Sulla rivista Ambiente & Sicurezza sul Lavoro sono stati pubblicati tre contributi a firma di F. Paolo Nigri (Ingegnere, Tecnologo) in materia di sicurezza funzionale degli impianti secondo un approccio che lo stesso autore ha definito “per immagini” nell’ottica secondo la quale “un vedere” vale “cento sentire”. Ciò nonostante, non è mancato il ricorso all’analisi matematica, senza la quale alcuni concetti, che sono alla base della sicurezza funzionale, non possono essere pienamente compresi.
Nel terzo contributo dell’autore, pubblicato sulla rivista nel numero di dicembre 2019, l’autore riassume brevemente il lavoro fin qui svolto, in modo che siano più chiare le sue finalità e prendendo in considerazione gli effetti negativi che il tempo esercita sull’affidabilità dell’intera catena di sicurezza, spiga come calcolare la PFDAVE del sistema strumentale di sicurezza, e cioè il valore medio che la probabilità istantanea di guasto PFD(t) assume nel periodo di osservazione..
Nel primo articolo, è stato messo in evidenza la differenza fra:
1) un sistema di controllo basico del processo (Basic Process Control System, BPCS);
2) un sistema strumentale di sicurezza (Safety Instrumented System, SIS).
Entrambi i sistemi sono specificamente progettati in relazione alle esigenze del particolare impianto tecnologico nel quale devono essere inseriti. Mentre, però, il primo è un sistema sempre attivo, al quale si affida il controllo continuo delle variabili di processo, il secondo sistema resta dormiente per la maggior parte della sua vita operativa. Il SIS, infatti, è chiamato a intervenire solo nel momento in cui una delle variabili di processo sfugge al controllo del BPCS. Non occorre che un processo tecnologico sia particolarmente complicato perché le caratteristiche peculiari di un SIS risultino evidenti: un SIS può essere applicato con successo a un complesso reattore chimico oppure a un recipiente in pressione destinato al contenimento di fluidi pericolosi.
Nel primo articolo è stato dimostrato che la comprensione del corretto comportamento di un SIS può essere immediatamente afferrata sfruttando uno dei concetti di base della sicurezza funzionale: la probabilità di guasto su richiesta, e cioè la c.d. PFD (Probability of Failure on Demand).
Nel secondo articolo, facendo ricorso alla c.d. “Route 1H” dell’IEC 61508, ho evidenziato i valori ottimali:
1) della frazione dei guasti sicuri (SFF);
2) della tolleranza ai guasti hardware (HFT),
che consentono ai vari componenti di un sistema strumentale:
1) sensore;
2) controllore logico programmabile;
3) attuatore finale,di garantire, all’intera catena di sicurezza, il conseguimento di un grado di affidabilità corrispondente a SIL2.
Spiega l’autore: “Terminata la stesura dei primi due articoli, sono rimasto io stesso alquanto sorpreso dalla novità degli aspetti ingegneristici che ne erano scaturiti: gli articoli hanno il pregio di proiettare l’attenzione del lettore su una disciplina innovativa, la sicurezza funzionale, che presenta tecniche avveniristiche di progettazione, realizzazione e manutenzione dei sistemi di sicurezza degli impianti tecnologici”.
Nel secondo articolo, è stato fatto espressamente riferimento a un recipiente in pressione installato in uno stabilimento a rischio di incidente rilevante, e cioè soggetto all’applicazione della direttiva Seveso. In tale contesto, tutt’altro che raro nel nostro paese, facendo appello alla tecnica LOPA (Layers Of Protection Analysis), ho dimostrato che al sistema strumentale di sicurezza, inserito nell’impianto insieme ad altre misure di mitigazione per garantire il raggiungimento del desiderato valore di riduzione del rischio, si richiede proprio un SIL2. Il risultato conseguito, anche se significativo da un punto di vista tecnico, non è sufficiente sotto il profilo dell’affidabilità. Infatti, affermare che un sistema di sicurezza è caratterizzato da SIL2 non ha alcun significato in affidabilità. Dire, invece, che un sistema di sicurezza è caratterizzato da SIL2 dopo un anno di funzionamento ha perfettamente senso.
È necessario, pertanto, verificare che il sistema strumentale di sicurezza in esame mantenga nel tempo un livello di affidabilità cui corrisponde un SIL2, e cioè una “probabilità media di guasto su richiesta (PFDAVE)” non superiore a 0,01, fino al “primo test manuale di controllo” che si prevede di eseguire, a impianto fermo, dopo un intero anno solare (8760 hr). In altri termini, è giunto il momento di prendere in considerazione gli effetti negativi che il tempo esercita sull’affidabilità dell’intera catena di sicurezza. A tale scopo, non resta che calcolare la PFDAVE del sistema strumentale di sicurezza, e cioè il valore medio che la probabilità istantanea di guasto PFD(t) assume nel periodo di osservazione. Questa è la finalità del terzo articolo riguardante l’applicazione della sicurezza funzionale agli impianti tecnologici e che è stato pubblicato sul numero di dicembre di Ambiente&Sicurezza sul Lavoro.
Riferimenti bibliografici:
Sistemi strumentali di Sicurezza. La stima della probabilità media di guasto
Francesco Paolo Nigri
Ambiente&Sicurezza sul Lavoro
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore