Analisi delle funzioni di sicurezza del sistema di distribuzione energia d’emergenza di ITER.
Brief
L’obiettivo del progetto è la valutazione dell’affidabilità delle funzioni strumentate di sicurezza implementate dal sistema di distribuzione dell’energia elettrica di emergenza del reattore a fusione nucleare sperimentale ITER.
L’attività è successiva all’analisi RAMI (Reliability, Availability, Maintainability and Inspectability) dello stesso sistema, sempre realizzata per Ansaldo Nucleare.
Sfide di progetto
Fornire una stima delle performance di affidabilità delle funzioni strumentate di sicurezza per un sistema altamente complesso che permetta, inoltre, di evidenziare le attuali vulnerabilità (e.g. funzioni che coinvolgono numerosi componenti, target di affidabilità non raggiunti ecc.).
Il sistema è distribuito su due edifici (B44 e B45) funzionalmente simmetrici, ognuno di esso caratterizzato da quadri di media e bassa tensione intrinsecamente elaborati.
Questa complessità comporta la necessità di analizzare più di 200 catene di sicurezza (acquisizione e trasmissione delle condizioni di allarme, elaborazione della reazione agli allarmi, esecuzione della reazione di protezione) caratterizzate ognuna dal proprio hardware e dalle proprie logiche di voto.
Inoltre, è necessario completare i dati affidabilistici con assunzioni adeguate e informazioni disponibili, compatibilmente alle tecnologie impiegate e alle modalità di conduzione dell’impianto.
Soluzione
- Le funzioni di protezione implementate dal sistema di alimentazione di emergenza di ITER sono state identificate gerarchicamente e classificate.
- I componenti coinvolti nell’acquisizione e trasmissione delle condizioni di allarme, nell’elaborazione della reazione agli allarmi e nell’esecuzione della reazione di protezione sono stati identificati per ciascuna funzione di protezione.
- L’affidabilità dei singoli componenti è stata valutata mediante l’elaborazione di dati di guasto di ritorno dal campo, l’applicazione di modelli di predizione, l’utilizzo di banche dati affidabilistici, metodi strutturati di “giudizio degli esperti”.
- Per ogni funzione di sicurezza sono stati sviluppati in BlockSimTM, in maniera qualitativa, degli alberi dei guasti (è riportato un esempio in figura), che mostrano in maniera chiara l’architettura hardware e le relative logiche di ridondanza che competono alle funzioni stesse; essi fungono da supporto all’analisi quantitativa.
- L’analisi quantitativa è stata realizzata mediante la costruzione di un modello di calcolo in Excel basato sulla IEC 61508.
- L’affidabilità del sistema nell’implementazione di ciascuna funzione di protezione è stata valutata in termini di Probability of Failure on Demand (PFD) e Probability of Failure per Hour (PFH).
- Il soddisfacimento dei requisiti è stato valutato attraverso il calcolo del Safety Integrity Level (SIL) per ogni funzione strumentata di sicurezza.
Fasi di esecuzione
Studio dell’architettura del sistema.
Identificazione e classificazione delle funzioni di sicurezza.
Identificazione dei componenti coinvolti per ogni funzione di sicurezza.
Valutazione dell’affidabilità di componenti e assiemi elettronici.
Sviluppo qualitativo degli alberi di guasto (mediante BlockSimTM) per la visualizzazione dell’architettura hardware e delle relative logiche di ridondanza che competono ad ogni funzione di sicurezza.
Calcolo delle stime quantitative dell’affidabilità delle funzioni di sicurezza (PFD, PFH), mediante modello Excel basato su IEC 61508.
Calcolo del Safety Integrity Level (SIL) per ogni funzione strumentata di sicurezza e confronto con i requisiti.
Risultati ottenuti
L’analisi ha permesso di calcolare le performance di affidabilità, in termini di Probability of Failure on Demand (PFD), Probability of Failure per Hour (PFH) e Safety Integrity Level (SIL), delle funzioni strumentate di sicurezza implementate dal sistema di distribuzione dell’energia elettrica di emergenza di ITER e di verificare, con successo, il rispetto dei requisiti applicabili al sistema.