Il Functional Safety Assessment (FSA) è un processo obbligatorio prima del rilascio della certificazione SIL che consiste nell’analisi e valutazione della rispondenza di un dispositivo ai requisiti di sicurezza funzionale in conformità alla norma IEC 61508.
Fasi del Functional Safety Assessment
Il processo di Functional Safety Assessment è suddiviso in tre fasi:
- Hardware e software design review, ossia la revisione dettagliata della progettazione hardware e software, è la fase in cui i revisori esaminano la progettazione del prodotto rispetto ai requisiti di sicurezza funzionale insieme al produttore e ai progettisti.
- Revisione del Sistema di Gestione della Sicurezza Funzionale (Functional Safety Management System, FSMS) che mira a verificare la presenza e l’applicabilità di un sistema di gestione per l’adempimento dei requisiti di sicurezza funzionale.
- Audit sui vincoli di qualitàche mira a verificare l’implementazione dei requisiti di qualità richiesti dalla norma IEC 61508 nel SGQ del produttore.
Progettazione dell’hardware e software
- Revisione del progetto (design review)
Il primo step del processo di analisi SIL consiste nella revisione del progetto (hardware/software design review) generalmente effettuata almeno in parte, presso la sede del produttore e focalizzata sulla revisione di tutta la documentazione pertinente relativa alla progettazione del prodotto (schemi dettagliati dell’hardware, dispositivo scheda tecnica, codice software, ecc.), assegnazione e specifica dei requisiti di sicurezza (SRS) e manuale IO dell’articolo.
Durante la revisione dell’hardware, il valutatore incaricato dell’analisi SIL studia la progettazione del prodotto per identificare i sottosistemi e i componenti rilevanti per la sicurezza, definisce l’architettura funzionale (per es. la presenza di elementi ridondanti) e utilizza le informazioni raccolte per compilare l’analisi FMEDA (Failure Modes Effects and Diagnostics Analysis).
- FMEDA, Failure Modes Effects and Diagnostics Analysis
Attraverso l’analisi sistematica e la decomposizione del prodotto nei suoi componenti rilevanti per la sicurezza, i tassi di guasto (sicuri/pericolosi e rilevati/non rilevati) e le potenziali modalità di guasto di ciascun componente vengono analizzati e classificati in base ai loro effetti sulla funzione di sicurezza prevista all’interno del prodotto finale.
Il risultato dell’analisi FMEDA è una stima dell’affidabilità del prodotto e della capacità diagnostica, attraverso la quantificazione e la distribuzione dei tassi di guasto.
- Stima della capacità sistematica (Systematic Capability)
Al termine dell’analisi FMEDA, e durante la fase di convalida dell’hardware, questo è sottoposto alla valutazione della capacità sistematica (Systematic Capability), ossia delle misure e delle tecniche implementate per evitare guasti sistematici per tutte le fasi del ciclo di vita (Safety Lifecyle), come specificato nella norma IEC 61508-2.
La capacità sistematica riporta il risultato della gestione del progetto, i requisiti di qualità e controllo della documentazione, la progettazione strutturata, ecc. gestita attraverso tutte le fasi del ciclo di vita al fine di evitare che il sistema fallisca in modo sistematico.
La capacità sistematica fornisce una stima quantitativa della solidità del sistema rispetto ai guasti sistematici.
- Convalida del software
Prima di procedere con l’integrazione complessiva di hardware e software e con la relativa validazione, il software viene validato separatamente, come richiesto dalla norma IEC 61508-3. Durante questa fase
- la struttura del software/firmware è validata secondo il modello V IEC 61508-3
- il software/firmware è valutato per quantificarne la capacità sistematica, considerando le misure e le tecniche implementate per evitare guasti sistematici durante tutte le fasi del ciclo di vita
Successivamente, saranno valutati gli altri requisiti pertinenti:
-
- Prevenzione degli errori di causa comune: gli errori di causa comune (CCF) sono guasti dipendenti, che consistono in più guasti derivanti da una singola causa condivisa. Questi sono eventi casuali e sistematici che causano il fallimento simultaneo di più dispositivi, sistemi o livelli. Quando i CCF non vengono valutati, si presume implicitamente che vi sia una perfetta indipendenza tra i dispositivi correlati in termini di progettazione, installazione, funzionamento, manutenzione e gestione del cambiamento, secondo il modello del fattore β (IEC 61508-6 Allegato D) per l’analisi e la stima del fattore hardware per guasti comuni
- Vincoli della copertura diagnostica
- Contenuto minimo del Safety Manual: l’organismo di certificazione esegue una revisione dettagliata dei contenuti del manuale di sicurezza del prodotto insieme al personale del produttore al fine di verificare la conformità ai requisiti minimi IEC 61508-2 Allegato D.
Sistema di gestione della Sicurezza Funzionale
La gestione da parte del cliente dell’implementazione della sicurezza funzionale, Functional Safety Management System (o FSMS), è un ulteriore tema oggetto del Functional Safety Assessment, in cui la valutazione si basa sulla documentazione per il sistema di gestione prodotta dal cliente.
Durante questa fase, viene analizzata la documentazione pertinente, come le policy e le procedure di sicurezza funzionale, specificando quale policy organizzativa e quale strategia sono implementate per raggiungere la sicurezza funzionale; la gestione e il piano della sicurezza funzionale che elencano la programmazione di tutte le attività previste dal Safety Lifecycle e la documentazione pertinente all’analisi SIL e agli audit di sicurezza funzionale; documentazione che dettaglia i requisiti per i controlli periodici di sicurezza funzionale.
Audit sui vincoli di qualità
Durante questa fase, viene verificata la presenza di un sistema di gestione della qualità (certificazione ISO 9001 o equivalente) per garantire al produttore la capacità di mantenere la certificazione SIL in tutti i prodotti fabbricati coperti dal certificato SIL.
L’audit sui vincoli di qualità è parte integrante del Functional Safety Assessment e si concentra su tutti i documenti e le procedure di qualità pertinenti, la documentazione di fabbricazione e di collaudo per l’efficace gestione organizzativa della sicurezza funzionale, come richiesto dalla norma IEC 61508-1.
Durante questa fase è necessario valutare anche la presenza di eventuali fornitori critici, cioè fornitori coinvolto nelle fasi del ciclo di vita del prodotto, come la produzione dell’hardware, sviluppo del software ecc. Qualora sia identificato un fornitore critico, questo è soggetto alla verifica del sistema di gestione della qualità ai fini della sicurezza funzionale.
Completamento del FSA e certificato SIL
Prima della finalizzazione del Functional Safety Assessment, dovranno essere monitorati i test di convalida della sicurezza funzionale eseguiti presso la sede del produttore, seguendo il protocollo dettagliato nella procedura di test per la sicurezza funzionale sviluppata dall’organismo di certificazione responsabile e fornito al produttore.
L’obiettivo è dimostrare che il prodotto soddisfa le specifiche relative ai requisiti generali delle funzioni di sicurezza e ai requisiti generali di integrità della sicurezza, considerando la definizione e l’allocazione dei requisiti di sicurezza.
Al completamento con successo dei test di convalida del prodotto, l’organismo di certificazione rilascia il certificato SIL accompagnato dal report dell’analisi SIL dal codice di identificazione univoco del prodotto certificato.
Vuoi ricevere consigli su come trasformare le sfide aziendali in risultati?
Torna all'elenco degli articoli
