T&T Systems - HINTSW

Lo scopo dei sistemi di sicurezza (quali ad esempio i SIS) è quello di ridurre ad un livello tollerabile i rischi che derivano dai processi che comportano pericoli. Sebbene la scelta del livello di integrità della sicurezza (SIL) sia vitale per questo scopo, alle aziende è anche chiesto di compiere grandi sforzi per supportare tutte le attività concernenti la sicurezza.

Il Ciclo di Vita di Sicurezza (SLC Safety Life-Cycle) è un processo di ingegneria ideato per ottimizzare la progettazione dei sistemi di sicurezza e per accrescere la sicurezza del sistema nel suo complesso.

Che cos'è il Ciclo di Vita di Sicurezza?

Il concetto di Ciclo di Vita di Sicurezza di un sistema è stato introdotto in molte norme nazionali ed internazionali quali ad esempio ANSI/ISA S84.00.0 2004, IEC 61508, IEC 61511 ed EN 50126, e, con il passare del tempo, la sua applicazione è sempre più richiesta in un numero sempre maggiore di settori e di applicazioni.

Il Ciclo di Vita di Sicurezza, così, come descritto nelle norme, è un processo ad anello chiuso, cioè è un processo che non ha mai termine le cui attività vengono continuamente eseguite fintantoché il sistema è in esercizio e, soprattutto, ogniqualvolta il sistema subisce modifiche o viene aggiornato.

Le attività da svolgere durante il Ciclo di Vita di Sicurezza sono formalmente definite e abitualmente vengono raggruppate in fasi; la definizione formale delle attività consiste nella definizione degli obiettivi e dell'informazione in ingresso ed in uscita da ogni singola attività. Le fasi e le attività pianificate per il Ciclo di Vita di Sicurezza dipendono dal settore di applicazione e dal tipo di sistema.

Figura 1: Il Ciclo di Vita di Sicurezza è un processo ad anello chiuso

Le Norme ed il Ciclo di Vita di Sicurezza

Il generico Ciclo di Vita di Sicurezza può essere suddiviso in tre ampie aree:

• analisi - la prima area è relativa all'analisi del sistema ed è focalizzata sull'identificazione dei pericoli e degli eventi pericolosi, sulla probabilità che questi eventi si producano (probabilità di occorrenza), sulle loro potenziali conseguenze e sulla disponibilità di possibili contromisure e provvedimenti di mitigazione;

• realizzazione - la seconda area concerne la realizzazione del sistema ed è focalizzata sulla progettazione e sulla costruzione del sistema;

• utilizzo - la terza area consiste nell'uso del sistema e comprende la messa in servizio, il normale esercizio, la manutenzione, le modifiche e l'eventuale dismissione e smantellamento del sistema.

Il ciclo di vita di sicurezza proposto dalla IEC 61508 è sinteticamente rappresentato nella seguente Figura 2, copre tutte le aree del SLC ed è caretterizzato dalle fasi riportate in figura. Per ogni singola fase la norma indica le attività ed i passi che devono essere compiuti, l'informazione necessaria per eseguire ogni passo e la documentazione che deve essere prodotta.

Figura 2: Ciclo di Vita di Sicurezza secondo la IEC 61508 (norma generale)

Il Ciclo di vita di Sicurezza proposto dalla IEC 61511 per l'industria di processo è illustrato sinteticamente nella seguente Figura 3; questa norma, di fatto, utilizza la IEC 61508 come norma "ombrello" e ne guida l'applicazione specializzandola per questo settore.

Figura 3: Ciclo di Vita di Sicurezza secondo la IEC 61511 (industria di processo)

Il settore ferroviario invece fa riferimento alla norma internazionale CEI EN 50126 che definisce un ciclo di vita - definito come Ciclo di Vita RAMS - più ampio rispetto all'abituale SLC, infatti, oltre agli aspetti di sicurezza, considera anche gli aspetti relativi all'affidabilità, alla disponibilità ed alla manutenibilità del sistema ferroviario. Il Ciclo di Vita RAMS proposto dalla CEI EN 50126 è riportato nella sottostante Figura 4.

Figura 4: Ciclo di Vita RAMS secondo la CEI EN 50126 (settore ferroviario)

Le tre macro-fasi del SLC:

1. Analisi:
   La macro-fase di analisi è una periodo particolarmente critico del SLC e comporta un certo numero di attività abbastanza complesse:
   1. Determinazione del rischio accettabile:
      all’inizio di un progetto il committente deve decidere qual è il livello di rischio accettabile per l’utilizzo quotidiano del proprio sistema; questo livello di rischio deve essere confrontato con il rischio intrinseco associato all’applicazione per valutare se quest’ultimo è accettabile così come’è, o se debbono essere intraprese ulteriori azioni.
   2. Analisi dei pericoli e analisi del rischio:
      consiste nel classificare tutti i pericoli (le sorgenti di danno) e nell’analizzare il rischio associato ad ognuno di essi. Questa attività comprende l’identificazione di tutte le funzioni necessarie per rilevare eventuali pericoli imminenti e, qualora necessario, per porre il sistema in uno stato di funzionamento sicuro.
      L’analisi del pericolo consiste in brainstorming strutturati in cui un team di esperti riesamina sistematicamente tutte le parti di un processo per identificare i pericoli che possono accadere durante il processo e per elencare tutti gli eventi che possono produrre un incidente.
      L’analisi del rischio deve invece valutare le conseguenze di ogni possibile incidente e la sua probabilità di occorrenza, le protezioni da implementare per prevenire gli incidenti e i provvedimenti che debbono essere attuati per ridurre i rischi del processo.
      A seconda del pericolo preso in esame, l’analisi delle conseguenze, che è necessario compiere per stimare la gravità di un potenziale danno, può essere un’attività piuttosto complessa; questa analisi può essere effettuata sia con metodi qualitativi o semi-qualitativi, sia con metodi quantitativi.
      Determinare la probabilità associata ad un rischio implica la comprensione delle diverse sequenze di eventi che possono portare all’avvenimento dannoso; per questo scopo si può utilizzare la cosiddetta analisi dei livelli di protezione – LOPA (Layer of Protection Analysis) – che corrisponde alla componente probabilistica dell’analisi del rischio e serve per determinare la frequenza con cui si produce un avvenimento dannoso.
      La differenza tra il rischio stimato ed il livello di rischio ritenuto accettabile per il sistema corrisponde alla riduzione del rischio che è necessario attuare, ovvero corrisponde alla quantità di riduzione del rischio che deve essere ottenuta mediante l’implementazione delle protezioni, e mediante l’attuazione dei provvedimenti di mitigazione del rischio. In altre parole, la riduzione necessaria del rischio fornisce la quantità di riduzione del rischio che ogni protezione e che ogni provvedimento di mitigazione deve essere in grado di assicurare individualmente al sistema.
   3. Documentazione (informazione da produrre in uscita dalla macro-fase di analisi):
      una volta identificato e caratterizzato ogni potenziale pericolo assieme al rischio ad esso associato, e dopo l’identificazione delle funzioni di sicurezza (SIF) e del relativo livello di integrità della sicurezza (SIL), la macro-fase di analisi deve essere completata documentando nella specifica dei requisiti di sicurezza (SRS) il lavoro svolto ed i risultati ottenuti. Lo scopo di tale specifica deve essere, secondo le parole della IEC 61508, “quello di sviluppare la specificazione dei requisiti globali di sicurezza, in termini di requisiti delle funzioni di sicurezza e di requisiti di integrità della sicurezza, per i sistemi relativi alla sicurezza E/E/PES, per i sistemi relativi alla sicurezza basati su altre tecnologie, e per i dispositivi esterni di riduzione del rischio, in modo tale da conseguire la sicurezza funzionale prescritta”.
2. Realizzazione:
   La macro-fase di realizzazione inizia con la progettazione sulla carta del sistema relativo alla sicurezza in modo da soddisfare la specifica dei requisiti di sicurezza, per poi proseguire con la fabbricazione, l’installazione e la validazione del sistema relativo alla sicurezza secondo quanto specificato nella precedente macro-fase di analisi. Più in dettagio:
   1. Il primo compito della macro-fase di realizzazione è quello di scegliere la tecnologia e l’architettura del sistema relativo alla sicurezza necessari per soddisfare i requisiti di specificazione istanziati; tale scelta deve essere basata sulle risultanze della HA contenute nella SRS.
      Un passo chiave di questa fase è la pianificazione della periodicità con cui devono essere eseguiti la manutenzione ed i test diagnostici in modo che i potenziali guasti dei sistemi di sicurezza possano essere individuati e riparati prima che venga richiesto l’intervento di questi sistemi.
   2. Quando il progetto su carta è stato completato, il team di progettazione deve analizzare il futuro sistema per verificare che soddisfi i SIL selezionati in accordo con quanto è stato documentato nella SRS. Il progetto di dettaglio del sistema relativo alla sicurezza deve essere eseguito in accordo con procedure stabilite, chiare e ben definite.
   3. La parte finale della macro-fase di realizzazione consiste nella pianificazione e nell’esecuzione dell’installazione, della messo in servizio e della validazione finale del sistema. Quando tutti questi passi sono stati compiuti, il sistema relativo alla sicurezza è pronto per poter funzionare pienamente al SIL prescritto, cioè ad un livello di rischio ritenuto tollerabile. A questo punto la macro-fase di realizzazione è terminata ed è possibile passare alla successiva fase del SLC.
3. Utilizzo:
   La macro-fase di utilizzo del sistema inizia con la validazione del progetto:
   1. La parte più significativa di questa fase consiste nella manutenzione e nei test diagnostici del sistema relativo alla sicurezza, infatti il SIL del sistema può essere influenzato dal numero di volte in cui il sistema viene provato e riparato per mantenere la condizione di piena funzionalità. Un regime di testing e manutenzione appropriato inizia con una corretta programmazione e si basa su una robusta documentazione che sia in grado di mostrare che la pianificazione effettuata è messa in pratica.
   2. Di grande importanza è anche l’effettiva gestione delle modifiche e della eventuale disattivazione del sistema. L’organizzazione responsabile dell’esercizio del sistema deve analizzare correttamente l’effetto delle modifiche e della disattivazione dei sistemi di sicurezza sul processo e sugli impianti sotto controllo.

Torna indietro