S.R.M.C.R.: Progetto e gestione

Похожие документы
La sicurezza funzionale vista da vicino: che cosa è il SIL. Micaela Caserza Magro Università di Genova

Fieldbus Foundation e la sicurezza

Direttiva Europea ATEX 99/92/CE

Corso di Progettazione di Impianti e della Sicurezza Industriale: Fault Tree Analysis (FTA) I/E e Safety Instrumented System (SIS)

Barone D. 1, Damiani A. 1 1 Tecnologie Sicurezza Industriale S.r.l., Via P. Lomazzo 51, Milano, 20154, Italia

Nuove norme per la sicurezza delle macchine

Sicurezza nella pneumatica ed elettropneumatica

Valutazione del rischio esplosione

Fieldbus Foundation e la sicurezza

Alimentatore ca/ca 380/220 V 700 VA

ROMA, 14 MAGGIO Ing. Gino Zampieri e Ing. Stefano Piccagli

CENNI A SISTEMI DI COMANDO PER LA SICUREZZA DELLE MACCHINE

SCHEMA. Mandato CEN M/120 Prodotti metallici per impieghi strutturali e loro accessori.

Tarature sicure e accurate in aree pericolose con i calibratori portatili a sicurezza intrinseca

Aspetti metodologici innovativi per la valutazione dei rischi nell'ambito della Nuova Direttiva Macchine

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Gestione dello sviluppo software Modelli Base

La tolleranza ai guasti. Concetti generali

Affidabilità e Manutenibilità

Uso sicuro delle macchine alimentari

La Sicurezza nei lavori in presenza di rischio elettrico

TÜV Italia S.r.l. divisione : Industrie Services

"Gestione delle scadenze delle verifiche periodiche GPL/CNG"

I requisiti di sicurezza degli impianti elettrici e le Norme tecniche CEI.

Guida all autorizzazione emissioni in atmosfera

MANUALE DI GESTIONE PER LA QUALITA

Innovazione per integrazione di sistemi

LA GESTIONE DELLA SICUREZZA ANTICENDIO. Prevenzione Incendi

Sicurezza Funzionale Industria di Processo

ISO Calcolo del PL Performance Level

Impiantistica elettrica di base

Codice Progetto proposto UNI Adozione ISO. Titolo

METODI PER LA QUANTIFICAZIONE DEL RISCHIO:

INDICE. Premessa... 13

Modulo 5.2 Direttiva PED

Università degli Studi di Cassino Facoltà di Ingegneria. Lezioni del Corso di Misure Meccaniche e Termiche. G.04 La Conferma Metrologica

14. Verifica e Validazione

Ing. Luigi Giudice. Comandante Provinciale dei Vigili del Fuoco 18/12/2014 1

Formazione del personale

TECNICO PER L?AUTOMAZIONE INDUSTRIALE

Come progettare un circuito di sicurezza secondo la EN 62061:2005

Generatore di calore a gasolio MAXY

Realizzazione. PED Pressure Equipment Directive Consolidato 2018

Gli effetti del D.Lgs. 105/2015 sulle attività degli stabilimenti a rischio di Incidente Rilevante Attuazione della direttiva 2012/18/UE SEVESO III

Giornata di studio "Dispositivi di sicurezza contro le sovrapressioni"

Ing. Eugenio Nicoletti PRESENTAZIONE DEL CORSO MODULO C

REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE

Direttiva PED e nuova filosofia del controllo: dal sistema autorizzativo al sistema certificativo.

Micaela Caserza Magro Università degli Studi di Genova

INTRODUZIONE. PFD - P&ID SISTEMI DI REGOLAZIONE Vedere anche Esempi da internet

ATEX ed Ambienti Confinanti DCS Safety System Sistemi di Sicurezza e Controllo in ambienti a rischio esplosione

Approccio prestazionale e analisi di rischio

ELENCO NOMRATIVE VIGENTI SULLA DIRETTIVA ATEX

Allegato A al Decreto n. 946 del 22/12/2014 pag. 1/7

Verona, ottobre 2013!

PROCEDURA OPERATIVA PER L ANALISI E LA GESTIONE DEL RISCHIO

CAPITOLO M PROGRAMMA DI QUALITÀ E CONTROLLO

La certificazione ATEX. Nota informativa

impianti di distribuzione dei gas e di evacuazione dei gas anestetici

4.10 PROVE, CONTROLLI E COLLAUDI

PRINCIPI PER LA VALUTAZIONE DEL RISCHIO UNI EN 1050 PRINCIPI PER LA DEL RISCHIO VALUTAZIONE. RISCHIO Vittore Carassiti - INFN FE 1

MANUALE DELLA QUALITÀ Pag. 1 di 9

Tecnologia delle protezioni Modalità di verifica strumentale

Le verifiche periodiche delle attrezzature di lavoro

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

PROTEZIONE CONTRO I FULMINI (CEI 81-10) RELATORE: Dr. Nicola CARRIERO Dr. Carmineraffaele ROSELLI

Corso di formazione ambientale Introduzione all utilizzo dei modelli previsionali per la valutazione dei livelli di campo elettromagnetico

DAL D.P.R. 547/55. AL NUOVO DLgs 81/08

Piano dei Test e Collaudo del software Titolo Documento

Rischi connessi all uso di Macchine e Attrezzature di lavoro

ATEX 94/9/CE -Tutti i rischi di esplosione Qualsiasi Qualsiasi componente componente con con potenziale potenziale sorgente sorgente di di innesco inn

I pilastri della TPM

Le novità introdotte dalla EN 81.20:2014 nelle certificazioni degli ascensori. Fabio Battellini

Il controllo nelle strutture sanitarie pubbliche e private Apparecchi e Impianti

CONVEGNO ISPESL. Roma 3 luglio Roberto Dell Oro

Impianti elettrico. Evidenza SI NO NA Riferimenti Note

REGIONE TOSCANA GIUNTA REGIONALE PIANO REGIONALE PER LA QUALITÀ DELL'ARIA AMBIENTE PRQA MIGLIORIAMO L'ARIA CHE RESPIRIAMO

Prevenzione incendi nelle strutture sanitarie. L evoluzione normativa dopo l emanazione del D.M 19/03/2015, il ruolo del RTSA

INSTALLATORE-MONTATORE DI SISTEMI ELETTRICO-ELETTRONICI

Disciplinare di Sicurezza 70c.01 MACCHINE PER LA MOVIMENTAZIONE DEI CARICHI. Caricatori frontali montati su trattrici agricole a ruote

XV Corso - Convegno sull attuazione dei principi di Buona Pratica di Laboratorio. Roma 21 dicembre 2010

Valvole fusibili A.T. per circuiti in c.c.

Транскрипт:

1. Sommario S.R.M.C.R.: Progetto e gestione V. Annoscia*, G. Picciolo **( 1 ), Angela Maria Altieri*** * OCT- Bari * *TÜV Rheinland Italia ***INAIL- Bari La PED demanda al fabbricante la protezione di attrezzature a pressione; nel caso di insiemi tale protezione deve essere garantita dallo stesso fabbricante, mentre può essere lasciata all utilizzatore (su indicazione del fabbricante nel manuale operativo) per coprire rischi residui, nel caso di attrezzature. È possibile che la protezione sia assicurata da Sistemi di sicurezza alternativi rispetto a quelli tradizionali, quali valvole di sicurezza o dischi a frattura prestabilita (vedi ad esempio la EN 764-7 Sistemi di sicurezza per attrezzature a pressione non esposte alla fiamma ). La Norma richiede che sia il progetto che la gestione dei suaccennati sistemi sia conforme ai requisiti obbligatori della Norma CEI EN 61508/ CEI 61511. La memoria identifica non solo gli aspetti tecnici rilevanti del progetto di questi sistemi (S.R.M.C.R.,), ma anche evidenzia i contenuti della documentazione - il Manuale di Sicurezza Funzionale (Functional Safety Manual) - che costituisce il riferimento obbligatorio del Gestore per le necessarie verifiche periodiche autorizzative da parte dell Ente preposto. 2. Introduzione La normativa italiana sugli apparecchi a pressione, che storicamente ha avuto inizio con il R.D. 12/5/1927 n. 824, è attualmente regolamentata dalla Direttiva 97/23/CE (PED), per quanto concerne la fase di fabbricazione, ma con ricaduta anche sull esercizio, visto l art. 19 del D. lgs 93/2000 e il D.M. applicativo 329/04, e dal D.lgs 81/08, con in particolare l art. 71, a seguito del quale è stato emanato il decreto 7 aprile 2012. La protezione di un attrezzatura a pressione/insieme può essere effettuata ricorrendo a combinazioni di accessori di sicurezza di tipo tradizionale, come valvole di sicurezza e/o dischi di rottura o, mediante combinazione di dispositivi di diversa natura, purché sia dimostrato che sono accettabili ed affidabili per lo scopo della limitazione della pressione. Quando non è possibile lo scarico delle sostanze interne per motivi tecnici e/o economici o per evitare danni alle persone e/o all ambiente, allora si installeranno dispositivi SRMCR. Quando nessuna applicazione di dispositivi di sicurezza è possibile allora non rimarrà altro che progettare l attrezzatura a pressione, o compartimenti di essa, per poter resistere alla massima pressione prevedibile. Gli SRMCR sono così definiti: Sistema di misurazione, controllo e regolazione correlati alla sicurezza (Safety Related Measurement, Control and Regulation System): Un sistema che per mezzo di un attrezzatura di controllo automatica, operante indipendentemente da altre funzioni di controllo del processo, impedisce che i parametri operativi eccedano i limiti ammissibili dell attrezzatura a pressione. 1 Past Presidente SC CEI 65A, MT IEC 61508/61511 1

Gli SRMCR devono essere progettati secondo i principi, con particolare riferimento all industria di processo, delle norme CEI EN 61508, CEI EN 61511 e guida CEI 65-186. I sistemi SRMCR consistono, nel caso più generale, in un insieme funzionale di dispositivi di diversa tipologia e natura (elettrica, elettronica, meccanica ed elettro-meccanica) uniti per formare una catena di sicurezza ( safety chain, fig.1), che comprende sensoristica, eventuale unità di elaborazione logica del segnale ( Logic solver ) e attuatore/i finale/i ( final element/s ). Questo insieme costituisce un sistema internazionalmente conosciuto come Safety Instrumented System o SIS (sistema di sicurezza strumentale) o anche come High Integrity Pressure Protection Systems (Sistemi di protezione dalla pressione ad alta integrità). SENSORE LOGIC SOLVER ATTUATORE + VALVOLA Fig. 1 Schema funzionale di base di un SIS Tipiche applicazioni possono essere: - l intervento su grandezze di processo la cui combinazione potrebbe portare ad aumenti di pressione inaccettabili, ad esempio a causa di reazioni di fuga ( runaway reactions ), di schiumeggiamento di fluidi, di errori di caricamento; - il blocco dell afflusso di fluido, o l isolamento di sorgenti di pressione esterne o di apparati di riscaldamento; - l attivazione di misure di correzione di errori di processo, ad esempio mediante l iniezione di inibitori, l attivazione di sistemi di raffreddamento, lo scarico della pressione in un serbatoio di blowdown e/o l isolamento del processo. I SIS obbediscono ad una logica di tipo prestazionale, cioè debbono garantire un livello di protezione prestabilito, sulla base dell analisi e valutazione del rischio, in questo caso tale livello è definito dal SIL (Safety Integrity Level); essi sono, in un certo senso, sistemi passivi, in quanto, in condizioni normali sono dormienti e sono chiamati ad agire solo quando si verifica una situazione di emergenza, per questo motivo è importante che siano rigorosamente rispettate le prescrizioni del fabbricante, per quanto riguarda sia le modalità di installazione, che le modalità di verifica funzionale. Può naturalmente verificarsi che, nell intervallo tra due test consecutivi si manifesti un guasto, che diventa evidente solo nel momento in cui il sistema è chiamato ad intervenire. Pertanto un parametro fondamentale nella progettazione di un SIS è la PFD (Probability of Failure on Demand). Nella norma vengono definiti quattro valori di SIL, cui corrispondono quattro intervalli di PFD e, in corrispondenza, quattro RRF = 1/PFD (Risk Reduction Factor). 2

SIL 4 SIL 3 SIL 2 SIL 1 10-5 10-4 10-3 10-2 10-1 PFD Fig. 2 SIL delle funzioni di sicurezza strumentali Safety Probability of Risk Reduction Integrity Failure Factor Level (SIL) on Demand (PFD) (RRF=1/PFD) SIL 4 10-5 <10-4 >10,000 100,000 SIL 3 10-4 <10-3 >1,000 10,000 SIL 2 10-3 <10-2 >100 1,000 SIL 1 10-2 <10-1 >10 100 Tab.1 SIL delle funzioni di sicurezza strumentali La determinazione del SIL che una funzione di sicurezza deve garantire può essere determinata sia con tecniche quantitative che qualitative o semi-qualitative, le norme definiscono le modalità di tale determinazione. Una volta noto il SIL che una funzione di sicurezza deve garantire, si deve fissare una possibile configurazione del sistema e se ne deve verificare la prestazione affidabilistica. Si tenga presente che un SIS può svolgere diverse funzioni di sicurezza nel momento in cui, ad esempio, il Logic Solver sia un elemento in comune tra diversi Field Instruments e Final Elements, come mostrato in Figura 3; per tale ragione si preferisce usare la terminologia PFD SIF, ove SIF sta per Safety Instrumented Function. Fig. 3 E evidente che il SIL di un elemento condiviso tra diverse funzioni di sicurezza deve essere il massimo tra i SIL richiesti per le singole funzioni. Un SIS può essere considerato come un sistema serie, costituito come schematizzato nella fig. 1, pertanto la PFD che deve essere attuata dalla singola Funzione di Sicurezza implementata dal SIS (Safety Instrumented Function) può essere espressa come: PFD SIF = PFD SENSORI + PFD LOGICA + PFD ATTUATORI 3

Nella determinazione del PFD di ogni singolo sub sistema del SIS si deve tener conto della reale configurazione dello stesso, ad esempio in termini di ridondanza o di componenti in serie. Per definizione è: PFD TI Pg ( t) dt 0 TI Poiché questa probabilità di guasto è mediata nell intervallo T i fra due test consecutivi, spesso si parla di PFD avg cioè di PFD media nell intervallo, per distinguerla da quella puntuale che è P g (t). Per guasto, in questa definizione, deve intendersi di guasto non autodiagnosticato (se è presente questa possibilità) e che, inoltre, inibirebbe l intera attuazione della funzione di sicurezza ( dangerous undetected). Usualmente il test consiste nella prova funzionale dell intera catena di sicurezza (TI uguale per tutti i sub-sistemi) e si assume che così facendo si è certi di poter intercettare ogni eventuale guasto pericoloso di una qualunque parte di essa. Il sistema deve quindi essere progettato per poter eseguire tali test, eventualmente on-line per non interrompere la produzione, attraverso sistemi di by-pass con le segnalazioni opportune di avvertimento all operatore dell esclusione della protezione. Per P g (t) variabile secondo una funzione esponenziale negativa (tasso di guasto λ costante), e troncando al termine di secondo grado il relativo sviluppo in serie di Mac Laurin, si ottiene l espressione approssimata (con un errore in eccesso entro l 1% per λti 0,03 ed entro il 5% per λti 0,148): 1 PFD TI 2 Da questa semplice espressione ci si può rendere conto di quale impatto abbia la frequenza dei test sul miglioramento della prestazione affidabilistica. Si sottolinea che per poter effettuare calcoli è necessario conoscere il tasso di guasto pertinente, del tipo cioè dangerous-undetected λ DU. In generale, il tasso di guasto complessivo di un componente di sicurezza deve essere scomposto (attraverso un analisi FMEA che raramente tuttavia è disponibile) in due parti: - un tasso di guasto λ SAFE dovuto a guasti del componente che darebbero luogo all intervento del sistema in assenza di reali condizioni di pericolo ( nuisance trip o safe-failure ), il che ovviamente è nocivo per la continuità della produzione; - un tasso di guasto λ DANGEROUS che inibirebbe la funzione di sicurezza ( dangerous o inhibiting failure ). Se è presente una forma di autodiagnostica, vengono introdotti due fattori che rappresentano la percentuale di auto-rilevazione dei guasti per entrambi i modi di guasto CF S e CF D ( Coverage Factor Safe e Dangerous ). 4

Riassumendo schematicamente: λ λ S λ D CF S CF D λ SD λ SU λ DD CFS : Coverage Factor - Safe CFD : Coverage Factor - Dangerous λsd : λ Safe Detected λsu : λ Safe Undetected λdd : λ Dangerous Detected λdu : λ Dangerous Undetected λ DU Fig. 4 Il calcolo della PFD per sub-sistemi costituiti da diversi componenti in serie o in parallelo si può effettuare con tecniche quali alberi dei guasti, catene di Markov ed equazioni semplificate da esse derivanti. È importante che, all atto della installazione e dell esercizio in impianto sia disponibile adeguata documentazione, che dimostri la capacità di assolvere le funzioni per le quali è stato progettato e che dia precise indicazioni sulle modalità e gli intervalli della verifica di efficienza. Una fase in cui certamente questa documentazione deve essere resa disponibile all Autorità di Controllo è quella della dichiarazione di messa in servizio da presentare all INAIL (ex ISPESL) e all ASL/ARPA competenti per territorio, come previsto dall art. 6 del D.M. 329/04. Tra la documentazione che deve essere disponibile riveste particolare importanza il Safety Manual con l indicazione delle modalità e della tempistica di manutenzione (verifiche periodiche dell utilizzatore), bypass, POS (Process Override Switches), MOS (Maintenance Override Switches) necessarie per il mantenimento della funzione di sicurezza del SRMCR. La verifica di funzionalità degli SRMCR deve essere condotta nelle condizioni di processo o equivalenti. 3. I sistemi integrati ad alta affidabilità contro la sovrappressione S.R.M.R.C.R. (HIPPS: High Integrity Pressure Protection Systems) Un sistema di protezione ad alta integrazione contro la sovrappressione (S.R.M..C.R.) è basato su una struttura di diversi componenti di sicurezza strumentati (SIS) il cui obiettivo è quello di impedire la sovrappressione di una apparecchiatura. L S.R.M.C.R elimina la fonte dell'alta pressione prima che la pressione di progettazione dell apparecchiatura. sia oltrepassata, evitando, in tal modo un evento pericoloso (es: esplosione), quale, conseguenza di rilasci di fluidi pericolosi infiammabili per la perdita di contenimento determinata dal collasso di una linea o di un recipiente. Di conseguenza, uno S.R.M.C.R è considerato come barriera fra una sezione ad alta pressione ed a bassa pressione di un'installazione. Nei sistemi tradizionali la sovrappressione è controllata da sistemi a scarico diretto della pressione quali valvole di sicurezza e/o dischi a frattura prestabilita (dischi di rottura); mentre un S.R.M.C.R può realizzare due funzioni di sicurezza: - la prima è quella di evitare che si raggiungano sovrappressioni superiori a quelle specificate dal progettista dell apparecchiatura/componente dell impianto; - la seconda è quella di costituire una soluzione di progetto alternativa ai dispositivi diretti di scarico (valvole di sicurezza e/o dischi di rottura). I sistemi convenzionali di controllo della sovrappressione (valvole di sicurezza e/o dischi di rottura) non sempre possono, tuttavia,essere utilizzati per determinati processi, sia per i fluidi trattati (sporcani) sia per le particolari dinamiche dell evoluzione della pressione 5

(reazioni fuggenti) o presentano svantaggi, quali il rilascio (da dischi di rottura) di prodotti di combustione o fluidi pericolosi a fronte di un efficiente sistema di blowdown/abbattimento/neutralizzazione. Tuttavia, a causa della loro semplicità ed affidabilità, i sistemi convenzionali di controllo della sovrappressione sono- e devono - essere utilizzati su una base di costi/benefici, fermo restando il rispetto dei vincoli di sicurezza che devono essere assicurati. Di converso, un S.R.M.C.R può intervenire con uno specifico livello di sicurezza (SIL) per impedire che si verifichino le condizioni di sovrappressione; il sistema, quindi si inserisce in uno schema di riduzione del rischio a cui si attribuisce una funzione di barriera che precede quella finale che può essere realizzata dai sistemi convenzionali. In ultima analisi il S.R.M.C.R può risultare esso stesso sufficiente ad assicurare il livello di sicurezza richiesto per l apparecchiatura. Ciò comporta che sia condotta una opportuna Analisi del Rischio ove siano individuati determinate soglie di sicurezza. Un esempio di utilizzo degli S.R.M.R.C.R è un sistema di blocco di Pompe per la protezione contro la sovrappressione di linee, evitando la installazione di valvole di sicurezza. La Norma armonizzata EN 764-7 prevede l utilizzo degli S.R.M.R.C.R progettato e sviluppato conformemente alle norme di EN/IEC 61508 e di IEC 61511. Ciò comporta che siano rispettate le clausole obbligatorie delle Norme citate per assicurarne la conformità e quindi i riferimenti certificativi. Nella fattispecie lo schema certificativo acquista equipollenza giuridica alla omologazione delle valvole di sicurezza e dischi a frattura prestabilita, tenuto conto dei vincoli previsti per le verifiche periodiche di legge. Le Norme EN/EN/IEC 61508 e 61511 delle norme internazionali si riferiscono alle funzioni di sicurezza ed ai sistemi di sicurezza strumentati (SIS) per proteggere il personale, l'ambiente ed i beni, portando, o mantenendo il processo in uno stato sicuro. La struttura base di un S.R.M.C.R è riportato in Figura 1. La base per la progettazione del sistema di sicurezza è realizzare un S.R.M.C.R che assicuri il necessario Safety Integrity Level (SIL) per la riduzione del potenziale rischio ai limiti accettabili.. Il livello di SIL della Funzione di sicurezza realizzata dall S.R.M.C.R viene definito mediante un processo di allocazione come previsto nello sviluppo del progetto del Sistema nello schema di life cycle (Figura 2). La fase di allocazione riveste una importanza fondamentale perchè individua il livello di SIL che deve essere assicurato dall S.R.M.C.R. Da osservare, a questo proposito, che il livello di SIL non è vincolato da un limite inferiore (esempio, SIL 2, SIL 3) a differenza di quanto ci si aspetta da una valvola di sicurezza o disco a frattura prestabilita che per stessa struttura costruttiva - si presume, assicurino uno specifico e determinato livello di protezione contro la sovrappressione, anche se non quantificabile in termini di SIL, eccezion fatta per le valvole controllate in accordo alla EN 4126-5. La Funzione di Sicurezza Strumentata (SIF) ed il livello del SIL cui è attribuito, si ottiene durante l'analisi dei rischi di un impianto o un processo e rappresenta la necessaria riduzione del rischio. Il SIS deve soddisfare i requisiti del SIL applicabile. Gli standard EN/IEC definiscono i requisiti per assicurare il livello di SIL dell S.R.M.C.R nel ciclo di vita che costituisce lo schema fondamentale del S.R.M.C.R: dal progetto alla dismissione, tenuto conto delle necessarie procedure gestionali fra cui la disponibilità del Manuale di sicurezza Funzionale. Esso costituisce il documento fondamentale di responsabilità dell Utente - di gestione ai fini delle verifiche periodiche da parte dell Ente preposto. 6

Fig. 5 life cycle di sicurezza (EN/IEC 61511) Fasi delle procedura di Certificazione dell S.R.M.C.R. La conformità alle Clausole normative previste nelle EN/IEC 61508/61511 richiede che siano rispettate le clausole relative a: - Gestione della sicurezza funzionale - I requisiti hardware/software - I requisiti di affidabilità (Safety Integrity Assessment) - Documentazione - Verifica - Validazione in Fabbrica (FAT) ed on site (SAT) Gestione della sicurezza funzionale Gli standard di sicurezza funzionali richiedono la gestione della sicurezza funzionale. L attività prevede che: - sia sviluppato un piano di sicurezza funzionale (Safety Plan) - sia sviluppato un piano di Verifica e Validazione delle attività condotte per ogni fase del life cycle ai fini di assicurare gli obiettivi della sicurezza funzionale Il Verificatore (indipendente) esaminerà i documenti di cui sopra per valutarne la correttezza, la completezza e l'attuazione nel corso del progetto. E compito del Verificatore, durante lo sviluppo delle fasi, condurre la revisione delle specifiche dei requisiti di sicurezza (SRS) dell SRMCR in modo da assicurare che il progetto finale ne garantisca la conformità. Questa fase è definita di pre-verifica. Pertanto, dovranno essere riesaminate - per completezza e correttezza- le Specifiche dei requisiti di sicurezza Funzionale: SRS (Safety Requirement Specification) di ogni funzione 7

di sicurezza implementata nel SRMCR. Ciascun componente o sottosistema hardware utilizzato nell SRMCR per ogni funzione di sicurezza sarà rivisto per il rispetto delle norme di EN/IEC 61508. I parametri tipici che dovranno essere presi in considerazione per la correttezza e il rispetto degli standard per ogni dispositivo hardware sono: - Frazione di guasti sicuri (SFF) - Tipo A / B - La tolleranza ai guasti Hardware - Il livello di integrità sistematica - I vincoli architetturali - altri Requisiti di affidabilità Dovrà essere eseguito uno studio affidabilità per ciascuna funzione di sicurezza implementata dal SRMCR, Il parametro di riferimento del ISIL è il PFD avg. (la probabilità media di guasto su domanda). Rilevante per le implicazioni di esercizio è la stima del guasto intempestivo, il guasto di tipo sicuro, che comporta l intervento non voluto dell S.R.M.C.R. Software / requisiti di Logic Dovrà essere condotta una analisi di correttezza del software (programma applicativo) secondo i requisiti dell SRS. Documentazione Dovrà essere prodotta la documentazione relativa ad ogni fase di sviluppo dell SRMCR. La documentazione deve comprendere il manuale di sicurezza Funzionale (Safety Manual) che prevede anche tutte le attività di manutenzione e riparazione, le modalità di conduzione e gli intervalli delle verifiche periodiche di funzionalità. Validazione La fase di validazione dell SRMCR, costituisce lo step finale di convalida sulla conformità ai requisiti previsti nelle SRS Certificato e relazione di certificazione La relazione di certificazione illustrerà il tipo di certificazione che è stata condotta e dovrà contenere tutti gli allegati tecnici sviluppati durante il life cycle. Il certificato riporterà,oltre al riferimento della relazione tecnica tutti i parametri SIL: livello SIL, PFD avg, gli intervalli dei test periodici completi o parziali, i tempi medi di manutenzione (MTTR) ed il periodo di validità. 4. Caso di studio Fase 1: analisi del rischio Il caso di studio riguarda il progetto di un sistema di sicurezza strumentato (SIS) che deve assicurare il blocco di pompe per evitare la sovrappressione, con pericolo di superamento della pressione di progetto delle linee a valle con intervento ad una determinata pressione di set. 8

Deve essere individuato il livello di SIL minimo ed il PFD avg della Funzione di sicurezza (SIF). Le pompe prelevano il liquido accumulato nel vessel e lo inviano ad utenze. In relazione alle specifiche di progetto della linea di mandata pompe, può verificarsi il caso di marcia con pressione superiore a quella di progetto: Alta pressione nel vessel con marcia della linea di mandata regolare. A seguito della fase di allocazione (Figura 5) sviluppata nell Analisi del Rischio (fase 1 del life cycle) è individuata la soglia di sicurezza in termini di frequenza/anno del top Event: op = 10E-4 occ/y. Le conseguenze del evento sono costituite dal rilascio di prodotti tossici nell area dell impianto per perdita di contenimento da accoppiamento flangiato con limitata dispersione di vapori nella zona circostante l impianto. Per proteggere il circuito dai rischi connessi a tali anomalie è inserita una funzione di sicurezza per la protezione da condizioni di alta pressione sulla linea di mandata delle pompe con azione di arresto delle pompe stesse, riducendo, in tal modo, la pressione ai livelli accettabili della specifica di linea. Le conseguenze nel caso di fallimento della funzione di sicurezza sono riconducibili al superamento della pressione di progetto sulla linea. Fig. 6 Schema semplificato di processo FASE 2: Allocazione delle Funzioni di sicurezza sicurezza Dalla analisi quantificata di allocazione del SIL (PFD avg ) della Funzione di sicurezza risulta che il valore minimo del PFD avg è pari a: 0,00172 (SIL 2).La scelta effettuata, tuttavia, prevede un livello delle funzioni di sicurezza pari a SIL 3. La funzione di sicurezza SIF è attuata con la fermata delle Pompe allorché la sovrappressione delle linee a valle della pompe raggiunge un valore di soglia pari a PS = 14 barg. 9

Caso SIF Sovrapressione su linea con possibile rilascio di XXXXXXX nell area dell impianto (hydro plant) per perdita di contenimento da accoppiamento flangiato. Limitata dispersione di vapori di acido XXXXXX Valore PFD avg soglia da prendere come riferimento: 0,00172 Tab. 2 SIL richiesto 3 SOVRAPRESSIONE MANDATA POMPE G6E/F TOP OR FLUSSO NO MANDATA POMPE G6E/F PRESSIONE PiU' IN SERBATOIO D11C-LATO A G10 AND G20 OR LINEA MANDATA POMPE CHIUSA LINEA MIN FLOW CHIUSA PER ERRORE OPERATIVO CONDIZIONI DI ALTO LIVELLO REGOLAZIONE PRESSIONE GUASTA SVUOTAMENTO IMPIANTO CONDIZIONI DI ALTO LIVELLO REGOLAZIONE PRESSIONE GUASTA G70 AND G80 OR ARRESTO DELLA POMPA IN MARCIA MANCATO INTERVENTO OPERATORE GUASTO PT16026A IN CHIUSURA GUASTO P1C6026A IN CHIUSURA E90 E130 E140 G90 OR LSH12748A.EM GUASTO SEGNALATORE DI ALLARME GUASTO OPERATORE NON INTERVIENE E100 E110 E120 Classificazione del SIL Frequenza calc. 5,80E-02 Eventi/anno Protezione 1 Frequenza totale 5,80E-02 Eventi/anno Target 1,00E-04 Eventi/anno PFD richiesto 1,72E-03 SIL2 Fig. 7 Albero dei Guasti ed allocazione della Funzione di scurezza 10

REQUISITI FUNZIONALI DELLA SIF) 10.3.1. Descrizione della SIF 10.3.2 Requisiti contro i CCF 10.3.3 Stato di sicurezza raggiunto 10.3.4 Stati singolarmente sicuri, ma, che concomitanti, possono creare una condizione potenzialmente pericolosa 10.3.5 Sorgenti di domanda di intervento dei sistemi di protezione 10.3.6 10.3.7 Tempi di risposta 10.3.8 SIL (PFDavg) 10.3.9 Misure di processo interessate e punti di intervento 10.3.10 Descrizione logica di intervento SIF TAG - XXXX Prevenire la sovrapressione delle linee a valle delle pompe per protezione da condizioni di alta pressione mediante l azione di arresto delle pompe stesse ad un valore di soglia inferiore a PS pari a 14 barg Design (Basic practice) percorso cavi di strumentazione. b = 10% per i trasmettitori e strumentazione in campo. Intervento soglia trip: 14 barg con Fermata Pompe NO Allegato xxxx Non sono identificati intervalli per le verifiche periodiche dei componenti dei sistemi di blocco con frequenza inferiore ad 1 y 10 secondi max da intervento soglia di trip 3, su domanda (PFDavg) Vedere allegato xxxxx 1 O O 2: TAG xxx, Vedere allegato xxxxx Tab. 3 Alcuni requisiti di sicurezza funzionale della SIF Nota 1 Il tempo di risposta totale è un requisito della sicurezza funzionale del SIS ed è valutato da pipe to pipe FASE 3: Specificazione dei requisiti di sicurezza funzionale: SIF VALUTAZIONE DEL SIL DELLE SIF - PFD avg La stima del PFD avg delle SIF è valutato utilizzando modelli matematici per il calcolo probabilistico di sistemi che realizzano determinate funzioni, ma anche rispettando determinati vincoli architetturali per i sottosistemi che costituiscono il SIS. I vincoli si riferiscono al valore minimo del PFD avg della Funzione di sicurezza che può essere assicurato sulla base del tipo di componente utilizzato (a) della frazione dei modi di guasto sicuri per la SIF (b) e della architettura (ridondanze: HFT) del SIS che realizza la SIF (c). Questi dati sono ricavati dai ratei di guasto dei componenti i SIS e sono utilizzati per verificare la caratterizzazione strutturale delle SIF e nelle ipotesi di assenza del guasto sistematico per il livello di SIL considerato. In funzione della tipologia e qualità dei ratei di guasto disponibili sono utilizzate le tabelle della HFT (Hardware Fault Tolerance) riportate nella [1]o [2], quando più opportuno. 11

I modelli utilizzati nei calcoli sono quelli di riferimento e riportati in [1]-6: Modelli markoviani omogenei, B2.1) e rappresentano l evoluzione delle probabilità di evento (PFD avg, nella fattispecie) del SIS in un determinato periodo di tempo (TI), tenuto conto della configurazione, della riparabilità (MTTR) e degli intervalli di tempo in cui si effettuano le verifiche periodiche. Nel caso di SIS realizzati anche con canali ridondanti, si tiene conto anche del guasto di modo comune (CFF,[1]-6, Tab. D4). In Figura 8 è riportato lo schema a blocchi di Affidabilità utilizzato per i calcoli del PFD avg della SIF VINCOLI ARCHITETTURALI SIS SIL 2 SIL 3 SIL 2 SIL 2 PIT INPUT BARRIER ABB 268H P+F HiC2025 OUTPUT MODULE ABB DO880HI RELE' PHOENIX CONTACT PSR-SCP- 24DC/ESP4 SIL 2 CONTATTORE LC1-D12 INPUT MODULE CONTROLLER ABB RELE' SIL 3 PIT ABB 268H INPUT BARRIER P+F HiC2025 ABB OUTPUT MODULE ABB DO880HI PHOENIX CONTACT PSR-SCP- 24DC/ESP4 CONTATTORE LC1-D12 AI880HI SIL 2 SIL 2 SIL 3 SIL 3 SIL 3 SIL 3 Fig. 8 Schema a Blocchi di Affidabilità (RBD) del SIS che realizza la Funzione di sicurezza (SIF) Sistema / Modulo du [1/h] dd [1/h] S [1/h] T [1/h] VOTING LOGIC (%) MTTR [h] PFD avg (T1=1 year) SIL SIF (Calc.) SIL SIF (Scel to) SIF Prevenire la sovrapressione delle linee a valle della pompa ad un valore inferiore a PS: PFDavg target: 1,72e-3 (SIL 2) 3 3 TRASMETTITORE DI PRESSIONE ABB 268HD (2600T) BARRIERA DI INGRESSO P + F HiC2025 MODULO DI INGRESSO ANALOGICO ABB AI880A & TU8xx CONTROLLER ABB PM865/SM811 MODULO DI USCITA DO NE ABB DO880 & TU8xx INTERFACCIA DI USCITA Phoenix Contact PSR-SCP- 24DC/ESP4/2X1/1X2 6,1E-8 5,49E-07 3,87E-07 9,97E-07 4,5E-08 1,72E-07 1,22E-07 3,39E-07 1 O O 2 10 4,71E-05 1,54E-10 4,41E-7 5,94E-7 1,04E-06 1 O O 1 4,20E-06 5,74E-9 8,83E-7 1,39E-6 1,27556E- 06 2,28E-06 1,55E-10 4,56E-7 9,21E-7 1,38E-06 5,00E-9 0,0 5,8e-6 Nota 1 5,8e-6 1 OO 2D N.A. 8 3,23E-05 1 O O 2 10 1,36E-04 CONTATTORE 3E-7 0,0 5E-7 8E-7 SIS 2,20E-04 2,20 E-04 2,20 E-04 Tab. 4 12

SIS SUB-SYSTEMS SIF SOTTOSISTEMA SENSORI: SUB-SYSTEM MAJORITY VOTING LOGIC SUB-SYSTEM ELEMENTS TYPE [1], part 2 HFT ELEM ENT HFT SUBSYSTEM CONSTRAINT S Prevenire la sovrapressione delle linee a valle della pompa ad un valore inferiore a PS [1] Nota 1 [2] Nota 2 ELEMENT SIL CHANNEL SIL 1OO2 3 SUB- SYSTEM SIL SYSTE M SIF SIL 3 Ref. Table TRASMETTITORE DI PRESSIONE INPUT BARRIER P + F 1OO1 ABB B 0 1 2 3 268H 1oo1 HiC2025 A 0 1 2 3 LOGIC SOLVER SUB-SYSTEM INPUT MODULE 1O O 1 ABB AI880A & TU8xx CONTROLLER 1O O 2D ABB PM865/SM 811 OUTPUT MODULE 1O O 1 ABB DO880 & TU8xx OUTPUT 1O O 1 Phoenix INTERFACE Contact PSR-SCP- 24DC/ESP 4/2X1/1X2 B 0 0 3 3 3 B 1 3 3 3 B 0 1 3 3 3 A 0 1 3 3 4 3 [1] - 2, 7.4.3.1.6 ACTUATION SUB-SYSTEM 1oo2 A 1 3 CONTATTORE 1oo1 A 0 1 2 2 Tab. 5 5. Il Manuale di sicurezza funzionale (Safety Manual) Il Manuale di sicurezza funzionale costituisce il riferimento fondamentale per la gestione dell SRMCR. Il Manuale, sia per i contenuti, sia per l utilizzo, è di responsabilità dell Utente finale; esso deve essere conforme ai requisiti (obbligatori) della Norma IEC /EN 61511; esso deve fornire le informazioni affinché tutti i componenti e sottosistemi che costituiscono l SRMCR siano utilizzati nelle modalità previste a progetto e ne siano mantenute nel tempo le prestazioni di sicurezza funzionale e siano, pertanto, condotte le attività di manutenzione preventiva e predittiva (nel caso). Il Manuale costituisce la base documentale per l Ente di Controllo per la verifica dell adeguatezza della efficienza del sistema di sicurezza strumentato (SRMCR) a fronte dei requisiti di sicurezza funzionale di progetto e per la dimostrazione del loro mantenimento nel tempo ( 11.5 della IEC61511). Esso, inoltre, è il riferimento aziendale per le attività che devono essere intraprese dalla specifiche Funzioni (Sicurezza, Esercizio, Manutenzione) nel caso che si evidenzino dei guasti nel normale esercizio dell Impianto od anche durante le verifiche periodiche previste a programma. Normalmente il Manuale dovrà contenere le seguenti informazioni: a) Una breve descrizione di ogni componente e/o sottosistema che lo costituisce ove siano individuate la topologia (schema funzionale semplificato) inclusivo degli aspetti dell hardware e del software e relative interfacce. b) Il Manuale comprenderà tutti i i Manuali (se disponibili: compliant items) dei componenti l SRMCR: dai sensori agli elementi finali; 13

NOTA: nel Manuale dovranno essere riportati ogni aumento o diminuzione del livello della tolleranza al guasto e la relativa giustificazione. c) Identificazione delle revisioni e dei vincoli relative all hardware, al software embedded (incorporato), al software applicativo; d) Una descrizione operativa ove siano riportati le condizioni degli stati di sicurezza dell unità di processo sotto controllo e le operazioni fail safe (start up, normale esercizio o degradato) e le condizioni di richiesta di intervento del sistema su domanda; e) La lista delle assunzioni in relazione all utilizzo in esercizio, alle attività di manutenzione, alle modalità di esecuzione delle verifiche periodiche (istruzioni operative) e relativo planning ed organizzazione gestionale. Le assunzioni possono includere le condizioni di utilizzo, il piano di manutenzione preventivo, predittivo ed i criteri di gestione in sicurezza nel caso di guasti individuati; f) La lista delle limitazioni e restrizioni relativi alle prestazioni funzionali dei componenti o sottosistemi (setting, condizioni ambientali e di processo); g) I modi di guasto e relativi ratei dei componenti o sottosistemi, includendo lari parameri di affidabilità quali l MTTF (tempo medio al guasto), MTTR (tempo medio di riparazione), eventuali coefficienti di guasto di modo comune; potranno essere allegati i Certificati SIL dei componenti l SRMCR (se disponibili) o la documentazione equivalente di supporto; h) Il comportamento dell Unità d Impianto ai guasti rivelati ed i relativi allarmi i) Le Istruzioni operative del Fabbricante e, se applicabili, le raccomandazioni per le prove periodiche j) Le misure da intraprendere per evitare e gestire i guasti sistematici compreso quelli software e, nel caso, quelli di tipo sistematico e quelli di modo comune; k) La procedura aziendale prevista nel caso di guasto di un componente l SRMCR, con sostituzione di un altro diverso da quello installato, e di cui si disponga di un documento di conformità per il livello di SIL utilizzabile. In questo caso, deve essere dimostrato che la sostituzione - per manutenzione - del componente guasto (non disponibile nei limiti di tempo: MTTR, previsti dal calcolo del parametro SIL) non comporti una variazione dei limiti della metrica SIL della Funzione di sicurezza in oggetto l) La disponibilità di documentazione di supporto relativamente ai ratei di guasto di componenti o sottosistemi l SRMCR non conformi a quanto richiesto nell Annesso D della IEC/EN 61508-2: report di Enti esterni specialisti nel settore di analisi FMEA, report del Costruttore, ecc, In ogni caso, la documentazione dovrà evidenziare la struttura organizzativa di gestione della Qualità del prodotto. Dovranno essere indicati parametri quali, ad esempio: la frazione dei guasti sicuri (SFF), il fattore di diagnostica dei guasti pericolosi (Coverage factor) 14

m) il livello di competenza (del personale?) relativa alle attività di manutenzione dell SRMCR. A titolo informativo si riporta un indice relativo ad un Safety Manual di un apparecchiatura meccanica, quale un valvola. TABLE OF CONTENTS SECTION 1 INTRODUCTION SECTION 2 VALVE SPECIFICATION SECTION 3 FAILURE RATES AND FAILURE MODES SECTION 4 CERTIFICATES APPENDIX A Conclusioni L utilizzo di un sistema di sicurezza S.RM.C.R. è un avanzamento importante sulla via della conduzione sicura di un impianto, specie di un impianto di processo, nel quale le variabili che possono condurre a situazioni potenzialmente pericolose sono molteplici e variamente correlate. Questo tipo di metodologia costituisce senza dubbio un approccio più scientifico rispetto all applicazione di dispositivi di sicurezza standard quali le valvole di sicurezza o i dischi di rottura. Tuttavia il loro utilizzo, essendo basato su analisi di tipo probabilistico e richiedendo architetture tecnicamente complesse, deve essere usato con grande attenzione e solo con l intervento di personale specialistico. Spesso questo tipo di sistemi di sicurezza viene utilizzato insieme a sistemi più tradizionali a scarico diretto della pressione avendo la funzione di prevenire l intervento di questi ultimi, i quali costituiscono l ultima barriera di sicurezza. È importante la fase di certificazione di un S.R.M.C.R. in quanto, se la funzione assegnata è di sicurezza, esso deve essere certificato in IV categoria di rischio PED, con l intervento di un O.N.; la funzione di sicurezza che deve essere valutata riguarderà l intera architettura del sistema, in modo che la PFD assegnata riguardi l intera catena e non solo il singolo componente (ad esempio un pressostato se non è inserito direttamente su un circuito elettrico di alimentazione di un apparecchiatura che deve essere mandata in blocco al raggiungimento di un valore di set point, non costituisce l S.R.M.C.R. ma solo un elemento della catena). Il manuale di sicurezza deve contenere le informazioni necessarie a mantenere l intero S.R.M.C.R. in condizioni di efficienza mediante la corretta manutenzione e verifica di tutti i componenti. 15

Bibliografia [1] EN/IEC 61508, Functional Safety of Electrical/Electronic/Programmable Electronic Safety related Systems - 2000 Edition [2] e IEC/EN 61511 Functional Safety of Electrical/Electronic/Programmable Electronic Safety related Systems for the process Sector - 2005 Edition [3] AA.VV : il recepimento della Pressure Equipment Directive (PED) nell impiantistica industriale: aspetti tecnici e normativi a cura di Prof. Ing. Giovanni Mummolo Politecnico di Bari e Prof. Ing. Carlo Noè LIUC Castellanza, in particolare: Ing. Vincenzo Annoscia ISPESL - Bari: cap. 5: Gli accessori e i sistemi di sicurezza. Ing. Francesco Boenzi Politecnico di Bari Ing. Salvatore Digiesi Politecnico di Bari: cap. 6: Requisiti di affidabilità dei sistemi SRMCR: definizione dei Safety Integrity Levels (SIL). Ed. ANIMP Associazione Nazionale di Impiantistica Industriale Sezione Automazione. Milano 2004. 16

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back