Over-Classification (SIL ที่สูงเกินไป)

แสดงความเห็นโดยpongsakorn monturatเขียนแล้วในไม่มีหมวดหมู่

มักเกิดจากการประเมินความเสี่ยงที่ “กลัวไว้ก่อน” ทำให้กำหนดค่า SIL สูงเกินความจำเป็น จะทำให้ต้นทุนของระบบสูงขึ้นอย่างก้าวกระโดด เนื่องจากต้องใช้ Higher grade of Hardware, Higher Integrity of Architecture และต้องทำระบบสำรอง (Redundancy), รวมถึงข้อกำหนดในการพัฒนา ทดสอบ และบำรุงรักษาที่เข้มงวดขึ้นมาก ดังนั้น หลายองค์กรจึงเปลี่ยนมาใช้วิธีวิเคราะห์เชิงปริมาณ เช่น Layer of Protection Analysis (LOPA) เพื่อให้การประเมินแม่นยำขึ้นและลดปัญหา Over-design ของระบบลงได้

ตัวอย่างของสถานการณ์ที่ทำให้เกิด SIL over-classification

การใช้เป้าหมาย SIL แบบเหมารวม (Default SIL targets): การใช้ค่า SIL เดียวสำหรับทั้งโปรเจกต์หรือระบบ เช่น การกำหนดให้ระบบบนแท่นขุดเจาะน้ำมันนอกชายฝั่งทั้งหมดต้องเป็น “SIL 2 เพื่อความปลอดภัยสูงสุด” หรือระบบจัดการเตาเผา (Burner management systems) ต้องเป็น “SIL 2 แบบเหมารวม” โดยไม่ประเมิน SIF (Safety Instrumented Function) แยกทีละฟังก์ชัน วิธีนี้ทำให้เกิดการออกแบบที่เกินความจำเป็นกับฟังก์ชันที่ในความเป็นจริงอาจต้องการเพียงแค่ SIL 1 หรือไม่ต้องการ SIL เลย ซึ่งทำให้สิ้นเปลืองงบประมาณอย่างมาก

การใช้เครื่องมือวิเคราะห์ความเสี่ยงที่ระมัดระวังเกินไป (Conservative Analysis Tools): เครื่องมือประเมินเชิงคุณภาพ (Qualitative) ที่ใช้งานง่ายและรวดเร็ว มักจะประเมินผลกระทบ worst case scenario แบบเผื่อไว้ก่อน หากเครื่องมือเหล่านี้ให้ผลลัพธ์ที่ระมัดระวังเกินจริง SIL ที่เลือกก็จะสูงเกินความจำเป็น ส่งผลให้ระบบ SIS ที่ติดตั้งมีราคาแพงกว่าที่ควรจะเป็น

การละเลยปัจจัยและเงื่อนไขหน้างาน (Ignoring Enabling Conditions and Conditional Modifiers): ในการประเมินด้วยวิธีอย่าง Safety Layer Matrix จะข้ามการพิจารณาปัจจัยแวดล้อม เช่น ไม่ได้นำโอกาสที่บุคลากรจะเดินเข้าไปในพื้นที่เกิดเหตุ (Probability of Presence) หรือโอกาสที่สารเคมีจะจุดติดไฟ (Probability of Ignition) มาคำนวณเพื่อลดทอนความเสี่ยง การไม่นำเงื่อนไขเหล่านี้มาคิดมักนำไปสู่การประเมินระดับ SIL ที่สูงเกินจริงในหลายๆ กรณี

ตัวอย่าง Flammable liquid pump leakage and release to environment. Resulting in fire

จากข้อมูลจะข้างล่างจะได้ SIL 2 จากการประเมินด้วยวิธีอย่าง Safety Layer Matrix

  • Event Likelihood: High (Single seal failure)
  • Severity Level: Minor (Small fire)
  • Number of Indepedent Layer (IL): 1 (Low pressure alarm)

ถ้าเปรียบเทียบกับการประเมินด้วยวิธี Layer Of Protection Analysis (LOPA) จะมีตัวแปร Enabling Condition กับ Conditional Modifier เข้ามาเพิ่มเติม

  • Event Likelihood: High (Single seal failure) -> Initial Event Likelihood (IEL) = 1E-1/yr
  • Severity Level: Minor (Small fire) -> Tatget Mitigated Event Likelihood (TMEL) = 1E-4/yr
  • Number of Indepedent Layer (IL): 1 (Low pressure alarm) -> Probability of Failure on Demand = 1E-1/yr
    • Enabling Condition (EC): Pump runs 24/7 -> Factor =1.0 (No credit)
    • Conditional Modifier (Ignition): Flammable material -> Factor = 0.1
    • Conditional Modifier (Presence): Remote area, checked weekly -> Factor = 0.1
  • Results: Risk Gap = TMEL/(IELxILxECxCM) = 1E-4/(1E-1 x 1E-1 x 1 x 0.1 x 0.1) = 1

จากข้อมูลจะข้างบนจะได้ SIL-A หรือ No SIL จากการประเมินด้วยวิธี Layer Of Protection Analysis

การระบุสาเหตุตั้งต้นซ้ำซ้อนในหลายๆ SIF (Duplicating Causes across Multiple SIFs): หากสาเหตุของการเกิดอันตราย (Initiating cause) สาเหตุเดียวถูกนำไปพิจารณาเพื่อสร้างฟังก์ชันความปลอดภัย (SIF) หลายๆ ฟังก์ชันแยกกัน ทุกฟังก์ชันเหล่านั้นจะถูกออกแบบมาเพื่อป้องกันสาเหตุเดียวกัน ซึ่งจะนำไปสู่การออกแบบระบบที่ซ้ำซ้อนและเกินความจำเป็นอย่างมาก (Overdesign)

เปรียบเทียบ Operating Cost and Investment Cost

การเปรียบเทียบต้นทุนของ SIF (Safety Instrumented Function) ที่มีระดับ SIL แตกต่างกัน จะมีความสัมพันธ์ที่แปรผกผันกันอย่างชัดเจนระหว่าง ต้นทุนการลงทุน (Investment หรือ Procurement Cost) และ ต้นทุนการดำเนินงาน (Operating Cost) โดยทั่วไปเมื่อระดับความน่าเชื่อถือหรือ SIL สูงขึ้น ต้นทุนการลงทุนจะสูงขึ้น ในขณะที่ต้นทุนการดำเนินงานในส่วนที่เกิดจากความล้มเหลวจะลดลง ซึ่งสามารถเปรียบเทียบรายละเอียดได้ดังนี้:

ต้นทุนการลงทุน (Investment / Procurement Cost) ต้นทุนส่วนนี้ประกอบด้วย ค่าออกแบบระบบ, ค่าอุปกรณ์ฮาร์ดแวร์, ค่าติดตั้ง, และค่าใช้จ่ายในการทดสอบระบบก่อนเริ่มใช้งาน

  • SIF ที่มี SIL สูง (เช่น SIL 3): ต้นทุนการลงทุนเริ่มต้นจะสูงขึ้นอย่างก้าวกระโดด เนื่องจากระบบต้องการฮาร์ดแวร์เกรดที่สูงขึ้น, Architecture ที่ซับซ้อนขึ้น (เช่น ต้องทำระบบสำรอง Redundancy แบบ 1oo2 หรือ 2oo3), รวมถึงข้อกำหนดในการพัฒนาซอฟต์แวร์และการทดสอบระบบอิสระที่เข้มงวดและมีมาตรฐานสูงกว่า
  • SIF ที่มี SIL ต่ำ (เช่น SIL 1): ต้นทุนการลงทุนจะต่ำกว่ามาก เพราะสามารถใช้อุปกรณ์แบบพื้นฐานและสถาปัตยกรรมระบบแบบเดี่ยว (1oo1) ได้โดยไม่ต้องทำระบบสำรองที่ซับซ้อน

ต้นทุนการดำเนินงาน (Operating Cost) ต้นทุนการดำเนินงานของ SIF ประกอบด้วยหลายปัจจัย ซึ่งจะได้รับผลกระทบจากระดับ SIL ดังนี้:

  • ต้นทุนความเสี่ยง (Risk Cost / Cost of Failure): สำหรับ SIF ที่มี SIL สูง โอกาสที่ระบบจะล้มเหลวเมื่อเกิดเหตุฉุกเฉิน (PFD) จะต่ำลง ทำให้ “ต้นทุนความเสี่ยง” ซึ่งคำนวณจากโอกาสเกิดอุบัติเหตุคูณด้วยมูลค่าความเสียหาย ลดลงอย่างมาก ในทางกลับกัน หาก SIL ต่ำ ความเสี่ยงที่ระบบจะทำงานล้มเหลวก็จะมีสูงขึ้น ส่งผลให้ต้นทุนความเสี่ยงนี้เพิ่มขึ้น
    • การวิเคราะห์ความคุ้มค่า (Cost/Benefit Analysis) หรือการประเมินต้นทุนตลอดอายุการใช้งาน (Lifecycle Cost Analysis) จะต้องนำค่าใช้จ่ายที่จะเกิดขึ้นในอนาคตมาคำนวณเป็นมูลค่าปัจจุบัน (Present Value – PV) เพื่อให้เห็นผลกระทบที่แท้จริง ผ่าน 3 กรณีศึกษา
      • ไม่ติดตั้ง SIS
      • ติดตั้ง SIS (SIL-1)
      • ติดตั้ง SIS (SIL-3)
    • ข้อมูลตั้งต้น (Base Parameters)
      • โอกาสเกิดอุบัติเหตุถ้าไม่มี SIS = 0.01 ครั้ง/ปี
      • ความเสียหายเมื่อเกิดอุบัติเหตุไฟไหม้ = $2,000,000 / ครั้ง (Production loss + Asset loss)
      • ค่าใช้จ่ายความเสียหายเมื่อเกิดทริปหลอก (Spurious Trip) = $1,000 / ครั้ง
      • ตัวคูณมูลค่าปัจจุบัน (PV Factor) สำหรับ 5 ปี ที่ 5% = ประมาณ 4.329
    • กรณีที่ 1: ไม่ติดตั้งระบบ SIS (No SIS)
      • ต้นทุนการลงทุน (Investment): $0
      • ค่าความเสี่ยงรายปี (Risk Cost): 0.01 × $2,000,000 = $20,000/ปี
      • มูลค่าปัจจุบันของค่าใช้จ่ายรายปี (5 ปี): $20,000 × 4.329 = $86,590
      • ต้นทุนรวมตลอดอายุการใช้งาน (Total Lifecycle Cost): $86,590
    • กรณีที่ 2: ติดตั้ง SIS (SIL-1)(สมมติฐานสำหรับ SIL-1: PFD = 0.1, ค่าบำรุงรักษา = $200/ปี, โอกาสเกิดทริปหลอก = 0.05/ปี)
      • ต้นทุนการลงทุน (Investment): $5,000
      • ค่าความเสี่ยงใหม่ (Mitigated Risk Cost): โอกาสเกิดเหตุลดลงเหลือ (0.01 × 0.1) × $2,000,000 = $2,000/ปี
      • ค่าทริปหลอก (Spurious Trip Cost): 0.05 × $1,000 = $50/ปี
      • ค่าบำรุงรักษา (Maintenance): $200/ปี
      • รวมค่าใช้จ่ายดำเนินงานรายปี: $2,000 + $50 + $200 = $2,250/ปี
      • มูลค่าปัจจุบันของค่าใช้จ่ายรายปี (5 ปี): $2,250 × 4.329 = $9,740
      • ต้นทุนรวมตลอดอายุการใช้งาน (Total Lifecycle Cost): $5,000 + $9,740 = $17,740
    • ติดตั้ง SIS (SIL-3) (ข้อมูลจากตัวอย่าง: PFD = 0.001, โอกาสเกิดทริปหลอก = 0.01/ปี, ค่าบำรุงรักษา = $600/ปี
      • ต้นทุนการลงทุน (Investment): $50,000
      • ค่าความเสี่ยงใหม่ (Mitigated Risk Cost): โอกาสเกิดเหตุลดลงเหลือ (0.01 × 0.001) × $2,000,000 = $20/ปี
      • ค่าทริปหลอก (Spurious Trip Cost): 0.01 × $1,000 = $10/ปี
      • ค่าบำรุงรักษา (Maintenance): $600/ปี
      • รวมค่าใช้จ่ายดำเนินงานรายปี: $20 + $10 + $600 = $630/ปี
      • มูลค่าปัจจุบันของค่าใช้จ่ายรายปี (5 ปี): $630 × 4.329 = $2,728
      • ต้นทุนรวมตลอดอายุการใช้งาน (Total Lifecycle Cost): $50,000 + $2,728 = $52,728
    • จาก 3 กรณีศึกษา จะเห็นได้ว่าการเลือก SIF ที่มี SIL สูง ไม่ได้ผลดีเสมอไป
  • ต้นทุนการบำรุงรักษาและการทดสอบ (Maintenance & Testing Cost): การรักษาระดับ SIL ที่สูง จะต้องการการทดสอบและการบำรุงรักษาที่บ่อยครั้งและเข้มงวดขึ้น (Proof testing) ส่งผลให้ต้นทุนการดำเนินงานในส่วนของค่าแรงบำรุงรักษาและอะไหล่สูงขึ้นตามไปด้วย
  • ต้นทุนจากการหยุดชะงักของกระบวนการผลิต (Spurious Trip / Nuisance Trip Cost): การพยายามออกแบบให้ได้ SIL สูงโดยเพิ่มอุปกรณ์ซ้ำซ้อน อาจเป็นการเพิ่มโอกาสที่ระบบจะทำงานผิดพลาดและสั่งหยุดการทำงานโดยไม่จำเป็น (Spurious trip) ซึ่งนำไปสู่ความสูญเสียจากกำลังการผลิตที่หยุดชะงัก, ค่าใช้จ่ายในการรีสตาร์ทเครื่องจักร, และความเสื่อมสภาพของอุปกรณ์ เว้นแต่จะลงทุนเพิ่มเติมเพื่อใช้ Architectur ที่ป้องกันปัญหาการทริปหลอกนี้ เช่น 2oo3 ซึ่งก็จะเป็นการเพิ่มต้นทุนการลงทุนและค่าบำรุงรักษาขึ้นไปอีก