SIL, parte 3: capacità sistematica

 

Che cos'è la sicurezza funzionale?

La sicurezza funzionale è il rilevamento attivo di condizioni potenzialmente pericolose, con la conseguente necessità di un meccanismo o di una funzione di protezione per evitare o ridurre le conseguenze degli eventi pericolosi che potrebbero verificarsi.

Nell'ambito della sicurezza generale delle apparecchiature controllate (EUC), la sicurezza funzionale si concentra sull'elettronica e sul software correlato.

La IEC 61508 è una norma internazionale riguardante la "Sicurezza funzionale dei sistemi elettrici/elettronici ed elettronici programmabili relativi alla sicurezza". Come norma generale sulla sicurezza funzionale, costituisce la base di molte norme derivate specifiche per i diversi settori, come la IEC 61511 per quanto riguarda l'industria di processo.

Seguendo un modello di ciclo di vita della sicurezza, le norme formalizzano la gestione della sicurezza funzionale e indicano misure e tecniche per la progettazione dei sistemi di sicurezza strumentale (SIS) e delle funzioni di sicurezza strumentale (SIF) associate.

 

IEC 61511 Ciclo di vita della sicurezza

 

Un elemento fondamentale del ciclo di vita della sicurezza è l'elaborazione delle specifiche dei requisiti di sicurezza (SRS). In base agli input ricavati dalle fasi di valutazione dei pericoli e dei rischi durante il ciclo di vita, questo documento funge da modello per la funzionalità, l'integrità e la convalida della progettazione dei sistemi di sicurezza.

 

 

Che cos'è il SIL?

Le specifiche dei requisiti di sicurezza (SRS) documentano il livello dell'eventuale riduzione del rischio residuo richiesto dalla progettazione del sistema di sicurezza e assegnano il livello SIL corrispondente.

Il SIL (Safety Integrity Level), ovvero livello di riduzione del rischio, è un livello relativo di riduzione del rischio reso possibile da una funzione di sicurezza. Sono stati definiti quattro livelli di SIL, da 1 a 4; SIL 4 corrisponde al massimo livello di integrità della sicurezza e al corrispondente fattore di riduzione del rischio.

 

SIL	Fattore di riduzione del rischio (Risk Reduction Factor, RRF)
4	> 10,000 fino a ≤ 100,000
3	> 1000 fino a ≤ 10,000
2	> 100 fino a ≤ 1,000
1	>10 fino a ≤ 100

 

 

Come si ottiene un SIL specifico?

Per ottenere un determinato livello SIL, la progettazione di una funzione di sicurezza deve soddisfare tre criteri specifici, come stabilito dalla norma.

Questi rigorosi criteri sono: probabilità di guasto casuale, vincoli di costruzione e capacità sistematica.

 

Questa sezione è dedicata al criterio 3: la capacità sistematica. Per informazioni sulla probabilità di guasto casuale e sui vincoli di costruzione, fate clic sui link corrispondenti.

 

 

PR electronics propone un'intera gamma di dispositivi certificati SIL per svariate applicazioni SIL.

 

 

Che cos'è la capacità sistematica?

La norma IEC 61508-2010 definisce la capacità sistematica come:

 

"Una misura (su una scala da SC 1 a SC 4) della certezza che l'integrità sistematica di un elemento soddisfi i requisiti del livello di integrità delle funzioni di sicurezza (SIL) specificato in relazione alla funzione di sicurezza dell'elemento, quando l'elemento viene utilizzato secondo le istruzioni contenute nel manuale di sicurezza."

 

I guasti sistematici sono generalmente dovuti a errori umani. Nelle fasi di progettazione, ingegnerizzazione, utilizzo e manutenzione di una funzione di sicurezza esiste il rischio di introdurre guasti sistematici che si manifesteranno in determinate circostanze.

 

I guasti sistematici sono spesso causati da specifiche dei dispositivi o dei componenti inadeguate, da errori nelle procedure operative o in quelle di manutenzione, oppure da bug del software. I guasti sistematici continuano a manifestarsi fino a quando la causa di base viene eliminata.

 

L'integrità sistematica si può definire come il livello di difesa contro i guasti sistematici.

 

Dimostrazione dell'integrità sistematica della sicurezza

La norma IEC 61511 prevede 2 metodi per dimostrare la capacità sistematica:

 

• Utilizzo di dispositivi certificati IEC 61508
• Giustificazione di utilizzo precedente

 

Utilizzo di dispositivi certificati IEC 61508

In base al livello SIL richiesto, la norma IEC 61508 impone requisiti rigorosi per la progettazione, la prevenzione dei guasti e i test sulle apparecchiature. Si garantisce così l'adozione, da parte dei produttori, di un processo rigoroso e ripetibile con piena responsabilità e documentazione associata.

Sono disponibili tabelle selezionate insieme alle tecniche e alle misure pertinenti che i produttori devono seguire per dimostrare la conformità al livello SIL specifico.

Tecnica/misura	Consultare la IEC 61508-7	SIL 1	SIL 2	SIL 3	SIL 4
Monitoraggio della sequenza dei programmi	A.9	HR low	HR low	HR medium	HR high
Rilevamento dei guasti mediante monitoraggio on-line	A.1.1	R low	R low	R medium	R high
Test mediante hardware ridondante	A.2.1	R low	R low	R medium	R high
Porta di accesso per test standard e architettura boundary-scan	A.2.3	R low	R low	R medium	R high
Protezione del codice	A.6.2	R low	R low	R medium	R high
Hardware diversificato	B.1.4	- low	- low	R medium	R high

IEC 61508-2010 - Tabella A.15 - Tecniche e misure per controllare i guasti sistematici causati dalla progettazione dell'hardware

 

 

La tabella di cui sopra è solo uno dei tanti esempi, ciascuno dei quali si concentra su un aspetto specifico.

In base al livello SIL richiesto, per ogni tecnica/misura sarà indicato se è obbligatoria (M), fortemente consigliata (HR), consigliata (R) o non consigliata (NR). La tabella indicherà anche l'efficacia che si richiede alla misura contro i guasti sistematici.

I dispositivi certificati IEC 61508 vengono sottoposti a una valutazione a cura di soggetti esterni accreditati, nella quale si esaminano tutti i requisiti di conformità assicurando che tutte le tecniche e le misure di progettazione, test e documentazione pertinenti siano applicate correttamente al livello SIL in questione.

I certificati SIL devono indicare il livello SC specifico.

 

 

Giustificazione di utilizzo precedente

Si può convenire che un caso di utilizzo del dispositivo è affidabile se uno specifico utente ha fatto esteso uso di tale dispositivo riscontrando una quantità sufficientemente bassa di guasti.

 

Per giustificarlo pienamente, tuttavia, si potrebbe richiedere che l'utente disponga di un sistema affidabile per documentare completamente TUTTI i guasti e le modalità di guasto, adottando un rigoroso controllo della versione delle varianti hardware e software che potrebbero avere conseguenze sull'esperienza precedente. Inoltre, per garantire la coerenza dei dati, le eventuali nuove applicazioni proposte devono avere condizioni operative simili a quelle in cui sono stati acquisiti i dati storici.

 

La norma IEC 61511, al punto 11.5.3, definisce i requisiti per la selezione dei dispositivi sulla base di una giustificazione di utilizzo precedente.

"Devono essere disponibili adeguate prove del fatto che i dispositivi siano adatti all'uso nel sistema di sicurezza strumentale, tra cui:

 

• Valutazione dei sistemi di qualità, gestione e gestione della configurazione utilizzati dal produttore
• Adeguata identificazione e specificazione dei dispositivi
• Dimostrazione delle prestazioni dei dispositivi in ambienti operativi simili
• Volume di esperienza operativa."

 

Livelli SIL superiori impongono ulteriori requisiti per eventuali altre giustificazioni di utilizzo precedente, in particolare se il software è incluso.

 

Una giustificazione di utilizzo precedente può essere molto difficile da fornire, per un utente finale, quindi molti utenti finali stanno approfittando del crescente numero di dispositivi certificati IEC 61508 per dimostrare la systematic capability.

 

La dimostrazione della Systematic Capability di per sé non è sufficiente per dimostrare il raggiungimento del livello SIL richiesto. È necessario considerare anche la probabilità di guasto casuale e i vincoli di costruzione.