UNI EN ISO 13849-1: i circuiti
di comando e la sicurezza
sulle macchine
Angelo Maggioni
Quadra S.r.l.
www.quadrasrl.net
1
Allegato I, Direttiva 2006/42/CE
Sicurezza ed affidabilità dei sistemi di comando (§1.2.1)
• I sistemi di comando devono essere progettati e costruiti in modo da
evitare l'insorgere di situazioni pericolose. In ogni caso essi devono
essere progettati e costruiti in modo tale che:
– resistano alle previste sollecitazioni di servizio e agli influssi esterni,
– un'avaria nell'hardware o nel software del sistema di comando
non crei situazioni pericolose,
– errori della logica del sistema di comando non creino situazioni
pericolose,
– errori umani ragionevolmente prevedibili nelle manovre non creino
situazioni pericolose.
2
Proroga norma UNI EN 954-1:1998
• Con la “Comunicazione della Commissione
nell’ambito dell’applicazione della direttiva
2006/42/CE del Parlamento europeo e del
Consiglio, relativa alle macchine e che modifica la
direttiva 95/16/CE (rifusione) 2009/C 321/09”,
pubblicata sulla Gazzetta ufficiale dell’Unione
europea C 321 del 29/12/2009, è stata prolungata
la data di cessazione della presunzione di
conformità della norma UNI EN 954-1:1998
(inizialmente prevista per il 28/12/2009) al
31/12/2011.
3
Norme armonizzate
• UNI EN ISO 13849-1 (2008):
Sicurezza del macchinario. Parti dei
sistemi di comando legate alla
sicurezza. Parte 1: principi generali
per la progettazione.
• CEI EN 62061 (2005): Sicurezza del
macchinario. Sicurezza funzionale dei
sistemi di comando e controllo
elettrici, elettronici ed elettronici
programmabili correlati alla sicurezza.
PL
SIL
4
Applicazione raccomandata delle norme
CEI EN 62061 & UNI EN ISO 13849-1
5
Definizioni
UNI EN ISO 13849-1
•
•
•
•
Parte del sistema di comando correlata alla sicurezza – SRP/CS (Safety
Related part of Control System)
– Parte di un sistema di comando che risponde a segnali di ingresso legati
alla sicurezza e genera dei corrispondenti segnali di uscita legati alla
sicurezza
Guasto pericoloso (Dangerous failure)
– Guasto che può potenzialmente portare la SRP/CS in uno stato
pericoloso o non in grado di effettuare la sua funzione.
Livello di prestazione – PL (Performance Level)
– Livello discreto usato per specificare l’abilità di un sistema di comando
legato alla sicurezza di effettuare una funzione di sicurezza in
determinate condizioni
Livello di prestazione richiesto – PLr (required Performance Level)
– Livello di prestazione (PL) applicato in modo da raggiungere i requisiti
richiesti per quanto riguarda la riduzione dei rischi
6
Processo iterativo
per la progettazione
della SRP/CS
UNI EN ISO 13849-1
7
Misure protettive per la riduzione del rischio
UNI EN ISO 13849-1
• Le misure protettive per la riduzione del rischio che
dovrebbero essere applicate sono:
– riduzione della probabilità di guasti a livello dei
componenti; lo scopo è quello di ridurre la probabilità di
guasti che possano compromettere le funzioni di sicurezza;
ciò può essere fatto aumentando l’affidabilità dei
componenti, per esempio con la selezione di componenti
testati o progettati secondo metodologie comprovate in
modo da ridurre o escludere guasti critici
– miglioramento della struttura della SRP/CS; lo scopo è
quello di evitare gli effetti pericolosi di un guasto; per questo
scopo può essere utile l’utilizzo di una struttura
ridondante e/o monitorata
• Entrambe queste soluzioni possono essere applicate
singolarmente o in modo combinato
8
Funzioni di sicurezza
UNI EN ISO 13849-1 – §5
9
PL richiesto (PLr)
• Per ogni funzione di sicurezza che deve essere svolta da una
SRP/CS, si deve determinare e documentare un livello di
prestazione richiesto (PLr). La determinazione del PLr è il
risultato della valutazione dei rischi e si riferisce all’entità della
riduzione del rischio a carico delle parti del sistema di comando
legate alla sicurezza.
• Quanto maggiore è l’entità della riduzione del rischio richiesta da
parte della SRP/CS, tanto più elevato deve essere il PLr.
• La valutazione del rischio prende in considerazione una
situazione precedente alla messa in atto della funzione di
sicurezza prevista; la riduzione del rischio mediante altre misure
tecniche indipendenti dal sistema di comando (per esempio
ripari fissi) o funzioni di sicurezza aggiuntive, può essere
considerata nella determinazione del PLr.
10
Grafico per la determinazione del PLr per la funzione di
sicurezza
UNI EN ISO 13849-1 – Allegato A
11
Stima del PL
UNI EN ISO 13849-1
• Il PL della SRP/CS deve essere determinato stimando i
seguenti aspetti:
– MTTFd di ciascun componente [appendici C e D];
– DC (copertura diagnostica) [appendice E];
– architettura e comportamento della funzione di sicurezza in
condizioni di avaria [punto 6];
– CCF (guasti di causa comune) [appendice F];
– software legato alla sicurezza [punto 4.6 e appendice J];
– guasti sistematici [appendice G];
– capacità di eseguire la funzione di sicurezza nelle
condizioni ambientali previste.
12
Tempo medio ad un guasto pericoloso (MTTFd)
UNI EN ISO 13849-1
• Il valore del MTTFd per ogni canale è espresso in tre livelli
(vedi tabella); dovrebbero essere tenuti in considerazione
i valori di ogni canale preso singolarmente (ad esempio
singolo canale oppure ogni canale di un sistema
ridondante).
• Per il MTTFd, viene preso in considerazione un tempo
massimo di 100 anni.
13
Tempo medio ad un guasto pericoloso (MTTFd)
UNI EN ISO 13849-1
• Per la stima del MTTFd di un componente, si possono utilizzare,
nell’ordine dato, i seguenti criteri:
– utilizzare i dati forniti dal costruttore;
– utilizzare i metodi esposti in allegato C ed in allegato D;
– scegliere un tempo di 10 anni.
14
Norme che trattano MTTFd o B10d dei componenti
UNI EN ISO 13849-1 – Allegato C - Paragrafo C.2
15
Calcolo e valutazione del MTTFd
UNI EN ISO 13849-1 – Allegato C – Paragrafo C.4
• Per i componenti pneumatici, meccanici ed elettromeccanici, il
parametro B10d è il numero di cicli in cui il 10% dei componenti si
guasta pericolosamente
B10d dove nop è il numero di operazioni all’anno
MTTFd 
0,1 nop
• Il tempo medio entro il quale il 10% dei componenti pneumatici,
meccanici ed elettromeccanici si guasta pericolosamente è dato da
T10d
B10d

nop
• La relazione con il tempo medio al guasto pericoloso è la seguente
T10d
MTTFd 
 T10d  10
0,1
16
Metodo semplificato per la stima del MTTFd per ogni
canale
UNI EN ISO 13849-1 – Allegato D
• Il valore di MTTFd di tutti i singoli componenti che compongono un
canale sono usati nel calcolo
• MTTFd è quello complessivo dell’intero canale
• MTTFdi, MTTFdj è il MTTFd di ogni componente che ha un ruolo
nell’esecuzione della funzione di sicurezza
• La prima somma è quella in cui i componenti hanno valori di
MTTFdi diversi tra di loro; la seconda è quella in cui gli nj
componenti hanno MTTFdj identici
17
Metodo semplificato per la stima del MTTFd per ogni
canale
UNI EN ISO 13849-1 – Allegato D
•
MTTFd per diversi canali, simmetrizzazione del MTTFd per ogni canale
– In una SRP/CS ridondante, se il valore del MTTFd è lo stesso per ogni canale
il valore complessivo è il medesimo di quello dei canali.
– Se il MTTFd dei canali differisce, ci sono due possibilità:
•
•
deve essere utilizzato il valore più basso come assunzione del caso peggiore;
la seguente equazione può essere usata per stimare il valore di MTTFd
assumibile per ogni canale:
dove MTTFd C1 e MTTFd C2 sono i due valori dei canali ridondanti
18
Copertura diagnostica (DC)
UNI EN ISO 13849-1
• Il valore di DC viene espresso in quattro livelli (vedi tabella)
• Per la stima di DC, nella maggior parte dei casi la failure mode and
effects analysis (FMEA) o metodi simili possono essere utili. In
questo caso tutti i guasti rilevanti o i modi di guasto possono essere
considerati.
• In alternativa, è possibile utilizzare il metodo semplificato, sottoforma
di tabella, riportato in Allegato E.
19
Criteri di stima della copertura diagnostica media
UNI EN ISO 13849-1 – Allegato E
20
Requisiti per le categorie
UNI EN ISO 13849-1
Categoria
Riassunto dei requisiti
B
Le parti legate alla sicurezza dei
sistemi di comando e/o delle
loro attrezzature di protezione e
dei loro componenti devono
essere progettate, costruite,
scelte, montate e combinate in
conformità alle relative norme in
modo che possano resistere alle
influenze previste.
Devono essere usati princìpi di
sicurezza basilari.
1
Si devono applicare i requisiti
della categoria B.
Devono essere usati
componenti e princìpi di
sicurezza ben collaudati.
Comportamento
del sistema
Princìpi per
ottenere la
sicurezza
MTTFd
di ogni
canale
DCavg
CCF
Il verificarsi di un
guasto può portare
alla perdita della
funzione di
sicurezza.
Essenzialmente
caratterizzati
dalla scelta dei
componenti
Da
basso a
medio
Nessuna
Non
rilevante
Alto
Nessuna
Non
rilevante
Il verificarsi di un
guasto può portare
alla perdita della
funzione di
sicurezza, ma la
probabilità che si
verifichi è minore di
quella della
categoria B.
Essenzialmente
caratterizzati
dalla scelta dei
componenti
21
Requisiti per le categorie
UNI EN ISO 13849-1
Categoria
2
Riassunto dei requisiti
Comportamento
del sistema
Princìpi per
ottenere la
sicurezza
MTTFd
di ogni
canale
DCavg
CCF
Si devono applicare i requisiti
della categoria B e l’uso di
princìpi di sicurezza ben
collaudati.
La funzione di sicurezza deve
essere verificata ad opportuni
intervalli dal sistema di controllo
della macchina.
Il verificarsi di un
guasto può portare
alla perdita della
funzione di
sicurezza
nell’intervallo tra le
due verifiche.
La perdita della
funzione di
sicurezza viene
rilevata dalla
verifica.
Essenzialmente
caratterizzati
dalla struttura
Da
basso a
alto
Da
bassa a
media
Rilevante
22
Requisiti per le categorie
UNI EN ISO 13849-1
Categoria
Riassunto dei requisiti
Comportamento
del sistema
3
Si devono applicare i requisiti
della categoria B e l’uso di
princìpi di sicurezza ben
collaudati.
Le parti legate alla sicurezza
devono essere progettate in
modo che un singolo guasto in
una qualsiasi di queste parti non
porti ad una perdita della
funzione di sicurezza e
ogniqualvolta sia
ragionevolmente possibile il
singolo guasto venga rilevato.
Quando si verifica il
singolo guasto la
funzione di
sicurezza viene
sempre assicurata.
Vengono rilevati
alcuni ma non tutti i
guasti. L'accumulo
di guasti non
rilevati può portare
alla perdita della
funzione di
sicurezza.
Princìpi per
ottenere la
sicurezza
MTTFd
di ogni
canale
DCavg
CCF
Essenzialmente
caratterizzati
dalla struttura
Da
basso a
alto
Da
bassa a
media
Rilevante
23
Requisiti per le categorie
UNI EN ISO 13849-1
Categoria
Riassunto dei requisiti
Comportamento del
sistema
Princìpi per
ottenere la
sicurezza
4
Si devono applicare i
requisiti della categoria B
e l’uso di princìpi di
sicurezza ben collaudati.
Le parti legate alla
sicurezza devono essere
progettate in modo che
un singolo guasto in una
qualsiasi di queste parti
non porti ad una perdita
della funzione di
sicurezza e il singolo
guasto venga rilevato in
corrispondenza o prima
della successiva richiesta
della funzione di
sicurezza.
Se ciò non è possibile, un
accumulo di guasti non
deve portare alla perdita
della funzione di
sicurezza.
Quando si verifica il
singolo guasto la
funzione di sicurezza
viene sempre
assicurata.
Il rilevamento di
guasti accumulati
riduce la probabilità
di perdita della
funzione di sicurezza
(DC alta).
I guasti vengono
rilevati in tempo per
evitare la perdita
della funzione di
sicurezza.
Essenzialmente
caratterizzati
dalla struttura
MTTFd
di ogni
canale
DCavg
CCF
Alto
Alta
(compreso
l’accumulo dei
guasti)
Rilevante
24
Procedura semplificata per la stima del PL
•
•
•
•
•
UNI EN ISO 13849-1
Per una stima più semplice del PL possono essere fatte le seguenti assunzioni
se l’architettura utilizzata rientra in quelle riportate al §6.2 della norma UNI EN
ISO 13849-1:
– un tempo di utilizzo di 20 anni;
– un tasso di guasto costante per tutto il periodo di utilizzo;
– per una categoria 2, un rapporto rd ≤ 1/100 rt;
– per una categoria 2 un MTTFd,TE maggiore della metà del MTTFd,L.
 MTTFd,TE = MTTFd del componente che esegue il test per la rilevazione
dei guasti
 MTTFd,L = MTTFd del componente che esegue le funzioni della SRP/CS
Il PL di ogni SRP/CS dipende dall’architettura, dal MTTFd per ogni canale e dal
DCavg.
Nel caso di architetture con PLr da a a c, le misure per evitare i guasti possono
essere sufficienti; per applicazioni con rischi maggiori, PLr da d a e, la struttura
della SRP/CS deve prevedere misure per evitare, individuare e tollerare i
guasti.
Misure pratiche includono la ridondanza, la diversità e il monitoraggio.
Per le categorie 2, 3 e 4, devono essere previste sufficienti misure per la
riduzione dei guasti di causa comune (CCF).
25
Stima numerica del PL
UNI EN ISO 13849-1 – Allegato K
26
Stima numerica del PL
UNI EN ISO 13849-1 – Allegato K
27
Procedura semplificata per la stima del PL
UNI EN ISO 13849-1
MTTFd
basso
MTTFd
medio
MTTFd
alto
28
Esempio di calcolo – Riparo mobile
interbloccato
•
•
•
•
•
Funzione di sicurezza: arresto del
funzionamento del motore all’apertura di un
riparo mobile
Il riparo è interbloccato per mezzo di due
microinterruttori (B1 e B2) il cui segnale viene
portato in ingresso ad un modulo di sicurezza
(K1)
La concordanza dei sensori di ingresso viene
monitorata dal modulo di sicurezza che in
questo modo rileva eventuali guasti dei
sensori
I teleruttori (Q1 e Q2) tolgono l’alimentazione
al motore; i contattori vengono monitorati
inserendo contatti nel circuito di ripristino del
modulo di sicurezza
Il guasto di un singolo componente non
comporta la perdita della funzione di sicurezza
29
Dati forniti dal costruttore
• Il modulo di sicurezza viene dichiarato dal costruttore conforme alla
categoria 4, PL e (oppure SIL 3) e PFHD,K1=2,3110-9
• B10d,B1= 1.000.000 cicli
• B10d,B2= 500.000 cicli
• nop= 35.040 (365 giorni, 24 ore/giorno, top=900 s)
• B10d,Q1=B10d,Q2=2.000.000 cicli
• Q1 e Q2 sono teleruttori a contatti legati
30
Calcoli
UNI EN ISO 13849-1
•
•
•
•
MTTFd,Q1= 570,77 anni
MTTFd,Q2= 570,77 anni
MTTFd,B1= 285,38 anni
MTTFd,B2= 142,69 anni
•
•
•
•
T10d,Q1= 57 anni
T10d,Q2= 57 anni
T10d,B1= 28,5 anni
T10d,B2= 14,2 anni (componente da sostituire prima del mission time)
31
Calcoli
UNI EN ISO 13849-1
• DCB1 = DCB2 = 99% controllo della concordanza dei segnali in ingresso
32
Calcoli
UNI EN ISO 13849-1
• DCQ1 = DCQ2 = 99% monitoraggio diretto da parte del modulo di
sicurezza grazie alla retroazione ed ai contatti legati
33
Calcolo sottosistemi
UNI EN ISO 13849-1
•
Sottosistema 1 (sensori B1 e B2)
– Si applica la limitazione dei canali a 100 anni
– MTTFd = 100 anni (alto)
– DC = 99% (alta)
– Categoria 4
– PL = e PFHD = 2,4710-8
34
Calcolo sottosistemi
•
UNI EN ISO 13849-1
Sottosistema 3 (contattori Q1 e Q2)
– Si applica la limitazione dei canali a 100 anni
– MTTFd = 100 anni (alto)
– DC = 99% (alta)
– Categoria 4
– PL = e PFHD = 2,4710-8
35
Risultato finale
UNI EN ISO 13849-1
• Per ottenere il valore finale si sommano i valori di PFHD dei
singoli sottosistemi
• PFHD,totale= PFHD,B1//B2+PFHD,K1+PFHD,Q1//Q2 =
= (2,47 + 0,231 + 2,47)10-8 = 5,17110-8  PL = e
36
Esclusione di guasti
UNI EN ISO 13849-1
• Non è sempre possibile valutare gli SRP/CS senza escludere
determinati guasti. Per l’esclusione dei guasti fare riferimento alla
norma UNI EN ISO 13849-2.
• La norma UNI EN ISO 13849-2 riporta un elenco dei guasti che è
possibile escludere suddivisi a seconda della tecnologia (meccanica,
pneumatica, idraulica ed elettrica).
• L’esclusione di guasti è un compromesso tra i requisiti di sicurezza e la
teorica possibilità di accadimento di un guasto.
• L’esclusione di un guasto può essere basata su:
– improbabilità tecnica di avere un certo tipo di guasto,
– esperienza tecnica comunemente accettata, indipendente da un
particolare tipo di applicazione,
– requisiti tecnici relativi all’applicazione e a specifici rischi.
37
Esclusione di guasti
ISO/TR 23849:2010
• Non è opportuno che il raggiungimento di un PL pari ad “e” sia
basato unicamente sull’esclusione di guasti (ISO/TR
23849:2010); in generale, è necessario essere sempre più critici
sulla possibilità di escludere un guasto al crescere del livello di
prestazione richiesto.
• In generale, l’esclusione dei guasti non dovrebbe essere
applicabile agli aspetti meccanici dei microinterruttori di
interblocco e degli interruttori azionati manualmente (ad es.
comando di arresto di emergenza).
• Le esclusioni dei guasti permesse per i guasti di tipo meccanico
sono descritti dalla norma UNI EN ISO 13849-2.
38
Esempio – Riparo mobile interbloccato
•
Funzione di sicurezza: arresto del funzionamento del motore all’apertura di
un riparo mobile interbloccato con un microinterruttore a spinetta
39
Esempio – Riparo mobile interbloccato



Il riparo è interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti
(B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza.
Non escludendo il guasto di tipo meccanico (ad esempio allentamento
della camme) del microinterruttore, la SRP/CS nel suo complesso è in
categoria 1.
Eseguendo gli opportuni calcoli, si ottiene:
PFHd,totale= 1,1710-6  PL = c
40
Esempio – Riparo mobile interbloccato



Il riparo è interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti
(B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza.
Escludendo il guasto di tipo meccanico del microinterruttore, la SRP/CS
nel suo complesso è in categoria 4.
Eseguendo gli opportuni calcoli, si ottiene:
PFHd,totale= 5,17110-8  PL = e
41