La sicurezza funzionale (Functional Safety) è il ramo dell’ingegneria che si occupa dei sistemi di sicurezza che utilizzano tecnologie elettriche, elettroniche ed elettroniche programmabili (E/E/PE). La sicurezza funzionale è al centro del contenuto della norma IEC 61508. La norma definisce quattro livelli di SIL (Safety Integrity Level), ossia SIL 1, SIL 2, SIL 3 e SIL 4.
Significato di SIL e SIF
È possibile definire il SIL come una misura quantitativa della riduzione del rischio, il significato di SIL è quindi riconducibile alla misura che indica il grado di affidabilità che un sistema di sicurezza deve raggiungere per ridurre il rischio di incidente durante il suo utilizzo.
Comunemente, i sistemi di controllo possono essere soggetti a guasti di diversa natura e pericolosità (pensiamo ai guasti casuali o sistematici dell’hardware, oppure a guasti dovuti a disturbi all’alimentazione elettrica, ad esempio causati da un abbassamento di tensione), e a guasti non prevedibili.
La conformità ai requisiti dello standard IEC 61508 permette di minimizzare gli effetti dannosi causati da un eventuale guasto di sistema. Questo significa che per essere a norma i sistemi di sicurezza devono essere conformi ai requisiti IEC 61508.
Il Safety Integrity Level (SIL) è la quantificazione dell’affidabilità (o grado di affidabilità) raggiunta da un qualunque oggetto che svolge una funzione legata alla sicurezza. Maggiore sarà la sua affidabilità maggiore sarà la sua capacità di assolvere funzioni critiche per la sicurezza o per la disponibilità di macchine o impianti.
I livelli SIL variano da 1 a 4 (SIL 1, SIL 2, SIL 3, SIL 4), dove il SIL non è attribuito all’intero impianto, ma alla singola funzione di controllo automatico. Determinare il livello SIL è indispensabile quando alcune funzioni hanno un’attinenza con la sicurezza, dove le funzioni sono identificate come SIF (Safety Instrumented Function, ossia funzioni di sicurezza).
Prendiamo ad esempio il caso di un controllo di temperatura di una caldaia. Ogni singolo componente all’interno di questa funzione del sistema di controllo – dalla sonda di temperatura fino al sistema di arresto dei bruciatori della caldaia – ha un grado SIL. Allo stesso modo uno qualunque degli oggetti che compongono questa funzione, come ad esempio la sonda di temperatura, può essere adoperato per più funzioni di sicurezza, ciascuna con livello SIL diverso.
Questo significa che all’interno di un impianto esistono molteplici funzioni di sicurezza, ciascuna associata a un determinato pericolo e ciascuna associata a un determinato livello SIL.
L’insieme dei componenti di ogni sistema dovrà rispettare il livello SIL complessivo da raggiungere secondo gli standard stabiliti dalla IEC 61508.
Contenuti della norma IEC 61508
La IEC 61508 è il riferimento tecnico-legislativo internazionale base per la sicurezza funzionale. Le sette parti che compongono la norma SIL sono la linea guida che deve essere applicata alla funzione di sicurezza che un oggetto deve svolgere.
La revisione delle norme IEC 61508 avviene mediamente ogni dieci anni. Per ogni settore esiste uno standard specifico a cui fare riferimento in ambito sicurezza funzionale, ad esempio la IEC 61511 applicabile all’industria di processo (come l’industria chimica o petrolchimica) e la IEC 62061 applicabile alle macchine (machinery); tutte queste norme estendono i requisiti della IEC 61508 a ciascun specifico settore di riferimento.
La normativa fornisce un insieme di requisiti cogenti e best practices volte a determinare l’affidabilità di un sistema di sicurezza. In questo senso, è possibile dire che l’affidabilità è la misura di riduzione del rischio. La IEC stabilisce infatti che qualsiasi sistema di controllo relativo alla sicurezza deve funzionare correttamente o fallire in modo prevedibile e sicuro.
Per questo, esistono 3 requisiti che un sistema di sicurezza deve soddisfare per essere conforme alla norma SIL:
- Systematic Capability, ossia il grado di affidabilità in termini di design prodotto, sia hardware che software (ove applicabile)
- Architecture Constraints, ossia vincoli all’architettura dell’oggetto che ne influenzano il livello di sicurezza
- PFDavg o PFH, ossia la probabilità di guasti casuali pericolosi, siano essi su domanda o su base oraria.
Il sistema di sicurezza soddisfa ciascun requisito con un livello SIL diverso (con SIL da 1 a 4). Il grado SIL totale corrisponderà al più basso fra questi livelli.
Per minimizzare la probabilità di guasto, la norma richiede di limitare per quanto possibile la complessità, il che significa che un sistema caratterizzato da una architettura composta da pochi componenti risulterà più affidabile di una realizzata con un gran numero di dispositivi.
Inoltre, un componente di un sistema può guastarsi sia che esso sia assiduamente utilizzato durante il ciclo produttivo sia che esso risulti “dormiente”, ossia in attesa di essere chiamato a funzionare in caso di pericolo imminente. Ovviamente queste due modalità di guasto sono molto diverse tra loro, e la norma declina requisiti diversi per ciascun caso.
Un ulteriore requisito normativo riguarda il personale impegnato nelle varie fasi del ciclo di vita della sicurezza (Safety Life Cycle), ossia l’insieme delle fasi di vita di un prodotto, a partire dalla progettazione fino alla sua dismissione. La IEC detta le linee guida da seguire per assicurarsi che il personale sia opportunamente competente. Questi gioca infatti un ruolo fondamentale: deve avere (o acquisire) capacità tecniche-ingegneristiche tali da garantire che le funzioni di sicurezza restino affidabili durante l’intero ciclo di vita del prodotto.
Calcolo del livello SIL: SIL 1, SIL 2, SIL 3 e SIL 4
Come detto, il livello SIL di un sistema deve essere calcolato per ciascuno dei tre requisiti che la norma stabilisce:
- Systematic Capability
- Architecture Constraints
- PFDavg o PFH
Il primo requisito è soddisfatto quando le apparecchiature sono progettate utilizzando procedure volte a prevenire errori sistematici di progettazione, realizzazione e collaudo della parte hardware, ma soprattutto del software, in genere presente nei dispositivi atti a svolgere funzioni di sicurezza. La massima capacità sistematica raggiungibile viene valutata attraverso audit e controlli dell’intero flusso realizzativo del prodotto, dalla progettazione, all’approvvigionamento delle parti, assemblaggio e collaudo fino al momento in cui l’oggetto è pronto per essere consegnato al suo utilizzatore.
Per determinare il massimo livello SIL ottenibile per il requisito di Architecture Constraints è necessario quantificare la Frazione Guasto Sicuro (SFF – Safety Failure Fraction):
SFF = (Safe + Dangerous Detected Failures) / Total Failures
Il calcolo della frazione di guasto sicuro è realizzato utilizzando la scomposizione dei tassi di guasto in sicuri e pericolosi, che la norma stabilisce di determinare per un qualunque oggetto atto a svolgere funzioni di sicurezza. Questa scomposizione può essere ottenuta effettuando un’analisi FMEDA (Failures Modes, Effects and Diagnostic Analysis).
Per quanto riguarda il calcolo SIL per il terzo requisito – probabilità di guasto casuale (random) -, riportiamo le tabelle presentate nella prima parte della norma (IEC 61508-1). La prima tabella SIL, relativa al PFDavg, rappresenta la probabilità di guasto su domanda, mentre la seconda, relativa al PFH, si riferisce alla frequenza di guasto pericoloso all’ora. L’applicazione di una o dell’altra tabella dipende dal tasso di domanda di ciascuna funzione di sicurezza:
| Safety Integrity Level (SIL) | Average probability of a dangerous failure on demand of the safety function (PFDavg) |
|---|---|
| 4 | ≥ 10-5 to < 10-4 |
| 3 | ≥ 10-4 to < 10-3 |
| 2 | ≥ 10-3 to < 10-2 |
| 1 | ≥ 10-2 to < 10-1 |
| Safety Integrity Level (SIL) | Average frequence of a dangerous failure of the safety function [h-1] (PFH) |
|---|---|
| 4 | ≥ 10-9 to < 10-8 |
| 3 | ≥ 10-8 to < 10-7 |
| 2 | ≥ 10-7 to < 10-6 |
| 1 | ≥ 10-6 to < 10-5 |
Una volta calcolato il livello SIL di una funzione di sicurezza per ciascun requisito IEC sarà possibile determinarne il grado di affidabilità complessivo.
La IEC 61508 è uno standard rivolto ai produttori di componenti e sistemi industriali che deve essere letto come un insieme di requisiti base, indipendenti dalla specifica applicazione, e di best practices volte a guidare l’utente al rispetto di tali requisiti.
Il livello SIL è spesso un requisito contrattuale per componenti o sistemi meccanici, elettrici ed elettronici. Anche se di fatto la norma non prevede una certificazione, gli utilizzatori finali tendono a preferire sistemi conformi e certificati secondo lo standard IEC 61508.
Vuoi intraprendere un'azione di certificazione SIL?
Torna all'elenco degli articoli
