IEC 61508

Nell'articolo di oggi approfondiremo l'affascinante mondo di IEC 61508. Dal suo impatto sulla storia alla sua rilevanza oggi, IEC 61508 è stato un argomento di costante interesse e dibattito. Nel corso degli anni, IEC 61508 ha svolto un ruolo cruciale nella vita delle persone, influenzando il modo in cui pensano, agiscono e si relazionano con il mondo che li circonda. Attraverso un'analisi dettagliata e approfondita, esploreremo i diversi aspetti di IEC 61508 e la sua influenza sulla società. Dalle sue origini alla sua evoluzione, approfondiremo la complessità di IEC 61508 e il suo impatto sulle nostre vite.

Lo IEC 61508 è uno standard internazionale che disciplina l'intero ciclo di vita dei prodotti e dei sistemi elettrici, elettronici o elettronici programmabili (E/E/PE) relativi alla sicurezza, inclusi la loro applicazione, progettazione, utilizzo e manutenzione[1]. È sviluppato dalla Commissione elettrotecnica internazionale (IEC) e ha come titolo Sicurezza funzionale dei sistemi elettrici / elettronici / elettronici programmabili relativi alla sicurezza.

L'IEC 61508 è uno standard generale che si applica a tutti i settori industriali. Esso definisce la sicurezza funzionale come parte della sicurezza complessiva di un sistema o di un'apparecchiatura sotto controllo, che dipende dal corretto funzionamento dei sistemi E/E/PE di sicurezza, da altri sistemi tecnologici di sicurezza e da misure di riduzione del rischio[1]. Del sistema o dell'apparecchiatura sotto controllo viene valutato il livello di rischio di guasto con un approccio probabilistico, e cioè come funzione della frequenza o probabilità di accadimento del guasto e della gravità delle conseguenze del guasto stesso. Il rischio di guasto viene poi ridotto a un valore accettabile tramite funzioni di sicurezza che possono essere di tipo strumentale (E/E/PE, o Safety Instrumented Functions, o SIF), dispositivi meccanici o di altro tipo[2]. L'IEC 61508 pone molta enfasi sui requisiti delle varie funzioni di sicurezza, ma in particolare su quelle elettroniche programmabili (Parte 3 dello standard).

Il concetto fondamentale è che un sistema relativo alla sicurezza deve funzionare correttamente oppure guastarsi in modo prevedibile e sicuro. L'approccio alla base dell'IEC 61508 è il seguente:

  • il rischio zero non può essere raggiunto, ma solo ridotto a un livello accettabile;
  • i livelli di rischio non accettabili devono essere ridotti (ALARP);
  • l'approccio alla valutazione e alla riduzione dei guasti è di tipo probabilistico, e tiene conto dell'impatto sulla sicurezza dei guasti dei sistemi E/E/PE;
  • un livello di sicurezza ottimale, anche dal punto di vista dei costi, viene raggiunto se pensato sull'intero ciclo di vita dei sistemi: lo standard introduce analisi e tecniche per evitare errori in tutte le fasi del ciclo di vita del sistema (concetto iniziale, analisi di rischio, progettazione, installazione, manutenzione, smantellamento e smaltimento), che potrebbero compromettere anche la più affidabile delle protezioni. Il Ciclo di Vita di Sicurezza (SLC – Safety Life-Cycle): è un processo ideato per ottimizzare la progettazione dei sistemi di sicurezza e per accrescere la sicurezza del sistema nel suo complesso, minimizzando la probabilità di introdurre guasti e/o errori sistematici nel sistema e preservandone l'integrità della sicurezza. Il Ciclo di Vita di Sicurezza definito nell'IEC-61508 è un processo ad anello chiuso, che prosegue fino alla dismissione del sistema e i cui controlli e analisi vengono continuamente eseguiti fintantoché il sistema è in esercizio e soprattutto ogniqualvolta il sistema viene modificato o aggiornato[3][4].

Il ciclo di vita globale di sicurezza proposto dall'IEC 61508 copre l'intero arco di vita del sistema ed è caratterizzato da 16 fasi collegate alla funzione di sicurezza del sistema (le fasi da 1 a 5 riguardano le attività di analisi, quelle da 6 a 13 le attività di realizzazione e quelle da 14 a 16 le attività di esercizio del sistema). Per ogni singola fase la norma prescrive le attività ed i passi che devono essere eseguiti, stabilisce l'informazione necessaria per compiere ogni passo e la documentazione che deve essere prodotta e indica le metodologie e le tecniche che debbono essere utilizzate.

L'IEC 61508 è formato da sette parti:

  • Parti 1–3: requisiti generali
  • Parte 4: definizioni
  • Parti 5–7: linee guida ed esempi

Analisi di rischio

L'IEC 61508 richiede un'analisi di rischio del sistema o dell'apparecchiatura sotto controllo e una valutazione del rischio accettabile per ciascuna modalità di guasto pericoloso. L'analisi di rischio può essere sia qualitativa sia quantitativa. Come base per le analisi di tipo qualitativo vengono suggerite delle categorie per la frequenza/probabilità di guasto e per la gravità delle conseguenze, riportate nelle prime due delle seguenti tabelle, che vengono poi combinate nelle categorie di rischio riportate nella terza tabella.

Categorie di frequenza di accadimento
Categoria Definizione Intervallo (guasti per anno)
Frequente Può accadere molte volte durante il ciclo di vita del sistema > 10−3
Probabile Può accadere alcune volte durante il ciclo di vita del sistema 10−3 to 10−4
Occasionale Può accadere una volta durante il ciclo di vita del sistema 10−4 to 10−5
Remoto Improbabile che accada durante il ciclo di vita del sistema 10−5 to 10−6
Improbabile Molto improbabile che accada 10−6 to 10−7
Incredibile Non può accadere < 10−7
Categorie di gravità delle conseguenze
Categoria Definizione
Catastrofico Perdita di molte vite umane
Critico Perdita di una vita umana
Marginale Lesioni gravi a una o più persone
Trascurabile Lesioni lievi

Frequenze e conseguenze vengono combinate in una matrice di rischio, come da esempio seguente:

Conseguenze
Frequenze Catastrofico Critico Marginale Trascurabile
Frequente I I I II
Probabile I I II III
Occasionale I II III III
Remoto II III III IV
Improbabile III III IV IV
Incredibile IV IV IV IV

Dove:

  • Classe I: Rischio Inaccettabile in qualunque caso;
  • Classe II: Indesiderabile: tollerabile solo se implementare delle misure di riduzione del rischio risulta impraticabile o se i relativi costi sono decisamente sproporzionati rispetto al miglioramento che ne conseguirebbe;
  • Classe III: Tollerabile se il costo delle misure di riduzione del rischio risulta eccessivo rispetto al miglioramento che ne conseguirebbe;
  • Classe IV: Accettabile, sebbene venga richiesto comunque un monitoraggio.

Safety integrity level

Il Safety Integrity Level (SIL) rappresenta un livello di affidabilità per ciascuna funzione di sicurezza. Il SIL richiesto a ciascuna funzione di sicurezza viene determinato attraverso un'analisi di rischio, e rappresenta un target da raggiungere attraverso i seguenti tre parametri:

1. La capacità di sistema, che rappresenta una misura della qualità della progettazione della funzione di sicurezza. Il SIL della funzione di sicurezza corrisponde alla capacità di sistema più bassa tra i dispositivi utilizzati nella funzione di sicurezza. I requisiti per la capacità di sistema sono presentati nella Parte 2 e Parte 3 dell'IEC 61508, e comprendono controlli di qualità appropriati, processi di gestione, tecniche di validazione e verifica, analisi dei guasti ecc. in modo da giustificare che un sistema di sicurezza può garantire il livello di SIL richiesto.

2. Requisiti architetturali, cioè i livelli minimi di ridondanza valutati attraverso due metodi presentati nello standard - Route 1h e Route 2h[5].

3. Analisi della probabilità di guasti pericolosi[6]. I valori di probabilità utilizzati nell'analisi dipendono dal fatto che il componente funzionale sia chiamato a intervenire con alta o bassa frequenza (high o low demand) e di conseguenza:

  • per sistemi che operano in modo continuo o frequente il livello SIL corrisponde a una frequenza ammissibile di guasto pericoloso,
  • per sistemi che operano in modo discontinuo o intermittente il livello SIL corrisponde a una probabilità ammissibile che il sistema stesso non risponda su richiesta di intervento.
SIL Sistemi discontinui (Low demand mode):
probabilità media di mancato intervento su richiesta		 Sistemi continui (High demand mode):
probabilità di guasto pericoloso per ora
1 ≥ 10−2 to < 10−1 ≥ 10−6 to < 10−5
2 ≥ 10−3 to < 10−2 ≥ 10−7 to < 10−6
3 ≥ 10−4 to < 10−3 ≥ 10−8 to < 10−7
4 ≥ 10−5 to < 10−4 ≥ 10−9 to < 10−8

Certificazione secondo IEC 61508

Un prodotto, un processo o un sistema può ottenere una certificazione da parte di un Ente Certificatore indipendente, che attesti che tutti i requisiti richiesti dall'IEC 61508 sono ottemperati. Gli Enti Certificatori sono accreditati per condurre audit, valutazioni e test dagli organismi dedicati presenti nei vari paesi, e che sono membri dell'International Accreditation Forum (IAF) se si tratta di gestione di sistemi, prodotti, servizi e personale, o dell'International Laboratory Accreditation Cooperation (ILAC) se si tratta di laboratori. Un Accordo di mutuo riconoscimento permette di riconoscere in paesi diversi i risultati delle valutazioni della conformità effettuati in un singolo paese. Per quanto riguarda la sicurezza funzionale, diversi Enti Certificatori globali hanno preparato i loro programmi di certificazione basati sull'IEC 61508 e altri standard, ciascuno dei quali elenca gli standard di riferimento e specifica le procedure seguite per gestire i test, gli audit, le politiche di pubblica documentazione e altri specifici aspetti.

Versioni dello standard per specifici settori industriali o applicazioni

Software nel settore automobilistico

L'ISO 26262 è un adattamento dell'IEC 61508 per i sistemi Elettrici/Elettronici nel settore automobilistico, ampiamente adottato dai principali produttori di auto.

Software nel settore ferroviario

Lo standard IEC 62279 è un adattamento dell'IEC 61508 per applicazioni nel settore ferroviario, in particolare per lo sviluppo del software di controllo e protezione e dei sistemi di comunicazione e segnalazione.

Industria di processo

Il settore dell'industria di processo comprende raffinerie, impianti di tipo petrochimico, chimico, farmaceutico, della carta, nonché centrali elettriche. L'IEC 61511 è lo standard tecnico alla base dei sistemi strumentali che assicurino la sicurezza di tali processi industriali.

Centrali nucleari

L'IEC 61513 contiene requisiti e raccomandazioni per strumenti e controlli relativi alla sicurezza degli impianti nucleari, coprendo in particolare i sistemi che comprendono sia dispositivi convenzionali cablati, sia dispositivi computerizzati, sia una combinazione dei due tipi.

Macchine

Lo IEC 62061 è lo standard specifico sull'implementazione dell'IEC 61508 alle macchine.

Test del software

Il software scritto in accordo all'IEC 61508 può essere sottoposto a Unit testing, a seconda del livello di SIL richiesto. Il requisito principale nello Unit Testing è quello di assicurarsi che il software sia completamente testato a livello di funzione. Per le applicazioni con un livello di SIL richiesto alto, i requisiti sulla copertura del codice ("Code Coverage") sono più stringenti e richiedono l'utilizzo di un criterio di "Modified Condition/Decision Coverage" attraverso un "Software Module Testing tool".

Note

  1. ^ a b TÜV Italia - Sicurezza Funzionale, su tuv.it. URL consultato l'8/11/2019.
  2. ^ Università Roma3 - Sezione di Informatica e Automazione - Functional Safety - SIL. PLC di sicurezza - Safety Relay (PDF), su dia.uniroma3.it. URL consultato il 9/11/2019.
  3. ^ HINTSW T&T Systems - Functional Safety Availability Reliability - Il Ciclo di Vita di Sicurezza, su hintsw.com. URL consultato l'8/11/2019 (archiviato dall'url originale l'8 novembre 2019).
  4. ^ European Quality Standard - Norma IEC 61508 e SIL (Safety Integrity Level), su europeanqualitystandard.com. URL consultato il 9/11/2019.
  5. ^ Voltimum Italia - Sicurezza funzionale: la nuova edizione della Norma IEC 61508, su voltimum.it. URL consultato il 9/11/2019.
  6. ^ Goble.

Bibliografia

  • (EN) William M. Goble, Control Systems Safety Evaluation and Reliability, 3ª ed., ISA, 2010, ISBN 978-1-934394-80-9.
  • (EN) M.J.M. Houtermans, SIL and Functional Safety in a Nutshell, Risknowlogy Best Practices.
  • (EN) M. Medoff e R. Faller, Functional Safety - An IEC 61508 SIL 3 Compliant Development Process 3ª ed., 2019, ISBN 978-1-934977-08-8.
  • (EN) J. Münch, O. Armbrust, M. Soto e M. Kowalczyk, Software Process Definition and Management, 2012.
  • (EN) C. O'Brien, L. Stewart e L. Bredemeyer, Final Elements in Safety Instrumented Systems - IEC 61511 Compliant Systems and IEC 61508 Compliant Products, 2018, ISBN 978-1-934977-18-7.
  • (EN) M. Punch, Functional Safety for the Mining Industry – An Integrated Approach Using AS(IEC)61508, AS(IEC) 62061 and AS4024.1, 2016, ISBN 978-0-9807660-0-4.
  • (EN) D. Smith e K. Simpson, Safety Critical Systems Handbook: A Straightforward Guide to Functional Safety, IEC 61508 (2010 Edition) And Related Standards, Including Process IEC 61511 and Machinery IEC 62061 and ISO 13849, 3ª ed., 2010, ISBN 978-0-08-096781-3.
  • (EN) I. Van Beurden e W. Goble, Safety Instrumented System Design-Techniques and Design Verification, 2018, ISBN 978-1-945541-43-8.

Collegamenti esterni

  • IEC 61508-1:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems- Parts 1.
  • IEC Functional Safety zone.
  • the 61508 Association. Gruppo di organizzazioni industriali sulla conformità all'IEC 61508 e standard collegati.