Questo articolo discute la progettazione e l'implementazione di sistemi di controllo legati alla sicurezza che si occupano di tutti i tipi di sistemi elettrici, elettronici ed elettronici programmabili (inclusi i sistemi basati su computer). L'approccio generale è conforme allo standard 1508 proposto dalla Commissione elettrotecnica internazionale (IEC) (Sicurezza funzionale: relativa alla sicurezza 

SISTEMI DI TRATTAMENTO) (CEI 1993).

sfondo

Durante gli anni '1980, i sistemi basati su computer, genericamente indicati come sistemi elettronici programmabili (PES), venivano sempre più utilizzati per svolgere funzioni di sicurezza. Le forze trainanti principali alla base di questa tendenza sono state (1) funzionalità migliorate e vantaggi economici (in particolare considerando il ciclo di vita totale del dispositivo o del sistema) e (2) il vantaggio particolare di alcuni progetti, che potevano essere realizzati solo quando veniva utilizzata la tecnologia informatica . Durante la prima introduzione di sistemi basati su computer sono state fatte una serie di scoperte:

• L'introduzione del controllo del computer è stata mal pensata e pianificata.
• Sono stati specificati requisiti di sicurezza inadeguati.
• Sono state sviluppate procedure inadeguate rispetto alla convalida del software.
• Sono state divulgate prove di cattiva fattura rispetto allo standard di installazione dell'impianto.
• È stata generata una documentazione inadeguata e non adeguatamente validata rispetto a quanto effettivamente presente in impianto (distinto da quanto si pensava fosse in impianto).
• Erano state stabilite procedure operative e di manutenzione non del tutto efficaci.
• C'era evidentemente una preoccupazione giustificata circa la competenza delle persone a svolgere i compiti loro richiesti.

Per risolvere questi problemi, diversi enti hanno pubblicato o iniziato a sviluppare linee guida per consentire lo sfruttamento sicuro della tecnologia PES. Nel Regno Unito, l'Health and Safety Executive (HSE) ha sviluppato linee guida per i sistemi elettronici programmabili utilizzati per applicazioni relative alla sicurezza e in Germania è stata pubblicata una bozza di standard (DIN 1990). All'interno della Comunità Europea, è stato avviato un elemento importante nel lavoro sulle Norme Europee armonizzate relative ai sistemi di controllo legati alla sicurezza (compresi quelli che impiegano PES) in relazione ai requisiti della Direttiva Macchine. Negli Stati Uniti, la Instrument Society of America (ISA) ha prodotto uno standard sui PES da utilizzare nelle industrie di processo e il Center for Chemical Process Safety (CCPS), una direzione dell'American Institute of Chemical Engineers, ha prodotto linee guida per il settore dei processi chimici.

Un'importante iniziativa sugli standard è attualmente in corso all'interno dell'IEC per sviluppare uno standard internazionale generico per i sistemi elettrici, elettronici ed elettronici programmabili (E/E/PES) relativi alla sicurezza che potrebbe essere utilizzato da molti settori applicativi, tra cui il processo, settore medicale, dei trasporti e dei macchinari. La norma internazionale IEC proposta comprende sette parti sotto il titolo generale IEC 1508. Sicurezza funzionale dei sistemi elettrici/elettronici/elettronici programmabili relativi alla sicurezza. Le varie Parti sono le seguenti:

• Parte 1. Requisiti generali
• Parte 2. Requisiti per i sistemi elettrici, elettronici ed elettronici programmabili
• Parte 3. Requisiti software
• Parte 4.Definizioni
• Parte 5.Esempi di metodi per la determinazione dei livelli di integrità della sicurezza
• Parte 6. Linee guida sull'applicazione delle Parti 2 e 3
• Parte 7.Panoramica delle tecniche e delle misure.

Una volta finalizzata, questa norma internazionale di base generica costituirà una pubblicazione sulla sicurezza di base IEC che coprirà la sicurezza funzionale per i sistemi elettrici, elettronici ed elettronici programmabili correlati alla sicurezza e avrà implicazioni per tutte le norme IEC, coprendo tutti i settori di applicazione per quanto riguarda la progettazione e l'uso futuri di impianti elettrici/elettronici/elettronici programmabili legati alla sicurezza. Uno dei principali obiettivi della norma proposta è facilitare lo sviluppo di norme per i vari settori (cfr. figura 1).

Figura 1. Standard di settore generici e applicativi

Vantaggi e problemi PES

L'adozione di PES per scopi di sicurezza presentava molti potenziali vantaggi, ma si riconosceva che questi sarebbero stati raggiunti solo se fossero state utilizzate metodologie di progettazione e valutazione appropriate, perché: (1) molte delle caratteristiche dei PES non consentono l'integrità della sicurezza (che è, le prestazioni di sicurezza dei sistemi che svolgono le funzioni di sicurezza richieste) devono essere previste con lo stesso grado di fiducia che è stato tradizionalmente disponibile per i sistemi basati su hardware ("cablati") meno complessi; (2) è stato riconosciuto che mentre i test erano necessari per i sistemi complessi, non erano sufficienti da soli. Ciò significava che anche se il PES implementava funzioni di sicurezza relativamente semplici, il livello di complessità dell'elettronica programmabile era significativamente maggiore di quello dei sistemi cablati che stavano sostituendo; e (3) questo aumento di complessità significava che le metodologie di progettazione e valutazione dovevano essere prese in considerazione molto più che in passato, e che il livello di competenza personale richiesto per raggiungere livelli adeguati di prestazioni dei sistemi relativi alla sicurezza era successivamente maggiore.

I vantaggi degli SPI basati su computer includono quanto segue:

• la capacità di eseguire controlli di prova diagnostici in linea su componenti critici con una frequenza significativamente superiore a quella che sarebbe altrimenti possibile
• il potenziale per fornire interblocchi di sicurezza sofisticati
• la capacità di fornire funzioni diagnostiche e monitoraggio delle condizioni che possono essere utilizzate per analizzare e riferire sulle prestazioni di impianti e macchinari in tempo reale
• la capacità di confrontare le condizioni reali dell'impianto con le condizioni “ideali” del modello
• il potenziale per fornire migliori informazioni agli operatori e quindi migliorare il processo decisionale che incide sulla sicurezza
• l'uso di strategie di controllo avanzate per consentire agli operatori umani di essere localizzati a distanza da ambienti pericolosi o ostili
• la capacità di diagnosticare il sistema di controllo da una postazione remota.

L'uso di sistemi basati su computer nelle applicazioni legate alla sicurezza crea una serie di problemi che devono essere adeguatamente affrontati, come i seguenti:

• Le modalità di guasto sono complesse e non sempre prevedibili.
• Il collaudo del computer è necessario ma non è di per sé sufficiente per stabilire che le funzioni di sicurezza saranno eseguite con il grado di certezza richiesto per l'applicazione.
• I microprocessori possono presentare lievi variazioni tra i diversi batch, e quindi i diversi batch possono mostrare un comportamento diverso.
• I sistemi basati su computer non protetti sono particolarmente sensibili alle interferenze elettriche (interferenze irradiate, "picchi" elettrici nelle alimentazioni di rete, scariche elettrostatiche, ecc.).
• È difficile e spesso impossibile quantificare la probabilità di guasto di sistemi complessi legati alla sicurezza che incorporano software. Poiché nessun metodo di quantificazione è stato ampiamente accettato, la garanzia del software si è basata su procedure e standard che descrivono i metodi da utilizzare nella progettazione, implementazione e manutenzione del software.

Sistemi di sicurezza in esame

I tipi di sistemi legati alla sicurezza presi in considerazione sono i sistemi elettrici, elettronici ed elettronici programmabili (E/E/PES). Il sistema include tutti gli elementi, in particolare i segnali provenienti dai sensori o da altri dispositivi di input sull'apparecchiatura sotto controllo e trasmessi tramite autostrade dati o altri percorsi di comunicazione agli attuatori o altri dispositivi di output (vedere figura 2).

Figura 2. Sistema elettrico, elettronico ed elettronico programmabile (E/E/PES)

Il termine dispositivo elettrico, elettronico ed elettronico programmabile è stato utilizzato per comprendere un'ampia varietà di dispositivi e copre le seguenti tre classi principali:

1. dispositivi elettrici come i relè elettromeccanici
2. dispositivi elettronici come strumenti elettronici a stato solido e sistemi logici
3. dispositivi elettronici programmabili, che include un'ampia varietà di sistemi basati su computer come i seguenti:

• microprocessori
• microcontrollori
• controllori programmabili (PC)
• circuiti integrati specifici dell'applicazione (ASIC)
• controllori logici programmabili (PLC)
• altri dispositivi basati su computer (ad es. sensori, trasmettitori e attuatori “intelligenti”).

Per definizione, un sistema di sicurezza ha due scopi:

1. Implementa le funzioni di sicurezza necessarie per raggiungere uno stato sicuro per l'apparecchiatura sotto controllo o mantiene uno stato sicuro per l'apparecchiatura sotto controllo. Il sistema di sicurezza deve eseguire le funzioni di sicurezza specificate nella specifica dei requisiti delle funzioni di sicurezza per il sistema. Ad esempio, la specifica dei requisiti delle funzioni di sicurezza può indicare che quando la temperatura raggiunge un certo valore x, valvola y deve aprirsi per consentire all'acqua di entrare nella nave.
2. Raggiunge, da solo o con altri sistemi relativi alla sicurezza, il livello necessario di integrità della sicurezza per l'implementazione delle funzioni di sicurezza richieste. Le funzioni di sicurezza devono essere eseguite dai sistemi legati alla sicurezza con il grado di confidenza appropriato all'applicazione al fine di raggiungere il livello di sicurezza richiesto per l'apparecchiatura sotto controllo.

Questo concetto è illustrato nella figura 3.

Figura 3. Caratteristiche principali dei sistemi legati alla sicurezza

Errori di sistema

Al fine di garantire un funzionamento sicuro dei sistemi E/E/PES relativi alla sicurezza, è necessario riconoscere le varie possibili cause di guasto del sistema relativo alla sicurezza e garantire che vengano prese adeguate precauzioni contro ognuna di esse. I guasti sono classificati in due categorie, come illustrato nella figura 4.

Figura 4. Categorie di guasto

1. I guasti hardware casuali sono quei guasti che derivano da una varietà di normali meccanismi di degradazione dell'hardware. Esistono molti meccanismi di questo tipo che si verificano a velocità diverse in componenti diversi e poiché le tolleranze di fabbricazione causano il guasto dei componenti a causa di questi meccanismi dopo tempi di funzionamento diversi, i guasti di un elemento totale dell'apparecchiatura comprendente molti componenti si verificano in tempi imprevedibili (casuali). Le misure di affidabilità del sistema, come il tempo medio tra i guasti (MTBF), sono preziose ma di solito riguardano solo guasti hardware casuali e non includono guasti sistematici.
2. I guasti sistematici derivano da errori nella progettazione, nella costruzione o nell'uso di un sistema che ne provocano il malfunzionamento in una particolare combinazione di input o in una particolare condizione ambientale. Se si verifica un errore di sistema quando si verifica un particolare insieme di circostanze, allora ogni volta che tali circostanze si verificano in futuro ci sarà sempre un errore di sistema. Qualsiasi guasto di un sistema legato alla sicurezza che non derivi da un guasto hardware casuale è, per definizione, un guasto sistematico. I guasti sistematici, nel contesto dei sistemi di sicurezza E/E/PES, includono:

• guasti sistematici dovuti a errori od omissioni nella specifica dei requisiti delle funzioni di sicurezza
• guasti sistematici dovuti a errori nella progettazione, fabbricazione, installazione o funzionamento dell'hardware. Questi includerebbero guasti derivanti da cause ambientali ed errori umani (ad esempio, dell'operatore).
• guasti sistematici dovuti a malfunzionamenti del software
• guasti sistematici dovuti a errori di manutenzione e modifica.

Protezione dei sistemi legati alla sicurezza

I termini che vengono utilizzati per indicare le misure precauzionali richieste da un sistema legato alla sicurezza per proteggersi da guasti hardware casuali e guasti sistematici sono misure di integrità della sicurezza hardware ed misure sistematiche di integrità della sicurezza rispettivamente. Le misure precauzionali che un sistema relativo alla sicurezza può mettere in atto contro guasti hardware casuali e guasti sistematici sono definite integrità di sicurezza. Questi concetti sono illustrati nella figura 5.

Figura 5. Termini delle prestazioni di sicurezza

All'interno dello standard internazionale proposto IEC 1508 ci sono quattro livelli di integrità della sicurezza, denotati livelli di integrità della sicurezza 1, 2, 3 e 4. Il livello di integrità della sicurezza 1 è il livello di integrità della sicurezza più basso e il livello di integrità della sicurezza 4 è il più alto. Il livello di integrità della sicurezza (1, 2, 3 o 4) per il sistema di sicurezza dipenderà dall'importanza del ruolo svolto dal sistema di sicurezza nel raggiungere il livello di sicurezza richiesto per l'apparecchiatura sotto controllo. Potrebbero essere necessari diversi sistemi relativi alla sicurezza, alcuni dei quali possono essere basati su tecnologia pneumatica o idraulica.

Progettazione di sistemi legati alla sicurezza

Una recente analisi di 34 incidenti che coinvolgono i sistemi di controllo (HSE) ha rilevato che il 60% di tutti i casi di guasto era stato "integrato" prima che il sistema di controllo relativo alla sicurezza fosse messo in funzione (figura 7). La considerazione di tutte le fasi del ciclo di vita della sicurezza è necessaria se devono essere prodotti adeguati sistemi relativi alla sicurezza.

Figura 7. Causa principale (per fase) del guasto del sistema di controllo

La sicurezza funzionale dei sistemi legati alla sicurezza dipende non solo dall'assicurare che i requisiti tecnici siano adeguatamente specificati, ma anche dall'assicurare che i requisiti tecnici siano effettivamente implementati e che l'integrità del progetto iniziale sia mantenuta per tutta la vita dell'apparecchiatura. Ciò può essere realizzato solo se esiste un efficace sistema di gestione della sicurezza e le persone coinvolte in qualsiasi attività sono competenti rispetto ai compiti che devono svolgere. In particolare quando sono coinvolti sistemi complessi legati alla sicurezza, è essenziale che sia in atto un adeguato sistema di gestione della sicurezza. Ciò porta a una strategia che garantisce quanto segue:

• Esiste un efficace sistema di gestione della sicurezza.
• I requisiti tecnici specificati per i sistemi di sicurezza E/E/PES sono sufficienti per gestire sia l'hardware casuale che le cause di guasto sistematiche.
• La competenza delle persone coinvolte è adeguata alle mansioni che devono svolgere.

Per soddisfare in modo sistematico tutti i requisiti tecnici rilevanti della sicurezza funzionale, è stato sviluppato il concetto di ciclo di vita della sicurezza. Una versione semplificata del ciclo di vita della sicurezza nello standard internazionale emergente IEC 1508 è mostrata nella figura 8. Le fasi chiave del ciclo di vita della sicurezza sono:

Figura 8. Ruolo del ciclo di vita della sicurezza nel raggiungimento della sicurezza funzionale

• specificazione
• progettazione e realizzazione
• installazione e messa in servizio
• operazione e manutenzione
• modifiche dopo la messa in servizio.

Livello di sicurezza

La strategia di progettazione per il raggiungimento di adeguati livelli di integrità della sicurezza per i sistemi legati alla sicurezza è illustrata nella figura 9 e nella figura 10. Un livello di integrità della sicurezza si basa sul ruolo svolto dal sistema legato alla sicurezza nel raggiungimento del livello generale di sicurezza per le apparecchiature sotto controllo. Il livello di integrità della sicurezza specifica le precauzioni che devono essere prese in considerazione nella progettazione contro guasti hardware casuali e sistematici.

Figura 9. Ruolo dei livelli di integrità della sicurezza nel processo di progettazione

Figura 10. Ruolo del ciclo di vita della sicurezza nel processo di specifica e progettazione

Il concetto di sicurezza e livello di sicurezza si applica alle apparecchiature sotto controllo. Il concetto di sicurezza funzionale si applica ai sistemi legati alla sicurezza. La sicurezza funzionale per i sistemi correlati alla sicurezza deve essere raggiunta se si vuole ottenere un livello di sicurezza adeguato per l'apparecchiatura che dà origine al pericolo. Il livello di sicurezza specificato per una situazione specifica è un fattore chiave nella specifica dei requisiti di integrità della sicurezza per i sistemi relativi alla sicurezza.

Il livello di sicurezza richiesto dipenderà da molti fattori, ad esempio la gravità della lesione, il numero di persone esposte al pericolo, la frequenza con cui le persone sono esposte al pericolo e la durata dell'esposizione. Fattori importanti saranno la percezione e le opinioni di coloro che sono esposti all'evento pericoloso. Per arrivare a ciò che costituisce un livello di sicurezza adeguato per un'applicazione specifica, vengono presi in considerazione una serie di input, che includono quanto segue:

• requisiti legali relativi alla specifica applicazione
• linee guida dell'autorità di regolamentazione della sicurezza competente
• discussioni e accordi con le diverse parti coinvolte nella domanda
• standard di settore
• standard nazionali e internazionali
• la migliore consulenza industriale, esperta e scientifica indipendente.

In breve

Quando si progettano e si utilizzano sistemi legati alla sicurezza, è necessario ricordare che è l'apparecchiatura sotto controllo che crea il potenziale pericolo. I sistemi legati alla sicurezza sono progettati per ridurre la frequenza (o la probabilità) dell'evento pericoloso e/o le conseguenze dell'evento pericoloso. Una volta stabilito il livello di sicurezza dell'apparecchiatura, è possibile determinare il livello di integrità della sicurezza per il sistema relativo alla sicurezza, ed è il livello di integrità della sicurezza che consente al progettista di specificare le precauzioni che devono essere incorporate nel progetto per essere implementato sia contro l'hardware casuale che contro i guasti sistematici.

Di ritorno