Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
l’Automazione Industriale
Sicurezza Funzionale 1
Elenco contenuti
Sicurezza Funzionale 2
Parametri rilevanti per la sicurezza
Sicurezza Funzionale
dei Sistemi di Sicurezza
per l’Automazione Industriale
Documentazione
Determinazione e
per tutte le fasi del ciclo Requisiti Requisiti
calcolo di
di vita della sicurezza per riguardanti le riguardanti le
misure per misure per
Valori quantitativi:
- Sistema di gestione
HFT, DC, SFF
- Hardware Evitare guasti Controllo dei guasti
PFD/PFH, PL
- Software
Sicurezza Funzionale 3
Sicurezza Funzionale 4
Terminologia (frequenze di guasto)
FREQUENZA DI GUASTO
Numero di Guasti di un
elemento in un dato periodo di
tempo in date condizioni
Sicurezza Funzionale 5
Ipotesi:
Durante il funzionamento normale, il
tasso di guasto è costante nel tempo
1 2 3 t
Mortalità infantile Funzionamento normale Termine del Mission Time
Sicurezza Funzionale 6
Terminologia (frequenze di guasto)
MTBF=MTTF+MTTR
MTTF=1/λ
Sicurezza Funzionale 7
EN 13849-
13849-1: MTTFd
MMTFd
Per la stima del MTTFd di un componente, il procedimento gerarchico per trovare i dati deve essere,
nell’ordine indicato:
a)utilizzo dei dati del fabbricante;
b)utilizzo dei metodi degli allegati C e D della norma;
c)scelta di dieci anni.
Sicurezza Funzionale 8
Tassi di guasto
Sicurezza Funzionale 9
Copertura diagnostica
NOTE:
• La copertura diagnostica può esistere per l’intero sistema oppure per una sua
parte. Per esempio, la copertura diagnostica può esistere per sensori e/o sistemi
logici e/o elementi finali.
• La copertura diagnostica che interessa maggiormente è quella relativa ai guasti
pericolosi.
Sicurezza Funzionale 10
Copertura diagnostica
λsu=λs*(1
*(1--DCs)
λdd=λd*DCd
λsd= λ s*DCs/100
λdu=λd*(1
*(1--DCd)
λsd=λs*DCs
Sicurezza Funzionale 11
Copertura diagnostica
Sicurezza Funzionale 12
EN ISO 13849-
13849-1: Stima del DC
Diagnostic coverage
¾ Descrive l’efficacia di misure e
verifiche diagnostiche
g
¾ È espresso in %
¾ Il valore medio è dato dalla
media pesata:
DC
¾ Nessuno DC < 60%
¾ Basso 60% ≤ DC < 90%
¾ Medio 90% ≤ DC < 99%
¾ Alto DC ≥ 99%
EN 13849-
13849-1: Copertura diagnostica
DC
Denotazione Intervallo
Nessuna DC < 60%
Bassa 60% ≤ DC < 90%
Media 90% ≤ DC < 99%
Alta 99% ≤ DC
Nota 1 Per i sistemi che consistono di diverse parti si utilizza un valore medio DCavg per DC nella figura
5, punto 6 ed E.2.
Nota 2 La scelta degli intervalli della DC si basa sui valori chiave del 60%, 90% e 99% stabiliti anche in
altre norme (per esempio IEC 61508) concernenti la copertura diagnostica delle prove. Le indagini
mostrano che (1 - DC) invece della DC stessa è una misura caratteristica dell’efficacia della prova. (1 -
DC) per i valori chiave del 60%, 90% e 99% forma una specie di scala logaritmica adatta alla scala
logaritmica del PL. Un valore della DC minore del 60% ha solo un lieve effetto sull’affidabilità del
sistema sottoposto a prova ed è pertanto denominato "nessuna". Un valore della DC maggiore del 99%
per i sistemi complessi è molto difficile da raggiungere. Per la fattibilità, il numero di intervalli è limitato a
quattro. Si assume che i limiti indicati del presente prospetto abbiano un’accuratezza del 5%.
Sicurezza Funzionale 14
Copertura diagnostica
¾ Le tabelle da A.2 ad A.15 della IEC 61508-2 includono tipologie
di misure per controllare/diagnosticare guasti, così come
l’All
l’Allegato
t Eddella
ll EN 13949
13949-1.
1
Coperttura Diagnostica
a
Sicurezza Funzionale 15
λ S + λ DD λ
SFF = = 1 − DU
λTOTAL λTOTAL
Domanda:
noto il valore SFF di un (sotto)sistema a un canale (1oo1), quanto vale
SFF per un (sotto)sistema a due canali (1oo2)?
(in cui ciascuno dei due canali corrisponde al (sotto)sistema 1oo1)
Sicurezza Funzionale 16
Safe Failure Fraction (Esempio 1)
C
T
Transistor
i t B λtot Tr. = 7 fit (1 fit = 10-99 1/h)
E
Totale: 7 diverse modalità di guasto:
¾3 circuiti aperti: B, E, C
¾4 cortocircuiti: B-E, C-B, C-E, B-C-E
Ipotesi: Il tasso di guasto totale λtot Tr è equamente distribuito tra le 7 modalità di guasto.
Ulteriore ipotesi: Tutte le modalità di guasto del transistor, eccetto le modalità di guasto
“cortocircuito tra C-E” e tra “C-E-B”, sono guasti sicuri.
Questi cortocircuiti tra C-E e C-E-B risultano nel caso in cui l’uscita di sicurezza
Q
rimanga attivo. Questi guasti non sono rilevati.
24V
Ciò significa 5/7 di 7 fit = 5 fit sono guasti sicuri (λS = 5 fit)
e 2/7 di 7 fit sono guasti pericolosi (λD = 2 fit).
Æ SFF = 5/7 = 71.4%
Sicurezza Funzionale 17
Secondo la IEC 61508-6 Allegato C: “Per componenti complessi, dove non è possibile
un’analisi dettagliata di ciascun guasto, una divisione dei guasti in 50% sicuri e 50%
pericolosi è generalmente accettata.”:
λS = 50 fit e λD = 50 fit
Vengono eseguite misure di diagnostica on-line, al fine di rilevare i guasti di tipo
pericolosi nelle ROM.
λDD DC = λDD / λD
λD
λDU
Sicurezza Funzionale 18
Safe Failure Fraction SFF
¾ Determinazione di SFF:
Failure Fraction
Si
Sicurezza (SIL) e d
dall’Architettura
ll’A hit tt d
dell sistema.
i t
Sicurezza Funzionale 19
In generale: HFT = N N+1 Guasti possono causare la perdita della funzione di sicurezza
Sicurezza Funzionale 20
Tolleranza ai guasti hardware
(HFT)
¾ Descrive l’architettura dell’hardware di un sistema in relazione
Tolleranzza ai guasti hardwarre
Sicurezza Funzionale 21
La tolleranza ai guasti N significa che il guasto N+1 può causare una perdita della funzione di sicurezza
Sicurezza Funzionale 22
SFF e HFT (EN 61508)
La tolleranza ai guasti N significa che il guasto N+1 può causare una perdita della funzione di sicurezza
Sicurezza Funzionale 23
La tolleranza ai guasti N significa che il guasto N+1 può causare una perdita della funzione di sicurezza
Sicurezza Funzionale 24
EN 62061:
Rapporto con EN 13849-
13849-1
Caso di sottosistemi a bassa complessità conformi a EN 13849-1
Categoria Hardware fault tolerance SFF MassimoSIL Claim Limit In
funzione dei vincoli di
Si assume che
h i sottosistemi
tt i t i con la l Categoria
C t i di
dichiarata
hi t architettura
abbiamo le caratteristiche sotto riportate
1 0 < 60% NOTA 1
EN 62061:
Rapporto con EN 13849-
13849-1
Caso di sottosistemi a bassa complessità conformi a EN 13849-1
Categoria Hardware fault tolerance DC PFHD (per hour) che può essere
dichiarato per il sottosistema
Si assume che i sottosistemi con la Categoria
dichiarata abbiamo le caratteristiche sotto riportate PFHD (MTTFsubsystem, Ttest, DC)
(NOTA 1)
Da fornire a cura del fornitore o
1 0 0%
utilizzare dati generici (Annex D)
2 0 60% - 90% ≥ 10-6
Sicurezza Funzionale 26
Intervalli di Proof test
e di prova diagnostica
Intervallo di Proof Test (TI):
( )
Intervallo di tempo tra due successive prove periodica per rilevare
guasti nel sistema così che, se necessario, il sistema possa essere
ripristinato ad una condizione di “come nuovo” o alla condizione più
vicina e pratica a questa.
Il “Proof Test”, idealmente, è in grado di rilevare tutti i guasti non
rilevati dalla diagnostica.
Sicurezza Funzionale 27
Sicurezza Funzionale 29
Sicurezza Funzionale 30
SIL e PFD/PFH (EN 61508)
Sicurezza Funzionale 31
SIL: Esempi
Esempio
p 1:
Sottosistema per applicazione di sicurezza (Tipo A)
¾ Low Demand Mode
¾ PFDAVG=3·10-5
¾ SFF=95%
¾ HFT=0
SIL=?
Sicurezza Funzionale 32
SIL: Esempi
Esempio
p 2:
Sottosistema per applicazione di sicurezza (Tipo A)
¾ Low Demand Mode
¾ PFDAVG=8·10-4
¾ SFF=95%
¾ HFT=0
SIL=?
Sicurezza Funzionale 33
SIL: Esempi
Esempio
p 3:
Sistema di sicurezza 1oo1:
¾ Tipo A
¾ Modo Operativo: Low Demand Mode
¾ PFDAVG=8·10-4
¾ SFF=95%
¾ HFT=0
SIL=?
Sicurezza Funzionale 34
EN 62061:
Differenze rispetto a EN 61508
Sicurezza Funzionale 35
Sicurezza Funzionale 36
Livelli di Prestazione (PL)
PL PFHd [1/h]
Sicurezza Funzionale 37
EN 13849-
13849-1: Categoria B
Principio
Comportamento utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
del sistema conseguire la ogni canale
sicurezza
I sistemi e/o le loro attrezzature di Il verificarsi di un Caratterizzato Da basso a Nessuna Non
protezione e i relativi componenti devono guasto può portare principalmente medio pertinente
essere progettati, costruiti, selezionati, alla perdita della dalla selezione
assemblati in conformità alle norme funzione di dei componenti
pertinenti in modo che possano resistere sicurezza.
alle influenze previste.
Si devono utilizzare principi di sicurezza
di base.
im im
I L O
Sicurezza Funzionale 38
EN 13849-
13849-1: Categoria 1
CATEGORIA 1
Principio
Comportamento utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
del sistema conseguire la ogni canale
sicurezza
Si devono applicare i requisiti di B. Si Il verificarsi di un Caratterizzato Alto Nessuna Non
devono utilizzare componenti e principi di guasto può portare principalmente pertinente
sicurezza ben provati. alla perdita della dalla selezione
funzione di dei componenti
sicurezza ma la
probabilità che si
verifichi è inferiore
rispetto alla
categoria B.
im im
I L O
Sicurezza Funzionale 39
EN 13849-
13849-1: Categoria 2
Principio
Comportamento del utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
sistema conseguire la ogni canale
sicurezza
Si devono applicare i requisiti di B e Il verificarsi di un Caratterizzato Da basso ad Da Vedere
utilizzare principi di sicurezza ben provati. guasto può portare principalmente alto bassa a appendice
La funzione di sicurezza può essere alla perdita della dalla struttura media F
controllata a intervalli opportuni mediante il funzione di sicurezza
sistema di comando della macchina. tra i controlli.
La perdita della
funzione di sicurezza è
rilevata dal controllo.
im im
I L O
¾m
im
TE OTE
Sicurezza Funzionale 40
EN 13849-
13849-1: Categoria 3
Principio
Comportamento del utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
sistema conseguire la ogni canale
sicurezza
i
Si devono applicare i requisiti di B e Quando si verifica un Caratterizzato Da basso ad Da Vedere
utilizzare principi di sicurezza ben provati. singolo guasto la principalmente alto bassa a appendice
Le parti legate alla sicurezza devono funzione di sicurezza è dalla struttura media F
essere progettate in modo che sempre eseguita.
¾ un singolo guasto in una di queste Alcuni ma non tutti i
parti non porti a una perdita della guasti sono rilevati.
funzione di sicurezza; e L’accumulo di guasti
¾ ogniqualvolta ragionevolmente non rilevati può
fattibile, il singolo guasto sia rilevato. portare alla perdita
della funzione di
sicurezza.
im m
I1 L1 im O1
im m
I2 im O2
L2
41
EN 13849-
13849-1: Categoria 4
Principio
MTTFd di
Comportamento del utilizzato per
Sintesi dei requisiti ogni DCavg CCF
sistema conseguire la
canale
sicurezza
Si devono applicare i requisiti di B e Quando si verifica un Caratterizzato Alto Alta Vedere
utilizzare principi di sicurezza ben singolo guasto la funzione principalmente incluso appendice
provati. di sicurezza è sempre dalla struttura l’accumulo F
Le parti legate alla sicurezza devono espletata. di guasti
essere progettate in modo che Il rilevamento dei guasti
¾ un singolo guasto in una di queste accumulati riduce la
parti non porti a una perdita della probabilità della perdita
funzione di sicurezza; e della funzione di
¾ il singolo guasto sia rilevato durante sicurezza (DC alta).
o prima della successiva richiesta I guasti sono rilevati in
della funzione di sicurezza ma, se tempo per prevenire la
tale rilevamento non è possibile, perdita della funzione di
l’accumulo di guasti non rilevati non sicurezza.
deve portare alla perdita della
funzione di sicurezza.
im m
I1 L1 im O1
c
im m
I2 L2 im O2
42
Considerazioni per il primo guasto
(Categoria 3 EN 13849-
13849-1)
Primo Guasto
Guasto rilevato e
SI Il sistema soddisfa
e controllato nel Process
i requisiti!
Safety Time?
NO
NO
SI
Rilevazione automatica
Definire una procedura La variazione di
NO dei guasti e transizione in stato SI
per prove periodiche stato è in intervalli di tempo
sicuro entro la prossima
(misure organizzative) accettabili?
variazione di stato?
NO 43
Categoria 3 EN 13849-1
Sicurezza Funzionale 44
Criteri per la rilevazione dei guasti
(Categoria 3 EN 13849-1)
¾ Dopo
p il ppower on / reset
¾ Entro il Process Safety Time
¾ Entro un intervallo di Test prefissato
¾ Al successivo cambio di stato
Sicurezza Funzionale 45
G
Guastot rilevato
il t e
NO SI
e controllato nel Process
Safety Time?
Rilevazione
NO automatica dei guasti SI Il sistema soddisfa
e shut-down i requisiti!
entro 1 h?
Rilevazione
Combinazione
NO automatica dei guasti e SI
con il secondo Guasto
shut-down entro il succ.
Torna a Start
cambio di stato?
Il cambio di stato SI
NO
avviene entro tempi
accettabili?
I Test periodici
Migliorare NO SI Istruzione Operativa:
sono sufficienti per
il progetto! Test periodico
rilevare i guasti?
46
Categoria 4 EN 13849-1
Sicurezza Funzionale 48
Domande?
Sicurezza Funzionale 49