Sicurezza Funzionale per

l’Automazione Industriale

Realizzazione dell’HW
per Sistemi
Si t i di Si
Sicurezza

Sicurezza Funzionale 1

Elenco contenuti

¾ Ciclo di vita della sicurezza dell’HW

dell HW
¾ Tipologie di guasti
¾ Misure per evitare guasti sistematici HW
¾ Modelli di guasto
¾ Misure per controllare i guasti (sistematici e casuali)
¾ Comportamenti permessi di un Sistema di Sicurezza alla
rilevazione di un guasto

Sicurezza Funzionale 2
 Realizzazione HW per Sistemi di
Sicurezza
Sicurezza Funzionale
dei Sistemi di Sicurezza
per l’Automazione Industriale

Documentazione
Determinazione e
per tutte le fasi del ciclo Requisiti Requisiti
calcolo di
di vita della sicurezza per riguardanti le riguardanti le
misure per misure per
Valori quantitativi:
Sistema di gestione
HFT, DC, SFF
Hardware Evitare guasti Controllo dei guasti
PFD/PFH, PL
Software

Sicurezza Funzionale 3

Realizzazione di
Sistemi di Sicurezza

OBIETTIVO: 1. CONCETTO

C t i
Costruzione e realizzazione
li i di un 2. DEFINIZIONE
SCOPO GENERALE
Sistema E/E/PE per soddisfare i
3. ANALISI RISCHI
requisiti in materia di: E PERICOLI

ƒ Funzioni di sicurezza 4. REQUISITI GENERALI

DI SICUREZZA
ƒ Integrità di sicurezza 5. ASSEGNAZIONE
REQUISITI SICUREZZA

PIANIFICAZIONE GLOBALE 11. RIDUZIONE

9./10. REALIZZ. SRS
6. OPERAZIONI DI 7. VALIDAZIONE 8. INSTALLAZIONE, RISCHI ESTERNI
DI TIPO E/E/PE E
MANUTENZIONE SICUREZZA MESSA IN FUNZIONE
ALTRE TECNOLOGIE

12. INSTALLAZIONE E
MESSA IN FUNZIONE
RITORNO ALLA FASE
13. VALIDAZIONE APPROPRIATA DEL
CICLO DI VITA DELLA
SICUREZZA
SICUREZZA

14. OPERAZIONE 15. MODIFICHE E

MANUTENZ. E RIPARAZ. RETROFIT
SRS: Safety Related System
16. SMALTIMENTO O
DISTRUZIONE

Sicurezza Funzionale 4
 Realizzazione di
Sistemi di Sicurezza

Ciclo di vita della sicurezza

Casella 9 Figura 2
9.1
9 Sistemi di Specifica requisiti sicurezza
Sicurezza
E/E/PES
9.1.1 Specifica requisiti 9.1.2 Specifica requisiti
Realizzazione funzioniali sicurezza integrità sicurezza

9.2 Pianificaz. della 9.3 Progettazione

validaz. della
e sviluppo
sicurezza

9.4 9.5 Procedure di funz.

Integrazione
e di manutenzione

9.6 Validazione
Un ciclo di vita della della sicurezza
Sicurezza per
ciascun sistema di
sicurezza

Sicurezza Funzionale 5

Realizzazione di
Sistemi di Sicurezza

Ciclo di vita della sicurezza del software

9.1 Specifica requisiti sicurezza

software

Ciclo 9.1.1 Specifica requisiti 9.1.2 Specifica requisiti

di vita di
Funzionali sicurezza integrità sicurezza
Sicurezza

9.2 Pianificaz. validaz. 9.3 Progettazione

sicurezza software e sviluppo SW

9.4 9.5 Procedure di funz.

Integrazione
e di modifica
(hardware/software)
software

9.6 Validazione sicurezza

software

Sicurezza Funzionale 6
 IEC 61508: Relazioni HW-SW
Campo di
Specifica requisiti Architettura applicazione
di sicurezza E/E/PES E/E/PES II parte

Requisiti di sicurezza HW
Campo di
applicazione Requisiti del Hardware di Hardware
III parte SW elettronica non
programmabile programmabile

Progettazione
e sviluppo P
Progetto
tt P
Progetto
tt
del SW e sviluppo di e sviluppo di
elettronica elettronica
programmabile non programmabile

Integrazione (HW e SW)

Integrazione
dell’elettronica programmabile E/E/PES

Sicurezza Funzionale 7

Ciclo di vita di sicurezza HW

Fase del ciclo Oggetto Area di applicazione Input Risultato
di vita della
sicurezza
Titolo
Specifica dei Specifica dei requisiti per Sistema di sicurezza Specifica dei requisiti Requisiti di sicurezza
requisiti di ciascun sistema di di sicurezza
ssicurezza
cu e a ssicurezza,
cu e a, co con riferimento
e e to
alla funzionalità e
all’integrità di sicurezza, al
fine di raggiungere la
sicurezza funzionale
richiesta

Piano Definizione del piano per la Sistema di sicurezza Requisiti di sicurezza Piano di validazione per
Validazione validazione delle sistema di sicurezza
della sicurezza caratteristiche di sicurezza

Progettazione e Progettazione di un Sistema di sicurezza Requisiti di sicurezza Progettazione in base a

sviluppo Sistema di sicurezza, per requisiti di sicurezza
soddisfare i requisiti di Piano pper le verifiche di
funzionalità e integrità di integrazione
sicurezza

Integrazione Integrazione e verifica di un Sistema di sicurezza Progettazione Sistema per applicazioni

Sistema di sicurezza Piano di verifica di sicurezza
integrazione completamente
funzionante, in
conformità con il
progetto
Risultati delle verifiche
di integrazione
Sicurezza Funzionale 8
 Ciclo di vita di sicurezza E/E/PES
Fase del ciclo di Oggetto Area di applicazione Input Risultato
vita della
sicurezza
Titolo
Installazione, Sviluppo di procedure per Sistema di sicurezza Requisiti di sicurezza Procedure di funzionamento
Commissioning, garantire che la sicurezza Progettazione e manutenzione
Funzionamento e funzionale è mantenuta durante
manutenzione
manutenzione. funzionamento e manutenzione

Validazione della Validazione del fatto che il Sistema di sicurezza Requisiti di sicurezza Sistema di sicurezza,
sicurezza sistema di sicurezza soddisfi le Piano validazione completamente convalidato
caratteristiche di sicurezza
richieste in tutti i suoi particolari
Modifiche Esecuzione di modifiche, Sistema di sicurezza Requisiti di sicurezza Risultati delle modifiche
miglioramenti e adattamenti al
Sistema di sicurezza, per
garantire che il livello di integrità
di sicurezza venga raggiunto e
mantenuto
Verifiche Piano di verifica per Risultati della verifica per
ciascuna fase Sistema di ciascuna fase
sicurezza

Valutazione Integrazione e verifica del Sistema di sicurezza Piano di valutazione Risultati della valutazione
Sicurezza Sistema di sicurezza della Sicurezza della Sicurezza Funzionale
Funzionale Funzionale

Sicurezza Funzionale 9

Che tipi di guasto esistono?

¾ Guasto casuale o g
guasto sistematico

¾ Guasti completi o guasti parziali

¾ Guasto di “salto” o guasto di “deriva”
¾ Guasto statico o guasto dinamico
¾ Guasto singolo o progressivo o multiplo
¾ Guasto pericoloso non rilevato, pericoloso
rilevato, sicuro non rilevato, sicuro rilevato

Sicurezza Funzionale 10
 Tipi di Guasto

Guasto

Guasto sistematico Guasto casuale

Guasto con causa definita, può essere Guasto che ricorre in un momento
eliminato solo con l’alterazione di progetto, casuale e la cui causa non può
processo di produzione, modo operativo, essere tipicamente definita
istruzioni operative o altri fattori influenzanti G
Guasti
ti HW
Guasti HW e SW

Eliminare / controllare il guasto Controllare il guasto

Sicurezza Funzionale 11

Misure per evitare guasti

Sicurezza Funzionale
Dei Sistemi di Sicurezza
per l’Automazione Industriale

Documentazione
Determinazione e
per tutte le fasi del ciclo Requisiti Requisiti
calcolo di
di vita della sicurezza per riguardanti le riguardanti le
misure per misure per
Valori quantitativi:
Sistema di gestione
HFT, DC, SFF
Hardware Evitare guasti Controllo dei guasti
PFD/PFH, PL
Software

Sicurezza Funzionale 12
 Guasti sistematici: tipologie

¾ Guasti di specifica
p
¾ Guasti di progetto
¾ Guasti di produzione
¾ Guasti di installazione
¾ Guasti di manutenzione
¾ Guasti dovuti a modifiche di progetto

Sicurezza Funzionale 13

Misure contro i guasti sistematici

¾ Qualityy Management
g
¾ Safety Management
¾ Safety Lifecycle
¾ Safety Plan
¾ Safety Requirements Specifications
¾ Progettazione del sistema e dei suoi componenti (ad.
es. diversità,
di i à proven iin use, …))
¾ Verifica e validazione della sicurezza
¾ Gestione della funzionalità, manutenzione, installazione

Sicurezza Funzionale 14
 Misure per evitare guasti
durante lo sviluppo
¾ Pianificazione: Definizione di un piano V&V, definizione
di “Milestones”,
Milestones , requisiti di approvazione per lo step
successivo
¾ Selezione di componenti e moduli “Proven in use”
¾ Dimensionamento di componenti: calcolo “worst-case”,
considerazioni di tolleranze, condizioni di carico e
derating, etc.
¾ Verifiche dopo ogni step di sviluppo
¾ Review interno del progetto
¾ Documentazione del progetto e risultati di review e
verifiche

Sicurezza Funzionale 15

Misure per evitare guasti sistematici

nel sistema / hardware
Allegato B della IEC 61508-2: Raccomandazioni di misure e metodi
Tabella B.1
B 1 – Raccomandazioni per evitare errori nelle specifiche dei requisiti di sicurezza per E/EP/PES (7.2)
(7 2)

Tecnica / Misura Vedere IEC 61508-7 SIL1 SIL2 SIL3 SIL4

Project management B.1.1 HR HR HR HR

Low Low Medium High
Documentazione B.1.2 HR HR HR HR
Low Low Medium High
Separazione di E/E/PE safety-related systems da B.1.3 HR HR HR HR
non-safety-related systems Low Low Medium High

Specifiche strutturate B.2.1 HR HR HR HR

Low Low Medium High
Ispezione delle specifiche B.2.6 - HR HR HR
Low Low Medium High
Metodi Semi-formali B.2.3, vedere anche R R HR HR
tabella B.7 of IEC Low Low Medium High
61508-3

Checklists B.2.5 R R R R
Low Low Medium High
Computer aided specification tools B.2.4 - R R R
Low Low Medium High
Metodi formali B.2.2 - - R R
Low Low Medium High

Sicurezza Funzionale 16
 Applicazione di
tecniche e misure

HR Highly Recommended:
La ttecnica
L i o misura
i è molto i li t Se
lt consigliata. S questat tecnica
t i o misura
i non è
utilizzata, allora deve essere dettagliato il razionale per il suo non utilizzo.

R Recommended:
La tecnica o misura è consigliata. È richiesta almeno una delle tecniche o misure
del gruppo ombreggiato in grigio.

- Neutral:
La tecnica o misura non ha raccomandazioni pro o contro l’essere utilizzata.

NR Not Recommended:
La tecnica o misura è decisamente non consigliata. Se questa tecnica o misura
è utilizzata, allora deve essere dettagliato il razionale per il suo utilizzo.

Sicurezza Funzionale 17

Efficacia di misure e tecniche

Mandatory La tecnica o misura è richiesta e deve essere usata il più efficacemente possibile
(efficacia elevata).

High La tecnica o misura deve essere usata fino al punto necessario per fornire elevata
efficacia contro guasti sistematici.

Medium La tecnica o misura deve essere usata fino al punto necessario per fornire almeno
media efficacia contro guasti sistematici.

Low La tecnica o misura deve essere usata fino al punto necessario per fornire almeno
bassa efficacia contro guasti sistematici.

Sicurezza Funzionale 18
 Raccomandazioni per evitare guasti
– SIL 2 e SIL 3
Fase: Specifica Requisiti di Sicurezza Dispositivi E/E/PE

Specifica Strutturata (IEC 61508

61508-7,
7 BB.2.1):
2 1):

Scopo: Ridurre la complessità creando una struttura gerarchica di requisiti

parziali.

Descrizione: Questa tecnica struttura le specifiche funzionali in requisiti

parziali così che siano visibili nella maniera più semplice possibile le
relazioni esistenti tra questi ultimi. Il risultato del perfezionamento finale è
una struttura gerarchica di requisiti parziali che fornisce una struttura per
l’individuazione dei requisiti
q globali. Q
g Questo metodo enfatizza le interfacce
dei requisiti parziali ed è particolarmente efficace per evitare guasti
d’interfaccia.

Importanza ed efficacia:
per SIL 2: HR / Low
per SIL 3: HR / Medium

Sicurezza Funzionale 19

Misure per evitare guasti sistematici

nel sistema / hardware
Tabella B.2 – Raccomandazioni per evitare di introdurre guasti nella progettazione e sviluppo
Tecnica / Misura Vedere IEC 61508-7 SIL1 SIL2 SIL3 SIL4

Rispetto di linee guida e normative B.3.3 HR HR HR HR

Mandatoria Mandatoria Mandatoria Mandatoria
Project management B.1.1 HR HR HR HR
Low Low Medium High
Documentazione B.1.2 HR HR HR HR
Low Low Medium High
Programmazione strutturata B.3.2 HR HR HR HR
Low Low Medium High
Modularizzazione B.3.4 HR HR HR HR
Low Low Medium High

Uso di componenti ben conosciuti B.3.3 R R R R

Low Low Medium High

Metodi Semi-formali
Semi formali B.2.3,
B 2 3 vedere anche R R HR HR
tabella B.7 of IEC Low Low Medium High
61508-3
Checklists B.2.5 - R R R
Low Low Medium High
Computer aided design tools B.3.5 - R R R
Low Low Medium High
Simulazione B.3.6 - R R R
Low Low Medium High

Inspezione dell’HW B.3.7 - R R R

B.3.8 Low Low Medium High

Metodi formali B.2.2 - - R R

Low Low Medium High
 Misure per evitare guasti sistematici
nel sistema / hardware
Tabella B.3 – Raccomandazioni per evitare guasti durante l’integrazione

Tecnica / Misura Vedere IEC 61508-7 SIL1 SIL2 SIL3 SIL4

Test funzionali B.5.1 HR HR HR HR

Mandatoria Mandatoria Mandatoria Mandatoria
Project management B.1.1 HR HR HR HR
Low Low Medium High
Documentazione B.1.2 HR HR HR HR
Low Low Medium High
Black-box testing B.5.2 R R R R
Low Low Medium High

Esperienza di campo B.5.4 R R HR R

Low Low Medium High

Test statistici B.5.3 - - R R

Low Low Medium High

Sicurezza Funzionale 21

Misure per evitare guasti sistematici

nel sistema / hardware
Tabella B.4 – Raccomandazioni per evitare guasti durante funzionamento e manutenzione

Tecnica / Misura Vedere IEC 61508-7 SIL1 SIL2 SIL3 SIL4

Istruzioni d’uso e manutenzione B.4.1 HR HR HR HR

Mandatoria Mandatoria Mandatoria Mandatoria
Facilità d’uso B.4.2 HR HR HR HR
Mandatoria Mandatoria Mandatoria Mandatoria
Facilità di manutenzione B.4.3 HR HR HR HR
Mandatoria Mandatoria Mandatoria Mandatoria
Project management B.1.1 HR HR HR HR
Low Low Medium High
Documentazione B.1.2 HR HR HR HR
Low Low Medium High
Possibilità limitate di funzionamento B.4.4 - R R HR
Low Low Medium High

Protezione contro errori dell’operatore

dell operatore B.4.6 - R HR HR
Low Low Medium High

Utilizzo solo da parte di operatori abilitati B.4.5 - R R HR

Low Low Medium High

Sicurezza Funzionale 22
 Misure per evitare guasti sistematici
nel sistema / hardware
Tabella B.5 – Raccomandazioni per evitare guasti nella validazione della sicurezza

Tecnica / Misura Vedere IEC 61508-7 SIL1 SIL2 SIL3 SIL4

Test funzionali B.5.1 HR HR HR HR

Mandatoria Mandatoria Mandatoria Mandatoria
Test funzionali in condizioni ambientali B.6.1 HR HR HR HR
Mandatoria Mandatoria Mandatoria Mandatoria
Test di immunità ai surge B.6.2 HR HR HR HR
Mandatoria Mandatoria Mandatoria Mandatoria
Prova con inserimento guasti B.6.10 HR HR HR HR
Mandatoria Mandatoria Mandatoria Mandatoria
Project management B.1.1 HR HR HR HR
Low Low Medium High
Documentazione B.1.2 HR HR HR HR
Low Low Medium High
Analisi statica, analisi dinamica e analisi dei g
guasti B.6.4, B.6.5, B.6.6 - R R R
Low Low Medium High
Simulazione e analisi dei guasti B.3.6, B.6.6 - R R R
Low Low Medium High
Analisi “worst case”, analisi dinamica e analisi dei B.6.7, B.6.5, B.6.6 - R R R
guasti Low Low Medium High

Analisi statica e analisi dei guasti B.6.4, B.6.5 R R NR NR

Low Low

Sicurezza Funzionale 23

Misure per evitare guasti sistematici

nel sistema / hardware
Tabella B.5 – Raccomandazioni per evitare guasti nella validazione della sicurezza

Tecnica / Misura Vedere IEC 61508-7 SIL1 SIL2 SIL3 SIL4

Test funzionali estesi B.6.8 - HR HR HR

Low Low Medium High
Black-box testing B.5.2 R R R R
Low Low Medium High

Prove con inserimento guasti B.6.10 R R R R

Low Low Medium High

Test statistici B.5.3 - - R R

Low Low Medium High
Test “Worst case” B.6.9 - - R R
Low Low Medium High
Esperienza di campo B.5.4 R R R NR
Low Low Medium

Sicurezza Funzionale 24
 Misure per evitare guasti sistematici
nel sistema / hardware

ESEMPI DI APPLICAZIONE
¾ Sottosistemi
S tt i t i complessi
l i
¾ Sottosistemi semplici

Sicurezza Funzionale 25

Misure per controllare i guasti

Sicurezza Funzionale
dei Sistemi Strumentati di Sicurezza
per l’industria di Processo

Documentazione
Determinazione e
per tutte le fasi del ciclo Requisiti Requisiti
calcolo di
di vita della sicurezza per riguardanti le riguardanti le
misure per misure per
Valori quantitativi:
Sistema di gestione
HFT, DC, SFF
Hardware Evitare guasti Controllo dei guasti
PFD/PFH, PL
Software

Sicurezza Funzionale 26
 Misure per controllare i guasti
¾ Le misure dipendono dal valore del SIL e dalla architettura di sicurezza
scelta (a canale singolo, a multiplo canale)
¾ Applicazione di modelli di guasto:
¾ Il progetto deve essere tale per cui una certa percentuale di tutti i guasti
non sia critico per la sicurezza, cioè non risulti in una condizione
pericolosa (Safe Failure Fraction – SFF)
¾ A seconda del valore del SIL e della architettura di sicurezza, una certa
percentuale di tutti i guasti, che sono fisicamente possibili e che
possono essere pericolosi, dovrebbe essere rilevata (Diagnostic
Coverage – DC)
¾ Bisogna distinguere tra:
¾ Modello di g
guasto semplificato,
p , di basso livello ((DC,, SFF ≥ 60%))
¾ Modello di guasto di medio livello (DC, SFF ≥ 90%)
¾ Modello di guasto complesso, di elevato livello (DC, SFF ≥ 99%)
¾ Come reazione ad un guasto rilevante per la sicurezza rilevato è
consentita la continuazione del funzionamento, se il calcolo della
probabilità in considerazione del tempo di riparazione mostra che i limiti
per la probabilità di una condizione pericolosa non sono superati.

Sicurezza Funzionale 27

Modelli di guasto
¾ Modello di guasto semplificato = “Stuck-at Fault Model”:
“0” o “1” o “on” o “off” o “attivo” o “inattivo” al p
pin di un componente
p

¾ Modello di guasto medio = modello di guasto DC:

Include il modello di guasto “Stuck-at”, e “aperto” o “alta impedenza”
o “corto circuito” e “cross-talk” tra i segnali.

¾ Modello di guasto complesso:

Include i modelli di g
guasto “Stuck-at” e DC.
In componenti complessi: tutti i guasti, che sono fisicamente
possibili e sono una deviazione dalla funzione specificata inclusi
deriva e oscillazione (modello di guasto funzionale).

Sicurezza Funzionale 28
 Misure per controllare guasti
IEC 61508-2, Allegato A.3

¾ La norma richiede l’applicazione di misure di Quality Management per

evitare guasti nelle diverse fasi durante il ciclo di vita di un prodotto.

Se queste misure sono applicate con l’importanza e l’efficacia consigliate, il

fabbricante ha fatto tutto il possibile per ridurre la probabilità che guasti di
progetto, o guasti sistematici generali, siano ancora nel prodotto.
Indipendentemente da quanto bene queste misure siano applicate, rimane
una probabilità residua di guasti sistematici.

¾ P
Per questot motivo
ti lla norma richiede
i hi d l’i
l’implementazione
l t i di misure
i e ttecniche
i h
di controllo dei guasti sistematici
¾ Causati dal progetto HW e SW
¾ Dovuti a stress ambientale o influenze esterne (incluso EMC)
¾ Causati dall’operatore durante il funzionamento

Sicurezza Funzionale 29

Misure per controllare guasti

causati da progettazione HW e SW
IEC 61508-2, Tabella A.16

¾ Controllo di sequenze di programma

¾ Rilevazione dei guasti tramite monitoraggio on-line
¾ Prove con HW ridondante
¾ Protezione del codice
¾ Diversità HW
¾ …

Sicurezza Funzionale 30
 Misure per controllare guasti causati da
stress ambientale o influenze esterne
IEC 61508-2, Tabella A.17

¾ Misure contro scariche di tensione, variazioni di tensione,

sovratensioni, bassa tensione
¾ Separazione delle linee di potenza dalle linee dati
¾ Separazione spaziale di linee multiple
¾ Aumento dell’immunità alle interferenze
¾ Misure di protezione nei confronti di agenti atmosferici
(temperatura, umidità, acqua, polvere, vibrazioni, sostanze
corrosive)
¾ Controllo di sequenza di programma
¾ …

Sicurezza Funzionale 31

Misure per controllare guasti

durante il funzionamento
IEC 61508-2, Tabella A.18

¾ Protezione da modifiche
¾ Rilevamento guasti con monitoraggio on-line
¾ Riconoscimento ingresso
¾ Programmazione con rilevazione guasti

Sicurezza Funzionale 32
 Copertura diagnostica
IEC 61508-2, Tabella A.2 – Sottosistemi elettrici

Sicurezza Funzionale 33

Copertura diagnostica
IEC 61508-2, Tabella A.3 – Sottosistemi elettronici

Sicurezza Funzionale 34
 Copertura diagnostica
IEC 61508-2, Tabella A.4 – Processing Units

Sicurezza Funzionale 35

Copertura diagnostica
IEC 61508-2, Tabella A.6 – Variable memory ranges

Sicurezza Funzionale 36
 Copertura diagnostica
IEC 61508-2, Tabella A.10 – Sequenza di programma (watch-dog)

Sicurezza Funzionale 37

Copertura diagnostica
IEC 61508-2, Tabella A.14 - Sensori

Sicurezza Funzionale 38
 Copertura diagnostica
IEC 61508-2, Tabella A.15 – Elementi finali

Sicurezza Funzionale 39

Misure per controllare guasti

ESEMPI DI APPLICAZIONE
¾ Sottosistemi
S tt i t i complessi
l i
¾ Sottosistemi semplici

Sicurezza Funzionale 40
 EN 13849-
13849-1: Controllo guasti sistematici

MISURE PER IL CONTROLLO DEI GUASTI SISTEMATICI

¾ Utilizzo della de-energizzazione

¾ Misure per controllare gli effetti di guasti della tensione, variazioni di
tensione, sovratensione, sottotensione
¾ Misure per controllare o evitare gli effetti dell’ambiente fisico (per
esempio temperatura, umidità, acqua, vibrazioni, polvere, sostanze
corrosive, interferenze elettromagnetiche e relativi effetti)
¾ La sorveglianza della sequenza di programma deve essere
utilizzata con sistemi contenenti software al fine di rilevare
sequenze di programma difettose
dif tt
¾ Misure per controllare gli effetti di errori e altri effetti derivanti
dall’eventuale processo di comunicazione dei dati

Sicurezza Funzionale 41

EN 13849-
13849-1: Controllo guasti sistematici

Inoltre si dovrebbe applicare una o più delle misure seguenti, tenendo

conto della complessità
p del sistema e del suo PL:
¾ rilevamento dei guasti mediante prove automatiche;
¾ prove mediante hardware ridondante;
¾ hardware diverso;
¾ funzionamento in modo positivo;
¾ contatti collegati meccanicamente;
¾ azione di apertura diretta;
¾ modalità di guasto orientata;
¾ sovra-dimensionamento
di i t mediante
di t un fattore
f tt adatto,
d tt i cuii il
in
fabbricante possa dimostrare che la declassazione migliori
l’affidabilità - quando il sovra-dimensionamento è appropriato, si
dovrebbe utilizzare un fattore di sovra-dimensionamento di almeno
1,5.

Sicurezza Funzionale 42
 EN 13849-
13849-1: Evitare guasti sistematici

MISURE PER EVITARE I GUASTI SISTEMATICI

¾ UUtilizzo di materiali adatti e fabbricazione adeguata
g
¾ Dimensionamento e forma corretti
¾ Selezione, combinazione, disposizioni, assemblaggio e
installazione corretti dei componenti, inclusi il cablaggio ed
eventuali interconnessioni
¾ Compatibilità
¾ Resistenza alle condizioni ambientali specificate
¾ Utilizzo di componenti progettati secondo una norma appropriata e
aventi modalità di gguasto ben definite
Inoltre si dovrebbe applicare una o più delle misure seguenti, tenendo
conto della complessità del sistema
¾ Revisione della progettazione hardware (per esempio mediante
verifica o walk-through) P/CS e del suo PL.
¾ Strumenti di progettazione assistita da computer in grado di
simulazione o analisi
¾ Simulazione Sicurezza Funzionale 43

EN 13849-
13849-1: Evitare guasti sistematici

MISURE PER EVITARE GUASTI SISTEMATICI DURANTE

L’INTEGRAZIONE
G O DEL SISTEMA
SS

¾ Prove funzionali
¾ Gestione del progetto
¾ Documentazione

Sicurezza Funzionale 44
 Principio di Fail-
Fail-Safe

¾ In caso di guasto di un componente,

componente il sistema si porta
automaticamente in condizione di “stato sicuro”
¾ Fail-Safe è caratteristica intrinseca di un sistema
(progettazione)

Sicurezza Funzionale 45

Comportamenti permessi
alla rilevazione di un guasto

1. Rilevazione di gguasti ppericolosi (p

(per mezzo di p proof
test, test diagnostici, o altri mezzi) in sottosistemi con
HFT>0 deve portare a:
a) Un’azione specifica per raggiungere o mantenere uno stato
sicuro, o
b) L’isolamento della parte guasta per permettere il
funzionamento sicuro del processo mentre la parte viene
riparata Se la riparazione non è completata entro il Tempo
riparata.
Medio per il Ripristino (MTTR), allora deve essere posta in atto
un’azione specifica per raggiungere o mantenere uno stato
sicuro

Sicurezza Funzionale 46
 Comportamenti permessi
alla rilevazione di un guasto

2. Rilevazione di gguasti ppericolosi (p

(per mezzo di p proof
test, test diagnostici, o altri mezzi) in sottosistemi con
HFT=0, dai quali la funzione di sicurezza è totalmente
dipendente, e utilizzati in applicazione LDM deve
portare a:
a) Un’azione specifica per raggiungere o mantenere uno stato
sicuro, o
b) La
L riparazione
i i d
della
ll parte
t guasta
t entro
t il MTTR
MTTR. DDurante
t
questo periodo il funzionamento corretto del processo deve
essere assicurato con altri mezzi. Se la riparazione non è
completata entro MTTR, allora deve essere posta in atto
un’azione specifica per raggiungere o mantenere uno stato
sicuro.
Sicurezza Funzionale 47

Comportamenti permessi
alla rilevazione di un guasto

3. Rilevazione di gguasti ppericolosi (p

(per mezzo di p proof
test, test diagnostici, o altri mezzi) in sottosistemi con
HFT=0, dai quali la funzione di sicurezza è totalmente
dipendente, e utilizzati in applicazione HDM deve
portare a:
a) Un’azione specifica per raggiungere o mantenere uno stato
sicuro

Sicurezza Funzionale 48