Aplicacion IEC 61508 - Fanelli p

1

"Applicazione Pratica del Ciclo di Vita della Sicurezza in accordo agli Standard

IEC 61508 ed IEC 61511: Documentazione di un Progetto Tipico della

Sicurezza per l’Industria di Processo Chimico (CPI)”

Autore e Relatore: Dr. Ing. P. Fanellimembro AIDIC / AIChE

CONVEGNO SIPIStresa, 16-17 Ott. ‘03

2

Sommario della PresentazionePremessaIntroduzione agli Standard IEC 61508 ed IEC 61511

Definizioni in uso negli Standard IEC 61508 ed IEC 61511Gestione della Sicurezza FunzionaleValutazione della Sicurezza FunzionaleCiclo di Vita della Sicurezza

3

PremessaNell’Industria di Processo Chimico, qualora gli impianti presentino rischi derivanti da processi e/o da prodotti pericolosi, si impongono misure di sicurezza preventive e mitigative.

Le potenziali conseguenze di un evento incidentale sul Personale, sulla Comunità, sull’Ambiente, sull’Azienda stessa, devono essere valutate appieno, in modo da intraprendere le necessarie misure di sicurezza per non superare, in qualunque condizione, la soglia di Rischio Tollerabile.

Gli Standard IEC 61508 ed IEC 61511 forniscono le linee guida per raggiungere tale obiettivo e mantenerlo nel tempo.

4

Introduzioneagli Standard

IEC 61508 ed IEC 61511

5

“Functional Safety of Electrical/Electronic/ProgrammableElectronic Safety-related Systems”

Part 1: General Requirements

Part 2: Requirements for Electrical/ Electronic/Programmable

Electronic Safety-related Systems (E/E/PES)

Part 3: Software Requirements

Part 4: Definitions and Abbreviations

Part 5: Examples of Methods for the Determination of SILs

Part 6: Guidelines on the Application of Parts 2 and 3

Part 7: Overview of Techniques and Measures

Standard IEC 61508

6

“Functional Safety: Safety Instrumented Systems for theProcess Industry Sector”

Part 1: Framework, Definitions, System, HW & SW

Requirements

Part 2: Guidelines in the application of IEC-61511-1

Part 3: Guidance for the determination of Safety Integrity Levels

Standard IEC 61511

7

LoLo Standard IEC 61508 è uno standard internazionale che Standard IEC 61508 è uno standard internazionale che fissa l’approccio generale per tutte le attività del Ciclo di fissa l’approccio generale per tutte le attività del Ciclo di Vita della Sicurezza per sistemi di tipo E/E/PE (Elettrici Vita della Sicurezza per sistemi di tipo E/E/PE (Elettrici /Elettronici/Elettronici Programmabili) utilizzati per eseguire /Elettronici/Elettronici Programmabili) utilizzati per eseguire funzioni di sicurezza.funzioni di sicurezza.

LoLo Standard IEC 61508 fornisce un metodo per lo sviluppo Standard IEC 61508 fornisce un metodo per lo sviluppo della specifica dei requisiti di sicurezza, come pure introduce della specifica dei requisiti di sicurezza, come pure introduce ed utilizza i livelli di integrità della sicurezza. ed utilizza i livelli di integrità della sicurezza.

Standard IEC 61508

8

LoLo Standard IEC 61511 è uno standard internazionale che Standard IEC 61511 è uno standard internazionale che forrnisce gli obiettivi ed i requisiti per specificare, forrnisce gli obiettivi ed i requisiti per specificare, progettare, installare, operare e manutere i Sistemi progettare, installare, operare e manutere i Sistemi Strumentali di Sicurezza (SIS).Strumentali di Sicurezza (SIS).

LoLo Standard IEC 61511 è stato specificatamente Standard IEC 61511 è stato specificatamente sviluppato come implementazione dello Standardsviluppato come implementazione dello StandardIEC 61508 per il Settore di Processo.IEC 61508 per il Settore di Processo.

Standard IEC 61511

9

Parte 1 - Clausola 4

Per risultare “conformi” allo Standard IEC 61508, si dovrà dimostrare che tutti i requisiti siano stati soddisfatti in accordo ai criteri specificati e che pertanto gli obiettivi prefissati siano stati raggiunti per ogni clausola e sotto-clausola.

Standard IEC 61508

10

Parte 1 - Clausola 4

Per risultare “conformi” allo Standard IEC 61511, si dovrà dimostrare che tutti i requisiti indicati nelle clausole da 5 a 19 (della Parte 1) siano stati soddisfatti in accordo ai criteri specificati e che pertanto gli obiettivi prefissati siano stati raggiunti.

Standard IEC 61511

11

Standard IEC 61508 e Standard IEC 61511

IEC 61508 – “Functional Safety of E/E/PE Safety-related Systems”

Interessa in particolare: Produttori e Fornitori di Componenti dei Sistemi di Sicurezza Strumentale

IEC 61511 – “Functional Safety:Safety Instrumented Systems for the Process Industry Sector”

Interessa in particolare: Titolari, Progettisti, Integratori ed Utenti dei Sistemi di Sicurezza Strumentale

12

Definizioni in usonegli Standard

IEC 61508 ed IEC 61511

13

DefinizioniSafety(Sicurezza)

Si definisce Sicurezza la libertà da un rischio inaccettabile, per il Personale, la Collettività, l’Ambiente.

14

DefinizioniFunctional Safety(Sicurezza Funzionale)

La Sicurezza Funzionale è la quota parte della Sicurezza complessiva, che dipende da un sistema, o da una apparecchiatura, operante correttamente in risposta ad uno o più ingressi logici.Nella fattispecie è la quota parte relativa al Processo ed al Sistema di Controllo di Processo di Base (BPCS), che dipende dal corretto funzionamento del Sistema Strumentale di Sicurezza (SIS) e degli altri Livelli di Protezione [Indipendenti].

15

DefinizioniSafety Function

(Funzione di Sicurezza)

Si definisce Funzione di Sicurezza, la funzione che deve essere attuata da un Sistema Strumentale di Sicurezza(SIS) e dagli altri Livelli di Protezione [Indipendenti], per mantenere o riportare il processo in sicurezza, in relazione ad uno specifico evento pericoloso (allorquando una o più condizioni predeterminate non siano più soddisfatte).

16

Definizioni

Safety Instrumented Function (SIF)

(Funzione di Sicurezza Strumentale)

Si definisce Funzione di Sicurezza Strumentale, la funzione di sicurezza (di protezione o di controllo), che con uno specificato Livello di Integrità della Sicurezza (SIL), deve essere attuata da un Sistema Strumentale di Sicurezza (SIS) [in un tempo specificato].

17

DefinizioniSafety Instrumented System (SIS)(Sistema Strumentale di Sicurezza)

Il Sistema Strumentale di Sicurezza (SIS) definisce un sistema strumentale di attuazione di una o più funzioni di sicurezza strumentale.

18

DefinizioniSafety Instrumented System (SIS)Il Sistema Strumentale di Sicurezza (SIS) è una combinazione di uno o più:- sensori (ad es. trasmettitori);- risolutori logici a tecnologia E/E/PE, dove:E = Elettrico (ad es. relé elettromeccanici)E = Elettronico (ad es. logiche allo stato solido)PE = Programmabile Elettronico (ad es. PLC TMR);

- elementi finali (ad es. solenoidi ed RBV);- dispositivi di input e di output (I/O);- interfacce utente;- alimentatori.

19

DefinizioniIndependent Protection Layer (IPL)(Livello di Protezione Indipendente)

Si definisce Livello di Protezione Indipendente, un qualsiasi meccanismo indipendente, che riduca il rischio tramite controllo, prevenzione o mitigazione.

Una progettazione a-prova-di-esplosione, una PSV, un SIS, un sistema di allarme, un sistema F&G, ma anche una procedura od un piano di emergenza, possono costituire un IPL.

20

DefinizioniSafety Integrity Level (SIL)(Livello di Integrità della Sicurezza)

Il Livello di Integrità della Sicurezza è un numero discreto indicante il valore della probabilità che un SIS esegua correttamente una funzione di sicurezza strumentale, entro un periodo di tempo prestabilito.

Il SIL si assegna ad ogni funzione di sicurezza strumentale indipendente, facente parte del SIS, e non al SIS nel suo complesso.

21

DefinizioniSafety Lifecycle(Ciclo di Vita della Sicurezza)

Si definisce come Ciclo di Vita della Sicurezza, il novero delle attività necessarie alla implementazione di una o più Funzioni Strumentali di Sicurezza (SIF), da svolgere nell’arco temporale, che parte dalla fase di Concezione Generale del Progetto della Sicurezza Funzionale, e termina con la Dismissione del SIS stesso.

22

DefinizioniSafety Requirements Specification (SRS)(Specifica dei Requisiti di Sicurezza)Si definisce come Specifica dei Requisiti di Sicurezza la specifica che contiene tutti i requisiti delle Funzioni di Sicurezza, che devono essere eseguite dal SIS e dagli altri IPL.

23

Gestionedella

Sicurezza Funzionale

24

Management of Functional Safety(Gestione della Sicurezza Funzionale)

Obiettivi Principali:

Identificare le attività gestionali atte al raggiungimento

degli obiettivi di Sicurezza Funzionale.

Gestione della Sicurezza Funzionale

25


Requisiti Principali:

Sistema di Gestione della Sicurezza;

Personale, dipartimenti, organizzazioni od altre unità responsabili della conduzione e revisione di ciascuna fase del Ciclo di Vita della Sicurezza dovranno essere identificati ed informati sulle responsabilità a loro assegnate.


26


Requisiti Principali:

Personale, dipartimenti, organizzazioni od altre unità coinvolte nelle attività del Ciclo di Vita della Sicurezza dovranno essere competenti per condurre le attività loro assegnate. Si richiedono, pertanto, conoscenze ingegneristiche, addestramento ed esperienza settoriale nel Processo, nell’Analisi di Rischio, Elettro-Strumentale & Automazione, Sicurezza Funzionale e nel settore Legale/Normativo.


27

Gestione della Sicurezza FunzionaleDocumentazione Principale:

Manuale di Gestione della Sicurezza:

• Politica di Prevenzione degli Incidenti Rilevanti;

• Organizzazione e Formazione del Personale

(incluso qualifiche, curricula, piani di formazione, etc.);

• Rapporti e Comunicazioni con l’esterno;

• Identificazione Sistematica dei Rischi;

• Valutazione dei Rischi;

• Gestione dei Permessi ed Autorizzazioni


28

Gestione della Sicurezza FunzionaleDocumentazione Principale:

Manuale di Gestione della Sicurezza: (cont.)

• Piano di Emergenza;

• Procedure di Misura, Controllo, Verifica, Ispezione, Registrazione, Correzione, Modifica, Gestione Non-conformità, Comunicazione, Notifica;

• Procedure di Manutenzione Preventiva, Ordinaria e Straordinaria;

• Raccolta delle Procedure e Pratiche Operative Aziendali.


29


Documentazione Principale:

Piano della Sicurezza, a definire le attività richieste dal Ciclo di Vita della Sicurezza, assieme al personale, dipartimenti, organizzazioni od altre unità responsabili;

Piano della Qualità ISO 9002-2000 (sezione del QP dedicata alla Sicurezza);

Definizione di una Procedura di Valutazione della Sicurezza Funzionale, Verifica e Revisione, e dei criteri di nomina del Team di Valutazione della Sicurezza Funzionale ;


30



Elenco Fornitori Qualificati di Prodotti e Servizi;

Raccolta Qualifiche e Referenze Fornitori di Prodotti e Servizi;

Raccolta documentazione Sistema di Gestione della Qualità (QMS) dei Fornitori di Prodotti e Servizi, aventi responsabilitàcompleta di una o più fasi del Ciclo di Vita della Sicurezza.


31

Valutazionedella

Sicurezza Funzionale

32

Functional Safety Assessment (FSA)(Valutazione della Sicurezza Funzionale)Obiettivi Principali:

L’obiettivo principale della Valutazione della Sicurezza Funzionale è il giudizio [indipendente e vincolante] sulla Sicurezza Funzionale raggiunta dal SIS (così come concepito, progettato, costruito, installato, testato, operato, manutenuto,modificato), espresso attraverso una investigazione effettuata da un apposito Team, in occasione di ben stabiliti eventi del Ciclo di Vita della Sicurezza.Si fissano i livelli minimi di indipendenza dei responsabili della Valutazione della Sicurezza Funzionale, sulla base di un criterio deterministico (severità delle conseguenze) e del SIL obiettivo.

Valutazione della Sicurezza Funzionale

33


Dovranno essere messe in atto le Procedure di Valutazione,Verifica e Revisione della Sicurezza Funzionale, dopo lanomina del Team di Valutazione della Sicurezza Funzionale,in accordo al Piano di FSA.

Il Team di comprovata esperienza professionale, deve avermaturato una esperienza tecnica, applicativa ed operativasulla specifica applicazione.

Il Responsabile ed il Team di Valutazione della SicurezzaFunzionale saranno indipendenti dal Team di Progetto.


34


I principali eventi per avviare le attività di FSA sono:

1. Completamento delle SRS del SIS;

2. Completamento dellle attività di Progettazioneed Ingegneria del SIS;

3. Completamento delle attività di Validazione del SIS;

4. Completamento della prima manutenzioneprogrammata del SIS.

Le attività di FSA saranno svolte anche in caso di Modifica e Dismissione del SIS.


35

Valutazione della Sicurezza FunzionaleValutazione della Sicurezza Funzionale


Piano di Valutazione della Sicurezza Funzionale;Procedure di Valutazione della Sicurezza Funzionale, Verifica e Revisione [per Autorizzazioni Modifiche];Organigramma, Qualifiche e Curricula del Team FSA;Dichiarazione Grado di Indipendenza del Team FSA; Rapporti di Valutazione e Verifica FSA;Rapporti di Revisione ed Autorizzazioni Modifiche;

36

Ciclo di Vita della Sicurezza

37

Ciclo di Vita della SicurezzaObiettivi Principali:Allo scopo di programmare ed eseguire sistematicamente tutte le attività necessarie al rispetto dei requisiti e degli obiettivi fissati dagli Standard IEC 61508 ed IEC 61511, si adotta nell’ambito del sistema di Gestione della Sicurezza Funzionale, una struttura tecnica identificata come Ciclo di Vita della Sicurezza.Il Ciclo di Vita della Sicurezza è usato come base per il raggiungimento della conformità agli Standard IEC 61508 ed IEC 61511.

38



Requisiti Tecnici

Competenze

Ciclo di Vita della

Sicurezza

Certificazione

39


Identificare

Valutare

Progettare

Verificare

L’approccio alCiclo di Vita della Sicurezza,come processo iterativo

40

IEC 61508 - Ciclo di Vita della Sicurezza

Concept

Overall ScopeDefinition

Hazard and RiskAnalysis

Overall SafetyRequirements

1

2

3

4

Safety RequirementsAllocation5

A

41

Overall Planning

Overall Operation andMaintenance

Planning

OverallSafety

ValidationPlanning

Overall Installation andCommissioning

Planning

6 7 8

Safety-relatedSystems:E/E/PES

9 Realization(see E/E/PES

SafetyLifecycle)

10Safety-related

Systems:other

Technology

Realization

11External Risk

ReductionFacilities

Realization

IEC 61508 - Ciclo di Vita della SicurezzaA

14 13 12 12 12 12

42

Overall Installationand Commissioning12

Overall SafetyValidation13

Overall Operation,Maintenance and Repair14

Decommissioningor Disposal16

Overall Modificationand Retrofit15

Back to appropriate overall Safety Life Cycle phase

IEC 61508 - Ciclo di Vita della Sicurezza6 7 8 9 10 11

43

IEC 61508 - Ciclo di Vita del SIS - H/W

12 14

Safety Integrity

RequirementsSpecification

E/E/PES Safety Requirements Specification

Safety Functions


9.1.1 9.1.2

9.1

9.1

E/E/PES Design andDevelopment9.3E/E/PES Safety Validation

Planning9.2

E/E/PES Integration9.4

E/E/PES SafetyValidation9.6

E/E/PES Operation andMaintenance Procedures9.5

44

IEC 61508 - Ciclo di Vita del SIS - S/W

12 14

Safety Integrity


SW Safety Requirements Specification

Safety Functions


9.1.1 9.1.2

9.1

9.1

SW Design andDevelopment9.3SW Safety Validation

Planning9.2

PE Integration(HW + SW)9.4

SW SafetyValidation9.6

SW Operation andModification Procedures9.5

45

Ciclo di Vita della Sicurezza per ISA S84.01

ConceptualProcess Design

Perform Process Hazard Analysis

& Risk Assessment

Apply non-SIS protection layers to prevent identified

hazards or reduce risk

SIS required ?

Develop SafetyRequirementsSpecification

(SRS)

YES

NO

Pre-Start-up Safety Review

(PSSR)

SISDecommissioningDefine

target SIL

Modify

Decommission

Start

Perform SISConceptual

Design & Verifyit meets the SRS

SIS Installation,Commissioning,and Pre-startupAcceptanceTest

Establish Operation

& MaintenanceProcedures

Modifyor

DecommissionSIS ?

Perform SISDetail Design

SIS start-up, operation,

maintenance, periodic functional

testing

46

Ciclo di Vita della SicurezzaFase 1 - Concezione Generale del Progetto della Sicurezza Funzionale


sviluppare un livello di comprensione del Processo, del Sistemadi Controllo di Processo di Base (BPCS) e del relativo ambiente(fisico, legislativo, etc.), tale da consentire una conduzionesoddisfacente delle attività a completamento del Ciclo di Vitadella Sicurezza;

individuare le fonti di pericolo e raccolte le informazioni suifluidi pericolosi processati.

47



Dati Base della Produzione (in allegato); Dati Base di Progettazione (in allegato);Dati Climatologici e di Progetto Ambientali (in allegato); Elenco Apparecchiature di Processo (in allegato);Descrizione di Processo (in allegato);Schema a Blocchi di Processo (in allegato);Schemi Quantificati di Processo (in allegato);Specifiche e Dimensionali Apparecchiature di Processo (in allegato);Planimetrie e Lay-out Impianto (in allegato);

48



Schemi di Marcia (in allegato);Elenco Fluidi (in allegato);Classi Tubazioni (in allegato);Classificazione della Aree (in allegato);Elenco Utenze Elettriche (in allegato);Specifica Generale della Messa a Terra (in allegato);Specifiche di Processo della Strumentazione (in allegato);Specifica Generale del Sistema di Controllo del Processo (in allegato);Specifica Generale Erogazione Servizi critici (E.E, I.A., N, etc.);

49



Manuale di Gestione della Sicurezza (in allegato);Rapporto di Sicurezza (generale e per singoli impianti) (in allegato); Individuazione e Descrizione delle Fonti di Pericolo (*);Elenco, Proprietà e MSDS dei Fluidi Pericolosi manipolati (*); Elenco Regolamenti Legislativi Applicabili (*);Elenco Standard e GEP di Settore Applicabili (*);Organizzazione dell’Esercizio e Manutenzione (*);Procedure Operative, di Emergenza, di Manutenzione (*);

(*) documentazione includibile nel M.G.S.

50



Informazioni Generali di Settore sui Rischi del Processo;Casistica Incidenti di Settore (MARS, CDCIR, OECD, etc.);Statistiche sugli Infortuni;Obiettivi Aziendali nel campo della Sicurezza, mirati in particolare a:Salvaguardia del Personale, della Comunità e dell’Ambiente,Rapporti con le Autorità, Immagine Aziendale, Danni allaProprietà, Fermo Produzione, Gestione degli Assets,Coperture Assicurative, Spese Legali.

51

Ciclo di Vita della SicurezzaFase 2 - Scopo Generale del Progetto della Sicurezza Funzionale


definire le apparecchiature sotto controllo ed il relativo sistema di controllo, da sottoporre ad Analisi di Rischio;

definire scopo e tipologia della Analisi di Rischio;

definire la tipologia dei vari eventi iniziatori di sequenze incidentali,sia interni, che esterni (guasti, fattore umano, errori procedurali, fenomeni atmosferici, etc.) da includere nella Analisi di Rischio.

52



Definizione di apparecchiature sotto controllo individuali e relativo sistema di controllo, da sottoporre ad Analisi di Rischio;

Definizione di gruppi di apparecchiature sotto controllo interagenti e relativo sistema di controllo, da sottoporre ad Analisi di Rischio;

Definizione di gruppi di apparecchiature sotto controllo soggette ad Effetto Domino e relativo sistema di controllo, da sottoporre adAnalisi di Rischio;

53



Definizione di gruppi di apparecchiature sotto controllo soggette simultaneamente ad uno stesso evento iniziatore (ad es. incendioesterno, mancanza E.E., mancanza acqua di raffreddamento, esplosione non confinata, etc.);

Definizione di gruppi di apparecchiature sotto controllo protette simultaneamente dalla stessa funzione di sicurezza (ad es. fermata di emergenza, sfiato di emergenza, antincendio, abbattimento fughe,blocco alimentazione E.E., etc.);

54



Definizione delle funzioni di sicurezza implementate da SISed altri IPL, per ogni apparecchiatura o gruppo di apparecchiature sotto controllo;

Definizione della tipologia dei vari eventi iniziatori interni edesterni di sequenze incidentali, per ogni apparecchiatura o gruppodi apparecchiature sotto controllo.

55

Ciclo di Vita della SicurezzaFase 3 - Analisi di Rischio


determinare gli eventi incidentali delle apparecchiature e gruppi di apparecchiature sotto controllo e relativo sistema di controllo, in tutte le modalità operative, per tutte le circostanze ragionevolmente prevedibili, incluse le condizioni di guasto ed uso errato;determinare le sequenze di eventi incidentali e la relativa probabilità qualitativa o quantitativa;

determinare i rischi associati agli eventi incidentali;le misure da intraprendere per la riduzione del rischio necessaria.

56



Classificazione del grado di rischio tollerabile per l’evento incidentale, espresso come la combinazione tra:severità delle conseguenze dell’evento incidentale (per le persone e/o per la salute e/o per l’ambiente e/o per le cose e/o altri fattori)efrequenza massima ammissibile di accadimento dell’evento incidentale stesso mitigato;

57



Identificazione delle cause iniziatrici degli eventi incidentali, degli eventi incidentali e dei fattori di contributo (includendo guasto di componenti, errori procedurali, fattore umano e guasti di sotto-sistemi), in:- avviamento;- marcia normale;- fermata normale, fermta di emergenza e falsa fermata;- condizioni di disturbo del processo;- conduzione di test prestazionali in-linea;- manutenzione;- modalità operative anormali e/o eccezionali;- condizioni ambientali estreme;

58



Stima delle conseguenze potenziali degli eventi incidentali;

Stima delle frequenze di accadimento delle cause iniziatrici delle sequenze di eventi incidentali;

Definizione di ogni stato individuale di messa in sicurezza del processo, che, se in concomitanza, può generare un evento pericoloso (ad es. sovraccarico di uno stoccaggio di emergenza, scarico simultaneo di due o più PSV al sistema di fiaccola, etc.);

Rapporto Generale sulla Analisi di Rischio.

59

Ciclo di Vita della SicurezzaFase 4 - Allocazione delle funzioni di Sicurezza

ai Livelli di Protezione Indipendenti


allocare le funzioni di sicurezza al SIS ed agli altri livelli diprotezione indipendenti (IPL), per prevenzione, controllo e mitigazione dei rischi;

allocare i valori obiettivo di Fattore di Riduzione del Rischio (RRF) al sistema di controllo, al SIS ed agli altri livelli di protezione indipendenti (IPL);

analizzare gli errori di causa comune, modo comune e dipendentidel SIS e degli altri IPL.

60

Ciclo di Vita della SicurezzaFase 4 - Allocazione delle funzioni di Sicurezza



Analisi dei livelli di protezione indipendente (LOPA) e relativirequisiti prestazionali, per il raggiungimento dell’obiettivo di rischio tollerabile degli eventi incidentali mitigati;

Specifica dei requisiti del SIS e degli altri livelli di protezione indipendenti (IPL) per prevenire errori di:- causa comune;- modo comune;- guasti dipendenti.

61

Ciclo di Vita della SicurezzaFase 4 - Allocazione delle Funzioni di Sicurezza



Calcolo del Rischio di Fatalità Globale associato ad eventi incidentali ad alta fatalità, quali incendio, esplosione e rilascio di sostanze tossiche;

Calcolo del Rischio Totale di Impianto (verifica Aziendale eseguita con criteri di valutazione interni).

62

Ciclo di Vita della SicurezzaFase 5 - Specifica dei Requisiti di Sicurezza del SIS (SRS)


sviluppare la specifica completa dei requisiti funzionali e del livello di integrità, per ogni funzione di sicurezza che deve essere attuata dal SIS e dagli altri livelli protettivi indipendenti allo scopo di raggiungere la sicurezza funzionale richiesta.In particolare per ogni funzione di sicurezza strumentale (SIF) che deve essere attuata dal SIS, la SRS contiene i requisiti funzionali ed il SIL. La SRS è una raccolta documentale, con un indice a riferimenti incrociati, con finalità di QA e di guida progettuale.

63

Ciclo di Vita della SicurezzaFase 5 - Specifica dei Requisiti di Sicurezza (SRS)Documentazione Principale:

Descrizione delle funzioni di sicurezza strumentale (SIF);Architettura del SIS;Requisiti per l’identificazione e la valutazione delle cause comuni di guasto;Definizione dello stato sicuro del processo per ogni SIF;Definizione e frequenza della richiesta di intervento per ogni SIF;Requisiti dell’intervallo del test di prova (TI);Tempo di risposta del SIS per mantenere o raggiungere lo stato sicuro del processo;Requisiti di Affidabilità dell’Alimentazione;

64

Ciclo di Vita della SicurezzaFase 5 - Specifica dei Requisiti di Sicurezza (SRS)Documentazione Principale:

Requisiti di Affidabilità della Strumentazione in campo;

Livello di integrità della sicurezza (SIL) e modalità operativa (su richiesta di intervento o continuativa) per ogni SIF;Descrizione dei valori di processo in ingresso e dei relativi valori di intervento per ogni SIF;Descrizione delle azioni svolte in uscita dal SIS, incluso requisiti particolari per il successo dell’azione stessa (ad es. TSO per RBV);Relazioni funzionali tra valori in ingresso e valori di uscita del SIS, incluso logiche, funzioni matematiche e consensi;Requisiti per blocchi manuali;

65

Ciclo di Vita della SicurezzaFase 5 - Specifica dei Requisiti di Sicurezza (SRS)


Requisiti per intervento del SIS tramite energizzazione (“energize to trip”) o de-energizzazione (“de-energize to trip”);Requisiti per azione di Reset del SIS dopo intervento di blocco;Requisiti di STR (Spurious Trip Rate) massimo ammissibile del SIS;Modalità di guasto, e di risposta in caso di guasto, del SIS;Requisiti specifici procedurali di avviamento e riavviamento del SIS;Requisiti di interfaccia del SIS con altri sistemi (ad es. BPCS);Requisiti Allarmi Critici;

66



Requisiti per ogni SIF per differenti modalità operative a livello di processo (ad es. marcia normale, avviamento, fermata, etc.), ed eventuali richieste di SIF aggiuntive;Requisiti per ogni SIF per differenti modalità operazionali (ad es. messa in servizio, esercizio, test e manutenzione, etc.) di componenti del SIS, ed eventuali richieste di SIF aggiuntive;Requisiti Consensi;Requisiti LOS;

67



Requisiti di sicurezza del S/W applicativo:- Funzioni supportate dal S/W applicativo;- Capacità e tempi di risposta;- HMI ed operabilità;- Copertura di tutte le modalità operative del processo;- Azioni da intraprendere per valori delle variabili di processo

fuori range, corto circuito individuato e circuito aperto individuato;

68



Requisiti di sicurezza del S/W applicativo: (cont.)- Test di prova e test di diagnostica dei dispositivi esterni (ad es.

sensori ed elementi finali);- Fault Insertion Testing;- Auto-diagnostica del S/W (ad es. watch-dogs pilotati dalla

applicazione ed auto-validazione del range dei dati);- Monitoraggio dei dispositivi esterni (ad es. sensori ed elementi

finali);- Test in-linea periodici della funzione di sicurezza;

69



Requisiti di sicurezza del S/W applicativo: (cont.)- Riferimenti alla documentazione di input (ad es. specifiche della

funzione di sicurezza, configurazione o architettura del SIS, requisiti di SIL dell’H/W);

Requisiti per comandi di “Override” (POS e MOS), “Inhibit” e “By-pass” delle funzioni di sicurezza, incluse le modalità di annullamento dei comandi stessi;Requisiti SOE recorder;

70



Specifiche di ogni azione necessaria a raggiungere o mantenere uno stato di sicurezza nel caso di individuazione di uno o più guasti del sistema di sicurezza, tenendo debitamente conto del fattore umano;Requisito di MTTR (Mean Time to Repair), fattibile per il SIS, tenendo in conto il personale addetto, i tempi di intervento, l’ubicazione dell’impianto, la disponibilità di parti di ricambio, i contratti di manutenzione in essere, i vincoli di tipo ambientale, etc.;Identificazione di combinazioni pericolose degli stati di uscita del SIS, che dovranno essere identificate;

71



Specifica delle condizioni ambientali estreme;Requisiti per il mantenimento della funzionalità delle SIF in caso di eventi incidentali rilevanti (ad es. requisito di “fire-proofing“ e di tempo max. di resistenza alle fiamme, per una RBV sottoposta ad incendio esterno);Requisiti di sicurezza per false fermate;Requisiti di Security;Rapporto Generale sulla Specifica dei Requisiti di Sicurezza;

72

Ciclo di Vita della SicurezzaFase 6 – Progettazione ed Ingegneria del SIS


progettare ed ingegnerizzare il SIS utilizzato per implementare una o più funzioni di sicurezza strumentale (SIF), e raggiungere la sicurezza funzionale richiesta.

73



Requisiti Generali ed Architettura dell’H/W;Requisiti del SIS per la Rilevazione dei Guasti;Requisiti di Fault Tolerance dell’H/W;Requisiti per la selezione dei componenti e sotto-sistemi del SIS (certificati e basati su “prior use”);Requisiti per la selezione del linguaggio di programmazione(FPL, LVL, FVL);Requisiti dei dispositivi in campo;Requisiti per mancanza alimentazione;Piano di validazione dell’H/W;

74



Requisiti dello stato sicuro di ogni componente;Requisiti dei tempi globali di attuazione delle SIF (lag times);Requisiti delle Interfacce (stazioni di ingegneria/manutenzione,stazioni operatore, comunicazioni verso DCS e periferiche, etc.);Requisiti di Copertura Diagnostica;Requisiti di Manutenzione;Requisiti di Testing;Requisiti del Sistema di Alimentazione e UPS;Requisiti per il Training;

75



Raccolta valori MTTFd ed MTTFsp. e relative certificazioni;Raccolta valori fattori di guasto comune; Raccolta documentazione Fornitori per componenti non- certificati; Verifica del raggiungimento degli Obiettivi Prestazionali (SIL);Verifica del valore di STR massimo ammissibile;Elenco Parti di Ricambio;Rapporto di Non-Conformità dell’H/W;

76



Requisiti del S/W applicativo, di servizio ed “embedded”;Requisiti di Progetto e di Sviluppo del S/W applicativo;Requisiti dell’Architettura del S/W applicativo;Requisiti per la Documentazione di Progetto ed i Manuali;Requisiti per l’integrazione del S/W applicativo e relativo test;Piano di Validazione del S/W;Rapporto di Non-Conformità S/W;

77

Ciclo di Vita della SicurezzaFase 6 – Progettazione ed Ingegneria del SISDocumentazione Principale:Organigramma di Progetto;Programma di Progetto;Elenco dei Consumi Elettrici;Elenco Cavi e Terminazioni;Elenco Componenti SIS;Sistema di Messa a Terra del SIS; Lay-out degli Armadi;Disegni Dimensionali;Schemi Elettrici;Piante delle Terminazioni;Rapporti di Avanzamento Progetto;

78



Database I/O;Diagrammi Causa/Effetto;Logica del Programma di Applicazione (in accordo allo Std.IEC-61131-3 “Programmable Controllers: Programming Language”);Certificati Materiali e Certificazioni Enti Terzi; Manuale di Istruzioni;Manuale di Manutenzione;Manuale di Sicurezza;Rapporto Generale sulla Progettazione ed Ingegneria.

79

Ciclo di Vita della SicurezzaFase 7 – Factory Acceptance Test (FAT)


testare il Risolutore Logico (H/W e S/W integrato) per assicurare che i requisiti definiti nella SRS siano soddisfatti, prima dell’installazione in campo del SIS.

80

Ciclo di Vita della SicurezzaFase 7 – Factory Acceptance Test (FAT)Documentazione Principale:

Programma del FAT;Personale Responsabile del FAT;Procedura Dettagliata del FAT;Rapporto di Test delle singole SIF;Rapporto Finale del FAT (inclusivo dei rapporti e risultati di test, registro cronologico dei test, guasti riscontrati e relativa analisi, modifiche ed azioni correttive apportate, certificati dei materiali, certificati di prove di collaudo, strumenti, apparecchiature ed interfacce usate, simulatori, etc.);Rapporto di non-conformità (eventuali);Certificato Finale di Accettazione del FAT.

81

Ciclo di Vita della SicurezzaFase 8 – Installazione e Messa in Servizio del SIS


installare il SIS in accordo alle Specifiche ed alla Documentazione di Progetto;

mettere in servizio il SIS, pronto per il SAT.

82

Ciclo di Vita della SicurezzaFase 8 – Installazione e Messa in Servizio del SIS


Programma di Installazione e Messa in Servizio;Personale Responsabile di Installazione e Messa in Servizio;Procedura Dettagliata di Installazione e Messa in Servizio;Rapporto Finale di Installazione e Messa in Servizio (inclusivo dei rapporti e risultati di messa in servizio ed avviamento, registro cronologico delle attività e degli interventi, guasti riscontrati e relativa analisi, modifiche ed azioni correttive apportate, etc.);Rapporto di non-conformità (eventuali);Emissione Documentazione di Progetto “As Built” (solo in assenzadi non-conformità con impatto sulla sicurezza) ;

83

Ciclo di Vita della SicurezzaFase 9 – Site Acceptance Test (SAT)


testare il SIS, dopo la messa in servizio, e validare che il SISsoddisfi i requisiti definiti nella SRS per ogni SIF, ai fini del pieno raggiungimento della sicurezza funzionale richiesta.

84



Programma del SAT ;Personale Responsabile del SAT;Procedura Dettagliata del SAT;Rapporto di Test delle singole SIF;

85



Rapporto Finale del SAT (inclusivo dei rapporti e risultati di test e validazione H/W e S/W per le diverse modalità operative, test copertura diagnostica, test by-pass, test POS, test consensi, test comunicazioni, test allarmi, test SOE recording, registro cronologico dei test, inconsistenze con la documentazione di progetto, guasti riscontrati e relativa analisi, modifiche ed azioni correttive apportate, strumenti ed apparecchiature usate con i relativi dati di calibrazione, etc.);Rapporto di non-conformità (eventuali);Certificato Finale di Accettazione del SAT.

86

Ciclo di Vita della SicurezzaFase 10 – Operazione e Manutenzione


operare e manutenere il SIS, in modo che la sicurezza funzionalerichiesta sia mantenuta per tutto l’arco di vita dell’impianto;

assicurare che il SIL di ogni SIF non degradi per per tutto l’arco di vita dell’impianto.

87



Piano di Operazione e Manutenzione:- personale responsabile- attività di routine e fuori-routine;- piano test di prova;- procedure test di prova;- procedure, misure e tecniche operative e manutentive;- attività di manutenzione preventiva e di emergenza;- programma manutentivo;Elenco parti di ricambio;

88



Registro Test di Prova (tipo prove, registrazione cronologica, risultati prove, modifiche ed azioni correttive apportate, strumenti ed apparecchiature usate con i relativi dati di calibrazione, etc.);Registro dei Guasti (identificazione componenti soggetti a guasto, Fornitore, data di fabbricazione, durata di esercizio, MTTR effettivo, tipo e frequenza dei guasti, analisi dei guasti, analisi richieste di intervento, analisi guasti comuni e sistematici, analisi FMEA, etc.);Registro Non-Conformità (eventuali);Piano di Ispezione (programma e tipo ispezioni, procedure ispettive, responsabili ispezioni) e Registro Rapporti Ispettivi.

89

Ciclo di Vita della SicurezzaFase 11 – Modifiche


assicurare che eventuali modifiche da apportare all’H/W e/o al S/W del SIS, come pure eventuali retrofittings, siano opportunamenteprogrammate, verificate ed approvate, prima di rendere effettiva la modifica o il retrofitting;assicurare che una volta apportate le eventuali modifiche all’H/W e/o al S/W del SIS, come pure eventuali retrofittings, la sicurezza funzionale richiesta sia mantenuta; assicurare che il SIL di ogni SIF interessata alla modifica od al retrofitting non degradi.

90

Ciclo di Vita della SicurezzaFase 11 – Modifiche


Procedura di richiesta di modifica, inclusiva di descrizione, ragioni della modifica ed impatto atteso;Analisi della modifica e del relativo impatto su sicurezza funzionale e SIL;Procedura di approvazione ed autorizzazione, progettazione, esecuzione, messa in servizio, collaudo, validazione e registrazione della modifica;Registro Modifiche (identificazione componenti soggetti a modifica, data di modifica, descrizione della modifica, personale responsabile modifiche, test modifiche, etc.);Emissione della documentazione “As Built”.

91

Ciclo di Vita della SicurezzaFase 12 – Dismissione del SIS


assicurare che prima della Dismissione del SIS dal servizio attivo, si conduca una Analisi di Dismissione;

assicurare che la Dismissione del SIS sia debitamente autorizzata.

assicurare che durante e dopo la Dismissione del SIS la sicurezza funzionale non venga messa a pregiudizio.

92

Ciclo di Vita della SicurezzaFase 12 – Dismissione del SIS


Procedura di richiesta, analisi, approvazione ed autorizzazione di Dismissione del SIS;Analisi di Dismissione del SIS;Rapporto di Dismissione del SIS;Certificazione di Dismissione del SIS.

93

Conclusioni:Lo Standard IEC 61508 è in primis uno Standard di

Gestione della Sicurezza Funzionale.I Sistemi di Sicurezza Strumentale (SIS) vanno progettati modernamente con contributi professionali indipendenti

e di alto livello, e realizzati da Fornitori qualificati.

La conformità agli Standard IEC 61508 ed IEC 61511 consente di raggiungere e mantenere nel tempo gli obiettivi

prestazionali prefissati per un SIS, salvaguardando cosìVita Umana, Salute ed Ambiente.

CONFO

RME

94

Grazie per l’attenzione

Documents

Aplicacion IEC 61508 - Fanelli p