گواهی نامه SIL اساسا مربوط به ارزیابی میزان قابلیت اطمینان مورد نیاز برای فرایند و سیستم های ایمنی در صنعت می باشد.این گواهینامه از نظر ماهیت و مفهوم قدری با سایر گواهی نامه های معمول که در آزمایشگاه های کشور صادر می شود متفاوت است به عنوان مثال عملکرد کیسه هوای ماشین و یا ترمز آن، دریچه تخلیه فشار یک مخزن تا سیستم های پیچیده ایمنی در صنایع گاز، نفت و نیروگاه های هسته ای موضوع این گواهینامه می باشند.
در یک سیستم ایمنی هر جز کوچک نظیر یک سنسور یا ترانسدیوسر داری یک احتمال خطا یا نرخ خط( لاندا) می باشد، به عنوان نمونه ،سازنده یک محصول بر اساس سوابق استفاده از محصول و محاسبات خود یک نرخ خطا را برای محصول خود اعلام می نماید و هر احتمال خطا بر اساس دو جدول ساده که در ادامه توضیح داده خواهد شد به 4 سطح SIL از یک تا 4 متناظر می شوند.به مثلا زیمنس یا ABB وقتی اعلام می نماید سنسور یا ترانسدیوسری به شماره مشخص داری گواهینامه SIL 2 است در واقع نرخ خطا یا قابلیت این جز را اعلام می نماید.
حال یک سیستم ایمنی در یک پلنت صنعتی به طور معمول شامل اجزا مختلفی نظیر سنسور و ترانسدیوسر، کنترلر، نرم افزار، اپراتور انسانی و .. است. حال بحث اصلی IEC 61508 این است که برای هر سیستم چه سطح SIL مورد قبول است و با چه روش هایی می توان سطح SIL یک سیستم را به سطح قابل قبول رسانید که محاسبه این اعداد شامل محاسبات ریاضی کمی و گاها توصیفات کیفی قابلیت اطمینان است که به تفصیل در این استاندارد توضیح داده شده است.
این استاندارد برخلاف بسیاری از استانداردها در خصوص تست فیزیکی یک تجهیز نیست و بیشتر دستورالعمل و راهنمایی برای انجام محاسبات نرخ خطا و قابلیت اطمینان در یک سیستم متشکل از اجزا مختلف می باشد.
ایمنی عملکردی(Functional Safety) چیست؟
ایمنی عملکردی(Functional Safety) شاخه ای از مهندسی است که با ایمنی سیستم هایی که در آنها از تجهیزات الکتریکی و الکترونیکی استفاده می شود سروکار دارد. ، ایمنی عملکردی موضوع استاندارد IEC 61508 است و 4 سطح مختلف SIL (سطح یکپارچگی ایمنی) را تعریف می کند: SIL 1 ، SIL 2 ، SIL 3 و SIL 4.
عملکرد ایمنی(SF) چیست؟
عملکرد ایمنی(SF) کنش مجموعه ای از تجهیزات است که برای پیاده سازی کاهش خودکار یک خطر خاص انجام می پذیرد. این کار توسط SIF انجام می پذیرد.
چند نمونه از عملکردهای ایمنی معمول به شرح ذیل است:
• توقف ترمز اتومبیل
• شیر ESD – فرآیند خاموش شدن
• سیستم آب پاش خاموش کننده آتش
• فشار زیاد در یک لوله، دریچه اضافه فشار را باز می کند
• عملکرد سنجش سرعت / کنترل سرعت
• شیر خنک کننده – باز کننده
• عملکرد ایمنی سنجش سرریز مایع
نمونه ای از عملکرد ایمنی (SF) در شکل زیر نشان داده شده است.
توجه: سیستم کنترل فرآیند با رنگ سبز نشان داده می شود ، و عملکرد ایمنی با رنگ نارنجی نشان داده شده است
چیست؟
SIL مقیاسی است که میزان قابلیت اطمینانی یک سیستم باید برای کاهش ریسک رخداد خطا در طول استفاده از آن بدست آورد را نشان میدهد و معیار کمی برای کاهش ریسک نیز می باشد.
در مورد خرابی های سخت افزاری تصادفی یا سیستماتیک یا خرابی های ناشی از مشکلات برق ، مثلاً به دلیل افت ولتاژ و به دلیل خرابی های غیرقابل پیش بینی باید فکر شود چراکه سیستم های کنترلی معمولاً در معرض خرابی های مختلف و خطرات مختلف هستند. همانطور که در ادامه توضیح داده خواهد شد ، انطباق با الزامات IEC 61508 اثرات مضر ناشی از خرابی بالقوه سیستم را به حداقل می رساند.
SIL سطح یکپارچگی ایمنی یعنی درجه قابلیت اطمینان که توسط هر جز که عملکرد مربوط به SF را انجام می دهد ، به دست میآید. ، توانایی سیستم در به انجام رساندن عملکردهای حیاتی هرچه قابلیت اطمینان بالاتر باشد نیز بیشتر است.
سطح SIL از 1 تا 4 است (SIL 1 ، SIL 2 ، SIL 3 ، SIL 4). باید بخاطر داشته باشیم که SIL بیشتر مربوط به عملکردهای کنترلی و اتوماتیک است و برای یک پلنت صنعتی کامل تعریف نمی شود.
SIL هنگامی تعیین عملکرد ضروری است که عملکردهای خاصی به ایمنی محصول مربوط باشد.
با تعریف FIS درک دقیقتری از SIL ایجاد میشود. FIS عملکرد ایمنی است ، مانند کنترل درجه حرارت یک دیگ بخار. هر یک از اجزای داخل سیستم کنترل از پروب دما تا دکمه خاموش کردن، درجه خاصی از SIL را کسب می کند. طبق همین، هر جزئی که عملکرد مربوط به ایمنی را تشکیل دهد، به عنوان مثال پروب دما ،می تواند برای بیش از یک عملکرد ایمنی(SF) مورد استفاده قرار گیرد ، جایی که هر عملکرد می تواند سطح SIL متفاوتی را کسب نماید.پس بنابر این عملکردهای ایمنی(SF)متعددی در درون یک سیستم کنترل وجود دارد که هر کدام به یک خطر خاص و با سطح خاصی از SIL مرتبط هستند. مجموعه اجزای سازنده یک سیستم باید مطابق با الزامات IEC 61508 به یک سطح کلی SIL منطبق باشد. این نکته مهم است که جدی بودن خطر در صورت بروز خرابی می تواند با حداقل احتمال قابل قبول خرابی ترکیب شود ، تا مشخص شود که با یک عملکرد ایمنی(SF) خاص به کدام سطح SIL باید برسد.
IEC 61508 چیست؟
IEC 61508 مرجع بین المللی فنی و قانونی برای ایمنی عملکردی (Functional Safety) است. هفت بخشی که استاندارد IEC 61508 را تشکیل می دهند ، دستورالعمل هایی است که برای عملکرد ایمنی (SF) اعمال می شود. بازنگری IEC هر ده سال یک بار انجام می شود، استانداردهای دیگری نیز در مورد ایمنی عملکردی(Functional Safety) وجود دارد که الزامات IEC 61508 را به بخشهای خاصی گسترش می دهد، این استاندارد مجموعه ای از الزامات اجباری و شیوه ها را با هدف تعیین قابلیت اطمینان یک سیستم ا ارائه می دهد. از این نظر ، قابلیت اطمینان معیار کاهش ریسک است. به عنوان مثال ، IEC 61511 در صنعت فرآیند مانند صنایع شیمیایی یا پتروشیمی اعمال می شود ، در حالی که IEC 62061 در مورد ماشین آلات اعمال می شود.بر اساس IEC 61508 هر سیستم کنترل مرتبط با ایمنی اگر به درستی کار نکند ، باید به روشی قابل پیش بینی و ایمن از کار بیفتد.
یک سیستم باید حداقل سه مورد الزامات SIL را برآورده سازد:
• قابلیت سیستماتیک (SC)، که سطح اطمینان از نظر طراحی محصول است ، چه برای سخت افزار و چه برای نرم افزار (در صورت وجود)
• محدودیت های معماری ، که بیانگر محدودیت هایی در معماری اجزا است و ممکن است قابلیت اطمینان آن را تحت تاثیر قرار دهد
• PFDavg یا PFH ، که احتمال خرابی های تصادفی خطرناک است ، چه بر اساس تقاضا یا دیماند (بعدا توضیح داده خواهد شد) و چه بر اساس تعداد ساعات کارکرد.
سطح کلی SIL با کمترین سطح در بین سطوح مختلف مطابقت دارد و سیستم های کنترل ممکن است هر الزام را با سطح SIL متفاوت (با SIL از 1 تا 4) برآورده کنند.
استاندارد IEC 61508 محدود ساختن پیچیدگی سیستم برای به حداقل رساندن ریسک را تا حد امکان توصیه می نماید.بدین معنی که یک سیستم متشکل از چند جز محدود دارای قابلیت اطمینان بسیار بالاتری نسبت به سیستمی که دارای اجزا فراوانی می باشد است. همچنین احتمال از کار افتادن یک جز از سیستم چه زمانی که به طور مکرر استفاده می شود (یعنی در طول چرخه تولید) و چه زمانی که فقط در زمان بروز حادثه استفاده می شود ، وجود دارد. از آنجا که عامل تریگر می تواند متفاوت باشد ، استاندارد IEC الزامات مختلفی را برای هر مورد تعریف می کند. یک الزام نظارتی دیگر که در مراحل مختلف چرخه عمر ایمنی (یعنی کل چرخه تولید ، از خرید تا دور انداختن یک محصول) مربوط به پرسنلی است که در این چرخه مشارکت دارند. پرسنل استاندارد IEC توصیه هایی را برای اطمینان از شایستگی کافی پرسنل پیشنهاد می نماید. : افراد باید مهارتهای فنی و مهندسی لازم را داشته باشند (یا آنها را کسب کنند) به طوری که این مهارت ها قابلیت اطمینان عملکرد ایمنی را در کل چرخه عمر ایمنی تضمین کند، اهمیت بخشهای تولید در این چرخه بسیار مهم است.
نحوه محاسبه SIL: سطح 1 ، 2 ، 3 و 4
برای هر یک از سه الزام تعیین شده سطح SIL باید توسط IEC 61508 محاسبه شود:
• الف – قابلیت سیستماتیک(SC)
• ب- محدودیت های معماری
• ج- PFDavg یا PFH
الف- ، اولین الزام را وقتی تجهیزات برای جلوگیری از خطاهای سیستماتیک در پیاده سازی و آزمایش سخت افزار طراحی شده اند ، برآورده می کنند و همیشه بیشتر در دستگاههایی که برای انجام عملکردهای ایمنی(SF) طراحی شده اند ، پیاده سازی می شود. فراموش نشود که این امر مخصوصاً باید در مورد نرم افزار صادق باشد.
حداکثر توانایی سیستماتیک قابل دستیابی با انجام ممیزی ها و بررسی ها در کل جریان تولید از طراحی تا تهیه قطعات ، مونتاژ و آزمایش ، تا تحویل به کاربر آن ارزیابی می شود.
هر دستگاه در طراحی دارای یک امتیاز SC است. SILهر عملکرد ایمنی به کوچکترین امتیاز SC دستگاه های مورد استفاده محدود می شود. این الزامات شامل کنترل کیفیت مناسب ، فرایندهای مدیریت و تکنیک های اعتبار سنجی و تایید ، تجزیه و تحلیل خرابی و غیره است.
ب- محدودیت های معماری که حداقل سطح افزونگی ایمنی است که از طریق دو روش جایگزین – Route 1h and Route 2h ارائه می شود.
لازم است کسر ایمنی شکست (SFF) را کمی کنید برای محاسبه حداکثر سطح SIL که با الزامات محدودیت های معماری قابل دستیابی است
SFF = (Safe + Dangerous Detected Failures) / Total Failures
محاسبه SFF با شکستن نرخ خرابی ایمن و خطرناک حاصل می شود. این قانون نحوه تعیین SFF را برای هر جزئی که هدف آن انجام یک عملکرد ایمنی(SF) است را تعیین می کند. با تحقق آنالیز FMEDA (حالت های خرابی ، اثرات و تجزیه و تحلیل تشخیصی) می توان این نرخ خرابی را به دست آورد.
ج- معیار احتمالی استفاده شده در بند ج به این بستگی دارد که آیا آن جز در معرض تقاضای(دیماند) زیاد است یا کم :
• تقاضای(دیماند) زیاد استفاده بیشتر از یک بار در سال و تقاضای(دیماند) کم استفاده کمتر از یا برابر با یک بار در سال تعریف می شود (IEC-61508-4).
• ، SIL در واقع فرکانس مجاز خرابی خطرناک را مشخص می کند برای عملکردهایی که به طور مداوم کار می کنند (حالت مداوم) یا عملکردهایی که بیشتر اوقات کار می کنند (حالت دیماند یا تقاضای زیاد)
• در مورد محاسبه SIL برای سومین الزام مربوط به احتمال خرابی های تصادفی، جداول زیر وجود دارد اولین جدول PFDavg) SIL) احتمال خرابی به ازای هر تقاضا(دیماند) را نشان می دهد، در حالی که جدول دوم (PFH) به فرکانس خرابی های خطرناک در طول ساعت اشاره دارد( اولی برای دیماند کم و دومی برای دیماند بالا یا پیوسته است:
به تفاوت عملکرد و سیستم توجه کنید. سیستم پیاده سازی عملکرد ممکن است به طور مکرر در حال کار باشد (مانند ECU ماشین در بکارگیری کیسه هوا) ، اما عملکرد ممکن است به طور متناوب مورد تقاضا باشد (مانند بکارگیری کیسه هوا).
هنگامی که سطح SIL یک عملکرد ایمنی واحد برای هر الزام IEC محاسبه شد ، امکان تعیین درجه کلی قابلیت اطمینان وجود دارد.
IEC 61508 استانداردي است كه عمدتاً به منظور استفاده تأمين كننده ها و سازندگان اجزا يا سيستم هاي صنعتي ارائه گردیده است و مجموعه اي از روش ها با هدف حمايت از كاربران در رعايت الزامات اجباری می باشد. با این حال ، اغلب سطح SIL ، به عنوان بخشی از رویه های خرید در زمینه سیستم های مکانیکی ، الکتریکی و الکترونیکی مورد نیاز است.
بسیاری از مشتریان به طور فزاینده ای به دنبال تهیه کننده هایی هستند که دارای گواهینامه SIL و مطابق با الزامات IEC می باشند حتی در مواردی که استاندارد دستیابی به گواهینامه SIL را الزامی نکرده است چراکه گواهینامه SIL توسط نهادهای مستقل صادر می شود و تمایز محصولات در بازار را افزایش می دهد.
چه محصولاتی می توانند گواهینامه SIL دریافت نمایند:
برای تمام محصولاتی که در یک یا چند عملکرد ایمنی(SF) دارای نقش می باشند صدور گواهینامه SIL امکانپذیر است، به عنوان مثال ، سنسورها ، شیرهای مکانیکی ، سیستم های اندازه گیری یا نرم افزارها.
دو نوع گواهینامه در تمام سطوح SIL و تحت پوشش IEC 61508 صادر می گردد:
1-گواهینامه نوعی SIL ، گواهینامه نوعی SIL به مدت سه سال معتبر است، یک خانواده محصول را می توان از طریق یک نوع گواهینامه نیز تایید کرد. که قابلیت اطمینان یک نوع محصول را تأیید می کند. CB ها با تجزیه و تحلیل نمونه اولیه ، درجه قابلیت اطمینان یک جز را تایید می کنند. پس از صدور گواهینامه ، تولیدکنندگان می توانند به صورت سری از نمونه اولیه تولید کنند.
2-گواهینامه مشخص SIL ، که فقط یک جز مشخص شده در گواهی را پوشش می دهد این یک گواهینامه منحصر به فرد است و فقط یک محصول خاص را به طور انحصاری پوشش می دهد و نمی تواند به سایر محصولات تسری و تعمیم داده شود.
. به طور کلی برای محصولات سفارشی یا برای محصولات مبتنی بر پروژه قابل استفاده است. آزمایشات مستقیماً روی محصول مورد تأیید انجام می شود.
تحلیل و معرفی استاندارد IEC 61508
استاندارد 61508 دارای دو اصل بنیادی است:
• یک فرایند مهندسی به نام چرخه عمر ایمنی که بر اساس روش هایی برای کشف و از بین بردن خطاها و کاستی های طراحی تعریف شده است.
• یک رویکرد احتمالاتی تحلیل شکست(خطا) برای در نظر گرفتن اثر ایمنی خرابی دستگاه.
چرخه عمر ایمنی دارای 16 فاز است که تقریباً میتوان آنها را به سه گروه زیر تقسیم کرد:
• فازهای 1-5 تجزیه و تحلیل را در بر می گیرد.
• فازهای 6 تا 13 تحقق را در بر می گیرد.
• فازهای 14-16 بهره برداری را شامل می شود.
تمام مراحل مربوط به عملکرد ایمنی سیستم است.
چرخه عمر ایمنی روندهایی است برای:
در ابتدا تجزیه و تحلیل وضعیت و مستند کردن الزامات ایمنی (مراحل تجزیه و تحلیل).
سپس ، این الزامات با استفاده از زیر سیستم های نرم افزاری و سخت افزاری مناسب و روش طراحی (مراحل تحقق) به یک طرح مستند سیستم ایمنی تفسیر شود.پس از آن باید سیستم را بر اساس مشخصات و قابلیت اطمینان مورد نیاز ارزیابی کرده و در صورت لزوم آن را اصلاح کرد. سپس سیستم را باید مطابق رویه های پذیرفته شده (فازهای بهره برداری)بهره برداری و نگهداری کرد و نتایج راباید مستند نمود تا استانداردهای عملکرد در طول عمر سیستم حفظ شود. استاندارد یک فرایند 16 مرحله ای اسمی را ارائه می دهد که می تواند به به سه طبقه بندی اصلی تقسیم شود.استاندارد IEC 61508 استفاده از چرخه عمر ایمنی کاربردی را توصیه میکند. مرحله آنالیز چرخه زندگی با جمع آوری اطلاعات پیش زمینه برای شناسایی و تعیین نیازهای سیستم سروکار دارد. مرحله تحقق مربوط به طراحی و ساخت سیستم است ، در حالی که مرحله بهره برداری مربوط به استفاده و نگهداری صحیح سیستم در طول عمر عملیاتی آن است.
میزان کاهش ریسک ضروری
کاهش ریسک ضروری(بند 3.5.18 از IEC 61508-4) کاهش خطری است که برای رسیدن به یک ریسک قابل تحمل باید تحقق یابد و این کاهش ریسک به هر دو صورت کمی و یا کیفی می تواند بیان شود.
هدف از تعیین ریسک قابل تحمل برای یک رویداد خطرناک خاص ، بیان هدفی است که هم از نظر فراوانی (یا احتمال) واقعه خطرناک و هم از عواقب خاص آن منطقی به نظر می رسد.
خطر قابل تحمل به عوامل زیادی بستگی دارد (به عنوان مثال ، شدت آسیب دیدگی ، تعداد افراد در معرض خطر ، دفعات قرار گرفتن در معرض خطر یک فرد یا افراد و مدت زمان قرار گرفتن در معرض آن خطر).
در تعیین ریسک قابل تحمل عواملی به شرح ذیل تاثیرگذار است:
• الزامات قانونی ، هم کلی و هم آنهایی که مستقیماً به برنامه خاص مربوط می شوند ؛
• دستورالعمل های ابلاغ شده توسط مسئولین مربوطه؛
• بحث و توافق با طرف های مختلف درگیر در برنامه ؛
• استانداردها و دستورالعمل های صنعت ؛
• بحث ها و توافق نامه های بین المللی ؛ در حال حاضر نقش استانداردهای ملی و بین المللی در رسیدن به معیارهای ریسک قابل تحمل برای کاربردهای خاص ، به طور فزاینده ای مهم می شود.
• مشاوره ها و توصیه های تخصصی و علمی از نهادهای مشورتی.
برخی از روش های تعیین الزامات SIL
استاندارد IEC 61508 روش ذیل را برای تعیین الزامات SIL ارائه می دهد:
ضمیمه A پارت 5- ریسک و یکپارچگی ایمنی SIL – مفاهیم کلی
ضمیمه B پارت 5-انتخاب روشهای تعیین SIL
ضمیمه C پارت 5- مفاهیم ریسک قابل تحمل و ALARP
ضمیمه D پارت 5-تعیین SIL – یک روش کمی
ضمیمه E پارت 5– روش های نمودار ریسک
ضمیمه F پارت 5-روش نیمه کمی با استفاده از آنالیز لایه محافظت LOPA.
ضمیمه G پارت 5- تعیین SIL – یک روش کیفی -ماتریس شدت رویداد خطرناک