Ultima modifica: 09/01/2024
Un Safety Instrumented System (SIS) può guastarsi mentre è in stato passivo e il guasto può rimanere nascosto finché non si verifica una richiesta da parte del processo o finché il sistema non viene testato.
Supponiamo che la pressione in un serbatoio sia controllata da un trasmettitore di pressione e che il sistema di controllo del processo debba mantenere il valore intorno a un determinato set point.
Se la pressione aumenta oltre una certa soglia, viene generato un allarme (PSH). Nel caso in cui il valore vada “fuori controllo”, un pressostato di sicurezza, impostato su PSHH, interrompe il processo (figura 7).
Vediamo che ci sono due strati di protezione: uno di controllo e uno di sicurezza. Normalmente non condividono gli stessi componenti di campo. Nel nostro esempio, il trasmettitore di pressione appartiene al livello di controllo, mentre il pressostato di sicurezza al livello di sicurezza.
Normalmente, il sistema di controllo del processo mantiene la pressione intorno al set point. Molto raramente la pressione va fuori controllo e in quel momento interviene il sistema di sicurezza: il problema è che potrebbe essersi guastato nel frattempo. Un safety instrumented system è un cosiddetto independent protection layer. Viene installato per mitigare il rischio associato al funzionamento di un processo normalmente pericoloso ed è chiamato Equipment Under Control o EUC (figura 8).
Una Safety Instrumented Function (SIF) è implementata con un SIS che ha lo scopo di raggiungere o mantenere uno stato sicuro per l’EUC rispetto a una specifica richiesta di processo (ad esempio, un’alta pressione). Una SIS può essere composta da una o più SIF.
Test del Safety Instrumented System (SIS)
Esistono due tipi di test che possono essere eseguiti su tali sistemi.
Test diagnostici. Vengono eseguiti automaticamente dal componente stesso, dal risolutore logico o da altri elementi del sistema di sicurezza. La misura in cui questo test automatico rivela un guasto è chiamata copertura diagnostica (DC). I guasti che possono essere rilevati in questo modo sono definiti rilevabili, mentre i guasti rimanenti sono chiamati non rilevabili.
Test delle funzioni. L’obiettivo del test di funzionamento è soprattutto quello di rivelare i guasti non rilevabili e di verificare che il sistema sia ancora in grado di svolgere la funzione richiesta, nel caso in cui si verifichi una richiesta di processo. I test di funzionamento, definiti nella norma IEC 61508 come Proof Test, vengono normalmente eseguiti o avviati manualmente. L’intervallo di tempo tra due test di funzionamento è indicato come Ti e, nel caso di un Proof Test perfetto, l’elemento è considerato “come nuovo”, dopo tale test. Per la definizione di Proof Test e per ulteriori dettagli, si rimanda al capitolo 3.
Non bisogna confondersi tra Function Test e Functional Test. In letteratura, si può trovare che il Test di prova è definito come Test di funzionamento, oltre che come Test periodico, mentre la Copertura diagnostica è anch’essa definita come Test funzionale.