IEC 61511

IEC 61511 (tutte le parti) è inteso come l’implementazione del settore dell’industria di processo di IEC 61508; affronta l’applicazione dei SIS (Safety Instrumented System) nell’industria di processo.

Le funzioni strumentate di sicurezza (SIF) sono funzioni di protezione implementate in un sistema strumentato di sicurezza (SIS). Un tipico SIS è composto da più SIF; tipicamente, ogni SIS ha sensori di processo che misurano una deviazione di processo, un risolutore logico che esegue la logica funzionale ed elementi di controllo finali come valvole on/off, che portano il processo a uno stato sicuro. La serie di norme IEC 61511 si rivolge al SIS in base all’uso della tecnologia elettrica, elettronica o elettronica programmabile nel settore dell’industria di processo. La serie IEC 61511 affronta anche un processo di valutazione dei pericoli e dei rischi (H & RA) da cui derivano le specifiche per i SIS.

Lo standard riconosce che i guasti sistematici derivano da errori umani e possono essere ridotti con l’implementazione di solidi processi organizzativi.

La prima edizione dello standard è stata emessa nel 2003. La seconda edizione è stata pubblicata nel 2016. Lo standard ha quattro parti:

• Parte 1 – È l’unica parte normativa della serie. Comprende la terminologia e i requisiti per le specifiche, la progettazione hardware e la programmazione delle applicazioni, la messa in servizio, la convalida, il funzionamento, la manutenzione e il collaudo dei componenti SIS.
• Parte 2 – È una guida informativa sulla Parte 1. Contiene l’allegato A, che fornisce orientamenti ed esempi di attuazione dei requisiti delineati nella parte 1.
• Parte 3 – È una parte informativa della serie che fornisce informazioni sui metodi disponibili per condurre la valutazione dei pericoli e dei rischi (H & RA) per determinare i requisiti di integrità, ovvero il livello di integrità della sicurezza (SIL).
• Parte 4 – In realtà è un rapporto tecnico. Contiene spiegazioni e motivazioni per le modifiche dall’edizione 1 all’edizione 2.

La conformità alla serie di standard IEC 61511 contribuirà a garantire un’implementazione affidabile ed efficace del SIS per raggiungere gli obiettivi di riduzione del rischio e quindi migliorare la sicurezza dei processi.

IEC 61511 è riconosciuta come una buona pratica ingegneristica nella maggior parte dei paesi e un requisito normativo in un numero crescente di paesi. Gli utenti finali nell’industria di processo dovrebbero utilizzare questa serie di standard per sviluppare le loro procedure interne, i processi di lavoro e i sistemi di gestione. L’implementazione di un sistema di gestione del ciclo di vita SIS fornisce un quadro per la gestione di persone, processi e sistemi per migliorare la sicurezza complessiva e le prestazioni operative.

La norma si applica quando i dispositivi che soddisfano i requisiti della serie IEC 61508 sono integrati in un sistema di controllo globale relativo alla sicurezza, da utilizzare in un’applicazione del settore di processo. Non si applica ai fabbricanti che intendono affermare che i loro dispositivi sono idonei all’uso nei SIS per il settore di processo; a tale scopo devono essere utilizzate IEC 61508-2 [6] e IEC 61508-3 [7].

La parte normativa non contiene alcuna formula. Il motivo è che lo spirito della IEC 61511-1 è quello di definire ciò che deve essere raggiunto e non come raggiungerlo.

La seconda edizione rafforza la necessità di progettare la gestione della sicurezza funzionale piuttosto che concentrarsi esclusivamente sui calcoli e può essere utilizzata per gestire le prestazioni effettive del SIS nel tempo. IEC/TR 61511-4 è stato scritto per fornire una breve introduzione ai problemi di cui sopra, con contenuti più dettagliati che rimangono nelle parti principali dello standard. La gestione della sicurezza funzionale affronta i guasti sistematici, per lo più causati dall’uomo, che non sono quantificabili con modelli matematici. Queste attività, che coprono l’intero ciclo di vita della sicurezza, sono applicate attraverso processi e procedure.

In questa seconda edizione c’è l’idea che la Sicurezza non si basa solo su componenti affidabili, ma nasce da un approccio olistico dato dal concetto di Safety Life Cycle. Per garantire che la sicurezza funzionale possa essere raggiunta, è necessario svolgere diverse attività (svolte da diverse parti interessate, come utenti finali, società di ingegneria, fornitori, ecc.). Sono tutti collegati l’uno all’altro come una catena e la forza di questa catena sarà forte solo quanto l’anello più debole. È fondamentale considerare la sicurezza funzionale come un ciclo di vita, che inizia con l’identificazione dei pericoli e termina con la disattivazione del SIS: tutte le attività nel ciclo di vita della sicurezza sono influenzate dalle attività a monte e a valle.

Ogni progetto SIS ha ruoli e responsabilità chiari. Tutte le parti coinvolte sono consapevoli delle proprie responsabilità e sono competenti per adempiere alle relative attività necessarie per la Sicurezza Funzionale. Le competenze sono tenute aggiornate. Tutte le attività necessarie in un progetto sono descritte in un piano di sicurezza che può essere specifico del progetto o un documento generale specifico dell’azienda. Per tutte le attività pertinenti, viene effettuata una valutazione della sicurezza funzionale per dimostrare che un SIF soddisfa tutti i requisiti ed è conforme agli standard concordati. La gestione delle prestazioni durante il funzionamento viene eseguita raccogliendo dati sul campo per l’affidabilità SIS e le informazioni sulla domanda di processo SIS. Gli audit di sicurezza funzionale vengono eseguiti a intervalli regolari per dimostrare che l’organizzazione rimane in grado di soddisfare i requisiti di sicurezza funzionale definiti. Le attività di valutazione e audit sono svolte da individui indipendenti dal team di progetto. Viene generata una documentazione significativa dei risultati della valutazione e dell’audit e vengono monitorate le raccomandazioni per una chiusura efficace.

Progettare un sistema strumentato di sicurezza (Safety Instrumented System) significa:

1. Controllo degli effetti di errori hardware casuali e
2. Evitare o controllare i guasti sistematici.

L’attività può essere riassunta nelle seguenti quattro parti:

61508. Selezionare i dispositivi in modo appropriato, in base all’uso precedente o in conformità con la IEC 61508.
61509. Garantire la ridondanza minima determinata dall’HFT, in conformità con l’approccio del settore di processo, definito nella IEC 61511-1 o nella IEC 61508.
61510. Progettare l’architettura e il programma applicativo per soddisfare i requisiti della specifica dei requisiti di sicurezza e verificare che gli obiettivi di prestazioni specificati per l’integrità, l’affidabilità e il controllo sistematico degli errori siano stati soddisfatti, compresi aspetti quali capacità umane, gestione del bypass, copertura diagnostica, guasti per cause comuni, intervallo di prova del test, MTTR, ecc.
61511. Garantire un’adeguata demarcazione tra SIS e BPCS sia per l’hardware che per il programma applicativo, in modo da ottenere prestazioni complessive di riduzione del rischio.

La seconda edizione consente 3 diversi metodi per determinare l’HFT richiesto di un sistema strumentato di sicurezza:

1. Route 1_H della IEC 61508-2 [6], basata sull’analisi FMEDA e sulla conformità alle relative clausole della IEC 61508-2.
2. Uso del concetto di Uso Precedente (5.3). Ciò significa l’uso della tabella 6 della IEC 61511-1 [16], come la tabella 2.3, in combinazione con i requisiti delle clausole da 11.5 a 11.9 della IEC 61511-1.
3. Route 2_H di IEC 61508-2, basato sulla restituzione del prodotto al produttore e sulla conformità alle relative clausole della IEC 61508-2.

Un modo intuitivo per rappresentare la capacità di riduzione del rischio di un sistema strumentato di sicurezza consiste nell’utilizzare il concetto di livello di protezione (Protection Layer) descritto nella IEC 61511-1 [16].

[IEC 61511-1] 3.2 Termini e definizioni

3.2.57 Livello di protezione: qualsiasi meccanismo indipendente che riduce il rischio mediante controllo, prevenzione o mitigazione.

Nota 1 alla voce: Può trattarsi di un meccanismo di ingegneria di processo come le dimensioni di recipienti contenenti sostanze chimiche pericolose, di un meccanismo meccanico come una valvola di sicurezza, di un SIS o di una procedura amministrativa come un piano di emergenza contro un pericolo imminente. Queste risposte possono essere automatizzate o avviate da azioni umane (vedi Figura 9). 

In un tipico processo chimico, sono presenti vari strati di protezione per ridurre la frequenza delle conseguenze indesiderate: la progettazione del processo (compresi concetti intrinsecamente più sicuri); il sistema di controllo di processo di base (BPCS); i sistemi strumentati di sicurezza (SIS); i dispositivi attivi (come le valvole di sicurezza); i dispositivi passivi (come dighe e pareti di scoppio); l’intervento umano; ecc.

I livelli di protezione che svolgono la loro funzione con un elevato grado di affidabilità possono qualificarsi come livelli di protezione indipendenti, Independent Protection Layers (IPL). La Figura 9 della IEC 61511 è simile alla Figura 2.4 {2.1.4.5.1} qui di seguito.