Affidabilità e disponibilità di un sistema E, E, EP secondo la norma IEC 61508

Sicurezza, funzionalità e facilità d'uso sono requisiti essenziali dei sistemi tecnici.

Nonostante le gallerie stradali, da più parti, vengano considerate sistemi tecnici complessi e all’avanguardia, non esiste per esse l’obbligo di progettazione e manutenzione delle prestazioni degli impianti con approccio RAMS, cioè con approccio finalizzato all’ottenimento metodologicamente esatto del livello di prestazione imposto o voluto.

Tuttavia, nonostante l’approccio RAMS non sia d’obbligo per la progettazione, esercizio e manutenzione degli impianti, sembra utile adottarne i metodi di calcolo per raggiungere lo scopo di una qualificazione oggettiva delle prestazioni degli impianti in galleria, e in particolare per quelli che, come evidenziato nel capitolo precedente, determinano le condizioni di attivazione e sviluppo delle procedure di emergenza e dell’autosoccorso in particolare.

Allo scopo di adottare un chiaro e consolidato standard, è quindi opportuno fare riferimento alla norma

Functional safety of electrical, electronic and programmable electronic (E/E/PE) safety-related systems

EN/IEC 61508, sviluppata dalla International Electrotechnical Commission, (traducibile in Sicurezza funzionale

dei sistemi elettrici, elettronici ed elettronici programmabili (E/E/EP) per applicazioni di sicurezza) e ai suoi

metodi di valutazione in particolare.

4.1.1 Struttura della IEC 61508

La norma è composta da sette sezioni: • IEC 61508-1 Requisiti generali

• IEC 61508-2 Requisiti dei sistemi E/E/PE • IEC 61508-3 Requisiti del software • IEC 61508-4 Definizioni ed abbreviazioni

• IEC 61508-5 Esempi di determinazioni dei livelli di integrità di sicurezza • IEC 61508-6 Guida all’applicazione delle 61508-2 e 61508-3

• IEC 61508-7 Panorama delle tecnologie e delle misure tecniche

La strategia generale di inquadramento e calcolo consiste nel definire i livelli di integrità della sicurezza da raggiungere, e quindi progettare, anche tramite valutazioni affidabilistiche complesse e fino all’uso di metodi di analisi dei rischi, le prestazioni attese, misurando e gestendo i guasti casuali e sistematici e gli errori umani.

4.1.2 Il Safety Integrity Level

Secondo la norma IEC 61508, per ogni funzione assegnata ai sistemi di sicurezza E/E/PE deve essere specificato un livello di conformità in termini di integrità della sicurezza. Tale livello è espresso attraverso il SIL, con valori compresi tra 1 e 4. Il SIL costituisce la classificazione dell’impianto o sottosistema sulla scala di fidatezza (affidabilità e disponibilità) rispetto ai guasti pericolosi cui è esposto il sistema di sicurezza. La norma IEC 61508 non definisce il SIL da raggiungere in funzione della specifica applicazione; questa operazione viene

155

svolta attraverso un'analisi di rischio del sistema tecnico in oggetto e una valutazione del rischio accettabile, come combinazione della probabilità e del danno conseguente al fallimento, in relazione alla specifica utilizzazione.

L’assegnazione del SIL ad una prestazione è un processo complesso che muove dalla attribuzione della probabilità media di fallimento di ciascun elemento o sottosistema, e procede, attraverso l’analisi della struttura fisica di interazione e connessione sistemica, fino all’attribuzione della probabilità di guasto rilevante dell’intero impianto. In tabella19 _{sono riassunti i vari livelli di SIL con le rispettive probabilità medie}

di fallimento, dove si definiscono:

PFDAVG (Probability of Failure on Demand): probabilità media che il sistema di sicurezza fallisca l’intervento

in caso di necessità. Si utilizza nel caso ci sia bassa richiesta di intervento.

PFHAVG (Probability of Failure per Hour): probabilità media che la funzione del sistema di sicurezza venga

meno durante la sua attività. Si utilizza nel caso ci sia alta richiesta di intervento.

Tabella 25 Safety Integrity Level e relativi PFD e PFH

Si noti che, a scopo cautelativo, ad una funzione non sarà assegnato un SIL esclusivamente in base al suo valore di PFD o PFH. Ad esempio, se per una funzione si calcolasse un PFD pari a 9.₁₀-3_{, rientrante quindi nel}

range di un SIL 2, a causa della vicinanza col valore limite 10-2_{, si potrebbe decidere si assegnare un valore di}

SIL 1 a tale funzione. Dal momento che un sistema complesso è formato da più funzioni singole, se una di queste possiede un valore limite, è probabile che l’intero livello di sicurezza del sistema non riesca a fornire una prestazione rientrante nel SIL della funzione con valore limite.

4.1.3 HFT (Hardware Fault Tolerance)

Nella determinazione del SIL concorre anche la Hardware Fault Tolerance (HFT) che può essere definita come il numero di guasti contemporanei N per cui un N+1-esimo guasto può causare una perdita della funzione di sicurezza.

Nella pratica quindi la HFT definisce il grado di ridondanza del sistema. Prendendo la più semplice combinazione di elementi in parallelo si può banalmente affermare che tale sistema ha HFT=1. In linea generale maggiore è HFT, maggiore è il livello di sicurezza raggiunto dal sistema. Sistemi che non posseggono ridondanze hanno un valore di HFT pari a zero.

4.1.4 SFF (Safe Failure Fraction)

Un altro parametro che concorre alla definizione del SIL è la Safe Failure Fraction (SFF) definibile come la percentuale di guasti sicuri, oppure pericolosi ma rilevati, in rapporto al numero totale dei guasti.

I guasti si possono dividere in quattro gruppi:

156

- λDU: guasti pericolosi non rilevati (dangerous undetected failures). Questi guasti causano un

malfunzionamento nel sistema e non vengono rilevati durante le attività di diagnosi;

- λDD: guasti pericolosi rilevati (dangerous detected failures). Questi guasti causano un

malfunzionamento nel sistema ma vengono rilevati dalle attività di diagnosi;

- λSU: guasti sicuri non rilevati (safe undetected failures). Questi guasti, sebbene non rilevati dalle

attività di diagnosi, risultano sicuri e quindi non pericolosi per il sistema;

- λSD: guasti sicuri e rilevati (safe detected failures). Questi guasti, oltre ad essere sicuri, sono rilevati

dalle attività di diagnosi.

La SFF può essere dunque calcolata come:

𝐸𝐸𝐹𝐹𝐹𝐹 =𝜆𝜆𝐷𝐷𝐷𝐷+ 𝜆𝜆_𝜆𝜆𝑆𝑆𝑆𝑆+ 𝜆𝜆𝑆𝑆𝐷𝐷 𝑇𝑇 con

λ

Dall’unione di HFT e SFF si può avere un’idea del SIL massimo raggiungibile da determinate funzioni dei componenti di un sistema. Si distinguono i sistemi in due classi, A e B, dove in classe A vengono raggruppati i sistemi molto semplici, in classe B invece i sistemi più complessi. In base a ciò si ottengono le seguenti tabelle20_:

Tabella 26: Safe Failure Fraction e relativo SIL in base alla Hardware Fault Tolerance (Classe A)

Tabella 27: Safe Failure Fraction e relativo SIL in base alla Hardware Fault Tolerance (Classe B)

Si nota che per i sistemi più complessi, proprio a causa della loro architettura, per raggiungere lo stesso SIL dei sistemi semplici è necessario disporre di valori più alti di SFF o si deve ricorrere a delle ridondanze. In entrambe le classi per valori molto alti di SFF si possono raggiungere i valori più alti del SIL ma il SIL 4 è raggiungibile solamente in presenza di almeno una ridondanza.

La presenza di due ridondanze, raggiungibile nel modo più semplice con tre elementi posti in parallelo, indipendentemente dal valore di SFF, garantisce un SIL 2 per sistemi complessi e un SIL 3 per sistemi semplici.

157

Nei capitoli successivi si tratterà più approfonditamente il metodo di calcolo di PFD e PFH e la relativa assegnazione del SIL.