Automatisation

Sicurezza delle Macchine

Indicazioni per lapplicazione
delle norme EN 62061 ed EN ISO 13849-1

SIGLA EDITORIALE
Sicurezza delle macchine
Indicazioni per lapplicazione
delle norme EN 62061
ed EN ISO 13849-1
ZVEI - Zentralverband Elektrotechnik und
Elektronikindustrie e. V.
Lyoner Strae 9
60528 Francoforte
Associazione di Categoria - Automazione
Divisione dispositivi di controllo
Impianti industriali, Sistemi per lIndustria
Comitato Tecnico
Sistemi di sicurezza nellautomazione

Autore: Dr. Markus Winzenick

Fon: 069 6302-426
Fax: 069 6302-386
Mail: winzenick@zvei.org
www.zvei.org/automation
Nonostante lestrema accuratezza e attenzione prestata, ZVEI
non si assume alcuna responsabilit per il contenuto
Aprile 2008

Sicurezza delle Macchine

Indicazioni per lapplicazione
delle norme EN 62061 ed EN ISO 13849-1

Siete costruttori di macchine, system integrator oppure

vi occupate del revamping di macchine?
Ecco quello che dovete sapere sulla sicurezza
funzionale per il futuro!

1.

Principali procedure
per soddisfare
i requisiti della
Direttiva Macchine

Cosa necessario fare per immettere in commercio una macchina che sia
conforme alle direttive in vigore?
La Direttiva Macchine CE presuppone che le macchine non debbano presentare rischi (valutazione dei rischi secondo EN 1050 ovvero EN ISO
14121-1).
Poich limpiego della tecnologia, in realt, non permette di garantire la
totale assenza di rischio, necessario raggiungere un livello accettabile di
rischio residuo. Se la sicurezza dipende dai sistemi di controllo, questi
devono essere costruiti in modo da garantire una probabilit sufficientemente bassa di anomalie funzionali. Quando questo non possibile,
necessario garantire che le eventuali anomalie non portino alla perdita
della funzione di sicurezza.
Per soddisfare questo requisito opportuno seguire le indicazioni delle
norme armonizzate, concepite dietro mandato della Commissione europea e pubblicate nella Gazzetta Ufficiale (effetto di presupposizione).
In questo modo si evitano costi maggiori per ottenere la conformit in
seguito ad eventuali incidenti.
Di seguito si fornisce una comparazione tra la norma EN 62061 e la
norma EN ISO 13849-1.

2. Perch
lattuale EN 954-1
in futuro non
sar pi sufficiente?

In passato, i dispositivi di sicurezza di una macchina venivano progettati

secondo la EN 954-1.
La base di partenza era il rischio rilevato (categoria di rischio), lobiettivo
era contrapporre alla categoria identificata (approccio deterministico),
unadeguata reazione del sistema (classe di controllo). In seguito allintroduzione dellelettronica e soprattutto dellelettronica programmabile
nella automazione sicura, non stato pi possibile garantire la sicurezza
unicamente tramite il semplice sistema di categorie previsto dalla EN
954-1. Inoltre, non era pi possibile fornire alcun tipo di indicazione rela-

tiva alle probabilit di guasto del macchinario (approccio probabilistico).

La soluzione arrivata con lintroduzione delle norme EN 62061 ed EN
ISO 13849-1, successive alla EN 954-1.

3. Campi applicativi e scopi

di entrambe le norme

EN ISO 13849-1: Parti dei sistemi di comando correlati con la sicurezza- Parte 1 Principi generali di progettazione
Questa norma pu essere utilizzata per gli SRP/CS (Safety Related Parts of
Control Systems) relativamente a tutti i tipi di macchine, indipendentemente dalla tecnologia e dallenergia utilizzata (elettrica, idraulica, pneumatica, meccanica, ecc.).
La EN ISO 13849-1 indica anche requisiti specifici per SRP/CS con sistemi
elettronici programmabili.
EN 62061: Sicurezza funzionale di sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati con la sicurezza
Questa norma stabilisce i requisiti e fornisce indicazioni per la realizzazione, lintegrazione e la validazione di sistemi di comando e controllo di
sicurezza elettrici, elettronici ed elettronici programmabili (SRECS) per le
macchine.
La norma non indica alcun requisito relativo alle prestazioni di dispositivi
di controllo di sicurezza non elettrici (ad es. idraulici, pneumatici, elettromeccanici) per le macchine.

4. Breve descrizione
EN ISO 13849-1

La EN ISO 13849-1 si basa sulle categorie come gi indicate nella EN

954-1:1996.
La nuova norma riguarda le funzioni di sicurezza nella loro interezza,
includendo tutti i componenti coinvolti nella loro progettazione.
Oltre alle indicazioni della EN 954-1, la EN ISO 13849-1 prevede anche
una valutazione quantitativa delle funzioni di sicurezza.
Questa fondata sui Performance Level (PL), realizzata sulla base delle
Categorie.
Per i componenti o dispositivi vengono utilizzati i seguenti parametri relativi alla tecnica della sicurezza:
categoria (requisito strutturale)
PL:

Performance Level

MTTFd: tempo medio prima di un guasto pericoloso (en: mean time to

dangerous failure)

 B10d:

numero di cicli entro cui, in un controllo campione, il 10%

dei componenti soggetti ad usura presi in esame subisce guasti o anomalie pericolose

DC:

grado di copertura diagnostica (en: diagnostic coverage)

CCF:

guasti per cause comuni (en: common cause failure)

TM:

Durata dellutilizzo (Mission Time)

La norma illustra lindividuazione del Performance Level (PL) per le parti

di sicurezza dei sistemi sulla base di architetture predefinite (designated
architectures) per la durata dutilizzo prevista TM.
In caso di divergenze rispetto a quanto prescritto, la EN ISO 13849-1 rimanda alla IEC 61508.
Nel caso della combinazione di pi parti di sicurezza in un unico sistema,
la norma fornisce indicazioni per lindividuazione del PL raggiungibile.
Per ulteriori indicazioni relative alla validazione, la EN ISO 13849-1 rimanda alla Parte 2, pubblicata alla fine del 2003. In questa sezione vengono fornite indicazioni relative alla valutazione di guasti e anomalie,
alla manutenzione, alla documentazione tecnica e allutilizzo. Il termine
per la transizione dalla EN 954-1 alla EN ISO 13849-1 sar il 29
Novembre 2009.
Fino ad allora sar possibile utilizzare una o laltra norma, a scelta.

5. Breve descrizione
EN 62061

La EN 62061 rappresenta una norma specifica di settore allinterno della

IEC 61508.
Essa descrive la realizzazione di sistemi di comando e controllo di sicurezza elettrici ed elettronici di macchine e impianti, e ne prende in considerazione lintero ciclo di vita, dalla progettazione alla dismissione.
La norma si basa sulle valutazioni qualitative e quantitative delle funzioni di controllo relative alla sicurezza.
Le prestazioni dei sistemi vengono indicate con il Safety Integrity Level
(SIL).
Dopo aver identificato le funzioni di sicurezza mediante lanalisi del
rischio, queste vengono suddivise secondo funzioni di sicurezza pi elementari, per poi venire correlate a dispositivi, parti ed elementi di sistemi reali. Questo include sia la parte hardware sia quella software.
Un sistema di controllo di sicurezza si compone in diverse sottosistemi,
descritti a livello tecnico e di sicurezza secondo i parametri nominati in
precedenza (limite di SIL richiesto e PFHD).

sottosistema 1
elemento del
sottosistema 1.1
!,T1

elemento del
sottosistema 1.2
!,T1
DC, T2, "

sottosistema 1
(sensore A)
SILCL, PFHD, T1

sottosistema 3
(................ IEC 61508)
SILCL, PFHD, T1

sottosistema 4
(attuatore)
SILCL, PFHD, T1

sottosistema 2
(sensore B)
SILCL, PFHD, T1

SIL

Parametri relativi alla tecnica della sicurezza per sottosistemi:

SILCL:

limite SIL richiesto (idoneit: SIL claim limit)

PFHD:

probabilit di guasti pericolosi/ora

(en: probability of dangerous failure per hour)

T1:

ciclo di vita (en: lifetime)

Questi sottosistemi possono essere composti a loro volta da ulteriori

sottoelementi (dispositivi) interconnessi, con parametri per calcolare il
valore PFHD relativo al sottosistema stesso.
Parametri relativi alla tecnica della sicurezza per gli elementi di sottosistemi (dispositivi):
:

tasso di guasto/anomalia (en: failure rate);

per elementi soggetti ad usura: oltre il valore

SFF:

frazione di guasto/anomalia in sicurezza (en: Safe Failure

Fraction)

Nel caso di dispositivi elettromeccanici, il costruttore indica la percentuale di guasti/anomalie come valore e si riferisce al un numero dei cicli di
commutazione. La percentuale di guasti/anomalia relative al tempo e al

ciclo di vita deve essere determinata sulla base della frequenza di commutazione relativa allapplicazione specifica.
Nella realizzazione/costruzione di un sottosistema, i parametri interni da
definire devono includere quelli di tutti gli elementi del sottosistema:
T2:

intervallo di test diagnostico (en: diagnostic test interval)

suscettibilit ai guasti di causa comune (en: susceptibility to

common cause failure)

DC:

grado di copertura diagnostica (en: diagnostic coverage)

PFHD:

il valore PFHD del sistema di controllo di sicurezza dato

dalla somma dei singoli valori PFHD dei sottosistemi.

Nella progettazione di un sistema di controllo di sicurezza, gli utilizzatori hanno le seguenti opzioni:

utilizzare dispositivi e sottosistemi gi conformi alla EN 9541 ed IEC 61508 o alla EN 62061. La norma fornisce indicazioni su come integrare dispositivi certificati nella realizzazione delle funzioni di sicurezza.

sviluppare sottosistemi propri.

sottosistemi elettronici programmabili, sottosistemi complessi: applicare la IEC 61508.
dispositivi e sottosistemi semplici: applicare la EN 62061.

La norma rappresenta un sistema completo per la realizzazione di sistemi

di controllo di sicurezza elettrici, elettronici ed elettronici programmabili.
La EN 62061 stata armonizzata nel dicembre 2005.
Per i sistemi non elettrici necessario utilizzare la EN 954-1 oppure la EN
ISO 13849-1.

6. La sicurezza
passo per passo
Procedura
base

Fase 1 Valutazione del rischio secondo

EN 1050 / EN ISO 14121
Se non si impiegano misure di sicurezza, prevedibile che prima o poi un
eventuale pericolo presente su una macchina porti a danni/incidenti.
Le misure di sicurezza sono una combinazione delle misure previste dal
costruttore e quelle integrate dallutilizzatore.
E preferibile prevedere le misure di sicurezza gi in fase di progettazione, piuttosto che integrarle successivamente (da parte dellutilizzatore);
in generale, le prime sono anche pi efficaci delle seconde.

Il costruttore deve seguire la sequenza sotto riportata, tenendo in considerazione sia lesperienza acquisita da utilizzatori di macchine simili, sia le
informazioni emerse dalle discussioni con potenziali utenti (quando questo possibile):
stabilire i limiti e lutilizzo
previsto della macchina;
identificare i pericoli e ogni
tipo di situazione pericolosa;
stimare il rischio per ogni
pericolo o situazione pericolosa identificata;
valutare il rischio e decidere la reale necessit di
ridurlo.

Fase 2 Definizione delle misure per ridurre

il rischio calcolato
Lobiettivo ridurre il rischio quanto pi possibile, tenendo in considerazione diversi fattori.
Il processo iterativo; pur utilizzando nel miglior modo possibile le tecnologie disponibili, infatti, pu comunque essere necessario ripetere il
processo pi volte fino a raggiungere il livello di riduzione del rischio desiderata.
Nelleseguire questo processo necessario osservare le seguenti priorit:
1. sicurezza della macchina in ogni fase del suo ciclo di vita;
2. potenzialit della macchina nello svolgere le funzioni a cui preposta;
3. la macchina deve essere user-friendly.
Solo cos possibile valutare i costi di costruzione, funzionamento e dismissione della macchina.

Lanalisi del rischio e il processo di

riduzione del rischio prevedono
che il rischio venga eliminato o
ridotto mediante una serie gerarchica di misure specifiche:
eliminazione dei pericoli o riduzione del rischio gi in fase di
progettazione
riduzione del rischio tramite
dispositivi di sicurezza tecnici e
misure aggiuntive di protezione
riduzione del rischio grazie alla
disponibilit di informazioni
dellutilizzatore relative al
rischio residuo

Fase 3 Riduzione del rischio

tramite misure di
controllo
Se i dispositivi di controllo preposti alla sicurezza vengono utilizzati
come misura protettiva per ottenere la riduzione del rischio necessaria, la progettazione di questi
dispositivi di controllo deve essere
parte integrante dellintera procedura relativa alla macchina. Il
sistema di controllo di sicurezza
definisce un SIL o un PL per le funzioni di sicurezza, per ottenere la
riduzione del rischio necessaria.

Fase 4 Implementazione di misure di controllo secondo EN ISO 13849-1

o EN 62061
1) Determinazione del Performance Level richiesto (PL)

Bassa contribuzione alla riduzione

del rischio

S Gravit della lesione

S1 = Lesione lieve (normalmente reversibile)
S2 = Lesione grave (normalmente irreversibile inclusa la morte)
F Frequenza e/o tempo di esposizione al pericolo
F1 = Da raramente ad abbastanza spesso e/o tempo di
esposizione breve
Punto di
F2 = Da frequente a continuo e/o tempo di
partenza per la
stima del rischio per
esposizione lungo
le parti del sistema
P Possibilit di evitare il pericolo
di comando legate
P1 = Possibile in determinate condizioni
alla sicurezza.
P2 = Scarsamente possibile

Performance level (PL) richiesto

EN ISO 13849-1

Alta contribuzione alla riduzione del rischio

EN ISO 13849-1
Determinazione del performance level richiesto (PL)

EN IEC 62061
Valutazione del rischio e misure de sicurezza
Consequenze
Morte, perdita di occhio
un braccio
Permanente:
perdita di dita
Reversibile:
intervento medico
Reversibile: pronto soccorso

Gravi Frquenza
Se
durata
4 1 h

Probabilita delFr ievento pericoloso Pr

5 Molto alta
5
5 Probabile

Evitabilit
Av

>1 h a 1 giorno

> 1 giorno a 2 sett. 4 Possibile

4
Impossibile

> 2 sett. a 1 anno 3 Scarsa

> 1 anno
2 Trascurabile

2
1

Possibile
Probabile

3
1

3-4
SIL 2

5-7
SIL 2
QM

Classe C
8-10 11-13 14-15
SIL 2 SIL 3 SIL 3
SIL 1

SIL 2

SIL 3

QM

SIL 1

SIL 2

QM

SIL 1

EN 62061

2) Specifiche
Le specifiche dei requisiti funzionali descrivono ogni singola funzione di sicurezza da eseguire. E necessario definire eventuali interfacce con altre funzioni di controllo, e stabilire le appropriate reazioni allerrore.
E inoltre necessario definire il SIL o il PL richiesti
.

3) Progettazione dellarchitettura di controllo

Parte del processo di riduzione del rischio riguarda la definizione delle funzioni di sicurezza
della macchina.
Queste comprendono anche le funzioni di sicurezza del sistema di controllo, deputate
ad impedire un avvio imprevisto.
Nella definizione delle funzioni di sicurezza sempre importante ricordare il fatto che una macchina
dotata di diverse modalit operative (ad es. funzionamento automatico e modalit set-up), e quindi che le
misure di sicurezza possono essere totalmente diverse fra loro a seconda della modalit operativa
(ad es. velocit di discesa lenta durante il funzionamento in modalit set-up <-> bimanuale durante
la modalit automatica).
Una funzione di sicurezza pu essere realizzata mediante uno o pi dispositivi di controllo di sicurezza,
e pi funzioni di sicurezza possono essere suddivise tra uno o pi dispositivi di controllo di sicurezza
(ad es. moduli logici, elementi di trasmissione dellenergia).

10

4) Determinazione del Performance Level raggiunto

EN ISO 13849-1

EN IEC 62061

necessario determinare il PL per ogni SRP/CS

selezionato o per ogni combinazione di SRP/CS
dedicata alla gestione di una funzione di
sicurezza.

La selezione o la progettazione dellSRECS devono

sempre soddisfare i requisiti minimi seguenti:

IL PL dellSRP/CS deve essere determinato

partendo dalla valutazione dei seguenti
parametri:

il valore MTTFd dei singoli componenti

il DC
il CCF
la struttura (categoria)
la reazione della funzione di sicurezza
a condizioni anomale (guasti/errori)
software di sicurezza

Requisiti per lintegrit della sicurezza hardware,

comprendenti
le limitazioni architetturali per lintegrit della
sicurezza hardware
i requisiti relativi alla probabilit di anomalie e
guasti hardware pericolosi casuali e anche i
requisiti relativi allintegrit sistematica della
sicurezza, incluso
i requisiti per evitare le anomalie e
i requisiti per il controllo dei guasti sistematici.

La EN 62061 descrive anche i requisiti relativi alla

realizzazione di programmi applicativi.

guasti sistematici
capacit di eseguire una funzione
di sicurezza in condizioni ambientali
prevedibili.

Parametri di sicurezza per sottosistemi:

SILCL:

limite SIL richiesto

(en: SIL claim limit)

PFHd:

probabilit di guasti
pericolosi/ora

T1:

ciclo di vita

11

EN ISO 13849-1

Performance
level a
a
b
c
d
e

b
c
d
e

EN IEC 62061

Probabilit di guasti
-5
-4
/ ora [1/h]
pericolosi/ora
<
10
10 < PFH
-6

Probabilit di guasti
pericolosi/ora / ora [1/h]

-5

< PFH
<
10
103 10
<-6 PFH
<
10
-6
-6
< PFH
3-510
3 1010-7
< PFH
< < 10
-6
-610
-6
< PFH
<
10
10 <-8 PFH
< 3 10
-7
-7
< PFH
<10-6 10
10 10< PFH
<
-8
-7
10 < PFH <
10
-5

-4

10

-6

-7

-6

-5

< PFH < 10

-6
-5
10
SIL 1
-7
10
SIL 2

< <PFH
< PFH
10 <
10 10
-8
-7
-6
10 < 10
PFH << PFH
10 <
-8
-7
10 < PFH <
10

SIL Level

SIL 1
SIL 2
SIL 3

SIL 3

Safety-related parameters for subsystem

Paramtres
scurit pour
les lments de
Safety-related
parameters
for subsystem
elementsde
(devices):
elements
sous-systmes
(appareils):
:(devices):
Failure
rate
Failure rate
:
:
taux
dfaillance;
fordewearing
elements
B10 value:
for wearing elements
B10 value:
:

T
10:Lifetime

Valeur
B
pour
les
composants sensibles
1
T1: Lifetime
Diagnostic
test interval
lusure;
2:
test interval
T2: TDiagnostic
Susceptibility

: T1:
:
Susceptibility
cause cause
dure to
de common
vie to common
failurefailure
intervalle de test de diagnostic
T2:
Diagnostic
coverage
DC: DC:
Diagnostic
coverage
:
rceptivit
rapport
aux
SFF:
failure
fraction
SFF: Safe
Safepar
failure
fraction

Relazione tra categorie,

DC, MTTFd e PL

dfaillances en raison dune

SFF SFF
HFT
HFT 1
2
HFT 0 HFT 1 HFT
HFT 2
cause0 commune
Note:
<
60%
Not
allowed
SIL 1
SIL 12
Note:
< 60%
Not allowed
SIL
SIL 2
DC:
degr
60%
to < 90%
SIL
1 de couverture
SIL 2 du SIL 3
comparisons
are
an
essential
The
PFH
D
60% to < 90%
SIL 1
SIL 2
SIL 3
The PFH comparisons are an essential
90% to < 99%
SIL
2
SIL 3
SIL 3
diagnostic
requirementD for determining the performance
SIL 2 SIL 3
SIL
3
SIL 3
requirement for determining the performance>=99%90% to < 99%
SIL 3
SIL 3
level. To complete the determination of the
>=99% taux de SIL
3 sres SIL 3
SIL 3
SFF:
pannes
level.
Tocategory
complete
PL,
CCF,
andthe
DCdetermination
shall also be of the
(en anglais:
Safetolerance
failure
Hardware
fault
PL, CCF, category and DC shall also be HFT:
considered.
HFT: fraction)
Hardware fault tolerance
considered.
HTF:
Performance level

SIL Level

SIL Level

Performance level
a
b
c
d
e

tolrance aux dfaillances

du matriel

SFF

-SIL 1HTF 0

HTF 1

a
-< 60 % SIL 1Inacceptable
SIL 1
b
60 % SIL 2SILSIL
1 1
SIL 2
c
< 90 % SIL 3 SIL 1
90
%

SIL
2
SIL 3
d
SIL
2
Note:
< 99 %
SIL concepts
3
The illustration describes the relationship ebetween the standards two
(PL

Note:on probability of failure.

based
Nota Bene:

> = 99 %

SIL 3

SIL 3

HTF 2
SIL 2
SIL 3
SIL 3

and
SIL SIL),
3

The illustration describes the relationship between the standards two concepts (PL and SIL),
I based
paragoni
rappresentano
un requisito
onPFHD
probability
of failure.
5) Verification

essenziale per la determinazione del

For each individual safety function, the PL of the corresponding SRP/CS must match the
PerformancePerformance
Level. Per completare
la determiRequired
Level. Where
various
from part of a safety function, their
5) SRP/CS
Verification
nazione
delbePLequal
necessario
tenerethan
in considerPLs
to orsafety
greater
the performance
level
required for this
function.
Forshall
each
individual
function,
the PL of the
corresponding
SRP/CS
must match the
azione
anche
CCF,
categoria
e
DC.
Where
severalPerformance
SRP/CS are connected
in series,
the final
PL canfrom
be determined
using Table
11 their
Required
Level. Where
various
SRP/CS
part of a safety
function,
from
standard.
PLsthe
shall
be equal to or greater than the performance level required for this function.

Where several SRP/CS are connected in series, the final PL can be determined using Table 11
from the standard.

12

failure
DC: Diagnostic coverage
SFF:
Safe failure fraction
Note:
The PFHD comparisons are an essential
requirement for determining the performance
level. To complete the determination of the
PL, CCF, category and DC shall also be
considered.
EN ISO 13849-1

SFF
< 60%
60% to < 90%
90% to < 99%
>=99%

HFT:

Performance level

HFT 0
Not allowed
SIL 1
SIL 2
SIL 3

HFT 1
SIL 1
SIL 2
SIL 3
SIL 3

HFT 2
SIL 2
SIL 3
SIL 3
SIL 3

Hardware fault tolerance

EN IEC 62061

SIL Level

a
b
c
d
e

-SIL 1
SIL 1
SIL 2
SIL 3

Note:
The illustration
Nota Bene: describes the relationship between the standards two concepts (PL and SIL),
based on
probability
of failure.
Lillustrazione
descrive
la relazione tra i due concetti dello standard (PL e SIL) sulla base della
probabilit di anomalie.

5) Verification
For each individual safety function, the PL of the corresponding SRP/CS must match the
Required Performance Level. Where various SRP/CS from part of a safety function, their
PLs shall be equal to or greater than the performance level required for this function.
5) Verifica
Where several SRP/CS are connected in series,
the final PL can be determined using Table 11
from the standard.
Per ogni singola funzione di sicurezza, il PL
dello SRP/CS (en) deve corrispondere al
Performance Level richiesto.
I PLs di pi SRP/CS, che sono parte di una funzione di sicurezza, devono essere uguali o maggiori del Performance Level richiesto per questa
funzione.
In caso di pi SRP/CS collegati in serie, il PL
definitivo pu essere determinato utilizzando la
Tabella 11 prevista dalla norma.

La probabilit di guasti pericolosa di ogni funzione di controllo di sicurezza (SRCF) causata da

guasti hardware casuali deve essere uguale o
inferiore al valore limite stabilito nelle specifiche dei requisiti di sicurezza.
Il SIL raggiunto grazie allo SRECS sulla base
delle limitazioni architetturali deve essere inferiore o uguale al SILCL pi basso di qualsiasi
sottosistema coinvolto nellesecuzione della
funzione di sicurezza.

6) Validazione
La progettazione di una funzione di comando e controllo di sicurezza deve essere validata.
La validazione deve dimostrare che la combinazione di ciascuna funzione di sicurezza dei dispositivi di
sicurezza soddisfa i requisiti relativi.

13

7. Glossario

Abbreviazione

Definizione in inglese

Descrizione in italiano

B10d

Numero di cicli a cui il 10% dei componenti pericolosi si guasta

Failure rate

CCF

Common Cause Failure

Guasto per causa comune

DC

Diagnostic Coverage

Grado di copertura diagnostico

DCmoy

Average Diagnostic Coverage Copertura diagnostica in media

Tasso di anomalia/guasto
Tasso di guasto guasti non pericolosi
Tasso di guasto guasti pericolosi

Designated Architecture

Architettura prevista di un SRP/CS

HFT

Hardware Fault Tolerance

Tolleranza guasti hardware

MTBF

Mean Time

Tempo medio che intercorre normalmente

Between Failures

prima del verificarsi di un guasto

MTTF

Mean Time to Failure

Tempo medio al guasto

MTTFd

Mean Time to

Tempo medio prima di un guasto

Dangerous Failure

pericoloso

Mean Time to Repair

Tempo medio di riparazione

MTTR

(sempre decisamente inferiore al MTTF)

PFH
PFHd
PL

Probability of Failure

Probabilit che si verifichi un guasto

per Hour

allora

Probability of Dangerous

Probabilit che si verifichi un guasto

Failure per Hour

pericoloso allora

Performance Level

Capacit delle parti di sicurezza di

svolgere una funzione di sicurezza in
condizioni prevedibili, per garantire la
riduzione del rischio prevista

14

PLr

Performance Level Required

Performance Level richiesto

SIL

Safety Integrity Level

Livello di integrit della sicurezza

SILCL

Safety Integrity

Limite SIL richiesto

SIL Claim Limit

(idoneit)

Abbreviazione

Definizione in inglese

Descrizione in italiano

SRP/CS

Safety Related Parts

Parte di sicurezza di

of a Control System

un sistema di comando e controllo

Safety Related

Sistema di comando e controllo

SRECS
T1

Electrical Control Systems

elettrico di sicurezza

Lifetime

Ciclo di vita del

sistema di sicurezza

T2

Diagnostic Test Interval

Intervallo di test diagnostico

Mission Time

Durata dellutilizzo

Susceptibility to

Suscettibilit ai guasti per

Common Cause Failure

causa comune

Duty Cycle

Ciclo di vita (ore) di un

SFF

Safe Failure Fraction

Tm

componente elettromeccanico

Security

Frazione guasti non pericolosi

Termine comune per ripari di
protezione. Il controllo consente di
proteggere cose o persone.

Safety

Termine comune per la sicurezza funzionale e la sicurezza delle macchine

Safety of Machinery

Stato raggiunto quando sono state

intraprese misure di sicurezza per la
riduzione del rischio con rischio residuo
accettabile in seguito allanalisi del rischio

Functional Safety

Parte di sicurezza di una macchina e del

sistema di controllo di una macchina che
dipende dal corretto funzionamento dell
SRECS, dei sistemi di sicurezza e di dispositivi esterni per la riduzione del rischio

15

8. FAQ

Le elettrovalvole / contattori sottostanno a requisiti SIL o PL?

No. Il SIL e il PL non sono applicabili a componenti singoli.

Qual la differenza tra SIL e SILCL ?

Il SIL si riferisce sempre a una funzione di sicurezza completa, mentre il
SILCL si riferisce al sottosistema.

Ci sono analogie tra PL e SIL?

Tramite il valore PFH possibile stabilire una relazione tra PL e SIL.
(v. Fase 4: Determinazione del Performance Level raggiunto).

Performance
Level
(EN 13849-1)
b
c
d
e

Probabilit di
guasti pericolose
per ora [1/h]
3 10 -6 PFHD < 3 10-5
3 10 -6 PFHD < 3 10-6
3 10 -7 PFHD < 3 10-6
3 10 -8 PFHD < 3 10-7

SIL Level
secondo EN
IEC 62061
SIL 1
SIL 1
SIL 2
SIL 3

Quale grado di copertura diagnostica possibile prevedere per

contattori e rel con apertura guidata dei contatti elettrici?
In conformit a entrambe le norme, possibile prevedere un DC
del 99% in considerazione dei contatti con apertura guidata.
Una funzione diagnostica con appropriata reazione al guasto
rappresenta un prerequisito.

16

E possibile raggiungere una tolleranza al guasto pari a 1 con

un singolo dispositivo di controllo (ripari mobili)?
No, una sola anomalia causerebbe il guasto del circuito.

E prevista una probabilit di anomalia/guasto o un valore

PFHD per componenti soggetti ad usura?
No, lutilizzatore pu determinare un valore PFH per componenti
soggetti ad usura sulla base dellapplicazione specifica utilizzando
il valore B10 in relazione al numero di cicli di lavoro.

Qual la differenza tra MTBF e MTTF?

LMTBF descrive il tempo che intercorre tra 2 guasti, a differenza
dellMTTF che invece descrive lintervallo di tempo prima che si
verifichi il primo guasto.

Cosa significa la lettera d in MTTFd?

d sta per dangerous > lMTTFd descrive lintervallo di tempo
prima che si verifichi il primo guasto pericoloso.

Posso applicare la EN 13849-1 nellintegrazione di dispositivi

elettronici programmabili complessi?
S. Tuttavia, per il software del sistema operativo e per le funzioni di
sicurezza secondo il PL e, necessario tenere in considerazione i
requisiti della IEC 61508-3.

Cosa si pu fare se il costruttore non fornisce alcun dato tecnico

relativo ai componenti?
La EN ISO 13849-1 e la EN 62061 includono entrambe valori di riferimento per i componenti di utilizzo comune. Dove possibile, comunque
preferibile utilizzare sempre i dati forniti dal costruttore dei componenti
stessi.

17

E possibile applicare la EN ISO 13849-1 per calcolare lMTTF in

processi con valvole/armature utilizzate solo una o due volte allanno (Low Demand)?
No, la EN ISO 13849-1 prevede unicamente la modalit High Demand.
E quindi possibile effettuare una valutazione dellMTTF solo mediante
misure aggiuntive, quali ad es. la dinamizzazione forzata.

E possibile applicare la EN 62061 per calcolare il tasso di anomalia/guasto in processi valvole/armature utilizzate solo una o due
volte allanno (Low Demand)?
V. domanda precedente.

I software applicativi devono essere certificati?

Se s, secondo quale norma?
No. Non obbligatoria nessuna certificazione secondo entrambi gli
standard. Tuttavia, possibile che sia necessario certificare le macchine
(ad es. presse) secondo lAllegato IV della Direttiva Macchine.
I requisiti relativi alla produzione di software sono riportati sia nella
EN 62061 sia nella EN ISO 13849-1.

18

ZVEI - Zentralverband Elektrotechnik und

Elektronikindustrie e. V.
Lyoner Strae 9
60528 Francoforte
Germania
Associazione di Categoria - Automazione
Divisione dispositivi di controllo
Impianti industriali, Sistemi per lIndustria
Comitato Tecnico
Sistemi di sicurezza nellautomazione