Il Safety Manual, il manuale della sicurezza, è un documento obbligatorio per qualunque dispositivo SIL in accordo con la norma IEC 61508. In forma complementare il Functional Safety Manual è rivolto ai progetti SIS ed è conforme allo standard IEC 61511.
Il Safety Manual è un documento che descrive le condizioni d’uso di apparecchiature conformi allo standard IEC 61508 in applicazioni di sicurezza. In genere include requisiti, restrizioni d’uso, limiti ambientali, configurazioni software, dati sul tasso di guasto, dati sulla vita utile, stima delle cause di guasto, procedure di ispezione e test. Un fornitore di prodotti legati alla sicurezza deve mettere i propri utenti in condizione di sapere cosa possono e non possono fare con tali prodotti. Un manuale di sicurezza è dunque un requisito chiave della IEC 61508 per qualsiasi sistema o prodotto relativo alla sicurezza. Le parti 2 e 3 dello standard hanno specifici allegati (Appendice D) dedicati ai requisiti e ai riferimenti normativi del manuale di sicurezza. Un manuale di sicurezza può essere un documento indipendente o una sezione separata del manuale generale del prodotto. Il punto chiave è che tutte le informazioni rilevanti sull’uso del prodotto in un'applicazione di sicurezza funzionale devono essere facilmente disponibili per l’utente.
Per ogni elemento o funzione di sicurezza, il manuale deve contenere le specifiche funzionali, l’identificazione dell’hardware e del software interessato, i vincoli e le condizioni di utilizzo. Di ogni funzione devono inoltre essere descritte la tolleranza ai guasti (HFT, Hardware Fault Tolerance), modalità e tassi di guasto, stress test, diagnostica, configurazione software, capacità sistematica (SC, Systematic Capability) e altre informazioni chiave. Dal punto di vista firmware/software devono essere descritti con precisione ulteriori requisiti come l’integrità delle funzioni di sicurezza, l’applicazione a cura dei system integrator e tutto ciò che riguarda l’usabilità del software (configurazione, revisioni, retrocompatibilità, interfacce, sicurezza, controlli).
La manualistica GM International è estremamente rigorosa al riguardo. Di ogni prodotto sono descritte e illustrate le modalità di installazione, operatività, manutenzione, stress test, vita utile dello strumento, tasso di guasto in relazione alla verifica SIL.
Functional Safety Manual
Un passo in avanti ci consente di estendere il concetto di Safey Manual a quello di Functional Safety Manual che ulteriormente definisce come un componente o sistema SIS può essere applicato in sicurezza includendo informazioni utili sia al costruttore che all’utilizzatore e soprattutto allargando i riferimenti normativi alla terminologia utilizzata nella IEC 61511. Più nello specifico un Functional Safety Manual aiuta ingegneri ed end user ad assicurare che l’integrità di sicurezza sistematica sia mantenuta al livello SIL prefissato. Il livello di personalizzazione del documento è comunque legato alle informazioni disponibili per ogni singola funzionalità o sottosistema di una determinata SIF (Safety Instrumented Function) dell’intero SIS. Da un punto di vista operativo si rivela utile identificare le tipiche configurazioni dei loop di misura e la classificazione delle SIF. Si consideri poi che ogni sottosistema SIF introduce fattori critici di analisi e differenzianti (stress test, vita utile, versioni hardware, firmware e software).
Un Functional Safety Manual include in definitiva una breve descrizione del sistema e della sua architettura, l’identificazione dei vincoli, delle limitazioni e delle revisioni, delle attività operative (inclusi gli stati di fail safe e safe state, stress test e manutenzioni), delle modalità e dei tassi di guasto, di altri parametri e misure correlati a possibili guasti e malfunzionamenti. I requisiti del manuale di sicurezza funzionale per un progetto conforme alla IEC 61511:2016/2017 edizione 2.0 possono essere effettivamente un unico documento a sé stante che ha il vantaggio di tenere sotto controllo la revisione in un unico documento. Lo svantaggio è ovviamente che un documento per un intero SIS è continuamente esposto a potenziali modifiche o revisioni. D’altra parte, l’utilizzo di più documenti potrebbe facilitare in prima istanza le revisioni. Tuttavia, maggiore è il numero di documenti che descrivono la sicurezza funzionale del SIS, maggiore sarà l’impegno per mantenere un rigoroso controllo di revisione.