Il Functional Safety Assessment (FSA) è un processo necessario per gestire le fasi operative in un impianto di processo. Consiste nella valutazione della rispondenza di un dispositivo o di un sistema ai requisiti di sicurezza funzionale.
Il concetto di Functional Safety Assessment (FSA) è associato alle fasi di sviluppo dell’ingegneria e del commissioning e al contempo è richiesto in termini di requisito cogente normativo anche per le fasi operative e di modifica. Nell’ambito della IEC 61511 (seconda edizione) il testing nelle fasi di verifica funzionale è richiesto e applicabile tanto in fase di programmazione quanto per il testing della parte hardware. Lo scopo di un FSA è ottenere un giudizio qualificato e indipendente basato su una procedura parte del piano di gestione della sicurezza funzionale. I punti fondamentali di questa valutazione sono le expertise tecniche, operative e normative richiamate dalla IEC 61511. D’altra parte, il risultato di un FSA deve dimostrare che sono soddisfatti i requisiti di sicurezza funzionale e di integrità di ogni, funzione SIF e di ogni sistema SIS. La precedente edizione della norma IEC 61511 richiedeva almeno un ciclo di vita del FSA suddiviso in 3 fasi. L’attuale edizione 2.0 richiede invece 5 fasi obbligatorie con il coinvolgimento di personale indipendente e competente nelle diverse tecnologie che l’applicazione comprende, nei regolamenti applicabili e negli standard di sicurezza. Il team FSA deve rivedere in dettaglio il lavoro svolto in tutte le fasi del ciclo di vita prima di passare alla fase successiva e deve essere identificato durante la pianificazione della sicurezza e come parte del piano FSM (Functional Safety Management).
FSA - Fase 1
Una volta che l’SRS (Safety Requirement Specification) - ovvero il documento principale sulla sicurezza di un impianto di processo - è completato e prima di rilasciarlo al team di progettazione per la determinazione del SIS, deve essere eseguita la Fase 1 dell’FSA. Tipicamente in questa fase è valutata e confermata l’analisi dei rischi del processo insieme ai rapporti HAZOP (HAZard and OPerability analysis) o LOPA (Layers of Protection Analysis). Si noti che il documento SRS è in grado di controllare ogni singola descrizione SIF in conformità ai requisiti del capitolo 10 della IEC 61511.
FSA - Fase 2
Una volta che il SIS è stato determinato dall’integratore di sistema, viene messa in atto la fase 2 dell’FSA prima di condividere il SIS con l’utente finale. La fase 2 della FSA viene eseguita durante il FAT (Factory Acceptance Test) o contestualmente ad esso, come verifica che tutti i contenuti del SIF e del SIS per l’elaborazione dell’SRS siano stati correttamente determinati e testati. In genere nella fase 2 vengono valutati e confermati i requisiti di progettazione del SIF, la stima dell’obiettivo SIL, i requisiti SRS, la configurazione del PLC di sicurezza e la funzionalità del programma applicativo.
FSA - Fase 3
Prima della valutazione dei rischi, il team FSA esegue la terza fase FSA denominata PSSR (Pre-Startup-Safety-Review). Qui sono attuate la valutazione delle tecnologie sanitarie (HTA, Health Technology Assessment) e le procedure di modifica del progetto. Le raccomandazioni delle fasi precedente sono risolte, mentre il SIS è progettato, realizzato e messo in funzione in conformità all’SRS. Le procedure di sicurezza, manutenzione ed emergenza relative al SIS sono messe in atto. La formazione dei dipendenti è completata e sono fornite informazioni appropriate al personale con ulteriori strategie per l’attuazione dell’FSA.
FSA - Fase 4
Dopo aver acquisito esperienza nella fase operativa e di manutenzione, deve essere eseguita una FSA periodica (fase 4) per garantire che le attività vengano svolte secondo le ipotesi fatte durante la progettazione e in modo che vengano soddisfatti i requisiti della IEC 61511 per la gestione e la verifica della sicurezza. La frequenza della FSA periodica è spesso guidata dalle autorità di regolamentazione, ma in genere è compresa tra 1 e 3 anni. Tipicamente vengono valutati e validati il registro dei test di prova, le richieste del SIF, i dati dei guasti rilevati in campo.
FSA - Fase 5
La fase 5 della FSA comprende un’attività di modifica che non deve iniziare prima che sia stata completata una FSA e dopo un’adeguata autorizzazione. Una volta completata l’attività di modifica, deve essere eseguita un’altra fase 5 della FSA, per valutare e confermare che la modifica richiesta soddisfi i requisiti di integrità della sicurezza. La procedura MOC (Management Of Change) autorizzata viene svolta garantendo lo stato di sicurezza e la sicurezza funzionale. Nel contempo la documentazione as-built viene aggiornata.
Conclusioni
Non bisogna sottovalutare l’importanza delle valutazioni di sicurezza funzionale. Naturalmente è fondamentale la competenza del team FSA, a partire dalle capacità di giudizio degli esperti senior. Non si può essere conformi alla IEC 61511 senza che siano state eseguite tutte le FSA applicabili. Dalla fase 1 (analisi dei rischi) fino alla fase 5 (installazione, messa in servizio e convalida) del Safety Lifecycle Management, il giudizio FSA deve essere fatto da una persona competente senior non coinvolta nella progettazione delle stesse attività SIS. Dalla fase 6 (funzionamento e manutenzione SIS) fino alla fase 8 (disattivazione), la valutazione FSA deve essere compiuta da una persona competente di alto livello, anch’essa non coinvolta nel funzionamento e nella manutenzione dello stesso sistema SIS. In relazione alle fasi 1, 2, 3, 5 della FSA, tutti i giudizi degli esperti FSA devono essere conformi alla IEC 61511 edizione 2.0. Si noti che non c’è alcuna certificazione richiesta per la conformità FSA, mentre sono previste le attività di verifica, validazione e audit. Inoltre, la IEC 61508 richiede una valutazione di una persona indipendente per un SIL1, una valutazione di un dipartimento indipendente per un SIL2, una valutazione indipendente tout court per un SIL 3. Il risultato di una FSA è un risultato documentato o un rapporto che dimostri come la sicurezza funzionale e l’integrità di un determinato SIF/SIS sono soddisfatte. Ci sono dunque molti fattori che contribuiscono alla conformità rispetto alla IEC 61511. In definitiva l’FSM e l’FSA sono le prove di qualità di un progetto. Spesso gli utenti finali e i gestori dei processi richiedono di certificare una funzione SIF e un sistema SIS, in questo caso l’obiettivo del certificato è quello di dimostrate che tutti i dispositivi/strumenti sono adatti per quella particolare prestazione SIL.