06 agosto 2012

Le specifiche del cliente: il Safety Integrity Level

Sempre più spesso capita di trovarmi di fronte a specifiche del cliente che facciano richiesta di sistemi realizzati con uno specifico livello di integrità di sicurezza (SIL, o Safety Integrity Level) secondo le norme IEC 61508, IEC 61511 (per dispositivi e sistemi) e IEC 50128 (per il software ambito ferroviario), etc.
Non sono solito discutere le specifiche, in quanto devo ritenerle prescrittive e vincolanti, ma spesso mi capita di interrogarmi sull'esigenza che le scaturisce, e ogni tanto mi permetto di criticarle.
Ped Safety Gates
Le norme che ho citato, per fare un esempio, riguardano la realizzazione di sistemi che governano determinate e limitate funzioni di sicurezza. La mole di dati e di letteratura che si nasconde dietro al semplice codice della norma è quantomeno sconcertante, pur riguardando componenti e sistemi che nel loro complesso svolgono pochissime e ben definite funzioni nel modo più sicuro possibile per evitare danni agli esseri umani e all'ambiente. La pretesa di chiedere, in una specifica, che un sistema di automazione e supervisione sia completamente soddisfacente i requisiti di un SIL 2 o ancora peggio di un SIL 3, è un cieco abuso di terminologia, molto spesso inconsapevole, di chi scrive la specifica.

Questo post non ha la pretesa di spiegare, in poche righe, come questi requisiti vadano assegnati: sarebbe una materia troppo articolata e comunque esistono già numerosissimi testi consultabili online, appartenenti al dominio che possiamo genericamente individuare con la locuzione "valutazione dei rischi". Più che altro lo scopo di questo articolo è quello di spiegare qualcosa di molto più semplice: ovvero che le specifiche hanno uno scopo e uno solo, e non è quello di prescrivere soluzioni, bensì quello di coprire delle necessità. L'analogia che meglio si adatta al concetto che voglio esprimere è quella del malato (cliente) che lamenta un problema (l'esigenza). Può seguire due strade: va in farmacia e chiede un farmaco ben preciso poiché ha auto-diagnosticato il disturbo (da una specifica all'integratore e si aspetta il rispetto totale), oppure si rivolge ad un medico (progettista) che troverà dalla descrizione del problema (l'esigenza) la migliore cura (specifica) da chiedere al farmacista (integratore). Quale dei due approcci seguire lo può decidere solamente il cliente, ma solo uno dei due sarà quello che gli offre i maggiori benefici.
A volte, però, capita che la specifica non sia fornita con lo scopo di risolvere un problema, ma per garantire determinati tipi di omogeneità (solo di rado anche l'interoperabilità) con quanto già disponibile, talvolta considerando "specifiche necessarie" anche le lacune e le problematiche dei sistemi esistenti. A tal proposito suggerisco di leggere questo interessante articolo di Control Global che spiega cosa si intenda con "resistenza al cambiamento" in ambienti industriali.
In definitiva: il SIL, ovvero il livello di integrità di sicurezza, non è una caratteristica che nasce dall'esperienza di chi scrive una specifica, ma da un processo formale che si chiama "Valutazione dei rischi", espletabile con varie metodologie e modelli cognitivi, e soggetto a verifiche e a controlli. Mettersi al riparo chiedendo il massimo (SIL 4) è molto dispendioso in termini di costo e di impegno e potrebbe causare il rischio di diminuire drasticamente la disponibilità di un impianto o installazione perché occorre ricordare che i sistemi di sicurezza con tali caratteristiche, in genere, tendono al raggiungimento dello stato "sicuro" ad ogni avvisaglia di malfunzionamento, e più il sistema è complesso, più malfunzionamenti possono occorrere. Inoltre, un altro suggerimento che mi permetto di fornire agli "scrittori di specifiche" è quello di scomporre il sistema che stanno valutando in unità funzionali e di allocare il SIL per ognuno sulla base di una solida e completa valutazione dei rischi; non tanto per un sistema completo, quindi, ma per le sole sue funzioni di sicurezza.