L'affidabilità della strumentazione che controlla i processi influisce fortemente sui costi di trasformazione, in quanto loro malfunzionamenti possono determinare effetti quali fermate di emergenza di impianti, guasti/rotture di macchine, sporcamenti di apparecchiature/strumentazione, peggioramento della qualità dei prodotti e impatti ambientali e di sicurezza.
L'applicazione dei sistemi di gestione ha permesso di incrementare il grado di affidabilità dei sistemi in relazione ai target assegnati (salute, sicurezza, ambiente, affidabilità ecc.). Componenti essenziali dei sistemi di gestione sono i principi della qualità.
La valutazione del rischio di allarmi e blocchi critici ha acquisito, negli ultimi anni, un rilievo via via maggiore, tenuto conto degli scenari industriali fortemente competitivi che vedono confrontarsi i paesi europei con paesi emergenti nei quali i costi di materie prime e utilities sono spesso particolarmente contenuti e, al contempo, gli impianti di trasformazione sono più recenti.
Il presente documento fornisce indicazioni metodologiche per verificare il grado di affidabilità (di seguito SILverification) della strumentazione presente su impianti esistenti, ovvero il grado di integrità SIL (Safety Integrity Level) delle SIF (Safety Instrumented Functions) di SIS (Safety Instrument Systems) poste a controllo di un processo industriale esistente in relazione a obiettivi (ambientali, di sicurezza e salute delle persone, di affidabilità ecc.) che ci si prefigge di raggiungere.
La metodologia segue gli standard di riferimento IEC 61508 "Functional safety of electrical/electronic/programmable electronic safety-related systems" e IEC 61511 "Functional safety - Safety instrumented systems for the process industry sector" con riferimento a SIF che operano in "low demand mode", per le quali cioè il tempo tra ogni richiesta di attuazione della SIF da parte del processo è molto superiore all'intervallo tra prove periodiche e l'intervallo tra diagnosi automatiche. L'analisi identifica, per ogni SIF, il livello di "affidabilità" richiesto in modo numerico (fig. 1).
Tale attività è effettuata a valle di un'attività di identificazione del Livello di SILallocation, la quale, partendo da documentazione di processo (P&I, diagrammi causa-effetto, studi Hazop, descrizione del processo, disegni di lay out, dati di produzione, set up strumentazione di processo, PSV ed RD, specifiche di linee e apparecchiature, programmi di ispezione e di manutenzione ecc.) individua le conseguenze economiche sulle persone e sull'ambiente, la possibilità di evitare lo scenario e i livelli di protezione indipendenti e successivamente identifica, combinando tali parametri con il metodo del risk graph, il valore di SILallocation di ogni loop critico (SIF di una SIS).
In sostanza il SILallocation rappresenta il livello di sicurezza che vogliamo ottenere dal loop in relazione ai target definiti mentre il valore di SILverification è il livello di sicurezza che abbiamo sul loop esistente oppure è il livello di sicurezza che richiediamo al fornitore di nuovi loop.Dal confronto tra il valore del SILallocation e il valore del SILverification possono verificarsi i seguenti casi: se SILallocation ≤ SILverification sono proposte azioni di mantenimento o limitazioni (se necessarie) e viene rilasciata l'"attestazione" di conformità alla norma; se SILallocation > SILverification devono essere identificate le motivazioni e definiti gli interventi al fine di portare i due valori almeno a coincidere agendo su elementi o sottoelementi del loop critico.
La Funzione di Sicurezza Strumentata (SIF) è realizzata da un Sistema Strumentato di Sicurezza (SIS) hardware/software che è costituito da tre sottosistemi principali: sensori e interfacce, logica di elaborazione (logic solver) dei segnali dei sensori e comandi sugli elementi finali.
La norma IEC61508/11 distingue i guasti di una SIF in guasti rivelati (ossia quei guasti rivelati dalla diagnostica interna del SIS durante il normale funzionamento del SIS o con test periodici in esercizio; di fatto guasti sicuri) da guasti non rivelati (ossia quei guasti che si possono individuare soltanto in occasione della manutenzione periodica del SIS a fermata impianti; sono di fatto pericolosi poiché in caso di intervento potrebbero essere non funzionanti); una parte dei guasti non rivelati sono definiti sicuri in quanto non sono pericolosi per il loop.
La determinazione del valore di SILverification parte dal calcolo della frazione (SFF) dei guasti non pericolosi (la somma dei guasti rivelati e di quelli non rivelati ma sicuri) rispetto ai guasti totali.Il parametro SFF è valutato mediante l'applicazione di una specifica analisi di guasto (Failure Mode, Effect and Diagnostic Analysis: FMEDA) a ciascuno dei componenti il loop.
Tale parametro si combina con il parametro di tolleranza al guasto hardware (HFT) dell'elemento corrispondente. Una tolleranza al guasto hardware (HFT) di un componente N (esempio N=1 un sensore con tolleranza al guasto di uno) significa che ho N+1 componenti a protezione della funzione di sicurezza SIF del SIS (esempio N=1+1=2 ossia se un sensore si guasta ce n'è sempre un altro a protezione della SIF).
È questo il caso dei sistemi progettati con una logica di voting maggioritario di 1 su 2 (1OO2): se uno dei due sensori è guasto c'è comunque l'altro ad attuare la funzione di sicurezza.
A cura di Francesco Del Litto
Continua a leggere il resto dell'articolo sul numero di settembre di Manutenzione