Iec 61508 - Sil - Fanelli P

"Applicazione Pratica del Ciclo di Vita della
Sicurezza in accordo agli Standard

IEC 61508 ed IEC 61511:
Documentazione di un Progetto Tipico della
Sicurezza per l’Industria di Processo
Chimico (CPI)”
CONVEGNO SIPI
Stresa, 16-17 Ott. ‘03
Autore e Relatore: Dr. Ing. P. Fanelli
membro AIDIC / AIChE
1
Sommario della Presentazione
Premessa
Introduzione agli Standard IEC 61508 ed IEC 61511
Definizioni in uso negli Standard IEC 61508 ed IEC 61511
Gestione della Sicurezza Funzionale
Valutazione della Sicurezza Funzionale
Ciclo di Vita della Sicurezza
2
Premessa
Nell’Industria di Processo Chimico, qualora gli impianti presentino
rischi derivanti da processi e/o da prodotti pericolosi, si impongono
misure di sicurezza preventive e mitigative.
Le potenziali conseguenze di un evento incidentale sul Personale,

sulla Comunità, sull’Ambiente, sull’Azienda stessa, devono essere
valutate appieno, in modo da intraprendere le necessarie misure di
sicurezza per non superare, in qualunque condizione, la soglia di
Rischio Tollerabile.
Gli Standard IEC 61508 ed IEC 61511 forniscono le linee guida per
raggiungere tale obiettivo e mantenerlo nel tempo.
3
Introduzione
agli Standard
IEC 61508 ed IEC 61511
4
Standard IEC 61508
“Functional Safety of Electrical/Electronic/Programmable
Electronic Safety-related Systems”
Q Part 1: General Requirements

Q Part 2: Requirements for Electrical/ Electronic/Programmable
Electronic Safety-related Systems (E/E/PES)
Q Part 3: Software Requirements
Q Part 4: Definitions and Abbreviations
Q Part 5: Examples of Methods for the Determination of SILs
Q Part 6: Guidelines on the Application of Parts 2 and 3
Q Part 7: Overview of Techniques and Measures
5
Standard IEC 61511
“Functional Safety: Safety Instrumented Systems for the
Process Industry Sector”
Q Part 1: Framework, Definitions, System, HW & SW

Requirements
Q Part 2: Guidelines in the application of IEC-61511-1
Q Part 3: Guidance for the determination of Safety Integrity Levels
6
Standard IEC 61508
Lo Standard IEC 61508 è uno standard internazionale che
fissa l’approccio generale per tutte le attività del Ciclo di
Vita della Sicurezza per sistemi di tipo E/E/PE (Elettrici
/Elettronici/Elettronici Programmabili) utilizzati per eseguire
funzioni di sicurezza.
Lo Standard IEC 61508 fornisce un metodo per lo sviluppo

della specifica dei requisiti di sicurezza, come pure introduce
ed utilizza i livelli di integrità della sicurezza.
7
Standard IEC 61511
Lo Standard IEC 61511 è uno standard internazionale che
forrnisce gli obiettivi ed i requisiti per specificare,
progettare, installare, operare e manutere i Sistemi
Strumentali di Sicurezza (SIS).
Lo Standard IEC 61511 è stato specificatamente
sviluppato come implementazione dello Standard
IEC 61508 per il Settore di Processo.
8
Standard IEC 61508
Parte 1 - Clausola 4
Per risultare “conformi” allo Standard IEC 61508, si

dovrà dimostrare che tutti i requisiti siano stati
soddisfatti in accordo ai criteri specificati e che
pertanto gli obiettivi prefissati siano stati raggiunti per
ogni clausola e sotto-clausola.
9
Standard IEC 61511
Parte 1 - Clausola 4
Per risultare “conformi” allo Standard IEC 61511, si

dovrà dimostrare che tutti i requisiti indicati nelle
clausole da 5 a 19 (della Parte 1) siano stati soddisfatti
in accordo ai criteri specificati e che pertanto gli
obiettivi prefissati siano stati raggiunti.
10
Standard IEC 61508 e
Standard IEC 61511
Q IEC 61508 – “Functional Safety of E/E/PE Safety-related
Systems”
Interessa in particolare: Produttori e Fornitori di Componenti dei

Sistemi di Sicurezza Strumentale
Q IEC 61511 – “Functional Safety:

Safety Instrumented Systems for the Process Industry Sector”
Interessa in particolare: Titolari, Progettisti, Integratori ed Utenti

dei Sistemi di Sicurezza Strumentale
11
Definizioni in uso
negli Standard
IEC 61508 ed IEC 61511
12
Definizioni
Safety
(Sicurezza)
Si definisce Sicurezza la libertà da un rischio

inaccettabile, per il Personale, la Collettività,
l’Ambiente.
13
Definizioni
Functional Safety
(Sicurezza Funzionale)
La Sicurezza Funzionale è la quota parte della
Sicurezza complessiva, che dipende da un sistema, o
da una apparecchiatura, operante correttamente in
risposta ad uno o più ingressi logici.
Nella fattispecie è la quota parte relativa al Processo
ed al Sistema di Controllo di Processo di Base
(BPCS), che dipende dal corretto funzionamento del
Sistema Strumentale di Sicurezza (SIS) e degli altri
Livelli di Protezione [Indipendenti].
14
Definizioni
Safety Function
(Funzione di Sicurezza)
Si definisce Funzione di Sicurezza, la funzione che deve

essere attuata da un Sistema Strumentale di Sicurezza
(SIS) e dagli altri Livelli di Protezione [Indipendenti], per
mantenere o riportare il processo in sicurezza, in relazione
ad uno specifico evento pericoloso (allorquando una o più
condizioni predeterminate non siano più soddisfatte).
15
Definizioni
Safety Instrumented Function (SIF)
(Funzione di Sicurezza Strumentale)
Si definisce Funzione di Sicurezza Strumentale, la

funzione di sicurezza (di protezione o di controllo), che
con uno specificato Livello di Integrità della Sicurezza
(SIL), deve essere attuata da un Sistema Strumentale di
Sicurezza (SIS) [in un tempo specificato].
16
Definizioni
Safety Instrumented System (SIS)
(Sistema Strumentale di Sicurezza)
Il Sistema Strumentale di Sicurezza (SIS) definisce un

sistema strumentale di attuazione di una o più funzioni
di sicurezza strumentale.
17
Definizioni
Safety Instrumented System (SIS)
Il Sistema Strumentale di Sicurezza (SIS) è una combinazione
di uno o più:
- sensori (ad es. trasmettitori);
- risolutori logici a tecnologia E/E/PE, dove:
E = Elettrico (ad es. relé elettromeccanici)
E = Elettronico (ad es. logiche allo stato solido)
PE = Programmabile Elettronico (ad es. PLC TMR);
- elementi finali (ad es. solenoidi ed RBV);
- dispositivi di input e di output (I/O);
- interfacce utente;
- alimentatori.
18
Definizioni
Independent Protection Layer (IPL)
(Livello di Protezione Indipendente)
Si definisce Livello di Protezione Indipendente, un

qualsiasi meccanismo indipendente, che riduca il
rischio tramite controllo, prevenzione o mitigazione.
Una progettazione a-prova-di-esplosione, una PSV, un

SIS, un sistema di allarme, un sistema F&G, ma anche
una procedura od un piano di emergenza, possono
costituire un IPL.
19
Definizioni
Safety Integrity Level (SIL)
(Livello di Integrità della Sicurezza)
Il Livello di Integrità della Sicurezza è un numero

discreto indicante il valore della probabilità che un SIS
esegua correttamente una funzione di sicurezza
strumentale, entro un periodo di tempo prestabilito.
Il SIL si assegna ad ogni funzione di sicurezza

strumentale indipendente, facente parte del SIS, e non
al SIS nel suo complesso.
20
Definizioni
Safety Lifecycle
(Ciclo di Vita della Sicurezza)
Si definisce come Ciclo di Vita della Sicurezza, il

novero delle attività necessarie alla implementazione di
una o più Funzioni Strumentali di Sicurezza (SIF), da
svolgere nell’arco temporale, che parte dalla fase di
Concezione Generale del Progetto della Sicurezza
Funzionale, e termina con la Dismissione del SIS
stesso.
21
Definizioni
Safety Requirements Specification (SRS)
(Specifica dei Requisiti di Sicurezza)
Si definisce come Specifica dei Requisiti di Sicurezza
la specifica che contiene tutti i requisiti delle Funzioni
di Sicurezza, che devono essere eseguite dal SIS e dagli
altri IPL.
22
Gestione
della
Sicurezza Funzionale
23
Management of Functional Safety
(Gestione della Sicurezza Funzionale)
Obiettivi Principali:
Identificare le attività gestionali atte al raggiungimento
degli obiettivi di Sicurezza Funzionale.
24
Requisiti Principali:
Q Sistema di Gestione della Sicurezza;
Q Personale, dipartimenti, organizzazioni od altre unità
responsabili della conduzione e revisione di ciascuna
fase del Ciclo di Vita della Sicurezza dovranno essere
identificati ed informati sulle responsabilità a loro
assegnate.
25
Requisiti Principali:
Q Personale, dipartimenti, organizzazioni od altre unità
coinvolte nelle attività del Ciclo di Vita della Sicurezza
dovranno essere competenti per condurre le attività
loro assegnate. Si richiedono, pertanto, conoscenze
ingegneristiche, addestramento ed esperienza settoriale
nel Processo, nell’Analisi di Rischio, Elettro-
Strumentale & Automazione, Sicurezza Funzionale e
nel settore Legale/Normativo.
26
Documentazione Principale:
Q Manuale di Gestione della Sicurezza:
• Politica di Prevenzione degli Incidenti Rilevanti;
• Organizzazione e Formazione del Personale
(incluso qualifiche, curricula, piani di formazione, etc.);
• Rapporti e Comunicazioni con l’esterno;
• Identificazione Sistematica dei Rischi;
• Valutazione dei Rischi;
• Gestione dei Permessi ed Autorizzazioni
27
Q Manuale di Gestione della Sicurezza: (cont.)
• Piano di Emergenza;
• Procedure di Misura, Controllo, Verifica, Ispezione,
Registrazione, Correzione, Modifica, Gestione Non-conformità,
Comunicazione, Notifica;
• Procedure di Manutenzione Preventiva, Ordinaria e
Straordinaria;
• Raccolta delle Procedure e Pratiche Operative Aziendali.
28
Q Piano della Sicurezza, a definire le attività richieste dal Ciclo di
Vita della Sicurezza, assieme al personale, dipartimenti,
organizzazioni od altre unità responsabili;
Q Piano della Qualità ISO 9002-2000 (sezione del QP dedicata alla
Sicurezza);
Q Definizione di una Procedura di Valutazione della Sicurezza
Funzionale, Verifica e Revisione, e dei criteri di nomina del
Team di Valutazione della Sicurezza Funzionale ;
29
Q Elenco Fornitori Qualificati di Prodotti e Servizi;

Q Raccolta Qualifiche e Referenze Fornitori di Prodotti e Servizi;
Q Raccolta documentazione Sistema di Gestione della Qualità
(QMS) dei Fornitori di Prodotti e Servizi, aventi responsabilità
completa di una o più fasi del Ciclo di Vita della Sicurezza.
30
Valutazione
della
Sicurezza Funzionale
31
Functional Safety Assessment (FSA)
(Valutazione della Sicurezza Funzionale)
L’obiettivo principale della Valutazione della Sicurezza
Funzionale è il giudizio [indipendente e vincolante] sulla
Sicurezza Funzionale raggiunta dal SIS (così come concepito,
progettato, costruito, installato, testato, operato, manutenuto,
modificato), espresso attraverso una investigazione effettuata da
un apposito Team, in occasione di ben stabiliti eventi del Ciclo di
Vita della Sicurezza.
Si fissano i livelli minimi di indipendenza dei responsabili della
Valutazione della Sicurezza Funzionale, sulla base di un criterio
deterministico (severità delle conseguenze) e del SIL obiettivo.
32
Dovranno essere messe in atto le Procedure di Valutazione,
Verifica e Revisione della Sicurezza Funzionale, dopo la
nomina del Team di Valutazione della Sicurezza Funzionale,
in accordo al Piano di FSA.
Il Team di comprovata esperienza professionale, deve aver

maturato una esperienza tecnica, applicativa ed operativa
sulla specifica applicazione.
Il Responsabile ed il Team di Valutazione della Sicurezza

Funzionale saranno indipendenti dal Team di Progetto.
33
I principali eventi per avviare le attività di FSA sono:

1. Completamento delle SRS del SIS;
2. Completamento dellle attività di Progettazione
ed Ingegneria del SIS;
3. Completamento delle attività di Validazione del SIS;
4. Completamento della prima manutenzione
programmata del SIS.
Le attività di FSA saranno svolte anche in caso di Modifica
e Dismissione del SIS.
34
Q Piano di Valutazione della Sicurezza Funzionale;

Q Procedure di Valutazione della Sicurezza Funzionale,
Verifica e Revisione [per Autorizzazioni Modifiche];
Q Organigramma, Qualifiche e Curricula del Team FSA;
Q Dichiarazione Grado di Indipendenza del Team FSA;
Q Rapporti di Valutazione e Verifica FSA;
Q Rapporti di Revisione ed Autorizzazioni Modifiche;
35
36
Allo scopo di programmare ed eseguire
sistematicamente tutte le attività necessarie al
rispetto dei requisiti e degli obiettivi fissati dagli
Standard IEC 61508 ed IEC 61511, si adotta
nell’ambito del sistema di Gestione della Sicurezza
Funzionale, una struttura tecnica identificata come
Ciclo di Vita della Sicurezza.
Il Ciclo di Vita della Sicurezza è usato come base
per il raggiungimento della conformità agli
Standard IEC 61508 ed IEC 61511.
37
Gestione della
Sicurezza
Funzionale
Ciclo di Vita
Requisiti della
Tecnici
Sicurezza
Competenze
Certificazione
38
L’approccio al
Identificare Ciclo di Vita della Sicurezza,
come processo iterativo
Verificare Valutare
Progettare
39
IEC 61508 - Ciclo di Vita della Sicurezza
1 Concept
Overall Scope
2
Definition
Hazard and Risk

3
Analysis
Overall Safety
4
Requirements
Safety Requirements
5
Allocation
40
A
Overall Planning Safety-related

10 Systems:
Overall Overall Overall other
Operation and Safety Installation and Technology
6 7 8
Maintenance Validation Commissioning
Planning Planning Planning Realization
External Risk
Safety-related 11 Reduction
Systems:
Facilities
E/E/PES
9
Realization
(see E/E/PES Realization
Safety
Lifecycle)
14 13 12 12 12 12
41
6 7 8 9 10 11
Overall Installation
12
and Commissioning
Back to appropriate overall
Safety Life Cycle phase
Overall Safety
13
Validation
Overall Operation, Overall Modification

14 15
Maintenance and Repair and Retrofit
Decommissioning
16
or Disposal
42
IEC 61508 - Ciclo di Vita del SIS - H/W
9.1 E/E/PES Safety Requirements Specification
Safety Safety
Functions Integrity
9.1.1 9.1.2
Requirements Requirements
Specification Specification
E/E/PES Safety Validation E/E/PES Design and

9.2 9.3
Planning Development
9.1
9.4 E/E/PES Integration E/E/PES Operation and

9.5
Maintenance Procedures
E/E/PES Safety
9.6
Validation
12 14
43
IEC 61508 - Ciclo di Vita del SIS - S/W
9.1 SW Safety Requirements Specification
Safety Safety
Functions Integrity
9.1.1 9.1.2
Requirements Requirements
Specification Specification
SW Safety Validation SW Design and

9.2 9.3
Planning Development
9.1
PE Integration SW Operation and

9.4 9.5
(HW + SW) Modification Procedures
SW Safety
9.6
Validation
12 14
44
Ciclo di Vita della Sicurezza per ISA S84.01
Start
Establish
Operation
Develop Safety & Maintenance
Requirements Procedures
Conceptual
Specification
Process Design
(SRS)
Pre-Start-up
Safety Review
Perform Process Perform SIS (PSSR)
Hazard Analysis Conceptual
& Risk Assessment Design & Verify SIS start-up,
it meets the SRS operation,
maintenance,
Apply non-SIS periodic functional
protection layers to testing
prevent identified
hazards or reduce risk Perform SIS
Detail Design Modify
Modify
or
NO Decommission
SIS
required ? SIS ?
SIS Installation, Decommission
Commissioning,
YES and Pre-startup SIS
Define AcceptanceTest Decommissioning
target SIL
45
Fase 1 - Concezione Generale del Progetto della Sicurezza Funzionale
Q sviluppare un livello di comprensione del Processo, del Sistema

di Controllo di Processo di Base (BPCS) e del relativo ambiente
(fisico, legislativo, etc.), tale da consentire una conduzione
soddisfacente delle attività a completamento del Ciclo di Vita
della Sicurezza;
Q individuare le fonti di pericolo e raccolte le informazioni sui

fluidi pericolosi processati.
46
Q Dati Base della Produzione (in allegato);
Q Dati Base di Progettazione (in allegato);
Q Dati Climatologici e di Progetto Ambientali (in allegato);
Q Elenco Apparecchiature di Processo (in allegato);
Q Descrizione di Processo (in allegato);
Q Schema a Blocchi di Processo (in allegato);
Q Schemi Quantificati di Processo (in allegato);
Q Specifiche e Dimensionali Apparecchiature di Processo (in allegato);
Q Planimetrie e Lay-out Impianto (in allegato);
47
Q Schemi di Marcia (in allegato);

Q Elenco Fluidi (in allegato);
Q Classi Tubazioni (in allegato);
Q Classificazione della Aree (in allegato);
Q Elenco Utenze Elettriche (in allegato);
Q Specifica Generale della Messa a Terra (in allegato);
Q Specifiche di Processo della Strumentazione (in allegato);
Q Specifica Generale del Sistema di Controllo del Processo (in allegato);
Q Specifica Generale Erogazione Servizi critici (E.E, I.A., N, etc.);
48
Q Manuale di Gestione della Sicurezza (in allegato);

Q Rapporto di Sicurezza (generale e per singoli impianti) (in allegato);
Q Individuazione e Descrizione delle Fonti di Pericolo (*);
Q Elenco, Proprietà e MSDS dei Fluidi Pericolosi manipolati (*);
Q Elenco Regolamenti Legislativi Applicabili (*);
Q Elenco Standard e GEP di Settore Applicabili (*);
Q Organizzazione dell’Esercizio e Manutenzione (*);
Q Procedure Operative, di Emergenza, di Manutenzione (*);
(*) documentazione includibile nel M.G.S.
49
Q Informazioni Generali di Settore sui Rischi del Processo;

Q Casistica Incidenti di Settore (MARS, CDCIR, OECD, etc.);
Q Statistiche sugli Infortuni;
Q Obiettivi Aziendali nel campo della Sicurezza, mirati in particolare a:
Salvaguardia del Personale, della Comunità e dell’Ambiente,
Rapporti con le Autorità, Immagine Aziendale, Danni alla
Proprietà, Fermo Produzione, Gestione degli Assets,
Coperture Assicurative, Spese Legali.
50
Fase 2 - Scopo Generale del Progetto della Sicurezza Funzionale
Q definire le apparecchiature sotto controllo ed il relativo sistema di

controllo, da sottoporre ad Analisi di Rischio;
Q definire scopo e tipologia della Analisi di Rischio;
Q definire la tipologia dei vari eventi iniziatori di sequenze incidentali,

sia interni, che esterni (guasti, fattore umano, errori procedurali,
fenomeni atmosferici, etc.) da includere nella Analisi di Rischio.
51
Q Definizione di apparecchiature sotto controllo individuali e relativo

sistema di controllo, da sottoporre ad Analisi di Rischio;
Q Definizione di gruppi di apparecchiature sotto controllo interagenti e

relativo sistema di controllo, da sottoporre ad Analisi di Rischio;
Q Definizione di gruppi di apparecchiature sotto controllo soggette ad

Effetto Domino e relativo sistema di controllo, da sottoporre ad
Analisi di Rischio;
52
Q Definizione di gruppi di apparecchiature sotto controllo soggette

simultaneamente ad uno stesso evento iniziatore (ad es. incendio
esterno, mancanza E.E., mancanza acqua di raffreddamento,
esplosione non confinata, etc.);
Q Definizione di gruppi di apparecchiature sotto controllo protette

simultaneamente dalla stessa funzione di sicurezza (ad es. fermata di
emergenza, sfiato di emergenza, antincendio, abbattimento fughe,
blocco alimentazione E.E., etc.);
53
Q Definizione delle funzioni di sicurezza implementate da SIS

ed altri IPL, per ogni apparecchiatura o gruppo di apparecchiature
sotto controllo;
Q Definizione della tipologia dei vari eventi iniziatori interni ed

esterni di sequenze incidentali, per ogni apparecchiatura o gruppo
di apparecchiature sotto controllo.
54
Fase 3 - Analisi di Rischio
Q determinare gli eventi incidentali delle apparecchiature e gruppi di

apparecchiature sotto controllo e relativo sistema di controllo, in
tutte le modalità operative, per tutte le circostanze ragionevolmente
prevedibili, incluse le condizioni di guasto ed uso errato;
Q determinare le sequenze di eventi incidentali e la relativa
probabilità qualitativa o quantitativa;
Q determinare i rischi associati agli eventi incidentali;
Q le misure da intraprendere per la riduzione del rischio necessaria.
55
Q Classificazione del grado di rischio tollerabile per l’evento

incidentale, espresso come la combinazione tra:
severità delle conseguenze dell’evento incidentale (per le persone e/o
per la salute e/o per l’ambiente e/o per le cose e/o altri fattori)
e
frequenza massima ammissibile di accadimento dell’evento
incidentale stesso mitigato;
56
Q Identificazione delle cause iniziatrici degli eventi incidentali, degli
eventi incidentali e dei fattori di contributo (includendo guasto di
componenti, errori procedurali, fattore umano e guasti di sotto-
sistemi), in:
- avviamento;
- marcia normale;
- fermata normale, fermta di emergenza e falsa fermata;
- condizioni di disturbo del processo;
- conduzione di test prestazionali in-linea;
- manutenzione;
- modalità operative anormali e/o eccezionali;
- condizioni ambientali estreme;
57
Q Stima delle conseguenze potenziali degli eventi incidentali;
Q Stima delle frequenze di accadimento delle cause iniziatrici delle

sequenze di eventi incidentali;
Q Definizione di ogni stato individuale di messa in sicurezza del

processo, che, se in concomitanza, può generare un evento pericoloso
(ad es. sovraccarico di uno stoccaggio di emergenza, scarico
simultaneo di due o più PSV al sistema di fiaccola, etc.);
Q Rapporto Generale sulla Analisi di Rischio.
58
Fase 4 - Allocazione delle funzioni di Sicurezza
ai Livelli di Protezione Indipendenti
Q allocare le funzioni di sicurezza al SIS ed agli altri livelli di

protezione indipendenti (IPL), per prevenzione, controllo e
mitigazione dei rischi;
Q allocare i valori obiettivo di Fattore di Riduzione del Rischio (RRF)
al sistema di controllo, al SIS ed agli altri livelli di protezione
indipendenti (IPL);
Q analizzare gli errori di causa comune, modo comune e dipendenti
del SIS e degli altri IPL.
59
Fase 4 - Allocazione delle funzioni di Sicurezza
Q Analisi dei livelli di protezione indipendente (LOPA) e relativi

requisiti prestazionali, per il raggiungimento dell’obiettivo di rischio
tollerabile degli eventi incidentali mitigati;
Q Specifica dei requisiti del SIS e degli altri livelli di protezione

indipendenti (IPL) per prevenire errori di:
- causa comune;
- modo comune;
- guasti dipendenti.
60
Fase 4 - Allocazione delle Funzioni di Sicurezza
Q Calcolo del Rischio di Fatalità Globale associato ad eventi incidentali

ad alta fatalità, quali incendio, esplosione e rilascio di sostanze
tossiche;
Q Calcolo del Rischio Totale di Impianto (verifica Aziendale eseguita

con criteri di valutazione interni).
61
Fase 5 - Specifica dei Requisiti di Sicurezza del SIS (SRS)
Q sviluppare la specifica completa dei requisiti funzionali e del livello

di integrità, per ogni funzione di sicurezza che deve essere attuata
dal SIS e dagli altri livelli protettivi indipendenti allo scopo di
raggiungere la sicurezza funzionale richiesta.
In particolare per ogni funzione di sicurezza strumentale (SIF) che
deve essere attuata dal SIS, la SRS contiene i requisiti funzionali ed
il SIL.
La SRS è una raccolta documentale, con un indice a riferimenti
incrociati, con finalità di QA e di guida progettuale.
62
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)
Q Descrizione delle funzioni di sicurezza strumentale (SIF);
Q Architettura del SIS;
Q Requisiti per l’identificazione e la valutazione delle cause comuni di
guasto;
Q Definizione dello stato sicuro del processo per ogni SIF;
Q Definizione e frequenza della richiesta di intervento per ogni SIF;
Q Requisiti dell’intervallo del test di prova (TI);
Q Tempo di risposta del SIS per mantenere o raggiungere lo stato
sicuro del processo;
Q Requisiti di Affidabilità dell’Alimentazione;
63
Q Requisiti di Affidabilità della Strumentazione in campo;
Q Livello di integrità della sicurezza (SIL) e modalità operativa (su
richiesta di intervento o continuativa) per ogni SIF;
Q Descrizione dei valori di processo in ingresso e dei relativi valori di
intervento per ogni SIF;
Q Descrizione delle azioni svolte in uscita dal SIS, incluso requisiti
particolari per il successo dell’azione stessa (ad es. TSO per RBV);
Q Relazioni funzionali tra valori in ingresso e valori di uscita del SIS,
incluso logiche, funzioni matematiche e consensi;
Q Requisiti per blocchi manuali;
64
Q Requisiti per intervento del SIS tramite energizzazione (“energize to
trip”) o de-energizzazione (“de-energize to trip”);
Q Requisiti per azione di Reset del SIS dopo intervento di blocco;
Q Requisiti di STR (Spurious Trip Rate) massimo ammissibile del SIS;
Q Modalità di guasto, e di risposta in caso di guasto, del SIS;
Q Requisiti specifici procedurali di avviamento e riavviamento del SIS;
Q Requisiti di interfaccia del SIS con altri sistemi (ad es. BPCS);
Q Requisiti Allarmi Critici;
65
Q Requisiti per ogni SIF per differenti modalità operative a livello di

processo (ad es. marcia normale, avviamento, fermata, etc.), ed
eventuali richieste di SIF aggiuntive;
Q Requisiti per ogni SIF per differenti modalità operazionali (ad es.
messa in servizio, esercizio, test e manutenzione, etc.) di
componenti del SIS, ed eventuali richieste di SIF aggiuntive;
Q Requisiti Consensi;
Q Requisiti LOS;
66
Q Requisiti di sicurezza del S/W applicativo:

- Funzioni supportate dal S/W applicativo;
- Capacità e tempi di risposta;
- HMI ed operabilità;
- Copertura di tutte le modalità operative del processo;
- Azioni da intraprendere per valori delle variabili di processo
fuori range, corto circuito individuato e circuito aperto
individuato;
67
Q Requisiti di sicurezza del S/W applicativo: (cont.)

- Test di prova e test di diagnostica dei dispositivi esterni (ad es.
sensori ed elementi finali);
- Fault Insertion Testing;
- Auto-diagnostica del S/W (ad es. watch-dogs pilotati dalla
applicazione ed auto-validazione del range dei dati);
- Monitoraggio dei dispositivi esterni (ad es. sensori ed elementi
finali);
- Test in-linea periodici della funzione di sicurezza;
68
Q Requisiti di sicurezza del S/W applicativo: (cont.)

- Riferimenti alla documentazione di input (ad es. specifiche della
funzione di sicurezza, configurazione o architettura del SIS,
requisiti di SIL dell’H/W);
Q Requisiti per comandi di “Override” (POS e MOS), “Inhibit” e “By-
pass” delle funzioni di sicurezza, incluse le modalità di annullamento
dei comandi stessi;
Q Requisiti SOE recorder;
69
Q Specifiche di ogni azione necessaria a raggiungere o mantenere uno

stato di sicurezza nel caso di individuazione di uno o più guasti del
sistema di sicurezza, tenendo debitamente conto del fattore umano;
Q Requisito di MTTR (Mean Time to Repair), fattibile per il SIS,
tenendo in conto il personale addetto, i tempi di intervento,
l’ubicazione dell’impianto, la disponibilità di parti di ricambio, i
contratti di manutenzione in essere, i vincoli di tipo ambientale, etc.;
Q Identificazione di combinazioni pericolose degli stati di uscita del
SIS, che dovranno essere identificate;
Q
70
Q Specifica delle condizioni ambientali estreme;

Q Requisiti per il mantenimento della funzionalità delle SIF in caso di
eventi incidentali rilevanti (ad es. requisito di “fire-proofing“ e di
tempo max. di resistenza alle fiamme, per una RBV sottoposta ad
incendio esterno);
Q Requisiti di sicurezza per false fermate;
Q Requisiti di Security;
Q Rapporto Generale sulla Specifica dei Requisiti di Sicurezza;
71
Fase 6 – Progettazione ed Ingegneria del SIS
Q progettare ed ingegnerizzare il SIS utilizzato per implementare una

o più funzioni di sicurezza strumentale (SIF), e raggiungere la
sicurezza funzionale richiesta.
72
Q Requisiti Generali ed Architettura dell’H/W;

Q Requisiti del SIS per la Rilevazione dei Guasti;
Q Requisiti di Fault Tolerance dell’H/W;
Q Requisiti per la selezione dei componenti e sotto-sistemi del SIS
(certificati e basati su “prior use”);
Q Requisiti per la selezione del linguaggio di programmazione
(FPL, LVL, FVL);
Q Requisiti dei dispositivi in campo;
Q Requisiti per mancanza alimentazione;
Q Piano di validazione dell’H/W;
73
Q Requisiti dello stato sicuro di ogni componente;
Q Requisiti dei tempi globali di attuazione delle SIF (lag times);
Q Requisiti delle Interfacce (stazioni di ingegneria/manutenzione,
stazioni operatore, comunicazioni verso DCS e periferiche, etc.);
Q Requisiti di Copertura Diagnostica;
Q Requisiti di Manutenzione;
Q Requisiti di Testing;
Q Requisiti del Sistema di Alimentazione e UPS;
Q Requisiti per il Training;
74
Q Raccolta valori MTTFd ed MTTFsp. e relative certificazioni;

Q Raccolta valori fattori di guasto comune;
Q Raccolta documentazione Fornitori per componenti non- certificati;
Q Verifica del raggiungimento degli Obiettivi Prestazionali (SIL);
Q Verifica del valore di STR massimo ammissibile;
Q Elenco Parti di Ricambio;
Q Rapporto di Non-Conformità dell’H/W;
75
Q Requisiti del S/W applicativo, di servizio ed “embedded”;

Q Requisiti di Progetto e di Sviluppo del S/W applicativo;
Q Requisiti dell’Architettura del S/W applicativo;
Q Requisiti per la Documentazione di Progetto ed i Manuali;
Q Requisiti per l’integrazione del S/W applicativo e relativo test;
Q Piano di Validazione del S/W;
Q Rapporto di Non-Conformità S/W;
76
Q Organigramma di Progetto;
Q Programma di Progetto;
Q Elenco dei Consumi Elettrici;
Q Elenco Cavi e Terminazioni;
Q Elenco Componenti SIS;
Q Sistema di Messa a Terra del SIS;
Q Lay-out degli Armadi;
Q Disegni Dimensionali;
Q Schemi Elettrici;
Q Piante delle Terminazioni;
Q Rapporti di Avanzamento Progetto;
77
Q Database I/O;
Q Diagrammi Causa/Effetto;
Q Logica del Programma di Applicazione (in accordo allo Std.
IEC-61131-3 “Programmable Controllers: Programming
Language”);
Q Certificati Materiali e Certificazioni Enti Terzi;
Q Manuale di Istruzioni;
Q Manuale di Manutenzione;
Q Manuale di Sicurezza;
Q Rapporto Generale sulla Progettazione ed Ingegneria.
78
Fase 7 – Factory Acceptance Test (FAT)
Q testare il Risolutore Logico (H/W e S/W integrato) per assicurare

che i requisiti definiti nella SRS siano soddisfatti, prima
dell’installazione in campo del SIS.
79
Fase 7 – Factory Acceptance Test (FAT)
Q Programma del FAT;
Q Personale Responsabile del FAT;
Q Procedura Dettagliata del FAT;
Q Rapporto di Test delle singole SIF;
Q Rapporto Finale del FAT (inclusivo dei rapporti e risultati di test,
registro cronologico dei test, guasti riscontrati e relativa analisi,
modifiche ed azioni correttive apportate, certificati dei materiali,
certificati di prove di collaudo, strumenti, apparecchiature ed
interfacce usate, simulatori, etc.);
Q Rapporto di non-conformità (eventuali);
Q Certificato Finale di Accettazione del FAT.
80
Fase 8 – Installazione e Messa in Servizio del SIS
Q installare il SIS in accordo alle Specifiche ed alla Documentazione

di Progetto;
Q mettere in servizio il SIS, pronto per il SAT.
81
Fase 8 – Installazione e Messa in Servizio del SIS
Q Programma di Installazione e Messa in Servizio;

Q Personale Responsabile di Installazione e Messa in Servizio;
Q Procedura Dettagliata di Installazione e Messa in Servizio;
Q Rapporto Finale di Installazione e Messa in Servizio (inclusivo dei
rapporti e risultati di messa in servizio ed avviamento, registro
cronologico delle attività e degli interventi, guasti riscontrati e
relativa analisi, modifiche ed azioni correttive apportate, etc.);
Q Emissione Documentazione di Progetto “As Built” (solo in assenza
di non-conformità con impatto sulla sicurezza) ;
82
Fase 9 – Site Acceptance Test (SAT)
Q testare il SIS, dopo la messa in servizio, e validare che il SIS

soddisfi i requisiti definiti nella SRS per ogni SIF, ai fini del pieno
raggiungimento della sicurezza funzionale richiesta.
83
Q Programma del SAT ;

Q Personale Responsabile del SAT;
Q Procedura Dettagliata del SAT;
Q Rapporto di Test delle singole SIF;
84
Q Rapporto Finale del SAT (inclusivo dei rapporti e risultati di test e

validazione H/W e S/W per le diverse modalità operative, test
copertura diagnostica, test by-pass, test POS, test consensi, test
comunicazioni, test allarmi, test SOE recording, registro
cronologico dei test, inconsistenze con la documentazione di
progetto, guasti riscontrati e relativa analisi, modifiche ed azioni
correttive apportate, strumenti ed apparecchiature usate con i
relativi dati di calibrazione, etc.);
Q Certificato Finale di Accettazione del SAT.
85
Fase 10 – Operazione e Manutenzione
Q operare e manutenere il SIS, in modo che la sicurezza funzionale

richiesta sia mantenuta per tutto l’arco di vita dell’impianto;
Q assicurare che il SIL di ogni SIF non degradi per per tutto l’arco di
vita dell’impianto.
86
Q Piano di Operazione e Manutenzione:
- personale responsabile
- attività di routine e fuori-routine;
- piano test di prova;
- procedure test di prova;
- procedure, misure e tecniche operative e manutentive;
- attività di manutenzione preventiva e di emergenza;
- programma manutentivo;
Q Elenco parti di ricambio;
87
Q Registro Test di Prova (tipo prove, registrazione cronologica,
risultati prove, modifiche ed azioni correttive apportate, strumenti
ed apparecchiature usate con i relativi dati di calibrazione, etc.);
Q Registro dei Guasti (identificazione componenti soggetti a guasto,
Fornitore, data di fabbricazione, durata di esercizio, MTTR
effettivo, tipo e frequenza dei guasti, analisi dei guasti, analisi
richieste di intervento, analisi guasti comuni e sistematici, analisi
FMEA, etc.);
Q Registro Non-Conformità (eventuali);
Q Piano di Ispezione (programma e tipo ispezioni, procedure
ispettive, responsabili ispezioni) e Registro Rapporti Ispettivi.
88
Fase 11 – Modifiche
Q assicurare che eventuali modifiche da apportare all’H/W e/o al S/W
del SIS, come pure eventuali retrofittings, siano opportunamente
programmate, verificate ed approvate, prima di rendere effettiva la
modifica o il retrofitting;
Q assicurare che una volta apportate le eventuali modifiche all’H/W
e/o al S/W del SIS, come pure eventuali retrofittings, la sicurezza
funzionale richiesta sia mantenuta;
Q assicurare che il SIL di ogni SIF interessata alla modifica od al
retrofitting non degradi.
89
Fase 11 – Modifiche
Q Procedura di richiesta di modifica, inclusiva di descrizione, ragioni
della modifica ed impatto atteso;
Q Analisi della modifica e del relativo impatto su sicurezza funzionale
e SIL;
Q Procedura di approvazione ed autorizzazione, progettazione,
esecuzione, messa in servizio, collaudo, validazione e registrazione
della modifica;
Q Registro Modifiche (identificazione componenti soggetti a
modifica, data di modifica, descrizione della modifica, personale
responsabile modifiche, test modifiche, etc.);
Q Emissione della documentazione “As Built”.
90
Fase 12 – Dismissione del SIS
Q assicurare che prima della Dismissione del SIS dal servizio attivo,
si conduca una Analisi di Dismissione;
Q assicurare che la Dismissione del SIS sia debitamente autorizzata.
Q assicurare che durante e dopo la Dismissione del SIS la sicurezza

funzionale non venga messa a pregiudizio.
91
Fase 12 – Dismissione del SIS
Q Procedura di richiesta, analisi, approvazione ed autorizzazione di
Dismissione del SIS;
Q Analisi di Dismissione del SIS;
Q Rapporto di Dismissione del SIS;
Q Certificazione di Dismissione del SIS.
92
Conclusioni:
Lo Standard IEC 61508 è in primis uno Standard di
Gestione della Sicurezza Funzionale.
I Sistemi di Sicurezza Strumentale (SIS) vanno progettati
modernamente con contributi professionali indipendenti
e di alto livello, e realizzati da Fornitori qualificati.
La conformità agli Standard IEC 61508 ed IEC 61511

consente di raggiungere e mantenere nel tempo gli obiettivi
prestazionali prefissati per un SIS, salvaguardando così
Vita Umana, Salute ed Ambiente. E
O RM
N F
CO
93
Grazie per l’attenzione
94

Iec 61508 - Sil - Fanelli P

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Iec 61508 - Sil - Fanelli P

Caricato da

Copyright:

Formati disponibili

"Applicazione Pratica del Ciclo di Vita della

Sicurezza in accordo agli Standard

Le potenziali conseguenze di un evento incidentale sul Personale,

Q Part 1: General Requirements

Q Part 1: Framework, Definitions, System, HW & SW

Lo Standard IEC 61508 fornisce un metodo per lo sviluppo

Per risultare “conformi” allo Standard IEC 61508, si

Per risultare “conformi” allo Standard IEC 61511, si

Interessa in particolare: Produttori e Fornitori di Componenti dei

Q IEC 61511 – “Functional Safety:

Interessa in particolare: Titolari, Progettisti, Integratori ed Utenti

Si definisce Sicurezza la libertà da un rischio

Si definisce Funzione di Sicurezza, la funzione che deve

Si definisce Funzione di Sicurezza Strumentale, la

Il Sistema Strumentale di Sicurezza (SIS) definisce un

Si definisce Livello di Protezione Indipendente, un

Una progettazione a-prova-di-esplosione, una PSV, un

Il Livello di Integrità della Sicurezza è un numero

Il SIL si assegna ad ogni funzione di sicurezza

Si definisce come Ciclo di Vita della Sicurezza, il

Q Elenco Fornitori Qualificati di Prodotti e Servizi;

Il Team di comprovata esperienza professionale, deve aver

Il Responsabile ed il Team di Valutazione della Sicurezza

I principali eventi per avviare le attività di FSA sono:

Q Piano di Valutazione della Sicurezza Funzionale;

Hazard and Risk

Overall Planning Safety-related

Overall Operation, Overall Modification

E/E/PES Safety Validation E/E/PES Design and

9.4 E/E/PES Integration E/E/PES Operation and

SW Safety Validation SW Design and

PE Integration SW Operation and

Q sviluppare un livello di comprensione del Processo, del Sistema

Q individuare le fonti di pericolo e raccolte le informazioni sui

Q Schemi di Marcia (in allegato);

Q Manuale di Gestione della Sicurezza (in allegato);

Q Informazioni Generali di Settore sui Rischi del Processo;

Q definire le apparecchiature sotto controllo ed il relativo sistema di

Q definire scopo e tipologia della Analisi di Rischio;

Q definire la tipologia dei vari eventi iniziatori di sequenze incidentali,

Q Definizione di apparecchiature sotto controllo individuali e relativo

Q Definizione di gruppi di apparecchiature sotto controllo interagenti e

Q Definizione di gruppi di apparecchiature sotto controllo soggette ad

Q Definizione di gruppi di apparecchiature sotto controllo soggette

Q Definizione di gruppi di apparecchiature sotto controllo protette

Q Definizione delle funzioni di sicurezza implementate da SIS

Q Definizione della tipologia dei vari eventi iniziatori interni ed

Q determinare gli eventi incidentali delle apparecchiature e gruppi di

Q Classificazione del grado di rischio tollerabile per l’evento

Q Stima delle conseguenze potenziali degli eventi incidentali;

Q Stima delle frequenze di accadimento delle cause iniziatrici delle

Q Definizione di ogni stato individuale di messa in sicurezza del

Q Rapporto Generale sulla Analisi di Rischio.

Q allocare le funzioni di sicurezza al SIS ed agli altri livelli di

Q Analisi dei livelli di protezione indipendente (LOPA) e relativi

Q Specifica dei requisiti del SIS e degli altri livelli di protezione

Q Calcolo del Rischio di Fatalità Globale associato ad eventi incidentali

Q Calcolo del Rischio Totale di Impianto (verifica Aziendale eseguita

Q sviluppare la specifica completa dei requisiti funzionali e del livello

Q Requisiti per ogni SIF per differenti modalità operative a livello di

Q Requisiti di sicurezza del S/W applicativo:

Q Requisiti di sicurezza del S/W applicativo: (cont.)

Q Requisiti di sicurezza del S/W applicativo: (cont.)