AS 1

Gennaio - Febbraio 2024 n Automazione e Strumentazione Tecnica 88 SICUREZZA L e funzioni di sicurezza sono svolte da sistemi e dispositivi che in genere (e auspicabilmente) non lavorano in conti- nuo (come invece accade per i sistemi di controllo), ma che viceversa devono intervenire solo quando viene rilevata (demand) una situa- zione potenzialmente pericolosa. Per questo, nel periodo di vita del dispositivo ( T L ) è importante verificare che funzionino correttamente, in modo da essere fiduciosi che alla bisogna non falliscano. Il Proof Test Interval ( T pt ) è l’intervallo di tempo tra due di queste verifiche, in genere periodiche; il suo valore entra direttamente nel calcolo della Probability of Failure on Demand media ( PFD avg ) e quindi nella determinazione del SIL della fun- zione di sicurezza. In questo non è solo: il Proof Test Coverage ( c ) è un coefficiente (0÷1) che esprime la significatività della verifica; più esso è elevato e maggiore è la percentuale di failures che viene testata, quindi la confidenza che il disposi- tivo sia nel suo stato di buona salute, in grado di svolgere la funzione che gli è stata assegnata. La relazione che lega questi parametri è: Ove λ du è il failure-rate relativo ai guasti perico- losi (dangerous) e non rilevati dalla diagnostica (undetected). Si ricorda infatti che gli Stan- dard classificano i guasti in safe/dangerous e in detected/undetected. I guasti ‘safe’ sono quelli per cui il dispositivo fa comunque scattare la funzione di sicurezza (ad esempio una rileva- zione di basso livello che restituisce per sba- glio il suo fondo scala di 4 mA o una valvola di rilascio che si apre senza motivo); i guasti ‘dan- gerous’ ma ‘detected’ possono essere gestiti in modo da evitare di intervenire per niente (spu- rious trip). Sono dunque solo i guasti di tipo ‘du’ ad entrare nel calcolo della PFD(t)= λ du t e quindi della PFDavg che ne rappresenta la media nel periodo di vita del dispositivo: se 0.5λ du T L (che è l’integrale di PFD(t) diviso per T L ) è già minore di quella prescritta dal SIL-Target (ad es. com- presa tra 10 -3 e 10 -2 per SIL-2) allora in teoria non ci sarebbe bisogno di verifiche periodiche perché, anche se PFD(t) peggiora (aumenta) nel tempo, la sua media (su T L ) rimane comunque sotto il limite desiderato. Dato che però questo raramente accade, entrano in gioco il Proof Test Interval e il Proof Test Coverage , con il ruolo che hanno nella formula (1) . La situazione è rap- presentata dalla figura 1 : è chiaro come i vari Proof Test siano cruciali nel consentire di man- tenere il SIL entro i limiti per tutto il ciclo di vita del dispositivo. Si noti che PFD(t) = λ du t è la ragionevole (dato che λ du <<1 ) approssimazione lineare della più corretta PFD avg (t)=1-e^(-λ du t) che rappresenta un riconosciuto modello per la probabilità che un evento di frequenza λ du possa accadere all’istante t . Inoltre, nella (1) viene omesso un termine additivo λ DD MTTR legato al tempo medio di ripristino da un guasto pericoloso ma ‘detected’, trascurabile dato che in genere si tratta di poche ore. Il rapporto tra Proof Test Interval e Proof Test Coverage Come si evince dalla (1) , la PFD avg risulta una funzione di due variabili che ha un tipico anda- mento come quello rappresentato in figura 2 : essa migliora (diminuisce) quanto più è elevato il Proof Test Coverage e/o quanto più è basso il Proof Test Interval (che in figura è rappresen- tato dal suo rapporto con il T L , in modo da avere entrambi gli assi normalizzati nell’intervallo 0÷1). Come si nota il peso del Proof Test Cove- NOTA AUTORE M. Veronesi, Yokogawa. A FIL DI RETE www.iec.ch I PARAMETRI DI PROOF TEST NEI SISTEMI SIL-RATED Nella gestione del ciclo di vita dei sistemi e dei dispositivi impiegati in funzioni di sicurezza SIL-rated, due parametri fondamentali introdotti dagli Standard IEC61508/511 sono i noti Proof Test Interval e Proof Test Coverage; vediamo gli importanti ruoli che giocano e il rapporto che hanno tra loro. Massimiliano Veronesi A proposito di Proof Test

RkJQdWJsaXNoZXIy Mzg4NjYz