Reliability Budgetary for SIF Designs

มีคนเคยถามผมว่า ถ้าเราเลือกซื้อ Sensor ที่เป็น Certified SIL-2 มาใช้กับระบบ PLC SIL-2 และไปสั่งให้ Valve ที่ก็เป็นอุปกรณ์ Certified SIL-2 เช่นเดียวกัน ทำงาน อย่างนี้แล้วจะพูดได้หรือไม่ว่า Safety Function นั้นเป็น SIL-2 ???

อย่างที่เราทราบกันดีอยู่แล้ว ระดับ SIL Level นั้น ถูกแบ่งออกเป็น 4 ระดับ โดยแต่ละระดับจะถูกแบ่งตามความสามารถในการลดความเสี่ยง ซึ่งต่างกันระดับละ 10 เท่า ยกตัวอย่าง Safety Function ที่มีระดับ SIL-1 จะให้ค่าการลดความเสี่ยงอยู่ในช่วงตั้งแต่ 10 เท่า ขึ้นไปจนถึง 100 เท่า และ Safety Function ที่มีระดับ SIL-2 ก็จะสามารถช่วยลดความเสี่ยงของเหตุการณ์อันตรายได้ จาก 100 เท่า ไปจนถึง 1,000 เท่า เป็นต้น ความสามารถในการลดความเสี่ยงที่ Safety Instrumented Function (SIF) ให้ได้นี้เราเรียกว่า Risk Reduction Factor หรือเรียกโดยย่อว่าค่า RRF (ดูตารางด้านล่างประกอบ)

 

***************************************

ที่นี้เจ้า Reliability Budgetary นี่คืออะไร? เรื่องมันมีอยู่ว่า…

มีประโยคเด็ดที่หลายคนน่าจะคุ้นหูกันดี เมื่อพูดถึงการออกแบบระบบ SIS, “A chain is only as strong as its weakest link” เราไม่สามารถออกแบบระบบให้เข้มแข็งได้ โดยการมองข้ามจุดอ่อนของระบบ ทีนี้แล้วจุดอ่อนของระบบ SIS มันอยู่ตรงไหน?

จุดอ่อนของระบบ SIS นั้น มองได้สองแกน ในแกนตั้ง ประกอบด้วย 3 ส่วนด้วยกัน; (1) SIF Performance หรือค่า PFDavg, (2) Architectural Constraint (Voting Config. หรือ HFT Concept) และ (3) Systematic Capability (SC) ซึ่งมุมมองด้านจุดอ่อนของระบบ SIS ในแกนตั้งนี้จะขอกล่าวถึงในโอกาสต่อไป (แต่จริงๆก็เขียนแตะอยู่ในหลายบทความก่อนหน้านี้แล้วล่ะครับ) มาว่ากันที่จุดอ่อนในแกนนอนของระบบ SIS ที่จะเกี่ยวข้องโดยตรงกับเจ้า Reliability Budgetary ของเรากันดีกว่า

จากข้อมูลสถิติในอุตสาหกรรมจนถึงปี พ.ศ.2545 พบว่า ระบบ SIS จะเกิดความผิดพลาดที่ส่วนของ Sensor 42%, Logic Solver 8% และที่ Final Element ถึง 50% (ข้อมูลจาก Offshore and onshore Reliability Data handbook; OREDA นำเสนอข้อมูลโดย Emerson Process Management)

จากสถิติดังกล่าว (และสถิติจากการศึกษาโดยหน่วยงานต่างๆ พบว่าไปในแนวทางเดียวกัน) ทำให้เกิดเป็น Industry Best Practice ขึ้นมา (ไม่ปรากฏในข้อบังคับหรือข้อแนะนำของ IEC61508/61511) ว่าในการออกแบบระบบ SIS เมื่อทำการคำนวนค่า Performance หรือค่า PFD เฉลี่ยของระบบแล้ว ควรที่จะรายงานสัดส่วนของค่า PFD นี้แยกตาม Subsystem ด้วย (Sensor, Logic Solver และ Final Element) หรือที่เรียกกันว่า PFD Contribution นั่นเอง โดยสัดส่วนนี้เบื้องต้นจะ พยายารักษาให้อยู่ที่ 35/15/50 โดยประมาณ ทั้งนี้ขึ้นอยู่กับการใช้งานของ Safety Function นั้นๆ

 

***************************************

และด้วยหลักการ Reliability Budgetary ของการออกแบบระบบ SIS นี้เอง, เหล่า Certification Body (ผู้ให้บริการรับรองอุปกรณ์ที่ออกแบบตามมาตรฐาน IEC61508, เจ้าใหญ่ๆก็ TUV และ Exida ครับ) จึงต้องป้องกันไม่ให้เกิดกรณีที่ เมื่อนำอุปกรณ์ที่ได้รับการรับรองแล้ว ไปใช้งานร่วมกันในสามส่วนหลักๆ (Sensor, Logic Solver และ Final Element) แล้วมีค่า PFD มากขึ้นจนทำให้ระดับ SIL Level ไม่สามารถทำได้ตามที่ระบุไว้ใน Certificate

เพื่อป้องกันปัญหาดังกล่าว ค่า SIL Level ที่ได้รับการรับรองตามที่ระบุไว้ใน Certificate จึงได้พิจารณาเอาหลักการ Reliability Budgetary นี้เข้าไปใช้ในการ Verify ด้วย กล่าวคือ ค่า PFD เฉลี่ยของอุปกรณ์ที่ได้รับการรับรองในระดับ SIL นั้นๆ จะต้องมีค่าไปเกินกว่า Target Reliability Budgetary ของ Subsystem ที่อุปกรณ์นั้น ถูกนำไปใช้ ยกตัวอย่าง เช่น ถ้าอุปกรณ์หนึ่งได้รับ Certified SIL-2 และเป็นอุปกรณ์ที่ใช้ใน Sensing Element Subsystem นั่นหมายความว่า ค่า PFD เฉลี่ยของอุปกรณ์นั้น จะต้องมีค่าไม่มากกว่า 0.35 x 10E-02 เป็นต้น (อาจจะต่ำกว่านี้เสียอีก ในกรณีที่เผื่อค่า Safety Margin เอาไว้ระดับหนึ่ง) ในทำนองเดียวกัน ถ้าอุปกรณ์ถูกนำไปใช้ใน Logic Solver Subsystem จะต้องมีค่า PFD เฉลี่ยไม่มากกว่า 0.15 x 10E-02 และ ไม่มากกว่า 0.5 x 10E-02 ถ้านำไปใช้ใน Final Element Subsystem เป็นต้น

ดังนั้น เมื่อเราเลือกอุปกรณ์ในส่วนของ Sensor, Logic Solver และ Final Element ที่ได้รับการรับรอง Certified SIL-2 ทั้งหมด นำมาประกอบกัน จึงสามารถมั่นใจได้ว่า Safety Function นั้น จะมี Performance ของระบบอยู่ที่ SIL-2 นั่นเอง (ในกรณีของค่า PFD เฉลี่ยของระบบ)

อย่างไรก็ดี ในการออกแบบระบบ SIS หรือ SIF จริงๆนั้น เราอาจจะต้องใช้อุปกรณ์ มากกว่าสามตัวหลักๆที่ได้กล่าวไปข้างต้น เช่น ในส่วนของ Sensing Element อาจจะประกอบด้วย Sensor, Transmitter, IS Barriers, Surge Protector, Isolator, etc. และนั่นอาจทำให้ การ Verify Reliability Budgetary โดย Certification Body นั้นไม่สามารถเชื่อถือได้ การทำ SIF Verification หรือการ Confirm SIL Level ด้วยการคำนวนค่า PFD เฉลี่ยโดยรวมของ SIF เมื่อรวมทุกอุปกรณ์เข้าด้วยกันแล้วนั้น จึงควรทำควบคู่ไปกับการเลือกอุปกรณ์ด้วยทุกครั้ง

 

***************************************