Articolo_IEC 61508
Transcript of Articolo_IEC 61508
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 1/30
Master executive in
Gestione della
Manutenzione Industriale
Prima edizione
Valutazione di linee guida nellaprogettazione di un impianto di
frazionamento aria rispondente a vincoli disicurezza integrata (SIL) secondo le norme
IEC 61508 e 61511
Project work a cura di Ing. Antonio Pace
Tutor aziendale Ing. Pierluigi Gritti
Tutor universitario Prof. Enrico Zio
16 Ottobre 2006
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 2/30
Master Executive in Gestione della Manutenzione Industriale
1. Introduzione
2. Concetti base delle IEC 61508 e 61511
3. Safety Integrity Level (SIL)
4. Descrizione di un impianto criogenico di frazionamento aria
5. Verifica SIL level per un impianto di produzione azoto
6. Modello dell’architettura di impianto
7. FMEA Failure Mode and Effect Analysis
8. SIL level: definizioni e calcolo
9. Valutazione formula di calcolo PFD
10. Bibliografia
Pag. 2 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 3/30
Master Executive in Gestione della Manutenzione Industriale
1. INTRODUZIONE
La gestione delle funzioni di sicurezza degli impianti industriali é
normalmente demandata a sistemi di sicurezza strumentati, elettrici,
elettronici e a elettronica programmabile (E/E/PE). Gli standard IEC
61508 e 61511 forniscono delle linee guida nella progettazione e nella
gestione dei sistemi di sicurezza degli impianti al fine di ridurre il rischio
residuo di incidente.
La presentazione delle normative IEC 61508 e 61511 ha portato le
società di ingegneria come Siad Macchine Impianti ad arricchire la
propria filosofia progettuale e a considerare gli aspetti della sicurezza
funzionale e dell'affidabilità dei sistemi di sicurezza sotto un’altra ottica,
con la conseguenza dell'elaborazione di alcuni concetti da implementare
durante la progettazione di impianto.
Le norme in esame affrontano gli aspetti della sicurezza funzionale dei
sistemi di sicurezza strumentati (Safety Instrumented Systems, SIS)
gestiti da apparecchiature elettriche / elettroniche / elettroniche
programmabili e, in particolare, la 61511 per i SIS nell'industria di
processo.
Lo scopo del presente lavoro è di fornire una descrizione del processo di
valutazione del livello di sicurezza integrata (Safety Integrity Level, SIL)
di alcune funzioni di sicurezza di un impianto di produzione azoto, e di
proporre una riflessione sulle variabili che vanno considerate quando ènecessario progettare, esercire e mantenere un impianto con determinati
requisiti di SIL.
Pag. 3 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 4/30
Master Executive in Gestione della Manutenzione Industriale
2. Concetti base delle IEC 61508 e 61511 - SIL level
Nella vita di tutti i giorni siamo costantemente esposti a diversi pericoli.
L'ampiezza di questi pericoli va dal piccolo incidente alla catastrofe, che
può provocare effetti devastanti sulle vite umane e sull'ambiente.
Ogni pericolo viene dunque valutato quotidianamente in base al suo
livello di rischio, e alla sua probabilità di accadimento, ma non si riuscirà
mai ad essere completamente protetti da ogni pericolo.
Possiamo dunque proteggerci dai rischi riducendo la loro probabilità di
accadimento oppure tentando di limitare la gravità delle conseguenze.
Queste misure permettono di ridurre i rischi ad un ragionevole e
tollerabile livello.
La Health and Safety Committee inglese ha introdotto il concetto di
ALARP, che definisce diversi livelli di rischio:
- abbiamo l'area del rischio "non accettabile", nella quale qualunque
rischio che cada in questa area non è mai giustificato;
- abbiamo l'area del rischio "accettabile", nella quale il livello di rischio
non necessita di indagini ovvero di precauzioni particolari;
Pag. 4 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 5/30
Master Executive in Gestione della Manutenzione Industriale
- area ALARP, ossia As Low As Reasonably Possible, zona nella quali il
livello del rischio necessita di indagini e azioni con il fine di ridurne
l'entità ad un valore ragionevolmente accettabile.
Questo approccio prevede la conoscenza approfondita della valutazione
del rischio e richiede che siano state effettuate le azioni necessarie per
ridurre le probabilità di accadimento e le conseguenze dovute a
incidenti.
In ambito industriale e nell'industria di processo le funzioni necessarie
alla riduzione dei rischi da incidente vengono demandate a sistemi
ausiliari, che sono composti oltre che da sicurezze di tipo meccanico,
anche da sistemi elettrici/elettronici/elettronici programmabili, i Safety
Instrumented Systems (SIS).
Gli standard IEC 61508 e 61511 forniscono delle linee guida per la
progettazione e l'implementazione dei sistemi di sicurezza strumentati,
fornendo delle chiare indicazioni sulla configurazione del sistema, sul
calcolo dell'affidabilità di funzionamento, sugli intervalli di test.
Un SIS è genericamente composto da:
- sottosistema sensori;
- logica elettronica di controllo (logic solver);
- sottosistema attuatori (final element).
I sottosistemi relativi ai sensori e agli attuatori possono essere
ulteriormente suddivisi al loro interno: i sensori secondo una logica di
voting, gli attuatori secondo delle ridondanze funzionali.
In configurazione "pipe-to-pipe" il sistema può essere rappresentato
come in figura.
Pag. 5 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 6/30
Master Executive in Gestione della Manutenzione Industriale
ActuatorLogic Solver
(PLC)SENSOR
Pag. 6 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 7/30
Master Executive in Gestione della Manutenzione Industriale
3. Safety Integrity Level (SIL)
Nell'industria di processo esistono diversi rischi, e all'aumentare della
gravità del rischio deve necessariamente aumentare l'affidabilità del SIS,
ossia la sua integrità.
Secondo la IEC 61511, la Safety Integrity viene definita come la
probabilità (media) che il SIS compia la relativa funzione di sicurezza in
un determinato intervallo di tempo.
Questo significa che la catena del SIS deve avere una determinata
affidabilità di funzionamento, che comunemente viene denominata
Probability of Failure on Demand (PFD), che viene valutata o imposta in
base alle caratteristiche di sicurezza che l'apparecchiatura o impianto in
esame devono avere.
Punto fondamentale della valutazione è che il SIS è relativo ad una sola
funzione di sicurezza (Safety Function), e per questa viene decisa
oppure valutata una sola PFD.
Il Safety Integrity Level non è altro che un indice di corrispondenza tra la
PFD (che numericamente rappresenta un tempo, indicante l’intervallo in
ore entro il quale il SIS può mal-funzionare) ed un indice che varia tra 1
e 4, come mostrato in tabella.
SIL Level
4 10- 5≤ PFD < 10
-4
3 10-4≤ PFD < 10
-3
2 10- 3≤ PFD < 10
-2
1 10- 2≤ PFD < 10
-1
Gli standard IEC 61508 e 61511 definiscono questi quattro differenti
livelli di sicurezza che descrivono la misura per la riduzione del rischio
ad un valore As Low As Reasonably Possible.
Più alto è il valore del SIL, più alta è la riduzione del rischio. Dunque il
SIL è la misura della probabilità che il SIS riesca a compiere
correttamente la Safety Function prevista nell'intervallo di tempo
richiesto.
Pag. 7 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 8/30
Master Executive in Gestione della Manutenzione Industriale
Il livello SIL può essere determinato in differenti modi, principalmente
uno qualitativo ed uno quantitativo, e le norme li descrivono in maniera
approfondita ed esaustiva.
In questo momento non si entrerà nel merito della determinazione del
livello SIL, ma solo della sua valutazione. Questo poiché la
determinazione del livello SIL da applicare ad una certa funzione di
sicurezza prevede una analisi di rischio completa che esula dallo scopo
del presente lavoro.
E' intenzione comunque proseguire l'attività valutando con precisione
quello che può essere considerato come livello SIL tale da garantire un
livello di rischio As Low As Reasonably Possible per le funzioni di
sicurezza degli impianti criogenici di frazionamento aria.
Nel caso in esame è stato analizzato un impianto di produzione di Azoto
per il quale è stata effettuata una categorizzazione delle funzioni di
sicurezza secondo le norme IEC, poi si sono valutate alcune soluzioni
per migliorare la PFD nell'ottica di una futura progettazione di impianti
secondo questi standard.
Pag. 8 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 9/30
Master Executive in Gestione della Manutenzione Industriale
4. Descrizione di un impianto criogenico per il frazionamento aria
Siad Macchine Impianti progetta e produce impianti criogenici di
frazionamento aria per la produzione di ossigeno, azoto e argon.
Estremamente in sintesi, il processo prevede la compressione dell'aria, il
raffreddamento a temperature criogeniche di circa -180° dove si ha la
liquefazione dell'aria, che poi viene immessa in una colonna di rettifica
dove alle diverse altezze vengono separati i diversi componenti in base
alla purezza richiesta.
Come si può vedere dal Process Flow Diagram, l'impianto è
fondamentalmente composto da alcune macchine operatrici e da
recipienti in pressione, per cui si possono già delineare quali sono le
tematiche di sicurezza. Inoltre la presenza durante il processo di miscele
ad alta percentuale di ossigeno (cosiddetto Waste Nitrogen) e i prodotti,
che sono principalmente Ossigeno ed Azoto, pone in ogni caso
l'impianto sotto la sorveglianza di sistemi di sicurezza automatici, per i
quali sono state valutate le PFD.
Pag. 9 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 10/30
Master Executive in Gestione della Manutenzione Industriale
5. Verifica SIL level per impianto di produzione azoto
Con riferimento alla riduzione del rischio in un impianto di processo, ci
sono diverse soluzioni per raggiungere un livello di rischio tollerabile.
Una di queste soluzioni è di utilizzare un sistema di sicurezza
strumentato (SIS).
In generale un SIS consiste di diverse Safety Instrumented Functions
(SIF), ognuna collegata ad un loop di sicurezza dedicato e ai suoi
parametri di rischio associati.
Assumendo che una SIF venga utilizzata per ridurre il rischio di
incidente, la possibilità che questa non venga compiuta dal SIS crea la
necessità di trattare questa probabilità di accadimento come probabilità
di incidente.
La verifica SIL è stata eseguita con riferimento alla IEC 61508, la quale
affronta la sicurezza funzionale dei sistemi di sicurezza che utilizzano
tecnologie E/E/PE.
Un sistema di sicurezza E/E/PE copre tutte le parti necessarie per
attuare una Safety Function. Come già visto, un SIS è composto
principalmente da tre parti: uno o più sensori, un controllore logico (logic
solver) ed uno o più elementi finali, o attuatori.
Al fine di verificare il livello SIL delle diverse funzioni di sicurezza
dell'impianto in esame, sono state svolte le seguenti attività:
- Hazop di impianto, con lo scopo di determinare le funzioni di sicurezza
coinvolte;
- Modello hardware dell'architettura, al fine di elencare tutte le
apparecchiature per ogni funzione di sicurezza, la configurazione del
SIS, il voting;
- Fmea per ogni funzione di sicurezza, in modo da evidenziare la
maggiore o minore criticità del componente nello svolgimento della
funzione di sicurezza;
- Modello affidabilistico;
- Calcolo della probability of failure on demand per ogni safety function e
livello SIL.
Pag. 10 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 11/30
Master Executive in Gestione della Manutenzione Industriale
6. Modello dell'architettura di impianto
Con riferimento all’analisi Hazop effettuata sull'impianto e alle specifiche
del controllo del sistema, sono state identificate le principali funzioni di
sicurezza.
Ogni safety function, definita da un codice identificativo e da una breve
descrizione, è stata caratterizzata come segue:
- Input device
- Voting
- Logic (PLC, etc.)
- Attuatore
Di seguito si può vedere l'estratto della tabella generale con la struttura
di ogni safety function, che fa riferimento alle parti indicate nel P&Id.
Pag. 11 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 12/30
Master Executive in Gestione della Manutenzione Industriale
Hardware architecture modelNITROGEN PLANT
ITEM DESCRIPTION INPUT VOTING LO
P
LV
YF NPLANT-ESD NITROGEN PLANT EMERGENCY SHUTDOWN HS NPLANT-ESD 1/1
P
AIR COMPRESSORS C5000A / C5000B
ITEM DESCRIPTION INPUT VOTING LO
YF C5000A-1 AIR COMPRESSOR C5000A CUMULATIVE BLOCKS YS C5000A-7 1/1 PYF C5000B-1 AIR COMPRESSOR C5000B CUMULATIVE BLOCKS YS C5000B-7 1/1 P
Pag. 12 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 13/30
Master Executive in Gestione della Manutenzione Industriale
AIR PRE-COOLING UNIT
ITEM DESCRIPTION INPUT VOTING LO
LAHH 893 MOISTURE SEPARATOR VERY HIGH LEVEL LSH 893
1/1 P
Pag. 13 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 14/30
Master Executive in Gestione della Manutenzione Industriale
7. FMEA Failure Mode and Effect Analysis
E' stata effettuata una FMEA per ogni SIF al fine di identificare gli
attuatori più critici durante la fase di blocco impianto (shutdown). Di
seguito è presente un estratto della FMEA completa.
L'analisi è stata condotta considerando le seguenti procedure e ipotesi:
a. per ogni componente di ogni SIF sono stati identificati tutti i potenziali
modi di guasto (Failure Modes);
b. sono state identificate le possibili cause di guasto
c. sono stati elencati gli effetti di ogni modo di guasto, considerando la
loro gravità (severity) secondo gli indici presenti in tabella 1;
d. è stata quantificata la probabilità di accadimento (probability factor)
per ogni modo di guasto, sempre secondo tab. 1;
e. tutti i controlli che contribuiscono alla prevenzione di queste cause dei
modi di guasto sono state identificate. I controlli esistenti prevengono
l'accadimento delle cause dei modi di guasto, e la loro efficacia viene
valutata con un indice di detectability, secondo tab.1.
f. i Risk Priority Numbers (RPN) sono stati calcolati come prodotto tra
Failure Mode Severity (SEV), Failure Cause Probability (PF) e Control
Detection Effectiveness (DET).
Il Risk Priority Number è stato utilizzato per identificare i componenti più
critici nei loop di controllo al fine di capire quali componenti devono
essere considerati per la valutazione del SIL.
Pag. 14 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 15/30
Master Executive in Gestione della Manutenzione Industriale
Table 1
PARAMETER RATE DESCR. PARAMETER RATE DESCR.
1 remote 1
100%
automatic
2, 3 low 2, 3, 4
periodic
tests
4, 5, 6 moderate 5, 6, 7
irregular
tests
7, 8 high 8, 9 no test
Probability
9, 10 very high
Detectability
10
undetectabl
e
1 neglectable
2, 3 marginal
4, 5, 6 mean
7, 8 critical
Severity
9, 10 catastrophic
Pag. 15 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 16/30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 17/30
8. SIL level: definizioni e calcolo
La IEC definisce quattro gruppi (SIL) ognuno corrispondente alla
Probability of Failure on Demand (PFD) come indicato in tabella 2, per
apparecchiature in low demand mode of operation, che indica che il SIF
si attiva raramente.
Tabella 2
La PFD, che rappresenta la probabilità del SIS di non compiere la SIF
alla quale è associata, prevede la considerazione dell'MTBF e l'MTTR
dei vari componenti del SIS.
Per quanto riguarda l'MTBF, questo valore, espresso in unità di tempo,
viene quasi sempre determinato da informazioni teoriche, generalmente
da letteratura, oppure da dati registrati sul campo. In questa analisi,
l'inverso dell'MTBF, o rateo di guasto lambda, dei vari componenti è
stato ricavato da letteratura per ciò che riguarda sensori e attuatori,
mentre per i PLC si è utilizzato il dato del fornitore.
L'MTTR ( Mean Time To Restoration) rappresenta il tempo medio di
ripristino di un'apparecchiatura, e considera sia i tempi logistici che i
tempi di pura riparazione. Ovviamente questo tempo varia enormemente
in base alla disponibilità o meno di ricambi.
In tabella 3 sono indicati gli MTTR per tutti i tipi di apparecchiature e il
loro intervallo di test.
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 18/30
Master Executive in Gestione della Manutenzione Industriale
Table 3
Programmable electronic
system
Sensors and actuator
Test Interval MTTR Test Interval MTTR
Less then 1
Min1 Hour
Sensors 6 Month
Actuators 2
Years
Analyzers 3
Month
Sensors 4 Hours
Actuators 8 Hours
Analyzers 4
Hours
Per i componenti critici relativi al Plant Emergency Shut-Down viene
deciso di accorciare l'intervallo tra i test a 2 mesi.
Pag. 18 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 19/30
Master Executive in Gestione della Manutenzione Industriale
Di seguito viene presentata una tabella contenente i ratei di guasto
relativi ai componenti ritenuti più critici dopo lo studio FMEA, per alcune
funzioni di sicurezza.
Failure Rates
INPUTFAILURE
RATE [h-1
]LOGIC
FAILURE
RATE [h-1
]ACTUATORS
FAILURE
RATE [h-1
]
NITROGEN PLANT
HS PLANT-
ESD
Fail safe
PLC1 2,45E-06Air compressor
C5000A7,61E-06
LV panel
feeders0,0000041
Air compressor
C5000B7,61E-06
FV710 0,0000029
FY711 2,648E-06
AIR COMPRESSORS C5000A / C5000B
YS C5000A-7
softwarePLC1 2,45E-06
Air Compressor
C5000A7,61E-06
YS C5000B-7
softwarePLC1 2,45E-06
Air Compressor
C5000B7,61E-06
AIR PRE-COOLING UNIT
LSH 893 1,256E-05 PLC1 2,45E-06Air Compressor
C5000A7,61E-06
Air Compressor
C5000B7,61E-06
Regeneration
Heater Section A1,41E-05
Regeneration
Heater Section B1,41E-05
FV710 0,0000029
FY711 2,648E-06
Pag. 19 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 20/30
Master Executive in Gestione della Manutenzione Industriale
INPUTFAILURE
RATE [h-1]LOGIC
FAILURE
RATE [h-1]ACTUATORS
FAILURE
RATE [h-1]
PREPURIFIER UNIT DDU 5000PP-
MCTSsoftwar
e
PLC1 2,45E-06Air Compressor
C5000A7,61E-06
Air Compressor
C5000B7,61E-06
Regeneration
Heater Section A1,41E-05
Regeneration
Heater Section B 1,41E-05
FV710 0,0000029
FY711 2,648E-06
TT 581 0,0000035 PLC1 2,45E-06Air Compressor
C5000A7,61E-06
Air Compressor
C5000B7,61E-06
Regeneration
Heater Section A1,41E-05
Regeneration
Heater Section B1,41E-05
FV710 0,0000029
FY711 2,648E-06
Pag. 20 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 21/30
Master Executive in Gestione della Manutenzione Industriale
Secondo le IEC esistono tre tecniche di calcolo riconosciute al fine di
determinare il livello SIL per un dato processo: calcoli semplificati, Fault
Tree analysis, Markov analysis.
Ognuna di queste tecniche fornisce un livello SIL utilizzabile, ma per
semplicità di calcolo, e visto anche che i risultati sono più conservativi,
verranno utilizzati i calcoli semplificati.
Il primo passo consiste nella determinazione della PFD per ogni
componente incluso nel SIS, dopodiché in base all'architettura
funzionale del SIS si valuta in quale modo sommare queste probabilità.
Nel caso in esame, tutte le funzioni di sicurezza vengono svolte da
architetture con voting 1oo1, il che significa che il mancato
funzionamento di un componente porta al fallimento di tutta la SIF.
La riduzione del rischio attraverso l'utilizzo di un SIF può essere
espressa come "dangerous failure rate" del SIF.
Al fine di definire il "dangerous failure rate" del SIS è necessario
determinare quello di ogni componente.
Convenzionalmente il dangerous failure rate viene quantificato come
metà del rateo di guasto dell'apparecchiatura in questione, e
rappresenta la probabilità del sistema di non attuare la funzione di
sicurezza richiesta, ossia di guastarsi in modalità “unsafe”.
Nella pratica il "dangerous failure rate" del logic solver raramente
presenta valori piccoli, nella norma questo è il componente che presenta
maggiore affidabilità. Al contrario, sensori ed attuatori hanno ratei di
guasto relativamente alti, e quindi devono essere tenuti in
considerazione quando si configura il SIS.
Viene definito come "diagnostic coverage" il rapporto tra il rateo di guasti
rilevati e il numero totale di guasti rilevati dal sistema di diagnosi. La
diagnostic coverage include solo i guasti rilevati dalo sistema di auto-
diagnosi, ma non include alcun guasto rilevato dal test. Se la DC è nulla,
allora non esiste il sistema di autodiagnosi dell'apparecchiatura.
Pag. 21 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 22/30
Master Executive in Gestione della Manutenzione Industriale
Questo determina un valore di PFD più conservativo. Nella nostra analisi
facciamo proprio questo assunto.
La Probability of Failure on Demand viene quindi definita per
sottosistemi con voting 1oo1 come prodotto della dangerous failure rate
per il tempo di accadimento tce; in formula:
CE Dt PFD ⋅= λ dove MTTR DC
T t CE
+−⋅= )1(2
1
T1 = single proof test interval
DC = diagnostic coverage (0-1)
tce = Tempo medio di di fermo, rappresenta la combinazione dei tempi
medi di fermo per ogni componente del sottosistema dovuto al T1 e
all’eventuale MTTR.
Dλ = dangerous failure rate
Safety functionPFD (SIF
Unaivalability)SIL
PLANT EMERGENCY SHUTDOWN 7,67E-03 2
AIR COMPRESSOR C5000A CUMULATIVE BLOCKS 2,81E-03 2
AIR COMPRESSOR C5000B CUMULATIVE BLOCKS 2,81E-03 2
MOISTURE SEPARATOR VERY HIGH LEVEL 1,45E-01 n.c.
MAX CYCLE TIME SHUTDOWN 1,31E-01 n.c.
OUTLET AIR VERY HIGH TEMPERATURE 1,35E-01 n.c.
REGENERATION HEATER VERY HIGH INTERNAL
TEMPERATURE1,27E-01 n.c.
REGENERATION HEATER VERY HIGH GAS
TEMPERATURE1,27E-01 n.c.
Come si può vedere dalla tabella, i valori dei SIL per queste funzioni di
sicurezza sono diversi fra loro. Questi risultati sono stati la base di
partenza per le considerazioni che seguiranno sull'affidabilità di
funzionamento dei sistemi di sicurezza strumentati.
Pag. 22 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 23/30
Master Executive in Gestione della Manutenzione Industriale
9. Valutazione formula di calcolo PFD
La norme IEC descrivono approfonditamente le formule di calcolo per la
PFD di ogni sistema di sicurezza, differenziandole in base al voting.
L’Annex B della IEC-61508-6 fornisce un esempio della tecnica RBD
(Reliability Block Diagram) per la valutazione della probabilità di guasto
dell’apparecchiatura.
Lo standard suggerisce inoltre l’utilizzo della analisi Markov in quanto più
accurata, ma nella valutazione del livello SIL la minore precisione di
calcolo attraverso l’RBD non è così significativa, soprattutto per via della
limitata confidenza dei dati di affidabilità / ratei di guasto.
Il metodo proposto è basato su alcune ipotesi, tra cui:
- i ratei di guasto sono costanti durante la vita del sistema;
- per ogni sottosistema esiste un single proof test interval (T1) e un
Mean Time To Restoration (MTTR); MTTR considera anche il
tempo necessario alla rilevazione del guasto;
- per ogni safety function c’è un test completo e una perfetta
riparazione (condizione dell’apparecchio come As Good As New);
- la frazione di guasti specificati dalla Diagnostic Coverage sono sia
rilevati che riparati entro l’MTTR utilizzato per determinare i
requisiti di safety integrity.
Come si può notare queste sono condizioni estremamente ipotetiche,
basti pensare alla condizione di As Good As New dopo una riparazione,
oppure la riparazione avvenuta entro l’MTTR, e sono sostanzialmente
relative alla manutenzione del sistema e al mantenimento del livello di
integrità della funzione di sicurezza.
Nella nostra analisi verranno considerate nel calcolo solamente le
configurazioni 1oo1, 1oo2, 2oo2 e 2oo3.
Pag. 23 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 24/30
Master Executive in Gestione della Manutenzione Industriale
Configurazione 1oo1
Actuator1oo1 Logic Solver
(PLC)SENSOR
Come abbiamo già visto la formula per la PFD è la seguente:
CE Dt PFD ⋅= λ dove MTTR DC
T t CE
+−⋅= )1(2
1
T1 = single proof test interval
DC = diagnostic coverage (0-1)
tCE = Tempo medio di fermo, rappresenta la combinazione dei tempi
medi di fermo per ogni componente del sottosistema dovuto al T1 e
all’eventuale MTTR.
Dλ = dangerous failure rate
Configurazione 1oo2
Actuator1oo2
SENSOR 2
Logic Solver
(PLC)
SENSOR 1
( )[ ] ( )⎭⎬⎫
⎩⎨⎧
⎟ ⎠
⎞⎜⎝
⎛ +⋅−⋅+⋅⋅+−⋅+−⋅⋅⋅⋅= MTTR
T DC MTTR DC DC t t PFD
D DGE CE D
211 12
β β β β β λ λ
tGE = Tempo medio di fermo, rappresenta la combinazione dei tempimedi di fermo per ogni componente del voted group dovuto al T1 e
all’eventuale MTTR.
β = frazione dei guasti non rilevati che hanno una causa comune
(common cause);
D β = frazione dei guasti che hanno una common cause e sono rilevati
dai test diagnostici.
Pag. 24 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 25/30
Master Executive in Gestione della Manutenzione Industriale
Configurazione 2oo2
Actuator2oo2
SENSOR 2
Logic Solver
(PLC)
SENSOR 1
CE Dt PFD ⋅⋅= λ 2
Configurazione 2oo3
SENSOR 3
Actuator2oo3SENSOR 2 Logic Solver
(PLC)
SENSOR 1
( )[ ] ( )⎭⎬⎫
⎩⎨⎧
⎟ ⎠
⎞⎜⎝
⎛ +⋅−⋅+⋅⋅+−⋅+−⋅⋅⋅⋅⋅= MTTR
T DC MTTR DC DC t t PFD
D DGE CE D
2113 12
β β β β β λ λ
Pag. 25 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 26/30
Master Executive in Gestione della Manutenzione Industriale
Andiamo adesso ad analizzare una delle funzioni di sicurezza
dell’impianto di produzione azoto preso in esame.
La funzione è la “Moisture Separator Very High Level”, item LAHH893,
con input dal sensore LSH 893.
Questa funzione di sicurezza è relativa al segnale di altissimo livello
della condensa nel vessel separatore, dopo la compressione dell’aria in
ingresso all’impianto. Un valore troppo alto di acqua significa aria troppo
umida in ingresso alla batteria di deumidificazione e decarbonatazione,
con conseguente ingresso di aria non secca nella colonna di
frazionamento a temperature criogeniche e blocco dell’impianto.
Gli output dal SIS coinvolgono il blocco dei due compressori aria (C5000
A e B), il blocco dei riscaldatori di rigenerazione ( Sect. A e B) e la
chiusura delle due valvole che isolano la colonna di frazionamento dal
flusso di aria (FV710 e FY711).
Per ipotesi, tutte le funzioni di sicurezza sono in voting 1oo1.
La Diagnostic Coverage è ipotizzata uguale a 0, non esiste sistema di
auto-diagnosi dell’apparecchiatura.
Dai calcoli risulta:
Safety function: Moisture separator very high level
Configurazione nominale
Componenti lambda tau 1/MTTR PFDi (1oo1)
LSH893 1.256E-05 4320 0.25 1.36E-02
PLC1 2.450E-06 1.70E-02 1 1.24E-06
C5000A 7.610E-06 1440 0.125 2.77E-03
C5000B 7.610E-06 1440 0.125 2.77E-03
REG.HEAT.Section A 1.410E-05 17280 0.125 6.10E-02
REG.HEAT.Section B 1.410E-05 17280 0.125 6.10E-02
FV 710 2.900E-06 1440 0.125 1.06E-03
FV 711 2.648E-06 1440 0.125 9.64E-04
PFD sys = 1.43E-01
SIL N.C.
Pag. 26 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 27/30
Master Executive in Gestione della Manutenzione Industriale
Vediamo subito che in questa configurazione, la PFD è molto elevata,
dunque non è possibile classificare con un SIL questa funzione di
sicurezza.
Possiamo notare che i componenti che presentano una PFD alta sono il
sensore LSH893 (in voting 1oo1) e le due sezioni dei Regeneration
Heaters.
Andiamo a verificare in questa condizione cosa cambia al variare del
voting dell’LSH893, mantenendo il rateo di riparazione costante:
Componenti PFD LSH893
(1oo2)
PFDi LSH893
(2oo2)
PFDi LSH893
(2oo3)
LSH893 2.46E-04 2.72E-02 7.39E-04
PLC1 1.24E-06 1.24E-06 1.24E-06
C5000A 2.77E-03 2.77E-03 2.77E-03
C5000B 2.77E-03 2.77E-03 2.77E-03
REG.HEAT.Section A 6.10E-02 6.10E-02 6.10E-02
REG.HEAT.Section B 6.10E-02 6.10E-02 6.10E-02
FV 710 1.06E-03 1.06E-03 1.06E-03
FV 711 9.64E-04 9.64E-04 9.64E-04
PFD sys = 1.30E-01 1.57E-01 1.30E-01
SIL N.C. N.C. N.C.
Notiamo subito che sia in voting 1oo2 che 2oo3 la PFD dello strumento
migliora tantissimo, ma la PFD del sistema rimane alta.
Le configurazioni 2oo2 e 2oo3 non risultano economicamente valide, in
quanto una ridondanza di questo tipo può essere sostituita da un unico
strumento che abbia classificazione SIL.
A fronte di una ridondanza 1oo2, che fornisce valori adeguati ad una
classificazione SIL, l’altra grandezza che può variare sensibilmente la
PFD è l’intervallo di test dell’apparecchiatura. In questo caso, per i
Regeneration Heaters è previsto l’intervallo di test più lungo, dunque
riducendolo opportunamente ricaviamo i seguenti risultati:
Pag. 27 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 28/30
Master Executive in Gestione della Manutenzione Industriale
Tau heater a 8640 h
LSH893 LSH893 LSH893
1oo1 1oo2 2oo2 2oo3
PFD sys = 8.22E-02 2.75E-03 1.64E-01 8.26E-03
SIL SIL 1 SIL 2 N.C. SIL 2
Tau heater a 4320 h
LSH893 LSH893 LSH893
1oo1 1oo2 2oo2 2oo3
PFD sys = 5.17E-02 8.94E-04 1.03E-01 2.68E-03
SIL SIL 1 SIL 3 N.C. SIL 2
Si vede quindi che l’intervallo di test è una grandezza fondamentale
nella classificazione e nel mantenimento del livello SIL di safety function.
Ovviamente durante l’esercizio dell’impianto si possono fare diversi
ragionamenti sulla minimizzazione dei costi di intervento a fronte del
mantenimento del livello SIL, come alla modifica dell’integrità della
sicurezza riducendo l’intervallo di test.
In un semplice grafico si può avere un riassunto di questi risultati.
1.E-05
1.E-04
1.E-03
1.E-02
1.E-01
1.E+001oo1 1oo2 2oo2 2oo3
Nominale
Tau a 8640h
Tau a 4320h
Risulta chiaro che al fine di avere una determinata funzione di sicurezza
con classificazione SIL bisogna tenere in considerazione tutti questi
parametri.
Pag. 28 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 29/30
Master Executive in Gestione della Manutenzione Industriale
Anche l’adozione di uno strumento, o di uno qualunque degli anelli della
catena di sicurezza che abbia classificazione SIL non è una condizione
sufficiente ad avere un valore di rischio residuo compatibile con il SIL.
Da questa semplice analisi risulta che se è vi è una necessità di ridurre
la PFD di un sistema di sicurezza strumentato è possibile agire su
diversi parametri.
La soluzione più semplice è quella di ridurre l’intervallo di test, ma a
volte non risulta la più efficace: l’introduzione di una ridondanza, o la
sostituzione di un componente con uno più affidabile (ratei di guasto più
bassi), il quale può anche essere in grado di eseguire delle auto-
diagnosi può essere una strada diversa, e con risultati migliori.
La scelta corretta sta tra diverse soluzioni, che vanno scelte in maniera
appropriata dopo un’attenta analisi costi-benefici riferita all’intero ciclo di
vita del componente o dell’intero sistema.
Pag. 29 di 30
5/10/2018 Articolo_IEC 61508 - slidepdf.com
http://slidepdf.com/reader/full/articoloiec-61508 30/30
Master Executive in Gestione della Manutenzione Industriale
10. Bibliografia
- Comitato Elettrotecnico Italiano “CEI EN 61508. Sicurezza
funzionale per sistemi elettrici, elettronici ed elettronici
programmabili per applicazioni di sicurezza”
- Compagno, D’Urso, Trapani, 2005, “Effects of maintenance
management system on the safety integrity level in a
petrochemical plant” 1st International conference on Maintenance
Management, Venice, Italy
- Gambetti F, 2003, “Workshop sui Sistemi di Sicurezza
nell’Industria di Processo- Impatto della norma EN CENELEC
61508 e Standard 61511 sulla progettazione, installazione e
utenti finali”. Network Controlli Avanzati, Snamprogetti
- Marszal E., 2003, “Hydrocracker SIL selection case study”
- Meskanen A., Heinonkoski R., Hitchen I., 2000, “Guidelines for
Safety Instrumentes Systems for the process sector”
- Fletcher A., Gambetti F., “IEC-61508: Safe plant design”
- Houtermans M., Rouvroye J., 2005, “The influence of design
paramenters on the probability of failure on demand (PFD)
performance of the safety instrumented systems (SIS)”
- Al-Sayed M., 2004, “Failure rates – Analysis and calculations as
per IEC 61511”
- Gulland W., 2004, “Methods of determining Safety Integrity Level
(SIL). Requirements – Pros and cons.”
- Nunns S., “A method for estimating cost comparisons in raising
SIL levels”
- IEC, “Functional Safety and IEC 61508”
- Compagno L., D’Urso D., Trapani N., 2004, “L’affidabilità dei
sistemi di sicurezza: un modello markoviano”, XXXI Convegno
Nazionale ANIMP OICE UAMI
Pag. 30 di 30