verticale

Appunti su norma IEC 61508 e SIL

Questo documento costituisce un insieme di appunti provenienti da varie fonti sulla norma IEC61508 finalizzati al tentativo di comprendere in modo introduttivo alcuni concetti con particolare attenzione al SIL (Safety Integrity Level).
Introduzione alla normativa.
La norma EN IEC 61508 è una norma europea (EN) e internazionale. Questa norma è stata emessa e recepita in Italia come CEI EN 61508. L’argomento di questa norma riguarda la “Sicurezza funzionale dei sistemi di sicurezza elettrici, elettronici ed elettronici programmabili (E/E/PE)”. In Italia la legge n.186 del 01/03/1968, “Disposizioni concernenti
la produzione di materiali, apparecchiature, macchinari…” nei suoi articoli indica che tutte le apparecchiature, macchinari, installazioni ed impianti elettrici ed elettronici devono essere realizzati a regola d’arte e sono tali quando realizzati secondo le norme CEI.

Scarica il PDF Scarica il PDF
Aggiungi ai preferiti Aggiungi ai preferiti


Articoli tecnico scientifici o articoli contenenti case history

Pubblicato
da Alessio Rampini
VerticaleSegui aziendaSegui




Settori: 

Parole chiave: 


Estratto del testo
PAG. 1 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10 Appunti su norma IEC 61508 e SIL
Questo documento costituisce un insieme di appunti provenienti da varie fonti sulla norma IEC61508 finalizzati al tentativo di comprendere in modo introduttivo alcuni concetti con particolare attenzione al SIL (Safety Integrity Level). Introduzione alla normativa
La norma EN IEC 61508 è una norma europea (EN) e internazionale. Questa norma è stata emessa e recepita in Italia come CEI EN 61508. L''argomento di questa norma
riguarda la ''Sicurezza funzionale dei sistemi di sicurezza elettrici, elettronici ed elettronici programmabili (E/E/PE)'. In Italia la legge n.186 del 01/03/1968, ''Disposizioni concernenti la produzione di materiali, apparecchiature, macchinari'' nei suoi articoli indica che tutte
le apparecchiature, macchinari, installazioni ed impianti elettrici ed elettronici devono essere realizzati a regola d''arte e sono tali quando realizzati secondo le norme CEI.
Pertanto i sistemi elettrici ed elettronici programmabili per applicazioni di sicurezza, per essere a norma devono fare riferimento alla norma CEI EN 61508. Da notare che su
analoghi principi e metodi della IEC 61508 sono state emanate norme applicabili a settori specifici: la IEC 61511 per i processi industriali, IEC 62061 per la sicurezza delle macchine, le EN 50126, EN 50128, EN 50129 per la segnaletica di controllo nel settore ferroviario,
IEC 61513 per le centrali elettriche a combustibile nucleare, IEC 61800-5-1 per la regolazione di velocità e carico negli azionamenti. Definizioni e termini
La norma in oggetto utilizza una serie di termini che è bene chiarire per evitare confusione. Primo fra tutti è quello di sicurezza: un sistema sicuro è privo di rischi non accettabili quali danni fisici o danni alla salute delle persone, sia in modo diretto e sia in
modo indiretto come conseguenza di un danno ambientale. Supponiamo di avere un sistema tecnico costituito da un serbatoio (T) contenente del liquido utilizzato per raffreddare un reattore. La scarsità di liquido può provocare il mancato raffreddamento del reattore con un pericolo per le persone addette all''impianto, per gli abitanti dei dintorni e per l''ambiente. La possibilità che avvenga un evento con
conseguenze pericolose si definisce rischio. La probabilità esprime una misura della possibilità che avvenga un determinato evento pericoloso. Un evento altamente probabile
di conseguenze modeste può avere lo stesso livello di rischio di un evento con gravi conseguenze ma con scarse probabilità di accadere. Ad esempio la folgorazione derivante da fulmine è molto meno probabile di quella causata da corrente domestica, ma per
questo non è meno pericolosa perché i livelli di tensione (livelli di pericolo) sono molto più elevati. Chi costruisce e gestisce il sistema tecnico
descritto in precedenza, deve eseguire un'' analisi del rischio introdotto dal surriscaldamento del reattore e delle relative conseguenze in modo tale che il livello
non sia superiore a quanto socialmente accettabile. Se il livello di rischio non è accettabile, devono essere
intraprese delle azioni con l''obiettivo di ridurre il rischio a livelli accettabili. Solitamente i pericoli causati da CTR S T A V PAG. 2 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10 attrezzature tecniche devono essere inferiori ai rischi esistenti in natura. Nel sistema descritto una misura per ridurre il livello di rischio è l''introduzione di un sistema ESD
(Emergency Shut Down) composto di un sensore di livello S, un controllore elettronico CTR e una valvola V comandata dall''attuatore A. Quando il sistema di controllo attraverso
il sensore rileva un livello basso del liquido di raffreddamento, comanda le valvole in modo tale da bloccare la reazione e portando il sistema tecnico in condizioni di sicurezza. Questo sistema svolge una funzione di sicurezza (Safety Function). L''insieme di dispositivi composto dal sensore, dal controllore, dall''attuatore e dalla valvola costituisce un sistema strumentale di sicurezza (Safety Related System) garantendo la sicurezza funzionale (Functional safety) dell''impianto. Difficoltà di progettazione
I sistemi elettrici, elettronici ed elettronici programmabili (E/E/PE) sono sempre più utilizzati per eseguire funzioni di sicurezza. Solitamente questi sistemi sono complessi,
rendendo impossibile determinare tutte le condizioni di guasto e di provare tutti i possibili comportamenti. E'' difficile prevedere la prestazione di sicurezza del sistema, sebbene il
collaudo resti sempre essenziale. La progettazione di un sistema di controllo di sicurezza (SRECS) idoneo alla funzione di sicurezza da realizzare deve prevenire guasti pericolosi o
mantenerli sotto controllo nel caso in cui insorgano. I guasti pericolosi possono essere provocati da: ' Specifiche del sistema, dell''hardware o del software sbagliate ' Specifiche dei requisiti di sicurezza omesse per dimenticanza durante lo sviluppo delle funzioni di sicurezza nelle diverse condizioni operative ' Guasti casuali e sistematici dell''hardware. ' Errori software ' Guasti comuni ' Errori umani ' Disturbi ambientali (elettromagnetici, temperatura, fenomeni meccanici, ecc.) ' Disturbi all''alimentazione elettrica (caduta o abbassamento della tensione, ecc.) La norma IEC 61508 contiene i requisiti per minimizzare l''effetto di questi guasti. Sistemi E/E/PE
La norma IEC 61508 copre la sicurezza funzionale dei sistemi di sicurezza che utilizzano
tecnologie elettriche, elettroniche ed elettroniche programmabili (E/E/PE). La norma si applica a questi sistemi indipendentemente dal tipo di applicazione. Un esempio sono gli interblocchi di sicurezza o l''arresto di emergenza dei macchinari. Molti sistemi che usavano
tecnologia elettromeccanica o elettronica allo stato solido oggi utilizzano sempre più sistemi a elettronica programmabile. Dispositivi quali controllori programmabili, PLC e
sistemi di comunicazione dati fanno parte di questo insieme di dispositivi. Recentemente si sviluppano anche sistemi di sicurezza che utilizzano reti di comunicazione favoriti dal diffondersi della tecnologia Internet. Un esempio è il monitoraggio degli impianti di
trattamento acque effettuato da postazione remota. PAG. 3 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10 Affidabilità dei sistemi di sicurezza
E'' ragionevole supporre che l''affidabilità del sistema non sia totale, nel senso che ogni singolo elemento può subire guasti che compromettano il funzionamento del sistema di
sicurezza: errata misura del livello da parte del sensore, errore nell''elaborazione della logica di sicurezza, incollaggio delle valvole, etc. Si rende dunque necessario definire un grado di affidabilità del sistema di sicurezza. Tale grado di affidabilità dovrà essere compatibile con i livelli di rischio introdotti dal sistema tecnico: per livelli di rischio crescenti l''affidabilità del sistema di sicurezza dovrà crescere di conseguenza. In altre
parole dovrà essere ridotta la probabilità di un guasto del sistema di sicurezza che possa portare l''impianto in una situazione di pericolo per mancato intervento dell''arresto di
emergenza. Nella definizione del grado di affidabilità dovrà anche rientrare la capacità del sistema di individuare eventuali guasti mediante test (parziali o completi) e diagnostiche: entrambi questi strumenti permettono, infatti, di rilevare in anticipo eventuali anomalie,
evitando che queste ultime possano condurre a un mancato intervento del sistema di sicurezza e quindi a una situazione pericolosa. Un tipico esempio è di evitare il
superamento del livello di rischio definito accettabile, come quello di una pressione ammissibile per un''attrezzatura. Questa funzione di sicurezza (o sicurezza funzionale)
potrebbe essere svolta da una valvola di regolazione che assicuri un livello di pressione su una linea in determinate condizioni di rischio dell''impianto e nello stesso tempo garantisca valori di regolazione nel funzionamento ordinario. Verificate le probabilità numeriche che la
catena di sicurezza fallisca alla richiesta d''intervento in caso di anomalie di esercizio (inclusi gli errori umani e di funzionamento valutati come rischio), senza trascurare che il
medesimo elemento svolge numerose operazioni nel funzionamento ordinario. Questa potrebbe affiancarsi o addirittura sostituire una protezione passiva (ad esempio un riduttore di pressione a coefficiente volumetrico fisso). S''intuisce che, se da un lato
l''adozione estensiva della sicurezza funzionale favorisce la sempre minor adozione di dispositivi attivi di mitigazione (esempio valvole di sicurezza, dischi di rottura, ecc.),
dall''altro impone uno standard tecnologico di elevata affidabilità e costantemente attivo per ricoprire nuove funzioni di prevenzione. Concetto di SIL
La norma IEC 61508 definisce quattro livelli di Safety Integrity Level (da SIL1 a SIL4),
ciascuno dei quali definisce una misura quantitativa della necessaria riduzione del rischio e quindi il grado di affidabilità che il sistema di sicurezza deve raggiungere per poter
garantire tale riduzione. La norma non definisce il SIL da raggiungere in funzione della specifica applicazione: quest''operazione deve essere eseguita mediante un'analisi di rischio del sistema tecnico in oggetto e una valutazione del rischio accettabile, come
combinazione della probabilità e del livello di pericolo. ' importante ricordare, inoltre, che il SIL è relativo alla singola funzione di sicurezza e non all''intero impianto o ai singoli
componenti. All''interno di un determinato impianto esisteranno numerose funzioni di sicurezza ciascuna delle quali relativa a un determinato pericolo a cui andrà associato un appropriato SIL. L''insieme dei componenti (e non questi ultimi presi singolarmente) di ogni
sistema di sicurezza dovrà essere tale da rispettare la classe SIL da raggiungere. Per esemplificare l''assegnazione del SIL utilizziamo il metodo descritto nella norma IEC
62061 per la sicurezza delle macchine derivata dalla IEC 61508. Per le macchine i requisiti PAG. 4 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10 di sicurezza sono per il funzionamento ''high demand mode', ovvero la richiesta della funzione di sicurezza è maggiore di una volta l''anno. Per ogni pericolo individuato, occorre
valutare: ' Entità del danno S ' Frequenza e durata del pericolo F ' Probabilità che si produca l''evento pericoloso W ' Possibilità di evitare il rischio P Le seguenti tabelle aiutano a parametrizzare i valori precedenti per ricavare la classe di probabilità del danno.


La somma dei punteggi ottenuti dalle tabelle consente di ricavare la classe K. Dal punto
d''intersezione tra la riga per l''entità del danno S e colonna K si ottiene il SIL richiesto. Classe

K = F+W+P Effetti Entità del
danno
S 3-4 5-7 8-10 11-13 14-15 Morte, perdita di un occhio o di un braccio 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 Permanente, perdita delle dita 3 SIL 1 SIL 2 SIL 3 Reversibile, cure mediche 2 SIL 1 SIL 2 Reversibile, pronto soccorso 1 SIL 1
Il SIL4 non è preso in considerazione in questo contesto perché riguarda pericoli con conseguenze catastrofiche, morte di più persone e gravi danni all''ambiente. Il SIL
rappresenta quindi il livello d''integrità della sicurezza che deve essere attribuito a uno SRECS affinché sia idoneo a svolgere la funzione di sicurezza assegnata, per tutto
l''intervallo di tempo stabilito e nelle condizioni d''uso previste. Il parametro usato per definire il SIL è la probabilità di guasto pericoloso/ora (PFHd). Maggiore è il SIL, minore è la probabilità che lo SRECS non esegua la funzione di sicurezza richiesta. Frequenza e/o durata
F
' 1 ora 5 Da > 1 ora a ' 1 giorno 5 Da > 1 giorno a ' 2 sett. 4
Da 2 sett. a ' 1 anno 3 > 1 anno 2 Probabilità che si produca
l''evento pericoloso
W
Frequente 5 Probabile 4 Possibile 3 Rara 2 Trascurabile 1 Possibilità di evitare il rischio
P
Impossibile 5 Possibile 3 Probabile 1 10-4 10-5 10-6 10-7 10-8 SIL IEC 62061 1 2 3 Nessun
requisito
di sicurezza Protezione per basso rischio Protezione per alto rischio PAG. 5 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10 La progettazione
Ogni funzione di sicurezza individuata dall''analisi di rischio deve essere opportunamente descritta, dopodiché scomposta in blocchi funzionali (ad esempio blocco funzionale delle
informazioni d''ingresso, blocco funzionale dell''elaborazione logica delle informazioni, blocco funzionale delle uscite). A ciascun blocco funzionale è associato un sottosistema. I
sottosistemi saranno a loro volta composti da componenti elettrici interconnessi e denominati elementi del sottosistema. La realizzazione tecnica dello SRECS può assumere un''architettura tipica simile alla seguente descritta per un semplice controllo di accesso
alla zona di lavoro di una macchina utensile. Lo SRECS deve soddisfare i requisiti funzionali e di sicurezza individuati, pertanto devono
essere rispettate le seguenti prescrizioni. Ogni sottosistema dovrà essere realizzato tramite circuiti elettrici idonei ad ottenere il SIL richiesto. Software di sicurezza
Nel caso in cui per realizzare la funzione di sicurezza sia necessario sviluppare
dell''opportuno software, il codice va scritto in accordo quanto previsto dalle norme di riferimento in relazione al tipo di software prodotto. Sottosistema 1 Barriera fotoelettrica Sottosistema 2 PLC Sottosistema 3 Attuatore SRECS SIL Probabilità di guasto
pericoloso per ora (PFHh)
Vincoli dell''architettura Shutdown (arresto) Funzionamento a sicurezza
ridotta (se permesso dalla
ridondanza)
Creazione allarme Controllo dei guasti sistematici Possibilità di evitare i guasti Sicurezza dell''hw Comportamento
dello SRECS in
condizioni di
guasto
Software di
sicurezza
Guasti sistematici PAG. 6 / 6 MountainSoft by Raymondi Mauro www.mountainsoft.it TORINO (ITALY) VERS. 1.1 03/10 Da sottolineare un sostanziale e immediato obiettivo da perseguire nell''adozione di sistemi
di sicurezza programmabili è quello di evitare la manipolazione non autorizzata o non intenzionale del software o di altri elementi della catena. Conformità
Per essere conforme alla norma si deve dimostrare che siano soddisfatti tutti i requisiti tra
cui il SIL, obiettivi di ogni clausola e sottoclausola raggiunti. Alcune clausole della norma richiedono di specificare responsabilità delle persone, dipartimenti, organizzazioni per ogni
fase ed attività del ciclo di vita della sicurezza funzionale. Il personale impiegato nelle varie fasi deve essere competente per le attività loro affidate. Inoltre sono presenti linee guida da seguire per assicurare che il personale avente responsabilità per ognuna delle fasi del
ciclo di vita della sicurezza funzionale sia competente a sufficienza per assolvere alle proprie responsabilità. Tutto il personale impegnato nelle varie attività del ciclo di vita della
sicurezza funzionale, incluse le attività gestionali, dovrà avere un appropriato grado di addestramento, una buona conoscenza tecnica, una pertinente esperienza ed una idonea qualifica, in relazione alla mansione ed al ruolo di responsabilità ricoperti.

Progetto e
sviluppo del sw Sw incorporato inserito
nei sottosistemi Sw parametrizzato Sw
applicativo Da sviluppare in conformità a
IEC 61508-3 Da sviluppare in conformità a
IEC 62061 + configuratore con pw Assembler,
C, C++, ' Per config.
PLC Da sviluppare in
conformità a IEC 61508-3 Da sviluppare in
conformità a IEC 62061


© Eiom - All rights Reserved     P.IVA 00850640186