2007 2008
NORME DI TIPO B1 EN 62061:2005 Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza EN 13849-1:2006 e -2:2003.(sostituisce EN 954-1) Parte dei sistemi di comando legate alla sicurezza NORME DI TIPO B2 EN 574:1996 Dispositivi di comando a due mani EN 13850:2006 (sostituisce EN 418:1992) Arresto di emergenza EN 1088:1995 Dispositivi di interblocco dei ripari EN 60204-1:2006 Equipaggiamento elettrico delle macchine EN 60947-5-1:2004 Dispositivi di controllo elettromeccanici
NORME DI TIPO C EN 201:1997 . Macchine per gomma e materie plastiche - Macchine a iniezione EN 415-1..-7:2000 Sicurezza delle macchine per imballare EN 692:2005 Presse meccaniche EN 693:2001 Presse idrauliche EN 848-1:2007 Sicurezza delle macchine per la lavorazione del legno - Fresatrici su un solo lato con utensile rotante - Parte 1: Fresatrici verticali monoalbero (toupie)
(1) EN 954-1:1996 Sicurezza del macchinario Parte dei sistemi di comando legate alla sicurezza: Parte 1: principi generali per la progettazione Nel testo, quando non precisato, questa norma verr indicata come EN 954-1 EN 61508-1:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 1: Requisiti generali EN 61508-2:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 2: Requisiti per i sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza EN 61508-3:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 3: Requisiti del software EN 61508-4:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 4: Denizioni ed abbreviazioni EN 61508-5:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 5: Esempi di metodi per la determinazione dei livelli di integrit di sicurezza EN 61508-6:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 6: Guida allapplicazione delle IEC 61508-2 e IEC 61508-3 EN 61508-7:2001. Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per applicazioni di sicurezza. Parte 7: Panorama delle tecnologie e delle misure tecniche Nel testo, quando non precisato, queste norme verranno indicate come EN 61508 EN 62061:2005. Sicurezza del macchinario Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza Nel testo, quando non precisato, questa norma verr indicata come EN 62061 EN ISO 13849-1:2006. Sicurezza del macchinario Parte dei sistemi di comando legate alla sicurezza: Parte 1: Principi generali per la progettazione. (Nota la ISO 13849-1:1999 identica alla EN 954-1:1996) EN ISO 13849-2:2003. Sicurezza del macchinario Parte dei sistemi di comando legate alla sicurezza: Parte 2: Validazione Nel testo, quando non precisato, queste norme verranno indicate come EN 13849
pagina 6/21
X indica che la riga trattata dalla norma internazionale indicata nellintestazione della colonna a. Le architetture designate sono denite al punto 6.2 (della EN 13849-1) per fornire un approccio semplicato alla quanticazione del livello di prestazioni b. Per elettronica complessa: si usino le architetture designate in accordo con questa parte della ISO 13849-1 e no a PL=d o qualsiasi architettura in accordo con la IEC 62061 c. Per tecnologie non elettriche si usino le parti come sottosistemi in accordo con questa parte della ISO 13849-1 Nota. La presente tabella la traduzione non ufciale in italiano della tabella 1 presente nella versione in Inglese nella norma EN 13849-1:2006
La scelta della norma da utilizzare star al costruttore e al mercato anche se riteniamo che la EN 13849, con il suo approccio mediato ed il riutilizzo dei concetti della EN 954-1 (integrati con alcuni di quelli introdotti con la EN 61508) sia una norma di pi semplice comprensione per tutti i piccoli e medi costruttori di macchinari.
Catalogo Generale 2007-2008
pagina 6/22
Categorie di sicurezza
B S1 I P1
Punto di partenza
F1 P2 S2 P1 F2 P2
II III IV V
Legenda : S F P I-V B, 1-4 Punto di partenza per la stima del rischio. Gravit dellincidente: S1 = lesione reversibile (es. piccoli tagli, scottature, leggere abrasioni, ecc..) S2 = lesione irreversibile o morte (es. inabilit permanente, perdita di arti, danni respiratori, ecc..) Presenza nella zona pericolosa: F1 = da rara ad abbastanza frequente (es. da settimanale o pi, no a una volta al giorno) F2 = da spesso a permanente (es. da pi volte al giorno a continuo) Possibilit di prevenire lincidente o di ridurre il suo effetto in modo signicativo: P1 = possibile in certe condizioni (es. la possibilit da parte delloperatore di accorgersi dellimminente pericolo). P2 = quasi impossibile (es. limpossibilit da parte delloperatore di accorgersi dellimminente pericolo) Livello di rischio stimato Categorie di sicurezza dei sistemi di controllo Categoria preferenziale prevista per questo livello di rischio Scelta di una categoria superiore Scelta di una categoria inferiore
Possono essere usate categorie diverse da quelle preferenziali (cerchio grande ), ma il comportamento previsto del sistema in caso di errore/i deve essere mantenuto. Inoltre devono essere indicati i motivi della deroga da parte del costruttore della macchina. Quando si scelgono le categorie indicate con un cerchio piccolo ( ) possono essere richieste delle misure addizionali come per esempio : - sovradimensionamento o luso di tecniche che portano allesclusione di errori; - luso di un monitoraggio dinamico.
pagina 6/23
5.3 - Tabella dei requisiti per categoria secondo la norma EN 954-1 par. 6.2
Categoria di sicurezza
Le parti rilevanti per la sicurezza dei sistemi di controllo e/o le loro attrezzature di protezione, nonch le loro componenti devono essere progettate, costruite, selezionate e combinate in ottemperanza alle norme pertinenti in modo da poter resistere agli inussi previsti.
Il vericarsi di un errore pu portare alla perdita della funzione di sicurezza. Caratterizzato principalmente dalla selezione dei componenti Il vericarsi di un errore pu portare alla perdita della funzione di sicurezza per la probabilit del vericarsi di un errore inferiore a quello della categoria B.
Si applicano i requisiti della categoria B. Devono essere usati dei componenti ben provati e dei principi di sicurezza ben provati.
Si applicano i requisiti della categoria B e luso di principi di sicurezza ben provati. La funzione di sicurezza deve essere controllata a adeguati intervalli di tempo dal sistema di controllo o almeno ad ogni accensione della macchina e prima di qualsiasi situazione pericolosa. Si applicano i requisiti della categoria B e luso di principi di sicurezza ben provati. Le parti rilevanti per la sicurezza devono essere progettate in modo che: - un singolo errore in una di queste parti non porti alla perdita della funzione di sicurezza. - laddove ragionevolmente fattibile il singolo errore venga rilevato. Si applicano i requisiti della categoria B e luso di principi di sicurezza ben provati. Le parti rilevanti per la sicurezza devono essere progettate in modo tale che: - un singolo errore in una di queste parti non porti alla perdita della funzione di sicurezza. - il singolo errore venga rilevato nel momento o prima della successiva richiesta della funzione di sicurezza. Se questo non possibile allora laccumulo di errori non deve portare alla perdita della funzione di sicurezza.
Il vericarsi di un errore pu portare alla perdita della funzione di sicurezza fra i controlli. La perdita della funzione di sicurezza viene rilevata dal controllo.
Quando si verica un singolo errore la funzione di sicurezza viene sempre svolta. Non tutti gli errori vengono rilevati. L accumulo di errori non rilevati pu portare alla perdita della funzione di sicurezza.
Quando si vericano gli errori la funzione di sicurezza viene svolta sempre. Gli errori vengono rilevati in tempo per evitare la perdita della funzione di sicurezza.
pagina 6/24
INIZIO
Determinazione dei limiti della macchina (vedi 5.2a) Identificazione dei pericoli (vedi paragrafo 4a e 5.3a) Stima del rischio (vedi 5.3a) Valutazione del rischio (vedi 5.3a)
Il processo iterativo di riduzione del rischio deve essere effettuato separatamente per ogni pericolo nella rispettiva condizione duso (funzione) Sono stati generati nuovi pericoli ?
Si riferisce alla ISO 12100-1:2003 Si riferisce alla ISO 13849-1:2006 La ISO 13849-2 fornisce ulteriore aiuto per la validazione
No Si'
FINE
Verifica dei sistemi di comando legati alla sicurezza in accordo con la ISO 13849-1
Processo di riduzione del rischio per il pericolo identificato: 1) Mediante struttura intrinseca 2) Mediante protezioni 3)Attraverso le istruzioni per luso (vedi ISO 12100-1:2003 figura 4)
Identificazione delle funzioni di sicurezza che devono essere effettuate dal/dai SRP/CS Per ogni funzione di sicurezza specificare le caratteristiche richieste (vedi paragrafo 5b) Determinazione del livello di prestazioni richiesto PLr (vedi 4.3b e allegato Ab) Progettazione e realizzazione tecnica della funzione di sicurezza: Identificazione delle parti relative alla sicurezza che svolgono la funzione di sicurezza (vedi 4.4b) Valutazione del livello di prestazione PL (vedi 4.5b) tenendo conto di: - Categoria (vedi paragrafo 6b) - MTTFd (vedi allegati Cb e Db) - DC (vedi allegato Eb) - CCF (vedi allegato Fb) - Se esistente: Software (vedi 4.6b e allegato Jb) della parte relativa alla sicurezza in esame
Si'
No
Verifica del PL della funzione di sicurezza: PL PLr ? (vedi 4.7b) Si' Validazione (vedi clausola 8bc). Tutti i requisiti sono stati soddisfatti ? Si' Si' Sono state analizzate tutte le funzioni di sicurezza ?
No
No
No
Nota: Questa gura stata ottenuta dalla combinazione delle Figure 1 e 3 della EN 13849-1:2006. I testi riportati sono la traduzione non ufciale dei testi in inglese.
pagina 6/25
6
6.1- Nuovi e vecchi concetti: Categorie di sicurezza, PL, MTTF, DC
Come per la EN 954-1 anche la EN 13849 utilizza un graco per lanalisi del rischio di una funzione di una macchina (vedi gura) determinando per, anzich una categoria di sicurezza, un livello di prestazione richiesto o PLr (Required Performance Level) per la funzione di sicurezza che andr a proteggere quella parte di macchina. Il costruttore dovr realizzare un sistema per proteggere loperatore che abbia un livello di prestazione PL (calcolato) uguale o migliore di quello richiesto. Graco del rischio per determinare il PLr richiesto per la funzione di sicurezza (tratto da EN 13849-1, gura A.1)
Chiavi di lettura 1 L H PLr Punto di partenza per la valutazione del contributo alla riduzione del rischio dato dalle funzioni di sicurezza Basso contributo alla riduzione del rischio Alto contributo alla riduzione del rischio Livello di prestazioni richiesto
Parametri di rischio S Gravit del danno S1 leggero (danno normalmente reversibile) S2 serio (danno normalmente irreversibile o morte) F Frequenza e/o esposizione al rischio F1 da rara a poco frequente e/o con breve tempo di esposizione F2 da frequente a continua e/o con lungo tempo di esposizione P Possibilit di evitare il rischio o di limitare il danno P1 possibile in certe condizioni P2 scarsamente possibile
I PL sono classicati in cinque livelli, da PLa a PLe al crescere del rischio ed ognuno di essi identica un ambito numerico di probabilit media di guasto pericoloso per ora. Ad esempio PLd indica che la probabilit media di guasti pericolosi per ora compresa tra 1 x 10-6 e 1 x 10-7 ovvero allincirca 1 guasto mediamente ogni 100-1000 anni. PL a b c d e Probabilit media di guasti pericolosi per ora (1/h) 10-5 10-6 10-7 10-8 e e e e < 10-4 <10-5 < 3 x10-6 < 10-6 <10-7 3 x 10-6 e
PL=
Non vi correlazione diretta tra PL e le Categorie di Sicurezza della EN 954-1. La EN 13849 riutilizza i concetti delle categoria di sicurezza come aggregazione della topologia del sistema (a canale singolo, ridondante, eccetera utilizzando il termine di architetture designate) e della resistenza del sistema al guasto integrandoli con il calcolo di ulteriori nuovi parametri numerici ovvero:
pagina 6/26
6
MTTFd (Mean Time To Dangerous Failure, Tempo medio al guasto pericoloso) Questo parametro cerca di denire la bont qualitativa del sistema denendone la vita media prima del guasto pericoloso (e non guasto generico) espressa in anni. In pratica il calcolo dellMTTFd si basa sui valori numerici forniti dai costruttori dei singoli componenti che formano il sistema. Nel caso di mancanza di dati la norma fornisce dei valori in apposite tabelle di riferimento. Il conteggio porter ad un valore numerico che rientrer in tre categorie: Alto, Medio o Basso. CCF (Common Cause Failures, cause di guasto comune) Solamente nel caso di sistemi di categoria 2, 3, o 4 per il calcolo dell MTTFd necessaria anche la valutazione di eventuali cause di guasto comune o CCF che possono inciare la ridondanza dei sistemi. DC (Diagnostic Coverage, copertura diagnostica) Questo parametro cerca di indicare quanto il sistema sia in grado di autosorvegliare un eventuale proprio malfunzionamento. In base alla percentuale di guasti pericolosi rilevabili dal sistema, grazie alla propria struttura, si avr una copertura diagnostica pi o meno buona. Anche in questo caso il parametro DC suddiviso in categorie, e per la precisione in: Alta, Media, Bassa e Nulla. La copertura diagnostica Nulla ammessa solo per i sistemi di categoria B o 1. Mediante questi tre parametri Categoria, MTTFd e DC la norma fornisce una tabella (vedi gura o allegato K della EN 13849-1) che permette di capire che livello di PL sia possibile ottenere. Relazioni tra le categorie, DCavg, MTTFd di ogni canale e PL (tratto da EN 13849-1, gura 5)
DCavg nulla PL 1 2 3
DCavg nulla DCavg bassa DCavg media DCavg bassa DCavg media DCavg alta
Performance level MTTFd di ogni canale = basso MTTFd di ogni canale = medio MTTFd di ogni canale = alto
Il costruttore di macchine che ne intenda vericare la sicurezza dovr seguire lapproccio iterativo previsto dalle norme. In particolare ad un prima fase di determinazione dei rischi (secondo EN 1050 o ISO 14121) seguir, nel caso la misura di protezione sia fornita da un sistema di controllo, una successiva ed iterativa fase di verica che il sistema prescelto sia in grado di fornire il livello di protezione richiesto. Questa seconda fase inizier determinando il livello di prestazioni richiesto PLr per fornire il grado di protezione necessario in base ai rischi riscontrati. In questa fase si utilizzer il graco visto in precedenza. In seconda battuta si ipotizzer un sistema di protezione del quale si dovr identicare la categoria di sicurezza (in base alla architettura ed alla resistenza al guasto) e del quale si dovr calcolare lMTTFd e se del caso vericare DC e CCF . Con questi valori in mano si proceder al calcolo del PL proprio del sistema e se questo risulter superiore o uguale al PLr il sistema verr considerato adatto. A questo punto seguir una fase di validazione del sistema (secondo EN 13849-2) e se anche questo verica risulter positiva il rischio in questione potr denirsi sufcientemente limitato.
pagina 6/27
6
7- Cosa cambia nellanalisi del rischio: due variazioni importanti
Nel passaggio dal vecchio al nuovo gruppo di norme le maggiori novit sono sicuramente dovute allapproccio probabilistico ed allintroduzione di tutti i nuovi parametri evidenziati nei paragra precedenti. E indubbio che per poter correttamente rispettare le nuove norme a tutti gli operatori del settore verr richiesto un maggior livello di competenza e di formazione. Vi sono anche due differenze importanti introdotte dalle nuove norme per quanto riguarda lanalisi e la valutazione del rischio rispetto a quanto fatto nora: 1) Un rischio di infortunio leggero (ferite non permanenti) non porta pi necessariamente ad un basso livello di sicurezza (categoria B o 1) come in EN 954-1. Adesso un rischio di infortunio leggero ma frequente e di difcile evitabilit da parte delloperatore viene considerato pari ad un rischio di infortunio permanente anche se assai infrequente ed evitabile (livello PLr = c).
Categorie di sicurezza
B S1 I P1 F1 P2 S2 P1 F2 P2
Partenza
II III IV V
Partenza
secondo EN 954-1
secondo EN 13849-1:2006
2) Mentre un sistema in una certa categoria secondo EN 954-1 doveva comunque avere una struttura specica, nella nuova norma per ottenere livelli di prestazione intermedi sono possibili molte strade. Ad esempio per ottenere un sistema con PL pari a c sono possibili tutte le seguenti soluzioni: 1. Sistema in categoria 3 con componenti poco afdabili (MTTFd=basso) e DCavg media. 2. Sistema in categoria 3 con componenti afdabili (MTTFd =medio) e DCavg bassa. 3. Sistema in categoria 2 con componenti afdabili (MTTFd=medio) e DCavg media. 4. Sistema in categoria 2 con componenti molto afdabili (MTTFd=alto) e DCavg bassa. 5. Sistema in categoria 1 con componenti molto afdabili (MTTFd=alto). Procedura semplicata per valutare PL ottenuta da SRP/CS (tratto da EN 13849-1, gura 7) Categoria DCavg MTTFd di ogni canale Basso Medio Alto a b Non coperto Non coperto Non coperto c a b c b c d b c d c d d Non coperto Non coperto e B nulla 1 nulla 2 bassa 2 media 3 bassa 3 media 4 alta
Il costruttore di macchine dovr valutare quindi quale combinazione sia la migliore per la propria macchina nel rapporto prestazioni/prezzo.
pagina 6/28
Schema elettrico
Struttura circuitale
E-stop1 CC 01AAB00AB
E-stop2 CC 01AAB00AB
E-stop3 CC 01AAB00AB
L/+
KM1
B-1
E-stop1 FD 1878
E-stop2 FD 1878
E-stop3 Start
M
KM1
N/-
L/+
E-stop1 CC 01AAB00AB
E-stop2 CC 01AAB00AB
E-stop3 CC 01AAB00AB
CS AR-40....
E-stop1
E-stop2 FD 1878
2
N/-
A2 Start
S33
S34
14 KM1
FD 1878
KM1
M
Nel caso si utilizzi un contattore esterno (KM1) per aumentare la portata dei contatti, questo contattore deve essere a guida forzata.
pagina 6/29
Schema elettrico
Struttura circuitale
E-stop1
Stop E-stop1 E-stop2 E-stop3 A1 CS AR-20..... A2 S33 S34 14 KM1 Start N/KM1 24 13 23
E-stop2 CC 01AAB00AC
E-stop3 CC 01AAB00AC
CC 01AAB00AC
CS AR-20....
E-stop1 FD 978
E-stop2 FD 978
KM2 KM1
M
Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, questi contattori devono essere a guida forzata.
L/+
N/-
E-stop1 CC 01AAB00AC
E-stop1
CS AR-01....
A1 S35 S22 S21 S12 S11 S31 13 23
E-stopn CC 01AAB00AC
CS AR-01....
E-stop
E-stop1
A1 S35 S22 S21 S12 S11 S31 13 23
Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, questi contattori devono essere a guida forzata. Attenzione: gli esempi sopra riportati sono puramente descrittivi e danno un indicazione di come realizzare dei circuiti di sicurezza secondo le categorie previste dalla norma EN 954-1. E responsabilit del costruttore vericare che tali circuiti siano applicabili alla specica macchina in esame.
pagina 6/30
Schema elettrico
Struttura circuitale
L/+
SS3 FX 693
B-1
Start
SS3
SS2 FX 693
M
KM1
N/-
SS1 FX 693
KM1
L/+
SS3 FX 693
2
N/-
A2 Start
S33
S34
14 KM1
SS2 FX 693
KM1
SS1 FX 693
M
Nel caso si utilizzi un contattore esterno (KM1) per aumentare la portata dei contatti, questo contattore deve essere a guida forzata.
CS AR40....
pagina 6/31
Schema elettrico
Struttura circuitale
SS3 FX 993
SS2 FX 993
3
N/-
Start
KM1
KM2 KM1
SS1 FX 993
CS AR-20....
M
Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, Attenzione: L impiego di un solo interruttore per riparo richiede che nella fase di analisi questi contattori devono essere a guida forzata. del rischio si possa escludere la rottura meccanica del medesimo.
L/+
N/-
SS2
SS1
SS2 FR 1896
A1
23
CS AR01....
SS1 FR 693
SS4 FR 1896
SSm
SSn
CS AR01....
SS3 FR 693
A1
23
M
CS AR01.... SSm FR 693
SSn FR 1896
Nel caso si utilizzi contattori esterni (KM1-KM2) per aumentare la portata dei contatti, questi contattori devono essere a guida forzata. Attenzione: gli esempi sopra riportati sono puramente descrittivi e danno un indicazione di come realizzare dei circuiti di sicurezza secondo le categorie previste dalla norma EN 954-1. E responsabilit del costruttore vericare che tali circuiti siano applicabili alla specica macchina in esame.
pagina 6/32
Modo positivo
Modo negativo
Rotella consumata
Rotella disallineata
Contatti incollati
Molla guasta
Il modo positivo consente con una manutenzione preventiva di sottrarsi dai guasti pericolosi schematizzati sopra. Con il modo negativo invece i guasti sono interni allinterruttore e quindi di difcile rilevazione. Con il modo positivo i guasti interni (contatti incollati o molla guasta) consentono comunque l apertura dei contatti e quindi larresto della macchina.
Molla danneggiata
Macchina ferma
Contatti incollati
Macchina ferma
pagina 6/33
Utilizzo degli interruttori nelle applicazioni di sicurezza Quando impiegato un solo interruttore in una funzione di sicurezza, linterruttore stesso deve essere azionato in modo positivo. Va utilizzato per le applicazioni di sicurezza il contatto dapertura (normalmente chiuso) che deve essere del tipo ad apertura positiva , tutti gli interruttori che riportano il simbolo sono dotati di contatti NC ad apertura positiva.
Nessun collegamento elastico tra i contatti mobili e lazionatore sul quale viene applicata la forza di azionamento.
Se gli interruttori sono due o pi bene farli operare in modi opposti, ad esempio : - Il primo con un contatto normalmente chiuso (contatto di apertura) azionato dal riparo in modo positivo. - laltro con un contatto normalmente aperto (contatto di chiusura), azionato dal riparo in modo non positivo. Questa una pratica comune che non esclude, quando giusticato, luso dei due interruttori azionati in modo positivo (vedi diversicazione).
Diversicazione La sicurezza nei sistemi ridondanti viene aumentata con la diversicazione. Essa si ottiene applicando due interruttori con diversit di progettazione e/o tecnologia, in modo da evitare guasti determinati dalla stessa causa. Esempi di diversicazione sono: lutilizzo di un interruttore ad azione positiva accoppiato ad uno ad azione non positiva, da un interruttore a comando meccanico ed uno non meccanico (es. sensore elettronico) o dallutilizzo di due interruttori a comando meccanico ad azione positiva ma di diverso principio di azionamento ( es. un interruttore a chiave FR 693 e un interruttore a perno FR 1896).
Ridondanza La ridondanza limpiego di pi di un dispositivo o sistema, al ne di garantire che in caso di guasto nelle parti di uno di essi, un altro sia disponibile per eseguire tali funzioni di sicurezza. Se il primo guasto non viene rilevato, il vericarsi di un secondo potr portare alla perdita della funzione di sicurezza.
Autocontrollo L autocontrollo consiste nel vericare automaticamente il funzionamento di tutti i dispositivi che intervengono nel ciclo della macchina. Di conseguenza il ciclo successivo pu essere vietato o autorizzato.
Ridondanza e autocontrollo La combinazione in sistema della ridondanza e dellautocontrollo fanno s che un primo guasto nel circuito di sicurezza non porti alla perdita delle funzioni di sicurezza. Tale primo guasto verr rilevato al riavvio successivo o comunque prima che avvenga un secondo guasto che potrebbe portare alla perdita della funzione di sicurezza.
pagina 6/34