IEC 61508 (all parts)

Questa è la “madre” di tutti gli standard di sicurezza funzionale utilizzati in diversi settori in tutto il mondo. È stato scritto per consentire l’uso di componenti elettronici in sistemi critici per la sicurezza.

Nel 1985, la Commissione Elettrotecnica Internazionale (IEC) ha istituito un gruppo di lavoro nel 1985 per valutare la fattibilità dello sviluppo di una norma generica per i sistemi elettronici programmabili da utilizzare per applicazioni di sicurezza. In precedenza, era stato istituito un gruppo di lavoro incaricato di occuparsi dei software relativi alla sicurezza. Questi due gruppi di lavoro hanno collaborato allo sviluppo di uno standard internazionale che è diventato la serie IEC 61508, pubblicata alla fine degli anni ’90.

L’ambito originario del Task Group, ovvero i sistemi elettronici programmabili utilizzati per applicazioni di sicurezza, è stato esteso a tutti i tipi di tecnologie elettrotecniche, elettriche, elettroniche ed elettroniche programmabili: i cosiddetti sistemi E/E/PE.

Le parti da 1 a 7 della IEC 61508 sono state pubblicate nel periodo 1998-2000. Nel 2005 è stato pubblicato IEC/TR 61508-0. Un processo di revisione per aggiornare e migliorare lo standard è stato avviato nel 2002 ed è stato completato con la pubblicazione di IEC 61508 Edition 2 nell’aprile 2010.

Il titolo generale della IEC 61508 è “Sicurezza funzionale dei sistemi di sicurezza elettrici, elettronici ed elettronici programmabili (E/E/PE)”. Ha otto parti.

• Parte 0: Sicurezza funzionale e IEC 61508
• Parte 1: Requisiti generali
• Parte 2: Requisiti per i sistemi di sicurezza elettrici/elettronici/elettronici programmabili
• Parte 3: Requisiti software
• Parte 4: Definizioni e abbreviazioni
• Parte 5: Esempi di metodi per la determinazione dei Safety Integrity Level
• Parte 6: Linee guida sull’applicazione delle parti 2 e 3
• Parte 7: Panoramica delle tecniche e delle misure

Le parti 1, 2 e 3 contengono i requisiti normativi e alcune parti informative. Le parti 1, 2, 3 e 4 della IEC 61508 sono pubblicazioni sulla sicurezza di base, IEC Basic Safety Publications (BSP). Questi sono, al momento, gli unici BSP sulla sicurezza funzionale.

IEC 61508 è utilizzato come base per gli standard di settore e di prodotto. È stato utilizzato per sviluppare standard per l’industria di processo, nucleare e ferroviaria e per macchinari e sistemi di azionamento di potenza. Ha influenzato, e continuerà a influenzare, lo sviluppo di sistemi e prodotti di sicurezza E/E/PE in diversi settori. Questo concetto è illustrato nella Figura 2.1 {2.1.1.1}.

Nonostante il suo titolo, la EN 50156-1 è applicabile ai sistemi di riscaldamento dell’acqua, alle installazioni di caldaie a vapore e alle caldaie a vapore a recupero di calore.

I forni industriali e le relative apparecchiature di lavorazione (TPE) seguono la ISO 13849-1 e la IEC 62061 per applicazioni in modalità high demand e la IEC 61511-1 per sistemi di sicurezza in modalità in low demand.

La strategia per raggiungere la Sicurezza Funzionale è costituita dai seguenti elementi chiave:

• Gestione della sicurezza funzionale.
• Requisiti tecnici per le fasi pertinenti del ciclo di vita della sicurezza.
• Functional Safety Assessment (FSA).
• Competenza delle persone.

La norma copre l’intero ciclo di vita della sicurezza: dal concetto iniziale fino alla disattivazione o allo smaltimento del sistema. Propone tre cicli di vita complementari:

• Il ciclo di vita complessivo della sicurezza può essere considerato come il principale. Una delle sue fasi, la realizzazione, si scompone in due cicli di vita che vengono eseguiti in parallelo:
• Il ciclo di vita della sicurezza dei sistemi E/E/PE, relativo all’hardware e
• Il ciclo di vita della sicurezza dei software.

La prova della necessità di adottare un approccio che copra tutte le fasi del ciclo di vita della sicurezza di un sistema è stata illustrata in uno studio condotto dall’Health and Safety Executive del Regno Unito [82]. Lo studio ha analizzato una serie di incidenti e inconvenienti che coinvolgono sistemi di controllo legati alla sicurezza. La figura 2.2 {2.1.1.1.1} mostra le cause principali di guasto per ogni fase del ciclo di vita.

Sulla base dello studio HSE, oltre il 60% dei guasti sono stati “integrati” nel sistema di sicurezza, prima di essere messi in servizio. Mentre le cause primarie per fase variano, a seconda del settore e della complessità dell’applicazione; ciò che è evidente è che è importante che tutte le fasi del ciclo di vita siano affrontate se si vuole raggiungere la sicurezza funzionale.

Questo, ancora una volta, è il motivo per cui la IEC 61508 pone così tanta enfasi sul ciclo di vita della sicurezza del sistema di controllo della sicurezza.

Secondo la IEC 61508, i guasti possono essere classificati come guasti hardware casuali (random hardware failures) o guasti sistematici (systematic failures). La sfida per chiunque progetti un sistema complesso, come un sistema elettronico programmabile, è determinare quanta affidabilità è necessaria per il livello di sicurezza specificato. La IEC 61508 affronta questo problema sulla base di quanto segue:

• che è possibile quantificare i guasti hardware casuali.
• che di solito non è possibile quantificare i guasti sistematici.

La serie IEC 61508 specifica 4 livelli di prestazioni di sicurezza per una funzione di sicurezza. Questi sono chiamati livelli di integrità della sicurezza. Il livello di integrità della sicurezza 1 (SIL1) è il livello più basso e il livello di integrità della sicurezza 4 (SIL4) è il livello più alto. Lo standard descrive in dettaglio i requisiti necessari per raggiungere ciascun livello di integrità della sicurezza. Questi requisiti sono più rigorosi a livelli più elevati di integrità della sicurezza, al fine di ottenere la minore probabilità richiesta di guasti pericolosi.

Un sistema di sicurezza E/E/PE di solito implementa più di una funzione di sicurezza. Se i requisiti di integrità della sicurezza per tali funzioni di sicurezza differiscono, a meno che non vi sia sufficiente indipendenza di attuazione tra di esse, i requisiti applicabili al livello di integrità di sicurezza pertinente più elevato si applicano all’intero sistema di sicurezza E/E/PE.

Se un singolo sistema E/E/PE è in grado di fornire tutte le funzioni di sicurezza richieste e l’integrità di sicurezza richiesta è inferiore a quella specificata per SIL1, la IEC 61508 non si applica.

Come affermato in precedenza, al fine di progettare un sistema di controllo di sicurezza affidabile, devono essere considerati due aspetti:

• Hardware Safety Integrity. Ciò si ottiene soddisfacendo le misure di errore target quantificate per guasti casuali, insieme al rispetto dei vincoli architettonici per il SIL specificato.
• Systematic Safety Integrity. Si tratta di un gruppo di misure utilizzate per evitare meccanismi di fallimento sistematici; sono in generale misure qualitative con crescente rigore, sicurezza e fiducia, quanto più elevato è il SIL.

Pertanto, l’integrità della sicurezza è costituita dall’integrità della sicurezza hardware, in relazione ai guasti casuali, e dall’integrità della sicurezza sistematica, in relazione ai guasti sistematici. Il concetto precedente è mostrato nella Figura 2.3 {2.1.1.2.1}.

IEC 61508-1 chiarisce quale misura di guasto target o funzione di inaffidabilità F(t), deve essere utilizzata, a seconda della modalità di funzionamento:

• Il PFD_avg dovrebbe essere utilizzato per sistemi di sicurezza in modalità low demand.
• Il PFH_D deve essere utilizzato per sistemi di sicurezza in high demand o in modalità continua.

[IEC 61508-1] 7.6 Overall safety requirements allocation

[…] 7.6.2.9 Quando l’assegnazione è sufficientemente avanzata, i requisiti di integrità di sicurezza, per ciascuna funzione di sicurezza assegnata al sistema o ai sistemi di sicurezza E/E/PE, sono specificati in termini di livello di integrità della sicurezza conformemente alla Tabella 2 o alla Tabella 3 e indicano se la misura di guasto target è:

• la probabilità media di guasti pericolosi su richiesta della funzione di sicurezza (PFD_avg) per un modo di funzionamento in low demand (Tabella 2), o
• la frequenza media di un guasto pericoloso della funzione di sicurezza [h^-1] (PFH), per un modo di funzionamento in high demand (Tabella 3), o
• la frequenza media di un guasto pericoloso della funzione di sicurezza [h^-1], (PFH), per un modo di funzionamento continuo (Tabella 3).

Il cotenuto della Tabella 2 della IEC 61508-1 è lo stesso mostrato in Tabella 2.1 {2.1.1.4.1}; quello della Tabella 3 è in Tabella 2.2 {2.1.1.4.2}.

La serie IEC 61508 considera la sicurezza come la libertà da rischi inaccettabili di lesioni fisiche o di danni alla salute delle persone, direttamente o indirettamente a seguito di danni alla proprietà o all’ambiente.

Pertanto, considera i danni alla proprietà ma come un rischio di influenzare indirettamente la salute delle persone.

La sicurezza funzionale è parte della sicurezza generale che dipende dal corretto funzionamento di un sistema o di un’apparecchiatura in risposta ai suoi input. Ad esempio, un dispositivo di protezione da sovratemperatura, che utilizza un sensore termico negli avvolgimenti di un motore elettrico per diseccitare il motore prima che possa surriscaldarsi, è un esempio di sicurezza funzionale. Ma fornire un isolamento specializzato per resistere alle alte temperature non è un esempio di sicurezza funzionale, sebbene sia ancora un esempio di sicurezza e potrebbe proteggere dallo stesso pericolo.

Né la sicurezza né la sicurezza funzionale possono essere determinate senza considerare i sistemi nel loro insieme e l’ambiente con cui interagiscono.

In generale, i pericoli significativi per le apparecchiature e qualsiasi sistema di controllo associato nell’ambiente previsto devono essere identificati dallo sviluppatore attraverso una valutazione del rischio e un processo di riduzione del rischio. L’analisi determina se la sicurezza funzionale è necessaria per garantire un’adeguata protezione contro ogni pericolo significativo. Pertanto, la sicurezza funzionale è solo uno dei metodi per affrontare i pericoli; altri mezzi per la loro eliminazione o riduzione, come la sicurezza intrinseca attraverso la progettazione, rimangono di primaria importanza.

Il termine relativo alla sicurezza, utilizzato in tutti gli standard di sicurezza funzionale, descrive i sistemi necessari per eseguire una o più funzioni specifiche per garantire che i rischi siano mantenuti a un livello accettato. Tali funzioni sono, per definizione, funzioni di sicurezza.

Per ottenere la sicurezza funzionale sono necessari due tipi di requisiti:

• Safety function requirements: cosa fa la funzione e
• Safety integrity requirements: la probabilità che una funzione di sicurezza venga eseguita in modo soddisfacente.

I safety function requirements derivano dall’analisi dei pericoli e i safety integrity requirements derivano da una valutazione dei rischi. Maggiore è il livello di integrità della sicurezza, minore è la probabilità di guasti pericolosi.

Qualsiasi sistema, implementato in qualsiasi tecnologia, che svolge funzioni di sicurezza è un sistema correlato alla sicurezza. Un sistema di sicurezza può essere separato da qualsiasi sistema di controllo dell’apparecchiatura o il sistema di controllo dell’apparecchiatura può svolgere esso stesso funzioni di sicurezza. In quest’ultimo caso, il sistema di controllo delle apparecchiature sarà correlato alla sicurezza.

Si consideri una macchina con una lama rotante protetta da un coperchio solido incernierato. Si accede alla lama per la pulizia di routine sollevando il coperchio. Il coperchio è interbloccato in modo che ogni volta che viene sollevato, un circuito elettromeccanico o elettronico diseccita il motore e aziona un freno. In questo modo, la lama viene fermata prima che possa ferire l’operatore. Al fine di garantire il raggiungimento della sicurezza, sono necessarie una valutazione e una riduzione dei rischi.

1. Il primo passo è identificare i pericoli associati alla pulizia della lama. Per questa macchina potrebbe risultare che non dovrebbe essere possibile sollevare il coperchio incernierato di oltre 5 mm senza che il freno attivi e fermi la lama. Pertanto, la valutazione del rischio ha stabilito che dobbiamo ridurre il rischio. Ulteriori analisi potrebbero rivelare che il tempo di arresto della lama deve essere pari o inferiore a 1 s. Pertanto, abbiamo deciso che il rischio deve essere ridotto e utilizzeremo un sistema di controllo relativo alla sicurezza.
2. A questo punto dobbiamo determinare i requisiti di prestazione della funzione di sicurezza. L’obiettivo è garantire che l’integrità della sicurezza della funzione di sicurezza sia sufficiente a garantire che nessuno sia esposto a un rischio inaccettabile associato a tale pericolo.

Il danno derivante da un guasto della funzione di sicurezza potrebbe essere l’amputazione della mano dell’operatore o potrebbe essere solo un livido. Il rischio dipende anche dalla frequenza con cui la copertura deve essere sollevata, che potrebbe essere molte volte durante il funzionamento quotidiano o potrebbe essere meno di una volta al mese.

Il livello di integrità della sicurezza richiesto aumenta con la gravità della lesione e la frequenza di esposizione al pericolo. L’integrità di sicurezza della funzione di sicurezza dipenderà da tutte le apparecchiature necessarie per il corretto svolgimento della funzione di sicurezza: vale a dire, l’interblocco, il circuito elettromeccanico o elettronico associato e il sistema di frenatura. Sia la funzione di sicurezza che la sua integrità di sicurezza specificano il comportamento richiesto per i sistemi nel loro complesso, all’interno di un particolare ambiente.

Per riassumere, questi due elementi, “Cosa deve fare la funzione di sicurezza”, ovvero i requisiti della funzione di sicurezza, e “Quale grado di certezza è necessario per la funzione di sicurezza”, ovvero i requisiti di integrità della sicurezza, sono i fondamenti della sicurezza funzionale.

Già negli anni ’90, le funzioni di sicurezza erano sempre più svolte da sistemi elettronici o elettronici programmabili. Questi sistemi sono solitamente complessi, rendendo impossibile, in pratica, determinare completamente ogni modalità di guasto o testare tutti i possibili comportamenti.

La sfida consisteva nel progettare il sistema in modo tale da prevenire guasti pericolosi o controllarli quando si presentano. Guasti pericolosi possono derivare da:

• Specifiche errate del sistema di controllo relativo alla sicurezza.
• Omissioni nella specifica dei requisiti di sicurezza (ad esempio, mancato sviluppo di tutte le funzioni di sicurezza pertinenti durante le diverse modalità di funzionamento).
• Meccanismi di errore hardware casuale.
• Meccanismi sistematici di guasto hardware.
• Errori del software.
• Errori di causa comune.
• Errore umano;
• Influenze ambientali (ad es. fenomeni elettromagnetici, di temperatura, meccanici).

La IEC 61508 contiene requisiti per ridurre al minimo questi guasti e costruire un sistema di controllo affidabile relativo alla sicurezza. Il suo scopo era:

• Liberare il potenziale della tecnologia E/E/PE per migliorare la sicurezza dei macchinari e dei processi.
• Consentire agli sviluppi tecnologici di avvenire all’interno di un quadro generale di sicurezza.
• Fornire un approccio tecnicamente valido, basato sul sistema, con sufficiente flessibilità per il futuro.
• Fornire un approccio basato sul rischio per determinare le prestazioni richieste dei sistemi di controllo relativi alla sicurezza.
• Fornire uno standard basato su generici che possa essere utilizzato direttamente dall’industria, ma possa anche aiutare a sviluppare standard settoriali (ad esempio macchinari, impianti chimici di processo, standard medici o ferroviari) o standard di prodotto (ad esempio sistemi di azionamento della potenza);
• Fornire agli utenti e alle autorità di regolamentazione un mezzo per acquisire fiducia quando si utilizza la tecnologia basata su computer.