DNV-RU-SHIP Pt.4 Ch.9 It

distribuzione.
Questa copia del documento è destinata all'uso esclusivo di Daniele Casartelli. Scaricato il 2023-05-31. Non è consentita un'ulteriore
ŁULīS ĒOŁ CLASSIĒICAAION
Navi
Edizione luglio 2022
Parte 4 Sistemi e componenti

Capitolo 9 Sistemi di controllo e monitoraggio
Il contenuto del presente documento di servizio è oggetto di diritti di proprietà intellettuale riservati a DNV AS ("DNV").
L'utente accetta che è vietato a chiunque altro, tranne che a DNV e/o ai suoi licenziatari, offrire e/o eseguire servizi di
classificazione, certificazione e/o verifica, inclusa l'emissione di certificati e/o dichiarazioni di conformità, in tutto o in
parte, sulla base di e/o in base al presente documento, sia a titolo gratuito che a pagamento, senza il preventivo consenso
scritto di DNV. DNV non è responsabile delle conseguenze derivanti dall'uso del presente documento da parte di terzi.
La versione elettronica PDF di questo documento disponibile sul sito web DNV dnv.com è la versione ufficiale.
In caso di incongruenze tra la versione PDF e qualsiasi altra versione disponibile, prevarrà la versione PDF.
DNV AS
distribuzione.
PREMESSA
Le regole DNV per la classificazione contengono i requisiti procedurali e tecnici relativi all'ottenimento
e al mantenimento di un certificato di classe. Le regole rappresentano tutti i requisiti adottati dalla
Società come base per la classificazione.
© DNV AS luglio 2022
Eventuali commenti possono essere inviati via e-mail all'indirizzo rules@dnv.com.
Questo documento di servizio è stato preparato sulla base delle conoscenze, della tecnologia e/o delle informazioni disponibili al momento
dell'emissione del presente documento. L'utilizzo di questo documento da parte di soggetti diversi da DNV è a rischio esclusivo dell'utente. Se
non diversamente stabilito in un contratto applicabile, o a seguito di leggi obbligatorie, la responsabilità di DNV AS, delle sue società controllanti
e controllate, nonché dei loro funzionari, direttori e dipendenti ("DNV") per perdite o danni comprovati derivanti da o in connessione con
qualsiasi azione o omissione di DNV, sia per contratto che per atto illecito (inclusa la negligenza), sarà limitata alle perdite dirette e in ogni
circostanza sarà limitata a 300.000 USD.
distribuzione.
MODIFICHE - CORRENTE
Questo documento sostituisce l'edizione di luglio 2021 di DNV-RU-SHIP Pt.4 Ch.9.
La numerazione e/o il titolo delle voci che contengono modifiche sono evidenziati
Parte 4 Capitolo 9 Modifiche -

in rosso.
Modifiche luglio 2022, entrata in vigore 1 gennaio 2023
Argomento Riferimento Descrizione
Forniture di retrofit e modifiche Sez.1 [1.5.3] Quando vengono apportate modifiche importanti ai sistemi di
importanti a sistemi approvati controllo approvati, la documentazione deve essere presentata
per l'approvazione, può essere richiesto un test di certificazione
e un test a bordo. In questo contesto, per modifiche importanti
si intendono, ad esempio, nuove versioni di controllori di
processo, nuove piattaforme software, modifiche alla topologia
o funzioni applicative nuove o modificate.
Paragrafo 1 [4.4.2] Approvazione del programma di prova per le prove a bordo.
attuale
Ridenominazione del termine Paragrafo 1 Tabella 3 Definizione di sistemi di supervisione.
"sistemi di gestione" in "sistemi
di supervisione". Sez. 2 [1.4] Requisiti generali per i sistemi di supervisione.
Sezione 1, Sostituzione del termine "sistema di gestione" con "sistema di

Sezione 2 supervisione".
Gestione delle modifiche Paragrafo 1 [1.5.6] — le sessioni remote attive devono essere indicate
software e hardware — per garantire la sicurezza delle sessioni remote
— proteggere le sessioni che prevedono l'aggiornamento del
software
— chiarendo che il funzionamento a distanza non è coperto dalle
regole.
Approvazione, certificazione e Paragrafo 1 Tabella 7 I programmi di prova per i retrofit e le modifiche a bordo
collaudo a bordo di sistemi devono essere presentati al centro di omologazione.
retrofit e modificati
Paragrafo 1 [4.4.2] I programmi di prova per i retrofit e le modifiche a bordo
devono essere presentati al centro di omologazione.
Certificazione e test a bordo Sez. 1 [4] Alcuni paragrafi sono stati spostati all'interno della sottosezione.
Sez.1 [4.1.4] I registri delle prove devono essere messi a disposizione della
Società.
Sez.1 [4.2.1] Prova del processo di sviluppo del software allineato ai requisiti
di documentazione.
Paragrafo 1 [4.3.3] L'ispezione visiva e alcune prove di modalità di guasto sono

incluse nell'ambito del test.
Paragrafo 1 [4.3.6] Se la certificazione non può essere completata prima della

spedizione, è necessario il consenso scritto del cantiere.
Sez. 1 [4.4.1] I sistemi devono essere generalmente certificati prima

dell'installazione; l'installazione deve essere completata prima
delle prove ufficiali a bordo.
Paragrafo 1 [4.4.2] Per i retrofit e le modifiche del sistema di bordo, il programma
di prova deve essere presentato al centro di omologazione.
Paragrafo 1 [4.4.3] Il test a bordo comprende anche l'ispezione visiva e alcune

modalità di guasto aggiuntive.
Regole di classificazione: Navi - DNV-RU-SHIP Pt.4 Ch.9. Edizione luglio 2022 Pagina 3
Sistemi di controllo e monitoraggio
DNV AS
distribuzione.
Paragrafo 1 [4.4.4] Dopo la certificazione, le modifiche al software e all'hardware

devono essere gestite in conformità alle procedure di gestione
delle modifiche.

Indicazioni indipendenti nel Sez.3 [1.2.5] Quando è richiesta l'indicazione di un parametro controllato, il
controllo ad anello chiuso sensore deve essere indipendente dal sensore utilizzato per il
circuito di controllo.
Privilegi di controllo e Sez. 3 [1.3.3] Il controllo deve essere disponibile solo sulle postazioni di
trasferimento dei comandi lavoro da cui è previsto il controllo.
Paragrafo 3 [1.3.4] Deve essere previsto un sistema e/o una funzione di trasferimento
dei comandi.
Ripristino delle azioni di Paragrafo 3 [1.4.6] Il ripristino manuale deve essere disponibile solo da postazioni in
sicurezza cui l'utente dispone di informazioni sufficienti sulla causa
dell'azione di sicurezza.
Segnali di allarme sonoro Sez.3 [1.5.3] I segnali acustici utilizzati per allarmare le diverse categorie
principali (ad esempio, allarmi macchine, allarmi antincendio,
allarmi gas) devono essere distinguibili grazie all'uso di
frequenze/pattern diversi.
attuale
Integrazione del sistema Paragrafo 4 [1.1.2] L'integratore di sistema deve fornire ai fornitori del sistema
di controllo le specifiche necessarie in tempo utile per
consentire lo sviluppo del software e il completamento del
sistema prima della certificazione.
Sez. 4 [1.1.3] L'integratore di sistema deve garantire il rispetto dei requisiti

per la gestione delle modifiche.
Requisiti di rete relativi a Paragrafo 4 [3.1.3] I componenti e i nodi della rete devono essere in grado di
segmentazione, analisi, prevenire l'esaurimento delle risorse, gestire e/o affrontare in
sovraccarico/tempesta modo sicuro il traffico di rete eccessivo e allarmare gli stati
anomali della rete.
Paragrafo 4 [3.2.1] L'analisi della rete deve riguardare l'integrità dei segmenti di
rete, la ridondanza e la tolleranza ai guasti.
Paragrafo 4 [3.3.1] Sono inclusi i riferimenti alle norme applicabili e una nota
orientativa modificata sull'ambito di applicazione del network
storm test.
Correzioni editoriali
Oltre alle modifiche sopra indicate, potrebbero essere state apportate delle correzioni editoriali.
DNV AS
distribuzione.
CONTENUTI
Modifiche - corrente ...........................................................................................................................................3
Sezione 1 Requisiti generali ..........................................................................................................................8
Parte 4 Capitolo 9
1 Classificazione ...........................................................................................................................8
1.1 Applicazioni delle regole ......................................................................................................8
1.2 Principi di classificazione....................................................................................................8
1.3 Omologazione........................................................................................................................9
Sommario
1.4 Certificazione del prodotto ..................................................................................................9
1.5 Gestione delle modifiche software e hardware.........................................................10
1.6 Ipotesi.....................................................................................................................................12
2 Definizioni...................................................................................................................................12
2.1 Condizioni generali.............................................................................................................12
2.2 Termini relativi al sistema informatico.........................................................................15
3 Documentazione.....................................................................................................................16
3.1 Generale ................................................................................................................................16
4 Certificazione e test di bordo .........................................................................................18
4.1 Generale ................................................................................................................................18
4.2 Verifica dello sviluppo del software ..............................................................................19
4.3 Test di certificazione ...........................................................................................................19
4.4 Test a bordo ..........................................................................................................................20
Sezione 2 Principi di progettazione ...........................................................................................................22

1 Configurazione del sistema .............................................................................................22
1.1 Generale ................................................................................................................................22
1.2 Strumentazione di campo.................................................................................................22
1.3 Sistemi di controllo integrati .........................................................................................22
1.4 Sistemi di supervisione ....................................................................................................23
2 Risposta ai fallimenti.............................................................................................................23
2.1 Rilevamento dei guasti.......................................................................................................23
2.2 Risposta del sistema .........................................................................................................24
Sezione 3 Progettazione del sistema ........................................................................................................25

1 Elementi del sistema............................................................................................................25
1.1 Generale ................................................................................................................................25
1.2 Controllo automatico ..........................................................................................................25
1.3 Telecomando..........................................................................................................................26
1.4 Sistema di sicurezza protettivo.....................................................................................26
DNV AS
distribuzione.
1.5 Allarmi....................................................................................................................................27
1.6 Indicazione ...........................................................................................................................29
1.7 Pianificazione e reporting.................................................................................................29
1.8 Calcolo, simulazione e supporto alle decisioni ..........................................................30
2 Requisiti generali ..................................................................................................................30
Parte 4 Capitolo 9
2.1 Funzionamento e manutenzione del sistema ............................................................30
2.2 Requisiti di alimentazione per sistemi di controllo, monitoraggio e sicurezza
30
Sezione 4 Requisiti aggiuntivi per i sistemi basati su computer .......................................32
Sommario
1 Requisiti generali ..................................................................................................................32
1.1 Integrazione del sistema .................................................................................................32
1.2 Mezzi operativi di riserva..................................................................................................32
1.3 Principi di progettazione informatica ...........................................................................32
1.4 Dispositivi di archiviazione .............................................................................................33
1.5 Utilizzo del computer ........................................................................................................33
1.6 Risposta e capacità del sistema....................................................................................33
1.7 Controllo della temperatura............................................................................................33
1.8 Manutenzione del sistema.............................................................................................34
1.9 Accesso al sistema.............................................................................................................34
2 Software di sistema..............................................................................................................34
2.1 Requisiti del software ......................................................................................................34
2.2 Sviluppo software ...............................................................................................................35
3 Reti di sistemi di controllo e collegamenti di comunicazione dati ..............36
3.1 Generale................................................................................................................................36
3.2 Analisi della rete .................................................................................................................38
3.3 Test e verifica della rete....................................................................................................38
3.4 Requisiti della documentazione di rete .......................................................................39
3.5 Comunicazione wireless....................................................................................................39
3.6 Documentazione della comunicazione wireless........................................................40
Sezione 5 Progettazione e installazione dei componenti..........................................................41

1 Generale......................................................................................................................................41
1.1 Ceppi ambientali.................................................................................................................41
1.2 Materiali.................................................................................................................................41
1.3 Progettazione e installazione dei componenti...........................................................41
1.4 Manutenzione, controllo...................................................................................................42
1.5 Marcatura..............................................................................................................................42
1.6 Standardizzazione..............................................................................................................42
2 Condizioni ambientali, strumentazione ......................................................................42
DNV AS
distribuzione.
2.1 Generale................................................................................................................................42
2.2 Alimentazione elettrica .....................................................................................................43
2.3 Alimentazione pneumatica e idraulica .........................................................................44
2.4 Temperatura........................................................................................................................44
2.5 Umidità ..................................................................................................................................44
Parte 4 Capitolo 9
2.6 Contaminazione da sale ..................................................................................................44
2.7 Contaminazione da olio.....................................................................................................44
2.8 Vibrazioni ..............................................................................................................................44
2.9 Inclinazione ..........................................................................................................................45
Sommario
2.10 Compatibilità elettromagnetica ...................................................................................45
2.11 Varie .....................................................................................................................................47
3 Apparecchiature elettriche ed elettroniche............................................................48
3.1 Generale................................................................................................................................48
3.2 Progettazione meccanica, installazione .......................................................................48
3.3 Protezione fornita dall'involucro....................................................................................48
3.4 Cavi e fili ................................................................................................................................48
3.5 Installazione dei cavi.........................................................................................................49
3.6 Alimentazione ......................................................................................................................49
3.7 Apparecchiature in fibra ottica .......................................................................................49
Sezione 6 Interfaccia utente........................................................................................................................51

1 Generale......................................................................................................................................51
1.1 Introduzione ........................................................................................................................51
2 Progettazione e disposizione della postazione di lavoro ............................51
2.1 Posizione delle unità di visualizzazione (VDU) e dei dispositivi di input
dell'utente (UID).................................................................................................................51
3 Progettazione del dispositivo di input dell'utente e dell'unità di
visualizzazione.........................................................................................................................52
3.1 Dispositivi di input dell'utente ........................................................................................52
3.2 Unità di visualizzazione....................................................................................................53
3.3 Colori ......................................................................................................................................53
3.4 Requisiti per la conservazione della visione notturna (UID e VDU da installare
in plancia) ......................................................................................................................................
53
4 Sistemi basati su schermi..................................................................................................54
4.1 Generale................................................................................................................................54
4.2 Dialogo con il computer ....................................................................................................54
4.3 Visualizzazioni delle schermate dell'applicazione.....................................................55
Modifiche - storico...........................................................................................................................................56
DNV AS
distribuzione.
SEZIONE 1 REQUISITI GENERALI
Parte 4 Capitolo 9 Sezione

1 Classificazione
1.1 Applicazioni della regola

1.1.1 I requisiti del presente capitolo si applicano a tutti i sistemi di controllo, monitoraggio e sicurezza
richiesti dalle norme.
Nota di orientamento:
Ulteriori requisiti per applicazioni specifiche possono essere indicati nelle norme che regolano tali applicazioni.
---e-n-d---o-f---g-u-i-d-a-n-c-e---n-o-t-e---
1.1.2 Tutti i sistemi di controllo, monitoraggio e sicurezza installati, ma non necessariamente richiesti dalle
norme, che possono avere un impatto sulla sicurezza delle funzioni principali (vedere Pt.1 Ch.1 Sec.1 [1.2]),
devono soddisfare i requisiti del presente capitolo.
1
1.2 Principi di classificazione
1.2.1 I sistemi di controllo, monitoraggio e sicurezza appartengono a tre diverse categorie di sistemi, come
illustrato nella Tabella 1, in base alle possibili conseguenze che un guasto può avere sulla manovrabilità della
nave per quanto riguarda la propulsione e il governo, cfr. Cap. 8 Sez. 1 Tabella 4.
Tabella 1 Categorie di sistema
Servizio Effetti del fallimento Funzionalità del sistema
Non importante Il cui mancato rispetto non comporterà - Funzione di monitoraggio per compiti
situazioni pericolose per l'incolumità delle informativi/amministrativi
persone, la sicurezza dell'imbarcazione e/o
una minaccia per l'ambiente.
Importante Un guasto potrebbe portare a situazioni — Funzioni di allarme e monitoraggio
pericolose per l'incolumità delle persone, la — Funzioni di controllo necessarie per
sicurezza dell'imbarcazione e/o una minaccia mantenere la nave nelle sue normali
per l'ambiente. condizioni operative e di abitabilità.
Servizi essenziali e Un guasto potrebbe causare immediatamente — Funzioni di controllo per il mantenimento
funzioni di sicurezza situazioni pericolose per l'incolumità delle della propulsione e del governo
persone, la sicurezza dell'imbarcazione e/o dell'imbarcazione
una minaccia per l'ambiente. — Funzioni di sicurezza
La disposizione dei macchinari e l'eventuale ridondanza del sistema, le eventuali notazioni aggiuntive e i possibili mezzi per un
controllo alternativo di riserva oltre alla classe principale possono influire sulla categoria del sistema.
Queste categorie di sistema sono equivalenti a quelle definite nella norma IACS UR E22.
1.2.2 La classificazione dei sistemi di controllo, monitoraggio e sicurezza deve avvenire secondo i seguenti principi:
— omologazione
— certificazione dei sistemi di controllo, monitoraggio e sicurezza
— ispezione a bordo (ispezione visiva e test funzionale).
DNV AS
distribuzione.

Il principio fondamentale è che i componenti del sistema di controllo siano omologati e che i sistemi di controllo siano certificati.
1.3 Omologazione
1.3.1 I principali componenti hardware dei sistemi di controllo, monitoraggio e sicurezza essenziali e
importanti che rientrano nelle norme del presente capitolo devono essere omologati.
Il requisito si applica normalmente ai seguenti componenti:
— controllori, PLC
— Schede I/O, schede di comunicazione
— stazioni operatore, computer
— switch di rete, router, firewall
— altri componenti che possono essere essenziali per la funzionalità del sistema di controllo.
L'approvazione caso per caso dei componenti può essere accettata, sulla base di un'adeguata documentazione, come alternativa
1
all'o m o l o g a z i o n e .
Vedere IACS UR (E22, M3, M29, M44, M67) per l'omologazione o la prova documentata di conformità secondo IACS UR E10.
1.4 Certificazione del prodotto

1.4.1 I sistemi di controllo, monitoraggio e sicurezza essenziali e importanti, come specificato nelle norme,
devono essere certificati a meno che:
— l'esenzione è prevista in un certificato di omologazione rilasciato dalla società, o
— la logica è semplice, i meccanismi di guasto facilmente comprensibili e una valutazione adeguata è
possibile in fase di approvazione del piano.
La procedura di certificazione consiste in:

1) approvazione del piano
— valutazione della documentazione del produttore in conformità ai requisiti di documentazione previsti
dalle norme
— rilascio della lettera di approvazione.
2) indagine sulla produzione
— ispezione visiva
— verifica/testimonianza delle prestazioni secondo i requisiti funzionali sulla base di programmi di prova
approvati
— verifica/testimonianza del comportamento della modalità di guasto
— verifica del piano di qualità del software di implementazione che copre le attività del ciclo di vita, se
applicabile.
3) rilascio del certificato di prodotto
L'approvazione del piano include normalmente la valutazione documentale caso per caso di ogni fornitura, in alternativa è
parzialmente coperta dall'approvazione del tipo come specificato nel programma di classe DNV-CP-0338 e nella linea guida di
classe DNV-CG-0339.
I produttori certificati secondo il programma di classe di approvazione del produttore (AoM) per "Ingegneria del sistema e del
software" (vedere DNV-CP-0507) sono considerati pre-qualificati per gli aspetti di sviluppo del software dell'indagine di
produzione. La verifica del piano di qualità del software viene pertanto omessa dall'indagine.
DNV AS
distribuzione.
1.4.2 I sistemi di controllo, monitoraggio e sicurezza che devono essere certificati sono indicati nelle norme

applicabili.
1.4.3 Oltre ai requisiti di certificazione specifici indicati nelle varie norme, i sistemi di controllo, monitoraggio e
sicurezza elencati nella Tabella 2 devono essere certificati, se presenti.
Tabella 2 Documenti di conformità richiesti per i sistemi di controllo
Tipo di
Standard
Oggetto documento di Rilasciato da Descrizione aggiuntiva
di
conformità
conformità 1)
Sistema di allarme principale PC Società
Sistema di controllo integrato PC Società

1) Se non diversamente specificato, lo standard di conformità è rappresentato dalle norme.
Per i requisiti generali della documentazione di conformità, vedere DNV-CG-
1
0550 Sec.4. Per la definizione dei tipi di documenti di conformità, vedere DNV-
CG-0550 Sec.3.
Altri sistemi di controllo, monitoraggio e sicurezza possono essere sottoposti a certificazione, se si ritiene che
abbiano un effetto sulla sicurezza della nave.
Può trattarsi, ad esempio, di diversi sistemi di supervisione (vedi definizione nella Tabella 3). Per tali sistemi, viene presentata per
l'approvazione la documentazione di cui alla Tabella 5. Durante l'approvazione, si deciderà se è necessaria o meno la certificazione.
1.5 Gestione delle modifiche software e hardware

1.5.1 I requisiti di questa sezione si applicano alle modifiche software e hardware effettuate dopo la certificazione,
cioè le modifiche apportate dopo l'approvazione e l'emissione del certificato.
I produttori certificati secondo DNV-CP-0507 sono considerati pre-qualificati per i requisiti di questa sottosezione.
1.5.2 I produttori o i fornitori di sistemi devono mantenere un sistema per tenere traccia delle modifiche
apportate in seguito al rilevamento di difetti nell'hardware e nel software e informare gli utenti della
necessità di modifiche in caso di rilevamento di un difetto.
1.5.3 Le forniture in retrofit e le principali modifiche o estensioni dell'hardware o del software dei sistemi
approvati devono essere descritte nelle revisioni aggiornate della documentazione pertinente e presentate alla
Società per la valutazione/approvazione. Se le modifiche o gli ampliamenti includono proprietà chiave del
sistema certificato, ad e s e m p i o nuove versioni, la Società dovrà valutare e approvare il progetto.
di controllori di processo, nuove piattaforme software, modifiche alla topologia o nuove/modificate funzioni
applicative, potrebbe essere necessaria una nuova certificazione. Il sistema deve essere testato a bordo e un
programma di test deve coprire sia il test di certificazione che il test a bordo, come applicabile, vedi [4.4.2].
Nota di orientamento 1:
Per le modifiche o la sostituzione delle stazioni operatore, dell'interfaccia utente, delle interfacce I/O e per le modifiche che non
coinvolgono i programmi applicativi o i componenti di comunicazione di rete sono necessari solo l'approvazione e il collaudo a bordo.
Regole di classificazione: Navi - DNV-RU-SHIP Pt.4 Ch.9. Edizione luglio 2022 Pagina
Sistemi di controllo e monitoraggio 10
DNV AS
distribuzione.

Il costruttore deve informare il proprietario ogni volta che è necessario effettuare una prova a bordo del sistema modificato come richiesto
sopra.
1.5.4 Le versioni del software devono essere identificabili come richiesto al punto 4.
1.5.5 Una procedura per la gestione dei cambiamenti (ad es. correzioni, modifiche, aggiornamenti) nel
software di base e applicativo deve essere presentata per l'approvazione quando richiesto. La procedura deve
descrivere come garantire la tracciabilità del processo di gestione delle modifiche del software per qualsiasi
modifica che possa essere apportata dopo la certificazione del sistema. I principi generali di una procedura di
gestione delle modifiche sono illustrati nella Figura 1. La procedura deve coprire i passi necessari per garantire
la conformità almeno ai seguenti principi:
— le modifiche più importanti che possono influire sulla conformità alle norme devono essere descritte e
sottoposte alla valutazione della Società prima che la modifica venga attuata a bordo
— nessuna modifica deve essere effettuata senza l'accettazione e la presa d'atto da parte del responsabile di
bordo
— il sistema modificato deve essere testato e dimostrato alla persona responsabile a bordo
1
— la modifica deve essere documentata (compresi obiettivo/motivo, specifica/descrizione, analisi dell'impatto,
autorizzazioni pertinenti, procedura di implementazione e di test, firme e date pertinenti, nuova revisione
incrementale del SW, ecc.)
— deve essere applicato un programma di test per verificare la corretta installazione e il corretto
funzionamento delle funzioni applicabili
— nel caso in cui il nuovo aggiornamento del software non sia stato installato con successo, la versione
precedente del sistema deve essere disponibile per una nuova installazione e un nuovo test.
Figura 1 Principi generali di una procedura di gestione delle modifiche.
1.5.6 Se il sistema di controllo è destinato all'assistenza software remota dall'esterno dell'imbarcazione (ad
es. manutenzione remota), la funzionalità deve essere descritta e inclusa nella documentazione di sistema
richiesta. I seguenti requisiti si applicano in aggiunta a [1.5.5] e devono far parte della procedura richiesta in
[1.5.5]:
DNV AS
distribuzione.
— deve esistere una procedura particolare per l'operazione di manutenzione a distanza

— nessuna sessione di accesso remoto o modifica remota del SW sarà possibile senza l'accettazione e la
conferma da parte di una persona responsabile a bordo
— ogni sessione remota attiva deve essere chiaramente indicata sugli schermi dell'unità di visualizzazione (VDU)
— la sicurezza della connessione remota deve essere garantita da:
— prevenire l'accesso non autorizzato
— proteggere l'integrità dei dati trasferiti
— evitare che le informazioni riservate possano essere divulgate a persone non autorizzate.
— se l'operazione di manutenzione remota include l'aggiornamento del software, il nuovo software deve essere
qualificato dal fornitore. A bordo devono essere presenti mezzi per garantire la gestione dei parametri
configurabili e il personale di bordo deve essere in grado di tornare al software/configurazione precedente,
se necessario.
Ciò implica che per l'aggiornamento remoto del software, il software deve essere verificato dal fornitore prima del trasferimento,
devono essere predisposti mezzi per garantire che il trasferimento dei file al sistema di destinazione avvenga con successo e
l'assistenza remota deve garantire l'aggiornamento e la verifica a bordo in conformità con le procedure.
1
— la sessione remota deve essere registrata in conformità con la procedura sopra descritta per la gestione
delle modifiche, vedere [1.5.5].
I requisiti si riferiscono alla manutenzione/assistenza remota dei sistemi di controllo e non intendono coprire il possibile
funzionamento remoto dei sistemi di bordo da altre reti esterne o da luoghi esterni alla nave. Qualsiasi applicazione di questo tipo
sarà soggetta a considerazioni e valutazioni speciali, vedi DNV-CG-0264 .
1.6 Ipotesi
1.6.1 Le regole di questa sezione si basano sul presupposto che il personale che utilizza l'apparecchiatura da
installare a bordo abbia familiarità con l'uso di tale apparecchiatura e sia in grado di utilizzarla.
2 Definizioni
2.1 Condizioni generali

Tabella 3 Definizioni - Termini generali
Termine Definizione
allarme per avvisare di una condizione anomala ed è un segnale combinato visivo e acustico, in cui
la parte acustica richiama l'attenzione del personale e la parte visiva serve a identificare la
condizione anomala
sistemi di controllo di back-up comprende tutte le attrezzature necessarie per mantenere il controllo delle funzioni
essenziali richieste per il funzionamento in sicurezza dell'imbarcazione in caso di guasto o
malfunzionamento dei sistemi di controllo principali
(Codice HSC 11.1.2)
DNV AS
distribuzione.
Termine Definizione

sistema di controllo e comprende tutti i componenti necessari per il controllo e il monitoraggio, compresi i
monitoraggio sensori e gli attuatori.
In questo documento, il termine "sistema" è l'abbreviazione di sistema di controllo e
monitoraggio. Un "sistema" (di controllo e monitoraggio) comprende risorse quali:
— strumentazione di campo di uno o più segmenti di processo
— le risorse necessarie per mantenere la funzione, compresi controllo, monitoraggio,
allarme e autocontrollo
— interfacce utente.
allarme ingegneri sistema di allarme, che deve funzionare dalla sala controllo motori o dalla piattaforma di
manovra, a seconda dei casi, e deve essere chiaramente udibile negli alloggi dei macchinisti
Vedi SOLAS Ch. II-1/38
L'allarme per i tecnici è normalmente parte integrante del sistema di allarme dell'estensione,
ma può essere un sistema separato.
1
apparecchiature sotto apparecchiature meccaniche (macchinari, pompe, valvole, ecc.) o ambiente (fumi, incendi,
controllo (EUC) onde, ecc.) monitorati e/o controllati da un sistema di controllo e monitoraggio
sistema di controllo e sistema che deve essere in continuo funzionamento per mantenere la propulsione e il
monitoraggio essenziale governo della nave. Esempi di servizi sono riportati nel cap. 8 sez. 1 tabella 4. Ulteriori
notazioni di classe possono estendere il termine servizi essenziali. Tali estensioni, se
presenti, sono riportate nelle sezioni delle regole pertinenti (di seguito denominate
sistema essenziale).
L'obiettivo di una funzione essenziale è che sia in continuo funzionamento. Tuttavia, le norme
non soddisfano sempre questo obiettivo, poiché singoli guasti possono portare
all'indisponibilità di una funzione.
strumentazione di campo comprende tutta la strumentazione che costituisce parte integrante di un segmento di
processo per mantenere una funzione
La strumentazione di campo comprende:
— sensori, attuatori, anelli di controllo locali e relative elaborazioni locali, come
richiesto per mantenere il controllo locale e il monitoraggio del segmento di
processo
— interfaccia utente per il funzionamento manuale (se necessario).
Altri elementi dell'apparecchiatura non appartengono alla strumentazione di campo, sia
che siano implementati localmente o a distanza. Questo vale per la comunicazione dei dati
e le strutture per l'acquisizione dei dati e la pre-elaborazione delle informazioni utilizzate
dai sistemi remoti.
importante sistema di servizi di supporto al sistema che non devono necessariamente essere in funzione
controllo e monitoraggio ininterrottamente per mantenere la manovrabilità della nave, ma che sono necessari
per mantenere le funzioni della nave come definito in Pt.1 Ch.1 Sec.1 [1.2], o in altre
parti pertinenti delle regole. Ulteriori notazioni di classe possono estendere il termine
servizi importanti. Tali estensioni, se presenti, sono riportate nelle sezioni delle regole
pertinenti (di seguito denominate sistema importante).
sistemi indipendenti vedi Sez. 2 [1.2.1]
DNV AS
distribuzione.
Termine Definizione

sistema di controllo integrato sistema o combinazione di sistemi computerizzati interconnessi per consentire un accesso
comune alle informazioni dei sensori e alle funzioni di comando/controllo
Un sistema di controllo integrato può contenere qualsiasi combinazione di funzioni di
monitoraggio, allarme, controllo e sicurezza.
Un sistema che contiene solo funzioni di monitoraggio e allarme non è normalmente
considerato un sistema di controllo integrato.
Un sistema contenente funzioni di monitoraggio e di allarme e in aggiunta funzioni di controllo
è normalmente considerato un sistema di controllo integrato, anche se le funzioni di controllo
non sono richieste dalle norme.
indagine sulla produzione di ispezione e verifica delle prestazioni (funzionamento normale, anormale e degradato) in
sistemi di controllo e base ai requisiti funzionali, sulla base di programmi di prova approvati e per verificare la
monitoraggio conformità alle norme, compresi i requisiti per lo sviluppo del software
sistema di supervisione sistema di controllo/funzione supplementare o aggiuntivo rispetto a quelli richiesti dalle
1
norme; con interfaccia con sistemi di controllo, monitoraggio, allarme e/o sicurezza singoli
o multipli richiesti dalle norme
Un sistema di supervisione può fornire un supporto operativo o decisionale all'operatore
per la gestione, ad esempio, di un sistema di controllo:
— operazioni specifiche su navi o macchinari
— situazioni di emergenza o di controllo dei danni.
Il supporto fornito dal sistema di supervisione può essere
— indicazioni o raccomandazioni all'operatore, che poi deciderà quali azioni attuare,
oppure
— azioni automatiche.
I sistemi di supervisione possono contenere una varietà di funzioni e sono normalmente disposti
— con stazioni operatore e server dedicati

— senza I/O dedicati, ma utilizzando i dati dei sistemi interfacciati attraverso diversi
collegamenti di comunicazione/rete.
Il sistema di supervisione può contenere collegamenti a sistemi
esterni. Esempi di sistemi di supervisione:
— sistema di gestione della sicurezza (interfacciando i sistemi pertinenti per la sicurezza

antincendio e l'integrità della tenuta stagna)
— sistema di supporto decisionale o operativo (che fornisce una panoramica,
analisi e raccomandazioni, ad esempio, sull'ottimizzazione del carburante, sulle
capacità operative, sulle operazioni automatiche).
sistemi di controllo e sistemi che supportano funzioni per le quali la Società non ha requisiti in base alle
monitoraggio non importanti definizioni pertinenti delle norme (di seguito denominati sistemi non importanti)
stazione operatore unità costituita da un'interfaccia utente, cioè UID e VDU, e da un controller di interfaccia
segmento di processo raccolta di apparecchiature meccaniche con la relativa strumentazione di campo, ad

esempio un macchinario o un sistema di tubazioni
I segmenti di processo appartenenti a sistemi essenziali sono definiti essenziali.
DNV AS
distribuzione.
Termine Definizione

sistema di sicurezza protettivo sistema che si attiva al verificarsi di una condizione anomala predefinita del processo per
portare il processo/EUC in uno stato di sicurezza. L'azione di sicurezza può essere
automatica o manuale.
ridondanza definiti come due sistemi reciprocamente indipendenti che possono mantenere una funzione
sistemi di controllo remoto comprendono tutte le attrezzature necessarie per azionare le unità da una posizione di
comando in cui l'operatore non può osservare direttamente l'effetto delle sue azioni
(Codice HSC 11.1.1)
utente qualsiasi essere umano che utilizzi un sistema o un dispositivo, ad esempio il capitano, il
navigatore, l'ingegnere, l'operatore radio, il magazziniere, ecc.
postazione di lavoro luogo di lavoro in cui vengono svolti uno o più compiti che costituiscono una particolare
attività e che fornisce le informazioni e le attrezzature necessarie per lo svolgimento in
sicurezza dei compiti stessi
2.2 Termini relativi al sistema basato su computer
1
Tabella 4 Definizioni - termini relativi ai sistemi basati su computer
Termine Definizione
software informatico specifico della nave che esegue compiti generali relativi all'EUC
software applicativo
controllato o monitorato, piuttosto che al funzionamento del computer stesso
software necessario affinché l'hardware supporti il software applicativo

software di base Il software di base comprende normalmente il sistema operativo e il software generale
aggiuntivo necessario per supportare il software applicativo generale e il software applicativo
di progetto.
ambiente di multielaborazione, una o più sequenze di istruzioni trattate da un programma di
compito del computer
controllo come elemento di lavoro da realizzare da parte di un computer
includono collegamenti punto-punto, reti strumentali e reti locali, normalmente

utilizzate per la comunicazione tra computer. Un collegamento di comunicazione dati
comprende tutto il software e l'hardware necessari per supportare la comunicazione
dati.
collegamenti di comunicazione
dati Nota di orientamento:
Per le reti locali, questo include i controllori di rete, i trasduttori di rete, i cavi e il software di
rete su tutti i nodi.
nel contesto dei sistemi di controllo e monitoraggio, per hardware si intende l'insieme degli
hardware
elementi fisici che compongono il sistema di controllo e monitoraggio
e può essere un computer o un altro dispositivo, come una stampante. Ogni nodo ha un
nodo di una rete
indirizzo di rete univoco
assemblaggio di codice e dati con un insieme definito di input e output, destinato a

modulo software svolgere una funzione e in cui la verifica del funzionamento previsto è possibile
attraverso documentazione e test
produttore di apparecchiature/sistemi in cui i sistemi elettronici programmabili sono

Produttore di SW
un componente della fornitura
DNV AS
distribuzione.
Termine Definizione

qualsiasi dispositivo da cui l'utente può impartire un input, compresi maniglie,
dispositivo di input dell'utente
pulsanti, interruttori, tastiera, joystick, dispositivo di puntamento, sensore vocale e
(UID)
altri attuatori di controllo
normalmente il monitor di un computer, ma può anche essere qualsiasi area in cui
unità di visualizzazione (VDU) vengono visualizzate informazioni, compresi indicatori o pannelli, strumenti, diagrammi
mimici, display a diodi a emissione luminosa (LED), tubo catodico (CRT) e display a cristalli
liquidi (LCD)
3 Documentazione
3.1 Generale
3.1.1 La documentazione dei diversi sistemi di controllo, monitoraggio e sicurezza da presentare per
l'approvazione è generalmente indicata nelle norme applicabili.
1
3.1.2 In aggiunta a [3.1.1], deve essere presentata per l'approvazione la documentazione relativa ai sistemi di
controllo, monitoraggio e sicurezza elencati nella Tabella 5.
Tabella 5 Requisiti della documentazione
Oggetto Tipo di documentazione Descrizione aggiuntiva Info
I200 - Documentazione del sistema di controllo

Sistema di allarme AP
e monitoraggio
principale
AP
e monitoraggio
Vedi:
Sistema di controllo
integrato — Paragrafo 2 [1.3], Sistema di
Z070 - Descrizione della modalità di guasto controllo integrato AP
— Paragrafo 4 [3.3] e Paragrafo 4
[3.4] e analisi di rete.

Allarme ingegneri AP
e monitoraggio
I020 - Descrizione funzionale del sistema di

controllo
AP
I030 - Schema a blocchi del sistema
(topologia)
I040 - Documentazione dell'interfaccia utente
Sistemi di supervisione Comprende, tra l'altro, il modo

in cui le carenze del sistema di
Z070 - Descrizione della modalità di guasto supervisione o di AP
comunicazione possono
influire sul sistema di
controllo.
sistemi di controllo, monitoraggio e
sicurezza interfacciati.
Copre l'integrazione del sistema di
I210 - Piano di integrazione supervisione e dei sistemi AP
interfacciati.
DNV AS
distribuzione.
Oggetto Tipo di documentazione Descrizione aggiuntiva Info

Comprende anche i test di integrazione
Z251 - Procedura di prova e i test pertinenti alla descrizione delle AP
modalità di guasto.
AP = per approvazione
3.1.3 Il pacchetto di documentazione per tutti i sistemi di controllo, monitoraggio e sicurezza deve
contenere le informazioni definite per il tipo di documentazione I200, vedere DNV-CG-0550 per la descrizione
dei contenuti. Una modalità di guasto
La descrizione (Z070) può essere richiesta in casi particolari, ma se è necessaria una documentazione aggiuntiva,
questa è generalmente specificata nelle norme applicabili.
La documentazione per uno specifico sistema di controllo, monitoraggio e sicurezza deve essere completa in un unico documento.
Un documento può riguardare più di un sistema strumentato. Un documento può riguardare più di un tipo di documentazione.
3.1.4 Per i sistemi soggetti a certificazione, la documentazione elencata nella Tabella 6 deve essere presentata
1
alla Società durante il controllo della produzione.
3.1.5 Per le prove e le ispezioni a bordo, la documentazione elencata nella Tabella 7 deve essere
presentata alla stazione di ispezione locale per l'approvazione.
Il programma o i programmi di prova sono normalmente sviluppati dal cantiere e contengono prove pertinenti per tutti i sistemi di controllo,
monitoraggio e sicurezza installati a bordo. Il programma di prova è normalmente basato su input dei vari produttori di sistemi.
3.1.6 Il manuale di funzionamento (Z161) e il manuale di manutenzione (Z163) dei sistemi di controllo
devono essere conservati a bordo.
3.1.7 Per i componenti o i sistemi omologati, il certificato di omologazione contiene un elenco

della documentazione da presentare per l'omologazione (caso per caso).
Il pacchetto di documentazione I200 deve contenere un riferimento ai certificati di omologazione rilevanti per i sistemi di controllo,
monitoraggio e sicurezza compresi nella fornitura.
Tabella 6 Documentazione richiesta per l'indagine sulla produzione
Tipo di documentazione Definizione
Le attività del ciclo di vita del software devono contenere almeno le procedure per:
— specifiche dei requisiti software
— parametri requisiti dei dati
— test di funzionamento del software
I140 - Piano di qualità del — test dei dati dei parametri
software
— test di validazione
— tracciabilità dei file di progetto del sistema
— gestione delle modifiche al software e controllo delle revisioni
— politica di sicurezza del software.
DNV AS
distribuzione.
Tipo di documentazione Definizione

Un documento destinato all'uso regolare a bordo, che fornisce informazioni applicabili per:
— modalità operativa per le normali prestazioni del sistema, in relazione alle prestazioni
normali e anormali dell'EUC
— istruzioni per l'uso per le modalità di funzionamento normali e degradate
— dettagli dell'interfaccia utente
— trasferimento del controllo
— ridondanza
— strutture di prova
Z161 - Manuale d'uso
— strutture per il rilevamento e l'identificazione dei guasti (automatiche e manuali)
— sicurezza dei dati
— restrizioni di accesso
— aree speciali che richiedono attenzione da parte dell'utente
— procedure per l'avviamento
— procedure per il ripristino delle funzioni
— procedure per il back-up dei dati
1
— procedure di ricarica del software e di rigenerazione del sistema.
Z162 - Manuale di Un documento che fornisce informazioni sulle procedure di installazione.

installazione
Un documento destinato all'uso regolare a bordo che fornisce informazioni su:
— istruzioni per la manutenzione
Z163 - Manuale di — criteri di accettazione
manutenzione
— Identificazione e riparazione dei guasti
— elenco della rete di assistenza dei fornitori.
Tabella 7 Documentazione richiesta per l'ispezione a bordo
Oggetto Tipo di documentazione Descrizione aggiuntiva
Generalmente presentato dal cantiere.

Sistemi di controllo Z253 - Procedura di prova per banchine e
Contiene i test pertinenti per tutti i sistemi AP, L1)
e monitoraggio prove in mare
di controllo coperti dalla classe.
delle navi
AP = per approvazione, L = gestione locale
1) Per le consegne in retrofit e le modifiche importanti (vedere [1.5.3]), gli aggiornamenti delle navi in esercizio, il
programma di prove per le prove a bordo deve essere presentato al centro di omologazione per l'approvazione,
salvo accordi diversi.
4 Certificazione e test di bordo
4.1 Generale
4.1.1 Tutte le prove richieste in questa sottosezione devono essere coperte da programmi di prova approvati dalla
Società.
Nell'ambito del processo di certificazione del prodotto, i sistemi di controllo e monitoraggio devono essere
sottoposti a un'ispezione di fabbricazione, cfr. [1.4.1], in cui le ispezioni e le prove richieste in [4.1], [4.2], [4.3]
e [4.4] sono eseguite o testimoniate, rispettivamente, dalla Società.
4.1.2 L'ambito dell'indagine di produzione per i sistemi di controllo, monitoraggio e sicurezza considerati
particolarmente complessi, prototipi o non collaudati in funzione sarà definito dalla Società caso per caso.
DNV AS
distribuzione.
4.1.3 Le prove e le ispezioni visive devono dimostrare la conformità ai requisiti normativi applicabili per le

funzioni dell'applicazione e la risposta ai modi di guasto. I programmi di prova devono specificare in dettaglio
le modalità di prova delle varie funzioni, le osservazioni da effettuare durante le prove, i risultati attesi e i
criteri di accettazione.
4.1.4 I registri di prova devono essere messi a disposizione della Società dopo il completamento dell'attività di
prova.
I registri dei test devono contenere i risultati dei test, le informazioni su dove e quando sono stati condotti, i partecipanti, i risultati,
l'identificazione di eventuali elementi di test non eseguiti e le versioni del software. Il responsabile del test deve essere anche
responsabile dell'archiviazione dei registri.
4.1.5 Le modalità di guasto devono essere simulate nel modo più realistico possibile. Gli allarmi e le funzioni di
sicurezza protettiva devono essere generalmente testati lasciando che i parametri monitorati superino i limiti
definiti. I limiti di allarme e di sicurezza protettiva devono essere controllati.
4.1.6 Si deve verificare che tutte le funzioni di controllo automatico funzionino in modo soddisfacente
durante le normali variazioni di carico.
1
4.2 Verifica dello sviluppo del software
4.2.1 Su richiesta, il produttore del sistema di controllo deve mettere a disposizione le prove del processo di
sviluppo del software applicativo e presentare la società durante il controllo della produzione.
L'evidenza del processo di sviluppo del software applicativo sarà tipicamente sotto forma di documentazione
che copre gli elementi di informazione specificati nella Tabella 6 per la consegna del sistema di controllo
specifico.
Per i produttori prequalificati in conformità al programma di classe "approvazione del produttore" DNV-CP-0507, questa parte
dell'indagine di produzione viene omessa.
4.2.2 L'indagine sulla produzione deve comprendere una valutazione degli strumenti per l'impostazione del
sistema di controllo, l'accesso e la configurazione delle funzioni dell'applicazione, cfr. sezione 4 [1.9].
4.3 Test di certificazione

4.3.1 I sistemi di controllo, monitoraggio e sicurezza devono essere completati prima del controllo di
fabbricazione. Il fabbricante deve eseguire prove interne sufficienti, comprese quelle previste dal programma o
dai programmi di prova approvati, per garantire che il sistema di controllo sia maturo e pronto per il controllo di
fabbricazione.
I verbali delle prove interne devono essere a disposizione dell'ispettore presente.
4.3.2 Il test di certificazione deve comprendere l'intero sistema in conformità alla documentazione approvata,
integrando tutte le unità hardware e software nella topologia progettata.
Gli strumenti di campo, gli attuatori, ecc. non fanno normalmente parte del test di certificazione.
4.3.3 Il test di certificazione deve essere eseguito con il software specifico del progetto installato sugli
effettivi componenti hardware da consegnare a bordo. Il test deve comprendere almeno:
a) ispezione visiva, verifica dell'installazione e dell'entità della fornitura in base alla documentazione approvata
DNV AS
distribuzione.
b) test hardware, verifica delle prestazioni dell'hardware, compresi i guasti hardware

c) test di base del software, verifica della funzionalità generale
d) test del software applicativo, verifica delle funzioni dell'applicazione
e) test di modalità di guasto, verifica della risposta del sistema a guasti rappresentativi, verifica dei
requisiti di indipendenza e ridondanza del sistema, anche per quanto riguarda la rete e la
comunicazione.
f) test dell'interfaccia utente.
Le prove possono essere effettuate, previo accordo con la Società, su un sistema di prova rappresentativo.
È necessario applicare strumenti di simulazione appropriati per consentire la verifica di funzioni applicative e modalità di guasto
rappresentative.
4.3.4 Nel caso in cui la certificazione non possa essere completata prima della consegna del sistema al cantiere,
la Società può accettare di completare la certificazione a bordo.
1
Ciò può verificarsi, ad esempio, nei seguenti casi:
— il programma di test di certificazione approvato non può essere completato prima dell'installazione a bordo
— consegne di sistemi di controllo testate e consegnate in lotti multipli
— consegne separate con test HW e SW separati, test SW condotti su una replica o in un ambiente emulato. Il produttore
è responsabile delle attività necessarie per completare la certificazione, indipendentemente dalla sede.
4.3.5 Se il sistema in prova è interfacciato con altri sistemi che non rientrano nell'ambito di applicazione del
produttore, devono essere testate anche le interfacce applicabili. Il test deve almeno dimostrare che le
interfacce sono completate in conformità alle specifiche pertinenti e consentire la verifica dei protocolli di
comunicazione, degli indirizzi, dei registri di dati, delle funzioni logiche pertinenti e dei display HMI specificati.
A seconda del livello di integrazione e delle dipendenze funzionali, il test di integrazione può essere effettuato attraverso vari test di
simulazione nell'ambito dell'indagine di produzione e in aggiunta attraverso test di integrazione a bordo dopo l'installazione
nell'ambiente di destinazione.
4.3.6 Per i sistemi di supervisione per i quali è richiesta la certificazione e i sistemi interfacciati non fanno parte
del test o non sono adeguatamente simulati, il test di certificazione riguardante le interfacce, le funzioni, le
interfacce utente e i modi di guasto pertinenti deve essere completato dopo l'installazione a bordo, quando i
sistemi interfacciati sono disponibili per il test.
L'ambito di approvazione e di verifica dei sistemi di supervisione deve essere concordato con la Società.
4.4 Test a bordo

4.4.1 Il sistema o i sistemi di controllo, monitoraggio e sicurezza soggetti alle prove devono essere, per quanto
possibile, installati, collegati e integrati con le interfacce e le apparecchiature sotto controllo (EUC) previste e
messi in funzione con successo prima delle prove ufficiali. Le prove interne, che coprono anche il/i programma/i
di prova approvato/i, dovranno
essere completato. Per i sistemi che richiedono la certificazione, il processo di certificazione deve essere
completato prima delle prove a bordo.
DNV AS
distribuzione.

Le registrazioni dei test interni devono essere a disposizione della Società.
4.4.2 Il programma o i programmi di prova per le prove in banchina e in mare devono essere presentati
alla stazione locale della Società per l'approvazione.
Per le forniture di retrofit e gli aggiornamenti di navi in esercizio, il programma di test per le prove a bordo deve essere presentato
al centro di omologazione, a meno che non sia stato concordato diversamente.
Alcune annotazioni aggiuntive richiedono che i programmi di prova per le prove in banchina e in mare siano inclusi nel pacchetto di
documentazione presentato al centro di omologazione.
4.4.3 I test comprendono:

a) Ispezione visiva dell'installazione, della progettazione meccanica, delle custodie, degli strumenti di
1
campo, dell'installazione di cavi e fili, delle disposizioni per la manutenzione, della marcatura, ecc.
b) Durante l'installazione, il corretto funzionamento dei singoli pacchetti di apparecchiature, insieme alla
definizione dei parametri corretti per l'allarme, il controllo e la sicurezza di protezione (costanti di tempo, set
point, ecc.) e delle relative modalità di guasto (guasti di alimentazione e di comunicazione, guasti di rete,
ecc.)
c) Durante l'installazione e l'integrazione di sistemi e pacchetti di apparecchiature: prove pertinenti di reti di
sistemi di controllo, interfacce e collegamenti di comunicazione dati, prove di integrazione, prove di
modalità di guasto. Questo vale anche per i sistemi di supervisione (compresi i sistemi di supervisione non
soggetti a certificazione).
L'ambito delle prove a bordo può anche includere il completamento di eventuali punti in sospeso delle prove di certificazione,
soprattutto per quanto riguarda l'integrazione e le interfacce. In questi c a s i , l'ambito delle prove deve essere concordato tra il
cantiere, il costruttore e la Società.
d) Durante l'installazione e le prove in mare, il corretto funzionamento dei sistemi e la loro integrazione,
compresa la capacità dei sistemi di controllo di mantenere qualsiasi EUC entro le tolleranze specificate,
test di modalità di guasto.
e) Quando le norme richiedono mezzi di controllo di riserva/emergenza/locali per le funzioni essenziali
della nave, tali funzioni devono essere testate. Per queste prove, i normali mezzi di controllo devono
essere disattivati per quanto possibile.
4.4.4 Le modifiche al software e all'hardware dei sistemi di controllo, monitoraggio e sicurezza devono
essere gestite in conformità alle procedure di gestione delle modifiche, vedere [1.5].
4.4.5 Il sistema di controllo remoto della propulsione, se presente, deve essere testato in mare per dimostrare
la stabilità del controllo e del funzionamento del sistema di propulsione con i suoi ausiliari necessari per l'intera
gamma operativa e indipendentemente dal tipo di propulsione. Deve essere dimostrato che le funzioni di
rampa/controllo necessarie sono implementate per garantire che qualsiasi operazione delle leve di manovra non
provochi l'arresto, l'instabilità o il danneggiamento dei macchinari di propulsione o delle unità di generazione di
energia.
4.4.6 Se il sistema di propulsione è progettato per diverse modalità operative, la prova descritta in [4.4.5] deve
essere eseguita per ciascuna modalità operativa.
Questo vale, ad esempio, per i motori a doppia alimentazione o per le combinazioni di motori a gas e diesel, per i sistemi di
propulsione con PTI/PTO (power take in/out), per i sistemi ibridi con combinazioni di diversi principi per la fornitura di potenza
di propulsione, ecc.
DNV AS
DNV AS
distribuzione.
SEZIONE 2 PRINCIPI DI PROGETTAZIONE

1 Configurazione del sistema
1.1 Generale
1.1.1 I sistemi essenziali e importanti devono essere disposti in modo tale che un singolo guasto in
un sistema di controllo e monitoraggio o in un'unità non possa estendersi a un'altra unità.
1.1.2 L'avaria di qualsiasi sistema di controllo remoto o automatico deve far scattare un allarme acustico e
visivo e non deve impedire il normale controllo manuale.
1.2 Strumentazione di campo

1.2.1 La strumentazione di campo appartenente a segmenti di processo essenziali separati deve
essere reciprocamente indipendente.
2
Il sistema B è indipendente dal sistema A quando un singolo guasto del sistema A non ha alcun effetto sul mantenimento del
funzionamento del sistema B. Due sistemi sono reciprocamente indipendenti quando un singolo guasto del sistema A non ha alcuna
conseguenza sul mantenimento del funzionamento dell'altro sistema. Un singolo guasto di sistema che si verifica nel sistema B può
avere un effetto sul mantenimento del funzionamento del sistema A. Due sistemi sono reciprocamente indipendenti quando un
singolo guasto di sistema che si verifica in uno dei due sistemi non ha conseguenze sul mantenimento del funzionamento dell'altro
sistema, come sopra indicato.
1.2.2 Quando è richiesto il funzionamento manuale di emergenza di un segmento di processo

essenziale, è necessaria una strumentazione di campo separata e indipendente per il funzionamento
manuale di emergenza.
1.2.3 L'accuratezza di uno strumento è sufficiente a garantire la funzionalità e il funzionamento sicuro

dell'EUC.
1.3 Sistemi di controllo integrati

1.3.1 Un sistema di controllo integrato deve essere predisposto con una ridondanza e/o una segregazione
sufficiente a prevenire la perdita del controllo delle funzioni essenziali o di più funzioni principali in caso di un
singolo guasto.
Questo per garantire che, nei sistemi di controllo integrati, un singolo guasto non causi una perdita di funzionalità superiore a
quella che si verificherebbe se le diverse funzioni fossero implementate in singoli sistemi/mezzi di controllo autonomi. (Vedere
MSC/Circ.891/4.8).
Una parte limitata delle funzioni di controllo remoto, monitoraggio e allarme del sistema di controllo integrato può essere accettata
in caso di guasti singoli, se adeguatamente analizzata e documentata nella descrizione del modo di guasto. In questi casi, la
funzionalità persa dovrebbe essere normalmente disponibile dalle postazioni locali.
1.3.2 Se le funzioni di sicurezza richieste dalle norme sono implementate in un sistema di controllo
integrato, queste devono essere implementate in unità hardware dedicate e autonome. La comunicazione
con altre parti del sistema di controllo integrato deve essere protetta in conformità al punto 4 [3] per
garantire l'integrità delle funzioni di sicurezza.
Quando le norme richiedono l'arresto di emergenza di un'utenza, vedere i requisiti indicati nel capitolo 8, sezione 2 [8.6].
DNV AS
DNV AS
distribuzione.
1.3.3 Le funzioni di un sistema di controllo integrato devono essere disposte in conformità ai requisiti di

ridondanza applicabili all'apparecchiatura o al sistema servito.
1.3.4 Le funzioni per i sistemi di carico non devono essere implementate nei controllori utilizzati per le
funzioni essenziali della nave.
1.3.5 Nella postazione di lavoro principale devono essere disponibili almeno due postazioni operatore, in modo
da garantire la disponibilità di tutte le funzioni che possono richiedere l'attenzione simultanea.
Si veda anche il requisito dell'interfaccia operatore per ogni segmento di rete nella sezione 4 [3.1.2].
1.3.6 Per i sistemi di controllo integrati, la conformità ai requisiti di cui sopra deve essere documentata in una
descrizione delle modalità di guasto (Z070), cfr. Sez. 1 Tabella 5. La descrizione del modo di guasto deve
riguardare specificamente le proprietà della rete, cfr. punto 4 [3.2]. Inoltre, l'allocazione delle funzioni SW e degli
I/O deve essere trattata nell'analisi dei guasti.
1.4 Sistemi di supervisione
2
1.4.1 I sistemi di supervisione (cfr. sezione 1, tabella 3), se integrano più funzioni, devono essere
considerati come un sistema di controllo integrato e quindi devono essere predisposti con ridondanza,
cfr. [1.3.1].
1.4.2 Un guasto in un sistema di supervisione, comprese le sue interfacce e la rete di comunicazione,

non deve propagarsi ai sistemi di controllo, monitoraggio e sicurezza interfacciati.
1.4.3 Se un sistema di supervisione è dotato di hardware dedicato, le funzioni e l'interfaccia utente del
sistema di supervisione non devono sostituire le funzioni e l'interfaccia utente richieste dai sistemi di
controllo, monitoraggio e sicurezza interfacciati.
I sistemi di supervisione sono generalmente complementari alle funzioni di controllo, monitoraggio e sicurezza richieste dalle norme;
ciò implica che l'interfaccia utente necessaria alle funzioni richieste deve essere fornita indipendentemente dal sistema di
supervisione.
1.4.4 Se i privilegi di riconoscimento dei comandi e degli allarmi sono disponibili sulle stazioni operatore del
sistema di supervisione, il trasferimento della funzionalità di riconoscimento dei comandi e degli allarmi deve
essere organizzato in base al punto 3 [1].
2 Risposta ai fallimenti
2.1 Rilevamento dei guasti

2.1.1 I sistemi essenziali e importanti devono essere dotati di strutture per rilevare i guasti più probabili
che possono causare prestazioni ridotte o errate del sistema.
I guasti rilevati attivano gli allarmi.
2.1.2 Le strutture di autocontrollo devono coprire almeno, ma non solo, i seguenti tipi di guasto:
— interruzioni di corrente.
Inoltre, per i sistemi essenziali:
— guasti ai loop, sia di comando che di retroazione (normalmente cortocircuiti e connessioni interrotte)
— guasti a terra.
DNV AS
distribuzione.
Inoltre, per i sistemi basati su computer:

— errori di comunicazione
— guasti all'hardware del
computer. Si veda anche la
Sezione 4.
2.2 Risposta del sistema

2.2.1 I guasti più probabili, ad esempio la perdita di alimentazione o il guasto di un cavo, devono
determinare le condizioni meno critiche tra quelle possibili.
La perdita totale di potenza di un singolo sistema di controllo non deve comportare la perdita della propulsione o del governo.
2.2.2 In caso di guasto, un sistema ridondante deve disporre di un'autodiagnosi sufficiente a garantire
efficacemente il trasferimento dell'esecuzione attiva all'unità di riserva e il trasferimento non deve causare
2
un'interruzione del controllo del processo che comprometta il funzionamento sicuro dell'EUC. Questo vale anche
per le funzioni più critiche in termini di tempo.
Ciò si applica tipicamente alle reti o ai controllori duplicati, dove un guasto in un'unità o in una rete non deve comportare un tempo
di inattività che possa compromettere la risposta temporale dell'attivazione di una funzione critica, come ad esempio un arresto.
DNV AS
distribuzione.
SEZIONE 3 PROGETTAZIONE DEL SISTEMA

1 Elementi del sistema
1.1 Generale
1.1.1 Un sistema è costituito da uno o più elementi del sistema, dove ogni elemento del sistema svolge una
funzione specifica.
1.1.2 Gli elementi del sistema appartengono alle seguenti categorie:

— controllo automatico
— telecomando
— allarme
— sicurezza protettiva
— indicazioni
— pianificazione e rendicontazione
3
— calcolo, simulazione e supporto alle decisioni.
1.1.3 Ogni volta che le norme applicabili richiedono un arresto automatico o manuale, la funzione deve essere
implementata in un sistema di sicurezza reciprocamente indipendente dai sistemi di controllo e di allarme
relativi alla stessa apparecchiatura sotto controllo (EUC).
Le eccezioni a questi principi generali possono essere concesse se specificate nelle regole di applicazione dell'EUC.
Il requisito di indipendenza non intende impedire che le diverse unità del sistema di controllo, allarme e sicurezza comunichino
informazioni sullo stato attraverso, ad esempio, una rete, ma ogni unità deve essere in grado di svolgere le proprie funzioni principali
in modo autonomo, senza dipendere dalle altre unità del sistema di controllo.
La ridondanza nella progettazione dei sistemi non è generalmente accettata come un modo alternativo per soddisfare il requisito di
indipendenza tra i sistemi.
1.2 Controllo automatico

1.2.1 Il controllo automatico deve mantenere le variabili dell'apparecchiatura di processo entro i limiti
specificati per l'apparecchiatura di processo (ad esempio, il macchinario) durante le normali condizioni di
lavoro.
1.2.2 Il controllo automatico deve essere stabile sull'intero intervallo di controllo. Il margine di stabilità deve
essere sufficiente a garantire che le variazioni dei parametri dell'apparecchiatura di processo controllata,
previste in c o n d i z i o n i normali, non causino instabilità. L'elemento del sistema di controllo automatico deve
essere progettato in modo da svolgere la funzione che deve svolgere.
1.2.3 I controlli automatici, come l'avviamento automatico e altre operazioni automatiche, devono prevedere
la possibilità di escludere manualmente i controlli automatici, a meno che non sia possibile un funzionamento
manuale sicuro. Il guasto di una parte di tali sistemi non deve impedire l'uso del comando manuale.
1.2.4 Nei sistemi ad anello chiuso, i guasti di retroazione devono far scattare un allarme e il sistema deve
entrare nella condizione meno critica tra quelle possibili. Ciò implica che il sistema rimanga nello stato attuale
o che passi allo stato zero.
1.2.5 Quando nelle funzioni di controllo ad anello chiuso è richiesta l'indicazione del parametro controllato, il
sensore per l'indicazione non deve essere in comune con il sensore per la retroazione al controllo automatico.
DNV AS
distribuzione.
1.3 Telecomando
1.3.1 Alla postazione remota di comando, l'utente deve ricevere informazioni continue sugli effetti degli
ordini impartiti.
1.3.2 Una postazione di lavoro sarà designata come postazione remota principale.
Una stazione di lavoro può essere composta da più postazioni operatore.
1.3.3 Il controllo deve essere disponibile solo sulle postazioni di lavoro da cui è previsto il controllo.
1.3.4 Quando il controllo è possibile da più postazioni di lavoro, solo una postazione di lavoro deve essere
controllata in qualsiasi momento e un sistema e/o una funzione di trasferimento dei comandi deve fornire le
funzioni richieste in questa sottosezione.
Questo non si applica all'attivazione manuale di azioni di sicurezza (ad esempio, spegnimento a distanza) che possono essere disponibili da
3
più postazioni in parallelo.
1.3.5 Il controllo non deve essere trasferito prima del riconoscimento da parte della postazione di lavoro
ricevente, a meno che le postazioni di lavoro non siano situate abbastanza vicine da consentire un contatto
visivo e acustico diretto. Il trasferimento del controllo deve essere preceduto da un preallarme sonoro, a meno
che le postazioni di lavoro non siano situate in prossimità tale da consentire un c o n t a t t o visivo e sonoro.
1.3.6 La postazione principale deve essere in grado di assumere il controllo senza preavviso, ma deve essere
emesso un avviso acustico alla postazione che cede il controllo. L'avviso acustico non è necessario se le
postazioni sono situate in prossimità, in modo da consentire un contatto visivo e acustico. L'azione per
prendere il controllo non deve essere uguale alla normale azione di controllo.
1.3.7 Devono essere previsti mezzi per evitare alterazioni significative del comando quando si trasferiscono i
privilegi di controllo da locale a remoto, da una posizione remota a un'altra o da un mezzo o modalità di
funzionamento a un altro. Se ciò comporta l'allineamento manuale delle leve di comando, gli indicatori devono
mostrare come le leve devono essere impostate per diventare allineate.
1.3.8 In ogni postazione di lavoro alternativa deve essere indicata la stazione di controllo che detiene i
diritti di comando.
1.3.9 Gli interblocchi di sicurezza in parti diverse dei sistemi non devono essere in conflitto tra loro.
Gli interblocchi di sicurezza di base devono essere cablati e devono essere attivi durante il funzionamento remoto e
locale.
Gli interblocchi di sicurezza cablati non devono essere bypassati da interblocchi programmabili e, nel funzionamento locale, gli
interblocchi non critici devono essere disabilitati o possono essere bypassati.
1.4 Sistema di sicurezza protettivo

1.4.1 Un sistema di sicurezza protettivo deve essere progettato in modo che i guasti provochino il meno
critico dei possibili nuovi stati (fail safe), considerando la sicurezza della nave rispetto alla sicurezza del
macchinario.
DNV AS
distribuzione.

La sicurezza dell'imbarcazione si riferisce alla necessità di mantenere il funzionamento delle funzioni essenziali. Il requisito implica
che per ogni probabile guasto del sistema di sicurezza protettivo, compresi i suoi circuiti, il sistema deve essere progettato per
ridurre al minimo le conseguenze, valutando la necessità di mantenere il funzionamento rispetto al rischio di causare un pericolo
inaccettabile dovuto a un guasto del macchinario. A questo proposito, si deve considerare il rischio di continuare a funzionare
senza la funzione di sicurezza e la possibilità di supervisione e intervento manuale.
1.4.2 I sistemi di sicurezza per i servizi essenziali della nave devono essere progettati secondo il principio "fail-
to-maintain" per evitare la perdita dei servizi essenziali in caso di guasti. Deve essere implementata
un'adeguata autodiagnosi (ad esempio il monitoraggio del loop) per distinguere tra un guasto nel loop e una
condizione di allarme nel macchinario/processo.
Per i sistemi essenziali che hanno un'unità ferma come principio di sicurezza ( ad esempio, un motore in un impianto con più motori),
non è necessario predisporre il monitoraggio del loop.
1.4.3 Qualsiasi sistema di sicurezza protettivo richiesto deve essere predisposto in modo che i guasti che
3
mettono fuori uso la funzione di sicurezza vengano rilevati e allarmati.
1.4.4 I sistemi di sicurezza protettivi devono essere disposti in modo che le azioni automatiche di sicurezza
non dipendano dalla comunicazione di rete. Questo vale anche quando il sistema di sicurezza fa parte di un
sistema di controllo integrato.
1.4.5 Le azioni di sicurezza protettive devono dare l'allarme in postazioni di lavoro predefinite.
1.4.6 Quando il sistema di sicurezza di protezione arresta un'unità, questa non si riavvia automaticamente.
1.4.7 Quando un elemento del sistema di sicurezza protettivo è reso inoperante da un comando manuale,
ciò deve essere chiaramente indicato in postazioni di lavoro predefinite.
1.4.8 Quando l'elemento del sistema di sicurezza protettivo è stato attivato, deve essere possibile rintracciare
la causa dell'azione di sicurezza mediante indicatori centrali o locali.
1.4.9 Quando due o più azioni di sicurezza protettive sono avviate da una condizione di guasto (ad esempio,
l'avvio della pompa di riserva e l'arresto del motore in caso di bassa pressione dell'olio lubrificante), tali azioni
devono essere attivate a livelli diversi, con l'azione meno drastica attivata per prima.
1.4.10 L'allarme deve essere attivato prima di un'azione di sicurezza protettiva, ad eccezione delle condizioni di
guasto in cui è necessaria un'azione di sicurezza protettiva in tempi brevi per evitare il guasto totale del
componente (ad esempio, l'arresto per eccesso di velocità di un motore diesel).
Quando due o più azioni di sicurezza protettive sono avviate da una condizione di guasto (vedere [1.4.9]), l'allarme iniziale per la
condizione di guasto (ad esempio, l'allarme di bassa pressione dell'olio lubrificante) coprirà il requisito di allarme preventivo per
tutte le azioni di sicurezza protettive sub-sequenti per la stessa condizione di guasto.
Per il preallarme di rallentamento o arresto delle macchine di propulsione agli ufficiali di navigazione in plancia
(SOLAS Ch. II-1/31.2.10), vedere Ch. 1 Sez. 4 [1.4.8].
1.5 Allarmi
1.5.1 I dispositivi di segnalazione degli allarmi devono essere disposti in modo da garantire l'attenzione
dell'ufficiale di servizio responsabile,
Ad esempio, i dispositivi di segnalazione di allarme della macchina situati nelle normali aree di lavoro dello spazio
macchina.
DNV AS
distribuzione.

È consigliabile utilizzare diverse unità di segnalazione acustica a basso volume, opportunamente posizionate, piuttosto che un'unica
unità per l'intera area. Una combinazione di segnali acustici e segnali luminosi rotanti può essere vantaggiosa.
La risoluzione IMO A.1021 (26), clausola 9.5, prevede che gli allarmi e gli indicatori in plancia di comando siano ridotti al minimo. Gli
allarmi e gli indicatori non necessari per la plancia di comando non devono essere collocati su di essa, a meno che non siano autorizzati
dall'amministrazione.
1.5.2 La presentazione visiva degli allarmi deve essere facilmente distinguibile dalle altre indicazioni mediante
l'uso di colori e rappresentazioni speciali.
In un'ottica di standardizzazione, i segnali di allarme visivo dovrebbero essere preferibilmente di colore rosso. Una rappresentazione
speciale può essere un simbolo.
3
1.5.3 I segnali acustici utilizzati per allarmare le diverse categorie principali (ad esempio, allarmi macchine,
allarmi antincendio, allarmi gas) devono essere distinguibili grazie all'uso di frequenze/pattern diversi e gli
allarmi devono essere facilmente distinguibili dai segnali che indicano condizioni normali, dai segnali telefonici
e dal rumore.
1.5.4 La responsabilità degli allarmi non deve essere trasferita prima del riconoscimento da parte della
postazione ricevente. Il trasferimento della responsabilità deve essere preceduto da un preallarme sonoro.
In ogni luogo alternativo, deve essere indicato il momento in cui la responsabilità viene assunta.
1.5.5 Il riconoscimento degli allarmi sarà possibile solo presso le postazioni di lavoro dedicate alla risposta
all'allarme. In condizioni di funzionamento normale (compresa la modalità non presidiata), non sarà
possibile trasferire il messaggio di allarme.
diritti di riconoscimento dal locale macchine/sala controllo motori a una postazione di lavoro situata all'esterno del
locale macchine.
Gli elenchi degli allarmi devono essere disponibili su qualsiasi postazione di lavoro.
1.5.6 Gli allarmi devono essere annunciati da un'indicazione visiva e da un segnale acustico. Deve essere
possibile vedere e distinguere i diversi stati degli allarmi, ad esempio normale, attivo, non riconosciuto,
riconosciuto e bloccato.
La tacitazione e il riconoscimento degli allarmi devono essere disposti come segue:
Silenziamento del segnale acustico:
— La disattivazione dell'allarme determina la cessazione del segnale acustico.
— L'indicazione visiva dell'allarme deve rimanere invariata.
Riconoscimento di un allarme:
— Quando un allarme viene riconosciuto, l'indicazione visiva cambia. L'indicazione rimane se la condizione di
allarme è ancora attiva.
— Se la funzione di conferma dell'allarme viene utilizzata prima della tacitazione del segnale acustico, la
conferma può anche tacitare il segnale acustico.
Un segnale di allarme attivo non deve impedire la segnalazione di nuovi allarmi, con relativo segnale acustico e
indicazione visiva. Questo requisito si applica anche agli allarmi di gruppo che sono stati riconosciuti.
Nel caso in cui gli allarmi siano presentati su uno schermo, deve essere sempre visualizzato l'allarme più
recente, e solo gli allarmi visibili possono essere riconosciuti.
Quando diversi allarmi sono combinati in un allarme di gruppo, deve essere possibile identificare i singoli
allarmi che danno origine all'allarme di gruppo.
DNV AS
distribuzione.

I singoli allarmi di un gruppo di allarme possono essere identificati su un pannello locale.
1.5.7 Il riconoscimento dei segnali visivi deve essere separato per ciascun segnale o comune per un gruppo
limitato di segnali. Il riconoscimento deve essere possibile solo quando l'utente dispone di informazioni visive
sulla condizione di allarme per il segnale o per tutti i segnali di un gruppo.
1.5.8 Il segnale acustico locale per un allarme incluso in un sistema di gestione degli allarmi centralizzato deve
essere soppresso quando è localizzato nello stesso luogo di lavoro del sistema di gestione degli allarmi
centralizzato.
1.5.9 La soppressione manuale di allarmi separati può essere accettata, se la soppressione viene segnalata
in modo continuo.
1.5.10 Devono essere fornite informazioni sufficienti per garantire una gestione ottimale degli allarmi. La
presenza di allarmi attivi deve essere indicata in modo continuo e il testo dell'allarme deve essere
facilmente comprensibile.
3
1.5.11 I guasti più frequenti all'interno del sistema di allarme, come ad esempio la rottura delle
connessioni agli elementi di misura, daranno il via all'allarme.
1.5.12 L'inibizione delle funzioni di sicurezza di allarme e di protezione in determinate modalità operative (ad
esempio, durante l'avvio) deve essere automaticamente disattivata in altre modalità.
1.5.13 Deve essere possibile ritardare gli allarmi per evitare falsi allarmi dovuti a condizioni transitorie normali.
1.6 Indicazione
1.6.1 Indicazioni sufficienti a consentire il funzionamento sicuro di funzioni essenziali e importanti devono
essere installate in tutti i punti di controllo da cui è possibile eseguire la funzione. Allarmi o preallarmi non sono
considerati sostitutivi delle indicazioni a questo scopo.
Si consiglia di centralizzare gli strumenti di indicazione e registrazione e di organizzarli in modo da facilitare la sorveglianza, ad
esempio standardizzando le scale, applicando diagrammi mimici, ecc.
1.6.2 Nelle apparecchiature o nella nave deve essere prevista un'illuminazione adeguata per consentire
l'identificazione dei comandi e facilitare la lettura degli indicatori in qualsiasi momento. Devono essere
previsti mezzi per attenuare l'emissione di qualsiasi sorgente luminosa dell'apparecchiatura che possa
interferire con la navigazione.
1.6.3 I pannelli di indicazione devono essere dotati di una funzione di test della lampada.
1.7 Pianificazione e reporting

1.7.1 Gli elementi del sistema di pianificazione e reporting non devono avere uscite per il controllo delle
apparecchiature di processo in tempo reale durante la modalità di pianificazione.
Le funzioni di pianificazione e reporting sono utilizzate per presentare all'utente le informazioni necessarie per pianificare le azioni
future, ad esempio in relazione all'ottimizzazione del percorso e del carburante.
DNV AS
distribuzione.

I risultati delle funzioni di pianificazione e reporting possono tuttavia essere utilizzati per impostare le premesse per il controllo
dell'apparecchiatura di processo, ad esempio il piano di rotta utilizzato come input per un autopilota o il piano di carico utilizzato
come input per il controllo automatico o assistito dell'utente della sequenza di carico.
1.8 Calcolo, simulazione e supporto alle decisioni

1.8.1 L'output dei moduli di calcolo, simulazione o supporto alle decisioni non deve sopprimere le
informazioni di base necessarie per consentire il funzionamento sicuro di funzioni essenziali e importanti.
I risultati dei moduli di calcolo, simulazione o supporto alle decisioni possono essere presentati come informazioni aggiuntive.
2 Requisiti generali
3
2.1 Funzionamento e manutenzione del sistema
2.1.1 L'avvio e il riavvio devono essere possibili senza conoscenze specialistiche del sistema.
All'accensione e al ripristino dopo un'interruzione di corrente, il sistema deve essere ripristinato e
riprendere a funzionare automaticamente.
2.1.2 Il test dei sistemi essenziali e dei sistemi di allarme deve essere possibile durante il normale
funzionamento. Il sistema non deve rimanere in modalità di prova involontariamente e la modalità di prova
attiva deve essere chiaramente indicata sull' interfaccia operatore.
È necessario predisporre il ritorno automatico alla modalità operativa o all'allarme.
2.2 Requisiti di alimentazione per sistemi di controllo, monitoraggio e sicurezza

2.2.1 Questa sottosezione fornisce i requisiti per l'alimentazione di diverse categorie di sistemi di controllo,
monitoraggio e sicurezza. Se si applicano requisiti aggiuntivi o specifici, ciò è specificato nelle regole di
applicazione dell'EUC o nelle notazioni di classe aggiuntive applicabili.
2.2.2 La disposizione principale dell'alimentazione ai sistemi di controllo, monitoraggio e sicurezza deve

riflettere i requisiti generali di ridondanza di cui al cap. 1 par. 3 [2.3]. L'interruzione di un'alimentazione non
deve causare la perdita di una funzione principale per un periodo più lungo di quello specificato al c a p . 1 par.
3 [2.3.6].
2.2.3 L'alimentazione dei sistemi di controllo, monitoraggio e sicurezza per le utenze elettriche deve essere
predisposta come specificato nel Cap. 8 Sez. 2 [6.3.2]. I sistemi di controllo, monitoraggio e sicurezza devono
essere alimentati dalla stessa distribuzione dell'utenza o dell'impianto servito.
2.2.4 I sistemi di controllo, monitoraggio e sicurezza che servono i servizi essenziali devono essere dotati di
alimentazioni indipendenti in conformità con [2.2.2].
Quando il servizio essenziale è organizzato da EUC ridondanti, il sistema di controllo, monitoraggio e sicurezza per ogni EUC può essere
alimentato dallo stesso quadro di distribuzione / dallo stesso quadro principale.
Per i sistemi di controllo, monitoraggio e sicurezza ridondanti, è accettabile che ogni alimentazione indipendente alimenti
entrambi i sistemi.
DNV AS
distribuzione.
2.2.5 Quando è richiesta l'indipendenza tra i sistemi di controllo, monitoraggio o sicurezza di una

EUC, i sistemi indipendenti sono alimentati da circuiti di alimentazione separati.
2.2.6 Le unità ridondanti nei sistemi di controllo integrati devono essere dotate di alimentatori indipendenti.
2.2.7 Le seguenti categorie di sistemi di controllo, monitoraggio e sicurezza devono essere dotate
di un gruppo di continuità:
— sistemi di controllo, monitoraggio e sicurezza che devono essere operativi durante il black-out
— sistemi di controllo, monitoraggio e sicurezza necessari per ripristinare le condizioni normali dopo il black-out
— sistemi di controllo, monitoraggio e sicurezza che servono funzioni con ridondanza di tipo R0
— sistemi di controllo, monitoraggio e sicurezza che servono funzioni con ridondanza di tipo R1 - a meno
che il sistema di controllo, monitoraggio e sicurezza sia immediatamente disponibile al ripristino
dell'alimentazione principale (cioè senza processo di avvio)
— sistemi di controllo, monitoraggio e sicurezza per servizi con altri tipi di ridondanza se il tempo di ripristino
del sistema di controllo, monitoraggio e sicurezza supera il corrispondente tempo di indisponibilità
consentito
— alcuni sistemi di controllo, monitoraggio e sicurezza per i quali sono previsti requisiti specifici per
l'alimentazione in stand-by.
3
La capacità dell'energia immagazzinata che fornisce la continuità deve essere di almeno 30 minuti, se non
diversamente specificato.
Vedi Cap. 8 Sez. 2 Tabella 1.
2.2.8 Se l'interfaccia utente deve essere duplicata, il requisito di alimentazione indipendente si applica anche
all'interfaccia utente. Se è richiesto un gruppo di continuità per il sistema di controllo, questo vale anche per
almeno un'interfaccia utente delle postazioni di lavoro dedicate.
DNV AS
distribuzione.
SEZIONE 4 REQUISITI AGGIUNTIVI PER I SISTEMI BASATI SU

COMPUTER
1 Requisiti generali
1.1 Integrazione del sistema

1.1.1 Vi sarà un organismo nominato responsabile dell'integrazione dei sistemi di controllo. Tale organismo
deve disporre delle competenze e delle risorse necessarie per consentire un processo di integrazione
controllato.
L'organismo responsabile può essere il cantiere, un grande produttore o un altro organismo competente.
1.1.2 L'integratore di sistema deve fornire ai fornitori del sistema di controllo le specifiche necessarie in
tempo utile per consentire lo sviluppo del software e il completamento del sistema prima della certificazione,
4
cfr. [2].
1.1.3 L'integratore di sistema deve garantire che i requisiti per la gestione delle modifiche di cui al punto 1
[1.5] siano rispettati nel periodo che va dalla consegna del sistema al cantiere fino alla consegna della nave al
proprietario.
1.2 Mezzi operativi di riserva

1.2.1 Quando un sistema computerizzato fa parte di una funzione essenziale, devono essere previsti mezzi
operativi di riserva o di emergenza che, per quanto possibile, siano indipendenti dal normale sistema di
controllo, con la relativa interfaccia utente.
1.3 Principi di progettazione informatica

1.3.1 I controllori a livello di processo in un sistema computerizzato devono avere un tempo di risposta
deterministico ed essere dotati di sufficienti proprietà di autodiagnosi per garantire un comportamento a prova
di guasto.
Ciò esclude di norma l'uso di computer COTS ( Commercial Off The Shelf) con sistemi operativi generici come controllori di processo
o di sicurezza.
1.3.2 I sistemi di controllo devono essere protetti dal malware e la protezione non deve interrompere il
normale funzionamento del sistema. I mezzi di protezione necessari devono garantire che l'uso temporaneo
delle porte di interfaccia (da parte di dispositivi rimovibili come, ad esempio, chiavette di memoria USB o
connessioni di servizio a computer portatili) non diffonda malware nei sistemi di controllo.
Se non è possibile per i componenti del sistema ospitare un software antivirus, è possibile ricorrere a misure alternative, come ad
esempio:
— segmentazione della rete

— disabilitare o bloccare le porte di interfaccia per i dispositivi rimovibili
— prevenzione dell'esecuzione automatica di programmi su dispositivi rimovibili
— scansione manuale dei dispositivi rimovibili prima della connessione ai sistemi di controllo.
DNV AS
distribuzione.
1.4 Dispositivi di archiviazione
1.4.1 Il funzionamento in linea delle funzioni essenziali non deve dipendere dal funzionamento di dispositivi
di archiviazione di massa rotanti, come i dischi rigidi.
Ciò non esclude l'uso di tali dispositivi di archiviazione per scopi di manutenzione e back-up.
1.4.2 Il software e i dati necessari per garantire un'esecuzione soddisfacente delle funzioni essenziali e
importanti devono essere memorizzati in una memoria non volatile.
1.5 Utilizzo del computer

1.5.1 I computer che svolgono funzioni essenziali e importanti devono essere utilizzati solo per scopi rilevanti
per il funzionamento della nave.
4
1.6 Risposta e capacità del sistema
1.6.1 I sistemi utilizzati per le funzioni di controllo, monitoraggio e sicurezza devono fornire tempi di risposta
compatibili con le costanti di tempo delle relative apparecchiature sotto controllo (EUC).
I seguenti tempi di risposta sono applicabili a un tipico EUC su navi:
Campionamento dei dati per il controllo automatico (parametri che cambiano rapidamente) 0.1 s
Campionamento dei dati, indicazioni per i telecomandi analogici (parametri a variazione rapida) 0.1 s
Altre indicazioni 1s
Presentazioni di allarme 2s
Visualizzazione di schermate completamente aggiornate 2s
Visualizzazione di schermate completamente aggiornate, compreso l'avvio di una nuova applicazione. 5s
1.6.2 L'avvio e il ripristino del sistema dopo un'interruzione di corrente devono avvenire con una velocità
sufficiente a rispettare il tempo massimo di indisponibilità per i sistemi interessati, tornando successivamente a
uno stato predefinito che garantisca un livello di sicurezza adeguato.
1.6.3 Le capacità del sistema sono sufficienti a fornire tempi di risposta adeguati per tutte le funzioni,
tenendo conto del carico massimo e del numero massimo di compiti simultanei in condizioni normali e
anormali per l'EUC.
1.7 Controllo della temperatura

1.7.1 Ove possibile, i computer non devono essere dotati di ventilazione forzata. Per i sistemi in cui il
raffreddamento o la ventilazione forzata sono necessari per mantenere la temperatura a un livello accettabile,
deve essere previsto un allarme per l'alta temperatura o il cattivo funzionamento della funzione di controllo
della temperatura.
DNV AS
distribuzione.
1.8 Manutenzione del sistema
1.8.1 I sistemi di controllo integrati che supportano una o più funzioni essenziali o importanti devono essere
disposti in modo da consentire il collaudo, la riparazione e il riavvio di singole unità senza interferenze con il
mantenimento del funzionamento delle altre parti del sistema.
1.8.2 I sistemi essenziali devono essere dotati di strutture diagnostiche che consentano di individuare e riparare i
guasti.
1.9 Accesso al sistema

1.9.1 L'accesso alle funzioni di impostazione o configurazione del sistema per l'EUC è protetto per evitare
modifiche non autorizzate delle prestazioni del sistema. Per i sistemi basati su schermo, devono essere disponibili
strumenti che consentano di modificare facilmente e senza ambiguità i parametri di configurazione, a condizione
che le modifiche siano consentite durante il normale funzionamento.
Come minimo, questo vale per:
4
— dati di calibrazione
— modifica del limite di allarme
— inibizione manuale degli allarmi.
L'operatore deve avere accesso solo alle applicazioni relative al funzionamento delle funzioni coperte dal sistema secondo [1.3.1],
mentre deve essere impedito l'accesso ad altre applicazioni o installazioni di queste. I tasti di scelta rapida che normalmente danno
accesso ad altre funzioni o all'uscita dal programma (Alt+Tab, Ctrl+Esc, Alt+Esc, doppio clic in background, ecc.) devono essere
disabilitati sulle UID destinate al normale funzionamento.
1.9.2 L'accesso non autorizzato al funzionamento dei sistemi essenziali e importanti, da una posizione
esterna alla nave, non deve essere possibile. Vedere la sezione 1 [1.5].
2 Software di sistema
2.1 Requisiti del software

2.1.1 Il software di base sui sistemi di processori che eseguono software applicativo appartenente a funzioni
diverse deve avere la possibilità di:
— esecuzione di più moduli con priorità assegnate
— rilevamento di errori di esecuzione di singoli moduli
— discriminazione dei moduli guasti per garantire il mantenimento del funzionamento almeno dei moduli
con priorità uguale o superiore.
2.1.2 I singoli moduli di software applicativo assegnati come compiti nell'ambito di un sistema operativo,
come specificato sopra, non devono eseguire operazioni relative a più di una funzione. A questi moduli
vengono assegnate priorità in base alla priorità relativa tra le funzioni che servono.
2.1.3 Quando l'hardware appartenente agli ingressi, alle uscite, ai collegamenti di comunicazione e
all'interfaccia utente è configurato in modo da ridurre al minimo le conseguenze dei guasti, il relativo software
deve essere separato in diverse attività informatiche per garantire lo stesso grado di separazione.
DNV AS
distribuzione.
2.1.4 Quando gli elementi di calcolo, simulazione o supporto alle decisioni sono utilizzati per funzioni essenziali

e la funzionalità di base può essere mantenuta senza questi elementi, il software applicativo deve essere
progettato in modo da consentire tale funzionamento semplificato.
2.1.5 L'impostazione del sistema, la configurazione dell'EUC e l'impostazione dei parametri per l'EUC a bordo
devono avvenire senza modificare il codice del programma o ricompilarlo. La Società deve essere informata se
tali azioni non possono essere evitate.
2.1.6 Il software di sistema e applicativo deve essere soggetto a controllo di versione e le modifiche devono
essere eseguite in conformità alla procedura di gestione delle modifiche, cfr. Sezione 1 [1.5.5]. Questo vale anche
per la configurazione dei parametri. Per qualsiasi sistema basato su schermo, l'identificazione deve essere
prontamente disponibile sulla VDU durante il normale funzionamento.
Il controllo della versione dei parametri è necessario solo quando la configurazione viene eseguita caricando/installando versioni
aggiornate del software o caricando un file con più parametri.
2.1.7 Al momento della consegna della nave, il software deve essere aggiornato con patch di sicurezza qualificate.
4
L'intento di questo requisito è quello di garantire che le proprietà di sicurezza informatica dei sistemi di controllo siano aggiornate al
momento della consegna e che il cantiere debba perseguire questo requisito nei confronti di coloro che eseguono la messa in servizio
e il completamento dei vari sistemi di controllo (personale proprio o rappresentanti di produttori o appaltatori).
2.2 Sviluppo di software

2.2.1 Tutte le azioni pertinenti nella fase di sviluppo di un software di sistema complesso devono essere
adottate per garantire che la probabilità di errori che potrebbero verificarsi nel codice del programma sia ridotta
a un livello accettabile.
Le azioni pertinenti comprendono almeno
— azioni per garantire che la programmazione delle applicazioni sia basata su specifiche complete e valide
— azioni per garantire che il software acquistato da altre parti abbia un track record accettabile e sia sottoposto
a test adeguati
— azioni per imporre un controllo completo delle versioni e dei rilasci del software durante la
produzione, l'installazione a bordo e durante la fase operativa
— azioni per garantire che i moduli del programma siano sottoposti a test di sintassi e di funzionalità come parte
del processo
— per ridurre al minimo la probabilità di fallimento dell'esecuzione.
I tipici errori di esecuzione sono:
— blocchi morti
— loop infiniti
— divisione per zero
— sovrascrittura involontaria di aree di memoria
— dati di ingresso errati.
2.2.2 Le azioni intraprese per conformarsi alla [2.2.1] devono essere documentate e attuate, e l'esecuzione di
tali azioni deve essere tracciabile. La documentazione deve includere una breve descrizione di tutti i test che si
applicano al sistema (hardware e software), con una descrizione dei test previsti dai sub-venditori, di quelli
effettuati presso il produttore e di quelli che rimangono fino all'installazione a bordo.
DNV AS
distribuzione.

I produttori certificati secondo DNV-CP-0507 sono considerati pre-qualificati per i requisiti di questa sezione.
3 Reti di sistemi di controllo e collegamenti di comunicazione dati
3.1 Generale
3.1.1 Qualsiasi rete che integri sistemi di controllo e/o monitoraggio deve essere tollerante al singolo punto
di guasto o, in alternativa, deve essere progettata in modo che l'effetto di un singolo guasto non superi i
principi indicati nella sezione 2 [1.3]. Ciò implica che la rete con i suoi componenti e cavi necessari deve
essere progettata con una ridondanza adeguata.
La tolleranza ai guasti deve essere documentata in modo specifico, vedi [3.2] e [3.4]. Il requisito si applica alla rete contenente i sistemi di
controllo integrati e non a eventuali collegamenti di comunicazione esterni a singoli controllori, I/O remoti o simili (ad esempio una linea
seriale a un controllore interfacciato) quando tali unità possono essere accettate senza ridondanza.
4
3.1.2 L'integrità e l'autonomia dei segmenti di rete devono essere protette con mezzi adeguati. L'intento
è quello di prevenire la propagazione di guasti e di codice maligno tra i segmenti di rete.
Si veda ad esempio DNV-RP-G108 (sicurezza informatica nell'industria petrolifera e del gas basata su IEC 62443) per una guida
sulla segmentazione della rete. La segmentazione può essere ottenuta, ad esempio, con reti fisicamente separate o con l'uso
di dispositivi di rete appropriati con le capacità necessarie, ad esempio router e firewall.
L'autonomia di un segmento presuppone normalmente la necessità di un'interfaccia
utente. I requisiti per la segmentazione della rete seguono le regole applicative
pertinenti, ad esempio:
— funzioni indipendenti (ad es. controllo e sicurezza)

— separazione dei sistemi (ad esempio, rilevamento degli incendi, controllo dello sterzo, sistemi di navigazione, reti amministrative,
connessione a terra/esterna).
3.1.3 I componenti di rete che controllano il traffico di rete e i nodi che comunicano sulla rete devono
essere progettati con proprietà intrinseche per prevenire e tollerare il sovraccarico/la tempesta della rete in
qualsiasi momento. Ciò implica che i componenti e i nodi della rete devono essere in grado di prevenire
l'esaurimento delle risorse, gestire e/o affrontare in modo sicuro il traffico di rete eccessivo e allarmare gli
stati anomali della rete.
Ciò può implicare che i nodi e i componenti della rete abbiano proprietà per monitorare la propria comunicazione attraverso la rete
e per essere in grado di rilevare, allarmare e rispondere in modo predefinito in caso di un evento di traffico eccessivo.
Per i sistemi in rete semplici e non ridondanti, che si limitano al controllo e al monitoraggio di una singola funzione dell'imbarcazione,
un singolo guasto può causare un degrado delle prestazioni o una perdita di comunicazione. Ciò sarà normalmente accettato a
condizione che vengano forniti avvisi pertinenti e che il comportamento a prova di guasto sia dimostrato attraverso i test.
3.1.4 Le prestazioni della rete devono essere costantemente monitorate e devono essere generati allarmi
in caso di malfunzionamenti o di capacità ridotta/degradata.
3.1.5 I cavi e i componenti di rete appartenenti a reti ridondanti devono essere disposti in modo da
supportare la tolleranza al singolo guasto richiesta da [3.1.1].
DNV AS
distribuzione.

Ciò implica che i cavi e i componenti di rete appartenenti a reti ridondanti devono essere fisicamente separati, per quanto possibile,
mediante il passaggio separato dei cavi e l'installazione dei componenti di rete appartenenti alla rete ridondante in armadi separati,
compresa l'alimentazione di tali unità.
3.1.6 Deve essere possibile mantenere il controllo locale delle macchine come richiesto dal cap. 1 sez. 4
[1.1.3] indipendentemente dallo stato della rete. Ciò può implicare che i nodi essenziali che ospitano tali
funzioni di controllo siano in grado di funzionare autonomamente e con la necessaria interfaccia
operatore, indipendentemente dalla rete.
Se applicabile, deve essere dimostrato durante la prova in mare.
3.1.7 I segnali internodali devono raggiungere il destinatario entro un tempo predefinito. Eventuali
malfunzionamenti devono essere segnalati da un allarme.
Il "tempo predefinito" dovrebbe corrispondere almeno alle costanti di tempo del CUE, il che implica che il rilevamento e l'allarme siano
4
avviati abbastanza rapidamente da consentire un intervento appropriato dell'operatore per garantire il funzionamento del CUE.
3.1.8 Se il sistema di automazione è collegato a reti amministrative, il principio di connessione deve garantire
che qualsiasi funzione o guasto nella rete amministrativa non possa influire negativamente sulla funzionalità
del sistema di controllo, monitoraggio e sicurezza. Le funzioni amministrative devono essere ospitate in server
separati e, se necessario, devono avere accesso in sola lettura alla rete di controllo.
La "rete amministrativa" in questo contesto può contenere funzioni quali, ad esempio, la generazione di rapporti, l'analisi dei processi,
il supporto alle decisioni, ecc.
3.1.9 Le funzioni non rilevanti per il funzionamento della nave (ad esempio, funzioni varie legate all'ufficio o
all'intrattenimento) non devono essere collegate in alcun modo a un sistema di controllo, monitoraggio e
sicurezza o utilizzare la sua rete.
Su speciale considerazione e accordo, possono essere accettate funzioni aggiuntive come parte della rete se sufficientemente
analizzate, documentate e testate.
3.1.10 Il personale non autorizzato non deve poter collegare le apparecchiature alla rete di controllo,
monitoraggio e sicurezza o accedere in altro modo a tale rete.
Questo vale sia per le comunicazioni a bordo dell'imbarcazione che per quelle a distanza tramite comunicazioni esterne. Ogni punto
di accesso deve essere chiaramente contrassegnato e deve essere sufficientemente protetto, ad esempio con un accesso limitato,
un dispositivo con serratura o una password di accesso.
3.1.11 Qualsiasi componente alimentato che controlla il traffico di rete o un collegamento di comunicazione
deve riprendere automaticamente il normale funzionamento al ripristino dell'alimentazione dopo
un'interruzione di corrente.
3.1.12 Tutti i nodi di una rete devono essere sincronizzati per consentire un'etichettatura temporale uniforme
degli allarmi (e degli eventi) per consentire una registrazione sequenziale adeguata.
DNV AS
distribuzione.
3.1.13 La rete deve essere progettata con un'immunità adeguata per resistere alla possibile

esposizione a interferenze elettromagnetiche nelle aree interessate.
Ciò implica l'utilizzo di supporti di rete adeguati nelle aree esposte alle apparecchiature ad alta tensione.
3.1.14 I sistemi che consentono la connessione remota (ad esempio via Internet), ad esempio per scopi di
diagnostica o manutenzione a distanza, devono essere protetti con mezzi sufficienti per impedire l'accesso non
autorizzato e funzioni per mantenere la sicurezza del sistema di controllo, monitoraggio e sicurezza. Le
proprietà di sicurezza devono essere documentate. Per i requisiti relativi alla gestione delle modifiche del
software, vedere anche la sezione 1 [1.5].
Qualsiasi accesso remoto al sistema di controllo deve essere autorizzato a bordo. Il sistema deve essere dotato di un'adeguata
protezione antivirus anche in relazione alla possibilità di infezione attraverso la connessione remota.
Se è possibile una connessione remota, ad esempio per gli scopi sopra descritti, la funzione è soggetta a considerazioni speciali e
all'approvazione caso per caso.
4
3.1.15 Il flusso di dati che serve un sistema TVCC (televisione a circuito chiuso) e altre applicazioni ad alta
intensità di banda non deve far parte della rete di un sistema di controllo che rientra nelle regole, a meno
che non si possa documentare una sufficiente integrità in un'analisi della rete.
3.2 Analisi della rete

3.2.1 La rete di controllo, monitoraggio e sicurezza con i suoi componenti, i nodi collegati, i collegamenti di
comunicazione (anche le interfacce esterne) deve essere sottoposta a un'analisi dei guasti in cui v e n g o n o
identificati e considerati tutti gli scenari di guasto pertinenti. L'analisi può assumere la forma, ad esempio, di una
FMEA e deve riguardare specificamente l'integrità dei diversi segmenti della rete, nonché la ridondanza e la
tolleranza ai guasti.
Lo scopo principale dell'analisi sarebbe quello di identificare i possibili guasti che possono verificarsi nella rete, identificare e valutare
le conseguenze e garantire che le conseguenze dei guasti siano accettabili.
L'analisi deve essere eseguita in relazione alla progettazione del sistema e non dopo la sua implementazione.
Il requisito è generalmente applicabile a tutti i sistemi di controllo, monitoraggio e sicurezza contenenti nodi collegati in una rete
comune. Tuttavia, per i sistemi più semplici, il requisito può essere soddisfatto coprendo gli scenari di guasto più rilevanti in un
programma di test.
3.3 Test e verifica della rete

3.3.1 La funzionalità della rete deve essere verificata in un test in cui devono essere verificati almeno i seguenti
elementi:
1) le principali osservazioni/elementi della descrizione del modo di guasto, cfr. [3.2] e Sec.2 [1.3.6].
2) autodiagnostica, allarme in caso di diversi guasti della rete, cfr. [3.1.4] e Sec.2 [2.1.2].
3) scenari peggiori, tempesta di rete, vedere [3.1.3].
4) segmentazione della rete, funzionamento autonomo dei segmenti, vedere [3.1.2].
5) integrità del singolo nodo controllore, nodi che lavorano senza comunicazione di rete, vedi [3.1.6] e
Sec.3 [1.4.4].
6) conseguenza del guasto di un singolo armadio/cubicolo, vedi [3.1.5].
DNV AS
distribuzione.

Punto 3: le tempeste di rete sono considerate modalità di guasto rilevanti per qualsiasi tipo di rete di comunicazione, a meno che
non siano chiaramente analizzate con conclusioni accettabili nell'analisi della rete. Per le reti Ethernet o IP, le tempeste di rete da
analizzare e testare devono riguardare i principi di indirizzamento dei messaggi (ad esempio unicast, multicast, broadcast) e tutti i
livelli della pila di protocolli di comunicazione. La procedura di test delle tempeste di rete deve descrivere quanto segue:
— Apparecchiature di test utilizzate per generare tempeste di rete e verificare il carico/il tasso di traffico della rete.
— larghezza di banda della rete
— protocolli e tipi di messaggi da testare, meccanismi di protezione da dimostrare
— come eseguire i test e i risultati attesi.
Punto 6: l'obiettivo è verificare che le funzioni essenziali del recipiente siano ancora disponibili dopo, ad esempio, un incendio in un singolo
armadio/cubicolo.
3.4 Requisiti della documentazione di rete

3.4.1 Per i sistemi di controllo integrati, l'analisi della rete ([3.2]), compresa una procedura per il test e la
verifica ([3.3]), deve essere presentata per l'approvazione come parte della descrizione del modo di guasto
4
(Z070), cfr. Paragrafo 1 Tabella 5.
3.5 Comunicazione wireless

3.5.1 I collegamenti di comunicazione wireless possono essere utilizzati nei sistemi definiti dalla norma IACS UR
E22.
3.5.2 L'apparecchiatura wireless non deve causare interferenze agli utenti autorizzati delle bande di
frequenza ISM nelle aree geografiche in cui opera la nave. Il livello di potenza irradiata deve essere regolabile.
L'apparecchiatura wireless deve essere certificata secondo i requisiti tecnici stabiliti dagli standard IEEE802 applicabili per il
funzionamento nella banda ISM (industriale, scientifica e medica). Il manuale d'uso deve identificare qualsiasi restrizione dello
spettro e della potenza per le bande ISM eventualmente applicata dalle autorità nei vari stati di pertinenza dell'area operativa
dell'imbarcazione.
3.5.3 La radiodiffusione senza fili deve operare nelle bande radio designate per ISM.
Le bande ISM si trovano a 900 MHz (902-928 MHz), 2,4 GHz (2400-2483,5 MHz) e 5,8 GHz (5725-5850 MHz).
3.5.4 La trasmissione wireless deve essere in grado di sostenere l'ambiente elettromagnetico previsto a bordo
e di tollerare le interferenze dei segnali a banda stretta.
Il tipo di modulazione utilizzato deve appartenere alla categoria "spread spectrum" ed essere conforme alla serie IEEE 802. Lo
spettro diffuso a sequenza diretta (DSSS) e lo spettro diffuso a salto di frequenza (FHSS) sono standard riconosciuti per la
modulazione. Se si utilizza la modulazione DSSS e più di un punto di accesso (AP) può essere attivo contemporaneamente,
questi AP devono essere fisicamente separati e utilizzare canali separati. Il guadagno minimo di elaborazione non deve essere
inferiore a 10 dB.
3.5.5 Il sistema wireless deve prevedere una topologia fissa e supportare la prevenzione dell'accesso non
autorizzato alla rete.
DNV AS
distribuzione.

L'accesso alla rete deve essere limitato a un insieme definito di nodi con indirizzi MAC (Media Access Control) dedicati.
3.5.6 Nel caso in cui più di un sistema wireless operi nella stessa area a bordo e vi sia un rischio di
interferenza, deve essere predisposto un piano di coordinamento delle frequenze e la resistenza
all'interferenza deve essere documentata e poi dimostrata a bordo.
3.5.7 L'apparecchiatura wireless deve utilizzare protocolli internazionali riconosciuti che supportano mezzi
adeguati per garantire l'integrità dei messaggi.
Il protocollo deve essere conforme allo standard IEEE 802 e i nodi devono eseguire almeno un controllo di ridondanza ciclica a 16 bit dei
pacchetti di dati.
3.5.8 In caso di trasferimento di segnali di controllo o di dati riservati attraverso la rete wireless, deve essere
utilizzata la crittografia dei dati secondo uno standard riconosciuto.
4
Per proteggere i dati wireless critici è necessario utilizzare schemi di crittografia sicuri, come l'accesso protetto WiFi (WPA).
3.5.9 Il trattamento dei dati e la presentazione finale delle informazioni devono essere conformi alle norme e
ai regolamenti applicabili alla categoria di informazioni.
A seconda dell'applicazione, sarà necessario un trasporto isocrono (in tempo reale) o asincrono (trasmissione-riconoscimento).
3.6 Documentazione della comunicazione wireless

3.6.1 Le seguenti informazioni relative alla comunicazione wireless devono essere incluse nella documentazione
presentata per l'approvazione, cfr. Sezione 1, Tabella 5:
— descrizione funzionale
— Certificato ISM (IEEE802) da parte di un'autorità preposta al rilascio della licenza (tipico stato di
bandiera) o, in alternativa, rapporti di prova applicabili.
— disegni a linea singola della topologia WLAN con le disposizioni di alimentazione
— specifica della/e banda/e di frequenza, della potenza di uscita e della gestione della potenza
— specificazione del tipo di modulazione e del protocollo dati
— descrizione delle misure di integrità e autenticità.
DNV AS
distribuzione.
SEZIONE 5 PROGETTAZIONE E INSTALLAZIONE DEI COMPONENTI

1 Generale
1.1 Ceppi ambientali

1.1.1 Le apparecchiature di strumentazione devono essere adatte all'uso marino e devono essere
progettate per funzionare nelle condizioni ambientali descritte in [2], a meno che non siano previsti
mezzi per accertare che i parametri dell'apparecchiatura non vengano superati. Tali mezzi sono soggetti
ad approvazione caso per caso.
1.1.2 Devono essere disponibili schede tecniche sufficientemente dettagliate per garantire la corretta
applicazione della strumentazione.
1.1.3 Su richiesta, saranno fornite prove di prestazione e ambientali per accertare l'idoneità
dell'apparecchiatura.
5
1.2 I materiali
1.2.1 Non devono essere utilizzati materiali esplosivi e materiali che possono sviluppare gas tossici. Le
coperture, le schede di terminazione, le schede a circuito stampato, gli elementi costruttivi e altre parti
che possono contribuire alla propagazione del fuoco devono essere in materiale ignifugo.
Devono essere utilizzati materiali con un'elevata resistenza alla corrosione e all'invecchiamento. Il contatto metallico tra materiali
diversi non deve causare corrosione elettrolitica in atmosfera marina. Come materiale di base per le schede dei circuiti stampati, si
deve utilizzare resina epossidica rinforzata con vetro o equivalente.
1.3 Progettazione e installazione dei componenti

1.3.1 La progettazione e l'installazione dei componenti devono facilitare il funzionamento, la regolazione, la
riparazione e la sostituzione. Per quanto possibile, le connessioni a vite devono essere fissate.
1.3.2 Non dovrebbero verificarsi risonanze di vibrazioni con amplificazione superiore a 10. Un'amplificazione
superiore a 10 può essere accettata in base a una valutazione caso per caso per le apparecchiature progettate
per vibrazioni elevate.
1.3.3 I cavi e i componenti elettrici devono essere efficacemente separati da tutte le apparecchiature che, in
caso di perdite, potrebbero causare danni alle apparecchiature elettriche. Nelle scrivanie, nelle console e nei
quadri elettrici, che contengono apparecchiature elettriche, le tubazioni e le apparecchiature che trasportano
olio, acqua o altri fluidi o vapore sotto pressione devono essere costruite in una sezione separata con drenaggio.
1.3.4 Devono essere previsti mezzi per evitare che l'umidità (condensa) si accumuli all'interno
dell'apparecchiatura durante il funzionamento e quando l'impianto è spento.
1.3.5 Gli elementi di pressione differenziale (celle dp) devono essere in grado di sostenere un differenziale di
pressione almeno pari alla pressione più alta per l'apparecchiatura sotto controllo (EUC).
1.3.6 I pozzetti termometrici devono essere utilizzati per misurare la temperatura di fluidi, vapore o gas
sotto pressione.
1.3.7 L'installazione dei sensori di temperatura deve consentire un facile smontaggio per le prove di
funzionamento.
DNV AS
distribuzione.
1.3.8 I morsetti utilizzati per fissare i tubi capillari devono essere realizzati in un materiale più morbido del tubo.

1.4 Manutenzione, controllo
1.4.1 La manutenzione, la riparazione e le prove di funzionamento di sistemi e componenti devono essere
possibili, per quanto possibile, senza influenzare il funzionamento di altri sistemi o componenti.
Nelle tubazioni che collegano i pressostati/trasduttori all'EUC normalmente in funzione in mare
devono essere previste disposizioni per le prove, ad esempio rubinetti a tre vie.
L'impianto deve essere costruito, per quanto possibile, con unità facilmente sostituibili e progettato in modo da facilitare la ricerca dei
guasti, i controlli e la manutenzione. Quando viene montata un'unità di ricambio, devono essere necessarie solo piccole regolazioni o
calibrazioni dell'unità. Non dovrebbero essere possibili sostituzioni difettose.
1.5 Marcatura
1.5.1 Tutte le unità e i punti di prova devono essere contrassegnati in modo chiaro e permanente. I
5
trasduttori, i regolatori e gli attuatori devono essere contrassegnati con la loro funzione di sistema, in modo
da poter essere facilmente e chiaramente identificati sui piani e negli elenchi degli strumenti. Si veda anche
il Cap. 8 Sez. 3 [5].
La marcatura dei punti di prova con numeri di allarme o di etichetta è accettabile, a condizione che possano essere facilmente identificati
nell'elenco degli allarmi o in altra documentazione.
L'indicazione del funzionamento del sistema non deve essere apposta sull'unità stessa, ma in prossimità di essa.
1.6 Standardizzazione
I sistemi, i componenti e i segnali devono essere standardizzati per quanto possibile.
2 Condizioni ambientali, strumentazione
2.1 Generale
2.1.1 I parametri ambientali indicati da [2.2] a [2.11], comprese le loro combinazioni, rappresentano condizioni
"mediamente avverse", che coprono la maggior parte delle applicazioni a bordo delle navi. Se le condizioni
ambientali superano quelle specificate, si devono prendere in considerazione disposizioni speciali e componenti
speciali.
Tabella 1 Classe di parametri per le diverse posizioni a bordo
Parametro Classe Posizione
A Spazi macchina, sale di controllo, alloggi, ponte
All'interno di armadi, scrivanie, ecc. con un aumento di temperatura di 5°C o più,

Temperatura B
installati nella posizione A
C Sale pompe, stive, locali senza riscaldamento
DNV AS
distribuzione.
Parametro Classe Posizione

Ponte aperto, alberi e armadi interni, scrivanie, ecc. con un aumento di
D
temperatura di 5°C o più, installati in posizione C
A Luoghi in cui si adottano particolari precauzioni per evitare la formazione di

Umidità condensa
B Tutte le località, tranne quelle specificate per la località
A Su paratie, travi, ponte, ponti
Su macchine quali motori a combustione interna, compressori, pompe, comprese

Vibrazioni B
le tubazioni di tali macchine.
C Alberi
Elettro- A Tutti i luoghi, tranne quelli specificati per i ponti e i ponti scoperti.
compatibilità magnetica (EMC) B Tutti i luoghi, compreso il ponte e il ponte aperto
I componenti e i sistemi progettati in conformità alle specifiche ambientali IEC per le navi 60092-504 (2016) e per
5
l'EMC 60533 possono essere accettati previo esame.
Vedi IACS UR E10.
Per i dettagli sulle condizioni ambientali per la strumentazione, vedere la linea guida di classe DNV-CG-0339.
Per le apparecchiature di navigazione e radio si applica la norma IEC 60945, Marine navigational equipment - General requirements.
Solo per l'EMC, per tutte le altre apparecchiature montate sul ponte, per le apparecchiature in prossimità di antenne riceventi e per le
apparecchiature in grado di interferire con la sicurezza della navigazione della nave e con le radiocomunicazioni si applica la clausola 9
della norma IEC 60945 (2002) (coperta dalla classe EMC B).
2.2 Alimentazione elettrica

2.2.1 Interruzione dell'alimentazione con interruzioni successive dell'alimentazione con piena potenza tra le
interruzioni.
— 3 interruzioni in 5 minuti
— tempo di spegnimento 30 s per ogni caso.
2.2.2 Variazioni di alimentazione per le apparecchiature collegate ai sistemi in corrente alternata:

— combinazione di variazioni permanenti di frequenza del ±5% e di variazioni permanenti di tensione del +6%
e del +6%.
-10% del nominale
— combinazione di transitori di frequenza (durata 5 s) ±10% del nominale e transitori di tensione
(durata 1,5 s) ±20% del nominale.
2.2.3 Variazioni dell'alimentazione per le apparecchiature collegate ai sistemi in corrente continua:

— tolleranza di tensione continua ±10% del nominale
— transitori di tensione variazione ciclica 5% del nominale
— ondulazione di tensione 10%.
2.2.4 Variazioni di alimentazione per le apparecchiature collegate a fonti di alimentazione a batteria:

— Da +30% a -25% per le apparecchiature collegate alla batteria durante la carica.
— Da +20% a -25% per le apparecchiature collegate alla batteria non in carica.
— transitori di tensione (durata fino a 2 s) ±25% del nominale.
DNV AS
distribuzione.
2.3 Alimentazione pneumatica e idraulica
2.3.1 Pressione nominale ±20% (deviazioni di lungo e breve periodo).
2.4 Temperatura
Tabella 2 Intervallo di temperatura ambiente e temperature di prova associate
Classe Temperature ambientali Temperature di prova
A Da 0°C a +45°C +5°C e +55°C
B Da 0°C a +55°C +5°C e +70°C
C Da -25°C a +45°C -25°C e +55°C
D Da -25°C a +55°C -25°C e +70°C
5
2.5 Umidità
2.5.1 Classe A:
Umidità relativa fino al 96% a tutte le temperature pertinenti, senza condensa.
2.5.2 Classe B:
Umidità relativa fino al 100% a tutte le temperature pertinenti.
2.6 Contaminazione da sale

2.6.1 Atmosfera contaminata da sali fino a 1 mg di sale per m3 di aria, a tutte le condizioni di temperatura e
umidità pertinenti. Applicabile alle apparecchiature situate all'aria aperta e realizzate con materiali soggetti a
corrosione.
2.7 Contaminazione da olio

2.7.1 Nebbia e gocce di carburante e olio lubrificante, compresa l'esposizione di dita oleose, ad esempio in
relazione alla calibrazione e ai test.
2.8 Vibrazioni
2.8.1 Classe A:
— Gamma di frequenza da 2 a 100 Hz.
— Ampiezza 1 mm (valore di picco) sotto 13,2 Hz.
— Ampiezza dell'accelerazione 0,7 g sopra i 13,2 Hz.
2.8.2 Classe B:
— Ampiezza 1,6 mm (valore di picco) sotto i 25 Hz.
— Ampiezza dell'accelerazione 4,0 g sopra i 25 Hz.
DNV AS
distribuzione.
2.8.3 Classe C:

— Ampiezza 2,5 mm (valore di picco) sotto i 15 Hz.
— Ampiezza dell'accelerazione 2,3 g sopra i 15 Hz.
2.8.4 Sollecitazioni da vibrazioni estreme:

Si prenderanno in considerazione ceppi di vibrazione più severi quando ciò è previsto nel luogo in questione.
Ciò si applica alle installazioni di strumenti, ad esempio sui collettori dei gas di scarico o sui sistemi di iniezione del carburante dei
motori diesel a media e alta velocità, per i quali si devono considerare i seguenti livelli di vibrazione:
— Gamma di frequenza da 40 a 2000 Hz

— Ampiezza dell'accelerazione 10,0 g
— Temperatura 600o C.
2.9 Inclinazione
5
2.9.1 Per le navi, vedere Cap. 1 Sez. 3 [2.2]. Per le unità veloci e leggere e le unità navali di superficie,
vedere DNV-RU-HSLC Pt.4 Ch.1.
2.10 Compatibilità elettromagnetica

2.10.1 I requisiti minimi di immunità per le apparecchiature sono riportati nella Tabella 3, mentre i requisiti
massimi di emissione sono riportati nella Tabella 4.
Le apparecchiature elettriche ed elettroniche devono essere progettate per funzionare senza degrado o malfunzionamento
nell'ambiente elettromagnetico in cui sono destinate. L'apparecchiatura non deve influire negativamente sul funzionamento di altre
apparecchiature o sistemi utilizzati a bordo o nelle vicinanze dell'imbarcazione. Al momento dell'installazione, può essere richiesto di
adottare misure adeguate per ridurre al minimo i segnali di disturbo elettromagnetico. Tali misure possono consistere in un elenco
di apparecchiature sensibili e generatrici di rumore elettromagnetico e in una stima della riduzione del rumore richiesta, ovvero in
un piano di gestione EMC. Possono essere richiesti anche dei test per dimostrare la compatibilità elettromagnetica.
Tabella 3 Requisiti minimi di immunità per le apparecchiature
Criteri di
Porto Fenomeno Standard di Valore del test
prestazione
base
50 - 900 Hz: 10% Tensione di
Interferenza a bassa frequenza alimentazione in corrente alternata
IEC 60945 A
condotta 900 - 6000 Hz: 10 - 1% Alimentazione in
A.C. corrente alternata
potenza tensione
6 - 10 kHz: 1% tensione di alimentazione in
corrente alternata
Transitorio elettrico veloce
IEC 61000-4-4 B 2 kV 3)
(Burst)
Sovratensione IEC 61000-4-5 B 0,5 kV1) /1 kV 2)
DNV AS
distribuzione.
Criteri di

Porto Fenomeno Standard di Valore del test
prestazione
base
3 Vrms3) ; 150 kHz - 80 MHz
Interferenza di radiofrequenza
IEC 61000-4-6 A velocità di sweep ≤ 1,5 × 10-3 decade/s 6)
condotta
modulazione 80% AM (1 kHz)
Bassa frequenza condotta

IEC 60945 A 50 Hz - 10 kHz: 10% D.C. Tensione di
interferenza alimentazione
IEC 61000-4-4 B 2 kV 3)
(Burst)
D.C.
potenza Sovratensione IEC 61000-4-5 B 0,5 kV1) /1 kV 2)
3 Vrms3) ; 150 kHz - 80 MHz

Interferenza di radiofrequenza
condotta

IEC 61000-4-4 B 1 kV 4)
5
(Burst)
Porte di
I/O, 3 Vrms3) ; 150 kHz - 80 MHz
segnale o Interferenza di radiofrequenza
controllo condotta
Scariche elettrostatiche (ESD) IEC 61000-4-2 B 6 kV contatto/8 kV aria
10 V/m5) 80 MHz-6 GHz

Involucro
Campo elettromagnetico IEC 61000-4-3 A velocità di sweep ≤ 1,5 × 10-3 decade/s
1) da linea a linea
2) linea a terra
3) accoppiamento capacitivo
4) morsetto di accoppiamento
5) situazioni particolari da analizzare
6) per le apparecchiature installate nella zona ponte e ponte (classe EMC B) i livelli di prova devono essere aumentati
a 10 Vrms per le frequenze spot in conformità alla norma IEC 60945 a 2/3/4/6,2/8,2/12,6/16,5/18,8/22/25 MHz.
Per i cavi schermati, deve essere utilizzato uno speciale set-up di prova che consenta l'accoppiamento nello
schermo del cavo.
Criterio di prestazione A: l'apparecchiatura in prova (EUT) deve continuare a funzionare come previsto durante e dopo la
prova. Non è consentito alcun degrado delle prestazioni o perdita di funzione, come definito nello standard
dell'apparecchiatura pertinente e nelle specifiche tecniche pubblicate dal produttore.
Criterio di prestazione B: l'EUT deve continuare a funzionare come previsto dopo la prova. Non è consentito alcun degrado
delle prestazioni o perdita di funzione come definito nello standard dell'apparecchiatura pertinente e nelle specifiche
tecniche pubblicate dal produttore. Durante il test, è tuttavia consentito il degrado o la perdita di funzioni o prestazioni che
possono essere recuperate autonomamente, ma non è consentita alcuna modifica dello stato operativo effettivo o dei dati
memorizzati.
DNV AS
distribuzione.
Tabella 4 Requisiti massimi di emissione per le apparecchiature

Classe Posizione Porto Gamma di frequenza [Hz] Limiti di quasi-picco
150 k - 30 M
30 - 100 M 80 - 50 dBμV/m
Involucro 100 M - 1 G 60 - 54 dBμV/m
(Emissione irradiata) 1G-6G 54 dBμV/m 1)
Tutti i luoghi tranne il eccetto: 24 dBμV/m 2)
A
ponte e il ponte aperto
156 - 165 M
10 - 150 k 120 - 69 dBμV

Potenza
150 - 500 k 79 dBμV
(Emissione condotta)
500 k - 30 M 73 dBμV
150 - 300 k
300 k - 30 M 80 - 52 dBμV/m
Involucro 30 M - 1 G 52 - 34 dBμV/m
5
(Emissione irradiata) 1G-6G 54 dBμV/m 1)
Tutti i luoghi, compreso eccetto: 24 dBμV/m 2)
B
il ponte e il ponte aperto
156 - 165 M
10 - 150 k 96 - 50 dBμV
Potenza
150 - 350 k 60 - 50 dBμV
(Emissione condotta)
350 k - 30 M 50 dBμV
1) Limite medio, non quasi picco.

2) In alternativa, il limite di radiazione a una distanza di 3 m dalla porta del contenitore per la gamma di frequenze da
156 MHz a 165 MHz deve essere di 30 dBµV/m di picco.
2.11 Varie
2.11.1 In particolari applicazioni, altri parametri ambientali possono influenzare l'apparecchiatura, ad esempio:
— accelerazione
— incendio
— atmosfera esplosiva
— shock termico
— vento, pioggia, neve, ghiaccio, polvere
— rumore udibile
— urti meccanici o forze d'urto equivalenti a 20 g della durata di 10 ms
— schizzi e gocce di liquido
— atmosfere corrosive di varie composizioni (ad esempio, ammoniaca su un supporto di ammoniaca).
2.11.2 Accelerazione causata dal movimento della nave sulle onde. Accelerazione di picco ±1,0 g per navi di
lunghezza inferiore a 90 m e ±0,6 g per navi di lunghezza superiore. Periodo da 5 a 10 s.
DNV AS
distribuzione.
3 Apparecchiature elettriche ed elettroniche
3.1 Generale
3.1.1 L'accensione e lo spegnimento dell'alimentatore non devono causare tensioni eccessive o altre
sollecitazioni che possano danneggiare i componenti interni o esterni.
3.2 Progettazione meccanica, installazione

I circuiti devono essere progettati in modo da evitare danni all'unità o agli elementi adiacenti dovuti a guasti interni o esterni. Non devono
verificarsi danni quando le linee di trasmissione del segnale tra gli elementi di misura e altre unità sono in cortocircuito, messe a terra o
interrotte.
Tali guasti dovrebbero portare a una condizione di relativa sicurezza (fail to safe).
5
L'apparecchiatura dovrebbe preferibilmente funzionare senza raffreddamento forzato. Nel caso in cui sia necessario un
raffreddamento forzato, è necessario prendere precauzioni per evitare che l'apparecchiatura venga danneggiata in caso di guasto
dell'unità di raffreddamento.
3.3 Protezione fornita dall'involucro

3.3.1 Le custodie per le apparecchiature devono essere in acciaio o in altro materiale ignifugo in grado di
garantire la protezione EMC e di soddisfare i requisiti minimi della Tabella 5. Il grado di protezione
richiesto è specificato nella norma IEC 60529. Il grado di protezione richiesto è specificato nella norma IEC
60529.
Tabella 5 Requisiti minimi degli involucri
Grado di
Classe Posizione
protezione
A Sale di controllo, alloggi, ponte, sala apparecchiature locali, sala apparecchiature centrali IP 20 1)
B Spazio macchine IP 44
C Ponte aperto, alberi, sotto le piastre del pavimento nel locale macchine IP 56
D Applicazione sommersa IP 68
1) Se esiste la possibilità di gocciolamento dell'acqua dalle tubazioni, di condensa, ecc. può essere necessario un grado
di protezione IP più elevato.
I requisiti più dettagliati per la protezione dall'ingresso dei tipi di involucro in relazione all'ubicazione sono
riportati nel Cap. 8 Sez. 10 Tabella 1.
Le apparecchiature di automazione di classe A e B che devono essere in funzione durante le situazioni di emergenza, situate in aree
esposte al d i l a v a m e n t o , devono avere un grado di protezione IP 55.
3.4 Cavi e fili

3.4.1 I cavi e i fili devono essere conformi ai requisiti di cui al capitolo 8, paragrafo 9.
DNV AS
distribuzione.
3.5 Installazione dei cavi
3.5.1 Le installazioni di cavi devono essere conformi ai requisiti di cui al Cap. 8 Sez. 10 e al Cap. 8 Sez. 3 [4.3].
3.6 Alimentazione
3.6.1 Quando si utilizza l'alimentazione a bassa tensione delle batterie, l'apparecchiatura di carica, le
batterie e i cavi devono mantenere la tensione ai terminali dell'apparecchiatura entro le variazioni di tensione
specificate nel capitolo 8, sezione 4.
Devono essere previste disposizioni per prevenire la corrente inversa dalla batteria attraverso il dispositivo di
carica.
3.6.2 I sistemi che includono una batteria di riserva collegata per la ricarica continua non devono essere
disturbati in alcun modo dallo scollegamento della batteria.
3.6.3 Le installazioni di batterie devono essere conformi al cap. 8 sez. 10 [2.3].
5
3.6.4 I raddrizzatori regolati devono essere progettati per le variazioni di tensione e frequenza indicate in [2].
3.6.5 Le diverse tensioni del sistema devono essere fornite attraverso cavi diversi.
3.6.6 Gli elenchi dei terminali devono essere chiaramente contrassegnati. Le varie tensioni del sistema
devono essere distinte.
3.6.7 I gruppi di continuità devono essere conformi ai requisiti indicati nel capitolo 8, sezione 2 [4].
3.7 Apparecchiature in fibra ottica

3.7.1 La fabbricazione e l'installazione dei cavi in fibra ottica devono essere conformi ai requisiti del Cap. 8 Sez. 9.
La costruzione dei dispositivi in fibra ottica deve essere generalmente conforme alle specifiche pertinenti delle pubblicazioni IEC.
3.7.2 Il calcolo del budget di potenza deve essere utilizzato per:

— determinare la lunghezza tra le unità I/O,
— selezionare i componenti per ottenere un sistema di trasmissione sicuro e affidabile, e
— per dimostrare che è stata assicurata una riserva di carica adeguata.
Dopo l'installazione, le misure di riflettometria ottica nel dominio del tempo (OTDR) per ogni fibra devono
essere utilizzate per correggere e rivalutare i calcoli del budget di potenza.
3.7.3 Nelle procedure di installazione si deve tenere conto della sicurezza del personale e delle operazioni. I
cartelli di avvertimento e le etichette che informano gli operatori devono essere collocati nei punti in cui esiste
il pericolo. Si deve fare attenzione a evitare che le fibre penetrino negli occhi o nella pelle.
DNV AS
distribuzione.

Si consiglia di utilizzare apparecchiature con sicurezza "incorporata", ad esempio per interbloccare l'alimentazione delle sorgenti luminose con
le coperture, per predisporre la disconnessione/blocco delle parti del sistema in manutenzione, per schermare i raggi laser.
La distanza di sicurezza tra la sorgente luminosa o l'estremità della fibra e l'occhio dell'operatore può essere determinata applicando le
formule:
Distanza di sicurezza: L [cm] ; Pn : Potenza nominale [mW].
3.7.4 I sistemi a fibre ottiche che utilizzano fibre standard monomodali e multimodali da utilizzare per circuiti a
sicurezza intrinseca in aree pericolose devono avere un livello di potenza inferiore a 10 mW.
DNV AS
distribuzione.
SEZIONE 6 INTERFACCIA UTENTE

1 Generale
1.1 Introduzione
1.1.1 La posizione e la progettazione dell'interfaccia utente devono tenere conto delle capacità fisiche
dell'utente e rispettare i principi ergonomici riconosciuti.
1.1.2 Questa sezione fornisce i requisiti dell'interfaccia utente per garantire un funzionamento sicuro ed
efficiente dei sistemi installati.
2 Progettazione e disposizione della postazione di lavoro
2.1 Posizione delle unità di visualizzazione (VDU) e dei dispositivi di input

dell'utente (UID)
6
2.1.1 Le postazioni di lavoro devono essere disposte in modo da consentire all'utente un facile accesso alle
UID, alle VDU e alle altre strutture necessarie per l'operazione.
2.1.2 Le VDU e le UID devono essere disposte tenendo conto dei parametri generali di disponibilità, come
illustrato nella Figura 1 e nella Figura 2.
Figura 1 Parametri della disposizione dei VDU
DNV AS
distribuzione.
6
Figura 2 Parametri di disposizione dell'UID
2.1.3 Le UID e le VDU che svolgono la stessa funzione devono essere disposte e raggruppate per quanto
possibile.
3 Progettazione del dispositivo di input dell'utente e dell'unità di

visualizzazione
3.1 Dispositivi di input dell'utente

3.1.1 Il metodo di attivazione di un UID deve essere chiaro e non ambiguo.
3.1.2 La direzione dei movimenti dell'UID deve essere coerente con la direzione della risposta del processo
associato e del movimento del display. Lo scopo è quello di garantire un funzionamento facile e comprensibile,
come a d esempio:
— una leva per l'elica laterale da posizionare a prua delle navi
— la leva dell'elica di propulsione deve essere disposta in base alla risposta della nave
— la risposta del propulsore deve corrispondere al movimento della leva.
3.1.3 Il funzionamento di una UID non deve oscurare gli elementi indicatori quando l'osservazione di tali
elementi è necessaria per le regolazioni.
3.1.4 Le UID o gli elementi combinati UID/indicatori devono essere distinguibili dagli elementi utilizzati solo per
l'indicazione.
3.1.5 Le UID devono essere semplici da usare e devono poter essere utilizzate con una sola mano. Si
deve evitare la necessità di movimenti motori fini.
3.1.6 La denominazione, la numerazione e l'etichettatura dei diversi componenti principali devono essere
coerenti sulle VDU, sulle UID e sui cartelli applicabili.
DNV AS
distribuzione.
3.2 Unità di visualizzazione
3.2.1 Le informazioni presentate devono essere chiaramente visibili per l'utente e consentire la lettura a
una distanza praticabile nelle condizioni di luce in cui si trovano, se installate.
3.2.2 Per garantire la leggibilità, la frequenza di aggiornamento delle VDU deve essere coerente con l'uso
operativo della VDU e con gli eventuali requisiti di precisione dei dati visualizzati.
3.2.3 Il tipo di lettera del VDU deve essere semplice e chiaro.
3.2.4 I set point devono sempre essere indicati nella posizione dell'UID.
3.3 Colori
3.3.1 L'uso dei colori deve essere coerente. Il rosso deve essere riservato a l l a segnalazione di pericolo,
allarme ed emergenza.
6
La codifica dei colori delle funzioni e dei segnali deve essere in generale conforme alla Tabella 1.
Tabella 1 Codifica dei colori
Funzione Codice colore
Pericolo, allarme, emergenza Rosso
Attenzione, preallarme, cautela, indefinito Giallo
Stato di normalità e sicurezza Verde
3.4 Requisiti per la conservazione della visione notturna (UID e VDU da

installare in plancia)
3.4.1 Gli indicatori di avvertimento e di allarme non devono essere illuminati in condizioni normali.
3.4.2 Tutte le UID e le VDU devono essere dotate di una fonte di luce interna o esterna permanente per
garantire che tutte le informazioni necessarie siano sempre visibili.
3.4.3 Devono essere previsti mezzi per evitare variazioni di luce e di colore durante l'avviamento e il cambio
di modalità, che potrebbero compromettere la visione notturna.
3.4.4 Illuminazione
Devono essere previsti strumenti per regolare l'illuminazione di tutte le VDU e UID a un livello adatto a
tutte le condizioni di luce applicabili. Tuttavia, non deve essere possibile regolare l'illuminazione a un
livello tale da rendere illeggibili le informazioni appartenenti a funzioni essenziali e importanti.
Le regolazioni possono essere effettuate utilizzando diversi set di colori adatti alle condizioni di luce applicabili.
DNV AS
distribuzione.
4 Sistemi basati su schermi
4.1 Generale
4.1.1 Lo stato di tutti gli oggetti visualizzati deve essere chiaro e non ambiguo e la presentazione dei display
deve essere coerente.
Ciò implica che l'indicazione degli oggetti dinamici sulla VDU deve riflettere lo stato reale del parametro indicato nel sistema.
4.1.2 L'allarme richiesto dalle regole, quando viene attivato, deve avere la priorità su qualsiasi altra
informazione presentata sul VDU. L'intero elenco dei messaggi di allarme deve essere facilmente consultabile.
4.1.3 Gli allarmi devono essere marcati a tempo.
4.1.4 L'etichettatura temporale di tutti gli allarmi deve essere coerente in tutto il sistema. I diversi nodi
6
d e l sistema devono essere sincronizzati con una precisione sufficiente a garantire un'etichettatura
temporale coerente per tutti gli allarmi dell'intero sistema.
L'accuratezza della sincronizzazione deve corrispondere almeno alle costanti di tempo del processo, in modo da
poter tracciare la vera sequenza di eventi nell'elenco degli allarmi.
4.1.5 Le UID devono essere progettate e disposte in modo da evitare operazioni involontarie.
Lo scopo è impedire l'attivazione/disattivazione involontaria dei sistemi, ad esempio mediante un coperchio su un pulsante di arresto
o il funzionamento in due fasi di funzioni critiche basate su schermo.
4.1.6 Per i sistemi essenziali e importanti, devono essere utilizzati dispositivi di input dedicati.
Il dispositivo di input è normalmente una tastiera funzionale dedicata, ma possono essere accettate soluzioni alternative
come, ad esempio, touch-screen o finestre di dialogo o interruttori basati su software dedicati, sulla base di considerazioni
speciali.
4.1.7 I simboli e le informazioni ad essi associate in un diagramma mimico devono avere una relazione logica.
4.1.8 Devono essere previsti mezzi per garantire che, quando i dati vengono inseriti manualmente nel sistema,
vengano accettati solo l'uso corretto di numeri e lettere e solo valori entro limiti ragionevoli.
Se l'utente fornisce al sistema input insufficienti, il sistema richiede la continuazione del dialogo
mediante domande di chiarimento. In nessun caso il sistema deve terminare il dialogo in modo
incompleto senza una richiesta dell'utente.
4.2 Dialogo con il computer

4.2.1 Le operazioni più frequenti devono essere disponibili nel livello superiore del menu, su pulsanti
software o hardware dedicati.
4.2.2 Tutti i menu e le visualizzazioni devono essere autoesplicativi o dotati di adeguate funzioni di aiuto.
DNV AS
distribuzione.
4.2.3 In modalità dialogo, l'aggiornamento delle informazioni essenziali non deve essere bloccato.

4.2.4 I campi rilevanti per l'inserimento dei dati devono avere un valore corrente o un valore predefinito. Per
ogni campo deve essere definito un intervallo di dati valido.
4.2.5 I sistemi devono indicare all'utente l'accettazione di un'azione di controllo senza ritardi ingiustificati.
4.2.6 La conferma di un comando deve essere utilizzata quando l'azione richiesta ha una conseguenza critica.
4.2.7 L'utente deve poter riconoscere se il sistema è occupato nell'esecuzione di un'operazione o in attesa
di un'ulteriore azione dell'utente. Quando il sistema è occupato, non è c o n s e n t i t o il buffering di più
di un input dell'utente. Le operazioni che richiedono tempo, avviate manualmente, devono poter essere
annullate.
4.3 Visualizzazioni delle schermate dell'applicazione

4.3.1 Per i sistemi di controllo integrati, tutte le finestre da richiamare alla VDU devono avere una
rappresentazione simile di tutti i componenti (menu, pulsanti, simboli, colori, ecc.).
DNV AS
distribuzione.
MODIFICHE - STORICO

Sistemi di controllo integrati - Sez. 2 [1.3.2] Quando è richiesto un arresto di emergenza per un'utenza
funzioni di sicurezza elettrica e la funzione è implementata in un sistema di controllo
integrato, deve essere predisposta in base ai requisiti delle
norme elettriche. È inclusa una nuova nota di orientamento che
fornisce il riferimento.
Privilegi di comando e di Paragrafo 2 [1.4.4] Quando i privilegi di comando sono implementati in un sistema
riconoscimento degli allarmi nei di gestione, la funzione di trasferimento del comando deve
sistemi di gestione essere conforme a
ai principi generali delle norme. È stato inserito un nuovo
requisito.
Attivazione manuale della Sez. 3 [1.3.3] I principi generali del trasferimento del comando non si
funzione di sicurezza applicano all'attivazione manuale delle azioni di sicurezza. È
storico
inclusa una nuova nota di orientamento.
Trasferimento del comando Paragrafo 3 [1.3.6] Quando i privilegi di comando vengono trasferiti da una
dalla posizione locale a quella posizione remota all'altra o da una posizione locale a una
remota remota, devono essere previsti mezzi per evitare un
cambiamento significativo di comando. La formulazione del
paragrafo è stata modificata per chiarire che il requisito si
applica anche in caso di trasferimento da una posizione locale.
Compatibilità elettromagnetica Paragrafo 5 Tabella 4 Gamma di frequenza modificata e specificazione dei limiti.
Rinnovo del marchio a DNV Tutti Questo documento è stato rivisto a causa del rebranding di DNV
GL in DNV. Sono stati aggiornati: il nome della società, le
denominazioni dei materiali e dei certificati e i riferimenti ad
altri documenti del portafoglio DNV. Alcuni dei documenti a cui
si fa riferimento potrebbero non essere ancora stati ribattezzati.
In tal caso, si prega di consultare il documento DNV GL
pertinente.

Identificazione dei sistemi che Sez.1 [1.4.2] I requisiti di certificazione per i sistemi di controllo e
devono essere certificati monitoraggio sono indicati in generale nelle diverse norme di
applicazione. La nota orientativa che conteneva una sintesi di
tutti questi requisiti è stata eliminata per evitare una
duplicazione dei requisiti e un potenziale disallineamento.
DNV AS
distribuzione.
Sistemi di gestione della Paragrafo 1 Tabella 2, Il termine "sistemi di gestione" si riferisce a sistemi aggiuntivi
sicurezza e sistemi di Paragrafo 1 Tabella 3, installati al di là di quelli richiesti dalle norme e che possono
supporto alle decisioni Paragrafo 1 Tabella 5, fornire un supporto manuale o automatico all'operatore, ad

Paragrafo 1 [4.1.4], esempio per ottimizzare le operazioni, prendere decisioni
Paragrafo 1 operative o gestire le emergenze/il controllo dei danni. Poiché
[4.4.2], Sez. 2 [1.4] tali sistemi possono comportare aspetti operativi che esulano dal
normale ambito di applicazione della classe, o un ulteriore livello
di integrazione in cima ai vari sistemi di controllo, monitoraggio e
sicurezza, l'ambito di approvazione, i requisiti di certificazione e
le prove di integrazione a bordo devono essere concordati in
ciascun caso.
Sistemi di controllo integrati Paragrafo 1 Tabella 3 Quando più funzioni sono integrate, un singolo guasto non
dovrebbe causare una perdita di funzionalità superiore a quella
che si verificherebbe se le funzioni fossero implementate in
sistemi indipendenti. I sistemi integrati devono pertanto essere
dotati di una ridondanza adeguata.
Schema di approvazione del Paragrafo 1 [1.5], Lo schema di approvazione del produttore per l'ingegneria
produttore (AoM) per Paragrafo 1 dei sistemi e del software copre i processi di qualità del
l'ingegneria dei sistemi e del [4.2], Sez. 4 [2.2] software e i produttori in possesso di questo certificato
storico
software avranno un ambito di approvazione ridotto per ogni
consegna.
Gestione delle modifiche Sezione 1 Figura 1 Il processo di gestione del cambiamento è illustrato in una
software e hardware figura a supporto dei requisiti.
Certificazione e test Sez. 1 [4] I requisiti per la certificazione e le prove sono stati chiariti e
la formulazione è stata modificata per corrispondere alla
pratica prevista, compreso il completamento delle prove a
bordo.
Governatori elettronici Sez.2 [1.2.3] Il requisito per l'alimentazione dei regolatori elettronici è stato
modificato ed è stato spostato nelle regole per le macchine
rotanti, cap. 3, sez. 1.
Risposta ai fallimenti Sez. 2 [2.1.2] Il rilevamento dei guasti a terra è richiesto per i sistemi essenziali.
Il requisito si applica ai guasti a terra nei loop di segnale. Questo
aspetto è ora chiarito nelle norme.
Silenzio d'allarme Paragrafo 3 [1.5.6] Chiarimenti sulla funzionalità di tacitazione e riconoscimento degli
allarmi.
Sicurezza informatica Paragrafo 4 [1.3.2], Le norme chiariscono e rafforzano gli aspetti fondamentali della
Paragrafo 4 sicurezza informatica.
[2.1.7], Sez. 4 [3.1.2]

Sono state apportate solo correzioni editoriali.
DNV AS
distribuzione.
Edizione gennaio 2018
Modifiche gennaio 2018, entrata in vigore 1 luglio 2018

Aggiornamento generale e Sez.1 [1.5.5] I requisiti per la procedura di gestione delle modifiche al
chiarimenti sulle regole software sono stati leggermente modificati.
Paragrafo 3 [1.3.4] Chiarimento: il preallarme acustico per il trasferimento dei

comandi tra le postazioni di lavoro non è richiesto quando le
due postazioni sono sufficientemente vicine da consentire un
contatto visibile e udibile tra gli operatori.
Sez. 3 [2.2] I requisiti per l'alimentazione dei sistemi di controllo, monitoraggio

e sicurezza sono modificati/chiariti in linea con i principi generali di
ridondanza delle norme sulle macchine e con i requisiti generali
delle norme elettriche.
Paragrafo 4 [3.3.1] Test e verifica della rete - vengono fornite maggiori

indicazioni per l'analisi della rete e il test di tempesta della
rete, necessari per le reti dei sistemi di controllo.
storico
Edizione gennaio 2017
Principali modifiche gennaio 2017, entrata in vigore 1 luglio 2017
• Generale
— Il termine controllo e monitoraggio è generalmente sostituito da controllo, monitoraggio e sicurezza per
sottolineare che le regole si applicano anche ai sistemi di sicurezza.
• Sezione 1
— La descrizione dei principi di classificazione dei sistemi di controllo, monitoraggio e sicurezza viene elaborata
e modificata per chiarire i requisiti generali per l'omologazione e la certificazione.
— Sec.1 [1.4.1]: l'elenco dei sistemi da certificare viene aggiornato per riflettere anche le notazioni di classe
opzionali.
— Paragrafo 1 [3.1.3]: i requisiti di documentazione sono modificati per enfatizzare l'analisi dei guasti
funzionali.
— Paragrafo 1 Tabella 6: una politica di sicurezza del software deve far parte del piano di qualità del software
richiesto.
• Sezione 2
— Vengono eliminati alcuni requisiti relativi alla disposizione e alla segmentazione della strumentazione di campo.
• Sezione 3
— Paragrafo 3 [1.1.3]: viene modificato il requisito di indipendenza tra i sistemi di allarme, controllo e sicurezza.
DNV AS
distribuzione.
Edizione ottobre 2015
Si tratta di una nuova edizione dell'ottobre 2015, modificata da ultimo nel luglio 2016.

Modifiche luglio 2016
• Generale
— Sono state apportate solo correzioni editoriali.
Modifiche gennaio 2016
• Generale
— Sono state apportate solo correzioni editoriali.
storico
DNV AS
distribuzione.
Informazioni su DNV
DNV è l'esperto indipendente nella gestione e nell'assicurazione del rischio e opera in oltre 100 Paesi.
Grazie alla sua vasta esperienza e alle sue profonde competenze, DNV promuove la sicurezza e le
prestazioni sostenibili, stabilisce i parametri di riferimento del settore, ispira e inventa soluzioni.
Che si tratti di valutare il progetto di una nuova nave, di ottimizzare le prestazioni di un parco eolico, di
analizzare i dati dei sensori di un gasdotto o di certificare la catena di fornitura di un'azienda alimentare,
DNV consente ai suoi clienti e ai loro stakeholder di prendere decisioni critiche con fiducia.
Guidata dal suo scopo, salvaguardare la vita, la proprietà e l'ambiente, DNV aiuta ad affrontare le
sfide e le trasformazioni globali che i suoi clienti e il mondo di oggi devono affrontare ed è una voce
fidata per molte delle aziende di maggior successo e lungimiranti del mondo.
QUANDO LA FIDUCIA CONTA

DNV-RU-SHIP Pt.4 Ch.9 It

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

DNV-RU-SHIP Pt.4 Ch.9 It

Caricato da

Copyright:

Formati disponibili

distribuzione.

Parte 4 Sistemi e componenti

© DNV AS luglio 2022

Eventuali commenti possono essere inviati via e-mail all'indirizzo rules@dnv.com.

Parte 4 Capitolo 9 Modifiche -

Modifiche luglio 2022, entrata in vigore 1 gennaio 2023

Argomento Riferimento Descrizione

Sezione 1, Sostituzione del termine "sistema di gestione" con "sistema di

Paragrafo 1 [4.3.3] L'ispezione visiva e alcune prove di modalità di guasto sono

Paragrafo 1 [4.3.6] Se la certificazione non può essere completata prima della

Sez. 1 [4.4.1] I sistemi devono essere generalmente certificati prima

Paragrafo 1 [4.4.3] Il test a bordo comprende anche l'ispezione visiva e alcune

Paragrafo 1 [4.4.4] Dopo la certificazione, le modifiche al software e all'hardware

Parte 4 Capitolo 9 Modifiche -

Sez. 4 [1.1.3] L'integratore di sistema deve garantire il rispetto dei requisiti

Modifiche - corrente ...........................................................................................................................................3

Sezione 1 Requisiti generali ..........................................................................................................................8

Sezione 2 Principi di progettazione ...........................................................................................................22

Sezione 3 Progettazione del sistema ........................................................................................................25

Sezione 4 Requisiti aggiuntivi per i sistemi basati su computer .......................................32

Sezione 5 Progettazione e installazione dei componenti..........................................................41

Sezione 6 Interfaccia utente........................................................................................................................51

Parte 4 Capitolo 9 Sezione

1.1 Applicazioni della regola

Tabella 1 Categorie di sistema

Servizio Effetti del fallimento Funzionalità del sistema

Parte 4 Capitolo 9 Sezione

1.4 Certificazione del prodotto

La procedura di certificazione consiste in:

Parte 4 Capitolo 9 Sezione

Tabella 2 Documenti di conformità richiesti per i sistemi di controllo

Sistema di controllo integrato PC Società

1.5 Gestione delle modifiche software e hardware

Parte 4 Capitolo 9 Sezione

Figura 1 Principi generali di una procedura di gestione delle modifiche.

Parte 4 Capitolo 9 Sezione

2.1 Condizioni generali

Parte 4 Capitolo 9 Sezione

Parte 4 Capitolo 9 Sezione

— con stazioni operatore e server dedicati

— sistema di gestione della sicurezza (interfacciando i sistemi pertinenti per la sicurezza

segmento di processo raccolta di apparecchiature meccaniche con la relativa strumentazione di campo, ad

Parte 4 Capitolo 9 Sezione

2.2 Termini relativi al sistema basato su computer

software necessario affinché l'hardware supporti il software applicativo

includono collegamenti punto-punto, reti strumentali e reti locali, normalmente

assemblaggio di codice e dati con un insieme definito di input e output, destinato a

produttore di apparecchiature/sistemi in cui i sistemi elettronici programmabili sono

Parte 4 Capitolo 9 Sezione

Tabella 5 Requisiti della documentazione

Oggetto Tipo di documentazione Descrizione aggiuntiva Info

I200 - Documentazione del sistema di controllo

I200 - Documentazione del sistema di controllo

I020 - Descrizione funzionale del sistema di

Sistemi di supervisione Comprende, tra l'altro, il modo

Parte 4 Capitolo 9 Sezione

3.1.7 Per i componenti o i sistemi omologati, il certificato di omologazione contiene un elenco

Tabella 6 Documentazione richiesta per l'indagine sulla produzione

Tipo di documentazione Definizione

Parte 4 Capitolo 9 Sezione

Z162 - Manuale di Un documento che fornisce informazioni sulle procedure di installazione.

Tabella 7 Documentazione richiesta per l'ispezione a bordo

Oggetto Tipo di documentazione Descrizione aggiuntiva