Sicurezza funzionale, SIL (PDF 925,0 kB) - E

ProductsSolutions Services
© BASF - Press Photo
Sicurezza funzionale
Sicurezza funzionale (SIL)
Sistemi strumentati di sicurezza
nell'industria di processo
2
Sicurezza funzionale
sectionPremessa
or rubric
Premessa
Il concetto di “sicurezza funzionale” è emerso in seguito alla
pubblicazione delle norme IEC/EN 61508 e IEC/EN 61511.
In questo ambito si utilizza frequentemente il termine SIL
(Safety Integrity Level).
Ma cosa vuol dire SIL?
In questa brochure intendiamo presentare una panoramica
introduttiva sul concetto di “sicurezza funzionale”.
In questo ambito verranno esclusivamente trattate le
aree e le applicazioni in cui vengono utilizzati i prodotti
Endress+Hauser.
I lettori che sentissero l'esigenza di approfondire
l'argomento, potranno consultare la documentazione
correlata e le norme e i regolamenti applicabili in materia.
Pertanto, le informazioni riportate nel presente documento
dovranno essere trattate a titolo esemplificativo, e non
utilizzate nell'ambito di un progetto specifico.
Per informazioni dettagliate e per consultare le
certificazioni SIL relative ai prodotti Endress+Hauser,
visitare il sito
www.endress.com/SIL.
Indice
1. Pericolo e rischio..................................................................................................................... 4
2. Norme sulla sicurezza funzionale......................................................................................... 5
3. Ciclo di vita.............................................................................................................................. 6
4. Minimizzazione del rischio.................................................................................................... 7
5. Determinazione del SIL richiesto........................................................................................... 8
6. Modalità operative................................................................................................................. 9
7. Quali dispositivi è possibile utilizzare per ciascun SIL?.....................................................10
8. Dati caratteristici .................................................................................................................12
9. Glossario .............................................................................................................................. 14
3
Sicurezza funzionale
1. Pericolo e rischio
In Europa, la Commissione Europea ha pubblicato delle
direttive volte a tutelare le persone e l'ambiente. In
Germania, associazioni di categoria e altre istituzioni hanno
elaborato e continuano a monitorare le normative, che
vengono intese come strumenti legali che devono fungere
come una sorta di assicurazione contro gli infortuni. Oggi
le normative internazionali specificano i requisiti a cui
devono risultare conformi i sistemi e i prodotti al fine di
tutelare le persone e l'ambiente. Tali normative definiscono
le caratteristiche specifiche che devono avere i prodotti per
conseguire gli obiettivi di sicurezza prefissati.
Rischio
senza
Risiko ohne
misure
di protezione
Schutzmaßnahmen
Risikoreduzierung
Riduzione
del rischio
Rischio = probabilità che si verifichi un evento
pericoloso × entità dei danni (costi) provocati da un
evento pericoloso.
Il rischio residuo accettabile dipende da vari fattori:
•paese/area geografica
•società
•legislazione
•costi
Il rischio residuo accettabile deve essere valutato caso
per caso. Deve essere accettabile per la società.
Risiko ohne Schutzmaßnahmen
SIL 1… 4
I legislatori di varie aree geografiche hanno elaborato
normative e regolamentazioni per definire i rispettivi
requisiti in materia di sicurezza.
Definizione di rischio
Misure
di protezione
Schutzmaßnahmen
Durante le nostre attività quotidiane siamo costantemente
esposti a svariate tipologie di pericoli. In questo vasto
panorama possono figurare catastrofi, gravi incidenti o
danni che possono avere ripercussioni sulla salute delle
persone, ambiente e cose. Purtroppo, non è sempre
possibile eliminare un pericolo e il rischio correlato.
Pertanto, ad esempio, la società deve convivere con il
pericolo di terremoti, alluvioni e altre catastrofi naturali.
Tuttavia, anche se è possibile adottare solo misure di
protezione limitate per queste categorie di eventi, occorre
invece prestare particolare attenzione alle misure di
protezione contro gli effetti più gravi di tali eventi.
Rischio
Risiko
4
Rischio
tollerabile
tolerierbares
Risiko
Rischio
residuo
Restrisiko
Direttive
section
e standard
or rubric
2. Direttive e standard
per la sicurezza funzionale
Tutto è iniziato con il disastro di Seveso, un incidente
avvenuto nel 1976, che provocò la fuoriuscita di una
nube di gas tossico. Da allora, la Direttiva CE 96/82/CE
ha definito gli obblighi legali previsti per gli stabilimenti
caratterizzati da un rischio potenziale rilevante (Direttiva
Seveso II). In Germania, questa direttiva è stata recepita
nell'Ordinanza sulla protezione contro gli incidenti
rilevanti contenuta nella Legge federale sul controllo
delle immissioni (Bundes-Immissionsschutzgesetz) e
nell'Ordinanza sulla salute e la sicurezza nell'industria
(12° BImSchV e BetrSichV).
In questo contesto, occorre fare una distinzione tra
sicurezza dei prodotti in senso generale e prodotti sviluppati
e progettati specificamente per funzioni di sicurezza.
Per quest'ultimo scopo, è indispensabile fare riferimento
alla IEC/DIN EN 61508, che è diventata un punto di
riferimento imprescindibile per la definizione di tecnologie
all'avanguardia per la sicurezza funzionale.
attuatori (elementi finali) devono avere una classificazione
SIL in base a quanto previsto dallo standard. Mentre
in passato si ricorreva a considerazioni puramente
qualitative per la classificazione relativa alla sicurezza, la
nuova norma impone anche una valutazione quantitativa
dell'intero sistema e richiede una documentazione per
l'implementazione di un sistema di gestione della sicurezza
funzionale. L'utente e gli enti preposti al monitoraggio
devono specificare le misure economicamente fattibili che
devono essere richieste. L'obiettivo è quello di prevenire
errori sistematici nei sistemi di sicurezza e di controllare
i guasti casuali, nonché limitare la probabilità di guasti
pericolosi (rischio) in un modo definito.
Ma a chi si applicano gli standard IEC/DIN EN 61508
e IEC/DIN EN 61511? È possibile eseguire analisi dei
pericoli e dei rischi per individuare tutti i rischi correlati a
un sistema, al fine di stabilire se sia necessario utilizzare
sistemi strumentati di sicurezza. Nell'industria di processo
si utilizza il concetto di sicurezza funzionale, laddove in
passato si utilizzavano sistemi di sicurezza comparabili
con uno standard corrispondente. Questi tipi di prodotti
possono essere utilizzati in altri sistemi con rischio per la
sicurezza equivalente. È importante ricordare che occorre
considerare l'intero sistema di sicurezza strumentato, con
tutti i relativi componenti. Inoltre, lo standard IEC/DIN EN
61511 è derivato da IEC/DIN EN 61508 come standard
base per l'industria di processo. Analogamente erano
derivate la DIN EN 62061 per la Direttiva Macchine e la
direttiva DIN EN 50156 per la tecnologia dei forni.
Modifiche rispetto alle norme di sicurezza
precedenti Nello standard IEC/DIN EN 61508 i requisiti
relativi ai sistemi di sicurezza sono classificati in base alla
sicurezza funzionale. I sensori, i sistemi di controllo o gli
© BASF - Press Photo
Essa definisce quattro livelli di sicurezza, da SIL 1 a SIL 4.
IEC/DIN EN 61508 è uno standard generico, indipendente
dall'applicazione. Si tratta di uno standard di base,
applicato in generale a tutti i sistemi elettrici, elettronici ed
elettronici programmabili (E, E, PES), ed è la prima raccolta
di regole e normative pubblicate su scala mondiale per
funzioni di sicurezza in applicazioni critiche dal punto di
vista della sicurezza.
5
6
Sicurezza funzionale
3. Ciclo di vita
Gli utenti dei sistemi di sicurezza devono adottare misure
idonee per analizzare e ridurre il rischio durante tutto il
ciclo di vita. La norma IEC/DIN EN 61508 a questo scopo
prevede delle fasi specifiche:
• Definizione e analisi dei rischi in base a rapporti dettagliati sulla probabilità di guasto su domanda per l'intero
circuito di sicurezza (loop), dal sensore al sistema di
controllo all'elemento finale (attuatore) durante tutto il
ciclo di vita.
• Determinazione e implementazione delle misure
(gestione della sicurezza funzionale).
• Uso di apparecchiature idonee (certificate).
Sicherheits-Lebenszyklus
Ciclo di vita di sicurezza
Gestione
della
Sicherheitssicurezza
Management
Definizione delle
Spezifikation
specifiche
+
Planung und e
Progettazione
Implementierung
implementazione
Requisiti
Technische
tecnici
Anforderungen
Installation und
Installazione
e
Inbetriebnahme
messa
in servizio
+
Fehlerursachen
Cause di errore
Qualificazione
Qualifikation del
personale
Personal
Betrieb und
Funzionamento
e
Wartung
manutenzione
Änderunginnach
Modifica
seguito
Inbetriebnahme
alla
messa in servizio
Rimozione dal
Außerkraftsetzung
servizio
Riduzione
sectiondel
orrischio
rubric
© Wolfgang Jargstorff - Fotolia.com
4. Riduzione del rischio
Ogni applicazione tecnologica comporta sempre un rischio
connesso alla sicurezza. Le contromisure da adottare per
minimizzare il rischio sono direttamente proporzionali alla
gravità del pericolo per le persone, l'ambiente o le cose. Le
applicazioni industriali sono caratterizzate dalla presenza
di svariati sistemi e macchine con pericoli potenziali diversi.
Per conseguire il livello di sicurezza richiesto per tali
sistemi, i componenti connessi alla sicurezza dei sistemi di
protezione e di sicurezza devono funzionare correttamente
e comportarsi in modo che il sistema si mantenga in uno
stato di sicurezza o si porti in uno stato di sicurezza in caso
di errore.
L'obiettivo della IEC EN 61508 è quello di prevenire o
controllare gli errori nei sistemi di sicurezza e di limitare
la probabilità di guasti pericolosi in un modo definito. Per
gli eventuali rischi residui è richiesta una documentazione
quantitativa. La riduzione del rischio richiesta è ottenuta
abbinando tutte le misure di protezione. Il rischio
residuo non deve superare il rischio tollerabile. Infine, il
responsabile d'impianto deve assumersi la responsabilità
del rischio residuo e accettarlo.
7
8
Sicurezza funzionale
5. Determinazione del SIL richiesto
Sistemi diversi determinano rischi diversi. Pertanto, i
requisiti per la sicurezza dai guasti dei sistemi strumentati
di sicurezza (safety instrumented systems, SIS) aumentano
proporzionalmente all'aumento del rischio. Gli standard
IEC/DIN EN 61508 e IEC/DIN EN 61511 definiscono
quattro diversi livelli di sicurezza che descrivono le misure
atte a controllare il rischio in tali componenti. Questi
quattro livelli di sicurezza sono detti “safety integrity level”
(SIL).
Probabilità di occorrenza indesiderata
W3
W2
W1
–
–
SIL 1
SIL 1
–
SIL 2
SIL 1
SIL 1
SIL 2
SIL 2
SIL 1
SIL 3
SIL 2
SIL 2
SIL 3
SIL 3
SIL 2
SIL 4
SIL 3
SIL 3
–
SIL 4
SIL 3
CA
PA
FA
PB
CB
PA
FB
PB
FA
CC
FB
CD
Conseguenza
del danno
Frequenza e tempo
di esposizione
Probabilità di
evitare il pericolo
Riferimento: IEC 61511
Dispositivo di
sicurezza di controllo
processo insufficiente
Più è alto il valore numerico dei livelli SIL (safety integrity
level), tanto maggiore è la riduzione del rischio. Il SIL è la
misura della probabilità che il sistema di sicurezza possa
svolgere correttamente le funzioni di sicurezza richieste
in una tempistica specifica. La probabilità di guasto media
(PFD o PFH) diminuisce di un fattore 10 per ogni livello di
sicurezza.
Nessun sistema di sicurezza strumentato
(ad es. misure tecniche)
Conseguenze del danno
CALeggero infortunio in cui sia coinvolta una persona o con
effetti dannosi minori sull'ambiente, come quelli oggetto
dell'Ordinanza sulla protezione contro gli incidenti rilevanti.
CBInfortunio grave e irreversibile in cui siano coinvolte una
o più persone o decesso di una persona o effetti dannosi
su larga scala temporanei sull'ambiente, come quelli
illustrati nell'Ordinanza sulla protezione contro gli
incidenti rilevanti.
CCDecesso di più persone o effetti dannosi su larga scala
sull'ambiente, come quelli illustrati dall'Ordinanza sulla
protezione contro gli incidenti rilevanti.
CDConseguenze catastrofiche, morte di un elevato numero
di persone.
Frequenza e tempo di esposizione
FADa raro a più frequente
FBDa frequente a permanente
Probabilità di evitare il pericolo
PAPossibile in determinate circostanze
PBDifficilmente possibile
Probabilità di occorrenza indesiderata
W1Molto scarsa
W2Leggera
W3Relativamente alta
Il SIL raggiunto è determinato utilizzando le
seguenti quantità caratteristiche:
•Probabilità di guasti pericolosi di una
funzione di sicurezza (PFD o PFH).
•Tolleranza ai guasti hardware (Hardware fault
tolerance, HFT).
•Percentuale di guasti sicuri (Safe failure fraction, SFF).
•Tipo di componenti (Tipo A o Tipo B).
•Intervallo dei test di verifica (test funzione
ricorrente).
•Vita utile.
Modalità
sectionoperative
or rubric
6.Modalità operative:
Bassa domanda e alta domanda
Nella classificazione del SIL delle apparecchiature si fa riferimento a due
modalità operative: modalità a bassa domanda e modalità ad alta domanda
Modalità a bassa domanda Nel caso della modalità
a bassa domanda si può presumere che l'intervento del
sistema di sicurezza non sia richiesto più di una volta
l'anno. In questo caso, il valore SIL è ricavato dal valore
della probabilità di guasto media su domanda (probability
of failure on demand, PFD). La modalità a bassa domanda è
tipica del settore dell'industria di processo.
Modalità ad alta domanda Nel caso della modalità ad
alta domanda, si può presumere che l'intervento della
funzione di sicurezza sia richiesto continuativamente o
una volta all'ora in media. La modalità ad alta domanda
è caratteristica di sistemi o macchine che richiedono un
monitoraggio continuo (industria manifatturiera).
Modalità a bassa domanda
Livello SIL
PFD (probabilità di guasto
media della funzione di
sicurezza con bassa domanda)
SIL 4
≥ 10 -5 - < 10 -4
SIL 3
≥ 10 -4 - < 10 -3
SIL 2
≥ 10 -3 - < 10 -2
SIL 1
≥ 10 -2 - < 10 -1
Modalità ad alta domanda
Livello SIL
Probabilità di guasti pericolosi
all'ora (probability of a
dangerous failure per hour,
PFH)
SIL 4
≥ 10 -9 - < 10 -8
SIL 3
≥ 10 -8 - < 10 -7
SIL 2
≥ 10 -7 - < 10 -6
SIL 1
≥ 10 -6 - < 10 -5
9
Sicurezza funzionale
7.Quali dispositivi è possibile utilizzare
per ciascun SIL?
© Wolfgang Jargstorff - Fotolia.com
10
Per raggiungere un livello SIL (da SIL 1 a SIL 4), tutto il SIS
deve soddisfare i requisiti previsti per gli errori sistematici
(software) e gli errori casuali (hardware). Ciò significa che
il risultato ottenuto durante i calcoli di progettazione del
circuito di sicurezza deve corrispondere al SIL richiesto.
Normalmente ciò dipende dalla struttura e dell'architettura
del dispositivo di sicurezza. Pertanto, le apparecchiature
SIL 2 utilizzate in strutture di installazioni ridondanti
possono essere utilizzate in sistemi SIL 3. Data la struttura
ridondante del sistema che utilizza un'apparecchiatura SIL 2
identica, in un sistema a ridondanza omogenea il software
deve essere conforme ai requisiti previsti per il SIL 3 per
quanto riguarda gli errori sistematici.
Tipi di errori In un circuito di sicurezza si distingue tra
errori sistematici ed errori casuali. Per soddisfare i requisiti
previsti per il SIL richiesto, occorre considerare entrambi i
tipi di errore.
Errori casuali Gli errori casuali sono determinati da
guasti hardware e normalmente si verificano solo durante
il funzionamento. È possibile calcolare la probabilità degli
errori e dei guasti correlati.
I calcoli vengono effettuati per i singoli componenti. In
questo modo si ottiene il valore PFD, che costituisce la base
di calcolo per la determinazione del valore SIL.
Errori sistematici Gli errori sistematici tipicamente sono
errori che si verificano durante lo sviluppo, la progettazione
o la definizione del progetto. La stragrande maggioranza
degli errori sistematici normalmente si verifica a livello di
software del dispositivo. Per soddisfare i requisiti previsti
per un SIL specifico (ad es. SIL 3) relativamente agli errori
sistematici, l'intero sistema deve essere progettato in
conformità al SIL 3. In alternativa, è possibile conseguire
tale condizione utilizzando due dispositivi diversi
(ridondanza diversificata), o dispositivi con tecnologie
diverse.
Calcolo della funzione di sicurezza Durante la
progettazione e i calcoli relativi a un circuito di sicurezza
occorre considerare anche l'architettura. Occorre stabilire
se si tratta di un sistema a singolo canale o multicanale.
Affinché un sistema risulti effettivamente conforme ai
requisiti previsti per il SIL richiesto, occorre evitare gli
errori sistematici con strategie di gestione di sicurezza
corrispondenti al SIL. Gli esempi qui riportati sono descritti
in maniera semplificata e non possono coprire tutte le
applicazioni. In Germania ad esempio, è possibile consultare
la norma VDE/VDI 2180 Parte 4, contenente importanti
informazioni di supporto con formule di approssimazione
semplificate per le architetture di installazione di uso più
comune.
Architettura a canale singolo
Sensore
SIL 2
Sistema di controllo
SIL 2
Attuatore
SIL 2
© Otto Durst - Fotolia.com
Apparecchiatura
section or rubric
In una struttura a canale singolo occorre tenere conto dei
valori PFD o PFH dei singoli componenti per determinare
il livello SIL (safety integrity level) del sistema. Questo è
l'unico modo per assicurare che l'intero circuito di sicurezza
sia conforme ai requisiti previsti per il SIL richiesto.
Importante:
il livello SIL più basso dei sottosistemi (sensore,
sistema di controllo, attuatore) determina il livello SIL
dell'intero sistema.
Architettura a due canali
Sensore A
SIL 2
Sensore B
SIL 2
Sistema di
controllo
1oo2
Attuatore
SIL 3
La determinazione del PFD o PFH per un'architettura
multicanale è più complicata. A questo scopo è possibile
fare riferimento alla norma VDI/VDE 2180 Parte 4, in cui
sono riportate formule di approssimazione semplificate per il
calcolo del PFDav.
Fonte
IEC/DIN EN 61508 Parte 1 – Parte 7 | IEC/DIN EN 61511 Parte 1 – Parte 3 | VDI/VDE 2180
11
12
Sicurezza funzionale
8.Dati caratteristici
Sicurezza funzionale dell'hardware (HFT, SFF) Per la
classificazione SIL si utilizzano i seguenti dati caratteristici
aggiuntivi:
• tolleranza ai guasti hardware (Hardware fault tolerance,
HFT).
• percentuale di guasti sicuri (Safe failure fraction, SFF).
Nelle seguenti tabelle è indicata la relazione tra i due
parametri.
In questo contesto si distingue tra sistemi di Tipo A e
sistemi di Tipo B.
Tolleranza ai guasti hardware (Hardware fault
tolerance, HFT) La tolleranza ai guasti hardware si
riferisce alla capacità di un dispositivo di continuare a
svolgere correttamente una funzione di sicurezza qualora si
verifichino degli errori. Un HFT pari a N significa che N+1
guasti possono determinare la perdita della funzione di
sicurezza.
Percentuale di guasti sicuri (Safe failure fraction,
SFF) La SFF è la percentuale di guasti non pericolosi. Più
è alto il livello SIL richiesto, tanto maggiore dovrà essere
l'SFF.
L'SFF di un sistema viene determinato sulla base dei tassi di
guasto individuali (valori ) dei singoli componenti.
Sistemi di Tipo A Un sistema può essere considerato
di Tipo A se il comportamento in caso di guasto a livello
dei componenti richiesti per la funzione di sicurezza può
essere descritto in termini semplici. Tra questi componenti
figurano resistori a strato di ossido metallico, transistori,
relè, ecc.
Sistemi di Tipo B Tutti gli altri sistemi sono di tipo
complesso (Tipo B), se si utilizzano componenti il
cui comportamento non è completamente noto. Tra
questi componenti figurano microprocessori e circuiti a
semiconduttori.
I tassi di guasto di questi componenti sono reperibili
nei relativi database delle aziende (ad es. Siemens SN
29500).
SFF – HFT – SIL – Tipo A, Tipo B
Percentuale di guasti sicuri
(SFF)
Tolleranza ai guasti hardware
(Tipo A – apparecchiatura semplice)
Tolleranza ai guasti hardware
(Tipo B – apparecchiatura complessa)
0
0
1
2
1 (0*)
2 (1*)
< 60 %
SIL 1
SIL 2
SIL 3
Non consentito
SIL 1
SIL 2
60% ... < 90%
SIL 2
SIL 3
SIL 4
SIL 1
SIL 2
SIL 3
90% ... < 99%
SIL 3
SIL 4
SIL 4
SIL 2
SIL 3
SIL 4
≥ 99%
SIL 3
SIL 4
SIL 4
SIL 3
SIL 4
SIL 4
* Con verifica delle prestazioni dimostrate in conformità a IEC/EN 61511 (solo per SIL < 4)
Dati
section
caratteristici
or rubric
Il tasso di guasto è definito dalla variabile λ e prevede una
classificazione in quattro gruppi.
• λ SD = tasso di guasti sicuri rilevabili
• λ SU = tasso di guasti sicuri non rilevabili
• λ DD = tasso di guasti pericolosi rilevabili
• λ DU = tasso di guasti pericolosi non rilevabili
I guasti pericolosi non rilevabili (λDU) determinano una
perdita non determinabile della funzione di sicurezza, e
pertanto devono essere ridotti al minimo adottando misure
corrispondenti.
L'unità utilizzata per indicare il tasso di guasto (valori λ)
è il FIT (failure in time, 1 guasto per un miliardo di ore di
funzionamento, 1 × 109 h)
Il responsabile d'impianto è responsabile della scelta del
tipo di ispezione e degli intervalli. I test devono essere
condotti in modo tale da dimostrare la perfetta funzionalità
del sistema di sicurezza strumentato in relazione a tutti i
componenti.
PFD
0,1
Test funzionale (intervallo di test Ti)
0,01 PFDav
0,001
DU
DD
Intervallo di prova (Test interval, Ti) Per i guasti
pericolosi non rilevabili si utilizza il test funzionale
ricorrente (Ti). La funzione di sicurezza di un dispositivo
deve essere verificata a intervalli appropriati. Questo valore
viene integrato nel calcolo della quantità caratteristica
PFD/PFH e deve essere scelto in modo tale da rientrare
nell'area richiesta per il SIL target.
N
funessu
zio n t e
na s t
le
Tasso di guasto La capacità di un sistema di rilevare i
guasti e di rispondere di conseguenza ha un ruolo molto
importante. Pertanto, viene fatta una distinzione tra guasti
pericolosi e sicuri, tenendo anche conto della possibilità di
rilevare tali guasti.
SD
SIL 2
SIL 3
0,0001
Ti ad es. 1 anno
PFDav = ½ λDU x Ti
SU
SIL 1
SIL 4
Vita operativa
Per indicazioni sui test funzionali ricorrenti è possibile
consultare i manuali di sicurezza delle apparecchiature.
Vita utile La vita utile dei dispositivi di sicurezza dipende
principalmente dai componenti interni e dalle condizioni
operative (ad es. temperatura ambiente, vibrazioni, carico
elettrico). Nel caso dei componenti elettrici, lo standard IEC
61508-2 specifica un intervallo tipico compreso tra 8 e 12 anni,
mentre ISO 13849-1 presuppone un periodo di 20 anni.
Nota: IEC/DIN EN 61508-2:2011
Sez. 7.4.9.5 Nota a piè di pagina nazionale N3
La vita utile è strettamente dipendente dal
dispositivo stesso e dalle sue condizioni operative. Al
termine della vita utile, la probabilità di guasto può
aumentare con il tempo (ca. 8 - 12 anni).
La vita utile può essere prolungata tramite l'adozione
di misure corrispondenti da parte del costruttore
e del responsabile di impianto (ad es. interventi di
manutenzione).
Durante la vita utile i tassi di guasto dei componenti si
mantengono approssimativamente costanti. Alla fine
di tale periodo i tassi di guasto possono aumentare a
causa dell'usura e dell'invecchiamento, e i valori PFDav
calcolati non sono più applicabili. L'utente dovrà pertanto
adottare misure supplementari (ad es. intensificare i test
di verifica) oppure sostituire il dispositivo di sicurezza, al
fine di assicurare che il livello SIL richiesto sia mantenuto.
Se il produttore evita di utilizzare componenti critici in
via di obsolescenza (ad es. condensatori elettrolitici) nei
dispositivi di sicurezza e i dispositivi vengono utilizzati in
condizioni ambiente normali, ci si può aspettare che la vita
utile sia più prossima al valore indicato dallo standard ISO
piuttosto che a quello indicato dallo standard IEC.
13
14
Sicurezza funzionale
9.Glossario
SIL (Safety Integrity Level)
Il livello SIL è un parametro di riferimento relativo all'integrità di sicurezza di un sistema.
L'integrità di sicurezza è la probabilità che le prestazioni del sistema siano conformi alla
funzione di sicurezza richiesta in tutte le condizioni definite nell'arco di un periodo di
tempo specificato. Il SIL prevede una classificazione in quattro livelli distinti, laddove
il livello 4 corrisponde al livello di integrità della sicurezza più alto, mentre il livello 1
corrisponde al livello più basso.
E/E/EPS (Electrical/
electronic/programmable
electronic systems)
Sistemi elettrici, elettronici ed elettronici programmabili.
Sicurezza funzionale
Capacità di un sistema di svolgere le azioni necessarie per conseguire o mantenere uno
stato di sicurezza sicuro per i sistemi sottoposti al suo controllo.
Tasso di guasti
Tasso di guasti di un sistema , generalmente classificato in quattro gruppi in base al tipo
di guasto:
SD = tasso di guasti sicuri rilevabili
SU = tasso di guasti sicuri non rilevabili
DD = tasso di guasti pericolosi rilevabili
DU = tasso di guasti pericolosi non rilevabili
FIT (Failure In Time)
Guasti nel tempo (1 guasto per un miliardo di ore di funzionamento, 1 × 109 h).
HFT (Hardware Fault
Tolerance)
Tolleranza ai guasti hardware. Un HFT pari a N significa che N+1 guasti possono
determinare la perdita della funzione di sicurezza.
SFF (Safe Failure Fraction)
Percentuale di guasti sicuri.
PFD (Probability of Failure
on Demand)
La PFD è la probabilità di guasto di una funzione di sicurezza in modalità a bassa
domanda (probabilità di mancato funzionamento del sistema con risultati pericolosi su
domanda).
PFH (Probability of Failure
per Hour)
Nei casi di domanda elevata o continua si utilizza la misura numerica PFH, ossia la
probabilità di guasti pericolosi all'ora, che corrisponde alla probabilità di guasto della
funzione di sicurezza all'ora (tasso di guasti pericolosi).
MooN (M out of N)
Architettura con M su N canali. Ad esempio, può indicare un'architettura con 2 canali in
cui ciascuno dei due canali può svolgere una funzione di sicurezza.
Test di verifica (Ti)
Per test di verifica si intende un test funzionale eseguito a cadenza regolare allo scopo di
rilevare i guasti in un sistema SIL in modo che il sistema possa ritornare “come nuovo”.
SIS (Safety instrumented
system)
Sistema strumentato di sicurezza.
sectionGlossario
or rubric
15
CP01008Z/16/IT/02.13
www.adresses.endress.com

Download Report