METODOLOGIA DI VALUTAZIONE DEL SAFETY INTEGRITY LEVEL DEI SISTEMI DI BLOCCO DI SICUREZZA IN ACCORDO ALLE

NORME IEC 61508 ED IEC61511

ESEMPIO APPLICATIVO

Vinicio Rossini TECSA S.p.A. - Via Figino 101 - Pero (MI) E-mail vinicio.rossini@tecsaspa.com Tel. 02-33910484 Fax 02-33910737

Piera Carli TECSA S.p.A. - Via Figino 101 - Pero (MI) E-mail piera.carli@tecsaspa.com Tel. 02-33910484 Fax 02-33910737

PROCESS SECTORSAFETY

INSTRUMENTEDSYSTEM

STANDARDS

Manufacturers and suppliers of

devices

IEC 61508

Manufacturers and suppliers of

devices

IEC 61508

Safety instrumented

system designers, integrators and

users

IEC 61511

Safety instrumented

system designers, integrators and

users

IEC 61511

Relazione tra IEC 61511 e IEC 61508

PROCESS SECTORSAFETY

INSTRUMENTEDSYSTEM STANDARDS

PROCESS SECTOR

HARDWARE

PROCESS SECTOR

SOFTWARE

DEVELOPING NEW

HARDWARE DEVICES

FOLLOW IEC 61508

DEVELOPING NEW

HARDWARE DEVICES

FOLLOW IEC 61508

USING PROVEN-IN

USE HARDWARE

DEVICES

FOLLOW IEC 61511

USING PROVEN-IN

USE HARDWARE

DEVICES

FOLLOW IEC 61511

USING HARDWARE DEVELOPED

AND ACCESSED

ACCORDING TO IEC 61508

FOLLOW IEC 61511

USING HARDWARE DEVELOPED

AND ACCESSED

ACCORDING TO IEC 61508

FOLLOW IEC 61511

DEVELOPING EMBEDDED (SYSTEM) SOFTWARE

FOLLOW IEC 61508-3

DEVELOPING EMBEDDED (SYSTEM) SOFTWARE

FOLLOW IEC 61508-3

DEVELOPING APPLICATION

SOFTWARE USING FULL

VARIABILITY LANGUAGES

FOLLOW IEC 61508-3

DEVELOPING APPLICATION

SOFTWARE USING FULL

VARIABILITY LANGUAGES

FOLLOW IEC 61508-3

DEVELOPING APPLICATION

SOFTWARE USING

LIMITED VARIABILITY LANGUAGES

OR FIXED PROGRAMS

FOLLOW IEC 61511

DEVELOPING APPLICATION

SOFTWARE USING

LIMITED VARIABILITY LANGUAGES

OR FIXED PROGRAMS

FOLLOW IEC 61511

PIANI DI EMERGENZA ESTERNI

PIANI DI EMERGENZA INTERNI

PROTEZIONI FISICHE (PASSIVE)

PROTEZIONI FISICHE (ATTIVE)

SISTEMI DI BLOCCO AUTOMATICI (SIS / ESD)

ALLARMI CRITICI, SUPERVISIONE OPERATORI, INTERVENTO OPERATIVO

BPCS, ALLARMI DI PROCESSO, SUPERVISIONE OPERATORI

PROCESS DESIGN

Evento iniziatore

IPLS

SIS

NON SIS

Conseguenze

Raccomandazioni

Stima della frequenza guasti BPCS

(Alberi di guasto)

Stima della PFD dei sistemi di prevenzione e mitigazione NON SIS

(Alberi degli eventi)

Stima della PFD dei sistemi di blocco di

sicurezza (SIS) (Alberi degli eventi)

Individuazione (da HAZOP) di:

Valutazione severità

Criterio di accettabilitàdel rischio (Matrice)

esito positivo

SI

NO

LIVELLO DI RISCHIO

ACCETTABILE

LIVELLO DI RISCHIO

ACCETTABILE

adeguamento dei sistemi di blocco di sicurezza per

raggiungere il SIL richiesto

Stima del SIL

richiesto

Confronto con il SIL installato

EVENTO INIZIATORE

Errore Operativo

Guasto controllore

Guasto trasmettitore

OR

Guasto valvola

OR

Guasti strumentali

(BPCS)

IPL1 IPL2 IPL3

EVENTO CONTROLLATO

SUCCESSOMANCATO INTERVENTO

MANCATO INTERVENTO

DEVIAZIONE CRITICA

MANCATO INTERVENTO

EVENTO INIZIATORE

EVENTO CONTROLLATO

SUCCESSOFREQUENZA

NESSUNA CONSEGUENZA

SUCCESSO

+

+

+

OR

Mancato intervento 2 pressostati su 3

Mancata chiusura valvola di blocco SV1

OR

Guasto PS1 e PS2

ANDÍ

GuastoPS1?1

GuastoPS2?2

GuastoPS2 e PS3

Í

GuastoPS2?2

GuastoPS3?3

GuastoPS1 e PS3

AND Í

GuastoPS1?1

GuastoPS3?3

OR

GuastoEOV?4

GuastoSV 1

?5

AND

Mancato intervento blocco per alta pressione

ESEMPIO DI CLASSIFICAZIONE QUALITATIVA DELLE CONSEGUENZE

Esteso rilascio non confinato di sostanze pericolose

Decesso atteso anche in caso di esposizione ridotta

Decesso atteso di un numero elevato di operatori

Danni all’esterno dell’installazioneMOLTO GRAVI

Rilascio non confinato di sostanze pericolose

Decesso atteso in caso di esposizione prolungata

Decesso atteso di un numero limitato di operatori

Danni in impianti adiacentiGRAVI

Limitato rilascio non confinato di sostanze pericolose

Nessun effetto

Probabilitàsignificativa di decesso in prossimitàdell’area interessata dall’evento

Danni in aree estese di impiantoSERIE

Rilascio confinato di sostanze pericolose

Nessun effetto

Ridotta probabilità di decesso in prossimitàdell’area interessata dall’evento

Danni in aree limitate d’impianto

LIEVI

AmbientePopolazioneOperatoriApparecchiature / Impianti

CONSEGUENZE SUSEVERITA’

CONSEGUENZE

ESEMPIO DI MATRICE DI ACCETTABILITA’DEL RISCHIO

< 10-6

10-5 ÷ 10-6

10-4 ÷ 10-5

10-3 ÷ 10–4

10-2 ÷ 10-3

>10-2

LieviSeriGraviMolto gravi

CATEGORIA DEGLI EFFETTIClasse di probabilità

degli eventi

NON ACCETTABILE AREA DI INTERVENTO ACCETTABILE

ESEMPIO APPLICATIVOESEMPIO APPLICATIVO

Sovrapressione colonna di strippaggio con vapore

PIC

PT S

I PPY

PAHH CRIT

E

PAH

PTA

PTB

PTC

PSHH

PSHH

PSHH

I

S

I

XV

FCFC

PIA

PI

CPI

B

L’ipotesi può verificarsi per mancata laminazione del vapore di strippaggio a media pressione dovuto a:

☺ Guasto trasmettitore di pressione, oppure☺ Guasto controllore di pressione, oppure☺ Guasto in apertura valvola regolazione pressione

Sovrapressione stripper: SERIE

Livelli di protezione (ad esclusione dei SIS):

b Intervento operativo su allarmi alta temperatura ed altissima pressione

b Valvola di sicurezza su colonna

Conseguenze

SERE

--

--

Descrizione conseguenze

SOVRAPRESSIONESTRIPPER

SCARICO A BLOW DOWN

EVENTO CONTROLLATO

Eventoconseguente

Frequenza di accadimento

(occ/anno)

Apertura PSV

Intervento operativo

2,6E-04

P2=0,08

P22=0,01

NO

SIEVENTO INIZIATORE

NO

2,6E-02

P21 = 0,99FREQUENZA

SI3E-01

P1=0,92

LIVELLO DI INTEGRITA’ RICHIESTO PER I SISTEMI DI BLOCCO AUTOMATICI:

SIL 1< 10-6

10-5 ÷ 10- 6

10-4 ÷ 10- 5

1 0-3÷ 10– 4

10-2 ÷ 10- 3

>10 -2

L iev iSeriGraviMolto

gravi

CATEGORIA DEGLI EFFETTIClasse di probabilità

degli eventi

< 10-6

10-5 ÷ 10- 6

10-4 ÷ 10- 5

1 0-3÷ 10– 4

10-2 ÷ 10- 3

>10 -2

L iev iSeriGraviMolto

gravi

CATEGORIA DEGLI EFFETTIClasse di probabilità

degli eventi

Stima della probabilitprobabilitàà di mancato intervento su di mancato intervento su domandadomanda del sistema di blocco per alta pressionedel sistema di blocco per alta pressione

33 Mancato intervento interruttori di alta pressione Mancato intervento interruttori di alta pressione PIT1A/B/C in logica 2oo3, oppurePIT1A/B/C in logica 2oo3, oppure

33 mancata chiusura valvola di blocco su linea vapore XV1mancata chiusura valvola di blocco su linea vapore XV1

PARTIAL VALVE

STROKE TESTING

Stima della probabilitprobabilitàà di mancato intervento su di mancato intervento su domandadomanda del sistema di blocco per alta pressione

88 Mancato intervento interruttori di alta pressione Mancato intervento interruttori di alta pressione PIT1A/B/C in logica 2oo3, oppurePIT1A/B/C in logica 2oo3, oppure

88 mancata chiusura valvola di blocco su linea vapore mancata chiusura valvola di blocco su linea vapore XV1XV1

Ratei di guasto da analisi FMEDA sui

componenti

PFD = 7,89E-02 SIL 1