Articolo_IEC 61508

5/10/2018 Articolo_IEC 61508 - slidepdf.com

http://slidepdf.com/reader/full/articoloiec-61508 1/30

Master executive in

Gestione della

Manutenzione Industriale

Prima edizione

Valutazione di linee guida nellaprogettazione di un impianto di

frazionamento aria rispondente a vincoli disicurezza integrata (SIL) secondo le norme

IEC 61508 e 61511

Project work a cura di Ing. Antonio Pace

Tutor aziendale Ing. Pierluigi Gritti

Tutor universitario Prof. Enrico Zio

16 Ottobre 2006



Master Executive in Gestione della Manutenzione Industriale

1. Introduzione

2. Concetti base delle IEC 61508 e 61511

3. Safety Integrity Level (SIL)

4. Descrizione di un impianto criogenico di frazionamento aria

5. Verifica SIL level per un impianto di produzione azoto

6. Modello dell’architettura di impianto

7. FMEA Failure Mode and Effect Analysis

8. SIL level: definizioni e calcolo

9. Valutazione formula di calcolo PFD

10. Bibliografia

Pag. 2 di 30




1. INTRODUZIONE

La gestione delle funzioni di sicurezza degli impianti industriali é

normalmente demandata a sistemi di sicurezza strumentati, elettrici,

elettronici e a elettronica programmabile (E/E/PE). Gli standard IEC

61508 e 61511 forniscono delle linee guida nella progettazione e nella

gestione dei sistemi di sicurezza degli impianti al fine di ridurre il rischio

residuo di incidente.

La presentazione delle normative IEC 61508 e 61511 ha portato le

società di ingegneria come Siad Macchine Impianti ad arricchire la

propria filosofia progettuale e a considerare gli aspetti della sicurezza

funzionale e dell'affidabilità dei sistemi di sicurezza sotto un’altra ottica,

con la conseguenza dell'elaborazione di alcuni concetti da implementare

durante la progettazione di impianto.

Le norme in esame affrontano gli aspetti della sicurezza funzionale dei

sistemi di sicurezza strumentati (Safety Instrumented Systems, SIS)

gestiti da apparecchiature elettriche / elettroniche / elettroniche

programmabili e, in particolare, la 61511 per i SIS nell'industria di

processo.

Lo scopo del presente lavoro è di fornire una descrizione del processo di

valutazione del livello di sicurezza integrata (Safety Integrity Level, SIL)

di alcune funzioni di sicurezza di un impianto di produzione azoto, e di

proporre una riflessione sulle variabili che vanno considerate quando ènecessario progettare, esercire e mantenere un impianto con determinati

requisiti di SIL.

Pag. 3 di 30




2. Concetti base delle IEC 61508 e 61511 - SIL level

Nella vita di tutti i giorni siamo costantemente esposti a diversi pericoli.

L'ampiezza di questi pericoli va dal piccolo incidente alla catastrofe, che

può provocare effetti devastanti sulle vite umane e sull'ambiente.

Ogni pericolo viene dunque valutato quotidianamente in base al suo

livello di rischio, e alla sua probabilità di accadimento, ma non si riuscirà

mai ad essere completamente protetti da ogni pericolo.

Possiamo dunque proteggerci dai rischi riducendo la loro probabilità di

accadimento oppure tentando di limitare la gravità delle conseguenze.

Queste misure permettono di ridurre i rischi ad un ragionevole e

tollerabile livello.

La Health and Safety Committee inglese ha introdotto il concetto di

ALARP, che definisce diversi livelli di rischio:

- abbiamo l'area del rischio "non accettabile", nella quale qualunque

rischio che cada in questa area non è mai giustificato;

- abbiamo l'area del rischio "accettabile", nella quale il livello di rischio

non necessita di indagini ovvero di precauzioni particolari;

Pag. 4 di 30




- area ALARP, ossia As Low As Reasonably Possible, zona nella quali il

livello del rischio necessita di indagini e azioni con il fine di ridurne

l'entità ad un valore ragionevolmente accettabile.

Questo approccio prevede la conoscenza approfondita della valutazione

del rischio e richiede che siano state effettuate le azioni necessarie per

ridurre le probabilità di accadimento e le conseguenze dovute a

incidenti.

In ambito industriale e nell'industria di processo le funzioni necessarie

alla riduzione dei rischi da incidente vengono demandate a sistemi

ausiliari, che sono composti oltre che da sicurezze di tipo meccanico,

anche da sistemi elettrici/elettronici/elettronici programmabili, i Safety

Instrumented Systems (SIS).

Gli standard IEC 61508 e 61511 forniscono delle linee guida per la

progettazione e l'implementazione dei sistemi di sicurezza strumentati,

fornendo delle chiare indicazioni sulla configurazione del sistema, sul

calcolo dell'affidabilità di funzionamento, sugli intervalli di test.

Un SIS è genericamente composto da:

- sottosistema sensori;

- logica elettronica di controllo (logic solver);

- sottosistema attuatori (final element).

I sottosistemi relativi ai sensori e agli attuatori possono essere

ulteriormente suddivisi al loro interno: i sensori secondo una logica di

voting, gli attuatori secondo delle ridondanze funzionali.

In configurazione "pipe-to-pipe" il sistema può essere rappresentato

come in figura.

Pag. 5 di 30




ActuatorLogic Solver

(PLC)SENSOR

Pag. 6 di 30




3. Safety Integrity Level (SIL)

Nell'industria di processo esistono diversi rischi, e all'aumentare della

gravità del rischio deve necessariamente aumentare l'affidabilità del SIS,

ossia la sua integrità.

Secondo la IEC 61511, la Safety Integrity viene definita come la

probabilità (media) che il SIS compia la relativa funzione di sicurezza in

un determinato intervallo di tempo.

Questo significa che la catena del SIS deve avere una determinata

affidabilità di funzionamento, che comunemente viene denominata

Probability of Failure on Demand (PFD), che viene valutata o imposta in

base alle caratteristiche di sicurezza che l'apparecchiatura o impianto in

esame devono avere.

Punto fondamentale della valutazione è che il SIS è relativo ad una sola

funzione di sicurezza (Safety Function), e per questa viene decisa

oppure valutata una sola PFD.

Il Safety Integrity Level non è altro che un indice di corrispondenza tra la

PFD (che numericamente rappresenta un tempo, indicante l’intervallo in

ore entro il quale il SIS può mal-funzionare) ed un indice che varia tra 1

e 4, come mostrato in tabella.

SIL Level

4 10- 5≤ PFD < 10

-4

3 10-4≤ PFD < 10

-3

2 10- 3≤ PFD < 10

-2

1 10- 2≤ PFD < 10

-1

Gli standard IEC 61508 e 61511 definiscono questi quattro differenti

livelli di sicurezza che descrivono la misura per la riduzione del rischio

ad un valore As Low As Reasonably Possible.

Più alto è il valore del SIL, più alta è la riduzione del rischio. Dunque il

SIL è la misura della probabilità che il SIS riesca a compiere

correttamente la Safety Function prevista nell'intervallo di tempo

richiesto.

Pag. 7 di 30




Il livello SIL può essere determinato in differenti modi, principalmente

uno qualitativo ed uno quantitativo, e le norme li descrivono in maniera

approfondita ed esaustiva.

In questo momento non si entrerà nel merito della determinazione del

livello SIL, ma solo della sua valutazione. Questo poiché la

determinazione del livello SIL da applicare ad una certa funzione di

sicurezza prevede una analisi di rischio completa che esula dallo scopo

del presente lavoro.

E' intenzione comunque proseguire l'attività valutando con precisione

quello che può essere considerato come livello SIL tale da garantire un

livello di rischio As Low As Reasonably Possible per le funzioni di

sicurezza degli impianti criogenici di frazionamento aria.

Nel caso in esame è stato analizzato un impianto di produzione di Azoto

per il quale è stata effettuata una categorizzazione delle funzioni di

sicurezza secondo le norme IEC, poi si sono valutate alcune soluzioni

per migliorare la PFD nell'ottica di una futura progettazione di impianti

secondo questi standard.

Pag. 8 di 30




4. Descrizione di un impianto criogenico per il frazionamento aria

Siad Macchine Impianti progetta e produce impianti criogenici di

frazionamento aria per la produzione di ossigeno, azoto e argon.

Estremamente in sintesi, il processo prevede la compressione dell'aria, il

raffreddamento a temperature criogeniche di circa -180° dove si ha la

liquefazione dell'aria, che poi viene immessa in una colonna di rettifica

dove alle diverse altezze vengono separati i diversi componenti in base

alla purezza richiesta.

Come si può vedere dal Process Flow Diagram, l'impianto è

fondamentalmente composto da alcune macchine operatrici e da

recipienti in pressione, per cui si possono già delineare quali sono le

tematiche di sicurezza. Inoltre la presenza durante il processo di miscele

ad alta percentuale di ossigeno (cosiddetto Waste Nitrogen) e i prodotti,

che sono principalmente Ossigeno ed Azoto, pone in ogni caso

l'impianto sotto la sorveglianza di sistemi di sicurezza automatici, per i

quali sono state valutate le PFD.

Pag. 9 di 30




5. Verifica SIL level per impianto di produzione azoto

Con riferimento alla riduzione del rischio in un impianto di processo, ci

sono diverse soluzioni per raggiungere un livello di rischio tollerabile.

Una di queste soluzioni è di utilizzare un sistema di sicurezza

strumentato (SIS).

In generale un SIS consiste di diverse Safety Instrumented Functions

(SIF), ognuna collegata ad un loop di sicurezza dedicato e ai suoi

parametri di rischio associati.

Assumendo che una SIF venga utilizzata per ridurre il rischio di

incidente, la possibilità che questa non venga compiuta dal SIS crea la

necessità di trattare questa probabilità di accadimento come probabilità

di incidente.

La verifica SIL è stata eseguita con riferimento alla IEC 61508, la quale

affronta la sicurezza funzionale dei sistemi di sicurezza che utilizzano

tecnologie E/E/PE.

Un sistema di sicurezza E/E/PE copre tutte le parti necessarie per

attuare una Safety Function. Come già visto, un SIS è composto

principalmente da tre parti: uno o più sensori, un controllore logico (logic

solver) ed uno o più elementi finali, o attuatori.

Al fine di verificare il livello SIL delle diverse funzioni di sicurezza

dell'impianto in esame, sono state svolte le seguenti attività:

- Hazop di impianto, con lo scopo di determinare le funzioni di sicurezza

coinvolte;

- Modello hardware dell'architettura, al fine di elencare tutte le

apparecchiature per ogni funzione di sicurezza, la configurazione del

SIS, il voting;

- Fmea per ogni funzione di sicurezza, in modo da evidenziare la

maggiore o minore criticità del componente nello svolgimento della

funzione di sicurezza;

- Modello affidabilistico;

- Calcolo della probability of failure on demand per ogni safety function e

livello SIL.

Pag. 10 di 30




6. Modello dell'architettura di impianto

Con riferimento all’analisi Hazop effettuata sull'impianto e alle specifiche

del controllo del sistema, sono state identificate le principali funzioni di

sicurezza.

Ogni safety function, definita da un codice identificativo e da una breve

descrizione, è stata caratterizzata come segue:

- Input device

- Voting

- Logic (PLC, etc.)

- Attuatore

Di seguito si può vedere l'estratto della tabella generale con la struttura

di ogni safety function, che fa riferimento alle parti indicate nel P&Id.

Pag. 11 di 30




Hardware architecture modelNITROGEN PLANT

ITEM DESCRIPTION INPUT VOTING LO

P

LV

YF NPLANT-ESD NITROGEN PLANT EMERGENCY SHUTDOWN HS NPLANT-ESD 1/1

P

AIR COMPRESSORS C5000A / C5000B


YF C5000A-1 AIR COMPRESSOR C5000A CUMULATIVE BLOCKS YS C5000A-7 1/1 PYF C5000B-1 AIR COMPRESSOR C5000B CUMULATIVE BLOCKS YS C5000B-7 1/1 P

Pag. 12 di 30




AIR PRE-COOLING UNIT


LAHH 893 MOISTURE SEPARATOR VERY HIGH LEVEL LSH 893

1/1 P

Pag. 13 di 30




7. FMEA Failure Mode and Effect Analysis

E' stata effettuata una FMEA per ogni SIF al fine di identificare gli

attuatori più critici durante la fase di blocco impianto (shutdown). Di

seguito è presente un estratto della FMEA completa.

L'analisi è stata condotta considerando le seguenti procedure e ipotesi:

a. per ogni componente di ogni SIF sono stati identificati tutti i potenziali

modi di guasto (Failure Modes);

b. sono state identificate le possibili cause di guasto

c. sono stati elencati gli effetti di ogni modo di guasto, considerando la

loro gravità (severity) secondo gli indici presenti in tabella 1;

d. è stata quantificata la probabilità di accadimento (probability factor)

per ogni modo di guasto, sempre secondo tab. 1;

e. tutti i controlli che contribuiscono alla prevenzione di queste cause dei

modi di guasto sono state identificate. I controlli esistenti prevengono

l'accadimento delle cause dei modi di guasto, e la loro efficacia viene

valutata con un indice di detectability, secondo tab.1.

f. i Risk Priority Numbers (RPN) sono stati calcolati come prodotto tra

Failure Mode Severity (SEV), Failure Cause Probability (PF) e Control

Detection Effectiveness (DET).

Il Risk Priority Number è stato utilizzato per identificare i componenti più

critici nei loop di controllo al fine di capire quali componenti devono

essere considerati per la valutazione del SIL.

Pag. 14 di 30




Table 1

PARAMETER RATE DESCR. PARAMETER RATE DESCR.

1 remote 1

100%

automatic

2, 3 low 2, 3, 4

periodic

tests

4, 5, 6 moderate 5, 6, 7

irregular

tests

7, 8 high 8, 9 no test

Probability

9, 10 very high

Detectability

10

undetectabl

e

1 neglectable

2, 3 marginal

4, 5, 6 mean

7, 8 critical

Severity

9, 10 catastrophic

Pag. 15 di 30



8. SIL level: definizioni e calcolo

La IEC definisce quattro gruppi (SIL) ognuno corrispondente alla

Probability of Failure on Demand (PFD) come indicato in tabella 2, per

apparecchiature in low demand mode of operation, che indica che il SIF

si attiva raramente.

Tabella 2

La PFD, che rappresenta la probabilità del SIS di non compiere la SIF

alla quale è associata, prevede la considerazione dell'MTBF e l'MTTR

dei vari componenti del SIS.

Per quanto riguarda l'MTBF, questo valore, espresso in unità di tempo,

viene quasi sempre determinato da informazioni teoriche, generalmente

da letteratura, oppure da dati registrati sul campo. In questa analisi,

l'inverso dell'MTBF, o rateo di guasto lambda, dei vari componenti è

stato ricavato da letteratura per ciò che riguarda sensori e attuatori,

mentre per i PLC si è utilizzato il dato del fornitore.

L'MTTR ( Mean Time To Restoration) rappresenta il tempo medio di

ripristino di un'apparecchiatura, e considera sia i tempi logistici che i

tempi di pura riparazione. Ovviamente questo tempo varia enormemente

in base alla disponibilità o meno di ricambi.

In tabella 3 sono indicati gli MTTR per tutti i tipi di apparecchiature e il

loro intervallo di test.




Table 3

Programmable electronic

system

Sensors and actuator

Test Interval MTTR Test Interval MTTR

Less then 1

Min1 Hour

Sensors 6 Month

Actuators 2

Years

Analyzers 3

Month

Sensors 4 Hours

Actuators 8 Hours

Analyzers 4

Hours

Per i componenti critici relativi al Plant Emergency Shut-Down viene

deciso di accorciare l'intervallo tra i test a 2 mesi.

Pag. 18 di 30




Di seguito viene presentata una tabella contenente i ratei di guasto

relativi ai componenti ritenuti più critici dopo lo studio FMEA, per alcune

funzioni di sicurezza.

Failure Rates

INPUTFAILURE

RATE [h-1

]LOGIC

FAILURE

RATE [h-1

]ACTUATORS

FAILURE

RATE [h-1

]

NITROGEN PLANT

HS PLANT-

ESD

Fail safe

PLC1 2,45E-06Air compressor

C5000A7,61E-06

LV panel

feeders0,0000041

Air compressor

C5000B7,61E-06

FV710 0,0000029

FY711 2,648E-06

AIR COMPRESSORS C5000A / C5000B

YS C5000A-7

softwarePLC1 2,45E-06

Air Compressor

C5000A7,61E-06

YS C5000B-7

softwarePLC1 2,45E-06

Air Compressor

C5000B7,61E-06

AIR PRE-COOLING UNIT

LSH 893 1,256E-05 PLC1 2,45E-06Air Compressor

C5000A7,61E-06

Air Compressor

C5000B7,61E-06

Regeneration

Heater Section A1,41E-05

Regeneration

Heater Section B1,41E-05

FV710 0,0000029

FY711 2,648E-06

Pag. 19 di 30




INPUTFAILURE

RATE [h-1]LOGIC

FAILURE

RATE [h-1]ACTUATORS

FAILURE

RATE [h-1]

PREPURIFIER UNIT DDU 5000PP-

MCTSsoftwar

e

PLC1 2,45E-06Air Compressor

C5000A7,61E-06

Air Compressor

C5000B7,61E-06

Regeneration


Regeneration

Heater Section B 1,41E-05

FV710 0,0000029

FY711 2,648E-06

TT 581 0,0000035 PLC1 2,45E-06Air Compressor

C5000A7,61E-06

Air Compressor

C5000B7,61E-06

Regeneration


Regeneration

Heater Section B1,41E-05

FV710 0,0000029

FY711 2,648E-06

Pag. 20 di 30




Secondo le IEC esistono tre tecniche di calcolo riconosciute al fine di

determinare il livello SIL per un dato processo: calcoli semplificati, Fault

Tree analysis, Markov analysis.

Ognuna di queste tecniche fornisce un livello SIL utilizzabile, ma per

semplicità di calcolo, e visto anche che i risultati sono più conservativi,

verranno utilizzati i calcoli semplificati.

Il primo passo consiste nella determinazione della PFD per ogni

componente incluso nel SIS, dopodiché in base all'architettura

funzionale del SIS si valuta in quale modo sommare queste probabilità.

Nel caso in esame, tutte le funzioni di sicurezza vengono svolte da

architetture con voting 1oo1, il che significa che il mancato

funzionamento di un componente porta al fallimento di tutta la SIF.

La riduzione del rischio attraverso l'utilizzo di un SIF può essere

espressa come "dangerous failure rate" del SIF.

Al fine di definire il "dangerous failure rate" del SIS è necessario

determinare quello di ogni componente.

Convenzionalmente il dangerous failure rate viene quantificato come

metà del rateo di guasto dell'apparecchiatura in questione, e

rappresenta la probabilità del sistema di non attuare la funzione di

sicurezza richiesta, ossia di guastarsi in modalità “unsafe”.

Nella pratica il "dangerous failure rate" del logic solver raramente

presenta valori piccoli, nella norma questo è il componente che presenta

maggiore affidabilità. Al contrario, sensori ed attuatori hanno ratei di

guasto relativamente alti, e quindi devono essere tenuti in

considerazione quando si configura il SIS.

Viene definito come "diagnostic coverage" il rapporto tra il rateo di guasti

rilevati e il numero totale di guasti rilevati dal sistema di diagnosi. La

diagnostic coverage include solo i guasti rilevati dalo sistema di auto-

diagnosi, ma non include alcun guasto rilevato dal test. Se la DC è nulla,

allora non esiste il sistema di autodiagnosi dell'apparecchiatura.

Pag. 21 di 30




Questo determina un valore di PFD più conservativo. Nella nostra analisi

facciamo proprio questo assunto.

La Probability of Failure on Demand viene quindi definita per

sottosistemi con voting 1oo1 come prodotto della dangerous failure rate

per il tempo di accadimento tce; in formula:

CE Dt PFD ⋅= λ dove MTTR DC

T t CE

+−⋅= )1(2

1

T1 = single proof test interval

DC = diagnostic coverage (0-1)

tce = Tempo medio di di fermo, rappresenta la combinazione dei tempi

medi di fermo per ogni componente del sottosistema dovuto al T1 e

all’eventuale MTTR.

Dλ = dangerous failure rate

Safety functionPFD (SIF

Unaivalability)SIL

PLANT EMERGENCY SHUTDOWN 7,67E-03 2

AIR COMPRESSOR C5000A CUMULATIVE BLOCKS 2,81E-03 2

AIR COMPRESSOR C5000B CUMULATIVE BLOCKS 2,81E-03 2

MOISTURE SEPARATOR VERY HIGH LEVEL 1,45E-01 n.c.

MAX CYCLE TIME SHUTDOWN 1,31E-01 n.c.

OUTLET AIR VERY HIGH TEMPERATURE 1,35E-01 n.c.

REGENERATION HEATER VERY HIGH INTERNAL

TEMPERATURE1,27E-01 n.c.

REGENERATION HEATER VERY HIGH GAS

TEMPERATURE1,27E-01 n.c.

Come si può vedere dalla tabella, i valori dei SIL per queste funzioni di

sicurezza sono diversi fra loro. Questi risultati sono stati la base di

partenza per le considerazioni che seguiranno sull'affidabilità di

funzionamento dei sistemi di sicurezza strumentati.

Pag. 22 di 30




9. Valutazione formula di calcolo PFD

La norme IEC descrivono approfonditamente le formule di calcolo per la

PFD di ogni sistema di sicurezza, differenziandole in base al voting.

L’Annex B della IEC-61508-6 fornisce un esempio della tecnica RBD

(Reliability Block Diagram) per la valutazione della probabilità di guasto

dell’apparecchiatura.

Lo standard suggerisce inoltre l’utilizzo della analisi Markov in quanto più

accurata, ma nella valutazione del livello SIL la minore precisione di

calcolo attraverso l’RBD non è così significativa, soprattutto per via della

limitata confidenza dei dati di affidabilità / ratei di guasto.

Il metodo proposto è basato su alcune ipotesi, tra cui:

- i ratei di guasto sono costanti durante la vita del sistema;

- per ogni sottosistema esiste un single proof test interval (T1) e un

Mean Time To Restoration (MTTR); MTTR considera anche il

tempo necessario alla rilevazione del guasto;

- per ogni safety function c’è un test completo e una perfetta

riparazione (condizione dell’apparecchio come As Good As New);

- la frazione di guasti specificati dalla Diagnostic Coverage sono sia

rilevati che riparati entro l’MTTR utilizzato per determinare i

requisiti di safety integrity.

Come si può notare queste sono condizioni estremamente ipotetiche,

basti pensare alla condizione di As Good As New dopo una riparazione,

oppure la riparazione avvenuta entro l’MTTR, e sono sostanzialmente

relative alla manutenzione del sistema e al mantenimento del livello di

integrità della funzione di sicurezza.

Nella nostra analisi verranno considerate nel calcolo solamente le

configurazioni 1oo1, 1oo2, 2oo2 e 2oo3.

Pag. 23 di 30




Configurazione 1oo1

Actuator1oo1 Logic Solver

(PLC)SENSOR

Come abbiamo già visto la formula per la PFD è la seguente:

CE Dt PFD ⋅= λ dove MTTR DC

T t CE

+−⋅= )1(2

1

T1 = single proof test interval

DC = diagnostic coverage (0-1)

tCE = Tempo medio di fermo, rappresenta la combinazione dei tempi

medi di fermo per ogni componente del sottosistema dovuto al T1 e


Dλ = dangerous failure rate

Configurazione 1oo2

Actuator1oo2

SENSOR 2

Logic Solver

(PLC)

SENSOR 1

( )[ ] ( )⎭⎬⎫

⎩⎨⎧

⎟ ⎠

⎞⎜⎝

⎛ +⋅−⋅+⋅⋅+−⋅+−⋅⋅⋅⋅= MTTR

T DC MTTR DC DC t t PFD

D DGE CE D

211 12

β β β β β λ λ

tGE = Tempo medio di fermo, rappresenta la combinazione dei tempimedi di fermo per ogni componente del voted group dovuto al T1 e


β = frazione dei guasti non rilevati che hanno una causa comune

(common cause);

D β = frazione dei guasti che hanno una common cause e sono rilevati

dai test diagnostici.

Pag. 24 di 30




Configurazione 2oo2

Actuator2oo2

SENSOR 2

Logic Solver

(PLC)

SENSOR 1

CE Dt PFD ⋅⋅= λ 2

Configurazione 2oo3

SENSOR 3

Actuator2oo3SENSOR 2 Logic Solver

(PLC)

SENSOR 1

( )[ ] ( )⎭⎬⎫

⎩⎨⎧

⎟ ⎠

⎞⎜⎝

⎛ +⋅−⋅+⋅⋅+−⋅+−⋅⋅⋅⋅⋅= MTTR

T DC MTTR DC DC t t PFD

D DGE CE D

2113 12

β β β β β λ λ

Pag. 25 di 30




Andiamo adesso ad analizzare una delle funzioni di sicurezza

dell’impianto di produzione azoto preso in esame.

La funzione è la “Moisture Separator Very High Level”, item LAHH893,

con input dal sensore LSH 893.

Questa funzione di sicurezza è relativa al segnale di altissimo livello

della condensa nel vessel separatore, dopo la compressione dell’aria in

ingresso all’impianto. Un valore troppo alto di acqua significa aria troppo

umida in ingresso alla batteria di deumidificazione e decarbonatazione,

con conseguente ingresso di aria non secca nella colonna di

frazionamento a temperature criogeniche e blocco dell’impianto.

Gli output dal SIS coinvolgono il blocco dei due compressori aria (C5000

A e B), il blocco dei riscaldatori di rigenerazione ( Sect. A e B) e la

chiusura delle due valvole che isolano la colonna di frazionamento dal

flusso di aria (FV710 e FY711).

Per ipotesi, tutte le funzioni di sicurezza sono in voting 1oo1.

La Diagnostic Coverage è ipotizzata uguale a 0, non esiste sistema di

auto-diagnosi dell’apparecchiatura.

Dai calcoli risulta:

Safety function: Moisture separator very high level

Configurazione nominale

Componenti lambda tau 1/MTTR PFDi (1oo1)

LSH893 1.256E-05 4320 0.25 1.36E-02

PLC1 2.450E-06 1.70E-02 1 1.24E-06

C5000A 7.610E-06 1440 0.125 2.77E-03

C5000B 7.610E-06 1440 0.125 2.77E-03

REG.HEAT.Section A 1.410E-05 17280 0.125 6.10E-02

REG.HEAT.Section B 1.410E-05 17280 0.125 6.10E-02

FV 710 2.900E-06 1440 0.125 1.06E-03

FV 711 2.648E-06 1440 0.125 9.64E-04

PFD sys = 1.43E-01

SIL N.C.

Pag. 26 di 30




Vediamo subito che in questa configurazione, la PFD è molto elevata,

dunque non è possibile classificare con un SIL questa funzione di

sicurezza.

Possiamo notare che i componenti che presentano una PFD alta sono il

sensore LSH893 (in voting 1oo1) e le due sezioni dei Regeneration

Heaters.

Andiamo a verificare in questa condizione cosa cambia al variare del

voting dell’LSH893, mantenendo il rateo di riparazione costante:

Componenti PFD LSH893

(1oo2)

PFDi LSH893

(2oo2)

PFDi LSH893

(2oo3)

LSH893 2.46E-04 2.72E-02 7.39E-04

PLC1 1.24E-06 1.24E-06 1.24E-06

C5000A 2.77E-03 2.77E-03 2.77E-03

C5000B 2.77E-03 2.77E-03 2.77E-03

REG.HEAT.Section A 6.10E-02 6.10E-02 6.10E-02

REG.HEAT.Section B 6.10E-02 6.10E-02 6.10E-02

FV 710 1.06E-03 1.06E-03 1.06E-03

FV 711 9.64E-04 9.64E-04 9.64E-04

PFD sys = 1.30E-01 1.57E-01 1.30E-01

SIL N.C. N.C. N.C.

Notiamo subito che sia in voting 1oo2 che 2oo3 la PFD dello strumento

migliora tantissimo, ma la PFD del sistema rimane alta.

Le configurazioni 2oo2 e 2oo3 non risultano economicamente valide, in

quanto una ridondanza di questo tipo può essere sostituita da un unico

strumento che abbia classificazione SIL.

A fronte di una ridondanza 1oo2, che fornisce valori adeguati ad una

classificazione SIL, l’altra grandezza che può variare sensibilmente la

PFD è l’intervallo di test dell’apparecchiatura. In questo caso, per i

Regeneration Heaters è previsto l’intervallo di test più lungo, dunque

riducendolo opportunamente ricaviamo i seguenti risultati:

Pag. 27 di 30




Tau heater a 8640 h

LSH893 LSH893 LSH893

1oo1 1oo2 2oo2 2oo3

PFD sys = 8.22E-02 2.75E-03 1.64E-01 8.26E-03

SIL SIL 1 SIL 2 N.C. SIL 2

Tau heater a 4320 h

LSH893 LSH893 LSH893

1oo1 1oo2 2oo2 2oo3

PFD sys = 5.17E-02 8.94E-04 1.03E-01 2.68E-03

SIL SIL 1 SIL 3 N.C. SIL 2

Si vede quindi che l’intervallo di test è una grandezza fondamentale

nella classificazione e nel mantenimento del livello SIL di safety function.

Ovviamente durante l’esercizio dell’impianto si possono fare diversi

ragionamenti sulla minimizzazione dei costi di intervento a fronte del

mantenimento del livello SIL, come alla modifica dell’integrità della

sicurezza riducendo l’intervallo di test.

In un semplice grafico si può avere un riassunto di questi risultati.

1.E-05

1.E-04

1.E-03

1.E-02

1.E-01

1.E+001oo1 1oo2 2oo2 2oo3

Nominale

Tau a 8640h

Tau a 4320h

Risulta chiaro che al fine di avere una determinata funzione di sicurezza

con classificazione SIL bisogna tenere in considerazione tutti questi

parametri.

Pag. 28 di 30




Anche l’adozione di uno strumento, o di uno qualunque degli anelli della

catena di sicurezza che abbia classificazione SIL non è una condizione

sufficiente ad avere un valore di rischio residuo compatibile con il SIL.

Da questa semplice analisi risulta che se è vi è una necessità di ridurre

la PFD di un sistema di sicurezza strumentato è possibile agire su

diversi parametri.

La soluzione più semplice è quella di ridurre l’intervallo di test, ma a

volte non risulta la più efficace: l’introduzione di una ridondanza, o la

sostituzione di un componente con uno più affidabile (ratei di guasto più

bassi), il quale può anche essere in grado di eseguire delle auto-

diagnosi può essere una strada diversa, e con risultati migliori.

La scelta corretta sta tra diverse soluzioni, che vanno scelte in maniera

appropriata dopo un’attenta analisi costi-benefici riferita all’intero ciclo di

vita del componente o dell’intero sistema.

Pag. 29 di 30




10. Bibliografia

- Comitato Elettrotecnico Italiano “CEI EN 61508. Sicurezza

funzionale per sistemi elettrici, elettronici ed elettronici

programmabili per applicazioni di sicurezza”

- Compagno, D’Urso, Trapani, 2005, “Effects of maintenance

management system on the safety integrity level in a

petrochemical plant” 1st International conference on Maintenance

Management, Venice, Italy

- Gambetti F, 2003, “Workshop sui Sistemi di Sicurezza

nell’Industria di Processo- Impatto della norma EN CENELEC

61508 e Standard 61511 sulla progettazione, installazione e

utenti finali”. Network Controlli Avanzati, Snamprogetti

- Marszal E., 2003, “Hydrocracker SIL selection case study”

- Meskanen A., Heinonkoski R., Hitchen I., 2000, “Guidelines for

Safety Instrumentes Systems for the process sector”

- Fletcher A., Gambetti F., “IEC-61508: Safe plant design”

- Houtermans M., Rouvroye J., 2005, “The influence of design

paramenters on the probability of failure on demand (PFD)

performance of the safety instrumented systems (SIS)”

- Al-Sayed M., 2004, “Failure rates – Analysis and calculations as

per IEC 61511”

- Gulland W., 2004, “Methods of determining Safety Integrity Level

(SIL). Requirements – Pros and cons.”

- Nunns S., “A method for estimating cost comparisons in raising

SIL levels”

- IEC, “Functional Safety and IEC 61508”

- Compagno L., D’Urso D., Trapani N., 2004, “L’affidabilità dei

sistemi di sicurezza: un modello markoviano”, XXXI Convegno

Nazionale ANIMP OICE UAMI

Pag. 30 di 30

Articolo_IEC 61508

Documents

Transcript of Articolo_IEC 61508