2. Implementazione della procedura di riduzione del rischio

Un rischio incombente viene in genere ridotto installando ulteriori circuiti PLT con funzionalità di sicurezza, oltre alle apparecchiature PLT richieste per motivi operativi, vale a dire i circuiti che intervengono solo in presenza di malfunzionamenti delle apparecchiature operative. Le apparecchiature utilizzate esclusivamente ai fini della riduzione del rischio rientrano nelle categorie dei dispositivi di protezione o delle funzioni Z.

Il grado di riduzione del rischio raggiunto tramite l'uso di dispositivi di protezione dipende dal corretto funzionamento di questi ultimi. L'impossibilità che si verifichi un guasto rende possibile l'eliminazione completa del rischio pertinente. Il rischio residuo sarebbe quindi pari a zero. Poiché uno scenario del genere non è realizzabile nella pratica, per raggiungere il livello massimo di riduzione del rischio è necessario ricorrere a dispositivi di protezione consolidati. Sebbene persista sempre un rischio residuo, la sua entità è così esigua da poter essere tollerato. L'obiettivo delle attività di progettazione consiste nell'implementare i dispositivi di protezione, in maniera tale da raggiungere un livello di riduzione del rischio, il più vicino possibile al SIL richiesto.

Una riduzione del rischio insufficiente (SIL dei dispositivi di protezione inferiore al livello richiesto) porta ad un rischio residuo intollerabile. Allo stesso modo, un'eccessiva riduzione del rischio (SIL dei dispositivi di protezione superiore al livello richiesto) richiede un elevato carico di lavoro superfluo e difficilmente giustificabile.

Gli standard EN 61511 e VDI/VDE 2180 specificano i criteri di progettazione dei dispositivi di protezione per il raggiungimento di un determinato grado di riduzione del rischio (un SIL specifico). È fondamentale conoscere le cause dei guasti ai dispositivi di protezione, al fine di individuare i requisiti di progettazione corrispondenti. Dalle analisi più approfondite si evincono due tipi di guasti possibili ai dispositivi di protezione:

• Guasti sistematici
• Guasti casuali

Mentre è possibile quantificare la probabilità di insorgenza di un guasto casuale, non è possibile quantificare i guasti sistematici.

A differenza dei guasti casuali, infatti, i guasti sistematici possono essere prevenuti, in linea di principio. Nella realtà, infatti, ciò non sempre è possibile, soprattutto in ambito software. Partendo da tali considerazioni, è possibile individuare i seguenti requisiti relativi alla progettazione dei dispositivi di protezione:

• Prevenire i guasti introducendo un apposito sistema di gestione della qualità (parole chiave: "Sistema Functional Safety Management" o "sistema FSM" in breve)
• Evitare i guasti ricorrendo alla ridondanza e/o all'approccio sicuro e al rilevamento degli errori (parole chiave: tolleranza ai guasti in campo hardware, somma dei guasti relativi alla sicurezza, copertura diagnostica)
• Esecuzione di calcoli per quantificare la probabilità degli errori in base all'analisi dei guasti casuali (parole chiave: calcolo PFD/PFH)

L'applicazione pratica dei tre punti sopra menzionati determina la misura della riduzione dei rischi per i dispositivi di protezione. In generale, il carico di lavoro richiesto per le attività di pianificazione, implementazione e messa in servizio dei dispositivi di protezione dipende dal SIL richiesto per tali dispositivi. Gli standard EN 61508, EN 61511 e VDI/VDE 2180 descrivono l'esatta correlazione tra le attività di progettazione dei dispositivi di protezione e il SIL che può essere raggiunto.

Durante la progettazione dei dispositivi di protezione, al fine di raggiungere un determinato livello di riduzione del rischio, è necessario considerare in maniera approfondita concetti come la prevenzione e il controllo dei guasti, oltre alla probabilità di insorgenza di questi ultimi. Il fatto di considerare la probabilità di un guasto non è sufficiente, da solo, a raggiungere un determinato requisito SIL. Nella pratica, affinché un dispositivo di protezione raggiunga un determinato SIL, è necessario che sia la struttura (ridondanza, diagnostica, progettazione a prova di guasti) sia la probabilità di insorgenza di un guasto (PFD/PFH) soddisfino i requisiti specificati nello standard relativo al SIL in questione. È inoltre necessario ricorrere a un sistema FSM nelle attività di implementazione. Solo in tal modo sarà possibile prevenire i guasti sistematici in maniera appropriata.