Ing. Paolo Corbo – Villasanta (MB), 9 Settembre 2014 

L’automazione di processo vedrà a breve il rinnovo di un documento fondamentale riguardante la sicurezza funzionale degli impianti: la seconda edizione della norma IEC61511.

Norma IEC 61511
Riferimenti normativi stato dell’arte
IEC61508 e IEC61511
Cosa sta cambiando, cosa cambierà
Scarica il pdf

Norma IEC 61511

La Norma IEC 61511 è la norma specifica per l’industria di processo, comprendente, in particolare: il settore chimico, quello della raffinazione, quello della produzione della carta, quello della produzione di energia elettrica (escludendo le centrali nucleari, che, hanno una normativa specifica). 

La Norma rispecchia la struttura ed i contenuti della Norma generica IEC 61508, ma fornisce prescrizioni maggiormente dettagliate e puntuali per la strumentazione di misura e controllo dei processi industriali.  

La Norma riprende i concetti base di ciclo di vita in sicurezza e di SIL e introduce i criteri di progetto dei sistemi strumentati di sicurezza (SIS) per l’industria di processo. 

Riferimenti normativi allo stato dell’arte

Norme progenitrici degli argomenti trattati nel seguito del presente articolo sono di seguito riportate: 

EN 61508-1,2,3,4,5,6,7:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems 

Queste norme coprono gli aspetti da considerare quando sistemi elettrici/elettronici o elettronici programmabili  (E/E/PE) sono utilizzati per realizzare funzioni di sicurezza.  Lo scopo di queste norme include i principi alla base dello sviluppo dei prodotti e delle apparecchiature  e della loro applicazione. Non sono norme armonizzate ad alcuna Direttiva Europea, contrariamente alle norme precedenti. 

EN61511-1,2,3 :2004 Functional safety – Safety instrumented systems for the process industry sector 

Queste norme forniscono i requisiti per specificare, progettare, installare, utilizzare e manutenere sistemi SIF (Safety Instrumented Systems) in modo tale che questi possano essere affidabilmente utilizzati per mantenere un processo in uno stato sicuro. Queste norme rappresentano  dunque l’applicazione delle norme EN61508 al settore dell’automazione e della sicurezza funzionale del processo. 

Documenti in via di sviluppo e oggetto del presente articolo: 

IEC 61511-1 Ed. 2.0   (65A/691/CDV) 

Functional safety – Safety instrumented systems for the process industry sector – Normative Part 1: Framework, definitions, system, hardware and software requirements   

IEC 61511-2 Ed. 2.0   (65A/692/CDV) 

Functional safety – Safety instrumented systems for the process industry sector – Part 2: Guidelines for the application of IEC 61511-1- Informative  

IEC 61511-3 Ed. 2.0   (65A/693/CDV) 

Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels-Informative 

Revisionate le IEC61508, si prosegue con le IEC61511

Il presente articolo riepiloga alcune delle modifiche sostanziali che saranno apportate alla norma  “IEC 61511 – Sicurezza funzionale  sistemi strumentati di sicurezza per l’industria di processo “ la cui pubblicazione è prevista per il 2015. Questo lavoro di riedizione fa seguito al recente (anno 2009) rinnovo del set IEC61508 che con tale operazione evolveva dalla prima alla seconda edizione. 

I lavori di re-edizione a livello di comitato tecnico della seconda edizione partirono quando la nuova IEC 61508 si apprestava ad essere rilasciata nel 2009.  

I temi argomentati nel presente articolo si riferiscono al CDV (Committee Draft for Vote) e sono pertanto soggetti ad eventuali cambiamenti. 

La nuova edizione del set IEC61511 sostituirà la recedente edizione del 2003. 

Il calendario relativo alla genesi, allo sviluppo e alla pubblicazione del documento è il seguente:   

  • Inizio lavori nel 2009 
  • Primo CD (committeedraft)rilasciato in Marzo 2012  
  • CDV (committeedraft for vote) rilasciato in Aprile 2014  
  • FDIS (finaldraft of international standard) da rilasciare presumibilmente entro Novembre 2014  
  • Pubblicazione definitiva del documentoentro Giugno 2015 

IEC61508 vs IEC61511 

Mentre le IEC61508 regolamentano in modo trasversale gli aspetti di affidabilità e sicurezza funzionale, con particolare orientamento agli aspetti di sviluppo, realizzazione e implementazione delle attrezzature costituenti il complesso dei sistemi strumentati di sicurezza (pertanto rivolgendosi principalmente ai costruttori e agli integratori)il set normativo IEC61511 è destinato in modo praticamente esclusivo  agli operatori dell’industria di processo; in effetti il set IEC 61511è utilizzato principalmente per la progettazione, la gestione, la conduzione di un sito complessivo e non di sotto-parti o singole attrezzature, che possono essere gestite attraverso il set 61508.  

Cosa sta cambiando, cosa cambierà

Con la nuova edizione della norma si è inteso e si intende eliminare incongruenze e correggere alcuni errori intervenendo prevalentemente sull’allineamento delle definizioni con quelle della IEC 61508.  

Altro pregevole risultato perseguito riguarda l’attenzione allo sviluppo delle tecnologiecosì allineando i requisiti allo stato dell’arte delle attrezzature oggi disponibili nel settore della sicurezza strumentata. 

Aspetti di dettaglio oggetto di modifica sostanziale sono riportati nel seguito: il concetto di tempo di sicurezza del processo (tempo intercorrente tra l’istante di manifestazione dell’evento pericoloso, la propagazione dello stesso fino al trasporto dell’apparecchiatura o del processo sotto controllo in uno stato pericoloso e l’istante di intervento del sistema di mitigazione/prevenzione includendo il tempo di intervento dello stesso fino al completamento dell’azione di mitigazione/prevenzione) è introdotto nel nuovo documento. Il concetto di Capacità Sistematica (SC), incluso nella sola seconda edizione della 61508, è ora incluso anche nella nuova edizione della IEC 61511. La 61508 ha, anche nella prima edizione, definito il livello di demand (rateo di richiesta) della funzione di sicurezza identificando i seguenti demand mode: Low Demand Mode (probabilità attesa di richiesta da parte del sistema della funzione di sicurezza inferiore ad una volta all’anno), High Demand Mode (probabilità attesa di richiesta da parte del sistema della funzione di sicurezza superiore ad una volta all’anno), Continuous Mode (ricorso continuo alla funzione di sicurezza); finalmente gli stessi concetti saranno riportati anche nella 61511.  

Anche il tema delle competenze è approfondito osservando che, laddove nelle prime edizioni il requisito non era particolarmente forte, nelle seconde edizioni della 61508 e della 61511 questo è stato rafforzato specificando anche su quali basi esse debbano essere accertate e documentate. Le conoscenze ingegneristiche, la formazione e l’esperienza, nonché la comprensione del processo e dei pericoli e rischi collegati al processo vengono specificate quali parti essenziali del bagaglio necessario a dimostrare adeguata competenza nel settore della sicurezza strumentata. 

Il concetto di Functional Safety Assessment (FSA) prevalentemente associato alle fasi di sviluppo dell’ingegneria e del commissioning è ora chiaramente richiesto in termini di requisito cogente normativo anche per le fasi di modifica (includendo analisi degli impatti e delle conseguenze legati alle modifiche) e persino per le fasi operative.  Il testing nelle fasi di verifica funzionale viene specificamente menzionato, diversamente da quanto avveniva nella precedente edizione; in pratica i test planning sinora richiesti e applicabili in fase di programmazione sono ora richiesti/applicabili anche per il testing della parte hardware. 

Una sostanziale novità riguardante la nuova edizione della norma in esame riguarda l’obbligo di realizzare un’analisi di rischio specifica e relativa al sistema strumentato di sicurezza e alle apparecchiature ad esso associate al fine di realizzare un ulteriore livello di valutazione (e consolidare pertanto il livello di protezione ottenuto attraverso l’implementazione di tale sistema di sicurezza) in ogni fase del ciclo di vita del sistema includendo le fasi di design, ingegneria, implementazione, commissioning, operative, manutenzione, dismissione. Tale analisi di rischio deve contenere pertanto una descrizione del sistema includendo le attrezzature specificamente designate a realizzare la funzione di sicurezza (in sintesi, le apparecchiature caratterizzate da figura di merito SIL e/o analisi di reliability ai sensi della norma IEC61508) e le apparecchiature associate al sistema di controllo funzionale base (ovvero il basic process control system, primo layer di protezione).  

Accanto a tale descrizione è richiesto siano forniti elenchi esaustivi delle possibili cause e/o sorgenti di eventi e/o azioni tali da compromettere intenzionalmente o non intenzionalmente la o le funzioni di sicurezza esercitate dal sistema strumentato di sicurezza agendo sulle vulnerabilità del sistema stesso; a tal fine è raccomandato che la natura delle possibili conseguenze e la probabilità attesa di tali eventi siano opportunamente descritte e documentate.  Quando tali questioni sono individuate e stimate, è richiesto un intervento ulteriore teso a ridurre o ad azzerare la probabilità di accadimento. In questo contesto, la SIS security ovvero la Cyber security riguarda la protezione delle vulnerabilità della rete del sistema strumentato e della rete di scambio dei dati rilevanti ai fini della sicurezza ed è ora oggetto del documento di bozza normativa: i requisiti sono espressi attraverso la norma speciale IEC 62443-2, “Sicurezza per sistemi di automazione industriale e di controllo” e attraverso il rapporto tecnico ISA-TR84.00.09-2013 “Contromisure di sicurezza relativi a sistemi di sicurezza strumentati (SIS)”. 

Per quanto concerne l’espressione esplicita dei requisiti di sicurezza, il progetto di norma impone maggiore chiarezza e completezza nella definizione dei parametri relativi ai proof test imponendo che ne sia specificata la natura, la durata, lo stato dell’EUC (apparecchiatura controllata), i metodi e le procedure utilizzate per testare la diagnostica, la prevenzione degli errori). 

Secondo il nuovo documento deve essere chiaramente dimostrato che funzioni non di sicurezza non possano interferire con le funzioni di sicurezza. 

Inoltre, per quanto riguarda il funzionamento dei SIS e il loro temporaneo muting (oscuramento temporaneo di parti, di sottosistemi o della funzione di sicurezza complessiva per riparazione o manutenzione), vigono ora regole chiare e ben delineate che hanno effetto su possibili sistemi di compensazione e procedure operative che specifichino tutte le fasi del muting e il tempo massimo ammissibile di oscuramento della funzione di sicurezza. Ogni bypass deve essere registrato, in automatico o manualmente. 

Guida CEI 65-186 

La guida CEI 65-186 costituisce la linea guida italiana per l’applicazione della Norma della serie IEC 61511 Sicurezza funzionale – sistemi strumentati di sicurezza per il settore dell’industria di processo 

La linea guida, partendo dagli articoli della norma di riferimento IEC 61511-1, fornisce criteri pratici per l’interpretazione e l’attuazione dei requisiti, chiarendo gli aspetti non esaustivi nella norma di riferimento e illustrando alcuni casi applicativi sul ciclo di vita della sicurezza, sulla determinazione dei livelli di integrità della sicurezza e sull’esercizio e manutenzione dei sistemi integrati per la sicurezza funzionale. La guida si propone di aiutare i progettisti dell’impianto, i costruttori e gli installatori dei sistemi strumentati di sicurezza, gli utilizzatori dell’impianto nelle diverse fasi (esercizio e manutenzione fino alla dismissione), e gli ispettori nell’applicazione delle norme correlate. 

La guida CEI 65-186 è a tutt’oggi ancora basata sulla prima edizione della IEC61511.