أنظمة الأمان الآلية SIS: الحماية من الكوارث
ما هي أنظمة السلامة المؤتمتة SIS؟
تخيّل مفاعلاً كيميائياً يعمل عند ضغط 15 بار. نظام التحكم العادي (DCS/PLC) يحافظ على الضغط ضمن 12-15 بار. لكن ماذا لو فشل نظام التحكم؟ ماذا لو ارتفع الضغط إلى 20 بار واقترب من حد الانفجار؟
هنا يتدخل نظام السلامة المؤتمت (Safety Instrumented System - SIS) — نظام مستقل تماماً عن نظام التحكم، مهمته الوحيدة هي منع الكارثة. لا يتحكم بالعملية — فقط يُوقفها عندما تصبح خطيرة.
الفرق بين نظام التحكم ونظام السلامة
| الخاصية | نظام التحكم (BPCS) | نظام السلامة (SIS) |
|---|---|---|
| المهمة | تشغيل العملية بكفاءة | منع الحوادث الكارثية |
| متى يعمل | طوال الوقت | فقط عند الطوارئ |
| يمكن تجاوزه؟ | نعم (بإذن المشغّل) | لا (إلا بإجراءات صارمة موثقة) |
| فشله يعني | انحراف في الإنتاج | خطر على الأرواح والبيئة |
| الاستقلالية | يمكن أن يشترك بحساسات | مستقل بالكامل (حساسات + تحكم + تنفيذ) |
| المعيار | IEC 62443 / ISA-95 | IEC 61508 / IEC 61511 |
القاعدة الذهبية: نظام التحكم ونظام السلامة يجب أن يكونا مستقلين تماماً. لا يجوز أن يشتركا بنفس المعالج أو نفس الحساس أو نفس مصدر الطاقة.
مستويات سلامة SIL
SIL (Safety Integrity Level) هو مقياس مدى موثوقية نظام السلامة. كلما ارتفع المستوى، قلّ احتمال فشل النظام عند الحاجة.
| المستوى | احتمال الفشل عند الطلب (PFDavg) | تخفيض المخاطر | مثال تطبيقي |
|---|---|---|---|
| SIL 1 | 0.1 إلى 0.01 (10% إلى 1%) | 10x إلى 100x | إنذار ارتفاع مستوى خزان |
| SIL 2 | 0.01 إلى 0.001 (1% إلى 0.1%) | 100x إلى 1000x | إيقاف طوارئ لمضخة نقل مواد خطرة |
| SIL 3 | 0.001 إلى 0.0001 (0.1% إلى 0.01%) | 1000x إلى 10000x | نظام إيقاف مفاعل كيميائي |
| SIL 4 | 0.0001 إلى 0.00001 | 10000x إلى 100000x | أنظمة نووية (نادر جداً في الصناعة) |
ملاحظة مهمة: معظم التطبيقات الصناعية تقع في SIL 1 و SIL 2. نظام SIL 3 يحتاج تصميماً معقداً ومكلفاً. SIL 4 لا يكاد يُستخدم خارج القطاع النووي.
المعايير الدولية
IEC 61508 — المعيار الأم
المعيار العام للسلامة الوظيفية في كل القطاعات. يُحدد:
- دورة حياة السلامة كاملة (من التحليل إلى إيقاف التشغيل)
- متطلبات الأجهزة والبرمجيات
- طرق حساب احتمال الفشل
IEC 61511 — المعيار الصناعي
التطبيق الصناعي لـ IEC 61508، مخصص لصناعات العمليات (نفط، غاز، كيماويات، أدوية). يُسمى في أمريكا ISA 84.
أهم الفروقات:
- يسمح باستخدام أجهزة مثبتة الكفاءة (Proven in Use) بدون شهادة SIL
- يُركز على التطبيق الميداني لا على تصميم الأجهزة
- يتطلب تحليل مخاطر وتحديد SIL قبل التصميم
دورة حياة السلامة
IEC 61511 يُحدد دورة حياة من 16 مرحلة. المراحل الرئيسية:
1. تحليل المخاطر (Hazard Analysis)
تحديد السيناريوهات الخطرة: ماذا يمكن أن يحدث؟ ما هي العواقب؟ ما هو الاحتمال؟
الأدوات الشائعة:
- HAZOP (Hazard and Operability Study): الأكثر استخداماً — فريق متعدد التخصصات يفحص كل انحراف ممكن
- What-If Analysis: تحليل أبسط للعمليات الأقل تعقيداً
- FMEA (Failure Mode and Effects Analysis): تحليل أنماط الفشل وتأثيراتها
2. تحديد مستوى SIL
بعد تحديد المخاطر، نُحدد مستوى SIL المطلوب لكل دالة سلامة (SIF).
طرق التحديد:
مصفوفة المخاطر (Risk Matrix):
| عواقب طفيفة | عواقب جسيمة | عواقب كارثية | |
|---|---|---|---|
| احتمال عالي | SIL 1 | SIL 2 | SIL 3 |
| احتمال متوسط | لا يحتاج SIS | SIL 1 | SIL 2 |
| احتمال منخفض | لا يحتاج SIS | لا يحتاج SIS | SIL 1 |
طريقة طبقات الحماية (LOPA - Layer of Protection Analysis): أكثر دقة من مصفوفة المخاطر. تحسب الخطر المتبقي بعد كل طبقة حماية (تصميم العملية، نظام التحكم، إنذارات، تدخل المشغّل) وتحدد ما إذا كنا نحتاج SIS وأي مستوى SIL.
3. التصميم والتنفيذ
تصميم دوال السلامة (SIF) بأجهزة تحقق مستوى SIL المطلوب:
- اختيار الحساسات والمنطق والعناصر النهائية
- حساب PFDavg والتأكد من تحقيق SIL
- تصميم البنية (1oo1, 1oo2, 2oo3)
4. التشغيل والصيانة
- اختبار دوري لدوال السلامة (Proof Testing)
- إدارة التجاوزات (Bypasses)
- تدريب المشغّلين
5. إيقاف التشغيل والتعديل
أي تغيير يحتاج تحليل أثره على السلامة (Management of Change - MOC).
نظام الإيقاف الطارئ ESD
ESD (Emergency Shutdown System) هو أشهر تطبيق لـ SIS. مهمته إيقاف العملية بشكل آمن عند اكتشاف خطر.
مستويات الإيقاف الطارئ
| المستوى | الاسم | الإجراء |
|---|---|---|
| ESD-0 | إيقاف المصنع الكامل | إيقاف كل شيء — آخر ملاذ |
| ESD-1 | إيقاف وحدة العمليات | إيقاف وحدة كاملة (مثلاً: وحدة التقطير) |
| ESD-2 | إيقاف معدة | إيقاف معدة واحدة (مثلاً: ضاغط) |
| ESD-3 | عزل جزئي | إغلاق صمام واحد |
مثال عملي: في منشأة نفطية، إذا اكتشف حساس الغاز تسرباً:
- ESD-3: يُغلق صمام المصدر
- إذا لم يتوقف التسرب: ESD-2: يُوقف الوحدة المعنية
- إذا تفاقم: ESD-1: يُوقف المنطقة بالكامل
- أسوأ سيناريو: ESD-0: إخلاء وإيقاف كامل
صمامات السلامة
العنصر النهائي الأكثر شيوعاً في SIS هو صمام الإغلاق الطارئ (ESD Valve).
أنواع الفشل الآمن
| نوع الفشل | الاختصار | السلوك عند فقدان الإشارة/الهواء |
|---|---|---|
| فشل بالإغلاق | FC (Fail Close) | الصمام يُغلق — يمنع التدفق |
| فشل بالفتح | FO (Fail Open) | الصمام يفتح — يُطلق الضغط |
| فشل بالبقاء | FL (Fail Last) | الصمام يبقى في موضعه — نادر في السلامة |
القاعدة: اختر نوع الفشل الذي يُحقق الحالة الآمنة. صمام تغذية مفاعل؟ FC (أوقف التغذية). صمام تنفيس؟ FO (افتح للتنفيس).
اختبار صمام جزئي (Partial Stroke Test - PST)
بدلاً من إغلاق الصمام كاملاً (يوقف الإنتاج)، يُحرَّك الصمام 10-20% من مشواره للتأكد من عدم التصاقه. يُمكن تنفيذه أثناء التشغيل ويزيد من موثوقية SIF بشكل كبير.
الاختبار الدوري (Proof Testing)
أخطر أنواع الفشل في SIS هو الفشل الخفي (Dangerous Undetected - DU) — فشل لا يُكتشف إلا عند الحاجة الفعلية للنظام.
الاختبار الدوري يكشف هذه الأعطال قبل أن تصبح خطيرة:
| نوع الاختبار | التغطية | التردد |
|---|---|---|
| اختبار جزئي تلقائي (PST) | 60-70% | شهري |
| اختبار كامل يدوي | 90-95% | سنوي أو نصف سنوي |
| اختبار شامل مع تفكيك | ~100% | كل 5-10 سنوات |
فترة الاختبار تؤثر مباشرة على PFDavg:
PFDavg ≈ λDU × T / 2
حيث λDU = معدل الفشل الخفي الخطير، T = فترة الاختبار.
مضاعفة فترة الاختبار تُضاعف PFDavg — أي تُنصّف الموثوقية. لذلك الالتزام بجدول الاختبار ليس اختيارياً.
البنى المعمارية
لتحقيق مستويات SIL عالية، نستخدم بنى تكرارية:
| البنية | الوصف | التطبيق |
|---|---|---|
| 1oo1 | عنصر واحد | SIL 1 — أبسط بنية |
| 1oo2 | عنصران، أي واحد يكفي للتنفيذ | SIL 2-3 — موثوقية عالية |
| 2oo3 | ثلاثة عناصر، أغلبية 2 من 3 تُقرر | SIL 3 — موثوقية + متانة ضد الإيقاف الخاطئ |
| 2oo4 | أربعة عناصر، 2 من 4 | SIL 3-4 — مصافي نفط ومنشآت كبرى |
1oo2 تعني: عنصر واحد من اثنين يكفي لتنفيذ الإجراء الآمن. إذا فشل أحدهما، الآخر يعمل.
2oo3 تعني: اثنان من ثلاثة يجب أن يتفقا. هذا يمنع الإيقاف الخاطئ (Spurious Trip) مع الحفاظ على موثوقية السلامة.
تحليل المخاطر وتحديد SIL — مثال عملي
السيناريو: خزان تخزين مادة كيميائية قابلة للاشتعال. خطر الفيضان والتسرب.
الخطوة 1: تحديد الخطر (HAZOP)
- انحراف: مستوى عالي في الخزان
- السبب: فشل صمام التغذية بالفتح
- العاقبة: فيضان ← تسرب مادة قابلة للاشتعال ← حريق محتمل
الخطوة 2: LOPA
- تردد الحادث البادئ: مرة كل 10 سنوات (0.1/سنة)
- طبقات الحماية الموجودة:
- إنذار مستوى عالي + تدخل مشغّل: تخفيض 10x
- حوض احتواء: تخفيض 10x
- الخطر المتبقي: 0.1 / (10 × 10) = 0.001/سنة
- الخطر المقبول: 0.0001/سنة
- تخفيض مطلوب من SIS: 0.001 / 0.0001 = 10 → SIL 1
الخطوة 3: تصميم SIF
- حساس مستوى عالي-عالي (LSHH) مستقل
- منطق سلامة (Safety PLC)
- صمام إغلاق طارئ (ESD Valve) على خط التغذية — Fail Close
خلاصة
أنظمة السلامة المؤتمتة هي خط الدفاع الأخير بين التشغيل الطبيعي والكارثة. فهم مستويات SIL، والالتزام بمعايير IEC 61508/61511، وتنفيذ الاختبارات الدورية بدقة — كلها ليست ترفاً أو بيروقراطية، بل ضرورة حياتية. في السلامة الصناعية، لا مجال للتسويات.