AS_04_2018

SICUREZZA tecnica Automazione e Strumentazione Maggio 2018 89 nosi non rilevati (dangerous undetected) dei componenti del SIS. Nella formula completa essendo tipicamente l dd e l du dello stesso ordine di grandezza, MRT e MTTR normalmente sulle 8 ore, il loro contributo diventa insignificante rispetto il TI solitamente fissato su 8.760 ore, e pertanto la formula approssimata tiene in considerazione il termine l du e l’intervallo della prove TI. Inoltre, a tal proposito, la υ Tabella 1 , riporta in sommario tutte le formule approssimate per il calcolo della PFD per le varie architetture, non ridondate e ridondate, normalmente previste per i sottosistemi dei SIS. Nella υ Tabella 1 sono riportate: 1oo1 architettura singola senza ridondanza (votazione 1 su 1); 1oo2 duplicazione parallela (OR con votazione 1 su 2); 2oo2 duplicazione serie (AND con votazione 2 su 2); 1oo3 triplicazione parallela (OR con votazione 1 su 3); 2oo3 triplicazione a ridondanza maggioritaria (votazione 2 su 3); 2oo3 quadruplicazione a ridondanza (votazione 2 su 4). Per ognuna di queste architetture, la Norma IEC 61508-6 fornisce le specifiche PFD (Determinazione della probabilità media di gua- sto su domanda di intervento), dei sottosistemi. Considerando le architetture più comuni, rispetto alla soluzione non ridondata (1oo1), risulta che: 1oo2 è più affidabile, però nel contempo è più sensibile ai guasti spuri; 2oo2 è meno affidabile, ma è meno sensibile ai guasti spuri; 2oo3 è più affidabile, meno della 1oo2, ma meno sensibile ai guasti spuri. Esempio di progettazione di un SIS per un serbatoio in pressione Si consideri un processo che utilizza un serbatoio a pressione con- tenente un liquido infiammabile volatile e degli strumenti associati ad un sistema di controllo BPCS (Basic Process Control System) che realizza un anello di controllo con: Trasmettitore di livello (LT), Valvola di regolazione (LCV), Allarme di alta pressione (PAH). Come illustrato in υ Figura 2 . In caso di non risposta all’allarme dell’operatore, un livello di protezione non strumentato (PL: Protection Layer) ovvero una valvola sicurezza, tratta i pericoli legati alla pressione elevata all’interno del serbatoio. Il livello di protezione interviene per veicolare l’eccesso di mate- riale sotto pressione in una tubazione verso un contenitore di sepa- razione che scarica i gas verso un sistema a torcia. Si suppone in questo esempio che il sistema torcia sia oppor- tunamente omologato, progettato, installato e funzionante; per- tanto i potenziali guasti del sistema a torcia non sono conside- rati in questo esempio! Obiettivo di sicurezza Per garantire il successo nella gestione di un rischio industriale, è necessario rispondere ad una esigenza fondamentale che consiste nel definire in maniera chiara e coincisa un livello di sicurezza obiettivo del processo desiderato (rischio tollerabile). Per questo, è possibile usare norme/regole nazionali/internazionali, politiche di impresa e tenendo in considerazione le opinioni delle parti coinvolte, quali, il pubblico, la giurisdizione locale e le com- pagnie di assicurazione, il tutto supportato da pratiche di ingegneria. Il livello sicurezza obiettivo di processo è specifico ad un processo, ad una impresa o ad una industria e pertanto non può essere sempre generalizzato a meno che non esistano norme o regolamentazioni che giustifichino tale generalizzazione. Per l’esempio considerato, si può ipotizzare come obiettivo si- curezza una frequenza di scarico e rilascio nell’ambiente minore di 10 -4 per anno , basata sulle conse- guenze attese di impatto ambientale. Analisi del rischio Bisogna effettuare per il processo, una analisi del rischio per identificare: i pericoli potenziali, le deviazioni pos- sibili, le cause conseguenti; i sistemi ingegnerizzati disponibili: Per esempio attraverso metodi quali- tativi, quali: studi Hazop; liste di con- trollo; riesami di sicurezza; analisi di previsione; analisi cause-conseguenze; analisi di modi di guasto ed effetti. Il metodo normalmente utilizzato è lo studio ‘Pericolo e Operabilità’ Tabella 1 - Formule di calcola della Probabilità di Fallimento su Domanda (PFD) dei sottosistemi dei SIS Figura 2 - Serbatoio in pressione da proteggere (IEC 61511-3)