SIL è l'acronimo di Safety Integrity Level: un parametro relativo all'integrità di sicurezza di un sistema, definito dalla norma IEC/DIN EN 61508 che è diventata un punto di riferimento imprescindibile per la definizione di tecnologie all'avanguardia per la sicurezza funzionale, dopo disastri come l'incidente di Seveso. Ne abbiamo parlato anche nella nostra guida "Plant Asset Management: guida per gestire gli asset aziendali". Quali sono i diversi gradi SIL, quali i vantaggi e come ti può supportare Endress+Hauser nell'ottenere la conformità?

Ecco tutte le risposte.  

Indice: 

- Safety Integrity Level nell'industria di processo

- Sistemi di sicurezza SIL: i vantaggi

- Sicurezza funzionale SIL: minimizzare i pericoli potenziali

- Sil: determinazione del Safety Integrity Level richiesto

- Certificazione SIL

- Simply Safe: 13 modi per prevenire errori sistematici con dispositivi SIL 

- Caso applicato: verifica SIL, estendi gli intervalli con Liquiphant

Safety Integrity Level nell'industria di processo

Il SIL prevede una classificazione degli strumenti in quattro livelli distinti:

• SIL 1

  il grado di sicurezza più basso, facilmente raggiungibile tramite un'adeguata progettazione;

• SIL 2

  richiede l'utilizzo di buone pratiche di sviluppo;

• SIL 3

  richiede l'utilizzo di sofisticate tecniche di sviluppo;

• SIL 4

  il grado di sicurezza più alto, oneroso da raggiungere e difficilmente applicabile all'industria di processo. 

In generale, i requisiti di sicurezza funzionale SIL si applicano a molte apparecchiature e componenti nel mondo dell'industria di processo. Ad esempio:

• sensori e attuatori: sensori di livello, misure di temperatura e pressione, sistemi di monitoraggio della velocità, valvole, trasmettitori, barriere e così via;
• sistemi programmabili: PLC, HMI etc.;
• dispositivi elettrosensibili (ESPE) come apparecchiature optoelettroniche, proximity e così via;
• sistemi di comunicazione sicuri;
• azionamenti che integrano funzioni di sicurezza. 

Sistemi di sicurezza SIL: i vantaggi

La sicurezza funzionale è un elemento chiave per costruttori di macchine e gestori di impianti, che permette diversi vantaggi, fra cui:

• aumento della produttività grazie ad una maggiore disponibilità delle macchine: riduzione dei tempi di inattività non pianificati e produzione senza intoppi;
• maggiore durata utile degli impianti;
• prevenzione dei costi diretti derivanti da lesioni personali (compresa l'assistenza medica, compensi e risarcimenti);
• prevenzione dei costi indiretti derivanti da lesioni (ad es. sanzioni per la mancata osservanza delle prescrizioni o costi di riparazione);
• miglioramento della competitività globale, aumentando la capacità di esportazione delle macchine. 

- Sicurezza funzionale SIL: minimizzare i pericoli potenziali

I responsabili dei sistemi di sicurezza devono adottare misure idonee per valutare e ridurre il rischio durante tutto il ciclo di vita. A questo riguardo, la norma IEC 61508 definisce alcune fasi specifiche da adottare per raggiungere il grado SIL desiderato all'interno degli impianti:

• Definizione e valutazione dei rischi in base a rapporti dettagliati sulla probabilità di guasto per l'intero circuito di sicurezza (loop), dal sensore al sistema di controllo fino all'attuatore, durante tutto il ciclo di vita della sicurezza;
• Definizione e implementazione delle misure (gestione della sicurezza funzionale);
• Uso di apparecchiature idonee (certificate).

Per i sistemi di sicurezza, la norma IEC 61511 definisce questi passaggi come mostrato nell'immagine:

Per valutare l'idoneità delle apparecchiature per i sistemi strumentati di sicurezza (sensori, controllori,
attuatori, blocchi di interfaccia) è possibile usare i seguenti metodi:

• Attestazione mediante certificazione
  - Quale base di dati è stata utilizzata per la classificazione?
  - Come sono stati raccolti i dati?
  - Quali sono le condizioni associate all'applicazione?
• Verifica con metodo "proven-in-use"
  - Attestazioni del produttore
  - Attestazioni dell'utente finale
• Esame mediante "prova per tipo" (fino a SIL 2)
  I limiti di queste valutazioni sono i seguenti:
  - nessuna valutazione dei collegamenti e delle interfacce del processo (ad esempio dei tubi)
  - nessun tasso di guasto per i componenti meccanici
  - considerazioni sui tempi critici (tempi di risposta)

In sintesi, si può concludere che un'implementazione giuridicamente valida ed economicamente conveniente dei sistemi strumentati di sicurezza può essere ottenuta con le misure seguenti, anche se l'elenco non è esaustivo:

• Creazione di un sistema di gestione della sicurezza funzionale
• Standardizzazione dell'hardware e del software (ad esempio, con l'uso di componenti certificati o "proven-in-use")
• Documentazione di requisiti e attività / risultati
• Adeguata preparazione professionale

SIL: determinazione del Safety Integrity Level richiesto

Il livello SIL non è nient'altro che la misura della probabilità che il sistema di sicurezza possa svolgere correttamente le funzioni di sicurezza richieste in una tempistica specifica.

Più è alto il valore numerico dei livelli SIL (safety integrity level), tanto maggiore è la riduzione del rischio. La probabilità di guasto media (PFD o PFH) diminuisce di un fattore 10 per ogni livello di sicurezza. 

Nell'immagine che segue è possibile visualizzare come determinare il livello SIL richiesto: 

Inoltre, nella classificazione del SIL delle apparecchiature si fa riferimento a due modalità operative: modalità a bassa domanda e modalità ad alta domanda: 

• modalità a bassa domanda
  Nel caso della modalità a bassa domanda si può presumere che l'intervento del sistema di sicurezza non sia richiesto più di una volta l'anno. In questo caso, il valore SIL è ricavato dal valore della probabilità di guasto media su domanda (probability of failure on demand, PFD). La modalità a bassa domanda è tipica del settore dell'industria di processo.

• modalità ad alta domanda
  Nel caso della modalità ad alta domanda, si può presumere che l'intervento della funzione di sicurezza sia richiesto continuativamente o una volta all'ora in media. La modalità ad alta domanda è caratteristica di sistemi o macchine che richiedono un monitoraggio continuo (industria manifatturiera).

Certificazione SIL

Tutti i componenti dei sistemi strumentati di sicurezza devono essere accompagnati da un attestato di idoneità. A questo riguardo sono disponibili le seguenti opzioni:

• componenti con attestato di sicurezza funzionale del produttore: l'attestazione viene certificata da un organismo notificato esterno o viene garantita dal produttore stesso;
• componenti "proven-in-use" (valutazione "proven-in-use" eseguita con il supporto del produttore): la valutazione "proven-in-use" di un dispositivo per una determinata applicazione può essere condotta dall'utente finale e deve essere accompagnata da una dichiarazione del produttore. Con la nuova edizione del 2016 questa possibilità è limitata ai componenti semplici (Categoria B);
  
• Componenti "prior-use" (valutazione "proven-in-use" eseguita dall'utente finale): per i dispositivi senza certificazione SIL, l'utente finale può auto-certificare che quei dispositivi siano "proven-in-use" per il suo impianto. 

Simply Safe: tredici modi per prevenire errori sistematici con dispositivi SIL

Dal 1999, Endress+Hauser offre prodotti certificati SIL per il più alto grado di sicurezza. Oggi l'impresa dispone del più vasto portafoglio di strumenti di sicurezza orientato all'industria di processo, opportunamente sviluppato e valutato indipendentemente da TÜV Rheinland, capace di essere integrato in loop di sicurezza funzionale fino a SIL3.

La strumentazione di Endress+Hauser ruota intorno al concetto “simply safe”, semplicemente sicuro. La prevenzione di errori sistematici in ottemperanza al Safety Integrity Level avviene in tredici modi diversi:

1. diagnostica in conformità alla norma NE107. Ciascun dispositivo è in grado di inviare un segnale di allarme in caso di difetto, e un avviso in caso di condizioni di processo che incidono sull’operatività dell’apparecchiatura;
2. copertura diagnostica fino al 98%. Endress+Hauser garantisce un elevato livello di sicurezza grazie all'ampia diagnostica dei dispositivi e dei processi;
3. Heartbeat Technology™. Semplice test ripetuto in situ: con questa tecnologia basta premere un pulsante e si riceve chiara documentazione di test. Per un approfondimento puoi leggere anche “Heartbeat Technology™: semplicità per l’Asset Management”;
   
   
4. Versione firmware SIL testata e specificata. Evita ripetute valutazioni “proven-in-use” o aggiornamenti del driver. Le nuove apparecchiature di Endress+Hauser, con il concetto di “dispositivo a due fili" consentono per la prima volta di specificare il firmware del dispositivo tramite la struttura del prodotto;
5. Registro degli eventi. I dispositivi Endress+Hauser registrano e rendono tracciabili tutti gli eventi rilevanti in ordine cronologico. Il registro eventi di ciascuna apparecchiatura indica inizio e fine dell’evento, nonché timestamp con il contatore delle ore di funzionamento;
   
   Un esempio di strumentazione SIL di Endress+Hauser.
6. HistoROM. Semplice sostituzione dei componenti senza dover modificare i parametri tarare lo strumento. Grazie a HistoROM di Endress+Hauser tutti i parametri specifici dei punti di misura vengono trasmessi automaticamente e in modo affidabile;  
7. SIL sviluppato in accordo alla norma IEC 61508. La norma di costruzione a cui fa riferimento Endress+Hauser previene errori sistematici nel processo di sviluppo della strumentazione e consente una fase “comprovata in uso” abbreviata a sei mesi (in accordo con NE130). 
   
   
8. Selezione e dimensionamento del dispositivo SIL. Endress+Hauser offre il software Applicator: con questo strumento, in pochi clic, è possibile scegliere il dispositivo di misurazione ottimale praticamente per qualsiasi applicazione. Più di 300 selezioni di processo e tutte le caratteristiche speciali archiviate nell’Applicator garantiscono l'esecuzione di un test dettagliato dell’applicazione, con la specifica dei dati di processo. Ciò garantisce il dimensionamento ottimale del relativo dispositivo di misurazione e archivia la documentazione del punto di misura;
9. Documentazione SIL. Endress+Hauser offre una documentazione SIL compatta e standardizzata dei dispositivi, che specifica tutti i valori delle caratteristiche di sicurezza pertinenti e definisce le condizioni operative dei dispositivi nelle apparecchiature di sicurezza. Ciò significa avere tutti i dati rilevanti sulla strumentazione dei dispositivi di sicurezza a portata di mano;
10. SIL 3 - Ridondanza omogenea. Commutazione sequenziale senza problemi. Spesso è necessario progettare apparecchiature di sicurezza per il controllo di processo in modo che siano ridondanti, ad esempio per l'implementazione dei punti di misura SIL 3 o per la strumentazione di circuiti 2oo3 (2 su 3). I dispositivi di Endress+Hauser consentono di implementare una configurazione ridondante omogenea per soddisfare tali criteri;
11. Sequenza SIL. Messa in servizio semplice e guidata e test automatici di tutti i parametri di impostazione relativi a SIL. All'inizio della sequenza SIL, alcuni parametri rilevanti sono impostati su valori predefiniti specificati, al fine di prevenire sistematici errori durante la parametrizzazione;
12. Blocco SIL. È possibile proteggere i dispositivi da accessi non autorizzati, utilizzando un codice cliente individuale. Inoltre, l'interruttore di protezione dalla scrittura dell'hardware blocca l'accesso a qualsiasi interfaccia operativa o di comunicazione. Ciò garantisce che i dispositivi siano configurati correttamente e impedisce qualsiasi accesso non autorizzato;
13. Identificazione SIL per ciascun dispositivo. Tutti gli strumenti identificati come idonei all'uso nei circuiti di protezione riportano il logo SIL sulla targhetta, per una facile identificazione.

Verifica SIL: estendi gli intervalli con Liquiphant 

L'azienda CABB AG, in Svizzera, avendo a cuore la sicurezza del proprio impianto ha deciso di acquistare un nuovo interruttore di livello a diapason sviluppato da Endress+Hauser. Il nuovo Liquiphant FTL51B opera in ridondanza omogenea e garantisce il rilevamento del livello per punti in un loop di sicurezza SIL3. Il dispositivo supporta la nuova strategia di verifica di CABB AG, che richiede un test di verifica SIL completo con una copertura pari quasi al 100% (PTC) ogni tre anni.

Sviluppato in conformità a IEC 61508 per l'impiego diretto in applicazioni SIL2 e SIL3 senza sforzi eccessivi, Liquiphant esegue facilmente verifiche funzionali periodiche SIL da dispositivo mobile, con una procedura guidata intuitiva. Al termine della verifica, si riceve in modo automatico la documentazione di riferimento.

Utilizzando questo strumento, CABB AG ha potuto estendere gli intervalli di test per le verifiche  SIL. Con l'ausilio della Heartbeat Technolgy™, poi, l'impresa può verificare lo strumento di misura senza interruzione di processo, risparmiando tempo e risorse.

Ecco un video che mostra il funzionamento di Liquiphant e le sue peculiarità nelle funzioni di sicurezza: 

In conclusione, qualsiasi processo industriale presenta rischi e potenzialità di causare incidenti, con gravi conseguenze anche letali. Chi gestisce processi industriali ha l'onere di anticipare potenziali incidenti e impostare misure di controllo dei rischi. Qualsiasi sistema di gestione dei processi, dal più elementare al più evoluto, funziona in modo affidabile solo attraverso strumentazione affidabile. 

Adottare strumentazione certificata SIL permette di ridurre questi rischi, proteggendo le persone e l'ambiente.

Endress+Hauser aiuta a ridurre il rischio di incidenti nelle applicazioni standard e in sicurezza, offrendo non solo prodotti e servizi, ma anche consulenza nella scelta della strumentazione da campo. 

Vuoi avere informazioni specifiche per migliorare la sicurezza SIL nei tuoi processi produttivi? Clicca sul bottone qui sotto e parla con un nostro esperto!