Che cos’è il SIL per la Sicurezza Funzionale

Tempo di Lettura: 6 minuti - Livello di Difficoltà: medio

La sicurezza funzionale (Functional Safety) è il ramo dell’ingegneria che si occupa dei sistemi di sicurezza che utilizzano tecnologie elettriche, elettroniche ed elettroniche programmabili (E/E/PE). Come vedremo in questo articolo, la sicurezza funzionale dei sistemi di sicurezza (E/E/PE) è al centro del contenuto della norma IEC 61508. La norma SIL definisce quattro livelli di SIL, acronimo di Safety Integrity Level, ossia SIL 1, SIL 2, SIL 3 e SIL 4.

È possibile definire il SIL come una misura quantitativa della riduzione del rischio, il significato di SIL è quindi riconducibile alla misura che indica il grado di affidabilità che un sistema di sicurezza deve raggiungere per ridurre il rischio di incidente durante il suo utilizzo.
Comunemente, i sistemi di controllo possono essere soggetti a guasti di diversa natura e pericolosità – pensiamo ai guasti casuali o sistematici dell’hardware, oppure a guasti dovuti a disturbi all’alimentazione elettrica, ad esempio causati da un abbassamento di tensione -, e a guasti non prevedibili. Come vedremo in seguito, la conformità ai requisiti dettati dalla IEC 61508 permette di minimizzare gli effetti dannosi causati da un eventuale guasto di sistema. Questo significa che per essere a norma i sistemi di sicurezza devono essere conformi ai requisiti IEC 61508.

Il Safety Integrity Level (SIL) è la quantificazione dell’affidabilità (o grado di affidabilità) raggiunta da un qualunque oggetto che svolge una funzione legata alla sicurezza. Maggiore sarà la sua affidabilità maggiore sarà la sua capacità di assolvere funzioni critiche per la sicurezza o per la disponibilità di macchine o impianti.
I livelli SIL variano da 1 a 4 (SIL 1, SIL 2, SIL 3, SIL 4). Dobbiamo tenere sempre presente che il SIL non è attribuito ad un intero impianto, ma a ciascuna singola funzione di controllo automatico. Determinare il livello SIL è indispensabile quando alcune funzioni hanno un’attinenza con la sicurezza.

Facciamo un passo indietro alla definizione di SIF (Safety Instrumented Function): SIF è la funzione di sicurezza. Prendiamo come esempio il caso di un controllo di temperatura di una caldaia. Ogni singolo componente all’interno di questa funzione del sistema di controllo – dalla sonda di temperatura fino al sistema di arresto dei bruciatori della caldaia – ha un grado SIL. Allo stesso modo uno qualunque degli oggetti che compongono questa funzione, come ad esempio la sonda di temperatura, può essere adoperato per più funzioni di sicurezza, ciascuna con livello SIL diverso. Questo significa che all’interno di un impianto esistono molteplici funzioni di sicurezza, ciascuna associata a un determinato pericolo e ciascuna associata a un determinato livello SIL. L’insieme dei componenti di ogni sistema dovrà rispettare il livello SIL complessivo da raggiungere secondo gli standard stabiliti dalla IEC 61508.

Come vedremo nei prossimi paragrafi, combinando il livello di gravità del rischio in caso di mancato funzionamento e la probabilità di guasto minima accettabile, è possibile stabilire quale livello SIL debba essere raggiunto da una specifica funzione di sicurezza.

Hai trovato utili queste informazioni? Contattaci per richiedere una consulenza preliminare sul calcolo del livello SIL secondo IEC 61508 dei tuoi sistemi elettrici/elettronici, oppure continua a leggere per saperne di più!

Cosa dice la norma IEC 61508 per la Functional Safety

La IEC 61508 è il riferimento tecnico-legislativo internazionale base per la Functional Safety. Le sette parti che compongono la norma SIL sono quindi la linea guida che deve essere applicata alla funzione di sicurezza che un oggetto deve svolgere. La revisione delle norme IEC 61508 avviene mediamente ogni dieci anni. Per ogni settore esiste uno standard specifico a cui fare riferimento in ambito sicurezza funzionale, ad esempio la IEC 61511 applicabile all’industria di processo (come l’industria chimica o petrolchimica) e la IEC 62061 applicabile alle macchine (machinery); tutte queste norme estendono i requisiti della IEC 61508 a ciascun specifico settore di riferimento.

La normativa fornisce un insieme di requisiti cogenti e best practices volte a determinare l’affidabilità di un sistema di sicurezza. In questo senso, è possibile dire che l’affidabilità è la misura di riduzione del rischio. La IEC stabilisce infatti che qualsiasi sistema di controllo relativo alla sicurezza deve funzionare correttamente o fallire in modo prevedibile e sicuro.

 

Per questo, i requisiti che un sistema di sicurezza deve soddisfare per essere conforme alla norma SIL sono almeno tre:

  • Systematic Capability, ossia il grado di affidabilità in termini di design prodotto, sia hardware che software (ove applicabile)
  • Architecture Constraints, ossia vincoli all’architettura dell’oggetto che ne influenzano il livello di sicurezza
  • PFDavg o PFH, ossia la probabilità di guasti casuali pericolosi, siano essi su domanda o su base oraria.

Il sistema di sicurezza soddisfa ciascun requisito con un livello SIL diverso (con SIL da 1 a 4). Il grado SIL totale corrisponderà al più basso fra questi livelli. Vedremo nel prossimo paragrafo come calcolare il SIL per ciascun requisito.

IEC 61508

Per minimizzare la probabilità di guasto, la norma richiede di limitare per quanto possibile la complessità, il che significa che un sistema caratterizzato da una architettura composta da pochi componenti risulterà più affidabile di una realizzata con un gran numero di dispositivi. Inoltre, un componente di un sistema può guastarsi sia che esso sia assiduamente utilizzato durante il ciclo produttivo sia che esso risulti “dormiente”, ossia in attesa di essere chiamato a funzionare in caso di pericolo imminente. Ovviamente queste due modalità di guasto sono molto diverse tra loro, e la norma declina requisiti diversi per ciascun caso.

Un ulteriore requisito normativo riguarda il personale impegnato nelle varie fasi del ciclo di vita della sicurezza (Safety Life Cycle), ossia l’insieme delle fasi di vita di un prodotto, a partire dalla progettazione fino alla sua dismissione. La IEC detta le linee guida da seguire per assicurarsi che il personale sia opportunamente competente. Questi gioca infatti un ruolo fondamentale: deve avere (o acquisire) capacità tecniche-ingegneristiche tali da garantire che le funzioni di sicurezza restino affidabili durante l’intero ciclo di vita del prodotto.

 

Come calcolare il SIL: la tabella SIL 1, 2, 3 e 4

Come abbiamo accennato, il livello SIL di un sistema deve essere calcolato per ciascuno dei tre requisiti che la norma detta:

  • Systematic Capability
  • Architecture Constraints
  • PFDavg o PFH

Il primo requisito è soddisfatto quando le apparecchiature sono progettate utilizzando procedure volte a prevenire errori sistematici di progettazione, realizzazione e collaudo della parte hardware, ma soprattutto del software, oggi sempre più spesso presente nei dispositivi atti a svolgere funzioni di sicurezza. La massima capacità sistematica raggiungibile viene valutata attraverso audit e controlli dell’intero flusso realizzativo del prodotto, dalla progettazione, all’approvvigionamento delle parti, assemblaggio e collaudo fino al momento in cui l’oggetto è pronto per essere consegnato al suo utilizzatore.

Per determinare il massimo livello SIL ottenibile per il requisito di Architecture Constraints è necessario quantificare la Frazione Guasto Sicuro (SFF – Safety Failure Fraction):

 

SFF = (Safe + Dangerous Detected Failures) / Total Failures

 

Il calcolo della frazione di guasto sicuro è realizzato utilizzando la scomposizione dei tassi di guasto in sicuri e pericolosi, che la norma stabilisce di determinare per un qualunque oggetto atto a svolgere funzioni di sicurezza. Questa scomposizione può essere ottenuta effettuando un’analisi FMEDA (Failures Modes, Effects and Diagnostic Analysis).

Per quanto riguarda il calcolo SIL per il terzo requisito – probabilità di guasto casuale (random) -, riportiamo le tabelle presentate nella prima parte della norma (IEC 61508-1). La prima tabella SIL, relativa al PFDavg, rappresenta la probabilità di guasto su domanda, mentre la seconda, relativa al PFH, si riferisce alla frequenza di guasto pericoloso all’ora. L’applicazione di una o dell’altra tabella dipende dal tasso di domanda di ciascuna funzione di sicurezza:

Safety Integrity Level (SIL) Average probability of a dangerous failure on demand of the safety function (PFDavg)
4 ≥ 10-5 to < 10-4
3 ≥ 10-4 to < 10-3
2 ≥ 10-3 to < 10-2
1 ≥ 10-2 to < 10-1

 

Safety Integrity Level (SIL) Average frequence of a dangerous failure of the safety function [h-1] (PFH)
4 ≥ 10-9 to < 10-8
3 ≥ 10-8 to < 10-7
2 ≥ 10-7 to < 10-6
1 ≥ 10-6 to < 10-5

 

Una volta calcolato il livello SIL di una funzione di sicurezza per ciascun requisito IEC sarà possibile determinarne il grado di affidabilità complessivo.

La IEC 61508 è uno standard prevalentemente rivolto ai fornitori di componenti e sistemi industriali che deve essere letto come un insieme di requisiti base, indipendenti dalla specifica applicazione, e di best practices volte a guidare l’utente al rispetto di tali requisiti. Il livello SIL è però sempre più spesso un requisito contrattuale in molti bandi di gara per componenti o sistemi meccanici, elettrici ed elettronici. Anche se di fatto la norma non prevede una certificazione, sono proprio gli utilizzatori dei sistemi a ricercare sempre più spesso fornitori conformi allo standard IEC capaci di dimostrare la conformità grazie ai certificati SIL emessi dagli organismi indipendenti. Il possesso della certificazione SIL è un potente fattore di differenziazione sul mercato. Vedremo più in dettaglio nel prossimo articolo quali sono i principali vantaggi e perché certificarsi SIL.

 

Hai trovato utili queste informazioni? Per richiedere una consulenza preliminare sul calcolo del livello SIL secondo IEC 61508

 

Contattaci

oppure

Torna all'elenco degli articoli
back top

Send this to a friend