เนื้อหาวันที่ : 2011-09-22 17:50:26 จำนวนผู้เข้าชมแล้ว : 2265 views

เซนเซอร์แบบชาญฉลาดในระบบนิรภัย (ตอนที่ 1)

บทความนี้จะแสดงการเปรียบเทียบด้านความน่าเชื่อถือของการใช้งาน เซนเซอร์แบบชาญฉลาด (Smart Sensor) เทียบกับแบบทั่วไป (Conventional Sensor)

เซนเซอร์แบบชาญฉลาดในระบบนิรภัย (Smart Sensor in Safety System) (ตอนที่ 1)

ทวิช ชูเมือง

          การใช้งานเซนเซอร์แบบชาญฉลาดกับฟังก์ชันการทำงานที่วิกฤติสูงหรือฟังก์ชันนิรภัย (ความปลอดภัยมีความสำคัญมาก) ยังมีข้อถกเถียงกันอยู่ในเรื่องความเชื่อมั่นในการทำงาน ในบทความนี้จะแสดงการเปรียบเทียบด้านความน่าเชื่อถือของการใช้งาน เซนเซอร์แบบชาญฉลาด (Smart Sensor) เทียบกับแบบทั่วไป (Conventional Sensor) โดยใช้วิธีการ FMEA (Failure Mode Effect Analysis) ซึ่งจะทำให้เห็นความแตกต่างที่สำคัญของเซนเซอร์ทั้ง 2 ชนิด ความล้มเหลว (Failure) ในบางการทำงานจะไม่พบอยู่ในเซนเซอร์แบบทั่วไป

ดังเช่น การทำงานที่เกี่ยวข้องกับการรองรับข้อมูลที่เกินพิกัดและด้านระยะเวลา ความล้มเหลวในการทำงานชนิดอื่น ๆ เกิดขึ้นจากการใช้เทคโนโลยีที่แตกต่างกัน เช่นการทำงานที่เกี่ยวข้องกับความซับซ้อน, ความสมบูรณ์ของข้อมูลและการติดต่อสื่อสารกับเจ้าหน้าที่ปฏิบัติการ การใช้เซนเซอร์แบบชาญฉลาดจะแนะนำให้ใช้ตามคำแนะนำเพื่อให้เหมาะสมสำหรับการใช้งานเป็นดังนี้

          1. ไม่ส่งข้อมูลไปยังเซนเซอร์แบบชาญฉลาด 
          2. ใช้เซนเซอร์แบบชาญฉลาด ใน Burst Mode เท่านั้น เป็นสถานการณ์ที่เป็นอุปกรณ์ส่งข้อมูลซ้ำโดยไม่ต้องรอข้อมูลจากอุปกรณ์อื่นหรือรอให้กระบวนการภายในเพื่อยุติก่อนดำเนินการส่งข้อมูลใด ๆ ออกไป
          3. ใช้เซนเซอร์แบบชาญฉลาดมีจำนวนน้อยที่สุดของรูปแบบการทำงาน
          4. ใช้เซนเซอร์ที่ไม่ซับซ้อนในการใช้งาน

          ในการกำหนดให้มีชุดสำรองการทำงาน (Redundant) ความล้มเหลวร่วมกัน (Common Cause Failure) โดยทั่วไปจะกลายเป็นสถานการณ์ความล้มเหลวที่โดดเด่น รูปแบบความล้มเหลว (Failure Mode) ของเซนเซอร์แบบชาญฉลาดอาจจะมีความอ่อนไหวง่ายต่อความล้มเหลวร่วมกันมากกว่าเซนเซอร์แบบทั่วไป ความอ่อนไหวที่เด่นชัด เป็นส่วนความล้มเหลวที่เกิดขึ้นจากส่วนที่เชื่อมต่อกับเจ้าหน้าที่ปฏิบัติการ, ความซับซ้อนและจำนวนข้อมูลที่เกินพิกัด หลักเกณฑ์และแนวทางที่แสดงในบทความจะช่วยลดความน่าจะเป็นสาเหตุของความล้มเหลวร่วมกัน

          ในการกำหนดให้มีชุดสำรองการทำงาน (Redundant) วิธีการออกแบบมีความเป็นไปได้ในการใช้ความหลากหลาย (Diversity) ความหลากหลายมีประโยชน์ที่สามารถลดความน่าจะเป็นที่เซนเซอร์สองตัวหรือมากกว่าที่จะเกิดความล้มเหลวในการทำงานพร้อมกัน แต่ผลลัพธ์นี้ถูกจำกัดด้วยข้อเท็จจริงที่ว่าความหลากหลายของเซนเซอร์จะยังอาจมีความผิดพลาดเดียวกันเกิดขึ้น ผลเสียของความหลากหลายสามารถเพิ่มความซับซ้อนขึ้นในการบำรุงรักษา ซึ่งเป็นส่วนนำไปสู่ความน่าจะเกิดความล้มเหลวสูงกว่าของเซนเซอร์แบบชาญฉลาด การใช้ความหลากหลายนั้นแนะนำให้เลือกใช้ โดยขึ้นอยู่กับการออกแบบของเซนเซอร์แบบชาญฉลาดและรายละเอียดของการใช้งาน

          ในช่วงทศวรรษที่ผ่านมาได้เห็นการใช้เซนเซอร์แบบชาญฉลาดมีจำนวนเพิ่มขึ้นมาก ซึ่งผู้ใช้งานส่วนใหญ่มีความพอใจในการใช้งาน ถ้าเน้นข้อดีของการใช้เซนเซอร์แบบชาญฉลาด เช่น ความถูกต้องสูงขึ้นเนื่องจากผ่านการประมวลผลสัญญาณดีกว่าและใช้การสื่อสารแบบดิจิตอล แต่ก็มีการโต้เถียงว่าคุณภาพของเซนเซอร์แบบชาญฉลาดเปรียบเทียบกับแบบทั่วไปและที่นำไปใช้งานในฟังก์ชันการทำงานที่วิกฤติสูง (ความปลอดภัยมีความสำคัญมาก)

          สำหรับฟังก์ชันการทำงานที่วิกฤติสูง เป็นเรื่องปกติที่ใช้การกำหนดอุปกรณ์สำรองเช่น 2-out-of-3 ในการกำหนดรูปแบบดังกล่าวโดยทั่วไปค่าอัตราความล้มเหลว (Failure Rate) หรือความน่าจะเป็นของความล้มเหลวในความต้องการ (Probability of Failure on Demand) ที่สามารถทำได้ถูกจำกัดโดยความล้มเหลวร่วมกัน (Common Cause Failure) ดังนั้นเมื่อใช้เซนเซอร์แบบชาญฉลาด คำถามคือว่าความล้มเหลวร่วมกันเป็นสาเหตุโดยทั่วไปที่ต้องเป็นกังวลหรือไม่ ถ้าเกิดความล้มเหลวร่วมกันเป็นข้อกังวลหนึ่งคำถามที่สองอาจเป็นว่าการใช้เซนเซอร์หลากหลายชนิดอาจใช้ลดความล้มเหลวนี้ได้

          ในบทความจะแสดงสาเหตุว่าทำไมเซนเซอร์แบบชาญฉลาดจึงเกิดความล้มเหลวและเปรียบเทียบกับเซนเซอร์แบบทั่วไป

มาตรฐาน (Standard)
          ในปัจจุบันมาตรฐาน IEC61508 [3] และ IEC61511 [4] เป็นมาตรฐานที่สำคัญที่สุดเกี่ยวกับการใช้ซอฟต์แวร์ในอุตสาหกรรมกระบวนการ มาตรฐานยังกล่าวถึงซอฟต์แวร์ที่อยู่ในเซนเซอร์ทางอุตสาหกรรม แม้แต่ในการแนะนำ IEC61508 ในทางอ้อม ในสถานการณ์ส่วนใหญ่ ความปลอดภัยสามารถทำได้ตามจำนวนของระบบป้องกันที่พึ่งพาเทคโนโลยีต่าง ๆ ดังเช่น
          * เครื่องมือทางกล (Mechanical)
          * ระบบไฮดรอลิก (Hydraulic)
          * ระบบเกี่ยวกับลม (Pneumatic)
          * ระบบไฟฟ้า (Electrical)
          * ระบบอิเล็กทรอนิกส์ (Electronic)
          * ระบบทางอิเล็กทรอนิกส์ที่โปรแกรมการทำงานได้ (Programmable Electronic)

          กลยุทธ์ด้านความปลอดภัยใด ๆ จึงต้องพิจารณาองค์ประกอบทั้งหมดไม่พิจารณาเฉพาะชิ้นส่วนภายในของระบบแยกออกจากกัน (สำหรับตัวอย่าง เป็น ส่วนเซนเซอร์, ส่วนการควบคุมอุปกรณ์และส่วนขับเคลื่อนสุดท้าย) แต่ทุกความปลอดภัยเกี่ยวกับระบบทำให้เกิดผลรวมของความปลอดภัยเกี่ยวกับระบบทั้งหมด ดังนั้นในขณะที่มาตรฐานนี้เกี่ยวกับ อุปกรณ์ไฟฟ้า/อิเล็กทรอนิกส์/ระบบที่เกี่ยวข้องกับวิธีการทางอิเล็กทรอนิกส์ (Electrical/Electronic/Programmable Electronic) ความปลอดภัยนั้นยังอาจจะสามารถพิจารณาให้กรอบภายในเกี่ยวข้องกับระบบความปลอดภัยจากเทคโนโลยีอื่น ๆ

          มาตรฐาน IEC61511 เป็นบทนำอย่างชัดเจน ในการแสดงให้เห็นว่าเป็นมาตรฐานสากลความปลอดภัย เพื่อการประยุกต์ใช้งานกับระบบวัดคุมนิรภัย หรือระบบ SIS (Safety instrumented System) สำหรับอุตสาหกรรมกระบวนการ ระบบนิรภัยนี้จะประกอบไปด้วย ส่วนเซนเซอร์ (Sensor), ส่วนการควบคุมอุปกรณ์ (Logic Solver) และส่วนขับเคลื่อนสุดท้าย (Final Element)

          ดังนั้นข้อกำหนดสำหรับการใช้ซอฟต์แวร์ในมาตรฐานทั้งสองนี้ยังใช้กับซอฟต์แวร์ในเซนเซอร์ ในบทความนี้จะไม่คัดลอกความต้องการซอฟต์แวร์ทั้งหมดในมาตรฐานมาแสดง แต่จะแสดงรายการหัวข้อต่อไปนี้เป็นภาพประกอบ
          1. การจัดการการกำหนดค่าซอฟต์แวร์
          2. เอกสารของกิจกรรมทั้งหมดใน Safety Life Cycle ของซอฟต์แวร์ 
          3. มีข้อกำหนดมากมายสำหรับกิจกรรมทั้งหมดใน Safety Life Cycle และการออกแบบของซอฟต์แวร์ 
                    a. วิธีข้อกำหนด (Specification Methods)
                    b. ใช้วิธีการเป็นรูปแบบ (Formal Methods)
                    c. ตรวจสอบข้อผิดพลาดและการแก้ไข (Error Detection and Correction)

          ผู้ผลิตจึงมีความพยายามต้องลงทุนเพื่อแสดงให้เห็นว่าซอฟต์แวร์ของตนยอมทำตามมาตรฐานเหล่านี้และมีจำนวนมากอาจจะถกเถียงถึงข้อจำกัด ในทางกลับกันมาตรฐานเหล่านี้แสดงหลักการเฉพาะและยากสำหรับผู้ผลิตเพื่อยืนยันว่าซอฟต์แวร์ของพวกเขาสอดคล้องตามมาตรฐานในขณะที่ไม่สอดคล้อง

          สำหรับสถานการณ์ของเซนเซอร์แบบชาญฉลาดในรุ่นปัจจุบัน ส่วนใหญ่ (เกือบทั้งหมด) จะไม่เข้าข้อกำหนดที่กำหนดในมาตรฐานนี้ มีเหตุผลง่าย ๆ คือ มาตรฐาน IEC 61508 ได้รับการอนุมัติในปี 1999/2002, IEC 61511 ได้รับการอนุมัติในปี 2003 เซนเซอร์แบบชาญฉลาดเกือบทั้งหมดในตลาดเกิดขึ้นก่อนมาตรฐานทั้งสอง

แน่นอนผู้ผลิตจะมุ่งมั่นให้เป็นไปตามมาตรฐานเหล่านี้สำหรับการพัฒนาในอนาคตและพวกเขาจะมีเซนเซอร์แบบชาญฉลาดของพวกเขาได้รับการรับรองโดยองค์กรอิสระเช่น TÜV ถ้าแสดงจำนวนซอฟต์แวร์ในเซนเซอร์แบบชาญฉลาด (บางประเภทมีเพียงไม่กี่กิโลไบต์ของรหัส Assembler) ซึ่งควรจะทำได้ตรงตามเป้าหมาย ในขณะเดียวกันเซนเซอร์แบบชาญฉลาดส่วนมากชอบใช้ว่า "พิสูจน์แล้วใช้" (Proven in Use) ซึ่งเป็นเหตุผลที่สามารถยอมรับได้

          ในขณะที่ทั้งสองมาตรฐาน IEC มีคุณประโยชน์ที่ควรกล่าวถึง ข้อแรกมาตรฐาน IEC62098 [5], ครอบคลุม วิธีการประเมินผลสำหรับไมโครโปรเซสเซอร์ที่ใช้ในเซนเซอร์ ข้อที่สองมาตรฐาน IEC60770-3 [6] ยังอยู่ในขั้นตอนการร่างและให้แนวทางในการประเมินผลของเซนเซอร์แบบชาญฉลาด รวมถึงการทดสอบแบบจำลองความล้มเหลว (Fault Injection) ซึ่งจะใช้วิธีการแบบทั่วไปและคำอธิบายของมาตรฐานนี้ในการวิเคราะห์

การประเมินอย่างอิสระ (Dependent Assessment)
          ปัญหาหลักยังคงเป็นความลับของข้อมูล ซึ่งผู้ผลิตส่วนใหญ่ไม่ต้องการเปิดเผยรายละเอียดในการออกแบบของตนเอง ซึ่งด้วยเหตุผลนี้จึงอธิบายได้ว่าทำไมรายงานอัตราความล้มเหลวและเปอร์เซ็นต์การวินิจฉัยความล้มเหลวของเซนเซอร์แบบชาญฉลาดที่แสดงไว้ แต่ไม่ให้รายละเอียดข้อมูลการออกแบบ การประเมินเหล่านี้ให้ข้อมูลตัวเลขอัตราความล้มเหลวและเปอร์เซ็นต์การวินิจฉัยที่สำคัญตามความต้องการของมาตรฐาน IEC61508 สำหรับการคำนวณเป็นส่วนหนึ่งของนำเสนอในส่วนที่ 6 ของมาตรฐาน

          บางครั้งผู้ประเมินอิสระจะดำเนินการทดสอบโดยการใส่ความผิดพลาด (Fault Insert Testing) ในหลักการนี้สามารถนำไปเปรียบเทียบประสิทธิภาพกับวิธีการ FMEDA ประโยชน์ข้อหนึ่งของการใส่ความผิดพลาดก็คือการใส่ความผิดพลาดจริง ข้อเสียคือจำนวนของความผิดพลาดที่สามารถใส่ในการทดสอบมีค่าต่ำและการทดสอบบางประเภทอาจทำให้เกิดความเสียหายรุนแรง

นอกจากนั้นการกระจายความผิดพลาดที่ใส่เข้าไปไม่อาจสะท้อนถึงการกระจายความผิดพลาดในการใช้งานจริงและจึงให้การประเมินเบี่ยงเบนไปของพฤติกรรมความผิดพลาดที่คาดหวัง ในปัจจุบันวิธีการประเมินเซนเซอร์แบบชาญฉลาดรวมทั้งการทดสอบการใส่ความผิดพลาดเป็นเรื่องของมาตรฐาน IEC ใหม่ ขณะนี้อยู่ในขั้นตอนของการร่าง

          การขาดรายละเอียดของการออกแบบทำให้เป็นเรื่องยากสำหรับผู้ใช้งานเพื่อใช้ประเมินความถูกต้องของผลลัพธ์และความสามารถในการนำไปปรับใช้งาน จึงมีความจำเป็นต้องใช้ผู้ประเมินอิสระ (เช่น EXIDA.com, T?V, TNO และ Factory Mutual) ช่วยในการประเมิน

          อย่างไรก็ตามมีการแสดงให้เห็นว่าไม่มีการประเมินความน่าเชื่อถือของซอฟต์แวร์ในเซนเซอร์แบบชาญฉลาด ผู้ประเมินอิสระจะพุ่งประเด็นไปที่สิ่งต่าง ๆ ดังนี้

          1. การทำงานของอุปกรณ์ชิ้นส่วนและโปรแกรม เซนเซอร์แบบชาญฉลาดทำงานตามที่ระบุไว้กับความสัมพันธ์ในจำนวนค่อนข้างน้อยสำหรับการทดสอบ การวิเคราะห์เหล่านี้ไม่แตกต่างจากเซนเซอร์แบบทั่วไป

          2. อัตราความล้มเหลวของชิ้นส่วนในอุปกรณ์

          3. ความสามารถในการวินิจฉัยความล้มเหลว (Diagnostic Coverage) ที่ได้จากการการทดสอบบนเอกสาร หรือ การใส่ความผิดพลาดเข้าไป

          การประเมินอย่างอิสระของโปรแกรมในเซนเซอร์แบบชาญฉลาดยังไม่ได้ทำบ่อยครั้ง การประเมินผลของโปรแกรมปรากฏว่าจะมีความยากตามโครงสร้างของโปรแกรมที่ไม่อนุญาตให้มีการวิเคราะห์ได้ง่ายและไม่มีเครื่องมือการประเมินผลโดยอัตโนมัติสำหรับนำมาใช้งาน

ความล้มเหลวของเซนเซอร์แบบชาญฉลาด (Failure of Smart Sensor)
          เพื่อให้เข้าใจถึงลักษณะเฉพาะของความล้มเหลวในเซนเซอร์แบบชาญฉลาดที่ใช้ในการทำ FMEA จะเป็นรุ่นทั่วไป ต้องมีความชัดเจนว่าการประเมินเฉพาะของเซนเซอร์แบบชาญฉลาดจำเป็นต้องมีรายละเอียดวิเคราะห์มาก เซนเซอร์แบบชาญฉลาดรุ่นทั่วไปดังแสดงในรูปที่ 1 ต่อไปนี้อธิบายถึงองค์ประกอบของรูปแบบในรูปที่ 1

          1. ระบบย่อยการประมวลผลข้อมูล (Data Processing Subsystem) หน้าที่หลักคือการจัดเตรียมและกระบวนการวัดปริมาณสำหรับนำไปใช้งานต่อเวลาจริงโดยเจ้าหน้าที่ปฏิบัติการและการสื่อสารเพื่อเชื่อมต่อกับระบบอื่น ๆ และ/หรือเป็นสัญญาณเอาต์พุตของระบบย่อย

          2. ระบบย่อยของเซนเซอร์ (Sensor Subsystem) แปลงปริมาณทางกายภาพหรือเคมีไปเป็นสัญญาณทางไฟฟ้า ซึ่งจะถูกปรับสภาวะและเปลี่ยนเป็นสัญญาณดิจิตอลเพื่อใช้ในหน่วยประมวลผลข้อมูล

          3. การเชื่อมต่อกับมนุษย์ (Human Interface) ประกอบด้วยวิธีการที่เครื่องมือสำหรับการอ่านข้อมูลออกมา (แสดงที่บริเวณใช้งาน) และข้อกำหนดการป้อนและขอข้อมูลจากการป้อนหรือสวิตช์ที่บริเวณใช้งาน

          4. การติดต่อสื่อสารเชื่อมต่อไปยังระบบภายนอก (Communications Interface)

          5. สัญญาณเอาต์พุตไฟฟ้าของระบบย่อย (Electrical Output Subsystem) ใช้สำหรับแปลงข้อมูลดิจิตอลเป็นสัญญาณไฟฟ้าอะนาลอกเบื้องต้นเพิ่มเติม

          6. แหล่งจ่ายพลังงานไฟฟ้า (Power Supply Unit) ไปยังระบบอื่น ๆ

รูปที่ 1 การออกแบบเซนเซอร์แบบชาญฉลาดแบบทั่วไป

          FMEA พิจารณารูปแบบความล้มเหลวของระบบย่อยและผลกระทบเหล่านี้
          ความล้มเหลวที่พบใน FMEA เฉพาะเซนเซอร์แบบชาญฉลาดสามารถจัดเป็นกลุ่มย่อยเป็นดังนี้
          * เรื่องเวลา (Time) 
          * ความสมบูรณ์ของข้อมูล (Data Integrity)
          * การสื่อสาร (Communication)
          * การเชื่อมต่อ (interface)
          * ความซับซ้อน (Complexity)
          * การวินิจฉัยความผิดพลาด (Fault Diagnostic)

          1.) เวลา
          ในเรื่องของเวลาจะไม่เป็นประเด็นในเซนเซอร์แบบทั่วไป เซนเซอร์จะทำการวัดค่าตัวแปรอย่างต่อเนื่องและแสดงผลลัพธ์สัญญาณในรูปของ กระแส 4-20 มิลลิแอมป์ เวลาล่าช้าระหว่างการวัดและผลลัพธ์มีค่าเล็กน้อยโดยทั่วไปจะไม่พิจารณา

          สำหรับเซนเซอร์แบบชาญฉลาดไม่ได้ตรงไปตรงมาดังกล่าวข้างต้น เซนเซอร์มีการดูเวลา ปัญหาต่อไปนี้อาจเกิดขึ้นได้

          1. ในระบบสถาปัตยกรรมตามแบบการขัดจังหวะ (Interrupts) เซนเซอร์อาจถูกขัดจังหวะจำนวนบ่อยครั้งตามความสำคัญและก็อาจเกิดความล้มเหลวในการเข้าร่วมงานต่าง ๆ ของลำดับความสำคัญที่ต่ำ ๆ

          ตัวอย่าง 1: การแสดงผลลัพธ์ที่หน่วยแสดงผลอาจเป็นงานลำดับความสำคัญต่ำและสามารถทำให้ผู้ใช้จะได้รับข้อมูลที่ไม่ถูกต้องในการอ่านค่าบนจอแสดงผล

          ตัวอย่าง 2: งานลำดับความสำคัญต่ำเป็นส่วนการผสมผสานของฟังก์ชัน PID และผลผลิตของเซนเซอร์จะไม่ถูกต้อง

          ตัวอย่าง 3: การลดความต้องการแบนด์วิดธ์สื่อสาร การวัดเป็นเวลาที่ไม่ได้ถูกบันทึกโดยเซนเซอร์แบบชาญฉลาด แต่ปลายทางรับมีการบันทึกเวลา เนื่องจากลำดับความสำคัญที่ตัวรับ วัดความต่างของเวลาไม่ได้ถูกบันทึก จึงเกิดความสับสนในลำดับที่ถูกต้องนำไปใช้งาน

          2. โดยทั่วไปทฤษฎีการประมวลผลสัญญาณ discrete เป็นสิ่งที่ยากมากและความผิดพลาดสามารถเกิดขึ้นในชุดคำสั่งที่สร้างไว้ตามขั้นตอน (Algorithms)

          2.) ความสมบูรณ์ของข้อมูล (Data Integrity) 
          ความสมบูรณ์ของข้อมูลไม่ใช่ปัญหาใหญ่ในเซนเซอร์แบบทั่วไป ตัวแปรถูกกำหนดโดยใช้อุปกรณ์ (เช่น ความต้านทาน เป็นต้น) และจะรับรู้ถึงอิทธิพลภายนอกได้ต่ำ ในเซนเซอร์แบบชาญฉลาดจะมีความซับซ้อนมากกว่า ตัวแปรต่าง ๆ จะกำหนดโดยใช้ปุ่มและแสดงและเก็บไว้ใน RAM และ/หรือ EEPROM การจัดเก็บข้อมูลใน EEPROM มีความจำเป็นหากเซนเซอร์แบบชาญฉลาดไม่สามารถรักษาตัวแปรต่าง ๆ ได้หลังจากแหล่งจ่ายพลังงานเกิดความล้มเหลว ข้อมูลใน RAM และ EEPROM มีความไวต่อความเสียหายจากสิ่งต่าง ๆ ดังนี้
          * รังสี (Radiation)
          * ความร้อน (Heat)
          * ตรวจสอบข้อผิดพลาด (Need Error Detection)
          * ต้องแก้ไข (Correction)

          กระบวนการทั้งหมดสามารถเก็บได้อย่างอิสระ, ค้นหาและเรียกใช้ข้อมูลที่อย่างแน่นอนแม่นยำสะดวกในการใช้งาน

          ตัวอย่าง 1: เซนเซอร์แบบชาญฉลาดเกิดความล้มเหลวในการตั้งค่าหลังการสูญเสียแหล่งจ่ายพลังงาน

          ตัวอย่าง 2: การเขียนข้อมูลใน EEPROM มีข้อบกพร่อง การตั้งค่าใหม่ถูกเขียนลงไป แต่เนื้อหาของหน่วยความจำไม่มีการตรวจสอบ จึงทำให้การตั้งค่าสูญหายไป

          3.) การสื่อสาร (Communication)
          ความผิดพลาดในการสื่อสารสามารถทำให้เกิดปัญหาขึ้นได้อย่างหลากหลาย ตั้งแต่ความไม่ครบถ้วนหรือความไม่ถูกต้องของเอาต์พุตที่ส่งออกไป, ตัวแปรที่นำมาใช้ไม่ถูกต้องและการตั้งค่าที่ไม่ถูกต้อง ตัวอย่างเช่น ปริมาณข้อมูลของการติดต่อสื่อสารมากเกินไปทำให้เหตุการณ์ที่เกิดขึ้นพร้อมกัน ลำดับการสื่อสารเกิดความผิดพลาด ทำให้เจ้าหน้าที่ปฏิบัติการเกิดความสับสนเมื่อตัดสินใจเลือกสิ่งที่เกิดเหตุ

          ปัญหาส่วนใหญ่ของการสื่อสารสามารถแก้ไขได้ตามกฎต่อไปนี้ 
          1. แยกสายไฟแทนการใช้สายเครือข่ายร่วมกัน อย่างไรก็ตามจะเป็นการชดเชย ผลประโยชน์จากการต้องใช้สายไฟที่น้อยลง เมื่อใช้เซนเซอร์แบบชาญฉลาดไม่ได้เป็นการแก้ปัญหาทั้งหมด Logic Unit อาจปฏิบัติต่อเซนเซอร์แบบชาญฉลาดทั้งหมดเท่ากันและอาจมากเกินไปในขณะเดียวกัน

          2. Sensors ใช้ใน Burst Mode เท่านั้น

          3. ไม่อนุญาตให้เปลี่ยนแปลงโปรแกรมในขณะใช้งาน (On-line Reprogramming)

          เซนเซอร์แบบทั่วไปใช้สัญญาณกระแส 4-20 มิลลิแอมป์ สำหรับการสื่อสาร สัญญาณลักษณะนี้สามารถใช้ในระยะทางยาว ๆ เครือข่ายแบบดิจิตอลมักจะไม่สามารถใช้ได้ในระยะเดียวกัน ในกรณีนี้ อุปกรณ์ทวนสัญญาณ (Repeaters) มีความจำเป็นซึ่งจะเป็นการเพิ่มจำนวนของอุปกรณ์และความเป็นไปได้ของความล้มเหลว

          4.) การติดต่อสื่อสารกับมนุษย์ (Interface) 
          ความล้มเหลวบางรูปแบบในเซนเซอร์แบบชาญฉลาดเกี่ยวข้องกับการบำรุงรักษาและการใช้เซนเซอร์ที่มีการติดต่อสื่อสารกับมนุษย์ สาเหตุเหล่านี้เกิดจาก

          1. การติดต่อสื่อสารของมนุษย์ส่วนใหญ่ประกอบด้วยสวิทช์ปุ่มกด (Pushbuttons) และจอแสดงผล ข้อมูลทั้งหมดไม่สามารถมองเห็นได้ในเวลาเดียวกัน ซึ่งอาจนำสู่ข้อผิดพลาดในข้อมูลที่มีการป้อนเข้าไป

          2. เซนเซอร์แบบชาญฉลาดสามารถมีรูปแบบการทำงานที่แตกต่างกัน พฤติกรรมของรูปแบบเป็นตัวช่วยที่ไม่ดีจึงเป็นเรื่องยากสำหรับผู้ใช้งานสามารถจะเข้าใจได้

          รูปแบบความล้มเหลว (Failure Mode) เหล่านี้มีความสัมพันธ์กับหัวข้อถัดไปในเรื่องการทำงานที่ซับซ้อน

5.) การทำงานซับซ้อน (Functional Complexity)
          อย่างไรก็ตามการทำงานที่ไม่ซับซ้อนของเซนเซอร์แบบชาญฉลาดอาจจะมีอยู่บ้าง แต่ส่วนใหญ่จะประกอบไปด้วยชิ้นส่วนที่มีความซับซ้อนสูง ดังเช่น วงจรรวม ไมโครโปรเซสเซอร์แสดงให้เห็นว่าจะมีความผิดพลาดได้มาก

          ในหลักการทำงานของเซนเซอร์แบบชาญฉลาดอาจจะเป็นเช่นเดียวกับเซนเซอร์แบบทั่วไป ในความจริงไม่ใช่กรณีดังนี้

          1. การประมวลผลสัญญาณในเซนเซอร์แบบชาญฉลาดจะเกี่ยวข้องกับการคำนวณซับซ้อนเกินกว่าจะเป็นไปได้ในเซนเซอร์แบบทั่วไป การคำนวณเช่นนี้ดังตัวอย่างเช่น การแก้ความถูกต้องของความไม่เป็นเชิงเส้น (Nonlinearity)

          2. เซนเซอร์แบบชาญฉลาดอาจมีรูปแบบการทำงานมากขึ้นและมีตัวแปรมากกว่ารุ่นธรรมดา

          3. เซนเซอร์แบบชาญฉลาดอาจวัดตัวแปรกระบวนการหลายตัวในเวลาเดียวกัน

          4. เซนเซอร์แบบชาญฉลาดอาจให้ข้อมูลมากกว่าเซนเซอร์แบบทั่วไปทำได้ ตัวอย่างเช่นเซนเซอร์การไหลมักจะมีการวัดอุณหภูมิสำหรับการปรับปรุงความถูกต้องของวัด เซนเซอร์แบบทั่วไปไม่ส่งค่าการวัดอุณหภูมินี้ แต่จะมีในเซนเซอร์แบบชาญฉลาด

          5. เซนเซอร์แบบชาญฉลาดจะมีระบบการวินิจฉัยความผิดพลาด ซึ่งจะนำไปสู่กลไกความซับซ้อนในโปรแกรมและข้อกำหนดสำหรับชิ้นส่วนของเซนเซอร์

          สำหรับผู้ผลิต ความซับซ้อนสูงอาจหมายถึงความน่าจะเกิดข้อผิดพลาดได้สูงในการออกแบบของเซนเซอร์แบบชาญฉลาด สำหรับผู้ใช้ ถ้ามีความซับซ้อนสูงอาจนำไปสู่ความน่าจะเกิดความผิดพลาดได้สูงเมื่อทำการตั้งค่าและจัดการเซนเซอร์

ความล้มเหลวร่วมกัน (Common Cause Failure)
          อัตราความล้มเหลวทางกายภาพของเซนเซอร์แบบชาญฉลาดดูเหมือนจะเปรียบกับเซนเซอร์แบบทั่วไป มีเหตุให้เชื่อได้ว่าอัตราความล้มเหลวของเซนเซอร์แบบชาญฉลาดจะไม่ดีกว่าอย่างชัดเจน เพราะปกติเซนเซอร์แบบทั่วไปจะสร้างขึ้นโดยใช้องค์ประกอบที่แข็งแกร่ง เซนเซอร์แบบชาญฉลาดอาจมีองค์ประกอบที่มีความเสี่ยงมากขึ้นและอัตราความล้มเหลวขององค์ประกอบเหล่านั้นอาจรุนแรงมากขึ้น ด้วยเซนเซอร์แบบชาญฉลาดจะแสดงอัตราที่สูงขึ้นของความล้มเหลวชั่วคราว, การยอมรับ (Tolerating) ความล้มเหลวประเภทนี้ จะเพิ่มซับซ้อนในระบบควบคุม

ต้องยอมรับความจริงว่าอัตราความล้มเหลวสามารถจะเปรียบเทียบได้ ของความแตกต่างระหว่างความเป็นอิสระรูปแบบ Redundant ของเซนเซอร์แบบชาญฉลาดและในรูปแบบเดียวกันโดยใช้เซนเซอร์แบบทั่วไป ซึ่งจะถูกกำหนดโดยค่าความล้มเหลวร่วมกัน จึงมีคำถามไปที่เรื่อง เซนเซอร์แบบชาญฉลาดมีแนวโน้มจะเกิดความล้มเหลวร่วมกันมากกว่าเซนเซอร์แบบทั่วไปใช่ไหม     

คำตอบแรกจะเป็นคำถามต่อไปนี้ มีความล้มเหลวกี่รูปแบบที่ถูกแสดงอยู่ใน FMEA ที่มีแนวโน้มที่เกิดความล้มเหลวร่วมกันในตอนท้ายแสดงรายการรูปแบบความล้มเหลวและการประเมินโอกาสของการเกิดความล้มเหลวร่วมกันในอัตราที่สัมพันธ์กัน ตารางจะใช้คำต่อไปนี้

          1. ข้อมูลเกินพิกัด (Information Overload) สามารถเกิดขึ้นเมื่อระบบย่อยการประมวลผลข้อมูลหรือติดต่อสื่อสาร (Subsystems อื่น ๆ ยังสามารถประสบปัญหากับข้อมูลเกินพิกัดแต่มีโอกาสเกิดน้อย) ต้องรับมือกับความต้องการมากเกินไป ข้อมูลเกินพิกัดสามารถหลีกเลี่ยงได้มากโดยไม่ทำการส่งข้อมูลไปยังเซนเซอร์แบบชาญฉลาดและใช้งานใน Burst Mode เท่านั้น

          2. การทำงานหลัก (Core Function) ฟังก์ชันการทำงานหลักของเซนเซอร์แบบชาญฉลาดต้องมีการทดสอบอย่างละเอียดและ เพื่อให้มีโอกาสน้อยที่จะนำไปสู่ความล้มเหลวในรูปแบบร่วมกัน

          3. ซับซ้อน (Complexity) ดูหัวข้อเรื่องความซับซ้อนที่ผ่านมา เพื่อลดการสนับสนุนให้เกิดความล้มเหลวรูปแบบร่วมกัน (Common Mode Failure) ของเซนเซอร์แบบชาญฉลาดควรจะมีค่าต่ำที่สุด นอกจากนี้ต้องไม่ใช้การทำงานของเซนเซอร์แบบชาญฉลาดซึ่งไม่ใช่ทำงานหลัก เป็นการลดความน่าจะเป็นของความผิดพลาดที่เป็นไปได้ในซอฟต์แวร์ที่ถูกกระตุ้น 

          4. การปฏิสัมพันธ์ระหว่างคอมพิวเตอร์กับมนุษย์ (Human Computer Interaction) การปฏิสัมพันธ์ระหว่างคอมพิวเตอร์กับมนุษย์เป็นบทบาทในการทำให้เกิดความล้มเหลวร่วมกัน อุปกรณ์การปฏิสัมพันธ์ระหว่างคอมพิวเตอร์กับมนุษย์สามารถทำให้ลดลงได้โดยทำให้ง่ายที่สุด เซนเซอร์แบบชาญฉลาดควรมีรูปแบบการทำงานและการตั้งค่าจำนวนอย่างน้อยที่สุด

          5. การรบกวนทางแม่เหล็กไฟฟ้าหรือ EMI (Electromagnetic Interference) การรบกวนแม่เหล็กไฟฟ้าอาจทำให้เกิดความล้มเหลวของเซนเซอร์แบบชาญฉลาดที่แตกต่างกัน เมื่อองค์ประกอบที่ใช้อาจจะอ่อนไหวมาก แต่มีโอกาสน้อยมากที่เซนเซอร์แบบชาญฉลาดจะเกิดความล้มเหลวไปในทางเดียวกัน ผลของ EMI สามารถถูกป้องกันโดยการป้องกันที่เหมาะสม (Proper Shielding)

          จากข้อกำหนดข้างต้นมีเหตุผลเพียงพอที่จะเชื่อได้ว่าการเกิดความล้มเหลวอาจเป็นปัญหาใหญ่สำหรับเซนเซอร์แบบชาญฉลาดแต่มีหลายวิธีเพื่อลดปัญหาคือ

          1. ต้องไม่ส่งข้อมูลไปยังเซนเซอร์แบบชาญฉลาด, ไม่มีการตั้งค่าตัวแปรต่าง ๆ, ไม่เปลี่ยนรูปแบบการทำงาน, ไม่มีการร้องขอข้อมูล

          2. ใช้เซนเซอร์แบบชาญฉลาดในรูปแบบ Burst Mode เท่านั้น ข้อมูลที่ได้จากเซนเซอร์แบบชาญฉลาดควรรวมถึงข้อมูลที่จำเป็นในการวินิจฉัยความผิด, รูปแบบการทำงาน, การตั้งค่าและตัวแปรต่าง ๆ ในภายหลังข้อมูลอาจจำเป็นต้องใช้ในการตรวจสอบข้อผิดพลาดไปในช่วงการบำรุงรักษา

          3. ใช้เซนเซอร์แบบชาญฉลาดที่มีจำนวนน้อยที่สุดของรูปแบบการทำงาน, การตั้งค่าและตัวแปรต่าง ๆ ผู้ใช้สามารถประเมินข้อมูลนี้โดยใช้เอกสารประกอบ

          4. ใช้เซนเซอร์แบบชาญฉลาดให้ง่ายที่สุดสำหรับการใช้งาน รวมถึงการประมวลผลสัญญาณและการวินิจฉัยความผิดพลาด ซึ่งเป็นเรื่องยากสำหรับผู้ใช้งานเพื่อประเมินและความคิดเห็นของผู้ประเมินอิสระจะมีบทบาทสำคัญ

          5. ใช้อุปกรณ์อย่างหลากหลายชนิด ดูหัวข้อต่อไป

เอกสารอ้างอิง
          [1] Meine van der Meulen,’’ On the use of smart sensors, commom cause failure and the need for diversity’’, Centre for software reliability, City University, London

          [2] Tom Nobes,’’ Smart instrument in safety instrumented system’’, Intech, July 2009.

          [3] IEC 61508, Function safety of electrical/electronic/programmable electronic safety-related systems, 2002/2003

          [4] IEC 61511, Function safety: safety instrumented system for the process industry sector, 2003

          [5] IEC 62098, Evaluation methods for microprocessor-based instruments, 2001.

          [6] IEC 60770-3, Transmitters for use in industrial process control system; Part 3: Methods for evaluation of intelligent transmitters,

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด