพื่อลดความซับซ้อนของการคำนวณในหัวข้อต่อไป
ถ้าจากตัวอย่างที่ผ่านมามีการทดสอบการทำงานที่ไม่สมบูรณ์หรือการทดสอบที่ไม่ถึง 100 % หรือ ET < 100% โดยทั่วไปในระบบ 1oo2 วาล์วแต่ละตัวจะทดสอบการทำงานอย่างอิสระ เหมือนกับระบบส่งสัญญาณในหัวข้อที่ผ่านมา สามารถแยกวาล์วออกเป็น 2 ส่วน โดยส่วนประกอบ X เป็นการทดสอบที่ 100% เวลาการทดสอบเป็น T1 และส่วนประกอบ Y เป็นการทดสอบที่กระบวนการผลิตหยุดเพื่อซ่อมบำรุง เวลาการทดสอบเป็น T2 แสดง Fault Tree ของเงื่อนไขนี้ได้ดังรูปที่ 6
รูปที่ 6 Fault tree ของระบบ 1oo2 แบบการทดสอบไม่สมบูรณ์
ถ้า I = อัตราความผิดพลาดอันตรายของวาล์ว (Dangerous Failure Rate for Valve)
T1 = เวลาทดสอบการทำงาน
T2 = เวลากระบวนการผลิตหยุดทำงานเพื่อซ่อมบำรุง
= ความผิดพลาดร่วม
ET = ประสิทธิภาพการทดสอบ
ดังนั้นค่าเฉลี่ยความผิดพลาดอันตรายที่เวลาทดสอบการทำงาน T1
ดังนั้นค่าเฉลี่ยความผิดพลาดอันตรายที่เวลาทดสอบการทำงาน T2
ตัวอย่างที่ 4 เมื่อกำหนดให้วาล์วมีอัตราความผิดพลาดอันตรายเท่ากับ 0.02 ครั้งต่อปีหรือ ( = 0.02 Failure/Year) ถูกติดตั้งในรูปแบบ 1oo2 มีค่าความผิดพลาดร่วมหรือ เท่ากับ 0.05, เวลาทดสอบการทำงานเป็น 1 ปี, เวลากระบวนการผลิตหยุดเพื่อซ่อมบำรุงเป็น 25 ปี และประสิทธิภาพในการทดสอบเป็น 75% (ET = 75%) ดังนั้นสามารถหาค่าการลดความเสี่ยงเป็นดังนี้
ถ้าเปลี่ยนเวลากระบวนการผลิตหยุดเพื่อซ่อมบำรุงเป็น 5 ปี ค่าเฉลี่ยความผิดพลาดอันตรายจะเป็นดังนี้
เอกสารอ้างอิง
[1] Exida Safety Engineering II course notes
[2] IEC 61508-6, Guidelines on the application of IEC 61508-2 and IEC 61508-3.
[3] IEC-61511, Function safety-Safety instrumented system for the process industry sector
[4] ทวิช ชูเมือง, ระบบวัดคุมนิรภัยในอุตสาหกรรมกระบวนการผลิต, ISBN 974-212-172-9, บริษัท ซีเอ็ดยูเคชั่นจำกัด (มหาชน), 2548.
สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.
ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด