AS_04_2018

tecnica 91 Automazione e Strumentazione Maggio 2018 SICUREZZA 1° Analisi di rischio (del processo esistente) Una volta che è stata stabilita la frequenza di accadimento dell’evento iniziante , viene modellizzata la capacità (successo) o incapacità (guasto) dei sistemi di sicurezza a rispondere alla con- dizione anormale per mezzo di una analisi ad albero degli eventi ( υ Figura 4 ): Risultato scarico nell’ambiente 1,9 × 10 -3 (non accettabile: >1 × 10 -4 ) . 2° Analisi di rischio (con secondo scarico di sicurezza PL2) Siccome lo scarico nell’ambiente è superiore a quello prefis- sato 1 × 10 -4 prima di introdurre una funzione strumentata di sicu- rezza SIF si dovrebbe esaminare la possibilità di introdurre sistemi protezione ad altra tecnologia (per esempio una altra valvola di sicurezza) e pertanto si può decidere di introdurre un altro scarico di sicurezza PL2: Risultato scarico nell’ambiente 1,9 × 10 -4 (non accettabile: >1 × 10 -4 ). 3° Analisi di rischio (con terzo livello di protezione a SIF) Poiché lo scarico in ambiente è ancora superiore a quello pre- fissato 1 × 10 -4 , invece di introdurre la seconda valvola di sicurezza, si introduce una SIF con SIL 2 come terzo livello di protezione: (1°: Risposta operatore; 2°: Scarico protezione/valvola di sicurezza; 3°: SIF con SIL 2) con sensori di pressione duali (1oo2), che trasmettono i segnali al riso- lutore logico che va ad azionare una ulte- riore valvola di arresto (SV: Shut Valve): Risultato scarico nell’ambiente 1,9 × 10 -5 (accettabile: <1 × 10 -4 ). Considerazioni finali Con la funzione strumentata di sicurezza SIF avente SIL 2 si può pertanto minimiz- zare la frequenza di uno scarico dal serbatoio nell’ambiente a causa di una sovrappressione, entro i limiti di accettabilità richiesti di 1×10 -4 scarichi nell’ambiente per anno. Si dovrebbe notare che questa analisi ad albero degli eventi non tiene conto della pos- sibilità di un guasto di causa comune dell’al- larme di alta pressione e della funzione stru- mentata di sicurezza avente SIL 2, e vi possono essere anche guasti di causa comune tra questi due dispositivi di protezione e un guasto del sensore di livello del BPCS. Conclusioni La norma IEC 61508:2010 ha mantenuto la collaudata struttura precedente ma è stata oggetto di una revisione sostanziale, come sem- plificando il ciclo di sicurezza, implementando metodologie alternative per la determinazione della tolleranza ai guasti hardware HFT (Route 2 H , già contemplata in qualche maniera anche dalla vecchia IEC 61511:2003 rivolta alla sicu- rezza funzionale nell’industria di processo); puntualizzando le richieste normative essenzialmente per la com- petenza e indipendenza del personale che conduce la valutazione della sicurezza funzionale e per la redazione del manuale di sicu- rezza, che diventa obbligatorio; viene introdotto anche il requisito di ‘cyber-security’. Per la norma IEC 61511:2016, anche in questo caso si è mante- nuta la collaudata struttura precedente. L’aggiornamento invece si è limitato a un adeguamento normativo della Parte 1 che ha sostanzialmente fatta propria la Route 2 H enunciata nella nuova 61508:2010, il potenziamento della guida applicativa descritta nella Parte 2 e degli esempi applicativi descritti nella Parte 3. Riferimenti bibliografici [1] F. Andreolli, A. Brunelli, E. Ciapessoni, ‘La Sicurezza Fun- zionale: le nuove edizioni IEC 61508:2010 e IEC 61511:2016 - I cambiamenti più significativi - Parte I’, Automazione e Strumenta- zione , n. 3, aprile 2018. [2] IEC 61508: 2010 , Parte 1_7, Functional safety of electrical/ electronic/programmable electronic safety-related systems. [3] IEC 61511: 2016 , Parte 1_3, Functional safety - Safety instru- mented systems for process industry sector. [4] A. Brunelli, Manuale di Strumentazione - Volume II: Con- trollo e Sicurezza , Editoriale Delfino (2016). Figura 5 - Il secondo caso di analisi del rischio è ancora con un risultato non accettabile per l’alta frequenza di scarico nell’ambiente (1,9×10 -4 >1×10-4) Figura 6 - Nel terzo caso di analisi del rischio, con terzo livello di protezione a SIF, il risultato è accettabile e con una bassa frequenza di scarico nell’ambiente (1,9×10 -5 )