SIL nell'industria di processo

La sicurezza funzionale ha un'importanza fondamentale in tutti gli impianti realizzati per le industrie di processo. L'industria chimica ha requisiti particolarmente rigidi in termini di protezione delle persone e dell'ambiente. La progettazione di un circuito di sicurezza conforme agli standard non è affatto banale. Questa attività viene eseguita in maniera ottimale con principi di progettazione sicuri e dati SIL affidabili che possono essere utilizzati per il calcolo. Saremo lieti di fornirvi i dati necessari per la valutazione del rischio e di supportarvi nell'implementazione con i nostri componenti collaudati e sistemi ridondanti.

Safety Integrity Level (SIL)

Affinché un sistema non diventi un pericolo per le persone e l'ambiente in caso di emergenza, è necessario che esso venga progettato sistematicamente per la sicurezza funzionale. Soprattutto nell'industria di processo chimica gli standard SIL rappresentano un criterio chiave per la costruzione degli impianti.

SIL è l'acronimo di Safety Integrity Level, ossia il livello di riduzione del rischio garantito. SIL è il valore di misura internazionale utilizzato per classificare la sicurezza funzionale di un sistema. Esistono quattro livelli di sicurezza, da SIL1 a SIL4, che richiedono le misure più rigorose in caso di grosso rischio. In concreto, ciò significa determinare una precisa valutazione del rischio a partire dalle probabilità di guasto dei componenti, adottare misure per la minimizzazione del rischio residuo, scegliere i dispositivi adatti e, infine, assicurare la corretta conformità alle funzioni SIL in test ricorrenti.

Standard di sicurezza SIL

La classificazione SIL segue due standard internazionali: IEC 61508 e IEC 61511.

La norma di riferimento è IEC 61508 ("Sicurezza funzionale dei sistemi elettrici/elettronici/elettronici programmabili rilevanti per la sicurezza"). Descrive la valutazione del rischio e le misure per la progettazione delle corrispondenti funzioni di sicurezza. Contiene inoltre i requisiti per i singoli componenti del circuito di sicurezza. Include sensori come i misuratori di pressione, temperatura e livello o l'unità di valutazione e di output, nonché valvole di processo automatiche.

La norma IEC 61511 ("Sicurezza funzionale - Sistemi di sicurezza per l'industria di processo") si applica in particolare all'automazione dei processi. In questo caso, si tratta principalmente di applicazioni Low Demand con requisiti più bassi rispetto a quelli utilizzati solitamente. La norma IEC 61511 contiene, inoltre, i criteri di selezione per sensori e attuatori, ad esempio per quanto riguarda l'affidabilità di funzionamento.

Procedura SIL in quattro passaggi

Gli installatori o i gestori di un impianto potenzialmente in grado di pregiudicare l'incolumità di dipendenti, residenti o dell'ambiente sono tenuti a mantenere bassi i livelli di rischio. Le norme IEC 61508 e 61511 prescrivono a tal proposito quattro passaggi principali:

1. Definizione e valutazione del rischio: innanzitutto, si determinano le probabilità di guasto di tutti i componenti, dal sensore al sistema di comando all'attuatore, per l'intera vita dell'impianto.

2. Definizione e attuazione delle misure: si definiscono e si attuano misure adeguate per ridurre al minimo il rischio residuo.

3. Utilizzo di dispositivi idonei: condizione preliminare per un corretto test del circuito SIL dell'impianto sono componenti e gruppi adatti al passaggio in questione e, se necessario, certificati .

4. Ispezione periodica: il gestore verifica a intervalli specificati che le funzioni di sicurezza siano rispettate correttamente.

1. Definizione e valutazione del rischio

Qual è il potenziale di pericolo del mio sistema? Questa è una domanda che deve porsi qualsiasi progettista di un impianto di processo nell'industria chimica. Un grafico di rischio aiuta a rispondere a questa domanda. In base alle norme IEC 61508 e 61511, quattro parametri definiti vengono combinati in un albero decisionale:

1. Entità del danno (S): quanto sono gravi le conseguenze prevedibili?

2. Probabilità di sosta (F): con quale frequenza e per quanto tempo le persone sostano nell'area di pericolo?

3. Prevenzione dei pericoli (P): posso prevenire o limitare l'evento?

4. Probabilità di occorrenza (W): con quale frequenza devo aspettarmi un incidente?

L'esperienza pratica dimostra che i rischi relativi alla sicurezza si nascondono per lo più nei dettagli e spesso diventano evidenti solo durante l'esercizio. Un'analisi sistematica è in grado di identificare questi punti deboli già al momento della pianificazione. Vi supportiamo nella valutazione del rischio in conformità agli standard vigenti e vi mostriamo ciò che Festo è in grado di fare per la sicurezza funzionale del vostro impianto, attraverso soluzioni di sistema complete, concetti di automazione sofisticati o singoli componenti. Per questo, vi invitiamo a contattarci già in questa fase.

Quattro livelli discreti (da SIL1 a SIL4). Quanto più elevato è il SIL di un sistema di sicurezza, tanto minore è la probabilità che il sistema non sia in grado di eseguire le funzioni di sicurezza richieste.

Quattro livelli discreti (da SIL1 a SIL4). Quanto più elevato è il SIL di un sistema di sicurezza, tanto minore è la probabilità che il sistema non sia in grado di eseguire le funzioni di sicurezza richieste.

2. Determinazione e attuazione delle misure

La valutazione sistematica del rischio dell'impianto permette di stabilire anche quali fattori aumentano i requisiti SIL. Alcuni di essi, ad esempio il sito di produzione, sono indicati. Altri sono le viti di regolazione, che possono essere ruotate.

Il primo aspetto al quale è bene dare uno sguardo è la probabilità di guasto. Utilizzando componenti a tolleranza d'errore e sistemi ridondanti, è possibile aumentare significativamente la disponibilità e l'affidabilità. A seconda del tipo di processo, potrebbero essere utili anche soluzioni in cui i singoli componenti possono essere controllati e sostituiti durante l'esercizio.

Le misure di sicurezza strutturali, ad esempio tramite impianti di riduzione della pressione, variano da caso a caso in funzione della specifica produzione. In linea di massima, è possibile elaborare una configurazione per ridurre al minimo il rischio dei processi. Ciò include anche misure strutturali e precauzioni quali sfiato, protezioni da troppopieno (ad esempio, in presenza di serbatoi di acido) o rivestimenti in cemento (se esiste il rischio di esplosione).

Inoltre, è consigliabile scegliere dispositivi e componenti di funzionalità comprovata, che garantiscano una durata dell'impianto lunga e affidabile. Ciò include anche l'impiego di materiali resistenti alla temperatura, agli acidi e alla corrosione. Inoltre, per quasi tutti i singoli processi abbiamo sviluppato soluzioni conformi agli standard che si sono dimostrate efficaci nell'industria chimica ed elettrochimica: dall'unità di valvole con disinserimento integrato fino al controllo altamente sicuro 2oo3.

3. Attrezzatura adatta

Dalla definizione del livello di integrità della sicurezza deriva anche che la progettazione del circuito SIL deve raggiungere questo livello in tutte le singole parti. Ciò significa che i progettisti hanno bisogno di dispositivi e componenti che garantiscano l'idoneità SIL richiesta. A tal fine, sono necessari i seguenti attestati:

  • Dichiarazione del produttore: fino a SIL2 sono i produttori stessi a rilasciare la certificazione dei propri dispositivi. Con SIL1 la valutazione tecnica è eseguita da un perito indipendente, con la classificazione SIL2 è un reparto indipendente.
  • Certificato: a partire da SIL 3 ciascun dispositivo utilizzato nel circuito di sicurezza deve essere certificato da un ente indipendente in conformità alla norma IEC 61508. In Germania, ad esempio, TÜV o Exida.

Per trovare i certificati SIL e le dichiarazioni del produttore per i nostri prodotti, inserire il tipo di prodotto o il codice prodotto nella casella di ricerca in alto e nella pagina dei dettagli del prodotto nella sezione "Download e supporti".

4. Ispezione periodica

Le funzioni di sicurezza dell'impianto devono essere controllate a intervalli regolari. Ciò è richiesto dalle specifiche dell'ordinanza sulla sicurezza sul lavoro o dalle norme antinfortunistiche; in alcuni casi possono applicarsi anche norme locali. La prova periodica SIL ha principalmente lo scopo di prevenire lesioni personali, danni materiali e danni all'ambiente, ma serve anche a migliorare l'affidabilità del sistema prevenendo tempi di inattività non pianificati e, non ultimo, a mettere i progettisti al riparo da possibili ostacoli legali: in caso di danni, queste prove possono dimostrare che il malfunzionamento non è causato da difetti dei dispositivi o difetti di progettazione.

Gli intervalli dell'ispezione vengono stabiliti dal gestore stesso. La valutazione del rischio si basa, tra le altre cose, sui parametri di sicurezza dei singoli componenti SIL. Dal punto di vista del design, quindi, soluzioni permanenti che possono essere all'occorrenza sostituite senza interrompere i processi possono risultare chiaramente vantaggiose. Saremo lieti di fornirvi suggerimenti sugli intervalli di ispezione più adatti per i nostri prodotti.

FAQ SIL: domande e risposte

Che cosa significano le abbreviazioni nel certificato SIL?

Schede tecniche dei prodotti, certificati e modellizzazioni per la sicurezza funzionale fanno uso di una serie di cifre e termini. Di seguito sono indicati i più importanti per il calcolo del SIL:

  • λ (tasso di guasto), qui si applicano le seguenti assegnazioni: S per il tasso totale di guasti sicuri, SD per il tasso di guasti sicuri e riconoscibili, SU per il tasso di guasti sicuri e non rilevabili, D per il tasso totale di guasti pericolosi, DD per il tasso di guasti pericolosi e riconoscibili e, infine, DU per il tasso di guasti pericolosi e non rilevabili.

  • Tipi di dispositivi: A è l'abbreviazione assegnata a dispositivi per i quali il comportamento di guasto di tutti i componenti utilizzati e il comportamento di errore sono determinati in misura sufficiente, ad esempio mediante test operativi. Il tipo di dispositivo, invece, indica che il comportamento di guasto di almeno un componente utilizzato e il comportamento in caso di errore non sono definiti in misura sufficiente.

  • HFT (Hardware Failure Tolerance): la possibilità di continuare a svolgere una funzione richiesta in caso di errori e deviazioni. Con HFT0 un singolo errore può portare alla perdita della funzione di sicurezza (ad esempio, nel caso di interconnessioni 1oo1). Con HFT1 si ha una perdita di sicurezza solamente quando si verificano contemporaneamente almeno due errori (ad esempio, nel caso di interconnessioni 1oo2). Con HFT2 devono verificarsi almeno tre errori contemporaneamente (ad esempio, nel caso di interconnessioni 1oo3).

  • High Demand: un modo operativo con un elevato tasso di sollecitazione o sollecitazione continua del sistema di sicurezza. Funziona a ciclo continuo o viene richiesto più di una volta all'anno.

  • Low Demand: modo operativo con basso tasso di sollecitazione al sistema di sicurezza. Non dovrebbe essere sollecitato più di una volta all'anno.

  • MTBF (Mean Time Between Failure): il tempo medio tra due errori consecutivi.

  • PFD (Probability of Failure on Demand): la probabilità di guasto di una funzione di sicurezza in presenza di un basso tasso di sollecitazione (< 10 sollecitazioni/anno) = Low Demand.

  • PFH (Probability of Failure per Hour): la probabilità di guasto di una funzione di sicurezza con uso continuo (> 10 sollecitazioni/anno) = High Demand.

  • SFF (Safe Failure Fraction): la percentuale di errori sicuri sul numero totale degli errori.

In che cosa consiste un sistema di sicurezza?


Di solito, un circuito è costituito da tre segmenti:

  • tecnica dei sensori (ad es. misuratori di pressione, temperatura e livello)
  • unità di valutazione e output (ad es. PLC di sicurezza)
  • valvola di processo automatizzata composta da elettrovalvola, attuatore e valvola.

Come si distribuiscono i PFD/PFH tra i sottosistemi?

La distribuzione delle probabilità di guasto tra i sottosistemi di una funzione di sicurezza in sistemi a canale singolo è la seguente: il peso maggiore viene attribuito al tasso di guasto SD degli attuatori.

SIL (Safety Integrated System)

Dove si trovano i valori per il calcolo del SIL?

Tutte le probabilità di errore necessarie per il calcolo SIL sono riportate nelle dichiarazioni o nei certificati del produttore (evidenziate in blu). Da questo valore viene calcolata la probabilità di guasto totale (i valori evidenziati in grigio) in base al SIL.

Calcolo del SIL

Quando sono richiesti i certificati?

Quanto più alto è il livello di sicurezza richiesto di un impianto, tanto maggiori sono anche i requisiti di indipendenza dell'ente di omologazione che valuta la sicurezza funzionale. In base alla norma IEC 61511, le dichiarazioni del produttore fino a SIL2 sono completamente sufficienti. A partire da SIL3 è richiesto il certificato di un ente indipendente come TÜV o Exida.

Safety Integrity Level - Ente di omologazione

SIL 1 - persona indipendente

SIL 2 - reparto indipendente

SIL 3 - organizzazione indipendente

SIL 4 - organizzazione indipendente

Dove si trovano i certificati SIL?

I certificati SIL e le dichiarazioni del produttore SIL per i prodotti Festo sono disponibili nella corrispondente pagina dei dettagli del prodotto nella sezione "Download e supporti", categoria "Certificati".

Come faccio a controllare gli attuatori in modo ridondante?

SIL

Quali soluzioni di ridondanza SIL offre Festo?

SIL: blocco valvole ridondante

Festo offre per ciascun requisito di sicurezza il comando ridondante più appropriato:

Blocco NAMUR ridondante (1oo2, 2oo2): il blocco NAMUR consente l'installazione di due elettrovalvole con schema di collegamento NAMUR collegate in modo ridondante tramite l'interfaccia NAMUR. I blocchi sono disponibili in funzione Fail Safe (1oo2) o con disponibilità più elevata (2oo2). Tramite l'interfaccia è possibile montare direttamente il blocco su attuatori oscillanti. È possibile anche un'installazione separata con relative tubazioni.

Valvole ridondanti in linea (1oo2, 2oo2): in questi sistemi compatti Festo utilizza la collaudata tecnologia delle valvole VOFD. La valvola è collegata in modo ridondante e offre una funzione Fail safe ridondante (1oo2) o una maggiore disponibilità (2oo2) con valvole di processo automatizzate. Il rivestimento Ematal rende la valvola conforme con i più elevati standard di sicurezza nell'ingegneria di processo e adatta alle condizioni ambientali più difficili.

Blocco valvole combinato (2oo3): il sistema 2oo3 combina entrambe le tecnologie offrendo così la massima sicurezza e disponibilità. Questo blocco valvole è una versione in linea da installare nella rete di tubazioni del vostro impianto. Le valvole standard integrate sono definite tramite l'interfaccia NAMUR a norma VDI/VDE 3845 e montate sul blocco. Ciò significa che il blocco viene installato una sola volta: solo le valvole vengono sostituite tramite l'interfaccia in conformità con il Service Life/Safety Lifecycle. Inoltre, con questo sistema è possibile bypassare le funzioni delle quattro valvole in modo da poter eseguire la manutenzione durante il funzionamento. Gli indicatori di pressione montati direttamente sul blocco indicano in modo affidabile e a colpo d'occhio se è presente pressione su una valvola.

A chi sono rivolte queste informazioni?

Ascoltate pure l'opinione dei vostri esperti di fiducia prima di decidervi per Festo. Per far conoscere le nostre soluzioni e i nostri esempi di applicazione ad altre persone, usate questo link.