SIL, parte 2: vincoli di costruzione
Per ottenere un determinato livello SIL, la progettazione di una funzione di sicurezza deve soddisfare tre criteri specifici, come stabilito dalla norma. Questa sezione è dedicata al criterio 2: i vincoli di costruzione.
Che cos'è la sicurezza funzionale?
La sicurezza funzionale è il rilevamento attivo di condizioni potenzialmente pericolose, con la conseguente necessità di un meccanismo o di una funzione di protezione per evitare o ridurre le conseguenze degli eventi pericolosi che potrebbero verificarsi.
Nell'ambito della sicurezza generale delle apparecchiature controllate (EUC), la sicurezza funzionale si concentra sull'elettronica e sul software correlato.
La IEC 61508 è una norma internazionale riguardante la "Sicurezza funzionale dei sistemi elettrici/elettronici ed elettronici programmabili relativi alla sicurezza". Come norma generale sulla sicurezza funzionale, costituisce la base di molte norme derivate specifiche per i diversi settori, come la IEC 61511 per quanto riguarda l'industria di processo.
Seguendo un modello di ciclo di vita della sicurezza, le norme formalizzano la gestione della sicurezza funzionale e indicano misure e tecniche per la progettazione dei sistemi di sicurezza strumentale (SIS) e delle funzioni di sicurezza strumentale (SIF) associate.
IEC 61511 Ciclo di vita della sicurezza
Un elemento fondamentale del ciclo di vita della sicurezza è l'elaborazione delle specifiche dei requisiti di sicurezza (SRS). In base agli input ricavati dalle fasi di valutazione dei pericoli e dei rischi durante il ciclo di vita, questo documento funge da modello per la funzionalità, l'integrità e la convalida della progettazione dei sistemi di sicurezza.
Che cos'è il SIL?
Le specifiche dei requisiti di sicurezza (SRS) documentano il livello dell'eventuale riduzione del rischio residuo richiesto dalla progettazione del sistema di sicurezza e assegnano il livello SIL corrispondente.
Il SIL (Safety Integrity Level), ovvero livello di riduzione del rischio, è un livello relativo di riduzione del rischio reso possibile da una funzione di sicurezza. Sono stati definiti quattro livelli di SIL, da 1 a 4; SIL 4 corrisponde al massimo livello di integrità della sicurezza e al corrispondente fattore di riduzione del rischio.
SIL | Fattore di riduzione del rischio (Risk Reduction Factor, RRF) |
4 | > 10,000 fino a ≤ 100,000 |
3 | > 1000 fino a ≤ 10,000 |
2 | > 100 fino a ≤ 1,000 |
1 | >10 fino a ≤ 100 |
Come si ottiene un SIL specifico?
Per ottenere un determinato livello SIL, la progettazione di una funzione di sicurezza deve soddisfare tre criteri specifici, come stabilito dalla norma.
Questi rigorosi criteri sono: probabilità di guasto casuale, vincoli di costruzione e capacità sistematica.
Questa sezione è dedicata al criterio 2: i vincoli di costruzione. Per informazioni sulla probabilità di guasto casuale e sulla capacità sistematica fate clic sui link corrispondenti.
PR electronics propone un'intera gamma di dispositivi certificati SIL per svariate applicazioni SIL.
Che cosa sono i vincoli di costruzione?
È sempre stato molto difficile ottenere dati precisi e affidabili sul tasso di guasto dei dispositivi elettrici/elettronici ed elettronici programmabili. Misurazioni e reporting incoerenti dei guasti sul campo, insieme a dati troppo ottimistici sul tasso di guasto da parte dei produttori, hanno spesso reso inadeguati e inattendibili i progetti basati su queste ipotesi.
Per compensare tutto questo, le norme sulla sicurezza funzionale imponevano dei vincoli di costruzione in base al livello SIL richiesto, quindi si è utilizzata una tolleranza ai guasti hardware (HFT) per integrare i tassi di guasto dichiarati, rafforzando l'integrità nella progettazione dei sistemi di sicurezza.
La tolleranza ai guasti hardware consiste nell'aggiunta di elementi ridondanti per evitare le conseguenze dei guasti, ad esempio 1oo1 = HFT0, 1oo2=HFT1.
L'ultimo aggiornamento della norma IEC 61511 propone 3 percorsi per soddisfare i vincoli di costruzione di una funzione di sicurezza:
- IEC 61508 – Percorso 1H
- IEC 61508 – Percorso 2H
- IEC 61511, da 11.4.5 a 11.4.9 del comma 11 (derivato da IEC 61508 – Percorso 2H)
IEC 61508 – Percorso 1H
Questo percorso è destinato principalmente ai nuovi dispositivi per i quali non sono disponibili dati storici. La tolleranza ai guasti hardware richiesta si basa sul tipo di dispositivo e sul calcolo della frazione di guasto in sicurezza.
Esistono 2 tipi di dispositivi: Tipo A e Tipo B. I dispositivi di Tipo A sono semplici, con modalità di guasto ben note, mentre quelli di Tipo B sono dispositivi complessi, che spesso contengono microprocessori/software.
La frazione di guasto in sicurezza (SFF, Safe Failure Fraction) è la percentuale di guasti rilevati in condizioni di sicurezza e di pericolo rispetto ai guasti totali.
Le tabelle fornite nelle norme mostrano i valori minimi di tolleranza ai guasti hardware in base al livello SIL richiesto.
IEC 61508 – Percorso 1H – Tabella
IEC 61511 e IEC 61508 – percorso 2H
La tabella della norma IEC 61511 per i vincoli di costruzione si basa sull'approccio IEC 61508 – Percorso 2H.
IEC 61511 - Requisiti HFT in base al livello SIL
Aggiunto alla seconda edizione della IEC 61508 (2010), il percorso 2H determina la tolleranza ai guasti hardware in base alla qualità dei dati storici di affidabilità raccolti sul campo.
La norma IEC 61508 stabilisce che la qualità dei dati utilizzati deve essere basata sul feedback sul campo per le apparecchiature in uso in un'applicazione e in un ambiente simili e sui dati acquisiti ai sensi delle norme pubblicate (ad esempio IEC 60300-3-2 o ISO 14224) e che deve essere valutata in base a:
- Numero di feedback sul campo
- Giudizio di esperti
- Esecuzione di test specifici, se necessario
È inoltre importante un'alta confidenza statistica (90%) dei dati per soddisfare le condizioni della norma IEC 61508-2010 – Percorso 2H.
La norma IEC 61511, al punto 11.4.9, stabilisce che "i dati di affidabilità utilizzati nel calcolo della misura dei guasti devono essere determinati con un limite superiore di confidenza statistica non inferiore al 70%."
È possibile utilizzare sia la IEC 61508 – Percorso 2H che la IEC 61511, ma è importante comprendere, documentare e convalidare completamente le prove utilizzate per giustificare questi approcci.
Il fatto di soddisfare i vincoli di costruzione relativi a una funzione di sicurezza non dimostra di per sé il raggiungimento del livello SIL richiesto. È necessario considerare anche la probabilità di guasto casuale e la capacità sistematica.