Le nuove norme EN ISO 13849-1:2006 e CEI EN 62061:2005 · 1 Le nuove norme EN ISO 13849-1:2006 e...
85
1 Le nuove norme EN ISO 13849-1:2006 e CEI EN 62061:2005 Analisi ed applicazione pratica di calcolo sulle macchine utensili. Centro Congressi Borgo della Quercia 10 Aprile 2008 Relatore: Ing. E. Moroni I.C.E.P.I S.p.A - Organismo Notificato n.0066 Via P. Belizzi 31 -29100 Piacenza
Transcript of Le nuove norme EN ISO 13849-1:2006 e CEI EN 62061:2005 · 1 Le nuove norme EN ISO 13849-1:2006 e...
1
Le nuove normeEN ISO 13849-1:2006 e
CEI EN 62061:2005
Analisi ed applicazione pratica di calcolo sulle macchine utensili.
Centro Congressi Borgo della Quercia10 Aprile 2008
Relatore: Ing. E. Moroni
I.C.E.P.I S.p.A - Organismo Notificato n.0066
Via P. Belizzi 31 -29100 Piacenza
10/04/08 2
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
UNI EN 954UNI EN 954UNI EN 954UNI EN 954----1:19981:19981:19981:1998
� Parti dei sistemi di comando delle macchine a cui sono assegnate funzioni di sicurezza.
� Comportamento in caso di guasto di una parte di un sistema di comando legata alla sicurezza (SRP/CS) classificato in 5 categorie:B, 1, 2, 3, 4.
� Si applica a tutte le parti dei sistemi di comando legate alla sicurezza, indipendentemente dal tipo di energia utilizzata (elettrica, idraulica, pneumatica, meccanica).
10/04/08 3
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Funzione di sicurezzaFunzione di sicurezzaFunzione di sicurezzaFunzione di sicurezza
� 1: Funzione di sicurezza� 2, 3: Mezzi di attivazione, Attuatori� 4,5,6: Ingresso, Elaborazione, Uscita
10/04/08 4
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
CategoriaCategoriaCategoriaCategoria
� Classificazione di SRP/CS in relazione a:� resistenza ai guasti e� conseguente comportamento in condizioni
di guasto.
� Metodo deterministico ottenuto mediante la disposizione strutturale delle parti e/o la loro affidabilità.
10/04/08 5
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio di funzione di sicurezzaEsempio di funzione di sicurezzaEsempio di funzione di sicurezzaEsempio di funzione di sicurezza
10/04/08 6
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Processo di riduzione del rischio
� R1 = riduzione del rischio con misure
diverse da parti del sistema di
comando
� R2 = riduzione del
rischio con
funzioni di sicurezza di parti
del sistema di comando
RISCHIO accettabile Non accettabile
R2b R1b
Riduzione del rischio richiesta
Riduzione
reale del
rischio
Rischio prima di
applicare le misure
protettive
R2a R1a
Soluzione a
Soluzione b
10/04/08 7
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
UNI EN 954-1 All. B Stima del rischio
� Processo qualitativo.
Fornisce solo una
stima del rischio.
� La(le) categoria(e)
preferita(e) è(sono)
indicata(e) da un
cerchio grande
pieno.
10/04/08 8
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Considerazioni sulle categorieConsiderazioni sulle categorieConsiderazioni sulle categorieConsiderazioni sulle categorie
� CR 954CR 954CR 954CR 954----100:1999 Guida a EN 954100:1999 Guida a EN 954100:1999 Guida a EN 954100:1999 Guida a EN 954----1111� Le categorie 1, 2, 3 e 4 sono migliori della
categoria B.� Nelle categorie B, 1 e 2 un singolo guasto può
portare alla perdita della funzione di sicurezza.� Nelle categorie 3 e 4 un singolo guasto NON
può portare alla perdita della funzione di sicurezza.
� La categoria 4 ha la prestazione migliore circa la resistenza ai guasti.
10/04/08 9
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
UNI EN ISO 13849UNI EN ISO 13849UNI EN ISO 13849UNI EN ISO 13849----1:20071:20071:20071:2007
� Parti del sistema di comando legate alla sicurezza- Parte 1: Principi generali per la progettazione
� Sostituisce la norma UNI EN 954-1:1998� 2006 Novembre - EN ISO 13849-1� 2007 Febbraio - UNI EN ISO 13849-1� 2009 Novembre 2009 Novembre 2009 Novembre 2009 Novembre –––– Scade periodo transitorioScade periodo transitorioScade periodo transitorioScade periodo transitorio
10/04/08 10
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Livello di Prestazione (PL)Livello di Prestazione (PL)Livello di Prestazione (PL)Livello di Prestazione (PL)
� Indica l’abilità di un circuito nello svolgere una funzione di sicurezza.
� Probabilità media di guasto pericoloso per ora.
Rischio basso
Rischio elevato
10/04/08 11
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Determinazione di PLDeterminazione di PLDeterminazione di PLDeterminazione di PL
Funzione di sicurezza
Identificazione delle parti che
svolgono la funzione di sicurezza
Stima del Livello di
Prestazione
Partenza Passo 1:
• Identificazione di ogni funzione di sicurezza
• Individuazione del PLrtramite grafico di rischio
Passo 2:Identificazione dei componenti per ogni funzione di sicurezza
Passo 3:Quantificazione di Categoria, DC e MTTFd (CCF).
10/04/08 12
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Grafico di rischio per determinare Grafico di rischio per determinare Grafico di rischio per determinare Grafico di rischio per determinare PLrPLrPLrPLr
Rischio alto
Bassorischio
Punto di
partenza
� PLrPLrPLrPLr = = = = ““““PL richiestoPL richiestoPL richiestoPL richiesto”””” per una per una per una per una determinata funzione di sicurezzadeterminata funzione di sicurezzadeterminata funzione di sicurezzadeterminata funzione di sicurezza
S = Gravità della lesione S1 = lieve (normalmente reversibile) S2 = grave (normalmente irreversibile) inclusa la morte
F = Frequenza e\o tempo di esposizione al pericolo F1 = Da raramente ad abbastanza spesso e\o tempo di esposizione breve F2 = Da frequente a continuo e\o tempo di esposizione lungo
P= Possibilità di evitare il pericolo P1 = Possibile in determinate condizioni P2 = Scarsamente possibile
Parametri di rischio
10/04/08 13
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Es.Es.Es.Es. prENprENprENprEN 422 Sicurezza soffiatrici422 Sicurezza soffiatrici422 Sicurezza soffiatrici422 Sicurezza soffiatrici
� 5.3.1 Area of movement of the moulds5.3.1 Area of movement of the moulds5.3.1 Area of movement of the moulds5.3.1 Area of movement of the moulds� The access to the area of movement of the
moulds shall be prevented by type movable guards .... The required performance level PLrof the guard interlocking … shall be:� PLr d for automatic machines;� PLr e for semiautomatic machines
10/04/08 14
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Es.Es.Es.Es. prENprENprENprEN 422 Sic. soffiatrici 422 Sic. soffiatrici 422 Sic. soffiatrici 422 Sic. soffiatrici PLrPLrPLrPLr per macchine automaticheper macchine automaticheper macchine automaticheper macchine automatiche
� PLr = d
10/04/08 15
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Es.Es.Es.Es. prENprENprENprEN 422 Sic. soffiatrici 422 Sic. soffiatrici 422 Sic. soffiatrici 422 Sic. soffiatrici PLrPLrPLrPLr per macchine semiautomaticheper macchine semiautomaticheper macchine semiautomaticheper macchine semiautomatiche
� PLr = e
10/04/08 16
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Nuovi parametri per le categorieNuovi parametri per le categorieNuovi parametri per le categorieNuovi parametri per le categorie
� MTTFdMTTFdMTTFdMTTFd ((((MeanMeanMeanMean Time Time Time Time ToToToTo dangerousdangerousdangerousdangerous FailureFailureFailureFailure))))� Tempo medio al guasto pericoloso.� Per tutte le categorie.
� DC (DC (DC (DC (DiagnosticDiagnosticDiagnosticDiagnostic CoverageCoverageCoverageCoverage) ) ) ) � Copertura Diagnostica.� Per le categorie 2, 3 e 4.
� CCF (Common Cause CCF (Common Cause CCF (Common Cause CCF (Common Cause FailureFailureFailureFailure))))� Guasto di causa comune.� Per le categorie 2, 3 e 4.
10/04/08 17
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Tempo medio al guasto pericoloso Tempo medio al guasto pericoloso Tempo medio al guasto pericoloso Tempo medio al guasto pericoloso MTTFMTTFMTTFMTTFdddd
� Valor medio del tempo operativo di un singolo canalesenza guasti pericolosi.
� Non è il minimo periodo di vita garantito.� E’ il tempo medio di vita “previsto” fino al primo guasto
pericoloso.
30 30 30 30 ≤≤≤≤ MTTFdMTTFdMTTFdMTTFd ≤≤≤≤ 100100100100AltoAltoAltoAlto
10 10 10 10 ≤≤≤≤ MTTFdMTTFdMTTFdMTTFd < 30< 30< 30< 30MedioMedioMedioMedio
3 3 3 3 ≤≤≤≤ MTTFdMTTFdMTTFdMTTFd < 10< 10< 10< 10BassoBassoBassoBasso
Valori espressi in anniValori espressi in anniValori espressi in anniValori espressi in anniIndicazione di Indicazione di Indicazione di Indicazione di MMTFdMMTFdMMTFdMMTFd
10/04/08 18
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Curva di Curva di Curva di Curva di ““““Guasto dei sistemiGuasto dei sistemiGuasto dei sistemiGuasto dei sistemi””””
� Se il tasso di guasto λ costante dopo un periodo di “burn-in” e prima del “wear-out”:MTTF = 1/λ
� Curva di “Inaffidabilità”: 1- e-λt
� Con MTTFd = 3 anni:� dopo 3 anni ci si
aspetta che il 63% dei sistemi sia guasto
� dopo 10 anni il 96%
10/04/08 19
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Determinazione di Determinazione di Determinazione di Determinazione di MTTFdMTTFdMTTFdMTTFd
� Per la determinazione di valori di MTTFd deve essere adottata la seguente procedura nell’ordine:
1. Uso dei dati forniti dai costruttori
2. Uso dei dati riportati nell’allegato C della norma
3. Fissare MTTFd=10 anni
Se vengono rispettate
le buone pratiche
di ingegneria
10/04/08 20
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
EN ISO 13849 EN ISO 13849 EN ISO 13849 EN ISO 13849 ----1: Tabella C11: Tabella C11: Tabella C11: Tabella C1
� Con il 20% del carico ho un aumento di 50 volte (=1/0.02) del valore di B10d
10/04/08 21
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Tabelle da CTabelle da CTabelle da CTabelle da C.2.2.2.2 a Ca Ca Ca C.7.7.7.7 della EN ISO 13849della EN ISO 13849della EN ISO 13849della EN ISO 13849----1 1 1 1 tratte dalla serie SN29500tratte dalla serie SN29500tratte dalla serie SN29500tratte dalla serie SN29500
10/04/08 22
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
BBBB10101010d: Cicli di guasto d: Cicli di guasto d: Cicli di guasto d: Cicli di guasto ----TTTT10d10d10d10d: Tempo di guasto : Tempo di guasto : Tempo di guasto : Tempo di guasto
Tempo in anni
% guasti pericolosi
Tempo in anni per cui il 10% dei componenti è guasto
MTTFd = 100
MTTFd = 30
MT
TFd
= 10
T10d = 3T10d = 1
=� B10d = Numero medio di cicli fino a che il 10 % dei componenti si guasta in modo pericoloso
nop = numero medio di
operazioni all’anno
hop = ore operative al giorno
dop = giorni operativi all’anno
tcycle= Secondi tra due cicli
successivi
10/04/08 23
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio di calcolo di Esempio di calcolo di Esempio di calcolo di Esempio di calcolo di MTTFdMTTFdMTTFdMTTFd da Bda Bda Bda B10d10d10d10d
� B10d = 60 milioni di cicli;� dop= 220 giorni all’anno;hop= 16 h al giorno; tcycle= 5 s
per ciclo;� Da cui si ricava:
� nop= 2,53 x 106 cicli all’anno� MTTFd= 237 anni
Giorni operativi= 220; Ore operative = 16
157947056818Relè a carico ridotto
31891136Relè a pieno carico
10 s10 m1 hTempo ciclo =
10/04/08 24
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Metodo semplificato per la stima di Metodo semplificato per la stima di Metodo semplificato per la stima di Metodo semplificato per la stima di MTTFdMTTFdMTTFdMTTFd
∑ ∑= =
==N
i
N
j jd
j
idd MTTF
n
MTTFMTTF 1
~
1 ,,
11� Conto dei componenti
10/04/08 25
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
MTTFMTTFMTTFMTTFdddd per differenti canaliper differenti canaliper differenti canaliper differenti canali
� Le architetture designate considerano MTTFd identico per entrambi i canali. Se MTTFd dei canali è diverso:� Utilizzare il valore minore, oppure� Utilizzare la seguente formula di “simmetrizzazione”
MTTFd,C1 e MTTFd,C2 sono i valori per due differenti canali
Esempio: un canale ha MTTFd,C1 = 3 anni e l’altro MTTFd,C2 = 100 anni.Dalla formula si trova MTTFd simmetrizzato = 66 anni.
+
−+=
2,1,
2,1, 11
1
3
2
CdCd
CdCdd
MTTFMTTF
MTTFMTTFMTTF
10/04/08 26
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Copertura Diagnostica Copertura Diagnostica Copertura Diagnostica Copertura Diagnostica ---- DCDCDCDC
� Frazione del tasso dei guasti pericolosi individuati λDD sul tasso totale di tutti i guasti pericolosi λtotal: 99% ≤ DC Alta
90% ≤ DC < 99%Media
60% ≤ DC < 90%Bassa
DC < 60%Nessuna
Valori di DCValori di DCValori di DCValori di DCDefinizione Definizione Definizione Definizione di DCdi DCdi DCdi DC
10/04/08 27
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Stima della Copertura Diagnostica DCStima della Copertura Diagnostica DCStima della Copertura Diagnostica DCStima della Copertura Diagnostica DC
Alto Monitoraggio incrociato con test dinamico
Funzione della applicazione
Monitoraggio incrociato
Alto RAM “galpat”Basso RAM “walking bit”MedioMonitoraggio temporale (WD) e logico (plausibilità)BassoMonitoraggio temporale (WD)
Elaborazione logicaElaborazione logicaElaborazione logicaElaborazione logica
AltoVerifica di plausibilità (es. contatti legati)Ingressi / UsciteIngressi / UsciteIngressi / UsciteIngressi / Uscite
DCDCDCDCMisura Misura Misura Misura
� Uso di FMECA� Approccio semplificato (allegato E)
10/04/08 28
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Calcolo di DC per il sistemaCalcolo di DC per il sistemaCalcolo di DC per il sistemaCalcolo di DC per il sistema
� Per la valutazione del PL è necessario il calcolo del valore medio di DCavg, pesato tramite il fattore MTTFd delle singole parti.
� Non più calcolo per singolo “Canale” come per MTTFd.
10/04/08 29
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Stima di CCF (ββββ)
10Altre influenze ambientali come temperatura, urti, vibrazioni, umidità
Max 100Totale
25Prove di immunità EMC e purezza dei fluidi
Ambiente6
………
15Separazione fisica tra il percorso dei segnali
Separazione / segregazione1
Punteggio
Misuran.
Non accettabile Basso (>2%)< 65
Requisiti soddisfatti Buono (≤2%)≥ 65
ββββPunteggio
10/04/08 30
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Nuovi requisiti per le categorieNuovi requisiti per le categorieNuovi requisiti per le categorieNuovi requisiti per le categorie
≤ 2%AltoAlto 4
≤ 2%Basso -medio
Basso - alto3
≤ 2%Basso -medio
Basso - alto2
Non rilevanteAssenteAlto1
Non rilevanteAssenteBasso - medioB
CCF(CCF(CCF(CCF(ββββ))))DCDCDCDCMTTFdMTTFdMTTFdMTTFdCatCatCatCat
10/04/08 31
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Relazione Categorie, MTTF, DC e PL
MTTFd low
MTTFd medium
MTTFd high
10/04/08 32
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
PL: Riferimenti dettagliati
Colonne riportate in fig. 5 EN ISO 13849-1
Basso
Medio
Alto
Livelli intermedi per categorie 2, 3 e 4
Categoria 2 Categoria 3 Cat. 4
10/04/08 33
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
PL: Procedura semplificataPL: Procedura semplificataPL: Procedura semplificataPL: Procedura semplificata
Alto
Medio
Basso
10/04/08 34
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
PL: Valutazione numericaPL: Valutazione numericaPL: Valutazione numericaPL: Valutazione numerica
10/04/08 35
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Architetture designateArchitetture designateArchitetture designateArchitetture designate
� Funzioni di sicurezza semplici per le macchine.
� Dal punto di vista funzionale nel 90% dei casi sono necessari un ingresso, una logica e un uscita.
� Sistema di tipo “shut-down” per raggiungere lo stato di sicurezza.
10/04/08 36
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Architetture per categorie B/1/2Architetture per categorie B/1/2Architetture per categorie B/1/2Architetture per categorie B/1/2
Basso -
medio
Basso -
alto
2
AssenteAlto1
AssenteBasso -
medio
B
DCMTTFdCat
*Per categoria 2:- frequenza di test ≥ 100 volte la richiesta della funzione di sicurezza- MTTFd test > 0.5 MTTFd canale
*
10/04/08 37
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Architetture per categoria 3/4Architetture per categoria 3/4Architetture per categoria 3/4Architetture per categoria 3/4
DCMTTFdCat
AltoAlto 4
Basso -
medio
Basso -
alto
3
10/04/08 38
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio: interblocco riparoEsempio: interblocco riparoEsempio: interblocco riparoEsempio: interblocco riparo
� Funzione di sicurezza: sconnessione motore� Individuazione di PLr
� Gravità della lesione S = S2 alta� Frequenza e\o tempo di esposizione F = F1, rara� Possibilità di evitare il pericolo P = P1 buona
� Dai dati si ottiene: PLr = c →→→→ categoria: 1, 2 o 3.
10/04/08 39
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Circuito n.1
� SW1A ad apertura forzata dei contatti (EN 60947-5-1) ma non escludo guasto
� 1/MTTFd = 1/MTTFSW1A + 1/MTTFK1A= 1/ 20 + 1/50 = 0,07 quindi MMTFd =1/0,07=14,3 anni (medio)
� DC = 0; β = non rilevante.
� Categoria� MTTFd medio non può essere
categoria 1
� PL (Cat. B, MTTFd = medio)� PL = “b” < PLr = c
SW1A K1A
Schema a blocchi
→ categoria B
10/04/08 40
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Influenza dei componenti
� Sostituisco SW1A con componente più affidabile:
Nuovo MTTFSW1A=100 anni
� MTTFd= 33 anni (alto)
� PL = c rispetta PLr.
� Nel caso in cui fosse possibile escludere il guasto meccanico ed elettrico del finecorsa :
MTTFd = MTTFK1A = 50 anni (anni)
� PL= c rispetta il PLr.
→ categoria 1
→ categoria 1
10/04/08 41
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Circuito n.2
SW1B K1B
SW2 PLC CC
RS
Canale 1
Canale 2
test
Schema a blocchi
10/04/08 42
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Circuito 2: stima di MTTFd e DC
� CANALE 1� Escludo guasto SW1A
� MTTFK1B = 30 anni
� MTTFd = 30 anni
� DCK1B = 99% (alto)
� CANALE 2
� MTTFSW2 =MTTFPLC = MTTFCC = 20 anni
� MTTFd,C2 = 6.7 anni
� DCSW2 = 60% (basso)
� DCPLC = 30% (basso)
� DCCC = 90% (medio)
CCPLCBKSW
CC
CC
PLC
PLC
BK
BK
SW
SW
MTTFMTTFMTTFMTTF
MTTF
DC
MTTF
DC
MTTF
DC
MTTF
DC
1111
12
1
1
2
2
+++
+++
183.0
123.0
MTTFd = 20 anni (medio)
DCAV = = = 67.1% (basso)
10/04/08 43
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Circuito 2: stima di ββββ
1010Altre influenze, temperatura, urti, vibrazioni, umidità
80
25
-
5
5
-
20
15
Punteggio
100Totale
10Prove di immunità ambientali EMC
Ambiente6
5Progettista consapevole delle cause e conseguenze di CCF
Competenza / formazione5
5Risultati dell’analisi dei guasti usati nella progettazione per evitare CCF
Valutazione / analisi4
5Uso di componenti conosciuti3.2
15Protezione contro sovratensioni, sovra-pressioni, ecc3.1
Progettazione/applicazione/esperienza3
20Differenti tecnologie o Progettazione o principi (fisici) differenti
Es. pressione e posizione, digitale e analogico, componenti di diversi costruttori
Diversità2
15Separazione fisica tra il percorso dei segnali
Separazione / segregazione1
MaxOggetton.
β = 80
β = buono
10/04/08 44
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Circuito 2: categoria e PL
� Categoria 3
� Il circuito utilizza principi ben collaudati
� Il singolo guasto in una qualsiasi parte non porta
alla perdita della funzione di sicurezza
� Ogni qualvolta è possibile il singolo guasto viene
rilevato in corrispondenza o prima della successiva richiesta della funzione di sicurezza
� PL (Cat. 3, MTTFd = medio, DC = basso, β = buono)
� PL corrisponde a “c” = PLr
10/04/08 45
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Combinazione di parti con PL Combinazione di parti con PL Combinazione di parti con PL Combinazione di parti con PL assegnato: approccio semplificatoassegnato: approccio semplificatoassegnato: approccio semplificatoassegnato: approccio semplificato
ESPE
Categoria 2
PL= c
PLC
Categoria 3
PL= d
Valvola
Categoria 1
PL= c
10/04/08 46
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Combinazione di parti con PL Combinazione di parti con PL Combinazione di parti con PL Combinazione di parti con PL assegnato: approccio numericoassegnato: approccio numericoassegnato: approccio numericoassegnato: approccio numerico
PLESPE= 2,23x10-6
PLPLC= 5,16x10-7
PLValvola=2,43x10-6
PLSistema=
2,23x10-6 + 5,16x10-7
+2,43x10-6
= 5,176x10-6
= b
ESPE
Categoria 2
PL= c
PLC
Categoria 3
PL= d
Valvola
Categoria 1
PL= c
10/04/08 47
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio calcolo PL – Categoria 2
Schema a blocchi
10/04/08 48
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio calcolo PL – cat.2
� Funzione di sicurezza� Arresto dei movimenti pericolosi ed impedimento
alla partenza. EV 1V3 rappresenta un sottosistema monitorato tramite PLC.
� Funzionamento� Movimento controllato da 1V3.
� Test di 1V3 tramite PLC K1 che verifica 1S3 ad intervalli regolari.
� In caso di guasto K1 taglia alimentazione a Q1 che arresta motore 1M e quindi la pompa 1P.
10/04/08 49
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Calcolo di MTTFd
� MTTFd del canale funzionale = 100 anni� 150 anni per 1V3 da tabella EN ISO 13849-1 (ridotto a
100 anni)
� MTTFd per canale di test = 37.5 anni� 1S3 = 150 anni; K1= 50 anni; Q1 = 83333 anni
(B10d=2.000.000 cicli con intervento di una volta al giorno su 240 giorni)
� Requisito di architetture designate impone che MTTFd test sia maggiore di 0,5xMTTFd canale:� MTTFd canale declassato a 75 anni.
10/04/08 50
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Calcolo di PL – Allegato K
� Stima di DC
DC stimata per confronto indiretto spazio/tempo di 1V3 tramite PLC = 60%(basso).
� CCF da tabella 85 (sufficiente)
� Combinazione conforme alla categoria 2 con:
MTTFd alto (75 anni)
DC basso (60%).
Usando allegato K: PDF=7,31x10-7/ora. PL= d.
10/04/08 51
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio pressa idraulica
1V51V4
B1
B2
IngressiPLC
Uscite
Movimento discesa slitta
K2
10/04/08 52
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio pressa idraulica
� Schema a blocchi
10/04/08 53
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio pressa idraulica
� Il modulo di sicurezza ha un PL di 2,31x10-9 dichiarato dal fornitore.
� La parte rimanente del circuito di comando può essere divisa in due sotto-sistemi, ognuno dei quali è conforme ai requisiti della categoria 4, di cui si calcola il PL.
� Interblocco riparo� Contatto elettrico
� Esclusione del guasto per il contatto elettrico di B1 perché è ad apertura positiva. Per B2 B10d = 1000000
� Parte meccanica B10d = 1000000 per B1 e B2.
� Considerando intervento riparo ogni 10 minuti su due turni di lavoro ognuno di otto ore per tutto l’anno:
� per B1 MTTFd = 285 anni
� per B2 MTTFd = 142 anni
� Elettrovalvole� Per le EV prendiamo valori da norma MTTFd = 150 anni.
� Entrambi i canali vengono limitati a 100 anni.
10/04/08 54
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio pressa idraulica
� DC = 99% per B1 e B2 e per EV
� CCF = 75� Separazione 15
� Diversità 0
� Protezione contro sovra tensione 15� Componenti ben collaudati 5
� FMEA 5� Ambiente 25 + 10
� Parametri OK per Cat. 4.� Allegato K1 di EN ISO 13849-1 PL sottosistemi
= 2,47x10-8
� Totale PL = (2,47 + 0,231 + 2,47)x10-8 = 5,17x10-8 = e
10/04/08 55
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Verifica del Software
SW applicativo
SW incorporato
10/04/08 56
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Raccomandazione d’uso di ISO 13849-1 e IEC 62061
10/04/08 57
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Funzione densità di probabilità
� La funzione densità di probabilità (dpf) lega i
valori di una variabile casuale con la
probabilità di ottenere uno specifico valore
(var. discreta) o range (var. continua).
� Proprietà:
� Probabilità di ottenere un valore nel range da a
a b:
∫+∞
∞−
=1)( dxxf0)( ≥xf
∫=≤≤b
a
dxxfbxaP )()(
10/04/08 58
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Distribuzione tipica: Esponenziale
0per 0,
;0per )(
<=
≥= −
x
xkexfkx
tetf
0002.00002.0)( −=
� Distribuzione esponenziale
comunemente usata nel
campo della affidabilità
f(x)
x
Un componente ha la seguente pdf:
0.243 )()8760 ,4380(
8760
4380
== ∫ dttfP
Qual è la probabilità che si guasti dopo la garanzia (6 mesi, 4380 ore) e prima della manutenzione straordinaria dell’impianto (12 mesi, 8760 ore)?
10/04/08 59
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Tasso di guasto λ(t)
� λ(t) = numero di guasti per unità di tempo.
� Unità di misura FIT = Guasti su miliardi (10-9)
di ore
10/04/08 60
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio di stima di λ per un relè
� MIL-HBK 217F. Military Handbook - ReliabilityPrediction of Electronic Equipment. Department of Defence. Washington DC. 1991.
� λb = Base failure rate
� πL=Load stress factor
� πC=Complexity of configuration factor
� πCYC=Cycling factor
� πF=Form factor
� πQ=Quality factor
� πE=Environment factor
10/04/08 61
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio di stima di λ per un relè
10/04/08 62
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio di stima di λ per un relè
10/04/08 63
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio di stima di λ per un relè
10/04/08 64
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Esempio di stima di λ per un relè
10/04/08 65
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
MTTF - MTBF – MTTR – MDT – MUT
� Se il tasso di guasto λ è costante: MTTF=1/ λ
� MTBF (Mean Time Between Filure)� Tempo medio tra due guasti di un sistema che viene riparato.
� MTTR (Mean Time To Repair)� Tempo medio per riparare il sistema
� MDT (Mean Down Time)� Durata media di indisponibilità del sistema
� MUT (Mean Up Time)� Durata media di funzionamento dopo la riparazione.
Guasto GuastoRimesssa in
servizio
10/04/08 66
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
FTA Fault Tree Analysis
� Analisi tramite albero dei guasti
� Metodo deduttivo complementare alla FMEA (induttivo)
� Si identifica un problema e se ne cercano le cause
� Per ogni causa il processo continua fino a quando non si individua l’evento o il guasto scatenante
� Viene utilizzata una simbologia:
Evento Guasto AND OR
10/04/08 67
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
FTA Esempio
� Due termocoppie (A e B) usate per rilevare la temperatura di un reattore. Il segnale viene confrontato: se differenza > 5% il sistema è guasto. La Probabilità di guasto di ogni termocoppia è0.005. Quale è la probabilità di guasto del sistema?
� Il guasto di una non preclude il guasto dell’altra:
P (sistema) = P(A)+P(B)-P(AeB) = 0.009975
Temperatura
non disponibile
Termo
guasta
Termo
guasta
• Tecnica conservativa di approssimazione per velocizzare: considerare eventi indipendenti e mutuamente esclusivi:P(sistema) = P(A)+P(B) = 0.01
10/04/08 68
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Combinazioni SERIE e PARALLELO
� MTTF di un sistema serie di n elementi con pdfesponenziale negativa e λ costante:
MTTFsistema= 1/(λA+ λB)
� MTTF di un sistema parallelo di 2 elementi con pdfesponenziale negativa e λ costante:
MTTFsistema= 1/(λA)+1/(λB) -1/ (λA+λB)
A B
A
B
10/04/08 69
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Analisi quantitativa: Markov
� Strumento per valutare la probabilità che un sistema si trovi in un certo stato durante un processo.
� Stati mutuamente esclusivi (cerchi)
� Probabilità di transizione nel tempo ∆t (archi)
� ∆t identico per tutte le transizioni; più piccolo
possibile.
� Processo “senza memoria”
� Rappresentazione grafica
� Stati = cerchi
� Probabilità di transizione = archi
10/04/08 70
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Modello di Markov per canale singolo monitorato
� λM: tasso di guasto del sistema
� λs: tasso di guasto del supervisore
� Rt: frequenza di test� Rd: frequenza di richiesta
intervento� Rr: frequenza di riparazione� C: copertura diagnostica� Il supervisore può portare la
macchina in uno stato sicuro (4)
� I guasti non rilevati portato ad uno stato pericoloso (5)
� Il supervisore può guastarsi prima del sistema (5)
1Operativo
3Supervisore
guasto2Sistema guasto
5Guasto non
rilevato
6rischio
4Arresto sicuro
P13 =λs ∆
t
P6
1 =r
r ∆t
P3
5 =λ
M∆
t
P25 =(1-C
)rt ∆
t+λs ∆
t
P 12=λ
M∆t
P41=
r r∆
t
P2
4=
Cr t∆
t
P26 =
rd ∆
t P56=
rd∆
t
P45=λs∆t
10/04/08 71
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
CEI EN 62061:2005
SIL
CEI EN
62061
10/04/08 72
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Valutazione del rischio e SIL
Riskrelated to
the identifiedhazard
Severityof the
possible
harm
SE
Frequency and duration of exposure
FR
Human and machine behavior
PR
Possibility to avoid harm AV
Probability of
occurrenceand=
Document No.:
Risk assessment and safety measures Part of:
Pre risk assessment
Intermediate risk assessment
Follow up risk assessment
Consequences SeveritySE
Death, losing an eye or arm 4 <= 1 hour 5 Common 5
Permanent, losing fingers 3 > 1 h - <=day 5 Likely 4
Reversible, medical attention 2 >1day - <= 2wks 4 Possible 3 Impossible 5
Reversible, first aid 1 > 2wks - <= 1 yr 3 Rarely 2 Possible 3> 1 yr 2 Negligible 1 Likely 1
Ser. Hzd. Hazard Safety measure SafeNo. No.
OM
SIL 2 SIL 3 SIL 3
SIL 1 SIL 2 SIL 3
SIL 2
SIL 1OM
ClSe Pr Av
Grey area = Safety measures recommended
11 - 13
SIL 2
OM
SIL 2
SIL 1
Fr
Class Cl14 - 153 - 4 5 - 7 8 - 10
Product:
Date:
Issued by:
Black area = Safety measures required
Avoidanceduration, FR event, PR AV
Frequency and Probability of hzd.
3 5 4 3 12
10/04/08 73
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Processo di sviluppo e progetto
� Ogni funzione di sicurezza deve essere scomposta in blocchifunzionali.
� Ad ogni blocco funzionale deve essere associato un sottosistema.
10/04/08 74
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Prestazione di sicurezza di sottosistema
� La prestazione di sicurezza di un sottosistema
è caratterizzata da:
� SILCL (limite di SIL richiesto) determinato
dai vincoli dell’architettura,
� SILCL dovuto all’integrità sistematica
� Probabilità di guasto pericoloso casuale
dell’hardware PFHd
10/04/08 75
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Vincoli dell’architettura
� Hardware fault tolerance di N significa che N+1 guasti possonocausare la perdita della funzione.
� Safe failure fraction SFF (Frazione di guasto in sicurezza)� Frazione del tasso di guasto globale che non comporta un guasto
pericoloso: : (Σλ S + Σλ DD) / (Σλ S + Σλ D)� Dovrebbe essere realizzata un’analisi (es FTA, FMEA) di ogni
sottosistema.
10/04/08 76
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Architettura base A
� Formule valide se λ x T1 << 1 (T1 minore tra proof test
e mission time) e modlaità di intervento frequente o
continua
10/04/08 77
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali Architettura base B
� single fault tolerance without a diagnostic function
10/04/08 78
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali Architettura base C
10/04/08 79
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Architettura base D
10/04/08 80
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Architettura base D
� Per elementi eterogenei:
� Per elementi omogenei:
10/04/08 81
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Stima di CCF
� Combinazione di tecnologia, architettura, applicazionee ambiente.
� Allegato F
10/04/08 82
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali Valutazione SIL
A safety function and its assigned architecture
“Safety Integrity” Information of the Subsystems
Sensor
� SIL (claim limit): 2
� PFH1 = 2*10-7 / h
Safety PLC (IEC 61508)
� SIL: 3
� PFH2 = 4*10-8 / h
Actuator
� SIL: 2
� PFH3 = 3*10-7 / h
Systematic Integrity
SIL SYS <= (SIL subsystem)lowest
Architectural Constraints
SIL SYS <= (SIL subsystem)lowest
�SIL: 2
�SIL: 2
Probability of dangerous Failure
PFH = PFH1 + ...+ PFHn �PFH = (2 + 0.4 + 3)*10-7 < 10-6
10/04/08 83
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Vincoli architettura Sottosistema
Safety
PLC
CPU
SS3 SIL 31,8 E-9
SwitchB10, C
Contattore
SS2 SIL 35,42 E-10
DDC
D
ContattoreVincoli dell’architettura
1002 (N=1)
DC=99%
SIL 3
SS1
10/04/08 84
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
Elemento del sottosistema
Sottosistema
Verifica didiscrepanza nelPLC
Tasso di guasto pericoloso
Dangerous failure: “Contacts stuck” = 50%
λD = 0.5 x λ = 5 x 10-8
Ridondanza omogenea
λ1 = λ2 = λ ; DC1 = DC2 = DC
Copertura diagnostica (comparazione in PLC)DC = 99%
Common Cause FactorCCF: 1%
Failure rate λλλλ
C: frequenza di commutazione [1 / h]
λλλλ = 0.1 x C / B10
B10: fornito dal costruttore
B10 : 1 000 000
C : 1 / ora
λDssD = (1 – β)2 {[ λDe2 * 2 * DC ] * T2/2 + [ λDe2 * (1 - DC) ] * T1} + β * λDe
PFHDssD = λDssD * 1h ���� 5,0 E-9 SIL 3
Intervalli di testT1: 10 anniT2: 1 ora
PFH Sottosistema
10/04/08 85
Isti
tuto
Cer
tifi
cazi
on
e E
uro
pea
Pro
do
tti
Ind
ust
riali
SIL Claim:
SS1 SS2 SS3 SIL3 SIL3 SIL3
� SIL3
PFH and SIL:
SS1 SS2 SS35,0 E-9 + 5,42 E-10 + 1,8 E-9
= 7,342 E-9
SIL3 ???�
Valutazione del SIL
SIL2
Valutazione
qualitativa
SIL2 SIL2
