P3: Considerazioni sulla frazione di guasti sicuri SFF nelle modalità high e low demand

Nel precedente articolo (Sicurezza funzionale: La frazione di guasti sicuri e i vincoli architetturali) abbiamo presentato un parametro importante, usato sia in high che low demand: la frazione di guasti sicuri SFF. In questo articolo discuteremo alcuni aspetti critici collegati all’utilizzo dell’SFF. Forniremo anche alcuni requisiti per definire “rilevabili” i guasti.

Dall’articolo precedente, ricordiamo che la frazione di guasti sicuri è calcolabile dalla seguente equazione:

SFF = (λS+λDD) / (λS+λD)

È utilizzata insieme alla “tolleranza al guasto” (HFT – Hardware Fault Tolerance) di un sottosistema per determinare il massimo livello SIL raggiungibile.

In Low demand, l’SFF è usato quando viene seguita la cosiddetta “Route 1H” e, a seconda del tipo di componente, una delle due tabelle seguenti deve essere utilizzata:

In High demand, la IEC 62061 riporta la seguente tabella di riferimento, valida per qualsiasi tipo di componente. Ricordiamo che la classificazione in tipo A e tipo B non è applicabile in High demand.

La Route 1_H utilizza sia i tassi di guasto che il parametro SFF. Nella prima edizione della IEC 61508 (2000), questo metodo era l’unico approccio possibile. Durante la discussione per la seconda edizione della serie di norme (rilasciata nel 2010), la maggioranza dei membri del Comitato tecnico aveva maggiore fiducia nei dati di affidabilità e considerava l’SFF non utile/troppo conservativo. Questo è stato il motivo per cui è stata definita definita la Route 2_H.

Utilizzando la Route 2_H i dati di affidabilità si presentano così (Trasmettitore di pressione Rosemount):

• λ_DU = 1,49·10 ^-7 [h^-1]
• λ_SU = 7,70·10 ^-8 [h^-1]
• Component Type B

Non c’è necessità di calcolare l’SFF; i vincoli architetturali sono indicati dalla tabella seguente:

Esiste un’altra questione legata all’uso del parametro SFF. Considerando la definizione di SFF, la sicurezza di un componente può essere migliorata rendendo più basso il tasso di guasti pericolosi e più alto il tasso di guasti sicuri, assumendo che il tasso di guasti totali del componente non cambi.

Pertanto, può verificarsi la seguente situazione: un produttore di componenti ha progettato e sviluppato un prodotto con un tasso di guasti pericolosi stimato di 2·10^-8, ma il suo SFF è stimato al 50%. L’azienda modifica il design per aumentare i guasti sicuri e/o i guasti pericolosi rilevati, ma il componente modificato non garantirà una maggiore sicurezza e causerà perdite economiche per l’utente, in quanto il suo processo sarà soggetto a un maggior numero di interventi spuri.

Pertanto, un SFF elevato indica un design più sicuro? Esperti di affidabilità, integratori e utenti hanno messo in dubbio l’idoneità dell’SFF come indicatore di un design sicuro. Il motivo è che i guasti sicuri non sono sempre positivi per la sicurezza, dal momento che gli interventi spuri possono creare altre situazioni pericolose, durante il riavvio del processo. Inoltre, per aumentare la percentuale dell’SFF si può essere costretti ad aggiungere dell’hardware non necessario, che non fa altro che aumentare i guasti sicuri. Sicuramente, un’alta percentuale di guasti ”sicuri” è un vantaggio commerciale per i produttori di componenti dato che aumentano l’SFF. Con un SFF elevato, i componenti possono essere utilizzati in configurazioni con HFT basso, il che significa più affari per il produttore del componente.

A titolo di esempio, consideriamo i seguenti due componenti utilizzati nel sottosistema HFT = 0 in High demand (IEC 62061).

Componente 1:

• λ_DU = 50 FIT
• λ_DD = 0 FIT
• λ_S = 0 FIT
• SFF = 0
• PFH_D = 50 FIT
• Max SIL raggiungibile: SIL 1

Componente 2:

• λ_DU = 50 FIT
• λ_DD = 3950 FIT
• λ_S = 1000 FIT
• SFF = 99%
• PFH_D = 50 FIT
• Max SIL raggiungibile: SIL 3

In altri termini, entrambi i componenti hanno lo stesso PFH_D; uno è “intrinsecamente sicuro” e non ha guasti sicuri. Il secondo ha un tasso di guasti totali più alto, ma ha una grande capacità di rilevare i guasti pericolosi; in più lui ha un certo numero di guasti sicuri.

Il secondo componente, sebbene abbia lo stesso PFH_D del primo, può essere utilizzato fino a SIL3, solo perché ha molti gusti sicuri (DD e S).

Di nuovo, questo è il motivo per cui, nella seconda edizione della IEC 61508, è stato introdotto il concetto di guasti senza effetto: per evitare la sovrastima dei guasti sicuri.

Questo è un aspetto importante sottolineato nell’edizione del 2021 della IEC 62061.

Consideriamo come sottosistema di uscita un contattore che previene ad una lama di girare. La sottofunzione di sicurezza è la seguente: quando la bobina del contattore è de-energizzata, i contatti di potenza si aprono.

I possibili guasti del contattore sono i seguenti:

• I contatti di potenza si apriranno quando la lama sta funzionando normalmente, sebbene nessuno sia entrato nell’area protetta: guasto sicuro. Ipotizziamo che l’apertura dei contatti non sia dovuta alla perdita del segnale elettrico; il segnale è presente, la bobina è energizzata (1 ⇒ 1) e, nonostante ciò, i contatti di potenza si aprono all’improvviso. Può essere considerato molto improbabile e quindi il tasso di guasto corrispondente è considerato λ_S≈
• I contatti di Potenza non si apriranno quando, ad esempio, una persona entra nell’area protetta; in altri termini, la bobina è de-energizzata (1 ⇒ 0) ma i contatti restano incollati e non si aprono: si tratta di guasto pericoloso λ_D.
• I contatti di potenza si chiudono da soli sebbene la bobina sia de-energizzata (0 ⇒ 0): è un guasto pericoloso λ_D.
• I contatti di potenza non si chiudono una volta, la funzione di sicurezza è resettata e il pulsante di start della lama viene attivato, sebbene la bobina sia energizzata (0 ⇒ 1). Questo guasto non è rilevante per la funzione di sicurezza e ha influenza solo sulla disponibilità della lama. Ciò significa che si tratta di un guasto senza effetto λ_NE e non di un guasto sicuro.

Ciò significa, anche in questo caso, che λ_S ≈ 0 e quindi

Questo ragionamento è valido per la maggior parte dei componenti elettromeccanici. Tali componenti sarebbero definiti di tipo A, secondo la norma IEC 61508-2. Il ragionamento non è applicabile ai componenti di tipo B.

Mentre i sistemi di sicurezza in Low demand sono solitamente realizzati con componenti elettronici (tipo B), nei sistemi di sicurezza in High demand si utilizzano anche componenti elettromeccanici come interblocchi meccanici, pressostati e contattori.

Date le considerazioni di cui sopra, ora chiaramente enunciate nella seconda edizione della norma IEC 62061, i produttori e i laboratori devono prestare attenzione nell’attribuire i guasti sicuri ai componenti elettromeccanici.

Alcuni produttori vendono contattori di potenza che contengono un po’ di elettronica. Ciò consente di definire il componente come Tipo B. Inoltre, al contattore viene attribuito un SFF > 90 %, sia in Low che High demand.

Ciò significa che possono essere utilizzati senza ridondanza (HFT = 0) e che il sottosistema di uscita può raggiungere il livello SIL 2. Raccomandiamo tuttavia che, in caso di HFT = 0, il SIL massimo sia limitato a 1.

La ragione è anche che lo stesso componente è dichiarato PL=c secondo la norma ISO 13849-1. Questa differenza è stata resa possibile con la prima edizione della IEC 62061; con la seconda edizione della norma (2021) questo “approccio” è fortemente sconsigliato.

C’è un altro aspetto importante da tenere in considerazione ed è il fatto che, in un componente, possiamo definire un guasto pericoloso rilevabile solo se, in caso di tale guasto, è possibile portare il sottosistema in uno stato sicuro.

Ad esempio, se consideriamo un sottosistema di uscita costituito da un contattore di potenza monitorato (figura a sinistra), la diagnostica deve essere assunta ≈ 0. Il motivo è che, se rileviamo che i contatti di potenza non si sono aperti, non possiamo portare il sistema di sicurezza in uno stato sicuro. Invece, nel caso di un sottosistema di sicurezza a doppio canale (figura a destra) la diagnostica può essere assunta ≈ 99%. Il motivo è che, nel caso in cui si rilevi che i contatti di potenza, ad esempio di K1, non si sono aperti, è possibile diseccitare K2 e quindi portare il sistema di sicurezza in uno stato sicuro.

Tale concetto è ora valido in High demand, secondo il seguente linguaggio della IEC 61508-2: 2010

[IEC 61508-2: CD 2023] 7.4.4 Hardware safety integrity architectural constraints

[…] 7.4.4.1.4 Quando si stima la frazione di guasti sicuro di un elemento, destinato a essere utilizzato in un sottosistema con tolleranza ai guasti hardware pari a 0, e che implementa una funzione di sicurezza, o parte di una funzione di sicurezza, operante in High demand o Continuous mode, si tiene conto della diagnostica solo se: 

• la somma della metà dell’intervallo del test diagnostico e del tempo per eseguire l’azione specificata per raggiungere o mantenere uno stato sicuro è inferiore al tempo di sicurezza del processo; oppure,
• quando si opera in high demand, il rapporto tra il tasso di test diagnostici e il tasso di domanda è uguale o superiore a 100.

Questo sarà probabilmente esteso ai componenti usati in Low demand nella nuova edizione della IEC 61508-2 prevista fra pochi anni.