Metodo semplificato per la stima della parte quantificabile del PL
Dopo aver definito la Categoria e aver verificato che siano state rispettate le condizioni di CCF (per architetture ridondanti), avendo calcolato i valori di MTTFD, e di DCavg, il PL e il PFHD si possono ricavare direttamente dalla tabella K.1 della norma.
I valori della tabella K.1 sono stati ricavati applicando il Metodo di Markov alle designated architectures delle 5 Categorie. Per tale motivo se si usa il metodo semplificato qui descritto non è possibile derogare dalle Categorie.
I valori della tabella K.1 sono stati calcolati assumendo che:
- Il mission time = 20 anni
- Il tasso di guasto dei componenti costante per tutto il mission time
- Per la categoria 2: La frequenza di Test è almeno 100 volte superiore alla frequenza di richiesta della funzione di sicurezza e l’MTTFD del canale di test è maggiore della metà del MTTFD del canale funzionale
Nella colonna di sinistra si identifica il valore di MTTFD calcolato e, dopo aver identificato la colonna corrispondente alla Categoria implementtata e al DCavg calcolato, in corrispondenza si legge il PL e il valore di PFHD
Se interessa solo il valore di PL allora si può usare il grafico di figura 5 della norma.
La combinazione di Categoria e DCavg identifica una delle sette colonne; il valore di MTTFD calcolato determina quale parte della colonna considerare. Sulla sinistra del grafico si legge poi direttamente il valore di PL corrispondente.
Fig. 12 – Figura “5” di ISO 13849-1
Può capitare che la parte di colonna scelta comprenda due o tre possibili valori di PL (es. nel caso di Cat. 3, DCavg = medio e MTTFD = low, sono possibili i seguenti tre valori: PLb, PLc, PLd); in questi casi, per poter ricavare il valore di PL corretto si usa la tabella K.1. Il grafico di Fig. 5 può anche essere usato per fare delle ipotesi di lavoro; può per esempio essere usato per decidere quale Categoria usare in base al PL r necessario. Ad esempio, per un PL r pari a “c” sono possibili le seguenti cinque alternative:
- Categoria 3 con MTTFD = basso e DCavg media
- Categoria 3 con MTTFD = medio e DCavg bassa
- Categoria 2 con MTTFD = medio e DCavg media
- Categoria 2 con MTTFD = alto e DCavg bassa
- Categoria 1 con MTTFD = alto
Stima del PL sulla base dell’informazione della Categoria
Questo metodo è applicabile solo alla parte di uscita di una SRP/CS.
Se per componenti meccanici, idraulici o pneumatici (o componenti che comprendono tecnologie miste ad esempio freno meccanico a comando pneumatico) non sono disponibili dati di affidabilità specifici per una data applicazione, il fabbricante della macchina può valutare gli aspetti quantificabili del PL senza conoscere il valore di MTTFD o B10D.
In questo caso, il PL è implementato dall’architettura, dalla diagnostica e dalle misure contro il CCF. La tabella seguente mostra la relazione fra il PL e il PFHD conseguibile e le Categorie.
PFHd (1/h) | Cat. B | Cat. 1 | Cat. 2 | Cat. 3 | Cat. 4 | |
PL a | 2*10-5 | * | 0 | 0 | 0 | 0 |
PL b | 5*10-6 | * | 0 | 0 | 0 | 0 |
PL c | 1,7*10-6 | – | *2 | *1 | 0 | 0 |
PL d | 2,9*10-7 | – | – | – | *1 | 0 |
PL e | 4,7*10-8 | – | – | – | – | *1 |
PLa e il PLb possono essere raggiunti facendo ricorso alla Categoria B; PLc può essere raggiunto facendo ricorso alla Categoria 1 o alla Categoria 2; PLd può essere raggiunto facendo ricorso alla Categoria 3; PLe può essere ottenuto facendo ricorso alla Categoria 4.
Inoltre:
- Se si fa ricorso alla Categoria 1 per ottenere un PLc, è indispensabile:
- Determinare il valore del T10D dei componenti coinvolti nella sicurezza. Tale valore può essere determinato sulla base di dati “proven in use” forniti dal costruttore della macchina
- Per la Categoria 2, devono:
- Essere utilizzati principi di sicurezza ben provati e componenti ben provati dichiarati idonei dal fabbricante del componente per la particolare applicazione
- MTTFD del canale di prova deve essere almeno di 10 anni
- DCavg deve essere bassa o media
- Devono essere messe in atto misure per il controllo di CCF
- Se si fa ricorso alla Categoria 3, devono:
- Essere utilizzati componenti ben provati e principi di sicurezza ben provati
- DCavg deve essere bassa o media
- Devono essere messe in atto misure per il controllo di CCF
- Se si fa ricorso alla Categoria 4, devono:
- Essere utilizzati componenti ben provati e principi di sicurezza ben provati
- DCavg deve essere alta
- Devono essere messe in atto misure per il controllo di CCF
Poiché non si può usare la formula E.1 della norma per il calcolo del DCavg a causa della indisponibilità dei valori MTTFD, il DCavg va calcolato semplicemente come media aritmetica dei singoli valori di DC dei componenti della parte di uscita del SRP/CS.
La dimostrazione che il componente sia “proven-in-use” si basa sull’analisi dei guasti del componente in un lungo periodo di tempo usato nella specifica configurazione e per quella particolare applicazione. Deve esistere una evidenza documentata che la probabilità di guasti sistematici pericolosi di quel componente, in quella specifica applicazione, sia sufficientemente bassa per il valore di PL richiesto.
Il concetto di componente “proven in use” deriva dalla norma IEC 61508.
Combinazione di più SRP/CS
Fin qui si è visto come calcolare il PL e il PFHD delle singole SRP/CS.
Resta ora da calcolare il PFHD e il PL della funzione di sicurezza formata dalla combinazione di più sottosistemi che possono anche essere realizzati con architetture differenti (es. barriera di sicurezza, logica di controllo, uscita di potenza). I sottosistemi vanno letti a partire dal punto dove entrano i segnali relativi alla sicurezza e terminano all’uscita degli elementi di controllo degli attuatori.
La norma propone metodi; uno dettagliato se per i singoli SRP/CS oltre al PL si conosce anche il PFHD e uno semplificato se si ha a disposizione solo il PL.
Se è noto il PL e il PFHD delle singole SRP/CS, IL PFHD totale è pari alla somma dei valori di PFHD dei singoli SRP/CS.
PFHD = PFHD1 + PFHD2 + PFHD3
Noto il PFHD della combinazione, per risalire al PL complessivo della funzione di sicurezza si usa la tabella seguente.
PL | Probabilità media di guasto pericoloso (PFHD) |
a | ≥ 10-5 to < 10-4 |
b | ≥ 3 x 10-6 to < 10-5 |
c | ≥ 10-6 to < 3 x10-6 |
d | ≥ 10-7 to < 10-6 |
e | ≥ 10-8 to < 10-7 |
Fig. 13 – La Tabella della norma: Performance leves (PL)
Esempio:
Il PL corrispondente al PFHD così calcolato è quindi limitato da vincoli sistematici. Il PL totale non può essere maggiore del PL più basso di tutti i sottosistemi che compongono la funzione di sicurezza.
Esempio di limitazione:
La funzione di sicurezza è formata da una Barriera Fotoelettrica di Tipo 2, PLc, da un’unità di controllo PLe e da un azionamento PLd.
Sommando i valori di PFHD risulta:
Ricordando tuttavia i vincoli dovuti a guasti sistematici ai quali sono sottoposte le Barriere Fotoelettriche di Tipo 2::
TIPO ESPE | PL | SIL |
2 | a, b, c | 1 |
3 | a, b, c, d | 1, 2 |
4 | a, b ,c ,d | 1, 2, 3 |
Fig. 14 – PL massimo che può raggiungere una funzione di sicurezza che impiega Barriere fotoelettriche di sicurezza
Risulta che il massimo PL raggiungibile dalla funzione di sicurezza diventa PLc
Se è noto solo il PL deli singoli sottosistemi, si può avere una stima del PL della combinazione usando la tabella seguente nel seguente modo::
PL (low) | n (low) | PL | |
a | >3 ≤ 3 | --> | – |
b | >2 ≤ 2 | --> | a |
c | >2 ≤ 3 | --> | b |
d | >3 ≤ 3 | --> | c |
e | >3 ≤ 3 | --> | d |
Fig. 15 – Tabella per il calcolo del PL totale
- Si individua la parte col PL più basso “PL (low)” prima colonna
- Si individuano il numero di parti che hanno il PL più basso “n (low)” seconda colonna
- In corrispondenza si ricava il PL totale (terza colonna)
Nota: l PL ricavato tramite questa approssimazione si riferisce a valori di PFHD che si trovano a metà del range del corrispondente PL
Nell’ esempio indicato:
Interconnessioni fra sotto-assiemi
Bisogna inoltre fare particolare attenzione alle interfacce tra i sottosistemi:
Tutte le connessioni (ad es. conduttori o bus di comunicazione dati) devono essere già considerati nel PL di uno dei sottosistemi interessati o gli errori dovuti alle connessioni devono essere esclusi o trascurabili.
I sottosistemi di sicurezza disposti in serie devono essere compatibili alle loro interfacce.
In altre parole, ogni stato di uscita di un sottosistema deve essere adatto per l’avvio dello stato sicuro del sottosistema a valle.