Appunti su norma IEC 61508 e SIL
Questo documento costituisce un insieme di appunti provenienti da varie fonti sulla norma...
descritto una misura per ridurre il livello di rischio è l’introduzione di un sistema ESD
(Emergency Shut Down) composto d...
logica di sicurezza, incollaggio delle valvole, etc. Si rende dunque necessario definire un
grado di affidabilità del sist...
• Probabilità che si produca l’evento pericoloso W
   • Possibilità di evitare il rischio P
Le seguenti tabelle aiutano a ...
La progettazione
Ogni funzione di sicurezza individuata dall’analisi di rischio deve essere opportunamente
descritta, dopo...
Sw incorporato inserito           Da sviluppare in conformità a
                             nei sottosistemi             ...
Upcoming SlideShare
Loading in …5
×

EN61508 e SIL

3,628 views

Published on

Un insieme di note per comprendere in modo introduttivo alcuni concetti della norma IEC61508.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,628
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
63
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

EN61508 e SIL

  1. 1. Appunti su norma IEC 61508 e SIL Questo documento costituisce un insieme di appunti provenienti da varie fonti sulla norma IEC61508 finalizzati al tentativo di comprendere in modo introduttivo alcuni concetti con particolare attenzione al SIL (Safety Integrity Level). Introduzione alla normativa La norma EN IEC 61508 è una norma europea (EN) e internazionale. Questa norma è stata emessa e recepita in Italia come CEI EN 61508. L’argomento di questa norma riguarda la “Sicurezza funzionale dei sistemi di sicurezza elettrici, elettronici ed elettronici programmabili (E/E/PE)”. In Italia la legge n.186 del 01/03/1968, “Disposizioni concernenti la produzione di materiali, apparecchiature, macchinari…” nei suoi articoli indica che tutte le apparecchiature, macchinari, installazioni ed impianti elettrici ed elettronici devono essere realizzati a regola d’arte e sono tali quando realizzati secondo le norme CEI. Pertanto i sistemi elettrici ed elettronici programmabili per applicazioni di sicurezza, per essere a norma devono fare riferimento alla norma CEI EN 61508. Da notare che su analoghi principi e metodi della IEC 61508 sono state emanate norme applicabili a settori specifici: la IEC 61511 per i processi industriali, IEC 62061 per la sicurezza delle macchine, le EN 50126, EN 50128, EN 50129 per la segnaletica di controllo nel settore ferroviario, IEC 61513 per le centrali elettriche a combustibile nucleare, IEC 61800-5-1 per la regolazione di velocità e carico negli azionamenti. Definizioni e termini La norma in oggetto utilizza una serie di termini che è bene chiarire per evitare confusione. Primo fra tutti è quello di sicurezza: un sistema sicuro è privo di rischi non accettabili quali danni fisici o danni alla salute delle persone, sia in modo diretto e sia in modo indiretto come conseguenza di un danno ambientale. Supponiamo di avere un sistema tecnico costituito da un serbatoio (T) contenente del liquido utilizzato per raffreddare un reattore. La scarsità di liquido può provocare il mancato raffreddamento del reattore con un pericolo per le persone addette all’impianto, per gli abitanti dei dintorni e per l’ambiente. La possibilità che avvenga un evento con conseguenze pericolose si definisce rischio. La probabilità esprime una misura della possibilità che avvenga un determinato evento pericoloso. Un evento altamente probabile di conseguenze modeste può avere lo stesso livello di rischio di un evento con gravi conseguenze ma con scarse probabilità di accadere. Ad esempio la folgorazione derivante da fulmine è molto meno probabile di quella causata da corrente domestica, ma per questo non è meno pericolosa perché i livelli di tensione (livelli di pericolo) sono molto più elevati. Chi costruisce e gestisce il sistema tecnico CTR descritto in precedenza, deve eseguire un’analisi del rischio introdotto dal surriscaldamento del reattore e delle relative conseguenze in modo tale che il livello S A non sia superiore a quanto socialmente accettabile. T Se il livello di rischio non è accettabile, devono essere V intraprese delle azioni con l’obiettivo di ridurre il rischio a livelli accettabili. Solitamente i pericoli causati da attrezzature tecniche devono essere inferiori ai rischi esistenti in natura. Nel sistema PAG. 1 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10
  2. 2. descritto una misura per ridurre il livello di rischio è l’introduzione di un sistema ESD (Emergency Shut Down) composto di un sensore di livello S, un controllore elettronico CTR e una valvola V comandata dall’attuatore A. Quando il sistema di controllo attraverso il sensore rileva un livello basso del liquido di raffreddamento, comanda le valvole in modo tale da bloccare la reazione e portando il sistema tecnico in condizioni di sicurezza. Questo sistema svolge una funzione di sicurezza (Safety Function). L’insieme di dispositivi composto dal sensore, dal controllore, dall’attuatore e dalla valvola costituisce un sistema strumentale di sicurezza (Safety Related System) garantendo la sicurezza funzionale (Functional safety) dell’impianto. Difficoltà di progettazione I sistemi elettrici, elettronici ed elettronici programmabili (E/E/PE) sono sempre più utilizzati per eseguire funzioni di sicurezza. Solitamente questi sistemi sono complessi, rendendo impossibile determinare tutte le condizioni di guasto e di provare tutti i possibili comportamenti. E’ difficile prevedere la prestazione di sicurezza del sistema, sebbene il collaudo resti sempre essenziale. La progettazione di un sistema di controllo di sicurezza (SRECS) idoneo alla funzione di sicurezza da realizzare deve prevenire guasti pericolosi o mantenerli sotto controllo nel caso in cui insorgano. I guasti pericolosi possono essere provocati da: • Specifiche del sistema, dell’hardware o del software sbagliate • Specifiche dei requisiti di sicurezza omesse per dimenticanza durante lo sviluppo delle funzioni di sicurezza nelle diverse condizioni operative • Guasti casuali e sistematici dell’hardware. • Errori software • Guasti comuni • Errori umani • Disturbi ambientali (elettromagnetici, temperatura, fenomeni meccanici, ecc.) • Disturbi all’alimentazione elettrica (caduta o abbassamento della tensione, ecc.) La norma IEC 61508 contiene i requisiti per minimizzare l’effetto di questi guasti. Sistemi E/E/PE La norma IEC 61508 copre la sicurezza funzionale dei sistemi di sicurezza che utilizzano tecnologie elettriche, elettroniche ed elettroniche programmabili (E/E/PE). La norma si applica a questi sistemi indipendentemente dal tipo di applicazione. Un esempio sono gli interblocchi di sicurezza o l’arresto di emergenza dei macchinari. Molti sistemi che usavano tecnologia elettromeccanica o elettronica allo stato solido oggi utilizzano sempre più sistemi a elettronica programmabile. Dispositivi quali controllori programmabili, PLC e sistemi di comunicazione dati fanno parte di questo insieme di dispositivi. Recentemente si sviluppano anche sistemi di sicurezza che utilizzano reti di comunicazione favoriti dal diffondersi della tecnologia Internet. Un esempio è il monitoraggio degli impianti di trattamento acque effettuato da postazione remota. Affidabilità dei sistemi di sicurezza E’ ragionevole supporre che l’affidabilità del sistema non sia totale, nel senso che ogni singolo elemento può subire guasti che compromettano il funzionamento del sistema di sicurezza: errata misura del livello da parte del sensore, errore nell’elaborazione della PAG. 2 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10
  3. 3. logica di sicurezza, incollaggio delle valvole, etc. Si rende dunque necessario definire un grado di affidabilità del sistema di sicurezza. Tale grado di affidabilità dovrà essere compatibile con i livelli di rischio introdotti dal sistema tecnico: per livelli di rischio crescenti l’affidabilità del sistema di sicurezza dovrà crescere di conseguenza. In altre parole dovrà essere ridotta la probabilità di un guasto del sistema di sicurezza che possa portare l’impianto in una situazione di pericolo per mancato intervento dell’arresto di emergenza. Nella definizione del grado di affidabilità dovrà anche rientrare la capacità del sistema di individuare eventuali guasti mediante test (parziali o completi) e diagnostiche: entrambi questi strumenti permettono, infatti, di rilevare in anticipo eventuali anomalie, evitando che queste ultime possano condurre a un mancato intervento del sistema di sicurezza e quindi a una situazione pericolosa. Un tipico esempio è di evitare il superamento del livello di rischio definito accettabile, come quello di una pressione ammissibile per un’attrezzatura. Questa funzione di sicurezza (o sicurezza funzionale) potrebbe essere svolta da una valvola di regolazione che assicuri un livello di pressione su una linea in determinate condizioni di rischio dell’impianto e nello stesso tempo garantisca valori di regolazione nel funzionamento ordinario. Verificate le probabilità numeriche che la catena di sicurezza fallisca alla richiesta d’intervento in caso di anomalie di esercizio (inclusi gli errori umani e di funzionamento valutati come rischio), senza trascurare che il medesimo elemento svolge numerose operazioni nel funzionamento ordinario. Questa potrebbe affiancarsi o addirittura sostituire una protezione passiva (ad esempio un riduttore di pressione a coefficiente volumetrico fisso). S’intuisce che, se da un lato l’adozione estensiva della sicurezza funzionale favorisce la sempre minor adozione di dispositivi attivi di mitigazione (esempio valvole di sicurezza, dischi di rottura, ecc.), dall’altro impone uno standard tecnologico di elevata affidabilità e costantemente attivo per ricoprire nuove funzioni di prevenzione. Concetto di SIL La norma IEC 61508 definisce quattro livelli di Safety Integrity Level (da SIL1 a SIL4), ciascuno dei quali definisce una misura quantitativa della necessaria riduzione del rischio e quindi il grado di affidabilità che il sistema di sicurezza deve raggiungere per poter garantire tale riduzione. La norma non definisce il SIL da raggiungere in funzione della specifica applicazione: quest’operazione deve essere eseguita mediante un'analisi di rischio del sistema tecnico in oggetto e una valutazione del rischio accettabile, come combinazione della probabilità e del livello di pericolo. È importante ricordare, inoltre, che il SIL è relativo alla singola funzione di sicurezza e non all’intero impianto o ai singoli componenti. All’interno di un determinato impianto esisteranno numerose funzioni di sicurezza ciascuna delle quali relativa a un determinato pericolo a cui andrà associato un appropriato SIL. L’insieme dei componenti (e non questi ultimi presi singolarmente) di ogni sistema di sicurezza dovrà essere tale da rispettare la classe SIL da raggiungere. Per esemplificare l’assegnazione del SIL utilizziamo il metodo descritto nella norma IEC 62061 per la sicurezza delle macchine derivata dalla IEC 61508. Per le macchine i requisiti di sicurezza sono per il funzionamento “high demand mode”, ovvero la richiesta della funzione di sicurezza è maggiore di una volta l’anno. Per ogni pericolo individuato, occorre valutare: • Entità del danno S • Frequenza e durata del pericolo F PAG. 3 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10
  4. 4. • Probabilità che si produca l’evento pericoloso W • Possibilità di evitare il rischio P Le seguenti tabelle aiutano a parametrizzare i valori precedenti per ricavare la classe di probabilità del danno. Frequenza e/o durata Probabilità che si produca Possibilità di evitare il rischio F l’evento pericoloso P ≤ 1 ora 5 W Impossibile 5 Da > 1 ora a ≤ 1 giorno 5 Frequente 5 Possibile 3 Da > 1 giorno a ≤ 2 sett. 4 Probabile 4 Probabile 1 Da 2 sett. a ≤ 1 anno 3 Possibile 3 > 1 anno 2 Rara 2 Trascurabile 1 La somma dei punteggi ottenuti dalle tabelle consente di ricavare la classe K. Dal punto d’intersezione tra la riga per l’entità del danno S e colonna K si ottiene il SIL richiesto. Effetti Entità del Classe danno S K = F+W+P 3-4 5-7 8-10 11-13 14-15 Morte, perdita di un occhio o di un braccio 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 Permanente, perdita delle dita 3 SIL 1 SIL 2 SIL 3 Reversibile, cure mediche 2 SIL 1 SIL 2 Reversibile, pronto soccorso 1 SIL 1 Il SIL4 non è preso in considerazione in questo contesto perché riguarda pericoli con conseguenze catastrofiche, morte di più persone e gravi danni all’ambiente. Il SIL rappresenta quindi il livello d’integrità della sicurezza che deve essere attribuito a uno SRECS affinché sia idoneo a svolgere la funzione di sicurezza assegnata, per tutto l’intervallo di tempo stabilito e nelle condizioni d’uso previste. Il parametro usato per definire il SIL è la probabilità di guasto pericoloso/ora (PFHd). 10-4 10-5 10-6 10-7 10-8 SIL IEC 62061 Nessun requisito 1 2 3 di sicurezza Protezione per Protezione per basso rischio basso rischio Maggiore è il SIL, minore è la probabilità che lo SRECS non esegua la funzione di sicurezza richiesta. PAG. 4 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10
  5. 5. La progettazione Ogni funzione di sicurezza individuata dall’analisi di rischio deve essere opportunamente descritta, dopodiché scomposta in blocchi funzionali (ad esempio blocco funzionale delle informazioni d’ingresso, blocco funzionale dell’elaborazione logica delle informazioni, blocco funzionale delle uscite). A ciascun blocco funzionale è associato un sottosistema. I sottosistemi saranno a loro volta composti da componenti elettrici interconnessi e denominati elementi del sottosistema. La realizzazione tecnica dello SRECS può assumere un’architettura tipica simile alla seguente descritta per un semplice controllo di accesso alla zona di lavoro di una macchina utensile. SRECS Sottosistema 1 Sottosistema 2 Sottosistema 3 Barriera fotoelettrica PLC Attuatore Lo SRECS deve soddisfare i requisiti funzionali e di sicurezza individuati, pertanto devono essere rispettate le seguenti prescrizioni. Probabilità di guasto pericoloso per ora (PFHh) Sicurezza dell’hw Vincoli dell’architettura Comportamento dello SRECS in Shutdown (arresto) condizioni di guasto Funzionamento a sicurezza ridotta (se permesso dalla SIL ridondanza) Software di Creazione allarme sicurezza Controllo dei guasti sistematici Guasti sistematici Possibilità di evitare i guasti Ogni sottosistema dovrà essere realizzato tramite circuiti elettrici idonei ad ottenere il SIL richiesto. Software di sicurezza Nel caso in cui per realizzare la funzione di sicurezza sia necessario sviluppare dell’opportuno software, il codice va scritto in accordo quanto previsto dalle norme di riferimento in relazione al tipo di software prodotto. PAG. 5 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10
  6. 6. Sw incorporato inserito Da sviluppare in conformità a nei sottosistemi IEC 61508-3 Progetto e Sw parametrizzato Da sviluppare in conformità a sviluppo del sw IEC 62061 + configuratore con pw Sw Assembler, Da sviluppare in applicativo C, C++, … conformità a IEC 61508-3 Per config. Da sviluppare in PLC conformità a IEC 62061 Da sottolineare un sostanziale e immediato obiettivo da perseguire nell’adozione di sistemi di sicurezza programmabili è quello di evitare la manipolazione non autorizzata o non intenzionale del software o di altri elementi della catena. Conformità Per essere conforme alla norma si deve dimostrare che siano soddisfatti tutti i requisiti tra cui il SIL, obiettivi di ogni clausola e sottoclausola raggiunti. Alcune clausole della norma richiedono di specificare responsabilità delle persone, dipartimenti, organizzazioni per ogni fase ed attività del ciclo di vita della sicurezza funzionale. Il personale impiegato nelle varie fasi deve essere competente per le attività loro affidate. Inoltre sono presenti linee guida da seguire per assicurare che il personale avente responsabilità per ognuna delle fasi del ciclo di vita della sicurezza funzionale sia competente a sufficienza per assolvere alle proprie responsabilità. Tutto il personale impegnato nelle varie attività del ciclo di vita della sicurezza funzionale, incluse le attività gestionali, dovrà avere un appropriato grado di addestramento, una buona conoscenza tecnica, una pertinente esperienza ed una idonea qualifica, in relazione alla mansione ed al ruolo di responsabilità ricoperti. PAG. 6 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10

×