Sei sulla pagina 1di 94

"Applicazione Pratica del Ciclo di Vita della

Sicurezza in accordo agli Standard


IEC 61508 ed IEC 61511:
Documentazione di un Progetto Tipico della
Sicurezza per l’Industria di Processo
Chimico (CPI)”
CONVEGNO SIPI
Stresa, 16-17 Ott. ‘03
Autore e Relatore: Dr. Ing. P. Fanelli
membro AIDIC / AIChE

1
Sommario della Presentazione
ƒ Premessa
ƒ Introduzione agli Standard IEC 61508 ed IEC 61511
ƒ Definizioni in uso negli Standard IEC 61508 ed IEC 61511
ƒ Gestione della Sicurezza Funzionale
ƒ Valutazione della Sicurezza Funzionale
ƒ Ciclo di Vita della Sicurezza

2
Premessa
Nell’Industria di Processo Chimico, qualora gli impianti presentino
rischi derivanti da processi e/o da prodotti pericolosi, si impongono
misure di sicurezza preventive e mitigative.

Le potenziali conseguenze di un evento incidentale sul Personale,


sulla Comunità, sull’Ambiente, sull’Azienda stessa, devono essere
valutate appieno, in modo da intraprendere le necessarie misure di
sicurezza per non superare, in qualunque condizione, la soglia di
Rischio Tollerabile.

Gli Standard IEC 61508 ed IEC 61511 forniscono le linee guida per
raggiungere tale obiettivo e mantenerlo nel tempo.

3
Introduzione
agli Standard
IEC 61508 ed IEC 61511

4
Standard IEC 61508
“Functional Safety of Electrical/Electronic/Programmable
Electronic Safety-related Systems”

Q Part 1: General Requirements


Q Part 2: Requirements for Electrical/ Electronic/Programmable
Electronic Safety-related Systems (E/E/PES)
Q Part 3: Software Requirements
Q Part 4: Definitions and Abbreviations
Q Part 5: Examples of Methods for the Determination of SILs
Q Part 6: Guidelines on the Application of Parts 2 and 3
Q Part 7: Overview of Techniques and Measures

5
Standard IEC 61511
“Functional Safety: Safety Instrumented Systems for the
Process Industry Sector”

Q Part 1: Framework, Definitions, System, HW & SW


Requirements
Q Part 2: Guidelines in the application of IEC-61511-1
Q Part 3: Guidance for the determination of Safety Integrity Levels

6
Standard IEC 61508
Lo Standard IEC 61508 è uno standard internazionale che
fissa l’approccio generale per tutte le attività del Ciclo di
Vita della Sicurezza per sistemi di tipo E/E/PE (Elettrici
/Elettronici/Elettronici Programmabili) utilizzati per eseguire
funzioni di sicurezza.

Lo Standard IEC 61508 fornisce un metodo per lo sviluppo


della specifica dei requisiti di sicurezza, come pure introduce
ed utilizza i livelli di integrità della sicurezza.

7
Standard IEC 61511
Lo Standard IEC 61511 è uno standard internazionale che
forrnisce gli obiettivi ed i requisiti per specificare,
progettare, installare, operare e manutere i Sistemi
Strumentali di Sicurezza (SIS).
Lo Standard IEC 61511 è stato specificatamente
sviluppato come implementazione dello Standard
IEC 61508 per il Settore di Processo.

8
Standard IEC 61508
Parte 1 - Clausola 4

Per risultare “conformi” allo Standard IEC 61508, si


dovrà dimostrare che tutti i requisiti siano stati
soddisfatti in accordo ai criteri specificati e che
pertanto gli obiettivi prefissati siano stati raggiunti per
ogni clausola e sotto-clausola.

9
Standard IEC 61511
Parte 1 - Clausola 4

Per risultare “conformi” allo Standard IEC 61511, si


dovrà dimostrare che tutti i requisiti indicati nelle
clausole da 5 a 19 (della Parte 1) siano stati soddisfatti
in accordo ai criteri specificati e che pertanto gli
obiettivi prefissati siano stati raggiunti.

10
Standard IEC 61508 e
Standard IEC 61511
Q IEC 61508 – “Functional Safety of E/E/PE Safety-related
Systems”

Interessa in particolare: Produttori e Fornitori di Componenti dei


Sistemi di Sicurezza Strumentale

Q IEC 61511 – “Functional Safety:


Safety Instrumented Systems for the Process Industry Sector”

Interessa in particolare: Titolari, Progettisti, Integratori ed Utenti


dei Sistemi di Sicurezza Strumentale

11
Definizioni in uso
negli Standard
IEC 61508 ed IEC 61511

12
Definizioni
Safety
(Sicurezza)

Si definisce Sicurezza la libertà da un rischio


inaccettabile, per il Personale, la Collettività,
l’Ambiente.

13
Definizioni
Functional Safety
(Sicurezza Funzionale)
La Sicurezza Funzionale è la quota parte della
Sicurezza complessiva, che dipende da un sistema, o
da una apparecchiatura, operante correttamente in
risposta ad uno o più ingressi logici.
Nella fattispecie è la quota parte relativa al Processo
ed al Sistema di Controllo di Processo di Base
(BPCS), che dipende dal corretto funzionamento del
Sistema Strumentale di Sicurezza (SIS) e degli altri
Livelli di Protezione [Indipendenti].

14
Definizioni
Safety Function
(Funzione di Sicurezza)

Si definisce Funzione di Sicurezza, la funzione che deve


essere attuata da un Sistema Strumentale di Sicurezza
(SIS) e dagli altri Livelli di Protezione [Indipendenti], per
mantenere o riportare il processo in sicurezza, in relazione
ad uno specifico evento pericoloso (allorquando una o più
condizioni predeterminate non siano più soddisfatte).

15
Definizioni
Safety Instrumented Function (SIF)
(Funzione di Sicurezza Strumentale)

Si definisce Funzione di Sicurezza Strumentale, la


funzione di sicurezza (di protezione o di controllo), che
con uno specificato Livello di Integrità della Sicurezza
(SIL), deve essere attuata da un Sistema Strumentale di
Sicurezza (SIS) [in un tempo specificato].

16
Definizioni
Safety Instrumented System (SIS)
(Sistema Strumentale di Sicurezza)

Il Sistema Strumentale di Sicurezza (SIS) definisce un


sistema strumentale di attuazione di una o più funzioni
di sicurezza strumentale.

17
Definizioni
Safety Instrumented System (SIS)
Il Sistema Strumentale di Sicurezza (SIS) è una combinazione
di uno o più:
- sensori (ad es. trasmettitori);
- risolutori logici a tecnologia E/E/PE, dove:
E = Elettrico (ad es. relé elettromeccanici)
E = Elettronico (ad es. logiche allo stato solido)
PE = Programmabile Elettronico (ad es. PLC TMR);
- elementi finali (ad es. solenoidi ed RBV);
- dispositivi di input e di output (I/O);
- interfacce utente;
- alimentatori.
18
Definizioni
Independent Protection Layer (IPL)
(Livello di Protezione Indipendente)

Si definisce Livello di Protezione Indipendente, un


qualsiasi meccanismo indipendente, che riduca il
rischio tramite controllo, prevenzione o mitigazione.

Una progettazione a-prova-di-esplosione, una PSV, un


SIS, un sistema di allarme, un sistema F&G, ma anche
una procedura od un piano di emergenza, possono
costituire un IPL.

19
Definizioni
Safety Integrity Level (SIL)
(Livello di Integrità della Sicurezza)

Il Livello di Integrità della Sicurezza è un numero


discreto indicante il valore della probabilità che un SIS
esegua correttamente una funzione di sicurezza
strumentale, entro un periodo di tempo prestabilito.

Il SIL si assegna ad ogni funzione di sicurezza


strumentale indipendente, facente parte del SIS, e non
al SIS nel suo complesso.

20
Definizioni
Safety Lifecycle
(Ciclo di Vita della Sicurezza)

Si definisce come Ciclo di Vita della Sicurezza, il


novero delle attività necessarie alla implementazione di
una o più Funzioni Strumentali di Sicurezza (SIF), da
svolgere nell’arco temporale, che parte dalla fase di
Concezione Generale del Progetto della Sicurezza
Funzionale, e termina con la Dismissione del SIS
stesso.

21
Definizioni
Safety Requirements Specification (SRS)
(Specifica dei Requisiti di Sicurezza)
Si definisce come Specifica dei Requisiti di Sicurezza
la specifica che contiene tutti i requisiti delle Funzioni
di Sicurezza, che devono essere eseguite dal SIS e dagli
altri IPL.

22
Gestione
della
Sicurezza Funzionale

23
Gestione della Sicurezza Funzionale
Management of Functional Safety
(Gestione della Sicurezza Funzionale)

Obiettivi Principali:
Identificare le attività gestionali atte al raggiungimento
degli obiettivi di Sicurezza Funzionale.

24
Gestione della Sicurezza Funzionale
Gestione della Sicurezza Funzionale
Requisiti Principali:
Q Sistema di Gestione della Sicurezza;
Q Personale, dipartimenti, organizzazioni od altre unità
responsabili della conduzione e revisione di ciascuna
fase del Ciclo di Vita della Sicurezza dovranno essere
identificati ed informati sulle responsabilità a loro
assegnate.

25
Gestione della Sicurezza Funzionale
Gestione della Sicurezza Funzionale
Requisiti Principali:
Q Personale, dipartimenti, organizzazioni od altre unità
coinvolte nelle attività del Ciclo di Vita della Sicurezza
dovranno essere competenti per condurre le attività
loro assegnate. Si richiedono, pertanto, conoscenze
ingegneristiche, addestramento ed esperienza settoriale
nel Processo, nell’Analisi di Rischio, Elettro-
Strumentale & Automazione, Sicurezza Funzionale e
nel settore Legale/Normativo.
26
Gestione della Sicurezza Funzionale
Gestione della Sicurezza Funzionale
Documentazione Principale:
Q Manuale di Gestione della Sicurezza:
• Politica di Prevenzione degli Incidenti Rilevanti;
• Organizzazione e Formazione del Personale
(incluso qualifiche, curricula, piani di formazione, etc.);
• Rapporti e Comunicazioni con l’esterno;
• Identificazione Sistematica dei Rischi;
• Valutazione dei Rischi;
• Gestione dei Permessi ed Autorizzazioni
27
Gestione della Sicurezza Funzionale
Gestione della Sicurezza Funzionale
Documentazione Principale:
Q Manuale di Gestione della Sicurezza: (cont.)

• Piano di Emergenza;
• Procedure di Misura, Controllo, Verifica, Ispezione,
Registrazione, Correzione, Modifica, Gestione Non-conformità,
Comunicazione, Notifica;
• Procedure di Manutenzione Preventiva, Ordinaria e
Straordinaria;
• Raccolta delle Procedure e Pratiche Operative Aziendali.

28
Gestione della Sicurezza Funzionale
Gestione della Sicurezza Funzionale
Documentazione Principale:
Q Piano della Sicurezza, a definire le attività richieste dal Ciclo di
Vita della Sicurezza, assieme al personale, dipartimenti,
organizzazioni od altre unità responsabili;
Q Piano della Qualità ISO 9002-2000 (sezione del QP dedicata alla
Sicurezza);
Q Definizione di una Procedura di Valutazione della Sicurezza
Funzionale, Verifica e Revisione, e dei criteri di nomina del
Team di Valutazione della Sicurezza Funzionale ;

29
Gestione della Sicurezza Funzionale
Gestione della Sicurezza Funzionale

Documentazione Principale:

Q Elenco Fornitori Qualificati di Prodotti e Servizi;


Q Raccolta Qualifiche e Referenze Fornitori di Prodotti e Servizi;
Q Raccolta documentazione Sistema di Gestione della Qualità
(QMS) dei Fornitori di Prodotti e Servizi, aventi responsabilità
completa di una o più fasi del Ciclo di Vita della Sicurezza.

30
Valutazione
della
Sicurezza Funzionale

31
Valutazione della Sicurezza Funzionale
Functional Safety Assessment (FSA)
(Valutazione della Sicurezza Funzionale)
Obiettivi Principali:
L’obiettivo principale della Valutazione della Sicurezza
Funzionale è il giudizio [indipendente e vincolante] sulla
Sicurezza Funzionale raggiunta dal SIS (così come concepito,
progettato, costruito, installato, testato, operato, manutenuto,
modificato), espresso attraverso una investigazione effettuata da
un apposito Team, in occasione di ben stabiliti eventi del Ciclo di
Vita della Sicurezza.
Si fissano i livelli minimi di indipendenza dei responsabili della
Valutazione della Sicurezza Funzionale, sulla base di un criterio
deterministico (severità delle conseguenze) e del SIL obiettivo.

32
Valutazione della Sicurezza Funzionale
Valutazione della Sicurezza Funzionale
Dovranno essere messe in atto le Procedure di Valutazione,
Verifica e Revisione della Sicurezza Funzionale, dopo la
nomina del Team di Valutazione della Sicurezza Funzionale,
in accordo al Piano di FSA.

Il Team di comprovata esperienza professionale, deve aver


maturato una esperienza tecnica, applicativa ed operativa
sulla specifica applicazione.

Il Responsabile ed il Team di Valutazione della Sicurezza


Funzionale saranno indipendenti dal Team di Progetto.

33
Valutazione della Sicurezza Funzionale
Valutazione della Sicurezza Funzionale

I principali eventi per avviare le attività di FSA sono:


1. Completamento delle SRS del SIS;
2. Completamento dellle attività di Progettazione
ed Ingegneria del SIS;
3. Completamento delle attività di Validazione del SIS;
4. Completamento della prima manutenzione
programmata del SIS.
Le attività di FSA saranno svolte anche in caso di Modifica
e Dismissione del SIS.
34
Valutazione della Sicurezza Funzionale
Valutazione della Sicurezza Funzionale
Documentazione Principale:

Q Piano di Valutazione della Sicurezza Funzionale;


Q Procedure di Valutazione della Sicurezza Funzionale,
Verifica e Revisione [per Autorizzazioni Modifiche];
Q Organigramma, Qualifiche e Curricula del Team FSA;
Q Dichiarazione Grado di Indipendenza del Team FSA;
Q Rapporti di Valutazione e Verifica FSA;
Q Rapporti di Revisione ed Autorizzazioni Modifiche;

35
Ciclo di Vita della Sicurezza

36
Ciclo di Vita della Sicurezza
Obiettivi Principali:
Allo scopo di programmare ed eseguire
sistematicamente tutte le attività necessarie al
rispetto dei requisiti e degli obiettivi fissati dagli
Standard IEC 61508 ed IEC 61511, si adotta
nell’ambito del sistema di Gestione della Sicurezza
Funzionale, una struttura tecnica identificata come
Ciclo di Vita della Sicurezza.
Il Ciclo di Vita della Sicurezza è usato come base
per il raggiungimento della conformità agli
Standard IEC 61508 ed IEC 61511.

37
Ciclo di Vita della Sicurezza
Gestione della
Sicurezza
Funzionale
Ciclo di Vita
Requisiti della
Tecnici
Sicurezza
Competenze

Certificazione

38
Ciclo di Vita della Sicurezza
L’approccio al
Identificare Ciclo di Vita della Sicurezza,
come processo iterativo

Verificare Valutare

Progettare

39
IEC 61508 - Ciclo di Vita della Sicurezza
1 Concept

Overall Scope
2
Definition

Hazard and Risk


3
Analysis

Overall Safety
4
Requirements

Safety Requirements
5
Allocation

40
IEC 61508 - Ciclo di Vita della Sicurezza
A

Overall Planning Safety-related


10 Systems:
Overall Overall Overall other
Operation and Safety Installation and Technology
6 7 8
Maintenance Validation Commissioning
Planning Planning Planning Realization

External Risk
Safety-related 11 Reduction
Systems:
Facilities
E/E/PES
9
Realization
(see E/E/PES Realization
Safety
Lifecycle)

14 13 12 12 12 12

41
IEC 61508 - Ciclo di Vita della Sicurezza
6 7 8 9 10 11

Overall Installation
12
and Commissioning
Back to appropriate overall
Safety Life Cycle phase
Overall Safety
13
Validation

Overall Operation, Overall Modification


14 15
Maintenance and Repair and Retrofit

Decommissioning
16
or Disposal

42
IEC 61508 - Ciclo di Vita del SIS - H/W
9.1 E/E/PES Safety Requirements Specification
Safety Safety
Functions Integrity
9.1.1 9.1.2
Requirements Requirements
Specification Specification

E/E/PES Safety Validation E/E/PES Design and


9.2 9.3
Planning Development
9.1

9.4 E/E/PES Integration E/E/PES Operation and


9.5
Maintenance Procedures

E/E/PES Safety
9.6
Validation

12 14

43
IEC 61508 - Ciclo di Vita del SIS - S/W
9.1 SW Safety Requirements Specification
Safety Safety
Functions Integrity
9.1.1 9.1.2
Requirements Requirements
Specification Specification

SW Safety Validation SW Design and


9.2 9.3
Planning Development
9.1

PE Integration SW Operation and


9.4 9.5
(HW + SW) Modification Procedures

SW Safety
9.6
Validation

12 14

44
Ciclo di Vita della Sicurezza per ISA S84.01
Start
Establish
Operation
Develop Safety & Maintenance
Requirements Procedures
Conceptual
Specification
Process Design
(SRS)
Pre-Start-up
Safety Review
Perform Process Perform SIS (PSSR)
Hazard Analysis Conceptual
& Risk Assessment Design & Verify SIS start-up,
it meets the SRS operation,
maintenance,
Apply non-SIS periodic functional
protection layers to testing
prevent identified
hazards or reduce risk Perform SIS
Detail Design Modify
Modify
or
NO Decommission
SIS
required ? SIS ?
SIS Installation, Decommission
Commissioning,
YES and Pre-startup SIS
Define AcceptanceTest Decommissioning
target SIL

45
Ciclo di Vita della Sicurezza
Fase 1 - Concezione Generale del Progetto della Sicurezza Funzionale

Obiettivi Principali:

Q sviluppare un livello di comprensione del Processo, del Sistema


di Controllo di Processo di Base (BPCS) e del relativo ambiente
(fisico, legislativo, etc.), tale da consentire una conduzione
soddisfacente delle attività a completamento del Ciclo di Vita
della Sicurezza;

Q individuare le fonti di pericolo e raccolte le informazioni sui


fluidi pericolosi processati.

46
Ciclo di Vita della Sicurezza
Fase 1 - Concezione Generale del Progetto della Sicurezza Funzionale
Documentazione Principale:
Q Dati Base della Produzione (in allegato);
Q Dati Base di Progettazione (in allegato);
Q Dati Climatologici e di Progetto Ambientali (in allegato);
Q Elenco Apparecchiature di Processo (in allegato);
Q Descrizione di Processo (in allegato);
Q Schema a Blocchi di Processo (in allegato);
Q Schemi Quantificati di Processo (in allegato);
Q Specifiche e Dimensionali Apparecchiature di Processo (in allegato);
Q Planimetrie e Lay-out Impianto (in allegato);

47
Ciclo di Vita della Sicurezza
Fase 1 - Concezione Generale del Progetto della Sicurezza Funzionale
Documentazione Principale:

Q Schemi di Marcia (in allegato);


Q Elenco Fluidi (in allegato);
Q Classi Tubazioni (in allegato);
Q Classificazione della Aree (in allegato);
Q Elenco Utenze Elettriche (in allegato);
Q Specifica Generale della Messa a Terra (in allegato);
Q Specifiche di Processo della Strumentazione (in allegato);
Q Specifica Generale del Sistema di Controllo del Processo (in allegato);
Q Specifica Generale Erogazione Servizi critici (E.E, I.A., N, etc.);

48
Ciclo di Vita della Sicurezza
Fase 1 - Concezione Generale del Progetto della Sicurezza Funzionale
Documentazione Principale:

Q Manuale di Gestione della Sicurezza (in allegato);


Q Rapporto di Sicurezza (generale e per singoli impianti) (in allegato);
Q Individuazione e Descrizione delle Fonti di Pericolo (*);
Q Elenco, Proprietà e MSDS dei Fluidi Pericolosi manipolati (*);
Q Elenco Regolamenti Legislativi Applicabili (*);
Q Elenco Standard e GEP di Settore Applicabili (*);
Q Organizzazione dell’Esercizio e Manutenzione (*);
Q Procedure Operative, di Emergenza, di Manutenzione (*);
(*) documentazione includibile nel M.G.S.

49
Ciclo di Vita della Sicurezza
Fase 1 - Concezione Generale del Progetto della Sicurezza Funzionale
Documentazione Principale:

Q Informazioni Generali di Settore sui Rischi del Processo;


Q Casistica Incidenti di Settore (MARS, CDCIR, OECD, etc.);
Q Statistiche sugli Infortuni;
Q Obiettivi Aziendali nel campo della Sicurezza, mirati in particolare a:
Salvaguardia del Personale, della Comunità e dell’Ambiente,
Rapporti con le Autorità, Immagine Aziendale, Danni alla
Proprietà, Fermo Produzione, Gestione degli Assets,
Coperture Assicurative, Spese Legali.

50
Ciclo di Vita della Sicurezza
Fase 2 - Scopo Generale del Progetto della Sicurezza Funzionale

Obiettivi Principali:

Q definire le apparecchiature sotto controllo ed il relativo sistema di


controllo, da sottoporre ad Analisi di Rischio;

Q definire scopo e tipologia della Analisi di Rischio;

Q definire la tipologia dei vari eventi iniziatori di sequenze incidentali,


sia interni, che esterni (guasti, fattore umano, errori procedurali,
fenomeni atmosferici, etc.) da includere nella Analisi di Rischio.

51
Ciclo di Vita della Sicurezza
Fase 2 - Scopo Generale del Progetto della Sicurezza Funzionale

Documentazione Principale:

Q Definizione di apparecchiature sotto controllo individuali e relativo


sistema di controllo, da sottoporre ad Analisi di Rischio;

Q Definizione di gruppi di apparecchiature sotto controllo interagenti e


relativo sistema di controllo, da sottoporre ad Analisi di Rischio;

Q Definizione di gruppi di apparecchiature sotto controllo soggette ad


Effetto Domino e relativo sistema di controllo, da sottoporre ad
Analisi di Rischio;

52
Ciclo di Vita della Sicurezza
Fase 2 - Scopo Generale del Progetto della Sicurezza Funzionale

Documentazione Principale:

Q Definizione di gruppi di apparecchiature sotto controllo soggette


simultaneamente ad uno stesso evento iniziatore (ad es. incendio
esterno, mancanza E.E., mancanza acqua di raffreddamento,
esplosione non confinata, etc.);

Q Definizione di gruppi di apparecchiature sotto controllo protette


simultaneamente dalla stessa funzione di sicurezza (ad es. fermata di
emergenza, sfiato di emergenza, antincendio, abbattimento fughe,
blocco alimentazione E.E., etc.);

53
Ciclo di Vita della Sicurezza
Fase 2 - Scopo Generale del Progetto della Sicurezza Funzionale

Documentazione Principale:

Q Definizione delle funzioni di sicurezza implementate da SIS


ed altri IPL, per ogni apparecchiatura o gruppo di apparecchiature
sotto controllo;

Q Definizione della tipologia dei vari eventi iniziatori interni ed


esterni di sequenze incidentali, per ogni apparecchiatura o gruppo
di apparecchiature sotto controllo.

54
Ciclo di Vita della Sicurezza
Fase 3 - Analisi di Rischio

Obiettivi Principali:

Q determinare gli eventi incidentali delle apparecchiature e gruppi di


apparecchiature sotto controllo e relativo sistema di controllo, in
tutte le modalità operative, per tutte le circostanze ragionevolmente
prevedibili, incluse le condizioni di guasto ed uso errato;
Q determinare le sequenze di eventi incidentali e la relativa
probabilità qualitativa o quantitativa;
Q determinare i rischi associati agli eventi incidentali;
Q le misure da intraprendere per la riduzione del rischio necessaria.

55
Ciclo di Vita della Sicurezza
Fase 3 - Analisi di Rischio
Documentazione Principale:

Q Classificazione del grado di rischio tollerabile per l’evento


incidentale, espresso come la combinazione tra:
severità delle conseguenze dell’evento incidentale (per le persone e/o
per la salute e/o per l’ambiente e/o per le cose e/o altri fattori)
e
frequenza massima ammissibile di accadimento dell’evento
incidentale stesso mitigato;

56
Ciclo di Vita della Sicurezza
Fase 3 - Analisi di Rischio
Documentazione Principale:
Q Identificazione delle cause iniziatrici degli eventi incidentali, degli
eventi incidentali e dei fattori di contributo (includendo guasto di
componenti, errori procedurali, fattore umano e guasti di sotto-
sistemi), in:
- avviamento;
- marcia normale;
- fermata normale, fermta di emergenza e falsa fermata;
- condizioni di disturbo del processo;
- conduzione di test prestazionali in-linea;
- manutenzione;
- modalità operative anormali e/o eccezionali;
- condizioni ambientali estreme;

57
Ciclo di Vita della Sicurezza
Fase 3 - Analisi di Rischio
Documentazione Principale:

Q Stima delle conseguenze potenziali degli eventi incidentali;

Q Stima delle frequenze di accadimento delle cause iniziatrici delle


sequenze di eventi incidentali;

Q Definizione di ogni stato individuale di messa in sicurezza del


processo, che, se in concomitanza, può generare un evento pericoloso
(ad es. sovraccarico di uno stoccaggio di emergenza, scarico
simultaneo di due o più PSV al sistema di fiaccola, etc.);

Q Rapporto Generale sulla Analisi di Rischio.

58
Ciclo di Vita della Sicurezza
Fase 4 - Allocazione delle funzioni di Sicurezza
ai Livelli di Protezione Indipendenti

Obiettivi Principali:

Q allocare le funzioni di sicurezza al SIS ed agli altri livelli di


protezione indipendenti (IPL), per prevenzione, controllo e
mitigazione dei rischi;
Q allocare i valori obiettivo di Fattore di Riduzione del Rischio (RRF)
al sistema di controllo, al SIS ed agli altri livelli di protezione
indipendenti (IPL);
Q analizzare gli errori di causa comune, modo comune e dipendenti
del SIS e degli altri IPL.

59
Ciclo di Vita della Sicurezza
Fase 4 - Allocazione delle funzioni di Sicurezza
ai Livelli di Protezione Indipendenti

Documentazione Principale:

Q Analisi dei livelli di protezione indipendente (LOPA) e relativi


requisiti prestazionali, per il raggiungimento dell’obiettivo di rischio
tollerabile degli eventi incidentali mitigati;

Q Specifica dei requisiti del SIS e degli altri livelli di protezione


indipendenti (IPL) per prevenire errori di:
- causa comune;
- modo comune;
- guasti dipendenti.

60
Ciclo di Vita della Sicurezza
Fase 4 - Allocazione delle Funzioni di Sicurezza
ai Livelli di Protezione Indipendenti

Documentazione Principale:

Q Calcolo del Rischio di Fatalità Globale associato ad eventi incidentali


ad alta fatalità, quali incendio, esplosione e rilascio di sostanze
tossiche;

Q Calcolo del Rischio Totale di Impianto (verifica Aziendale eseguita


con criteri di valutazione interni).

61
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza del SIS (SRS)

Obiettivi Principali:

Q sviluppare la specifica completa dei requisiti funzionali e del livello


di integrità, per ogni funzione di sicurezza che deve essere attuata
dal SIS e dagli altri livelli protettivi indipendenti allo scopo di
raggiungere la sicurezza funzionale richiesta.
In particolare per ogni funzione di sicurezza strumentale (SIF) che
deve essere attuata dal SIS, la SRS contiene i requisiti funzionali ed
il SIL.
La SRS è una raccolta documentale, con un indice a riferimenti
incrociati, con finalità di QA e di guida progettuale.

62
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)
Documentazione Principale:
Q Descrizione delle funzioni di sicurezza strumentale (SIF);
Q Architettura del SIS;
Q Requisiti per l’identificazione e la valutazione delle cause comuni di
guasto;
Q Definizione dello stato sicuro del processo per ogni SIF;
Q Definizione e frequenza della richiesta di intervento per ogni SIF;
Q Requisiti dell’intervallo del test di prova (TI);
Q Tempo di risposta del SIS per mantenere o raggiungere lo stato
sicuro del processo;
Q Requisiti di Affidabilità dell’Alimentazione;

63
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)
Documentazione Principale:
Q Requisiti di Affidabilità della Strumentazione in campo;
Q Livello di integrità della sicurezza (SIL) e modalità operativa (su
richiesta di intervento o continuativa) per ogni SIF;
Q Descrizione dei valori di processo in ingresso e dei relativi valori di
intervento per ogni SIF;
Q Descrizione delle azioni svolte in uscita dal SIS, incluso requisiti
particolari per il successo dell’azione stessa (ad es. TSO per RBV);
Q Relazioni funzionali tra valori in ingresso e valori di uscita del SIS,
incluso logiche, funzioni matematiche e consensi;
Q Requisiti per blocchi manuali;

64
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)

Documentazione Principale:
Q Requisiti per intervento del SIS tramite energizzazione (“energize to
trip”) o de-energizzazione (“de-energize to trip”);
Q Requisiti per azione di Reset del SIS dopo intervento di blocco;
Q Requisiti di STR (Spurious Trip Rate) massimo ammissibile del SIS;
Q Modalità di guasto, e di risposta in caso di guasto, del SIS;
Q Requisiti specifici procedurali di avviamento e riavviamento del SIS;
Q Requisiti di interfaccia del SIS con altri sistemi (ad es. BPCS);
Q Requisiti Allarmi Critici;

65
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)

Documentazione Principale:

Q Requisiti per ogni SIF per differenti modalità operative a livello di


processo (ad es. marcia normale, avviamento, fermata, etc.), ed
eventuali richieste di SIF aggiuntive;
Q Requisiti per ogni SIF per differenti modalità operazionali (ad es.
messa in servizio, esercizio, test e manutenzione, etc.) di
componenti del SIS, ed eventuali richieste di SIF aggiuntive;
Q Requisiti Consensi;
Q Requisiti LOS;

66
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)

Documentazione Principale:

Q Requisiti di sicurezza del S/W applicativo:


- Funzioni supportate dal S/W applicativo;
- Capacità e tempi di risposta;
- HMI ed operabilità;
- Copertura di tutte le modalità operative del processo;
- Azioni da intraprendere per valori delle variabili di processo
fuori range, corto circuito individuato e circuito aperto
individuato;

67
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)
Documentazione Principale:

Q Requisiti di sicurezza del S/W applicativo: (cont.)


- Test di prova e test di diagnostica dei dispositivi esterni (ad es.
sensori ed elementi finali);
- Fault Insertion Testing;
- Auto-diagnostica del S/W (ad es. watch-dogs pilotati dalla
applicazione ed auto-validazione del range dei dati);
- Monitoraggio dei dispositivi esterni (ad es. sensori ed elementi
finali);
- Test in-linea periodici della funzione di sicurezza;

68
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)
Documentazione Principale:

Q Requisiti di sicurezza del S/W applicativo: (cont.)


- Riferimenti alla documentazione di input (ad es. specifiche della
funzione di sicurezza, configurazione o architettura del SIS,
requisiti di SIL dell’H/W);
Q Requisiti per comandi di “Override” (POS e MOS), “Inhibit” e “By-
pass” delle funzioni di sicurezza, incluse le modalità di annullamento
dei comandi stessi;
Q Requisiti SOE recorder;

69
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)

Documentazione Principale:

Q Specifiche di ogni azione necessaria a raggiungere o mantenere uno


stato di sicurezza nel caso di individuazione di uno o più guasti del
sistema di sicurezza, tenendo debitamente conto del fattore umano;
Q Requisito di MTTR (Mean Time to Repair), fattibile per il SIS,
tenendo in conto il personale addetto, i tempi di intervento,
l’ubicazione dell’impianto, la disponibilità di parti di ricambio, i
contratti di manutenzione in essere, i vincoli di tipo ambientale, etc.;
Q Identificazione di combinazioni pericolose degli stati di uscita del
SIS, che dovranno essere identificate;
Q
70
Ciclo di Vita della Sicurezza
Fase 5 - Specifica dei Requisiti di Sicurezza (SRS)
Documentazione Principale:

Q Specifica delle condizioni ambientali estreme;


Q Requisiti per il mantenimento della funzionalità delle SIF in caso di
eventi incidentali rilevanti (ad es. requisito di “fire-proofing“ e di
tempo max. di resistenza alle fiamme, per una RBV sottoposta ad
incendio esterno);
Q Requisiti di sicurezza per false fermate;
Q Requisiti di Security;
Q Rapporto Generale sulla Specifica dei Requisiti di Sicurezza;

71
Ciclo di Vita della Sicurezza
Fase 6 – Progettazione ed Ingegneria del SIS

Obiettivi Principali:

Q progettare ed ingegnerizzare il SIS utilizzato per implementare una


o più funzioni di sicurezza strumentale (SIF), e raggiungere la
sicurezza funzionale richiesta.

72
Ciclo di Vita della Sicurezza
Fase 6 – Progettazione ed Ingegneria del SIS

Documentazione Principale:

Q Requisiti Generali ed Architettura dell’H/W;


Q Requisiti del SIS per la Rilevazione dei Guasti;
Q Requisiti di Fault Tolerance dell’H/W;
Q Requisiti per la selezione dei componenti e sotto-sistemi del SIS
(certificati e basati su “prior use”);
Q Requisiti per la selezione del linguaggio di programmazione
(FPL, LVL, FVL);
Q Requisiti dei dispositivi in campo;
Q Requisiti per mancanza alimentazione;
Q Piano di validazione dell’H/W;
73
Ciclo di Vita della Sicurezza
Fase 6 – Progettazione ed Ingegneria del SIS

Documentazione Principale:
Q Requisiti dello stato sicuro di ogni componente;
Q Requisiti dei tempi globali di attuazione delle SIF (lag times);
Q Requisiti delle Interfacce (stazioni di ingegneria/manutenzione,
stazioni operatore, comunicazioni verso DCS e periferiche, etc.);
Q Requisiti di Copertura Diagnostica;
Q Requisiti di Manutenzione;
Q Requisiti di Testing;
Q Requisiti del Sistema di Alimentazione e UPS;
Q Requisiti per il Training;

74
Ciclo di Vita della Sicurezza
Fase 6 – Progettazione ed Ingegneria del SIS

Documentazione Principale:

Q Raccolta valori MTTFd ed MTTFsp. e relative certificazioni;


Q Raccolta valori fattori di guasto comune;
Q Raccolta documentazione Fornitori per componenti non- certificati;
Q Verifica del raggiungimento degli Obiettivi Prestazionali (SIL);
Q Verifica del valore di STR massimo ammissibile;
Q Elenco Parti di Ricambio;
Q Rapporto di Non-Conformità dell’H/W;

75
Ciclo di Vita della Sicurezza
Fase 6 – Progettazione ed Ingegneria del SIS

Documentazione Principale:

Q Requisiti del S/W applicativo, di servizio ed “embedded”;


Q Requisiti di Progetto e di Sviluppo del S/W applicativo;
Q Requisiti dell’Architettura del S/W applicativo;
Q Requisiti per la Documentazione di Progetto ed i Manuali;
Q Requisiti per l’integrazione del S/W applicativo e relativo test;
Q Piano di Validazione del S/W;
Q Rapporto di Non-Conformità S/W;

76
Ciclo di Vita della Sicurezza
Fase 6 – Progettazione ed Ingegneria del SIS
Documentazione Principale:
Q Organigramma di Progetto;
Q Programma di Progetto;
Q Elenco dei Consumi Elettrici;
Q Elenco Cavi e Terminazioni;
Q Elenco Componenti SIS;
Q Sistema di Messa a Terra del SIS;
Q Lay-out degli Armadi;
Q Disegni Dimensionali;
Q Schemi Elettrici;
Q Piante delle Terminazioni;
Q Rapporti di Avanzamento Progetto;
77
Ciclo di Vita della Sicurezza
Fase 6 – Progettazione ed Ingegneria del SIS
Documentazione Principale:
Q Database I/O;
Q Diagrammi Causa/Effetto;
Q Logica del Programma di Applicazione (in accordo allo Std.
IEC-61131-3 “Programmable Controllers: Programming
Language”);
Q Certificati Materiali e Certificazioni Enti Terzi;
Q Manuale di Istruzioni;
Q Manuale di Manutenzione;
Q Manuale di Sicurezza;
Q Rapporto Generale sulla Progettazione ed Ingegneria.

78
Ciclo di Vita della Sicurezza
Fase 7 – Factory Acceptance Test (FAT)

Obiettivi Principali:

Q testare il Risolutore Logico (H/W e S/W integrato) per assicurare


che i requisiti definiti nella SRS siano soddisfatti, prima
dell’installazione in campo del SIS.

79
Ciclo di Vita della Sicurezza
Fase 7 – Factory Acceptance Test (FAT)
Documentazione Principale:
Q Programma del FAT;
Q Personale Responsabile del FAT;
Q Procedura Dettagliata del FAT;
Q Rapporto di Test delle singole SIF;
Q Rapporto Finale del FAT (inclusivo dei rapporti e risultati di test,
registro cronologico dei test, guasti riscontrati e relativa analisi,
modifiche ed azioni correttive apportate, certificati dei materiali,
certificati di prove di collaudo, strumenti, apparecchiature ed
interfacce usate, simulatori, etc.);
Q Rapporto di non-conformità (eventuali);
Q Certificato Finale di Accettazione del FAT.
80
Ciclo di Vita della Sicurezza
Fase 8 – Installazione e Messa in Servizio del SIS

Obiettivi Principali:

Q installare il SIS in accordo alle Specifiche ed alla Documentazione


di Progetto;

Q mettere in servizio il SIS, pronto per il SAT.

81
Ciclo di Vita della Sicurezza
Fase 8 – Installazione e Messa in Servizio del SIS

Documentazione Principale:

Q Programma di Installazione e Messa in Servizio;


Q Personale Responsabile di Installazione e Messa in Servizio;
Q Procedura Dettagliata di Installazione e Messa in Servizio;
Q Rapporto Finale di Installazione e Messa in Servizio (inclusivo dei
rapporti e risultati di messa in servizio ed avviamento, registro
cronologico delle attività e degli interventi, guasti riscontrati e
relativa analisi, modifiche ed azioni correttive apportate, etc.);
Q Rapporto di non-conformità (eventuali);
Q Emissione Documentazione di Progetto “As Built” (solo in assenza
di non-conformità con impatto sulla sicurezza) ;
82
Ciclo di Vita della Sicurezza
Fase 9 – Site Acceptance Test (SAT)

Obiettivi Principali:

Q testare il SIS, dopo la messa in servizio, e validare che il SIS


soddisfi i requisiti definiti nella SRS per ogni SIF, ai fini del pieno
raggiungimento della sicurezza funzionale richiesta.

83
Ciclo di Vita della Sicurezza
Fase 9 – Site Acceptance Test (SAT)
Documentazione Principale:

Q Programma del SAT ;


Q Personale Responsabile del SAT;
Q Procedura Dettagliata del SAT;
Q Rapporto di Test delle singole SIF;

84
Ciclo di Vita della Sicurezza
Fase 9 – Site Acceptance Test (SAT)
Documentazione Principale:

Q Rapporto Finale del SAT (inclusivo dei rapporti e risultati di test e


validazione H/W e S/W per le diverse modalità operative, test
copertura diagnostica, test by-pass, test POS, test consensi, test
comunicazioni, test allarmi, test SOE recording, registro
cronologico dei test, inconsistenze con la documentazione di
progetto, guasti riscontrati e relativa analisi, modifiche ed azioni
correttive apportate, strumenti ed apparecchiature usate con i
relativi dati di calibrazione, etc.);
Q Rapporto di non-conformità (eventuali);
Q Certificato Finale di Accettazione del SAT.

85
Ciclo di Vita della Sicurezza
Fase 10 – Operazione e Manutenzione

Obiettivi Principali:

Q operare e manutenere il SIS, in modo che la sicurezza funzionale


richiesta sia mantenuta per tutto l’arco di vita dell’impianto;

Q assicurare che il SIL di ogni SIF non degradi per per tutto l’arco di
vita dell’impianto.

86
Ciclo di Vita della Sicurezza
Fase 10 – Operazione e Manutenzione

Documentazione Principale:
Q Piano di Operazione e Manutenzione:
- personale responsabile
- attività di routine e fuori-routine;
- piano test di prova;
- procedure test di prova;
- procedure, misure e tecniche operative e manutentive;
- attività di manutenzione preventiva e di emergenza;
- programma manutentivo;
Q Elenco parti di ricambio;

87
Ciclo di Vita della Sicurezza
Fase 10 – Operazione e Manutenzione

Documentazione Principale:
Q Registro Test di Prova (tipo prove, registrazione cronologica,
risultati prove, modifiche ed azioni correttive apportate, strumenti
ed apparecchiature usate con i relativi dati di calibrazione, etc.);
Q Registro dei Guasti (identificazione componenti soggetti a guasto,
Fornitore, data di fabbricazione, durata di esercizio, MTTR
effettivo, tipo e frequenza dei guasti, analisi dei guasti, analisi
richieste di intervento, analisi guasti comuni e sistematici, analisi
FMEA, etc.);
Q Registro Non-Conformità (eventuali);
Q Piano di Ispezione (programma e tipo ispezioni, procedure
ispettive, responsabili ispezioni) e Registro Rapporti Ispettivi.

88
Ciclo di Vita della Sicurezza
Fase 11 – Modifiche

Obiettivi Principali:
Q assicurare che eventuali modifiche da apportare all’H/W e/o al S/W
del SIS, come pure eventuali retrofittings, siano opportunamente
programmate, verificate ed approvate, prima di rendere effettiva la
modifica o il retrofitting;
Q assicurare che una volta apportate le eventuali modifiche all’H/W
e/o al S/W del SIS, come pure eventuali retrofittings, la sicurezza
funzionale richiesta sia mantenuta;
Q assicurare che il SIL di ogni SIF interessata alla modifica od al
retrofitting non degradi.

89
Ciclo di Vita della Sicurezza
Fase 11 – Modifiche

Documentazione Principale:
Q Procedura di richiesta di modifica, inclusiva di descrizione, ragioni
della modifica ed impatto atteso;
Q Analisi della modifica e del relativo impatto su sicurezza funzionale
e SIL;
Q Procedura di approvazione ed autorizzazione, progettazione,
esecuzione, messa in servizio, collaudo, validazione e registrazione
della modifica;
Q Registro Modifiche (identificazione componenti soggetti a
modifica, data di modifica, descrizione della modifica, personale
responsabile modifiche, test modifiche, etc.);
Q Emissione della documentazione “As Built”.

90
Ciclo di Vita della Sicurezza
Fase 12 – Dismissione del SIS

Obiettivi Principali:
Q assicurare che prima della Dismissione del SIS dal servizio attivo,
si conduca una Analisi di Dismissione;

Q assicurare che la Dismissione del SIS sia debitamente autorizzata.

Q assicurare che durante e dopo la Dismissione del SIS la sicurezza


funzionale non venga messa a pregiudizio.

91
Ciclo di Vita della Sicurezza
Fase 12 – Dismissione del SIS

Documentazione Principale:
Q Procedura di richiesta, analisi, approvazione ed autorizzazione di
Dismissione del SIS;
Q Analisi di Dismissione del SIS;
Q Rapporto di Dismissione del SIS;
Q Certificazione di Dismissione del SIS.

92
Conclusioni:
Lo Standard IEC 61508 è in primis uno Standard di
Gestione della Sicurezza Funzionale.
I Sistemi di Sicurezza Strumentale (SIS) vanno progettati
modernamente con contributi professionali indipendenti
e di alto livello, e realizzati da Fornitori qualificati.

La conformità agli Standard IEC 61508 ed IEC 61511


consente di raggiungere e mantenere nel tempo gli obiettivi
prestazionali prefissati per un SIS, salvaguardando così
Vita Umana, Salute ed Ambiente. E
O RM
N F
CO

93
Grazie per l’attenzione

94