Sicurezza Funzionale per

l’Automazione Industriale

Parametri rilevanti per la sicurezza –

λD, λS, DC,
DC HFT,
HFT SFF
SFF, TI,
TI TID, PFD/PFH;
PL, Categorie

Sicurezza Funzionale 1

Elenco contenuti

¾ Definizione e calcolo di parametri correlati alla sicurezza

• Tassi di guasto (λD, λS)
• DC
• HFT
• SFF
• PFD / PFH
• SIL
¾ Requisiti alternativi per EN 13849-1: PL e Categorie

Sicurezza Funzionale 2
 Parametri rilevanti per la sicurezza
Sicurezza Funzionale
dei Sistemi di Sicurezza
per l’Automazione Industriale

Documentazione
Determinazione e
per tutte le fasi del ciclo Requisiti Requisiti
calcolo di
di vita della sicurezza per riguardanti le riguardanti le
misure per misure per
Valori quantitativi:
- Sistema di gestione
HFT, DC, SFF
- Hardware Evitare guasti Controllo dei guasti
PFD/PFH, PL
- Software

Sicurezza Funzionale 3

Terminologia (frequenze di guasto)

TARGET FAILURE RATES

Probabilità di guasto pericoloso, da raggiungere in funzione dei
requisiti di integrità di sicurezza, specificata in termini di:
• Low Demand Mode: PFDAVG: probabilità media che, su
richiesta, il sistema (ovvero un suo elemento) non svolga la
funzione di sicurezza
• High Demand or Continuous Mode: PFH: probabilità oraria di
guasti pericolosi, ovvero probabilità oraria che il sistema (ovvero
un suo elemento) non svolga la funzione di sicurezza

Sicurezza Funzionale 4
 Terminologia (frequenze di guasto)

FREQUENZA DI GUASTO
Numero di Guasti di un
elemento in un dato periodo di
tempo in date condizioni

λD frequenza di guasti pericolosi Safe State

λs frequenza di guasti sicuri Dangerous State

Sicurezza Funzionale 5

Assunzioni sui tassi di guasto λ

λ

Ipotesi:
Durante il funzionamento normale, il
tasso di guasto è costante nel tempo

1 2 3 t
Mortalità infantile Funzionamento normale Termine del Mission Time

Sicurezza Funzionale 6
 Terminologia (frequenze di guasto)

MEAN TIME BETWEEN FAILURE (MTBF)

ttempo medio
di ttra d
due guastiti consecutivi
ti i d
durante
t lla vita
it

MEAN TIME TO FAILURE (MTTF)

tempo medio fino all’accadere di un guasto durante la vita

MEAN TIME TO RESTORATION (MTTR)

tempo medio per il ripristino della funzionalità di un sistema.
MTTR include anche i tempi p amministrativi

MTBF=MTTF+MTTR

MTTF=1/λ

Sicurezza Funzionale 7

EN 13849-
13849-1: MTTFd
MMTFd

Denotazione di ogni canale Intervallo di ogni canale

Basso 3 anni ≤ MTTFd < 10 anni
Medio 10 anni ≤ MTTFd < 30 anni
Alto 30 anni ≤ MTTFd ≤ 100 anni
Nota 1 La scelta degli intervalli del MTTFd di ogni canale si basa sulle frequenze di guasto riscontrate sul campo
allo stato dell’arte, che formano una specie di scala logaritmica adatta alla scala logaritmica del PL. Non si
prevede di trovare un valore MTTFd di ogni canale minore di tre anni per sistemi reali poiché ciò significherebbe
che dopo un anno circa il 30% di tutti i sistemi sul mercato subirebbe guasti e necessiterebbe di essere sostituito.
Un valore MTTFd di ogni canale maggiore di 100 anni non è accettabile poiché i sistemi per rischi elevati non
dovrebbero dipendere unicamente dall’affidabilità dei componenti. Per rafforzare i sistemi contro i guasti
sistematici e casuali, si dovrebbero richiedere mezzi aggiuntivi come ridondanza e test. Per la fattibilità, il numero
di intervalli è limitato a tre. La limitazione del valore MTTFd di ogni canale a un massimo di 100 anni si riferisce al
g
singolo canale del sistema che svolge g la funzione di sicurezza. Valori MTTFd superiori
p possono essere utilizzati
p
per singoli componenti (vedere prospetto D.1).
Nota 2 Si assume che i limiti indicati del presente prospetto abbiano un’accuratezza del 5%.

Per la stima del MTTFd di un componente, il procedimento gerarchico per trovare i dati deve essere,
nell’ordine indicato:
a)utilizzo dei dati del fabbricante;
b)utilizzo dei metodi degli allegati C e D della norma;
c)scelta di dieci anni.
Sicurezza Funzionale 8
 Tassi di guasto

¾ Determinazione dei tassi di guasto (MTTFd):

• Dati del fabbricante
• Dati presi da database industriali riconosciuti (componenti elettrici)
ssi di guasto

• Utilizzo di buone regole tecniche, per componenti meccanici,

idraulici, pneumatici ed elettromeccanici (conformità a norme
tecniche)
• Utilizzo di principi di sicurezza di base e ben provati, per componenti
meccanici, idraulici, pneumatici ed elettromeccanici
• => Analisi FME(D)A, basata su tassi di guasto dei componenti
elementari
Tas

¾ Nella valutazione devono essere inclusi solo i componenti che

fanno parte della funzione di sicurezza
¾ I tassi di guasto forniti dai fabbricanti o i valori calcolati con
metodo proven in use devono avere un livello di confidenza
almeno del 70%.

Sicurezza Funzionale 9

Copertura diagnostica

FATTORE DI COPERTURA DIAGNOSTICA (DC)

Diminuzione frazionaria nella probabilità di guasti
pericolosi nell’hardware, derivante dall’operazione
compiuta durante le verifiche diagnostiche
.

λDD = probabilità di guasti pericolosi rilevati DC =

∑λ DD
λDtotal = probabilità totale di guasti pericolosi ∑λ Dtotal

NOTE:
• La copertura diagnostica può esistere per l’intero sistema oppure per una sua
parte. Per esempio, la copertura diagnostica può esistere per sensori e/o sistemi
logici e/o elementi finali.
• La copertura diagnostica che interessa maggiormente è quella relativa ai guasti
pericolosi.

Sicurezza Funzionale 10
 Copertura diagnostica

FATTORE DI COPERTURA DIAGNOSTICA

DC può essere differente per guasti sicuri e pericolosi

λsu=λs*(1
*(1--DCs)
λdd=λd*DCd
λsd= λ s*DCs/100
λdu=λd*(1
*(1--DCd)

λsd=λs*DCs

Sicurezza Funzionale 11

Copertura diagnostica

¾ Le funzioni diagnostiche sono considerate separate e suscettibili di

avere una struttura diversa dal Sistema di Sicurezza e possono
essere eseguite:
• dal sottosistema che richiede la diagnostica, oppure
• da altri sottosistemi; oppure
• da sottosistemi che non eseguono funzione di sicurezza

¾ Le funzioni diagnostiche soddisfare prescrizioni per evitare guasti

sistematici e prescrizioni per il controllo dei guasti sistematici

¾ La probabilità di un guasto a una o più funzioni diagnostiche deve

essere considerata quando si stima la probabilità di un guasto
pericoloso. DOMANDA: quanto è importante, quanto incide?

Sicurezza Funzionale 12
 EN ISO 13849-
13849-1: Stima del DC
Diagnostic coverage
¾ Descrive l’efficacia di misure e
verifiche diagnostiche
g
¾ È espresso in %
¾ Il valore medio è dato dalla
media pesata:

DC
¾ Nessuno DC < 60%
¾ Basso 60% ≤ DC < 90%
¾ Medio 90% ≤ DC < 99%
¾ Alto DC ≥ 99%

Come determinare DC?

¾ Valore ottenuto da checklist
(Annex E EN 13849-1)
¾ Deve essere considerato
solo per dispositivi in
Categoria 2, 3 o 4

EN 13849-
13849-1: Copertura diagnostica

DC
Denotazione Intervallo
Nessuna DC < 60%
Bassa 60% ≤ DC < 90%
Media 90% ≤ DC < 99%
Alta 99% ≤ DC
Nota 1 Per i sistemi che consistono di diverse parti si utilizza un valore medio DCavg per DC nella figura
5, punto 6 ed E.2.

Nota 2 La scelta degli intervalli della DC si basa sui valori chiave del 60%, 90% e 99% stabiliti anche in
altre norme (per esempio IEC 61508) concernenti la copertura diagnostica delle prove. Le indagini
mostrano che (1 - DC) invece della DC stessa è una misura caratteristica dell’efficacia della prova. (1 -
DC) per i valori chiave del 60%, 90% e 99% forma una specie di scala logaritmica adatta alla scala
logaritmica del PL. Un valore della DC minore del 60% ha solo un lieve effetto sull’affidabilità del
sistema sottoposto a prova ed è pertanto denominato "nessuna". Un valore della DC maggiore del 99%
per i sistemi complessi è molto difficile da raggiungere. Per la fattibilità, il numero di intervalli è limitato a
quattro. Si assume che i limiti indicati del presente prospetto abbiano un’accuratezza del 5%.

Sicurezza Funzionale 14
 Copertura diagnostica
¾ Le tabelle da A.2 ad A.15 della IEC 61508-2 includono tipologie
di misure per controllare/diagnosticare guasti, così come
l’All
l’Allegato
t Eddella
ll EN 13949
13949-1.
1
Coperttura Diagnostica
a

¾ La copertura diagnostica raggiungibile dipende dalle misure

scelte (bassa: 60%, media: 90%, alta: 99%)

¾ La copertura diagnostica riportata nelle tabelle è relativa alla

totalità dei guasti: un metodo alternativo è di assegnare
copertura diagnostica ai singoli modi di guasto

¾ Le tabelle non sono esaustive: possono essere definiti ulteriori

metodi di diagnosi

¾ I componenti poco complessi (Tipo A) possono raggiungere

una copertura fino al 100%

Sicurezza Funzionale 15

Safe Failure Fraction

λ S + λ DD λ
SFF = = 1 − DU
λTOTAL λTOTAL
Domanda:
noto il valore SFF di un (sotto)sistema a un canale (1oo1), quanto vale
SFF per un (sotto)sistema a due canali (1oo2)?
(in cui ciascuno dei due canali corrisponde al (sotto)sistema 1oo1)

Sicurezza Funzionale 16
 Safe Failure Fraction (Esempio 1)
C
T
Transistor
i t B λtot Tr. = 7 fit (1 fit = 10-99 1/h)
E
Totale: 7 diverse modalità di guasto:
¾3 circuiti aperti: B, E, C
¾4 cortocircuiti: B-E, C-B, C-E, B-C-E
Ipotesi: Il tasso di guasto totale λtot Tr è equamente distribuito tra le 7 modalità di guasto.
Ulteriore ipotesi: Tutte le modalità di guasto del transistor, eccetto le modalità di guasto
“cortocircuito tra C-E” e tra “C-E-B”, sono guasti sicuri.
Questi cortocircuiti tra C-E e C-E-B risultano nel caso in cui l’uscita di sicurezza
Q
rimanga attivo. Questi guasti non sono rilevati.
24V

Ciò significa 5/7 di 7 fit = 5 fit sono guasti sicuri (λS = 5 fit)
e 2/7 di 7 fit sono guasti pericolosi (λD = 2 fit).
Æ SFF = 5/7 = 71.4%

Sicurezza Funzionale 17

Safe Failure Fraction (Esempio 2)

ROM λtot ROM. = 100 fit

Numero delle differenti modalità di guasto: ?

Æ Divisione dei guasti in sicuri e pericolosi non possibile.

Secondo la IEC 61508-6 Allegato C: “Per componenti complessi, dove non è possibile
un’analisi dettagliata di ciascun guasto, una divisione dei guasti in 50% sicuri e 50%
pericolosi è generalmente accettata.”:

λS = 50 fit e λD = 50 fit
Vengono eseguite misure di diagnostica on-line, al fine di rilevare i guasti di tipo
pericolosi nelle ROM.

λDD DC = λDD / λD
λD
λDU
Sicurezza Funzionale 18
 Safe Failure Fraction SFF

¾ Determinazione di SFF:
Failure Fraction

• Sulla base dei valori di DC

• utilizzo di FMEA

¾ Nella valutazione devono essere inclusi solo i componenti che

fanno parte della funzione di sicurezza

¾ Il valore permesso di SFF dipende dal Livello d’Integrità di

Safe F

Si
Sicurezza (SIL) e d
dall’Architettura
ll’A hit tt d
dell sistema.
i t

Sicurezza Funzionale 19

Tolleranza ai guasti hardware HFT,

Architettura
L’architettura di un sistema è definita dalla tolleranza ai guasti
h d
hardware.

¾ Una tolleranza N ai guasti hardware vuol dire che il guasto N+1

potrebbe portare ad una perdita della funzione di sicurezza
¾ Le misure diagnostiche non vengono considerate per stimare la
tolleranza ai guasti hardware
¾ Esclusioni di guasto giustificate sono accettabili

In generale: HFT = N N+1 Guasti possono causare la perdita della funzione di sicurezza

Sicurezza Funzionale 20
 Tolleranza ai guasti hardware
(HFT)
¾ Descrive l’architettura dell’hardware di un sistema in relazione
Tolleranzza ai guasti hardwarre

alla funzione di sicurezza definita.

¾ Una tolleranza ai guasti hardware di N vuol dire che il guasto

N+1 può causare la perdita della funzione di sicurezza

¾ Le misure diagnostiche non devono essere considerate

¾ Esclusioni giustificate di guasti sono accettate

¾ La tolleranza ai guasti hardware richiesta dipende dal Livello

d’Integrità di Sicurezza (SIL) desiderato

Sicurezza Funzionale 21

SFF e HFT (EN 61508)

Safe Failure Fraction Hardware Fault Tolerance (HFT)

(SFF) Tipo A – Sottosistemi “semplici”
semplici”
N=0 N=1 N=2
(1oo1(D), 2oo2(D)) (1oo2(D), 2oo3(D)) (1oo3(D))

< 60% SIL 1 SIL 2 SIL 3

60%… < 90% SIL 2 SIL 3 SIL 4

90% < 99%

90%… SIL 3 SIL 4 SIL 4

>= 99% SIL 3 SIL 4 SIL 4

La tolleranza ai guasti N significa che il guasto N+1 può causare una perdita della funzione di sicurezza

Sicurezza Funzionale 22
 SFF e HFT (EN 61508)

Safe Failure Fraction Hardware Fault Tolerance (HFT)

(SFF) Tipo B – sottosistemi complessi
N=0 N=1 N=2
(1oo1(D), 2oo2(D)) (1oo2(D), 2oo3(D)) (1oo3(D))

< 60% Non permesso SIL 1 SIL 2

60%… < 90% SIL 1 SIL 2 SIL 3

90% < 99%

90%… SIL 2 SIL 3 SIL 4

>= 99% SIL 3 SIL 4 SIL 4

La tolleranza ai guasti N significa che il guasto N+1 può causare una perdita della funzione di sicurezza

Sicurezza Funzionale 23

EN 62061: Vincoli di architettura

Safe Failure Fraction Hardware Fault Tolerance

(SFF) Tipo B – sottosistemi complessi
N=0 N=1 N=2
(1oo1D, 2oo2D) (1oo2D, 2oo3D) (1oo3D)

< 60% Non permesso SIL 1 SIL 2

60%… < 90% SIL 1 SIL 2 SIL 3

90% < 99%

90%… SIL 2 SIL 3 SIL 3

>= 99% SIL 3 SIL 3 SIL 3

La tolleranza ai guasti N significa che il guasto N+1 può causare una perdita della funzione di sicurezza

Sicurezza Funzionale 24
 EN 62061:
Rapporto con EN 13849-
13849-1
Caso di sottosistemi a bassa complessità conformi a EN 13849-1
Categoria Hardware fault tolerance SFF MassimoSIL Claim Limit In
funzione dei vincoli di
Si assume che
h i sottosistemi
tt i t i con la l Categoria
C t i di
dichiarata
hi t architettura
abbiamo le caratteristiche sotto riportate
1 0 < 60% NOTA 1

2 0 60% - 90% SIL 1

3 1 < 60% SIL 1

1 60% - 90% SIL 3

4 >1 60% - 90% SIL 3 (NOTA 3)
1 > 90% SIL 3 (NOTA 4)
NOTA 1 I casi per le Categorie 1 e 2 dove la SFF è < 60 % sono considerati non rilevanti nell’ambito della ISO 13849-1, e i
sottosistemi progettati in conformità alla ISO 13849-1 realizzano in pratica una SFF superiore al 60 %.
NOTA 2 Il caso per la Categoria 2 dove la SFF > 90 % si ritiene non realizzato dalle prescrizioni di progettazione della ISO 13849-1.
NOTA 3 La copertura diagnostica è ritenuta inferiore a 90 % per i sottosistemi della Categoria 4 nei quali si considera una tolleranza
maggiore di quella all’avaria singola dell’hardware (cioè avarie accumulate).
NOTA 4 La Categoria 4 prescrive una SFF superiore a 90 % ma inferiore a 99 % quando si considera la tolleranza all’avaria singola
dell’hardware.
NOTA 5 La Categoria B in conformità alla ISO 13849-1 non è considerata sufficiente al raggiungimento di SIL 1.

EN 62061:
Rapporto con EN 13849-
13849-1
Caso di sottosistemi a bassa complessità conformi a EN 13849-1
Categoria Hardware fault tolerance DC PFHD (per hour) che può essere
dichiarato per il sottosistema
Si assume che i sottosistemi con la Categoria
dichiarata abbiamo le caratteristiche sotto riportate PFHD (MTTFsubsystem, Ttest, DC)
(NOTA 1)
Da fornire a cura del fornitore o
1 0 0%
utilizzare dati generici (Annex D)
2 0 60% - 90% ≥ 10-6

3 1 60% - 90% ≥ 2 x 10-7

4 >1 60% - 90% ≥ 3 x 10-8
1 > 90% ≥ 3 x 10-8
NOTA 1 Il valore di soglia PFHD è una funzione del MTTF del sottosistema (derivato dal costruttore del sottosistema o dai
manuali dei dati dei componenti relativi), del tempo del ciclo di prova/verifica, come indicato nella specifica delle prescrizioni di
sicurezza (tale informazione è richiesta inoltre per la validazione del sottosistema in conformità con 3.5 della ISO 13849-2), e
della copertura diagnostica, come indicato nella presente Tabella (questi valori si basano sulle prescrizioni delle categorie
descritte nella ISO 13849-1).
NOTA 2 La Categoria B secondo la ISO 13849-1 non può essere considerata sufficiente a raggiungere SIL 1.

Sicurezza Funzionale 26
 Intervalli di Proof test
e di prova diagnostica
Intervallo di Proof Test (TI):
( )
Intervallo di tempo tra due successive prove periodica per rilevare
guasti nel sistema così che, se necessario, il sistema possa essere
ripristinato ad una condizione di “come nuovo” o alla condizione più
vicina e pratica a questa.
Il “Proof Test”, idealmente, è in grado di rilevare tutti i guasti non
rilevati dalla diagnostica.

Intervallo di Test Diagnostico (TID):

Intervallo di tempo tra due successive prove on-line, allo scopo di
rilevare guasti in un sistema correlato alla sicurezza con specifica
copertura diagnostica.

Sicurezza Funzionale 27

Parametri correlati alla sicurezza

PFDAVG e PFH
Probabilità di guasto (pericoloso) su richiesta (PFD)
ÆFunzione di sicurezza funzionante con una modalità di
funzionamento a bassa richiesta
ÆLow Demand Mode: la frequenza di richieste di funzionamento
fatte ad un sistema correlato alla sicurezza non è maggiore di uno
all’anno e non è maggiore di due volte l’intervallo di prova.

Probabilità di guasto (pericoloso) oraria (PFH)

ÆFunzione di sicurezza funzionante con una modalità di
funzionamento ad alta richiesta o continua
ÆModalità High Demand Mode o continua: la frequenza di
richieste di funzionamento fatte ad un sistema correlato alla sicurezza
è maggiore di uno all’anno o maggiore di due volte l’intervallo di
Test.
Sicurezza Funzionale 28
 Parametri correlati alla sicurezza
PFDAVG e PFH
Tempo di Sicurezza di Processo:
Il tempo di sicurezza di processo è il tempo massimo in cui un
processo o una macchina sotto controllo tollera uno stato di guasto
dal sistema di sicurezza senza rischi per le persone o l’ambiente.
Il tempo di sicurezza di processo dipende dal processo sotto
controllo.

La somma dell’intervallo di test diagnostico + il tempo di reazione del

sistema deve essere minore del tempo di sicurezza di processo.
processo

Sicurezza Funzionale 29

Parametri correlati alla sicurezza

PFDAVG e PFH
¾ L’efficacia riguardante l’architettura e le misure implementate
va
Parametrii di sicurezza relativ

per controllare i guasti sono descritte dai parametri di

sicurezza relativa PFDAVG e PFHd.

¾ Per questi parametri sono richiesti valori obiettivo per la

Funzione di Sicurezza specificata in funzione del Livello
d’Integrità di Sicurezza.
¾ Questi valori devono essere garantiti per tutto il tempo di vita
atteso.

¾ Per Funzioni di Sicurezza funzionanti in modo Operativo “Low

Demand” (predominante nell’industria di Processo) si applica
PFDAVG, per Funzioni di Sicurezza funzionanti in modo Operativo
“High Demand” si applica PFHd.

Sicurezza Funzionale 30
 SIL e PFD/PFH (EN 61508)

Safety Integrity Level Average Probability Probability of Failure Risk Reduction

(SIL) of Failure on Demand per Hour (PFH) Factor (RRF)
(PFDAVG)

SIL 4 ≥10-5 a <10-4 ≥10-9 a <10-8 >10000 a ≤100000

SIL 3 ≥10-4 a <10-3 ≥10-8 a <10-7 >1000 a ≤10000

SIL 2 ≥10-3 a <10-2 ≥10-7 a <10-6 >100 a ≤1000

SIL 1 ≥10-2 a <10-1 ≥10-6 a <10-5 >10 a ≤100

PFDAVG è utilizzata per sistemi “Low Demand Mode”

PFH è utilizzata per sistemi “High Demand or Continuous Mode”

Sicurezza Funzionale 31

SIL: Esempi

Esempio
p 1:
Sottosistema per applicazione di sicurezza (Tipo A)
¾ Low Demand Mode
¾ PFDAVG=3·10-5
¾ SFF=95%
¾ HFT=0

SIL=?

Sicurezza Funzionale 32
 SIL: Esempi

Esempio
p 2:
Sottosistema per applicazione di sicurezza (Tipo A)
¾ Low Demand Mode
¾ PFDAVG=8·10-4
¾ SFF=95%
¾ HFT=0

SIL=?

Sicurezza Funzionale 33

SIL: Esempi

Esempio
p 3:
Sistema di sicurezza 1oo1:
¾ Tipo A
¾ Modo Operativo: Low Demand Mode
¾ PFDAVG=8·10-4
¾ SFF=95%
¾ HFT=0

SIL=?

Sicurezza Funzionale 34
 EN 62061:
Differenze rispetto a EN 61508

¾ Tratta esplicitamente e solo apparecchiature elettriche:

apparecchiature non elettriche devono essere trattate secondo
altre norme, ad es. secondo EN 13849-1
¾ Considera solo PFH come parametro, non PFD (nella pratica, in
molti macchinari l’applicazione è High Demand)
¾ Non prevede SIL 4
SIL PFHD
3 ≥ 10-8 a < 10-7
2 ≥ 10-7 a < 10-6

1 ≥ 10-6 a < 10-5

Sicurezza Funzionale 35

Parametri correlati alla sicurezza

EN 13849-
13849-1: PL e Categorie
va
Parametrii di sicurezza relativ

¾ Il PL (Performance Level) è il parametro alternativo richiesto

dalla EN 13849-1.

¾ Il requisito principale è il valore di MTTFd, tempo medio prima del

verificarsi di un guasto pericoloso (per singolo canale).
¾ Il valore devono essere garantiti per tutto il tempo di vita
atteso.

¾ Il MTTFd non è sufficiente a determinare il PL. È richiesta anche

la rispondenza a requisiti di Architettura (Categorie designate)
e Copertura Diagnostica.

Sicurezza Funzionale 36
 Livelli di Prestazione (PL)

PL PFHd [1/h]

a ≥ 10-5 fino a < 10-4

b ≥ 3 × 10-6 fino a < 10-5
c ≥ 10-6 fino a < 3 × 10-6
d ≥ 10-7 fino a < 10-6
e ≥ 10-8 fino a < 10-7
NOTA Oltre alla probabilità media di guasto pericoloso per ora, sono necessarie anche altre misure per
raggiungere il PL (Categoria e DCAVG).

Sicurezza Funzionale 37

EN 13849-
13849-1: Categoria B

Principio
Comportamento utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
del sistema conseguire la ogni canale
sicurezza
I sistemi e/o le loro attrezzature di Il verificarsi di un Caratterizzato Da basso a Nessuna Non
protezione e i relativi componenti devono guasto può portare principalmente medio pertinente
essere progettati, costruiti, selezionati, alla perdita della dalla selezione
assemblati in conformità alle norme funzione di dei componenti
pertinenti in modo che possano resistere sicurezza.
alle influenze previste.
Si devono utilizzare principi di sicurezza
di base.

im im
I L O

Sicurezza Funzionale 38
 EN 13849-
13849-1: Categoria 1
CATEGORIA 1
Principio
Comportamento utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
del sistema conseguire la ogni canale
sicurezza
Si devono applicare i requisiti di B. Si Il verificarsi di un Caratterizzato Alto Nessuna Non
devono utilizzare componenti e principi di guasto può portare principalmente pertinente
sicurezza ben provati. alla perdita della dalla selezione
funzione di dei componenti
sicurezza ma la
probabilità che si
verifichi è inferiore
rispetto alla
categoria B.

im im
I L O

Sicurezza Funzionale 39

EN 13849-
13849-1: Categoria 2
Principio
Comportamento del utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
sistema conseguire la ogni canale
sicurezza
Si devono applicare i requisiti di B e Il verificarsi di un Caratterizzato Da basso ad Da Vedere
utilizzare principi di sicurezza ben provati. guasto può portare principalmente alto bassa a appendice
La funzione di sicurezza può essere alla perdita della dalla struttura media F
controllata a intervalli opportuni mediante il funzione di sicurezza
sistema di comando della macchina. tra i controlli.
La perdita della
funzione di sicurezza è
rilevata dal controllo.

im im
I L O

¾m

im
TE OTE

Sicurezza Funzionale 40
 EN 13849-
13849-1: Categoria 3
Principio
Comportamento del utilizzato per MTTFd di
Sintesi dei requisiti DCavg CCF
sistema conseguire la ogni canale
sicurezza
i
Si devono applicare i requisiti di B e Quando si verifica un Caratterizzato Da basso ad Da Vedere
utilizzare principi di sicurezza ben provati. singolo guasto la principalmente alto bassa a appendice
Le parti legate alla sicurezza devono funzione di sicurezza è dalla struttura media F
essere progettate in modo che sempre eseguita.
¾ un singolo guasto in una di queste Alcuni ma non tutti i
parti non porti a una perdita della guasti sono rilevati.
funzione di sicurezza; e L’accumulo di guasti
¾ ogniqualvolta ragionevolmente non rilevati può
fattibile, il singolo guasto sia rilevato. portare alla perdita
della funzione di
sicurezza.

im m
I1 L1 im O1

im m
I2 im O2
L2
41

EN 13849-
13849-1: Categoria 4
Principio
MTTFd di
Comportamento del utilizzato per
Sintesi dei requisiti ogni DCavg CCF
sistema conseguire la
canale
sicurezza
Si devono applicare i requisiti di B e Quando si verifica un Caratterizzato Alto Alta Vedere
utilizzare principi di sicurezza ben singolo guasto la funzione principalmente incluso appendice
provati. di sicurezza è sempre dalla struttura l’accumulo F
Le parti legate alla sicurezza devono espletata. di guasti
essere progettate in modo che Il rilevamento dei guasti
¾ un singolo guasto in una di queste accumulati riduce la
parti non porti a una perdita della probabilità della perdita
funzione di sicurezza; e della funzione di
¾ il singolo guasto sia rilevato durante sicurezza (DC alta).
o prima della successiva richiesta I guasti sono rilevati in
della funzione di sicurezza ma, se tempo per prevenire la
tale rilevamento non è possibile, perdita della funzione di
l’accumulo di guasti non rilevati non sicurezza.
deve portare alla perdita della
funzione di sicurezza.

im m
I1 L1 im O1

c
im m
I2 L2 im O2
42
 Considerazioni per il primo guasto
(Categoria 3 EN 13849-
13849-1)

Primo Guasto

Guasto rilevato e
SI Il sistema soddisfa
e controllato nel Process
i requisiti!
Safety Time?

NO

Migliorare SI Condizioni critiche

Il sistema! per la Sicurezza?

NO
SI

Definire una procedura
NO
per prove periodiche
(misure organizzative)
Rilevazione automatica
La variazione di
dei guasti e transizione in stato SI
stato è in intervalli di tempo
sicuro entro la prossima
accettabili?
variazione di stato?

NO 43

Categoria 3 EN 13849-1

Requisiti: Comportamento del sistema:

1. I requisiti per la Categoria 2 1. In caso di singolo guasto, la
devono essere soddisfatti funzione di sicurezza viene
2. Devono essere utilizzati principi di mantenuta
sicurezza ben conosciuti 2. I guasti sono riconosciuti in
3. Le parti correlate alla sicurezza tempo, per evitare perdita della
devono essere progettate in funzione di sicurezza
modo che:
• un singolo
g g
guasto non pporta a
perdita della funzione di sicurezza
• quando possibile e appropriato, il
singolo guasto deve essere
rivelato

Sicurezza Funzionale 44
 Criteri per la rilevazione dei guasti
(Categoria 3 EN 13849-1)

¾ Dopo
p il ppower on / reset
¾ Entro il Process Safety Time
¾ Entro un intervallo di Test prefissato
¾ Al successivo cambio di stato

Process Safety Time:

¾ Massimo intervallo temporale all’interno del quale il
processo o il macchinario può rimanere in stato non
sicuro, senza creare danno per le persone o l’ambiente.

Sicurezza Funzionale 45

Considerazioni per il doppio guasto

(Categoria 4 EN 13849-
13849-1)
Start:
Guasto secondo
la Lista Guasti

G
Guastot rilevato
il t e
NO SI
e controllato nel Process
Safety Time?

Migliorare SI Condizioni critiche NO

il progetto! per la Sicurezza?

Rilevazione
NO automatica dei guasti SI Il sistema soddisfa
e shut-down i requisiti!
entro 1 h?

Rilevazione
Combinazione
NO automatica dei guasti e SI
con il secondo Guasto
shut-down entro il succ.
Torna a Start
cambio di stato?

Il cambio di stato SI
NO
avviene entro tempi
accettabili?

I Test periodici
Migliorare NO SI Istruzione Operativa:
sono sufficienti per
il progetto! Test periodico
rilevare i guasti?
46
Categoria 4 EN 13849-1

Requisiti: Comportamento del sistema:

1. I requisiti per la Categoria 2 1. In caso di guasti, la funzione di
devono essere soddisfatti sicurezza viene mantenuta
2. Devono essere utilizzati principi di 2. I guasti sono riconosciuti in
sicurezza ben conosciuti tempo, per evitare perdita della
3. Le parti correlate alla sicurezza funzione di sicurezza
devono essere progettate in
modo che:
• un singolo
g g
guasto non p porta a
perdita della funzione di sicurezza
• il singolo guasto è rilevato prima
o durante la successiva richiesta
della funzione di sicurezza, o, se
questo non è possibile, una
sovrapposizione di guasti non
porta a perdita della funzione di
sicurezza

Categorie e loro relazione con

MTTFd di ogni canale, DCavg e CCF

La scelta di una categoria per un particolare sistema dipende principalmente

da:
¾ la riduzione nel rischio da conseguire mediante la funzione di sicurezza a
cui la parte contribuisce;
¾ il livello di prestazione richiesto (PLr);
¾ le tecnologie utilizzate;
¾ il rischio che si presenta in caso di una o più guasti;
¾ la possibilità di evitare guasti in quella parte (guasti sistematici);
¾ la probabilità che si verifichino una o più guasti in quella parte e i parametri
pertinenti;
¾ il tempo medio al guasto pericoloso (MTTFd);
¾ la copertura diagnostica (DC); e
¾ i guasti per causa comune (CCF) nel caso delle categorie 2, 3 e 4.

Sicurezza Funzionale 48
Domande?

Sicurezza Funzionale 49