Vous êtes sur la page 1sur 61

Ing.

Gianfranco Ceresini

Sistemi di comando per la sicurezza delle macchine


Norma EN IEC 62061

Gianfranco Ceresini
www.elektro.it
Aprile 2011

Ing. Gianfranco Ceresini

Nuova normativa PL e SIL

Entrambe le due nuove norme EN ISO 13849-1 ed EN IEC 62061 possono


essere utilizzate per realizzare sistemi di controllo della sicurezza delle
macchine in conformit alla direttiva macchine.
Presentano nuove classificazioni dei sistemi: la EN ISO 13849-1 utilizza i PL
(Performance Level) mentre la EN 62061 utilizza i SIL (Safety Integrity
Level)

Ing. Gianfranco Ceresini

Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061

Le classificazioni PL e SIL possono essere considerate delle varianti dello stesso


tema ed possibile scegliere di utilizzare la norma pi adatta alla propria
applicazione.
In generale, se si ha labitudine allutilizzo delle categorie della norma EN 954-1 e
si utilizzano funzioni di sicurezza convenzionali, la norma EN ISO 13849-1 (PL)
probabilmente la scelta pi adatta per transitare in modo pi soft ai nuovi concetti
statistici.
Se invece, viene specificamente richiesto lutilizzo delle classificazioni SIL o se
lapplicazione utilizza unarchitettura complessa o complesse funzionalit
elettroniche di sicurezza, la norma EN 62061 pi adatta.
La norma EN ISO 13849-1 copre tutte le tecnologie, in particolare copre i
dispositivi elettromeccanici, idraulici, elettronici non complessi ed alcuni
dispositivi elettronici programmabili con strutture predefinite, mentre la norma EN
62061 riguarda solo i sistemi elettrici, elettronici ed elettronici programmabili legati
alla sicurezza.

Ing. Gianfranco Ceresini

Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061

Tecnologia che realizza la/e


funzione/i di controllo relativa/e
alla sicurezza

ISO 13849-1

IEC 62061

Non elettrica, es. idraulica

Non contemplata

Elettromeccanica, es. rel, o elettronica


non
complessa

Limitata ad architetture
designate (vedere Nota 1) e
fino a PL = e

Tutte le architetture
e fino a SIL 3

Elettronica complessa, es. programmabile

Limitata ad architetture
designate (vedere Nota 1) e
fino a PL = d

Tutte le architetture
e fino a SIL 3

A in combinazione con B

Limitata ad architetture
designate (vedere Nota 1) e
fino a PL = e

X
(vedere Nota 3)

C in combinazione con B

Limitata ad architetture
designate (vedere Nota 1) e
fino a PL = d

Tutte le architetture
e fino a SIL 3

C in combinazione con A, o C in
combinazione con A e B

X
(vedere Nota 2)

X
(vedere Nota 3)

X indica che questa voce trattata nella norma indicata nellintestazione di colonna
NOTA 1: Le architetture designate sono definite nellAllegato B della EN ISO 13849-1 per fornire un approccio semplificato alla
quantificazione dei livelli di prestazione
NOTA 2: Per lelettronica complessa: Utilizzare architetture designate in conformit alla EN ISO 13849-1 fino a PL = d o qualsiasi
architettura conforme alla IEC 62061
NOTA 3: Per la tecnologia non elettrica, utilizzare come sottosistemi parti conformi alla EN ISO 13849-1

Ing. Gianfranco Ceresini

Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061

La EN 13849-1 ha il grosso vantaggio di permettere di analizzare funzioni di


sicurezza pneumatiche, oleodinamiche, idrauliche o meccaniche

Mentre per i circuiti elettrici, elettronici ed elettronici programmabili legati alla


sicurezza lapplicazione della norma EN 62061 consente di raggiungere qualsiasi
livello di complessit degli stessi, per la norma EN 13849-1 i circuiti elettronici ed
elettronici programmabili complessi legati alla sicurezza possono essere gestiti
dalla norma solo fino ad un PL che al massimo d, segno che per le parti
elettroniche o elettroniche programmabili complesse la norma EN 62061, per
stessa ammissione dei normatori, certamente pi pertinente che non la norma
EN 13849-1

Anzi per i casi nei quali lelettronica complessa e/o con architettura complessa
che non ricade in una di quelle valide per lapplicazione della Norma EN ISO
13849-1, lunica norma applicabile diventa la EN 62061.

Ing. Gianfranco Ceresini

Norma EN IEC 62061

La EN IEC 62061 una sintesi


della serie normativa IEC
61508 (composta da sette
fascicoli normativi) che tratta
la problematica relativa alla
sicurezza funzionale di sistemi
elettrici
ed
elettronici
complessi
di
tutte
le
apparecchiature
elettriche
indipendentemente dal loro
settore di applicazione. La EN
62061 in pratica la IEC
61508
adattata
ad
un
particolare settore: quello
delle macchine industriali.

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Il campo di applicazione della EN 62061 relativo agli SRECS (Safety Related


Control System) ossia i sistemi di controllo elettrici, elettronici ed elettronici
programmabili relativi alla sicurezza utilizzati per le funzioni di sicurezza del
macchinario.
Questi SCRECS devono essere realizzati, in base allanalisi del rischi della macchina,
conformemente al Livello di Integrit della Sicurezza (SIL) idoneo alla funzione di
sicurezza da essi realizzata.
Le funzioni di sicurezza (definite Safety-Related Control Function, con acronimo
SRCF) sono ad esempio larresto attivato da un dispositivo di protezione
elettrosensibile su una pressa, il blocco di un riparo nel momento in cui
unoperazione pericolosa stata avviata, la prevenzione contro lintrappolamento di
persone, il comando ad azione mantenuta, etc.
La norma EN 62061 stabilisce quindi i requisiti e fornisce indicazioni per la
realizzazione, lintegrazione e la validazione di sistemi di comando e controllo di
sicurezza elettrici, elettronici ed elettronici programmabili (SRECS) per le macchine
e ne prende in considerazione lintero ciclo di vita, dalla progettazione alla
dismissione.

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Dopo aver identificato le funzioni di sicurezza (SRCF) mediante lanalisi del


rischio, queste vengono suddivise secondo funzioni di sicurezza pi
elementari chiamati blocchi funzionali (FB) molto pi semplici da progettare.
Ogni blocco funzionale viene specificato in termini di requisiti funzionali
(informazioni in ingresso, elaborazioni logiche interne, tipo di uscita) e
requisiti di sicurezza.
Ai blocchi funzionali sono quindi assegnati circuiti elettrici adatti ad
implementare i requisiti individuati: questi circuiti sono denominati
sottosistemi.
Lidea generale pertanto quella di scomporre un problema complesso
(SRECS che deve risolvere una funzione di sicurezza SRCF) in tanti piccoli
sottoproblemi (i sottosistemi che risolvono le parti di funzione di sicurezza
rappresentate dai blocchi funzionali) pi facilmente risolvibili.

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Ing. Gianfranco Ceresini

Norma EN IEC 62061

I
sottosistemi
saranno a loro volta
composti
da
componenti elettrici
interconnessi fra di
loro.
I
componenti
elettrici
sono
denominati
elementi
del
sottosistema

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Nella realizzazione di sistemi di controllo complessi si segue un processo di questo


tipo: a partire dalle funzioni di sicurezza determinate in seguito all'analisi del rischio
si procede ad una suddivisione in funzioni di sicurezza parziali chiamate blocchi
funzionali, poi ad una correlazione di questi blocchi funzionali con dispositivi reali
chiamati sottosistemi, poi infine ai singoli elementi che compongono i sottosistemi.
I parametri necessari per costruire il processo di riduzione del rischio attraverso i
circuiti di comando di sicurezza sono:

il SIL ossia la probabilit di un buon funzionamento del sistema e il PFHD del


sistema di controllo di sicurezza che dato dalla somma dei singoli valori PFHD
dei sottosistemi;
I parametri per i sottosistemi sono:

le architetture dei circuiti, il SILCL che il SIL di ogni singolo sottosistema,


PFHD ovvero la probabilit di guasti pericolosi/ora, SFF frazione di
guasto/anomalia in sicurezza, T1 ciclo di vita, T2 intervallo di test diagnostico,
suscettibilit ai guasti di causa comune e DC grado di copertura diagnostica;
I parametri per gli elementi dei sottosistemi (dispositivi) sono:

tasso di guasto/anomalia per elementi soggetti ad usura e T1 ciclo di vita

Ing. Gianfranco Ceresini

Norma EN IEC 62061 - SIL

Il SIL il livello che deve essere assegnato allo SRECS per specificare i
requisiti di sicurezza delle funzioni di controllo relative alla sicurezza, dove il
livello 3 di sicurezza ha il livello elevato di sicurezza e il livello 1 di sicurezza
ha il pi basso
Maggiore il SIL e minore la probabilit che lo SRECS non esegua la
funzione di sicurezza richiesta. E un parametro che viene espresso in
probabilit media di un guasto pericoloso nellintervallo di unora.
Sono previsti 3 livelli, da SIL1 fino a SIL3 al crescere del rischio, ed ognuno
di essi identifica un ambito numerico di probabilit di guasto pericoloso per
ora.
Livello di Integrit della
Sicurezza (SIL)

Probabilit di un guasto pericoloso per ora


[1/h] (PFHD)

10-8 PFHD < 10-7

10-7 PFHD < 10-6

10-6 PFHD < 10-5

Ing. Gianfranco Ceresini

Norma EN IEC 62061 Confronto tra SIL e PL

E possibile effettuare un parallelo (non rigoroso) tra SIL e PL per fornire un


confronto tra i sistemi di analisi della sicurezza delle due norme

Livello della Prestazione (PL)

Livello di Integrit della Sicurezza (SIL)

nessuna corrispondenza

Ing. Gianfranco Ceresini

Norma EN IEC 62061 SIL richiesto

SILr (Safety Integrity Level required) rappresenta il livello di resistenza ai guasti che il circuito deve
raggiungere in relazione al rischio specifico da coprire. Gli aspetti da valutare, secondo la norma EN 62061
sono quattro:

la gravit delle lesioni S

la frequenza e/o durata dellesposizione al pericolo F

la probabilit del verificarsi di un evento pericoloso (in pi rispetto alla EN ISO 13849-1) W

la possibilit di evitare o limitare il danno P

Per attestare che un circuito


di sicurezza realizzato
idoneo al caso specifico
occorre verificare che il
SIL ottenuto sia almeno
pari al SILr. In sostanza
il SILr costituisce il livello
minimo da raggiungere.

Ing. Gianfranco Ceresini

Norma EN IEC 62061 SILCL

Il SILCL il SIL relativo ad ogni singolo sottosistema (rilevamento rischio,


logica comando, attuazione).
E il SIL massimo che pu essere richiesto per un sottosistema di uno SRECS in
rapporto ai vincoli dellarchitettura e allintegrit sistematica della sicurezza
Il livello SIL che un SRECS completo raggiunge, non pu essere maggiore del
limite pi basso di SIL richiesto di un sottosistema
Il valore del SIL massimo raggiungibile in funzione di 3 elementi

La probabilit di guasti pericolosi del suo hardware


(ossia i guasti dei suoi componenti)

I vincoli dellarchitettura di sistema


(ossia i limiti imposti dallarchitettura del circuito realizzato, ad esempio il singolo canale
piuttosto del doppio, la mancanza di monitoraggio dei guasti, ecc.)

Lintegrit sistematica dei sottosistemi che compongono lo SRECS


(ossia se non sono commessi errori sistematici, cio errori legati al cablaggio, alla
progettazione hardware e sofware, alla riparazione o alla verifica dello SRECS)

Ing. Gianfranco Ceresini

PFHD (Probability of Dangerous Failure per Hour) totale

La probabilit di guasti pericolosi PFHD (allora) di un sistema di controllo


elettrico/elettronici relativo alla sicurezza (SRECS) si calcola eseguendo la
somma della probabilit di guasti pericolosi dei singoli sottosistemi che
formano lo SRECS pi la probabilit di errori pericolosi di trasmissione (PTE)
per i processi di comunicazione di dati digitali tra i sottosistemi (ove il caso).

PFHD = PFHD1 + PFHD2 + ......+ PFHDn + PTE

Ing. Gianfranco Ceresini

T1 (Lifetime)

Il tempo T1 il valore inferiore tra lintervallo della verifica periodica


(definita proof test) e il ciclo di vita di uno SRECS o di un sottosistema

E lequivalente del Mission time della norma EN 13849-1

Pertanto, si suggerisce che nellattivit di progettazione di uno SRECS si


usi un intervallo della verifica periodica di 20 anni

La verifica periodica consiste in definitiva in una sorta di revisione dello


SRECS che il costruttore dello stesso impone dopo un certo tempo a chi
lutilizza per accertarsi che il sottosistema fornito possa ancora garantire il
raggiungimento delle prestazioni per cui stato costruito

Ing. Gianfranco Ceresini

tasso di guasto per i singoli dispositivi

(oppure B10 per i rel) il tasso di guasto di ogni componente elettrico


o elettromeccanico, cio di ogni elemento di un sottosistema. Si desume
da appositi database oppure tramite lallegato D (tabella D1) della norma
EN 62061 o eventualmente anche da altre fonti.
Analizzando lo schema elettrico del sottosistema si stabiliscono per ogni
componente le modalit di guasto e si separano quelle pericolose
(dangerous) da quelle non pericolose (safe)

= S + D

Ing. Gianfranco Ceresini

T2 intervallo di test diagnostico per un sottosistema

E lintervallo di tempo tra i test diagnostici e dovrebbe consentire la


rilevazione di unavaria prima del verificarsi di unavaria successiva
suscettibile di portare a un guasto pericoloso del sottosistema e di
superare il valore di guasto da raggiungere

T2 quindi il tempo che intercorre tra due test


Es. Ogni ora viene aperta una protezione

T2  1 volta / h
A+B

Ing. Gianfranco Ceresini

suscettibilit ai guasti di causa comune (CCF)

Un guasto per cause comuni definito come il guasto risultante da uno o


pi eventi che provocano guasti coincidenti a due o pi canali separati di un
sottosistema a pi canali (architettura ridondante), e che comporta il guasto
di una SRCF.
Ad esempio in un sistema con due sensori analogici alimentati dalla stessa
fonte di energia, ci sar un CCF dovuto al guasto dellalimentazione
nonostante la ridondanza.
La probabilit del verificarsi del CCF, quando si utilizza unarchitettura
ridondante, dipende da una combinazione di tecnologia, architettura,
applicazione e ambiente e si pu calcolare in base ad un questionario
allallegato F della norma EN 62061
Punteggio totale

Fattore di guasto per cause comuni ()

< 35

10% (0,1)

35 65

5% (0,05)

65 85

2% (0,02)

85 100

1% (0,01)

10

Ing. Gianfranco Ceresini

suscettibilit ai guasti di causa comune (CCF) - esempio


N

Prescrizioni per CCF

Punti

Separazione tra i circuiti

25

Diversit/ridondanza (tecnologia, progettazione, principi)

38

Progetto, applicazione, esperienza

Valutazione / analisi

2
18

Competenza / formazione

Influenze ambientali, EMC

18

Punteggio totale

Fattore di guasto per cause comuni ()

< 35

10% (0,1)

35 65

5% (0,05)

65 85

2% (0,02)

85 100

1% (0,01)

Ing. Gianfranco Ceresini

SFF (Safe Failure Fraction) di un sottosistema

La frazione del guasto in sicurezza la frazione del tasso di guasto globale


di un sottosistema che non comporta un guasto pericoloso. Conoscendo
s, d, dd (tasso di guasto pericoloso rilevato dalla diagnostica) per ogni
componente possibile calcolare la frazione di guasto in sicurezza del
sottosistema

SFF =

+
+
S

DD
D

SFF = somma dei guasti sicuri e dei guasti


pericolosi rilevati diviso la somma totale dei guasti

11

Ing. Gianfranco Ceresini

DC grado di copertura diagnostica

La copertura diagnostica la riduzione della probabilit di guasti pericolosi


allhardware derivanti dal funzionamento degli esami diagnostici automatici:
richiede quindi una reazione al guasto.
Se sono state adottate misure diagnostiche per rilevare i guasti pericolosi, allora
in funzione della efficacia del metodo adottato si ricavano i valori DD (tasso di
guasto pericoloso rilevato dalle funzioni diagnostiche) e DU (tasso di guasto
pericoloso non rilevato dalle funzioni diagnostiche). Dove Dtotal = DD + DU
quindi il tasso totale di guasti pericolosi.

DC =

DD

Dtotal

Ing. Gianfranco Ceresini

Differenza tra DC e CCF

Esempio 1: il tasso dei guasti non pericolosi uguale al tasso dei guasti
pericolosi (d = s) e nessun guasto pericoloso viene rilevato dalle funzioni
diagnostiche. Essendo DD = 0, si ha quindi che DC = 0% mentre SFF = 50%.

12

Ing. Gianfranco Ceresini

Differenza tra DC e CCF

Esempio 2: il tasso dei guasti non pericolosi uguale al tasso dei guasti
pericolosi (d = s) ma ora la met dei guasti pericolosi viene rilevata dalle
funzioni diagnostiche. Essendo DD = DU, si ha quindi che DC = 50% mentre
SFF = 75%.

Ing. Gianfranco Ceresini

Differenza tra DC e CCF

Esempio 3: il tasso dei guasti non pericolosi uguale al tasso dei guasti
pericolosi (d = s) ma ora il 45% dei guasti pericolosi viene rilevata dalle
funzioni diagnostiche. Essendo DU pari ad un decimo dei guasti totali, si ha
quindi che DC = 90% mentre SFF = 95%.

13

Ing. Gianfranco Ceresini

Legame tra DC e CCF

Ing. Gianfranco Ceresini

Esempi di calcolo di tassi di guasto

Dispositivo di interblocco: se fosse unemergenza la premo e non riesce ad


aprire i contatti un guasto pericoloso, invece se riesco ad aprirlo e nellaprirlo
lo rompo e quindi rimarr sempre aperto, questo un guasto non pericoloso
perch la macchina si fermata.

14

Ing. Gianfranco Ceresini

Esempi di calcolo di tassi di guasto

Contattore:

Ing. Gianfranco Ceresini

Architetture dei sottosistemi

La norma EN 62061 suggerisce quattro schemi predefiniti per i


sottosistemi e per ognuno di essi fornisce la formula per il calcolo di d
(tasso di guasto pericoloso) e PFHd (probabilit media di guasto
pericoloso entro unora)

15

Ing. Gianfranco Ceresini

Sottosistema A: zero tolleranza allavaria senza funzione diagnostica

In questa architettura, qualsiasi guasto pericoloso di un elemento del sottosistema


provoca un guasto alla SRCF. Nellarchitettura A, la probabilit di un guasto
pericoloso del sottosistema la somma delle probabilit di un guasto pericoloso di
tutti gli elementi del sottosistema

DssA = De1 + ...... + Den

PFHDssA = DssA 1h
Singolo canale

Ing. Gianfranco Ceresini

Sottosistema B: singola tolleranza allavaria senza funzione diagnostica

Questa architettura tale per cui un singolo guasto di qualsiasi elemento del
sottosistema non causa una perdita della SRCF. Pertanto, dovrebbe verificarsi un
guasto pericoloso in pi di un elemento prima che si verifichi un guasto alla SRCF

DssB = (1 ) 2 De1 De2 T1 + (De1 + De 2 ) / 2

PFHDssB = DssB 1h
Doppio canale senza monitoraggio

16

Ing. Gianfranco Ceresini

Sottosistema C: zero tolleranza allavaria con funzione diagnostica

Qualsiasi avaria pericolosa dellelemento di un sottosistema porta a un guasto


pericoloso della SRCF. Quando si rileva unavaria di un elemento del sottosistema,
la o le funzioni diagnostiche avviano una funzione di reazione allavaria

DssC = De1 (1 DC1 ) + .... + Den (1 DC n )

PFHDssC = DssC 1h
Singolo canale con monitoraggio

Ing. Gianfranco Ceresini

Sottosistema D: singola tolleranza allavaria con funzione diagnostica

Larchitettura evita che un guasto singolo di qualsiasi elemento del


sottosistema provochi una perdita della SRCF

Doppio canale con monitoraggio

17

Ing. Gianfranco Ceresini

Vincoli dellarchitettura sul SIL dei sottosistemi

Il livello di integrit della sicurezza pi elevato che pu essere richiesto per una
SRCF limitato dalla tolleranza allavaria dellhardware e dalle frazioni di guasto
in sicurezza dei sottosistemi che svolgono tale SRCF

Frazione di guasto in
sicurezza (SFF)

Tolleranza allavaria dellhardware (HFT) (Nota 1)


0

< 60 %

Non permesso
(Nota 3)

SIL1

SIL2

60 % - < 90 %

SIL1

SIL2

SIL3

90 % - < 99 %

SIL2

SIL3

SIL3 (Nota 2)

99 %

SIL3

SIL3 (nota 2)

SIL3 (Nota 2)

Nota 1 - Una tolleranza N allavaria dellhardware indica che N+1 avarie possono causare una perdita della
funzione di controllo relativa alla sicurezza.
Nota 2 - Un SILCL 4 non considerato nella norma EN 62061. Per il SIL 4 vedere la IEC 61508-1.
Nota 3 Esiste la seguente eccezione: per un sottosistema con una tolleranza allavaria dellhardware pari a
zero e nel quale le esclusioni delle avarie sono state applicate ad avarie suscettibili di portare a un guasto
pericoloso, il SILCL dovuto ai vincoli dellarchitettura di tale sottosistema vincolato a un massimo di SIL2

Ing. Gianfranco Ceresini

Vincoli dellarchitettura sul SIL dei sottosistemi


Nel paragrafo 6.7.6.4 stata inserita una novit con la variante V1 (2008) della EN 62061

18

Ing. Gianfranco Ceresini

Relazione tra Categorie di sicurezza e SIL massimo

Quando uno dei sottosistemi conforme a EN ISO 13849-1 questa tabella permette
di definire il SIL massimo ottenibile, e conoscere i corrispondenti HFT e SFF

Categoria

Tolleranza allavaria
dellhardware
(HFT)

Frazione di guasto in
sicurezza
(SFF)

Si ritiene che i sottosistemi con la categoria dichiarata


abbiano le caratteristiche indicate di seguito

Massimo SIL richiesto dai


vincoli dellarchitettura

< 60 %

60 % - < 90 %

SIL1

< 60 %

SIL1

Nota 1

60 % - < 90 %

SIL2

>1

60 % - < 90 %

SIL3 (Nota 3)

> 90 %

SIL3 (Nota 4)

Nota 1 - I casi per le Categorie 1 e 2 dove la SFF < 60 % sono considerati non rilevanti nellambito della ISO 13849-1, e i sottosistemi progettati in
conformit alla ISO 13849-1 realizzano in pratica una SFF superiore al 60 %.
Nota - 2 Il caso per la Categoria 2 dove la SFF > 90 % si ritiene non realizzato dalle prescrizioni di progettazione della ISO 13849-1.
Nota - 3 La copertura diagnostica ritenuta inferiore a 90 % per i sottosistemi della Categoria 4 nei quali si considera una tolleranza maggiore di quella
allavaria singola dellhardware (cio avarie accumulate).
Nota - 4 La Categoria 4 prescrive una SFF superiore a 90 % ma inferiore a 99 % quando si considera la tolleranza allavaria singola dellhardware.
Nota - 5 La Categoria B in conformit alla ISO 13849-1 non considerata sufficiente al raggiungimento di SIL1

Ing. Gianfranco Ceresini

Relazione tra Categorie di sicurezza e PFHd

Quando uno dei sottosistemi conforme a EN ISO 13849-1 questa tabella permette
di definire i valori di soglia di PFH, e conoscere i corrispondenti HFT e DC

Tolleranza allavaria
dellhardware
(HFT)

Copertura diagnostica
(DC)

Categoria
Si ritiene che i sottosistemi con la categoria dichiarata
abbiano le caratteristiche indicate di seguito

Valori di soglia (orari) PFHD


che
possono essere richiesti per
il
sottosistema
PFHD (MTTFsottosistema,
Tprova, DC) (Nota 1)
Da fornire a cura del fornitore o
utilizzare dati generici (vedi

0%

60 % - 90 %

10-6

60 % - 90 %

2 x 10-7

>1

60 % - 90 %

3 x 10-8

> 90 %

3 x 10-8

paragrafo seguente)

Nota 1 - Il valore di soglia PFHD una funzione del MTTF del sottosistema (derivato dal costruttore del sottosistema o dai manuali dei dati dei
componenti relativi), del tempo del ciclo di prova/verifica, come indicato nella specifica delle prescrizioni di sicurezza (tale informazione richiesta inoltre
per la validazione del sottosistema in conformit con 3.5 della ISO 13849-2), e della copertura diagnostica, come indicato nella presente tabella (questi
valori si basano sulle prescrizioni delle categorie descritte nella ISO 13849-1).
Nota - 2 La Categoria B secondo la ISO 13849-1 non pu essere considerata sufficiente a raggiungere SIL 1.

19

Ing. Gianfranco Ceresini

Progettazione: come si calcola il SIL

Il costruttore di macchine che


ne
intenda
verificare
la
sicurezza dovr seguire un
metodo progettuale che si
snoda attraverso un processo
iterativo articolato in alcuni
passi

Ing. Gianfranco Ceresini

Progettazione 1 - Definizione dei requisiti delle funzioni di sicurezza

In questa fase vengono stabilite le caratteristiche per ogni funzione di sicurezza.


Per ogni funzione di sicurezza il progettista decide il contributo alla riduzione del
rischio che essa deve fornire.
Questo contributo non copre il rischio complessivo della macchina, (ad esempio
il rischio globale di una pressa o di un sistema di cambio pallet automatico), ma
solo quella parte della riduzione del rischio che deriva dalla applicazione di
quella particolare funzione di sicurezza.
Questo primo passo della progettazione sicuramente il pi delicato,
difficoltoso ed importante poich le scelta su come realizzare la funzione di
sicurezza comporta una reazione a catena (positiva o negativa in base alle
scelte effettuate) su tutte le altre fasi della progettazione.
La norma EN 62061 definisce la funzione di sicurezza come la funzione di una
macchina il cui guasto pu provocare un immediato aumento del o dei rischi.

20

Ing. Gianfranco Ceresini

Progettazione 2 - Assegnazione del SIL richiesto

Lallegato A della EN 62061 contiene un approccio qualitativo per la stima dei


rischi e lassegnazione del SIL applicabile alle SRCF per la macchina, in
pratica per determinare il SIL richiesto (SILr).
Nellindicazione dei pericoli, vanno compresi quelli derivanti da un ragionevole
e prevedibile uso improprio, di cui si devono ridurre i rischi realizzando una
SRCF. La stima del rischio dovrebbe essere condotta per ogni pericolo,
determinando i parametri di rischio

Ing. Gianfranco Ceresini

Progettazione 2 - Assegnazione del SIL richiesto Parametro Se

Conseguenze

Gravit (Se)

Irreversibile: morte, perdita di un occhio o di un braccio

Irreversibile: rottura di uno o pi arti, perdita di uno o pi dita

Reversibile: richiede lintervento di un medico

Reversibile: richiede le cure di un pronto soccorso

21

Ing. Gianfranco Ceresini

Progettazione 2 - Assegnazione del SIL richiesto Parametro Fr


Frequenza e durata dellesposizione (Fr)

Frequenza dellesposizione

Durata > 10 min *

1h

Da > 1 h a 1 giorno

Da > 1 giorno a 2 settimane

Da > 2 settimane a 1 anno

> 1 anno

Quando la durata inferiore a 10 min, il valore pu essere ridotto al livello


successivo. Questo non si applica a frequenze di esposizione 1 h, che non
dovrebbero essere mai ridotte.

Ing. Gianfranco Ceresini

Progettazione 2 - Assegnazione del SIL richiesto Parametro Pr


Probabilit dellevento pericoloso

Probabilit (Pr)

Molto alta

Probabile

Possibile

Scarsa

Trascurabile

Questo parametro pu essere stimato considerando:

Prevedibilit del comportamento delle parti costitutive della macchina relative al


pericolo in diverse modalit duso (es., funzionamento normale, manutenzione,
ricerca guasti). Questo richiede unattenta considerazione del sistema di controllo,
soprattutto per quanto riguarda il rischio di avvio inatteso. Non prendere in
considerazione leffetto protettivo di qualsiasi SRECS. Questo necessario per stimare
lentit del rischio a cui si viene esposti in caso di guasto allo SRECS. In generale,
bisogna considerare se la macchina o il materiale in lavorazione tende ad agire in
modo inaspettato. Il comportamento della macchina varia da molto prevedibile a
imprevedibile, ma eventi inattesi non possono essere esclusi.

22

Ing. Gianfranco Ceresini

Progettazione 2 - Assegnazione del SIL richiesto Parametro Pr


Probabilit dellevento pericoloso

Probabilit (Pr)

Molto alta

Probabile

Possibile

Scarsa

Trascurabile

Questo parametro pu essere stimato considerando:

Le caratteristiche specificate o prevedibili del comportamento umano relative


allinterazione con le parti componenti della macchina relative al pericolo. Questo pu
essere caratterizzato da:

sollecitazioni (es., dovute a vincoli temporali, compiti di lavoro, percezione della


limitazione del danno), e/o

scarsa conoscenza delle informazioni relative al pericolo. Questo influenzato da


fattori quali capacit, formazione, esperienza e complessit della
macchina/processo.

Ing. Gianfranco Ceresini

Progettazione 2 - Assegnazione del SIL richiesto Parametri Av e Cl


Probabilit di evitare o limitare il danno (Av)

Impossibile

Scarsa

Probabile

Questo parametro pu essere stimato tenendo conto degli aspetti dei progetti della macchina e
dellapplicazione prevista che possono contribuire a limitare o evitare il danno derivante da un
pericolo, ad esempio:
insorgenza improvvisa, ad alta o bassa velocit, dellevento pericoloso;
possibilit spaziale di sottrarsi al pericolo;
natura del componente o del sistema, per esempio un coltello generalmente affilato, un tubo
in una latteria generalmente caldo, lelettricit generalmente pericolosa per sua natura, ma
invisibile; e
possibilit di riconoscere un pericolo, per esempio un rischio elettrico: una sbarra di rame non
cambia aspetto se in tensione o no; per accorgersene necessario uno strumento per
stabilire se unapparecchiatura elettrica energizzata o no; le condizioni ambientali, per
esempio, elevati livelli di rumore, possono impedire a una persona di sentire lavviamento di
una macchina.

Sommando i punteggi di Fr, Pr e Av si ottiene la classe della probabilit del danno Cl

23

Ing. Gianfranco Ceresini

Progettazione 2 - Assegnazione del SIL richiesto

Utilizzando la tabella seguente, il punto di intersezione tra la riga della gravit


(Se) e la relativa colonna (Cl) indica se necessaria unazione. La zona nera
indica il SIL assegnato come obiettivo per la SRCF. Le zone di colore pi
chiaro dovrebbero essere utilizzate come raccomandazione per luso di altre
misure (OM)
Ad esempio per un pericolo specifico con una Se assegnata di 3, una Fr di 4,
una Pr di 5 e una Av di 5, si ottiene Cl = Fr + Pr + Av = 4 + 5 + 5 = 14.
Utilizzando la tabella, questo porterebbe lassegnazione di un SIL 3 alla SRCF
destinata a mitigare questo pericolo specifico.

Ing. Gianfranco Ceresini

Progettazione 3 Progettazione dellarchitettura di controllo

Una volta individuato il SIL necessario per la nostra funzione di sicurezza


necessario scomporre la funzione in blocchi funzionali FB.
Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemi
che realizzeranno i blocchi funzionali individuando una possibile configurazione
elettrica.
Per ogni sottosistema si calcola la probabilit di guasti pericolosi allora PFHD.

24

Ing. Gianfranco Ceresini

Progettazione 4 - Determinazione del SIL massimo raggiungibile

Il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza


(SRESC) sar sempre inferiore o pari al valore pi basso dei SIL massimi
raggiungibili per quanto riguarda lintegrit sistematica della sicurezza e i vincoli
dellarchitettura di ognuno dei sottosistemi che lo costituiscono.
Esempio in cui un PFHD di 5,22x10-7 corrisponde ad un SIL 2 per lo SRECS
realizzato

Ing. Gianfranco Ceresini

Progettazione 5 - Verifica

In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SIL
assegnato (SILr richiesto) stabilito dalla valutazione del rischio al passo 2.
Se la verifica positiva il progetto prosegue alla fase successiva, mentre se
negativa bisogna riprogettare il circuito (ripartendo dal punto 3) cambiando
architettura o cambiando i componenti con altri aventi migliori caratteristiche

25

Ing. Gianfranco Ceresini

Progettazione 6 - Validazione e manutenzione

La progettazione di una funzione di comando e controllo di sicurezza deve essere


validata. La validazione deve dimostrare che la combinazione di ciascuna funzione di
sicurezza dei dispositivi di sicurezza soddisfa i requisiti relativi.
Ogni SRCF indicata nella specifica delle prescrizioni dello SRECS e tutte le procedure
di funzionamento e di manutenzione dello SRECS devono essere validate mediante
collaudi e/o analisi.
Deve essere prodotta una documentazione adeguata della validazione della sicurezza
dello SRECS, che deve dichiarare per ogni SRCF:

la versione del piano di validazione di sicurezza dello SRECS utilizzato e la


versione dello SRECS provato;

la SRCF in prova (o in analisi), nonch il riferimento specifico alla prescrizione


specificata durante la pianificazione della validazione di sicurezza dello SRECS;

strumenti e apparecchiature utilizzate e dati di taratura;

risultati di ogni prova;

discrepanze tra risultati previsti ed effettivi.

Ing. Gianfranco Ceresini

Esempio di progettazione macchina cartonatrice

Si deve realizzare un sistema di carico/scarico di una macchina cartonatrice alla


quale si vuole asservire un robot A in ingresso per il carico del materiale e un
robot B in uscita per lo scarico del materiale confezionato

Lobiettivo controllare la zona di carico/scarico in modo che sia in fase di


produzione che di manutenzione e/o pulizia le persone che si avvicinano non
subiscano danno

26

Ing. Gianfranco Ceresini

Esempio di progettazione Ciclo di lavoro della macchina

Loperatore porta con un carrello i pezzi in lavorazione vicino al robot A e attiva il


ciclo automatico di lavorazione. Il robot B prende i pezzi lavorati e li posizione in
un altro carrello. A fine ciclo loperatore preleva i pezzi lavorati dal carrello vicino al
robot B.
La macchina completamente protetta ed ingresso e uscita con tunnel in
conformit alla Norma EN 953 Sicurezza del macchinario - Ripari - Requisiti
generali per la progettazione e la costruzione di ripari fissi e mobili per cui le
persone non riescono ad accedere alle parti pericolose interne alla macchina, ma
problemi potrebbero sorgere se il nastro trasportatore in ingresso in movimento
quando le persone sono nelle sue vicinanze
Terminata la lavorazione la macchina si arresta automaticamente in attesa di un
nuovo caricamento ed un nuovo start.

Ing. Gianfranco Ceresini

Esempio di progettazione Analisi del rischio della macchina

Il nastro della macchina pericoloso in quanto se non arrestato quando una


persona nelle vicinanze con il braccio del robot che la stringe verso il nastro
potrebbe causargli lesioni se il movimento del nastro non viene arrestato. Si
identificano due zone pericolose:
- Zona prossima al robot A e zona nastro ingresso macchina chiamata zona DZ1
in cui esistono i rischi di urto e schiacciamento con possibili conseguenze
mortali
- Zona prossima al robot B e zona nastro uscita macchina chiamata zona DZ2 in
cui esistono i rischi di urto e schiacciamento con possibili conseguenze mortali

27

Ing. Gianfranco Ceresini

Esempio di progettazione Riduzione del rischio della macchina

I rischi associati ai pericoli individuati non sono accettabili e quindi sono da ridurre
mediante dispositivi di protezione gestiti da sistemi di sicurezza
Il posizionamento dei dispositivi di protezione viene stabilito, in base alla norma
EN 13855, in funzione della velocit di avvicinamento del corpo umano, oltre che
del tempo di arresto degli organi pericolosi e del tempo di risposta del segnale di
rilevamento e della catena elettrica/elettronica che attiva larresto degli organi
pericolosi.
Lestensione della zona si supponga di almeno 2 m dalle zone pericolose protette
attraverso lutilizzo di tappeti sensibili a protezione della zona limitrofa a ciascun
robot e la parte di nastro da essi servita

Ing. Gianfranco Ceresini

Esempio di progettazione Funzioni di sicurezza (SRCF) individuate

Vengono individuate due funzioni di sicurezza uguali


SRCF1: Se una persona si avvicina alla zona DZ1 del robot A o al nastro della
macchina, il robot A ed il nastro si devono arrestare

SRCF2: Se una persona si avvicina alla zona DZ2 del robot B o al nastro della
macchina, il robot B ed il nastro si devono arrestare
Per realizzare le funzioni di sicurezza a controllo delle zone pericolose DZ1 e DZ2 si
sceglie un sistema costituito da due gruppi di tappeti sensibili (uno per la zona A e
laltro per la zona B) completi della propria elettronica di controllo che fornisce come
segnali di sicurezza due contatti elettromeccanici che sono inviati allingresso di un
configuratore (o un PLC) per applicazioni di sicurezza il quale a sua volta produce
segnali di uscita che:

Arrestano il Robot A diseccitando due contattori che tolgono la potenza al robot A

Arrestano il Robot B diseccitando due contattori che tolgono la potenza al robot B

Arrestano il variatore di velocit che movimenta il motore del nastro agendo su un


suo ingresso di sicurezza (Power removal) per il quale certificata la funzione di
sicurezza almeno in SIL2

28

Ing. Gianfranco Ceresini

Esempio di progettazione Determinazione del SIL richiesto

Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare il
SIL attraverso lallegato A della norma EN 62061

La gravit del danno pu essere un danno irreversibile grave: Se = 4

La frequenza e durata dellesposizione di accesso alle zone di 1 volta allora


per 5 minuti per lavoro o pulizia: Fr = 4

La probabilit dellevento pericolo possibile a causa della possibilit di errore


umano: Pr = 3

La probabilit di evitare il pericolo esiste a causa dei movimenti lenti di robot e


nastro: Av = 3

La classe Cl = Fr + Pr + Av = 10

Ing. Gianfranco Ceresini

Esempio di progettazione Struttura della funzione di sicurezza SRCF1

Poich richiesto il SIL2, la struttura della funzione di sicurezza potrebbe essere la


seguente, dove il SILCL di ogni sottosistema non pu essere inferiore a 2

La funzione SRCF1 scomponibile in 4 blocchi funzionali FB

29

Ing. Gianfranco Ceresini

Esempio di progettazione Funzione scomposta in sottosistemi

A ciascun blocco funzionale si associa un sottosistema SS


I sottosistemi SS1, SS2 ed SS4 hanno le funzioni diagnostiche D incorporate,
mentre per il sottosistema SS3 costituito dai 2 contattori che arrestano il robot A,
le funzioni diagnostiche a controllo dellincollamento dei contatti dei contattori sono
gestite dal configuratore o PLC di sicurezza

Ing. Gianfranco Ceresini

Esempio di progettazione Elementi dei sottosistemi

Ciascuno dei due contattori che a loro volta fanno parte del sottosistema SS3
sono elementi del sottosistema SS3 che rispettivamente sono identificati con
SSE3.l ed SSE3.2

30

Ing. Gianfranco Ceresini

Esempio di progettazione Dati dei costruttori

SS1 ===> tappeto sensibile con elettronica dedicata: PFHD tappeto = 4 x10-7 (SIL 2)

SS2 ===> Elettronica configurabile: PFHD conf. = 2 x10-8 (SIL 3)

SS4 ===> Variatore di velocit movimento nastro: PFHD var. = 1,5 x10-8 (SIL 3)

SS3 ===> Sistema di contattori per arresto robot A: da calcolare con analisi

Ing. Gianfranco Ceresini

Esempio di progettazione Analisi del sottosistema 3

Occorre determinare se il sottosistema SS3 in grado di arrivare per come viene realizzato al SILcl 2 ed
a tale scopo possibile utilizzare la tabella 5 della Norma EN 62061 nella quale in base alla tolleranza
allavaria dellhardware HFT e alla frazione del guasto in sicurezza SFF possibile stabilire subito se il
sottosistema che si deve costruire sar in grado di raggiungere il SIL necessario per lapplicazione
specifica
Il parametro HFT rappresenta il numero di guasti che il sottosistema pu avere senza che questi
comportino la perdita della funzione di sicurezza e nel caso specifico dei due contattori utilizzati per il
sottosistema SS3 tale valore HFT=1 in quanto se un contattore si guasta in modo pericoloso
(tipicamente si incolla) latro permette ancora di arrestare il robot
Per poter utilizzare il sottosistema SS3 nella SRCF1, per ottenere almeno SILcl = 2 con HFT = 1
necessario che il sottosistema SS3 abbia almeno una SFF superiore al 60%.
Frazione di
guasto in
sicurezza
(SFF)

Tolleranza allavaria dellhardware (HFT)


0

< 60 %

Non permesso

SIL1

SIL2

60 % - < 90 %

SIL1

SIL2

SIL3

90 % - < 99 %

SIL2

SIL3

SIL3

99 %

SIL3

SIL3

SIL3

31

Ing. Gianfranco Ceresini

Esempio di progettazione Analisi del sottosistema 3

Il sottosistema SS3 riconoscibile nel modello sottosistema D

Ing. Gianfranco Ceresini

Esempio di progettazione Analisi del sottosistema 3

D =

1
MTTF

=
D

1
= 1, 54 10 81 / h
7386 anni 8760 h / anno

Poich stato assunto che i guasti pericolosi siano il 50% dei guasti totali, risulta
che

S = D = 1, 54 10 81 / h

Dalla norma IEC 61508-2 nellallegato A tabella A.2 si determina che la tecnica del
controllo dellincollaggio dei contatti di contattori con contatti legati porta ad avere
una copertura diagnostica DC=99%

DD = D DC = 1,54108 0,99 = 1,521081/ h

Calcolo del parametro SFF

SFF =

+
+
S

DD

= 0,993

32

Ing. Gianfranco Ceresini

Esempio di progettazione Analisi del sottosistema 3

Resta ora solo il calcolo del tasso di guasti pericolosi del sottosistema SS3.
Poich un sottosistema tipo D rispetto a quelli previsti nella Norma EN
62061, il calcolo del valore del tasso di guasto pericoloso si calcola con la
formula del sottosistema tipo D

{[

DssD = (1 ) 2 De 2 2 DC T2 / 2 + De 2 (1 DC ) T1} + De

PFHDssD = DssD 1h

I dati che ancora mancano sono T1 (che si assume pari a 20 anni), T2 (che
vale 1 ora perch ad ogni accesso alla zona pericolosa si effettua la prova
diagnostica per verificare il buon funzionamento del sottosistema SS3) e
che determinabile in base alle indicazioni dellallegato F della Norma EN
62061.

Voce

Ing. Gianfranco
Riferime Ceresini
Punteg
nto
gio

Esempio di progettazione Analisi del sottosistema 3 calcolo di

Separazione/segregazione

I cavi di segnale dello SRECS per i singoli canali percorrono vie separate dagli altri canali in tutte le posizioni, oppure sono sufficientemente schermati?

1a

SI

Quando vengono utilizzate informazioni di codifica/decodifica, sono sufficienti al rilevamento degli errori di trasmissione dei segnali?

1b

SI

10

I cavi di segnale dello SRECS e i cavi elettrici di potenza sono separati in tutte le posizioni, oppure sono sufficientemente schermati ?

SI

Se elementi del sottosistema possono contribuire a un CCF, sono forniti come dispositivi fisicamente separati in involucri autonomi ?

NO

Diversit/ridondanza
Il sottosistema usa tecnologie elettriche diverse, per esempio, una elettronica o elettronica programmabile e laltra con un rel elettromeccanico ?

NO

Il sottosistema usa elementi che utilizzano principi fisici diversi (es., sensori a una porta di protezione che utilizzano tecniche meccaniche e magnetiche)
?

NO

10

Il sottosistema usa elementi con differenze temporali nelle operazioni funzionali e/o nelle modalit di guasto ?

NO

10

Gli elementi del sottosistema hanno intervallo diagnostico di prova 1 min ?

NO

10

SI

Sono stati esaminati i risultati delle modalit di guasto e lanalisi degli effetti per stabilire fonti di guasti per cause comuni, e sono state eliminate
mediante la progettazione le fonti di guasti per cause comuni predeterminate ?

SI

I guasti in campo sono analizzati con una retroazione alla progettazione ?

10

SI

11

SI

Gli elementi del sottosistema tendono a funzionare sempre nel campo delle temperature, umidit, corrosione, polvere, vibrazione, ecc., nel quale sono
stati provati senza luso di controlli ambientali esterni ?

12

SI

Il sottosistema immune alle influenze negative delle interferenze elettromagnetiche fino ai limiti specificati nellAllegato E compresi ?

13

SI

Complessit/progetto/applicazione
evitata linterconnessione tra canali del sottosistema con leccezione di quella utilizzata per scopi diagnostici ?
Valutazione/analisi

Competenza/formazione

I progettisti del sottosistema comprendono le cause e le conseguenze dei guasti per cause comuni ?
Controllo ambientale

TOTALE = 62 da cui = 0,05

33

Ing. Gianfranco Ceresini

Esempio di progettazione Analisi del sottosistema 3

E possibile ora calcolare DSS3 = 7,7 x 10-10 1/h, da cui

PFHDss3 = Dss3 1h = 7,7 1010

Questa probabilit di guasto corrisponde a SIL3

Livello di Integrit della Sicurezza


(SIL)

Probabilit di un guasto pericoloso per ora [1/h]


(PFHD)

10-8 PFHD < 10-7

10-7 PFHD < 10-6

10-6 PFHD < 10-5

Ing. Gianfranco Ceresini

Esempio di progettazione Valutazione del SIL complessivo

SS1 ==> tappeto sensibile con elettronica dedicata: PFHD tappeto = 4 x10-7 (SIL 2)

SS2 ==> Elettronica configurabile: PFHD conf. = 2 x10-8 (SIL 3)

SS4 ==> Variatore di velocit movimento nastro: PFHD var. = 1,5 x10-8 (SIL 3)

SS3 ==> Sistema di contattori per arresto robot A: PFHD cont. = 7,7 x10-10 (SIL 3)

Di conseguenza risulta che il PFHD dellintero sistema di controllo relativo alla


sicurezza SRESC1 :

PFHD SRECS1= PFHD tappeto + PFHD conf.+ PFHD var+ PFHD cont.+ Pte = 4 x10-7
+ 2 x10-8 + 1,5 x10-8 + 7,70 x10-10 + 0 = 4,357 x10-7 => SIL 2 pari a quello
richiesto: il controllo idoneo la funzione di sicurezza richiesta

Nel caso specifico Pte= 0 in quanto i sottosistemi dello SRECS non sono collegati tra
loro mediante comunicazioni di tipo digitale.

34

Ing. Gianfranco Ceresini

Esempio di progettazione macchina pulitrice

In una macchina pulitrice metalli la zona interna di pulitura con liquido accessibile
attraverso uno sportello; allinterno dello sportello si trova un ugello che spruzza il
liquido di pulizia sul metallo ad una velocit impostabile agendo con un variatore di
velocit che a sua volta cambia la velocit della pompa che spruzza il liquido sul
metallo.

Lobiettivo controllare la zona di pulizia (che si identifica con DZ1) in modo che
durante le fasi di produzione e le altre fasi di macchina (ad es. manutenzione) le
persone che vi accedono non subiscano danno

Ing. Gianfranco Ceresini

Esempio di progettazione Ciclo di lavoro della macchina

Loperatore apre lo sportello della zona di pulizia e posiziona il metallo da pulire

Loperatore chiude lo sportello e attiva premendo un pulsante il ciclo automatico di


pulizia che dura per il tempo impostato e con la velocit di spruzzo impostata sul
sistema di comando e controllo

La macchina completamente protetta nella zona dello sportello ed il pericolo si


presenta solo allapertura di tale sportello

Terminato il ciclo impostato la pompa si arresta automaticamente e loperatore


apre lo sportello prelevando il metallo pulito

35

Ing. Gianfranco Ceresini

Esempio di progettazione Analisi del rischio della macchina

Si identifica come zona pericolosa la parte interna allo sportello della zona
pulizia metalli della macchina denominata zona DZ1

Alla zona pericolosa DZ1 sono associati possibili danni originati dal pericolo di
schizzi di fluidi con conseguenza di possibile irritazione al volto e tronco con
potenziale danno reversibile

Ing. Gianfranco Ceresini

Esempio di progettazione Riduzione del rischio della macchina

I danni associati ai pericoli sopra individuati non sono accettabili e quindi sono da
ridurre mediante dispositivi di protezione

Al fine del controllo della zona pericolosa si sceglie di interbloccare mediante un


circuito di sicurezza lapertura dello sportello in modo che allapertura dello stesso
la pompa del fluido di pulizia si arresti

36

Ing. Gianfranco Ceresini

Esempio di progettazione Funzione di sicurezza (SRCF) individuata

Si individua la seguente funzione di sicurezza:

SRF1: allapertura dello sportello la pompa del fluido entro la zona DZ1 si deve
arrestare e non deve avviarsi quando lo sportello aperto

Ing. Gianfranco Ceresini

Esempio di progettazione Determinazione del SIL richiesto

Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare il
SIL attraverso lallegato A della norma EN 62061

La gravit del danno pu essere reversibile con un intervento medico: Se = 2

La frequenza e durata dellesposizione di accesso alle zone di 1 volta ogni 3 ore


per 5 minuti per lavoro o pulizia: Fr = 4

La probabilit dellevento pericolo bassa a causa della preparazione degli


operatori: Pr = 2

La probabilit di evitare il pericolo scarsa perch il lubrificante schizza


velocemente: Av = 5

La classe Cl = Fr + Pr + Av = 11

37

Ing. Gianfranco Ceresini

Esempio di progettazione Struttura della funzione di sicurezza SRCF1

Poich richiesto il SIL1, la struttura della funzione di sicurezza potrebbe


essere la seguente

La funzione SRCF1 scomponibile in 3 blocchi funzionali FB

Ing. Gianfranco Ceresini

Esempio di progettazione Funzione scomposta in sottosistemi

A ciascun blocco funzionale si associa un sottosistema SS per realizzare la funzione


di sicurezza

un sottosistema SS1 costituito da un sensore magnetico per applicazioni di


sicurezza garantito SIL 2 dal suo costruttore

un sottosistema SS2 costituito dalla elettronica di controllo del sensore


magnetico per applicazioni di sicurezza che fornisce come segnali di sicurezza
una uscita di sicurezza elettronica garantita SIL 2 dal suo costruttore

un sottosistema SS3 costituito da un variatore di velocit che movimenta il


motore della pompa la quale arrestata dalluscita di sicurezza del sottosistema
SS2 che a sua volta agisce su un ingresso di sicurezza (Power removal) del
variatore di velocit per il quale il suo costruttore certifica tale funzione di
sicurezza in SIL 3
I sottosistemi SS2, SS3 hanno le funzioni diagnostiche D incorporate, mentre per il
sottosistema SS1 le funzioni diagnostiche a controllo del corretto funzionamento del
dispositivo magnetico sono gestite dalla elettronica del sottosistema SS2

38

Ing. Gianfranco Ceresini

Esempio di progettazione Funzione scomposta in sottosistemi

Ing. Gianfranco Ceresini

Esempio di progettazione Dati dei costruttori

SS1 => interruttore magnetico per applicazioni di sicurezza: PFHD sensore = 8 x10-7 (SIL 2)

SS2 => Elettronica di controllo: PFHD elettronica. = 2,5 x10-7 (SIL 2)

SS3 => Funzione Power removal variatore di velocit: PFHD var. = 1,5 x10-8 (SIL 3)

39

Ing. Gianfranco Ceresini

Esempio di progettazione Valutazione del SIL complessivo

Risulta che il PFHD dellintero sistema di controllo relativo alla sicurezza SRESC1 :

PFHD SRECS1= PFHD sensore + PFHD elettronica+ PFHD var+ Pte = 8 x10-7 + 2,5
x10-7 + 1,5 x10-8 + 0 = 1,065 x 10-6 => SIL 1 pari a quello richiesto: il controllo
idoneo la funzione di sicurezza richiesta

Nel caso specifico Pte= 0 in quanto i sottosistemi dello SRECS non sono collegati tra
loro mediante comunicazioni di tipo digitale.

Ing. Gianfranco Ceresini

Esempio di progettazione fermo a seguito apertura riparo

Lesempio prende in considerazione una funzione di interruzione dellalimentazione di


un motore successiva allapertura di un riparo.

Se la funzione fallisce si verifica la perdita dello stato sicuro con possibilit di


infortunio grave delloperatore (rottura del braccio o amputazione di un dito).

40

Ing. Gianfranco Ceresini

Esempio di progettazione assegnazione del SIL richiesto

Nellesempio abbiamo un grado di gravit (Se) 3 poich esiste il rischio di


amputazione di un dito; questo valore indicato nella prima colonna della tabella.
Successivamente occorre sommare tra loro tutti gli altri parametri per scegliere una
delle classi (colonne verticali della tabella). In tal modo otterremo:

Fr = 5 accesso pi volte al giorno per pi di 10 minuti


Pr = 4 evento pericoloso probabile
Av = 3 probabilit di evitare il danno quasi impossibile

Di conseguenza avremo una classe CI = 5 + 4 + 3 = 12


Il sistema elettrico di controllo relativo alla sicurezza (SRECS) della macchina deve
realizzare questa funzione con un livello di integrit SIL 2.

Ing. Gianfranco Ceresini

Esempio di progettazione suddivisione in blocchi funzionali

Un blocco funzionale (FB) il risultato di una scomposizione dettagliata della


funzione relativa alla sicurezza.
La struttura del blocco funzionale mostra il concetto iniziale dellarchitettura dello
SRECS.
I requisiti di sicurezza di ogni blocco derivano dalla specifica dei requisiti di sicurezza
della funzione di controllo relativa alla sicurezza.

41

Ing. Gianfranco Ceresini

Esempio di progettazione assegnare i blocchi funzionaliai sottosistemi

Ciascun blocco funzionale viene assegnato ad un sottosistema dellarchitettura del


sistema SRECS.
Se un sottosistema si guasta si ha il mancato funzionamento della funzione di
controllo relativa alla sicurezza.
Ogni sottosistema pu comprendere elementi del sottosistema e, se necessario,
funzioni di diagnostica per assicurare che i guasti possano essere rilevati per
consentire di intraprendere unazione immediata corretta.

Ing. Gianfranco Ceresini

Esempio di progettazione selezione dei componenti di ogni sottosistema

Vengono scelti questi prodotti. La durata del ciclo nellesempio di 450 secondi, il ciclo di azionamento
C di 8 manovre allora: la protezione verr quindi aperta 8 volte allora (test diagnostico T2)

42

Ing. Gianfranco Ceresini

Esempio di progettazione progettazione della diagnostica

Il SIL raggiunto dal sottosistema non dipende solamente dai componenti ma anche
dallarchitettura scelta. Nellesempio sceglieremo architetture B per le uscite a
contattore e D per i finecorsa.
In questa architettura il modulo logico di sicurezza esegue lautodiagnostica e
verifica anche i finecorsa. Vi sono tre sottosistemi per i quali determinare il SILCL
(SIL Claim Limits):
SS1: due finecorsa in un sottosistema con architettura di tipo D (ridondante);
SS2 di sicurezza: un modulo logico SILCL 3 (scelto in base ai dati, incluso il PFHD, ,
forniti dal costruttore);
SS3: due contattori utilizzati in associazione con unarchitettura tipo B (ridondante
senza feedback)

Ing. Gianfranco Ceresini

Esempio di progettazione progettazione della diagnostica

43

Ing. Gianfranco Ceresini

Esempio di progettazione progettazione della diagnostica

Ing. Gianfranco Ceresini

Esempio di progettazione calcolo PFHd dei contattori

Per unarchitettura di tipo B (a prova di guasto singolo senza diagnostica) la probabilit


di guasto pericoloso del sottosistema :

DssB = (1 ) 2 De1 De 2 T1 + (De1 + De 2 ) / 2

PFHDssB = DssB 1h

44

Ing. Gianfranco Ceresini

Esempio di progettazione calcolo PFHd dei finecorsa

Si sceglie unarchitettura tipo D a prova di guasto singolo con funzione di diagnostica.

Ing. Gianfranco Ceresini

Esempio di progettazione verifica finale

45

Ing. Gianfranco Ceresini

Esempio di progettazione emergenza + apertura riparo

Ing. Gianfranco Ceresini

Esempio di progettazione emergenza + apertura riparo


Questo esempio di funzione di sicurezza descrive il monitoraggio di un apparecchio di
comando per arresto d'emergenza (funzione 1) e di un dispositivo di protezione di
separazione sotto forma di una porta di protezione (funzione 2): in questi casi si tratta di
monitorare l'accesso non autorizzato a zone dell'impianto e di impedire una funzione
pericolosa della macchina quando il dispositivo di protezione viene aperto.
Funzione di sicurezza SF1 : l'apparecchio di comando per arresto d'emergenza con contatti
ad apertura forzata viene monitorato dall'F-Link mediante l'S7-416F. Se si aziona l'arresto
d'emergenza, i contattori Q1 e Q2 a valle vengono disinseriti con guida obbligata. Prima
della riattivazione o della conferma dell'arresto d'emergenza mediante il pulsante di
avviamento si controlla che il contatto dell'apparecchio di comando per arresto
d'emergenza sia chiuso ed entrambi i contattori siano disinseriti. SIL richiesto = 3
Funzione di sicurezza SF2: anche la porta di protezione viene monitorata con due
interruttori di posizionamento con contatti ad apertura forzata mediante l'F-Link tramite
l'S7-416F. Se si apre la porta di protezione, i contattori Q1 e Q2 a valle vengono disinseriti
con guida obbligata. Se la porta di protezione viene chiusa, viene eseguito un avvio
automatico dopo la verifica degli interruttori di posizionamento e dei contattori a valle. SIL
richiesto = 3.

46

Ing. Gianfranco Ceresini

Esempio di progettazione emergenza + apertura riparo


Dati della parte della logica, che comune ad entrambe le funzioni di sicurezza

Ing. Gianfranco Ceresini

Esempio di progettazione emergenza + apertura riparo


Dati dei componenti soggetti a usura per la funzione di sicurezza SF1

47

Ing. Gianfranco Ceresini

Esempio di progettazione emergenza + apertura riparo


Verifica del soddisfacimento del livello SIL richiesto per funzione SF1

SIL effettivo = SIL richiesto

Ing. Gianfranco Ceresini

Esempio di progettazione emergenza + apertura riparo


Dati dei componenti soggetti a usura per la funzione di sicurezza SF2

48

Ing. Gianfranco Ceresini

Esempio di progettazione emergenza + apertura riparo


Verifica del soddisfacimento del livello SIL richiesto per funzione SF2

SIL effettivo = SIL richiesto

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti


Individuazione della funzione di sicurezza
Si ha una pressa per cuscinetti in cui il movimento del cilindro deve essere fermato
quando il campo protetto della barriera viene interrotto.

49

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti


Assegnazione del SIL
La gravit della lesione pu essere irreversibile (Se = 3), la frequenza di esposizione al
rischio due, tre volte al giorno per pi di 10 minuti (Fr = 5), la probabilit del
verificarsi di un evento pericolo possibile (Pr = 3) ed esiste la possibilit da parte
delloperatore di limitare il danno (Av = 3).
Si ottiene una classe di probabilit del danno pari a Cl = Fr + Pr + Av = 5 + 3 + 3 = 11.
Ne risulta un SILr = 2.

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti


Progettazione dellarchitettura di controllo
Una volta individuato il SIL necessario per la nostra funzione di sicurezza, che in questo
caso vale 2, necessario scomporre la funzione in blocchi funzionali FB (in figura si
nota che i collegamenti tra i blocchi funzionali, e quindi tra i sottosistemi, non sono di
tipo digitale).

Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemi che
realizzeranno i blocchi funzionali individuando una possibile configurazione elettrica.

50

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti


Poich il SIL richiesto totale 2, ogni sottosistema deve avere un SILCL almeno pari a 2
per raggiungere lobiettivo prefisso.

Per ogni sottosistema si calcola la probabilit di guasti (casuali) pericolosi allora PFHD.

Risulta che il PFHD


totale risulta inferiore
a
10-6
e
quindi
corrispondente a SIL 2
o SIL 3.

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti


Determinazione del SIL massimo raggiungibile
Poich il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza
(SRESC) sempre inferiore o pari al valore pi basso dei SIL massimi raggiungibili,
vanno controllati i vincoli dellarchitettura di ognuno dei sottosistemi che lo
costituiscono.
Dai dati dei costruttori si ricava che il SILCL sia della barriera fotoelettrica che del PLC di
sicurezza pari a 3 e quindi coerente con la richiesta (maggiore o uguale a 2).
Rimane da controllare il SILCL dellelettrovalvola che un componente della catena di
sicurezza soggetto ad usura e privo di diagnostica interna. Va analizzato il vincolo
sullarchitettura per stabilirne il massimo SIL che pu fornire lelettrovalvola: dalla
tabella D.1 della norma EN 62061 si trova che la frazione di guasto in sicurezza SFF
dellelettrovalvola pari al 70% (mancata eccitazione 5% pi perdita 65%), mentre la
sua tolleranza allavaria dellhardware HFT pari a 0 perch anche una sola avaria pu
causare una perdita della funzione di controllo relativa alla sicurezza.
Risulta quindi che una singola elettrovalvola come attuatore di uscita non sufficiente a
raggiungere il SIL minimo pari a 2 che viene richiesto.

51

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti

Occorre allora ripensare alla struttura dellattuatore andando a collegare in parallelo


(ridondanza) due sottosistemi (in questo caso due elettrovalvole), entrambi
rispondenti alle richieste dellarchitettura per SIL1, in modo che la tolleranza
allavaria dellhardware HFT diventi pari a 1 e quindi si passi da SILCL1 a SILCL2.

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti

Poich il sottosistema di uscita ora costituito da due canali bisogna verificare la


resistenza del sottosistema doppia elettrovalvola ai guasti per causa comune.
Larchitettura del sottosistema con una singola tolleranza allavaria dellhardware senza
funzione diagnostica larchitettura B dove dovrebbe verificarsi un guasto pericoloso
in pi di un elemento prima che si verifichi un guasto al sottosistema.

52

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti


Dalle tabelle F.1 e F.2 della norma EN 62061 si ricava rispettivamente che il punteggio compreso tra
35 e 65 e quindi il CCF () pari al 5%.
Le formule utilizzabili per calcolare la probabilit di guasti (casuali) pericolosi allora PFHD del
sottosistema costituito dalle due elettrovalvole (sottosistema di tipo B), sono le seguenti:

DssB = (1 ) 2 De1 De 2 T1 + ( De1 + De 2 ) / 2

PFHDssB = DssB 1h

Per i dispositivi elettromeccanici come le elettrovalvole, il loro tasso di guasto De1 = De2 si
determina utilizzando il valore B10 e il numero di cicli di funzionamento C dellapplicazione:

= 0,1

C
B10

In questo caso ricaviamo da una tabella dellappendice C della norma EN 13849-1 che il B10d di una
elettrovalvola di 20000000 di cicli poich B10d stimato pari a due volte B10 (ipotesi del 50%
di guasti pericolosi), abbiamo che B10 pari a 10000000 di cicli. C si assume pari a 60 /h. Il
tempo di vita delle elettrovalvole si assume pari a 20 anni. Ne risulta che:

PFHDssBelettrovalvole = 9 109

Ing. Gianfranco Ceresini

Esempio di progettazione pressa per cuscinetti


Verifica
In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SIL assegnato (SILr
richiesto) stabilito dalla valutazione del rischio al passo 2. La verifica positiva:

53

Ing. Gianfranco Ceresini

Esempio Architettura A

In una architettura semplice come questa (singolo canale A) si calcola che la Probabilit di Guasti Pericolosi per ora
(PFH) :
PFH = tot = s + k

Ing. Gianfranco Ceresini

Esempio Architettura A

k = 1,0010-6

s = 5,1010-7

PFHd = tot = s + k = 1,5110-6

SIL 1
Ora devo fare il controllo sullarchitettura

54

Ing. Gianfranco Ceresini

Calcolo del SFF del dispositivo di interblocco

s
=4
d

SFF =

s
+ DC
d
=
s
+ 1
d

4 +

0
= 0,80

4 + 1

Ing. Gianfranco Ceresini

Calcolo del SFF del contattore

s 35
=
= 0,53
d 65

SFF =

s
+ DC
0,53 + 0
d
=
s
+ 1
0,53 + 1
d

= 0,34

55

Ing. Gianfranco Ceresini

Vincolo architetturale

Per via del singolo dispositivo, sia per I che per O abbiamo HFT = 0

Contattore
SFF = 34,6 %

Dispositivo
interblocco
SFF = 80 %

SILCL = SIL 1

(per leccezione 6.7.6.4)

Ing. Gianfranco Ceresini

Esempio architettura D

Feedback loop

PFHsub1 = (1 )2 {[ De1 * De2 * (DC1 + DC2)] * T2/2 +


[ De1 * De2 * (2 - DC1 - DC2) ] * T1/2 } + *
( De1 + De2 )/2 * 1h

56

Ing. Gianfranco Ceresini

Esempio architettura D

Risultato ?
SIL 2
PFHd = 1,1610-7
Feedback loop

T1
T2
DC

MTTF
1/h
(%/100)
anni
giorni
(%/100)

S1
S2
228
100
5,01E-07 1,142E-06
0,05
20,00
0,168
0,99
0,99

PFHd = 4,210-8

SIL 3
PFHd = 2,2610-8

T1
T2
DC

MTTF
1/h
(%/100)
anni
giorni
(%/100)

S1
S2
114
114
1E-06 1,001E-06
0,05
20,00
0,168
0,99
0,99

PFHd = 5,1710-8

Ing. Gianfranco Ceresini

Vincolo architetturale
Per via dei dispositivi ridondanti, sia per I che per O abbiamo
HFT = 1

57

Ing. Gianfranco Ceresini

Esempio di collegamento serie

Risultato ?

Feedback loop

SIL 2
PFHd = 2,0510-7

T1
T2
DC

MTTF
1/h
(%/100)
anni
giorni
(%/100)

S1
S2
228
100
5,01E-07 1,142E-06
0,05
20,00
0,168
0,00
0,00

SIL 3
PFHd = 2,2610-8

PFHd = 1,3110-7

T1
T2
DC

MTTF
1/h
(%/100)
anni
giorni
(%/100)

S1
S2
114
114
1E-06 1,001E-06
0,05
20,00
0,168
0,99
0,99

PFHd = 5,1710-8

Ing. Gianfranco Ceresini

Calcolo del SFF del dispositivo di interblocco

s
=4
d

SFF =

s
+ DC
d
=
s
+ 1
d

4 +

0
= 0,80

4 + 1

58

Ing. Gianfranco Ceresini

Vincolo architetturale

Ing. Gianfranco Ceresini

Esempio architettura D

Elettrovalvola
monitorata

Risultato ?
SIL 3
PFHd = 7,4410-8

Elettrovalvola normale

T1
T2
DC

MTTF
1/h
(%/100)
anni
giorni
(%/100)

S1
S2
228
100
5,01E-07 1,142E-06
0,05
20,00
0,168
0,99
0,99

PFHd = 4,210-8

SIL 3
PFHd = 2,2610-8

T1
T2
DC

MTTF
1/h
(%/100)
anni
giorni
(%/100)

S1
S2
2000
400
5,71E-08 2,854E-07
0,05
20,00
0,168
0,99
0,00

PFHd = 9,8610-9

59

Ing. Gianfranco Ceresini

Calcolo del SFF dellelettrovalvola

s 70
=
= 2,33
d 30
= 0,74

Ing. Gianfranco Ceresini

Vincolo architetturale
Per via dei dispositivi ridondanti, sia per I che per O
abbiamo HFT = 1

Elettrovalvole
SFF = 74 %

SILCL = SIL 2

60

Ing. Gianfranco Ceresini

Software per la sicurezza funzionale

A causa della complessit di calcolo previsto dalle due norme, possibile


lutilizzo di software per velocizzare il procedimento di calcolo

SISTEMA SW dellIstituto per la salute e la sicurezza sul lavoro tedesco: il


software gratuito, ma per il momento solo in lingua inglese, tedesca e francese
e permette lanalisi solo con la norma EN 13849-1

http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp
Pascal SW della ditta Pilz: il software a pagamento, ma in anche lingua
italiana e permette lanalisi sia con la norma EN 13849-1 che con la norma EN
62061

http://www.pilz.it/products/software/tools/f/pascal/index.it.jsp

61