INFRASTRUTTURE CRITICHE EMANUELE CIAPESSONI CESI RICERCA S.p.A. Milano LA SICUREZZA DELLE INFRASTRUTTURE CRITICHE NORMATIVA TECNICA APPLICABILE AL SISTEMA ELETTRICO Da decenni, le funzioni vitali per il governo degli impianti del sistema elettrico sono affidate a sistemi automatici di misura, protezione, controllo, monitoraggio e supervisione, realizzati con tecnologie elettroniche programmabili. Questi sistemi sono distribuiti e interconnessi tramite reti di comunicazione locali e geografiche. Questo vale per tutte le infrastrutture critiche, caratterizzate da grandi estensioni territoriali e dall estrema varietà dei sottosistemi utilizzati. In questo quadro, oltre che dalle funzionalità dei sistemi d automazione e delle associate reti di comunicazione, le infrastrutture critiche dipendono dalla loro affidabilità e sicurezza. Garantire un livello di sicurezza adeguato, richiede una particolare attenzione in tutto il ciclo di vita, dalla progettazione all esercizio dei sistemi e degli impianti. Queste problematiche rientrano nella cosiddetta sicurezza globale dei sistemi e degli impianti, in cui si tende a distingue tra: safety, che riguarda i danni provocati da un impianto sul mondo esterno, security, che riguarda i danni che il mondo esterno può provocare a un impianto. Questa distinzione di carattere generale, offre una visione globale al problema della sicurezza che consente di inquadrare il problema della sicurezza globale. Al riguardo, la sicurezza funzionale ha assunto nel tempo una sempre maggiore generalità, cosicché la definizione oggi condivisa è la seguente: La sicurezza funzionale è quella parte della sicurezza globale delle apparecchiature e dei sistemi di controllo ad esse associati che dipende dal corretto funzionamento dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di 14 Safety&Security marzo 2009
sicurezza, di altri sistemi tecnologici per applicazioni di sicurezza, di dispositivi esterni per la riduzione del rischio A supporto dell ingegneria dei sistemi di sicurezza, i principali costruttori di sistemi d automazione e i progettisti e gestori d impianti hanno preparato linee guida di carattere generale. Su questa base, l International Electrotechnical Commission (IEC) ha avviato un intensa attività che ha portato alla predisposizione di un consistente corpo normativo, sia di carattere generale, sia di carattere applicativo per settori particolarmente critici. Negli ultimi anni le metodologie d analisi e le prescrizioni relative alla sicurezza funzionale, si sono poi estese, in modo naturale, ad altri sistemi e componenti elettrici ed elettronici che concorrono alla realizzazione delle funzioni di sicurezza. Relativamente alla security, vanno considerate le funzioni e i sistemi preposti a garantire la security degli impianti e delle infrastrutture e cioè ad evitare i danni che il mondo esterno può provocare a impianti e infrastrutture. Sempre in quest ambito a livello normativo sono in corso diverse iniziative relativamente alla security industriale. La normativa tecnica sulla sicurezza funzionale Le prime norme tecniche sulla sicurezza funzionale sviluppate in ambito internazionale (IEC) e/o europeo (CE- NELEC) hanno riguardato i sistemi di controllo delle centrali nucleari (Norma IEC 61513 [1]), i sistemi di segnalamento dei sistemi ferroviari (Norme EN 50126 [2], EN 50128 [3], EN 50129 [4]), le apparecchiature elettromedicali (Norma IEC/EN 60601-1-4 [5]). Dopo aver illustrato la struttura e la filosofia della normativa generale e di settore relativa alla sicurezza funzionale, l articolo 1 ne considera l applicazione alle infrastrutture critiche e in particolare al sistema elettrico (impianti di produzione, trasmissione e distribuzione dell energia elettrica), e quelle specificità del sistema elettrico che possono richiedere lo sviluppo di norme specifiche. 1 Questo lavoro è stato finanziato dal Fondo di Ricerca per il Sistema Elettrico nell ambito dell Accordo di Programma tra CESI RICERCA ed il Ministero dello Sviluppo Economico - D.G.E.R.M. stipulato in data 21 giugno 2007 in ottemperanza del DL n. 73, 18 giugno 2007. 2 Ad esempio: un sistema di protezione che utilizzi un sensore termico sugli avvolgimenti di un motore elettrico e che agisca togliendo l alimentazione prima che sopraggiunga il surriscaldamento, realizza una funzione di sicurezza necessaria alla sicurezza funzionale di un impianto. In seguito, il carattere trasversale della normativa sui sistemi di misura e controllo ha portato a considerare il TC 65 dell IEC come un comitato pilota per il tema della sicurezza dei sistemi elettrici, elettronici ed elettronici programmabili (E/E/EP). Il SC 65 A Industrial-Process Measurement and Control System Aspects ) ha sviluppato la Norma IEC 61508 [6], successivamente recepita a livello europeo e italiano (dal CEI). In anni più recenti altri importanti settori industriali, prendendo a riferimento i criteri della IEC 61508, hanno ritenuto opportuno predisporre norme specifiche sulla sicurezza funzionale. In primo luogo il settore dell industria di processo ha predisposto una norma specifica, composta di tre parti e già recepita a livello italiano come CEI EN 61511 [8]. Altre norme di settore riguardano: il macchinario (Norme IEC 62061 [10] e ISO 13849 [11]), gli azionamenti elettrici (Progetto IEC 61800-5-2 [12]), la domotica (Norma EN 50090-2-3 [13]). La Norma IEC/EN 61508 Come accennato, la IEC/EN 61508 definisce i criteri di progettazione e gestione dei sistemi Elettrici/ Elettronici/ Elettronici Programmabili (E/E/PE) destinati ad applicazioni di sicurezza. Questi sistemi implementano funzioni di sicurezza il cui scopo è quello di mantenere un impianto o una infrastruttura in uno stato sicuro al verificarsi di eventi pericolosi 2. I concetti fondamentali introdotti dalla IEC 61508 sono: il ciclo di vita della sicurezza (Safety Life Cycle) il livello di integrità delle funzioni di sicurezza (Safety Integrity Level - SIL). Questi concetti hanno origine da quei mondi dell ingegneria dove l analisi dei rischi rappresenta già un caposaldo e che sono applicabili nello sviluppo dei sistemi per la sicurezza funzionale in ambiti che non dispongono di norme specifiche. Ciclo di Vita della Sicurezza Il primo aspetto riguarda la gestione in sicurezza dei sistemi dalla concezione alla dismissione, sulla base dell analisi e della valutazione quantificata della sicurezza funzionale (Functional Safety Assessment) e dell affidabilità dell HW e del SW che realizzano le funzioni di sicurezza. A livello progettuale, la Norma considera: l analisi dell ambiente, del impianto e la determina-zione dei suoi confini; l analisi dei rischi in tutte le situazioni; l allocazione delle funzioni di sicurezza; la specifica dei requisiti delle funzioni di sicurezza e del loro livello di integrità; la pianificazione dell esercizio e della manutenzione dei sistemi di sicu- marzo 2009 Safety&Security 15
ne d impianti di processo conformi alla IEC 61508 e molte attività di ingegneria sono organizzate secondo i criteri dettati dalla Norma. Per estendere ulteriormente l applicabilità e la trasversalità della IEC/EN 61508 e per rendere più rigoroso il processo di progettazione, sviluppo e verifica, l IEC sta concludendo la revisione dell attuale edizione della Norma (già in fase di CDV) che porterà a trasformarla in una norma di riferimento per le metodologie di sviluppo di tutti i sistemi di sicurezza realizzabili con sistemi E/E/PE. Tabella 1. Livelli di Integrità della Sicurezza definiti nella Norma IEC/EN 6150 rezza per garantirne la funzionalità e l affidabilità nel tempo. L innovazione di base introdotta consiste nella richiesta di analizzare i rischi a livello applicativo e di definire, su questa base, i requisiti che i sistemi di protezione dovranno soddisfare per abbattere i rischi associati. Peraltro, la Norma richiede di specificare requisiti sia per la prevenzione delle failure che per il loro controllo. Livello di Integrità delle funzioni di sicurezza Il secondo aspetto è la base della progettazione dei sistemi safety-related. La Norma definisce valori discreti di SIL da 1 a 4, in ordine crescente di integrità, cui corrispondono gamme di valori di probabilità di fallimento della funzione di sicurezza (Tabella 1). La valutazione del livello di SIL da attribuire ad una funzione di sicurezza, e di conseguenza alla catena di componenti che la realizza, richiede una molteplicità di competenze e l applicazione di metodologie rigorose; su questo aspetto la Norma fornisce solo i criteri generali lasciando gli aspetti specifici alle norme di settore. L impatto industriale della IEC 61508 è considerevole: sono oggi disponibili apparecchiature e sistemi di protezio- La Norma IEC/EN 61511 Mentre la norma IEC 61508 è utilizzata da produttori e fornitori dei dispositivi impiegati nei SIS, la Norma IEC 61511 è orientata all industria di processo, settore che comprende la generazione d energia elettrica (escluse le centrali nucleari per le quali esiste una normativa specifica). Questa Norma fornisce prescrizioni dettagliate per il progetto e la gestione della strumentazione di misura e controllo dei processi industriali per le applicazioni di sicurezza (SIS). La Norma IEC 61511 mette in particolare evidenza la possibilità di utilizzare nei sistemi di sicurezza (fino a SIL 3), oltre a componenti conformi alla IEC 61508, anche componenti per i quali si dispone di opportune statistiche sul loro corretto funzionamento in esercizio. La security dei sistemi Come detto, la security considera in generale i danni che il mondo esterno può provocare ad un impianto. Il diffondersi di sistemi digitali sta però rendendo sempre più critico il problema della security informatica. Paradossalmente, infatti, molti protocolli di comunicazione, sono stati progettati con scarsa attenzione alla security: il TCP/IP, ad esempio, non prevede meccanismi d identificazione, confinamento e identificazione delle intrusioni. Quindi, negli ultimi anni l interesse e la sensibilità nell ambiente industriale sul tema della security informatica dei 16 Safety&Security marzo 2009
sistemi e delle comunicazioni, sta crescendo. Infatti, la security ICT e la security industriale sono diverse sotto molti aspetti, cosa che rende più difficile la protezione dei sistemi d automazione dagli attacchi informatici. Secondo il rapporto [ISA TR99]: i piani di security dei sistemi d impianto e di controllo sono consistenti con l esperienza, i programmi e la prassi maturata in ambito IT. Tuttavia esistono differenze operative critiche tra i sistemi IT e quelli d impianto e di controllo che influenzano le modalità di applicazione delle specifiche misure... e i meccanismi di protezione dell ICT hanno obiettivi e adottano strategie non appropriate per l ambito industriale: nel caso dei sistemi ICT, secondo gli standard [ISO/IEC 17799], [ISO/IEC 15408] la Riservatezza è considerata la proprietà più importante, seguita dalla Integrità e da ultima la Disponibilità, che ha impatto solo sul servizio; in ambito industriale, dove i quali i requisiti di real time sono spesso essere critici per la sicurezza e le proprietà più importanti sono la Disponibilità e l Integrità. Inoltre, le funzioni di security non devono interferire con l accesso alle informazioni necessarie alla sicurezza dei sistemi: compatibilmente con altri obiettivi, le funzioni di security dovrebbero permettere di identificare interferenze indebite con la disponibilità delle informazioni e ritardi, o risequenzializzazioni, non autorizzate dei messaggi. In quest ambito, l IEC ha intrapreso importanti iniziative per lo sviluppo di normativa tecnica per la security dei sistemi di automazione: il WG10 del TC 65 ha l obiettivo di normare i requisiti di security dei sistemi (distribuiti) per supportare lo sviluppo e la gestione di sistemi di protezione, controllo ed automazione sicuri. In particolare si considera la necessità di avere una visione il più possibile integrata dei requisiti di sicurezza funzionale e di security, introducendo modi di fallimento sicuri per il processo. Per definire il necessario livello di security dei sistemi, la Norma considererà le minacce, la probabilità del loro verificarsi e l impatto sugli impianti, per definire le opportune contromisure. I meccanismi e le architetture adottati devono garantire la sicurezza della trasmissione dei messaggi, in una rete locale e geografica, fondamentali per il telecontrollo e la manutenzione remota. Altri aspetti considerati sono: la protezione dei programmi e dei dati, la verifica dell identità dei dispositivi e degli operatori e la definizione delle relative autorizzazioni. La Norma fornirà pertanto linee guida per i progettisti di sistemi d automazione, per i fornitori di componenti, per gli integratori di sottosistemi e sistemi e per gli utenti finali (responsabili dell esercizio degli impianti). Specificità del sistema elettrico come infrastruttura critica Nell ambito del sistema elettrico non sono state finora elaborate norme specifiche sulla sicurezza funzionale, né sono state intraprese attività normative in tale direzione: finora è stata considerata sufficiente l applicazione della Norma generica IEC 61508 e della IEC 61511. Si deve però notare che, con la liberalizzazione, il sistema elettrico è entrato in una fase di profonda riorganizzazione che impone nuove sfide ai responsabili della sicurezza, essendo la rete soggetta ad uno sfruttamento crescente, che comporta periodi di funzionamento in condizioni limite e, quindi, un aumento della probabilità di black-out. Secondo i tradizionali metodi deterministici il sistema elettrico è considerato sicuro se la sua risposta a una lista predefinita di contingenze (esempio: assenza di violazioni delle grandezze operative nel regime post-guasto) e le situazioni considerate sono riferite al caso peggiore fra tutte le situazioni credibili. L approccio tradizionale non tiene conto della probabilità degli eventi, le violazioni non sono caratterizzate in base alla loro severità e l assunzione del caso peggiore per la scelta delle azioni di control- 18 Safety&Security marzo 2009
lo può condurre a valutazioni conservative, mentre, altre volte, tale assunzione risulta inadeguata a cogliere l effettiva pericolosità di situazioni apparentemente sicure. Nonostante i criteri di progetto deterministici correntemente utilizzati [14,15], hanno finora garantito un livello di sicurezza adeguato, da diverse parti [16,17,18,19] si suggerisce la necessità di utilizzare in modo più esteso metodologie di analisi del rischio. L utilizzo di metodologie di Probabilistic Risk Assessment (PRA) [20,21] che considerano sia la frequenza di accadimento degli eventi pericolosi sia la gravità del loro impatto, supera le rigidità legate ai tradizionali metodi deterministici, che tendono ad imporre criteri molto conservativi (criterio N-1), basati sulla selezione delle contingenze più frequenti, senza tener conto della loro gravità. Pertanto il PRA garantisce una sostanziale evoluzione nell approccio alla valutazione della sicurezza di esercizio dei sistemi elettrici. I rischi da considerare nell ambito dei sistemi elettrici di potenza non sono solo quelli legati a guasti o a fenomeni esogeni come i fulmini, ma anche i possibili fenomeni critici che possono comportare interruzioni della fornitura: collasso di tensione o di frequenza, oscillazioni elettromeccaniche a scarso smorzamento, scatto in cascata di linee di sezioni critiche, che possono comportare effetti negativi (fino al black-out totale) sul servizio. In questo senso nell analisi del rischio bisogna tenere conto delle specificità della rete elettrica: il comportamento del sistema è fortemente dinamico, e le soglie per la determinazione di situazioni di pericolo dipendono fortemente dallo stato complessivo del sistema; la messa in sicurezza di un componente non è necessariamente l operazione più sicura per il sistema elettrico. Distaccare una linea dalla rete mette sicuramente in uno stato sicuro la linea stessa, ma può provocare disturbi sulla rete tali da causare danni ben peggiori. In questo senso, una strategia di protezione che garantisca ad ogni costo l integrità dei dispositivi, non è necessariamente la scelta più sicura. D altra parte, l operatore da sempre basa la propria condotta su una sintesi fra i risultati delle analisi deterministiche e le considerazioni di tipo euristico. Per questo le metodologie PRA, utilizzate in alternativa o in combinazione con le tecniche tradizionali, superano l approccio deterministico (criterio N-1) e, allo stesso tempo, ne costituiscono una naturale evoluzione: esse infatti vengono incontro alle esigenze dell operatore che decide le azioni di controllo in base al rischio percepito con importanti ricadute sulla sicurezza del sistema elettrico. Conclusioni La necessità di una maggiore attenzione ai problemi di sicurezza funzionale (functional safety) e di vulnerabilità informatica (security) nel contesto delle infrastrutture critiche è oramai riconosciuto a livello internazionale. In questo quadro la normativa costituisce un elemento fondamentale per rendere effettivamente applicabili le direttive europee garantendo un livello di sicurezza adeguato. Riferimenti bibliografici [1] IEC 61513: Nuclear power plants - Instrumentation and control for systems important to safety - General requirements for systems [2] EN 50126: Railway applications - The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) [3] EN 50128: Railway applications - Communications, signalling and processing systems - Software for railway control and protection systems [4] EN 50129 Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling [5] IEC/EN 60601-1-4 Medical electrical equipment - Part 1-4: General requirements for safety - Collateral Standard: Programmable electrical medical systems [6] IEC/EN 61508: Functional safety of electrical/ electronic/programmable electronic safety-related systems [7] IEC/TS 61000-1-2: Electromagnetic compatibility - Part 1-2: General - Methodology for the achievement of the functional safety of electrical and electronic equipment with regard to electromagnetic phenomena [8] IEC/EN 61511: Functional safety - Safety instru-mented systems for the process industry sector [9] IEC/EN 61326: Electrical equipment for measu-rement, control and laboratory use - EMC requirements [10] IEC/EN 62061: Safety of machinery - Functional safety of safety-related electrical, electronic and programmable electronic control systems [11] ISO 13849: Safety of machinery Safety related parts of control systems (SRPCS) [12] IEC 61800-5-2: Adjustable speed electrical power drive systems Part 5 [13] EN 50090-2-3: Home and Building Electronic Systems (HBES) - Part 2-3: System overview - General functional safety requirements for products intended to be integrated in HBES [14] Z. Bie, X. Wang: Evaluation of power system cascading outages, IEEE, 2002 [15] I. Dobson, B. A. Carreras, V. E. Lynch, D. E. Newman; Complex Systems Analysis of Series of Blackouts: Cascading Failure, Criticality, and Self-organization; Bulk Power System Dynamics and Control - VI, 2004, Cortina d Ampezzo, Italy [16] J. McCalley, V. Vittal; Risk Based Security Assess-ment, final report for EPRI Project WO8604-01, 2001 [17] V. Makarov, R. C. Hardiman; On Risk-based Indices for Transmission Systems; Proc. IEEE PES Annual Meeting, Toronto, 2003 [18] A. Padke; Hidden failures in protection systems; Power systems and communications infrastructures for future, Beijing, 2002 [19] Yu, Chanan Singh, A Practical Approach for Integrated Power System Vulnerability Analysis With Protection Failures, IEEE Transaction on power systems, vol. 19, no. 4, 2004 [20] D. Lucarella, M. Pozzi, M. Valisi, G. Vimercati; Un approccio basato sull analisi di rischio per l esercizio in sicurezza del sistema elettrico; Convegno nazionale sulla valutazione e gestione del rischio negli insediamenti civili ed industriali; Pisa, 2004 [21] E. Ciapessoni, D. Cirio, E. Gaglioti, S. Massucco, A. Pitto, L. Tenti; A Probabilistic Approach for Operational Risk Assessment of Power Systems; CI- GRE 2008; Parigi. marzo 2009 Safety&Security 19