Ultima modifica: 19/08/2025
Ricordiamo che ci sono quattro tipologie di guasto:
• guasti sicuri;
• guasti pericolosi;
• guasti senza effetto; e
• guasti “no part”
Un guasto sicuro è il guasto di un elemento, all’interno di un componente che svolge un ruolo nell’implementazione di una funzione di sicurezza, che si traduce in un funzionamento spurio della funzione di sicurezza. Ciò significa che pone la macchina in uno stato sicuro (genera un arresto di emergenza della macchina, ad esempio). Un esempio di guasto sicuro per un contattore di potenza accade quando, nonostante la bobina del contattore sia eccitata, la bobina stessa presenta un guasto e i contatti di potenza si aprono.
Un guasto pericoloso è il guasto di un elemento, all’interno di un componente che svolge un ruolo nell’implementazione di una funzione di sicurezza, che impedisce alla funzione di sicurezza di operare quando richiesta, cosicché la macchina si trova in uno stato pericoloso o potenzialmente pericoloso. Un esempio di guasto pericoloso per un contattore di potenza accade quando, nonostante la bobina del contattore sia diseccitata, i contatti di potenza non si aprono e il movimento pericoloso prosegue.
Un guasto senza effetto è il guasto di un elemento, all’interno di un componente che svolge un ruolo nell’implementazione e di una funzione di sicurezza, ma che non ha alcun effetto diretto sulla funzione di sicurezza stessa. Un esempio di guasto senza effetto per un contattore di potenza accade quando lo stesso non si richiude una volta ripristinata la funzione di sicurezza. Ciò significa, ad esempio, che il cancello di una cella robotizzata viene richiuso dopo un accesso, il sistema di sicurezza viene ripristinato, ma il robot non si avvia. Questo guasto non è rilevante per la funzione di sicurezza e ha un’influenza solo sulla disponibilità del robot, ma ancora una volta non sulla sua sicurezza.
La frazione dei guasti sicuri
La Safe Failure Fraction (SFF) è stata introdotta nella prima edizione della IEC 61508 come misura utilizzata per determinare il livello minimo di ridondanza, o meglio, di Hardware Fault Tolerance (HFT), di un sottosistema di sicurezza.
L’SFF può essere definita come una proprietà di un componente di sicurezza, ad esempio un trasmettitore di pressione, definita dal rapporto tra i tassi di guasto medi di guasti sicuri sommati ai guasti pericolosi rilevabili e i guasti sicuri sommati ai guasti pericolosi. Questo rapporto è rappresentato dalla seguente equazione:
SFF= (λs+λdd) / (λs+λd)
L’SFF è la proporzione di guasti “sicuri” tra tutti i guasti: si noti che non vengono considerati né i guasti senza effetto né i guasti “no part”. Un guasto “sicuro”, in questo caso, è da intendersi come un guasto sicuro per progettazione oppure un guasto pericoloso che viene immediatamente rilevato e corretto. Gli standard IEC definiscono un guasto sicuro come un guasto che non ha la capacità di portare il SIS in uno stato pericoloso o di guasto. Un guasto rilevabile pericoloso è un guasto che può impedire al SIS di eseguire una specifica SIF, ma quando viene rilevato al suo verificarsi, ad esempio grazie alla diagnostica online, è considerato “sicuro” poiché la diagnostica può portare il sistema ad uno stato sicuro. In alcuni casi, il SIS può rispondere automaticamente a un guasto pericoloso rilevato come se si trattasse di una vera richiesta, ad esempio provocando l’arresto del processo [68].
Molti dispositivi di sicurezza elettronici dispongono di una diagnostica integrata, tale che i guasti più pericolosi diventano guasti rilevabili pericolosi; avranno quindi una SFF elevata, spesso superiore al 90%. I dispositivi di sicurezza meccanici, per i quali la diagnostica interna non è percorribile, avranno, in generale, una ridotta SFF.
Esempio di SFF per un trasmettitore di pressione usato in applicazioni di sicurezza
Di seguito un esempio dei tassi di guasto di un trasmettitore di pressione che può essere utilizzato in un SIS.
L’SFF vale:
SFF = (λs+λdd) / (λs+λdd ) = (184+280) / (184+280+36) = 464 / 500 = 92,8%
Il certificato del trasmettitore di pressione (ABB 2600T, modello 261) afferma anche che si tratta di un componente di tipo B con una Systematic Capability SC 2.
Per comprendere appieno il significato di quanto appena affermato, occorre introdurre, prima di tutto, la differenza tra Guasti Casuali e Sistematici; poi è necessario avere ben chiara la differenza tra un componente di Tipo A e uno di Tipo B e cosa si intende per Route 1H.
Guasti casuali, guasti sistematici e Systematic Capability
Nella sicurezza funzionale, i guasti sono classificati come casuali (nell’hardware) o sistematici (nell’hardware o nel software).
I guasti casuali sono normalmente attribuiti all’hardware. Si tratta di guasti che si verificano in un momento casuale, che si traducono in un degrado della capacità del componente di svolgere il proprio scopo. Sulla base dei dati storici, i guasti casuali possono essere caratterizzati da un parametro chiamato tasso di guasto λ, di cui abbiamo discusso finora. In altre parole, un guasto hardware casuale coinvolge solo l’apparecchiatura; i guasti casuali possono verificarsi improvvisamente senza preavviso o essere il risultato di un lento deterioramento nel tempo. Questi guasti possono essere caratterizzati da un singolo parametro di affidabilità, il tasso di guasto del dispositivo, che può essere controllato e gestito utilizzando un programma di “asset integrity”.
I guasti sistematici sono essenzialmente dovuti a errori. Possono essere eliminati solo mediante una modifica del progetto o del processo di fabbricazione, delle procedure operative o di altri fattori rilevanti. Esempi di cause di guasti sistematici includono errori umani durante la progettazione, produzione, installazione e il funzionamento dell’hardware. Se, ad esempio, un prodotto viene utilizzato nell’ambiente sbagliato, esiste il rischio di guasti sistematici. Un guasto sistematico coinvolge sia l’apparecchiatura che un errore umano; i guasti sistematici esistono dal momento in cui sono stati commessi errori umani e continuano ad esistere fino a quando non vengono corretti. Un errore sistematico può essere eliminato dopo essere stato rilevato, mentre i guasti hardware casuali no.
I guasti sono, quindi, casuali o sistematici; quest’ultimo può nascondersi nell’hardware o nel software. Una delle principali differenze tra guasti hardware casuali e guasti sistematici è che i tassi di guasto del sistema (o altre misure appropriate) derivanti da guasti hardware casuali possono essere previsti con ragionevole precisione, mentre i guasti sistematici, per loro stessa natura, non possono essere previsti con precisione. Ciò significa che i tassi di guasto del sistema derivanti da guasti hardware casuali possono essere quantificati con ragionevole accuratezza mentre quelli derivanti da guasti sistematici non possono essere quantificati statisticamente, perché gli eventi che li portano non possono essere facilmente previsti. In altre parole, i parametri di affidabilità dei guasti hardware casuali possono essere stimati dai feedback sul campo, mentre è molto difficile fare lo stesso per i guasti sistematici: per i guasti sistematici è preferibile un approccio qualitativo.
I guasti casuali vengono presi in considerazione con il calcolo dei diversi tipi di tassi di guasto. Per i guasti sistematici viene utilizzato il concetto di Systematic Capability di un componente.
La Systematic Capability di un componente è una misura (espressa su una scala da SC 1 a SC 4) della confidenza che Systematic Safety Integrity del componente soddisfi i requisiti del SIL specificato. In altre parole, un componente con Systematic Capability SC 2 può essere utilizzato solo in SIS con affidabilità fino a SIL 2, indipendentemente dalla ridondanza utilizzata per quel componente. Ciò significa che se un componente ha SC 1 (SIL 1), anche utilizzandone due in parallelo, il livello massimo di affidabilità che può raggiungere il sottosistema è SIL 1.
Per valutare la Systematic Capability di un componente, il laboratorio che la stima esamina, ad esempio, quanto è stato buono il suo processo di sviluppo e quanto è stato buono il suo processo di produzione.
Il concetto di Systematic Capability è stato introdotto nella seconda edizione della IEC 61508. Poiché il termine non era presente nella prima edizione, nelle schede tecniche e nei documenti è apparsa una terminologia, come componente “SIL n-capable” oppure “SIL n-compliant”, che ha generato molta confusione! La confusione deriva dal fatto che, grazie al concetto di Systematic Safety Integrity, è possibile assegnare un livello SIL a un componente. Ciò è insolito, poiché il concetto SIL appartiene a una funzione di sicurezza e non a un componente.
Con la nuova edizione della serie IEC 61508, il concetto è stato chiarito: un dispositivo, con una Systematic capability di SIL 2 (SC 2), ad esempio, soddisfa la Systematic Safety Integrity di SIL 2 se applicato in conformità con le istruzioni fornite dal suo produttore. Ciò significa che, anche se i tassi di guasto e l’SFF consentono al componente di raggiungere SIL 3, può essere utilizzato solo in un sottosistema di sicurezza SIL 2. Ciò significa anche che, seppur utilizzato in ridondanza con un altro componente e il loro sottosistema può raggiungere SIL 3, il sistema di sicurezza può raggiungere solo SIL 2.
Ancora una volta: Safety Integrity significa sia Hardware Safety Integrity che Systematic Safety Integrity. I guasti sistematici (hardware o software) e di conseguenza la Systematic Safety Integrity, non possono essere quantificati. D’altra parte, i guasti hardware casuali solitamente possono esserlo.
Un sistema di sicurezza necessita di un certo livello di Safety Integrity per essere “affidabile” o, in altri termini, necessita di essere “immune” da guasti sia Sistematici che Casuali.
I guasti hardware casuali sono quantificabili e vengono presi in considerazione grazie ai valori forniti dal produttore del componente, come i tassi di guasto, MTTFD e PFHD. Il problema è legato a come affrontare i guasti sistematici. Ciò viene fatto garantendo un certo livello di Systematic Capability, che è la terminologia utilizzata in IEC 61508. La Systematic Capability si applica a un componente di sicurezza in relazione al livello di confidenza che la Systematic Safety Integrity soddisfi i requisiti del Safety Integrity Level (SIL) specificato.
Componenti di tipo A e B
I componenti utilizzati in una funzione di sicurezza possono essere classificati come Tipo A o Tipo B.
Secondo la norma IEC 61508-2, un componente può essere considerato di tipo A se
• le modalità di guasto di tutti i componenti che lo costituiscono sono ben definite; e
• il comportamento dell’elemento in condizioni di guasto può essere completamente determinato; e
• sono disponibili sufficienti dati affidabili sui guasti per dimostrare che i tassi di guasto dichiarati per i guasti pericolosi rilevati e non rilevati sono soddisfatti.
I dispositivi di interblocco elettromeccanico sono esempi di componenti di tipo A.
Un componente può essere considerato di tipo B se
• la modalità di guasto di almeno un componente che lo costituisce non è ben definita; o
• il comportamento dell’elemento in condizioni di guasto non può essere completamente determinato; o
• non ci sono dati affidabili sui guasti insufficienti per supportare le affermazioni sui tassi di guasto per guasti pericolosi rilevati e non rilevati.
Un trasmettitore 4-20 mA è normalmente un componente di tipo B.
Route 1H
Storicamente, questo era l’unico modo per determinare il SIL massimo che poteva essere associato ad funzione di sicurezza. Ecco i passi da seguire secondo IEC 61508-2, § 7.4.4.2
- Suddividere il sistema di sicurezza in sottosistemi;
- Per ogni sottosistema, calcolare separatamente la frazione di guasti sicuri per tutti gli elementi del sottosistema. In caso di configurazioni di elementi ridondanti, l’SFF può essere calcolato prendendo in considerazione la diagnostica aggiuntiva eventualmente disponibile (ad es. confrontando elementi ridondanti);
- Per ciascun elemento, utilizzare la frazione di guasti sicuri e la tolleranza ai guasti hardware pari a 0 per determinare il massimo Safety Integrity Level che può essere rivendicato dalla colonna 2 della tabella 2 della norma IEC 61502-2 per gli elementi di tipo A; in caso di elementi di tipo B, deve essere utilizzata la tabella 3 della norma IEC 61502-2;
- Il massimo Safetty Integrity Level che può essere dichiarato per un sistema di sicurezza E/E/PE deve essere determinato dal sottosistema che ha raggiunto il Safety Integrity Level più basso.
Per una Route 1H, ogni componente di sicurezza deve avere tutti i tassi di guasto provenienti da un’analisi FMEDA.
| Safe Failure Fraction di un elemento | Hardware fault tolerance | ||
| 0 | 1 | 2 | |
| SFF < 60 % | SIL 1 | SIL 2 | SIL 3 |
| 60 % ≤ SFF < 90 % | SIL 2 | SIL 3 | SIL 4 |
| 90 % ≤ SFF < 99 % | SIL 3 | SIL 4 | SIL 4 |
| SFF ≥ 99 % | SIL 3 | SIL 4 | SIL 4 |
Tabella 2 della IEC 61508-2:Safety Integrity Level massimo consentito per una funzione di sicurezza svolta da un elemento o sottosistema di sicurezza di tipo A
| Safe Failure Fraction di un elemento | Hardware fault tolerance | ||
| 0 | 1 | 2 | |
| SFF < 60 % | Non consentito | SIL 1 | SIL 2 |
| 60 % ≤ SFF < 90 % | SIL 1 | SIL 2 | SIL 3 |
| 90 % ≤ SFF < 99 % | SIL 2 | SIL 3 | SIL 4 |
| SFF ≥ 99 % | SIL 3 | SIL 4 | SIL 4 |
Tabella 3 della IEC 61508-2: Safety Integrity Level massimo consentito per una funzione di sicurezza svolta da un elemento o sottosistema di sicurezza di tipo B
Il concetto di Hardware Fault Tolerance (HFT) viene utilizzato nella serie IEC 61508 per indicare la capacità di un sottosistema hardware di continuare a svolgere una funzione richiesta, in presenza di guasti o errori. L’HFT è espresso come cifra. HFT = 0 significa che, in caso di un guasto, la funzione (ad es. una misurazione della pressione) viene persa. HFT = 1 significa che se un canale si guasta, ce n’è un altro in grado di svolgere la stessa funzione: in altri termini, il sottosistema può tollerare un guasto e continuare a funzionare. Un sottosistema di tre canali deputato ad una struttura 2oo3 funziona fintanto che funzionano due dei suoi tre canali. Ciò significa che il sottosistema può tollerare il guasto di un canale e continuare a funzionare normalmente. La Hardware Fault Tolerance del gruppo votato 2oo3 è, quindi, HFT = 1. Nella figura 1 è mostrato un sottosistema di ingresso con HFT = 1: I1 e I2 potrebbero essere due trasmettitori di pressione identici.
Come utilizzare un componente di sicurezza
Tornando al nostro trasmettitore di pressione di sicurezza con SFF = 92,8% e Systematic capability SC 2, concludiamo che:
– Avendo una SFF nell’intervallo da 90% a 99% ed essendo un tipo B, la tabella 3 della norma IEC 61508-2 indica che, se viene utilizzato come singolo componente in un Safety Instrumented System, il suo sottosistema può raggiungere, nella migliore delle ipotesi, SIL 2; anche se il suo PFDavg indica, ad esempio, un livello di affidabilità SIL 3;
– Avendo una capacità Sistematica SC 2, anche se utilizzato in una configurazione 1oo2 (HFT = 1), il massimo livello SIL che il sottosistema può raggiungere è comunque SIL 2 (e non SIL 3 come indicato nella tabella 3), a causa del limite imposto dalla sua Systematic Capability.
Conclusioni
In questo articolo abbiamo spiegato la metodologia utilizzata per i componenti nei sistemi strumentati di sicurezza in modalità Low Demand.
Un componente può avere una percentuale di guasto molto bassa, ma ciò non significa che possa raggiungere un alto livello di affidabilità, se installato in un sistema di sicurezza.
Il valore dei guasti casuali è solo un aspetto da considerare. L’altro è il rischio che il componente (un trasmettitore di pressione, in questo articolo) possa essere soggetto a guasti sistematici dovuti al fatto che non è stato adeguatamente progettato, ingegnerizzato e prodotto, o non è stato sottoposto a corretta manutenzione. Il livello di Systematic Capability di un componente è formalizzato in livelli da SC 1 a SC 4.
Abbiamo discusso di cosa sia un componente di tipo A o di tipo B e di come ciò limiti il SIL massimo che un sottosistema che contiene quel componente può raggiungere, osservando i suoi guasti casuali e il livello SFF.
In ogni caso, se un componente ha una Systematic Capability di SC 2, il massimo livello SIL raggiungibile dal suo sottosistema è SIL 2, indipendentemente da quanti ne colleghiamo in parallelo o dal valore PFDavg raggiunto dal sottosistema.