เมื่อไหร่จึงจำเป็นต้องใช้ Third Party ทำ SIL Study ??
ช่วงที่ผมมีโอกาสทำงานเกี่ยวดองกับการประเมิน SIL ในหลายปีที่ผ่านมา มีอีกเรื่องหนึ่งที่เหล่าบรรดา Consulting Firm, Engineering Company หรือแม้แต่ Plant Owner เองมักจะพูดกันอยู่เสมอๆ คือ การประเมิน SIL นั้นควรจะทำโดย Third Party (บุคคลภายนอกบริษัท) หรืออย่างน้อยที่สุดถ้าจะทำกันเองภายใน ก็ให้ทำเฉพาะ Safety Function ที่มี SIL ต่ำๆ และให้ Third Party ทำการประเมิน Safety Function ที่มี SIL 3 ขึ้นไป ……… ความเข้าใจนี้ ถูกต้องตามเจตนาของ IEC61508 หรือไม่ ? ………
ถ้าเราคิดถึงหลักการที่ว่ามาตรฐานใดๆ ไม่มีวัตถุประสงค์เพื่อสร้างธุรกิจหรือผลประโยชน์ให้กับบุคคลหรือองค์กรหนึ่งๆ แน่นอนคำตอบที่ได้ก็คือ ความเข้าใจข้างต้นไม่ถูกต้องอย่างแน่นอน บทความนี้จะพาไปหาเจตนาที่แท้จริงของ IEC61508 กันครับ
ประเด็นแรกที่ต้องรู้กันก่อนเลยคือ IEC61508 ไม่มีการพูดเจาะจงถึงการใช้ Third Party ในการประเมิน SIL เพราะฉะนั้น แค่ประโยคนี้ประโยคเดียว ก็ตอบคำถามข้างต้นแทบจะทั้งหมดแล้วนะครับ แต่อันที่จริงแล้วข้อแนะนำเรื่อง Third Party นั้นถูกเสนอในหัวข้อ Functional Safety Assessment (FSA) หรือ ก็คือส่วนของการ Audit กิจกรรมต่างๆใน Life-cycle ของระบบ SIS นั่นเอง
ตาม IEC61511 Safety Life-Cycle Framework ด้านบน, FSA ถูกเสนอให้มีการจัดทำหลังจากกิจกรรมต่างๆแบ่งเป็น 5 Stages (แค่แนะนำนะครับ จะไม่ทำทั้งหมดตามนั้นก็ได้ แต่เป็น Mandatory อย่างน้อย Stage 3 ต้องทำครับ) เพื่อเป็นการช่วยตรวจสอบให้แน่ใจได้ว่า กิจกรรมต่างๆเป็นไปตามวัตถุประสงค์ ได้ผลลัพธ์ที่เหมาะสมด้วยวิธีการที่ถูกต้อง เหมือนการทบทวนจากคนนอกทีมทำงานนั่นแหละครับ จากที่กล่าวมาจะเห็นว่า การประเมิน SIL ที่เราทำๆกันอยู่นั้น (รวมถึงการ Verify SIF Design) อยู่ใน Block ที่ 2 คาบเกี่ยวมายัง Block ที่ 3 โดยไม่ได้มีการเชื่อมโยงกับกิจกรรม FSA แต่อย่างใด ในทางปฏิบัติเราให้คนที่ทำการประเมิน SIL เสมือนทำ FSA Stage 1 ไปในตัวดังนั้น ข้อแนะนำเรื่อง Third Party จึงเข้ามาคลุมถึงผู้ประเมิน SIL ไปด้วยโดยปริยาย
ทีนี้มาดูประเด็นเรื่อง Third Party กันชัดๆครับ เริ่มกันที่ Definition ตาม IEC61508-4 กันก่อน (ไม่แปลให้นะครับ จะได้รับข้อมูลกันตรงๆ)
*************************************
3.8.11
independent person
person who is separate and distinct from the activities which take place during the specific phase of the overall, E/E/PE system or software safety lifecycle that is subject to the functional safety assessment or validation, and does not have direct responsibility for those activities
3.8.12
independent department
department that is separate and distinct from the departments responsible for the activities which take place during the specific phase of the overall, E/E/PE system or software safety lifecycle that is subject to the functional safety assessment or validation
3.8.13
independent organisation
organisation that is separate and distinct, by management and other resources, from the organisations responsible for the activities that take place during the specific phase of the overall, E/E/PE system or software safety lifecycle that is subject to the functional safety assessment or validation
*************************************
ต่อมาคือข้อแนะนำใน IEC61508-1 ครับ ไล่เรียงมาตั้งแต่หัวข้อ 8.2.15 – 8.2.18 (สามารถไปหาอ่านเพิ่มเติมได้ครับ) หลักๆจะอธิบายถึงการใช้ ตาราง 4 และ 5 ที่เป็นข้อกำหนดแนะนำคุณสมบัติของ Third Party ในเรื่อง Independent Level ครับ
แนวทางนั้นถูกแบ่งเป็น 2 แบบ, แบบแรก (ตาม Table 4) คือให้พิจารณาเลือกระดับความเป็นอิสระจากทีมทำงานของ Third Party ตามความรุนแรงของเหตุการณ์อันตรายที่ต้องการประเมิน โดย IEC61508 ได้แสดงตัวอย่างไว้เป็นไอเดียสำหรับการจำแนกความรุนแรงของเหตุการณ์อันตรายแต่ละกรณีไว้ ดังนี้
Consequence A คือ minor injury (for example temporary loss of function), บาดเจ็บแต่ไม่มีผู้เสียชีวิต;
Consequence B คือ serious permanent injury to one or more persons, death to one person, พิการหรือเสียชีวิต;
Consequence C คือ death to several people, เสียชีวิตหลายคน;
Consequence D คือ very many people killed, เสียชีวิตเป็นจำนวนมาก.
ส่วนแบบที่สอง (ตาม Table 5) คือให้พิจารณาเลือกระดับความเป็นอิสระจากทีมทำงานของ Third Party ตามค่า SIL ครับ
ส่วนวิธีการใช้ตารางให้เริ่มจากเลือกความรุนแรงของเหตุการณ์ (กรณีใช้ Table 4) หรือ ค่า SIL ที่ทำการประเมินมา (กรณีใช้ Table 5) ของ Safety Function ที่เราจะทำการประเมิน ตามแนวแกนนอนแถวบนสุด จากนั้นจึงมองไล่ลงมาตามแกนตั้ง จะพบตัวอักษร X, X1, X2 หรือ Y ซึ่งตรงกับระดับความเป็นอิสระจากทีมทำงานของ Third Party ที่แสดงอยู่ที่ด้านซ้ายของตาราง โดยตัวอักษร X, X1, X2 หรือ Y นั้นมีความหมาย ดังนี้
X คือ แนะนำเป็นอย่างน้อย (ตัวอย่างเช่นใน Table 5, SIF ที่ออกแบบมาเป็น SIL1 Third Party ที่แนะนำคือระดับ Independent person เป็นอย่างน้อย)
X1 และ X2 คือ แนะนำ X1 เป็นอย่างน้อย แต่ควรเลือก X2 ในกรณีที่;
lack of previous experience with a similar design, ขาดประสบการณ์ในการออกแบบ Safety Function นั้นๆ;
greater degree of complexity, มีความซับซ้อนในการออกแบบสูง;
greater degree of novelty of design, เป็น Safety Function ที่ไม่ค่อยพบบ่อยนัก;
greater degree of novelty of technology, เป็นการออกแบบด้วย Technology ที่ไม่ค่อยพบบ่อยนักหรือยังใหม่ในอุตสาหกรรม
Y คือ ไม่แนะนำ
ทั้งนี้ทั้งนั้น IEC61508 ได้ให้แนวทางไว้ว่า ระดับ Independent ของ Third Party ที่ได้จากตารางนั้น อาจจะสามารถถูกพิจารณาเลือกระดับที่ต่ำกว่าได้ ไม่ว่าจะด้วยเหตุผลใดก็ตาม แต่ให้ระบุเหตุผลลงไปด้วยว่าทำไมจึงทำเช่นนั้น (พี่แกยังอุตส่าห์เปิดช่องนะครับ)
อย่างไรก็ตาม ตัวปัญหาคือคำว่า Independent organization ครับ ที่มักถูกตีความว่า Third Party ระดับนี้คือ บุคคลภายนอกบริษัท แต่อันที่จริงแล้ว เจตนาของ IEC61508 ถูกเขียนไว้ใน NOTE ของ 8.2.16 ดังนี้
*************************************
Depending upon the company organization and expertise within the company, the requirement for independent persons and departments may have to be met by using an external organization.
(ยิ่ง Independent ยิ่งดีนะครับ ไม่ต้องเป๊ะๆตามระดับต่ำสุดเท่าที่เค้าแนะนำก็ได้)
Conversely, companies that have internal organizations skilled in risk assessment and the application of safety-related systems, that are independent of and separate (by ways of management and other resources) from those responsible for the main development, may be able to use their own resources to meet the requirements for an independent organization.
(อันนี้คือบทสรุปที่ต้องการให้พิจารณากันครับ สิ่งที่สำคัญที่สุดก่อน Independent Level ก็คือบุคคลนั้นๆ มีความสามารถหรือเปล่ามากกว่า ถ้าภายในบริษัทของเรามีคนที่มีความสามารถทำการประเมินได้ และมีความเป็นอิสระจากทีมทำงานมากพอ คือไม่มีอะไรไปบีบบังคับ จูงใจ หรือมีสภาพแวดล้อมการทำงานไม่เหมาะสม ที่อาจขัดขวางให้ข้อเสนอแนะของเค้าไม่สามารถออกมาได้อย่างเต็มที่ แล้วล่ะก็ การพิจารณาใช้บุคคลภายในบริษัท ก็อาจเป็นทางเลือกที่ดีทางหนึ่ง ครับ)
*************************************
สุดท้ายจากบทความนี้ สิ่งที่ผู้เขียนต้องการจะสื่อสารไปยังผู้อ่าน จริงๆก็ง่ายๆสั้นๆครับ การพิจารณาใช้ Third Party ในการประเมิน SIL นั้น เป็นเพียงทางเลือกหนึ่งของบริษัทเท่านั้น ไม่ใช่ข้อกำหนดที่ต้องปฏิบัติตามอย่างที่หลายคนเข้าใจ และเมื่อเราจะพิจารณาเลือกใช้ Third Party ในการประเมิน SIL แล้ว จะต้องมั่นใจได้ว่า เค้ามีความสามารถเพียงพอครับ ตัวเราเองก็ต้องมีความรู้พื้นฐานที่จะประเมินงานของเค้าได้ด้วย จะใช้ Third Party ไปทำไมครับ ถ้าใช้ไปแล้วงานแย่กว่าทำเอง และตัวมาตรฐานเองก็คงไม่ได้มีเจตนาให้เป็นเช่นนั้นหรอก จริงไหมครับ