Ultima modifica: 20/08/2025
La serie Maclaurin e il fallimento nel tempo (FIT)
Matematicamente, si può dimostrare che alcune funzioni possono essere approssimate da una serie di altre funzioni. In particolare, e x può essere sviluppata come una cosiddetta serie di Maclaurin:
Nel caso x <<1,
Ciò significa che le funzioni di affidabilità R(t) e di inaffidabilità F(t) possono essere approssimate a
Il tasso di guasto λ ha un’unità di tempo inverso: è prassi comune utilizzare l’unità di “guasti per miliardo (10 9 ) ore”. Questa unità è nota come FIT: Failure in Time .
Funzioni di affidabilità in modalità bassa e alta richiesta
La sicurezza funzionale è nata tenendo conto degli aspetti di affidabilità dei sistemi di controllo correlati alla sicurezza, progettati per essere attivati in caso di deviazioni pericolose del processo; quest’ultima è una richiesta di processo che genera un tasso di richiesta del sistema di sicurezza che protegge le persone, l’ambiente e i beni materiali.
Il parametro utilizzato per indicare l’affidabilità di un sistema di controllo di sicurezza è la funzione di inaffidabilità F(t) . Più precisamente, vengono utilizzate due funzioni F(t), a seconda che il sistema di sicurezza funzioni in modalità a bassa o alta richiesta. Ad esempio, il sistema di sicurezza degli airbag di un’auto funziona in modalità a bassa richiesta poiché potrebbe rimanere inattivo per anni, fino a quando non si verifica una richiesta (a causa di un incidente).
Nei sistemi di sicurezza in modalità a bassa domanda, F(t) è definito come PFD avg :
[IEC 61508-4] 3.6 Guasto, guasto ed errore
3.6.18 Probabilità media di guasto pericoloso su richiesta (PFD avg ). Indisponibilità media (vedere IEC 60050-191) di un sistema di sicurezza E/E/PE per eseguire la funzione di sicurezza specificata quando si verifica una richiesta dall’EUC o dal sistema di controllo EUC.
Il PFD
La PFD(t) è la funzione di inaffidabilità F(t) utilizzata in modalità a bassa domanda. Di seguito la sua definizione, supponendo un tasso di guasto costante λ:
[IEC 61508-4] 3.6 Guasto, guasto ed errore
3.6.17 Probabilità di guasto pericoloso su richiesta (PFD). Indisponibilità di sicurezza (vedere IEC 60050-191) di un sistema di sicurezza E/E/PE per eseguire la funzione di sicurezza specificata quando si verifica una richiesta dall’EUC o dal sistema di controllo EUC.
Pertanto, l’inaffidabilità istantanea PFD (t) descrive la probabilità che un sistema di sicurezza non sia in grado di svolgere la funzione richiesta, in date condizioni, in un dato istante di tempo, supponendo che siano fornite le risorse esterne richieste. Di nuovo, è ciò che finora abbiamo chiamato F(t).
Considerando, ad esempio, una valvola con λ = 50.000 FIT, il suo PFD(t) è mostrato in figura 1.32 {1.10.1.1}. Come si può vedere, l’inaffidabilità aumenta con il tempo; dopo 2 anni (17520 ore), PFD≈58%. Dopo 4 anni (35040 ore), PFD≈83%.
Considerando un FIT λ = 5.000, un valore più realistico, la sua PFD(t) è mostrata nella figura 1.33 {1.10.1.2}. Innanzitutto, la PFD è migliorata: dopo 2 anni, PFD ≈ 9% e dopo 4 anni, PFD ≈ 18%. Inoltre , la funzione può essere approssimata a una lineare, nel caso λ·t << 1.
Come si può vedere da entrambi i grafici, l’inaffidabilità del sistema aumenta con il tempo. Tornando all’esempio dell’airbag, ciò significa che la sua probabilità di guasto sarà molto bassa quando l’auto è nuova e aumenterà di mese in mese. Questo vale per tutti gli elementi di un sistema di sicurezza strumentato (SIS), composto da uno o più sensori, un’unità logica e uno o più attuatori.
Gli strati di protezione
Un sistema di sicurezza strumentato (SIS) può guastarsi mentre è in stato passivo e il guasto può rimanere nascosto finché non si verifica una richiesta dal processo o finché il sistema non viene testato.
Supponiamo che la pressione in un recipiente sia controllata da un trasmettitore di pressione e che il sistema di controllo del processo debba mantenere il valore attorno a un certo punto di regolazione.
Nel caso in cui la pressione superi una certa soglia, viene generato un allarme (PSH). Nel caso in cui il valore vada “fuori controllo”, un pressostato di sicurezza, impostato su PSHH, arresta il processo (figura 7).
Osserviamo che ci sono due livelli di protezione: uno di Controllo e uno di Sicurezza. Normalmente non condividono gli stessi componenti di campo. Nel nostro esempio, il trasmettitore di pressione appartiene al Livello di Controllo, mentre il pressostato di sicurezza al Livello di Sicurezza.
Normalmente, il sistema di controllo di processo mantiene la pressione intorno al set point. Molto raramente la pressione va fuori controllo e in quel momento interviene il sistema di sicurezza: il problema è che potrebbe essersi guastato nel frattempo. Un sistema strumentato di sicurezza è il cosiddetto strato di protezione indipendente. Viene installato per mitigare il rischio associato al funzionamento di un processo normalmente pericoloso ed è chiamato Equipment Under Control o EUC (figura 8).
Una funzione strumentata di sicurezza (SIF) è implementata con un SIS che ha lo scopo di raggiungere o mantenere uno stato sicuro per l’EUC rispetto a una specifica richiesta di processo (ad esempio, un’alta pressione). Una SIS può essere composta da una o più SIF.
Test del sistema strumentato di sicurezza
I sistemi di sicurezza strumentati sono normalmente inattivi e il loro guasto può restare inosservato o nascosto finché non subentra una richiesta (ad esempio una temperatura o una pressione elevate) o finché il sistema non viene testato per verificarne il corretto funzionamento.
Esistono due tipi di test che possono essere eseguiti su tali sistemi.
Test diagnostici. Vengono eseguiti automaticamente dal componente stesso, dal risolutore logico o da altri elementi del sistema di sicurezza. La misura in cui questo test automatico rivela un guasto è chiamata Copertura Diagnostica (DC). I guasti che possono essere rilevati in questo modo sono definiti Rilevabili, i guasti rimanenti sono definiti Non Rilevabili.
Test di funzionalità. L’obiettivo del test di funzionalità è in particolare quello di rivelare guasti non rilevabili e di verificare che il sistema sia ancora in grado di svolgere la funzione richiesta, nel caso in cui si verifichi una richiesta di processo. Il test di funzionalità, definito nella IEC 61508 come Proof Test , viene normalmente eseguito manualmente o avviato manualmente. L’intervallo di tempo tra due test di funzionalità è indicato come Ti e , in caso di un Proof Test perfetto , il componente viene considerato “come nuovo”, dopo tale test. Si prega di fare riferimento al capitolo 3 per la definizione di Proof Test e ulteriori dettagli.
Non bisogna confondere il Test Funzionale con il Test Funzionale . In letteratura, si può trovare che il Test di Prova è definito come Test Funzionale, così come il Test Periodico, mentre la Copertura Diagnostica è anch’essa definita come Test Funzionale.
Il PFD medio (PFDavg)
Il PFD medio è definito come
T i è il tempo in cui il sistema viene testato funzionalmente. La PFD(T) di una SIF, sottoposta a test periodici, è rappresentata da una curva a denti di sega, con una probabilità che varia da bassa, subito dopo un test, a massima, subito prima del test successivo.
Il suo valore medio, o PFD avg , è rappresentato nella Figura 1.36 {1.10.2.1}.
Guasti pericolosi
Quando si ha a che fare con sistemi critici per la sicurezza , i guasti importanti sono quelli pericolosi. Questi possono essere suddivisi in pericolosi rilevabili tramite test diagnostici e pericolosi non rilevabili.
I guasti pericolosi non rilevati (DU) impediscono l’attivazione, su richiesta, del sistema di sicurezza e sono anche chiamati guasti dormienti .
I guasti pericolosi rilevati (DD) possono essere rilevati immediatamente al momento del loro verificarsi, ad esempio tramite un autotest automatico integrato. Un cortocircuito su un contatto pulito normalmente chiuso può essere rilevato tramite la cosiddetta funzione “trigger”, ora disponibile in quasi tutti i sistemi di controllo di sicurezza (capitolo 3).
In modalità a bassa richiesta, i guasti pericolosi rilevati non influiscono sull’inaffidabilità di un sistema di sicurezza, poiché spesso vengono rilevati non appena si verificano e il processo viene immediatamente interrotto. Pertanto, gli unici guasti significativi che influenzano il valore medio del PFD sono i guasti della DU. Pertanto, l’equazione 1.10.2 può essere scritta come:
L’intervallo di prova T i viene deciso in base al tasso di domanda, in modo che vi sia una buona probabilità che un guasto pericoloso non rilevato venga rivelato e corretto prima che si verifichi una domanda, in modo da evitare un evento pericoloso.
Conclusione
In questa prima parte abbiamo introdotto i concetti di Funzione di Inaffidabilità F(t) e di Funzione di Affidabilità R(t). La prima è la base per il parametro PFD(t) e quella utilizzata per indicare l’affidabilità di una Funzione Strumentata di Sicurezza (SIR): PFD media o PFD avg .
Nell’articolo che verrà pubblicato nel prossimo numero di Tutto Misure mostreremo come calcolare in pratica la media PFD .