Khi một van phải đóng (hoặc mở) để đưa quá trình về trạng thái an toàn trong tình huống sự cố, độ tin cậy của bộ truyền động điện (actuator) không còn là vấn đề “chạy được hay không” mà trở thành con số xác suất phải chứng minh được. Đó chính là lý do tiêu chuẩn IEC 61508 ra đời và khái niệm SIL (Safety Integrity Level) trở thành ngôn ngữ chung giữa nhà thiết kế, EPC và nhà cung cấp thiết bị. Bài viết này giải thích SIL theo cách kỹ sư nhà máy Việt Nam có thể dùng ngay khi đánh giá một actuator hay van an toàn, để chọn đúng thay vì chọn theo cảm tính.
⚡ Trả lời nhanh
SIL theo IEC 61508 là thước đo mức giảm rủi ro của một chức năng an toàn, chia 4 cấp (SIL 1 đến SIL 4) tương ứng xác suất hỏng khi có yêu cầu (PFDavg) từ 10⁻¹ xuống 10⁻⁵. Một actuator hay van riêng lẻ không có “SIL rating” mà chỉ được đánh giá là “phù hợp với SIL” (SIL-capable) dựa trên dữ liệu FMEDA: tỷ lệ hỏng nguy hiểm không phát hiện (λDU), tỷ lệ hỏng an toàn (SFF) và khả năng fail-safe. Để chọn đúng, hãy xác định cấp SIL của vòng SIF, yêu cầu chứng chỉ IEC 61508 kèm dữ liệu λDU, ưu tiên cơ chế de-energize-to-trip (lò xo hồi vị hoặc dự phòng năng lượng) và lên kế hoạch proof test theo chu kỳ.
IEC 61508, SIS, SIF và SIL: Bốn khái niệm phải tách bạch
Rất nhiều nhầm lẫn khi mua actuator xuất phát từ việc gộp bốn khái niệm này làm một. IEC 61508 là tiêu chuẩn nền về an toàn chức năng cho hệ thống điện, điện tử, điện tử khả trình (E/E/PE), bao trùm toàn bộ vòng đời từ cảm biến, bộ giải logic đến cơ cấu chấp hành cuối.
- SIS (Safety Instrumented System) — hệ thống dụng cụ an toàn, giám sát thông số quá trình và đưa thiết bị về trạng thái an toàn khi cần. SIS hoạt động độc lập với hệ điều khiển quá trình cơ bản (BPCS) để tránh hỏng do nguyên nhân chung.
- SIF (Safety Instrumented Function) — một chức năng an toàn cụ thể bên trong SIS, ví dụ “đóng van xả khi áp suất vượt ngưỡng”. Mỗi SIF gồm cảm biến đầu vào, logic biểu quyết, cơ cấu chấp hành cuối và thời gian đáp ứng yêu cầu.
- SIL — mức toàn vẹn an toàn được gán cho từng SIF, định lượng độ tin cậy bắt buộc của chức năng đó.
Điểm mấu chốt: SIL gán cho cả vòng SIF, không gán cho một van. Actuator và van là cơ cấu chấp hành cuối (final element) — và theo các phân tích thực tế, final element thường chiếm phần lớn giá trị PFDavg của cả vòng. Nói cách khác, chọn sai actuator có thể kéo tụt cấp SIL của toàn bộ thiết kế dù cảm biến và PLC an toàn đều tốt.
Bảng cấp SIL: PFDavg và hệ số giảm rủi ro
SIL được định lượng qua PFDavg (Average Probability of Failure on Demand) — xác suất chức năng an toàn hỏng đúng lúc cần kích hoạt — cùng hệ số giảm rủi ro RRF tương ứng (đối với chế độ low-demand phổ biến trong công nghiệp quá trình):
| Cấp SIL | PFDavg (chế độ low-demand) | Hệ số giảm rủi ro (RRF) |
|---|---|---|
| SIL 1 | ≥ 10⁻² đến < 10⁻¹ | 10 – 100 |
| SIL 2 | ≥ 10⁻³ đến < 10⁻² | 100 – 1.000 |
| SIL 3 | ≥ 10⁻⁴ đến < 10⁻³ | 1.000 – 10.000 |
| SIL 4 | ≥ 10⁻⁵ đến < 10⁻⁴ | 10.000 – 100.000 |
Cách đọc đơn giản: SIL càng cao thì xác suất hỏng khi có yêu cầu càng nhỏ, đồng nghĩa yêu cầu thiết kế càng nghiêm ngặt. Trong công nghiệp quá trình tại Việt Nam (lọc hóa dầu, hóa chất, khí), SIL 1 đến SIL 3 là dải gặp tối đa; SIL 4 hiếm và gần như chỉ xuất hiện ở các ứng dụng đặc thù.
Tại sao actuator không có “SIL rating” mà chỉ “SIL-capable”
Đây là điểm dễ bị nhà cung cấp diễn giải mơ hồ. Một actuator hay thân van là thiết bị cơ khí, gần như không có khả năng tự chẩn đoán lỗi. Theo IEC 61508 phần 2, với độ chịu lỗi phần cứng HFT (Hardware Fault Tolerance) bằng 0, một thiết bị như vậy theo cấu hình đơn lẻ thường chỉ đạt tới SIL 1. Vì thế, đúng thuật ngữ phải là thiết bị “phù hợp với SIL” (SIL-capable / SIL-suitable), không phải “được chứng nhận SIL”.
Để khẳng định mức phù hợp, nhà sản xuất phải cung cấp dữ liệu từ FMEDA (Failure Mode, Effects and Diagnostic Analysis), gồm các tỷ lệ hỏng:
- λDU — tỷ lệ hỏng nguy hiểm không phát hiện được. Đây là con số quan trọng trong tính toán PFDavg, vì lỗi loại này âm thầm tích lũy đến khi proof test mới lộ ra.
- λDD — hỏng nguy hiểm có phát hiện; λSD/λSU — hỏng an toàn có/không phát hiện.
- SFF (Safe Failure Fraction) — tỷ lệ hỏng an toàn, suy ra từ các λ trên, dùng để xác định mức năng lực phần cứng tối đa của thiết bị.
Muốn nâng một van/actuator lên trên SIL 1, kỹ sư có hai hướng quen thuộc: tăng độ chịu lỗi bằng kiến trúc dự phòng, hoặc tăng độ phủ chẩn đoán bằng bộ điều khiển van số có khả năng partial stroke test (PST) — kiểm tra hành trình một phần — để nâng SFF mà không cần dừng van toàn bộ.
Fail-safe, kiến trúc dự phòng và proof test
Ba yếu tố quyết định một actuator có “đứng vững” trong vòng SIF hay không, ngoài bảng số liệu FMEDA.
Cơ chế fail-safe (de-energize-to-trip)
Nguyên tắc an toàn cốt lõi: khi mất nguồn hay mất tín hiệu, thiết bị phải tự chuyển về trạng thái an toàn. Hai cách phổ biến là de-energize-to-trip (mất điện thì kích hoạt) và actuator lò xo hồi vị / kèm nguồn năng lượng dự phòng để tự đóng (fail-close) hoặc tự mở (fail-open) theo thiết kế. Khi chọn actuator điện cho SIF, cần xác định rõ trạng thái fail-safe mong muốn và cơ chế nào bảo đảm được trạng thái đó khi mất điện lưới. Chủ đề này được phân tích sâu hơn trong bài về actuator fail-close và ESD cho van an toàn đóng khẩn cấp.
Kiến trúc biểu quyết (1oo1, 1oo2, 2oo3)
Cấu hình 1oo1 (một-trên-một) đơn giản, đáp ứng nhanh nhưng độ tin cậy thấp, thường gắn với SIL 1. 1oo2 tăng độ sẵn sàng và giảm trip giả. 2oo3 hay dùng cho SIL 3 vì cho phép một kênh hỏng mà vẫn giữ chức năng an toàn. Phía final element, dự phòng actuator/van cũng theo logic tương tự để hạ PFDavg của nhánh chiếm tỷ trọng tối đa.
Proof test theo chu kỳ
Vì λDU là lỗi ẩn, proof test định kỳ là cách duy phát hiện chúng. Chu kỳ proof test (kèm full stroke test) đưa trực tiếp vào công thức PFDavg: test càng dày, PFDavg càng thấp và cấp SIL càng dễ duy trì. Đây là điểm các nhà máy Việt Nam hay bỏ sót — mua đúng thiết bị nhưng không lập kế hoạch proof test, khiến cấp SIL “trên giấy” không còn đúng sau vài năm vận hành.
ENERTORK trong vai trò cơ cấu chấp hành cuối
ENERTORK là nhà sản xuất actuator điện tại Hàn Quốc, thành lập năm 1987, tập trung chuyên về bộ truyền động điện. Dải sản phẩm gồm dòng TM (multi-turn) cho van cổng, van cầu; dòng TQ (quarter-turn) cho van bi, van bướm, van côn và damper; dòng TX tích hợp điều khiển fieldbus và ghi dữ liệu; cùng dòng LTMD-Q phát triển cho nhà máy điện hạt nhân. Hãng công bố đạt chứng chỉ SIL (từ 2016) và Class 1E cho ứng dụng hạt nhân, bên cạnh các chứng nhận chống cháy nổ Exd và cấp bảo vệ IP68 theo IEC 60529.
Với một nhà máy đang quy hoạch vòng SIF, điều quan trọng không phải là nhãn “có SIL” mà là yêu cầu nhà cung cấp xuất trình đúng tài liệu: chứng chỉ IEC 61508, báo cáo FMEDA kèm λDU và SFF cho đúng model, mô tả cơ chế fail-safe và khuyến nghị chu kỳ proof test. Đội kỹ thuật của MVT hỗ trợ đối chiếu dữ liệu này với cấp SIL mục tiêu của từng vòng, đồng thời tư vấn cấu hình ESD và fail-action phù hợp môi trường lắp đặt — chi tiết năng lực kỹ thuật xem tại trang năng lực của MVT, và toàn bộ dòng actuator ENERTORK có thể tham khảo tại trang sản phẩm ENERTORK.
Câu Hỏi Thường Gặp (FAQ)
SIL của một actuator và SIL của vòng SIF khác nhau thế nào?
SIL chỉ gán cho cả vòng SIF gồm cảm biến, bộ giải logic và cơ cấu chấp hành cuối. Một actuator riêng lẻ chỉ được đánh giá là “phù hợp với SIL” (SIL-capable) dựa trên dữ liệu FMEDA, chứ không tự mang một cấp SIL độc lập. Khi tính cấp SIL đạt được, phải cộng gộp đóng góp PFDavg của cả ba khối.
λDU là gì và vì sao quan trọng?
λDU là tỷ lệ hỏng nguy hiểm không phát hiện được — lỗi khiến thiết bị không thực hiện được chức năng an toàn nhưng hệ thống không hề biết. Đây là thông số chi phối lớn tới PFDavg, nên khi đánh giá actuator an toàn, nên yêu cầu giá trị λDU của đúng model thay vì chỉ nhận lời khẳng định “đạt SIL”.
De-energize-to-trip nghĩa là gì?
Đó là nguyên tắc thiết kế trong đó việc mất nguồn hoặc mất tín hiệu sẽ tự kích hoạt hành động an toàn, thay vì cần cấp điện mới hoạt động. Với actuator, điều này thường đi kèm cơ chế lò xo hồi vị hoặc nguồn năng lượng dự phòng để van tự về trạng thái fail-close hoặc fail-open khi sự cố.
Có cần SIL rating cho mọi van trong nhà máy không?
Không. Yêu cầu phù hợp SIL chỉ áp dụng khi van/actuator đóng vai trò final element trong một vòng SIF. Van điều khiển thuần túy trong hệ BPCS không bắt buộc chứng nhận SIL, dù dữ liệu độ tin cậy vẫn có thể được yêu cầu để tham khảo.
Proof test có làm thay đổi cấp SIL không?
Có. Chu kỳ proof test đi trực tiếp vào công thức tính PFDavg: kiểm tra càng đều, các lỗi ẩn (λDU) càng sớm được phát hiện, PFDavg càng thấp và cấp SIL càng được duy trì đúng theo thiết kế. Bỏ proof test đồng nghĩa cấp SIL thực tế suy giảm theo thời gian.
Kết Luận
SIL theo IEC 61508 không phải một con dấu để dán lên catalogue mà là kết quả của một chuỗi dữ liệu định lượng: PFDavg của cả vòng SIF, λDU và SFF của từng thiết bị, kiến trúc dự phòng và kế hoạch proof test. Khi chọn actuator hay van an toàn, hãy bắt đầu từ cấp SIL mục tiêu của vòng SIF, sau đó yêu cầu đúng tài liệu FMEDA và chứng chỉ IEC 61508, xác định rõ trạng thái fail-safe và lập lịch proof test ngay từ giai đoạn thiết kế. Cách tiếp cận này giúp nhà máy Việt Nam tránh được hai sai lầm phổ biến: hiểu sai “SIL-capable” thành “đã đạt SIL”, và mua đúng thiết bị nhưng vận hành sai khiến cấp an toàn tụt dần.
CẦN CHỌN ACTUATOR PHÙ HỢP CẤP SIL CHO VÒNG SIF?
Đội kỹ thuật MVT đối chiếu dữ liệu FMEDA, λDU và cấu hình fail-safe của actuator ENERTORK với cấp SIL mục tiêu của bạn. → Gửi yêu cầu tư vấn
Nguồn: ENERTORK Co., Ltd. (hồ sơ sản phẩm dòng TM/TQ/TX/LTMD-Q và chứng nhận SIL, Class 1E, IP68, Exd) qua Komachine; tiêu chuẩn IEC 61508 (an toàn chức năng E/E/PE) và các tài liệu kỹ thuật về SIL, PFDavg, SFF, FMEDA, fail-safe áp dụng cho cơ cấu chấp hành cuối. Số liệu chỉ mang tính tham khảo; thông số và mức phù hợp SIL theo từng model cần đối chiếu tài liệu chính hãng tại thời điểm chọn thiết bị.
