SIL, parte 1: probabilità di guasto casuale
Per ottenere un determinato livello SIL, la progettazione di una funzione di sicurezza deve soddisfare tre criteri specifici, come stabilito dalla norma. Questa sezione è dedicata al criterio 1: la probabilità di guasto casuale.
Che cos'è la sicurezza funzionale?
La sicurezza funzionale è il rilevamento attivo di condizioni potenzialmente pericolose, con la conseguente necessità di un meccanismo o di una funzione di protezione per evitare o ridurre le conseguenze degli eventi pericolosi che potrebbero verificarsi.
Nell'ambito della sicurezza generale delle apparecchiature controllate (EUC), la sicurezza funzionale si concentra sull'elettronica e sul software correlato.
La IEC 61508 è una norma internazionale riguardante la "Sicurezza funzionale dei sistemi elettrici/elettronici ed elettronici programmabili relativi alla sicurezza". Come norma generale sulla sicurezza funzionale, costituisce la base di molte norme derivate specifiche per i diversi settori, come la IEC 61511 per quanto riguarda l'industria di processo.
Seguendo un modello di ciclo di vita della sicurezza, le norme formalizzano la gestione della sicurezza funzionale e indicano misure e tecniche per la progettazione dei sistemi di sicurezza strumentale (SIS) e delle funzioni di sicurezza strumentale (SIF) associate.
IEC 61511 Ciclo di vita della sicurezza
Un elemento fondamentale del ciclo di vita della sicurezza è l'elaborazione delle specifiche dei requisiti di sicurezza (SRS). In base agli input ricavati dalle fasi di valutazione dei pericoli e dei rischi durante il ciclo di vita, questo documento funge da modello per la funzionalità, l'integrità e la convalida della progettazione dei sistemi di sicurezza.
Che cos'è il SIL?
Le specifiche dei requisiti di sicurezza (SRS) documentano il livello dell'eventuale riduzione del rischio residuo richiesto dalla progettazione del sistema di sicurezza e assegnano il livello SIL corrispondente.
Il SIL (Safety Integrity Level), ovvero livello di riduzione del rischio, è un livello relativo di riduzione del rischio reso possibile da una funzione di sicurezza. Sono stati definiti quattro livelli di SIL, da 1 a 4; SIL 4 corrisponde al massimo livello di integrità della sicurezza e al corrispondente fattore di riduzione del rischio.
| SIL | Fattore di riduzione del rischio (Risk Reduction Factor, RRF) |
| 4 | > 10,000 fino a ≤ 100,000 |
| 3 | > 1000 fino a ≤ 10,000 |
| 2 | > 100 fino a ≤ 1,000 |
| 1 | >10 fino a ≤ 100 |
Come si ottiene un SIL specifico?
Per ottenere un determinato livello SIL, la progettazione di una funzione di sicurezza deve soddisfare tre criteri specifici, come stabilito dalla norma.
Questi rigorosi criteri sono: probabilità di guasto casuale, vincoli di costruzione e capacità sistematica.
Questa sezione è dedicata al criterio 1: la probabilità di guasto casuale. Per informazioni sui vincoli di costruzione e sulla capacità sistematica, fate clic sui link corrispondenti.
PR electronics propone un'intera gamma di dispositivi certificati SIL per svariate applicazioni SIL.
Che cos'è la probabilità di guasto casuale?
La probabilità di guasto casuale si riferisce ai guasti casuali che interessano i componenti fisici. Se i sistemi di sicurezza fossero affidabili al 100%, il rischio residuo sarebbe pari a zero e tutti i sistemi sarebbero sicuri al 100%.
Questo però non è realizzabile, quindi dobbiamo quantificare la probabilità che una funzione di sicurezza fallisca al momento del bisogno, così potremo determinare il livello di riduzione del rischio che probabilmente tale funzione offre.
Le funzioni di sicurezza strumentale (Safety Instrumented Functions, SIF) che agiscono in modalità di "bassa richiesta" quantificano l'affidabilità utilizzando un parametro Average Probability of Failure On Demand (PFDavg), ovvero la probabilità media di guasto al momento del bisogno, mentre quelle che agiscono in modalità di "alta richiesta" o di "richiesta continua" utilizzano la Probability of Failure per Hour (PFH), ovvero la probabilità di guasto all'ora.
La Tabella 4 della IEC 61511 descrive nei dettagli come questi valori corrispondono al fattore di riduzione del rischio (RRF) offerto per le SIF a bassa richiesta:
| SIL | Fattore di riduzione del rischio (Risk Reduction Factor, RRF) | Intervallo PFDavg |
| 4 | > 10.000 fino a ≤ 100.000 | ≥ 10-5 < 10-4 |
| 3 | > 1.000 fino a ≤ 10.000 | ≥ 10-4 < 10-3 |
| 2 | > 100 fino a ≤ 1.000 | ≥ 10-3 < 10-2 |
| 1 | >10 fino a ≤ 100 | ≥ 10-2 < 10-1 |
IEC 61511 - Tabella 4
La Tabella 5 mostra i valori corrispondenti alle SIF a richiesta alta/continua:
| SIL | Probabilità di guasto all'ora – PFH |
| 4 | > 10-9 ≤ 10-8 |
| 3 | > 10-8 ≤ 10-7 |
| 2 | > 10-7 ≤ 10-6 |
| 1 | > 10-6 ≤ 10-5 |
IEC 61511 - Tabella 5
Per calcolare il valore PFDavg di una funzione sicurezza strumentale è necessario analizzarne i componenti costitutivi. Una SIF tipica è costituita da un sottosistema sensore, un risolutore logico e un sottosistema elemento finale.
Di seguito riportiamo alcuni esempi di componenti SIF:
Le tecniche di analisi dei guasti come la FMEDA (Failure Modes Effects and Diagnostics Analysis) sono diffusamente utilizzate per determinare le modalità di guasto e le capacità di diagnosi dei singoli dispositivi.
I dati relativi ai tassi di guasto si possono combinare con ulteriori variabili per calcolare una probabilità di guasto in un tempo definito.
Benché esistano semplici equazioni per il calcolo della PFD, all'aumentare del numero di variabili coinvolte nel calcolo aumenta l'accuratezza e l'affidabilità del risultato.
Variabili da considerare nei calcoli della PFD:
| Variabile | Origine |
| Tassi di guasto del dispositivo (ad esempio, λDU, λDD) | Di solito fornita dal produttore tramite un report FMEDA |
| Durata missione (MT) | Determinata dall'utente finale |
| Intervallo di test (TI) | Determinata dall'utente finale |
| Copertura del test (CPT) | Determinata dall'utente finale o segnalato dal produttore |
| Durata del test | Determinata dall'utente finale |
| Tempo medio di ripristino (MTTR) | Determinata dall'utente finale |
| Guasti con cause comuni (CCF) | Fattore beta da considerare quando si utilizza la ridondanza |
Esempio di equazione della PFDavg in modalità di richiesta bassa
La PFDavg di una funzione di sicurezza strumentale equivale al totale dei valori di PFDavg di tutti i sottosistemi
| Sottosistema sensore | Solutore logico | Elemento finale |
 |
 |
 |
| 1,5 x 10-3 | 8,6 x 10-5 | 1,8 x 10-2 |
PFDavg SIF totale= 1,9 x 10-2 = SIL
La SIF in modalità di richiesta alta o continua utilizza per il calcolo la probabilità di guasto all'ora (Probability of Failure per Hour, PFH)
Il fatto di raggiungere i valori di PFDavg/PFH desiderati per una funzione di sicurezza non dimostra di per sé il raggiungimento del livello SIL richiesto. Occorre considerare anche i vincoli di costruzione e la capacità sistematica.
