Introduzione alla Sicurezza

2007 2008

Introduzione alla Sicurezza

1- Progettare in sicurezza. La struttura normativa Europea.

Qualsiasi prodotto o macchinario, per essere liberamente commercializzato allinterno dei paesi della Comunit Europea, deve soddisfare le direttive 2006/95/ CE (direttiva bassa tensione) e 2006/42/CE (direttiva macchine) e successive modiche ed integrazioni, che determinano i requisiti fondamentali afnch il dispositivo o il macchinario riesca a garantire un sufciente livello di sicurezza per gli operatori. La conformit viene certicata mediante lemissione della Dichiarazione di Conformit da parte del costruttore e dallapposizione della marcatura CE sulla macchina stessa. Per la valutazione dei rischi che la macchina presenta e per la realizzazione dei sistemi di sicurezza atti a proteggere loperatore da detti rischi gli enti normatori europei CEN e CENELEC hanno emanato una serie di norme che traducono in indicazioni tecniche il contenuto delle Direttive. Le norme per la sicurezza si suddividono in tre gruppi: A, B e C. Norme di tipo A: Sono norme che trattano i concetti di base ed i principi di progettazione generale per la realizzazione di tutte le macchine. Norme di tipo B: Sono norme che trattano nello specico uno o pi aspetti relativi alla sicurezza e che a loro volta si suddividono in norme di tipo: Norme di tipo B1: Norme relative ad alcuni aspetti della sicurezza (ad esempio distanze di sicurezza, temperature, rumore ecc.) Norme di tipo B2: Norme relative a dispositivi di sicurezza (ad esempio controlli bimanuali, dispositivi di interblocco, ripari, ecc.) Norme di tipo C: Sono norme che trattano dettagliatamente le prescrizioni di sicurezza per particolari gruppi di macchine (es. presse idrauliche, macchine ad iniezione,) Il costruttore di dispositivi o macchinari dovr per prima cosa vericare se il prodotto ricade allinterno di una norma di tipo C. In caso positivo sar tale norma a dare le prescrizioni per la sicurezza, altrimenti faranno fede le norme di tipo B per ogni specico aspetto o dispositivo del prodotto. In mancanza di ulteriori speciche il costruttore seguir i principi generali enunciati nelle norme di tipo A.
NORME DI TIPO A EN 12100-1 e -2 (sostituisce EN 292-1 e EN 292-2). Concetti fondamentali, principi generali di progettazione. EN 61508-1..-7 . Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. EN 1050:1996 Principi per la valutazione del rischio. (Verr probabilmente sostituita da ISO 14121)

NORME DI TIPO B1 EN 62061:2005 Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza EN 13849-1:2006 e -2:2003.(sostituisce EN 954-1) Parte dei sistemi di comando legate alla sicurezza NORME DI TIPO B2 EN 574:1996 Dispositivi di comando a due mani EN 13850:2006 (sostituisce EN 418:1992) Arresto di emergenza EN 1088:1995 Dispositivi di interblocco dei ripari EN 60204-1:2006 Equipaggiamento elettrico delle macchine EN 60947-5-1:2004 Dispositivi di controllo elettromeccanici

NORME DI TIPO C EN 201:1997 . Macchine per gomma e materie plastiche - Macchine a iniezione EN 415-1..-7:2000 Sicurezza delle macchine per imballare EN 692:2005 Presse meccaniche EN 693:2001 Presse idrauliche EN 848-1:2007 Sicurezza delle macchine per la lavorazione del legno - Fresatrici su un solo lato con utensile rotante - Parte 1: Fresatrici verticali monoalbero (toupie)

2- Breve introduzione alle nuove norme sulla sicurezza dei macchinari

Dopo lunga evoluzione e dibattimento allinterno dei vari enti internazionali sono state rilasciate ed entrate denitivamente in vigore alcune nuove normative(1) nel settore della sicurezza macchine, normative che andranno gradualmente a sostituire le attuali ed a ridenire molti concetti di base a cui il mercato si era abituato. L approccio dato dalla nuove norme di tipo probabilistico e la loro impostazione, in estrema sintesi, estende i concetti deterministici introdotti con la EN 954-1 mediante nuove variabili statistiche indicate da termini come PL, MTTFd, SIL ed altre a cui un po alla volta dovremo fare abitudine. Ad oggi (2007) la strada tracciata dalle nuove normative presenta alcuni ostacoli in quanto esse partono da alcuni presupposti che nel settore elettromeccanico sono ben lontani dallessere realizzati. Ad esempio queste norme prevedono la disponibilit di dati statistici presso i costruttori senza per denire delle metodologie per il calcolo di tali valori e conseguentemente creando una situazione di incertezza tale per cui ogni costruttore gestisce a modo suo la situazione. Poich questi dati statistici indicano con un valore quantitativo la qualit dei prodotti evidente che in mancanza di una denizione chiara e comune si potranno avere interpretazioni pi o meno elastiche da parte dei costruttori col rischio di una babele di numeri che nel settore della sicurezza macchine non certo auspicabile. Inoltre le nuove norme non sono di semplice trattazione e una certa sovrapposizione tra la EN 13849 e la EN 62061 complica ulteriormente la situazione. Ma la strada tracciata e ci auguriamo tutti che negli anni a venire i nodi vengano risolti con lobiettivo comune di aumentare la sicurezza dei macchinari.

(1) EN 954-1:1996 Sicurezza del macchinario Parte dei sistemi di comando legate alla sicurezza: Parte 1: principi generali per la progettazione Nel testo, quando non precisato, questa norma verr indicata come EN 954-1 EN 61508-1:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 1: Requisiti generali EN 61508-2:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 2: Requisiti per i sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza EN 61508-3:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 3: Requisiti del software EN 61508-4:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 4: Denizioni ed abbreviazioni EN 61508-5:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 5: Esempi di metodi per la determinazione dei livelli di integrit di sicurezza EN 61508-6:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 6: Guida allapplicazione delle IEC 61508-2 e IEC 61508-3 EN 61508-7:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 7: Panorama delle tecnologie e delle misure tecniche Nel testo, quando non precisato, queste norme verranno indicate come EN 61508 EN 62061:2005. Sicurezza del macchinario Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza Nel testo, quando non precisato, questa norma verr indicata come EN 62061 EN ISO 13849-1:2006. Sicurezza del macchinario Parte dei sistemi di comando legate alla sicurezza: Parte 1: Principi generali per la progettazione. (Nota la ISO 13849-1:1999 identica alla EN 954-1:1996) EN ISO 13849-2:2003. Sicurezza del macchinario Parte dei sistemi di comando legate alla sicurezza: Parte 2: Validazione Nel testo, quando non precisato, queste norme verranno indicate come EN 13849

pagina 6/21

Catalogo Generale 2007-2008

Introduzione alla Sicurezza

3- Attuale situazione normativa (2007)

Sono attualmente in vigore quattro norme molto importanti ai ni della sicurezza macchine. EN 954-1:1996. E una norma di tipo B1, che ha introdotto i concetti delle Categorie di Sicurezza. Copre le applicazioni per la sicurezza macchine e prevede ma non tratta i dispositivi di sicurezza con componenti elettronici. EN 61508:2002. E una norma di tipo A, che ha introdotto i principi ed i metodi di calcolo per valutare e classicare il livello di sicurezza di macchinari o dispositivi contenenti componenti elettrici, elettronici o elettronici programmabili. Questa norma introduce tra gli altri il concetto di SIL (Safety Integrity Level). EN 62061:2005. E una norma di tipo B1 che deriva dalla EN 61508 e che ne riporta i concetti e le terminologie applicandole al settore della sicurezza macchine. Anche questa norma utilizza il concetto di SIL. Nota importante. EN 13849:2006. Norma di tipo B1 che getta un ponte tra la EN 954-1 e la EN 62061 creando dei riferimenti ad entrambe e che introduce il concetto di PL (Performance Level). La EN 13849 una norma di tipo B1 e quindi se un Questa norma in particolare copre i dispositivi elettromeccanici, idraulici, elettronici non macchinario gi normato da una norma di tipo C complessi ed alcuni dispositivi elettronici programmabili con strutture predenite. In questultima che fa testo. Tutte le norme di tipo C questa norma viene indicata una correlazione tra SIL e PL, vengono usati concetti (come precedentemente sviluppate si basano sui concetti DC e CCF) mutuati dalla EN 61508 e viene stabilito un riferimento con le categorie di della EN 954-1. Per i costruttori dei macchinari sicurezza della EN 954-1. In pratica questa norma cerca di fare in modo che il costruttore coperti da una norma di tipo C i tempi di introduzione avvezzo ai concetti della EN 954-1 possa transitare in modo pi dolce ai nuovi concetti delle nuove normative potrebbero essere diversi statistici. a seconda della velocit dei vari comitati tecnici La EN 954-1:1996 rimarr in vigore no a Novembre 2009 data in cui verr sostituita nellaggiornarle. Si potrebbe anche venire a creare dalla EN 13849-1:2006. Questultima norma gi in vigore e quindi nella fase intermedia la situazione tale per cui un macchinario potr si potranno utilizzare entrambe. Ad oggi quindi possibile classicare i vari macchinari mantenere la vecchia classicazione come da EN 954-1 anche dopo che questa decaduta. secondo ambedue le norme.

4- Evoluzione normativa: i perch del cambiamento, le nuove norme e qualche sovrapposizione

L attuale EN 954-1 ha avuto il grande merito di rendere evidente e di classicare in modo organico quello che un buon progettista gi sapeva. Questa norma con lintroduzione delle categorie di sicurezza, delle tabelle e dei metodi per lanalisi dei rischi ha quindi molto contribuito ad evidenziare i diversi gradi di rischio dei macchinari, ha introdotto una metodologia di analisi comune tra prodotti di settori anche molto diversi, ha proposto delle soluzioni (ridondanza, autocontrollo) per i casi pi pericolosi. Daltro canto essa non tratta minimamente i dispositivi elettronici programmabili, non analizza i casi in cui pi macchine vengono interconnesse ed anche se introduce il concetto di sorveglianza periodica (categoria 2) d ben poche indicazioni su come questa debba realmente avvenire. La norma EN 61508 era stata prevista inizialmente per denire la sicurezza dei dispositivi elettronici, in particolare dei dispositivi elettronici programmabili complessi, coprendo cos il buco lasciato dalla EN 954-1. Durante il suo sviluppo presso lIEC per questa norma ha allargato via via il suo campo applicativo no a farla divenire una norma molto complessa ( divisa in 7 parti per un totale di oltre 800 pagine) ed adatta a campi applicativi anche molto diversi (industria di processo, macchine industriali, impianti nucleari) tale per cui ha assunto lo status di norma di tipo A. In teoria la EN 62061, derivata dalla EN 61508 per le macchine industriali, avrebbe quindi dovuto coprire solamente la parte dellelettronica complessa o comunque programmabile ma a causa dellapproccio allargato della sua progenitrice ha nito per includere tutti i circuiti elettrici, elettronici ed elettronici programmabili. L approccio di queste due norme fondamentalmente di tipo probabilistico e in esse vengono introdotte nuove variabili statistiche che richiedono unanalisi (anche matematica) approfondita dei macchinari, analisi che pu richiedere molto tempo e non di semplice applicazione. Nel contempo era in fase di sviluppo la revisione della EN 954-1, svolta dal CEN sotto legida dellISO, con il progetto di norma che poi divenuta la EN 13849. Dati i riferimenti tra le due norme le commissioni si sono evidentemente parlate ma si comunque voluto creare una sovrapposizione degli ambiti applicativi tale per cui anche la versione nale della EN 13849 copre i sistemi elettronici ed elettronici programmabili, anche se solamente per alcune strutture predenite e per i livelli di sicurezza non massimi. L ambito di applicabilit viene chiaramente riportato nella EN 13849-1 (vedi tabella 1) e come si pu capire per ampie tipologie di prodotti entrambe le norme sono applicabili. Tabella 1 Applicazioni raccomandate della IEC 62061 e ISO 13849-1 Tecnologia utilizzata dalla parte del sistema di comando legata alla sicurezza A Non elettrica, ad esempio idraulica Elettromeccanica, ad esempio rel e/o B elettronica non complessa C Elettronica complessa, ad esempio programmabile X Limitatamente alle architetture designatea e no a PL=e Limitatamente alle architetture designatea e no a PL=d Limitatamente alle architetture designatea e no a PL=e Limitatamente alle architetture designate (vedi nota 1) e no a PL=d Xb ISO 13849-1 Non trattata Tutte le architetture e no a SIL 3 Tutte le architetture e no a SIL 3 Xc Tutte le architetture e no a SIL 3 Xc IEC 62061

D A combinata con B E C combinata con B F C combinata con A oppure C combinata con A e B

X indica che la riga trattata dalla norma internazionale indicata nellintestazione della colonna a. Le architetture designate sono denite al punto 6.2 (della EN 13849-1) per fornire un approccio semplicato alla quanticazione del livello di prestazioni b. Per elettronica complessa: si usino le architetture designate in accordo con questa parte della ISO 13849-1 e no a PL=d o qualsiasi architettura in accordo con la IEC 62061 c. Per tecnologie non elettriche si usino le parti come sottosistemi in accordo con questa parte della ISO 13849-1 Nota. La presente tabella la traduzione non ufciale in italiano della tabella 1 presente nella versione in Inglese nella norma EN 13849-1:2006

La scelta della norma da utilizzare star al costruttore e al mercato anche se riteniamo che la EN 13849, con il suo approccio mediato ed il riutilizzo dei concetti della EN 954-1 (integrati con alcuni di quelli introdotti con la EN 61508) sia una norma di pi semplice comprensione per tutti i piccoli e medi costruttori di macchinari.
Catalogo Generale 2007-2008

pagina 6/22

Introduzione alla Sicurezza

5.0 - Analisi e valutazione del rischio mediante EN 954-1 ed EN 1050

In queste due norme viene denito come analizzare (EN 1050) e conseguentemente valutare i rischi potenziali di un macchinario e viene fornita una metodologia per ridurre tali rischi mediante ladozione di circuiti di sicurezza adeguati (EN 954-1). Il procedimento iterativo ovvero, una volta identicata una possibile soluzione per la riduzione del rischio, tale soluzione deve essere validata. In caso contrario lanalisi del rischio va ripetuta.

5.1 - Procedura per la selezione e la progettazione delle misure di sicurezza

Dalla norma EN 954-1 par. 4.3 riportiamo i 5 passi da seguire per una corretta selezione e progettazione delle misure di sicurezza. Passo 1 Analisi dei pericoli e calcolo del rischio sulla macchina. Passo 2 Disporre misure per la riduzione del rischio mediante mezzi di controllo. Passo 3 Specicare i requisiti di sicurezza in termini di: - selezione della categoria di sicurezza. - realizzazione delle funzioni di sicurezza; Passo 4 Progettazione e verica delle parti rilevanti per la sicurezza di un sistema di controllo. Passo 5 Validazione delle funzioni e delle categorie raggiunte confrontandole con quanto precedentemente denito al punto 3.

5.2 - Valutazione del rischio e categorie di sicurezza

Di seguito sono riportate alcune informazioni per la scelta della categoria di sicurezza adeguata alla macchina che si vuole rendere sicura.

Categorie di sicurezza

Tabella del rischio secondo normativa EN 954-1/allegato B

B S1 I P1

Punto di partenza

F1 P2 S2 P1 F2 P2

II III IV V

Legenda : S F P I-V B, 1-4 Punto di partenza per la stima del rischio. Gravit dellincidente: S1 = lesione reversibile (es. piccoli tagli, scottature, leggere abrasioni, ecc..) S2 = lesione irreversibile o morte (es. inabilit permanente, perdita di arti, danni respiratori, ecc..) Presenza nella zona pericolosa: F1 = da rara ad abbastanza frequente (es. da settimanale o pi, no a una volta al giorno) F2 = da spesso a permanente (es. da pi volte al giorno a continuo) Possibilit di prevenire lincidente o di ridurre il suo effetto in modo signicativo: P1 = possibile in certe condizioni (es. la possibilit da parte delloperatore di accorgersi dellimminente pericolo). P2 = quasi impossibile (es. limpossibilit da parte delloperatore di accorgersi dellimminente pericolo) Livello di rischio stimato Categorie di sicurezza dei sistemi di controllo Categoria preferenziale prevista per questo livello di rischio Scelta di una categoria superiore Scelta di una categoria inferiore

Possono essere usate categorie diverse da quelle preferenziali (cerchio grande ), ma il comportamento previsto del sistema in caso di errore/i deve essere mantenuto. Inoltre devono essere indicati i motivi della deroga da parte del costruttore della macchina. Quando si scelgono le categorie indicate con un cerchio piccolo ( ) possono essere richieste delle misure addizionali come per esempio : - sovradimensionamento o luso di tecniche che portano allesclusione di errori; - luso di un monitoraggio dinamico.

pagina 6/23

Catalogo Generale 2007-2008

Introduzione alla Sicurezza

5.3 - Tabella dei requisiti per categoria secondo la norma EN 954-1 par. 6.2
Categoria di sicurezza

Elenco dei requisiti

Comportamento del sistema

Principi per la sicurezza

Le parti rilevanti per la sicurezza dei sistemi di controllo e/o le loro attrezzature di protezione, nonch le loro componenti devono essere progettate, costruite, selezionate e combinate in ottemperanza alle norme pertinenti in modo da poter resistere agli inussi previsti.

Il vericarsi di un errore pu portare alla perdita della funzione di sicurezza. Caratterizzato principalmente dalla selezione dei componenti Il vericarsi di un errore pu portare alla perdita della funzione di sicurezza per la probabilit del vericarsi di un errore inferiore a quello della categoria B.

Si applicano i requisiti della categoria B. Devono essere usati dei componenti ben provati e dei principi di sicurezza ben provati.

Si applicano i requisiti della categoria B e luso di principi di sicurezza ben provati. La funzione di sicurezza deve essere controllata a adeguati intervalli di tempo dal sistema di controllo o almeno ad ogni accensione della macchina e prima di qualsiasi situazione pericolosa. Si applicano i requisiti della categoria B e luso di principi di sicurezza ben provati. Le parti rilevanti per la sicurezza devono essere progettate in modo che: - un singolo errore in una di queste parti non porti alla perdita della funzione di sicurezza. - laddove ragionevolmente fattibile il singolo errore venga rilevato. Si applicano i requisiti della categoria B e luso di principi di sicurezza ben provati. Le parti rilevanti per la sicurezza devono essere progettate in modo tale che: - un singolo errore in una di queste parti non porti alla perdita della funzione di sicurezza. - il singolo errore venga rilevato nel momento o prima della successiva richiesta della funzione di sicurezza. Se questo non possibile allora laccumulo di errori non deve portare alla perdita della funzione di sicurezza.

Il vericarsi di un errore pu portare alla perdita della funzione di sicurezza fra i controlli. La perdita della funzione di sicurezza viene rilevata dal controllo.

Quando si verica un singolo errore la funzione di sicurezza viene sempre svolta. Non tutti gli errori vengono rilevati. L accumulo di errori non rilevati pu portare alla perdita della funzione di sicurezza.

Caratterizzato principalmente dalla struttura

Quando si vericano gli errori la funzione di sicurezza viene svolta sempre. Gli errori vengono rilevati in tempo per evitare la perdita della funzione di sicurezza.

Catalogo Generale 2007-2008

pagina 6/24

Introduzione alla Sicurezza

6.0 - Analisi e valutazione del rischio mediante EN 13849 e ISO 14121

Anche nel caso della EN 13849 ed ISO 14121 (che viene citata nella EN 13849 ma che ad oggi non ancora entrata in vigore) il procedimento per lanalisi, la valutazione e la riduzione del rischio iterativo e strutturalmente simile al caso della coppia di norme EN 954-1 ed EN 1050. Nella gura che segue stato riportato il processo iterativo di valutazione come indicato nella EN 13849-1.

INIZIO

Determinazione dei limiti della macchina (vedi 5.2a) Identificazione dei pericoli (vedi paragrafo 4a e 5.3a) Stima del rischio (vedi 5.3a) Valutazione del rischio (vedi 5.3a)

Analisi del rischio effettuata in accordo con la ISO 14121 Si'

a b c

Il processo iterativo di riduzione del rischio deve essere effettuato separatamente per ogni pericolo nella rispettiva condizione duso (funzione) Sono stati generati nuovi pericoli ?

Si riferisce alla ISO 12100-1:2003 Si riferisce alla ISO 13849-1:2006 La ISO 13849-2 fornisce ulteriore aiuto per la validazione

No Si'

Il rischio stato adeguatamente ridotto? No

FINE

Verifica dei sistemi di comando legati alla sicurezza in accordo con la ISO 13849-1

Processo di riduzione del rischio per il pericolo identificato: 1) Mediante struttura intrinseca 2) Mediante protezioni 3)Attraverso le istruzioni per luso (vedi ISO 12100-1:2003 figura 4)

Identificazione delle funzioni di sicurezza che devono essere effettuate dal/dai SRP/CS Per ogni funzione di sicurezza specificare le caratteristiche richieste (vedi paragrafo 5b) Determinazione del livello di prestazioni richiesto PLr (vedi 4.3b e allegato Ab) Progettazione e realizzazione tecnica della funzione di sicurezza: Identificazione delle parti relative alla sicurezza che svolgono la funzione di sicurezza (vedi 4.4b) Valutazione del livello di prestazione PL (vedi 4.5b) tenendo conto di: - Categoria (vedi paragrafo 6b) - MTTFd (vedi allegati Cb e Db) - DC (vedi allegato Eb) - CCF (vedi allegato Fb) - Se esistente: Software (vedi 4.6b e allegato Jb) della parte relativa alla sicurezza in esame

Le misure protettive selezionate dipendono da un sistema di controllo?

Si'

Per ogni funzione di sicurezza selezionata

No

Verifica del PL della funzione di sicurezza: PL PLr ? (vedi 4.7b) Si' Validazione (vedi clausola 8bc). Tutti i requisiti sono stati soddisfatti ? Si' Si' Sono state analizzate tutte le funzioni di sicurezza ?

No

No

No

Nota: Questa gura stata ottenuta dalla combinazione delle Figure 1 e 3 della EN 13849-1:2006. I testi riportati sono la traduzione non ufciale dei testi in inglese.

pagina 6/25

Catalogo Generale 2007-2008

6
6.1- Nuovi e vecchi concetti: Categorie di sicurezza, PL, MTTF, DC
Come per la EN 954-1 anche la EN 13849 utilizza un graco per lanalisi del rischio di una funzione di una macchina (vedi gura) determinando per, anzich una categoria di sicurezza, un livello di prestazione richiesto o PLr (Required Performance Level) per la funzione di sicurezza che andr a proteggere quella parte di macchina. Il costruttore dovr realizzare un sistema per proteggere loperatore che abbia un livello di prestazione PL (calcolato) uguale o migliore di quello richiesto. Graco del rischio per determinare il PLr richiesto per la funzione di sicurezza (tratto da EN 13849-1, gura A.1)

Chiavi di lettura 1 L H PLr Punto di partenza per la valutazione del contributo alla riduzione del rischio dato dalle funzioni di sicurezza Basso contributo alla riduzione del rischio Alto contributo alla riduzione del rischio Livello di prestazioni richiesto

Parametri di rischio S Gravit del danno S1 leggero (danno normalmente reversibile) S2 serio (danno normalmente irreversibile o morte) F Frequenza e/o esposizione al rischio F1 da rara a poco frequente e/o con breve tempo di esposizione F2 da frequente a continua e/o con lungo tempo di esposizione P Possibilit di evitare il rischio o di limitare il danno P1 possibile in certe condizioni P2 scarsamente possibile

I PL sono classicati in cinque livelli, da PLa a PLe al crescere del rischio ed ognuno di essi identica un ambito numerico di probabilit media di guasto pericoloso per ora. Ad esempio PLd indica che la probabilit media di guasti pericolosi per ora compresa tra 1 x 10-6 e 1 x 10-7 ovvero allincirca 1 guasto mediamente ogni 100-1000 anni. PL a b c d e Probabilit media di guasti pericolosi per ora (1/h) 10-5 10-6 10-7 10-8 e e e e < 10-4 <10-5 < 3 x10-6 < 10-6 <10-7 3 x 10-6 e

PL=

Non vi correlazione diretta tra PL e le Categorie di Sicurezza della EN 954-1. La EN 13849 riutilizza i concetti delle categoria di sicurezza come aggregazione della topologia del sistema (a canale singolo, ridondante, eccetera utilizzando il termine di architetture designate) e della resistenza del sistema al guasto integrandoli con il calcolo di ulteriori nuovi parametri numerici ovvero:

Catalogo Generale 2007-2008

pagina 6/26

6
MTTFd (Mean Time To Dangerous Failure, Tempo medio al guasto pericoloso) Questo parametro cerca di denire la bont qualitativa del sistema denendone la vita media prima del guasto pericoloso (e non guasto generico) espressa in anni. In pratica il calcolo dellMTTFd si basa sui valori numerici forniti dai costruttori dei singoli componenti che formano il sistema. Nel caso di mancanza di dati la norma fornisce dei valori in apposite tabelle di riferimento. Il conteggio porter ad un valore numerico che rientrer in tre categorie: Alto, Medio o Basso. CCF (Common Cause Failures, cause di guasto comune) Solamente nel caso di sistemi di categoria 2, 3, o 4 per il calcolo dell MTTFd necessaria anche la valutazione di eventuali cause di guasto comune o CCF che possono inciare la ridondanza dei sistemi. DC (Diagnostic Coverage, copertura diagnostica) Questo parametro cerca di indicare quanto il sistema sia in grado di autosorvegliare un eventuale proprio malfunzionamento. In base alla percentuale di guasti pericolosi rilevabili dal sistema, grazie alla propria struttura, si avr una copertura diagnostica pi o meno buona. Anche in questo caso il parametro DC suddiviso in categorie, e per la precisione in: Alta, Media, Bassa e Nulla. La copertura diagnostica Nulla ammessa solo per i sistemi di categoria B o 1. Mediante questi tre parametri Categoria, MTTFd e DC la norma fornisce una tabella (vedi gura o allegato K della EN 13849-1) che permette di capire che livello di PL sia possibile ottenere. Relazioni tra le categorie, DCavg, MTTFd di ogni canale e PL (tratto da EN 13849-1, gura 5)

DCavg nulla PL 1 2 3

DCavg nulla DCavg bassa DCavg media DCavg bassa DCavg media DCavg alta

Performance level MTTFd di ogni canale = basso MTTFd di ogni canale = medio MTTFd di ogni canale = alto

Il costruttore di macchine che ne intenda vericare la sicurezza dovr seguire lapproccio iterativo previsto dalle norme. In particolare ad un prima fase di determinazione dei rischi (secondo EN 1050 o ISO 14121) seguir, nel caso la misura di protezione sia fornita da un sistema di controllo, una successiva ed iterativa fase di verica che il sistema prescelto sia in grado di fornire il livello di protezione richiesto. Questa seconda fase inizier determinando il livello di prestazioni richiesto PLr per fornire il grado di protezione necessario in base ai rischi riscontrati. In questa fase si utilizzer il graco visto in precedenza. In seconda battuta si ipotizzer un sistema di protezione del quale si dovr identicare la categoria di sicurezza (in base alla architettura ed alla resistenza al guasto) e del quale si dovr calcolare lMTTFd e se del caso vericare DC e CCF . Con questi valori in mano si proceder al calcolo del PL proprio del sistema e se questo risulter superiore o uguale al PLr il sistema verr considerato adatto. A questo punto seguir una fase di validazione del sistema (secondo EN 13849-2) e se anche questo verica risulter positiva il rischio in questione potr denirsi sufcientemente limitato.

pagina 6/27

Catalogo Generale 2007-2008

6
7- Cosa cambia nellanalisi del rischio: due variazioni importanti
Nel passaggio dal vecchio al nuovo gruppo di norme le maggiori novit sono sicuramente dovute allapproccio probabilistico ed allintroduzione di tutti i nuovi parametri evidenziati nei paragra precedenti. E indubbio che per poter correttamente rispettare le nuove norme a tutti gli operatori del settore verr richiesto un maggior livello di competenza e di formazione. Vi sono anche due differenze importanti introdotte dalle nuove norme per quanto riguarda lanalisi e la valutazione del rischio rispetto a quanto fatto nora: 1) Un rischio di infortunio leggero (ferite non permanenti) non porta pi necessariamente ad un basso livello di sicurezza (categoria B o 1) come in EN 954-1. Adesso un rischio di infortunio leggero ma frequente e di difcile evitabilit da parte delloperatore viene considerato pari ad un rischio di infortunio permanente anche se assai infrequente ed evitabile (livello PLr = c).
Categorie di sicurezza

B S1 I P1 F1 P2 S2 P1 F2 P2

Partenza

II III IV V

Partenza

secondo EN 954-1

secondo EN 13849-1:2006

2) Mentre un sistema in una certa categoria secondo EN 954-1 doveva comunque avere una struttura specica, nella nuova norma per ottenere livelli di prestazione intermedi sono possibili molte strade. Ad esempio per ottenere un sistema con PL pari a c sono possibili tutte le seguenti soluzioni: 1. Sistema in categoria 3 con componenti poco afdabili (MTTFd=basso) e DCavg media. 2. Sistema in categoria 3 con componenti afdabili (MTTFd =medio) e DCavg bassa. 3. Sistema in categoria 2 con componenti afdabili (MTTFd=medio) e DCavg media. 4. Sistema in categoria 2 con componenti molto afdabili (MTTFd=alto) e DCavg bassa. 5. Sistema in categoria 1 con componenti molto afdabili (MTTFd=alto). Procedura semplicata per valutare PL ottenuta da SRP/CS (tratto da EN 13849-1, gura 7) Categoria DCavg MTTFd di ogni canale Basso Medio Alto a b Non coperto Non coperto Non coperto c a b c b c d b c d c d d Non coperto Non coperto e B nulla 1 nulla 2 bassa 2 media 3 bassa 3 media 4 alta

Il costruttore di macchine dovr valutare quindi quale combinazione sia la migliore per la propria macchina nel rapporto prestazioni/prezzo.

Catalogo Generale 2007-2008

pagina 6/28

Introduzione alla Sicurezza

5 - Esempi di collegamento secondo la normativa EN 954-1 (requisiti minimi)

Applicazioni con funghi di emergenza ed interruttori a fune per arresto di emergenza.
Categoria di sicurezza

Schema elettrico

Struttura circuitale

E-stop1 CC 01AAB00AB

E-stop2 CC 01AAB00AB

E-stop3 CC 01AAB00AB

L/+

KM1

Stop E-stop1 E-stop2 KM1

B-1

E-stop1 FD 1878

E-stop2 FD 1878

E-stop3 FD 1878 KM1

E-stop3 Start

M
KM1

N/-

L/+

E-stop1 CC 01AAB00AB

E-stop2 CC 01AAB00AB

E-stop3 CC 01AAB00AB

Stop E-stop1 E-stop2 E-stop3 A1 CS AR-40..... 13

CS AR-40....

E-stop1

E-stop2 FD 1878

E-stop3 FD 1878 CS AR-40....

2
N/-

A2 Start

S33

S34

14 KM1

FD 1878

KM1

M
Nel caso si utilizzi un contattore esterno (KM1) per aumentare la portata dei contatti, questo contattore deve essere a guida forzata.

pagina 6/29

Catalogo Generale 2007-2008

Introduzione alla Sicurezza

Applicazioni con funghi di emergenza ed interruttori a fune per arresto di emergenza.

Categoria di sicurezza
L/+

Schema elettrico

Struttura circuitale

E-stop1
Stop E-stop1 E-stop2 E-stop3 A1 CS AR-20..... A2 S33 S34 14 KM1 Start N/KM1 24 13 23

E-stop2 CC 01AAB00AC

E-stop3 CC 01AAB00AC

CC 01AAB00AC

CS AR-20....

E-stop1 FD 978

E-stop2 FD 978

E-stop3 FD 978 CS AR-20....

KM2 KM1

M
Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, questi contattori devono essere a guida forzata.

L/+

N/-

E-stop1 CC 01AAB00AC
E-stop1

CS AR-01....
A1 S35 S22 S21 S12 S11 S31 13 23

CS AR-01..... A2 S33 S34 KM1 Start KM2 KM2 KM1 14 24

E-stopn CC 01AAB00AC

CS AR-01....

E-stop

E-stop1
A1 S35 S22 S21 S12 S11 S31 13 23

CS AR-01..... A2 S33 S34 14 KM1 Start KM2 24

FD 978 CS AR-01.... E-stopn FD 978 CS AR-01....

Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, questi contattori devono essere a guida forzata. Attenzione: gli esempi sopra riportati sono puramente descrittivi e danno un indicazione di come realizzare dei circuiti di sicurezza secondo le categorie previste dalla norma EN 954-1. E responsabilit del costruttore vericare che tali circuiti siano applicabili alla specica macchina in esame.

Catalogo Generale 2007-2008

pagina 6/30

Introduzione alla Sicurezza

5 - Esempi di collegamento secondo la normativa EN 954-1 (requisiti minimi)

Applicazioni con interruttori di sicurezza per controllo ripari mobili.
Categoria di sicurezza

Schema elettrico

Struttura circuitale

L/+

SS3 FX 693

Stop SS1 SS2 KM1

B-1
Start

SS3

SS2 FX 693

M
KM1

N/-

SS1 FX 693

KM1

L/+

Stop SS1 SS2 SS3 A1 CS AR-40..... 13

SS3 FX 693

2
N/-

A2 Start

S33

S34

14 KM1

SS2 FX 693

KM1

SS1 FX 693

M
Nel caso si utilizzi un contattore esterno (KM1) per aumentare la portata dei contatti, questo contattore deve essere a guida forzata.

CS AR40....

pagina 6/31

Catalogo Generale 2007-2008

Introduzione alla Sicurezza

Applicazioni con interruttori di sicurezza per controllo ripari mobili.

Categoria di sicurezza
L/+

Schema elettrico

Struttura circuitale

Stop SS1 SS2 SS3 A1 CS AR-20..... A2 S33 S34 14 KM1 24 13 23

SS3 FX 993

SS2 FX 993

3
N/-

Start

KM1

KM2 KM1

SS1 FX 993

CS AR-20....

M
Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, Attenzione: L impiego di un solo interruttore per riparo richiede che nella fase di analisi questi contattori devono essere a guida forzata. del rischio si possa escludere la rottura meccanica del medesimo.

L/+

N/-

SS2

SS1

SS2 FR 1896

A1

S35 S22 S21 S12 S11 S31 13

23

CS AR01....

SS1 FR 693

CS AR-01..... A2 S33 S34 KM1 Start KM2 KM2 KM1 14 24

SS4 FR 1896

SSm

SSn

CS AR01....

SS3 FR 693

A1

S35 S22 S21 S12 S11 S31 13

23

CS AR-01..... A2 S33 S34 14 KM1 Start KM2 24

M
CS AR01.... SSm FR 693

SSn FR 1896

Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, questi contattori devono essere a guida forzata. Attenzione: gli esempi sopra riportati sono puramente descrittivi e danno un indicazione di come realizzare dei circuiti di sicurezza secondo le categorie previste dalla norma EN 954-1. E responsabilit del costruttore vericare che tali circuiti siano applicabili alla specica macchina in esame.

Catalogo Generale 2007-2008

pagina 6/32

Introduzione alla Sicurezza

6 - Apertura positiva, ridondanza, diversicazione e autocontrollo

Modo positivo e modo negativo. Secondo la normativa EN 292-2 punto 3.5, se un componente meccanico in movimento trascina inevitabilmente un altro componente, per contatto diretto o mediante elementi rigidi, si dice che questi componenti sono collegati in modo positivo. Quando invece lo spostamento di un elemento meccanico consente ad un secondo elemento di muoversi liberamente (per esempio gravit, effetto di una molla, ecc..) il collegamento tra i due in modo negativo.

Modo positivo

Modo negativo

Macchina funzionante Sportello chiuso

Macchina ferma Sportello aperto

Macchina funzionante Sportello chiuso

Macchina ferma Sportello aperto

Guasti pericolosi: la macchina continua a funzionare.

Guasti pericolosi: la macchina continua a funzionare.

Rotella consumata

Rotella disallineata

Contatti incollati

Molla guasta

Il modo positivo consente con una manutenzione preventiva di sottrarsi dai guasti pericolosi schematizzati sopra. Con il modo negativo invece i guasti sono interni allinterruttore e quindi di difcile rilevazione. Con il modo positivo i guasti interni (contatti incollati o molla guasta) consentono comunque l apertura dei contatti e quindi larresto della macchina.

Molla danneggiata

Macchina ferma

Contatti incollati

Macchina ferma

pagina 6/33

Catalogo Generale 2007-2008

Introduzione alla Sicurezza

Utilizzo degli interruttori nelle applicazioni di sicurezza Quando impiegato un solo interruttore in una funzione di sicurezza, linterruttore stesso deve essere azionato in modo positivo. Va utilizzato per le applicazioni di sicurezza il contatto dapertura (normalmente chiuso) che deve essere del tipo ad apertura positiva , tutti gli interruttori che riportano il simbolo sono dotati di contatti NC ad apertura positiva.

Nessun collegamento elastico tra i contatti mobili e lazionatore sul quale viene applicata la forza di azionamento.

Se gli interruttori sono due o pi bene farli operare in modi opposti, ad esempio : - Il primo con un contatto normalmente chiuso (contatto di apertura) azionato dal riparo in modo positivo. - laltro con un contatto normalmente aperto (contatto di chiusura), azionato dal riparo in modo non positivo. Questa una pratica comune che non esclude, quando giusticato, luso dei due interruttori azionati in modo positivo (vedi diversicazione).

Diversicazione La sicurezza nei sistemi ridondanti viene aumentata con la diversicazione. Essa si ottiene applicando due interruttori con diversit di progettazione e/o tecnologia, in modo da evitare guasti determinati dalla stessa causa. Esempi di diversicazione sono: lutilizzo di un interruttore ad azione positiva accoppiato ad uno ad azione non positiva, da un interruttore a comando meccanico ed uno non meccanico (es. sensore elettronico) o dallutilizzo di due interruttori a comando meccanico ad azione positiva ma di diverso principio di azionamento ( es. un interruttore a chiave FR 693 e un interruttore a perno FR 1896).

Ridondanza La ridondanza limpiego di pi di un dispositivo o sistema, al ne di garantire che in caso di guasto nelle parti di uno di essi, un altro sia disponibile per eseguire tali funzioni di sicurezza. Se il primo guasto non viene rilevato, il vericarsi di un secondo potr portare alla perdita della funzione di sicurezza.

Autocontrollo L autocontrollo consiste nel vericare automaticamente il funzionamento di tutti i dispositivi che intervengono nel ciclo della macchina. Di conseguenza il ciclo successivo pu essere vietato o autorizzato.

Ridondanza e autocontrollo La combinazione in sistema della ridondanza e dellautocontrollo fanno s che un primo guasto nel circuito di sicurezza non porti alla perdita delle funzioni di sicurezza. Tale primo guasto verr rilevato al riavvio successivo o comunque prima che avvenga un secondo guasto che potrebbe portare alla perdita della funzione di sicurezza.

Catalogo Generale 2007-2008

pagina 6/34