Sei sulla pagina 1di 30

Master executive in

Gestione della Manutenzione Industriale

Prima edizione

Valutazione di linee guida nella progettazione di un impianto di frazionamento aria rispondente a vincoli di sicurezza integrata (SIL) secondo le norme IEC 61508 e 61511

Project work a cura di Ing. Antonio Pace Tutor aziendale Ing. Pierluigi Gritti Tutor universitario Prof. Enrico Zio
16 Ottobre 2006

Master Executive in Gestione della Manutenzione Industriale

1. Introduzione 2. Concetti base delle IEC 61508 e 61511 3. Safety Integrity Level (SIL) 4. Descrizione di un impianto criogenico di frazionamento aria 5. Verifica SIL level per un impianto di produzione azoto 6. Modello dellarchitettura di impianto 7. FMEA Failure Mode and Effect Analysis 8. SIL level: definizioni e calcolo 9. Valutazione formula di calcolo PFD 10. Bibliografia

Pag. 2 di 30

Master Executive in Gestione della Manutenzione Industriale

1. INTRODUZIONE La gestione delle funzioni di sicurezza degli impianti industriali normalmente demandata a sistemi di sicurezza strumentati, elettrici, elettronici e a elettronica programmabile (E/E/PE). Gli standard IEC 61508 e 61511 forniscono delle linee guida nella progettazione e nella gestione dei sistemi di sicurezza degli impianti al fine di ridurre il rischio residuo di incidente. La presentazione delle normative IEC 61508 e 61511 ha portato le societ di ingegneria come Siad Macchine Impianti ad arricchire la propria filosofia progettuale e a considerare gli aspetti della sicurezza funzionale e dell'affidabilit dei sistemi di sicurezza sotto unaltra ottica, con la conseguenza dell'elaborazione di alcuni concetti da implementare durante la progettazione di impianto. Le norme in esame affrontano gli aspetti della sicurezza funzionale dei sistemi di sicurezza strumentati (Safety Instrumented Systems, SIS) gestiti da apparecchiature elettriche / elettroniche / elettroniche programmabili e, in particolare, la 61511 per i SIS nell'industria di processo. Lo scopo del presente lavoro di fornire una descrizione del processo di valutazione del livello di sicurezza integrata (Safety Integrity Level, SIL) di alcune funzioni di sicurezza di un impianto di produzione azoto, e di proporre una riflessione sulle variabili che vanno considerate quando necessario progettare, esercire e mantenere un impianto con determinati requisiti di SIL.

Pag. 3 di 30

Master Executive in Gestione della Manutenzione Industriale

2. Concetti base delle IEC 61508 e 61511 - SIL level Nella vita di tutti i giorni siamo costantemente esposti a diversi pericoli. L'ampiezza di questi pericoli va dal piccolo incidente alla catastrofe, che pu provocare effetti devastanti sulle vite umane e sull'ambiente. Ogni pericolo viene dunque valutato quotidianamente in base al suo livello di rischio, e alla sua probabilit di accadimento, ma non si riuscir mai ad essere completamente protetti da ogni pericolo. Possiamo dunque proteggerci dai rischi riducendo la loro probabilit di accadimento oppure tentando di limitare la gravit delle conseguenze. Queste misure permettono di ridurre i rischi ad un ragionevole e tollerabile livello. La Health and Safety Committee inglese ha introdotto il concetto di ALARP, che definisce diversi livelli di rischio:

- abbiamo l'area del rischio "non accettabile", nella quale qualunque rischio che cada in questa area non mai giustificato; - abbiamo l'area del rischio "accettabile", nella quale il livello di rischio non necessita di indagini ovvero di precauzioni particolari;

Pag. 4 di 30

Master Executive in Gestione della Manutenzione Industriale

- area ALARP, ossia As Low As Reasonably Possible, zona nella quali il livello del rischio necessita di indagini e azioni con il fine di ridurne l'entit ad un valore ragionevolmente accettabile. Questo approccio prevede la conoscenza approfondita della valutazione del rischio e richiede che siano state effettuate le azioni necessarie per ridurre le probabilit di accadimento e le conseguenze dovute a incidenti. In ambito industriale e nell'industria di processo le funzioni necessarie alla riduzione dei rischi da incidente vengono demandate a sistemi ausiliari, che sono composti oltre che da sicurezze di tipo meccanico, anche da sistemi elettrici/elettronici/elettronici programmabili, i Safety Instrumented Systems (SIS). Gli standard IEC 61508 e 61511 forniscono delle linee guida per la progettazione e l'implementazione dei sistemi di sicurezza strumentati, fornendo delle chiare indicazioni sulla configurazione del sistema, sul calcolo dell'affidabilit di funzionamento, sugli intervalli di test. Un SIS genericamente composto da: - sottosistema sensori; - logica elettronica di controllo (logic solver); - sottosistema attuatori (final element). I sottosistemi relativi ai sensori e agli attuatori possono essere ulteriormente suddivisi al loro interno: i sensori secondo una logica di voting, gli attuatori secondo delle ridondanze funzionali. In configurazione "pipe-to-pipe" il sistema pu essere rappresentato come in figura.

Pag. 5 di 30

Master Executive in Gestione della Manutenzione Industriale

SENSOR

Logic Solver (PLC)

Actuator

Pag. 6 di 30

Master Executive in Gestione della Manutenzione Industriale

3. Safety Integrity Level (SIL) Nell'industria di processo esistono diversi rischi, e all'aumentare della gravit del rischio deve necessariamente aumentare l'affidabilit del SIS, ossia la sua integrit. Secondo la IEC 61511, la Safety Integrity viene definita come la probabilit (media) che il SIS compia la relativa funzione di sicurezza in un determinato intervallo di tempo. Questo significa che la catena del SIS deve avere una determinata affidabilit di funzionamento, che comunemente viene denominata Probability of Failure on Demand (PFD), che viene valutata o imposta in base alle caratteristiche di sicurezza che l'apparecchiatura o impianto in esame devono avere. Punto fondamentale della valutazione che il SIS relativo ad una sola funzione di sicurezza (Safety Function), e per questa viene decisa oppure valutata una sola PFD. Il Safety Integrity Level non altro che un indice di corrispondenza tra la PFD (che numericamente rappresenta un tempo, indicante lintervallo in ore entro il quale il SIS pu mal-funzionare) ed un indice che varia tra 1 e 4, come mostrato in tabella.
SIL Level 4 3 2 1 10- 5 PFD < 10-4 10-4 PFD < 10-3 10- 3 PFD < 10-2 10- 2 PFD < 10-1

Gli standard IEC 61508 e 61511 definiscono questi quattro differenti livelli di sicurezza che descrivono la misura per la riduzione del rischio ad un valore As Low As Reasonably Possible. Pi alto il valore del SIL, pi alta la riduzione del rischio. Dunque il SIL la misura della probabilit che il SIS riesca a compiere correttamente la Safety Function prevista nell'intervallo di tempo richiesto.

Pag. 7 di 30

Master Executive in Gestione della Manutenzione Industriale

Il livello SIL pu essere determinato in differenti modi, principalmente uno qualitativo ed uno quantitativo, e le norme li descrivono in maniera approfondita ed esaustiva. In questo momento non si entrer nel merito della determinazione del livello SIL, ma solo della sua valutazione. Questo poich la determinazione del livello SIL da applicare ad una certa funzione di sicurezza prevede una analisi di rischio completa che esula dallo scopo del presente lavoro. E' intenzione comunque proseguire l'attivit valutando con precisione quello che pu essere considerato come livello SIL tale da garantire un livello di rischio As Low As Reasonably Possible per le funzioni di sicurezza degli impianti criogenici di frazionamento aria. Nel caso in esame stato analizzato un impianto di produzione di Azoto per il quale stata effettuata una categorizzazione delle funzioni di sicurezza secondo le norme IEC, poi si sono valutate alcune soluzioni per migliorare la PFD nell'ottica di una futura progettazione di impianti secondo questi standard.

Pag. 8 di 30

Master Executive in Gestione della Manutenzione Industriale

4. Descrizione di un impianto criogenico per il frazionamento aria Siad Macchine Impianti progetta e produce impianti criogenici di frazionamento aria per la produzione di ossigeno, azoto e argon. Estremamente in sintesi, il processo prevede la compressione dell'aria, il raffreddamento a temperature criogeniche di circa -180 dove si ha la liquefazione dell'aria, che poi viene immessa in una colonna di rettifica dove alle diverse altezze vengono separati i diversi componenti in base alla purezza richiesta.

Come si pu vedere dal Process Flow Diagram, l'impianto fondamentalmente composto da alcune macchine operatrici e da recipienti in pressione, per cui si possono gi delineare quali sono le tematiche di sicurezza. Inoltre la presenza durante il processo di miscele ad alta percentuale di ossigeno (cosiddetto Waste Nitrogen) e i prodotti, che sono principalmente Ossigeno ed Azoto, pone in ogni caso l'impianto sotto la sorveglianza di sistemi di sicurezza automatici, per i quali sono state valutate le PFD.

Pag. 9 di 30

Master Executive in Gestione della Manutenzione Industriale

5. Verifica SIL level per impianto di produzione azoto Con riferimento alla riduzione del rischio in un impianto di processo, ci sono diverse soluzioni per raggiungere un livello di rischio tollerabile. Una di queste soluzioni di utilizzare un sistema di sicurezza strumentato (SIS). In generale un SIS consiste di diverse Safety Instrumented Functions (SIF), ognuna collegata ad un loop di sicurezza dedicato e ai suoi parametri di rischio associati. Assumendo che una SIF venga utilizzata per ridurre il rischio di incidente, la possibilit che questa non venga compiuta dal SIS crea la necessit di trattare questa probabilit di accadimento come probabilit di incidente. La verifica SIL stata eseguita con riferimento alla IEC 61508, la quale affronta la sicurezza funzionale dei sistemi di sicurezza che utilizzano tecnologie E/E/PE. Un sistema di sicurezza E/E/PE copre tutte le parti necessarie per attuare una Safety Function. Come gi visto, un SIS composto principalmente da tre parti: uno o pi sensori, un controllore logico (logic solver) ed uno o pi elementi finali, o attuatori. Al fine di verificare il livello SIL delle diverse funzioni di sicurezza dell'impianto in esame, sono state svolte le seguenti attivit: - Hazop di impianto, con lo scopo di determinare le funzioni di sicurezza coinvolte; - Modello hardware dell'architettura, al fine di elencare tutte le apparecchiature per ogni funzione di sicurezza, la configurazione del SIS, il voting; - Fmea per ogni funzione di sicurezza, in modo da evidenziare la maggiore o minore criticit del componente nello svolgimento della funzione di sicurezza; - Modello affidabilistico; - Calcolo della probability of failure on demand per ogni safety function e livello SIL.

Pag. 10 di 30

Master Executive in Gestione della Manutenzione Industriale

6. Modello dell'architettura di impianto Con riferimento allanalisi Hazop effettuata sull'impianto e alle specifiche del controllo del sistema, sono state identificate le principali funzioni di sicurezza. Ogni safety function, definita da un codice identificativo e da una breve descrizione, stata caratterizzata come segue: - Input device - Voting - Logic (PLC, etc.) - Attuatore Di seguito si pu vedere l'estratto della tabella generale con la struttura di ogni safety function, che fa riferimento alle parti indicate nel P&Id.

Pag. 11 di 30

Master Executive in Gestione della Manutenzione Industriale

Hardware architecture model NITROGEN PLANT ITEM DESCRIPTION INPUT VOTING LOGIC ACTUATORS Air Compressor motor C5000A Air Compressor motor C5000B Chiller motor FRU8000 Water Pump P8000A Water Pump P8000B Regeneration Heater Section A Regeneration Heater Section B Turbine oil Heater H2000 Turbine oil Pump P2000 Valves (AO): FV570 / FV 770 / HV580 HV201 / FV710 / FV711 LV310 / LV320 PV770 / PV320 Valves (DO): KY551 / KY561 / KY553 / KY563 KY554 / KY564 / KY552 / KY562 HY200 / FY710 LY310 / LY320 / KY340

PLC1 LV relais

YF NPLANT-ESD

NITROGEN PLANT EMERGENCY SHUTDOWN

HS NPLANT-ESD

1/1

PLC1

AIR COMPRESSORS C5000A / C5000B


ITEM YF C5000A-1 YF C5000B-1 DESCRIPTION AIR COMPRESSOR C5000A CUMULATIVE BLOCKS AIR COMPRESSOR C5000B CUMULATIVE BLOCKS INPUT YS C5000A-7 YS C5000B-7 VOTING 1/1 1/1 LOGIC PLC1 PLC1 ACTUATORS Air Compressor motor C5000A Air Compressor motor C5000B

Pag. 12 di 30

Master Executive in Gestione della Manutenzione Industriale

AIR PRE-COOLING UNIT


ITEM DESCRIPTION INPUT VOTING LOGIC ACTUATORS Air Compressor unload C5000A Air Compressor unload C5000B Regeneration Heater Section A Regeneration Heater Section B Valves (AO): FV570 / FV 770 / HV580 HV201 / FV710 / FV711 LV310 / LV320 PV770 / PV320 Valves (DO): KY551 / KY561 / KY553 / KY563 KY554 / KY564 / KY552 / KY562 FY710 / HY200 LY310 / LY320 / KY340

1/1 LAHH 893 MOISTURE SEPARATOR VERY HIGH LEVEL LSH 893

PLC1

Pag. 13 di 30

Master Executive in Gestione della Manutenzione Industriale

7. FMEA Failure Mode and Effect Analysis E' stata effettuata una FMEA per ogni SIF al fine di identificare gli attuatori pi critici durante la fase di blocco impianto (shutdown). Di seguito presente un estratto della FMEA completa. L'analisi stata condotta considerando le seguenti procedure e ipotesi: a. per ogni componente di ogni SIF sono stati identificati tutti i potenziali modi di guasto (Failure Modes); b. sono state identificate le possibili cause di guasto c. sono stati elencati gli effetti di ogni modo di guasto, considerando la loro gravit (severity) secondo gli indici presenti in tabella 1; d. stata quantificata la probabilit di accadimento (probability factor) per ogni modo di guasto, sempre secondo tab. 1; e. tutti i controlli che contribuiscono alla prevenzione di queste cause dei modi di guasto sono state identificate. I controlli esistenti prevengono l'accadimento delle cause dei modi di guasto, e la loro efficacia viene valutata con un indice di detectability, secondo tab.1. f. i Risk Priority Numbers (RPN) sono stati calcolati come prodotto tra Failure Mode Severity (SEV), Failure Cause Probability (PF) e Control Detection Effectiveness (DET). Il Risk Priority Number stato utilizzato per identificare i componenti pi critici nei loop di controllo al fine di capire quali componenti devono essere considerati per la valutazione del SIL.

Pag. 14 di 30

Master Executive in Gestione della Manutenzione Industriale

Table 1

PARAMETER

RATE 1 2, 3

DESCR. remote low

PARAMETER

RATE 1 2, 3, 4

DESCR. 100% automatic periodic tests irregular tests no test undetectabl e

Probability 4, 5, 6 7, 8 9, 10 1 2, 3 Severity 4, 5, 6 7, 8 9, 10 moderate high very high neglectable marginal mean critical catastrophic

Detectability 5, 6, 7 8, 9 10

Pag. 15 di 30

Master Executive in Gestione della Manutenzione Industriale

OPERATION

CHARACTERISTICS OF FAILURE

Nr/ Safety function No


1 NITROGEN PLANT EMERGENCY SHUTDOWN

Items

Failure mode

Causes of failure

Probability

Effect of failure (local)

Effect of failure (process)

Severity

Current controls

Detection effectiveness

RPN

HS NPLANT-ESD

fail safe

PLC1

loss of input

bus failure, input card failure, input failure

1 plc or input card fault

N plant missing bottle up, prepurifier cycle missing step

3 psv, prepurifier step, LV Relais, CO2 content in air, O2 and H2O content in nitrogen 4 psv, process variables, prepurifier step, LV Relais, CO2 content in air, O2 and H2O content in nitrogen 4 psv, LV Relais, CO2 content in air, O2 and H2O content in nitrogen 3 fail safe, fail close, psv, plc1, process variable, CO2 content in air, O2 and H2O content in nitrogen 1 psv, LV relay, process variables and local controllers 2 psv, process variables and local controllers 1 psv, LV relay, process variables and local controllers 2 psv, process variables and local controllers 1 psv, LV relay, instruments 1 psv, instruments 1 LV relay 1 null 1 LV relay 1 null 1 LV relay, temperatures and process variables 5 temperatures and process variables 1 LV relay, temperatures and process variables

loss of output

bus failure, output card failure, output failure

1 plc or output card fault N plant missing bottle up, prepurifier cycle missing step

32

erratic operation

CPU failure

1 plc fault

N plant missing bottle up, prepurifier cycle missing step Air compressors, Chiller unit, Water pumps, Regeneration heater, Turbine oil heater, Turbine oil pump missing stop high pressure in line, air to vent high pressure in line, air to vent high pressure in line, air to vent high pressure in line, air to vent low water temperature low water temperature null null null null Regeneration very high temperature Regeneration very high temperature Regeneration very high temperature

LV Relais

fails to open

mechanical failure

1 LV relais fault

Air compressor C5000A

fails to stop

PLC missing stop signal

1 compressor motor missing stop 1 compressor motor missing stop 1 compressor motor missing stop 1 compressor motor missing stop 1 chiller unit missing stop 1 chiller unit missing stop 1 water pump missing stop 1 water pump missing stop 1 water pump missing stop 1 water pump missing stop 1 Heater section very high temperature 1 Heater section very high temperature 1 Heater section very high temperature

Circuit beaker broken, tripping coil failure Air compressor C5000B fails to stop PLC missing stop signal

1 1

2 1

Circuit beaker broken, tripping coil failure Chiller Unit FRU8000 fails to stop PLC missing stop signal Circuit beaker broken, tripping coil failure Water Pump P8000A fails to stop PLC missing stop signal Starter solenoid failure Water Pump P8000B fails to stop PLC missing stop signal Starter solenoid failure Regenaration Heater Section A fails to stop PLC missing off signal Starter solenoid failure Regenaration Heater Section B fails to stop PLC missing off signal

1 1 1 1 1 1 1 1 1 1

2 1 1 1 1 1 1 1 5 1

Pag. 16 di 30

8. SIL level: definizioni e calcolo La IEC definisce quattro gruppi (SIL) ognuno corrispondente alla Probability of Failure on Demand (PFD) come indicato in tabella 2, per apparecchiature in low demand mode of operation, che indica che il SIF si attiva raramente.

Tabella 2 La PFD, che rappresenta la probabilit del SIS di non compiere la SIF alla quale associata, prevede la considerazione dell'MTBF e l'MTTR dei vari componenti del SIS. Per quanto riguarda l'MTBF, questo valore, espresso in unit di tempo, viene quasi sempre determinato da informazioni teoriche, generalmente da letteratura, oppure da dati registrati sul campo. In questa analisi, l'inverso dell'MTBF, o rateo di guasto lambda, dei vari componenti stato ricavato da letteratura per ci che riguarda sensori e attuatori, mentre per i PLC si utilizzato il dato del fornitore. L'MTTR ( Mean Time To Restoration) rappresenta il tempo medio di ripristino di un'apparecchiatura, e considera sia i tempi logistici che i tempi di pura riparazione. Ovviamente questo tempo varia enormemente in base alla disponibilit o meno di ricambi. In tabella 3 sono indicati gli MTTR per tutti i tipi di apparecchiature e il loro intervallo di test.

Master Executive in Gestione della Manutenzione Industriale

Table 3

Programmable electronic system Test Interval MTTR

Sensors and actuator Test Interval Sensors 6 Month Actuators 2 MTTR Sensors 4 Hours Actuators 8 Hours Analyzers 4 Hours

Less then 1 Min

1 Hour

Years Analyzers 3 Month

Per i componenti critici relativi al Plant Emergency Shut-Down viene deciso di accorciare l'intervallo tra i test a 2 mesi.

Pag. 18 di 30

Master Executive in Gestione della Manutenzione Industriale

Di seguito viene presentata una tabella contenente i ratei di guasto relativi ai componenti ritenuti pi critici dopo lo studio FMEA, per alcune funzioni di sicurezza. Failure Rates
FAILURE RATE [h ]
-1

INPUT

LOGIC

FAILURE RATE [h ]
-1

ACTUATORS

FAILURE RATE [h-1]

NITROGEN PLANT HS PLANTESD Fail safe LV panel feeders 0,0000041 PLC1 2,45E-06 Air compressor C5000A Air compressor C5000B FV710 FY711 AIR COMPRESSORS C5000A / C5000B YS C5000A-7 software YS C5000B-7 software AIR PRE-COOLING UNIT LSH 893 1,256E-05 PLC1 2,45E-06 Air Compressor C5000A Air Compressor C5000B Regeneration Heater Section A Regeneration Heater Section B FV710 FY711 7,61E-06 PLC1 2,45E-06 Air Compressor C5000A Air Compressor C5000B 7,61E-06

7,61E-06

7,61E-06 0,0000029 2,648E-06

PLC1

2,45E-06

7,61E-06

7,61E-06 1,41E-05 1,41E-05 0,0000029 2,648E-06

Pag. 19 di 30

Master Executive in Gestione della Manutenzione Industriale

INPUT

FAILURE RATE [h-1]

LOGIC

FAILURE RATE [h-1]

ACTUATORS

FAILURE RATE [h-1]

PREPURIFIER UNIT DDU 5000 PPMCTSsoftwar e PLC1 2,45E-06 Air Compressor C5000A Air Compressor C5000B Regeneration Heater Section A Regeneration Heater Section B FV710 FY711 7,61E-06

7,61E-06 1,41E-05 1,41E-05 0,0000029 2,648E-06

TT 581

0,0000035

PLC1

2,45E-06

Air Compressor C5000A Air Compressor C5000B Regeneration Heater Section A Regeneration Heater Section B FV710 FY711

7,61E-06 7,61E-06 1,41E-05 1,41E-05 0,0000029 2,648E-06

Pag. 20 di 30

Master Executive in Gestione della Manutenzione Industriale

Secondo le IEC esistono tre tecniche di calcolo riconosciute al fine di determinare il livello SIL per un dato processo: calcoli semplificati, Fault Tree analysis, Markov analysis. Ognuna di queste tecniche fornisce un livello SIL utilizzabile, ma per semplicit di calcolo, e visto anche che i risultati sono pi conservativi, verranno utilizzati i calcoli semplificati. Il primo passo consiste nella determinazione della PFD per ogni componente incluso nel SIS, dopodich in base all'architettura funzionale del SIS si valuta in quale modo sommare queste probabilit. Nel caso in esame, tutte le funzioni di sicurezza vengono svolte da architetture con voting 1oo1, il che significa che il mancato funzionamento di un componente porta al fallimento di tutta la SIF. La riduzione del rischio attraverso l'utilizzo di un SIF pu essere espressa come "dangerous failure rate" del SIF. Al fine di definire il "dangerous failure rate" del SIS necessario determinare quello di ogni componente. Convenzionalmente il dangerous failure rate viene quantificato come met del rateo di guasto dell'apparecchiatura in questione, e rappresenta la probabilit del sistema di non attuare la funzione di sicurezza richiesta, ossia di guastarsi in modalit unsafe. Nella pratica il "dangerous failure rate" del logic solver raramente presenta valori piccoli, nella norma questo il componente che presenta maggiore affidabilit. Al contrario, sensori ed attuatori hanno ratei di guasto relativamente alti, e quindi devono essere tenuti in considerazione quando si configura il SIS. Viene definito come "diagnostic coverage" il rapporto tra il rateo di guasti rilevati e il numero totale di guasti rilevati dal sistema di diagnosi. La diagnostic coverage include solo i guasti rilevati dalo sistema di autodiagnosi, ma non include alcun guasto rilevato dal test. Se la DC nulla, allora non esiste il sistema di autodiagnosi dell'apparecchiatura.
Pag. 21 di 30

Master Executive in Gestione della Manutenzione Industriale

Questo determina un valore di PFD pi conservativo. Nella nostra analisi facciamo proprio questo assunto. La Probability of Failure on Demand viene quindi definita per sottosistemi con voting 1oo1 come prodotto della dangerous failure rate per il tempo di accadimento tce; in formula:

PFD = D t CE

dove

t CE =

T1 (1 DC ) + MTTR 2

T1 = single proof test interval DC = diagnostic coverage (0-1) tce = Tempo medio di di fermo, rappresenta la combinazione dei tempi medi di fermo per ogni componente del sottosistema dovuto al T1 e alleventuale MTTR.

D = dangerous failure rate


PFD (SIF Unaivalability) 7,67E-03 2,81E-03 2,81E-03 1,45E-01 1,31E-01 1,35E-01 1,27E-01 1,27E-01

Safety function PLANT EMERGENCY SHUTDOWN AIR COMPRESSOR C5000A CUMULATIVE BLOCKS AIR COMPRESSOR C5000B CUMULATIVE BLOCKS MOISTURE SEPARATOR VERY HIGH LEVEL MAX CYCLE TIME SHUTDOWN OUTLET AIR VERY HIGH TEMPERATURE REGENERATION HEATER VERY HIGH INTERNAL TEMPERATURE REGENERATION HEATER VERY HIGH GAS TEMPERATURE

SIL 2 2 2 n.c. n.c. n.c. n.c. n.c.

Come si pu vedere dalla tabella, i valori dei SIL per queste funzioni di sicurezza sono diversi fra loro. Questi risultati sono stati la base di partenza per le considerazioni che seguiranno sull'affidabilit di funzionamento dei sistemi di sicurezza strumentati.

Pag. 22 di 30

Master Executive in Gestione della Manutenzione Industriale

9. Valutazione formula di calcolo PFD La norme IEC descrivono approfonditamente le formule di calcolo per la PFD di ogni sistema di sicurezza, differenziandole in base al voting. LAnnex B della IEC-61508-6 fornisce un esempio della tecnica RBD (Reliability Block Diagram) per la valutazione della probabilit di guasto dellapparecchiatura. Lo standard suggerisce inoltre lutilizzo della analisi Markov in quanto pi accurata, ma nella valutazione del livello SIL la minore precisione di calcolo attraverso lRBD non cos significativa, soprattutto per via della limitata confidenza dei dati di affidabilit / ratei di guasto. Il metodo proposto basato su alcune ipotesi, tra cui: i ratei di guasto sono costanti durante la vita del sistema; per ogni sottosistema esiste un single proof test interval (T1) e un Mean Time To Restoration (MTTR); MTTR considera anche il tempo necessario alla rilevazione del guasto; per ogni safety function c un test completo e una perfetta riparazione (condizione dellapparecchio come As Good As New); la frazione di guasti specificati dalla Diagnostic Coverage sono sia rilevati che riparati entro lMTTR utilizzato per determinare i requisiti di safety integrity. Come si pu notare queste sono condizioni estremamente ipotetiche, basti pensare alla condizione di As Good As New dopo una riparazione, oppure la riparazione avvenuta entro lMTTR, e sono sostanzialmente relative alla manutenzione del sistema e al mantenimento del livello di integrit della funzione di sicurezza. Nella nostra analisi verranno considerate nel calcolo solamente le configurazioni 1oo1, 1oo2, 2oo2 e 2oo3.

Pag. 23 di 30

Master Executive in Gestione della Manutenzione Industriale

Configurazione 1oo1

SENSOR

1oo1

Logic Solver (PLC)

Actuator

Come abbiamo gi visto la formula per la PFD la seguente:

PFD = D t CE

dove

t CE =

T1 (1 DC ) + MTTR 2

T1 = single proof test interval DC = diagnostic coverage (0-1) tCE = Tempo medio di fermo, rappresenta la combinazione dei tempi medi di fermo per ogni componente del sottosistema dovuto al T1 e alleventuale MTTR.

D = dangerous failure rate


Configurazione 1oo2

SENSOR 1 1oo2 SENSOR 2 Logic Solver (PLC) Actuator

T 2 PFD = D tCE tGE [1 + DC ( D )] + D DC MTTR + (1 DC ) 1 + MTTR 2 tGE = Tempo medio di fermo, rappresenta la combinazione dei tempi
medi di fermo per ogni componente del voted group dovuto al T1 e alleventuale MTTR.

= frazione dei guasti non rilevati che hanno una causa comune
(common cause);

D = frazione dei guasti che hanno una common cause e sono rilevati
dai test diagnostici.

Pag. 24 di 30

Master Executive in Gestione della Manutenzione Industriale

Configurazione 2oo2

SENSOR 1 2oo2 SENSOR 2 Logic Solver (PLC) Actuator

PFD = 2 D t CE
Configurazione 2oo3

SENSOR 1 SENSOR 2 SENSOR 3 2oo3 Logic Solver (PLC)

Actuator

T 2 PFD = D 3 t CE t GE [1 + DC ( D )] + D DC MTTR + (1 DC ) 1 + MTTR 2

Pag. 25 di 30

Master Executive in Gestione della Manutenzione Industriale

Andiamo adesso ad analizzare una delle funzioni di sicurezza dellimpianto di produzione azoto preso in esame. La funzione la Moisture Separator Very High Level, item LAHH893, con input dal sensore LSH 893. Questa funzione di sicurezza relativa al segnale di altissimo livello della condensa nel vessel separatore, dopo la compressione dellaria in ingresso allimpianto. Un valore troppo alto di acqua significa aria troppo umida in ingresso alla batteria di deumidificazione e decarbonatazione, con conseguente ingresso di aria non secca nella colonna di frazionamento a temperature criogeniche e blocco dellimpianto. Gli output dal SIS coinvolgono il blocco dei due compressori aria (C5000 A e B), il blocco dei riscaldatori di rigenerazione ( Sect. A e B) e la chiusura delle due valvole che isolano la colonna di frazionamento dal flusso di aria (FV710 e FY711). Per ipotesi, tutte le funzioni di sicurezza sono in voting 1oo1. La Diagnostic Coverage ipotizzata uguale a 0, non esiste sistema di auto-diagnosi dellapparecchiatura. Dai calcoli risulta:

Safety function:

Moisture separator very high level

Configurazione nominale Componenti lambda tau 1/MTTR PFDi (1oo1)

LSH893 PLC1 C5000A C5000B REG.HEAT.Section A REG.HEAT.Section B FV 710 FV 711

1.256E-05 7.610E-06 7.610E-06 1.410E-05 1.410E-05 2.900E-06 2.648E-06

4320 1440 1440 17280 17280 1440 1440

0.25 1 0.125 0.125 0.125 0.125 0.125 0.125

1.36E-02 1.24E-06 2.77E-03 2.77E-03 6.10E-02 6.10E-02 1.06E-03 9.64E-04 PFD sys = 1.43E-01 SIL N.C.

2.450E-06 1.70E-02

Pag. 26 di 30

Master Executive in Gestione della Manutenzione Industriale

Vediamo subito che in questa configurazione, la PFD molto elevata, dunque non possibile classificare con un SIL questa funzione di sicurezza. Possiamo notare che i componenti che presentano una PFD alta sono il sensore LSH893 (in voting 1oo1) e le due sezioni dei Regeneration Heaters. Andiamo a verificare in questa condizione cosa cambia al variare del voting dellLSH893, mantenendo il rateo di riparazione costante:
Componenti PFD LSH893 (1oo2) LSH893 PLC1 C5000A C5000B REG.HEAT.Section A REG.HEAT.Section B FV 710 FV 711 PFD sys = SIL 2.46E-04 1.24E-06 2.77E-03 2.77E-03 6.10E-02 6.10E-02 1.06E-03 9.64E-04 1.30E-01 N.C. PFDi LSH893 (2oo2) 2.72E-02 1.24E-06 2.77E-03 2.77E-03 6.10E-02 6.10E-02 1.06E-03 9.64E-04 1.57E-01 N.C. PFDi LSH893 (2oo3) 7.39E-04 1.24E-06 2.77E-03 2.77E-03 6.10E-02 6.10E-02 1.06E-03 9.64E-04 1.30E-01 N.C.

Notiamo subito che sia in voting 1oo2 che 2oo3 la PFD dello strumento migliora tantissimo, ma la PFD del sistema rimane alta. Le configurazioni 2oo2 e 2oo3 non risultano economicamente valide, in quanto una ridondanza di questo tipo pu essere sostituita da un unico strumento che abbia classificazione SIL. A fronte di una ridondanza 1oo2, che fornisce valori adeguati ad una classificazione SIL, laltra grandezza che pu variare sensibilmente la PFD lintervallo di test dellapparecchiatura. In questo caso, per i Regeneration Heaters previsto lintervallo di test pi lungo, dunque riducendolo opportunamente ricaviamo i seguenti risultati:

Pag. 27 di 30

Master Executive in Gestione della Manutenzione Industriale Tau heater a 8640 h LSH893 1oo1 PFD sys = SIL Tau heater a 4320 h LSH893 1oo1 PFD sys = SIL 5.17E-02 SIL 1 1oo2 8.94E-04 SIL 3 LSH893 2oo2 1.03E-01 N.C. LSH893 2oo3 2.68E-03 SIL 2 8.22E-02 SIL 1 1oo2 2.75E-03 SIL 2 LSH893 2oo2 1.64E-01 N.C. LSH893 2oo3 8.26E-03 SIL 2

Si vede quindi che lintervallo di test una grandezza fondamentale nella classificazione e nel mantenimento del livello SIL di safety function. Ovviamente durante lesercizio dellimpianto si possono fare diversi ragionamenti sulla minimizzazione dei costi di intervento a fronte del mantenimento del livello SIL, come alla modifica dellintegrit della sicurezza riducendo lintervallo di test. In un semplice grafico si pu avere un riassunto di questi risultati.

1.E-05 1.E-04 1.E-03 1.E-02 1.E-01 1.E+00 Nominale Tau a 8640h Tau a 4320h

1oo1

1oo2

2oo2

2oo3

Risulta chiaro che al fine di avere una determinata funzione di sicurezza con classificazione SIL bisogna tenere in considerazione tutti questi parametri.

Pag. 28 di 30

Master Executive in Gestione della Manutenzione Industriale

Anche ladozione di uno strumento, o di uno qualunque degli anelli della catena di sicurezza che abbia classificazione SIL non una condizione sufficiente ad avere un valore di rischio residuo compatibile con il SIL. Da questa semplice analisi risulta che se vi una necessit di ridurre la PFD di un sistema di sicurezza strumentato possibile agire su diversi parametri. La soluzione pi semplice quella di ridurre lintervallo di test, ma a volte non risulta la pi efficace: lintroduzione di una ridondanza, o la sostituzione di un componente con uno pi affidabile (ratei di guasto pi bassi), il quale pu anche essere in grado di eseguire delle autodiagnosi pu essere una strada diversa, e con risultati migliori. La scelta corretta sta tra diverse soluzioni, che vanno scelte in maniera appropriata dopo unattenta analisi costi-benefici riferita allintero ciclo di vita del componente o dellintero sistema.

Pag. 29 di 30

Master Executive in Gestione della Manutenzione Industriale

10. Bibliografia Comitato Elettrotecnico Italiano CEI EN 61508. Sicurezza funzionale per sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza

Compagno, DUrso, Trapani, 2005, Effects of maintenance management system on the safety integrity level in a petrochemical plant 1st International conference on Maintenance Management, Venice, Italy Gambetti F, 2003, Workshop sui Sistemi di Sicurezza

nellIndustria di Processo- Impatto della norma EN CENELEC 61508 e Standard 61511 sulla progettazione, installazione e utenti finali. Network Controlli Avanzati, Snamprogetti Marszal E., 2003, Hydrocracker SIL selection case study Meskanen A., Heinonkoski R., Hitchen I., 2000, Guidelines for Safety Instrumentes Systems for the process sector Fletcher A., Gambetti F., IEC-61508: Safe plant design Houtermans M., Rouvroye J., 2005, The influence of design paramenters on the probability of failure on demand (PFD) performance of the safety instrumented systems (SIS) Al-Sayed M., 2004, Failure rates Analysis and calculations as per IEC 61511 Gulland W., 2004, Methods of determining Safety Integrity Level (SIL). Requirements Pros and cons. Nunns S., A method for estimating cost comparisons in raising SIL levels IEC, Functional Safety and IEC 61508 Compagno L., DUrso D., Trapani N., 2004, Laffidabilit dei sistemi di sicurezza: un modello markoviano, XXXI Convegno Nazionale ANIMP OICE UAMI

Pag. 30 di 30