UNI EN IEC 61508 – fondamento universale della sicurezza funzionale

UNI EN IEC 61508 (ing. IEC 61508) è una norma spesso considerata la “base” per altri documenti di settore che trattano la sicurezza funzionale. Definisce i principi per ridurre al minimo il rischio nei sistemi di controllo basati su tecnologie elettriche, elettroniche o elettroniche programmabili (E/E/PE). Le sue prescrizioni si fondano su quattro pilastri:

1. Ciclo di vita della sicurezza (Safety Lifecycle)
   – dalla concezione iniziale e dall’analisi dei pericoli fino alla dismissione del sistema.
2. Livelli di Integrità di Sicurezza (SIL)
   – assegnati alle funzioni di sicurezza per definire i requisiti di affidabilità.
3. Gestione della sicurezza funzionale
   – ruoli, responsabilità, procedure di verifica e riesami delle competenze chiaramente definiti.
4. Documentazione
   – predisposizione, archiviazione e aggiornamento di tutti i dati e i report rilevanti ai fini dell’esercizio e di eventuali controlli.

Questi presupposti fanno sì che la 61508 non riguardi un solo settore. Al contrario: la norma è stata concepita per poter essere adattata alle specificità di ambiti diversi, dalla meccanica al ferroviario e all’aeronautico, fino all’energia (anche nucleare) e all’automazione dei processi (vedi anche Automazione industriale).

Applicazione nei diversi settori

Macchine e linee di produzione: UNI EN 62061 e UNI EN ISO 13849

Per quanto riguarda la progettazione di macchine e linee di produzione, ci si richiama spesso a:

• UNI EN 62061 – “Sicurezza del macchinario – Sicurezza funzionale dei sistemi di comando elettrici, elettronici ed elettronici programmabili correlati alla sicurezza”,
• UNI EN ISO 13849-1 – che descrive il “Performance Level” (PL).

Entrambe queste norme si basano in larga misura sui concetti della 61508, soprattutto per quanto riguarda la valutazione del rischio (cfr. anche Come valutare il rischio secondo la ISO 12100: analisi della formula del rischio e dei metodi), la definizione dell’integrità di sicurezza e i principi di ridondanza.

Esempi pratici:

• Linea di confezionamento automatica: utilizziamo barriere fotoelettriche e dispositivi di arresto di emergenza, progettando il sistema di comando in modo che, in caso di interruzione del fascio, le macchine si arrestino immediatamente in condizioni di sicurezza.
• Robot collaborativi (cobot): requisiti aggiuntivi sulla risposta al contatto con l’operatore, spesso tenendo conto di SIL 2 o SIL 3.

Con la 61508 definiamo la metodologia generale, mentre la 62061/13849-1 specificano passo dopo passo come eseguire l’analisi del rischio e come implementare le singole funzioni di sicurezza nella macchina (vedi anche Automazione sicura delle macchine).

Ferrovia: serie EN 5012x

Nel settore ferroviario, il riferimento è costituito dalle norme:

• EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
• EN 50128 (software ferroviario),
• EN 50129 (sistemi elettronici nella segnalazione ferroviaria).

Ciascuna di esse, per quanto riguarda i requisiti di sicurezza, richiama regole fondamentali analoghe alla 61508. Sono previsti anche livelli SIL (di norma 0–4) e requisiti rigorosi in termini di indipendenza dei sistemi (ridondanza dei canali) e immunità ai disturbi (guasti da causa comune).

Esempio:

• Controllo della circolazione dei treni: in caso di rischio di collisione, i freni vengono attivati automaticamente. Se un sistema di questo tipo è classificato SIL 4, deve rispettare requisiti di affidabilità estremamente stringenti e procedure di prova, in conformità a EN 50128/50129.

Industria di processo: UNI EN 61511

Per impianti chimici, petrolchimici, raffinerie o stabilimenti di trattamento del gas, il riferimento è la norma UNI EN 61511, derivata direttamente dalla 61508 ma focalizzata in modo specifico sui cosiddetti SIS (Safety Instrumented Systems).

• Progettiamo i loop di sicurezza (SIF – Safety Instrumented Function) e definiamo il SIL per ciascuno di essi.
• Nell’analisi dei pericoli di processo utilizziamo spesso il metodo HAZOP.
• Garantiamo che sensori e attuatori abbiano un’affidabilità adeguata e vengano testati a intervalli regolari.

Energia nucleare: IEC 61513

Quando il rischio di guasto comporta una minaccia per aree estese (centrali nucleari), le norme di sicurezza funzionale sono ancora più stringenti.

• IEC 61513 (in Polonia talvolta richiamata come PN-IEC 61513) definisce i requisiti per i sistemi di protezione e di controllo delle centrali nucleari.
• È richiesta una ridondanza multicanale (ad es. 2oo3, 2oo4 – “two out of three”, ecc.) e un controllo estremamente rigoroso della progettazione del software.

Aviazione: DO-178C / DO-254

Anche se in ambito aeronautico non si utilizza direttamente la 61508, l’impostazione è sostanzialmente allineata. I documenti DO-178C (per il software di bordo) e DO-254 (per l’hardware) introducono livelli di criticità A–E, basati sulle conseguenze dell’errore (da lievi inconvenienti fino alla catastrofe dell’aeromobile). La metodologia di analisi, ridondanza, test e gestione della configurazione è, di fatto, molto simile alla 61508, con un’enfasi sulle regole dettagliate di certificazione dell’avionica.

UNI EN IEC 61508: presupposti e significato pratico

1. Ciclo di vita della sicurezza
   • Comprende le fasi: dalla definizione del concetto, passando per la progettazione di dettaglio (hardware, software), fino a installazione, collaudi/accettazioni, esercizio e modifiche.
   • In questo modo non ci si limita a un singolo audit a fine progetto: la sicurezza deve essere analizzata e dimostrata per tutto il periodo di utilizzo.
2. Livelli di Integrità di Sicurezza (SIL)
   • Esistono quattro livelli: SIL 1 è il meno rigoroso; SIL 4 è il più rigoroso.
   • Ciascuno definisce i limiti ammissibili della probabilità di guasto pericoloso (ad es. PFD per la modalità a bassa richiesta).
3. Valutazione e documentazione del rischio
   • Prima di iniziare a progettare, devi sapere quali pericoli esistono e quale sia la loro entità.
   • La documentazione (analisi come HAZOP, FMEA, albero dei guasti) costituisce l’ossatura del sistema: in caso di controllo o audit puoi dimostrare la solidità delle tue decisioni progettuali. Per impostare l’analisi del rischio può essere utile anche Come valutare il rischio secondo la ISO 12100: analisi della formula del rischio e dei metodi.
4. Indipendenza e ridondanza
   • La ridondanza è efficace solo se due (o più) canali non si guastano contemporaneamente per la stessa causa (guasti da causa comune).
   • Un SIL elevato richiede, nella maggior parte dei casi, tecnologie diverse, alimentazioni separate, ecc.
5. Gestione delle competenze
   • Le persone responsabili della progettazione e della manutenzione dei sistemi di sicurezza devono avere qualifiche ed esperienza adeguate (la norma lo sottolinea esplicitamente).

Cosa offre l’adozione della UNI EN 61508

1. Meno guasti e meno fermi impianto – grazie a un migliore controllo del rischio e all’individuazione anticipata dei difetti.
2. Conformità ai requisiti – clienti, ispettori e assicuratori spesso richiedono la certificazione secondo norme di questo tipo.
3. Maggiore fiducia – i sistemi progettati secondo 61508 / 61511 / 62061 / EN 5012x sono percepiti come più affidabili.
4. Efficienza nel lungo periodo – anche se l’implementazione può essere costosa, consente di ridurre le potenziali perdite dovute a incidenti o a problematiche legali.

UNI EN IEC 61508: errori e criticità più frequenti

1. Mancanza di un’adeguata analisi dei guasti da causa comune: un sistema ridondante può fallire se i canali condividono la stessa alimentazione o lo stesso bus dati.
2. Limitarsi a un singolo componente con certificazione SIL: il fatto che un sensore o un controllore abbia una certificazione SIL 2/3 non significa automaticamente che l’intero sistema abbia lo stesso livello: conta l’architettura complessiva (sensori, cablaggio, software, attuatori).
3. Assenza di test periodici: per i sistemi che intervengono raramente, la prova in condizioni reali è un obbligo. Senza di essa non si ha certezza che la funzione di sicurezza si attivi nel momento critico.
4. Trascurare la fase di modifica: se cambi anche solo una parte del software o sostituisci una valvola, devi ripetere alcuni passaggi del ciclo di vita della sicurezza, in particolare l’analisi dell’impatto della modifica.
5. Trascurare le competenze: dal progettista al personale di manutenzione, tutti necessitano di una formazione adeguata per sapere come rispettare i principi della sicurezza funzionale.

UNI EN 61508 è un punto di partenza, mentre le norme di settore (UNI EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 ecc.) ne adattano i principi alle specificità dei singoli comparti industriali. Per te, come progettista o utilizzatore di sistemi di sicurezza, questo significa:

• Indicazioni chiare e coerenti su come affrontare l’analisi del rischio, la determinazione del SIL e il collaudo dei sistemi. In ambito macchine, può essere utile anche Identificazione dei pericoli secondo la norma ISO 12100.
• La necessità di predisporre una documentazione dettagliata, dai protocolli di prova fino alle registrazioni sulle competenze del personale.
• Maggiore certezza che le soluzioni implementate rispettino standard internazionali e siano accettabili per clienti e autorità di vigilanza.

In definitiva, anche se può essere un processo costoso e dispendioso in termini di tempo, l’implementazione corretta della UNI EN 61508 (o delle sue “derivate”) si traduce in minore rischio di incidenti, un funzionamento più stabile dell’impianto e una migliore reputazione nel settore. Queste norme, quindi, non sono “carta inutile”, ma uno strumento efficace per proteggere vita, salute e beni.