Corso SIL Valvoliere IMQ - Calcolo PFD-PFH

Sicurezza Funzionale per
l’Automazione Industriale
Calcolo della probabilità di guasto

complessiva: PFDAVG/PFHd;
Stima del PL
Sicurezza Funzionale 1
Elenco contenuti
¾ Principi per la progettazione e l’architettura HW

¾ Probabilità di guasto complessiva: Diagrammi a blocchi
di affidabilità
¾ Probabilità di guasto complessiva: Modelli di Markov
¾ Metodi per la valutazione del PL
Terminologia
ARCHITETTURA
Configurazione specifica di elementi Hardware e Software in un
sistema
• Struttura di un sottosistema HW
• Struttura di un programma SW
CANALE
Gruppo di elementi che esegue la sua funzione (di sicurezza)
p
indipendentemente da altri canali
1oo2, 1oo2D, MooN[D]

Il sistema consiste di N canali, di cui M canali sono usati per la
funzione (“oo” sta per “out of”). D significa che esiste un’unità
diagnostica aggiuntiva.
Terminologia
RIDONDANZA
In aggiunta ai mezzi che sarebbero sufficienti, la ridondanza è
rappresentata da quei mezzi aggiuntivi usati da un’unità funzionale
per eseguire una funzione richiesta.
ESEMPI: componenti funzionali duplicati, aggiunta di bits di parità
NOTA: la ridondanza è usata principalmente per aumentare
l’affidabilità o la disponibilità
DIVERSITÀ
Mezzi differenti per eseguire una data funzione richiesta.
La diversità può essere raggiunta, per esempio, con diversi metodi
fisici oppure con diversi tipi di pianificazione della progettazione.
Struttura ad un solo canale 1oo1
Circuito di Circuito di
Sensore CPU
Input Output
Unità Centrale di Controllo
Attuatore
Struttura ad un solo canale 1oo1
¾ Rappresenta
pp una configurazione
g minima
¾ Un singolo canale per eseguire la funzione di
sicurezza
¾ Nessuna tolleranza ai guasti: un guasto porta
alla perdita della funzione di sicurezza
¾ Nessuna misura di sicurezza addizionale contro
i guasti
Struttura a doppio canale 1oo2
CPU
Input Output
Unità Controllo Centrale
Sensore
CPU
Input Output
Attuatore
¾ Le uscite vengono collegate in serie, al fine di

minimizzare gli effetti di un guasto pericoloso
¾ Ciascuno dei due canali svolge la funzione di sicurezza
¾ Un singolo guasto non posta a perdita della funzione di
sicurezza
¾ La probabilità di guasto (PFD) è bassa,
bassa ma devono
essere considerati anche i guasti per causa comune
¾ La disponibilità diventa minore
¾ Nessuna diagnostica
CPU
Input Output
Sensore
CPU
Input Output
Attuatore
¾ Le uscite vengono
g collegate
g in p
parallelo, p
per
massimizzare la disponibilità dell’impianto; questo va a
discapito della sicurezza
¾ La funzione di sicurezza viene svolta se entrambi i
canali segnalano condizione pericolosa
¾ Un singolo guasto porta a perdita della funzione di
s cu e a
sicurezza
¾ Deve essere presa in considerazione anche la modalità
di guasto per “causa comune”
¾ Nessuna diagnostica
Struttura a triplo canale 2oo3
A Output
Input Circuito 1
CPU
circuito Unità Controllo Centrale Output
Circuito 2
A A B
B Output
Input Circuito 1 B C C
Sensore CPU
Circuito 2
Voter Control
C Output
Input Circuito 1
CPU
Circuito 2
Attuatore
Struttura a triplo canale 2oo3
¾ Perché ci sia un g
guasto p
pericoloso almeno due
canali si devono guastare in maniera pericolosa
¾ Deve essere presa in considerazione anche la
modalità di guasto per “causa comune”
¾ Aumentano la sicurezza e la disponibilità
Struttura ad un solo canale 1oo1D
Controllo diagnostico
CPU
Sensore Input Output
Unità Centrale Controllo
Attuatore
Struttura ad un solo canale 1oo1D
¾ Sistema ad un solo canale con unità diagnostica

g
aggiuntiva
¾ L’unità diagnostica può provocare una chiusura
nel caso di individuazione di un guasto
¾ La sicurezza aumenta grazie all’unità
diagnostica
¾ La disponibilità diminuisce a causa dell’unità
diagnostica
Struttura a doppio canale 1oo2D
CPU
Input Output
Sensore
CPU
Input Output
Attuatore
¾ Da pparte della linea aggiuntiva

gg viene eseguito
g
un confronto tra canali
¾ L’architettura 1oo2D mostra lo stesso
comportamento di chiusura dell’architettura
1oo2
¾ La sicurezza aumenta grazie all’unità
diagnostica
¾ La disponibilità diminuisce a causa dell’unità
diagnostica
CPU
Input Output
Sensore
Circuito di
CPU Circuito di
Input
Unità Centrale Controllo Output
Attuatore
Un’architettura 2oo2D mostra la struttura basata

su due sistemi 1oo1D
Le uscite della struttura 1oo1D vengono
collegate in parallelo, per aumentare la
disponibilità
È necessaria una diagnosi di alto livello, perché
un guasto pericoloso non rilevato può causare un
non funzionamento del sistema di sicurezza
Riassunto diversi tipi di architettura
Da minore a maggiore
gg sicurezza ((del Sistema di
Sicurezza):
Da minore a maggiore disponibilità (dell’impianto /

macchinario):
Parametri per il calcolo del PFD/PFH
Parametri da tenere in considerazione

a) Architettura del SIS
b) Tassi di guasto pericolosi, rilevabili con prove diagnostiche
c) Tassi di guasto pericolosi, non rilevabili con prove
diagnostiche
d) Suscettibilità del sistema a guasti di causa comune
e) DC per ciascun Test Diagnostico, e il relativo intervallo di
prova diagnostico
f) Intervallo di prova “Proof Test”, eseguito per rilevare i guasti
pericolosi non rilevati dal test diagnostico
g) Tempo di riparazione per i guasti rilevati
Probabilità di guasto complessiva
SENSORE LOGIC SOLVER ELEMENTO FINALE
PFDtot=PFDsens+PFDlog.solv.+PFDE.F.
PFHtot=PFHsens+PFHlog.solv.+PFHE.F.
Probabilità di guasto complessiva
Calcolo della p
probabilità di guasto
g (PFD
( AVG)
di un (sotto)sistema
a) Diagrammi a blocchi di affidabilità
b) Modelli di Markov
Probabilità di guasto complessiva:
assunzioni
¾ La probabilità media di guasto su richiesta per il sottosistema risulta

essere inferiore a 10-11, oppure la probabilità oraria di guasto per il
sottosistema risulta essere inferiore a 10-5;
¾ I valori di guasto dei componenti rimangono costanti durante l’intera
vita del sistema;
¾ Il sottosistema sensore (input) comprende la parte sensore vera e
propria e qualsiasi altro componente e cablaggio, esclusi i
componenti i cui segnali vengono combinati con processi di voto o
altri;
¾ Il sottosistema “logic solver” comprende i componenti i cui segnali
sono combinati
bi ti per primi
i i e ttutti
tti glili altri
lt i componentiti fifino ad
d iincludere
l d
quelli i cui segnali finali sono presentati al sottosistema elemento
finale;
¾ Il sottosistema elemento finale (output) comprende tutti gli elementi
e cablaggi che elaborano i segnali finali, dal sottosistema logico
inclusi i componenti finali messi in moto;

assunzioni
¾ Le frequenze di guasto dell’hardware, usati come input per i calcoli

e le tabelle
tabelle, sono per un singolo canale del sottosistema (per
esempio, se sono usati sensori 2oo3, la frequenza di guasto è per
un singolo sensore e l’effetto del 2oo3 è calcolato separatamente);
¾ I canali di un gruppo hanno tutti la stessa frequenza di guasto e
copertura diagnostica;
¾ Per ciascuna funzione di sicurezza c’è un “proof test” perfetto (con
relativa manutenzione e riparazione (cioè tutti i guasti che non
vengono rilevati dal sistema diagnostico, lo saranno dal proof test);
¾ L’intervallo di proof test è almeno di un ordine di grandezza
maggiore
i rispetto
i tt all’intervallo
ll’i t ll di ttestt di
diagnostico
ti ((opzionale);
i l )
¾ Per ciascun sottosistema è definibile un singolo intervallo di proof
test ed un tempo medio per il ripristino;
assunzioni
¾ Sono a disposizione squadre multiple di manutenzione e

riparazione per lavorare su tutti i guasti conosciuti;
¾ L’intervallo previsto tra le richieste è almeno di un ordine di
grandezza maggiore rispetto al tempo minimo per il ripristino;
¾ Per tutti i sottosistemi operanti in modalità operativa di bassa
domanda, e per i gruppi 1oo2, 1oo2D e 2oo3 operanti in modalità
operativa continua o di domanda elevata, la frazione di guasti
specificati dalla copertura diagnostica è sia rilevata che riparata
entro il tempo minimo di ripristino usato per determinare i requisiti
dell’integrità di sicurezza dell’hardware;
Esempio:
E i se sii presuppone un ttempo minimo i i per il ripristino
i i ti di 8 ore, questo
t
includerà l’intervallo di test diagnostico che è tipicamente inferiore ad un’ora, ed il
tempo rimanente sarà il reale tempo di riparazione

assunzioni
¾ Per i gruppi 1oo1 e 2oo2 che operano in modalità operative

continue il sistema di sicurezza E/E/PE raggiunge sempre uno
continue,
stato sicuro dopo il rilevamento di guasti pericolosi; per raggiungere
questo risultato, l’intervallo previsto tra le richieste deve essere
almeno di un ordine di grandezza maggiore dell’intervallo di test
diagnostico, oppure la somma di intervallo di test diagnostico e
tempo per raggiungere uno stato sicuro deve essere minore del
tempo per l’elaborazione della sicurezza;
¾ Quando un guasto di alimentazione rimuove energia da un sistema
connesso alla sicurezza E/E/PE “de-energize-to-trip” ed inizializza
un passaggio ad uno stato sicuro
sicuro, l’alimentazione
l alimentazione non influisce sulla
probabilità media di guasto su richiesta del sistema connesso alla
sicurezza;
¾ Quando viene utilizzato il termine “canale”, esso è limitato
solamente alla parte del sistema che si sta analizzando.
Diagramma a blocchi di affidabilità:
procedura di calcolo
Determinazione di PFDAVG/PFH p per ciascun

sottosistema:
a. Disegnare il diagramma a blocchi fisico con i
componenti del sottosistema sensore (sensori,
trasduttori, circuiti di condizionamento dell’ingresso),
del sottosistema logic sensor, (processori,
dispositivi
p p
per la scansione o oppure
pp i componenti
p
del sottosistema elemento finale (circuiti di
condizionamento dell’uscita, attuatori, valvole).
Rappresentare ciascun sottosistema come uno o
più gruppi 1oo1, 1oo2, 2oo2, 1oo2D oppure 2oo3.

b. Per ciascun gruppo nel sottosistema definire:

• Architettura (per esempio, 2oo3)
• Copertura diagnostica per ciascun canale (per esempio, 60%)
• Frequenza di guasto (oraria), λ(du e dd), di ciascun canale
• Guasti per causa comune (fattori ß e ßD) per l’interazione tra
canali nel gruppo (per esempio, rispettivamente 2% ed 1%)
• Periodi di Proof Test e di Verifica Diagnostica
c. Disegnare
g il diagramma
g a blocchi di affidabilità,,
calcolando:
• Frequenza di guasto oraria (λ)
• Mean down time
Per ogni blocco e per ogni canale
d. Calcolare, per ciascun gruppo del sottosistema, la

PFDAVG dalla
d ll seguente t fformula
l ((valida
lid per un canale):
l )
PFDAVG=1-e-λDtCE, e effettuare le opportune operazioni
di prodotto e somma per la combinazione di gruppi in
parallelo e in serie; effettuare (se del caso) le
opportune semplificazioni;
e. Calcolare PFDAVG del sistema dalla seguente formula:
PFDAVG(TOT) = Σi PFDAVG(i)
PFH(TOT) = Σi PFH(i)
dove PFDAVG(i) /PFH(i) sono i valori di ciascun

sottosistema

1oo1(D)
Canale
Diagnostica
Diagramma a blocchi fisico 1oo1(D)

NOTA: Si assume che eventuali test diagnostici
possano solo registrare guasti, ma non variare lo
stato delle uscite o il sistema di voting.
1oo1(D)
λD λDD
λDU
Tc2=TID/2+MTTR
Tc1=TI/2+MTTR
tCE
Diagramma a blocchi di affidabilità 1oo1(D)
λDU ⎛ TI ⎞ λ ⎛ TI ⎞
tCE = ⋅ ⎜ + MTTR ⎟ + DD ⋅ ⎜ D + MTTR ⎟
λD ⎝ 2 ⎠ λD ⎝ 2 ⎠
PFDAVG=1-e-λDtCE≅λDtCE (dato che λDtCE <<1) (tCE: Channel Equivalent mean down time)
PFDAVG≅ λDU·(TI/2+MTTR) + λDD·(TID/2+MTTR)
PFH = λDU
NOTA: λDU guasti rilevati solo dal “perfect proof test”

Probabilità di guasto su richiesta

PFD(t)
PFD(t) = 1 – e -λD·t
l/λD t
PFD(t)
per λDt <<1 si ha: PFD(t) = λD·t
λD·TI
TI t
Andamento PFD – Solo Proof Test
Esempio: Sistema a singolo canale senza diagnostica
PFD(t)
()
λD·TI
PFD(t) = λD·t
TI t
Se si raggiunge il massimo livello permesso, deve essere eseguito un “Proof

Test” del sistema.
Dopo una prova completa (“Proof Test”) il sistema può essere considerato
come “nuovo”.
Quindi si presume che PFD(TI) sia zero!
Andamento PFD – Solo Proof Test

Esecuzione del Proof Test
PFD(t)
PFDAVG
TI t
T Intervallo di Test
1
T ∫0
PFD AVG = ⋅ PFD(t )dt
PFD(TI ) TI
T PFH = = λD ⋅ = λD
1 T TI TI
PFD AVG = ⋅ ∫ λ D ⋅ tdt = λ D ⋅
T 0 2
Andamento PFD – Proof Test e Test
Periodico a intervalli (Partial Stroke Test)
ANDAMENTO PFD

1oo1(D) (non perfect Proof-
Proof-Test)
λD
λDDPT λDDDT λDU
Tc2=TID/2+MTTR Tc3=TIEv/2+MTTR
Tc1=TI/2+MTTR
tCE
Diagramma a blocchi di affidabilità 1oo1(D): caso di “non perfect proof test”
λDDDT: guasti rilevati dal Diagnostic Test

λDDPT: guasti rilevati dal Proof Test
λDU: guasti “totally undetected”, ovvero non rilevati nemmeno dal proof test (rilevati solo
all’occorrenza
all occorrenza dell
dell’evento
evento pericoloso)
λDDPT ⎛ TI PT ⎞ λ ⎛ TI ⎞ λ ⎛ TI ⎞
tCE = ⋅⎜ + MTTR ⎟ + DDDT ⋅ ⎜ D + MTTR ⎟ + DU ⋅ ⎜ Ev + MTTR ⎟
λD ⎝ 2 ⎠ λD ⎝ 2 ⎠ λD ⎝ 2 ⎠
PFDAVG≅ λDDPT·(TIPT/2+MTTR) + λDDDT·(TID/2+MTTR)+ λDU·(TIEv/2+MTTR)
Esempio: TIDT = 1 mese, TIPT = 1 anno; TIEv = 10 anni
formule di calcolo: 1oo2,
1oo2, 2oo3
2oo3,, …
¾ Per sistemi p
più complessi
p le formule si complicano
p di
conseguenza: in particolare occorre tener conto anche
dei guasti di causa comune
¾ Frazione di Guasti di Causa Comune

β ≈ 1%÷10%
Effetto (Fattore ß)
Causa Comune (CC)
¾ I guasti di causa comune risultano da una causa singola e influenzano più di un
canale.
¾ Sono cause comuni:
¾ Stress ambientali come ad esempio temperature eccessive, interferenze
elettromagnetiche elevate
¾ Guasti sistematici di progetto dovuti alla complessità elevata del prodotto o
alla mancanza di esperienza con la nuova tecnologia
¾ Assenza di separazione spaziale tra i canali, utilizzo di cavi comuni, su un
PCB ecc.
¾ Errori umani durante la manutenzione e la riparazione
¾ Valgono le supposizioni seguenti per quantificare l’effetto

l effetto di causa comune:
¾ Una parte dei guasti in entrambi i canali si rivela come guasti di CC; ciò
significa che per una causa il guasto in un canale è seguito dallo stesso
guasto in un altro canale, o nello stesso momento o più tardi.
¾ Dal punti di vista della sicurezza sono rilevanti solo i guasti pericolosi.
¾ La probabilità che capiti un guasto pericoloso di Causa Comune dipende dal
tasso di guasto pericoloso dell’HW (λDtot)
Fattori ß
La parte di CC dei guasti λDU, non rilevati dalla
ß λDU
diagnosi è ugualmente efficace per entrambi i canali.
diagnosi, canali
La parte restante dei guasti λ DU, non rilevati, è

λDU (1- ß) λDU
efficace per i canali singoli.
λDtot
La parte di CC dei guasti λDD, che si sviluppano o
simultaneamente o in ritardo ma entro un intervallo di
ßD λDD prova diagnosi
p g TD in entrambi i canali.
Siccome lo sviluppo non è rilevato in tempo, influisce
λDD pericolosamente.
(1- ßD) λDD Parte restante dei guasti λ DD.
Fattori ßD, Intervallo di Prova

Diagnostico TID
Esempio: Sistema 1oo2 1 2
I
t
TID TID TID
1 + 2
II
t
TID TID
1 2
III
t
TID TID
I casi II e III portano ad un guasto pericoloso, dato che entrambi i canali

si guastano in modo pericoloso all’interno dell’intervallo diagnostico!
Stima del fattore β
S = X + Y per ottenere il valore di β (il fattore β per guasti non rilevati)
SD = X(Z + 1) per ottenere il valore di βD (il fattore β per guasti rilevati)
Tabella D.4 – Calcolo di β e βD

Punteggio (S o SD) Corrispondente valore di β o di βD per:
Sottosistema Logic Solver Sensori o elementi finali
120 o più 0,5% 1%
Da 70 a 120 1% 2%
Da 45 a 70 2% 5%
Meno di 45 5% 10%
NOTA 1: I livelli massimi di βD mostrati in questa tabella sono più bassi di quelli che vengono
normalmente utilizzati, riflettendo l’uso delle tecniche specificate altrove in questa norma per la
riduzione della probabilità di guasti sistematici nell’insieme e di guasti di cause comuni come
risultato di questo.
NOTA 2: Valori di βD inferiori allo 0,5% per il sottosistema logico e dell’1% per sensori o elementi
finali sarebbero difficili da giustificare.
Estratto tabella D.1 IEC 61508-

61508-6
Sottosistema Sensori ed
Elemento logico elementi finali
XLS YLS XSF YSF
Separazione/segregazione
Se i sensori/elementi finali hanno un’elettronica di controllo
dedicata, l’elettronica per ciascun canale è su circuiti
stampati separati? 2,5 1,5
Se i sensori/elementi finali hanno un’elettronica di controllo

dedicata, l’elettronica per ciascun canale è all’interno ed in 2,5 0,5
postazione separata?
e s tà/ do da a
Diversità/ridondanza
I dispositivi utilizzano diversi principi/progetti, ad esempio
digitali ed analogici, differenti produttori, differenti 5,5
tecnologie?
Vengono utilizzati metodi di verifica e persone specifiche
1,0 0,5 1,0 1,0
per ciascun canale durante la messa in funzione?
La manutenzione viene eseguita da persone differenti ed in
2,5 2,5
momenti diversi per ciascun canale?
61508-6
XLS YLS XSF YSF
Complessità/progetto/applicazione/maturità/esperienza
Il progetto è basato su tecniche usate in apparecchiature
che siano state utilizzate con successo sul campo per un 0,5 1,0 1,0 1,0
periodo superiore ai 5 anni?
C’è un’esperienza di più di 5 anni con lo stesso hardware
utilizzato in ambienti similari? 1,0 1,5 1,5 1,5
Determinazione/analisi e feedback di dati

I risultati della FMEDA e della analisi con albero di guasto
sono stati esaminati, al fine di stabilire le fonti dei guasti di
3,0 3,0
causa comune e sono stati eliminati dal progetto le fonti
predeterminate di guasti di causa comune?
Sono stati completamente analizzati tutti i guasti di campo
0,5 3,5 0,5 3,5
con il relativo feedback verso il progetto?

61508-6
XLS YLS XSF YSF
Procedure/interfaccia umano
Esiste una procedura scritta che assicuri che tutti i guasti (o
degradazioni) di componenti vengano rilevate, che le
relative cause vengano stabilite e che elementi similari 1,5 0,5 1,5
vengano ispezionati perché suscettibili di cause di guasto
similari?
Sono in atto procedure che assicurino che la manutenzione
(inclusa taratura e calibrazione) di ogni parte dei canali
indipendenti sia distribuita nel tempo e che assicurino che,
in aggiunta alle verifiche manuali eseguite secondo la
1,5 0,5 2,0 1,0
manutenzione, anche le verifiche diagnostiche possano
essere eseguite in modo soddisfacente tra l’ultimazione
della manutenzione di un canale e l’inizio della
manutenzione di un altro canale?
61508-6
Elemento g
logico elementi finali
XLS YLS XSF YSF
Competenza/formazione/cultura della sicurezza
I progettisti sono stati istruiti (con adeguata
documentazione formativa) a capire le cause e le 2,0 3,0 2,0 3,0
conseguenze dei guasti di causa comune?
I manutentori sono stati istruiti (con adeguata
documentazione formativa) a capire le cause e le 0,5 4,5 0,5 4,5
conseguenze dei guasti di causa comune?

1oo2(D)
Canale
Diagnostica 1oo2
Canale

1oo2(D)
λD
(1 β) λDU
(1-β)·λ βD))· λDD
(1-β
(1
tCE
Guasti di
causa comune
tGE
Di
Diagramma a blocchi
bl hi di affidabilità
ffid bilità 1
1oo2(D)
2(D)
λDU ⎛ TI ⎞ λ ⎛ TI ⎞
tGE = ⋅ ⎜ + MTTR ⎟ + DD ⋅ ⎜ D + MTTR ⎟
λD ⎝ 3 ⎠ λD ⎝ 3 ⎠
PFDAVG≅ 2 ((1 - βD) λDD + (1 - β) λDU )2 tCEtGE + βλDU (TI/2 + MTTR) + βD λDD(TID/2+MTTR)
(tGE: Group Equivalent mean down time)
PFH≅ 2 ((1 - βD) λDD + (1 - β) λDU )2 tCE + βλDU+ βD λDD
47
Confronto tra sistemi 1oo1 e 1oo2
Domande:
1. Noto il valore di PFDAVG / PFHd di un sottosistema a 1
canale (PFDAVG/PFHd(1oo1)), quanto vale il PFDAVG/PFHd
di un sottosistema a 2 canali (PFDAVG/PFHd(1oo2))?
(ipotesi: i canali sono uguali tra loro e uguali al canale
unico del sottosistema 1oo1)
Sistema 1oo2: inserimento diversità
Domande:
2. Noto il valore di PFDAVG/PFHd di un sottosistema a 2
canali uguali tra loro (PFDAVG/PFHd(1oo2)), come e
quanto cambia il valore inserendo diversità?
Ad esempio, in un sottosistema sensore:
diverso costruttore, diversa tecnologia

2oo2(D)
Canale
Diagnostica 2oo2
Canale

2oo2(D)
λD λD
λDU λDD λDU λDD
tCE tCE
Diagramma a blocchi di affidabilità 2oo2
PFDG = 2λDtCE
PFHG = 2λDU

2oo3(D)
Canale
Diagnostica
Canale 2oo3
Canale

NOTA: Si assume che eventuali test diagnostici possano solo
registrare guasti, ma non variare lo stato delle uscite o il sistema
di voting.
2oo3(D)
λD
(1 β)· λDU
(1-β)· (1 βD)· λDD
(1-β
tCE
Guasti di
2oo3
causa comune
tGE
Diagramma a blocchi di affidabilità 2oo3
PFDAVG = 6 ((1 - βD) λDD + (1 - β) λDU )2 tCEtGE + βD λDD(TID/2+MTTR) + βλDU (TI/2 + MTTR)
PFH = 6 ((1 - βD) λDD + (1 - β) λDU )2 tCE + βDλDD + βλDU
53
Esempio di calcolo
Si consideri lo schema nella pagina seguente e:

1. Si individuino i dispositivi rilevanti per la funzione di
sicurezza, quelli rilevanti solo per la diagnostica, quelli
non rilevanti
2. Si identifichino i parametri rilevanti per il calcolo del
PFDAVG
3. Si forniscano i valori per tali parametri, e da dove
possono essere tratti
4. Si disegni il diagramma a blocchi di affidabilità
5. Si calcoli il valore di PFDAVG (in alternativa: si fornisca
formula di calcolo)
Esempio di calcolo
Si consideri lo schema nella pagina seguente e (continua):

6. Si descrivano il “Proof Test” e il “Diagnostic Proof
Test”: se ne valuti l’efficacia
7. Si valuti la documentazione dei fornitori delle
apparecchiature
8. Si valuti la bontà dello schema così come progettato
con riferimento alla Sicurezza Funzionale
9 Si indichi
9. i di hi come migliorare
i li il valore
l di PFDAVG,
compatibilmente con le caratteristiche dell’impianto in
cui deve essere installato
10. Indicare il tipo del sottosistema (A o B)
Esempio di calcolo
Modello di Markov
Storia
Il termine “Modello di Markov” deriva dal nome del

matematico russo A. A. Markov, che, all’inizio del 20°
secolo, ha studiato il ripetersi di vocali e consonanti
nell’opera di Puschkin “Onegin”.
A questo scopo ha generato un modello di probabilità, nel
quale ogni stato dipende solo dallo stato precedente
(stati: lettera=vocale
lettera=vocale, oppure lettera=consonante)
lettera=consonante).
In questo modo ha potuto stimare la frequenza delle vocali
nel libro di Puschkin in maniera semplice, ma
abbastanza preciso.
Modello di Markov: definizione
¾ Calcolo della p
probabilità che il sistema si trovi in
un certo stato in un certo istante temporale
Proprietà di Markov:
• La probabilità che un sistema si trovi nello stato ik+1
dopo
p un p periodo di tempo p Δt,, dipende
p solo dalle
probabilità degli stati all’istante temporale tk e dalle
velocità di transizione.
Tipi di modelli di Markov
Modelli di Markov
Processi di Markov Catene di Markov
Catene di Markov
¾ Le catene di Markov sono modelli di Markov tempo-discreti (solo

i t ti temporali
istanti t li fifissii t0<t1…<t
<tk<tk+1 con tk+1 = tk+1)
¾ La probabilità di una transizione di stato tra due istanti temporali
dallo stato i allo stato j è descritta nel modo seguente:
pij:=P(X(t+1)=j | X(t)=i)
¾ P
Per n stati
t ti possibili
ibili
P=(pij)i,j=1,…n per le transizioni in un gradino temporale
Pk= (pij(k))i,j=1,…n per le transizioni in k gradini temporali
Processi di Markov
¾ I processi di Markov sono modelli di Markov tempo-

continui, con osservazioni in tutti gli istanti temporali
¾ La probabilità di una transizione di stato tra due istanti
temporali dallo stato i allo stato j è descritta nel modo
seguente:
Pij(Δt):=P(X(t+Δt)=j | X(t)=i)
¾ Nel seguito verranno trattati solo i processi di Markov.
Stati e transizioni di stato
¾ Rappresentazione grafica
• Stati possibili: cerchi
• Transizioni di stato: frecce
λ
¾ Esempio con:
• Due stati: OK e Guasto
• Velocità di transizione: OK Guasto
Failure rate λ
Repair rate μ
μ
Stati e transizioni di stato
Rappresentazione
pp matriciale
⎛1 − λ λ ⎞ OK
P = ( pij ) = ⎜⎜ ⎟⎟
⎝ μ 1 − μ ⎠ Guasto
I valori pij nelle righe i e colonne j descrivono la

transizione dallo stato i allo stato j nell
nell’intervallo
intervallo
di tempo Δt = 1 ora
Equazioni differenziali
pOK((t+Δt)=p ) ( λ·Δt)+p
) pOK((t)·(1- ) μ·Δt
) pGuasto((t)·
⇔ pOK(t+Δt)-pOK(t)=-pOK(t)·λ·Δt+pGuasto(t)·μ·Δt
⇔ (pOK(t+Δt)-pOK(t))/Δt=-pOK(t)·λ+pGuasto(t)·μ
⇔ (per Δt→0) p’OK(t)=-pOK(t)·λ+pGuasto(t)·μ
E analogamente
p’Guasto(t)=pOK(t)·λ-pGuasto(t)·μ
Equazioni differenziali: Soluzione
Equazioni
q differenziali
p’OK(t)=-pOK(t)·λ+pGuasto(t)·μ
p’Guasto(t)=pOK(t)·λ-pGuasto(t)·μ
Con condizioni iniziali: pOK(0)=1 ; pGuasto(0)=0
μ λ
Soluzioni: pOK (t ) = + ⋅ e −( λ + μ )⋅t
λ+μ λ+μ
λ λ
pGuasto (t ) = − ⋅ e −( λ + μ )⋅t
λ+μ λ+μ
Calcolo di PFDAVG
T
1
PFDAVG = ⋅ ∫ ∑i∈E pi (t )dt
T 0
¾ E definisce l’insieme di stati di guasto pericoloso

del sistema
¾ P0(t)…pn-1(t) indicano le n differenti probabilità
dello stato
Modelli di Markov: Software CARMS
¾ Rappresentazione
pp g
grafica
¾ Impostazione delle condizioni iniziali
¾ Impostazione valori di λ e μ
¾ Calcolo di pi
¾ Calcolo di PFD e PFDAVG
• NOTA: q questi due calcoli devono essere
fatti manualmente
È un gioco!
Caratteristiche software CARMS
¾ È gratuito!
g
¾ Gestisce fino a 24 stati del sistema
¾ Utile per confrontare i dati con quelli ottenuti con
le formule
¾ Fondamentale per la valutazione di SIL di
sistemi complessi
¾ Presentazione semplice e chiara
Modello di Markov: Esempio
¾ Disegnare
g il Modello di Markov p
per un Elemento
Finale 1oo1(D)
¾ Disegnare il Modello di Markov per un Elemento

Finale 1oo2(D)
EN 13849-1:
Valutazione di PL e rapporto con il SIL
LIVELLO DI PRESTAZIONE PL
Il PL del sistema deve essere determinato stimando gli aspetti seguenti:
¾ il valore MTTFd dei singoli componenti (vedere appendici C e D);
¾ la DC (vedere appendice E);
¾ il CCF (vedere appendice F);
¾ la struttura (vedere punto 6);
¾ il comportamento della funzione di sicurezza in condizione(i) di guasto
(vedere
¾ punto 6);
¾ il software correlato alla sicurezza (vedere punto 4.6 e appendice J);
¾ i guasti sistematici (vedere appendice G);
¾ la capacità di eseguire una funzione di sicurezza nelle condizioni
ambientali previste.
EN 13849-1:
Valutazione di PL e rapporto con il SIL
LIVELLO DI PRESTAZIONE PL
Tali aspetti possono essere raggruppati con due approcci in relazione al
processo di valutazione:
a) aspetti quantificabili (valore MTTFd dei singoli componenti, DC, CCF,
struttura);
b) aspetti qualitativi non quantificabili che influiscono sul comportamento del
sistema (comportamento della funzione di sicurezza in condizioni di avaria,
software correlato alla sicurezza, guasti sistematici e condizioni ambientali).
c) Per facilitare la valutazione degli aspetti quantificabili del PL, la EN 13849

offre un metodo semplificato basato sulla definizione di cinque architetture
designate per soddisfare specifici criteri di progettazione e il
comportamento in condizione di guasto.
Valutazione del PL raggiunto e

rapporto con il SIL
Per un sistema che si discosti dalle architetture designate, si deve fornire un

calcolo dettagliato per dimostrare il raggiungimento del livello di prestazione
richiesto (PLr).
Nelle applicazioni in cui il sistema può essere considerato semplice e il livello
di prestazione richiesto va da a fino a c, una stima qualitativa del PL può
essere giustificata nei fondamenti logici della progettazione.
PL SIL
a Nessuna corrispondenza
b 1
c 1
d 2
e 3
Procedura semplificata
per la stima del PL
Per le architetture designate, si assume tipicamente quanto segue:

¾ tempo di servizio (mission time),
time) 20 anni;
¾ frequenze di guasto costanti entro il tempo di servizio;
¾ per la categoria 2, frequenza di richiesta ≤1/100 frequenza di prova;
¾ per la categoria 2, MTTFd,TE maggiore di metà di MTTFd,L.
Nota: Quando i blocchi di ogni canale non possono essere separati, si

può applicare quanto segue: MTTFd di tutto il canale di prova (TE,
OTE) maggiore di metà MTTFd del canale funzionale totale (I,
(I L,
L O).
O)
per la stima del PL
PL
a 1
b 2
c 3
e
Cat. B Cat. 1 Cat. 2 Cat. 2 Cat. 3 Cat. 3 Cat. 4
DCavg nessuno DCavg nessuno DCavg basso DCavg medio DCavg basso DCavg medio DCavg alto
EN ISO 13849-1: Calcolo del PL
Procedura semplificata per il calcolo del PL
Esempio: MTTFd =
¾ Circuito a due canali (categoria 3/4) ¾ Basso 3 ≤ MTTFd < 10 annos
¾ MTTFd = Alto
Alt (tra
(t 30 e 100 annos)) ¾ Medio 10 ≤ MTTFd < 30 annos
¾ Basso Diagnostic Coverage: DC = Basso (tra 60% e 90%) ¾ Alto 30 ≤ MTTFd < 100 annos
¾ Common Cause Failure ≥ 65: CCF ≥ 65
PL
a 1
b 2
c 3
d
PL = d
CCF ≥ 65
e
Cat. B Cat. 1 Cat. 2 Cat. 2 Cat. 3 Cat. 3 Cat. 4
DCavg nessuno DCavg nessuno DCavg basso DCavg medio DCavg basso DCavg medio DCavg alto
75
EN ISO 13849-1: Calcolo del PL

Determinazione del PL
Esempio: MTTFd =
¾ Circuito a due canali (categoria 3/4) ¾ Basso 3 ≤ MTTFd < 10 annos
¾ MTTFd = Alto (tra 30 e 100 annos) ¾ Medio 10 ≤ MTTFd < 30 annos
¾ Basso Diagnostic Coverage: DC = Basso (tra 60% e 90%) ¾ Alto 30 ≤ MTTFd < 100 annos
¾ Common Cause Failure ≥ 65: CCF ≥ 65
DC =
Basso
DC =
Basso
PL = d
MTTFd = Alto
76
per la stima del PL
Categoria
g B 1 2 2 3 3 4
DCavg nessuna nessuna bassa media bassa media alta

MTTFd di ogni
canale
Non Non
Basso a a b b c
coperto coperto
Non Non
Medio b b c c d
coperto coperto
Non
Alto C c d d d e
coperto
EN 13849-
13849-1: Combinazione di
sistemi per ottenere il PL globale
PLlow Nlow Æ PL
>3 Æ Nessuno, non ammesso
a
≤3 Æ a
>2 Æ a
b
≤2 Æ b
>2 Æ b
c
≤2 Æ c
>3 Æ c
d
≤3 Æ d
>3 Æ d
e
≤3 Æ e
Nota I valori calcolati per questo prospetto di consultazione si basano su valori
di affidabilità nel punto mediano di ogni PL.
Combinazione di parti del sistema di
comando legate alla sicurezza
¾ Categoria 2, PL = c per il dispositivo di protezione elettro-sensibile. Per

ridurre la probabilità di guasto questo dispositivo utilizza principi di
sicurezza ben provati;
¾ Categoria 3, PL = d per la logica di comando elettronica. Per aumentare il
livello di prestazione di sicurezza di questa logica di comando elettronica, la
struttura di questo sistema è ridondante e implementa diverse misure di
rilevamento dei guasti in modo da rilevare la maggior parte dei singoli
guasti;
¾ Categoria 1, PL = c per la valvola direzionale idraulica. Lo stato di "ben
provato" è principalmente specifico dell’applicazione. In questo esempio la
valvola è considerata ben provata. Per ridurre la probabilità di avarie,
questot dispositivo
di iti comprende d componenti ti ben
b provati ti applicati
li ti utilizzando
tili d
principi di sicurezza ben provati e tutte le condizioni applicative sono
considerate.
80
81
Domande?

Corso SIL Valvoliere IMQ - Calcolo PFD-PFH

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Corso SIL Valvoliere IMQ - Calcolo PFD-PFH

Uploaded by

Copyright:

Available Formats

Sicurezza Funzionale per

Calcolo della probabilità di guasto

¾ Principi per la progettazione e l’architettura HW

1oo2, 1oo2D, MooN[D]

Struttura ad un solo canale 1oo1

Struttura a doppio canale 1oo2

¾ Le uscite vengono collegate in serie, al fine di

Struttura a doppio canale 2oo2

Struttura a triplo canale 2oo3

Struttura ad un solo canale 1oo1D

¾ Sistema ad un solo canale con unità diagnostica

Struttura a doppio canale 1oo2D

¾ Da pparte della linea aggiuntiva

Struttura a doppio canale 2oo2D

 Un’architettura 2oo2D mostra la struttura basata

Da minore a maggiore disponibilità (dell’impianto /

Parametri per il calcolo del PFD/PFH

Parametri da tenere in considerazione

SENSORE LOGIC SOLVER ELEMENTO FINALE

Probabilità di guasto complessiva

¾ La probabilità media di guasto su richiesta per il sottosistema risulta

Probabilità di guasto complessiva:

¾ Le frequenze di guasto dell’hardware, usati come input per i calcoli

¾ Sono a disposizione squadre multiple di manutenzione e

Probabilità di guasto complessiva:

¾ Per i gruppi 1oo1 e 2oo2 che operano in modalità operative

Determinazione di PFDAVG/PFH p per ciascun

Diagramma a blocchi di affidabilità:

b. Per ciascun gruppo nel sottosistema definire:

d. Calcolare, per ciascun gruppo del sottosistema, la

dove PFDAVG(i) /PFH(i) sono i valori di ciascun

Diagramma a blocchi di affidabilità:

Diagramma a blocchi fisico 1oo1(D)

Diagramma a blocchi di affidabilità 1oo1(D)

PFDAVG≅ λDU·(TI/2+MTTR) + λDD·(TID/2+MTTR)

NOTA: λDU guasti rilevati solo dal “perfect proof test”

Probabilità di guasto su richiesta

Se si raggiunge il massimo livello permesso, deve essere eseguito un “Proof

Andamento PFD – Solo Proof Test

Diagramma a blocchi di affidabilità:

λDDDT: guasti rilevati dal Diagnostic Test

Esempio: TIDT = 1 mese, TIPT = 1 anno; TIEv = 10 anni

¾ Frazione di Guasti di Causa Comune

¾ Valgono le supposizioni seguenti per quantificare l’effetto

La parte restante dei guasti λ DU, non rilevati, è

(1- ßD) λDD Parte restante dei guasti λ DD.

Fattori ßD, Intervallo di Prova

I casi II e III portano ad un guasto pericoloso, dato che entrambi i canali

Tabella D.4 – Calcolo di β e βD

Estratto tabella D.1 IEC 61508-

Se i sensori/elementi finali hanno un’elettronica di controllo

Determinazione/analisi e feedback di dati

Estratto tabella D.1 IEC 61508-

Diagramma a blocchi di affidabilità:

Diagramma a blocchi fisico 1oo2(D)

Confronto tra sistemi 1oo1 e 1oo2

Diagramma a blocchi di affidabilità:

Diagramma a blocchi fisico 2oo2(D)

Diagramma a blocchi di affidabilità 2oo2

Diagramma a blocchi di affidabilità:

Diagramma a blocchi fisico 2oo3(D)

Si consideri lo schema nella pagina seguente e:

Si consideri lo schema nella pagina seguente e (continua):

Il termine “Modello di Markov” deriva dal nome del

Un’architettura 2oo2D mostra la struttura basata