Dalla sicurezza funzionale a quella contro le esplosioni

Sommario
Sicurezza funzionale e Livello di integrità della sicurezza (Sil). Sicurezza contro le esplosioni e direttive Atex. Questi i due grandi temi trattati, con precisione esplicativa e chiarezza d'esposizione, in un catalogo della Asco che, proprio per l'importanza che rivestono, riteniamo utile proporre ai nostri lettori. L'analisi si snoda in una serie di argomenti specifici per ciascuno dei due grandi temi citati, offrendo un ben articolato quadro d'assieme.

Iniziamo col chiarire il concetto di sicurezza funzionale e Livello di integrità della sicurezza (Sil).

Sicurezza funzionale e Sil
Che cos’è la sicurezza funzionale?
La definizione formale di sicurezza, secondo la norma Iso/Iec 61508, è la seguente: “l’assenza di un rischio inaccettabile che possa causare, direttamente o indirettamente, lesioni fisiche o danni alla salute delle persone in conseguenza di danni alla proprietà o all’ambiente.”
La sicurezza funzionale è la quota parte della sicurezza che dipende dal corretto funzionamento di un sistema di sicurezza. Ad esempio, un dispositivo di protezione contro la sovratemperatura che utilizzi un sensore termico nell’avvolgimento di un motore elettrico per diseccitare il motore prima che l’avvolgimento si surriscaldi, è una forma di sicurezza funzionale. Ma l’applicazione di un isolamento speciale che impedisca un eccessivo rialzo della temperatura non è una forma di sicurezza funzionale, benché sia, in pratica, una forma di sicurezza in grado di proteggere dallo stesso identico rischio.
Non è possibile stabilire i criteri di sicurezza e quelli di sicurezza funzionale senza considerare i sistemi nel loro insieme e l’ambiente in cui essi interagiscono. Ciò vale in linea di massima per tutti i sistemi adottati per proteggere le persone da ogni tipo di rischio.
In un impianto di processo, è un sistema di controllo a mantenere il processo entro limiti di funzionamento sicuri. Questo sistema controlla il processo, impedendo che si verifichino variazioni dovute all’influenza di fattori di disturbo esterni. Nel caso in cui il sistema di controllo non riesca a mantenere il processo nei limiti di sicurezza previsti, scatta un allarme che richiede l’intervento dell’operatore. Quest’ultimo ha la capacità di sovrintendere l’intero processo, apportando le regolazioni necessarie a riportarlo alla normale condizione di controllo automatizzato.
Questo è un metodo standard che consente di mantenere la sicurezza in un impianto di processo; tuttavia, in molti casi non garantisce il raggiungimento di un livello di sicurezza accettabile. La questione del livello di sicurezza accettabile è di fondamentale importanza, poiché è alla base dei sistemi di sicurezza funzionale.

Il cosiddetto studio Hazop
La necessità di un sistema di sicurezza dipende dai risultati di uno studio, il cosiddetto studio Hazop (Hazard & Operability), nel corso del quale vengono identificati i rischi di una certa rilevanza. E’ importante notare che la sicurezza funzionale è soltanto uno dei modi di affrontare i rischi e che vi sono altri modi di primaria importanza per la loro eliminazione o riduzione, come la sicurezza intrinseca, di cui viene dotata l’apparecchiatura già in fase di progettazione. Due sono i requisiti che determinano il sistema di sicurezza: la funzione associata alla sicurezza e l’affidabilità associata alla sicurezza. Il primo requisito è la funzione del sistema di sicurezza e risulta dall’analisi di rischio. Il secondo è la probabilità che questa funzione di sicurezza sia eseguita correttamente e risulta dalla valutazione del rischio. Più alto sarà il livello di integrità della sicurezza, più bassa sarà la probabilità di un evento pericoloso.
L’asse orizzontale nella figura indica il livello della pressione. Con l’aumento della pressione, aumenta anche il rischio di una situazione pericolosa. L’asse verticale indica i livelli dell’affidabilità richiesta o dell’integrità richiesta per la funzione di sicurezza. Questo livello è definito Livello di integrità della sicurezza (Sil).

Classificazione del Livello di integrità della sicurezza e sicurezza
Sil è una classificazione del livello di integrità richiesto per la funzione di sicurezza, dove 1 è il livello di integrità più basso e 4 quello più alto. Attualmente, l’utilizzo degli standard Iec 61508 e Iec 61511 a livello industriale sta diventando una necessità ai fini della classificazione dei
sistemi di sicurezza, poiché tali standard specificano le azioni in termini di classi Sil. Si tratta di un metodo facile che fornisce un modo relativamente semplice per stabilire il livello di sicurezza funzionale di un impianto di processo.
I progettisti di sistemi trip che operano nell’ambito dell’industria di processo devono essere a conoscenza delle questioni inerenti, come, ad esempio, le tecniche disponibili, i requisiti stabiliti dalle varie normative e dagli organismi preposti.
Lo standard internazionale Iec 61511 è stato specificatamente sviluppato, per l’industria di processo, come implementazione dello standard Iec 61508 della Commissione internazionale per gli standard elettrotecnici (Iec).
Le funzioni di sicurezza sono eseguite da sistemi elettrici, elettronici o elettronici programmabili. Tali sistemi devono intervenire, per esempio nel caso di sovrappressione nel reattore (Fig.2), per riportare rapidamente la pressione a un livello di sicurezza. L’integrità di questa funzione dipende dalla severità delle conseguenze dell’evento incidentale. Tali conseguenze
sono riferite a tre categorie: persone, proprietà e ambiente. A queste tre categorie viene attribuita una classificazione in base ai quattro livelli Sil. Il livello più alto, ad esempio Sil 2, fissa il requisito di integrità per la funzione di sicurezza. Questa classificazione è definita classificazione della sicurezza.
Nell’esempio raffigurato, la pressione è in fase di misurazione, l’uscita è collegata al sistema di sicurezza e l’uscita del sistema è collegata a una valvola di sicurezza.
L’integrità di questo circuito dipende dall’affidabilità di tutti i componenti del circuito stesso e tale affidabilità è definita tasso di guasto (FR). In altre parole, l’FR è la probabilità che un’apparecchiatura non risponda o non rilevi una variazione di ingresso. Un’apparecchiatura che presenti un solo guasto su mille richieste d’intervento nell’arco di un anno ha un tasso di guasto di 0,001/anno.


Fig.2

Calcolo del Pfd e valutazione della sicurezza
Dato che un’apparecchiatura che non sia manutenuta o adeguatamente testata risulta meno affidabile, il tasso di guasto da solo non è sufficiente a specificarne l’integrità.
Un’apparecchiatura testata con una certa frequenza ha un’integrità maggiore rispetto a un’apparecchiatura che non venga mai testata. E’ stato, quindi, introdotto il Pfd, Probabilità di guasto su richiesta di intervento.
La media del Pfd di una singola apparecchiatura è calcolata in base alla seguente formula:
PFDavg = 0,5 x FR x Ti;
dove Ti è l’intervallo del test nella stessa base tempi dell’FR. Il livello di integrità della sicurezza, o Sil, è in relazione al Pfd dell’intero circuito sul quale poggiano le funzioni di sicurezza.
Il circuito è costituito, fondamentalmente, da tre componenti: il sensore, il logic solver e l’elemento finale. Nella Fig. 2, questi sono il trasmettitore, l’Ips e la valvola di sicurezza. L’affidabilità dell’iniziatore dipende dai tassi di guasto dell’interfaccia di processo, del sensore, del trasmettitore, delle scatole di giunzione, del cavo e degli elementi d’interfaccia come la barriera e la scheda d’ingresso del logic solver. Il Pfd dell’iniziatore si calcola sommando i singoli FR ed eseguendo poi il calcolo secondo la formula sopra indicata. La stessa procedura si applica all’elemento finale. Per il calcolo della media del Pfd del circuito, si sommano i Pfd dei tre componenti. Tale procedura è definita valutazione della sicurezza di un circuito.
Un altro modo per migliorare l’integrità di un circuito è quello di aumentare il numero degli iniziatori o degli elementi finali. Questo metodo è definito voting 1oo2 (one-out-of-two) o voting 1oo3 (one-out-of-three). Per eseguire una stessa funzione di sicurezza, vengono impiegate più apparecchiature
in ridondanza. La media appropriata del Pfd si ottiene con l’applicazione di diverse formule.
La Fig. 3 mostra la relazione tra Pfd e Sil.


Fig.3

Elementi finali
L’elemento finale è spesso costituito da un’elettrovalvola, un attuatore e una valvola di processo. Le elettrovalvole sono una parte essenziale del circuito di sicurezza, poiché controllano direttamente gli attuatori per valvole on/off. Nel funzionamento normale, l’elettrovalvola è sotto tensione e apre, azionando l’attuatore. Quando scatta il logic solver, l’alimentazione all’elettrovalvola si interrompe e la pressione agisce sull’attuatore muovendo la valvola nella sua posizione di sicurezza. La sicurezza dipende totalmente dall’affidabilità della valvola pilota. Ciò significa che le elettrovalvole devono essere costruite secondo i più alti standard qualitativi e testate nelle condizioni più severe. Le valvole pilota Asco della serie 327, 551 e 126 hanno ottenuto l’approvazione Tüv per l’utilizzo nei circuiti di sicurezza fino al Sil-4 con un Pfd < 4x10-7, che corrisponde al livello più elevato.
L’integrità del circuito di sicurezza non dipende soltanto dalla valvola pilota, ma anche da quella di processo. Poiché questa valvola resta fissa in una determinata posizione per gran parte del suo ciclo di vita funzionale, col tempo potrebbe incollarsi in quella posizione. Nel caso in cui ciò accada, non si muoverà nemmeno se l’elettrovalvola è attivata. E’, quindi, di fondamentale importanza testarne frequentemente la funzione (Ti, intervallo del test). In passato, si effettuava un test molto spesso manuale, durante il quale si osservava la corsa dello stelo. Le valvole moderne progettate per le applicazioni di sicurezza possono essere provviste di posizionatori digitali dotati di una particolare caratteristica chiamata “test della corsa parziale”, come, per esempio, il Fieldvue modello Dvc 6000 della Emerson.
Questi posizionatori di valvola sono in grado di eseguire un test, attivato da un segnale elettrico, che fa compiere alla valvola, ad esempio, il 20% della sua corsa (che può essere impostata tra il 10 e il 30%) e lo spostamento effettivo può essere controllato per mezzo del grafico. In caso di assenza di movimento, l’unità fa scattare un allarme. Il controllore digitale per valvola (Dvc) può essere utilizzato anche come valvola pilota. Quando il logic solver diseccita il Dvc, la pressione agisce sull’attuatore.
Questa soluzione non è, tuttavia, consigliabile, perché la valvola pilota ha un Kv/Cv molto più elevato del Dvc, il che causerebbe una risposta molto più rapida della valvola.
E’ consigliato l’utilizzo di una combinazione Dvc/valvola pilota che consente di utilizzare un circuito bifilare o a quattro fili. Nel circuito bifilare, l’elettrovalvola e il Dvc sono alimentati ambedue dal logic solver. Quando scatta il logic solver, l’alimentazione si interrompe su ambedue le apparecchiature, con il vantaggio che l’integrità aumenta per effetto della funzione di sicurezza combinata (voting 1oo2).Nel circuito a quattro fili, l’elettrovalvola è alimentata dal risolutore logico e il Dvc ha un’alimentazione indipendente. Il vantaggio del circuito a quattro fili è che, quando scatta il logic solver, il Dvc mantiene la comunicazione digitale con il sistema di controllo. Ciò consente una verifica continua dell’effettivo movimento della valvola.

Sicurezza contro le esplosioni e Atex
Che cos’è Atex
Un aspetto importante della sicurezza è l’utilizzo di apparecchiature elettriche in atmosfere esplosive. Ciò richiede una conoscenza specifica delle cause e della prevenzione delle esplosioni, come pure dei vari modi di protezione applicabili.
Atex è l’acronimo francese di Atmosphere Explosive. Le direttive Atex sono applicabili nelle zone in cui possono essere presenti miscele esplosive e, dal 1° luglio 2003, sono diventate obbligatorie nei Paesi della UE. La legge dispone che l’acquisto e l’utilizzo di apparecchiature destinate all’uso in zone pericolose debbano essere conformi alle direttive Atex.
Tali direttive coprono due aree: la distribuzione delle apparecchiature
da utilizzare in atmosfere esplosive (Atex 95) e la protezione della salute e
la sicurezza delle persone che lavorano in tali atmosfere (Atex 137). Atex
ha disposto che l’approccio alla sicurezza sia spostato dalla protezione
delle apparecchiature alla protezione delle persone, il che è molto
apprezzabile. Tenendo conto dell’imprevedibilità del fattore umano, le
persone devono essere adeguatamente dirette o assistite e, dal 1° luglio 2006, la direttiva Atex 137 è obbligatoria per gli utilizzatori finali nella UE.

Certificazione Ce
Dalla metà del 2003, le apparecchiature il cui uso è previsto in zone potenzialmente esplosive devono essere certificate in conformità alle direttive Atex e le persone che operano in tali zone devono poter disporre di istruzioni chiare. Atex è parte del Nuovo Approccio Europeo in materia di salute, sicurezza e ambiente e richiede l’uso della marcatura CE sulle apparecchiature approvate. Le zone pericolose sono classificate in tre livelli per i gas e i vapori - zona 0, 1 e 2 - e Atex comprende anche la classificazione in zone per le polveri: zona 20, 21 e 22.
La classificazione si basa sulla probabilità della presenza di miscela esplosiva, dove la zona 0 o 20 è la zona più pericolosa. La causa di un’esplosione si basa sul triangolo dell’esplosione, costituito da tre fattori: combustibile, ossigeno ed energia di accensione. Quando tutti e tre gli elementi sono presenti contemporaneamente, si verifica un’esplosione.
I modi di protezione prevedono l’eliminazione o l’isolamento di uno o più fattori del triangolo dell’esplosione. La direttiva Atex richiede la valutazione della maggior parte delle energie di accensione sia elettriche che meccaniche. Le apparecchiature elettriche vengono approvate o certificate qualora adottino determinati modi di protezione che comprendono: custodie ignifughe, sicurezza aumentata, sovrappressione interna, non scintillante (simbolo “n)”, sicurezza intrinseca e incapsulamento.
Secondo Atex 95, anche le parti o i componenti non elettrici devono essere considerati una potenziale sorgente d’innesco. Al fine di soddisfare tali requisiti, Asco ha esaminato tutte le elettrovalvole e le valvole a comando pneumatico. Per le apparecchiature certificate idonee all’uso nelle zone 0 (20), 1 (21) o 2 (22), la direttiva Atex prevede che siano ulteriormente classificate in base ai gruppi 1, 2 o 3. Sulle apparecchiature certificate deve essere apposta, in modo visibile, la marcatura corrispondente alla zona pericolosa nella quale possono essere utilizzate le apparecchiature. Devono, inoltre, essere apposti il marchio distintivo comunitario CE e il simbolo esagonale Ex seguiti dall’indicazione della zona d’uso, simboleggiata dal numero romano I (apparecchiature da usare nelle miniere) o II (apparecchiature da usare in superficie). Per la zona II, deve essere indicata la classe 1, 2 o 3 seguita dall’indicazione del materiale esplosivo che può essere utilizzato, ad esempio G e/o D, dove G sta per gas e D per polveri. Esempio: CE II 2 G significa apparecchiatura da usare nelle installazioni di superficie in atmosfere gassose nelle Zone 1 e 2.
Per le applicazioni con gas, deve essere indicato anche il codice secondo le norme originali Cenelec, ossia il modo di protezione applicato, il gruppo cui appartiene il gas e la classe di temperatura. Ad esempio, l’elettrovalvola Asco serie 126 riporta la seguente marcatura: EEx d IIC T6; custodia a prova di esplosione, per l’impiego di gas del gruppo IIC (idrogeno) e oltre, e massima temperatura superficiale di 85 °C a una massima temperatura ambiente di 40 °C.
La maggior parte delle apparecchiature destinate alle applicazioni con polveri è provvista di custodia a tenuta di polveri. Sulla custodia deve essere indicato il relativo grado di Ingress Protection o IP. IP5x indica la protezione contro l’ingresso di polveri e IP6x la protezione totale contro le polveri. L’energia di accensione è limitata dalla temperatura superficiale della custodia. Deve, quindi, essere indicata una temperatura massima. Esempio: CE II 3 D - IP65 T125 °C; questa apparecchiatura è destinata all’uso nelle installazioni di superficie, in atmosfera polverosa della Zona 22, mentre la massima temperatura superficiale è di 125 °C.

Approvazione delle valvole pilota
Facendo un esempio, le valvole pilota Asco per applicazioni in zone pericolose sono progettate in modo che l’energia di accensione sia isolata. I modi di protezione approvati per questo prodotto sono: sicurezza aumentata (EEx e), non scintillante (EEx nA), custodia antideflagrante (EEx d), incapsulamento (EEx m) e/o sicurezza intrinseca (EEx ia). Al f ne di ottenere una protezione adeguata, è possibile applicare un modo di protezione misto.
Un modo di protezione speciale è il tipo “n”. Questo modo di protezione rientra nella classe 3 ed è ammesso soltanto per la Zona 2 o 22. Il modo “n” ha delle suddivisioni indicate da una lettera maiuscola: nA (nessuna produzione di scintille), nL (limitazione di energia), nR (custodia a respirazione limitata), nP (sovrappressione interna semplificata) e nC (altri modi di protezione). Ciò permette l’uso di apparecchiature compatte ed economiche.
I modi di protezione vengono scelti in base all’applicazione, alla zona e alle preferenze dell’utilizzatore. La massima classificazione ottenuta (categoria 1, IIC T6) consente di utilizzare queste valvole pilota con qualsiasi tipo di miscela gassosa nelle installazioni di superficie in tutte le zone pericolose (zona 0). Ciò è possibile soltanto adottando il modo di protezione della sicurezza intrinseca ia. Un altro dei prodotti Asco approvati è la serie EM che riporta la marcatura II 2 G/D - EEx em II T6. Questa serie adotta il modo di protezione della sicurezza aumentata e dell’incapsulamento per l’utilizzo con gas e polveri nelle installazioni di superficie delle zone 1, 21, 2 e 22.

Certificazioni internazionali
Le direttive Atex sono obbligatorie per gli utilizzatori nell’ambito dei Paesi membri della UE. Tuttavia, stanno dimostrando interesse per questa metodologia anche aziende al di fuori dell’Unione.
La Iec, Commissione internazionale per gli standard elettrotecnici, sta fissando delle regole anche per la sicurezza contro le esplosioni. Lo schema è denominato IecEx; IecEx 01 indica le regole di base e IecEx 02 fornisce le regole per la certificazione delle apparecchiature. Come per le direttive Atex, lo scopo è di favorire lo scambio internazionale di prodotti, sistemi e servizi Ex. La Direttiva Atex 95 è una direttiva CE ed è, quindi, legislazione europea senza deroghe a livello nazionale. L’applicazione è obbligatoria dal 1° luglio 2003. IecEx 02 è uno schema volontario condotto dalla Iec con la partecipazione di 24 Paesi membri, che hanno promesso di
impegnarsi al massimo per promuovere gli obiettivi di tale schema. I certificati IecEx sono accettati ufficialmente soltanto in Australia e Nuova Zelanda.

Fig. 4