UNI EN ISO 13849-1: i circuiti di comando e la sicurezza sulle macchine Angelo Maggioni Quadra S.r.l. www.quadrasrl.net
Allegato I, Direttiva 2006/42/CE Sicurezza ed affidabilità dei sistemi di comando (§1.2.1) I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che: resistano alle previste sollecitazioni di servizio e agli influssi esterni, un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose, errori della logica del sistema di comando non creino situazioni pericolose, errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose. La direttiva macchine richiede in modo esplicito che in caso di avaria non si creino situazioni pericolose ovvero in caso di guasto dei circuiti di comando della macchina non si deve creare una situazione pericolosa. Le situazioni pericolose in condizioni anomale ovvero di guasto sono ad esempio: avvio inatteso; impedimento all’arresto (ad esempio all’apertura di un riparo mobile interbloccato la macchina si deve bloccare oppure il rilascio di un comando ad azione mantenuta deve arrestare la macchina); non mantenimento della velocità lenta in condizioni di sicurezza migliorate (vedi requisito 1.2.5 All. I, direttiva macchine). È necessario considerare anche il funzionamento della macchina in condizioni di guasto (vedi UNI EN ISO 13849-1 & UNI EN ISO 13849-2); tali norme non considerano la macchina in condizioni di normale funzionamento ma solo in condizioni di guasto. 2
Proroga norma UNI EN 954-1:1998 Con la “Comunicazione della Commissione nell’ambito dell’applicazione della direttiva 2006/42/CE del Parlamento europeo e del Consiglio, relativa alle macchine e che modifica la direttiva 95/16/CE (rifusione) 2009/C 321/09”, pubblicata sulla Gazzetta ufficiale dell’Unione europea C 321 del 29/12/2009, è stata prolungata la data di cessazione della presunzione di conformità della norma UNI EN 954-1:1998 (inizialmente prevista per il 28/12/2009) al 31/12/2011.
Norme armonizzate PL SIL UNI EN ISO 13849-1 (2008): Sicurezza del macchinario. Parti dei sistemi di comando legate alla sicurezza. Parte 1: principi generali per la progettazione. CEI EN 62061 (2005): Sicurezza del macchinario. Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza. PL SIL Ad oggi 2 norme: 62061:2005 e 13849-1. Sono due norme in quanto provenienti da organismi diversi (IEC e ISO). La 62061 è di estrazione elettrica e deriva da norme (EN 61508) che sono utilizzate per i processi industriali (ad esempio in impianti nucleari). La 13849-1 è l’evoluzione della 954-1. Le due norme “dicono” le stesse cose ma in modo diverso. Armonizzate ambedue le norme rispetto alla direttiva 2006/42/CE
Applicazione raccomandata delle norme CEI EN 62061 & UNI EN ISO 13849-1 Prospetto 1 estratto dalla norma UNI EN ISO 13849-1:2008. Nel caso in cui la tecnologia che implementa la funzione di sicurezza dovesse comprendere “elettronica complessa” (per esempio elettronica programmabile) è raccomandato utilizzare la norma UNI EN ISO 13849-1:2008 fino ad un PLr = d; in caso di PL superiori è opportuno utilizzare la norma CEI EN 62061:2005.
Definizioni UNI EN ISO 13849-1 Parte del sistema di comando correlata alla sicurezza – SRP/CS (Safety Related part of Control System) Parte di un sistema di comando che risponde a segnali di ingresso legati alla sicurezza e genera dei corrispondenti segnali di uscita legati alla sicurezza Guasto pericoloso (Dangerous failure) Guasto che può potenzialmente portare la SRP/CS in uno stato pericoloso o non in grado di effettuare la sua funzione. Livello di prestazione – PL (Performance Level) Livello discreto usato per specificare l’abilità di un sistema di comando legato alla sicurezza di effettuare una funzione di sicurezza in determinate condizioni Livello di prestazione richiesto – PLr (required Performance Level) Livello di prestazione (PL) applicato in modo da raggiungere i requisiti richiesti per quanto riguarda la riduzione dei rischi Nella valutazione del livello di prestazione del SRP/CS occorre considerare solo i guasti pericolosi ovvero i guasti che comportano una perdita della funzione di sicurezza. Ad es. pulsante di arresto di emergenza (contatti ad apertura forzata, normalmente chiusi): Rottura chiuso => guasto pericoloso Rottura aperto => guasto non pericoloso (problema funzionale sulla macchina)
Processo iterativo per la progettazione della SRP/CS UNI EN ISO 13849-1 Figura 3 norma UNI EN ISO 13849-1
Misure protettive per la riduzione del rischio UNI EN ISO 13849-1 Le misure protettive per la riduzione del rischio che dovrebbero essere applicate sono: riduzione della probabilità di guasti a livello dei componenti; lo scopo è quello di ridurre la probabilità di guasti che possano compromettere le funzioni di sicurezza; ciò può essere fatto aumentando l’affidabilità dei componenti, per esempio con la selezione di componenti testati o progettati secondo metodologie comprovate in modo da ridurre o escludere guasti critici miglioramento della struttura della SRP/CS; lo scopo è quello di evitare gli effetti pericolosi di un guasto; per questo scopo può essere utile l’utilizzo di una struttura ridondante e/o monitorata Entrambe queste soluzioni possono essere applicate singolarmente o in modo combinato
Funzioni di sicurezza UNI EN ISO 13849-1 – §5 L’arresto di sicurezza comprende: intervento barriera fotoelettrica, intervento dispositivo di interblocco, ecc. L’arresto funzionale non è una funzione di sicurezza ovvero, ad esempio, può essere gestito da un PLC funzionale. L’arresto di emergenza non deve essere inteso come una funzione di sicurezza ma come una misura di sicurezza complementare. La parametrizzazione basata sul software dei parametri legati alla sicurezza deve essere considerata un aspetto legato alla sicurezza della progettazione del SRP/CS da descrivere nella specifica dei requisiti di sicurezza del software. La parametrizzazione deve essere eseguita utilizzando uno strumento software dedicato offerto dal fornitore della SRP/CS. Questo strumento deve avere la propria identificazione (nome, versione, ecc.) e deve impedire la modifica non autorizzata, per esempio mediante password.
PL richiesto (PLr) Per ogni funzione di sicurezza che deve essere svolta da una SRP/CS, si deve determinare e documentare un livello di prestazione richiesto (PLr). La determinazione del PLr è il risultato della valutazione dei rischi e si riferisce all’entità della riduzione del rischio a carico delle parti del sistema di comando legate alla sicurezza. Quanto maggiore è l’entità della riduzione del rischio richiesta da parte della SRP/CS, tanto più elevato deve essere il PLr. La valutazione del rischio prende in considerazione una situazione precedente alla messa in atto della funzione di sicurezza prevista; la riduzione del rischio mediante altre misure tecniche indipendenti dal sistema di comando (per esempio ripari fissi) o funzioni di sicurezza aggiuntive, può essere considerata nella determinazione del PLr. Ad esempio in caso di protezioni perimetrali, il PLr deve essere valutato in base al rischio maggiore.
Grafico per la determinazione del PLr per la funzione di sicurezza UNI EN ISO 13849-1 – Allegato A
Stima del PL UNI EN ISO 13849-1 Il PL della SRP/CS deve essere determinato stimando i seguenti aspetti: MTTFd di ciascun componente [appendici C e D]; DC (copertura diagnostica) [appendice E]; architettura e comportamento della funzione di sicurezza in condizioni di avaria [punto 6]; CCF (guasti di causa comune) [appendice F]; software legato alla sicurezza [punto 4.6 e appendice J]; guasti sistematici [appendice G]; capacità di eseguire la funzione di sicurezza nelle condizioni ambientali previste. 12
Tempo medio ad un guasto pericoloso (MTTFd) UNI EN ISO 13849-1 Il valore del MTTFd per ogni canale è espresso in tre livelli (vedi tabella); dovrebbero essere tenuti in considerazione i valori di ogni canale preso singolarmente (ad esempio singolo canale oppure ogni canale di un sistema ridondante). Per il MTTFd, viene preso in considerazione un tempo massimo di 100 anni. MTTF = Mean Time to Dangerous Failure MTTF è riferito alla affidabilità del componente ovvero è una caratteristica intrinseca del prodotto. E’ un parametro che dovrebbe fornire il costruttore sulla base di prove di vita riferite al guasto pericoloso. Nota: se non sono componenti di sicurezza, il costruttore generalmente non esegue prove. 13
Tempo medio ad un guasto pericoloso (MTTFd) UNI EN ISO 13849-1 Per la stima del MTTFd di un componente, si possono utilizzare, nell’ordine dato, i seguenti criteri: utilizzare i dati forniti dal costruttore; utilizzare i metodi esposti in allegato C ed in allegato D; scegliere un tempo di 10 anni. 14
Norme che trattano MTTFd o B10d dei componenti UNI EN ISO 13849-1 – Allegato C - Paragrafo C.2 Tabella C.1, Allegato C, 13849-1 NOTA: per le valvole è fornito il valore di MTTFd invece del valore di B10d. 15
Calcolo e valutazione del MTTFd UNI EN ISO 13849-1 – Allegato C – Paragrafo C.4 Per i componenti pneumatici, meccanici ed elettromeccanici, il parametro B10d è il numero di cicli in cui il 10% dei componenti si guasta pericolosamente dove nop è il numero di operazioni all’anno Il tempo medio entro il quale il 10% dei componenti pneumatici, meccanici ed elettromeccanici si guasta pericolosamente è dato da La relazione con il tempo medio al guasto pericoloso è la seguente L’allegato C.4 si applica a componenti pneumatici, meccanici ed elettromeccanici (valvole pneumatiche, relè, contattori, interruttori di posizione, ecc.) ovvero il T10d si calcola solamente per tali componenti. MTTFd è il tempo medio in cui i componenti si guastano, quindi T10d è un decimo di MTTFd considerando che è il tempo medio in cui il 10% dei componenti si guasta (MTTFd è invece riferito alla totalità dei componenti, ovvero al 100%)
Metodo semplificato per la stima del MTTFd per ogni canale UNI EN ISO 13849-1 – Allegato D Il valore di MTTFd di tutti i singoli componenti che compongono un canale sono usati nel calcolo MTTFd è quello complessivo dell’intero canale MTTFdi, MTTFdj è il MTTFd di ogni componente che ha un ruolo nell’esecuzione della funzione di sicurezza La prima somma è quella in cui i componenti hanno valori di MTTFdi diversi tra di loro; la seconda è quella in cui gli nj componenti hanno MTTFdj identici Sono possibili due configurazioni dei componenti: serie e parallelo. Il valore di MTTFd complessivo ovvero del canale diminuisce all’aumentare del numero dei componenti. 17
Metodo semplificato per la stima del MTTFd per ogni canale UNI EN ISO 13849-1 – Allegato D MTTFd per diversi canali, simmetrizzazione del MTTFd per ogni canale In una SRP/CS ridondante, se il valore del MTTFd è lo stesso per ogni canale il valore complessivo è il medesimo di quello dei canali. Se il MTTFd dei canali differisce, ci sono due possibilità: deve essere utilizzato il valore più basso come assunzione del caso peggiore; la seguente equazione può essere usata per stimare il valore di MTTFd assumibile per ogni canale: dove MTTFd C1 e MTTFd C2 sono i due valori dei canali ridondanti 18
Copertura diagnostica (DC) UNI EN ISO 13849-1 Il valore di DC viene espresso in quattro livelli (vedi tabella) Per la stima di DC, nella maggior parte dei casi la failure mode and effects analysis (FMEA) o metodi simili possono essere utili. In questo caso tutti i guasti rilevanti o i modi di guasto possono essere considerati. In alternativa, è possibile utilizzare il metodo semplificato, sottoforma di tabella, riportato in Allegato E. L’allegato E mostra un metodo approssimato per la stima della DC. La DC dovrebbe essere stimata mediante una FMEA oppure mediante metodi simili. La norma EN/IEC 62061 propone l'utilizzo di un calcolo basato sull'analisi della modalità di guasto mentre la EN ISO 13849-1 fornisce un metodo semplificato sotto forma di tabelle di ricerca (tabelle di lookup). Varie tecniche diagnostiche tipiche sono elencate con la percentuale DC che stimano di ottenere. In alcuni casi si richiede ancora un giudizio razionale, per esempio in alcune tecniche il valore DC ottenuto è proporzionale alla frequenza con cui viene eseguita la prova. C'è chi sostiene che questo approccio è troppo vago. Tuttavia la stima di DC può dipendere da molte diverse variabili e qualsiasi tecnica si utilizzi il risultato può essere veramente considerato solo approssimativo. For FMEA, see IEC 60812 - Metodi di analisi per l'affidabilità dei sistemi - Procedura di analisi dei modi e degli effetti di guasto (FMEA). La FMEA è una metodologia utilizzata per analizzare le modalità di guasto o di difetto di un processo, prodotto o sistema. L’acronimo deriva dalla denominazione inglese Failure modes and effects analysis. Il primo passo da realizzare consiste nella scomposizione del processo, prodotto o sistema in esame in sottosistemi elementari. A questo punto, nell’analisi dei guasti di ogni sottosistema, occorre: - elencare tutti i possibili modi di guasto, e per ciascuno: + elencare tutte le possibili cause + elencare tutti i possibili effetti + elencare tutti i controlli in essere (a prevenzione o a rilevamento del modo di guasto) Per chiarire la terminologia si può utilizzare un semplice esempio relativo al prodotto "serbatoio del carburante di un automobile". Un modo di guasto sarà: il serbatoio è vuoto. (Si noti che il termine “guasto” qui non è utilizzato nel suo significato corrente di “rotto", ma denota un'anomalia che non permette al componente di svolgere correttamente la sua funzione e di conseguenza ha delle ripercussioni più o meno gravi sul funzionamento del sistema di cui fa parte, nel nostro caso dell'automobile). Le cause che hanno portato al modo di guasto “serbatoio vuoto” possono essere: - la benzina è finita senza essere stata rabboccata per via del mancato invio alla spia della riserva del segnale "benzina in esaurimento" - c’è una perdita nel serbatoio - il fondo del serbatoio non è piano, ma presenta una bombatura verso l'alto che ha falsato l'indicazione della riserva di carburante L’effetto di questo modo di guasto è che l’automobile non è in grado di procedere. I controlli sono tutti quegli accorgimenti che, nel caso di fmea di prodotto, prevengono o rilevano carenze progettuali che possono sfociare nel modo di guasto anzidetto o che, nel caso di fmea di processo, prevengono o rilevano carenze produttive che possono sfociare nello stesso modo di guasto. Per tutte le combinazioni modo di guasto - causa si devono valutare tre fattori: - probabilità di accadimento - gravità dell’effetto - possibilità di rilevamento da parte dei controlli Ad ognuno dei tre fattori sarà assegnato un punteggio da 1 a 10, in cui (per le voci "P" e "G") 1 rappresenta la condizione di minimo rischio e 10 quella di massimo rischio (per la voce "R" minore è il punteggio - ad esempio 1 - maggiore è la possibilità di rilevamento del modo di guasto). I punteggi devono essere assegnati secondo scale non lineari in modo da garantire una corretta ponderazione dei tre fattori. Nella pratica sono disponibili tabelle pubblicate da AIAG, VDA, ANFIA, SAE, etc. A titolo esemplificativo, P è posto pari a 1 in caso di probabilità di accadimento remota, che può essere valutata al di sotto di un caso su 100.000, mentre è pari a 10 se si ha elevata probabilità di accadimento, cioè circa 1 caso su 10 (Potential FMEA - Reference Manual AIAG). G è valutato in base all’impatto sulla funzionalità e sulla sicurezza del sistema. G può essere posto pari a 1 quando il modo di guasto non produce effetti apprezzabili, mentre è posto pari a 10 quando, oltre a compromettere la funzionalità del sistema, esso provoca situazioni di pericolo per l’integrità di persone. R sarà posto pari a 1 quando si ha la ragionevole certezza che i controlli individuino il modo di guasto o la sua causa, mentre sarà posto pari a 10 quando non è previsto alcun controllo per il modo di guasto o causa in questione. L’analisi sopra descritta permette di individuare i modi di guasto più critici mediante l’Indice di Priorità del Rischio (RPN): RPN = P x G x N Le azioni di miglioramento del prodotto, processo o sistema dovranno essere orientate principalmente sui modi di guasto che presentano i più alti valori di RPN. La FMEA può essere poi ripetuta a seguito delle azioni migliorative, per verificare se i valori di RPN sono diminuiti. 19
Criteri di stima della copertura diagnostica media UNI EN ISO 13849-1 – Allegato E L’Allegato E riporta valori di DC per: Input device Logic Output device
Requisiti per le categorie UNI EN ISO 13849-1 Categoria Riassunto dei requisiti Comportamento del sistema Princìpi per ottenere la sicurezza MTTFd di ogni canale DCavg CCF B Le parti legate alla sicurezza dei sistemi di comando e/o delle loro attrezzature di protezione e dei loro componenti devono essere progettate, costruite, scelte, montate e combinate in conformità alle relative norme in modo che possano resistere alle influenze previste. Devono essere usati princìpi di sicurezza basilari. Il verificarsi di un guasto può portare alla perdita della funzione di sicurezza. Essenzialmente caratterizzati dalla scelta dei componenti Da basso a medio Nessuna Non rilevante 1 Si devono applicare i requisiti della categoria B. Devono essere usati componenti e princìpi di sicurezza ben collaudati. Il verificarsi di un guasto può portare alla perdita della funzione di sicurezza, ma la probabilità che si verifichi è minore di quella della categoria B. Alto 21
Requisiti per le categorie UNI EN ISO 13849-1 Categoria Riassunto dei requisiti Comportamento del sistema Princìpi per ottenere la sicurezza MTTFd di ogni canale DCavg CCF 2 Si devono applicare i requisiti della categoria B e l’uso di princìpi di sicurezza ben collaudati. La funzione di sicurezza deve essere verificata ad opportuni intervalli dal sistema di controllo della macchina. Il verificarsi di un guasto può portare alla perdita della funzione di sicurezza nell’intervallo tra le due verifiche. La perdita della funzione di sicurezza viene rilevata dalla verifica. Essenzialmente caratterizzati dalla struttura Da basso a alto Da bassa a media Rilevante 22
Requisiti per le categorie UNI EN ISO 13849-1 Categoria Riassunto dei requisiti Comportamento del sistema Princìpi per ottenere la sicurezza MTTFd di ogni canale DCavg CCF 3 Si devono applicare i requisiti della categoria B e l’uso di princìpi di sicurezza ben collaudati. Le parti legate alla sicurezza devono essere progettate in modo che un singolo guasto in una qualsiasi di queste parti non porti ad una perdita della funzione di sicurezza e ogniqualvolta sia ragionevolmente possibile il singolo guasto venga rilevato. Quando si verifica il singolo guasto la funzione di sicurezza viene sempre assicurata. Vengono rilevati alcuni ma non tutti i guasti. L'accumulo di guasti non rilevati può portare alla perdita della funzione di sicurezza. Essenzialmente caratterizzati dalla struttura Da basso a alto Da bassa a media Rilevante 23
Requisiti per le categorie UNI EN ISO 13849-1 Categoria Riassunto dei requisiti Comportamento del sistema Princìpi per ottenere la sicurezza MTTFd di ogni canale DCavg CCF 4 Si devono applicare i requisiti della categoria B e l’uso di princìpi di sicurezza ben collaudati. Le parti legate alla sicurezza devono essere progettate in modo che un singolo guasto in una qualsiasi di queste parti non porti ad una perdita della funzione di sicurezza e il singolo guasto venga rilevato in corrispondenza o prima della successiva richiesta della funzione di sicurezza. Se ciò non è possibile, un accumulo di guasti non deve portare alla perdita della funzione di sicurezza. Quando si verifica il singolo guasto la funzione di sicurezza viene sempre assicurata. Il rilevamento di guasti accumulati riduce la probabilità di perdita della funzione di sicurezza (DC alta). I guasti vengono rilevati in tempo per evitare la perdita della funzione di sicurezza. Essenzialmente caratterizzati dalla struttura Alto Alta (compreso l’accumulo dei guasti) Rilevante 24
Procedura semplificata per la stima del PL UNI EN ISO 13849-1 Per una stima più semplice del PL possono essere fatte le seguenti assunzioni se l’architettura utilizzata rientra in quelle riportate al §6.2 della norma UNI EN ISO 13849-1: un tempo di utilizzo di 20 anni; un tasso di guasto costante per tutto il periodo di utilizzo; per una categoria 2, un rapporto rd ≤ 1/100 rt; per una categoria 2 un MTTFd,TE maggiore della metà del MTTFd,L. MTTFd,TE = MTTFd del componente che esegue il test per la rilevazione dei guasti MTTFd,L = MTTFd del componente che esegue le funzioni della SRP/CS Il PL di ogni SRP/CS dipende dall’architettura, dal MTTFd per ogni canale e dal DCavg. Nel caso di architetture con PLr da a a c, le misure per evitare i guasti possono essere sufficienti; per applicazioni con rischi maggiori, PLr da d a e, la struttura della SRP/CS deve prevedere misure per evitare, individuare e tollerare i guasti. Misure pratiche includono la ridondanza, la diversità e il monitoraggio. Per le categorie 2, 3 e 4, devono essere previste sufficienti misure per la riduzione dei guasti di causa comune (CCF). rd = demand rate, frequenza di utilizzo della funzione di sicurezza (SRP/CS) rt = test rate, frequenza di controllo del corretto funzionamento della funzione di sicurezza
Stima numerica del PL UNI EN ISO 13849-1 – Allegato K Tale tabella riporta i valori rappresentati nel grafico sopra riportato. I valori di MTTFd non sono continui; devo utilizzare il valore inferiore.
Stima numerica del PL UNI EN ISO 13849-1 – Allegato K
Procedura semplificata per la stima del PL UNI EN ISO 13849-1 MTTFd basso MTTFd medio MTTFd alto
Esempio di calcolo – Riparo mobile interbloccato Funzione di sicurezza: arresto del funzionamento del motore all’apertura di un riparo mobile Il riparo è interbloccato per mezzo di due microinterruttori (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza (K1) La concordanza dei sensori di ingresso viene monitorata dal modulo di sicurezza che in questo modo rileva eventuali guasti dei sensori I teleruttori (Q1 e Q2) tolgono l’alimentazione al motore; i contattori vengono monitorati inserendo contatti nel circuito di ripristino del modulo di sicurezza Il guasto di un singolo componente non comporta la perdita della funzione di sicurezza Esempio: riparo mobile pressa stampaggio materie plastiche. Doppio micro in scambio, uno ad apertura forzata e l’altro no (normalmente aperto e normalmente chiuso). Architettura = categoria 4
Dati forniti dal costruttore Il modulo di sicurezza viene dichiarato dal costruttore conforme alla categoria 4, PL e (oppure SIL 3) e PFHD,K1=2,3110-9 B10d,B1= 1.000.000 cicli B10d,B2= 500.000 cicli nop= 35.040 (365 giorni, 24 ore/giorno, top=900 s) B10d,Q1=B10d,Q2=2.000.000 cicli Q1 e Q2 sono teleruttori a contatti legati I dati riportati si riferiscono a componenti reali.
Calcoli UNI EN ISO 13849-1 MTTFd,Q1= 570,77 anni MTTFd,Q2= 570,77 anni MTTFd,B1= 285,38 anni MTTFd,B2= 142,69 anni T10d,Q1= 57 anni T10d,Q2= 57 anni T10d,B1= 28,5 anni T10d,B2= 14,2 anni (componente da sostituire prima del mission time)
Calcoli UNI EN ISO 13849-1 DCB1 = DCB2 = 99% controllo della concordanza dei segnali in ingresso
Calcoli UNI EN ISO 13849-1 DCQ1 = DCQ2 = 99% monitoraggio diretto da parte del modulo di sicurezza grazie alla retroazione ed ai contatti legati
Calcolo sottosistemi UNI EN ISO 13849-1 Sottosistema 1 (sensori B1 e B2) Si applica la limitazione dei canali a 100 anni MTTFd = 100 anni (alto) DC = 99% (alta) Categoria 4 PL = e PFHD = 2,4710-8
Calcolo sottosistemi UNI EN ISO 13849-1 Sottosistema 3 (contattori Q1 e Q2) Si applica la limitazione dei canali a 100 anni MTTFd = 100 anni (alto) DC = 99% (alta) Categoria 4 PL = e PFHD = 2,4710-8
Risultato finale UNI EN ISO 13849-1 Per ottenere il valore finale si sommano i valori di PFHD dei singoli sottosistemi PFHD,totale= PFHD,B1//B2+PFHD,K1+PFHD,Q1//Q2 = = (2,47 + 0,231 + 2,47)10-8 = 5,17110-8 PL = e
Esclusione di guasti UNI EN ISO 13849-1 Non è sempre possibile valutare gli SRP/CS senza escludere determinati guasti. Per l’esclusione dei guasti fare riferimento alla norma UNI EN ISO 13849-2. La norma UNI EN ISO 13849-2 riporta un elenco dei guasti che è possibile escludere suddivisi a seconda della tecnologia (meccanica, pneumatica, idraulica ed elettrica). L’esclusione di guasti è un compromesso tra i requisiti di sicurezza e la teorica possibilità di accadimento di un guasto. L’esclusione di un guasto può essere basata su: improbabilità tecnica di avere un certo tipo di guasto, esperienza tecnica comunemente accettata, indipendente da un particolare tipo di applicazione, requisiti tecnici relativi all’applicazione e a specifici rischi. Normalmente non è possibile escludere guasti meccanici, quali la rottura della spinetta di azionamento di un sensore di interblocco di un riparo.
Esclusione di guasti ISO/TR 23849:2010 Non è opportuno che il raggiungimento di un PL pari ad “e” sia basato unicamente sull’esclusione di guasti (ISO/TR 23849:2010); in generale, è necessario essere sempre più critici sulla possibilità di escludere un guasto al crescere del livello di prestazione richiesto. In generale, l’esclusione dei guasti non dovrebbe essere applicabile agli aspetti meccanici dei microinterruttori di interblocco e degli interruttori azionati manualmente (ad es. comando di arresto di emergenza). Le esclusioni dei guasti permesse per i guasti di tipo meccanico sono descritti dalla norma UNI EN ISO 13849-2. La possibilità di esclusione dei guasti di natura meccanica è sempre possibile, ma normalmente è difficile fornire giustificazioni ragionevoli sui motivi dell’esclusione (è più facile escludere guasti di natura elettrica, ad esempio utilizzando contatti ad apertura forzata). A tale proposito la ISO/TR 23849:2010 “Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery” indica: 7.2.2.4 In general the use of fault exclusions is not applicable to the mechanical aspects of electromechanical position switches and manually operated switches (e.g. an emergency stop device) in order to achieve PL e or SIL 3 in the design of an SRP/CS or SRECS. Those fault exclusions that can be applied to specific mechanical fault conditions (e.g. wear/corrosion, fracture) are described in ISO 13849-2. Inoltre, la stessa norma ISO/TR 23849:2010 specifica: 7.2.2.3 In general, where PL e or SIL 3 is specified for a safety function to be implemented by an SRP/CS or SRECS, it is not normal to rely upon fault exclusions alone to achieve this level of performance. This is dependent upon the technology used and the intended operating environment. Therefore it is essential that the designer takes additional care in the use of fault exclusions as PL or SIL increases.
Esempio – Riparo mobile interbloccato Funzione di sicurezza: arresto del funzionamento del motore all’apertura di un riparo mobile interbloccato con un microinterruttore a spinetta Esempio: riparo mobile pressa stampaggio materie plastiche. Doppio micro in scambio, uno ad apertura forzata e l’altro no (normalmente aperto e normalmente chiuso). Architettura = categoria 4
Esempio – Riparo mobile interbloccato Il riparo è interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza. Non escludendo il guasto di tipo meccanico (ad esempio allentamento della camme) del microinterruttore, la SRP/CS nel suo complesso è in categoria 1. Eseguendo gli opportuni calcoli, si ottiene: PFHd,totale= 1,1710-6 PL = c Esempio: riparo mobile pressa stampaggio materie plastiche. Doppio micro in scambio, uno ad apertura forzata e l’altro no (normalmente aperto e normalmente chiuso). Architettura = categoria 4
Esempio – Riparo mobile interbloccato Il riparo è interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza. Escludendo il guasto di tipo meccanico del microinterruttore, la SRP/CS nel suo complesso è in categoria 4. Eseguendo gli opportuni calcoli, si ottiene: PFHd,totale= 5,17110-8 PL = e Esempio: riparo mobile pressa stampaggio materie plastiche. Doppio micro in scambio, uno ad apertura forzata e l’altro no (normalmente aperto e normalmente chiuso). Architettura = categoria 4