EN 13849-1 e EN 62061

8/10/2019 EN 13849-1 e EN 62061

1/61

1

Ing. Gianfranco Ceresini

Sistemi di comando per la sicurezza delle macchine

Norma EN IEC 62061

Gianfranco Ceresini

www.elektro.it

Aprile 2011


Nuova normativa PL e SIL

Entrambe le due nuove norme EN ISO 13849-1 ed EN IEC 62061 possonoessere utilizzate per realizzare sistemi di controllo della sicurezza dellemacchine in conformit alla direttiva macchine.

Presentano nuove classificazioni dei sistemi: la EN ISO 13849-1 utilizza i PL(Performance Level) mentre la EN 62061 utilizza i SIL (Safety IntegrityLevel)

8/10/2019 EN 13849-1 e EN 62061

2/61

2


Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061

Le classificazioni PL e SIL possono essere considerate delle varianti dello stessotema ed possibile scegliere di utilizzare la norma pi adatta alla propriaapplicazione.

In generale, se si ha labitudine allutilizzo delle categorie della norma EN 954-1 esi utilizzano funzioni di sicurezza convenzionali, la norma EN ISO 13849-1 (PL) probabilmente la scelta pi adatta per transitare in modo pi soft ai nuovi concettistatistici.

Se invece, viene specificamente richiesto lutilizzo delle classificazioni SIL o selapplicazione utilizza unarchitettura complessa o complesse funzionalitelettroniche di sicurezza, la norma EN 62061 pi adatta.

La norma EN ISO 13849-1 copre tutte le tecnologie, in particolare copre idispositivi elettromeccanici, idraulici, elettronici non complessi ed alcunidispositivi elettronici programmabili con strutture predefinite, mentre la norma EN62061 riguarda solo i sistemi elettrici, elettronici ed elettronici programmabili legatialla sicurezza.



Tecnologia che realizza la/efunzione/i di controllo relativa/e

alla sicurezzaISO 13849-1 IEC 62061

A Non elettrica, es. idraulica X Non contemplata

BElettromeccanica, es. rel, o elettronica

noncomplessa

Limitata ad architetturedesignate (vedere Nota 1) e

fino a PL = e

Tutte le architetturee fino a SIL 3

C Elettronica complessa, es. programmabileLimitata ad architetture

designate (vedere Nota 1) efino a PL = d


D A in combinazione con BLimitata ad architetture

designate (vedere Nota 1) efino a PL = e

X(vedere Nota 3)

E C in combinazione con BLimitata ad architetture

designate (vedere Nota 1) efino a PL = d


F C in combinazione con A, o C in

combinazione con A e BX

(vedere Nota 2)X

(vedere Nota 3)

X indica che questa voce trattata nella norma indicata nellintestazione di colonna

NOTA 1: Le architetture designate sono definite nellAllegato B della EN ISO 13849-1 per fornire un approccio semplificato allaquantificazione dei livelli di prestazione

NOTA 2: Per lelettronica complessa: Utilizzare architetture designate in conformit alla EN ISO 13849-1 fino a PL = d o qualsiasiarchitettura conforme alla IEC 62061

NOTA 3: Per la tecnologia non elettrica, utilizzare come sottosistemi parti conformi alla EN ISO 13849-1

8/10/2019 EN 13849-1 e EN 62061

3/61

3



La EN 13849-1 ha il grosso vantaggio di permettere di analizzare funzioni disicurezza pneumatiche, oleodinamiche, idrauliche o meccaniche

Mentre per i circuiti elettrici, elettronici ed elettronici programmabili legati allasicurezza lapplicazione della norma EN 62061 consente di raggiungere qualsiasilivello di complessit degli stessi, per la norma EN 13849-1 i circuiti elettronici edelettronici programmabili complessi legati alla sicurezza possono essere gestitidalla norma solo fino ad un PL che al massimo d, segno che per le partielettroniche o elettroniche programmabili complesse la norma EN 62061, perstessa ammissione dei normatori, certamente pi pertinente che non la normaEN 13849-1

Anzi per i casi nei quali lelettronica complessa e/o con architettura complessache non ricade in una di quelle valide per lapplicazione della Norma EN ISO13849-1, lunica norma applicabile diventa la EN 62061.


Norma EN IEC 62061

La EN IEC 62061 una sintesidella serie normativa IEC61508 (composta da settefascicoli normativi) che trattala problematica relativa alla

sicurezza funzionale di sistemielettrici ed elettronicicomplessi di tutte leapparecchiature elettricheindipendentemente dal lorosettore di applicazione. La EN62061 in pratica la IEC61508 adattata ad unparticolare settore: quellodelle macchine industriali.

8/10/2019 EN 13849-1 e EN 62061

4/61

4


Norma EN IEC 62061

Il campo di applicazione della EN 62061 relativo agli SRECS (Safety RelatedControl System) ossia i sistemi di controllo elettrici, elettronici ed elettroniciprogrammabili relativi alla sicurezza utilizzati per le funzioni di sicurezza delmacchinario.

Questi SCRECS devono essere realizzati, in base allanalisi del rischi della macchina,conformemente al Livello di Integrit della Sicurezza (SIL) idoneo alla funzione disicurezza da essi realizzata.

Le funzioni di sicurezza (definite Safety-Related Control Function, con acronimoSRCF) sono ad esempio larresto attivato da un dispositivo di protezioneelettrosensibile su una pressa, il blocco di un riparo nel momento in cuiunoperazione pericolosa stata avviata, la prevenzione contro lintrappolamento dipersone, il comando ad azione mantenuta, etc.

La norma EN 62061 stabilisce quindi i requisiti e fornisce indicazioni per larealizzazione, lintegrazione e la validazione di sistemi di comando e controllo disicurezza elettrici, elettronici ed elettronici programmabili (SRECS) per le macchinee ne prende in considerazione lintero ciclo di vita, dalla progettazione alladismissione.


Norma EN IEC 62061

Dopo aver identificato le funzioni di sicurezza (SRCF) mediante lanalisi delrischio, queste vengono suddivise secondo funzioni di sicurezza pielementari chiamati blocchi funzionali (FB) molto pi semplici da progettare.

Ogni blocco funzionale viene specificato in termini di requisiti funzionali(informazioni in ingresso, elaborazioni logiche interne, tipo di uscita) e

requisiti di sicurezza. Ai blocchi funzionali sono quindi assegnati circuiti elettrici adatti ad

implementare i requisiti individuati: questi circuiti sono denominatisottosistemi.

Lidea generale pertanto quella di scomporre un problema complesso(SRECS che deve risolvere una funzione di sicurezza SRCF) in tanti piccolisottoproblemi (i sottosistemi che risolvono le parti di funzione di sicurezzarappresentate dai blocchi funzionali) pi facilmente risolvibili.

8/10/2019 EN 13849-1 e EN 62061

5/61

5


Norma EN IEC 62061


Norma EN IEC 62061

I sottosistemisaranno a loro voltacomposti dacomponenti elettrici

interconnessi fra diloro.

I componentielettrici sonodenominatielementi delsottosistema

8/10/2019 EN 13849-1 e EN 62061

6/61

6


Norma EN IEC 62061

Nella realizzazione di sistemi di controllo complessi si segue un processo di questotipo: a partire dalle funzioni di sicurezza determinate in seguito all'analisi del rischiosi procede ad una suddivisione in funzioni di sicurezza parziali chiamate blocchifunzionali, poi ad una correlazione di questi blocchi funzionali con dispositivi realichiamati sottosistemi, poi infine ai singoli elementi che compongono i sottosistemi.

I parametri necessari per costruire il processo di riduzione del rischio attraverso icircuiti di comando di sicurezza sono:

il SIL ossia la probabilit di un buon funzionamento del sistema e il PFHD delsistema di controllo di sicurezza che dato dalla somma dei singoli valori PFHDdei sottosistemi;

I parametri per i sottosistemi sono:

le architetture dei circuiti, il SILCLche il SIL di ogni singolo sottosistema,PFHD ovvero la probabilit di guasti pericolosi/ora, SFF frazione diguasto/anomalia in sicurezza, T1 ciclo di vita, T2 intervallo di test diagnostico,suscettibilit ai guasti di causa comune e DC grado di copertura diagnostica;

I parametri per gli elementi dei sottosistemi (dispositivi) sono:

tasso di guasto/anomalia per elementi soggetti ad usura e T1 ciclo di vita


Norma EN IEC 62061 - SIL

Il SIL il livello che deve essere assegnato allo SRECS per specificare irequisiti di sicurezza delle funzioni di controllo relative alla sicurezza, dove illivello 3 di sicurezza ha il livello elevato di sicurezza e il livello 1 di sicurezzaha il pi basso

Maggiore il SIL e minore la probabilit che lo SRECS non esegua lafunzione di sicurezza richiesta. E un parametro che viene espresso in

probabilit media di un guasto pericoloso nellintervallo di unora. Sono previsti 3 livelli, da SIL1 fino a SIL3 al crescere del rischio, ed ognuno

di essi identifica un ambito numerico di probabilit di guasto pericoloso perora.

Livello di Integrit dellaSicurezza (SIL)

Probabilit di un guasto pericoloso per ora[1/h] (PFHD)

3 10-8 PFHD< 10-7

2 10-7 PFHD < 10-6

1 10-6 PFHD< 10-5

8/10/2019 EN 13849-1 e EN 62061

7/61

7


Norma EN IEC 62061 Confronto tra SIL e PL

E possibile effettuare un parallelo (non rigoroso) tra SIL e PL per fornire unconfronto tra i sistemi di analisi della sicurezza delle due norme

Livello della Prestazione (PL) Livello di Integrit della Sicurezza (SIL)

a nessuna corrispondenza

b 1

c 1

d 2

e 3


Norma EN IEC 62061 SIL richiesto

Per attestare che un circuitodi sicurezza realizzato idoneo al caso specificooccorre verificare che ilSIL ottenuto sia almenopari al SILr. In sostanzail SILr costituisce il livellominimo da raggiungere.

SILr (Safety Integrity Level required) rappresenta il livello di resistenza ai guasti che il circuito deveraggiungere in relazione al rischio specifico da coprire. Gli aspetti da valutare, secondo la norma EN 62061sono quattro:

la gravit delle lesioni S

la frequenza e/o durata dellesposizione al pericolo F

la probabilit del verificarsi di un evento pericoloso (in pi rispetto alla EN ISO 13849-1) W

la possibilit di evitare o limitare il danno P

8/10/2019 EN 13849-1 e EN 62061

8/61

8


Norma EN IEC 62061 SILCL

Il SILCL il SIL relativo ad ogni singolo sottosistema (rilevamento rischio,logica comando, attuazione).

E il SIL massimo che pu essere richiesto per un sottosistema di uno SRECS inrapporto ai vincoli dellarchitettura e allintegrit sistematica della sicurezza

Il livello SIL che un SRECS completo raggiunge, non pu essere maggiore dellimite pi basso di SIL richiesto di un sottosistema

Il valore del SIL massimo raggiungibile in funzione di 3 elementi

1 La probabilit di guasti pericolosi del suo hardware

(ossia i guasti dei suoi componenti)

2I vincoli dellarchitettura di sistema

(ossia i limiti imposti dallarchitettura del circuito realizzato, ad esempio il singolo canalepiuttosto del doppio, la mancanza di monitoraggio dei guasti, ecc.)

3Lintegrit sistematica dei sottosistemi che compongono lo SRECS

(ossia se non sono commessi errori sistematici, cio errori legati al cablaggio, allaprogettazione hardware e sofware, alla riparazione o alla verifica dello SRECS)


PFHD (Probability of Dangerous Failure per Hour) totale

La probabilit di guasti pericolosi PFHD (allora) di un sistema di controlloelettrico/elettronici relativo alla sicurezza (SRECS) si calcola eseguendo lasomma della probabilit di guasti pericolosi dei singoli sottosistemi cheformano lo SRECS pi la probabilit di errori pericolosi di trasmissione (PTE)per i processi di comunicazione di dati digitali tra i sottosistemi (ove il caso).

TEDnDDD PPFHPFHPFHPFH ++++= ......21

8/10/2019 EN 13849-1 e EN 62061

9/61

9


T1 (Lifetime)

Il tempo T1 il valore inferiore tra lintervallo della verifica periodica(definita proof test) e il ciclo di vita di uno SRECS o di un sottosistema

E lequivalente del Mission time della norma EN 13849-1

Pertanto, si suggerisce che nellattivit di progettazione di uno SRECS siusi un intervallo della verifica periodica di 20 anni

La verifica periodica consiste in definitiva in una sorta di revisione delloSRECS che il costruttore dello stesso impone dopo un certo tempo a chilutilizza per accertarsi che il sottosistema fornito possa ancora garantire il

raggiungimento delle prestazioni per cui stato costruito


tasso di guasto per i singoli dispositivi

(oppure B10 per i rel) il tasso di guasto di ogni componente elettricoo elettromeccanico, cio di ogni elemento di un sottosistema. Si desumeda appositi database oppure tramite lallegato D (tabella D1) della normaEN 62061 o eventualmente anche da altre fonti.

Analizzando lo schema elettrico del sottosistema si stabiliscono per ogni

componente le modalit di guasto e si separano quelle pericolose(dangerous) da quelle non pericolose (safe)

DS +=

8/10/2019 EN 13849-1 e EN 62061

10/61

10


T2 intervallo di test diagnostico per un sottosistema

E lintervallo di tempo tra i test diagnostici e dovrebbe consentire larilevazione di unavaria prima del verificarsi di unavaria successivasuscettibile di portare a un guasto pericoloso del sottosistema e disuperare il valore di guasto da raggiungere

T2 quindi il tempo che intercorre tra due test

Es. Ogni ora viene aperta una protezione

T2 1 volta / h

A + B


suscettibilit ai guasti di causa comune (CCF)

Un guasto per cause comuni definito come il guasto risultante da uno opi eventi che provocano guasti coincidenti a due o pi canali separati di unsottosistema a pi canali (architettura ridondante), e che comporta il guastodi una SRCF.

Ad esempio in un sistema con due sensori analogici alimentati dalla stessafonte di energia, ci sar un CCF dovuto al guasto dellalimentazionenonostante la ridondanza.

La probabilit del verificarsi del CCF, quando si utilizza unarchitetturaridondante, dipende da una combinazione di tecnologia, architettura,applicazione e ambiente e si pu calcolare in base ad un questionarioallallegato F della norma EN 62061

Punteggio totale Fattore di guasto per cause comuni ()

< 35 10% (0,1)

35 65 5% (0,05)

65 85 2% (0,02)

85 100 1% (0,01)

8/10/2019 EN 13849-1 e EN 62061

11/61

11


suscettibilit ai guasti di causa comune (CCF) - esempio

Punteggio totale Fattore di guasto per cause comuni ()

< 35 10% (0,1)

35 65 5% (0,05)

65 85 2% (0,02)

85 100 1% (0,01)

N Prescrizioni per CCF Punti

1 Separazione tra i circuiti 25

2 Diversit/ridondanza (tecnologia, progettazione, principi) 38

3 Progetto, applicazione, esperienza 2

4 Valutazione / analisi 18

5 Competenza / formazione 4

6 Influenze ambientali, EMC 18


SFF (Safe Failure Fraction) di un sottosistema

La frazione del guasto in sicurezza la frazione del tasso di guasto globaledi un sottosistema che non comporta un guasto pericoloso. Conoscendos, d, dd (tasso di guasto pericoloso rilevato dalla diagnostica) per ognicomponente possibile calcolare la frazione di guasto in sicurezza delsottosistema

+

+

=

DS

DDS

SFF

SFF = somma dei guasti sicuri e dei guastipericolosi rilevati diviso la somma totale dei guasti

8/10/2019 EN 13849-1 e EN 62061

12/61

12


DC grado di copertura diagnostica

La copertura diagnostica la riduzione della probabilit di guasti pericolosiallhardware derivanti dal funzionamento degli esami diagnostici automatici:richiede quindi una reazione al guasto.

Se sono state adottate misure diagnostiche per rilevare i guasti pericolosi, allorain funzione della efficacia del metodo adottato si ricavano i valori DD (tasso diguasto pericoloso rilevato dalle funzioni diagnostiche) e DU (tasso di guastopericoloso non rilevato dalle funzioni diagnostiche). Dove Dtotal = DD + DU quindi il tasso totale di guasti pericolosi.

Dtotal

DDDC

=


Differenza tra DC e CCF

Esempio 1: il tasso dei guasti non pericolosi uguale al tasso dei guastipericolosi (d = s) e nessun guasto pericoloso viene rilevato dalle funzionidiagnostiche. Essendo DD = 0, si ha quindi che DC = 0% mentre SFF = 50%.

8/10/2019 EN 13849-1 e EN 62061

13/61

13



Esempio 2: il tasso dei guasti non pericolosi uguale al tasso dei guastipericolosi (d = s) ma ora la met dei guasti pericolosi viene rilevata dallefunzioni diagnostiche. Essendo DD = DU, si ha quindi che DC = 50% mentreSFF = 75%.



Esempio 3: il tasso dei guasti non pericolosi uguale al tasso dei guastipericolosi (d = s) ma ora il 45% dei guasti pericolosi viene rilevata dallefunzioni diagnostiche. Essendo DU pari ad un decimo dei guasti totali, si haquindi che DC = 90% mentre SFF = 95%.

8/10/2019 EN 13849-1 e EN 62061

14/61

14


Legame tra DC e CCF


Esempi di calcolo di tassi di guasto

Dispositivo di interblocco: se fosse unemergenza la premo e non riesce adaprire i contatti un guasto pericoloso, invece se riesco ad aprirlo e nellaprirlolo rompo e quindi rimarr sempre aperto, questo un guasto non pericolosoperch la macchina si fermata.

8/10/2019 EN 13849-1 e EN 62061

15/61

15


Esempi di calcolo di tassi di guasto

Contattore:


Architetture dei sottosistemi

La norma EN 62061 suggerisce quattro schemi predefiniti per isottosistemi e per ognuno di essi fornisce la formula per il calcolo di d(tasso di guasto pericoloso) e PFHd (probabilit media di guastopericoloso entro unora)

8/10/2019 EN 13849-1 e EN 62061

16/61

16


Sottosistema A: zero tolleranza allavaria senza funzione diagnostica

In questa architettura, qualsiasi guasto pericoloso di un elemento del sottosistemaprovoca un guasto alla SRCF. Nellarchitettura A, la probabilit di un guastopericoloso del sottosistema la somma delle probabilit di un guasto pericoloso ditutti gli elementi del sottosistema

DenDeDssA ++= ......1

hPFHDssADssA 1=

Singolo canale


Sottosistema B: singola tolleranza allavaria senza funzione diagnostica

Questa architettura tale per cui un singolo guasto di qualsiasi elemento delsottosistema non causa una perdita della SRCF. Pertanto, dovrebbe verificarsi unguasto pericoloso in pi di un elemento prima che si verifichi un guasto alla SRCF

2/)()1( 211212

DeDeDeDeDssB T ++=

hPFHDssBDssB 1=

Doppio canale senza monitoraggio

8/10/2019 EN 13849-1 e EN 62061

17/61

17


Sottosistema C: zero tolleranza allavaria con funzione diagnostica

Qualsiasi avaria pericolosa dellelemento di un sottosistema porta a un guastopericoloso della SRCF. Quando si rileva unavaria di un elemento del sottosistema,la o le funzioni diagnostiche avviano una funzione di reazione allavaria

)1(....)1(11 nDenDeDssC DCDC ++=

hPFHDssCDssC 1=

Singolo canale con monitoraggio


Sottosistema D: singola tolleranza allavaria con funzione diagnostica

Larchitettura evita che un guasto singolo di qualsiasi elemento delsottosistema provochi una perdita della SRCF

Doppio canale con monitoraggio

8/10/2019 EN 13849-1 e EN 62061

18/61

18


Vincoli dellarchitettura sul SIL dei sottosistemi

Il livello di integrit della sicurezza pi elevato che pu essere richiesto per unaSRCF limitato dalla tolleranza allavaria dellhardware e dalle frazioni di guastoin sicurezza dei sottosistemi che svolgono tale SRCF

Frazione di guasto insicurezza (SFF)

Tolleranza allavaria dellhardware (HFT)(Nota 1)

0 1 2

< 60 % Non permesso

(Nota 3) SIL1 SIL2

60 % - < 90 % SIL1 SIL2 SIL3

90 % - < 99 % SIL2 SIL3 SIL3 (Nota 2)

99 % SIL3 SIL3 (nota 2) SIL3 (Nota 2)

Nota 1 - Una tolleranza N allavaria dellhardware indica che N+1 avarie possono causare una perdita dellafunzione di controllo relativa alla sicurezza.

Nota 2 - Un SILCL 4 non considerato nella norma EN 62061. Per il SIL 4 vedere la IEC 61508-1.Nota 3 Esiste la seguente eccezione: per un sottosistema con una tolleranza allavaria dellhardware pari a

zero e nel quale le esclusioni delle avarie sono state applicate ad avarie suscettibili di portare a un guastopericoloso, il SILCL dovuto ai vincoli dellarchitettura di tale sottosistema vincolato a un massimo di SIL2


Vincoli dellarchitettura sul SIL dei sottosistemi

Nel paragrafo 6.7.6.4 stata inserita una novit con la variante V1 (2008) della EN 62061

8/10/2019 EN 13849-1 e EN 62061

19/61

19


Relazione tra Categorie di sicurezza e SIL massimo

Quando uno dei sottosistemi conforme a EN ISO 13849-1 questa tabella permettedi definire il SIL massimo ottenibile, e conoscere i corrispondenti HFT e SFF

Categoria

Tolleranza allavariadellhardware

(HFT)

Frazione di guasto insicurezza

(SFF) Massimo SIL richiesto daivincoli dellarchitettura

Si ritiene che i sottosistemi con la categoria dichiarataabbiano le caratteristiche indicate di seguito

1 0 < 60 % Nota 1

2 0 60 % - < 90 % SIL1

31 < 60 % SIL1

1 60 % - < 90 % SIL2

4> 1 60 % - < 90 % SIL3 (Nota 3)

1 > 90 % SIL3 (Nota 4)

Nota 1 - I casi per le Categorie 1 e 2 dove la SFF < 60 % sono considerati non rilevanti nellambito della ISO 13849-1, e i sottosistemi progettati inconformitalla ISO 13849-1 realizzano in pratica una SFF superiore al 60 %.Nota - 2 Il caso per la Categoria 2 dove la SFF > 90 % si ritiene non realizzato dalle prescrizioni di progettazione della ISO 13849-1.Nota - 3 La copertura diagnostica ritenuta inferiore a 90 % per i sottosistemi della Categoria 4 nei quali si considera una tolleranza maggiore di quellaallavaria singola dellhardware (cioavarie accumulate).Nota - 4 La Categoria 4 prescrive una SFF superiore a 90 % ma inferiore a 99 % quando si considera la tolleranza allavaria singola dellhardware.Nota - 5 La Categoria B in conformitalla ISO 13849-1 non considerata sufficiente al raggiungimento di SIL1


Relazione tra Categorie di sicurezza e PFHd

Quando uno dei sottosistemi conforme a EN ISO 13849-1 questa tabella permettedi definire i valori di soglia di PFH, e conoscere i corrispondenti HFT e DC

Categoria

Tolleranza allavariadellhardware

(HFT)

Copertura diagnostica(DC)

Valori di soglia (orari) PFHDche

possono essere richiesti peril

sottosistemaPFHD (MTTFsottosistema,

Tprova, DC) (Nota 1)

Si ritiene che i sottosistemi con la categoria dichiarataabbiano le caratteristiche indicate di seguito

1 0 0 %Da fornire a cura del fornitore o

utilizzare dati generici (vediparagrafo seguente)

2 0 60 % - 90 % 10-6

3 1 60 % - 90 % 2 x 10-7

4> 1 60 % - 90 % 3 x 10-8

1 > 90 % 3 x 10-8

Nota 1 - Il valore di soglia PFHD una funzione del MTTF del sottosistema (derivato dal costruttore del sottosistema o dai manuali dei dati deicomponenti relativi), del tempo del ciclo di prova/verifica, come indicato nella specifica delle prescrizioni di s icurezza (tale informazione richiesta inoltreper la validazione del sottosistema in conformitcon 3.5 della ISO 13849-2), e della copertura diagnostica, come indicato nella presente tabella (questivalori si basano sulle prescrizioni delle categorie descritte nella ISO 13849-1).Nota - 2 La Categoria B secondo la ISO 13849-1 non pu essere considerata sufficiente a raggiungere SIL 1.

8/10/2019 EN 13849-1 e EN 62061

20/61

20


Progettazione: come si calcola il SIL

Il costruttore di macchine chene intenda verificare lasicurezza dovr seguire unmetodo progettuale che sisnoda attraverso un processoiterativo articolato in alcunipassi


Progettazione 1 - Definizione dei requisiti delle funzioni di sicurezza

In questa fase vengono stabilite le caratteristiche per ogni funzione di sicurezza.Per ogni funzione di sicurezza il progettista decide il contributo alla riduzione delrischio che essa deve fornire.

Questo contributo non copre il rischio complessivo della macchina, (ad esempioil rischio globale di una pressa o di un sistema di cambio pallet automatico), masolo quella parte della riduzione del rischio che deriva dalla applicazione diquella particolare funzione di sicurezza.

Questo primo passo della progettazione sicuramente il pi delicato,difficoltoso ed importante poich le scelta su come realizzare la funzione disicurezza comporta una reazione a catena (positiva o negativa in base allescelte effettuate) su tutte le altre fasi della progettazione.

La norma EN 62061 definisce la funzione di sicurezza come la funzione di unamacchina il cui guasto pu provocare un immediato aumento del o dei rischi.

8/10/2019 EN 13849-1 e EN 62061

21/61

21


Progettazione 2 - Assegnazione del SIL richiesto

Lallegato A della EN 62061 contiene un approccio qualitativo per la stima deirischi e lassegnazione del SIL applicabile alle SRCF per la macchina, inpratica per determinare il SIL richiesto (SILr).

Nellindicazione dei pericoli, vanno compresi quelli derivanti da un ragionevolee prevedibile uso improprio, di cui si devono ridurre i rischi realizzando unaSRCF. La stima del rischio dovrebbe essere condotta per ogni pericolo,determinando i parametri di rischio


Progettazione 2 - Assegnazione del SIL richiesto Parametro Se

Conseguenze Gravit (Se)

Irreversibile: morte, perdita di un occhio o di un braccio 4

Irreversibile: rottura di uno o pi arti, perdita di uno o pi dita 3

Reversibile: richiede lintervento di un medico 2

Reversibile: richiede le cure di un pronto soccorso 1

8/10/2019 EN 13849-1 e EN 62061

22/61

22


Progettazione 2 - Assegnazione del SIL richiesto Parametro Fr

Frequenza e durata dellesposizione (Fr)

Frequenza dellesposizione Durata > 10 min *

1 h 5

Da > 1 h a 1 giorno 5

Da > 1 giorno a 2 settimane 4

Da > 2 settimane a 1 anno 3

> 1 anno 2

Quando la durata inferiore a 10 min, il valore pu essere ridotto al livellosuccessivo. Questo non si applica a frequenze di esposizione 1 h, che nondovrebbero essere mai ridotte.


Progettazione 2 - Assegnazione del SIL richiesto Parametro Pr

Probabilit dellevento pericoloso Probabilit (Pr)

Molto alta 5

Probabile 4

Possibile 3

Scarsa 2

Trascurabile 1

Questo parametro pu essere stimato considerando:

Prevedibilit del comportamento delle parti costitutive della macchina relative alpericolo in diverse modalit duso (es., funzionamento normale, manutenzione,ricerca guasti). Questo richiede unattenta considerazione del sistema di controllo,soprattutto per quanto riguarda il rischio di avvio inatteso. Non prendere inconsiderazione leffetto protettivo di qualsiasi SRECS. Questo necessario per stimarelentit del rischio a cui si viene esposti in caso di guasto allo SRECS. In generale,bisogna considerare se la macchina o il materiale in lavorazione tende ad agire inmodo inaspettato. Il comportamento della macchina varia da molto prevedibile aimprevedibile, ma eventi inattesi non possono essere esclusi.

8/10/2019 EN 13849-1 e EN 62061

23/61

23


Progettazione 2 - Assegnazione del SIL richiesto Parametro Pr

Probabilit dellevento pericoloso Probabilit (Pr)

Molto alta 5

Probabile 4

Possibile 3

Scarsa 2

Trascurabile 1

Questo parametro pu essere stimato considerando:

Le caratteristiche specificate o prevedibili del comportamento umano relativeallinterazione con le parti componenti della macchina relative al pericolo. Questo puessere caratterizzato da:

sollecitazioni (es., dovute a vincoli temporali, compiti di lavoro, percezione dellalimitazione del danno), e/o

scarsa conoscenza delle informazioni relative al pericolo. Questo influenzato dafattori quali capacit, formazione, esperienza e complessit dellamacchina/processo.


Progettazione 2 - Assegnazione del SIL richiesto Parametri Av e Cl

Probabilit di evitare o limitare i l danno (Av)

Impossibile 5

Scarsa 3

Probabile 1

Sommando i punteggi di Fr, Pr e Av si ottiene la classe della probabilit del danno Cl

Questo parametro pu essere stimato tenendo conto degli aspetti dei progetti della macchina e

dellapplicazione prevista che possono contribuire a limitare o evitare il danno derivante da unpericolo, ad esempio:

insorgenza improvvisa, ad alta o bassa velocit, dellevento pericoloso;

possibilit spaziale di sottrarsi al pericolo;

natura del componente o del sistema, per esempio un coltello generalmente affilato, un tuboin una latteria generalmente caldo, lelettricit generalmente pericolosa per sua natura, mainvisibile; e

possibilit di riconoscere un pericolo, per esempio un rischio elettrico: una sbarra di rame noncambia aspetto se in tensione o no; per accorgersene necessario uno strumento perstabilire se unapparecchiatura elettrica energizzata o no; le condizioni ambientali, peresempio, elevati livelli di rumore, possono impedire a una persona di sentire lavviamento diuna macchina.

8/10/2019 EN 13849-1 e EN 62061

24/61

24


Progettazione 2 - Assegnazione del SIL richiesto

Utilizzando la tabella seguente, il punto di intersezione tra la riga della gravit(Se) e la relativa colonna (Cl) indica se necessaria unazione. La zona neraindica il SIL assegnato come obiettivo per la SRCF. Le zone di colore pichiaro dovrebbero essere utilizzate come raccomandazione per luso di altremisure (OM)

Ad esempio per un pericolo specifico con una Se assegnata di 3, una Fr di 4,una Pr di 5 e una Av di 5, si ottiene Cl = Fr + Pr + Av = 4 + 5 + 5 = 14.Utilizzando la tabella, questo porterebbe lassegnazione di un SIL 3 alla SRCFdestinata a mitigare questo pericolo specifico.


Progettazione 3 Progettazione dellarchitettura di controllo

Una volta individuato il SIL necessario per la nostra funzione di sicurezza necessario scomporre la funzione in blocchi funzionali FB.

Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemiche realizzeranno i blocchi funzionali individuando una possibile configurazioneelettrica.

Per ogni sottosistema si calcola la probabilit di guasti pericolosi allora PFHD.

8/10/2019 EN 13849-1 e EN 62061

25/61

25


Progettazione 4 - Determinazione del SIL massimo raggiungibile

Il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza(SRESC) sar sempre inferiore o pari al valore pi basso dei SIL massimiraggiungibili per quanto riguarda lintegrit sistematica della sicurezza e i vincolidellarchitettura di ognuno dei sottosistemi che lo costituiscono.

Esempio in cui un PFHD di 5,22x10-7 corrisponde ad un SIL 2 per lo SRECSrealizzato


Progettazione 5 - Verifica

In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SILassegnato (SILr richiesto) stabilito dalla valutazione del rischio al passo 2.

Se la verifica positiva il progetto prosegue alla fase successiva, mentre se negativa bisogna riprogettare il circuito (ripartendo dal punto 3) cambiandoarchitettura o cambiando i componenti con altri aventi migliori caratteristiche

8/10/2019 EN 13849-1 e EN 62061

26/61

26


Progettazione 6 - Validazione e manutenzione

La progettazione di una funzione di comando e controllo di sicurezza deve esserevalidata. La validazione deve dimostrare che la combinazione di ciascuna funzione disicurezza dei dispositivi di sicurezza soddisfa i requisiti relativi.

Ogni SRCF indicata nella specifica delle prescrizioni dello SRECS e tutte le proceduredi funzionamento e di manutenzione dello SRECS devono essere validate mediantecollaudi e/o analisi.

Deve essere prodotta una documentazione adeguata della validazione della sicurezzadello SRECS, che deve dichiarare per ogni SRCF:

la versione del piano di validazione di sicurezza dello SRECS utilizzato e laversione dello SRECS provato;

la SRCF in prova (o in analisi), nonch il riferimento specifico alla prescrizionespecificata durante la pianificazione della validazione di sicurezza dello SRECS;

strumenti e apparecchiature utilizzate e dati di taratura;

risultati di ogni prova;

discrepanze tra risultati previsti ed effettivi.


Esempio di progettazione macchina cartonatrice

Si deve realizzare un sistema di carico/scarico di una macchina cartonatrice allaquale si vuole asservire un robot A in ingresso per il carico del materiale e unrobot B in uscita per lo scarico del materiale confezionato

Lobiettivo controllare la zona di carico/scarico in modo che sia in fase diproduzione che di manutenzione e/o pulizia le persone che si avvicinano nonsubiscano danno

8/10/2019 EN 13849-1 e EN 62061

27/61

27


Esempio di progettazione Ciclo di lavoro della macchina

Loperatore porta con un carrello i pezzi in lavorazione vicino al robot A e attiva ilciclo automatico di lavorazione. Il robot B prende i pezzi lavorati e li posizione inun altro carrello. A fine ciclo loperatore preleva i pezzi lavorati dal carrello vicino alrobot B.

La macchina completamente protetta ed ingresso e uscita con tunnel inconformit alla Norma EN 953 Sicurezza del macchinario - Ripari - Requisitigenerali per la progettazione e la costruzione di ripari fissi e mobili per cui lepersone non riescono ad accedere alle parti pericolose interne alla macchina, maproblemi potrebbero sorgere se il nastro trasportatore in ingresso in movimentoquando le persone sono nelle sue vicinanze

Terminata la lavorazione la macchina si arresta automaticamente in attesa di un

nuovo caricamento ed un nuovo start.


Esempio di progettazione Analisi del rischio della macchina

Il nastro della macchina pericoloso in quanto se non arrestato quando unapersona nelle vicinanze con il braccio del robot che la stringe verso il nastropotrebbe causargli lesioni se il movimento del nastro non viene arrestato. Siidentificano due zone pericolose:

- Zona prossima al robot A e zona nastro ingresso macchina chiamata zona DZ1in cui esistono i rischi di urto e schiacciamento con possibili conseguenzemortali

- Zona prossima al robot B e zona nastro uscita macchina chiamata zona DZ2 incui esistono i rischi di urto e schiacciamento con possibili conseguenze mortali

8/10/2019 EN 13849-1 e EN 62061

28/61

28


Esempio di progettazione Riduzione del rischio della macchina

I rischi associati ai pericoli individuati non sono accettabili e quindi sono da ridurremediante dispositivi di protezione gestiti da sistemi di sicurezza

Il posizionamento dei dispositivi di protezione viene stabilito, in base alla normaEN 13855, in funzione della velocit di avvicinamento del corpo umano, oltre chedel tempo di arresto degli organi pericolosi e del tempo di risposta del segnale dirilevamento e della catena elettrica/elettronica che attiva larresto degli organipericolosi.

Lestensione della zona si supponga di almeno 2 m dalle zone pericolose protetteattraverso lutilizzo di tappeti sensibili a protezione della zona limitrofa a ciascunrobot e la parte di nastro da essi servita


Esempio di progettazione Funzioni di sicurezza (SRCF) individuate

Vengono individuate due funzioni di sicurezza uguali

SRCF1:Se una persona si avvicina alla zona DZ1del robot A o al nastro dellamacchina, il robot A ed il nastro si devono arrestare

SRCF2:Se una persona si avvicina alla zona DZ2del robot B o al nastro dellamacchina, il robot B ed il nastro si devono arrestare

Per realizzare le funzioni di sicurezza a controllo delle zone pericolose DZ1 e DZ2 sisceglie un sistema costituito da due gruppi di tappeti sensibili (uno per la zona A elaltro per la zona B) completi della propria elettronica di controllo che fornisce comesegnali di sicurezza due contatti elettromeccanici che sono inviati allingresso di unconfiguratore (o un PLC) per applicazioni di sicurezza il quale a sua volta producesegnali di uscita che:

Arrestano il Robot A diseccitando due contattori che tolgono la potenza al robot A

Arrestano il Robot B diseccitando due contattori che tolgono la potenza al robot B

Arrestano il variatore di velocit che movimenta il motore del nastro agendo su unsuo ingresso di sicurezza (Power removal) per il quale certificata la funzione disicurezza almeno in SIL2

8/10/2019 EN 13849-1 e EN 62061

29/61

29


Esempio di progettazione Determinazione del SIL richiesto

Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare ilSIL attraverso lallegato A della norma EN 62061

La gravit del danno pu essere un danno irreversibile grave: Se = 4

La frequenza e durata dellesposizione di accesso alle zone di 1 volta alloraper 5 minuti per lavoro o pulizia: Fr = 4

La probabilit dellevento pericolo possibile a causa della possibilit di erroreumano: Pr = 3

La probabilit di evitare il pericolo esiste a causa dei movimenti lenti di robot enastro: Av = 3

La classe Cl = Fr + Pr + Av = 10


Esempio di progettazione Struttura della funzione di sicurezza SRCF1

Poich richiesto il SIL2, la struttura della funzione di sicurezza potrebbe essere laseguente, dove il SILCL di ogni sottosistema non pu essere inferiore a 2

La funzione SRCF1 scomponibile in 4 blocchi funzionali FB

8/10/2019 EN 13849-1 e EN 62061

30/61

30


Esempio di progettazione Funzione scomposta in sottosistemi

A ciascun blocco funzionale si associa un sottosistema SS

I sottosistemi SS1, SS2 ed SS4 hanno le funzioni diagnostiche D incorporate,mentre per il sottosistema SS3 costituito dai 2 contattori che arrestano il robot A,le funzioni diagnostiche a controllo dellincollamento dei contatti dei contattori sonogestite dal configuratore o PLC di sicurezza


Esempio di progettazione Elementi dei sottosistemi

Ciascuno dei due contattori che a loro volta fanno parte del sottosistema SS3sono elementi del sottosistema SS3 che rispettivamente sono identificati conSSE3.l ed SSE3.2

8/10/2019 EN 13849-1 e EN 62061

31/61

31


Esempio di progettazione Dati dei costruttori

SS1 ===> tappeto sensibile con elettronica dedicata: PFHDtappeto = 4 x10-7 (SIL 2)

SS2 ===> Elettronica configurabile: PFHDconf. = 2 x10-8 (SIL 3)

SS4 ===> Variatore di velocit movimento nastro: PFHDvar. = 1,5 x10-8 (SIL 3)

SS3 ===> Sistema di contattori per arresto robot A: da calcolare con analisi


Esempio di progettazione Analisi del sottosistema 3

Occorre determinare se il sottosistema SS3 in grado di arrivare per come viene realizzato al SILcl 2 eda tale scopo possibile utilizzare la tabella 5 della Norma EN 62061 nella quale in base alla tolleranzaallavaria dellhardware HFT e alla frazione del guasto in sicurezza SFF possibile stabilire subito se ilsottosistema che si deve costruire sar in grado di raggiungere il SIL necessario per lapplicazionespecifica

Il parametro HFT rappresenta il numero di guasti che il sottosistema pu avere senza che questicomportino la perdita della funzione di sicurezza e nel caso specifico dei due contattori utilizzati per ilsottosistema SS3 tale valore HFT=1 in quanto se un contattore si guasta in modo pericoloso(tipicamente si incolla) latro permette ancora di arrestare il robot

Per poter utilizzare il sottosistema SS3 nella SRCF1, per ottenere almeno SILcl = 2 con HFT = 1 necessario che il sottosistema SS3 abbia almeno una SFF superiore al 60%.

Frazione diguasto insicurezza

(SFF)

Tolleranza allavaria dellhardware (HFT)

0 1 2

< 60 % Non permesso SIL1 SIL2

60 % - < 90 % SIL1 SIL2 SIL3

90 % - < 99 % SIL2 SIL3 SIL3

99 % SIL3 SIL3 SIL3

8/10/2019 EN 13849-1 e EN 62061

32/61

32



Il sottosistema SS3 riconoscibile nel modello sottosistema D



Calcolo del parametro SFF

Poich stato assunto che i guasti pericolosi siano il 50% dei guasti totali, risultache

hannohanniMTTF

D

D /11054,1

/87607386

11 8=

==

hDS

/11054,1 8

==

Dalla norma IEC 61508-2 nellallegato A tabella A.2 si determina che la tecnica delcontrollo dellincollaggio dei contatti di contattori con contatti legati porta ad avereuna copertura diagnostica DC=99%

hDCDDD

/11052,199,01054,1 88

===

993,0=+

+

=

DS

DDSSFF

8/10/2019 EN 13849-1 e EN 62061

33/61

33



Resta ora solo il calcolo del tasso di guasti pericolosi del sottosistema SS3.Poich un sottosistema tipo D rispetto a quelli previsti nella Norma EN62061, il calcolo del valore del tasso di guasto pericoloso si calcola con laformula del sottosistema tipo D

hPFHDssDDssD 1=

I dati che ancora mancano sono T1 (che si assume pari a 20 anni), T2 (chevale 1 ora perch ad ogni accesso alla zona pericolosa si effettua la provadiagnostica per verificare il buon funzionamento del sottosistema SS3) e che determinabile in base alle indicazioni dellallegato F della Norma EN62061.

{ } DeDeDeDssD

TDCTDC ++= 12

2

22)1(2/2)1(


Esempio di progettazione Analisi del sottosistema 3 calcolo di

Voce Riferimento

Punteggio

Separazione/segregazione

I cavi di segnale dello SRECS per i singoli canali percorrono vie separate dagli altri canali in tutte le posizioni, oppure sonosufficientemente schermati? 1a SI 5

Quando vengono utilizzate informazioni di codifica/decodifica, sono sufficienti al rilevamento degli errori di trasmissione dei segnali? 1b SI 10

I cavi di segnale dello SRECS e i cavi elettrici di potenza sono separati in tutte le posizioni, oppure sono sufficientementeschermati ? 2 SI 5

Se elementi del sottosistema possono contribuire a un CCF, sono forniti come dispositivi fisicamente separati in involucri autonomi ? 3 NO 5

Diversit/ridondanza

Il sottosistema usa tecnologie elettriche diverse, per esempio, una elettronica o elettronica programmabile e laltra con un rel elettromeccanico ? 4 NO 8

Il sottosistema usa elementi che utilizzano principi fisici diversi (es., sensori a una porta di protezione che utilizzano tecniche meccaniche e magnetiche)?

5 NO 10

Il sottosistem a usa elem enti con differenze tem porali nelle operazioni funzi onali e/o nell e m odalit di guasto ? 6 NO 10

Gli elementi del sottosistema hanno intervallo diagnostico di prova 1 min ? 7 NO 10

Complessit/progetto/applicazione

evitata linterconnessi one tra canali del sottosistem a con leccezi one di quella utilizzata per scopi diagnostici ? 8 SI 2

Valutazione/analisi

Sono stati esaminati i risultati delle modalit di guasto e lanalisi degli effetti per stabilire fonti di guasti per cause comuni, e sono state eliminatemediante la progettazione le fonti di guasti per cause comuni predeterminate ?

9 SI 9

I guasti in campo sono analizzati con una retroazione alla progettazione ? 10 SI 9

Competenza/formazione

I progettisti del sottosistema comprendono le cause e le conseguenze dei guasti per cause comuni ? 11 SI 4

Controllo ambientale

Gli elementi del sottosistema tendono a funzionare sempre nel campo delle temperature, umidit, corrosione, polvere, vibrazione, ecc., nel quale sonostati provati senza luso di controlli ambientali esterni ?

12 SI 9

Il sottosistema immune alle influenze negative delle interferenze elettromagnetiche fino ai limiti specificati nellAllegato E compresi ? 13 SI 9

TOTALE = 62 da cui = 0,05

8/10/2019 EN 13849-1 e EN 62061

34/61

34



E possibile ora calcolare DSS3 = 7,7 x 10-10 1/h, da cui

Questa probabilit di guasto corrisponde a SIL3

10

33 107,71

== hPFHDssDss

Livello di Integrit della Sicurezza

(SIL)

Probabilit di un guasto pericoloso per ora [1/h]

(PFHD)

3 10-8 PFHD< 10-7

2 10-7 PFHD < 10-6

1 10-6 PFHD< 10-5


Esempio di progettazione Valutazione del SIL complessivo

SS1 ==> tappeto sensibile con elettronica dedicata: PFHDtappeto = 4 x10-7(SIL 2)

SS2 ==> Elettronica configurabile: PFHDconf. = 2 x10-8(SIL 3)

SS4 ==> Variatore di velocit movimento nastro: PFHDvar. = 1,5 x10-8(SIL 3)

SS3==> Sistema di contattori per arresto robot A: PFHDcont. = 7,7 x10-10(SIL 3)

Di conseguenza risulta che il PFHD dellintero sistema di controllo relativo allasicurezza SRESC1 :

PFHDSRECS1= PFHDtappeto + PFHDconf.+ PFHDvar+ PFHDcont.+ Pte = 4 x10-7+ 2 x10-8 + 1,5 x10-8 + 7,70 x10-10 + 0 = 4,357 x10-7 => SIL 2 pari a quellorichiesto: il controllo idoneo la funzione di sicurezza richiesta

Nel caso specifico Pte= 0 in quanto i sottosistemi dello SRECS non sono collegati traloro mediante comunicazioni di tipo digitale.

8/10/2019 EN 13849-1 e EN 62061

35/61

35


Esempio di progettazione macchina pulitrice

In una macchina pulitrice metalli la zona interna di pulitura con liquido accessibileattraverso uno sportello; allinterno dello sportello si trova un ugello che spruzza illiquido di pulizia sul metallo ad una velocit impostabile agendo con un variatore divelocit che a sua volta cambia la velocit della pompa che spruzza il liquido sulmetallo.

Lobiettivo controllare la zona di pulizia (che si identifica con DZ1) in modo chedurante le fasi di produzione e le altre fasi di macchina (ad es. manutenzione) lepersone che vi accedono non subiscano danno


Esempio di progettazione Ciclo di lavoro della macchina

Loperatore apre lo sportello della zona di pulizia e posiziona il metallo da pulire

Loperatore chiude lo sportello e attiva premendo un pulsante il ciclo automatico dipulizia che dura per il tempo impostato e con la velocit di spruzzo impostata sulsistema di comando e controllo

La macchina completamente protetta nella zona dello sportello ed il pericolo sipresenta solo allapertura di tale sportello

Terminato il ciclo impostato la pompa si arresta automaticamente e loperatoreapre lo sportello prelevando il metallo pulito

8/10/2019 EN 13849-1 e EN 62061

36/61

36


Esempio di progettazione Analisi del rischio della macchina

Si identifica come zona pericolosa la parte interna allo sportello della zonapulizia metalli della macchina denominata zona DZ1

Alla zona pericolosa DZ1 sono associati possibili danni originati dal pericolo dischizzi di fluidi con conseguenza di possibile irritazione al volto e tronco conpotenziale danno reversibile


Esempio di progettazione Riduzione del rischio della macchina

I danni associati ai pericoli sopra individuati non sono accettabili e quindi sono daridurre mediante dispositivi di protezione

Al fine del controllo della zona pericolosa si sceglie di interbloccare mediante uncircuito di sicurezza lapertura dello sportello in modo che allapertura dello stesso

la pompa del fluido di pulizia si arresti

8/10/2019 EN 13849-1 e EN 62061

37/61

37


Esempio di progettazione Funzione di sicurezza (SRCF) individuata

Si individua la seguente funzione di sicurezza:

SRF1:allapertura dello sportello la pompa del fluido entro la zona DZ1si devearrestare e non deve avviarsi quando lo sportello aperto


Esempio di progettazione Determinazione del SIL richiesto

Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare ilSIL attraverso lallegato A della norma EN 62061

La gravit del danno pu essere reversibile con un intervento medico: Se = 2

La frequenza e durata dellesposizione di accesso alle zone di 1 volta ogni 3 oreper 5 minuti per lavoro o pulizia: Fr = 4

La probabilit dellevento pericolo bassa a causa della preparazione degli

operatori: Pr = 2 La probabilit di evitare il pericolo scarsa perch il lubrificante schizza

velocemente: Av = 5

La classe Cl = Fr + Pr + Av = 11

8/10/2019 EN 13849-1 e EN 62061

38/61

38


Esempio di progettazione Struttura della funzione di sicurezza SRCF1

Poich richiesto il SIL1, la struttura della funzione di sicurezza potrebbeessere la seguente

La funzione SRCF1 scomponibile in 3 blocchi funzionali FB



A ciascun blocco funzionale si associa un sottosistema SS per realizzare la funzionedi sicurezza

un sottosistema SS1 costituito da un sensore magnetico per applicazioni disicurezza garantito SIL 2 dal suo costruttore

un sottosistema SS2 costituito dalla elettronica di controllo del sensoremagnetico per applicazioni di sicurezza che fornisce come segnali di sicurezza

una uscita di sicurezza elettronica garantita SIL 2 dal suo costruttore un sottosistema SS3 costituito da un variatore di velocit che movimenta il

motore della pompa la quale arrestata dalluscita di sicurezza del sottosistemaSS2 che a sua volta agisce su un ingresso di sicurezza (Power removal) delvariatore di velocit per il quale il suo costruttore certifica tale funzione disicurezza in SIL 3

I sottosistemi SS2, SS3 hanno le funzioni diagnostiche D incorporate, mentre per ilsottosistema SS1 le funzioni diagnostiche a controllo del corretto funzionamento deldispositivo magnetico sono gestite dalla elettronica del sottosistema SS2

8/10/2019 EN 13849-1 e EN 62061

39/61

39




Esempio di progettazione Dati dei costruttori

SS1 => interruttore magnetico per applicazioni di sicurezza: PFHDsensore = 8 x10-7 (SIL 2)

SS2 => Elettronica di controllo: PFHDelettronica. = 2,5 x10-7 (SIL 2)

SS3 => Funzione Power removal variatore di velocit: PFHDvar. = 1,5 x10-8 (SIL 3)

8/10/2019 EN 13849-1 e EN 62061

40/61

40


Esempio di progettazione Valutazione del SIL complessivo

Risulta che il PFHDdellintero sistema di controllo relativo alla sicurezza SRESC1 :

PFHDSRECS1= PFHDsensore + PFHDelettronica+ PFHDvar+ Pte = 8 x10-7 + 2,5x10-7 + 1,5 x10-8 + 0 = 1,065 x 10-6 => SIL 1 pari a quello richiesto: il controllo idoneo la funzione di sicurezza richiesta

Nel caso specifico Pte= 0 in quanto i sottosistemi dello SRECS non sono collegati traloro mediante comunicazioni di tipo digitale.


Esempio di progettazione fermo a seguito apertura riparo

Lesempio prende in considerazione una funzione di interruzione dellalimentazione di

un motore successiva allapertura di un riparo.

Se la funzione fallisce si verifica la perdita dello stato sicuro con possibilit di

infortunio grave delloperatore (rottura del braccio o amputazione di un dito).

8/10/2019 EN 13849-1 e EN 62061

41/61

41


Esempio di progettazione assegnazione del SIL richiesto

Nellesempio abbiamo un grado di gravit (Se) 3 poich esiste il rischio diamputazione di un dito; questo valore indicato nella prima colonna della tabella.

Successivamente occorre sommare tra loro tutti gli altri parametri per scegliere unadelle classi (colonne verticali della tabella). In tal modo otterremo:

Fr = 5 accesso pi volte al giorno per pi di 10 minuti

Pr = 4 evento pericoloso probabile

Av = 3 probabilit di evitare il danno quasi impossibile

Di conseguenza avremo una classe CI = 5 + 4 + 3 = 12

Il sistema elettrico di controllo relativo alla sicurezza (SRECS) della macchina deverealizzare questa funzione con un livello di integrit SIL 2.


Esempio di progettazione suddivisione in blocchi funzionali

Un blocco funzionale (FB) il risultato di una scomposizione dettagliata dellafunzione relativa alla sicurezza.

La struttura del blocco funzionale mostra il concetto iniziale dellarchitettura delloSRECS.

I requisiti di sicurezza di ogni blocco derivano dalla specifica dei requisiti di sicurezzadella funzione di controllo relativa alla sicurezza.

8/10/2019 EN 13849-1 e EN 62061

42/61

42


Esempio di progettazione assegnare i blocchi funzionaliai sottosistemi

Ciascun blocco funzionale viene assegnato ad un sottosistema dellarchitettura delsistema SRECS.

Se un sottosistema si guasta si ha il mancato funzionamento della funzione dicontrollo relativa alla sicurezza.

Ogni sottosistema pu comprendere elementi del sottosistema e, se necessario,funzioni di diagnostica per assicurare che i guasti possano essere rilevati perconsentire di intraprendere unazione immediata corretta.


Esempio di progettazione selezione dei componenti di ogni sottosistema

Vengono scelti questi prodotti. La durata del ciclo nellesempio di 450 secondi, il ciclo di azionamentoC di 8 manovre allora: la protezione verr quindi aperta 8 volte allora (test diagnostico T2)

8/10/2019 EN 13849-1 e EN 62061

43/61

43


Esempio di progettazione progettazione della diagnostica

Il SIL raggiunto dal sottosistema non dipende solamente dai componenti ma anchedallarchitettura scelta. Nellesempio sceglieremo architetture B per le uscite acontattore e D per i finecorsa.

In questa architettura il modulo logico di sicurezza esegue lautodiagnostica everifica anche i finecorsa. Vi sono tre sottosistemi per i quali determinare il SILCL(SIL Claim Limits):

SS1: due finecorsa in un sottosistema con architettura di tipo D (ridondante);

SS2 di sicurezza: un modulo logico SILCL 3 (scelto in base ai dati, incluso il PFHD, ,forniti dal costruttore);

SS3: due contattori utilizzati in associazione con unarchitettura tipo B (ridondantesenza feedback)



8/10/2019 EN 13849-1 e EN 62061

44/61

44




Esempio di progettazione calcolo PFHd dei contattori

Per unarchitettura di tipo B (a prova di guasto singolo senza diagnostica) la probabilitdi guasto pericoloso del sottosistema :

2/)()1( 211212

DeDeDeDeDssB T ++= hPFH

DssBDssB 1=

8/10/2019 EN 13849-1 e EN 62061

45/61

45


Esempio di progettazione calcolo PFHd dei finecorsa

Si sceglie unarchitettura tipo D a prova di guasto singolo con funzione di diagnostica.


Esempio di progettazione verifica finale

8/10/2019 EN 13849-1 e EN 62061

46/61

46


Esempio di progettazione emergenza + apertura riparo



Questo esempio di funzione di sicurezza descrive il monitoraggio di un apparecchio di

comando per arresto d'emergenza (funzione 1) e di un dispositivo di protezione di

separazione sotto forma di una porta di protezione (funzione 2): in questi casi si tratta di

monitorare l'accesso non autorizzato a zone dell'impianto e di impedire una funzione

pericolosa della macchina quando il dispositivo di protezione viene aperto.

Funzione di sicurezza SF1 : l'apparecchio di comando per arresto d'emergenza con contatti

ad apertura forzata viene monitorato dall'F-Link mediante l'S7-416F. Se si aziona l'arresto

d'emergenza, i contattori Q1 e Q2 a valle vengono disinseriti con guida obbligata. Prima

della riattivazione o della conferma dell'arresto d'emergenza mediante il pulsante di

avviamento si controlla che il contatto dell'apparecchio di comando per arresto

d'emergenza sia chiuso ed entrambi i contattori siano disinseriti. SIL richiesto = 3

Funzione di sicurezza SF2: anche la porta di protezione viene monitorata con due

interruttori di posizionamento con contatti ad apertura forzata mediante l'F-Link tramite

l'S7-416F. Se si apre la porta di protezione, i contattori Q1 e Q2 a valle vengono disinseriti

con guida obbligata. Se la porta di protezione viene chiusa, viene eseguito un avvio

automatico dopo la verifica degli interruttori di posizionamento e dei contattori a valle. SIL

richiesto = 3.

8/10/2019 EN 13849-1 e EN 62061

47/61

47



Dati della parte della logica, che comune ad entrambe le funzioni di sicurezza



Dati dei componenti soggetti a usura per la funzione di sicurezza SF1

8/10/2019 EN 13849-1 e EN 62061

48/61

48


Esempio di progettazione emergenza + apertura riparoVerifica del soddisfacimento del livello SIL richiesto per funzione SF1

SIL effettivo = SIL richiesto



Dati dei componenti soggetti a usura per la funzione di sicurezza SF2

8/10/2019 EN 13849-1 e EN 62061

49/61

49


Esempio di progettazione emergenza + apertura riparoVerifica del soddisfacimento del livello SIL richiesto per funzione SF2

SIL effettivo = SIL richiesto


Esempio di progettazione pressa per cuscinetti

Individuazione della funzione di sicurezza

Si ha una pressa per cuscinetti in cui il movimento del cilindro deve essere fermatoquando il campo protetto della barriera viene interrotto.

8/10/2019 EN 13849-1 e EN 62061

50/61

50



Assegnazione del SIL

La gravit della lesione pu essere irreversibile (Se = 3), la frequenza di esposizione alrischio due, tre volte al giorno per pi di 10 minuti (Fr = 5), la probabilit delverificarsi di un evento pericolo possibile (Pr = 3) ed esiste la possibilit da partedelloperatore di limitare il danno (Av = 3).

Si ottiene una classe di probabilit del danno pari a Cl = Fr + Pr + Av = 5 + 3 + 3 = 11.

Ne risulta un SILr = 2.



Progettazione dellarchitettura di controllo

Una volta individuato il SIL necessario per la nostra funzione di sicurezza, che in questocaso vale 2, necessario scomporre la funzione in blocchi funzionali FB (in figura sinota che i collegamenti tra i blocchi funzionali, e quindi tra i sottosistemi, non sono ditipo digitale).

Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemi cherealizzeranno i blocchi funzionali individuando una possibile configurazione elettrica.

8/10/2019 EN 13849-1 e EN 62061

51/61

51


Esempio di progettazione pressa per cuscinettiPoich il SIL richiesto totale 2, ogni sottosistema deve avere un SILCL almeno pari a 2

per raggiungere lobiettivo prefisso.

Per ogni sottosistema si calcola la probabilit di guasti (casuali) pericolosi allora PFHD.

Risulta che il PFHDtotale risulta inferiorea 10-6 e quindicorrispondente a SIL 2o SIL 3.



Determinazione del SIL massimo raggiungibile

Poich il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza(SRESC) sempre inferiore o pari al valore pi basso dei SIL massimi raggiungibili,vanno controllati i vincoli dellarchitettura di ognuno dei sottosistemi che locostituiscono.

Dai dati dei costruttori si ricava che il SILCL sia della barriera fotoelettrica che del PLC di

sicurezza pari a 3 e quindi coerente con la richiesta (maggiore o uguale a 2).

Rimane da controllare il SILCL dellelettrovalvola che un componente della catena disicurezza soggetto ad usura e privo di diagnostica interna. Va analizzato il vincolosullarchitettura per stabilirne il massimo SIL che pu fornire lelettrovalvola: dallatabella D.1 della norma EN 62061 si trova che la frazione di guasto in sicurezza SFFdellelettrovalvola pari al 70% (mancata eccitazione 5% pi perdita 65%), mentre lasua tolleranza allavaria dellhardware HFT pari a 0 perch anche una sola avaria pucausare una perdita della funzione di controllo relativa alla sicurezza.

Risulta quindi che una singola elettrovalvola come attuatore di uscita non sufficiente araggiungere il SIL minimo pari a 2 che viene richiesto.

8/10/2019 EN 13849-1 e EN 62061

52/61

52



Occorre allora ripensare alla struttura dellattuatore andando a collegare in parallelo(ridondanza) due sottosistemi (in questo caso due elettrovalvole), entrambirispondenti alle richieste dellarchitettura per SIL1, in modo che la tolleranzaallavaria dellhardware HFT diventi pari a 1 e quindi si passi da SILCL1 a SILCL2.



Poich il sottosistema di uscita ora costituito da due canali bisogna verificare laresistenza del sottosistema doppia elettrovalvola ai guasti per causa comune.

Larchitettura del sottosistema con una singola tolleranza allavaria dellhardware senzafunzione diagnostica larchitettura B dove dovrebbe verificarsi un guasto pericolosoin pi di un elemento prima che si verifichi un guasto al sottosistema.

8/10/2019 EN 13849-1 e EN 62061

53/61

53



Dalle tabelle F.1 e F.2 della norma EN 62061 si ricava rispettivamente che il punteggio compreso tra

35 e 65 e quindi il CCF () pari al 5%.

Le formule utilizzabili per calcolare la probabilit di guasti (casuali) pericolosi allora PFHD del

sottosistema costituito dalle due elettrovalvole (sottosistema di tipo B), sono le seguenti:

Per i dispositivi elettromeccanici come le elettrovalvole, il loro tasso di guasto De1 = De2 si

determina utilizzando il valore B10 e il numero di cicli di funzionamento C dellapplicazione:

In questo caso ricaviamo da una tabella dellappendice C della norma EN 13849-1 che il B10d di una

elettrovalvola di 20000000 di cicli poich B10d stimato pari a due volte B10 (ipotesi del 50%

di guasti pericolosi), abbiamo che B10 pari a 10000000 di cicli. C si assume pari a 60 /h. Il

tempo di vita delle elettrovalvole si assume pari a 20 anni. Ne risulta che:

2/)()1( 211212

DeDeDeDeDssB T ++= hPFH

DssBDssB 1=

10

1,0B

C=

9109

=voleelettrovalDssB

PFH



Verifica

In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SIL assegnato (SILrrichiesto) stabilito dalla valutazione del rischio al passo 2. La verifica positiva:

8/10/2019 EN 13849-1 e EN 62061

54/61

54


In una architettura semplice come questa (singolo canale -A) si calcola che la Probabilit di Guasti Pericolosi per ora(PFH) :

PFH = tot = s + k

Esempio Architettura A


s = 5,1010-7 PFHd = tot = s + k = 1,5110-6

SIL 1

k = 1,0010-6

Esempio Architettura A

Ora devo fare il controllo sullarchitettura

8/10/2019 EN 13849-1 e EN 62061

55/61

55


s

d

DC

s

d1

+

+

SFF =

4 0

4 1

+

+

=

s

d= 4

= 0,80

Calcolo del SFF del dispositivo di interblocco


s

dDC

s

d1

+

+

SFF =

0,53 0

0,53 1

+

+

=

s

d

= 0,53

= 0,34

=35

65

Calcolo del SFF del contattore

8/10/2019 EN 13849-1 e EN 62061

56/61

56


Per via del singolo dispositivo, sia per I che per O abbiamo HFT = 0

DispositivointerbloccoSFF = 80 %

ContattoreSFF = 34,6 %

SILCL = SIL 1 (per leccezione 6.7.6.4)

Vincolo architetturale


PFHsub1 = (1 )2 {[ De1 * De2 * (DC1 + DC2)] * T2/2 +[

De1*

De2* (2 - DC

1- DC

2) ] * T1/2 } + *

(De1

+ De2

)/2 * 1h

Feedback loop

Esempio architettura D

8/10/2019 EN 13849-1 e EN 62061

57/61

57


Feedback loop

Risultato ?

SIL 2

PFHd = 1,1610-7

PFHd = 4,210-8

SIL 3PFHd = 2,2610-8

PFHd = 5,1710-8

S1 S2

MTTF 228 100

1/h 5,01E-07 1,142E-06

(%/100) 0,05

T1 anni 20,00

T2 giorni 0,168

DC (%/100) 0,99 0,99

S1 S2

MTTF 114 114

1/h 1E-06 1,001E-06

(%/100) 0,05

T1 anni 20,00

T2 giorni 0,168

DC (%/100) 0,99 0,99



Per via dei dispositivi ridondanti, sia per I che per O abbiamoHFT = 1


8/10/2019 EN 13849-1 e EN 62061

58/61

58


Feedback loop SIL 2

PFHd = 2,0510-7

Risultato ?

SIL 3

PFHd = 2,2610-8

PFHd = 1,3110-7 PFHd = 5,1710-8

S1 S2

MTTF 114 114

1/h 1E-06 1,001E-06

(%/100) 0,05

T1 anni 20,00

T2 giorni 0,168

DC (%/100) 0,99 0,99

S1 S2

MTTF 228 100 1/h 5,01E-07 1,142E-06

(%/100) 0,05

T1 anni 20,00

T2 giorni 0,168

DC (%/100) 0,00 0,00

Esempio di collegamento serie


s

dDC

s

d1

+

+

SFF =

4 0

4 1

+

+

=

s

d

= 4

= 0,80

Calcolo del SFF del dispositivo di interblocco

8/10/2019 EN 13849-1 e EN 62061

59/61

59




Risultato ?

SIL 3

PFHd = 7,4410-8

SIL 3

PFHd = 2,2610-8

PFHd = 9,8610-9

Elettrovalvolamonitorata

Elettrovalvola normale

PFHd = 4,210-8

S1 S2

MTTF 228 100

1/h 5,01E-07 1,142E-06

(%/100) 0,05

T1 anni 20,00

T2 giorni 0,168

DC (%/100) 0,99 0,99

S1 S2

MTTF 2000 400

1/h 5,71E-08 2,854E-07

(%/100) 0,05

T1 anni 20,00

T2 giorni 0,168

DC (%/100) 0,99 0,00


8/10/2019 EN 13849-1 e EN 62061

60/61

60


s

d= 2,33

= 0,74

=70

30

Calcolo del SFF dellelettrovalvola


Elettrovalvole

SFF = 74 %

SILCL = SIL 2

Per via dei dispositivi ridondanti, sia per I che per Oabbiamo HFT = 1


8/10/2019 EN 13849-1 e EN 62061

61/61


Software per la sicurezza funzionale

A causa della complessit di calcolo previsto dalle due norme, possibilelutilizzo di software per velocizzare il procedimento di calcolo

SISTEMA SW dellIstituto per la salute e la sicurezza sul lavoro tedesco: ilsoftware gratuito, ma per il momento solo in lingua inglese, tedesca e francesee permette lanalisi solo con la norma EN 13849-1

http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp

Pascal SW della ditta Pilz: il software a pagamento, ma in anche linguaitaliana e permette lanalisi sia con la norma EN 13849-1 che con la norma EN

62061

http://www.pilz.it/products/software/tools/f/pascal/index.it.jsp

EN 13849-1 e EN 62061

Documents

Transcript of EN 13849-1 e EN 62061