Verona, 29-30 ottobre 2013!
Sicurezza Funzionale per l industria l di processo 30 Ottobre 2013 Valutazione dei parametri SIL per Elementi Finali di Sistemi Strumentati di Sicurezza Carlo Tarantola CTAI S.r.l. 1
Applicazione Norme di Sicurezza Funzionale per Elementi Finali Elementi principali di Sottosistemi «Elemento Finale» di Sistemi Strumentati di Sicurezza: Attuatori Valvole di chiusura Problematiche applicazione IEC 61508/61511 Classificazione dei guasti (con riferimento alla funzione di sicurezza) Utilizzo della diagnostica Stima frequenze di guasto 2
Tipologie di guasti GUASTO SICURO Guasto di un elemento e/o sottosistema e/o sistema, che svolge un ruolo nell implementare la funzione di sicurezza, che genera un intervento spurio della funzione di sicurezza, che porta o mantiene il processo in stato sicuro GUASTO PERICOLOSO Guasto di un elemento e/o sottosistema e/o sistema, che svolge un ruolo nell implementare la funzione di sicurezza, che impedisce alla funzione di sicurezza di funzionare correttamente quando richiesto GUASTO NO EFFECT Guasto di un componente che svolge un ruolo nell implementare la funzione di sicurezza, ma non ha nessun effetto sulla funzione di sicurezza GUASTO NO PART Guasto di un componente che non svolge nessun ruolo nell implementare la 3 funzione di sicurezza
Safe Failure Fraction SFF = λs + λ λ + λ S DD D Dove i λ rappresentano i tassi (frequenze) di guasto casuale (di un Sistema / Sottosistema / Elemento): S: Safe (SU: Safe Undetected; SD: Safe Detected) D: Dangerous (DU: Dangerous Undetected; DD: Dangerous Detected) Guasti No Part e No Effect non devono essere considerati nel computo della SFF 4
Valvole a Sfera Valvole a quarto di giro: non sono possibili Guasti Sicuri in una valvola a quarto di giro: ciascun modo di guasto della valvola deve essere classificato Pericoloso o No Effect (guasti che possono generare il funzionamento spurio della funzione di sicurezza sono solo esterni alla valvola): perciò λ S =0 per ciascun tipo di valvola a quarto di giro (eccetto casi particolari, ed es. valvole a farfalla in applicazione FTO) 5
Attuatori Singolo Effetto Guasti No Part Attuatori a singolo effetto: non sono possibili Guasti Sicuri in un attuatore a singolo effetto: ciascun modo di guasto dell attuatore deve essere classificato come Pericoloso o No Effect (guasti che possono generare il funzionamento spurio della funzione di sicurezza sono solo esterni all attuatore, o sono legati a componenti che non hanno ruolo nell implementazione della funzione di sicurezza, e.g. componenti del cilindro, e quindi non possono essere utilizzati nel calcolo della SFF): perciò λs=0 per ciascun tipo di attuatore a singolo effetto mct SAVE Verona 2013 6
Attuatori Doppio Effetto Guasti No Part Attuatori a doppio effetto: non sono possibili Guasti Sicuri in un attuatore a doppio effetto: ciascun modo di guasto dell attuatore deve essere classificato come Pericoloso o No Effect (guasti che possono generare il funzionamento spurio della funzione di sicurezza sono solo esterni all attuatore, e anche nel caso di perdita di alimentazione l attuatore resta fermo ): perciò λ S =0 per ciascun tipo di attuatore a doppio effetto 7
Stima della SFF Secondo le definizioni della IEC 61508-4 abbiamo: SFF=0 senza test diagnostici esterni SFF>0 con test diagnostici esterni secondo la definizione 3.8.7 della IEC 61508-4, ad esempio: 70% (per valvole di chiusure) 90% (per attuatori) con sistema di PST (il valore esatto dipende dal sistema utilizzato, quello riportato è un valore tipico) 90% 99% con Full Stroke Test + Leak Test eseguito in conformità alla definizione della IEC 61508-4 par. 3.8.7 (il valore esatto dipende dalla procedura e dal sistema utilizzato) => il massimo valore di SIL raggiungibile a livello di sistema di sicurezza dipende dall architettura e dalla diagnostica utilizzata, non da eventuali guasti sicuri dell elemento finale 8
Sistema di Partial Stroke Test Sistemi di PST: Interpretazione di alcuni Enti di Certificazione: Partial Stroking cannot be considered a diagnostic measure. Partial Stroking can only be considered to improve the achieved SIL rating if the hardware or software used to perform the partial stroke is included in the FMEA and assessed for failure rates. Which makes sense because we cannot assume that the PST function is 100% Reliable and has no dangerous failures. 9
Sistema di Partial Stroke Test Sistemi di PST: Interpretazione corretta: Canale Diagnostica 1. I sistemi di Partial Stroking Test possono essere considerati come diagnostica, in quanto test on-line, automatici, con una propria DC 2. I guasti di un sistema di Partial Stroke non coinvolto nella funzione di sicurezza devono essere considerati No Part, e non Pericolosi, e non contribuiscono direttamente alla Failure Rate totale 3. Il contributo della failure rate di un sistema diagnostico è sulla DC, dato che la Copertura Diagnostica è data dall efficacia e dall affidabilità del test (ovvero, la DC di un test non sarà 100% anche in caso di test efficace al 100%, a causa della affidabilità del test) 10
Probabilità di guasto di componenti elementari: Database Siemens SN 29500 UTE C 80-810 RDF 2000 (Union Tecnique Eletricitè Reliability Data Handbook) (corrispondente a IEC/TR 62380) MIL-HDBK-217F Telcordia SR-332 Reliability Prediction Procedure for Electronic Equipment NPRD-2011 RiAC 2011 (Not electronic Parts Reliability Data) FMD 97 RiAC 1997 (Failure Mode Distribution) MechRel (Mechanical Reliability) Handbook (NSWC Handbook) Exida Electrical and Mechanical Component Reliability Handbook Oreda (Offshore Reliability Data) Handbook SINTEF Handbook SW gratuito: ALD MTBF Calculator 11
Utilizzo Software ALD: componenti meccanici (con NSWC) 12
Selezione Database: componenti meccanici Failure Rates 1. Primo livello di approssimazione: NPRD 11. Vantaggi: riferimento internazionale; Svantaggi: mirato ad un particolare settore (militare), include anche guasti sistematici 2. Secondo livello di approssimazione: EXIDA. Vantaggi: più mirato all industria di processo, tiene meglio conto dell esperienza di campo; svantaggi: non è riferimento internazionale, alcune valutazioni sono discutibili 3. Terzo livello di approssimazione: NSWC-98. Vantaggi: riferimento internazionale, analisi di dettaglio dei componenti; svantaggi: può essere laboriosa la valutazione dei failure rates Failure Modes e Failure Modes Distribution Utilizzare in alternativa FMD 97 (più dettagliato) e EXIDA, unitamente a valutazione tecnica 13
Selezione Database: componenti meccanici L utilizzo dei database NPRD-11 e OREDA non è raccomandato, per le seguenti motivazioni: Spesso utilizzano un tempo operativo molto ridotto per la valutazione statistica Normalmente mancano di informazioni relativamente alla causa dei guasti Non discriminano tra guasti casuali e sistematici (mentre per la stima delle frequenze di guasto occorre tenere in conto solo dei guasti casuali) I guasti non sono mai causati dall utilizzatore finale, il che è effettivamente molto ottimistico Per questi motivi, occorre essere molto attenti quando si utilizzano questi database per stimare la probabilità di guasto casuale di un elemento (meccanico), in quanto normalmente forniscono risultati non realistici 14
Integrazione Bayesiana tra dati Black Box e dati di campo 1. Metodo Black Box : dati di guasto componenti elementari da dati di letteratura: λ SS = λ BB = λ G π T π S π Q π E => Determinazione delle frequenze di guasto «Steady State» da dati «Black Box» 2. Integrazione di dati di campo con metodo Black Box λ SS f = 2 + B => Determinazione delle frequenze di guasto «Steady State» da dati «Black Box» integrati con dati di campo 15
Integrazione Bayesiana tra dati Black Box e dati di campo 2. Integrazione di dati di campo con metodo Black Box f λss = 2 + B λ BB =frequenza di guasto determinata con metodo Black Box f: numero di guasti rilevati sul campo B: fattore Bayesiano t: tempo di osservazione V: fattore di verosimiglianza (0 1) tra l elemento in oggetto e la sua controparte sul campo π Ec : fattore di verosimiglianza per l ambiente operativo => Determinazione delle frequenze di guasto «Steady State» da dati «Black Box» integrati con dati di campo 16
Conclusioni Stima dei parametri SIL per Elementi Finali di Sistemi Strumentati di Sicurezza Il massimo valore di SIL raggiungibile dipende dall architettura e dalla diagnostica utilizzata, non da eventuali guasti sicuri dell elemento finale Sono realizzabili test diagnostici come PST o Full Stroke Test I guasti di un sistema di diagnostica non coinvolto nella funzione di sicurezza devono essere considerati No Part, e non Pericolosi, e non contribuiscono direttamente alla Failure Rate totale Un modo efficace per ottenere valori realistici di failure rates è di utilizzare un approccio di integrazione Bayesiana tra dati di letteratura e dati di campo 17
Domande? 18