Paolo Viviani (Membro CEI/CT 44, Esperto in IEC/MT 60204-1, IEC/WG 10 61496‐4‐2 e 61496‐4‐3; IEC/WG 7 (EC 62061); IEC/MT 62046)

Dopo la pubblicazione, a giugno del 2015, della versione consolidata della Norma IEC 62061 ed 1.2, gli esperti del Gruppo di Lavoro a livello internazionale hanno ritenuto necessario sfruttare al meglio l’impegno profuso durante il progetto congiunto ISO/IEC 17305 di unificazione delle Norme IEC 62061 e ISO 13849-1, iniziando i lavori di revisione che porteranno alla stesura di una nuova edizione della IEC 62061 prevista per fine 2018.

È alla luce di tutti che il processo di unificazione delle Norme IEC 62061 e ISO 13849-1 è per ora stato sospeso; ma non per questo gli esperti dei rispettivi Gruppi di Lavoro hanno bloccato, di fatto, il processo di avvicinamento delle due norme, e questa nuova edizione porterà infatti alla luce gran parte delle tematiche analizzate in sede ISO 17305.

Il Gruppo di Lavoro della 62061, quindi, sta affrontando il difficile processo di revisione della normativa IEC 62061 e ad oggi si sta lavorando sull’analisi dei primi commenti relativi alla stesura del primo CD.

Questa norma, che insieme alla ISO 13849-1 fornisce gli strumenti per una corretta progettazione della sicurezza funzionale per il macchinario, si sta evolvendo con non pochi stravolgimenti e novità che la renderanno via via sempre più appetibile per chi vuole analizzare i sistemi di sicurezza con un approccio più completo rispetto a quanto finora permesso dall’edizione precedente e attualmente in vigore.

Gli esperti sono infatti chiamati ad uno sforzo per tentare di rendere ancor più facilmente fruibili ai lettori/utilizzatori della norma i concetti base già espressi e quelli che verranno introdotti in questa nuova edizione come il “low-demand mode of operation” (bassa modalità di richiesta della funzione di sicurezza, vedi IEC 61508) ed i nuovi strumenti per analizzare non solo i sistemi e sottosistemi prettamente elettrici ed elettronici,ma anche quelli pneumatici e/o oleodinamici.

Per enfatizzare ancora di più la possibilità di analizzare sistemi non prettamente elettronici l’acronimo SRECS (Safety-Related Electronic Control System) viene abbandonato per un più generico SCS (Safety Control System).

L’approccio alla progettazione dei Sistemi di controllo di sicurezza non viene però modificato rispetto a quanto indicato in passato, ma bensì viene data una nuova strutturazione più organica e più facilmente fruibile.

Il flusso logico parte dalla fase di identificazione e raccolta dei requisiti di sicurezza per poi proseguire:

• nella stesura delle specifiche di sicurezza per identificare le varie funzioni e le caratteristiche che il SCS deve eseguire secondo il SIL assegnato;
• nell’identificazione dei vari blocchi (sub-systems) e sotto funzioni (sub-functions) per poter identificare le architetture (e relative limitazioni) e per applicare al meglio, grazie alla scomposizione ottenuta, i metodi di calcolo suggeriti per la determinazione dei valori di SIL raggiunti dalla soluzione tecnica considerata.

In questa parte si è ancor più enfatizzato lo stretto rapporto fra la IEC 62061 e la IEC61508 cercando di rendere più chiaro il parallelo fra le due norme.

Come fase finale del processo di sviluppo della funzione di sicurezza si vuole dare anche una maggiore enfasi al processo di validazione che è stato dettagliato ed ampliato ulteriormente nelle sue spiegazioni e nell’analisi delle diverse tecniche di validazione possibili,  fino ad analizzare la documentazione richiesta in accompagnamento al Safety Control System (SCS) sviluppato.

Un capitolo a parte viene poi dedicato interamente alla gestione/implementazione del software relativo alle parti di sicurezza. In questo capitolo, si vuole fornire un approccio meglio strutturato e semplificato, ma non snaturato, allo sviluppo del software di sicurezza cercando di ottimizzare e chiarire al meglio quanto indicato dalla IEC 61508-3. Si vuole anche introdurre una suddivisione delle tipologie di software, chiamate “software level” che si possono incontrare durante lo sviluppo di un SCS, per poter meglio gestire il riutilizzo di codici già precedentemente sviluppati per applicazioni di sicurezza. Anche in questo capitolo, la filosofia di base del processo di sviluppo viene comunque mantenuta.

Inoltre, in questo capitolo si accenna anche alle problematiche relative alla Security (sicurezza informatica) in concomitanza con la parte di Safety (sicurezza del macchinario) che ormai, data la crescente integrazione dei sistemi, assume un ruolo sempre più importante alla luce anche della ben più nota “Industria 4.0”. Anche gli allegati non sono esenti da questo rimaneggiamento.

La presenza prevista di ben undici allegati rispetto agli attuali cinque è indice dello sforzo che il Gruppo di Lavoro, sia a livello nazionale sia internazionale sta compiendo per migliorare l’assetto completo dell’intera norma.

L’Allegato A mantiene la sua natura di guida e semplificazione ed aiuta il lettore, attraverso un metodo semplificato, ad assegnare il SIL alla funzione di sicurezza analizzata cercando di rendere più oggettiva possibile la scelta dei vari parametri che concorrono all’assegnazione.

L’Allegato B verrà migliorato e gli esempi saranno estesi in modo da fornire al lettore gli strumenti per poter sfruttare al meglio le nuove opportunità offerte dalla norma, spiegando soluzioni anche basate sull’utilizzo delle informazioni e suggerimenti previsti in altri allegati.

L’Allegato C, che nella versione attuale della norma è incentrato sullo sviluppo e gestione del software embedded, passa ora a fornire esempi di calcolo del parametro MTTF_D.

L’Allegato D raccoglie tutte le modifiche al testo della norma (sostituzioni, cancellazioni ed aggiunte) necessarie per poter sviluppare sistemi operanti in “low demand mode of operation” introducendo di fatto questa possibilità anche per il settore della sicurezza del macchinario.

L’Allegato E riporta in estrema sintesi la stima della copertura diagnostica raggiungibile (DC) per ogni tipologia di misura diagnostica messa in atto e applicabile ad ogni stadio del SCS (Ingresso, Logica, Uscita). Le tabelle sono derivate dalla IEC 61508

L’Allegato F resta sostanzialmente immutato e si propone di aiutare il lettore fornendo una metodologia a punteggio per la stima della resistenza ai guasti di modo comune (CCF).

L’Allegato G intende prendere in considerazione l’approccio per lo  sviluppo del software che riutilizza moduli software provenienti da altre applicazioni di sicurezza o moduli sviluppati per la sicurezza (E.G. PLC di sicurezza, Relè di sicurezza programmabili). Attraverso un esempio applicativo intende fornire linee guida per lo sviluppo dell’intero software di gestione della funzione di sicurezza.

L’Allegato I fornisce invece una tabella di correlazione fra le più comuni funzioni di sicurezza ed i loro riferimenti a livello normativo internazionale.

L’idea alla base dell’Allegato K è di rendere più semplice e chiaro il calcolo del PFH_D attraverso l’uso di tabelle di riferimento come per l’Allegato K della ISO 13849-1, a sottolineare il continuo e costante avvicinamento delle due norme.

A sancire poi questo processo di convergenza, gli esperti dei gruppi di lavoro di entrambe le Norme, IEC 62061 e ISO 13849-1 coordinati dal Joint Advisory Group (JAG1), intendono implementare un Allegato (previsto Allegato L nella nuova IEC 62061) comune ad entrambe le norme, nel quale evidenziare le strette relazioni fra le due norme e le eventuali differenze fra le stesse.

Riassumendo, nonostante le molteplici novità che si vorrebbe introdurre, la IEC 62061 è e resterà un punto di riferimento per la progettazione dei sistemi di sicurezza per l’automazione industriale.

Il grande sforzo degli esperti nel mantenere aggiornata e facilmente consultabile la norma, senza dimenticare la possibilità di raccordo con le edizioni passate, non potrà altro che giovare alla nuova edizione che, come accennato, si presume possa essere pubblicata entro fine 2018 o inizio 2019.