NOVEMBRE 2016
FIELDBUS & NETWORKS
77
di verificare la correttezza delle informazioni trasmesse, oltre che l’inte-
grità del sistema di comunicazione digitale impiegato per le funzioni di si-
curezza. Il vantaggio dell’impiego di questi profili di sicurezza è di utilizzare
un’unica infrastruttura di comunicazione e per il sistema di automazione
sia per la parte di controllo, sia per la parte di gestione dei sistemi di si-
curezza. I vantaggi di una simile soluzione sono svariati: un unico sistema
di sviluppo e di ingegneria, semplicità di trasferimento delle informazioni
tra i sottosistemi (di sicurezza e di controllo), integrazione, gestione di lo-
giche di sicurezza più complesse, come prevedere il caso di rallentamento
anziché di fermata del sistema ecc.
Un ulteriore impulso all’impiego di soluzioni di sicurezza basate su pro-
tocolli di comunicazione digitale con profili di comunicazione di sicurezza
è venuto dalla crescita delle installazioni in cui vengono usati protocolli
Ethernet-based. Proprio la scelta di protocolli Ethernet-based per l’auto-
mazione industriale ha portato come fattore abilitante la possibilità di
condividere l’infrastruttura di comunicazione e i servizi base (Ethernet) fra
protocolli e servizi diversi, che vengono a differenziarsi tra i vari compo-
nenti/sistemi della rete. Partendo da questo concetto, a livello di funziona-
lità di controllo e gestione dell’impianto ci si è spostati sempre più verso
l’integrazione delle funzioni di sicurezza.
La sicurezza funzionale
SI parla di sicurezza funzionale quando ci si riferisce alla porzione della
sicurezza globale correlata al processo/macchinario che dipende dal cor-
retto funzionamento del sistema di sicurezza e di altri livelli di protezione
(tipicamente distanze di sicurezza, componenti meccanici ecc.). Lo scopo
finale della sicurezza funzionale è quella di ottenere una limitazione del
rischio di incidenti o di morti, di conseguenze dannose per l’ambiente e di
danneggiamento delle attrezzature e dei beni necessari per la produzione.
Dove il rischio è definito come il prodotto tra la frequenza di accadimento
di un certo evento (guasto, anomalia, difetto di un macchinario/processo)
e l’effetto dello stesso su persone, ambiente e macchinari.
Tutta la valutazione della sicurezza funzionale prende lemosse dall’analisi
del rischio, che prevede una valutazione dei singoli rischi per tutti i possi-
bili guasti/anomalie del macchinario/processo. Se alcuni dei rischi sono
ritenuti non accettabili è necessario ridurre il rischio a un valore ritenuto
accettabile per mezzo di un sistema di sicurezza. Quest’ultimo ha lo scopo
di intervenire quando si verifica l’evento pericoloso e garantisce che l’ef-
fetto di quest’ultimo sia contenuto a un livello ritenuto accettabile. Giusto
per chiarire: non esiste il ‘rischio zero’.
Il più delle volte il Sistema di Sicurezza strumentato (SIS) è inserito in
parallelo al sistema di controllo. Pertanto, la sicurezza funzionale si occupa
di evitare gli errori sistematici, padroneggiare gli errori sistematici e pa-
droneggiare gli errori o le avarie casuali. Proprio sulla valutazione degli
errori casuali è basata tutta l’analisi di sicurezza dei sistemi SIS e dei si-
stemi di sicurezza in generale.
Alla valutazione della frequenza di accadimento di un guasto casuale al
sistema di sicurezza è legata la classificazione dei sistemi con un certo
valore di SIL (Safety Integrity Level) o PL (Performance Level). Queste sigle
e questi valori sono definiti e richiamati nelle norme IEC61508 (SIL) e
ISO13849 (PL). Nel panorama normativo la norma base di definizione di
tutti i concetti è la norma IEC61508, dalla quale derivano tutte le norme
specifiche per i settori applicativi o per i componenti.
Oltre alla differenziazione rispetto ai diversi settori applicativi, esiste una
grande differenziazione nell’approccio di classificazione dei requisiti pre-
stazionali di una funzione di sicurezza tra il mondo IEC e il mondo ISO. Il
mondo IEC si applica esclusivamente alle applicazioni in cui la funzione di
sicurezza sia basata su componenti elettrici/elettronici, mentre la classi-
ficazione secondo ISO si applica anche ai sistemi meccanici ed idraulici,
approccio utilizzato principalmente nel settore macchine.
Dalla norma IEC61508 si hanno poi due diramazioni (si veda Figura 3): la
parte relativa all’assegnazione del rischio secondo gli approcci SIL (IEC)
o PL (ISO) e la parte relativa alla possibilità di utilizzare profili di sicurezza
per la parte di comunicazione tra i componenti del sistemi di sicurezza
(famiglia IEC61784-3).
L’approccio è in realtà del tutto simile (si veda Figura 4), a eccezione
del fatto che la norma di riferimento per il processo è unicamente la
IEC61511, basata sul concetto SIL. Passando nello specifico alla sigle, il
livello SIL (Safety Inetrety Level) è discreto (da 1 a 4) ed è utilizzato per
specificare i requisiti di integrità delle funzioni di sicurezza che devono
essere assegnate ai SIS (Safety Instrumented System), dove 4 rappre-
senta il livello più alto di integrità e 1 quello più basso. Questo approccio
può essere applicato solo ai sistemi di sicurezza basati su componenti
elettrici ed elettronici.
Figura 1 - Sistema di controllo e SIS
Figura 2 - Il panorama normativo IEC
Figura 3 - Riferimento normativo per il settore processo