Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
l’ integrità della sicurezza e la disponibilità’ operativa.
(di RTP Corporation, pubblicato su Chemical Engineering World ,OCTOBER 2009,
traduzione di Carlo LEBRUN, Ecisgroup SpA)
I tradizionali sistemi di sicurezza TMR tendono ad essere costosi da acquistare,
realizzare e mantenere. I SIS tradizionali possono anche raggiungere un grado di
complessità che molti impianti, con il personale oggi ridotto al minimo, non possono
permettersi di gestire. I SIS fault tolerant di terza generazione SIS forniscono
integrità della sicurezza senza eguali e disponibilità operativa, con costi ridotti per
tutto il ciclo di vita, come i gestori di processi oggi si aspettano.
Quando la Triple Modular Redundancy (TMR) venne introdotta negli anni 80 ha rappresentato una pietra
miliare per i sistemi emergency shutdown (ESD), fornendo un altissimo livello di integrità’ e riducendo l’
impegno della manutenzione allo stesso tempo. Più’ tardi si inizio a chiamare questi sistemi con la sigla SIS
(Safety Instrumented Systems). I tradizionali sistemi di sicurezza TMR tendono ad essere costosi da
acquistare, realizzare e modificare. I SIS tradizionali possono anche raggiungere un grado di complessità che
molti impianti, con il personale oggi ridotto al minimo, non possono permettersi di gestire.
Negli ultimi anni sono stati utilizzati diversi nuovi approcci. Questi includono nuovi sistemi integrati, che
usano la stessa piattaforma per SIS e DCS (Distributed Control System). Alcuni di questi sistemi integrati
usano l’ approccio della ridondanza, ed utilizzano più’ processori montati su un unico modulo comune.
Quando progettato ed installato correttamente questo tipo di sistema può’ aiutare a ridurre il costo del
ciclo di vita, pur fornendo il livello di integrità’ di sicurezza richiesto. Pero’, senza la ridondanza modulare, i
sistemi integrati non possono lontanamente raggiungere la tolleranza ai guasti dei sistemi TMR e non
possono essere riparati o aggiornati online.
Attualmente, è disponibile una terza opzione. Questa e’ conosciuta come terza generazione dei sistemi SIS
fault tolerant. Questi sistemi combinano strategie di ridondanza ben consolidate con architetture di sistema
più’ moderne e flessibili. I SIS fault tolerant di terza generazione SIS forniscono integrità della sicurezza
senza eguali e disponibilità operativa, con costi ridotti per tutto il ciclo di vita, come i gestori di processi
oggi si aspettano.
Perché’ i gestori di processi installano Sistemi di Sicurezza
Ogni operatore cerca di mantenere il processo il più’ sicuro possibile. Quando , nonostante questo , si
raggiunge una situazione di rischio, può’ essere necessario installare un SIS. Lo scopo primario di un SIS e’
portare il processo in condizioni di sicurezza. Preferibilmente il SIS non dovrebbe avere impatto sul
processo produttivo, pur rimanendo disponibile per intervenire quando necessario. Pero’ alcuni errori
interni possono provocare blocchi di sicurezza non realmente necessari (detti “ spuri”).
I blocchi di sicurezza sono progettati per prevenire incidenti costosi e pericolosi, ma comportano quasi
sempre sulla produzione la generazione di prodotti fuori specifica, oppure la perdita di produzione, oppure
il blocco totale. Quando il SIS interviene per rispondere alle condizioni di emergenza, il blocco di sicurezza
e’ necessario e’ quindi pienamente giustificato. I blocchi spuri, dovuti ad errori di sistema, non sono invece
assolutamente giustificabili.
Questi blocchi spuri non solo sono estremamente costosi, ma possono addirittura generare di per se’
situazioni pericolose. Questo perché’ le condizioni di startup e shutdown, specialmente quando non
programmate, sono quelle in cui accadono il maggior numero di incidenti.
Disponibilità’ della sicurezza e disponibilità’ operativa
I sistemi di sicurezza operano tipicamente in maniera indipendente dal sistema di controllo di base, e
richiedono un livello maggiore di integrità’ , ovvero di disponibilità’ della sicurezza. La disponibilità’ della
sicurezza implica la capacita’ del SIS di svolgere la funzione di sicurezza appropriata , quando il processo lo
richiede. Si misura in termini di media della probabilità’ di guasto su richiesta “Probability of Failure upon
Demand” (PFDavg).
Safety Integrity Levels
Il livello di disponibilità’ della sicurezza richiesto (SIL) per ogni singola logica di protezione (SIF), dipende da
un processo formale di analisi dei rischi. Per raffinerie ed impianti chimici il valore richiesto può’
tipicamente variare tra SIL 1 e SIL 3. Ogni valore di SIL successivo corrisponde ad un ordine di grandezza
superiore nella riduzione del rischio. I valori di SIL richiesti si raggiungono con una combinazione di qualità’
dei componenti e la loro ridondanza, diagnostica interna, test periodici, stima dei tempi di riparazione,
riduzione delle cause di guasto comune, e comprovato buon utilizzo in campo. Gli attuali standard di IEC e
ISA si concentrano sulle caratteristiche necessarie per ottenere il SIL desiderato.
Il modo in cui raggiungere il SIL richiesto e’ lasciato alla scelte del progettista e dell’ utilizzatore. Negli USA
la conformità’ a questi standard e’ assolutamente opzionale, e dipende dalle filosofie operative di ciascun
utilizzatore. In Europa ed alcune altre aree la conformità’ con norme e standard di sicurezza e’ obbligatoria
per legge.
Purtroppo la frequenza di blocchi spuri , o qualunque altro aspetto che può’ influire negativamente sulla
disponibilità’ operativa, ha un impatto trascurabile o nullo sui calcoli della PFD avg. Questo avviene perché’
gli standard attuali sono interessati esclusivamente a valutare la disponibilità’ del SIS per attuare la
funzione di sicurezza quando richiesto. I blocchi spuri sono considerati solo per quanto concerne la
sicurezza nell’ effettuare il blocco.
Possiamo senz’ altro dire che la disponibilità’ operativa e’ di scarso interesse per gli enti che stabiliscono
norme e linee guida. Eppure gli utilizzatori sono interessati a mantenere il livello più’ alto possibile di
disponibilità’ operativa.
Per la conformità’ con gli standard ISA/IEC sui sistemi di sicurezza, i guasti di un sistema devono essere
identificati e riparati entro un tempo piuttosto breve. Se il modulo coinvolto non può’ essere riparato o
sostituito in linea, e’ necessario programmare immediatamente un blocco della produzione per poter
procedere alla riparazione. Modifiche, aggiornamenti, e test periodici del SIS devono anch’ essi essere
programmati durante i blocchi della produzione, aggiungendo ulteriori impegni al personale di impianto,
che già’ solitamente lavora sotto pressione, durante queste interruzioni.
Tecnologia TMR della prima generazione
L’ approccio della ridondanza per tollerare i guasti, sviluppato per l’ industria aerospaziale, ha portato all’
introduzione della prima generazione di sistemi TMR (Triple Modular Redundant). Questi sono
essenzialmente dei PLC triplicati, che usano il sistema di voting due su tre (2003) prima di decidere sulla
necessita’ di effettuare un blocco di sicurezza. Questi sistemi si considerano fault‐tolerant perché’
continuano a funzionare (seppur in modalità’ degradata) anche quando e’ stato identificato un guasto di
uno dei moduli. Naturalmente anche l’ architettura hardware dei i moduli di ingresso / uscita deve
assicurare un livello di tolleranza ai guasti adeguato per il sensore e l’ elemento finale della logica SIF di
protezione completa.
Questa architettura fault‐tolerant TMR con voting 2003 voting assicura un alto livello di disponibilità’
operativa, dato che l’ intervento di blocchi spuri dovuti a guasti di sistema e’ fortemente limitato.
La prima generazione di sistemi TMR e’ stata creata prima della definizione degli standard internazionali di
riferimento disponibili oggi. In origine era stata progettata per fornire maggiore disponibilità’ operativa,
mantenendo la funzionalità’ di sicurezza richiesta. Con l’ introduzione degli standard internazionali i sistemi
della prima generazione sono stati modificati per raggiungere la conformità’ con le norme. In qualche caso
le norme richieste non potevano essere soddisfatte, costringendo gli utilizzatori ad aggiungere dispositivi di
protezione aggiuntivi esterni al sistema stesso.
In ogni caso, le norme richiedono che qualunque guasto, anche in un sistema triplicato, venga riparato in un
intervallo di tempo definito. L’ MTTR (Mean Time To Repair o Mean Time To Restore) e’ uno dei parametri
che concorrono alla certificazione SIL di una certa configurazione del SIS. Cosi’ se il componente difettoso
non può’ essere riparato online, occorre attuare una interruzione non programmata della produzione. Di
solito questo non costituisce un problema per i sistemi TMR di prima generazione, ma la seconda
generazione non ha in realtà’ peggiorato praticamente questo aspetto. I blocchi non previsti comportano
perdite nella produzione, e questo può’ costare parecchio agli utilizzatori, fino ad abbattere il profitto
mensile. Con i sistemi di prima generazione le limitazioni imposte alle modifiche online costringevano
talvolta a programmare delle interruzioni della produzione che avrebbero potuto altrimenti essere evitate.
Sistemi SIS della seconda generazione
Con l’ avanzare della tecnologia, nuovi sistemi SIS sono apparsi sul mercato. Grazie al progresso di questi
sistemi sono cresciute significativamente le capacita’ diagnostiche. E grazie a queste capacita’ diagnostiche
aggiuntive molti prodotti smisero di offrire la ridondanza tripla TMR, considerandola come obsoleta. In
molti casi i sistemi non offrivano neppure la normale ridondanza. Questo provoco’ un problema che non
esisteva nella prima generazione: dato che il SIS e’ singolo, non può’ essere riparato in linea. La conformità’
con lo standard ISA84 implicava perciò’ che qualunque guasto richiedesse di effettuare una interruzione
della produzione.
Oltre a questo la seconda generazione ha introdotto nuove architetture ridondate con schemi 1oo2 e 2oo4.
Seppur con qualche limitazione questi sistemi funzionano piuttosto bene. Il problema di questa
generazione non e’ ne’ la diagnostica ne’ la ridondanza, o la mancanza di questa. Il problema e’ in realtà’
nell’ obiettivo. Questi sistemi sono stati progettati per migliorare quelli di prima generazione. I sistemi di
terza generazione sono stati progettati invece per fornire la massima sicurezza all’ utilizzatore, ed al tempo
stesso la massima disponibilità’.
Terza generazione di sistemi FaultTolerant
L’ ultima generazione di sistemi fault‐tolerant non ridondanti e con ridondanza doppia e tripla modulare,
combina i benefici della prima e della seconda generazione, migliorando ulteriormente la diagnostica, l’
integrità’ della sicurezza, e la disponibilità’ operativa, ed abbassando significativamente i costi del ciclo di
vita. Questo risultato e’ stato raggiunto realizzando nuovi approcci alla ridondanza, migliorando la
copertura diagnostica con migliori prestazioni di calcolo e comunicazione, e migliorando le capacita’ di
riparazione, modifica, ed aggiornamento online. L’ obiettivo di questa generazione di sistemi non e’ stato
un piccolo miglioramento delle prestazioni precedenti , ma fornire all’ utilizzatore la migliore protezione
contro il rischio di processo possibile con la minima interferenza sulla capacita’ produttiva.
Inoltre, a differenza delle precedenti generazioni di sistemi di sicurezza, i nuovi sistemi simplex, o ridondati
doppi e tripli possono raggiungere la certificazione SIL cosi’ come sono prodotti, senza richiedere
personalizzazioni, e senza restrizioni imposte dagli enti di certificazione.
Il risultato finale e’ che i sistemi di terza generazione possono fornire significativi aumenti di integrità’ e
disponibilità’ rispetto a quelli di prima o seconda. Con valori di integrità’ oltre 99.9999 % (sei nove!)
quando configurati con ridondanza tripla, i SIS di terza generazione possono eliminare buona parte dei
guasti attribuibili al sistema di controllo, portando la disponibilità’ operativa oltre i 2000 anni.
Con i sistemi di sicurezza di terza generazione ogni guasto e’ automaticamente identificato dal sistema
senza il bisogno di applicazioni sviluppate dall’ utente. Con la configurazione TMR questi sistemi potranno
continuare ad operare in sicurezza anche in presenza di un singolo guasto, ed in molti casi anche in
presenza di più’ guasti. Al contrario di precedenti soluzioni basate su PLC, i sistemi TMR di terza
generazione si portano sempre in condizioni di sicurezza, anche in presenza di guasti multipli.
Approcci più’ robusti e flessibili alla ridondanza
I sistemi TMR tradizionali sono piuttosto rigidi sulla ridondanza, dato che l’ architettura e’ imposta dal
produttore. Con i sistemi di terza generazione il livello di ridondanza può’ essere completamente definito
dall’ utilizzatore. Questa libertà’ include la possibilità’ di scegliere una ridondanza nulla, doppia o tripla per
ogni singola logica di protezione SIF. I livelli di ridondanza degli ingressi ed uscite possono essere definiti via
software punto per punto. Un ingresso o un’ uscita può’ essere collegato ad un solo ingresso su una singola
scheda, o a più’ ingressi della stessa scheda, o a schede diverse montate in chassis diversi. Questo permette
all’ utente di sintonizzare l’ esatto livello di ridondanza e tolleranza ai guasti richiesto su vari livelli all’
interno di un solo sistema. La ridondanza e’ gestita dal sistema, in maniera trasparente per l’ utilizzatore.
Nei sistemi TMR di prima generazione le tre CPU sono montate sulla stessa scheda. Questo rende possibile
un danno fisico a tutte e tre causato da un solo incidente (come quando un muletto guidato con poca cura
finisce contro l’ armadio che contiene il sistema). Nei sistemi di terza generazione le CPU doppie e triple
possono essere montate in chassis diversi o addirittura in armadi diversi, a discrezione dell’ utilizzatore. La
comunicazione ridondante tra i componenti del sistema riduce le possibilità’ che un singolo guasto
comporti la perdita di produzione.
Miglioramento della copertura diagnostica e della verifica dei guasti
I sistemi TMR di terza generazione offrono tipicamente un aumento della copertura diagnostica, rispetto
alla prima o alla seconda generazione. L’ estesa copertura diagnostica integrata identifica immediatamente
un guasto in qualunque dei componenti sostituibili in campo. La verifica diagnostica viene eseguita ad
ogni ciclo di calcolo: integrità’ della CPU; integrità’ della comunicazione; integrità’ della piastra di supporto;
integrità’ dei fili verso il/dal campo; interfaccia con le schede di input/output. L’ attuazione forzata della
diagnostica assicura che le verifiche stanno funzionando correttamente, ed il sistema può’ quindi rimanere
in esercizio.
Secondo le stringenti normative di oggi, il test funzionale del SIS e’ richiesto periodicamente, per
identificare eventuali guasti latenti, in modo da isolarli ed intervenire prima che possono compromettere la
funzionalità’ di sicurezza . Con i sistemi TMR convenzionali e’ spesso necessario sviluppare applicazioni
software aggiuntive, per poter effettuare la verifica funzionale, ed analizzare il risultato. Invece con i sistemi
di terza generazione, la verifica funzionale del SIS fa’ parte del sistema stesso e può’ essere eseguita dall’
utilizzatore nel proprio sito. In alcuni casi e’ sufficiente togliere l’ alimentazione al logic solver e quindi
fornirla di nuovo.
L’ aumentata copertura e l’ aumentata frequenza con cui i sistemi di terza generazione eseguono le
verifiche diagnostiche serve anche a ridurre la frequenza richiesta per la verifica funzionale completa
necessaria per mantenere la certificazione SIL, riducendo ulteriormente la indisponibilità’ operativa. In
alcuni casi i tempi di verifica del logic solver possono raggiungere i dieci anni, permettendo la massima
flessibilità e trasformando la prova funzionale da un grosso problema operativo ad una banale routine, per
chi si occupa di mantenere la certificazione SIL.
L’ aumentata copertura diagnostica migliora anche la disponibilità’ operativa attraverso l’ identificazione
dei guasti ed errori che potrebbero provocare un blocco spurio prima che questo di fatto avvenga. In
questo modo la diagnostica contribuisce ad evitare i blocchi spuri e migliorare la disponibilità’ operativa e
mantenere cosi’ la remunerati vita’ dell’ impianto.
Per assicurare l’ integrità’ del SIS diverse complesse applicazioni di monitoraggio degli errori sono utilizzate
continuamente per testare tutte le componenti hardware, la comunicazione, ed i calcoli. I cavi dai
trasmettitori e verso gli attuatori, i moduli di interfaccia I/O, l’ integrità’ del processore , l’ integrità’ della
scheda madre, e la comunicazione sono verificati ad ogni ciclo macchina. I dati vengono trasferiti solo dopo
che sia l’ ingresso che l’ uscita sono state verificate. Watchdog e temporizzatori hardware e software, con
basi temporali diverse, verificano la normale esecuzione del software
Migliore performance
La legge di Moore dice che la capacita’ di calcolo cresce con grande rapidità’ , da quando sono stati
introdotti i sistemi della prima generazione. I microprocessori sono diventati più’ piccoli, più’ potenti, e più’
efficienti. Progressi enormi sono stati fatti anche nel campo del calcolo parallelo, e questo permette a più’
processori di lavorare insieme per eseguire calcoli sempre più’ complessi, a velocità’ molto maggiori di
calcolatori individuali molto più’ grandi e costosi. Questa e’ la ragione per cui la ultima tendenza dei
supercomputer e’ verso il calcolo parallelo.
In contrasto con le prime due generazioni, che erano progettate per lavorare in serie, eseguendo un
processo per volta, i SIS della terza generazione possono avere cento o più’ processori che lavorano in
parallelo, migliorando drammaticamente le prestazioni di elaborazione, comunicazione, e scansione di I/O.
Il potere di calcolo disponibile oggi permette di eseguire più’ di 500 control loops ogni 10 msec, con un
tempo di reazione di 25 msec. Questo include la scansione degli I/O, l’ elaborazione della logica, e la
gestione degli allarmi, cosi’ come le funzioni di comunicazione peer‐to‐peer ed altre. Questo al confronto
del tipico tempo di reazione di un sistema di prima generazione di 200‐500 msec.
Riparazioni, modifiche ed aggiornamenti online senza limitazioni
La riparabilità’ online e’ data dalla possibilità’ di sostituire moduli difettosi con moduli funzionanti senza
interferire con il processo di produzione. Questo e’ molto importante per tutti i sistemi mission‐critical, ma
ancora di più’ per i sistemi di sicurezza. Tutti i sistemi ridondati (doppi o tripli) offrono in una certa misura
la riparabilità’ online. Pero’ non e’ chiaro come la sostituzione può’ essere effettuata in sicurezza per i
sistemi non ridondati, dato che questi non hanno nessuna unita’ di backup per effettuare l’ intervento di
una logica SIF quando il modulo difettoso e’ in sostituzione. Quindi, anche se il sistema può’ continuare ad
operare in presenza di un singolo guasto, un’ interruzione della produzione e’ necessaria per permettere la
sostituzione del modulo entro il Mean Time to Repair (MTTR) stabilito.
Per poter effettuare la riparazione online di una scheda, nei sistemi convenzionali occorre normalmente
mantenere libero uno slot ogni due, per poter inserire un modulo di ricambio. Questo fattore aumenta il
numero di rack richiesti, e quindi lo spazio necessario per il sistema. Con i sistemi di terza generazione
invece, e’ possibile usare qualunque slot libero, ed il modulo difettoso può’ essere rimosso e sostituito
sotto tensione senza interrompere la produzione. In combinazione con le capacita’ diagnostiche, la
capacita’ di sostituzione “a caldo” determina il Mean Time to Repair (MTTR) minore rispetto a qualunque
altra precedente classe di sistemi di sicurezza.
Un’ altra caratteristica dei sistemi TMR di prima generazione e’ che la quantità’ di aggiornamenti e’ limitata
dalla dimensione della memoria riservata per questo scopo. Persino alcuni sistemi della seconda
generazione utilizzano la memoria in questo modo. Una volta che la memoria e’ completamente utilizzata
occorre pianificare un blocco della produzione per poter effettuare ulteriori aggiornamenti. Con i sistemi
di terza generazione un numero illimitato di aggiornamenti può’ essere effettuato senza nessuna
interruzione dell’ esercizio.
Questi sistemi della terza generazione possono quindi permettere agli utilizzatori di raggiungere l’ integrità’
della sicurezza desiderata, e migliorare la tempo stesso la disponibilità’ operativa , riducendo il numero di
blocchi spuri della produzione. Tutto questo attraverso la maggiore flessibilità’ nella ridondanza, la minore
frequenza di test funzionali necessari, ed la capacita’ di riparazione ed aggiornamenti online illimitata.
Conclusioni
Gli utilizzatori si confrontano oggi con un enorme ventaglio di scelte possibili, quando devono selezionare
un sistema di strumentazione di sicurezza per i loro impianti. Questo orizzonte di scelte spazia tra sistemi
che non hanno nessuna sinergia o integrazione con la piattaforma utilizzata per il controllo di base, a
sistemi totalmente indistinguibili da quest’ ultima. Di solito ogni fornitore presenta il proprio sistema come
il migliore. In realtà’, anche se qualsiasi fornitore può’ vantare valide argomentazioni in supporto del
proprio prodotto, qualunque approccio implica un compromesso tra integrità’ della sicurezza, disponibilità’
operativa, e costo. Per questo motivo e’ importantissimo, prima di selezionare un prodotto, valutare le
caratteristiche attentamente ed in profondità’. Ogni utilizzatore dovrebbe analizzare le scelte di
compromesso effettuate dal produttore, per valutarne la compatibilità’ con le proprie filosofie operative.