Route 1H

Storicamente, questo era l’unico modo per determinare il SIL massimo che poteva essere associato ad funzione di sicurezza. Ecco i passi da seguire secondo IEC 61508-2, § 7.4.4.2

• Suddividere il sistema di sicurezza in sottosistemi;
• Per ogni sottosistema, calcolare separatamente la frazione di guasti sicuri per tutti gli elementi del sottosistema. In caso di configurazioni di elementi ridondanti, l’SFF può essere calcolato prendendo in considerazione la diagnostica aggiuntiva eventualmente disponibile (ad es. confrontando elementi ridondanti);
• Per ciascun elemento, utilizzare la frazione di guasti sicuri e la tolleranza ai guasti hardware pari a 0 per determinare il massimo Safety Integrity Level che può essere rivendicato dalla colonna 2 della tabella 2 della norma IEC 61502-2 per gli elementi di tipo A; in caso di elementi di tipo B, deve essere utilizzata la tabella 3 della norma IEC 61502-2;
• Il massimo Safetty Integrity Level che può essere dichiarato per un sistema di sicurezza E/E/PE deve essere determinato dal sottosistema che ha raggiunto il Safety Integrity Level più basso.

Per una Route 1H, ogni componente di sicurezza deve avere tutti i tassi di guasto provenienti da un’analisi FMEDA.

Il concetto di Hardware Fault Tolerance (HFT) viene utilizzato nella serie IEC 61508 per indicare la capacità di un sottosistema hardware di continuare a svolgere una funzione richiesta, in presenza di guasti o errori. L’HFT è espresso come cifra. HFT = 0 significa che, in caso di un guasto, la funzione (ad es. una misurazione della pressione) viene persa. HFT = 1 significa che se un canale si guasta, ce n’è un altro in grado di svolgere la stessa funzione: in altri termini, il sottosistema può tollerare un guasto e continuare a funzionare. Un sottosistema di tre canali deputato ad una struttura 2oo3 funziona fintanto che funzionano due dei suoi tre canali. Ciò significa che il sottosistema può tollerare il guasto di un canale e continuare a funzionare normalmente. La Hardware Fault Tolerance del gruppo votato 2oo3 è, quindi, HFT = 1. Nella figura 1 è mostrato un sottosistema di ingresso con HFT = 1: I1 e I2 potrebbero essere due trasmettitori di pressione identici.

Tornando al nostro trasmettitore di pressione di sicurezza con SFF = 92,8% e Systematic capability SC 2, concludiamo che:

– Avendo una SFF nell’intervallo da 90% a 99% ed essendo un tipo B, la tabella 3 della norma IEC 61508-2 indica che, se viene utilizzato come singolo componente in un Safety Instrumented System, il suo sottosistema può raggiungere, nella migliore delle ipotesi, SIL 2; anche se il suo PFD_avg indica, ad esempio, un livello di affidabilità SIL 3;

– Avendo una capacità Sistematica SC 2, anche se utilizzato in una configurazione 1oo2 (HFT = 1), il massimo livello SIL che il sottosistema può raggiungere è comunque SIL 2 (e non SIL 3 come indicato nella tabella 3), a causa del limite imposto dalla sua Systematic Capability.