SICUREZZA FUNZIONALE

Cos’è la Sicurezza Funzionale (IEC 61508)

La sicurezza funzionale, o Functional Safety, è lo specifico campo dell'ingegneria che tratta i sistemi di sicurezza dotati di tecnologie elettriche, elettroniche ed elettroniche programmabili (E/E/PE)

Cos’è la Sicurezza Funzionale (IEC 61508)

Nei complessi impianti industriali moderni grande importanza deve essere posta sugli aspetti legati alla sicurezza, sia essa di persone, dell’ambiente o dell’infrastruttura stessa. I rischi associati al funzionamento di un qualsiasi sistema devono essere mitigati per raggiungere un livello di sicurezza accettabile. Nel caso in cui ciò non sia possibile con il solo sistema di controllo o altre misure mitigative, si entra nel campo di applicazione dei sistemi di sicurezza, indicati nella norma internazionale di riferimento IEC 61508 come SIS (Safety Instrumented System).

Un esempio può essere il sistema di controllo di temperatura di una caldaia, dalla sonda di temperatura fino al sistema di arresto dei bruciatori della caldaia. Al SIS è associata una o più funzioni di sicurezza, o SIF (Safety Instrumented Function), il cui compito è quello di mantenere o raggiungere lo stato sicuro per l’EUC (Equipment Under Control). La funzione di sicurezza può essere valutata attraverso il SIL (Safety Integrity Level), un livello discreto che rappresenta una misura dell’affidabilità della funzione stessa. La norma definisce il SIL come la misura dell’integrità della sicurezza, ovvero la probabilità che il sistema di sicurezza sia in grado di eseguire la specifica funzione di sicurezza al momento in cui essa si rende necessaria. I livelli SIL vanno da 1 (il livello più basso) a 4 (livello più alto).

Tornando all’esempio della funzione di sicurezza precedentemente citata, ognuno dei singoli componenti del sistema di sicurezza, dalla sonda di temperatura alla logica risolutrice fino al sistema di attuazione sarà caratterizzato da un livello SIL, il concetto può essere infatti applicato non solo a sistemi completi, ma anche ai singoli componenti. In questo caso si parla di capacità SIL del componente; dire ad esempio che un sensore di temperatura è SIL 3 capable significa che il componente potrà essere utilizzato in funzioni di sicurezza caratterizzate da un SIL massimo pari a 3. Il SIL complessivo della SF sarà poi dato dal minimo fra i SIL dei singoli elementi.

La valutazione del livello SIL raggiungibile coinvolge tutte le fasi del ciclo di vita di un prodotto, dalla definizione dei requisiti di sicurezza alla progettazione fino alla produzione e all’utilizzo. La norma IEC 61508 stabilisce requisiti di sicurezza funzionale da rispettare per ogni fase del ciclo di vita, e solo una piena conformità ai requisiti permette di definire un prodotto come SIL capable, e attribuire di conseguenza un livello SIL alla SIF complessiva.

La IEC 61508 è il riferimento tecnico-legislativo internazionale base per la Functional Safety ed è composta da 7 parti:

  • IEC 61508-1 Requisiti generici: definisce le attività, la documentazione, la gestione e la validazione legate ad ogni fase del ciclo di vita della sicurezza;
  • IEC 61508-2 Requisiti per i sistemi E/E/PE: specifica come definire la specifica dei requisiti di sicurezza e le attività da portare avanti durante la progettazione e la realizzazione del prodotto;
  • IEC 61508-3 Requisiti per il software: come la parte 2 ma applicata al software;
  • IEC 61508-4 Definizioni e abbreviazioni: fornisce definizioni e abbreviazione dei termini utilizzati nella norma;

  • IEC 61508-5 Esempi di metodi per la determinazione del SIL: fornisce metodi per il calcolo dei livelli SIL per sistemi di sicurezza E/E/PE;
  • IEC 61508-6 Linee guida per l’applicazione delle parti 2 e 3: fornisce principalmente una linea guida per le analisi quantitative;
  • IEC 61508-7 Panoramica delle tecniche e misure: fornisce descrizioni delle tecniche utilizzate in ingegneria della sicurezza e del software.

Uno dei requisiti SIL che un sistema di sicurezza deve soddisfare riguarda il PFDavg o PFH, ossia la probabilità di guasti casuali pericolosi, siano essi su domanda o su base oraria. In base ai valori ottenuti la norma riporta due tabelle per la determinazione del livello SIL corrispondente.

Safety Integrity Level (SIL) Average probability of a dangerous failure on demand of the safety function (PFDavg)
4 ≥ 10⁻⁵ to < 10⁻⁴
3 ≥ 10⁻⁴ to < 10⁻³
2 ≥ 10⁻³ to < 10⁻²
1 ≥ 10⁻² to < 10⁻¹

Safety Integrity Level (SIL) Average frequence of a dangerous failure of the safety function [h-1] (PFH)
4 ≥ 10⁻⁹ to < 10⁻⁸
3 ≥ 10⁻⁸ to < 10⁻⁷
2 ≥ 10⁻⁷ to < 10⁻⁶
1 ≥ 10⁻⁶ to < 10⁻⁵