Macchinari, impianti di processo e altre apparecchiature possono, in caso di malfunzionamento, presentare rischi derivanti da eventi pericolosi come incendi, esplosioni, overdose di radiazioni e parti in movimento. Uno dei modi in cui tali impianti, apparecchiature e macchinari possono malfunzionare è dovuto a guasti di dispositivi elettromeccanici, elettronici ed elettronici programmabili (E/E/PE) utilizzati nella progettazione dei loro sistemi di controllo o di sicurezza. Questi guasti possono derivare da guasti fisici nel dispositivo (ad esempio, dall'usura che si verifica in modo casuale nel tempo (guasti hardware casuali)); o da guasti sistematici (ad esempio, errori commessi nelle specifiche e nella progettazione di un sistema che ne provocano il guasto a causa di (1) una particolare combinazione di input, (2) alcune condizioni ambientali (3) input errati o incompleti dai sensori, ( 4) immissione di dati incompleta o errata da parte degli operatori e (5) potenziali errori sistematici dovuti a un design dell'interfaccia scadente).

Guasti dei sistemi relativi alla sicurezza

Questo articolo copre la sicurezza funzionale dei sistemi di controllo legati alla sicurezza e considera i requisiti tecnici hardware e software necessari per raggiungere l'integrità della sicurezza richiesta. L'approccio generale è conforme alla norma IEC 1508, parti 2 e 3 proposta dalla Commissione elettrotecnica internazionale (IEC 1993). L'obiettivo generale del progetto di norma internazionale IEC 1508, Sicurezza funzionale: sistemi relativi alla sicurezza, è garantire che gli impianti e le apparecchiature possano essere automatizzati in sicurezza. Un obiettivo chiave nello sviluppo della norma internazionale proposta è prevenire o ridurre al minimo la frequenza di:

• guasti dei sistemi di controllo che innescano altri eventi che a loro volta potrebbero portare a un pericolo (ad esempio, il sistema di controllo fallisce, il controllo viene perso, il processo va fuori controllo con conseguente incendio, rilascio di materiali tossici, ecc.)
• guasti nei sistemi di allarme e monitoraggio in modo che gli operatori non ricevano informazioni in una forma che possa essere rapidamente identificata e compresa per svolgere le necessarie azioni di emergenza
• guasti non rilevati nei sistemi di protezione, rendendoli non disponibili quando necessario per un'azione di sicurezza (ad esempio, una scheda di ingresso guasta in un sistema di arresto di emergenza).

L'articolo "Sistemi elettrici, elettronici ed elettronici programmabili legati alla sicurezza" definisce l'approccio generale alla gestione della sicurezza incorporato nella Parte 1 della norma IEC 1508 per garantire la sicurezza dei sistemi di controllo e protezione che sono importanti per la sicurezza. Questo articolo descrive la progettazione ingegneristica concettuale complessiva necessaria per ridurre il rischio di incidente a un livello accettabile, compreso il ruolo di qualsiasi sistema di controllo o protezione basato sulla tecnologia E/E/PE.

Nella figura 1, il rischio derivante dall'apparecchiatura, dall'impianto di processo o dalla macchina (generalmente indicato come apparecchiature sotto controllo (EUC) senza dispositivi di protezione) è contrassegnato a un'estremità della scala di rischio EUC e il livello di rischio target necessario per soddisfare il livello di sicurezza richiesto si trova all'altra estremità. Nel mezzo viene mostrata la combinazione di sistemi relativi alla sicurezza e strutture esterne di riduzione del rischio necessarie per compensare la riduzione del rischio richiesta. Questi possono essere di vari tipi: meccanici (ad es. valvole limitatrici di pressione), idraulici, pneumatici, fisici e sistemi E/E/PE. La Figura 2 sottolinea il ruolo di ciascun livello di sicurezza nella protezione dell'EUC man mano che l'incidente progredisce.

Figura 1. Riduzione del rischio: concetti generali

Figura 2. Modello complessivo: strati di protezione

A condizione che sia stata eseguita un'analisi dei pericoli e dei rischi sull'EUC come richiesto nella Parte 1 della norma IEC 1508, è stato stabilito il progetto concettuale generale per la sicurezza e quindi le funzioni richieste e l'obiettivo SIL (Safety Integrity Level) per qualsiasi E/E/ Sono stati definiti il ​​sistema di controllo o protezione PE. L'obiettivo del livello di integrità della sicurezza è definito rispetto a una misura di fallimento dell'obiettivo (vedere la tabella 1).

Tabella 1. Livelli di integrità della sicurezza per i sistemi di protezione: misure di fallimento target

Livello di integrità della sicurezza                        Modalità di funzionamento della domanda (probabilità di non riuscire a svolgere la sua funzione di progettazione su richiesta)

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

Sistemi di protezione

Questo documento delinea i requisiti tecnici che il progettista di un sistema di sicurezza E/E/PE dovrebbe considerare per soddisfare l'obiettivo del livello di integrità della sicurezza richiesto. L'attenzione si concentra su un tipico sistema di protezione che utilizza l'elettronica programmabile per consentire una discussione più approfondita delle questioni chiave con poca perdita in generale. Un tipico sistema di protezione è mostrato in figura 3, che rappresenta un sistema di sicurezza a singolo canale con uno spegnimento secondario attivato tramite un dispositivo diagnostico. Durante il normale funzionamento, la condizione non sicura dell'EUC (ad es. velocità eccessiva in una macchina, temperatura elevata in un impianto chimico) verrà rilevata dal sensore e trasmessa all'elettronica programmabile, che comanderà agli attuatori (tramite i relè di uscita) di mettere il sistema in uno stato sicuro (ad esempio, togliendo l'alimentazione al motore elettrico della macchina, aprendo una valvola per scaricare la pressione).

Figura 3. Tipico sistema di protezione

Ma cosa succede se ci sono guasti nei componenti del sistema di protezione? Questa è la funzione dello spegnimento secondario, che viene attivato dalla caratteristica diagnostica (autocontrollo) di questo design. Tuttavia, il sistema non è completamente fail-safe, in quanto il progetto ha solo una certa probabilità di essere disponibile quando gli viene chiesto di svolgere la sua funzione di sicurezza (ha una certa probabilità di guasto su richiesta o un certo livello di integrità della sicurezza). Ad esempio, il progetto di cui sopra potrebbe essere in grado di rilevare e tollerare determinati tipi di guasto della scheda di uscita, ma non sarebbe in grado di sopportare un guasto della scheda di ingresso. Pertanto, la sua integrità di sicurezza sarà molto inferiore a quella di un progetto con una scheda di input ad alta affidabilità, o una diagnostica migliorata, o una combinazione di questi.

Esistono altre possibili cause di malfunzionamento della scheda, tra cui guasti fisici "tradizionali" nell'hardware, guasti sistematici inclusi errori nella specifica dei requisiti, errori di implementazione nel software e protezione inadeguata contro le condizioni ambientali (ad esempio, l'umidità). La diagnostica in questo design a canale singolo potrebbe non coprire tutti questi tipi di guasti e quindi ciò limiterà il livello di integrità della sicurezza raggiunto nella pratica. (La copertura è una misura della percentuale di errori che un progetto può rilevare e gestire in sicurezza.)

Requisiti tecnici

Le parti 2 e 3 della bozza della norma IEC 1508 forniscono un quadro per identificare le varie potenziali cause di guasto nell'hardware e nel software e per selezionare le caratteristiche di progettazione che superano quelle potenziali cause di guasto appropriate al livello di integrità della sicurezza richiesto del sistema relativo alla sicurezza. Ad esempio, l'approccio tecnico complessivo per il sistema di protezione in figura 3 è mostrato in figura 4. La figura indica le due strategie di base per superare guasti e guasti: (1) evitamento dei guasti, dove si presta attenzione a prevenire la creazione di guasti; e (2) tolleranza d'errore, in cui il progetto viene creato appositamente per tollerare errori specificati. Il sistema a canale singolo menzionato sopra è un esempio di progettazione con tolleranza ai guasti (limitata) in cui la diagnostica viene utilizzata per rilevare determinati guasti e mettere il sistema in uno stato sicuro prima che si verifichi un guasto pericoloso.

Figura 4. Specifiche progettuali: soluzione progettuale

Evitamento dei guasti

L'evitamento dei guasti tenta di impedire l'introduzione di guasti in un sistema. L'approccio principale consiste nell'utilizzare un metodo sistematico di gestione del progetto in modo che la sicurezza sia trattata come una qualità definibile e gestibile di un sistema, durante la progettazione e successivamente durante il funzionamento e la manutenzione. L'approccio, che è simile alla garanzia della qualità, si basa sul concetto di feedback e prevede: (1) pianificazione (definizione degli obiettivi di sicurezza, individuazione delle modalità e dei mezzi per il raggiungimento degli obiettivi); (2) di misura raggiungimento rispetto al piano durante l'attuazione e (3) l'applicazione feedback per correggere eventuali deviazioni. Le revisioni del progetto sono un buon esempio di tecnica per evitare i guasti. Nella norma IEC 1508 questo approccio di "qualità" alla prevenzione dei guasti è facilitato dai requisiti per utilizzare un ciclo di vita di sicurezza e impiegare procedure di gestione della sicurezza sia per l'hardware che per il software. Per quest'ultimo, queste si manifestano spesso come procedure di garanzia della qualità del software come quelle descritte nella ISO 9000-3 (1990).

Inoltre, le parti 2 e 3 della norma IEC 1508 (riguardanti rispettivamente l'hardware e il software) classificano alcune tecniche o misure ritenute utili per evitare guasti durante le varie fasi del ciclo di vita della sicurezza. La Tabella 2 fornisce un esempio tratto dalla Parte 3 per la fase di progettazione e sviluppo del software. Il progettista utilizzerà la tabella per facilitare la selezione delle tecniche di prevenzione dei guasti, a seconda del livello di integrità della sicurezza richiesto. Con ogni tecnica o misura nelle tabelle c'è una raccomandazione per ogni livello di integrità della sicurezza, da 1 a 4. La gamma di raccomandazioni comprende Altamente raccomandato (HR), Raccomandato (R), Neutro—né a favore né contro (—) e Non raccomandato (NR).

Tabella 2. Progettazione e sviluppo del software

HR = altamente raccomandato; R = consigliato; NR = non raccomandato;— = neutrale: la tecnica/misura non è né a favore né contro il SIL.
Nota: una tecnica/misura numerata deve essere selezionata in base al livello di integrità della sicurezza.

Tolleranza ai guasti

La norma IEC 1508 richiede livelli crescenti di tolleranza ai guasti con l'aumentare dell'obiettivo di integrità della sicurezza. Lo standard riconosce, tuttavia, che la tolleranza ai guasti è più importante quando i sistemi (e i componenti che compongono tali sistemi) sono complessi (designati come Tipo B in IEC 1508). Per sistemi meno complessi e "ben collaudati", il grado di tolleranza ai guasti può essere ridotto.

Tolleranza contro guasti hardware casuali

La tabella 3 mostra i requisiti per la tolleranza ai guasti contro guasti hardware casuali in componenti hardware complessi (ad esempio, microprocessori) quando utilizzati in un sistema di protezione come mostrato nella figura 3. Il progettista potrebbe dover considerare una combinazione appropriata di diagnostica, tolleranza ai guasti e controlli di prova manuali per superare questa classe di errore, a seconda del livello di integrità della sicurezza richiesto.

Tabella 3. Livello di integrità della sicurezza - Requisiti di guasto per i componenti di tipo B¹

1 I difetti non rilevati rilevanti per la sicurezza devono essere rilevati mediante il controllo funzionale.

2 Per i componenti privi di copertura diagnostica media in linea, il sistema deve essere in grado di svolgere la funzione di sicurezza in presenza di un singolo guasto. I guasti non rilevati relativi alla sicurezza devono essere rilevati dal controllo funzionale.

3 Per i componenti con elevata copertura diagnostica in linea, il sistema deve essere in grado di svolgere la funzione di sicurezza in presenza di un singolo guasto. Per i componenti privi di elevata copertura diagnostica in linea, il sistema dovrà essere in grado di svolgere la funzione di sicurezza in presenza di due guasti. I guasti non rilevati relativi alla sicurezza devono essere rilevati dal controllo funzionale.

4 I componenti devono essere in grado di svolgere la funzione di sicurezza in presenza di due guasti. I guasti devono essere rilevati con un'elevata copertura diagnostica online. I guasti non rilevati relativi alla sicurezza devono essere rilevati dal controllo funzionale. L'analisi quantitativa dell'hardware deve basarsi sulle ipotesi del caso peggiore.

¹Componenti le cui modalità di guasto non sono ben definite o testabili, o per i quali ci sono scarsi dati di guasto dall'esperienza sul campo (ad esempio, componenti elettronici programmabili).

La norma IEC 1508 aiuta il progettista fornendo tabelle delle specifiche di progettazione (vedere tabella 4) con parametri di progettazione indicizzati rispetto al livello di integrità della sicurezza per una serie di architetture di sistemi di protezione comunemente utilizzate.

Tabella 4. Requisiti per Safety Integrity Level 2 - Architetture di sistemi elettronici programmabili per sistemi di protezione

La prima colonna della tabella rappresenta le architetture con vari gradi di tolleranza ai guasti. In generale, le architetture posizionate nella parte inferiore della tabella hanno un grado di tolleranza ai guasti più elevato rispetto a quelle in cima. Un sistema 1oo2 (uno su due) è in grado di resistere a qualsiasi guasto, così come 2oo3.

La seconda colonna descrive la percentuale di copertura di qualsiasi diagnostica interna. Maggiore è il livello della diagnostica, maggiore sarà il numero di guasti rilevati. In un sistema di protezione questo è importante perché, a condizione che il componente difettoso (ad es. una scheda di ingresso) venga riparato entro un tempo ragionevole (spesso 8 ore), la sicurezza funzionale è minima. (Nota: questo non sarebbe il caso di un sistema di controllo continuo, poiché è probabile che qualsiasi guasto causi una condizione di pericolo immediato e il potenziale per un incidente.)

La terza colonna mostra l'intervallo tra i test di verifica. Si tratta di test speciali che devono essere eseguiti per esercitare a fondo il sistema di protezione per garantire che non vi siano guasti latenti. In genere questi vengono eseguiti dal fornitore dell'apparecchiatura durante i periodi di fermo dell'impianto.

La quarta colonna mostra il tasso di viaggio spurio. Un allarme spurio è quello che provoca l'arresto dell'impianto o dell'apparecchiatura quando non vi è alcuna deviazione del processo. Il prezzo per la sicurezza è spesso un tasso di viaggio spurio più alto. Un semplice sistema di protezione ridondante - 1oo2 - ha, con tutti gli altri fattori di progettazione invariati, un livello di integrità della sicurezza più elevato ma anche una frequenza di intervento spurio più elevata rispetto a un sistema a canale singolo (1oo1).

Se una delle architetture nella tabella non viene utilizzata o se il progettista desidera eseguire un'analisi più fondamentale, la norma IEC 1508 consente questa alternativa. Tecniche di ingegneria dell'affidabilità come la modellazione di Markov possono quindi essere utilizzate per calcolare l'elemento hardware del livello di integrità della sicurezza (Johnson 1989; Goble 1992).

Tolleranza contro i guasti sistematici e per causa comune

Questa classe di guasto è molto importante nei sistemi di sicurezza ed è il fattore limitante per il raggiungimento dell'integrità della sicurezza. In un sistema ridondante un componente o un sottosistema, o anche l'intero sistema, viene duplicato per ottenere un'elevata affidabilità da parti meno affidabili. Il miglioramento dell'affidabilità si verifica perché, statisticamente, la possibilità che due sistemi si guastino simultaneamente per guasti casuali sarà il prodotto delle affidabilità dei singoli sistemi, e quindi molto inferiore. D'altra parte, i guasti sistematici e di causa comune causano casualmente guasti ai sistemi ridondanti quando, ad esempio, un errore di specifica nel software provoca il guasto simultaneo delle parti duplicate. Un altro esempio potrebbe essere il guasto di un alimentatore comune a un sistema ridondante.

La norma IEC 1508 fornisce tabelle di tecniche ingegneristiche classificate rispetto al livello di integrità della sicurezza considerato efficace nel fornire protezione contro guasti sistematici e di causa comune.

Esempi di tecniche che forniscono difese contro fallimenti sistematici sono la diversità e la ridondanza analitica. La base della diversità è che se un progettista implementa un secondo canale in un sistema ridondante utilizzando una tecnologia o un linguaggio software diverso, allora i guasti nei canali ridondanti possono essere considerati indipendenti (ovvero, una bassa probabilità di guasto casuale). Tuttavia, in particolare nell'area dei sistemi basati su software, vi è qualche suggerimento che questa tecnica potrebbe non essere efficace, poiché la maggior parte degli errori sono nelle specifiche. La ridondanza analitica tenta di sfruttare le informazioni ridondanti nell'impianto o nella macchina per identificare i guasti. Per le altre cause di guasto sistematico, ad esempio sollecitazioni esterne, lo standard fornisce tabelle che forniscono consigli sulle buone pratiche ingegneristiche (ad esempio, separazione dei cavi di segnale e di alimentazione) indicizzate rispetto al livello di integrità della sicurezza.

Conclusioni

I sistemi basati su computer offrono molti vantaggi, non solo economici, ma anche potenzialmente in grado di migliorare la sicurezza. Tuttavia, l'attenzione ai dettagli richiesta per realizzare questo potenziale è significativamente maggiore rispetto a quando si utilizzano componenti di sistema convenzionali. Questo articolo ha delineato i principali requisiti tecnici che un progettista deve tenere in considerazione per sfruttare con successo questa tecnologia.

Di ritorno