Ultima modifica: 02/08/2023
IL DUBBIO: Qual è la differenza tra la Route 1H e la Route 2H?
Cerchiamo di contestualizzare questo argomento nel quadro generale. Quando si sente parlare di Route 1H e 2H probabilmente ci si trova nell'ambito di sistemi di sicurezza in Low demand, lo standard di riferimento è la norma IEC 61511. Tuttavia, possiamo trovare le definizioni nella norma IEC 61508-2.
Si sa che per utilizzare un componente in un sistema di sicurezza esso deve presentare dati di affidabilità, ma questo non basta! Il componente ha bisogno di un certo valore di frazione di guasti sicuri (SFF – Safe Failure Fraction) per capire quanto sia intrinsecamente affidabile. Questo è stato il criterio definito fin dalla prima edizione della serie IEC 61508 per guidare sia il costruttore di componenti che il progettista di processi nella definizione dei componenti di sicurezza e dei sistemi di sicurezza: questo metodo di valutazione è definito Route 1H. Vediamolo nei dettagli.
ROUTE 1H
Storicamente, questo era l'unico modo per determinare il SIL massimo che può essere raggiunto da un sistema di sicurezza. Ecco i passi da seguire
[IEC 61508-2, § 7.4.4.2]
1) Suddividere il sistema di sicurezza in sottosistemi.
2) Per ogni sottosistema, calcolare la frazione di guasto sicuro per tutti gli elementi del sottosistema singolarmente. In caso di configurazioni con elementi ridondanti, la SFF può essere calcolata prendendo in considerazione la diagnostica aggiuntiva che può venire a crearsi (ad esempio, tramite il confronto tra gli elementi ridondanti).
3) Per ciascun elemento, incrociare la Safe Failure Fraction calcolata e una Hardware Fault Tolerance pari a 0 per determinare il livello massimo SIL raggiungibile: Per componenti di tipo A, fare riferimento alla colonna 2 della Tabella 1 (Tabella 2 della IEC 61502-2); in caso di componenti di tipo B, si deve utilizzare la Tabella 2 (Tabella 3 della IEC 61502-2).
4) Il massimo SIL raggiungibile dal sistema di sicurezza è dato dal sottosistema che ha raggiunto il livello di integrità della sicurezza più basso.
Per poter utilizzare il metodo Route 1H, i dati di affidabilità di ogni componente di sicurezza devono essere stati ricavati tramite un’analisi FMEDA.
Safe Failure Fraction of an element |
Hardware fault tolerance |
||
0 |
1 |
2 |
|
SFF < 60 % |
SIL 1 |
SIL 2 |
SIL 3 |
60 % ≤ SFF < 90 % |
SIL 2 |
SIL 3 |
SIL 4 |
90 % ≤ SFF < 99 % |
SIL 3 |
SIL 4 |
SIL 4 |
SFF ≥ 99 % |
SIL 3 |
SIL 4 |
SIL 4 |
Tabella 1: SIL massimo raggiungibile per una funzione di sicurezza svolta da un elemento o sottosistema di sicurezza di tipo A.
Safe Failure Fraction of an element |
Hardware fault tolerance |
||
0 |
1 |
2 |
|
SFF < 60 % |
Not Allowed |
SIL 1 |
SIL 2 |
60 % ≤ SFF < 90 % |
SIL 1 |
SIL 2 |
SIL 3 |
90 % ≤ SFF < 99 % |
SIL 2 |
SIL 3 |
SIL 4 |
SFF ≥ 99 % |
SIL 3 |
SIL 4 |
SIL 4 |
Tabella 2: SIL massimo raggiungibile per una funzione di sicurezza svolta da un elemento o sottosistema di sicurezza di tipo B.
ROUTE 2H
Il concetto di Route 2H è stato introdotto per la prima volta nell'edizione 2010 della IEC 61508. Il suo utilizzo è legato ai concetti di Proven in Use (IEC 61508) e Prior Use (IEC 61511-1).
In sostanza, è possibile calcolare un livello di affidabilità senza informazioni sull'SFF del componente, a condizione che i dati di guasto sul campo siano disponibili e affidabili. Pertanto, i dati di Affidabilità utilizzati per quantificare l'effetto dei guasti casuali devono essere:
a) basati su riscontri sul campo per componenti in uso in un'applicazione e d ambiente analoghi;
b) raccolti in conformità ai metodi indicati dagli standard internazionali e,
c) valutati in base a:
i. la quantità di riscontri sul campo; e
ii. il giudizio di esperti; e, se necessario,
iii. l'esecuzione di test specifici;
Con la Route 2H, il SIL massimo raggiungibile in base all'HFT di un sottosistema è calcolato nelle seguenti regole:
NOTA: Nelle seguenti prescrizioni, se non diversamente specificato, la funzione di sicurezza può operare sia in low demand sia in high demand e continous demand.
[IEC 61508-2: 2010] 7.4.4.3 Route 2H
7.4.4.3.1 Fissato un tasso di affidabilità SIL, per ogni sottosistema di un Sistema di sicurezza il valore minimo consentito di Hardware Fault Tolerance è così determinato:
a) HFT pari a 2 una funzione di sicurezza con affidabilità pari a SIL 4, a meno che non si applichino le condizioni di cui al punto 7.4.4.3.2.
b) HFT pari a 1 una funzione di sicurezza con affidabilità pari a SIL 3, a meno che non si applichino le condizioni di cui al punto 7.4.4.3.2.
c) HFT pari a 1 una funzione di sicurezza con affidabilità pari a SIL 3, operante in applicazioni High Demand o in funzionamento continuo, a meno che non si applichino le condizioni di cui al punto 7.4.4.3.2.
d) HFT pari a 0 una funzione di sicurezza con affidabilità pari a SIL 2 che in applicazioni Low Demand.
e) HFT pari a 0 una funzione di sicurezza con affidabilità pari a SIL 1.
La Route 2H non è consentita in applicazioni High Demand, questo passaggio è presente sia nella IEC 62061, sia nella EN ISO 13849-1, ovvero all'interno delle due norme di riferimento sulla Sicurezza Funzioanle in High Demand.
[EN ISO 13849-1] 6.1.2 Correlation between performance level and safety integrity level (SIL)
Quando una funzione di sicurezza è progettata impiegando uno o più sottosistemi, ogni sottosistema deve essere progettato o utilizzando i PL secondo il presente documento, oppure utilizzando i SIL secondo le norme IEC 62061 o IEC 61508. I sottosistemi progettati in base alla IEC 61508 o alla IEC 62061 possono essere utilizzati, ma devono essere limitati a quelli progettati per High/Continuos Demand che utilizzano la Route 1H (vedi IEC 61508-2:2010, 7.4.4.2). I sottosistemi devono essere combinati secondo quanto indicato al punto 6.2. Vedere la Tabella 4 per le correlazioni tra PL e SIL.
La norma IEC 62061 specifica che tale prescrizione vale è valida per i componenti complessi.
[IEC 62061] Subsystem architecture design
I sottosistemi che includono componenti complessi devono essere conformi agli standard di prodotto appropriati o alle norme IEC 61508-2 e IEC 61508-3, a seconda del SIL richiesto, e la progettazione deve utilizzare la Route 1H (vedere IEC 61508-2:2010, 7.4.4.2) per a modalità continua e ad alta richiesta.
CONCLUSIONI
Le Route 1H e 2H sono due metodi che possono essere seguiti per stabilire il livello di affidabilità di un componente e il modo in cui utilizzarlo in un sottosistema di sicurezza. La Route 1H è quello consigliato, soprattutto se si vuole utilizzare il componente in un sistema di sicurezza misto High Demand / Low Demand. La Route 1H richiede che un componente presenti i valori dei tassi di guasto raccomandati dalla serie IEC 61508:
- λSD: Tasso di guasti sicuri diagnosticati
- λSU: Tasso di guasti sicuri non diagnosticati
- λDD: Tasso di guasti pericolosi diagnosticati
- λDU: Tasso di guasti pericolosi diagnosticati
- λNE: Tasso di guasti con nessun effetto
Questi vengono normalmente stimati con l'aiuto di organismi esterni come EXIDA o TÜV.