Nel campo dell’automazione e dell’ingegneria i concetti di affidabilità, disponibilità e ripristino sono impiegati per definire al meglio le funzioni di sicurezza e di conduzione d’impianto.L’affidabilità (reliability) si propone di misurare la “capacità” di funzionamento di dispositivi o sistemi di produzione. Tale misura è valore numerico definito in termini di probabilità, espresso su una scala tra 0 e 1. L’analisi di affidabilità risulta particolarmente utile negli impianti che utilizzano sostanze pericolose o quelli soggetti a “rischio di incidente rilevante”. Anche in impianti che non sono soggetti a rischio di incidente rilevante, un’analisi di affidabilità può avere benefici effetti sulla sicurezza, per esempio per garantire l’incolumità del personale addetto allo svolgimento di operazioni critiche o per valutare l’affidabilità delle procedure operative standard e di emergenza. Dalla definizione di affidabilità deriva che le operazioni di manutenzione siano eseguite in intervalli di tempo non coincidenti con i tempi di missione. La manutenzione può rendere infatti il sistema non disponibile per il tempo necessario alla sua riparazione.
Nel caso in cui i sistemi o i componenti siano riparabili, si definisce anche la funzione di disponibilità (availability). Il principale parametro di disponibilità è il tempo medio al ripristino MTTR (Mean Time To Repair) il quale esprime il tempo medio che intercorre tra l’insorgenza di un guasto e il completamento della sua riparazione. Un parametro che dipende dai precedenti è il tempo medio che intercorre tra due guasti, detto MTBF (Mean Time Between Failure), ed è ovviamente applicabile solo a componenti riparabili. Collegato a tali indicatori c’è anche l’MRT (Mean Repair Time) che indica il valore atteso del tempo necessario di riparazione. In questo caso per “tempo di riparazione” si intende solamente il tempo strettamente necessario ad eseguire l’intervento di manutenzione, al netto di tutte quelle attività di “preparazione del lavoro” come il tempo necessario per la chiamata, il prelievo di ricambi, le ricerche di utensili o attrezzature e la diagnosi dei guasti
Quindi MRT e MTTR possono anche essere visti come indici complementari in grado di fornire un’informazione più completa se usati in coppia. La differenza tra i due tempi permette di separare i fattori intrinseci (soprattutto manutenibilità) da quelli operativi (in particolare reattività, diagnostica, flessibilità). MRT è un indicatore irrinunciabile per definire le specifiche tecniche di un prodotto in fase di progettazione in sinergia tra manutenzione e progettazione.
MTTR e MRT nel mondo della sicurezza funzionale
Facciamo un passo indietro e portiamo questi concetti di affidabilità nel mondo della sicurezza funzionale. Prima che il SIL venisse definito nel 1997, con l’edizione 1.0 della norma IEC 61508, le funzioni e i sistemi di sicurezza erano espressi tramite misure qualitative denominate anche AK (Anforderungklas) o RC (Requirement Class). Oltre ai requisiti AK/RC veniva usata anche la disponibilità in termini percentuali. L’indice MTTR rappresentava il tempo necessario per riparare un guasto. Prima dell’edizione 2.0 della norma IEC 61508 l’MTTR veniva tipicamente stimato in otto ore o multipli di otto fino a novantasei ore, tempo in genere necessario e sufficiente per le riparazioni, a prescindere dal ciclo produttivo e dalla disponibilità di ricambi e manodopera.
Con l’introduzione delle edizioni 2.0 della IEC 61508 (2010) e della IEC 61511 (2016-2017) cambiano le definizioni. Quella di MTTR (Mean Time To Restoration) coincide con il tempo previsto per il ripristino e include la somma di quattro addendi: tempo per identificare il guasto, tempo per avviare la riparazione, tempo di riparazione effettiva e tempo intercorso prima che il componente venga rimesso in funzione. Viene poi introdotta la definizione di MRT (Mean Repair Time) come tempo complessivo previsto di riparazione. Per analizzare i guasti la norma IEC 51511 richiede di documentarne il comportamento quantificando tutti i guasti casuali. La misura di guasto calcolata per ogni funzione di sicurezza strumentata SIF (PFDavg/PFH) deve essere uguale o migliore della misura di guasto target (RRF, Risk Reduction Factor) relativa al livello di integrità SIL, come specificato nell’SRS (Safety Requirement Specification). Pertanto, sono necessarie informazioni quali i dati relativi al tasso di guasto del sottosistema, le cause comuni di guasto in caso di ridondanza, l’intervallo del test di prova, il tempo di vita utile della funzionalità del dispositivo, e naturalmente i parametri di affidabilità e disponibilità MTTR, MTNF; MRT, MPRT (Maximum Permitted Repair Time). Per ricavare dati numerici da queste informazioni, sia la IEC 61508 che la IEC 61511 prevedono formule semplificate implementabili tramite specifici software o fogli di calcolo.
Sfide operative
Sul piano operativo bisogna considerare anzitutto il tempo di Proof Test (test di prova) raccomandato dal produttore e definito nel manuale di sicurezza. Poi c’è la stima delle prestazioni del circuito di sicurezza per mantenere un determinato SIL (RRF). Purtroppo, questo intervallo è spesso determinato dalle richieste della produzione che possono ammontare ad alcuni anni. Se l’intervallo tra i tempi di inattività programmata del processo è maggiore dell'intervallo di prova, sono necessarie strutture di prova in linea integrate nella progettazione del SIS.
Il capitolo normativo IEC TR 61511- 4 viene in soccorso specificando che i dispositivi SIS che non possono essere sottoposti a test di prova con la frequenza prevista dal progetto, a causa dei requisiti di disponibilità della produzione, non sono adatti allo scopo. Un sistema esistente che non può essere testato per raggiungere il SIL di progetto deve essere riprogettato. Si noti anche che a seconda dell'architettura utilizzata, MRT è il tempo necessario per riparare una funzione di sicurezza “non disponibile” e trasformarla in “disponibile”. Quindi l’MRT influisce sicuramente sul tempo in cui la funzione di sicurezza non è conforme alle richieste o non fornisce la riduzione del rischio stimata. Poiché in molti casi non sono disponibili pezzi di ricambio per le funzioni di sicurezza, l’MRT stimato dipende totalmente dal tempo di consegna del componente guasto. Pertanto, lo standard IEC 61511 consiglia di conservare i pezzi di ricambio identificati e disponibili per ridurre al minimo l’MRT.
Vuoi approfondire? Guarda il webinar sul canale Youtube