C’è un legame importante tra SRS (Safety Requirement Specification) e loop di sicurezza. Le specifiche definiscono l’architettura dei SIS (Safety Instrumented System) i quali includono i safety loop, dal sensore all’elemento finale.
Nell’industria di processo l’obiettivo di permettere lo sviluppo di sistemi di sicurezza E/E/PE (elettrici, elettronici o elettronici programmabili) è definito dalla norma internazionale IEC 61511. Tale norma non identifica una struttura standard, ma tratta la gestione della sicurezza per l’intera vita di un sistema, dalla progettazione alla messa fuori servizio. Fondamentale, per questo approccio, è il ciclo di vita globale della sicurezza che descrive le attività correlate alla specifica, allo sviluppo, al funzionamento e alla manutenzione di un sistema SIS.
Il piano per la validazione della sicurezza globale di un sistema SIS fornisce la pianificazione della validazione della sicurezza del sistema SIS rispetto alla SRS e ad altre informazioni di riferimento, come le tabelle delle cause e degli effetti. La validazione include tutte le principali modalità di funzionamento (avviamento, spegnimento, manutenzione, condizioni anomale, ecc.), procedure, tecniche e misure da utilizzare, programma, personale e reparti responsabili. Include anche la pianificazione della validazione del software applicativo di sicurezza.
All’interno del ciclo di vita, nella fase iniziale di valutazione dei pericoli e dei rischi, l’obiettivo è quello di determinare eventi pericolosi del processo e delle apparecchiature associate, la sequenza di eventi che conduce al pericolo, i requisiti per la riduzione dei rischi, le funzioni di sicurezza necessarie alla riduzione dei rischi. Oltre che tramite modelli di calcolo probabilistici, il metodo di determinazione dei SIL target può avvenire tramite grafici di rischio, soprattutto se i pericoli da analizzare sono diversi. Grafici dei rischi e matrici di rischio possono essere molto utili, soprattutto quando sono utilizzati come tecnica preliminare e veloce per filtrare tutto tranne i SIL più elevati. Tuttavia, un’attenta calibrazione delle tecniche utilizzate dovrebbe evitare risultati errati.
Analisi del livello di protezione e ridondanza
L’analisi del livello di protezione (LOPA, Layers of Protection Analysis) è un modo strutturato di calcolare i target di riduzione del rischio e i SIL. L’analisi LOPA viene realizzata in modo simile a quello dello studio HAZOP (HAZard and OPerability analysis). I potenziali pericoli vengono generalmente identificati tramite l’approccio HAZOP ed importati nei fogli di lavoro LOPA, mantenendo così un link tracciabile tra le due analisi, dall’identificazione del pericolo al requisito di riduzione del rischio e al SIL target. I risultati dell’approccio LOPA mostrano in genere che le situazioni di pericolo hanno conseguenze di sicurezza che possono essere protette con una determinata funzione SIF. In aggiunta o in alternativa possono essere utilizzate alcune tabelle pratiche di confronto tra le principali architetture dei SIS, con diversi tipi di ridondanza, al variare dei principali parametri che influenzano il SIL come la copertura diagnostica dei sottosistemi del SIS e l’intervallo delle prove periodiche. Per quanto riguarda i controllori comunemente utilizzati nell’industria di processo si osserva che sono in genere sistemi complessi, dove solo l’hardware del PLC vero e proprio è coperto dalla dichiarazione di conformità alle norme. Ma in realtà anche gli accessori, gli I/O, le barriere, relè di interposizione e morsettiere con relativi cablaggi devono essere altrettanto conformi e idonei al livello di sicurezza necessario.
Gestione e analisi del rischio
Dal momento che il rischio deve essere quantificato sia in termini di conseguenze che di probabilità di occorrenza, è opportuno procedere ad una classificazione su una scala numerica dove più grande è il numero, maggiore è l’impatto o la probabilità di occorrenza. In linea generale, utilizzando una matrice di rischio è possibile stabilire le priorità e valutare i rischi.
Ogni fase del ciclo di vita descrive un’attività ed ogni attività richiede delle informazioni come input. Ogni fase consiste in un’attività, che dovrebbe avere procedure documentate, che genera informazioni come output per le fasi successive. Questo schema prevede che siano elencate le informazioni richieste come input all’attività e quelle generate dall’attività come output per la fase successiva. Va osservato che, sebbene la norma descriva le fasi del ciclo di vita ed i requisiti informativi di ogni fase, in pratica alcune delle fasi e i relativi documenti possono essere combinati. Le attività dovrebbero essere eseguite nel modo più efficace e le informazioni presentate nel modo più chiaro. L’output dell’ultima fase consiste generalmente in uno studio HAZOP e nell’analisi dei rischi utili a identificare i requisiti delle funzioni di sicurezza e i target di riduzione dei rischi.
Il livello SIL di ogni funzione SIF viene selezionato durante lo studio di determinazione del livello SIL mediante il grafico dei rischi, l’analisi LOPA o la matrice dei rischi. Queste informazioni devono essere comunicate al team dei responsabili mediante la specifica dei requisiti di sicurezza (SRS) in modo da garantire che, durante l’implementazione, il progetto soddisfi i requisiti di integrità della sicurezza SIF. Si noti che gli allarmi associati a una determinata probabilità di guasto su domanda (PFD, Probability of Failure on Demand) possono ridurre sensibilmente la frequenza di incidenti ottenendo un fattore di riduzione del rischio (RRF, Risk Reduction Factor) pari a 1/PFD. È utile ricordare che, matematicamente, la PFD è una probabilità e quindi una quantità adimensionale, con un valore compreso tra 0 e 1.
Per approfondire visita il canale YouTube di GM International
