Ultima modifica: 26/02/2024
Esiste un’altra questione legata all’uso del parametro SFF. Considerando la definizione di SFF, la sicurezza di un componente può essere migliorata rendendo più basso il tasso di guasti pericolosi e più alto il tasso di guasti sicuri, assumendo che il tasso di guasti totali del componente non cambi.
Pertanto, può verificarsi la seguente situazione: un produttore di componenti ha progettato e sviluppato un prodotto con un tasso di guasti pericolosi stimato di 2·10-8, ma il suo SFF è stimato al 50%. L’azienda modifica il design per aumentare i guasti sicuri e/o i guasti pericolosi rilevati, ma il componente modificato non garantirà una maggiore sicurezza e causerà perdite economiche per l’utente, in quanto il suo processo sarà soggetto a un maggior numero di interventi spuri.
Pertanto, un SFF elevato indica un design più sicuro? Esperti di affidabilità, integratori e utenti hanno messo in dubbio l’idoneità dell’SFF come indicatore di un design sicuro. Il motivo è che i guasti sicuri non sono sempre positivi per la sicurezza, dal momento che gli interventi spuri possono creare altre situazioni pericolose, durante il riavvio del processo. Inoltre, per aumentare la percentuale dell’SFF si può essere costretti ad aggiungere dell’hardware non necessario, che non fa altro che aumentare i guasti sicuri. Sicuramente, un’alta percentuale di guasti ”sicuri” è un vantaggio commerciale per i produttori di componenti dato che aumentano l’SFF. Con un SFF elevato, i componenti possono essere utilizzati in configurazioni con HFT basso, il che significa più affari per il produttore del componente.
A titolo di esempio, consideriamo i seguenti due componenti utilizzati nel sottosistema HFT = 0 in High demand (IEC 62061).
Componente 1:
- λDU = 50 FIT
- λDD = 0 FIT
- λS = 0 FIT
- SFF = 0
- PFHD = 50 FIT
- Max SIL raggiungibile: SIL 1
Componente 2:
- λDU = 50 FIT
- λDD = 3950 FIT
- λS = 1000 FIT
- SFF = 99%
- PFHD = 50 FIT
- Max SIL raggiungibile: SIL 3
In altri termini, entrambi i componenti hanno lo stesso PFHD; uno è “intrinsecamente sicuro” e non ha guasti sicuri. Il secondo ha un tasso di guasti totali più alto, ma ha una grande capacità di rilevare i guasti pericolosi; in più lui ha un certo numero di guasti sicuri.
Il secondo componente, sebbene abbia lo stesso PFHD del primo, può essere utilizzato fino a SIL3, solo perché ha molti gusti sicuri (DD e S).
Di nuovo, questo è il motivo per cui, nella seconda edizione della IEC 61508, è stato introdotto il concetto di guasti senza effetto: per evitare la sovrastima dei guasti sicuri.