روش‌های تعیین سطح SIL

مقدمه

SIL به‌عنوان رایج‌ترین معیار برای تعیین ایمنی کارکرد ابزاردقیق (SIF) در صنایع فرآیندی توسط استاندارد بین‌المللی (IEC_61508) و زیرگروه‌ آن (IEC 61511-mod) و استاندارد ملی آمریکا (ANSI/ISA S84.00.01) تعریف شده است. عنوان استاندارد IEC 61508 «ایمنی کارکرد سامانه‌های برقی (E)، الکترونیکی (E) و الکترونیک قابل برنامه‌نویسی (PE)» که به اختصار E/E/PE گفته می‌شود، است. ضمناً هر دو استاندارد زیرگروه ذکرشده، یکسان هستند و استفاده از یکی مانند استفاده از دیگری است. SIF یک عملکرد حفاظتی دارای حسگر و عملگر هست که توسط SIS، که می‌تواند تا صدها SIF را شامل باشد، پیاده‌سازی و اجرا می‌شود.

SIF یک عملکرد حفاظتی دارای حسگر و عملگر هست که توسط SIS، که می‌تواند تا صدها SIF را شامل باشد، پیاده‌سازی و اجرا می‌شود.

SIS به‌طور کلی از بخش ورودی (حسگرها)، بخش خروجی (عملگرها) و بخش پردازشگر منطقی تشکیل شده است که به این سه‌مجموعه PEC نیز گفته می‌شود و PEC یک سخت‌افزار و نرم‌افزار غیروابسته به سامانه‌ی کنترل یک فرآیند (BPCS) مانند DCS یا PLC‌ است. برای SIS می‌توان کاربردهای مختلف مانند ESD، BMS و F&G نام برد. روش‌های مختلف تعیین درجه‌ی SIL برای یک SIF در صنعت وجود دارد. در این نوشتار به صورت اجمالی به چند نمونه از آن‌ها اشاره ‌شده و همچنین جداول و بررسی‌های تحلیلی کمک کننده برای انجام کار مانند LOPA، FTA یا Risk Graph توضیح داده‌ می‌شوند.

1-بررسی برای تعیین سطح SIL

بررسی برای تعیین SIL یک فرآیند در حقیقت روش ارزیابی ریسک خطرات برای یک فرآیند بر اساس کارکرد ایمن سامانه‌های ابزاردقیق، کنترل و کلیه‌ی تجهیزات متعلقه است.

بررسی برای تعیین SIL یک فرآیند در حقیقت روش ارزیابی ریسک خطرات برای یک فرآیند بر اساس کارکرد ایمن سامانه‌های ابزاردقیق، کنترل و کلیه‌ی تجهیزات متعلقه است.

در این ارزیابی عوامل زیر دخیل هستند:

ارزیابی احتمال حادث شدن ناخواسته‌ی اتفاقی که باعث به‌وجود آمدن خطر می‌شود؛
محاسبه‌ی درصد کاهش ریسک خطرات بر اساس راه‌حل‌های محافظتی موجود و شناسایی هرگونه ریسک خطرات باقی‌مانده؛
در نظر گرفتن درجه‌ی SIL مناسب برای SIF برای عبور از ریسک خطرات باقی‌مانده تا سطح قابل‌قبول بر اساس استاندارد IEC 61508 و استانداردهای زیرگروه آن مانند IEC 61511.

۲- مراحل تعیین SIL

۱-۲ – شناسایی و ارزیابی ریسک خطر

شناسایی خطر: اولین قدم شناسایی خطرات بالقوه در فرآیند یا سامانه است. این کار با کمک گزارش HAZOP، FMEA یا Preliminary Hazard Analysis انجام می‌پذیرد.
ارزیابی و تعیین ریسک خطر: برای هریک از خطرات شناسایی شده باید شدت و حدت اثر تخریبی آن و احتمال وقوع آن تعیین شوند. برای این کار از نمودارهای Risk Matrices یا Risk Graphs استفاده می‌شود.

۲-۲- تعیین اقدامات کاهنده‌ی ریسک خطرات

اقدامات کاهشی ریسک خطرات: در این مرحله باید بر طبق اقدامات و پیش‌بینی‌های فنی، سطح ریسک خطرات به حدی که در یک فرآیند یا سازمان به عنوان سطح قابل قبول تعریف شده است کاهش داده شود.
تعیین SIL: بعد از تعیین اقدامات کاهشی ریسک خطر برای هر SIF باید برای آن سطح مناسب SIL در نظر گرفته شود. این سطح SIL نشان دهنده‌ی کارکرد ایمن آن در مقابل خطرات شناسایی شده است. سطح SIL بالا باعث افزایش هزینه‌ی تجهیزات مورد استفاده و سطح پایین برای آن باعث افزایش ریسک خطرات است.

۳-روش‌های تعیین SIL

برای تعیین SIL از سه روش مختلف بر اساس تجربه یا نوع فرآیند می‌توان استفاده نمود. این سه روش عبارتند از:

استفاده از Risk Graphs که یک روش کیفی است؛
استفاده از LOPA که یک روش تقریباً (نیمه) کمّی است؛
استفاده از FTA که یک روش کمّی است.

۱-۳- استفاده از Risk Graphs

در این روش باید چهارعامل دخیل در کارکرد ایمن را ارزش‌گذاری نمود. این چهار عامل عبارتند از:

Consequence Severity (C): این فاکتور نشان دهنده‌ی تأثیر مخرب یک خطر به انسان‌ها، محیط زیست یا تجهیزات یک واحد تولیدی (ضرر مالی) است. عامل C به چهار درجه تقسیم می‌شود: کم، قابل توجه، زیاد یا فاجعه.
Frequency of Exposure (F): این فاکتور نشان‌دهنده‌ی تواتر وقوع خطرات برای انسان‌ها،‌ محیط زیست یا سامانه (تجهیزات یک واحد تولیدی) است. بازه‌ی آن از ندرتاً تا دائمی است.
Possibility of Avoidance (P): این فاکتور نشان‌دهنده‌ی احتمال جلوگیری یا کاهش شدت یک خطر در صورت اتفاق آن است. فاکتور P با گزینه‌های غیرممکن، به‌ندرت، امکان‌پذیر و قابل جلوگیری به صورت آسان درجه‌بندی می‌شود.
Probability of Occurrence (W): این فاکتور نشان دهنده‌ی احتمال وقوع وضعیت خطرناک است. طیف آن در محدوده‌ی غیر محتمل تا زیاد گسترده است.

1-۱-۳- نحوه‌ی استفاده از Risk Graphs برای تعیین سطح SIL

شناسایی و دسته‌بندی عوامل ریسک خطر: برای هر گروه یا شاخه از SIF‌ باید عوامل چهارگانه ذکر شده در بند ۳-۱ (C, F, P &W) شناسایی و بر اساس معیارهای هر یک ارزش‌گذاری شوند.
تخصیص شاخص برای هریک از عوامل چهارگانه: بر اساس شدت و اثر خطرات حادث باید شاخص ها تعیین شوند. در ادامه به عنوان نمونه برخی از مقادیر ارزش‌گذاری را برای عوامل چهارگانه ذکر می‌شوند:

C: ملایم و قابل تحمل (SA), جدی (SB), خیلی جدی (SC), مصیبت‌بار (SD), فجیع (SE);
F: تواتر حادث شدن کم است (FA), تواتر حادث شدن زیاد است (FB);
P: به‌راحتی قابل اجتناب است (PA), به‌مشکلی قابل اجتناب است (PB);
W: ندرتاً (W0), پایین (W1), متوسط (W2), بالا (W3), مکرر (W4).

لازم به ذکر است که تخصیص مقادیر یا ارزش‌ها به هر یک از عوامل چهارگانه یک کارتیمی است که حداقل از متخصصین شاخه‌ها‌ی فرآیند، حفاظت و ایمنی، کنترل و ابزاردقیق و همچنین نماینده کارفرما یا سازمان یا واحد تولیدی مورد بررسی تشکیل می‌شود.

۲-۱-۳- مقایسه و وارد کردن عوامل چهارگانه در Risk Graph

پس‌از تعیین و ارزش‌گذاری برای چهار عامل ذکر شده در بخش ۳-۱-۱ آن‌ها را در جدول Risk Graph منعکس نموده و مقادیر مناسب برای SIL بدست می‌آید. Risk Graph به شکل ماتریس بوده که یک محور یا ستون آن نشان دهنده‌ی C و ستون‌های دیگر برای نشان دادن سایر عوامل (F, P, W) استفاده می‌شود.

تلاقی شاخص‌های به‌دست آمده چهارگانه با محورهای ماتریس: محل تلاقی شاخص‌های چهارگانه با محورهای Risk Graph مقادیر بدست آمده برای سطح SIL را برای یک SIF مورد نظر را نشان می‌دهد. این مقادیر بین SIL 1 تا SIL 4 خواهد بود. SIL 1 کمترین و SIL 4 بیشترین سطح ایمنی را نشان می‌دهند.

در شکل ۱ اعداد، حروف و علائم نوشته‌شده دارای معنای زیر هستند:

(-) نیاز به هیچ‌گونه تمهیدات ایمنی (safety) خاص نیست؛
(a) نیاز به تمهیدات ایمنی (safety) نیست؛
(b) یک SIF به تنهایی کافی نیست؛
(1, 2, 3, 4) سطح SIL مورد نیاز.

استفاده از روش Risk Graph برای تعیین سطح SIL ساده و برای مراحل ابتدایی بررسی SIL مناسب است. استفاده از Risk Graph یک روش کیفی است که در کنار سادگی و سودمندبودن آن به تنهایی کافی نیست و در اکثر مواقع باید از روش‌های کمّی مانند LOPA یا FTA برای کامل نمودن بررسی SIL و تعیین سطح آن استفاده نمود.

۲-۳- استفاده از جدول LOPA

استفاده از جدول LOPA نتیجه‌ی دقیق‌تر با جزئیات بیشتر در مقایسه با روش‌های کیفی مانند Risk Graph را دارد و مرسوم‌ترین روش در تخصیص سطح SIL است.

استفاده از جدول LOPA نتیجه‌ی دقیق‌تر با جزئیات بیشتر در مقایسه با روش‌های کیفی مانند Risk Graph را دارد و مرسوم‌ترین روش در تخصیص سطح SIL است.

در این روش نیمه کمّی از شناسایی عوامل اولیه ایجادکننده یک حادثه، حوادث مترتب بعدی و مجموعه‌ی عوامل حفاظتی غیر وابسته به‌هم (IPL) و سایر شاخص‌های دیگر استفاده می‌شود. در ادامه‌ی مطالب به توضیح عوامل ذکرشده و همچنین سایر موارد دخیل در LOPA خواهیم پرداخت.

۱-۲-۳- شاخص‌های جدول LOPA

عوامل اولیه‌ی ایجادکننده‌ی یک حادثه: که به انگلیسی Initiating Event (IE) گفته می‌شود به اتفاقاتی اشاره می‌کند که باعث وقوع یک حادثه‌ی خطرناک می‌شود. برای مثال می‌توان از کارکرد نادرست تجهیزات، اشتباه انسانی (اپراتورها) یا بلایای طبیعی نام برد.
حوادث میانی: که درانگلیسی Intermediate Events گفته می‌شود که در حقیقت مراحل میانی یا گذر بین به‌وجود‌آمدن عوامل اولیه‌ی ایجادکننده‌ی یک حادثه تا وقوع کامل یک حادثه‌ی خطرناک است. بسیار مهم است که نحوه‌ی گسترش یک حادثه فهمیده‌شود.
مجموعه‌ی عوامل حفاظتی غیر وابسته به‌هم: که مخفف آن IPL است و در حقیقت روش‌های حفاظتی است که از Intermediate Events جلوگیری کند. هر یک از طرق به‌کاربرده‌شده باید مستقل از IE و سایر روش‌های حفاظتی باشد. برای انواع روش‌های IPL می توان شیرهای صنعتی حفاظتی یا عبارت دیگر فشارشکن (PSV)، آلارم‌ها، سامانه‌های اتوماتیک Shut down یا دخالت اپراتورها را نام برد.
عامل C که در Risk Graph بدان اشاره شد.
تواتر رخداد عوامل اولیه ایجادکننده‌ی یک حادثه یا Frequency of Initiating Event: که مخفف آن FIE است و به صورت کمّی تعداد به وجودآمدن IE را (معمولاً در یک سال) بیان می‌کند.
احتمال کارنکردن یک روش حفاظتی در هنگام نیاز: که مخفف انگلیسی آن PFD است که مقدار آن نشان‌دهنده‌ی احتمال عملکرد نادرست یک IPL حفاظتی در هنگام نیاز است. PFD یک معیار حساس ومهم برای کارایی هر یک از روش‌های IPL است.

۲-۲-۳- استفاده از LOPA برای بدست‌آوردن سطح SIL برای یک SIF مشخص

قدم اول: شناسایی سناریوهای موجود برای ایجاد یک مخاطره با نتایج مخرب آن است. در این کار استفاده از مطالعات HAZOP کارساز است.
قدم دوم: تعریف سطح ریسک قابل تحمل برای یک SIF بر اساس مخاطرات قدم اول. برای این کار می‌توان از ماتریس ریسک استفاده نمود. برای نمونه می‌توان مثالی را ذکر نمود: اگر یک مخاطره باعث کبودی قسمتی از بدن انسان شود و این اتفاق یک بار در سال حادث شود، به‌عنوان ریسک خطر قابل قبول ارزیابی می‌شود. ولی اگر مخاطره‌ای باعث از بین رفتن امکانات (مانند یک واحد تولیدی) یا خرابی ساختمان‌ها شود احتمال یک در میلیون آن در یک سال قابل تحمل ارزیابی می‌شود.
قدم سوم: تواتر به‌وجودآمدن یک مخاطره تعیین شود. برای این منظور دانش متخصصین، اطلاعات مربوط به سوابق ایجاد یک مخاطره و دانش فرآیندی مورد نیاز است.
قدم چهارم: فهرست نمودن انواع IPL برای هر مخاطره. باید IPL‌ها هیچ‌گونه وابستگی به هم نداشته و از پیشروی یک حادثه‌ی خطرناک جلوگیری نمایند.
قدم پنجم: برآورد مؤثر بودن یک IPL بر اساس محاسبات PFD. هر چه مقدار PFD کمتر باشد، IPL در نظرگرفته‌شده مؤثرتر در جلوگیری از مخاطره است.
قدم ششم: تعیین کمّی کاهش ریسک خطر با استفاده از همه‌ی IPL‌های متصور برای یک SIF. برای این منظور مجموع مقادیرPFD‌ها، شاخص مقدار کاهنده‌ی ریسک خطر است.
قدم هفتم: مقایسه‌ی ریسک باقی‌مانده پس از اعمال همه‌ی IPL‌ها با معیارهای ریسک مورد قبول برای یک سازمان. ممکن است در یک سازمان یا واحد تولیدی شاخص‌های ایمنی، بالاتر از مقادیر ریسک باقی‌مانده باشد، در این صورت باید از روش‌های حفاظتی دیگر برای کم نمودن ریسک باقی‌مانده استفاده کرد.

در جدول فوق مقادیر ستون های یک و دو از مطالعات HAZOP, HAZID, … به دست می‌آیند. ردیف‌های پنج تا هشت مربوط به IPL است. روش LOPA از بررسی ریسک، شدت و حدت و احتمال شروع یک حادثه (ردیف‌های 1 تا ۴) شروع می‌شود.

بررسی LOPA‌ بر طبق جدول نمونه از به‌دست آوردن مقادیر ستون‌های یک تا چهار شروع می‌شود. عدد احتمال به دست‌آمده از این ستون‌ها که به عنوان احتمال حادث‌شدن اتفاق اولیه برای شروع یک مخاطره در نظر گرفته می‌شود در احتمال کارنکردن روشهای IPL‌ که در ستون‌های پنج تا هشت است، ضرب می‌شود و نتیجه در ستون‌های نه و ده نیز ضرب می‌شوند. مقدار به‌دست‌‌آمده با مقادیر ستون‌های یازده و دوازده مقایسه می‌شود. نتیجه‌ی مقایسه نشان‌دهنده‌ی این است که احتمال ریسک خطر در حد متعارف و قابل قبول برای یک سازمان یا واحد تولیدی است یا باید از روش‌های مضاعف دیگری برای کم نمودن احتمال خطر استفاده شود.

۳-۳- استفاده از روش FTA

استفاده از روش FTA برای تعیین SIL بسیار کارآمد است. این روش همه‌ی جزئیات، تعیین مقادیر کمّی برای قابلیت اطمینان یک سامانه و ریشه‌ی اصلی به‌وجود‌آمدن خرابی‌های را روشن می‌کند.

۱-۳-۳- اجزای FTA

Top Event: خرابی یک سامانه یا حادثه‌ی ناخواسته که باید از آن جلوگیری کرد. به همین دلیل این امر در بالای نمودار بررسی عیب‌یابی قرار می‌گیرد.
حوادث میانی یا Intermediate Event : که توضیح آن در بند ۳-۲-۱ گفته شده است. این بخش به عنوان یک زیرشاخه در نمودار که در نهایت به Top Event منتهی می‌شود، نشان داده ‌می‌شود.
حوادث اولیه (پایه): که در لفظ انگلیسی به آن Basic Events گفته می‌شود و حوادثی را شامل می‌شوند که از پیشامد دیگری منتج نمی‌شوند و خود آن‌ها شروع‌کننده‌ی حادثه هستند. Basic Events انتهای نمودار را تشکیل می‌دهد.
ارتباط منطقی بین اتفاقات مختلف در نمودار: که از ارتباط چند ورودی، یک خروجی (حادثه) به‌وجود می‌‌آید و از روابط ریاضی (گیت) مانند AND، OR و … استفاده می‌شود و همان معنای ریاضی خود را دارند.

در شکل 3 برخی از نمادهای مورد استفاده نشان داده شده‌اند. نمایش گرافیکی FTA محدود به نمادهای اشاره‌شده نیست و اشکال گرافیکی دیگری نیز وجود دارند.

۲-۳-۳- نحوه‌ی استفاده از نمودار FTA برای تعیین SIL

تعریف دقیق Top Event و ارزش‌گذاری دقیق برای آن مانند حادثه فاجعه‌بار (مثلاً انفجار)، Shut-down فرآیند یا خرابی تجهیزات.
شناسایی Intermediate & Basic Event و تقسیم Top Event به عامل اولیه‌ی حادثه (Basic Event) و روند ایجاد و تبدیل مخاطره اولیه به یک حادثه.
تولید نمودار FTA از بالا یعنی Top Event تا Basic Events با استفاده از ارتباطات (گیت‌های) منطقی به طوری‌که بتوان عوامل ایجادکننده و همچنین وقوع حادثه را به طور منطقی و ساده از روی نمودار دنبال نمود.
تخصیص مقادیر کمّی به احتمال وقوع هر یک از حوادث اولیه (Basic Events). برای این منظور سابقه‌ی ثبت‌شده برای هر حادثه در گذشته، دانش متخصصین و یک پایگاه داده‌ی معتبر مورد نیاز است.
محاسبه‌ی احتمال حادث شدن Intermediate Event بر اساس محاسبات علم احتمالات و با درنظرگرفتن روابط منطقی حاکم در ایجاد یک حادثه.
براساس داده‌ها و محاسبات گفته‌شده در بالا باید احتمال وقوع یک Top Event محاسبه شود. این مقدار کمّی نشان‌دهنده‌ی ریسک خطر کلی برای یک سامانه است.
بررسی و استدلال نتایج به‌دست آمده از کلیه‌ی موارد ذکرشده معیار دقیقی برای تعیین SIL برای یک SIF مشخص است.

در شکل ۴ دو منبع تغذیه‌ی ۲۴ ولت DC به صورت افزونگی برای یک تابلوی کنترل نشان داده شده است. از دست رفتن برق ۲۴ ولت DC (Top Event) می‌تواند به دلیل ازکارافتادن همزمان هر دو منبع تغذیه حادث شود. احتمال خرابی همزمان هر دو منبع تغذیه کم است ولی می‌توان با استفاده از دو منبع تغذیه با مشخصات یکسان ولی از دو برند مختلف احتمال از کارافتادن همزمان هر دو را (PS A & PS B faulty for common cause) به علت خرابی یا از دست رفتن یک خازن داخلی یا یک قطعه‌ی داخلی را بسیار کم نمود، زیرا در دو منبع تغذیه با مشخصات یکسان ولی از برند‌های مختلف معمولاً از قطعات داخلی غیر مشابه و طراحی متفاوت استفاده می‌‌شود که قطعات طول عمر متفاوتی نسبت به هم‌دیگر دارند.

نتیجه‌گیری نهایی

تعیین SIL واقعی و صحیح برای SIF لازمه‌ی کارکرد صحیح و ایمن در صنعت فرآیندی است. برای این امر همان‌طور که بیان گردید، راه‌کارهای متفاوت با درجه‌‌‌‌ی سختی و دقت متفاوت وجود دارند و به روش‌هایی مانند Risk Graph، LOPA و FTA ؛ ساده‌ترین روش با دقت کم‌تر (Risk Graph) تا روش کمّی FTA با دقت خوب ولی زحمت زیاد برای محاسبات؛ اشاره گردید. استفاده از هریک از روش‌‌های ذکر شده و بعضاً تلفیقی از آن‌ها می‌تواند در بالا بردن ایمنی کارکرد سامانه‌های تولیدی در یک فرآیند، بهینه کردن برنامه‌های تعمیر و نگهداری و تطبیق یک سازمان با اصول ایمنی بسیار کارساز باشد.

منابع:

SIL Determination. A Step-by-Step Guide, SynergenOG Snd. Bhd.
On the use of LOPA and Risk Graphs for SIL determination, Mary Kay O’Conner process safety center
Book Safety Instrumented Systems, GM International Technology for safety, 4^th edition

¹ Safety Integrity Level
² Safety Instrumented Function
³ Safety Instrumented System
⁴ Logic Solver
⁵ Programmable Electronic Controller
⁶ ‌Basic Process Control System
⁷ Emergency Safety Shutdown system
⁸ Burner Management System
⁹ Fire & Gas system
¹0 Layer of Protection Analysis
¹1 Fault Tree Analysis
¹2 SIF را در ابتدای بررسی SIL در نقشه‌های P&ID مانند Nodeهای HAZOP باید علامت‌گذاری نمود. در یک فرآیند گروه‌های متعددی از SIF (شامل حسگرها و عملگر) را می‌توان تشخیص داد که تجهیزات مرتبط هر گروه با هم وظیفه‌ی انجام کاری در فرآیند را دارند و ایمنی کارکرد آن‌ها هدف سطح‌گذاری SIL است. الزاماً Node‌های HAZOP و تجهیزات مرتبط با آن‌ها با Nodeهای SIF یکسان نیستند.
¹3 Hazard and Operability Study
¹4 Failure Modes and Effects Analysis
¹5 Intermediate Events
¹6 Independent Protection Layers
¹7 Probability of Failure on Demand
¹8 Hazard and Operability
¹9 Hazard Identification