PFH come parametro di riferimento per misurare l’integrità della sicurezza hardware del SCS

Il parametro utilizzato per definire le prestazioni di sicurezza del SIL (Safety Integrity Level) è la probabilità di guasto pericoloso/ora (PFHd). Più alto è il SIL, meno è probabile che SCS non esegua la funzione di sicurezza richiesta.

Il SIL deve essere definito per ciascuna funzione relativa alla sicurezza risultante dall’analisi dei rischi.

La tabella 3 della norma fornisce una corrispondenza tra SIL e PFH.

Limiti del SIL e valori di PFH
SIL Valori PFH
1 < 10-5
2 < 10-6
3 < 10-7

Tabella 3 – Limiti del SIL e valori PFH

Determinazione del PFH del SCS

Il PFH di un SCS è la somma dei singoli valori del PFH di tutti i sottosistemi che partecipano alla realizzazione del SCS e include la probabilità di errori di trasmissione pericolosi (PTE) per qualsiasi comunicazione di dati digitali.

PFH scs = PFH sottosistema 1 + … + PFH sottosistema n +PTE

I sottosistemi di cablaggio hardware fanno parte dell’integrità sistematica e possibili guasti pericolosi nel cablaggio possono essere rilevati dalla diagnostica in linea.

Determinazione del SIL del SCS

Dopo aver derivato il PFH dell’SCS, il SIL risultante è ricavato dalla Tabella 3. Ne deriva che il SIL massimo è limitato dalla somma dei valori PFH di tutti i sottosistemi.

Il SIL dell’SCS può essere solo uguale o inferiore al SIL più basso di uno qualsiasi dei sottosistemi partecipanti alla realizzazione dell’SCS. Tuttavia, i valori PFH dei singoli sottosistemi non sono soggetti a restrinzioni (ad esempio un sottosistema SIL 2 può avere un PFH inferiore a 10-7).

Esempio

PFHCS = 1,5×10-8 + 2×10-9 + 4×10-8 = 5,7 x 10-8

Limiti del SIL e valori di PFH
SIL Valori PFH
1 < 10-5
2 < 10-6
3 < 10-7

Ne deriva che il SIL di questo SCS, nonostante il valore PFH complessivo sia adatto per un SIL 3, è limitato a SIL 2, essendo SIL 2 il SIL inferiore dei tre sottosistemi.

Inoltre, l’integrità di sicurezza dell’SCS è limitata anche dalle capacità sistematiche (ad esempio influenze ambientali, EMC e principio di rilevamento).

Requisiti per l’integrità sistematica della sicurezza

Il valore di PFH è solo uno dei parametri che contribuiscono all’assegnazione del SIL.

Per richiedere un SIL è inoltre necessario dimostrare che tutti i requisiti relativi a:

  • Per evitare i guasti hardware sistematici
  • Il controllo dei guasti sistematici
  • L’utilizzo di componenti robusti e affidabili (conformi alle norme di prodotto, ove disponibili)
  • Le condizioni ambientali in cui dovrà operare il sistema di sicurezza.

Sono stati presi in considerazione e rispettati e, qualora fosse necessario scrivere del codice software, aver adottato tutti gli aspetti organizzativi e progettuali rilevanti per il SIL obiettivo.

Misure di sicurezza rispetto ai fenomeni elettromagnetici

L’SCS non deve essere influenzato da interferenze elettromagnetiche al punto da disturbare o rendere inefficace la funzione di sicurezza in un modo che potrebbe comportare un rischio inaccettabile.

È pertanto obbligatoria una prestazione adeguata rispetto ai disturbi elettromagnetici.

Se disponibili, devono essere utilizzati solo dispositivi o apparecchiature elettriche e/o elettroniche che soddisfano i requisiti della relativa norma di prodotto in materia di immunità ai fenomeni elettromagnetici. Esempi di tali standard di prodotto sono IEC 61326-3-1, IEC 61800-5-2, IEC 61496-1, IEC 60947-5-3 (stadio CD).

Se non esiste una norma di prodotto dedicata alle influenze elettromagnetiche sugli aspetti di sicurezza funzionale,
dovrebbe essere applicata la norma generica IEC 61000-6-7:2014. Deve essere effettuata un’analisi completa della sicurezza relativa agli effetti dei disturbi elettromagnetici sull’SCS per ricavare i limiti di immunità richiesti per il SIL necessario.

Per i sottosistemi pre-progettati secondo questo standard, i disturbi elettromagnetici prevedibili nell’ambiente reale dell’apparecchiatura dovrebbero essere considerate nell’SRS. I requisiti di immunità dovrebbero essere basati sulla norma generica IEC 61000-6-7:2014 se per il sottosistema non esiste una famiglia di prodotti dedicata o una norma di prodotto pertinente che affronti le influenze elettromagnetiche sulla sicurezza funzionale. Per i sottosistemi pre-progettati progettati secondo PL a o PL b di ISO 13849-1 seguire lo standard EMI applicabile è IEC 61000-6-2:2014.

Per l’integrazione di SCS nell’equipaggiamento elettrico della macchina devono essere applicate le misure EMI secondo l’allegato H della IEC 60204-1. In particolare:

  • Evitare grandi circuiti conduttivi, non installare diversi sistemi di cablaggio elettrico in percorsi comuni (ad es. cavi di alimentazione, comunicazione, controllo e segnale)
  • Utilizzare il filtro RF e la protezione da sovratensione e transitoria per i segnali di ingresso/uscita relativi alla sicurezza
  • Se applicabile, cavi schermati e con messa a terra per motori o filtro sinusoidale tra motore e inverter o misure equivalenti.