เนื้อหาวันที่ : 2012-02-24 10:15:39 จำนวนผู้เข้าชมแล้ว : 2483 views

ข้อปฏิบัติทางวิศวกรรมที่ไม่ถูกต้องในการออกแบบระบบนิรภัย

ในอดีตที่ผ่านมาได้เกิดเหตุการณ์ขึ้นกับโรงงานอุตสาหกรรม ในอุตสาหกรรมกระบวนการผลิตประเภทต่าง ๆ ที่ส่งผลกระทบไปถึงโรงงานอุตสาหกรรมกระบวนการผลิตในอุตสาหกรรมเคมี ในขั้นตอนที่เริ่มตั้งแต่ด้านการออกแบบ

ทวิช ชูเมือง

          ในอดีตที่ผ่านมาได้เกิดเหตุการณ์ขึ้นกับโรงงานอุตสาหกรรม ในอุตสาหกรรมกระบวนการผลิตประเภทต่าง ๆ 3 เหตุการณ์สำคัญที่ส่งผลกระทบไปถึงโรงงานอุตสาหกรรมกระบวนการผลิตในอุตสาหกรรมเคมี (Chemical Processing Industrial) ในขั้นตอนที่เริ่มตั้งแต่ด้านการออกแบบ, การใช้งานและการซ่อมบำรุง

เหตุการณ์เหล่านี้ได้ส่งผลกระทบอย่างรุนแรงต่อวงการอุตสาหกรรม, มาตรฐานควบคุมและประชาชนทั่วไป นั่นคือ การเกิดเหตุการณ์กับอุตสาหกรรมกระบวนการผลิตที่ Flixborough, Severo และ Bhopal [1] เหตุการณ์ที่สำคัญทั้งสามนี้ทำให้มาตรฐานความปลอดภัยในอุตสาหกรรมกระบวนการผลิตได้ถูกจัดทำอย่างเป็นรูปเป็นร่างขึ้นมา เหตุการณ์ทั้งสามมีรายละเอียดดังนี้

          * June 1, 1974-Flixborough, UK เกิดการรั่วไหลของไอ Cyclohexane อย่างอิสระโดยไม่สามารถควบคุมได้ เป็นสาเหตุให้เกิดการระเบิด ผลกระทบจากเหตุการณ์นี้ทำให้การบาดเจ็บภายนอกโรงงาน 56 ราย, เสียชีวิต 28 รายและบาดเจ็บ 36 รายภายในโรงงาน ทรัพย์สินภายในโรงงานเสียหายอย่างรุนแรง โดยความเสียหายภายนอกขยายวงกว้างออกไปมากกว่า 8 ไมล์ มีรายงานผลกระทบต่อผลิตภัณฑ์และประชาชนทั่วไปมากกว่า 2,400 ครัวเรือน

          * July 10, 1976-Severo, Italy เกิดปฏิกิริยาทางเคมีที่ควบคุมไม่ได้กับถังปฏิกิริยาทางเคมี (Reactor) ที่มีส่วนประกอบของ 2, 4, 5-Trichlocophenol (TCP) เป็นสาเหตุให้อุปกรณ์นิรภัยที่เป็น Rupture Disk แตกออก ทำให้สารเคมีและ Dioxin ในถังโดยประมาณ 1.75 กิโลกรัมได้ถูกปล่อยออกมายังบรรยากาศภายนอก เป็นสาเหตุที่ทำให้สารเคมีที่เป็นพิษกระจายไปยังชุมชุนที่อาศัยอยู่โดยรอบ ๆ โรงงานอุตสาหกรรม

แต่ไม่มีรายงานการบาดเจ็บและเสียชีวิตจากชุมชน ประชาชนประมาณ 450 รายประสบปัญหาจากการเผาไหม้สารเคมีที่เป็นพิษ พื้นที่เกษตรกรรมจำนวนมากกว่า 4 ตารางกิโลเมตรรอบ ๆ โรงงานเสียหายเป็นระยะเวลานานเป็นปี

          * December 2, 1984-Bhopal, India เกิดการรั่วไหลของ Cyanide มีสาเหตุมาจากมีน้ำรั่วไหลเข้าไปยังถังเก็บ Methyl Isocyanine ผลจากการรั่วไหลทำให้เกิดการเสียชีวิตมากกว่า 2,500 รายและบาดเจ็บ 170,000 ราย มากกว่า 1,000 รายบาดเจ็บอย่างรุนแรง รวมไปถึงผลกระทบต่อการหายใจและการมองเห็นเป็นเวลานาน
     
          เนื่องจากเหตุการณ์ดังกล่าวเหล่านี้ ได้ส่งผลกระทบต่อส่วนที่เกี่ยวข้องอย่างรุนแรงและเป็นวงกว้างทั้งกับเจ้าของโรงงานอุตสาหกรรม, ประชาชนรอบ ๆ โรงงานและยังรวมไปถึงสิ่งแวดล้อมโดยรอบ ดังนั้นประเทศที่เป็นผู้นำทางด้านอุตสาหกรรมประเภทต่าง ๆ จึงได้เริ่มให้ความสนใจในการจัดทำมาตรฐานควบคุมความอันตรายของกระบวนการผลิต ดังเช่น ในปี 1980 ทางประเทศเยอรมันได้จัดทำกฎหมายเกี่ยวกับเหตุการณ์อันตรายขึ้น (Hazard Incident Ordinance)

และในปี 1982 กลุ่มประเทศทางยุโรปได้จัดทำ คำสั่งเกี่ยวกับเหตุการณ์อันตรายหลัก (Major Hazard Incident Directive) ในปี 1986 ทางประเทศอเมริกาได้ออกกฎหมาย EPCRA (Emergency Planning and Community Right-To-Know Act)

ในปี 1990 OSHA (Occupational Safety and Health Administration) และ EPA (Environmental Protection Agency) ได้เริ่มพัฒนาข้อกำหนดสำหรับควบคุมการป้องกันเหตุการณ์อันตรายขึ้น จนกระทั่งถึงปี 1992 จึงได้เสนอข้อกำหนด OSHA Process Safety Management (PSM) และในปี 1996 จึงได้ข้อกำหนด EPA Risk Management Program (RMP)

          มาตรฐานทั้งหมดดังกล่าวข้างต้นที่ได้เริ่มจัดทำขึ้นจากประเทศต่าง ๆ นั้น ยังเป็นมาตรฐานที่ยังไม่ได้มีการแสดงรายละเอียดที่เป็นข้อกำหนดทางคำสั่งหรือการบังคับอย่างชัดเจน แต่ความตั้งใจของมาตรฐานเกือบทั้งหมดต้องการทำให้ผู้ใช้งานโดยตรงสามารถนำไปใช้งานเพื่อปรับหรือเปลี่ยนแปลงให้เหมาะสมกับอุตสาหกรรมของตนเอง ซึ่งเป็นความต้องการเบื้องต้นของวงการอุตสาหกรรมในการตรวจสอบความเสียหายที่ต้องกำหนดให้กับกระบวนการผลิตของตนเองและดำเนินการเพื่อทำให้ความเสี่ยงต่อการเกิดความเสียหายเหล่านี้มีค่าต่ำที่สุด

มีมาตรฐานของยุโรปเพียงบางส่วนเท่านั้นที่กำหนดให้อุตสาหกรรมต้องจัดเตรียมเป้าหมายความเสี่ยงต่อความเสียหายที่เป็นเชิงตัวเลข หลาย ๆ มาตรฐานของยุโรปและอเมริกามีความเชื่อมั่นอยู่บนอุตสาหกรรมที่ถูกพัฒนาด้วยเครื่องมือของตนเองในการจำแนกความเสี่ยงและทำให้ความเสี่ยงทั้งหลายมีค่าต่ำลงอย่างเหมาะสม แต่ความต้องการที่เป็นเอกสารทางด้านความปลอดภัยและแผนการฉุกเฉินที่ต้องแสดงต่อสาธารณะนี้เองเป็นสิ่งกระตุ้นที่ทำให้อุตสาหกรรมต้องดำเนินการแสดงการจำแนกความเสี่ยงของกระบวนการผลิตของตนเอง

          กลุ่มโรงงานอุตสาหกรรมประเภทต่าง ๆ ก็ตอบรับข้อกำหนดต่าง ๆ โดยการนำเสนอมาตรฐานอุตสาหกรรมและแนวทางที่เกี่ยวข้องในการประเมินความเสี่ยงและการออกแบบระบบนิรภัยดังเช่น API, ASME, NFPA ได้สร้างหลักเกณฑ์และข้อปฏิบัติสำหรับการใช้งานโดยเฉพาะในปี 1986 ISA ได้ใช้เวลาเริ่มต้นประมาณ 8 ปี ในการพัฒนามาตรฐานสำหรับการออกแบบระบบนิรภัยหรือระบบ SIS (Safety Instrumented System)

สำหรับอุตสาหกรรมกระบวนการผลิตคือมาตรฐาน ANSI/ISA 84.01-1996 และในกลางปี 1980 IEC ได้เริ่มต้นพัฒนามาตรฐานสากลสำหรับการออกแบบระบบนิรภัยในอุตสาหกรรมเกือบทั้งหมด มาตรฐานนั้นคือมาตรฐาน IEC 61508/61511 ซึ่งถูกรับรองให้ใช้งานในปี 1998 และ 2003 ตามลำดับ โดยครอบคลุมอุตสาหกรรมประเภทต่าง ๆ ดังนี้

          * การขนส่ง (Transportation)
          * อุตสาหกรรมยา (Medical)
          * การผลิต (Manufacturing)
          * อุตสาหกรรมกระบวนการ (Process Industries)

          ด้วยเหตุผลนี้ มาตรฐานดังกล่าวจึงมีข้อบังคับหรือข้อกำหนดที่ว่าโรงงานอุตสาหกรรมกระบวนการผลิตต้องแสดงและจำแนกความเสี่ยงที่อาจจะเกิดขึ้นในโรงงานอุตสาหกรรมกระบวนการผลิตให้เห็นอย่างชัดเจน มาตรฐานอุตสาหกรรมเป็นเครื่องมืออย่างง่ายหรือเป็นเครื่องมือเบื้องสำหรับประเมินความพอเหมาะในความพยายามของอุตสาหกรรมในด้านความปลอดภัย

ในการที่จะสร้างมาตรฐานเดียวที่สามารถนำไปใช้สำหรับกระบวนการผลิตทั้งหมดทุกประเภทเป็นงานที่ยาก ซึ่งอาจเป็นไปได้ที่จะทำให้เป็นมาตรฐานที่มีลักษณะเฉพาะเจาะจง หลังจากนี้เป็นต้นไปควรจะมีมาตรฐานเฉพาะที่ครอบคลุมกระบวนการผลิตและขั้นตอนต่าง ๆ ตั้งแต่

          * เตาผาไหม้ในโรงกลั่นน้ำมัน (Refinery Furnaces)
          * ถังปฏิกิริยาเคมี (Chemical Reactor)
          * เครื่องตัดกระดาษ (Pulp and Paper Digesters)
          * เครื่องกำเนิดไอน้ำ (Utility Boiler)
          * การลดความเสี่ยงที่มีค่าใช้จ่ายที่สมเหตุผล 

          ดังนั้นมาตรฐานจึงมีพื้นฐานอยู่บนสมรรถนะการทำงานของระบบ SIS มาตรฐานดังกล่าวข้างต้นเลือกให้ความเชื่อมั่นบนการจัดทำขั้นตอนการออกแบบที่ถูกเรียกว่า SIS Life Cycle เป็นขั้นตอนการออกแบบตั้งแต่เริ่มต้นจนจบการออกแบบ ซึ่งสมรรถนะการทำงานของระบบ SIS จะต้องถูกคงไว้ตลอดขั้นตอนทั้งหมด แสดงได้ดังรูปที่ 1

รูปที่ 1 SIS Life Cycle

          ขั้นตอนการออกแบบที่กำหนดขึ้นเป็นความตั้งใจในการแสดงสาเหตุหลักของเหตุการณ์อันตรายในระบบควบคุม ในหนังสือ Out Of Control [2] HSE ได้ดำเนินการตรวจสอบ 34 เหตุการณ์อันตราย เนื่องจากความผิดพลาดของระบบควบคุม โดยการวิเคราะห์อยู่บนพื้นฐานการดำเนินงานเป็น 5 เฟสดังนี้

          * การกำหนดรายละเอียด (Specification)
          * การออกแบบและการจัดทำ (Design and Implementation)
          * การติดตั้งและการทดสอบการทำงาน (Installation and Commissioning)
          * การใช้งานและการซ่อมบำรุง (Operation and Maintenance)
          * การเปลี่ยนแปลงหลังการใช้งาน (Change After Commissioning)

          ผลลัพธ์ที่ได้แสดงดังรูปที่ 2 แสดงให้เห็นได้อย่างชัดเจนว่า ทุกเฟสต้องมีการแสดงวิธีการทำให้ความเสี่ยงต่อเหตุการณ์อันตรายต่ำที่สุด ด้วยเหตุผลนี้มาตรฐานทางอุตสาหกรรมจึงเข้าใกล้ข้อกำหนดของมาตรฐาน โดยการออกแบบระบบ SIS ไปบนพื้นฐานรายละเอียดของขั้นตอนการออกแบบที่ครอบคลุมทุกเฟสของการออกแบบจากการเริ่มต้น (Conception) ไปจนถึง การหยุดใช้งาน (Decommissioning)

รูปที่ 2 ผลลัพธ์จากการตรวจสอบ 34 เหตุการณ์อันตราย

          การทำตามข้อกำหนดของมาตรฐาน ISA, IEC ต้องการสิ่งที่จำเป็น 4 ส่วนดังนี้
          1) แสดงฟังก์ชันนิรภัยที่ต้องการสำหรับการหยุดกระบวนการผลิตอย่างปลอดภัย
          2) กำหนดค่า SIL (Safety Integrity Level) สำหรับแต่ละฟังก์ชันนิรภัย
          3) ใช้ SIS life Cycle ในการออกแบบ
          4) การตรวจสอบค่า SIL สำหรับแต่ละฟังก์ชันนิรภัย

          ผลลัพธ์จากส่วนต่าง ๆ ในการทำตามข้อกำหนดของมาตรฐานดังกล่าวข้างต้นจะมีผลกระทบอย่างมากในการออกแบบระบบ SIS เพื่อให้ได้สมรรถนะการทำงานของระบบตรงกับความต้องการ ในขณะที่ข้อปฏิบัติที่ถูกยอมรับมานานในการออกแบบระบบสำหรับการยับยั้งความเสี่ยงต่อเหตุการณ์อันตรายด้วยระบบ SIS โดยทั่วไปในการออกแบบกระบวนการผลิตจะไม่มีการประเมินหรือวิเคราะห์สมรรถนะการทำงาน ว่าระบบ SIS ที่ออกแบบไว้ มีความสามารถในการจัดเตรียมการลดความเสี่ยงเหมาะสมหรือไม่

ที่สำคัญอีกประการหนึ่งคือ มาตรฐานเหล่านี้ได้จัดทำข้อกำหนดหรือความต้องการที่ว่าต้องมีการเก็บรักษาเอกสารที่เกี่ยวข้องกับการออกแบบโดยเฉพาะ, การประเมินว่าการออกแบบมีความสมบูรณ์ในการลดความเสี่ยงและแสดงว่าความสมบูรณ์มีการคงหรือรักษาไว้ ซึ่งบางครั้งจะมีผลอย่างมากในการทำตามข้อกำหนดของ ISA และ IEC บนความปลอดภัยของแต่ละกระบวนการผลิต

          จากที่กล่าวมาแล้วว่าความต้องการพื้นฐานของมาตรฐานอยู่บนสมรรถนะการทำงานของระบบ การทำตามข้อกำหนดเป็นเครื่องหมายที่แสดงอย่างชัดเจนว่าเป็นการทำงานที่อยู่ในข้อปฏิบัติทางวิศวกรรมที่ดี (Good Engineering Practices) และข้อปฏิบัติที่แนะนำอย่างเคร่งครัด

เนื่องจากอุตสาหกรรมที่ต่างกันมีความต้องการที่จะปฏิบัติตามข้อกำหนดของมาตรฐาน จึงเป็นงานที่ยากในการป้องกันและการยอมรับข้อปฏิบัติทางวิศวกรรมที่ไม่ถูกต้อง ซึ่งจะมีผลกระทบต่อการทำงานของกระบวนการผลิตและลดทอนการออกแบบระบบ SIS ที่มีประสิทธิภาพ ในบทความนี้จะแสดงข้อปฏิบัติทางวิศวกรรมที่ไม่ถูกต้องในการออกแบบระบบ SIS เพื่อใช้เป็นแนวทางในการหลีกเลี่ยงเมื่อได้เข้าไปมีส่วนร่วมในวงรอบการออกแบบระบบ SIS โดยแสดงได้เป็น 7 ข้อดังนี้

          1) มีความเชื่อว่า ถ้ามีบางสิ่งไม่ได้ถูกกำหนดไว้ในมาตรฐานทั้งที่ต้องทำหรือไม่ต้องทำก็ตาม ผู้ใช้งานไม่ต้องสนใจสิ่งเหล่านี้

          2) คิดว่าการทำตามข้อกำหนดของมาตรฐานน้อยที่สุดหมายความว่ากระบวนการผลิตมีความปลอดภัยและระบบ SIS มีการออกแบบเป็นไปตามข้อกำหนดของมาตรฐาน

          3) ละเลยความสำคัญของข้อปฏิบัติทางวิศวกรรมที่ดี

          4) ออกแบบระบบให้ตรงกับความต้องการด้านความปลอดภัยแต่ไม่ป้องกันความต้องการทางด้านเศรษฐศาสตร์ (Economics)

          5) ให้ความสำคัญเฉพาะค่า SIL และไม่ป้องกันการทำงานไม่จริง (Nuisance Trips)

          6) ละเลยตัวแปรเกี่ยวกับมนุษย์ (Human Factor)

          7) ให้ความสำคัญบนค่าใช้จ่ายการลงทุน (Capital Cost) และไม่ให้ความสำคัญค่าใช้จ่ายในการใช้งาน (Life Cycle Costs)

          1. มีความเชื่อว่าถ้ามีบางสิ่งไม่ได้ถูกกำหนดไว้ในมาตรฐานทั้งต้องทำหรือไม่ต้องทำก็ตาม ผู้ใช้งานไม่ต้องสนใจสิ่งเหล่านี้
         
ผู้ใช้งานหรือผู้ออกแบบระบบนิรภัยบางส่วนมีความคิดว่า ในการออกแบบระบบ SIS ที่ต้องทำตามข้อกำหนดของมาตรฐานจะมีความวุ่นวายมากในข้อกำหนดที่เกี่ยวกับสิ่งที่ไม่มีความสำคัญ เนื่องมาจากมีข้อกำหนดเป็นความต้องการเพียงเล็กน้อยอยู่ในมาตรฐาน เมื่อมีข้อกำหนดขึ้น เป็นการแสดงว่าผู้ใช้งานควรที่จะต้องดำเนินการตาม

ถ้าในขั้นตอนการวิเคราะห์ความอันตรายของกระบวนการผลิต แสดงว่าทางเลือกไม่ได้ทำให้ความสมบูรณ์ด้านความปลอดภัยลดลง ทางเลือกนี้เองจะเป็นส่วนชี้นำให้มีการตกลงว่าจะไม่ทำตามข้อปฏิบัติที่แนะนำ เนื่องจากไม่ได้ถูกกำหนดความต้องการในมาตรฐาน

          เมื่อความต้องการมากมายที่กำหนดบนมาตรฐานมีไม่เพียงพอหรือครบถ้วน มาตรฐานได้ถูกจัดทำขึ้นสำหรับใช้ในการออกแบบกระบวนการผลิตเพื่อให้แน่ใจว่าการออกแบบระบบ SIS มีการเลือกอย่างระมัดระวังและแสดงว่าการเลือกกฎเกณฑ์ต่าง ๆ ในการออกแบบมีเอกสารที่แสดงอย่างชัดเจนสมบูรณ์

เอกสารเหล่านี้จะนำไปเป็นส่วนหนึ่งของข้อมูลความปลอดภัยของกระบวนการผลิตที่ต้องมีการรักษาไปตลอดการใช้งาน และถูกนำไปใช้ร่วมกับการอ้างเหตุผลสำหรับการเปลี่ยนแปลงระบบ SIS เอกสารนี้มีส่วนประกอบด้วยข้อความแสดงหลักการสำหรับเป็นข้อมูลในการออกแบบระบบ SIS

ผลลัพธ์ที่ตามมานักกฎหมายทางด้านหนี้สิน (Liability) และด้านข้อบังคับ (Regulation) จะร้องขอเอกสารเหล่านี้เพื่อนำไปใช้เปรียบเทียบกับข้อปฏิบัติทางวิศวกรรมและข้อกำหนดตามมาตรฐาน เอกสารนี้จะเรียกว่า SIS Safety Requirements Specification โดยจะมีข้อมูลที่เพียงพอสำหรับนำไปออกแบบระบบ SIS และจะประกอบด้วยเอกสารต่าง ๆ ดังนี้

          * รายละเอียดของฟังก์ชันนิรภัย
          * การอธิบายความหมายสภาวะนิรภัย (Safe State) ของกระบวนการผลิต
          * ความต้องการของระยะเวลาในการทดสอบการทำงาน (Proof Test Intervals)
          * ค่า SIL และโหมดการทำงานของฟังก์ชันนิรภัย
          * ย่านการวัดและจุดทำงานของเครื่องมือวัด
          * รายละเอียดของการทำงานด้านเอาต์พุตที่ต้องการ
          * ความสัมพันธ์ระหว่างอินพุตและเอาต์พุต
          * รายละเอียดความต้องการหยุดด้วยมือ (Manual Shut Down)
          * รายละเอียดการทำงาน Energize หรือ De-energize to Trip
          * รายละเอียดการรีเซ็ตระบบ SIS หลังจากการหยุดทำงาน
          * ค่าการทำงานไม่จริง (Spurious Trip Rate) สูงสุดที่ยอบรับได้
          * ขั้นตอนในการเริ่มเดินกระบวนการผลิต

          ดังนั้น ขณะที่มาตรฐานให้เชื่อมั่นบนกฎเกณฑ์ของสมรรถนะการทำงานสำหรับการกำหนดให้มีความเหมาะสมกับการออกแบบระบบ SIS ความยืดหยุ่นหรือการเปลี่ยนแปลงที่สามารถกระทำได้ไม่ได้หมายความว่า มาตรฐานไม่มีข้อกำหนดที่สำคัญหรือหมายความว่าความต้องการต่าง ๆ สามารถละเลยได้

การเปลี่ยนแปลงยินยอมให้ผู้ใช้งานในการปรับรูปแบบหรือขั้นตอนในการออกแบบระบบ SIS ให้เข้าใกล้หรือเหมาะสมกับการใช้งานเฉพาะของตนเอง ซึ่งเป็นการทำให้แน่ใจว่าทรัพยากรที่ใช้บนระบบ SIS มีความเหมาะสมสำหรับความเสี่ยงและระบบที่ออกแบบท้ายสุด มีความเหมาะสมกับหลักการใช้งานของระบบสนับสนุนต่าง ๆ

นอกจากนั้นเนื่องจากความไม่เพียงพอของความต้องการเฉพาะ มาตรฐานได้เปิดโอกาสสำหรับการยอมรับในการนำเทคโนโลยีใหม่ ๆ มาใช้งาน กฎเกณฑ์ของสมรรถนะการทำงานจัดเตรียมข้อกำหนดบนการใช้เทคโนโลยีใหม่ ๆ เมื่อสิ่งเหล่านี้ต้องถูกรับรองประสิทธิภาพในการยับยั้งความเสี่ยงของกระบวนการผลิต ดังนั้นจึงยินยอมให้มีการตรวจสอบของทางเลือกในการออกแบบ, รวมไปถึงทางเลือกในการจัดเตรียมให้การติดตั้งระบบมีความปลอดภัยมากที่สุด

          ท้ายที่สุดผู้ใช้งานเป็นผู้รับผิดชอบหน้าที่ในการใช้งานกระบวนการผลิตให้มีความปลอดภัย มาตรฐานถูกเขียนขึ้นจากข้อคิดเห็นของหลาย ๆ ฝ่ายที่เกี่ยวข้อง การเปลี่ยนแปลงของตัวเลือกการออกแบบไม่ได้ทำให้ความผิดชอบนี้ลดลง

          2. คิดว่าการทำตามข้อกำหนดของมาตรฐานน้อยที่สุด หมายความว่ากระบวนการผลิตมีความปลอดภัยและระบบ SIS มีการออกแบบเป็นไปตามข้อกำหนดของมาตรฐาน
         
มาตรฐานมีความต้องการให้ผู้ใช้งานต้องทำการประเมินการป้องกันที่ไม่ใช่ระบบ SIS หรือระบบการลดความเสี่ยงจากภายนอก ถ้าการลดความเสี่ยงจากระบบการป้องกันภายนอกเหล่านี้ไม่สามารถลดความเสี่ยงลงไปยังระดับที่ยอมรับได้ ก็สามารถใช้ระบบ SIS ในการลดความเสี่ยงได้อีกชั้นหนึ่ง แสดงตัวอย่างระบบการป้องกันภายนอกเป็นดังรูปที่ 3

รูปที่ 3 การใช้ระบบการป้องกันภายนอกร่วมกับระบบ SIS

          จากรูปที่ 3 จะแสดงชั้นการป้องกันซึ่งสามารถจัดเตรียมได้จากระบบการป้องกันภายนอก เช่น ระบบความคุมพื้นฐาน, สัญญาณเตือน, ผู้ปฏิบัติการ และระบบป้องกันทางกลต่าง ๆ เป็นต้น ซึ่งจะสามารถนำไปช่วยลดความเสี่ยงก่อนที่จะพิจารณาติดตั้งระบบ SIS เข้าไป

          รายละเอียดความต้องการของฟังก์ชันนิรภัยบนระบบ SIS และเป้าหมายค่า SIL จะถูกกำหนดและบันทึกเป็นเอกสารในช่วงการประเมินความเสี่ยง ไม่มีความต้องการต่ำที่สุดถูกรวมเข้าไปสำหรับขั้นตอนในการตัดสินใจที่มีความจำเป็นเหล่านี้ อย่างไรก็ตามถ้าไม่มีการตรวจสอบจากองค์กรอิสระภายนอกก็จะไม่มีคำถามใดๆ ถ้าการออกแบบฟังก์ชันนิรภัยบนระบบ SIS และเป้าหมายค่า SIL ถูกเลือกอย่างไม่ถูกต้อง

ผลกระทบที่ตามมาก็จะไปเกิดขึ้นในระหว่างการใช้งานถ้ามีความผิดปกติเกิดขึ้นในกระบวนการผลิตก็ทำให้ระบบ SIS จะไม่ทำหน้าที่ในการลดเสี่ยงได้ตามความตั้งใจในการออกแบบ ซึ่งในความจริงแล้วผลกระทบที่เกิดขึ้นจากระบบ SIS ไม่สามารถทำหน้าที่ได้ตามต้องการก็จะทำให้สถานการณ์เลวร้ายกว่าที่คาดคิด

          ดังนั้น ในการออกแบบระบบ SIS ถ้าในขั้นตอนการดำเนินการเป็นการทำตามข้อกำหนดที่อยู่บนมาตรฐานเพียงเล็กน้อยจะไม่ได้เป็นส่วนช่วยป้องกันผู้ใช้งานหรือระบบสนับสนุน จากหนี้สินหรือค่าใช้จ่ายที่เกี่ยวข้องจากเหตุการณ์อันตรายที่อาจจะเกิดขึ้น

การจัดพิมพ์หรือการเตรียมรายงานซึ่งแสดงว่าความเสี่ยงถูกละเลยหรือไม่ต้องการระบบ SIS อาจจะเติมเต็มความต้องการบนเอกสาร แต่มันไม่ได้เติมเต็มความตั้งใจของมาตรฐานถ้าความเสี่ยงไม่ได้ถูกพิจารณาตัดทิ้งโดยอุตสาหกรรม ลักษณะของข้อปฏิบัติทางวิศวกรรมที่ดีและความพยายามหมายความว่า อะไรก็ตามที่ถูกดำเนินการสำหรับการใช้งานเฉพาะ ต้องมีความคล้ายคลึงกับที่ได้ถูกดำเนินการในการใช้งานที่คล้ายคลึงกันที่ระบบสนับสนุนอื่น ๆ ภายในอุตสาหกรรมกระบวนการผลิต

          3. ละเลยความสำคัญของข้อปฏิบัติทางวิศวกรรมที่ดี
         
การเริ่มต้นงานให้เป็นไปตามข้อกำหนดของมาตรฐาน มีจุดประสงค์เฉพาะจำนวนข้อดี ผู้ออกแบบที่มีความสามารถส่วนใหญ่ต้องการทำให้แน่ใจว่าไม่มีส่วนใดมีความเกี่ยวข้องกับการออกแบบของตนเอง หมายความว่าผู้ออกแบบทั้งหลายจะต้องตัดสินใจทุก ๆ อย่างในการออกแบบระบบ SIS ให้เป็นไปตามข้อกำหนดของค่า SIL หรือข้อกำหนดที่แสดงอยู่ในมาตรฐาน คู่มือการออกแบบบางบริษัทและข้อปฏิบัติทางวิศวกรรมที่เกี่ยวข้องหรือมีการใช้งานมาหลายปี ซึ่งมีลักษณะในทิศทางของการจัดเตรียมให้มีความปลอดภัยมากกว่า หรือมีความเชื่อถือได้ของระบบ SIS เมื่อข้อปฏิบัติเหล่านี้ได้ถูกตรวจสอบมาแล้วจึงไม่ต้องดำเนินการตรวจสอบใหม่

          การประเมินให้ได้ผลลัพธ์ทางตัวเลข ถูกพิจารณาเฉพาะเครื่องมือวัดทางอุตสาหกรรมที่ต้องการสำหรับฟังก์ชันนิรภัยในระบบ SIS มีการตัดสินใจได้หลายทาง ในการออกแบบต้องมีการดำเนินการที่มีผลกระทบต่อความสมบูรณ์ของการใช้งานระบบ SIS ในระยะเวลายาว แต่ยังไม่มีเครื่องมือทางตัวเลขหรือมาตรฐานการออกแบบที่สามารถแทนที่สิ่งต่าง ๆ ดังนี้
          * ประสบการณ์
          * ความรู้ทางวิศวกรรม
          * สมรรถนะการทำงานของเครื่องมือวัดที่ถูกติดตั้ง
          * สิ่งแวดล้อมในการใช้งาน
          * ผลกระทบจากกระบวนการ
          * ข้อปฏิบัติในระบบสายไฟ
 
          นอกจากนี้ยังไม่มีมาตรฐานใด ๆ ที่สามารถแสดงข้อกำหนดให้ครอบคลุมในรายละเอียดสำหรับทุก ๆ การใช้งาน      บางครั้งผู้ใช้งานจะค้นหาว่าอะไรเป็นข้อปฏิบัติทั่วไปที่ไม่ได้จัดเตรียมการป้องกันอย่างเพียงพอ ซึ่งเป็นส่วนหนึ่งของขั้นตอนการเรียนรู้ ไม่ว่าจะเป็นมาตรฐานใหม่หรือการเปลี่ยนแปลงข้อบังคับ ผู้ใช้งานจะสังเกตระบบอย่างไร ความซับซ้อนของการออกแบบทำให้ประสบการณ์ในการออกแบบเป็นสิ่งสำคัญ เพราะว่าการเปลี่ยนแปลงข้อปฏิบัติในการออกแบบต้องมีการไตร่ตรองตลอด เพื่อให้แน่ใจว่าการออกแบบสุดท้ายมีความเหมาะสมอย่างแท้จริง

          4. ออกแบบระบบให้ตรงกับความต้องการด้านความปลอดภัย แต่ไม่ป้องกันความต้องการทางด้านเศรษฐศาสตร์ (Economics)
         
ขณะที่มาตรฐานในการออกแบบระบบ SIS ให้ความสนใจบนผลกระทบทางด้านความปลอดภัย ขั้นตอนในการออกแบบสามารถนำไปใช้ได้ทุกสถานการณ์ เมื่อความเสี่ยงต่อการเกิดเหตุการณ์ยอมรับไม่ได้และระบบเครื่องมือวัดถูกพิจารณาเลือกใช้ในการยับยั้งความเสี่ยงนั้น มีการนำไปใช้งานได้หลายรูปแบบ

เมื่อมีการให้เหตุผลทางด้านเศรษฐศาสตร์ว่าการใช้ระบบเครื่องมือวัดมีความสำคัญกว่าการให้เหตุผลทางด้านความปลอดภัย การเน้นความสำคัญด้านความปลอดภัยของมาตรฐานไม่เป็นส่วนชี้นำให้ผู้ออกแบบละเลยความสำคัญของการออกแบบอย่างมีประสิทธิภาพสำหรับการป้องกันทางด้านเศรษฐศาสตร์หรือความคุ้มค่าทางเศรษฐกิจ

          ดังตัวอย่างต่อไปนี้ ผู้จัดการโรงกลั่นน้ำมันขนาดใหญ่แห่งหนึ่งรายงานการประเมินความอันตรายของเตาเผาบางส่วนมีผลลัพธ์ที่เกี่ยวข้องกับความปลอดภัยน้อยมาก ดังนั้นเขาจึงรู้สึกว่าไม่มีส่วนที่เกี่ยวข้องกับมาตรฐานระบบ SIS มีการปรึกษาหารือเพิ่มเติมในส่วนอื่น ๆ มีการแสดงให้เห็นและถูกกำหนดว่าเหตุการณ์ในเตาเผาเหล่านี้มีผลลัพธ์อย่างรุนแรงต่อความเสียหายของอุปกรณ์ต่าง ๆ และระยะการหยุดทำงานของกระบวนการผลิต มีผลกระทบเกี่ยวกับการผลิตจากหลาย ๆ เหตุการณ์มีความรุนแรง หรืออาจจะมีผลกระทบอย่างรุนแรงต่อสิ่งแวดล้อมที่รอบบริเวณโรงงาน

ดังนั้นถึงแม้จะมีผลกระทบต่อความปลอดภัยน้อยก็ตาม ผลกระทบด้านอื่น ๆ ก็ยังถูกกำหนดความต้องการอยู่ในมาตรฐาน สำหรับตัวอย่างฟังก์ชันการป้องกันเตาเผาเสียหายเนื่องจากไม่มีของไหลเข้าไปยังเตาเผา จะมีฟังก์ชันการป้องกันโดยตัดแหล่งจ่ายเชื้อเพลิงที่ไปยังหัวเผาไหม้ในเตา แสดงได้ดังรูปที่ 4

รูปที่ 4 ตัวอย่างฟังก์ชันการป้องกันเตาเผา

          ในการพิจารณาด้านความเสียหาย ขั้นตอนการออกแบบตามมาตรฐานมีข้อกำหนดอย่างเพียงพอในการยินยอมให้ใช้มาตรฐานในการประยุกต์ใช้กับระบบการป้องกันเกี่ยวกับการผลิตเหมือนกับระบบนิรภัย การเปลี่ยนแปลงหรือปรับเปลี่ยนหลักในขั้นตอนการออกแบบระบบ SIS เป็นระดับความสมบูรณ์เกี่ยวกับการผลิตสามารถถูกเลือกเพิ่มเติมเข้าไปในความต้องการของแต่ละค่า SIL การออกแบบท้ายสุดควรจะเป็นพื้นฐานบนความต้องการสูงสุดและครบถ้วนในทุก ๆ ด้าน ระดับความสมบูรณ์ไม่ว่าจะเกี่ยวข้องกับความปลอดภัยหรือเกี่ยวกับการผลิต สิ่งที่เหลืออยู่ของขั้นตอนการออกแบบสามารถถูกนำไปใช้ได้ด้วยการเปลี่ยนแปลงเพียงเล็กน้อยให้เหมาะสม

          5. ให้ความสำคัญเฉพาะค่า SIL และไม่ป้องกันการทำงานไม่จริง (Spurious Trips)
          กฎเกณฑ์สำหรับใช้แสดงสมรรถนะการทำงานของระบบ SIS ที่สำคัญที่สุดจะเป็นค่าระดับความปลอดภัยหรือค่า SIL ซึ่งถูกเลือกโดยผู้ใช้งานซึ่งจะอยู่บนพื้นฐานความรู้ของความถี่ต่อความเสี่ยงสำหรับเหตุการณ์ที่พิจารณาและผลกระทบของเหตุการณ์เหล่านี้ จากที่ได้แสดงไว้ในหัวข้อที่ผ่านมา หลักการรากฐานของมาตรฐานจะเป็นการกำหนดให้ผู้ใช้งานมีหน้าที่รับผิดชอบในการเลือกค่า SIL ที่เหมาะสมและกำหนดว่าจะดำเนินการออกแบบ, การใช้งาน, การรักษาและการทดสอบระบบ SIS อย่างไรในการคงค่า SIL ไว้

          ในมุมมองสำหรับการใช้งานที่ปลอดภัยของระบบสนับสนุน สิ่งสำคัญอีกอย่างหนึ่งเป็นการตรวจสอบอัตราการทำงานไม่จริง (Spurious Trip Rate) ดังตัวอย่างต่อไปนี้

          โรงงานอุตสาหกรรมเคมีขนาดเล็กแห่งหนึ่งมีกระบวนการผลิตและถังเก็บที่มีการป้องกันโดยการหยุดทำงานด้วยฟังก์ชันป้องกันความดันเกิน โดยประกอบด้วยส่วนต่าง ๆ ดังนี้
          * สวิตช์ความดัน (Pressure Switch)
          * รีเลย์ (Relay)
          * วาล์วพร้อมโซลินอยด์ (Shut Down Valve with Solenoid Valve)

          โดยฟังก์ชันการป้องกันนี้จะทำงานโดยใช้เครื่องมือวัดแบบสวิตช์ความดันจำนวน 4 ตัวที่ถูกติดตั้งในรูปแบบการลงมติแบบ 1oo4 (One out of  Four Voting) ในมุมมองด้านความปลอดภัยในการทำงานของฟังก์ชันการป้องกันจะเห็นได้ว่าการใช้รูปแบบลงมติ 1oo4 จะเป็นรูปแบบที่ถูกจัดเตรียมไว้ให้มีความปลอดภัยมากมายเหลือเกิน นั่นคือเมื่อสวิตช์ความดันเพียงตัวเดียวตรวจจับความผิดปกติได้ก็จะทำให้ฟังก์ชันนี้ทำงานเพื่อสั่งให้ส่วนต่าง ๆ ที่เกี่ยวของหยุดการทำงานหรือสั่งให้กระบวนการผลิตหยุดทำงาน

ถ้าลองมาวิเคราะห์เพื่อหาค่าความผิดพลาดในการทำงานของรูปแบบการลงมติ 1oo4 โดยกำหนดให้การออกแบบการทำงานของฟังก์ชันเป็นลักษณะ De-Energize to Trip หรือทำการหยุดจ่ายไฟฟ้าออกไปยังอุปกรณ์สุดท้ายเพื่อหยุดกระบวนการผลิต ซึ่งจะแสดงแผนภาพการทำงานด้วย Fault Tree Analysis ได้ดังรูปที่ 5

รูปที่ 5 แผนผังการทำงานของสวิตช์ความดันแบบ 1oo4

          เนื่องจากมีการใช้งานฟังก์ชันการป้องกันความดันเกินในรูปแบบนี้กับกระบวนการผลิต จึงทำให้ผู้ควบคุมหน่วยการผลิตนี้มีประสบการณ์การทำงานไม่จริงบ่อยครั้งในแต่ละปี อันเนื่องจากฟังก์ชันการป้องกันทำงานเมื่อเกิดความผิดพลาดบนตัวสวิตช์ความดันเองไม่ได้มีสาเหตุโดยตรงมาจากความผิดปกติของกระบวนการผลิต

ทำให้ผู้ควบคุมการผลิตมีความคุ้นเคยเป็นอย่างมากกับการหยุดทำงานที่บ่อยครั้งและสันนิษฐานเป็นปกติว่าเป็นสาเหตุมาจากสวิตช์ความดันเกิดความผิดพลาด ไม่ได้มาจากความผิดปกติของกระบวนการผลิต จึงไม่ได้ดำเนินการแก้ปัญหาหรือสังเกตเพื่อหาสาเหตุของการหยุดทำงานจากความดันเกิน

เมื่อกระบวนการผลิตหยุดทำงาน ผู้ควบคุมก็จะเริ่มการเดินกระบวนการผลิตอีกครั้งตามปกติ สามารถอธิบายด้วยเหตุผลอย่างเข้าข้างตัวเองได้ว่าถ้าปัญหาจริงเกิดขึ้นจากความดันเกินในกระบวนการผลิตแล้ว หน่วยการผลิตก็จะหยุดทำงานอีกครั้งจากสวิตช์ความดัน

ถ้าในจังหวะหนึ่งเกิดหยุดทำงานจริงแต่ไม่ได้มีการหาเหตุผลหรือทำการแก้ไขปัญหาเพราะอาจคิดว่ามีสาเหตุมาจากเครื่องมือวัดผิดพลาด จึงทำการเริ่มต้นเดินกระบวนการผลิตอีกครั้งเป็นผลลัพธ์ให้เกิดความดันสูงและสวิตช์ความดันทำงาน แต่วาล์วไม่ปิดตามที่ออกแบบไว้ ทำให้ถังเก็บเกิดระเบิดขึ้นมา

          ในตัวอย่างข้างต้นจะเห็นได้ว่าการทำงานไม่จริง เป็นตัวชี้นำผู้ควบคุมให้ละเลยการหยุดทำงาน ซึ่งเป็นต้นเหตุของเหตุการณ์อันตราย ขณะที่ตัวอย่างอาจจะรู้สึกว่ารุนแรง เพราะไม่ใช่เรื่องทั่วไปที่จะเดินไปยังห้องควบคุมและมองเห็นสัญญาณเตือนถูกละเลย หรือถูกตอบรับโดยไม่มีการตรวจสอบเพราะว่าผู้ควบคุมไม่มีความเชื่อมั่นในเครื่องมือวัดทางอุตสาหกรรม การทำงานไม่จริงสามารถส่งผลกระทบถึงความปลอดภัยของระบบสนับสนุนโดยสาเหตุจากผู้ควบคุมละเลยสัญญาณเตือน

นอกเหนือจากนั้น การหยุดจากการทำงานไม่จริงทั้งหมดเป็นผลลัพธ์ในการไปกระตุ้น ระบบนิรภัยอื่น ๆ ดังเช่นระบบหยุดทำงานของหน่วยการผลิตอื่น ๆ หรือการเปิดของวาล์วนิรภัยทางกล (Pressure Relief Valves) มีข้อมูลทางอุตสาหกรรมแสดงให้เห็นว่าเหตุการณ์จะเกิดขึ้นในระหว่างเริ่มเดินกระบวนการผลิตมากกว่าในช่วงการใช้งานปกติ การทำงานไม่จริงเป็นเหตุให้ต้องมีการเริ่มเดินกระบวนการใหม่ ผลที่ตามมานั้นการทำงานไม่จริงไม่ใช่เหตุการณ์กวนประสาทเสมอไป

          จากตัวอย่างจะสามารถแสดงการปรับปรุงโดยใช้มาตรฐานเข้ามาช่วยด้วยการเริ่มต้นจากทำการประเมินความเสี่ยงให้กับกระบวนการผลิตนี้ เพื่อทำการกำหนดค่า SIL ให้กับฟังก์ชันการป้องกันความดันเกิน จากนั้นก็ทำการตรวจสอบค่า SIL ของฟังก์ชันที่มีอยู่ ก็จะทำให้สามารถหาวิธีการปรับปรุงได้อย่างเหมาะสม สมมุติให้ทำการประเมินกระบวนการผลิตตามตัวอย่างแล้วได้ค่า SIL 2 เป็นค่าที่ต้องการสำหรับฟังก์ชันนี้ ต่อไปทำการหาค่า PFDavg (Proability of Failure on Demand Average) ของรูปแบบ 1oo4 โดยกำหนดให้ตัวแปรที่ต้องการมีค่าเป็นดังนี้

          * สวิตช์ความดันมีค่าความผิดพลาดอันตรายหรือ D เท่ากับ 0.01 ครั้งต่อปี 
          * สวิทช์ความดันมีค่าความผิดพลาดนิรภัยหรือ S เท่ากับ 0.01 ครั้งต่อปี 
          * มีค่า TI (Testing Time Interval) หรือการทดสอบการทำงานทุก ๆ 1 ปี 
          * ระยะเวลาในการซ่อมบำรุงอุปกรณ์หรือ MTTR (Mean Time To Repair) ให้กลับมาใช้งานได้เท่ากับ 8 ชั่วโมง
     
          การหาค่าโดยใช้ Simplified Equation จะเป็นดังนี้

         

          จากผลลัพธ์ค่า PFDavg ของส่วนเครื่องมือวัดจะมีค่าที่ต่ำมาก เมื่อเทียบกับค่าที่ต้องการในระดับ SIL 2 จะมีค่า PFDavg อยู่ระหว่าง 1.00E-2 to 1.00E-3 เมื่อนำไปรวมกับค่า PFDavg ของส่วนประมวลผลและวาล์วนิรภัย ก็จะมีผลกระทบต่อค่า PFDavg รวมของฟังก์ชันน้อย ถ้าเทียบกับค่าที่อยู่ในช่วง SIL 2

          ต่อไปจะทำการหาค่าการทำงานไม่จริงหรือ STR (Spurious Trip Rate) การหาค่าโดยใช้ Simplified Equation จะเป็นดังนี้

         

          จากผลลัพธ์ค่าการทำงานไม่จริงที่หาได้ จะเห็นว่ามีค่าการทำงานที่ไม่จริงสูง นั่นคือมีโอกาสที่จะเกิดการทำงานไม่จริงได้สูงตามไปด้วย

          ดังนั้นในการออกแบบสามารถมองหาทางเลือกด้วยการพิจารณาปรับปรุงโดยการเปลี่ยนรูปแบบจาก 1oo4 ไปเป็นรูปแบบ 2oo4 (Two out of Four Voting) ต่อไปดำเนินการหาค่าต่าง ๆ อีกครั้งเพื่อนำมาเปรียบเทียบกันเป็นดังนี้

         

          จากผลลัพธ์ค่า PFDavg ของส่วนเครื่องมือวัดที่ทำการปรับรูปแบบไปเป็น 2oo4 ก็ยังคงมีค่าที่ต่ำ เมื่อเทียบกับค่าที่ต้องการในระดับ SIL 2 จะมีค่า PFDavg อยู่ระหว่าง 1.00E-2 to 1.00E-3 เมื่อนำไปรวมกับค่า PFDavg ของส่วนประมวลผลและวาล์วนิรภัย ก็จะมีผลกระทบต่อค่า PFDavg รวมของฟังก์ชันน้อย ถ้าเทียบกับค่าที่อยู่ในช่วง SIL 2

          ต่อไปจะทำการหาค่าการทำงานไม่จริงหรือ STR (Spurious Trip Rate) การหาค่าโดยใช้ Simplified Equation ในการคำนวณจะพิจารณาตัดค่า MTTR ทิ้งเนื่องจากมีค่าน้อยมากเมื่อเทียบกับอัตราการผิดพลาดของอุปกรณ์ จะได้เป็นดังนี้

         

          จากผลลัพธ์ค่าการทำงานไม่จริงที่หาได้จะเห็นว่ามีค่าการทำงานที่ไม่จริงต่ำมาก นั่นคือมีโอกาสที่จะเกิดการทำงานไม่จริงได้ต่ำ ตามไปด้วย เมื่อพิจารณาค่าที่หาได้จากรูปแบบ 1oo4 ที่เป็นรูปแบบเดิม เมื่อเปรียบเทียบกับรูปแบบ 2oo4 ที่ปรับปรุงใหม่จะเห็นได้ว่ามีข้อดีมากกว่ารูปแบบเดิมในด้านการทำงานที่ไม่จริงและยังค่าความปลอดภัยได้ในระดับที่ต้องการค่า SIL 2 สามารถแสดงตารางเปรียบเทียบได้ดังนี้ 

          ถ้าพิจารณาในด้านค่าใช้จ่ายในการปรับปรุงจะพบว่า รายละเอียดในการปรับปรุงจะไม่ได้มีการเพิ่มเติมอุปกรณ์เข้าไป เพียงแต่ทำการปรับปรุงรูปแบบการทำงานให้มีความเหมาะสมกับความต้องการ สำหรับด้านมูลค่าความเสียหายที่เกิดจากการหยุดการทำงานของกระบวนการผลิตแล้ว จะเห็นได้ว่ามูลค่าจะแตกต่างกันมากหรือน้อย จะขึ้นอยู่กับประเภทของกระบวนการผลิต

เพราะถ้าเป็นกระบวนการผลิตขนาดใหญ่ มูลค่าความเสียหายของผลิตภัณฑ์ที่สูงก็จะทำให้มูลค่าความเสียหายมีค่าสูงมากกว่าค่าใช้จ่ายในการปรับปรุงมาก และอีกประการหนึ่งคือ ถ้ามีการออกแบบไม่เหมาะสมก็จะทำให้ความเชื่อมั่นต่อการหยุดทำงานลดลงไปตลอดการใช้งาน เมื่อพิจารณาเป็นค่าความเสียหายรวมกันหลาย ๆ ครั้งแล้ว อาจจะสูงมาก สำหรับตัวอย่างแผนภาพการทำงานของรูปแบบ 2oo4 แสดงได้ดังรูปที่ 6

รูปที่ 6 แผนภาพการทำงานของรูปแบบ 2oo4

          มาตรฐานสากลในการออกแบบระบบ SIS ไม่ได้เน้นความสำคัญการหยุดทำงานจากการทำงานไม่จริงเพราะว่ามาตรฐานจะให้ความสนใจบนความปลอดภัย การหยุดทำงานไม่จริง จะถูกใช้ตรวจสอบในด้านความเชื่อมั่นในการทำงานของกระบวนการผลิต เมื่อกระบวนการผลิตหยุดทำงานจะไม่ทำให้เกิดผลิตภัณฑ์และไม่สร้างรายได้ อย่างไรก็ตามการหยุดทำงานไม่จริงเป็นสิ่งสำคัญจากมุมมองของความปลอดภัยหรือจากมุมมองทางด้านเศรษฐศาสตร์

          6. ละเลยตัวแปรเกี่ยวกับมนุษย์ (Human Factor)
         
มาตรฐานรับรู้ว่ามนุษย์เป็นส่วนสำคัญในการทำให้ระบบ SIS ประสบผลสำเร็จในการทำงาน การกระทำที่ถูกต้องมีความต้องการจากผู้ที่เกี่ยวข้องทั้งหมดกับสิ่งต่าง ๆ ดังนี้
          * การออกแบบ (Design)
          * การติดตั้ง (Installation)
          * การทดสอบการทำงาน (Commissioning)
          * การใช้งาน (Operation)
          * การซ่อมบำรุง (Maintenance)
          * การตรวจสอบ (Testing)
          * การเปลี่ยนแปลง (Modification)

          การตัดสินใจที่ไม่ถูกต้อง, ผิดพลาดหรือความผิดพลาดจากการออกแบบในช่วงใด ๆ จะเป็นการป้องกันไม่ให้ระบบ SIS ทำงานได้อย่างถูกต้อง ดังตัวอย่างต่อไปนี้

          ถ้าผู้ปฏิบัติการซ่อมบำรุงทำการปรับเทียบเครื่องมือวัดไม่ถูกต้องทำให้จุดทำงาน (Set Point) เปลี่ยนแปลงไปจากการออกแบบ ซึ่งจริง ๆ แล้วจะไม่มีความหมายใดถึงแม้ว่ามีการตรวจสอบให้แน่ใจว่าฟังก์ชันนิรภัยในระบบ SIS มีค่า SIL ได้ตามเป้าหมาย

          ขั้นตอนการบริหารจัดการ (Administrative Procedures) ต้องถูกพัฒนาเพื่อให้แน่ใจว่าความเสี่ยงของมนุษย์ที่ส่งผลกระทบต่อการทำงานของระบบ SIS มีค่าต่ำที่สุด ตัวอย่างของขั้นตอนการบริหารจัดการต้องรวมถึงสิ่งต่าง ๆดังต่อไปนี้

          * รายละเอียดขั้นตอนการตรวจสอบ/ซ่อมบำรุงต้องถูกจัดทำขึ้นจากผู้ปฏิบัติการที่อยู่ในส่วนซ่อมบำรุงโดยเฉพาะ ที่รวมไปถึงขั้นตอนการถอดอุปกรณ์ออกและการตัดระบบ

          * ข้อจำกัดสำหรับการเข้าถึงส่วนประกอบในระบบ SIS รวมไปถึงระดับของการอนุมัติอยู่บนพื้นฐานของการร้องขอในการเข้าถึง

          * ความต้องการในการขออนุมัติสำหรับการ Bypassing ของฟังก์ชันนิรภัยในระบบ SIS รวมไปถึงเวลาในการ Bypassing โดยไม่ต้องมีการขออนุมัติเพิ่มเติม

          * การบริการเปลี่ยนแปลงแก้ไข (Management of Change) สำหรับระบบ SIS

          * การตรวจสอบอย่างอิสระของการปฏิบัติตามขั้นตอนที่เกี่ยวข้องกับการทำงานอย่างปลอดภัย

          ขั้นตอนการบริหารจัดการสิ่งเหล่านี้สามารถลดผลกระทบในการทำงานอย่างประสบความสำเร็จของการติดตั้งระบบ SIS ใด ๆ

          นอกจากนั้นแล้ว ขั้นตอนการบริหารจัดการของผู้ออกแบบระบบต้องมีความรับผิดชอบในการออกแบบให้มีความเสี่ยงที่เกี่ยวกับมนุษย์ที่มีผลกระทบต่อความสมบูรณ์ในการออกแบบให้ต่ำที่สุด ดังตัวอย่างต่อไปนี้

          ผู้ออกแบบได้ทำการพัฒนาออกแบบระบบ SIS ที่ค่า SIL 3 สำหรับฟังก์ชันการป้องกันความดันเกินของระบบท่อส่งขนาดใหญ่ ซึ่งในการออกแบบระบบ SIS ที่ค่า SIL 3 ต้องมีการจัดเตรียมจำนวนอุปกรณ์มากกว่าหนึ่งตัว ดังนั้นตัวแปรที่เกี่ยวข้องกับความผิดพลาดร่วมกันจึงต้องมีการพิจารณา โดยผู้ออกแบบถูกแนะนำว่าระบบ SIS ต้องถูกออกแบบให้มีความเสี่ยงต่อความผิดพลาดร่วม (Common Cause Failure) ต่ำที่สุด

การออกแบบที่ถูกนำเสนอโดยการใช้เครื่องมือวัดความดัน สามตัว ใช้ระบบ Safety PLC แบบมีการสำรองการทำงานและใช้วาล์วนิรภัยสองตัว เนื่องจากมีความเกี่ยวข้องกับความผิดพลาดร่วม เครื่องมือวัดความดันทั้งสามตัว จึงถูกกำหนดให้มาจากผู้ผลิตที่แตกต่างกัน ผู้ออกแบบมีความแน่ใจว่าจะช่วยลดความผิดพลาดร่วมลงได้ เนื่องจากความเสี่ยงจากการผลิตและการผิดพลาดจากการออกแบบเครื่องมือวัดความดัน สามารถแสดงแผนภาพการป้องกันความดันเกินได้ดังรูปที่ 7

รูปที่ 7 แผนภาพการป้องกันความดันเกิน

          การออกแบบดังกล่าวข้างต้นจะถูกมองว่าดีในด้านเอกสาร การประเมินทางตัวเลขถูกจัดเตรียมขึ้นบนเอกสารโดยการวิเคราะห์ความเสี่ยงต่าง ๆ ของอุปกรณ์และมีความเห็นจากหลายฝ่ายตกลงว่าเป็นการออกแบบที่ดี อย่างไรก็ตามการออกแบบในลักษณะดังกล่าวก็ยังเป็นทางเลือกที่ผิด เพราะว่าทุก ๆ ฝ่ายลืมคิดถึงเรื่องที่เกี่ยวกับการซ่อมบำรุงจากแผนกซ่อมบำรุง ซึ่งจะมีตัวแปรของมนุษย์เข้ามาเกี่ยวข้อง

จากการเลือกอุปกรณ์ที่แตกต่างกันจะทำให้มีโอกาสความเป็นไปได้ว่าช่างเทคนิคจากแผนกซ่อมบำรุงจะดำเนินทดสอบและซ่อมบำรุงอย่างไม่ถูกต้องและการซ่อมบำรุงเครื่องมือวัดก็มีค่าใช้จ่ายสูง เพราะว่าในทางปฏิบัติแล้ว ช่างเทคนิคต้องจัดเตรียมเครื่องมือทดสอบถึงสามชุด และมีขั้นตอนการทำงานที่แตกต่างกันถึงสามรูปแบบ วิธีการประเมินความเสี่ยงของการออกแบบในลักษณะนี้ต้องมีการรวมตัวแปรที่เกี่ยวกับมนุษย์นี้เข้าไปด้วย

ถ้าเครื่องมือวัดถูกเลือกจากผู้ผลิตรายเดียว ความเป็นไปได้ที่ว่าช่างเทคนิคจะทดสอบและซ่อมบำรุงเครื่องมือวัดไม่ถูกต้องก็จะลดลงอย่างมาก ถ้าผู้ออกแบบไม่มั่นใจในผลกระทบของความผิดพลาดจากการออกแบบและการผลิตอุปกรณ์เหล่านั้น วิธีการแก้ไขสามารถทำให้ความเสี่ยงประเภทนี้ลดลงได้โดยใช้อุปกรณ์จากผู้ผลิตที่เชื่อถือได้พร้อมกับการรับรองสมรรถนะในการใช้งานจากองค์กรอิสระและดำเนินการทดสอบก่อนจะทำการเริ่มเดินกระบวนการผลิต

          เมื่อการเลือกใช้เครื่องมือวัดที่ต่างชนิดกันอาจจะมีผลกระทบจากตัวแปรเกี่ยวกับมนุษย์แล้ว ยังมีการออกแบบในด้านอื่น ๆ ที่ต้องพิจารณาเพิ่มเติมในการทำให้ค่าความผิดพลาดร่วมมีค่าต่ำที่สุดในการออกแบบ ดังเช่น การแยกจุดต่อกับกระบวนการผลิตเพื่อวัดค่าตัวแปรสำหรับอุปกรณ์ที่ใช้ในระบบ SIS ก็จะสามารถช่วยลดความผิดพลาดร่วมจากการอุดตัดของท่อ Impulse Line ได้และยังจะช่วยลดโอกาสที่จะตัดอุปกรณ์ทั้งสามตัวออกจากระบบในเวลาเดียวซึ่งจะทำให้ระบบ SIS ไม่สามารถทำหน้าที่ได้ในระหว่างการซ่อมบำรุงอุปกรณ์เพียงตัวเดียว

รูปที่ 8 การใช้จุดต่อกระบวนการแยกและร่วมกัน

          นอกจากนั้นในฟังก์ชันนิรภัยที่มีอุปกรณ์มากกว่าหนึ่งตัว การต่อสายไฟจากอุปกรณ์ไปยังส่วนประมวลผล ควรจะต้องมีการแยกออกจากระบบควบคุมพื้นฐาน ส่วนประมวลผลที่เป็นแบบ Safety PLC จะต้องต่อไปยังชุดอินพุต/เอาต์พุตที่ต่างกัน ดังเช่นการใช้เครื่องวัดสามตัวในรูปแบบการลงมติ 2oo3 เครื่องมือวัดตัวแรกควรจะต่อไปยังชุดอินพุต/เอาต์พุตที่หนึ่ง, เครื่องมือวัดตัวที่สองควรจะต่อไปยังชุดอินพุต/เอาต์พุตที่สอง และเครื่องมือวัดตัวสุดท้ายควรจะต่อไปยังชุดอินพุต/เอาต์พุตที่สาม ก็จะช่วยลดโอกาสเกิดความผิดพลาดในชุดอินพุต/เอาต์พุตเพียงหนึ่งชุด ฟังก์ชันนิรภัยก็ยังสามารถทำงานได้

รูปที่ 9 การแยกชุดอินพุต/เอาต์พุตของระบบ SIS

          6.1 ตัวแปรความผิดพลาดของมนุษย์
          ตัวแปรที่เกี่ยวข้องกับความผิดพลาดของมนุษย์จะเป็นตัวแปรที่ทำการประเมินได้ยาก ถ้าระบบใด ๆ ได้ถูกออกแบบมาให้ขึ้นอยู่กับผู้ปฏิบัติการ จะต้องมีข้อควรระวังเป็นดังนี้

          1) อะไรเป็นข้อมูลที่ควรจะต้องจัดเตรียมในการกระตุ้นให้ผู้ปฏิบัติการทำตามภาระหน้าที่

          2) ข้อมูลนี้จะถูกจัดเตรียมอย่างไร

          3) อะไรเป็นข้อมูลสนับสนุนที่ต้องมีการแสดงไว้

          4) บ่อยครั้งเพียงใดที่ผู้ปฏิบัติการถูกคาดหวังว่าจะทำหน้าที่นี้

          5) ภาระหน้าที่นี้จะเป็นข้อปฏิบัติพื้นฐานบางส่วนของการอบรมอีกครั้ง

          6) ความซับซ้อนของความผิดปกติของกระบวนการ
               a)  ผู้ปฏิบัติการจะเข้าใจว่าการกระทำของเขามีผลกระทบอย่างไรกับกระบวนการ

               b) ตัวแปรกระบวนการผลิตมีความสัมพันธ์ซึ่งกันและกันหรือไม่ ดังตัวอย่าง ผู้ปฏิบัติการจะเข้าใจหรือไม่ว่า การเปลี่ยนแปลงอุณหภูมิจะมีผลกระทบต่อความดัน

          7) เหตุการณ์อันตรายขยายตัวมากขึ้นอย่างไร

          8) มีเวลานานเท่าไรสำหรับผู้ปฏิบัติการในการจำแนกว่ามีสถานการณ์เกิดขึ้น ต้องแก้ปัญหาอย่างไรและจัดเตรียมการดำเนินการที่ต้องทำ

          9) มีความเข้าใจอันตรายที่เกี่ยวข้องกับความผิดปกติของกระบวนการ

          10) ผู้ปฏิบัติการทราบว่าเขามีการควบคุมและอำนาจอย่างเพียงพอในการดำเนินการแก้ไขเหตุการณ์

          คำถามเหล่านี้นำไปสู่การตัดสินใจสำคัญในการออกแบบว่าผลกระทบจากความสามารถของผู้ปฏิบัติการในการปฏิบัติงาน การออกแบบให้โรงงานไม่มีความผิดพลาดจากมนุษย์ ต้องมีการพิจารณาความผิดพลาดของมนุษย์ในทุก ๆ ช่วงของการออกแบบ

          6.2 ขอบเขตความปลอดภัย (Safety Margins)
          อุปกรณ์ในโรงงานทุก ๆ ประเภทจะถูกออกแบบไว้ให้ตรงกับรายละเอียดความสมบูรณ์ทางกลที่ถูกกำหนดตามมาตรฐานต่าง ๆ ขอบเขตความปลอดภัยเป็นเหตุผลสำคัญอย่างหนึ่งที่จะถูกเลือกมาสำหรับใช้ในการกำหนดเป็นเงื่อนไขเพื่อดำเนินการหยุดทำงานอย่างปลอดภัยก่อนเกิดความเสียหายต่อส่วนต่าง ๆ ขอบเขตความปลอดภัยจะมีความกว้างมากเท่าไรนั้นจะขึ้นอยู่กับว่าต้องใช้เวลาในการจำแนกอันตรายที่เกิดขึ้นและดำเนินการป้องกันเหตุการณ์อันตรายนานเท่าไร

ถ้าเวลาระหว่างสัญญาณเตือนความดันสูงและการแตกร้าวหรือรั่วไหลของถังมีเพียง 1 นาที จึงไม่มีเหตุผลที่เป็นไปได้ในการคาดหวังให้ผู้ปฏิบัติการสามารถป้องกันเหตุการณ์อันตรายได้ ถ้าการไหลเกินในถังเกิดขึ้นใน 4 ชั่วโมงหลังจากเริ่มต้นสัญญาณเตือน ผู้ปฏิบัติการอาจจะสามารถป้องกันเหตุการณ์อันตรายได้ จุดที่สำคัญในการจำแนกว่าจุดสัญญาณเตือนมีผลกระทบต่อเวลารวมทั้งหมดที่ผู้ปฏิบัติการมีในการตอบสนองต่อสัญญาณเตือน สำหรับเวลานิรภัยของกระบวนการผลิต (Process Safety Time) จะแสดงแผนภาพได้ดังรูปที่ 10


รูปที่ 10 Process Safety Time

          เวลานิรภัยของกระบวนการผลิต (Process Safety Time) เป็นเวลาทั้งหมดที่ผ่านไป ตั้งแต่มีการตรวจจับสภาวะอันตรายได้ จนถึงเวลาที่มีเหตุการณ์ที่ไม่ต้องการเกิดขึ้น เวลาตอบสนองที่ต้องการจากทุกส่วนที่เกี่ยวข้องรวมไปถึงการตอบสนองจากผู้ควบคุมการผลิต ควรจะต้องให้แน่ใจว่าการตอบสนองมีความเร็วเพียงพอที่จะสามารถกระทำให้กระบวนการผลิตไปยังสภาวะนิรภัย (Safe State) เมื่อมีความผิดปกติเกิดขึ้นภายในเวลานิรภัยของกระบวนการผลิต

          6.3 การออกแบบ (Design)
          * เครื่องมือวัดทางอุตสาหกรรม (Instrumentation) ในการออกแบบหรือเลือกใช้เครื่องมือวัดทางอุตสาหกรรมสำหรับการวัดตัวแปรต่าง ๆ จากกระบวนการผลิตควรจะต้องมีการเลือกใช้ให้เหมาะสมกับการวัด เพื่อให้ค่าการวัดที่อ่านได้จากเครื่องมือวัดเหล่านี้มีความถูกต้องแม่นยำสูงและยังสามารถช่วยลดความมีอคติของผู้ปฏิบัติการในการตำหนิสำหรับการอ่านค่าที่ไม่ปกติ การใช้เครื่องมือวัดสำรองในการวัดค่าจากกระบวนการจะช่วยลดปัญหานี้ได้อย่างมาก

          * การวางผัง (Layout) ของอุปกรณ์ในระบบควบคุมหรือเครื่องมือวัดที่ถูกติดตั้งอยู่ในกระบวนการผลิต ในการออกแบบหรือการติดตั้งจะต้องมีการพิจารณาตัวแปรที่เกี่ยวกับความสัมพันธ์ระหว่างมนุษย์กับเครื่องจักรกล (Ergonomics) ถ้าผู้ปฏิบัติการไม่สามารถเข้าถึงวาล์วควบคุมได้ ก็จะไม่สามารถปิดวาล์วด้วยมือได้ การคาดหวังจากผู้ปฏิบัติการต้องมีการพิจารณารวมเข้าไปด้วย ถ้ามีการคาดหวังว่าวาล์ว A จะเป็นตัวที่อยู่ทางซ้ายและวาล์ว B จะเป็นตัวที่อยู่ทางขวา ถ้าไม่ได้เป็นอย่างที่คาดหวัง ต้องมีการติดตั้งป้ายแสดงอย่างชัดเจนและหวังว่าเป็นสิ่งดีที่สุด

          * สัญญาณเตือน (Alarm) ต้องหลีกเลี่ยงสัญญาณเตือนที่อิ่มตัว ไม่ต้องการให้มีสัญญาณเตือนก่อนการหยุดทำงาน (Pre-trip Alarm) ถึง 4 ระดับก่อนการหยุดการทำงานทุกครั้ง ถ้ามีการจัดเตรียมดังกล่าว ผู้ปฏิบัติการจะใช้เวลาทั้งหมดในการยอมรับ (Acknowledge) สัญญาณเตือนแทนที่จะใช้เวลาไปทำการตอบสนองต่อสัญญาณเตือนเหล่านั้น สัญญาณเตือนควรจะอยู่ในตำแหน่งพื้นที่ ๆ ผู้ปฏิบัติการไม่มองข้ามไป สัญญาณเตือนที่เกิดขึ้นบ่อยครั้งต้องมีการประเมิน อาจจะเป็นการตั้งจุดเตือนใกล้กับจุดทำงานในสภาวะปกติหรืออาจจะมีการทำงานใกล้กับจุดจำกัดในการออกแบบ ตัวอย่างแผนภาพการเกิดสัญญาณเตือนแสดงได้ดังรูปที่ 11

รูปที่ 11 แผนภาพการเกิดสัญญาณเตือน

          จากรูปจะเห็นได้ว่าผู้ปฏิบัติงานจะเป็นส่วนจัดการและตอบสนองต่อสัญญาณเตือนทั้งหมดที่เกิดขึ้นจากระบบควบคุม ถ้าการตอบสนองของผู้ปฏิบัติงานมีโอกาสที่จะเกิดความผิดพลาดในการจัดการกับสัญญาณเตือน ดังนั้นค่าความผิดพลาดในการตอบสนองหรือใช้ระยะเวลานานกว่าเวลานิรภัยของกระบวนการผลิตนี้ เมื่อเกิดสภาวะนี้ขึ้นอาจทำให้กระบวนการผลิตเข้าสู่สภาวะวิกฤติ ดังนั้นระบบ SIS ที่ถูกออกแบบอย่างเหมาะสมจะทำการควบคุมกระบวนการผลิตให้เข้าสู่สภาวะปลอดภัย

          * ส่วนติดต่อกับผู้ปฏิบัติการ (Human Machine Interface) จะเป็นส่วนที่ใช้แสดงค่าต่าง ๆ ในกระบวนการผลิตให้กับผู้ปฏิบัติงาน หน่วยแสดงผลจะต้องมีการจัดเตรียมจอแสดงผลที่แยกออกมาสำหรับข้อมูลกระบวนการผลิตที่วิกฤติและสัญญาณเตือน เพื่อเป็นระบบสนับสนุนในการแก้ปัญหาเมื่อมีสาเหตุมาจากความผิดปกติของกระบวนการผลิต การวางผังจอแสดงผลและป้ายชื่อแสดงต้องเป็นไปตามความคาดหวังของผู้ปฏิบัติการ ถ้ามีเครื่องมือวัดอยู่ 3 ตัวคือ PT-A, PT-B และ PT-C เครื่องมือวัดควรจะต้องถูกติดตั้งเรียงลำดับในจอแสดงผลจากซ้ายไปขวาเป็น A, B, C

          6.4 ขั้นตอนการทำงาน (Procedures)
          ในการทำงานต่าง ๆ ให้มีคุณภาพหรือได้ประสิทธิภาพที่ดีนั้น มาตรฐานคุณภาพจะกำหนดให้มีเอกสารที่แสดงขั้นตอนในการทำงานที่ชัดเจน ซึ่งเอกสารเหล่านี้จะเป็นแนวทางให้ผู้ปฏิบัติงานดำเนินการได้อย่างถูกต้องและสอดคล้องกันทุก ๆ ฝ่าย บ่อยครั้งที่เอกสารแสดงขั้นตอนการทำงานในส่วนสนับสนุนต่าง ๆ ไม่ได้แสดงขั้นตอนการทำงานที่เป็นไปตามการดำเนินการจริง อันเนื่องมาจากสาเหตุต่าง ๆ การปรับปรุงในเรื่องการบริหารจัดการทำงานของโรงงานไม่ได้ถูกรวมเข้าไปในขั้นตอนการทำงานที่ถูกเขียนขึ้น

ทำให้ผู้ปฏิบัติการมองว่าขั้นตอนการทำงานที่ถูกจัดเตรียมไว้ เป็นสิ่งที่โบราณไม่ทันสมัยและละเลยที่จะปฏิบัติตามขั้นตอนที่ถูกแสดงอยู่ในเอกสาร นอกจากนั้นขั้นตอนการทำงานอาจจะถูกเขียนขึ้นจากบุคลากรเฉพาะทางและไม่ได้เขียนขึ้นมาจากมุมมองของผู้ปฏิบัติการโดยตรง ดังนั้นข้อมูลที่อยู่บนขั้นตอนการทำงานจึงเป็นการรวบรวมขั้นตอนทางเทคนิคมากกว่า จึงไม่ได้เป็นความเข้าใจได้ง่ายโดยผู้ใช้งาน

          ขั้นตอนการทำงานต้องถูกมองเหมือนรายละเอียดของหน้าที่การทำงาน และต้องประกอบด้วยการกระทำที่ง่ายไม่ซับซ้อน เมื่อเป็นการดำเนินการที่ซับซ้อนหรือต้องใช้เวลาในการทำความเข้าใจมาก จะทำให้ขั้นตอนดังกล่าวถูกละเลยออกไปบางส่วนไปเพื่อทำให้ง่ายลงหรือลดขั้นตอนโดยผู้ใช้งาน ซึ่งขั้นตอนการทำงานที่ดีจะต้องง่ายต่อการอ่านและเรียงเป็นลำดับ

ผู้ปฏิบัติการจะเข้าใจจุดประสงค์ของแต่ละการกระทำและต้องเข้าใจว่าอะไรต้องทำ ถ้าความคาดหวังจากกระบวนการผลิตไม่เกิดขึ้น ขั้นตอนการทำงานไม่ควรจัดเตรียมเฉพาะจุดทำงานแต่ต้องจัดเตรียมว่าอะไรเป็นสิ่งที่ต้องพิจารณาในค่าที่ยอมรับได้ในการทำงาน ขั้นตอนการทำงานต้องปรับให้ทันสมัยและง่ายต่อการแก้ไข ส่วนที่ล้าสมัยต้องถูกแทนที่ ดังนั้นจึงสามารถทำให้ทุกคนใช้งานจากเอกสารเดียวกัน

          6.5 การอบรม (Training)
          การอบรมต้องมีการพิจารณามากกว่าการอบรมให้เฉพาะพนักงานใหม่ การอบรมเป็นการกระทำที่สำคัญในการคงไว้ซึ่งการทำงานอย่างปลอดภัยของโรงงาน ผู้ปฏิบัติการถูกคาดหวังการทำงานจากทักษะพื้นฐาน, กฎระเบียบ และการเรียนรู้ ซึ่งต้องเพิ่มระดับของการอบรมและประสบการณ์

          ผู้ปฏิบัติการต้องเข้าใจผลกระทบที่จะตามมา ถ้ามีการเลือกที่เบี่ยงเบนไปจากขั้นตอนการทำงานที่ยอมรับได้ ดังตัวอย่างต่อไปนี้ ถ้าผู้ปฏิบัติการเลือกที่จะละเลยสัญญาณเตือนและเดินไปสู่ความอันตราย ผู้ปฏิบัติการต้องเข้าใจว่า ความเสี่ยงที่กำลังเผชิญอยู่ ผู้ปฏิบัติการต้องถูกอบรมว่าอะไรที่ต้องทำ ถ้าฟังก์ชันการหยุดอัตโนมัติไม่ทำงาน

          ผู้ปฏิบัติการต้องรับรู้ว่าความปลอดภัยเป็นสิ่งสำคัญกว่าการผลิต ผู้บริหารต้องทำนโยบายให้กระจ่างด้วยการกระทำไม่ใช่เพียงนโยบายตามเอกสารที่แสดงไว้ว่า การทำงานที่ยอมรับได้ของโรงงานเป็นการทำงานที่ปลอดภัย

7. ให้ความสำคัญบนค่าใช้จ่ายการลงทุน (Capital Cost) และไม่ให้ความสำคัญค่าใช้จ่ายในการใช้งาน (Life Cycle Costs)
          ในสมัยอดีตที่ผ่านมาช่วงเวลาเริ่มต้นการประดิษฐ์สิ่งใหม่ ๆ สิ่งที่จำเป็นในการประดิษฐ์จะเป็นความคุ้มค่าทางเศรษฐศาสตร์ แต่ในปัจจุบันการบริหารค่าใช้จ่ายเป็นตัวผลักดันให้เกิดการประดิษฐ์สิ่งใหม่ ๆ สิ่งที่เกี่ยวข้องอย่างมากสำหรับผู้จัดการโครงการ จะเป็นค่าใช้จ่ายในการติดตั้ง

ซึ่งรวมไปถึงค่าใช้จ่ายในการออกแบบและการลงทุนซื้ออุปกรณ์ต่าง ๆ ในการทำให้ได้ถึงการออกแบบที่มีค่าใช้จ่ายอย่างมีประสิทธิภาพวงรอบค่าใช้จ่ายต้องมีการพิจารณา ในการแสดงให้เห็นภาพได้อย่างชัดเจนตัวอย่างของค่าใช้จ่ายที่ควรถูกรวมเข้าไปมีดังนี้

* ค่าใช้จ่ายในการทดสอบ (Testing Cost)
          ค่าใช้จ่ายในการออกแบบระบบ SIS ที่ต่ำที่สุดควรจะเป็นการติดตั้งสวิตช์หนึ่งตัว, รีเลย์ และวาล์วนิรภัยหนึ่งตัว ในระบบ SIS ที่ใช้งานที่ค่า SIL 2 ในรูปแบบนี้ต้องมีความถี่ในการทดสอบการทำงานมากขึ้น ซึ่งสามารถเป็นสาเหตุที่ทำให้ค่าใช้จ่ายของการซ่อมบำรุงสูงขึ้น การลดบุคลากรในการซ่อมบำรุง ทำให้ไม่สามารถทดสอบการทำงานได้บ่อยครั้ง ผลลัพธ์ที่ตามมาจึงทำให้ความสมบูรณ์ของความปลอดภัยต่ำกว่าค่าที่ต้องการ

          ในการปรับปรุงอาจจะทำการเปลี่ยนไปใช้เครื่องมือวัดแบบชาญฉลาด (Smart Transmitter) แทนเครื่องมือวัดแบบสวิตช์, ใช้ระบบประมวลผลแบบ Safety PLC แทนการใช้รีเลย์ ก็จะทำให้ได้คุณสมบัติทางด้านการวินิจฉัยความผิดพลาดเพิ่มขึ้นมา ซึ่งจะส่งผลทำให้ความถี่ในการทดสอบการทำงานลดลง แต่ยังคงได้ความสมบูรณ์ในการทำงานของฟังก์ชันนิรภัยเหมือนกับที่ออกแบบไว้ แต่อาจจะมีค่าใช้จ่ายในการลงทุนเพิ่มขึ้น แต่ค่าใช้จ่ายในการใช้งานจะลดลง

* ค่าใช้จ่ายจากการทำงานไม่จริง (Nuisance Trip Cost)
          การทำงานไม่จริงเป็นการทำงานมาจากความผิดพลาดของระบบ SIS เองโดยไม่ได้เกิดมาจากความผิดปกติจากกระบวนการผลิต เนื่องจากระบบ SIS ถูกออกแบบมาเพื่อทำให้โรงงานอุตสาหกรรมมีความปลอดภัยจากเหตุการณ์อันตรายต่าง ๆ ดังนั้นการทำงานของระบบส่วนใหญ่จะทำให้กระบวนการผลิตหยุดทำงานเพื่อความปลอดภัย

แต่ถ้าพิจารณาในแง่ของการผลิตแล้ว ถ้ากระบวนการผลิตหยุดทำงานก็จะไม่มีผลิตภัณฑ์จากกระบวนการหรือทำให้สูญเสียรายได้ไป ถ้าระบบเกิดการทำงานไม่จริงบ่อยครั้งมากเพียงใด ก็จะทำให้เกิดความสูญเสียรายได้มากขึ้นตามไปด้วย การออกแบบระบบที่ดีจึงต้องพิจารณาให้เกิดความสมดุลทั้งสองด้าน ดังตัวอย่างในโรงงานอุตสาหกรรม Ethylene การหยุดการทำงานของกระบวนการผลิตจะมีค่าใช้จ่ายอยู่ประมาณ 500,000 USD

ผลลัพธ์ส่วนใหญ่จะมาจากการสูญเสียผลิตภัณฑ์และช่วงเวลาในการหยุดทำงาน ถ้าในการออกแบบระบบ SIS ในตอนเริ่มต้นมีการเลือกใช้รูปแบบที่มีค่าใช้จ่ายต่ำสุด เพื่อลดค่าใช้จ่ายในการติดตั้งเริ่มต้น ซึ่งรูปแบบที่เลือกใช้อาจจะมีค่าอัตราการทำงานไม่จริงสูง ถ้าเกิดการทำงานไม่จริงขึ้นหนึ่งครั้งก็จะเสียค่าใช้จ่ายที่เพียงพอสำหรับนำไปเป็นค่าใช้จ่ายในการลงทุนเริ่มต้น สำหรับการออกแบบที่เหมาะสมเพื่อให้อัตราการทำงานไม่จริงต่ำลงได้

          ดังนั้นในการออกแบบควรจะพิจารณาค่าใช้จ่ายให้ครบทุกด้านก่อนจะทำการเลือกระบบในรูปแบบใด สำหรับตัวอย่างการทำงานไม่จริงได้แสดงให้เห็นในหัวข้อที่ผ่านมา

* ค่าใช้จ่ายในการทดสอบการทำงานและการเปลี่ยนแปลง (Commissioning and Modification Cost)
          การพิจารณาใช้ระบบ SIS ที่เป็นแบบรีเลย์นั้นสามารถทำให้ค่าใช้จ่ายในการติดตั้งเริ่มต้นมีค่าต่ำ ถ้าพิจารณาเฉพาะการออกแบบและการติดตั้ง อย่างไรก็ตามยังมีค่าใช้จ่ายในภายหลังจากที่ระบบได้เข้าสู่ช่วงการใช้งานจริง นั่นคือค่าใช้จ่ายในการทดสอบการทำงานจะมีค่าใช้จ่ายสูงสำหรับการใช้ระบบรีเลย์เมื่อเทียบกับการใช้งาน Safety PLC

นอกจากนั้นค่าใช้จ่ายในการเปลี่ยนแปลงหรือปรับปรุงระบบรีเลย์ จะมีค่าใช้จ่ายสูงมากกว่าการใช้ Safety PLC ดังตัวอย่างเช่น ถ้าระบบ SIS ใช้เครื่องมือวัดในรูปแบบ 1oo2 สำหรับเป็นอินพุตให้กับฟังก์ชันนิรภัยและต้องการจะเพิ่มเครื่องมือวัดตัวที่สามเข้าไป ค่าใช้จ่ายในการเปลี่ยนแปลงที่เกี่ยวข้องกับการเพิ่มโปรแกรมใน Safety PLC จะต่ำกว่าการเปลี่ยนแปลงในระบบรีเลย์ หรือแม้กระทั่งการเพิ่มเติมฟังก์ชันนิรภัยใหม่ ๆ เข้าไปในภายหลัง

          ค่าใช้จ่ายที่เกี่ยวข้องกับขั้นตอนการออกแบบและเลือกใช้ระบบ SIS ในการลดความเสี่ยงให้กับกระบวนการผลิตที่ออกแบบ ควรจะถูกพิจารณาให้ละเอียด ว่าระบบในรูปแบบใดจะมีความเหมาะสมทั้งในขั้นตอนการจัดหาอุปกรณ์เพื่อนำมาประกอบกับระบบ, การทดสอบการทำงานและการใช้งานในระยะเวลาที่ยาวนาน

สรุป
          ข้อกำหนดและกฎหมายควบคุมทางสังคมเป็นสิ่งที่ผลักดันให้วงการอุตสาหกรรมต่าง ๆ ได้รับรู้ถึงความต้องการจากสังคมในด้านความปลอดภัย เพื่อทำให้อุตสาหกรรมต่าง ๆ ต้องทำให้การออกแบบหรือก่อสร้างโรงงานอุตสาหกรรมต้องดำเนินการให้มีความเสี่ยงต่อชุมชนหรือสังคมที่เกี่ยวข้องต่ำที่สุด

ขั้นแรกของการออกแบบหรือก่อสร้างโรงงานอุตสาหกรรมเป็นการออกแบบระบบ SIS ที่ถูกพัฒนาขึ้นมาจากมาตรฐาน การเกี่ยวข้องที่เชื่อมโยงกันระหว่างความเสี่ยงของกระบวนการผลิตและสมรรถนะของระบบ SIS ที่ต้องการเป็นสิ่งที่ต้องจัดเตรียมให้มีความเหมาะสมในทุก ๆ ด้าน ในการออกแบบมีข้อปฏิบัติต่าง ๆ ที่ให้ผู้ออกแบบดำเนินการตามที่กำหนด

ซึ่งอาจจะมีการดำเนินการบางอย่างที่ได้ปฏิบัติกันมาอย่างยาวนานในการออกแบบ เป็นทั้งข้อปฏิบัติทางวิศวกรรมที่ถูกต้องและไม่ถูกต้องตามมาตรฐาน อาจเนื่องมาจากในสมัยก่อน ๆ ยังไม่มีมาตรฐานหรือข้อกำหนดที่เป็นแนวทางให้ปฏิบัติอย่างชัดเจน เหมือนกับในปัจจุบัน เนื่องจากมาตรฐานเป็นสิ่งที่ทุก ๆ ฝ่ายยอมรับที่จะปฏิบัติตาม

ดังนั้นข้อกำหนดต่าง ๆ ที่ถูกแสดงอยู่ในมาตรฐานควรจะต้องมีการปฏิบัติตาม ซึ่งรวมไปถึงข้อปฏิบัติทางวิศวกรรมที่ดีและต้องไม่ขัดแย้งกับข้อกำหนดในมาตรฐานก็ควรที่ต้องพิจารณาในการออกแบบระบบ SIS เมื่อปฏิบัติตามดังกล่าวแล้วก็จะทำให้ระบบที่ออกแบบสอดคล้องกับการใช้งานและที่สำคัญยังเป็นไปตามข้อกำหนดของมาตรฐานสากล ผลลัพธ์ที่ได้ก็จะมีความเชื่อมั่นในการนำไปใช้จากทุก ๆ ฝ่ายที่เกี่ยวข้อง

เอกสารอ้างอิง
          [1] Lees, Frank P., “Loss Prevention in the Process Industries,” 2nd Edition, Butterworth-Heinemann, John Hill, Oxford (1996)

          [2] UK Health and Safety Executive (HSE), “Out of Control” study, Published, 1995. 

          [3] ISA TR84.00.02-2002 Part 2: Determining the SIL of a SIF via Simplified Equations

          [4] IEC 61511, Functional safety-safety instrumented system for the process industry sector

          [5] Angela A. Summers,” Avoid Bad engineering practice in safety instrumented system design, Intech, November, 1999.

          [6] ทวิช ชูเมือง, ระบบวัดคุมนิรภัยในอุตสาหกรรมกระบวนการผลิต, ISBN 974-212-172-9, บริษัท ซีเอ็ดยูเคชั่น จำกัด (มหาชน), 2548.

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด