มาตรฐาน IEC 61508/61511 ได้ถูกรับรองตั้งแต่ปี ค.ศ. 2000 ให้นำมาใช้ในการออกแบบระบบนิรภัยในอุตสาหกรรมกระบวนการผลิต
การตรวจสอบค่าระดับความปลอดภัยของฟังก์ชันนิรภัย
(SIL Verification Methods)
ทวิช ชูเมือง
t_chumuang@yahoo.com
มาตรฐาน IEC 61508/61511 ได้ถูกรับรองตั้งแต่ปี ค.ศ. 2000 ให้นำมาใช้ในการออกแบบระบบนิรภัยในอุตสาหกรรมกระบวนการผลิต โดยมาตรฐานทั้งสองจะมีพื้นฐานอยู่บนสมรรถนะของระบบ SIS (Safety Instrumented System) หรือระบบวัดคุมนิรภัยหรือระบบนิรภัยที่มีส่วนประกอบของอุปกรณ์ไฟฟ้า/อิเล็กทรอนิกส์/ระบบไฟฟ้าที่โปรแกรมการทำงานได้หรือระบบ E/E/PEs (Electrical/Electronic/Programmable Electrical System)
ตามข้อกำหนดต่าง ๆ ของมาตรฐานสมรรถนะของระบบ SIS จะขึ้นอยู่กับค่าระดับความปลอดภัยหรือค่า SIL (Safety Integrity Level) ของฟังก์ชันนิรภัย หรือ SIF (Safety Instrumented Function) ซึ่งค่า SIL หรือค่าจำนวนความผิดพลาดในการทำงานจะถูกกำหนดในระหว่างการวิเคราะห์ความอันตรายของกระบวนการผลิต
(Process Hazard Analysis) ซึ่งเป็นขั้นตอนที่ต้องดำเนินการในการออกแบบกระบวนการผลิตและรายละเอียดวิธีการกำหนดค่า SIL ได้นำเสนอไปแล้วหลายบทความหรืออาจศึกษาเพิ่มเติมได้จากหนังสืออ้างอิง [6] ความสามารถของระบบ SIS จะขึ้นอยู่กับค่า SIL ซึ่งจะต้องมีการจัดทำให้สมรรถนะได้ตามความต้องการในแต่ละช่วงการออกแบบและก่อนจะมีการเปลี่ยนแปลงใด ๆ ในการออกแบบหลังจากระบบ SIS ได้ผ่านการทดสอบการทำงานไปแล้ว การจัดเตรียมสิ่งต่าง ๆ
ตามข้อกำหนดหรือข้อตกลงที่มาจากเป้าหมายค่า SIL ทั้งหมดต้องถูกตัดสินใจ สำหรับขั้นตอนการใช้งาน, การทดสอบ และการซ่อมบำรุง ดังนั้นในการทำตามข้อกำหนดของมาตรฐานทั้งสองเป็นสิ่งที่สำคัญมากเพื่อการจัดเตรียมให้ระบบ SIS มีสมรรถนะตามค่า SIL ที่ต้องการ
ในปัจจุบันผู้ใช้งานที่อยู่ในอุตสาหกรรมกระบวนการผลิตในประเทศ ได้เริ่มมีการนำมาตรฐานทั้งสองมาประยุกต์ใช้งานกับระบบนิรภัยกันมากขึ้น ทำให้ผู้ที่ทำงานเกี่ยวข้องกับระบบนิรภัยต่าง ๆ เช่น
- ผู้ผลิตหรือผู้จำหน่าย (Supplier)
- เจ้าของลิขสิทธิ์กระบวนการผลิต (Process Licensor)
- ผู้ออกแบบโรงงานอุตสาหกรรมกระบวนการผลิต (Engineering Contractor)
- ผู้ออกแบบระบบโดยรวม (System Integrator)
- ผู้ใช้งาน (User)
ซึ่งผู้ที่เกี่ยวข้องเหล่านี้ต้องปฏิบัติตามข้อกำหนดของมาตรฐานเมื่อเข้าไปทำงานในระบบนิรภัย ซึ่งในการทำงานอาจจะเริ่มตั้งแต่
- ขั้นตอนการออกแบบและกำหนดรายละเอียด
- การจัดหาและจัดเตรียมอุปกรณ์
- การจัดหาและจัดเตรียมระบบนิรภัย
- การติดตั้งอุปกรณ์ต่าง ๆ
- การทดสอบการทำงาน
- การซ่อมบำรุง
- การปรับปรุงหรือเปลี่ยนแปลงแก้ไขในภายหลัง
ซึ่งในการประยุกต์ใช้นั้นจะมีทั้งกับการก่อสร้างกระบวนการผลิตใหม่หรือแม้กระทั่งการปรับปรุงระบบนิรภัยเดิมที่มีอยู่แล้วในกระบวนการผลิตที่มีการก่อสร้างมานานแล้ว บางแห่งมีการก่อสร้างก่อนที่มาตรฐานทั้งสองจะรับรองให้มีการใช้งาน
สำหรับโครงการก่อสร้างใหม่ ๆ คงจะไม่ใช่ปัญหามากนัก ในการที่จะดำเนินการตามข้อกำหนดของมาตรฐาน ตั้งแต่ขั้นตอนการออกแบบกระบวนการผลิต และยังสามารถทำการปรับปรุงเปลี่ยนแปลงจนตรงกับความต้องการก่อนทำการจัดหาอุปกรณ์, ก่อสร้างและทดสอบการทำงาน ขั้นตอนที่สำคัญอีกขั้นตอนหนึ่งก็จะเป็นการตรวจสอบว่าระบบ SIS ที่ได้ออกแบบไว้มีค่า SIL ตรงกับเป้าหมายที่ต้องการ
สำหรับกระบวนการผลิตเก่า ซึ่งอาจไม่ได้ถูกออกแบบตามมาตรฐานใหม่นี้ตั้งแต่เริ่มต้น แต่ในการออกแบบได้ใช้มาตรฐานอื่นหรือจากคู่มือของเจ้าของลิขสิทธิ์กระบวนการผลิต (Process Licensor) ในช่วงดำเนินการก่อสร้าง ซึ่งบางครั้งในระหว่างการใช้งานที่ผ่านไประยะเวลาหนึ่ง ผู้ใช้งานอาจจะต้องมีการเพิ่มเติม, ปรับปรุงกระบวนการผลิต หรือปรับปรุงระบบนิรภัย อันเนื่องมาจากไม่มีการผลิตชิ้นส่วนสำรองหรืออาจเกิดจากการปรับปรุงหรือพัฒนาเทคโนโลยีใหม่ขึ้น
ซึ่งด้วยเหตุผลดังกล่าวทำให้ ผู้ใช้งานจึงอาจต้องใช้มาตรฐานใหม่นี้เข้าไปเกี่ยวข้องกับระบบเก่า ในการปรับปรุงระบบหรืออาจเนื่องมาจากข้อมูลหรือขั้นตอนในการออกแบบที่มีอยู่อาจจะไม่ครบถ้วน ในขั้นตอนการดำเนินการนั้นก็จะคล้ายคลึงกับการก่อสร้างโครงการใหม่ แต่จะมีขั้นตอนหนึ่งเพิ่มขึ้นนั่นคือการประเมินฟังก์ชันนิรภัยเก่าว่ามีสมรรถนะเป็นอย่างไรหรือเทียบเท่าได้กับค่า SIL เท่าไรก่อนจะทำการปรับปรุง
จากที่กล่าวมาแล้วข้างต้นจะเห็นว่าขั้นตอนการประมาณค่า SIL ของฟังก์ชันนิรภัยจะมีความจำเป็นที่จะต้องจัดทำเพื่อใช้ยืนยันว่าฟังก์ชันนิรภัยที่ออกแบบมีค่า SIL ตามเป้าหมายที่ต้องการ ในบทความนี้จะแสดงวิธีการประมาณค่า SIL ซึ่งเป็นวิธีการและแนวทางที่ยอบรับกันในวงกว้าง โดยแนวทางดังกล่าวจะถูกแสดงอยู่ในรายงานทางเทคนิค ISA TR84.00.02-2002 ซึ่งจะแสดงวิธีการตรวจสอบค่า SIL ทั้งหมด 3 วิธีดังนี้
1) Simplified Equation [2]
2) Fault Tree Analysis [3]
3) Markov Modeling [4]
รายงานทางเทคนิคฉบับนี้ได้นำเสนอขั้นตอนและข้อมูลต่าง ๆ ที่จะช่วยให้ผู้ใช้งานดำเนินการประเมินความสามารถของระบบ SIS ที่ถูกออกแบบให้มีค่า SIL ตามต้องการและสนับสนุนความคิดเห็นการประเมินระบบ SIS บนพื้นฐานของสมรรถนะในการทำงาน นอกเหนือจากนั้นแล้วรายงานทางเทคนิคยังแสดงให้เห็น ค่าทางตัวเลขของค่า SIL ของระบบ SIS ที่ถูกจัดเตรียมไว้ เพื่อให้แน่ใจว่าระบบ SIS ที่ออกแบบมีสมรรถนะตรงกับค่า SIL ที่ต้องการสำหรับแต่ละฟังก์ชันนิรภัย
เข้าใจปฏิกิริยาต่อกันของฟังก์ชันนิรภัยทั้งหมดและเข้าใจผลกระทบของความผิดพลาดของแต่ละส่วนประกอบในระบบ SIS จะเห็นได้ว่ารายงานทางเทคนิคฉบับนี้ให้ความสำคัญอย่างมากในการประเมินการออกแบบระบบ SIS
นอกจากนั้นรายงานทางเทคนิคฉบับนี้ยังยอมรับในความสำคัญของอัตราการทำงานไม่จริง (Spurious Trip Rate) ในการทำงานของส่วนสนับสนุนต่าง ๆ โดยทั่วไปแล้วการทำงานไม่จริงจะไม่มีเหตุการณ์อันตรายเกิดขึ้น แต่จะมีผลกระทบทำให้เกิดสิ่งต่าง ๆ ดังนี้
- กระบวนการผลิตขัดข้องหรือหยุดทำงาน
- เกิดเสียงสัญญาณเตือนขึ้นบนระบบควบคุมพื้นฐาน
- วาล์วนิรภัยทางกล (Safety Relief Valve) ทำงาน เป็นสาเหตุให้ระบบเผาทิ้ง (Flares) ทำงาน
ด้วยเหตุผลนี้รายงานทางเทคนิคฉบับนี้จึงแสดงคณิตศาสตร์ที่เกี่ยวข้องกับการกำหนดค่าอัตราการทำงานไม่จริง เมื่อดูการคำนวณที่ถูกแสดงไว้และแปลไปเป็นผลลัพธ์ ที่เป็นสิ่งสำคัญในการเข้าใจว่าอัตราการทำงานไม่จริงเป็นความถี่กับจำนวนของความผิดพลาดต่อหน่วยของเวลาและค่า SIL เป็นค่าความเป็นไปได้ ซึ่งจะไม่มีหน่วยเป็นจำนวน
ISA TR84.00.02-2002 แสดงวิธีการทางตัวเลขไว้ 3 วิธีดังกล่าวข้างต้น ซึ่งเนื้อหาในรายงานทางเทคนิคฉบับนี้จะไม่ครอบคลุมตำราเรียนหรือตำราทางวิชาการใด เนื้อหาทุกส่วนของรายงานจะสันนิษฐานว่าผู้ใช้งานมีพื้นฐานความเข้าใจของทฤษฎีความน่าจะเป็นและวิธีการที่ถูกแสดงไว้ นอกจากนั้นยังสันนิษฐานว่าผู้ใช้งานทราบว่าจะหาค่าจำนวนตัวเลขและประมาณข้อมูลสำหรับนำไปใช้งานตามที่กำหนด ความตั้งใจของรายงานเป็นการจัดเตรียมแนวทางว่าทำอย่างไรที่จะประยุกต์ความรู้นี้ในระบบ SIS
ผู้ใช้งานเป็นส่วนใหญ่จะเลือกใช้วิธีการ Simplified Equation เป็นทางเลือกแรกสำหรับการเริ่มต้นประเมินค่าเฉลี่ยความผิดพลาดอันตราย หรือค่า PFDavg (Probability of Failure on Demand Average)
สำหรับการออกแบบฟังก์ชันนิรภัยต่าง ๆ วิธีการนี้อาจจะถูกนำไปใช้ในการประเมินระบบ SIS ที่มีค่า SIL 1 และ SIL 2 เมื่อโครงสร้างทางกายภาพที่ไม่ซับซ้อมและมีความง่ายต่อการคำนวณด้วยมือ สำหรับระบบ SIS ที่ค่า SIL 3 จะมีความซับซ้อนในการออกแบบมากกว่าจึงทำให้วิธีการ Simplified Equation ไม่เหมาะสมในการใช้งาน ด้วยเหตุผลนี้รายงานทางเทคนิคจึงแนะนำให้ใช้วิธีการ Simplified Equation สำหรับระบบ SISที่ไม่มีความซับซ้อน
สำหรับระบบ SIS ที่มีความซับซ้อนรายงานทางเทคนิคจะแนะนำให้ใช้วิธีการ Fault Tree Analysis หรือ Markov Modeling สำหรับวิธี Fault Tree Analysis มีการถูกใช้งานอย่างกว้างโดยการประเมินความเสี่ยงทั่วไปกับอุตสาหกรรมมานานแล้ว จึงเหมาะสำหรับการคำนวณความถี่หรือความน่าจะเกิดแผนการโดยเฉพาะ การคำนวณสามารถถูกกระทำด้วยมือ แต่เมื่อโปรแกรมคอมพิวเตอร์มีพร้อมให้ใช้งาน จึงทำให้สามารถจัดเตรียมวิธีการ Fault Tree Analysis เกือบส่วนใหญ่จึงใช้โปรแกรมคอมพิวเตอร์
การวิเคราะห์ความเสี่ยงส่วนใหญ่จะไม่คุ้นเคยกับวิธีการ Markov Modeling และรากฐานทางคณิตศาสตร์เบื้องหลังวิธีการนี้ จะเป็นการคำนวณทางเมตริกซ์ (Matrix) หรือการแปลงลาพาซ (Laplace Transform) ซึ่งจะมีความยากในการคำนวณ ถ้าผู้ใช้งานลืมหรือไม่ค่อยได้ใช้งานการคำนวณทางคณิตศาสตร์เหล่านี้บ่อย ๆ อย่างไรก็ตามวิธีการ Markov Modeling ควรจะถูกใช้สำหรับการประเมิน
ส่วนประมวลผลที่โปรแกรมการทำงานได้ (Programmable Logic Solver) เนื่องจาก Markov Modeling สามารถคำนวณค่าความผิดพลาดที่ขึ้นกับเวลาได้ (Time Dependent Failures) และการเปลี่ยนแปลงอัตราการซ่อมแซมที่จะพบข้อมูลได้ในการรับรองจากองค์กรอิสระดังเช่น TUV
เมื่อผู้ผลิตต้องการจัดเตรียมค่าเฉลี่ยความผิดพลาดอันตรายให้กับผู้ใช้งาน ซึ่งวิธีการ Markov Modeling จึงมีความเหมาะสมที่จะดำเนินการโดยผู้ผลิต เพื่อจัดเตรียมข้อมูลให้กับผู้ใช้งานหรือผู้ซื้อ ซึ่งผู้ใช้งานหรือผู้ซื้อควรจะให้ความสนใจในการเรียนรู้วิธีการใช้ Simplified Equation และ Fault Tree Analysis ในการประเมินการออกแบบระบบ SIS ที่รวมไปถึง อุปกรณ์อินพุต, เอาต์พุต และใช้รับรองระบบ SIS โดยรวม
การคำนวณค่า SIL ด้วยวิธีการ Simplified Equation
เทคนิคของวิธีการ Simplified Equation เกี่ยวข้องกับการกำหนดค่าเฉลี่ยความผิดพลาดอันตราย ของฟังก์ชันนิรภัยที่ประกอบด้วยส่วนต่าง ๆ เป็นดังนี้
- เครื่องมือวัดอินพุต (Field Sensor)
- ส่วนประมวลผล (Logic Solver)
- อุปกรณ์สุดท้าย (Final Element)
- ระบบสนับสนุน (Support System)
เครื่องมือวัดอินพุตเป็นที่ต้องการในการตรวจจับสภาวะอันตราย ส่วนประมวลผลจะอ่านค่าอินพุตจากเครื่องมือวัดเหล่านี้และกำหนดค่าเอาต์พุตที่ถูกต้องออกไปในการเปลี่ยนสถานะของอุปกรณ์สุดท้าย สำหรับสั่งการให้ยับยั้งสภาวะอันตรายที่อาจจะเกิดขึ้น ระบบสนับสนุนจะเป็นระบบที่ต้องการเพื่อให้ระบบ SIS มีการทำงานตามฟังก์ชันนิรภัยได้อย่างสมบูรณ์ ถ้าอุปกรณ์สุดท้ายเป็นวาล์วแบบที่ใช้ความดันลมในการทำให้เคลื่อนที่
แหล่งจ่ายความดันลมต้องมีการวิเคราะห์ ถ้าระบบนิรภัยเป็นแบบจ่ายไฟออกไปเพื่อหยุดการทำงาน (Energize to Trip) แหล่งจ่ายพลังงานไฟฟ้าจะต้องถูกพิจารณาให้เป็นส่วนหนึ่งของระบบ SIS เมื่อทราบค่าความผิดพลาดอันตรายของแต่ละส่วน ตั้งแต่ อินพุต, ส่วนประมวลผล, เอาต์พุต และส่วนสนับสนุน ค่าความผิดพลาดอันตรายรวมของระบบ SIS จะเป็นดังนี้
Simplified Equation ถูกใช้ในการคำนวณค่าเฉลี่ยความผิดพลาดอันตราย ซึ่งมีจุดเริ่มต้นของสมการมาจากวิธีการ Markov Modeling อย่างไรก็ตามมีการทำรูปแบบสมการให้ง่ายขึ้น จึงมีข้อจำกัดบางสิ่งในผลลัพธ์ วิธีการนี้จะไม่เหมือนกับวิธีการ Markov Modeling ซึ่งไม่สามารถรองรับค่าความผิดพลาดที่เกิดขึ้นกับเวลา หรือความผิดพลาดที่ขึ้นอยู่กับลำดับ (Sequence Dependent Failures) เนื่องจากข้อจำกัดเหล่านี้วิธีการ Simplified Equation จึงไม่เหมาะที่จะนำไปวิเคราะห์ส่วนประมวลผลที่โปรแกรมการทำงานได้
ส่วนที่ 2 ของรายงานจะรวมสมการของอุปกรณ์รูปแบบต่าง ๆ เป็นดังนี้
- 1oo1 (One out of one voting)
- 1oo2 (One out of two voting)
- 1oo3 (One out of three voting)
- 2oo2 (Two out of two voting)
- 2oo3 (Two out of three voting)
- 2oo4 (Two out of four voting)
สมการเหล่านี้จะมาจากวิธีการ Markov Modeling สันนิษฐานว่ามีผลที่ได้จะมีค่าความผิดพลาดน้อย โดยการประมาณสามารถถูกใช้ได้เมื่อค่าอัตราความผิดพลาด หรือ ? (Failure Rate) ถูกคูณด้วยช่วงเวลาในการทดสอบ หรือ TI (Testing Interval) ต้องมีค่าน้อยกว่า 0.1 ซึ่งสามารถแสดงทางคณิตศาสตร์ได้เป็น x TI << 0.1 ผลลัพธ์ของวิธีการ Simplified Equation ในการคำนวณค่าเฉลี่ยความผิดพลาดอันตราย ของแต่ละรูปแบบการลงมติ (Voting Configuration) สมการที่เพิ่มขึ้นจะรวมความไม่แน่นอน บางส่วนเพื่อสำหรับข้อมูลที่ถูกนำเสนอไม่มี ความไม่แน่นอนเหล่านี้ควรจะต้องถูกประมาณจากประสบการณ์ ผลที่สุดการวิเคราะห์ความเสี่ยงจากประสบการณ์ และ/หรือต้องการวิศวกรเพื่อประมาณความถูกต้องของความไม่แน่นอนเหล่านี้ สมการสำเร็จรูปของรูปแบบ 1oo2 จะเป็นดังนี้
ส่วนแรกของสมการเป็นความผิดพลาดอันตรายที่ตรวจจับไม่ได้ หรือ DU (Undetected Dangerous Failure Rate) ของระบบ SIS จะแสดงผลกระทบว่าอัตราความผิดพลาดที่ตรวจจับไม่ได้และช่วงเวลาในการทดสอบที่มีผลบนค่าเฉลี่ยความผิดพลาดอันตราย ส่วนนี้จะเป็นส่วนที่สำคัญที่สุดของสมการในการกำหนดค่าความไม่พร้อม (Unavailability) ของระบบ SIS ส่วนนี้จะถูกทำให้ง่ายขึ้นมากจากผลลัพธ์ที่ได้มาจากวิธีการ Markov Modeling
สำหรับตัวแปรเบต้า () เป็นเทคนิคที่สามารถถูกใช้ในการประมาณผลกระทบที่มาจากความผิดพลาดร่วมกัน หรือ CCF (Common Cause Failure) บนการออกแบบระบบ SIS ตัวแปรเบต้าถูกประมาณตามเปอร์เซ็นต์ของอัตราความผิดพลาดของอุปกรณ์หนึ่งในรูปแบบระบบสำรอง (Redundant) โดยสันนิษฐานว่าอุปกรณ์ทั้งสองต้องมีอัตราความผิดพลาดที่เหมือนกัน (ในส่วนที่สามของสมการ) ดังนั้นอัตราความผิดพลาดร่วมควรจะเป็น x
และความผิดพลาดอิสระควรจะเป็น (1-) x สำหรับการนำเสนอบางส่วนในรายงานทางเทคนิคส่วนที่ 2 ค่า (1-) ถูกพิจารณาให้เท่ากับ 1 เพื่อให้ได้ผลลัพธ์อยู่ในขอบเขต สำหรับตัวแปรเบต้าที่มีค่ามาก (1-) จะต้องถูกพิจารณา ซึ่งจะได้สมการเป็นดังนี้
ถ้าข้อมูลความผิดพลาดที่ถูกนำเสนออยู่ในเอกสารต่าง ๆ [5] บางครั้งจะจัดเตรียมอัตราความผิดพลาดอันตรายตรวจจับไม่ได้ แต่อย่างไรก็ตามในหลาย ๆ ครั้งข้อมูลความผิดพลาดจะถูกนำเสนอเฉพาะอัตราความผิดพลาดวิกฤติรวม (Total Critical Failure Rate) ถ้ารู้เฉพาะค่าอัตราความผิดพลาดวิกฤติรวมผู้ใช้งานต้องทำการสันนิษฐานเปอร์เซ็นต์ที่เกี่ยวข้องกับอัตราความผิดพลาดวิกฤติรวมที่ความผิดพลาดต่าง ๆ
สามารถถูกตรวจจับได้โดยระบบวินิจฉัยเพื่อใช้คำนวณค่าความผิดพลาดประเภทต่าง ๆ แต่ถ้าไม่ทราบเปอร์เซ็นต์การตรวจจับเหล่านี้ ค่าอัตราความผิดพลาดวิกฤติรวมก็สามารถถูกนำไปหาขอบเขตค่าเฉลี่ยความผิดพลาดอันตรายของระบบ SIS ได้
ส่วนที่สองของสมการเป็นความน่าจะเป็นที่มีความผิดพลาดตรวจจับไม่ได้ครั้งที่สองในระบบระหว่างการตรวจซ่อมของความผิดพลาดตรวจจับได้ ค่าตัวเลขของทั้งสองส่วนนี้โดยทั่วไปจะมีค่าน้อย เมื่อเวลาในการตรวจซ่อม หรือ MTTR (Mean Time to Repair) โดยทั่วไปจะมีค่าน้อยกว่า 24 ชั่วโมง
ส่วนที่สามแสดงความน่าจะเป็นของความผิดพลาดร่วมเป็นพื้นฐานตัวแปรเบต้า ซึ่งจะต้องถูกประมาณโดยผู้ใช้งาน เนื่องจากยังไม่มีการนำเสนอข้อมูลนี้ในเทคโนโลยีของอุปกรณ์ในปัจจุบัน รายงานทางเทคนิคแสดงไว้ว่า ค่าความผิดพลาดร่วมจะมีค่าอยู่ระหว่าง 0 ถึง 20 เปอร์เซ็นต์ ค่านี้มีผลกระทบอย่างแน่นแฟ้นกับค่าเฉลี่ยความผิดพลาดอันตรายที่ถูกคำนวณหาค่าสำหรับรูปแบบอุปกรณ์ที่มีระบบสำรอง
ดังนั้นค่าความผิดพลาดร่วมจึงต้องถูกเลือกอย่างระมัดระวัง สำหรับการเปรียบเทียบเริ่มต้นของรูปแบบและความถี่ในการทดสอบจะเป็นการดีที่สันนิษฐานว่า ส่วนนี้จะถูกตัดทิ้งไป การออกแบบที่ดีสามารถทำให้ค่าความผิดพลาดร่วมมีค่าต่ำ อย่างไรก็ตามถ้าการวิเคราะห์ของการออกแบบแสดงว่าความผิดพลาดร่วมสามารถเกิดขึ้นได้ ดังเช่น เครื่องมือวัดใช้จุดต่อจากกระบวนการผลิตร่วมกันหรือเครื่องมือวัดการไหลใช้แผ่นออริฟิสร่วมกัน ค่าตัวแปรเบต้าควรถูกเลือกและแสดงในการคำนวณสุดท้าย
ส่วนที่สี่ของสมการเป็นความน่าจะเป็นของความผิดพลาดเป็นระบบ (Systematic Failure) ความผิดพลาดเหล่านี้เป็นผลลัพธ์เนื่องมาจากความผิดพลาดในการออกแบบและการจัดทำ ความผิดพลาดเป็นระบบไม่มีความสัมพันธ์กับความผิดพลาดของอุปกรณ์
ตัวอย่างของความผิดพลาดเป็นระบบมีดังนี้
- SIS Design Errors
- Hardware Implementation Errors
- Software Errors
- Human Interaction Errors
- Hardware Design Errors
- Modification Errors
อัตราความผิดพลาดเป็นระบบที่มีความยากมากในการประมาณค่า นอกจากนั้นหลายรายการที่แสดงความผิดพลาดเป็นระบบจะกระทบกับรูปแบบทั้งหมดอย่างเท่าเทียมกัน ถ้าการออกแบบโปรแกรมการทำงานที่ไม่ดี ก็จะไม่มีความหมาย ถึงแม้ว่าจะมีเครื่องมือวัดทำงานร่วมกันหลายตัวก็ตาม ในส่วนนี้สันนิษฐานว่าความผิดพลาดเป็นระบบสามารถถูกวินิจฉัยผ่านการทดสอบการทำงาน ดังนั้นการออกแบบที่ดี
การตรวจสอบอย่างอิสระและผ่านขั้นตอนการทดสอบ ต้องถูกจัดทำขึ้น เพื่อทำให้ความน่าจะเกิดความผิดพลาดเป็นระบบมีค่าลดลง นอกจากนั้นแล้วเมื่อใช้การออกแบบทางวิศวกรรมที่ดีความผิดพลาดเหล่านี้สามารถพิจารณาตัดทิ้งออกไปได้
บนพื้นฐานเวลาการตรวจซ่อมที่สั้นและการลดความผิดพลาดร่วมและความผิดพลาดเป็นระบบผ่านการออกแบบทางวิศวกรรมที่ดี ส่วนต่าง ๆ เหล่านี้สามารถถูกตัดทิ้งออกไปได้ จะได้สมการสุดท้ายเป็นดังนี้
ในทางคล้ายคลึงกันการลดรูปสมการถูกแสดงสำหรับรูปแบบ 1oo1, 1oo2, 1oo3, 2oo2, 2oo3 และ 2oo4 โดยแสดงสมการของรูปแบบบางส่วนได้เป็นดังนี้
สำหรับอัตราการทำงานไม่จริง (Spurious Trip Rate) สมการเต็มรูปแบบ 1oo2 เป็นดังนี้
ส่วนแรกของสมการประกอบด้วยความผิดพลาดที่เกี่ยวข้องกับประสบการณ์ของอุปกรณ์ทั้งความผิดพลาดอันตรายตรวจจับได้ เป็นตัวทำให้ระบบอยู่ในสภาวะหยุดทำงานหรือประสบการณ์ความผิดพลาดนิรภัย (Safe Failure) เนื่องจากมีความเกี่ยวข้องกับการทำงานไม่จริงแล้ว ผู้ใช้งานส่วนใหญ่เลือกให้ความผิดพลาดที่อุปกรณ์ตรวจจับได้ จะไม่ทำให้ระบบหยุดทำงาน
ระบบประมวลผลจะเปลี่ยนการทำงานจากรูปแบบ 1oo2 ไปเป็นรูปแบบ 1oo1 จนกระทั่งการตรวจซ่อมเริ่มขึ้น ถ้าใช้รูปแบบนี้อัตราความผิดพลาดอันตรายตรวจจับได้ที่สนับสนุนให้เกิดอัตราการผิดพลาดไม่เป็นจริงสามารถสันนิษฐานให้เป็นศูนย์ได้
ส่วนที่สองของสมการเป็นส่วนที่ร่วมกันและส่วนที่สามเป็นอัตราความผิดพลาดเป็นระบบ การออกแบบวิศวกรรมที่ดีจะทำให้ทั้งสองส่วนมีค่าน้อยลง ซึ่งสมการสามารถทำให้ลดลงได้เป็นดังนี้
ในทางคล้ายคลึงกันการลดรูปสมการของรูปแบบอื่น ๆ สามารถทำได้ดังกล่าวข้างต้น โดยแสดงสมการของรูปแบบบางส่วนได้เป็นดังนี้
เมื่อรู้ค่าอัตราการทำงานไม่จริง สำหรับแต่ละส่วนที่ทำงานร่วมกันตั้งแต่ เครื่องมือวัดอินพุต, ส่วนประมวลผล, อุปกรณ์สุดท้ายและระบบสนับสนุน อัตราการทำงานไม่จริงโดยรวม ถูกคำนวณโดยการรวมค่าของแต่ละส่วนเข้าด้วยกัน คำตอบสุดท้ายเป็นความถี่ซึ่งระบบ SIS ถูกคาดหวังจากประสบการณ์ในการทำงานที่ไม่จริง
ข้อจำกัดของตัวแปรที่นำมาใช้ในวิธีการ Simplified Equation สำหรับการประเมินระบบ SIS นั้นคือ สมการที่ถูกนำเสนอจะไม่ยินยอมให้ใช้ในเทคโนโลยีรูปแบบอุปกรณ์ที่แตกต่างกัน เครื่องมือวัดและอุปกรณ์สุดท้ายที่ถูกใช้ในรูปแบบการลงมติต้องมีอัตราการผิดพลาดที่เหมือนกัน วิธีการนี้จะไม่ยินยอมให้ใช้กับรูปแบบเครื่องมือวัดแบบสวิตช์ทำงานร่วมกับทรานมิตเตอร์ หรือ วาล์วทำงานด้วยระบบกับวาล์วทำงานด้วยมือ
นอกจากนั้นยังไม่ยินยอมในรูปแบบปฏิกิริยาภายในของระบบ SIS หรือการทำงานที่ซับซ้อนดังเช่น เครื่องมือวัดอุณหภูมิรูปแบบ 1oo2 ตรวจจับอันตรายพร้อมกับเครื่องมือวัดความดันรูปแบบ 2oo3 การทำงานจริงอาจจะเกิดขึ้นจนกระทั่งอย่างน้อย เครื่องมือวัดอุณหภูมิรูปแบบ 1oo2 และเครื่องมือวัดความดันรูปแบบ 2oo3 เกิดความผิดพลาด วิธีการนี้จะถูกต้องเฉพาะความผิดพลาดที่แยกออกจากกัน
ด้วยเหตุนี้วิธีการ Simplified Equation จะถูกใช้เฉพาะระบบ SIS ที่ง่ายและไม่ซับซ้อน อย่างไรก็ตาม คณิตศาสตร์ที่ง่ายและวิธีการทั้งหมดสามารถทำบนกระดาษด้วยมือหรือบนโปรแกรมคอมพิวเตอร์
การกำหนดค่า SIL ด้วยวิธีการ Fault Tree Analysis
รายงานทางเทคนิคส่วนที่ 3 จะกล่าวถึงการวิเคราะห์ด้วยวิธีการ Fault Tree Analysis สำหรับรูปแบบของระบบ SIS สัญลักษณ์ของ Fault Tree ถูกใช้แสดงความผิดพลาดของระบบ SIS เทคนิครูปภาพของ Fault Tree Analysis ช่วยให้มองแผนภาพความผิดพลาดได้ง่าย เมื่อความผิดพลาดจริงได้ถูกจัดทำขึ้น ทำให้สามารถประมาณรูปแบบที่ซับซ้อนได้ดังเช่น เครื่องมือวัดต่างชนิดกัน
รูปแบบการลงมติที่ซับซ้อน และความสัมพันธ์ภายในที่เกี่ยวข้องกัน อย่างไรก็ตามวิธีการ Fault Tree Analysis ไม่ได้มีความพร้อมสมบูรณ์ในการนำไปใช้กับระบบ SIS ที่มีความผิดพลาดขึ้นอยู่กับเวลาซึ่งจะเหมือนกับวิธีการ Simplified Equation วิธีการ Fault Tree Analysis ไม่แนะนำให้นำไปใช้กับระบบประมวลผลที่โปรแกรมการทำงานได้ ผู้ใช้งานควรจะค้นหาข้อมูลค่าเฉลี่ยความผิดพลาดอันตรายของส่วนประมวลผลจากผู้ผลิตจะได้ข้อมูลที่มีความถูกต้องมากกว่า
วิธีการ Fault Tree Analysis เป็นหนึ่งในเทคนิคที่ถูกประยุกต์ใช้สำหรับการคำนวณความเสี่ยงในอุตสาหกรรมกระบวนการผลิต โดยผู้ใช้งานสามารถเรียนรู้วิธีการ Fault Tree Analysis จากโปรแกรมคอมพิวเตอร์, หนังสือ และการอบรมที่มีอยู่มากในปัจจุบัน รายงานทางเทคนิคแนะนำให้ใช้วิธีการ Fault Tree Analysis ในระบบ SIS ที่มีค่า SIL 2 และ SIL 3 ผู้ใช้งานต้องมีประสบการณ์มากหรือเข้ารับการอบรมมากกว่าการใช้วิธีการ Simplified Equation แต่ผลลัพธ์ที่จะได้รับจะมีความแม่นยำมากกว่า
คณิตศาสตร์ที่ใช้สำหรับวิธีการ Fault Tree Analysis จะแตกต่างจากการวิเคราะห์ด้วย Markov Modeling โดยสันนิษฐานว่าความผิดพลาดของอุปกรณ์สำรองเป็นทั้งแบบอิสระและแบบสุ่ม ในวิธีการ Fault Tree Analysis ค่าเฉลี่ยความผิดพลาดอันตรายถูกคำนวณในแต่ละอุปกรณ์และพีชคณิตบูลีน (Boolean Algebra) ถูกใช้ในการรวมเข้าด้วยกันสำหรับรูปแบบและการลงมติ
ด้วยเหตุนี้สมการถูกใช้สำหรับทุกรูปแบบจะมีความแตกต่างเมื่อใช้ วิธีการ Simplified Equation แทนวิธีการ Fault Tree Analysis เมื่อสมการมีความแตกต่างกัน ค่าเฉลี่ยความผิดพลาดอันตรายก็จะแตกต่างกันขึ้นอยู่กับรูปแบบที่ใช้งาน อย่างไรก็ตามทั้งสองวิธีการเป็นที่ยอมรับในการประมาณค่าเฉลี่ยความผิดพลาดอันตรายของระบบ SIS สามารถแสดงพีชคณิตบูลีนที่ใช้งานได้บ่อยครั้งเป็นดังนี้
วิธีการ Fault Tree Analysis จะเริ่มต้นด้วยแผนภาพที่ใช้แทนความผิดพลาดของระบบ SIS ดังตัวอย่างในระบบการลงมติ 1oo2 ของอุปกรณ์ที่มีความเหมือนกัน โดยแผนภาพวิธีการ Fault Tree Analysis จะแสดงได้ดังรูปที่ 1 ความผิดพลาดของระบบ SIS ควรจะเกิดขึ้นถ้าอุปกรณ์ทั้งสองมีความผิดพลาด AND gate จึงถูกใช้แสดงการทำงานของระบบ
รูปที่ 1 แผนภาพวิธีการ Fault Tree Analysis ของระบบการลงมติ 1oo2
ข้อมูลความผิดพลาดควรถูกรวบรวมและนำไปใช้ในการคำนวณหาค่าเฉลี่ยความผิดพลาดอันตรายของแต่ละอุปกรณ์ในแต่ละส่วนเป็นดังนี้
พีชคณิตบูลีนในการคำนวณ AND gate จะเป็นดังนี้
เมื่อการคำนวณเหล่านี้ถูกคำนวณบนพื้นฐานค่าเฉลี่ยความผิดพลาดอันตรายสำหรับอุปกรณ์ตัวเดียว จึงเป็นเรื่องง่ายสำหรับการจำลองสาเหตุต่าง ๆ ถ้าอัตราความผิดพลาดและความถี่ในการทดสอบของอุปกรณ์ทั้งสองไม่เหมือนกัน ค่าเฉลี่ยความผิดพลาดอันตรายของแต่ละเหตุการณ์จึงง่ายในการถูกคำนวณบนพื้นฐานบนอัตราความผิดพลาดและความถี่ในการทดสอบของแต่ละอุปกรณ์ ค่าเฉลี่ยความผิดพลาดอันตรายเหล่านี้ถูกรวมเข้าด้วยคณิตศาสตร์แต่ละชุด
ส่วนต่าง ๆ ในวิธีการ Simplified Equation สามารถถูกรวมเข้ากับเหตุการณ์ในวิธีการ Fault Tree Analysis ดังเช่นความผิดพลาดเป็นระบบและความผิดพลาดร่วม อุปกรณ์ในรูปแบบการลงมติ 1oo2 ที่ถูกรวมเข้าด้วยสาเหตุความผิดพลาดร่วมแสดงได้ดังรูปที่ 2
รูปที่ 2 รูปแบบการลงมติ 1oo2 ที่ถูกรวมเข้าด้วยสาเหตุความผิดพลาดร่วม
อัตราความผิดพลาดอิสระจะคำนวณได้จากสมการนี้
ในการคำนวณอัตราการทำงานไม่จริง จะใช้วิธีแผนภาพเหมือนกันตามชุดของคณิตศาสตร์ อย่างไรก็ตามสมการที่ถูกใช้แสดงเหตุการณ์แต่ละส่วนอยู่บนพื้นฐานที่ไม่ใช้ความน่าจะเป็น สำหรับอุปกรณ์รูปแบบการลงมติ 1oo2 แผนภาพ Fault Tree Analysis ของอัตราการทำงานไม่จริงแสดงได้ดังรูปที่ 3
รูปที่ 3 แผนภาพ Fault Tree Analysis ของอัตราการทำงานไม่จริงรูปแบบ 1oo2
อัตราการทำงานไม่จริงถูกคำนวณด้วย OR gate เป็นสมการดังนี้
วิธีการ Fault Tree Analysis มีข้อดี สามประการที่เกี่ยวข้องกับการใช้ตรวจสอบค่า SIL เป็นดังนี้
1) รูปแบบที่ใช้สร้างแผนภาพความผิดพลาดนั้น ง่ายต่อการเข้าใจของผู้วิเคราะห์, วิศวกร, ผู้จัดการโครงการ
2) วิธีการนี้ถูกใช้โดยผู้ประเมินความเสี่ยงสำหรับอุตสาหกรรมกระบวนการผลิตมานานหลายปีแล้ว ดังนั้นจึงมีข้อมูลพร้อมใช้งานในหลายบริษัทผู้ใช้งาน รวมไปถึงบริษัทที่ปรึกษา
3) มีเครื่องมือการคำนวณบนโปรแกรมคอมพิวเตอร์สำหรับจัดเตรียมการคำนวณที่สามารถปรับปรุงคุณภาพและความแม่นยำของการคำนวณได้มาก
ต่อไปจะแสดงตัวอย่างการใช้วิธีการ Fault Tree Analysis กับฟังก์ชันนิรภัยที่มีความซับซ้อนดังเช่น ฟังก์ชันนิรภัยของแท่นผลิตกลางทะเลที่มีหลุมผลิต 5 หลุม โดยแต่ละหลุมจะมีฟังก์ชันนิรภัยดังรูปที่ 4
รูปที่ 4 ฟังก์ชันนิรภัยของแท่นหลุมผลิต
จากรูปที่ 4 สามารถเขียน Fault Tree Analysis ฟังก์ชันนิรภัยในด้านเอาต์พุตของแต่ละหลุมผลิตได้เป็นดังนี้
รูปที่ 5 Fault Tree Analysis ในด้านเอาต์พุตของแต่ละหลุมผลิต
โดยสภาวะปลอดภัยที่ถูกกำหนดในช่วงการวิเคราะห์ความอันตรายของกระบวนการผลิต กำหนดให้เมื่อเกิดความดันสูงเกินที่ท่อส่งร่วมต้องทำการปิดวาล์วจากหลุมผลิตทั้งหมดและปิดวาล์วนิรภัยที่ท่อส่งร่วม ซึ่งจะสามารถเขียนแผนภาพความผิดพลาดอันตรายได้ดังรูปที่ 6
รูปที่ 6 Fault Tree Analysis ในด้านเอาต์พุตของหลุมผลิตรวม
จากแผนภาพในรูปที่ 6 จะเห็นได้ว่าผู้ใช้งานสามารถเข้าใจการทำงานของฟังก์ชันนิรภัยได้ง่ายขึ้นและยังสามารถดำเนินการคำนวณค่าความผิดพลาดอันตรายได้ง่ายขึ้นอีกด้วย
การกำหนดค่า SIL ด้วยวิธีการ Markov Modeling
วิธีการ Markov Modeling ถูกสร้างขึ้นโดยการแสดงสถานะที่เป็นไปได้ของระบบในการส่งผ่านในช่วงการทำงานปกติไปยังสถานะต่าง ๆ ดังเช่น เกิดความผิดพลาดบางส่วน, การทำงานที่ไม่จริง, ความผิดพลาดอันตราย เป็นต้น ซึ่งสถานะต่าง ๆ เหล่านี้จะต้องถูกกำหนดในช่วงการทำ FMEA (Failure Mode Effect Analysis) ก่อนจะเริ่มสร้าง Markov Modeling
Markov Modeling เริ่มต้นสร้างจากสถานะที่ระบบทำงานอย่างปกติไปยังสถานะต่าง ๆ ดังตัวอย่างของระบบ SIS ที่อินพุตเป็นสวิตช์รูปแบบ 1oo2 ทำงานร่วมกับโซลินอยด์วาล์ว ดังรูปที่ 7
รูปที่ 7 Markov Modeling ของ สวิตช์รูปแบบ 1oo2 ทำงานร่วมกับโซลินอยด์วาล์ว
จากรูปที่ 7 จะเป็นการแสดง Markov Modeling การทำงานของระบบที่จะมีทั้งหมด 4 สถานะ คือ
สถานะ 0 แสดงระบบทำงานปกติ
สถานะ 1 แสดงการเกิดความผิดพลาดที่สวิตช์หนึ่งตัวและยังคงเหลืออีกหนึ่งตัวทำงานตามปกติ
สถานะ 2 แสดงการทำงานไม่จริงของระบบ ซึงจะมีสาเหตุด้วยกัน 2 สาเหตุ คือ อุปกรณ์ทั้งหมดเกิดการทำงานไม่จริงซึ่งจะมาจากสถานะ 0 และอีกสาเหตุหนึ่งมาจากสถานะ 1 เมื่อสวิตช์อีกหนึ่งตัวและโซลินอยด์วาล์วเกิดการทำงานไม่จริง
สถานะ 3 แสดงการเกิดความผิดพลาดอันตรายกับระบบ เนื่องมาจาก 2 สาเหตุ คือ อุปกรณ์ทั้งหมดเกิดความผิดพลาดอันตรายซึ่งจะมาจากสถานะ 0 และอีกสาเหตุหนึ่งมาจากสถานะ 1 เมื่อสวิตช์อีกหนึ่งตัวและโซลินอยด์วาล์วเกิดความผิดพลาดอันตราย
เมื่อทำการคำนวณด้วยทางเมตริกซ์ หรือการแปลงลาพาซ จะทำให้สามารถทราบได้ว่าระบบจะอยู่ในสถานะใด เมื่อเวลาเปลี่ยนแปลงไป ดังนั้นวิธีการนี้จึงเหมาะสมมากในการนำไปวิเคราะห์การทำงานของส่วนประมวลผลที่สามารถโปรแกรมการทำงานได้ ซึ่งองค์กรอิสระจะใช้วิธีการนี้ในการดำเนินการรับรองให้กับอุปกรณ์ในระบบนิรภัย
สรุป
รายงานทางเทคนิคฉบับนี้มีจุดประสงค์เพื่อเป็นแนวทางว่าทำอย่างไรในการคำนวณค่า SIL ของระบบ SIS เมื่อรายงานเทคนิคฉบับนี้เป็นการแนะแนวทาง จึงไม่ใช่เป็นข้อกำหนด และรายงานไม่ได้ถูกพัฒนาให้ครอบคลุมตำราทางวิชาการใด ๆ แต่มีจุดประสงค์ในการจัดเตรียมความช่วยเหลือในเรื่องทำอย่างไรในการใช้วิธีการเทคนิคต่าง ๆ ในการประเมินระบบ SIS แต่ละส่วนจะคาดหวังให้ผู้ใช้งานมีความคุ้นเคยกับวิธีการและมีข้อแนะนำว่าผู้ใช้งานควรค้นหาข้อมูลหรือเอกสารที่นอกเหนือจากที่แสดงอยู่ในรายงานฉบับนี้
วิธีการ Simplified Equation และวิธีการ Fault Tree Analysis เป็นเทคนิคที่ดีที่สามารถถูกนำไปใช้งานสำหรับประเมินการออกแบบระบบ SIS ในแต่ละค่า SIL ที่มีค่าใช้จ่ายน้อย การเริ่มต้นประเมินของการเลือกรูปแบบอินพุตและเอาต์พุตที่นำเสนอ สามารถจัดเตรียมได้อย่างรวดเร็วในแต่ละความถี่การทดสอบที่แตกต่างกัน โดยการใช้วิธีการ Simplified Equation เมื่อฟังก์ชันนิรภัยในระบบ SIS ไม่ซับซ้อนมาก
สำหรับการประเมินด้วยวิธีการ Fault Tree Analysis เป็นเทคนิคที่ถูกยอมรับที่สามารถทำการประเมินกับฟังก์ชันนิรภัยที่มีรูปแบบความซับซ้อนได้ ส่วนวิธีการ Markov modeling จะมีความเหมาะสมกับระบบประมวลผลที่สามารถโปรแกรมการทำได้ ซึ่งจะถูกดำเนินการประเมินโดยผู้ผลิตหรือองค์กรอิสระที่มีประสบการณ์และความชำนาญโดยเฉพาะ
ตัวแปรต่าง ๆ ที่ใช้ในบทความเป็นดังนี้
เอกสารอ้างอิง
[1] ISA TR84.00.02-2002 Part 1: Introduction
[2] ISA TR84.00.02-2002 Part 2: Determining the SIL of a SIF via Simplified Equations
[3] ISA TR84.00.02-2002 Part 3: Determining the SIL of a SIF via Fault Tree Analysis
[4] ISA TR84.00.02-2002 Part 2: Determining the SIL of a SIF via Markov Analysis
[5] OREDA: Offshore Reliability Data Handbook, 4th edition, 2002
[7] ทวิช ชูเมือง, ระบบวัดคุมนิรภัยในอุตสาหกรรมกระบวนการผลิต, ISBN 974-212-172-9, บริษัท ซีเอ็ดยูเคชั่น จำกัด (มหาชน), 2548.
สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.
ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด