Analisi SIL e Functional Safety Assessment di hardware e software

Tempo di Lettura: 8 minuti - Livello di Difficoltà: avanzato

Il Functional Safety Assessment (FSA) è il processo obbligatorio prima del rilascio della certificazione che consiste nell’analisi SIL e valutazione della rispondenza di un dispositivo ai requisiti di sicurezza funzionale. L’organismo di certificazione incaricato analizza la conformità di hardware e software alle clausole pertinenti della norma IEC 61508. I prodotti analizzati attraverso lo schema presentato di seguito sono definiti come unità funzionali specificate come sistemi di sicurezza o relativi sottosistemi e relativi elementi.

Il processo di Functional Safety Assessment è suddiviso in tre fasi:

  1. Hardware e software design review, ossia la revisione dettagliata della progettazione hardware e software, è la fase in cui i revisori esaminano la progettazione del prodotto rispetto ai requisiti di sicurezza funzionale insieme al produttore e ai progettisti.
  2. Revisione del Sistema di Gestione della Sicurezza Funzionale (Functional Safety Management System, FSMS) che mira a verificare la presenza e l’applicabilità di un sistema di gestione per l’adempimento dei requisiti di sicurezza funzionale.
  3. Audit sui vincoli di qualità che mira a verificare l’implementazione dei requisiti di qualità richiesti dalla norma IEC 61508 nel SGQ del produttore.

 

Analisi SIL

 

Progettazione dell’hardware e software 

Il primo step del processo di analisi SIL consiste nella revisione del progetto (hardware/software design review) generalmente effettuata almeno in parte, presso la sede del produttore e focalizzata sulla revisione di tutta la documentazione pertinente relativa alla progettazione del prodotto (schemi dettagliati dell’hardware, dispositivo scheda tecnica, codice software, ecc.), assegnazione e specifica dei requisiti di sicurezza (SRS) e manuale IO dell’articolo.

Durante la revisione dell’hardware, il valutatore incaricato dell’analisi SIL studia la progettazione del prodotto per identificare i sottosistemi e i componenti rilevanti per la sicurezza, definisce l’architettura funzionale (per es. la presenza di elementi ridondanti) e utilizza le informazioni raccolte per compilare l’analisi FMEDA (Failure Modes Effects and Diagnostics Analysis).

 

  • FMEDA, Failure Modes Effects and Diagnostics Analysis

Attraverso l’analisi sistematica e la decomposizione del prodotto nei suoi componenti rilevanti per la sicurezza, i tassi di guasto (sicuri/pericolosi e rilevati/non rilevati) e le potenziali modalità di guasto di ciascun componente vengono analizzati e classificati in base ai loro effetti sulla funzione di sicurezza prevista all’interno del prodotto finale.

A questo punto, la FMEDA (preliminare) deve essere discussa insieme al produttore per evidenziare i guasti non rilevati che potrebbero compromettere la sicurezza funzionale, consentendo al valutatore incaricato di decretare quali potenziali misure correttive implementare, come ad esempio test periodici di prova o misure diagnostiche del software/firmware.

Se durante la revisione del progetto vengono identificati dei gap rispetto ai requisiti dello standard IEC 61508, questi vengono documentati attraverso un GAP Analysis Report, in cui sono riportate alcune raccomandazioni per la correzione dei gap in termini di progettazione, documentazione ecc.

 

Al completamento del design review, per tutte le modalità di guasto hardware identificate sarà valutata la capacità diagnostica del software/firmware, attraverso cui l’ente per la certificazione SIL finalizza l’analisi FMEDA.

Il risultato dell’analisi FMEDA è una stima dell’affidabilità del prodotto e della capacità diagnostica, attraverso la quantificazione e la distribuzione dei tassi di guasto.

 

  • Stima della capacità sistematica (Systematic Capability)

Al termine dell’analisi FMEDA, e durante la fase di convalida dell’hardware, questo è sottoposto alla valutazione della capacità sistematica (Systematic Capability), ossia delle misure e delle tecniche implementate per evitare guasti sistematici per tutte le fasi del ciclo di vita (Safety Lifecyle), come specificato nella norma IEC 61508-2.

La capacità sistematica riporta il risultato della gestione del progetto, i requisiti di qualità e controllo della documentazione, la progettazione strutturata, ecc. gestita attraverso tutte le fasi del ciclo di vita al fine di evitare che il sistema fallisca in modo sistematico.

La capacità sistematica fornisce una stima quantitativa della solidità del sistema rispetto ai guasti sistematici.

 

  • Convalida del software

Prima di procedere con l’integrazione complessiva di hardware e software e con la relativa validazione, il software viene validato separatamente, come richiesto dalla norma IEC 61508-3. Durante questa fase:

  1. la struttura del software/firmware è validata secondo il modello V IEC 61508-3
  2. il software/firmware è valutato per quantificarne la capacità sistematica, considerando le misure e le tecniche implementate per evitare guasti sistematici durante tutte le fasi del ciclo di vita

 

Successivamente, saranno valutati gli altri requisiti pertinenti:

  1. Prevenzione degli errori di causa comune: gli errori di causa comune (CCF) sono guasti dipendenti, che consistono in più guasti derivanti da una singola causa condivisa. Questi sono eventi casuali e sistematici che causano il fallimento simultaneo di più dispositivi, sistemi o livelli. Quando i CCF non vengono valutati, si presume implicitamente che vi sia una perfetta indipendenza tra i dispositivi correlati in termini di progettazione, installazione, funzionamento, manutenzione e gestione del cambiamento, secondo il modello del fattore β (IEC 61508-6 Allegato D) per l’analisi e la stima del fattore hardware per guasti comuni
  2. Vincoli della copertura diagnostica
  3. Contenuto minimo del Safety Manual: l’organismo di certificazione esegue una revisione dettagliata dei contenuti del manuale di sicurezza del prodotto insieme al personale del produttore al fine di verificare la conformità ai requisiti minimi IEC 61508-2 Allegato D.

 

Sistema di gestione (FSMS)

La gestione da parte del cliente dell’implementazione della sicurezza funzionale, Functional Safety Management System (o FSMS), è un ulteriore tema oggetto del Functional Safety Assessment, in cui la valutazione si basa sulla documentazione per il sistema di gestione prodotta dal cliente.

Durante questa fase, viene analizzata la documentazione pertinente, come le policy e le procedure di sicurezza funzionale, specificando quale policy organizzativa e quale strategia sono implementate per raggiungere la sicurezza funzionale; la gestione e il piano della sicurezza funzionale che elencano la programmazione di tutte le attività previste dal Safety Lifecycle e la documentazione pertinente all’analisi SIL e agli audit di sicurezza funzionale; documentazione che dettaglia i requisiti per i controlli periodici di sicurezza funzionale.

 

Audit sui vincoli di qualità

Durante questa fase, viene verificata la presenza di un sistema di gestione della qualità (certificazione ISO 9001 o equivalente) per garantire al produttore la capacità di mantenere la certificazione SIL in tutti i prodotti fabbricati coperti dal certificato SIL.

L’audit sui vincoli di qualità è parte integrante del Functional Safety Assessment e si concentra su tutti i documenti e le procedure di qualità pertinenti, la documentazione di fabbricazione e di collaudo per l’efficace gestione organizzativa della sicurezza funzionale, come richiesto dalla norma IEC 61508-1.

Durante questa fase è necessario valutare anche la presenza di eventuali fornitori critici, cioè fornitori coinvolto nelle fasi del ciclo di vita del prodotto, come la produzione dell’hardware, sviluppo del software ecc. Qualora sia identificato un fornitore critico, questo è soggetto alla verifica del sistema di gestione della qualità ai fini della sicurezza funzionale.

 

Completamento del Functional Safety Assessment e certificato SIL

Prima della finalizzazione del Functional Safety Assessment, dovranno essere monitorati i test di convalida della sicurezza funzionale eseguiti presso la sede del produttore, seguendo il protocollo dettagliato nella procedura di test per la sicurezza funzionale sviluppata dall’organismo di certificazione responsabile e fornito al produttore.

L’obiettivo è dimostrare che il prodotto soddisfa le specifiche relative ai requisiti generali delle funzioni di sicurezza e ai requisiti generali di integrità della sicurezza, considerando la definizione e l’allocazione dei requisiti di sicurezza.

Al completamento con successo dei test di convalida del prodotto, l’organismo di certificazione rilascia il certificato SIL accompagnato dal report dell’analisi SIL condotta e dall’etichetta di sicurezza funzionale con il codice di identificazione univoco del prodotto certificato.

 

Forniamo consulenza SIL specializzata ai produttori per la preparazione della documentazione pertinente come richiesto dalla norma IEC 61508 e affidiamo la gestione del processo di Functional Safety Assessment e di certificazione SIL a BYHON, organismo di certificazione accreditato ANSI – Accreditamento # 8914.

 

Hai trovato utili queste informazioni?

Per ricevere un preventivo per una consulenza SIL completa

 

Contattaci

 

Per saperne di più su BYHON, ente per certificazione SIL

 

Visita BYHON.it

oppure

Torna all'elenco degli articoli

Scopri DIV-CO Collaboration System

Il sistema di collaborazione a distanza dotato di tecnologie avanzate per la gestione delle ispezioni remote.
SCOPRI DI PIÙ
close-link
DIV-CO Collaboration System

Div-Co
Collaboration reborn

Find out more about DIV-CO, a remote collaboration system offering a high-tech alternative to manage inspections and surveys.
FIND OUT MORE
close-link
DIV-CO Collaboration Reborn
back top

Send this to a friend