P2: La frazione dei guasti sicuri e gli Architectural Constraints

Ultima modifica: 05/02/2024

Ricordiamo che ci sono quattro tipologie di guasto:
• guasti sicuri;
• guasti pericolosi;
• guasti senza effetto; e
• guasti “no part”

Un guasto sicuro è il guasto di un elemento, all’interno di un componente che svolge un ruolo nell’implementazione di una funzione di sicurezza, che si traduce in un funzionamento spurio della funzione di sicurezza. Ciò significa che pone la macchina in uno stato sicuro (genera un arresto di emergenza della macchina, ad esempio). Un esempio di guasto sicuro per un contattore di potenza accade quando, nonostante la bobina del contattore sia eccitata, la bobina stessa presenta un guasto e i contatti di potenza si aprono.

Un guasto pericoloso è il guasto di un elemento, all’interno di un componente che svolge un ruolo nell’implementazione di una funzione di sicurezza, che impedisce alla funzione di sicurezza di operare quando richiesta, cosicché la macchina si trova in uno stato pericoloso o potenzialmente pericoloso. Un esempio di guasto pericoloso per un contattore di potenza accade quando, nonostante la bobina del contattore sia diseccitata, i contatti di potenza non si aprono e il movimento pericoloso prosegue.

Un guasto senza effetto è il guasto di un elemento, all’interno di un componente che svolge un ruolo nell’implementazione e di una funzione di sicurezza, ma che non ha alcun effetto diretto sulla funzione di sicurezza stessa. Un esempio di guasto senza effetto per un contattore di potenza accade quando lo stesso non si richiude una volta ripristinata la funzione di sicurezza. Ciò significa, ad esempio, che il cancello di una cella robotizzata viene richiuso dopo un accesso, il sistema di sicurezza viene ripristinato, ma il robot non si avvia. Questo guasto non è rilevante per la funzione di sicurezza e ha un’influenza solo sulla disponibilità del robot, ma ancora una volta non sulla sua sicurezza.

La frazione dei guasti sicuri

La Safe Failure Fraction (SFF) è stata introdotta nella prima edizione della IEC 61508 come misura utilizzata per determinare il livello minimo di ridondanza, o meglio, di Hardware Fault Tolerance (HFT), di un sottosistema di sicurezza.
L’SFF può essere definita come una proprietà di un componente di sicurezza, ad esempio un trasmettitore di pressione, definita dal rapporto tra i tassi di guasto medi di guasti sicuri sommati ai guasti pericolosi rilevabili e i guasti sicuri sommati ai guasti pericolosi. Questo rapporto è rappresentato dalla seguente equazione:

SFF= (λs+λdd) / (λs+λd)

L’SFF è la proporzione di guasti “sicuri” tra tutti i guasti: si noti che non vengono considerati né i guasti senza effetto né i guasti “no part”. Un guasto “sicuro”, in questo caso, è da intendersi come un guasto sicuro per progettazione oppure un guasto pericoloso che viene immediatamente rilevato e corretto. Gli standard IEC definiscono un guasto sicuro come un guasto che non ha la capacità di portare il SIS in uno stato pericoloso o di guasto. Un guasto rilevabile pericoloso è un guasto che può impedire al SIS di eseguire una specifica SIF, ma quando viene rilevato al suo verificarsi, ad esempio grazie alla diagnostica online, è considerato “sicuro” poiché la diagnostica può portare il sistema ad uno stato sicuro. In alcuni casi, il SIS può rispondere automaticamente a un guasto pericoloso rilevato come se si trattasse di una vera richiesta, ad esempio provocando l’arresto del processo [68].
Molti dispositivi di sicurezza elettronici dispongono di una diagnostica integrata, tale che i guasti più pericolosi diventano guasti rilevabili pericolosi; avranno quindi una SFF elevata, spesso superiore al 90%. I dispositivi di sicurezza meccanici, per i quali la diagnostica interna non è percorribile, avranno, in generale, una ridotta SFF.

Esempio di SFF per un trasmettitore di pressione usato in applicazioni di sicurezza

Di seguito un esempio dei tassi di guasto di un trasmettitore di pressione che può essere utilizzato in un SIS.

L’SFF vale:
SFF = (λs+λdd) / (λs+λdd ) = (184+280) / (184+280+36) = 464 / 500 = 92,8%
Il certificato del trasmettitore di pressione (ABB 2600T, modello 261) afferma anche che si tratta di un componente di tipo B con una Systematic Capability SC 2.
Per comprendere appieno il significato di quanto appena affermato, occorre introdurre, prima di tutto, la differenza tra Guasti Casuali e Sistematici; poi è necessario avere ben chiara la differenza tra un componente di Tipo A e uno di Tipo B e cosa si intende per Route 1H.