روش‌های راستی آزمایی سطوح خدشه‌ناپذیری ایمنی

پس از تعیین SIL هدف برای یک SIF و طراحی آن، و حتی پس از نصب و راه اندازی SIS باید اجزاء آن ارزشیابی شوند تا میزان SIL موجود آن راستی آزمایی و ارزشیابی گردد. روش‌­های مختلفی برای راستی آزمایی سطوح خدشه‌ناپذیری ایمنی۱ وجود دارد که برخی از آنها عبارتند از[۷]:

  • معادلات ساده شده
  • تحلیل درخت خطا
  • تکنیک مارکوف

در این بخش ابتدا تعاریف و ریاضیات پایه مورد استفاده در راستی آزمایی SIL ارائه و سپس نحوه انجام محاسبات توسط معادلات ساده شده و تحلیل درخت خطا بررسی می­شوند.

تعاریف

ماموریت۲: کارکردی که انتظار می­رود یک SIF به درستی انجام دهد. بر این اساس دو ماموریت برای یک SIF تعریف می­گردد:

  • ماموریت ایمنی: در زمان بروز تقاضا SIF به درستی کارکرد تعریف شده خود را انجام داده و جلوی خطر را گرفته یا پیامدهای آن را تا حد قابل قبول کاهش دهد. پارامتر تاثیر گذار بر این ماموریت خرابی در هنگام تقاضا (PFD) است.
  • ماموریت پایداری تولید: در زمان شرایط نرمال واحد SIF کارکرد خود را به صورت کاذب انجام ندهد و موجب قطع فرآیند و یا بخشی از آن که منتج به کاهش پایداری تولید سیستم است نگردد. پارامتر تاثیر گذار بر این ماموریت نرخ خطاهای کاذب است.

موفقیت۳: توانایی یک SIF در انجام هر یک از ماموریت های خود را موفقیت می‌­گویند.
شکست: عدم توانایی یک SIF در انجام هر یک از ماموریت‌های خود را شکست یا خرابی می‌­گویند.
حالات شکست: حالت‌های مختلف شکست یا خرابی در یک SIF که می‌­تواند به علل مختلف و یا دارای پیامدهای مختلف باشد.
نرخ شکست: تعداد خرابی‌های احتمالی در یک بازه زمانی مشخص  که با f یا λ نشان داده می‌­شود.
فاصله زمانی متوسط بین دو شکست۴: کل زمان کارکرد سیستم­های موجود در یک جامعه آماری، تقسیم بر تعداد خرابی­های روی داده در آنها. مقدار MTBF در واقع عکس نرخ شکست است و برای حالات خرابی مختلف به صورت مجزا نیز محاسبه می­شود.
زمان متوسط تعمیر۵: زمان لازم برای از سرویس خارج کردن، انجام تعمیرات و راه اندازی مجدد یک سیستم پس از کشف خرابی در آن.
شکست با عامل مشترک۶: در صورتیکه در هنگام استفاده از سیستم­های دارای افزونگی دو و یا چند کانال مورد استفاده موازی به یک علت دچار شکست شوند، این نوع از شکست را با عامل مشترک می­نامند.
افزونگی۷: استفاده از کانال یا سیستم­های مشابه با کارکرد یکسان به صورت همزمان در یک SIF جهت افزایش قابلیت اطمینان آن SIF.
بازه زمانی تست۸: دوره های زمانی از پیش تعیین شده جهت آزمایش کارکرد صحیح SIF و پیدا کردن و رفع خرابی­های احتمالی.
کسر خطاهای ایمن۹: بخشی از حالات خطا که منجر به خرابی خطرناک در SIF نمی­شوند.
پوشش عیب یابی۱۰: بخشی از حالات خطای خطرناک که قابل شناسایی هستند.
کارکرد ایمنی نیازمند انرژی برای اجرای فرمان قطع۱۱: کارکرد ایمنی که در حالت نرمال بدون انرژی بوده و اجزاء آن جهت اجرای فرمان قطع نیازمند دریافت انرژی جریان الکتریکی و یا فشار هوای ابزاردقیق هستند.

حالات شکست

حالات شکست را به سه روش می­‌توان تقسیم‌بندی نمود:

  • بر اساس عامل خرابی: بر این اساس خرابی یک SIF یا دارای علل سیستماتیک است و یا به علت خرابی‌­های سخت افزاری اتفاق می­افتد. این خرابی‌ها به شکل زیر تعریف می‌­شوند:
    • خرابی سیستماتیک۱۲: خرابی‌هایی که به علل خطاهای انسانی در مراحل مختلف چرخه عمر ایمنی روی ­می‌­دهند. این خطاها ممکن است مربوط به اشتباه در انتخاب مشخصات، طراحی، نصب (اشتباهات سیم کشی و یا لوله‌های ابزار دقیق، توان نامناسب، اتصالات بسته یا نامناسب، سنسور یا عنصر نهایی اشتباه)، خطاهای نرم‌افزاری، بهره‌برداری، تعمیرات و یا انجام اصلاحات یا تغییرات باشد. از آنجایی که خطاهای انسانی را می­‌توان با آموزش، استفاده از نیروی متخصص، رعایت دستورالعمل­‌های استانداردها و مدیریت مناسب کاهش داد، در این فصل به آنها پرداخته نمی‌­شود.
    • خرابی‌های تصادفی سخت‌افزاری۱۳: این خرابی‌­های قابل پیشگیری نیستند و به علل مختلف در سخت افزار بخش­‌های مختلف یک SIF به وقوع می­‌پیوندند. نرخ و احتمال بروز این نوع خرابی‌­ها قابل محاسبه است و تاثیر مستقیم بر کارکرد SIF دارند. این خرابی‌­ها در این فصل مورد بررسی قرار می‌­گیرند.
  • بر اساس پیامد خرابی: با توجه به تاثیر خرابی بر روی فرآیند و کارکرد مورد انتظار یک SIF به شکل زیر تعریف می‌­شوند:
    • خرابی خطرناک۱۴: خرابی که منجر به شکست در انجام ماموریت ایمنی SIF می­‌گردد.
    • خرابی ایمن۱۵: خرابی که تاثیری بر روی ماموریت ایمنی SIF ندارد.
  • بر اساس قابلیت تشخیص: با توجه با نحوه و سرعت یافتن عیب و خرابی در یک SIF به شکل زیر تعریف می‌شوند:
    • خرابی پنهان۱۶: خرابی SIF که فقط با تست‌­های دوره‌­ای و یاعدم کارکرد صحیح آن در هنگام تقاضا مشخص می‌شود.
    • خرابی قابل تشخیص یا آشکار۱۷: خرابی SIF که بلافاصله بعد از وقوع (یا در بازه زمانی مناسب) توسط بهره‌بردار یا افراد مسئول قابل تشخیص است.

با توجه به تعاریف فوق و از آنجایی که خطاهای سیستماتیک بررسی نمی­‌شوند، می‌توان حالات شکست یک SIF را به چهار دسته زیر با نرخ شکست مشخص تقسیم نمود:

  1. خطای سخت افزاری ایمن آشکار۱۸ که با نماد SD و با نرخ شکست  نشان داده می‌­شود.
  2. خطای سخت افزاری ایمن پنهان۱۹ که با نماد SU و با نرخ شکست نشان داده می‌­شود.
  3. خطای سخت افزاری خطرناک آشکار۲۰ که با نماد DD و با نرخ شکست نشان داده می‌­شود.
  4. خطای سخت افزاری خطرناک پنهان۲۱ که با نماد DU و با نرخ شکست  نشان داده می‌­شود.

بر مبنای تعاریف فوق می‌­توان روابط زیر را برای پوشش عیب یابی (DC) نوشت:

و برای کسر خطاهای ایمن (SFF):

رابطه فوق در صورتی برقرار است که در صورت بروز خطای خطرناک آشکار ادامه فعالیت فرآیند تا تعمیر و راه اندازی مجدد SIS متوقف شود. در غیر این صورت از رابطه استفاده می­‌شود.

افزونگی۲۲

جهت افزایش قابلیت اطمینان یک SIS می­‌توان از اجزاء مشابه با هدف یکسان استفاده نمود. افزونگی در استاندارد IEC61508 با پارامتر تحمل خرابی سخت‌افزاری۲۳ تعریف می‌­شود که برابر است با حداکثر تعداد خرابی‌­های سخت افزاری قابل تحمل در یک SIS بدون اینکه بر روی کارکرد ایمنی آن تاثیر داشته باشد. بدین ترتیب به عنوان مثال سیستمی با افزونگی ۱oo2 (یک از دو۲۴) یا ۲oo3 (دو از سه) دارای HFT برابر با یک و سیستمی با افزونگی ۱oo3 یا ۲oo4 دارای HFT برابر با ۲ هستند. بدیهی است سیستم‌هایی بدون افزونگی یا با افزونگی ۲oo2 یا ۳oo3 دارای HFT برابر صفر هستند.

تعاریف SFF و HFT توسط استاندارد جهت تعریف قیود معماری به کار می‌­روند. این قیود در جداول شماره ۲ بخش ۲ استاندارد برای دو گروه تجهیزات نوع (تیپ) A (تجهیزات دارای ساختار ساده) و نوع (تیپ) B (تجهیزات دارای ساختار پیچیده و حالات خرابی ناشناخته) به صورت زیر تعریف می­‌شوند.

جدول ۸ – قیود معماری برای تجهیزات نوع (تیپ) A

جدول ۹ – قیود معماری برای تجهیزات نوع (تیپ) B

ضریب خطاهای با عامل مشترک

با اینکه سیستم­‌های دارای افزونگی قابلیت اطمینان بیشتری دارند ولی گاهی ضعف در طراحی، نصب و بهره‌برداری در این سیستم­‌ها می‌­تواند منجر به بروز خرابی‌­هایی با عامل مشترک شوند. به طور مثال بسته ماندن شیر اتصال دو ترانسمیتر که با یک لوله کشی به فرآیند متصل شده‌اند. تکرارپذیری بروز این نوع خرابی‌­ها (λc) از پارامتر ß و از رابطه زیر محاسبه می­‌شود:

مقدار ß از چک لیست­های ارائه شده در IEC61508:2010, Part 6, Pages 88&89 محاسبه می‌­شود.

دکتر علی بقایی


۱ SIL Verification Techniques
۲ Mission
۳ Success
۴ (Mean Time Between Failures (MTBF
۵ (Mean Time To Repair/Restore (MTTR
۶ Common Cause Failure
۷ Redundancy
۸ Test Interval
۹ (Safe Failure Fraction (SFF
۱۰ (Diagnostic Coverage (DC
۱۱ Energized to Trip
۱۲ Systematic Failure
۱۳ Random Hardware Failure
۱۴ Dangerous Failure
۱۵ Safe Failure
۱۶ Undetected, Covert
۱۷ Detected, Overt
۱۸ Safe Detected
۱۹ Safe Undetected
۲۰ Dangerous Detected
۲۱ Dangerous Undetected
۲۲ Redundancy
۲۳ (Hardware Fault Tolerance (HFT
۲۴ (۱out of 2 (1oo2