Ultima modifica: 26/06/2023
La norma IEC 62061 utilizza i seguenti parametri principali.
• λ: Tasso di guasto
• MTTF: Tempo medio di guasto
• SFF: Frazione di guasto sicuro
• HFT: Tolleranza ai guasti hardware
Failure Rate
È la base della IEC 61508 e quindi della IEC 62061. Possiamo prendere in prestito la sua definizione dalla IEC 61508-4:
3.6.16 tasso di guasto. Parametro di affidabilità (λ(t)) di un’entità (singoli componenti o sistemi) tale che λ(t)-dt è la probabilità di guasto di questa entità entro [t, t+dt] a condizione che si guasti durante [0, t].
Matematicamente, λ(t) è la probabilità condizionata di guasto per unità di tempo su [t, t+dt]. È in forte relazione con la funzione di affidabilità R(t):
Per poter utilizzare la IEC 62061, ogni componente utilizzato nello SCS deve avere un tasso di guasto. In Low demand è la normalità. In High demand, la mancanza di dati diretti ha contribuito all’uso limitato dello standard fino ad ora. I guasti possono essere suddivisi in 4 parti:
λS: tasso di guasto sicuro
λD: tasso di guasto pericoloso (λ moltipilcata per la percentuale di guasti pericolosi)
λDD: tasso di guasto pericoloso che viene rilevato dalle funzioni diagnostiche
λDU: tasso di guasto pericoloso che NON viene rilevato dalle funzioni diagnostiche
Ʃ λS + Ʃ λD è il tasso di guasto complessivo.
In High Demand sono presi in considerazione solo i guasti pericolosi. La parte rilevabile del guasto si calcola come λDD=DC λD mentre la parte non rilevabile come λDU=(1-DC) λD
MTTFd
Il Mean time to failure è un parametro attribuito ai componenti non riparabili
È il tempo previsto trascorso il quale il 63,2% dei componenti in prova è risultato soggetto a guasto pericoloso.
È un parametro statistico: se l'MTTFD per un'elettrovalvola è di 30 anni, non significa che per 30 anni la valvola non si guasterà. Significa semplicemente che, se consideriamo ad esempio 100 valvole, dopo 30 anni 63 di esse hanno avuto un gusto pericoloso; tuttavia, se si acquista una di queste 100 valvole, può fallire dopo 1 mese.
L'MTTFD, così come il λD, sono validi solo per la Vita Utile del componente, che normalmente è di 20 anni. Oltre tale tempo, i parametri perdono di significato, poiché i tassi di guasto del componente non possono più essere considerati costanti. Ciò significa che se una valvola idraulica ha un MTTFD di 150 anni, può essere utilizzata solo per 20 anni per operazioni relative alla sicurezza. Passato quel tempo, deve essere sostituita.
Safe Failure Function – SFF
La Safe Failure Fraction (SFF) è stata introdotta in IEC 61508 come misura utilizzata per determinare la minima tolleranza ai guasti hardware (HFT) di un sottosistema di sicurezza. Di seguito la sua definizione:
[IEC 62061] 3.2 Terms and definitions
3.2.56 Safe Failure Fraction (SFF). fraction of the overall failure rate of a subsystem that does not result in a dangerous failure.
A prima vista, la definizione della IEC 62061 non sembra corretta; Si tenga tuttavia presente che guasti pericolosi rilevabili, in quanto rilevabili, non genereranno alcuna situazione pericolosa: questo è il ragionamento alla base della definizione. L’SFF viene utilizzato sia in High che in Low Demand, con lo stesso significato.
Considerando che i guasti hardware casuali della IEC 61508 sono basati sui vari tipi di tasso di guasto di un componente, l’SFF è un’indicazione di quanto “trasparente” sia il guasto.
In altri termini, minore è la percentuale di guasti non rilevati pericolosi, maggiore è l’SFF.
Qui il modo in cui viene calcolato:
L’SFF è la percentuale di guasti “sicuri” tra tutti i guasti. Un guasto “sicuro” è tale grazie ad una corretta progettazione o è un guasto pericoloso che viene immediatamente rilevato e corretto. Gli standard IEC definiscono un guasto sicuro come un guasto che non ha il potenziale per mettere il SIS in uno stato pericoloso. Un guasto pericoloso è un guasto che può impedire al SIS di eseguire uno specifico SIF, ma se rilevato subito dopo il suo verificarsi, ad esempio tramite la diagnostica online, il guasto è considerato “sicuro” poiché è possibile in automatico portare il sistema ad uno stato sicuro.
Molti dispositivi di sicurezza elettronici hanno una diagnostica integrata, in modo tale che i guasti pericolosi sono in realtà guasti rilevabili (Dangerous Detectable) e avranno quindi un SFF elevato, spesso superiore al 90%. I dispositivi di sicurezza elettromeccanici, per i quali la diagnostica interna non è fattibile, avranno in generale un basso SFF, se usati in singolo canale.
Hardware Fault Tolerance – HFT
Il concetto Hardware Fault Tolerance (HFT) è utilizzato nella IEC 61508 per indicare la capacità di un sottosistema di continuare a svolgere una funzione di sicurezza, in presenza di guasti o errori. L’HFT è un numero: HFT = 0 significa che se c’è un errore, la funzione (ad esempio, per misurare la pressione) è persa. HFT = 1 significa che se un canale si guasta, c’è un secondo canale che è in grado di svolgere la stessa funzione, o che il sottosistema può tollerare un guasto ed essere ancora in grado di funzionare. Un sottosistema composto da tre elementi in parallelo in architettura 2oo3 funziona finché funzionano due dei suoi tre canali. Ciò significa che il sottosistema può tollerare il guasto di un canale e continuare a funzionare correttamente. L’Hardware Fault Tolerance di un 2oo3 è, quindi, HFT = 1.
Vediamo ora la sua definizione:
[IEC 62061] 3.2 Terms and definitions
3.2.36 Hardware Fault Tolerance (HFT). Property of a subsystem to potentially lose the safety function upon at least N+1 faults.
L’architettura del sistema di controllo e la “frazione di guasto sicuro” (SFF) giocano un ruolo importante nella EN 62061. Il livello di integrità di sicurezza dell’hardware che può essere rivendicato per un sottosistema è limitato non solo dal PFHd ma anche dalla tolleranza ai guasti dell’hardware e dalla frazione di guasto sicuro.
La combinazione di questi due elementi è definita nella nuova edizione 2021 della norma come vincolo “architettonico” e il suo risultato è il SIL massimo che il sottosistema di sicurezza può raggiungere (una volta chiamato SIL Claim o SIL CL).
La tabella 6 dell’edizione 2021 indica in dettaglio il SIL massimo che un componente può raggiungere, in base alla sua Safe Failure Fraction. Come si può vedere, se un componente ha una percentuale molto bassa di guasti pericolosi non rilevati (cioè un alto SFF), il suo sottosistema può raggiungere il SIL 2 o addirittura il SIL3. Nella nuova edizione viene chiarito che nel caso di componenti elettromeccanici questo non è più possibile.