گواهینامه SIL

گواهی نامه SIL از نظر ماهیت و مفهوم قدری با سایر گواهی نامه های معمول که در آزمایشگاه های کشور صادر می شود متفاوت است این گواهینامه اساسا مربوط به ارزیابی میزان قابلیت اطمینان مورد نیاز برای فرایند و سیستم های ایمنی در صنعت می باشد.

درخواست صدور گواهی نامه SIL 

به عنوان مثال عملکرد کیسه هوای ماشین و یا ترمز آن، دریچه تخلیه فشار یک مخزن تا سیستم های پیچیده ایمنی در صنایع گاز، نفت و نیروگاه های هسته ای موضوع این گواهینامه می باشند.

در یک سیستم ایمنی هر جز کوچک نظیر یک سنسور یا ترانسدیوسر داری یک احتمال خطا یا نرخ خط( لاندا) می باشد. به عنوان مثال سازنده یک محصول بر اساس سوابق استفاده از محصول و محاسبات خود یک نرخ خطا را برای محصول خود اعلام می نماید و هر احتمال خطا بر اساس دو جدول ساده که در ادامه توضیح داده خواهد شد به 4 سطح SIL  از یک تا 4 متناظر می شوند.

به عنوان مثال زیمنس یا ABB وقتی اعلام می نماید سنسور یا ترانسدیوسری به شماره مشخص داری گواهینامه SIL 2 است در واقع نرخ خطا یا قابلیت این جز را اعلام می نماید.

حال یک سیستم ایمنی  در یک پلنت صنعتی به طور معمول شامل اجزا مختلفی نظیر سنسور و ترانسدیوسر، کنترلر، نرم افزار، اپراتور انسانی و .. است. حال بحث اصلی IEC 61508 این است که برای هر سیستم چه سطح SIL مورد قبول است و با چه روش هایی می توان سطح SIL یک سیستم را به سطح قابل قبول رسانید که محاسبه این اعداد شامل محاسبات ریاضی کمی و گاها توصیفات کیفی قابلیت اطمینان است که به تفصیل در این استاندارد توضیح داده شده است.

برخلاف بسیاری از استانداردها این استاندارد در خصوص تست فیزیکی یک تجهیز نیست و بیشتر دستورالعمل و راهنمایی برای انجام محاسبات نرخ خطا و قابلیت اطمینان در یک سیستم متشکل از اجزا مختلف می باشد.

در ابتدا قبل از آشنایی با گواهینامه SIL  باید آشنایی مختصری با مفاهیم پایه  در این زمینه پیدا نماییم.

ایمنی عملکردی(Functional Safety) چیست؟ 

 ایمنی عملکردی(Functional Safety) شاخه ای از مهندسی است که با ایمنی سیستم هایی که در آنها از تجهیزات  الکتریکی و الکترونیکی استفاده می شود سروکار دارد. همانطور که در این نوشتار بحث خواهیم کرد ، ایمنی عملکردی موضوع استاندارد IEC 61508 است و 4 سطح مختلف SIL (سطح یکپارچگی ایمنی) را تعریف می کند: SIL 1 ، SIL 2 ، SIL 3 و SIL 4. 

عملکرد ایمنی(SF) چیست؟

عملکرد ایمنی(SF) کنش مجموعه ای از تجهیزات است که  برای پیاده سازی کاهش خودکار یک خطر خاص انجام می پذیرد. این کار توسط SIF انجام می پذیرد.

چند نمونه از عملکردهای  ایمنی  معمول به شرح ذیل است:

  • توقف ترمز اتومبیل
  • شیر ESD – فرآیند خاموش شدن
  • سیستم آب پاش خاموش  کننده آتش
  • فشار زیاد در یک لوله، دریچه اضافه فشار را باز می کند
  • عملکرد سنجش سرعت / کنترل سرعت
  • شیر خنک کننده – باز کننده
  • عملکرد ایمنی سنجش سرریز مایع

نمونه ای از عملکرد ایمنی (SF) در شکل  زیر نشان داده شده است. 

توجه: سیستم کنترل فرآیند  با رنگ سبز نشان داده می شود ، و عملکرد ایمنی با  رنگ نارنجی نشان داده شده است.

 SIL معیار کمی برای کاهش ریسک است ، که مقیاسی است که میزان قابلیت اطمینانی  که یک سیستم باید برای کاهش ریسک رخداد خطا در طول استفاده از آن بدست آورد را نشان می دهد.

سیستم های کنترلی معمولاً در معرض خرابی های مختلف و خطرات مختلف هستند – بیایید در مورد خرابی های سخت افزاری تصادفی یا سیستماتیک یا خرابی های ناشی از مشکلات برق ، مثلاً به دلیل افت ولتاژ – و به دلیل خرابی های غیرقابل پیش بینی فکر کنیم. همانطور که در ادامه توضیح داده خواهد شد ، انطباق با الزامات IEC 61508 اثرات مضر ناشی از خرابی بالقوه سیستم را به حداقل می رساند.

SIL (سطح یکپارچگی ایمنی) کمی سازی قابلیت اطمینان (یعنی درجه قابلیت اطمینان) است که توسط هر جز که عملکرد مربوط به SF را انجام می دهد ، به دست می آید. هرچه قابلیت اطمینان بالاتر باشد ، توانایی سیستم در به انجام رساندن عملکردهای حیاتی نیز بیشتر است.

سطح SIL از 1 تا 4 است (SIL 1 ، SIL 2 ، SIL 3 ، SIL 4). باید بخاطر داشته باشیم که SIL برای  یک پلنت صنعتی کامل تعریف نمی شود، بلکه بیشتر مربوط به عملکردهای کنترلی و اتوماتیک است. 

تعیین عملکرد SIL هنگامی ضروری است که عملکردهای خاصی به ایمنی محصول مربوط باشد.

برای درک دقیق SIL ، باید به تعریف FIS برگردیم.SIF عملکرد ایمنی است ، مانند کنترل درجه حرارت یک دیگ بخار. هر یک از اجزای داخل سیستم کنترل – از پروب دما تا دکمه خاموش کردن – درجه خاصی  از SIL را کسب می کند.

به همین ترتیب ، هر جزئی که عملکرد مربوط به ایمنی را تشکیل دهد – به عنوان مثال پروب دما – می تواند برای بیش از یک عملکرد ایمنی(SF)  مورد استفاده قرار گیرد ، جایی که هر عملکرد می تواند سطح SIL متفاوتی را کسب نماید.

بنابراین ، در درون یک سیستم کنترل ، عملکردهای ایمنی(SF)  متعددی وجود دارد که هر کدام به یک خطر خاص و با سطح خاصی از SIL مرتبط هستند. مجموعه اجزای سازنده یک سیستم باید مطابق با الزامات IEC 61508 به یک سطح کلی SIL منطبق باشد.

همانطور که در پاراگرافهای بعدی بحث خواهیم کرد ، جدی بودن خطر در صورت بروز خرابی می تواند با حداقل احتمال قابل قبول خرابی ترکیب شود ، تا مشخص شود که با یک عملکرد ایمنی(SF)  خاص به کدام سطح SIL باید برسد.

IEC 61508 مرجع بین المللی فنی و قانونی برای ایمنی عملکردی (Functional Safety) است. هفت بخشی که استاندارد IEC 61508 را تشکیل می دهند ، دستورالعمل هایی است که برای عملکرد ایمنی (SF) اعمال می شود. بازنگری IEC هر ده سال یک بار انجام می شود.

علاوه بر این ، استانداردهای دیگری نیز در مورد ایمنی عملکردی(Functional Safety)  وجود دارد که الزامات IEC 61508 را به بخشهای خاصی گسترش می دهد: به عنوان مثال ، IEC 61511 در صنعت فرآیند مانند صنایع شیمیایی یا پتروشیمی اعمال می شود ، در حالی که IEC 62061 در مورد ماشین آلات اعمال می شود.

این استاندارد مجموعه ای از الزامات اجباری و  شیوه ها را با هدف تعیین قابلیت اطمینان یک سیستم ا ارائه می دهد. از این نظر ، قابلیت اطمینان معیار کاهش ریسک است.

بر اساس IEC 61508 هر سیستم کنترل مرتبط با ایمنی باید به درستی کار کند ، در غیر این صورت باید به روشی قابل پیش بینی و ایمن از کار بیفتد.

یک سیستم باید حداقل سه مورد الزامات  SIL را برآورده سازد:

  • قابلیت سیستماتیک (SC)، که سطح اطمینان از نظر طراحی محصول است – چه برای سخت افزار و چه برای نرم افزار (در صورت وجود)
  • محدودیت های معماری ، که بیانگر محدودیت هایی در معماری اجزا است و ممکن است قابلیت اطمینان آن را تحت تاثیر قرار دهد
  • PFDavg یا PFH ، که احتمال خرابی های تصادفی خطرناک است ، چه بر اساس تقاضا یا دیماند(بعدا توضیح داده خواهد شد) و چه بر اساس  تعداد ساعات کارکرد.

سیستم های کنترل ممکن است هر الزام را با سطح SIL متفاوت (با SIL از 1 تا 4) برآورده کنند. سطح کلی SIL با کمترین سطح در بین سطوح مختلف مطابقت دارد. در بخش بعدی نحوه محاسبه سطح SIL با توجه به هر الزام را خواهیم دید.

برای به حداقل رساندن ریسک، استاندارد IEC 61508 محدود ساختن پیچیدگی سیستم را تا حد امکان  توصیه می نماید.بدین معنی که یک سیستم متشکل از چند جز محدود دارای قابلیت اطمینان بسیار بالاتری نسبت به  سیستمی که دارای اجزا فراوانی می باشد است. 

بعلاوه ، یک جز از سیستم  چه زمانی که به طور مکرر استفاده می شود (یعنی در طول چرخه تولید) و چه زمانی که فقط  در زمان بروز حادثه   استفاده می شود ، احتمال از کار افتادن آن وجود دارد. از آنجا که عامل تریگر می تواند متفاوت باشد ، استاندارد IEC الزامات مختلفی را برای هر مورد تعریف می کند.

یک الزام نظارتی دیگر که در مراحل مختلف چرخه عمر ایمنی (یعنی کل چرخه تولید ، از خرید تا دور انداختن یک محصول) مربوط به پرسنلی است که در این چرخه مشارکت دارند. 

 برای اطمینان از شایستگی کافی پرسنل استاندارد  IEC توصیه هایی را  پیشنهاد می نماید. اهمیت بخشهای تولید  در این چرخه بسیار مهم است: افراد باید مهارتهای فنی و مهندسی  لازم را داشته باشند (یا آنها را کسب کنند) به طوری که این مهارت ها   قابلیت اطمینان عملکرد ایمنی را در کل چرخه عمر ایمنی تضمین کند.

همانطور که گفته شد ، سطح SIL باید برای هر یک از سه الزام تعیین شده توسط IEC 61508 محاسبه شود:

  • الف – قابلیت سیستماتیک(SC)
  • ب- محدودیت های معماری
  • ج- PFDavg یا PFH

الف- وقتی تجهیزات برای جلوگیری از خطاهای سیستماتیک در پیاده سازی و آزمایش سخت افزار طراحی شده اند ، اولین الزام را برآورده می کنند. این امر مخصوصاً باید در مورد نرم افزار صادق باشد – همیشه بیشتر در دستگاههایی که برای انجام عملکردهای ایمنی(SF) طراحی شده اند ، پیاده سازی می شود.

حداکثر توانایی سیستماتیک قابل دستیابی با انجام ممیزی ها و بررسی ها در کل جریان تولید – از طراحی تا تهیه قطعات ، مونتاژ و آزمایش ، تا تحویل به کاربر آن ارزیابی می شود.

هر دستگاه در طراحی دارای یک  امتیاز SC است. SIL  هر عملکرد ایمنی به کوچکترین امتیاز SC دستگاه های مورد استفاده محدود می شود. الزامات مربوط به SC در مجموعه ای از جداول در بخش 2 و بخش 3  استاندارد ارائه شده است. این الزامات شامل کنترل کیفیت مناسب ، فرایندهای مدیریت و تکنیک های اعتبار سنجی و تایید ، تجزیه و تحلیل خرابی و غیره است.

ب- محدودیت های معماری که حداقل سطح افزونگی ایمنی است که از طریق دو روش جایگزین –  Route 1h and Route 2h ارائه می شود.

برای محاسبه حداکثر سطح SIL که با الزامات محدودیت های معماری قابل دستیابی است ، لازم است کسر ایمنی شکست (SFF) را کمی کنید:

SFF = (Safe + Dangerous Detected Failures) / Total Failures

محاسبه SFF با شکستن نرخ خرابی ایمن و خطرناک حاصل می شود. این قانون نحوه تعیین SFF را برای هر جزئی که هدف آن  انجام یک عملکرد ایمنی(SF) است را  تعیین می کند. با تحقق آنالیز FMEDA (حالت های خرابی ، اثرات و تجزیه و تحلیل تشخیصی) می توان این نرخ خرابی را به دست آورد.

ج- معیار احتمالی استفاده شده در بند ج به این بستگی دارد که آیا آن جز  در معرض تقاضای(دیماند) زیاد است یا کم :

  • تقاضای(دیماند) زیاد استفاده  بیشتر از یک بار در سال و تقاضای(دیماند) کم استفاده کمتر از یا برابر با یک بار در سال تعریف می شود (IEC-61508-4).
  • برای عملکردهایی که به طور مداوم کار می کنند (حالت مداوم) یا عملکردهایی که بیشتر اوقات کار می کنند (حالت دیماند یا تقاضای زیاد) ، SIL  در واقع فرکانس مجاز خرابی خطرناک را مشخص می کند.

در مورد محاسبه SIL برای سومین الزام – مربوط به احتمال خرابی های تصادفی – ،  جداول زیر وجود دارد ، که در قسمت اول استاندارد (IEC 61508-1) نیز ارائه شده است. اولین جدول PFDavg)  SIL)    احتمال خرابی به ازای هر تقاضا(دیماند) را نشان می دهد، در حالی که جدول دوم (PFH) به فرکانس خرابی های خطرناک در  طول ساعت اشاره دارد( اولی برای دیماند کم و دومی برای دیماند بالا یا پیوسته است:

به تفاوت عملکرد و سیستم توجه کنید. سیستم پیاده سازی عملکرد ممکن است به طور مکرر در حال کار باشد (مانند ECU ماشین در  بکارگیری کیسه هوا) ، اما عملکرد ممکن است به طور متناوب مورد تقاضا باشد (مانند بکارگیری کیسه هوا).


سطح یکپارچگی ایمنی  (SIL)
احتمال متوسط خرابی خطرناک در هر تقاضای(دیماند) عملکرد ایمنی (PFDavg)
۴≥ 10-5 to < 10-4
۳≥ 10-4 to < 10-3
۲≥ 10-3 to < 10-2
۱≥ 10-2 to < 10-1
سطح یکپارچگی ایمنی  (SIL)فرکانس متوسط خرابی خطرناک عملکرد ایمنی  (h-۱]  (PFH]
۴≥ 10-9 to < 10-8
۳≥ 10-8 to < 10-7
۲≥ 10-7 to < 10-6
۱≥ 10-6 to < 10-5

هنگامی که سطح SIL یک عملکرد ایمنی واحد برای هر الزام IEC محاسبه شد ، امکان تعیین درجه کلی قابلیت اطمینان وجود دارد.

IEC 61508 استانداردي است كه عمدتاً به منظور استفاده تأمين كننده ها و سازندگان اجزا يا سيستم هاي صنعتي ارائه گردیده است  و در واقع مجموعه اي از روش ها با هدف حمايت از كاربران در رعايت الزامات اجباری می باشد.  با این حال ، به عنوان بخشی از رویه های خرید در زمینه سیستم های مکانیکی ، الکتریکی و الکترونیکی ، اغلب سطح SIL مورد نیاز است.

حتی در مواردی که استاندارد دستیابی به گواهینامه SIL را الزامی نکرده است بسیاری از مشتریان به طور فزاینده ای به دنبال تهیه کننده هایی هستند که دارای گواهینامه SIL  و مطابق با الزامات IEC می باشند.گواهینامه SIL توسط نهادهای مستقل صادر می شود و تمایز محصولات در بازار را افزایش می دهد.

صدور گواهینامه SIL  برای تمام محصولاتی که   در یک یا چند عملکرد ایمنی(SF) دارای نقش می باشند امکانپذیر است، به عنوان مثال ، سنسورها ، شیرهای مکانیکی ، سیستم های اندازه گیری  یا نرم افزارها.

 دو نوع گواهینامه در تمام سطوح SIL و تحت پوشش IEC 61508 صادر می گردد:

۱-گواهینامه نوعی SIL ، که قابلیت اطمینان یک نوع محصول را تأیید می کند. CB ها با تجزیه و تحلیل نمونه اولیه ، درجه قابلیت اطمینان یک جز را تایید می کنند. پس از صدور گواهینامه ، تولیدکنندگان می توانند به صورت سری از نمونه اولیه تولید کنند. گواهینامه نوعی SIL به مدت سه سال معتبر است. یک خانواده محصول را می توان از طریق یک نوع گواهینامه نیز تایید کرد.

۲-گواهینامه مشخص SIL ، که فقط یک جز مشخص  شده در گواهی را پوشش می دهد. به طور کلی برای محصولات سفارشی یا برای محصولات مبتنی بر پروژه قابل استفاده است. آزمایشات مستقیماً  روی محصول مورد تأیید انجام می شود. این یک گواهینامه منحصر به فرد است و فقط یک محصول خاص را به طور انحصاری پوشش می دهد و نمی تواند به سایر محصولات تسری و تعمیم داده شود.

استاندارد  ۶۱۵۰۸ دارای دو اصل بنیادی است:

  • یک فرایند مهندسی به نام چرخه عمر ایمنی که بر  اساس روش هایی برای کشف و از بین بردن خطاها و کاستی های طراحی تعریف شده است.
  • یک رویکرد احتمالاتی تحلیل شکست(خطا)  برای در نظر گرفتن  اثر ایمنی خرابی دستگاه.

چرخه عمر ایمنی دارای ۱۶ فاز است که تقریباً میتوان آنها را به سه گروه زیر تقسیم کرد:

  • فازهای ۱-۵ تجزیه و تحلیل را در بر می گیرد.  
  • فازهای ۶ تا ۱۳ تحقق را در بر می گیرد. 
  • فازهای  ۱۴-۱۶ بهره برداری را شامل می شود.

تمام مراحل مربوط به عملکرد ایمنی سیستم است.

چرخه عمر ایمنی روندهایی است برای: 

 در ابتدا تجزیه و تحلیل وضعیت و مستند کردن الزامات ایمنی (مراحل تجزیه و تحلیل). 

سپس ، این الزامات  با استفاده از زیر سیستم های نرم افزاری و سخت افزاری مناسب و روش طراحی (مراحل تحقق) به یک طرح مستند سیستم ایمنی تفسیر شود.پس از آن باید  سیستم را بر اساس مشخصات و قابلیت اطمینان مورد نیاز ارزیابی کرده و در صورت لزوم آن را اصلاح کرد. 

سرانجام ، سیستم را باید مطابق رویه های پذیرفته شده (فازهای بهره برداری)بهره برداری و نگهداری کرد و نتایج راباید مستند نمود  تا استانداردهای عملکرد در طول عمر سیستم حفظ شود.

استاندارد IEC 61508 استفاده از چرخه عمر ایمنی کاربردی را توصیه میکند.استاندارد یک فرایند 16 مرحله ای اسمی را ارائه می دهد که می تواند به به سه طبقه بندی اصلی تقسیم شود.

مرحله آنالیز چرخه زندگی با جمع آوری اطلاعات پیش زمینه برای شناسایی و تعیین نیازهای سیستم سروکار دارد. مرحله تحقق مربوط به طراحی و ساخت سیستم است ، در حالی که مرحله بهره برداری مربوط به استفاده و نگهداری صحیح سیستم در طول عمر عملیاتی آن است.

این استاندارد دارای هفت بخش است:

بخشهای ۱-۳ شامل الزامات استاندارد (معیاری) هستند 

بخش ۴ شامل تعاریف است

بخشهای ۵-۷ دستورالعمل ها و نمونه هایی برای توسعه و در نتیجه حاوی اطلاعات مفید هستند.

 

کاهش ریسک ضروری(بند 3.5.18 از IEC 61508-4) کاهش خطری است که برای رسیدن به یک ریسک قابل تحمل باید تحقق یابد و این کاهش ریسک به هر دو صورت کمی و یا کیفی می تواند بیان شود.

هدف از تعیین ریسک قابل تحمل برای یک رویداد خطرناک خاص ، بیان هدفی است که  هم از نظر فراوانی (یا احتمال) واقعه خطرناک و هم از عواقب خاص آن منطقی به نظر می رسد.

خطر قابل تحمل به عوامل زیادی بستگی دارد (به عنوان مثال ، شدت آسیب دیدگی ، تعداد افراد در معرض خطر ، دفعات قرار گرفتن در معرض خطر یک فرد یا افراد و مدت زمان قرار گرفتن در معرض آن خطر).

در تعیین ریسک قابل تحمل عواملی به شرح ذیل تاثیرگذار است:

  • الزامات قانونی ، هم کلی و هم آنهایی که مستقیماً به برنامه خاص مربوط می شوند ؛
  • دستورالعمل های ابلاغ شده توسط مسئولین مربوطه؛
  • بحث و توافق با طرف های مختلف درگیر در برنامه ؛
  • استانداردها و دستورالعمل های صنعت ؛
  • بحث ها و توافق نامه های بین المللی ؛ در حال حاضر نقش استانداردهای ملی و بین المللی در رسیدن به معیارهای ریسک قابل تحمل برای کاربردهای خاص ، به طور فزاینده ای مهم می شود.
  • مشاوره ها و توصیه های تخصصی و علمی از نهادهای مشورتی.

استاندارد IEC 61508 روش ذیل را برای تعیین الزامات SIL ارائه می دهد: 

ضمیمه A  پارت 5- ریسک  و یکپارچگی ایمنی SIL – مفاهیم کلی 

ضمیمه B  پارت 5-انتخاب روشهای تعیین SIL 

ضمیمه C پارت 5- مفاهیم ریسک قابل تحمل و ALARP 

ضمیمه D  پارت 5-تعیین SIL – یک روش کمی

ضمیمه E  پارت 5– روش های نمودار ریسک 

ضمیمه F  پارت 5-روش نیمه کمی با استفاده از آنالیز لایه محافظت  LOPA. 

ضمیمه G پارت 5- تعیین SIL – یک روش کیفی -ماتریس شدت رویداد خطرناک