Comprensione dei livelli di integrità della sicurezza (SIL)

Come i modelli di rischio influenzano la progettazione della sicurezza

Comprendere la filosofia alla base della regolamentazione dei rischi è fondamentale quando si progettano sistemi strumentati di sicurezza (SIS) per ambienti pericolosi. I livelli di integrità della sicurezza (SIL), definiti nella norma IEC 61508 e in standard specifici per applicazioni quali IEC 61511, che forniscono una base per determinare il SIL appropriato, riflettono il livello di rischio considerato tollerabile in una determinata situazione. Tuttavia, può essere difficile collegare questi concetti astratti all'implementazione pratica del SIL.

Per i tecnici della sicurezza, gli integratori di sistemi, i progettisti e i team di progetto, comprendere l'approccio delle autorità di regolamentazione alla tollerabilità del rischio può aiutare a chiarire perché esistono determinati requisiti SIL e in che modo le autorità di regolamentazione valutano l'adeguatezza dei sistemi di sicurezza nelle diverse giurisdizioni.

Il quadro di tollerabilità del rischio

Sebbene ALARP (As Low As Reasonably Practicable, il più basso ragionevolmente praticabile) sia un termine familiare, il quadro di tollerabilità più ampio fornisce l'approccio strutturato che determina quando i calcoli SIL si traducono in conformità normativa. Questo quadro, citato nella norma IEC 61508 Parte 1 e approfondito nella norma IEC 61511, descrive come decidere se un sistema di sicurezza è adeguato o se necessita ancora di miglioramenti, ovvero la cosiddetta sicurezza funzionale.

Le tre zone di rischio in un contesto SIL

Gli standard internazionali di sicurezza utilizzano un modello di rischio a tre zone per determinare quando è necessario il SIL:

Figura 1: Quadro HSE per la tollerabilità del rischio

Rischio inaccettabile: rischi che non possono essere giustificati indipendentemente dai benefici.

In genere, questo viene applicato quando il rischio di vittime individuali supera 1 su 1000 all'anno, troppo alto per essere accettabile in qualsiasi condizione. Il rischio inaccettabile deve essere ridotto a livelli tollerabili prima che qualsiasi valutazione SIL diventi rilevante. L'implicazione ingegneristica è che il vostro caso di sicurezza deve dimostrare una riduzione del rischio al di sotto di questa soglia prima che inizi l'analisi SIL. Ciò richiede spesso una progettazione intrinsecamente più sicura o una protezione passiva.

Rischio tollerabile: lo spazio operativo in cui si trova la maggior parte delle implementazioni SIL.

I rischi individuali sono generalmente compresi tra 1 su 1000 e 1 su un milione all'anno (questo varia a seconda della giurisdizione e dell'applicazione). Rischio tollerabile significa che il rischio è ancora presente ma può essere giustificato. Ciò richiede la dimostrazione che i rischi sono ALARP o So Far As Reasonably Practicable (SFARP). L'implicazione ingegneristica in questo caso è dove i calcoli SIL sono preziosi, ovvero nel dimostrare che un'ulteriore riduzione del rischio diventa grossolanamente sproporzionata rispetto al beneficio ottenuto.

Rischio ampiamente accettabile: generalmente non SIL

Il rischio in questa categoria è per lo più inferiore a 1 su un milione all'anno per gli individui. Il rischio è talmente basso che non sono necessarie misure di sicurezza aggiuntive oltre alle buone pratiche ingegneristiche. Ciò significa che un'ingegneria eccessiva potrebbe non essere conveniente o necessaria dal punto di vista del rischio.

Colmare il divario tra standard e realtà

La norma IEC 61511 incoraggia un approccio flessibile e basato sul rischio alla selezione SIL e opera all'interno di questo quadro di tollerabilità, sebbene la norma consenta flessibilità nelle modalità di implementazione della selezione.

Integrazione LOPA con tollerabilità

L'analisi dei livelli di protezione (LOPA) suddivide un evento pericoloso e incorpora i principi di tollerabilità riducendo sistematicamente il rischio. Aggiunge livelli di protezione quali allarmi, sistemi di arresto o risposte dell'operatore. Ogni livello riduce il rischio; il rischio residuo viene confrontato con le soglie di tollerabilità. Questo crea un percorso chiaro dall'identificazione del pericolo alla giustificazione del SIL in modo che le autorità di regolamentazione possano comprenderlo e convalidarlo facilmente.

Grafici di rischio: un metodo visivo

I grafici di rischio sono un modo più rapido e visivo per stimare il SIL richiesto. Forniscono una connessione intuitiva tra i concetti di tollerabilità e la selezione del SIL tenendo conto della gravità di un potenziale risultato, della frequenza con cui potrebbe verificarsi e se le persone sono esposte al pericolo. Questi fattori sono mappati sui livelli SIL senza richiedere calcoli matematici.

Figura 2: Matrice SIL di frequenza e conseguenza dei pericoli

Differenze internazionali nella tollerabilità del rischio

I paesi e i settori industriali affrontano il rischio in modo diverso. Ciò crea sia sfide che opportunità per i progetti multinazionali, e le variazioni implicano che le decisioni relative al SIL devono tenere conto sia dei calcoli tecnici che delle aspettative delle autorità di regolamentazione locali.

Progettazione pratica SIL per la vita reale

Il quadro di tollerabilità cambia radicalmente il modo in cui definiamo l'ambito di un progetto e la profondità con cui valutiamo i rischi.

Sistemi ad alto rischio (ad es. SIL3) È necessario andare oltre i pericoli immediati del processo per considerare i fattori organizzativi sistemici, come l'integrazione con altri sistemi, l'interazione dell'operatore e i potenziali pericoli di avvio e arresto.

Rischio esterno comune Incendi, inondazioni, interruzioni di corrente o persino attacchi informatici devono essere valutati indipendentemente dalla loro probabilità. L'attenzione deve essere focalizzata sulla gravità delle conseguenze e sulla loro probabilità.

Più che semplici numeri I sistemi SIL devono soddisfare le buone pratiche ingegneristiche di base (GEP) indipendentemente dal calcolo del rischio. Il rispetto sia degli standard di sicurezza di base che delle giustificazioni basate sul rischio crea un equilibrio tra protezione e praticità.

Responsabilità lungo tutta la catena del valore

Ogni attore della catena di fornitura ha responsabilità distinte quando si tratta di valutare il rischio. Ad esempio, i fornitori di macchinari o gli OEM seguono in genere la norma EN 62061, concentrandosi sui pericoli direttamente correlati alla macchina stessa, in particolare quelli che potrebbero influire sugli operatori o sul personale di manutenzione che lavora nelle vicinanze.

Il quadro diventa più complesso per gli utenti finali, come gli operatori degli impianti di processo. Essi devono considerare i rischi immediati a livello di macchina e le conseguenze più ampie che potrebbero derivare da un malfunzionamento e rendere la macchina causa di un incendio o di un'esplosione. Il rischio si estende oltre le apparecchiature fino a comprendere la sicurezza dell'intero impianto e persino l'esposizione del pubblico. È improbabile che tali rischi siano presi in considerazione dal fornitore delle macchine, poiché questi non ha alcuna conoscenza di come o dove la macchina verrà utilizzata.

Fondamentalmente, quando si parla di SIL non esiste una soluzione valida per tutti. Capire chi è responsabile di quale rischio aiuta a garantire che la sicurezza sia affrontata in modo olistico, non solo a livello locale:

Gestione dell'incertezza nelle valutazioni di tollerabilità

Nessuna valutazione della sicurezza è perfetta e gli standard presuppongono che non sempre si disponga di tutti i dati necessari per fare previsioni perfette. Ecco perché vengono elaborate linee guida per gestire l'incertezza:

Limitazioni dei dati

Limitazioni delle prove di verifica

Punti chiave

Di David Beirne

Amministratore delegato, Ntron Gas Measurement

Per ulteriori informazioni su SIL e su come implementare un processo compatibile con SIL, contatta i nostri esperti.

Prossimo articolo della serie: “Come implementare un analizzatore compatibile SIL in un sistema strumentato di sicurezza (SIS)”

© 2025 Ntron Gas Measurement

Standard e linee guida correlati:

IEC 61508: Sicurezza funzionale dei sistemi E/E/PE relativi alla sicurezza

IEC 61511: Sistemi strumentati di sicurezza per il settore dell'industria di processo

ISO 12100: Sicurezza del macchinario - Principi generali per la progettazione

ANSI/ISA-84.00.01: Applicazione dei sistemi strumentati di sicurezza per le industrie di processo

Informazioni sull'autore

David Beirne è l'amministratore delegato di Ntron Gas Measurement. Ha oltre 30 anni di esperienza nei sistemi di misura e sicurezza dell'ossigeno e ha guidato lo sviluppo di tecnologie avanzate di misura e controllo dell'ossigeno in applicazioni farmaceutiche, chimiche e di sicurezza industriale. Il suo obiettivo è fornire sistemi di misurazione precisi e affidabili che supportino l'integrità dei processi, la conformità e l' eccellenza operativa.

Informazioni su Ntron

Ntron Gas Measurement, parte del gruppo DwyerOmega, sviluppa analizzatori di ossigeno avanzati e sistemi di misurazione dei gas per ambienti industriali e di processo particolarmente esigenti.

Con competenze in applicazioni che spaziano dal trattamento chimico all'inertizzazione e al monitoraggio di glovebox, Ntron offre soluzioni progettate per garantire precisione, affidabilità e sicurezza. Le innovazioni principali includono ilSILO2, un analizzatore di ossigeno compatibile con SIL 2 con un >sensore remoto architettura, progettata per supportare i requisiti di sicurezza funzionale per aree pericolose.

I sistemi Ntron sono apprezzati in tutto il mondo per garantire l'integrità dei processi, ridurre i rischi e assicurare la conformità agli standard internazionali di sicurezza e prestazioni.