La gestione della sicurezza funzionale (FSM) è il collante che tiene insieme il ciclo di vita della sicurezza in IEC61511. Per raggiungere la conformità e i requisiti SIL occorre un piano che copra tutte le fasi del ciclo di vita della sicurezza.
Si dice che l’FSM riguarda le 3 P: People, Paperwork e Procedures ed è specificamente inteso per aiutare a ridurre e prevenire guasti sistematici che si insinuano nel ciclo di vita. Di fatto gli standard di sicurezza funzionale richiedono la verifica incrociata di tutte le attività coinvolte. Tale approccio si applica al ciclo di vita di sicurezza completo dei dispositivi di protezione. Sia l’analisi del rischio (requisito SIL) che il processo di implementazione delle misure per la riduzione del rischio devono essere valutati di conseguenza. In tale ambito è necessario specificare esplicitamente l’importanza dell’elaborazione del ciclo di vita di sicurezza completo, inclusa la documentazione obbligatoria. In sostanza la gestione FSM viene utilizzata per evitare i guasti sistematici e per assicurarsi che tutte le attività e tutti i risultati (documenti, hardware, software) che influiscono sulla riduzione del rischio possano essere monitorati e verificati.
Un sistema di gestione della sicurezza deve essere progettato in modo da garantire che, se vengono utilizzati sistemi strumentati di sicurezza (SIS), questi abbiano la capacità di mantenere il processo in condizioni di sicurezza. La pianificazione della gestione della sicurezza funzionale ha luogo per definire le attività, i criteri, le tecniche, le misure, le procedure, l’organizzazione e le persone responsabili al fine di garantire il raggiungimento dei requisiti di integrità funzionale e di sicurezza del SIS e del SIF dopo l’installazione, mantenendo l’ integrità della sicurezza durante il funzionamento (test di prova, copertura, analisi dei guasti) e gestendo i rischi di processo durante le attività di manutenzione.
Il ciclo di vita della sicurezza
Il ciclo di vita del SIS è definito durante la pianificazione della sicurezza, comprese le attività di programmazione dell’applicazione. Ogni fase del ciclo di vita della sicurezza del SIS è definita in termini di input, output e attività di verifica. La sicurezza dei processi implica il mantenimento dei processi sotto controllo e l’arresto della perdita di contenimento di materiali pericolosi da tubi, serbatoi e attrezzature di processo. È la preoccupazione di molte discipline diverse tra cui esperti di materiali, esperti di processo, meccanici, elettrici, di controllo e strumentazione, così come professionisti della sicurezza di processo.
La sicurezza funzionale è una parte dell'approccio globale alla sicurezza di processo dell'impianto. Quando si verificano eventi pericolosi, la strumentazione e i dispositivi di automazione come i sensori, i controllori logici e gli elementi finali (es. valvole) porteranno il processo a uno stato sicuro. Se applicati correttamente, i principi della sicurezza funzionale dovrebbero garantire che ogni evento pericoloso sia prevenuto o mitigato da apparecchiature progettate con il giusto livello di integrità che è appropriato per il rischio posto.
Il ciclo di vita della sicurezza per il settore dell’industria di processo deriva dallo standard IEC 61511. Si tratta essenzialmente di una rappresentazione a stadi delle diverse attività necessarie per valutare i pericoli e poi per gli stadi di prevenzione o per numerare i rischi. Il ciclo di vita della sicurezza si concentra sui sistemi strumentati di sicurezza (SIS) come uno degli strati critici di protezione specialistica che hanno bisogno di un'attenta specifica, progettazione, test e di manutenzione. Un sistema FSM ben progettato deve contenere le misure per garantire che tutto il personale sia competente nella parte del ciclo di vita di cui è responsabile. Deve inoltre fornire politiche, pianificazione e procedure efficaci per controllare tutte le attività del ciclo di vita, dalla progettazione iniziale del SIS alla sua manutenzione o modifica.
Un altro tema chiave degli standard di sicurezza funzionale è la necessità di verifica. In parole povere, se una persona completa un’attività, una persona diversa dovrebbe essere responsabile della verifica. Questo approccio è piuttosto comune nell’ingegneria, ma dovrebbe assumere un nuovo livello di rigore e importanza quando i sistemi vengono progettati per la sicurezza.
La complessità dello standard nella pratica
La IEC61511 è in gran parte non prescrittiva nel modo in cui può essere applicata, il che fornisce grande flessibilità nella progettazione di SIF e SIS. Ma questa flessibilità comporta una complessità aggiuntiva in termini di conformità.
Del resto, lo standard non indica il responsabile di ogni attività del ciclo di vita della sicurezza SIS, non prescrive alcuna tecnica specifica (HAZOP, LOPA ecc.), non obbliga a seguire requisiti particolari per le funzioni di sicurezza non strumentate e non prescrive alcun SIL specifico. Per essere conformi alla IEC 61511-1:2016, si deve dimostrare che ciascuno dei requisiti delineati dalla clausola 5 alla clausola 19 è soddisfatto secondo i criteri definiti. Quindi, seguendo i requisiti delle quindici clausole dalla 5 alla 19, e soddisfacendo gli obiettivi di ciascuna di esse, dovrebbe essere possibile dimostrare la conformità alla IEC61511 e l’implementazione dei requisiti della clausola 5 (gestione della sicurezza funzionale). Tutto questo sembra relativamente rassicurante, ma non lo è. Anzitutto lo standard non assegna responsabilità a nessuna organizzazione o disciplina individuale, quindi la sfida principale in qualsiasi progetto SIS è la suddivisione delle attività tra le parti responsabili. In definitiva, il responsabile della sicurezza deve accettare di convivere con il rischio e assumerne il ruolo principale. Inoltre, anche se esistono centinaia di requisiti, ci sono poche tecniche o metodi specifici prescritti nella IEC 61511. Ciò significa che si possono usare molte tecniche diverse per raggiungere lo stesso obiettivo, quindi la valutazione di conformità richiede la conoscenza di molte tecniche e un approccio pragmatico per dare un giudizio di idoneità. Va poi considerato che lo standard IEC 61511 è riconducibile allo standard IEC 61508 per molti aspetti della conformità di hardware e software. Senza una dettagliata conoscenza dell’IEC 61508, una valutazione della conformità può essere difficile. Del resto con l’avvento dei problemi di sicurezza informatica, sono stati aggiunti altri nuovi standard e nuovi requisiti all’elenco di riferimenti incrociati.
Ogni clausola della IEC 61511 contiene numerose sotto-clausole. In totale ci sono più di 590 sotto clausole e punti elenco da controllare. Alcuni requisiti sono simili nello scopo, e sono spesso collegati tra una clausola e l’altra. Distinguerli e implementarne la corretta applicazione è tutt’altro che semplice.
Per approfondire visita il canale YouTube di GM International
