Ultima modifica: 02/08/2023
Nella sicurezza funzionale, i guasti sono classificati come casuali (nell’hardware) o sistematici (nell’hardware o nel software).
I guasti casuali sono normalmente attribuiti all’hardware. Si tratta di guasti che si verificano in un momento casuale, che si traducono in un degrado della capacità del componente di svolgere il proprio scopo. Sulla base dei dati storici, i guasti casuali possono essere caratterizzati da un parametro chiamato tasso di guasto λ, di cui abbiamo discusso finora. In altre parole, un guasto hardware casuale coinvolge solo l’apparecchiatura; i guasti casuali possono verificarsi improvvisamente senza preavviso o essere il risultato di un lento deterioramento nel tempo. Questi guasti possono essere caratterizzati da un singolo parametro di affidabilità, il tasso di guasto del dispositivo, che può essere controllato e gestito utilizzando un programma di “asset integrity”.
I guasti sistematici sono essenzialmente dovuti a errori. Possono essere eliminati solo mediante una modifica del progetto o del processo di fabbricazione, delle procedure operative o di altri fattori rilevanti. Esempi di cause di guasti sistematici includono errori umani durante la progettazione, produzione, installazione e il funzionamento dell’hardware. Se, ad esempio, un prodotto viene utilizzato nell’ambiente sbagliato, esiste il rischio di guasti sistematici. Un guasto sistematico coinvolge sia l’apparecchiatura che un errore umano; i guasti sistematici esistono dal momento in cui sono stati commessi errori umani e continuano ad esistere fino a quando non vengono corretti. Un errore sistematico può essere eliminato dopo essere stato rilevato, mentre i guasti hardware casuali no.
I guasti sono, quindi, casuali o sistematici; quest’ultimo può nascondersi nell’hardware o nel software. Una delle principali differenze tra guasti hardware casuali e guasti sistematici è che i tassi di guasto del sistema (o altre misure appropriate) derivanti da guasti hardware casuali possono essere previsti con ragionevole precisione, mentre i guasti sistematici, per loro stessa natura, non possono essere previsti con precisione. Ciò significa che i tassi di guasto del sistema derivanti da guasti hardware casuali possono essere quantificati con ragionevole accuratezza mentre quelli derivanti da guasti sistematici non possono essere quantificati statisticamente, perché gli eventi che li portano non possono essere facilmente previsti. In altre parole, i parametri di affidabilità dei guasti hardware casuali possono essere stimati dai feedback sul campo, mentre è molto difficile fare lo stesso per i guasti sistematici: per i guasti sistematici è preferibile un approccio qualitativo.
I guasti casuali vengono presi in considerazione con il calcolo dei diversi tipi di tassi di guasto. Per i guasti sistematici viene utilizzato il concetto di Systematic Capability di un componente.
La Systematic Capability di un componente è una misura (espressa su una scala da SC 1 a SC 4) della confidenza che Systematic Safety Integrity del componente soddisfi i requisiti del SIL specificato. In altre parole, un componente con Systematic Capability SC 2 può essere utilizzato solo in SIS con affidabilità fino a SIL 2, indipendentemente dalla ridondanza utilizzata per quel componente. Ciò significa che se un componente ha SC 1 (SIL 1), anche utilizzandone due in parallelo, il livello massimo di affidabilità che può raggiungere il sottosistema è SIL 1.
Per valutare la Systematic Capability di un componente, il laboratorio che la stima esamina, ad esempio, quanto è stato buono il suo processo di sviluppo e quanto è stato buono il suo processo di produzione.
Il concetto di Systematic Capability è stato introdotto nella seconda edizione della IEC 61508. Poiché il termine non era presente nella prima edizione, nelle schede tecniche e nei documenti è apparsa una terminologia, come componente “SIL n-capable” oppure “SIL n-compliant”, che ha generato molta confusione! La confusione deriva dal fatto che, grazie al concetto di Systematic Safety Integrity, è possibile assegnare un livello SIL a un componente. Ciò è insolito, poiché il concetto SIL appartiene a una funzione di sicurezza e non a un componente.
Con la nuova edizione della serie IEC 61508, il concetto è stato chiarito: un dispositivo, con una Systematic capability di SIL 2 (SC 2), ad esempio, soddisfa la Systematic Safety Integrity di SIL 2 se applicato in conformità con le istruzioni fornite dal suo produttore. Ciò significa che, anche se i tassi di guasto e l’SFF consentono al componente di raggiungere SIL 3, può essere utilizzato solo in un sottosistema di sicurezza SIL 2. Ciò significa anche che, seppur utilizzato in ridondanza con un altro componente e il loro sottosistema può raggiungere SIL 3, il sistema di sicurezza può raggiungere solo SIL 2.
Ancora una volta: Safety Integrity significa sia Hardware Safety Integrity che Systematic Safety Integrity. I guasti sistematici (hardware o software) e di conseguenza la Systematic Safety Integrity, non possono essere quantificati. D’altra parte, i guasti hardware casuali solitamente possono esserlo.
Un sistema di sicurezza necessita di un certo livello di Safety Integrity per essere “affidabile” o, in altri termini, necessita di essere “immune” da guasti sia Sistematici che Casuali.
I guasti hardware casuali sono quantificabili e vengono presi in considerazione grazie ai valori forniti dal produttore del componente, come i tassi di guasto, MTTFD e PFHD. Il problema è legato a come affrontare i guasti sistematici. Ciò viene fatto garantendo un certo livello di Systematic Capability, che è la terminologia utilizzata in IEC 61508. La Systematic Capability si applica a un componente di sicurezza in relazione al livello di confidenza che la Systematic Safety Integrity soddisfi i requisiti del Safety Integrity Level (SIL) specificato.