Le nuove norme
EN ISO 13849-1:2006 e
CEI EN 62061:2005
Analisi ed applicazione pratica di
calcolo sulle macchine utensili.
Centro Congressi Borgo della Quercia
10 Aprile 2008
Relatore: Ing. E. Moroni
I.C.E.P.I S.p.A - Organismo Notificato n.0066
Via P. Belizzi 31 -29100 Piacenza
1
Istituto Certificazione Europea Prodotti Industriali
UNI EN 954954-1:1998
Parti dei sistemi di comando delle macchine a
cui sono assegnate funzioni di sicurezza.
Comportamento in caso di guasto di una parte
di un sistema di comando legata alla sicurezza
(SRP/CS) classificato in 5 categorie:
B, 1, 2, 3, 4.
Si applica a tutte le parti dei sistemi di
comando legate alla sicurezza,
indipendentemente dal tipo di energia utilizzata
(elettrica, idraulica, pneumatica, meccanica).
10/04/08
2
Istituto Certificazione Europea Prodotti Industriali
Funzione di sicurezza
1: Funzione di sicurezza
2, 3: Mezzi di attivazione, Attuatori
4,5,6: Ingresso, Elaborazione, Uscita
10/04/08
3
Istituto Certificazione Europea Prodotti Industriali
Categoria
Classificazione di SRP/CS in relazione a:
resistenza ai guasti e
conseguente comportamento in condizioni
di guasto.
Metodo deterministico ottenuto mediante la
disposizione strutturale delle parti e/o la loro
affidabilità.
10/04/08
4
Istituto Certificazione Europea Prodotti Industriali
Esempio di funzione di sicurezza
10/04/08
5
Istituto Certificazione Europea Prodotti Industriali
Processo di riduzione del rischio
R1 = riduzione del
rischio con misure
diverse da parti
del sistema di
comando
R2 = riduzione del
rischio con
funzioni di
sicurezza di parti
del sistema di
comando
Rischio prima di
applicare le misure
protettive
Riduzione
reale del
rischio
R2a
R1a
Soluzione a
R2b
R1b
Soluzione b
accettabile
10/04/08
Riduzione del rischio richiesta
Non accettabile
RISCHIO
6
Istituto Certificazione Europea Prodotti Industriali
UNI EN 954-1 All. B Stima del rischio
Processo qualitativo.
Fornisce solo una
stima del rischio.
La(le) categoria(e)
preferita(e) è(sono)
indicata(e) da un
cerchio grande
pieno.
10/04/08
7
Istituto Certificazione Europea Prodotti Industriali
Considerazioni sulle categorie
CR 954954-100:1999 Guida a EN 954954-1
Le categorie 1, 2, 3 e 4 sono migliori della
categoria B.
Nelle categorie B, 1 e 2 un singolo guasto può
portare alla perdita della funzione di sicurezza.
Nelle categorie 3 e 4 un singolo guasto NON
può portare alla perdita della funzione di
sicurezza.
La categoria 4 ha la prestazione migliore circa
la resistenza ai guasti.
10/04/08
8
Istituto Certificazione Europea Prodotti Industriali
UNI EN ISO 1384913849-1:2007
Parti del sistema di comando legate alla
sicurezza- Parte 1: Principi generali per la
progettazione
Sostituisce la norma UNI EN 954-1:1998
2006 Novembre - EN ISO 13849-1
2007 Febbraio - UNI EN ISO 13849-1
2009 Novembre – Scade periodo transitorio
10/04/08
9
Istituto Certificazione Europea Prodotti Industriali
Livello di Prestazione (PL)
Indica l’abilità di un circuito nello svolgere una
funzione di sicurezza.
Probabilità media di guasto pericoloso per ora.
Rischio
basso
10/04/08
Rischio
elevato
10
Istituto Certificazione Europea Prodotti Industriali
Determinazione di PL
Partenza
Funzione di sicurezza
Identificazione delle parti che
svolgono la funzione di sicurezza
Stima del Livello di
Prestazione
10/04/08
Passo 1:
• Identificazione di ogni
funzione di sicurezza
• Individuazione del PLr
tramite grafico di rischio
Passo 2:
Identificazione dei
componenti per ogni
funzione di sicurezza
Passo 3:
Quantificazione di Categoria,
DC e MTTFd (CCF).
11
Istituto Certificazione Europea Prodotti Industriali
Grafico di rischio per determinare PLr
richiesto”” per una
PLr = “PL richiesto
determinata funzione di sicurezza
Basso
rischio
Punto di
partenza
Parametri di rischio
S = Gravità della lesione
S1 = lieve (normalmente reversibile)
S2 = grave (normalmente irreversibile) inclusa la morte
F = Frequenza e\o tempo di esposizione al pericolo
F1 = Da raramente ad abbastanza spesso e\o tempo di esposizione breve
F2 = Da frequente a continuo e\o tempo di esposizione lungo
P= Possibilità di evitare il pericolo
P1 = Possibile in determinate condizioni
P2 = Scarsamente possibile
10/04/08
Rischio alto
12
Istituto Certificazione Europea Prodotti Industriali
Es. prEN 422 Sicurezza soffiatrici
5.3.1 Area of movement of the moulds
The access to the area of movement of the
moulds shall be prevented by type movable
guards .... The required performance level PLr
of the guard interlocking … shall be:
10/04/08
PLr d for automatic machines;
PLr e for semiautomatic machines
13
Istituto Certificazione Europea Prodotti Industriali
Es. prEN 422 Sic. soffiatrici
PLr per macchine automatiche
PLr = d
10/04/08
14
Istituto Certificazione Europea Prodotti Industriali
Es. prEN 422 Sic. soffiatrici
PLr per macchine semiautomatiche
PLr = e
10/04/08
15
Istituto Certificazione Europea Prodotti Industriali
Nuovi parametri per le categorie
MTTFd (Mean Time To dangerous Failure)
Failure)
Tempo medio al guasto pericoloso.
Per tutte le categorie.
DC (Diagnostic
(Diagnostic Coverage)
Coverage)
Copertura Diagnostica.
Per le categorie 2, 3 e 4.
CCF (Common Cause Failure)
Failure)
10/04/08
Guasto di causa comune.
Per le categorie 2, 3 e 4.
16
Istituto Certificazione Europea Prodotti Industriali
Tempo medio al guasto pericoloso MTTFd
Valor medio del tempo operativo di un singolo canale
senza guasti pericolosi.
Indicazione di
MMTFd
Valori espressi in anni
Basso
3 ≤ MTTFd < 10
Medio
10 ≤ MTTFd < 30
Alto
30 ≤ MTTFd ≤ 100
Non è il minimo periodo di vita garantito.
E’ il tempo medio di vita “previsto” fino al primo guasto
pericoloso.
10/04/08
17
Istituto Certificazione Europea Prodotti Industriali
Curva di “Guasto dei sistemi”
sistemi”
Se il tasso di guasto
λ costante dopo un
periodo di “burn-in” e
prima del “wear-out”:
MTTF = 1/λ
Curva di
“Inaffidabilità”: 1- e-λt
Con MTTFd = 3 anni:
10/04/08
dopo 3 anni ci si
aspetta che il 63%
dei sistemi sia
guasto
dopo 10 anni il 96%
18
Istituto Certificazione Europea Prodotti Industriali
Determinazione di MTTFd
Per la determinazione di valori di MTTFd deve
essere adottata la seguente procedura
nell’ordine:
1. Uso dei dati forniti dai costruttori
2. Uso dei dati riportati
nell’allegato C della norma
Se vengono rispettate
le buone pratiche
di ingegneria
3. Fissare MTTFd=10 anni
10/04/08
19
Istituto Certificazione Europea Prodotti Industriali
EN ISO 13849 -1: Tabella C1
Con il 20% del carico ho un aumento di 50 volte
(=1/0.02) del valore di B10d
10/04/08
20
Istituto Certificazione Europea Prodotti Industriali
Tabelle da C.2
C.2 a C.7
C.7 della EN ISO 1384913849-1
tratte dalla serie SN29500
10/04/08
21
B10d = Numero medio di cicli
fino a che il 10 % dei
componenti si guasta in
modo pericoloso
= Tempo in anni per
cui il 10% dei
componenti è guasto
% guasti
pericolosi
10
nop = numero medio di
TT
Fd
=
operazioni all’anno
M
Istituto Certificazione Europea Prodotti Industriali
B10d: Cicli di guasto -T10d: Tempo di guasto
M
=3
d
F
TT
0
hop = ore operative al giorno
dop = giorni operativi all’anno
0
d = 10
F
T
T
M
tcycle= Secondi tra due cicli
successivi
T10d = 1 T10d = 3
Tempo in anni
10/04/08
22
Istituto Certificazione Europea Prodotti Industriali
Esempio di calcolo di MTTFd da B10d
B10d = 60 milioni di cicli;
dop= 220 giorni all’anno;hop= 16 h al giorno; tcycle= 5 s
per ciclo;
Da cui si ricava:
6
nop= 2,53 x 10 cicli all’anno
MTTFd= 237 anni
Giorni operativi= 220; Ore operative = 16
Tempo ciclo =
10/04/08
1h
10 m
10 s
Relè a pieno carico
1136
189
3
Relè a carico ridotto
56818
9470
157
23
Istituto Certificazione Europea Prodotti Industriali
Metodo semplificato per la stima di MTTFd
Conto dei componenti
10/04/08
~
N
nj
1
1
=∑
=∑
MTTFd i =1 MTTFd ,i j =1 MTTFd , j
N
24
Istituto Certificazione Europea Prodotti Industriali
MTTFd per differenti canali
Le architetture designate considerano MTTFd identico
per entrambi i canali. Se MTTFd dei canali è diverso:
Utilizzare il valore minore, oppure
Utilizzare la seguente formula di “simmetrizzazione”




2
1

MTTFd = MTTFd ,C1 + MTTFd ,C 2 −
1
1
3

+


MTTF
MTTF
d ,C1
d ,C 2 

MTTFd,C1 e MTTFd,C2 sono i valori per due differenti canali
Esempio: un canale ha MTTFd,C1 = 3 anni e l’altro MTTFd,C2 = 100 anni.
Dalla formula si trova MTTFd simmetrizzato = 66 anni.
10/04/08
25
Istituto Certificazione Europea Prodotti Industriali
Copertura Diagnostica - DC
Frazione del tasso
dei guasti pericolosi
individuati λDD sul
tasso totale di tutti i
guasti pericolosi
λtotal:
10/04/08
Definizione
di DC
Valori di DC
Nessuna
DC < 60%
Bassa
60% ≤ DC < 90%
Media
90% ≤ DC < 99%
Alta
99% ≤ DC
26
Istituto Certificazione Europea Prodotti Industriali
Stima della Copertura Diagnostica DC
Uso di FMECA
Approccio semplificato (allegato E)
Misura
Ingressi / Uscite
Verifica di plausibilità (es. contatti legati)
Monitoraggio incrociato
Monitoraggio incrociato con test dinamico
Elaborazione logica
Monitoraggio temporale (WD)
Monitoraggio temporale (WD) e logico (plausibilità)
RAM “walking bit”
RAM “galpat”
10/04/08
DC
Alto
Funzione della
applicazione
Alto
Basso
Medio
Basso
Alto
27
Istituto Certificazione Europea Prodotti Industriali
Calcolo di DC per il sistema
Per la valutazione del PL è necessario il
calcolo del valore medio di DCavg, pesato
tramite il fattore MTTFd delle singole parti.
Non più calcolo per singolo “Canale” come per
MTTFd.
10/04/08
28
Istituto Certificazione Europea Prodotti Industriali
Stima di CCF (β
β)
n.
Misura
Punteg
gio
1
Separazione / segregazione
Separazione fisica tra il percorso dei segnali
15
…
…
…
6
Ambiente
Prove di immunità EMC e purezza dei fluidi
25
Altre influenze ambientali come temperatura, urti,
vibrazioni, umidità
10
Totale
10/04/08
Max 100
Punteggio
β
≥ 65
Requisiti soddisfatti Buono (≤2%)
< 65
Non accettabile Basso (>2%)
29
Istituto Certificazione Europea Prodotti Industriali
Nuovi requisiti per le categorie
Cat
MTTFd
DC
CCF(β
CCF(β)
B
Basso - medio
Assente
Non rilevante
1
Alto
Assente
Non rilevante
2
Basso - alto
≤ 2%
3
Basso - alto
4
Alto
Basso medio
Basso medio
Alto
10/04/08
≤ 2%
≤ 2%
30
Istituto Certificazione Europea Prodotti Industriali
Relazione Categorie, MTTF, DC e PL
MTTFd low
MTTFd medium
MTTFd high
10/04/08
31
Istituto Certificazione Europea Prodotti Industriali
PL: Riferimenti dettagliati
Livelli intermedi per categorie 2, 3 e 4
Basso
Medio
Alto
Colonne riportate in fig. 5 EN ISO 13849-1
Categoria 2
10/04/08
Categoria 3
Cat. 4
32
Istituto Certificazione Europea Prodotti Industriali
PL: Procedura semplificata
Basso
Medio
Alto
10/04/08
33
Istituto Certificazione Europea Prodotti Industriali
PL: Valutazione numerica
10/04/08
34
Istituto Certificazione Europea Prodotti Industriali
Architetture designate
Funzioni di sicurezza semplici per le
macchine.
Dal punto di vista funzionale nel 90% dei
casi sono necessari un ingresso, una
logica e un uscita.
Sistema di tipo “shut-down” per
raggiungere lo stato di sicurezza.
10/04/08
35
Istituto Certificazione Europea Prodotti Industriali
Architetture per categorie B/1/2
Cat MTTFd
DC
B
Basso medio
Assente
1
2*
Alto
Assente
Basso alto
Basso medio
*Per categoria 2:
- frequenza di test ≥ 100 volte la richiesta della funzione di sicurezza
- MTTFd test > 0.5 MTTFd canale
10/04/08
36
Istituto Certificazione Europea Prodotti Industriali
Architetture per categoria 3/4
Cat MTTFd
DC
3
Basso alto
Basso medio
4
Alto
Alto
10/04/08
37
Istituto Certificazione Europea Prodotti Industriali
Esempio: interblocco riparo
Funzione di sicurezza: sconnessione motore
Individuazione di PLr
Gravità della lesione S = S2 alta
Frequenza e\o tempo di esposizione F = F1, rara
Possibilità di evitare il pericolo P = P1 buona
Dai dati si ottiene: PLr = c → categoria: 1, 2 o 3.
10/04/08
38
Istituto Certificazione Europea Prodotti Industriali
Circuito n.1
SW1A ad apertura forzata dei contatti
(EN 60947-5-1) ma non escludo
guasto
1/MTTFd = 1/MTTFSW1A + 1/MTTFK1A
= 1/ 20 + 1/50 = 0,07 quindi
MMTFd =1/0,07=14,3 anni (medio)
DC = 0; β = non rilevante.
Categoria
SW1A
K1A
Schema a blocchi
10/04/08
MTTFd medio non può essere
categoria 1 → categoria B
PL (Cat. B, MTTFd = medio)
PL = “b” < PLr = c
39
Istituto Certificazione Europea Prodotti Industriali
Influenza dei componenti
Sostituisco SW1A con componente più affidabile:
Nuovo MTTFSW1A=100 anni
MTTFd= 33 anni (alto)
PL = c rispetta PLr. → categoria 1
Nel caso in cui fosse possibile escludere il guasto
meccanico ed elettrico del finecorsa :
MTTFd = MTTFK1A = 50 anni (anni)
PL= c rispetta il PLr. → categoria 1
10/04/08
40
Istituto Certificazione Europea Prodotti Industriali
Circuito n.2
Canale 1
SW1B
SW2
K1B
PLC
CC
Canale 2
RS
test
Schema a blocchi
10/04/08
41
Istituto Certificazione Europea Prodotti Industriali
Circuito 2: stima di MTTFd e DC
CANALE 1
CANALE 2
Escludo guasto SW1A
MTTFK1B = 30 anni
MTTFd = 30 anni
MTTFSW2 =MTTFPLC =
MTTFCC = 20 anni
MTTFd,C2 = 6.7 anni
MTTFd = 20 anni (medio)
DCK1B = 99% (alto)
DCSW2 = 60% (basso)
DCPLC = 30% (basso)
DCCC = 90% (medio)
DC PLC
DCCC
DCSW 2
DCK 1B
+
+
+
MTTFSW 2 MTTFK 1B MTTFPLC MTTFCC
0.123
DCAV =
=
1
1
1
1
0.183
+
+
+
MTTFSW 2 MTTFK 1B MTTFPLC MTTFCC
10/04/08
= 67.1%
(basso)
42
Istituto Certificazione Europea Prodotti Industriali
Circuito 2: stima di β
n.
Oggetto
1
Separazione / segregazione
Separazione fisica tra il percorso dei segnali
2
Punteggio
Max
15
15
β = 80
20
20
β = buono
Diversità
Differenti tecnologie o Progettazione o principi (fisici) differenti
Es. pressione e posizione, digitale e analogico, componenti di diversi costruttori
3
Progettazione/applicazione/esperienza
3.1
Protezione contro sovratensioni, sovra-pressioni, ecc
-
15
3.2
Uso di componenti conosciuti
5
5
5
5
-
5
Prove di immunità ambientali EMC
25
10
Altre influenze, temperatura, urti, vibrazioni, umidità
10
10
Totale
80
100
4
Valutazione / analisi
Risultati dell’analisi dei guasti usati nella progettazione per evitare CCF
5
Competenza / formazione
Progettista consapevole delle cause e conseguenze di CCF
6
Ambiente
10/04/08
43
Istituto Certificazione Europea Prodotti Industriali
Circuito 2: categoria e PL
Categoria 3
Il circuito utilizza principi ben collaudati
Il singolo guasto in una qualsiasi parte non porta
alla perdita della funzione di sicurezza
Ogni qualvolta è possibile il singolo guasto viene
rilevato in corrispondenza o prima della successiva
richiesta della funzione di sicurezza
PL (Cat. 3, MTTFd = medio, DC = basso, β = buono)
PL corrisponde a “c” = PLr
10/04/08
44
Istituto Certificazione Europea Prodotti Industriali
Combinazione di parti con PL
assegnato: approccio semplificato
ESPE
PLC
Valvola
Categoria 2
Categoria 3
Categoria 1
PL= c
PL= d
PL= c
10/04/08
45
Istituto Certificazione Europea Prodotti Industriali
Combinazione di parti con PL
assegnato: approccio numerico
PLESPE= 2,23x10-6
PLPLC= 5,16x10-7
PLValvola=2,43x10-6
ESPE
PLC
Valvola
Categoria 2
Categoria 3
Categoria 1
PL= c
PL= d
PL= c
10/04/08
PLSistema=
2,23x10-6 + 5,16x10-7
+2,43x10-6
= 5,176x10-6
=b
46
Istituto Certificazione Europea Prodotti Industriali
Esempio calcolo PL – Categoria 2
Schema a blocchi
10/04/08
47
Istituto Certificazione Europea Prodotti Industriali
Esempio calcolo PL – cat.2
Funzione di sicurezza
Arresto dei movimenti pericolosi ed impedimento
alla partenza. EV 1V3 rappresenta un sottosistema
monitorato tramite PLC.
Funzionamento
10/04/08
Movimento controllato da 1V3.
Test di 1V3 tramite PLC K1 che verifica 1S3 ad
intervalli regolari.
In caso di guasto K1 taglia alimentazione a Q1 che
arresta motore 1M e quindi la pompa 1P.
48
Istituto Certificazione Europea Prodotti Industriali
Calcolo di MTTFd
MTTFd del canale funzionale = 100 anni
150 anni per 1V3 da tabella EN ISO 13849-1 (ridotto a
100 anni)
MTTFd per canale di test = 37.5 anni
1S3 = 150 anni; K1= 50 anni; Q1 = 83333 anni
(B10d=2.000.000 cicli con intervento di una volta al
giorno su 240 giorni)
Requisito di architetture designate impone che
MTTFd test sia maggiore di 0,5xMTTFd canale:
10/04/08
MTTFd canale declassato a 75 anni.
49
Istituto Certificazione Europea Prodotti Industriali
Calcolo di PL – Allegato K
Stima di DC
DC stimata per confronto indiretto
spazio/tempo di 1V3 tramite PLC
= 60%(basso).
CCF da tabella 85
(sufficiente)
Combinazione conforme
alla categoria 2 con:
MTTFd alto (75 anni)
DC basso (60%).
Usando allegato K:
PDF=7,31x10-7/ora. PL= d.
10/04/08
50
Istituto Certificazione Europea Prodotti Industriali
Esempio pressa idraulica
Movimento
discesa slitta
Ingressi
PLC
Uscite
B1
B2
K2
1V4 1V5
10/04/08
51
Istituto Certificazione Europea Prodotti Industriali
Esempio pressa idraulica
Schema a blocchi
10/04/08
52
Istituto Certificazione Europea Prodotti Industriali
Esempio pressa idraulica
Il modulo di sicurezza ha un PL di 2,31x10-9 dichiarato dal
fornitore.
La parte rimanente del circuito di comando può essere divisa in
due sotto-sistemi, ognuno dei quali è conforme ai requisiti della
categoria 4, di cui si calcola il PL.
Interblocco riparo
Contatto elettrico
Esclusione del guasto per il contatto elettrico di B1 perché è ad
apertura positiva. Per B2 B10d = 1000000
Parte meccanica B10d = 1000000 per B1 e B2.
Considerando intervento riparo ogni 10 minuti su due turni di lavoro
ognuno di otto ore per tutto l’anno:
per B1 MTTFd = 285 anni
per B2 MTTFd = 142 anni
Elettrovalvole
Per le EV prendiamo valori da norma MTTFd = 150 anni.
Entrambi i canali vengono limitati a 100 anni.
10/04/08
53
Istituto Certificazione Europea Prodotti Industriali
Esempio pressa idraulica
DC = 99% per B1 e B2 e per EV
CCF = 75
Separazione 15
Diversità 0
Protezione contro sovra tensione 15
Componenti ben collaudati 5
FMEA 5
Ambiente 25 + 10
Parametri OK per Cat. 4.
Allegato K1 di EN ISO 13849-1 PL sottosistemi
= 2,47x10-8
Totale PL = (2,47 + 0,231 + 2,47)x10-8 =
5,17x10-8 = e
10/04/08
54
Istituto Certificazione Europea Prodotti Industriali
Verifica del Software
SW incorporato
SW applicativo
10/04/08
55
Istituto Certificazione Europea Prodotti Industriali
Raccomandazione d’uso di
ISO 13849-1 e IEC 62061
10/04/08
56
Istituto Certificazione Europea Prodotti Industriali
Funzione densità di probabilità
La funzione densità di probabilità (dpf) lega i
valori di una variabile casuale con la
probabilità di ottenere uno specifico valore
(var. discreta) o range (var. continua).
+∞
Proprietà:
f (x)dx =1
f (x) ≥ 0
∫
−∞
Probabilità di ottenere un valore nel range da a
a b:
b
P(a ≤ x ≤ b) = ∫ f ( x)dx
a
10/04/08
57
Istituto Certificazione Europea Prodotti Industriali
Distribuzione tipica: Esponenziale
Distribuzione esponenziale
comunemente usata nel f(x)
campo della affidabilità
f ( x) = ke − kx per x ≥ 0;
= 0, per x < 0
Un componente ha la seguente pdf:
f (t ) = 0.0002e −0.0002t
x
Qual è la probabilità che si guasti dopo la garanzia (6 mesi, 4380
ore) e prima della manutenzione straordinaria dell’impianto (12 mesi,
8760 ore)?
8760
P(4380, 8760) =
∫ f (t )dt = 0.243
4380
10/04/08
58
Istituto Certificazione Europea Prodotti Industriali
Tasso di guasto λ(t)
λ(t) = numero di guasti per unità di tempo.
Unità di misura FIT = Guasti su miliardi (10-9)
di ore
10/04/08
59
Istituto Certificazione Europea Prodotti Industriali
Esempio di stima di λ per un relè
MIL-HBK 217F. Military Handbook - Reliability
Prediction of Electronic Equipment. Department of
Defence. Washington DC. 1991.
λb = Base failure rate
πL=Load stress factor
πC=Complexity of configuration factor
πCYC=Cycling factor
πF=Form factor
πQ=Quality factor
πE=Environment factor
10/04/08
60
Istituto Certificazione Europea Prodotti Industriali
Esempio di stima di λ per un relè
10/04/08
61
Istituto Certificazione Europea Prodotti Industriali
Esempio di stima di λ per un relè
10/04/08
62
Istituto Certificazione Europea Prodotti Industriali
Esempio di stima di λ per un relè
10/04/08
63
Istituto Certificazione Europea Prodotti Industriali
Esempio di stima di λ per un relè
10/04/08
64
Istituto Certificazione Europea Prodotti Industriali
MTTF - MTBF – MTTR – MDT – MUT
Se il tasso di guasto λ è costante: MTTF=1/ λ
MTBF (Mean Time Between Filure)
Tempo medio tra due guasti di un sistema che viene riparato.
MTTR (Mean Time To Repair)
Tempo medio per riparare il sistema
MDT (Mean Down Time)
Durata media di indisponibilità del sistema
MUT (Mean Up Time)
Durata media di funzionamento dopo la riparazione.
Guasto
10/04/08
Rimesssa in
servizio
Guasto
65
Istituto Certificazione Europea Prodotti Industriali
FTA Fault Tree Analysis
Analisi tramite albero dei guasti
Metodo deduttivo complementare alla FMEA (induttivo)
Si identifica un problema e se ne cercano le cause
Per ogni causa il processo continua fino a quando non
si individua l’evento o il guasto scatenante
Viene utilizzata una simbologia:
Evento
10/04/08
Guasto
AND
OR
66
Istituto Certificazione Europea Prodotti Industriali
FTA Esempio
Due termocoppie (A e B) usate per rilevare la temperatura di un
reattore. Il segnale viene confrontato: se differenza > 5% il
sistema è guasto. La Probabilità di guasto di ogni termocoppia è
0.005. Quale è la probabilità di guasto del sistema?
Il guasto di una non preclude il guasto dell’altra:
P (sistema) = P(A)+P(B)-P(AeB) = 0.009975
Temperatura
non disponibile
• Tecnica conservativa di
approssimazione per velocizzare:
considerare eventi indipendenti e
mutuamente esclusivi:
P(sistema) = P(A)+P(B) = 0.01
10/04/08
Termo
guasta
Termo
guasta
67
Istituto Certificazione Europea Prodotti Industriali
Combinazioni SERIE e PARALLELO
A
B
MTTF di un sistema serie di n elementi con pdf
esponenziale negativa e λ costante:
MTTFsistema= 1/(λA+ λB)
A
B
MTTF di un sistema parallelo di 2 elementi con pdf
esponenziale negativa e λ costante:
MTTFsistema= 1/(λA)+1/(λB) -1/ (λA+λB)
10/04/08
68
Istituto Certificazione Europea Prodotti Industriali
Analisi quantitativa: Markov
Strumento per valutare la probabilità che un sistema si
trovi in un certo stato durante un processo.
Stati mutuamente esclusivi (cerchi)
Probabilità di transizione nel tempo ∆t (archi)
∆t identico per tutte le transizioni; più piccolo
possibile.
Processo “senza memoria”
Rappresentazione grafica
Stati = cerchi
Probabilità di transizione = archi
10/04/08
69
13 =
∆t
λ
s
M
=λ
∆t
P4 =
1 r ∆
r t
P 12
3
2
Supervisore
guasto
P
Sistema
guasto
25 =
t
P24=Cr ∆t
t∆
s
t
5
4
Arresto
sicuro
t+
λ∆
P61=rr∆t
(1
-C
)r
P35=λM∆t
P45=λs∆t
Guasto non
rilevato
P
10/04/08
P
1
Operativo
6
rischio
5 =
6
r
d ∆t
λM: tasso di guasto del
sistema
λs: tasso di guasto del
supervisore
Rt: frequenza di test
Rd: frequenza di richiesta
intervento
Rr: frequenza di riparazione
C: copertura diagnostica
Il supervisore può portare la
macchina in uno stato sicuro
(4)
I guasti non rilevati portato ad
uno stato pericoloso (5)
Il supervisore può guastarsi
prima del sistema (5)
r ∆t
P 26= d
Istituto Certificazione Europea Prodotti Industriali
Modello di Markov per canale singolo
monitorato
70
Istituto Certificazione Europea Prodotti Industriali
CEI EN 62061:2005
SIL
CEI EN
62061
10/04/08
71
Istituto Certificazione Europea Prodotti Industriali
Valutazione del rischio e SIL
Frequency and duration of exposure
FR
Severity
Risk
related to
the identified
hazard
=
of the
possible
harm
and
Human and machine behavior
PR
Probability
of
occurrence
Possibility to avoid harm
SE
AV
Document No.:
Risk assessment and safety measures
Product:
Issued by:
Date:
Black area = Safety measures required
Grey area = Safety measures recommended
Consequences
Death, losing an eye or arm
Permanent, losing fingers
Reversible, medical attention
Reversible, first aid
Ser. Hzd.
No. No.
10/04/08
Hazard
Severity
3-4
SE
4
SIL 2
3
2
1
5-7
SIL 2
OM
Part of:
Pre risk assessment
Intermediate risk assessment
Follow up risk assessment
Class Cl
Frequency and Probability of hzd.
8 - 10 11 - 13 14 - 15
duration, FR
event, PR
SIL 2
SIL 3
SIL 3
<= 1 hour
5
Common
5
SIL 1
SIL 2
SIL 3 > 1 h - <=day 5
Likely
4
OM
SIL 1
SIL 2 >1day - <= 2wks 4
Possible
3
OM
SIL 1 > 2wks - <= 1 yr 3
Rarely
2
> 1 yr
2
Negligible
1
Se
Fr
Pr
Av
3
5
4
3
Cl
Safety measure
Avoidance
AV
Impossible
Possible
Likely
5
3
1
Safe
12
72
Istituto Certificazione Europea Prodotti Industriali
Processo di sviluppo e progetto
Ogni funzione di sicurezza deve essere scomposta in blocchi
funzionali.
Ad ogni blocco funzionale deve essere associato un sottosistema.
10/04/08
73
Istituto Certificazione Europea Prodotti Industriali
Prestazione di sicurezza di sottosistema
La prestazione di sicurezza di un sottosistema
è caratterizzata da:
SILCL (limite di SIL richiesto) determinato
dai vincoli dell’architettura,
SILCL dovuto all’integrità sistematica
Probabilità di guasto pericoloso casuale
dell’hardware PFHd
10/04/08
74
Istituto Certificazione Europea Prodotti Industriali
Vincoli dell’architettura
Hardware fault tolerance di N significa che N+1 guasti possono
causare la perdita della funzione.
Safe failure fraction SFF (Frazione di guasto in sicurezza)
Frazione del tasso di guasto globale che non comporta un guasto
pericoloso: : (Σλ S + Σλ DD) / (Σλ S + Σλ D)
Dovrebbe essere realizzata un’analisi (es FTA, FMEA) di ogni
sottosistema.
10/04/08
75
Istituto Certificazione Europea Prodotti Industriali
Architettura base A
Formule valide se λ x T1 << 1 (T1 minore tra proof test
e mission time) e modlaità di intervento frequente o
continua
10/04/08
76
Istituto Certificazione Europea Prodotti Industriali
Architettura base B
single fault tolerance without a diagnostic function
10/04/08
77
Istituto Certificazione Europea Prodotti Industriali
Architettura base C
10/04/08
78
Istituto Certificazione Europea Prodotti Industriali
Architettura base D
10/04/08
79
Istituto Certificazione Europea Prodotti Industriali
Architettura base D
Per elementi eterogenei:
Per elementi omogenei:
10/04/08
80
Istituto Certificazione Europea Prodotti Industriali
Stima di CCF
Combinazione di tecnologia, architettura, applicazione
e ambiente.
Allegato F
10/04/08
81
Istituto Certificazione Europea Prodotti Industriali
Valutazione SIL
A safety function and its assigned architecture
“Safety Integrity” Information of the Subsystems
Sensor
SIL (claim limit): 2
PFH1 = 2*10-7 / h
Safety PLC (IEC 61508)
SIL: 3
PFH2 = 4*10-8 / h
Actuator
SIL: 2
PFH3 = 3*10-7 / h
Systematic Integrity
SIL SYS <= (SIL subsystem)lowest
SIL: 2
Architectural Constraints
SIL SYS <= (SIL subsystem)lowest
SIL: 2
Probability of dangerous Failure
PFH = (2 + 0.4 + 3)*10-7 < 10-6
PFH = PFH1 + ...+ PFHn
10/04/08
82
Istituto Certificazione Europea Prodotti Industriali
Vincoli architettura Sottosistema
Switch
B10, C
D
DC
Safety
PLC
CPU
SS1
Contattore
Vincoli dell’architettura
D
1002 (N=1)
DC=99%
SIL 3
10/04/08
Contattore
SS2 SIL 3
5,42 E-10
SS3 SIL 3
1,8 E-9
83
Istituto Certificazione Europea Prodotti Industriali
PFH Sottosistema
Elemento del sottosistema
Failure rate λ
B10: fornito dal costruttore
C: frequenza di commutazione [1 / h]
λ = 0.1 x C / B10
B10 : 1 000 000
C : 1 / ora
Sottosistema
Verifica di
discrepanza nel
PLC
Tasso di guasto pericoloso
Dangerous failure: “Contacts stuck” = 50%
λD = 0.5 x λ = 5 x 10-8
Ridondanza omogenea
λ1 = λ2 = λ ; DC1 = DC2 = DC
Copertura diagnostica (comparazione in PLC)
DC = 99%
Common Cause Factor
CCF: 1%
Intervalli di test
T1: 10 anni
T2: 1 ora
λDssD = (1 – β)2 {[ λDe2 * 2 * DC ] * T2/2 + [ λDe2 * (1 - DC) ] * T1}
+ β * λDe
PFHDssD = λDssD * 1h 5,0 E-9 SIL 3
10/04/08
84
Istituto Certificazione Europea Prodotti Industriali
Valutazione del SIL
SIL Claim:
SS1
SIL3
SS2
SIL3
SS3
SIL3
SIL3
SIL2
SIL2
PFH and SIL:
SS1
SS2
SS3
5,0 E-9 + 5,42 E-10 + 1,8 E-9
= 7,342 E-9
SIL3 ???
Valutazione
qualitativa
SIL2
10/04/08
85