POLITECNICO DI MILANO Anno accademico 2011 - 12

Corso di Laurea in Ingegneria Aerospaziale

METODI PER LA QUANTIFICAZIONE DEL RISCHIO: Sicurezza Funzionale

Docente: P. Carlo Cacciabue

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 1

POLITECNICO DI MILANO Anno accademico 2011 - 12

Sicurezza Funzionale
Definizione di Safety Integrity Level (SIL) I SIL sono delle espressioni dei livelli di sicurezza di un dato processo. In particolare offrono una possibile visone della misura ed aspettative di funzionamento attese da parte di sistemi chiamati ad operare in condizioni di non-conformit od emergenza operativa.

Risk Based Safety Analysis (RBSA)

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 2

POLITECNICO DI MILANO Anno accademico 2011 - 12

Risk Based Safety Analysis (RBSA)

1. Con desiderato livello di sicurezza come punto di partenza, a. un livello massimo di rischio accettabile stabilito b. specificando la quantit di fallimenti che possono essere tollerati. Il processo pu quindi essere sezionato nei suoi componenti funzionali, a. ciascuno dei quali valutato per la gestione del rischio. Mediante la combinazione di questi livelli di rischio, un confronto del rischio globale pu essere fatto con il livello rischio accettabile prestabilito. a. Quando il rischio effettivo supera il massimo valore accettabile, unottimizzazione del sistema o processo si rende necessaria.

2.

3.

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 3

POLITECNICO DI MILANO Anno accademico 2011 - 12

1.

I processi possono essere ottimizzati in funzione del rischio, scegliendo dei componenti previsti per l'uso entro un certo valore di SIL. a. Ad esempio, se il valore di SIL per il processo in esame atteso molto alto (cio alto valore del livello di integrit dei sistemi di sicurezza coinvolti), tramite la scelta di certi componenti di alta qualit ed affidabilit, questo obiettivo pu essere raggiunto. b. E' importante notare tuttavia che unire in un processo semplicemente componenti di certi livelli di qualit non garantisce che il processo assuma necessariamente il valore di SIL atteso. Il valore di SIL del processo deve essere determinato attraverso un apposito metodo di indagine sul rischio.
Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 4

2.

P. Carlo Cacciabue

POLITECNICO DI MILANO Anno accademico 2011 - 12

Metodi per la valutazione dei SIL

1. 2. 3. 4. 5. Analisi semplificate, Analisi per mezzo di Grafi di Rischio (Risk Graphs), Analisi mediante Alberi di Guasto, Metodi semi-quantitativi e matrici di rischio, Analisi di Markov, ecc. La norma IEC 61508 definisce quattro livelli di Safety Integrity Level (da SIL1 a SIL4), a ciascuno dei quali associata una misura quantitativa crescente della necessaria riduzione del rischio e quindi il grado di integrit che il sistema di sicurezza deve raggiungere per poter garantire tale riduzione. di carattere generale, applicabile a tutti i sistemi correlati alla sicurezza, indipendentemente dallapplicazione (trasporti, produzione, ).
Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 5

P. Carlo Cacciabue

POLITECNICO DI MILANO Anno accademico 2011 - 12

SIL e Affidabilit
All Affidabilit di un sistema contribuiscono due tipoi di considerazioni: 1. 2. 3. disponibilit di un componente ("availability") a. MTBF, MTTR e PFD. considerazioni relative allarchitettura del sistema in esame a. Two out-of two, 2oo3, o Triple Modular Redunndant, TMR misura statistica del componente di fallire in un modo sicuro

SIL
P. Carlo Cacciabue Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 6

POLITECNICO DI MILANO Anno accademico 2011 - 12

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 7

POLITECNICO DI MILANO Anno accademico 2011 - 12

Valutazione dei SIL

Analisi semplificate, Analisi per mezzo di Grafi di Rischio (Risk Graphs), Analisi mediante Alberi di Guasto, Metodi semi-quantitativi e matrici di rischio, Analisi di Markov, ecc. a. In generale, pi la tecnica sofisticata e pi raffinato il calcolo del SIL. b. Pertanto, pi la tecnica semplifica e pi conservativo deve essere in valore di SIL derivato. c. Ad esempio, la tecnica dei Grafi di Rischio pi conservatrice e meno complessa dellAnalisi Markov. Viceversa, lapproccio di Analisi Markov pi esatto e molto pi complesso. d. Gli Alberi di Guasto cadono nel mezzo.

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 8

POLITECNICO DI MILANO Anno accademico 2011 - 12

Analisi semplificate, Nel caso di calcoli semplificati, il passo successivo la somma dei PFD per ogni componente del processo. Il valore ottenuto pu quindi essere paragonato con i dati di Tabella SIL vs. Failure on Demand e/o SIL vs failure per unit di tempo, per avere il SIL globale del processo. Analisi mediante Alberi di Guasto il prossimo passo produrre un FT. I componenti sono collegati tra di loro nellalbero di guasto attraverso la logica booleana. Una volta che questo fatto, il PFD per ogni percorso dellalbero determinato in base alla logica delle relazioni. I vari PFD sono combinati tra loro per produrre il PFDave ecc. Analisi di Markov un diagramma stato prodotto per il processo ... Metodo analitico per arrivare al valore di PFDave ecc.
Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 9

P. Carlo Cacciabue

POLITECNICO DI MILANO Anno accademico 2011 - 12

Grafi di Rischio
I Grafi di rischio sono un metodo proposto nella IEC 61508 (parte 5). Il metodo valuta qualitativamente, attraverso 4 parametri di rischio rappresentati graficamente, il rischio derivante in assenza o nonoperativit di una particolare funzione e determina il SIL relativo.

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 10

POLITECNICO DI MILANO Anno accademico 2011 - 12

Severit delle Conseguenze (S)

1. 2. 3. 4.

Danni o ferite minori (minor injury) Uno o pi lesioni gravi e irreversibili, o di una fatalit Diversi morti Effetti catastrofici, molti morti (livello non utilizzato nel settore dei trasporti, di norma solo per il nucleare).

Esposizione a pericolo (A)

1. Rara o infrequente esposizione a pericolo 2. Frequente o costante esposizione a pericolo

Difese contro le conseguenze (G)

1. Possibile 2. Appena possibile

Probabilit di verificarsi situazioni di pericolo (W)

1. Molto basso (due ostacoli/barriere) 2. Basso (un ostacolo/barriera) 3. Relativamente alto (senza ulteriore barriera)
P. Carlo Cacciabue Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 11

POLITECNICO DI MILANO Anno accademico 2011 - 12

Questi quattro parametri combinati compongono il rischio dal guasto di una particolare funzione di protezione/sicurezza: Rischio = Frequenza di eventi Gravit = W A S G

S:

Severit Le categorie di severit in questo tipo di grafi di rischio sono enumerate da uno a quattro, ma questi livelli non corrispondono, con quelli delle matrici di rischio di altre norme. I livelli dei grafi di rischio citati nella IEC-61508 contengono anche la classe di gravit S4, che normalmente afferisce alle grandi catastrofi tipicamente eventi di fusione del nocciolo nucleare. Quindi, si pu ritenere che nel dominio aeronautico, S2 e S3 corrispondono a livelli "Critico" e "Catastrofico" della matrice di rischio.

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 12

POLITECNICO DI MILANO Anno accademico 2011 - 12

A:

Esposizione L'esposizione di un passeggero ad un certo pericolo solo divisa in due classi. Lanalisi di un fattore di pericolo inizia con il chiedersi se i passeggeri sono pi o meno direttamente esposti, che per lo pi il caso quando si va ad alti livelli di pericolo. Solo alcuni processi (ad esempio, un processo di manutenzione straordinaria ad un motore in avaria, effettuata in pista con passeggeri a bordo) non incidono direttamente passeggeri. Esposizione a pericolo (A) A1: Rara o infrequente esposizione a pericolo A2: Frequente o costante esposizione a pericolo

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 13

POLITECNICO DI MILANO Anno accademico 2011 - 12

G:

Difese e protezioni dalle conseguenze Questo parametro d una misura dei fattori di riduzione delle conseguenze associate al verificarsi di una catena di eventi di pericolo. In tale senso, rappresenta una misura delle barriere esterne esistenti e presenti nel sistema per limitare o contenere i danni (ultimo stadio di sicurezza sistemica), derivanti da diversi tipi di possibili catene incidentali. Questo tipo di parametro misura la riduzione possibile delle conseguenze e non la riduzione della probabilit di occorrenza. La riduzione dei danni pu essere per esempio la riduzione della velocit quando un veicolo in corso di collisione con un ostacolo. Difese (G) G1: Possibile G2: Appena Possibile

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 14

POLITECNICO DI MILANO Anno accademico 2011 - 12

W:

Probabilit di verificarsi dei pericoli Questo parametro misura la presenza di ostacoli o barriere che limitano la probabilit di occorrenza di un evento di pericolo nel quadro di evoluzione di una dinamica incidentale. Pertanto, questo parametro d una valutazione delle barriere interne alla catena incidentale. 1. Viene assegnato un valore W3 al parametro ogni volta che si verifica un pericolo che non pu essere controllato anche da un altro ostacolo/barriera supplementare (oltre alla funzione di tutela che oggetto di analisi).

2. Se invece un altro ostacolo o barriera pu prevenire levolvere del pericolo in un incidente, la probabilit W2 pu essere assunta. 3. Se esistono due o ulteriori barriere tali da limitare l'incidente, il parametro W1 pu essere utilizzato
P. Carlo Cacciabue Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 15

POLITECNICO DI MILANO Anno accademico 2011 - 12

Esempio di Grafo di Rischio

Funzione: Rilevamento di Sovra-velocit

Descrizione sintetica della Funzione: La velocit rilevata a bordo dai sottosistemi basati sui sensori S1 ed S2 e dal Tachimetro. Se la velocit rilevata supera i limiti di velocit, la funzione rileva tale sovra-velocit ed avvia il processo di reazione.

Modi di funzionamento: Obbligatorio: Attivit sensore S1 in Fail safe: se S1 guasto il segnale di allarme o sovra-velocit attivato. Opzionale: Attivit sensore S2 in Fail safe e rilevatore automatico max velocit sul Tachimetro;

Possibile guasto: Supervelocit non rilevata porta a velocit troppo elevata rispetto al valore accettabile in curva

Pericoli associati: In caso di mancato rilevamento di velocit eccessiva, i veicoli possono avvicinarsi troppo ovvero si potrebbe operare in condizioni di velocit eccessive per il tratto di strada in oggetto

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 16

POLITECNICO DI MILANO Anno accademico 2011 - 12

Possibili conseguenze / Incidenti / Severit: La mancanza di rilevamento velocit troppo elevata pu portare a delle collisioni o uscite di strada/deragliamenti con possibili morti e distruzione dei veicoli => S3

Esposizione: I passeggeri a bordo e possibili esseri umani al di fuori dei veicoli esposti perennemente a tale pericolo => A2.

Possibili barriere di sicurezza: In caso di sovra-velocit inosservata, nessun ulteriore barriera (driver ecc) pu conservativamente essere assunta per ridurre le conseguenze => W3

Possibile riduzione conseguenza: Non applicabile

Pertanto il Grafo di Rischio associato a tali considerazioni risulta in un valore di integrit della funzione di sicurezza Rilevamento di Sovravelocit pari a : SIL = 4
P. Carlo Cacciabue Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 17

POLITECNICO DI MILANO Anno accademico 2011 - 12

Esempio di Grafo di Rischio

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 18

POLITECNICO DI MILANO Anno accademico 2011 - 12

Metodo semi-quantitativo e matrice di rischio

Il metodo utilizza come base la matrice di rischio che comprende solo due misure di rischio: frequenza di incontro del pericolo e gravit delle conseguenze Rischio = Frequenza (del pericolo) Severit (delle conseguenze).
Severit Catastrofico SL SL=4 Frequenza Frequente Probabile Occasionale Indesiderabile Remoto Improbabile Accettabile dopo revisione
Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Critico SL=3 Inaccettabile

Marginale SL=2

Trascurabile SL=1 Accettabile dopo revisione

Inaccettabile

Accettabile senza revisione

P. Carlo Cacciabue

Page 19

POLITECNICO DI MILANO Anno accademico 2011 - 12

Categoria di Severit SL => SIL = THR dove SL identifica la severit assoluta associata al pericolo in esame (SL4 = Catastrofico, SL3 = Critico, SL2 = Marginale, SL1 = Trascurabile), cio senza nessuna riduzione o aumento dovuto ad altre forme di correzioni ambientali o, sociali e specifiche.

Probabilit di Esposizione a pericolo (E) Riduzione della Probabilit di incidente (P) Riduzione delle conseguenze Probabilit (C)

(~ A nei grafi di rischio) (~ W nei grafi di rischio) (~ G nei grafi di rischio)

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 20

E=1 E = 10-1

Lesposizione dei membri del gruppo a rischio conservativa, ed assunto POLITECNICO DI MILANO frequente o permanente. Anno accademico 2011 - 12 Lesposizione dei membri del gruppo a rischio si pu conservativamente presumere come rara, e solo in casi eccezionali (ad esempio i passeggeri in piedi durante fasi iniziali/finali del volo ecc) Lesposizione dei membri di un gruppo a rischio presente solo in rarissima casi (ad esempio, i passeggeri in un aero in hangar, ecc) Non si pu contare su nessun ulteriore ostacolo per ridurre la probabilit del pericolo nellevoluzione di un incidente. Esistenza di un mezzo o circostanza che chiaramente tendono a ridurre la probabilit che un certo pericolo si evolva in un incidente (ad esempio, il personale di bordo / capace di intervenire in caso di mancato uso di sistemi o presenza di pericoli, quali giaccio sulle ali) Esistono almeno due mezzi o circostanze, per ridurre chiaramente e autonomamente la probabilit che un certo pericolo si evolva in un incidente (ad esempio, una presenza di personale di bordo specificatamente adibito al compito di sorveglianza dellapertura/chiusura delle porte e un sistema di sensori capaci di valutare lo stato di apertura o meno del portellone). Non vi motivo di supporre conservativamente che si possa limitare o evitare che membri del gruppo a rischio (ad esempio passeggeri) siano soggetti alle conseguenze di un certo pericolo. Esiste una barriera o misura di protezione per supporre conservativamente che questa possa limitare le conseguenze sui membri del gruppo a rischio (ad esempio passeggeri), limitando, di fatto, il rischio delloccorrenza. Esistono almeno due barriere o misure di sicurezza indipendenti capaci conservativamente di contenere le conseguenze di una certa occorrenza, di fatto Modulo 1 - STA - Metodi per la quantificazione del rischio: riducendone il rischio. Sicurezza Funzionale

E = 10-2

P=1 P = 10-1

P = 10-2

C=1

C = 10-1

C = 10-2
P. Carlo Cacciabue

Page 21

POLITECNICO DI MILANO Anno accademico 2011 - 12

Categoria di Severit SLe => THRe = THR /EPC => SILe Supervelocit non rilevata porta a velocit troppo elevata rispetto al valore accettabile in curva

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 22

POLITECNICO DI MILANO Anno accademico 2011 - 12

Caso studio: Foreign Object Damage, FOD Funzione: Rilevamento di oggetto imprevisto in pista di rullaggio Descrizione sintetica della Funzione: Il FOD rilevata a bordo dai piloti. E altrettanto possibile che vi sia una rilevazione del personal aeroportuale. Modi di funzionamento: Obbligatorio: Controllo visivo da parte dei piloti della pista per presenza di eventuali FOD Opzionale: Supervisione del personale di terra addetto alla manutenzione generale. Possibile guasto: FOD non rilevato. Pericoli associati: In caso di mancato rilevamento e di oggetti di dimensioni di rilievo sono possibili danni molto seri e pericolo di perdita di aeronavigabilit.

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 23

POLITECNICO DI MILANO Anno accademico 2011 - 12

Possibili conseguenze / Incidenti: La mancanza di rilevamento del FOD e i danni sullaeromobile potrebbero causare un incidente con molte morti tra i passeggeri ed equipaggio => o Grafo di Rischio: Severit delle Conseguenze: S3 o Metodo semi-quantitativo: Livello di Severit SL = 4 Esposizione: I passeggeri a bordo e possibili esseri umani al di fuori dei veicoli esposti perennemente a tale pericolo => o Grafo di Rischio: Frequente o costante esposizione a pericolo: A2 o Metodo semi-quantitativo: Esposizione dei membri del gruppo a rischio assunto frequente o permanente: E = 1 Possibili barriere di sicurezza: In caso di FOD di una certa rilevanza, probabile che questi vengano identificati dal personale di terra e pertanto esiste una barriera aggiuntiva. Si pu conservativamente assumere => o Grafo di Rischio: Probabilit bassa di verificarsi situazioni di pericolo: W2 o Metodo semi-quantitativo: Esistono circostanze che chiaramente tendono a ridurre la probabilit che il pericolo di grande FOD non rilevato evolva in un incidente: P = 10-1 Possibile riduzione conseguenza: I passeggeri non possono evitare le conseguenze => C = 1
P. Carlo Cacciabue Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale Page 24

POLITECNICO DI MILANO Anno accademico 2011 - 12

SIL Grafo di Rischio Foreign Object Detection S Damage/Severity A Typical Exposition to Hazard G Risk Reduction Potential W Probability of Accident Safety Integrity Level (SIL)

S1

W3 SIL 0 A1 G1 G2 SIL 1 SIL 2 SIL 3

W2 SIL 0

W1

S3 A2 W2 SIL 3
S2

SIL 0

G1 A2 G2 A1

SIL 1 SIL 2 SIL 3 SIL 1 SIL 2 SIL 3

S3 S4 A2 SIL 4

SIL 4

SIL Metodo semi quantitativo Foreign Object Detection SL Damage/Severity E Exposition Probability P Accident Probability C Consequence Reduction THR4/0,1 Safety Integrity Level (SIL)

SL4 1 0,1 1 THR3 -

Tolerable Hazard Rate THR per ora e per funzione THR4: 10-9 < THR < 10-8 THR3: THR2: THR1: 10-8 < THR < 10-7 10-7 < THR < 10-6 10-6 < THR < 10-5

SIL SIL4 SIL3 SIL2 SIL1

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 25

POLITECNICO DI MILANO Anno accademico 2011 - 12

Grazie per la Vostra attenzione

P. Carlo Cacciabue

Modulo 1 - STA - Metodi per la quantificazione del rischio: Sicurezza Funzionale

Page 26