SIL Analysis

Nelle industrie energetiche e di processo, la SIL analysis (analisi del Safety Integrity Level) è una delle attività più critiche per la sicurezza degli impianti e dei lavoratori. Spesso però viene fraintesa o trattata come un mero adempimento burocratico. Il risultato? Sistemi di sicurezza che non funzionano come previsto, interruzioni produttive e domande scomode da parte di management e autorità.

Fare correttamente una SIL analysis significa considerarla parte del ciclo di vita della sicurezza—dall’identificazione dei pericoli fino a esercizio e manutenzione—non un semplice calcolo. In questo articolo vediamo perché è facile sbagliarla, cosa comporta un approccio robusto e come applicarlo agli impianti critici.

Un esempio reale: quando le ipotesi non reggono

Immagina un impianto con un Safety Instrumented System (SIS) progettato per fermare un compressore in caso di temperatura troppo alta. Durante una manutenzione programmata, il team scopre che l’intervallo di proof test eseguito in campo è diverso da quello ipotizzato nella verifica SIL. Questo significa che la probabilità media di guasto pericoloso (PFDavg) calcolata nello studio non riflette più la realtà.

Al riavvio, il sistema genera più trip del previsto e, qualche settimana dopo, non interviene quando necessario. La produzione si ferma e il management chiede: “Ma la SIL era corretta?”

Situazioni simili accadono spesso quando la SIL analysis viene trattata come un documento statico e non come parte di un ciclo di vita legato ai dati reali dell’impianto.

Il problema di fondo: perché è facile sbagliarla

Una SIL non è un’etichetta da assegnare e dimenticare: è un obiettivo di riduzione del rischio legato a una specifica Safety Instrumented Function (SIF). Gli standard IEC 61508 e IEC 61511 sottolineano che il risultato dipende da vari fattori:

  • qualità dei dati (tassi di guasto, copertura dei test)
  • disciplina operativa (gestione bypass, tassi di domanda)
  • pratiche di manutenzione (intervalli, efficacia dei test)
  • gestione del cambiamento (hardware, procedure, assunzioni)

Se uno di questi elementi è debole, la SIL dichiarata può non reggere sul campo. Le autorità come l’HSE nel Regno Unito (per impianti COMAH) richiedono prove non solo che la SIL sia stata calcolata, ma che sia realistica e mantenuta nel tempo.

Cosa serve per una SIL analysis robusta

1. Partire dai pericoli, non dai numeri

Identificare gli scenari credibili e la riduzione del rischio necessaria per ciascuno. Utilizzare metodi riconosciuti come la LOPA (Layer of Protection Analysis) supportata da dati reali.

2. Definire requisiti chiari (Safety Requirements Specification)

Un buon SRS deve includere:

  • eventi iniziatori e setpoint
  • architettura SIF (es. 1oo2, 2oo3)
  • intervalli e copertura dei proof test
  • regole di bypass e reset
  • risposta attesa dagli elementi finali (valvole, attuatori)

3. Verificare con dati realistici

I calcoli di PFDavg o PFH devono basarsi su dati credibili, adattati all’ambiente operativo. È essenziale che gli intervalli di manutenzione ipotizzati siano realmente eseguibili dal team.

4. Chiudere il ciclo in esercizio

Monitorare trip indesiderati, ore di bypass, eventi di domanda, test scaduti e guasti rilevati. Questi dati devono alimentare la verifica SIL in modo continuo.

Il nostro approccio pragmatico con i clienti

  • Inquadrare il perimetro nel ciclo di vita della sicurezza. Allineiamo rischi, requisiti normativi e standard IEC 61511.
  • Determinare la SIL richiesta con metodi difendibili. Workshop con operation e manutenzione garantiscono ipotesi condivise e basate su evidenze.
  • Redigere un SRS chiaro. Così progettazione, acquisti e manutenzione lavorano verso lo stesso obiettivo.
  • Verificare la SIL con parametri realistici. Modelliamo i dispositivi e i test realmente fattibili.
  • Integrare esercizio e gestione del cambiamento. Test in ritardo generano azioni, bypass controllati, feedback continuo nei report SIL.

Mini caso studio

Un operatore LNG aveva ricorrenti shutdown e un target SIL contestato. La verifica originale assumeva test trimestrali e diagnostica perfetta sulle valvole ESD. In pratica i test erano semestrali e le diagnostiche non sempre eseguite.

Ricalcolando con i dati reali, la SIL non era più rispettata. Le opzioni: rafforzare diagnostica e disciplina dei test o riprogettare l’architettura. L’azienda ha scelto di migliorare i sistemi diagnostici e pianificare i test nei momenti di bassa produzione. In sei mesi i trip indesiderati sono diminuiti e il report di sicurezza è diventato difendibile anche con i regolatori.

Cosa significa “buono” nella documentazione

Un report di sicurezza solido racconta in modo coerente:

  1. Pericolo identificato
  2. Riduzione del rischio richiesta
  3. Progettazione e specifica della SIF
  4. Verifica delle prestazioni con dati
  5. Evidenza che le prestazioni siano mantenute

Se la catena si interrompe, gli ispettori lo noteranno subito.

Conclusione: come rendere efficace la SIL analysis

Per gli operatori energetici e di processo, la SIL analysis non è solo conformità normativa: è garanzia che i sistemi di sicurezza funzionino davvero. Un’analisi debole crea gap tra carta e realtà; un’analisi solida rafforza sicurezza, continuità operativa e fiducia con i regolatori.

ProjectZero aiuta le aziende a condurre analisi e verifiche SIL che resistono a controlli interni ed esterni.

👉 Vuoi sapere se i tuoi sistemi di sicurezza sono tarati sulla SIL corretta e capaci di dimostrarlo in esercizio? Richiedi una SIL review dedicata.